Introduzione
La raccolta e l'analisi del traffico di rete sono i mezzi più efficaci per ottenere gli indicatori e i parametri di comportamento dell'utente di rete di prima mano. Con il continuo miglioramento delle operazioni e della manutenzione del data center Q, la raccolta e l'analisi del traffico di rete sono diventate una parte indispensabile dell'infrastruttura del data center. Dall'attuale utilizzo del settore, la raccolta del traffico di rete è principalmente realizzata dalle apparecchiature di rete che supportano Bypass Traffic Mirror. La raccolta del traffico deve stabilire una copertura completa, una rete di raccolta del traffico ragionevole ed efficace, tale raccolta del traffico può aiutare a ottimizzare gli indicatori di prestazioni della rete e delle imprese e ridurre la probabilità di fallimento.
La rete di raccolta del traffico può essere considerata una rete indipendente composta da dispositivi di raccolta del traffico e distribuita in parallelo con la rete di produzione. Raccoglie il traffico di immagini di ciascun dispositivo di rete e aggrega il traffico dell'immagine in base ai livelli regionali e architettonici. Utilizza l'allarme di scambio di filtraggio del traffico nell'apparecchiatura di acquisizione del traffico per realizzare la velocità di linea completa dei dati per 2-4 livelli di filtraggio condizionale, rimuovendo pacchetti duplicati, pacchetti di troncamento e altre operazioni funzionali avanzate, quindi invia i dati a ciascun sistema di analisi del traffico. La rete di raccolta del traffico può inviare accuratamente dati specifici a ciascun dispositivo in base ai requisiti dei dati di ciascun sistema e risolvere il problema che i dati tradizionali di mirror non possono essere filtrati e inviati, il che consuma le prestazioni di elaborazione degli switch di rete. Allo stesso tempo, il motore di filtraggio e scambio di traffico della rete di raccolta del traffico realizza il filtraggio e l'inoltro dei dati con basso ritardo e alta velocità, garantisce la qualità dei dati raccolti dalla rete di raccolta del traffico e fornisce una buona base di dati per le successive apparecchiature di analisi del traffico.
Al fine di ridurre l'impatto sul collegamento originale, una copia del traffico originale viene generalmente ottenuta mediante divisione, spanta o tocco del raggio.
Tocca di rete passiva (splitter ottico)
Il modo di utilizzare la scissione della luce per ottenere una copia del traffico richiede l'aiuto di un dispositivo splitter di luce. Lo splitter di luce è un dispositivo ottico passivo che può ridistribuire l'intensità di potenza del segnale ottico in conformità con la proporzione richiesta. Lo splitter può dividere la luce da 1 a 2,1 a 4 e 1 a più canali. Al fine di ridurre l'impatto sul collegamento originale, il data center di solito adotta il rapporto di divisione ottica di 80:20, 70:30, in cui 70,80 proporzioni del segnale ottico vengono inviate al collegamento originale. Al momento, gli splitter ottici sono ampiamente utilizzati nell'analisi delle prestazioni della rete (NPM/APM), nel sistema di audit, nell'analisi del comportamento dell'utente, sul rilevamento delle intrusioni di rete e altri scenari.
Vantaggi:
1. Alta affidabilità, dispositivo ottico passivo;
2. Non occupano la porta dello switch, attrezzature indipendenti, successive può essere una buona espansione;
3. Non è necessario modificare la configurazione dell'interruttore, nessun impatto su altre apparecchiature;
4. Collezione del traffico completo, nessun filtro dei pacchetti di switch, compresi pacchetti di errore, ecc.
Svantaggi:
1. La necessità di un semplice cutover di rete, plug e composizione in fibra di collegamenti con spina dorsale sullo splitter ottico, ridurrà la potenza ottica di alcuni collegamenti a spina dorsale
Span (Port Mirror)
Span è una caratteristica fornita con lo switch stesso, quindi deve solo essere configurato sullo switch. Tuttavia, questa funzione influenzerà le prestazioni dell'interruttore e causerà la perdita di pacchetti quando i dati vengono sovraccarichi.
