Giới thiệu
Thu thập và Phân tích Lưu lượng Mạng là phương tiện hiệu quả nhất để thu thập các chỉ số và thông số hành vi người dùng mạng trực tiếp. Với việc cải tiến liên tục hoạt động và bảo trì trung tâm dữ liệu Q, việc thu thập và phân tích lưu lượng mạng đã trở thành một phần không thể thiếu của cơ sở hạ tầng trung tâm dữ liệu. Theo ứng dụng công nghiệp hiện tại, việc thu thập lưu lượng mạng chủ yếu được thực hiện bằng thiết bị mạng hỗ trợ gương phản chiếu lưu lượng. Việc thu thập lưu lượng cần thiết lập phạm vi phủ sóng toàn diện, mạng lưới thu thập lưu lượng hợp lý và hiệu quả, giúp tối ưu hóa các chỉ số hiệu suất mạng và kinh doanh, đồng thời giảm thiểu khả năng xảy ra sự cố.
Mạng thu thập lưu lượng có thể được coi là một mạng độc lập bao gồm các thiết bị thu thập lưu lượng và được triển khai song song với mạng sản xuất. Nó thu thập lưu lượng hình ảnh của từng thiết bị mạng và tổng hợp lưu lượng hình ảnh theo cấp độ khu vực và kiến trúc. Nó sử dụng cảnh báo trao đổi lọc lưu lượng trong thiết bị thu thập lưu lượng để thực hiện tốc độ đường truyền đầy đủ của dữ liệu cho 2-4 lớp lọc có điều kiện, loại bỏ các gói trùng lặp, cắt bớt các gói và các hoạt động chức năng nâng cao khác, sau đó gửi dữ liệu đến từng hệ thống phân tích lưu lượng. Mạng thu thập lưu lượng có thể gửi chính xác dữ liệu cụ thể đến từng thiết bị theo yêu cầu dữ liệu của từng hệ thống và giải quyết vấn đề dữ liệu phản chiếu truyền thống không thể được lọc và gửi, điều này làm tiêu tốn hiệu suất xử lý của các bộ chuyển mạch mạng. Đồng thời, công cụ lọc và trao đổi lưu lượng của mạng thu thập lưu lượng thực hiện lọc và chuyển tiếp dữ liệu với độ trễ thấp và tốc độ cao, đảm bảo chất lượng dữ liệu được thu thập bởi mạng thu thập lưu lượng và cung cấp nền tảng dữ liệu tốt cho các thiết bị phân tích lưu lượng tiếp theo.
Để giảm thiểu tác động đến liên kết gốc, một bản sao của lưu lượng gốc thường được tạo ra bằng cách tách chùm tia, SPAN hoặc TAP.
Đầu nối mạng thụ động (Bộ chia quang)
Phương pháp sử dụng phân tách ánh sáng để sao chép lưu lượng đòi hỏi sự hỗ trợ của thiết bị phân tách ánh sáng. Bộ phân tách ánh sáng là một thiết bị quang thụ động có thể phân phối lại cường độ công suất của tín hiệu quang theo tỷ lệ yêu cầu. Bộ phân tách có thể chia ánh sáng từ 1 đến 2, từ 1 đến 4 và từ 1 đến nhiều kênh. Để giảm thiểu tác động lên liên kết gốc, trung tâm dữ liệu thường áp dụng tỷ lệ phân tách quang là 80:20, 70:30, trong đó 70:80 tỷ lệ tín hiệu quang được gửi trở lại liên kết gốc. Hiện nay, bộ phân tách quang được sử dụng rộng rãi trong phân tích hiệu suất mạng (NPM/APM), hệ thống kiểm toán, phân tích hành vi người dùng, phát hiện xâm nhập mạng và các tình huống khác.
Thuận lợi:
1. Thiết bị quang học thụ động có độ tin cậy cao;
2. Không chiếm cổng chuyển mạch, thiết bị độc lập, sau này có thể mở rộng tốt;
3. Không cần phải sửa đổi cấu hình chuyển mạch, không ảnh hưởng đến các thiết bị khác;
4. Thu thập toàn bộ lưu lượng, không lọc gói tin chuyển mạch, bao gồm cả gói tin lỗi, v.v.
Nhược điểm:
1. Nhu cầu chuyển đổi mạng đơn giản, cắm cáp quang liên kết xương sống và quay số đến bộ chia quang sẽ làm giảm công suất quang của một số liên kết xương sống
SPAN (Gương cổng)
SPAN là một tính năng tích hợp sẵn trên switch, do đó chỉ cần cấu hình trên switch. Tuy nhiên, tính năng này sẽ ảnh hưởng đến hiệu suất của switch và gây mất gói tin khi dữ liệu bị quá tải.
