Wstęp
Gromadzenie i analiza ruchu sieciowego to najskuteczniejszy sposób na uzyskanie bezpośrednich wskaźników i parametrów zachowań użytkowników sieci. Dzięki ciągłemu doskonaleniu obsługi i konserwacji centrów danych, gromadzenie i analiza ruchu sieciowego stały się niezbędnym elementem infrastruktury centrów danych. Obecnie, gromadzenie ruchu sieciowego jest realizowane głównie za pomocą urządzeń sieciowych obsługujących funkcję lustrzanego odbicia ruchu obejściowego. Gromadzenie ruchu sieciowego wymaga stworzenia kompleksowej, rozsądnej i efektywnej sieci gromadzenia ruchu, która może pomóc w optymalizacji wskaźników wydajności sieci i przedsiębiorstwa oraz zmniejszeniu prawdopodobieństwa awarii.
Sieć gromadzenia ruchu można postrzegać jako niezależną sieć złożoną z urządzeń do gromadzenia ruchu i wdrożoną równolegle z siecią produkcyjną. Gromadzi ona ruch obrazu każdego urządzenia sieciowego i agreguje go zgodnie z poziomami regionalnymi i architektonicznymi. Wykorzystuje alarm wymiany filtrowania ruchu w urządzeniach do akwizycji ruchu, aby zrealizować pełną prędkość łącza danych dla 2-4 warstw filtrowania warunkowego, usuwania zduplikowanych pakietów, obcinania pakietów i innych zaawansowanych operacji funkcjonalnych, a następnie przesyła dane do każdego systemu analizy ruchu. Sieć gromadzenia ruchu może precyzyjnie wysyłać określone dane do każdego urządzenia, zgodnie z wymaganiami danych każdego systemu, rozwiązując problem braku możliwości filtrowania i wysyłania tradycyjnych danych lustrzanych, co ogranicza wydajność przetwarzania przełączników sieciowych. Jednocześnie silnik filtrowania i wymiany ruchu sieci gromadzenia ruchu realizuje filtrowanie i przekazywanie danych z niskim opóźnieniem i dużą prędkością, zapewniając jakość danych zebranych przez sieć gromadzenia ruchu i stanowiąc solidną podstawę danych dla późniejszego sprzętu do analizy ruchu.
Aby ograniczyć wpływ na oryginalne łącze, kopię oryginalnego ruchu uzyskuje się zazwyczaj za pomocą podziału wiązki, SPAN lub TAP.
Pasywny odgałęźnik sieciowy (rozdzielacz optyczny)
Sposób wykorzystania podziału światła do uzyskania kopii ruchu wymaga użycia rozdzielacza światła. Rozdzielacz światła to pasywne urządzenie optyczne, które może redystrybuować natężenie mocy sygnału optycznego zgodnie z wymaganymi proporcjami. Rozdzielacz może dzielić światło z 1 na 2, z 1 na 4 i z 1 na wiele kanałów. Aby zmniejszyć wpływ na pierwotne łącze, centrum danych zazwyczaj stosuje współczynnik podziału optycznego 80:20, 70:30, w którym 70,80% sygnału optycznego jest przesyłane z powrotem do pierwotnego łącza. Obecnie rozdzielacze optyczne są szeroko stosowane w analizie wydajności sieci (NPM/APM), systemach audytu, analizie zachowań użytkowników, wykrywaniu włamań do sieci i innych zastosowaniach.
Zalety:
1. Wysoka niezawodność, pasywne urządzenie optyczne;
2. Nie zajmuje portu przełącznika, niezależny sprzęt, późniejsza możliwość dobrej rozbudowy;
3. Brak konieczności modyfikacji konfiguracji przełącznika, brak wpływu na inny sprzęt;
4. Pełne zbieranie ruchu, brak filtrowania pakietów przełącznika, w tym pakietów błędnych itp.
Wady:
1. Konieczność prostego przełączenia sieci, podłączenia światłowodu szkieletowego i wybrania rozdzielacza optycznego spowoduje zmniejszenie mocy optycznej niektórych łączy szkieletowych.
SPAN (Port Mirror)
SPAN to funkcja wbudowana w sam przełącznik, więc wystarczy ją skonfigurować. Funkcja ta jednak wpłynie na wydajność przełącznika i spowoduje utratę pakietów w przypadku przeciążenia danymi.
Zalety:
1. Nie ma potrzeby dodawania dodatkowego sprzętu, skonfiguruj przełącznik tak, aby zwiększyć odpowiedni port wyjściowy replikacji obrazu
Wady:
1. Zajmij port przełącznika
2. Należy skonfigurować przełączniki, co wiąże się ze współpracą z producentami zewnętrznymi, zwiększając potencjalne ryzyko awarii sieci.
