Introduction
La collecte et l'analyse du trafic réseau constituent le moyen le plus efficace d'obtenir des indicateurs et des paramètres de comportement des utilisateurs du réseau. Avec l'amélioration continue de l'exploitation et de la maintenance des centres de données, la collecte et l'analyse du trafic réseau sont devenues une composante indispensable de leur infrastructure. Dans le secteur, la collecte du trafic réseau est généralement réalisée par des équipements réseau prenant en charge la duplication du trafic. La collecte du trafic nécessite la mise en place d'un réseau de collecte complet, pertinent et efficace ; elle contribue à optimiser les indicateurs de performance du réseau et de l'activité, et à réduire la probabilité de panne.
Le réseau de collecte de trafic peut être considéré comme un réseau indépendant, composé de dispositifs de collecte et déployé en parallèle du réseau de production. Il collecte le trafic image de chaque équipement réseau et l'agrège selon les niveaux régional et architectural. Il utilise le système d'échange et de filtrage du trafic des équipements d'acquisition pour effectuer un filtrage conditionnel à pleine vitesse des données sur 2 à 4 niveaux, supprimant les paquets dupliqués, tronquant les paquets et effectuant d'autres opérations avancées, avant d'envoyer les données à chaque système d'analyse de trafic. Le réseau de collecte de trafic peut ainsi envoyer avec précision des données spécifiques à chaque dispositif en fonction des exigences de chaque système, résolvant le problème de l'impossibilité de filtrer et d'envoyer les données mises en miroir de manière traditionnelle, ce qui consomme les ressources de traitement des commutateurs réseau. Parallèlement, le moteur de filtrage et d'échange du réseau de collecte de trafic assure un filtrage et un transfert des données à faible latence et à haute vitesse, garantissant la qualité des données collectées et fournissant une base de données solide pour les équipements d'analyse de trafic ultérieurs.
Afin de réduire l'impact sur la liaison d'origine, une copie du trafic d'origine est généralement obtenue au moyen de la division de faisceau, SPAN ou TAP.
Prise réseau passive (répartiteur optique)
L'utilisation du fractionnement optique pour obtenir une copie du trafic nécessite un séparateur optique. Ce dispositif optique passif redistribue l'intensité du signal optique selon les proportions requises. Il peut diviser le signal en 1 canal vers 2, 1 canal vers 4 ou 1 canal vers plusieurs canaux. Afin de minimiser l'impact sur la liaison d'origine, les centres de données utilisent généralement des rapports de fractionnement optique de 80:20 ou 70:30, où 70 % du signal optique est renvoyé vers la liaison d'origine, contre 80 % pour la liaison d'origine. Actuellement, les séparateurs optiques sont largement utilisés dans l'analyse des performances réseau (NPM/APM), les systèmes d'audit, l'analyse du comportement des utilisateurs, la détection d'intrusions réseau et d'autres applications.
Avantages :
1. Dispositif optique passif à haute fiabilité ;
2. N'occupe pas le port du commutateur, équipement indépendant, possibilité d'extension ultérieure ;
3. Aucune modification nécessaire de la configuration du commutateur, aucun impact sur les autres équipements ;
4. Collecte complète du trafic, sans filtrage des paquets du commutateur, y compris les paquets d'erreur, etc.
Inconvénients :
1. La nécessité d'une simple basculement de réseau, le branchement de la fibre de liaison principale et la connexion au répartiteur optique, réduiront la puissance optique de certaines liaisons principales.
SPAN (Miroir de port)
La fonction SPAN est intégrée au commutateur et nécessite donc une configuration sur celui-ci. Toutefois, son utilisation peut impacter les performances du commutateur et entraîner des pertes de paquets en cas de surcharge du trafic.
Avantages :
1. Il n'est pas nécessaire d'ajouter d'équipement supplémentaire ; configurez le commutateur pour augmenter le port de sortie de réplication d'image correspondant.
Inconvénients :
1. Occupez le port du commutateur
2. La configuration des commutateurs nécessite une coordination avec des fabricants tiers, ce qui augmente le risque potentiel de défaillance du réseau.
