Când este implementat un dispozitiv IDS (Intrusion Detection System), portul de oglindire de pe switch-ul din centrul de informații al peer-party-ului nu este suficient (de exemplu, este permis un singur port de oglindire, iar portul de oglindire a ocupat alte dispozitive).
În acest moment, când nu adăugăm multe porturi de oglindire, putem folosi dispozitivul de replicare, agregare și redirecționare a rețelei pentru a distribui aceeași cantitate de date de oglindire către dispozitivul nostru.
Ce este rețeaua TAP?
Poate ați auzit prima dată de numele de comutator TAP. TAP (Terminal Access Point), cunoscut și sub numele de NPB (Network Packet Broker) sau Tap Aggregator?
Funcția principală a TAP este de a configura conexiunea între portul de oglindire din rețeaua de producție și un cluster de dispozitive de analiză. TAP colectează traficul oglindit sau separat de la unul sau mai multe dispozitive din rețeaua de producție și distribuie traficul către unul sau mai multe dispozitive de analiză a datelor.
Scenarii comune de implementare a rețelei TAP Network
Network Tap are etichete evidente, cum ar fi:
Hardware independent
TAP este o componentă hardware separată care nu afectează sarcina dispozitivelor de rețea existente, acesta fiind unul dintre avantajele față de oglindirea porturilor.
Comutare?
Atingere rețea?
Rețea transparentă
După ce TAP-ul este conectat la rețea, toate celelalte dispozitive din rețea nu sunt afectate. Pentru acestea, TAP-ul este transparent ca aerul, iar dispozitivele de monitorizare conectate la TAP sunt transparente pentru rețea în ansamblu.
TAP este exact ca Port Mirroring pe un switch. Așadar, de ce să implementăm un TAP separat? Să analizăm pe rând câteva dintre diferențele dintre Network TAP și Network Port Mirroring.
Diferența 1TAP-ul de rețea este mai ușor de configurat decât oglindirea porturilor
Oglindirea porturilor trebuie configurată pe switch. Dacă monitorizarea trebuie ajustată, switch-ul trebuie reconfigurat complet. Cu toate acestea, TAP-ul trebuie ajustat doar acolo unde este solicitat, ceea ce nu are niciun impact asupra dispozitivelor de rețea existente.
Diferența 2TAP-ul de rețea nu afectează performanța rețelei în raport cu oglindirea porturilor
Oglindirea porturilor pe switch deteriorează performanța switch-ului și afectează capacitatea de comutare. În special, dacă switch-ul este conectat la o rețea în serie ca inline, capacitatea de redirecționare a întregii rețele este grav afectată. TAP este un hardware independent și nu afectează performanța dispozitivului din cauza oglindirii traficului. Prin urmare, nu are impact asupra încărcării dispozitivelor de rețea existente, ceea ce prezintă avantaje mari față de oglindirea porturilor.
Diferența 3Rețeaua TAP oferă un proces de trafic mai complet decât replicarea prin oglindire a porturilor
Oglindirea porturilor nu poate garanta că tot traficul poate fi obținut, deoarece portul switch-ului în sine va filtra unele pachete de erori sau pachete de dimensiuni prea mici. Cu toate acestea, TAP asigură integritatea datelor, deoarece este o „replicare” completă la nivelul fizic.
Diferența 4Întârzierea de redirecționare a TAP este mai mică decât cea a Port Mirroring
Pe unele switch-uri low-end, oglindirea porturilor poate introduce latență la copierea traficului către porturile de oglindire, precum și la copierea porturilor 10/100m către porturi Giga Ethernet.
Deși acest lucru este documentat pe scară largă, considerăm că ultimelor două analize le lipsește un suport tehnic solid.
Deci, în ce situație generală trebuie să folosim TAP pentru distribuția traficului de rețea? Pur și simplu, dacă aveți următoarele cerințe, atunci TAP de rețea este cea mai bună alegere.
Tehnologii de rețea TAP
Ascultați cele de mai sus, simțiți că șuntul rețelei TAP este într-adevăr un dispozitiv magic, șuntul TAP comun de pe piață în prezent folosind arhitectura de bază a aproximativ trei categorii:
FPGA
- Performanță ridicată
- Dificil de dezvoltat
- Cost ridicat
MIPS
- Flexibil și convenabil
- Dificultate moderată de dezvoltare
Furnizorii mainstream RMI și Cavium au oprit dezvoltarea și au eșuat ulterior
ASIC-uri
- Performanță ridicată
Dezvoltarea funcției de expansiune este dificilă, în principal din cauza limitărilor cipului în sine
- Interfața și specificațiile sunt limitate de cipul în sine, ceea ce duce la performanțe de expansiune slabe
Prin urmare, porturile de rețea TAP de mare densitate și viteză întâlnite pe piață oferă mult spațiu pentru îmbunătățiri în ceea ce privește flexibilitatea în utilizarea practică. Shuntrele de rețea TAP sunt utilizate pentru conversia protocoalelor, colectarea datelor, shuntarea datelor, oglindirea datelor și filtrarea traficului. Principalele tipuri de porturi comune includ 100G, 40G, 10G, 2.5G POS, GE etc. Datorită retragerii treptate a produselor SDH, shuntrele de rețea TAP actuale sunt utilizate în mare parte în mediul de rețea all-Ethernet.
Data publicării: 25 mai 2022
