Зачем аппаратные TAP-устройства, если можно настроить SPAN-порт на коммутаторе?

SPAN создаёт нагрузку на коммутатор и может терять пакеты при перегрузке. Аппаратный TAP — пассивное оптическое ответвление: 100% копия трафика без влияния на производительность сети и без риска потерь.

Что такое Packet Broker и зачем он нужен?

Коммутатор агрегации пакетов принимает трафик от нескольких TAP-устройств и распределяет его по инструментам мониторинга (IDS, NetFlow-зонды, DLP). Один инструмент видит только нужный срез трафика.

Как долго хранятся данные NetFlow для расследования инцидентов?

Зависит от объёма трафика и ёмкости хранилища. При 10G-канале и хранении метаданных (не полных пакетов) — 90 дней и более на SSD-массиве 15 ТБ.

Можно ли интегрировать аппаратные зонды с Zabbix или Grafana?

NetFlow-зонды поставляют данные в стандартном формате NetFlow v5/v9/IPFIX. Любой коллектор, поддерживающий эти форматы (ntopng, Zabbix Flow, Grafana+InfluxDB), принимает эти данные.

Зачем два сервера мониторинга?

Горячее резервирование: при отказе основного сервера резервный подхватывает мониторинг без потери истории. Для системы мониторинга это критично — потеря видимости в момент инцидента недопустима.

Система мониторинга сети 400 узлов Санкт-Петербург

Система мониторинга сети для IT-компании в Санкт-Петербурге: 400 узлов под контролем

Поставили оборудование для внедрения системы мониторинга сети на 400 узлов для ИТ-компании в Санкт-Петербурге: серверы мониторинга, TAP-устройства, NetFlow-зонды. 7 рабочих дней.

ИТ-компания в Санкт-Петербурге (разработка ПО, 600 сотрудников) управляет собственной сетевой инфраструктурой на 400 узлов. Мониторинг вёлся через Zabbix с SNMP-опросом — этого хватало для проверки доступности, но не для анализа трафика и ретроспективного расследования инцидентов ИБ. После инцидента с утечкой данных СБ потребовала внедрить систему сбора и анализа NetFlow с хранением 90 дней.

Задача клиента

Поставить аппаратную базу для системы глубокого мониторинга сети: TAP-устройства для ответвления трафика с ключевых сегментов, NetFlow-зонды, Packet Broker для распределения трафика по инструментам, два сервера мониторинга с отказоустойчивостью. Срок — к концу недели: по графику работ ИТ-отдела на следующей неделе начинается развёртывание ПО.

Ограничения и требования

TAP — только пассивные оптические, без изменения топологии сети (inline без задержки).
Серверы — с NVMe SSD RAID10 для высокой скорости записи NetFlow-метаданных.
ИБП — On-Line UPS для серверов мониторинга: при любом переходе на батарею нельзя допустить пропуска событий.
Все устройства — с гарантией 3+ лет и документацией для службы ИБ.

Что предложили

6 пассивных оптических TAP 10G — размещаются inline на ключевых магистралях без прерывания трафика: при потере питания TAP пропускает трафик насквозь (fail-open). Packet Broker 16×SFP+ 10G агрегирует зеркала от 6 TAP и фильтрует трафик перед подачей на 4 NetFlow-зонда. Зонды хранят метаданные 90 дней на встроенных SSD.

Два сервера 2U с двумя процессорами Xeon Silver, 256 ГБ RAM и массивом 4×3,84 ТБ NVMe SSD RAID10 (~15 ТБ полезного объёма). На основном сервере — коллектор NetFlow, Elasticsearch, Kibana; резервный сервер — горячий standby с репликацией. ИБП On-Line 3000 ВА на каждый сервер.

Состав поставки по подсистемам

Серверы мониторинга: 2 сервера 2U 256 ГБ RAM + NVMe RAID10, ИБП On-Line 3000 ВА (2 шт.).
TAP и агрегация: 6 TAP 10G пассивных оптических, Packet Broker 16×SFP+ (1 шт.).
NetFlow-зонды: 4 аппаратных зонда 10G с хранением 90 дней.
Трансиверы: SFP+ 10G SR OM3 LC (20 шт.).

Этапы и сроки

День 1: согласование спецификации, выставление счёта.
День 2–5: комплектация 22 позиций, тестирование серверов.
День 6–7: доставка в Санкт-Петербург транспортной компанией (1 день из Москвы).

Результат

Поставка выполнена за 7 рабочих дней. ИТ-отдел развернул стек мониторинга (nProbe + ELK) за 3 дня. В первые сутки работы системы выявлено нетипичное поведение одного хоста (исходящий трафик на нероссийские IP в 3:00) — инцидент расследован и закрыт силами СБ. Хранение 90 дней метаданных реализовано в полном объёме. Экономия к рыночной стоимости — 10%.

Почему выбрали нас

Руководитель ИТ-отдела ценил скорость: стек мониторинга должен был заработать к конкретной дате. Мы единственные из трёх опрошенных поставщиков подтвердили наличие TAP-устройств и NetFlow-зондов на складе и готовность отгрузить через 5 дней. Остальные называли сроки 3–4 недели.

Цифры проекта носят иллюстративный характер и приведены в обезличенном виде. Наименования заказчика и объекта изменены.

Кейс приведён для примера, данные обезличены. Состав, цены, сроки и экономия носят справочный характер, не являются публичной офертой и не гарантируют аналогичный результат — каждый проект рассчитывается индивидуально, наличие и цены подтверждаются при оформлении заказа.

Сервер мониторинга 2U 2×CPU Xeon Silver, 256 ГБ DDR5 ECC, 4×3.84 ТБ SSD NVMe RAID10	2 шт.
TAP-устройство пассивный 10G оптический (inline, ответвление трафика)	6 шт.
NetFlow-зонд аппаратный 10G с хранением метаданных 90 дней	4 шт.
Коммутатор агрегации пакетов (Packet Broker) 16×10G SFP+	1 шт.
SFP+-трансивер 10G SR OM3 300 м LC	20 шт.
ИБП On-Line 3000 ВА для серверов мониторинга	2 шт.

Система мониторинга сети для IT-компании в Санкт-Петербурге: 400 узлов под контролем

Коротко о проекте

Что поставили

Частые вопросы

Посчитайте свою экономию

Нужно похожее решение?