Introducción
La recopilación y el análisis del tráfico de red constituyen el medio más eficaz para obtener indicadores y parámetros de comportamiento de los usuarios de la red de primera mano. Con la mejora continua de la operación y el mantenimiento de los centros de datos, la recopilación y el análisis del tráfico de red se han convertido en una parte indispensable de la infraestructura de estos centros. Actualmente, la recopilación de tráfico de red se realiza principalmente mediante equipos de red que admiten la duplicación de tráfico. Para ello, es necesario establecer una red de recopilación de tráfico integral, razonable y eficaz. Dicha recopilación puede ayudar a optimizar los indicadores de rendimiento de la red y del negocio, y a reducir la probabilidad de fallos.
La red de recolección de tráfico puede considerarse una red independiente compuesta por dispositivos de recolección de tráfico y desplegada en paralelo con la red de producción. Recopila el tráfico de imágenes de cada dispositivo de red y lo agrega según los niveles regionales y arquitectónicos. Utiliza la alarma de intercambio de filtrado de tráfico en el equipo de adquisición de tráfico para lograr la velocidad máxima de la línea de datos para 2 a 4 capas de filtrado condicional, eliminando paquetes duplicados, truncando paquetes y realizando otras operaciones funcionales avanzadas, y luego envía los datos a cada sistema de análisis de tráfico. La red de recolección de tráfico puede enviar con precisión datos específicos a cada dispositivo según los requisitos de datos de cada sistema, y resuelve el problema de que los datos espejo tradicionales no se pueden filtrar y enviar, lo que consume el rendimiento de procesamiento de los conmutadores de red. Al mismo tiempo, el motor de intercambio de filtrado de tráfico de la red de recolección de tráfico logra el filtrado y reenvío de datos con baja latencia y alta velocidad, lo que garantiza la calidad de los datos recopilados por la red de recolección de tráfico y proporciona una base de datos sólida para el equipo de análisis de tráfico posterior.
Para reducir el impacto en el enlace original, normalmente se obtiene una copia del tráfico original mediante la división de haces, SPAN o TAP.
Derivador de red pasivo (divisor óptico)
La obtención de tráfico mediante la división de luz requiere la ayuda de un divisor de luz. Este dispositivo óptico pasivo redistribuye la intensidad de la señal óptica según la proporción requerida. El divisor puede dividir la luz en 1 a 2, 1 a 4 o 1 a múltiples canales. Para minimizar el impacto en el enlace original, los centros de datos suelen utilizar una relación de división óptica de 80:20 o 70:30, donde el 70% y el 80% de la señal óptica se reenvía al enlace original. Actualmente, los divisores ópticos se utilizan ampliamente en el análisis del rendimiento de la red (NPM/APM), sistemas de auditoría, análisis del comportamiento del usuario, detección de intrusiones en la red y otros escenarios.
Ventajas:
1. Dispositivo óptico pasivo de alta fiabilidad;
2. No ocupa el puerto del conmutador, es un equipo independiente y permite una buena expansión posterior;
3. No es necesario modificar la configuración del conmutador ni afecta a otros equipos;
4. Recopilación completa del tráfico, sin filtrado de paquetes por conmutador, incluidos los paquetes de error, etc.
Desventajas:
1. La necesidad de una simple conmutación de red, conectar la fibra del enlace troncal y marcar el divisor óptico, reducirá la potencia óptica de algunos enlaces troncales.
SPAN (Espejo de puerto)
SPAN es una función integrada en el conmutador, por lo que solo necesita configurarse en él. Sin embargo, esta función afectará el rendimiento del conmutador y provocará pérdida de paquetes cuando haya una sobrecarga de datos.
Ventajas:
1. No es necesario agregar equipo adicional, configure el switch para aumentar el puerto de salida de replicación de imagen correspondiente.
Desventajas:
1. Ocupar el puerto del conmutador
2. Es necesario configurar los conmutadores, lo que implica la coordinación conjunta con fabricantes externos, aumentando el riesgo potencial de fallo de la red.
