Quando viene distribuito un dispositivo di sistema di rilevamento delle intrusioni (IDS), la porta di mirroring sull'interruttore nel centro informazioni della parte peer non è sufficiente (ad esempio, è consentita una sola porta di mirroring e la porta di mirroring ha occupato altri dispositivi).
Al momento, quando non aggiungiamo molte porte di mirroring, possiamo utilizzare la replica, l'aggregazione e il dispositivo di inoltro di rete per distribuire la stessa quantità di dati di mirroring sul nostro dispositivo.
Qual è il rubinetto di rete?
Forse hai sentito per la prima volta il nome di rubinetto. TAP (Terminal Access Point), noto anche come NPB (broker di pacchetti di rete) o aggregatore TAP?
La funzione principale di TAP è quella di impostare tra la porta di mirroring sulla rete di produzione e un cluster di dispositivi di analisi. Il TAP raccoglie il traffico specchio o separato da uno o più dispositivi di rete di produzione e distribuisce il traffico a uno o più dispositivi di analisi dei dati.
Scenari di distribuzione della rete di rete comuni
La rete TAP ha etichette ovvie, come:
Hardware indipendente
TAP è un pezzo di hardware separato che non influisce sul carico sui dispositivi di rete esistenti, che è uno dei vantaggi rispetto al mirroring della porta.
Interruttore?
Tocca di rete?
Rete trasparente
Dopo che il TAP è collegato alla rete, tutti gli altri dispositivi sulla rete non sono interessati. Per loro, il rubinetto è trasparente come aria e i dispositivi di monitoraggio collegati al rubinetto sono trasparenti alla rete nel suo insieme.
TAP è proprio come il mirroring della porta su un interruttore. Allora perché distribuire un rubinetto separato? Diamo un'occhiata ad alcune delle differenze tra il mirroring della rete di rete e la porta di rete a sua volta.
Differenza 1: Tocco di rete è più facile da configurare rispetto al mirroring della porta
Il mirroring della porta deve essere configurato sullo switch. Se il monitoraggio deve essere regolato, l'interruttore deve essere riconfigurato tutto. Tuttavia, il TAP deve solo essere regolato dove è stato richiesto, il che non ha alcun impatto sui dispositivi di rete esistenti.
Differenza 2: TAP di rete non influisce sulle prestazioni della rete rispetto al specchio della porta
Il specchio della porta sull'interruttore deteriora le prestazioni dell'interruttore e influisce sulla capacità di commutazione. In particolare, se lo switch è collegato a una rete in serie come in linea, la capacità di inoltro dell'intera rete è gravemente influenzata. TAP è un hardware indipendente e non compromette le prestazioni del dispositivo a causa del mirroring del traffico. Pertanto, non ha alcun impatto sul carico di dispositivi di rete esistenti, che presenta grandi vantaggi rispetto al mirroring della porta.
Differenza 3: TAP di rete fornisce un processo di traffico più completo rispetto alla replica del mirroring di porta
Il mirroring della porta non può garantire che tutto il traffico possa essere ottenuto perché la porta dello switch stessa filtrerà alcuni pacchetti di errore o pacchetti di dimensioni troppo piccole. Tuttavia, il TAP garantisce l'integrità dei dati perché è una "replica" completa nel livello fisico.
Differenza 4: Il ritardo di inoltro del rubinetto è inferiore a quello del mirroring della porta
Su alcuni switch di fascia bassa, il mirroring delle porte può introdurre latenza quando si coprono il traffico in porte di mirroring, nonché quando si copiano le porte di 10/100 m alle porte Ethernet Giga.
Sebbene ciò sia ampiamente documentato, riteniamo che le ultime due analisi non abbiano un forte supporto tecnico.
Quindi, in quale situazione generale, dobbiamo utilizzare TAP per la distribuzione del traffico di rete? Semplicemente, se hai i seguenti requisiti, il tocco di rete è la scelta migliore.
Tecnologie di rete di rete
Ascolta quanto sopra, senti lo shunt della rete di rubinetto è davvero un dispositivo magico, l'attuale shunt di rubinetto comune del mercato che utilizza l'architettura sottostante di circa tre categorie:
FPGA
- Performance elevate
- difficile da sviluppare
- Costo elevato
MIPS
- flessibile e conveniente
- difficoltà di sviluppo moderata
- I fornitori tradizionali RMI e Cavium hanno fermato lo sviluppo e falliti in seguito
Asic
- Performance elevate
- Lo sviluppo delle funzioni di espansione è difficile, principalmente a causa dei limiti del chip stesso
- L'interfaccia e le specifiche sono limitate dal chip stesso, con conseguenti scarse prestazioni di espansione
Pertanto, il rubinetto della rete ad alta densità e ad alta velocità osservata sul mercato ha molto spazio per migliorare la flessibilità nell'uso pratico. TAP SHUNTERS Viene utilizzato per la conversione del protocollo, la raccolta dei dati, lo shunt dei dati, il mirroring dei dati e il filtro del traffico. I principali tipi di porte comuni includono 100G, 40G, 10G, 2,5G POS, GE, ecc. A causa del graduale ritiro dei prodotti SDH, gli shunters di tocco di rete attuali vengono utilizzati principalmente nell'ambiente di rete all-Ethernet.
Tempo post: maggio-25-2022
