Cuando se implementa un dispositivo de sistema de detección de intrusiones (IDS), el puerto de duplicación en el conmutador en el centro de información de la parte par no es suficiente (por ejemplo, solo se permite un puerto de duplicación y el puerto de duplicación ha ocupado otros dispositivos).
En este momento, cuando no agregamos muchos puertos de duplicación, podemos usar el dispositivo de reenvío, agregación y replicación de red para distribuir la misma cantidad de datos de duplicación a nuestro dispositivo.
¿Qué es la Red TAP?
Quizás hayas escuchado por primera vez el nombre de conmutador TAP. ¿TAP (Terminal Access Point), también conocido como NPB (Network Packet Broker) o Tap Aggregator?
La función principal de TAP es establecer la conexión entre el puerto de duplicación de la red de producción y un clúster de dispositivos de análisis. TAP recopila el tráfico duplicado o separado de uno o más dispositivos de la red de producción y lo distribuye a uno o más dispositivos de análisis de datos.
Escenarios de implementación de red TAP de Common Network
Network Tap tiene etiquetas obvias, como:
Hardware independiente
TAP es una pieza de hardware separada que no afecta la carga de los dispositivos de red existentes, lo que constituye una de las ventajas sobre la duplicación de puertos.
Red transparente
Una vez conectado el TAP a la red, los demás dispositivos de la red no se ven afectados. Para ellos, el TAP es transparente como el aire, y los dispositivos de monitoreo conectados a él son transparentes para la red en su conjunto.
TAP es similar a la duplicación de puertos en un switch. Entonces, ¿por qué implementar un TAP independiente? Analicemos algunas de las diferencias entre TAP de red y duplicación de puertos de red.
Diferencia 1:La red TAP es más fácil de configurar que la duplicación de puertos
La duplicación de puertos debe configurarse en el switch. Si es necesario ajustar la monitorización, es necesario reconfigurar completamente el switch. Sin embargo, el TAP solo debe ajustarse donde lo solicita, lo cual no afecta a los dispositivos de red existentes.
Diferencia 2:La red TAP no afecta el rendimiento de la red en relación con la duplicación de puertos
La duplicación de puertos en el switch reduce su rendimiento y afecta su capacidad de conmutación. En particular, si el switch está conectado a una red en serie o en línea, la capacidad de reenvío de toda la red se ve gravemente afectada. TAP es un hardware independiente y no afecta el rendimiento del dispositivo debido a la duplicación de tráfico. Por lo tanto, no afecta la carga de los dispositivos de red existentes, lo que ofrece grandes ventajas sobre la duplicación de puertos.
Diferencia 3:La red TAP proporciona un proceso de tráfico más completo que la replicación de reflejo de puertos
La duplicación de puertos no puede garantizar la obtención de todo el tráfico, ya que el propio puerto del switch filtrará algunos paquetes con error o paquetes demasiado pequeños. Sin embargo, el TAP garantiza la integridad de los datos al ser una replicación completa en la capa física.
Diferencia 4:El retraso de reenvío de TAP es menor que el de Port Mirroring
En algunos conmutadores de gama baja, la duplicación de puertos puede introducir latencia al copiar tráfico a puertos de duplicación, así como al copiar puertos de 10/100 m a puertos Giga Ethernet.
Aunque esto está ampliamente documentado, creemos que los dos últimos análisis carecen de un sólido respaldo técnico.
Entonces, ¿en qué situación general necesitamos usar TAP para distribuir el tráfico de red? En resumen, si cumple con los siguientes requisitos, Network TAP es su mejor opción.
Tecnologías de red TAP
Escuche lo anterior, sienta que la derivación de la red TAP es realmente un dispositivo mágico, la derivación TAP común del mercado actual utiliza la arquitectura subyacente de aproximadamente tres categorías:
FPGA
- Alto rendimiento
- Difícil de desarrollar
- Alto costo
MIPS
- Flexible y conveniente
- Dificultad de desarrollo moderada
- Los principales proveedores RMI y Cavium detuvieron el desarrollo y fracasaron posteriormente.
ASIC
- Alto rendimiento
- El desarrollo de funciones de expansión es difícil, principalmente debido a las limitaciones del propio chip.
- La interfaz y las especificaciones están limitadas por el propio chip, lo que resulta en un rendimiento de expansión deficiente.
Por lo tanto, los TAP de red de alta densidad y alta velocidad que se encuentran en el mercado tienen un amplio margen de mejora en cuanto a flexibilidad en su uso práctico. Los shunters de red TAP se utilizan para la conversión de protocolos, la recopilación, la derivación y la duplicación de datos, y el filtrado de tráfico. Los principales tipos de puerto comunes incluyen 100G, 40G, 10G, 2.5G POS, GE, etc. Debido a la retirada gradual de los productos SDH, los shunters de red TAP actuales se utilizan principalmente en entornos de red Ethernet.
Fecha de publicación: 25 de mayo de 2022