Lorsqu'un périphérique de système de détection d'intrusion (IDS) est déployé, le port de mise en miroir sur le commutateur dans le centre d'informations de l'homologue n'est pas suffisant (par exemple, un seul port de mise en miroir est autorisé et le port de mise en miroir a occupé d'autres périphériques).
À l'heure actuelle, lorsque nous n'ajoutons pas beaucoup de ports de mise en miroir, nous pouvons utiliser le périphérique de réplication, d'agrégation et de transfert réseau pour distribuer la même quantité de données de mise en miroir à notre périphérique.
Qu'est-ce que le réseau TAP ?
Vous avez peut-être entendu parler pour la première fois du commutateur TAP. TAP (Terminal Access Point), également connu sous le nom de NPB (Network Packet Broker) ou Tap Aggregator ?
La fonction principale du TAP est de se connecter entre le port miroir du réseau de production et un cluster d'appareils d'analyse. Le TAP collecte le trafic miroir ou séparé d'un ou plusieurs appareils du réseau de production et le distribue à un ou plusieurs appareils d'analyse de données.
Scénarios courants de déploiement du réseau TAP
Network Tap a des étiquettes évidentes, telles que :
Matériel indépendant
TAP est un élément matériel distinct qui n’affecte pas la charge sur les périphériques réseau existants, ce qui constitue l’un des avantages par rapport à la mise en miroir des ports.
Changer?
Prise réseau ?
Réseau transparent
Une fois le TAP connecté au réseau, les autres appareils du réseau ne sont pas affectés. Pour eux, le TAP est transparent, et les appareils de surveillance qui lui sont connectés sont transparents pour l'ensemble du réseau.
Le TAP fonctionne comme la mise en miroir de ports sur un commutateur. Alors, pourquoi déployer un TAP distinct ? Examinons successivement les différences entre le TAP réseau et la mise en miroir de ports réseau.
Différence 1: Le TAP réseau est plus facile à configurer que la mise en miroir des ports
La mise en miroir des ports doit être configurée sur le commutateur. Si la surveillance doit être ajustée, le commutateur doit être reconfiguré intégralement. Cependant, le TAP ne doit être ajusté que là où il est requis, ce qui n'a aucun impact sur les périphériques réseau existants.
Différence 2: Le TAP réseau n'affecte pas les performances du réseau par rapport à la mise en miroir des ports
La mise en miroir des ports sur le commutateur dégrade ses performances et affecte sa capacité de commutation. En particulier, si le commutateur est connecté en série à un réseau (en ligne), la capacité de transfert de l'ensemble du réseau est gravement affectée. Le TAP est un matériel indépendant et n'altère pas les performances des périphériques grâce à la mise en miroir du trafic. Par conséquent, il n'a aucun impact sur la charge des périphériques réseau existants, ce qui présente de grands avantages par rapport à la mise en miroir des ports.
Différence 3: Le TAP réseau fournit un processus de trafic plus complet que la réplication par mise en miroir des ports
La mise en miroir des ports ne garantit pas l'accès à l'intégralité du trafic, car le port du commutateur lui-même filtre certains paquets erronés ou de taille insuffisante. Cependant, le TAP garantit l'intégrité des données grâce à une réplication complète au niveau de la couche physique.
Différence 4:Le délai de transfert de TAP est inférieur à celui de la mise en miroir des ports
Sur certains commutateurs bas de gamme, la mise en miroir des ports peut introduire une latence lors de la copie du trafic vers les ports de mise en miroir, ainsi que lors de la copie des ports 10/100 m vers les ports Giga Ethernet.
Bien que cela soit largement documenté, nous pensons que les deux dernières analyses manquent d’un support technique solide.
Dans quelle situation générale devons-nous utiliser un TAP pour la distribution du trafic réseau ? Si vous avez les exigences suivantes, le TAP réseau est le meilleur choix.
Technologies TAP réseau
Écoutez ce qui précède, sentez que le shunt réseau TAP est vraiment un appareil magique, le shunt TAP commun du marché actuel utilisant l'architecture sous-jacente d'environ trois catégories :
FPGA
- Haute performance
- Difficile à développer
- Coût élevé
MIPS
- Flexible et pratique
- Difficulté de développement modérée
- Les principaux fournisseurs RMI et Cavium ont arrêté le développement et ont fait faillite par la suite
ASIC
- Haute performance
- Le développement de la fonction d'extension est difficile, principalement en raison des limitations de la puce elle-même
- L'interface et les spécifications sont limitées par la puce elle-même, ce qui entraîne de faibles performances d'extension
Par conséquent, les TAP réseau haute densité et haut débit disponibles sur le marché offrent une grande flexibilité d'utilisation. Les shunters TAP sont utilisés pour la conversion de protocole, la collecte, le shuntage et la mise en miroir des données, ainsi que le filtrage du trafic. Les principaux types de ports courants sont les ports 100G, 40G, 10G, 2,5G POS, GE, etc. En raison du retrait progressif des produits SDH, les shunters TAP réseau actuels sont principalement utilisés dans les environnements réseau tout Ethernet.
Date de publication : 25 mai 2022
