Įvadas
Tinklo srauto rinkimas ir analizė yra efektyviausias būdas gauti tiesioginius tinklo naudotojų elgsenos rodiklius ir parametrus. Nuolat tobulinant duomenų centro Q veikimą ir priežiūrą, tinklo srauto rinkimas ir analizė tapo neatskiriama duomenų centro infrastruktūros dalimi. Nuo dabartinio pramonės naudojimo tinklo srautas daugiausia renkamas naudojant tinklo įrangą, palaikančią apeinamąjį srauto veidrodį. Srauto rinkimui reikia sukurti visapusišką aprėptį, pagrįstą ir efektyvų srauto rinkimo tinklą, toks srauto rinkimas gali padėti optimizuoti tinklo ir verslo veiklos rodiklius bei sumažinti gedimų tikimybę.
Srauto surinkimo tinklą galima laikyti nepriklausomu tinklu, sudarytu iš srauto surinkimo įrenginių ir dislokuotu lygiagrečiai su gamybos tinklu. Jis renka kiekvieno tinklo įrenginio vaizdo srautą ir apibendrina vaizdo srautą pagal regioninius ir architektūrinius lygius. Jis naudoja srauto filtravimo mainų signalizaciją srauto rinkimo įrangoje, kad realizuotų visą duomenų linijos greitį 2–4 sąlyginio filtravimo sluoksniams, pašalintų pasikartojančius paketus, sutrumpintų paketus ir atliktų kitas pažangias funkcines operacijas, o tada siunčia duomenis į kiekvieną srauto analizės sistemą. Srauto surinkimo tinklas gali tiksliai siųsti konkrečius duomenis į kiekvieną įrenginį pagal kiekvienos sistemos duomenų reikalavimus ir išspręsti problemą, kad tradiciniai veidrodiniai duomenys negali būti filtruojami ir siunčiami, o tai eikvoja tinklo komutatorių apdorojimo našumą. Tuo pačiu metu srauto surinkimo tinklo srauto filtravimo ir mainų variklis realizuoja duomenų filtravimą ir persiuntimą su mažu vėlavimu ir dideliu greičiu, užtikrina srauto surinkimo tinklo surinktų duomenų kokybę ir suteikia gerą duomenų pagrindą vėlesnei srauto analizės įrangai.
Siekiant sumažinti poveikį originaliai jungtiai, originalaus srauto kopija paprastai gaunama naudojant spindulių skaidymą, SPAN arba TAP.
Pasyvus tinklo atšaka (optinis skirstytuvas)
Norint gauti srauto kopiją naudojant šviesos skaidymą, reikia šviesos skaidytuvo. Šviesos skaidytuvas yra pasyvus optinis įrenginys, galintis paskirstyti optinio signalo galios intensyvumą pagal reikiamą proporciją. Skirstytuvas gali padalinti šviesą iš 1 į 2, iš 1 į 4 ir iš 1 į kelis kanalus. Siekiant sumažinti poveikį pradinei jungtiai, duomenų centre paprastai taikomas 80:20, 70:30 optinio skaidymo santykis, kai 70, 80 optinio signalo dalis siunčiama atgal į pradinę jungtį. Šiuo metu optiniai skaidytuvai plačiai naudojami tinklo našumo analizėje (NPM/APM), audito sistemose, vartotojų elgsenos analizėje, tinklo įsilaužimų aptikime ir kituose scenarijuose.
Privalumai:
1. Didelis patikimumas, pasyvus optinis įtaisas;
2. Neužima komutatoriaus prievado, nepriklausoma įranga, vėliau gali būti gerai išplečiama;
3. Nereikia keisti jungiklio konfigūracijos, neturi įtakos kitai įrangai;
4. Visiškas srauto surinkimas, nereikia komutatoriaus paketų filtravimo, įskaitant klaidų paketus ir kt.
Trūkumai:
1. Paprasto tinklo perjungimo, pagrindinio ryšio šviesolaidžio kištuko ir ratuko, skirstytuvo, poreikis sumažins kai kurių pagrindinio ryšio jungčių optinę galią.
SPAN (Uosto veidrodis)
SPAN yra paties komutatoriaus įdiegta funkcija, todėl ją tereikia sukonfigūruoti pačiame komutatoriuje. Tačiau ši funkcija paveiks komutatoriaus našumą ir sukels paketų praradimą, kai duomenys bus perkrauti.
Privalumai:
1. Nereikia pridėti papildomos įrangos, sukonfigūruokite jungiklį taip, kad padidėtų atitinkamas vaizdo replikacijos išvesties prievadas.
Trūkumai:
1. Užimkite komutatoriaus prievadą
2. Jungiklius reikia konfigūruoti, o tai apima bendrą koordinavimą su trečiųjų šalių gamintojais, o tai padidina galimą tinklo gedimo riziką.
