最近在部署入侵檢測設備時,經常會遇到對方信息中心交換機上的鏡像口不夠(比如條件只允許給一個,而且這個鏡像口已經占用其他設備),
此時我們在不多添加鏡像口的情況下,可以采用網絡分流復制設備將等量的鏡像數據分流一份給我們設備。
也許你第一次聽說TAP交換機這個名字。TAP (Terminal Access Point),還有人稱它為NPB (Network Packet Broker),或者匯聚分流器。
TAP的核心功能就是架設於生產網絡鏡像口和分析設備集群之間,將一台或者多台生產網絡設備鏡像或是分出來的流量匯聚后,再分發到一台或者多台數據分析設備。
常見的TAP網絡部署場景
網絡分流器有非常明顯的標簽,比如:
獨立硬件
TAP是一個獨立的硬件,它不會對已有網絡設備的負載帶來任何影響,這也是它優於端口鏡像的優勢之一。
TAP、交換機傻傻分不清
網絡透明
當網絡中接入TAP后,對於當前網絡中的其它所有設備,是沒有任何影響的。對於它們而言完全,TAP就像是空氣一樣透明,同時關於TAP連接的那些監控設備,對整個網絡來說也是透明的。
有人說,這個TAP的功能,和交換機上的端口鏡像(Port Mirroring)差不多啊,那么既然有了交換機的端口鏡像,我們為什么還要單獨部署一台TAP呢?我們來依次看下TAP和端口鏡像的幾個區別。
區別一:TAP相對於端口鏡像配置更方便
端口鏡像需要在交換機上做配置,一旦需要監控的地方需要調整,則需要對交換機重新進行配置,而分流器則只需要調整其位置即可,對已有網絡設備沒有任何影響。
區別二:TAP相對端口鏡像不影響網絡性能
交換機配置端口鏡像,性能有明顯下降,影響交換能力,尤其當交換機串接在網絡中,會嚴重影響整個網絡的轉發能力。而TAP是一個獨立的硬件,且不會因為流量鏡像而損耗設備性能,進而不會對已有網絡設備的負載帶來任何影響,這與端口鏡像等方式相比具有極大的優勢。
區別三:TAP相對端口鏡像“復制”的流量更完整
由於交換機的端口本身會對一些錯誤包、size太小的包做過濾,所以端口鏡像並不能保證可以獲取到所有的流量,而分流器因為是通過物理層面的完整“復制”,所以保證了數據的完整性。
區別四:TAP相對端口鏡像的轉發時延更小
在一些低端的交換機上,端口鏡像在將流量拷貝至鏡像端口時,可能會引入延遲,在將10/100M的端口拷貝至GigaEthernet端口時,也會引入延遲。
雖然很多資料上都這么寫道,但我們認為后兩面種分析還是缺乏一些有力的技術依據。
那么,一般在什么情況下,我們需要使用TAP網絡分流器呢?簡單的來說,如果你有以下幾點需求同時存在時,那么TAP網絡分流器將是你的不二之選。
02 TAP網絡分流器關鍵技術
聽上面一講,感覺TAP網絡分流器真是個神奇的設備,目前市面上常見的TAP分流器使用底層架構大致有三類:
所以一般市面上見到的高密度、高速率的TAP在實際使用中,靈活性均有很大的提升空間。目前的常見的TAP網絡分流器,主要用於協議轉換、數據采集、數據分流、數據鏡像、流量過濾等等。其主要常見的端口類型包括100G、40G、10G、2.5G POS、GE等,由於SDH系列產品逐步退出歷史舞台,目前的TAP分流器更多的用於全以太網絡環境中。
03 作為分流器應用場景
這邊以我這邊應用到的成都數維的千兆分流復制設備為例:
NT-iMXTAP-16G在線式千兆以太網流量分路器是為滿足日益增長的旁路設備的監聽需求而開發的一款智能千兆以太網流量多端口高密度的在線式分流設備。NT-iMXTAP-16G可支最大4條鏈路的千兆電口以太網在線監聽,支持全線速雙向流量監聽復制;多達4*SFP流量輸出端口;每個流量輸出端口可動態配置為上行/下行/匯聚流量輸出,支持跨鏈路的流量數據匯聚輸出;同時也支持作為SPAN方式的純流量輸入端口,可靈活滿足各種旁路監聽設備的部署需求
全雙工線速流量復制能力
NetTAP NT-iMXTAP-16G采用ASIC芯片以純硬件方式線速復制以太網流量,可靈活的將多達4路1000Mbps端口流量復制到最大8路1000MBps端口,有效使您的入侵檢測、防御系統、安全審計系統、協議分析器、RMON探針及其它安全旁路部署設備均能完整監聽數據流,更好的保證您的網絡安全。
靈活的單/雙向流量復制匯聚功能
NT-iMXTAP-16G具有靈活的TX/RX流量復制或混合匯聚功能。設備既可以分離輸出兩路TX、RX流量,保證全雙工1G鏈路下的雙向流量被完整監聽;也可以混合輸出TX/RX流量,滿足在部份監聽設備僅具有單監聽端口情況下能夠監聽雙向數據流量的要求。
支持跨在線端口的流量輸出匯聚
NT-iMXTAP-16G可支持跨不同的在線鏈路的TX/RX流量復制或混合匯聚功能。每個輸出端口都可以靈活定義需要監控的源在線鏈路的上/下行、匯聚流量。
同時支持在線 / 鏡像流量復制多種方式部署
NT-iMXTAP-16G設備具有12個固定的10/100/1000M自適應電口,4個支持光/電模塊的SFP接口插槽。設備前GE0-GE7的8個千兆電口既可以作為4路在線式部署,也可以在鏡像流量復制部署方式下作為8個獨立的鏡像流量輸入/輸出端口;可以靈活滿足不同的部署方式的需求。
鏡像式應用結構
強大的BYPASS功能
Link-Reflect特性
NT-iMXTAP-16G采用智能BYPASS技術,在下行端口鏈路發生故障時可及時檢測並及時將端口鏈路故障反映到上行端口,智能關閉上行端口鏈接使SW1的上行端口能夠及時感知SW3的互聯端口故障。可快速啟用冗余設備及路由機制,達到流量快速切換的上的,有效使網絡故障恢復時間縮短,增強了網絡的可靠性。
千兆以太網Link-SafeSwitch特性
千兆以太網Link-SafeSwitch特性是指TAP設備在執行千兆以太網BYPASS切換時,可保證原來的上、下連的以太網端口Link狀態不丟失,即使TAP設備發生BYPASS切換,對於上連及下連的設備端口來講完全是透明的,感受不到鏈路狀態的變化。
支持端口分流功能
NT-iMXTAP-16G支持端口分流功能。可靈活配置幾種分流策略(支持源MAC地址、目的MAC地址、源目的MAC組合等)將流量分流到多個端口,用以減輕鏈路負擔。
支持802.1Q/QINQ協議封裝
NT-iMXTAP-16G可透明支持TRUNK封裝的在線式鏈路串接及流量復制,無論您的鏡像數據端口是Trunk端口還是Access端口均能夠實現流量復制/匯聚功能,可靈活的滿足不同拓撲結構的需求。
支持SNMP管理
隨着網絡技術的飛速發展,網絡的數量也越來越多。而網絡中的設備來自各個不同的廠家,如何管理這些設備就變得十分重要。NT-iMXTAP-16G可以很好的支持SNMP管理,簡化管理員的工作量實時的監控設備運行狀態。