การแนะนำ
การรวบรวมและวิเคราะห์ปริมาณการรับส่งข้อมูลเครือข่ายเป็นวิธีที่มีประสิทธิภาพสูงสุดในการรับตัวบ่งชี้และพารามิเตอร์พฤติกรรมผู้ใช้เครือข่ายโดยตรง ด้วยการปรับปรุงอย่างต่อเนื่องของการทำงานและการบำรุงรักษา Q ของศูนย์ข้อมูล การรวบรวมและวิเคราะห์ปริมาณการรับส่งข้อมูลเครือข่ายจึงกลายเป็นส่วนที่ขาดไม่ได้ของโครงสร้างพื้นฐานของศูนย์ข้อมูล จากการใช้งานในอุตสาหกรรมปัจจุบัน การรวบรวมปริมาณการรับส่งข้อมูลเครือข่ายส่วนใหญ่ทำได้โดยอุปกรณ์เครือข่ายที่รองรับการเลี่ยงผ่านมิเรอร์ปริมาณการรับส่งข้อมูล การรวบรวมปริมาณการรับส่งข้อมูลจำเป็นต้องสร้างเครือข่ายการรวบรวมปริมาณการรับส่งข้อมูลที่ครอบคลุม สมเหตุสมผล และมีประสิทธิภาพ การรวบรวมปริมาณการรับส่งข้อมูลดังกล่าวสามารถช่วยเพิ่มประสิทธิภาพของตัวบ่งชี้ประสิทธิภาพของเครือข่ายและธุรกิจ และลดความน่าจะเป็นของความล้มเหลว
เครือข่ายการรวบรวมปริมาณการรับส่งข้อมูลสามารถถือเป็นเครือข่ายอิสระที่ประกอบด้วยอุปกรณ์การรวบรวมปริมาณการรับส่งข้อมูลและปรับใช้ควบคู่ไปกับเครือข่ายการผลิต เครือข่ายจะรวบรวมปริมาณการรับส่งข้อมูลภาพของอุปกรณ์เครือข่ายแต่ละเครื่องและรวบรวมปริมาณการรับส่งข้อมูลภาพตามระดับภูมิภาคและระดับสถาปัตยกรรม เครือข่ายจะใช้สัญญาณเตือนการแลกเปลี่ยนการกรองปริมาณการรับส่งข้อมูลในอุปกรณ์รับข้อมูลเพื่อให้เกิดความเร็วของข้อมูลแบบเต็มบรรทัดสำหรับการกรองตามเงื่อนไข 2-4 ชั้น โดยจะลบแพ็คเก็ตที่ซ้ำกัน การตัดทอนแพ็คเก็ต และการดำเนินการขั้นสูงอื่นๆ จากนั้นจึงส่งข้อมูลไปยังระบบวิเคราะห์ปริมาณการรับส่งข้อมูลแต่ละระบบ เครือข่ายการรวบรวมปริมาณการรับส่งข้อมูลสามารถส่งข้อมูลเฉพาะไปยังอุปกรณ์แต่ละเครื่องได้อย่างแม่นยำตามความต้องการข้อมูลของแต่ละระบบ และแก้ปัญหาที่ไม่สามารถกรองและส่งข้อมูลมิเรอร์แบบเดิมได้ ซึ่งจะใช้ประสิทธิภาพการประมวลผลของสวิตช์เครือข่าย ในเวลาเดียวกัน กลไกการกรองและการแลกเปลี่ยนปริมาณการรับส่งข้อมูลของเครือข่ายการรวบรวมปริมาณการรับส่งข้อมูลจะทำการกรองและส่งต่อข้อมูลด้วยความล่าช้าต่ำและความเร็วสูง ช่วยให้มั่นใจได้ถึงคุณภาพของข้อมูลที่รวบรวมโดยเครือข่ายการรวบรวมปริมาณการรับส่งข้อมูล และจัดเตรียมพื้นฐานข้อมูลที่ดีสำหรับอุปกรณ์วิเคราะห์ปริมาณการรับส่งข้อมูลที่ตามมา
