一流的團隊都面臨巨大的壓力，提高企業(yè)網(wǎng)絡(luò)的性能和安全性。監(jiān)測安全性、合規(guī)性和性能需要得到正確的數(shù)據(jù)以供正確的監(jiān)測工具進行分析。本文介紹網(wǎng)絡(luò)監(jiān)測交換機的功能，以及如何優(yōu)化監(jiān)測工具的流量，提高整體監(jiān)測工具的性能和保護IT團隊的監(jiān)測工具投資。

當(dāng)今商業(yè)環(huán)境面臨的監(jiān)測挑戰(zhàn)

業(yè)務(wù)應(yīng)用和系統(tǒng)的快速發(fā)展使信息技術(shù)(IT)成為世界上最成功的公司戰(zhàn)略的一部分。近期轉(zhuǎn)向虛擬化和云計算正值惡意實體對戰(zhàn)略資產(chǎn)發(fā)起不斷增加的威脅之時。同時，越來越苛刻的政府和行業(yè)法規(guī)需要更嚴(yán)格的數(shù)據(jù)中心控制，以確保合規(guī)性。信息機構(gòu)都在努力應(yīng)對這些挑戰(zhàn)，同時努力改善網(wǎng)絡(luò)和計算機系統(tǒng)的響應(yīng)性和可靠性，以幫助提高其公司的競爭優(yōu)勢。

為了擺脫這些數(shù)據(jù)中心的挑戰(zhàn)，IT團隊使用多項技術(shù)主動監(jiān)測他們的網(wǎng)絡(luò)和應(yīng)用。應(yīng)用性能監(jiān)測、網(wǎng)絡(luò)性能監(jiān)測、入侵檢測和預(yù)防系統(tǒng)、網(wǎng)絡(luò)電話顯示器、數(shù)據(jù)記錄器、傳統(tǒng)的網(wǎng)絡(luò)分析儀是監(jiān)測工具的示例，幫助IT團隊更好地了解其網(wǎng)絡(luò)的性能和問題。這些有價值的工具都需要訪問網(wǎng)絡(luò)數(shù)據(jù)，以進行它們的分析。網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)TAP上的鏡像端口(也稱為SPAN端口)構(gòu)成了為分析工具提供網(wǎng)絡(luò)數(shù)據(jù)的數(shù)據(jù)接入點。但是，因為數(shù)據(jù)接入點的數(shù)目是有限的，連接了大量的監(jiān)測工具到網(wǎng)絡(luò)是不可能的。一個相對較新的技術(shù)——網(wǎng)絡(luò)監(jiān)測交換機，是為了解決這個問題。

網(wǎng)絡(luò)監(jiān)測交換機位于網(wǎng)絡(luò)SPAN、TAP和監(jiān)測工具之間。該技術(shù)允許網(wǎng)絡(luò)工程師從 SPAN

和TAP 端口收集網(wǎng)絡(luò)流量，并提供帶有網(wǎng)絡(luò)數(shù)據(jù)副本的監(jiān)測工具。

圖1 展示了網(wǎng)絡(luò)監(jiān)測交換機配合一個典型的網(wǎng)絡(luò)。但是，網(wǎng)絡(luò)監(jiān)測交換機做的遠(yuǎn)不止復(fù)制數(shù)據(jù)。它們解決了網(wǎng)絡(luò)工程師在當(dāng)今的數(shù)據(jù)中心面臨的安全性、合規(guī)性以及可視性問題。

根據(jù)Forrester研究公司2011年8月公布的報告，網(wǎng)絡(luò)監(jiān)測交換機是今天的數(shù)據(jù)中心的必備元素之一。此外，來自Forrester的報告指出：

•“I&O(基礎(chǔ)設(shè)施和運營)的專業(yè)人士正在轉(zhuǎn)向數(shù)據(jù)中心的監(jiān)測交換機;這些裝置可以收集所有來自網(wǎng)絡(luò)上的SPAN鏈接和TAP的流量，并與多個監(jiān)測和管理工具共享。該交換機可以與IDS / IPS、APM等工具共享其他基于流的信息，從而消除了SPAN端口和網(wǎng)絡(luò)分流短缺。”

圖一 網(wǎng)絡(luò)監(jiān)測交換機位于網(wǎng)絡(luò)SPAN、TAP和監(jiān)測工具之間

#p#

本白皮書將介紹網(wǎng)絡(luò)監(jiān)測交換機的能力，并解釋它解決當(dāng)今數(shù)據(jù)中心的問題。

監(jiān)測工具全面可視網(wǎng)絡(luò)

將監(jiān)測工具直接連接網(wǎng)絡(luò)中的 TAP 和SPAN端口是獲得分析數(shù)據(jù)最簡單的方法，但這種方法有幾個缺陷。最直接的問題是，只是沒有足夠的TAP和SPAN端口針對典型IT團隊使用的所有工具。根據(jù)企業(yè)管理協(xié)會公司的研究和分析，43%的組織表示SPAN和TAP的短缺是他們無法監(jiān)測所有網(wǎng)段的主要原因。(參見圖2)。

覆蓋范圍：為什么不能監(jiān)測所有網(wǎng)段?

