Para monitorizar el tráfico de red, como el análisis del comportamiento en línea de los usuarios, la monitorización de tráfico anómalo y la monitorización de aplicaciones de red, es necesario recopilar dicho tráfico. Capturar el tráfico de red puede resultar impreciso. De hecho, es necesario copiar el tráfico de red actual y enviarlo al dispositivo de monitorización. Un divisor de red, también conocido como TAP de red, realiza precisamente esta función. Veamos la definición de TAP de red:
I. Un Network Tap es un dispositivo de hardware que permite acceder a los datos que fluyen a través de una red informática. (de Wikipedia)
II. AConexión de redUn divisor de red (también conocido como puerto de acceso de prueba) es un dispositivo de hardware que se conecta directamente a un cable de red y envía una parte de la comunicación de red a otros dispositivos. Los divisores de red se utilizan comúnmente en sistemas de detección de intrusiones (IPS), detectores de red y analizadores de rendimiento. La replicación de la comunicación a dispositivos de red se realiza actualmente mediante un analizador de puertos de conmutación (puerto SPAN), también conocido como duplicación de puertos en la conmutación de red.
III. Los adaptadores de red se utilizan para crear puertos de acceso permanentes para la monitorización pasiva. Un adaptador, o puerto de acceso de prueba, puede configurarse entre dos dispositivos de red cualesquiera, como conmutadores, enrutadores y cortafuegos. Puede funcionar como puerto de acceso para dispositivos de monitorización que recopilan datos en línea, incluidos sistemas de detección de intrusiones, sistemas de prevención de intrusiones desplegados en modo pasivo, analizadores de protocolos y herramientas de monitorización remota. (Fuente: NetOptics).
A partir de las tres definiciones anteriores, podemos extraer básicamente varias características de Network TAP: hardware, en línea, transparente.
Aquí les presentamos estas características:
1. Es un componente de hardware independiente y, por ello, no tiene ningún impacto en la carga de los dispositivos de red existentes, lo que supone grandes ventajas frente a la duplicación de puertos.
2. Es un dispositivo en línea. En pocas palabras, necesita estar conectado a la red, lo cual es comprensible. Sin embargo, esto también tiene la desventaja de introducir un punto de fallo, y dado que es un dispositivo en línea, la red actual debe interrumpirse en el momento de la instalación, dependiendo de dónde se instale.
3. Transparente se refiere al puntero a la red actual. Las redes de acceso después de la derivación, la red actual para todos los equipos, no tienen ningún efecto, para ellos es completamente transparente, por supuesto, también contiene tráfico de derivación de red para enviar a los equipos de monitoreo, el dispositivo de monitoreo para la red es transparente, es como si estuvieras en un nuevo acceso a una nueva toma de corriente, para otros electrodomésticos existentes, no sucede nada, incluso cuando finalmente quitas el electrodoméstico y de repente recuerdas el poema, "Agita tu manga y no una nube"...
Mucha gente está familiarizada con la duplicación de puertos. Sí, la duplicación de puertos también puede lograr el mismo efecto. Aquí hay una comparación entre los derivadores/desviadores de red y la duplicación de puertos:
1. Dado que el propio puerto del conmutador filtrará algunos paquetes de error y paquetes de tamaño demasiado pequeño, la duplicación de puertos no puede garantizar que se pueda obtener todo el tráfico. Sin embargo, el conmutador garantiza la integridad de los datos porque se "copia" completamente en la capa física.
2. En términos de rendimiento en tiempo real, en algunos conmutadores de gama baja, la duplicación de puertos puede introducir retrasos al copiar el tráfico a los puertos duplicados, y también introduce retrasos al copiar puertos 10/100m a puertos GIGA.
3. La duplicación de puertos requiere que el ancho de banda de un puerto duplicado sea mayor o igual que la suma de los anchos de banda de todos los puertos duplicados. Sin embargo, este requisito puede no ser cumplido por todos los conmutadores.
4. Es necesario configurar la duplicación de puertos en el switch. Una vez que sea necesario ajustar las áreas que se van a monitorizar, se debe reconfigurar el switch.
Fecha de publicación: 5 de agosto de 2022
