За да наблюдавате мрежовия трафик, като например анализ на поведението на потребителите онлайн, наблюдение на анормален трафик и наблюдение на мрежови приложения, е необходимо да събирате мрежов трафик. Заснемането на мрежовия трафик може да е неточно. Всъщност, трябва да копирате текущия мрежов трафик и да го изпратите към устройството за наблюдение. Мрежов сплитер, известен още като Network TAP. Той просто върши тази работа. Нека разгледаме определението за Network TAP:
I. Мрежовият разпределител (Network Tap) е хардуерно устройство, което осигурява достъп до данните, преминаващи през компютърна мрежа (от Уикипедия).
II. АМрежов кран, известен още като тестов порт за достъп, е хардуерно устройство, което се включва директно в мрежов кабел и изпраща част от мрежовата комуникация към други устройства. Мрежовите разделители обикновено се използват в системи за откриване на проникване в мрежата (IPS), мрежови детектори и профилери. Репликирането на комуникацията към мрежови устройства обикновено се извършва чрез анализатор на комутационни портове (span port), известен още като огледално портове в мрежовата комутация.
III. Мрежовите разклонители (Taps) се използват за създаване на постоянни портове за достъп за пасивно наблюдение. Разклонител (Tap), или тестов порт за достъп (Test Access Port), може да бъде настроен между всякакви две мрежови устройства, като например комутатори, рутери и защитни стени (firewalls). Той може да функционира като порт за достъп за устройство за наблюдение, използвано за събиране на данни, включително система за откриване на прониквания (Intrusion Detection System), система за предотвратяване на прониквания (Intrusion Prevention System), разположена в пасивен режим, анализатори на протоколи и инструменти за дистанционно наблюдение (от NetOptics).
От горните три дефиниции можем да изведем няколко основни характеристики на Network TAP: хардуер, вграден, прозрачен
Ето един поглед към тези характеристики:
1. Това е независим хардуер и поради това не оказва никакво влияние върху натоварването на съществуващите мрежови устройства, което има големи предимства пред огледалното портиране.
2. Това е вградено устройство. Казано по-просто, то трябва да бъде свързано към мрежата, което е разбираемо. Това обаче има и недостатъка да въведе точка на отказ и тъй като е онлайн устройство, текущата мрежа трябва да бъде прекъсната по време на внедряването, в зависимост от това къде е разположено.
3. Прозрачността се отнася до показалеца към текущата мрежа. Мрежите за достъп след шунтиране, текущата мрежа за цялото оборудване, няма никакъв ефект, за тях е напълно прозрачна, разбира се, тя също така съдържа мрежовия шунт, изпращащ трафик към оборудване за наблюдение, устройството за наблюдение на мрежата е прозрачно, все едно сте в нов достъп до нов електрически контакт, за други съществуващи уреди нищо не се случва, дори когато най-накрая извадите уреда и изведнъж си спомните стихотворението „Размахайте ръкава си, а не облак“......
Много хора са запознати с огледалното отразяване на портове. Да, огледалното отразяване на портове може да постигне същия ефект. Ето сравнение между мрежови разклонители/пренасочватели и огледално отразяване на портове:
1. Тъй като самият порт на комутатора ще филтрира някои пакети с грешки и пакети с твърде малък размер, огледалното преобразуване на портове не може да гарантира, че целият трафик може да бъде получен. Въпреки това, шънтърът гарантира целостта на данните, защото те са напълно „копирани“ на физическия слой.
2. По отношение на производителността в реално време, при някои комутатори от нисък клас, огледалното копиране на портове може да доведе до забавяния при копиране на трафик към огледални портове, а също така води до забавяния при копиране на 10/100m портове към GIGA портове.
3. Огледалното портове изисква пропускателната способност на огледалния порт да е по-голяма или равна на сумата от пропускателните честоти на всички огледални портове. Това изискване обаче може да не бъде изпълнено от всички комутатори.
4. Трябва да се конфигурира огледалното отразяване на портовете на комутатора. След като областите, които ще се наблюдават, трябва да се коригират, комутаторът трябва да се преконфигурира.
Време на публикуване: 05.08.2022 г.
