소개
네트워크 트래픽 수집 및 분석은 네트워크 사용자 행동 지표와 매개변수를 직접 파악하는 가장 효과적인 방법입니다. 데이터센터 운영 및 유지보수 품질이 지속적으로 향상됨에 따라 네트워크 트래픽 수집 및 분석은 데이터센터 인프라의 필수적인 요소가 되었습니다. 현재 업계에서는 주로 바이패스 트래픽 미러링을 지원하는 네트워크 장비를 통해 네트워크 트래픽을 수집하고 있습니다. 트래픽 수집을 위해서는 포괄적이고 합리적이며 효율적인 트래픽 수집 네트워크를 구축해야 하며, 이를 통해 네트워크 및 비즈니스 성과 지표를 최적화하고 장애 발생 가능성을 줄일 수 있습니다.
트래픽 수집 네트워크는 운영 네트워크와 병렬로 구축된 트래픽 수집 장치들로 구성된 독립적인 네트워크로 볼 수 있습니다. 이 네트워크는 각 네트워크 장치의 영상 트래픽을 수집하고 지역 및 아키텍처 수준에 따라 영상 트래픽을 집계합니다. 트래픽 수집 장비의 트래픽 필터링 및 교환 알람 기능을 활용하여 2~4단계 조건 필터링, 중복 패킷 제거, 패킷 잘라내기 등의 고급 기능을 구현하고, 이를 통해 데이터의 최대 회선 속도를 유지하면서 각 트래픽 분석 시스템으로 데이터를 전송합니다. 트래픽 수집 네트워크는 각 시스템의 데이터 요구 사항에 따라 각 장치에 정확하고 구체적인 데이터를 전송함으로써, 기존 미러링 방식에서 필터링 및 전송이 불가능하여 네트워크 스위치의 처리 성능을 저하시키던 문제를 해결합니다. 동시에, 트래픽 수집 네트워크의 트래픽 필터링 및 교환 엔진은 저지연 고속 데이터 필터링 및 전송을 실현하여 트래픽 수집 네트워크에서 수집된 데이터의 품질을 보장하고, 후속 트래픽 분석 장비에 안정적인 데이터 기반을 제공합니다.
기존 링크에 미치는 영향을 줄이기 위해 일반적으로 빔 분할, SPAN 또는 TAP를 통해 원래 트래픽의 복사본을 얻습니다.
광 분할을 이용하여 트래픽 복사본을 얻는 방식에는 광 분할기 장치가 필요합니다. 광 분할기는 필요한 비율에 따라 광 신호의 전력 강도를 재분배할 수 있는 수동 광 장치입니다. 분할기는 광 신호를 1개에서 2개, 1개에서 4개, 또는 1개에서 여러 개 채널로 분할할 수 있습니다. 기존 링크에 미치는 영향을 최소화하기 위해 데이터 센터에서는 일반적으로 80:20, 70:30과 같은 광 분할 비율을 사용하며, 이 경우 광 신호의 70% 또는 80%가 기존 링크로 되돌아갑니다. 현재 광 분할기는 네트워크 성능 분석(NPM/APM), 감사 시스템, 사용자 행동 분석, 네트워크 침입 탐지 등 다양한 시나리오에서 널리 사용되고 있습니다.
장점:
1. 높은 신뢰성을 갖춘 수동 광학 장치;
2. 스위치 포트를 차지하지 않고, 독립적인 장비이므로 향후 확장이 용이합니다.
3. 스위치 설정을 변경할 필요가 없으며, 다른 장비에 영향을 미치지 않습니다.
4. 스위치 패킷 필터링 없이 오류 패킷 등을 포함한 모든 트래픽을 수집합니다.
단점:
1. 간단한 네트워크 전환, 백본 링크 광섬유 플러그 및 광 분배기 연결의 필요성으로 인해 일부 백본 링크의 광 출력이 감소될 수 있습니다.
SPAN(포트 미러링)
SPAN은 스위치 자체에 내장된 기능이므로 스위치에서 별도로 설정하기만 하면 됩니다. 하지만 이 기능은 스위치의 성능에 영향을 미치고 데이터 과부하 시 패킷 손실을 유발할 수 있습니다.
장점:
1. 추가 장비를 설치할 필요 없이, 스위치에서 해당 이미지 복제 출력 포트를 추가하도록 구성하면 됩니다.
단점:
1. 스위치 포트를 사용하십시오.
2. 스위치를 구성해야 하는데, 이 과정에는 제3자 제조업체와의 공동 조정이 필요하므로 네트워크 장애 발생 위험이 높아집니다.
3. 미러링 트래픽 복제는 포트 및 스위치 성능에 영향을 미칩니다.
