Cuando se implementa un dispositivo de sistema de detección de intrusiones (IDS), el puerto de duplicación en el conmutador del centro de información de la otra parte no es suficiente (por ejemplo, solo se permite un puerto de duplicación y este ya está ocupado por otros dispositivos).
En este momento, cuando no agregamos muchos puertos de duplicación, podemos usar el dispositivo de replicación, agregación y reenvío de red para distribuir la misma cantidad de datos de duplicación a nuestro dispositivo.
¿Qué es el Network TAP?
Quizás hayas oído hablar por primera vez del conmutador TAP. TAP (Terminal Access Point), también conocido como NPB (Network Packet Broker) o agregador TAP.
La función principal de TAP es establecer una conexión entre el puerto de duplicación de la red de producción y un clúster de dispositivos de análisis. TAP recopila el tráfico duplicado o separado de uno o más dispositivos de la red de producción y lo distribuye a uno o más dispositivos de análisis de datos.
Escenarios de despliegue de red TAP de Common Network
Network Tap tiene etiquetas obvias, como por ejemplo:
Hardware independiente
TAP es un componente de hardware independiente que no afecta la carga de los dispositivos de red existentes, lo cual es una de las ventajas frente a la duplicación de puertos.
¿Cambiar?
¿Intercepción de red?
Red transparente
Una vez que el TAP se conecta a la red, el resto de los dispositivos de la red no se ven afectados. Para ellos, el TAP es completamente transparente, y los dispositivos de monitorización conectados al TAP son transparentes para la red en su conjunto.
TAP es similar a la duplicación de puertos en un switch. Entonces, ¿por qué implementar un TAP independiente? Analicemos algunas de las diferencias entre Network TAP y la duplicación de puertos de red.
Diferencia 1: Network TAP es más fácil de configurar que la duplicación de puertos.
Es necesario configurar la duplicación de puertos en el switch. Si se requiere ajustar la monitorización, se debe reconfigurar el switch en su totalidad. Sin embargo, el TAP solo necesita ajustarse donde se solicite, lo cual no afecta a los dispositivos de red existentes.
Diferencia 2: Network TAP no afecta el rendimiento de la red en relación con la duplicación de puertos.
La duplicación de puertos en el switch deteriora su rendimiento y afecta su capacidad de conmutación. En particular, si el switch está conectado a una red en serie (en línea), la capacidad de reenvío de toda la red se ve gravemente afectada. TAP es un hardware independiente y no perjudica el rendimiento de los dispositivos debido a la duplicación de tráfico. Por lo tanto, no afecta la carga de los dispositivos de red existentes, lo que supone una gran ventaja frente a la duplicación de puertos.
Diferencia 3: Network TAP proporciona un procesamiento de tráfico más completo que la replicación de duplicación de puertos.
La duplicación de puertos no garantiza la recepción de todo el tráfico, ya que el propio puerto del conmutador filtra algunos paquetes erróneos o de tamaño insuficiente. Sin embargo, el TAP garantiza la integridad de los datos, puesto que realiza una replicación completa en la capa física.
Diferencia 4: El retardo de reenvío de TAP es menor que el de Port Mirroring.
En algunos conmutadores de gama baja, la duplicación de puertos puede introducir latencia al copiar el tráfico a los puertos duplicados, así como al copiar puertos 10/100m a puertos Gigabit Ethernet.
Aunque esto está ampliamente documentado, creemos que los dos últimos análisis carecen de un sólido respaldo técnico.
Entonces, ¿en qué situación general necesitamos usar TAP para la distribución de tráfico de red? Sencillamente, si cumple con los siguientes requisitos, entonces Network TAP es su mejor opción.
Tecnologías TAP de red
Escucha lo anterior, siente que el TAP network shunt es realmente un dispositivo mágico, el TAP shunt común del mercado actual utiliza la arquitectura subyacente de aproximadamente tres categorías:
FPGA
- Alto rendimiento
- Difícil de desarrollar
- Alto costo
MIPS
- Flexible y conveniente
- Dificultad de desarrollo moderada
- Los principales proveedores, RMI y Cavium, detuvieron el desarrollo y posteriormente fracasaron.
ASIC
- Alto rendimiento
- El desarrollo de funciones de expansión es difícil, principalmente debido a las limitaciones del propio chip.
- La interfaz y las especificaciones están limitadas por el propio chip, lo que resulta en un rendimiento de expansión deficiente.
Por lo tanto, los TAP de red de alta densidad y alta velocidad que se encuentran en el mercado tienen un amplio margen de mejora en cuanto a flexibilidad para su uso práctico. Los derivadores de red TAP se utilizan para la conversión de protocolos, la recopilación de datos, la derivación de datos, la duplicación de datos y el filtrado de tráfico. Los principales tipos de puertos comunes incluyen 100G, 40G, 10G, 2.5G POS, GE, etc. Debido a la retirada gradual de los productos SDH, los derivadores de red TAP actuales se utilizan principalmente en entornos de red totalmente Ethernet.
Fecha de publicación: 25 de mayo de 2022
