Introduktion
Nätverkstrafikinsamling och analys är det mest effektiva sättet att få de första handen för användarbeteende och parametrar i nätverket. Med kontinuerlig förbättring av Data Center Q -drift och underhåll har nätverkstrafikinsamling och analys blivit en oundgänglig del av datacenterinfrastrukturen. Från den nuvarande branschanvändningen realiseras nätverkstrafiksamling mest av nätverksutrustning som stöder bypass -trafikspegel. Trafiksamling måste skapa en omfattande täckning, rimligt och effektivt trafiksamlingsnätverk, sådan trafiksamling kan hjälpa till att optimera nätverks- och affärsprestandaindikatorer och minska sannolikheten för misslyckande.
Trafiksamlingsnätverket kan betraktas som ett oberoende nätverk som består av trafiksamlingsenheter och distribueras parallellt med produktionsnätverket. Den samlar bildtrafiken för varje nätverksenhet och aggregerar bildtrafiken enligt de regionala och arkitektoniska nivåerna. Den använder trafikfiltreringsutbyteslarm i trafikförvärvsutrustningen för att realisera datahastigheten för data för 2-4 lager av villkorad filtrering, ta bort duplikatpaket, trunkerande paket och andra avancerade funktionella operationer och skickar sedan data till varje trafikanalysystem. Trafiksamlingsnätverket kan exakt skicka specifika data till varje enhet enligt datakraven för varje system och lösa problemet som de traditionella spegeldata inte kan filtreras och skickas, vilket konsumerar behandlingsprestanda för nätverksomkopplare. Samtidigt inser trafikfiltrerings- och utbytesmotorn i trafiksamlingsnätverket filtrering och vidarebefordran av data med låg fördröjning och hög hastighet, säkerställer kvaliteten på data som samlas in av trafiksamlingsnätverket och ger en bra datafundament för den efterföljande trafikanalysutrustningen.
För att minska påverkan på den ursprungliga länken erhålls vanligtvis en kopia av den ursprungliga trafiken med hjälp av stråldelning, span eller kran.
Passive Network Tap (Optical Splitter)
Sättet att använda lätt splittring för att få trafikkopia kräver hjälp av en lätt splitterenhet. Ljusdelaren är en passiv optisk anordning som kan omfördela kraftintensiteten för den optiska signalen i enlighet med den erforderliga proportionen. Delaren kan dela ljus från 1 till 2,1 till 4 och 1 till flera kanaler. För att minska påverkan på den ursprungliga länken antar datacentret vanligtvis det optiska delningsförhållandet 80:20, 70:30, där 70,80 andel av den optiska signalen skickas tillbaka till den ursprungliga länken. För närvarande används optiska delare i stor utsträckning i nätverksprestandaanalys (NPM/APM), revisionssystem, användarbeteendeanalys, nätverksintrångsdetektering och andra scenarier.
Fördelar:
1. Hög tillförlitlighet, passiv optisk enhet;
2. Upptar inte switchporten, oberoende utrustning, efterföljande kan vara god expansion;
3. Inget behov av att ändra switchkonfigurationen, ingen påverkan på annan utrustning;
4. Full trafiksamling, ingen switch -paketfiltrering, inklusive felpaket, etc.
Nackdelar:
1. Behovet av enkel nätverksavskärning, ryggradslänk Fiber Plug och ring till den optiska splitteren kommer att minska den optiska kraften hos vissa ryggradslänkar
Span (Port Mirror)
Span är en funktion som levereras med själva switchen, så den behöver bara konfigureras på omkopplaren. Denna funktion kommer emellertid att påverka omkopplarens prestanda och orsaka paketförlust när data är överbelastade.
