Kodėl jūsų tinklo srautui fiksuoti reikalingi tinklo čiaupai ir tinklo paketų brokeriai? (2 dalis)

Įvadas

Tinklo srauto surinkimas ir analizė yra veiksmingiausia priemonė gauti pirmų rankų tinklo vartotojų elgsenos rodiklius ir parametrus. Nuolat tobulinant duomenų centro Q veikimą ir priežiūrą, tinklo srauto rinkimas ir analizė tapo nepakeičiama duomenų centro infrastruktūros dalimi. Atsižvelgiant į dabartinį pramonės naudojimą, tinklo srauto rinkimas dažniausiai atliekamas naudojant tinklo įrangą, palaikančią apėjimo srauto veidrodį. Srauto rinkimas turi sukurti visapusišką aprėptį, pagrįstą ir veiksmingą srauto surinkimo tinklą, toks srauto surinkimas gali padėti optimizuoti tinklo ir verslo veiklos rodiklius bei sumažinti nesėkmės tikimybę.

Srauto surinkimo tinklas gali būti laikomas nepriklausomu tinklu, sudarytu iš srauto surinkimo įrenginių ir įdiegtu lygiagrečiai su gamybos tinklu. Jis renka kiekvieno tinklo įrenginio vaizdo srautą ir apibendrina vaizdų srautą pagal regioninį ir architektūrinį lygius. Jis naudoja srauto filtravimo mainų aliarmą srauto gavimo įrangoje, kad realizuotų visą duomenų linijos greitį 2–4 sąlyginio filtravimo lygmenyse, pašalintų pasikartojančius paketus, sutrumpintų paketus ir atliktų kitas išplėstines funkcines operacijas, o tada siunčia duomenis į kiekvieną srautą. analizės sistema. Srauto rinkimo tinklas gali tiksliai siųsti konkrečius duomenis į kiekvieną įrenginį pagal kiekvienos sistemos duomenų reikalavimus ir išspręsti problemą, kad tradicinių veidrodinių duomenų negalima filtruoti ir išsiųsti, o tai sunaudoja tinklo jungiklių apdorojimo našumą. Tuo pačiu metu srauto rinkimo tinklo srauto filtravimo ir mainų variklis realizuoja duomenų filtravimą ir persiuntimą su mažu vėlavimu ir dideliu greičiu, užtikrina srauto rinkimo tinklo renkamų duomenų kokybę ir suteikia gerą duomenų pagrindą tolesnė eismo analizės įranga.

eismo stebėjimo problema

Siekiant sumažinti poveikį pradinei nuorodai, pradinio srauto kopija paprastai gaunama naudojant pluošto padalijimą, SPAN arba TAP.

Pasyvus tinklo palietimas (optinis skirstytuvas)

Norint naudoti šviesos skaidymą, norint gauti eismo kopiją, reikalingas šviesos skirstytuvo įtaisas. Šviesos skirstytuvas yra pasyvus optinis įtaisas, galintis perskirstyti optinio signalo galios intensyvumą pagal reikiamą proporciją. Skirstytuvas gali padalyti šviesą nuo 1 iki 2, 1 iki 4 ir 1 į kelis kanalus. Siekiant sumažinti poveikį pradinei nuorodai, duomenų centras paprastai taiko 80:20, 70:30 optinio padalijimo santykį, kai 70,80 optinio signalo dalis siunčiama atgal į pradinę nuorodą. Šiuo metu optiniai skirstytuvai plačiai naudojami tinklo našumo analizei (NPM/APM), audito sistemai, vartotojų elgsenos analizei, tinklo įsilaužimo aptikimui ir kitiems scenarijams.

Užfiksavimo piktograma

Privalumai:

1. Didelis patikimumas, pasyvus optinis įrenginys;

2. Neužima jungiklio prievado, nepriklausomos įrangos, vėliau gali būti geras išsiplėtimas;

3. Nereikia keisti jungiklio konfigūracijos, jokio poveikio kitai įrangai;

4. Pilnas srauto surinkimas, be perjungimo paketų filtravimo, įskaitant klaidų paketus ir kt.

Trūkumai:

1. Dėl paprasto tinklo perjungimo, pagrindinio ryšio šviesolaidžio kištuko ir optinio skirstytuvo rinkimo sumažės kai kurių pagrindinių jungčių optinė galia.

