Introducció
La recopilació i anàlisi del trànsit de xarxa és el mitjà més eficaç per obtenir indicadors i paràmetres de comportament dels usuaris de la xarxa de primera mà. Amb la millora contínua del funcionament i el manteniment de la qualitat dels centres de dades, la recopilació i l'anàlisi del trànsit de xarxa s'ha convertit en una part indispensable de la infraestructura del centre de dades. Des de l'ús actual a la indústria, la recopilació del trànsit de xarxa es realitza principalment mitjançant equips de xarxa que admeten miralls de trànsit de derivació. La recopilació de trànsit ha d'establir una cobertura completa, una xarxa de recopilació de trànsit raonable i eficaç, aquesta recopilació de trànsit pot ajudar a optimitzar els indicadors de rendiment de la xarxa i del negoci i reduir la probabilitat de fallada.
La xarxa de recollida de trànsit es pot considerar com una xarxa independent composta per dispositius de recollida de trànsit i desplegada en paral·lel amb la xarxa de producció. Recull el trànsit d'imatges de cada dispositiu de xarxa i l'agrega segons els nivells regional i arquitectònic. Utilitza l'alarma d'intercanvi de filtratge de trànsit a l'equip d'adquisició de trànsit per aconseguir la velocitat de línia completa de les dades per a 2-4 capes de filtratge condicional, eliminant paquets duplicats, truncant paquets i altres operacions funcionals avançades, i després envia les dades a cada sistema d'anàlisi de trànsit. La xarxa de recollida de trànsit pot enviar amb precisió dades específiques a cada dispositiu segons els requisits de dades de cada sistema i resoldre el problema que les dades de mirall tradicionals no es poden filtrar i enviar, cosa que consumeix el rendiment de processament dels commutadors de xarxa. Al mateix temps, el motor de filtratge i intercanvi de trànsit de la xarxa de recollida de trànsit realitza el filtratge i el reenviament de dades amb baix retard i alta velocitat, garanteix la qualitat de les dades recollides per la xarxa de recollida de trànsit i proporciona una bona base de dades per als equips d'anàlisi de trànsit posteriors.
Per tal de reduir l'impacte sobre l'enllaç original, normalment s'obté una còpia del trànsit original mitjançant la divisió de feix, SPAN o TAP.
Tap de xarxa passiu (divisor òptic)
La manera d'utilitzar la divisió de llum per obtenir còpia del trànsit requereix l'ajuda d'un dispositiu divisor de llum. El divisor de llum és un dispositiu òptic passiu que pot redistribuir la intensitat de potència del senyal òptic d'acord amb la proporció requerida. El divisor pot dividir la llum d'1 a 2, d'1 a 4 i d'1 a múltiples canals. Per tal de reduir l'impacte en l'enllaç original, el centre de dades sol adoptar la relació de divisió òptica de 80:20, 70:30, en què la proporció del 70,80 del senyal òptic s'envia de tornada a l'enllaç original. Actualment, els divisors òptics s'utilitzen àmpliament en l'anàlisi del rendiment de la xarxa (NPM/APM), sistemes d'auditoria, anàlisi del comportament dels usuaris, detecció d'intrusos a la xarxa i altres escenaris.
Avantatges:
1. Dispositiu òptic passiu d'alta fiabilitat;
2. No ocupa el port del commutador, equip independent, posteriorment pot ser una bona expansió;
3. No cal modificar la configuració del commutador, sense impacte en altres equips;
4. Recopilació completa del trànsit, sense filtratge de paquets de commutació, inclosos els paquets d'error, etc.
Desavantatges:
1. La necessitat d'un simple tall de xarxa, un connector de fibra òptica d'enllaç troncal i un dial al divisor òptic reduirà la potència òptica d'alguns enllaços troncals.
SPAN (Mirall de port)
L'SPAN és una característica que ve amb el propi commutador, per la qual cosa només cal configurar-la al commutador. Tanmateix, aquesta funció afectarà el rendiment del commutador i provocarà la pèrdua de paquets quan les dades es sobrecarreguin.
Avantatges:
1. No cal afegir equips addicionals, configureu el commutador per augmentar el port de sortida de replicació d'imatges corresponent
Desavantatges:
1. Ocupa el port del commutador
2. Cal configurar els commutadors, cosa que implica una coordinació conjunta amb fabricants externs, cosa que augmenta el risc potencial de fallada de xarxa.
