Uvod
Zbiranje in analiza omrežnega prometa je najučinkovitejše sredstvo za pridobivanje kazalnikov in parametrov vedenja uporabnikov omrežja iz prve roke. Z nenehnim izboljševanjem delovanja in vzdrževanja kakovosti podatkovnih centrov je zbiranje in analiza omrežnega prometa postala nepogrešljiv del infrastrukture podatkovnih centrov. Glede na trenutno uporabo v industriji se zbiranje omrežnega prometa večinoma izvaja z omrežno opremo, ki podpira bypass prometno zrcalo. Za zbiranje prometa je treba vzpostaviti celovito pokritost, razumno in učinkovito omrežje za zbiranje prometa, saj lahko takšno zbiranje prometa pomaga optimizirati kazalnike delovanja omrežja in poslovanja ter zmanjšati verjetnost okvare.
Omrežje za zbiranje prometa lahko obravnavamo kot neodvisno omrežje, sestavljeno iz naprav za zbiranje prometa, ki je nameščeno vzporedno s produkcijskim omrežjem. Zbira slikovni promet vsake omrežne naprave in združuje slikovni promet glede na regionalne in arhitekturne ravni. Z uporabo alarma za izmenjavo filtriranja prometa v opremi za zajem prometa doseže polno hitrost linije za 2-4 plasti pogojnega filtriranja, odstrani podvojene pakete, skrajša pakete in izvede druge napredne funkcionalne operacije, nato pa podatke pošlje vsakemu sistemu za analizo prometa. Omrežje za zbiranje prometa lahko natančno pošlje specifične podatke vsaki napravi v skladu s podatkovnimi zahtevami vsakega sistema in reši problem, da tradicionalnih zrcalnih podatkov ni mogoče filtrirati in pošiljati, kar porablja procesorsko zmogljivost omrežnih stikal. Hkrati mehanizem za filtriranje in izmenjavo prometa v omrežju za zbiranje prometa izvaja filtriranje in posredovanje podatkov z nizko zakasnitvijo in visoko hitrostjo, zagotavlja kakovost podatkov, ki jih zbere omrežje za zbiranje prometa, in zagotavlja dobro podatkovno osnovo za nadaljnjo opremo za analizo prometa.
Da bi zmanjšali vpliv na izvirno povezavo, se kopija izvirnega prometa običajno pridobi s pomočjo delitve žarka, SPAN ali TAP.
Pasivni omrežni odcep (optični razdelilnik)
Način uporabe delitve svetlobe za pridobitev kopije prometa zahteva pomoč naprave za delitev svetlobe. Delitev svetlobe je pasivna optična naprava, ki lahko prerazporedi intenzivnost moči optičnega signala v skladu z zahtevanim razmerjem. Delitev lahko razdeli svetlobo iz 1 na 2, 1 na 4 in 1 na več kanalov. Da bi zmanjšali vpliv na prvotno povezavo, podatkovni center običajno sprejme optično razmerje delitve 80:20, 70:30, pri katerem se 70:80-odstotni delež optičnega signala pošlje nazaj na prvotno povezavo. Trenutno se optični delitveniki pogosto uporabljajo pri analizi delovanja omrežja (NPM/APM), revizijskih sistemih, analizi vedenja uporabnikov, odkrivanju vdorov v omrežje in drugih scenarijih.
Prednosti:
1. Visoka zanesljivost, pasivna optična naprava;
2. Ne zaseda vrat stikala, neodvisne opreme, zato je lahko dobra razširitev;
3. Ni treba spreminjati konfiguracije stikala, ni vpliva na drugo opremo;
4. Popolno zbiranje prometa, brez filtriranja paketov stikala, vključno s paketi napak itd.
Slabosti:
1. Potreba po preprostem preklopu omrežja, priključitvi optičnih vlaken hrbtenične povezave in klicanju na optični razdelilnik bo zmanjšala optično moč nekaterih hrbteničnih povezav.
SPAN (zrcalno okno vrat)
SPAN je funkcija, ki je priložena samemu stikalu, zato jo je treba le konfigurirati na stikalu. Vendar pa bo ta funkcija vplivala na delovanje stikala in povzročila izgubo paketov, če so podatki preobremenjeni.
Prednosti:
1. Ni potrebno dodajati dodatne opreme, konfigurirajte stikalo tako, da poveča ustrezna izhodna vrata za replikacijo slik
Slabosti:
1. Zasedite vrata stikala
2. Stikala je treba konfigurirati, kar vključuje skupno usklajevanje s proizvajalci tretjih oseb, kar povečuje potencialno tveganje za izpad omrežja.
