Johdanto
Verkkoliikenteen kerääminen ja analysointi on tehokkain tapa saada ensi käden tietoa verkon käyttäjien käyttäytymisindikaattoreista ja -parametreista. Datakeskusten Q-toiminnan ja ylläpidon jatkuvan parantamisen myötä verkkoliikenteen keräämisestä ja analysoinnista on tullut välttämätön osa datakeskusinfrastruktuuria. Nykyisestä teollisuuskäytöstä lähtien verkkoliikenteen kerääminen tapahtuu enimmäkseen ohitusliikennettä tukevilla verkkolaitteilla. Liikenteen keräämisen on luotava kattava, kohtuullinen ja tehokas liikenteenkeruuverkko. Tällainen liikenteenkeruu voi auttaa optimoimaan verkon ja liiketoiminnan suorituskykyindikaattoreita ja vähentämään vikaantumisen todennäköisyyttä.
Liikenteenkeruuverkkoa voidaan pitää itsenäisenä verkkona, joka koostuu liikenteenkeruulaitteista ja jota käytetään rinnakkain tuotantoverkon kanssa. Se kerää kunkin verkkolaitteen kuvaliikenteen ja kokoaa kuvaliikenteen alueellisen ja arkkitehtuurisen tason mukaan. Se käyttää liikenteenkeruulaitteiston liikenteen suodatuksen vaihtohälytystä toteuttaakseen datan täyden linjanopeuden 2–4 ehdollisen suodatuksen kerrokselle, poistaen päällekkäisiä paketteja, katkaisten paketteja ja suorittaen muita edistyneitä toiminnallisia toimintoja, ja lähettää sitten datan kullekin liikenteen analysointijärjestelmälle. Liikenteenkeruuverkko voi lähettää tarkasti tiettyä dataa kullekin laitteelle kunkin järjestelmän tietovaatimusten mukaisesti ja ratkaista ongelman, jossa perinteistä peilidataa ei voida suodattaa ja lähettää, mikä kuluttaa verkkokytkimien prosessointitehoa. Samalla liikenteenkeruuverkon liikenteen suodatus- ja vaihtomoottori toteuttaa datan suodatuksen ja edelleenlähetyksen pienellä viiveellä ja suurella nopeudella, varmistaa liikenteenkeruuverkon keräämän datan laadun ja tarjoaa hyvän tietopohjan myöhemmille liikenteen analysointilaitteille.
Alkuperäiseen linkkiin kohdistuvan vaikutuksen vähentämiseksi alkuperäisestä liikenteestä otetaan yleensä kopio keilanjaon, SPANin tai TAPin avulla.
Passiivinen verkkoliitäntä (optinen jakaja)
Liikenteen kopiointi valonjakamisen avulla vaatii valonjakajalaitteen apua. Valonjakaja on passiivinen optinen laite, joka voi jakaa optisen signaalin tehon uudelleen vaaditun suhteen mukaisesti. Jakaja voi jakaa valon 1:stä 2:een, 1:stä 4:ään ja 1:stä useille kanaville. Alkuperäiseen linkkiin kohdistuvan vaikutuksen vähentämiseksi datakeskukset käyttävät yleensä optista jakosuhdetta 80:20 tai 70:30, jossa 70,80 osuus optisesta signaalista lähetetään takaisin alkuperäiseen linkkiin. Tällä hetkellä optisia jakajia käytetään laajalti verkon suorituskyvyn analysoinnissa (NPM/APM), auditointijärjestelmissä, käyttäjäkäyttäytymisen analysoinnissa, verkon tunkeutumisen havaitsemisessa ja muissa tilanteissa.
Edut:
1. Korkea luotettavuus, passiivinen optinen laite;
2. Ei käytä kytkinporttia, itsenäinen laite, myöhempi laajennus voi olla hyvä;
3. Kytkimen kokoonpanoa ei tarvitse muuttaa, eikä sillä ole vaikutusta muihin laitteisiin;
4. Täydellinen liikenteenkeruu, ei kytkimen pakettien suodatusta, mukaan lukien virhepaketit jne.
Haittoja:
1. Yksinkertaisen verkonvaihdon, runkoverkon kuituliittimen ja optisen jakajan kytkemisen tarve vähentää joidenkin runkoverkkoyhteyksien optista tehoa.
SPAN (porttipeili)
SPAN on kytkimen mukana tuleva ominaisuus, joten se tarvitsee vain määrittää kytkimessä. Tämä toiminto vaikuttaa kuitenkin kytkimen suorituskykyyn ja aiheuttaa pakettien katoamista, kun dataa ylikuormitetaan.
Edut:
1. Lisälaitteita ei tarvitse lisätä, vaan kytkin on määritettävä lisäämään vastaavaa kuvan replikoinnin lähtöporttia.
Haittoja:
1. Käytä kytkimen porttia
2. Kytkimet on konfiguroitava, mikä edellyttää yhteistyötä kolmansien osapuolten valmistajien kanssa, mikä lisää verkkokatkosten riskiä.
