Wanneer een IDS-apparaat (Intrusion Detection System) is geïmplementeerd, is de mirroringpoort op de switch in het informatiecentrum van de peer-partij niet voldoende (er is bijvoorbeeld slechts één mirroringpoort toegestaan en de mirroringpoort is al in gebruik bij andere apparaten).
Op dit moment, wanneer we niet veel mirroringpoorten toevoegen, kunnen we het netwerkreplicatie-, aggregatie- en doorstuurapparaat gebruiken om dezelfde hoeveelheid mirroringgegevens naar ons apparaat te distribueren.
Wat is het Netwerk TAP?
Misschien hoorde je voor het eerst de naam TAP-switch. TAP (Terminal Access Point), ook wel bekend als NPB (Network Packet Broker) of Tap Aggregator?
De kernfunctie van TAP is het opzetten van een verbinding tussen de mirroringpoort op het productienetwerk en een cluster van analyseapparaten. TAP verzamelt het gespiegelde of gescheiden verkeer van een of meer apparaten in het productienetwerk en verdeelt dit over een of meer apparaten voor data-analyse.
Veelvoorkomende implementatiescenario's voor Network TAP-netwerken
Network Tap heeft duidelijke labels, zoals:
Onafhankelijke hardware
TAP is een afzonderlijk stuk hardware dat geen invloed heeft op de belasting van bestaande netwerkapparaten. Dit is een van de voordelen ten opzichte van poortspiegeling.
Schakelaar?
Netwerktap?
Netwerk Transparant
Nadat de TAP met het netwerk is verbonden, worden alle andere apparaten in het netwerk niet beïnvloed. Voor hen is de TAP transparant als de lucht, en de bewakingsapparaten die op de TAP zijn aangesloten, zijn transparant voor het netwerk als geheel.
TAP is vergelijkbaar met poortmirroring op een switch. Waarom zou je dan een aparte TAP implementeren? Laten we eens kijken naar de verschillen tussen Network TAP en Network Port Mirroring.
Verschil 1:Netwerk-TAP is eenvoudiger te configureren dan poortspiegeling
Poortspiegeling moet op de switch worden geconfigureerd. Als de monitoring moet worden aangepast, moet de switch volledig opnieuw worden geconfigureerd. De TAP hoeft echter alleen te worden aangepast waar dat nodig is. Dit heeft geen invloed op bestaande netwerkapparaten.
Verschil 2:Netwerk-TAP heeft geen invloed op de netwerkprestaties ten opzichte van poortspiegeling
Poortspiegeling op de switch verslechtert de prestaties van de switch en beïnvloedt de schakelcapaciteit. Met name als de switch in serie met een netwerk is verbonden, wordt de doorstuurcapaciteit van het gehele netwerk ernstig beïnvloed. TAP is een onafhankelijke hardware en heeft geen negatieve invloed op de apparaatprestaties door verkeersspiegeling. Het heeft daarom geen invloed op de belasting van bestaande netwerkapparaten, wat grote voordelen heeft ten opzichte van poortspiegeling.
Verschil 3:Netwerk-TAP biedt een completer verkeersproces dan poortspiegelreplicatie
Port mirroring kan niet garanderen dat al het verkeer kan worden verwerkt, omdat de switchpoort zelf enkele foutpakketten of pakketten met een te kleine omvang filtert. TAP waarborgt echter de data-integriteit doordat het een volledige "replicatie" op de fysieke laag is.
Verschil 4:De doorstuurvertraging van TAP is kleiner dan die van Port Mirroring
Op sommige low-end switches kan poortspiegeling latentie veroorzaken bij het kopiëren van verkeer naar spiegelpoorten en bij het kopiëren van 10/100m-poorten naar Giga Ethernet-poorten.
Hoewel dit uitgebreid gedocumenteerd is, zijn wij van mening dat de laatste twee analyses niet over voldoende technische ondersteuning beschikken.
Dus, in welke algemene situatie moeten we TAP gebruiken voor de distributie van netwerkverkeer? Simpel gezegd, als u aan de volgende vereisten voldoet, is netwerk-TAP de beste keuze.
Netwerk TAP-technologieën
Luister naar het bovenstaande en voel dat de TAP-netwerkshunt werkelijk een magisch apparaat is. De op dit moment gangbare TAP-shunt op de markt maakt gebruik van de onderliggende architectuur van grofweg drie categorieën:
FPGA
- Hoge prestaties
- Moeilijk te ontwikkelen
- Hoge kosten
MIPS
- Flexibel en handig
- Matige ontwikkelingsmoeilijkheden
- De belangrijkste leveranciers RMI en Cavium stopten met de ontwikkeling en gingen later failliet
ASIC
- Hoge prestaties
- De ontwikkeling van uitbreidingsfuncties is moeilijk, vooral vanwege de beperkingen van de chip zelf
- De interface en specificaties worden beperkt door de chip zelf, wat resulteert in slechte uitbreidingsprestaties
Daarom is er in de praktijk nog veel ruimte voor verbetering op het gebied van flexibiliteit in de hoge dichtheid en hoge snelheid van Network TAP-verbindingen. TAP-netwerkshunters worden gebruikt voor protocolconversie, dataverzameling, datashunting, datamirroring en verkeersfiltering. De belangrijkste gangbare poorttypen zijn 100G, 40G, 10G, 2.5G POS, GE, enz. Door de geleidelijke terugtrekking van SDH-producten worden de huidige Network TAP-shunters vooral gebruikt in volledig Ethernet-netwerkomgevingen.
Geplaatst op: 25 mei 2022
