Giới thiệu
Thu thập và phân tích lưu lượng mạng là phương tiện hiệu quả nhất để có được các chỉ số và thông số về hành vi của người dùng mạng trực tiếp. Với việc cải tiến liên tục hoạt động và bảo trì trung tâm dữ liệu Q, thu thập và phân tích lưu lượng mạng đã trở thành một phần không thể thiếu của cơ sở hạ tầng trung tâm dữ liệu. Từ việc sử dụng trong ngành hiện tại, thu thập lưu lượng mạng chủ yếu được thực hiện bằng thiết bị mạng hỗ trợ gương lưu lượng bỏ qua. Thu thập lưu lượng cần thiết lập phạm vi phủ sóng toàn diện, mạng lưới thu thập lưu lượng hợp lý và hiệu quả, việc thu thập lưu lượng như vậy có thể giúp tối ưu hóa các chỉ số hiệu suất mạng và kinh doanh và giảm khả năng xảy ra lỗi.
Mạng thu thập lưu lượng có thể được coi là một mạng độc lập bao gồm các thiết bị thu thập lưu lượng và được triển khai song song với mạng sản xuất. Nó thu thập lưu lượng hình ảnh của từng thiết bị mạng và tổng hợp lưu lượng hình ảnh theo cấp độ khu vực và kiến trúc. Nó sử dụng báo động trao đổi lọc lưu lượng trong thiết bị thu thập lưu lượng để nhận ra tốc độ đường truyền đầy đủ của dữ liệu cho 2-4 lớp lọc có điều kiện, loại bỏ các gói trùng lặp, cắt bớt các gói và các hoạt động chức năng nâng cao khác, sau đó gửi dữ liệu đến từng hệ thống phân tích lưu lượng. Mạng thu thập lưu lượng có thể gửi chính xác dữ liệu cụ thể đến từng thiết bị theo yêu cầu dữ liệu của từng hệ thống và giải quyết vấn đề dữ liệu phản chiếu truyền thống không thể được lọc và gửi, điều này làm tiêu tốn hiệu suất xử lý của các bộ chuyển mạch mạng. Đồng thời, công cụ lọc và trao đổi lưu lượng của mạng thu thập lưu lượng thực hiện việc lọc và chuyển tiếp dữ liệu với độ trễ thấp và tốc độ cao, đảm bảo chất lượng dữ liệu được mạng thu thập lưu lượng thu thập và cung cấp nền tảng dữ liệu tốt cho thiết bị phân tích lưu lượng tiếp theo.
Để giảm tác động đến liên kết gốc, một bản sao của lưu lượng gốc thường được tạo ra bằng cách tách chùm tia, SPAN hoặc TAP.
Mạng thụ động Tap (Bộ chia quang)
Phương pháp sử dụng phân chia ánh sáng để có được bản sao lưu lượng truy cập cần có sự hỗ trợ của thiết bị phân chia ánh sáng. Bộ chia ánh sáng là thiết bị quang thụ động có thể phân phối lại cường độ công suất của tín hiệu quang theo tỷ lệ yêu cầu. Bộ chia có thể chia ánh sáng từ 1 đến 2, 1 đến 4 và 1 đến nhiều kênh. Để giảm tác động đến liên kết gốc, trung tâm dữ liệu thường áp dụng tỷ lệ phân chia quang là 80:20, 70:30, trong đó 70,80 tỷ lệ tín hiệu quang được gửi trở lại liên kết gốc. Hiện nay, bộ chia quang được sử dụng rộng rãi trong phân tích hiệu suất mạng (NPM/APM), hệ thống kiểm toán, phân tích hành vi người dùng, phát hiện xâm nhập mạng và các tình huống khác.
Thuận lợi:
1. Thiết bị quang thụ động có độ tin cậy cao;
2. Không chiếm cổng chuyển mạch, thiết bị độc lập, sau này có thể mở rộng tốt;
3. Không cần phải sửa đổi cấu hình công tắc, không ảnh hưởng đến các thiết bị khác;
4. Thu thập toàn bộ lưu lượng, không lọc gói tin chuyển mạch, bao gồm cả gói tin lỗi, v.v.
Nhược điểm:
1. Nhu cầu cắt mạng đơn giản, cắm sợi liên kết xương sống và quay số đến bộ chia quang, sẽ làm giảm công suất quang của một số liên kết xương sống
SPAN(Gương cổng)
SPAN là một tính năng đi kèm với chính switch, do đó chỉ cần cấu hình trên switch. Tuy nhiên, chức năng này sẽ ảnh hưởng đến hiệu suất của switch và gây mất gói tin khi dữ liệu bị quá tải.
