Để giám sát lưu lượng mạng, chẳng hạn như phân tích hành vi trực tuyến của người dùng, giám sát lưu lượng bất thường và giám sát ứng dụng mạng, bạn cần thu thập lưu lượng mạng. Việc thu thập lưu lượng mạng có thể không chính xác. Trên thực tế, bạn cần sao chép lưu lượng mạng hiện tại và gửi đến thiết bị giám sát. Bộ chia mạng, còn được gọi là Network TAP. Nó chỉ thực hiện công việc này. Hãy cùng xem định nghĩa của Network TAP:
I. Network Tap là một thiết bị phần cứng cung cấp cách truy cập dữ liệu chạy qua mạng máy tính. (theo wikipedia)
II. MộtMạng Tap, còn được gọi là Cổng Truy cập Kiểm tra, là một thiết bị phần cứng cắm trực tiếp vào cáp mạng và gửi một phần giao tiếp mạng đến các thiết bị khác. Bộ chia mạng thường được sử dụng trong các hệ thống phát hiện xâm nhập mạng (IPS), bộ phát hiện mạng và bộ phân tích cấu hình. Việc sao chép giao tiếp đến các thiết bị mạng hiện nay thường được thực hiện thông qua bộ phân tích cổng chuyển mạch (span port), còn được gọi là phản chiếu cổng trong chuyển mạch mạng.
III. Network Tap được sử dụng để tạo các cổng truy cập cố định cho mục đích giám sát thụ động. Một Tap, hay còn gọi là Cổng Truy cập Thử nghiệm, có thể được thiết lập giữa bất kỳ hai thiết bị mạng nào, chẳng hạn như bộ chuyển mạch, bộ định tuyến và tường lửa. Nó có thể hoạt động như một cổng truy cập cho các thiết bị giám sát được sử dụng để thu thập dữ liệu nội tuyến, bao gồm hệ thống phát hiện xâm nhập, hệ thống phòng chống xâm nhập được triển khai ở chế độ thụ động, bộ phân tích giao thức và các công cụ giám sát từ xa. (từ NetOptics).
Từ ba định nghĩa trên, về cơ bản chúng ta có thể rút ra một số đặc điểm của Network TAP: phần cứng, nội tuyến, trong suốt
Sau đây là cái nhìn tổng quan về những tính năng này:
1. Đây là một phần cứng độc lập và do đó, nó không ảnh hưởng đến tải của các thiết bị mạng hiện có, có nhiều ưu điểm hơn so với phản chiếu cổng
2. Đây là một thiết bị nội tuyến. Nói một cách đơn giản, nó cần được kết nối với mạng, điều này có thể hiểu được. Tuy nhiên, điều này cũng có nhược điểm là tạo ra điểm lỗi, và vì là thiết bị trực tuyến, mạng hiện tại cần phải bị ngắt khi triển khai, tùy thuộc vào nơi triển khai.
3. Trong suốt đề cập đến con trỏ đến mạng hiện tại. Mạng truy cập sau khi shunt, mạng hiện tại của tất cả các thiết bị không có bất kỳ tác dụng nào, đối với chúng hoàn toàn trong suốt, tất nhiên, nó cũng chứa lưu lượng shunt mạng gửi đến thiết bị giám sát. Thiết bị giám sát mạng là trong suốt, giống như bạn đang truy cập vào một ổ cắm điện mới, đối với các thiết bị hiện có khác, không có gì xảy ra, kể cả khi bạn cuối cùng tháo thiết bị ra và đột nhiên nhớ đến bài thơ "Vẫy tay áo chứ không phải mây"...
Nhiều người đã quen thuộc với việc phản chiếu cổng. Đúng vậy, phản chiếu cổng cũng có thể đạt được hiệu quả tương tự. Dưới đây là so sánh giữa Network Taps/Diverters và Port Mirroring:
1. Do cổng của bộ chuyển mạch tự nó sẽ lọc một số gói tin lỗi và các gói tin có kích thước quá nhỏ, nên việc phản chiếu cổng không thể đảm bảo rằng tất cả lưu lượng đều được nhận. Tuy nhiên, bộ chuyển mạch shunt đảm bảo tính toàn vẹn của dữ liệu vì nó được "sao chép" hoàn toàn ở lớp vật lý.
2. Về hiệu suất thời gian thực, trên một số thiết bị chuyển mạch cấp thấp, việc phản chiếu cổng có thể gây ra độ trễ khi sao chép lưu lượng vào các cổng phản chiếu và cũng gây ra độ trễ khi sao chép các cổng 10/100m vào các cổng GIGA
3. Phản chiếu cổng yêu cầu băng thông của một cổng được phản chiếu phải lớn hơn hoặc bằng tổng băng thông của tất cả các cổng được phản chiếu. Tuy nhiên, yêu cầu này có thể không được đáp ứng bởi tất cả các thiết bị chuyển mạch.
4. Cần cấu hình phản chiếu cổng trên switch. Sau khi điều chỉnh các khu vực cần giám sát, switch cần được cấu hình lại.
Thời gian đăng: 05-08-2022
