Quando viene distribuito un dispositivo IDS (Intrusion Detection System), la porta di mirroring sullo switch nel centro informazioni del peer party non è sufficiente (ad esempio, è consentita solo una porta di mirroring e la porta di mirroring ha occupato altri dispositivi).
Al momento, quando non aggiungiamo molte porte di mirroring, possiamo utilizzare il dispositivo di replica, aggregazione e inoltro della rete per distribuire la stessa quantità di dati di mirroring sul nostro dispositivo.
Cos'è il TAP di rete?
Forse hai sentito per la prima volta il nome TAP switch. TAP (Terminal Access Point), noto anche come NPB (Network Packet Broker) o Tap Aggregator?
La funzione principale di TAP è quella di stabilire tra la porta di mirroring sulla rete di produzione e un cluster di dispositivi di analisi. Il TAP raccoglie il traffico mirrorato o separato da uno o più dispositivi di rete di produzione e distribuisce il traffico a uno o più dispositivi di analisi dei dati.
Scenari comuni di distribuzione della rete TAP di rete
Network Tap ha etichette ovvie, come:
Hardware indipendente
TAP è un componente hardware separato che non influisce sul carico sui dispositivi di rete esistenti, il che rappresenta uno dei vantaggi rispetto al mirroring delle porte.
Rete trasparente
Una volta connesso il TAP alla rete, tutti gli altri dispositivi sulla rete non sono interessati. Per loro, il TAP è trasparente come l’aria e i dispositivi di monitoraggio collegati al TAP sono trasparenti rispetto alla rete nel suo complesso.
TAP è proprio come il Port Mirroring su uno switch. Allora perché implementare un TAP separato? Diamo un'occhiata ad alcune delle differenze tra TAP di rete e Mirroring delle porte di rete.
Differenza 1: Il TAP di rete è più semplice da configurare rispetto al mirroring delle porte
Il mirroring delle porte deve essere configurato sullo switch. Se è necessario regolare il monitoraggio, è necessario riconfigurare l'interruttore TUTTO. Tuttavia, il TAP deve essere adeguato solo dove richiesto, il che non ha alcun impatto sui dispositivi di rete esistenti.
Differenza 2: TAP di rete non influisce sulle prestazioni di rete relative al mirroring delle porte
Il mirroring delle porte sullo switch peggiora le prestazioni dello switch e influisce sulla capacità di commutazione. In particolare, se lo switch è collegato ad una rete in serie come inline, la capacità di inoltro dell'intera rete viene gravemente compromessa. TAP è un hardware indipendente e non compromette le prestazioni del dispositivo a causa del mirroring del traffico. Pertanto non ha alcun impatto sul carico dei dispositivi di rete esistenti, il che presenta grandi vantaggi rispetto al mirroring delle porte.
Differenza 3: TAP di rete fornisce un processo di traffico più completo rispetto alla replica del mirroring delle porte
Il mirroring delle porte non può garantire che tutto il traffico possa essere ottenuto perché la porta dello switch stessa filtrerà alcuni pacchetti di errore o pacchetti di dimensioni troppo piccole. Tuttavia, il TAP garantisce l'integrità dei dati perché è una "replica" completa a livello fisico.
Differenza 4: Il ritardo di inoltro di TAP è inferiore a quello di Port Mirroring
Su alcuni switch di fascia bassa, il mirroring delle porte può introdurre latenza durante la copia del traffico sulle porte di mirroring, nonché durante la copia delle porte 10/100 m sulle porte Giga Ethernet.
Sebbene ciò sia ampiamente documentato, riteniamo che le ultime due analisi manchino di un forte supporto tecnico.
Quindi, in quale situazione generale dobbiamo utilizzare TAP per la distribuzione del traffico di rete? Semplicemente, se possiedi i seguenti requisiti, allora Network TAP è la scelta migliore.
Tecnologie TAP di rete
Ascolta quanto sopra, senti che lo shunt di rete TAP è davvero un dispositivo magico, l'attuale shunt TAP comune sul mercato utilizza l'architettura sottostante di circa tre categorie:
FPGA
- Elevate prestazioni
- Difficile da sviluppare
- Costo elevato
MIPS
- Flessibile e conveniente
- Difficoltà di sviluppo moderata
- I principali fornitori RMI e Cavium hanno interrotto lo sviluppo e successivamente hanno fallito
ASIC
- Elevate prestazioni
- Lo sviluppo della funzione di espansione è difficile, principalmente a causa delle limitazioni del chip stesso
- L'interfaccia e le specifiche sono limitate dal chip stesso, con conseguenti scarse prestazioni di espansione
Pertanto, il Network TAP ad alta densità e alta velocità visto sul mercato ha ampio margine di miglioramento in termini di flessibilità nell'uso pratico. Gli smistatori di rete TAP vengono utilizzati per la conversione del protocollo, la raccolta dei dati, lo smistamento dei dati, il mirroring dei dati e il filtraggio del traffico. I principali tipi di porte comuni includono 100G, 40G, 10G, 2.5G POS, GE, ecc. A causa del graduale ritiro dei prodotti SDH, gli attuali deviatori TAP di rete vengono utilizzati principalmente nell'ambiente di rete interamente Ethernet.
Orario di pubblicazione: 25 maggio 2022