Ÿ SPAN/TAP短缺

Ÿ 沒有足夠的監(jiān)測工具

Ÿ 買不起附加工具

Ÿ 工作人員跟不上

Ÿ 覆蓋范圍足夠

Ÿ 工具不提供能力

Ÿ 其他

圖2：企業(yè)管理協(xié)會數(shù)據(jù)：為什么一些網(wǎng)段不能被監(jiān)測

現(xiàn)代網(wǎng)絡(luò)架構(gòu)通過網(wǎng)絡(luò)提供了多條路徑，這有助于提高網(wǎng)絡(luò)的可靠性，同時也為有效的監(jiān)督創(chuàng)造了另一個問題。當(dāng)一個或多個鏈路失敗，這種冗余的網(wǎng)絡(luò)體系結(jié)構(gòu)確保了數(shù)據(jù)仍然可以到達(dá)其目的地時。然而，冗余也意味著在網(wǎng)絡(luò)中的兩個設(shè)備之間的數(shù)據(jù)可能不能通過完全相同的網(wǎng)絡(luò)路徑，一些數(shù)據(jù)可能被監(jiān)測工具錯過。

因為許多監(jiān)測工具需要來自一個會話的所有數(shù)據(jù)來執(zhí)行精確的分析，很有可能該數(shù)據(jù)缺失會導(dǎo)致不準(zhǔn)確的報告。試想只計算駛過一個街道的車輛數(shù)目來分析一個城市的交通。這條街上的交通量可能并不能代表其他地方的交通，車型的頻率的統(tǒng)計分析很可能被扭曲。缺乏可視性嚴(yán)重限制了監(jiān)測工具的有效性。

網(wǎng)絡(luò)監(jiān)測交換機解決了可視性的問題。網(wǎng)絡(luò)監(jiān)測交換機使IT團隊能夠快速連接TAP和SPAN到監(jiān)測工具，并通過一個易于控制的控制面板來配置這些連接。這樣一來，監(jiān)測工具可以訪問來自多個網(wǎng)段的所有數(shù)據(jù)，并獲得網(wǎng)絡(luò)流量的完整視圖。此外，監(jiān)測工具可以獲得來自一個或多個網(wǎng)段的數(shù)據(jù)副本，從而使更多的工具來獲得相同的網(wǎng)絡(luò)數(shù)據(jù)。

網(wǎng)絡(luò)監(jiān)測交換機通過解決TAP和SPAN短缺的問題增加可視性。然而，先進的網(wǎng)絡(luò)監(jiān)測交換機還提高監(jiān)測能力，方法是放寬帶寬升級路徑、提高網(wǎng)絡(luò)監(jiān)測工具的性能、安全訪問網(wǎng)絡(luò)數(shù)據(jù)，并提高數(shù)據(jù)中心的生產(chǎn)率。#p#

放寬升級道路

現(xiàn)代數(shù)據(jù)中心面臨的另一個挑戰(zhàn)是需要升級到10G或40G，以處理不斷增長的帶寬需求。據(jù)Anue系統(tǒng)網(wǎng)絡(luò)工程師最近進行的市場調(diào)查顯示，超過40%的受訪者計劃在未來18個月內(nèi)提升他們的支柱網(wǎng)絡(luò)。你什么時候開始升級?

