随着数据中心升级到100Gbps的速度逐渐加快,以支持对速度和高性能工作负载的需求,他们将需要在这个过程中和之后保持网络的可见性和安全性,以防止瓶颈和威胁。然而,许多安全和性能工具不能以100Gbps的速度摄取数据,这就留下了可被网络犯罪分子利用的盲点。可见性差距也增加了排除故障和最大限度地提高性能所需的时间和精力,并确保终端用户拥有卓越的体验,最佳做法是在将数据平面升级到100Gbps之前,确保监控平面具有这种能力。
企业有效地连接这些数据速率的一种方法是使用两层监控拓扑结构。让我们讨论一下这种方法何时合适以及如何实施。
企业为何应该使用两层监控拓扑
两层可观察性拓扑结构将在几个方面给企业带来好处,特别是当许多网络端口被监控时。主要的好处是:
- 将核心网络与工具/工具轨道隔离开来,以便经纪公司能够以正确的数据速率提供正确的数据。
- 通过将数据包的获取和聚合与数据包的交付分开,优化成本。这使IT部门能够将数据包处理能力放在需要的地方。
将核心网络与工具/工具轨道隔离,使IT部门有更大的自由,可以在一定程度上独立地升级核心网络。工具往往会随着时间的推移以交错的方式升级,因为供应商会把他们各自的工具升级到最新版本。将它们从核心网络中分离出来,可以让IT部门在不耽误核心网络升级的情况下适应这种情况。
下面列出的数据包处理功能的大部分高级处理都是面对接收设备(即工具/工具轨道)进行的。用户控制的数据包大小和分配也延长了工具的使用寿命和对它们的投资。实时数据包处理使用户能够控制数据包的大小和分配,因此,接收设备通过接收它们需要的确切数据,以最大的效率运行。
数据包处理的特点是以正确的数据速率向正确的工具提供正确的数据,包括。
- 重复数据删除
- 过滤
- 复制
- 负载均衡
- 数据速率调整
- 拼接
- 剥离
如何创建一个
现在你知道了部署两层网络数据包观察平面有几个好处,下面是如何建立一个两层网络数据包观察平面,如下图所示。
从图中可以看出,使用了两个网络数据包经纪人(NPB);一个用于 “聚合”,通过TAP和跨度端口获取数据包,一个用于 “分发”。通常情况下,要观察/监测的端口数量超过了数据包被传送到的端口数量。聚合级数据包经纪商通常有较少的功能和较多的输入和输出端口,这就是为什么它们被用于采集以获得成本效益。分布级数据包经纪商的功能更多,因此成本也更高;它们的输入和输出端口也往往更少,这就是为什么它们被更少地部署。
理想情况下,网络数据包采集应以高达100Gbps的数据速率进行。因为每跳增加了性能数据的偏差,最好是观察这些信息尽可能接近源,所以另一个理想的能力aggregation-class包代理添加高分辨率时间信息(例如,时间戳)传入的数据包,以及观察微爆发等性能指标。聚合代理之所以被恰当地命名为聚合代理,是因为它们所做的不仅仅是复制并转发数据包。它们实际上聚合了包,减少了包流的数量。这使得使用具有更少输入和输出端口的分发类包代理成为可能。根据所涉及的网络和IT的需求,聚合类包代理还可以将包直接交付到其他目的地,例如捕获到磁盘的解决方案。然而,分发类包代理执行大部分的包传递。
分而治之
在需要的地方应用正确的网络分组代理特性、功能和端口密度是将可见性需求划分为两个层的一种经济有效的方法。
这就是两层网络监控拓扑的“原因”和“方式”。由于以网络为中心的可见性是至关重要的,IT部门应该确保在升级核心网络或工具时他们的可见性不会受到影响。两层拓扑提供了独立升级核心网和各种安全和性能工具的自由。(雪薇)