Introdução
A coleta e análise de tráfego de rede é o meio mais eficaz de obter indicadores e parâmetros de comportamento do usuário da rede em primeira mão. Com a melhoria contínua da operação e manutenção do data center Q, a coleta e análise do tráfego de rede tornou-se uma parte indispensável da infraestrutura do data center. A partir do uso atual da indústria, a coleta de tráfego de rede é realizada principalmente por equipamentos de rede que suportam espelho de tráfego de desvio. A coleta de tráfego precisa estabelecer uma cobertura abrangente, uma rede de coleta de tráfego razoável e eficaz. Essa coleta de tráfego pode ajudar a otimizar os indicadores de desempenho da rede e do negócio e reduzir a probabilidade de falha.
A rede de coleta de tráfego pode ser considerada como uma rede independente composta por dispositivos de coleta de tráfego e implantada em paralelo com a rede de produção. Ele coleta o tráfego de imagens de cada dispositivo de rede e agrega o tráfego de imagens de acordo com os níveis regional e arquitetônico. Ele usa o alarme de troca de filtragem de tráfego no equipamento de aquisição de tráfego para realizar a velocidade total da linha dos dados para 2 a 4 camadas de filtragem condicional, removendo pacotes duplicados, truncando pacotes e outras operações funcionais avançadas e, em seguida, envia os dados para cada tráfego sistema de análise. A rede de coleta de tráfego pode enviar com precisão dados específicos para cada dispositivo de acordo com os requisitos de dados de cada sistema, e resolver o problema de que os dados espelhados tradicionais não podem ser filtrados e enviados, o que consome o desempenho de processamento dos switches de rede. Ao mesmo tempo, o mecanismo de filtragem e troca de tráfego da rede de coleta de tráfego realiza a filtragem e encaminhamento de dados com baixo atraso e alta velocidade, garante a qualidade dos dados coletados pela rede de coleta de tráfego e fornece uma boa base de dados para o equipamento de análise de tráfego subsequente.
Para reduzir o impacto no enlace original, geralmente é obtida uma cópia do tráfego original por meio de divisão de feixe, SPAN ou TAP.
Toque de rede passivo (divisor óptico)
A forma de utilizar o light splitting para obter cópia do tráfego requer o auxílio de um dispositivo divisor de luz. O divisor de luz é um dispositivo óptico passivo que pode redistribuir a intensidade de potência do sinal óptico de acordo com a proporção necessária. O divisor pode dividir a luz de 1 a 2,1 a 4 e 1 em vários canais. Para reduzir o impacto no link original, o data center geralmente adota a proporção de divisão óptica de 80:20, 70:30, na qual a proporção de 70,80 do sinal óptico é enviada de volta ao link original. Atualmente, os divisores ópticos são amplamente utilizados na análise de desempenho de rede (NPM/APM), sistema de auditoria, análise de comportamento do usuário, detecção de intrusão de rede e outros cenários.
Vantagens:
1. Alta confiabilidade, dispositivo óptico passivo;
2. Não ocupa a porta do switch, equipamento independente, subsequente pode ser uma boa expansão;
3. Não há necessidade de modificar a configuração do switch, nenhum impacto em outros equipamentos;
4. Coleta completa de tráfego, sem filtragem de pacotes de switch, incluindo pacotes de erro, etc.
Desvantagens:
1. A necessidade de uma transição de rede simples, plugue de fibra de link de backbone e discagem para o divisor óptico reduzirá a potência óptica de alguns links de backbone
SPAN (espelho de porta)
SPAN é um recurso que vem com o próprio switch, portanto só precisa ser configurado no switch. No entanto, esta função afetará o desempenho do switch e causará perda de pacotes quando os dados estiverem sobrecarregados.
