Prečo na zachytávanie sieťovej prevádzky potrebujete sieťové odbočky a sprostredkovateľov sieťových paketov? (2. časť)

Úvod

Zhromažďovanie a analýza sieťovej prevádzky je najefektívnejším prostriedkom na získanie indikátorov a parametrov správania používateľov siete z prvej ruky. S neustálym zlepšovaním prevádzky a údržby dátového centra Q sa zber a analýza sieťovej prevádzky stali nenahraditeľnou súčasťou infraštruktúry dátového centra. Zo súčasného priemyselného využitia je zber sieťovej prevádzky väčšinou realizovaný sieťovými zariadeniami podporujúcimi obtokové zrkadlo. Zhromažďovanie prenosu potrebuje vytvoriť komplexné pokrytie, primeranú a efektívnu zbernú sieť prenosu. Takýto zber dát môže pomôcť optimalizovať ukazovatele výkonnosti siete a podnikania a znížiť pravdepodobnosť zlyhania.

Sieť zberu premávky možno považovať za nezávislú sieť zloženú zo zariadení na zber návštevnosti a rozmiestnenú paralelne s produkčnou sieťou. Zhromažďuje obrazový prenos každého sieťového zariadenia a agreguje obrazový prenos podľa regionálnej a architektonickej úrovne. Používa alarm výmeny filtrovania prevádzky v zariadení na získavanie premávky na realizáciu plnej rýchlosti dát pre 2-4 vrstvy podmieneného filtrovania, odstraňovania duplicitných paketov, skracovania paketov a iných pokročilých funkčných operácií a potom odosiela dáta do každej prevádzky. analytický systém. Sieť na zber dát môže presne posielať špecifické dáta do každého zariadenia podľa dátových požiadaviek každého systému a vyriešiť problém, že tradičné zrkadlové dáta nemožno filtrovať a odosielať, čo spotrebúva výkon sieťových prepínačov. Motor filtrovania a výmeny návštevnosti siete zberu návštevnosti zároveň realizuje filtrovanie a preposielanie údajov s malým oneskorením a vysokou rýchlosťou, zabezpečuje kvalitu údajov zozbieraných sieťou zberu návštevnosti a poskytuje dobrý dátový základ pre následné zariadenia na analýzu dopravy.

problém monitorovania dopravy

Aby sa znížil vplyv na pôvodné spojenie, kópia pôvodnej prevádzky sa zvyčajne získava pomocou rozdelenia lúčov, SPAN alebo TAP.

Pasívne pripojenie siete (optický rozdeľovač)

Spôsob použitia rozdeľovania svetla na získanie dopravnej kópie vyžaduje pomoc zariadenia na rozdeľovanie svetla. Rozdeľovač svetla je pasívne optické zariadenie, ktoré dokáže prerozdeliť intenzitu výkonu optického signálu v súlade s požadovaným pomerom. Rozdeľovač dokáže rozdeliť svetlo od 1 do 2, 1 až 4 a 1 do viacerých kanálov. Aby sa znížil dopad na pôvodné spojenie, dátové centrum zvyčajne používa optický deliaci pomer 80:20, 70:30, v ktorom sa 70,80 podiel optického signálu posiela späť na pôvodné spojenie. V súčasnosti sa optické rozdeľovače široko používajú pri analýze výkonu siete (NPM/APM), auditovom systéme, analýze správania používateľov, detekcii narušenia siete a iných scenároch.

Ikona snímania

Výhody:

1. Vysoká spoľahlivosť, pasívne optické zariadenie;

2. nezaberá port prepínača, nezávislé vybavenie, následné môže byť dobré rozšírenie;

3. Nie je potrebné upravovať konfiguráciu prepínača, žiadny vplyv na iné zariadenia;

4. Úplné zhromažďovanie prevádzky, žiadne filtrovanie paketov prepínačov, vrátane chybových paketov atď.

Nevýhody:

1. Potreba jednoduchého prerušenia siete, konektora chrbticovej linky a pripojenia k optickému rozbočovaču zníži optický výkon niektorých chrbticových liniek

SPAN (Port Mirror)

SPAN je funkcia, ktorá sa dodáva so samotným prepínačom, takže ho stačí nakonfigurovať na prepínači. Táto funkcia však ovplyvní výkon prepínača a spôsobí stratu paketov, keď sú dáta preťažené.

zrkadlový port sieťového prepínača

Výhody:

1. Nie je potrebné pridávať ďalšie vybavenie, nakonfigurujte prepínač tak, aby sa zvýšil zodpovedajúci výstupný port replikácie obrazu

Nevýhody:

1. Obsaďte port prepínača

2. Prepínače je potrebné nakonfigurovať, čo zahŕňa spoločnú koordináciu s výrobcami tretích strán, čím sa zvyšuje potenciálne riziko zlyhania siete

