नेटवर्क ट्रैफ़िक का विश्लेषण करने के लिए, नेटवर्क पैकेट को NTOP/NPROBE या आउट-ऑफ-बैंड नेटवर्क सुरक्षा और निगरानी उपकरणों को भेजना आवश्यक है। इस समस्या के दो समाधान हैं:
पोर्ट मिररिंग(इसे स्पैन के रूप में भी जाना जाता है)
नेटवर्क टैप(प्रतिकृति नल, एकत्रीकरण नल, सक्रिय नल, कॉपर टैप, ईथरनेट टैप, आदि के रूप में भी जाना जाता है)
दो समाधानों (पोर्ट मिरर और नेटवर्क टैप) के बीच अंतर को समझाने से पहले, यह समझना महत्वपूर्ण है कि ईथरनेट कैसे काम करता है। 100mbit और इसके बाद के संस्करण में, मेजबान आमतौर पर पूर्ण द्वैध में बोलते हैं, जिसका अर्थ है कि एक होस्ट एक साथ (TX) और प्राप्त (RX) प्राप्त कर सकता है। इसका मतलब यह है कि एक मेजबान से जुड़े 100 एमबीआईटी केबल पर, नेटवर्क ट्रैफ़िक की कुल राशि जो एक होस्ट भेज सकती है/प्राप्त कर सकती है (TX/RX)) 2 × 100 mbit = 200 Mbit है।
पोर्ट मिररिंग सक्रिय पैकेट प्रतिकृति है, जिसका अर्थ है कि नेटवर्क डिवाइस पैकेट को मिरर किए गए पोर्ट पर कॉपी करने के लिए शारीरिक रूप से जिम्मेदार है।
इसका मतलब यह है कि डिवाइस को कुछ संसाधन (जैसे कि सीपीयू) का उपयोग करके इस कार्य को करना होगा, और दोनों ट्रैफ़िक दिशाओं को एक ही पोर्ट पर दोहराया जाएगा। जैसा कि पहले उल्लेख किया गया है, एक पूर्ण द्वैध लिंक में, इसका मतलब है कि
A -> b और b -> a
पैकेट की हानि होने से पहले ए का योग नेटवर्क की गति से अधिक नहीं होगा। ऐसा इसलिए है क्योंकि पैकेट को कॉपी करने के लिए शारीरिक रूप से कोई स्थान नहीं है। यह पता चला है कि पोर्ट मिररिंग एक महान तकनीक है क्योंकि यह कई स्विच (लेकिन सभी नहीं) द्वारा किया जा सकता है, क्योंकि अधिकांश स्विच पैकेट हानि के दोष के साथ, यदि आप 50% से अधिक लोड के साथ एक लिंक की निगरानी करते हैं, या एक तेज पोर्ट (जैसे 1 जीबिट पोर्ट पर मिरर 100 एमबीआईटी पोर्ट) पर बंदरगाहों को दर्पण करते हैं। यह उल्लेख नहीं करने के लिए कि पैकेट मिररिंग को स्विच संसाधनों का आदान -प्रदान करने की आवश्यकता हो सकती है, जो डिवाइस को लोड कर सकती है और एक्सचेंज प्रदर्शन को नीचा दिखाती है। ध्यान दें कि आप 1 पोर्ट को एक पोर्ट, या 1 वीएलएएन से एक पोर्ट से कनेक्ट कर सकते हैं, लेकिन आप आमतौर पर कई पोर्ट को 1 से कॉपी नहीं कर सकते हैं। (इसलिए पैकेट मिरर के रूप में) गायब है।
एक नेटवर्क टैप (टर्मिनल एक्सेस पॉइंट)एक पूरी तरह से निष्क्रिय हार्डवेयर डिवाइस है, जो एक नेटवर्क पर ट्रैफ़िक को निष्क्रिय रूप से कैप्चर कर सकता है। यह आमतौर पर नेटवर्क में दो बिंदुओं के बीच यातायात की निगरानी के लिए उपयोग किया जाता है। यदि इन दो बिंदुओं के बीच नेटवर्क में एक भौतिक केबल शामिल है, तो एक नेटवर्क टैप ट्रैफ़िक को पकड़ने का सबसे अच्छा तरीका हो सकता है।
