2.问题之二:虚拟局域网(VLAN)
一个基本的
交换机只能支持一个逻辑子网,为了使
交换机更加灵活,发明了虚拟局域网技术(Virtual Local Area Network, 简称VLAN),这允许
交换机配置成两个网段,看上去像两个
交换机。
如果
交换机的被监听端口与SPAN端口在不同VLAN上,是不能做端口镜像的。因此,如果需要监听各个VLAN的数据,就必须在各个VLAN上开一个镜像端口。造成端口资源的浪费。
3.应用环境分析:
1.在电信的网络环境中,数据量一般比较大,如果采用
交换机的镜像方法,必然会使
交换机丢包。在千兆环境下更是如此。
2.在一般的网络中,有的较低端
交换机不支持端口镜像,有的
交换机对端口镜像功能支持的较弱(例如只能镜像一个网口,Cisco的
交换机较好一些,镜像的越多,
交换机数据包丢失越厉害),这时IDS就需要使用Tap或者在某个网口上串接一个集线器。
网管u家u.bitsCN.com 3.在某些千兆骨干网上,
交换机的千兆端口是相对稀缺的资源。
4.划分VLAN的情况,在一些大一点的企业比比皆是,如果使用端口镜像,必然会使企业端口不够用,从而修改原先的网络配置,而这种情况是很多的。
三、问题的对策 当前的选择是串联一个集线器或者接入TAP分流器。
1.共享式集线器
在需要监听的网线中连接一个共享式HUB,从而实现监听的功能。对于小公司而言,在公司与Internet之间放置一个NIDS,是一个相对廉价并且比较容易实现的方案。
使用集线器和TAP是比较相近的方案,集线器和TAP放置在被监控的连接之间,这通常是在两个
交换机之间、
交换机和路由器之间、服务器和
交换机之间等。在图2中,集线器放置在资源主机和
交换机之间。这允许集线器在将数据复制到IDS时,依然能够保障
交换机和资源主机之间的数据流动。这种方法就像仅适合一台机器的SPAN端口,多台机器接在集线器上会引起网络错误,并消除了交换的好处。而且集线器的容错性不好。
网管bitscn_com
图2:串接集线器监听
由于共享媒介的局限,如果
交换机和路由器是全双工的连接,将导致主机的网络连接由全双工变为半双工,数据碰撞会降低系统的吞吐量。
由于共享媒介的局限,如果NIDS发送的数据通过此HUB的话,更增加冲突的可能。
而且低档的集线器导致故障的可能性也很高。
评论加载中…