Bevezetés
A hálózati forgalom gyűjtése és elemzése a leghatékonyabb eszköz a hálózati felhasználói viselkedési mutatók és paraméterek első kézből való megszerzésére. Az adatközpont Q üzemeltetésének és karbantartásának folyamatos fejlesztésével a hálózati forgalom gyűjtése és elemzése az adatközponti infrastruktúra nélkülözhetetlen részévé vált. A jelenlegi iparági felhasználásból a hálózati forgalom gyűjtése többnyire a bypass forgalmi tükröt támogató hálózati berendezésekkel valósul meg. A forgalomgyűjtésnek átfogó lefedettséget, ésszerű és hatékony forgalomgyűjtési hálózatot kell létrehoznia, az ilyen forgalomgyűjtés elősegítheti a hálózati és üzleti teljesítménymutatók optimalizálását és a meghibásodások valószínűségének csökkentését.
A forgalomgyűjtő hálózat önálló hálózatnak tekinthető, amely forgalomgyűjtő eszközökből áll, és párhuzamosan telepítve van az éles hálózattal. Összegyűjti az egyes hálózati eszközök képforgalmát, és összesíti a képforgalmat a regionális és építészeti szintek szerint. A forgalomszűrő berendezésben található forgalomszűrő csereriasztást használja az adatok teljes vonalsebességének megvalósításához 2-4 réteg feltételes szűréshez, duplikált csomagok eltávolításához, csomagok csonkolásához és egyéb fejlett funkcionális műveletekhez, majd elküldi az adatokat az egyes forgalomnak. elemző rendszer. A forgalomgyűjtő hálózat az egyes rendszerek adatigényének megfelelően precízen tud konkrét adatokat küldeni minden eszközre, és megoldja azt a problémát, hogy a hagyományos tüköradatokat nem lehet szűrni és elküldeni, ami a hálózati kapcsolók feldolgozási teljesítményét emészti fel. A forgalomgyűjtő hálózat forgalomszűrő és adatcsere motorja ugyanakkor kis késéssel és nagy sebességgel valósítja meg az adatok szűrését és továbbítását, biztosítja a forgalomgyűjtő hálózat által gyűjtött adatok minőségét, és jó adatalapot biztosít a későbbi forgalomelemző berendezések.
Az eredeti linkre gyakorolt hatás csökkentése érdekében az eredeti forgalom másolatát általában sugárfelosztással, SPAN vagy TAP segítségével készítik el.
Passzív hálózati érintés (optikai elosztó)
A fényhasítás használatának módja forgalmi másolat készítéséhez fényelosztó eszköz segítségét igényli. A fényelosztó egy passzív optikai eszköz, amely az optikai jel teljesítményintenzitását a kívánt aránynak megfelelően újra tudja osztani. Az elosztó képes a fényt 1-től 2-ig, 1-től 4-ig és 1-től több csatornára osztani. Az eredeti kapcsolatra gyakorolt hatás csökkentése érdekében az adatközpont általában a 80:20, 70:30 optikai felosztási arányt alkalmazza, amelyben az optikai jel 70,80 aránya visszakerül az eredeti linkre. Jelenleg az optikai elosztókat széles körben használják a hálózati teljesítményelemzésben (NPM/APM), az auditrendszerben, a felhasználói viselkedés elemzésében, a hálózati behatolás észlelésében és más forgatókönyvekben.
Előnyök:
1. Nagy megbízhatóságú, passzív optikai eszköz;
2. Nem foglalja el a kapcsolóportot, független berendezéseket, a későbbiekben jó lehet bővíteni;
3. Nincs szükség a kapcsoló konfigurációjának módosítására, nincs hatással más berendezésekre;
4. Teljes forgalomgyűjtés, nincs kapcsolócsomag szűrés, beleértve a hibacsomagokat stb.
Hátrányok:
1. Az egyszerű hálózati átkapcsolás, a gerinchálózati kapcsolat optikai csatlakozódugója és az optikai elosztó tárcsája csökkenti egyes gerinchálózati kapcsolatok optikai teljesítményét
SPAN (port tükör)
A SPAN egy olyan szolgáltatás, amely magával a kapcsolóval jár, ezért csak konfigurálni kell a kapcsolón. Ez a funkció azonban befolyásolja a kapcsoló teljesítményét, és az adatok túlterhelése esetén csomagvesztést okoz.
