Giới thiệu
Thu thập và phân tích lưu lượng mạng là phương pháp hiệu quả nhất để thu được các chỉ số và tham số hành vi người dùng mạng trực tiếp. Với sự cải tiến liên tục trong vận hành và bảo trì trung tâm dữ liệu, thu thập và phân tích lưu lượng mạng đã trở thành một phần không thể thiếu của cơ sở hạ tầng trung tâm dữ liệu. Từ thực tiễn sử dụng hiện nay trong ngành, việc thu thập lưu lượng mạng chủ yếu được thực hiện bởi các thiết bị mạng hỗ trợ sao chép lưu lượng (bypass traffic mirror). Việc thu thập lưu lượng cần thiết lập một mạng lưới thu thập lưu lượng toàn diện, hợp lý và hiệu quả, từ đó giúp tối ưu hóa các chỉ số hiệu suất mạng và kinh doanh, đồng thời giảm thiểu khả năng xảy ra lỗi.
Mạng thu thập lưu lượng có thể được coi là một mạng độc lập bao gồm các thiết bị thu thập lưu lượng và được triển khai song song với mạng sản xuất. Nó thu thập lưu lượng hình ảnh của mỗi thiết bị mạng và tổng hợp lưu lượng hình ảnh theo cấp độ khu vực và kiến trúc. Nó sử dụng cảnh báo trao đổi lọc lưu lượng trong thiết bị thu thập lưu lượng để thực hiện lọc có điều kiện ở tốc độ đường truyền tối đa cho dữ liệu ở các lớp 2-4, loại bỏ các gói trùng lặp, cắt bớt gói và các thao tác chức năng nâng cao khác, sau đó gửi dữ liệu đến từng hệ thống phân tích lưu lượng. Mạng thu thập lưu lượng có thể gửi chính xác dữ liệu cụ thể đến từng thiết bị theo yêu cầu dữ liệu của từng hệ thống và giải quyết vấn đề dữ liệu phản chiếu truyền thống không thể được lọc và gửi, gây tiêu hao hiệu năng xử lý của các thiết bị chuyển mạch mạng. Đồng thời, công cụ lọc và trao đổi lưu lượng của mạng thu thập lưu lượng thực hiện việc lọc và chuyển tiếp dữ liệu với độ trễ thấp và tốc độ cao, đảm bảo chất lượng dữ liệu được thu thập bởi mạng thu thập lưu lượng và cung cấp nền tảng dữ liệu tốt cho các thiết bị phân tích lưu lượng tiếp theo.
Để giảm thiểu tác động lên đường truyền gốc, một bản sao của lưu lượng truy cập gốc thường được tạo ra bằng cách chia chùm tia, SPAN hoặc TAP.
Bộ chia tín hiệu quang thụ động (Bộ tách quang)
Phương pháp sử dụng tách ánh sáng để thu được bản sao lưu lượng yêu cầu sự hỗ trợ của thiết bị tách ánh sáng. Thiết bị tách ánh sáng là một thiết bị quang học thụ động có thể phân phối lại cường độ công suất của tín hiệu quang theo tỷ lệ yêu cầu. Thiết bị tách có thể chia ánh sáng từ 1 thành 2, 1 thành 4 và 1 thành nhiều kênh. Để giảm thiểu tác động lên liên kết gốc, trung tâm dữ liệu thường áp dụng tỷ lệ tách quang 80:20, 70:30, trong đó 70% và 80% tín hiệu quang được gửi trở lại liên kết gốc. Hiện nay, thiết bị tách quang được sử dụng rộng rãi trong phân tích hiệu suất mạng (NPM/APM), hệ thống kiểm toán, phân tích hành vi người dùng, phát hiện xâm nhập mạng và các trường hợp khác.
Thuận lợi:
1. Thiết bị quang thụ động có độ tin cậy cao;
2. Không chiếm cổng chuyển mạch, là thiết bị độc lập, có thể mở rộng tốt sau này;
3. Không cần thay đổi cấu hình thiết bị chuyển mạch, không ảnh hưởng đến các thiết bị khác;
4. Thu thập toàn bộ lưu lượng truy cập, không lọc gói tin trên bộ chuyển mạch, bao gồm cả các gói tin lỗi, v.v.
Nhược điểm:
1. Việc cần thiết phải chuyển đổi mạng đơn giản, cắm cáp quang vào đường trục và kết nối với bộ chia quang sẽ làm giảm công suất quang của một số đường trục.
SPAN (Phản chiếu bên trái)
SPAN là một tính năng có sẵn trong chính thiết bị chuyển mạch, vì vậy chỉ cần cấu hình nó trên thiết bị. Tuy nhiên, chức năng này sẽ ảnh hưởng đến hiệu suất của thiết bị chuyển mạch và gây mất gói dữ liệu khi dữ liệu bị quá tải.
Thuận lợi:
1. Không cần bổ sung thiết bị, chỉ cần cấu hình switch để tăng số cổng đầu ra sao chép hình ảnh tương ứng.
Nhược điểm:
1. Chiếm giữ cổng chuyển mạch
2. Việc cấu hình các thiết bị chuyển mạch đòi hỏi sự phối hợp với các nhà sản xuất bên thứ ba, làm tăng nguy cơ xảy ra sự cố mạng.
