Untuk menganalisis lalu lintas jaringan, paket jaringan perlu dikirim ke NTOP/NPROBE atau Alat Keamanan dan Pemantauan Jaringan Luar Band. Ada dua solusi untuk masalah ini:
Pencerminan Port(juga dikenal sebagai SPAN)
Ketuk Jaringan(juga dikenal sebagai Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, dll.)
Sebelum menjelaskan perbedaan antara kedua solusi (Port Mirror dan Network Tap), penting untuk memahami cara kerja Ethernet. Pada 100 Mbit ke atas, host biasanya berkomunikasi dalam mode dupleks penuh, artinya satu host dapat mengirim (Tx) dan menerima (Rx) secara bersamaan. Ini berarti bahwa pada kabel 100 Mbit yang terhubung ke satu host, total lalu lintas jaringan yang dapat dikirim/diterima (Tx/Rx) oleh satu host adalah 2 × 100 Mbit = 200 Mbit.
Pencerminan port adalah replikasi paket aktif, yang berarti bahwa perangkat jaringan secara fisik bertanggung jawab untuk menyalin paket ke port yang dicerminkan.
Artinya, perangkat harus menjalankan tugas ini dengan menggunakan beberapa sumber daya (seperti CPU), dan kedua arah lalu lintas akan direplikasi ke port yang sama. Seperti yang telah disebutkan sebelumnya, dalam tautan dupleks penuh, ini berarti bahwa
A -> B dan B -> A
Jumlah A tidak akan melebihi kecepatan jaringan sebelum terjadi kehilangan paket. Ini karena secara fisik tidak ada ruang untuk menyalin paket. Ternyata pencerminan port adalah teknik yang hebat karena dapat dilakukan oleh banyak switch (tetapi tidak semua), karena sebagian besar switch dengan kelemahan kehilangan paket, jika Anda memantau tautan dengan beban lebih dari 50%, atau mencerminkan port ke port yang lebih cepat (misalnya mencerminkan port 100 Mbit ke port 1 Gbit). Belum lagi pencerminan paket mungkin memerlukan pertukaran sumber daya switch, yang dapat memuat perangkat dan menyebabkan kinerja pertukaran menurun. Perhatikan bahwa Anda dapat menghubungkan 1 port ke satu port, atau 1 VLAN ke satu port, tetapi Anda umumnya tidak dapat menyalin banyak port ke 1. (Jadi karena pencerminan paket) hilang.
TAP (Titik Akses Terminal) Jaringanadalah perangkat keras yang sepenuhnya pasif, yang dapat menangkap lalu lintas di jaringan secara pasif. Perangkat ini umumnya digunakan untuk memantau lalu lintas antara dua titik dalam jaringan. Jika jaringan antara dua titik ini terdiri dari kabel fisik, TAP jaringan mungkin merupakan cara terbaik untuk menangkap lalu lintas.
TAP jaringan memiliki setidaknya tiga port: port A, port B, dan port monitor. Untuk menempatkan tap antara titik A dan B, kabel jaringan antara titik A dan titik B diganti dengan sepasang kabel, satu menuju port A TAP, dan yang lainnya menuju port B TAP. TAP meneruskan semua lalu lintas antara kedua titik jaringan, sehingga keduanya tetap terhubung. TAP juga menyalin lalu lintas ke port monitornya, sehingga memungkinkan perangkat analisis untuk mendengarkan.
TAP jaringan umumnya digunakan oleh perangkat pemantauan dan pengumpulan seperti APS. TAP juga dapat digunakan dalam aplikasi keamanan karena sifatnya yang tidak mengganggu, tidak terdeteksi di jaringan, dapat menangani jaringan dupleks penuh dan jaringan non-berbagi, dan biasanya akan meneruskan lalu lintas meskipun tap berhenti berfungsi atau kehilangan daya.
Karena port Network Taps tidak menerima tetapi hanya mengirimkan, switch tidak memiliki petunjuk siapa yang berada di belakang port tersebut. Konsekuensinya adalah ia menyiarkan paket ke semua port. Oleh karena itu, jika Anda menghubungkan perangkat pemantauan Anda ke switch, perangkat tersebut akan menerima semua paket. Perhatikan bahwa mekanisme ini berfungsi jika perangkat pemantauan tidak mengirim paket apa pun ke switch; jika tidak, switch akan menganggap bahwa paket yang disadap bukan untuk perangkat tersebut. Untuk mencapainya, Anda dapat menggunakan kabel jaringan di mana Anda belum menghubungkan kabel TX, atau menggunakan antarmuka jaringan tanpa IP (dan tanpa DHCP) yang tidak mengirimkan paket sama sekali. Terakhir, perhatikan bahwa jika Anda ingin menggunakan tap agar tidak kehilangan paket, maka jangan gabungkan arah atau gunakan switch di mana arah yang disadap lebih lambat (misalnya 100 Mbit) daripada port penggabungan (misalnya 1 Gbit).
Jadi, Bagaimana Cara Menangkap Lalu Lintas Jaringan? Network Taps vs. Switch Port Mirror
1- Konfigurasi mudah: Ketuk Jaringan > Cermin Port
2- Pengaruh Kinerja Jaringan: Network Tap < Port Mirror
3- Kemampuan Menangkap, Replikasi, Agregasi, Penerusan: Ketuk Jaringan > Cermin Port
4- Latensi Penerusan Lalu Lintas: Ketuk Jaringan < Cermin Port
5- Kapasitas Praproses Lalu Lintas: Ketuk Jaringan > Cermin Port
Waktu posting: 30-Mar-2022
