Introduzione
La raccolta e l'analisi del traffico di rete rappresentano il mezzo più efficace per ottenere indicatori e parametri di comportamento degli utenti di rete di prima mano. Con il continuo miglioramento della gestione e della manutenzione dei data center, la raccolta e l'analisi del traffico di rete sono diventate una parte indispensabile dell'infrastruttura del data center. Nell'attuale contesto industriale, la raccolta del traffico di rete viene principalmente realizzata tramite apparecchiature di rete che supportano il bypass traffic mirror. La raccolta del traffico deve stabilire una rete di raccolta del traffico a copertura completa, ragionevole ed efficace; tale raccolta del traffico può contribuire a ottimizzare gli indicatori di prestazioni di rete e aziendali e a ridurre la probabilità di guasti.
La rete di raccolta del traffico può essere considerata una rete indipendente composta da dispositivi di raccolta del traffico e distribuita in parallelo alla rete di produzione. Raccoglie il traffico di immagini di ciascun dispositivo di rete e lo aggrega in base ai livelli regionali e architettonici. Utilizza l'allarme di scambio del filtro del traffico nell'apparecchiatura di acquisizione del traffico per raggiungere la massima velocità di linea dei dati per 2-4 livelli di filtraggio condizionale, rimuovendo i pacchetti duplicati, troncando i pacchetti e altre operazioni funzionali avanzate, quindi invia i dati a ciascun sistema di analisi del traffico. La rete di raccolta del traffico può inviare accuratamente dati specifici a ciascun dispositivo in base ai requisiti di ciascun sistema, risolvendo il problema dell'impossibilità di filtrare e inviare i dati mirror tradizionali, che consumano le prestazioni di elaborazione degli switch di rete. Allo stesso tempo, il motore di filtraggio e scambio del traffico della rete di raccolta del traffico realizza il filtraggio e l'inoltro dei dati con basso ritardo e alta velocità, garantisce la qualità dei dati raccolti dalla rete di raccolta del traffico e fornisce una solida base di dati per le successive apparecchiature di analisi del traffico.
Per ridurre l'impatto sul collegamento originale, solitamente si ottiene una copia del traffico originale tramite beam splitting, SPAN o TAP.
Presa di rete passiva (sdoppiatore ottico)
L'utilizzo della suddivisione della luce per ottenere la copia del traffico richiede l'ausilio di un dispositivo divisore di luce. Il divisore di luce è un dispositivo ottico passivo in grado di ridistribuire l'intensità di potenza del segnale ottico in base alla proporzione desiderata. Lo divisore può suddividere la luce da 1 a 2, da 1 a 4 e da 1 a più canali. Per ridurre l'impatto sul collegamento originale, il data center adotta solitamente un rapporto di suddivisione ottica di 80:20 o 70:30, in cui una proporzione del 70% e dell'80% del segnale ottico viene reinviata al collegamento originale. Attualmente, gli splitter ottici sono ampiamente utilizzati nell'analisi delle prestazioni di rete (NPM/APM), nei sistemi di audit, nell'analisi del comportamento degli utenti, nel rilevamento delle intrusioni di rete e in altri scenari.
Vantaggi:
1. Dispositivo ottico passivo ad alta affidabilità;
2. Non occupa la porta dello switch, apparecchiatura indipendente, la successiva può essere una buona espansione;
3. Non è necessario modificare la configurazione dello switch, nessun impatto sulle altre apparecchiature;
4. Raccolta completa del traffico, senza filtraggio dei pacchetti di commutazione, inclusi i pacchetti di errore, ecc.
Svantaggi:
1. La necessità di un semplice cutover di rete, di un collegamento in fibra ottica e di un selettore per il backbone, ridurrà la potenza ottica di alcuni collegamenti backbone.
SPAN (specchio di porta)
SPAN è una funzionalità inclusa nello switch, quindi deve essere configurata direttamente sullo switch. Tuttavia, questa funzione influisce sulle prestazioni dello switch e causa la perdita di pacchetti in caso di sovraccarico di dati.
