För att övervaka nätverkstrafik, såsom analys av beteende online för användare, övervakning av onormal trafik och övervakning av nätverksprogram, måste du samla in nätverkstrafik. Att fånga nätverkstrafik kan vara felaktigt. Faktum är att du måste kopiera den aktuella nätverkstrafiken och skicka den till övervakningsenheten. Nätverksdelare, även känd som Network TAP. Den gör bara det här jobbet. Låt oss ta en titt på definitionen av Network TAP:
I. En nätverkskran är en hårdvaruenhet som tillhandahåller ett sätt att komma åt data som flödar över ett datornätverk.(från wikipedia)
II. ANätverk Tryck, även känd som en teståtkomstport, är en hårdvaruenhet som ansluts direkt till en nätverkskabel och skickar en del av nätverkskommunikation till andra enheter. Nätverksdelare används ofta i nätverksintrångsdetekteringssystem (IPS), nätverksdetektorer och profilerare. Replikering av kommunikation till nätverksenheter görs nu vanligtvis genom en switching-portanalysator (span port), även känd som portspegling vid nätverksväxling.
III. Nätverkskranar används för att skapa permanenta åtkomstportar för passiv övervakning. En kran, eller Test Access Port, kan ställas in mellan två valfria nätverksenheter, såsom switchar, routrar och brandväggar. Den kan fungera som en åtkomstport för övervakningsenhet som används för att samla in in-line-data, inklusive intrångsdetekteringssystem, intrångsskyddssystem som används i passivt läge, protokollanalysatorer och fjärrövervakningsverktyg. (från NetOptics).
Från ovanstående tre definitioner kan vi i princip dra flera egenskaper hos Network TAP: hårdvara, inline, transparent
Här är en titt på dessa funktioner:
1. Det är en oberoende hårdvara, och på grund av detta har den ingen inverkan på belastningen av befintliga nätverksenheter, vilket har stora fördelar jämfört med portspegling
2. Det är en in-line enhet. Enkelt uttryckt måste den vara ansluten till nätverket, vilket kan förstås. Detta har dock också nackdelen att det introducerar en felpunkt, och eftersom det är en onlineenhet måste det nuvarande nätverket avbrytas vid driftsättning, beroende på var det är utplacerat.
3. Transparent hänvisar till pekaren till det aktuella nätverket. Åtkomstnätverk efter shunt, det nuvarande nätverket för all utrustning, har ingen effekt, för dem är helt transparenta, naturligtvis, det innehåller också nätverksshunt skicka trafik för att övervaka utrustning, övervakningsenheten för nätverk är transparent, det är som om du är i en ny tillgång till ett nytt eluttag, för andra befintliga apparater, händer ingenting, inklusive när du äntligen tar bort apparaten och plötsligt kommer ihåg dikten "Vifta med ärmen och inte ett moln"......
Många är bekanta med portspegling. Ja, portspegling kan också uppnå samma effekt. Här är en jämförelse mellan Network Taps/Diverters och Port Mirroring:
1. Eftersom porten på switchen själv kommer att filtrera vissa felpaket och paket med för liten storlek, kan portspegling inte garantera att all trafik kan erhållas. Shuntern säkerställer dock dataintegriteten eftersom den är helt "kopierad" på det fysiska lagret
2. När det gäller realtidsprestanda, på vissa low-end-switchar, kan portspegling införa förseningar när den kopierar trafik till speglingsportar, och den introducerar också fördröjningar när den kopierar 10/100m portar till GIGA-portar
3. Portspegling kräver att bandbredden för en speglad port är större än eller lika med summan av bandbredderna för alla speglade portar. Detta krav kan dock inte uppfyllas av alla switchar
4. Portspegling måste konfigureras på switchen. När områdena som ska övervakas behöver justeras måste omkopplaren konfigureras om.
Posttid: 2022-05-05