Lorsqu'un dispositif de détection d'intrusion (IDS) est déployé, le port de mise en miroir sur le commutateur du centre d'information de la partie homologue n'est pas suffisant (par exemple, un seul port de mise en miroir est autorisé et le port de mise en miroir est occupé par d'autres dispositifs).
À ce stade, lorsque nous n'ajoutons pas beaucoup de ports de mise en miroir, nous pouvons utiliser le dispositif de réplication, d'agrégation et de transfert réseau pour distribuer la même quantité de données de mise en miroir à notre appareil.
Qu'est-ce qu'un Network TAP ?
Vous avez peut-être d'abord entendu parler du commutateur TAP. TAP (Terminal Access Point), également connu sous le nom de NPB (Network Packet Broker) ou agrégateur TAP ?
La fonction principale du TAP est d'établir une interface entre le port de mise en miroir du réseau de production et un cluster de périphériques d'analyse. Le TAP collecte le trafic mis en miroir ou séparé provenant d'un ou plusieurs périphériques du réseau de production et le distribue à un ou plusieurs périphériques d'analyse de données.
Scénarios de déploiement de réseau courants Network TAP
Network Tap comporte des étiquettes explicites, telles que :
Matériel indépendant
Le TAP est un composant matériel distinct qui n'affecte pas la charge des périphériques réseau existants, ce qui constitue l'un de ses avantages par rapport à la duplication de ports.
Changer?
Prise réseau ?
Réseau transparent
Une fois le point d'accès (TAP) connecté au réseau, aucun autre appareil de ce dernier n'est affecté. Pour eux, le TAP est totalement transparent, et les dispositifs de surveillance qui y sont connectés sont transparents pour l'ensemble du réseau.
Le TAP est similaire à la duplication de ports sur un commutateur. Alors, pourquoi déployer un TAP distinct ? Examinons successivement les différences entre le TAP réseau et la duplication de ports réseau.
Différence 1La configuration d'un TAP réseau est plus simple que celle d'une duplication de ports.
La duplication de ports doit être configurée sur le commutateur. Si la surveillance doit être ajustée, le commutateur doit être entièrement reconfiguré. En revanche, le TAP ne nécessite d'ajustement que là où il le demande, sans incidence sur les périphériques réseau existants.
Différence 2Le Network TAP n'affecte pas les performances du réseau par rapport à la duplication de ports.
La duplication de ports sur un commutateur dégrade ses performances et affecte sa capacité de commutation. En particulier, si le commutateur est connecté en série à un réseau (configuration en ligne), la capacité de transfert de l'ensemble du réseau est fortement impactée. Le TAP, quant à lui, est un matériel indépendant et n'affecte pas les performances des équipements par la duplication de trafic. Par conséquent, il n'a aucun impact sur la charge des équipements réseau existants, ce qui représente un avantage considérable par rapport à la duplication de ports.
Différence 3Le protocole TAP réseau offre un traitement du trafic plus complet que la réplication par duplication de ports.
La duplication de ports ne garantit pas la réception de l'intégralité du trafic, car le port du commutateur filtre certains paquets erronés ou de taille insuffisante. En revanche, le TAP assure l'intégrité des données grâce à une réplication complète au niveau physique.
Différence 4Le délai de transmission du TAP est inférieur à celui de la duplication de port.
Sur certains commutateurs d'entrée de gamme, la duplication de ports peut introduire une latence lors de la copie du trafic vers les ports de duplication, ainsi que lors de la copie des ports 10/100m vers les ports Gigabit Ethernet.
Bien que cela soit largement documenté, nous pensons que les deux dernières analyses manquent de solides fondements techniques.
Dans quelles situations générales a-t-on besoin d'utiliser un TAP pour la distribution du trafic réseau ? En résumé, si vous répondez aux exigences suivantes, le Network TAP est la solution idéale.
Technologies Network TAP
Écoutez ce qui précède, vous constaterez que le shunt de réseau TAP est un appareil véritablement magique. Le shunt TAP courant sur le marché utilise une architecture sous-jacente qui se divise en trois catégories principales :
FPGA
- Haute performance
- Difficile à développer
- Coût élevé
MIPS
- Flexible et pratique
- Difficulté de développement modérée
Les principaux fournisseurs RMI et Cavium ont interrompu leur développement et ont ensuite fait faillite.
ASIC
- Haute performance
- Le développement de fonctions d'extension est difficile, principalement en raison des limitations de la puce elle-même.
L'interface et les spécifications sont limitées par la puce elle-même, ce qui entraîne de faibles performances d'extension.
Par conséquent, les commutateurs TAP réseau haute densité et haut débit disponibles sur le marché présentent un potentiel d'amélioration considérable en termes de flexibilité d'utilisation. Ces commutateurs servent à la conversion de protocole, à la collecte, au routage et à la duplication de données, ainsi qu'au filtrage du trafic. Les principaux types de ports courants incluent 100G, 40G, 10G, 2,5G POS et GE. En raison du retrait progressif des produits SDH, les commutateurs TAP réseau actuels sont principalement utilisés dans les environnements réseau tout Ethernet.
Date de publication : 25 mai 2022
