Para monitorear el tráfico de red, como el análisis del comportamiento en línea de los usuarios, la monitorización de tráfico anormal y la monitorización de aplicaciones de red, es necesario recopilar el tráfico de red. La captura del tráfico de red puede ser imprecisa. De hecho, es necesario copiar el tráfico de red actual y enviarlo al dispositivo de monitoreo. El divisor de red, también conocido como TAP de red, cumple precisamente esta función. Veamos la definición de TAP de red:
I. Un Network Tap es un dispositivo de hardware que proporciona una forma de acceder a los datos que fluyen a través de una red informática. (de Wikipedia)
II.AGrifo de red, también conocido como puerto de acceso de prueba, es un dispositivo de hardware que se conecta directamente a un cable de red y envía una señal de comunicación a otros dispositivos. Los divisores de red se utilizan comúnmente en sistemas de detección de intrusiones (IPS), detectores de red y perfiladores. La replicación de la comunicación a los dispositivos de red se realiza habitualmente mediante un analizador de puertos de conmutación (puerto span), también conocido como duplicación de puertos en conmutación de red.
III. Las tomas de red se utilizan para crear puertos de acceso permanentes para la monitorización pasiva. Una toma, o puerto de acceso de prueba, se puede configurar entre dos dispositivos de red, como conmutadores, enrutadores y cortafuegos. Puede funcionar como puerto de acceso para dispositivos de monitorización que recopilan datos en línea, como sistemas de detección de intrusiones, sistemas de prevención de intrusiones implementados en modo pasivo, analizadores de protocolos y herramientas de monitorización remota. (de NetOptics).
De las tres definiciones anteriores, podemos extraer básicamente varias características de Network TAP: hardware, en línea, transparente.
A continuación, se muestran estas características:
1. Es una pieza de hardware independiente y, debido a esto, no tiene ningún impacto en la carga de los dispositivos de red existentes, lo que tiene grandes ventajas sobre la duplicación de puertos.
2. Es un dispositivo en línea. En pocas palabras, necesita estar conectado a la red, lo cual es comprensible. Sin embargo, esto también tiene la desventaja de introducir un punto de fallo, y al ser un dispositivo en línea, la red actual debe interrumpirse durante la implementación, dependiendo de dónde se implemente.
3. Transparente se refiere al puntero a la red actual. Tras la derivación, la red actual no afecta a todos los equipos, ya que es completamente transparente. Por supuesto, también incluye la derivación de red que envía tráfico a los equipos de monitoreo. El dispositivo de monitoreo es transparente para la red, como si se conectara a una nueva toma de corriente. Para otros electrodomésticos, no ocurre nada, incluso cuando finalmente se retira el electrodoméstico y de repente se recuerda el poema "Mueve la manga y no una nube"...
Mucha gente está familiarizada con la duplicación de puertos. Sí, la duplicación de puertos también puede lograr el mismo efecto. Aquí hay una comparación entre los desviadores de red y la duplicación de puertos:
1. Dado que el propio puerto del switch filtra algunos paquetes de error y paquetes de tamaño demasiado pequeño, la duplicación de puertos no puede garantizar la obtención de todo el tráfico. Sin embargo, el shunter garantiza la integridad de los datos, ya que se copian completamente en la capa física.
2. En términos de rendimiento en tiempo real, en algunos conmutadores de gama baja, la duplicación de puertos puede introducir retrasos cuando copia el tráfico a los puertos de duplicación, y también introduce retrasos cuando copia puertos de 10/100 m a puertos GIGA.
3. La duplicación de puertos requiere que el ancho de banda de un puerto reflejado sea mayor o igual a la suma de los anchos de banda de todos los puertos reflejados. Sin embargo, es posible que no todos los switches cumplan este requisito.
4. Es necesario configurar la duplicación de puertos en el switch. Una vez que se ajusten las áreas a monitorear, es necesario reconfigurar el switch.
Hora de publicación: 05-ago-2022