Vantagens:
1. Não é necessário adicionar equipamentos adicionais, configure o switch para aumentar a porta de saída de replicação de imagem correspondente
Desvantagens:
1. Ocupe a porta do switch
2. Os switches precisam ser configurados, o que envolve coordenação conjunta com fabricantes terceiros, aumentando o risco potencial de falha da rede
3. A replicação do tráfego espelhado tem impacto no desempenho da porta e do switch.
TAP de rede ativa (agregador TAP)
Um Network TAP é um dispositivo de rede externo que permite o espelhamento de portas e cria uma cópia do tráfego para uso por vários dispositivos de monitoramento. Esses dispositivos são introduzidos em um local do caminho da rede que precisa ser observado, e ele copia os pacotes IP de dados e os envia para a ferramenta de monitoramento de rede. A escolha do ponto de acesso para o dispositivo Network TAP depende do foco do tráfego da rede - motivos de coleta de dados, monitoramento rotineiro de análises e atrasos, detecção de intrusão, etc. Os dispositivos Network TAP podem coletar e espelhar fluxos de dados com taxa de 1G até 100G.
Esses dispositivos acessam o tráfego sem que o dispositivo TAP da rede modifique o fluxo de pacotes de forma alguma, independentemente da taxa de tráfego de dados. Isso significa que o tráfego da rede não está sujeito a monitoramento e espelhamento de portas, o que é essencial para manter a integridade dos dados no roteamento para ferramentas de segurança e análise.
Ele garante que os dispositivos periféricos da rede monitorem as cópias do tráfego para que os dispositivos TAP da rede atuem como observadores. Ao alimentar uma cópia de seus dados para qualquer/todos os dispositivos conectados, você obtém visibilidade total no ponto de rede. Caso um dispositivo TAP de rede ou dispositivo de monitoramento falhe, você sabe que o tráfego não será afetado, garantindo que o sistema operacional permaneça seguro e disponível.
Ao mesmo tempo, torna-se o alvo geral dos dispositivos TAP de rede. O acesso aos pacotes sempre pode ser fornecido sem interromper o tráfego na rede, e essas soluções de visibilidade também podem atender a casos mais avançados. As necessidades de monitoramento de ferramentas que vão desde firewalls de próxima geração até proteção contra vazamento de dados, monitoramento de desempenho de aplicativos, SIEM, análise forense digital, IPS, IDS e muito mais, forçam a evolução dos dispositivos TAP de rede.
Além de fornecer uma cópia completa do tráfego e manter a disponibilidade, os dispositivos TAP podem fornecer o seguinte.
1. Filtre pacotes para maximizar o desempenho do monitoramento de rede
Só porque um dispositivo Network TAP pode criar uma cópia 100% de um pacote em algum momento não significa que toda ferramenta de monitoramento e segurança precise ver tudo. O streaming do tráfego para todas as ferramentas de monitoramento e segurança da rede em tempo real resultará apenas em pedidos excessivos, prejudicando assim o desempenho das ferramentas e da rede no processo.
Colocar o dispositivo Network TAP certo pode ajudar a filtrar pacotes quando roteados para a ferramenta de monitoramento, distribuindo os dados certos para a ferramenta certa. Exemplos de tais ferramentas incluem sistemas de detecção de intrusões (IDS), prevenção contra perda de dados (DLP), informações de segurança e gerenciamento de eventos (SIEM), análise forense e muito mais.
2. Links agregados para rede eficiente
À medida que aumentam os requisitos de monitoramento e segurança de rede, os engenheiros de rede devem encontrar maneiras de usar os orçamentos de TI existentes para realizar mais tarefas. Mas, em algum momento, você não poderá continuar adicionando novos dispositivos à pilha e aumentando a complexidade da sua rede. É essencial maximizar o uso de ferramentas de monitoramento e segurança.
Os dispositivos TAP de rede podem ajudar agregando vários tráfegos de rede, no sentido leste e oeste, para entregar pacotes aos dispositivos conectados por meio de uma única porta. A implantação de ferramentas de visibilidade desta forma reduzirá o número de ferramentas de monitoramento necessárias. À medida que o tráfego de dados Leste-Oeste continua a crescer nos data centers e entre data centers, a necessidade de dispositivos TAP de rede é essencial para manter a visibilidade de todos os fluxos dimensionais em grandes volumes de dados.
Artigo relacionado que você pode interessar, visite aqui:Como capturar o tráfego de rede? Tap de rede vs espelho de porta
Horário da postagem: 24 de outubro de 2024