Når en Intrusion Detection System (IDS)-enhed er implementeret, er spejlingsporten på switchen i peer-partens informationscenter ikke nok (f.eks. er kun én spejlingsport tilladt, og spejlingsporten har optaget andre enheder).
På nuværende tidspunkt, hvor vi ikke tilføjer mange spejlingsporte, kan vi bruge netværksreplikerings-, aggregerings- og videresendelsesenheden til at distribuere den samme mængde spejlingsdata til vores enhed.
Hvad er Network TAP?
Måske hørte du først navnet TAP switch. TAP (Terminal Access Point), også kendt som NPB (Network Packet Broker), eller Tap Aggregator?
TAP's kernefunktion er at opsætte mellem spejlingsporten på produktionsnetværket og en analyseenhedsklynge. TAP'en indsamler den spejlede eller adskilte trafik fra en eller flere produktionsnetværksenheder og distribuerer trafikken til en eller flere dataanalyseenheder.
Almindelige netværk TAP-netværksimplementeringsscenarier
Network Tap har indlysende etiketter, såsom:
Uafhængig hardware
TAP er et separat stykke hardware, der ikke påvirker belastningen på eksisterende netværksenheder, hvilket er en af fordelene i forhold til portspejling.
Netværk gennemsigtig
Når TAP er forbundet til netværket, påvirkes alle andre enheder på netværket ikke. For dem er TAP'en gennemsigtig som luft, og overvågningsenhederne forbundet til TAP'en er gennemsigtige for netværket som helhed.
TAP er ligesom Port Mirroring på en switch. Så hvorfor installere en separat TAP? Lad os se på nogle af forskellene mellem Network TAP og Network Port Mirroring igen.
Forskel 1: Network TAP er nemmere at konfigurere end portspejling
Portspejling skal konfigureres på switchen. Hvis overvågningen skal justeres, skal kontakten omkonfigureres ALLE. TAP'en skal dog kun justeres, hvor den anmoder om, hvilket ikke har nogen indflydelse på eksisterende netværksenheder.
Forskel 2: Network TAP påvirker ikke netværkets ydeevne i forhold til portspejling
Portspejling på switchen forringer switchens ydeevne og påvirker switchingsevnen. Især hvis switchen er forbundet til et netværk i serie som inline, er videresendelsesevnen for hele netværket alvorligt påvirket. TAP er en uafhængig hardware og forringer ikke enhedens ydeevne på grund af trafikspejling. Derfor har det ingen indflydelse på belastningen af eksisterende netværksenheder, hvilket har store fordele i forhold til portspejling.
Forskel 3: Network TAP giver en mere komplet trafikproces end portspejlingsreplikering
Portspejling kan ikke sikre, at al trafik kan opnås, fordi switchporten i sig selv vil filtrere nogle fejlpakker eller for små pakker. TAP sikrer dog dataintegritet, fordi det er en komplet "replikering" på det fysiske lag.
Forskel 4: Videresendelsesforsinkelsen for TAP er mindre end for Port Mirroring
På nogle low-end switches kan portspejling introducere latens ved kopiering af trafik til spejlingsporte, såvel som når der kopieres 10/100m porte til Giga Ethernet-porte.
Selvom dette er bredt dokumenteret, mener vi, at de to sidstnævnte analyser mangler en vis stærk teknisk support.
Så i hvilken generel situation skal vi bruge TAP til distribution af netværkstrafik? Simpelthen, hvis du har følgende krav, så er Network TAP dit bedste valg.
Netværk TAP-teknologier
Lyt til ovenstående, og føl, at TAP-netværksshunten virkelig er en magisk enhed, den nuværende markeds almindelige TAP-shunt, der bruger den underliggende arkitektur af omtrent tre kategorier:
FPGA
- Høj ydeevne
- Svært at udvikle
- Høje omkostninger
MIPS
- Fleksibel og praktisk
- Moderat udviklingsbesvær
- Mainstream-leverandørerne RMI og Cavium stoppede udviklingen og fejlede senere
ASIC
- Høj ydeevne
- Udvikling af udvidelsesfunktioner er vanskelig, primært på grund af selve chippens begrænsninger
- Interfacet og specifikationerne er begrænset af selve chippen, hvilket resulterer i dårlig udvidelsesydelse
Derfor har den høje tæthed og høje hastighed Network TAP, der ses på markedet, masser af plads til forbedring af fleksibilitet i praktisk brug. TAP-netværkshuntere bruges til protokolkonvertering, dataindsamling, datashunting, dataspejling og trafikfiltrering. De vigtigste almindelige porttyper omfatter 100G, 40G, 10G, 2.5G POS, GE osv. På grund af den gradvise tilbagetrækning af SDH-produkter, bruges nuværende Network TAP-shuntere for det meste i et Ethernet-netværksmiljø.
Indlægstid: 25. maj 2022