Introducció
La recollida i l'anàlisi del trànsit de xarxa és el mitjà més eficaç per obtenir els indicadors i paràmetres de comportament dels usuaris de la xarxa de primera mà. Amb la millora contínua de l'operació i el manteniment del centre de dades Q, la recollida i l'anàlisi del trànsit de xarxa s'han convertit en una part indispensable de la infraestructura del centre de dades. A partir de l'ús actual de la indústria, la recollida de trànsit de xarxa es realitza principalment per equips de xarxa que admeten el mirall de trànsit de derivació. La recollida de trànsit ha d'establir una cobertura completa, una xarxa de recollida de trànsit raonable i eficaç, aquesta recollida de trànsit pot ajudar a optimitzar els indicadors de rendiment de la xarxa i del negoci i reduir la probabilitat de fallada.
La xarxa de recollida de trànsit es pot considerar com una xarxa independent composta per dispositius de recollida de trànsit i desplegada paral·lelament a la xarxa de producció. Recull el trànsit d'imatges de cada dispositiu de xarxa i agrega el trànsit d'imatges segons els nivells regionals i arquitectònics. Utilitza l'alarma d'intercanvi de filtratge de trànsit a l'equip d'adquisició de trànsit per aconseguir la velocitat de línia completa de les dades per a 2-4 capes de filtratge condicional, eliminant paquets duplicats, truncant paquets i altres operacions funcionals avançades, i després envia les dades a cada trànsit. sistema d'anàlisi. La xarxa de recollida de trànsit pot enviar amb precisió dades específiques a cada dispositiu segons els requisits de dades de cada sistema i resoldre el problema que les dades miralls tradicionals no es poden filtrar i enviar, cosa que consumeix el rendiment de processament dels commutadors de xarxa. Al mateix temps, el motor de filtratge i intercanvi de trànsit de la xarxa de recollida de trànsit realitza el filtratge i reenviament de dades amb un retard baix i alta velocitat, garanteix la qualitat de les dades recollides per la xarxa de recollida de trànsit i proporciona una bona base de dades per a la equips d'anàlisi de trànsit posteriors.
Per tal de reduir l'impacte sobre l'enllaç original, s'acostuma a obtenir una còpia del tràfic original mitjançant la separació de feixos, SPAN o TAP.
Toc de xarxa passiu (divisor òptic)
La manera d'utilitzar la divisió de llum per obtenir una còpia del trànsit requereix l'ajuda d'un dispositiu divisor de llum. El divisor de llum és un dispositiu òptic passiu que pot redistribuir la intensitat de potència del senyal òptic d'acord amb la proporció requerida. El divisor pot dividir la llum d'1 a 2, 1 a 4 i 1 a múltiples canals. Per tal de reduir l'impacte en l'enllaç original, el centre de dades normalment adopta la relació de divisió òptica de 80:20, 70:30, en la qual la proporció 70,80 del senyal òptic es torna a enviar a l'enllaç original. Actualment, els divisors òptics s'utilitzen àmpliament en l'anàlisi del rendiment de la xarxa (NPM/APM), el sistema d'auditoria, l'anàlisi del comportament dels usuaris, la detecció d'intrusions a la xarxa i altres escenaris.
Avantatges:
1. Dispositiu òptic passiu d'alta fiabilitat;
2. No ocupa el port de commutació, equip independent, posteriorment pot ser una bona expansió;
3. No cal modificar la configuració de l'interruptor, sense impacte en altres equips;
4. Recollida de trànsit completa, sense filtre de paquets de commutació, inclosos els paquets d'error, etc.
Inconvenients:
1. La necessitat d'un tall de xarxa senzill, un endoll de fibra d'enllaç troncal i un marcatge al divisor òptic, reduirà la potència òptica d'alguns enllaços de la columna vertebral
SPAN (mirall de port)
SPAN és una característica que ve amb l'interruptor en si, de manera que només cal configurar-lo a l'interruptor. Tanmateix, aquesta funció afectarà el rendiment del commutador i provocarà la pèrdua de paquets quan les dades es sobrecarreguen.
