大家好，我是小月月，我又來給大家介紹網絡分流器（TAP）啦！

為什么說“又”呢？去年年初，小月月其實已經做了一次TAP的科普，還記得這篇文章么？

這一年多過去了，相信大家也和小月月一樣，又學到了不少新東西。知識需要不斷迭代，小月月的文章也會持續更新，今天我們就再來重新認識一下TAP分流器吧~

01 TAP都有哪幾種

TAP分流器是什么，想必大家已經有所了解了。從本質上來說，TAP是一種為各類網絡監控設備提供流量副本的產品。我們可以將TAP分為以下不同類型。

A.“原始型”TAP

下圖里的就是一款“原始型”的TAP分流器，它的全名叫做Throwing Star LAN TAP。

這種設備十分小巧，共有4個RJ45接口，使用也非常簡單：把J1和J2（黑色網口）串接到需要抓包的網絡中，J3和J4（藍色網口）分別復制流入和流出兩個方向的數據，連接抓包的設備即可。這種TAP甚至不需要通電就能工作。

這類TAP直接從物理層對數據進行了復制，操作簡單又便宜。但它就是太簡單了，沒有什么其他可以操作的空間。像分光器也可以歸為這個類別。

B.“標準型”TAP

“標準型”TAP就是市面上常見的通用型TAP分流器，如下圖：

這類TAP要比上面的“原始型”TAP智能得多，工作在L2-L4層，可以根據自定義的策略做數據分流、數據鏡像、流量過濾等。

鏡像復制 (多份輸出) 1對1、1對多

數據分流 (多條鏈路輸出)

匯聚輸出 (多條鏈路匯合) 多對1、多對多

篩選過濾 (特定流量輸出) IP、Port

通用型TAP可以部署在分析設備集群前，單臺設備一般最高可以支持400G的大流量場景。

C.“智慧型”TAP

“智慧型”TAP指的是Panabit網絡分流器，為什么說它是“智慧型”的呢？

Panabit應用分流器

Panabit作為國內優秀的DPI廠商，在網絡流量采集、流量過濾、流量分流等方面具備著先天的優勢。

與通用型TAP不同，Panabit工作在L7層，也就是說，Panabit能比一般的TAP看得更細更深。因此在通用型TAP的基礎上，Panabit還能基于應用做流量的按需分流或復制。

體現Panabit“智慧型”的另一方面，是Panabit可以實現流量的跨三層遠程鏡像，即遙測（Telemetery）。

這時候有人可能會說了，有些路由器或者交換機上也能做遠程鏡像啊，例如ERSPAN。

ERSPAN 是一種端口報文鏡像技術，它能夠將端口上的報文鏡像后，封裝為協議號為 0x88BE的 GRE 報文，并將其發送到遠端監控設備。用戶可以根據實際需求定義待鏡像的報文，例如鏡像 TCP 三次握手報文以便監控 TCP 連接建立情況、鏡像 RDMA 信令報文以便監控 RDMA 會話狀態。

確實，跨三層遠程鏡像本身不是一門新技術，不過不同于ERSPAN使用的GRE，Panabit則是通過自研的隧道協議iWAN來實現的。iWAN具備線路開銷小、重連速度快等特點，更適合作為遠程鏡像的隧道協議。

當然這不還是最主要的，剛才我們說過，Panabit工作在L7層，可以基于多種條件，特別是應用做靈活的流量復制。這一點同樣適用于遙測，即Panabit實現的是應用級的遙測。

另一方面，對于交換機&路由器來說，開啟ERSPAN很可能會造成設備性能不足，它們很多都是產品手冊有該功能，但現網設備卻不敢輕易開啟。

而Panabit則不存在這樣的問題。Panabit的性能小月月就不用多說了吧？如果對Panabit的性能有疑問的話，我們隨時歡迎大家進行測試。

如果對遙測還想了解更多的話，大家可以參考下面這篇文章。

網絡全量數據包抓取，是時候有第二種選擇

02 幾種TAP怎么用

關于TAP的使用，我想先請大家思考一個問題：我們為什么需要TAP這種設備呢？

這就要回到TAP的本質上來了，開頭我們說過，TAP的本質是一種為各類網絡監控設備提供流量副本的產品。也就是說，TAP是為網絡監控設備服務的，那么網絡監控設備又為什么需要TAP呢？

隨著網絡攻防雙方道高一尺魔高一丈的角逐，我們明顯發現需要部署的網絡安全設備變得越來越多了，再隨著近年來帶寬的指數級增長，如果在沒有TAP的情況下，我們的網絡很可能就會變成下面這樣：

有人會說，我用交換機端口鏡像可以解決的事，還需要TAP作甚？

那如果網絡監控設備再增加，交換機口子還夠用么？交換機的性能還扛得住么？專業的人做專業的事，TAP設備的必要性即是如此。

既然TAP是必要的，那我們又該如何使用呢？我們可以看下面這個例子。

? “原始型”TAP——分光器將原始流量忠實地復制給傳統TAP分流器集群

? “標準型”TAP——通用型TAP組成集群，將流量按端口重新組合發送給Panabit

? “智慧型”TAP——Panabit將流量按需向各類分析設備進行輸出

三種TAP各司其職、各盡其責，分光器、通用型TAP、Panabit分別做不同層面的流量復制。還是那句話，專業的人做專業的事，具體用哪種TAP，需要考慮做哪一層的流量復制：L1層用分光器等TAP；L2-L4層用通用型TAP；L7層則使用Panabit。當然這種層級的劃分并不是絕對的，高層的TAP可以向下兼容，例如Panabit其實也能夠勝任L2-L4層的場景，因此還是需要根據實際的情況來進行選擇。

從接口數量上來說，一般通用型TAP的接口較多，24、48口的都比較常見，而相對來說Panabit就沒有那么多的接口了。因此在4層以下，接口需求較多的情況下，通用型TAP會比較適合。

從設備性能上來說，Panabit支持100G以內的場景，而通用型TAP最高可以支持400G的場景，因此流量的大小也是選擇TAP的一個關鍵因素。

最后，從使用場景上來說，在本地的二層流量復制中，我們可以選擇通用型TAP。但如果涉及到了跨三層的流量復制，這時候就需要選擇Panabit了。比如下面幾個場景：

#場景一：大型網絡多分支數據采集+分析

#場景二：大型網絡內部匯聚節點數據采集+分析

#場景三：大型網絡云端數據采集+分析

對于諸如此類的場景，部署應用級遙測設備的意義如下圖：

03 總結

說了這么多，您是否對TAP分流器又有了新的認識呢？我們再來簡單總結一下今天的內容。

小月月語錄

1. TAP的本質是一種為各類網絡監控設備提供流量副本的產品

2. TAP可以分為三類：工作在L1層的“原始型”TAP、L2-L4層的“標準型”TAP和L7層的“智慧型”TAP

3. 接口需求多、超過100G的場景，適合用“標準型”TAP

4. 七層按需復制以及遙測的場景，需要使用Panabit

彩蛋

除了應用級TAP外，Panabit如今也推出了自己的"標準型"TAP分流器。

歡迎大家聯系選購！

更多精彩：

校園一卡通交易數據全留存

智能應用級彈性遙測，解決網絡全量分析的所有痛苦

有沒有一種負載均衡，買了還能省錢？