Tap经典部署方案.pdf

Tap经典部署方案 （（一））部署边界网络监控方案部署边界网络监控方案 • 在互联网/广域网出口需要部署IDS/分析软件 • 交换机上有可能有SPAN端口镜像功能 IDS/Analyzer 传统解决方案 传统解决方案1 – 端口镜像/SPAN SPANSPAN IDS/Analyzer 传统解决方案2 – 串接Hub Hub IDS/Analyzer 传统方案的问题传统方案的问题 •• SPANSPAN 解决方案解决方案 •• HubHub 方案方案 – 流量不能超过端口速率的50% – 产生数据包冲突 – 无法灵活选择需要监控分析的链路无法灵活选择需要监控分析的链路，大大 – 新增单新增单一故障点故障点 多路由器没有SPAN功能 – 网络服务质量下降 – 不能保证原始数据包顺序 – 无法适应千兆环境无法适应千兆环境 – 交换机负载高时会丢包 – Span会话（Session ）数的限制：2900一 个个，个两个，四个四个SESSIONSESSION – 某些故障数据包不能通过镜像获得 – 无法分辨进出方向无法分辨进出方向 Tap解决方案 Analyzer IDS 1X3 Aggregation Tap Probe 或 1X1 C.C‐E Cropper Tap Tap方案优势 • 链路失效安全处理 • 保证原始数据报顺序保证原始数据报顺序 • 支持多个监控设备 • 保留原始数据(包括错包、坏包) • 支持支持10// 100M、10// 100// 1000M、Optiicall  SX/LX/ZX 各类链路 （二）多条链路集中监控 • 需要部署IDS或分析系统监控多条局域网/广域网链路 • 链路类型包括链路类型包括10/100/1000M10/100/1000M • 交换机有SPAN功能 IDS/Analyzer 传统解决方案 传统解决方案1 ：SPAN 人工配置需要镜像的端口 IDS/Analyzer 传统解决方案2 ：采用更多分析系统利用1X1 TAP或SPAN进行接入