Úvod
Zber a analýza sieťovej prevádzky je najefektívnejším prostriedkom na získanie údajov z prvej ruky o správaní používateľov siete. S neustálym zlepšovaním prevádzky a údržby dátových centier sa zber a analýza sieťovej prevádzky stali neoddeliteľnou súčasťou infraštruktúry dátových centier. V súčasnom odvetví sa zber sieťovej prevádzky väčšinou realizuje pomocou sieťových zariadení podporujúcich zrkadlenie bypassu prevádzky. Zber prevádzky si vyžaduje komplexné pokrytie, primeranú a efektívnu sieť na zber prevádzky, ktorá môže pomôcť optimalizovať ukazovatele výkonnosti siete a podniku a znížiť pravdepodobnosť zlyhania.
Sieť na zber prevádzky možno považovať za nezávislú sieť zloženú zo zariadení na zber prevádzky a nasadenú paralelne s produkčnou sieťou. Zhromažďuje obrazovú prevádzku každého sieťového zariadenia a agreguje obrazovú prevádzku podľa regionálnej a architektonickej úrovne. Využíva alarm výmeny filtrovania prevádzky v zariadení na zber prevádzky na dosiahnutie plnej rýchlosti linky pre 2-4 vrstvy podmieneného filtrovania, odstraňuje duplicitné pakety, skracuje pakety a vykonáva ďalšie pokročilé funkčné operácie, a potom odosiela údaje do každého systému na analýzu prevádzky. Sieť na zber prevádzky dokáže presne odosielať špecifické údaje do každého zariadenia podľa údajových požiadaviek každého systému a rieši problém, že tradičné zrkadlové údaje nie je možné filtrovať a odosielať, čo spotrebúva výkon spracovania sieťových prepínačov. Zároveň modul filtrovania a výmeny prevádzky siete na zber prevádzky realizuje filtrovanie a preposielanie údajov s nízkym oneskorením a vysokou rýchlosťou, zabezpečuje kvalitu údajov zhromaždených sieťou na zber prevádzky a poskytuje dobrý dátový základ pre následné zariadenia na analýzu prevádzky.
Aby sa znížil vplyv na pôvodné spojenie, kópia pôvodnej prevádzky sa zvyčajne získava pomocou delenia lúča, SPAN alebo TAP.
Pasívny sieťový odbočovač (optický rozbočovač)
Spôsob použitia delenia svetla na získanie prenosovej kópie vyžaduje pomoc zariadenia na delenie svetla. Delič svetla je pasívne optické zariadenie, ktoré dokáže prerozdeliť intenzitu výkonu optického signálu v súlade s požadovaným pomerom. Delič dokáže deliť svetlo z 1 na 2, 1 na 4 a 1 na viacero kanálov. Aby sa znížil vplyv na pôvodné prepojenie, dátové centrum zvyčajne používa pomer optického delenia 80:20, 70:30, pri ktorom sa 70:80-percentný podiel optického signálu posiela späť do pôvodného prepojenia. V súčasnosti sa optické delenia široko používajú v analýze výkonu siete (NPM/APM), audítorských systémoch, analýze správania používateľov, detekcii narušení siete a ďalších scenároch.
Výhody:
1. Vysoká spoľahlivosť, pasívne optické zariadenie;
2. Nezaberá port prepínača, nezávislé zariadenie, následne môže byť dobré rozšírenie;
3. Nie je potrebné upravovať konfiguráciu prepínača, nemá to vplyv na iné zariadenia;
4. Úplný zber dát z prevádzky, žiadne filtrovanie paketov prepínača, vrátane chybových paketov atď.
Nevýhody:
1. Potreba jednoduchého prepojenia siete, pripojenia optických vlákien chrbticového spojenia a vytočenia k optickému rozbočovaču zníži optický výkon niektorých chrbticových spojení.
SPAN (Zrkadlo portu)
SPAN je funkcia, ktorá je súčasťou samotného prepínača, takže ju stačí nakonfigurovať na prepínači. Táto funkcia však ovplyvní výkon prepínača a spôsobí stratu paketov pri preťažení dátami.
Výhody:
1. Nie je potrebné pridávať ďalšie zariadenia, nakonfigurujte prepínač tak, aby zvýšil príslušný výstupný port replikácie obrazu
Nevýhody:
1. Obsadenie portu prepínača
2. Prepínače je potrebné konfigurovať, čo zahŕňa spoločnú koordináciu s výrobcami tretích strán, čím sa zvyšuje potenciálne riziko zlyhania siete.