Vantaggi:
1. Non è necessario aggiungere ulteriori apparecchiature, configurare l'interruttore per aumentare la porta di uscita della replica dell'immagine corrispondente
Svantaggi:
1. Occupi la porta dell'interruttore
2. Gli switch devono essere configurati, che prevede il coordinamento congiunto con i produttori di terze parti, aumentando il potenziale rischio di guasto della rete
3. La replica del traffico dello specchio ha un impatto sulle prestazioni della porta e dell'interruttore.
Network Active TAP (TAP Aggregatore)
Un tocco di rete è un dispositivo di rete esterno che consente il mirroring della porta e crea una copia del traffico per l'uso da vari dispositivi di monitoraggio. Questi dispositivi vengono introdotti in un luogo nel percorso di rete che deve essere osservato e copia i pacchetti IP di dati e li invia allo strumento di monitoraggio della rete. La scelta del punto di accesso per il dispositivo TAP di rete dipende dal focus dei motivi di raccolta dei dati trafficati di rete, dal monitoraggio di routine di analisi e ritardi, rilevamento delle intrusioni, ecc. I dispositivi di tocco di rete possono raccogliere e rispecchiare i flussi di dati con una frequenza di 1G fino a 100 g.
Questi dispositivi accedono al traffico senza il dispositivo di tocco di rete che modifica il flusso di pacchetti in alcun modo, indipendentemente dalla velocità del traffico dei dati. Ciò significa che il traffico di rete non è soggetto al monitoraggio e al mirroring delle porte, che è essenziale per mantenere l'integrità dei dati quando si inseriscono gli strumenti di sicurezza e analisi.
Garantisce che i dispositivi periferici di rete monitiranno le copie del traffico in modo che i dispositivi di tocco di rete fungano da osservatori. Alimentando una copia dei tuoi dati a qualsiasi/tutti dispositivi connessi, ottieni la piena visibilità nel punto di rete. Nel caso in cui un dispositivo di tocco di rete o un dispositivo di monitoraggio fallisca, si sa che il traffico non sarà interessato, garantendo che il sistema operativo rimanga sicuro e disponibile.
Allo stesso tempo, diventa l'obiettivo complessivo dei dispositivi TAP di rete. L'accesso ai pacchetti può sempre essere fornito senza interrompere il traffico nella rete e queste soluzioni di visibilità possono anche affrontare casi più avanzati. Le esigenze di monitoraggio degli strumenti che vanno dai firewall di prossima generazione alla protezione delle perdite di dati, al monitoraggio delle prestazioni dell'applicazione, SIEM, forense digitale, IPS, ID e altro, forzare i dispositivi di tocco della rete per evolversi.
Oltre a fornire una copia completa del traffico e della manutenzione della disponibilità, i dispositivi TAP possono fornire quanto segue.
1. Filtra pacchetti per massimizzare le prestazioni di monitoraggio della rete
Solo perché un dispositivo TAP di rete può creare una copia al 100% di un pacchetto ad un certo punto non significa che ogni strumento di monitoraggio e sicurezza debba vedere tutto. Lo streaming del traffico verso tutti gli strumenti di monitoraggio e sicurezza della rete in tempo reale comporterà solo un eccesso di ordine, danneggiando così le prestazioni degli strumenti e della rete nel processo.
Il posizionamento del dispositivo di tocco di rete giusto può aiutare a filtrare i pacchetti quando instradati allo strumento di monitoraggio, distribuendo i dati giusti allo strumento giusto. Esempi di tali strumenti includono sistemi di rilevamento delle intrusioni (ID), prevenzione delle perdite dei dati (DLP), informazioni sulla sicurezza e gestione degli eventi (SIEM), analisi forense e molti altri.
2. Collegamenti aggregati per un networking efficiente
Con l'aumentare dei requisiti di monitoraggio e sicurezza della rete, gli ingegneri di rete devono trovare modi per utilizzare i budget IT esistenti per svolgere più attività. Ma ad un certo punto, non puoi continuare ad aggiungere nuovi dispositivi allo stack e aumentare la complessità della tua rete. È essenziale massimizzare l'uso di strumenti di monitoraggio e sicurezza.
I dispositivi TAP di rete possono aiutare aggregando più traffico di rete, verso est e in direzione ovest, per fornire pacchetti ai dispositivi collegati attraverso un'unica porta. La distribuzione di strumenti di visibilità in questo modo ridurrà il numero di strumenti di monitoraggio richiesti. Poiché il traffico di dati est-ovest continua a crescere nei data center e tra i data center, il requisito per i dispositivi di tocco di rete è essenziale per mantenere la visibilità dei flussi di tutte le dimensioni su grandi volumi di dati.
Articolo correlato che potresti interessante, visitare qui:Come acquisire il traffico di rete? Network Tap vs Port Mirror
Tempo post: ottobre-24-2024
