על מנת לנתח את תעבורת הרשת, יש צורך לשלוח את חבילת הרשת ל-NTOP/NPROBE או לכלי אבטחת וניטור רשת Out-of-band. ישנם שני פתרונות לבעיה זו:
שיקוף פורטים(ידוע גם בשם SPAN)
הקש על רשת(ידוע גם בשם Tap Replication, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap וכו')
לפני שנסביר את ההבדלים בין שני הפתרונות (Port Mirror ו-Network Tap), חשוב להבין כיצד פועל ה-Ethernet. ב-100Mbit ומעלה, מארחים בדרך כלל מדברים ב-full duplex, כלומר מארח אחד יכול לשלוח (Tx) ולקבל (Rx) בו זמנית. משמעות הדבר היא שעל כבל 100Mbit המחובר למארח אחד, הכמות הכוללת של תעבורת הרשת שמארח אחד יכול לשלוח/לקבל (Tx/Rx) היא 2 × 100 Mbit = 200 Mbit.
שיקוף פורטים הוא שכפול חבילות אקטיבי, מה שאומר שהתקן הרשת אחראי פיזית על העתקת החבילה לפורט המשוקף.
משמעות הדבר היא שההתקן חייב לבצע משימה זו באמצעות משאב כלשהו (כגון המעבד), ושני כיווני התעבורה ישוכפלו לאותו פורט. כפי שצוין קודם לכן, בקישור דו-צדדי מלא, משמעות הדבר היא ש
א' - > ב' ו-ב' -> א'
סכום A לא יעלה על מהירות הרשת לפני שיתרחש אובדן חבילות. הסיבה לכך היא שאין פיזית מקום להעתקת חבילות. מסתבר ששיקוף פורטים היא טכניקה נהדרת מכיוון שניתן לבצע אותה על ידי מתגים רבים (אך לא כולם), מכיוון שרוב המתגים סובלים מחסרון של אובדן חבילות, אם מנטרים קישור עם עומס של מעל 50%, או משקפים את הפורטים לפורט מהיר יותר (למשל, שיקוף פורטים של 100 מגה-ביט לפורט של 1 ג'יגה-ביט). שלא לדבר על כך ששיקוף חבילות עשוי לדרוש החלפת משאבי מתג, מה שעלול להעמיס על המכשיר ולגרום לירידה בביצועי החלפה. שים לב שניתן לחבר פורט אחד לפורט אחד, או VLAN אחד לפורט אחד, אך בדרך כלל לא ניתן להעתיק פורטים רבים לפורט אחד. (לכן, שיקוף החבילות) חסר.
נקודת גישה מסוף (TAP) לרשתהוא התקן חומרה פסיבי לחלוטין, שיכול ללכוד באופן פסיבי תעבורה ברשת. הוא משמש בדרך כלל לניטור התעבורה בין שתי נקודות ברשת. אם הרשת בין שתי נקודות אלו מורכבת מכבל פיזי, רשת TAP עשויה להיות הדרך הטובה ביותר ללכוד תעבורה.
ל-TAP ברשת יש לפחות שלושה פורטים: פורט A, פורט B ופורט ניטור. כדי למקם טאפ בין נקודות A ל-B, כבל הרשת בין נקודה A לנקודה B מוחלף בזוג כבלים, אחד מוביל לפורט A של ה-TAP והשני לפורט B של ה-TAP. ה-TAP מעביר את כל התעבורה בין שתי נקודות הרשת, כך שהן עדיין מחוברות זו לזו. ה-TAP גם מעתיק את התעבורה לפורט הניטור שלו, ובכך מאפשר למכשיר ניתוח להאזין.
רשתות TAP משמשות בדרך כלל על ידי התקני ניטור ואיסוף נתונים כגון APS. ניתן להשתמש ב-TAP גם ביישומי אבטחה מכיוון שהם אינם פולשניים, אינם ניתנים לזיהוי ברשת, יכולים להתמודד עם רשתות דו-צדדיות מלאות ורשתות שאינן משותפות, ובדרך כלל יעבירו תעבורה גם אם ה-tap מפסיק לעבוד או מאבד חשמל.
מכיוון שפורטים של Network Taps אינם קולטים אלא רק משדרים, למתג אין מושג מי יושב מאחורי הפורטים. התוצאה היא שהוא משדר את החבילות לכל הפורטים. לכן, אם תחבר את התקן הניטור שלך למתג, התקן כזה יקבל את כל החבילות. שים לב שמנגנון זה פועל אם התקן הניטור לא שולח אף חבילה למתג; אחרת, המתג יניח שהחבילות המצומצמות אינן מיועדות להתקן כזה. על מנת להשיג זאת, תוכל להשתמש בכבל רשת שלא חיברת אליו את חוטי השידור, או להשתמש בממשק רשת ללא IP (וללא DHCP) שאינו משדר חבילות כלל. לבסוף, שים לב שאם ברצונך להשתמש ב-TAP כדי לא לאבד חבילות, אז אל תמזגו כיווני תקשורת או השתמש במתג שבו כיווני התקשורת המצומצמים איטיים יותר (למשל 100 מגה-ביט) מפורט המיזוג (למשל 1 ג'יגה-ביט).
אז איך ללכוד תעבורת רשת? רשתות טאפס לעומת יציאות מתג מראה
1- תצורה קלה: גישה לרשת > שיקוף יציאות
2- השפעת ביצועי הרשת: חיבור רשת < מראה פורטים
3- לכידה, שכפול, צבירה, יכולת העברה: לחיצה על רשת > שיקוף פורטים
4- השהיית העברת תעבורה: רשת הקשה < מראה יציאות
5- קיבולת עיבוד מקדים של תעבורה: רשת הקשה > שיקוף יציאות
זמן פרסום: 30 במרץ 2022
