Giới thiệu
Thu thập và Phân tích Lưu lượng Mạng là phương tiện hiệu quả nhất để có được các thông số và chỉ báo hành vi của người dùng mạng trực tiếp. Với sự cải tiến liên tục của hoạt động và bảo trì trung tâm dữ liệu Q, việc thu thập và phân tích lưu lượng mạng đã trở thành một phần không thể thiếu trong cơ sở hạ tầng trung tâm dữ liệu. Từ mục đích sử dụng hiện tại của ngành, việc thu thập lưu lượng truy cập mạng chủ yếu được thực hiện bằng thiết bị mạng hỗ trợ nhân bản lưu lượng truy cập bỏ qua. Việc thu thập lưu lượng cần thiết lập một phạm vi phủ sóng toàn diện, mạng lưới thu thập lưu lượng truy cập hợp lý và hiệu quả, việc thu thập lưu lượng như vậy có thể giúp tối ưu hóa các chỉ số hiệu suất mạng và kinh doanh và giảm khả năng thất bại.
Mạng thu thập lưu lượng có thể được coi là một mạng độc lập bao gồm các thiết bị thu thập lưu lượng và được triển khai song song với mạng sản xuất. Nó thu thập lưu lượng hình ảnh của từng thiết bị mạng và tổng hợp lưu lượng hình ảnh theo cấp độ khu vực và kiến trúc. Nó sử dụng cảnh báo trao đổi lọc lưu lượng trong thiết bị thu thập lưu lượng để nhận ra tốc độ toàn bộ dòng dữ liệu cho 2-4 lớp lọc có điều kiện, loại bỏ các gói trùng lặp, cắt bớt gói và các hoạt động chức năng nâng cao khác, sau đó gửi dữ liệu đến từng lưu lượng hệ thống phân tích. Mạng thu thập lưu lượng có thể gửi chính xác dữ liệu cụ thể đến từng thiết bị theo yêu cầu dữ liệu của từng hệ thống và giải quyết vấn đề không thể lọc và gửi dữ liệu nhân bản truyền thống, điều này tiêu tốn hiệu suất xử lý của các bộ chuyển mạch mạng. Đồng thời, công cụ lọc và trao đổi lưu lượng của mạng thu thập lưu lượng thực hiện việc lọc và chuyển tiếp dữ liệu với độ trễ thấp và tốc độ cao, đảm bảo chất lượng dữ liệu được thu thập bởi mạng thu thập lưu lượng và cung cấp nền tảng dữ liệu tốt cho thiết bị phân tích lưu lượng tiếp theo.
Để giảm tác động lên liên kết ban đầu, bản sao của lưu lượng truy cập ban đầu thường được lấy bằng phương pháp tách chùm, SPAN hoặc TAP.
Nhấn mạng thụ động (Bộ chia quang)
Cách sử dụng tính năng tách ánh sáng để thu được bản sao lưu lượng truy cập cần có sự trợ giúp của thiết bị tách ánh sáng. Bộ tách ánh sáng là một thiết bị quang thụ động có thể phân phối lại cường độ công suất của tín hiệu quang theo tỷ lệ yêu cầu. Bộ chia có thể chia ánh sáng từ 1 đến 2,1 đến 4 và 1 thành nhiều kênh. Để giảm tác động đến liên kết ban đầu, trung tâm dữ liệu thường áp dụng tỷ lệ phân tách quang 80:20, 70:30, trong đó 70,80 tỷ lệ tín hiệu quang được gửi trở lại liên kết ban đầu. Hiện tại, bộ tách quang được sử dụng rộng rãi trong phân tích hiệu suất mạng (NPM/APM), hệ thống kiểm tra, phân tích hành vi người dùng, phát hiện xâm nhập mạng và các tình huống khác.
Thuận lợi:
1. Độ tin cậy cao, thiết bị quang thụ động;
2. Không chiếm cổng chuyển đổi, thiết bị độc lập, tiếp theo có thể mở rộng tốt;
3. Không cần sửa đổi cấu hình công tắc, không ảnh hưởng đến các thiết bị khác;
4. Thu thập lưu lượng đầy đủ, không lọc gói chuyển đổi, kể cả gói lỗi, v.v.
Nhược điểm:
1. Nhu cầu cắt mạng đơn giản, cắm cáp quang liên kết đường trục và quay số đến bộ chia quang, sẽ làm giảm công suất quang của một số liên kết đường trục
SPAN(Gương cổng)
SPAN là một tính năng đi kèm với switch nên chỉ cần cấu hình trên switch là được. Tuy nhiên, chức năng này sẽ ảnh hưởng đến hiệu suất hoạt động của switch và gây mất gói tin khi dữ liệu bị quá tải.
