tap组网前置知识

  • 2023年4月6日

随着互联网的普及,网络流量分析技术从最初的流量抓取和分析工具,逐渐发展成复杂的网络监控和安全10bet十博欢迎您的解决方案,帮助用户深挖流量价值并解决相关问题,已成为企业网络管理和信息安全领域的重要组成部分。


在运维领域,它可以帮助监控和优化网络性能,从而提高系统稳定性;在安全领域,它可以帮助发现和应对网络威胁,追溯安全事件的发生过程,保障网络安全;在工控领域,它可以帮助管理和维护工控系统,确保其正常运行;在审计领域,它可以帮助检查和验证合规性。因此,网络流量分析技术在各个领域中都非常重要,值得被广泛应用和深入研究。   


面对海量流量从何“入手”   


在网络流量分析领域中,大规模流量捕获与监测已经成为必然。然而,在面对海量的网络数据时,如何获取高分析价值的流量,排除低分析价值的流量,是一个相当具有挑战性的问题。因此,我们从哪里开始“入手”是解决问题的关键。


网络流量的捕获点直接影响了流量分析的精度和有效性,选择正确的流量捕获位置可以帮助网络管理员更加有效地管理和保护网络。常见的捕获点包括网络出口、核心交换、高层设备前后、服务器区域等。


1. 网络出口、边界(南北向流量)


网络出口是指从本地网络到外部互联网,或互联专线的网络流量。从网络运维角度讲,获取网络出口流量可以帮助管理员了解整个网络带宽的利用率和性能瓶颈、运营商专线质量,从而实现合理规划带宽,降低高昂的网络专线成本;对部分“访问不到你单位,我这边请求已经发出去了”类的故障,使用流量分析亦可精准定位问题根源;从网络安全角度讲,获取网络出口流量可以发现南北向恶意流量和攻击。


2. 核心交换(东西向流量)


核心交换是指连接多个网络区域或子网的主要交换设备。在核心交换上进行流量分析可以捕获网络区域或子网之间的流量,识别并优化网络拓扑结构,判断区域间或子网间的网络故障,以及分析来自东西向的横向移动攻击。


3. 应用层设备前、后(防火墙、负载均衡)


应用层设备包括防火墙、负载均衡等设备。这些设备通常是网络流量的关键控制点,对其前、后位置分别进行流量分析,可以帮助管理员识别发现性能瓶颈;同时,由于此类设备出现疑难故障概率较高,因此需要前后位置流量做对比,在故障排除时明确排除是否由于此类设备故障导致的原因。


4. 服务器区域(服务器流量、横向移动流量)


涉及服务器和存储设备等集中的计算资源。对服务器区域进行流量分析可以帮助管理员优化服务性能和保障数据安全。


由此可见,在获取网络流量时,应结合实际需求获取正确位置的流量,当然,如果条件允许,应尽可能获取全部关键位置的网络流量   


网络流量分析的实践难点   


想要利用流量价值,构建自己的“流量”系统,通常有四个核心步骤:采集、存储、分析和展现。由于大规模企业网络中存在网络流量过多的特性,导致网络流量采集器需要处理大量数据。因此大规模企业部署流量分析系统时通常存在如下难点:


数据量大:大规模企业网络中的数据流量很大,导致网络流量采集器需要处理大量数据。这对存储和处理能力提出了很高的要求,需要使用高效的存储技术和数据处理技术。


结构复杂:大规模企业网络通常由多个分布式系统构成,这些系统可能存在各种类型的设备、协议和服务,导致网络拓扑非常复杂。因此,在采集网络流量时,需要考虑到网络拓扑的复杂性,并进行相应的配置和优化,避免镜像流量额外占用业务带宽和带来新故障。


包过滤困难:在大规模企业网络中,可能存在海量的无用数据包,如广告、网络爬虫等,这些数据包会占据大量的带宽和存储空间,也会影响网络流量采集效率。因此,需要实现有效的包过滤机制,只采集关键数据包,避免不必要的浪费。


分布式部署:在大规模企业网络中,可能存在多个分布式系统和数据中心,因此需要进行分布式部署,并确保不同节点之间的数据一致性和可靠性。综上所述,为了实现高效、准确、可靠的网络流量分析,需要采用先进的技术和工具,结合实际需求和场景,进行精细的配置和优化。 


 “入手”位置已经确定,“挖掘工具”该如何选择?   


流量镜像技术是一项非常重要的技术,它可以帮助我们在不影响网络正常运行的情况下,获取到网络中所有的数据包。在技术发展过程中出现了几种流量镜像方式,包括hub、交换机端口镜像和tap。


其中hub因受制于硬件性能几乎已被淘汰,交换机端口镜像由于配置数量受限,并会占用额外的网络带宽,仅适用于小规模的流量镜像需求。与前两者相比较tap不受上述限制,且针对流量获取更加灵活,是目前应用较多的流量镜像10bet十博欢迎您的解决方案。


tap(terminal access point)是一种专用于镜像网络流量的硬件设备。tap设备能够将网络流量复制并转发到另一个端口或设备。它们通常用于监控特定的网络流量,例如入侵检测、网络性能优化等。tap设备的特点在于不受交换机端口镜像数量的限制,并支持一进多出(流量复制)、多进一出(流量汇聚)、流量过滤与裁剪等特殊场景。tap不会对网络性能产生影响,同时也可以捕获跨越多个vlan的流量。


– end –