Introduction
La collecte et l'analyse du trafic réseau constituent le moyen le plus efficace d'obtenir des indicateurs et des paramètres de comportement des utilisateurs. Avec l'amélioration continue de l'exploitation et de la maintenance des centres de données, la collecte et l'analyse du trafic réseau sont devenues indispensables à l'infrastructure de ces centres. Actuellement, la collecte du trafic réseau est principalement réalisée par des équipements réseau prenant en charge la mise en miroir du trafic de contournement. La collecte du trafic nécessite un réseau de collecte complet, raisonnable et efficace. Elle permet d'optimiser les indicateurs de performance du réseau et de l'entreprise et de réduire les risques de panne.
Le réseau de collecte de trafic peut être considéré comme un réseau indépendant, composé de dispositifs de collecte de trafic et déployé en parallèle du réseau de production. Il collecte le trafic image de chaque dispositif réseau et l'agrège en fonction des niveaux régional et architectural. Il utilise l'alarme d'échange de filtrage de trafic de l'équipement d'acquisition de trafic pour exploiter le débit maximal des données pour 2 à 4 couches de filtrage conditionnel, en supprimant les paquets dupliqués, en les tronquant et en effectuant d'autres opérations fonctionnelles avancées, puis en transmettant les données à chaque système d'analyse de trafic. Le réseau de collecte de trafic peut envoyer avec précision des données spécifiques à chaque dispositif en fonction des besoins de chaque système, et résout le problème de l'impossibilité de filtrer et de transmettre les données miroir traditionnelles, ce qui épuise les performances de traitement des commutateurs réseau. Parallèlement, le moteur de filtrage et d'échange de trafic du réseau de collecte de trafic assure le filtrage et la transmission des données avec un délai court et un débit élevé, garantissant la qualité des données collectées par le réseau de collecte de trafic et fournissant une base de données solide pour les équipements d'analyse de trafic ultérieurs.
Afin de réduire l'impact sur le lien d'origine, une copie du trafic d'origine est généralement obtenue au moyen du fractionnement de faisceau, SPAN ou TAP.
Répartiteur optique passif (réseau de dérivation)
L'utilisation du fractionnement de la lumière pour obtenir une copie du trafic nécessite l'utilisation d'un séparateur de lumière. Ce séparateur est un dispositif optique passif capable de redistribuer l'intensité du signal optique selon la proportion requise. Il peut diviser la lumière de 1 à 2, 1 à 4 et 1 à plusieurs canaux. Afin de réduire l'impact sur la liaison d'origine, les centres de données adoptent généralement un rapport de fractionnement optique de 80:20 et 70:30, dans lequel 70 et 80 % du signal optique sont renvoyés vers la liaison d'origine. Les séparateurs optiques sont actuellement largement utilisés dans l'analyse des performances réseau (NPM/APM), les systèmes d'audit, l'analyse du comportement des utilisateurs, la détection des intrusions réseau et d'autres scénarios.
Avantages :
1. Dispositif optique passif de haute fiabilité ;
2. N'occupe pas le port du commutateur, équipement indépendant, la suite peut être une bonne extension ;
3. Pas besoin de modifier la configuration du commutateur, aucun impact sur les autres équipements ;
4. Collecte complète du trafic, aucun filtrage des paquets de commutation, y compris les paquets d'erreur, etc.
Inconvénients :
1. La nécessité d'une simple coupure de réseau, d'une prise fibre optique de liaison dorsale et d'une connexion au répartiteur optique, réduira la puissance optique de certaines liaisons dorsales.
SPAN (miroir de port)
SPAN est une fonctionnalité intégrée au commutateur ; il suffit donc de la configurer sur celui-ci. Cependant, cette fonction affecte les performances du commutateur et entraîne des pertes de paquets en cas de surcharge de données.
