Introduktion
Insamling och analys av nätverkstrafik är det mest effektiva sättet att få fram indikatorer och parametrar för nätverksanvändarbeteende. Med den kontinuerliga förbättringen av drift och underhåll av datacenters Q har insamling och analys av nätverkstrafik blivit en oumbärlig del av datacenterinfrastrukturen. Från och med den nuvarande användningen i branschen sker insamling av nätverkstrafik mestadels med hjälp av nätverksutrustning som stöder bypass-trafikspeglar. Trafikinsamling behöver etablera ett heltäckande, rimligt och effektivt trafikinsamlingsnätverk. Sådan trafikinsamling kan bidra till att optimera nätverks- och affärsprestandaindikatorer och minska sannolikheten för fel.
Trafikinsamlingsnätverket kan betraktas som ett oberoende nätverk bestående av trafikinsamlingsenheter och distribuerat parallellt med produktionsnätverket. Det samlar in bildtrafiken från varje nätverksenhet och aggregerar bildtrafiken enligt regionala och arkitektoniska nivåer. Det använder trafikfiltreringsutbyteslarmet i trafikinsamlingsutrustningen för att realisera full linjehastighet för data för 2-4 lager av villkorlig filtrering, ta bort dubbletter av paket, trunkera paket och andra avancerade funktionella operationer, och skickar sedan data till varje trafikanalyssystem. Trafikinsamlingsnätverket kan exakt skicka specifika data till varje enhet enligt datakraven för varje system och lösa problemet med att traditionell spegeldata inte kan filtreras och skickas, vilket förbrukar nätverksväxlarnas bearbetningsprestanda. Samtidigt realiserar trafikfiltrerings- och utbytesmotorn i trafikinsamlingsnätverket filtrering och vidarebefordran av data med låg fördröjning och hög hastighet, säkerställer kvaliteten på data som samlas in av trafikinsamlingsnätverket och ger en bra datagrund för den efterföljande trafikanalysutrustningen.
För att minska påverkan på den ursprungliga länken erhålls vanligtvis en kopia av den ursprungliga trafiken med hjälp av stråldelning, SPAN eller TAP.
Passiv nätverksavtappning (optisk splitter)
Sättet att använda ljusdelning för att erhålla trafikkopia kräver hjälp av en ljusdelningsenhet. Ljusdelningen är en passiv optisk enhet som kan omfördela den optiska signalens effektintensitet i enlighet med önskad proportion. Delaren kan dela ljus från 1 till 2, 1 till 4 och 1 till flera kanaler. För att minska påverkan på den ursprungliga länken använder datacentret vanligtvis det optiska delningsförhållandet 80:20, 70:30, där 70:80% av den optiska signalen skickas tillbaka till den ursprungliga länken. För närvarande används optiska delare i stor utsträckning inom nätverksprestandaanalys (NPM/APM), revisionssystem, användarbeteendeanalys, nätverksintrångsdetektering och andra scenarier.
Fördelar:
1. Hög tillförlitlighet, passiv optisk enhet;
2. Upptar inte switchporten, oberoende utrustning, efterföljande kan vara bra expansion;
3. Inget behov av att ändra switchkonfigurationen, ingen påverkan på annan utrustning;
4. Fullständig trafikinsamling, ingen switchpaketfiltrering, inklusive felpaket etc.
Nackdelar:
1. Behovet av enkel nätverksöverkoppling, fiberkontakt för stamnätslänk och uppringning till den optiska splittern kommer att minska den optiska effekten hos vissa stamnätslänkar.
SPAN (Babordsspegel)
SPAN är en funktion som följer med själva switchen, så den behöver bara konfigureras på switchen. Denna funktion kommer dock att påverka switchens prestanda och orsaka paketförlust när data överbelastas.
Fördelar:
1. Det är inte nödvändigt att lägga till ytterligare utrustning, konfigurera switchen för att öka motsvarande bildreplikeringsport.
Nackdelar:
1. Uppta switchporten
2. Switchar måste konfigureras, vilket innebär gemensam samordning med tredjepartstillverkare, vilket ökar den potentiella risken för nätverksfel.
