Вступ
Збір та аналіз мережевого трафіку є найефективнішим засобом отримання показників та параметрів поведінки користувачів мережі з перших рук. З постійним удосконаленням експлуатації та обслуговування центрів обробки даних, збір та аналіз мережевого трафіку стали невід'ємною частиною інфраструктури центрів обробки даних. З огляду на поточне використання в галузі, збір мережевого трафіку здебільшого здійснюється мережевим обладнанням, що підтримує обхідне дзеркало трафіку. Збір трафіку повинен мати комплексне покриття, розумну та ефективну мережу збору трафіку, такий збір трафіку може допомогти оптимізувати показники ефективності мережі та бізнесу, а також зменшити ймовірність збоїв.
Мережу збору трафіку можна розглядати як незалежну мережу, що складається з пристроїв збору трафіку та розгорнута паралельно з виробничою мережею. Вона збирає трафік зображень кожного мережевого пристрою та агрегує трафік зображень відповідно до регіонального та архітектурного рівнів. Вона використовує сигналізацію обміну фільтрацією трафіку в обладнанні збору трафіку для реалізації повної швидкості лінії передачі даних для 2-4 рівнів умовної фільтрації, видалення дублікатів пакетів, обрізання пакетів та інших розширених функціональних операцій, а потім надсилає дані до кожної системи аналізу трафіку. Мережа збору трафіку може точно надсилати певні дані до кожного пристрою відповідно до вимог до даних кожної системи та вирішувати проблему неможливості фільтрації та надсилання традиційних дзеркальних даних, що споживає обчислювальну продуктивність мережевих комутаторів. Водночас, механізм фільтрації та обміну трафіком мережі збору трафіку реалізує фільтрацію та пересилання даних з низькою затримкою та високою швидкістю, забезпечує якість даних, зібраних мережею збору трафіку, та забезпечує хорошу основу даних для наступного обладнання аналізу трафіку.
Щоб зменшити вплив на оригінальне з'єднання, копію оригінального трафіку зазвичай отримують за допомогою розщеплення променя, SPAN або TAP.
Пасивний мережевий відгалужувач (оптичний розгалужувач)
Спосіб використання розщеплення світла для отримання копії трафіку вимагає використання пристрою розщеплення світла. Розщеплювач світла - це пасивний оптичний пристрій, який може перерозподіляти інтенсивність потужності оптичного сигналу відповідно до необхідної пропорції. Розщеплювач може розділяти світло з 1 на 2, з 1 на 4 та з 1 на кілька каналів. Щоб зменшити вплив на вихідне з'єднання, центр обробки даних зазвичай використовує коефіцієнт оптичного розщеплення 80:20, 70:30, при якому 70,80% частка оптичного сигналу надсилається назад на вихідне з'єднання. Наразі оптичні розщеплювачі широко використовуються в аналізі продуктивності мережі (NPM/APM), системах аудиту, аналізі поведінки користувачів, виявленні вторгнень у мережу та інших сценаріях.
Переваги:
1. Висока надійність, пасивний оптичний пристрій;
2. Не займає порт комутатора, незалежне обладнання, подальше розширення може бути гарним;
3. Немає потреби змінювати конфігурацію комутатора, немає впливу на інше обладнання;
4. Повний збір трафіку, відсутність фільтрації пакетів комутатора, включаючи пакети помилок тощо.
Недоліки:
1. Необхідність простого перемикання мережі, підключення оптоволоконного каналу магістрального з'єднання та набирання номера до оптичного розгалужувача зменшить оптичну потужність деяких магістральних каналів.
SPAN (дзеркало порту)
SPAN – це функція, яка постачається з самим комутатором, тому її потрібно лише налаштувати на комутаторі. Однак ця функція вплине на продуктивність комутатора та призведе до втрати пакетів, коли дані перевантажені.
Переваги:
1. Не потрібно додавати додаткове обладнання, налаштуйте комутатор для збільшення відповідного вихідного порту реплікації зображень
Недоліки:
1. Займіть порт комутатора
2. Комутатори потребують налаштування, що передбачає спільну координацію зі сторонніми виробниками, що збільшує потенційний ризик збою мережі.
