Invoering
Netwerkverkeersverzameling en -analyse is de meest effectieve manier om direct inzicht te krijgen in het gedrag van netwerkgebruikers. Met de voortdurende verbetering van de operationele processen en het onderhoud van datacenters is netwerkverkeersverzameling en -analyse een onmisbaar onderdeel geworden van de datacenterinfrastructuur. In de huidige praktijk wordt netwerkverkeer meestal verzameld met behulp van netwerkapparatuur die bypass-verkeersspiegeling ondersteunt. Voor verkeersverzameling is een dekkend, redelijk en effectief netwerk nodig. Een dergelijke verkeersverzameling kan bijdragen aan de optimalisatie van netwerk- en bedrijfsprestaties en de kans op storingen verkleinen.
Het verkeersverzamelingsnetwerk kan worden beschouwd als een onafhankelijk netwerk dat bestaat uit verkeersverzamelingsapparaten en parallel aan het productienetwerk is geïmplementeerd. Het verzamelt het beeldverkeer van elk netwerkapparaat en aggregeert dit beeldverkeer op regionaal en architecturaal niveau. Het maakt gebruik van de verkeersfilterings- en uitwisselingsalarmfunctie in de verkeersacquisitieapparatuur om de volledige lijnsnelheid van de data te realiseren voor 2-4 lagen van conditionele filtering, waarbij dubbele pakketten worden verwijderd, pakketten worden afgekapt en andere geavanceerde functionele bewerkingen worden uitgevoerd. Vervolgens worden de gegevens naar elk verkeersanalysesysteem verzonden. Het verkeersverzamelingsnetwerk kan nauwkeurig specifieke data naar elk apparaat verzenden op basis van de datavereisten van elk systeem en lost het probleem op dat traditionele spiegeldata niet gefilterd en verzonden kunnen worden, wat de verwerkingscapaciteit van netwerkswitches belast. Tegelijkertijd realiseert de verkeersfilterings- en uitwisselingsengine van het verkeersverzamelingsnetwerk het filteren en doorsturen van data met een lage vertraging en hoge snelheid, waardoor de kwaliteit van de door het verkeersverzamelingsnetwerk verzamelde data wordt gewaarborgd en een goede databasis wordt geboden voor de daaropvolgende verkeersanalyseapparatuur.
Om de impact op de oorspronkelijke verbinding te verminderen, wordt meestal een kopie van het oorspronkelijke verkeer verkregen door middel van beam splitting, SPAN of TAP.
Passieve netwerktap (optische splitter)
Om een kopie van het dataverkeer te verkrijgen door middel van lichtsplitsing, is een lichtsplitter nodig. Een lichtsplitter is een passief optisch apparaat dat de vermogensintensiteit van een optisch signaal kan herverdelen volgens de gewenste verhouding. De splitter kan licht splitsen in 1 naar 2, 1 naar 4 of 1 naar meerdere kanalen. Om de impact op de oorspronkelijke verbinding te minimaliseren, gebruiken datacenters doorgaans een optische splitsingsverhouding van 80:20 of 70:30, waarbij 70% van het optische signaal wordt teruggestuurd naar de oorspronkelijke verbinding. Optische splitters worden tegenwoordig veelvuldig gebruikt in netwerkprestatieanalyse (NPM/APM), auditsystemen, analyse van gebruikersgedrag, detectie van netwerkinbraken en andere toepassingen.
Voordelen:
1. Zeer betrouwbaar, passief optisch apparaat;
2. Neemt geen switchpoort in beslag, is een onafhankelijk apparaat en kan later goed worden uitgebreid;
3. Het is niet nodig de switchconfiguratie aan te passen, geen invloed op andere apparatuur;
4. Volledige verkeersverzameling, geen filtering van switchpakketten, inclusief foutpakketten, enz.
Nadelen:
1. De noodzaak voor een eenvoudige netwerkomschakeling, waarbij de glasvezelverbinding van de backbone wordt aangesloten en vervolgens via een optische splitter wordt doorgeschakeld, zal het optische vermogen van sommige backbone-verbindingen verminderen.
SPAN (Port Mirror)
SPAN is een functie die standaard in de switch is ingebouwd en dus alleen op de switch geconfigureerd hoeft te worden. Deze functie kan echter de prestaties van de switch beïnvloeden en pakketverlies veroorzaken bij overbelasting van de datastroom.
Voordelen:
1. Het is niet nodig om extra apparatuur toe te voegen; configureer de switch om het aantal bijbehorende uitvoerpoorten voor beeldreplicatie uit te breiden.
Nadelen:
1. Bezit de switchpoort
2. Switches moeten geconfigureerd worden, wat gezamenlijke coördinatie met externe fabrikanten vereist en het potentiële risico op netwerkstoringen vergroot.
