最近在部署入侵检测设备时,经常会遇到对方信息中心交换机上的镜像口不够(比如条件只允许给一个,而且这个镜像口已经占用其他设备),
此时我们在不多添加镜像口的情况下,可以采用网络分流复制设备将等量的镜像数据分流一份给我们设备。
01 什么是TAP-网络分流器
也许你第一次听说TAP交换机这个名字。TAP (Terminal Access Point),还有人称它为NPB (Network Packet Broker),或者汇聚分流器。
TAP的核心功能就是架设于生产网络镜像口和分析设备集群之间,将一台或者多台生产网络设备镜像或是分出来的流量汇聚后,再分发到一台或者多台数据分析设备。
常见的TAP网络部署场景
网络分流器有非常明显的标签,比如:
独立硬件
TAP是一个独立的硬件,它不会对已有网络设备的负载带来任何影响,这也是它优于端口镜像的优势之一。
TAP、交换机傻傻分不清
网络透明
当网络中接入TAP后,对于当前网络中的其它所有设备,是没有任何影响的。对于它们而言完全,TAP就像是空气一样透明,同时关于TAP连接的那些监控设备,对整个网络来说也是透明的。
有人说,这个TAP的功能,和交换机上的端口镜像(Port Mirroring)差不多啊,那么既然有了交换机的端口镜像,我们为什么还要单独部署一台TAP呢?我们来依次看下TAP和端口镜像的几个区别。
区别一:TAP相对于端口镜像配置更方便
端口镜像需要在交换机上做配置,一旦需要监控的地方需要调整,则需要对交换机重新进行配置,而分流器则只需要调整其位置即可,对已有网络设备没有任何影响。
区别二:TAP相对端口镜像不影响网络性能
交换机配置端口镜像,性能有明显下降,影响交换能力,尤其当交换机串接在网络中,会严重影响整个网络的转发能力。而TAP是一个独立的硬件,且不会因为流量镜像而损耗设备性能,进而不会对已有网络设备的负载带来任何影响,这与端口镜像等方式相比具有极大的优势。
区别三:TAP相对端口镜像“复制”的流量更完整
由于交换机的端口本身会对一些错误包、size太小的包做过滤,所以端口镜像并不能保证可以获取到所有的流量,而分流器因为是通过物理层面的完整“复制”,所以保证了数据的完整性。
区别四:TAP相对端口镜像的转发时延更小
在一些低端的交换机上,端口镜像在将流量拷贝至镜像端口时,可能会引入延迟,在将10/100M的端口拷贝至GigaEthernet端口时,也会引入延迟。
虽然很多资料上都这么写道,但我们认为后两面种分析还是缺乏一些有力的技术依据。
那么,一般在什么情况下,我们需要使用TAP网络分流器呢?简单的来说,如果你有以下几点需求同时存在时,那么TAP网络分流器将是你的不二之选。
02 TAP网络分流器关键技术
听上面一讲,感觉TAP网络分流器真是个神奇的设备,目前市面上常见的TAP分流器使用底层架构大致有三类:
所以一般市面上见到的高密度、高速率的TAP在实际使用中,灵活性均有很大的提升空间。目前的常见的TAP网络分流器,主要用于协议转换、数据采集、数据分流、数据镜像、流量过滤等等。其主要常见的端口类型包括100G、40G、10G、2.5G POS、GE等,由于SDH系列产品逐步退出历史舞台,目前的TAP分流器更多的用于全以太网络环境中。
03 作为分流器应用场景
这边以我这边应用到的成都数维的千兆分流复制设备为例:
NT-iMXTAP-16G在线式千兆以太网流量分路器是为满足日益增长的旁路设备的监听需求而开发的一款智能千兆以太网流量多端口高密度的在线式分流设备。NT-iMXTAP-16G可支最大4条链路的千兆电口以太网在线监听,支持全线速双向流量监听复制;多达4*SFP流量输出端口;每个流量输出端口可动态配置为上行/下行/汇聚流量输出,支持跨链路的流量数据汇聚输出;同时也支持作为SPAN方式的纯流量输入端口,可灵活满足各种旁路监听设备的部署需求
全双工线速流量复制能力
NetTAP NT-iMXTAP-16G采用ASIC芯片以纯硬件方式线速复制以太网流量,可灵活的将多达4路1000Mbps端口流量复制到最大8路1000MBps端口,有效使您的入侵检测、防御系统、安全审计系统、协议分析器、RMON探针及其它安全旁路部署设备均能完整监听数据流,更好的保证您的网络安全。
灵活的单/双向流量复制汇聚功能 NT-iMXTAP-16G具有灵活的TX/RX流量复制或混合汇聚功能。设备既可以分离输出两路TX、RX流量,保证全双工1G链路下的双向流量被完整监听;也可以混合输出TX/RX流量,满足在部份监听设备仅具有单监听端口情况下能够监听双向数据流量的要求。
支持跨在线端口的流量输出汇聚
NT-iMXTAP-16G可支持跨不同的在线链路的TX/RX流量复制或混合汇聚功能。每个输出端口都可以灵活定义需要监控的源在线链路的上/下行、汇聚流量。
同时支持在线 / 镜像流量复制多种方式部署
NT-iMXTAP-16G设备具有12个固定的10/100/1000M自适应电口,4个支持光/电模块的SFP接口插槽。设备前GE0-GE7的8个千兆电口既可以作为4路在线式部署,也可以在镜像流量复制部署方式下作为8个独立的镜像流量输入/输出端口;可以灵活满足不同的部署方式的需求。
镜像式应用结构
强大的BYPASS功能
Link-Reflect特性
NT-iMXTAP-16G采用智能BYPASS技术,在下行端口链路发生故障时可及时检测并及时将端口链路故障反映到上行端口,智能关闭上行端口链接使SW1的上行端口能够及时感知SW3的互联端口故障。可快速启用冗余设备及路由机制,达到流量快速切换的上的,有效使网络故障恢复时间缩短,增强了网络的可靠性。
千兆以太网Link-SafeSwitch特性
支持端口分流功能
NT-iMXTAP-16G支持端口分流功能。可灵活配置几种分流策略(支持源MAC地址、目的MAC地址、源目的MAC组合等)将流量分流到多个端口,用以减轻链路负担。
支持802.1Q/QINQ协议封装
NT-iMXTAP-16G可透明支持TRUNK封装的在线式链路串接及流量复制,无论您的镜像数据端口是Trunk端口还是Access端口均能够实现流量复制/汇聚功能,可灵活的满足不同拓扑结构的需求。
支持SNMP管理
随着网络技术的飞速发展,网络的数量也越来越多。而网络中的设备来自各个不同的厂家,如何管理这些设备就变得十分重要。NT-iMXTAP-16G可以很好的支持SNMP管理,简化管理员的工作量实时的监控设备运行状态。