Proč potřebujete Network Taps a Network Packet Brokers pro zachycování síťového provozu? (část 2)

Zavedení

Sběr a analýza síťového provozu je nejúčinnějším prostředkem k získání indikátorů a parametrů chování uživatelů sítě z první ruky. S neustálým zlepšováním provozu a údržby datového centra Q se sběr a analýza síťového provozu staly nepostradatelnou součástí infrastruktury datového centra. Ze současného průmyslového využití je sběr síťového provozu většinou realizován síťovým zařízením podporujícím obtokové zrcadlo provozu. Shromažďování provozu potřebuje vytvořit komplexní pokrytí, přiměřenou a efektivní síť sběru provozu, takové shromažďování provozu může pomoci optimalizovat ukazatele výkonu sítě a podnikání a snížit pravděpodobnost selhání.

Síť sběru provozu lze považovat za nezávislou síť složenou ze zařízení pro sběr provozu a nasazenou paralelně s produkční sítí. Shromažďuje obrazový provoz každého síťového zařízení a agreguje obrazový provoz podle regionální a architektonické úrovně. Využívá alarm výměny filtrování provozu v zařízení pro získávání provozu k realizaci plné rychlosti dat pro 2-4 vrstvy podmíněného filtrování, odstraňování duplicitních paketů, ořezávání paketů a další pokročilé funkční operace a poté odesílá data každému provozu. analytický systém. Síť sběru provozu může přesně posílat konkrétní data do každého zařízení podle požadavků na data každého systému a vyřešit problém, že tradiční zrcadlová data nelze filtrovat a odesílat, což spotřebovává výkon síťových přepínačů. Motor pro filtrování a výměnu provozu sítě pro sběr provozu zároveň realizuje filtrování a předávání dat s malým zpožděním a vysokou rychlostí, zajišťuje kvalitu dat shromážděných sítí pro sběr provozu a poskytuje dobrý datový základ pro následné zařízení pro analýzu dopravy.

problém sledování dopravy

Aby se snížil dopad na původní spojení, kopie původního provozu se obvykle získává pomocí dělení paprsku, SPAN nebo TAP.

Pasivní síťový kohoutek (optický splitter)

Způsob použití dělení světla k získání dopravní kopie vyžaduje pomoc zařízení pro rozdělování světla. Rozbočovač světla je pasivní optické zařízení, které dokáže přerozdělit intenzitu výkonu optického signálu v souladu s požadovaným poměrem. Rozbočovač dokáže rozdělit světlo od 1 do 2, 1 až 4 a 1 na více kanálů. Aby se snížil dopad na původní spojení, datové centrum obvykle používá optický dělicí poměr 80:20, 70:30, ve kterém je 70,80 podíl optického signálu odeslán zpět do původního spojení. V současné době jsou optické rozbočovače široce používány v analýze výkonu sítě (NPM/APM), auditním systému, analýze chování uživatelů, detekci narušení sítě a dalších scénářích.

Ikona zachycení

výhody:

1. Vysoká spolehlivost, pasivní optické zařízení;

2. nezabírá port přepínače, nezávislé zařízení, následné může být dobré rozšíření;

3. Není třeba upravovat konfiguraci přepínače, žádný dopad na jiné zařízení;

4. Kompletní sběr provozu, žádné filtrování paketů přepínačů, včetně chybových paketů atd.

Nevýhody:

1. Potřeba jednoduchého přerušení sítě, konektoru páteřního vlákna a vytáčení optického splitteru sníží optický výkon některých páteřních spojů

SPAN (Port Mirror)

SPAN je funkce, která se dodává se samotným přepínačem, takže ji stačí nakonfigurovat na přepínači. Tato funkce však ovlivní výkon přepínače a způsobí ztrátu paketů při přetížení dat.

zrcadlo portu síťového přepínače

výhody:

1. Není nutné přidávat další zařízení, nakonfigurujte přepínač tak, aby zvýšil odpovídající výstupní port replikace obrazu

Nevýhody:

1. Obsaďte port přepínače

2. Přepínače je třeba nakonfigurovat, což zahrnuje společnou koordinaci s výrobci třetích stran, což zvyšuje potenciální riziko selhání sítě

