Po co potrzebować kranów sieciowych i brokerów pakietów sieciowych do przechwytywania ruchu sieciowego? (Część 2)

Wstęp

Zbieranie i analiza ruchu w sieci jest najskuteczniejszym sposobem na uzyskanie wskaźników i parametrów zachowania użytkownika z pierwszej ręki. Wraz z ciągłym doskonaleniem działalności i konserwacji centrum danych, gromadzenie i analiza ruchu sieciowego stało się niezbędną częścią infrastruktury centrum danych. Z bieżącego wykorzystania branży kolekcja ruchu sieciowego jest w większości realizowana przez sprzęt sieciowy obsługujący obwodnictwo. Kolekcja ruchu musi ustalić kompleksową zasięg, rozsądną i skuteczną sieć kolekcji ruchu, taka kolekcja ruchu może pomóc w optymalizacji wskaźników wydajności sieci i biznesowej oraz zmniejszyć prawdopodobieństwo awarii.

Sieć zbioru ruchu można uznać za niezależną sieć złożoną z urządzeń do gromadzenia ruchu i wdrażana równolegle z siecią produkcyjną. Zbiera ruch obrazu każdego urządzenia sieciowego i agreguje ruch obrazu zgodnie z poziomami regionalnymi i architektonicznymi. Wykorzystuje alarm wymiany filtrowania ruchu w sprzęcie do akwizycji ruchu, aby zrealizować pełną prędkość linii danych dla 2-4 warstw filtrowania warunkowego, usuwając zduplikowane pakiety, obcięte pakiety i inne zaawansowane operacje funkcjonalne, a następnie wysyła dane do każdego systemu analizy ruchu. Sieć gromadzenia ruchu może dokładnie wysyłać określone dane do każdego urządzenia zgodnie z wymaganiami danych każdego systemu i rozwiązać problem, że tradycyjnych danych lustrzanych nie można filtrować i wysłać, co zużywa wydajność przetwarzania przełączników sieciowych. Jednocześnie silnik filtrowania ruchu i wymiany sieci gromadzenia ruchu realizuje filtrowanie i przekazywanie danych o niskiej opóźnieniu i dużej prędkości, zapewnia jakość danych zebranych przez sieć gromadzenia ruchu i zapewnia dobrą podstawę danych dla kolejnego sprzętu do analizy ruchu.

problem z monitorowaniem ruchu

Aby zmniejszyć wpływ na oryginalny link, kopia oryginalnego ruchu jest zwykle uzyskiwana za pomocą podziału wiązki, rozpiętości lub kranu.

Pasywny Tap (optyczny rozdzielacz)

Sposób użycia rozszczepienia światła w celu uzyskania kopii ruchu wymaga pomocy lekkiego urządzenia rozdzielającego. Rozdzielacz światła jest pasywnym urządzeniem optycznym, które może redystrybuować intensywność mocy sygnału optycznego zgodnie z wymaganym proporcją. Rozdzielacz może dzielić światło z 1 do 2,1 do 4 i 1 na wiele kanałów. Aby zmniejszyć wpływ na oryginalny link, centrum danych zwykle przyjmuje optyczny współczynnik podziału 80:20, 70:30, w którym 70 80 odsetek sygnału optycznego jest odesłany z powrotem do oryginalnego łącza. Obecnie podział optyczny są szeroko stosowane w analizie wydajności sieci (NPM/APM), systemie audytu, analizy zachowania użytkownika, wykrywania wtargnięcia sieci i innych scenariuszy.

Ikona przechwytywania

Zalety:

1. Wysoka niezawodność, pasywne urządzenie optyczne;

2. Nie zajmuje portu przełącznika, niezależny sprzęt, później może być dobrym rozszerzeniem;

3. Nie ma potrzeby modyfikowania konfiguracji przełącznika, bez wpływu na inny sprzęt;

4. Pełna kolekcja ruchu, brak filtrowania pakietów przełącznika, w tym pakiety błędów itp.

Wady:

1. Potrzeba prostego przecinka sieciowego, wtyczki światłowodowej szkieletu do rozdzielacza optycznego, zmniejszy zasilanie optyczne niektórych linków kręgosłupa

Span (Port Mirror)

Span to funkcja dostarczana z samym przełącznikiem, więc musi być po prostu skonfigurowana na przełączniku. Jednak ta funkcja wpłynie na wydajność przełącznika i spowoduje utratę pakietu po przeciążeniu danych.

lusterka portu przełącznika sieciowego

Zalety:

1. Nie jest konieczne dodawanie dodatkowego sprzętu, skonfigurowanie przełącznika w celu zwiększenia odpowiedniego portu wyjściowego replikacji obrazu

Wady:

1. Zajmij port przełącznika

2. Należy skonfigurować przełączniki, co obejmuje wspólną koordynację z producentami stron trzecich, zwiększając potencjalne ryzyko awarii sieci

