Invoering
Het verzamelen en analyseren van netwerkverkeer is de meest effectieve manier om uit de eerste hand gedragsindicatoren en parameters van netwerkgebruikers te verkrijgen. Met de voortdurende verbetering van de werking en het onderhoud van datacenter Q is het verzamelen en analyseren van netwerkverkeer een onmisbaar onderdeel geworden van de datacenterinfrastructuur. Volgens het huidige industriële gebruik wordt het verzamelen van netwerkverkeer grotendeels gerealiseerd door netwerkapparatuur die bypass-verkeersspiegels ondersteunt. Verkeersverzameling moet een alomvattend dekkend, redelijk en effectief verkeersverzamelingsnetwerk tot stand brengen. Dergelijke verkeersverzameling kan helpen netwerk- en bedrijfsprestatie-indicatoren te optimaliseren en de kans op mislukking te verkleinen.
Het verkeersverzamelingsnetwerk kan worden beschouwd als een onafhankelijk netwerk dat bestaat uit verkeersverzamelingsapparatuur en parallel met het productienetwerk wordt ingezet. Het verzamelt het beeldverkeer van elk netwerkapparaat en voegt het beeldverkeer samen op regionaal en architectonisch niveau. Het maakt gebruik van het verkeersfilterende uitwisselingsalarm in de verkeersacquisitieapparatuur om de volledige lijnsnelheid van de gegevens te realiseren voor 2-4 lagen voorwaardelijke filtering, waarbij dubbele pakketten worden verwijderd, pakketten worden ingekort en andere geavanceerde functionele bewerkingen, en vervolgens de gegevens naar elk verkeer worden verzonden analyse systeem. Het verkeersverzamelingsnetwerk kan nauwkeurig specifieke gegevens naar elk apparaat verzenden op basis van de gegevensvereisten van elk systeem, en het probleem oplossen dat de traditionele spiegelgegevens niet kunnen worden gefilterd en verzonden, wat de verwerkingsprestaties van netwerkswitches opslokt. Tegelijkertijd realiseert de verkeersfilter- en uitwisselingsmotor van het verkeersverzamelingsnetwerk het filteren en doorsturen van gegevens met lage vertraging en hoge snelheid, waarborgt de kwaliteit van de gegevens verzameld door het verkeersverzamelingsnetwerk en biedt een goede gegevensbasis voor de daaropvolgende verkeersanalyseapparatuur.
Om de impact op de oorspronkelijke verbinding te beperken, wordt doorgaans een kopie van het oorspronkelijke verkeer verkregen door middel van beam splitting, SPAN of TAP.
Passieve netwerkkraan (optische splitter)
De manier om lichtsplitsing te gebruiken om verkeerskopieën te verkrijgen vereist de hulp van een lichtsplitserapparaat. De lichtsplitser is een passief optisch apparaat dat de vermogensintensiteit van het optische signaal kan herverdelen in overeenstemming met de vereiste verhouding. De splitter kan licht verdelen van 1 naar 2, 1 naar 4 en 1 naar meerdere kanalen. Om de impact op de oorspronkelijke link te verminderen, hanteert het datacenter doorgaans de optische splitsingsverhouding van 80:20, 70:30, waarbij een deel van het optische signaal 70,80 wordt teruggestuurd naar de oorspronkelijke link. Momenteel worden optische splitters veel gebruikt bij netwerkprestatieanalyse (NPM/APM), auditsystemen, analyse van gebruikersgedrag, detectie van netwerkinbraak en andere scenario's.
Voordelen:
1. Hoge betrouwbaarheid, passief optisch apparaat;
2. Bezet de schakelpoort niet, onafhankelijke apparatuur, daarna kan een goede uitbreiding zijn;
3. Het is niet nodig om de schakelaarconfiguratie te wijzigen, geen impact op andere apparatuur;
4. Volledige verkeersverzameling, geen filtering van schakelpakketten, inclusief foutpakketten, enz.
Nadelen:
1. De behoefte aan een eenvoudige netwerkoverschakeling, een backbone-link glasvezelstekker en een inbelverbinding met de optische splitter, zal het optische vermogen van sommige backbone-links verminderen
SPAN (poortspiegel)
SPAN is een functie die bij de switch zelf wordt geleverd, dus deze hoeft alleen maar op de switch te worden geconfigureerd. Deze functie heeft echter invloed op de prestaties van de switch en veroorzaakt pakketverlies wanneer de gegevens overbelast raken.
