вступ
Збір і аналіз мережевого трафіку є найефективнішим засобом отримання індикаторів і параметрів поведінки користувачів мережі з перших рук. З постійним удосконаленням роботи та обслуговування центру обробки даних Q збір і аналіз мережевого трафіку стали невід’ємною частиною інфраструктури центру обробки даних. З поточного використання в галузі збір мережевого трафіку в основному реалізується мережевим обладнанням, що підтримує обхід дзеркала трафіку. Для збору трафіку необхідно створити всебічне покриття, розумну та ефективну мережу збору трафіку, такий збір трафіку може допомогти оптимізувати показники ефективності мережі та бізнесу та зменшити ймовірність збою.
Мережу збору трафіку можна розглядати як незалежну мережу, що складається з пристроїв збору трафіку та розгорнута паралельно з виробничою мережею. Він збирає трафік зображень кожного мережевого пристрою та агрегує трафік зображень відповідно до регіонального та архітектурного рівнів. Він використовує сигналізацію обміну фільтрації трафіку в обладнанні збору трафіку для реалізації повної швидкості лінії даних для 2-4 рівнів умовної фільтрації, видалення дублікатів пакетів, скорочення пакетів та інших розширених функціональних операцій, а потім надсилає дані кожному трафіку. система аналізу. Мережа збору трафіку може точно надсилати певні дані на кожен пристрій відповідно до вимог до даних кожної системи та вирішувати проблему неможливості фільтрації та надсилання традиційних дзеркальних даних, що споживає продуктивність обробки мережевих комутаторів. У той же час механізм фільтрації та обміну трафіком мережі збору трафіку реалізує фільтрацію та пересилання даних з низькою затримкою та високою швидкістю, забезпечує якість даних, зібраних мережею збору трафіку, і забезпечує хорошу основу даних для обладнання для подальшого аналізу трафіку.
Щоб зменшити вплив на вихідне посилання, копію оригінального трафіку зазвичай отримують за допомогою розщеплення променя, SPAN або TAP.
Пасивний мережевий розгалужувач (оптичний розгалужувач)
Спосіб використання розділення світла для отримання копії трафіку вимагає допомоги світлорозподільника. Світлорозгалужувач — це пасивний оптичний пристрій, здатний перерозподіляти інтенсивність потужності оптичного сигналу відповідно до необхідної пропорції. Розгалужувач може розділяти світло від 1 до 2, від 1 до 4 і 1 на кілька каналів. Щоб зменшити вплив на початкове з’єднання, центр обробки даних зазвичай приймає співвідношення оптичного розподілу 80:20, 70:30, за якого частка 70,80 оптичного сигналу надсилається назад до вихідного з’єднання. В даний час оптичні розгалужувачі широко використовуються в аналізі продуктивності мережі (NPM/APM), системі аудиту, аналізі поведінки користувачів, виявленні мережевих вторгнень та інших сценаріях.
Переваги:
1. Висока надійність, пасивний оптичний пристрій;
2. Не займає порт комутатора, незалежне обладнання, подальше може бути хорошим розширенням;
3. Немає необхідності змінювати конфігурацію комутатора, ніякого впливу на інше обладнання;
4. Повний збір трафіку, без фільтрації пакетів комутаторів, включаючи пакети помилок тощо.
Недоліки:
1. Необхідність простого перемикання мережі, підключення оптоволокна магістральної лінії зв’язку та набору номера до оптичного розгалужувача зменшить оптичну потужність деяких магістральних ліній зв’язку
SPAN (дзеркало порту)
SPAN — це функція, яка постачається разом із комутатором, тому її потрібно лише налаштувати на комутаторі. Однак ця функція вплине на продуктивність комутатора та призведе до втрати пакетів у разі перевантаження даних.
Переваги:
1. Немає необхідності додавати додаткове обладнання, налаштуйте комутатор, щоб збільшити відповідний вихідний порт реплікації зображення
Недоліки:
1. Займіть порт комутатора
2. Необхідно налаштувати комутатори, що передбачає спільну координацію зі сторонніми виробниками, що збільшує потенційний ризик збою мережі
3. Реплікація дзеркального трафіку впливає на продуктивність портів і комутаторів.
