Zavedení
Sběr a analýza síťového provozu je nejúčinnějším prostředkem pro získání ukazatelů a parametrů chování uživatelů sítě z první ruky. S neustálým zlepšováním provozu a údržby datových center se sběr a analýza síťového provozu stala nepostradatelnou součástí infrastruktury datových center. V současném průmyslovém prostředí je sběr síťového provozu většinou realizován síťovým zařízením podporujícím bypass traffic mirror. Sběr provozu vyžaduje vytvoření komplexní sítě s pokrytím, rozumnou a efektivní sítí pro sběr provozu. Takový sběr provozu může pomoci optimalizovat ukazatele výkonnosti sítě a podniku a snížit pravděpodobnost selhání.
Síť pro sběr provozu lze považovat za nezávislou síť složenou ze zařízení pro sběr provozu a nasazenou paralelně s produkční sítí. Shromažďuje obrazový provoz každého síťového zařízení a agreguje jej podle regionální a architektonické úrovně. Využívá alarm pro výměnu filtrování provozu v zařízení pro sběr provozu k dosažení plné rychlosti linky pro 2–4 vrstvy podmíněného filtrování, odstraňování duplicitních paketů, ořezávání paketů a další pokročilé funkční operace, a poté odesílá data do každého systému pro analýzu provozu. Síť pro sběr provozu dokáže přesně odesílat specifická data do každého zařízení podle datových požadavků každého systému a řeší problém, že tradiční zrcadlená data nelze filtrovat a odesílat, což spotřebovává výpočetní výkon síťových přepínačů. Zároveň modul pro filtrování a výměnu provozu sítě pro sběr provozu realizuje filtrování a přeposílání dat s nízkým zpožděním a vysokou rychlostí, zajišťuje kvalitu dat shromážděných sítí pro sběr provozu a poskytuje dobrý datový základ pro následná zařízení pro analýzu provozu.
Aby se snížil dopad na původní spojení, obvykle se kopie původního provozu získává pomocí dělení paprsku, SPAN nebo TAP.
Pasivní síťový odbočovač (optický rozbočovač)
Způsob využití dělení světla k získání kopie provozu vyžaduje pomoc zařízení pro dělič světla. Dělič světla je pasivní optické zařízení, které dokáže přerozdělit intenzitu výkonu optického signálu v souladu s požadovaným poměrem. Dělič dokáže rozdělit světlo z 1 na 2, 1 na 4 a 1 na více kanálů. Aby se snížil dopad na původní spojení, datová centra obvykle používají poměr optického dělicího signálu 80:20, 70:30, kdy se 70:80% podíl optického signálu odesílá zpět do původního spojení. V současné době se optické děliče široce používají v analýze výkonu sítě (NPM/APM), auditních systémech, analýze chování uživatelů, detekci narušení sítě a dalších scénářích.
Výhody:
1. Vysoká spolehlivost, pasivní optické zařízení;
2. Neobsazuje port přepínače, nezávislé zařízení, následně může být dobré rozšíření;
3. Není třeba upravovat konfiguraci přepínače, žádný vliv na ostatní zařízení;
4. Úplný sběr dat z provozu, žádné filtrování paketů přepínačů, včetně chybových paketů atd.
Nevýhody:
1. Potřeba jednoduchého síťového přepnutí, připojení optických vláken páteřního spoje a vytočení k optickému rozbočovači sníží optický výkon některých páteřních spojů.
SPAN (Zrcadlení portu)
SPAN je funkce, která je součástí samotného přepínače, takže ji stačí nakonfigurovat přímo na přepínači. Tato funkce však ovlivní výkon přepínače a způsobí ztrátu paketů při přetížení dat.
Výhody:
1. Není nutné přidávat další zařízení, nakonfigurujte přepínač tak, aby se zvýšil odpovídající výstupní port pro replikaci obrazu
Nevýhody:
1. Obsaďte port přepínače
2. Přepínače je nutné konfigurovat, což zahrnuje společnou koordinaci s výrobci třetích stran, což zvyšuje potenciální riziko selhání sítě.
