Коли розгорнуто пристрій системи виявлення вторгнень (IDS), порту дзеркалювання на комутаторі в інформаційному центрі сторони, що з'єднує пристрій, недостатньо (наприклад, дозволено використовувати лише один порт дзеркалювання, а порт дзеркалювання зайнятий іншими пристроями).
Наразі, коли ми не додаємо багато портів дзеркалювання, ми можемо використовувати пристрій реплікації, агрегації та пересилання мережі для розподілу такої ж кількості даних дзеркалювання на наш пристрій.
Що таке мережевий TAP?
Можливо, ви вперше почули назву TAP-комутатор. TAP (Точка доступу термінала), також відомий як NPB (Мережевий брокер пакетів) або Tap Aggregator?
Основна функція TAP полягає у встановленні між портом дзеркалювання у виробничій мережі та кластером пристроїв аналізу. TAP збирає дзеркальний або розділений трафік з одного або кількох пристроїв виробничої мережі та розподіляє його на один або кілька пристроїв аналізу даних.
Сценарії розгортання мережі TAP (поширені мережі)
Network Tap має очевидні позначки, такі як:
Незалежне обладнання
TAP — це окремий елемент обладнання, який не впливає на навантаження на існуючі мережеві пристрої, що є однією з переваг перед дзеркалюванням портів.
Перемикач?
Мережевий відключення?
Прозора мережа
Після підключення TAP до мережі це не впливає на всі інші пристрої в мережі. Для них TAP прозорий як повітря, а пристрої моніторингу, підключені до TAP, прозорі для мережі в цілому.
TAP — це щось на кшталт дзеркалювання портів на комутаторі. Тож навіщо розгортати окремий TAP? Давайте по черзі розглянемо деякі відмінності між мережевим TAP та дзеркалюванням мережевих портів.
Різниця 1Мережевий TAP легше налаштувати, ніж дзеркалювання портів.
На комутаторі потрібно налаштувати дзеркалювання портів. Якщо потрібно налаштувати моніторинг, потрібно повністю переналаштувати комутатор. Однак, TAP потрібно налаштувати лише там, де він запитував, що не впливає на існуючі мережеві пристрої.
Різниця 2Мережевий TAP не впливає на продуктивність мережі відносно дзеркалювання портів.
Дзеркалювання портів на комутаторі погіршує його продуктивність та впливає на можливості комутації. Зокрема, якщо комутатор підключено до мережі послідовно як вбудоване, це суттєво впливає на можливості переадресації всієї мережі. TAP є незалежним обладнанням і не погіршує продуктивність пристрою через дзеркалювання трафіку. Тому він не впливає на навантаження існуючих мережевих пристроїв, що має великі переваги перед дзеркалюванням портів.
Різниця 3Мережевий TAP забезпечує більш повну обробку трафіку, ніж реплікація дзеркалювання портів.
Дзеркальне відображення портів не може гарантувати отримання всього трафіку, оскільки сам порт комутатора фільтруватиме деякі пакети з помилками або пакети занадто малого розміру. Однак TAP забезпечує цілісність даних, оскільки це повна «реплікація» на фізичному рівні.
Різниця 4Затримка пересилання TAP менша, ніж у Port Mirroring
На деяких низькопродуктивних комутаторах дзеркалювання портів може створювати затримку під час копіювання трафіку на дзеркальні порти, а також під час копіювання портів 10/100 мА на порти Giga Ethernet.
Хоча це широко задокументовано, ми вважаємо, що два останні аналізи не мають певного вагомого технічного підтвердження.
Отже, в якій загальній ситуації нам потрібно використовувати TAP для розподілу мережевого трафіку? Простіше кажучи, якщо у вас є наступні вимоги, тоді Network TAP — ваш найкращий вибір.
Мережеві TAP-технології
Послухайте вищесказане, відчуйте, що мережевий шунт TAP – це справді чарівний пристрій, сучасний поширений на ринку шунт TAP, який використовує базову архітектуру приблизно трьох категорій:
ПЛІС
- Висока продуктивність
- Важко розвиватися
- Висока вартість
МІПС
- Гнучкий та зручний
- Помірні труднощі розвитку
- Основні постачальники RMI та Cavium припинили розробку та пізніше зазнали невдачі.
ASIC
- Висока продуктивність
- Розробка функцій розширення є складною, головним чином через обмеження самого чіпа
- Інтерфейс та характеристики обмежені самим чіпом, що призводить до низької продуктивності розширення
Таким чином, мережеві TAP з високою щільністю та високою швидкістю, що представлені на ринку, мають великий потенціал для покращення гнучкості на практиці. Мережеві шунтируючі порти TAP використовуються для перетворення протоколів, збору даних, шунтування даних, дзеркалювання даних та фільтрації трафіку. Основні поширені типи портів включають 100G, 40G, 10G, 2.5G POS, GE тощо. Через поступове виведення продуктів SDH, сучасні мережеві шунтируючі порти TAP здебільшого використовуються в мережевому середовищі Ethernet.
Час публікації: 25 травня 2022 р.
