什麼是網絡數據包代理?
網絡數據包代理(NPB)是一種類似交換機的網絡設備,其大小從便攜式設備到1U和2 U單元機箱,再到大型機箱和板卡系統。與交換機不同,除非明確指示,否則NPB不會以任何方式更改通過它的流量。NPB可以在一個或多個接口上接收流量,對該流量執行一些預定義的功能,然後將其輸出到一個或多個接口。
通常將其稱爲“任意對任意”、“多對任意”和“任意對多”端口映射。可以執行的功能中,簡單的例如轉發或丟棄流量,複雜的又例如過濾第5層以上信息來識別特定會話。NPB上的接口可以是銅纜連接,但通常是SFP / SFP +和QSFP框架,這允許用戶使用各種媒體和帶寬速度。NPB的功能集是建立在最大化網絡設備效率的原則之上的,特別是監視、分析和安全工具。
網絡數據包代理提供什麼功能?
NPB的功能衆多,並且可能會隨設備的品牌和型號而有所不同,儘管任何稱職的數據包代理都希望擁有一組核心功能。大多數NPB(即最常見的NPB)在OSI第2到第4層發揮作用。
通常,您可以在L2-4的NPB上找到以下功能:流量(或其特定部分)重定向、流量過濾、流量複製、協議剝離、數據包切片(截斷)、啓動或終止各種網絡隧道協議以及流量的負載平衡。正如預期,L2-4的NPB可以過濾VLAN、MPLS標籤、MAC地址(源和目標)、IP地址(源和目標)、TCP和UDP端口(源和目標),甚至TCP標誌,以及ICMP、SCTP和ARP流量。這絕不是所用功能,而是提供一個思路,瞭解在第2到第4層運行的NPB如何分離和識別流量子集。客戶應在NPB中尋找的一項關鍵要求是無阻塞背板。
網絡數據包代理需要能夠滿足設備上每個端口的全部流量吞吐量。在機箱系統中,與背板的互連也需要能夠滿足所連接模塊的全部流量負載。如果NPB丟棄了數據包,則這些工具將無法全面瞭解網絡。
儘管絕大多數NPB都是基於ASIC或FPGA,但由於數據包處理性能的的確定性,您會發現許多集成或可以接受(通過模塊)CPU。這通常是提供靈活處理的功能,因此不能純粹在硬件中完成。這些功能包括數據包重複數據刪除、時間戳、SSL / TLS解密、關鍵字搜索和正則表達式搜索等功能。需要注意的是,其功能取決於CPU的性能。(例如,根據流量類型,匹配率和帶寬,相同模式的正則表達式搜索可以得出非常不同的性能結果),因此在實際實施之前不容易確定。
如果啓用了依賴於CPU的功能,它們將成爲NPB整體性能的限制因素。CPU以及可編程交換芯片(例如Cavium Xpliant、Barefoot Tofino、Innovium Teralynx)的出現,也成爲下一代網絡數據包代理的擴展功能集的基礎,這些功能單元可以處理L4以上的流量(通常稱爲作爲L7數據包代理)。在上述高級功能中,關鍵字和正則表達式搜索是下一代功能的一個很好的例子。搜索數據包有效負載的能力爲在會話和應用層過濾流量提供了機會,並且比L2-4單元可以爲演進的網絡提供更精細的控制。
網絡數據包代理如何適應基礎架構?
可以通過兩種不同的方式將NPB安裝到網絡基礎結構中:內聯和帶外。每一種方法都具有優點和缺點,並且能夠以其他方法無法實現的方式進行流量操縱。內聯網絡包代理具有實時網絡流量,該流量在設備到達其目的地的過程中遍歷該設備。這就提供了實時操縱流量的機會。例如,在添加、修改或刪除VLAN標記或更改目標IP地址時,將流量複製到第二個鏈路。作爲內聯方法,NPB還可以爲其他內聯工具(例如IDS、IPS或防火牆)提供冗餘。NPB可以監視此類設備的狀態,並在發生故障的情況下將流量動態重新路由到熱備用。
帶外流量是通過網絡TAP或SPAN /鏡像端口從網絡複製出來的(有關TAP的入門知識,請參見:https://www.lovemytool.com/blog/2018/09/deciding-which-tap-to-purchase-network-tapstest-access-points-are-the-absolute-best-way-to-gain-access-to-network-traff.html)。它在如何處理流量並將其複製到多個監視和安全設備方面提供了很大的靈活性,並且不會影響實時網絡。它還提供了前所未有的網絡可見性,並確保所有設備都收到正確處理其職責所需的流量的副本。它不僅可以確保您的監視、安全性和分析工具能夠獲得所需的流量,還可以確保您的網絡安全。它還可以確保設備不會在不需要的流量上消耗資源。或許您的網絡分析儀不需要記錄備份的流量,因爲備份過程中會佔用寶貴的磁盤空間。這些東西很容易從分析儀中過濾掉,同時保留了該工具的所有其他流量。也許您有一個完整的子網,您要保證它對其他一些系統保持隱藏狀態;同樣,這很容易在選定的輸出端口上被刪除。實際上,單個NPB可以內聯處理一些流量鏈路,同時處理其他帶外流量。
網絡數據包代理可以解決哪些常見問題?
