หากจะพูดถึงการตรวจสอบและวิเคราะห์ Network Traffic นั้น หลายๆ ท่าน อาจจะนึกถึง การทำ Span port หรือการทำ Mirror port แต่ทั้งนี้การทำ Span port หรือ Mirror Port นั้น ไม่สามารถการันตีได้ว่าจะได้รับข้อมูลในเน็ตเวิร์คทั้งหมด เพราะ Switch จัดลำดับความสำคัญของ Port ที่ Span ต่ำกว่า Port ที่ทำงานปกติ ดังนั้นในเวลาที่ CPU ของ Switch ทำงานหนัก จะทำให้ข้อมูลบางส่วนไม่ถูก Span มาด้วย

ในบางครั้งภายใน Network มีสัญญาณรบกวน เกิด Packet Drop หรือ error ขึ้น เมื่อมีการ re-transmit Packet ใหม่ ข้อมูลของ Packet ที่ Drop หรือ error นั้นจะไม่ถูก Span ออกไป ทำให้การใช้เครื่องมือ Monitor ทราฟฟิกไม่สามารถเห็นข้อมูลได้อย่างสมบูรณ์ว่ามีปัญหาอะไรเกิดขึ้นใน Network บ้าง ทำให้การวิเคราะห์ทราฟฟิกโดยวิธี Span หรือ Mirror อาจไม่ถูกต้องครบถ้วน ดังนั้นการวิเคราะห์และ Monitor ทราฟฟิกบนเครือข่ายให้ได้ข้อมูลที่ถูกต้องและสมบูรณ์ จะต้องใช้  Network TAP หรือเรียกสั้นๆ ว่า TAP เข้ามามีบทบาทในการคัดลอก Traffic ของเครือข่ายทั้งหมดโดยไม่ต้องทำการ Mirror Traffic จาก Switch อีกต่อไป

โดยทั่วไปแล้ว TAP จะมีพอร์ต 4 พอร์ต คือ A, B, C, D โดย พอร์ต A, B เป็น Network Port ที่เชื่อมต่อกับ Router หรือ Switch และพอร์ต C, D เป็น monitor port ที่เชื่อมต่อกับอุปกรณ์ที่เราต้องการ monitor traffic

tap01

TAP ในปัจจุบัน สามารถแบ่งออกได้เป็น 5 ประเภทหลักๆ ดังต่อไปนี้

1. Breakout TAP

tap01-breakout

จากภาพข้างต้น ได้ติดตั้ง Breakout TAP คั่นระหว่าง Router และ Switch ที่พอร์ต A และ B ตามลำดับ โดย

  • ทราฟฟิกที่วิ่งจากพอร์ต A ไปยังพอร์ต B จะถูก mirror หรือ copy ไปยังพอร์ต C
  • ทราฟฟิกที่วิ่งจากพอร์ต B ไปยังพอร์ต A จะถูก mirror หรือ copy ไปยังพอร์ต D

การใช้งาน Breakout TAP จะเห็นได้ว่ามีการแยก mirror ทราฟฟิกฝั่งขาเข้า (A ไป B) และฝั่งขาออก (B ไป A) แยกกันอย่างชัดเจน ซึ่งจะใช้ในกรณีที่มีทราฟฟิกบนเน็ตเวิร์คค่อนข้างสูงหรือหนาแน่น จึงจำเป็นต้องแยกพอร์ตสำหรับ mirror คนละพอร์ต เพราะหาก mirror รวมเป็นพอร์ตเดียวกัน อาจจะทำให้มีปริมาณทราฟฟิกสูงเกินกว่าที่พอร์ตเดียวจะรับได้

สำหรับอุปกรณ์ Monitoring ที่จะนำมาใช้ร่วมกับ Breakout TAP จะต้องมี Network Interface Card (NIC) อย่างน้อย 2 พอร์ต เพื่อรับทราฟฟิกจากทั้ง 2 ฝั่ง

2. Aggregation TAP

tap02-aggregation

Aggregation TAP จะรวมทราฟฟิกจากทั้ง 2 ฝั่ง คือ A ไป B และ B ไป A ส่งไปยังพอร์ต monitoring เพียงพอร์ตเดียว หากมีอุปกรณ์ monitoring หลายๆ ชุด เราสามารถใช้ Aggregation TAP นี้ส่งทราฟฟิกที่รวมกันไปยังอุปกรณ์หลายชุดพร้อมกันได้ โดยอุปกรณ์แต่ละชุดก็จะได้รับทราฟฟิกเหมือนกัน (จากภาพ คือ C และ D)