เพื่อลดผลกระทบต่อลิงก์ดั้งเดิม โดยปกติแล้วจะได้รับสำเนาของการรับส่งข้อมูลดั้งเดิมโดยใช้วิธีการแยกลำแสง SPAN หรือ TAP
แท็ปเครือข่ายแบบพาสซีฟ (ตัวแยกสัญญาณออปติคอล)
วิธีการใช้การแยกแสงเพื่อรับสำเนาการรับส่งข้อมูลนั้นต้องใช้ความช่วยเหลือของอุปกรณ์แยกแสง อุปกรณ์แยกแสงเป็นอุปกรณ์ออปติกแบบพาสซีฟที่สามารถกระจายความเข้มของพลังงานของสัญญาณออปติกตามสัดส่วนที่ต้องการ อุปกรณ์แยกสามารถแบ่งแสงจาก 1 เป็น 2, 1 เป็น 4 และ 1 เป็นหลายช่องสัญญาณ เพื่อลดผลกระทบต่อลิงก์ดั้งเดิม ศูนย์ข้อมูลมักใช้อัตราส่วนการแยกแสง 80:20, 70:30 ซึ่ง 70,80 ของสัญญาณออปติกจะถูกส่งกลับไปยังลิงก์ดั้งเดิม ปัจจุบัน อุปกรณ์แยกแสงใช้กันอย่างแพร่หลายในการวิเคราะห์ประสิทธิภาพของเครือข่าย (NPM/APM) ระบบตรวจสอบ การวิเคราะห์พฤติกรรมของผู้ใช้ การตรวจจับการบุกรุกเครือข่าย และสถานการณ์อื่นๆ
ข้อดี:
1. อุปกรณ์ออปติคอลแบบพาสซีฟที่มีความน่าเชื่อถือสูง
2. ไม่ใช้พอร์ตสวิตช์ อุปกรณ์อิสระ ต่อมาสามารถขยายได้ดี
3. ไม่จำเป็นต้องปรับเปลี่ยนการกำหนดค่าสวิตช์ ไม่มีผลกระทบต่ออุปกรณ์อื่น
4. การรวบรวมปริมาณการรับส่งข้อมูลเต็มรูปแบบ ไม่มีการกรองแพ็กเก็ตสวิตช์ รวมถึงแพ็กเก็ตข้อผิดพลาด ฯลฯ
ข้อเสีย :
1. ความจำเป็นในการตัดการเชื่อมต่อเครือข่ายแบบง่าย การเสียบสายไฟเบอร์ของลิงก์แบ็คโบนและหมุนไปที่ตัวแยกสัญญาณออปติก จะลดพลังงานแสงของลิงก์แบ็คโบนบางส่วน
SPAN(พอร์ตมิเรอร์)
SPAN เป็นฟีเจอร์ที่มาพร้อมสวิตช์ ดังนั้นจึงต้องกำหนดค่าบนสวิตช์เท่านั้น อย่างไรก็ตาม ฟีเจอร์นี้จะส่งผลต่อประสิทธิภาพการทำงานของสวิตช์และทำให้สูญเสียแพ็กเก็ตเมื่อข้อมูลโอเวอร์โหลด
ข้อดี:
1. ไม่จำเป็นต้องเพิ่มอุปกรณ์เพิ่มเติม เพียงกำหนดค่าสวิตช์เพื่อเพิ่มพอร์ตเอาต์พุตการจำลองภาพที่สอดคล้องกัน
ข้อเสีย :
1. ยึดครองพอร์ตสวิตช์
2. จำเป็นต้องกำหนดค่าสวิตช์ ซึ่งเกี่ยวข้องกับการประสานงานร่วมกับผู้ผลิตบุคคลที่สาม ทำให้มีความเสี่ยงที่อาจเกิดความล้มเหลวของเครือข่ายเพิ่มขึ้น