3. Replikace zrcadleného provozu má dopad na výkon portu a přepínače.

Aktivní síť TAP (TAP Agregátor)

Network TAP je externí síťové zařízení, které umožňuje zrcadlení portů a vytváří kopii provozu pro použití různými monitorovacími zařízeními. Tato zařízení jsou zavedena na místo v síťové cestě, které je třeba sledovat, a kopíruje datové IP pakety a odesílá je do nástroje pro monitorování sítě. Výběr přístupového bodu pro zařízení Network TAP závisí na zaměření síťového provozu – důvody shromažďování dat, rutinní monitorování analýzy a zpoždění, detekce narušení atd. Zařízení Network TAP mohou shromažďovat a zrcadlit datové toky rychlostí 1G až do výše 100G.

Tato zařízení přistupují k provozu, aniž by síťové zařízení TAP jakýmkoli způsobem měnilo tok paketů, bez ohledu na rychlost datového provozu. To znamená, že síťový provoz nepodléhá monitorování a zrcadlení portů, což je nezbytné pro zachování integrity dat při jejich směrování do bezpečnostních a analytických nástrojů.

Zajišťuje, že síťová periferní zařízení monitorují kopie provozu, takže síťová zařízení TAP fungují jako pozorovatelé. Odesláním kopie vašich dat do všech připojených zařízení získáte plnou viditelnost v bodě sítě. V případě, že selže síťové zařízení TAP nebo monitorovací zařízení, víte, že provoz nebude ovlivněn, což zajistí, že operační systém zůstane bezpečný a dostupný.

Zároveň se stává celkovým cílem síťových TAP zařízení. Přístup k paketům lze vždy zajistit bez přerušení provozu v síti a tato řešení viditelnosti mohou řešit i pokročilejší případy. Potřeby monitorování nástrojů od brány firewall nové generace po ochranu před únikem dat, monitorování výkonu aplikací, SIEM, digitální forenzní analýzu, IPS, IDS a další nutí síťová zařízení TAP k vývoji.

Kromě poskytování úplné kopie provozu a udržování dostupnosti mohou zařízení TAP poskytovat následující.

1. Filtrujte pakety, abyste maximalizovali výkon monitorování sítě

To, že zařízení Network TAP může v určitém okamžiku vytvořit 100% kopii paketu, neznamená, že každý monitorovací a bezpečnostní nástroj musí vidět celou věc. Streamování provozu do všech nástrojů pro monitorování a zabezpečení sítě v reálném čase povede pouze k přeřazení, což poškodí výkon nástrojů a sítě v tomto procesu.

Umístění správného síťového zařízení TAP může pomoci filtrovat pakety při směrování do monitorovacího nástroje a distribuovat správná data do správného nástroje. Příklady takových nástrojů zahrnují systémy detekce narušení (IDS), prevenci ztráty dat (DLP), správu informací o zabezpečení a událostí (SIEM), forenzní analýzu a mnoho dalších.

2. Souhrnné odkazy pro efektivní vytváření sítí

S rostoucími požadavky na monitorování a zabezpečení sítě musí síťoví inženýři najít způsoby, jak využít stávající rozpočty na IT ke splnění dalších úkolů. V určitém okamžiku však nemůžete neustále přidávat nová zařízení do zásobníku a zvyšovat složitost vaší sítě. Je nezbytné maximalizovat využití monitorovacích a bezpečnostních nástrojů.

Síťová zařízení TAP mohou pomoci tím, že agregují více síťových provozů, směrem na východ a na západ, a doručují pakety do připojených zařízení prostřednictvím jediného portu. Nasazení nástrojů viditelnosti tímto způsobem sníží počet potřebných monitorovacích nástrojů. Vzhledem k tomu, že datový provoz mezi východem a západem stále roste v datových centrech a mezi datovými centry, je požadavek na síťová zařízení TAP nezbytný pro udržení viditelnosti všech rozměrových toků napříč velkými objemy dat.

ML-NPB-5690 (8)

Související článek, který by vás mohl zajímat, navštivte prosím zde:Jak zachytit síťový provoz? Network Tap vs Port Mirror


Čas odeslání: 24. října 2024