Introduction
La collecte et l'analyse du trafic réseau constituent le moyen le plus efficace d'obtenir des indicateurs et des paramètres de première main sur le comportement des utilisateurs du réseau. Avec l'amélioration continue de l'exploitation et de la maintenance du centre de données Q, la collecte et l'analyse du trafic réseau sont devenues un élément indispensable de l'infrastructure du centre de données. D'après l'utilisation actuelle de l'industrie, la collecte du trafic réseau est principalement réalisée par des équipements réseau prenant en charge le miroir de trafic de contournement. La collecte du trafic doit établir une couverture complète, un réseau de collecte du trafic raisonnable et efficace, une telle collecte du trafic peut aider à optimiser les indicateurs de performance du réseau et de l'entreprise et à réduire la probabilité de panne.
Le réseau de collecte de trafic peut être considéré comme un réseau indépendant composé de dispositifs de collecte de trafic et déployé en parallèle du réseau de production. Il collecte le trafic d'images de chaque périphérique réseau et agrège le trafic d'images en fonction des niveaux régionaux et architecturaux. Il utilise l'alarme d'échange de filtrage du trafic dans l'équipement d'acquisition du trafic pour réaliser la vitesse de ligne complète des données pour 2 à 4 couches de filtrage conditionnel, supprimant les paquets en double, tronquant les paquets et autres opérations fonctionnelles avancées, puis envoie les données à chaque trafic. système d’analyse. Le réseau de collecte de trafic peut envoyer avec précision des données spécifiques à chaque appareil en fonction des exigences de données de chaque système et résoudre le problème de l'impossibilité de filtrer et d'envoyer les données miroir traditionnelles, ce qui consomme les performances de traitement des commutateurs réseau. Dans le même temps, le moteur de filtrage et d'échange du trafic du réseau de collecte de trafic réalise le filtrage et le transfert des données avec un faible retard et une vitesse élevée, garantit la qualité des données collectées par le réseau de collecte de trafic et fournit une bonne base de données pour le équipement d'analyse du trafic ultérieur.
Afin de réduire l'impact sur la liaison d'origine, une copie du trafic d'origine est généralement obtenue au moyen de division de faisceau, SPAN ou TAP.
Robinet réseau passif (séparateur optique)
La manière d'utiliser la répartition de la lumière pour obtenir une copie du trafic nécessite l'aide d'un dispositif de répartition de la lumière. Le séparateur de lumière est un dispositif optique passif capable de redistribuer l'intensité de puissance du signal optique conformément à la proportion requise. Le répartiteur peut diviser la lumière de 1 à 2, 1 à 4 et 1 à plusieurs canaux. Afin de réduire l'impact sur la liaison d'origine, le centre de données adopte généralement le rapport de division optique de 80:20, 70:30, dans lequel 70,80 % du signal optique est renvoyé à la liaison d'origine. À l'heure actuelle, les séparateurs optiques sont largement utilisés dans l'analyse des performances du réseau (NPM/APM), les systèmes d'audit, l'analyse du comportement des utilisateurs, la détection des intrusions sur le réseau et d'autres scénarios.
Avantages :
1. Haute fiabilité, dispositif optique passif ;
2. N'occupe pas le port du commutateur, équipement indépendant, la suite peut être une bonne expansion ;
3. Pas besoin de modifier la configuration du commutateur, aucun impact sur les autres équipements ;
4. Collecte complète du trafic, pas de filtrage des paquets de commutation, y compris les paquets d'erreur, etc.
Inconvénients :
1. La nécessité d'un simple basculement de réseau, d'une prise de fibre de liaison de base et d'une connexion au répartiteur optique réduira la puissance optique de certaines liaisons de base.
SPAN (miroir de port)
SPAN est une fonctionnalité fournie avec le commutateur lui-même, il suffit donc de la configurer sur le commutateur. Cependant, cette fonction affectera les performances du commutateur et entraînera une perte de paquets lorsque les données sont surchargées.
Avantages :
1. Il n'est pas nécessaire d'ajouter un équipement supplémentaire, configurez le commutateur pour augmenter le port de sortie de réplication d'image correspondant
Inconvénients :
1. Occupez le port du commutateur
2. Les commutateurs doivent être configurés, ce qui implique une coordination conjointe avec des fabricants tiers, augmentant ainsi le risque potentiel de panne du réseau.
