合法监听任务带来的成本问题

　　服务供应商在满足合法监控要求时，也需要花费更多成本。为了满足合法监控要求，服务供应商将新增培训费用、迁移和运营费用。这些成本会随着内容分类需求的压力和安全威胁的变化而不断增加。

　　整体成本也将随之增加，因为需要保持全面的监控能力(很可能是不相关的)，并且需要将所有从有线网络捕捉的数据传输到数据仪表层---另一个高成本基础设施要求。对于服务供应商而言，利用1G网络中现有的工具，而推迟购买昂贵的10G网络监控工具，是非常不错的选择。

　　当今迅速增长的数据量以及虚拟化加快发展的步伐给服务供应商满足合法监听的要求带来了新的挑战。虚拟化虽然为企业创造了惊人的效率和效益，但其本身也为非法活动和非法入侵创造了一片乐土。服务供应商有责任支持执法活动，对于合法监听要求，他们面临着确保虚拟环境具有相当灵活性和能见度的巨大压力。企业的当务之急应该是将安全因素融入网络架构，而不是将安全视为点解决方案。

　　具有成本效益的虚拟解决方案应该从能见度、合规性、可靠性和生命周期情报等方面来满足合法监听需求

　　为了在虚拟化环境执行合法监控任务，执法机构需要服务供应商提供一个虚拟化跨系统合法监控架构---可以监测和关联vMigration;监控虚拟机间流量和保持多管理程序支持。

　　网络虚拟Tap是服务供应商满足合法监听安全、性能监控和合规需求的理想资源。这种Tap能够提供虚拟机间流量100%的可视性—捕捉服务器间传递的所有数据用于审计目的。它可以在收集点过滤出感兴趣的数据包，而不是在检查点，这最大限度地减少了不相关数据在网络上的传输，并且优化了工具利用率，将符合要求的数据发送给相应的检查工具。

　　内核设计避免了在虚拟交换机/混杂模式中对交换端口分析器(SPAN)端口的需要。Tap必须是容错的、非破坏性的，并能够桥接虚拟流量到物理检测工具以确保全面访问能力。与VMware vCenter的紧密结合，将能通过每台虚拟机的实时迁移(vMotion)进行监控。

　　虚拟Tap会将双向链接分成两个数据流，传感器只有一个嗅探接口。然后Tap将流量集成到一个接口(必须确保不会超过SPAN端口或传感器容量)

　　合法监听解决方案还必须映射到虚拟机生命周期，这些都带来监测挑战。这些生命周期事件包括：

　　1. 创建新服务器

　　2. 转换，因为机器的IP地址会改变，所以监测必须通过vCenter与机器的ID相关联

　　3. 重新定位，管理程序会在物理服务器间移动虚拟机

　　4. 终止，虚拟机会被清除干净或者恢复到未知状态—尤其是当创建虚拟机用于处理峰值时

　　与vCenter管理紧密结合的虚拟Tap能够在整个生命周期提供无缝连续监测，而不会干扰或者中断网络。

　　将目标流量疏通到物理层面

　　对于需要扩展物理Taping到局域网/广域网/云基础设施的网络，高吞吐量的通道设备可以从虚拟监控来处理封装网络流量。这种专为原始网络流量的点到点转换优化的设备将从虚拟Tap来封装流量，并且通道设备为双向10GB线速。全球部署能力能使远程地区捕捉到目标流量，即使当低流量并没有反应到本地仪表层或者IT人员。目标流量会进行简单地封装，并发送到中央位置以便于托管服务供应商管理。

　　负载平衡解决超额认购问题以及利用1G工具

　　负载平衡是共享网络多种工具之间的数据负载的不二选择。加上更多端点的中央情报，负载平衡还可以利用现有的1G工具(相对较便宜)，给服务供应商更多时间来规划未来增长。

　　通过深层包检测(DPI是一种先进的包过滤方法，它在开放系统互连(OSI)参考模型的应用层中起作用)的预过滤可以对任何端口的流量进行检测。通过深层包检测，用户可以识别感兴趣的数据，并将数据转发到相应的监测/记录工具。为了满足合法监听要求，用户可以捕捉和提取通信内容( Content of Communication, CC)和监听的相关信息(Intercept Related Information, IRI)。通过深层包检测的过滤还可以分理出与询问意外收集信息主题相关的信息，并将信息调整为预定义交付格式。

　　总言之，Virtual Tapping可以提供全面可视性、可扩展性、灵活性和可靠性以满足高容量虚拟网络环境的合法监听调整。Virtual Tapping还允许先进的负载平衡和深层包检测来优化1G监测。