Untuk menganalisis lalu lintas jaringan, perlu untuk mengirim paket jaringan ke NTOP/NPROBE atau alat keamanan dan pemantauan jaringan di luar band. Ada dua solusi untuk masalah ini:
Port mirroring(juga dikenal sebagai span)
Tap jaringan(Juga dikenal sebagai Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, dll.)
Sebelum menjelaskan perbedaan antara kedua solusi (Mirror Port dan Tap Jaringan), penting untuk memahami cara kerja Ethernet. Pada 100mbit ke atas, host biasanya berbicara dalam dupleks penuh, yang berarti bahwa satu host dapat mengirim (TX) dan menerima (rx) secara bersamaan. Ini berarti bahwa pada kabel 100 Mbit yang terhubung ke satu host, jumlah total lalu lintas jaringan yang dapat dikirim/diterima oleh satu host (TX/RX)) adalah 2 × 100 Mbit = 200 Mbit.
Port mirroring adalah replikasi paket aktif, yang berarti bahwa perangkat jaringan secara fisik bertanggung jawab untuk menyalin paket ke port cermin.
Ini berarti bahwa perangkat harus melakukan tugas ini dengan menggunakan beberapa sumber daya (seperti CPU), dan kedua arah lalu lintas akan direplikasi ke port yang sama. Seperti yang disebutkan sebelumnya, dalam tautan dupleks penuh, ini berarti itu
A -> b dan b -> a
Jumlah A tidak akan melebihi kecepatan jaringan sebelum kehilangan paket terjadi. Ini karena secara fisik tidak ada ruang untuk menyalin paket. Ternyata mirroring port adalah teknik yang hebat karena dapat dilakukan oleh banyak sakelar (tetapi tidak semua), karena sebagian besar sakelar dengan kelemahan kehilangan paket, jika Anda memantau tautan dengan lebih dari 50% beban, atau mencerminkan port ke port yang lebih cepat (misalnya port mitror 100 mbit ke port 1 Gbit). Belum lagi bahwa mirroring paket mungkin memerlukan pertukaran sumber daya sakelar, yang dapat memuat perangkat dan menyebabkan kinerja pertukaran terdegradasi. Perhatikan bahwa Anda dapat menghubungkan 1 port ke satu port, atau 1 VLAN ke satu port, tetapi Anda umumnya tidak dapat menyalin banyak port ke 1. (Jadi saat cermin paket) hilang.
Tap jaringan (titik akses terminal)adalah perangkat perangkat keras yang sepenuhnya pasif, yang dapat secara pasif menangkap lalu lintas di jaringan. Ini biasanya digunakan untuk memantau lalu lintas antara dua titik di jaringan. Jika jaringan antara kedua titik ini terdiri dari kabel fisik, keran jaringan mungkin merupakan cara terbaik untuk menangkap lalu lintas.
Tap jaringan memiliki setidaknya tiga port: port A, port B, dan port monitor. Untuk menempatkan keran antara titik A dan B, kabel jaringan antara titik A dan titik B diganti dengan sepasang kabel, satu pergi ke tap adalah port, yang lain pergi ke port B TAP. Tap melewati semua lalu lintas di antara kedua titik jaringan, sehingga mereka masih terhubung satu sama lain. TAP juga menyalin lalu lintas ke port monitornya, sehingga memungkinkan perangkat analisis untuk mendengarkan.
Keran jaringan biasanya digunakan dengan memantau dan perangkat pengumpulan seperti AP. Ketuk juga dapat digunakan dalam aplikasi keamanan karena tidak mencolok, tidak dapat dideteksi di jaringan, dapat menangani jaringan dupleks penuh dan tidak dibagi, dan biasanya akan melewati lalu lintas yang lewat bahkan jika keran berhenti bekerja atau kehilangan daya.
Karena port ketuk jaringan tidak menerima tetapi hanya mentransmisikan, sakelar tidak memiliki petunjuk yang duduk di belakang port. Konsekuensinya adalah menyiarkan paket ke semua port. Oleh karena itu, jika Anda menghubungkan perangkat pemantauan Anda ke sakelar, perangkat tersebut akan menerima semua paket. Perhatikan bahwa mekanisme ini berfungsi jika perangkat pemantauan tidak mengirim paket apa pun ke sakelar; Kalau tidak, sakelar akan mengasumsikan bahwa paket yang disadap bukan untuk perangkat tersebut. Untuk mencapai itu, Anda dapat menggunakan kabel jaringan di mana Anda belum menghubungkan kabel TX, atau menggunakan antarmuka jaringan tanpa IP (dan DHCP-less) yang tidak mengirimkan paket sama sekali. Akhirnya perhatikan bahwa jika Anda ingin menggunakan keran untuk tidak kehilangan paket, maka jangan menggabungkan arah atau menggunakan sakelar di mana arah yang disadap lebih lambat (misalnya 100 Mbit) bahwa port gabungan (misalnya 1 Gbit).
Jadi, bagaimana cara menangkap lalu lintas jaringan? TAP JARINGAN VS SWITCH Ports Mirror
1- Konfigurasi Mudah: Tap Jaringan> Port Mirror
2- Pengaruh Kinerja Jaringan: Tap Jaringan <Port Mirror
3- Tangkap, Replikasi, Agregasi, Kemampuan Penerusan: Tap Jaringan> Port Mirror
4- Latensi Penerusan Lalu Lintas: Tap Jaringan <Port Mirror
5- Kapasitas Preprocessing Lalu Lintas: Tap Jaringan> Port Mirror
Waktu posting: Mar-30-2022
