การแนะนำ
การรวบรวมและวิเคราะห์ทราฟฟิกเครือข่ายเป็นวิธีที่มีประสิทธิภาพสูงสุดในการรับตัวบ่งชี้และพารามิเตอร์พฤติกรรมผู้ใช้เครือข่ายโดยตรง ด้วยการพัฒนาอย่างต่อเนื่องของการดำเนินงานและการบำรุงรักษาศูนย์ข้อมูล Q การรวบรวมและวิเคราะห์ทราฟฟิกเครือข่ายจึงกลายเป็นส่วนสำคัญของโครงสร้างพื้นฐานศูนย์ข้อมูล จากการใช้งานในอุตสาหกรรมปัจจุบัน การรวบรวมทราฟฟิกเครือข่ายส่วนใหญ่ดำเนินการโดยอุปกรณ์เครือข่ายที่รองรับการบายพาสทราฟฟิกมิเรอร์ การรวบรวมทราฟฟิกจำเป็นต้องสร้างเครือข่ายการรวบรวมทราฟฟิกที่ครอบคลุม เหมาะสม และมีประสิทธิภาพ ซึ่งการรวบรวมทราฟฟิกดังกล่าวสามารถช่วยเพิ่มประสิทธิภาพของตัวบ่งชี้ประสิทธิภาพของเครือข่ายและธุรกิจ และลดโอกาสเกิดความล้มเหลว
เครือข่ายรวบรวมปริมาณการรับส่งข้อมูลสามารถถือเป็นเครือข่ายอิสระที่ประกอบด้วยอุปกรณ์รวบรวมปริมาณการรับส่งข้อมูลและนำไปใช้ควบคู่ไปกับเครือข่ายการผลิต เครือข่ายจะรวบรวมปริมาณการรับส่งข้อมูลภาพของแต่ละอุปกรณ์เครือข่ายและรวบรวมปริมาณการรับส่งข้อมูลภาพตามระดับภูมิภาคและระดับสถาปัตยกรรม เครือข่ายนี้ใช้สัญญาณเตือนการแลกเปลี่ยนการกรองปริมาณการรับส่งข้อมูลในอุปกรณ์รับข้อมูล เพื่อให้ทราบความเร็วเต็มสายของข้อมูลสำหรับการกรองแบบมีเงื่อนไข 2-4 ชั้น กำจัดแพ็กเก็ตที่ซ้ำกัน ตัดทอนแพ็กเก็ต และการดำเนินการขั้นสูงอื่นๆ จากนั้นจึงส่งข้อมูลไปยังระบบวิเคราะห์ปริมาณการรับส่งข้อมูลแต่ละระบบ เครือข่ายรวบรวมปริมาณการรับส่งข้อมูลสามารถส่งข้อมูลเฉพาะไปยังอุปกรณ์แต่ละเครื่องได้อย่างแม่นยำตามความต้องการข้อมูลของแต่ละระบบ และแก้ปัญหาที่ไม่สามารถกรองและส่งข้อมูลมิเรอร์แบบเดิมได้ ซึ่งกินประสิทธิภาพการประมวลผลของสวิตช์เครือข่าย ขณะเดียวกัน ระบบกรองและแลกเปลี่ยนปริมาณการรับส่งข้อมูลของเครือข่ายรวบรวมปริมาณการรับส่งข้อมูลยังทำให้การกรองและการส่งต่อข้อมูลมีความล่าช้าต่ำและความเร็วสูง ช่วยให้มั่นใจได้ถึงคุณภาพของข้อมูลที่รวบรวมโดยเครือข่ายรวบรวมปริมาณการรับส่งข้อมูล และเป็นพื้นฐานข้อมูลที่ดีสำหรับอุปกรณ์วิเคราะห์ปริมาณการรับส่งข้อมูลในลำดับต่อไป
