一个,说说nPBS
上一篇文章(如何实现1+1+1流量可视化>:3)我们分析了由TAP(分路器)、NPBs、业务分析系统组成的1+1+1解决方案架构。TAP产品主要负责分流和装载,NPBs产品主要负责提取和分析。在国内应用背景下,TAP产品一般称为“网络探针”,NPBs产品称为“流量探针、流量传感器和流动可视化”。在进一步介绍SDN驱动方案之前,我想简单说明一下splitter产品和flowprobe产品的区别。
“1+1+1”解决方案架构示意图
分流:前级偏向负载
从功能方面来看,拆分器产品提供了三个最重要的特性。第一种是编辑报文处理,比如添加或删除VLAN/VxLAN/NVGRE/GRE/ERSPAN等协议标签,编辑报文的IP/MAC地址,在报文中添加字段(比如时间戳)第二种是拆分负载,比如多入单出(比如M:N模型),哈希负载,共享负载等。第三个是净荷级dpi,比如数据脱敏、重复数据删除、home共享、基于净荷内容的会话和碎片跟踪等。在高性能方案中,splitter产品可以提供N个关键词的全包浮动搜索。这里要说明的是,一般来说,分割器支持的内容识别仅仅停留在payloadlevel,能够匹配到整个报文固定位置的精确或浮动的特征码。这种分析粒度不足以直接服务于安全。例如,当APT分析系统需要提取包含以下内容的所有邮件内容。多克和。pdf文件作为附件,并计算文件的哈希值或报告原始文件,不适合直接使用分割器解决问题。
从部署位置来看,分路器一般位于前级,需要处理T/10T级别的大流量。因此,分路器产品往往采用ATCA架构/FPGA芯片等超高性能硬件方案,相应地,高性能要求也降低了其功能的灵活性和丰富性。
流量探针:后级偏向于应用内容层面。
从部署位置来看,NPBs产品一般位于分路器/交换机产品的后级,侧重于流量应用层内容分析,具有丰富的功能特性,但绝对处理性能低于分路器产品。例如,当业务系统需要分析应用性能和链路质量时,往往需要采集设备提供包括区域链路、应用流量、应用排名、流量比例、应用延迟、协议重传等综合信息。,或者当业务系统需要进行安全分析时,采集设备需要学习和建立流量模型,识别流量应用层内容,当流量超过模型范围的一定百分比阈值或者出现特定应用内容时,进行告警和信息上报。这样的业务需求要求NPBs产品提供比splitter产品更深层次的分析能力,不仅要提供L7应用级内容识别能力,还要支持排名、建模和异常发现。凭借这些能力,NPBs产品可以为复杂的业务分析和安全分析提供原材料。
两个,所有NPBS
在了解了splitter产品和NPBs产品的主要区别之后,我们继续讨论一个应用场景:多分支组网下的业务分析。如下需求图所示:假设一个机构有50个分支机构,总部与分支机构之间的通道是通过广域网专线和互联网VPN建立的。内部网中有数百个业务系统在使用,因此用户需要收集流量,并围绕业务使用和内部网安全分析数据。
多分支网络示意图
鉴于这一需求,由于需要分析所有用户和业务系统之间的交互流量,因此在50家分行和总部旁路的出口设备上部署NPBs产品进行流量收集和分析似乎是合理的,如下图所示:
所有NPBs组网方案示意图
然而,如果我们仔细考虑一下,我们会发现上述全NPBs方案仍然存在许多问题,例如:
无法实现灵活的按需采集。
当只需要分析一些特定的分支机构或应用系统时(可能会出现紧急问题),或者当单独分析新的在线服务时,不可能简单地只拉动所需的流量。这导致尽管部署了所有的NPBs解决方案,但实时生效的NPBs设备的比例很低,导致资源的巨大浪费。
流量初步过滤能力不足。
