Вступ
Збір та аналіз мережевого трафіку - це найефективніший засіб для отримання індикаторів поведінки та параметрів користувачів з перших рук. З постійним вдосконаленням роботи та обслуговування центру обробки даних, збір та аналіз мережевого трафіку стало незамінною частиною інфраструктури центру обробки даних. З нинішнього використання галузі, збори мережевого трафіку здебільшого реалізуються за допомогою мережевого обладнання, що підтримує обхід дорожнього дзеркала. Збір трафіку повинен встановити всебічне покриття, розумну та ефективну мережу збору трафіку, такий збір трафіку може допомогти оптимізувати показники мережі та бізнесу та зменшити ймовірність відмови.
Мережа збору трафіку може розглядатися як незалежна мережа, що складається з пристроїв збору трафіку та розгортається паралельно з виробничою мережею. Він збирає трафік зображень кожного мережевого пристрою та агрегує трафік зображень відповідно до регіональних та архітектурних рівнів. Він використовує сигналізацію фільтрації трафіку в обладнанні придбання трафіку, щоб реалізувати повну швидкість лінії даних для 2-4 шарів умовної фільтрації, видалення дублікатів пакетів, укорочення пакетів та інших вдосконалених функціональних операцій, а потім надсилає дані в кожну систему аналізу трафіку. Мережа збору трафіку може точно надсилати конкретні дані на кожен пристрій відповідно до вимог даних кожної системи та вирішити проблему, що традиційні дані дзеркала не можуть бути відфільтровані та надсилаються, що споживає продуктивність обробки мережевих комутаторів. У той же час, двигун фільтрації та обміну трафіком мережі збору трафіку реалізує фільтрацію та переадресацію даних з низькою затримкою та високою швидкістю, забезпечує якість даних, зібраних мережею збору трафіку, та забезпечує хорошу основу даних для подальшого обладнання для аналізу трафіку.
Для того, щоб зменшити вплив на початкове посилання, копію початкового трафіку зазвичай отримують за допомогою розщеплення променя, проміжку або натискання.
Пасивне мережевий кран (оптичний спліттер)
Спосіб використання розщеплення світла для отримання копії дорожнього руху вимагає допомоги пристрою світла. Світловий спліттер - це пасивний оптичний пристрій, який може перерозподіляти інтенсивність потужності оптичного сигналу відповідно до необхідної пропорції. Розпліттер може розділити світло від 1 до 2,1 до 4 та 1 на кілька каналів. Для того, щоб зменшити вплив на початкове посилання, центр обробки даних зазвичай приймає коефіцієнт оптичного розщеплення 80:20, 70:30, в якому 70,80 частка оптичного сигналу повертається до початкового посилання. В даний час оптичні розподіли широко використовуються в аналізі продуктивності мережі (NPM/APM), системі аудиту, аналізу поведінки користувачів, виявлення вторгнення в мережу та інших сценаріїв.
Переваги:
1. Висока надійність, пасивний оптичний пристрій;
2. Не займає порт комутаторів, незалежне обладнання, наступне може бути хорошим розширенням;
3. Не потрібно змінювати конфігурацію комутатора, не вплив на інше обладнання;
4. Повна колекція трафіку, відсутність фільтрації пакетів комутаторів, включаючи пакети помилок тощо.
Недоліки:
1. Потреба в простому розрізанні мережі, підключення волокна з кісточкою та набиранням оптичного спліттера, зменшить оптичну потужність деяких основних ланок
Проміжок (порт -дзеркало)
Span - це функція, яка поставляється з самим комутатором, тому його просто потрібно налаштувати на комутаторі. Однак ця функція вплине на продуктивність перемикача та спричинить втрати пакетів при перевантаженні даних.
Переваги:
1. Не потрібно додавати додаткове обладнання, налаштувати перемикач для збільшення відповідного вихідного порту реплікації зображення
Недоліки:
1. Зайняти порт комутаторів
2. Необхідно налаштувати перемикачі, що передбачає спільну координацію з сторонніми виробниками, збільшуючи потенційний ризик збої в мережу
3. Реплікація дзеркала трафіку впливає на продуктивність порту та перемикання.
