全文分两部分,第一部分为大家介绍tap组网应用及结合网络流量分析提高网络管理的效率和安全性;第二部分将为大家详细说明tap组网的功能及常用场景。
第一部分
随着网络规模变得越来越大,流量变得难以监测,对网络安全、网络管理的要求不断提高。要监控的网络端口越来越多,接入的监控设备也大幅增加,网络盲点可以轻易对网络产生巨大影响。传统接入监测方法(例如端口镜像)的成本非常高且会对被镜像设备造成非常大的压力。由于网络正以前所未有的速度急剧增长,如今高性能、可扩展的监测10bet十博欢迎您的解决方案已成为当务之急。
正是由于全流量采集的不断演进和发展,需要越来越多的网络流量分析设备、安全审计类设备和辅助分析类设备通过旁路部署到网络中,tap交换机逐步走到了前台。
tap和网络流量分析设备通常是配套使用的,更像是一种合作关系:tap提供了复制流量的功能,而网络流量分析设备则提供了对复制流量进行分析的能力。
网络全流量分析配tap 轻松捕捉每一次网络变化
网络全流量分析是指对整个网络的所有数据包进行捕获、存储和分析。与仅监视特定设备或应用程序不同,全流量分析可以提供更广泛、更深入的视角,从而带来以下价值:
●检测高级威胁:网络安全威胁常常通过多个网络层次进行传播和隐藏。全流量分析可以捕获这些威胁在网络上的全貌,帮助发现和缓解威胁。
● 提高安全分析效率:全流量分析一般配备专业的网络安全工具,如威胁情报、异常检测等功能,能够有效减少误报率和漏报率,提升安全检测效率和准确性。
● 优化网络性能:全流量分析可对网络流量进行深度分析,帮助识别瓶颈、延迟问题,并提供优化建议,提高网络性能和用户体验。
● 支持合规性:许多法规和标准要求企业进行全流量审计。全流量分析可以满足这些要求,并为企业提供符合标准的证据。
总之,全流量分析可以提供完整、准确的网络视图,帮助企业识别和解决网络问题,提高安全性、性能和合规性。
tap交换机也被称为“智能分流器”或“网络分流器”,用于监视网络流量和收集数据包,通常与网络分析工具(如科来的各种流量分析产品)结合使用,以便更好地理解网络行为。tap交换机不会丢弃数据包,因此可以提供更准确的网络视图和故障排除功能。
tap交换机通常可以分为以下几类:
便携式tap交换机:这种交换机通常非常小巧轻便,适合在现场使用。它们可以直接连接到网络设备的端口上,并复制流经该端口的所有数据流量。
固定式tap交换机:这种交换机通常被安装在机房或数据中心里,作为网络架构的一部分。它们通常具有多个端口,可以同时监视不同的网络链路。
智能型tap交换机:这类交换机通常具有更高级别的监测和管理功能,例如过滤、负载均衡、镜像等功能,可以根据需求灵活配置和优化网络流量。
软件定义tap交换机:这种交换机的配置和管理可以通过软件进行远程实现,具有更高的自动化程度和可编程性,可以根据应用需求快速调整配置,提高网络效率和安全性。
总之,tap交换机按照规模和功能需求不同,可分为不同类型,企业可以选择最适合自己需求的类型来实现网络流量监测和管理。
tap交换机组网方案及优劣势
tap交换机二级组网方案,推荐用户群体:中小型企业
tap交换机二级组网是指在现有网络设备上增加tap交换机,以实现全流量复制和监控。其优劣势分析如下:
优势:
1、低成本:相比于重新设计和搭建新的网络架构,使用tap交换机进行二级组网可以大大降低成本。
2、灵活性高:tap交换机可以根据需要灵活配置和扩展,提供更多的监控选项和管理功能,满足不同的应用需求。
3、安装方便:tap交换机通常体积小巧、安装简单,可以方便地部署在各种场景中,例如机房、数据中心或边缘设备等。
4、可靠性高:由于tap交换机只对流量进行复制和转发,不会对原始数据包产生影响,因此具有很高的可靠性和稳定性。
劣势:
1、带宽受限:由于tap交换机需要复制和转发所有经过网络链路的数据包,可能会造成带宽浪费和瓶颈问题。
2、可扩展性有限:在tap交换机二级组网中,如果网络规模需要进一步扩大,可能需要添加更多的tap交换机,这会增加管理复杂性和成本。
总之,tap交换机二级组网具有低成本、灵活性高、安装方便和可靠性高等优势,但也存在带宽受限、可扩展性有限和实时监控问题等劣势。企业应该根据自身情况和需求来评估使用tap交换机二级组网的适用性。
tap交换机三级组网方案,推荐用户群体:大型、集团型企业
tap交换机三级组网是指在现有网络设备上增加多个tap交换机,以实现更细粒度的全流量复制和监控。其优劣势分析如下:
优势:
1、更精细的监控:由于tap交换机可以部署在不同的网络节点上,因此可以实现更细粒度的监控和管理,例如单个应用程序、特定协议或数据包内容等。
2、带宽利用率高:在三级组网中,所有的tap交换机只复制自己需要的数据包,并将其转发到监控设备上进行分析,从而有效地避免了带宽浪费和瓶颈问题。
3、高可扩展性:在三级组网中,可以根据需要添加新的tap交换机,以满足不断扩大的监控需求,同时也能够保持管理上的简洁和灵活性。
劣势:
1、成本高:相比于二级组网,三级组网需要增加更多的tap交换机和监控设备,因此成本可能更高。
