Lorsqu'un périphérique IDS (Intrusion Detection System) est déployé, le port de mise en miroir sur le commutateur dans le centre d'information du correspondant n'est pas suffisant (par exemple, un seul port de mise en miroir est autorisé et le port de mise en miroir a occupé d'autres périphériques).
À l'heure actuelle, lorsque nous n'ajoutons pas beaucoup de ports de mise en miroir, nous pouvons utiliser le périphérique de réplication, d'agrégation et de transfert du réseau pour distribuer la même quantité de données de mise en miroir sur notre appareil.
Qu'est-ce que le réseau TAP ?
Peut-être avez-vous entendu pour la première fois le nom du commutateur TAP. TAP (Terminal Access Point), également connu sous le nom de NPB (Network Packet Broker), ou Tap Aggregator ?
La fonction principale de TAP est de s'installer entre le port miroir du réseau de production et un cluster de périphériques d'analyse. Le TAP collecte le trafic mis en miroir ou séparé d'un ou plusieurs périphériques de réseau de production et distribue le trafic à un ou plusieurs périphériques d'analyse de données.
Scénarios courants de déploiement du réseau Network TAP
Network Tap a des étiquettes évidentes, telles que :
Matériel indépendant
TAP est un élément matériel distinct qui n'affecte pas la charge sur les périphériques réseau existants, ce qui constitue l'un des avantages par rapport à la mise en miroir des ports.
Réseau transparent
Une fois le TAP connecté au réseau, tous les autres appareils du réseau ne sont pas affectés. Pour eux, le TAP est transparent comme l’air, et les dispositifs de surveillance connectés au TAP sont transparents pour le réseau dans son ensemble.
TAP est comme la mise en miroir de ports sur un commutateur. Alors pourquoi déployer un TAP distinct ? Examinons tour à tour certaines des différences entre Network TAP et Network Port Mirroring.
Différence 1 : Le réseau TAP est plus facile à configurer que la mise en miroir des ports
La mise en miroir des ports doit être configurée sur le commutateur. Si la surveillance doit être ajustée, le commutateur doit être TOUS reconfiguré. Cependant, le TAP ne doit être ajusté que là où il est demandé, ce qui n'a aucun impact sur les périphériques réseau existants.
Différence 2 : Network TAP n'affecte pas les performances du réseau par rapport à la mise en miroir des ports
La mise en miroir des ports sur le commutateur détériore les performances du commutateur et affecte la capacité de commutation. En particulier, si le commutateur est connecté à un réseau en série en ligne, la capacité de transfert de l'ensemble du réseau est gravement affectée. TAP est un matériel indépendant et n'altère pas les performances de l'appareil en raison de la mise en miroir du trafic. Par conséquent, cela n’a aucun impact sur la charge des périphériques réseau existants, ce qui présente de grands avantages par rapport à la mise en miroir des ports.
Différence 3 : Network TAP fournit un processus de trafic plus complet que la réplication par mise en miroir de ports
La mise en miroir des ports ne peut pas garantir que tout le trafic peut être obtenu car le port du commutateur lui-même filtrera certains paquets d'erreur ou des paquets de trop petite taille. Cependant, le TAP garantit l'intégrité des données car il s'agit d'une « réplication » complète au niveau de la couche physique.
Différence 4 : Le délai de transfert de TAP est inférieur à celui de Port Mirroring
Sur certains commutateurs bas de gamme, la mise en miroir des ports peut introduire une latence lors de la copie du trafic vers des ports miroir, ainsi que lors de la copie de ports 10/100 m vers des ports Giga Ethernet.
Bien que cela soit largement documenté, nous pensons que les deux dernières analyses manquent d’un solide support technique.
Alors, dans quelle situation générale devons-nous utiliser TAP pour la distribution du trafic réseau ? Simplement, si vous avez les exigences suivantes, le Network TAP est votre meilleur choix.
Technologies TAP réseau
Écoutez ce qui précède et sentez que le shunt du réseau TAP est vraiment un dispositif magique, le shunt TAP courant sur le marché actuel utilisant l'architecture sous-jacente d'environ trois catégories :
FPGA
- Hautes performances
- Difficile à développer
- Coût élevé
MIPS
- Flexible et pratique
- Difficulté de développement modérée
- Les fournisseurs grand public RMI et Cavium ont arrêté leur développement et ont échoué plus tard.
ASIC
- Hautes performances
- Le développement de la fonction d'extension est difficile, principalement en raison des limitations de la puce elle-même
- L'interface et les spécifications sont limitées par la puce elle-même, ce qui entraîne de mauvaises performances d'extension
Par conséquent, le réseau TAP haute densité et haut débit observé sur le marché offre une grande marge d'amélioration en termes de flexibilité dans l'utilisation pratique. Les shunters de réseau TAP sont utilisés pour la conversion de protocole, la collecte de données, le shuntage de données, la mise en miroir de données et le filtrage du trafic. Les principaux types de ports courants incluent 100G, 40G, 10G, 2,5G POS, GE, etc. En raison du retrait progressif des produits SDH, les shunters Network TAP actuels sont principalement utilisés dans l'environnement réseau entièrement Ethernet.
Heure de publication : 25 mai 2022