Въведение
Събирането и анализирането на мрежовия трафик е най-ефективното средство за получаване на показатели и параметри за поведение на мрежовия потребител от първа ръка. С непрекъснатото подобряване на работата и поддръжката на центъра за данни Q, събирането и анализът на мрежовия трафик се превърнаха в незаменима част от инфраструктурата на центъра за данни. От текущата употреба в индустрията, събирането на мрежов трафик се осъществява най-вече от мрежово оборудване, поддържащо огледало за заобикалящ трафик. Събирането на трафик трябва да създаде цялостно покритие, разумна и ефективна мрежа за събиране на трафик, такова събиране на трафик може да помогне за оптимизиране на показателите за ефективност на мрежата и бизнеса и да намали вероятността от провал.
Мрежата за събиране на трафик може да се разглежда като независима мрежа, съставена от устройства за събиране на трафик и разположена успоредно с производствената мрежа. Той събира трафика на изображения на всяко мрежово устройство и агрегира трафика на изображения според регионалните и архитектурните нива. Той използва алармата за обмен на филтриране на трафик в оборудването за събиране на трафик, за да реализира пълната скорост на линията на данните за 2-4 слоя условно филтриране, премахване на дублиращи се пакети, съкращаване на пакети и други разширени функционални операции, и след това изпраща данните към всеки трафик система за анализ. Мрежата за събиране на трафик може точно да изпраща специфични данни до всяко устройство според изискванията за данни на всяка система и да реши проблема, че традиционните огледални данни не могат да бъдат филтрирани и изпратени, което изразходва производителността на обработка на мрежовите комутатори. В същото време механизмът за филтриране и обмен на трафик на мрежата за събиране на трафик реализира филтрирането и препращането на данни с ниско забавяне и висока скорост, гарантира качеството на данните, събрани от мрежата за събиране на трафик, и осигурява добра основа за данни за оборудване за последващ анализ на трафика.
За да се намали въздействието върху оригиналната връзка, обикновено се получава копие на оригиналния трафик чрез разделяне на лъча, SPAN или TAP.
Пасивен мрежов кран (оптичен сплитер)
Начинът за използване на разделяне на светлината за получаване на копие на трафика изисква помощта на устройство за разделяне на светлина. Светлинният сплитер е пасивно оптично устройство, което може да преразпределя интензитета на мощността на оптичния сигнал в съответствие с необходимата пропорция. Разделителят може да разделя светлината от 1 на 2, 1 на 4 и 1 на множество канали. За да се намали въздействието върху оригиналната връзка, центърът за данни обикновено приема съотношение на оптично разделяне 80:20, 70:30, при което 70,80 част от оптичния сигнал се изпраща обратно към оригиналната връзка. Понастоящем оптичните сплитери се използват широко в анализа на производителността на мрежата (NPM/APM), система за одит, анализ на поведението на потребителите, откриване на проникване в мрежа и други сценарии.
Предимства:
1. Висока надеждност, пасивно оптично устройство;
2. Не заема порта на комутатора, независимо оборудване, последващо може да бъде добро разширение;
3. Няма нужда да променяте конфигурацията на превключвателя, няма въздействие върху друго оборудване;
4. Пълно събиране на трафика, без филтриране на пакети за превключване, включително пакети за грешки и др.
Недостатъци:
1. Нуждата от просто прекъсване на мрежата, влакнесто свързване на опорната връзка и набиране към оптичния сплитер ще намали оптичната мощност на някои опорни връзки
SPAN (огледален порт)
SPAN е функция, която идва със самия превключвател, така че просто трябва да се конфигурира на превключвателя. Тази функция обаче ще повлияе на производителността на комутатора и ще доведе до загуба на пакети, когато данните са претоварени.
Предимства:
1. Не е необходимо да добавяте допълнително оборудване, конфигурирайте превключвателя, за да увеличите съответния изходен порт за репликация на изображение
Недостатъци:
1. Заемете порта на комутатора
2. Превключвателите трябва да бъдат конфигурирани, което включва съвместна координация с производители трети страни, увеличавайки потенциалния риск от повреда на мрежата
3. Репликацията на огледален трафик оказва влияние върху производителността на порта и комутатора.
