Cuando se implementa un dispositivo del Sistema de detección de intrusiones (IDS), el puerto de duplicación en el conmutador en el centro de información del par no es suficiente (por ejemplo, solo se permite un puerto de duplicación y el puerto de duplicación ha ocupado otros dispositivos).
En este momento, cuando no agregamos muchos puertos de duplicación, podemos usar el dispositivo de replicación, agregación y reenvío de red para distribuir la misma cantidad de datos de duplicación a nuestro dispositivo.
¿Qué es el TAP de red?
Quizás hayas escuchado por primera vez el nombre del interruptor TAP. ¿TAP (Punto de acceso a terminal), también conocido como NPB (Agente de paquetes de red) o Tap Aggregator?
La función principal de TAP es establecer entre el puerto de duplicación en la red de producción y un grupo de dispositivos de análisis. El TAP recopila el tráfico reflejado o separado de uno o más dispositivos de red de producción y distribuye el tráfico a uno o más dispositivos de análisis de datos.
Escenarios comunes de implementación de red Network TAP
Network Tap tiene etiquetas obvias, como:
Hardware independiente
TAP es una pieza de hardware separada que no afecta la carga en los dispositivos de red existentes, lo cual es una de las ventajas sobre la duplicación de puertos.
Red transparente
Una vez que el TAP se conecta a la red, todos los demás dispositivos de la red no se ven afectados. Para ellos, el TAP es transparente como el aire y los dispositivos de monitoreo conectados al TAP son transparentes para la red en su conjunto.
TAP es como Port Mirroring en un conmutador. Entonces, ¿por qué implementar un TAP separado? Veamos algunas de las diferencias entre Network TAP y Network Port Mirroring.
Diferencia 1: Network TAP es más fácil de configurar que la duplicación de puertos
La duplicación de puertos debe configurarse en el conmutador. Si es necesario ajustar el monitoreo, es necesario reconfigurar TODO el interruptor. Sin embargo, el TAP solo necesita ajustarse donde lo solicite, lo que no tiene ningún impacto en los dispositivos de red existentes.
Diferencia 2: Network TAP no afecta el rendimiento de la red en relación con la duplicación de puertos
La duplicación de puertos en el conmutador deteriora el rendimiento del conmutador y afecta la capacidad de conmutación. En particular, si el conmutador está conectado a una red en serie como en línea, la capacidad de reenvío de toda la red se ve gravemente afectada. TAP es un hardware independiente y no afecta el rendimiento del dispositivo debido a la duplicación del tráfico. Por lo tanto, no tiene ningún impacto en la carga de los dispositivos de red existentes, lo que tiene grandes ventajas sobre la duplicación de puertos.
Diferencia 3: Network TAP proporciona un proceso de tráfico más completo que la replicación de duplicación de puertos
La duplicación de puertos no puede garantizar que se pueda obtener todo el tráfico porque el propio puerto del conmutador filtrará algunos paquetes de error o paquetes de tamaño demasiado pequeño. Sin embargo, el TAP garantiza la integridad de los datos porque es una "replicación" completa en la capa física.
Diferencia 4: El retraso de reenvío de TAP es menor que el de Port Mirroring
En algunos conmutadores de gama baja, la duplicación de puertos puede introducir latencia al copiar el tráfico a los puertos de duplicación, así como al copiar puertos de 10/100 m a puertos Giga Ethernet.
Aunque esto está ampliamente documentado, creemos que los dos últimos análisis carecen de un sólido respaldo técnico.
Entonces, ¿en qué situación general necesitamos utilizar TAP para la distribución del tráfico de red? Simplemente, si tiene los siguientes requisitos, Network TAP es su mejor opción.
Tecnologías TAP de red
Escuche lo anterior y sienta que la derivación de red TAP es realmente un dispositivo mágico. La derivación TAP común en el mercado actual utiliza aproximadamente tres categorías de arquitectura subyacente:
FPGA
- Alto rendimiento
- Difícil de desarrollar
- Alto costo
MIPS
- Flexible y conveniente
- Dificultad de desarrollo moderada.
- Los principales proveedores RMI y Cavium detuvieron el desarrollo y fracasaron más tarde.
asico
- Alto rendimiento
- El desarrollo de la función de expansión es difícil, principalmente debido a las limitaciones del propio chip.
- La interfaz y las especificaciones están limitadas por el propio chip, lo que da como resultado un rendimiento de expansión deficiente
Por lo tanto, el TAP de red de alta densidad y alta velocidad que se ve en el mercado tiene mucho margen de mejora en cuanto a flexibilidad en el uso práctico. Los derivadores de red TAP se utilizan para conversión de protocolos, recopilación de datos, derivación de datos, duplicación de datos y filtrado de tráfico. Los principales tipos de puertos comunes incluyen 100G, 40G, 10G, 2.5G POS, GE, etc. Debido a la retirada gradual de los productos SDH, los derivadores TAP de red actuales se utilizan principalmente en el entorno de red totalmente Ethernet.
Hora de publicación: 25 de mayo de 2022