नेटवर्क ट्रॅफिकचे विश्लेषण करण्यासाठी, नेटवर्क पॅकेट NTOP/NPROBE किंवा आउट-ऑफ-बँड नेटवर्क सुरक्षा आणि देखरेख साधनांना पाठवणे आवश्यक आहे. या समस्येवर दोन उपाय आहेत:
पोर्ट मिररिंग(स्पॅन म्हणूनही ओळखले जाते)
नेटवर्क टॅप(याला रेप्लिकेशन टॅप, ॲग्रीगेशन टॅप, ॲक्टिव्ह टॅप, कॉपर टॅप, इथरनेट टॅप इत्यादी नावांनीही ओळखले जाते.)
दोन उपायांमधील (पोर्ट मिरर आणि नेटवर्क टॅप) फरक स्पष्ट करण्यापूर्वी, इथरनेट कसे कार्य करते हे समजून घेणे महत्त्वाचे आहे. 100Mbit आणि त्याहून अधिक वेगावर, होस्ट सामान्यतः फुल डुप्लेक्समध्ये संवाद साधतात, म्हणजेच एक होस्ट एकाच वेळी पाठवू (Tx) आणि प्राप्त करू (Rx) शकतो. याचा अर्थ असा की, एका होस्टला जोडलेल्या 100 Mbit केबलवर, एक होस्ट पाठवू/प्राप्त करू (Tx/Rx) शकणाऱ्या नेटवर्क ट्रॅफिकचे एकूण प्रमाण 2 × 100 Mbit = 200 Mbit असते.
पोर्ट मिररिंग हे सक्रिय पॅकेट प्रतिकृतीकरण आहे, म्हणजेच नेटवर्क डिव्हाइस प्रत्यक्षपणे पॅकेट मिरर केलेल्या पोर्टवर कॉपी करण्यासाठी जबाबदार असते.
याचा अर्थ असा की डिव्हाइसला काही संसाधनाचा (जसे की CPU) वापर करून हे कार्य करावे लागेल, आणि दोन्ही दिशांमधील ट्रॅफिक एकाच पोर्टवर प्रतिकृती केले जाईल. आधी सांगितल्याप्रमाणे, फुल डुप्लेक्स लिंकमध्ये, याचा अर्थ असा की
A -> B आणि B -> A
पॅकेट लॉस होण्यापूर्वी A ची बेरीज नेटवर्कच्या वेगापेक्षा जास्त होणार नाही. याचे कारण असे की, पॅकेट्स कॉपी करण्यासाठी भौतिकदृष्ट्या जागा नसते. असे दिसून येते की पोर्ट मिररिंग हे एक उत्तम तंत्र आहे, कारण ते अनेक स्विचेसद्वारे (पण सर्वांद्वारे नाही) केले जाऊ शकते. कारण बहुतेक स्विचेसमध्ये पॅकेट लॉसचा तोटा असतो, जर तुम्ही ५०% पेक्षा जास्त लोड असलेल्या लिंकचे निरीक्षण करत असाल, किंवा पोर्ट्सना वेगवान पोर्टवर मिरर करत असाल (उदा. १०० Mbit पोर्ट्सना १ Gbit पोर्टवर मिरर करणे). हेही लक्षात घ्यायला हवे की पॅकेट मिररिंगसाठी स्विचेसच्या संसाधनांची देवाणघेवाण करावी लागू शकते, ज्यामुळे डिव्हाइसवर लोड येऊ शकतो आणि देवाणघेवाणीची कार्यक्षमता कमी होऊ शकते. लक्षात घ्या की तुम्ही १ पोर्टला एका पोर्टशी किंवा १ VLAN ला एका पोर्टशी जोडू शकता, परंतु तुम्ही सामान्यतः अनेक पोर्ट्सना १ पोर्टवर कॉपी करू शकत नाही. (कारण पॅकेट मिररिंग) उपलब्ध नसते.
नेटवर्क टॅप (टर्मिनल ऍक्सेस पॉइंट)नेटवर्क टॅप (TAP) हे एक पूर्णपणे निष्क्रिय हार्डवेअर उपकरण आहे, जे नेटवर्कवरील ट्रॅफिक निष्क्रियपणे कॅप्चर करू शकते. याचा उपयोग सामान्यतः नेटवर्कमधील दोन बिंदूंमधील ट्रॅफिकचे निरीक्षण करण्यासाठी केला जातो. जर या दोन बिंदूंमधील नेटवर्कमध्ये भौतिक केबलचा समावेश असेल, तर ट्रॅफिक कॅप्चर करण्यासाठी नेटवर्क टॅप हा सर्वोत्तम मार्ग असू शकतो.
