Einführung
Die Erfassung und Analyse des Netzwerkverkehrs ist das effektivste Mittel, um Indikatoren und Parameter für das Netzwerkbenutzerverhalten aus erster Hand zu erhalten. Mit der kontinuierlichen Verbesserung des Betriebs und der Wartung von Rechenzentren ist die Erfassung und Analyse des Netzwerkverkehrs zu einem unverzichtbaren Bestandteil der Rechenzentrumsinfrastruktur geworden. In der aktuellen Industrie wird die Erfassung des Netzwerkverkehrs hauptsächlich durch Netzwerkgeräte realisiert, die die Umgehung des Verkehrsspiegels unterstützen. Die Verkehrserfassung muss ein umfassendes, angemessenes und effektives Verkehrserfassungsnetzwerk aufbauen. Eine solche Verkehrserfassung kann dazu beitragen, Netzwerk- und Geschäftsleistungsindikatoren zu optimieren und die Ausfallwahrscheinlichkeit zu verringern.
Das Verkehrserfassungsnetzwerk kann als unabhängiges Netzwerk betrachtet werden, das aus Verkehrserfassungsgeräten besteht und parallel zum Produktionsnetzwerk bereitgestellt wird. Es sammelt den Bildverkehr jedes Netzwerkgeräts und aggregiert den Bildverkehr entsprechend der regionalen und architektonischen Ebene. Es nutzt den Verkehrsfilter-Austauschalarm in der Verkehrserfassungsausrüstung, um die volle Leitungsgeschwindigkeit der Daten für 2–4 Schichten bedingter Filterung zu realisieren, doppelte Pakete zu entfernen, Pakete zu kürzen und andere erweiterte Funktionsvorgänge durchzuführen, und sendet die Daten dann an jeden Verkehr Analysesystem. Das Verkehrserfassungsnetzwerk kann spezifische Daten entsprechend den Datenanforderungen jedes Systems genau an jedes Gerät senden und das Problem lösen, dass die herkömmlichen Spiegeldaten nicht gefiltert und gesendet werden können, was die Verarbeitungsleistung von Netzwerk-Switches verbraucht. Gleichzeitig realisiert die Verkehrsfilter- und Austausch-Engine des Verkehrssammelnetzwerks die Filterung und Weiterleitung von Daten mit geringer Verzögerung und hoher Geschwindigkeit, stellt die Qualität der vom Verkehrssammelnetzwerk gesammelten Daten sicher und bietet eine gute Datengrundlage dafür anschließende Verkehrsanalysegeräte.
Um die Auswirkungen auf den Originallink zu reduzieren, wird üblicherweise mittels Beamsplitting, SPAN oder TAP eine Kopie des Originalverkehrs gewonnen.
Passiver Netzwerkabgriff (optischer Splitter)
Die Verwendung der Lichtteilung zur Erstellung einer Verkehrskopie erfordert die Hilfe eines Lichtteilergeräts. Der Lichtteiler ist ein passives optisches Gerät, das die Leistungsintensität des optischen Signals entsprechend dem erforderlichen Anteil umverteilen kann. Der Splitter kann Licht von 1 auf 2, 1 auf 4 und 1 auf mehrere Kanäle aufteilen. Um die Auswirkungen auf die ursprüngliche Verbindung zu verringern, verwendet das Rechenzentrum normalerweise das optische Aufteilungsverhältnis von 80:20, 70:30, bei dem ein Anteil von 70,80 des optischen Signals an die ursprüngliche Verbindung zurückgesendet wird. Derzeit werden optische Splitter häufig in der Netzwerkleistungsanalyse (NPM/APM), Prüfsystemen, Benutzerverhaltensanalysen, Netzwerkeinbrucherkennung und anderen Szenarien eingesetzt.
Vorteile:
1. Hochzuverlässiges, passives optisches Gerät;
2. Besetzt nicht den Switch-Port, unabhängige Geräte, anschließend kann eine gute Erweiterung erfolgen;
3. Keine Änderung der Switch-Konfiguration erforderlich, keine Auswirkungen auf andere Geräte;
4. Vollständige Datenverkehrserfassung, keine Switch-Paketfilterung, einschließlich Fehlerpaketen usw.
Nachteile:
1. Die Notwendigkeit einer einfachen Netzwerkumschaltung, eines Glasfasersteckers für die Backbone-Verbindung und einer Verbindung zum optischen Splitter verringert die optische Leistung einiger Backbone-Verbindungen
SPAN (Portspiegel)
SPAN ist eine Funktion, die mit dem Switch selbst ausgestattet ist und daher nur auf dem Switch konfiguriert werden muss. Diese Funktion beeinträchtigt jedoch die Leistung des Switches und führt zu Paketverlusten, wenn die Daten überlastet sind.
