Pro monitorování síťového provozu, jako je analýza chování uživatelů online, monitorování abnormálního provozu a monitorování síťových aplikací, je nutné shromažďovat síťový provoz. Zachycení síťového provozu může být nepřesné. Ve skutečnosti je nutné zkopírovat aktuální síťový provoz a odeslat jej do monitorovacího zařízení. Síťový rozbočovač, známý také jako Network TAP, dělá právě tuto práci. Podívejme se na definici Network TAP:
I. Síťový odběrník (Network Tap) je hardwarové zařízení, které umožňuje přístup k datům protékajícím počítačovou sítí. (z Wikipedie)
II. ASíťový klepnutíTestovací přístupový port (Test Access Port), také známý jako testovací přístupový port (TAP), je hardwarové zařízení, které se zapojuje přímo do síťového kabelu a odesílá část síťové komunikace do jiných zařízení. Síťové rozbočovače se běžně používají v systémech detekce narušení sítě (IPS), síťových detektorech a profilerech. Replikace komunikace do síťových zařízení se nyní obvykle provádí pomocí analyzátoru přepínacích portů (span port), v síťovém přepínání známého také jako zrcadlení portů.
III. Síťové odbočky se používají k vytvoření trvalých přístupových portů pro pasivní monitorování. Odbočku neboli testovací přístupový port lze nastavit mezi libovolnými dvěma síťovými zařízeními, jako jsou přepínače, routery a firewally. Může fungovat jako přístupový port pro monitorovací zařízení používané ke sběru dat, včetně systémů detekce narušení, systémů prevence narušení nasazených v pasivním režimu, analyzátorů protokolů a nástrojů pro vzdálené monitorování. (od NetOptics).
Z výše uvedených tří definic můžeme v zásadě odvodit několik charakteristik Network TAP: hardwarový, inline, transparentní
Zde se podíváme na tyto funkce:
1. Jedná se o nezávislý hardware, a proto nemá žádný vliv na zatížení stávajících síťových zařízení, což má oproti zrcadlení portů velké výhody.
2. Jedná se o zařízení typu in-line. Jednoduše řečeno, musí být připojeno k síti, což lze pochopit. To má však také nevýhodu v podobě bodu selhání a protože se jedná o online zařízení, je nutné v době nasazení přerušit aktuální síť, v závislosti na tom, kde je nasazeno.
3. Transparentní označuje ukazatel na aktuální síť. Přístupové sítě po shuntu, aktuální síť pro všechna zařízení, nemají žádný vliv, pro ně je zcela transparentní, samozřejmě obsahuje také síťový shunt odesílaný provoz do monitorovacího zařízení, monitorovací zařízení pro síť je transparentní, je to, jako byste byli v novém přístupu k nové elektrické zásuvce, pro ostatní stávající spotřebiče se nic neděje, ani když konečně vyjmete spotřebič a najednou si vzpomenete na básničku: "Mávněte rukávem a ne mrakem"......
Mnoho lidí zná zrcadlení portů. Ano, zrcadlení portů může dosáhnout stejného efektu. Zde je srovnání mezi síťovými odbočkami/přepínači a zrcadlením portů:
1. Protože samotný port přepínače filtruje některé chybové pakety a pakety s příliš malou velikostí, zrcadlení portů nemůže zaručit, že bude možné získat veškerý provoz. Přepínač však zajišťuje integritu dat, protože jsou kompletně „zkopírována“ na fyzické vrstvě.
2. Z hlediska výkonu v reálném čase může u některých nižších přepínačů zrcadlení portů způsobovat zpoždění při kopírování provozu na zrcadlené porty a také způsobuje zpoždění při kopírování portů 10/100m na porty GIGA.
3. Zrcadlení portů vyžaduje, aby šířka pásma zrcadleného portu byla větší nebo rovna součtu šířek pásem všech zrcadlených portů. Tento požadavek však nemusí být splněn všemi přepínači.
4. Na přepínači je třeba nakonfigurovat zrcadlení portů. Jakmile je třeba upravit monitorované oblasti, je třeba přepínač znovu nakonfigurovat.
Čas zveřejnění: 5. srpna 2022
