Giám sát mạng với HUB, SPAN port và TAP
Hệ thống mạng ngày càng được mở rộng và phức tạp, vì vậy việc đảm bảo cho hệ thống hoạt động ổn định luôn là mối quan tâm hàng đầu của các nhà quản trị. Các giải pháp quản lý và giám sát mạng ra đời bao gồm các phần mềm và các thiết bị phần cứng. Tuy nhiên thách thức đặt ra là làm thế nào bạn có thể kết nối các thiết bị này vào hệ thống mạng và lấy được các thông tin cần thiết để phân tích, giám sát. Có thể bạn sẽ nghĩ “Đơn giản chỉ là kết nối thiết bị hay hệ thống phân tích vào hệ thống mạng!”, điều này đúng với các hệ thống mạng được xây dưng cách đây 30 năm. Đối với các hệ thống này nay, việc kết nối các thiết bị phân tích, giám sát vào hệ thống mạng đã trở nên phức tạp hơn rất nhiều. Thông thường, ba phương pháp phổ biến được sử dụng trong các kết nối dạng này là: Hub, SPAN port hoặc TAP.
Hub
Hub là phương pháp truyền thống nhất để chia sẻ truy cập mạng, được pháp triển trước thập niên 90, vào những buổi đầu của thế giới mạng. Hub hoạt động như sau: khi dữ liệu được nhận ở bất kỳ cổng nào trên Hub thì ngay lập tức Hub sẽ gửi tất cả các dữ liệu này đến tất cả các cổng còn lại. Vì vậy, chúng ta có thể lắp Hub vào giữa server và switch để có thể lấy được các thông tin cần thiết chuyển đến thiết bị phân tích.
Ưu điểm:- Giá thành thấp.
- Dễ dàng sữ dụng.
- Dễ dàng sữ dụng.
Khuyết điểm:
- Hạn chế tốc độ truyền dữ liệu (Hub hoạt động ở chế độ half duplex).
- Gây ra xung đột mạng (collision).
- Khi Hub bị sự cố, không thể hoạt động sẽ dẫn đến việc kết nối bị ngắt.
- Hạn chế tốc độ truyền dữ liệu (Hub hoạt động ở chế độ half duplex).
- Gây ra xung đột mạng (collision).
- Khi Hub bị sự cố, không thể hoạt động sẽ dẫn đến việc kết nối bị ngắt.
SPAN port
Vào những năm 90, khi các thiết bị chuyển mạch (switch) được giới thiệu lần đầu tiên, mở ra một thời kỳ mới của mạng máy tính. Switch chuyển các gói tin từ cổng này đến cổng khác dựa theo địa chỉ MAC, không như Hub chuyển đến tất cả các cổng còn lại. Điều này mang lại nhiều ưu điểm đồng thời làm hệ thống mạng phức tạp hơn và gây khó khăn cho việc kết nối các thiết bị phân tích, giám sát. Để khắc phục điều này, các nhà sản xuất đã phát triển một kỹ thuật được gọi là SPAN port. Kỹ thuật này cho phép ta cấu hình để switch tự động sao chép các gói tin qua lại giữa các cổng đến một cổng được gọi là cổng giám sát (monitor port). Tuy nhiên, đa số các hãng sản xuất chỉ hỗ trợ cho một hoặc hai cổng giám sát cho tính năng SPAN port, điều đó làm giới hạn số lượng thiết bị phân tích.
Vào những năm 90, khi các thiết bị chuyển mạch (switch) được giới thiệu lần đầu tiên, mở ra một thời kỳ mới của mạng máy tính. Switch chuyển các gói tin từ cổng này đến cổng khác dựa theo địa chỉ MAC, không như Hub chuyển đến tất cả các cổng còn lại. Điều này mang lại nhiều ưu điểm đồng thời làm hệ thống mạng phức tạp hơn và gây khó khăn cho việc kết nối các thiết bị phân tích, giám sát. Để khắc phục điều này, các nhà sản xuất đã phát triển một kỹ thuật được gọi là SPAN port. Kỹ thuật này cho phép ta cấu hình để switch tự động sao chép các gói tin qua lại giữa các cổng đến một cổng được gọi là cổng giám sát (monitor port). Tuy nhiên, đa số các hãng sản xuất chỉ hỗ trợ cho một hoặc hai cổng giám sát cho tính năng SPAN port, điều đó làm giới hạn số lượng thiết bị phân tích.
