Увод
Прикупљање и анализа мрежног саобраћаја је најефикасније средство за добијање индикатора и параметара понашања корисника мреже из прве руке. Са континуираним побољшањем рада и одржавања дата центара, прикупљање и анализа мрежног саобраћаја постали су неопходни део инфраструктуре дата центра. Од тренутне употребе у индустрији, прикупљање мрежног саобраћаја се углавном остварује помоћу мрежне опреме која подржава bypass traffic mirror. Прикупљање саобраћаја захтева успостављање свеобухватне покривености, разумне и ефикасне мреже за прикупљање саобраћаја, такво прикупљање саобраћаја може помоћи у оптимизацији индикатора учинка мреже и пословања и смањењу вероватноће квара.
Мрежа за прикупљање саобраћаја може се сматрати независном мрежом састављеном од уређаја за прикупљање саобраћаја и постављеном паралелно са производном мрежом. Она прикупља саобраћај слика сваког мрежног уређаја и агрегира саобраћај слика према регионалним и архитектонским нивоима. Користи аларм за филтрирање саобраћаја у опреми за аквизицију саобраћаја како би остварила пуну брзину линије података за 2-4 слоја условног филтрирања, уклањајући дуплиране пакете, скраћујући пакете и обављајући друге напредне функционалне операције, а затим шаље податке сваком систему за анализу саобраћаја. Мрежа за прикупљање саобраћаја може прецизно слати одређене податке сваком уређају у складу са захтевима за подацима сваког система и решавати проблем да се традиционални подаци са огледала не могу филтрирати и послати, што троши перформансе обраде мрежних прекидача. Истовремено, механизам за филтрирање и размену саобраћаја мреже за прикупљање саобраћаја реализује филтрирање и прослеђивање података са малим кашњењем и великом брзином, осигурава квалитет података које прикупља мрежа за прикупљање саобраћаја и пружа добру основу података за накнадну опрему за анализу саобраћаја.
Да би се смањио утицај на оригиналну везу, копија оригиналног саобраћаја се обично добија помоћу раздвајања снопа, SPAN-а или TAP-а.
Пасивни мрежни одвод (оптички разделник)
Начин коришћења раздвајања светлости за добијање копије саобраћаја захтева помоћ уређаја за раздвајање светлости. Раздвајање светлости је пасивни оптички уређај који може да прерасподељује интензитет снаге оптичког сигнала у складу са потребним односом. Раздвајање може да подели светлост са 1 на 2, 1 на 4 и 1 на више канала. Да би се смањио утицај на оригиналну везу, дата центар обично усваја однос оптичког раздвајања од 80:20, 70:30, где се 70,80% удео оптичког сигнала враћа на оригиналну везу. Тренутно се оптички раздвајачи широко користе у анализи перформанси мреже (NPM/APM), системима ревизије, анализи понашања корисника, детекцији упада у мрежу и другим сценаријима.
Предности:
1. Висока поузданост, пасивни оптички уређај;
2. Не заузима порт прекидача, независна опрема, накнадно може бити добро проширење;
3. Нема потребе за модификацијом конфигурације прекидача, нема утицаја на другу опрему;
4. Потпуно прикупљање саобраћаја, без филтрирања пакета комутатора, укључујући пакете грешака итд.
Недостаци:
1. Потреба за једноставним прекидом мреже, повезивањем оптичких влакана основне везе и повезивањем са оптичким разделником, смањиће оптичку снагу неких основних веза.
SPAN (Огледало порта)
SPAN је функција која долази са самим прекидачем, тако да је потребно само да се конфигурише на прекидачу. Међутим, ова функција ће утицати на перформансе прекидача и изазвати губитак пакета када су подаци преоптерећени.
Предности:
1. Није потребно додавати додатну опрему, конфигуришите прекидач да повећа одговарајући излазни порт за репликацију слике
Недостаци:
1. Заузмите порт прекидача
2. Прекидачи морају бити конфигурисани, што подразумева заједничку координацију са произвођачима трећих страна, повећавајући потенцијални ризик од квара мреже
3. Репликација огледалног саобраћаја утиче на перформансе портова и прекидача.
