Introducción
La recopilación y el análisis del tráfico de la red es el medio más eficaz para obtener indicadores y parámetros de comportamiento del usuario de la red de primera mano. Con la mejora continua de la operación y el mantenimiento del centro de datos Q, la recopilación y el análisis del tráfico de la red se han convertido en una parte indispensable de la infraestructura del centro de datos. Según el uso actual de la industria, la recopilación del tráfico de red se realiza principalmente mediante equipos de red que admiten la duplicación de tráfico de derivación. La recolección de tráfico necesita establecer una red de recolección de tráfico razonable, efectiva y con cobertura integral; dicha recolección de tráfico puede ayudar a optimizar los indicadores de desempeño comercial y de la red y reducir la probabilidad de fallas.
La red de recolección de tráfico puede considerarse como una red independiente compuesta por dispositivos de recolección de tráfico e implementada en paralelo con la red de producción. Recopila el tráfico de imágenes de cada dispositivo de red y agrega el tráfico de imágenes según los niveles regional y arquitectónico. Utiliza la alarma de intercambio de filtrado de tráfico en el equipo de adquisición de tráfico para lograr la velocidad de línea completa de los datos para 2 a 4 capas de filtrado condicional, eliminando paquetes duplicados, truncando paquetes y otras operaciones funcionales avanzadas, y luego envía los datos a cada tráfico. sistema de análisis. La red de recolección de tráfico puede enviar con precisión datos específicos a cada dispositivo de acuerdo con los requisitos de datos de cada sistema y resolver el problema de que los datos espejo tradicionales no se pueden filtrar ni enviar, lo que consume el rendimiento de procesamiento de los conmutadores de red. Al mismo tiempo, el motor de intercambio y filtrado de tráfico de la red de recopilación de tráfico realiza el filtrado y reenvío de datos con baja demora y alta velocidad, garantiza la calidad de los datos recopilados por la red de recopilación de tráfico y proporciona una buena base de datos para la posterior equipo de análisis de tráfico.
Para reducir el impacto en el enlace original, se suele obtener una copia del tráfico original mediante beam splitting, SPAN o TAP.
Grifo de red pasiva (divisor óptico)
La forma de utilizar la división de luz para obtener una copia del tráfico requiere la ayuda de un dispositivo divisor de luz. El divisor de luz es un dispositivo óptico pasivo que puede redistribuir la intensidad de potencia de la señal óptica de acuerdo con la proporción requerida. El divisor puede dividir la luz de 1 a 2, de 1 a 4 y de 1 a varios canales. Para reducir el impacto en el enlace original, el centro de datos generalmente adopta la relación de división óptica de 80:20, 70:30, en la que una proporción del 70,80 de la señal óptica se envía de regreso al enlace original. En la actualidad, los divisores ópticos se utilizan ampliamente en el análisis del rendimiento de la red (NPM/APM), sistemas de auditoría, análisis del comportamiento del usuario, detección de intrusiones en la red y otros escenarios.
Ventajas:
1. Dispositivo óptico pasivo de alta confiabilidad;
2. No ocupa el puerto del switch, equipo independiente, la posterior expansión puede ser buena;
3. No es necesario modificar la configuración del interruptor, no afecta a otros equipos;
4. Recopilación completa de tráfico, sin filtrado de paquetes de conmutación, incluidos paquetes de error, etc.
Desventajas:
1. La necesidad de una simple transferencia de red, conectar la fibra del enlace troncal y marcar al divisor óptico reducirá la potencia óptica de algunos enlaces troncal.
SPAN (espejo de puerto)
SPAN es una característica que viene con el propio conmutador, por lo que solo necesita configurarse en el conmutador. Sin embargo, esta función afectará el rendimiento del conmutador y provocará la pérdida de paquetes cuando los datos estén sobrecargados.
Ventajas:
1. No es necesario agregar equipos adicionales, configure el conmutador para aumentar el puerto de salida de replicación de imágenes correspondiente
Desventajas:
1. Ocupar el puerto del switch
2. Es necesario configurar los conmutadores, lo que implica una coordinación conjunta con terceros fabricantes, lo que aumenta el riesgo potencial de fallo de la red.
