Quando viene implementato un dispositivo Intrusion Detection System (IDS), la porta di mirroring sullo switch nel centro informazioni della parte peer non è sufficiente (ad esempio, è consentita solo una porta di mirroring e la porta di mirroring ha occupato altri dispositivi).
In questo momento, quando non aggiungiamo molte porte di mirroring, possiamo utilizzare il dispositivo di replicazione, aggregazione e inoltro della rete per distribuire la stessa quantità di dati di mirroring al nostro dispositivo.
Che cos'è il Network TAP?
Forse hai sentito per la prima volta il nome switch TAP. TAP (Terminal Access Point), noto anche come NPB (Network Packet Broker) o Tap Aggregator?
La funzione principale del TAP è quella di stabilire un collegamento tra la porta di mirroring sulla rete di produzione e un cluster di dispositivi di analisi. Il TAP raccoglie il traffico mirrorato o separato da uno o più dispositivi della rete di produzione e lo distribuisce a uno o più dispositivi di analisi dei dati.
Scenari di distribuzione della rete TAP di Common Network
Network Tap ha etichette evidenti, come:
Hardware indipendente
TAP è un componente hardware separato che non influisce sul carico dei dispositivi di rete esistenti, il che rappresenta uno dei vantaggi rispetto al mirroring delle porte.
Interruttore?
Rubinetto di rete?
Rete trasparente
Una volta connesso il TAP alla rete, tutti gli altri dispositivi sulla rete non ne sono interessati. Per loro, il TAP è trasparente come l'aria, e i dispositivi di monitoraggio ad esso collegati sono trasparenti alla rete nel suo complesso.
Il TAP è simile al Port Mirroring su uno switch. Perché implementare un TAP separato? Esaminiamo ora alcune delle differenze tra Network TAP e Network Port Mirroring.
Differenza 1: Il TAP di rete è più facile da configurare rispetto al mirroring delle porte
Il mirroring delle porte deve essere configurato sullo switch. Se è necessario modificare il monitoraggio, è necessario riconfigurare TUTTO lo switch. Tuttavia, il TAP deve essere modificato solo dove richiesto, senza alcun impatto sui dispositivi di rete esistenti.
Differenza 2: Il TAP di rete non influisce sulle prestazioni di rete in relazione al mirroring delle porte
Il port mirroring sullo switch ne compromette le prestazioni e ne compromette la capacità di commutazione. In particolare, se lo switch è collegato in serie a una rete come inline, la capacità di inoltro dell'intera rete ne risulta gravemente compromessa. Il TAP è un hardware indipendente e non compromette le prestazioni del dispositivo a causa del port mirroring. Pertanto, non ha alcun impatto sul carico dei dispositivi di rete esistenti, il che presenta notevoli vantaggi rispetto al port mirroring.
Differenza 3: La rete TAP fornisce un processo di traffico più completo rispetto alla replicazione del mirroring delle porte
Il port mirroring non può garantire che tutto il traffico possa essere ricevuto, perché la porta dello switch stesso filtrerà alcuni pacchetti di errore o pacchetti di dimensioni troppo piccole. Tuttavia, il TAP garantisce l'integrità dei dati perché rappresenta una "replica" completa a livello fisico.
Differenza 4: Il ritardo di inoltro del TAP è inferiore a quello del Port Mirroring
Su alcuni switch di fascia bassa, il mirroring delle porte può causare latenza durante la copia del traffico sulle porte di mirroring, nonché durante la copia delle porte 10/100m sulle porte Giga Ethernet.
Sebbene ciò sia ampiamente documentato, riteniamo che le ultime due analisi manchino di un solido supporto tecnico.
Quindi, in quale situazione generale è necessario utilizzare il TAP per la distribuzione del traffico di rete? Semplicemente, se si hanno i seguenti requisiti, il TAP di rete è la scelta migliore.
Tecnologie TAP di rete
Ascoltando quanto sopra, senti che lo shunt della rete TAP è davvero un dispositivo magico, l'attuale shunt TAP comune sul mercato utilizza l'architettura di base di circa tre categorie:
FPGA
- Alte prestazioni
- Difficile da sviluppare
- Costo elevato
MIPS
- Flessibile e conveniente
- Difficoltà di sviluppo moderata
- I principali fornitori RMI e Cavium hanno interrotto lo sviluppo e in seguito hanno fallito
ASIC
- Alte prestazioni
- Lo sviluppo della funzione di espansione è difficile, principalmente a causa delle limitazioni del chip stesso
- L'interfaccia e le specifiche sono limitate dal chip stesso, con conseguenti scarse prestazioni di espansione
Pertanto, i TAP di rete ad alta densità e alta velocità presenti sul mercato hanno ampi margini di miglioramento in termini di flessibilità nell'uso pratico. Gli shunter di rete TAP vengono utilizzati per la conversione di protocollo, la raccolta dati, lo shunting, il mirroring dei dati e il filtraggio del traffico. Le principali tipologie di porte comuni includono 100G, 40G, 10G, 2.5G POS, GE, ecc. A causa del graduale ritiro dei prodotti SDH, gli attuali shunter di rete TAP sono utilizzati principalmente in ambienti di rete completamente Ethernet.
Data di pubblicazione: 25-05-2022