3. La réplication du trafic miroir a un impact sur les performances des ports et des commutateurs.
Réseau actif TAP (TAP Aggregator)
Un Network TAP est un périphérique réseau externe qui permet la mise en miroir des ports et crée une copie du trafic à utiliser par divers périphériques de surveillance. Ces appareils sont introduits à un endroit du chemin réseau qui doit être observé, et copient les paquets de données IP et les envoient à l'outil de surveillance du réseau. Le choix du point d'accès pour le périphérique Network TAP dépend de l'orientation du trafic réseau : raisons de collecte de données, surveillance de routine de l'analyse et des retards, détection d'intrusion, etc. Les périphériques Network TAP peuvent collecter et mettre en miroir des flux de données à un débit de 1G jusqu'à 100G.
Ces appareils accèdent au trafic sans que le périphérique TAP du réseau ne modifie le flux de paquets de quelque manière que ce soit, quel que soit le débit du trafic de données. Cela signifie que le trafic réseau n'est pas soumis à la surveillance ni à la mise en miroir des ports, ce qui est essentiel pour maintenir l'intégrité des données lors de leur acheminement vers des outils de sécurité et d'analyse.
Il garantit que les périphériques réseau surveillent les copies de trafic afin que les périphériques TAP du réseau agissent en tant qu'observateurs. En transmettant une copie de vos données à tous les appareils connectés, vous obtenez une visibilité complète sur le point réseau. En cas de panne d'un périphérique TAP réseau ou d'un périphérique de surveillance, vous savez que le trafic ne sera pas affecté, garantissant ainsi que le système d'exploitation reste sûr et disponible.
Dans le même temps, il devient la cible globale des appareils TAP du réseau. L'accès aux paquets peut toujours être assuré sans interrompre le trafic sur le réseau, et ces solutions de visibilité peuvent également répondre à des cas plus avancés. Les besoins de surveillance d'outils allant des pare-feu de nouvelle génération à la protection contre les fuites de données, en passant par la surveillance des performances des applications, le SIEM, l'investigation numérique, l'IPS, l'IDS et bien plus encore, obligent les dispositifs réseau TAP à évoluer.
En plus de fournir une copie complète du trafic et de maintenir la disponibilité, les appareils TAP peuvent fournir les éléments suivants.
1. Filtrer les paquets pour maximiser les performances de surveillance du réseau
Ce n’est pas parce qu’un périphérique Network TAP peut créer une copie à 100 % d’un paquet à un moment donné que chaque outil de surveillance et de sécurité doit voir l’intégralité du paquet. La diffusion du trafic vers tous les outils de surveillance et de sécurité du réseau en temps réel n'entraînera qu'une commande excessive, nuisant ainsi aux performances des outils et du réseau.
Placer le bon périphérique Network TAP peut aider à filtrer les paquets lorsqu'ils sont acheminés vers l'outil de surveillance, en distribuant les bonnes données au bon outil. Des exemples de tels outils incluent les systèmes de détection d'intrusion (IDS), la prévention des pertes de données (DLP), la gestion des informations et des événements de sécurité (SIEM), l'analyse médico-légale et bien d'autres.
2. Regroupez les liens pour un réseau efficace
À mesure que les exigences en matière de surveillance et de sécurité du réseau augmentent, les ingénieurs réseau doivent trouver des moyens d'utiliser les budgets informatiques existants pour accomplir davantage de tâches. Mais à un moment donné, vous ne pouvez plus continuer à ajouter de nouveaux appareils à la pile et à accroître la complexité de votre réseau. Il est essentiel de maximiser l’utilisation des outils de surveillance et de sécurité.
Les appareils réseau TAP peuvent aider en regroupant plusieurs trafics réseau, en direction est et en direction ouest, pour transmettre des paquets aux appareils connectés via un seul port. Déployer des outils de visibilité de cette manière réduira le nombre d’outils de surveillance requis. Alors que le trafic de données Est-Ouest continue de croître dans les centres de données et entre les centres de données, le besoin de dispositifs réseau TAP est essentiel pour maintenir la visibilité de tous les flux dimensionnels sur de grands volumes de données.
Article connexe qui pourrait vous intéresser, veuillez visiter ici :Comment capturer le trafic réseau ? Prise réseau vs miroir de port
Heure de publication : 24 octobre 2024