Kapag naka-deploy ang isang Intrusion Detection System (IDS) device, hindi sapat ang mirroring port sa switch sa information center ng peer party (halimbawa, isang mirroring port lang ang pinapayagan, at ang mirroring port ay sumasakop na sa ibang mga device).
Sa ngayon, kapag hindi tayo nagdaragdag ng maraming mirroring port, maaari nating gamitin ang network replication, aggregation at forwarding device upang ipamahagi ang parehong dami ng mirroring data sa ating device.
Ano ang Network TAP?
Marahil ay una mong narinig ang pangalang TAP switch. Ang TAP (Terminal Access Point), na kilala rin bilang NPB (Network Packet Broker), o Tap Aggregator?
Ang pangunahing tungkulin ng TAP ay ang pag-set up sa pagitan ng mirroring port sa production network at ng isang analysis device cluster. Kinokolekta ng TAP ang mirrored o separated na trapiko mula sa isa o higit pang production network device at ipinamamahagi ang trapiko sa isa o higit pang data analysis device.
Mga Karaniwang Senaryo ng Pag-deploy ng Network TAP
Ang Network Tap ay may mga halatang label, tulad ng:
Malayang Hardware
Ang TAP ay isang hiwalay na piraso ng hardware na hindi nakakaapekto sa load sa mga umiiral na network device, na isa sa mga bentahe kumpara sa port mirroring.
Lumipat?
Tapikin ang Network?
Transparent na Network
Matapos maikonekta ang TAP sa network, hindi maaapektuhan ang lahat ng iba pang device sa network. Para sa kanila, ang TAP ay transparent na parang hangin, at ang mga monitoring device na nakakonekta sa TAP ay transparent din sa buong network.
Ang TAP ay parang Port Mirroring sa isang switch. Kaya bakit kailangan pang mag-deploy ng hiwalay na TAP? Tingnan natin ang ilan sa mga pagkakaiba sa pagitan ng Network TAP at Network Port Mirroring.
Pagkakaiba 1Mas madaling i-configure ang Network TAP kaysa sa port mirroring
Kailangang i-configure ang port mirroring sa switch. Kung kailangang isaayos ang monitoring, kailangang i-reconfigure ang switch LAHAT. Gayunpaman, ang TAP ay kailangan lamang isaayos kung saan nito hiniling, na walang epekto sa mga umiiral na network device.
Pagkakaiba 2: Hindi nakakaapekto ang Network TAP sa performance ng network kumpara sa port mirroring
Ang port mirroring sa switch ay nagpapababa sa performance ng switch at nakakaapekto sa kakayahan ng switching. Sa partikular, kung ang switch ay nakakonekta sa isang network nang series bilang inline, ang kakayahan ng buong network sa pag-forward ay lubhang maaapektuhan. Ang TAP ay isang independiyenteng hardware at hindi nakakasira sa performance ng device dahil sa traffic mirroring. Samakatuwid, wala itong epekto sa load ng mga umiiral na network device, na may malaking bentahe kumpara sa port mirroring.
Pagkakaiba 3Nagbibigay ang Network TAP ng mas kumpletong proseso ng trapiko kaysa sa replikasyon ng port mirroring
Hindi masisiguro ng port mirroring na makukuha ang lahat ng trapiko dahil ang switch port mismo ang magfi-filter ng ilang error packet o mga packet na masyadong maliit ang laki. Gayunpaman, tinitiyak ng TAP ang integridad ng data dahil ito ay isang kumpletong "replikasyon" sa physical layer.
Pagkakaiba 4Mas maliit ang forwarding delay ng TAP kaysa sa Port Mirroring
Sa ilang low-end switch, ang port mirroring ay maaaring magdulot ng latency kapag kinokopya ang trapiko papunta sa mga mirroring port, pati na rin kapag kinokopya ang mga 10/100m port papunta sa mga Giga Ethernet port.
Bagama't malawak na naidokumento ito, naniniwala kami na ang huling dalawang pagsusuri ay kulang sa ilang matibay na teknikal na suporta.
Kaya, sa anong pangkalahatang sitwasyon, kailangan nating gamitin ang TAP para sa pamamahagi ng trapiko sa network? Kung mayroon ka ng mga sumusunod na kinakailangan, ang Network TAP ang iyong pinakamahusay na pagpipilian.
Mga Teknolohiya ng TAP sa Network
Pakinggan ang nasa itaas, at damhin na ang TAP network shunt ay talagang isang mahiwagang aparato, ang kasalukuyang karaniwang TAP shunt sa merkado ay gumagamit ng pinagbabatayang arkitektura ng humigit-kumulang tatlong kategorya:
FPGA
- Mataas na pagganap
- Mahirap umunlad
- Mataas na gastos
MIPS
- Flexible at maginhawa
- Katamtamang kahirapan sa pag-unlad
- Itinigil ng mga pangunahing vendor na RMI at Cavium ang pag-develop at kalaunan ay nabigo.
ASIC
- Mataas na pagganap
- Mahirap ang pagbuo ng expansion function, pangunahin dahil sa mga limitasyon ng chip mismo
- Ang interface at mga detalye ay limitado ng chip mismo, na nagreresulta sa mahinang pagganap ng pagpapalawak
Samakatuwid, ang mataas na densidad at mabilis na Network TAP na nakikita sa merkado ay may malaking puwang para sa pagpapabuti sa kakayahang umangkop sa praktikal na paggamit. Ang mga TAP network shunter ay ginagamit para sa protocol conversion, pagkolekta ng data, data shunting, data mirroring, at traffic filtering. Ang mga pangunahing karaniwang uri ng port ay kinabibilangan ng 100G, 40G, 10G, 2.5G POS, GE, atbp. Dahil sa unti-unting pag-alis ng mga produkto ng SDH, ang kasalukuyang mga Network TAP shunter ay kadalasang ginagamit sa all-Ethernet network environment.
Oras ng pag-post: Mayo-25-2022