Előnyök:
1. Nem szükséges további berendezéseket hozzáadni, a kapcsolót úgy kell konfigurálni, hogy növelje a megfelelő képreplikációs kimeneti portot
Hátrányok:
1. Foglalja el a kapcsolóportot
2. A kapcsolókat be kell állítani, ami magában foglalja a harmadik fél gyártókkal való közös koordinációt, növelve a hálózati meghibásodás kockázatát
3. A tükrözött forgalom replikációja hatással van a portok és a kapcsolók teljesítményére.
Aktív hálózati TAP (TAP aggregátor)
A Network TAP egy külső hálózati eszköz, amely lehetővé teszi a porttükrözést, és másolatot készít a forgalomról különböző megfigyelőeszközök általi használatra. Ezeket az eszközöket a hálózati útvonalon egy olyan helyre vezetik be, amelyre figyelni kell, és az IP adatcsomagokat másolja és elküldi a hálózatfigyelő eszköznek. A Network TAP eszköz hozzáférési pontjának megválasztása a hálózati forgalom fókuszától függ - adatgyűjtési okok, elemzések és késések rutin megfigyelése, behatolásészlelés stb. 100G.
Ezek az eszközök anélkül érik el a forgalmat, hogy a hálózati TAP eszköz bármilyen módon módosítaná a csomagfolyamot, függetlenül az adatforgalmi sebességtől. Ez azt jelenti, hogy a hálózati forgalom nem tartozik a megfigyelés és a porttükrözés hatálya alá, ami elengedhetetlen az adatok integritásának megőrzéséhez, amikor azokat a biztonsági és elemző eszközökhöz irányítják.
Biztosítja, hogy a hálózati perifériás eszközök figyeljék a forgalmi másolatokat, így a hálózati TAP eszközök megfigyelőként működjenek. Ha adatai másolatát bármely/összes csatlakoztatott eszközre továbbítja, teljes láthatóságot kap a hálózati ponton. Abban az esetben, ha egy hálózati TAP-eszköz vagy megfigyelőeszköz meghibásodik, tudja, hogy ez nem érinti a forgalmat, így az operációs rendszer biztonságos és elérhető marad.
Ugyanakkor a hálózati TAP eszközök általános célpontjává válik. A csomagokhoz való hozzáférés mindig biztosítható a hálózat forgalmának megszakítása nélkül, és ezek a láthatósági megoldások a fejlettebb esetekre is képesek. A következő generációs tűzfalaktól az adatszivárgás elleni védelemig, az alkalmazások teljesítményének felügyeletéig, a SIEM-ig, a digitális kriminalisztika, az IPS, az IDS és egyebekig terjedő eszközök felügyeleti igényei a hálózati TAP-eszközöket a fejlődésre kényszerítik.
A forgalom teljes másolatának biztosítása és a rendelkezésre állás fenntartása mellett a TAP-eszközök a következőket is biztosíthatják.
1. Szűrje le a csomagokat a hálózati megfigyelési teljesítmény maximalizálása érdekében
Csak azért, mert egy Network TAP eszköz egy bizonyos ponton képes 100%-os másolatot készíteni egy csomagról, még nem jelenti azt, hogy minden megfigyelő és biztonsági eszköznek látnia kell az egészet. Az összes hálózatfelügyeleti és biztonsági eszközre való forgalom valós időben történő streamelése csak túlrendelést eredményez, ami rontja az eszközök és a hálózat teljesítményét a folyamat során.
A megfelelő Network TAP eszköz elhelyezése segíthet a csomagok szűrésében, amikor a megfigyelőeszközhöz irányítják, és a megfelelő adatokat osztja el a megfelelő eszköznek. Ilyen eszközök például a behatolásérzékelő rendszerek (IDS), az adatvesztés-megelőzés (DLP), a biztonsági információ- és eseménykezelés (SIEM), a törvényszéki elemzés és még sok más.
2. Összesített linkek a hatékony hálózatépítés érdekében
A hálózati megfigyelési és biztonsági követelmények növekedésével a hálózati mérnököknek módot kell találniuk arra, hogyan használhatják fel a meglévő IT-költségvetéseket több feladat elvégzésére. Egy bizonyos ponton azonban nem lehet folyamatosan új eszközöket hozzáadni a veremhez, és növelni a hálózat összetettségét. Elengedhetetlen a felügyeleti és biztonsági eszközök maximális kihasználása.
A hálózati TAP eszközök segíthetnek abban, hogy több, keleti és nyugati irányú hálózati forgalmat összesítenek, hogy egyetlen porton keresztül csomagokat küldhessenek a csatlakoztatott eszközöknek. A láthatósági eszközök ilyen módon történő telepítése csökkenti a szükséges megfigyelőeszközök számát. Mivel a kelet-nyugati irányú adatforgalom folyamatosan növekszik az adatközpontokban és az adatközpontok között, a hálózati TAP-eszközök követelménye elengedhetetlen ahhoz, hogy a nagy adatmennyiségen keresztül minden dimenziós áramlás látható legyen.
Kapcsolódó cikk, amely érdekes lehet, látogasson el ide:Hogyan rögzíthetjük a hálózati forgalmat? Network Tap vs Port Mirror
Feladás időpontja: 2024.10.24