3. Реплікація дзеркального трафіку впливає на продуктивність портів і комутаторів.
Активний мережевий TAP (агрегатор TAP)
Мережевий TAP – це зовнішній мережевий пристрій, який дозволяє дзеркалювання портів і створює копію трафіку для використання різними пристроями моніторингу. Ці пристрої встановлюються в місці мережевого шляху, яке потрібно спостерігати, копіюють IP-пакети даних і надсилають їх до засобу моніторингу мережі. Вибір точки доступу для пристрою Network TAP залежить від спрямованості мережевого трафіку – причин збору даних, регулярного моніторингу аналізу та затримок, виявлення вторгнень тощо. Мережеві пристрої TAP можуть збирати та дзеркалювати потоки даних зі швидкістю 1G до 100G.
Ці пристрої отримують доступ до трафіку без будь-якої зміни потоку пакетів мережевим пристроєм TAP, незалежно від швидкості трафіку даних. Це означає, що мережевий трафік не підлягає моніторингу та дзеркалюванню портів, що є важливим для підтримки цілісності даних під час їх маршрутизації до інструментів безпеки та аналізу.
Це гарантує, що мережеві периферійні пристрої контролюють копії трафіку, завдяки чому мережеві пристрої TAP виступають у ролі спостерігачів. Надаючи копію своїх даних на будь-який/всі підключені пристрої, ви отримуєте повну видимість у точці мережі. У разі збою мережевого пристрою TAP або пристрою моніторингу, ви знаєте, що трафік не постраждає, забезпечуючи безпеку та доступність операційної системи.
Водночас, це стає загальною метою мережевих TAP-пристроїв. Доступ до пакетів завжди може бути забезпечений без переривання трафіку в мережі, а ці рішення для забезпечення видимості також можуть вирішувати більш складні випадки. Потреби в моніторингу інструментів, починаючи від брандмауерів наступного покоління до захисту від витоку даних, моніторингу продуктивності додатків, SIEM, цифрової криміналістики, IPS, IDS тощо, змушують мережеві TAP-пристрої розвиватися.
Окрім надання повної копії трафіку та підтримки доступності, пристрої TAP можуть забезпечити наступне.
1. Фільтрування пакетів для максимізації продуктивності мережевого моніторингу
Те, що мережевий пристрій TAP може створити 100% копію пакета в певний момент, не означає, що кожен інструмент моніторингу та безпеки повинен бачити його повністю. Потокова передача трафіку до всіх інструментів моніторингу та безпеки мережі в режимі реального часу призведе лише до перевпорядкування, що негативно позначиться на продуктивності інструментів та мережі.
Розміщення правильного пристрою Network TAP може допомогти фільтрувати пакети під час маршрутизації до засобу моніторингу, розподіляючи потрібні дані до потрібного інструменту. Прикладами таких інструментів є системи виявлення вторгнень (IDS), запобігання втраті даних (DLP), управління інформацією та подіями безпеки (SIEM), судово-медичний аналіз та багато інших.
2. Агреговані посилання для ефективної роботи в мережі
Зі зростанням вимог до моніторингу та безпеки мережі, мережеві інженери повинні знаходити способи використання існуючих ІТ-бюджетів для виконання більшої кількості завдань. Але в певний момент ви не можете постійно додавати нові пристрої до стеку та збільшувати складність вашої мережі. Вкрай важливо максимізувати використання інструментів моніторингу та безпеки.
Мережеві пристрої TAP можуть допомогти, агрегуючи кілька мережевих трафіків, як на схід, так і на захід, для доставки пакетів до підключених пристроїв через один порт. Розгортання інструментів видимості таким чином зменшить кількість необхідних інструментів моніторингу. Оскільки східно-західний трафік даних продовжує зростати в центрах обробки даних та між центрами обробки даних, потреба в мережевих пристроях TAP є важливою для підтримки видимості всіх потоків між великими обсягами даних.
Пов’язана стаття, яка може вас зацікавити, будь ласка, відвідайте її:Як захопити мережевий трафік? Мережевий тап проти дзеркала порту
Час публікації: 24 жовтня 2024 р.
