Inleiding
Netwerkverkeerversameling en -analise is die doeltreffendste manier om eerstehandse netwerkgebruikersgedragaanwysers en -parameters te verkry. Met die voortdurende verbetering van datasentrum Q-bedryf en -onderhoud, het netwerkverkeerversameling en -analise 'n onontbeerlike deel van die datasentrum-infrastruktuur geword. Vanuit die huidige bedryfsgebruik word netwerkverkeerversameling meestal gerealiseer deur netwerktoerusting wat omseilverkeerspieël ondersteun. Verkeersinsameling moet 'n omvattende dekking, redelike en effektiewe verkeerversamelingsnetwerk daarstel, so 'n verkeerinsameling kan help om netwerk- en besigheidsprestasie-aanwysers te optimaliseer en die waarskynlikheid van mislukking te verminder.
Die verkeersinsamelingsnetwerk kan beskou word as 'n onafhanklike netwerk wat saamgestel is uit verkeersinsamelingstoestelle en parallel met die produksienetwerk ontplooi word. Dit versamel die beeldverkeer van elke netwerktoestel en versamel die beeldverkeer volgens die streek- en argitektoniese vlakke. Dit gebruik die verkeersfiltrering-uitruilalarm in die verkeerverkrygingstoerusting om die volle lynspoed van die data te realiseer vir 2-4 lae voorwaardelike filtering, verwydering van duplikaatpakkies, afkorting van pakkies en ander gevorderde funksionele bedrywighede, en stuur dan die data na elke verkeer analise stelsel. Die verkeersversamelingsnetwerk kan spesifieke data akkuraat na elke toestel stuur volgens die datavereistes van elke stelsel, en die probleem oplos dat die tradisionele spieëldata nie gefiltreer en gestuur kan word nie, wat die verwerkingsprestasie van netwerkskakelaars verbruik. Terselfdertyd besef die verkeersfiltrerings- en uitruilenjin van die verkeersinsamelingsnetwerk die filter en aanstuur van data met lae vertraging en hoë spoed, verseker die kwaliteit van data wat deur die verkeerversamelingsnetwerk ingesamel word, en bied 'n goeie databasis vir die daaropvolgende verkeersontledingstoerusting.
Om die impak op die oorspronklike skakel te verminder, word 'n kopie van die oorspronklike verkeer gewoonlik verkry deur middel van balksplitsing, SPAN of TAP.
Passiewe netwerkkraan (optiese splitser)
Die manier om ligte splitsing te gebruik om verkeerskopies te verkry, vereis die hulp van 'n ligte splitter toestel. Die ligverdeler is 'n passiewe optiese toestel wat die kragintensiteit van die optiese sein kan herverdeel in ooreenstemming met die vereiste verhouding. Die splitter kan lig verdeel van 1 tot 2,1 tot 4 en 1 tot verskeie kanale. Om die impak op die oorspronklike skakel te verminder, neem die datasentrum gewoonlik die optiese verdelingsverhouding van 80:20, 70:30 aan, waarin 70,80 proporsie van die optiese sein na die oorspronklike skakel teruggestuur word. Optiese splitters word tans wyd gebruik in netwerkprestasie-analise (NPM/APM), ouditstelsel, analise van gebruikersgedrag, opsporing van netwerkindringing en ander scenario's.
Voordele:
1. Hoë betroubaarheid, passiewe optiese toestel;
2. Beset nie die skakelaar poort, onafhanklike toerusting, daaropvolgende kan goeie uitbreiding wees;
3. Dit is nie nodig om die skakelaarkonfigurasie te verander nie, geen impak op ander toerusting nie;
4. Volle verkeersversameling, geen skakelpakkiefiltrering nie, insluitend foutpakkies, ens.
Nadele:
1. Die behoefte aan eenvoudige netwerkafsny, ruggraatskakelveselprop en skakelaar na die optiese splitser, sal die optiese krag van sommige ruggraatskakels verminder
SPAN (Port Mirror)
SPAN is 'n kenmerk wat by die skakelaar self kom, so dit moet net op die skakelaar gekonfigureer word. Hierdie funksie sal egter die werkverrigting van die skakelaar beïnvloed en pakkieverlies veroorsaak wanneer die data oorlaai word.
