מָבוֹא
איסוף וניתוח תעבורת רשת הוא האמצעי היעיל ביותר להשגת מדדים ופרמטרים של התנהגות משתמשי רשת ממקור ראשון. עם השיפור המתמיד בתפעול ותחזוקת Q של מרכז הנתונים, איסוף וניתוח תעבורת רשת הפכו לחלק בלתי נפרד מתשתית מרכז הנתונים. משימוש בתעשייה כיום, איסוף תעבורת רשת מתבצע בעיקר באמצעות ציוד רשת התומך במראה עוקפת תעבורה. איסוף תעבורה צריך ליצור רשת כיסוי מקיפה, סבירה ויעילה לאיסוף תעבורה, איסוף תעבורה כזה יכול לסייע במיטוב מדדי ביצועי הרשת והעסק ולהפחית את ההסתברות לכשל.
ניתן להתייחס לרשת איסוף התעבורה כרשת עצמאית המורכבת ממכשירי איסוף תעבורה ונפרסת במקביל לרשת הייצור. היא אוספת את תעבורת התמונה של כל התקן רשת ומאגדת את תעבורת התמונה בהתאם לרמות האזוריות והארכיטקטוניות. היא משתמשת באזעקת חילופי סינון תעבורה בציוד רכישת התעבורה כדי לממש את מהירות הקו המלאה של הנתונים עבור 2-4 שכבות של סינון מותנה, הסרת חבילות כפולות, קיצוץ חבילות ופעולות פונקציונליות מתקדמות אחרות, ולאחר מכן שולחת את הנתונים לכל מערכת ניתוח תעבורה. רשת איסוף התעבורה יכולה לשלוח במדויק נתונים ספציפיים לכל התקן בהתאם לדרישות הנתונים של כל מערכת, ולפתור את הבעיה שבה לא ניתן לסנן ולשלוח את נתוני המראה המסורתיים, מה שצורך את ביצועי העיבוד של מתגי הרשת. במקביל, מנוע סינון וחילופי התעבורה של רשת איסוף התעבורה מממש את הסינון וההעברת הנתונים עם עיכוב נמוך ומהירות גבוהה, מבטיח את איכות הנתונים שנאספים על ידי רשת איסוף התעבורה, ומספק בסיס נתונים טוב לציוד ניתוח התעבורה העוקב.
על מנת להפחית את ההשפעה על הקישור המקורי, בדרך כלל מתקבל עותק של התעבורה המקורית באמצעות פיצול אלומה, SPAN או TAP.
מפצל אופטי (Bass Network Passive)
הדרך שבה משתמשים בפיצול אור כדי להשיג עותק תעבורה דורשת את עזרתו של התקן מפצל אור. מפצל האור הוא התקן אופטי פסיבי שיכול לפזר מחדש את עוצמת ההספק של האות האופטי בהתאם לפרופורציה הנדרשת. המפצל יכול לחלק אור מ-1 ל-2, מ-1 ל-4 ו-1 לערוצים מרובים. על מנת להפחית את ההשפעה על הקישור המקורי, מרכז הנתונים בדרך כלל מאמץ יחס פיצול אופטי של 80:20, 70:30, שבו 70:80% מהאות האופטי נשלח חזרה לקישור המקורי. כיום, מפצלים אופטיים נמצאים בשימוש נרחב בניתוח ביצועי רשת (NPM/APM), מערכות ביקורת, ניתוח התנהגות משתמשים, זיהוי חדירות לרשת ותרחישים אחרים.
יתרונות:
1. מכשיר אופטי פסיבי בעל אמינות גבוהה;
2. אינו תופס את יציאת המתג, ציוד עצמאי, לאחר מכן יכול להיות הרחבה טובה;
3. אין צורך לשנות את תצורת המתג, אין השפעה על ציוד אחר;
4. איסוף תעבורה מלא, ללא סינון חבילות מתג, כולל חבילות שגיאה וכו'.
חסרונות:
1. הצורך בחיתוך רשת פשוט, תקע סיב אופטי של קישור עמוד השדרה וחיוג למפצל האופטי, יפחית את ההספק האופטי של חלק מקישורי עמוד השדרה
SPAN (מראה פורט)
SPAN היא תכונה שמגיעה עם המתג עצמו, כך שצריך רק להגדיר אותה במתג. עם זאת, פונקציה זו תשפיע על ביצועי המתג ותגרום לאובדן חבילות כאשר הנתונים עמוסים יתר על המידה.
יתרונות:
1. אין צורך להוסיף ציוד נוסף, יש להגדיר את המתג כך שיגדיל את יציאת פלט שכפול התמונה המתאימה.
חסרונות:
1. לכבוש את יציאת המתג
2. יש צורך להגדיר את המתגים, דבר הכרוך בתיאום משותף עם יצרנים חיצוניים, מה שמגדיל את הסיכון הפוטנציאלי לכשל ברשת.
