Wstęp
Zbieranie i analiza ruchu sieciowego to najskuteczniejszy sposób uzyskania z pierwszej ręki wskaźników i parametrów zachowań użytkowników sieci. Wraz z ciągłym doskonaleniem obsługi i konserwacji centrum danych, gromadzenie i analiza ruchu sieciowego stała się nieodzowną częścią infrastruktury centrum danych. Z obecnego zastosowania w branży zbieranie ruchu sieciowego jest realizowane głównie za pomocą sprzętu sieciowego obsługującego obejście lustrzane ruchu. Zbieranie ruchu wymaga ustanowienia kompleksowego zasięgu, rozsądnej i skutecznej sieci gromadzenia ruchu. Takie gromadzenie ruchu może pomóc zoptymalizować wskaźniki wydajności sieci i biznesu oraz zmniejszyć prawdopodobieństwo awarii.
Sieć gromadzenia ruchu można traktować jako niezależną sieć składającą się z urządzeń zbierających ruch i wdrażaną równolegle z siecią produkcyjną. Zbiera ruch obrazów każdego urządzenia sieciowego i agreguje ruch obrazów zgodnie z poziomem regionalnym i architektonicznym. Wykorzystuje alarm wymiany filtrowania ruchu w sprzęcie do pozyskiwania ruchu, aby uzyskać pełną prędkość linii danych dla 2-4 warstw filtrowania warunkowego, usuwania zduplikowanych pakietów, obcinania pakietów i innych zaawansowanych operacji funkcjonalnych, a następnie wysyła dane do każdego ruchu system analityczny. Sieć zbierająca ruch może dokładnie wysyłać określone dane do każdego urządzenia zgodnie z wymaganiami każdego systemu i rozwiązać problem polegający na tym, że tradycyjne dane lustrzane nie mogą być filtrowane i wysyłane, co pochłania wydajność przetwarzania przełączników sieciowych. Jednocześnie silnik filtrowania i wymiany ruchu w sieci gromadzenia ruchu realizuje filtrowanie i przekazywanie danych z małym opóźnieniem i dużą szybkością, zapewnia jakość danych gromadzonych przez sieć gromadzenia ruchu i zapewnia dobrą podstawę danych dla późniejszy sprzęt do analizy ruchu.
Aby zmniejszyć wpływ na pierwotne łącze, kopię pierwotnego ruchu uzyskuje się zwykle za pomocą podziału wiązki, SPAN lub TAP.
Pasywny kran sieciowy (rozdzielacz optyczny)
Sposób wykorzystania rozszczepiania światła w celu uzyskania kopii ruchu wymaga pomocy urządzenia rozdzielającego światło. Rozdzielacz światła jest pasywnym urządzeniem optycznym, które może redystrybuować natężenie mocy sygnału optycznego zgodnie z wymaganą proporcją. Rozgałęźnik umożliwia podział światła od 1 do 2, 1 do 4 i 1 do wielu kanałów. Aby zmniejszyć wpływ na oryginalne łącze, centrum danych zwykle przyjmuje współczynnik podziału optycznego 80:20, 70:30, w którym 70,80 część sygnału optycznego jest odsyłana z powrotem do pierwotnego łącza. Obecnie rozdzielacze optyczne są szeroko stosowane w analizie wydajności sieci (NPM/APM), systemie audytu, analizie zachowań użytkowników, wykrywaniu włamań do sieci i innych scenariuszach.
Zalety:
1. Wysoka niezawodność, pasywne urządzenie optyczne;
2. Nie zajmuje portu przełącznika, jest niezależnym sprzętem, co pozwala na dobrą rozbudowę;
3. Nie ma potrzeby modyfikowania konfiguracji przełącznika, nie ma wpływu na inny sprzęt;
4. Pełne zbieranie ruchu, brak filtrowania pakietów przełącznika, w tym pakietów błędów itp.
Wady:
1. Konieczność prostego przełączenia sieci, podłączenia światłowodu do łącza szkieletowego i połączenia z rozdzielaczem optycznym zmniejszy moc optyczną niektórych łączy szkieletowych
SPAN (port lustrzany)
SPAN to funkcja dostarczana z samym przełącznikiem, dlatego należy ją jedynie skonfigurować na przełączniku. Jednakże funkcja ta będzie miała wpływ na działanie przełącznika i spowoduje utratę pakietów w przypadku przeciążenia danych.
