För att övervaka nätverkstrafik, såsom analys av användarnas onlinebeteende, övervakning av onormal trafik och övervakning av nätverksapplikationer, måste du samla in nätverkstrafik. Att registrera nätverkstrafik kan vara felaktigt. Faktum är att du måste kopiera den aktuella nätverkstrafiken och skicka den till övervakningsenheten. Nätverksdelare, även känd som Network TAP, gör just detta jobb. Låt oss ta en titt på definitionen av Network TAP:
I. En nätverksavtappning är en hårdvaruenhet som ger ett sätt att komma åt data som flödar över ett datornätverk. (från Wikipedia)
II. ANätverkstryck, även känd som en teståtkomstport, är en hårdvaruenhet som ansluts direkt till en nätverkskabel och skickar en bit nätverkskommunikation till andra enheter. Nätverksdelare används ofta i nätverksintrångsdetekteringssystem (IPS), nätverksdetektorer och profilerare. Replikering av kommunikation till nätverksenheter görs nu vanligtvis via en switching port analysator (span port), även känd som portspegling i nätverksväxling.
III. Nätverksuttag används för att skapa permanenta åtkomstportar för passiv övervakning. En uttag, eller teståtkomstport, kan konfigureras mellan två nätverksenheter, såsom switchar, routrar och brandväggar. Den kan fungera som en åtkomstport för övervakningsenheter som används för att samla in data i nätet, inklusive intrångsdetekteringssystem, intrångsskyddssystem som används i passivt läge, protokollanalysatorer och fjärrövervakningsverktyg. (från NetOptics).
Från ovanstående tre definitioner kan vi i princip dra flera egenskaper hos Network TAP: hårdvara, inline, transparent
Här är en titt på dessa funktioner:
1. Det är en oberoende hårdvara, och på grund av detta har den ingen inverkan på belastningen på befintliga nätverksenheter, vilket har stora fördelar jämfört med portspegling.
2. Det är en inline-enhet. Enkelt uttryckt måste den vara ansluten till nätverket, vilket är förståeligt. Detta har dock också nackdelen att det introducerar en felpunkt, och eftersom det är en online-enhet måste det aktuella nätverket avbrytas vid driftsättningstillfället, beroende på var den driftsätts.
3. Transparent hänvisar till pekaren till det aktuella nätverket. Åtkomstnätverk efter shunt, det aktuella nätverket för all utrustning, har ingen effekt, för dem är helt transparent, naturligtvis innehåller den också nätverksshunten som skickar trafik till övervakningsutrustning, övervakningsenheten för nätverket är transparent, det är som om du har tillgång till ett nytt eluttag, för andra befintliga apparater händer ingenting, inklusive när du äntligen tar bort apparaten och plötsligt kommer ihåg dikten "Vifta med ärmen och inte ett moln"......
Många känner till portspegling. Ja, portspegling kan också uppnå samma effekt. Här är en jämförelse mellan nätverksavkopplingar/omkopplare och portspegling:
1. Eftersom själva switchens port filtrerar bort vissa felpaket och paket med för liten storlek, kan portspegling inte garantera att all trafik kan hämtas. Shuntern säkerställer dock dataintegriteten eftersom den är helt "kopierad" på det fysiska lagret.
2. När det gäller realtidsprestanda kan portspegling på vissa enklare switchar orsaka fördröjningar när trafik kopieras till speglande portar, och det orsakar även fördröjningar när 10/100m-portar kopieras till GIGA-portar.
3. Portspegling kräver att bandbredden för en speglad port är större än eller lika med summan av bandbredderna för alla speglade portar. Detta krav kanske dock inte uppfylls av alla switchar.
4. Portspegling måste konfigureras på switchen. När de områden som ska övervakas behöver justeras måste switchen konfigureras om.
Publiceringstid: 5 augusti 2022
