Выбрать язык


Выбрать язык | Show only


Русский | English


четверг, 31 марта 2016 г.

SPAN-агрегация и пакетные брокеры. Дедупликация пакетов


Может возникнуть вопрос: как нужно так неправильно строить систему зеркалирования трафика, чтобы пакеты дублировались? Да запросто. Предположим, при необходимости анализа трафика ЦОД отзеркаливаем линки в ЦОД извне (независимо от того, Интернет это или остальная часть корпоративной сети), чтобы видеть внешние подключения, и линки на уровне распределения либо сервисного уровня ЦОД в зависимости от модели, по которой построена сеть. Пакет, влетающий извне, не продублируется только если в ЦОД есть сегмент, взаимодействующий только с остальными сегментами ЦОД, и недоступный снаружи, подключенный физически через другие линки.


Предположим, есть некий фрагмент сети, изображенный на картинке. Ответвители отстреливают трафик на агрегаторы, откуда уже идет раздача на системы ИБ. На примере пользовательских подключений к серверам видим, что в данной схеме пакеты обмена информацией пользователей с серверами проходят минимум через 2 ответвителя, которые отправляют копию трафика на агрегаторы. В итоге системы ИБ получают избыточный трафик при анализе данных подключений.