Введение
Сбор и анализ сетевого трафика являются наиболее эффективным средством получения показателей и параметров поведения пользователей сети из первых рук. Благодаря постоянному совершенствованию эксплуатации и обслуживания центров обработки данных Q, сбор и анализ сетевого трафика стали неотъемлемой частью инфраструктуры центра обработки данных. В настоящее время в отрасли сбор сетевого трафика в основном осуществляется с помощью сетевого оборудования, поддерживающего обход зеркала трафика. Для сбора трафика необходимо создать всеобъемлющий охват, разумную и эффективную сеть сбора трафика. Такой сбор трафика может помочь оптимизировать показатели производительности сети и бизнеса и снизить вероятность сбоя.
Сеть сбора трафика можно рассматривать как независимую сеть, состоящую из устройств сбора трафика и развернутую параллельно с производственной сетью. Он собирает трафик изображений каждого сетевого устройства и агрегирует трафик изображений в соответствии с региональным и архитектурным уровнями. Он использует сигнализацию обмена при фильтрации трафика в оборудовании сбора трафика, чтобы реализовать полную скорость передачи данных для 2-4 уровней условной фильтрации, удаления дубликатов пакетов, усечения пакетов и других расширенных функциональных операций, а затем отправляет данные каждому трафику. система анализа. Сеть сбора трафика может точно отправлять конкретные данные на каждое устройство в соответствии с требованиями к данным каждой системы и решать проблему, заключающуюся в том, что традиционные зеркальные данные не могут быть отфильтрованы и отправлены, что снижает производительность обработки сетевых коммутаторов. В то же время механизм фильтрации и обмена трафика сети сбора трафика реализует фильтрацию и пересылку данных с низкой задержкой и высокой скоростью, обеспечивает качество данных, собираемых сетью сбора трафика, и обеспечивает хорошую основу данных для последующее оборудование для анализа трафика.
Чтобы уменьшить влияние на исходный канал, копию исходного трафика обычно получают с помощью разделения луча, SPAN или TAP.
Пассивный сетевой ответвитель (оптический разветвитель)
Способ использования разделения света для получения копии трафика требует использования устройства разделения света. Светоделитель представляет собой пассивное оптическое устройство, способное перераспределять интенсивность мощности оптического сигнала в соответствии с необходимой пропорцией. Сплиттер может разделить свет от 1 до 2, от 1 до 4 и от 1 до нескольких каналов. Чтобы уменьшить влияние на исходный канал, центр обработки данных обычно использует коэффициент оптического разделения 80:20, 70:30, при котором 70,80 пропорций оптического сигнала отправляется обратно в исходный канал. В настоящее время оптические разветвители широко используются в анализе производительности сети (NPM/APM), системе аудита, анализе поведения пользователей, обнаружении сетевых вторжений и других сценариях.
Преимущества:
1. Высокая надежность, пассивное оптическое устройство;
2. Не занимает порт коммутатора, независимое оборудование, последующее может быть хорошим расширением;
3. Нет необходимости изменять конфигурацию коммутатора, никакого влияния на другое оборудование;
4. Полный сбор трафика, отсутствие фильтрации пакетов коммутатора, включая пакеты ошибок и т. д.
Недостатки:
1. Необходимость простого переключения сети, подключения оптоволокна к магистральному каналу и подключения к оптическому сплиттеру приведет к снижению оптической мощности некоторых магистральных каналов.
SPAN (зеркало порта)
SPAN — это функция, которая поставляется с самим коммутатором, поэтому ее просто нужно настроить на коммутаторе. Однако эта функция повлияет на производительность коммутатора и приведет к потере пакетов при перегрузке данных.
Преимущества:
1. Нет необходимости добавлять дополнительное оборудование, настройте коммутатор для увеличения соответствующего выходного порта репликации изображения.
Недостатки:
1. Займите порт коммутатора
2. Коммутаторы требуют настройки, что предполагает совместную координацию со сторонними производителями, что увеличивает потенциальный риск сбоя сети.
