Введение
Сбор и анализ сетевого трафика — наиболее эффективный способ получения первичных данных о поведении и параметрах пользователей сети. Благодаря постоянному совершенствованию эксплуатации и обслуживания центров обработки данных (Q), сбор и анализ сетевого трафика стали неотъемлемой частью инфраструктуры центров обработки данных. В настоящее время сбор сетевого трафика в отрасли в основном осуществляется сетевым оборудованием, поддерживающим обходное зеркалирование трафика. Для сбора трафика необходимо обеспечить полное покрытие, разумную и эффективную сеть сбора трафика. Такой сбор трафика может помочь оптимизировать показатели сети и производительности бизнеса, а также снизить вероятность сбоев.
Сеть сбора трафика можно рассматривать как независимую сеть, состоящую из устройств сбора трафика, развернутую параллельно с производственной сетью. Она собирает трафик изображений каждого сетевого устройства и агрегирует его в соответствии с региональными и архитектурными уровнями. Она использует сигнализацию обмена фильтрацией трафика в оборудовании сбора трафика для реализации полной линейной скорости данных для 2-4 уровней условной фильтрации, удаления дубликатов пакетов, усечения пакетов и других расширенных функциональных операций, а затем отправляет данные в каждую систему анализа трафика. Сеть сбора трафика может точно отправлять определенные данные каждому устройству в соответствии с требованиями к данным каждой системы, решая проблему невозможности фильтрации и отправки традиционных зеркальных данных, что потребляет вычислительную мощность сетевых коммутаторов. В то же время, механизм фильтрации и обмена трафиком сети сбора трафика реализует фильтрацию и пересылку данных с низкой задержкой и высокой скоростью, обеспечивая качество данных, собираемых сетью сбора трафика, и предоставляя хорошую основу для последующего оборудования анализа трафика.
Чтобы снизить влияние на исходный канал, копия исходного трафика обычно получается с помощью разделения луча, SPAN или TAP.
Пассивный сетевой ответвитель (оптический разветвитель)
Для получения копии трафика с помощью разделения света требуется устройство-разветвитель. Разветвитель – это пассивное оптическое устройство, способное перераспределять интенсивность мощности оптического сигнала в требуемой пропорции. Разветвитель может разделять световой поток с 1 на 2, с 1 на 4 и с 1 на несколько каналов. Чтобы снизить влияние на исходный канал, в центрах обработки данных обычно используется соотношение оптического разделения 80:20 и 70:30, при котором 70:80 оптического сигнала возвращается в исходный канал. В настоящее время оптические разветвители широко используются в системах анализа производительности сетей (NPM/APM), системах аудита, анализа поведения пользователей, обнаружения сетевых вторжений и других задачах.
Преимущества:
1. Высокая надежность, пассивное оптическое устройство;
2. Не занимает порт коммутатора, независимое оборудование, в дальнейшем может быть хорошо расширен;
3. Не нужно менять конфигурацию коммутатора, не влияет на другое оборудование;
4. Полный сбор трафика, отсутствие фильтрации пакетов коммутатора, включая пакеты с ошибками и т. д.
Недостатки:
1. Необходимость простого переключения сети, подключения оптоволоконного кабеля к магистральной линии и подключения к оптическому разветвителю приведет к снижению оптической мощности некоторых магистральных линий.
SPAN (зеркало портов)
SPAN — это функция, встроенная в сам коммутатор, поэтому её достаточно настроить на нём. Однако эта функция может повлиять на производительность коммутатора и привести к потере пакетов при перегрузке данных.
Преимущества:
1. Не нужно добавлять дополнительное оборудование, настройте коммутатор на увеличение соответствующего выходного порта репликации образов.
Недостатки:
1. Занять порт коммутатора
2. Необходимо настроить коммутаторы, что подразумевает совместную координацию со сторонними производителями, что увеличивает потенциальный риск сбоя сети.
3. Зеркальная репликация трафика влияет на производительность портов и коммутаторов.