नेटवर्क टॅपला किमान तीन पोर्ट्स असतात: एक ए पोर्ट, एक बी पोर्ट आणि एक मॉनिटर पोर्ट. ए आणि बी या पॉइंट्सच्या मध्ये टॅप बसवण्यासाठी, त्यांच्यामधील नेटवर्क केबलच्या जागी केबल्सची एक जोडी लावली जाते; त्यातील एक केबल टॅपच्या ए पोर्टला, तर दुसरी केबल टॅपच्या बी पोर्टला जोडली जाते. टॅप या दोन नेटवर्क पॉइंट्समधील सर्व ट्रॅफिक पास करतो, त्यामुळे ते एकमेकांशी जोडलेले राहतात. टॅप हा ट्रॅफिक त्याच्या मॉनिटर पोर्टवर कॉपी करतो, ज्यामुळे विश्लेषण करणाऱ्या डिव्हाइसला ते ऐकणे शक्य होते.
नेटवर्क टॅप्सचा वापर सामान्यतः एपीएस (APS) सारख्या देखरेख आणि संकलन उपकरणांद्वारे केला जातो. टॅप्सचा वापर सुरक्षा अनुप्रयोगांमध्ये देखील केला जाऊ शकतो, कारण ते अडथळा न आणणारे असतात, नेटवर्कवर शोधता येत नाहीत, फुल-डुप्लेक्स आणि नॉन-शेअर्ड नेटवर्क्स हाताळू शकतात, आणि टॅप काम करणे थांबल्यास किंवा वीजपुरवठा खंडित झाल्यासही सहसा ट्रॅफिक पास-थ्रू करतात.
नेटवर्क टॅप पोर्ट्स पॅकेट्स स्वीकारत नाहीत, तर केवळ प्रसारित करतात, त्यामुळे पोर्ट्सच्या मागे कोण आहे याची स्विचला काहीच कल्पना नसते. याचा परिणाम असा होतो की ते पॅकेट्स सर्व पोर्ट्सवर प्रसारित करते. म्हणून, जर तुम्ही तुमचे मॉनिटरिंग डिव्हाइस स्विचला जोडले, तर ते डिव्हाइस सर्व पॅकेट्स स्वीकारेल. लक्षात घ्या की ही यंत्रणा तेव्हाच काम करते जेव्हा मॉनिटरिंग डिव्हाइस स्विचला कोणतेही पॅकेट पाठवत नाही; अन्यथा, स्विच असे गृहीत धरेल की टॅप केलेली पॅकेट्स त्या डिव्हाइससाठी नाहीत. हे साध्य करण्यासाठी, तुम्ही एकतर अशी नेटवर्क केबल वापरू शकता ज्यावर तुम्ही TX वायर्स जोडलेल्या नाहीत, किंवा असा IP-रहित (आणि DHCP-रहित) नेटवर्क इंटरफेस वापरू शकता जो पॅकेट्स अजिबात प्रसारित करत नाही. शेवटी हे लक्षात घ्या की जर तुम्हाला पॅकेट्स गमावू नयेत म्हणून टॅप वापरायचा असेल, तर एकतर दिशा एकत्र करू नका किंवा असा स्विच वापरा जिथे टॅप केलेल्या दिशा (उदा. १०० Mbit) मर्ज पोर्टपेक्षा (उदा. १ Gbit) कमी गतीच्या असतील.
तर, नेटवर्क ट्रॅफिक कसे कॅप्चर करावे? नेटवर्क टॅप्स विरुद्ध स्विच पोर्ट्स मिरर
१- सोपे कॉन्फिगरेशन: नेटवर्क टॅप > पोर्ट मिरर
२- नेटवर्क कार्यक्षमतेवर प्रभाव: नेटवर्क टॅप < पोर्ट मिरर
३- कॅप्चर, रेप्लिकेशन, ॲग्रीगेशन, फॉरवर्डिंग क्षमता: नेटवर्क टॅप > पोर्ट मिरर
४- ट्रॅफिक फॉरवर्डिंग लेटन्सी: नेटवर्क टॅप < पोर्ट मिरर
५- ट्रॅफिक प्रीप्रोसेसिंग क्षमता: नेटवर्क टॅप > पोर्ट मिरर
पोस्ट करण्याची वेळ: ३० मार्च २०२२