Thuận lợi:
1. Không cần thiết phải bổ sung thêm thiết bị, cấu hình switch để tăng cổng đầu ra sao chép hình ảnh tương ứng
Nhược điểm:
1. Chiếm cổng switch
2. Các bộ chuyển mạch cần phải được cấu hình, bao gồm sự phối hợp chung với các nhà sản xuất bên thứ ba, làm tăng nguy cơ lỗi mạng
3. Sao chép lưu lượng truy cập nhân bản có tác động đến hiệu suất của cổng và chuyển mạch.
TAP mạng hoạt động (Bộ tổng hợp TAP)
Network TAP là một thiết bị mạng bên ngoài cho phép phản chiếu cổng và tạo bản sao lưu lượng để các thiết bị giám sát khác nhau sử dụng. Các thiết bị này được đưa vào một vị trí trên đường dẫn mạng cần được quan sát và nó sao chép các gói IP dữ liệu và gửi chúng đến công cụ giám sát mạng. Việc lựa chọn điểm truy cập cho thiết bị Network TAP phụ thuộc vào trọng tâm của lưu lượng mạng - lý do thu thập dữ liệu, giám sát thường xuyên việc phân tích và độ trễ, phát hiện xâm nhập, v.v. Các thiết bị Network TAP có thể thu thập và phản chiếu luồng dữ liệu ở tốc độ 1G lên tới 100G.
Các thiết bị này truy cập lưu lượng mà không cần thiết bị TAP mạng sửa đổi luồng gói theo bất kỳ cách nào, bất kể tốc độ lưu lượng dữ liệu. Điều này có nghĩa là lưu lượng truy cập mạng không phải chịu sự giám sát và phản chiếu cổng, điều này cần thiết để duy trì tính toàn vẹn của dữ liệu khi định tuyến dữ liệu đến các công cụ phân tích và bảo mật.
Nó đảm bảo rằng các thiết bị ngoại vi mạng giám sát các bản sao lưu lượng để các thiết bị TAP mạng đóng vai trò là người quan sát. Bằng cách cung cấp bản sao dữ liệu của bạn cho bất kỳ/tất cả các thiết bị được kết nối, bạn sẽ có được khả năng hiển thị đầy đủ tại điểm mạng. Trong trường hợp thiết bị TAP mạng hoặc thiết bị giám sát bị lỗi, bạn biết rằng lưu lượng truy cập sẽ không bị ảnh hưởng, đảm bảo hệ điều hành vẫn an toàn và khả dụng.
Đồng thời, nó trở thành mục tiêu chung của các thiết bị TAP mạng. Quyền truy cập vào các gói luôn có thể được cung cấp mà không làm gián đoạn lưu lượng trong mạng và các giải pháp hiển thị này cũng có thể giải quyết các trường hợp nâng cao hơn. Nhu cầu giám sát của các công cụ từ tường lửa thế hệ tiếp theo đến bảo vệ rò rỉ dữ liệu, giám sát hiệu suất ứng dụng, SIEM, điều tra kỹ thuật số, IPS, IDS, v.v., buộc các thiết bị TAP mạng phải phát triển.
Ngoài việc cung cấp một bản sao hoàn chỉnh của lưu lượng truy cập và duy trì tính khả dụng, các thiết bị TAP có thể cung cấp những tính năng sau.
1. Lọc các gói để tối đa hóa hiệu suất giám sát mạng
Chỉ vì thiết bị Network TAP có thể tạo bản sao 100% của gói tại một thời điểm nào đó không có nghĩa là mọi công cụ giám sát và bảo mật đều cần xem toàn bộ nội dung. Truyền lưu lượng truy cập đến tất cả các công cụ giám sát và bảo mật mạng trong thời gian thực sẽ chỉ dẫn đến tình trạng đặt hàng quá mức, do đó làm ảnh hưởng đến hiệu suất của các công cụ và mạng trong quá trình này.
Việc đặt đúng thiết bị Network TAP có thể giúp lọc các gói khi được định tuyến đến công cụ giám sát, phân phối đúng dữ liệu đến đúng công cụ. Ví dụ về các công cụ như vậy bao gồm Hệ thống phát hiện xâm nhập (IDS), Ngăn chặn mất dữ liệu (DLP), quản lý sự kiện và thông tin bảo mật (SIEM), phân tích pháp y, v.v.
2. Liên kết tổng hợp để kết nối mạng hiệu quả
Khi các yêu cầu về Giám sát và Bảo mật Mạng tăng lên, các kỹ sư mạng phải tìm cách sử dụng ngân sách CNTT hiện có để hoàn thành nhiều nhiệm vụ hơn. Nhưng tại một thời điểm nào đó, bạn không thể tiếp tục thêm các thiết bị mới vào ngăn xếp và tăng độ phức tạp của mạng. Điều cần thiết là phải tối đa hóa việc sử dụng các công cụ giám sát và bảo mật.
Các thiết bị Network TAP có thể trợ giúp bằng cách tổng hợp nhiều lưu lượng mạng, hướng đông và hướng tây, để phân phối các gói đến các thiết bị được kết nối thông qua một cổng duy nhất. Triển khai các công cụ hiển thị theo cách này sẽ giảm số lượng công cụ giám sát cần thiết. Khi lưu lượng dữ liệu Đông-Tây tiếp tục tăng trong các trung tâm dữ liệu và giữa các trung tâm dữ liệu, yêu cầu đối với các thiết bị TAP mạng là điều cần thiết để duy trì khả năng hiển thị của tất cả các luồng chiều trên khối lượng dữ liệu lớn.
Bài viết liên quan có thể bạn quan tâm, vui lòng truy cập tại đây:Làm cách nào để nắm bắt lưu lượng truy cập mạng? Mạng Tap vs Cổng Mirror
Thời gian đăng: 24/10/2024