3. การจำลองการรับส่งข้อมูลมิเรอร์มีผลกระทบต่อประสิทธิภาพของพอร์ตและสวิตช์
เครือข่ายที่ใช้งานอยู่ TAP (TAP Aggregator)
อุปกรณ์เครือข่าย TAP เป็นอุปกรณ์เครือข่ายภายนอกที่เปิดใช้งานการมิเรอร์พอร์ตและสร้างสำเนาของการรับส่งข้อมูลเพื่อใช้โดยอุปกรณ์ตรวจสอบต่างๆ อุปกรณ์เหล่านี้จะถูกนำเข้าไปยังตำแหน่งในเส้นทางเครือข่ายที่ต้องการตรวจสอบ จากนั้นอุปกรณ์จะคัดลอกแพ็กเก็ต IP ข้อมูลและส่งไปยังเครื่องมือตรวจสอบเครือข่าย การเลือกจุดเชื่อมต่อสำหรับอุปกรณ์เครือข่าย TAP ขึ้นอยู่กับจุดโฟกัสของการรับส่งข้อมูลเครือข่าย เช่น เหตุผลในการรวบรวมข้อมูล การตรวจสอบตามปกติของการวิเคราะห์และความล่าช้า การตรวจจับการบุกรุก เป็นต้น อุปกรณ์เครือข่าย TAP สามารถรวบรวมและมิเรอร์สตรีมข้อมูลด้วยอัตรา 1G สูงสุดถึง 100G
อุปกรณ์เหล่านี้สามารถเข้าถึงข้อมูลได้โดยที่อุปกรณ์ TAP ของเครือข่ายไม่ปรับเปลี่ยนการไหลของแพ็กเก็ตแต่อย่างใด โดยไม่คำนึงถึงอัตราข้อมูลของข้อมูล ซึ่งหมายความว่าข้อมูลของเครือข่ายจะไม่ถูกตรวจสอบและมิเรอร์พอร์ต ซึ่งเป็นสิ่งสำคัญในการรักษาความสมบูรณ์ของข้อมูลเมื่อส่งข้อมูลไปยังเครื่องมือรักษาความปลอดภัยและการวิเคราะห์
รับรองว่าอุปกรณ์ต่อพ่วงเครือข่ายจะตรวจสอบสำเนาการรับส่งข้อมูลเพื่อให้อุปกรณ์ TAP ของเครือข่ายทำหน้าที่เป็นผู้สังเกตการณ์ การส่งสำเนาข้อมูลของคุณไปยังอุปกรณ์ที่เชื่อมต่อใดๆ หรือทั้งหมด จะทำให้คุณมองเห็นจุดต่างๆ ในเครือข่ายได้อย่างสมบูรณ์ ในกรณีที่อุปกรณ์ TAP ของเครือข่ายหรืออุปกรณ์ตรวจสอบล้มเหลว คุณจะทราบว่าการรับส่งข้อมูลจะไม่ได้รับผลกระทบ ทำให้มั่นใจได้ว่าระบบปฏิบัติการจะยังคงปลอดภัยและพร้อมใช้งาน
ในเวลาเดียวกัน อุปกรณ์ TAP ของเครือข่ายก็กลายมาเป็นเป้าหมายโดยรวม สามารถเข้าถึงแพ็กเก็ตได้ตลอดเวลาโดยไม่รบกวนการรับส่งข้อมูลในเครือข่าย และโซลูชันการมองเห็นเหล่านี้ยังสามารถจัดการกับกรณีขั้นสูงได้อีกด้วย ความต้องการในการตรวจสอบเครื่องมือต่างๆ ตั้งแต่ไฟร์วอลล์รุ่นถัดไปไปจนถึงการป้องกันการรั่วไหลของข้อมูล การตรวจสอบประสิทธิภาพแอปพลิเคชัน SIEM การตรวจสอบทางนิติวิทยาศาสตร์ดิจิทัล IPS IDS และอื่นๆ บังคับให้อุปกรณ์ TAP ของเครือข่ายต้องพัฒนา
