Où placer un commutateur de mise en miroir de ports pour la surveillance du réseau domestique

1

Je souhaite commencer à surveiller le trafic entrant et sortant de mon réseau domestique.

Je souhaite collecter des informations telles que l'utilisation de la bande passante et (en particulier) les requêtes HTTP d'ordinateurs domestiques vers des sites Web. D'après mes recherches, nTop semble être un bon candidat pour le poste.

Mon plan était d'installer nTop sur une machine de secours Linux et d'acheminer tout le trafic réseau à travers cette machine. D'après mes recherches, la surveillance est généralement effectuée à l'aide d'un commutateur pouvant effectuer la mise en miroir de ports . Les ordinateurs du réseau local se connectent au commutateur et, lorsque la mise en miroir des ports est configurée, tout le trafic provenant de ces ordinateurs du réseau local peut être mis en miroir sur un port désigné du commutateur auquel ma boîte de surveillance Linux se connecte. Je peux alors recevoir et surveiller ce trafic.


Mon problème est de savoir où placer le commutateur sur le réseau . Notre réseau est configuré comme suit:

Internet --> Modem --> Wireless router --> Wired and wireless computers

Je pouvais placer le commutateur immédiatement en aval du routeur et acheminer toutes les connexions câblées via le commutateur. Je connecterais le boîtier de surveillance au commutateur, puis le commutateur au routeur. Cela ressemblerait à ceci:

Internet --> Modem --> Wireless router --> Switch --> Wired Computers

Le problème est que tous les périphériques sans fil vont toujours aller directement au routeur et contourner mon commutateur . Une autre solution serait la suivante:

Internet --> Modem --> Switch --> Wireless router --> Wired and wireless computers

Cela semble être une bonne solution, mais tout le trafic passant par ce commutateur provient maintenant du routeur qui effectue la traduction d'adresses réseau (NAT).


Puisque le routeur exécute le NAT, cela signifie-t-il que tout le trafic qui atteint le commutateur aura une seule adresse IP (publique) ? Cela rendrait impossible de savoir quel périphérique du réseau effectuait chaque demande HTTP, car leur adresse IP aurait été traduite en une adresse IP unique.

Existe-t-il une solution de contournement permettant de faire passer les deux périphériques câblés / sans fil à travers le commutateur AISANT AUSSI de pouvoir distinguer l'ordinateur qui a envoyé la demande?

Merci

gregnr
la source

Réponses:

1

Votre meilleure solution serait de placer le commutateur entre le routeur et le réseau local et d’obtenir un nouveau WAP pouvant être placé sur le réseau local. Cela vous permettra de surveiller tout le trafic et de voir de quel hôte interne provient ou va le trafic. Dans ce scénario, vous désactivez le Wi-Fi du routeur.

La seule autre solution serait d’obtenir un routeur prenant directement en charge la mise en miroir des ports (par exemple, certains routeurs SonicWALL le font).

Jens Ehrich
la source