사용자 온라인 행동 분석, 비정상 트래픽 모니터링, 네트워크 애플리케이션 모니터링 등 네트워크 트래픽을 모니터링하려면 네트워크 트래픽을 수집해야 합니다. 하지만 네트워크 트래픽을 직접 캡처하는 것은 정확하지 않을 수 있습니다. 실제로는 현재 네트워크 트래픽을 복사하여 모니터링 장치로 전송해야 합니다. 네트워크 스플리터(Network TAP이라고도 함)는 바로 이러한 역할을 수행합니다. 네트워크 TAP의 정의를 살펴보겠습니다.
I. 네트워크 탭은 컴퓨터 네트워크를 통해 흐르는 데이터에 접근할 수 있도록 해주는 하드웨어 장치입니다. (위키백과에서 발췌)
II. A네트워크 탭테스트 액세스 포트라고도 하는 네트워크 스플리터는 네트워크 케이블에 직접 연결하여 다른 장치로 네트워크 통신을 전송하는 하드웨어 장치입니다. 네트워크 스플리터는 일반적으로 네트워크 침입 탐지 시스템(IPS), 네트워크 탐지기 및 프로파일러에 사용됩니다. 네트워크 장치로의 통신 복제는 이제 일반적으로 스위칭 포트 분석기(스팬 포트)를 통해 이루어지며, 네트워크 스위칭에서는 이를 포트 미러링이라고 합니다.
III. 네트워크 탭은 수동 모니터링을 위한 영구 액세스 포트를 생성하는 데 사용됩니다. 탭 또는 테스트 액세스 포트는 스위치, 라우터, 방화벽과 같은 두 네트워크 장치 사이에 설정할 수 있습니다. 이는 침입 탐지 시스템, 수동 모드로 배포된 침입 방지 시스템, 프로토콜 분석기 및 원격 모니터링 도구를 포함하여 인라인 데이터를 수집하는 데 사용되는 모니터링 장치의 액세스 포트 역할을 할 수 있습니다. (NetOptics 제공)
위의 세 가지 정의를 통해 네트워크 TAP의 몇 가지 주요 특징을 기본적으로 도출할 수 있습니다: 하드웨어, 인라인, 투명성.
다음은 이러한 기능들을 살펴본 것입니다.
1. 이는 독립적인 하드웨어 장치이므로 기존 네트워크 장치의 부하에 영향을 미치지 않아 포트 미러링보다 훨씬 유리합니다.
2. 이는 인라인 장치입니다. 간단히 말해 네트워크에 연결해야 한다는 의미이며, 이는 당연한 결과입니다. 하지만 이로 인해 장애 발생 지점이 생길 수 있다는 단점이 있으며, 온라인 장치이기 때문에 설치 위치에 따라 설치 시 기존 네트워크를 차단해야 할 수도 있습니다.
3. 투명성이란 현재 네트워크를 가리키는 포인터를 의미합니다. 션트 후 액세스 네트워크는 모든 장비에 대해 현재 네트워크에 아무런 영향을 미치지 않으며, 완전히 투명합니다. 물론, 션트된 네트워크는 모니터링 장비로 트래픽을 전송하지만, 모니터링 장비는 네트워크에 대해 투명하게 작동합니다. 마치 새로운 콘센트에 연결된 것과 같으며, 기존의 다른 가전제품에는 아무런 변화가 없습니다. 심지어 가전제품을 제거하고 나서야 "소매를 휘둘러도 구름은 생기지 않는다"라는 시 구절이 떠오를 때도 마찬가지입니다.
많은 분들이 포트 미러링에 대해 알고 계실 겁니다. 네, 포트 미러링도 동일한 효과를 낼 수 있습니다. 네트워크 탭/다이버터와 포트 미러링의 비교는 다음과 같습니다.
1. 스위치 포트 자체에서 일부 오류 패킷 및 크기가 너무 작은 패킷을 필터링하기 때문에 포트 미러링이 모든 트래픽을 수신할 수 있다고 보장할 수는 없습니다. 그러나 션터는 물리 계층에서 데이터를 완전히 "복사"하므로 데이터 무결성을 보장합니다.
2. 실시간 성능 측면에서, 일부 저가형 스위치에서는 포트 미러링 시 미러링 포트로 트래픽을 복사할 때 지연이 발생할 수 있으며, 10/100m 포트의 트래픽을 GIGA 포트로 복사할 때도 지연이 발생할 수 있습니다.
3. 포트 미러링을 사용하려면 미러링되는 포트의 대역폭이 모든 미러링되는 포트의 대역폭 합보다 크거나 같아야 합니다. 하지만 모든 스위치가 이 요구 사항을 충족하는 것은 아닙니다.
4. 스위치에서 포트 미러링을 구성해야 합니다. 모니터링할 영역을 조정해야 할 경우 스위치를 재구성해야 합니다.
게시 시간: 2022년 8월 5일
