Como capturar o tráfego de rede? Espelho portuário contra a torneira da rede
A fim analisar o tráfego de rede, é necessário enviar o pacote da rede a NTOP/NPROBE.There é duas soluções a este problema:
Espelhar do porto (igualmente conhecido como o PERÍODO)
Torneira da rede (igualmente conhecida como a torneira da replicação, a torneira da agregação, a torneira ativa, a torneira de cobre, a torneira dos ethernet, etc.)
Antes de explicar as diferenças entre as duas soluções (o espelho e a torneira portuários da rede), é importante compreender como o ethernet trabalha. Em 100Mbit e acima, os anfitriões falam geralmente no duplex completo, significando que um anfitrião pode enviar (Tx) e receber (Rx) simultaneamente. Isto significa aquele em um cabo conectado a um anfitrião, a quantidade total de 100 Mbit do tráfego de rede que um anfitrião pode enviar/receber (Tx/Rx)) é 2 o × 100 Mbit = 200 Mbit.
Espelhar portuário é replicação ativa do pacote, assim que significa que o dispositivo da rede é fisicamente responsável para copiar o pacote ao porto espelhado.
Isto significa que o dispositivo deve executar esta tarefa usando algum recurso (tal como o processador central), e ambos os sentidos de tráfego replicated ao mesmo porto. As mencionou mais cedo, em um completo - a relação frente e verso, esta significa aquela
A- >; B e B - > A;
A soma de A não excederá a velocidade da rede antes que a perda do pacote ocorra. Isto é porque não há fisicamente nenhum espaço para copiar pacotes. Despeja que espelhar portuário é uma grande técnica porque pode ser executado por muitos interruptores (mas não toda), porque a maioria dos interruptores com o inconveniente da perda do pacote, se você monitora uma relação com sobre carga de 50%, ou espelham os portos em um porto mais rápido (por exemplo espelhe 100 portos de Mbit em um 1 porto de Gbit). Menção de Notto que espelhar do pacote pode exigir a troca dos recursos dos interruptores, que podem carregar o dispositivo e o desempenho da troca da causa para degradar. Note que você pode conectar 1 porto a um porto, ou 1 VLAN a um porto, mas você geralmente não pode copiar muitos portos a 1. (de modo ao espelho do pacote) está faltando.
Uma TORNEIRA da rede (ponto de acesso terminal) é um dispositivo de hardware inteiramente passivo que possa passivamente capturar o tráfego em uma rede. É de uso geral monitorar o tráfego entre dois pontos na rede. Se a rede entre estes dois pontos consiste em um cabo físico, uma TORNEIRA da rede pode ser a melhor maneira de capturar o tráfego.
A TORNEIRA da rede tem pelo menos três portos: um porto de A, um porto de B, e um porto do monitor. Para colocar uma torneira entre os pontos A e B, o cabo da rede entre o ponto A e o ponto B é substituído com um par de cabos, um que vai ao porto do A da TORNEIRA, outro que vai ao porto do B da TORNEIRA. A TORNEIRA passa todo o tráfego entre os dois pontos da rede, assim que são conectados ainda entre si. A TORNEIRA igualmente copia o tráfego a seu porto do monitor, assim permitindo um dispositivo da análise de escutar.
As torneiras da rede são de uso geral por dispositivos da monitoração e da coleção tais como APS. As torneiras podem igualmente ser usadas em aplicações da segurança porque são não-importunas, não são detectáveis na rede, podem tratar as redes completo-frente e verso e não-compartilhadas, e geralmente passagem-através do tráfego mesmo se a torneira para de trabalhar ou perde o poder.
Porque os portos das torneiras da rede não recebem mas transmitem somente, o interruptor não tem nenhum indício que se está sentando atrás dos portos. A consequência é que transmitiu os pacotes a todos os portos. Assim se você conecta seu dispositivo de monitoração ao interruptor, tal dispositivo receberá todos os pacotes. Note que este mecanismo trabalha se o dispositivo de monitoração não envia nenhum pacote ao interruptor, se não o interruptor suporá que os pacotes batidos não são para tal dispositivo. A fim conseguir aquele, você pode tampouco usar um cabo da rede em que você não conectou os fios de TX, ou usa uma interface de rede IP-menos (e DHCP-menos) que não transmita pacotes de todo. Note finalmente que se você quer usar uma torneira para não afrouxar pacotes, a seguir não funda sentidos nem não use um interruptor onde os sentidos batidos sejam mais lentos (por exemplo 100 Mbit) que o porto da fusão (por exemplo 1 Gbit).
