Når en Intrusion Detection System (IDS)-enhet distribueres, er ikke speilingsporten på svitsjen i informasjonssenteret til motparten nok (for eksempel er bare én speilingsport tillatt, og speilingsporten har okkupert andre enheter).
Når vi ikke legger til mange speilingsporter, kan vi bruke nettverksreplikasjons-, aggregerings- og videresendingsenheten til å distribuere samme mengde speilingsdata til enheten vår.
Hva er nettverkets TAP?
Kanskje du først hørte navnet TAP-svitsj. TAP (Terminal Access Point), også kjent som NPB (Network Packet Broker), eller Tap Aggregator?
Kjernefunksjonen til TAP er å sette opp en forbindelse mellom speilingsporten på produksjonsnettverket og en analyseenhetsklynge. TAP-en samler den speilede eller separerte trafikken fra en eller flere produksjonsnettverksenheter og distribuerer trafikken til en eller flere dataanalyseenheter.
Vanlige scenarier for distribusjon av Network TAP-nettverk
Network Tap har åpenbare etiketter, for eksempel:
Uavhengig maskinvare
TAP er en separat maskinvareenhet som ikke påvirker belastningen på eksisterende nettverksenheter, noe som er en av fordelene fremfor portspeiling.
Bryter?
Nettverkstrykk?
Nettverk gjennomsiktig
Etter at TAP-en er koblet til nettverket, påvirkes ikke alle andre enheter på nettverket. For dem er TAP-en transparent som luft, og overvåkingsenhetene som er koblet til TAP-en er transparente for nettverket som helhet.
TAP er akkurat som portspeiling på en svitsj. Så hvorfor distribuere en separat TAP? La oss se på noen av forskjellene mellom Network TAP og Network Port Mirroring etter tur.
Forskjell 1Nettverks-TAP er enklere å konfigurere enn portspegling
Portspeiling må konfigureres på svitsjen. Hvis overvåkingen må justeres, må svitsjen konfigureres på nytt til ALLE. TAP trenger imidlertid bare å justeres der det er forespurt, noe som ikke har noen innvirkning på eksisterende nettverksenheter.
Forskjell 2Nettverks-TAP påvirker ikke nettverksytelsen i forhold til portspeiling
Portspeiling på svitsjen forringer svitsjens ytelse og påvirker svitsjekapasiteten. Spesielt hvis svitsjen er koblet til et nettverk i serie som inline, påvirkes videresendingskapasiteten til hele nettverket alvorlig. TAP er en uavhengig maskinvare og forringer ikke enhetens ytelse på grunn av trafikkspeiling. Derfor har den ingen innvirkning på belastningen på eksisterende nettverksenheter, noe som har store fordeler fremfor portspeiling.
Forskjell 3Nettverks-TAP gir en mer komplett trafikkprosess enn portspeglingsreplikasjon
Portspeiling kan ikke garantere at all trafikk kan hentes inn fordi selve svitsjporten vil filtrere noen feilpakker eller pakker som er for små. TAP sikrer imidlertid dataintegritet fordi det er en fullstendig "replikasjon" på det fysiske laget.
Forskjell 4Videresendingsforsinkelsen til TAP er mindre enn for portspeiling
På noen lavprissvitsjer kan portspeiling føre til forsinkelse når trafikk kopieres til speilingsporter, samt når 10/100m-porter kopieres til Giga Ethernet-porter.
Selv om dette er bredt dokumentert, mener vi at de to sistnevnte analysene mangler noe sterk teknisk støtte.
Så, i hvilken generell situasjon trenger vi å bruke TAP for distribusjon av nettverkstrafikk? Enkelt sagt, hvis du har følgende krav, er Network TAP det beste valget.
Nettverk TAP-teknologier
Lytt til det ovennevnte, føl at TAP-nettverksshunten virkelig er en magisk enhet, den nåværende markedsvanlige TAP-shunten bruker den underliggende arkitekturen i omtrent tre kategorier:
FPGA
- Høy ytelse
- Vanskelig å utvikle
- Høye kostnader
MIPS
- Fleksibel og praktisk
- Moderat utviklingsvanskelighetsgrad
- Mainstream-leverandørene RMI og Cavium stoppet utviklingen og mislyktes senere
ASIC
- Høy ytelse
- Utvikling av ekspansjonsfunksjoner er vanskelig, hovedsakelig på grunn av begrensningene til selve brikken.
- Grensesnittet og spesifikasjonene er begrenset av selve brikken, noe som resulterer i dårlig utvidelsesytelse
Derfor har den høytetthets- og høyhastighets-Network TAP-en som er sett på markedet mye rom for forbedring når det gjelder fleksibilitet i praktisk bruk. TAP-nettverksshuntere brukes til protokollkonvertering, datainnsamling, datashunting, dataspeiling og trafikkfiltrering. De viktigste vanlige porttypene inkluderer 100G, 40G, 10G, 2.5G POS, GE, osv. På grunn av den gradvise tilbaketrekningen av SDH-produkter, brukes nåværende Network TAP-shuntere hovedsakelig i et hel-Ethernet-nettverksmiljø.
Publisert: 25. mai 2022
