Untuk menganalisis lalu lintas jaringan, perlu mengirimkan paket jaringan ke NTOP/NPROBE atau Out-of-band Network Security and Monitoring Tools. Ada dua solusi untuk masalah ini:
Pencermian Port(juga dikenal sebagai SPAN)
Network Tap(juga dikenal sebagai Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, dll.)
Sebelum menjelaskan perbedaan antara kedua solusi (Port Mirror dan Network Tap), penting untuk memahami cara kerja Ethernet. Pada kecepatan 100 Mbit ke atas, host biasanya berkomunikasi dalam mode full duplex, artinya satu host dapat mengirim (Tx) dan menerima (Rx) secara bersamaan. Ini berarti bahwa pada kabel 100 Mbit yang terhubung ke satu host, jumlah total lalu lintas jaringan yang dapat dikirim/diterima (Tx/Rx) oleh satu host adalah 2 × 100 Mbit = 200 Mbit.
Port mirroring adalah replikasi paket aktif, yang berarti bahwa perangkat jaringan secara fisik bertanggung jawab untuk menyalin paket ke port yang dicerminkan.
Ini berarti bahwa perangkat harus melakukan tugas ini dengan menggunakan beberapa sumber daya (seperti CPU), dan kedua arah lalu lintas akan direplikasi ke port yang sama. Seperti yang disebutkan sebelumnya, pada tautan full duplex, ini berarti bahwa
A -> B dan B -> A
Jumlah A tidak akan melebihi kecepatan jaringan sebelum terjadi kehilangan paket. Ini karena secara fisik tidak ada ruang untuk menyalin paket. Ternyata port mirroring adalah teknik yang bagus karena dapat dilakukan oleh banyak switch (tetapi tidak semua), karena sebagian besar switch memiliki kelemahan kehilangan paket, jika Anda memantau tautan dengan beban lebih dari 50%, atau mencerminkan port ke port yang lebih cepat (misalnya mencerminkan port 100 Mbit ke port 1 Gbit). Belum lagi bahwa packet mirroring mungkin memerlukan pertukaran sumber daya switch, yang dapat membebani perangkat dan menyebabkan kinerja pertukaran menurun. Perhatikan bahwa Anda dapat menghubungkan 1 port ke satu port, atau 1 VLAN ke satu port, tetapi Anda umumnya tidak dapat menyalin banyak port ke 1 port. (Jadi, karena packet mirror) hilang.
TAP (Terminal Access Point) JaringanTAP (Transmission Access Point) adalah perangkat keras yang sepenuhnya pasif, yang dapat secara pasif menangkap lalu lintas di jaringan. Perangkat ini umumnya digunakan untuk memantau lalu lintas antara dua titik dalam jaringan. Jika jaringan antara kedua titik tersebut terdiri dari kabel fisik, TAP jaringan mungkin merupakan cara terbaik untuk menangkap lalu lintas.
TAP jaringan memiliki setidaknya tiga port: port A, port B, dan port monitor. Untuk memasang TAP di antara titik A dan B, kabel jaringan antara titik A dan titik B diganti dengan sepasang kabel, satu menuju port A TAP, dan yang lainnya menuju port B TAP. TAP meneruskan semua lalu lintas antara kedua titik jaringan, sehingga keduanya tetap terhubung satu sama lain. TAP juga menyalin lalu lintas ke port monitornya, sehingga memungkinkan perangkat analisis untuk mendengarkan.
Network TAP umumnya digunakan oleh perangkat pemantauan dan pengumpulan data seperti APS. TAP juga dapat digunakan dalam aplikasi keamanan karena tidak mengganggu, tidak terdeteksi di jaringan, dapat menangani jaringan full-duplex dan non-shared, dan biasanya akan meneruskan lalu lintas meskipun TAP berhenti bekerja atau kehilangan daya.
Karena port Network Tap tidak menerima tetapi hanya mengirimkan, switch tidak tahu siapa yang berada di balik port tersebut. Akibatnya, switch menyiarkan paket ke semua port. Oleh karena itu, jika Anda menghubungkan perangkat pemantauan Anda ke switch, perangkat tersebut akan menerima semua paket. Perhatikan bahwa mekanisme ini berfungsi jika perangkat pemantauan tidak mengirimkan paket apa pun ke switch; jika tidak, switch akan menganggap bahwa paket yang disadap bukan untuk perangkat tersebut. Untuk mencapai hal itu, Anda dapat menggunakan kabel jaringan yang belum Anda hubungkan kabel TX-nya, atau menggunakan antarmuka jaringan tanpa IP (dan tanpa DHCP) yang sama sekali tidak mengirimkan paket. Terakhir, perhatikan bahwa jika Anda ingin menggunakan tap agar tidak kehilangan paket, maka jangan menggabungkan arah atau gunakan switch di mana arah yang disadap lebih lambat (misalnya 100 Mbit) daripada port penggabungan (misalnya 1 Gbit).
Jadi, Bagaimana Cara Merekam Lalu Lintas Jaringan? Network Tap vs Switch Ports Mirror
1- Konfigurasi mudah: Network Tap > Port Mirror
2- Pengaruh Kinerja Jaringan: Network Tap < Port Mirror
3- Kemampuan Pengambilan, Replikasi, Agregasi, dan Penerusan: Network Tap > Port Mirror
4- Latensi Penerusan Lalu Lintas: Network Tap < Port Mirror
5- Kapasitas Praproses Lalu Lintas: Network Tap > Port Mirror
Waktu posting: 30 Maret 2022
