新的一年就要有新的开始,在做好病毒防疫工作的同时,也要及时的补充知识,丰富自己。今天,小月月带大家认识一下一款网络安全监控领域中非常常见,又十分有用的产品——TAP交换机(网络分流器)。
也许你第一次听说TAP交换机这个名字。TAP (Terminal Access Point),还有人称它为NPB (Network Packet Broker),或者汇聚分流器。
TAP的核心功能就是架设于生产网络镜像口和分析设备集群之间,将一台或者多台生产网络设备镜像或是分出来的流量汇聚后,再分发到一台或者多台数据分析设备。
常见的TAP网络部署场景
网络分流器有非常明显的标签,比如:
TAP是一个独立的硬件,它不会对已有网络设备的负载带来任何影响,这也是它优于端口镜像的优势之一。
TAP、交换机傻傻分不清
当网络中接入TAP后,对于当前网络中的其它所有设备,是没有任何影响的。对于它们而言完全,TAP就像是空气一样透明,同时关于TAP连接的那些监控设备,对整个网络来说也是透明的。
有人说,这个TAP的功能,和交换机上的端口镜像(Port Mirroring)差不多啊,那么既然有了交换机的端口镜像,我们为什么还要单独部署一台TAP呢?我们来依次看下TAP和端口镜像的几个区别。
区别一:TAP相对于端口镜像配置更方便
端口镜像需要在交换机上做配置,一旦需要监控的地方需要调整,则需要对交换机重新进行配置,而分流器则只需要调整其位置即可,对已有网络设备没有任何影响。
区别二:TAP相对端口镜像不影响网络性能
交换机配置端口镜像,性能有明显下降,影响交换能力,尤其当交换机串接在网络中,会严重影响整个网络的转发能力。而TAP是一个独立的硬件,且不会因为流量镜像而损耗设备性能,进而不会对已有网络设备的负载带来任何影响,这与端口镜像等方式相比具有极大的优势。
区别三:TAP相对端口镜像“复制”的流量更完整
由于交换机的端口本身会对一些错误包、size太小的包做过滤,所以端口镜像并不能保证可以获取到所有的流量,而分流器因为是通过物理层面的完整“复制”,所以保证了数据的完整性。
区别四:TAP相对端口镜像的转发时延更小
在一些低端的交换机上,端口镜像在将流量拷贝至镜像端口时,可能会引入延迟,在将10/100M的端口拷贝至GigaEthernet端口时,也会引入延迟。
虽然很多资料上都这么写道,但我们认为后两面种分析还是缺乏一些有力的技术依据。
那么,一般在什么情况下,我们需要使用TAP网络分流器呢?简单的来说,如果你有以下几点需求同时存在时,那么TAP网络分流器将是你的不二之选。
听上面一讲,感觉TAP网络分流器真是个神奇的设备,目前市面上常见的TAP分流器使用底层架构大致有三类:
所以一般市面上见到的高密度、高速率的TAP在实际使用中,灵活性均有很大的提升空间。目前的常见的TAP网络分流器,主要用于协议转换、数据采集、数据分流、数据镜像、流量过滤等等。其主要常见的端口类型包括100G、40G、10G、2.5G POS、GE等,由于SDH系列产品逐步退出历史舞台,目前的TAP分流器更多的用于全以太网络环境中。
Panabit作为国内优秀的DPI厂商,在网络流量采集、流量过滤、流量分流等方面具备着先天的优势。
传统的TAP网络分流器厂家在网络大流量场景下发挥着巨大的作用,我们经常看到此类分流器的交换容量可达几百G甚至是几个T的级别。
不过,对于中小企业或是非运营商企业来说,一般都处于全以太环境下,很少会有如此大流量的网络环境(一般都处于100G以内),但对某些特定流量的复制次数以及分流器精准分流能力需求反倒是比较迫切。
适用场景:企业网、数据中心网络、小型运营商网络
部署拓扑:
主要用途:
Panabit根据不同的安全设备需求,按需分流流量
若分析、审计等安全设备是集群部署,Panabit启用负载均衡功能,按需分摊流量。
适用场景:企业网、数据中心网络(IDC)、小型运营商网络
部署拓扑:
主要用途:
Panabit汇聚多个端口或是多台设备的镜像流量
Panabit将汇聚后的流量,根据相连的安全设备的需求,进行流量的分流,为相应的安全设备过滤掉无用的流量,减轻安全设备压力。
适用场景:企业网、数据中心网络(IDC)、小型运营商网络
部署拓扑:
主要用途:
Panabit根据实际需求,将需要进行入侵防御的流量(比如去往IDC的流量)分流至IPS
Panabit针对其它的流量进行透明传输、流量采集、流量管控。
以Panabit串接到网络中,举例说明:
流量的按需分流,主要解决的是安全设备性能瓶颈问题,为安全设备将不必要的流量进行过滤上面已经提过了,Panabit是一家优秀的DPI厂商,所以在流量的按需分流方面,具有非常高的灵活性。
其中最具有优势的就是可实现基于应用的分流,举例说明:当Panabit将流量分流至WAF审计设备时,可根据应用选择相关的HTTP/HTTPS流量,并且将P2P下载等流量精准过滤,可精确至几kb级别。不仅如此,如果下联的WAF审计设备是集群,Panabit还可以实现负载均衡。
Panabit在解决流量按流量调度策略筛选后,可将筛选后流量进行多出口复制,最多可达到15份无性能消耗的流量复制,目前最高形态的设备可支持的实际带宽单向可达40G,所以100G以内的网络场景,Panabit是可以轻松驾驭的。
Panabit可以全流量1:1记录网络中发生的所有会话记录,URL记录,用户虚拟身份日志,网络性能NPM日志等。试想一下,如果你拥有了全量的日志,是不是可以做很多有意义的事情,比如数据分析、比如故障溯源、比如行为审计等等。
全量会话日志
全量URL日志
Panabit可以按管控策略和时间进行PCAP的数据包还原,用于问题和故障回溯,攻击溯源等。这点也是其它TAP分流器无法给你带来的完美体验,当你的网络遇到问题,不必惊慌,一切答案都记录在这些原始的数据包中,而你可以根据需要将流量按需留存,按需提取,有条不紊的快速找到你要的答案,这有没有打动你呢?
小月月语录摘要:
1.100G以下的全以太环境,一台Panabit就全搞定!
2.Panabit是100G以下场景更具性价比的TAP。
3.Panabit可基于应用,精准过滤/分流到Kbps级别。
4.大量的审计设备集群不再是必须,Panabit可让您大幅度节约采购成本。
这语录说的有点多,你们自己挑一句,拿个小本本记下吧。