一 、 再 谈 N PBs 和 T AP
在上篇文章(流量可视化如何做到1+1+1>3)中我们分析过由TAP(分流器)、NPBs和业务分析系统三者组成的1+1+1解决方案架构。其中TAP产品主要负责分流和负载,而NPBs产品主要负责提取和分析。在国内的应用语境中,一般我们谈到TAP产品会称之为“网络分流器”,而谈到NPBs产品会称之为“流量探针、流量传感器、流量可视化”等。在进一步介绍SDN驱动方案之前,笔者想先就分流器产品和流量探针产品之间的区别,做个简要的说明。
多分支机构组网示意图
针对此需求,由于所有用户和业务系统的交互流量都要进行分析,所以看似合理方案应该是在50个分支机构和总部的出口设备上旁路部署NPBs产品,进行流量采集分析,示意图如下:
全NPBs组网方案示意图
但是如果仔细考虑,会发现上述全NPBs方案还有不少的问题,例如:
无法实现灵活的按需采集
当只需要分析某些特定的分公司或应用系统时(可能正在发生紧急问题),或单独针对新上线业务进行分析时,无法简便地做到只牵引需要的流量,这导致尽管部署了全NPBs方案,但业务实时生效的NPBs设备比例很低,造成巨大资源浪费。
流量初步过滤处理能力不足
很多NPBs产品偏重于流量识别和数据分析,但在前级处理过滤流量的能力不足,在使用全NPBs方案时,对去重、截断、负载等操作支持不佳,导致输入的无效流量过大,NPBs分析的效率较低。
方案造价较高
相比分流器方案,NPBs产品处理性能较低,而且由于无法实现按需采集和初级过滤,往往实际分析仅100Mbps的特定业务流量时,却需要按照链路配置1Gbps性能的NPBs产品,造成整体产品选型成本偏高。
三 、 下一代 N PBs 产品 的要素
与下一代防火墙的概念类似,为了解决NPBs产品面临的一些问题,Gigamon、Big Switch Networks等NPBs厂商提都出了下一代NPBs产品的概念和要素:
1 、 融合 T AP 能力
越来越多的NPBs产品开始支持分流器产品的特性,增加流量初级过滤的能力,反之,越来越多的分流器产品也在支持NPBs产品的特性,从而提升流量深层识别能力。虽然从架构层面上看,两款产品在各自的专用领域基本无法做到互相替代,但在较通用的场景下,例如企业级广域网和数据中心,对专用的高性能分流器并不存在刚需,此时融合初步分流器能力的NPBs产品就会非常适用。
2 、 深层解析和可视化呈现
机框式NPBs产品拆分示意图
当我们把每一部分拆分为独立NPBs产品,并使用SDN控制器进行整体管理时,就得到了一张跨广域网的NPBs产品集群网络:
SDN驱动下一代NPBs产品集群部署方案示意图
在这张网络中,进一步将端口细化为如下角色:
Tunnel Ports
跨广域网传输时,在NPBs产品间一般使用隧道互连,例如L2-GRE Tunnel,这些隧道上的端口被归类为Tunnel Ports,可见下一代NPBs产品也应当考虑支持常见的隧道技术。
Filter Ports
用于流量分析前的前级过滤,进行报文去重、解封装等操作,根据实际业务要求将不需要的流量先去除,这部分其实是融合了传统分流器产品的特性。
Delivery Ports & Service Ports
完成流量识别和数据分析后,将信息以数据接口的形式上送到各类分析服务系统,或者将过滤出的流量发送给高性能NPBs产品进行汇聚。另外,对于性能分析和流量回溯业务,在Deliver Ports和Service Ports上还需要上传NetStream/Netflow甚至原始报文等信息,这也对NPBs产品提出了更高的要求。
2 、 SDN 控制器总体调度
在多台NPBs产品使用独立方式部署的情况下,为了将所有NPBs产品进行统一纳管协作,需要引入SDN控制器进行总体调度,从而将多台产品组成一台逻辑上的大NPBs产品(Big Monitoring Fabric ),这种模式具备以下优势:
流量按需调度
通过SDN控制器下发策略,可以实时控制流量调度的范围,提前将不关心流量过滤,尽量保持只处理需要的流量,避免被动的全流量分析。通过按需调度,单台NPBs产品处理性能要求降低,从而实现成本降低。
面向意图的北向接口(Intent NBI)
在私有云环境下,业务上下线变更频繁,催生了不少NPBs产品的分析需求,例如对于新上线业务的及时发现,以及快速应用识别和应用归类。当前,SDN控制器已经逐渐实现了系统能力的开放,力图实现面向用户网络操作意图的北向接口(Intent NBI)。SDN控制器通过北向接口与用户的业务系统对接后,将用户高层次的业务意图转化为NPBs产品部署策略进行下发,实现自动化管理。
业务平滑扩展
在SDN驱动模式下,不论是NPBs产品或是业务分析工具链需要部署变更,都可以在现有架构下平滑变动,无需改变底层配置。相比高端机框式的NPBs产品,集群内的NPBs产品部署更加分散,单点的变更更加灵活,可以实现业务平滑升级扩展。
3 、 下一代 N PBs 优势
在方案中,下一代NPBs产品充分发挥了相对传统产品的优势,通过融合TAP功能在Filter Ports进行早期过滤,并通过Openflow协议等方式实现SDN控制器统一管控,解决了按需部署和平滑变更等问题。在后端,下一代NPBs提供丰富的融合方式,如NetStream/Netflow、Syslog、文件上传等,与多种业务分析工具链进行有机融合。
五、 业界观察
作为老牌SDN玩家厂商,Big Switch Networks早在2012年就发布了业界著名的完全开源SDN控制器Floodlight,凭借强大的稳定性和易用性,以及对Openflow协议的良好支持,Floodlight已经成为业界主流的SDN控制器之一。Big Switch Networks基于自己强大的SDN能力,在各个领域推出了SDN驱动的解决方案,而在网络流量领域,Big Switch Networks首先推出了分流器TAP产品,然后又引领了下一代NPBs产品发展,充分发挥了其Cloud-First Networking (CFN) 方向上的技术特长。
Big Switch Networks公司解决方案
在国内,与Big Switch Networks发展路线相似,同样具备强大SDN基因的盛科网络,也推出了SDN驱动的分流器TAP 产品以及SDN安全服务链产品。
六 、 结语
观察由分流负载+提取分析+数据应用组成的1+1+1>3整体方案,三个组成产品之间的边界正在逐渐模糊,存在进一步深度融合的趋势。
随着SDN产业成熟,各类SDN应用方向已经进入落地应用阶段,比如近期在国内大火的SD-WAN方向就是一个例子。对于国内众多的流量分析方向产品来说,不论是分流器产品或是NPBs产品,引入SDN相关技术驱动都不失为一个可以考虑的技术方向。
关于安博通
北京安博通科技股份有限公司(简称“安博通”),成立于2011年,以“看透安全,体验价值”理念为核心,是国内领先的可视化网络安全专用核心系统产品与安全服务提供商。其自主研发的SPOS可视化网络安全系统套件,已成为众多一线厂商与大型解决方案集成商最广泛搭载的网络安全系统平台,是国内众多部委与央企安全态势感知平台的核心组件与数据来源。
更多详情,敬请查阅:www.abtnetworks.com
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至253000106@qq.com举报,一经查实,本站将立刻删除。
发布者:SEO优化专员,转转请注明出处:https://www.chuangxiangniao.com/p/936679.html
