Introdución
A recollida e análise de tráfico de rede é o medio máis eficaz para obter os indicadores e parámetros do comportamento dos usuarios da rede de primeira man. Coa mellora continua da operación e mantemento do centro de datos Q, a recollida e análise de tráfico de rede converteuse nunha parte indispensable da infraestrutura do centro de datos. Do uso actual da industria, a recollida de tráfico de rede realízase principalmente por equipos de rede que soportan o espello de tráfico de bypass. A recollida de tráfico debe establecer unha cobertura completa, rede razoable e eficaz de recollida de tráfico, tal recollida de tráfico pode axudar a optimizar os indicadores de rendemento da rede e empresarial e reducir a probabilidade de fallo.
A rede de recollida de tráfico pode considerarse como unha rede independente composta por dispositivos de recollida de tráfico e despregados en paralelo coa rede de produción. Recolle o tráfico de imaxes de cada dispositivo de rede e agrupa o tráfico de imaxes segundo os niveis rexionais e arquitectónicos. Emprega a alarma de intercambio de filtrado de tráfico nos equipos de adquisición de tráfico para realizar a velocidade completa da liña dos datos para 2-4 capas de filtrado condicional, eliminando paquetes duplicados, paquetes truncantes e outras operacións funcionais avanzadas e, a continuación, envía os datos a cada sistema de análise de tráfico. A rede de recollida de tráfico pode enviar con precisión datos específicos a cada dispositivo segundo os requisitos de datos de cada sistema e resolver o problema de que os datos tradicionais do espello non se poden filtrar e enviar, o que consume o rendemento de procesamento dos interruptores de rede. Ao mesmo tempo, o motor de filtrado e intercambio de tráfico da rede de recollida de tráfico realiza o filtrado e o reenvío de datos con baixa demora e alta velocidade, asegura a calidade dos datos recollidos pola rede de recollida de tráfico e proporciona unha boa base de datos para os equipos de análise de tráfico posteriores.
Para reducir o impacto na ligazón orixinal, normalmente obtense unha copia do tráfico orixinal mediante a división de feixe, a extensión ou a toque.
Tap de rede pasiva (divisor óptico)
A forma de usar a división de luz para obter unha copia de tráfico require a axuda dun dispositivo de divisor de luz. O divisor de luz é un dispositivo óptico pasivo que pode redistribuír a intensidade de potencia do sinal óptico de acordo coa proporción requirida. O divisor pode dividir a luz de 1 a 2,1 a 4 e 1 a varias canles. Para reducir o impacto na ligazón orixinal, o centro de datos adoita adoptar a relación de división óptica de 80:20, 70:30, na que se envía 70,80 proporción do sinal óptico á ligazón orixinal. Na actualidade, os divisores ópticos son amplamente utilizados na análise de rendemento da rede (NPM/APM), sistema de auditoría, análise de comportamento do usuario, detección de intrusións de rede e outros escenarios.
Vantaxes:
1. Alta fiabilidade, dispositivo óptico pasivo;
2. Non ocupa o porto de conmutador, os equipos independentes, posteriores poden ser unha boa expansión;
3. Non hai necesidade de modificar a configuración do conmutador, sen impacto noutros equipos;
4. Recollida de tráfico completo, sen filtrado de paquetes de conmutadores, incluídos paquetes de erro, etc.
Desvantaxes:
1. A necesidade de simple corte de rede, enchufe de fibra de enlace de columna vertebral e dial para o divisor óptico, reducirá a potencia óptica dalgunhas ligazóns da columna vertebral
Span (espello de porto)
Span é unha característica que vén co conmutador en si, polo que só hai que configurar no interruptor. Non obstante, esta función afectará ao rendemento do interruptor e causará a perda de paquetes cando os datos están sobrecargados.