Thuận lợi:
1. Không cần thêm thiết bị bổ sung, cấu hình switch để tăng cổng ra sao chép hình ảnh tương ứng
Nhược điểm:
1. Chiếm cổng chuyển mạch
2. Các công tắc cần được cấu hình, bao gồm sự phối hợp chung với các nhà sản xuất bên thứ ba, làm tăng nguy cơ tiềm ẩn về lỗi mạng
3. Sao chép lưu lượng phản chiếu có tác động đến hiệu suất của cổng và bộ chuyển mạch.
Mạng lưới hoạt động TAP (TAP Aggregator)
Network TAP là một thiết bị mạng bên ngoài cho phép sao chép cổng và tạo bản sao lưu lượng để nhiều thiết bị giám sát khác nhau sử dụng. Các thiết bị này được đưa vào một vị trí trong đường dẫn mạng cần được quan sát và sao chép các gói dữ liệu IP và gửi chúng đến công cụ giám sát mạng. Việc lựa chọn điểm truy cập cho thiết bị Network TAP phụ thuộc vào trọng tâm của lưu lượng mạng - lý do thu thập dữ liệu, giám sát thường xuyên phân tích và độ trễ, phát hiện xâm nhập, v.v. Các thiết bị Network TAP có thể thu thập và sao chép các luồng dữ liệu ở tốc độ 1G lên đến 100G.
Các thiết bị này truy cập lưu lượng mà không cần thiết bị TAP mạng sửa đổi luồng gói tin theo bất kỳ cách nào, bất kể tốc độ lưu lượng dữ liệu. Điều này có nghĩa là lưu lượng mạng không phải chịu sự giám sát và phản chiếu cổng, điều này rất cần thiết để duy trì tính toàn vẹn của dữ liệu khi định tuyến dữ liệu đến các công cụ bảo mật và phân tích.
Nó đảm bảo rằng các thiết bị ngoại vi mạng giám sát các bản sao lưu lượng truy cập để các thiết bị TAP mạng hoạt động như các thiết bị quan sát. Bằng cách cung cấp một bản sao dữ liệu của bạn cho bất kỳ/tất cả các thiết bị được kết nối, bạn có được khả năng hiển thị đầy đủ tại điểm mạng. Trong trường hợp thiết bị TAP mạng hoặc thiết bị giám sát bị lỗi, bạn biết rằng lưu lượng truy cập sẽ không bị ảnh hưởng, đảm bảo rằng hệ điều hành vẫn an toàn và khả dụng.
Đồng thời, nó trở thành mục tiêu chung của các thiết bị TAP mạng. Luôn có thể cung cấp quyền truy cập vào các gói mà không làm gián đoạn lưu lượng trong mạng và các giải pháp khả năng hiển thị này cũng có thể giải quyết các trường hợp tiên tiến hơn. Nhu cầu giám sát của các công cụ từ tường lửa thế hệ tiếp theo đến bảo vệ rò rỉ dữ liệu, giám sát hiệu suất ứng dụng, SIEM, pháp y kỹ thuật số, IPS, IDS, v.v., buộc các thiết bị TAP mạng phải phát triển.
Ngoài việc cung cấp bản sao đầy đủ về lưu lượng truy cập và duy trì tính khả dụng, các thiết bị TAP có thể cung cấp những chức năng sau.
1. Lọc các gói tin để tối đa hóa hiệu suất giám sát mạng
Chỉ vì một thiết bị Network TAP có thể tạo ra một bản sao 100% của một gói tin tại một thời điểm nào đó không có nghĩa là mọi công cụ giám sát và bảo mật đều cần phải thấy toàn bộ. Việc truyền phát lưu lượng đến tất cả các công cụ giám sát và bảo mật mạng theo thời gian thực sẽ chỉ dẫn đến tình trạng quá tải, do đó làm giảm hiệu suất của các công cụ và mạng trong quá trình này.
Việc đặt đúng thiết bị Network TAP có thể giúp lọc các gói tin khi được định tuyến đến công cụ giám sát, phân phối đúng dữ liệu đến đúng công cụ. Ví dụ về các công cụ như vậy bao gồm Hệ thống phát hiện xâm nhập (IDS), Phòng ngừa mất dữ liệu (DLP), Quản lý thông tin và sự kiện bảo mật (SIEM), Phân tích pháp y và nhiều công cụ khác.
2. Tổng hợp các liên kết để tạo mạng lưới hiệu quả
Khi nhu cầu về Giám sát và Bảo mật Mạng tăng lên, các kỹ sư mạng phải tìm cách sử dụng ngân sách CNTT hiện có để hoàn thành nhiều nhiệm vụ hơn. Nhưng đến một lúc nào đó, bạn không thể tiếp tục thêm các thiết bị mới vào ngăn xếp và tăng độ phức tạp của mạng. Điều cần thiết là phải tối đa hóa việc sử dụng các công cụ giám sát và bảo mật.
Các thiết bị TAP mạng có thể giúp bằng cách tổng hợp nhiều lưu lượng mạng, theo hướng đông và hướng tây, để phân phối các gói tin đến các thiết bị được kết nối thông qua một cổng duy nhất. Triển khai các công cụ khả năng hiển thị theo cách này sẽ làm giảm số lượng các công cụ giám sát cần thiết. Khi lưu lượng dữ liệu Đông-Tây tiếp tục tăng trong các trung tâm dữ liệu và giữa các trung tâm dữ liệu, yêu cầu đối với các thiết bị TAP mạng là điều cần thiết để duy trì khả năng hiển thị của tất cả các luồng dữ liệu theo chiều trên khối lượng dữ liệu lớn.
Bài viết liên quan bạn có thể quan tâm, vui lòng truy cập tại đây:Làm thế nào để nắm bắt lưu lượng mạng? Network Tap so với Port Mirror
Thời gian đăng: 24-10-2024
