Добавить в корзинуПозвонить
Найти в Дзене
КомСвязьЭнерджи
13 подписчиков

Для чего нужны ответвители трафика TAP?

1
5 мин
Для мониторинга ИТ-инфраструктуры, обеспечения ее безопасности или просто захвата трафика для последующего анализа необходим доступ к каналам связи. Решить эту задачу можно по-разному и ранее прибегали к зеркалированию (SPAN порт). SPAN технологии используемые на коммутаторах имеют ряд недостатков, таких как ограничение количества SPAN интерфейсов, нагрузку на коммутатор, блокировку передачи на
Оглавление

Для мониторинга ИТ-инфраструктуры, обеспечения ее безопасности или просто захвата трафика для последующего анализа необходим доступ к каналам связи. Решить эту задачу можно по-разному и ранее прибегали к зеркалированию (SPAN порт). SPAN технологии используемые на коммутаторах имеют ряд недостатков, таких как ограничение количества SPAN интерфейсов, нагрузку на коммутатор, блокировку передачи на SPAN порт трафика содержащего битовые ошибки и т.д. Поэтому наиболее правильным и удобным способом является снятие трафика с помощью специального устройства. Такое устройство называется — Test Access Point или Network TAP. Ответвитель трафика подключается в разрыв канала связи или может принять на себя трафик с нескольких SPAN портов и затем выдать его копию на несколько своих портов для подключения различных систем ИТ или ИБ. Использование Network TAP предусмотрено для анализаторов трафика, в системах предотвращения вторжений (IPS) и в системах обнаружения сетевых атак (NIDS).

TAP или SPAN

Преимущества TAP

  • Создают 100-процентную копию двунаправленного сетевого трафика, обеспечивая абсолютную точность для сетевого мониторинга.
  • Не изменяют временные соотношения между кадрами, интервалом и временем отклика, что особенно важно при анализе VoIP и Triple Play, включая анализ FDX.
  • Не вносят никакого искажения, что важно для анализа VoIP / видео.
  • Теги VLAN не передаются через порт SPAN, что может привести к обнаружению ложных проблем и затруднению поиска проблем VLAN.
  • Пропускают весь трафик: IPv4 или IPv6, ошибочные пакеты, короткие или большие кадры, плохие кадры CRC, межкадровый промежуток не отбрасывается и не изменяется, независимо от полосы пропускания.
  • Являются отказоустойчивыми.
  • TAP не являются адресными сетевыми устройствами и поэтому не могут быть взломаны, что гарантирует безопасность.
  • У TAP нет проблем с настройкой или командной строкой. Это простые для пользователя устройства, не нуждающиеся в специальной настройке, «включил и работай»
  • Не требуют загрузки обновлений встроенного ПО, них нет доступа к чему-либо, кроме локальной сети.

Недостатки SPAN портов

  • Может легко переписывать, отбрасывать пакеты. Потери пакетов в случае перегрузки портов или наличия в них ошибок. В результате «некорректной работы» специалисты упускают из вида часть пользовательского трафика, что не позволяет выявить серьезные ошибки в работе сети, а специалист по безопасности может упустить вирусный трафик или атаку злоумышленника.
  • SPAN имеет самый низкий приоритет на коммутаторе, когда речь идет о пересылке трафика
  • Искаженные пакеты и ошибки низкого уровня могут быть отфильтрованы коммутатором / SPAN
  • Порт SPAN может быть легко настроен неправильно, влияя на производительность сети и даже вызывая сбои в работе.
  • Порты SPAN ограничены количеством. Разным специалистам требуется копия трафика для решения своих задач: обеспечение безопасности, контент фильтрации, обнаружения вторжения, диагностики и устранения проблем, а количество SPAN портов обычно ограничено — одним или двумя.

Виды ответвителей трафика TAP

Медные ответвители трафика

Медный ответвитель трафика TAP
Медный ответвитель трафика TAP

Медный TAP имеет порт А и порт В для подключения в разрыв кабельной линии между двумя сетевыми устройствами, обеспечивая полный контроль трафика, передаваемого между ними, и два порта мониторинга, на каждый из которых копируется соответствующие потоки Monitor A и Monitor B. Устройство поддерживает скорость передачи трафика до 1 Гбит/с, синхронизацию пропускной способности портов и распространение информации об отказе канала.

