Introducere
Colectarea și analiza traficului de rețea reprezintă cea mai eficientă metodă de a obține indicatori și parametri de comportament ai utilizatorilor de rețea, aflați direct pe site. Odată cu îmbunătățirea continuă a funcționării și întreținerii Q-ului centrelor de date, colectarea și analiza traficului de rețea a devenit o parte indispensabilă a infrastructurii centrelor de date. În prezent, în industrie, colectarea traficului de rețea se realizează în mare parte prin intermediul echipamentelor de rețea care acceptă oglinda traficului de bypass. Colectarea traficului necesită stabilirea unei acoperiri cuprinzătoare, a unei rețele de colectare a traficului rezonabile și eficiente, o astfel de colectare a traficului putând ajuta la optimizarea indicatorilor de performanță ai rețelei și ai afacerii și la reducerea probabilității de defecțiune.
Rețeaua de colectare a traficului poate fi considerată o rețea independentă, compusă din dispozitive de colectare a traficului și implementată în paralel cu rețeaua de producție. Aceasta colectează traficul de imagini al fiecărui dispozitiv de rețea și îl agregă în funcție de nivelurile regionale și arhitecturale. Folosește alarma de schimb de filtrare a traficului din echipamentul de achiziție a traficului pentru a realiza viteza completă a datelor pe linie pentru 2-4 straturi de filtrare condiționată, eliminând pachetele duplicate, trunchiind pachetele și alte operațiuni funcționale avansate, apoi trimite datele către fiecare sistem de analiză a traficului. Rețeaua de colectare a traficului poate trimite cu precizie date specifice către fiecare dispozitiv în funcție de cerințele de date ale fiecărui sistem și rezolvă problema faptului că datele tradiționale în oglindă nu pot fi filtrate și trimise, ceea ce consumă performanța de procesare a switch-urilor de rețea. În același timp, motorul de filtrare și schimb de trafic al rețelei de colectare a traficului realizează filtrarea și redirecționarea datelor cu întârziere redusă și viteză mare, asigurând calitatea datelor colectate de rețeaua de colectare a traficului și oferind o bază de date solidă pentru echipamentele ulterioare de analiză a traficului.
Pentru a reduce impactul asupra legăturii originale, o copie a traficului original se obține de obicei prin divizarea fasciculului, SPAN sau TAP.
Priză de rețea pasivă (splitter optic)
Modul de utilizare a divizării luminii pentru a obține copie a traficului necesită ajutorul unui dispozitiv de divizare a luminii. Divizorul de lumină este un dispozitiv optic pasiv care poate redistribui intensitatea semnalului optic în conformitate cu proporția necesară. Divizorul poate diviza lumina de la 1 la 2, de la 1 la 4 și de la 1 la mai multe canale. Pentru a reduce impactul asupra legăturii originale, centrul de date adoptă de obicei raportul de divizare optică de 80:20, 70:30, în care o proporție de 70:80 din semnalul optic este trimisă înapoi la legătura originală. În prezent, divizoarele optice sunt utilizate pe scară largă în analiza performanței rețelei (NPM/APM), sisteme de audit, analiza comportamentului utilizatorilor, detectarea intruziunilor în rețea și alte scenarii.
Avantaje:
1. Dispozitiv optic pasiv, cu fiabilitate ridicată;
2. Nu ocupă portul switch, echipament independent, ulterior poate fi o bună extindere;
3. Nu este nevoie să modificați configurația comutatorului, fără impact asupra altor echipamente;
4. Colectare completă a traficului, fără filtrare a pachetelor de comutare, inclusiv a pachetelor de erori etc.
Dezavantaje:
1. Necesitatea unei simple conectări la rețea, a unei fibre optice la rețeaua principală și a unei conexiuni la splitterul optic va reduce puterea optică a unor legături principale.
SPAN (Oglindă Port)
SPAN este o caracteristică inclusă în switch, deci trebuie doar configurată pe switch. Cu toate acestea, această funcție va afecta performanța switch-ului și va cauza pierderi de pachete atunci când datele sunt supraîncărcate.