3. La replicació del trànsit mirall té un impacte en el rendiment del port i del commutador.
Xarxa activa TAP (agregador TAP)
Un TAP de xarxa és un dispositiu de xarxa extern que permet la rèplica de ports i crea una còpia del trànsit per a l'ús de diversos dispositius de monitorització. Aquests dispositius s'introdueixen en un lloc de la ruta de xarxa que cal observar, copien els paquets IP de dades i els envien a l'eina de monitorització de xarxa. L'elecció del punt d'accés per al dispositiu TAP de xarxa depèn de l'objectiu del trànsit de xarxa: motius de recopilació de dades, monitorització rutinària d'anàlisi i retards, detecció d'intrusions, etc. Els dispositius TAP de xarxa poden recopilar i rèplicar fluxos de dades a una velocitat d'1G fins a 100G.
Aquests dispositius accedeixen al trànsit sense que el dispositiu TAP de la xarxa modifiqui el flux de paquets de cap manera, independentment de la velocitat del trànsit de dades. Això significa que el trànsit de xarxa no està subjecte a monitorització ni a la creació de rèplica de ports, cosa que és essencial per mantenir la integritat de les dades a l'hora d'encaminar-les a eines de seguretat i anàlisi.
Assegura que els dispositius perifèrics de xarxa supervisin les còpies del trànsit de manera que els dispositius TAP de xarxa actuïn com a observadors. En alimentar una còpia de les vostres dades a qualsevol/tots els dispositius connectats, obteniu una visibilitat completa al punt de xarxa. En cas que un dispositiu TAP de xarxa o un dispositiu de monitorització falli, sabeu que el trànsit no es veurà afectat, garantint que el sistema operatiu romangui segur i disponible.
Alhora, es converteix en l'objectiu general dels dispositius TAP de xarxa. L'accés als paquets sempre es pot proporcionar sense interrompre el trànsit a la xarxa, i aquestes solucions de visibilitat també poden abordar casos més avançats. Les necessitats de monitorització d'eines que van des de tallafocs de nova generació fins a la protecció contra fuites de dades, la monitorització del rendiment de les aplicacions, SIEM, la forense digital, IPS, IDS i més, obliguen els dispositius TAP de xarxa a evolucionar.
A més de proporcionar una còpia completa del trànsit i mantenir la disponibilitat, els dispositius TAP poden proporcionar el següent.
1. Filtrar paquets per maximitzar el rendiment de la monitorització de xarxa
El fet que un dispositiu Network TAP pugui crear una còpia del 100% d'un paquet en algun moment no vol dir que totes les eines de monitorització i seguretat hagin de veure-ho tot. La transmissió de trànsit a totes les eines de monitorització i seguretat de la xarxa en temps real només provocarà una sobreordenació, perjudicant així el rendiment de les eines i de la xarxa en el procés.
Col·locar el dispositiu Network TAP correcte pot ajudar a filtrar els paquets quan s'encaminen a l'eina de monitorització, distribuint les dades correctes a l'eina adequada. Exemples d'aquestes eines inclouen sistemes de detecció d'intrusions (IDS), prevenció de pèrdua de dades (DLP), gestió d'informació i esdeveniments de seguretat (SIEM), anàlisi forense i moltes més.
2. Enllaços agregats per a una xarxa eficient
A mesura que augmenten els requisits de monitorització i seguretat de xarxa, els enginyers de xarxa han de trobar maneres d'utilitzar els pressupostos de TI existents per dur a terme més tasques. Però, en algun moment, no es poden seguir afegint nous dispositius a la pila i augmentant la complexitat de la xarxa. És essencial maximitzar l'ús de les eines de monitorització i seguretat.
Els dispositius TAP de xarxa poden ajudar agregant trànsit de xarxa múltiple, en direcció est i oest, per lliurar paquets als dispositius connectats a través d'un únic port. La implementació d'eines de visibilitat d'aquesta manera reduirà el nombre d'eines de monitorització necessàries. A mesura que el trànsit de dades est-oest continua creixent als centres de dades i entre centres de dades, el requisit de dispositius TAP de xarxa és essencial per mantenir la visibilitat de tots els fluxos dimensionals a través de grans volums de dades.
Article relacionat que et pot interessar, visita'l aquí:Com capturar el trànsit de xarxa? Network Tap vs Port Mirror
Data de publicació: 24 d'octubre de 2024