3. Replikacja ruchu lustrzanego ma wpływ na wydajność portu i przełącznika.

Aktywne dotknięcie sieci (Tap Aggregator)

Sieć sieciowa to zewnętrzne urządzenie sieciowe, które umożliwia odzwierciedlenie portu i tworzy kopię ruchu do użytku przez różne urządzenia monitorujące. Urządzenia te są wprowadzane w miejscu na ścieżce sieciowej, które należy zaobserwować, i kopiuje pakiety IP danych i wysyła je do narzędzia monitorowania sieci. Wybór punktu dostępu dla urządzenia Tap Network zależy od koncentracji przyczyn gromadzenia ruchu sieciowego -Rutynowe monitorowanie analizy i opóźnień, wykrywanie włamań itp. Urządzenia sieciowe mogą gromadzić i odzwierciedlać strumienie danych z prędkością 1G do 100G.

Urządzenia te uzyskują dostęp do ruchu bez sieci, w jakikolwiek sposób modyfikujący przepływ pakietu w jakikolwiek sposób, niezależnie od szybkości ruchu danych. Oznacza to, że ruch sieciowy nie podlega monitorowaniu i lustrzaniu portowym, co jest niezbędne do utrzymania integralności danych podczas prowadzenia ich do narzędzi bezpieczeństwa i analizy.

Zapewnia, że ​​urządzenia peryferyjne sieciowe monitorują kopie ruchu, aby urządzenia sieciowe działały jako obserwatorzy. Przekazując kopię danych dowolnym/wszystkimi podłączonymi urządzeniami, otrzymujesz pełną widoczność w punkcie sieciowym. W przypadku awarii urządzenia sieciowego lub urządzenia monitorującego, wiesz, że nie wpłynie to na ruch, zapewniając, że system operacyjny pozostaje bezpieczny i dostępny.

Jednocześnie staje się ogólnym celem urządzeń sieciowych. Dostęp do pakietów może być zawsze zapewniony bez przerywania ruchu w sieci, a te rozwiązania widoczności mogą również rozwiązać bardziej zaawansowane przypadki. Potrzeby monitorowania narzędzi, od zapory nowej generacji po ochronę przecieku danych, monitorowanie wydajności aplikacji, SIEM, cyfrową kryminalistykę, IPS, IDS i więcej, urządzenia Tap Network do ewolucji.

Oprócz zapewnienia pełnej kopii ruchu i utrzymania dostępności, urządzenia TAP mogą dostarczyć następujących informacji.

1. Pakiety filtrujące, aby zmaksymalizować wydajność monitorowania sieci

To, że urządzenie sieciowe może w pewnym momencie utworzyć 100% kopii pakietu, nie oznacza, że ​​każde narzędzie do monitorowania i bezpieczeństwa musi zobaczyć wszystko. Streaming ruchu do wszystkich narzędzi monitorowania sieci i bezpieczeństwa w czasie rzeczywistym spowoduje jedynie nadmierne zamówienie, co szkodzi wydajności narzędzi i sieci w tym procesie.

Umieszczenie odpowiedniego urządzenia Tap może pomóc w filtrowaniu pakietów po kierowaniu do narzędzia monitorowania, dystrybuując odpowiednie dane do odpowiedniego narzędzia. Przykłady takich narzędzi obejmują systemy wykrywania włamań (IDS), zapobieganie utratę danych (DLP), Informacje o bezpieczeństwie i zarządzanie zdarzeniami (SIEM), analizę kryminalistyczną i wiele innych.

2. Łącze agregowane do wydajnego tworzenia sieci

Wraz ze wzrostem wymagań dotyczących monitorowania sieci i bezpieczeństwa inżynierowie sieci muszą znaleźć sposoby wykorzystania istniejących budżetów IT w celu wykonania większej liczby zadań. Ale w pewnym momencie nie możesz dodawać nowych urządzeń do stosu i zwiększać złożoność sieci. Niezbędne jest zmaksymalizowanie korzystania z narzędzi monitorowania i bezpieczeństwa.

Urządzenia Network Tap mogą pomóc w agregowaniu ruchu wielokrotnego, wschodniego i zachodniego, aby dostarczać pakiety do podłączonych urządzeń za pośrednictwem jednego portu. Wdrażanie narzędzi widoczności w ten sposób zmniejszy liczbę wymaganych narzędzi monitorowania. Ponieważ ruch danych wschód-zachód stale rośnie w centrach danych i między centrami danych, wymóg dotyczący urządzeń sieciowych jest niezbędny do utrzymania widoczności wszystkich przepływów wymiarowych w dużych ilościach danych.

ML-NPB-5690 (8)

Powiązany artykuł możesz interesujący, odwiedź tutaj:Jak przechwytywać ruch sieciowy? Network Tap vs Port Mirror


Czas po: 24 października 2024