我們已經介紹了這些功能,並在此過程中介紹了NPB的一些潛在應用程序。現在讓我們集中討論NPB解決的最常見的痛點。
工具的網絡訪問受限:
網絡數據包代理解決的第一大挑戰是訪問受限。換句話說,將網絡流量複製到每個需要它的安全和監視設備是一個挑戰。當您打開SPAN端口或安裝TAP時,您只有一個可能需要去到許多工具的流量源。此外,任何給定的工具實際上都應該從網絡中的多個點接收流量,以消除盲點。那麼,如何將所有流量傳遞給每個工具?
NPB通過兩種方式對此進行了補救:它可以接受流量饋送,並將該流量的精確副本複製儘可能多的工具中。不僅如此,NPB還可以從網絡中不同點的多個源獲取流量,並將它們彙總在一起輸出到單個工具。將這兩個功能結合在一起,您就可以接受來自SPAN和TAP監控器端口的所有源,並將它們彙總到NPB中,根據需要進行聚合,並將該流量的副本輸出到您環境中的每個工具,同時保持對發送到每個工具的流量的精確控制,這也包括一些無法處理的流量。
如前所述,可以從流量中剝離協議,否則可能會阻止工具對其進行分析。NPB也可以終止隧道(例如GRE),以便包含在其中的流量可以由各種工具來解析。
網絡數據包還充當將新工具添加到環境中的中央樞紐。無論是內聯還是帶外,都可以將新設備連接到NPB,並且只需對現有規則表進行一些快速編輯,新設備即可接收網絡流量,而不會中斷網絡的其餘部分或重新佈線。
優化工具效率:
網絡數據包代理可幫助您充分利用監視和安全設備。讓我們考慮一下使用這些工具可能遇到的一些潛在情況,您的許多監視/安全設備可能正在浪費與該設備無關的流量處理能力。最終,設備會達到其上限,既處理有用的流量也處理不太有用的流量。在這一點上,該設備的供應商一定會很樂意爲您提供功能強大的替代產品,甚至具有多餘的處理能力來解決您的問題……不管怎麼說,始終還是會浪費一段時間。如果我們能在這個工具到達之前把那些對它毫無意義的流量處理掉呢。
另外,假設設備僅查看其接收到的流量的標頭信息。對數據包進行切片來移除有效負載,然後僅轉發標頭信息,就可以大大減少工具的流量負擔;那爲什麼不呢?網絡數據包代理可以做到這一點。這延長了現有工具的使用壽命,並減少了頻繁升級的需求。
您可能會發現自己已經耗盡了設備上的可用接口,而這些設備可能仍然有大量的可用空間。接口甚至可能沒有在其可用流量附近傳輸。NPB的聚合將解決此問題。通過在NPB上聚合流向設備的數據流,您可以充分利用設備提供的每個接口,優化帶寬利用率並釋放接口。
另一個類似的情況是,您的網絡基礎架構已遷移到10G,而設備只有1G接口。設備可能仍然能夠輕鬆處理那些鏈接上的流量,但是根本無法協商鏈接的速度。在這種情況下,NPB可以有效地充當速度轉換器並將流量傳遞到該工具。如果帶寬成爲限制,那麼NPB還可丟棄無關的流量,執行數據包切片,並在工具的可用接口上對剩餘流量進行負載平衡,從而再次延長其使用壽命。
同樣,NPB在執行這些功能時也可以充當媒體轉換器。如果設備僅具有銅纜接口,但需要處理來自光纖鏈路的流量,則NPB可以再次充當中介,從而再次獲得到該設備的流量。
最大化您在安全和監視設備上的投資:
網絡數據包代理使組織可以從其投資中獲得最大的收益。如果您具有TAP基礎結構,則數據包代理將把分接流量的訪問權限擴展到需要它的所有設備。NPB通過消除無關的流量並從網絡工具分流各種功能來減少浪費的資源,以便它們可以實現其設計的功能。NPB可以用來爲您的環境添加更高級別的容錯能力甚至網絡自動化。提高響應速度,減少停機時間,並使人員騰出時間專注於其他任務。NPB帶來的效率提高了網絡可見性,減少了資本支出和運營成本,並增強了組織的安全性。
在本文中,我們廣泛研究了什麼是網絡數據包代理,任何可行的NPB應該具有什麼功能,如何將NPB部署到網絡中以及它們解決的最常見問題。這不是有關網絡數據包代理的詳盡論述,但希望這有助於解釋有關這些設備的疑問或困惑。也許上面的一些示例說明了NPB如何解決網絡中的問題,或者提示了一些有關如何提高環境效率的思考。在以後的文章中,我們將研究一些特定的問題,以及Cubro在TAP、網絡數據包代理和探針方面如何解決這些問題。