Avantaje:
1. Nu este necesar să adăugați echipamente suplimentare, configurați switch-ul pentru a mări portul de ieșire corespunzător pentru replicarea imaginii
Dezavantaje:
1. Ocupați portul switch-ului
2. Comutatoarele trebuie configurate, ceea ce implică coordonarea comună cu producători terți, crescând riscul potențial de defecțiune a rețelei
3. Replicarea traficului în oglindă are un impact asupra performanței porturilor și switch-urilor.
Rețea activă TAP (Agregator TAP)
Un punct de acces Network TAP este un dispozitiv de rețea extern care permite oglindirea porturilor și creează o copie a traficului pentru a fi utilizată de diverse dispozitive de monitorizare. Aceste dispozitive sunt introduse într-un loc din calea rețelei care trebuie observat și copiază pachetele IP de date și le trimit către instrumentul de monitorizare a rețelei. Alegerea punctului de acces pentru dispozitivul Network TAP depinde de scopul traficului de rețea - motive de colectare a datelor, monitorizare de rutină a analizelor și întârzierilor, detectarea intruziunilor etc. Dispozitivele Network TAP pot colecta și oglindi fluxuri de date la o rată de 1G până la 100G.
Aceste dispozitive accesează traficul fără ca dispozitivul TAP al rețelei să modifice în vreun fel fluxul de pachete, indiferent de rata traficului de date. Aceasta înseamnă că traficul de rețea nu este supus monitorizării și oglindirii porturilor, ceea ce este esențial pentru menținerea integrității datelor la direcționarea acestora către instrumente de securitate și analiză.
Acesta asigură că dispozitivele periferice din rețea monitorizează copiile traficului, astfel încât dispozitivele TAP din rețea acționează ca observatori. Prin furnizarea unei copii a datelor dvs. către oricare/tuturor dispozitivelor conectate, obțineți vizibilitate completă la punctul de rețea. În cazul în care un dispozitiv TAP din rețea sau un dispozitiv de monitorizare se defectează, știți că traficul nu va fi afectat, asigurându-vă că sistemul de operare rămâne sigur și disponibil.
În același timp, devine ținta generală a dispozitivelor TAP de rețea. Accesul la pachete poate fi întotdeauna asigurat fără a întrerupe traficul în rețea, iar aceste soluții de vizibilitate pot aborda și cazuri mai avansate. Nevoile de monitorizare ale instrumentelor, de la firewall-uri de generație următoare la protecția împotriva scurgerilor de date, monitorizarea performanței aplicațiilor, SIEM, criminalistică digitală, IPS, IDS și multe altele, forțează dispozitivele TAP de rețea să evolueze.
Pe lângă furnizarea unei copii complete a traficului și menținerea disponibilității, dispozitivele TAP pot oferi următoarele.
1. Filtrarea pachetelor pentru a maximiza performanța monitorizării rețelei
Doar pentru că un dispozitiv Network TAP poate crea o copie 100% a unui pachet la un moment dat nu înseamnă că fiecare instrument de monitorizare și securitate trebuie să vadă totul. Transmiterea traficului către toate instrumentele de monitorizare și securitate a rețelei în timp real va duce doar la supraordonare, afectând astfel performanța instrumentelor și a rețelei în acest proces.
Plasarea dispozitivului Network TAP potrivit poate ajuta la filtrarea pachetelor atunci când sunt direcționate către instrumentul de monitorizare, distribuind datele corecte către instrumentul potrivit. Exemple de astfel de instrumente includ sistemele de detectare a intruziunilor (IDS), prevenirea pierderii de date (DLP), gestionarea informațiilor și evenimentelor de securitate (SIEM), analiza criminalistică și multe altele.
2. Agregarea legăturilor pentru o rețea eficientă
Pe măsură ce cerințele de monitorizare și securitate a rețelei cresc, inginerii de rețea trebuie să găsească modalități de a utiliza bugetele IT existente pentru a îndeplini mai multe sarcini. Dar, la un moment dat, nu mai puteți continua să adăugați dispozitive noi în stivă și să creșteți complexitatea rețelei. Este esențial să maximizați utilizarea instrumentelor de monitorizare și securitate.
Dispozitivele TAP de rețea pot ajuta prin agregarea traficului de rețea multiplu, spre est și spre vest, pentru a livra pachete către dispozitivele conectate printr-un singur port. Implementarea instrumentelor de vizibilitate în acest mod va reduce numărul de instrumente de monitorizare necesare. Pe măsură ce traficul de date est-vest continuă să crească în centrele de date și între centrele de date, cerința de dispozitive TAP de rețea este esențială pentru a menține vizibilitatea tuturor fluxurilor dimensionale pe volume mari de date.
Articole similare care v-ar putea interesa, vă rugăm să le accesați aici:Cum să captezi traficul de rețea? Network Tap vs. Port Mirror
Data publicării: 24 oct. 2024