Einführung
Die Erfassung und Analyse des Netzwerkverkehrs ist die effektivste Methode, um Indikatoren und Parameter des Netzwerkbenutzerverhaltens aus erster Hand zu erhalten. Mit der kontinuierlichen Verbesserung von Betrieb und Wartung des Rechenzentrums Q ist die Erfassung und Analyse des Netzwerkverkehrs zu einem unverzichtbaren Bestandteil der Rechenzentrumsinfrastruktur geworden. In der aktuellen Branchenanwendung wird die Erfassung des Netzwerkverkehrs meist durch Netzwerkgeräte mit Bypass-Verkehrsspiegelung realisiert. Die Verkehrserfassung erfordert ein flächendeckendes, sinnvolles und effektives Netzwerk zur Verkehrserfassung. Eine solche Verkehrserfassung kann dazu beitragen, Netzwerk- und Geschäftsleistungsindikatoren zu optimieren und die Ausfallwahrscheinlichkeit zu reduzieren.
Das Verkehrserfassungsnetzwerk kann als unabhängiges Netzwerk betrachtet werden, das aus Verkehrserfassungsgeräten besteht und parallel zum Produktionsnetzwerk eingesetzt wird. Es erfasst den Bildverkehr jedes Netzwerkgeräts und aggregiert ihn entsprechend der regionalen und architektonischen Ebene. Es nutzt den Verkehrsfilter-Austauschalarm in der Verkehrserfassungsausrüstung, um die volle Leitungsgeschwindigkeit der Daten für zwei bis vier Ebenen der bedingten Filterung zu erreichen, doppelte Pakete zu entfernen, Pakete zu kürzen und andere erweiterte Funktionsvorgänge auszuführen. Anschließend sendet es die Daten an jedes Verkehrsanalysesystem. Das Verkehrserfassungsnetzwerk kann spezifische Daten entsprechend den Datenanforderungen jedes Systems präzise an jedes Gerät senden und das Problem lösen, dass herkömmliche Spiegeldaten nicht gefiltert und gesendet werden können, was die Verarbeitungsleistung von Netzwerk-Switches beeinträchtigt. Gleichzeitig realisiert die Verkehrsfilter- und -austausch-Engine des Verkehrserfassungsnetzwerks die Filterung und Weiterleitung von Daten mit geringer Verzögerung und hoher Geschwindigkeit, stellt die Qualität der vom Verkehrserfassungsnetzwerk erfassten Daten sicher und bietet eine solide Datengrundlage für die nachfolgenden Verkehrsanalysegeräte.
Um die Auswirkungen auf die ursprüngliche Verbindung zu verringern, wird üblicherweise mittels Strahlteilung, SPAN oder TAP eine Kopie des ursprünglichen Datenverkehrs erstellt.
Passiver Netzwerk-Tap (optischer Splitter)
Die Verwendung von Lichtaufteilung zur Erstellung von Verkehrskopien erfordert die Unterstützung eines Lichtteilers. Der Lichtteiler ist ein passives optisches Gerät, das die Leistungsintensität des optischen Signals entsprechend dem gewünschten Verhältnis umverteilen kann. Der Splitter kann Licht von 1 auf 2, 1 auf 4 und 1 auf mehrere Kanäle aufteilen. Um die Auswirkungen auf die ursprüngliche Verbindung zu reduzieren, verwendet das Rechenzentrum üblicherweise ein optisches Aufteilungsverhältnis von 80:20, 70:30, wobei 70, 80 % des optischen Signals an die ursprüngliche Verbindung zurückgesendet werden. Optische Splitter werden derzeit häufig in der Netzwerkleistungsanalyse (NPM/APM), in Auditsystemen, in der Benutzerverhaltensanalyse, in der Netzwerk-Intrusion-Detection und in anderen Szenarien eingesetzt.
Vorteile:
1. Hohe Zuverlässigkeit, passives optisches Gerät;
2. Besetzt den Switch-Port nicht, unabhängiges Gerät, anschließend kann eine gute Erweiterung erfolgen;
3. Keine Notwendigkeit, die Switch-Konfiguration zu ändern, keine Auswirkungen auf andere Geräte;
4. Vollständige Verkehrserfassung, keine Switch-Paketfilterung, einschließlich Fehlerpakete usw.
Nachteile:
1. Die Notwendigkeit einer einfachen Netzwerkumschaltung, des Anschlusses und der Einwahl der Glasfaserkabel an den optischen Splitter der Backbone-Verbindung reduziert die optische Leistung einiger Backbone-Verbindungen.
SPAN (Port Mirror)
SPAN ist eine Funktion, die im Switch selbst enthalten ist und daher nur dort konfiguriert werden muss. Diese Funktion beeinträchtigt jedoch die Leistung des Switches und führt bei Datenüberlastung zu Paketverlusten.
