При развертывании устройства системы обнаружения вторжений (IDS) порта зеркалирования на коммутаторе в информационном центре одноранговой стороны недостаточно (например, разрешен только один порт зеркалирования, а порт зеркалирования занят другими устройствами).
В это время, когда мы не добавляем много портов зеркалирования, мы можем использовать сетевое устройство репликации, агрегации и пересылки для распределения того же объема зеркалируемых данных на наше устройство.
Что такое сетевой TAP?
Возможно, вы впервые услышали название TAP-коммутатор. TAP (Terminal Access Point), также известный как NPB (Network Packet Broker) или Tap Aggregator?
Основная функция TAP — установление соединения между портом зеркалирования в производственной сети и кластером устройств анализа данных. TAP собирает зеркалированный или разделённый трафик с одного или нескольких устройств производственной сети и распределяет его на одно или несколько устройств анализа данных.
Распространенные сценарии развертывания сети TAP
Network Tap имеет очевидные метки, такие как:
Независимое оборудование
TAP — это отдельное аппаратное обеспечение, которое не влияет на нагрузку на существующие сетевые устройства, что является одним из преимуществ по сравнению с зеркалированием портов.
Выключатель?
Сетевой прослушиватель?
Прозрачная сеть
После подключения TAP к сети все остальные устройства в сети не подвержены влиянию. Для них TAP абсолютно прозрачен, а устройства мониторинга, подключенные к TAP, прозрачны для сети в целом.
TAP — это то же самое, что и зеркалирование портов на коммутаторе. Так зачем же развертывать отдельный TAP? Давайте по очереди рассмотрим некоторые различия между сетевым TAP и зеркалированием сетевых портов.
Разница 1: Сетевой TAP проще настроить, чем зеркалирование портов
На коммутаторе необходимо настроить зеркалирование портов. Если требуется настройка мониторинга, необходимо полностью перенастроить коммутатор. Однако TAP необходимо настроить только там, где это требуется, что не повлияет на существующие сетевые устройства.
Разница 2: Сетевой TAP не влияет на производительность сети относительно зеркалирования портов.
Зеркалирование портов на коммутаторе ухудшает его производительность и влияет на коммутационные возможности. В частности, если коммутатор подключен к сети последовательно, это существенно снижает производительность всей сети. TAP — это независимое аппаратное обеспечение, не снижающее производительность устройства за счет зеркалирования трафика. Следовательно, оно не влияет на нагрузку на существующие сетевые устройства, что имеет существенные преимущества по сравнению с зеркалированием портов.
Разница 3: Сетевой TAP обеспечивает более полную обработку трафика, чем репликация с зеркалированием портов
Зеркалирование портов не может гарантировать получение всего трафика, поскольку сам порт коммутатора отфильтровывает некоторые пакеты с ошибками или слишком маленькие пакеты. Однако TAP обеспечивает целостность данных, поскольку представляет собой полную «репликацию» на физическом уровне.
Разница 4: Задержка пересылки TAP меньше, чем у Port Mirroring.
На некоторых бюджетных коммутаторах зеркалирование портов может привести к задержке при копировании трафика на зеркалируемые порты, а также при копировании портов 10/100 Мбит/с на порты Giga Ethernet.
Хотя это широко документировано, мы считаем, что последним двум анализам не хватает серьезной технической поддержки.
Итак, в какой общей ситуации нам нужно использовать TAP для распределения сетевого трафика? Если у вас есть следующие требования, то Network TAP — ваш лучший выбор.
Сетевые технологии TAP
Послушайте вышеизложенное, почувствуйте, что сетевой шунт TAP — это действительно волшебное устройство. На современном рынке распространены шунты TAP, использующие базовую архитектуру примерно трех категорий:
ПЛИС
- Высокая производительность
- Трудно разрабатывать
- Высокая стоимость
MIPS
- Гибкость и удобство
- Умеренная сложность освоения
- Основные поставщики RMI и Cavium прекратили разработку и впоследствии потерпели неудачу.
ASIC
- Высокая производительность
- Разработка функций расширения затруднена, в основном из-за ограничений самого чипа.
- Интерфейс и характеристики ограничены самим чипом, что приводит к низкой производительности расширения.
Таким образом, представленные на рынке высокоплотные и высокоскоростные сетевые TAP-устройства имеют значительный потенциал для повышения гибкости практического применения. Сетевые TAP-шунты используются для преобразования протоколов, сбора данных, шунтирования данных, зеркалирования данных и фильтрации трафика. Основные распространённые типы портов включают 100G, 40G, 10G, 2.5G POS, GE и т.д. В связи с постепенным снятием с производства SDH-оборудования, современные сетевые TAP-шунты в основном используются в сетях Ethernet.
Время публикации: 25 мая 2022 г.
