针对主机/云/容器/虚拟机的虚拟网络分路器-nTap

nTap是一个虚拟的软件分路器，可用于物理/虚拟/云环境，以远程捕获流量（相对于监测地点而言），并以安全的方式将数据包传送到监测点。当基于流量的分析工具（如nProbe/nProbe Cento）不适合时，就需要进行数据包捕获，因为需要进行数据包级分析。物理分路器和nTap之间的主要区别包括：

• nTap能够远程传送监测到的流量（物理分路器需要直接电缆连接，以强制监控生成流量的位置）。
• nTap通过端到端加密方式传送数据包，防止入侵者观看监控的流量。
• nTap可以在监控的流量上应用数据包过滤（物理分路器无法做到这一点：更昂贵的数据包代理NPB提供这个功能）。
• nTap可以用于容器和虚拟机以及高动态环境，如Kubernetes（物理分路器只能用于物理网络）

nTap是基于两个组件的：

• nTap remote 它安装在需要监控流量的远程设备上。
• nTap collector接收由nTap remote发送的加密数据包，对其进行解密，并将其推送到一个虚拟的以太网接口上，你可以在那里安装应用，如Wireshark、tcpdump、Suricata或Snort。

nTap collector也可以选择性地将数据包发送到Open vSwitch，以获得最大的灵活性。

容器、Kubernetes和虚拟机

nTap可以在容器和虚拟机内使用。通常，tap组件被部署在远程主机/容器上，其IP地址可以是动态的。相反，收集器应用程序需要在具有静态IP地址的主机上，因为它需要接收由tap发送的数据包。在运行tap应用程序的主机上不需要安装许可证。

安全和性能

与许多其他商业的虚拟分路器应用相反，nTap通过UDP的加密信道传递数据包。通信总是单向的，从分路器到收集器/ntopng/nProbe，没有返回通道通信：这是一个关键要求，以便在不允许返回通道的高安全网络上运行nTap（注意，TCP连接是双向的，因为一些数据包，如ACK，需要被送回）。

端到端加密使用最先进的对称加密，该加密利用(如果可用)AVX指令来实现最高性能。除了原始数据包之外，nTap还添加了一个微层，其中有一些元数据(如：数据包捕获时间和长度)，而加密不会增加要传输的原始数据包大小。

许可

原则是，当 nTap 与 ntopng 和 nProbe 一起使用时，不需要商业许可证。这是可能的，因为企业 L 和 nprobe 企业 M/L 包含本机代码支持。总之：

• romate Tap应用程序不需要许可证。这使你可以在高度动态的环境中部署它，如容器和虚拟机。
• collector应用程序需要一个许可证，它需要与除ntpng Enterprise L和nprobe Enterprise M/L以外的应用程序一起使用。

如果你打算将nTap与非ntop应用程序一起使用，你需要购买许可。

注意，你可以使用多个romate TAP，将流量发送到同一个nTap collector或nProbe/ntopng应用程序。