2、管理复杂:在三级组网中,需要对多个tap交换机进行配置和管理,可能会增加管理的复杂性和工作量。
3、可靠性下降:由于使用多个tap交换机对流量进行分散复制和转发,因此可能存在某个tap交换机出现故障或数据丢失的风险。
总之,tap交换机三级组网方式更灵活,可以实现更精细、更高效的全流量监控和管理,可满足1g/10g/40g/100g的链路镜像的接入。同时,在未来横向扩展中,新增节点无需改动架构,以最小的影响实现平滑升级。如有流量数据分析安全隔离要求,可通过策略控制将重要业务的核心数据流汇聚到不同核心tap,以实现业务数据隔离。但也存在成本高、管理复杂、可靠性下降等劣势,企业应该根据自身情况和需求来评估使用tap交换机三级组网的适用性。
第二部分
一、基于tap功能的应用场景
场景1:流量复制
流量复制又称流量镜像,是指将一个网络端口的所有数据包复制到多个不同目标端口上,以便进行并行的监视和分析。其中,镜像复制可以分为1对1和1对多两种模式。
1对1镜像复制:在这种模式下,一个网络端口的所有数据包被复制到一个单独的监测端口上。这种配置适用于只需要单一监测设备或应用程序的情况。
1对多镜像复制:在这种模式下,一个网络端口的所有数据包可以同时被复制到多个不同的监测端口上。这种配置适用于需要多个监测设备或应用程序并行监控的情况。
场景2:汇聚输出
汇聚输出是指将多条链路上的数据流量汇聚成一份完整的流量输出,以便进行集中监视和分析。其中,汇聚输出可以分为多对1和多对多两种模式。
多对1汇聚输出:多个不同的链路上的数据流量都被复制到一个单独的监测设备或应用程序上进行监控和分析。这种配置适用于需要将多个源的数据流量集中到一个位置进行统一管理的情况。
多对多汇聚输出:多个不同的链路上的数据流量可以同时被复制到多个不同的监测设备或应用程序上进行并行监控和分析。这种配置适用于需要多个监测设备或应用程序并行处理分散在多个源的数据流量的情况。
场景3:分流输出
分流输出是指在tap交换机上将多个链路输入的数据流量按照一定的规则进行分配和负载均衡算法,输出给后端分析设备,实现后端分析设备的流量均衡以及会话完整性,实现报文同源同宿输出,保证同一台服务器的会话完整度。
根据后端分析设备监控分析审计流量,可以使用各种负裁均衡算法来实现流量分配和优化,例如轮询、源ip哈希、目标ip哈希、sdip对称哈希等。
场景4:过滤输出
tap过滤输出是指在tap交换机上对复制的全流量数据包进行过滤和筛选,只选取符合特定条件的数据包输出到指定的端口上。其主要目的是为了实现更精细、更高效的网络流量监控和管理。
在tap过滤输出中,可以使用各种过滤规则来选取需要的数据包,例如基于源地址、目标地址、协议类型、端口号、数据包内容等多个维度的过滤条件。这些过滤规则可以根据企业的需求和实际情况来配置和优化,以便更精确地捕获和分析关键的网络流量。
场景5:报文截断
报文截断功能指对网络中传输的数据报文进行裁剪,而网络传输的数据包长度mtu(maximum transmission unit)最大为1500字节。
针对一些特珠流量分析审计需求不需要分析完整的数据包长度,如对视频流的网络性能分析、流量压测性能分析、特定数据存储空间优化等场景,在tap交换机上配置报文截断功能,将指定字节数的报文(截断后的数据)送到分析设备,进一步提升分析设备的处理性能,节省存储空间 。
场景6:报文去重
tap报文去重是指在tap交换机上对重复的数据包进行去重处理,以便减少分析设备的网络端口带宽占用、网络分析性能占用和存储空间浪费。其主要目的是为了优化分析设备处理性能、存储空间以及数据准确率。
在tap报文去重中,可以使用各种算法来识别和比较数据包的唯一标识符,例如数据包源地址、目标地址、协议、端口号、序列号等数据包内容信息。当tap交换机发现重复的数据包时,仅保留一个数据包,并将其余的数据包删除或回收。这样可以有效地减少网络带宽占用和存储空间浪费,提高分析设备网络性能和效率。
场景7:报文标签
tap报文标签是指在tap交换机上对流量数据包进行标记或标识,以便进行分类、筛选、管理和分析。其主要目的是为了提高网络流量监控和管理的精度和效率。在tap报文标签中,可以使用不同的标记方式和标签类型,例如vlan标签、ip地址标签、mac地址标签、应用程序标签等多种维度的标记方法。这些标签可以根据企业的需求和实际情况来配置和优化,以实现更准确、更全面的网络流量监控和管理。
场景8:报文脱敏
数据报文是用户通信真实访问行为,会涉及敏感数据信息,为保证其数据的安全性,可根据用户数据安全法的要求以及结合实际流量分析审计需求在tap交换机上配置报文脱敏功能。
tap交换机会将从业务网络采集到的数据包对其ip、port、payload内容进行脱敏,输出分析审计设备,分析设备只能基于报文已脱敏的数据进行业务分析,从而降低了敏感数据泄漏的风险。
二、tap与npm相结合的应用场景
场景1:多节点监控
npm物理分析端口资源有限,而监控节点数量大于npm物理接口数量,整体监控流量小于npm处理能力,如何解决npm监控所有节点流量,实现设备利用监控最大化?
在tap交换机入出接口对数据报文打上vlan_tag标签,汇聚输出至npm分析设备,npm分析设备通过vlan_tag标签实现识别span镜像流量来源,标识对应节点名称,实现npm分析设备对全网流量全路径细化监控。
场景2:镜像流量剥离
由于交换机镜像资源不足,又需要全量多节点监控,数据流量混杂在一起,无法区分,可根据业务流向,剥离各区域的流量,在tap交换机通过过滤规则对特定的数据报文(ip会话等)打上vlan_tag标签,通过虚接口功能实现识别span镜像流量来源,标识对应节点名称,实现npm分析设备对全网流量全路径细化监控。
场景3:流量负载均衡
npm物理分析端口资源有限,单一或多节点流量容易超出分析设备的端口物理瓶颈,可通过tap交换机的负载均衡(round robin、sdip )hash算法将流量均衡的输出至npm分析设备,通过npm分析设备下的多个物理端口下虚拟子接口标识聚合链路功能实现多节点的流量全量监控,解决单一节点流量瓶颈问题。
场景4:数据包截断
在tap交换机对端口、数据包特征进行报文截断功能,缩减数据包的长度,通过npm设备截断数据包分析功能还原裁剪前的真实业务流量趋势,提升npm分析设备的处理能力和数据存储时长。
场景5:报文去重
业务流量走向以及二层原因,交换机镜像数据会出现大量的重复,重复数据消耗了npm分析设备的分析处理性能以及对流量分析指标的准确率产生了影响,为减少对npm分析设备影响,需要在流量分析前对流量进行处理。
场景6:旁挂设备流量区分
客户的数据中心安全、负载等设备大多都是采用旁挂的架构,交换机镜像无法区分旁挂设备的前后的流量,如何实现关键旁挂设备前后节点的网络业务性能监控分析成为了一个难题。
在tap交换机对镜像流量通过过滤smac、dmac规则等方式识别关键设备前后节点流量打上vlan_tag标签,通过npm虚接口标识功能实现前后节点流量区分,实现网络节点精细化监控,解决用户监控痛点,实现npm场景价值的最大化。
其他场景
在tap交换网络中,也可以对gre和erspan流量进行预前处理。
erspan(encapsulated remote switched port analyzer)是一种网络流量监测技术,可以在不影响网络正常运行的情况下,通过将远程交换机上的交换端口数据复制到本地设备上进行分析和监控。erspan技术可以将span功能扩展到其他网络中,并且可以跨越多个网络。
erspan技术使用的是一种封装技术,通过在源交换机和目标交换机之间建立一个隧道,将复制的数据包封装成一个新的封装数据包,并通过ip网络传输到目标设备上进行解封和解析。在erspan中,源交换机将要监控的数据流量封装为gre(generic routing encapsulation)数据包,然后通过网络传输到目标设备。在目标设备上,将gre数据包解封,并将其中的原始数据包还原出来,以便进一步进行分析和处理。
gre预前流量处理是指在tap交换机上对gre隧道中的数据包进行预处理和分析,以便更好地管理和监控网络流量。其主要目的是为了提高网络性能和可靠性。
在gre和erspan预前流量处理中,可以使用各种算法和技术来优化数据包负载均衡、去重、过滤、标签等操作。例如,可以通过源ip地址哈希或目标ip地址哈希的方式,将gre隧道中的数据流量分配到不同的链路上,从而实现负载均衡;也可以通过过滤规则和标签标识,对数据包进行筛选和分类,提高网络流量监控的效率和精度。以上就是关于tap组网的全部内容。
tap组网,你做对了么?
– end –