Når en Intrusion Detection System (IDS)-enhed implementeres, er spejlingsporten på switchen i informationscenteret hos peer-parten ikke tilstrækkelig (for eksempel er kun én spejlingsport tilladt, og spejlingsporten har optaget andre enheder).
På nuværende tidspunkt, når vi ikke tilføjer mange spejlingsporte, kan vi bruge netværksreplikerings-, aggregerings- og videresendelsesenheden til at distribuere den samme mængde spejlingsdata til vores enhed.
Hvad er netværkets TAP?
Måske hørte du først navnet TAP-switch. TAP (Terminal Access Point), også kendt som NPB (Network Packet Broker), eller Tap Aggregator?
TAP'ens kernefunktion er at oprette forbindelse mellem spejlingsporten på produktionsnetværket og en analyseenhedsklynge. TAP'en indsamler den spejlede eller separerede trafik fra en eller flere produktionsnetværksenheder og distribuerer trafikken til en eller flere dataanalyseenheder.
Almindelige scenarier for netværksinstallation af TAP-netværk
Network Tap har tydelige etiketter, såsom:
Uafhængig hardware
TAP er et separat stykke hardware, der ikke påvirker belastningen på eksisterende netværksenheder, hvilket er en af fordelene i forhold til portspejling.
Skifte?
Netværkstryk?
Netværk Transparent
Når TAP'en er tilsluttet netværket, påvirkes ingen af de andre enheder på netværket. For dem er TAP'en transparent som luft, og de overvågningsenheder, der er tilsluttet TAP'en, er transparente for netværket som helhed.
TAP er ligesom Port Mirroring på en switch. Så hvorfor implementere en separat TAP? Lad os se på nogle af forskellene mellem Network TAP og Network Port Mirroring efter tur.
Forskel 1Netværks-TAP er nemmere at konfigurere end portspejling
Portspejling skal konfigureres på switchen. Hvis overvågningen skal justeres, skal switchen omkonfigureres ALT. TAP'en skal dog kun justeres, hvor det er nødvendigt, hvilket ikke har nogen indflydelse på eksisterende netværksenheder.
Forskel 2Netværks-TAP påvirker ikke netværkets ydeevne i forhold til portspejling
Portspejling på switchen forringer switchens ydeevne og påvirker switchens kapacitet. Især hvis switchen er serieforbundet til et netværk som inline, påvirkes hele netværkets videresendelseskapacitet alvorligt. TAP er uafhængig hardware og forringer ikke enhedens ydeevne på grund af trafikspejling. Derfor har det ingen indflydelse på belastningen af eksisterende netværksenheder, hvilket har store fordele i forhold til portspejling.
Forskel 3Netværks-TAP leverer en mere komplet trafikproces end portspejlingsreplikering
Portspejling kan ikke sikre, at al trafik kan opnås, fordi switchporten selv vil filtrere nogle fejlpakker eller pakker af for lille størrelse. TAP sikrer dog dataintegritet, fordi det er en komplet "replikering" på det fysiske lag.
Forskel 4Videresendelsesforsinkelsen for TAP er mindre end for Port Mirroring
På nogle low-end switche kan portspejling medføre latenstid, når trafik kopieres til spejlingsporte, samt når 10/100m-porte kopieres til Giga Ethernet-porte.
Selvom dette er bredt dokumenteret, mener vi, at de to sidstnævnte analyser mangler stærk teknisk støtte.
Så i hvilken generel situation skal vi bruge TAP til distribution af netværkstrafik? Kort sagt, hvis du opfylder følgende krav, så er Network TAP dit bedste valg.
Netværk TAP-teknologier
Lyt til ovenstående, føl at TAP-netværksshunten virkelig er en magisk enhed, den nuværende markedsalmindelige TAP-shunt bruger den underliggende arkitektur i omtrent tre kategorier:
FPGA
- Høj ydeevne
- Vanskelig at udvikle
- Høje omkostninger
MIPS
- Fleksibel og praktisk
- Moderat udviklingsvanskelighed
- Mainstream-leverandørerne RMI og Cavium stoppede udviklingen og fejlede senere
ASIC
- Høj ydeevne
- Udvikling af ekspansionsfunktioner er vanskelig, primært på grund af selve chippens begrænsninger.
- Grænsefladen og specifikationerne er begrænset af selve chippen, hvilket resulterer i dårlig udvidelsesydelse
Derfor har den højdensitets- og højhastigheds-Network TAP, der ses på markedet, stor plads til forbedring i fleksibilitet i praktisk brug. TAP-netværksshuntere bruges til protokolkonvertering, dataindsamling, datashunting, dataspejling og trafikfiltrering. De vigtigste almindelige porttyper inkluderer 100G, 40G, 10G, 2.5G POS, GE osv. På grund af den gradvise tilbagetrækning af SDH-produkter bruges nuværende Network TAP-shuntere mest i et fuldt Ethernet-netværksmiljø.
Opslagstidspunkt: 25. maj 2022