3. Replikace zrcadlového provozu má vliv na výkon portů a přepínačů.
Aktivní síťový TAP (agregátor TAP)
Síťový TAP je externí síťové zařízení, které umožňuje zrcadlení portů a vytváří kopii provozu pro použití různými monitorovacími zařízeními. Tato zařízení jsou zavedena na místě v síťové cestě, které je třeba sledovat, a kopírují datové IP pakety a odesílají je do nástroje pro monitorování sítě. Volba přístupového bodu pro síťové zařízení TAP závisí na zaměření síťového provozu – důvody sběru dat, rutinní monitorování analýzy a zpoždění, detekce narušení atd. Síťová zařízení TAP mohou shromažďovat a zrcadlit datové streamy rychlostí 1G až do 100G.
Tato zařízení přistupují k provozu, aniž by síťové zařízení TAP jakkoli upravovalo tok paketů, bez ohledu na rychlost datového provozu. To znamená, že síťový provoz není monitorován a nepodléhá zrcadlení portů, což je nezbytné pro zachování integrity dat při jejich směrování k bezpečnostním a analytickým nástrojům.
Zajišťuje, aby síťová periferní zařízení monitorovala kopie provozu, takže síťová zařízení TAP fungují jako pozorovatelé. Odesláním kopie vašich dat do všech připojených zařízení získáte plný přehled o stavu sítě. V případě selhání síťového zařízení TAP nebo monitorovacího zařízení víte, že provoz nebude ovlivněn, což zajišťuje bezpečnost a dostupnost operačního systému.
Zároveň se stává celkovým cílem síťových zařízení TAP. Přístup k paketům lze vždy zajistit bez přerušení provozu v síti a tato řešení pro zajištění viditelnosti mohou řešit i složitější případy. Potřeby monitorování nástrojů od firewallů nové generace až po ochranu před únikem dat, monitorování výkonu aplikací, SIEM, digitální forenzní analýzu, IPS, IDS a další nutí síťová zařízení TAP k dalšímu vývoji.
Kromě poskytování úplné kopie provozu a udržování dostupnosti mohou zařízení TAP poskytovat následující.
1. Filtrování paketů pro maximalizaci výkonu monitorování sítě
Jen proto, že zařízení Network TAP dokáže v určitém okamžiku vytvořit 100% kopii paketu, neznamená to, že každý monitorovací a bezpečnostní nástroj musí vidět celý paket. Streamování provozu do všech nástrojů pro monitorování a zabezpečení sítě v reálném čase povede pouze k nadměrnému pořadí, což poškodí výkon nástrojů a sítě.
Umístění správného síťového zařízení TAP může pomoci filtrovat pakety směrované do monitorovacího nástroje a distribuovat správná data správnému nástroji. Mezi příklady takových nástrojů patří systémy detekce narušení (IDS), prevence ztráty dat (DLP), správa bezpečnostních informací a událostí (SIEM), forenzní analýza a mnoho dalších.
2. Agregované odkazy pro efektivní síťování
S rostoucími požadavky na monitorování a zabezpečení sítě musí síťoví inženýři najít způsoby, jak využít stávající IT rozpočty k plnění více úkolů. V určitém okamžiku však nemůžete neustále přidávat nová zařízení do sítě a zvyšovat její složitost. Je nezbytné maximalizovat využití nástrojů pro monitorování a zabezpečení.
Síťová zařízení TAP mohou pomoci agregací vícenásobného síťového provozu, směrovaného na východ i na západ, za účelem doručování paketů připojeným zařízením prostřednictvím jediného portu. Nasazení nástrojů pro viditelnost tímto způsobem sníží počet potřebných monitorovacích nástrojů. Vzhledem k tomu, že datový provoz mezi východem a západem v datových centrech a mezi datovými centry neustále roste, je požadavek na síťová zařízení TAP nezbytný pro udržení viditelnosti všech dimenzionálních toků napříč velkými objemy dat.
Související článek, který by vás mohl zajímat, naleznete zde:Jak zachytit síťový provoz? Network Tap vs. Port Mirror
Čas zveřejnění: 24. října 2024
