Kapag na-deploy ang isang Intrusion Detection System (IDS) device, hindi sapat ang mirroring port sa switch sa information center ng peer party (halimbawa, isang mirroring port lang ang pinapayagan, at ang mirroring port ay sumakop sa iba pang device).
Sa oras na ito, kapag hindi kami nagdagdag ng maraming mirroring port, maaari naming gamitin ang network replication, aggregation at forwarding device para ipamahagi ang parehong dami ng mirroring data sa aming device.
Ano ang Network TAP?
Siguro una mong narinig ang pangalang TAP switch. TAP (Terminal Access Point), na kilala rin bilang NPB (Network Packet Broker), o Tap Aggregator?
Ang pangunahing function ng TAP ay ang mag-set up sa pagitan ng mirroring port sa production network at isang analysis device cluster. Kinokolekta ng TAP ang na-mirror o pinaghiwalay na trapiko mula sa isa o higit pang production network device at ibinabahagi ang trapiko sa isa o higit pang data analysis device.
Karaniwang Network TAP network deployment scenario
Ang Network Tap ay may malinaw na mga label, gaya ng:
Malayang Hardware
Ang TAP ay isang hiwalay na piraso ng hardware na hindi nakakaapekto sa pag-load sa mga kasalukuyang device sa network, na isa sa mga pakinabang sa port mirroring.
Transparent ng Network
Matapos maikonekta ang TAP sa network, hindi maaapektuhan ang lahat ng iba pang device sa network. Para sa kanila, ang TAP ay transparent bilang hangin, at ang mga monitoring device na konektado sa TAP ay transparent sa network sa kabuuan.
Ang TAP ay parang Port Mirroring sa isang switch. Kaya bakit mag-deploy ng hiwalay na TAP? Tingnan natin ang ilan sa mga pagkakaiba sa pagitan ng Network TAP at Network Port Mirroring.
Pagkakaiba 1: Network TAP ay mas madaling i-configure kaysa sa port mirroring
Kailangang i-configure ang port mirroring sa switch. Kung kailangang isaayos ang pagsubaybay, kailangang i-configure muli ang switch LAHAT. Gayunpaman, kailangan lang isaayos ang TAP kung saan ito hiniling, na walang epekto sa mga kasalukuyang device sa network.
Pagkakaiba 2: Ang Network TAP ay hindi nakakaapekto sa pagganap ng network na may kaugnayan sa port mirroring
Ang pag-mirror ng port sa switch ay nagpapahina sa pagganap ng switch at nakakaapekto sa kakayahan sa paglipat. Sa partikular, kung ang switch ay konektado sa isang network sa serye bilang inline, ang kakayahan sa pagpapasa ng buong network ay lubhang naaapektuhan. Ang TAP ay isang independiyenteng hardware at hindi nakakasira sa performance ng device dahil sa pag-mirror ng trapiko. Samakatuwid, wala itong epekto sa pag-load ng mga kasalukuyang device sa network, na may mahusay na mga pakinabang sa pag-mirror ng port.
Pagkakaiba 3: Network TAP ay nagbibigay ng mas kumpletong proseso ng trapiko kaysa sa port mirroring replication
Hindi masisiguro ng pag-mirror ng port na makukuha ang lahat ng trapiko dahil ang mismong switch port ay magpi-filter ng ilang error packet o masyadong maliit na size packet. Gayunpaman, tinitiyak ng TAP ang integridad ng data dahil ito ay isang kumpletong "replikasyon" sa pisikal na layer.
Pagkakaiba 4: Ang pagkaantala sa pagpapasa ng TAP ay mas maliit kaysa sa Port Mirroring
Sa ilang low-end na switch, ang port mirroring ay maaaring magpakilala ng latency kapag kinokopya ang trapiko sa mga mirroring port, gayundin kapag kinokopya ang 10/100m port sa Giga Ethernet port.
Bagama't malawak itong dokumentado, naniniwala kami na ang huling dalawang pagsusuri ay kulang ng ilang malakas na teknikal na suporta.
Kaya, sa anong pangkalahatang sitwasyon, kailangan nating gumamit ng TAP para sa pamamahagi ng trapiko sa network? Simple lang, kung mayroon kang mga sumusunod na kinakailangan, ang Network TAP ang iyong pinakamahusay na pagpipilian.
Network TAP Technologies
Pakinggan ang nasa itaas, pakiramdam na ang TAP network shunt ay talagang isang mahiwagang aparato, ang kasalukuyang market ng karaniwang TAP shunt gamit ang pinagbabatayan na arkitektura ng humigit-kumulang tatlong kategorya:
FPGA
- Mataas na pagganap
- Mahirap i-develop
- Mataas na gastos
MIPS
- Flexible at maginhawa
- Katamtamang kahirapan sa pag-unlad
- Ang mga pangunahing vendor na RMI at Cavium ay huminto sa pag-develop at nabigo sa ibang pagkakataon
ASIC
- Mataas na pagganap
- Ang pagpapaunlad ng pagpapalawak ng function ay mahirap, pangunahin dahil sa mga limitasyon ng chip mismo
- Ang interface at mga detalye ay limitado ng chip mismo, na nagreresulta sa hindi magandang pagpapalawak ng pagganap
Samakatuwid, ang mataas na density at mataas na bilis ng Network TAP na nakikita sa merkado ay may maraming puwang para sa pagpapabuti ng flexibility sa praktikal na paggamit. Ang TAP network shunters ay ginagamit para sa conversion ng protocol, pangongolekta ng data, data shunting, data mirroring, at traffic filtering. Kabilang sa mga pangunahing karaniwang uri ng port ang 100G, 40G, 10G, 2.5G POS, GE, atbp. Dahil sa unti-unting pag-withdraw ng mga produkto ng SDH, ang kasalukuyang Network TAP shunters ay kadalasang ginagamit sa all-Ethernet network environment.
Oras ng post: Mayo-25-2022