Ưu điểm:- Tích hợp sẵn trên hầu hết các switch.
- Không tốn chi phí triển khai.
- Có khả năng cấu hình từ xa.
- Có khả năng chuyển dữ liệu ở chế độ full duplex.
Khuyết điểm:- Chặn các lỗi của tầng vật lý.
- Loại bỏ nhãn VLAN của gói tin, làm cho việc phân tích VLAN trở nên khó khăn.
- Tiêu tốn một port trên switch.
- Một số nhà sản xuất chỉ cung cấp khả năng cấu hình cho một hoặc hai cổng giám sát.
- Việc cấu hình SPAN port khá phức tạp đòi hỏi chuyên môn cao, nếu không có thể dễ tới lỗi hệ thống mạng.
- Có thể xảy ra tình trạng mất gói khi cấu hình SPAN port vì dữ liệu được gửi đến cổng giám sát cao hơn so với khả năng hỗ trợ của cổng.
- Gây quá tải cho switch, ảnh hưởng đến hoạt động của mạng.
- Không tốn chi phí triển khai.
- Có khả năng cấu hình từ xa.
- Có khả năng chuyển dữ liệu ở chế độ full duplex.
Khuyết điểm:- Chặn các lỗi của tầng vật lý.
- Loại bỏ nhãn VLAN của gói tin, làm cho việc phân tích VLAN trở nên khó khăn.
- Tiêu tốn một port trên switch.
- Một số nhà sản xuất chỉ cung cấp khả năng cấu hình cho một hoặc hai cổng giám sát.
- Việc cấu hình SPAN port khá phức tạp đòi hỏi chuyên môn cao, nếu không có thể dễ tới lỗi hệ thống mạng.
- Có thể xảy ra tình trạng mất gói khi cấu hình SPAN port vì dữ liệu được gửi đến cổng giám sát cao hơn so với khả năng hỗ trợ của cổng.
- Gây quá tải cho switch, ảnh hưởng đến hoạt động của mạng.
TAP
TAP (Test Access Point) là thiết bị đươc dùng để sao chép dữ liệu giữa hai điểm trên hệ thống mạng. Tất cả các gói tin được sao chép sẽ chuyển tiếp đến cổng giám sát nơi các bộ phân tích, giám sát được kết nối vào.
TAP là giải pháp tiên tiến nhất, kết hợp các ưu điểm của Hub và SPAN port, mang lại hiệu quả sử dụng cho người dùng. TAP kết nối trực tiếp vào hệ thống mạng, chèn giữa hai thiết bị mạng (nên còn được gọi là TAP In-line), đơn giản như việc cắm Hub vào hệ thống mạng.
Có 2 loại TAP In-line cơ bản trên thị trường:
- TAP In-line truyền thống: chuyển dữ liệu từ hai chiều (Rx và Tx) của kết nối full duplex ra hai cổng giám sát khác nhau. Thiết bị phân tích, giám sát phải kết hợp các dữ liệu lại với nhau thông qua hai cổng mạng và bộ định thời gian chung cho độ trễ gói tin. Ưu điểm lớn nhất của loại TAP này là hỗ trợ tối đa việc truyền dữ liệu ở tốc độ cao và đảm bảo tính chính xác của độ trễ các gói tin. Tuy nhiên giới hạn của dòng sản phẩm này là thiết bị phân tích giám sát phải có hai cổng mạng để có thể kết hợp các gói tin lại với nhau thông qua bộ định thời gian. Hầu hết loại này thường được thiết kế cho đường trunk giữa các switch hoặc giữa switch với router, nơi có lưu lượng dữ liệu lớn.
