Aby monitorować ruch sieciowy, taki jak analiza zachowań użytkowników online, monitorowanie nieprawidłowego ruchu i monitorowanie aplikacji sieciowych, musisz zbierać ruch sieciowy. Przechwytywanie ruchu sieciowego może być niedokładne. W rzeczywistości musisz skopiować bieżący ruch sieciowy i wysłać go do urządzenia monitorującego. Rozdzielacz sieciowy, znany również jako Network TAP. Wykonuje on właśnie tę pracę. Przyjrzyjmy się definicji Network TAP:
I. Network Tap to urządzenie sprzętowe umożliwiające dostęp do danych przesyłanych przez sieć komputerową. (źródło: Wikipedia)
II.ADotknij sieci, znany również jako Test Access Port, to urządzenie sprzętowe, które podłącza się bezpośrednio do kabla sieciowego i wysyła część komunikacji sieciowej do innych urządzeń. Rozdzielacze sieciowe są powszechnie stosowane w systemach wykrywania włamań do sieci (IPS), detektorach sieciowych i profilerach. Replikacja komunikacji do urządzeń sieciowych jest obecnie zwykle wykonywana za pomocą analizatora portu przełączającego (portu rozpiętego), znanego również jako port mirroring w przełączaniu sieciowym.
III. Network Taps służą do tworzenia stałych portów dostępu do pasywnego monitorowania. Tap, czyli Test Access Port, można skonfigurować między dowolnymi dwoma urządzeniami sieciowymi, takimi jak przełączniki, routery i zapory sieciowe. Może on działać jako port dostępu do urządzenia monitorującego używanego do zbierania danych inline, w tym systemu wykrywania włamań, systemu zapobiegania włamaniom wdrożonego w trybie pasywnym, analizatorów protokołów i narzędzi do zdalnego monitorowania. (z NetOptics).
Z powyższych trzech definicji możemy zasadniczo wywnioskować kilka cech Network TAP: sprzętowy, inline, transparentny
Oto przegląd tych funkcji:
1. Jest to niezależny element sprzętowy, dzięki czemu nie ma żadnego wpływu na obciążenie istniejących urządzeń sieciowych, co daje duże korzyści w porównaniu z dublowaniem portów.
2. Jest to urządzenie in-line. Mówiąc prościej, musi być podłączone do sieci, co jest zrozumiałe. Ma to jednak również wadę wprowadzania punktu awarii, a ponieważ jest to urządzenie online, bieżąca sieć musi zostać przerwana w momencie wdrożenia, w zależności od tego, gdzie jest wdrażana.
3. Przezroczysty odnosi się do wskaźnika do bieżącej sieci. Sieci dostępowe po bocznikowaniu, bieżąca sieć dla wszystkich urządzeń, nie ma żadnego efektu, dla nich jest całkowicie przezroczysty, oczywiście, zawiera również bocznik sieciowy wysyłający ruch do monitorowanego sprzętu, urządzenie monitorujące dla sieci jest przezroczyste, jest tak, jakbyś był w nowym dostępie do nowego gniazdka elektrycznego, dla innych istniejących urządzeń, nic się nie dzieje, w tym, gdy w końcu wyjmiesz urządzenie i nagle przypomnisz sobie wiersz, „Pomachaj rękawem, a nie chmurą”......
Wiele osób zna port mirroring. Tak, port mirroring może również osiągnąć ten sam efekt. Oto porównanie Network Taps/Diverters i Port Mirroring:
1. Ponieważ port samego przełącznika będzie filtrował niektóre pakiety błędów i pakiety o zbyt małym rozmiarze, dublowanie portów nie może zagwarantować, że cały ruch zostanie uzyskany. Jednak shunter zapewnia integralność danych, ponieważ są one całkowicie „kopiowane” na warstwie fizycznej
2. W przypadku wydajności w czasie rzeczywistym, na niektórych przełącznikach niskiej klasy, dublowanie portów może powodować opóźnienia podczas kopiowania ruchu do portów lustrzanych, a także powoduje opóźnienia podczas kopiowania portów 10/100 m do portów GIGA
3. Mirroring portów wymaga, aby przepustowość zdublowanego portu była większa lub równa sumie przepustowości wszystkich zdublowanych portów. Jednak ten wymóg może nie być spełniony przez wszystkie przełączniki.
4. Port mirroring musi zostać skonfigurowany na przełączniku. Gdy obszary, które mają być monitorowane, muszą zostać dostosowane, przełącznik musi zostać ponownie skonfigurowany.
Czas publikacji: 05-08-2022
