Wenn ein Intrusion Detection System (IDS)-Gerät bereitgestellt wird, reicht der Spiegelungs-Port auf dem Switch im Informationszentrum der Peer-Partei nicht aus (beispielsweise ist nur ein Spiegelungs-Port zulässig und der Spiegelungs-Port ist durch andere Geräte belegt).
Wenn wir derzeit nicht viele Spiegelungs-Ports hinzufügen, können wir das Netzwerkreplikations-, Aggregations- und Weiterleitungsgerät verwenden, um die gleiche Menge an Spiegelungs-Daten an unser Gerät zu verteilen.
Was ist das Netzwerk-TAP?
Vielleicht haben Sie den Namen TAP-Switch zum ersten Mal gehört. TAP (Terminal Access Point), auch bekannt als NPB (Network Packet Broker) oder Tap Aggregator?
Die Kernfunktion von TAP besteht darin, eine Verbindung zwischen dem Spiegelungs-Port im Produktionsnetzwerk und einem Cluster von Analysegeräten aufzubauen. TAP sammelt den gespiegelten oder getrennten Datenverkehr von einem oder mehreren Produktionsnetzwerkgeräten und verteilt ihn an ein oder mehrere Datenanalysegeräte.
Gängige Szenarien für die Netzwerkbereitstellung von Network TAP
Network Tap hat offensichtliche Bezeichnungen, wie etwa:
Unabhängige Hardware
TAP ist eine separate Hardware, die die Belastung vorhandener Netzwerkgeräte nicht beeinträchtigt, was einer der Vorteile gegenüber der Portspiegelung ist.
Schalten?
Netzwerkabgriff?
Netzwerktransparent
Nachdem der TAP mit dem Netzwerk verbunden wurde, sind alle anderen Geräte im Netzwerk nicht betroffen. Für sie ist der TAP transparent wie Luft, und die an den TAP angeschlossenen Überwachungsgeräte sind für das gesamte Netzwerk transparent.
TAP ist wie Port Mirroring auf einem Switch. Warum also ein separates TAP einsetzen? Sehen wir uns einige der Unterschiede zwischen Network TAP und Network Port Mirroring an.
Unterschied 1: Netzwerk-TAP ist einfacher zu konfigurieren als Port-Mirroring
Die Portspiegelung muss am Switch konfiguriert werden. Wenn die Überwachung angepasst werden muss, muss der Switch vollständig neu konfiguriert werden. Der TAP muss jedoch nur dort angepasst werden, wo er es erfordert. Dies hat keine Auswirkungen auf vorhandene Netzwerkgeräte.
Unterschied 2: Netzwerk-TAP beeinträchtigt die Netzwerkleistung im Vergleich zur Portspiegelung nicht
Port-Mirroring auf dem Switch beeinträchtigt dessen Leistung und die Switching-Fähigkeit. Insbesondere wenn der Switch in Reihe oder inline an ein Netzwerk angeschlossen ist, wird die Weiterleitungskapazität des gesamten Netzwerks erheblich beeinträchtigt. TAP ist eine unabhängige Hardware und beeinträchtigt die Geräteleistung nicht durch Traffic-Mirroring. Daher hat es keine Auswirkungen auf die Auslastung vorhandener Netzwerkgeräte, was gegenüber Port-Mirroring große Vorteile bietet.
Unterschied 3: Netzwerk-TAP bietet einen umfassenderen Datenverkehrsprozess als die Portspiegelungsreplikation
Port-Mirroring kann nicht gewährleisten, dass der gesamte Datenverkehr empfangen werden kann, da der Switch-Port selbst fehlerhafte oder zu kleine Pakete filtert. Der TAP gewährleistet jedoch die Datenintegrität, da er eine vollständige „Replikation“ auf der physischen Ebene darstellt.
Unterschied 4: Die Weiterleitungsverzögerung von TAP ist kleiner als die von Port Mirroring
Bei einigen Low-End-Switches kann die Portspiegelung zu Latenzen führen, wenn Datenverkehr auf Spiegelungs-Ports kopiert wird, sowie wenn 10/100-m-Ports auf Giga-Ethernet-Ports kopiert werden.
Obwohl dies umfassend dokumentiert ist, sind wir der Meinung, dass den beiden letztgenannten Analysen eine solide technische Unterstützung fehlt.
In welchen Situationen benötigen wir TAP für die Verteilung des Netzwerkverkehrs? Wenn Sie die folgenden Anforderungen erfüllen, ist Network TAP die beste Wahl.
Netzwerk-TAP-Technologien
Wenn Sie sich das oben Gesagte anhören, werden Sie merken, dass der TAP-Netzwerk-Shunt wirklich ein magisches Gerät ist. Die derzeit auf dem Markt üblichen TAP-Shunts verwenden eine zugrunde liegende Architektur, die sich grob in drei Kategorien einteilen lässt:
FPGA
Hohe Leistung
- Schwierig zu entwickeln
- Hohe Kosten
MIPS
- Flexibel und bequem
- Mäßiger Entwicklungsaufwand
- Die Mainstream-Anbieter RMI und Cavium stellten die Entwicklung ein und scheiterten später
ASIC
Hohe Leistung
- Die Entwicklung von Erweiterungsfunktionen ist schwierig, hauptsächlich aufgrund der Einschränkungen des Chips selbst
- Die Schnittstelle und die Spezifikationen werden durch den Chip selbst begrenzt, was zu einer schlechten Erweiterungsleistung führt
Daher bietet der auf dem Markt erhältliche Netzwerk-TAP mit hoher Dichte und hoher Geschwindigkeit im praktischen Einsatz noch viel Raum für Verbesserungen hinsichtlich der Flexibilität. TAP-Netzwerk-Rangierer werden zur Protokollkonvertierung, Datenerfassung, Datenrangierung, Datenspiegelung und Verkehrsfilterung eingesetzt. Zu den gängigsten Porttypen gehören 100G, 40G, 10G, 2,5G POS, GE usw. Aufgrund des allmählichen Rückzugs von SDH-Produkten werden aktuelle Netzwerk-TAP-Rangierer hauptsächlich in reinen Ethernet-Netzwerkumgebungen eingesetzt.
Veröffentlichungszeit: 25. Mai 2022
