Sissejuhatus
Võrguliikluse kogumine ja analüüs on kõige tõhusam viis võrgukasutajate käitumisnäitajate ja -parameetrite esmaseks saamiseks. Andmekeskuste Q toimimise ja hoolduse pideva täiustamisega on võrguliikluse kogumine ja analüüs muutunud andmekeskuse infrastruktuuri lahutamatuks osaks. Praegusest tööstuslikust kasutusest alates toimub võrguliikluse kogumine enamasti võrguseadmete abil, mis toetavad möödaviiguliikluse peegeldamist. Liikluse kogumiseks on vaja luua ulatuslik, mõistlik ja tõhus liikluse kogumise võrk, selline liikluse kogumine aitab optimeerida võrgu ja ettevõtte tulemuslikkuse näitajaid ning vähendada rikete tõenäosust.
Liikluse kogumise võrku võib pidada sõltumatuks võrguks, mis koosneb liikluse kogumise seadmetest ja on juurutatud paralleelselt tootmisvõrguga. See kogub iga võrguseadme pildiliiklust ja koondab pildiliikluse vastavalt piirkondlikule ja arhitektuurilisele tasemele. See kasutab liikluse kogumise seadmetes olevat liikluse filtreerimise vahetusalarmi, et realiseerida andmete täielik liinikiirus 2-4 tingimusliku filtreerimise kihi jaoks, eemaldades duplikaatpakette, kärpides pakette ja tehes muid täiustatud funktsionaalseid toiminguid, ning seejärel saadab andmed igale liikluse analüüsi süsteemile. Liikluse kogumise võrk suudab igale seadmele täpselt saata spetsiifilisi andmeid vastavalt iga süsteemi andmenõuetele ja lahendada probleemi, et traditsioonilisi peegelandmeid ei saa filtreerida ja saata, mis tarbib võrgulülitite töötlemisjõudlust. Samal ajal realiseerib liikluse kogumise võrgu liikluse filtreerimise ja vahetuse mootor andmete filtreerimist ja edastamist väikese viivituse ja suure kiirusega, tagades liikluse kogumise võrgu kogutud andmete kvaliteedi ja pakkudes head andmebaasi järgnevatele liikluse analüüsi seadmetele.
Algsele lingile avalduva mõju vähendamiseks saadakse algse liikluse koopia tavaliselt kiirejaotuse, SPAN-i või TAP-i abil.
Passiivne võrguühendus (optiline jaotur)
Liikluse koopia saamiseks valguse jagamise abil on vaja valguse jagajat. Valguse jagaja on passiivne optiline seade, mis suudab optilise signaali võimsusintensiivsust vastavalt vajalikule proportsioonile ümber jaotada. Jagaja suudab valgust jagada 1-lt 2-le, 1-lt 4-le ja 1-le mitmele kanalile. Algsele lingile avalduva mõju vähendamiseks kasutab andmekeskus tavaliselt optilise jagamise suhet 80:20 või 70:30, kus 70/80 osa optilisest signaalist saadetakse tagasi algsele lingile. Praegu kasutatakse optilisi jagajaid laialdaselt võrgu jõudluse analüüsis (NPM/APM), auditeerimissüsteemides, kasutajakäitumise analüüsis, võrgu sissetungimise tuvastamisel ja muudes stsenaariumides.
Eelised:
1. Kõrge töökindlus, passiivne optiline seade;
2. Ei hõiva kommutaatori porti, sõltumatu seade, järgnev võib olla hea laienemine;
3. Lüliti konfiguratsiooni pole vaja muuta, see ei mõjuta teisi seadmeid;
4. Täielik liikluse kogumine, ilma lüliti pakettide filtreerimiseta, sh veapaketid jne.
Puudused:
1. Vajadus lihtsa võrgu ümberlülituse, selgroolüli fiiberpistiku ja optilise jaoturiga ühendamise valimise järele vähendab mõnede selgroolülide optilist võimsust.
SPAN (pordi peegel)
SPAN on funktsioon, mis on kommutaatoriga kaasas, seega tuleb see lihtsalt kommutaatoril konfigureerida. See funktsioon mõjutab aga kommutaatori jõudlust ja põhjustab pakettide kadu andmete ülekoormuse korral.
Eelised:
1. Lisaseadmeid pole vaja lisada, konfigureerige lüliti vastava pildi replikatsiooni väljundpordi suurendamiseks.
Puudused:
1. Hõivata lüliti port
2. Lülitid vajavad konfigureerimist, mis hõlmab koostööd kolmandate osapoolte tootjatega, mis suurendab võrgu rikke võimalikku ohtu.
