Invoering
Netwerkverkeersverzameling en -analyse is de meest effectieve manier om direct inzicht te krijgen in de gedragsindicatoren en -parameters van netwerkgebruikers. Met de voortdurende verbetering van de werking en het onderhoud van datacenters is het verzamelen en analyseren van netwerkverkeer een onmisbaar onderdeel geworden van de datacenterinfrastructuur. Tegenwoordig wordt netwerkverkeersverzameling voornamelijk gerealiseerd door netwerkapparatuur die bypass-verkeersspiegels ondersteunt. Verkeersverzameling moet een alomvattend, redelijk en effectief netwerk voor verkeersverzameling creëren. Deze verzameling kan helpen bij het optimaliseren van netwerk- en bedrijfsprestatie-indicatoren en het verminderen van de kans op storingen.
Het verkeersverzamelnetwerk kan worden beschouwd als een onafhankelijk netwerk dat bestaat uit verkeersverzamelapparaten en parallel aan het productienetwerk wordt geïmplementeerd. Het verzamelt het beeldverkeer van elk netwerkapparaat en aggregeert het beeldverkeer op basis van de regionale en architecturale niveaus. Het maakt gebruik van het uitwisselingsalarm voor verkeersfiltering in de verkeersacquisitieapparatuur om de volledige lijnsnelheid van de data te realiseren voor 2-4 lagen voorwaardelijke filtering, het verwijderen van dubbele pakketten, het afkappen van pakketten en andere geavanceerde functionele bewerkingen, en verzendt de data vervolgens naar elk verkeersanalysesysteem. Het verkeersverzamelnetwerk kan nauwkeurig specifieke data naar elk apparaat verzenden op basis van de datavereisten van elk systeem en lost het probleem op dat traditionele spiegeldata niet kan worden gefilterd en verzonden, wat ten koste gaat van de verwerkingsprestaties van netwerkswitches. Tegelijkertijd realiseert de verkeersfilter- en uitwisselingsengine van het verkeersverzamelnetwerk het filteren en doorsturen van data met een lage vertraging en hoge snelheid, waarborgt de kwaliteit van de door het verkeersverzamelnetwerk verzamelde data en biedt een goede databasis voor de daaropvolgende verkeersanalyseapparatuur.
Om de impact op de originele link te beperken, wordt een kopie van het originele verkeer doorgaans verkregen door middel van beam splitting, SPAN of TAP.
Passieve netwerkaansluiting (optische splitter)
Het gebruik van lichtsplitsing om verkeerskopie te verkrijgen vereist de hulp van een lichtsplitter. De lichtsplitter is een passief optisch apparaat dat de vermogensintensiteit van het optische signaal kan herverdelen in overeenstemming met de gewenste verhouding. De splitter kan licht verdelen van 1 naar 2, 1 naar 4 en 1 naar meerdere kanalen. Om de impact op de oorspronkelijke verbinding te verminderen, gebruikt het datacenter doorgaans een optische splitsingsverhouding van 80:20 of 70:30, waarbij 70:80% van het optische signaal teruggestuurd wordt naar de oorspronkelijke verbinding. Optische splitters worden momenteel veel gebruikt in netwerkprestatieanalyse (NPM/APM), auditsystemen, analyse van gebruikersgedrag, detectie van netwerkintrusie en andere scenario's.
Voordelen:
1. Hoge betrouwbaarheid, passief optisch apparaat;
2. Bezet de switchpoort niet, onafhankelijke apparatuur, daaropvolgende goede uitbreiding mogelijk;
3. De schakelaarconfiguratie hoeft niet te worden aangepast en heeft geen invloed op andere apparatuur;
4. Volledige verzameling van het verkeer, geen filtering van switch-pakketten, inclusief foutpakketten, etc.
Nadelen:
1. De noodzaak van een eenvoudige netwerkomschakeling, een backbone-link glasvezelaansluiting en -invoer naar de optische splitter, zal het optische vermogen van sommige backbone-verbindingen verminderen
SPAN (poortspiegel)
SPAN is een functie die standaard op de switch zelf zit en hoeft alleen op de switch zelf geconfigureerd te worden. Deze functie heeft echter invloed op de prestaties van de switch en kan pakketverlies veroorzaken bij overbelasting van de data.