Vorteile:
1. Es ist nicht erforderlich, zusätzliche Geräte hinzuzufügen. Konfigurieren Sie den Switch so, dass der entsprechende Ausgabeport für die Bildreplikation erhöht wird
Nachteile:
1. Belegen Sie den Switch-Port
2. Switches müssen konfiguriert werden, was eine gemeinsame Abstimmung mit Drittherstellern erfordert und das potenzielle Risiko eines Netzwerkausfalls erhöht
3. Die Spiegelung des Datenverkehrs hat Auswirkungen auf die Port- und Switch-Leistung.
Aktives Netzwerk-TAP (TAP-Aggregator)
Ein Netzwerk-TAP ist ein externes Netzwerkgerät, das Portspiegelung ermöglicht und eine Kopie des Datenverkehrs zur Verwendung durch verschiedene Überwachungsgeräte erstellt. Diese Geräte werden an einer zu beobachtenden Stelle im Netzwerkpfad eingeführt, kopieren die Daten-IP-Pakete und senden sie an das Netzwerküberwachungstool. Die Wahl des Zugangspunkts für das Network TAP-Gerät hängt vom Schwerpunkt des Netzwerkverkehrs ab – aus Gründen der Datenerfassung, routinemäßiger Überwachung von Analysen und Verzögerungen, Erkennung von Eindringlingen usw. Network TAP-Geräte können Datenströme mit einer Rate von bis zu 1 G erfassen und spiegeln 100G.
Diese Geräte greifen unabhängig von der Datenverkehrsrate auf den Datenverkehr zu, ohne dass das Netzwerk-TAP-Gerät den Paketfluss in irgendeiner Weise verändert. Dies bedeutet, dass der Netzwerkverkehr keiner Überwachung und Portspiegelung unterliegt, was für die Wahrung der Integrität der Daten bei der Weiterleitung an Sicherheits- und Analysetools unerlässlich ist.
Es stellt sicher, dass die Netzwerkperipheriegeräte die Verkehrskopien überwachen, sodass die Netzwerk-TAP-Geräte als Beobachter fungieren. Indem Sie eine Kopie Ihrer Daten an alle angeschlossenen Geräte weiterleiten, erhalten Sie volle Transparenz am Netzwerkpunkt. Sollte ein Netzwerk-TAP-Gerät oder ein Überwachungsgerät ausfallen, können Sie sicher sein, dass der Datenverkehr nicht beeinträchtigt wird und das Betriebssystem sicher und verfügbar bleibt.
Gleichzeitig wird es zum Hauptziel von Netzwerk-TAP-Geräten. Der Zugriff auf Pakete kann immer gewährleistet werden, ohne den Datenverkehr im Netzwerk zu unterbrechen, und diese Sichtbarkeitslösungen können auch komplexere Fälle bewältigen. Die Überwachungsanforderungen von Tools, die von Firewalls der nächsten Generation über Schutz vor Datenlecks, Überwachung der Anwendungsleistung, SIEM, digitale Forensik, IPS, IDS und mehr reichen, zwingen zu einer Weiterentwicklung der Netzwerk-TAP-Geräte.
Neben der Bereitstellung einer vollständigen Kopie des Datenverkehrs und der Aufrechterhaltung der Verfügbarkeit können TAP-Geräte Folgendes bieten:
1. Filtern Sie Pakete, um die Leistung der Netzwerküberwachung zu maximieren
Nur weil ein Netzwerk-TAP-Gerät irgendwann eine 100-prozentige Kopie eines Pakets erstellen kann, heißt das nicht, dass jedes Überwachungs- und Sicherheitstool das Ganze sehen muss. Das Streamen des Datenverkehrs an alle Netzwerküberwachungs- und Sicherheitstools in Echtzeit führt nur zu einer Überordnung und beeinträchtigt somit die Leistung der Tools und des Netzwerks.
Die Platzierung des richtigen Netzwerk-TAP-Geräts kann dabei helfen, Pakete zu filtern, wenn sie an das Überwachungstool weitergeleitet werden, und die richtigen Daten an das richtige Tool zu verteilen. Beispiele für solche Tools sind Intrusion Detection Systems (IDS), Data Loss Prevention (DLP), Security Information and Event Management (SIEM), forensische Analyse und viele mehr.
2. Aggregieren Sie Links für effizientes Networking
Da die Anforderungen an die Netzwerküberwachung und -sicherheit steigen, müssen Netzwerkingenieure Möglichkeiten finden, die vorhandenen IT-Budgets für die Erfüllung weiterer Aufgaben zu nutzen. Aber irgendwann können Sie nicht mehr ständig neue Geräte zum Stapel hinzufügen und die Komplexität Ihres Netzwerks erhöhen. Es ist wichtig, den Einsatz von Überwachungs- und Sicherheitstools zu maximieren.
Netzwerk-TAP-Geräte können dabei helfen, indem sie den gesamten Netzwerkverkehr in östlicher und westlicher Richtung bündeln, um Pakete über einen einzigen Port an verbundene Geräte zu übermitteln. Durch den Einsatz von Sichtbarkeitstools auf diese Weise wird die Anzahl der erforderlichen Überwachungstools reduziert. Da der Ost-West-Datenverkehr in Rechenzentren und zwischen Rechenzentren weiter zunimmt, ist der Bedarf an Netzwerk-TAP-Geräten von entscheidender Bedeutung, um die Sichtbarkeit aller Dimensionsflüsse über große Datenmengen hinweg aufrechtzuerhalten.
Verwandte Artikel, die Sie interessieren könnten, besuchen Sie bitte hier:Wie erfasst man den Netzwerkverkehr? Network Tap vs. Port Mirror
Zeitpunkt der Veröffentlichung: 24. Okt. 2024
