Wenn ein Intrusion Detection System (IDS)-Gerät eingesetzt wird, ist der Spiegelungsport am Switch im Rechenzentrum des Gegenübers nicht ausreichend (beispielsweise ist nur ein Spiegelungsport zulässig, und dieser Spiegelungsport ist bereits von anderen Geräten belegt).
Wenn wir zu diesem Zeitpunkt nicht viele Spiegelungsports hinzufügen, können wir das Netzwerk-Replikations-, Aggregations- und Weiterleitungsgerät verwenden, um die gleiche Menge an Spiegelungsdaten an unser Gerät zu verteilen.
Was ist ein Network TAP?
Vielleicht haben Sie zuerst den Namen TAP-Switch gehört. TAP (Terminal Access Point), auch bekannt als NPB (Network Packet Broker) oder Tap Aggregator?
Die Kernfunktion von TAP besteht darin, eine Verbindung zwischen dem Spiegelungsport im Produktionsnetzwerk und einem Cluster von Analysegeräten herzustellen. TAP sammelt den gespiegelten oder getrennten Datenverkehr von einem oder mehreren Geräten im Produktionsnetzwerk und verteilt ihn an ein oder mehrere Datenanalysegeräte.
Gängige Netzwerkbereitstellungsszenarien für TAP-Netzwerke
Network Tap verfügt über eindeutige Kennzeichnungen, wie zum Beispiel:
Unabhängige Hardware
TAP ist ein separates Hardwareteil, das die Last auf vorhandenen Netzwerkgeräten nicht beeinträchtigt, was einer der Vorteile gegenüber Portspiegelung ist.
Schalten?
Netzwerküberwachung?
Netzwerktransparent
Sobald der TAP mit dem Netzwerk verbunden ist, werden alle anderen Geräte im Netzwerk nicht beeinträchtigt. Für sie ist der TAP völlig transparent, und die mit dem TAP verbundenen Überwachungsgeräte sind für das gesamte Netzwerk transparent.
TAP funktioniert ähnlich wie Portspiegelung auf einem Switch. Warum also ein separates TAP einsetzen? Schauen wir uns die Unterschiede zwischen Network TAP und Network Port Mirroring genauer an.
Differenz 1Network TAP ist einfacher zu konfigurieren als Portspiegelung.
Portspiegelung muss am Switch konfiguriert werden. Falls die Überwachung angepasst werden muss, ist eine vollständige Neukonfiguration des Switches erforderlich. Der TAP muss jedoch nur an den angeforderten Stellen angepasst werden, was keine Auswirkungen auf bestehende Netzwerkgeräte hat.
Differenz 2Network TAP hat keinen Einfluss auf die Netzwerkleistung im Vergleich zur Portspiegelung.
Portspiegelung auf einem Switch verschlechtert dessen Leistung und beeinträchtigt die Schaltfähigkeit. Insbesondere wenn der Switch in Reihe geschaltet ist, wird die Weiterleitungsfähigkeit des gesamten Netzwerks stark beeinträchtigt. TAP ist eine unabhängige Hardwarelösung und beeinträchtigt die Geräteleistung nicht durch Datenverkehrsspiegelung. Daher hat es keine Auswirkungen auf die Auslastung bestehender Netzwerkgeräte, was gegenüber der Portspiegelung große Vorteile bietet.
Unterschied 3Network TAP bietet eine umfassendere Datenverkehrsverarbeitung als die Portspiegelungsreplikation.
Portspiegelung kann nicht gewährleisten, dass der gesamte Datenverkehr erfasst wird, da der Switch-Port selbst fehlerhafte oder zu kleine Pakete herausfiltert. TAP hingegen gewährleistet Datenintegrität, da es eine vollständige Replikation auf der physikalischen Schicht darstellt.
Differenz 4Die Weiterleitungsverzögerung von TAP ist geringer als die von Port Mirroring.
Bei einigen Low-End-Switches kann Port-Mirroring zu Latenzzeiten führen, sowohl beim Kopieren von Datenverkehr auf Spiegelports als auch beim Kopieren von 10/100-Mbit/s-Ports auf Gigabit-Ethernet-Ports.
Obwohl dies vielfach dokumentiert ist, glauben wir, dass es den beiden letztgenannten Analysen an einer soliden technischen Grundlage mangelt.
In welchen allgemeinen Situationen ist der Einsatz von TAP zur Verteilung des Netzwerkverkehrs also notwendig? Kurz gesagt: Wenn Sie die folgenden Anforderungen erfüllen, ist Network TAP die beste Wahl.
Netzwerk-TAP-Technologien
Hören Sie sich das oben Gesagte an und spüren Sie, dass der TAP-Netzwerk-Shunt wirklich ein magisches Gerät ist. Die derzeit auf dem Markt erhältlichen TAP-Shunts verwenden eine zugrunde liegende Architektur, die sich grob in drei Kategorien einteilen lässt:
FPGA
- Hohe Leistung
- Schwer zu entwickeln
- Hohe Kosten
MIPS
- Flexibel und bequem
- Mittlere Entwicklungsschwierigkeiten
Die etablierten Anbieter RMI und Cavium stellten die Entwicklung ein und scheiterten später.
ASIC
- Hohe Leistung
Die Entwicklung von Erweiterungsfunktionen gestaltet sich schwierig, hauptsächlich aufgrund der Beschränkungen des Chips selbst.
- Die Schnittstelle und die Spezifikationen sind durch den Chip selbst begrenzt, was zu einer geringen Erweiterungsleistung führt.
Die hohe Dichte und Geschwindigkeit der auf dem Markt erhältlichen Network TAPs bieten daher noch erhebliches Verbesserungspotenzial hinsichtlich ihrer Flexibilität im praktischen Einsatz. TAP-Netzwerk-Shunter werden für Protokollkonvertierung, Datenerfassung, Datenweiterleitung, Datenspiegelung und Verkehrsfilterung eingesetzt. Zu den gängigsten Porttypen gehören 100G, 40G, 10G, 2,5G POS, GE usw. Aufgrund der schrittweisen Marktrücknahme von SDH-Produkten werden Network TAP-Shunter heutzutage hauptsächlich in reinen Ethernet-Netzwerkumgebungen verwendet.
Veröffentlichungsdatum: 25. Mai 2022
