Introducción
La recopilación y el análisis de tráfico de red es el medio más efectivo para obtener los indicadores y parámetros de comportamiento del usuario de la red de primera mano. Con la mejora continua de la operación y el mantenimiento del centro de datos, la recopilación y el análisis de tráfico de red se ha convertido en una parte indispensable de la infraestructura del centro de datos. Desde el uso actual de la industria, la colección de tráfico de red se realiza principalmente por equipos de red que admiten el espejo de tráfico de derivación. La recolección de tráfico necesita establecer una cobertura integral, una red de recolección de tráfico razonable y efectiva, dicha recolección de tráfico puede ayudar a optimizar los indicadores de rendimiento de la red y el negocio y reducir la probabilidad de falla.
La red de recolección de tráfico puede considerarse como una red independiente compuesta por dispositivos de recolección de tráfico e implementado en paralelo con la red de producción. Recopila el tráfico de imágenes de cada dispositivo de red y agrega el tráfico de la imagen de acuerdo con los niveles regionales y arquitectónicos. Utiliza la alarma de intercambio de filtrado de tráfico en el equipo de adquisición de tráfico para realizar la velocidad de línea completa de los datos para 2-4 capas de filtrado condicional, eliminar paquetes duplicados, truncar paquetes y otras operaciones funcionales avanzadas, y luego envía los datos a cada sistema de análisis de tráfico. La red de recopilación de tráfico puede enviar con precisión datos específicos a cada dispositivo de acuerdo con los requisitos de datos de cada sistema, y resolver el problema de que los datos de espejo tradicionales no se pueden filtrar y enviar, lo que consume el rendimiento de procesamiento de los conmutadores de red. Al mismo tiempo, el motor de filtrado de tráfico y el motor de intercambio de la red de recolección de tráfico realizan el filtrado y el reenvío de datos con baja retraso y alta velocidad, garantiza la calidad de los datos recopilados por la red de recolección de tráfico y proporciona una buena base de datos para el posterior equipo de análisis de tráfico.
Para reducir el impacto en el enlace original, generalmente se obtiene una copia del tráfico original mediante la división, el tramo o el toque del haz.
Passive Network Tap (divisor óptico)
La forma de usar la división de luz para obtener una copia de tráfico requiere la ayuda de un dispositivo divisor de luz. El divisor de luz es un dispositivo óptico pasivo que puede redistribuir la intensidad de potencia de la señal óptica de acuerdo con la proporción requerida. El divisor puede dividir la luz de 1 a 2,1 a 4 y 1 a múltiples canales. Para reducir el impacto en el enlace original, el centro de datos generalmente adopta la relación de división óptica de 80:20, 70:30, en la que 70,80 proporción de la señal óptica se envían de regreso al enlace original. En la actualidad, los divisores ópticos se utilizan ampliamente en el análisis de rendimiento de la red (NPM/APM), el sistema de auditoría, el análisis de comportamiento del usuario, la detección de intrusos de la red y otros escenarios.
Ventajas:
1. Alta confiabilidad, dispositivo óptico pasivo;
2. No ocupa el puerto del interruptor, el equipo independiente, posterior puede ser una buena expansión;
3. No es necesario modificar la configuración del interruptor, no hay impacto en otros equipos;
4. Colección de tráfico completo, sin filtrado de paquetes de interruptor, incluidos paquetes de error, etc.
Desventajas:
1. La necesidad de un recorte de red simple, el tapón de fibra de enlace de la red troncal y el marcado al divisor óptico reducirán la potencia óptica de algunos enlaces de la red troncal
Span (espejo de puerto)
SPAN es una característica que viene con el conmutador en sí, por lo que solo necesita configurarse en el conmutador. Sin embargo, esta función afectará el rendimiento del conmutador y causará pérdida de paquetes cuando los datos se sobrecarguen.