Zalety:
1. Nie ma potrzeby dodawania dodatkowego sprzętu, skonfiguruj przełącznik tak, aby zwiększyć odpowiedni port wyjściowy replikacji obrazu
Wady:
1. Zajmij port przełącznika
2. Należy skonfigurować przełączniki, co wiąże się z koordynacją z zewnętrznymi producentami, co zwiększa potencjalne ryzyko awarii sieci
3. Replikacja ruchu lustrzanego ma wpływ na wydajność portów i przełączników.
Aktywna sieć TAP (agregator TAP)
Network TAP to zewnętrzne urządzenie sieciowe, które umożliwia dublowanie portów i tworzy kopię ruchu do wykorzystania przez różne urządzenia monitorujące. Urządzenia te są wprowadzane w miejscu ścieżki sieciowej, które należy obserwować, kopiują pakiety danych IP i wysyłają je do narzędzia monitorującego sieć. Wybór punktu dostępu dla urządzenia Network TAP zależy od skupienia ruchu sieciowego – powodów gromadzenia danych, rutynowego monitorowania analizy i opóźnień, wykrywania włamań itp. Urządzenia Network TAP mogą zbierać i odzwierciedlać strumienie danych z szybkością 1G do 100G.
Urządzenia te uzyskują dostęp do ruchu bez konieczności modyfikowania przez urządzenie sieciowe TAP przepływu pakietów, niezależnie od szybkości transmisji danych. Oznacza to, że ruch sieciowy nie podlega monitorowaniu i dublowaniu portów, co jest niezbędne do zachowania integralności danych podczas kierowania ich do narzędzi bezpieczeństwa i analiz.
Zapewnia, że sieciowe urządzenia peryferyjne monitorują kopie ruchu, dzięki czemu sieciowe urządzenia TAP działają jako obserwatorzy. Przesyłając kopię swoich danych do dowolnego/wszystkich podłączonych urządzeń, zyskujesz pełną widoczność w punkcie sieci. W przypadku awarii sieciowego urządzenia TAP lub urządzenia monitorującego wiesz, że nie będzie to miało wpływu na ruch, dzięki czemu system operacyjny pozostanie bezpieczny i dostępny.
Jednocześnie staje się ogólnym celem urządzeń sieciowych TAP. Dostęp do pakietów można zawsze zapewnić bez przerywania ruchu w sieci, a te rozwiązania w zakresie widoczności mogą być stosowane również w bardziej zaawansowanych przypadkach. Potrzeby monitorowania narzędzi, począwszy od zapór sieciowych nowej generacji po ochronę przed wyciekiem danych, monitorowanie wydajności aplikacji, SIEM, cyfrową kryminalistykę, IPS, IDS i inne, wymuszają ewolucję urządzeń sieciowych TAP.
Oprócz zapewnienia pełnej kopii ruchu i utrzymania dostępności, urządzenia TAP mogą zapewniać następujące funkcje.
1. Filtruj pakiety, aby zmaksymalizować wydajność monitorowania sieci
To, że urządzenie Network TAP może w pewnym momencie utworzyć 100% kopię pakietu, nie oznacza, że każde narzędzie do monitorowania i bezpieczeństwa musi widzieć całość. Przesyłanie strumieniowe ruchu do wszystkich narzędzi monitorowania sieci i narzędzi bezpieczeństwa w czasie rzeczywistym spowoduje jedynie nadmierną kolejność, co wpłynie negatywnie na wydajność narzędzi i sieci.
Umieszczenie odpowiedniego urządzenia Network TAP może pomóc w filtrowaniu pakietów kierowanych do narzędzia monitorującego, dystrybuując właściwe dane do odpowiedniego narzędzia. Przykładami takich narzędzi są systemy wykrywania włamań (IDS), zapobieganie utracie danych (DLP), zarządzanie informacjami i zdarzeniami dotyczącymi bezpieczeństwa (SIEM), analizy kryminalistyczne i wiele innych.
2. Łącza zbiorcze dla wydajnej sieci
W miarę wzrostu wymagań dotyczących monitorowania sieci i bezpieczeństwa inżynierowie sieci muszą znaleźć sposoby wykorzystania istniejących budżetów IT do realizacji większej liczby zadań. Jednak w pewnym momencie nie można już dodawać nowych urządzeń do stosu i zwiększać złożoności sieci. Niezbędne jest maksymalne wykorzystanie narzędzi monitorowania i bezpieczeństwa.
Urządzenia sieciowe TAP mogą pomóc, agregując wiele ruchu sieciowego, w kierunku wschodnim i zachodnim, w celu dostarczania pakietów do podłączonych urządzeń przez jeden port. Wdrożenie narzędzi zapewniających widoczność w ten sposób zmniejszy liczbę wymaganych narzędzi monitorujących. Ponieważ ruch danych wschód-zachód w centrach danych i pomiędzy centrami danych stale rośnie, zapotrzebowanie na sieciowe urządzenia TAP jest niezbędne do utrzymania widoczności wszystkich przepływów wymiarowych w dużych ilościach danych.
Powiązany artykuł, który może Cię zainteresować, odwiedź tutaj:Jak przechwytywać ruch sieciowy? Tap sieciowy a port lustrzany
Czas publikacji: 24 października 2024 r
