Навошта патрэбны сеткавыя краны і сеткавыя брокеры пакетаў для захопу сеткавага трафіку? (Частка 2)

Уводзіны

Збор і аналіз сеткавага трафіку з'яўляецца найбольш эфектыўным спосабам атрымання з першых рук індыкатараў і параметраў паводзін карыстальнікаў сеткі. З бесперапынным удасканаленнем працы і абслугоўвання цэнтра апрацоўкі дадзеных Q збор і аналіз сеткавага трафіку сталі неад'емнай часткай інфраструктуры цэнтра апрацоўкі дадзеных. Зыходзячы з бягучага выкарыстання ў галіны, збор сеткавага трафіку ў асноўным ажыццяўляецца сеткавым абсталяваннем, якое падтрымлівае люстэрка абыходнага трафіку. Для збору трафіку неабходна ўсталяваць усебаковы ахоп, разумную і эфектыўную сетку збору трафіку, такі збор трафіку можа дапамагчы аптымізаваць паказчыкі эфектыўнасці сеткі і бізнесу і знізіць верагоднасць збою.

Сетку збору трафіку можна разглядаць як незалежную сетку, якая складаецца з прылад збору трафіку і разгорнута паралельна з вытворчай сеткай. Ён збірае трафік малюнкаў кожнай сеткавай прылады і агрэгуе трафік малюнкаў у адпаведнасці з рэгіянальным і архітэктурным узроўнем. Ён выкарыстоўвае сігналізацыю абмену фільтрацыі трафіку ў абсталяванні збору трафіку, каб рэалізаваць поўную хуткасць лініі даных для 2-4 слаёў умоўнай фільтрацыі, выдалення дублікатаў пакетаў, усечэння пакетаў і іншых дадатковых функцыянальных аперацый, а затым адпраўляе даныя кожнаму трафіку сістэма аналізу. Сетка збору трафіку можа дакладна адпраўляць пэўныя даныя на кожную прыладу ў адпаведнасці з патрабаваннямі да даных кожнай сістэмы і вырашаць праблему немагчымасці фільтрацыі і адпраўкі традыцыйных люстраных даных, што зніжае прадукцыйнасць апрацоўкі сеткавых камутатараў. У той жа час механізм фільтрацыі і абмену трафікам сеткі збору трафіку рэалізуе фільтрацыю і перанакіраванне даных з нізкай затрымкай і высокай хуткасцю, забяспечвае якасць даных, сабраных сеткай збору трафіку, і забяспечвае добрую аснову даных для наступнае абсталяванне для аналізу трафіку.

пытанне маніторынгу трафіку

Для таго, каб паменшыць уплыў на зыходную спасылку, копія зыходнага трафіку звычайна атрымліваецца з дапамогай раздзялення прамяня, SPAN або TAP.

Пасіўны сеткавы адвод (аптычны разветвитель)

Спосаб выкарыстання раздзялення святла для атрымання копіі трафіку патрабуе дапамогі прылады раздзялення святла. Святлораздзяляльнік - гэта пасіўная аптычная прылада, якая можа пераразмяркоўваць інтэнсіўнасць магутнасці аптычнага сігналу ў адпаведнасці з неабходнай прапорцыяй. Раздзяляльнік можа падзяляць святло ад 1 да 2, ад 1 да 4 і ад 1 да некалькіх каналаў. Для таго, каб паменшыць уплыў на зыходны канал, цэнтр апрацоўкі дадзеных звычайна прымае суадносіны аптычнага падзелу 80:20, 70:30, пры якім 70,80 долі аптычнага сігналу адпраўляецца назад у зыходны канал. У цяперашні час аптычныя разветвители шырока выкарыстоўваюцца ў аналізе прадукцыйнасці сеткі (NPM/APM), сістэме аўдыту, аналізе паводзін карыстальнікаў, выяўленні сеткавых уварванняў і іншых сцэнарах.

Значок захопу

Перавагі:

1. Высокая надзейнасць, пасіўнае аптычнае прылада;

2. Не займае порт камутатара, незалежнае абсталяванне, наступнае можа быць добрым пашырэннем;

3. Няма неабходнасці змяняць канфігурацыю камутатара, ніякага ўздзеяння на іншае абсталяванне;

4. Поўны збор трафіку, без фільтрацыі пакетаў камутатара, уключаючы пакеты памылак і г.д.

Недахопы:

1. Неабходнасць простага пераключэння сеткі, валаконнага штэкера магістральнага злучэння і цыферблата да аптычнага разветвителя знізіць аптычную магутнасць некаторых магістральных злучэнняў

SPAN (люстэрка порта)

SPAN - гэта функцыя, якая пастаўляецца з самім камутатарам, таму яе проста трэба наладзіць на камутатары. Аднак гэтая функцыя паўплывае на прадукцыйнасць камутатара і прывядзе да страты пакетаў пры перагрузцы дадзеных.

люстэрка порта сеткавага камутатара

Перавагі:

1. Няма неабходнасці дадаваць дадатковае абсталяванне, наладзьце камутатар, каб павялічыць адпаведны выхадны порт рэплікацыі выявы

Недахопы:

1. Займіце порт камутатара

2. Камутатары неабходна наладзіць, што прадугледжвае сумесную каардынацыю са староннімі вытворцамі, што павялічвае патэнцыйны рызыка збою ў сетцы

3. Люстраная рэплікацыя трафіку ўплывае на прадукцыйнасць порта і камутатара.