3. Het spiegelen van verkeersverkeer heeft invloed op de prestaties van poorten en switches.
Active Network TAP (TAP-aggregator)
Een Network TAP is een extern netwerkapparaat dat poortspiegeling mogelijk maakt en een kopie van het netwerkverkeer creëert voor gebruik door diverse monitoringapparaten. Deze apparaten worden geplaatst op een punt in het netwerkpad dat gemonitord moet worden. Ze kopiëren de IP-datapakketten en sturen deze naar de netwerkmonitoringstool. De keuze van het toegangspunt voor het Network TAP-apparaat hangt af van het doel van de netwerkmonitoring: dataverzameling, routinematige monitoring, analyse en vertragingen, inbraakdetectie, enzovoort. Network TAP-apparaten kunnen datastromen verzamelen en spiegelen met snelheden van 1 Gbps tot 100 Gbps.
Deze apparaten hebben toegang tot het netwerkverkeer zonder dat het TAP-apparaat de pakketstroom op enigerlei wijze wijzigt, ongeacht de snelheid van het dataverkeer. Dit betekent dat het netwerkverkeer niet onderhevig is aan monitoring en port mirroring, wat essentieel is voor het behoud van de integriteit van de gegevens bij het routeren naar beveiligings- en analysetools.
Het zorgt ervoor dat de randapparatuur in het netwerk de kopieën van het verkeer monitort, zodat de TAP-apparaten in het netwerk als waarnemers fungeren. Door een kopie van uw gegevens naar alle aangesloten apparaten te sturen, krijgt u volledig inzicht op netwerkniveau. Mocht een TAP-apparaat of monitoringsapparaat uitvallen, dan weet u dat het verkeer niet wordt beïnvloed, waardoor de veiligheid en beschikbaarheid van het besturingssysteem gewaarborgd blijven.
Tegelijkertijd wordt het het overkoepelende doelwit van netwerk-TAP-apparaten. Toegang tot pakketten kan altijd worden geboden zonder het netwerkverkeer te onderbreken, en deze zichtbaarheidsoplossingen kunnen ook complexere gevallen aanpakken. De monitoringbehoeften van tools variërend van next-generation firewalls tot datalekpreventie, applicatieprestatiemonitoring, SIEM, digitale forensische analyse, IPS, IDS en meer, dwingen netwerk-TAP-apparaten tot evolutie.
Naast het leveren van een complete kopie van het verkeer en het waarborgen van de beschikbaarheid, kunnen TAP-apparaten het volgende bieden.
1. Filter pakketten om de prestaties van netwerkmonitoring te maximaliseren
Het feit dat een netwerk-TAP-apparaat op een bepaald moment een volledige kopie van een datapakket kan maken, betekent niet dat elke monitoring- en beveiligingstool het volledige pakket hoeft te zien. Het in realtime streamen van verkeer naar alle netwerkmonitoring- en beveiligingstools leidt alleen maar tot overordening, wat de prestaties van de tools en het netwerk negatief beïnvloedt.
Door het juiste netwerk-TAP-apparaat te plaatsen, kunnen pakketten worden gefilterd voordat ze naar de monitoringtool worden doorgestuurd, waardoor de juiste gegevens bij de juiste tool terechtkomen. Voorbeelden van dergelijke tools zijn inbraakdetectiesystemen (IDS), systemen voor gegevensverliespreventie (DLP), systemen voor beveiligingsinformatie- en gebeurtenisbeheer (SIEM), forensische analyses en nog veel meer.
2. Links bundelen voor een efficiënt netwerk
Naarmate de eisen aan netwerkmonitoring en -beveiliging toenemen, moeten netwerkengineers manieren vinden om bestaande IT-budgetten efficiënter in te zetten voor meer taken. Maar op een gegeven moment kun je niet blijven doorgaan met het toevoegen van nieuwe apparaten aan de netwerkstack en het vergroten van de complexiteit ervan. Het is essentieel om monitoring- en beveiligingstools optimaal te benutten.
Netwerk-TAP-apparaten kunnen helpen door meerdere netwerkstromen, zowel oostwaarts als westwaarts, te bundelen en pakketten via één poort naar aangesloten apparaten te verzenden. Door op deze manier zichtbaarheidstools in te zetten, wordt het aantal benodigde monitoringtools verminderd. Naarmate het oost-west dataverkeer in datacenters en tussen datacenters blijft groeien, is de behoefte aan netwerk-TAP-apparaten essentieel om inzicht te behouden in alle dimensionale stromen over grote hoeveelheden data.
Een gerelateerd artikel dat u wellicht interessant vindt, kunt u hier bekijken:Hoe leg je netwerkverkeer vast? Netwerktap versus poortspiegeling
Geplaatst op: 24 oktober 2024
