Einführung
Die Erfassung und Analyse des Netzwerkverkehrs ist das effektivste Mittel, um Indikatoren und Parameter des Netzwerkbenutzerverhaltens aus erster Hand zu erhalten. Mit der kontinuierlichen Verbesserung von Betrieb und Wartung des Rechenzentrums Q ist die Erfassung und Analyse des Netzwerkverkehrs zu einem unverzichtbaren Bestandteil der Rechenzentrumsinfrastruktur geworden. In der aktuellen Branchenanwendung wird die Erfassung des Netzwerkverkehrs meist durch Netzwerkgeräte mit Bypass-Verkehrsspiegelung realisiert. Die Verkehrserfassung erfordert ein flächendeckendes, sinnvolles und effektives Netzwerk zur Verkehrserfassung. Eine solche Verkehrserfassung kann dazu beitragen, Netzwerk- und Geschäftsleistungsindikatoren zu optimieren und das Ausfallrisiko zu reduzieren.
Das Verkehrserfassungsnetzwerk ist ein unabhängiges Netzwerk aus Verkehrserfassungsgeräten, das parallel zum Produktionsnetzwerk eingesetzt wird. Es erfasst den Bildverkehr jedes Netzwerkgeräts und aggregiert ihn nach regionalen und architektonischen Ebenen. Mithilfe des Verkehrsfilter-Austauschalarms in der Verkehrserfassungsausrüstung wird die volle Datenleitungsgeschwindigkeit für zwei bis vier Ebenen bedingter Filterung erreicht, doppelte Pakete entfernt, Pakete gekürzt und weitere erweiterte Funktionsvorgänge ausgeführt. Anschließend werden die Daten an die einzelnen Verkehrsanalysesysteme gesendet. Das Verkehrserfassungsnetzwerk kann präzise und den jeweiligen Systemanforderungen entsprechende Daten an jedes Gerät senden und so das Problem lösen, dass herkömmliche Spiegeldaten nicht gefiltert und gesendet werden können, was die Verarbeitungsleistung der Netzwerk-Switches beeinträchtigt. Gleichzeitig ermöglicht die Verkehrsfilter- und -austausch-Engine des Verkehrserfassungsnetzwerks die Filterung und Weiterleitung der Daten mit geringer Verzögerung und hoher Geschwindigkeit. Dies gewährleistet die Qualität der vom Verkehrserfassungsnetzwerk erfassten Daten und bietet eine solide Datengrundlage für die nachfolgenden Verkehrsanalysegeräte.
Um die Auswirkungen auf die ursprüngliche Verbindung zu verringern, wird üblicherweise mittels Strahlteilung, SPAN oder TAP eine Kopie des ursprünglichen Datenverkehrs erstellt.
Passiver Netzwerk-Tap (optischer Splitter)
Die Verwendung von Lichtaufteilung zur Erstellung einer Verkehrskopie erfordert die Verwendung eines Lichtsplitters. Der Lichtsplitter ist ein passives optisches Gerät, das die Leistungsintensität des optischen Signals entsprechend dem gewünschten Verhältnis umverteilen kann. Der Splitter kann Licht von 1 auf 2, 1 auf 4 und 1 auf mehrere Kanäle aufteilen. Um die Auswirkungen auf die ursprüngliche Verbindung zu reduzieren, verwendet das Rechenzentrum üblicherweise ein optisches Aufteilungsverhältnis von 80:20 bzw. 70:30, wobei ein Anteil von 70:80 des optischen Signals an die ursprüngliche Verbindung zurückgesendet wird. Optische Splitter werden derzeit häufig in der Netzwerkleistungsanalyse (NPM/APM), in Auditsystemen, der Benutzerverhaltensanalyse, der Erkennung von Netzwerkangriffen und anderen Szenarien eingesetzt.
Vorteile:
1. Hohe Zuverlässigkeit, passives optisches Gerät;
2. Belegt nicht den Switch-Port, unabhängiges Gerät, nachfolgende Erweiterung möglich;
3. Die Switch-Konfiguration muss nicht geändert werden, es gibt keine Auswirkungen auf andere Geräte.
4. Vollständige Verkehrserfassung, keine Switch-Paketfilterung, einschließlich Fehlerpakete usw.
Nachteile:
1. Die Notwendigkeit einer einfachen Netzwerkumschaltung, des Anschlusses und der Einwahl der Glasfaserkabel an den optischen Splitter der Backbone-Verbindung, reduziert die optische Leistung einiger Backbone-Verbindungen.
SPAN (Port Mirror)
SPAN ist eine Funktion, die im Switch selbst integriert ist und daher nur dort konfiguriert werden muss. Diese Funktion beeinträchtigt jedoch die Leistung des Switches und führt bei Datenüberlastung zu Paketverlusten.