圖3：網(wǎng)絡(luò)工程師什么時候計劃升級其支柱網(wǎng)絡(luò)

升級的網(wǎng)絡(luò)是昂貴的，并且當(dāng)網(wǎng)絡(luò)監(jiān)測工具必須同時進行升級時變得更加昂貴。傳統(tǒng)意義上，網(wǎng)絡(luò)工程師沒有選擇。當(dāng)他們升級他們的網(wǎng)絡(luò)，他們也不得不升級監(jiān)測工具。隨著網(wǎng)絡(luò)監(jiān)測交換機的到來，網(wǎng)絡(luò)工程師現(xiàn)在有一個更好的選擇，因為這些新設(shè)備還允許低速監(jiān)測工具接收來自高速核心網(wǎng)段的數(shù)據(jù)。網(wǎng)絡(luò)工程師現(xiàn)在能夠利用他們的低速工具監(jiān)測高速支柱網(wǎng)絡(luò)，保護其原有的監(jiān)測工具投資。

那么，監(jiān)測交換機如何在升級后的網(wǎng)絡(luò)中工作呢?該網(wǎng)絡(luò)監(jiān)測交換機“降檔”網(wǎng)絡(luò)數(shù)據(jù)的速度與可用監(jiān)測工具的速度相匹配。因為該網(wǎng)絡(luò)監(jiān)測工具與升級后的網(wǎng)絡(luò)之間潛在的速度不匹配，監(jiān)測工具可能對導(dǎo)致數(shù)據(jù)包丟失的數(shù)據(jù)不知所措。該網(wǎng)絡(luò)監(jiān)測交換機提供了一種方法來過濾網(wǎng)絡(luò)數(shù)據(jù)，以減少數(shù)據(jù)量，符合該工具的處理能力。

這種能力不僅解決了速度地差距，而且還可以從數(shù)據(jù)流中刪除其他不必要的數(shù)據(jù)包，只提供監(jiān)測工具所需的分析數(shù)據(jù)。這樣一來，監(jiān)測工具在涉及不相關(guān)的數(shù)據(jù)時不必要浪費CPU和內(nèi)存資源。隨著IT組織過渡到新的、更高速的網(wǎng)絡(luò)技術(shù)，這不僅擴展了監(jiān)測工具投資，它還讓IT團隊從他們已經(jīng)擁有的監(jiān)測工具中得到性能改善。

使監(jiān)測工具更好地工作

IT組織對監(jiān)測工具進行大量的投資。因此，至關(guān)重要的是，IT團隊通過充分利用自己的核心能力來充分利用他們的監(jiān)測工具。為了幫助IT團隊實現(xiàn)他們的監(jiān)測工具的最大優(yōu)勢，先進的網(wǎng)絡(luò)監(jiān)測交換機提供了許多功能，從他們的工具卸載密集型處理。這樣的特性包括數(shù)據(jù)包過濾、負(fù)載均衡、數(shù)據(jù)包重復(fù)數(shù)據(jù)刪除、數(shù)據(jù)包微調(diào)和MPLS剝離。

過濾

使用監(jiān)測工具來找到所需要的數(shù)據(jù)包并丟棄剩余的數(shù)據(jù)包浪費了昂貴的資源。它也是處理器密集型的。通過在網(wǎng)絡(luò)監(jiān)測交換機上過濾數(shù)據(jù)，監(jiān)測工具被釋放來執(zhí)行被購買的工作，從而導(dǎo)致監(jiān)測工具執(zhí)行更多有用的工作。

過濾通常分三個階段進行。第一階段是在網(wǎng)絡(luò)所連接的端口(網(wǎng)絡(luò)接口)上進行。第二階段是位于網(wǎng)絡(luò)端口和監(jiān)測工具所連接的端口(工具端口)之間的能力強、端口獨立的過濾器。過濾的第三階段是在工具端口進行。三級過濾是很重要的，因為在網(wǎng)絡(luò)端口的過濾完全消除了排除在外的流量被提供給所有的工具端口。一旦該流量被刪除，它不再可用于分析。

一種替換的方法是在工具端口過濾，但這將導(dǎo)致兩個問題。第一，工具接口可能被來自網(wǎng)絡(luò)端口的流量覆蓋。第二，網(wǎng)絡(luò)過濾器和工具過濾器之間的相互作用復(fù)雜且不明顯，除非你精通集合論。端口獨立的過濾器是進行批量過濾的理想場所，因為它可以通過這個單一的過濾器定義準(zhǔn)確地了解正在發(fā)生的事情。當(dāng)考慮一個網(wǎng)絡(luò)監(jiān)測交換機，了解其過濾能力是很重要的。請參閱圖3作為三級過濾的例子。#p#