Voordele:
1. Dit is nie nodig om bykomende toerusting by te voeg nie, stel die skakelaar in om die ooreenstemmende beeldreplikasie-uitvoerpoort te verhoog
Nadele:
1. Beset die skakelpoort
2. Skakelaars moet gekonfigureer word, wat gesamentlike koördinering met derdeparty-vervaardigers behels, wat die potensiële risiko van netwerkfout verhoog
3. Spieëlverkeersreplikasie het 'n impak op poort- en skakelwerkverrigting.
Active Network TAP (TAP Aggregator)
'n Netwerk TAP is 'n eksterne netwerktoestel wat poortspieëling moontlik maak en 'n kopie van verkeer skep vir gebruik deur verskeie moniteringstoestelle. Hierdie toestelle word ingestel op 'n plek in die netwerkpad wat waargeneem moet word, en dit kopieer die data-IP-pakkies en stuur dit na die netwerkmoniteringsinstrument. Die keuse van die toegangspunt vir die Network TAP-toestel hang af van die fokus van die netwerkverkeer - redes vir data-insameling, roetine-monitering van analise en vertragings, inbraakdetectie, ens. Netwerk TAP-toestelle kan datastrome teen 1G-tempo versamel en weerspieël 100G.
Hierdie toestelle kry toegang tot verkeer sonder dat die netwerk TAP-toestel die pakkievloei op enige manier verander, ongeag die dataverkeertempo. Dit beteken dat netwerkverkeer nie onderhewig is aan monitering en poortspieëling nie, wat noodsaaklik is vir die handhawing van die integriteit van die data wanneer dit na sekuriteit- en ontledingsnutsmiddels gestuur word.
Dit verseker dat die netwerk randtoestelle die verkeer kopieë monitor sodat die netwerk TAP toestelle as waarnemers optree. Deur 'n kopie van jou data na enige/alle gekoppelde toestelle te voer, kry jy volle sigbaarheid by die netwerkpunt. In die geval dat 'n netwerk TAP-toestel of moniteringstoestel misluk, weet jy dat verkeer nie geraak sal word nie, om te verseker dat die bedryfstelsel veilig en beskikbaar bly.
Terselfdertyd word dit die algehele teiken van netwerk TAP-toestelle. Toegang tot pakkies kan altyd verskaf word sonder om verkeer in die netwerk te onderbreek, en hierdie sigbaarheidsoplossings kan ook meer gevorderde gevalle aanspreek. Die moniteringsbehoeftes van gereedskap wat wissel van volgende generasie firewalls tot datalekbeskerming, toepassingsprestasiemonitering, SIEM, digitale forensika, IPS, IDS en meer, dwing netwerk TAP-toestelle om te ontwikkel.
Benewens die verskaffing van 'n volledige kopie van die verkeer en die behoud van beskikbaarheid, kan TAP-toestelle die volgende verskaf.
1. Filter pakkies om netwerkmoniteringprestasie te maksimeer
Net omdat 'n Network TAP-toestel een of ander tyd 'n 100% kopie van 'n pakkie kan skep, beteken dit nie dat elke moniterings- en sekuriteitsinstrument die hele ding moet sien nie. Om verkeer intyds na alle netwerkmonitering- en sekuriteitsnutsmiddels te stroom, sal slegs oorbestelling tot gevolg hê, en sodoende die werkverrigting van die nutsgoed en die netwerk in die proses benadeel.
Deur die regte Network TAP-toestel te plaas, kan dit help om pakkies te filter wanneer dit na die moniteringsinstrument gestuur word, en die regte data na die regte instrument te versprei. Voorbeelde van sulke instrumente sluit in Intrusion Detection Systems (IDS), data loss Prevention (DLP), sekuriteitsinligting en gebeurtenisbestuur (SIEM), forensiese analise, en vele meer.
2. Samegestelde skakels vir doeltreffende netwerke
Namate netwerkmonitering en sekuriteitsvereistes toeneem, moet netwerkingenieurs maniere vind om bestaande IT-begrotings te gebruik om meer take uit te voer. Maar op 'n stadium kan jy nie aanhou om nuwe toestelle by die stapel te voeg en die kompleksiteit van jou netwerk te verhoog nie. Dit is noodsaaklik om die gebruik van moniterings- en sekuriteitsinstrumente te maksimeer.
Netwerk TAP-toestelle kan help deur veelvuldige netwerkverkeer, ooswaarts en weswaarts, saam te voeg om pakkies aan gekoppelde toestelle deur 'n enkele poort te lewer. Deur sigbaarheidnutsmiddels op hierdie manier te ontplooi, sal die aantal moniteringsnutsmiddels wat benodig word, verminder. Aangesien Oos-Wes-dataverkeer in datasentrums en tussen datasentrums steeds groei, is die vereiste vir netwerk TAP-toestelle noodsaaklik om sigbaarheid van alle dimensionele vloei oor groot volumes data te handhaaf.
Verwante artikel wat jy dalk interessant kan maak, besoek asseblief hier:Hoe om netwerkverkeer vas te lê? Netwerk Tap vs Port Mirror
Postyd: 24 Oktober 2024