Vorteile:
1. Es ist nicht notwendig, zusätzliche Geräte hinzuzufügen, konfigurieren Sie den Switch, um den entsprechenden Bildreplikations-Ausgangsport zu erhöhen
Nachteile:
1. Besetzen Sie den Switch-Port
2. Switches müssen konfiguriert werden, was eine gemeinsame Abstimmung mit Drittherstellern erfordert, was das potenzielle Risiko eines Netzwerkausfalls erhöht
3. Die Replikation des Spiegelverkehrs wirkt sich auf die Port- und Switch-Leistung aus.
Aktives Netzwerk-TAP (TAP-Aggregator)
Ein Netzwerk-TAP ist ein externes Netzwerkgerät, das Portspiegelung ermöglicht und eine Kopie des Datenverkehrs für verschiedene Überwachungsgeräte erstellt. Diese Geräte werden an einer zu überwachenden Stelle im Netzwerkpfad eingesetzt, kopieren die IP-Datenpakete und senden sie an das Netzwerküberwachungstool. Die Wahl des Zugriffspunkts für das Netzwerk-TAP-Gerät hängt vom Schwerpunkt des Netzwerkverkehrs ab – Datenerfassung, regelmäßige Überwachung von Analysen und Verzögerungen, Einbruchserkennung usw. Netzwerk-TAP-Geräte können Datenströme mit einer Geschwindigkeit von 1 bis 100 Gbit/s erfassen und spiegeln.
Diese Geräte greifen auf den Datenverkehr zu, ohne dass das Netzwerk-TAP-Gerät den Paketfluss in irgendeiner Weise verändert, unabhängig von der Datenverkehrsrate. Das bedeutet, dass der Netzwerkverkehr keiner Überwachung und Portspiegelung unterliegt, was für die Wahrung der Datenintegrität bei der Weiterleitung an Sicherheits- und Analysetools unerlässlich ist.
Es stellt sicher, dass die Netzwerkperipheriegeräte die Datenverkehrskopien überwachen, sodass die Netzwerk-TAP-Geräte als Beobachter fungieren. Indem Sie eine Kopie Ihrer Daten an alle angeschlossenen Geräte übertragen, erhalten Sie volle Transparenz am Netzwerkpunkt. Bei einem Ausfall eines Netzwerk-TAP-Geräts oder eines Überwachungsgeräts wissen Sie, dass der Datenverkehr nicht beeinträchtigt wird und das Betriebssystem sicher und verfügbar bleibt.
Gleichzeitig wird es zum Hauptziel von Netzwerk-TAP-Geräten. Der Zugriff auf Pakete kann jederzeit gewährleistet werden, ohne den Netzwerkverkehr zu unterbrechen, und diese Transparenzlösungen können auch komplexere Fälle abdecken. Die Überwachungsanforderungen von Tools wie Next-Generation-Firewalls, Schutz vor Datenlecks, Anwendungsleistungsüberwachung, SIEM, digitaler Forensik, IPS, IDS und mehr zwingen Netzwerk-TAP-Geräte zur Weiterentwicklung.
Neben der Bereitstellung einer vollständigen Kopie des Datenverkehrs und der Aufrechterhaltung der Verfügbarkeit können TAP-Geräte Folgendes bieten.
1. Filtern Sie Pakete, um die Netzwerküberwachungsleistung zu maximieren
Nur weil ein Netzwerk-TAP-Gerät irgendwann eine 100%ige Kopie eines Pakets erstellen kann, bedeutet das nicht, dass jedes Überwachungs- und Sicherheitstool das gesamte Paket sehen muss. Das Streaming des Datenverkehrs an alle Netzwerküberwachungs- und Sicherheitstools in Echtzeit führt lediglich zu einer Überbuchung und beeinträchtigt somit die Leistung der Tools und des Netzwerks.
Die Platzierung des richtigen Netzwerk-TAP-Geräts kann dazu beitragen, Pakete zu filtern, wenn sie an das Überwachungstool weitergeleitet werden, und so die richtigen Daten an das richtige Tool zu verteilen. Beispiele für solche Tools sind Intrusion Detection Systems (IDS), Data Loss Prevention (DLP), Security Information and Event Management (SIEM), forensische Analysen und viele mehr.
2. Aggregierte Links für effizientes Networking
Da die Anforderungen an Netzwerküberwachung und -sicherheit steigen, müssen Netzwerkingenieure Wege finden, vorhandene IT-Budgets für mehr Aufgaben zu nutzen. Doch irgendwann reicht es nicht mehr aus, ständig neue Geräte hinzuzufügen und die Komplexität des Netzwerks zu erhöhen. Daher ist es wichtig, Überwachungs- und Sicherheitstools optimal zu nutzen.
Netzwerk-TAP-Geräte können helfen, indem sie den gesamten Netzwerkverkehr (Ost- und West-Richtung) aggregieren und Pakete über einen einzigen Port an die angeschlossenen Geräte übermitteln. Der Einsatz von Transparenztools reduziert die Anzahl der benötigten Überwachungstools. Da der Ost-West-Datenverkehr in Rechenzentren und zwischen Rechenzentren weiter zunimmt, sind Netzwerk-TAP-Geräte unerlässlich, um die Transparenz aller Dimensionsflüsse über große Datenmengen hinweg zu gewährleisten.
Verwandte Artikel, die Sie interessieren könnten, finden Sie hier:Wie erfasst man Netzwerkverkehr? Netzwerk-Tap vs. Port-Mirror
Veröffentlichungszeit: 24. Oktober 2024