Уводзіны
Збор і аналіз сеткавага трафіку — найбольш эфектыўны сродак атрымання паказчыкаў і параметраў паводзін карыстальнікаў сеткі з першых рук. З пастаянным удасканаленнем эксплуатацыі і абслугоўвання цэнтраў апрацоўкі дадзеных, збор і аналіз сеткавага трафіку сталі неад'емнай часткай інфраструктуры цэнтра апрацоўкі дадзеных. Зыходзячы з сучаснага выкарыстання ў галіне, збор сеткавага трафіку ў асноўным ажыццяўляецца з дапамогай сеткавага абсталявання, якое падтрымлівае люстэрка абыходу трафіку. Для збору трафіку неабходна стварыць комплексную сетку пакрыцця, разумную і эфектыўную сетку збору трафіку, якая можа дапамагчы аптымізаваць паказчыкі прадукцыйнасці сеткі і бізнесу, а таксама знізіць верагоднасць збояў.
Сетку збору трафіку можна разглядаць як незалежную сетку, якая складаецца з прылад збору трафіку і разгорнута паралельна з вытворчай сеткай. Яна збірае трафік выяваў кожнай сеткавай прылады і аб'ядноўвае трафік выяваў у адпаведнасці з рэгіянальным і архітэктурным узроўнямі. Яна выкарыстоўвае сігналізацыю абмену фільтрацыяй трафіку ў абсталяванні збору трафіку для рэалізацыі поўнай хуткасці лініі перадачы дадзеных для 2-4 узроўняў умоўнай фільтрацыі, выдаляючы дублікаты пакетаў, абрэзваючы пакеты і выконваючы іншыя пашыраныя функцыянальныя аперацыі, а затым адпраўляе дадзеныя ў кожную сістэму аналізу трафіку. Сетка збору трафіку можа дакладна адпраўляць пэўныя дадзеныя на кожную прыладу ў адпаведнасці з патрабаваннямі да дадзеных кожнай сістэмы і вырашае праблему немагчымасці фільтрацыі і адпраўкі традыцыйных люстраных дадзеных, што спажывае прадукцыйнасць апрацоўкі сеткавых камутатараў. У той жа час механізм фільтрацыі і абмену трафікам сеткі збору трафіку рэалізуе фільтрацыю і перасылку дадзеных з малой затрымкай і высокай хуткасцю, забяспечвае якасць дадзеных, сабраных сеткай збору трафіку, і стварае добрую базу дадзеных для наступнага абсталявання аналізу трафіку.
Каб паменшыць уплыў на зыходны канал сувязі, копія зыходнага трафіку звычайна атрымліваецца з дапамогай падзелу прамяня, SPAN або TAP.
Пасіўны сеткавы адгалінаванне (аптычны разгалінавальнік)
Спосаб выкарыстання падзелу святла для атрымання копіі трафіку патрабуе дапамогі прылады для падзелу святла. Дзельнік святла - гэта пасіўная аптычная прылада, якая можа пераразмяркоўваць інтэнсіўнасць магутнасці аптычнага сігналу ў адпаведнасці з неабходнай прапорцыяй. Дзельнік можа дзяліць святло з 1 на 2, з 1 на 4 і з 1 на некалькі каналаў. Каб паменшыць уплыў на першапачатковую лінію сувязі, у цэнтры апрацоўкі дадзеных звычайна выкарыстоўваецца каэфіцыент аптычнага падзелу 80:20, 70:30, пры якім 70,80% доля аптычнага сігналу адпраўляецца назад на першапачатковую лінію сувязі. У цяперашні час аптычныя падзельнікі шырока выкарыстоўваюцца ў аналізе прадукцыйнасці сеткі (NPM/APM), сістэмах аўдыту, аналізе паводзін карыстальнікаў, выяўленні ўварванняў у сетку і іншых сцэнарыях.
Перавагі:
1. Высокая надзейнасць, пасіўная аптычная прылада;
2. Не займае порт камутатара, незалежнае абсталяванне, наступнае можа быць добрым пашырэннем;
3. Няма неабходнасці змяняць канфігурацыю перамыкача, ніякага ўплыву на іншае абсталяванне;
4. Поўны збор трафіку, без фільтрацыі пакетаў камутатара, у тым ліку пакетаў памылак і г.д.
Недахопы:
1. Неабходнасць простага пераключэння сеткі, падключэння валаконна-аптычнага канала магістральнага злучэння і набору да аптычнага раздзяляльніка знізіць аптычную магутнасць некаторых магістральных каналаў.
SPAN (Люстэрка порта)
SPAN — гэта функцыя, якая ўваходзіць у камплектацыю самога камутатара, таму яе трэба проста наладзіць на ім. Аднак гэтая функцыя паўплывае на прадукцыйнасць камутатара і прывядзе да страты пакетаў пры перагрузцы дадзеных.
Перавагі:
1. Не трэба дадаваць дадатковае абсталяванне, наладзьце камутатар, каб павялічыць адпаведны выходны порт рэплікацыі выявы
Недахопы:
1. Займіце порт камутатара
2. Камутатары патрабуюць канфігурацыі, што прадугледжвае сумесную каардынацыю са староннімі вытворцамі, што павялічвае патэнцыйную рызыку збою сеткі.