3. Replikácia zrkadlenej prevádzky má vplyv na výkon portu a prepínača.

Aktívna sieť TAP (TAP agregátor)

Network TAP je externé sieťové zariadenie, ktoré umožňuje zrkadlenie portov a vytvára kópiu prevádzky na použitie rôznymi monitorovacími zariadeniami. Tieto zariadenia sú zavedené na miesto v sieťovej ceste, ktoré je potrebné sledovať, a kopíruje dátové IP pakety a posiela ich do nástroja na monitorovanie siete. Výber prístupového bodu pre zariadenie Network TAP závisí od zamerania sieťovej prevádzky – dôvody zberu údajov, rutinné monitorovanie analýzy a oneskorení, detekcia narušenia atď. Zariadenia Network TAP môžu zhromažďovať a zrkadliť dátové toky rýchlosťou až 1G. 100 g.

Tieto zariadenia pristupujú k prevádzke bez toho, aby sieťové zariadenie TAP akýmkoľvek spôsobom modifikovalo tok paketov, bez ohľadu na rýchlosť prenosu dát. To znamená, že sieťová prevádzka nepodlieha monitorovaniu a zrkadleniu portov, čo je nevyhnutné na zachovanie integrity údajov pri ich smerovaní do bezpečnostných a analytických nástrojov.

Zabezpečuje, aby sieťové periférne zariadenia monitorovali kópie prevádzky tak, aby sieťové zariadenia TAP pôsobili ako pozorovatelia. Poskytnutím kópie vašich údajov do všetkých pripojených zariadení získate úplnú viditeľnosť v bode siete. V prípade, že zlyhá sieťové TAP zariadenie alebo monitorovacie zariadenie, viete, že prevádzka nebude ovplyvnená, čím zaistíte, že operačný systém zostane bezpečný a dostupný.

Zároveň sa stáva celkovým cieľom sieťových TAP zariadení. Prístup k paketom možno vždy poskytnúť bez prerušenia prevádzky v sieti a tieto riešenia viditeľnosti môžu riešiť aj pokročilejšie prípady. Potreby monitorovania nástrojov od novej generácie firewallov až po ochranu pred únikom dát, monitorovanie výkonu aplikácií, SIEM, digitálnu forenznú analýzu, IPS, IDS a ďalšie nútia sieťové zariadenia TAP, aby sa vyvíjali.

Okrem poskytovania úplnej kópie prevádzky a udržiavania dostupnosti môžu zariadenia TAP poskytovať nasledujúce.

1. Filtrujte pakety, aby ste maximalizovali výkon monitorovania siete

To, že zariadenie Network TAP môže v určitom okamihu vytvoriť 100% kópiu paketu, neznamená, že každý monitorovací a bezpečnostný nástroj musí vidieť celú vec. Streamovanie prevádzky do všetkých nástrojov na monitorovanie a zabezpečenie siete v reálnom čase bude mať za následok iba nadmerné poradie, čím sa zníži výkon nástrojov a siete v tomto procese.

Umiestnenie správneho zariadenia Network TAP môže pomôcť filtrovať pakety pri smerovaní do monitorovacieho nástroja a distribuovať správne údaje do správneho nástroja. Príklady takýchto nástrojov zahŕňajú systémy detekcie narušenia (IDS), prevenciu straty údajov (DLP), správu bezpečnostných informácií a udalostí (SIEM), forenznú analýzu a mnohé ďalšie.

2. Súhrnné odkazy pre efektívne vytváranie sietí

S rastúcimi požiadavkami na monitorovanie a zabezpečenie siete musia sieťoví inžinieri nájsť spôsoby, ako využiť existujúce rozpočty na IT na splnenie viacerých úloh. V určitom okamihu však nemôžete neustále pridávať nové zariadenia do zásobníka a zvyšovať zložitosť vašej siete. Je nevyhnutné maximalizovať využitie monitorovacích a bezpečnostných nástrojov.

Sieťové zariadenia TAP môžu pomôcť agregovaním viacerých sieťových prenosov, smerom na východ a na západ, aby doručili pakety do pripojených zariadení prostredníctvom jediného portu. Nasadenie nástrojov viditeľnosti týmto spôsobom zníži počet potrebných monitorovacích nástrojov. Keďže dátová prevádzka medzi východom a západom naďalej rastie v dátových centrách a medzi dátovými centrami, požiadavka na sieťové TAP zariadenia je nevyhnutná na udržanie viditeľnosti všetkých rozmerových tokov naprieč veľkými objemami dát.

ML-NPB-5690 (8)

Súvisiaci článok, ktorý by vás mohol zaujímať, navštívte tu:Ako zachytiť sieťovú prevádzku? Sieťový dotyk vs Port Mirror


Čas odoslania: 24. októbra 2024