最近在部署入侵检测设备时,经常会遇到对方信息中心交换机上的镜像口不够(比如条件只允许给一个,而且这个镜像口已经占用其他设备),
此时我们在不多添加镜像口的情况下,可以采用网络分流复制设备将等量的镜像数据分流一份给我们设备。
01 什么是TAP-网络分流器
也许你第一次听说TAP交换机这个名字。TAP (Terminal Access Point),还有人称它为NPB (Network Packet Broker),或者汇聚分流器。
TAP的核心功能就是架设于生产网络镜像口和分析设备集群之间,将一台或者多台生产网络设备镜像或是分出来的流量汇聚后,再分发到一台或者多台数据分析设备。
常见的TAP网络部署场景
网络分流器有非常明显的标签,比如:
独立硬件
TAP是一个独立的硬件,它不会对已有网络设备的负载带来任何影响,这也是它优于端口镜像的优势之一。
TAP、交换机傻傻分不清
网络透明
当网络中接入TAP后,对于当前网络中的其它所有设备,是没有任何影响的。对于它们而言完全,TAP就像是空气一样透明,同时关于TAP连接的那些监控设备,对整个网络来说也是透明的。
有人说,这个TAP的功能,和交换机上的端口镜像(Port Mirroring)差不多啊,那么既然有了交换机的端口镜像,我们为什么还要单独部署一台TAP呢?我们来依次看下TAP和端口镜像的几个区别。
区别一:TAP相对于端口镜像配置更方便
端口镜像需要在交换机上做配置,一旦需要监控的地方需要调整,则需要对交换机重新进行配置,而分流器则只需要调整其位置即可,对已有网络设备没有任何影响。
区别二:TAP相对端口镜像不影响网络性能
交换机配置端口镜像,性能有明显下降,影响交换能力,尤其当交换机串接在网络中,会严重影响整个网络的转发能力。而TAP是一个独立的硬件,且不会因为流量镜像而损耗设备性能,进而不会对已有网络设备的负载带来任何影响,这与端口镜像等方式相比具有极大的优势。
区别三:TAP相对端口镜像“复制”的流量更完整
由于交换机的端口本身会对一些错误包、size太小的包做过滤,所以端口镜像并不能保证可以获取到所有的流量,而分流器因为是通过物理层面的完整“复制”,所以保证了数据的完整性。
区别四:TAP相对端口镜像的转发时延更小
在一些低端的交换机上,端口镜像在将流量拷贝至镜像端口时,可能会引入延迟,在将10/100M的端口拷贝至GigaEthernet端口时,也会引入延迟。
虽然很多资料上都这么写道,但我们认为后两面种分析还是缺乏一些有力的技术依据。
那么,一般在什么情况下,我们需要使用TAP网络分流器呢?简单的来说,如果你有以下几点需求同时存在时,那么TAP网络分流器将是你的不二之选。
02 TAP网络分流器关键技术
听上面一讲,感觉TAP网络分流器真是个神奇的设备,目前市面上常见的TAP分流器使用底层架构大致有三类:
所以一般市面上见到的高密度、高速率的TAP在实际使用中,灵活性均有很大的提升空间。目前的常见的TAP网络分流器,主要用于协议转换、数据采集、数据分流、数据镜像、流量过滤等等。其主要常见的端口类型包括100G、40G、10G、2.5G POS、GE等,由于SDH系列产品逐步退出历史舞台,目前的TAP分流器更多的用于全以太网络环境中。