Wenn ein Intrusion Detection System (IDS)-Gerät bereitgestellt wird, reicht der Spiegelungs-Port auf dem Switch im Informationszentrum der Peer-Partei nicht aus (z. B. ist nur ein Spiegelungs-Port zulässig und der Spiegelungs-Port ist von anderen Geräten belegt).
Wenn wir derzeit nicht viele Spiegelungs-Ports hinzufügen, können wir das Netzwerkreplikations-, Aggregations- und Weiterleitungsgerät verwenden, um die gleiche Menge an Spiegelungsdaten an unser Gerät zu verteilen.
Was ist das Netzwerk-TAP?
Vielleicht haben Sie den Namen TAP-Switch zum ersten Mal gehört. TAP (Terminal Access Point), auch bekannt als NPB (Network Packet Broker) oder Tap Aggregator?
Die Kernfunktion von TAP besteht darin, eine Verbindung zwischen dem Spiegelungs-Port im Produktionsnetzwerk und einem Cluster von Analysegeräten herzustellen. TAP sammelt den gespiegelten oder getrennten Datenverkehr von einem oder mehreren Produktionsnetzwerkgeräten und verteilt ihn an ein oder mehrere Datenanalysegeräte.
Gängige Szenarien für die Netzwerkbereitstellung von Network TAP
Network Tap hat offensichtliche Bezeichnungen wie:
Unabhängige Hardware
TAP ist eine separate Hardware, die die Belastung vorhandener Netzwerkgeräte nicht beeinträchtigt, was einer der Vorteile gegenüber der Portspiegelung ist.
Schalten?
Netzwerkabgriff?
Netzwerktransparent
Nachdem der TAP mit dem Netzwerk verbunden wurde, sind alle anderen Geräte im Netzwerk nicht betroffen. Für sie ist der TAP transparent wie Luft, und die an den TAP angeschlossenen Überwachungsgeräte sind für das gesamte Netzwerk transparent.
TAP ist wie Port Mirroring auf einem Switch. Warum also ein separates TAP einsetzen? Sehen wir uns einige der Unterschiede zwischen Network TAP und Network Port Mirroring an.
Unterschied 1: Netzwerk-TAP ist einfacher zu konfigurieren als Port-Mirroring
Die Portspiegelung muss am Switch konfiguriert werden. Soll das Monitoring angepasst werden, muss der Switch komplett neu konfiguriert werden. Der TAP muss jedoch nur dort angepasst werden, wo er es erfordert. Dies hat keine Auswirkungen auf bestehende Netzwerkgeräte.
Unterschied 2: Netzwerk-TAP beeinträchtigt die Netzwerkleistung im Vergleich zur Portspiegelung nicht
Port-Mirroring auf dem Switch verschlechtert die Leistung des Switches und beeinträchtigt die Switching-Fähigkeit. Insbesondere wenn der Switch in Reihe (Inline) an ein Netzwerk angeschlossen ist, wird die Weiterleitungskapazität des gesamten Netzwerks stark beeinträchtigt. TAP ist eine unabhängige Hardware und beeinträchtigt die Geräteleistung nicht durch Traffic-Mirroring. Daher hat es keine Auswirkungen auf die Auslastung vorhandener Netzwerkgeräte, was große Vorteile gegenüber Port-Mirroring bietet.
Unterschied 3: Netzwerk-TAP bietet einen umfassenderen Datenverkehrsprozess als die Portspiegelungsreplikation
Durch Port-Mirroring kann nicht sichergestellt werden, dass der gesamte Datenverkehr empfangen werden kann, da der Switch-Port selbst einige fehlerhafte oder zu kleine Pakete filtert. Der TAP gewährleistet jedoch die Datenintegrität, da er eine vollständige „Replikation“ auf der physischen Ebene darstellt.
Unterschied 4: Die Weiterleitungsverzögerung von TAP ist geringer als die von Port Mirroring
Bei einigen Low-End-Switches kann die Portspiegelung zu Latenzen führen, wenn Datenverkehr auf Spiegelungs-Ports kopiert wird, sowie wenn 10/100-m-Ports auf Giga-Ethernet-Ports kopiert werden.
Obwohl dies umfassend dokumentiert ist, sind wir der Meinung, dass den beiden letztgenannten Analysen eine solide technische Unterstützung fehlt.
In welchen allgemeinen Situationen müssen wir TAP für die Verteilung des Netzwerkverkehrs verwenden? Wenn Sie die folgenden Anforderungen haben, ist Network TAP die beste Wahl.
Netzwerk-TAP-Technologien
Wenn Sie sich das oben Gesagte anhören, werden Sie feststellen, dass der TAP-Netzwerk-Shunt wirklich ein magisches Gerät ist. Die derzeit auf dem Markt üblichen TAP-Shunts verwenden eine zugrunde liegende Architektur, die sich grob in drei Kategorien einteilt:
FPGA
Hohe Leistung
- Schwierig zu entwickeln
- Hohe Kosten
MIPS
- Flexibel und bequem
- Mittlerer Entwicklungsschwierigkeitsgrad
- Die Mainstream-Anbieter RMI und Cavium stellten die Entwicklung ein und scheiterten später
ASIC
Hohe Leistung
- Die Entwicklung von Erweiterungsfunktionen ist schwierig, hauptsächlich aufgrund der Einschränkungen des Chips selbst
- Die Schnittstelle und die Spezifikationen werden durch den Chip selbst begrenzt, was zu einer schlechten Erweiterungsleistung führt
Daher bieten die auf dem Markt erhältlichen hochdichten und schnellen Netzwerk-TAPs in der praktischen Anwendung noch viel Raum für Verbesserungen hinsichtlich ihrer Flexibilität. TAP-Netzwerk-Rangierer werden zur Protokollkonvertierung, Datenerfassung, Datenrangierung, Datenspiegelung und Verkehrsfilterung eingesetzt. Zu den gängigsten Porttypen gehören 100G, 40G, 10G, 2,5G POS, GE usw. Aufgrund des allmählichen Rückzugs von SDH-Produkten werden aktuelle Netzwerk-TAP-Rangierer hauptsächlich in reinen Ethernet-Netzwerkumgebungen eingesetzt.
Veröffentlichungszeit: 25. Mai 2022
