网络监控方式：内联和带外

Post author:Xu, Lara
Post published:2020年4月2日
Post category:网络可视化术语解析

对于网络监控，有两种方案：带外和内联（带内）。该定义通常指的是从监控工具的角度来看设备的位置。基本上，监控工具是否在网络数据的关键路径上？如果工具不在主数据路径中，而只是使用数据包的副本，则称为带外。如果它实际上是在处理原始数据，那么它就被称为内联。就这么简单。当然，下一个问题是，它为什么重要？

内联和带外网络监控的目的

带外或内联监控方案的类型会影响监控设备的放置，使用的设备类型，以及作为可见性体系架构的一部分您可以执行的监视活动。例如，防火墙通常位于公司通往外部世界的主要网络接口处。因此它们是内联放置。入侵监测系统（IDS）通常不会内联放置，它被安装为带外方案的一部分，因为虽然它用于对入侵数据进行采样，但并不打算检查通过网络的每个数据包。

对于内联工具，数据访问从旁路交换机开始。可以将其视为监视工具的特殊分路器，您可以将其直接插入网络数据流。如果您只是插入了该工具，而它完全不可用，或者您将该工具撤出，这将直接影响，即停止数据流传输到网络的其余部分。旁路交换机具有故障转移功能，即使连接到它的工具发生故障，网络也可以持续运行。如果在旁路交换机和工具之间插入网路数据包代理（NPB），则可以实现其他功能，如网络数据的过滤和负载均衡。

在带外监控方案中，将被动分路器插入网络以进行数据访问。该设备不需要故障转移功能，因为监控设备不直接在网络流量中，所以比较简单。事实上，它本质上是设定好然后就忘记了。通常情况下，无需对TAP进行任何编程。当TAP位于流量的直接路径上时，正在接收流量副本的所有设备都完全不在网络流量的流量路径之内。您可以将所需的任何设备连接或断开到TAP监控端口，这不会影响网络的其余部分。在这种情况下，还可以在TAP和工具之间插入一个数据包代理（NPB），以执行过滤、负载平衡、重复数据删除、数据包切片、数据屏蔽及许多其他功能。

内联和带外常见网络监控方案示例：

安全性（两种方案）

安全监控解决方案涉及防火墙、入侵防御系统（IPS）、蜜罐、可以数据串行链和威胁检测解决方案等内联组件。带外解决方案示例包括使用数据丢失防护（DLP）工具进行取证分析，入侵检测系统（IDS）分析和取证数据包记录。

成本控制（两种方案）

两种方案都提供了节省成本的功能，如负载平衡、数据过滤/识别、浮动过滤器创建、远程管理等。

生存能力（两种方案）

两种解决方案都提供了更高的生存性（如旁路交换机）和内联安全工具的高可用性，以及带外解决方案的冗余组件和故障转移NPB功能。

性能监控（两种方案，对于带外更常见）

虽然一些性能监控工具可以作为内联方案的一部分实施，但这些解决方案中的大多数将是带外的，并且侧重于应用程序和网络监控。主动监控（实时测试网络的能力）也是一种带外解决方案。

应用程序智能（两者都有，带外更常见）

此功能在带外方案中更常见是由于应用程序数据的分析效用。应用程序数据可用于帮助确定危害指标、主动故障排除以及改善/改善法规遵从性。

故障排除（带外）

带外方案允许收集可用于查明问题的各种数据点。数据的存在通常不会揭示问题本身。需要将该数据发送到分析工具，该工具需要一定的时间来分析数据，然后才能得出有用的结论。此事件延迟需要带外方案。

合规性（带外）

带外方案允许数据屏蔽和数据包切片，以便在存储数据包数据时将其隐藏起来。还可以过滤数据并将其发送到特殊用途工具（如日志记录工具），以进行数据存储，以证明其符合各种法规标准。

虚拟数据中心监控（带外）

带外解决方案用于访问虚拟数据中心内的监控数据。这包括一个特殊用途的TAP，称为虚拟TAP，用于捕获必要的数据并将其发送到监控工具进行数据分析。

内联和带外网络监控注意事项

以下是一些需要牢记的事项，可帮助您确定是否需要内联监控解决方案或带外监控解决方案。