Hvorfor trenger nettverkskraner og nettverkspakkemeglere for din nettverkstrafikkfangst? (Del 2)

Introduksjon

Nettverkstrafikkinnsamling og analyse er det mest effektive middelet for å oppnå førstehånds nettverksatferdsindikatorer og parametere. Med kontinuerlig forbedring av Data Center Q -drift og vedlikehold, har nettverkstrafikkinnsamling og analyse blitt en uunnværlig del av datasenterinfrastrukturen. Fra gjeldende bransjebruk blir nettverkstrafikksamling for det meste realisert av nettverksutstyr som støtter bypass -trafikkspeil. Trafikkinnsamling må etablere et omfattende dekning, rimelig og effektivt trafikkinnsamlingsnettverk, slik trafikkinnsamling kan bidra til å optimalisere nettverks- og forretningsytelsesindikatorer og redusere sannsynligheten for feil.

Trafikkinnsamlingsnettverket kan betraktes som et uavhengig nettverk som er sammensatt av trafikkinnsamlingsenheter og distribuert parallelt med produksjonsnettverket. Den samler bildetrafikken til hver nettverksenhet og samler bildetrafikken i henhold til det regionale og arkitektoniske nivået. Den bruker trafikkfiltreringsutvekslingsalarmen i trafikkinnsamlingsutstyret for å realisere hele linjehastigheten til dataene for 2-4 lag med betinget filtrering, fjerne dupliserte pakker, avkortende pakker og andre avanserte funksjonelle operasjoner, og sender deretter dataene til hvert trafikkanalysesystem. Trafikkinnsamlingsnettverket kan nøyaktig sende spesifikke data til hver enhet i henhold til datakravene til hvert system, og løse problemet som de tradisjonelle speildataene ikke kan filtreres og sendes, som bruker behandlingsytelsen til nettverksbrytere. Samtidig realiserer trafikkfiltrerings- og utvekslingsmotoren til trafikkinnsamlingsnettverket filtrering og videresending av data med lav forsinkelse og høy hastighet, sikrer kvaliteten på data som er samlet inn av trafikkinnsamlingsnettverket, og gir et godt datatounding for det påfølgende trafikkanalyseutstyret.

Problemet med trafikkovervåking

For å redusere innvirkningen på den opprinnelige lenken, oppnås en kopi av den opprinnelige trafikken vanligvis ved hjelp av stråling, spenn eller tapp.

Passivt nettverksprit (optisk splitter)

Måten å bruke lysplitting for å få trafikkopi krever hjelp av en lett splitterapparat. Lysplitteren er en passiv optisk enhet som kan fordele kraftintensiteten til det optiske signalet i samsvar med den nødvendige andelen. Splitteren kan dele lys fra 1 til 2,1 til 4 og 1 til flere kanaler. For å redusere påvirkningen på den opprinnelige lenken, vedtar datasenteret vanligvis det optiske splittingsforholdet på 80:20, 70:30, der 70,80 andel av det optiske signalet sendes tilbake til den opprinnelige lenken. For tiden er optiske splittere mye brukt i nettverksytelsesanalyse (NPM/APM), revisjonssystem, brukeratferdsanalyse, nettverksinntrengningsdeteksjon og andre scenarier.

Fangstikon

Fordeler:

1. Høy pålitelighet, passiv optisk enhet;

2. Okkuperer ikke bryterport, uavhengig utstyr, etterfølgende kan være god utvidelse;

3. Du trenger ikke å endre bryterkonfigurasjonen, ingen innvirkning på annet utstyr;

4. Full trafikksamling, ingen bryterpakkefiltrering, inkludert feilpakker, etc.

Ulemper:

1. Behovet for enkel nettverksutskjæring, ryggfiberplugg og ringer til den optiske splitteren, vil redusere den optiske kraften til noen ryggradskoblinger

Span (Port Mirror)

Span er en funksjon som følger med selve bryteren, så den må bare konfigureres på bryteren. Imidlertid vil denne funksjonen påvirke ytelsen til bryteren og forårsake pakketap når dataene er overbelastet.

nettverksbryter portspeil

Fordeler:

1. Det er ikke nødvendig å legge til tilleggsutstyr, konfigurere bryteren for å øke den tilsvarende utgangsporten

Ulemper:

1. Okkupere bryterporten

2. Brytere må konfigureres, som innebærer felles koordinering med tredjepartsprodusenter, noe som øker den potensielle risikoen for nettverkssvikt

3. Speiltrafikkreplikasjon har innvirkning på ytelsen til port og bytte.

Aktivt nettverksprit (Tap Aggregator)

Et nettverksknapp er en ekstern nettverksenhet som muliggjør portspeiling og oppretter en kopi av trafikk for bruk av forskjellige overvåkingsenheter. Disse enhetene blir introdusert på et sted i nettverksstien som må observeres, og det kopierer dataene i IP -pakker og sender dem til nettverksovervåkningsverktøyet. Valget av tilgangspunktet for nettverkskranenheten avhenger av fokuset på nettverkstrafikk -Data -samlingsgrunner, rutinemessig overvåking av analyse og forsinkelser, inntrengingsdeteksjon, etc. Nettverksapparatene kan samle inn og speil datastrømmer med 1 g rate opp til 100 g.

Disse enhetene får tilgang til trafikk uten nettverkskranenheten som endrer pakkestrømmen på noen måte, uavhengig av datatrafikkfrekvens. Dette betyr at nettverkstrafikk ikke er underlagt overvåking og portspeiling, noe som er avgjørende for å opprettholde integriteten til dataene når du dirigerer dem til sikkerhets- og analyseverktøy.

Det sikrer at perifere enheter av nettverket overvåker trafikkkopiene slik at nettverksutstyrene fungerer som observatører. Ved å mate en kopi av dataene dine til alle/alle tilkoblede enheter, får du full synlighet på nettverkspunktet. I tilfelle at en nettverkskranenhet eller overvåkningsenhet mislykkes, vet du at trafikken ikke vil bli påvirket, noe som sikrer at operativsystemet forblir trygt og tilgjengelig.

Samtidig blir det det overordnede målet for nettverksutstyr. Tilgang til pakker kan alltid gis uten å avbryte trafikken i nettverket, og disse synlighetsløsningene kan også adressere mer avanserte saker. Overvåkningsbehovene til verktøy som spenner fra neste generasjons brannmurer til datalekkasjebeskyttelse, overvåkning av applikasjoner, SIEM, Digital Forensics, IP -er, ID -er og mer, Force Network Tap -enheter til å utvikle seg.

I tillegg til å gi en komplett kopi av trafikken og vedlikeholde tilgjengeligheten, kan TAP -enheter gi følgende.

1. Filtrer pakker for å maksimere ytelsen

Bare fordi en nettverkstappenhet kan opprette en 100% kopi av en pakke på et tidspunkt, betyr ikke det at hver overvåking og sikkerhetsverktøy trenger å se hele saken. Streaming av trafikk til alle nettverksovervåking og sikkerhetsverktøy i sanntid vil bare føre til overordning, og dermed skade ytelsen til verktøyene og nettverket i prosessen.

Å plassere riktig nettverksutstyr enheten kan hjelpe filtrere pakker når du blir dirigert til overvåkingsverktøyet, og distribuerer riktige data til riktig verktøy. Eksempler på slike verktøy inkluderer inntrengingsdeteksjonssystemer (IDS), Data Loss Prevention (DLP), Security Information and Event Management (SIEM), Forensic Analysis og mange flere.

2. Aggregate lenker for effektivt nettverk

Når nettverksovervåking og sikkerhetskrav øker, må nettverksingeniører finne måter å bruke eksisterende IT -budsjetter for å utføre flere oppgaver. Men på et tidspunkt kan du ikke fortsette å legge til nye enheter til stabelen og øke kompleksiteten i nettverket ditt. Det er viktig å maksimere bruken av overvåknings- og sikkerhetsverktøy.

Network Tap -enheter kan hjelpe ved å samle flere nettverkstrafikk, østgående og vestgående, for å levere pakker til tilkoblede enheter gjennom en enkelt port. Å distribuere synlighetsverktøy på denne måten vil redusere antall overvåkningsverktøy som kreves. Når øst-vest-datatrafikken fortsetter å vokse i datasentre og mellom datasentre, er kravet til nettverksutstyr enheter avgjørende for å opprettholde synligheten av alle dimensjonale strømmer over store datamengder.

ML-NPB-5690 (8)

Beslektet artikkel du kan være interessant, besøk her:Hvordan fange nettverkstrafikk? Nettverkskran vs portspeil


Post Time: Oct-24-2024