Zavedení
Sběr a analýza síťového provozu je nejúčinnějším prostředkem k získání indikátorů a parametrů chování uživatelů první ruky. S neustálým zlepšováním provozu a údržby datového centra Q se sběr a analýza síťového provozu stala nezbytnou součástí infrastruktury datového centra. Z současného využití v odvětví je sběr síťového provozu většinou realizován síťovým zařízením podporujícím obtokové dopravní zrcadlo. Sběr provozu musí stanovit komplexní pokrytí, přiměřenou a efektivní síť pro sběr provozu, taková sběr provozu může pomoci optimalizovat ukazatele sítě a výkonu podnikání a snížit pravděpodobnost selhání.
Síť sběru provozu lze považovat za nezávislou síť složenou ze zařízení pro sběr provozu a nasazeno paralelně s produkční sítí. Shromažďuje obrazový provoz každého síťového zařízení a agreguje provoz obrazu podle regionální a architektonické úrovně. Používá alarm výměny dopravního filtrování v zařízení pro získávání provozu k realizaci plné rychlosti dat pro 2-4 vrstvy podmíněného filtrování, odstranění duplicitních paketů, zkrácení paketů a další pokročilé funkční operace a poté odešle data do každého systému analýzy provozu. Síť sběru provozu může přesně odesílat konkrétní data do každého zařízení podle požadavků na data každého systému a vyřešit problém, který tradiční data zrcadla nelze filtrovat a odesílat, což spotřebovává výkonnost síťových přepínačů. Současně si motor pro filtrování a výměnu provozu v síti pro sběr provozu realizuje filtrování a předávání dat s nízkým zpožděním a vysokou rychlostí, zajišťuje kvalitu dat shromážděných síti pro sběr provozu a poskytuje dobrý datový základ pro následné zařízení pro analýzu provozu.
Za účelem snížení dopadu na původní odkaz se obvykle získá kopie původního provozu pomocí rozdělení, rozpětí nebo klepnutím na paprsek.
Pasivní síťová klepnutí (optický splitter)
Způsob použití rozštěpení světla k získání kopírování dopravy vyžaduje pomoc zařízení pro rozštěpování světla. Světloviště světlo je pasivní optické zařízení, které může redistribuovat intenzitu výkonu optického signálu v souladu s požadovaným poměrem. Splitter může rozdělit světlo od 1 do 2,1 na 4 a 1 na více kanálů. Aby se snížil dopad na původní spojení, datové centrum obvykle přijímá poměr optického rozdělení 80:20, 70:30, ve kterém je 70,80 podíl optického signálu odeslán zpět do původního odkazu. V současné době jsou optické rozdělení široce používány v analýze výkonu sítě (NPM/APM), auditorském systému, analýze chování uživatelů, detekci vniknutí sítě a dalších scénářích.
Výhody:
1. Vysoká spolehlivost, pasivní optické zařízení;
2. nezabírá port přepínače, nezávislé zařízení, následné může být dobrá expanze;
3. Není třeba modifikovat konfiguraci přepínače, žádný dopad na jiné zařízení;
4. Sběr plného provozu, filtrování bez přepínače, včetně chybových paketů atd.
Nevýhody:
1.. Potřeba jednoduchého řezu sítě, zástrčka vlákna páteře a vytočení k optickému rozdělovači sníží optickou sílu některých páteřních odkazů
Span (Port Mirror)
Rozpětí je funkce, která je dodávána se samotným přepínačem, takže je třeba jej nakonfigurovat na přepínači. Tato funkce však ovlivní výkon přepínače a způsobí ztrátu paketů, když jsou data přetížena.
