เหตุใดจึงต้องมี Network Taps และ Network Packet Brokers สำหรับการจับปริมาณข้อมูลเครือข่ายของคุณ? (ตอนที่ 2)

การแนะนำ

การรวบรวมและวิเคราะห์การรับส่งข้อมูลเครือข่ายเป็นวิธีที่มีประสิทธิภาพสูงสุดในการรับตัวบ่งชี้และพารามิเตอร์พฤติกรรมผู้ใช้เครือข่ายโดยตรง ด้วยการปรับปรุงการดำเนินงานและการบำรุงรักษา Q ของศูนย์ข้อมูลอย่างต่อเนื่อง การรวบรวมและการวิเคราะห์การรับส่งข้อมูลเครือข่ายจึงกลายเป็นส่วนสำคัญของโครงสร้างพื้นฐานของศูนย์ข้อมูล จากการใช้งานในอุตสาหกรรมในปัจจุบัน การรวบรวมการรับส่งข้อมูลเครือข่ายส่วนใหญ่ทำได้โดยอุปกรณ์เครือข่ายที่รองรับกระจกจราจรบายพาส การรวบรวมการรับส่งข้อมูลจำเป็นต้องสร้างเครือข่ายการรวบรวมการรับส่งข้อมูลที่ครอบคลุม สมเหตุสมผล และมีประสิทธิภาพ การรวบรวมการรับส่งข้อมูลดังกล่าวสามารถช่วยเพิ่มประสิทธิภาพเครือข่ายและตัวบ่งชี้ประสิทธิภาพทางธุรกิจ และลดความน่าจะเป็นของความล้มเหลว

เครือข่ายรวบรวมการรับส่งข้อมูลถือได้ว่าเป็นเครือข่ายอิสระที่ประกอบด้วยอุปกรณ์รวบรวมการรับส่งข้อมูลและใช้งานควบคู่ไปกับเครือข่ายที่ใช้งานจริง โดยจะรวบรวมการรับส่งข้อมูลรูปภาพของอุปกรณ์เครือข่ายแต่ละเครื่อง และรวบรวมการรับส่งข้อมูลรูปภาพตามระดับภูมิภาคและสถาปัตยกรรม ใช้การแจ้งเตือนการแลกเปลี่ยนการกรองการรับส่งข้อมูลในอุปกรณ์การรับส่งข้อมูลเพื่อรับความเร็วเต็มบรรทัดของข้อมูลสำหรับการกรองแบบมีเงื่อนไข 2-4 ชั้น การลบแพ็กเก็ตที่ซ้ำกัน การตัดทอนแพ็กเก็ต และการดำเนินการการทำงานขั้นสูงอื่น ๆ จากนั้นส่งข้อมูลไปยังแต่ละการรับส่งข้อมูล ระบบการวิเคราะห์ เครือข่ายรวบรวมการรับส่งข้อมูลสามารถส่งข้อมูลเฉพาะไปยังอุปกรณ์แต่ละเครื่องได้อย่างแม่นยำตามความต้องการข้อมูลของแต่ละระบบ และแก้ปัญหาที่ข้อมูลมิเรอร์แบบเดิมไม่สามารถกรองและส่งได้ ซึ่งใช้ประสิทธิภาพการประมวลผลของสวิตช์เครือข่าย ในเวลาเดียวกัน ระบบกรองและแลกเปลี่ยนการรับส่งข้อมูลของเครือข่ายรวบรวมการรับส่งข้อมูลตระหนักถึงการกรองและการส่งต่อข้อมูลด้วยความล่าช้าต่ำและความเร็วสูง ช่วยให้มั่นใจในคุณภาพของข้อมูลที่รวบรวมโดยเครือข่ายรวบรวมการรับส่งข้อมูล และเป็นรากฐานข้อมูลที่ดีสำหรับ อุปกรณ์วิเคราะห์การจราจรในภายหลัง