Avantages :
1. Il n'est pas nécessaire d'ajouter d'équipement supplémentaire, configurez le commutateur pour augmenter le port de sortie de réplication d'image correspondant
Inconvénients :
1. Occuper le port du commutateur
2. Les commutateurs doivent être configurés, ce qui implique une coordination conjointe avec des fabricants tiers, augmentant le risque potentiel de défaillance du réseau
3. La réplication du trafic miroir a un impact sur les performances des ports et des commutateurs.
Réseau actif TAP (agrégateur TAP)
Un TAP réseau est un périphérique réseau externe qui permet la mise en miroir des ports et crée une copie du trafic utilisable par divers dispositifs de surveillance. Ces dispositifs sont introduits à un endroit du chemin réseau à surveiller et copient les paquets IP de données avant de les envoyer à l'outil de surveillance réseau. Le choix du point d'accès du TAP réseau dépend de l'objectif du trafic réseau : collecte de données, surveillance régulière des analyses et des retards, détection des intrusions, etc. Les TAP réseau peuvent collecter et mettre en miroir des flux de données à des débits de 1 G jusqu'à 100 G.
Ces appareils accèdent au trafic sans que le périphérique TAP réseau ne modifie le flux de paquets, quel que soit le débit de données. Cela signifie que le trafic réseau n'est pas soumis à la surveillance ni à la mise en miroir des ports, essentielles pour préserver l'intégrité des données lors de leur routage vers les outils de sécurité et d'analyse.
Il garantit que les périphériques réseau surveillent les copies de trafic, permettant ainsi aux périphériques TAP réseau d'agir comme observateurs. En transmettant une copie de vos données à tous les périphériques connectés, vous bénéficiez d'une visibilité complète au niveau du réseau. En cas de panne d'un périphérique TAP réseau ou d'un dispositif de surveillance, vous savez que le trafic ne sera pas affecté, garantissant ainsi la sécurité et la disponibilité du système d'exploitation.
Parallèlement, il devient la cible principale des dispositifs TAP réseau. L'accès aux paquets peut toujours être assuré sans interrompre le trafic sur le réseau, et ces solutions de visibilité peuvent également répondre à des cas plus complexes. Les besoins de surveillance des outils, allant des pare-feu nouvelle génération à la protection contre les fuites de données, en passant par la surveillance des performances applicatives, les SIEM, l'investigation numérique, les IPS, les IDS, etc., obligent les dispositifs TAP réseau à évoluer.
En plus de fournir une copie complète du trafic et de maintenir la disponibilité, les appareils TAP peuvent fournir les éléments suivants.
1. Filtrer les paquets pour maximiser les performances de surveillance du réseau
Ce n'est pas parce qu'un périphérique TAP réseau peut créer une copie intégrale d'un paquet à un moment donné que tous les outils de surveillance et de sécurité doivent en avoir une vue d'ensemble. Diffuser le trafic en temps réel vers tous les outils de surveillance et de sécurité réseau ne fera qu'engendrer une surcharge, nuisant ainsi aux performances des outils et du réseau.
Le choix d'un TAP réseau adapté permet de filtrer les paquets acheminés vers l'outil de surveillance et de distribuer les données pertinentes à l'outil approprié. Parmi ces outils, on peut citer les systèmes de détection d'intrusion (IDS), la prévention des pertes de données (DLP), la gestion des informations et des événements de sécurité (SIEM), l'analyse forensique, et bien d'autres encore.
2. Liens agrégés pour une mise en réseau efficace
Face à l'augmentation des besoins en matière de surveillance et de sécurité réseau, les ingénieurs réseau doivent trouver des moyens d'optimiser les budgets informatiques existants pour accomplir davantage de tâches. Mais à un moment donné, l'ajout de nouveaux périphériques à la pile et la complexité croissante du réseau ne suffisent plus. Il est essentiel d'optimiser l'utilisation des outils de surveillance et de sécurité.
Les dispositifs TAP réseau peuvent contribuer à agréger le trafic réseau, en direction est et ouest, afin de transmettre les paquets aux appareils connectés via un port unique. Le déploiement d'outils de visibilité de cette manière réduira le nombre d'outils de surveillance nécessaires. Face à la croissance continue du trafic de données est-ouest dans et entre les centres de données, le besoin de dispositifs TAP réseau est essentiel pour maintenir une visibilité sur tous les flux dimensionnels de grands volumes de données.
Article connexe qui pourrait vous intéresser, veuillez visiter ici :Comment capturer le trafic réseau ? Tap réseau ou miroir de port
Date de publication : 24 octobre 2024
