Por analizi la rettrafikon, necesas sendi la retpakaĵeton al NTOP/NPROBE aŭ Out-of-band Network Security and Monitoring Tools. Ekzistas du solvoj al ĉi tiu problemo:
Spegulado de Havenoj(ankaŭ konata kiel SPAN)
Reta Frapeto(ankaŭ konata kiel Replikada Frapeto, Agregada Frapeto, Aktiva Frapeto, Kupra Frapeto, Eterreta Frapeto, ktp.)
Antaŭ ol klarigi la diferencojn inter la du solvoj (Port Mirror kaj Network Tap), gravas kompreni kiel funkcias Eterreto. Ĉe 100Mbit kaj pli, gastigantoj kutime parolas plene duplekse, kio signifas, ke unu gastiganto povas sendi (Tx) kaj ricevi (Rx) samtempe. Tio signifas, ke sur 100-Mbita kablo konektita al unu gastiganto, la tuta kvanto de la rettrafiko, kiun unu gastiganto povas sendi/ricevi (Tx/Rx) estas 2 × 100 Mbit = 200 Mbit.
La spegulita pordo estas aktiva pakaĵreplikado, kio signifas, ke la retaparato fizike respondecas pri kopiado de la pakaĵo al la spegulita pordo.
Tio signifas, ke la aparato devas plenumi ĉi tiun taskon per iu rimedo (kiel ekzemple la CPU), kaj ambaŭ trafikdirektoj estos reproduktitaj al la sama haveno. Kiel menciite antaŭe, en plena dupleksa ligo, tio signifas, ke
A -> B kaj B -> A
La sumo de A ne superos la retan rapidon antaŭ ol pakaĵperdo okazos. Ĉi tio estas ĉar fizike ne estas spaco por kopii pakaĵojn. Montriĝas, ke portspegulado estas bonega tekniko, ĉar ĝi povas esti plenumata de multaj ŝaltiloj (sed ne ĉiuj), ĉar plej multaj ŝaltiloj havas la malavantaĝon de pakaĵperdo, se vi monitoras ligon kun pli ol 50% ŝarĝo, aŭ spegulas la pordojn al pli rapida pordo (ekz. spegulas 100 Mbit-pordojn al 1 Gbit-pordo). Kaj kompreneble, pakaĵspegulado povas postuli interŝanĝon de ŝaltilaj rimedoj, kio povas ŝarĝi la aparaton kaj kaŭzi degradiĝon de la interŝanĝa rendimento. Notu, ke vi povas konekti 1 pordon al unu pordo, aŭ 1 VLAN al unu pordo, sed vi ĝenerale ne povas kopii multajn pordojn al 1. (Do la pakaĵspegulo) mankas.
Reta TAP (Finala Alirpunkto)estas tute pasiva aparataro, kiu povas pasive kapti trafikon en reto. Ĝi estas ofte uzata por monitori la trafikon inter du punktoj en la reto. Se la reto inter ĉi tiuj du punktoj konsistas el fizika kablo, reta TAP povas esti la plej bona maniero kapti trafikon.
La reta TAP havas almenaŭ tri pordojn: pordon A, pordon B, kaj monitoran pordon. Por meti tap-on inter punktoj A kaj B, la retkablo inter punkto A kaj punkto B estas anstataŭigita per paro da kabloj, unu iranta al la pordo A de la TAP, la alia iranta al la pordo B de la TAP. La TAP pasas la tutan trafikon inter la du retpunktoj, do ili ankoraŭ estas konektitaj unu al la alia. La TAP ankaŭ kopias la trafikon al sia monitora pordo, tiel ebligante al analiza aparato aŭskulti.
Retaj TAP-oj estas ofte uzataj de monitoraj kaj kolektaj aparatoj kiel APS. TAP-oj ankaŭ povas esti uzataj en sekurecaj aplikoj ĉar ili estas netrudaj, ne estas detekteblaj en la reto, povas trakti plen-dupleksajn kaj ne-komunajn retojn, kaj kutime trapasos trafikon eĉ se la konektilo ĉesas funkcii aŭ perdas potencon.
Ĉar la pordoj de Network Taps ne ricevas sed nur elsendas, la ŝaltilo tute ne scias, kiu troviĝas malantaŭ la pordoj. La konsekvenco estas, ke ĝi elsendas la pakaĵetojn al ĉiuj pordoj. Tial, se vi konektas vian monitoran aparaton al la ŝaltilo, tia aparato ricevos ĉiujn pakaĵetojn. Notu, ke ĉi tiu mekanismo funkcias se la monitora aparato ne sendas iun ajn pakaĵeton al la ŝaltilo; alie, la ŝaltilo supozos, ke la frapitaj pakaĵetoj ne estas por tia aparato. Por atingi tion, vi povas aŭ uzi retkablon, al kiu vi ne konektis la elsendajn dratojn, aŭ uzi senIP-an (kaj senDHCP-an) retinterfacon, kiu tute ne elsendas pakaĵetojn. Fine notu, ke se vi volas uzi frapon por ne perdi pakaĵetojn, tiam aŭ ne kunigu direktojn aŭ uzu ŝaltilon, kie frapitaj direktoj estas pli malrapidaj (ekz. 100 Mbit) ol la kunfanda pordo (ekz. 1 Gbit).
Do, Kiel Kapti Retan Trafikon? Retaj Frapetoj kontraŭ Ŝaltilaj Havenoj Speguli
1- Facila agordo: Reto-frapeto > Spegulo de pordoj
2- Influo sur la rendimento de la reto: Reta frapeto < Spegulo de la porta
3- Kapto, Replikado, Agrego, Plusendado: Reta Frapeto > Spegulo de Porta
4- Trafika Plusendada Latenteco: Reta Frapeto < Spegulo de Haveno
5- Kapacito de Antaŭprilaborado de Trafiko: Reta Frapeto > Spegulo de Haveno
Afiŝtempo: 30-a de marto 2022
