Introduksjon
Innsamling og analyse av nettverkstrafikk er den mest effektive måten å få førstehånds indikatorer og parametere for brukeratferd i nettverket. Med den kontinuerlige forbedringen av drift og vedlikehold av datasentre, har innsamling og analyse av nettverkstrafikk blitt en uunnværlig del av datasenterinfrastrukturen. Fra dagens bruk i bransjen realiseres innsamling av nettverkstrafikk hovedsakelig av nettverksutstyr som støtter bypass-trafikkspeil. Trafikkinsamling må etablere et omfattende dekningsnettverk, et rimelig og effektivt trafikkinnsamlingsnettverk. Slik trafikkinnsamling kan bidra til å optimalisere nettverks- og forretningsytelsesindikatorer og redusere sannsynligheten for feil.
Trafikkinnsamlingsnettverket kan betraktes som et uavhengig nettverk bestående av trafikkinnsamlingsenheter og distribuert parallelt med produksjonsnettverket. Det samler inn bildetrafikken til hver nettverksenhet og aggregerer bildetrafikken i henhold til regionale og arkitektoniske nivåer. Det bruker trafikkfiltreringsutvekslingsalarmen i trafikkinnsamlingsutstyret for å realisere full linjehastighet for dataene for 2–4 lag med betinget filtrering, fjerne dupliserte pakker, avkorte pakker og andre avanserte funksjonelle operasjoner, og sender deretter dataene til hvert trafikkanalysesystem. Trafikkinnsamlingsnettverket kan nøyaktig sende spesifikke data til hver enhet i henhold til datakravene til hvert system, og løse problemet med at tradisjonelle speildata ikke kan filtreres og sendes, noe som forbruker prosesseringsytelsen til nettverkssvitsjene. Samtidig realiserer trafikkfiltrerings- og utvekslingsmotoren i trafikkinnsamlingsnettverket filtrering og videresending av data med lav forsinkelse og høy hastighet, sikrer kvaliteten på dataene som samles inn av trafikkinnsamlingsnettverket, og gir et godt datagrunnlag for det påfølgende trafikkanalyseutstyret.
For å redusere påvirkningen på den opprinnelige lenken, innhentes en kopi av den opprinnelige trafikken vanligvis ved hjelp av stråledeling, SPAN eller TAP.
Passiv nettverksuttak (optisk splitter)
Måten å bruke lysdeling for å få trafikkkopier krever hjelp av en lysdelerenhet. Lysdeleren er en passiv optisk enhet som kan omfordele effektintensiteten til det optiske signalet i samsvar med ønsket proporsjon. Splitteren kan dele lys fra 1 til 2, 1 til 4 og 1 til flere kanaler. For å redusere påvirkningen på den opprinnelige lenken, bruker datasenteret vanligvis et optisk delingsforhold på 80:20, 70:30, der 70:80 andel av det optiske signalet sendes tilbake til den opprinnelige lenken. For tiden er optiske splittere mye brukt i nettverksytelsesanalyse (NPM/APM), revisjonssystemer, brukeratferdsanalyse, nettverksinntrengingsdeteksjon og andre scenarier.
Fordeler:
1. Passiv optisk enhet med høy pålitelighet;
2. Opptar ikke bryterporten, uavhengig utstyr, etterfølgende kan være god utvidelse;
3. Ingen behov for å endre bryterkonfigurasjonen, ingen innvirkning på annet utstyr;
4. Full trafikkinnsamling, ingen svitsjpakkefiltrering, inkludert feilpakker osv.
Ulemper:
1. Behovet for enkel nettverkskutt, fiberplugg for backbone-kobling og oppringing til den optiske splitteren vil redusere den optiske effekten til noen backbone-koblinger.
SPAN (Babord speil)
SPAN er en funksjon som følger med selve svitsjen, så den trenger bare å konfigureres på svitsjen. Denne funksjonen vil imidlertid påvirke svitsjens ytelse og forårsake pakketap når dataene overbelastes.
Fordeler:
1. Det er ikke nødvendig å legge til ekstra utstyr, konfigurer svitsjen til å øke den tilsvarende utgangsporten for bildereplikering.
Ulemper:
1. Oppta svitsjporten
2. Svitsjer må konfigureres, noe som innebærer felles koordinering med tredjepartsprodusenter, noe som øker den potensielle risikoen for nettverksfeil.
