新的一年就要有新的開始,在做好病毒防疫工作的同時,也要及時的補充知識,豐富自己。今天,小月月帶大家認識一下一款網絡安全監控領域中非常常見,又十分有用的產品——TAP交換機(網絡分流器)。
01 什麼是TAP-網絡分流器
也許你第一次聽說TAP交換機這個名字。TAP (Terminal Access Point),還有人稱它為NPB (Network Packet Broker),或者匯聚分流器。
TAP的核心功能就是架設於生產網絡鏡像口和分析設備集群之間,將一臺或者多臺生產網絡設備鏡像或是分出來的流量匯聚後,再分發到一臺或者多臺數據分析設備。
常見的TAP網絡部署場景
網絡分流器有非常明顯的標籤,比如:
獨立硬件
TAP是一個獨立的硬件,它不會對已有網絡設備的負載帶來任何影響,這也是它優於端口鏡像的優勢之一。
TAP、交換機傻傻分不清
網絡透明
當網絡中接入TAP後,對於當前網絡中的其它所有設備,是沒有任何影響的。對於它們而言完全,TAP就像是空氣一樣透明,同時關於TAP連接的那些監控設備,對整個網絡來說也是透明的。
有人說,這個TAP的功能,和交換機上的端口鏡像(Port Mirroring)差不多啊,那麼既然有了交換機的端口鏡像,我們為什麼還要單獨部署一臺TAP呢?我們來依次看下TAP和端口鏡像的幾個區別。
區別一:TAP相對於端口鏡像配置更方便
端口鏡像需要在交換機上做配置,一旦需要監控的地方需要調整,則需要對交換機重新進行配置,而分流器則只需要調整其位置即可,對已有網絡設備沒有任何影響。
區別二:TAP相對端口鏡像不影響網絡性能
交換機配置端口鏡像,性能有明顯下降,影響交換能力,尤其當交換機串接在網絡中,會嚴重影響整個網絡的轉發能力。而TAP是一個獨立的硬件,且不會因為流量鏡像而損耗設備性能,進而不會對已有網絡設備的負載帶來任何影響,這與端口鏡像等方式相比具有極大的優勢。
區別三:TAP相對端口鏡像“複製”的流量更完整
由於交換機的端口本身會對一些錯誤包、size太小的包做過濾,所以端口鏡像並不能保證可以獲取到所有的流量,而分流器因為是通過物理層面的完整“複製”,所以保證了數據的完整性。
區別四:TAP相對端口鏡像的轉發時延更小
在一些低端的交換機上,端口鏡像在將流量拷貝至鏡像端口時,可能會引入延遲,在將10/100M的端口拷貝至GigaEthernet端口時,也會引入延遲。
雖然很多資料上都這麼寫道,但我們認為後兩面種分析還是缺乏一些有力的技術依據。
那麼,一般在什麼情況下,我們需要使用TAP網絡分流器呢?簡單的來說,如果你有以下幾點需求同時存在時,那麼TAP網絡分流器將是你的不二之選。
02 TAP網絡分流器關鍵技術
聽上面一講,感覺TAP網絡分流器真是個神奇的設備,目前市面上常見的TAP分流器使用底層架構大致有三類:
所以一般市面上見到的高密度、高速率的TAP在實際使用中,靈活性均有很大的提升空間。目前的常見的TAP網絡分流器,主要用於協議轉換、數據採集、數據分流、數據鏡像、流量過濾等等。其主要常見的端口類型包括100G、40G、10G、2.5G POS、GE等,由於SDH系列產品逐步退出歷史舞臺,目前的TAP分流器更多的用於全以太網絡環境中。
03 作為分流器應用場景
Panabit作為國內優秀的DPI廠商,在網絡流量採集、流量過濾、流量分流等方面具備著先天的優勢。
傳統的TAP網絡分流器廠家在網絡大流量場景下發揮著巨大的作用,我們經常看到此類分流器的交換容量可達幾百G甚至是幾個T的級別。
不過,對於中小企業或是非運營商企業來說,一般都處於全以太環境下,很少會有如此大流量的網絡環境(一般都處於100G以內),但對某些特定流量的複製次數以及分流器精準分流能力需求反倒是比較迫切。
串接模式應用場景
適用場景:企業網、數據中心網絡、小型運營商網絡
部署拓撲:
主要用途:
Panabit根據不同的安全設備需求,按需分流流量
若分析、審計等安全設備是集群部署,Panabit啟用負載均衡功能,按需分攤流量。
旁路模式應用場景
適用場景:企業網、數據中心網絡(IDC)、小型運營商網絡
部署拓撲:
主要用途:
Panabit匯聚多個端口或是多臺設備的鏡像流量
Panabit將匯聚後的流量,根據相連的安全設備的需求,進行流量的分流,為相應的安全設備過濾掉無用的流量,減輕安全設備壓力。
混合模式應用場景
適用場景:企業網、數據中心網絡(IDC)、小型運營商網絡
部署拓撲:
主要用途:
Panabit根據實際需求,將需要進行入侵防禦的流量(比如去往IDC的流量)分流至IPS
Panabit針對其它的流量進行透明傳輸、流量採集、流量管控。
04 作為分流器的優勢
以Panabit串接到網絡中,舉例說明:
流量按需分流
流量的按需分流,主要解決的是安全設備性能瓶頸問題,為安全設備將不必要的流量進行過濾上面已經提過了,Panabit是一家優秀的DPI廠商,所以在流量的按需分流方面,具有非常高的靈活性。
其中最具有優勢的就是可實現基於應用的分流,舉例說明:當Panabit將流量分流至WAF審計設備時,可根據應用選擇相關的HTTP/HTTPS流量,並且將P2P下載等流量精準過濾,可精確至幾kb級別。不僅如此,如果下聯的WAF審計設備是集群,Panabit還可以實現負載均衡。
流量按需複製
Panabit在解決流量按流量調度策略篩選後,可將篩選後流量進行多出口複製,最多可達到15份無性能消耗的流量複製,目前最高形態的設備可支持的實際帶寬單向可達40G,所以100G以內的網絡場景,Panabit是可以輕鬆駕馭的。
全量的日誌留存
Panabit可以全流量1:1記錄網絡中發生的所有會話記錄,URL記錄,用戶虛擬身份日誌,網絡性能NPM日誌等。試想一下,如果你擁有了全量的日誌,是不是可以做很多有意義的事情,比如數據分析、比如故障溯源、比如行為審計等等。
全量會話日誌
全量URL日誌
原始數據包抓取
Panabit可以按管控策略和時間進行PCAP的數據包還原,用於問題和故障回溯,攻擊溯源等。這點也是其它TAP分流器無法給你帶來的完美體驗,當你的網絡遇到問題,不必驚慌,一切答案都記錄在這些原始的數據包中,而你可以根據需要將流量按需留存,按需提取,有條不紊的快速找到你要的答案,這有沒有打動你呢?
小月月語錄摘要:
1.100G以下的全以太環境,一臺Panabit就全搞定!
2.Panabit是100G以下場景更具性價比的TAP。
3.Panabit可基於應用,精準過濾/分流到Kbps級別。
4.大量的審計設備集群不再是必須,Panabit可讓您大幅度節約採購成本。
這語錄說的有點多,你們自己挑一句,拿個小本本記下吧。
閱讀更多 Panabit 的文章