Avantatges:
1. No cal afegir equips addicionals, configurar el commutador per augmentar el port de sortida de rèplica d'imatges corresponent
Inconvenients:
1. Ocupeu el port del commutador
2. Cal configurar commutadors, la qual cosa implica una coordinació conjunta amb fabricants de tercers, augmentant el risc potencial de fallada de la xarxa
3. La rèplica del trànsit mirall té un impacte en el rendiment del port i del commutador.
TAP de xarxa activa (agregador TAP)
Un TAP de xarxa és un dispositiu de xarxa extern que permet la duplicació de ports i crea una còpia del trànsit per a l'ús de diversos dispositius de supervisió. Aquests dispositius s'introdueixen en un lloc de la ruta de la xarxa que cal observar, i copia els paquets IP de dades i els envia a l'eina de monitorització de la xarxa. L'elecció del punt d'accés per al dispositiu Network TAP depèn de l'enfocament del trànsit de la xarxa: motius de recollida de dades, seguiment rutinari de l'anàlisi i retards, detecció d'intrusions, etc. Els dispositius Network TAP poden recollir i reflectir fluxos de dades a una velocitat de fins a 1G. 100G.
Aquests dispositius accedeixen al trànsit sense que el dispositiu TAP de xarxa modifiqui el flux de paquets de cap manera, independentment de la taxa de trànsit de dades. Això vol dir que el trànsit de xarxa no està subjecte a monitorització i rèplica de ports, la qual cosa és essencial per mantenir la integritat de les dades quan les encaminen a eines de seguretat i anàlisi.
Assegura que els dispositius perifèrics de xarxa supervisen les còpies de trànsit de manera que els dispositius TAP de la xarxa actuen com a observadors. En alimentar una còpia de les vostres dades a qualsevol o tots els dispositius connectats, obtindreu una visibilitat total al punt de xarxa. En cas que un dispositiu TAP de xarxa o un dispositiu de monitorització falli, sabeu que el trànsit no es veurà afectat, assegurant que el sistema operatiu romangui segur i disponible.
Al mateix temps, es converteix en l'objectiu general dels dispositius TAP de xarxa. L'accés als paquets sempre es pot proporcionar sense interrompre el trànsit a la xarxa, i aquestes solucions de visibilitat també poden abordar casos més avançats. Les necessitats de supervisió d'eines que van des de tallafocs de nova generació fins a protecció contra fuites de dades, supervisió del rendiment de les aplicacions, SIEM, forense digital, IPS, IDS i més, obliguen els dispositius TAP de xarxa a evolucionar.
A més de proporcionar una còpia completa del trànsit i mantenir la disponibilitat, els dispositius TAP poden proporcionar el següent.
1. Filtreu els paquets per maximitzar el rendiment de la supervisió de la xarxa
El fet que un dispositiu Network TAP pugui crear una còpia al 100% d'un paquet en algun moment no vol dir que totes les eines de monitorització i seguretat hagin de veure-ho tot. La transmissió en temps real del trànsit a totes les eines de monitorització i seguretat de la xarxa només donarà lloc a una comanda excessiva, perjudicant així el rendiment de les eines i de la xarxa en el procés.
Col·locar el dispositiu Network TAP adequat pot ajudar a filtrar els paquets quan s'encaminen a l'eina de supervisió, distribuint les dades adequades a l'eina adequada. Alguns exemples d'aquestes eines inclouen sistemes de detecció d'intrusions (IDS), prevenció de pèrdues de dades (DLP), informació de seguretat i gestió d'esdeveniments (SIEM), anàlisi forense i molts més.
2. Enllaços agregats per a una xarxa eficient
A mesura que augmenten els requisits de supervisió i seguretat de la xarxa, els enginyers de xarxa han de trobar maneres d'utilitzar els pressupostos informàtics existents per realitzar més tasques. Però en algun moment, no podeu seguir afegint nous dispositius a la pila i augmentant la complexitat de la vostra xarxa. És fonamental maximitzar l'ús de les eines de monitorització i seguretat.
Els dispositius TAP de xarxa poden ajudar agregant múltiples trànsit de xarxa, cap a l'est i cap a l'oest, per lliurar paquets als dispositius connectats mitjançant un sol port. El desplegament d'eines de visibilitat d'aquesta manera reduirà el nombre d'eines de supervisió necessàries. A mesura que el trànsit de dades est-oest continua creixent als centres de dades i entre centres de dades, el requisit dels dispositius TAP de xarxa és essencial per mantenir la visibilitat de tots els fluxos dimensionals a través de grans volums de dades.
Article relacionat que us pot interessar, visiteu aquí:Com capturar el trànsit de la xarxa? Network Tap vs Port Mirror
Hora de publicació: 24-octubre-2024
