Введение
Сбор и анализ сетевого трафика является наиболее эффективным средством для получения индикаторов и параметров поведения пользователей из первой руки. Благодаря постоянному улучшению работы и технического обслуживания центра обработки данных, сбор и анализ сетевого трафика стали незаменимой частью инфраструктуры центра обработки данных. Из текущего использования в отрасли сбор сетевого трафика в основном реализуется сетевым оборудованием, поддерживающим обходное зеркало трафика. Сбор трафика должен установить комплексное покрытие, разумную и эффективную сеть сбора трафика, такой сбор трафика может помочь оптимизировать индикаторы производительности сети и бизнеса и снизить вероятность сбоя.
Сеть сбора трафика может рассматриваться как независимая сеть, состоящая из устройств сбора трафика и развернута параллельно с производственной сетью. Он собирает трафик изображения каждого сетевого устройства и объединяет трафик изображения в соответствии с региональными и архитектурными уровнями. Он использует обменную сигнализацию фильтрации трафика в оборудовании для приобретения трафика, чтобы реализовать полную скорость линии данных для 2-4 слоев условной фильтрации, удаления дублирующих пакетов, усеченных пакетов и других расширенных функциональных операций, а затем отправляет данные в каждую систему анализа трафика. Сеть сбора трафика может точно отправлять конкретные данные на каждое устройство в соответствии с требованиями данных каждой системы и решать проблему, которую традиционные зеркальные данные не могут быть отфильтрованы и отправлены, что потребляет производительность обработки сетевых коммутаторов. В то же время двигатель фильтрации и обмена трафика в сети сбора трафика реализует фильтрацию и пересылку данных с низкой задержкой и высокой скоростью, обеспечивает качество данных, собранных сетью сбора трафика, и обеспечивает хорошую основу данных для последующего оборудования для анализа трафика.
Чтобы уменьшить воздействие на исходную ссылку, копия исходного трафика обычно получается посредством расщепления луча, пролета или нажатия.
Пассивный сетевой нажатие (оптический сплиттер)
Способ использования расщепления света для получения копии трафика требует помощи устройства света. Светочный разветвитель - это пассивное оптическое устройство, которое может перераспределить интенсивность мощности оптического сигнала в соответствии с требуемой пропорцией. Сплиттер может разделить свет от 1 до 2,1 до 4 и 1 на несколько каналов. Чтобы уменьшить влияние на исходную ссылку, центр обработки данных обычно принимает коэффициент оптического расщепления 80:20, 70:30, в котором 70,80 доля оптического сигнала отправляются обратно на исходную ссылку. В настоящее время оптические сплиттеры широко используются в анализе сетевой производительности (NPM/APM), системе аудита, анализе поведения пользователей, обнаружению вторжения сети и других сценариям.
Преимущества:
1. Высокая надежность, пассивное оптическое устройство;
2. не занимает порт коммутатора, независимое оборудование, последующее может быть хорошим расширением;
3. Нет необходимости изменять конфигурацию переключателя, без влияния на другое оборудование;
4. Полный сбор трафика, отсутствие фильтрации пакетов коммутатора, включая пакеты ошибок и т. Д.
Недостатки:
1. Потребность в простой сетевой обрезании, оптоволоконной подключке и наболе для оптического разветвления
SPAN (портовое зеркало)
SPAN - это функция, которая поставляется с самим выключателем, поэтому его просто нужно настроить на коммутаторе. Тем не менее, эта функция повлияет на производительность коммутатора и вызовет потерю пакетов при перегрузке данных.
Преимущества:
1. Нет необходимости добавлять дополнительное оборудование, настроить переключатель, чтобы увеличить соответствующий выходной порт репликации изображения
Недостатки:
1. Занимайте порт коммутатора
2. Необходимо настроить переключатели, что включает в себя совместную координацию со сторонними производителями, увеличивая потенциальный риск отказа сети
3. Зеркальная репликация трафика оказывает влияние на производительность порта и переключения.