3. Зеркальная репликация трафика влияет на производительность портов и коммутаторов.
Активная сеть TAP (агрегатор TAP)
Сетевой TAP — это внешнее сетевое устройство, которое обеспечивает зеркалирование портов и создает копию трафика для использования различными устройствами мониторинга. Эти устройства вводятся в то место сетевого пути, которое необходимо наблюдать, и копируют IP-пакеты данных и отправляют их в инструмент сетевого мониторинга. Выбор точки доступа для устройства Network TAP зависит от направленности сетевого трафика — причин сбора данных, регулярного мониторинга анализа и задержек, обнаружения вторжений и т. д. Сетевые устройства TAP могут собирать и зеркалировать потоки данных со скоростью 1G до 100Г.
Эти устройства получают доступ к трафику без того, чтобы сетевое TAP-устройство каким-либо образом изменяло поток пакетов, независимо от скорости трафика данных. Это означает, что сетевой трафик не подлежит мониторингу и зеркалированию портов, что важно для поддержания целостности данных при их маршрутизации к инструментам безопасности и анализа.
Это гарантирует, что сетевые периферийные устройства отслеживают копии трафика, чтобы сетевые TAP-устройства выступали в качестве наблюдателей. Передавая копию своих данных на любое/все подключенные устройства, вы получаете полную видимость в точке сети. В случае сбоя сетевого TAP-устройства или устройства мониторинга вы знаете, что трафик не пострадает, а операционная система останется безопасной и доступной.
В то же время он становится общей целью сетевых TAP-устройств. Доступ к пакетам всегда может быть предоставлен без прерывания трафика в сети, и эти решения по обеспечению видимости также могут решать более сложные случаи. Потребности в мониторинге различных инструментов, от брандмауэров нового поколения до защиты от утечки данных, мониторинга производительности приложений, SIEM, цифровой криминалистики, IPS, IDS и т. д., заставляют развиваться сетевые TAP-устройства.
Помимо предоставления полной копии трафика и поддержания доступности, устройства TAP могут обеспечивать следующее.
1. Фильтрация пакетов для максимизации производительности сетевого мониторинга
Тот факт, что сетевое TAP-устройство может в какой-то момент создать 100% копию пакета, не означает, что каждый инструмент мониторинга и безопасности должен видеть все это целиком. Потоковая передача трафика ко всем инструментам сетевого мониторинга и безопасности в режиме реального времени приведет только к переупорядочению, что ухудшит производительность инструментов и сети в процессе.
Размещение правильного сетевого TAP-устройства может помочь фильтровать пакеты при их маршрутизации к инструменту мониторинга, передавая нужные данные нужному инструменту. Примеры таких инструментов включают системы обнаружения вторжений (IDS), предотвращение потери данных (DLP), управление информацией безопасности и событиями (SIEM), судебно-медицинский анализ и многие другие.
2. Объединение ссылок для эффективной работы в сети
Поскольку требования к сетевому мониторингу и безопасности растут, сетевые инженеры должны найти способы использовать существующие ИТ-бюджеты для выполнения большего количества задач. Но в какой-то момент вы не сможете продолжать добавлять в стек новые устройства и увеличивать сложность вашей сети. Крайне важно максимально эффективно использовать инструменты мониторинга и безопасности.
Сетевые TAP-устройства могут помочь, агрегируя множественный сетевой трафик в восточном и западном направлении, чтобы доставлять пакеты подключенным устройствам через один порт. Развертывание инструментов видимости таким образом уменьшит количество необходимых инструментов мониторинга. Поскольку трафик данных Восток-Запад продолжает расти в центрах обработки данных и между центрами обработки данных, потребность в сетевых устройствах TAP имеет важное значение для обеспечения видимости всех размерных потоков в больших объемах данных.
Соответствующая статья может вам быть интересна, пожалуйста, посетите здесь:Как захватывать сетевой трафик? Сетевой перехват против зеркала портов
Время публикации: 24 октября 2024 г.