Johdanto
Verkkoliikenteen kerääminen ja analysointi on tehokkain tapa saada ensikäden verkon käyttäjien käyttäytymisindikaattorit ja parametrit. Konesali Q:n toiminnan ja ylläpidon jatkuvan parantamisen myötä verkkoliikenteen keräämisestä ja analysoinnista on tullut välttämätön osa konesalin infrastruktuuria. Nykyisestä teollisuuden käytöstä verkkoliikenteen kerääminen toteutetaan pääosin ohitusliikenteen peiliä tukevilla verkkolaitteilla. Liikenteen keräämisessä on luotava kattava kattavuus, kohtuullinen ja tehokas liikenteen keruuverkosto, tällainen liikenteen kerääminen voi auttaa optimoimaan verkon ja liiketoiminnan suorituskykyindikaattoreita ja vähentämään epäonnistumisen todennäköisyyttä.
Liikenteenkeruuverkkoa voidaan pitää itsenäisenä verkkona, joka koostuu liikenteenkeräyslaitteista ja on käytössä tuotantoverkon rinnalla. Se kerää kunkin verkkolaitteen kuvaliikenteen ja aggregoi kuvaliikenteen alueellisen ja arkkitehtonisen tason mukaan. Se käyttää liikenteen suodatuksen vaihtohälytystä liikenteenkeruulaitteistossa datan täyden linjanopeuden toteuttamiseen 2-4 ehdollisen suodatuksen kerroksessa, pakettien kaksoiskappaleiden poistamisessa, pakettien katkaisussa ja muissa kehittyneissä toiminnallisissa toiminnoissa ja lähettää sitten tiedot kullekin liikenteelle. analyysijärjestelmä. Liikenteenkeruuverkko voi lähettää tarkasti tiettyjä tietoja jokaiselle laitteelle kunkin järjestelmän tietovaatimusten mukaisesti ja ratkaista ongelman, että perinteistä peilitietoa ei voida suodattaa ja lähettää, mikä kuluttaa verkkokytkimien käsittelytehoa. Samalla liikenteenkeruuverkon liikenteen suodatus- ja vaihtomoottori toteuttaa tiedon suodatuksen ja välittämisen pienellä viiveellä ja suurella nopeudella, varmistaa liikenteenkeruuverkon keräämän tiedon laadun ja tarjoaa hyvän tietopohjan myöhempiä liikenneanalyysilaitteita.
Alkuperäiseen linkkiin kohdistuvan vaikutuksen vähentämiseksi kopio alkuperäisestä liikenteestä saadaan yleensä keilan jakamisen, SPAN:n tai TAP:n avulla.
Passiivinen verkkonapautus (optinen jakaja)
Tapa käyttää valonjakoa liikennekopion saamiseksi vaatii valonjakajalaitteen apua. Valonjakaja on passiivinen optinen laite, joka voi jakaa uudelleen optisen signaalin tehon intensiteetin vaaditussa suhteessa. Jakaja voi jakaa valon 1 - 2, 1 - 4 ja 1 usealle kanavalle. Alkuperäiseen linkkiin kohdistuvan vaikutuksen vähentämiseksi konesalissa käytetään yleensä optista jakosuhdetta 80:20, 70:30, jossa 70,80 osa optisesta signaalista lähetetään takaisin alkuperäiseen linkkiin. Tällä hetkellä optisia jakajia käytetään laajalti verkon suorituskykyanalyysissä (NPM/APM), auditointijärjestelmässä, käyttäjien käyttäytymisen analysoinnissa, verkon tunkeutumisen havaitsemisessa ja muissa skenaarioissa.
Edut:
1. Korkea luotettavuus, passiivinen optinen laite;
2. Ei vie kytkinporttia, riippumattomia laitteita, myöhemmin voi olla hyvä laajennus;
3. Kytkimen kokoonpanoa ei tarvitse muuttaa, ei vaikutusta muihin laitteisiin;
4. Täysi liikenteen kerääminen, ei kytkinpakettien suodatusta, mukaan lukien virhepaketit jne.
Haitat:
1. Yksinkertaisen verkon katkaisun, runkoverkon kuituliittimen ja optisen jakajan valitsin vähentää joidenkin runkoverkkolinkkien optista tehoa
SPAN (porttipeili)
SPAN on itse kytkimen mukana tuleva ominaisuus, joten se on vain määritettävä kytkimessä. Tämä toiminto vaikuttaa kuitenkin kytkimen suorituskykyyn ja aiheuttaa pakettihäviön, kun data on ylikuormitettu.
