最近在部署入侵檢測裝置時,經常會遇到對方資訊中心交換機上的映象口不夠(比如條件只允許給乙個,而且這個映象口已經占用其他裝置),
此時我們在不多新增映象口的情況下,可以採用網路分流複製裝置將等量的映象資料分流乙份給我們裝置。
01 什麼是tap-網路分流器
也許你第一次聽說tap交換機這個名字。tap (terminal access point),還有人稱它為npb (network packet broker),或者匯聚分流器。
tap的核心功能就是架設於生產網路映象口和分析裝置集群之間,將一台或者多台生產網路裝置映象或是分出來的流量匯聚後,再分發到一台或者多台資料分析裝置。
常見的tap網路部署場景
網路分流器有非常明顯的標籤,比如:
tap是乙個獨立的硬體,它不會對已有網路裝置的負載帶來任何影響,這也是它優於埠映象的優勢之一。
tap、交換機傻傻分不清
當網路中接入tap後,對於當前網路中的其它所有裝置,是沒有任何影響的。對於它們而言完全,tap就像是空氣一樣透明,同時關於tap連線的那些監控裝置,對整個網路來說也是透明的。
有人說,這個tap的功能,和交換機上的埠映象(port mirroring)差不多啊,那麼既然有了交換機的埠映象,我們為什麼還要單獨部署一台tap呢?我們來依次看下tap和埠映象的幾個區別。
區別一:tap相對於埠映象配置更方便
埠映象需要在交換機上做配置,一旦需要監控的地方需要調整,則需要對交換機重新進行配置,而分流器則只需要調整其位置即可,對已有網路裝置沒有任何影響。
區別二:tap相對埠映象不影響網路效能
交換機配置埠映象,效能有明顯下降,影響交換能力,尤其當交換機串接在網路中,會嚴重影響整個網路的**能力。而tap是乙個獨立的硬體,且不會因為流量映象而損耗裝置效能,進而不會對已有網路裝置的負載帶來任何影響,這與埠映象等方式相比具有極大的優勢。
區別三:tap相對埠映象「複製」的流量更完整
由於交換機的埠本身會對一些錯誤包、size太小的包做過濾,所以埠映象並不能保證可以獲取到所有的流量,而分流器因為是通過物理層面的完整「複製」,所以保證了資料的完整性。
區別四:tap相對埠映象的**時延更小
在一些低端的交換機上,埠映象在將流量拷貝至映象埠時,可能會引入延遲,在將10/100m的埠拷貝至gigaethernet埠時,也會引入延遲。
雖然很多資料上都這麼寫道,但我們認為後兩面種分析還是缺乏一些有力的技術依據。
聽上面一講,感覺tap網路分流器真是個神奇的裝置,目前市面上常見的tap分流器使用底層架構大致有三類:
所以一般市面上見到的高密度、高速率的tap在實際使用中,靈活性均有很大的提公升空間。目前的常見的tap網路分流器,主要用於協議轉換、資料採集、資料分流、資料映象、流量過濾等等。其主要常見的埠型別包括100g、40g、10g、2.5g pos、ge等,由於sdh系列產品逐步退出歷史舞台,目前的tap分流器更多的用於全以太網路環境中。
這邊以我這邊應用到的成都數維的千兆分流複製裝置為例:
全雙工線速流量複製能力
nettap nt-imxtap-16g採用asic晶元以純硬體方式線速複製乙太網流量,可靈活的將多達4路1000mbps埠流量複製到最大8路1000mbps埠,有效使您的入侵檢測、防禦系統、安全審計系統、協議分析器、rmon探針及其它安全旁路部署裝置均能完整監聽資料流,更好的保證您的網路安全。
靈活的單/雙向流量複製匯聚功能
nt-imxtap-16g具有靈活的tx/rx流量複製或混合匯聚功能。裝置既可以分離輸出兩路tx、rx流量,保證全雙工1g鏈路下的雙向流量被完整監聽;也可以混合輸出tx/rx流量,滿足在部份監聽裝置僅具有單監聽埠情況下能夠監聽雙向資料流量的要求。
強大的bypass功能
link-reflect特性
nt-imxtap-16g採用智慧型bypass技術,在下行埠鏈路發生故障時可及時檢測並及時將埠鏈路故障反映到上行埠,智慧型關閉上行埠鏈結使sw1的上行埠能夠及時感知sw3的互聯埠故障。可快速啟用冗餘裝置及路由機制,達到流量快速切換的上的,有效使網路故障恢復時間縮短,增強了網路的可靠性。
千兆乙太網link-safeswitch特性
千兆乙太網link-safeswitch特性是指tap裝置在執行千兆乙太網bypass切換時,可保證原來的上、下連的乙太網埠link狀態不丟失,即使tap裝置發生bypass切換,對於上連及下連的裝置埠來講完全是透明的,感受不到鏈路狀態的變化。
支援埠分流功能
nt-imxtap-16g支援埠分流功能。可靈活配置幾種分流策略(支援源mac位址、目的mac位址、源目的mac組合等)將流量分流到多個埠,用以減輕鏈路負擔。
支援802.1q/qinq協議封裝
支援snmp管理
隨著網路技術的飛速發展,網路的數量也越來越多。而網路中的裝置來自各個不同的廠家,如何管理這些裝置就變得十分重要。nt-imxtap-16g可以很好的支援snmp管理,簡化管理員的工作量實時的監控裝置執行狀態。
訊息分流器(HANDLE MSG)
windows訊息分流器的實現2007 12 17 23 58很好理解,windows作業系統使用訊息處理機制,那麼,我們所設計的程式如何才能分辨和處理系統中的各種訊息呢?這就是訊息分流器的作用.簡單來說,訊息分流器就是一段 在我的講述中,將分7重來循序漸進的介紹它.從最初的第1重到最成熟的第7重,...
訊息分流器(HANDLE MSG)
windows訊息分流器的實現 很好理解,windows作業系統使用訊息處理機制,那麼,我們所設計的程式如何才能分辨和處理系統中的各種訊息呢?這就是訊息分流器的作用.簡單來說,訊息分流器就是一段 在我的講述中,將分7重來循序漸進的介紹它.從最初的第1重到最成熟的第7重,它的樣子會有很大的變化.但,實...
訊息分流器 HANDLE MSG
訊息分流器 handle msg 2010年10月13日 windows訊息分流器的實現,很好理解,windows作業系統使用訊息處理機制,那麼,我們所設計的程式如何才能分辨和處理系統中的各種訊息呢?這就是訊息分流器的作用.簡單來說,訊息分流器就是一段 在我的講述中,將分7重來循序漸進的介紹它.從最...