SPAN-агрегация и пакетные брокеры. Дедупликация пакетов

SPAN-агрегация и пакетные брокеры. Дедупликация пакетов

Может возникнуть вопрос: как нужно так неправильно строить систему зеркалирования трафика, чтобы пакеты дублировались? Да запросто. Предположим, при необходимости анализа трафика ЦОД отзеркаливаем линки в ЦОД извне (независимо от того, Интернет это или остальная часть корпоративной сети), чтобы видеть внешние подключения, и линки на уровне распределения либо сервисного уровня ЦОД в зависимости от модели, по которой построена сеть. Пакет, влетающий извне, не продублируется только если в ЦОД есть сегмент, взаимодействующий только с остальными сегментами ЦОД, и недоступный снаружи, подключенный физически через другие линки.

name='more'>
Предположим, есть некий фрагмент сети, изображенный на картинке. Ответвители отстреливают трафик на агрегаторы, откуда уже идет раздача на системы ИБ. На примере пользовательских подключений к серверам видим, что в данной схеме пакеты обмена информацией пользователей с серверами проходят минимум через 2 ответвителя, которые отправляют копию трафика на агрегаторы. В итоге системы ИБ получают избыточный трафик при анализе данных подключений.
  
Alt text
История Ричарда Столмана - от любви до ненависти. Раскрыты подробности уплаты выкупа вымогателям а киберграбители взялись за цифровое искусство. Смотрите 12 выпуск security-новостей на нашем Youtube канале.

Андрей Дугин

Практическая информационная безопасность и защита информации | Information Security and Cyber Defense in Deed