Въведение
Събирането и анализът на мрежовия трафик е най-ефективното средство за получаване на индикатори и параметри за поведение на потребителите в мрежата от първа ръка. С непрекъснатото подобряване на работата и поддръжката на центровете за данни, събирането и анализът на мрежовия трафик се превърнаха в неразделна част от инфраструктурата на центровете за данни. От сегашното използване в индустрията, събирането на мрежов трафик се осъществява най-вече чрез мрежово оборудване, поддържащо bypass traffic mirror. Събирането на трафик трябва да установи цялостно покритие, разумна и ефективна мрежа за събиране на трафик, като такова събиране на трафик може да помогне за оптимизиране на показателите за мрежова и бизнес ефективност и намаляване на вероятността от повреди.
Мрежата за събиране на трафик може да се разглежда като независима мрежа, съставена от устройства за събиране на трафик и разположена паралелно с производствената мрежа. Тя събира трафика на изображения от всяко мрежово устройство и го агрегира според регионалните и архитектурните нива. Използва алармата за обмен на филтриране на трафик в оборудването за събиране на трафик, за да реализира пълната скорост на линията на данните за 2-4 слоя условно филтриране, премахвайки дублиращи се пакети, отрязвайки пакети и извършвайки други разширени функционални операции, след което изпраща данните към всяка система за анализ на трафика. Мрежата за събиране на трафик може точно да изпраща специфични данни към всяко устройство според изискванията за данни на всяка система и да решава проблема с невъзможността за филтриране и изпращане на традиционните огледални данни, което изразходва производителността на обработката на мрежовите комутатори. В същото време, системата за филтриране и обмен на трафик на мрежата за събиране на трафик реализира филтрирането и препращането на данни с ниско забавяне и висока скорост, осигурява качеството на данните, събрани от мрежата за събиране на трафик, и осигурява добра основа от данни за последващото оборудване за анализ на трафика.
За да се намали въздействието върху оригиналната връзка, обикновено се получава копие на оригиналния трафик чрез разделяне на лъча, SPAN или TAP.
Пасивен мрежов разклонител (оптичен сплитер)
Начинът за използване на разделяне на светлината за получаване на копие на трафика изисква помощта на устройство за разделяне на светлината. Разделителят на светлината е пасивно оптично устройство, което може да преразпредели интензитета на мощността на оптичния сигнал в съответствие с необходимото съотношение. Разделителят може да разделя светлината от 1 към 2, от 1 към 4 и от 1 към множество канали. За да се намали въздействието върху оригиналната връзка, центровете за данни обикновено приемат съотношение на оптично разделяне 80:20, 70:30, при което 70:80% от оптичния сигнал се изпраща обратно към оригиналната връзка. Понастоящем оптичните разделители се използват широко в анализ на мрежовата производителност (NPM/APM), системи за одит, анализ на поведението на потребителите, откриване на мрежови прониквания и други сценарии.
Предимства:
1. Високонадеждно, пасивно оптично устройство;
2. Не заема порта на комутатора, независимо оборудване, последващо може да бъде добро разширение;
3. Няма нужда от промяна на конфигурацията на превключвателя, няма влияние върху друго оборудване;
4. Пълно събиране на трафик, без филтриране на пакети от комутатора, включително пакети за грешки и др.
Недостатъци:
1. Необходимостта от просто прекъсване на мрежата, свързване на оптични влакна към гръбначната връзка и набиране към оптичния сплитер ще намали оптичната мощност на някои гръбначни връзки.
SPAN (Огледало на порт)
SPAN е функция, която е част от самия комутатор, така че е необходимо само да се конфигурира на него. Тази функция обаче ще повлияе на производителността на комутатора и ще причини загуба на пакети, когато данните са претоварени.
Предимства:
1. Не е необходимо да добавяте допълнително оборудване, конфигурирайте превключвателя, за да увеличите съответния изходен порт за репликация на изображения
Недостатъци:
1. Заемете порта на комутатора
2. Комутаторите трябва да бъдат конфигурирани, което включва съвместна координация с производители от трети страни, увеличавайки потенциалния риск от мрежова повреда
3. Репликацията на огледален трафик оказва влияние върху производителността на портовете и комутаторите.
