Introdução
A Coleta e Análise de Tráfego de Rede é o meio mais eficaz para obter indicadores e parâmetros de comportamento do usuário da rede em primeira mão. Com a melhoria contínua da operação e manutenção do data center Q, a coleta e análise de tráfego de rede tornou-se parte indispensável da infraestrutura do data center. Atualmente, a coleta de tráfego de rede é realizada principalmente por equipamentos de rede que suportam o espelhamento de tráfego de bypass. A coleta de tráfego precisa estabelecer uma rede de coleta de tráfego abrangente, razoável e eficaz. Essa coleta de tráfego pode ajudar a otimizar os indicadores de desempenho da rede e dos negócios, além de reduzir a probabilidade de falhas.
A rede de coleta de tráfego pode ser considerada uma rede independente composta por dispositivos de coleta de tráfego e implantada em paralelo com a rede de produção. Ela coleta o tráfego de imagem de cada dispositivo de rede e agrega o tráfego de imagem de acordo com os níveis regional e arquitetônico. Ela utiliza o alarme de troca de filtragem de tráfego no equipamento de aquisição de tráfego para obter a velocidade total da linha de dados para 2 a 4 camadas de filtragem condicional, removendo pacotes duplicados, truncando pacotes e outras operações funcionais avançadas, e então envia os dados para cada sistema de análise de tráfego. A rede de coleta de tráfego pode enviar com precisão dados específicos para cada dispositivo de acordo com os requisitos de dados de cada sistema, resolvendo o problema de que os dados espelhados tradicionais não podem ser filtrados e enviados, o que consome o desempenho de processamento dos switches de rede. Ao mesmo tempo, o mecanismo de filtragem e troca de tráfego da rede de coleta de tráfego realiza a filtragem e o encaminhamento de dados com baixo atraso e alta velocidade, garantindo a qualidade dos dados coletados pela rede de coleta de tráfego e fornecendo uma boa base de dados para o equipamento de análise de tráfego subsequente.
Para reduzir o impacto no link original, uma cópia do tráfego original geralmente é obtida por meio de divisão de feixe, SPAN ou TAP.
Tap de rede passiva (divisor óptico)
A utilização da divisão de luz para obter cópia de tráfego requer o auxílio de um dispositivo divisor de luz. O divisor de luz é um dispositivo óptico passivo que pode redistribuir a intensidade de potência do sinal óptico de acordo com a proporção necessária. O divisor pode dividir a luz de 1 para 2, 1 para 4 e 1 para múltiplos canais. Para reduzir o impacto no link original, os data centers geralmente adotam a proporção de divisão óptica de 80:20 e 70:30, na qual 70 e 80% do sinal óptico é enviado de volta ao link original. Atualmente, divisores ópticos são amplamente utilizados em análises de desempenho de rede (NPM/APM), sistemas de auditoria, análise do comportamento do usuário, detecção de intrusão de rede e outros cenários.
Vantagens:
1. Dispositivo óptico passivo de alta confiabilidade;
2. Não ocupa a porta do switch, equipamento independente, subsequente pode ser uma boa expansão;
3. Não há necessidade de modificar a configuração do switch, sem impacto em outros equipamentos;
4. Coleta completa de tráfego, sem filtragem de pacotes de switch, incluindo pacotes de erro, etc.
Desvantagens:
1. A necessidade de um corte de rede simples, um plugue de fibra óptica de link de backbone e um dial para o divisor óptico reduzirá a potência óptica de alguns links de backbone
SPAN (espelho de porta)
O SPAN é um recurso que vem com o próprio switch, portanto, ele só precisa ser configurado no switch. No entanto, essa função afetará o desempenho do switch e causará perda de pacotes quando os dados estiverem sobrecarregados.