3. Peililiikenteen replikoinnilla on vaikutusta porttien ja kytkimien suorituskykyyn.
Aktiivinen verkko TAP (TAP-aggregaattori)
Network TAP on ulkoinen verkkolaite, joka mahdollistaa porttien peilauksen ja luo kopion liikenteestä erilaisten valvontalaitteiden käyttöön. Nämä laitteet asetetaan verkkopolulle tarkkailtavaan kohtaan, ja ne kopioivat IP-paketit ja lähettävät ne verkonvalvontatyökalulle. Network TAP -laitteen tukiaseman valinta riippuu verkkoliikenteen painopisteestä – tiedonkeruun syistä, analyysin ja viiveiden rutiinivalvonnasta, tunkeutumisen havaitsemisesta jne. Network TAP -laitteet voivat kerätä ja peilata tietovirtoja 1 G:n nopeudella jopa 100 G:iin asti.
Nämä laitteet käyttävät verkkoliikennettä ilman, että verkon TAP-laite muokkaa pakettivirtaa millään tavalla, riippumatta tiedonsiirtonopeudesta. Tämä tarkoittaa, että verkkoliikennettä ei valvota eikä porttien peilausta käytetä, mikä on välttämätöntä tiedon eheyden ylläpitämiseksi reititettäessä sitä tietoturva- ja analyysityökaluille.
Se varmistaa, että verkon oheislaitteet valvovat liikenteen kopioita, jotta verkon TAP-laitteet toimivat tarkkailijoina. Syöttämällä kopion tiedoistasi kaikkiin yhdistettyihin laitteisiin saat täyden näkyvyyden verkkopisteeseen. Jos verkon TAP-laite tai valvontalaite vikaantuu, tiedät, että liikenteeseen ei vaikuteta, mikä varmistaa, että käyttöjärjestelmä pysyy turvallisena ja käytettävissä.
Samaan aikaan siitä tulee verkon TAP-laitteiden yleinen kohde. Pääsy paketteihin voidaan aina tarjota keskeyttämättä verkkoliikennettä, ja nämä näkyvyysratkaisut voivat käsitellä myös kehittyneempiä tapauksia. Työkalujen, kuten seuraavan sukupolven palomuurien, tietovuotojen eston, sovellusten suorituskyvyn seurannan, SIEM:n, digitaalisen rikostutkinnan, IPS:n, IDS:n ja muiden, valvontatarpeet pakottavat verkon TAP-laitteet kehittymään.
Liikenteen täydellisen kopion tarjoamisen ja saatavuuden ylläpitämisen lisäksi TAP-laitteet voivat tarjota seuraavaa.
1. Suodata paketit verkon valvonnan suorituskyvyn maksimoimiseksi
Vaikka Network TAP -laite pystyy jossain vaiheessa luomaan paketista 100 % kopion, se ei tarkoita, että jokaisen valvonta- ja tietoturvatyökalun pitäisi nähdä koko asia. Liikenteen suoratoisto kaikille verkon valvonta- ja tietoturvatyökaluille reaaliajassa johtaa vain ylijärjestykseen, mikä heikentää työkalujen ja verkon suorituskykyä.
Oikean Network TAP -laitteen sijoittaminen voi auttaa suodattamaan paketteja, kun ne reititetään valvontatyökaluun, ja jakamalla oikean datan oikealle työkalulle. Tällaisia työkaluja ovat esimerkiksi tunkeutumisen havaitsemisjärjestelmät (IDS), tiedon menetyksen estäminen (DLP), tietoturvatietojen ja tapahtumien hallinta (SIEM), rikostekninen analyysi ja monet muut.
2. Yhdistetyt linkit tehokkaaseen verkostoitumiseen
Verkon valvonta- ja tietoturvavaatimusten kasvaessa verkkoinsinöörien on löydettävä tapoja käyttää olemassa olevia IT-budjetteja useampien tehtävien suorittamiseen. Mutta jossain vaiheessa et voi enää jatkuvasti lisätä uusia laitteita pinoon ja monimutkaistaa verkkoasi. On tärkeää maksimoida valvonta- ja tietoturvatyökalujen käyttö.
Verkko-TAP-laitteet voivat auttaa yhdistämällä useita verkkoliikennettä, itään ja länteen suuntautuvaa, pakettien toimittamiseksi yhdistettyihin laitteisiin yhden portin kautta. Näkyvyystyökalujen käyttöönotto tällä tavalla vähentää tarvittavien valvontatyökalujen määrää. Koska itä-länsi-suuntainen tietoliikenne kasvaa jatkuvasti datakeskuksissa ja datakeskusten välillä, verkko-TAP-laitteiden tarve on olennainen kaikkien ulottuvuuksien virtojen näkyvyyden ylläpitämiseksi suurissa datamäärissä.
Aiheeseen liittyvä artikkeli saattaa kiinnostaa sinua, käy täällä:Kuinka kaapata verkkoliikennettä? Network Tap vs. Port Mirror
Julkaisuaika: 24.10.2024