Edut:
1. Ei ole tarpeen lisätä lisälaitteita, määritä kytkin lisäämään vastaavaa kuvan replikoinnin lähtöporttia
Haitat:
1. Varaa kytkimen portti
2. Kytkimet on määritettävä, mikä edellyttää yhteistä koordinointia kolmansien osapuolien valmistajien kanssa, mikä lisää mahdollista verkkovian riskiä
3. Peililiikenteen replikointi vaikuttaa porttien ja kytkimien suorituskykyyn.
Active Network TAP (TAP Aggregator)
Network TAP on ulkoinen verkkolaite, joka mahdollistaa porttien peilauksen ja luo kopion liikenteestä eri valvontalaitteiden käyttöön. Nämä laitteet tuodaan verkkopolun kohtaan, jota on tarkkailtava, ja se kopioi data-IP-paketit ja lähettää ne verkonvalvontatyökaluun. Network TAP -laitteen tukiaseman valinta riippuu verkkoliikenteen painopisteestä - tiedonkeruun syyt, analyysin ja viiveiden rutiinivalvonta, tunkeutumisen havainnointi jne. Network TAP -laitteet voivat kerätä ja peilata datavirtoja 1G nopeudella jopa 100G.
Nämä laitteet pääsevät liikenteeseen ilman, että verkon TAP-laite muuttaa pakettivirtaa millään tavalla tiedonsiirtonopeudesta riippumatta. Tämä tarkoittaa, että verkkoliikenne ei ole valvonnan ja porttien peilauksen alaista, mikä on olennaista tiedon eheyden säilyttämiseksi, kun se reititetään tietoturva- ja analyysityökaluihin.
Se varmistaa, että verkon oheislaitteet valvovat liikennekopioita niin, että verkon TAP-laitteet toimivat tarkkailijoina. Kun syötät kopion tiedoistasi mihin tahansa/kaikkiin kytkettyihin laitteisiin, saat täyden näkyvyyden verkkopisteessä. Jos verkon TAP-laite tai valvontalaite epäonnistuu, tiedät, että se ei vaikuta liikenteeseen, mikä varmistaa, että käyttöjärjestelmä pysyy turvallisena ja käytettävissä.
Samalla siitä tulee verkon TAP-laitteiden yleinen kohde. Pääsy paketteihin voidaan aina tarjota keskeyttämättä verkon liikennettä, ja näillä näkyvyysratkaisuilla voidaan käsitellä myös edistyneempiä tapauksia. Työkalujen valvontatarpeet, jotka vaihtelevat seuraavan sukupolven palomuureista tietovuotojen suojaukseen, sovellusten suorituskyvyn valvontaan, SIEM:iin, digitaaliseen rikostekniikkaan, IPS:ään, IDS:ään ja muihin, pakottavat verkon TAP-laitteet kehittymään.
Sen lisäksi, että TAP-laitteet tarjoavat täydellisen kopion liikenteestä ja ylläpitävät saatavuutta, ne voivat tarjota seuraavat tiedot.
1. Suodata paketteja verkon valvonnan tehokkuuden maksimoimiseksi
Se, että Network TAP -laite voi jossain vaiheessa luoda 100-prosenttisen kopion paketista, ei tarkoita, että jokaisen valvonta- ja suojaustyökalun pitäisi nähdä koko asia. Liikenteen suoratoisto kaikkiin verkon valvonta- ja suojaustyökaluihin reaaliajassa johtaa vain ylitilaukseen, mikä heikentää työkalujen ja verkon suorituskykyä prosessissa.
Oikean Network TAP -laitteen sijoittaminen voi auttaa suodattamaan paketteja, kun ne reititetään valvontatyökaluun ja jakaa oikeat tiedot oikeaan työkaluun. Esimerkkejä tällaisista työkaluista ovat tunkeutumisen havaitsemisjärjestelmät (IDS), tietojen menetyksen esto (DLP), tietoturvatietojen ja tapahtumien hallinta (SIEM), rikostekninen analyysi ja monet muut.
2. Yhdistelmälinkit tehokkaaseen verkkoon
Verkonvalvonta- ja suojausvaatimusten kasvaessa verkkoinsinöörien on löydettävä tapoja käyttää olemassa olevia IT-budjetteja useiden tehtävien suorittamiseen. Mutta jossain vaiheessa et voi jatkuvasti lisätä uusia laitteita pinoon ja lisätä verkkosi monimutkaisuutta. On välttämätöntä maksimoida valvonta- ja suojaustyökalujen käyttö.
Verkon TAP-laitteet voivat auttaa yhdistämällä useita verkkoliikennettä, itään ja länteen, pakettien toimittamiseksi yhdistettyihin laitteisiin yhden portin kautta. Näkyvyystyökalujen käyttöönotto tällä tavalla vähentää tarvittavien seurantatyökalujen määrää. Idän ja lännen välisen dataliikenteen kasvun jatkuessa palvelinkeskuksissa ja palvelinkeskusten välillä, verkon TAP-laitteiden vaatimus on olennainen kaikkien ulottuvuuksien näkyvyyden ylläpitämiseksi suurissa tietomäärissä.
Aiheeseen liittyvä artikkeli, joka saattaa kiinnostaa, käy täällä:Kuinka kaapata verkkoliikennettä? Network Tap vs Port Mirror
Postitusaika: 24.10.2024