Indledning
Indsamling og analyse af netværkstrafik er den mest effektive metode til at få førstehåndsindsigt i indikatorer og parametre for brugeradfærd på netværket. Med den løbende forbedring af drift og vedligeholdelse af datacentrets Q er indsamling og analyse af netværkstrafik blevet en uundværlig del af datacenterinfrastrukturen. Fra den nuværende brug i industrien opnås indsamling af netværkstrafik primært via netværksudstyr, der understøtter bypass-trafikspejle. Trafikindsamling skal etablere et omfattende dækningsniveau, et rimeligt og effektivt trafikindsamlingsnetværk. Sådan trafikindsamling kan bidrage til at optimere netværks- og forretningspræstationsindikatorer og reducere sandsynligheden for fejl.
Trafikindsamlingsnetværket kan betragtes som et uafhængigt netværk bestående af trafikindsamlingsenheder og implementeret parallelt med produktionsnetværket. Det indsamler billedtrafikken fra hver netværksenhed og aggregerer billedtrafikken i henhold til regionale og arkitektoniske niveauer. Det bruger trafikfiltreringsudvekslingsalarmen i trafikindsamlingsudstyret til at realisere den fulde linjehastighed for dataene for 2-4 lag af betinget filtrering, fjerne duplikerede pakker, afkorte pakker og andre avancerede funktionelle operationer, og sender derefter dataene til hvert trafikanalysesystem. Trafikindsamlingsnetværket kan præcist sende specifikke data til hver enhed i henhold til datakravene for hvert system og løse problemet med, at de traditionelle spejldata ikke kan filtreres og sendes, hvilket forbruger netværksswitches behandlingsydelse. Samtidig realiserer trafikfiltrerings- og udvekslingsmotoren i trafikindsamlingsnetværket filtrering og videresendelse af data med lav forsinkelse og høj hastighed, sikrer kvaliteten af data indsamlet af trafikindsamlingsnetværket og giver et godt datagrundlag for det efterfølgende trafikanalyseudstyr.
For at reducere påvirkningen af det oprindelige link, opnås en kopi af den oprindelige trafik normalt ved hjælp af beam splitting, SPAN eller TAP.
Passivt netværksudtag (optisk splitter)
Måden at bruge lysdeling til at opnå trafikkopi kræver hjælp af en lysdelerenhed. Lysdeleren er en passiv optisk enhed, der kan omfordele effektintensiteten af det optiske signal i overensstemmelse med den krævede andel. Splitteren kan opdele lys fra 1 til 2, 1 til 4 og 1 til flere kanaler. For at reducere påvirkningen af det oprindelige link anvender datacentret normalt et optisk opdelingsforhold på 80:20, 70:30, hvor 70:80% af det optiske signal sendes tilbage til det oprindelige link. I øjeblikket anvendes optiske splittere i vid udstrækning i netværksydelsesanalyse (NPM/APM), revisionssystemer, brugeradfærdsanalyse, netværksindtrængningsdetektion og andre scenarier.
Fordele:
1. Passiv optisk enhed med høj pålidelighed;
2. Optager ikke switchporten, uafhængigt udstyr, efterfølgende kan være god ekspansion;
3. Ingen grund til at ændre switchkonfigurationen, ingen påvirkning af andet udstyr;
4. Fuld trafikindsamling, ingen switch-pakkefiltrering, inklusive fejlpakker osv.
Ulemper:
1. Behovet for simpel netværksoverførsel, backbone-link fiberstik og opkald til den optiske splitter vil reducere den optiske effekt af nogle backbone-links
SPAN (Port Mirror)
SPAN er en funktion, der følger med selve switchen, så den skal blot konfigureres på switchen. Denne funktion vil dog påvirke switchens ydeevne og forårsage pakketab, når dataene overbelastes.
Fordele:
1. Det er ikke nødvendigt at tilføje yderligere udstyr. Konfigurer switchen til at øge den tilsvarende billedreplikeringsport.
Ulemper:
1. Optag switchporten
2. Switche skal konfigureres, hvilket involverer fælles koordinering med tredjepartsproducenter, hvilket øger den potentielle risiko for netværksfejl.