नेटवर्क टैप में कम से कम तीन पोर्ट हैं: एक पोर्ट, एक बी पोर्ट और एक मॉनिटर पोर्ट। पॉइंट ए और बी के बीच एक टैप रखने के लिए, प्वाइंट ए और प्वाइंट बी के बीच नेटवर्क केबल को केबलों की एक जोड़ी के साथ बदल दिया जाता है, एक टैप के ए पोर्ट पर जाता है, दूसरा टैप के बी पोर्ट पर जा रहा है। टैप दो नेटवर्क बिंदुओं के बीच सभी ट्रैफ़िक को पारित करता है, इसलिए वे अभी भी एक दूसरे से जुड़े हुए हैं। टैप भी ट्रैफ़िक को अपने मॉनिटर पोर्ट पर कॉपी करता है, इस प्रकार एक विश्लेषण उपकरण को सुनने के लिए सक्षम करता है।
नेटवर्क टैप आमतौर पर एपीएस जैसे निगरानी और संग्रह उपकरणों द्वारा उपयोग किए जाते हैं। टैप्स का उपयोग सुरक्षा अनुप्रयोगों में भी किया जा सकता है क्योंकि वे गैर-नॉन-ग्रामीण होते हैं, नेटवर्क पर पता लगाने योग्य नहीं होते हैं, पूर्ण-द्वैध और गैर-शरारत नेटवर्क से निपट सकते हैं, और आमतौर पर ट्रैफ़िक के माध्यम से पास कर सकते हैं, भले ही टैप काम करना बंद कर देता है या बिजली खो देता है।
जैसा कि नेटवर्क टैप्स पोर्ट प्राप्त नहीं करते हैं, लेकिन केवल संचारित होते हैं, स्विच में कोई सुराग नहीं है जो पोर्ट के पीछे बैठा है। परिणाम यह है कि यह पैकेट को सभी बंदरगाहों तक प्रसारित करता है। इसलिए, यदि आप अपने मॉनिटरिंग डिवाइस को स्विच से कनेक्ट करते हैं, तो ऐसे डिवाइस को सभी पैकेट प्राप्त होंगे। ध्यान दें कि यह तंत्र काम करता है यदि निगरानी डिवाइस स्विच पर कोई पैकेट नहीं भेजता है; अन्यथा, स्विच यह मान लेगा कि टैप किए गए पैकेट ऐसे डिवाइस के लिए नहीं हैं। इसे प्राप्त करने के लिए, आप या तो एक नेटवर्क केबल का उपयोग कर सकते हैं, जिस पर आपने TX तारों को कनेक्ट नहीं किया है, या एक IP-LESS (और DHCP-LESS) नेटवर्क इंटरफ़ेस का उपयोग किया है जो पैकेट को बिल्कुल प्रसारित नहीं करता है। अंत में ध्यान दें कि यदि आप पैकेट नहीं खोने के लिए एक नल का उपयोग करना चाहते हैं, तो या तो दिशाओं को मर्ज नहीं करते हैं या एक स्विच का उपयोग करते हैं जहां टैप किए गए निर्देश धीमे (जैसे 100 mbit) हैं जो मर्ज पोर्ट (जैसे 1 gbit) हैं।
तो, नेटवर्क ट्रैफ़िक को कैसे कैप्चर करें? नेटवर्क टैप्स बनाम स्विच पोर्ट मिरर
1- आसान कॉन्फ़िगरेशन: नेटवर्क टैप> पोर्ट मिरर
2- नेटवर्क प्रदर्शन प्रभाव: नेटवर्क टैप <पोर्ट मिरर
3- कैप्चर, प्रतिकृति, एकत्रीकरण, अग्रेषण क्षमता: नेटवर्क टैप> पोर्ट मिरर
4- ट्रैफ़िक अग्रेषण विलंबता: नेटवर्क टैप <पोर्ट मिरर
5- ट्रैफ़िक प्रीप्रोसेसिंग क्षमता: नेटवर्क टैप> पोर्ट मिरर
पोस्ट टाइम: MAR-30-2022
