Introducere
Colectarea și analiza traficului în rețea este cel mai eficient mijloc de a obține indicatorii și parametrii de comportament al utilizatorilor de rețea de primă mână. Odată cu îmbunătățirea continuă a funcționării și întreținerii centrului de date Q, colectarea și analiza traficului de rețea a devenit o parte indispensabilă a infrastructurii centrului de date. Din utilizarea curentă a industriei, colectarea traficului de rețea este realizată în cea mai mare parte de echipamente de rețea care acceptă oglinda traficului de ocolire. Colectarea traficului trebuie să stabilească o acoperire cuprinzătoare, o rețea de colectare a traficului rezonabilă și eficientă, astfel de colectare a traficului poate ajuta la optimizarea rețelei și a indicatorilor de performanță a afacerii și la reducerea probabilității de eșec.
Rețeaua de colectare a traficului poate fi privită ca o rețea independentă compusă din dispozitive de colectare a traficului și implementată în paralel cu rețeaua de producție. Acesta colectează traficul de imagini al fiecărui dispozitiv din rețea și agregează traficul de imagini în funcție de nivelurile regionale și arhitecturale. Utilizează alarma de schimb de filtrare a traficului în echipamentul de achiziție a traficului pentru a realiza viteza completă a liniei de date pentru 2-4 straturi de filtrare condiționată, eliminând pachetele duplicate, trunchierea pachetelor și alte operațiuni funcționale avansate și apoi trimite datele fiecărui trafic. sistem de analiză. Rețeaua de colectare a traficului poate trimite cu precizie date specifice fiecărui dispozitiv în funcție de cerințele de date ale fiecărui sistem și poate rezolva problema că datele tradiționale în oglindă nu pot fi filtrate și trimise, ceea ce consumă performanța de procesare a comutatoarelor de rețea. În același timp, motorul de filtrare și schimb de trafic al rețelei de colectare a traficului realizează filtrarea și transmiterea datelor cu întârziere redusă și viteză mare, asigură calitatea datelor colectate de rețeaua de colectare a traficului și oferă o bază de date bună pentru echipamente ulterioare de analiză a traficului.
Pentru a reduce impactul asupra legăturii inițiale, o copie a traficului original este de obicei obținută prin divizarea fasciculului, SPAN sau TAP.
Apăsare pasivă de rețea (divider optic)
Modul de utilizare a divizării luminii pentru a obține o copie a traficului necesită ajutorul unui dispozitiv de separare a luminii. Divizorul de lumină este un dispozitiv optic pasiv care poate redistribui intensitatea puterii semnalului optic în conformitate cu proporția necesară. Splitter-ul poate împărți lumina de la 1 la 2, 1 la 4 și 1 la mai multe canale. Pentru a reduce impactul asupra legăturii originale, centrul de date adoptă de obicei raportul de divizare optică de 80:20, 70:30, în care proporția de 70,80 din semnalul optic este trimis înapoi la legătura originală. În prezent, splitterele optice sunt utilizate pe scară largă în analiza performanței rețelei (NPM/APM), sistemul de audit, analiza comportamentului utilizatorului, detectarea intruziunilor în rețea și alte scenarii.
Avantaje:
1. Dispozitiv optic pasiv de înaltă fiabilitate;
2. Nu ocupă portul comutator, echipament independent, ulterior poate fi o expansiune bună;
3. Nu este nevoie să modificați configurația comutatorului, fără impact asupra altor echipamente;
4. Colectare completă a traficului, fără filtrare a pachetelor de comutare, inclusiv pachete de eroare etc.
Dezavantaje:
1. Necesitatea unei simple tăieturi de rețea, a mufei de fibră a conexiunii vertebrale și a selectorului la divizorul optic, va reduce puterea optică a unor legături vertebrale.
SPAN(Oglindă port)
SPAN este o caracteristică care vine cu comutatorul în sine, așa că trebuie doar configurat pe comutator. Cu toate acestea, această funcție va afecta performanța comutatorului și va cauza pierderi de pachete atunci când datele sunt supraîncărcate.