圖3.三級過濾的例子

負(fù)載均衡

當(dāng)企業(yè)網(wǎng)絡(luò)中的數(shù)據(jù)量增加，IT團隊經(jīng)常發(fā)現(xiàn)，該網(wǎng)絡(luò)數(shù)據(jù)流的增長速度比其監(jiān)測工具的能力更快。之前表現(xiàn)不錯的單個監(jiān)測工具現(xiàn)在喪失能力。通過“負(fù)載平衡”，一些網(wǎng)絡(luò)監(jiān)測交換機具有跨多個工具發(fā)送數(shù)據(jù)的能力，而且堅持將所有數(shù)據(jù)從一個特定的會話發(fā)送到單一監(jiān)測工具。負(fù)載平衡功能保持會話數(shù)據(jù)放在一起，以進行更好的分析，但跨多個監(jiān)測工具平衡了網(wǎng)絡(luò)總負(fù)荷。這個功能被廣泛用于與網(wǎng)絡(luò)數(shù)據(jù)記錄器。由于會話數(shù)據(jù)被保持在一起，在以后的時間里只需要一個數(shù)據(jù)記錄器訪問來分析任何給定會話。

數(shù)據(jù)包重復(fù)數(shù)據(jù)刪除

卸載的另一種形式是網(wǎng)絡(luò)監(jiān)測交換機從網(wǎng)絡(luò)數(shù)據(jù)流中刪除重復(fù)的數(shù)據(jù)包的能力。重復(fù)的數(shù)據(jù)包最常見是由使用SPAN/鏡像端口造成。雖然一些監(jiān)測工具能夠刪除重復(fù)的數(shù)據(jù)包，許多工具不具備這種能力。然而，即使一個監(jiān)測工具能夠刪除重復(fù)的數(shù)據(jù)包，這樣做是一個非常耗費資源的任務(wù)。卸載重復(fù)數(shù)據(jù)包刪除到網(wǎng)絡(luò)監(jiān)測交換機可以減少監(jiān)測工具一半的CPU負(fù)荷。

刪除重復(fù)的數(shù)據(jù)包的另一個關(guān)鍵好處是工具的以太網(wǎng)端口的帶寬被保存，允許提供更多的數(shù)據(jù)給監(jiān)測工具。在極端的情況下，帶寬效率的提高可以增加一倍以上的“好”數(shù)據(jù)包的數(shù)量，大大提高了監(jiān)測工具的性能。

數(shù)據(jù)包微調(diào)

在將數(shù)據(jù)包發(fā)送到監(jiān)測工具之前，數(shù)據(jù)包微調(diào)從數(shù)據(jù)包中刪除有效載荷數(shù)據(jù)，留下標(biāo)題信息。一些監(jiān)測工具不要求數(shù)據(jù)包有效負(fù)載的信息，在這種情況下，刪除載荷數(shù)據(jù)允許更多的數(shù)據(jù)跨越鏈路從網(wǎng)絡(luò)監(jiān)測交換機被發(fā)送到監(jiān)測工具。這樣一來，監(jiān)測工具可以收到更大數(shù)量的網(wǎng)絡(luò)數(shù)據(jù)。此外，由于合規(guī)性原因，在發(fā)送到監(jiān)測工具之前，可能期望“微調(diào)”或刪除數(shù)據(jù)包中敏感的有效載荷數(shù)據(jù)。

MPLS剝離

刪除MPLS標(biāo)簽是另一種形式的卸載，實際上增加了監(jiān)測工具的能力。大多數(shù)監(jiān)測工具不能夠理解MPLS標(biāo)簽的數(shù)據(jù)包，使他們無法監(jiān)測MPLS網(wǎng)絡(luò)。網(wǎng)絡(luò)監(jiān)測交換機可以刪除MPLS標(biāo)頭和轉(zhuǎn)發(fā)包含在MPLS標(biāo)記的數(shù)據(jù)包中的原始數(shù)據(jù)包。標(biāo)準(zhǔn)的網(wǎng)絡(luò)監(jiān)測工具可以用來監(jiān)測MPLS網(wǎng)絡(luò)活動。

保持網(wǎng)絡(luò)數(shù)據(jù)安全

安全始終是IT組織的一個關(guān)鍵問題，因為他們負(fù)責(zé)確保錯誤的數(shù)據(jù)最終不會落入他人之手。相反，他們必須確保正確的數(shù)據(jù)在正確的人手中。網(wǎng)絡(luò)監(jiān)測交換機具有集成到網(wǎng)絡(luò)安全系統(tǒng)的能力(如TACACS +)，并允許管理員指定哪些用戶和群組可以訪問網(wǎng)絡(luò)數(shù)據(jù)。細(xì)粒度訪問控制能夠指定哪些群組或用戶可以訪問以及他們有權(quán)做什么——如有權(quán)修改端口設(shè)置、數(shù)據(jù)流的連接以及過濾器定義。

