Wanneer een Inbraakdetectiesysteem (IDS)-apparaat wordt ingezet, is de spiegelpoort op de switch in het informatiecentrum van de peer-partij niet voldoende (er is bijvoorbeeld slechts één spiegelpoort toegestaan en de spiegelpoort heeft andere apparaten bezet).
Op dit moment, wanneer we niet veel spiegelpoorten toevoegen, kunnen we het netwerkreplicatie-, aggregatie- en doorstuurapparaat gebruiken om dezelfde hoeveelheid spiegelgegevens naar ons apparaat te distribueren.
Wat is de netwerk-TAP?
Misschien hoorde je voor het eerst de naam TAP-schakelaar. TAP (Terminal Access Point), ook bekend als NPB (Network Packet Broker), of Tap Aggregator?
De kernfunctie van TAP is het opzetten tussen de spiegelpoort op het productienetwerk en een analyseapparaatcluster. De TAP verzamelt het gespiegelde of gescheiden verkeer van een of meer productienetwerkapparaten en distribueert het verkeer naar een of meer apparaten voor gegevensanalyse.
Algemene netwerk-TAP-netwerkimplementatiescenario's
Network Tap heeft duidelijke labels, zoals:
Onafhankelijke hardware
TAP is een afzonderlijk stuk hardware dat de belasting van bestaande netwerkapparaten niet beïnvloedt, wat een van de voordelen is ten opzichte van poortspiegeling.
Schakelaar?
Netwerktap?
Netwerk transparant
Nadat de TAP met het netwerk is verbonden, worden alle andere apparaten op het netwerk niet beïnvloed. Voor hen is de TAP transparant als lucht, en de monitoringapparatuur die op de TAP is aangesloten, is transparant voor het netwerk als geheel.
TAP is net als Port Mirroring op een switch. Waarom dan een aparte TAP inzetten? Laten we achtereenvolgens enkele verschillen tussen Network TAP en Network Port Mirroring bekijken.
Verschil 1: Netwerk TAP is eenvoudiger te configureren dan poortspiegeling
Poortspiegeling moet op de switch worden geconfigureerd. Als de monitoring moet worden aangepast, moet de schakelaar ALL opnieuw worden geconfigureerd. De TAP hoeft echter alleen te worden aangepast waar daarom wordt gevraagd, wat geen impact heeft op bestaande netwerkapparaten.
Verschil 2: Netwerk TAP heeft geen invloed op de netwerkprestaties met betrekking tot poortspiegeling
Poortspiegeling op de switch verslechtert de prestaties van de switch en beïnvloedt de schakelmogelijkheden. Met name als de switch in serie als inline op een netwerk is aangesloten, wordt de doorstuurcapaciteit van het hele netwerk ernstig beïnvloed. TAP is onafhankelijke hardware en heeft geen invloed op de prestaties van het apparaat als gevolg van verkeersspiegeling. Daarom heeft het geen invloed op de belasting van bestaande netwerkapparaten, wat grote voordelen heeft ten opzichte van poortspiegeling.
Verschil 3: Network TAP biedt een completer verkeersproces dan replicatie van poortspiegeling
Poortspiegeling kan er niet voor zorgen dat al het verkeer kan worden verkregen, omdat de switchpoort zelf enkele foutpakketten of pakketten van te kleine afmetingen zal filteren. De TAP garandeert echter de gegevensintegriteit omdat het een volledige "replicatie" op de fysieke laag is.
Verschil 4: De doorstuurvertraging van TAP is kleiner dan die van Port Mirroring
Op sommige low-end switches kan poortspiegeling latentie veroorzaken bij het kopiëren van verkeer naar spiegelpoorten, evenals bij het kopiëren van 10/100m-poorten naar Giga Ethernet-poorten.
Hoewel dit uitgebreid gedocumenteerd is, zijn wij van mening dat de laatste twee analyses enige sterke technische ondersteuning missen.
In welke algemene situatie moeten we TAP gebruiken voor de distributie van netwerkverkeer? Als u aan de volgende vereisten voldoet, is de Network TAP uw beste keuze.
Netwerk TAP-technologieën
Luister naar het bovenstaande en voel dat de TAP-netwerkshunt echt een magisch apparaat is, de huidige op de markt gebruikelijke TAP-shunt die de onderliggende architectuur van grofweg drie categorieën gebruikt:
FPGA
- Hoge prestaties
- Moeilijk te ontwikkelen
- Hoge kosten
MIPS
- Flexibel en handig
- Matige ontwikkelingsproblemen
- De reguliere leveranciers RMI en Cavium stopten met de ontwikkeling en faalden later
ASIC
- Hoge prestaties
- De ontwikkeling van uitbreidingsfuncties is moeilijk, vooral vanwege de beperkingen van de chip zelf
- De interface en specificaties worden beperkt door de chip zelf, wat resulteert in slechte uitbreidingsprestaties
Daarom biedt de netwerk-TAP met hoge dichtheid en hoge snelheid die op de markt wordt gezien veel ruimte voor verbetering in flexibiliteit bij praktisch gebruik. TAP-netwerkrangeerders worden gebruikt voor protocolconversie, gegevensverzameling, gegevensrangschikking, gegevensspiegeling en verkeersfiltering. De belangrijkste gangbare poorttypen zijn 100G, 40G, 10G, 2.5G POS, GE, enz. Vanwege de geleidelijke terugtrekking van SDH-producten worden de huidige Network TAP-rangeerders meestal gebruikt in de volledig Ethernet-netwerkomgeving.
Posttijd: 25 mei 2022
