Wenn ein Intrusion Detection System (IDS)-Gerät bereitgestellt wird, reicht der Spiegelungs-Port am Switch im Informationszentrum der Peer-Partei nicht aus (z. B. ist nur ein Spiegelungs-Port zulässig und der Spiegelungs-Port ist von anderen Geräten belegt).
Wenn wir zu diesem Zeitpunkt nicht viele Spiegelungsanschlüsse hinzufügen, können wir das Netzwerkreplikations-, Aggregations- und Weiterleitungsgerät verwenden, um die gleiche Menge an Spiegelungsdaten auf unser Gerät zu verteilen.
Was ist der Netzwerk-TAP?
Vielleicht haben Sie zum ersten Mal den Namen TAP-Schalter gehört. TAP (Terminal Access Point), auch bekannt als NPB (Network Packet Broker) oder Tap Aggregator?
Die Kernfunktion von TAP besteht darin, eine Verbindung zwischen dem Spiegelungsport im Produktionsnetzwerk und einem Analysegerätecluster herzustellen. Der TAP sammelt den gespiegelten oder getrennten Datenverkehr von einem oder mehreren Produktionsnetzwerkgeräten und verteilt den Datenverkehr an ein oder mehrere Datenanalysegeräte.
Gängige Netzwerkbereitstellungsszenarien für Network TAP
Network Tap hat offensichtliche Bezeichnungen wie:
Unabhängige Hardware
TAP ist eine separate Hardware, die die Belastung vorhandener Netzwerkgeräte nicht beeinträchtigt, was einer der Vorteile gegenüber der Portspiegelung ist.
Schalten?
Netzwerkabgriff?
Netzwerktransparent
Nachdem der TAP mit dem Netzwerk verbunden ist, sind alle anderen Geräte im Netzwerk nicht betroffen. Für sie ist der TAP transparent wie Luft, und die an den TAP angeschlossenen Überwachungsgeräte sind für das Netzwerk als Ganzes transparent.
TAP ist genau wie Port Mirroring auf einem Switch. Warum also einen separaten TAP bereitstellen? Schauen wir uns der Reihe nach einige der Unterschiede zwischen Network TAP und Network Port Mirroring an.
Unterschied 1: Netzwerk-TAP ist einfacher zu konfigurieren als Portspiegelung
Die Portspiegelung muss auf dem Switch konfiguriert werden. Wenn die Überwachung angepasst werden muss, muss der Schalter komplett neu konfiguriert werden. Allerdings muss der TAP nur dort angepasst werden, wo er es verlangt, was keine Auswirkungen auf bestehende Netzwerkgeräte hat.
Unterschied 2: Netzwerk-TAP hat keinen Einfluss auf die Netzwerkleistung im Vergleich zur Portspiegelung
Die Portspiegelung auf dem Switch beeinträchtigt die Leistung des Switches und beeinträchtigt die Switching-Fähigkeit. Insbesondere wenn der Switch seriell als Inline an ein Netzwerk angeschlossen wird, wird die Weiterleitungsfähigkeit des gesamten Netzwerks stark beeinträchtigt. TAP ist eine unabhängige Hardware und beeinträchtigt die Geräteleistung aufgrund der Verkehrsspiegelung nicht. Daher hat es keine Auswirkungen auf die Auslastung vorhandener Netzwerkgeräte, was große Vorteile gegenüber der Portspiegelung bietet.
Unterschied 3: Network TAP bietet einen umfassenderen Datenverkehrsprozess als die Portspiegelungsreplikation
Die Portspiegelung kann nicht sicherstellen, dass der gesamte Datenverkehr abgerufen werden kann, da der Switch-Port selbst einige Fehlerpakete oder zu kleine Pakete herausfiltert. Allerdings gewährleistet der TAP die Datenintegrität, da es sich um eine vollständige „Replikation“ auf der physikalischen Ebene handelt.
Unterschied 4: Die Weiterleitungsverzögerung von TAP ist kleiner als die von Port Mirroring
Bei einigen Low-End-Switches kann die Portspiegelung zu Latenz beim Kopieren von Datenverkehr auf Spiegelports sowie beim Kopieren von 10/100-m-Ports auf Giga-Ethernet-Ports führen.
Obwohl dies umfassend dokumentiert ist, glauben wir, dass es den beiden letztgenannten Analysen an starker technischer Unterstützung mangelt.
In welcher allgemeinen Situation müssen wir TAP für die Verteilung des Netzwerkverkehrs verwenden? Wenn Sie die folgenden Anforderungen haben, ist der Network TAP einfach die beste Wahl.
Netzwerk-TAP-Technologien
Hören Sie sich das oben Gesagte an und spüren Sie, dass der TAP-Netzwerk-Shunt wirklich ein magisches Gerät ist. Der derzeit marktübliche TAP-Shunt verwendet die zugrunde liegende Architektur in etwa drei Kategorien:
FPGA
- Hohe Leistung
- Schwierig zu entwickeln
- Hohe Kosten
MIPS
- Flexibel und bequem
- Mäßige Entwicklungsschwierigkeiten
– Die Mainstream-Anbieter RMI und Cavium stellten die Entwicklung ein und scheiterten später
ASIC
- Hohe Leistung
- Die Entwicklung von Erweiterungsfunktionen ist schwierig, hauptsächlich aufgrund der Einschränkungen des Chips selbst
- Die Schnittstelle und die Spezifikationen werden durch den Chip selbst begrenzt, was zu einer schlechten Erweiterungsleistung führt
Daher bietet der auf dem Markt erhältliche Netzwerk-TAP mit hoher Dichte und hoher Geschwindigkeit viel Raum für Verbesserungen der Flexibilität im praktischen Einsatz. TAP-Netzwerk-Rangierer werden zur Protokollkonvertierung, Datenerfassung, Datenrangierung, Datenspiegelung und Verkehrsfilterung verwendet. Zu den wichtigsten gebräuchlichen Porttypen gehören 100G, 40G, 10G, 2,5G POS, GE usw. Aufgrund des schrittweisen Rückzugs von SDH-Produkten werden aktuelle Netzwerk-TAP-Rangierer hauptsächlich in der All-Ethernet-Netzwerkumgebung verwendet.
Zeitpunkt der Veröffentlichung: 25. Mai 2022