SPAN (prievado veidrodis)

SPAN yra funkcija, kuri pateikiama su pačiu jungikliu, todėl ją tereikia sukonfigūruoti jungiklyje. Tačiau ši funkcija turės įtakos jungiklio veikimui ir sukels paketų praradimą, kai duomenys bus perkrauti.

tinklo jungiklio prievado veidrodis

Privalumai:

1. Nebūtina pridėti papildomos įrangos, sukonfigūruoti jungiklį, kad padidintumėte atitinkamą vaizdo replikacijos išvesties prievadą

Trūkumai:

1. Užimkite jungiklio prievadą

2. Reikia sukonfigūruoti jungiklius, o tai apima bendrą koordinavimą su trečiųjų šalių gamintojais, padidina galimą tinklo gedimo riziką

3. Veidrodinio srauto replikacija turi įtakos prievadų ir jungiklių veikimui.

Aktyvus tinklo TAP (TAP agregatorius)

Tinklo TAP yra išorinis tinklo įrenginys, kuris įgalina prievado atspindėjimą ir sukuria srauto kopiją, skirtą naudoti įvairiems stebėjimo įrenginiams. Šie įrenginiai įvedami į tinklo kelio vietą, kurią reikia stebėti, ir nukopijuoja duomenų IP paketus ir siunčia juos į tinklo stebėjimo įrankį. Prieigos taško pasirinkimas Network TAP įrenginiui priklauso nuo tinklo srauto dėmesio – duomenų rinkimo priežasčių, įprastinio analizės ir vėlavimų stebėjimo, įsibrovimo aptikimo ir kt. Tinklo TAP įrenginiai gali rinkti ir atspindėti duomenų srautus 1G greičiu iki 100G.

Šie įrenginiai pasiekia srautą, tinklo TAP įrenginiui jokiu būdu nekeičiant paketų srauto, nepaisant duomenų srauto greičio. Tai reiškia, kad tinklo srautui netaikomas stebėjimas ir prievadų atspindėjimas, o tai būtina norint išlaikyti duomenų vientisumą nukreipiant juos į saugos ir analizės įrankius.

Tai užtikrina, kad tinklo periferiniai įrenginiai stebėtų srauto kopijas, kad tinklo TAP įrenginiai veiktų kaip stebėtojai. Pateikdami savo duomenų kopiją į bet kurį / visus prijungtus įrenginius, tinklo taške galėsite matyti visą informaciją. Jei tinklo TAP įrenginys arba stebėjimo įrenginys sugenda, žinote, kad srautas nebus paveiktas, todėl operacinė sistema išliks saugi ir prieinama.

Tuo pačiu metu jis tampa bendru tinklo TAP įrenginių taikiniu. Prieiga prie paketų visada gali būti suteikta nenutraukiant srauto tinkle, o šie matomumo sprendimai taip pat gali būti naudojami sudėtingesniems atvejams. Įrankių stebėjimo poreikiai – nuo ​​naujos kartos ugniasienės iki apsaugos nuo duomenų nutekėjimo, taikomųjų programų našumo stebėjimo, SIEM, skaitmeninės ekspertizės, IPS, IDS ir kt., verčia tinklo TAP įrenginius tobulėti.

TAP įrenginiai gali ne tik pateikti visą srauto kopiją ir palaikyti prieinamumą, bet ir teikti toliau nurodytas funkcijas.

1. Filtruokite paketus, kad padidintumėte tinklo stebėjimo našumą

Vien todėl, kad tinklo TAP įrenginys tam tikru momentu gali sukurti 100% paketo kopiją, dar nereiškia, kad kiekvienas stebėjimo ir saugos įrankis turi matyti viską. Srautas srautas į visus tinklo stebėjimo ir saugos įrankius realiuoju laiku sukels tik perteklinį užsakymą, todėl pablogės įrankių ir tinklo našumas.

Tinkamo tinklo TAP įrenginio įdėjimas gali padėti filtruoti paketus, nukreiptus į stebėjimo įrankį, paskirstant tinkamus duomenis tinkamam įrankiui. Tokių įrankių pavyzdžiai yra įsibrovimo aptikimo sistemos (IDS), duomenų praradimo prevencija (DLP), saugos informacijos ir įvykių valdymas (SIEM), kriminalistinė analizė ir daugelis kitų.

2. Suvestinės nuorodos efektyviam tinklų kūrimui

Didėjant tinklo stebėjimo ir saugos reikalavimams, tinklo inžinieriai turi rasti būdų, kaip panaudoti esamus IT biudžetus, kad atliktų daugiau užduočių. Tačiau tam tikru momentu jūs negalite nuolat pridėti naujų įrenginių ir padidinti tinklo sudėtingumą. Labai svarbu kuo labiau išnaudoti stebėjimo ir saugos priemones.

Tinklo TAP įrenginiai gali padėti sukaupti kelis tinklo srautus, nukreiptus į rytus ir į vakarus, kad būtų pristatyti paketai į prijungtus įrenginius per vieną prievadą. Tokiu būdu įdiegus matomumo įrankius sumažės reikalingų stebėjimo priemonių skaičius. Kadangi duomenų srautas rytų ir vakarų kryptimi ir toliau auga duomenų centruose ir tarp duomenų centrų, tinklo TAP įrenginių reikalavimas yra būtinas norint išlaikyti visų matmenų srautų matomumą dideliame duomenų kiekyje.

ML-NPB-5690 (8)

Susijęs straipsnis, kuris gali būti įdomus, apsilankykite čia:Kaip užfiksuoti tinklo srautą? Network Tap vs Port Mirror


Paskelbimo laikas: 2024-10-24