-3

Медный TAP может быть реализован в исполнении модульного шасси 1U или 2U, вмещающем 4 или 12 модульных ответвителей трафика TAP соответственно. Имеет двойные внутренние источники питания переменного или постоянного тока, распознает сбои питания и автоматически закрывает схему реле менее чем за 8 миллисекунд, затем повторно подключает сетевые устройства, подключенные к портам A и B.

Модульный ответвитель TAP
Модульный ответвитель TAP

Пассивные оптические ответвители трафика TAP

Пассивные оптические ответвители трафика работают в двух режимах Singe Mode и Multi Mode. Оптические TAP поддерживают скорость передачи трафика до 400 Гбит/с и не нуждаются в электропитании. В семейство пассивных оптических ответвителей TAP входят компактные устройства, содержащие до 4 независимых ответвителей, или шасси высотой 1U, содержащие до 56 ответвителей. Разные модели ответвителей предназначены для волокон OM1/3/4 и OS1/OS2 и имеют коэффициент деления оптического сигнала 50/50, 70/30, 60/40, 80/20 и 90/10.

Оптический ответвитель трафика TAP
Оптический ответвитель трафика TAP

При желании можно использовать модульную систему, состоящую из шасси высотой 1U и отдельных модулей TAP. Шасси вмещает от 16 до 24 сетевых модулей TAP (24 модуля LC TAP, 16 модулей MPO / MTP TAP, 16 модулей BiDi LC TAP), при этом конфигурация может быть разная.

-6

Виртуальные TAP

Поскольку организации становятся все более зависимыми от виртуальных вычислений, ИТ-специалистам необходимо решение для устранения слепых зон, присущих виртуальным средам. Существует специализированное ПО для решения этих задач, обеспечивая полную видимость трафика с востока на запад и между VM.

Схема развертывания vTAP
Схема развертывания vTAP

Промышленные ответвители трафика TAP

-8

Индустриальный ответвитель трафика TAP предназначен для работы в самых сложных условиях окружающей среды. Эта модульный TAP идеально подходит для мониторинга медной сети, с пропускной способностью до 1 Гбит/с. Он может быть установлен в любом сегменте сети, что позволяет захватывать полнодуплексный трафик, не отбрасывая никаких пакетов. Промышленные ответвители TAP оснащены портами Mighty Mouse. Эти коннекторы основаны на широко известном стандарте цилиндрических соединителей MIL-DTL-38999. Разъемы Mighty Mouse – самые близкие к этому стандарту по конструкции и эксплуатационным характеристикам, при этом соединители Mighty Mouse имеют на 50% меньшие габариты и на 70% меньшую массу.

Области применения: военные транспортные средства, грузовые автомобили, самолеты и т. д.

Агрегирующие ответвители

-9

В модельном ряду TAP Garland Technology выделяются ответвители агрегирующего типа. Они должны быть подключены к наиболее важным точкам сети, могут копировать трафик с нескольких каналов связи или SPAN портов и агрегировать его в общий поток данных. К такому оборудованию могут быть подключены сразу несколько устройств для мониторинга трафика.

Сетевые пакетные брокеры (NPB)

Следующими в логической цепи устройств управления зеркалированным трафиком сетевые пакетные брокеры. Как правило, они получают трафик от TAP устройств или SPAN портов, с последующей обработкой – фильтрацией, агрегацией или мультиплексированием.

-10

Варианты использования: а) сбор сетевого трафика из нескольких каналов связи и отправка на одну систему мониторинга; б) копирование одного и того же сетевого трафика на несколько систем мониторинга; в) фильтрация сетевого трафика для экономии пропускной способности системы мониторинга.

Заключение

Технология SPAN порта по-прежнему остается жизнеспособной для некоторых ограниченных ситуаций. Но при увеличении скорости сетевого потока до скоростей 400 Гб/с, просмотра всех фреймов, обеспечения безопасности данных и соблюдения политик глубокого захвата пакетов, необходимо использовать технологии TAP.