For å overvåke nettverkstrafikk, for eksempel analyse av brukeradferd på nett, unormal trafikkovervåking og nettverksapplikasjonsovervåking, må du samle nettverkstrafikk. Registrering av nettverkstrafikk kan være unøyaktig. Faktisk må du kopiere gjeldende nettverkstrafikk og sende den til overvåkingsenheten. Nettverksdeler, også kjent som Network TAP. Den gjør bare denne jobben. La oss ta en titt på definisjonen av Network TAP:
I. En Network Tap er en maskinvareenhet som gir tilgang til data som flyter over et datanettverk.(fra wikipedia)
II. ENNettverk Trykk, også kjent som en testtilgangsport, er en maskinvareenhet som kobles direkte til en nettverkskabel og sender et stykke nettverkskommunikasjon til andre enheter. Nettverkssplittere brukes ofte i nettverksinntrengningsdeteksjonssystemer (IPS), nettverksdetektorer og profiler. Replikering av kommunikasjon til nettverksenheter gjøres nå vanligvis gjennom en svitsjingsportanalysator (span port), også kjent som portspeiling i nettverksbytte.
III. Nettverkskraner brukes til å lage permanente tilgangsporter for passiv overvåking. Et trykk, eller Test Access Port, kan settes opp mellom to nettverksenheter, for eksempel brytere, rutere og brannmurer. Den kan fungere som en tilgangsport for overvåkingsenhet som brukes til å samle in-line data, inkludert inntrengningsdeteksjonssystem, inntrengningsforebyggende system utplassert i passiv modus, protokollanalysatorer og fjernovervåkingsverktøy. (fra NetOptics).
Fra de tre ovennevnte definisjonene kan vi i utgangspunktet trekke flere egenskaper ved Network TAP: maskinvare, inline, transparent
Her er en titt på disse funksjonene:
1. Det er en uavhengig maskinvare, og på grunn av dette har den ingen innvirkning på belastningen på eksisterende nettverksenheter, noe som har store fordeler i forhold til portspeiling
2. Det er en in-line enhet. Enkelt sagt, det må være koblet til nettverket, som kan forstås. Dette har imidlertid også den ulempen at det introduserer et feilpunkt, og fordi det er en nettbasert enhet, må det gjeldende nettverket avbrytes ved distribusjonstidspunktet, avhengig av hvor det er distribuert.
3. Transparent refererer til pekeren til gjeldende nettverk. Tilgangsnettverk etter shunt, det nåværende nettverket for alt utstyret, har ingen effekt, for dem er helt gjennomsiktige, selvfølgelig, det inneholder også nettverksshunt sende trafikk for å overvåke utstyr, overvåkingsenheten for nettverket er gjennomsiktig, det er som hvis du er i en ny tilgang til en ny stikkontakt, for andre eksisterende apparater, skjer ingenting, inkludert når du endelig fjerner apparatet og plutselig husker diktet, "Vink med ermet og ikke en sky"......
Mange er kjent med portspeiling. Ja, portspeiling kan også oppnå samme effekt. Her er en sammenligning mellom Network Taps/Diverters og Port Mirroring:
1. Siden porten til selve svitsjen vil filtrere noen feilpakker og pakker med for liten størrelse, kan ikke portspeiling garantere at all trafikk kan oppnås. Shunteren sikrer imidlertid integriteten til data fordi den er fullstendig "kopiert" på det fysiske laget
2. Når det gjelder sanntidsytelse, på enkelte low-end-svitsjer, kan portspeiling introdusere forsinkelser når den kopierer trafikk til speilingsporter, og den introduserer også forsinkelser når den kopierer 10/100m porter til GIGA-porter
3. Portspeiling krever at båndbredden til en speilport er større enn eller lik summen av båndbreddene til alle speilporter. Imidlertid kan dette kravet ikke oppfylles av alle brytere
4. Portspeiling må konfigureres på bryteren. Når områdene som skal overvåkes må justeres, må bryteren konfigureres på nytt.
Innleggstid: Aug-05-2022