Активний мережевий натискання (Торкніться агрегатора)
Мережевий натиск - це зовнішній мережевий пристрій, який дозволяє відображати порт і створює копію трафіку для використання різними пристроями моніторингу. Ці пристрої впроваджуються на місці в мережевому шляху, який потрібно спостерігати, і він копіює пакети IP -адреси даних та надсилає їх до інструменту моніторингу мережі. Вибір точки доступу для мережевого пристрою TAP залежить від фокусу мережних причин збору довідників, звичайного моніторингу аналізу та затримок, виявлення вторгнень тощо. Мережеві пристрої TAP можуть збирати та відображати потоки даних 1G до швидкості до 100г.
Ці пристрої отримують доступ до трафіку без мережевого TAP пристрою, що змінює потік пакетів будь -яким чином, незалежно від швидкості трафіку даних. Це означає, що мережевий трафік не підлягає моніторингу та дзеркальному відображенню портів, що має важливе значення для підтримки цілісності даних при переміщенні їх на інструменти безпеки та аналізу.
Це гарантує, що мережеві периферійні пристрої відстежують копії трафіку, щоб мережа натискала на пристрої, як спостерігачі. Подаючи копію своїх даних на будь -які/всі підключені пристрої, ви отримуєте повну видимість у мережевій точці. У випадку, якщо мережевий пристрій TAP або пристрій моніторингу не вдається, ви знаєте, що трафік не вплине, гарантуючи, що операційна система залишається безпечною та доступною.
У той же час він стає загальною мішенню пристроїв мережевих кранів. Доступ до пакетів завжди може бути наданий без переривання трафіку в мережі, і ці рішення видимості також можуть вирішити більш досконалі випадки. Потреби моніторингу інструментів, починаючи від брандмауерів наступного покоління до захисту витоку даних, моніторингу продуктивності додатків, SIEM, цифрової криміналістики, IPS, IDS тощо, примушують до розвитку пристроїв мережевих кранів.
Окрім надання повної копії трафіку та підтримки доступності, TAP пристрої можуть надати наступне.
1. Фільтр -пакети для максимізації продуктивності моніторингу мережі
Тільки тому, що мережевий пристрій TAP може створити 100% копію пакету в якийсь момент, не означає, що кожен інструмент моніторингу та безпеки повинен побачити все це. Потокове трафік до всіх інструментів моніторингу мережі та безпеки в режимі реального часу призведе лише до переповнення, тим самим завдаючи шкоди продуктивності інструментів та мережі в процесі.
Розміщення правильного мережевого пристрою TAP може допомогти фільтрувати пакети, коли вони направляються на інструмент моніторингу, розподіляючи потрібні дані до правильного інструменту. Приклади таких інструментів включають системи виявлення вторгнень (IDS), запобігання втратам даних (DLP), інформацію про безпеку та управління подіями (SIEM), криміналістичний аналіз та багато інших.
2. Сукупні посилання для ефективної мережі
У міру збільшення вимог до моніторингу мережі та безпеки, інженери мережі повинні знайти способи використання існуючих ІТ -бюджетів для виконання більшої кількості завдань. Але в якийсь момент ви не можете продовжувати додавати до стека нові пристрої та збільшувати складність вашої мережі. Важливо максимізувати використання інструментів моніторингу та безпеки.
Пристрої мережевого крана можуть допомогти, агрегувавши кілька мережевих трафіку, схід та захід, щоб доставити пакети до підключених пристроїв через один порт. Розгортання інструментів видимості таким чином зменшить кількість необхідних інструментів моніторингу. Оскільки трафік даних East-West продовжує зростати в центрах обробки даних та між центрами обробки даних, вимога до пристроїв мережевих кранів має важливе значення для підтримки видимості всіх розмірних потоків у великих обсягах даних.
Пов’язана стаття, яку ви можете цікавити, відвідайте тут:Як захопити мережевий трафік? Мережевий натискання проти порту Дзеркало
Час посади: жовтень-24-2024