3. שכפול תעבורת מראה משפיע על ביצועי הפורטים והמתגים.
TAP של רשת פעילה (TAP Aggregator)
נקודת גישה לרשת (Network TAP) היא התקן רשת חיצוני המאפשר שיקוף פורטים ויוצר עותק של תעבורה לשימוש על ידי התקני ניטור שונים. התקנים אלה מוכנסים למקום בנתיב הרשת שיש להשגיח עליו, והם מעתיקים את חבילות ה-IP של הנתונים ושולחים אותן לכלי ניטור הרשת. בחירת נקודת הגישה עבור התקן ה-Network TAP תלויה במוקד תעבורת הרשת - סיבות לאיסוף נתונים, ניטור שגרתי של ניתוח ועיכובים, זיהוי חדירות וכו'. התקני Network TAP יכולים לאסוף ולשקף זרמי נתונים בקצב של 1G עד 100G.
התקנים אלה ניגשים לתעבורה מבלי שהתקן TAP של הרשת משנה את זרימת החבילות בצורה כלשהי, ללא קשר לקצב תעבורת הנתונים. משמעות הדבר היא שתעבורת הרשת אינה כפופה לניטור ושיקוף פורטים, דבר החיוני לשמירה על שלמות הנתונים בעת ניתובם לכלי אבטחה וניתוח.
זה מבטיח שההתקנים ההיקפיים של הרשת מנטרים את עותקי התעבורה כך שהתקני TAP של הרשת יפעלו כצופים. על ידי הזנת עותק של הנתונים שלך לכל ההתקנים המחוברים, אתה מקבל נראות מלאה בנקודת הרשת. במקרה של כשל בהתקן TAP או התקן ניטור של הרשת, אתה יודע שהתעבורה לא תושפע, מה שמבטיח שמערכת ההפעלה תישאר בטוחה וזמינה.
במקביל, הוא הופך למטרה הכוללת של התקני TAP ברשת. גישה לחבילות יכולה להינתן תמיד מבלי להפריע לתעבורה ברשת, ופתרונות נראות אלה יכולים לטפל גם במקרים מתקדמים יותר. צרכי הניטור של כלים, החל מחומות אש מהדור הבא ועד להגנה מפני דליפות נתונים, ניטור ביצועי יישומים, SIEM, זיהוי פלילי דיגיטלי, IPS, IDS ועוד, מאלצים את התקני TAP ברשת להתפתח.
בנוסף לאספקת עותק מלא של התעבורה ושמירה על זמינות, התקני TAP יכולים לספק את הדברים הבאים.
1. סינון חבילות כדי למקסם את ביצועי ניטור הרשת
רק בגלל שמכשיר TAP של רשת יכול ליצור עותק של 100% של חבילה בשלב מסוים, זה לא אומר שכל כלי ניטור ואבטחה צריך לראות את הכל. הזרמת תעבורה לכל כלי ניטור ואבטחת הרשת בזמן אמת תגרום רק לסדר יתר, ובכך יפגע בביצועי הכלים והרשת בתהליך.
הצבת התקן TAP רשתי מתאים יכולה לסייע בסינון חבילות כאשר הן מנותבות לכלי הניטור, תוך הפצת הנתונים הנכונים לכלי הנכון. דוגמאות לכלים כאלה כוללות מערכות גילוי חדירות (IDS), מניעת אובדן נתונים (DLP), ניהול מידע ואירועי אבטחה (SIEM), ניתוח פורנזי ועוד רבים.
2. קישורים מצטברים לרשת יעילה
ככל שדרישות ניטור ואבטחת הרשת גוברות, מהנדסי רשת חייבים למצוא דרכים להשתמש בתקציבי IT קיימים כדי לבצע משימות נוספות. אבל בשלב מסוים, אי אפשר להמשיך להוסיף התקנים חדשים למחסנית ולהגדיל את מורכבות הרשת. חיוני למקסם את השימוש בכלי ניטור ואבטחה.
התקני TAP ברשת יכולים לסייע על ידי צבירת תעבורת רשת מרובת, מזרחה ומערבה, כדי להעביר חבילות למכשירים מחוברים דרך יציאה אחת. פריסת כלי נראות בדרך זו תפחית את מספר כלי הניטור הנדרשים. ככל שתעבורת הנתונים ממזרח למערב ממשיכה לגדול במרכזי נתונים ובין מרכזי נתונים, הדרישה להתקני TAP ברשת חיונית לשמירה על נראות של כל הזרימות הממדיות על פני כמויות גדולות של נתונים.
מאמר קשור שעשוי לעניין אותך, אנא בקר כאן:כיצד ללכוד תעבורת רשת? Network Tap לעומת Port Mirror
זמן פרסום: 24 באוקטובר 2024
