За да наблюдавате мрежовия трафик, като например анализ на онлайн поведението на потребителите, наблюдение на необичаен трафик и наблюдение на мрежови приложения, трябва да събирате мрежов трафик. Улавянето на мрежовия трафик може да е неточно. Всъщност трябва да копирате текущия мрежов трафик и да го изпратите на устройството за наблюдение. Мрежов сплитер, известен още като Network TAP. Просто върши тази работа. Нека да разгледаме дефиницията на Network TAP:
I. Мрежовият кран е хардуерно устройство, което осигурява начин за достъп до данните, протичащи през компютърна мрежа. (от wikipedia)
II. АМрежов кран, известен също като тестов порт за достъп, е хардуерно устройство, което се включва директно в мрежов кабел и изпраща част от мрежовата комуникация към други устройства. Мрежовите сплитери обикновено се използват в системи за откриване на проникване в мрежа (IPS), мрежови детектори и профилиращи устройства. Репликирането на комуникация към мрежови устройства сега обикновено се извършва чрез анализатор на превключващи портове (span port), известен също като дублиране на портове в мрежовото превключване.
III. Мрежовите кранове се използват за създаване на портове за постоянен достъп за пасивно наблюдение. Кран или тестов порт за достъп може да бъде настроен между произволни две мрежови устройства, като комутатори, рутери и защитни стени. Той може да функционира като порт за достъп за устройство за наблюдение, използвано за събиране на оперативни данни, включително система за откриване на проникване, система за предотвратяване на проникване, внедрена в пасивен режим, анализатори на протоколи и инструменти за дистанционно наблюдение. (от NetOptics).
От горните три дефиниции можем да извлечем няколко характеристики на Network TAP: хардуер, вграден, прозрачен
Ето един поглед към тези функции:
1. Това е независима част от хардуера и поради това няма никакво влияние върху натоварването на съществуващите мрежови устройства, което има големи предимства пред дублирането на портове
2. Това е вградено устройство. Просто казано, той трябва да бъде свързан към мрежата, което може да се разбере. Това обаче има и недостатъка да въведе точка на повреда и тъй като е онлайн устройство, текущата мрежа трябва да бъде прекъсната по време на разгръщане, в зависимост от това къде е разгърната.
3. Прозрачно се отнася до указателя към текущата мрежа. Мрежи за достъп след шунт, текущата мрежа за цялото оборудване, няма никакъв ефект, за тях е напълно прозрачен, разбира се, съдържа и мрежов шунт за изпращане на трафик за наблюдение на оборудването, устройството за наблюдение на мрежата е прозрачно, то е като ако имате нов достъп до нов електрически контакт, за други съществуващи уреди, Нищо не се случва, включително когато най-накрая премахнете уреда и внезапно си спомните стихотворението „Размахайте ръкава си, а не облак“......
Много хора са запознати с дублирането на портове. Да, дублирането на порт също може да постигне същия ефект. Ето сравнение между мрежови кранове/отклонители и дублиране на портове:
1. Тъй като самият порт на комутатора ще филтрира някои пакети за грешка и пакети с твърде малък размер, отразяването на порт не може да гарантира, че целият трафик може да бъде получен. Шунтерът обаче гарантира целостта на данните, тъй като те са напълно "копирани" на физическия слой
2. По отношение на производителността в реално време, на някои комутатори от нисък клас, дублирането на портове може да въведе закъснения, когато копира трафик към огледални портове, и също така въвежда закъснения, когато копира 10/100m портове към GIGA портове
3. Дублирането на портове изисква честотната лента на огледален порт да бъде по-голяма или равна на сумата от честотните ленти на всички огледални портове. Това изискване обаче може да не бъде изпълнено от всички комутатори
4. Дублирането на портове трябва да бъде конфигурирано на комутатора. След като зоните, които ще се наблюдават, трябва да бъдат коригирани, превключвателят трябва да бъде преконфигуриран.
Време на публикуване: 5 август 2022 г