ปัญหาการตรวจสอบการจราจร

เพื่อลดผลกระทบต่อลิงก์ดั้งเดิม โดยปกติจะได้รับสำเนาของการรับส่งข้อมูลดั้งเดิมโดยการแยกลำแสง SPAN หรือ TAP

แตะเครือข่ายแบบพาสซีฟ (ตัวแยกแสง)

วิธีการใช้การแยกแสงเพื่อให้ได้สำเนาการจราจรต้องได้รับความช่วยเหลือจากอุปกรณ์แยกแสง ตัวแยกแสงเป็นอุปกรณ์ออปติคอลแบบพาสซีฟที่สามารถกระจายความเข้มของพลังงานของสัญญาณออปติคอลใหม่ได้ตามสัดส่วนที่ต้องการ ตัวแยกสัญญาณสามารถแบ่งแสงได้ตั้งแต่ 1 ถึง 2,1 ถึง 4 และ 1 เป็นหลายช่อง เพื่อลดผลกระทบต่อลิงก์ดั้งเดิม ศูนย์ข้อมูลมักจะใช้อัตราส่วนการแยกแสงที่ 80:20, 70:30 โดยที่สัดส่วน 70,80 ของสัญญาณแสงจะถูกส่งกลับไปยังลิงก์ดั้งเดิม ปัจจุบัน ตัวแยกแสงถูกนำมาใช้กันอย่างแพร่หลายในการวิเคราะห์ประสิทธิภาพเครือข่าย (NPM/APM), ระบบตรวจสอบ, การวิเคราะห์พฤติกรรมผู้ใช้, การตรวจจับการบุกรุกเครือข่าย และสถานการณ์อื่นๆ

ไอคอนจับภาพ

ข้อดี:

1. ความน่าเชื่อถือสูง อุปกรณ์ออปติคัลแบบพาสซีฟ

2. ไม่ได้ใช้พอร์ตสวิตช์ อุปกรณ์อิสระ ต่อมาสามารถขยายตัวดี;

3. ไม่จำเป็นต้องปรับเปลี่ยนการกำหนดค่าสวิตช์ ไม่มีผลกระทบต่ออุปกรณ์อื่น ๆ

4. การรวบรวมการรับส่งข้อมูลแบบเต็ม ไม่มีการกรองแพ็กเก็ตสวิตช์ รวมถึงแพ็กเก็ตข้อผิดพลาด ฯลฯ

ข้อเสีย:

1. ความจำเป็นในการตัดเครือข่ายอย่างง่าย ปลั๊กไฟเบอร์ลิงค์แบ็คโบนและหมุนหมายเลขไปยังตัวแยกแสง จะลดพลังงานแสงของลิงค์แบ็คโบนบางส่วน

SPAN (พอร์ตมิเรอร์)

SPAN เป็นคุณลักษณะที่มาพร้อมกับสวิตช์ ดังนั้นจึงจำเป็นต้องกำหนดค่าบนสวิตช์เท่านั้น อย่างไรก็ตาม ฟังก์ชันนี้จะส่งผลต่อประสิทธิภาพของสวิตช์และทำให้แพ็กเก็ตสูญหายเมื่อมีข้อมูลมากเกินไป

กระจกพอร์ตสวิตช์เครือข่าย

ข้อดี:

1. ไม่จำเป็นต้องเพิ่มอุปกรณ์เพิ่มเติม กำหนดค่าสวิตช์เพื่อเพิ่มพอร์ตเอาต์พุตการจำลองอิมเมจที่สอดคล้องกัน

ข้อเสีย:

1. ครอบครองพอร์ตสวิตช์

2. จำเป็นต้องกำหนดค่าสวิตช์ ซึ่งเกี่ยวข้องกับการประสานงานร่วมกับผู้ผลิตบุคคลที่สาม ซึ่งอาจเพิ่มความเสี่ยงที่เครือข่ายจะล้มเหลว