Výhody:
1. Není nutné přidat další zařízení, nakonfigurovat přepínač tak, aby se zvýšil odpovídající výstupní port replikace obrazu
Nevýhody:
1. Zabírajte port přepínače
2. je třeba nakonfigurovat přepínače, které zahrnují koordinaci společné s výrobci třetích stran, což zvyšuje potenciální riziko selhání sítě
3. Replikace zrcadlového provozu má dopad na výkon portů a přepínače.
Aktivní síťový klepnutí (agregátor klepnutí)
Síťové klepnutí je externí síťové zařízení, které umožňuje zrcadlení portu a vytváří kopii provozu pro použití různými monitorovacími zařízeními. Tato zařízení jsou zavedena na místě v síťové cestě, kterou je třeba dodržovat, a zkopíruje pakety IP dat a odešle je do nástroje pro monitorování sítě. Výběr přístupového bodu pro zařízení TAP síťové sítě závisí na zaměření důvodů sběru síťového provozu -Důvody sběru dat, rutinní monitorování analýzy a zpoždění, detekce narušení atd. Síťová tapová zařízení mohou shromažďovat a zrcadlit datové toky při 1 g rychlosti až 100 g.
Tato zařízení přistupují k provozu, aniž by síťové klepnuté zařízení upravovalo tok paketů jakýmkoli způsobem, bez ohledu na rychlost datového provozu. To znamená, že síťový provoz nepodléhá monitorování a zrcadlení portů, což je nezbytné pro udržení integrity dat při jejich směrování na nástroje pro zabezpečení a analýzu.
Zajišťuje, že síťová periferní zařízení monitoruje provozní kopie tak, aby zařízení propojení sítě fungovaly jako pozorovatelé. Nakráháním kopie vašich dat do všech/všech připojených zařízení získáte plnou viditelnost v síťovém bodě. V případě selhání zařízení nebo monitorovacího zařízení síťového klepnutí víte, že provoz nebude ovlivněn, což zajistí, že operační systém zůstane bezpečný a dostupný.
Současně se stane celkovým cílem zařízení pro TAP. Přístup k paketům lze vždy poskytovat bez přerušení provozu v síti a tato řešení viditelnosti se mohou také zabývat pokročilejšími případy. Monitorovací potřeby nástrojů od firewall příští generace po ochranu úniku dat, monitorování výkonu aplikací, SIEM, digitální forenzní, IPS, ID a další, síťová síťová zařízení, která se vyvíjejí.
Kromě poskytnutí úplné kopie provozu a udržování dostupnosti mohou Tap Devices poskytnout následující.
1. Filtrací pakety pro maximalizaci výkonu monitorování sítě
Jen proto, že síťové klepnutí může v určitém okamžiku vytvořit 100% kopii paketu, neznamená, že každý nástroj pro monitorování a zabezpečení musí vidět celou věc. Streamování provozu ke všem nástrojům pro monitorování sítě a zabezpečení v reálném čase povede pouze k nadměrnému uspořádání, čímž bude poškodit výkon nástrojů a sítě v tomto procesu.
Umístění správného síťového klepnutí může pomoci filtrovat pakety při směrování do monitorovacího nástroje a distribuovat správná data do správného nástroje. Mezi příklady těchto nástrojů patří systémy detekce narušení (IDS), prevence ztráty dat (DLP), informace o zabezpečení a správu událostí (SIEM), forenzní analýza a mnoho dalších.
2. agregované odkazy pro efektivní síť
S rostoucími požadavky na síť a bezpečnostní požadavky musí síťové inženýři najít způsoby, jak použít stávající IT rozpočty k plnění více úkolů. V určitém okamžiku však do zásobníku nemůžete pokračovat v přidávání nových zařízení a zvyšování složitosti vaší sítě. Je nezbytné maximalizovat použití nástrojů pro monitorování a zabezpečení.
Síťová zařízení pro TAP mohou pomoci agregovat více síťového provozu, východní a západně, a dodávat pakety do připojených zařízení prostřednictvím jednoho portu. Tímto způsobem nasazení nástrojů pro viditelnost sníží počet požadovaných monitorovacích nástrojů. Vzhledem k tomu, že přenos dat na východ-západním přenosu stále roste v datových centrech a mezi datovými centry, je požadavek na síťová zařízení pro síťový tap nezbytný pro udržení viditelnosti všech rozměrových toků napříč velkými objemy dat.
Související článek, který může být zajímavý, navštivte prosím zde:Jak zachytit síťový provoz? Síťová klepnutí vs Port Mirror
Čas příspěvku: říjen-24-2024
