上一主题: 关于监控网络通信下一主题: 从浏览器连接到企业管理器

CA CEM 联网备选方案关于 CA CEM 插入位置

关于 CA CEM 插入位置

TIM 在基础架构中的插入位置影响所收集的信息。

TIM 通过监控接口读取网络通信。 正如在上一部分中所述,监控接口可以连接到镜像端口或网络分路。 在这两种情况中,TIM 接收所需数据包的副本,进行分析,然后丢弃。 TIM 不在监控端口上传输数据。 流量单向传入 TIM,并且将 TIM 配置为仅从监控端口中接收数据包。

在典型的大型企业网络基础架构中,有多个位置可以插入 TIM 监控端口。 该图说明了不同的插入位置。

注意:大多数环境使用冗余的基础架构。 然而为简单起见,仅在该图中显示一条路径。

从左到右:A 是路由器,B 是防火墙,C 是交换机,D 是负载平衡器,E 是 Web 服务器。

(从左向右读图)数据包通过 Internet 路由器进入企业。 插入位置 A 位于路由器外,介于 Internet 和路由器之间。

该路由器通常将流量转发至防火墙,插入位置 B 位于路由器和该防火墙之间。 防火墙可以检测入站和出站的流量,并且根据企业的安全策略阻止或接受流量。 防火墙还能执行网络地址转换 (NAT),以防企业的网络连接设备直接连接到 Internet。

注意:在某些情况下,聚合交换机和网络负载平衡器位于相同的设备中。

插入位置 C 位于防火墙和聚合交换机/网络负载平衡器之间。 可接受的流量从防火墙转发至聚合交换机/网络负载平衡器。 在许多情况下,聚合交换机/网络负载平衡器可以终止 SSL 会话,并实例化虚拟 IP 地址 (VIP) 供客户连接。 许多聚合交换机/网络负载平衡器充当代理,终止客户端的连接并代表客户端建立到 Web 服务器的连接。 一些聚合交换机/网络负载平衡器建立并使用到 Web 服务器的永久性连接,以减轻 Web 服务器上的负载。

在许多情况下,聚合交换机将数据包转发至网络负载平衡器。 插入位置 D 位于聚合交换机和网络负载平衡器之间。

最后,Web 服务器连接到聚合交换机,或直接连接到网络负载平衡器。 插入位置 E 位于 Web 服务器前面,要么介于聚合交换机和 Web 服务器之间,要么介于网络负载平衡器和 Web 服务器之间。

数据包按反向路径离开企业,以相反顺序通过每个插入位置。 (数据包也可能经由一条路径进入,再经由另一条路径退出(即采用三角形路径)。 或者数据包可以离开 Web 服务器,直接进入 Internet。

位于 Internet 和 Internet 路由器之间

插入位置 A 位于 Internet 和 Internet 路由器之间,总能提供客户端 IP 地址的可见性。

插入位置是 A,位于路由器前。 从左到右:A 是路由器,B 是防火墙,C 是交换机,D 是负载平衡器,E 是 Web 服务器。

插入位置 A 几乎从不提供服务器的 IP 地址或服务器的 MAC 地址的可见性。 CA CEM 在基于排除的关系发现机制中使用 Web 服务器 IP 或 MAC 地址限制收集的证据集,以便提高故障排除速度。 没有此信息,将继续收集证据,但是证据集并未减少,而且技术人员必须比在不使用基于排除的发现机制时分析更多信息。

因为 TIM 不使用客户端 IP 地址标识用户,所以使用插入位置 A 的优点非常有限,而且还存在不少缺点。

位于 Internet 路由器和防火墙之间

插入位置 B 位于 Internet 路由器和防火墙之间,几乎总能提供客户端 IP 地址的可见性。

插入位置是 B,位于路由器与防火墙之间。 从左到右:A 是路由器,B 是防火墙,C 是交换机,D 是负载平衡器,E 是 Web 服务器。

插入位置 B 几乎从不提供服务器的 IP 地址或服务器的 MAC 地址的可见性。 CA CEM 在基于排除的关系发现机制中使用 Web 服务器 IP 或 MAC 地址限制收集的证据集,以便提高故障排除速度。 没有此信息,将继续收集证据,但是证据集并未减少,而且技术人员必须比在不使用基于排除的发现机制时分析更多信息。