Avantaje:
1. Nu este necesar să adăugați echipamente suplimentare, configurați comutatorul pentru a crește portul de ieșire de replicare a imaginii corespunzător
Dezavantaje:
1. Ocupați portul comutatorului
2. Switch-urile trebuie configurate, ceea ce implică coordonarea comună cu producători terți, crescând riscul potențial de defecțiune a rețelei
3. Replicarea traficului în oglindă are un impact asupra performanței porturilor și a comutatorului.
Active Network TAP (TAP Aggregator)
Un Network TAP este un dispozitiv extern de rețea care permite oglindirea portului și creează o copie a traficului pentru a fi utilizată de diferite dispozitive de monitorizare. Aceste dispozitive sunt introduse într-un loc din calea rețelei care trebuie observat și copiază pachetele de date IP și le trimite la instrumentul de monitorizare a rețelei. Alegerea punctului de acces pentru dispozitivul Network TAP depinde de concentrarea traficului de rețea - motive de colectare a datelor, monitorizarea de rutină a analizei și întârzierilor, detectarea intruziunilor etc. Dispozitivele Network TAP pot colecta și oglindi fluxuri de date la o rată de până la 1G. 100G.
Aceste dispozitive accesează traficul fără ca dispozitivul TAP din rețea să modifice în vreun fel fluxul de pachete, indiferent de rata de trafic de date. Aceasta înseamnă că traficul de rețea nu este supus monitorizării și reflectării portului, ceea ce este esențial pentru menținerea integrității datelor atunci când le direcționează către instrumente de securitate și analiză.
Acesta asigură că dispozitivele periferice ale rețelei monitorizează copiile de trafic, astfel încât dispozitivele TAP din rețea să acționeze ca observatori. Prin transmiterea unei copii a datelor dvs. către oricare/toate dispozitivele conectate, obțineți vizibilitate deplină la punctul de rețea. În cazul în care un dispozitiv TAP de rețea sau un dispozitiv de monitorizare eșuează, știți că traficul nu va fi afectat, asigurându-vă că sistemul de operare rămâne în siguranță și disponibil.
În același timp, devine ținta generală a dispozitivelor TAP din rețea. Accesul la pachete poate fi oferit întotdeauna fără a întrerupe traficul în rețea, iar aceste soluții de vizibilitate pot aborda și cazuri mai avansate. Nevoile de monitorizare ale instrumentelor, de la firewall-uri de generație următoare până la protecția împotriva scurgerilor de date, monitorizarea performanței aplicațiilor, SIEM, criminalistică digitală, IPS, IDS și altele, forțează dispozitivele TAP de rețea să evolueze.
Pe lângă furnizarea unei copii complete a traficului și menținerea disponibilității, dispozitivele TAP pot oferi următoarele.
1. Filtrați pachetele pentru a maximiza performanța monitorizării rețelei
Doar pentru că un dispozitiv Network TAP poate crea o copie 100% a unui pachet la un moment dat, nu înseamnă că fiecare instrument de monitorizare și securitate trebuie să vadă totul. Transmiterea în flux a traficului către toate instrumentele de monitorizare și securitate a rețelei în timp real va duce doar la supracomandă, dăunând astfel performanța instrumentelor și a rețelei în acest proces.
Plasarea dispozitivului Network TAP potrivit poate ajuta la filtrarea pachetelor atunci când sunt direcționate către instrumentul de monitorizare, distribuind datele potrivite către instrumentul potrivit. Exemple de astfel de instrumente includ sistemele de detectare a intruziunilor (IDS), prevenirea pierderii datelor (DLP), managementul informațiilor de securitate și a evenimentelor (SIEM), analiza criminalistică și multe altele.
2. Legături agregate pentru o rețea eficientă
Pe măsură ce cerințele de monitorizare și securitate a rețelei cresc, inginerii de rețea trebuie să găsească modalități de a utiliza bugetele IT existente pentru a îndeplini mai multe sarcini. Dar, la un moment dat, nu puteți continua să adăugați noi dispozitive la stivă și să creșteți complexitatea rețelei dvs. Este esențial să maximizăm utilizarea instrumentelor de monitorizare și securitate.
Dispozitivele TAP de rețea pot ajuta prin agregarea mai multor trafic de rețea, spre est și vest, pentru a livra pachete către dispozitivele conectate printr-un singur port. Implementarea instrumentelor de vizibilitate în acest mod va reduce numărul de instrumente de monitorizare necesare. Pe măsură ce traficul de date Est-Vest continuă să crească în centrele de date și între centrele de date, cerința pentru dispozitive TAP de rețea este esențială pentru a menține vizibilitatea tuturor fluxurilor dimensionale pe volume mari de date.
Articol similar care v-ar putea interesa, vă rugăm să vizitați aici:Cum se captează traficul de rețea? Network Tap vs Port Mirror
Ora postării: Oct-24-2024