Fördelar:
1. Det är inte nödvändigt att lägga till ytterligare utrustning, konfigurera omkopplaren för att öka motsvarande bildreplikationsutgångsport
Nackdelar:
1. Upptagar switchporten
2. Switches måste konfigureras, vilket involverar gemensam samordning med tredjepartstillverkare, vilket ökar den potentiella risken för nätverksfel
3. Spegelstrafikreplikation påverkar port- och växelprestanda.
Active Network Tap (Tap Aggregator)
En nätverkskran är en extern nätverksenhet som möjliggör portspegling och skapar en kopia av trafik för användning av olika övervakningsenheter. Dessa enheter introduceras på en plats i nätverksvägen som måste observeras, och den kopierar data IP -paket och skickar dem till nätverksövervakningsverktyget. Valet av åtkomstpunkten för nätverks -kranenheten beror på fokus för nätverkstrafik -data -samlingsskäl, rutinmässig övervakning av analys och förseningar, intrångsdetektering, etc. Nätverkskampanordningar kan samla in och spegla dataströmmar med 1 g rate upp till 100 g.
Dessa enheter har åtkomst till trafik utan att nätverkskritenheten modifierar paketflödet på något sätt, oavsett datatrafikhastighet. Detta innebär att nätverkstrafik inte omfattas av övervakning och spegling av portar, vilket är viktigt för att upprätthålla dataens integritet när man dirigerar den till säkerhets- och analysverktyg.
Det säkerställer att nätverkets perifera enheter övervakar trafikkopiorna så att Network Tap -enheterna fungerar som observatörer. Genom att mata en kopia av dina data till alla/alla anslutna enheter får du full synlighet vid nätverkspunkten. I händelse av att en nätverks -tryckenhet eller övervakningsenhet misslyckas, vet du att trafiken inte kommer att påverkas, vilket säkerställer att operativsystemet förblir säkert och tillgängligt.
Samtidigt blir det det övergripande målet för Network Tap -enheter. Tillgång till paket kan alltid tillhandahållas utan att avbryta trafiken i nätverket, och dessa synlighetslösningar kan också ta itu med mer avancerade fall. Övervakningsbehovet för verktyg som sträcker sig från nästa generations brandväggar till dataläckskydd, övervakning av applikationsprestanda, SIEM, digitala kriminaltekniker, IP: er, ID: er och mer, tvinga nätverks -enheter att utvecklas.
Förutom att tillhandahålla en fullständig kopia av trafiken och underhålla tillgänglighet kan TAP -enheter tillhandahålla följande.
1. Filterpaket för att maximera nätverksövervakningsprestanda
Bara för att en Network Tap -enhet kan skapa en 100% kopia av ett paket vid någon tidpunkt betyder det inte att varje övervaknings- och säkerhetsverktyg måste se hela saken. Streaming av trafik till alla nätverksövervakning och säkerhetsverktyg i realtid kommer bara att resultera i överordnad, vilket skadar verktygets och nätverkets prestanda.
Att placera rätt nätverkskranenhet kan hjälpa filterpaket när de dirigeras till övervakningsverktyget och distribuera rätt data till rätt verktyg. Exempel på sådana verktyg inkluderar intrångsdetekteringssystem (ID), dataförlustförebyggande (DLP), säkerhetsinformation och evenemangshantering (SIEM), kriminalteknisk analys och många fler.
2. Aggregerade länkar för effektivt nätverk
När nätverksövervakning och säkerhetskrav ökar måste nätverksingenjörer hitta sätt att använda befintliga IT -budgetar för att utföra fler uppgifter. Men vid någon tidpunkt kan du inte fortsätta lägga till nya enheter i stacken och öka komplexiteten i ditt nätverk. Det är viktigt att maximera användningen av övervaknings- och säkerhetsverktyg.
Network Tap -enheter kan hjälpa till genom att aggregera flera nätverkstrafik, österut och västgående, för att leverera paket till anslutna enheter via en enda port. Att distribuera synlighetsverktyg på detta sätt kommer att minska antalet övervakningsverktyg som krävs. När öst-väst datatrafik fortsätter att växa i datacenter och mellan datacenter är kravet på nätverks-kranenheter väsentligt för att upprätthålla synligheten för alla dimensionella flöden över stora volymer data.
Relaterad artikel du kan intressera, besök här:Hur fångar jag nätverkstrafik? Network Tap vs Port Mirror
Inläggstid: oktober-24-2024