Active Network Tap (нажмите агрегатор)
Сеть Tap - это внешнее сетевое устройство, которое позволяет отражать порт и создает копию трафика для использования различными устройствами мониторинга. Эти устройства вводятся в месте в сетевом пути, которое необходимо наблюдать, и они копируют пакеты IP Data и отправляют их в инструмент мониторинга сети. Выбор точки доступа для сетевого устройства TAP зависит от фокуса сетевого трафика -даты сбора данных, обычного мониторинга анализа и задержек, обнаружения вторжений и т. Д. Устройства сети могут собирать и отражать потоки данных со скоростью 1G до 100 г.
Эти устройства получают доступ к трафику без сетевого устройства TAP, который каким -либо образом изменяет поток пакетов, независимо от скорости трафика данных. Это означает, что сетевой трафик не подлежит мониторингу и зеркалированию порта, что важно для поддержания целостности данных при маршрутизации их в инструментах безопасности и анализа.
Это гарантирует, что сетевые периферийные устройства отслеживают копии трафика, чтобы сетевые устройства на TAP действовали как наблюдатели. Подав копию ваших данных любым/всем подключенным устройствам, вы получаете полную видимость в сетевой точке. В случае сбоя сетевого нажатия устройства или устройства мониторинга, вы знаете, что трафик не будет затронут, гарантируя, что операционная система остается безопасной и доступной.
В то же время это становится общей целью сетевых устройств Tap. Доступ к пакетам всегда может быть предоставлен без прерывания трафика в сети, и эти решения для видимости также могут решать более продвинутые случаи. Потребности мониторинга инструментов, начиная от брандмауэров следующего поколения до защиты утечки данных, мониторинга производительности приложений, SIEM, цифровой криминалистики, IPS, идентификаторов и многого другого, для развития принудительных сетевых нажавных устройств.
В дополнение к предоставлению полной копии трафика и поддержания доступности, устройства нажатия могут предоставить следующее.
1. Фильтруя пакеты, чтобы максимизировать производительность мониторинга сети
Тот факт, что сетевое устройство Tap может создать 100% копию пакета в какой -то момент, не означает, что каждый инструмент мониторинга и безопасности должен увидеть все это. Потоковая трафик для всех инструментов мониторинга сети и безопасности в режиме реального времени приведет только к завышению, что нанесет ущерб производительности инструментов и сети в процессе.
Размещение правильного сетевого устройства Tap может помочь фильтровать пакеты при маршрутизации в инструмент мониторинга, распределяя правильные данные по правильному инструменту. Примеры таких инструментов включают системы обнаружения вторжений (IDS), профилактику потери данных (DLP), информацию о безопасности и управление событиями (SIEM), судебный анализ и многое другое.
2. Совокупные ссылки для эффективной сети
По мере увеличения потребностей в сети и требованиях безопасности сетевые инженеры должны найти способы использования существующих ИТ -бюджетов для выполнения большего количества задач. Но в какой -то момент вы не можете продолжать добавлять новые устройства в стек и увеличивать сложность вашей сети. Важно максимизировать использование инструментов мониторинга и безопасности.
Сетевые устройства нажатия могут помочь, агрегируя несколько сетевых трафиков, в восточном направлении и западном направлении, чтобы доставить пакеты на подключенные устройства через один порт. Развертывание инструментов видимости таким образом уменьшит количество необходимых инструментов мониторинга. Поскольку трафик данных Восток-Запад продолжает расти в центрах обработки данных и между центрами обработки данных, потребность в сетевых устройствах TAP имеет важное значение для поддержания видимости всех размерных потоков по большим объемам данных.
Связанная статья вам может интересно, пожалуйста, посетите здесь:Как захватить сетевой трафик? Сеть нажатия против порта зеркала
Время публикации: октябрь-24-2024