Актыўная сетка TAP (TAP-агрэгатар)

Сеткавы TAP - гэта знешняя сеткавая прылада, якая дазваляе люстраваць парты і стварае копію трафіку для выкарыстання рознымі прыладамі маніторынгу. Гэтыя прылады ўводзяцца ў месца на сеткавым шляху, за якім неабходна назіраць, і яны капіююць IP-пакеты даных і адпраўляюць іх у інструмент маніторынгу сеткі. Выбар кропкі доступу для прылады Network TAP залежыць ад фокусу сеткавага трафіку - прычын збору даных, рэгулярнага кантролю аналізу і затрымак, выяўлення ўварванняў і г. д. Прылады Network TAP могуць збіраць і адлюстроўваць патокі даных на хуткасці 1G да 100 г.

Гэтыя прылады атрымліваюць доступ да трафіку без таго, каб сеткавая TAP-прылада ніякім чынам змяняла паток пакетаў, незалежна ад хуткасці трафіку даных. Гэта азначае, што сеткавы трафік не падлягае маніторынгу і люстраванню партоў, што вельмі важна для падтрымання цэласнасці даных пры іх маршрутызацыі ў інструменты бяспекі і аналізу.

Гэта гарантуе, што сеткавыя перыферыйныя прылады кантралююць копіі трафіку, так што сеткавыя прылады TAP выконваюць ролю назіральнікаў. Адпраўляючы копію вашых даных на любую/ўсе падлучаныя прылады, вы атрымліваеце поўную бачнасць у кропцы сеткі. У выпадку, калі сеткавая прылада TAP або прылада маніторынгу выйдзе з ладу, вы ведаеце, што гэта не паўплывае на трафік, што гарантуе бяспеку і даступнасць аперацыйнай сістэмы.

У той жа час ён становіцца агульнай мэтай сеткавых прылад TAP. Доступ да пакетаў заўсёды можа быць прадастаўлены без перапынення трафіку ў сетцы, і гэтыя рашэнні бачнасці могуць таксама вырашаць больш складаныя выпадкі. Патрэбы маніторынгу інструментаў, пачынаючы ад брандмаўэраў наступнага пакалення да абароны ад уцечкі даных, маніторынгу прадукцыйнасці прыкладанняў, SIEM, лічбавай крыміналістыкі, IPS, IDS і іншых, прымушаюць сеткавыя прылады TAP развівацца.

У дадатак да забеспячэння поўнай копіі трафіку і падтрымання даступнасці прылады TAP могуць забяспечваць наступнае.

1. Фільтруйце пакеты для максімальнай прадукцыйнасці маніторынгу сеткі

Тое, што прылада Network TAP можа ў нейкі момант стварыць 100% копію пакета, не азначае, што кожны інструмент маніторынгу і бяспекі павінен бачыць усё. Паток трафіку да ўсіх інструментаў сеткавага маніторынгу і бяспекі ў рэжыме рэальнага часу прывядзе толькі да перазаказу, што пагоршыць прадукцыйнасць інструментаў і сеткі ў працэсе.

Размяшчэнне патрэбнай прылады Network TAP можа дапамагчы фільтраваць пакеты пры накіраванні на інструмент маніторынгу, распаўсюджваючы патрэбныя даныя ў патрэбны інструмент. Прыклады такіх інструментаў ўключаюць сістэмы выяўлення ўварванняў (IDS), прадухіленне страты даных (DLP), інфармацыю аб бяспецы і кіраванне падзеямі (SIEM), крыміналістычны аналіз і многае іншае.

2. Сукупныя спасылкі для эфектыўнай сеткі

Паколькі патрабаванні да сеткавага маніторынгу і бяспекі растуць, сеткавыя інжынеры павінны знайсці спосабы выкарыстання існуючых ІТ-бюджэтаў для выканання большай колькасці задач. Але ў нейкі момант вы не можаце працягваць дадаваць новыя прылады ў стэк і павялічваць складанасць вашай сеткі. Вельмі важна максімальна выкарыстоўваць інструменты маніторынгу і бяспекі.

Сеткавыя прылады TAP могуць дапамагчы, аб'ядноўваючы некалькі сеткавых трафікаў, на ўсход і на захад, для дастаўкі пакетаў на падлучаныя прылады праз адзін порт. Разгортванне інструментаў бачнасці такім чынам паменшыць колькасць неабходных інструментаў маніторынгу. Паколькі трафік дадзеных Усход-Захад працягвае расці ў цэнтрах апрацоўкі дадзеных і паміж цэнтрамі апрацоўкі дадзеных, патрабаванне да сеткавых прылад TAP вельмі важна для падтрымання бачнасці ўсіх вымяральных патокаў у вялікіх аб'ёмах даных.

ML-NPB-5690 (8)

Звязаны артыкул, які можа вас зацікавіць, наведайце тут:Як захапіць сеткавы трафік? Network Tap супраць Port Mirror


Час публікацыі: 24 кастрычніка 2024 г