3. La replicación del tráfico espejo tiene un impacto en el rendimiento de los puertos y conmutadores.
TAP de red activa (agregador TAP)
Un Network TAP es un dispositivo de red externo que permite la duplicación de puertos y crea una copia del tráfico para su uso por diversos dispositivos de monitorización. Estos dispositivos se instalan en un punto de la ruta de red que se desea monitorizar, copian los paquetes de datos IP y los envían a la herramienta de monitorización de red. La elección del punto de acceso para el dispositivo Network TAP depende del objetivo del tráfico de red: recopilación de datos, monitorización rutinaria de análisis y retardos, detección de intrusiones, etc. Los dispositivos Network TAP pueden recopilar y duplicar flujos de datos a una velocidad de 1 Gbps hasta 100 Gbps.
Estos dispositivos acceden al tráfico sin que el dispositivo TAP de red modifique el flujo de paquetes, independientemente de la velocidad del tráfico de datos. Esto significa que el tráfico de red no está sujeto a monitorización ni a duplicación de puertos, lo cual es fundamental para mantener la integridad de los datos al enrutarlos a herramientas de seguridad y análisis.
Garantiza que los dispositivos periféricos de la red supervisen las copias del tráfico, de modo que los dispositivos TAP de red actúen como observadores. Al enviar una copia de sus datos a todos los dispositivos conectados, obtiene visibilidad completa en el punto de la red. En caso de que falle un dispositivo TAP de red o un dispositivo de supervisión, el tráfico no se verá afectado, lo que garantiza que el sistema operativo permanezca seguro y disponible.
Al mismo tiempo, se convierte en el objetivo principal de los dispositivos TAP de red. El acceso a los paquetes siempre se puede proporcionar sin interrumpir el tráfico de la red, y estas soluciones de visibilidad también pueden abordar casos más complejos. Las necesidades de monitorización de herramientas que van desde firewalls de última generación hasta protección contra fugas de datos, monitorización del rendimiento de aplicaciones, SIEM, análisis forense digital, IPS, IDS y más, obligan a los dispositivos TAP de red a evolucionar.
Además de proporcionar una copia completa del tráfico y mantener la disponibilidad, los dispositivos TAP pueden proporcionar lo siguiente.
1. Filtrar paquetes para maximizar el rendimiento de la monitorización de la red.
El hecho de que un dispositivo Network TAP pueda crear una copia exacta de un paquete no significa que todas las herramientas de monitorización y seguridad deban acceder a él por completo. Transmitir el tráfico a todas las herramientas de monitorización y seguridad de la red en tiempo real solo provocará una sobrecarga de procesamiento, perjudicando así el rendimiento de las herramientas y de la red.
Colocar el dispositivo Network TAP adecuado puede ayudar a filtrar los paquetes que se dirigen a la herramienta de monitorización, distribuyendo así los datos correctos a la herramienta adecuada. Algunos ejemplos de estas herramientas son los sistemas de detección de intrusiones (IDS), la prevención de pérdida de datos (DLP), la gestión de información y eventos de seguridad (SIEM), el análisis forense y muchas más.
2. Agregación de enlaces para una conexión en red eficiente
A medida que aumentan los requisitos de monitorización y seguridad de la red, los ingenieros de red deben encontrar maneras de utilizar los presupuestos de TI existentes para realizar más tareas. Sin embargo, llega un punto en que no se puede seguir añadiendo nuevos dispositivos a la infraestructura y aumentando la complejidad de la red. Es fundamental maximizar el uso de las herramientas de monitorización y seguridad.
Los dispositivos TAP de red pueden ayudar agregando múltiples flujos de tráfico de red, tanto en dirección este como oeste, para entregar paquetes a los dispositivos conectados a través de un único puerto. Implementar herramientas de visibilidad de esta manera reducirá la cantidad de herramientas de monitoreo necesarias. A medida que el tráfico de datos este-oeste continúa creciendo en los centros de datos y entre ellos, la necesidad de dispositivos TAP de red es esencial para mantener la visibilidad de todos los flujos dimensionales en grandes volúmenes de datos.
Para ver artículos relacionados que podrían interesarle, visite este enlace:¿Cómo capturar el tráfico de red? Intercepción de red frente a duplicación de puertos.
Fecha de publicación: 24 de octubre de 2024
