Wstęp
Zbieranie i analiza ruchu sieciowego to najskuteczniejszy sposób na uzyskanie wskaźników i parametrów zachowań użytkowników sieci z pierwszej ręki. Dzięki ciągłemu ulepszaniu działania i konserwacji centrum danych Q, zbieranie i analiza ruchu sieciowego stały się niezbędną częścią infrastruktury centrum danych. Z obecnego zastosowania w branży, zbieranie ruchu sieciowego jest realizowane głównie przez sprzęt sieciowy obsługujący lustro ruchu obejściowego. Zbieranie ruchu musi ustanowić kompleksowy zasięg, rozsądną i skuteczną sieć zbierania ruchu, takie zbieranie ruchu może pomóc zoptymalizować wskaźniki wydajności sieci i biznesu oraz zmniejszyć prawdopodobieństwo awarii.
Sieć gromadzenia ruchu można traktować jako niezależną sieć składającą się z urządzeń gromadzenia ruchu i wdrażaną równolegle z siecią produkcyjną. Gromadzi ruch obrazu każdego urządzenia sieciowego i agreguje ruch obrazu zgodnie z poziomami regionalnymi i architektonicznymi. Wykorzystuje alarm wymiany filtrowania ruchu w sprzęcie do pozyskiwania ruchu, aby zrealizować pełną prędkość łącza danych dla 2-4 warstw warunkowego filtrowania, usuwania zduplikowanych pakietów, obcinania pakietów i innych zaawansowanych operacji funkcjonalnych, a następnie wysyła dane do każdego systemu analizy ruchu. Sieć gromadzenia ruchu może dokładnie wysyłać określone dane do każdego urządzenia zgodnie z wymaganiami danych każdego systemu i rozwiązywać problem, że tradycyjnych danych lustrzanych nie można filtrować i wysyłać, co pochłania wydajność przetwarzania przełączników sieciowych. Jednocześnie silnik filtrowania i wymiany ruchu sieci gromadzenia ruchu realizuje filtrowanie i przekazywanie danych z niskim opóźnieniem i dużą prędkością, zapewnia jakość danych zebranych przez sieć gromadzenia ruchu i zapewnia dobrą podstawę danych dla późniejszego sprzętu do analizy ruchu.
Aby ograniczyć wpływ na oryginalne łącze, kopię oryginalnego ruchu uzyskuje się zazwyczaj za pomocą podziału wiązki, SPAN lub TAP.
Pasywny odgałęźnik sieciowy (rozdzielacz optyczny)
Sposób wykorzystania podziału światła w celu uzyskania kopii ruchu wymaga pomocy urządzenia rozdzielającego światło. Rozdzielacz światła jest pasywnym urządzeniem optycznym, które może redystrybuować intensywność mocy sygnału optycznego zgodnie z wymaganymi proporcjami. Rozdzielacz może dzielić światło z 1 na 2, 1 na 4 i 1 na wiele kanałów. Aby zmniejszyć wpływ na oryginalne łącze, centrum danych zwykle przyjmuje współczynnik podziału optycznego 80:20, 70:30, w którym 70,80 część sygnału optycznego jest wysyłana z powrotem do oryginalnego łącza. Obecnie rozdzielacze optyczne są szeroko stosowane w analizie wydajności sieci (NPM/APM), systemie audytu, analizie zachowań użytkowników, wykrywaniu włamań do sieci i innych scenariuszach.
Zalety:
1. Wysoka niezawodność, pasywne urządzenie optyczne;
2. Nie zajmuje portu przełącznika, niezależny sprzęt, późniejsza możliwość dobrej rozbudowy;
3. Brak konieczności modyfikowania konfiguracji przełącznika, brak wpływu na inny sprzęt;
4. Pełne zbieranie ruchu, brak filtrowania pakietów przełącznika, w tym pakietów błędów itp.
Wady:
1. Konieczność prostego przełączenia sieci, podłączenia światłowodu do łącza szkieletowego i wybrania numeru do rozdzielacza optycznego spowoduje zmniejszenie mocy optycznej niektórych łączy szkieletowych.
SPAN (Port Mirror)
SPAN to funkcja, która jest dołączona do samego przełącznika, więc wystarczy ją skonfigurować na przełączniku. Jednak ta funkcja będzie miała wpływ na wydajność przełącznika i spowoduje utratę pakietów, gdy dane zostaną przeciążone.