一旦網(wǎng)絡(luò)監(jiān)測交換機的訪問控制建立，最佳安全實踐要求任何變化都記錄到系統(tǒng)日志服務(wù)器。這樣就可以知道何時何人進行了更改。#p#

提高IT生產(chǎn)力

IT部門缺乏時間和資源，提高生產(chǎn)率具有很大的意義。由于管理網(wǎng)絡(luò)監(jiān)測配置，連接器和過濾器的定義可以是一個復(fù)雜的任務(wù)，如何通過一個監(jiān)測工具管理這些配置是關(guān)鍵。利用網(wǎng)絡(luò)監(jiān)測交換機管理配置以不同的方式進行，這取決于所選的監(jiān)測交換機的的品牌。

有些需要專門配置網(wǎng)絡(luò)流量的命令行界面代碼，有的要求GUI界面和命令行界面代碼的結(jié)合，有的完全通過拖動和拖放界面來管理。通過拖動和拖放控制面板管理的工具比其他版本更易于部署，因為IT團隊并不必須是具體到該工具的命令語言專家。一個直觀的界面還允許IT團隊專注于經(jīng)營監(jiān)測工具，而不是將數(shù)據(jù)發(fā)送到工具的任務(wù)。

過濾庫

網(wǎng)絡(luò)監(jiān)測交換機的另一個省時的功能是導(dǎo)入和導(dǎo)出精細(xì)控制哪些內(nèi)容被保存或加載的配置信息。過濾器定義庫也可以被保存，使IT團隊能夠創(chuàng)造共同的過濾器定義，并為團隊之間的使用傳播這些庫。

自動化

自動化是適用于某些網(wǎng)絡(luò)監(jiān)測交換機的生產(chǎn)力提高。監(jiān)測工具、網(wǎng)絡(luò)管理系統(tǒng)和IT自動化系統(tǒng)可以動態(tài)地控制網(wǎng)絡(luò)監(jiān)測交換機。通過使用一個簡單的腳本語言，基于軟件的系統(tǒng)可以控制網(wǎng)絡(luò)監(jiān)測交換機的任何方面。 IT團隊現(xiàn)在可以創(chuàng)建功能非常強大的系統(tǒng)，這些系統(tǒng)使用協(xié)同或自動化工作的多個網(wǎng)絡(luò)設(shè)備。

想象一下，一個入侵檢測系統(tǒng)(IDS)在發(fā)生入侵時就檢測到。利用網(wǎng)絡(luò)監(jiān)測交換機的自動化功能，IDS啟動了腳本，建立了被IDS監(jiān)測的網(wǎng)絡(luò)端口和網(wǎng)絡(luò)數(shù)據(jù)記錄器之間的連接，立即捕獲入侵事件以供日后分析。同樣，網(wǎng)絡(luò)管理系統(tǒng)能夠應(yīng)對網(wǎng)絡(luò)中發(fā)生的變化，并更改過濾器或添加/更改/刪除網(wǎng)絡(luò)監(jiān)測交換機的內(nèi)部連接。

總結(jié)

IT團隊面臨的壓力正在不斷增加，以提高企業(yè)網(wǎng)絡(luò)的性能和安全性。為了應(yīng)對這些挑戰(zhàn)，IT團隊依靠監(jiān)測工具。監(jiān)測安全性、合規(guī)性以及應(yīng)用和網(wǎng)絡(luò)性能要求訪問越來越多的網(wǎng)絡(luò)數(shù)據(jù)、優(yōu)化性能的監(jiān)測工具和全面了解網(wǎng)絡(luò)。不幸的是，數(shù)據(jù)接入點的數(shù)量有限，妨礙了有效的監(jiān)測。網(wǎng)絡(luò)監(jiān)測交換機是解決這些挑戰(zhàn)的必要工具。網(wǎng)絡(luò)監(jiān)測交換機不僅解決TAP和SPAN短缺的問題，同時也優(yōu)化了到所有監(jiān)測工具的流量，提高了整體監(jiān)測工具性能并保護IT團隊的監(jiān)測工具投資。

Ixia的Anue5200系列網(wǎng)絡(luò)優(yōu)化工具

Anue系統(tǒng)5200系列網(wǎng)絡(luò)工具優(yōu)化™(NTO)結(jié)合了帶有強大功能以及三級過濾、自動化和數(shù)據(jù)包復(fù)制的基本網(wǎng)絡(luò)監(jiān)測交換機的功能和好處。

NTO業(yè)界領(lǐng)先的“拖動和拖放”控制面板使它成為業(yè)內(nèi)最易使用的網(wǎng)絡(luò)監(jiān)測交換機。