Voordelen:
1. Het is niet nodig om extra apparatuur toe te voegen, configureer de switch om de overeenkomstige uitgangspoort voor beeldreplicatie te vergroten
Nadelen:
1. Bezet de switchpoort
2. Switches moeten worden geconfigureerd, wat gezamenlijke coördinatie met externe fabrikanten vereist, waardoor het potentiële risico op netwerkstoringen toeneemt
3. Replicatie van spiegelverkeer heeft invloed op de prestaties van poorten en switches.
Actieve netwerk-TAP (TAP-aggregator)
Een netwerk-TAP is een extern netwerkapparaat dat poortspiegeling mogelijk maakt en een kopie van het verkeer creëert voor gebruik door verschillende bewakingsapparaten. Deze apparaten worden geïntroduceerd op een plaats in het netwerkpad die moet worden geobserveerd, en het kopieert de data-IP-pakketten en stuurt deze naar de netwerkmonitoringtool. De keuze van het toegangspunt voor het Network TAP-apparaat hangt af van de focus van het netwerkverkeer: redenen voor het verzamelen van gegevens, routinematige monitoring van analyses en vertragingen, inbraakdetectie, enz. Netwerk TAP-apparaten kunnen datastromen verzamelen en spiegelen met een snelheid van 1G tot 100G.
Deze apparaten hebben toegang tot verkeer zonder dat het netwerk-TAP-apparaat de pakketstroom op enigerlei wijze wijzigt, ongeacht de snelheid van het dataverkeer. Dit betekent dat netwerkverkeer niet onderworpen is aan monitoring en poortspiegeling, wat essentieel is voor het behoud van de integriteit van de gegevens wanneer deze naar beveiligings- en analysetools worden geleid.
Het zorgt ervoor dat de netwerkrandapparatuur de verkeerskopieën bewaakt, zodat de netwerk-TAP-apparaten als waarnemers fungeren. Door een kopie van uw gegevens naar alle aangesloten apparaten te sturen, krijgt u volledig inzicht op het netwerkpunt. In het geval dat een netwerk-TAP-apparaat of monitoringapparaat uitvalt, weet u dat het verkeer niet wordt beïnvloed, zodat het besturingssysteem veilig en beschikbaar blijft.
Tegelijkertijd wordt het het algemene doelwit van netwerk-TAP-apparaten. Toegang tot pakketten kan altijd worden geboden zonder het verkeer in het netwerk te onderbreken, en deze zichtbaarheidsoplossingen kunnen ook meer geavanceerde gevallen aanpakken. De monitoringbehoeften van tools variërend van firewalls van de volgende generatie tot bescherming tegen gegevenslekken, monitoring van applicatieprestaties, SIEM, digitaal forensisch onderzoek, IPS, IDS en meer, dwingen netwerk-TAP-apparaten om te evolueren.
Naast het leveren van een volledige kopie van het verkeer en het behouden van de beschikbaarheid, kunnen TAP-apparaten het volgende bieden.
1. Filter pakketten om de netwerkbewakingsprestaties te maximaliseren
Het feit dat een Network TAP-apparaat op een gegeven moment een 100% kopie van een pakket kan maken, betekent niet dat elk monitoring- en beveiligingshulpmiddel het hele ding moet zien. Het in realtime streamen van verkeer naar alle netwerkmonitoring- en beveiligingstools zal alleen maar leiden tot overbezetting, waardoor de prestaties van de tools en het netwerk in het proces worden aangetast.
Door het juiste Network TAP-apparaat te plaatsen, kunnen pakketten worden gefilterd wanneer ze naar de monitoringtool worden gerouteerd, waardoor de juiste gegevens naar de juiste tool worden gedistribueerd. Voorbeelden van dergelijke tools zijn onder meer inbraakdetectiesystemen (IDS), preventie van gegevensverlies (DLP), beveiligingsinformatie en gebeurtenisbeheer (SIEM), forensische analyse en nog veel meer.
2. Geaggregeerde links voor efficiënt netwerken
Naarmate de vereisten voor netwerkbewaking en beveiliging toenemen, moeten netwerkingenieurs manieren vinden om bestaande IT-budgetten te gebruiken om meer taken uit te voeren. Maar op een gegeven moment kun je niet meer nieuwe apparaten aan de stapel toevoegen en de complexiteit van je netwerk vergroten. Het is essentieel om het gebruik van monitoring- en beveiligingsinstrumenten te maximaliseren.
Netwerk-TAP-apparaten kunnen helpen door meerdere netwerkverkeer, oostwaarts en westwaarts, samen te voegen om pakketten via één poort aan aangesloten apparaten te leveren. Door zichtbaarheidstools op deze manier in te zetten, zal het aantal benodigde monitoringtools afnemen. Nu het Oost-West-dataverkeer in datacenters en tussen datacenters blijft groeien, is de behoefte aan netwerk-TAP-apparaten essentieel om de zichtbaarheid van alle dimensionale stromen over grote datavolumes te behouden.
Gerelateerd artikel dat u wellicht interessant vindt, bezoek hier:Hoe netwerkverkeer vastleggen? Netwerktap versus poortspiegel
Posttijd: 24 oktober 2024
