Để giám sát lưu lượng mạng, chẳng hạn như phân tích hành vi trực tuyến của người dùng, giám sát lưu lượng bất thường và giám sát ứng dụng mạng, bạn cần thu thập lưu lượng mạng. Việc thu thập lưu lượng mạng trực tiếp có thể không chính xác. Trên thực tế, bạn cần sao chép lưu lượng mạng hiện tại và gửi nó đến thiết bị giám sát. Bộ chia mạng, hay còn gọi là Network TAP, chính là thiết bị thực hiện công việc này. Hãy cùng xem định nghĩa của Network TAP:
I. Thiết bị thu tín hiệu mạng (Network Tap) là một thiết bị phần cứng cung cấp phương thức truy cập dữ liệu truyền tải trên mạng máy tính. (Theo Wikipedia)
II. AĐiểm truy cập mạngBộ chia mạng, còn được gọi là Cổng truy cập kiểm tra (Test Access Port), là một thiết bị phần cứng cắm trực tiếp vào cáp mạng và gửi một phần thông tin liên lạc mạng đến các thiết bị khác. Bộ chia mạng thường được sử dụng trong các hệ thống phát hiện xâm nhập mạng (IPS), bộ dò mạng và bộ phân tích hiệu suất mạng. Việc sao chép thông tin liên lạc đến các thiết bị mạng hiện nay thường được thực hiện thông qua bộ phân tích cổng chuyển mạch (cổng span), còn được gọi là phản chiếu cổng trong chuyển mạch mạng.
III. Thiết bị chia tín hiệu mạng (Network Tap) được sử dụng để tạo các cổng truy cập cố định cho việc giám sát thụ động. Một thiết bị chia tín hiệu, hay Cổng truy cập thử nghiệm (Test Access Port), có thể được thiết lập giữa bất kỳ hai thiết bị mạng nào, chẳng hạn như bộ chuyển mạch, bộ định tuyến và tường lửa. Nó có thể hoạt động như một cổng truy cập cho thiết bị giám sát được sử dụng để thu thập dữ liệu trực tuyến, bao gồm hệ thống phát hiện xâm nhập (Intrusion Detection System - IDS), hệ thống ngăn chặn xâm nhập (Intrusion Prevention System - PPS) được triển khai ở chế độ thụ động, bộ phân tích giao thức và các công cụ giám sát từ xa. (Theo NetOptics)
Từ ba định nghĩa trên, về cơ bản chúng ta có thể rút ra một số đặc điểm của Network TAP: phần cứng, hoạt động trực tiếp, trong suốt.
Dưới đây là một số tính năng nổi bật:
1. Nó là một thiết bị phần cứng độc lập, và do đó, nó không ảnh hưởng đến tải trọng của các thiết bị mạng hiện có, điều này mang lại ưu điểm vượt trội so với việc sao chép cổng.
2. Đây là thiết bị hoạt động trực tiếp trên mạng. Nói một cách đơn giản, nó cần được kết nối với mạng, điều này khá dễ hiểu. Tuy nhiên, điều này cũng có nhược điểm là tạo ra điểm lỗi, và vì là thiết bị trực tuyến, mạng hiện tại cần phải bị gián đoạn trong quá trình triển khai, tùy thuộc vào vị trí triển khai.
3. "Trong suốt" ở đây đề cập đến con trỏ đến mạng hiện tại. Sau khi chuyển hướng mạng, mạng hiện tại không ảnh hưởng đến tất cả các thiết bị, đối với chúng hoàn toàn trong suốt. Tất nhiên, điều này cũng bao gồm việc chuyển hướng mạng và gửi lưu lượng truy cập đến thiết bị giám sát. Thiết bị giám sát đối với mạng cũng trong suốt, giống như bạn đang cắm một ổ điện mới, đối với các thiết bị hiện có, không có gì xảy ra, kể cả khi bạn cuối cùng rút thiết bị ra và đột nhiên nhớ đến bài thơ "Vẫy tay áo mà không có mây"...
Nhiều người đã quen thuộc với tính năng phản chiếu cổng (port mirroring). Đúng vậy, phản chiếu cổng cũng có thể đạt được hiệu quả tương tự. Dưới đây là so sánh giữa thiết bị chia/chuyển hướng mạng (Network Taps/Diverters) và phản chiếu cổng:
1. Do chính cổng của bộ chuyển mạch sẽ lọc một số gói tin lỗi và gói tin có kích thước quá nhỏ, nên việc sao chép cổng không thể đảm bảo thu được toàn bộ lưu lượng truy cập. Tuy nhiên, bộ sao chép đảm bảo tính toàn vẹn của dữ liệu vì nó được "sao chép" hoàn toàn ở lớp vật lý.
2. Về hiệu năng thời gian thực, trên một số switch cấp thấp, việc sao chép cổng có thể gây ra độ trễ khi sao chép lưu lượng truy cập sang các cổng được sao chép, và cũng gây ra độ trễ khi sao chép các cổng 10/100m sang cổng GIGA.
3. Tính năng phản chiếu cổng yêu cầu băng thông của cổng được phản chiếu phải lớn hơn hoặc bằng tổng băng thông của tất cả các cổng được phản chiếu. Tuy nhiên, không phải tất cả các thiết bị chuyển mạch đều đáp ứng được yêu cầu này.
4. Cần cấu hình tính năng phản chiếu cổng (port mirroring) trên switch. Sau khi điều chỉnh các khu vực cần giám sát, cần cấu hình lại switch.
Thời gian đăng bài: 05/08/2022