3. Replikering av speglad trafik påverkar port- och switchprestanda.
Aktiv nätverks-TAP (TAP-aggregator)
En Network TAP är en extern nätverksenhet som möjliggör portspegling och skapar en kopia av trafiken för användning av olika övervakningsenheter. Dessa enheter introduceras på en plats i nätverksvägen som behöver observeras, och kopierar IP-datapaketen och skickar dem till nätverksövervakningsverktyget. Valet av åtkomstpunkt för Network TAP-enheten beror på nätverkstrafikens fokus - datainsamlingsskäl, rutinmässig övervakning av analys och fördröjningar, intrångsdetektering etc. Network TAP-enheter kan samla in och spegla dataströmmar med 1G-hastighet upp till 100G.
Dessa enheter får åtkomst till trafik utan att nätverkets TAP-enhet ändrar paketflödet på något sätt, oavsett datatrafikhastigheten. Det innebär att nätverkstrafiken inte övervakas eller speglas i portar, vilket är avgörande för att upprätthålla dataintegriteten när den dirigeras till säkerhets- och analysverktyg.
Det säkerställer att nätverkstillbehören övervakar trafikkopiorna så att nätverkets TAP-enheter fungerar som observatörer. Genom att mata en kopia av dina data till alla anslutna enheter får du fullständig insyn i nätverkspunkten. Om en nätverks-TAP-enhet eller övervakningsenhet skulle sluta fungera vet du att trafiken inte påverkas, vilket säkerställer att operativsystemet förblir säkert och tillgängligt.
Samtidigt blir det det övergripande målet för nätverks-TAP-enheter. Åtkomst till paket kan alltid tillhandahållas utan att avbryta trafiken i nätverket, och dessa synlighetslösningar kan även hantera mer avancerade fall. Övervakningsbehoven hos verktyg som sträcker sig från nästa generations brandväggar till dataläckageskydd, övervakning av applikationsprestanda, SIEM, digital forensik, IPS, IDS med mera, tvingar nätverks-TAP-enheter att utvecklas.
Förutom att tillhandahålla en komplett kopia av trafiken och upprätthålla tillgänglighet kan TAP-enheter tillhandahålla följande.
1. Filtrera paket för att maximera nätverksövervakningens prestanda
Bara för att en Network TAP-enhet kan skapa en 100 % kopia av ett paket vid någon tidpunkt betyder det inte att alla övervaknings- och säkerhetsverktyg behöver se hela saken. Att strömma trafik till alla nätverksövervaknings- och säkerhetsverktyg i realtid kommer bara att resultera i överbeställning, vilket i sin tur skadar verktygens och nätverkets prestanda.
Att placera rätt Network TAP-enhet kan hjälpa till att filtrera paket när de dirigeras till övervakningsverktyget och distribuera rätt data till rätt verktyg. Exempel på sådana verktyg inkluderar intrångsdetekteringssystem (IDS), dataförlustskydd (DLP), säkerhetsinformation och händelsehantering (SIEM), forensisk analys och många fler.
2. Samlade länkar för effektivt nätverkande
I takt med att kraven på nätverksövervakning och säkerhet ökar måste nätverksingenjörer hitta sätt att använda befintliga IT-budgetar för att utföra fler uppgifter. Men vid någon tidpunkt kan man inte fortsätta lägga till nya enheter i stacken och öka komplexiteten i nätverket. Det är viktigt att maximera användningen av övervaknings- och säkerhetsverktyg.
Nätverks-TAP-enheter kan hjälpa till genom att aggregera flera nätverkstrafiker, österut och västerut, för att leverera paket till anslutna enheter via en enda port. Att distribuera synlighetsverktyg på detta sätt kommer att minska antalet övervakningsverktyg som krävs. I takt med att öst-västlig datatrafik fortsätter att växa i datacenter och mellan datacenter är kravet på nätverks-TAP-enheter avgörande för att upprätthålla synligheten av alla dimensionella flöden över stora datamängder.
Relaterad artikel som du kanske är intresserad av, besök den här:Hur man fångar nätverkstrafik? Network Tap vs Port Mirror
Publiceringstid: 24 oktober 2024