เพื่อลดผลกระทบต่อลิงก์เดิม โดยทั่วไปจะมีการรับสำเนาการรับส่งข้อมูลเดิมโดยใช้การแยกลำแสง SPAN หรือ TAP
แท็ปเครือข่ายแบบพาสซีฟ (ตัวแยกสัญญาณออปติคอล)
วิธีการใช้อุปกรณ์แยกแสงเพื่อคัดลอกข้อมูลการจราจรจำเป็นต้องอาศัยอุปกรณ์แยกแสง อุปกรณ์แยกแสงเป็นอุปกรณ์ออปติคัลแบบพาสซีฟที่สามารถกระจายความเข้มของสัญญาณออปติคัลตามสัดส่วนที่ต้องการ ตัวแยกแสงสามารถแบ่งแสงจาก 1 เป็น 2, 1 เป็น 4 และ 1 เป็นหลายช่องสัญญาณ เพื่อลดผลกระทบต่อลิงก์เดิม ศูนย์ข้อมูลมักใช้อัตราส่วนการแยกแสง 80:20 และ 70:30 ซึ่งสัญญาณออปติคัล 70,80% จะถูกส่งกลับไปยังลิงก์เดิม ปัจจุบัน อุปกรณ์แยกแสงถูกนำมาใช้อย่างแพร่หลายในการวิเคราะห์ประสิทธิภาพเครือข่าย (NPM/APM) ระบบตรวจสอบ การวิเคราะห์พฤติกรรมผู้ใช้ การตรวจจับการบุกรุกเครือข่าย และสถานการณ์อื่นๆ
ข้อดี:
1. อุปกรณ์ออปติคอลแบบพาสซีฟที่มีความน่าเชื่อถือสูง
2. ไม่ใช้พอร์ตสวิตช์ อุปกรณ์อิสระ ขยายได้ดีในภายหลัง
3. ไม่จำเป็นต้องปรับเปลี่ยนการกำหนดค่าสวิตช์ ไม่มีผลกระทบต่ออุปกรณ์อื่น
4. การรวบรวมปริมาณการรับส่งข้อมูลแบบเต็มรูปแบบ ไม่มีการกรองแพ็กเก็ตสวิตช์ รวมถึงแพ็กเก็ตข้อผิดพลาด ฯลฯ
ข้อเสีย:
1. ความจำเป็นในการตัดการเชื่อมต่อเครือข่ายแบบง่าย การเสียบสายไฟเบอร์ลิงก์หลักและหมุนไปที่ตัวแยกแสง จะช่วยลดพลังงานแสงของลิงก์หลักบางส่วน
SPAN(พอร์ตมิเรอร์)
SPAN เป็นฟีเจอร์ที่มาพร้อมกับสวิตช์ ดังนั้นเพียงแค่กำหนดค่าบนสวิตช์ก็เพียงพอแล้ว อย่างไรก็ตาม ฟังก์ชันนี้จะส่งผลต่อประสิทธิภาพของสวิตช์และทำให้แพ็กเก็ตสูญหายเมื่อข้อมูลมีภาระเกิน
ข้อดี:
1. ไม่จำเป็นต้องเพิ่มอุปกรณ์เพิ่มเติม กำหนดค่าสวิตช์เพื่อเพิ่มพอร์ตเอาต์พุตการจำลองภาพที่สอดคล้องกัน
ข้อเสีย:
1. ยึดครองพอร์ตสวิตช์
2. จำเป็นต้องกำหนดค่าสวิตช์ ซึ่งเกี่ยวข้องกับการประสานงานร่วมกับผู้ผลิตบุคคลที่สาม เพิ่มความเสี่ยงที่อาจเกิดความล้มเหลวของเครือข่าย
3. การจำลองการรับส่งข้อมูลมิเรอร์มีผลกระทบต่อประสิทธิภาพของพอร์ตและสวิตช์
เครือข่ายที่ใช้งานอยู่ TAP (ตัวรวบรวม TAP)
