Để giám sát lưu lượng mạng, chẳng hạn như phân tích hành vi trực tuyến của người dùng, giám sát lưu lượng bất thường và giám sát ứng dụng mạng, bạn cần thu thập lưu lượng mạng. Việc thu thập lưu lượng mạng có thể không chính xác. Trên thực tế, bạn cần sao chép lưu lượng mạng hiện tại và gửi đến thiết bị giám sát. Bộ chia mạng, còn được gọi là Network TAP. Nó chỉ thực hiện công việc này. Chúng ta hãy xem định nghĩa của Network TAP:
I. Network Tap là một thiết bị phần cứng cung cấp một cách để truy cập dữ liệu chạy qua mạng máy tính. (trích từ wikipedia)
II.A.Mạng lưới vòi, còn được gọi là Cổng truy cập thử nghiệm, là thiết bị phần cứng cắm trực tiếp vào cáp mạng và gửi một phần giao tiếp mạng đến các thiết bị khác. Bộ chia mạng thường được sử dụng trong các hệ thống phát hiện xâm nhập mạng (IPS), máy dò mạng và trình tạo hồ sơ. Việc sao chép giao tiếp đến các thiết bị mạng hiện thường được thực hiện thông qua trình phân tích cổng chuyển mạch (span port), còn được gọi là phản chiếu cổng trong chuyển mạch mạng.
III. Network Taps được sử dụng để tạo ra các cổng truy cập cố định cho mục đích giám sát thụ động. Một tap, hay Test Access Port, có thể được thiết lập giữa bất kỳ hai thiết bị mạng nào, chẳng hạn như bộ chuyển mạch, bộ định tuyến và tường lửa. Nó có thể hoạt động như một cổng truy cập cho thiết bị giám sát được sử dụng để thu thập dữ liệu trực tuyến, bao gồm hệ thống phát hiện xâm nhập, hệ thống ngăn chặn xâm nhập được triển khai ở chế độ thụ động, trình phân tích giao thức và công cụ giám sát từ xa. (từ NetOptics).
Từ ba định nghĩa trên, về cơ bản chúng ta có thể rút ra một số đặc điểm của Network TAP: phần cứng, nội tuyến, trong suốt
Sau đây là cái nhìn tổng quan về những tính năng này:
1. Đây là một phần cứng độc lập và vì thế, nó không ảnh hưởng đến tải của các thiết bị mạng hiện có, có nhiều ưu điểm hơn so với phản chiếu cổng
2. Đây là thiết bị trực tuyến. Nói một cách đơn giản, nó cần được kết nối với mạng, điều này có thể hiểu được. Tuy nhiên, điều này cũng có nhược điểm là tạo ra điểm lỗi và vì là thiết bị trực tuyến nên mạng hiện tại cần phải bị ngắt tại thời điểm triển khai, tùy thuộc vào nơi triển khai.
3. Trong suốt đề cập đến con trỏ đến mạng hiện tại. Mạng truy cập sau khi shunt, mạng hiện tại cho tất cả các thiết bị, không có bất kỳ tác dụng nào, đối với chúng là hoàn toàn trong suốt, tất nhiên, nó cũng chứa lưu lượng shunt mạng gửi đến thiết bị giám sát, thiết bị giám sát cho mạng là trong suốt, giống như bạn đang ở trong một truy cập mới đến một ổ cắm điện mới, đối với các thiết bị hiện có khác, Không có gì xảy ra, bao gồm cả khi bạn cuối cùng tháo thiết bị ra và đột nhiên nhớ đến bài thơ, "Vẫy tay áo và không phải là một đám mây"......
Nhiều người quen thuộc với port mirroring. Đúng vậy, port mirroring cũng có thể đạt được hiệu ứng tương tự. Sau đây là so sánh giữa Network Taps/Diverters và Port Mirroring:
1. Vì cổng của switch sẽ lọc một số gói tin lỗi và các gói tin có kích thước quá nhỏ, nên việc phản chiếu cổng không thể đảm bảo rằng có thể lấy được tất cả lưu lượng. Tuy nhiên, shunter đảm bảo tính toàn vẹn của dữ liệu vì nó được "sao chép" hoàn toàn ở lớp vật lý
2. Về mặt hiệu suất thời gian thực, trên một số thiết bị chuyển mạch cấp thấp, việc sao chép cổng có thể gây ra độ trễ khi sao chép lưu lượng vào các cổng sao chép và cũng gây ra độ trễ khi sao chép các cổng 10/100m vào các cổng GIGA
3. Phản chiếu cổng yêu cầu băng thông của cổng được phản chiếu phải lớn hơn hoặc bằng tổng băng thông của tất cả các cổng được phản chiếu. Tuy nhiên, yêu cầu này có thể không được đáp ứng bởi tất cả các công tắc
4. Cần cấu hình phản chiếu cổng trên switch. Khi các khu vực cần giám sát cần được điều chỉnh, switch cần được cấu hình lại.
Thời gian đăng: 05-08-2022
