Для моніторингу мережевого трафіку, такого як аналіз поведінки користувачів в Інтернеті, моніторинг аномального трафіку та моніторинг мережевих програм, вам потрібно збирати мережевий трафік. Захоплення мережевого трафіку може бути неточним. Фактично, вам потрібно скопіювати поточний мережевий трафік та надіслати його на пристрій моніторингу. Мережевий розгалужувач, також відомий як Мережевий TAP. Він саме виконує цю роботу. Давайте розглянемо визначення Мережевого TAP:
I. Мережевий відгалуження (Tip) – це апаратний пристрій, який забезпечує спосіб доступу до даних, що передаються через комп'ютерну мережу (з Вікіпедії).
II. АМережевий відвідний канал, також відомий як тестовий порт доступу, – це апаратний пристрій, який підключається безпосередньо до мережевого кабелю та надсилає фрагмент мережевого зв'язку на інші пристрої. Мережеві розгалужувачі зазвичай використовуються в системах виявлення вторгнень у мережу (IPS), мережевих детекторах та профайлерах. Реплікація зв'язку з мережевими пристроями зараз зазвичай здійснюється за допомогою аналізатора комутаційних портів (span-порт), також відомого як дзеркалювання портів у мережевій комутації.
III. Мережеві відгалуження використовуються для створення постійних портів доступу для пасивного моніторингу. Відгалуження, або тестовий порт доступу, може бути налаштоване між будь-якими двома мережевими пристроями, такими як комутатори, маршрутизатори та брандмауери. Він може функціонувати як порт доступу для пристроїв моніторингу, що використовуються для збору даних в мережі, включаючи систему виявлення вторгнень, систему запобігання вторгненням, розгорнуту в пасивному режимі, аналізатори протоколів та інструменти віддаленого моніторингу. (від NetOptics).
З наведених вище трьох визначень ми можемо вивести кілька основних характеристик Network TAP: апаратний, вбудований, прозорий.
Ось огляд цих функцій:
1. Це незалежний апаратний компонент, і завдяки цьому він не впливає на навантаження існуючих мережевих пристроїв, що має великі переваги перед дзеркалюванням портів.
2. Це вбудований пристрій. Простіше кажучи, його потрібно підключити до мережі, що можна зрозуміти. Однак це також має недолік, оскільки створює точку відмови, і оскільки це онлайн-пристрій, поточну мережу потрібно переривати під час розгортання, залежно від місця розгортання.
3. Прозорість стосується вказівника на поточну мережу. Мережі доступу після шунта, поточна мережа для всього обладнання, не має жодного впливу, для них це повністю прозоро, звичайно, вона також містить мережевий шунт, що надсилає трафік для обладнання моніторингу, пристрій моніторингу для мережі прозорий, це як якщо б ви перебували в новій розетці, для інших існуючих приладів нічого не відбувається, навіть коли ви нарешті виймаєте прилад і раптом згадуєте вірш: «Рукавом помахайте, а не хмарою»......
Багато людей знайомі з дзеркалюванням портів. Так, дзеркалювання портів також може досягти того ж ефекту. Ось порівняння між мережевими відгалуженнями/перенаправниками та дзеркалюванням портів:
1. Оскільки порт самого комутатора фільтруватиме деякі пакети з помилками та пакети занадто малого розміру, дзеркалювання портів не може гарантувати отримання всього трафіку. Однак шунтер забезпечує цілісність даних, оскільки вони повністю «копіюються» на фізичному рівні.
2. Що стосується продуктивності в режимі реального часу, на деяких низькопродуктивних комутаторах дзеркалювання портів може спричиняти затримки під час копіювання трафіку на дзеркальні порти, а також спричиняє затримки під час копіювання портів 10/100m на порти GIGA.
3. Для дзеркалювання портів пропускна здатність дзеркального порту має бути більшою або рівною сумі пропускних здатністей усіх дзеркальних портів. Однак ця вимога може виконуватися не всіма комутаторами.
4. На комутаторі потрібно налаштувати дзеркалювання портів. Після того, як області моніторингу потрібно налаштувати, комутатор потрібно переналаштувати.
Час публікації: 05 серпня 2022 р.