นอกเหนือจากการจัดทำสำเนาข้อมูลการรับส่งข้อมูลแบบสมบูรณ์และรักษาความพร้อมใช้งานแล้ว อุปกรณ์ TAP ยังสามารถทำสิ่งต่อไปนี้ได้
1. กรองแพ็คเก็ตเพื่อเพิ่มประสิทธิภาพการตรวจสอบเครือข่ายให้สูงสุด
เพียงเพราะอุปกรณ์ Network TAP สามารถสร้างสำเนาของแพ็กเก็ตได้ 100% ในบางจุดไม่ได้หมายความว่าเครื่องมือตรวจสอบและรักษาความปลอดภัยทุกตัวจะต้องเห็นข้อมูลทั้งหมด การสตรีมข้อมูลไปยังเครื่องมือตรวจสอบและรักษาความปลอดภัยเครือข่ายทั้งหมดแบบเรียลไทม์จะส่งผลให้เกิดการจัดลำดับข้อมูลมากเกินไป ส่งผลให้ประสิทธิภาพของเครื่องมือและเครือข่ายลดลงในกระบวนการ
การวางอุปกรณ์ Network TAP ที่เหมาะสมจะช่วยกรองแพ็คเก็ตเมื่อส่งไปยังเครื่องมือตรวจสอบ โดยกระจายข้อมูลที่ถูกต้องไปยังเครื่องมือที่เหมาะสม ตัวอย่างของเครื่องมือดังกล่าว ได้แก่ ระบบตรวจจับการบุกรุก (IDS), ระบบป้องกันการสูญเสียข้อมูล (DLP), การจัดการข้อมูลและเหตุการณ์ด้านความปลอดภัย (SIEM), การวิเคราะห์นิติเวช และอื่นๆ อีกมากมาย
2. รวบรวมลิงก์เพื่อเครือข่ายที่มีประสิทธิภาพ
เนื่องจากข้อกำหนดด้านการตรวจสอบและรักษาความปลอดภัยเครือข่ายเพิ่มมากขึ้น วิศวกรเครือข่ายจึงต้องหาวิธีใช้เงินงบประมาณด้านไอทีที่มีอยู่เพื่อทำงานให้สำเร็จมากขึ้น แต่ในบางครั้ง คุณไม่สามารถเพิ่มอุปกรณ์ใหม่ลงในสแต็กและเพิ่มความซับซ้อนของเครือข่ายได้ ดังนั้น การใช้เครื่องมือตรวจสอบและรักษาความปลอดภัยให้เกิดประโยชน์สูงสุดจึงเป็นสิ่งสำคัญ
อุปกรณ์ TAP เครือข่ายสามารถช่วยรวบรวมทราฟฟิกเครือข่ายหลายรายการ ทั้งขาเข้าและขาออก เพื่อส่งแพ็กเก็ตไปยังอุปกรณ์ที่เชื่อมต่อผ่านพอร์ตเดียว การใช้เครื่องมือตรวจสอบข้อมูลในลักษณะนี้จะช่วยลดจำนวนเครื่องมือตรวจสอบที่จำเป็น เนื่องจากทราฟฟิกข้อมูลตะวันออก-ตะวันตกยังคงเพิ่มขึ้นในศูนย์ข้อมูลและระหว่างศูนย์ข้อมูล ความต้องการอุปกรณ์ TAP เครือข่ายจึงมีความจำเป็นเพื่อรักษาการมองเห็นกระแสข้อมูลทุกมิติในข้อมูลปริมาณมาก
บทความที่เกี่ยวข้องที่คุณอาจสนใจกรุณาไปที่นี่:วิธีการดักจับข้อมูลเครือข่าย Network Tap กับ Port Mirror
เวลาโพสต์: 24 ต.ค. 2567
