Giám sát mạng với Hub, SPAN và TAP

Chủ nhật, 25 Tháng 11 2012 15:46   - Tầm nhìn mạng số 2

Nhằm phục vụ cho nhu cầu bảo mật và độ sẵn sàng cho hạ tầng IT, công ty/tổ chức của bạn đã quyết định đầu tư hệ thống phân tích và giám sát mạng. Để cho hệ thống này hoạt động tối ưu, bạn phải lựa chọn các phương pháp hỗ trợ “bắt gói” phù hợp.

Hệ thống mạng ngày càng mở rộng và phức tạp hơn, khiến các nhà quản trị luôn phải đối mặt với nhiều thách thức mới trong việc đảm bảo cho hệ thống hoạt động ổn định. Sự ra đời của các hệ thống quản lý và giám sát mạng, bao gồm các phần mềm và các thiết bị phần cứng, chính là một trong số các giải pháp để giải quyết thách thức đó. Tuy nhiên, câu hỏi là: "Làm thế nào để lấy được thông tin cần thiết cho hệ thống phân tích, giám sát? Có thể bạn sẽ nghĩ: "Đơn giản cứ kết nối thiết bị hay hệ thống phân tích vào hệ thống mạng thôi!". Nhưng điều này chỉ đúng cho các hệ thống mạng đã được xây dựng cách đây 30 năm. Đối với những hệ thống hiện đại ngày nay, việc kết nối các thiết bị phân tích, giám sát vào hệ thống mạng đã trở nên phức tạp hơn rất nhiều. Có ba phương pháp phổ biến được sử dụng trong các kết nối dạng này: Hub, SPAN (Switch Port Analyzer) và TAP (Test Access Point).

Hub

Hub là phương pháp truyền thống nhất để chia sẻ truy cập mạng, được phát triển trước thập niên 90– vào những buổi đầu của thế giới mạng. Hub hoạt động như sau: khi dữ liệu được nhận ở bất kỳ cổng nào, Hub sẽ gửi ngay lập tức toàn bộ chúng đến tất cả các cổng còn lại. Lợi dụng đặc điểm này, người ta lắp Hub vào giữa server và switch để lấy các thông tin cần thiết, chuyển đến thiết bị phân tích (tham khảo hình 1). Tuy nhiên, giải pháp này hiện tại rất hiếm khi được sử dụng.

Ưu điểm:

  • Giá thành thấp.
  • Dễ sử dụng.

Nhược điểm:

  • Hạn chế tốc độ truyền dữ liệu (Hub hoạt động ở chế độ Half-duplex).
  • Gây ra xung đột mạng (Collision).
  • Khi Hub gặp sự cố và không thể hoạt động, sẽ dẫn đến việc kết nối bị ngắt.

SPAN

Vào những năm 90, các thiết bị chuyển mạch (switch) được giới thiệu lần đầu tiên đã mở ra một thời kỳ mới trong lĩnh vực mạng máy tính. Switch chuyển các gói tin từ cổng này đến cổng khác dựa theo địa chỉ MAC, không như Hub chuyển đến tất cả các cổng còn lại. Phương pháp này mang lại nhiều ưu điểm, nhưng đồng thời cũng khiến hệ thống mạng phức tạp hơn, gây khó khăn cho việc kết nối các thiết bị phân tích, giám sát. Để khắc phục điều này, các nhà sản xuất đã phát triển một kỹ thuật gọi là SPAN. Kỹ thuật này cho phép ta cấu hình để switch tự động sao chép các gói tin qua lại giữa các cổng đến một cổng khác được gọi là cổng giám sát. Tuy nhiên, đa số các nhà sản xuất chỉ hỗ trợ tính năng SPAN cho một hoặc hai cổng giám sát, điều này làm giới hạn số lượng thiết bị phân tích (tham khảo hình 2).

Ưu điểm:

  • Tích hợp sẵn trên hầu hết các switch.
  • Không tốn phí triển khai.
  • Khả năng cấu hình từ xa.
  • Khả năng chuyển dữ liệu ở chế độ full-duplex.

Nhược điểm:

  • Chặn các lỗi của lớp vật lý.
  • Loại bỏ nhãn VLAN của gói tin, khiến việc phân tích VLAN trở nên khó khăn.
  • Mất một cổng trên switch.
  • Đa số các nhà sản xuất chỉ cung cấp khả năng cấu hình cho một hoặc hai cổng giám sát trên một thiết bị.
  • Việc cấu hình SPAN khá phức tạp, đòi hỏi chuyên môn cao, nếu không có chuyên môn có thể dễ gây ra lỗi hệ thống mạng.
  • Có thể xảy ra tình trạng mất gói khi cấu hình SPAN vì dữ liệu được gửi đến cổng giám sát cao hơn so với khả năng hỗ trợ của cổng.
  • Gây quá tải cho switch, ảnh hưởng đến hoạt động của hệ thống mạng.