3. Replikácia zrkadlovej prevádzky má vplyv na výkon portov a prepínačov.
Aktívny sieťový TAP (agregátor TAP)
Sieťový TAP je externé sieťové zariadenie, ktoré umožňuje zrkadlenie portov a vytvára kópiu prevádzky pre rôzne monitorovacie zariadenia. Tieto zariadenia sa zavádzajú na mieste v sieťovej ceste, ktoré je potrebné sledovať, a kopírujú dátové IP pakety a odosielajú ich do nástroja na monitorovanie siete. Výber prístupového bodu pre sieťové zariadenie TAP závisí od zamerania sieťovej prevádzky – dôvody zhromažďovania údajov, rutinné monitorovanie analýzy a oneskorení, detekcia narušenia atď. Sieťové zariadenia TAP dokážu zhromažďovať a zrkadliť dátové toky rýchlosťou 1G až do 100G.
Tieto zariadenia pristupujú k prevádzke bez toho, aby sieťové zariadenie TAP akokoľvek upravovalo tok paketov, bez ohľadu na rýchlosť prenosu dát. To znamená, že sieťová prevádzka nie je monitorovaná a nezrkadlená, čo je nevyhnutné pre zachovanie integrity údajov pri ich smerovaní do bezpečnostných a analytických nástrojov.
Zaisťuje, že sieťové periférne zariadenia monitorujú kópie prevádzky, takže sieťové zariadenia TAP fungujú ako pozorovatelia. Odoslaním kópie vašich údajov do všetkých pripojených zariadení získate plný prehľad o sieťovom bode. V prípade zlyhania sieťového zariadenia TAP alebo monitorovacieho zariadenia viete, že prevádzka nebude ovplyvnená, čím sa zabezpečí, že operačný systém zostane bezpečný a dostupný.
Zároveň sa stáva celkovým cieľom sieťových zariadení TAP. Prístup k paketom je možné zabezpečiť vždy bez prerušenia prevádzky v sieti a tieto riešenia pre zabezpečenie viditeľnosti dokážu riešiť aj zložitejšie prípady. Monitorovacie potreby nástrojov od firewallov novej generácie až po ochranu pred únikom údajov, monitorovanie výkonu aplikácií, SIEM, digitálnu forenznú analýzu, IPS, IDS a ďalšie nútia sieťové zariadenia TAP k vývoju.
Okrem poskytovania úplnej kópie prevádzky a udržiavania dostupnosti môžu zariadenia TAP poskytovať aj nasledujúce funkcie.
1. Filtrovanie paketov pre maximalizáciu výkonu monitorovania siete
Len preto, že sieťové zariadenie TAP dokáže v určitom okamihu vytvoriť 100 % kópiu paketu, neznamená to, že každý monitorovací a bezpečnostný nástroj musí vidieť celý paket. Streamovanie prevádzky do všetkých nástrojov na monitorovanie a zabezpečenie siete v reálnom čase povedie iba k nadmernému poradiu, čo poškodí výkon nástrojov a siete.
Umiestnenie správneho sieťového zariadenia TAP môže pomôcť filtrovať pakety smerované do monitorovacieho nástroja a distribuovať správne údaje do správneho nástroja. Medzi príklady takýchto nástrojov patria systémy detekcie narušenia (IDS), prevencia straty údajov (DLP), správa bezpečnostných informácií a udalostí (SIEM), forenzná analýza a mnoho ďalších.
2. Agregované odkazy pre efektívne vytváranie sietí
S rastúcimi požiadavkami na monitorovanie a zabezpečenie siete musia sieťoví inžinieri nájsť spôsoby, ako využiť existujúce IT rozpočty na splnenie väčšieho počtu úloh. V určitom bode však už nemôžete neustále pridávať nové zariadenia do siete a zvyšovať jej zložitosť. Je nevyhnutné maximalizovať využitie nástrojov na monitorovanie a zabezpečenie.
Sieťové zariadenia TAP môžu pomôcť agregáciou viacerých sieťových prenosov, smerujúcich na východ aj na západ, s cieľom doručiť pakety do pripojených zariadení cez jeden port. Nasadenie nástrojov na prehľadnosť týmto spôsobom zníži počet potrebných monitorovacích nástrojov. Keďže dátová prevádzka medzi východom a západom v dátových centrách a medzi dátovými centrami neustále rastie, požiadavka na sieťové zariadenia TAP je nevyhnutná na udržanie prehľadu o všetkých dimenzionálnych tokoch vo veľkých objemoch údajov.
Súvisiaci článok, ktorý by vás mohol zaujímať, nájdete tu:Ako zachytiť sieťovú prevádzku? Network Tap vs. Port Mirror
Čas uverejnenia: 24. októbra 2024