3. Zrcalna replikacija prometa vpliva na delovanje vrat in stikal.
Aktivni omrežni TAP (agregator TAP)
Omrežna dostopna točka (TAP) je zunanja omrežna naprava, ki omogoča zrcaljenje vrat in ustvarja kopijo prometa za uporabo različnih nadzornih naprav. Te naprave so nameščene na mestu v omrežni poti, ki ga je treba opazovati, in kopirajo podatkovne IP pakete ter jih pošljejo orodju za nadzor omrežja. Izbira dostopne točke za napravo Omrežna dostopna točka (TAP) je odvisna od osredotočenosti omrežnega prometa – razlogov za zbiranje podatkov, rutinskega spremljanja analiz in zamud, zaznavanja vdorov itd. Omrežne naprave TAP lahko zbirajo in zrcalijo podatkovne tokove s hitrostjo 1G do 100G.
Te naprave dostopajo do prometa, ne da bi omrežna naprava TAP kakorkoli spreminjala pretok paketov, ne glede na hitrost podatkovnega prometa. To pomeni, da omrežni promet ni predmet spremljanja in zrcaljenja vrat, kar je bistveno za ohranjanje integritete podatkov pri njihovem usmerjanju do varnostnih in analitičnih orodij.
Zagotavlja, da omrežne periferne naprave spremljajo kopije prometa, tako da omrežne naprave TAP delujejo kot opazovalci. Z dostavljanjem kopije vaših podatkov kateri koli/vsem povezanim napravam dobite popoln pregled na omrežni točki. V primeru okvare omrežne naprave TAP ali naprave za spremljanje veste, da promet ne bo prizadet, kar zagotavlja, da operacijski sistem ostane varen in razpoložljiv.
Hkrati postane splošna tarča omrežnih naprav TAP. Dostop do paketov je vedno mogoče zagotoviti brez prekinitve prometa v omrežju, te rešitve za vidljivost pa lahko obravnavajo tudi bolj napredne primere. Potrebe po spremljanju orodij, od požarnih zidov naslednje generacije do zaščite pred uhajanjem podatkov, spremljanja delovanja aplikacij, SIEM, digitalne forenzike, IPS, IDS in še več, silijo omrežne naprave TAP v razvoj.
Poleg zagotavljanja popolne kopije prometa in ohranjanja razpoložljivosti lahko naprave TAP zagotavljajo tudi naslednje.
1. Filtrirajte pakete za maksimiranje učinkovitosti omrežnega nadzora
Samo zato, ker lahko naprava Network TAP na neki točki ustvari 100-odstotno kopijo paketa, še ne pomeni, da mora vsako orodje za spremljanje in varnost videti celotno stvar. Pretočno pretakanje prometa v vsa orodja za spremljanje in varnost omrežja v realnem času bo povzročilo le prekomerno urejenost, kar bo škodovalo delovanju orodij in omrežja.
Namestitev prave naprave Network TAP lahko pomaga pri filtriranju paketov, ko so usmerjeni do orodja za spremljanje, in s tem distribuira prave podatke pravemu orodju. Primeri takšnih orodij vključujejo sisteme za zaznavanje vdorov (IDS), preprečevanje izgube podatkov (DLP), upravljanje varnostnih informacij in dogodkov (SIEM), forenzično analizo in številna druga.
2. Združite povezave za učinkovito mreženje
Ker se zahteve glede omrežnega nadzora in varnosti povečujejo, morajo omrežni inženirji najti načine, kako uporabiti obstoječe IT proračune za opravljanje več nalog. Vendar pa na neki točki ne morete več dodajati novih naprav v sklad in povečevati kompleksnosti omrežja. Bistveno je, da kar najbolje izkoristite orodja za nadzor in varnost.
Omrežne naprave TAP lahko pomagajo z združevanjem več omrežnih prometov, tako proti vzhodu kot proti zahodu, da dostavijo pakete povezanim napravam prek enih samih vrat. Uporaba orodij za preglednost na ta način bo zmanjšala število potrebnih orodij za spremljanje. Ker podatkovni promet vzhod-zahod v podatkovnih centrih in med podatkovnimi centri še naprej narašča, je potreba po omrežnih napravah TAP bistvena za ohranjanje preglednosti vseh dimenzionalnih tokov v velikih količinah podatkov.
Povezani članek, ki vas morda zanima, obiščite tukaj:Kako zajeti omrežni promet? Network Tap v primerjavi z Port Mirror
Čas objave: 24. oktober 2024
