Introduzione
La raccolta e l'analisi del traffico di rete rappresentano il mezzo più efficace per ottenere indicatori e parametri di prima mano sul comportamento degli utenti di rete. Con il continuo miglioramento delle operazioni e della manutenzione dei data center, la raccolta e l'analisi del traffico di rete sono diventate parte integrante dell'infrastruttura. Nell'attuale contesto industriale, la raccolta del traffico di rete viene realizzata principalmente tramite apparecchiature di rete che supportano il bypass del traffico mirror. La raccolta del traffico richiede la creazione di una rete di raccolta capillare, razionale ed efficace, in grado di ottimizzare gli indicatori di prestazione della rete e del business e di ridurre la probabilità di guasti.
La rete di raccolta del traffico può essere considerata una rete indipendente composta da dispositivi di raccolta del traffico e implementata in parallelo con la rete di produzione. Raccoglie il traffico immagine di ciascun dispositivo di rete e lo aggrega a livello regionale e architettonico. Utilizza il filtro di scambio del traffico presente nelle apparecchiature di acquisizione del traffico per realizzare la velocità di linea completa dei dati per 2-4 livelli di filtraggio condizionale, rimozione di pacchetti duplicati, troncamento di pacchetti e altre operazioni funzionali avanzate, e quindi invia i dati a ciascun sistema di analisi del traffico. La rete di raccolta del traffico può inviare con precisione dati specifici a ciascun dispositivo in base ai requisiti di dati di ciascun sistema, risolvendo il problema dell'impossibilità di filtrare e inviare i dati con i metodi tradizionali di mirroring, che consumano le prestazioni di elaborazione degli switch di rete. Allo stesso tempo, il motore di filtraggio e scambio del traffico della rete di raccolta del traffico realizza il filtraggio e l'inoltro dei dati con bassa latenza e alta velocità, garantendo la qualità dei dati raccolti dalla rete di raccolta del traffico e fornendo una solida base di dati per le successive apparecchiature di analisi del traffico.
Per ridurre l'impatto sul collegamento originale, una copia del traffico originale viene solitamente ottenuta tramite beam splitting, SPAN o TAP.
Splitter di rete passivo (splitter ottico)
Il metodo di utilizzo della divisione della luce per ottenere una copia del traffico richiede l'ausilio di un dispositivo di divisione della luce. Il divisore di luce è un dispositivo ottico passivo in grado di ridistribuire l'intensità di potenza del segnale ottico in base alla proporzione richiesta. Il divisore può dividere la luce in canali da 1 a 2, da 1 a 4 e da 1 a più canali. Per ridurre l'impatto sul collegamento originale, i data center adottano solitamente un rapporto di divisione ottica di 80:20 o 70:30, in cui il 70% e l'80% del segnale ottico viene ritrasmesso al collegamento originale. Attualmente, i divisori ottici sono ampiamente utilizzati nell'analisi delle prestazioni di rete (NPM/APM), nei sistemi di audit, nell'analisi del comportamento degli utenti, nel rilevamento delle intrusioni di rete e in altri scenari.
Vantaggi:
1. Dispositivo ottico passivo ad alta affidabilità;
2. Non occupa la porta dello switch, è un'apparecchiatura indipendente, e può essere espansa in seguito senza problemi;
3. Non è necessario modificare la configurazione dello switch, nessun impatto su altre apparecchiature;
4. Raccolta completa del traffico, senza filtraggio dei pacchetti da parte dello switch, inclusi i pacchetti di errore, ecc.
Svantaggi:
1. La necessità di un semplice passaggio di rete, il collegamento in fibra del backbone e la composizione del codice allo splitter ottico, ridurranno la potenza ottica di alcuni collegamenti backbone
SPAN (Specchio di porta)
SPAN è una funzionalità integrata nello switch stesso, quindi è sufficiente configurarla sullo switch. Tuttavia, questa funzione influirà sulle prestazioni dello switch e causerà la perdita di pacchetti in caso di sovraccarico di dati.
Vantaggi:
1. Non è necessario aggiungere apparecchiature aggiuntive, configurare lo switch per aumentare la porta di uscita di replica dell'immagine corrispondente
Svantaggi:
1. Occupare la porta dello switch
2. Gli switch devono essere configurati, il che implica un coordinamento congiunto con produttori terzi, aumentando il potenziale rischio di guasto della rete.
