流量監控
網絡流量監控存在的問題
當前很多企業已經部署了各種流量監控工具在網絡的各個地點,但流量監控工具分散在網絡各處,工具之間的互通性差,大大降低了流量監控工具的利用率,而且擴展性差。流量監控工具單個監控端口的成本昂貴,無法做到全網全局監控,使得網絡存在許多盲點。分散部署同時造成了管理和維護的困難,加大了企業運維成本。另外,網絡流量監控工具往往需要使用SPAN(鏡像)方式捕獲數據,受制于網絡設備端口和功能的限制,缺少必要的數據源預處理、調度和分發的手段。
統一流量監控平臺解決方案
通過在網絡基礎架構和網絡流量監控系統之間部署一層網絡流量捕獲的平臺,由網絡流量捕獲平臺負責網絡流量的采集和按需分發,流量監控系統負責流量的分析和處理,實現統一的數據捕獲、可控的數據源分發和調度,同時達到全網監控,統一管理和資源共享的目的。統一流量監控平臺的示意圖如下:
下面將介紹兩個典型的網絡流量監控部署方案:
網銀系統監控平臺部署方案
金融企業網銀出口的安全性至關重要,需要部署IDS、WEB分析、DB分析、網絡流量分析等多種流量監控工具,同時為了實現全網段監控,消除監控盲點,在網銀出口網絡架構和流量監控系統之間部署一層流量捕獲平臺,按需捕獲各網段的流量,并分發到相關的網絡監控工具上。網銀系統監控平臺部署方案如下圖所示:
骨干網、核心網和服務器監控平臺部署方案
對于骨干網廣域網鏈路的監控,可部署在線(inline)方式的分光器,分光器再將流量到流量捕獲平臺,由流量捕獲平臺根據需要轉發到網絡監控系統。對于核心網和服務器群的監控,可通過在線或SPAN方式捕獲流量,然后匯聚到流量捕獲平臺,在按需分發給各種流量監控系統。骨干網、核心網和服務器監控平臺部署方案如下圖所示: