Может
возникнуть вопрос: как нужно так неправильно строить систему зеркалирования
трафика, чтобы пакеты дублировались? Да запросто. Предположим, при
необходимости анализа трафика ЦОД отзеркаливаем линки в ЦОД извне (независимо
от того, Интернет это или остальная часть корпоративной сети), чтобы видеть
внешние подключения, и линки на уровне распределения либо сервисного уровня ЦОД
в зависимости от модели, по которой построена сеть. Пакет, влетающий извне, не
продублируется только если в ЦОД есть сегмент, взаимодействующий только с
остальными сегментами ЦОД, и недоступный снаружи, подключенный физически через
другие линки.
Предположим, есть
некий фрагмент сети, изображенный на картинке. Ответвители отстреливают трафик
на агрегаторы, откуда уже идет раздача на системы ИБ. На примере
пользовательских подключений к серверам видим, что в данной схеме пакеты обмена
информацией пользователей с серверами проходят минимум через 2 ответвителя,
которые отправляют копию трафика на агрегаторы. В итоге системы ИБ получают избыточный трафик при анализе данных подключений.
Эта проблема решается дедупликацией пакетов, схематически изображенной ниже. Если агрегатор зеркалированного трафика умеет выполнять подобное качественно и без сбоев - КПД систем обеспечения ИБ может существенно возрасти.
Вот такая вкратце суть дедупликации пакетов.
Андрей,привет!Не осталось картинки №2 этой статьи, где указано решение с дедупликацией?
ОтветитьУдалить