Inleiding
Netwerkverkeerversameling en -analise is die mees effektiewe manier om die eerstehandse aanwysers en parameters vir netwerkgebruikersgedrag te bekom. Met die voortdurende verbetering van die bedryf en instandhouding van datasentrums se Q-funksie, het netwerkverkeerversameling en -analise 'n onontbeerlike deel van die datasentruminfrastruktuur geword. Vanuit die huidige gebruik in die bedryf word netwerkverkeerversameling meestal bewerkstellig deur netwerktoerusting wat 'n omleidingspieël ondersteun. Verkeerversameling moet 'n omvattende dekking, 'n redelike en effektiewe verkeerversamelingsnetwerk vestig. Sulke verkeerversameling kan help om netwerk- en besigheidsprestasie-aanwysers te optimaliseer en die waarskynlikheid van mislukking te verminder.
Die verkeersinsamelingsnetwerk kan beskou word as 'n onafhanklike netwerk wat bestaan uit verkeersinsamelingstoestelle en parallel met die produksienetwerk ontplooi word. Dit versamel die beeldverkeer van elke netwerktoestel en aggregeer die beeldverkeer volgens die streeks- en argitektoniese vlakke. Dit gebruik die verkeersfilter-uitruilalarm in die verkeerinsamelingstoerusting om die volle lynspoed van die data vir 2-4 lae voorwaardelike filtering te realiseer, duplikaatpakkette te verwyder, pakkette af te sny en ander gevorderde funksionele bewerkings te bewerkstellig, en stuur dan die data na elke verkeersanalisestelsel. Die verkeersinsamelingsnetwerk kan spesifieke data akkuraat na elke toestel stuur volgens die datavereistes van elke stelsel, en die probleem oplos dat die tradisionele spieëldata nie gefiltreer en gestuur kan word nie, wat die verwerkingsprestasie van netwerkskakelaars verbruik. Terselfdertyd realiseer die verkeersfilter- en uitruilenjin van die verkeersinsamelingsnetwerk die filtering en aanstuur van data met lae vertraging en hoë spoed, verseker die kwaliteit van data wat deur die verkeersinsamelingsnetwerk versamel word, en bied 'n goeie databasis vir die daaropvolgende verkeersanalisetoerusting.
Om die impak op die oorspronklike skakel te verminder, word 'n kopie van die oorspronklike verkeer gewoonlik verkry deur middel van straalsplitsing, SPAN of TAP.
Passiewe Netwerktap (Optiese Splitter)
Die manier om ligsplitsing te gebruik om verkeerskopieë te verkry, vereis die hulp van 'n ligsplittertoestel. Die ligsplitter is 'n passiewe optiese toestel wat die kragintensiteit van die optiese sein kan herverdeel volgens die vereiste verhouding. Die splitter kan lig van 1 tot 2, 1 tot 4 en 1 na verskeie kanale verdeel. Om die impak op die oorspronklike skakel te verminder, neem die datasentrum gewoonlik die optiese splitsverhouding van 80:20, 70:30 aan, waarin 70,80% van die optiese sein na die oorspronklike skakel teruggestuur word. Tans word optiese splitters wyd gebruik in netwerkprestasie-analise (NPM/APM), ouditstelsels, gebruikersgedragsanalise, netwerkindringingsopsporing en ander scenario's.
Voordele:
1. Hoë betroubaarheid, passiewe optiese toestel;
2. Beset nie die skakelaarpoort nie, onafhanklike toerusting, daaropvolgende kan goeie uitbreiding wees;
3. Geen nodig om die skakelaarkonfigurasie te verander nie, geen impak op ander toerusting nie;
4. Volledige verkeerinsameling, geen skakelpakketfiltering nie, insluitend foutpakkette, ens.
Nadele:
1. Die behoefte aan eenvoudige netwerkoorskakeling, ruggraatskakel-veselprop en skakel na die optiese splitter, sal die optiese krag van sommige ruggraatskakels verminder.
SPAN (Port Mirror)
SPAN is 'n kenmerk wat saam met die skakelaar self kom, so dit hoef net op die skakelaar gekonfigureer te word. Hierdie funksie sal egter die werkverrigting van die skakelaar beïnvloed en pakkieverlies veroorsaak wanneer die data oorlaai word.
Voordele:
1. Dit is nie nodig om bykomende toerusting by te voeg nie, konfigureer die skakelaar om die ooreenstemmende beeldreplikasie-uitvoerpoort te verhoog.
Nadele:
1. Beset die skakelaarpoort
2. Skakelaars moet gekonfigureer word, wat gesamentlike koördinering met derdeparty-vervaardigers behels, wat die potensiële risiko van netwerkversaking verhoog.