3. La replicación del tráfico espejo tiene un impacto en el rendimiento del puerto y del switch.
TAP de red activa (agregador TAP)
Un Network TAP es un dispositivo de red externo que permite la duplicación de puertos y crea una copia del tráfico para que la utilicen varios dispositivos de monitoreo. Estos dispositivos se introducen en un lugar de la ruta de la red que debe observarse, copian los paquetes IP de datos y los envían a la herramienta de monitoreo de la red. La elección del punto de acceso para el dispositivo Network TAP depende del enfoque del tráfico de red: motivos de recopilación de datos, monitoreo rutinario de análisis y retrasos, detección de intrusiones, etc. Los dispositivos Network TAP pueden recopilar y reflejar flujos de datos a una velocidad de 1G hasta 100G.
Estos dispositivos acceden al tráfico sin que el dispositivo TAP de la red modifique el flujo de paquetes de ninguna manera, independientemente de la velocidad del tráfico de datos. Esto significa que el tráfico de la red no está sujeto a monitoreo ni duplicación de puertos, lo cual es esencial para mantener la integridad de los datos al enrutarlos a herramientas de seguridad y análisis.
Garantiza que los dispositivos periféricos de la red monitoreen las copias de tráfico para que los dispositivos TAP de la red actúen como observadores. Al enviar una copia de sus datos a cualquiera o todos los dispositivos conectados, obtiene visibilidad completa en el punto de red. En caso de que falle un dispositivo TAP de red o un dispositivo de monitoreo, usted sabe que el tráfico no se verá afectado, lo que garantiza que el sistema operativo permanezca seguro y disponible.
Al mismo tiempo, se convierte en el objetivo general de los dispositivos TAP de red. El acceso a los paquetes siempre se puede proporcionar sin interrumpir el tráfico en la red, y estas soluciones de visibilidad también pueden abordar casos más avanzados. Las necesidades de monitoreo de herramientas que van desde firewalls de próxima generación hasta protección contra fugas de datos, monitoreo del rendimiento de aplicaciones, SIEM, análisis forense digital, IPS, IDS y más, obligan a los dispositivos TAP de red a evolucionar.
Además de proporcionar una copia completa del tráfico y mantener la disponibilidad, los dispositivos TAP pueden proporcionar lo siguiente.
1. Filtrar paquetes para maximizar el rendimiento del monitoreo de la red
El hecho de que un dispositivo Network TAP pueda crear una copia del 100% de un paquete en algún momento no significa que todas las herramientas de monitoreo y seguridad deban verlo completo. La transmisión de tráfico a todas las herramientas de seguridad y monitoreo de la red en tiempo real solo resultará en un exceso de pedidos, lo que perjudicará el rendimiento de las herramientas y de la red en el proceso.
Colocar el dispositivo Network TAP correcto puede ayudar a filtrar los paquetes cuando se enrutan a la herramienta de monitoreo, distribuyendo los datos correctos a la herramienta correcta. Ejemplos de tales herramientas incluyen sistemas de detección de intrusiones (IDS), prevención de pérdida de datos (DLP), gestión de eventos e información de seguridad (SIEM), análisis forense y muchos más.
2. Enlaces agregados para una creación de redes eficiente
A medida que aumentan los requisitos de seguridad y monitoreo de redes, los ingenieros de redes deben encontrar formas de utilizar los presupuestos de TI existentes para realizar más tareas. Pero, en algún momento, no podrá seguir agregando nuevos dispositivos a la pila y aumentando la complejidad de su red. Es fundamental maximizar el uso de herramientas de seguimiento y seguridad.
Los dispositivos Network TAP pueden ayudar agregando múltiples tráficos de red, en dirección este y oeste, para entregar paquetes a los dispositivos conectados a través de un único puerto. Implementar herramientas de visibilidad de esta manera reducirá la cantidad de herramientas de monitoreo necesarias. A medida que el tráfico de datos Este-Oeste continúa creciendo en los centros de datos y entre centros de datos, el requisito de dispositivos TAP de red es esencial para mantener la visibilidad de todos los flujos dimensionales en grandes volúmenes de datos.
Puede que te interese un artículo relacionado, visita aquí:¿Cómo capturar el tráfico de red? Tap de red vs espejo de puerto
Hora de publicación: 24 de octubre de 2024