Ventajas:
1. No es necesario agregar equipos adicionales, configurar el interruptor para aumentar el puerto de salida de replicación de imagen correspondiente
Desventajas:
1. Ocupar el puerto del interruptor
2. Deben configurarse los interruptores, lo que implica la coordinación conjunta con los fabricantes de terceros, aumentando el riesgo potencial de falla de la red
3. La replicación del tráfico de espejo tiene un impacto en el rendimiento del puerto y el cambio.
Active Network Tap (Tap agregador)
Un toque de red es un dispositivo de red externo que habilita el reflejo de puertos y crea una copia del tráfico para usar por varios dispositivos de monitoreo. Estos dispositivos se introducen en un lugar en la ruta de red que debe observarse, y copia los paquetes de IP de datos y los envía a la herramienta de monitoreo de red. La elección del punto de acceso para el dispositivo TAP de red depende del enfoque de los motivos de recolección de datos de tráfico de red, monitoreo de rutina de análisis y retrasos, detección de intrusos, etc. Los dispositivos de toque de red pueden recopilar y reflejar flujos de datos a una velocidad de 1 g hasta 100 g.
Estos dispositivos acceden al tráfico sin el dispositivo TAP de red que modifica el flujo de paquetes de cualquier manera, independientemente de la velocidad de tráfico de datos. Esto significa que el tráfico de red no está sujeto a monitoreo y reflejo de puertos, lo cual es esencial para mantener la integridad de los datos al enrutarlo a las herramientas de seguridad y análisis.
Asegura que los dispositivos periféricos de red supervisen las copias de tráfico para que los dispositivos de toque de red actúen como observadores. Al alimentar una copia de sus datos a cualquiera/todos los dispositivos conectados, obtiene una visibilidad completa en el punto de red. En el caso de que falle un dispositivo de control de red o un dispositivo de monitoreo, sabe que el tráfico no se verá afectado, asegurando que el sistema operativo permanezca seguro y disponible.
Al mismo tiempo, se convierte en el objetivo general de los dispositivos TAP de red. El acceso a los paquetes siempre se puede proporcionar sin interrumpir el tráfico en la red, y estas soluciones de visibilidad también pueden abordar casos más avanzados. Las necesidades de monitoreo de las herramientas que van desde firewalls de próxima generación hasta protección de fuga de datos, monitoreo del rendimiento de la aplicación, SIEM, forense digital, IPS, IDS y más, que evolucionan los dispositivos TAP de red.
Además de proporcionar una copia completa del tráfico y mantener la disponibilidad, los dispositivos TAP pueden proporcionar lo siguiente.
1. Filtro de paquetes para maximizar el rendimiento de monitoreo de la red
El hecho de que un dispositivo de Tap Network pueda crear una copia del 100% de un paquete en algún momento no significa que cada herramienta de monitoreo y seguridad deba ver todo. La transmisión del tráfico a todas las herramientas de monitoreo y seguridad de la red en tiempo real solo dará como resultado una exageración, perjudicando así el rendimiento de las herramientas y la red en el proceso.
Colocar el dispositivo de Toque de red correcto puede ayudar a filtrar paquetes cuando se enrutan a la herramienta de monitoreo, distribuyendo los datos correctos a la herramienta correcta. Los ejemplos de tales herramientas incluyen sistemas de detección de intrusos (IDS), prevención de pérdidas de datos (DLP), información de seguridad y gestión de eventos (SIEM), análisis forense y muchos más.
2. Enlaces agregados para redes eficientes
A medida que aumentan los requisitos de monitoreo y seguridad de la red, los ingenieros de la red deben encontrar formas de utilizar los presupuestos de TI existentes para realizar más tareas. Pero en algún momento, no puede seguir agregando nuevos dispositivos a la pila y aumentando la complejidad de su red. Es esencial maximizar el uso de herramientas de monitoreo y seguridad.
Los dispositivos TAP de red pueden ayudar agregando múltiples tráfico de red, hacia el este y hacia el oeste, para entregar paquetes a dispositivos conectados a través de un solo puerto. La implementación de herramientas de visibilidad de esta manera reducirá la cantidad de herramientas de monitoreo requeridas. A medida que el tráfico de datos este-oeste continúa creciendo en los centros de datos y entre los centros de datos, el requisito de dispositivos de TAP de red es esencial para mantener la visibilidad de todos los flujos dimensionales en grandes volúmenes de datos.
Artículo relacionado que puede interesante, visite aquí:¿Cómo capturar el tráfico de red? Red Tap vs Port Mirror
Tiempo de publicación: octubre-24-2024
