Quando um dispositivo de Sistema de Detecção de Intrusão (IDS) é implantado, a porta de espelhamento no switch do centro de dados da outra parte não é suficiente (por exemplo, apenas uma porta de espelhamento é permitida e essa porta já está ocupada por outros dispositivos).
Neste momento, quando não adicionamos muitas portas de espelhamento, podemos usar o dispositivo de replicação, agregação e encaminhamento de rede para distribuir a mesma quantidade de dados de espelhamento para o nosso dispositivo.
O que é um TAP de rede?
Talvez você tenha ouvido falar primeiro do switch TAP. TAP (Terminal Access Point), também conhecido como NPB (Network Packet Broker) ou Tap Aggregator?
A função principal do TAP é estabelecer uma conexão entre a porta de espelhamento na rede de produção e um cluster de dispositivos de análise. O TAP coleta o tráfego espelhado ou separado de um ou mais dispositivos da rede de produção e o distribui para um ou mais dispositivos de análise de dados.
Cenários comuns de implantação de rede TAP
A Network Tap possui rótulos óbvios, como:
Hardware independente
O TAP é um componente de hardware separado que não afeta a carga dos dispositivos de rede existentes, o que é uma das vantagens em relação ao espelhamento de portas.
Trocar?
Conexão de rede?
Rede transparente
Após o TAP ser conectado à rede, todos os outros dispositivos na rede não são afetados. Para eles, o TAP é transparente como o ar, e os dispositivos de monitoramento conectados ao TAP são transparentes para a rede como um todo.
O TAP é semelhante ao espelhamento de portas em um switch. Então, por que implantar um TAP separado? Vamos analisar algumas das diferenças entre o Network TAP e o espelhamento de portas de rede.
Diferença 1O Network TAP é mais fácil de configurar do que o espelhamento de portas.
O espelhamento de portas precisa ser configurado no switch. Se o monitoramento precisar ser ajustado, o switch precisa ser reconfigurado por completo. No entanto, o TAP só precisa ser ajustado onde solicitado, o que não afeta os dispositivos de rede existentes.
Diferença 2O Network TAP não afeta o desempenho da rede em comparação com o espelhamento de portas.
O espelhamento de portas em um switch deteriora o desempenho do mesmo e afeta a capacidade de comutação. Em particular, se o switch estiver conectado a uma rede em série (como em linha), a capacidade de encaminhamento de toda a rede é severamente afetada. O TAP é um hardware independente e não prejudica o desempenho do dispositivo devido ao espelhamento de tráfego. Portanto, não impacta a carga dos dispositivos de rede existentes, o que representa uma grande vantagem em relação ao espelhamento de portas.
Diferença 3O Network TAP proporciona um processamento de tráfego mais completo do que a replicação por espelhamento de portas.
O espelhamento de portas não garante a captura de todo o tráfego, pois a própria porta do switch filtra alguns pacotes com erros ou pacotes de tamanho insuficiente. No entanto, o TAP garante a integridade dos dados, pois realiza uma "replicação" completa na camada física.
Diferença 4O atraso de encaminhamento do TAP é menor que o do espelhamento de porta.
Em alguns switches de baixo custo, o espelhamento de portas pode introduzir latência ao copiar o tráfego para as portas espelhadas, bem como ao copiar portas 10/100m para portas Giga Ethernet.
Embora isso esteja amplamente documentado, acreditamos que as duas últimas análises carecem de um suporte técnico robusto.
Então, em que situação geral precisamos usar um TAP para distribuição de tráfego de rede? Simplificando, se você tiver os seguintes requisitos, o Network TAP é a melhor opção.
Tecnologias de rede TAP
Ao ouvir o que foi dito acima, você perceberá que o shunt de rede TAP é realmente um dispositivo mágico. Os shunts TAP comuns no mercado atualmente utilizam uma arquitetura subjacente que se enquadra em três categorias principais:
FPGA
- Alto desempenho
- Difícil de desenvolver
- Alto custo
MIPS
- Flexível e conveniente
- Dificuldade de desenvolvimento moderada
- Os principais fornecedores, RMI e Cavium, interromperam o desenvolvimento e posteriormente faliram.
ASIC
- Alto desempenho
O desenvolvimento de funções de expansão é difícil, principalmente devido às limitações do próprio chip.
A interface e as especificações são limitadas pelo próprio chip, resultando em baixo desempenho de expansão.
Portanto, os TAPs de rede de alta densidade e alta velocidade disponíveis no mercado apresentam grande potencial para melhorias em termos de flexibilidade de uso prático. Os shunters de rede TAP são utilizados para conversão de protocolos, coleta de dados, desvio de dados, espelhamento de dados e filtragem de tráfego. Os principais tipos de porta comuns incluem 100G, 40G, 10G, 2.5G POS, GE, etc. Devido à descontinuação gradual dos produtos SDH, os shunters de rede TAP atuais são utilizados principalmente em ambientes de rede totalmente Ethernet.
Data da publicação: 25 de maio de 2022
