giriiş
Ağ trafiği toplama ve analizi, ağ kullanıcı davranış göstergelerini ve parametrelerini ilk elden elde etmenin en etkili yoludur. Veri merkezi operasyon ve bakımının sürekli iyileştirilmesiyle birlikte, ağ trafiği toplama ve analizi, veri merkezi altyapısının vazgeçilmez bir parçası haline gelmiştir. Mevcut endüstri kullanımına bakıldığında, ağ trafiği toplama çoğunlukla bypass trafik aynalama özelliğini destekleyen ağ ekipmanları tarafından gerçekleştirilmektedir. Trafik toplama, kapsamlı, makul ve etkili bir trafik toplama ağının kurulmasını gerektirir; bu tür bir trafik toplama, ağ ve iş performansı göstergelerini optimize etmeye ve arıza olasılığını azaltmaya yardımcı olabilir.
Trafik toplama ağı, üretim ağına paralel olarak konuşlandırılmış, trafik toplama cihazlarından oluşan bağımsız bir ağ olarak düşünülebilir. Her ağ cihazının görüntü trafiğini toplar ve bölgesel ve mimari seviyelere göre görüntü trafiğini birleştirir. Trafik toplama ekipmanındaki trafik filtreleme değişim alarmını kullanarak, verilerin 2-4 katmanlı koşullu filtrelemesi, yinelenen paketlerin kaldırılması, paketlerin kısaltılması ve diğer gelişmiş fonksiyonel işlemler için tam hat hızında veri işleme gerçekleştirir ve ardından verileri her trafik analiz sistemine gönderir. Trafik toplama ağı, her sistemin veri gereksinimlerine göre her cihaza belirli verileri doğru bir şekilde gönderebilir ve geleneksel ayna verilerinin filtrelenemeyip gönderilememesi ve ağ anahtarlarının işlem performansını tüketmesi sorununu çözer. Aynı zamanda, trafik toplama ağının trafik filtreleme ve değişim motoru, düşük gecikme ve yüksek hızda veri filtreleme ve iletimini gerçekleştirir, trafik toplama ağı tarafından toplanan verilerin kalitesini sağlar ve sonraki trafik analiz ekipmanları için iyi bir veri temeli sağlar.
Orijinal bağlantı üzerindeki etkiyi azaltmak için, genellikle ışın bölme, SPAN veya TAP yöntemleri kullanılarak orijinal trafiğin bir kopyası elde edilir.
Pasif Şebeke Bağlantı Noktası (Optik Ayırıcı)
Trafik kopyası elde etmek için ışık bölme yöntemi, bir ışık bölücü cihazın yardımını gerektirir. Işık bölücü, optik sinyalin güç yoğunluğunu gerekli orana göre yeniden dağıtabilen pasif bir optik cihazdır. Bölücü, ışığı 1'den 2'ye, 1'den 4'e ve 1'den çoklu kanallara bölebilir. Orijinal bağlantı üzerindeki etkiyi azaltmak için, veri merkezleri genellikle optik sinyalin %70 ve %80'inin orijinal bağlantıya geri gönderildiği 80:20 ve 70:30 optik bölme oranlarını benimser. Günümüzde optik bölücüler, ağ performans analizi (NPM/APM), denetim sistemi, kullanıcı davranış analizi, ağa izinsiz giriş tespiti ve diğer senaryolarda yaygın olarak kullanılmaktadır.
Avantajlar:
1. Yüksek güvenilirlik, pasif optik cihaz;
2. Anahtarlama portunu işgal etmez, bağımsız bir ekipmandır, daha sonra iyi bir genişleme imkanı sunar;
3. Anahtar yapılandırmasında değişiklik yapmaya gerek yok, diğer ekipmanları etkilemez;
4. Hata paketleri de dahil olmak üzere, anahtarlamalı paket filtrelemesi yapılmadan tüm trafik toplanması.
Dezavantajları:
1. Basit ağ geçişi ihtiyacı, omurga bağlantı fiber fişi ve optik ayırıcıya çevirme işlemi, bazı omurga bağlantılarının optik gücünü azaltacaktır.
SPAN (Port Aynalama)
SPAN, switch'in kendi özellikleriyle birlikte gelir, bu nedenle sadece switch üzerinde yapılandırılması gerekir. Ancak bu işlev, switch'in performansını etkiler ve veri aşırı yüklendiğinde paket kaybına neden olur.
Avantajlar:
1. Ek ekipman eklemeye gerek yoktur, ilgili görüntü çoğaltma çıkış portunu artırmak için anahtarı yapılandırın.
Dezavantajları:
1. Anahtarlama portunu meşgul edin.
2. Anahtarların yapılandırılması gerekir; bu da üçüncü taraf üreticilerle ortak koordinasyon gerektirir ve ağ arızası riskini artırır.
