Indledning
Netværkstrafikindsamling og -analyse er det mest effektive middel til at opnå førstehåndsindikatorer og parametre for netværksbrugernes adfærd. Med den løbende forbedring af drift og vedligeholdelse af datacenter Q er indsamling og analyse af netværkstrafik blevet en uundværlig del af datacenterets infrastruktur. Fra den nuværende industribrug realiseres indsamling af netværkstrafik for det meste af netværksudstyr, der understøtter bypass-trafikspejl. Trafikindsamling skal etablere en omfattende dækning, rimelig og effektiv trafikindsamlingsnetværk, sådan trafikindsamling kan bidrage til at optimere netværks- og forretningsresultatindikatorer og reducere sandsynligheden for fejl.
Trafikopsamlingsnetværket kan betragtes som et uafhængigt netværk sammensat af trafikopsamlingsenheder og installeret parallelt med produktionsnetværket. Den indsamler billedtrafikken fra hver netværksenhed og aggregerer billedtrafikken i henhold til de regionale og arkitektoniske niveauer. Den bruger trafikfiltreringsudvekslingsalarmen i trafikopsamlingsudstyret til at realisere dataens fulde linjehastighed for 2-4 lag betinget filtrering, fjernelse af duplikerede pakker, trunkering af pakker og andre avancerede funktionelle operationer og sender derefter dataene til hver trafik analyse system. Trafikindsamlingsnetværket kan nøjagtigt sende specifikke data til hver enhed i henhold til datakravene for hvert system og løse problemet med, at de traditionelle spejldata ikke kan filtreres og sendes, hvilket forbruger netværksswitches behandlingsydelse. Samtidig realiserer trafikfiltrerings- og udvekslingsmotoren i trafikindsamlingsnetværket filtrering og videresendelse af data med lav forsinkelse og høj hastighed, sikrer kvaliteten af data indsamlet af trafikindsamlingsnetværket og giver et godt datagrundlag for efterfølgende trafikanalyseudstyr.
For at mindske påvirkningen af det originale link, opnås en kopi af den oprindelige trafik normalt ved hjælp af beam splitting, SPAN eller TAP.
Passiv netværkstap (optisk splitter)
Måden at bruge lysopdeling til at opnå trafikkopi på kræver hjælp af en lysdelerenhed. Lyssplitteren er en passiv optisk enhed, der kan omfordele strømintensiteten af det optiske signal i overensstemmelse med den nødvendige andel. Splitteren kan dele lys fra 1 til 2,1 til 4 og 1 til flere kanaler. For at reducere indvirkningen på det oprindelige link, anvender datacentret normalt det optiske opdelingsforhold på 80:20, 70:30, hvor 70,80 andel af det optiske signal sendes tilbage til det oprindelige link. På nuværende tidspunkt er optiske splittere meget udbredt i netværksydelsesanalyse (NPM/APM), revisionssystem, brugeradfærdsanalyse, netværksindtrængningsdetektion og andre scenarier.
Fordele:
1. Høj pålidelighed, passiv optisk enhed;
2. Optager ikke switch-porten, uafhængigt udstyr, efterfølgende kan være god ekspansion;
3. Ingen grund til at ændre switch-konfigurationen, ingen indvirkning på andet udstyr;
4. Fuld trafikopsamling, ingen switch-pakkefiltrering, inklusive fejlpakker mv.
Ulemper:
1. Behovet for simpel netværksoverskæring, backbone link fiberstik og urskive til den optiske splitter, vil reducere den optiske effekt af nogle backbone links
SPAN (Port Mirror)
SPAN er en funktion, der følger med selve switchen, så den skal blot konfigureres på switchen. Denne funktion vil dog påvirke switchens ydeevne og forårsage pakketab, når dataene er overbelastet.
