مقدمه
جمعآوری و تحلیل ترافیک شبکه، مؤثرترین وسیله برای دستیابی به شاخصها و پارامترهای رفتار کاربر شبکه از ابتدا است. با بهبود مستمر عملیات و نگهداری مرکز داده Q، جمعآوری و تحلیل ترافیک شبکه به بخش ضروری زیرساخت مرکز داده تبدیل شده است. از کاربرد فعلی صنعت، جمعآوری ترافیک شبکه عمدتاً توسط تجهیزات شبکهای که از آینه ترافیک بایپس پشتیبانی میکنند، محقق میشود. جمعآوری ترافیک نیاز به ایجاد یک شبکه جمعآوری ترافیک با پوشش جامع، معقول و مؤثر دارد، چنین جمعآوری ترافیکی میتواند به بهینهسازی شاخصهای عملکرد شبکه و کسبوکار کمک کند و احتمال خرابی را کاهش دهد.
شبکه جمعآوری ترافیک را میتوان به عنوان یک شبکه مستقل متشکل از دستگاههای جمعآوری ترافیک در نظر گرفت که به موازات شبکه تولید مستقر شدهاند. این شبکه، ترافیک تصویر هر دستگاه شبکه را جمعآوری کرده و ترافیک تصویر را بر اساس سطوح منطقهای و معماری تجمیع میکند. این شبکه از آلارم تبادل فیلتر ترافیک در تجهیزات جمعآوری ترافیک برای تحقق سرعت کامل خط دادهها برای ۲ تا ۴ لایه فیلترینگ شرطی، حذف بستههای تکراری، کوتاه کردن بستهها و سایر عملیات عملکردی پیشرفته استفاده میکند و سپس دادهها را به هر سیستم تحلیل ترافیک ارسال میکند. شبکه جمعآوری ترافیک میتواند دادههای خاص را با توجه به نیازهای داده هر سیستم، به طور دقیق به هر دستگاه ارسال کند و مشکل عدم امکان فیلتر و ارسال دادههای آینهای سنتی را که عملکرد پردازش سوئیچهای شبکه را مصرف میکند، حل کند. در عین حال، موتور فیلتر و تبادل ترافیک شبکه جمعآوری ترافیک، فیلتر کردن و ارسال دادهها را با تأخیر کم و سرعت بالا انجام میدهد، کیفیت دادههای جمعآوریشده توسط شبکه جمعآوری ترافیک را تضمین میکند و پایه داده خوبی را برای تجهیزات تحلیل ترافیک بعدی فراهم میکند.
به منظور کاهش تأثیر بر لینک اصلی، معمولاً یک کپی از ترافیک اصلی با استفاده از تقسیم پرتو، SPAN یا TAP به دست میآید.
انشعاب شبکه پسیو (اسپلیتر نوری)
روش استفاده از تقسیم نور برای به دست آوردن کپی ترافیک، نیاز به کمک یک دستگاه تقسیم کننده نور دارد. تقسیم کننده نور یک دستگاه نوری غیرفعال است که میتواند شدت توان سیگنال نوری را مطابق با نسبت مورد نیاز، دوباره توزیع کند. تقسیم کننده میتواند نور را از ۱ به ۲، ۱ به ۴ و ۱ به چندین کانال تقسیم کند. به منظور کاهش تأثیر بر لینک اصلی، مرکز داده معمولاً نسبت تقسیم نوری ۸۰:۲۰، ۷۰:۳۰ را اتخاذ میکند که در آن نسبت ۷۰ به ۸۰ از سیگنال نوری به لینک اصلی ارسال میشود. در حال حاضر، تقسیم کنندههای نوری به طور گسترده در تجزیه و تحلیل عملکرد شبکه (NPM/APM)، سیستم حسابرسی، تجزیه و تحلیل رفتار کاربر، تشخیص نفوذ شبکه و سایر سناریوها استفاده میشوند.
مزایا:
1. قابلیت اطمینان بالا، دستگاه نوری غیرفعال؛
۲. پورت سوئیچ را اشغال نمیکند، تجهیزات مستقل، و متعاقباً میتواند گسترش خوبی داشته باشد.
۳. بدون نیاز به تغییر پیکربندی سوئیچ، بدون تأثیر بر سایر تجهیزات؛
۴. جمعآوری کامل ترافیک، بدون فیلتر کردن بستههای سوئیچ، شامل بستههای خطا و غیره.
معایب:
۱. نیاز به برش ساده شبکه، اتصال فیبر نوری به بکبون و اتصال به اسپلیتر نوری، توان نوری برخی از لینکهای بکبون را کاهش میدهد.
اسپن (آینه بندر)
SPAN قابلیتی است که همراه خود سوئیچ ارائه میشود، بنابراین فقط باید روی سوئیچ پیکربندی شود. با این حال، این عملکرد بر عملکرد سوئیچ تأثیر میگذارد و هنگام بارگذاری بیش از حد دادهها، باعث از دست رفتن بستهها میشود.
مزایا:
۱. نیازی به اضافه کردن تجهیزات اضافی نیست، سوئیچ را طوری پیکربندی کنید که پورت خروجی تکثیر تصویر مربوطه را افزایش دهد.
معایب:
۱. اشغال پورت سوئیچ
۲. سوئیچها نیاز به پیکربندی دارند که مستلزم هماهنگی مشترک با تولیدکنندگان شخص ثالث است و خطر بالقوه خرابی شبکه را افزایش میدهد.
۳. تکثیر ترافیک آینهای (Mirror Traffic Replication) بر عملکرد پورت و سوئیچ تأثیر میگذارد.
