Wstęp
Zbieranie i analiza ruchu w sieci jest najskuteczniejszym sposobem na uzyskanie wskaźników i parametrów zachowania użytkownika z pierwszej ręki. Wraz z ciągłym doskonaleniem działalności i konserwacji centrum danych, gromadzenie i analiza ruchu sieciowego stało się niezbędną częścią infrastruktury centrum danych. Z bieżącego wykorzystania branży kolekcja ruchu sieciowego jest w większości realizowana przez sprzęt sieciowy obsługujący obwodnictwo. Kolekcja ruchu musi ustalić kompleksową zasięg, rozsądną i skuteczną sieć kolekcji ruchu, taka kolekcja ruchu może pomóc w optymalizacji wskaźników wydajności sieci i biznesowej oraz zmniejszyć prawdopodobieństwo awarii.
Sieć zbioru ruchu można uznać za niezależną sieć złożoną z urządzeń do gromadzenia ruchu i wdrażana równolegle z siecią produkcyjną. Zbiera ruch obrazu każdego urządzenia sieciowego i agreguje ruch obrazu zgodnie z poziomami regionalnymi i architektonicznymi. Wykorzystuje alarm wymiany filtrowania ruchu w sprzęcie do akwizycji ruchu, aby zrealizować pełną prędkość linii danych dla 2-4 warstw filtrowania warunkowego, usuwając zduplikowane pakiety, obcięte pakiety i inne zaawansowane operacje funkcjonalne, a następnie wysyła dane do każdego systemu analizy ruchu. Sieć gromadzenia ruchu może dokładnie wysyłać określone dane do każdego urządzenia zgodnie z wymaganiami danych każdego systemu i rozwiązać problem, że tradycyjnych danych lustrzanych nie można filtrować i wysłać, co zużywa wydajność przetwarzania przełączników sieciowych. Jednocześnie silnik filtrowania ruchu i wymiany sieci gromadzenia ruchu realizuje filtrowanie i przekazywanie danych o niskiej opóźnieniu i dużej prędkości, zapewnia jakość danych zebranych przez sieć gromadzenia ruchu i zapewnia dobrą podstawę danych dla kolejnego sprzętu do analizy ruchu.
Aby zmniejszyć wpływ na oryginalny link, kopia oryginalnego ruchu jest zwykle uzyskiwana za pomocą podziału wiązki, rozpiętości lub kranu.
Pasywny Tap (optyczny rozdzielacz)
Sposób użycia rozszczepienia światła w celu uzyskania kopii ruchu wymaga pomocy lekkiego urządzenia rozdzielającego. Rozdzielacz światła jest pasywnym urządzeniem optycznym, które może redystrybuować intensywność mocy sygnału optycznego zgodnie z wymaganym proporcją. Rozdzielacz może dzielić światło z 1 do 2,1 do 4 i 1 na wiele kanałów. Aby zmniejszyć wpływ na oryginalny link, centrum danych zwykle przyjmuje optyczny współczynnik podziału 80:20, 70:30, w którym 70 80 odsetek sygnału optycznego jest odesłany z powrotem do oryginalnego łącza. Obecnie podział optyczny są szeroko stosowane w analizie wydajności sieci (NPM/APM), systemie audytu, analizy zachowania użytkownika, wykrywania wtargnięcia sieci i innych scenariuszy.
Zalety:
1. Wysoka niezawodność, pasywne urządzenie optyczne;
2. Nie zajmuje portu przełącznika, niezależny sprzęt, później może być dobrym rozszerzeniem;
3. Nie ma potrzeby modyfikowania konfiguracji przełącznika, bez wpływu na inny sprzęt;
4. Pełna kolekcja ruchu, brak filtrowania pakietów przełącznika, w tym pakiety błędów itp.
Wady:
1. Potrzeba prostego przecinka sieciowego, wtyczki światłowodowej szkieletu do rozdzielacza optycznego, zmniejszy zasilanie optyczne niektórych linków kręgosłupa
Span (Port Mirror)
Span to funkcja dostarczana z samym przełącznikiem, więc musi być po prostu skonfigurowana na przełączniku. Jednak ta funkcja wpłynie na wydajność przełącznika i spowoduje utratę pakietu po przeciążeniu danych.