Thuận lợi:
1. Không cần thêm thiết bị bổ sung, cấu hình switch để tăng cổng ra sao chép hình ảnh tương ứng
Nhược điểm:
1. Chiếm cổng chuyển mạch
2. Các công tắc cần được cấu hình, bao gồm sự phối hợp chung với các nhà sản xuất bên thứ ba, làm tăng nguy cơ tiềm ẩn về lỗi mạng
3. Sao chép lưu lượng phản chiếu có tác động đến hiệu suất của cổng và bộ chuyển mạch.
Mạng lưới hoạt động TAP (Bộ tổng hợp TAP)
Network TAP là một thiết bị mạng ngoài cho phép sao chép cổng và tạo bản sao lưu lượng để các thiết bị giám sát khác nhau sử dụng. Các thiết bị này được đặt tại vị trí cần giám sát trên đường dẫn mạng, sao chép các gói dữ liệu IP và gửi đến công cụ giám sát mạng. Việc lựa chọn điểm truy cập cho thiết bị Network TAP phụ thuộc vào trọng tâm của lưu lượng mạng - lý do thu thập dữ liệu, giám sát định kỳ việc phân tích và độ trễ, phát hiện xâm nhập, v.v. Thiết bị Network TAP có thể thu thập và sao chép các luồng dữ liệu ở tốc độ 1G lên đến 100G.
Các thiết bị này truy cập lưu lượng mà không cần thiết bị TAP mạng thay đổi luồng gói tin theo bất kỳ cách nào, bất kể tốc độ lưu lượng dữ liệu. Điều này có nghĩa là lưu lượng mạng không bị giám sát và phản chiếu cổng, điều cần thiết để duy trì tính toàn vẹn của dữ liệu khi định tuyến đến các công cụ bảo mật và phân tích.
Nó đảm bảo các thiết bị ngoại vi mạng giám sát các bản sao lưu lượng để các thiết bị TAP mạng hoạt động như các thiết bị quan sát. Bằng cách cung cấp bản sao dữ liệu cho bất kỳ/tất cả các thiết bị được kết nối, bạn sẽ có được khả năng hiển thị đầy đủ tại điểm mạng. Trong trường hợp thiết bị TAP mạng hoặc thiết bị giám sát bị lỗi, bạn sẽ biết rằng lưu lượng sẽ không bị ảnh hưởng, đảm bảo hệ điều hành luôn an toàn và khả dụng.
Đồng thời, nó trở thành mục tiêu chung của các thiết bị TAP mạng. Việc truy cập các gói tin luôn có thể được cung cấp mà không làm gián đoạn lưu lượng mạng, và các giải pháp hiển thị này cũng có thể giải quyết các trường hợp phức tạp hơn. Nhu cầu giám sát của các công cụ, từ tường lửa thế hệ tiếp theo đến bảo vệ rò rỉ dữ liệu, giám sát hiệu suất ứng dụng, SIEM, pháp y kỹ thuật số, IPS, IDS, v.v., buộc các thiết bị TAP mạng phải phát triển.
Ngoài việc cung cấp bản sao đầy đủ về lưu lượng truy cập và duy trì tính khả dụng, các thiết bị TAP có thể cung cấp những tính năng sau.
1. Lọc các gói tin để tối đa hóa hiệu suất giám sát mạng
Việc một thiết bị Network TAP có thể tạo bản sao 100% của một gói tin tại một thời điểm nào đó không có nghĩa là mọi công cụ giám sát và bảo mật đều cần phải xem toàn bộ gói tin. Việc truyền phát lưu lượng đến tất cả các công cụ giám sát và bảo mật mạng theo thời gian thực sẽ chỉ dẫn đến tình trạng quá tải, do đó làm giảm hiệu suất của các công cụ và mạng.
Việc đặt đúng thiết bị Network TAP có thể giúp lọc các gói tin khi được định tuyến đến công cụ giám sát, phân phối đúng dữ liệu đến đúng công cụ. Ví dụ về các công cụ này bao gồm Hệ thống phát hiện xâm nhập (IDS), Phòng chống mất dữ liệu (DLP), Quản lý sự kiện và thông tin bảo mật (SIEM), Phân tích pháp y, v.v.
2. Tổng hợp các liên kết để tạo mạng lưới hiệu quả
Khi nhu cầu Giám sát và Bảo mật Mạng ngày càng tăng, các kỹ sư mạng phải tìm cách sử dụng ngân sách CNTT hiện có để hoàn thành nhiều nhiệm vụ hơn. Tuy nhiên, đến một lúc nào đó, bạn không thể tiếp tục thêm thiết bị mới vào hệ thống và làm tăng độ phức tạp của mạng. Điều cần thiết là phải tối đa hóa việc sử dụng các công cụ giám sát và bảo mật.
Thiết bị TAP mạng có thể hỗ trợ bằng cách tổng hợp nhiều lưu lượng mạng, cả hướng Đông và hướng Tây, để phân phối các gói tin đến các thiết bị được kết nối thông qua một cổng duy nhất. Việc triển khai các công cụ giám sát theo cách này sẽ giảm số lượng công cụ giám sát cần thiết. Khi lưu lượng dữ liệu Đông-Tây tiếp tục tăng trong các trung tâm dữ liệu và giữa các trung tâm dữ liệu, nhu cầu về thiết bị TAP mạng là rất cần thiết để duy trì khả năng giám sát tất cả các luồng dữ liệu trên khối lượng dữ liệu lớn.
Bài viết liên quan bạn có thể quan tâm, vui lòng truy cập tại đây:Làm thế nào để nắm bắt lưu lượng mạng? Network Tap so với Port Mirror
Thời gian đăng: 24-10-2024