Network TAP คืออุปกรณ์เครือข่ายภายนอกที่เปิดใช้งานการมิเรอร์พอร์ตและสร้างสำเนาของทราฟฟิกสำหรับใช้งานโดยอุปกรณ์ตรวจสอบต่างๆ อุปกรณ์เหล่านี้จะถูกติดตั้ง ณ ตำแหน่งบนเส้นทางเครือข่ายที่ต้องการตรวจสอบ และคัดลอกแพ็กเก็ต IP ข้อมูลและส่งไปยังเครื่องมือตรวจสอบเครือข่าย การเลือกจุดเชื่อมต่อสำหรับอุปกรณ์ Network TAP ขึ้นอยู่กับวัตถุประสงค์ของทราฟฟิกเครือข่าย เช่น เหตุผลในการรวบรวมข้อมูล การตรวจสอบการวิเคราะห์และความล่าช้าตามปกติ การตรวจจับการบุกรุก เป็นต้น อุปกรณ์ Network TAP สามารถรวบรวมและมิเรอร์สตรีมข้อมูลที่อัตรา 1G สูงสุด 100G
อุปกรณ์เหล่านี้เข้าถึงทราฟฟิกได้โดยที่อุปกรณ์ TAP ของเครือข่ายไม่ได้ปรับเปลี่ยนการไหลของแพ็กเก็ตแต่อย่างใด โดยไม่คำนึงถึงอัตราทราฟฟิกข้อมูล ซึ่งหมายความว่าทราฟฟิกเครือข่ายจะไม่ถูกตรวจสอบและมิเรอร์พอร์ต ซึ่งเป็นสิ่งสำคัญในการรักษาความสมบูรณ์ของข้อมูลเมื่อส่งต่อไปยังเครื่องมือรักษาความปลอดภัยและเครื่องมือวิเคราะห์
ระบบนี้ช่วยให้มั่นใจได้ว่าอุปกรณ์ต่อพ่วงเครือข่ายจะตรวจสอบสำเนาข้อมูลการรับส่งข้อมูล เพื่อให้อุปกรณ์ TAP ของเครือข่ายทำหน้าที่เป็นผู้สังเกตการณ์ การส่งข้อมูลของคุณไปยังอุปกรณ์ที่เชื่อมต่อใดๆ/ทั้งหมด จะช่วยให้คุณมองเห็นข้อมูลได้อย่างชัดเจน ณ จุดเครือข่าย ในกรณีที่อุปกรณ์ TAP หรืออุปกรณ์ตรวจสอบเครือข่ายขัดข้อง คุณจะมั่นใจได้ว่าการรับส่งข้อมูลจะไม่ได้รับผลกระทบ ทำให้มั่นใจได้ว่าระบบปฏิบัติการจะยังคงปลอดภัยและพร้อมใช้งาน
ในขณะเดียวกัน ก็กลายเป็นเป้าหมายโดยรวมของอุปกรณ์ TAP เครือข่าย สามารถเข้าถึงแพ็กเก็ตได้ตลอดเวลาโดยไม่รบกวนการรับส่งข้อมูลในเครือข่าย และโซลูชันการมองเห็นเหล่านี้ยังสามารถจัดการกับกรณีที่ซับซ้อนยิ่งขึ้นได้อีกด้วย ความต้องการในการตรวจสอบของเครื่องมือต่างๆ ตั้งแต่ไฟร์วอลล์รุ่นใหม่ไปจนถึงการป้องกันการรั่วไหลของข้อมูล การตรวจสอบประสิทธิภาพแอปพลิเคชัน SIEM การตรวจสอบทางนิติวิทยาศาสตร์ดิจิทัล IPS IDS และอื่นๆ ล้วนผลักดันให้อุปกรณ์ TAP เครือข่ายต้องพัฒนาอย่างต่อเนื่อง
นอกเหนือจากการจัดทำสำเนาข้อมูลการรับส่งข้อมูลที่สมบูรณ์และรักษาความพร้อมใช้งานแล้ว อุปกรณ์ TAP ยังสามารถทำสิ่งต่อไปนี้ได้
