Ağ trafiğini analiz etmek için, ağ paketinin NTOP/NPROBE veya bant dışı ağ güvenliği ve izleme araçlarına gönderilmesi gereklidir. Bu soruna iki çözüm vardır:
Bağlantı Noktası Yansıtma(SPAN olarak da bilinir)
Ağ Bağlantısı(Replication Tap, Aggregation Tap, Active Tap, Copper Tap, Ethernet Tap, vb. olarak da bilinir.)
İki çözüm (Port Mirror ve Network Tap) arasındaki farkları açıklamadan önce, Ethernet'in nasıl çalıştığını anlamak önemlidir. 100 Mbit ve üzeri hızlarda, sunucular genellikle tam çift yönlü iletişim kurar; yani bir sunucu aynı anda hem gönderebilir (Tx) hem de alabilir (Rx). Bu, bir sunucuya bağlı 100 Mbit'lik bir kabloda, bir sunucunun gönderebileceği/alabileceği (Tx/Rx) toplam ağ trafiği miktarının 2 × 100 Mbit = 200 Mbit olduğu anlamına gelir.
Port yansıtma, aktif paket çoğaltma işlemidir; bu da ağ aygıtının paketi yansıtılan porta kopyalamaktan fiziksel olarak sorumlu olduğu anlamına gelir.
Bu, cihazın bu görevi bir kaynak (örneğin CPU) kullanarak gerçekleştirmesi gerektiği ve her iki trafik yönünün de aynı porta kopyalanacağı anlamına gelir. Daha önce de belirtildiği gibi, tam çift yönlü bir bağlantıda bu şu anlama gelir:
A -> B ve B -> A
A'nın toplamı, paket kaybı oluşmadan önce ağ hızını aşmayacaktır. Bunun nedeni, paketleri kopyalamak için fiziksel olarak yer olmamasıdır. Port yansıtma, birçok anahtar tarafından (ancak hepsi değil) gerçekleştirilebildiği için harika bir tekniktir; çünkü çoğu anahtarın dezavantajı, %50'nin üzerinde yüke sahip bir bağlantıyı izlerseniz veya portları daha hızlı bir porta yansıtırsanız (örneğin 100 Mbit portları 1 Gbit porta yansıtmak gibi) paket kaybı yaşamanızdır. Paket yansıtmanın, anahtarların kaynaklarını değiştirmeyi gerektirebileceğini ve bunun da cihaza yük bindirerek değişim performansının düşmesine neden olabileceğini de unutmamak gerekir. 1 portu bir porta veya 1 VLAN'ı bir porta bağlayabilirsiniz, ancak genellikle birçok portu 1 porta kopyalayamazsınız. (Paket yansıtma gibi) bu da eksiktir.
Bir Ağ TAP'ı (Terminal Erişim Noktası)Ağ trafiğini pasif olarak yakalayabilen, tamamen pasif bir donanım cihazıdır. Genellikle ağdaki iki nokta arasındaki trafiği izlemek için kullanılır. Bu iki nokta arasındaki ağ fiziksel bir kablodan oluşuyorsa, ağ trafiğini yakalamanın en iyi yolu bir ağ TAP cihazı olabilir.
Ağ TAP cihazının en az üç portu vardır: bir A portu, bir B portu ve bir izleme portu. A ve B noktaları arasına bir TAP cihazı yerleştirmek için, A ve B noktaları arasındaki ağ kablosu, biri TAP cihazının A portuna, diğeri TAP cihazının B portuna giden bir çift kabloyla değiştirilir. TAP cihazı, iki ağ noktası arasındaki tüm trafiği iletir, böylece noktalar birbirine bağlı kalır. TAP cihazı ayrıca trafiği izleme portuna kopyalar, böylece bir analiz cihazının dinlemesini sağlar.
Ağ TAP'leri, APS gibi izleme ve veri toplama cihazları tarafından yaygın olarak kullanılır. TAP'ler ayrıca güvenlik uygulamalarında da kullanılabilir çünkü müdahale gerektirmezler, ağda tespit edilemezler, çift yönlü ve paylaşımsız ağlarla başa çıkabilirler ve genellikle TAP çalışmayı durdursa veya güç kaybına uğrasa bile trafiği iletirler.
Ağ izleme portları yalnızca alım yapar, alım yapmaz; bu nedenle switch, portların arkasında kimin olduğunu bilemez. Sonuç olarak, paketleri tüm portlara yayınlar. Bu nedenle, izleme cihazınızı switch'e bağlarsanız, bu cihaz tüm paketleri alacaktır. Bu mekanizmanın, izleme cihazı switch'e herhangi bir paket göndermediği takdirde çalıştığını unutmayın; aksi takdirde switch, izlenen paketlerin bu cihaz için olmadığını varsayacaktır. Bunu sağlamak için, TX kablolarını bağlamadığınız bir ağ kablosu kullanabilir veya hiç paket iletmeyen IP'siz (ve DHCP'siz) bir ağ arayüzü kullanabilirsiniz. Son olarak, paket kaybını önlemek için bir izleme portu kullanmak istiyorsanız, yönleri birleştirmeyin veya izlenen yönlerin birleştirme portundan (örneğin 1 Gbit) daha yavaş (örneğin 100 Mbit) olduğu bir switch kullanın.
Peki, Ağ Trafiği Nasıl Yakalanır? Ağ Tap'leri ve Anahtar Portları Karşılaştırması
1- Kolay yapılandırma: Ağ Bağlantı Noktası > Bağlantı Noktası Yansıtma
2- Ağ Performansı Etkisi: Ağ Bağlantı Noktası < Bağlantı Noktası Yansıtma
3- Yakalama, Çoğaltma, Birleştirme, İletme Yeteneği: Ağ Erişim Noktası > Bağlantı Noktası Yansıtma
4- Trafik Yönlendirme Gecikmesi: Ağ Bağlantı Noktası < Bağlantı Noktası Yansıtma
5- Trafik Ön İşleme Kapasitesi: Ağ Erişim Noktası > Bağlantı Noktası Yansıtma
Yayın tarihi: 30 Mart 2022