3. Peegelliikluse replikatsioon mõjutab portide ja kommutaatorite jõudlust.
Aktiivne võrk TAP (TAP-i koondaja)
Võrgu-TAP on väline võrguseade, mis võimaldab portide peegeldamist ja loob liiklusest koopia, mida saavad kasutada erinevad jälgimisseadmed. Need seadmed sisestatakse võrguteele kohta, mida tuleb jälgida, ning kopeerivad IP-andmepaketid ja saadavad need võrgu jälgimistööriistale. Võrgu-TAP-seadme pääsupunkti valik sõltub võrguliikluse fookusest – andmete kogumise põhjused, analüüsi ja viivituste rutiinne jälgimine, sissetungimise tuvastamine jne. Võrgu-TAP-seadmed saavad koguda ja peegeldada andmevooge kiirusega 1G kuni 100G.
Need seadmed pääsevad liiklusele ligi ilma, et võrgu TAP-seade muudaks paketivoogu mingil moel, olenemata andmeliikluse kiirusest. See tähendab, et võrguliiklust ei jälgita ega pordi peegeldatakse, mis on oluline andmete terviklikkuse säilitamiseks nende suunamisel turva- ja analüüsitööriistadele.
See tagab, et võrgu välisseadmed jälgivad liikluse koopiaid, nii et võrgu TAP-seadmed toimivad vaatlejatena. Andmete koopia edastamisega mis tahes/kõigile ühendatud seadmetele saate võrgupunktis täieliku nähtavuse. Võrgu TAP-seadme või jälgimisseadme rikke korral teate, et liiklust see ei mõjuta, tagades operatsioonisüsteemi turvalisuse ja kättesaadavuse.
Samal ajal saab sellest võrgu TAP-seadmete üldine sihtmärk. Juurdepääsu pakettidele saab alati pakkuda ilma võrguliiklust katkestamata ning need nähtavuslahendused saavad lahendada ka keerukamaid juhtumeid. Tööriistade jälgimisvajadused alates järgmise põlvkonna tulemüüridest kuni andmete lekke kaitse, rakenduste jõudluse jälgimise, SIEM-i, digitaalse kohtuekspertiisi, IPS-i, IDS-i ja muuni sunnivad võrgu TAP-seadmeid arenema.
Lisaks liikluse täieliku koopia pakkumisele ja kättesaadavuse säilitamisele saavad TAP-seadmed pakkuda järgmist.
1. Filtreerige pakette võrgu jälgimise jõudluse maksimeerimiseks
See, et Network TAP-seade suudab mingil hetkel luua paketi 100% koopia, ei tähenda, et iga jälgimis- ja turbetööriist peaks kogu asja nägema. Liikluse voogedastus kõigile võrgu jälgimis- ja turbetööriistadele reaalajas toob kaasa ainult ülejärjestamise, mis kahjustab nii tööriistade kui ka võrgu jõudlust.
Õige võrgu TAP-seadme paigutamine aitab filtreerida pakette, kui need suunatakse jälgimistööriista, jagades õigeid andmeid õigesse tööriista. Selliste tööriistade näideteks on sissetungimise tuvastamise süsteemid (IDS), andmete kadumise ennetamise süsteemid (DLP), turvateabe ja sündmuste haldus (SIEM), kohtuekspertiisi analüüs ja palju muud.
2. Koondlingid tõhusaks võrgustike loomiseks
Võrgu jälgimise ja turvalisuse nõuete kasvades peavad võrguinsenerid leidma viise, kuidas olemasolevaid IT-eelarveid kasutada rohkemate ülesannete täitmiseks. Kuid mingil hetkel ei saa enam uusi seadmeid lisada ja võrku keerukust suurendada. Oluline on jälgimis- ja turvatööriistade kasutamist maksimeerida.
Võrgu-TAP-seadmed saavad aidata mitme võrguliikluse (nii ida- kui ka läänesuunalise) koondamise abil, et edastada pakette ühendatud seadmetele ühe pordi kaudu. Nähtavusvahendite selline juurutamine vähendab vajalike jälgimisvahendite arvu. Kuna ida-lääne suunaline andmeliiklus andmekeskustes ja andmekeskuste vahel jätkuvalt kasvab, on võrgu-TAP-seadmete vajadus oluline, et säilitada nähtavus igas dimensioonis toimuvate voogude puhul suurte andmemahtude korral.
Seotud artikkel võib teile huvi pakkuda, külastage palun seda:Kuidas võrguliiklust jäädvustada? Network Tap vs Port Mirror
Postituse aeg: 24. okt 2024