1. กรองแพ็กเก็ตเพื่อเพิ่มประสิทธิภาพการตรวจสอบเครือข่ายให้สูงสุด
เพียงเพราะอุปกรณ์ Network TAP สามารถสร้างสำเนาของแพ็กเก็ตได้ 100% ณ จุดใดจุดหนึ่ง ไม่ได้หมายความว่าเครื่องมือตรวจสอบและรักษาความปลอดภัยทุกตัวจะต้องเห็นข้อมูลทั้งหมด การสตรีมข้อมูลไปยังเครื่องมือตรวจสอบและรักษาความปลอดภัยเครือข่ายทั้งหมดแบบเรียลไทม์จะส่งผลให้เกิดการจัดลำดับข้อมูลมากเกินไป ซึ่งจะส่งผลเสียต่อประสิทธิภาพของเครื่องมือและเครือข่ายในกระบวนการนี้
การวางอุปกรณ์ Network TAP ที่เหมาะสมจะช่วยกรองแพ็กเก็ตเมื่อส่งไปยังเครื่องมือตรวจสอบ และกระจายข้อมูลที่ถูกต้องไปยังเครื่องมือที่เหมาะสม ตัวอย่างของเครื่องมือเหล่านี้ ได้แก่ ระบบตรวจจับการบุกรุก (IDS), ระบบป้องกันข้อมูลสูญหาย (DLP), ระบบจัดการข้อมูลและเหตุการณ์ด้านความปลอดภัย (SIEM), การวิเคราะห์ทางนิติวิทยาศาสตร์ และอื่นๆ อีกมากมาย
2. รวบรวมลิงก์เพื่อเครือข่ายที่มีประสิทธิภาพ
เนื่องจากข้อกำหนดด้านการตรวจสอบเครือข่ายและความปลอดภัยมีมากขึ้น วิศวกรเครือข่ายจึงต้องหาวิธีใช้งบประมาณไอทีที่มีอยู่เพื่อทำงานให้สำเร็จมากขึ้น แต่ในบางจุด คุณไม่สามารถเพิ่มอุปกรณ์ใหม่ๆ ลงในสแต็กและเพิ่มความซับซ้อนให้กับเครือข่ายได้ การใช้ประโยชน์จากเครื่องมือตรวจสอบและความปลอดภัยให้เกิดประโยชน์สูงสุดจึงเป็นสิ่งสำคัญ
อุปกรณ์ Network TAP สามารถช่วยรวบรวมทราฟฟิกเครือข่ายหลายรายการ ทั้งฝั่งตะวันออกและตะวันตก เพื่อส่งแพ็กเก็ตไปยังอุปกรณ์ที่เชื่อมต่อผ่านพอร์ตเดียว การติดตั้งเครื่องมือตรวจสอบสถานะในลักษณะนี้จะช่วยลดจำนวนเครื่องมือตรวจสอบสถานะที่จำเป็น เนื่องจากทราฟฟิกข้อมูลตะวันออก-ตะวันตกยังคงเติบโตอย่างต่อเนื่องในศูนย์ข้อมูลและระหว่างศูนย์ข้อมูล ความต้องการอุปกรณ์ Network TAP จึงมีความสำคัญอย่างยิ่งต่อการรักษาระดับการมองเห็นกระแสข้อมูลทุกมิติในข้อมูลปริมาณมาก
บทความที่เกี่ยวข้องที่คุณอาจสนใจโปรดไปที่นี่:วิธีการบันทึกข้อมูลการรับส่งข้อมูลเครือข่าย Network Tap เทียบกับ Port Mirror
เวลาโพสต์: 24 ต.ค. 2567
