מָבוֹא
איסוף וניתוח תנועת רשת הוא האמצעי היעיל ביותר להשגת אינדיקטורים ופרמטרים של התנהגות משתמשי רשת ממקור ראשון. עם השיפור המתמיד של תפעול ותחזוקה של מרכז הנתונים Q, איסוף וניתוח תעבורת רשת הפכו לחלק הכרחי מתשתית מרכז הנתונים. מהשימוש הנוכחי בתעשייה, איסוף תעבורת רשת ממומש בעיקר על ידי ציוד רשת התומך במראה תעבורה עוקפת. איסוף תנועה צריך ליצור כיסוי מקיף, רשת איסוף תנועה סבירה ויעילה, איסוף תעבורה כזה יכול לעזור לייעל את מדדי הביצועים של הרשת והעסק ולהפחית את ההסתברות לכשל.
ניתן להתייחס לרשת איסוף התעבורה כרשת עצמאית המורכבת מהתקני איסוף תעבורה ונפרסת במקביל לרשת הייצור. הוא אוסף את תעבורת התמונה של כל מכשיר רשת ומצבירה את תעבורת התמונה בהתאם לרמות האזוריות והארכיטקטוניות. הוא משתמש באזעקת חילופי סינון התעבורה בציוד רכישת התעבורה כדי לממש את מהירות הקו המלאה של הנתונים עבור 2-4 שכבות של סינון מותנה, הסרת מנות כפולות, קיצור מנות ופעולות פונקציונליות מתקדמות אחרות, ולאחר מכן שולח את הנתונים לכל תעבורה מערכת ניתוח. רשת איסוף התעבורה יכולה לשלוח נתונים ספציפיים לכל מכשיר בצורה מדויקת בהתאם לדרישות הנתונים של כל מערכת, ולפתור את הבעיה שלא ניתן לסנן ולשלוח את נתוני המראה המסורתיים, מה שצורך את ביצועי העיבוד של מתגי הרשת. במקביל, מנוע סינון וחילופי התעבורה של רשת איסוף התעבורה מממש את הסינון והעברה של נתונים בעיכוב נמוך ובמהירות גבוהה, מבטיח את איכות הנתונים הנאספים על ידי רשת איסוף התעבורה, ומספק בסיס נתונים טוב עבור ציוד לניתוח תנועה שלאחר מכן.
על מנת להפחית את ההשפעה על הקישור המקורי, עותק של התעבורה המקורית מתקבל בדרך כלל באמצעות פיצול אלומה, SPAN או TAP.
הדרך להשתמש בפיצול אור להשגת עותק תנועה מחייבת סיוע של מכשיר מפצל אור. מפצל האור הוא מכשיר אופטי פסיבי שיכול לחלק מחדש את עוצמת ההספק של האות האופטי בהתאם לפרופורציה הנדרשת. המפצל יכול לחלק אור מ-1 ל-2,1 ל-4 ו-1 למספר ערוצים. על מנת להפחית את ההשפעה על הקישור המקורי, מרכז הנתונים מאמץ בדרך כלל את יחס הפיצול האופטי של 80:20, 70:30, שבו 70,80 חלק מהאות האופטי נשלח בחזרה לקישור המקורי. כיום, מפצלים אופטיים נמצאים בשימוש נרחב בניתוח ביצועי רשת (NPM/APM), מערכת ביקורת, ניתוח התנהגות משתמשים, זיהוי חדירת רשת ותרחישים אחרים.
יתרונות:
1. אמינות גבוהה, מכשיר אופטי פסיבי;
2. אינו תופס את יציאת המתג, ציוד עצמאי, הבא יכול להיות הרחבה טובה;
3. אין צורך לשנות את תצורת המתג, אין השפעה על ציוד אחר;
4. איסוף תעבורה מלא, ללא סינון מנות מתגים, כולל מנות שגיאה וכו'.
חסרונות:
1. הצורך בניתוק רשת פשוט, תקע סיבי קישור וחיוג למפצל האופטי, יפחית את העוצמה האופטית של חלק מקישורי עמוד השדרה
SPAN(Port Mirror)
SPAN הוא תכונה שמגיעה עם המתג עצמו, אז זה רק צריך להיות מוגדר על המתג. עם זאת, פונקציה זו תשפיע על הביצועים של המתג ותגרום לאובדן מנות כאשר הנתונים יהיו עומס יתר.
יתרונות:
1. אין צורך להוסיף ציוד נוסף, הגדר את המתג להגדלת יציאת הפלט של שכפול התמונה המתאימה
חסרונות:
1. לכבוש את יציאת המתג
2. יש להגדיר מתגים, הכוללים תיאום משותף עם יצרני צד שלישי, מה שמגביר את הסיכון הפוטנציאלי לכשל ברשת
3. לשכפול תעבורת מראה יש השפעה על ביצועי היציאה והמתגים.
