Waarom moeten netwerktappen en netwerkpakketmakelaars voor uw netwerkverkeer vastleggen? (Deel 2)

Invoering

Het verzamelen en analyseren van netwerkverkeer is het meest effectieve middel om de eerste hand netwerkindicatoren en parameters uit de eerste hand te verkrijgen. Met de continue verbetering van de Q -werking en onderhoud van het datacenter is het verzamelen en analyseren van netwerkverkeer en analyse een onmisbaar onderdeel van de datacenter -infrastructuur geworden. Uit het huidige industriële gebruik wordt het verzamelen van netwerkverkeer meestal gerealiseerd door netwerkapparatuur die bypass -verkeersspiegel ondersteunt. Verkeersverzameling moet een uitgebreide dekking vaststellen, een redelijk en effectief verkeersverzamelingsnetwerk, een dergelijke verkeersverzameling kan helpen om netwerk- en bedrijfsprestatiesindicatoren te optimaliseren en de kans op faal te verminderen.

Het verkeersverzamelingsnetwerk kan worden beschouwd als een onafhankelijk netwerk dat bestaat uit verkeersverzamelingsapparatuur en parallel aan het productienetwerk wordt geïmplementeerd. Het verzamelt het beeldverkeer van elk netwerkapparaat en verzamelt het beeldverkeer volgens het regionale en architecturale niveau. Het maakt gebruik van het verkeersfilteringsalarm in de verkeersacquisitieapparatuur om de volledige lijnsnelheid van de gegevens te realiseren voor 2-4 lagen voorwaardelijke filtering, het verwijderen van dubbele pakketten, het aftrekken van pakketten en andere geavanceerde functionele bewerkingen en verzendt de gegevens vervolgens naar elk verkeersanalysesysteem. Het verkeersverzamelingsnetwerk kan specifieke gegevens nauwkeurig naar elk apparaat verzenden volgens de gegevensvereisten van elk systeem, en het probleem oplossen dat de traditionele spiegelgegevens niet kunnen worden gefilterd en verzonden, wat de verwerkingsprestaties van netwerkschakelaars verbruikt. Tegelijkertijd realiseert de verkeersfiltering en de uitwisselingsmotor van het verkeersverzamelingsnetwerk het filteren en doorsturen van gegevens met lage vertraging en hoge snelheid, zorgt voor de kwaliteit van gegevens die zijn verzameld door het verkeersverzamelingsnetwerk en biedt een goede gegevensstichting voor de daaropvolgende verkeersanalyseapparatuur.

Probleem met verkeersbewaking

Om de impact op de oorspronkelijke link te verminderen, wordt een kopie van het originele verkeer meestal verkregen door middel van bundelspanning, spanwijdte of tik.

Passieve netwerktap (optische splitter)

De manier om lichtsplitsing te gebruiken om verkeerskopie te verkrijgen, vereist de hulp van een lichtsplitserapparaat. De lichtsplitter is een passief optisch apparaat dat de vermogensintensiteit van het optische signaal kan herverdelen in overeenstemming met de vereiste aandeel. De splitter kan licht verdelen van 1 tot 2,1 tot 4 en 1 naar meerdere kanalen. Om de impact op de oorspronkelijke link te verminderen, neemt het datacenter meestal de optische splitsingsverhouding van 80:20, 70:30 aan, waarin 70,80 aandeel van het optische signaal wordt teruggestuurd naar de oorspronkelijke link. Momenteel worden optische splitters veel gebruikt in Network Performance Analysis (NPM/APM), Auditsysteem, analyse van gebruikersgedrag, detectie van netwerkinbreuk en andere scenario's.

Capture -pictogram

Voordelen:

1. Hoge betrouwbaarheid, passief optisch apparaat;

2. Bezakt de schakelpoort niet, onafhankelijke apparatuur, daarop kan een goede uitbreiding zijn;

3. U hoeft de schakelconfiguratie niet te wijzigen, geen impact op andere apparatuur;

4. Volledige verkeersverzameling, geen schakelpakketfiltering, inclusief foutpakketten, enz.

Nadelen:

1. De behoefte aan eenvoudige netwerkovergangen, backbone link vezelstekker en wijzerplaat naar de optische splitter, zal de optische kracht van sommige backbone -links verminderen

Span (poortspiegel)

Span is een functie die bij de schakelaar zelf wordt geleverd, dus deze moet alleen op de schakelaar worden geconfigureerd. Deze functie heeft echter invloed op de prestaties van de schakelaar en veroorzaakt pakketverlies wanneer de gegevens worden overbelast.

