网络分流器和交换机区别(网络分流器的作用和原理)

大家好，我是小月，我在这里再次向大家介绍网络探针(TAP)！

为什么说“再一次”？去年年初，小悦悦其实做了一个TAP科普。还记得这篇文章吗？

从头到脚了解网络探头

一年多过去了，我相信每个人都像小月一样学到了很多新东西。知识需要不断迭代，小月的文章也会不断更新。今天我们就来重新认识一下TAP分流吧~

01 TAP都有哪几种

水龙头是什么？我想你已经对此有所了解了。TAP本质上是一个为各种网络监控设备提供流量副本的产品。我们可以把TAP分成以下几种不同的类型。

A.“原始”水龙头

下图是一个“原创”的TAP分流器，全称是抛星LAN TAP。

这个设备很小，有四个RJ45接口，使用起来也很简单:把J1和J2(黑色网口)串联到需要抓包的网络上，JBOY3乐队和J4(蓝色网口)分别拷贝流入和流出方向的数据，连接抓包设备。这种水龙头甚至不用通电也能工作。

这种TAP直接从物理层复制数据，操作简单，成本低廉。但是就是太简单了，在空之间没有别的操作。此外，分光器也可以归入这一类。

B.“标准”龙头

“标准”分接头是市场上常见的通用分接头分流器，如下图所示:

这种抽头比上面的“原始”抽头智能得多，并且在L2-L4层中工作。它可以进行数据拆分、数据镜像、流量过滤等。根据自定义策略。

镜像(多输出)一对一，一对多

数据流(多个链接的输出)

输出收敛(多个链路的收敛)多对一和多对多

过滤器(特定流量输出)IP，端口

一般TAP可以部署在分析设备集群的前面，单个设备一般最多可以支持400G的大流量场景。

C.“智能”水龙头

“智能”TAP是指Panabit网络探头。为什么是“聪明”呢？

Panabit应用分流

Panabit作为国内优秀的DPI厂商，在网络流量采集、流量过滤、流量分流等方面具有先天优势。

与一般的TAP不同，Panabit工作在L7层，也就是说Panabit比一般的TAP看得更细更深。所以，在通用TAP的基础上，Panabit还可以做基于应用的按需流量导流或复制。

另一方面，Panabit的“智能”在于Panabit可以实现跨三层的流量远程镜像，即遥测。

这时候可能有人会说，有些路由器或者交换机也可以做远程镜像，比如ERSPAN。

ERSPAN是一种端口报文镜像技术，可以对端口上的报文进行镜像，封装成协议号为0x88BE的GRE报文，发送给远程监控设备。用户可以根据实际需要定义要镜像的消息，如镜像TCP三次握手消息以监控TCP连接建立，镜像RDMA信令消息以监控RDMA会话状态。

的确，三层远程镜像本身并不是什么新技术，但与ERSPAN使用的GRE不同，Panabit是通过自主研发的隧道协议iWAN实现的。IWAN具有线路开销低、重连速度快的特点，更适合作为远程镜像的隧道协议。

当然这还是最重要的。刚才我们说了，Panabit工作在L7层，可以基于各种条件，尤其是应用，做灵活的流量复制。这也适用于遥测，即Panabit实现应用级遥测。

另一方面，对于交换机和路由器，打开ERSPAN可能会导致设备性能不足。很多在产品手册上都有这个功能，但是现有的网络设备不敢轻易打开。

Panabit没有这个问题。Panabit的性能就不用说了，小吧？如果您对Panabit的性能有任何疑问，欢迎随时测试。

如果想了解更多遥测方面的知识，可以参考下面这篇文章。

是时候有第二种选择了，进行全量的网络数据包抓取。

02 几种TAP怎么用

关于TAP的使用，我想请大家先思考一个问题:我们为什么需要TAP？

这就要回到TAP的本质了。一开始我们说TAP的本质是一个为各种网络监控设备提供流量副本的产品。也就是说TAP是为网络监控设备服务的，那么网络监控设备为什么需要TAP呢？

随着网络攻防双方的竞争，显然需要部署越来越多的网络安全设备。随着近年来带宽的指数级增长，如果没有TAP，我们的网络很可能会变成如下:

有些人会说，我需要TAP做什么才能解决交换机端口镜像的问题？

如果加上网络监控设备，交换机插槽够用吗？交换机的性能还能撑得住吗？专业的人做专业的事，龙头设备的必要性也是如此。

既然TAP是必须的，那怎么用呢？我们可以看看下面这个例子。

“原始分路器”-光分路器将原始流量如实复制到传统分路器集群。

“标准”分路器-通用分路器形成一个集群，通过端口重组向Panabit发送流量。

“智能”TAP——Panabit按需向各种分析设备输出流量。

三种TAP各司其职，光分路器、通用TAP、Panabit做不同层次的流量复制。还是那句话，专业的人做专业的事。具体用什么样的TAP，他们需要考虑做哪一层的流量复制:L1层用分光器之类的TAP；万能水龙头；对于L2-L4层；Panabit用于L7层。当然，这种等级制度并不是绝对的。高级TAP可以向后兼容。比如Panabit其实可以胜任L2-L4的场景，所以还是要根据实际情况来选择。

从接口数量来说，通用的TAP接口很多，24口和48口的比较常见，但是相对来说Panabit没有那么多接口。所以在接口要求在4层以上的情况下，通用抽头会更合适。

另外，在设备性能上，Panabit支持100G以内的场景，而通用TAP可以支持高达400G的场景，所以流量的大小也是选择TAP的关键因素。

最后，从使用场景来看，在本地二层流量复制中，我们可以选择通用TAP。但是，如果涉及跨三层的流量复制，此时应选择Panabit。例如，以下场景:

#场景1:大规模网络的多分支数据采集和分析

#场景2:大型网络中内部汇聚节点的数据收集和分析

#场景3:大规模网络云数据收集+分析

对于这种情况，部署应用级遥测设备的意义如下:

03 总结

说了这么多，你对抽头分流有新的认识吗？我们简单总结一下今天的内容。

小月语录

1.TAP的本质是一个为各种网络监控设备提供流量副本的产品。

2.分接头可分为三类:工作在L1层的“原始”分接头、L2-L4层的“标准”分接头和L7层的“智能”分接头。

3.对于接口要求较多、100G g以上的场景，适合使用“标准”TAP。

4.七层按需复制和遥测场景需要Panabit。

复活节彩蛋

除了应用级TAP，Panabit还推出了自己的& # 34；标准型& # 34；分流。

欢迎联系购买！

更多精彩:

所有校园卡交易数据都会保留。

应用级弹性遥测可以解决网络总分析的所有痛点。

没有负载均衡，买了还能省钱？