3. Spieëlverkeerreplikasie het 'n impak op poort- en skakelaarprestasie.
Aktiewe Netwerk TAP (TAP Aggregator)
'n Netwerk-TAP is 'n eksterne netwerktoestel wat poortspieëling moontlik maak en 'n kopie van verkeer skep vir gebruik deur verskeie moniteringstoestelle. Hierdie toestelle word op 'n plek in die netwerkpad geplaas wat waargeneem moet word, en dit kopieer die data-IP-pakkette en stuur dit na die netwerkmoniteringsinstrument. Die keuse van die toegangspunt vir die Netwerk-TAP-toestel hang af van die fokus van die netwerkverkeer - data-insamelingsredes, roetinemonitering van analise en vertragings, indringingsopsporing, ens. Netwerk-TAP-toestelle kan datastrome teen 1G-tempo tot 100G insamel en spieël.
Hierdie toestelle verkry toegang tot verkeer sonder dat die netwerk-TAP-toestel die pakketvloei op enige manier verander, ongeag die dataverkeerspoed. Dit beteken dat netwerkverkeer nie onderhewig is aan monitering en poortspieëling nie, wat noodsaaklik is om die integriteit van die data te handhaaf wanneer dit na sekuriteits- en ontledingsinstrumente gerouteer word.
Dit verseker dat die netwerk-randapparatuur die verkeerskopieë monitor sodat die netwerk-TAP-toestelle as waarnemers optree. Deur 'n kopie van jou data aan enige/alle gekoppelde toestelle te voer, kry jy volle sigbaarheid by die netwerkpunt. Ingeval 'n netwerk-TAP-toestel of moniteringstoestel faal, weet jy dat verkeer nie beïnvloed sal word nie, wat verseker dat die bedryfstelsel veilig en beskikbaar bly.
Terselfdertyd word dit die algehele teiken van netwerk-TAP-toestelle. Toegang tot pakkette kan altyd verskaf word sonder om verkeer in die netwerk te onderbreek, en hierdie sigbaarheidsoplossings kan ook meer gevorderde gevalle aanspreek. Die moniteringsbehoeftes van gereedskap, wat wissel van volgende generasie firewalls tot data-lekbeskerming, toepassingsprestasiemonitering, SIEM, digitale forensiese ondersoeke, IPS, IDS en meer, dwing netwerk-TAP-toestelle om te ontwikkel.
Benewens die verskaffing van 'n volledige kopie van die verkeer en die handhawing van beskikbaarheid, kan TAP-toestelle die volgende verskaf.
1. Filter pakkette om netwerkmoniteringsprestasie te maksimeer
Net omdat 'n Network TAP-toestel op 'n stadium 'n 100%-kopie van 'n pakket kan skep, beteken dit nie dat elke moniterings- en sekuriteitsinstrument die hele ding moet sien nie. Die stroom van verkeer na alle netwerkmoniterings- en sekuriteitsinstrumente intyds sal slegs lei tot oorbestelling, wat die werkverrigting van die instrumente en die netwerk in die proses benadeel.
Die plasing van die regte Network TAP-toestel kan help om pakkette te filter wanneer dit na die moniteringsinstrument gerouteer word, en die regte data na die regte instrument te versprei. Voorbeelde van sulke instrumente sluit in indringingsopsporingstelsels (IDS), dataverliesvoorkoming (DLP), sekuriteitsinligting- en gebeurtenisbestuur (SIEM), forensiese analise, en vele meer.
2. Saamgestelde skakels vir doeltreffende netwerkvorming
Namate die vereistes vir netwerkmonitering en sekuriteit toeneem, moet netwerkingenieurs maniere vind om bestaande IT-begrotings te gebruik om meer take te verrig. Maar op 'n stadium kan jy nie meer nuwe toestelle by die stapel voeg en die kompleksiteit van jou netwerk verhoog nie. Dit is noodsaaklik om die gebruik van moniterings- en sekuriteitsinstrumente te maksimeer.
Netwerk-TAP-toestelle kan help deur veelvuldige netwerkverkeer, ooswaarts en weswaarts, saam te voeg om pakkette deur 'n enkele poort aan gekoppelde toestelle te lewer. Die implementering van sigbaarheidsinstrumente op hierdie manier sal die aantal moniteringsinstrumente wat benodig word, verminder. Namate oos-wes-dataverkeer in datasentrums en tussen datasentrums aanhou groei, is die vereiste vir netwerk-TAP-toestelle noodsaaklik om sigbaarheid van alle dimensionele vloei oor groot hoeveelhede data te handhaaf.
Verwante artikel wat jy dalk interessant mag vind, besoek gerus hier:Hoe om netwerkverkeer vas te lê? Netwerktap vs. Port Mirror
Plasingstyd: 24 Okt-2024
