Введение
Сбор и анализ сетевого трафика является наиболее эффективным средством для получения показателей и параметров поведения пользователя сети из первых рук. С постоянным совершенствованием эксплуатации и обслуживания центра обработки данных Q сбор и анализ сетевого трафика стали неотъемлемой частью инфраструктуры центра обработки данных. Из текущего использования в отрасли сбор сетевого трафика в основном реализуется сетевым оборудованием, поддерживающим обходное зеркало трафика. Сбор трафика должен установить всеобъемлющее покрытие, разумную и эффективную сеть сбора трафика, такой сбор трафика может помочь оптимизировать показатели производительности сети и бизнеса и снизить вероятность сбоя.
Сеть сбора трафика можно рассматривать как независимую сеть, состоящую из устройств сбора трафика и развернутую параллельно с производственной сетью. Она собирает трафик изображения каждого сетевого устройства и агрегирует трафик изображения в соответствии с региональным и архитектурным уровнями. Она использует сигнализацию обмена фильтрацией трафика в оборудовании сбора трафика для реализации полной скорости линии данных для 2-4 уровней условной фильтрации, удаления дубликатов пакетов, усечения пакетов и других расширенных функциональных операций, а затем отправляет данные в каждую систему анализа трафика. Сеть сбора трафика может точно отправлять определенные данные на каждое устройство в соответствии с требованиями к данным каждой системы и решать проблему, связанную с тем, что традиционные зеркальные данные не могут быть отфильтрованы и отправлены, что потребляет производительность обработки сетевых коммутаторов. В то же время механизм фильтрации и обмена трафиком сети сбора трафика реализует фильтрацию и пересылку данных с малой задержкой и высокой скоростью, обеспечивает качество данных, собранных сетью сбора трафика, и обеспечивает хорошую основу данных для последующего оборудования анализа трафика.
Чтобы уменьшить влияние на исходный канал, копию исходного трафика обычно получают с помощью разделения луча, SPAN или TAP.
Пассивный сетевой ответвитель (оптический разветвитель)
Способ использования разделения света для получения копии трафика требует помощи устройства разделения света. Разделитель света - это пассивное оптическое устройство, которое может перераспределять интенсивность мощности оптического сигнала в соответствии с требуемой пропорцией. Разделитель может разделять свет с 1 на 2, с 1 на 4 и с 1 на несколько каналов. Чтобы уменьшить влияние на исходный канал, центр обработки данных обычно принимает оптическое соотношение разделения 80:20, 70:30, при котором 70,80 часть оптического сигнала отправляется обратно в исходный канал. В настоящее время оптические разделители широко используются в анализе производительности сети (NPM/APM), системе аудита, анализе поведения пользователей, обнаружении вторжений в сеть и других сценариях.
Преимущества:
1. Высокая надежность, пассивное оптическое устройство;
2. Не занимает порт коммутатора, независимое оборудование, впоследствии может быть хорошо расширено;
3. Нет необходимости изменять конфигурацию коммутатора, не влияет на другое оборудование;
4. Полный сбор трафика, без фильтрации пакетов коммутатора, включая пакеты с ошибками и т. д.
Недостатки:
1. Необходимость простого переключения сети, подключения оптоволоконного кабеля к магистральной линии и подключения к оптическому разветвителю приведет к снижению оптической мощности некоторых магистральных линий.
SPAN (зеркало порта)
SPAN — это функция, которая поставляется с самим коммутатором, поэтому ее просто нужно настроить на коммутаторе. Однако эта функция повлияет на производительность коммутатора и приведет к потере пакетов при перегрузке данных.
Преимущества:
1. Нет необходимости добавлять дополнительное оборудование, настройте коммутатор для увеличения соответствующего выходного порта репликации образа
Недостатки:
1. Занять порт коммутатора
2. Необходимо настроить коммутаторы, что подразумевает совместную координацию со сторонними производителями, что увеличивает потенциальный риск сбоя сети.