3. Replikering av speiltrafikk har innvirkning på port- og svitsjeytelse.
Aktiv nettverks-TAP (TAP-aggregator)
En Network TAP er en ekstern nettverksenhet som muliggjør portspeiling og oppretter en kopi av trafikken for bruk av ulike overvåkingsenheter. Disse enhetene introduseres på et sted i nettverksstien som må observeres, og de kopierer IP-datapakkene og sender dem til nettverksovervåkingsverktøyet. Valget av tilgangspunkt for Network TAP-enheten avhenger av fokuset på nettverkstrafikken – datainnsamling, rutinemessig overvåking av analyse og forsinkelser, inntrengingsdeteksjon osv. Network TAP-enheter kan samle inn og speile datastrømmer med en hastighet på 1G opptil 100G.
Disse enhetene får tilgang til trafikk uten at nettverkets TAP-enhet endrer pakkeflyten på noen måte, uavhengig av datatrafikkhastigheten. Dette betyr at nettverkstrafikken ikke er underlagt overvåking og portspegling, noe som er viktig for å opprettholde dataenes integritet når de rutes til sikkerhets- og analyseverktøy.
Det sikrer at nettverkets periferienheter overvåker trafikkkopiene slik at nettverkets TAP-enheter fungerer som observatører. Ved å mate en kopi av dataene dine til alle tilkoblede enheter får du full oversikt over nettverkspunktet. I tilfelle en nettverks-TAP-enhet eller overvåkingsenhet svikter, vet du at trafikken ikke vil bli påvirket, noe som sikrer at operativsystemet forblir trygt og tilgjengelig.
Samtidig blir det det overordnede målet for nettverkets TAP-enheter. Tilgang til pakker kan alltid gis uten å avbryte trafikken i nettverket, og disse synlighetsløsningene kan også håndtere mer avanserte tilfeller. Overvåkingsbehovene til verktøy som spenner fra neste generasjons brannmurer til beskyttelse mot datalekkasje, overvåking av applikasjonsytelse, SIEM, digital etterforskning, IPS, IDS og mer, tvinger nettverkets TAP-enheter til å utvikle seg.
I tillegg til å gi en fullstendig kopi av trafikken og opprettholde tilgjengeligheten, kan TAP-enheter tilby følgende.
1. Filtrer pakker for å maksimere nettverksovervåkingsytelsen
Bare fordi en Network TAP-enhet kan lage en 100 % kopi av en pakke på et tidspunkt, betyr det ikke at alle overvåkings- og sikkerhetsverktøy trenger å se hele greia. Strømming av trafikk til alle nettverksovervåkings- og sikkerhetsverktøy i sanntid vil bare føre til overbestilling, og dermed skade ytelsen til verktøyene og nettverket i prosessen.
Å plassere riktig Network TAP-enhet kan bidra til å filtrere pakker når de rutes til overvåkingsverktøyet, og distribuere riktige data til riktig verktøy. Eksempler på slike verktøy inkluderer inntrengingsdeteksjonssystemer (IDS), datatapforebygging (DLP), sikkerhetsinformasjon og hendelseshåndtering (SIEM), rettsmedisinsk analyse og mye mer.
2. Samle lenker for effektiv nettverksbygging
Etter hvert som kravene til nettverksovervåking og sikkerhet øker, må nettverksingeniører finne måter å bruke eksisterende IT-budsjetter på for å utføre flere oppgaver. Men på et tidspunkt kan du ikke fortsette å legge til nye enheter i stabelen og øke kompleksiteten til nettverket ditt. Det er viktig å maksimere bruken av overvåkings- og sikkerhetsverktøy.
Nettverks-TAP-enheter kan bidra ved å aggregere flere nettverkstrafikker, østgående og vestgående, for å levere pakker til tilkoblede enheter gjennom én enkelt port. Implementering av synlighetsverktøy på denne måten vil redusere antallet overvåkingsverktøy som kreves. Etter hvert som øst-vest-datatrafikken fortsetter å vokse i datasentre og mellom datasentre, er behovet for nettverks-TAP-enheter avgjørende for å opprettholde synligheten av alle dimensjonale strømmer på tvers av store datamengder.
Relatert artikkel som kanskje er interessant, kan du gå inn her:Hvordan fange opp nettverkstrafikk? Nettverkstrykk vs. portspeil
Publisert: 24. oktober 2024