Активен мрежов TAP (TAP агрегатор)
Мрежовият TAP е външно мрежово устройство, което позволява огледално портиране и създава копие на трафика за използване от различни устройства за наблюдение. Тези устройства се поставят на място в мрежовия път, което трябва да се наблюдава, и копират IP пакетите с данни и ги изпращат към инструмента за мрежово наблюдение. Изборът на точка за достъп за мрежовия TAP уред зависи от фокуса на мрежовия трафик - причини за събиране на данни, рутинно наблюдение на анализ и закъснения, откриване на проникване и др. Мрежовите TAP устройства могат да събират и огледални потоци от данни със скорост от 1G до 100G.
Тези устройства осъществяват достъп до трафика, без мрежовото TAP устройство да променя потока на пакетите по какъвто и да е начин, независимо от скоростта на трафика на данни. Това означава, че мрежовият трафик не е обект на наблюдение и огледално отразяване на портове, което е от съществено значение за поддържане на целостта на данните при насочването им към инструменти за сигурност и анализ.
Това гарантира, че мрежовите периферни устройства наблюдават копията на трафика, така че мрежовите TAP устройства да действат като наблюдатели. Като предоставяте копие на вашите данни на всички свързани устройства, получавате пълна видимост в мрежовата точка. В случай на повреда на мрежово TAP устройство или устройство за наблюдение, знаете, че трафикът няма да бъде засегнат, което гарантира, че операционната система остава безопасна и достъпна.
В същото време, това се превръща в обща цел на мрежовите TAP устройства. Достъпът до пакети може да бъде осигурен винаги, без да се прекъсва трафикът в мрежата, а тези решения за видимост могат да се справят и с по-напреднали случаи. Нуждите за мониторинг на инструменти, вариращи от защитни стени от следващо поколение до защита от изтичане на данни, мониторинг на производителността на приложенията, SIEM, дигитална криминалистика, IPS, IDS и други, принуждават мрежовите TAP устройства да се развиват.
В допълнение към предоставянето на пълно копие на трафика и поддържането на наличност, TAP устройствата могат да предоставят следното.
1. Филтриране на пакети за максимизиране на производителността на мрежовия мониторинг
Само защото едно мрежово TAP устройство може да създаде 100% копие на пакет в даден момент, не означава, че всеки инструмент за наблюдение и сигурност трябва да вижда всичко. Стриймингът на трафик към всички инструменти за мрежово наблюдение и сигурност в реално време ще доведе само до пренареждане, което ще навреди на производителността на инструментите и мрежата в процеса.
Поставянето на правилното мрежово TAP устройство може да помогне за филтриране на пакети, когато се насочват към инструмента за наблюдение, разпределяйки правилните данни към правилния инструмент. Примери за такива инструменти включват системи за откриване на прониквания (IDS), предотвратяване на загуба на данни (DLP), управление на информация за сигурност и събития (SIEM), криминалистичен анализ и много други.
2. Агрегиране на връзки за ефективна работа в мрежа
С нарастването на изискванията за мрежов мониторинг и сигурност, мрежовите инженери трябва да намерят начини да използват съществуващите ИТ бюджети за изпълнение на повече задачи. Но в един момент не можете да продължавате да добавяте нови устройства към стека и да увеличавате сложността на мрежата си. От съществено значение е да се увеличи максимално използването на инструменти за мониторинг и сигурност.
Мрежовите TAP устройства могат да помогнат чрез агрегиране на множество мрежови трафики, насочени на изток и на запад, за да доставят пакети до свързани устройства през един порт. Разгръщането на инструменти за видимост по този начин ще намали броя на необходимите инструменти за наблюдение. Тъй като трафикът на данни от изток на запад продължава да расте в центровете за данни и между центровете за данни, изискването за мрежови TAP устройства е от съществено значение за поддържане на видимост на всички потоци от измерения в големи обеми данни.
Свързана статия, която може да ви е интересна, моля, посетете тук:Как да уловим мрежовия трафик? Network Tap срещу Port Mirror
Време на публикуване: 24 октомври 2024 г.
