Introduzione
La raccolta e l'analisi del traffico di rete è il mezzo più efficace per ottenere indicatori e parametri di comportamento degli utenti della rete di prima mano. Con il continuo miglioramento del funzionamento e della manutenzione del data center Q, la raccolta e l'analisi del traffico di rete sono diventate una parte indispensabile dell'infrastruttura del data center. Dall'attuale utilizzo nel settore, la raccolta del traffico di rete è realizzata principalmente da apparecchiature di rete che supportano il mirroring del traffico di bypass. La raccolta del traffico deve stabilire una copertura completa, una rete di raccolta del traffico ragionevole ed efficace; tale raccolta del traffico può aiutare a ottimizzare gli indicatori di prestazione della rete e dell'azienda e a ridurre la probabilità di guasto.
La rete di raccolta del traffico può essere considerata come una rete indipendente composta da dispositivi di raccolta del traffico e dispiegata in parallelo con la rete di produzione. Raccoglie il traffico di immagini di ciascun dispositivo di rete e aggrega il traffico di immagini in base ai livelli regionali e architettonici. Utilizza l'allarme di scambio del filtraggio del traffico nell'apparecchiatura di acquisizione del traffico per realizzare la massima velocità di linea dei dati per 2-4 livelli di filtraggio condizionale, rimuovendo i pacchetti duplicati, troncando i pacchetti e altre operazioni funzionali avanzate, quindi invia i dati a ciascun traffico sistema di analisi. La rete di raccolta del traffico può inviare con precisione dati specifici a ciascun dispositivo in base ai requisiti di dati di ciascun sistema e risolvere il problema che i tradizionali dati mirror non possono essere filtrati e inviati, il che consuma le prestazioni di elaborazione degli switch di rete. Allo stesso tempo, il motore di filtraggio e scambio del traffico della rete di raccolta del traffico realizza il filtraggio e l'inoltro dei dati con basso ritardo e alta velocità, garantisce la qualità dei dati raccolti dalla rete di raccolta del traffico e fornisce una buona base dati per il successive apparecchiature di analisi del traffico.
Per ridurre l'impatto sul collegamento originale, solitamente si ottiene una copia del traffico originale mediante beam splitting, SPAN o TAP.
Tap di rete passivo (splitter ottico)
Il modo di utilizzare la suddivisione della luce per ottenere copia del traffico richiede l'ausilio di un dispositivo di suddivisione della luce. Il divisore di luce è un dispositivo ottico passivo in grado di ridistribuire l'intensità di potenza del segnale ottico secondo la proporzione richiesta. Lo splitter può dividere la luce da 1 a 2, da 1 a 4 e da 1 a più canali. Per ridurre l'impatto sul collegamento originale, il data center adotta solitamente il rapporto di suddivisione ottica di 80:20, 70:30, in cui la proporzione 70,80 del segnale ottico viene rimandata al collegamento originale. Attualmente, gli splitter ottici sono ampiamente utilizzati nell'analisi delle prestazioni di rete (NPM/APM), nei sistemi di audit, nell'analisi del comportamento degli utenti, nel rilevamento delle intrusioni di rete e in altri scenari.
Vantaggi:
1. Alta affidabilità, dispositivo ottico passivo;
2. Non occupa la porta dello switch, apparecchiature indipendenti, la successiva può essere una buona espansione;
3. Nessuna necessità di modificare la configurazione dell'interruttore, nessun impatto su altre apparecchiature;
4. Raccolta completa del traffico, nessun filtraggio dei pacchetti di commutazione, inclusi pacchetti di errori, ecc.
Svantaggi:
1. La necessità di un semplice cutover di rete, di una spina in fibra del collegamento dorsale e di un quadrante per lo splitter ottico ridurrà la potenza ottica di alcuni collegamenti dorsali
SPAN (specchio porta)
SPAN è una funzionalità fornita con lo switch stesso, quindi deve solo essere configurata sullo switch. Tuttavia, questa funzione influenzerà le prestazioni dello switch e causerà la perdita di pacchetti in caso di sovraccarico dei dati.