许多NPBs产品侧重于流量识别和数据分析,但对前一阶段过滤流量的处理能力不足。使用全NPBs方案时,对去重、截断、加载等 *** 作支持较差,导致无效流量输入过多,NPBs分析效率较低。
工程造价高。
相比分路器方案,NPBs产品处理性能较低,且由于无法实现按需采集和初级过滤,在实际分析仅为100Mbps的具体流量时,往往需要根据链路配置1Gbps性能的NPBs产品,导致整体产品选型成本较高。
三款,下一代NPBS产品
与下一代防火墙的概念类似,为了解决NPBs产品面临的一些问题,Gigamon、BigSwitchNetworks等NPBs厂商提出了下一代NPBs产品的概念和要素:
1,融合TAP能力
越来越多的NPBs产品开始支持分流产品的特性,增加流量的初级过滤能力。相反,越来越多的分流产品也在支持NPBs产品的特性,从而提高流量的深度识别能力。虽然从架构层面来说,两个产品在各自的专用领域基本上不能互相替代,但是在更一般的场景下,比如企业广域网、数据中心,就不需要专用的高性能分路器。这个时候,具备初始分路器能力的NPBs产品将非常合适。
2,深度分析和可视化呈现
IxVision系列NPBs产品
在IXIA的NPBs产品序列中,其可视化能力被定义为四个层次,从网络层、消息层、安全层、应用层依次递进。它是作为产品的高附加值特性而存在的,由此可见深度分析能力和可视化呈现能力是NPBs产品的重要指标。客户对NPBs产品的要求不再局限于网络层和消息层的一般功能,而是需要深入到业务层面进行定制化标识和强大的本地可视化呈现能力。
3,安全和性能分析融合
关于NPBs产品的下游分析系统,笔者观察到目前主要有两个应用方向,一个是性能分析方向,收集瞬时流量值、流量统计、业务时延、抖动、开销、错误、原始报文等各级信息,提供给NPM/APM等性能管理产品;另一个方向是安全方向。通过收集IP地址、URL、文件哈希、HTTP协议细节等信息。在流量方面,入侵行为、病毒查杀、威胁情报、文件沙箱等安全产品。都实现了。无论是性能方向还是安全方向,NPBs产品都需要与下游产品进行深度融合,根据不同下游产品的需求对接数据接口,完成从流量到业务的连接。
4,SDN集中控制能力
SDNdriver是针对业务节点分散、不同节点之间业务差异较大、各节点上的业务随需而变的场景的通用解决方案。NPBs产品的部署与上述场景高度一致。对于流量分析业务,除了按照固定的规则过滤掉不必要的流量,还需要根据业务需求实时改变分发分析策略。一旦方案从全流量分析变为按需分析,可以降低单点NPBs产品的性能要求,从而降低整体方案的成本。
四个,大开关DN[
针对上述问题,笔者关注到NPBs领域的厂商大交换网络(BigSwitchNetworks)针对企业私有云场景提出了大监控架构解决方案。该解决方案的核心是SDN驱动的下一代NPBs集群,主要内容包括:
1,NPBS产品集群部署
类似于帧路由器和交换机的设计,除了背板,帧NPBs产品还会分别提供过滤端口、投递端口和业务端口,实现前端级的过滤、复制分发和业务处理,如图所示。
框架NPBs产品拆分示意图
当我们将每个部分拆分为独立的NPBs产品,并使用SDN控制器进行整体管理时,我们将获得跨WAN的NPBs产品集群网络:
SDN驱动的NPBs产品集群部署方案示意图
在此网络中,端口进一步细分为以下角色:
隧道端口
当跨广域网传输时,隧道互连通常在NPBs产品中使用,例如L2-GRE隧道。这些隧道上的端口被归类为隧道端口,因此下一代NPBs产品也应该考虑支持通用隧道技术。
过滤器端口
用于流量分析前的预过滤,进行报文去重解封装等 *** 作,根据实际业务需求先去除不必要的流量。这部分其实融合了传统分路器产品的特点。
交货港和交货地点。服务端口