3. Veidrodinis srauto replikavimas turi įtakos prievado ir komutatoriaus našumui.
Aktyvus tinklo TAP (TAP agregatorius)
Tinklo TAP yra išorinis tinklo įrenginys, kuris įgalina prievadų veidrodinį atspindėjimą ir sukuria srauto kopijas, kurias gali naudoti įvairūs stebėjimo įrenginiai. Šie įrenginiai įdiegiami tinklo kelyje toje vietoje, kurią reikia stebėti, ir kopijuoja duomenų IP paketus bei siunčia juos tinklo stebėjimo įrankiui. Tinklo TAP įrenginio prieigos taško pasirinkimas priklauso nuo tinklo srauto paskirties – duomenų rinkimo priežasčių, įprastinio analizės ir vėlavimų stebėjimo, įsilaužimų aptikimo ir kt. Tinklo TAP įrenginiai gali rinkti ir veidrodiniu atspindžiu atvaizduoti duomenų srautus 1G iki 100G greičiu.
Šie įrenginiai pasiekia srautą be tinklo TAP įrenginio, kuris jokiu būdu modifikuoja paketų srautą, nepriklausomai nuo duomenų srauto greičio. Tai reiškia, kad tinklo srautas nėra stebimas ir jam netaikomas prievadų veidrodinis atspindėjimas, o tai yra labai svarbu norint išlaikyti duomenų vientisumą, kai jie nukreipiami į saugumo ir analizės įrankius.
Tai užtikrina, kad tinklo periferiniai įrenginiai stebėtų srauto kopijas, o tinklo TAP įrenginiai veiktų kaip stebėtojai. Pateikdami savo duomenų kopiją bet kuriam/visiems prijungtiems įrenginiams, gaunate visišką matomumą tinklo taške. Jei tinklo TAP įrenginys arba stebėjimo įrenginys sugenda, žinote, kad srautas nebus paveiktas, todėl operacinė sistema išliks saugi ir pasiekiama.
Tuo pačiu metu jis tampa pagrindiniu tinklo TAP įrenginių taikiniu. Prieiga prie paketų visada gali būti užtikrinama nepertraukiant srauto tinkle, o šie matomumo sprendimai taip pat gali spręsti sudėtingesnius atvejus. Įrankių, pradedant naujos kartos užkardomis ir baigiant duomenų nutekėjimo apsauga, programų našumo stebėjimu, SIEM, skaitmenine teismo ekspertize, IPS, IDS ir kitomis, stebėjimo poreikiai verčia tinklo TAP įrenginius tobulėti.
Be pilnos srauto kopijos pateikimo ir prieinamumo palaikymo, TAP įrenginiai gali teikti šias paslaugas.
1. Filtruokite paketus, kad padidintumėte tinklo stebėjimo našumą
Vien tai, kad tinklo TAP įrenginys tam tikru momentu gali sukurti 100 % paketo kopiją, dar nereiškia, kad kiekviena stebėjimo ir saugumo priemonė turi matyti visą kopiją. Srauto perdavimas visoms tinklo stebėjimo ir saugumo priemonėms realiuoju laiku sukels tik perkrovą, o tai pakenks įrankių ir tinklo našumui.
Tinkamo tinklo TAP įrenginio įrengimas gali padėti filtruoti paketus, kai jie nukreipiami į stebėjimo įrankį, ir paskirstyti tinkamus duomenis tinkamam įrankiui. Tokių įrankių pavyzdžiai: įsilaužimų aptikimo sistemos (IDS), duomenų praradimo prevencijos sistemos (DLP), saugumo informacijos ir įvykių valdymas (SIEM), teismo ekspertizės analizė ir daugelis kitų.
2. Sujungti ryšiai efektyviam tinklų kūrimui
Didėjant tinklo stebėjimo ir saugumo reikalavimams, tinklo inžinieriai turi rasti būdų, kaip panaudoti esamus IT biudžetus, kad atliktų daugiau užduočių. Tačiau tam tikru momentu nebegalima nuolat pridėti naujų įrenginių prie tinklo ir didinti jo sudėtingumo. Būtina maksimaliai išnaudoti stebėjimo ir saugumo įrankius.
Tinklo TAP įrenginiai gali padėti apjungdami kelis tinklo srautus, nukreiptus į rytus ir vakarus, kad paketai būtų pristatyti prijungtiems įrenginiams per vieną prievadą. Tokiu būdu diegiant matomumo įrankius, sumažės reikalingų stebėjimo įrankių skaičius. Kadangi duomenų srautas rytų-vakarų kryptimi duomenų centruose ir tarp duomenų centrų toliau auga, tinklo TAP įrenginių poreikis yra būtinas norint išlaikyti visų matmenų srautų matomumą dideliuose duomenų kiekiuose.
Susijęs straipsnis, kuris gali jus sudominti, apsilankykite čia:Kaip užfiksuoti tinklo srautą? „Network Tap“ ir „Port Mirror“
Įrašo laikas: 2024 m. spalio 24 d.
