За да го следите мрежниот сообраќај, како што се анализа на однесувањето на корисниците онлајн, следење на абнормален сообраќај и следење на мрежните апликации, треба да собирате мрежен сообраќај. Снимањето на мрежниот сообраќај може да биде неточно. Всушност, треба да го копирате тековниот мрежен сообраќај и да го испратите до уредот за следење. Мрежен разделник, познат и како Network TAP. Тој само ја врши оваа работа. Ајде да ја разгледаме дефиницијата за Network TAP:
I. Мрежниот допир е хардверски уред кој овозможува пристап до податоците што течат низ компјутерската мрежа. (од Википедија)
II. АДопир на мрежа, познат и како порт за тест пристап, е хардверски уред што се приклучува директно во мрежен кабел и испраќа дел од мрежната комуникација до други уреди. Мрежните разделувачи најчесто се користат во мрежните системи за детекција на упади (IPS), мрежните детектори и профилерите. Реплицирањето на комуникацијата со мрежните уреди сега обично се врши преку анализатор на порти за префрлување (span port), познат и како пресликување на порти при мрежно префрлување.
III. Мрежните тапови се користат за креирање на трајни пристапни порти за пасивно следење. Тап, или тест пристапен порт, може да се постави помеѓу кои било два мрежни уреди, како што се прекинувачи, рутери и заштитни ѕидови. Може да функционира како пристапен порт за уред за следење што се користи за собирање на податоци во линија, вклучувајќи систем за детекција на упади, систем за спречување на упади распореден во пасивен режим, анализатори на протоколи и алатки за далечинско следење. (од NetOptics).
Од горенаведените три дефиниции, во основа можеме да извлечеме неколку карактеристики на Network TAP: хардвер, вграден, транспарентен
Еве еден поглед на овие карактеристики:
1. Тоа е независен дел од хардверот и поради ова нема никакво влијание врз оптоварувањето на постојните мрежни уреди, што има големи предности во однос на пресликувањето на порти
2. Тоа е вграден уред. Едноставно кажано, треба да биде поврзан со мрежата, што може да се разбере. Сепак, ова има и недостаток на воведување точка на грешка, а бидејќи е вклучен уред, моменталната мрежа треба да се прекине за време на распоредувањето, во зависност од тоа каде е распореден.
3. Транспарентно се однесува на покажувачот кон моменталната мрежа. Пристапните мрежи по шантот, моменталната мрежа за целата опрема, немаат никаков ефект, за нив е целосно транспарентен, секако, содржи и мрежен шант кој испраќа сообраќај до опремата за следење, уредот за следење за мрежата е транспарентен, како да сте во нов пристап до нов електричен штекер, за други постоечки апарати, ништо не се случува, дури ни кога конечно ќе го извадите апаратот и одеднаш ќе се сетите на песната „Мавнете го ракавот, а не облак“......
Многу луѓе се запознаени со пресликувањето на порти. Да, пресликувањето на порти може да го постигне истиот ефект. Еве споредба помеѓу мрежните пренасочувачи/приклучоци и пресликувањето на порти:
1. Бидејќи самиот порт на прекинувачот ќе филтрира некои пакети со грешки и пакети со премала големина, пресликувањето на портот не може да гарантира дека целиот сообраќај може да се добие. Сепак, шантерот го обезбедува интегритетот на податоците бидејќи тие се целосно „копирани“ на физичкиот слој.
2. Во однос на перформансите во реално време, на некои ниско-финални прекинувачи, пресликувањето на порти може да предизвика доцнења кога копира сообраќај во портите за пресликување, а исто така предизвикува доцнења кога копира 10/100m порти во GIGA порти.
3. Пресликувањето на порти бара пропусниот опсег на огледален порт да биде поголем или еднаков на збирот од пропусните опсеги на сите огледални порти. Сепак, овој услов може да не го исполнуваат сите прекинувачи.
4. На прекинувачот треба да се конфигурира пресликувањето на портите. Откако ќе треба да се прилагодат областите што треба да се следат, прекинувачот треба да се реконфигурира.
Време на објавување: 05.08.2022