Voordelen:
1. Het is niet nodig om extra apparatuur toe te voegen, configureer de switch om de overeenkomstige uitvoerpoort voor beeldreplicatie te vergroten
Nadelen:
1. Bezet de switchpoort
2. Switches moeten worden geconfigureerd, wat gezamenlijke coördinatie met externe fabrikanten vereist, waardoor het potentiële risico op netwerkstoringen toeneemt
3. Replicatie van spiegelverkeer heeft invloed op de prestaties van poorten en switches.
Actieve netwerk-TAP (TAP-aggregator)
Een Network TAP is een extern netwerkapparaat dat poortspiegeling mogelijk maakt en een kopie van het verkeer maakt voor gebruik door verschillende bewakingsapparaten. Deze apparaten worden op een te observeren locatie in het netwerkpad geplaatst en kopiëren de IP-datapakketten naar de netwerkbewakingstool. De keuze van het toegangspunt voor het Network TAP-apparaat hangt af van de focus van het netwerkverkeer: dataverzameling, routinematige monitoring van analyse en vertragingen, inbraakdetectie, enz. Network TAP-apparaten kunnen datastromen verzamelen en spiegelen met een snelheid van 1G tot 100G.
Deze apparaten hebben toegang tot het verkeer zonder dat het TAP-netwerkapparaat de pakketstroom op enigerlei wijze wijzigt, ongeacht de datasnelheid. Dit betekent dat het netwerkverkeer niet onderhevig is aan monitoring en poortspiegeling, wat essentieel is voor het behoud van de integriteit van de gegevens bij het routeren naar beveiligings- en analysetools.
Het zorgt ervoor dat de netwerkrandapparatuur de kopieën van het verkeer bewaakt, zodat de TAP-netwerkapparaten als waarnemers fungeren. Door een kopie van uw gegevens naar alle aangesloten apparaten te sturen, krijgt u volledig inzicht in het netwerkpunt. Mocht een TAP-netwerkapparaat of bewakingsapparaat uitvallen, dan weet u zeker dat het verkeer niet wordt beïnvloed, zodat het besturingssysteem veilig en beschikbaar blijft.
Tegelijkertijd wordt het het algemene doelwit van TAP-netwerkapparaten. Toegang tot pakketten kan altijd worden geboden zonder het netwerkverkeer te onderbreken, en deze zichtbaarheidsoplossingen kunnen ook in meer geavanceerde gevallen worden toegepast. De monitoringbehoeften van tools, variërend van next-generation firewalls tot bescherming tegen datalekken, applicatieprestatiemonitoring, SIEM, digitale forensics, IPS, IDS en meer, dwingen TAP-netwerkapparaten te evolueren.
Naast het leveren van een volledige kopie van het verkeer en het handhaven van de beschikbaarheid, kunnen TAP-apparaten het volgende bieden.
1. Filter pakketten om de prestaties van netwerkbewaking te maximaliseren
Dat een Network TAP-apparaat op een bepaald moment een 100% kopie van een pakket kan maken, betekent niet dat elke monitoring- en beveiligingstool het hele pakket moet kunnen zien. Het in realtime streamen van verkeer naar alle netwerkmonitoring- en beveiligingstools leidt alleen maar tot overbelasting, wat de prestaties van de tools en het netwerk negatief beïnvloedt.
Het plaatsen van het juiste Network TAP-apparaat kan helpen bij het filteren van pakketten die naar de monitoringtool worden geleid, waardoor de juiste gegevens naar de juiste tool worden gedistribueerd. Voorbeelden van dergelijke tools zijn onder andere Intrusion Detection Systems (IDS), Data Loss Prevention (DLP), Security Information and Event Management (SIEM), forensische analyse en nog veel meer.
2. Geaggregeerde links voor efficiënt netwerken
Naarmate de eisen voor netwerkbewaking en -beveiliging toenemen, moeten netwerktechnici manieren vinden om bestaande IT-budgetten te gebruiken om meer taken uit te voeren. Maar op een gegeven moment kun je niet blijven doorgaan met het toevoegen van nieuwe apparaten aan de stack en het vergroten van de complexiteit van je netwerk. Het is essentieel om het gebruik van bewakings- en beveiligingstools te maximaliseren.
Netwerk-TAP-apparaten kunnen helpen door meerdere netwerkstromen, oostwaarts en westwaarts, te aggregeren om pakketten via één poort naar aangesloten apparaten te sturen. Door op deze manier zichtbaarheidstools te implementeren, wordt het aantal benodigde monitoringtools verminderd. Naarmate het oost-west-dataverkeer in datacenters en tussen datacenters blijft toenemen, is de behoefte aan netwerk-TAP-apparaten essentieel om inzicht te behouden in alle dimensionale stromen in grote hoeveelheden data.
Als u interesse heeft in een gerelateerd artikel, bezoek dan hier:Hoe netwerkverkeer vastleggen? Netwerktap versus poortspiegel
Plaatsingstijd: 24-10-2024
