目录
引言
网络流量采集分析是获得第一手网络用户行为指标和参数的最有效手段。随着数据中心运维精细化要求不断提高,网络流量采集分析已经成为数据中心基础设施不可缺少的一部分。从目前行业使用来看,网络流量采集大多利用网络设备支持旁路流量镜像的方式实现,流量采集需要建立一个覆盖全面、合理有效的流量采集网络,这样的流量采集才能有助于优化网络和业务性能指标,减少故障发生概率。
流量采集网络可以看作是一张由流量采集设备组成的,与生产网络平行部署的独立网络,它将各个网络设备的镜像流量进行采集并按照区域和架构层次将镜像流量进行汇聚,利用流量采集设备所具有的流量过滤交换引擎实现全线速对数据进行2-4层的条件过滤和去除重复包、截短数据包等高级功能操作处理,然后将数据发送至各个流量分析系统。流量采集网络可以实现按照各系统对数据要求将特定数据精准地发送至各设备,解决了传统镜像数据无法过滤发送而消耗网络交换机处理性能问题。同时流量采集网络所具有的流量过滤交换引擎,实现了低延时、高速度对数据进行过滤和转发,保证了流量采集网络的采集数据质量,为后续各流量分析设备提供了良好的数据基础。
为了降低对原链路的影响,通常采用分光、SPAN或TAP等方式来获得原始流量的一份拷贝。
分光器
采用分光获得流量拷贝的方式需要借助分光器设备,分光器是一种无源光器件,可对光信号的功率强度按照需要的比例进行再分配。分光器可进行1分2,1分4以及1分多路的分光。分光比也可以按需灵活定制,满足多种应用需求,数据中心为了减少对原链路的影响,通常采用80:20,70:30的分光比,其中70,80比例的光信号送回原链路。目前,光纤分光器广泛应用于网络性能分析(NPM/APM)、审计系统、用户行为分析、网络入侵检测等多种场景。
优点:
- 可靠性高,无源光器件;
- 不占用交换机端口,独立设备,后续可叠加扩容;
- 无需修改交换机配置,对其它设备无影响;
- 全流量采集,无交换机报文过滤,包括错包等。
缺点:
1. 需要简单地网络割接,将主干链路光纤插拨到分光器上,会降低一些主干链路的光功率。
SPAN
SPAN 是交换机本身就提供的一种功能,所以只要在交换机上进行配置就可以了。但是这一功能会影响交换机的性能,当数据过载时还会造成数据包的丢失,除此之外,一般的设备只有两个SPAN口,无法同时满足多个需求。
优点:
- 不需要增加另外设备,配置交换机增加相应的镜像复制输出端口即可
缺点:
- 占用交换机端口
- 需要对交换机做配置,中间涉及到与第三方厂商的联调配合,增加网络故障潜在风险
- 镜像流量复制会对端口以及交换机的性能造成影响。
网络分流器(TAP)
网络TAP是一种外部网络设备,可启用端口镜像并创建流量副本,以供各种监视设备使用。这些设备是在需要观察的网络路径中的某个位置引入,它会复制数据IP数据包并将其发送到网络监视工具。选择网络TAP设备的接入点取决于网络流量的重点关注-数据收集原因,分析和延迟的常规监视,入侵检测等。网络TAP设备可以收集和镜像1 G速率的数据流,最高可达100G。
这些设备接入流量时,网络TAP设备不会以任何方式修改数据包流,无论数据流量速率如何。这意味着网络流量不受监视和端口镜像的影响,这对于在将数据路由到安全和分析工具时维护数据的完整性至关重要。
可确保对网络外部设备对流量副本进行监视,从而使网络TAP设备充当观察者。通过将数据副本馈送到任何/所有连接的设备,您可以在网络点获得完全的可见性。在网络TAP设备或监视设备发生故障的情况下,您知道流量将不受影响,从而确保操作系统保持安全和可用。
同时成为网络TAP设备的总体目标。始终可以提供对数据包的访问,而不会中断网络中的流量,这些可见性解决方案也可以解决更高级的情况。从下一代防火墙到数据泄漏保护,应用程序性能监视,SIEM,数字取证,IPS,IDS等更多工具的监控需求,迫使网络TAP设备不断发展。
除了提供完整的流量副本并保持可用性之外,TAP设备还可以提供如下功能。
1、过滤数据包以最大化网络监控性能
仅仅因为网络TAP设备可以在某个时刻创建100%的数据包副本,并不意味着每个监视和安全工具都需要查看全部内容。将流量实时流式传输到所有网络监视和安全工具只会导致超额订购,从而在此过程中损害工具和网络的性能。
放置正确的网络TAP设备可以在路由到监视工具时帮助过滤数据包,将正确的数据分发到正确的工具。这种工具的示例包括入侵检测系统(IDS),数据丢失预防(DLP),安全信息和事件管理(SIEM),取证分析等等。
2、聚合链接以实现高效联网
随着网络监控和安全需求的增加,网络工程师必须找到利用现有IT预算完成更多任务的方法。但是在某个时候,您无法继续向堆栈中添加新设备并增加网络的复杂性。最大限度地利用监视和安全工具至关重要。
网络TAP设备可以通过聚合多个网络流量(东行和西行),通过单个端口将数据包发送到连接的设备来提供帮助。通过这种方式部署可见性工具将减少所需的监视工具的数量。随着数据中心以及数据中心之间的东西方数据流量不断增长,对网络TAP设备的要求对于保持跨大容量数据的所有维度流的可见性至关重要。