3. Yansıtmalı trafik çoğaltma işlemi, port ve switch performansını etkiler.
Aktif Ağ TAP (TAP Toplayıcı)
Ağ TAP cihazı, port yansıtmayı sağlayan ve çeşitli izleme cihazları tarafından kullanılmak üzere trafiğin bir kopyasını oluşturan harici bir ağ cihazıdır. Bu cihazlar, izlenmesi gereken ağ yolundaki bir noktaya yerleştirilir ve IP paketlerini kopyalayarak ağ izleme aracına gönderir. Ağ TAP cihazı için erişim noktasının seçimi, ağ trafiğinin odak noktasına bağlıdır - veri toplama nedenleri, rutin analiz ve gecikme izleme, izinsiz giriş tespiti vb. Ağ TAP cihazları, 1G'den 100G'ye kadar veri akışlarını toplayabilir ve yansıtabilir.
Bu cihazlar, veri trafiği hızından bağımsız olarak, ağ TAP cihazının paket akışını hiçbir şekilde değiştirmeden trafiğe erişir. Bu, ağ trafiğinin izlemeye ve port yansıtma işlemine tabi olmadığı anlamına gelir; bu da verilerin güvenlik ve analiz araçlarına yönlendirilirken bütünlüğünün korunması için çok önemlidir.
Bu, ağ çevre aygıtlarının trafik kopyalarını izlemesini ve ağ TAP aygıtlarının gözlemci görevi görmesini sağlar. Verilerinizin bir kopyasını bağlı tüm aygıtlara ileterek, ağ noktasında tam görünürlük elde edersiniz. Bir ağ TAP aygıtı veya izleme aygıtı arızalanırsa, trafiğin etkilenmeyeceğini bilirsiniz; bu da işletim sisteminin güvenli ve kullanılabilir kalmasını sağlar.
Aynı zamanda, bu durum ağ TAP cihazlarının genel hedefi haline gelir. Ağdaki trafiği kesintiye uğratmadan paketlere her zaman erişim sağlanabilir ve bu görünürlük çözümleri daha gelişmiş durumları da ele alabilir. Yeni nesil güvenlik duvarlarından veri sızıntısı korumasına, uygulama performans izlemesine, SIEM'e, dijital adli tıpa, IPS'ye, IDS'ye ve daha fazlasına kadar uzanan araçların izleme ihtiyaçları, ağ TAP cihazlarının evrim geçirmesini zorunlu kılmaktadır.
TAP cihazları, trafiğin eksiksiz bir kopyasını sağlamanın ve kullanılabilirliği sürdürmenin yanı sıra aşağıdakileri de sağlayabilir.
1. Ağ İzleme Performansını En Üst Düzeye Çıkarmak İçin Paketleri Filtreleyin
Bir ağ TAP cihazının bir paketin %100 kopyasını oluşturabilmesi, her izleme ve güvenlik aracının paketin tamamını görmesi gerektiği anlamına gelmez. Trafiği tüm ağ izleme ve güvenlik araçlarına gerçek zamanlı olarak aktarmak, yalnızca aşırı işlemeye yol açacak ve bu da araçların ve ağın performansını olumsuz etkleyecektir.
Doğru Ağ TAP cihazının yerleştirilmesi, izleme aracına yönlendirilen paketlerin filtrelenmesine ve doğru verinin doğru araca dağıtılmasına yardımcı olabilir. Bu tür araçlara örnek olarak Saldırı Tespit Sistemleri (IDS), Veri Kaybı Önleme (DLP), Güvenlik Bilgi ve Olay Yönetimi (SIEM), Adli Analiz ve daha birçok sistem verilebilir.
2. Etkin Ağ Oluşturma için Bağlantıları Birleştirme
Ağ izleme ve güvenlik gereksinimleri arttıkça, ağ mühendisleri mevcut BT bütçelerini daha fazla görevi yerine getirmek için kullanmanın yollarını bulmalıdır. Ancak bir noktada, sisteme sürekli yeni cihazlar ekleyip ağınızın karmaşıklığını artırmaya devam edemezsiniz. İzleme ve güvenlik araçlarından en iyi şekilde yararlanmak çok önemlidir.
Ağ TAP cihazları, doğu ve batı yönlü birden fazla ağ trafiğini bir araya getirerek, paketleri tek bir port üzerinden bağlı cihazlara iletmeye yardımcı olabilir. Bu şekilde görünürlük araçlarının kullanılması, gereken izleme araçlarının sayısını azaltacaktır. Veri merkezlerinde ve veri merkezleri arasında doğu-batı yönlü veri trafiği artmaya devam ettikçe, büyük veri hacimleri genelinde tüm boyutlu akışların görünürlüğünü sağlamak için ağ TAP cihazlarına olan ihtiyaç hayati önem taşımaktadır.
İlginizi çekebilecek ilgili makaleye buradan ulaşabilirsiniz:Ağ Trafiği Nasıl Yakalanır? Ağ Takibi mi, Bağlantı Noktası Yansıtması mı?
Yayın tarihi: 24 Ekim 2024