3. Рэплікацыя трафіку люстранога тыпу ўплывае на прадукцыйнасць партоў і камутатараў.
Актыўны сеткавы TAP (агрэгатар TAP)
Сеткавы TAP — гэта знешняя сеткавая прылада, якая дазваляе люстраваць порты і стварае копію трафіку для выкарыстання рознымі прыладамі маніторынгу. Гэтыя прылады ўстаўляюцца ў месца сеткавага шляху, якое неабходна назіраць, капіююць IP-пакеты дадзеных і адпраўляюць іх у інструмент маніторынгу сеткі. Выбар кропкі доступу для прылады Network TAP залежыць ад накіраванасці сеткавага трафіку — прычын збору дадзеных, рэгулярнага маніторынгу аналізу і затрымак, выяўлення ўварванняў і г.д. Сеткавыя прылады TAP могуць збіраць і адлюстроўваць патокі дадзеных са хуткасцю 1 Гбіт/с да 100 Гбіт/с.
Гэтыя прылады атрымліваюць доступ да трафіку без змены патоку пакетаў сеткавай прыладай TAP якім-небудзь чынам, незалежна ад хуткасці трафіку дадзеных. Гэта азначае, што сеткавы трафік не падвяргаецца маніторынгу і люстраванню партоў, што неабходна для падтрымання цэласнасці дадзеных пры іх маршрутызацыі да інструментаў бяспекі і аналізу.
Гэта гарантуе, што перыферыйныя прылады сеткі кантралююць копіі трафіку, каб прылады сеткавага доступу TAP дзейнічалі як назіральнікі. Перадаючы копію вашых дадзеных на любую/ўсе падлучаныя прылады, вы атрымліваеце поўную бачнасць у кропцы сеткі. У выпадку збою прылады сеткавага доступу TAP або прылады маніторынгу вы ведаеце, што трафік не паўплывае, што гарантуе бяспеку і даступнасць аперацыйнай сістэмы.
Адначасова гэта становіцца агульнай мэтай сеткавых прылад TAP. Доступ да пакетаў заўсёды можа быць забяспечаны без перапынення трафіку ў сетцы, і гэтыя рашэнні для бачнасці таксама могуць вырашаць больш складаныя выпадкі. Патрэбы ў маніторынгу інструментаў, пачынаючы ад брандмаўэраў наступнага пакалення і заканчваючы абаронай ад уцечкі дадзеных, маніторынгам прадукцыйнасці прыкладанняў, SIEM, лічбавай крыміналістыкай, IPS, IDS і іншымі, прымушаюць сеткавыя прылады TAP развівацца.
Акрамя прадастаўлення поўнай копіі трафіку і падтрымання даступнасці, прылады TAP могуць забяспечваць наступнае.
1. Фільтраванне пакетаў для максімальнай прадукцыйнасці маніторынгу сеткі
Тое, што прылада Network TAP можа ў нейкі момант стварыць 100% копію пакета, не азначае, што кожны інструмент маніторынгу і бяспекі павінен бачыць усё гэта цалкам. Патоковая перадача трафіку ўсім інструментам маніторынгу і бяспекі сеткі ў рэжыме рэальнага часу прывядзе толькі да пераўпарадкавання, што пашкодзіць прадукцыйнасці інструментаў і сеткі ў цэлым.
Размяшчэнне правільнай прылады Network TAP можа дапамагчы фільтраваць пакеты пры іх накіраванні да інструмента маніторынгу, размеркаваўшы патрэбныя даныя патрэбнаму інструменту. Прыкладамі такіх інструментаў з'яўляюцца сістэмы выяўлення ўварванняў (IDS), сістэмы прадухілення страты даных (DLP), сістэмы кіравання інфармацыяй аб бяспецы і падзеямі (SIEM), судова-медыцынская экспертыза і многія іншыя.
2. Агрэгаваныя спасылкі для эфектыўнай працы ў сетцы
Па меры таго, як патрабаванні да маніторынгу і бяспекі сеткі ўзрастаюць, сеткавыя інжынеры павінны знайсці спосабы выкарыстання існуючых ІТ-бюджэтаў для выканання большай колькасці задач. Але ў нейкі момант немагчыма пастаянна дадаваць новыя прылады ў стэк і павялічваць складанасць сеткі. Вельмі важна максімальна выкарыстоўваць інструменты маніторынгу і бяспекі.
Сеткавыя прылады TAP могуць дапамагчы, аб'яднаўшы некалькі сеткавых трафікаў, як на ўсход, так і на захад, для дастаўкі пакетаў да падлучаных прылад праз адзін порт. Разгортванне інструментаў бачнасці такім чынам скароціць колькасць неабходных інструментаў маніторынгу. Паколькі трафік дадзеных усход-захад працягвае расці ў цэнтрах апрацоўкі дадзеных і паміж цэнтрамі апрацоўкі дадзеных, патрэба ў сеткавых прыладах TAP з'яўляецца неабходнай для падтрымання бачнасці ўсіх вымяральных патокаў па вялікіх аб'ёмах дадзеных.
Падобны артыкул, які можа вас зацікавіць, калі ласка, наведайце тут:Як перахопліваць сеткавы трафік? Network Tap супраць Port Mirror
Час публікацыі: 24 кастрычніка 2024 г.