3. La réplication du trafic en miroir a un impact sur les performances des ports et des commutateurs.
Réseau actif TAP (agrégateur TAP)
Un point d'accès réseau (TAP) est un périphérique réseau externe qui permet la duplication de ports et crée une copie du trafic destinée à être utilisée par divers outils de surveillance. Ces dispositifs sont installés au niveau du point d'accès réseau à surveiller ; ils copient les paquets de données IP et les envoient à l'outil de surveillance réseau. Le choix du point d'accès pour le TAP dépend de l'objectif de l'analyse du trafic réseau : collecte de données, surveillance régulière (analyse des délais, détection d'intrusion, etc.). Les TAP peuvent collecter et dupliquer des flux de données à des débits allant de 1 Gbit/s à 100 Gbit/s.
Ces dispositifs accèdent au trafic sans que le dispositif TAP du réseau ne modifie le flux de paquets, quel que soit le débit. Ainsi, le trafic réseau n'est soumis ni à la surveillance ni à la duplication de ports, opérations pourtant essentielles pour garantir l'intégrité des données lors de leur acheminement vers les outils de sécurité et d'analyse.
Il garantit que les périphériques réseau surveillent les copies du trafic afin que les dispositifs TAP du réseau agissent comme observateurs. En fournissant une copie de vos données à tous les périphériques connectés, vous bénéficiez d'une visibilité complète au niveau du réseau. En cas de défaillance d'un dispositif TAP ou d'un dispositif de surveillance, le trafic n'est pas affecté, ce qui assure la sécurité et la disponibilité du système d'exploitation.
Parallèlement, l'accès aux paquets devient l'objectif principal des dispositifs TAP réseau. Ces solutions de visibilité permettent un accès permanent sans interruption du trafic réseau et peuvent également traiter des cas plus complexes. Les besoins de surveillance d'outils tels que les pare-feu de nouvelle génération, la protection contre les fuites de données, la surveillance des performances applicatives, les SIEM, l'analyse forensique numérique, les IPS, les IDS, etc., contraignent les dispositifs TAP réseau à évoluer.
En plus de fournir une copie complète du trafic et de maintenir la disponibilité, les dispositifs TAP peuvent fournir les éléments suivants.
1. Filtrer les paquets pour optimiser les performances de la surveillance du réseau
Le fait qu'un dispositif Network TAP puisse créer une copie intégrale d'un paquet ne signifie pas que tous les outils de surveillance et de sécurité doivent recevoir l'intégralité du trafic. Diffuser le trafic en temps réel vers tous ces outils ne fera que les surcharger, nuisant ainsi à leurs performances et à celles du réseau.
L'utilisation d'un dispositif Network TAP adapté permet de filtrer les paquets acheminés vers l'outil de surveillance, en distribuant les données pertinentes à l'outil approprié. Parmi ces outils, on peut citer les systèmes de détection d'intrusion (IDS), la prévention des pertes de données (DLP), la gestion des informations et des événements de sécurité (SIEM), l'analyse forensique, et bien d'autres.
2. Agrégation des liens pour un réseautage efficace
Face à l'augmentation des exigences en matière de surveillance et de sécurité des réseaux, les ingénieurs réseau doivent optimiser l'utilisation des budgets informatiques existants pour accomplir davantage de tâches. Cependant, il est impossible d'ajouter indéfiniment de nouveaux périphériques et d'accroître la complexité du réseau. Il est donc essentiel d'optimiser l'utilisation des outils de surveillance et de sécurité.
Les dispositifs Network TAP permettent d'agréger le trafic réseau, tant à l'est qu'à l'ouest, afin de distribuer les paquets aux périphériques connectés via un port unique. Le déploiement d'outils de visibilité de cette manière réduit le nombre d'outils de surveillance nécessaires. Face à la croissance continue du trafic de données est-ouest au sein des centres de données et entre eux, l'utilisation de dispositifs Network TAP est essentielle pour garantir la visibilité de tous les flux dimensionnels sur d'importants volumes de données.
Cet article connexe pourrait vous intéresser ; veuillez le consulter ici :Comment capturer le trafic réseau ? Capture réseau ou duplication de port ?
Date de publication : 24 octobre 2024
