Intrusion Detection System (IDS) device တစ်ခုကို ဖြန့်ကျက်လိုက်တဲ့အခါ peer party ရဲ့ information center မှာရှိတဲ့ switch ရဲ့ mirroring port ဟာ မလုံလောက်ပါဘူး (ဥပမာ၊ mirroring port တစ်ခုကိုပဲ ခွင့်ပြုထားပြီး mirroring port က တခြား device တွေကို နေရာယူထားပါတယ်)။
ဒီအချိန်မှာ mirroring port အများကြီး မထည့်တဲ့အခါ network replication, aggregation နဲ့ forwarding device တွေကို အသုံးပြုပြီး ကျွန်တော်တို့ရဲ့ device ကို mirroring data ပမာဏတူ ဖြန့်ဝေနိုင်ပါတယ်။
ကွန်ရက် TAP ဆိုတာ ဘာလဲ။
TAP switch ဆိုတဲ့နာမည်ကို ပထမဆုံးကြားဖူးမှာပါ။ TAP (Terminal Access Point)၊ NPB (Network Packet Broker) ဒါမှမဟုတ် Tap Aggregator လို့လည်း လူသိများပါတယ်။
TAP ရဲ့ အဓိကလုပ်ဆောင်ချက်ကတော့ production network ပေါ်က mirroring port နဲ့ analysis device cluster ကြားမှာ setup လုပ်ဖို့ပါ။ TAP က production network device တစ်ခု ဒါမှမဟုတ် တစ်ခုထက်ပိုတဲ့ device တွေကနေ mirrored လုပ်ထားတဲ့ ဒါမှမဟုတ် separated traffic တွေကို စုဆောင်းပြီး traffic ကို data analysis device တစ်ခု ဒါမှမဟုတ် တစ်ခုထက်ပိုတဲ့ device တွေဆီ ဖြန့်ဝေပေးပါတယ်။
အဖြစ်များသော Network TAP ကွန်ရက်ဖြန့်ကျက်မှု အခြေအနေများ
Network Tap မှာ အောက်ပါလို ထင်ရှားတဲ့ အညွှန်းတွေ ပါရှိပါတယ်-
လွတ်လပ်သော ဟာ့ဒ်ဝဲ
TAP သည် ရှိပြီးသား network devices များပေါ်ရှိ load ကို မထိခိုက်သော သီးခြား hardware အစိတ်အပိုင်းတစ်ခုဖြစ်ပြီး ၎င်းသည် port mirroring ထက် အားသာချက်များထဲမှ တစ်ခုဖြစ်သည်။
ပြောင်းမလား။
ကွန်ရက်ကို တို့ထိပါသလား။
ကွန်ရက် ပွင့်လင်းမြင်သာမှု
TAP ကို ကွန်ရက်နှင့် ချိတ်ဆက်ပြီးနောက် ကွန်ရက်ပေါ်ရှိ အခြားစက်ပစ္စည်းအားလုံးကို ထိခိုက်မည်မဟုတ်ပါ။ ၎င်းတို့အတွက် TAP သည် လေကဲ့သို့ ဖောက်ထွင်းမြင်ရပြီး TAP နှင့် ချိတ်ဆက်ထားသော စောင့်ကြည့်ရေးစက်ပစ္စည်းများသည် ကွန်ရက်တစ်ခုလုံးအတွက် ဖောက်ထွင်းမြင်ရပါသည်။
TAP ဆိုတာ switch ပေါ်က Port Mirroring နဲ့ အတူတူပါပဲ။ ဒါဆို ဘာလို့ သီးခြား TAP တစ်ခု တပ်ဆင်ရမှာလဲ။ Network TAP နဲ့ Network Port Mirroring ရဲ့ ကွာခြားချက်တွေကို ကြည့်ကြရအောင်။
ကွာခြားချက် ၁port mirroring ထက် Network TAP ကို configure လုပ်ရတာ ပိုလွယ်ပါတယ်။
Port mirroring ကို switch မှာ configure လုပ်ရပါမယ်။ monitoring ကို ချိန်ညှိဖို့ လိုအပ်ရင် switch ကို ALL အဖြစ် ပြန်လည် configure လုပ်ရပါမယ်။ ဒါပေမယ့် TAP ကို တောင်းဆိုထားတဲ့နေရာမှာပဲ ချိန်ညှိဖို့ လိုအပ်ပြီး ရှိပြီးသား network device တွေကိုတော့ သက်ရောက်မှု မရှိပါဘူး။
ကွာခြားချက် ၂: Network TAP သည် port mirroring နှင့် နှိုင်းယှဉ်ပါက network စွမ်းဆောင်ရည်ကို မထိခိုက်ပါ။
switch ပေါ်ရှိ port mirroring သည် switch ၏စွမ်းဆောင်ရည်ကို ယိုယွင်းစေပြီး switching စွမ်းရည်ကို ထိခိုက်စေပါသည်။ အထူးသဖြင့် switch ကို inline အဖြစ် network နှင့် series ချိတ်ဆက်ထားပါက network တစ်ခုလုံး၏ forwarding စွမ်းရည်ကို ပြင်းထန်စွာ ထိခိုက်ပါသည်။ TAP သည် independent hardware တစ်ခုဖြစ်ပြီး traffic mirroring ကြောင့် device စွမ်းဆောင်ရည်ကို မထိခိုက်စေပါ။ ထို့ကြောင့် ၎င်းသည် ရှိပြီးသား network device များ၏ load ကို သက်ရောက်မှုမရှိပါ၊ ၎င်းသည် port mirroring ထက် အားသာချက်များစွာရှိသည်။