Активни мрежни TAP (TAP агрегатор)
Мрежни TAP је екстерни мрежни уређај који омогућава пресликавање портова и креира копију саобраћаја за коришћење од стране различитих уређаја за праћење. Ови уређаји се постављају на место у мрежној путањи које треба пратити и копирају IP пакете података и шаљу их алату за праћење мреже. Избор приступне тачке за мрежни TAP уређај зависи од фокуса мрежног саобраћаја - разлога прикупљања података, рутинског праћења анализе и кашњења, откривања упада итд. Мрежни TAP уређаји могу прикупљати и пресликавати токове података брзином од 1G до 100G.
Ови уређаји приступају саобраћају без икакве измене тока пакета од стране мрежног TAP уређаја, без обзира на брзину протока података. То значи да мрежни саобраћај није подложан праћењу и пресликавању портова, што је неопходно за одржавање интегритета података приликом њиховог усмеравања ка алатима за безбедност и анализу.
Осигурава да мрежни периферни уређаји прате копије саобраћаја тако да мрежни TAP уређаји делују као посматрачи. Слањем копије ваших података на било који/све повезане уређаје, добијате потпуну видљивост на мрежној тачки. У случају да мрежни TAP уређај или уређај за праћење откаже, знате да саобраћај неће бити погођен, осигуравајући да оперативни систем остане безбедан и доступан.
Истовремено, постаје свеукупни циљ мрежних TAP уређаја. Приступ пакетима може се увек обезбедити без прекидања саобраћаја у мрежи, а ова решења за видљивост могу се позабавити и напреднијим случајевима. Потребе за праћењем алата, од заштитних зидова следеће генерације до заштите од цурења података, праћења перформанси апликација, SIEM-а, дигиталне форензике, IPS-а, IDS-а и још много тога, приморавају мрежне TAP уређаје да се развијају.
Поред пружања комплетне копије саобраћаја и одржавања доступности, TAP уређаји могу да обезбеде следеће.
1. Филтрирајте пакете да бисте максимизирали перформансе праћења мреже
Само зато што мрежни TAP уређај може да креира 100% копију пакета у неком тренутку не значи да сваки алат за праћење и безбедност мора да види целу ствар. Стримовање саобраћаја ка свим алатима за праћење и безбедност мреже у реалном времену ће само резултирати прекомерним редоследом, што ће наштетити перформансама алата и мреже у том процесу.
Постављање правог мрежног TAP уређаја може помоћи у филтрирању пакета када се усмеравају ка алату за праћење, дистрибуирајући праве податке правом алату. Примери таквих алата укључују системе за детекцију упада (IDS), спречавање губитка података (DLP), управљање безбедносним информацијама и догађајима (SIEM), форензичку анализу и многе друге.
2. Агрегирајте линкове за ефикасно умрежавање
Како се захтеви за праћење и безбедност мреже повећавају, мрежни инжењери морају да пронађу начине да искористе постојеће ИТ буџете за обављање више задатака. Али у неком тренутку, не можете стално додавати нове уређаје на стек и повећавати сложеност ваше мреже. Неопходно је максимизирати коришћење алата за праћење и безбедност.
Мрежни TAP уређаји могу помоћи агрегирањем вишеструког мрежног саобраћаја, источног и западног, како би се пакети испоручивали повезаним уређајима преко једног порта. Примена алата за видљивост на овај начин смањиће број потребних алата за праћење. Како источно-западни саобраћај података наставља да расте у дата центрима и између дата центара, потреба за мрежним TAP уређајима је неопходна за одржавање видљивости свих димензионалних токова кроз велике количине података.
Повезани чланак који би вам могао бити занимљив, посетите га овде:Како да снимим мрежни саобраћај? Мрежни тап наспрам огледала порта
Време објаве: 24. октобар 2024.