Vantaggi:
1. Non è necessario aggiungere apparecchiature aggiuntive, configurare lo switch per aumentare la porta di uscita di replicazione dell'immagine corrispondente
Svantaggi:
1. Occupare la porta dello switch
2. Gli switch devono essere configurati, il che implica un coordinamento congiunto con produttori terzi, aumentando il potenziale rischio di guasti della rete
3. La replica del traffico mirror ha un impatto sulle prestazioni delle porte e degli switch.
TAP di rete attiva (TAP Aggregator)
Un TAP di rete è un dispositivo di rete esterno che consente il mirroring delle porte e crea una copia del traffico per l'utilizzo da parte di diversi dispositivi di monitoraggio. Questi dispositivi vengono installati in un punto del percorso di rete che deve essere monitorato, copiano i pacchetti dati IP e li inviano allo strumento di monitoraggio di rete. La scelta del punto di accesso per il dispositivo TAP di rete dipende dall'obiettivo del traffico di rete: raccolta dati, monitoraggio di routine di analisi e ritardi, rilevamento di intrusioni, ecc. I dispositivi TAP di rete possono raccogliere e replicare flussi di dati a velocità da 1 Gbps a 100 Gbps.
Questi dispositivi accedono al traffico senza che il dispositivo TAP di rete modifichi in alcun modo il flusso di pacchetti, indipendentemente dalla velocità del traffico dati. Ciò significa che il traffico di rete non è soggetto a monitoraggio e mirroring delle porte, essenziali per mantenere l'integrità dei dati durante l'instradamento verso strumenti di sicurezza e analisi.
Garantisce che le periferiche di rete monitorino le copie del traffico, in modo che i dispositivi TAP di rete fungano da osservatori. Inserendo una copia dei dati in uno o tutti i dispositivi connessi, si ottiene la piena visibilità sul punto di rete. In caso di guasto di un dispositivo TAP di rete o di monitoraggio, si ha la certezza che il traffico non verrà influenzato, garantendo la sicurezza e la disponibilità del sistema operativo.
Allo stesso tempo, diventa l'obiettivo principale dei dispositivi TAP di rete. L'accesso ai pacchetti può essere sempre fornito senza interrompere il traffico di rete e queste soluzioni di visibilità possono anche affrontare casi più complessi. Le esigenze di monitoraggio di strumenti che vanno dai firewall di nuova generazione alla protezione dalla perdita di dati, al monitoraggio delle prestazioni delle applicazioni, al SIEM, all'informatica forense, agli IPS, agli IDS e altro ancora, impongono ai dispositivi TAP di rete un'evoluzione.
Oltre a fornire una copia completa del traffico e a mantenerne la disponibilità, i dispositivi TAP possono fornire quanto segue.
1. Filtrare i pacchetti per massimizzare le prestazioni di monitoraggio della rete
Il fatto che un dispositivo Network TAP possa creare una copia completa di un pacchetto a un certo punto non significa che tutti gli strumenti di monitoraggio e sicurezza debbano vederlo per intero. Trasmettere il traffico in streaming a tutti gli strumenti di monitoraggio e sicurezza di rete in tempo reale si tradurrà solo in un sovraccarico, compromettendo le prestazioni degli strumenti e della rete.
Posizionare il dispositivo TAP di rete corretto può aiutare a filtrare i pacchetti quando vengono instradati verso lo strumento di monitoraggio, distribuendo i dati corretti allo strumento giusto. Esempi di tali strumenti includono sistemi di rilevamento delle intrusioni (IDS), prevenzione della perdita di dati (DLP), gestione delle informazioni di sicurezza e degli eventi (SIEM), analisi forense e molti altri.
2. Aggregazione dei link per un networking efficiente
Con l'aumento dei requisiti di monitoraggio e sicurezza della rete, i tecnici di rete devono trovare il modo di utilizzare i budget IT esistenti per svolgere più attività. Ma a un certo punto, non è più possibile continuare ad aggiungere nuovi dispositivi allo stack e ad aumentare la complessità della rete. È fondamentale massimizzare l'utilizzo degli strumenti di monitoraggio e sicurezza.
I dispositivi TAP di rete possono essere d'aiuto aggregando più flussi di traffico di rete, in direzione est e ovest, per recapitare i pacchetti ai dispositivi connessi tramite un'unica porta. L'implementazione di strumenti di visibilità in questo modo ridurrà il numero di strumenti di monitoraggio necessari. Con la continua crescita del traffico dati est-ovest nei data center e tra data center, la necessità di dispositivi TAP di rete è essenziale per mantenere la visibilità di tutti i flussi dimensionali su grandi volumi di dati.
Per altri articoli correlati che potrebbero interessarti, visita qui:Come catturare il traffico di rete? Network Tap vs Port Mirror
Data di pubblicazione: 24 ottobre 2024