Активна мережа TAP (TAP Aggregator)
Мережевий TAP — це зовнішній мережевий пристрій, який забезпечує віддзеркалення портів і створює копію трафіку для використання різними пристроями моніторингу. Ці пристрої вводяться в місце на шляху мережі, яке потрібно спостерігати, і вони копіюють IP-пакети даних і надсилають їх до засобу моніторингу мережі. Вибір точки доступу для пристрою Network TAP залежить від фокусу мережевого трафіку – причин збору даних, регулярного моніторингу аналізу та затримок, виявлення вторгнень тощо. Пристрої Network TAP можуть збирати та віддзеркалювати потоки даних зі швидкістю 1G до 100 г.
Ці пристрої отримують доступ до трафіку без того, щоб мережевий пристрій TAP будь-яким чином змінював потік пакетів, незалежно від швидкості трафіку даних. Це означає, що мережевий трафік не підлягає моніторингу та віддзеркаленню портів, що важливо для підтримки цілісності даних під час їх маршрутизації до інструментів безпеки та аналізу.
Це гарантує, що мережеві периферійні пристрої контролюють копії трафіку, щоб мережеві пристрої TAP діяли як спостерігачі. Надсилаючи копію своїх даних будь-якому/всім підключеним пристроям, ви отримуєте повну видимість у точці мережі. Якщо мережевий пристрій TAP або пристрій моніторингу виходить з ладу, ви знаєте, що це не вплине на трафік, гарантуючи, що операційна система залишається безпечною та доступною.
У той же час він стає загальною метою мережевих пристроїв TAP. Доступ до пакетів завжди можна надати без переривання трафіку в мережі, і ці рішення видимості також можуть вирішити більш складні випадки. Потреби моніторингу інструментів, починаючи від брандмауерів наступного покоління до захисту від витоку даних, моніторингу продуктивності програм, SIEM, цифрової криміналістики, IPS, IDS тощо, змушують мережеві пристрої TAP розвиватися.
Окрім надання повної копії трафіку та підтримки доступності, пристрої TAP можуть надавати наступне.
1. Фільтруйте пакети для максимізації продуктивності моніторингу мережі
Те, що мережевий TAP-пристрій може створити 100% копію пакета в певний момент, не означає, що кожен інструмент моніторингу та безпеки повинен бачити все це. Потокове передавання трафіку до всіх інструментів мережевого моніторингу та безпеки в режимі реального часу призведе лише до перезамовлення, що погіршить продуктивність інструментів і мережі в процесі.
Розміщення правильного мережевого пристрою TAP може допомогти фільтрувати пакети під час маршрутизації до інструменту моніторингу, розподіляючи правильні дані до потрібного інструменту. Приклади таких інструментів включають системи виявлення вторгнень (IDS), запобігання втраті даних (DLP), інформацію про безпеку та керування подіями (SIEM), криміналістичний аналіз та багато іншого.
2. Агреговані посилання для ефективної роботи в мережі
Оскільки вимоги до мережевого моніторингу та безпеки зростають, мережеві інженери повинні знайти способи використання існуючих ІТ-бюджетів для виконання більшої кількості завдань. Але в якийсь момент ви не можете постійно додавати нові пристрої в стек і збільшувати складність вашої мережі. Важливо максимально використовувати інструменти моніторингу та безпеки.
Мережні пристрої TAP можуть допомогти, об’єднуючи кілька мережевих трафіків, на схід і на захід, для доставки пакетів на під’єднані пристрої через один порт. Розгортання інструментів видимості таким чином зменшить кількість необхідних інструментів моніторингу. Оскільки трафік даних Схід-Захід продовжує зростати в центрах обробки даних і між центрами обробки даних, вимога до мережевих пристроїв TAP є важливою для підтримки видимості всіх вимірних потоків у великих обсягах даних.
Відповідну статтю, яка може вас зацікавити, відвідайте тут:Як захопити мережевий трафік? Мережевий розрив проти дзеркала порту
Час публікації: 24 жовтня 2024 р
