⽹络分流器详解
最近在部署⼊侵检测设备时,经常会遇到对⽅信息中⼼交换机上的镜像⼝不够(⽐如条件只允许给⼀个,⽽且这个镜像⼝已经占⽤其他设备), 此时我们在不多添加镜像⼝的情况下,可以采⽤⽹络分流复制设备将等量的镜像数据分流⼀份给我们设备。 01 什么是TAP-⽹络分流器
也许你第⼀次听说TAP交换机这个名字。TAP (Terminal Access Point),还有⼈称它为NPB (Network Packet Broker),或者汇聚分流器。
TAP的核⼼功能就是架设于⽣产⽹络镜像⼝和分析设备集之间,将⼀台或者多台⽣产⽹络设备镜像或是分出来的流量汇聚后,再分发到⼀台或者多台数据分析设备。 常见的TAP⽹络部署场景
研磨粉
⽹络分流器有⾮常明显的标签,⽐如:
独⽴硬件
TAP是⼀个独⽴的硬件,它不会对已有⽹络设备的负载带来任何影响,这也是它优于端⼝镜像的优势之⼀。
TAP、交换机傻傻分不清
零时刻⽹络透明
当⽹络中接⼊TAP后,对于当前⽹络中的其它所有设备,是没有任何影响的。对于它们⽽⾔完全,TAP就像是空⽓⼀样透明,同时关于TAP 连接的那些监控设备,对整个⽹络来说也是透明的。
有⼈说,这个TAP的功能,和交换机上的端⼝镜像(Port Mirroring)差不多啊,那么既然有了交换机的端⼝镜像,我们为什么还要单独部署⼀台TAP呢?我们来依次看下TAP和端⼝镜像的⼏个区别。
互动教学系统
区别⼀:TAP相对于端⼝镜像配置更⽅便
端⼝镜像需要在交换机上做配置,⼀旦需要监控的地⽅需要调整,则需要对交换机重新进⾏配置,⽽分流器则只需要调整其位置即可,对已有⽹络设备没有任何影响。
cnc真空吸盘怎么做
区别⼆:TAP相对端⼝镜像不影响⽹络性能
交换机配置端⼝镜像,性能有明显下降,影响交换能⼒,尤其当交换机串接在⽹络中,会严重影响整个⽹络的转发能⼒。⽽TAP是⼀个独⽴的硬件,且不会因为流量镜像⽽损耗设备性能,进⽽不会对已有⽹络设备的负载带来任何影响,这与端⼝镜像等⽅式相⽐具有极⼤的优势。
区别三:TAP相对端⼝镜像“复制”的流量更完整
由于交换机的端⼝本⾝会对⼀些错误包、size太⼩的包做过滤,所以端⼝镜像并不能保证可以获取到所有的流量,⽽分流器因为是通过物理层⾯的完整“复制”,所以保证了数据的完整性。
区别四:TAP相对端⼝镜像的转发时延更⼩
在⼀些低端的交换机上,端⼝镜像在将流量拷贝⾄镜像端⼝时,可能会引⼊延迟,在将10/100M的端⼝拷贝⾄GigaEthernet端⼝时,也会引⼊延迟。
虽然很多资料上都这么写道,但我们认为后两⾯种分析还是缺乏⼀些有⼒的技术依据。
那么,⼀般在什么情况下,我们需要使⽤TAP⽹络分流器呢?简单的来说,如果你有以下⼏点需求同时存在时,那么TAP⽹络分流器将是你的不⼆之选。
胶管缠绕机
02 TAP⽹络分流器关键技术
听上⾯⼀讲,感觉TAP⽹络分流器真是个神奇的设备,⽬前市⾯上常见的TAP分流器使⽤底层架构⼤致有三类:
所以⼀般市⾯上见到的⾼密度、⾼速率的TAP在实际使⽤中,灵活性均有很⼤的提升空间。⽬前的常见的TAP⽹络分流器,主要⽤于协议转换、数据采集、数据分流、数据镜像、流量过滤等等。其主要常见的端⼝类型包括100G、40G、10G、2.5G POS、GE等,由于SDH系列产品逐步退出历史舞台,⽬前的TAP分流器更多的⽤于全以太⽹络环境中。
03 作为分流器应⽤场景
这边以我这边应⽤到的成都数维的千兆分流复制设备为例:
