Hvorfor trenger du Network Taps og Network Packet Brokers for å fange nettverkstrafikk? (Del 2)

Introduksjon

Innsamling og analyse av nettverkstrafikk er det mest effektive middelet for å få førstehånds indikatorer og parametere for nettverksbrukeratferd. Med den kontinuerlige forbedringen av drift og vedlikehold av datasenter Q, har innsamling og analyse av nettverkstrafikk blitt en uunnværlig del av datasenterets infrastruktur. Fra den nåværende bransjebruken er innsamling av nettverkstrafikk for det meste realisert av nettverksutstyr som støtter bypass-trafikkspeil. Trafikkinnsamling må etablere en omfattende dekning, rimelig og effektiv trafikkinnsamlingsnettverk, slik trafikkinnsamling kan bidra til å optimalisere nettverks- og forretningsytelsesindikatorer og redusere sannsynligheten for feil.

Trafikkinnsamlingsnettverket kan betraktes som et uavhengig nettverk sammensatt av trafikkoppsamlingsenheter og utplassert parallelt med produksjonsnettverket. Den samler bildetrafikken til hver nettverksenhet og samler bildetrafikken i henhold til regionale og arkitektoniske nivåer. Den bruker trafikkfiltreringsutvekslingsalarmen i trafikkinnhentingsutstyret for å realisere full linjehastighet for dataene for 2-4 lag med betinget filtrering, fjerning av dupliserte pakker, trunkering av pakker og andre avanserte funksjonelle operasjoner, og sender deretter dataene til hver trafikk analysesystem. Trafikkinnsamlingsnettverket kan nøyaktig sende spesifikke data til hver enhet i henhold til datakravene til hvert system, og løse problemet med at tradisjonelle speildata ikke kan filtreres og sendes, noe som bruker prosessytelsen til nettverkssvitsjer. Samtidig realiserer trafikkfiltrerings- og utvekslingsmotoren til trafikkinnsamlingsnettverket filtrering og videresending av data med lav forsinkelse og høy hastighet, sikrer kvaliteten på data som samles inn av trafikkinnsamlingsnettverket, og gir et godt datagrunnlag for påfølgende trafikkanalyseutstyr.

problem med trafikkovervåking

For å redusere påvirkningen på den opprinnelige lenken, oppnås vanligvis en kopi av den opprinnelige trafikken ved hjelp av stråledeling, SPAN eller TAP.

Passiv nettverkstap (optisk splitter)

Måten å bruke lyssplitting for å få trafikkkopiering krever hjelp av en lyssplitterenhet. Lyssplitteren er en passiv optisk enhet som kan omfordele strømintensiteten til det optiske signalet i samsvar med den nødvendige andelen. Splitteren kan dele lys fra 1 til 2,1 til 4 og 1 til flere kanaler. For å redusere innvirkningen på den opprinnelige lenken, bruker datasenteret vanligvis det optiske splittingsforholdet på 80:20, 70:30, hvor 70,80 andel av det optiske signalet sendes tilbake til den opprinnelige koblingen. For tiden er optiske splittere mye brukt i nettverksytelsesanalyse (NPM/APM), revisjonssystem, brukeratferdsanalyse, nettverksinntrengningsdeteksjon og andre scenarier.

Capture-ikon

Fordeler:

1. Høy pålitelighet, passiv optisk enhet;

2. Opptar ikke bryteren port, uavhengig utstyr, etterfølgende kan være god utvidelse;

3. Ingen grunn til å endre bryterkonfigurasjonen, ingen innvirkning på annet utstyr;

4. Full trafikkinnsamling, ingen bryterpakkefiltrering, inkludert feilpakker osv.

Ulemper:

1. Behovet for enkel nettverksoverkobling, ryggradslinkfiberplugg og dial til den optiske splitteren, vil redusere den optiske kraften til noen ryggradslenker

SPAN (Port Mirror)

SPAN er en funksjon som følger med selve bryteren, så den må bare konfigureres på bryteren. Denne funksjonen vil imidlertid påvirke ytelsen til svitsjen og forårsake pakketap når dataene er overbelastet.

nettverkssvitsjportspeil

Fordeler:

1. Det er ikke nødvendig å legge til ekstra utstyr, konfigurer bryteren for å øke den tilsvarende utgangsporten for bildereplikering

Ulemper:

1. Oppta bryterporten

2. Svitsjer må konfigureres, noe som innebærer felles koordinering med tredjepartsprodusenter, noe som øker den potensielle risikoen for nettverksfeil