3. Зеркальная репликация трафика влияет на производительность портов и коммутаторов.
Активный сетевой TAP (агрегатор TAP)
Сетевой TAP — это внешнее сетевое устройство, которое обеспечивает зеркалирование портов и создает копию трафика для использования различными устройствами мониторинга. Эти устройства вводятся в место на сетевом пути, которое необходимо отслеживать, и копируют IP-пакеты данных и отправляют их в инструмент сетевого мониторинга. Выбор точки доступа для сетевого TAP-устройства зависит от направленности сетевого трафика — причины сбора данных, рутинный мониторинг анализа и задержек, обнаружение вторжений и т. д. Сетевые TAP-устройства могут собирать и зеркалировать потоки данных со скоростью 1G до 100G.
Эти устройства получают доступ к трафику без сетевого устройства TAP, которое каким-либо образом изменяет поток пакетов, независимо от скорости трафика данных. Это означает, что сетевой трафик не подлежит мониторингу и зеркалированию портов, что необходимо для поддержания целостности данных при их маршрутизации в инструменты безопасности и анализа.
Он гарантирует, что сетевые периферийные устройства контролируют копии трафика, так что сетевые устройства TAP действуют как наблюдатели. Передавая копию своих данных любому/всем подключенным устройствам, вы получаете полную видимость в точке сети. В случае сбоя сетевого устройства TAP или устройства мониторинга вы знаете, что трафик не будет затронут, гарантируя, что операционная система останется безопасной и доступной.
В то же время он становится общей целью сетевых устройств TAP. Доступ к пакетам всегда может быть предоставлен без прерывания трафика в сети, и эти решения видимости могут также решать более сложные случаи. Потребности мониторинга инструментов, начиная от брандмауэров следующего поколения до защиты от утечки данных, мониторинга производительности приложений, SIEM, цифровой криминалистики, IPS, IDS и т. д., заставляют сетевые устройства TAP развиваться.
Помимо предоставления полной копии трафика и поддержания доступности, устройства TAP могут обеспечить следующее.
1. Фильтрация пакетов для максимизации производительности мониторинга сети
То, что устройство Network TAP может создать 100% копию пакета в какой-то момент, не означает, что каждый инструмент мониторинга и безопасности должен видеть все это. Потоковая передача трафика всем инструментам мониторинга и безопасности сети в реальном времени приведет только к переупорядочиванию, что нанесет ущерб производительности инструментов и сети в процессе.
Размещение правильного сетевого устройства TAP может помочь отфильтровать пакеты при маршрутизации к инструменту мониторинга, распределяя нужные данные по нужному инструменту. Примерами таких инструментов являются системы обнаружения вторжений (IDS), предотвращение потери данных (DLP), управление информацией и событиями безопасности (SIEM), криминалистический анализ и многое другое.
2. Объединяйте ссылки для эффективного взаимодействия
По мере роста требований к мониторингу и безопасности сети сетевые инженеры должны найти способы использования существующих ИТ-бюджетов для выполнения большего количества задач. Но в какой-то момент вы не сможете продолжать добавлять новые устройства в стек и увеличивать сложность вашей сети. Важно максимально использовать инструменты мониторинга и безопасности.
Сетевые устройства TAP могут помочь, агрегируя множественный сетевой трафик, восточный и западный, для доставки пакетов на подключенные устройства через один порт. Развертывание инструментов видимости таким образом сократит количество необходимых инструментов мониторинга. Поскольку трафик данных Восток-Запад продолжает расти в центрах обработки данных и между центрами обработки данных, потребность в сетевых устройствах TAP становится существенной для поддержания видимости всех размерных потоков в больших объемах данных.
Сопутствующая статья, которая может вас заинтересовать, пожалуйста, посетите здесь:Как перехватить сетевой трафик? Сетевой перехват против зеркалирования портов
Время публикации: 24-окт-2024