3. Replicating TAP

tap03-replicating

กรณีที่ลูกค้าต้องการ mirror ทราฟฟิกชุดเดียวกันไปยังอุปกรณ์หลายๆ ตัว แต่ไม่ต้องการติดตั้ง TAP แบบ Inline บนเน็ตเวิร์คก็สามารถใช้ Replicating TAP เข้ามาช่วยแก้ปัญหาได้ โดยการส่ง Mirror Traffic มายัง Replication TAP (จากรูป คือ พอร์ต A) จากนั้นทราฟฟิกจะถูกสำเนาไปยังอุปกรณ์ที่เชื่อมต่อยังพอร์ต B, C และ D พร้อมๆ กัน

4. Bypass TAP

tap04-bypass

Bypass TAP นำไปใช้ติดตั้งร่วมกับอุปกรณ์ Network ที่มีการวางแบบ Inline เช่น Firewall, IPS, DPI ฯลฯ เพื่อป้องกันในกรณีที่อุปกรณ์ Network มีปัญหา โดยเมื่ออุปกรณ์ที่วาง Inline มีปัญหาเกิดขึ้น Bypass TAP จะ bypass Traffic โดยอัตโนมัติ ช่วยลดปัญหา Network Downtime โดยในตัว Bypass TAP มีฟีเจอร์ bi-directional heart beat ในการตรวจสอบสถานะของ link ซึ่งสามารถตรวจสอบปัญหาที่เกิดขึ้นได้ และจะ Bypass Traffic อัตโนมัติ ทำให้สามารถใช้งานระบบต่อไปได้ และสามารถถอดอุปกรณ์ที่มีปัญหาไปแก้ไขได้โดยไม่มีผลกระทบกับระบบแต่อย่างใด และเมื่อแก้ไขอุปกรณ์เสร็จสิ้นก็สามารถนำกลับมาเชื่อมต่อได้โดยไม่ส่งผลกระทบต่อ Network เช่นกัน

5. Media Changing TAP

tap05-mediachanging

Media Changing TAP คือ TAP ที่สามารถ convert หรือแปลงสัญญาณข้อมูลจาก Link คนละประเภทกันได้ เช่น ในเน็ตเวิร์คลูกค้าใช้ link ประเภท Fiber Optic แต่อุปกรณ์ monitoring เป็นแบบ Copper ก็สามารถใช้ Media Changing TAP เข้ามาช่วยได้ ซึ่ง Garland มี TAP ที่สามารถแปลงสัญญาณได้หลากหลาย ไม่ว่าจะเป็น Single Mode, Multi Mode, SFP, Copper เป็นต้น

นอกเหนือจากประเภทของ TAP รูปแบบต่างๆ ที่ได้กล่าวถึงในบทความนี้แล้ว สิ่งสำคัญที่สุดที่เป็นหัวใจสำหรับ TAP ทุกประเภท ก็คือ เมื่อติดตั้ง TAP ในเน็ตเวิร์คแล้ว TAP จะต้องไม่เป็น Point of Failure นั่นหมายความว่าเมื่อเกิดปัญหาเกี่ยวกับ TAP จะต้องไม่ส่งผลกระทบต่อการใช้งาน โดยระบบเครือข่ายยังสามารถให้บริการได้ตามปกติ โดยเฉพาะอย่างยิ่งกรณีของ Bypass TAP ที่หากเกิดปัญหาบนอุปกรณ์ In-line Appliance แล้ว ทราฟฟิกบนเครือข่ายต้องสามารถใช้งานได้ตามปกติและไม่เกิดผลกระทบต่อลูกค้า ซึ่งทีมงาน NextWave จะได้กล่าวถึงรายละเอียดการทำงานในโอกาสต่อไป

ข้อมูลเพิ่มเติมเกี่ยวกับผลิตภัณฑ์ : http://www.garlandtechnology.com/

ผู้สนใจสามารถสอบถามข้อมูลเพิ่มเติม หรือต้องการ POC สามารถติดต่อคุณสาธิต 089-7711513 หรือที่อีเมล์ sale@nextwave.co.th