经过流量识别和数据分析后,信息将以数据接口的形式发送到各种分析服务系统,或者将过滤后的流量发送到高性能NPBs产品进行聚合。此外,对于性能分析和流量追踪服务,需要在交付端口和服务端口上传NetStream/Netflow甚至原始报文等信息,这也对NPBs产品提出了更高的要求。
2,SDN控制器总体调度
当多个NPBs产品独立部署时,为了统一协调所有NPBs产品,需要引入SDN控制器进行统筹调度,使多个产品形成一个逻辑上的大NPBs产品(大监控Fabric)。这种模式有以下优点:
按需交通调度
SDN控制器可以通过发布策略实时控制流量调度的范围,提前过滤无关流量,尽量只保留需要的流量,避免被动的全流量分析。通过按需调度,降低单个NPBs产品的处理性能要求,从而实现成本降低。
面向意向的北向接口(意向NBI)
在私有云环境下,线上线下服务的频繁变化催生了很多NPBs产品分析需求,比如及时发现新的线上服务,快速的应用识别和应用分类等。目前,SDN控制器已经逐步实现系统能力的开放,尝试实现面向用户网络运营意图的北向接口(意图NBI)。SDN控制器通过北向接口连接用户业务系统后,将用户高层业务意图转化为NPBs产品部署策略并下发,实现自动化管理。
顺利的业务扩展
在SDN驱动模式下,无论是NPBs产品还是业务分析工具链需要部署或变更,都可以在现有架构下平滑变更,无需改变底层配置。与高端框架式NPBs产品相比,NPBs产品在集群中的部署更加分散,单点的变化更加灵活,可以实现业务的平滑升级和扩展。
3,下一代NPBS优势
在该方案中,下一代NPBs产品充分发挥传统产品的优势,通过集成TAP功能,在过滤端口进行早期过滤,并通过Openflow协议实现SDN控制器的统一控制,解决了按需部署和平滑变化的问题。在后端,下一代NPBs提供了丰富的集成方式,如NetStream/Netflow、Syslog、文件上传等。,并与各种业务分析工具链有机集成。
五、行业观察
作为老牌SDN播放器厂商,大开关网络早在2012年就发布了业界知名的SDN控制器泛光灯。凭借其强大的稳定性和易用性,以及对Openflow协议的良好支持,泛光灯已经成为业界主流的SDN控制器之一。基于其强大的SDN能力,大交换网络在各个领域推出了SDN驱动的解决方案。在网络流量领域,大交换网络首先推出splitterTAP产品,随后引领下一代NPBs产品的开发,充分发挥其在云优先组网(CFN)方向的技术专长。
大型交换网络解决方案
在国内,类似于大交换网的发展路线,同样具有强大SDN基因的柯胜网络也推出了SDN驱动的分流TAP产品和SDN安全服务链产品。
六,结论
观察调车负荷+提取分析+数据应用组成的1+1+1>3整体方案,三个组成产品之间的边界逐渐模糊,有进一步深度融合的趋势。
随着SDN产业的成熟,各种SDN应用方向都进入了落地应用阶段,比如最近国内大火的SD-WAN方向。对于国内很多流量分析产品来说,无论是splitter产品还是NPBs产品,引入SDN相关技术驱动都是可以考虑的技术方向。
关于安博通
北京安博通科技有限公司(简称“安博通”)成立于2011年,以“看透安全,体验价值”为核心理念,是国内领先的可视化网络安全核心系统产品和安全服务提供商。其自主研发的SPOS视觉网络安全系统套件已成为众多一线厂商和大型解决方案集成商承载最广的网络安全系统平台,是国内多个部委和央企安全态势感知平台的核心组件和数据来源。
更多详情,请参考:www.abtnetworks.com
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)