Introdución
A recollida e análise do tráfico de rede é o medio máis eficaz para obter indicadores e parámetros de primeira man do comportamento dos usuarios da rede. Coa mellora continua da operación e o mantemento da calidade dos centros de datos, a recollida e análise do tráfico de rede converteuse nunha parte indispensable da infraestrutura do centro de datos. Desde o uso actual na industria, a recollida do tráfico de rede realízase principalmente mediante equipos de rede que admiten o espello de tráfico de derivación. A recollida de tráfico debe establecer unha cobertura completa, unha rede de recollida de tráfico razoable e eficaz, xa que esta recollida de tráfico pode axudar a optimizar os indicadores de rendemento da rede e do negocio e reducir a probabilidade de fallo.
A rede de recollida de tráfico pode considerarse como unha rede independente composta por dispositivos de recollida de tráfico e despregada en paralelo coa rede de produción. Recolle o tráfico de imaxes de cada dispositivo de rede e agrégao segundo os niveis rexionais e arquitectónicos. Emprega a alarma de intercambio de filtrado de tráfico no equipo de adquisición de tráfico para alcanzar a velocidade de liña completa dos datos para 2-4 capas de filtrado condicional, eliminando paquetes duplicados, truncando paquetes e outras operacións funcionais avanzadas, e logo envía os datos a cada sistema de análise de tráfico. A rede de recollida de tráfico pode enviar con precisión datos específicos a cada dispositivo segundo os requisitos de datos de cada sistema e resolver o problema de que os datos tradicionais do espello non se poden filtrar e enviar, o que consome o rendemento de procesamento dos conmutadores de rede. Ao mesmo tempo, o motor de filtrado e intercambio de tráfico da rede de recollida de tráfico realiza o filtrado e o reenvío de datos con baixo atraso e alta velocidade, garante a calidade dos datos recollidos pola rede de recollida de tráfico e proporciona unha boa base de datos para o equipo de análise de tráfico posterior.
Para reducir o impacto na ligazón orixinal, adoita obterse unha copia do tráfico orixinal mediante a división de feixe, SPAN ou TAP.
Toma de rede pasiva (divisor óptico)
A forma de empregar a división da luz para obter unha copia do tráfico require a axuda dun dispositivo divisor de luz. O divisor de luz é un dispositivo óptico pasivo que pode redistribuír a intensidade de potencia do sinal óptico de acordo coa proporción requirida. O divisor pode dividir a luz de 1 a 2, de 1 a 4 e de 1 a varios canais. Para reducir o impacto na ligazón orixinal, o centro de datos adoita adoptar a proporción de división óptica de 80:20, 70:30, na que a proporción do 70 e o 80 do sinal óptico se envía de volta á ligazón orixinal. Na actualidade, os divisores ópticos úsanse amplamente na análise do rendemento da rede (NPM/APM), sistemas de auditoría, análise do comportamento do usuario, detección de intrusións na rede e outros escenarios.
Vantaxes:
1. Dispositivo óptico pasivo de alta fiabilidade;
2. Non ocupa o porto do conmutador, equipo independente, posterior pode ser unha boa expansión;
3. Non é necesario modificar a configuración do interruptor, sen impacto noutros equipos;
4. Recollida completa do tráfico, sen filtrado de paquetes de conmutación, incluídos os paquetes de erro, etc.
Desvantaxes:
1. A necesidade dun simple corte de rede, un conector de fibra óptica da ligazón troncal e unha conexión de discado ao divisor óptico reducirá a potencia óptica dalgunhas ligazóns troncais.
SPAN (Espello de porto)
O SPAN é unha funcionalidade que vén co propio conmutador, polo que só precisa configurarse no conmutador. Non obstante, esta función afectará o rendemento do conmutador e provocará a perda de paquetes cando os datos estean sobrecargados.
Vantaxes:
1. Non é necesario engadir equipamento adicional, configure o conmutador para aumentar o porto de saída de replicación de imaxes correspondente
Desvantaxes:
1. Ocupa o porto do conmutador
2. É necesario configurar os interruptores, o que implica a coordinación conxunta con fabricantes externos, o que aumenta o risco potencial de fallo da rede.
