Quando viene implementato un dispositivo Intrusion Detection System (IDS), la porta mirroring sullo switch nel centro informazioni della parte peer non è sufficiente (ad esempio, è consentita una sola porta mirroring e la porta mirroring ha occupato altri dispositivi).
In questo momento, quando non aggiungiamo molte porte mirroring, possiamo utilizzare il dispositivo di replicazione, aggregazione e inoltro della rete per distribuire la stessa quantità di dati mirroring al nostro dispositivo.
Che cosa è il Network TAP?
Forse la prima cosa che hai sentito è stato il nome switch TAP. TAP (Terminal Access Point), noto anche come NPB (Network Packet Broker) o Tap Aggregator?
La funzione principale del TAP è quella di stabilire un collegamento tra la porta di mirroring sulla rete di produzione e un cluster di dispositivi di analisi. Il TAP raccoglie il traffico mirrorato o separato da uno o più dispositivi della rete di produzione e lo distribuisce a uno o più dispositivi di analisi dati.
Scenari di distribuzione della rete TAP di Common Network
Network Tap ha etichette evidenti, come:
Hardware indipendente
TAP è un componente hardware separato che non influisce sul carico dei dispositivi di rete esistenti, il che rappresenta uno dei vantaggi rispetto al mirroring delle porte.
Interruttore?
Rubinetto di rete?
Rete trasparente
Una volta che il TAP è connesso alla rete, tutti gli altri dispositivi sulla rete non ne sono interessati. Per loro, il TAP è trasparente come l'aria e i dispositivi di monitoraggio ad esso collegati sono trasparenti per la rete nel suo complesso.
Il TAP è simile al Port Mirroring su uno switch. Perché implementare un TAP separato? Esaminiamo ora alcune delle differenze tra Network TAP e Network Port Mirroring.
Differenza 1: Il TAP di rete è più facile da configurare rispetto al mirroring delle porte
Il mirroring delle porte deve essere configurato sullo switch. Se è necessario modificare il monitoraggio, è necessario riconfigurare completamente lo switch. Tuttavia, il TAP deve essere modificato solo dove richiesto, senza alcun impatto sui dispositivi di rete esistenti.
Differenza 2: Il TAP di rete non influisce sulle prestazioni di rete relative al mirroring delle porte
Il mirroring delle porte sullo switch ne compromette le prestazioni e ne compromette la capacità di commutazione. In particolare, se lo switch è collegato in serie a una rete come in linea, la capacità di inoltro dell'intera rete viene gravemente compromessa. Il TAP è un hardware indipendente e non compromette le prestazioni del dispositivo a causa del mirroring del traffico. Pertanto, non ha alcun impatto sul carico dei dispositivi di rete esistenti, il che presenta notevoli vantaggi rispetto al mirroring delle porte.
Differenza 3: La rete TAP fornisce un processo di traffico più completo rispetto alla replicazione del mirroring delle porte
Il mirroring delle porte non può garantire che tutto il traffico possa essere ricevuto, poiché la porta dello switch stesso filtrerà alcuni pacchetti di errore o pacchetti di dimensioni troppo ridotte. Tuttavia, il TAP garantisce l'integrità dei dati perché rappresenta una "replica" completa a livello fisico.
Differenza 4: Il ritardo di inoltro del TAP è inferiore a quello del Port Mirroring
Su alcuni switch di fascia bassa, il mirroring delle porte può causare latenza durante la copia del traffico sulle porte mirroring e durante la copia delle porte 10/100m sulle porte Giga Ethernet.
Sebbene ciò sia ampiamente documentato, riteniamo che le ultime due analisi manchino di un solido supporto tecnico.
Quindi, in quale situazione generale è necessario utilizzare il TAP per la distribuzione del traffico di rete? Semplicemente, se si hanno i seguenti requisiti, il TAP di rete è la scelta migliore.
Network TAP Technologies
Ascoltando quanto sopra, senti che lo shunt della rete TAP è davvero un dispositivo magico, l'attuale shunt TAP comune sul mercato utilizza l'architettura di base di circa tre categorie:
FPGA
- Alte prestazioni
- Difficile da sviluppare
- Costo elevato
MIPS
- Flessibile e conveniente
- Difficoltà di sviluppo moderata
- I principali fornitori RMI e Cavium hanno interrotto lo sviluppo e in seguito hanno fallito
ASIC
- Alte prestazioni
- Lo sviluppo della funzione di espansione è difficile, principalmente a causa delle limitazioni del chip stesso
- L'interfaccia e le specifiche sono limitate dal chip stesso, con conseguenti scarse prestazioni di espansione
Pertanto, i TAP di rete ad alta densità e alta velocità presenti sul mercato presentano ampi margini di miglioramento in termini di flessibilità nell'uso pratico. Gli shunter di rete TAP vengono utilizzati per la conversione di protocollo, la raccolta dati, lo shunting, il mirroring dei dati e il filtraggio del traffico. Le principali tipologie di porte comuni includono 100G, 40G, 10G, 2.5G POS, GE, ecc. A causa del graduale ritiro dei prodotti SDH, gli attuali shunter di rete TAP sono utilizzati principalmente in ambienti di rete completamente Ethernet.
Data di pubblicazione: 25 maggio 2022
