流量接入点(TAP)是一种被动设备,用于监控和捕获网络流量,而不干扰网络的正常运行,部署在网络基础设施内的战略位置,以拦截和复制网络数据包。
它的主要工作是将通过特定链路或网段传输的数据包复制到监视设备,如网络分析仪、数据包捕获工具或安全设备。
1.1 TAP特点
- 非侵入性:TAP以非侵入性的方式工作,不会中断网络流量的传输,也不会引入延迟。
- 数据包完整性:TAP提供对网络通信的完整可见性,捕获所有流经链路或网段的数据包,包括入站和出站流量。
- 网络监控:TAP可用于链路监控、网络性能监测、故障排除以及安全事件检测。
- 数据复制:TAP复制原始数据包,将其传递给连接的监视设备,以便进行进一步的分析和处理。
1.2 TAP类型
TAP可以分为有源网络TAP和无源网络TAP,这两种类型的TAP在网络流量监控中有不同的应用和特点。
- 有源网络TAP:
- 特点:有源网络TAP是一种主动设备,它接收来自网络链路的数据流,然后复制并转发这些数据流到监控或分析设备。它在数据流经过时会放大信号,以确保数据的完整性和可见性。
- 应用:有源网络TAP适用于大型或复杂网络中,需要扩展信号以维持数据完整性的情况。它们通常用于支持高速链路、远距离传输或需要信号放大的环境。
- 无源网络TAP:
- 特点:无源网络TAP是一种被动设备,它不引入延迟、不放大信号,而只复制数据包。它的工作方式类似于网络的“看客”,不对数据流做任何干预。
- 应用:无源网络TAP适用于大多数网络监控场景,特别是当需要非侵入性监控网络链路或网段时。它们通常部署在网络拓扑中的战略点,以捕获和复制流经的数据包,而不影响原始流量。
1.3 TAP的应用领域
- 网络性能监控:通过捕获网络流量,TAP有助于检测网络性能问题,例如带宽利用率、延迟、数据包丢失等。
- 安全监控:TAP可用于监视网络中的异常活动、潜在的安全威胁和攻击,以及入侵检测系统(IDS)和入侵预防系统(IPS)的操作。
- 合规性:许多组织需要满足合规性要求,TAP提供了对网络通信的全面可见性,以满足合规性监控的需求。
- 数据包捕获:网络管理员和安全专业人员可以使用TAP来捕获网络数据包以进行离线分析,以便进行深入调查和故障排除。
然而,尽管TAP在网络监控中发挥着重要作用,但它也存在一些局限性。
TAP不能对流量进行处理或过滤,而只是复制原始数据包。
此外,需要在网络中的多个位置部署TAP才能全面覆盖网络。