NT-iMXTAP-16G在线式千兆以太⽹流量分路器是为满⾜⽇益增长的旁路设备的监听需求⽽开发的⼀款智能千兆以太⽹流量多端⼝⾼密度的在线式分流设备。NT-iMXTAP-16G可⽀最⼤4条链路的千兆电⼝以太⽹在线监听,⽀持全线速双向流量监听复制;多达4*SFP流量输出端⼝;每个流量输出端⼝可动态配置为上⾏/下⾏/汇聚流量输出,⽀持跨链路的流量数据汇聚输出;同时也⽀持作为SPAN⽅式的纯流量输⼊端⼝,可灵活满⾜各种旁路监听设备的部署需求
全双⼯线速流量复制能⼒
NetTAP NT-iMXTAP-16G采⽤ASIC芯⽚以纯硬件⽅式线速复制以太⽹流量,可灵活的将多达4路1000Mbps端⼝流量复制到最⼤8路1000MBps端⼝,有效使您的⼊侵检测、防御系统、安全审计系统、协议分析器、RMON探针及其它安全旁路部署设备均能完整监听数据流,更好的保证您的⽹络安全。
灵活的单/双向流量复制汇聚功能
NT-iMXTAP-16G具有灵活的TX/RX流量复制或混合汇聚功能。设备既可以分离输出两路TX、RX流量,保证全双⼯1G链路下的双向流量被完整监听;也可以混合输出TX/RX流量,满⾜在部份监听设备仅具有单监听端⼝情况下能够监听双向数据流量的要求。
⽀持跨在线端⼝的流量输出汇聚
NT-iMXTAP-16G可⽀持跨不同的在线链路的TX/RX流量复制或混合汇聚功能。每个输出端⼝都可以灵活定义需要监控的源在线链路的上/下⾏、汇聚流量。
同时⽀持在线 / 镜像流量复制多种⽅式部署
NT-iMXTAP-16G设备具有12个固定的10/100/1000M⾃适应电⼝,4个⽀持光/电模块的SFP接⼝插槽。设备前GE0-GE7的8个千兆电⼝既可以作为4路在线式部署,也可以在镜像流量复制部署⽅式下作为8个独⽴的镜像流量输⼊/输出端⼝;可以灵活满⾜不同的部署⽅式的需
求。
镜像式应⽤结构
强⼤的BYPASS功能
Link-Reflect特性
NT-iMXTAP-16G采⽤智能BYPASS技术,在下⾏端⼝链路发⽣故障时可及时检测并及时将端⼝链路故障反映到上⾏端⼝,智能关闭上⾏端⼝链接使SW1的上⾏端⼝能够及时感知SW3的互联端⼝故障。可快速启⽤冗余设备及路由机制,达到流量快速切换的上的,有效使⽹络故障恢复时间缩短,增强了⽹络的可靠性。
千兆以太⽹Link-SafeSwitch特性板栗开口机
千兆以太⽹Link-SafeSwitch特性是指TAP设备在执⾏千兆以太⽹BYPASS切换时,可保证原来的上、
下连的以太⽹端⼝Link状态不丢失,即使TAP设备发⽣BYPASS切换,对于上连及下连的设备端⼝来讲完全是透明的,感受不到链路状态的变化。
⽀持端⼝分流功能
NT-iMXTAP-16G⽀持端⼝分流功能。可灵活配置⼏种分流策略(⽀持源MAC地址、⽬的MAC地址、源⽬的MAC组合等)将流量分流到多个端⼝,⽤以减轻链路负担。
⽀持802.1Q/QINQ协议封装
NT-iMXTAP-16G可透明⽀持TRUNK封装的在线式链路串接及流量复制,⽆论您的镜像数据端⼝是Trunk端⼝还是Access端⼝均能够实现流量复制/汇聚功能,可灵活的满⾜不同拓扑结构的需求。
⽀持SNMP管理
随着⽹络技术的飞速发展,⽹络的数量也越来越多。⽽⽹络中的设备来⾃各个不同的⼚家,如何管理这些设备就变得⼗分重要。NT-iMXTAP-16G可以很好的⽀持SNMP管理,简化管理员的⼯作量实时的监控设备运⾏状态。
