1       NetTAP混合式流量导向TAP

NetTAP混合式流量导向TAP产品是数维通信公司潜心研发推出的用于千兆以太网链路流量采集、汇聚、分流自由导向输出的一款全新TAP产品;该TAP设备内置流量策略导向引擎,在完成传统TAP流量采集的同时,可将各个在线及SPAN端口的流量执行基于灵活控制策略的导向分流、复制或汇聚,可精确定制各个流量采集输出接口的流量类型,进一步满足各类网络安全、协议分析、信令协议分析等流量监控需求。
NT-iMXTAP-24G-D是一款千兆多端口高密度的混合式流量导向TAP设备。可最大支持6路千兆电口在线监听或4路千兆光口在线监听; 设备具有12个固定千兆电口及12SFP插槽;每个接口均可支持流量输入/输出功能;12个固定千兆电口每两个形成一组支持断电无闪断智能bypass功能以支持6路千兆电口串接部署;选配专用光分路模块可支持4路的单/多模千兆光口的在线监听。
NetTAP流量复制器采用ASIC专用芯片纯硬件方式设计,高速背板交换总线带宽可达24Gbps,可实现完全线速流量复制、汇聚及分流输出;TCAM硬件策略匹配标记引擎模块可完成线速流量状态下的报文安全策略匹配及流分类标记;流量导向引擎可实现标记流量的自由端口转发、复制与分流动作。

1.1.1    智能流量标识与导向策略

NT-iMXTAP-24G-D支持多种流量标识策略与流量导向/分流策略,可基于流量到达源端口、TCP/IP五元组信息、协议头关键标记信息等组合策略对采集的网络流量进行标识,并可根据不同的标识类型执行流量导向输出到1-N个输出接口。系统可支持以下流量标识策略:
n 基于采集源端口的流量标识。将网络数据按流量采集【在线式或SPAN】的源端口进行分类标识。
n 基于L2-L4层协议的流量标识。将网络数据按L2-L4层网络协议的头字段进行流量标识,如基于源/目的MAC、网络层报文类型、传输层协议类型、传输层协议端口、协议标记等多种组合报文匹配条件执行基于硬件TCAM匹配的流量标识。

1.1    典型部署应用结构

1.1.1   在线式部署应用结构

 
如图所示,NT-iMXTAP-24G-D设备用于两个网络设备的互联链路中间进行串联部署,其设备互联的物理线路可以是双绞线或光纤线路。该方式部署时可以把在线的数据流,同时输出到多条监听链路连接的多个旁路设备以执行监听分析;流量输出接口可执行灵活配置,可定制监控某条在线链路上的上/下行流量或汇聚流量,输出端口可以同时输出多条在线链路的汇聚流量,也可以仅输出某条链路上的单向上/下行流量。
NT-iMXTAP-24G-D设备具备强大的智能bypass功能,其独特的Link-SafeSwtich技术可以实现bypass切换时,以太网Link状态不丢失。这一技术将保证bypass切换更为安全,不会导致一些二层、三层上的冗余协议不会重新计算和收敛,大大缩小了在执行bypass切换时的网络失效时长。

1.1.2   混合部署应用结构

 
 
如上图所示,***检测系统、流量分析仪和审计系统均为旁路设备,同时需要监听来至外部互联网的数据及内部多台核心交换机的数据流;在此方案中采用NT-iMXTAP-24G-D设备混合式部署的方式,即该设备同时工作在SPAN方式和在线式两种工作模式下,同时监听来至内部核心交换机和来至互联网的数据流,可灵活定制输出接口,完美解决实际网络中各监听设备对数据流的不同需求。
 
 

1.1.3   定制流量监听部署应用结构

在上图所示的网络环境中,网络上传输有多种业务应用。现根据业务要求,需对不同的应用系统进行审计。由于传统的网络设备无法满足对镜像数据的按需分流,所以在本方案中采用专业的TAP设备NT-iMXTAP-24G-D,采用HASH算法对审计系统需要的数据进行分流。NT-iMXTAP-24G-DHTTPSMTP的数据传输到审计系统1,把FTPTELNET的数据传输到审计系统2
设备在使用HASH算法进行流量分流时,分流HASH策略可依据帧的MAC信息、IP信息、端口协议等信息进行分流,可保证每台***检测设备所接收到的数据流的会话完整性; 分流端口组成员在链路状态发生变化时可灵活加入/退出分流组以自动重新分配流量,支持端口输出流量的动态负载均衡。