Por que precisar de torneiras de rede e corretores de pacotes de rede para a captura de tráfego de rede? (Parte 2)

Introdução

A coleta e análise de tráfego de rede são os meios mais eficazes para obter os indicadores e parâmetros de comportamento do usuário da rede em primeira mão. Com a melhoria contínua da operação e manutenção do Data Center Q, a coleta e análise de tráfego de rede se tornaram uma parte indispensável da infraestrutura do data center. Do uso atual do setor, a coleta de tráfego de rede é realizada principalmente por equipamentos de rede que suportam o espelho de tráfego de desvio. A coleta de tráfego precisa estabelecer uma cobertura abrangente, uma rede de coleta de tráfego razoável e eficaz, essa coleta de tráfego pode ajudar a otimizar os indicadores de desempenho de rede e negócios e reduzir a probabilidade de falha.

A rede de coleta de tráfego pode ser considerada uma rede independente composta por dispositivos de coleta de tráfego e implantada em paralelo com a rede de produção. Ele coleta o tráfego de imagem de cada dispositivo de rede e agrega o tráfego de imagem de acordo com os níveis regional e arquitetônico. Ele usa o alarme de troca de filtragem de tráfego no equipamento de aquisição de tráfego para realizar a velocidade completa dos dados para 2-4 camadas de filtragem condicional, removendo pacotes duplicados, pacotes truncando e outras operações funcionais avançadas e envia os dados para cada sistema de análise de tráfego. A rede de coleta de tráfego pode enviar com precisão dados específicos para cada dispositivo de acordo com os requisitos de dados de cada sistema e resolver o problema de que os dados tradicionais do espelho não podem ser filtrados e enviados, o que consome o desempenho do processamento dos comutadores de rede. Ao mesmo tempo, o mecanismo de filtragem e troca da rede de coleta de tráfego percebe a filtragem e o encaminhamento de dados com baixo atraso e alta velocidade, garante a qualidade dos dados coletados pela rede de coleta de tráfego e fornece uma boa base de dados para o equipamento subsequente de análise de tráfego.

problema de monitoramento de tráfego

Para reduzir o impacto no link original, uma cópia do tráfego original é geralmente obtida por meio de divisão de feixe, span ou toque.

Tap de rede passiva (divisor óptico)

A maneira de usar a divisão de luz para obter cópia de tráfego requer o auxílio de um dispositivo de divisor de luz. O divisor de luz é um dispositivo óptico passivo que pode redistribuir a intensidade de potência do sinal óptico de acordo com a proporção necessária. O divisor pode dividir a luz de 1 a 2,1 a 4 e 1 para vários canais. Para reduzir o impacto no link original, o data center geralmente adota a taxa de divisão óptica de 80:20, 70:30, na qual 70,80 proporção do sinal óptico é enviado de volta ao link original. Atualmente, os divisores ópticos são amplamente utilizados na análise de desempenho da rede (NPM/APM), sistema de auditoria, análise de comportamento do usuário, detecção de intrusões de rede e outros cenários.

Capture Icon

Vantagens:

1. Alta confiabilidade, dispositivo óptico passivo;

2. Não ocupa a porta do interruptor, equipamento independente, subsequente pode ser uma boa expansão;

3. Não há necessidade de modificar a configuração do comutador, nenhum impacto em outros equipamentos;

4. Coleta de tráfego completo, sem filtragem de pacotes de switch, incluindo pacotes de erro, etc.

Desvantagens:

1. A necessidade de corte simples de rede, plugue de fibra de link de backbone e discagem para o divisor óptico, reduzirá a potência óptica de alguns links de backbone

Span (espelho da porta)

O SPAN é um recurso que vem com o próprio interruptor, por isso só precisa ser configurado no interruptor. No entanto, essa função afetará o desempenho do comutador e causará perda de pacotes quando os dados estiverem sobrecarregados.

espelho de porta interruptor de rede

Vantagens:

1. Não é necessário adicionar equipamentos adicionais, configure a chave para aumentar a porta de saída de replicação de imagem correspondente

Desvantagens:

1. Ocupe a porta do interruptor

2. Os interruptores precisam ser configurados, o que envolve a coordenação conjunta com os fabricantes de terceiros, aumentando o risco potencial de falha na rede