فعالسازی شبکه TAP (جمعکننده TAP)
Network TAP یک دستگاه شبکه خارجی است که امکان آینهسازی پورت را فراهم میکند و یک کپی از ترافیک را برای استفاده توسط دستگاههای نظارتی مختلف ایجاد میکند. این دستگاهها در مکانی از مسیر شبکه که نیاز به مشاهده دارد، معرفی میشوند و بستههای IP داده را کپی کرده و آنها را به ابزار نظارت شبکه ارسال میکنند. انتخاب نقطه دسترسی برای دستگاه Network TAP به تمرکز ترافیک شبکه بستگی دارد - دلایل جمعآوری دادهها، نظارت معمول بر تحلیل و تأخیرها، تشخیص نفوذ و غیره. دستگاههای Network TAP میتوانند جریانهای داده را با سرعت ۱ گیگابیت تا ۱۰۰ گیگابیت جمعآوری و آینهسازی کنند.
این دستگاهها بدون اینکه دستگاه TAP شبکه، جریان بستهها را به هیچ وجه تغییر دهد، صرف نظر از نرخ ترافیک داده، به ترافیک دسترسی پیدا میکنند. این بدان معناست که ترافیک شبکه تحت نظارت و پورت میرورینگ قرار نمیگیرد، که برای حفظ یکپارچگی دادهها هنگام مسیریابی آنها به ابزارهای امنیتی و تحلیلی ضروری است.
این تضمین میکند که دستگاههای جانبی شبکه، کپیهای ترافیک را رصد میکنند تا دستگاههای TAP شبکه به عنوان ناظر عمل کنند. با ارسال یک کپی از دادههای خود به هر/همه دستگاههای متصل، شما در نقطه شبکه، دید کاملی خواهید داشت. در صورتی که یک دستگاه TAP شبکه یا دستگاه مانیتورینگ از کار بیفتد، میدانید که ترافیک تحت تأثیر قرار نمیگیرد و تضمین میشود که سیستم عامل ایمن و در دسترس باقی میماند.
در عین حال، این به هدف کلی دستگاههای TAP شبکه تبدیل میشود. دسترسی به بستهها همیشه میتواند بدون ایجاد وقفه در ترافیک شبکه فراهم شود و این راهحلهای دید همچنین میتوانند موارد پیشرفتهتری را نیز برطرف کنند. نیازهای نظارتی ابزارها از فایروالهای نسل بعدی گرفته تا محافظت در برابر نشت دادهها، نظارت بر عملکرد برنامه، SIEM، پزشکی قانونی دیجیتال، IPS، IDS و موارد دیگر، دستگاههای TAP شبکه را مجبور به تکامل میکند.
علاوه بر ارائه یک کپی کامل از ترافیک و حفظ دسترسیپذیری، دستگاههای TAP میتوانند موارد زیر را نیز ارائه دهند.
۱. فیلتر کردن بستهها برای به حداکثر رساندن عملکرد نظارت بر شبکه
فقط به این دلیل که یک دستگاه Network TAP میتواند در مقطعی یک کپی ۱۰۰٪ از یک بسته ایجاد کند، به این معنی نیست که هر ابزار نظارتی و امنیتی باید کل آن را ببیند. پخش ترافیک به تمام ابزارهای نظارتی و امنیتی شبکه به صورت بلادرنگ، تنها منجر به سفارش بیش از حد میشود و در نتیجه به عملکرد ابزارها و شبکه در این فرآیند آسیب میرساند.
قرار دادن دستگاه Network TAP مناسب میتواند به فیلتر کردن بستهها هنگام هدایت به ابزار نظارتی و توزیع دادههای مناسب به ابزار مناسب کمک کند. نمونههایی از چنین ابزارهایی شامل سیستمهای تشخیص نفوذ (IDS)، پیشگیری از دست رفتن دادهها (DLP)، مدیریت اطلاعات و رویدادهای امنیتی (SIEM)، تجزیه و تحلیل پزشکی قانونی و موارد دیگر است.
۲. لینکهای تجمیعشده برای شبکهسازی کارآمد
با افزایش الزامات نظارت و امنیت شبکه، مهندسان شبکه باید راههایی برای استفاده از بودجههای موجود فناوری اطلاعات برای انجام وظایف بیشتر پیدا کنند. اما در برههای از زمان، نمیتوانید به اضافه کردن دستگاههای جدید به پشته شبکه و افزایش پیچیدگی آن ادامه دهید. ضروری است که از ابزارهای نظارتی و امنیتی حداکثر استفاده را ببرید.
دستگاههای TAP شبکه میتوانند با تجمیع ترافیک چندگانه شبکه، چه به سمت شرق و چه به سمت غرب، به تحویل بستهها به دستگاههای متصل از طریق یک پورت واحد کمک کنند. استقرار ابزارهای دید به این روش، تعداد ابزارهای نظارتی مورد نیاز را کاهش میدهد. با توجه به اینکه ترافیک دادههای شرق به غرب در مراکز داده و بین مراکز داده همچنان در حال افزایش است، نیاز به دستگاههای TAP شبکه برای حفظ دید در تمام جریانهای بعدی در حجم زیادی از دادهها ضروری است.
مقاله مرتبط که ممکن است برای شما جالب باشد، لطفاً از اینجا دیدن کنید:چگونه ترافیک شبکه را ضبط کنیم؟ Network Tap در مقابل Port Mirror
زمان ارسال: ۲۴ اکتبر ۲۰۲۴
