Om netwerkverkeer te monitoren, zoals analyse van online gedrag van gebruikers, monitoring van afwijkend verkeer en monitoring van netwerkapplicaties, moet u netwerkverkeer verzamelen. Het vastleggen van netwerkverkeer kan onnauwkeurig zijn. U moet het huidige netwerkverkeer kopiëren en naar het monitoringapparaat sturen. Netwerksplitter, ook wel Network TAP genoemd, doet precies dit. Laten we eens kijken naar de definitie van Network TAP:
I. Een netwerktap is een hardwareapparaat waarmee u toegang krijgt tot de gegevens die via een computernetwerk stromen. (van Wikipedia)
II. EenNetwerktap, ook wel bekend als een testtoegangspoort, is een hardwareapparaat dat rechtstreeks op een netwerkkabel wordt aangesloten en een stukje netwerkcommunicatie naar andere apparaten verzendt. Netwerksplitters worden vaak gebruikt in netwerkinbraakdetectiesystemen (IPS), netwerkdetectoren en profilers. Het repliceren van communicatie naar netwerkapparaten gebeurt tegenwoordig meestal via een switching port analyzer (span port), ook wel bekend als port mirroring in netwerkswitching.
III. Netwerktaps worden gebruikt om permanente toegangspoorten voor passieve monitoring te creëren. Een tap, of testtoegangspoort, kan worden ingesteld tussen twee willekeurige netwerkapparaten, zoals switches, routers en firewalls. Deze kan functioneren als toegangspoort voor monitoringapparatuur die in-line data verzamelt, waaronder een inbraakdetectiesysteem, een inbraakpreventiesysteem in passieve modus, protocolanalysatoren en tools voor externe monitoring. (van NetOptics).
Uit de bovenstaande drie definities kunnen we in principe verschillende kenmerken van Network TAP afleiden: hardware, inline, transparant
Hier zijn enkele kenmerken:
1. Het is een onafhankelijk stuk hardware en heeft daardoor geen invloed op de belasting van bestaande netwerkapparaten, wat grote voordelen heeft ten opzichte van poortspiegeling
2. Het is een in-line apparaat. Simpel gezegd moet het verbonden zijn met het netwerk, wat begrijpelijk is. Dit heeft echter ook het nadeel dat het een point of failure introduceert. Omdat het een online apparaat is, moet het huidige netwerk worden onderbroken tijdens de implementatie, afhankelijk van waar het wordt geïmplementeerd.
3. Transparant verwijst naar de verwijzing naar het huidige netwerk. Toegang tot netwerken na shunt, het huidige netwerk voor alle apparatuur, heeft geen effect, want het is volledig transparant. Natuurlijk bevat het ook netwerk shunts die verkeer naar de monitorapparatuur sturen. Het monitorapparaat voor het netwerk is transparant, het is alsof u zich in een nieuwe toegang tot een nieuw stopcontact bevindt, voor andere bestaande apparaten. Er gebeurt niets, zelfs niet wanneer u het apparaat eindelijk verwijdert en plotseling het gedicht "Zwaai met je mouw en niet met een wolk" te binnen schiet...
Veel mensen zijn bekend met poortspiegeling. Ja, poortspiegeling kan hetzelfde effect bereiken. Hier is een vergelijking tussen netwerktaps/-diverters en poortspiegeling:
1. Omdat de poort van de switch zelf sommige foutpakketten en pakketten met een te kleine bestandsgrootte filtert, kan poortspiegeling niet garanderen dat al het verkeer kan worden verwerkt. De shunter waarborgt echter de integriteit van de gegevens, omdat deze volledig worden "gekopieerd" op de fysieke laag.
2. Wat betreft realtimeprestaties kan poortspiegeling op sommige low-end switches vertragingen veroorzaken wanneer het verkeer naar spiegelpoorten wordt gekopieerd, en het veroorzaakt ook vertragingen wanneer het 10/100m-poorten naar GIGA-poorten kopieert
3. Poortspiegeling vereist dat de bandbreedte van een gespiegelde poort groter is dan of gelijk is aan de som van de bandbreedtes van alle gespiegelde poorten. Aan deze vereiste wordt echter mogelijk niet door alle switches voldaan.
4. Poortspiegeling moet op de switch worden geconfigureerd. Nadat de te bewaken gebieden moeten worden aangepast, moet de switch opnieuw worden geconfigureerd.
Plaatsingstijd: 5 augustus 2022
