Fir den Netzwierkverkéier z'analyséieren, ass et néideg den Netzwierkpaket un NTOP/NPROBE oder Out-of-band Network Security and Monitoring Tools ze schécken. Et gëtt zwou Léisunge fir dëst Problem:
Port-Spigelung(och bekannt als SPAN)
Netzwierk-Tap(och bekannt als Replikatiounstapp, Aggregatiounstapp, Aktivtapp, Koffertapp, Ethernettapp, etc.)
Ier mer d'Ënnerscheeder tëscht den zwou Léisungen (Port Mirror an Network Tap) erklären, ass et wichteg ze verstoen, wéi den Ethernet funktionéiert. Bei 100Mbit a méi schwätze Hosts normalerweis am Full-Duplex, dat heescht, datt een Host gläichzäiteg schécken (Tx) an empfänke (Rx) kann. Dëst bedeit, datt op engem 100 Mbit Kabel, deen un en Host ugeschloss ass, déi total Quantitéit vum Netzwierkverkéier, deen een Host schécken/empfänke kann (Tx/Rx)) 2 × 100 Mbit = 200 Mbit ass.
D'Port-Spiegelung ass eng aktiv Pakettreplikatioun, dat heescht, datt den Netzwierkapparat kierperlech verantwortlech ass fir de Pakett op de gespigelte Port ze kopéieren.
Dëst bedeit, datt den Apparat dës Aufgab mat Hëllef vun enger Ressource (wéi zum Beispill der CPU) ausféiere muss, an datt béid Verkéiersrichtunge op deeselwechte Port replizéiert ginn. Wéi virdru scho gesot, bedeit dat bei enger Full-Duplex-Verbindung, datt
A -> B an B -> A
D'Zomm vun A wäert d'Netzwierkgeschwindegkeet net iwwerschreiden, ier e Pakettverloscht geschitt. Dëst läit dorun, datt et kierperlech kee Plaz gëtt fir Paketen ze kopéieren. Et stellt sech eraus, datt Port Mirroring eng gutt Technik ass, well se vu ville Switchen (awer net all) duerchgefouert ka ginn, well déi meescht Switchen den Nodeel vu Pakettverloscht hunn, wann Dir e Link mat iwwer 50% Belaaschtung iwwerwaacht oder d'Ports op e méi schnelle Port spigelt (z.B. 100 Mbit Ports op en 1 Gbit Port spigelt). Net ze vergiessen, datt Pakett Mirroring den Austausch vu Switchressourcen erfuerdert, wat den Apparat belaaschte kann an d'Austauschleistung verschlechtere kann. Bedenkt datt Dir 1 Port mat engem Port oder 1 VLAN mat engem Port verbannen kënnt, awer Dir kënnt am Allgemengen net vill Ports op 1 kopéieren. (Also well de Pakett Mirror) feelt.
En Netzwierk TAP (Terminal Access Point)ass en voll passivt Hardwaregerät, dat passiv den Traffic an engem Netzwierk erfassen kann. Et gëtt dacks benotzt fir den Traffic tëscht zwou Punkten am Netzwierk ze iwwerwaachen. Wann den Netzwierk tëscht dësen zwou Punkten aus engem physesche Kabel besteet, kéint en Netzwierk-TAP dee beschte Wee sinn fir den Traffic z'erfassen.
Den Netzwierk-TAP huet mindestens dräi Ports: en A-Port, e B-Port an e Monitorport. Fir en Tap tëscht de Punkten A a B ze placéieren, gëtt den Netzwierkkabel tëscht Punkt A a Punkt B duerch e puer Kabelen ersat, een op den A-Port vum TAP an deen aneren op de B-Port vum TAP. Den TAP leet den ganzen Traffic tëscht den zwee Netzwierkpunkten weider, sou datt se nach ëmmer matenee verbonne sinn. Den TAP kopéiert den Traffic och op säi Monitorport, sou datt en Analysegerät zoulauschtere kann.
Netzwierk-TAPs ginn dacks vun Iwwerwaachungs- a Sammelgeräter wéi APS benotzt. TAPs kënnen och a Sécherheetsapplikatioune benotzt ginn, well se net opfälleg sinn, net um Netz detektéierbar sinn, mat Full-Duplex- a net-gemeinsamen Netzwierker ëmgoe kënnen, a meeschtens den Traffic weiderginn, och wann den Tap net méi funktionéiert oder de Stroum ausfällt.
Well Network Taps Ports net empfänken, mä nëmmen iwwerdroen, huet de Switch keng Ahnung, wien hannert de Ports sëtzt. D'Konsequenz ass, datt en d'Päck un all Ports weiderleet. Dofir, wann Dir Ären Iwwerwaachungsgerät mam Switch verbënnt, empfänkt dësen Apparat all Päck. Bedenkt datt dëse Mechanismus funktionéiert, wann den Iwwerwaachungsgerät kee Pak un de Switch schéckt; soss geet de Switch dovun aus, datt déi getappt Päck net fir dësen Apparat sinn. Fir dat z'erreechen, kënnt Dir entweder en Netzwierkkabel benotzen, un deem Dir d'TX-Drot net ugeschloss hutt, oder eng IP-los (an DHCP-los) Netzwierkinterface benotzen, déi guer keng Päck iwwerdroen. Schlussendlech, bedenkt datt wann Dir en Tap benotze wëllt fir keng Päck ze verléieren, dann entweder keng Merge-Richtungen benotzt oder e Switch benotzt, wou déi getappt Richtungen méi lues sinn (z.B. 100 Mbit) wéi de Merge-Port (z.B. 1 Gbit).
Also, wéi kann een den Netzwierkverkéier erfassen? Network Taps vs Switch Ports Mirror
1- Einfach Konfiguratioun: Netzwierk Tippen > Portspigelen
2- Afloss op d'Netzwierkleistung: Netzwierktap < Portspigel
3- Erfassung, Replikatioun, Aggregatioun, Weiterleitung: Netzwierk Tippen > Portspigel
4- Latenz vum Verkéierswechsel: Netzwierk Tippen < Portspigel
5- Verkéiersvirveraarbechtungskapazitéit: Netzwierktipp > Portspigel
Zäitpunkt vun der Verëffentlechung: 30. Mäerz 2022