3. A replicación do tráfico en espello ten un impacto no rendemento do porto e do conmutador.
Rede activa TAP (agregador TAP)
Un TAP de rede é un dispositivo de rede externo que permite a duplicación de portos e crea unha copia do tráfico para o seu uso por parte de varios dispositivos de monitorización. Estes dispositivos introdúcense nun lugar da ruta da rede que precisa ser observado e copian os paquetes IP de datos e envíanos á ferramenta de monitorización da rede. A elección do punto de acceso para o dispositivo TAP de rede depende do foco do tráfico da rede: razóns de recollida de datos, monitorización rutineira de análises e atrasos, detección de intrusións, etc. Os dispositivos TAP de rede poden recoller e duplicar fluxos de datos a unha velocidade de 1G de ata 100G.
Estes dispositivos acceden ao tráfico sen que o dispositivo TAP da rede modifique o fluxo de paquetes de ningún xeito, independentemente da taxa de tráfico de datos. Isto significa que o tráfico da rede non está suxeito a monitorización nin a creación de espellos de portos, o cal é esencial para manter a integridade dos datos ao enrutalos a ferramentas de seguridade e análise.
Garante que os dispositivos periféricos da rede supervisen as copias do tráfico para que os dispositivos TAP da rede actúen como observadores. Ao proporcionar unha copia dos teus datos a calquera/todos os dispositivos conectados, obtés unha visibilidade total no punto da rede. No caso de que falle un dispositivo TAP ou un dispositivo de monitorización da rede, sabes que o tráfico non se verá afectado, o que garante que o sistema operativo permaneza seguro e dispoñible.
Ao mesmo tempo, convértese no obxectivo xeral dos dispositivos TAP de rede. O acceso aos paquetes sempre se pode proporcionar sen interromper o tráfico na rede, e estas solucións de visibilidade tamén poden abordar casos máis avanzados. As necesidades de monitorización de ferramentas que van desde cortafuegos de próxima xeración ata protección contra fugas de datos, monitorización do rendemento das aplicacións, SIEM, análise forense dixital, IPS, IDS e moito máis, obrigan aos dispositivos TAP de rede a evolucionar.
Ademais de proporcionar unha copia completa do tráfico e manter a dispoñibilidade, os dispositivos TAP poden proporcionar o seguinte.
1. Filtrar paquetes para maximizar o rendemento da monitorización da rede
O feito de que un dispositivo Network TAP poida crear unha copia do 100 % dun paquete nalgún momento non significa que todas as ferramentas de monitorización e seguridade teñan que velo completo. A transmisión de tráfico a todas as ferramentas de monitorización e seguridade da rede en tempo real só provocará unha sobreordenación, o que prexudicará o rendemento das ferramentas e da rede no proceso.
Colocar o dispositivo Network TAP axeitado pode axudar a filtrar os paquetes cando se enrutan á ferramenta de monitorización, distribuíndo os datos correctos á ferramenta correcta. Algúns exemplos destas ferramentas inclúen os sistemas de detección de intrusións (IDS), a prevención de perda de datos (DLP), a xestión de información e eventos de seguridade (SIEM), a análise forense e moitas máis.
2. Ligazóns agregadas para unha rede eficiente
A medida que aumentan os requisitos de monitorización e seguridade de rede, os enxeñeiros de rede deben atopar xeitos de usar os orzamentos de TI existentes para realizar máis tarefas. Pero nalgún momento, non se poden seguir engadindo novos dispositivos á pila e aumentando a complexidade da rede. É esencial maximizar o uso das ferramentas de monitorización e seguridade.
Os dispositivos TAP de rede poden axudar agregando tráfico de rede múltiple, cara ao leste e cara ao oeste, para entregar paquetes aos dispositivos conectados a través dun único porto. A implementación de ferramentas de visibilidade deste xeito reducirá o número de ferramentas de monitorización necesarias. A medida que o tráfico de datos leste-oeste continúa a crecer nos centros de datos e entre centros de datos, o requisito de dispositivos TAP de rede é esencial para manter a visibilidade de todos os fluxos dimensionais en grandes volumes de datos.
Artigo relacionado que pode ser do teu interese, visita aquí:Como capturar o tráfico da rede? Network Tap vs. Port Mirror
Data de publicación: 24 de outubro de 2024
