Để giám sát lưu lượng mạng, chẳng hạn như phân tích hành vi trực tuyến của người dùng, giám sát lưu lượng bất thường và giám sát ứng dụng mạng, bạn cần thu thập lưu lượng mạng. Việc nắm bắt lưu lượng truy cập mạng có thể không chính xác. Trên thực tế, bạn cần sao chép lưu lượng mạng hiện tại và gửi đến thiết bị giám sát. Bộ chia mạng hay còn gọi là Network TAP. Nó chỉ làm công việc này. Chúng ta cùng xem định nghĩa của Network TAP:
I. Network Tap là một thiết bị phần cứng cung cấp cách truy cập dữ liệu truyền qua mạng máy tính. (từ wikipedia)
II. MỘTNhấn vào mạng, còn được gọi là Cổng truy cập thử nghiệm, là một thiết bị phần cứng cắm trực tiếp vào cáp Mạng và gửi một phần giao tiếp Mạng đến các thiết bị khác. Bộ chia mạng thường được sử dụng trong các hệ thống phát hiện xâm nhập mạng (IPS), bộ phát hiện mạng và trình phân tích hồ sơ. Việc sao chép giao tiếp đến các thiết bị mạng hiện nay thường được thực hiện thông qua bộ phân tích cổng chuyển mạch (cổng span), còn được gọi là phản chiếu cổng trong chuyển mạch mạng.
III. Network Taps được sử dụng để tạo các cổng truy cập cố định để giám sát thụ động. Một vòi hoặc Cổng truy cập thử nghiệm có thể được thiết lập giữa hai thiết bị mạng bất kỳ, chẳng hạn như bộ chuyển mạch, bộ định tuyến và tường lửa. Nó có thể hoạt động như một cổng truy cập cho thiết bị giám sát được sử dụng để thu thập dữ liệu nội tuyến, bao gồm hệ thống phát hiện xâm nhập, hệ thống ngăn chặn xâm nhập được triển khai ở chế độ thụ động, bộ phân tích giao thức và các công cụ giám sát từ xa. (từ NetOptics).
Từ ba định nghĩa trên, về cơ bản chúng ta có thể rút ra một số đặc điểm của Network TAP: phần cứng, nội tuyến, minh bạch
Dưới đây là một cái nhìn về các tính năng này:
1. Đây là một phần cứng độc lập và do đó, nó không có bất kỳ tác động nào đến tải của các thiết bị mạng hiện có, điều này có lợi thế lớn so với việc phản chiếu cổng
2. Đây là một thiết bị nội tuyến. Nói một cách đơn giản là nó cần phải được kết nối với mạng, điều này có thể hiểu được. Tuy nhiên, điều này cũng có nhược điểm là gây ra điểm lỗi và vì là thiết bị trực tuyến nên mạng hiện tại cần bị gián đoạn tại thời điểm triển khai, tùy thuộc vào nơi nó được triển khai.
3. Minh bạch đề cập đến con trỏ tới mạng hiện tại. Mạng truy cập sau shunt, mạng hiện tại cho tất cả các thiết bị, không có bất kỳ ảnh hưởng nào, vì chúng hoàn toàn trong suốt, tất nhiên, nó cũng chứa lưu lượng gửi shunt mạng để giám sát thiết bị, thiết bị giám sát cho mạng là trong suốt, giống như nếu bạn đang sử dụng một ổ cắm điện mới, đối với các thiết bị hiện có khác, Sẽ không có gì xảy ra, kể cả khi cuối cùng bạn tháo thiết bị ra và chợt nhớ đến bài thơ, "Hãy vẫy tay áo chứ không phải một đám mây"......
Nhiều người đã quen với việc phản chiếu cổng. Có, phản chiếu cổng cũng có thể đạt được hiệu quả tương tự. Dưới đây là so sánh giữa Vòi/Bộ chuyển hướng mạng và Phản chiếu cổng:
1. Vì bản thân cổng của bộ chuyển mạch sẽ lọc một số gói lỗi và gói có kích thước quá nhỏ nên việc phản chiếu cổng không thể đảm bảo rằng có thể nhận được tất cả lưu lượng truy cập. Tuy nhiên, shunter đảm bảo tính toàn vẹn của dữ liệu vì nó được “sao chép” hoàn toàn ở lớp vật lý
2. Về hiệu suất thời gian thực, trên một số thiết bị chuyển mạch cấp thấp, việc phản chiếu cổng có thể gây ra độ trễ khi sao chép lưu lượng truy cập sang các cổng phản chiếu và nó cũng gây ra độ trễ khi sao chép các cổng 10/100m sang cổng GIGA
3. Phản chiếu cổng yêu cầu băng thông của cổng được phản chiếu phải lớn hơn hoặc bằng tổng băng thông của tất cả các cổng được phản chiếu. Tuy nhiên, yêu cầu này có thể không được đáp ứng bởi tất cả các thiết bị chuyển mạch.
4. Cần cấu hình tính năng phản chiếu cổng trên switch. Khi các khu vực cần giám sát cần được điều chỉnh, công tắc cần được cấu hình lại.
Thời gian đăng: 05-08-2022