TAP

TAP là thiết bị dùng để sao chép dữ liệu giữa hai điểm trên hệ thống mạng. Tất cả các gói tin được sao chép sẽ chuyển tiếp đến cổng giám sát, nơi các bộ phân tích, giám sát được kết nối. TAP là giải pháp tiên tiến nhất kết hợp các ưu điểm của Hub và SPAN, mang lại hiệu quả sử dụng cho người dùng. TAP kết nối trực tiếp vào hệ thống, chèn giữa hai thiết bị mạng (nên còn được gọi là TAP In-line), cũng đơn giản như cắm Hub vào hệ thống. Có 2 loại TAP In-line cơ bản trên thị trường:

  • TAP In-line truyền thống: cho phép chuyển dữ liệu từ hai chiều (Rx/Tx) của kết nối full-duplex ra hai cổng giám sát khác nhau (tham khảo hình 3). Thiết bị phân tích, giám sát phải kết hợp các dữ liệu lại với nhau thông qua hai cổng mạng và bộ định thời gian chung cho độ trễ các gói tin. Ưu điểm lớn nhất của loại TAP này là hỗ trợ tối đa việc truyền dữ liệu ở tốc độ cao và đảm bảo tính chính xác cho độ trễ các gói tin. Tuy nhiên, dòng sản phẩm này hạn chế ở chỗ: thiết bị phân tích giám sát phải có hai cổng mạng để có thể kết hợp các gói tin lại với nhau thông qua bộ định thời gian. Loại này thường được thiết kế cho đường trục giữa các switch hoặc giữa switch với router, nơi có lưu lượng dữ liệu lớn.
  • TAP In-line Aggregation: là loại TAP có khả năng kết hợp dữ liệu cả chiều Rx/Tx thành một luồng dữ liệu, sau đó xuất dữ liệu ra một cổng giám sát (tham khảo hình 4). Phương pháp này khắc phục được nhược điểm của TAP In-line truyền thống. Thiết bị phân tích giám sát có thể cho thấy cả hai chiều dữ liệu chỉ với một cổng mạng và vẫn duy trì chính xác độ trễ các gói tin. Tuy nhiên, loại TAP này lại không hỗ trợ tối đa cho các kết nối có tốc độ cao. Cụ thể, khi mức độ sử dụng (ultilization) của kết nối lớn hơn 50%, sẽ bắt đầu xuất hiện hiện tượng mất gói. Vì khi hai chiều dữ liệu kết hợp lại và được chuyển tiếp đến cổng giám sát, mức độ sử dụng sẽ lớn hơn 100% so với khả năng của cổng giám sát.

Ưu điểm:

  • Có khả năng chuyển tiếp được các lỗi ở lớp vật lý.
  • Không cần phải cấu hình
  • Hỗ trợ tối đa khả năng sao chép dữ liệu ở tốc độ cao với TAP In-line truyền thống.
  • Không ảnh hưởng đến hiệu suất của switch.
  • Dễ dàng kết nối vào hệ thống mạng plug-and-play.
  • Độ trễ giữa các gói được giữ nguyên, hỗ trợ cho quá trình phân tích gói.

Nhược điểm:

  • Kết nối bị ngắt khi thi công, lắp đặt.
  • Thiết bị phân tích phải có hai cổng mạng khi muốn phân tích đầy đủ hiệu suất của kết nối (loại TAP In-line truyền thống).

Kết luận

Để đảm bảo an ninh, chất lượng dịch vụ và các ứng dụng được hoạt động tối ưu, việc phân tích và giám sát hệ thống mạng cần được quan tâm và đầu tư đúng mức. Song hành với sự phát triển của các giải pháp phân tích và giám sát, việc kết nối chúng vào hệ thống mạng cũng có yêu cầu ngày càng cao. Qua các ưu nhược điểm của từng giải pháp đã phân tích ở trên, có thể thấy được quy luật của sự đánh đổi. Với giải pháp chi phí thấp như Hub, SPAN, chúng ta sẽ không khai thác được hết khả năng của hệ thống phân tích, giám sát. Áp dụng công nghệ tiên tiến như TAP In-line đồng nghĩa với việc phải chấp nhận chi phí cao hơn, nhưng sẽ giúp tối ưu hóa hiệu quả sử dụng của hệ thống phân tích giám sát, và mang lại cho chúng ta những ưu điểm mà không giải pháp nào có được.

Vũ Quang Minh
Theo Fluke Networks

DMCA.com Protection Status


Bài viết xem thêm