3. A replicação do tráfego espelhado tem um impacto no desempenho da porta e da chave.

Tap ativo de rede (Toque em agregador)

Uma torneira de rede é um dispositivo de rede externo que permite o espelhamento da porta e cria uma cópia do tráfego para uso por vários dispositivos de monitoramento. Esses dispositivos são introduzidos em um local no caminho da rede que precisa ser observado e copia os pacotes IP de dados e os envia para a ferramenta de monitoramento de rede. A escolha do ponto de acesso para o dispositivo TAP de rede depende do foco dos motivos de coleta de dados de tráfego de rede, monitoramento rotineiro de análise e atrasos, detecção de intrusões, etc. Os dispositivos de toque de rede podem coletar e espelhar fluxos de dados a 1G de taxa de até 100g.

Esses dispositivos acessam o tráfego sem o dispositivo TAP de rede, modificando o fluxo de pacotes de qualquer maneira, independentemente da taxa de tráfego de dados. Isso significa que o tráfego de rede não está sujeito a monitoramento e espelhamento da porta, essencial para manter a integridade dos dados ao roteá -los para ferramentas de segurança e análise.

Ele garante que os dispositivos periféricos da rede monitorem as cópias de tráfego para que os dispositivos TAP de rede atuem como observadores. Ao alimentar uma cópia de seus dados a qualquer um/todos os dispositivos conectados, você obtém visibilidade total no ponto de rede. No caso de um dispositivo de torneira de rede ou dispositivo de monitoramento falhar, você sabe que o tráfego não será afetado, garantindo que o sistema operacional permaneça seguro e disponível.

Ao mesmo tempo, torna -se o alvo geral dos dispositivos TAP de rede. O acesso a pacotes sempre pode ser fornecido sem interromper o tráfego na rede, e essas soluções de visibilidade também podem abordar casos mais avançados. As necessidades de monitoramento de ferramentas que variam de firewalls da próxima geração a proteção contra vazamentos de dados, monitoramento de desempenho do aplicativo, SIEM, forense digital, IPS, IDs e muito mais, forçar os dispositivos TAP de rede para evoluir.

Além de fornecer uma cópia completa do tráfego e manter a disponibilidade, os dispositivos TAP podem fornecer o seguinte.

1. Pacotes de filtro para maximizar o desempenho do monitoramento da rede

Só porque um dispositivo TAP de rede pode criar uma cópia de 100% de um pacote em algum momento não significa que toda ferramenta de monitoramento e segurança precisa ver tudo. A transmissão de tráfego para todas as ferramentas de monitoramento e segurança de rede em tempo real só resultará em encomenda, prejudicando o desempenho das ferramentas e a rede no processo.

A colocação do dispositivo TAP de rede correto pode ajudar a filtrar os pacotes quando roteados para a ferramenta de monitoramento, distribuindo os dados corretos para a ferramenta correta. Exemplos de tais ferramentas incluem sistemas de detecção de intrusões (IDs), Prevenção de Perda de Dados (DLP), Informações de Segurança e Gerenciamento de Eventos (SIEM), Análise Forense e muito mais.

2 links agregados para redes eficientes

À medida que os requisitos de monitoramento de rede e segurança aumentam, os engenheiros de rede devem encontrar maneiras de usar os orçamentos de TI existentes para realizar mais tarefas. Mas, em algum momento, você não pode continuar adicionando novos dispositivos à pilha e aumentando a complexidade da sua rede. É essencial maximizar o uso de ferramentas de monitoramento e segurança.

Os dispositivos TAP de rede podem ajudar agregando vários tráfego de rede, na direção leste e na direção oeste, a entregar pacotes a dispositivos conectados através de uma única porta. A implantação de ferramentas de visibilidade dessa maneira reduzirá o número de ferramentas de monitoramento necessárias. À medida que o tráfego de dados leste-oeste continua a crescer em data centers e entre data centers, o requisito para dispositivos de torneira de rede é essencial para manter a visibilidade de todos os fluxos dimensionais em grandes volumes de dados.

ML-NPB-5690 (8)

Artigo relacionado Você pode interessante, visite aqui:Como capturar o tráfego de rede? Rede Tap vs Port Mirror


Horário de postagem: 24-2024 de outubro