3. การจำลองการรับส่งข้อมูลแบบ Mirror มีผลกระทบต่อประสิทธิภาพของพอร์ตและสวิตช์

TAP เครือข่ายที่ใช้งานอยู่ (TAP Aggregator)

TAP เครือข่ายเป็นอุปกรณ์เครือข่ายภายนอกที่เปิดใช้งานการมิเรอร์พอร์ตและสร้างสำเนาการรับส่งข้อมูลสำหรับใช้งานโดยอุปกรณ์ตรวจสอบต่างๆ อุปกรณ์เหล่านี้ถูกนำมาใช้ในตำแหน่งในเส้นทางเครือข่ายที่ต้องสังเกต และจะคัดลอกแพ็กเก็ต IP ข้อมูลและส่งไปยังเครื่องมือตรวจสอบเครือข่าย การเลือกจุดเข้าใช้งานสำหรับอุปกรณ์ Network TAP ขึ้นอยู่กับจุดเน้นของการรับส่งข้อมูลเครือข่าย - เหตุผลในการรวบรวมข้อมูล, การตรวจสอบการวิเคราะห์และความล่าช้าเป็นประจำ, การตรวจจับการบุกรุก ฯลฯ อุปกรณ์ TAP เครือข่ายสามารถรวบรวมและสะท้อนสตรีมข้อมูลที่อัตรา 1G สูงถึง 100ก.

อุปกรณ์เหล่านี้เข้าถึงการรับส่งข้อมูลโดยไม่ต้องมีอุปกรณ์ TAP ของเครือข่ายแก้ไขการไหลของแพ็คเก็ตไม่ว่าด้วยวิธีใดก็ตาม โดยไม่คำนึงถึงอัตราการรับส่งข้อมูล ซึ่งหมายความว่าการรับส่งข้อมูลเครือข่ายไม่อยู่ภายใต้การตรวจสอบและการมิเรอร์พอร์ต ซึ่งจำเป็นสำหรับการรักษาความสมบูรณ์ของข้อมูลเมื่อกำหนดเส้นทางไปยังเครื่องมือความปลอดภัยและการวิเคราะห์

ช่วยให้แน่ใจว่าอุปกรณ์ต่อพ่วงเครือข่ายตรวจสอบสำเนาการรับส่งข้อมูลเพื่อให้อุปกรณ์ TAP เครือข่ายทำหน้าที่เป็นผู้สังเกตการณ์ ด้วยการส่งสำเนาข้อมูลของคุณไปยังอุปกรณ์ที่เชื่อมต่อทั้งหมด คุณจะมองเห็นจุดเครือข่ายได้อย่างสมบูรณ์ ในกรณีที่อุปกรณ์ TAP เครือข่ายหรืออุปกรณ์ตรวจสอบทำงานล้มเหลว คุณจะรู้ว่าการรับส่งข้อมูลจะไม่ได้รับผลกระทบ ทำให้มั่นใจได้ว่าระบบปฏิบัติการยังคงปลอดภัยและพร้อมใช้งาน

ในขณะเดียวกันก็กลายเป็นเป้าหมายโดยรวมของอุปกรณ์ TAP เครือข่าย คุณสามารถให้การเข้าถึงแพ็กเก็ตได้เสมอโดยไม่รบกวนการรับส่งข้อมูลในเครือข่าย และโซลูชันการมองเห็นเหล่านี้ยังสามารถแก้ไขกรณีขั้นสูงได้อีกด้วย ความต้องการในการตรวจสอบของเครื่องมือตั้งแต่ไฟร์วอลล์รุ่นต่อไปไปจนถึงการป้องกันข้อมูลรั่วไหล การตรวจสอบประสิทธิภาพของแอปพลิเคชัน SIEM นิติวิทยาศาสตร์ดิจิทัล IPS, IDS และอื่นๆ บังคับให้อุปกรณ์ TAP เครือข่ายมีการพัฒนา