Active Network TAP (TAP Aggregator)
Network TAP הוא התקן רשת חיצוני המאפשר שיקוף יציאות ויוצר עותק של תעבורה לשימוש על ידי התקני ניטור שונים. התקנים אלה מוכנסים למקום בנתיב הרשת שיש לצפות בו, והוא מעתיק את מנות ה-IP של הנתונים ושולח אותם לכלי ניטור הרשת. בחירת נקודת הגישה למכשיר ה- Network TAP תלויה במיקוד תעבורת הרשת - סיבות איסוף נתונים, ניטור שגרתי של ניתוח ועיכובים, זיהוי חדירה וכו'. התקני TAP ברשת יכולים לאסוף ולשקף זרמי נתונים בקצב 1G עד 100G.
התקנים אלה ניגשים לתעבורה מבלי שהתקן TAP ברשת משנה את זרימת המנות בכל דרך שהיא, ללא קשר לקצב תעבורת הנתונים. המשמעות היא שתעבורת הרשת אינה כפופה לניטור ושיקוף פורטים, דבר החיוני לשמירה על שלמות הנתונים בעת ניתובם לכלי אבטחה וניתוח.
זה מבטיח שההתקנים ההיקפיים ברשת עוקבים אחר עותקי התעבורה, כך שמכשירי ה-TAP של הרשת פועלים כמשקיפים. על ידי הזנת עותק של הנתונים שלך לכל/כל המכשירים המחוברים, אתה מקבל נראות מלאה בנקודת הרשת. במקרה שמכשיר TAP ברשת או מכשיר ניטור נכשל, אתה יודע שהתעבורה לא תושפע, מה שמבטיח שמערכת ההפעלה תישאר בטוחה וזמינה.
במקביל, הוא הופך למטרה הכוללת של התקני TAP ברשת. תמיד ניתן לספק גישה למנות מבלי להפריע לתעבורה ברשת, ופתרונות הנראות הללו יכולים לתת מענה גם למקרים מתקדמים יותר. צורכי הניטור של כלים החל מחומת אש מהדור הבא ועד להגנה מפני דליפת נתונים, ניטור ביצועי יישומים, SIEM, זיהוי פלילי דיגיטלי, IPS, IDS ועוד, מאלצים את התקני TAP ברשת להתפתח.
בנוסף לאספקת עותק מלא של התעבורה ושמירה על זמינות, מכשירי TAP יכולים לספק את הדברים הבאים.
1. סינון מנות כדי למקסם את ביצועי ניטור הרשת
רק בגלל שהתקן Network TAP יכול ליצור עותק של 100% של חבילה בשלב מסוים, לא אומר שכל כלי ניטור ואבטחה צריך לראות את כל העניין. הזרמת תעבורה לכל כלי הניטור והאבטחה של הרשת בזמן אמת רק תגרום לסדר יתר, ובכך תפגע בביצועי הכלים והרשת בתהליך.
הצבת התקן Network TAP הנכון יכולה לסייע בסינון מנות כשהן מנותבות לכלי הניטור, ולהפיץ את הנתונים הנכונים לכלי הנכון. דוגמאות לכלים כאלה כוללות מערכות זיהוי חדירה (IDS), מניעת אובדן נתונים (DLP), מידע אבטחה וניהול אירועים (SIEM), ניתוח משפטי ועוד רבים.
2. קישורים מצטברים ליצירת רשת יעילה
ככל שהדרישות לניטור רשת ואבטחה עולות, מהנדסי רשת חייבים למצוא דרכים להשתמש בתקציבי IT קיימים כדי לבצע משימות נוספות. אבל בשלב מסוים, אתה לא יכול להמשיך להוסיף מכשירים חדשים לערימה ולהגדיל את המורכבות של הרשת שלך. חיוני למקסם את השימוש בכלי ניטור ואבטחה.
התקני TAP ברשת יכולים לעזור על ידי צבירת תעבורת רשת מרובת, מזרחה ומערבה, כדי לספק מנות להתקנים מחוברים דרך יציאה אחת. פריסת כלי נראות בדרך זו תפחית את מספר כלי הניטור הנדרשים. מכיוון שתעבורת הנתונים של מזרח-מערב ממשיכה לגדול במרכזי נתונים ובין מרכזי נתונים, הדרישה להתקני TAP ברשת חיונית כדי לשמור על הנראות של כל זרימות הממד על פני נפחי נתונים גדולים.
מאמר קשור שאולי מעניין אותך, בקר כאן:כיצד לתפוס תנועה ברשת? Network Tap לעומת Port Mirror
זמן פרסום: 24 באוקטובר 2024
