Коли розгортається пристрій системи виявлення вторгнень (IDS), дзеркального порту на комутаторі в інформаційному центрі однорангової сторони недостатньо (наприклад, дозволено лише один дзеркальний порт, і дзеркальний порт зайняв інші пристрої).
У цей час, коли ми не додаємо багато портів дзеркального відображення, ми можемо використовувати пристрій реплікації мережі, агрегації та пересилання для розподілу такої ж кількості даних дзеркалювання на наш пристрій.
Що таке Network TAP?
Можливо, ви вперше почули назву перемикач TAP. TAP (Terminal Access Point), також відомий як NPB (Network Packet Broker) або Tap Aggregator?
Основною функцією TAP є встановлення між дзеркальним портом у виробничій мережі та кластером пристроїв аналізу. TAP збирає віддзеркалений або розділений трафік від одного чи кількох пристроїв робочої мережі та розподіляє трафік на один чи декілька пристроїв аналізу даних.
Загальні сценарії розгортання мережі TAP
Network Tap має очевидні позначки, наприклад:
Незалежне обладнання
TAP — це окреме обладнання, яке не впливає на навантаження на існуючі мережеві пристрої, що є однією з переваг перед дублюванням портів.
Перемикач?
Мережевий кран?
Прозора мережа
Після підключення TAP до мережі це не впливає на всі інші пристрої в мережі. Для них TAP прозорий, як повітря, а пристрої моніторингу, підключені до TAP, прозорі для мережі в цілому.
TAP схожий на віддзеркалення портів на комутаторі. То навіщо розгортати окремий TAP? Давайте по черзі розглянемо деякі відмінності між Network TAP і Network Port Mirroring.
Різниця 1: мережевий TAP легше налаштувати, ніж дзеркальне відображення портів
Віддзеркалення портів потрібно налаштувати на комутаторі. Якщо необхідно налаштувати моніторинг, комутатор потрібно переналаштувати ВСЕ. Однак TAP потрібно налаштувати лише там, де це потрібно, що не впливає на існуючі мережеві пристрої.
Різниця 2: мережевий TAP не впливає на продуктивність мережі щодо віддзеркалення портів
Віддзеркалення портів на комутаторі погіршує продуктивність комутатора та впливає на здатність комутації. Зокрема, якщо комутатор підключений до мережі послідовно як вбудований, це серйозно впливає на здатність пересилання всієї мережі. TAP є незалежним апаратним забезпеченням і не погіршує роботу пристрою через віддзеркалення трафіку. Таким чином, це не впливає на навантаження існуючих мережевих пристроїв, що має великі переваги перед дублюванням портів.
Різниця 3: мережевий TAP забезпечує більш повний процес трафіку, ніж реплікація дублювання портів
Дзеркалювання портів не може гарантувати отримання всього трафіку, оскільки сам порт комутатора фільтруватиме деякі пакети помилок або пакети занадто малого розміру. Однак TAP забезпечує цілісність даних, оскільки це повна «реплікація» на фізичному рівні.
Різниця 4: Затримка пересилання TAP менша, ніж у Port Mirroring
На деяких комутаторах нижчого рівня дзеркальне відображення портів може спричинити затримку під час копіювання трафіку до портів віддзеркалення, а також під час копіювання портів 10/100 м до портів Giga Ethernet.
Хоча це широко задокументовано, ми вважаємо, що останнім двом аналізам бракує певної технічної підтримки.
Отже, в якій загальній ситуації нам потрібно використовувати TAP для розподілу мережевого трафіку? Простіше кажучи, якщо у вас є наведені нижче вимоги, тоді мережевий TAP є вашим найкращим вибором.
Мережні технології TAP
Послухайте вищесказане, відчуйте, що мережевий шунт TAP справді чарівний пристрій, поточний ринковий шунт TAP використовує базову архітектуру приблизно трьох категорій:
FPGA
- Висока продуктивність
- Важко розвиватися
- Висока вартість
MIPS
- Гнучкий і зручний
- Помірні труднощі розвитку
- Основні постачальники RMI та Cavium припинили розробку та пізніше зазнали невдачі
ASIC
- Висока продуктивність
- Розвиток функції розширення складний, головним чином через обмеження самого чіпа
- Інтерфейс і характеристики обмежені самим чіпом, що призводить до низької продуктивності розширення
Таким чином, мережа TAP з високою щільністю та високою швидкістю, яку можна побачити на ринку, має багато можливостей для покращення гнучкості в практичному використанні. Шунтери мережі TAP використовуються для перетворення протоколів, збору даних, шунтування даних, віддзеркалення даних і фільтрації трафіку. Основні поширені типи портів включають 100G, 40G, 10G, 2,5G POS, GE тощо. У зв’язку з поступовим припиненням продуктів SDH поточні мережеві TAP-шунтери здебільшого використовуються в мережевому середовищі Ethernet.
Час публікації: 25 травня 2022 р
