Может возникнуть вопрос: как нужно так неправильно строить систему зеркалирования трафика, чтобы пакеты дублировались? Да запросто. Предположим, при необходимости анализа трафика ЦОД отзеркаливаем линки в ЦОД извне (независимо от того, Интернет это или остальная часть корпоративной сети), чтобы видеть внешние подключения, и линки на уровне распределения либо сервисного уровня ЦОД в зависимости от модели, по которой построена сеть. Пакет, влетающий извне, не продублируется только если в ЦОД есть сегмент, взаимодействующий только с остальными сегментами ЦОД, и недоступный снаружи, подключенный физически через другие линки.
name='more'>
Предположим, есть некий фрагмент сети, изображенный на картинке. Ответвители отстреливают трафик на агрегаторы, откуда уже идет раздача на системы ИБ. На примере пользовательских подключений к серверам видим, что в данной схеме пакеты обмена информацией пользователей с серверами проходят минимум через 2 ответвителя, которые отправляют копию трафика на агрегаторы. В итоге системы ИБ получают избыточный трафик при анализе данных подключений.
Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!
