Для чего нужны ответвители TAP?

Для мониторинга ИТ-инфраструктуры, обеспечения ее безопасности или просто захвата трафика для последующего анализа необходим доступ к каналам связи. Решить этот вопрос можно по-разному и ранее в основном прибегали к зеркалированию (SPAN порт). Но количество таких портов на активном сетевом оборудовании ограничено и поэтому наиболее правильным и удобным способом является ответвление трафика с помощью специального устройства. Такое устройство называется — Test Access Point или Network TAP. Ответвитель трафика подключается в разрыв канала связи или может принять на себя трафик с нескольких SPAN портов и затем выдать его копию на несколько своих портов для подключения различных систем ИТ или ИБ. Использование Network TAP предусмотрено для анализаторов трафика, также такое устройство применяется в системах предотвращения вторжений (IPS) и в системах обнаружения сетевых атак (NIDS).

TAP ответвители трафика и агрегаторы: что это такое и как выбрать?

Основные заказчики ответвителей трафика — это государственные структуры (МВД, ФСБ), операторы связи, компании из финансового и страхового сектора. Государственные структуры используют ответвители для решения задач обеспечения оперативно розыскных мероприятий и борьбы с угрозами национальной безопасности. Телекоммуникационные и финансовые компании для вопросов обеспечения безопасности сети, анализа качества телекоммуникационных или банковских услуг, мониторинга производительности ИТ-инфраструктуры, тонкой настройки оборудования и каналов связи.

На рынке России представлено оборудование нескольких компаний — Gigamon, NetScout, VSS Monitoring, IXIA, Datacom и начинают появляться российские производители, которые поставляются в основном с оборудованием для СОРМ.

Для чего нужны ответвители TAP?

Преимущества TAP-ответвителей и их виды

Наиболее популярный способ для решения задач мониторинга — это воспользоваться технологией зеркалирования (SPAN) трафика, НО как всегда присутствует. Разным специалистам требуется копия трафика для решения своих задач: обеспечение безопасности, контент фильтрации, обнаружения вторжения, диагностики и устранения проблем, а количество SPAN портов обычно ограничено — один или два. И что делать, как обеспечить доступ к трафику всем желающим?

Кроме этого, SPAN (Switch Port Analyzer) имеет еще один недостаток, это потери пакетов в случае перегрузки портов или в случае наличия в них ошибок, например контрольной суммы. Поэтому если мы работаем в высокоскоростных каналах связи и ищем именно сбойные пакеты, то мы их просто не увидим. В результате «некорректной работы» специалисты упускают из вида часть пользовательского трафика, что не позволяет выявить серьезные ошибки в работе сети, а специалист по безопасности может упустить вирусный трафик или атаку злоумышленника.

Некоторые «умники» предлагают использовать концентратор, да-да, именно Hub, но они не работают на скорости 1Гбит/сек и не работают в режиме полный дуплекс, поэтому это решение для «чайников» и ИТ-специалистов в компании из двух человек.

Ответвители трафика описанных выше проблем не имеют, плюс еще могут иметь интеллект, который в современных сетях очень полезен. Мы гарантированно захватываем 100% трафика на любой скорости. Хочется отметить, что ответвитель трафика не снижает надежности канала, не влияет никак на его загруженность, пассивным же ответвителям вообще не нужно электропитание. Ответвители – достаточно простые для пользователя устройства, не нуждающиеся в специальной настройке, «включил и работай». Они поддерживают скорость передачи трафика от 10 Мбит/с до 100 Гбит/с. При постоянно подключенном TAP-устройстве можно не бояться разрыва сетевого соединения в те моменты, когда инженер подключает и отключает средства мониторинга сети.

TAP ответвители трафика - как выбрать?

Виды ответвителей трафика

Пассивные оптические ответвители не нуждаются в электропитании. Активные ответвители снабжены своей собственной системой электропитания с резервированием по постоянному или переменному току, а также специальное реле, которое соединяет порты напрямую и в случае катастрофы или отсутствия любого питания.

Рассмотрим традиционные TAP-устройства, которые называются последовательными. Способ применения таких ответвителей заключается в подключении такого оборудования между различного рода активными сетевыми устройствами «в разрыв».  К такому устройству подключаются любые анализаторы трафика. В отличие от SPAN портов такое оборудование копирует весь трафик, включая «битые» пакеты. Реализована поддержка полнодуплексных каналов. Эти ответвители достаточно надежны и отказоустойчивы, потому что не зависят от внешних источников питания.

В модельном ряду TAP выделяются ответвители агрегационного типа. Они должны быть подключены к наиболее важным точкам сети, могут копировать трафик с нескольких каналов связи или SPAN портов и агрегировать его в общий поток данных. К такому оборудованию могут быть подключены сразу несколько устройств для мониторинга трафика. Надо отметить, что агрегационные ответвители используются в области компьютерной безопасности вместе с системами IDS. Конечно же, функция объединения разного рода трафика в один поток является преимуществом ответвителей агрегационного типа, но при больших объемах данных у специалистов появляется необходимость в их фильтрации (по MAC-адресу или по порту приложения, например). Для настройки производители снабжают агрегационные ответвители с фильтрацией трафика специальными возможностями, которые позволяют сделать предварительную фильтрацию и, например, на устройство для контент фильтрации Web трафика выдать уже трафик только HTTP или HTTPS.

Переключающие SPAN-ответвители трафика (матричные переключатели) – позволяют сделать выбор между различными потоками информации, передающейся по сети и направить только нужные исследователю виды данных на анализатор трафика. Происходит значительная экономия времени, так как есть возможность анализировать только определенный сегмент трафика, а не весь его объем.

Виды ответвителей трафика

Применение комбинированных ответвителей трафика оправдано для решения очень сложных задач, когда функционала последовательных TAP недостаточно и необходимы функции агрегации трафика и технология SPAN. В этом случае за счет сочетания различного рода функций возможны самые разнообразные варианты захвата и копирования трафика.

Виды ответвителей трафика: что выбрать?

Заключение

На одном из наших проектов мы скопировали трафик в канале 10 Гбит/сек на систему оценки производительности приложений и, принимая во внимание, что канал был загружен на 60% и трафик «полный дуплекс» мы получили перегруженную систему мониторинга, и она не могла в полной мере контролировать работу приложений. Выход был найден с помощью ответвителя трафика с интеллектом. Мы настроили на нем фильтрацию необходимого нам приложения и смогли решить задачу клиента, плюс сэкономили для него денег, так как одна система мониторинга смогла контролировать дополнительные бизнес приложения.

Именно поэтому в современных сетях использование ответвителей трафика жизненно необходимо и с помощью современных решений мы можем создавать отдельный уровень ответвления интересующего трафика с функциями удаленного управления. Таки образом, если нам необходимо проанализировать трафик с удаленного офиса, то мы без проблем получим его копию в главном офисе и проанализируем имеющимися средствами. Грамотно применяя различные виды ответвителей и анализаторов трафика можно построить действительно интеллектуальную систему по мониторингу и анализу трафика любого вида.

См. также:

 

Материал подготовлен
специалистами компании «СвязьКомплект»
совместно с проектом networkguru.ru


- Email
- Confirm

Подпишитесь на рассылку новых материалов!

Имя
Email *
Согласие на отправку персональных данных *

* - Обязательное для заполнения