Fordele:
1. Det er ikke nødvendigt at tilføje ekstra udstyr, konfigurer switchen til at øge den tilsvarende billedreplikeringsudgangsport
Ulemper:
1. Optag switchporten
2. Switche skal konfigureres, hvilket involverer fælles koordinering med tredjepartsproducenter, hvilket øger den potentielle risiko for netværksfejl
3. Spejltrafikreplikering har indflydelse på port- og switchydeevne.
Active Network TAP (TAP Aggregator)
En Network TAP er en ekstern netværksenhed, der muliggør portspejling og opretter en kopi af trafikken til brug for forskellige overvågningsenheder. Disse enheder introduceres på et sted i netværksstien, der skal observeres, og det kopierer IP-datapakkerne og sender dem til netværksovervågningsværktøjet. Valget af adgangspunktet til Network TAP-enheden afhænger af netværkstrafikkens fokus - dataindsamlingsårsager, rutinemæssig overvågning af analyser og forsinkelser, indtrængningsdetektion osv. Network TAP-enheder kan indsamle og spejle datastrømme med 1G-hastigheder op til 100G.
Disse enheder får adgang til trafik, uden at netværkets TAP-enhed på nogen måde ændrer pakkestrømmen, uanset datatrafikhastigheden. Det betyder, at netværkstrafikken ikke er underlagt overvågning og portspejling, hvilket er afgørende for at bevare dataenes integritet, når de dirigeres til sikkerheds- og analyseværktøjer.
Det sikrer, at netværkets perifere enheder overvåger trafikkopierne, så netværkets TAP-enheder fungerer som observatører. Ved at sende en kopi af dine data til enhver/alle tilsluttede enheder, får du fuld synlighed på netværkspunktet. I tilfælde af at en netværks-TAP-enhed eller overvågningsenhed svigter, ved du, at trafikken ikke vil blive påvirket, hvilket sikrer, at operativsystemet forbliver sikkert og tilgængeligt.
Samtidig bliver det det overordnede mål for netværk TAP-enheder. Adgang til pakker kan altid gives uden at afbryde trafikken i netværket, og disse synlighedsløsninger kan også adressere mere avancerede sager. Overvågningsbehovene for værktøjer lige fra næste generation af firewalls til beskyttelse af datalækage, overvågning af applikationsydelse, SIEM, digital efterforskning, IPS, IDS og mere tvinger netværk TAP-enheder til at udvikle sig.
Ud over at levere en komplet kopi af trafikken og opretholde tilgængelighed, kan TAP-enheder levere følgende.
1. Filtrer pakker for at maksimere netværksovervågningsydelsen
Bare fordi en Network TAP-enhed kan oprette en 100 % kopi af en pakke på et tidspunkt, betyder det ikke, at alle overvågnings- og sikkerhedsværktøjer skal se det hele. Streaming af trafik til alle netværksovervågnings- og sikkerhedsværktøjer i realtid vil kun resultere i overbestilling og dermed skade ydeevnen af værktøjerne og netværket i processen.
Placering af den rigtige Network TAP-enhed kan hjælpe med at filtrere pakker, når de sendes til overvågningsværktøjet, og distribuere de rigtige data til det rigtige værktøj. Eksempler på sådanne værktøjer omfatter Intrusion Detection Systems (IDS), Data Loss Prevention (DLP), sikkerhedsinformation og hændelsesstyring (SIEM), retsmedicinsk analyse og mange flere.
2. Samlede links til effektivt netværk
Efterhånden som kravene til netværksovervågning og -sikkerhed stiger, skal netværksingeniører finde måder at bruge eksisterende it-budgetter på til at udføre flere opgaver. Men på et tidspunkt kan du ikke blive ved med at tilføje nye enheder til stakken og øge kompleksiteten af dit netværk. Det er vigtigt at maksimere brugen af overvågnings- og sikkerhedsværktøjer.
Netværk TAP-enheder kan hjælpe ved at samle flere netværkstrafik, østgående og vestgående, for at levere pakker til tilsluttede enheder gennem en enkelt port. Implementering af synlighedsværktøjer på denne måde vil reducere antallet af nødvendige overvågningsværktøjer. Da øst-vest datatrafik fortsætter med at vokse i datacentre og mellem datacentre, er kravet om netværk TAP-enheder afgørende for at opretholde synlighed af alle dimensionelle flows på tværs af store datamængder.
Relateret artikel, du kan være interessant, kan du besøge her:Hvordan fanger man netværkstrafik? Network Tap vs Port Mirror
Indlægstid: 24. oktober 2024