นอกเหนือจากการจัดเตรียมสำเนาการรับส่งข้อมูลที่สมบูรณ์และการรักษาความพร้อมใช้งานแล้ว อุปกรณ์ TAP ยังสามารถจัดเตรียมสิ่งต่อไปนี้ได้

1. กรองแพ็กเก็ตเพื่อเพิ่มประสิทธิภาพการตรวจสอบเครือข่ายให้สูงสุด

เพียงเพราะอุปกรณ์ Network TAP สามารถสร้างสำเนาของแพ็กเก็ตได้ 100% ในบางจุดไม่ได้หมายความว่าเครื่องมือตรวจสอบและรักษาความปลอดภัยทุกชิ้นจำเป็นต้องมองเห็นทั้งหมด การสตรีมการรับส่งข้อมูลไปยังเครื่องมือตรวจสอบเครือข่ายและความปลอดภัยแบบเรียลไทม์จะส่งผลให้เกิดการเรียงลำดับมากเกินไปเท่านั้น ซึ่งส่งผลเสียต่อประสิทธิภาพของเครื่องมือและเครือข่ายในกระบวนการ

การวางอุปกรณ์ Network TAP ที่เหมาะสมสามารถช่วยกรองแพ็กเก็ตเมื่อกำหนดเส้นทางไปยังเครื่องมือตรวจสอบ โดยกระจายข้อมูลที่ถูกต้องไปยังเครื่องมือที่เหมาะสม ตัวอย่างของเครื่องมือดังกล่าว ได้แก่ ระบบตรวจจับการบุกรุก (IDS) การป้องกันข้อมูลสูญหาย (DLP) การจัดการข้อมูลความปลอดภัยและเหตุการณ์ (SIEM) การวิเคราะห์ทางนิติวิทยาศาสตร์ และอื่นๆ อีกมากมาย

2. ลิงก์รวมสำหรับเครือข่ายที่มีประสิทธิภาพ

เนื่องจากข้อกำหนดการตรวจสอบเครือข่ายและความปลอดภัยเพิ่มขึ้น วิศวกรเครือข่ายจึงต้องหาวิธีใช้งบประมาณด้านไอทีที่มีอยู่เพื่อทำงานให้สำเร็จมากขึ้น แต่ ณ จุดหนึ่ง คุณไม่สามารถเพิ่มอุปกรณ์ใหม่ลงในสแต็กและเพิ่มความซับซ้อนของเครือข่ายของคุณได้ จำเป็นอย่างยิ่งที่จะต้องใช้เครื่องมือตรวจสอบและรักษาความปลอดภัยให้เกิดประโยชน์สูงสุด

อุปกรณ์ TAP เครือข่ายสามารถช่วยได้โดยการรวมการรับส่งข้อมูลเครือข่ายหลายรายการ ไปทางทิศตะวันออกและทิศตะวันตก เพื่อส่งแพ็กเก็ตไปยังอุปกรณ์ที่เชื่อมต่อผ่านพอร์ตเดียว การปรับใช้เครื่องมือการมองเห็นในลักษณะนี้จะช่วยลดจำนวนเครื่องมือตรวจสอบที่จำเป็น เนื่องจากการรับส่งข้อมูลตะวันออก-ตะวันตกยังคงเติบโตในศูนย์ข้อมูลและระหว่างศูนย์ข้อมูล ข้อกำหนดสำหรับอุปกรณ์ TAP เครือข่ายจึงถือเป็นสิ่งสำคัญในการรักษาการมองเห็นโฟลว์มิติทั้งหมดผ่านข้อมูลปริมาณมาก

มล-NPB-5690 (8)

บทความที่เกี่ยวข้องที่คุณอาจสนใจ กรุณาเยี่ยมชมที่นี่:จะบันทึกการรับส่งข้อมูลเครือข่ายได้อย่างไร? การแตะเครือข่ายเทียบกับพอร์ตมิเรอร์


เวลาโพสต์: 24 ต.ค.-2024