3. Replikacja ruchu lustrzanego ma wpływ na wydajność portu i przełącznika.
Aktywny TAP sieciowy (agregator TAP)
Network TAP to zewnętrzne urządzenie sieciowe, które umożliwia dublowanie portów i tworzy kopię ruchu do użytku przez różne urządzenia monitorujące. Urządzenia te są umieszczane w miejscu na ścieżce sieciowej, które wymaga obserwacji, a następnie kopiują pakiety danych IP i wysyłają je do narzędzia monitorującego sieć. Wybór punktu dostępowego dla urządzenia Network TAP zależy od celu ruchu sieciowego – celów gromadzenia danych, rutynowego monitorowania, analizy i opóźnień, wykrywania włamań itp. Urządzenia Network TAP mogą zbierać i dublować strumienie danych z szybkością od 1 Gb/s do 100 Gb/s.
Urządzenia te uzyskują dostęp do ruchu bez konieczności modyfikowania przepływu pakietów przez urządzenie TAP, niezależnie od szybkości transmisji danych. Oznacza to, że ruch sieciowy nie podlega monitorowaniu ani dublowaniu portów, co jest niezbędne do zachowania integralności danych podczas ich kierowania do narzędzi bezpieczeństwa i analizy.
Zapewnia, że urządzenia peryferyjne sieci monitorują kopie ruchu, dzięki czemu urządzenia TAP sieciowe pełnią rolę obserwatorów. Przesyłając kopię danych do wszystkich podłączonych urządzeń, uzyskujesz pełną widoczność w punkcie sieciowym. W przypadku awarii urządzenia TAP sieciowego lub urządzenia monitorującego masz pewność, że ruch nie zostanie zakłócony, co gwarantuje bezpieczeństwo i dostępność systemu operacyjnego.
Jednocześnie staje się głównym celem sieciowych urządzeń TAP. Dostęp do pakietów może być zawsze zapewniony bez przerywania ruchu w sieci, a te rozwiązania w zakresie widoczności mogą również rozwiązać bardziej zaawansowane przypadki. Potrzeby monitorowania narzędzi, od zapór sieciowych nowej generacji, przez ochronę przed wyciekiem danych, monitorowanie wydajności aplikacji, SIEM, informatykę śledczą, IPS, IDS i inne, wymuszają ewolucję sieciowych urządzeń TAP.
Oprócz dostarczania kompletnej kopii ruchu i utrzymywania dostępności, urządzenia TAP mogą zapewnić następujące funkcje.
1. Filtruj pakiety, aby zmaksymalizować wydajność monitorowania sieci
To, że urządzenie Network TAP może w pewnym momencie utworzyć 100% kopię pakietu, nie oznacza, że każde narzędzie do monitorowania i bezpieczeństwa musi mieć dostęp do całości. Przesyłanie ruchu strumieniowego do wszystkich narzędzi do monitorowania i bezpieczeństwa sieci w czasie rzeczywistym spowoduje jedynie nadmierną kolejność, co negatywnie wpłynie na wydajność narzędzi i sieci.
Umieszczenie odpowiedniego urządzenia Network TAP może pomóc w filtrowaniu pakietów kierowanych do narzędzia monitorującego, dystrybuując odpowiednie dane do odpowiedniego narzędzia. Przykładami takich narzędzi są systemy wykrywania włamań (IDS), systemy zapobiegania utracie danych (DLP), systemy zarządzania informacjami i zdarzeniami bezpieczeństwa (SIEM), analiza kryminalistyczna i wiele innych.
2. Agregacja łączy dla efektywnej pracy w sieci
Wraz ze wzrostem wymagań w zakresie monitorowania i bezpieczeństwa sieci, inżynierowie sieci muszą znaleźć sposoby na wykorzystanie istniejących budżetów IT do realizacji większej liczby zadań. Jednak w pewnym momencie nie można już stale dodawać nowych urządzeń do stosu i zwiększać złożoności sieci. Kluczowe jest maksymalne wykorzystanie narzędzi do monitorowania i bezpieczeństwa.
Urządzenia Network TAP mogą pomóc, agregując wiele ruchów sieciowych, zarówno w kierunku wschodnim, jak i zachodnim, w celu dostarczania pakietów do podłączonych urządzeń przez jeden port. Wdrożenie narzędzi zapewniających widoczność w ten sposób zmniejszy liczbę wymaganych narzędzi monitorujących. Wraz ze wzrostem ruchu danych wschód-zachód w centrach danych i między nimi, zapotrzebowanie na urządzenia Network TAP staje się kluczowe dla utrzymania widoczności przepływów wielowymiarowych w dużych wolumenach danych.
Podobny artykuł, który może Cię zainteresować, znajdziesz tutaj:Jak przechwytywać ruch sieciowy? Network Tap czy Port Mirror
Czas publikacji: 24-10-2024
