网络分流器进化史

大家好,我是小月月,我又来给大家介绍网络分流器(TAP)啦!

为什么说“又”呢?去年年初,小月月其实已经做了一次TAP的科普,还记得这篇文章么?

这一年多过去了,相信大家也和小月月一样,又学到了不少新东西。知识需要不断迭代,小月月的文章也会持续更新,今天我们就再来重新认识一下TAP分流器吧~

01 TAP都有哪几种

TAP分流器是什么,想必大家已经有所了解了。从本质上来说,TAP是一种为各类网络监控设备提供流量副本的产品。我们可以将TAP分为以下不同类型。

A.“原始型”TAP

下图里的就是一款“原始型”的TAP分流器,它的全名叫做Throwing Star LAN TAP。

这种设备十分小巧,共有4个RJ45接口,使用也非常简单:把J1和J2(黑色网口)串接到需要抓包的网络中,J3和J4(蓝色网口)分别复制流入和流出两个方向的数据,连接抓包的设备即可。这种TAP甚至不需要通电就能工作。

这类TAP直接从物理层对数据进行了复制,操作简单又便宜。但它就是太简单了,没有什么其他可以操作的空间。另外,像分光器也可以归为这个类别。

B.“标准型”TAP

“标准型”TAP就是市面上常见的通用型TAP分流器,如下图:

这类TAP要比上面的“原始型”TAP智能得多,工作在L2-L4层,可以根据自定义的策略做数据分流、数据镜像、流量过滤等。

镜像复制 (多份输出) 1对1、1对多

数据分流 (多条链路输出)

汇聚输出 (多条链路汇合) 多对1、多对多

筛选过滤 (特定流量输出) IP、Port

通用型TAP可以部署在分析设备集群前,单台设备一般最高可以支持400G的大流量场景。

C.“智慧型”TAP

“智慧型”TAP指的是Panabit网络分流器,为什么说它是“智慧型”的呢?

Panabit应用分流器

Panabit作为国内优秀的DPI厂商,在网络流量采集、流量过滤、流量分流等方面具备着先天的优势。

与通用型TAP不同,Panabit工作在L7层,也就是说,Panabit能比一般的TAP看得更细更深。因此在通用型TAP的基础上,Panabit还能基于应用做流量的按需分流或复制。

体现Panabit“智慧型”的另一方面,是Panabit可以实现流量的跨三层远程镜像,即遥测(Telemetery)

这时候有人可能会说了,有些路由器或者交换机上也能做远程镜像啊,例如ERSPAN。

ERSPAN 是一种端口报文镜像技术,它能够将端口上的报文镜像后,封装为协议号为 0x88BE的 GRE 报文,并将其发送到远端监控设备。用户可以根据实际需求定义待镜像的报文,例如镜像 TCP 三次握手报文以便监控 TCP 连接建立情况、镜像 RDMA 信令报文以便监控 RDMA 会话状态。

确实,跨三层远程镜像本身不是一门新技术,不过不同于ERSPAN使用的GRE,Panabit则是通过自研的隧道协议iWAN来实现的。iWAN具备线路开销小、重连速度快等特点,更适合作为远程镜像的隧道协议。

当然这不还是最主要的,刚才我们说过,Panabit工作在L7层,可以基于多种条件,特别是应用做灵活的流量复制。这一点同样适用于遥测,即Panabit实现的是应用级的遥测

另一方面,对于交换机&路由器来说,开启ERSPAN很可能会造成设备性能不足,它们很多都是产品手册有该功能,但现网设备却不敢轻易开启。

而Panabit则不存在这样的问题。Panabit的性能小月月就不用多说了吧?如果对Panabit的性能有疑问的话,我们随时欢迎大家进行测试。

如果对遥测还想了解更多的话,大家可以参考下面这篇文章。

网络全量数据包抓取,是时候有第二种选择

02 几种TAP怎么用

关于TAP的使用,我想先请大家思考一个问题:我们为什么需要TAP这种设备呢?

这就要回到TAP的本质上来了,开头我们说过,TAP的本质是一种为各类网络监控设备提供流量副本的产品。也就是说,TAP是为网络监控设备服务的,那么网络监控设备又为什么需要TAP呢?

随着网络攻防双方道高一尺魔高一丈的角逐,我们明显发现需要部署的网络安全设备变得越来越多了,再随着近年来带宽的指数级增长,如果在没有TAP的情况下,我们的网络很可能就会变成下面这样:

有人会说,我用交换机端口镜像可以解决的事,还需要TAP作甚?

那如果网络监控设备再增加,交换机口子还够用么?交换机的性能还扛得住么?专业的人做专业的事,TAP设备的必要性即是如此。

既然TAP是必要的,那我们又该如何使用呢?我们可以看下面这个例子。

• “原始型”TAP——分光器将原始流量忠实地复制给传统TAP分流器集群

• “标准型”TAP——通用型TAP组成集群,将流量按端口重新组合发送给Panabit

• “智慧型”TAP——Panabit将流量按需向各类分析设备进行输出

三种TAP各司其职、各尽其责,分光器、通用型TAP、Panabit分别做不同层面的流量复制。还是那句话,专业的人做专业的事,具体用哪种TAP,需要考虑做哪一层的流量复制:L1层用分光器等TAP;L2-L4层用通用型TAP;L7层则使用Panabit。当然这种层级的划分并不是绝对的,高层的TAP可以向下兼容,例如Panabit其实也能够胜任L2-L4层的场景,因此还是需要根据实际的情况来进行选择。

从接口数量上来说,一般通用型TAP的接口较多,24、48口的都比较常见,而相对来说Panabit就没有那么多的接口了。因此在4层以下,接口需求较多的情况下,通用型TAP会比较适合。

另外,从设备性能上来说,Panabit支持100G以内的场景,而通用型TAP最高可以支持400G的场景,因此流量的大小也是选择TAP的一个关键因素。

最后,从使用场景上来说,在本地的二层流量复制中,我们可以选择通用型TAP。但如果涉及到了跨三层的流量复制,这时候就需要选择Panabit了。比如下面几个场景:

#场景一:大型网络多分支数据采集+分析

#场景二:大型网络内部汇聚节点数据采集+分析

#场景三:大型网络云端数据采集+分析

对于诸如此类的场景,部署应用级遥测设备的意义如下图:

03 总结

说了这么多,您是否对TAP分流器又有了新的认识呢?我们再来简单总结一下今天的内容。

小月月语录

1. TAP的本质是一种为各类网络监控设备提供流量副本的产品

2. TAP可以分为三类:工作在L1层的“原始型”TAP、L2-L4层的“标准型”TAP和L7层的“智慧型”TAP

3. 接口需求多、超过100G的场景,适合用“标准型”TAP

4. 七层按需复制以及遥测的场景,需要使用Panabit

彩蛋

除了应用级TAP外,Panabit如今也推出了自己的”标准型”TAP分流器。

欢迎大家联系选购!

更多精彩:

校园一卡通交易数据全留存

智能应用级弹性遥测,解决网络全量分析的所有痛苦

有没有一种负载均衡,买了还能省钱?

Published by

风君子

独自遨游何稽首 揭天掀地慰生平

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注