ကွာခြားချက် ၃Network TAP သည် port mirroring replication ထက် ပိုမိုပြီးပြည့်စုံသော traffic process ကို ပေးစွမ်းသည်။
switch port ကိုယ်တိုင်က error packets တွေ ဒါမှမဟုတ် အရွယ်အစားသေးငယ်လွန်းတဲ့ packets တွေကို filter လုပ်မှာဖြစ်လို့ port mirroring က traffic အားလုံးကို ရယူနိုင်မယ်လို့ အာမမခံနိုင်ပါဘူး။ ဒါပေမယ့် TAP က physical layer မှာ "replication" တစ်ခုလုံးဖြစ်တဲ့အတွက် data integrity ကို သေချာစေပါတယ်။
ကွာခြားချက် ၄TAP ရဲ့ forwarding delay က Port Mirroring ထက် နည်းပါတယ်။
အချို့သော low-end switch များတွင် port mirroring သည် mirroring port များသို့ traffic များကို copy လုပ်သည့်အခါတွင်လည်းကောင်း၊ 10/100m port များကို Giga Ethernet port များသို့ copy လုပ်သည့်အခါတွင်လည်းကောင်း latency ဖြစ်စေနိုင်သည်။
၎င်းကို ကျယ်ကျယ်ပြန့်ပြန့် မှတ်တမ်းတင်ထားသော်လည်း၊ နောက်ဆုံး ခွဲခြမ်းစိတ်ဖြာမှု နှစ်ခုတွင် ခိုင်မာသော နည်းပညာပံ့ပိုးမှု အချို့ ချို့တဲ့နေသည်ဟု ကျွန်ုပ်တို့ ယုံကြည်ပါသည်။
ဒါဆိုရင် ဘယ်လိုအခြေအနေမျိုးမှာ network traffic distribution အတွက် TAP ကိုသုံးဖို့ လိုအပ်ပါသလဲ။ ရိုးရှင်းစွာပြောရရင် အောက်ပါလိုအပ်ချက်တွေရှိရင် Network TAP က သင့်အတွက် အကောင်းဆုံးရွေးချယ်မှုပါပဲ။
ကွန်ရက် TAP နည်းပညာများ
အထက်ဖော်ပြပါအချက်ကို နားထောင်ပြီး TAP ကွန်ရက် shunt ဟာ တကယ်ကို မှော်ဆန်တဲ့ ကိရိယာတစ်ခုလို့ ခံစားရပါတယ်၊ လက်ရှိဈေးကွက်မှာ အသုံးများတဲ့ TAP shunt မှာ အခြေခံဗိသုကာပုံစံ အမျိုးအစားသုံးမျိုးလောက်ကို အသုံးပြုထားပါတယ်-
FPGA
- မြင့်မားသောစွမ်းဆောင်ရည်
- ဖွံ့ဖြိုးတိုးတက်ရန် ခက်ခဲခြင်း
- ကုန်ကျစရိတ်မြင့်မားခြင်း
MIPS
- ပြောင်းလွယ်ပြင်လွယ်ရှိပြီး အဆင်ပြေသည်
- ဖွံ့ဖြိုးမှု အလယ်အလတ် အခက်အခဲ
- အဓိကရောင်းချသူများ RMI နှင့် Cavium တို့သည် ဖွံ့ဖြိုးတိုးတက်မှုကို ရပ်တန့်ခဲ့ပြီး နောက်ပိုင်းတွင် ကျရှုံးခဲ့ကြသည်။
အက်စ်အိုင်စီ
- မြင့်မားသောစွမ်းဆောင်ရည်
- ချဲ့ထွင်မှုလုပ်ဆောင်ချက် ဖွံ့ဖြိုးတိုးတက်ရန် ခက်ခဲပါသည်၊ အဓိကအားဖြင့် ချစ်ပ်၏ ကန့်သတ်ချက်များကြောင့်ဖြစ်သည်။
- interface နှင့် သတ်မှတ်ချက်များကို chip ကိုယ်တိုင်က ကန့်သတ်ထားသောကြောင့် ချဲ့ထွင်မှုစွမ်းဆောင်ရည် ညံ့ဖျင်းစေပါသည်။
ထို့ကြောင့် ဈေးကွက်တွင်တွေ့မြင်ရသော မြင့်မားသောသိပ်သည်းဆနှင့် မြန်နှုန်းမြင့် Network TAP များသည် လက်တွေ့အသုံးပြုမှုတွင် ပြောင်းလွယ်ပြင်လွယ်ရှိမှုတွင် တိုးတက်မှုအတွက် နေရာများစွာရှိပါသည်။ TAP network shunters များကို protocol conversion၊ data collection၊ data shunting၊ data mirroring နှင့် traffic filtering တို့အတွက် အသုံးပြုကြသည်။ အဓိက port အမျိုးအစားများတွင် 100G၊ 40G၊ 10G၊ 2.5G POS၊ GE စသည်တို့ ပါဝင်သည်။ SDH ထုတ်ကုန်များ တဖြည်းဖြည်း ရုပ်သိမ်းလာခြင်းကြောင့် လက်ရှိ Network TAP shunters များကို all-Ethernet network environment တွင် အများဆုံးအသုံးပြုကြသည်။
ပို့စ်တင်ချိန်: ၂၀၂၂ ခုနှစ်၊ မေလ ၂၅ ရက်
