Indledning
Netværkstrafikindsamling og -analyse er det mest effektive middel til at få de første hånds netværksbrugeradfærdsindikatorer og parametre. Med den kontinuerlige forbedring af datacenter Q -drift og vedligeholdelse er netværkstrafikindsamling og -analyse blevet en uundværlig del af datacenterinfrastrukturen. Fra den nuværende industribrug realiseres netværkstrafikopsamling for det meste af netværksudstyr, der understøtter bypass -trafikspejl. Trafikindsamling er nødt til at etablere en omfattende dækning, et rimeligt og effektivt trafikindsamlingsnet, en sådan trafikindsamling kan hjælpe med at optimere netværks- og forretningspræstationsindikatorer og reducere sandsynligheden for fiasko.
Trafikindsamlingsnetværket kan betragtes som et uafhængigt netværk sammensat af trafikindsamlingsenheder og implementeret parallelt med produktionsnetværket. Det indsamler billedtrafikken på hver netværksenhed og aggregerer billedtrafikken i henhold til det regionale og arkitektoniske niveau. Den bruger trafikfiltreringsudvekslingsalarmen i trafikindsamlingsudstyret til at realisere den fulde linjehastighed for dataene for 2-4 lag betinget filtrering, fjerne duplikatpakker, afkortende pakker og andre avancerede funktionelle operationer og derefter sende dataene til hvert trafikanalysesystem. Trafikindsamlingsnetværket kan nøjagtigt sende specifikke data til hver enhed i henhold til datakravene i hvert system og løse det problem, at de traditionelle spejldata ikke kan filtreres og sendes, som forbruger behandlingsydelsen for netværksafbrydere. På samme tid indser trafikfiltrerings- og udvekslingsmotoren i trafikindsamlingsnetværket filtrering og videresendelse af data med lav forsinkelse og høj hastighed, sikrer kvaliteten af data indsamlet af trafikindsamlingsnetværket og giver et godt datafundament til det efterfølgende trafikanalyseudstyr.
For at reducere påvirkningen på det originale link opnås en kopi af den originale trafik normalt ved hjælp af stråleopdeling, span eller tryk.
Passiv Network Tap (Optical Splitter)
Måden at bruge let opdeling for at få trafikkopi kræver hjælp af en let splitterenhed. Den lette splitter er en passiv optisk enhed, der kan omfordele effektintensiteten af det optiske signal i overensstemmelse med den krævede andel. Splitteren kan opdele lys fra 1 til 2,1 til 4 og 1 til flere kanaler. For at reducere påvirkningen på det originale link vedtager datacentret normalt det optiske opdelingsforhold på 80:20, 70:30, hvor 70,80 andel af det optiske signal sendes tilbage til det originale link. På nuværende tidspunkt er optiske splitters i vid udstrækning brugt i netværkspræstationsanalyse (NPM/APM), revisionssystem, brugeradfærdsanalyse, netværksintrusionsdetektion og andre scenarier.
Fordele:
1. høj pålidelighed, passiv optisk enhed;
2. besætter ikke switchporten, uafhængigt udstyr, efterfølgende kan være god ekspansion;
3.. Ingen grund til at ændre switch -konfigurationen, ingen indflydelse på andet udstyr;
4. fuld trafikopsamling, ingen switch -pakkefiltrering, inklusive fejlpakker osv.
Ulemper:
1. Behovet for simpel netværksudskæring, rygradslinkfiberstik og opkald til den optiske splitter, vil reducere den optiske kraft i nogle rygradslink
Span (Port Mirror)
Span er en funktion, der følger med selve kontakten, så den skal bare konfigureres på kontakten. Imidlertid vil denne funktion påvirke ydelsen af kontakten og forårsage pakketab, når dataene er overbelastet.
Fordele:
1. Det er ikke nødvendigt at tilføje yderligere udstyr, konfigurere kontakten til at øge den tilsvarende billedreplikationsudgangsport
Ulemper:
1. Besæt switch -porten
2. switches skal konfigureres, hvilket involverer fælles koordinering med tredjepartsproducenter, hvilket øger den potentielle risiko for netværkssvigt
3. spejltrafikreplikation har indflydelse på port og switch ydelse.