Zalety:
1. Nie ma potrzeby dodawania dodatkowego sprzętu, skonfiguruj przełącznik tak, aby zwiększyć odpowiedni port wyjściowy replikacji obrazu
Wady:
1. Zajmij port przełącznika
2. Należy skonfigurować przełączniki, co wiąże się ze wspólną koordynacją z producentami zewnętrznymi, zwiększając potencjalne ryzyko awarii sieci
3. Replikacja ruchu lustrzanego ma wpływ na wydajność portu i przełącznika.
Aktywny TAP sieciowy (agregator TAP)
Network TAP to zewnętrzne urządzenie sieciowe, które umożliwia lustrzane odbicie portu i tworzy kopię ruchu do wykorzystania przez różne urządzenia monitorujące. Urządzenia te są wprowadzane w miejscu na ścieżce sieciowej, które należy obserwować, a następnie kopiują pakiety danych IP i wysyłają je do narzędzia monitorującego sieć. Wybór punktu dostępu dla urządzenia Network TAP zależy od celu ruchu sieciowego — powodów gromadzenia danych, rutynowego monitorowania analiz i opóźnień, wykrywania włamań itp. Urządzenia Network TAP mogą zbierać i lustrzane odbicie strumieni danych z szybkością 1G do 100G.
Urządzenia te uzyskują dostęp do ruchu bez modyfikowania przepływu pakietów przez urządzenie sieciowe TAP w jakikolwiek sposób, niezależnie od szybkości ruchu danych. Oznacza to, że ruch sieciowy nie podlega monitorowaniu ani dublowaniu portów, co jest niezbędne do zachowania integralności danych podczas kierowania ich do narzędzi bezpieczeństwa i analizy.
Zapewnia, że urządzenia peryferyjne sieci monitorują kopie ruchu, tak aby urządzenia sieciowe TAP działały jako obserwatorzy. Przekazując kopię swoich danych do wszystkich/wszystkich podłączonych urządzeń, uzyskujesz pełną widoczność w punkcie sieciowym. W przypadku awarii urządzenia sieciowego TAP lub urządzenia monitorującego wiesz, że ruch nie zostanie zakłócony, zapewniając, że system operacyjny pozostanie bezpieczny i dostępny.
Jednocześnie staje się ogólnym celem urządzeń sieciowych TAP. Dostęp do pakietów może być zawsze zapewniony bez przerywania ruchu w sieci, a te rozwiązania widoczności mogą również dotyczyć bardziej zaawansowanych przypadków. Potrzeby monitorowania narzędzi, od zapór nowej generacji po ochronę przed wyciekiem danych, monitorowanie wydajności aplikacji, SIEM, cyfrową analizę kryminalistyczną, IPS, IDS i inne, zmuszają urządzenia sieciowe TAP do ewolucji.
Oprócz dostarczania kompletnej kopii ruchu i utrzymywania dostępności, urządzenia TAP mogą zapewnić następujące funkcje.
1. Filtruj pakiety, aby zmaksymalizować wydajność monitorowania sieci
Tylko dlatego, że urządzenie Network TAP może utworzyć 100% kopię pakietu w pewnym momencie, nie oznacza to, że każde narzędzie do monitorowania i bezpieczeństwa musi widzieć całość. Przesyłanie strumieniowe ruchu do wszystkich narzędzi do monitorowania sieci i bezpieczeństwa w czasie rzeczywistym spowoduje jedynie nadmierną kolejność, co zaszkodzi wydajności narzędzi i sieci w tym procesie.
Umieszczenie odpowiedniego urządzenia Network TAP może pomóc w filtrowaniu pakietów, gdy są kierowane do narzędzia monitorującego, dystrybuując odpowiednie dane do odpowiedniego narzędzia. Przykłady takich narzędzi obejmują systemy wykrywania włamań (IDS), zapobieganie utracie danych (DLP), zarządzanie informacjami i zdarzeniami bezpieczeństwa (SIEM), analizę kryminalistyczną i wiele innych.
2. Łączenie łączy w celu wydajnego tworzenia sieci
Wraz ze wzrostem wymagań monitorowania sieci i bezpieczeństwa inżynierowie sieci muszą znaleźć sposoby wykorzystania istniejących budżetów IT do realizacji większej liczby zadań. Jednak w pewnym momencie nie można ciągle dodawać nowych urządzeń do stosu i zwiększać złożoności sieci. Niezbędne jest maksymalizowanie wykorzystania narzędzi do monitorowania i bezpieczeństwa.
Urządzenia Network TAP mogą pomóc, agregując wiele ruchu sieciowego, w kierunku wschodnim i zachodnim, aby dostarczać pakiety do podłączonych urządzeń przez jeden port. Wdrożenie narzędzi widoczności w ten sposób zmniejszy liczbę wymaganych narzędzi monitorujących. Ponieważ ruch danych wschód-zachód nadal rośnie w centrach danych i między centrami danych, zapotrzebowanie na urządzenia Network TAP jest niezbędne do utrzymania widoczności przepływów wszystkich wymiarów w dużych wolumenach danych.
Podobny artykuł, który może Cię zainteresować, znajdziesz tutaj:Jak przechwycić ruch sieciowy? Network Tap kontra Port Mirror
Czas publikacji: 24-paź-2024
