手揣网教程/路由器百科/内容

网络分流器进化史

路由器百科2024-08-23 阅读

大家好,我是小月月,我又来给大家介绍网络分流器(TAP)啦!

为什么说“又”呢?去年年初,小月月其实已经做了一次TAP的科普,还记得这篇文章么?


这一年多过去了,相信大家也和小月月一样,又学到了不少新东西。知识需要不断迭代,小月月的文章也会持续更新,今天我们就再来重新认识一下TAP分流器吧~


01 TAP都有哪几种

TAP分流器是什么,想必大家已经有所了解了。从本质上来说,TAP是一种为各类网络监控设备提供流量副本的产品。我们可以将TAP分为以下不同类型。

A.“原始型”TAP

下图里的就是一款“原始型”的TAP分流器,它的全名叫做Throwing Star LAN TAP。

网络分流器进化史

这种设备十分小巧,共有4个RJ45接口,使用也非常简单:把J1和J2(黑色网口)串接到需要抓包的网络中,J3和J4(蓝色网口)分别复制流入和流出两个方向的数据,连接抓包的设备即可。这种TAP甚至不需要通电就能工作。

这类TAP直接从物理层对数据进行了复制,操作简单又便宜。但它就是太简单了,没有什么其他可以操作的空间。另外,像分光器也可以归为这个类别。

B.“标准型”TAP

“标准型”TAP就是市面上常见的通用型TAP分流器,如下图:


网络分流器进化史


这类TAP要比上面的“原始型”TAP智能得多,工作在L2-L4层,可以根据自定义的策略做数据分流、数据镜像、流量过滤等。

网络分流器进化史

镜像复制 (多份输出) 1对1、1对多

网络分流器进化史

数据分流 (多条链路输出)

网络分流器进化史

汇聚输出 (多条链路汇合) 多对1、多对多

网络分流器进化史

筛选过滤 (特定流量输出) IP、Port



通用型TAP可以部署在分析设备集群前,单台设备一般最高可以支持400G的大流量场景。

网络分流器进化史


C.“智慧型”TAP

“智慧型”TAP指的是Panabit网络分流器,为什么说它是“智慧型”的呢?


网络分流器进化史网络分流器进化史网络分流器进化史网络分流器进化史

Panabit应用分流器


Panabit作为国内优秀的DPI厂商,在网络流量采集、流量过滤、流量分流等方面具备着先天的优势。


与通用型TAP不同,Panabit工作在L7层,也就是说,Panabit能比一般的TAP看得更细更深。因此在通用型TAP的基础上,Panabit还能基于应用做流量的按需分流或复制。


网络分流器进化史


体现Panabit“智慧型”的另一方面,是Panabit可以实现流量的跨三层远程镜像,即遥测(Telemetery)


这时候有人可能会说了,有些路由器或者交换机上也能做远程镜像啊,例如ERSPAN。


ERSPAN 是一种端口报文镜像技术,它能够将端口上的报文镜像后,封装为协议号为 0x88BE的 GRE 报文,并将其发送到远端监控设备。用户可以根据实际需求定义待镜像的报文,例如镜像 TCP 三次握手报文以便监控 TCP 连接建立情况、镜像 RDMA 信令报文以便监控 RDMA 会话状态。


确实,跨三层远程镜像本身不是一门新技术,不过不同于ERSPAN使用的GRE,Panabit则是通过自研的隧道协议iWAN来实现的。iWAN具备线路开销小、重连速度快等特点,更适合作为远程镜像的隧道协议。


当然这不还是最主要的,刚才我们说过,Panabit工作在L7层,可以基于多种条件,特别是应用做灵活的流量复制。这一点同样适用于遥测,即Panabit实现的是应用级的遥测


网络分流器进化史


另一方面,对于交换机&路由器来说,开启ERSPAN很可能会造成设备性能不足,它们很多都是产品手册有该功能,但现网设备却不敢轻易开启。


而Panabit则不存在这样的问题。Panabit的性能小月月就不用多说了吧?如果对Panabit的性能有疑问的话,我们随时欢迎大家进行测试。


如果对遥测还想了解更多的话,大家可以参考下面这篇文章。

网络全量数据包抓取,是时候有第二种选择


02 几种TAP怎么用


关于TAP的使用,我想先请大家思考一个问题:我们为什么需要TAP这种设备呢?