Active Network Tap (Tap Aggregator)
Et netværksknap er en ekstern netværksenhed, der muliggør port spejl og opretter en kopi af trafik til brug af forskellige overvågningsenheder. Disse enheder introduceres på et sted i netværksstien, der skal observeres, og det kopierer Data IP -pakker og sender dem til netværksovervågningsværktøjet. Valget af adgangspunktet for netværks tapenheden afhænger af fokus på netværkstrafik -Data -indsamlingsårsager, rutinemæssig overvågning af analyse og forsinkelser, indtrængningsdetektion osv. Netværks tapenheder kan indsamle og spejle datastrømme til 1 g sats op til 100 g.
Disse enheder får adgang til trafik uden netværks -tapenheden, der ændrer pakkestrømmen på nogen måde, uanset datatrafikhastigheden. Dette betyder, at netværkstrafik ikke er underlagt overvågning og portspejling, hvilket er vigtigt for at opretholde integriteten af dataene, når de dirigerer til sikkerheds- og analyseværktøjer.
Det sikrer, at netværkets perifere enheder overvåger trafikkopierne, så netværksudhulerne fungerer som observatører. Ved at fodre en kopi af dine data til alle/alle tilsluttede enheder, får du fuld synlighed på netværkspunktet. I tilfælde af at en netværks tapenhed eller overvågningsenhed mislykkes, ved du, at trafik ikke vil blive påvirket, hvilket sikrer, at operativsystemet forbliver sikkert og tilgængeligt.
På samme tid bliver det det overordnede mål for netværks tapenheder. Adgang til pakker kan altid leveres uden at afbryde trafikken i netværket, og disse synlighedsløsninger kan også tackle mere avancerede sager. Overvågningsbehovene for værktøjer, der spænder fra næste generations firewalls til beskyttelse af lækage, applikationspræstationsovervågning, SIEM, digital kriminalteknik, IPS, ID'er og mere, Force Network Tap -enheder til at udvikle sig.
Ud over at tilvejebringe en komplet kopi af trafikken og vedligeholdelse af tilgængelighed, kan TAP -enheder give følgende.
1. filterpakker for at maksimere netværksovervågningsydelsen
Bare fordi en netværks tapenhed kan oprette en 100% kopi af en pakke på et tidspunkt, betyder det ikke, at hvert overvågnings- og sikkerhedsværktøj skal se det hele. Streaming af trafik til alle netværksovervågnings- og sikkerhedsværktøjer i realtid vil kun resultere i overordering og dermed skade ydelsen af værktøjerne og netværket i processen.
Placering af den rigtige netværkstapenhed kan hjælpe med at filtrere pakker, når de dirigeres til overvågningsværktøjet, og distribuerer de rigtige data til det rigtige værktøj. Eksempler på sådanne værktøjer inkluderer indtrængningsdetekteringssystemer (IDS), Data Loss Prevention (DLP), Security Information and Event Management (SIEM), retsmedicinsk analyse og mange flere.
2. samlede links til effektiv netværk
Efterhånden som netværksovervågning og sikkerhedskrav stiger, skal netværksingeniører finde måder at bruge eksisterende IT -budgetter til at udføre flere opgaver. Men på et tidspunkt kan du ikke fortsætte med at tilføje nye enheder til stakken og øge kompleksiteten i dit netværk. Det er vigtigt at maksimere brugen af overvågning og sikkerhedsværktøjer.
Netværkshaner kan hjælpe ved at samle flere netværkstrafik, østgående og vestgående, til at levere pakker til tilsluttede enheder gennem en enkelt port. Implementering af synlighedsværktøjer på denne måde reducerer antallet af krævede overvågningsværktøjer. Da øst-vest-datatrafik fortsætter med at vokse i datacentre og mellem datacentre, er kravet til netværks tapenheder vigtigt for at opretholde synligheden af alle dimensionelle strømme over store mængder data.
Relateret artikel Du kan interessant, se her:Hvordan man fanger netværkstrafik? Netværks tap vs Port Mirror
Posttid: Okt-24-2024