Rodzaje TAP’ów – możliwości zastosowania w monitoringu sieci
Test Access Point lub Traffic Access Point czyli TAP sieciowy to w powszechnym rozumieniu urządzenie pozwalające na włączenie się do sieci, skopiowanie ruchu sieciowego i przesłanie go do analizatora. Choć to stwierdzenie jest prawdziwe, jest mocno uproszczone.
Temat TAP’ów jest bardziej złożony ze względu na różnorodność typów tych urządzeń i funkcji, które mogą być dzięki nim realizowane.
Inżynierowie sieciowi maja do dyspozycji 6 następujących rodzajów TAP’ów:
- Breakout – (normal)
- Aggregate – agregujący
- Regeneration/SPAN – regenerujący
- Filtrujący
- Bypass
- Media Changing – konwertujący media
Breakout 'Normal’ TAP:
Typowy TAP posiada 4 porty: 2 porty sieciowe i 2 porty do podłączenia urządzeń monitorujących.
Diagram 1: Przepływ ruchu w sieci TAP
Zastosowanie TAP’a typu Breakout
- Porty sieciowe odbierają ruch z sieci. Port sieciowy A odbiera ruch wschodni, a port B ruch zachodni.
- Porty monitorujące dostarczają kopię tego ruchu do podłączonego urządzenia monitorującego.
- Port monitorujący A będzie kopiował ruch Eastbound, a port monitorujący B będzie kopiował ruch Westbound.
Ten rodzaj TAP’a jest najczęściej stosowany w sytuacji, gdy ruch sieciowy w badanym łączu jest na tyle duży, że zsumowanie ruchu Tx i Rx na jednym porcie monitorującym może spowodować niepożądany efekt „over subscryption” i gubienie pakietów. Należy zaznaczyć, że taki typ TAP’a wymaga dwóch portów wejściowych (dwóch kart sieciowych) w urządzeniu monitorującym, aby bezproblemowo przechwytywać sygnały Tx i Rx.
TAP Agregujący – Aggregation TAPs:
Agregujące TAP-y pozwalają na pobranie ruchu sieciowego z kierunku wschodniego i zachodniego i zagregowanie go do jednego portu monitorującego. do pojedynczego portu monitorującego.
Dzięki temu można użyć tylko jednego portu monitorującego, aby zobaczyć ruch wschodni i zachodni zagregowany razem na jednym porcie monitorującym.
Diagram 2: Tap agregacyjny kopiuje dane w obu kierunkach do portów monitorujących
TAP Replikujacy/SPAN Replicating/SPAN TAP:
SPAN/Regeneration TAPs pozwalają na pobieranie jednokierunkowego ruchu z jednego segmentu sieci i wysyłanie go do wielu narzędzi monitorujących. Pozwala to na wysyłanie pojedynczego strumienia ruchu do wielu różnych narzędzi monitorujących, z których każde służy do innego celu.
Diagram 3: TAP replikujący pobiera sygnał SPAN z jednego portu i wysyła jego kopie do reszty portów.
Bypass TAP:
Jest bardzo ważnym narzędziem pozwalającym na włączenie aktywnego urządzenia IT security w trybie in-line w krytycznym łączu, bez wprowadzania dodatkowego punktu awarii.
Urządzenia typu next-gen firewall (NGFW) lub IPS wymagają aktywne połączenia „in-line”, aby spełniać swoja funkcję. TAP typu Bypass umożliwia takie podłączenie, zabezpieczając jednocześnie przed awarią sieci, spowodowaną uszkodzeniem jednego z w/w urządzeń lub potrzebą serwisu, up-date’u lub ich naprawy.
TAP typu bypass wyposażony w funkcję failsafe zabezpiecza sieć przed skutkami awarii urządzenia typu „in-line”. Mechanizm działania jest następujący. TAP generuje pakiet testowy, który jest wysyłany do urządzenia „in-line”. Tak długo jak to urządzenie działa poprawnie, pakiet testowy jest odsyłany do TAP’a. TAP usuwa pakiet testowy przed dalszym przekierowaniem ruchu sieci. W przypadku awarii TAP’a lub urządzenia „in-line” funkcja failsafe powoduje „odcięcie” urządzenia „in-line” i ruch sieciowy przechodzi bezpośrednio przez TAP’a.
Diagram 5: Bypass mode
TAP konwertujący media Media Changing TAP:
TAP’y tego typu pozwalają na podłączenie urządzeń monitorujących, wykorzystujących inne media niż monitorowana sieć. Dostępne są różnorakie kombinacje, a poniższe rysunki przedstawiają niektóre z nich.
Konwersja z Single-mode na SFP: pozwala na konwertowanie łącza światłowodowego single-mode na multi-mode poprzez podłączenie do TAPa jednomodowych portów sieciowych i monitorujących portów SFP, tak jak na obrazku poniżej.
Konwersja: Miedź na SFP: Konwertuje miedziany link w jedno-, lub wielomodowy światłowód, tak jak na obrazku poniżej.
Pomimo różnych typów tych urządzeń wszystkie TAP’y muszą charakteryzować następującą cechą:
– Nie mogą dodawać kolejnego punktu awarii. W razie problemu ruch sieciowy przez TAP musi odbywać się bez zakłóceń. W przypadku Bypass TAP łącze sieciowe musi działać w sytuacji awarii urządzenia ”in-line”.