Vorteile:
1. Es ist nicht notwendig, zusätzliche Geräte hinzuzufügen, konfigurieren Sie den Switch, um den entsprechenden Bildreplikations-Ausgangsport zu erhöhen
Nachteile:
1. Besetzen Sie den Switch-Port
2. Switches müssen konfiguriert werden, was eine gemeinsame Abstimmung mit Drittherstellern erfordert, was das potenzielle Risiko eines Netzwerkausfalls erhöht
3. Die Replikation des Spiegelverkehrs wirkt sich auf die Port- und Switch-Leistung aus.
Aktives Netzwerk-TAP (TAP-Aggregator)
Ein Netzwerk-TAP ist ein externes Netzwerkgerät, das Portspiegelung ermöglicht und eine Kopie des Datenverkehrs für verschiedene Überwachungsgeräte erstellt. Diese Geräte werden an einer zu überwachenden Stelle im Netzwerkpfad eingesetzt, kopieren die IP-Datenpakete und senden sie an das Netzwerküberwachungstool. Die Wahl des Zugriffspunkts für das Netzwerk-TAP-Gerät hängt vom Schwerpunkt des Netzwerkverkehrs ab – Datenerfassung, routinemäßige Überwachung von Analysen und Verzögerungen, Einbruchserkennung usw. Netzwerk-TAP-Geräte können Datenströme mit einer Geschwindigkeit von 1 bis 100 G erfassen und spiegeln.
Diese Geräte greifen auf den Datenverkehr zu, ohne dass das Netzwerk-TAP-Gerät den Paketfluss in irgendeiner Weise verändert, unabhängig von der Datenverkehrsrate. Das bedeutet, dass der Netzwerkverkehr keiner Überwachung und Portspiegelung unterliegt, was für die Wahrung der Datenintegrität bei der Weiterleitung an Sicherheits- und Analysetools unerlässlich ist.
Es stellt sicher, dass die Netzwerkperipheriegeräte die Datenverkehrskopien überwachen, sodass die Netzwerk-TAP-Geräte als Beobachter fungieren. Indem Sie eine Kopie Ihrer Daten an alle angeschlossenen Geräte übertragen, erhalten Sie volle Transparenz am Netzwerkpunkt. Bei einem Ausfall eines Netzwerk-TAP-Geräts oder Überwachungsgeräts wissen Sie, dass der Datenverkehr nicht beeinträchtigt wird und das Betriebssystem sicher und verfügbar bleibt.
Gleichzeitig wird es zum Hauptziel von Netzwerk-TAP-Geräten. Der Zugriff auf Pakete kann jederzeit gewährleistet werden, ohne den Datenverkehr im Netzwerk zu unterbrechen, und diese Transparenzlösungen können auch komplexere Fälle abdecken. Die Überwachungsanforderungen von Tools, die von Firewalls der nächsten Generation über Schutz vor Datenlecks, Anwendungsleistungsüberwachung, SIEM, digitale Forensik, IPS, IDS und mehr reichen, zwingen Netzwerk-TAP-Geräte zur Weiterentwicklung.
Neben der Bereitstellung einer vollständigen Kopie des Datenverkehrs und der Aufrechterhaltung der Verfügbarkeit können TAP-Geräte Folgendes bieten.
1. Filtern Sie Pakete, um die Netzwerküberwachungsleistung zu maximieren
Nur weil ein Netzwerk-TAP-Gerät irgendwann eine 100%ige Kopie eines Pakets erstellen kann, bedeutet das nicht, dass jedes Überwachungs- und Sicherheitstool das gesamte Paket sehen muss. Das Streaming des Datenverkehrs an alle Netzwerküberwachungs- und Sicherheitstools in Echtzeit führt lediglich zu einer Überordnung und beeinträchtigt somit die Leistung der Tools und des Netzwerks.
Durch die Platzierung des richtigen Netzwerk-TAP-Geräts können Pakete beim Weiterleiten an das Überwachungstool gefiltert und die richtigen Daten an das richtige Tool verteilt werden. Beispiele für solche Tools sind Intrusion Detection Systems (IDS), Data Loss Prevention (DLP), Security Information and Event Management (SIEM), forensische Analysen und viele mehr.
2. Aggregierte Links für effizientes Networking
Da die Anforderungen an Netzwerküberwachung und -sicherheit steigen, müssen Netzwerkingenieure Wege finden, vorhandene IT-Budgets für die Bewältigung weiterer Aufgaben zu nutzen. Doch irgendwann reicht es nicht mehr aus, ständig neue Geräte hinzuzufügen und die Komplexität des Netzwerks zu erhöhen. Daher ist es wichtig, Überwachungs- und Sicherheitstools optimal zu nutzen.
Netzwerk-TAP-Geräte können helfen, indem sie den gesamten Netzwerkverkehr (Ost- und West-Richtung) aggregieren und Pakete über einen einzigen Port an die angeschlossenen Geräte übermitteln. Der Einsatz von Transparenztools reduziert die Anzahl der benötigten Überwachungstools. Da der Ost-West-Datenverkehr in Rechenzentren und zwischen Rechenzentren weiter zunimmt, sind Netzwerk-TAP-Geräte unerlässlich, um die Transparenz aller Dimensionsflüsse über große Datenmengen hinweg zu gewährleisten.
Verwandte Artikel, die Sie interessieren könnten, finden Sie hier:Wie erfasst man Netzwerkverkehr? Netzwerk-Tap vs. Port-Mirror
Veröffentlichungszeit: 24. Oktober 2024
