Zaznacz stronę

Rodzaje TAP’ów – możliwości zastosowania w monitoringu sieci

Test Access Point lub Traffic Access Point czyli TAP sieciowy to w powszechnym rozumieniu urządzenie pozwalające na włączenie się do sieci, skopiowanie ruchu sieciowego i przesłanie go do analizatora. Choć to stwierdzenie jest prawdziwe, jest mocno uproszczone.

Temat TAP’ów jest bardziej złożony ze względu na różnorodność typów tych urządzeń i funkcji, które mogą być dzięki nim realizowane.

Inżynierowie sieciowi maja do dyspozycji 6 następujących rodzajów TAP’ów:

  1. Breakout – (normal)
  2. Aggregate – agregujący
  3. Regeneration/SPAN – regenerujący
  4. Filtrujący
  5. Bypass
  6. Media Changing – konwertujący media
  1. Breakout ‘Normal’ TAP:

Typowy TAP posiada 4 porty: A,B,C i D. Porty A i B są portami sieciowymi, a porty C i D służą do podłączenia urządzeń monitorujących.

Diagram 1: Breakout “Normal TAP” Mode

 

Zastosowanie TAP’a typu Breakout

  1. Ruch “eastbound” z urządzenia sieciowego, w tym przypadku routera, przesyłany jest do portu A, a z portu B do innego urządzenia, np. przełącznika sieciowego.
  2. Port B przesyła kopię do portu C.
  3. Ruch „westbound” wpływa do portu B i wypływa przez port A i jednocześnie jest wysyłany do portu D.

Ten rodzaj TAP’a jest najczęściej stosowany w sytuacji, gdy ruch sieciowy w badanym łączu jest na tyle duży, że zsumowanie ruchu Tx i Rx na jednym porcie monitorującym może spowodować niepożądany efekt „over subscryption” i gubienie pakietów. Należy zaznaczyć, że taki typ TAP’a wymaga dwóch portów wejściowych (dwóch kart sieciowych) w urządzeniu monitorującym, aby bezproblemowo przechwytywać sygnały Tx i Rx.

  1. TAP Agregujący – Aggregation TAPs:

W odróżnieniu od TAP’a typu Breakout, TAP agregujący sumuje ruch z portu A do B i z portu B do A i wysyła pełny sygnał do każdego z portów monitorujących C i D.

Jeżeli zsumowany ruch nie powoduje przepełnienia (over subscription) portu monitorującego, wówczas cały ruch jest przesyłany do urządzenia monitorującego. TAP agregujący umożliwia podłączenie dwóch urządzeń monitorujących.

Diagram 2: Tap agregacyjny kopiuje dane w obu kierunkach do portów monitorujących 

  1. TAP Replikujacy/SPAN Replicating/SPAN TAP:  

W sytuacji, gdy ilość dostępnych portów SPAN/Mirroring jest niewystarczająca bardzo przydatnym urządzeniem jest TAP replikujący. Ruch z portu SPAN przełącznika jest wysyłany do portu A TAP’a, a następnie dystrybuowany przez 3 pozostałe porty do urządzeń testujących lub analizujących.

Diagram 3: TAP replikujący pobiera sygnał SPAN z jednego portu i wysyła jego kopie do reszty portów.

  1. TAP filtrujacy Filtering TAPs: 

Podstawowym zadaniem TAP’a jest kopiowanie całego ruchu w danym łączu. Jednak często mamy sytuację, że dane urządzenie monitorujące/analizujące nie potrzebuje ”widzieć” całej informacji. Przykładowo analizator VoIP potrzebuje do analizy tylko pakiety VoIP. Dzięki funkcji filtrowania, urządzenie diagnostyczne otrzymuje tylko potrzebną informację, co pozwala uniknąć sytuacji „over subscription” lub oszczędzić koszty poprzez zastosowanie analizatora o mniejszej przepustowości.

Rysunek poniżej przedstawia sytuację, gdzie cztery łącza 1G poddane są filtracji, następnie zsumowane (agregowane) w porcie D czwartego TAP’a i wysłane do urządzenia analizującego.

Diagram 4: Cztery linki 1G zagregowane do jednego portu D

  1. Bypass TAP:

Jest bardzo ważnym narzędziem pozwalającym na włączenie aktywnego urządzenia IT security w trybie in-line w krytycznym łączu, bez wprowadzania dodatkowego punktu awarii.

Urządzenia typu next-gen firewall (NGFW) lub IPS wymagają aktywne połączenia „in-line”, aby spełniać swoja funkcję. TAP typu Bypass umożliwia takie podłączenie, zabezpieczając jednocześnie przed awarią sieci, spowodowaną uszkodzeniem jednego z w/w urządzeń lub potrzebą serwisu, up-date’u lub ich naprawy.

TAP typu bypass wyposażony w funkcję failsafe zabezpiecza sieć przed skutkami awarii urządzenia typu „in-line”. Mechanizm działania jest następujący. TAP generuje pakiet testowy, który jest wysyłany do urządzenia „in-line”. Tak długo jak to urządzenie działa poprawnie, pakiet testowy jest odsyłany do TAP’a. TAP usuwa pakiet testowy przed dalszym przekierowaniem ruchu sieci. W przypadku awarii TAP’a lub urządzenia „in-line” funkcja failsafe powoduje „odcięcie” urządzenia „in-line” i ruch sieciowy przechodzi bezpośrednio przez TAP’a.

Diagram 5: Bypass mode

  1. TAP konwertujący media Media Changing TAP: 

TAP’y tego typu pozwalają na podłączenie urządzeń monitorujących, wykorzystujących inne media niż monitorowana sieć. Dostępne są różnorakie kombinacje, a poniższe rysunki przedstawiają niektóre z nich.

Diagram 6: Konwertowanie łącza światłowodowego na miedziane

 

 

Konwersja z Single-mode na SFP: pozwala na konwertowanie łącza światłowodowego single-mode na multi-mode poprzez podłączenie do TAPa jednomodowych portów sieciowych i monitorujących portów SFP, tak jak na obrazku poniżej.

Diagram 7: Konwertowanie linka światłowodowego na SFP

 

 

Konwersja: Miedź na SFP: Konwertuje miedziany link w jedno-, lub wielomodowy światłowód, tak jak na obrazku poniżej.

Diagram 8: Konwertowanie połączenia miedzianego na SFP

Pomimo różnych typów tych urządzeń wszystkie TAP’y muszą charakteryzować następującą cechą:

– Nie mogą dodawać kolejnego punktu awarii. W razie problemu ruch sieciowy przez TAP musi odbywać się bez zakłóceń. W przypadku Bypass TAP łącze sieciowe musi działać w sytuacji awarii urządzenia ”in-line”.

Jeżeli chciałbyś dowiedzieć się więcej o TAPach, zapraszamy do lektury poniższych materiałów lub do kontaktu poprzez formularz z boku strony!