For å overvåke nettverkstrafikk, for eksempel analyse av brukeratferd på nett, overvåking av unormal trafikk og overvåking av nettverksapplikasjoner, må du samle inn nettverkstrafikk. Innsamling av nettverkstrafikk kan være unøyaktig. Faktisk må du kopiere den gjeldende nettverkstrafikken og sende den til overvåkingsenheten. Nettverkssplitter, også kjent som Network TAP, gjør nettopp denne jobben. La oss ta en titt på definisjonen av Network TAP:
I. En nettverkstilkobling er en maskinvareenhet som gir tilgang til data som flyter over et datanettverk. (fra Wikipedia)
II. ANettverkstrykk, også kjent som en testtilgangsport, er en maskinvareenhet som kobles direkte til en nettverkskabel og sender en del nettverkskommunikasjon til andre enheter. Nettverkssplittere brukes ofte i nettverksinntrengingsdeteksjonssystemer (IPS), nettverksdetektorer og profileringssystemer. Replikering av kommunikasjon til nettverksenheter gjøres nå vanligvis gjennom en svitsjeportanalysator (spanport), også kjent som portspeiling i nettverkssvitsjing.
III. Nettverkstilkoblinger brukes til å opprette permanente tilgangsporter for passiv overvåking. En tilkobling, eller testtilgangsport, kan settes opp mellom to nettverksenheter, for eksempel svitsjer, rutere og brannmurer. Den kan fungere som en tilgangsport for overvåkingsenheter som brukes til å samle inn data på linjen, inkludert inntrengingsdeteksjonssystemer, inntrengingsforebyggingssystemer distribuert i passiv modus, protokollanalysatorer og verktøy for fjernovervåking. (fra NetOptics).
Fra de tre definisjonene ovenfor kan vi i utgangspunktet trekke ut flere egenskaper ved Network TAP: maskinvare, innebygd, transparent
Her er en titt på disse funksjonene:
1. Det er en uavhengig maskinvareenhet, og på grunn av dette har den ingen innvirkning på belastningen på eksisterende nettverksenheter, noe som har store fordeler fremfor portspegling.
2. Det er en innebygd enhet. Enkelt sagt må den være koblet til nettverket, noe som er forståelig. Dette har imidlertid også ulempen med å introdusere et feilpunkt, og fordi det er en online-enhet, må det nåværende nettverket avbrytes ved utplassering, avhengig av hvor den er utplassert.
3. Transparent refererer til pekeren til det gjeldende nettverket. Tilgangsnettverk etter shunt, det gjeldende nettverket for alt utstyr, har ingen effekt, for dem er det helt transparent, selvfølgelig inneholder det også nettverksshunten som sender trafikk til overvåkingsutstyr, overvåkingsenheten for nettverket er transparent, det er som om du har tilgang til en ny stikkontakt, for andre eksisterende apparater skjer ingenting, inkludert når du endelig fjerner apparatet og plutselig husker diktet, "Vink med ermet og ikke en sky"......
Mange er kjent med portspeiling. Ja, portspeiling kan også oppnå samme effekt. Her er en sammenligning mellom nettverksavledninger/omdirigerere og portspeiling:
1. Siden porten til svitsjen selv filtrerer noen feilpakker og pakker med for liten størrelse, kan ikke portspegling garantere at all trafikk kan hentes. Shunteren sikrer imidlertid dataintegriteten fordi den er fullstendig "kopiert" på det fysiske laget.
2. Når det gjelder ytelse i sanntid, kan portspeiling på noen lavprissvitsjer føre til forsinkelser når trafikk kopieres til speilingsporter, og det fører også til forsinkelser når 10/100m-porter kopieres til GIGA-porter.
3. Portspeiling krever at båndbredden til en speilet port er større enn eller lik summen av båndbreddene til alle speilede porter. Dette kravet oppfylles imidlertid kanskje ikke av alle svitsjer.
4. Portspeiling må konfigureres på svitsjen. Når områdene som skal overvåkes må justeres, må svitsjen konfigureres på nytt.
Publisert: 05.08.2022