这就要回到TAP的本质上来了,开头我们说过,TAP的本质是一种为各类网络监控设备提供流量副本的产品。也就是说,TAP是为网络监控设备服务的,那么网络监控设备又为什么需要TAP呢?


随着网络攻防双方道高一尺魔高一丈的角逐,我们明显发现需要部署的网络安全设备变得越来越多了,再随着近年来带宽的指数级增长,如果在没有TAP的情况下,我们的网络很可能就会变成下面这样:


网络分流器进化史


有人会说,我用交换机端口镜像可以解决的事,还需要TAP作甚?


那如果网络监控设备再增加,交换机口子还够用么?交换机的性能还扛得住么?专业的人做专业的事,TAP设备的必要性即是如此。


既然TAP是必要的,那我们又该如何使用呢?我们可以看下面这个例子。


网络分流器进化史

? “原始型”TAP——分光器将原始流量忠实地复制给传统TAP分流器集群

? “标准型”TAP——通用型TAP组成集群,将流量按端口重新组合发送给Panabit

? “智慧型”TAP——Panabit将流量按需向各类分析设备进行输出

三种TAP各司其职、各尽其责,分光器、通用型TAP、Panabit分别做不同层面的流量复制。还是那句话,专业的人做专业的事,具体用哪种TAP,需要考虑做哪一层的流量复制:L1层用分光器等TAP;L2-L4层用通用型TAP;L7层则使用Panabit。当然这种层级的划分并不是绝对的,高层的TAP可以向下兼容,例如Panabit其实也能够胜任L2-L4层的场景,因此还是需要根据实际的情况来进行选择。


从接口数量上来说,一般通用型TAP的接口较多,24、48口的都比较常见,而相对来说Panabit就没有那么多的接口了。因此在4层以下,接口需求较多的情况下,通用型TAP会比较适合。


另外,从设备性能上来说,Panabit支持100G以内的场景,而通用型TAP最高可以支持400G的场景,因此流量的大小也是选择TAP的一个关键因素。


最后,从使用场景上来说,在本地的二层流量复制中,我们可以选择通用型TAP。但如果涉及到了跨三层的流量复制,这时候就需要选择Panabit了。比如下面几个场景:

#场景一:大型网络多分支数据采集+分析

网络分流器进化史


#场景二:大型网络内部汇聚节点数据采集+分析

网络分流器进化史


#场景三:大型网络云端数据采集+分析

网络分流器进化史


对于诸如此类的场景,部署应用级遥测设备的意义如下图:


网络分流器进化史


03 总结

说了这么多,您是否对TAP分流器又有了新的认识呢?我们再来简单总结一下今天的内容。


小月月语录

1. TAP的本质是一种为各类网络监控设备提供流量副本的产品

2. TAP可以分为三类:工作在L1层的“原始型”TAP、L2-L4层的“标准型”TAP和L7层的“智慧型”TAP

3. 接口需求多、超过100G的场景,适合用“标准型”TAP

4. 七层按需复制以及遥测的场景,需要使用Panabit


彩蛋

除了应用级TAP外,Panabit如今也推出了自己的"标准型"TAP分流器。


网络分流器进化史网络分流器进化史


欢迎大家联系选购!


网络分流器进化史

更多精彩:

校园一卡通交易数据全留存

智能应用级弹性遥测,解决网络全量分析的所有痛苦

有没有一种负载均衡,买了还能省钱?

……

相关阅读