3. Replikering af spejltrafik har indflydelse på port- og switch-ydeevne.
Aktivt netværks-TAP (TAP-aggregator)
En Network TAP er en ekstern netværksenhed, der muliggør portspejling og opretter en kopi af trafikken til brug for forskellige overvågningsenheder. Disse enheder introduceres på et sted i netværksstien, der skal observeres, og de kopierer IP-datapakkerne og sender dem til netværksovervågningsværktøjet. Valget af adgangspunkt til Network TAP-enheden afhænger af netværkstrafikkens fokus - dataindsamlingsårsager, rutinemæssig overvågning af analyse og forsinkelser, indtrængningsdetektion osv. Network TAP-enheder kan indsamle og spejle datastrømme med en hastighed på 1G op til 100G.
Disse enheder tilgår trafik uden at netværkets TAP-enhed ændrer pakkeflowet på nogen måde, uanset datatrafikhastigheden. Det betyder, at netværkstrafikken ikke overvåges og portspejles, hvilket er afgørende for at opretholde dataenes integritet, når de dirigeres til sikkerheds- og analyseværktøjer.
Det sikrer, at netværkets perifere enheder overvåger trafikkopierne, så netværkets TAP-enheder fungerer som observatører. Ved at sende en kopi af dine data til alle tilsluttede enheder får du fuld oversigt over netværkspunktet. I tilfælde af at en netværks-TAP-enhed eller overvågningsenhed fejler, ved du, at trafikken ikke vil blive påvirket, hvilket sikrer, at operativsystemet forbliver sikkert og tilgængeligt.
Samtidig bliver det det overordnede mål for netværks-TAP-enheder. Adgang til pakker kan altid gives uden at afbryde trafikken i netværket, og disse synlighedsløsninger kan også håndtere mere avancerede tilfælde. Overvågningsbehovene for værktøjer, der spænder fra næste generations firewalls til beskyttelse mod datalækage, overvågning af applikationsydelse, SIEM, digital retsmedicin, IPS, IDS og mere, tvinger netværks-TAP-enheder til at udvikle sig.
Udover at levere en komplet kopi af trafikken og opretholde tilgængelighed, kan TAP-enheder levere følgende.
1. Filtrer pakker for at maksimere netværksovervågningens ydeevne
Bare fordi en Network TAP-enhed kan oprette en 100% kopi af en pakke på et tidspunkt, betyder det ikke, at alle overvågnings- og sikkerhedsværktøjer skal se det hele. Streaming af trafik til alle netværksovervågnings- og sikkerhedsværktøjer i realtid vil kun resultere i overbestilling, hvilket vil skade værktøjernes og netværkets ydeevne i processen.
Placering af den rigtige Network TAP-enhed kan hjælpe med at filtrere pakker, når de dirigeres til overvågningsværktøjet, og distribuere de rigtige data til det rigtige værktøj. Eksempler på sådanne værktøjer omfatter indtrængningsdetektionssystemer (IDS), data loss prevention (DLP), sikkerhedsinformation og hændelsesstyring (SIEM), retsmedicinsk analyse og mange flere.
2. Saml links til effektiv netværksdannelse
Efterhånden som kravene til netværksovervågning og sikkerhed stiger, skal netværksingeniører finde måder at bruge eksisterende IT-budgetter til at udføre flere opgaver. Men på et tidspunkt kan man ikke blive ved med at tilføje nye enheder til stakken og øge kompleksiteten af sit netværk. Det er vigtigt at maksimere brugen af overvågnings- og sikkerhedsværktøjer.
Netværks-TAP-enheder kan hjælpe ved at aggregere flere netværkstrafikker, østgående og vestgående, for at levere pakker til tilsluttede enheder via en enkelt port. Implementering af synlighedsværktøjer på denne måde vil reducere antallet af nødvendige overvågningsværktøjer. Efterhånden som øst-vest-datatrafikken fortsætter med at vokse i datacentre og mellem datacentre, er kravet om netværks-TAP-enheder afgørende for at opretholde synligheden af alle dimensionelle strømme på tværs af store datamængder.
Relateret artikel, som måske er interessant for dig, kan du besøge her:Hvordan opfanger man netværkstrafik? Network Tap vs. Port Mirror
Opslagstidspunkt: 24. oktober 2024