Introduktion
Insamling och analys av nätverkstrafik är det mest effektiva sättet att få förstahandsindikatorer och parametrar för nätverksanvändarnas beteende. Med den kontinuerliga förbättringen av drift och underhåll av datacenter Q har insamling och analys av nätverkstrafik blivit en oumbärlig del av datacentrets infrastruktur. Från nuvarande industrianvändning realiseras insamling av nätverkstrafik mestadels av nätverksutrustning som stöder bypass-trafikspegel. Trafikinsamling måste skapa en omfattande täckning, rimligt och effektivt trafikinsamlingsnätverk, kan sådan trafikinsamling bidra till att optimera nätverks- och affärsresultatindikatorer och minska sannolikheten för misslyckande.
Trafikuppsamlingsnätverket kan betraktas som ett oberoende nätverk bestående av trafikuppsamlingsanordningar och utplacerat parallellt med produktionsnätverket. Den samlar in bildtrafiken för varje nätverksenhet och aggregerar bildtrafiken enligt de regionala och arkitektoniska nivåerna. Den använder trafikfiltreringsutbyteslarmet i trafikinsamlingsutrustningen för att realisera den fulla linjehastigheten för data för 2-4 lager av villkorad filtrering, ta bort dubbletter av paket, trunkering av paket och andra avancerade funktionella operationer, och skickar sedan data till varje trafik analyssystem. Trafikinsamlingsnätverket kan exakt skicka specifika data till varje enhet i enlighet med datakraven för varje system och lösa problemet med att traditionella spegeldata inte kan filtreras och skickas, vilket förbrukar bearbetningsprestandan för nätverksväxlar. Samtidigt realiserar trafikfiltrerings- och utbytesmotorn för trafikinsamlingsnätverket filtrering och vidarebefordran av data med låg fördröjning och hög hastighet, säkerställer kvaliteten på data som samlas in av trafikinsamlingsnätverket och ger en bra datagrund för efterföljande trafikanalysutrustning.
För att minska påverkan på den ursprungliga länken erhålls vanligtvis en kopia av den ursprungliga trafiken med hjälp av stråldelning, SPAN eller TAP.
Passiv nätverkskran (optisk splitter)
Sättet att använda ljusdelning för att få trafikkopia kräver hjälp av en ljusdelare. Ljusdelaren är en passiv optisk enhet som kan omfördela den optiska signalens effektintensitet i enlighet med den proportion som krävs. Delaren kan dela ljus från 1 till 2,1 till 4 och 1 till flera kanaler. För att minska påverkan på den ursprungliga länken, använder datacentret vanligtvis det optiska uppdelningsförhållandet på 80:20, 70:30, där 70,80 andel av den optiska signalen skickas tillbaka till den ursprungliga länken. För närvarande används optiska splittrar i stor utsträckning i nätverksprestandaanalys (NPM/APM), revisionssystem, användarbeteendeanalys, nätverksintrångsdetektering och andra scenarier.
Fördelar:
1. Hög tillförlitlighet, passiv optisk enhet;
2. Upptar inte switch-porten, oberoende utrustning, efterföljande kan vara bra expansion;
3. Inget behov av att ändra switchkonfigurationen, ingen påverkan på annan utrustning;
4. Full trafikinsamling, ingen växlingspaketfiltrering, inklusive felpaket etc.
Nackdelar:
1. Behovet av enkel nätverksöverkoppling, stamnätslänkfiberplugg och ratt till den optiska splittern kommer att minska den optiska kraften hos vissa stamnätslänkar
SPAN (Port Mirror)
SPAN är en funktion som följer med själva switchen, så den behöver bara konfigureras på switchen. Den här funktionen kommer dock att påverka switchens prestanda och orsaka paketförlust när data överbelastas.