3. Việc sao chép lưu lượng truy cập có ảnh hưởng đến hiệu suất của cổng và thiết bị chuyển mạch.
TAP mạng chủ động (Bộ tổng hợp TAP)
Thiết bị Network TAP là thiết bị mạng ngoại vi cho phép sao chép cổng và tạo bản sao lưu lượng truy cập để sử dụng bởi nhiều thiết bị giám sát khác nhau. Các thiết bị này được đặt tại vị trí cần giám sát trên đường dẫn mạng, sao chép các gói dữ liệu IP và gửi chúng đến công cụ giám sát mạng. Việc lựa chọn điểm truy cập cho thiết bị Network TAP phụ thuộc vào mục đích của lưu lượng mạng - thu thập dữ liệu, giám sát thường xuyên, phân tích độ trễ, phát hiện xâm nhập, v.v. Thiết bị Network TAP có thể thu thập và sao chép luồng dữ liệu với tốc độ từ 1G đến 100G.
Các thiết bị này truy cập lưu lượng truy cập mà không cần thiết bị TAP mạng can thiệp vào luồng gói dữ liệu theo bất kỳ cách nào, bất kể tốc độ lưu lượng dữ liệu là bao nhiêu. Điều này có nghĩa là lưu lượng mạng không bị giám sát và sao chép cổng, điều cần thiết để duy trì tính toàn vẹn của dữ liệu khi định tuyến đến các công cụ bảo mật và phân tích.
Điều này đảm bảo các thiết bị ngoại vi mạng giám sát các bản sao lưu lượng truy cập để các thiết bị TAP mạng hoạt động như những người quan sát. Bằng cách cung cấp một bản sao dữ liệu của bạn cho bất kỳ/tất cả các thiết bị được kết nối, bạn có được khả năng hiển thị đầy đủ tại điểm mạng. Trong trường hợp thiết bị TAP mạng hoặc thiết bị giám sát bị lỗi, bạn biết rằng lưu lượng truy cập sẽ không bị ảnh hưởng, đảm bảo hệ điều hành vẫn an toàn và khả dụng.
Đồng thời, nó trở thành mục tiêu tổng thể của các thiết bị TAP mạng. Việc truy cập vào các gói dữ liệu luôn có thể được cung cấp mà không làm gián đoạn lưu lượng mạng, và các giải pháp giám sát này cũng có thể xử lý các trường hợp phức tạp hơn. Nhu cầu giám sát của các công cụ từ tường lửa thế hệ tiếp theo đến bảo vệ chống rò rỉ dữ liệu, giám sát hiệu suất ứng dụng, SIEM, điều tra pháp y kỹ thuật số, IPS, IDS và hơn thế nữa, buộc các thiết bị TAP mạng phải phát triển.
Ngoài việc cung cấp bản sao đầy đủ về lưu lượng truy cập và duy trì tính khả dụng, các thiết bị TAP còn có thể cung cấp những chức năng sau.
1. Lọc gói dữ liệu để tối đa hóa hiệu suất giám sát mạng
Việc thiết bị Network TAP có thể tạo ra bản sao 100% của một gói dữ liệu tại một thời điểm nào đó không có nghĩa là mọi công cụ giám sát và bảo mật mạng đều cần phải thấy toàn bộ gói dữ liệu đó. Truyền tải lưu lượng truy cập đến tất cả các công cụ giám sát và bảo mật mạng theo thời gian thực chỉ dẫn đến tình trạng quá tải, từ đó làm giảm hiệu suất của các công cụ và cả mạng.
Việc bố trí thiết bị Network TAP phù hợp có thể giúp lọc các gói dữ liệu khi được định tuyến đến công cụ giám sát, phân phối dữ liệu chính xác đến đúng công cụ. Ví dụ về các công cụ đó bao gồm hệ thống phát hiện xâm nhập (IDS), hệ thống ngăn ngừa mất dữ liệu (DLP), hệ thống quản lý thông tin và sự kiện bảo mật (SIEM), phân tích pháp y, và nhiều hơn nữa.
2. Tổng hợp các liên kết để tạo mạng hiệu quả
Khi nhu cầu giám sát và bảo mật mạng ngày càng tăng, các kỹ sư mạng phải tìm cách sử dụng ngân sách CNTT hiện có để hoàn thành nhiều nhiệm vụ hơn. Nhưng đến một lúc nào đó, bạn không thể cứ liên tục thêm thiết bị mới vào hệ thống và làm tăng độ phức tạp của mạng. Việc tối đa hóa việc sử dụng các công cụ giám sát và bảo mật là điều cần thiết.
Các thiết bị Network TAP có thể hỗ trợ bằng cách tổng hợp nhiều lưu lượng mạng, cả hướng Đông và hướng Tây, để truyền các gói dữ liệu đến các thiết bị được kết nối thông qua một cổng duy nhất. Việc triển khai các công cụ giám sát theo cách này sẽ giảm số lượng công cụ giám sát cần thiết. Khi lưu lượng dữ liệu Đông-Tây tiếp tục tăng trưởng trong các trung tâm dữ liệu và giữa các trung tâm dữ liệu, nhu cầu về các thiết bị Network TAP trở nên thiết yếu để duy trì khả năng giám sát tất cả các luồng dữ liệu đa chiều trên khối lượng dữ liệu lớn.
Bài viết liên quan có thể bạn quan tâm, vui lòng truy cập tại đây:Làm thế nào để thu thập lưu lượng mạng? So sánh Network Tap và Port Mirror
Thời gian đăng bài: 24 tháng 10 năm 2024