因为 TIM 不使用客户端 IP 地址标识用户,所以使用插入位置 B 的优点非常有限,而且还存在不少缺点。

位于防火墙和聚合交换机之间

插入位置 C 位于防火墙和聚合交换机之间,几乎总能提供客户端 IP 地址的可见性。 插入位置 C 几乎从不提供服务器的 IP 地址的可见性。

插入位置是 C,位于防火墙与聚合交换机之间。 从左到右:A 是路由器,B 是防火墙,C 是交换机,D 是负载平衡器,E 是 Web 服务器。

因为 TIM 不使用客户端 IP 地址标识用户,所以使用插入位置 C 的优点非常有限,而且还存在不少缺点。 在某些环境中,插入位置 C 与插入位置 A 和 B 相比具有一些无足轻重的优点。

位于聚合交换机和网络负载平衡器之间

插入位置 D 位于聚合交换机和网络负载平衡器之间,通常提供客户端 IP 地址的可见性。 为了执行此操作,如果将网络负载平衡器充当代理,则必须在其中启用“保留源地址”。 插入位置 D 几乎总能提供服务器的 IP 地址的可见性。

插入位置是 D,位于聚合交换机与负载平衡器之间。 从左到右:A 是路由器,B 是防火墙,C 是交换机,D 是负载平衡器,E 是 Web 服务器。

如果网络负载平衡器使用永久性连接,当 TIM 位于此处时,其中的负载将减少。 减少打开的连接能减少负载,该功能很有意义。 如果网络负载平衡器代表客户端终止 SSL,并且不重新加密流量,那么几乎在所有情况下都将大量减少 TIM 上的负载。

在某些负载平衡环境中(如 Resonate),可能根据 MAC 地址标识服务器。 然而,在许多环境中,返回的服务器 IP 地址和 MAC 地址是网络负载平衡器虚拟 IP 地址 (VIP) 的地址。

因为 TIM 使用服务器 IP 地址收集证据,所以使用插入位置 D 的优点最多,而且几乎没有缺点。 插入位置 D 是 TIM 的首选插入位置。

位于网络负载平衡器和 Web 服务器之间

插入位置 E 位于网络负载平衡器和 Web 服务器(或服务器)之间,通常提供客户端 IP 地址的可见性。 为了执行此操作,如果将网络负载平衡器充当代理,则必须在其中启用“保留源地址”。 插入位置 E 几乎总能提供服务器的 IP 地址的可见性。

插入位置是 E,位于负载平衡器与 Web 服务器之间。 从左到右:A 是路由器,B 是防火墙,C 是交换机,D 是负载平衡器,E 是 Web 服务器。

如果网络负载平衡器使用永久性连接,当 TIM 位于此处时,其中的负载将减少。 减少打开的连接能减少负载,该功能很有意义。 如果网络负载平衡器代表客户端终止 SSL,并且不重新加密流量,那么几乎在所有情况下都将大量减少 TIM 上的负载。

因为 TIM 使用服务器 IP 地址收集证据,所以使用插入位置 E 有很多优点。 然而,插入位置 E 有插入位置 D 没有的一些缺点。 因为可能有许多 Web 服务器,所以可能有许多插入位置。 这可能导致无法在插入位置 E 使用分流器。

使用端口镜像时,插入位置 D 和插入位置 E 的功能相同。 在许多情况下,使用插入位置 E 只需跨接虚拟局域网 (VLAN)。 对于插入位置 D,简单的端口镜像可能就足够了。