Vantaxes:
1. Non é necesario engadir equipos adicionais, configure o interruptor para aumentar o porto de saída de replicación de imaxe correspondente
Desvantaxes:
1. Ocupa o porto de conmutador
2. Hai que configurar os interruptores, que implica a coordinación conxunta cos fabricantes de terceiros, aumentando o risco potencial de fallo da rede
3. A replicación do tráfico do espello ten un impacto no rendemento do porto e do cambio.
Tap de rede activa (Tap Agregator)
Un toque de rede é un dispositivo de rede externo que permite o espello de porto e crea unha copia do tráfico para o seu uso por varios dispositivos de vixilancia. Estes dispositivos introdúcense nun lugar na ruta de rede que hai que observar e copia os paquetes IP de datos e envialos á ferramenta de control de rede. A elección do punto de acceso para o dispositivo de tap de rede depende do foco das razóns de recollida de datos de tráfico de rede, o seguimento rutineiro de análises e atrasos, detección de intrusións, etc. Os dispositivos de tapas de rede poden recoller e espellar fluxos de datos a 1G ata 100 g.
Estes dispositivos acceden ao tráfico sen que o dispositivo de toque de rede modifique o fluxo de paquetes de ningún xeito, independentemente da taxa de tráfico de datos. Isto significa que o tráfico de rede non está suxeito a seguimento e espello de portos, o que é esencial para manter a integridade dos datos ao dirixilo a ferramentas de seguridade e análise.
Asegura que os dispositivos periféricos de rede controlan as copias de tráfico para que os dispositivos de toque de rede actúen como observadores. Ao alimentar unha copia dos seus datos a calquera/todos os dispositivos conectados, obtén unha visibilidade completa no punto de rede. No caso de que falla un dispositivo de toque de rede ou un dispositivo de vixilancia, xa sabes que o tráfico non se verá afectado, asegurando que o sistema operativo permaneza seguro e dispoñible.
Ao mesmo tempo, convértese no obxectivo global dos dispositivos de tapa de rede. O acceso a paquetes sempre se pode proporcionar sen interromper o tráfico na rede e estas solucións de visibilidade tamén poden abordar casos máis avanzados. As necesidades de seguimento das ferramentas que van desde cortalumes de próxima xeración ata protección de fugas de datos, control de rendemento da aplicación, SIEM, forenses dixitais, IP, IDS e moito máis, forzan os dispositivos de toques de rede a evolucionar.
Ademais de proporcionar unha copia completa do tráfico e manter a dispoñibilidade, os dispositivos TAP poden proporcionar o seguinte.
1. Paquetes de filtros para maximizar o rendemento do control da rede
O feito de que un dispositivo de tap de rede poida crear unha copia do 100% dun paquete nalgún momento non significa que cada ferramenta de seguimento e seguridade teña que ver todo. A transmisión de tráfico a todas as ferramentas de seguimento e seguridade en tempo real só producirá un exceso de orde, prexudicando así o rendemento das ferramentas e da rede no proceso.
Colocar o dispositivo de toque de rede adecuado pode axudar a filtrar paquetes cando se encamiñan á ferramenta de vixilancia, distribuíndo os datos correctos á ferramenta correcta. Exemplos de tales ferramentas inclúen sistemas de detección de intrusións (IDS), prevención de perdas de datos (DLP), información de seguridade e xestión de eventos (SIEM), análise forense e moitos máis.
2. Ligazóns agregadas para unha rede eficiente
A medida que aumentan os requisitos de seguimento da rede e a seguridade, os enxeñeiros de rede deben atopar formas de usar os orzamentos de TI existentes para realizar máis tarefas. Pero nalgún momento, non podes seguir engadindo novos dispositivos á pila e aumentando a complexidade da túa rede. É esencial maximizar o uso de ferramentas de seguimento e seguridade.
Os dispositivos de toques de rede poden axudar a agregar múltiples tráfico de rede, leste e cara ao oeste, a entregar paquetes a dispositivos conectados a través dun único porto. A implantación de ferramentas de visibilidade deste xeito reducirá o número de ferramentas de vixilancia necesarias. A medida que o tráfico de datos leste-oeste segue crecendo nos centros de datos e entre os centros de datos, o requisito dos dispositivos de toque de rede é esencial para manter a visibilidade de todos os fluxos dimensionais en grandes volumes de datos.
Artigo relacionado que pode interesante, visite aquí:Como capturar o tráfico de rede? Network Tap vs Port Mirror
Tempo de publicación: 24-2024 de outubro