Netwerkschakelaarpoortspiegel

Voordelen:

1. Het is niet nodig om extra apparatuur toe te voegen, de schakelaar te configureren om de bijbehorende uitvoerpoort van de beeldreplicatie te verhogen

Nadelen:

1. Bezetting de schakelpoort

2. Schakelaars moeten worden geconfigureerd, waarbij gezamenlijke coördinatie met fabrikanten van derden betrokken is, waardoor het potentiële risico op netwerkfalen wordt vergroot

3. Replicatie van spiegelverkeer heeft een impact op de poort- en schakelprestaties.

Actieve netwerktap (Tap Aggregator)

Een netwerktap is een extern netwerkapparaat dat poortspiegeling mogelijk maakt en een kopie van verkeer maakt voor gebruik door verschillende bewakingsapparaten. Deze apparaten worden geïntroduceerd op een plaats in het netwerkpad dat moet worden waargenomen, en het kopieert de gegevens -IP -pakketten en stuurt ze naar de tool voor netwerkbewaking. De keuze van het toegangspunt voor het netwerktapapparaat is afhankelijk van de focus van de redenen van het netwerkverkeer -gegevensverzamelingsredenen, routinematige monitoring van analyse en vertragingen, inbraakdetectie, enz. Netwerktapapparaten kunnen gegevensstromen verzamelen en spiegelen met 1G -tarief tot 100 g.

Deze apparaten hebben toegang tot verkeer zonder het netwerk tik op apparaat dat de pakketstroom op welke manier dan ook wijzigt, ongeacht de gegevensverkeersnelheid. Dit betekent dat netwerkverkeer niet onderworpen is aan monitoring en poortspiegeling, wat essentieel is voor het handhaven van de integriteit van de gegevens bij het routeren naar beveiligings- en analysetools.

Het zorgt ervoor dat de netwerkrandapparaatapparaten de verkeerskopieën controleren, zodat de netwerktap -apparaten als waarnemers fungeren. Door een kopie van uw gegevens te voeren aan alle/alle verbonden apparaten, krijgt u volledig zicht op het netwerkpunt. In het geval dat een netwerktap -apparaat of bewakingsapparaat mislukt, weet u dat verkeer niet zal worden beïnvloed, zodat het besturingssysteem veilig en beschikbaar blijft.

Tegelijkertijd wordt het het algemene doelwit van netwerktap -apparaten. Toegang tot pakketten kan altijd worden verstrekt zonder verkeer in het netwerk te onderbreken, en deze zichtbaarheidsoplossingen kunnen ook meer geavanceerde cases aanpakken. De bewakingsbehoeften van tools variërend van de volgende generatie firewalls tot bescherming van gegevenslekkage, monitoring van applicatieprestaties, SIEM, digitale forensisch onderzoek, IP's, ID's en meer, Force Network Tap -apparaten om te evolueren.

Naast het verstrekken van een volledig exemplaar van het verkeer en het handhaven van de beschikbaarheid, kunnen tap -apparaten het volgende bieden.

1. Filterpakketten om de prestaties van de netwerkbewaking te maximaliseren

Het feit dat een netwerktap -apparaat op een bepaald moment een kopie van een pakket van een pakket kan maken, betekent niet dat elke monitoring- en beveiligingsgereedschap het hele ding moet zien. Het streamen van verkeer naar alle netwerkmonitoring- en beveiligingshulpmiddelen in realtime zal alleen maar leiden tot overordering, waardoor de prestaties van de tools en het netwerk in het proces worden geschaad.

Het plaatsen van het juiste netwerk Tap -apparaat kan helpen bij het filteren van pakketten wanneer naar het bewakingsgereedschap wordt gerouteerd, waarbij de juiste gegevens naar de juiste tool worden gedistribueerd. Voorbeelden van dergelijke tools zijn Intrusion Detection Systems (ID's), gegevensverliespreventie (DLP), beveiligingsinformatie en gebeurtenisbeheer (SIEM), forensische analyse en nog veel meer.

2. Aggregate links voor efficiënt netwerken

Naarmate netwerkmonitoring en beveiligingsvereisten toenemen, moeten netwerkingenieurs manieren vinden om bestaande IT -budgetten te gebruiken om meer taken uit te voeren. Maar op een gegeven moment kunt u niet blijven toevoegen van nieuwe apparaten aan de stapel en het vergroten van de complexiteit van uw netwerk. Het is essentieel om het gebruik van monitoring- en beveiligingshulpmiddelen te maximaliseren.

Netwerk TAP -apparaten kunnen helpen door meerdere netwerkverkeer te verzamelen, oostwaarts en westwaarts, om pakketten te leveren aan verbonden apparaten via een enkele poort. Door op deze manier zichtbaarheidstools te implementeren, wordt het aantal benodigde monitoringhulpmiddelen verminderd. Aangezien het oost-west-gegevensverkeer blijft groeien in datacenters en tussen datacenters, is de vereiste voor netwerktap-apparaten essentieel om de zichtbaarheid van alle dimensionale stromen over grote hoeveelheden gegevens te behouden.

ML-NPB-5690 (8)

Gerelateerd artikel dat u misschien interessant is, bezoek hier:Hoe kan ik netwerkverkeer vastleggen? Netwerk Tap vs Port Mirror


Posttijd: oktober-24-2024