Wanneer een Intrusion Detection System (IDS)-apparaat wordt ingezet, is de mirroringpoort op de switch in het informatiecentrum van de tegenpartij onvoldoende (bijvoorbeeld, er is slechts één mirroringpoort beschikbaar en deze is al in gebruik door andere apparaten).
Op dit moment, wanneer we niet veel mirroringpoorten toevoegen, kunnen we het netwerkreplicatie-, aggregatie- en doorstuurapparaat gebruiken om dezelfde hoeveelheid mirroringdata naar onze apparaten te distribueren.
Wat is een netwerk-TAP?
Misschien hoorde je voor het eerst de naam TAP-switch. TAP (Terminal Access Point), ook wel bekend als NPB (Network Packet Broker) of Tap Aggregator?
De kernfunctie van TAP is het opzetten van een verbinding tussen de mirroringpoort op het productienetwerk en een cluster van analyseapparaten. De TAP verzamelt het gespiegelde of gescheiden verkeer van een of meer apparaten op het productienetwerk en verdeelt dit verkeer over een of meer data-analyseapparaten.
Veelvoorkomende implementatiescenario's voor TAP-netwerken
Network Tap heeft duidelijke labels, zoals:
Onafhankelijke hardware
TAP is een apart hardwareonderdeel dat geen invloed heeft op de belasting van bestaande netwerkapparaten, wat een van de voordelen is ten opzichte van port mirroring.
Schakelaar?
Netwerktap?
Netwerk transparant
Nadat de TAP op het netwerk is aangesloten, worden alle andere apparaten op het netwerk niet beïnvloed. Voor hen is de TAP volkomen onzichtbaar, en de bewakingsapparaten die op de TAP zijn aangesloten, zijn onzichtbaar voor het netwerk als geheel.
TAP is vergelijkbaar met poortspiegeling op een switch. Waarom zou je dan een aparte TAP implementeren? Laten we eens kijken naar de verschillen tussen Network TAP en Network Port Mirroring.
Verschil 1Netwerk-TAP is eenvoudiger te configureren dan poortspiegeling.
Poortspiegeling moet op de switch geconfigureerd worden. Als de monitoring aangepast moet worden, moet de switch volledig opnieuw geconfigureerd worden. De TAP hoeft echter alleen aangepast te worden waar dit nodig is, wat geen invloed heeft op bestaande netwerkapparaten.
Verschil 2Netwerk-TAP heeft geen invloed op de netwerkprestaties in vergelijking met poortspiegeling.
Poortspiegeling op de switch verslechtert de prestaties van de switch en beïnvloedt de schakelcapaciteit. Vooral wanneer de switch in serie met een netwerk is verbonden (inline), wordt de doorvoercapaciteit van het gehele netwerk ernstig beïnvloed. TAP is een onafhankelijke hardwarecomponent en beïnvloedt de prestaties van apparaten niet negatief door verkeersspiegeling. Daardoor heeft het geen invloed op de belasting van bestaande netwerkapparaten, wat een groot voordeel is ten opzichte van poortspiegeling.
Verschil 3Netwerk-TAP biedt een completere verkeersverwerking dan replicatie via poortspiegeling.
Port mirroring kan niet garanderen dat al het verkeer wordt ontvangen, omdat de switchpoort zelf sommige foutieve pakketten of pakketten van te kleine omvang filtert. TAP daarentegen garandeert de data-integriteit omdat het een volledige "replicatie" op de fysieke laag is.
Verschil 4De doorstuurvertraging van TAP is kleiner dan die van Port Mirroring.
Bij sommige switches uit het lagere segment kan poortspiegeling vertraging veroorzaken bij het kopiëren van verkeer naar spiegelpoorten, en ook bij het kopiëren van 10/100m-poorten naar Gigabit Ethernet-poorten.
Hoewel dit algemeen bekend is, zijn wij van mening dat de laatste twee analyses een aantal sterke technische onderbouwingen missen.
In welke algemene situatie moeten we TAP gebruiken voor de distributie van netwerkverkeer? Simpel gezegd: als u aan de volgende eisen voldoet, is Network TAP de beste keuze.
Netwerk TAP-technologieën
Luister naar het bovenstaande en ervaar zelf hoe magisch de TAP-netwerkshunt is. De TAP-shunts die momenteel op de markt verkrijgbaar zijn, maken gebruik van een architectuur die grofweg in drie categorieën valt:
FPGA
- Hoge prestaties
- Moeilijk te ontwikkelen
- Hoge kosten
MIPS
- Flexibel en handig
- Gemiddelde ontwikkelingsmoeilijkheid
- De grote leveranciers RMI en Cavium stopten later met de ontwikkeling en gingen failliet.
ASIC
- Hoge prestaties
- De ontwikkeling van uitbreidingsfuncties is lastig, voornamelijk vanwege de beperkingen van de chip zelf.
- De interface en specificaties worden beperkt door de chip zelf, wat resulteert in slechte uitbreidingsprestaties.
Daarom is er bij de op de markt verkrijgbare Network TAP met hoge dichtheid en hoge snelheid nog veel ruimte voor verbetering wat betreft flexibiliteit in de praktijk. TAP-netwerkshunters worden gebruikt voor protocolconversie, dataverzameling, datashunting, dataspiegeling en verkeersfiltering. De meest voorkomende poorttypen zijn onder andere 100G, 40G, 10G, 2,5G POS en GE. Door de geleidelijke uitfasering van SDH-producten worden de huidige Network TAP-shunters voornamelijk gebruikt in volledig Ethernet-netwerken.
Geplaatst op: 25 mei 2022