- TAP In-line truyền thống: chuyển dữ liệu từ hai chiều (Rx và Tx) của kết nối full duplex ra hai cổng giám sát khác nhau. Thiết bị phân tích, giám sát phải kết hợp các dữ liệu lại với nhau thông qua hai cổng mạng và bộ định thời gian chung cho độ trễ gói tin. Ưu điểm lớn nhất của loại TAP này là hỗ trợ tối đa việc truyền dữ liệu ở tốc độ cao và đảm bảo tính chính xác của độ trễ các gói tin. Tuy nhiên giới hạn của dòng sản phẩm này là thiết bị phân tích giám sát phải có hai cổng mạng để có thể kết hợp các gói tin lại với nhau thông qua bộ định thời gian. Hầu hết loại này thường được thiết kế cho đường trunk giữa các switch hoặc giữa switch với router, nơi có lưu lượng dữ liệu lớn.
- TAP In-line Aggregation: là loại TAP có khả năng kết hợp dữ liệu cả chiều Rx/Tx thành một luồng dữ liệu, sau đó xuất dữ liệu ra một cổng giám sát. Điều này khắc phục được nhược điểm của TAP In-line truyền thống. Có nghĩa là thiết bị phân tích giám sát có thể thấy được cả hai chiều dữ liệu chỉ với một cổng mạng và vẫn duy trì chính xác độ trễ các gói tin.Tuy nhiên song song với ưu điểm đó, loại TAP này lại không có khả năng hỗ trợ tối đa cho các các kết nối có tốc độ cao. Cụ thể là khi mức độ sử dụng (ultilization) của kết nối lớn hơn 50% thì bắt đầu xuất hiện hiện tượng mất gói. Vì khi đó, hai chiều dữ liệu kết hợp lại và được chuyển tiếp đến cổng giám sát sẽ có mức độ sử dụng lớn hơn 100% so với khả năng của cổng giám sát.
Ưu điểm:
- Có khả năng chuyển tiếp được các lỗi tầng vật lý.
- Không cần phải cấu hình.
- Hỗ trợ tối đa khả năng sao chép dữ liệu ở tốc độ cao với TAP in-line truyền thống.
- Không ảnh hưởng đến hiệu suất của switch.
- Dễ dàng kết nối vào hệ thống mạng, chỉ đơn giản là cắm và chạy.
- Độ trễ giữa các gói được giữ nguyên, hỗ trợ cho quá trình phân tích gói.
Nhược điểm:
- Kết nối bị ngắt khi thi công, lắp đặt.
- Thiết bị phân tích phải có hai cổng mạng khi muốn phân tích đầy đủ hiệu suất của kết nối (loại TAP In-line truyền thống).
- Có khả năng chuyển tiếp được các lỗi tầng vật lý.
- Không cần phải cấu hình.
- Hỗ trợ tối đa khả năng sao chép dữ liệu ở tốc độ cao với TAP in-line truyền thống.
- Không ảnh hưởng đến hiệu suất của switch.
- Dễ dàng kết nối vào hệ thống mạng, chỉ đơn giản là cắm và chạy.
- Độ trễ giữa các gói được giữ nguyên, hỗ trợ cho quá trình phân tích gói.
Nhược điểm:
- Kết nối bị ngắt khi thi công, lắp đặt.
- Thiết bị phân tích phải có hai cổng mạng khi muốn phân tích đầy đủ hiệu suất của kết nối (loại TAP In-line truyền thống).
Để đảm bảo về an ninh, chất lượng dịch vụ và các ứng dụng hoạt động được tối ưu, việc phân tích và giám sát hệ thống mạng cần được quan tâm và đầu tư đúng mức. Đi cùng với sự phát triển của các giải pháp phân tích và giám sát là yêu cầu ngày càng cao cho việc kết nối chúng vào hệ thống mạng. Qua các ưu nhược điểm của từng giải pháp được phân tích phía trên, ta dễ dàng thấy được quy luật của sự đánh đổi. Với giải pháp chi phí thấp như Hub, Switch chúng ta sẽ không khai thác được hết khả năng của hệ thống phân tích, giám sát. Việc áp dụng công nghệ tiên tiến hơn - TAP In-line - đồng nghĩa với chi phí cao hơn sẽ mang lại cho chúng ta các ưu điểm mà không giải pháp nào có được, tối đa hóa hiệu quả sử dụng của hệ thống phân tích giám sát.
Vũ Quang Minh
Không có nhận xét nào:
Đăng nhận xét