Vantagens:
1. Não é necessário adicionar equipamento adicional, configure o switch para aumentar a porta de saída de replicação de imagem correspondente
Desvantagens:
1. Ocupe a porta do switch
2. Os switches precisam ser configurados, o que envolve coordenação conjunta com fabricantes terceirizados, aumentando o risco potencial de falha da rede
3. A replicação do tráfego espelhado tem impacto no desempenho da porta e do switch.
Rede Ativa TAP (Agregador TAP)
Um TAP de Rede é um dispositivo de rede externo que permite o espelhamento de portas e cria uma cópia do tráfego para uso por diversos dispositivos de monitoramento. Esses dispositivos são inseridos em um ponto do caminho da rede que precisa ser observado, copiando os pacotes IP de dados e enviando-os para a ferramenta de monitoramento de rede. A escolha do ponto de acesso para o dispositivo TAP de Rede depende do foco do tráfego de rede – coleta de dados, monitoramento de rotina, análise e atrasos, detecção de intrusão, etc. Os dispositivos TAP de Rede podem coletar e espelhar fluxos de dados a uma taxa de 1G até 100G.
Esses dispositivos acessam o tráfego sem que o dispositivo TAP da rede modifique o fluxo de pacotes de forma alguma, independentemente da taxa de tráfego de dados. Isso significa que o tráfego de rede não está sujeito a monitoramento e espelhamento de portas, o que é essencial para manter a integridade dos dados durante o roteamento para ferramentas de segurança e análise.
Ele garante que os dispositivos periféricos da rede monitorem as cópias de tráfego para que os dispositivos TAP da rede atuem como observadores. Ao enviar uma cópia dos seus dados para qualquer/todos os dispositivos conectados, você obtém visibilidade total no ponto da rede. Em caso de falha de um dispositivo TAP da rede ou de monitoramento, você sabe que o tráfego não será afetado, garantindo que o sistema operacional permaneça seguro e disponível.
Ao mesmo tempo, torna-se o alvo principal dos dispositivos TAP de rede. O acesso aos pacotes pode ser sempre fornecido sem interromper o tráfego na rede, e essas soluções de visibilidade também podem atender a casos mais avançados. As necessidades de monitoramento de ferramentas que vão desde firewalls de última geração até proteção contra vazamento de dados, monitoramento de desempenho de aplicações, SIEM, forense digital, IPS, IDS e muito mais, forçam a evolução dos dispositivos TAP de rede.
Além de fornecer uma cópia completa do tráfego e manter a disponibilidade, os dispositivos TAP podem fornecer o seguinte.
1. Filtrar pacotes para maximizar o desempenho do monitoramento da rede
Só porque um dispositivo TAP de rede consegue criar uma cópia 100% de um pacote em algum momento não significa que todas as ferramentas de monitoramento e segurança precisem ver tudo. Transmitir o tráfego para todas as ferramentas de monitoramento e segurança de rede em tempo real só resultará em excesso de pedidos, prejudicando o desempenho das ferramentas e da rede no processo.
A instalação correta do dispositivo TAP de rede pode ajudar a filtrar pacotes quando roteados para a ferramenta de monitoramento, distribuindo os dados certos para a ferramenta certa. Exemplos dessas ferramentas incluem sistemas de detecção de intrusão (IDS), prevenção contra perda de dados (DLP), gerenciamento de informações e eventos de segurança (SIEM), análise forense e muito mais.
2. Links agregados para uma rede eficiente
À medida que os requisitos de monitoramento e segurança de rede aumentam, os engenheiros de rede precisam encontrar maneiras de usar os orçamentos de TI existentes para realizar mais tarefas. Mas, em algum momento, não é mais possível continuar adicionando novos dispositivos à pilha e aumentando a complexidade da sua rede. É essencial maximizar o uso de ferramentas de monitoramento e segurança.
Dispositivos TAP de rede podem ajudar agregando múltiplos tráfegos de rede, leste e oeste, para entregar pacotes aos dispositivos conectados por meio de uma única porta. A implantação de ferramentas de visibilidade dessa forma reduzirá o número de ferramentas de monitoramento necessárias. À medida que o tráfego de dados leste-oeste continua a crescer em data centers e entre data centers, a necessidade de dispositivos TAP de rede é essencial para manter a visibilidade de todos os fluxos dimensionais em grandes volumes de dados.
Artigo relacionado que pode lhe interessar, visite aqui:Como capturar tráfego de rede? Tap de rede vs. Port Mirror
Horário da postagem: 24 de outubro de 2024