3. La replica del traffico mirror ha un impatto sulle prestazioni delle porte e degli switch.
Rete TAP attiva (aggregatore TAP)
Un Network TAP è un dispositivo di rete esterno che consente il mirroring delle porte e crea una copia del traffico utilizzabile da vari dispositivi di monitoraggio. Questi dispositivi vengono installati in un punto del percorso di rete che deve essere monitorato, copiano i pacchetti di dati IP e li inviano allo strumento di monitoraggio della rete. La scelta del punto di accesso per il dispositivo Network TAP dipende dall'obiettivo del traffico di rete: raccolta dati, monitoraggio di routine per analisi e ritardi, rilevamento delle intrusioni, ecc. I dispositivi Network TAP possono raccogliere e replicare flussi di dati con velocità da 1G fino a 100G.
Questi dispositivi accedono al traffico senza che il dispositivo TAP di rete modifichi in alcun modo il flusso dei pacchetti, indipendentemente dalla velocità del traffico dati. Ciò significa che il traffico di rete non è soggetto a monitoraggio e mirroring delle porte, elementi essenziali per mantenere l'integrità dei dati quando vengono instradati verso strumenti di sicurezza e analisi.
Questo sistema garantisce che i dispositivi periferici di rete monitorino le copie del traffico, in modo che i dispositivi TAP di rete agiscano come osservatori. Inviando una copia dei dati a tutti i dispositivi connessi, si ottiene una visibilità completa a livello di punto di rete. In caso di guasto di un dispositivo TAP di rete o di un dispositivo di monitoraggio, si ha la certezza che il traffico non verrà interrotto, garantendo la sicurezza e la disponibilità del sistema operativo.
Allo stesso tempo, diventa l'obiettivo principale dei dispositivi TAP di rete. L'accesso ai pacchetti può essere sempre garantito senza interrompere il traffico di rete e queste soluzioni di visibilità possono gestire anche casi più complessi. Le esigenze di monitoraggio di strumenti che spaziano dai firewall di nuova generazione alla protezione dalla perdita di dati, al monitoraggio delle prestazioni delle applicazioni, al SIEM, alla digital forensics, all'IPS, all'IDS e altro ancora, spingono i dispositivi TAP di rete ad evolversi.
Oltre a fornire una copia completa del traffico e a garantire la disponibilità, i dispositivi TAP possono offrire le seguenti funzionalità.
1. Filtrare i pacchetti per massimizzare le prestazioni del monitoraggio di rete
Il fatto che un dispositivo Network TAP possa creare una copia completa di un pacchetto in un dato momento non significa che ogni strumento di monitoraggio e sicurezza debba necessariamente visualizzarlo per intero. Trasmettere il traffico in tempo reale a tutti gli strumenti di monitoraggio e sicurezza di rete non farebbe altro che sovraccaricare la rete, compromettendone le prestazioni e, di conseguenza, quelle degli strumenti stessi.
Posizionando il dispositivo Network TAP corretto, è possibile filtrare i pacchetti instradati verso lo strumento di monitoraggio, distribuendo i dati appropriati allo strumento giusto. Esempi di tali strumenti includono sistemi di rilevamento delle intrusioni (IDS), sistemi di prevenzione della perdita di dati (DLP), sistemi di gestione delle informazioni e degli eventi di sicurezza (SIEM), analisi forensi e molti altri.
2. Collegamenti aggregati per una rete efficiente
Con l'aumento dei requisiti di monitoraggio e sicurezza della rete, gli ingegneri di rete devono trovare il modo di utilizzare i budget IT esistenti per svolgere un maggior numero di attività. Tuttavia, a un certo punto, non è più possibile continuare ad aggiungere nuovi dispositivi e ad aumentare la complessità della rete. È fondamentale massimizzare l'utilizzo degli strumenti di monitoraggio e sicurezza.
I dispositivi Network TAP possono essere utili aggregando più flussi di traffico di rete, sia in direzione est che ovest, per consegnare i pacchetti ai dispositivi connessi tramite un'unica porta. L'implementazione di strumenti di visibilità in questo modo ridurrà il numero di strumenti di monitoraggio necessari. Poiché il traffico dati est-ovest continua a crescere all'interno dei data center e tra i data center, la necessità di dispositivi Network TAP è essenziale per mantenere la visibilità di tutti i flussi dimensionali su grandi volumi di dati.
Potrebbero interessarti anche altri articoli correlati, visita questa pagina:Come catturare il traffico di rete? Network Tap vs Port Mirroring
Data di pubblicazione: 24 ottobre 2024
