Как правильно подключиться к сети для захвата трафика? Часть 3. Ответвители сетевого трафика (TAP)
Наиболее эффективным способом для подключения к сети и захвата трафика являются ответвители сетевого трафика или Test Access Point (TAP). Данные устройства позволяют решить как задачи обеспечения безопасности сети, так и задачи оптимизации и повышения производительности ИТ-инфраструктуры. В чем преимущества ответвителя трафика по сравнению со всеми другими способами?
Их много:
- быстрый доступ к данным без прерывания сервиса или дополнительных настроек на активном сетевом оборудовании;
- при подключении в разрыв канала трафик для анализа передается с физического уровня без каких-либо изменений, т.е. мы видим все ошибки на уровне 1 и 2, которые обычно при использовании SPAN портов отбрасываются;
- агрегация трафика с разных SPAN или inline портов и передача его на один порт для анализа;
- регенерация трафика для анализа разными средствами, так как SPAN портов ограниченное количество, а доступ к трафику нужен для анализа разными устройствами;
- создать универсальную подсеть для копирования трафика и доставки по сети для последующего анализа.
Если посмотреть на решения, представленные на рынке, то их можно разделить на несколько классов:
- пассивные TAP ответвители — схема 1:1
- агрегирующие TAP ответвители — схема М:1
- регенерирующие TAP ответвители — схема 1:М
- брокеры сетевых пакетов — схема М:М
Пассивные ответвители сетевого трафика включаются в разрыв канала связи и для первоначального подключения потребуют прерывания сервиса. Ответвитель имеет два порта для подключения в разрыв канала связи и два порта для подключения устройства для анализа трафика или мониторинга. На рисунке представлен медный ответвитель трафика компании Gigamon, он имеет порт А и порт В для подключения в разрыв и два порта мониторинга, на каждый из которых копируется соответствующие поток Monitor A и Monitor B.
Для анализа трафика необходимо устройство, которое имеет два сетевых интерфейса и на своем уровне может объединить эти потоки или все чаще приходится встречать, что после такого устройства стоит более функциональное железо, например, многопортовый брокер сетевых пакетов. Наиболее популярная схема подключения к оптическому магистральному каналу связи включает пассивный оптический ответвитель с разделением 70 на 30 и брокер сетевых пакетов. В брокер подключают устройства контент фильтрации, системы обнаружения и предотвращения вторжений или системы мониторинга сетевого трафика.
Агрегирующие ответвители работают по схеме несколько портов в один и позволяют проанализировать трафик сразу из нескольких сегментов сети. Трафик обычно собирается с нескольких SPAN портов и подается на устройство для анализа. Так как трафик собирается с SPAN портов, то понятно, что для подключения к сети прерывания сервисов не требуется. При таком подключении важно помнить о пропускной способности порта мониторинга, т. е. если мы собираем трафик с 4-х сегментов сети, которые загружены более чем на 10%, то на порту мониторинга мы можем получить перегрузку, а, следовательно, упустить часть пакетов при повышении загрузки канала. На рисунке ниже представлен агрегирующий ответвитель трафика компании Datacom Systems.
Регенерационные ответвители трафика, как вы уже догадались, позволяют обойти ограничения количества доступных SPAN портов, когда, например, на корневом коммутаторе доступен один SPAN порт, а нам необходимо подключить несколько систем для анализа трафика. Тогда идеальное решение – регенерационный ответвитель сетевого трафика. Он подключается в разрыв канала и копирует трафик на несколько портов, к которым и подключаются все системы мониторинга безопасности или производительности.
В случае если перед вами стоит более комплексная задача и необходимо подключиться в разрыв канала и агрегировать и регенерировать трафик, да еще с предварительной фильтрацией трафика или конверсией скорости (с 1Гбит/сек на 10Гбит/сек или наоборот) или конверсией среды передачи (медь/оптика), то для ее решения существуют брокеры сетевых пакетов, которые имеют интерфейс управления и множество настроек и работают по схеме М:M. Брокер сетевых пакетов позволяет осуществлять дедупликацию пакетов, с точки зрения безопасности удалять полезную нагрузку, ограничивая анализ только заголовков, а также выполнять балансировку нагрузки для оптимальной загрузки средств мониторинга.
Отличия между ответвителем трафика и брокером сетевых пакетов:
|
Ответвитель трафика |
Брокер сетевых пакетов |
Администрирование |
||
Централизованное удаленное управление |
|
Да |
Интерфейс пользователя для настройки и управления через Web формы или командную строку |
|
Да |
Надежность подключения |
||
Проверка состояния портов активного сетевого оборудования |
|
Да |
Политики управления трафиком при потере питания |
|
Да |
Зеркалирование состояния портов активного сетевого оборудования |
|
Да |
Управление трафиком |
||
Поддержка пассивных средств мониторинга (например, система обнаружения вторжения, анализ трафика, анализ поведения пользователей) |
Да |
Да |
Полная агрегация пакетов |
Да |
Да |
Регенерация трафика |
Да |
Да |
Поддержка активных средств мониторинга (например, система предотвращения вторжения, DDoS, DLP, NGFW и т.д.) |
|
Да |
Выборочное агрегирование трафика |
|
Да |
Фильтрация пакетов на аппаратном уровне |
|
Да |
Балансировка нагрузки с учетом сессий |
|
Да |
Буферизация трафика для сглаживания пиковых нагрузок |
|
Да |
Оптимизация пакетов |
||
Глубокий анализ пакетов |
|
Да |
Восстановление фрагментированных пакетов |
|
Да |
Удаление меток VLAN, MPLS, GTP для анализа трафика обычными средствами |
|
Да |
Маркировка пакетов — порт и время |
|
Да |
Регулировка уровня глубины анализа пакетов (PCI, HIIPA и т. д.) |
|
Да |
Завершая статью можно сказать, что TAP ответвители имеют один недостаток – они стоят денег, но при этом, как ни один другой метод позволяют получить полный доступ к сетевому трафику и гибко настраивать устройства исходя из стоящей перед вами задачи – безопасность или анализ производительности.
В течение 2015 года мы смогли реализовать несколько проектов для подключения систем безопасности – СОРМ, а также благодаря использованию брокера сетевых пакетов смогли заказчику оптимизировать нагрузку на систему мониторинга производительности приложений, удалив ненужный трафик и заведя на систему только трафик интересующих нас сервисов. Нагрузка упала в два раза, и клиент смог сэкономить не один десяток тысяч долларов США.
Сколько трафика теряется при использовании SPAN порта
Компания Garland Technology провела сравнение между копированием трафика с помощью SPAN порта и с помощью ответвителя трафика. Выводы неутешительные - с использованием SPAN порта мы теряем до 8% трафика.
Взгляд ведущего специалиста компании IXIA – чем ответвитель TAP лучше SPAN порта?
Подписывайтесь на рассылку, делитесь статьями в соцсетях и задавайте вопросы в комментариях!
Всегда на связи, Игорь Панов.
См. также:
- Какие параметры влияют на производительность приложений? Часть 2. Полоса пропускания и использование канала связи
- Какие функциональные возможности должны быть у решения для мониторинга производительности сети?
- Перехват паролей с помощью Wireshark
Авторизуйтесь для этого