Активный сетевой TAP (агрегатор TAP)
Сетевое устройство ответвления трафика (Network TAP) — это внешнее сетевое устройство, которое обеспечивает зеркалирование портов и создаёт копию трафика для использования различными устройствами мониторинга. Эти устройства устанавливаются в точке сетевого пути, требующей наблюдения, копируют IP-пакеты данных и отправляют их в средство мониторинга сети. Выбор точки доступа для сетевого устройства ответвления трафика зависит от цели сбора данных, планового мониторинга анализа и задержек, обнаружения вторжений и т. д. Сетевые устройства ответвления трафика могут собирать и зеркалировать потоки данных со скоростью от 1 Гбит/с до 100 Гбит/с.
Эти устройства получают доступ к трафику без какого-либо изменения потока пакетов со стороны сетевого устройства TAP, независимо от скорости передачи данных. Это означает, что сетевой трафик не подвергается мониторингу и зеркалированию портов, что крайне важно для сохранения целостности данных при их маршрутизации к средствам безопасности и анализа.
Он обеспечивает мониторинг копий трафика периферийными сетевыми устройствами, благодаря чему сетевые TAP-устройства действуют как наблюдатели. Передавая копию данных любому/всем подключенным устройствам, вы получаете полный контроль над всей сетью. В случае сбоя сетевого TAP-устройства или устройства мониторинга вы можете быть уверены, что трафик не пострадает, что гарантирует безопасность и доступность операционной системы.
В то же время он становится основной целью сетевых устройств TAP. Доступ к пакетам всегда может быть обеспечен без прерывания трафика в сети, и эти решения для обеспечения видимости способны решать и более сложные задачи. Потребности в мониторинге, возникающие при использовании различных инструментов, от межсетевых экранов нового поколения до защиты от утечек данных, мониторинга производительности приложений, SIEM, цифровой криминалистики, IPS, IDS и других, обуславливают развитие сетевых устройств TAP.
Помимо предоставления полной копии трафика и поддержания доступности, устройства TAP могут обеспечить следующее.
1. Фильтрация пакетов для максимизации производительности мониторинга сети
Тот факт, что сетевое устройство TAP может в какой-то момент создать 100% копию пакета, не означает, что каждый инструмент мониторинга и безопасности должен видеть его целиком. Потоковая передача трафика всем инструментам мониторинга и безопасности сети в режиме реального времени приведёт лишь к переупорядочиванию, что снизит производительность инструментов и сети в целом.
Правильное размещение сетевого ответвителя (Network TAP) может помочь фильтровать пакеты при маршрутизации к инструменту мониторинга, передавая нужные данные нужному инструменту. Примерами таких инструментов являются системы обнаружения вторжений (IDS), системы предотвращения потерь данных (DLP), системы управления информацией и событиями безопасности (SIEM), системы криминалистического анализа и многие другие.
2. Объединение ссылок для эффективного взаимодействия
По мере роста требований к мониторингу и безопасности сети сетевым инженерам приходится искать способы использования имеющихся ИТ-бюджетов для выполнения большего количества задач. Но в какой-то момент становится невозможно постоянно добавлять новые устройства и усложнять сеть. Крайне важно максимально эффективно использовать инструменты мониторинга и безопасности.
Сетевые устройства TAP могут помочь, агрегируя множественный сетевой трафик, как восточный, так и западный, для доставки пакетов подключенным устройствам через один порт. Развертывание инструментов мониторинга таким образом сократит количество необходимых инструментов мониторинга. Поскольку трафик данных «восток-запад» продолжает расти в центрах обработки данных и между ними, сетевые устройства TAP становятся критически важными для обеспечения видимости всех потоков данных в больших объемах.
Соответствующая статья, которая может вас заинтересовать, перейдите по ссылке:Как перехватывать сетевой трафик? Сетевой перехват и зеркалирование портов
Время публикации: 24 октября 2024 г.
