提高工具效率
聚合的解决方案
挑战:如何确保最佳的工具性能?
网络监控和安全工具需要数据包数据来正确分析手头的任务。团队通常的任务是从他们现有的工具投资中获得更多,这在不断增长的流量和遗留架构中变得具有挑战性。
•网络和安全工具本身可以被超额认购。
•流量的增长超过了现有工具的能力,导致吞吐量和效率下降
要将数据发送到这些工具,您可以选择跨越交换机的端口或使用网络TAP。同时,必须避免对这些工具的性能或所连接的网络造成负面影响。
跨端口一般不会影响交换机的性能,尽管不同的跨端口特性/供应商会有不同,但会对您的数据和工具产生影响,包括:
•为低吞吐量情况设计,如果大量使用或超额使用,SPAN将丢弃数据包。
•当使用多个vlan时,可以复制报文。
•可以改变帧交互的时间,改变响应时间。
不会传递损坏的数据包或连接错误
解决方案
利用数据过滤,提高工具效率
随着网络流量的增长,分析这些数据不仅耗时而且昂贵,因为它通常包含大量的工具和网络段。
可以在特定场景中使用的更经济有效的技术是隔离需要检查的数据,如仅VOIP流量,或具有较高安全威胁风险的流量,并专注于分析该数据。这减轻了当前工具的负担,减少了流量负载,提高了工具的有效性和性能。
这种方法可以在TAP级别完成,使用Garland的XtraTAP或PacketMAX包代理一次聚合多个链接。
•为每个监视端口设置利用率警报
•远程管理警报,以避免超额订阅
•设置2、3、4层的过滤规则
•聚合和负载均衡流量,以获得最佳性能