Zalety:
1. Nie jest konieczne dodawanie dodatkowego sprzętu, skonfigurowanie przełącznika w celu zwiększenia odpowiedniego portu wyjściowego replikacji obrazu
Wady:
1. Zajmij port przełącznika
2. Należy skonfigurować przełączniki, co obejmuje wspólną koordynację z producentami stron trzecich, zwiększając potencjalne ryzyko awarii sieci
3. Replikacja ruchu lustrzanego ma wpływ na wydajność portu i przełącznika.
Aktywne dotknięcie sieci (Tap Aggregator)
Sieć sieciowa to zewnętrzne urządzenie sieciowe, które umożliwia odzwierciedlenie portu i tworzy kopię ruchu do użytku przez różne urządzenia monitorujące. Urządzenia te są wprowadzane w miejscu na ścieżce sieciowej, które należy zaobserwować, i kopiuje pakiety IP danych i wysyła je do narzędzia monitorowania sieci. Wybór punktu dostępu dla urządzenia Tap Network zależy od koncentracji przyczyn gromadzenia ruchu sieciowego -Rutynowe monitorowanie analizy i opóźnień, wykrywanie włamań itp. Urządzenia sieciowe mogą gromadzić i odzwierciedlać strumienie danych z prędkością 1G do 100G.
Urządzenia te uzyskują dostęp do ruchu bez sieci, w jakikolwiek sposób modyfikujący przepływ pakietu w jakikolwiek sposób, niezależnie od szybkości ruchu danych. Oznacza to, że ruch sieciowy nie podlega monitorowaniu i lustrzaniu portowym, co jest niezbędne do utrzymania integralności danych podczas prowadzenia ich do narzędzi bezpieczeństwa i analizy.
Zapewnia, że urządzenia peryferyjne sieciowe monitorują kopie ruchu, aby urządzenia sieciowe działały jako obserwatorzy. Przekazując kopię danych dowolnym/wszystkimi podłączonymi urządzeniami, otrzymujesz pełną widoczność w punkcie sieciowym. W przypadku awarii urządzenia sieciowego lub urządzenia monitorującego, wiesz, że nie wpłynie to na ruch, zapewniając, że system operacyjny pozostaje bezpieczny i dostępny.
Jednocześnie staje się ogólnym celem urządzeń sieciowych. Dostęp do pakietów może być zawsze zapewniony bez przerywania ruchu w sieci, a te rozwiązania widoczności mogą również rozwiązać bardziej zaawansowane przypadki. Potrzeby monitorowania narzędzi, od zapory nowej generacji po ochronę przecieku danych, monitorowanie wydajności aplikacji, SIEM, cyfrową kryminalistykę, IPS, IDS i więcej, urządzenia Tap Network do ewolucji.
Oprócz zapewnienia pełnej kopii ruchu i utrzymania dostępności, urządzenia TAP mogą dostarczyć następujących informacji.
1. Pakiety filtrujące, aby zmaksymalizować wydajność monitorowania sieci
To, że urządzenie sieciowe może w pewnym momencie utworzyć 100% kopii pakietu, nie oznacza, że każde narzędzie do monitorowania i bezpieczeństwa musi zobaczyć wszystko. Streaming ruchu do wszystkich narzędzi monitorowania sieci i bezpieczeństwa w czasie rzeczywistym spowoduje jedynie nadmierne zamówienie, co szkodzi wydajności narzędzi i sieci w tym procesie.
Umieszczenie odpowiedniego urządzenia Tap może pomóc w filtrowaniu pakietów po kierowaniu do narzędzia monitorowania, dystrybuując odpowiednie dane do odpowiedniego narzędzia. Przykłady takich narzędzi obejmują systemy wykrywania włamań (IDS), zapobieganie utratę danych (DLP), Informacje o bezpieczeństwie i zarządzanie zdarzeniami (SIEM), analizę kryminalistyczną i wiele innych.
2. Łącze agregowane do wydajnego tworzenia sieci
Wraz ze wzrostem wymagań dotyczących monitorowania sieci i bezpieczeństwa inżynierowie sieci muszą znaleźć sposoby wykorzystania istniejących budżetów IT w celu wykonania większej liczby zadań. Ale w pewnym momencie nie możesz dodawać nowych urządzeń do stosu i zwiększać złożoność sieci. Niezbędne jest zmaksymalizowanie korzystania z narzędzi monitorowania i bezpieczeństwa.
Urządzenia Network Tap mogą pomóc w agregowaniu ruchu wielokrotnego, wschodniego i zachodniego, aby dostarczać pakiety do podłączonych urządzeń za pośrednictwem jednego portu. Wdrażanie narzędzi widoczności w ten sposób zmniejszy liczbę wymaganych narzędzi monitorowania. Ponieważ ruch danych wschód-zachód stale rośnie w centrach danych i między centrami danych, wymóg dotyczący urządzeń sieciowych jest niezbędny do utrzymania widoczności wszystkich przepływów wymiarowych w dużych ilościach danych.
Powiązany artykuł możesz interesujący, odwiedź tutaj:Jak przechwytywać ruch sieciowy? Network Tap vs Port Mirror
Czas po: 24 października 2024