Vantaggi:
1. Non è necessario aggiungere apparecchiature aggiuntive, configurare lo switch per aumentare la porta di uscita di replica dell'immagine corrispondente
Svantaggi:
1. Occupare la porta dello switch
2. Gli switch devono essere configurati, il che implica un coordinamento congiunto con produttori terzi, aumentando il rischio potenziale di guasto della rete
3. La replica del traffico mirror ha un impatto sulle prestazioni delle porte e dello switch.
TAP di rete attiva (aggregatore TAP)
Un TAP di rete è un dispositivo di rete esterno che abilita il mirroring delle porte e crea una copia del traffico per l'utilizzo da parte di vari dispositivi di monitoraggio. Questi dispositivi vengono introdotti in un punto del percorso di rete che deve essere osservato e copiano i pacchetti IP di dati e li inviano allo strumento di monitoraggio della rete. La scelta del punto di accesso per il dispositivo TAP di rete dipende dal focus del traffico di rete: motivi di raccolta dati, monitoraggio di routine di analisi e ritardi, rilevamento di intrusioni, ecc. I dispositivi TAP di rete possono raccogliere e rispecchiare flussi di dati a velocità 1G fino a 100G.
Questi dispositivi accedono al traffico senza che il dispositivo TAP di rete modifichi in alcun modo il flusso dei pacchetti, indipendentemente dalla velocità del traffico dati. Ciò significa che il traffico di rete non è soggetto al monitoraggio e al port mirroring, essenziale per mantenere l'integrità dei dati durante l'instradamento verso strumenti di sicurezza e analisi.
Garantisce che i dispositivi periferici di rete monitorino le copie del traffico in modo che i dispositivi TAP di rete fungano da osservatori. Fornendo una copia dei tuoi dati a uno o tutti i dispositivi connessi, ottieni piena visibilità nel punto di rete. Nel caso in cui un dispositivo TAP di rete o un dispositivo di monitoraggio si guasti, sai che il traffico non sarà influenzato, garantendo che il sistema operativo rimanga sicuro e disponibile.
Allo stesso tempo, diventa l'obiettivo generale dei dispositivi TAP di rete. L'accesso ai pacchetti può sempre essere fornito senza interrompere il traffico nella rete e queste soluzioni di visibilità possono affrontare anche casi più avanzati. Le esigenze di monitoraggio di strumenti che vanno dai firewall di nuova generazione alla protezione dalla fuga di dati, al monitoraggio delle prestazioni delle applicazioni, SIEM, informatica forense, IPS, IDS e altro ancora, costringono i dispositivi TAP di rete a evolversi.
Oltre a fornire una copia completa del traffico e a mantenerne la disponibilità, i dispositivi TAP possono fornire quanto segue.
1. Filtra i pacchetti per massimizzare le prestazioni di monitoraggio della rete
Solo perché un dispositivo TAP di rete può creare una copia al 100% di un pacchetto a un certo punto non significa che ogni strumento di monitoraggio e sicurezza debba vedere l'intero pacchetto. Lo streaming del traffico verso tutti gli strumenti di monitoraggio e sicurezza della rete in tempo reale comporterà solo un sovraccarico, danneggiando così le prestazioni degli strumenti e della rete nel processo.
Posizionare il giusto dispositivo TAP di rete può aiutare a filtrare i pacchetti quando vengono instradati allo strumento di monitoraggio, distribuendo i dati giusti allo strumento giusto. Esempi di tali strumenti includono sistemi di rilevamento delle intrusioni (IDS), prevenzione della perdita di dati (DLP), gestione delle informazioni e degli eventi di sicurezza (SIEM), analisi forense e molti altri.
2. Collegamenti aggregati per una rete efficiente
Con l'aumento dei requisiti di monitoraggio e sicurezza della rete, gli ingegneri di rete devono trovare modi per utilizzare i budget IT esistenti per svolgere più attività. Ma a un certo punto non potrai più continuare ad aggiungere nuovi dispositivi allo stack e ad aumentare la complessità della tua rete. È essenziale massimizzare l’uso degli strumenti di monitoraggio e sicurezza.
I dispositivi TAP di rete possono aiutare aggregando più traffico di rete, in direzione est e ovest, per consegnare i pacchetti ai dispositivi connessi attraverso un'unica porta. L’implementazione degli strumenti di visibilità in questo modo ridurrà il numero di strumenti di monitoraggio richiesti. Poiché il traffico dati est-ovest continua a crescere nei data center e tra data center, il requisito dei dispositivi TAP di rete è essenziale per mantenere la visibilità di tutti i flussi dimensionali su grandi volumi di dati.
Articolo correlato che potrebbe interessarti, visita qui:Come catturare il traffico di rete? Rubinetto di rete e Mirroring di porte
Orario di pubblicazione: 24 ottobre 2024