액티브 네트워크 TAP(TAP 애그리게이터)
네트워크 TAP은 포트 미러링을 지원하고 다양한 모니터링 장치에서 사용할 수 있도록 트래픽 복사본을 생성하는 외부 네트워크 장치입니다. 이 장치는 모니터링이 필요한 네트워크 경로의 특정 지점에 설치되어 IP 데이터 패킷을 복사하고 네트워크 모니터링 도구로 전송합니다. 네트워크 TAP 장치의 액세스 포인트 선택은 데이터 수집, 분석 및 지연 시간의 정기 모니터링, 침입 탐지 등 네트워크 트래픽 모니터링의 목적에 따라 달라집니다. 네트워크 TAP 장치는 1Gbps에서 최대 100Gbps에 이르는 데이터 스트림을 수집하고 미러링할 수 있습니다.
이러한 장치는 데이터 트래픽 속도와 관계없이 네트워크 TAP 장치가 패킷 흐름을 어떤 방식으로든 수정하지 않고 트래픽에 액세스합니다. 즉, 네트워크 트래픽은 모니터링 및 포트 미러링의 대상이 되지 않으므로 보안 및 분석 도구로 데이터를 라우팅할 때 데이터 무결성을 유지하는 데 필수적입니다.
이 시스템은 네트워크 주변 장치가 트래픽 복사본을 모니터링하도록 하여 네트워크 TAP 장치가 관찰자 역할을 하도록 합니다. 연결된 모든 장치에 데이터 복사본을 전송함으로써 네트워크 지점에서 완벽한 가시성을 확보할 수 있습니다. 네트워크 TAP 장치 또는 모니터링 장치에 장애가 발생하더라도 트래픽에는 영향을 미치지 않으므로 운영 체제의 안전성과 가용성을 보장할 수 있습니다.
동시에 이는 네트워크 TAP 장치의 전반적인 목표가 됩니다. 네트워크 트래픽을 중단하지 않고도 패킷에 항상 접근할 수 있으며, 이러한 가시성 솔루션은 더욱 고급 사례에도 대응할 수 있습니다. 차세대 방화벽부터 데이터 유출 방지, 애플리케이션 성능 모니터링, SIEM, 디지털 포렌식, IPS, IDS 등 다양한 도구의 모니터링 요구 사항으로 인해 네트워크 TAP 장치의 발전이 불가피해졌습니다.
TAP 장치는 트래픽의 전체 사본을 제공하고 가용성을 유지하는 것 외에도 다음과 같은 기능을 제공할 수 있습니다.
1. 패킷 필터링을 통해 네트워크 모니터링 성능을 극대화하세요
네트워크 탭 장치가 패킷의 100% 복사본을 만들 수 있다고 해서 모든 모니터링 및 보안 도구가 패킷 전체를 볼 필요가 있는 것은 아닙니다. 모든 네트워크 모니터링 및 보안 도구에 실시간으로 트래픽을 스트리밍하면 처리 순서가 과다해져 도구와 네트워크 성능 모두에 악영향을 미칠 뿐입니다.
적절한 네트워크 TAP 장치를 배치하면 모니터링 도구로 전송되는 패킷을 필터링하여 올바른 데이터를 올바른 도구로 전달할 수 있습니다. 이러한 도구에는 침입 탐지 시스템(IDS), 데이터 손실 방지(DLP), 보안 정보 및 이벤트 관리(SIEM), 포렌식 분석 등이 있습니다.
2. 효율적인 네트워킹을 위한 링크 통합
네트워크 모니터링 및 보안 요구 사항이 증가함에 따라 네트워크 엔지니어는 기존 IT 예산을 활용하여 더 많은 작업을 수행할 방법을 찾아야 합니다. 하지만 어느 시점에 이르면 네트워크에 새로운 장치를 계속 추가하고 복잡성을 높이는 것은 한계가 있습니다. 따라서 모니터링 및 보안 도구를 최대한 활용하는 것이 필수적입니다.
네트워크 TAP 장치는 동서 방향의 여러 네트워크 트래픽을 통합하여 단일 포트를 통해 연결된 장치로 패킷을 전송하는 데 도움을 줄 수 있습니다. 이러한 방식으로 가시성 도구를 배포하면 필요한 모니터링 도구의 수를 줄일 수 있습니다. 데이터 센터 내부 및 데이터 센터 간의 동서 데이터 트래픽이 지속적으로 증가함에 따라 대용량 데이터의 모든 차원적 흐름을 가시적으로 유지하기 위해서는 네트워크 TAP 장치가 필수적입니다.
관련 기사에 관심이 있으실 수도 있습니다. 여기를 방문해 보세요.네트워크 트래픽을 캡처하는 방법은 무엇일까요? 네트워크 탭과 포트 미러링의 차이점은 무엇일까요?
게시 시간: 2024년 10월 24일