Fördelar:
1. Det är inte nödvändigt att lägga till ytterligare utrustning, konfigurera switchen för att öka motsvarande bildreplikeringsport
Nackdelar:
1. Uppta switchporten
2. Switchar måste konfigureras, vilket innebär gemensam samordning med tredjepartstillverkare, vilket ökar den potentiella risken för nätverksfel
3. Replikering av spegeltrafik har en inverkan på port- och switchprestanda.
Active Network TAP (TAP Aggregator)
En Network TAP är en extern nätverksenhet som möjliggör portspegling och skapar en kopia av trafik för användning av olika övervakningsenheter. Dessa enheter introduceras på en plats i nätverksvägen som måste observeras, och den kopierar IP-datapaketen och skickar dem till nätverksövervakningsverktyget. Valet av åtkomstpunkt för Network TAP-enheten beror på nätverkstrafikens fokus - skäl för datainsamling, rutinövervakning av analyser och förseningar, intrångsdetektering etc. Nätverks-TAP-enheter kan samla in och spegla dataströmmar med 1G-hastighet upp till 100G.
Dessa enheter kommer åt trafik utan att nätverkets TAP-enhet ändrar paketflödet på något sätt, oavsett datatrafikhastigheten. Detta innebär att nätverkstrafiken inte är föremål för övervakning och portspegling, vilket är väsentligt för att upprätthålla dataintegriteten när den dirigeras till säkerhets- och analysverktyg.
Det säkerställer att nätverkets kringutrustning övervakar trafikkopiorna så att nätverkets TAP-enheter fungerar som observatörer. Genom att mata en kopia av dina data till alla/alla anslutna enheter får du full synlighet vid nätverkspunkten. I händelse av att en nätverks-TAP-enhet eller övervakningsenhet misslyckas vet du att trafiken inte kommer att påverkas, vilket säkerställer att operativsystemet förblir säkert och tillgängligt.
Samtidigt blir det det övergripande målet för TAP-nätverksenheter. Tillgång till paket kan alltid tillhandahållas utan att störa trafiken i nätverket, och dessa synlighetslösningar kan även hantera mer avancerade fall. Övervakningsbehoven hos verktyg som sträcker sig från nästa generations brandväggar till skydd mot dataläckage, övervakning av applikationsprestanda, SIEM, digital forensics, IPS, IDS och mer, tvingar nätverkets TAP-enheter att utvecklas.
Förutom att tillhandahålla en fullständig kopia av trafiken och bibehålla tillgängligheten kan TAP-enheter tillhandahålla följande.
1. Filtrera paket för att maximera nätverksövervakningsprestanda
Bara för att en Network TAP-enhet kan skapa en 100 % kopia av ett paket någon gång betyder det inte att alla övervaknings- och säkerhetsverktyg behöver se det hela. Streaming av trafik till alla nätverksövervaknings- och säkerhetsverktyg i realtid kommer bara att resultera i överordning, vilket skadar verktygens och nätverkets prestanda i processen.
Att placera rätt Network TAP-enhet kan hjälpa till att filtrera paket när de dirigeras till övervakningsverktyget och distribuera rätt data till rätt verktyg. Exempel på sådana verktyg inkluderar intrångsdetekteringssystem (IDS), förebyggande av dataförlust (DLP), säkerhetsinformation och händelsehantering (SIEM), kriminalteknisk analys och många fler.
2. Samlade länkar för effektivt nätverkande
När kraven på nätverksövervakning och säkerhet ökar måste nätverksingenjörer hitta sätt att använda befintliga IT-budgetar för att utföra fler uppgifter. Men någon gång kan du inte fortsätta lägga till nya enheter i stacken och öka komplexiteten i ditt nätverk. Det är viktigt att maximera användningen av övervaknings- och säkerhetsverktyg.
Nätverk TAP-enheter kan hjälpa till genom att samla flera nätverkstrafik, östergående och västergående, för att leverera paket till anslutna enheter via en enda port. Genom att distribuera synlighetsverktyg på detta sätt kommer antalet övervakningsverktyg som krävs att minska. Eftersom East-West-datatrafiken fortsätter att växa i datacenter och mellan datacenter, är kravet på nätverk TAP-enheter väsentligt för att upprätthålla synlighet av alla dimensionella flöden över stora datamängder.
Relaterad artikel du kan vara intressant, besök gärna här:Hur fångar man nätverkstrafik? Network Tap vs Port Mirror
Posttid: 2024-okt-24