3. Replikering av speiltrafikk har innvirkning på port- og switchytelse.

Active Network TAP (TAP Aggregator)

En Network TAP er en ekstern nettverksenhet som muliggjør portspeiling og lager en kopi av trafikk for bruk av ulike overvåkingsenheter. Disse enhetene introduseres på et sted i nettverksbanen som må observeres, og den kopierer IP-datapakkene og sender dem til nettverksovervåkingsverktøyet. Valget av tilgangspunkt for Network TAP-enheten avhenger av fokuset til nettverkstrafikken - datainnsamlingsårsaker, rutinemessig overvåking av analyser og forsinkelser, inntrengningsdeteksjon osv. Network TAP-enheter kan samle inn og speile datastrømmer med 1G-hastighet opp til 100G.

Disse enhetene får tilgang til trafikk uten at nettverkets TAP-enhet endrer pakkeflyten på noen måte, uavhengig av datatrafikkhastigheten. Dette betyr at nettverkstrafikk ikke er gjenstand for overvåking og portspeiling, noe som er avgjørende for å opprettholde integriteten til dataene når de dirigeres til sikkerhets- og analyseverktøy.

Den sikrer at nettverkets perifere enheter overvåker trafikkkopiene slik at nettverkets TAP-enheter fungerer som observatører. Ved å mate en kopi av dataene dine til alle tilkoblede enheter, får du full synlighet ved nettverkspunktet. I tilfelle en nettverks-TAP-enhet eller overvåkingsenhet svikter, vet du at trafikken ikke vil bli påvirket, noe som sikrer at operativsystemet forblir trygt og tilgjengelig.

Samtidig blir det det overordnede målet for TAP-nettverksenheter. Tilgang til pakker kan alltid gis uten å forstyrre trafikken i nettverket, og disse synlighetsløsningene kan også adressere mer avanserte tilfeller. Overvåkingsbehovene til verktøy som spenner fra neste generasjons brannmurer til datalekkasjebeskyttelse, overvåking av applikasjonsytelse, SIEM, digital etterforskning, IPS, IDS og mer, tvinger TAP-nettverksenheter til å utvikle seg.

I tillegg til å gi en fullstendig kopi av trafikken og opprettholde tilgjengelighet, kan TAP-enheter tilby følgende.

1. Filtrer pakker for å maksimere nettverksovervåkingsytelsen

Bare fordi en Network TAP-enhet kan lage en 100 % kopi av en pakke på et tidspunkt, betyr det ikke at hvert overvåkings- og sikkerhetsverktøy trenger å se hele greia. Streaming av trafikk til alle nettverksovervåkings- og sikkerhetsverktøy i sanntid vil kun resultere i overordning, og dermed skade ytelsen til verktøyene og nettverket i prosessen.

Plassering av riktig Network TAP-enhet kan hjelpe med å filtrere pakker når de rutes til overvåkingsverktøyet, og distribuere de riktige dataene til det riktige verktøyet. Eksempler på slike verktøy inkluderer inntrengningsdeteksjonssystemer (IDS), datatapsforebygging (DLP), sikkerhetsinformasjon og hendelseshåndtering (SIEM), rettsmedisinske analyser og mange flere.

2. Samlede koblinger for effektiv nettverksbygging

Etter hvert som kravene til nettverksovervåking og sikkerhet øker, må nettverksingeniører finne måter å bruke eksisterende IT-budsjetter for å utføre flere oppgaver. Men på et tidspunkt kan du ikke fortsette å legge til nye enheter i stabelen og øke kompleksiteten til nettverket ditt. Det er viktig å maksimere bruken av overvåkings- og sikkerhetsverktøy.

Network TAP-enheter kan hjelpe ved å samle flere nettverkstrafikk, østgående og vestgående, for å levere pakker til tilkoblede enheter gjennom en enkelt port. Utplassering av synlighetsverktøy på denne måten vil redusere antallet overvåkingsverktøy som kreves. Ettersom øst-vest-datatrafikken fortsetter å vokse i datasentre og mellom datasentre, er kravet til TAP-nettverksenheter avgjørende for å opprettholde synlighet av alle dimensjonelle strømmer over store datavolumer.

ML-NPB-5690 (8)

Relatert artikkel du kan være interessant, vennligst besøk her:Hvordan fange nettverkstrafikk? Network Tap vs Port Mirror


Innleggstid: 24. oktober 2024