Активна мрежа TAP (TAP агрегатор)
Мрежовият TAP е външно мрежово устройство, което позволява дублиране на портове и създава копие на трафика за използване от различни устройства за наблюдение. Тези устройства се въвеждат на място в мрежовия път, което трябва да се наблюдава, и то копира IP пакетите с данни и ги изпраща към инструмента за наблюдение на мрежата. Изборът на точка за достъп за мрежовото TAP устройство зависи от фокуса на мрежовия трафик - причини за събиране на данни, рутинно наблюдение на анализи и закъснения, откриване на проникване и т.н. Мрежовите TAP устройства могат да събират и отразяват потоци от данни при 1G скорост до 100гр.
Тези устройства имат достъп до трафик, без мрежовото TAP устройство да променя потока на пакетите по какъвто и да е начин, независимо от скоростта на трафика на данни. Това означава, че мрежовият трафик не подлежи на наблюдение и дублиране на портове, което е от съществено значение за поддържане на целостта на данните при маршрутизирането им към инструменти за сигурност и анализ.
Той гарантира, че мрежовите периферни устройства наблюдават копията на трафика, така че мрежовите TAP устройства да действат като наблюдатели. Като подадете копие на вашите данни към което и да е/всички свързани устройства, вие получавате пълна видимост в мрежовата точка. В случай, че мрежово TAP устройство или устройство за наблюдение се повреди, знаете, че трафикът няма да бъде засегнат, като се гарантира, че операционната система остава безопасна и налична.
В същото време той става общата цел на мрежовите TAP устройства. Достъпът до пакети винаги може да бъде осигурен без прекъсване на трафика в мрежата и тези решения за видимост могат да се справят и с по-напреднали случаи. Нуждите от мониторинг на инструменти, вариращи от защитни стени от следващо поколение до защита от изтичане на данни, мониторинг на производителността на приложенията, SIEM, цифрова криминалистика, IPS, IDS и други, принуждават мрежовите TAP устройства да се развиват.
В допълнение към предоставянето на пълно копие на трафика и поддържането на наличност, TAP устройствата могат да предоставят следното.
1. Филтрирайте пакетите, за да увеличите максимално ефективността на мрежовия мониторинг
Само защото мрежово TAP устройство може да създаде 100% копие на пакет в даден момент, не означава, че всеки инструмент за наблюдение и сигурност трябва да вижда всичко. Поточното предаване на трафик към всички инструменти за наблюдение и сигурност на мрежата в реално време ще доведе само до пренареждане, което ще навреди на производителността на инструментите и мрежата в процеса.
Поставянето на правилното мрежово TAP устройство може да помогне за филтриране на пакети, когато се насочват към инструмента за наблюдение, разпределяйки правилните данни към правилния инструмент. Примери за такива инструменти включват системи за откриване на проникване (IDS), предотвратяване на загуба на данни (DLP), информация за сигурността и управление на събития (SIEM), криминалистичен анализ и много други.
2. Обединени връзки за ефективна работа в мрежа
Тъй като изискванията за мрежово наблюдение и сигурност се увеличават, мрежовите инженери трябва да намерят начини да използват съществуващите ИТ бюджети, за да изпълняват повече задачи. Но в един момент не можете да продължите да добавяте нови устройства към стека и да увеличавате сложността на вашата мрежа. От съществено значение е да се увеличи максимално използването на инструменти за наблюдение и сигурност.
Мрежовите TAP устройства могат да помогнат чрез агрегиране на множество мрежови трафик, на изток и на запад, за да доставят пакети до свързани устройства през един порт. Внедряването на инструменти за видимост по този начин ще намали броя на необходимите инструменти за наблюдение. Тъй като трафикът на данни Изток-Запад продължава да расте в центровете за данни и между центровете за данни, изискването за мрежови TAP устройства е от съществено значение за поддържане на видимостта на всички измерения на потоците в големи обеми данни.
Свързана статия, която може да ви е интересна, моля, посетете тук:Как да улавя мрежовия трафик? Network Tap срещу Port Mirror
Време на публикуване: 24 октомври 2024 г
