Når en Intrusion Detection System (IDS)-enhet er utplassert, er speilingsporten på bryteren i informasjonssenteret til motparten ikke nok (for eksempel er bare én speilingsport tillatt, og speilingsporten har okkupert andre enheter).
På dette tidspunktet, når vi ikke legger til mange speilingsporter, kan vi bruke nettverksreplikerings-, aggregerings- og videresendingsenheten til å distribuere samme mengde speildata til enheten vår.
Hva er Network TAP?
Kanskje du først hørte navnet TAP-bryteren. TAP (Terminal Access Point), også kjent som NPB (Network Packet Broker), eller Tap Aggregator?
Kjernefunksjonen til TAP er å sette opp mellom speilingsporten på produksjonsnettverket og en analyseenhetsklynge. TAP samler speilvendt eller separert trafikk fra én eller flere produksjonsnettverksenheter og distribuerer trafikken til én eller flere dataanalyseenheter.
Gjennomsiktig nettverk
Etter at TAP er koblet til nettverket, påvirkes ikke alle andre enheter på nettverket. For dem er TAP transparent som luft, og overvåkingsenhetene som er koblet til TAP er transparente for nettverket som helhet.
TAP er akkurat som Port Mirroring på en bryter. Så hvorfor distribuere en egen TAP? La oss se på noen av forskjellene mellom Network TAP og Network Port Mirroring etter tur.
Forskjell 1: Network TAP er enklere å konfigurere enn portspeiling
Portspeiling må konfigureres på bryteren. Hvis overvåkingen må justeres, må bryteren omkonfigureres ALL. Imidlertid trenger TAP bare å justeres der den ber om, noe som ikke har noen innvirkning på eksisterende nettverksenheter.
Forskjell 2: Network TAP påvirker ikke nettverksytelsen i forhold til portspeiling
Portspeiling på bryteren forringer ytelsen til bryteren og påvirker bytteevnen. Spesielt hvis svitsjen er koblet til et nettverk i serie som inline, blir videresendingsevnen til hele nettverket sterkt påvirket. TAP er en uavhengig maskinvare og svekker ikke enhetens ytelse på grunn av trafikkspeiling. Derfor har det ingen innvirkning på belastningen av eksisterende nettverksenheter, noe som har store fordeler fremfor portspeiling.
Forskjell 3: Network TAP gir en mer fullstendig trafikkprosess enn portspeiling
Portspeiling kan ikke sikre at all trafikk kan oppnås fordi selve svitsjporten vil filtrere noen feilpakker eller for små pakker. Imidlertid sikrer TAP dataintegritet fordi det er en fullstendig "replikering" på det fysiske laget.
Forskjell 4: Videresendingsforsinkelsen til TAP er mindre enn for Port Mirroring
På noen low-end-svitsjer kan portspeiling introdusere ventetid ved kopiering av trafikk til speilingsporter, samt ved kopiering av 10/100m-porter til Giga Ethernet-porter.
Selv om dette er vidt dokumentert, mener vi at de to sistnevnte analysene mangler noe sterk teknisk støtte.
Så, i hvilken generell situasjon må vi bruke TAP for distribusjon av nettverkstrafikk? Ganske enkelt, hvis du har følgende krav, er Network TAP det beste valget.
Nettverk TAP-teknologier
Lytt til ovenstående, føl at TAP-nettverkshunten virkelig er en magisk enhet, den nåværende markedsvanlige TAP-shunten bruker den underliggende arkitekturen av omtrent tre kategorier:
FPGA
- Høy ytelse
– Vanskelig å utvikle
- Høy kostnad
MIPS
- Fleksibel og praktisk
- Moderat utviklingsvansker
- Mainstream-leverandørene RMI og Cavium stoppet utviklingen og mislyktes senere
ASIC
- Høy ytelse
– Utbygging av ekspansjonsfunksjon er vanskelig, hovedsakelig på grunn av begrensningene til selve brikken
- Grensesnittet og spesifikasjonene er begrenset av selve brikken, noe som resulterer i dårlig ekspansjonsytelse
Derfor har den høye tettheten og høyhastigheten Network TAP sett i markedet mye rom for forbedring i fleksibilitet i praktisk bruk. TAP-nettverkshuntere brukes til protokollkonvertering, datainnsamling, datashunting, dataspeiling og trafikkfiltrering. De viktigste vanlige porttypene inkluderer 100G, 40G, 10G, 2,5G POS, GE, etc. På grunn av den gradvise tilbaketrekkingen av SDH-produkter, brukes nåværende Network TAP-shuntere for det meste i nettverksmiljøet med Ethernet.
Innleggstid: 25. mai 2022