Az adatközpontok közötti adatforgalom napjainkban sokkal nagyobb, mint korábban.
A 100G-s Ethernet-re történő migráció folyamatban van,
2018 óta az adatközpontok közel negyede állt már át.
Mindeközben már a 400G-s Ethernet is elérhető és kezd széleskörűen elfogadottá válni.
Egyre több adat megy át az adatközpontokon, az üzemeltetőknek viszont átlátható információ kell arról, hogy az adatok milyen formát ölthetnek.
A Garland Network Packer Brokerek (NPB) úgy lettek kialakítva, hogy az adminisztrátorok számára könnyebb legyen elemezni a hálózati forgalmat, biztosítva a hatékony adatközponti működést.
Miért van szüksége egy adatközpontnak a Network Packet Broker-re?
Még akkor is, ha nincs 100G-s Ethernet kapcsolat, szükség lehet a Network Packet Broker-re.
Az adatközpontokban rengeteg statikus eszköz van, melyek kifejezett célja a hálózat teljesítményének mérése, az átláthatóság biztosítása, valamint a fenyegetettség enyhítése.
Annak érdekében, hogy ezek megfelelően működjenek, szükség van egy eszközre, amely megbízhatóan közvetíti az adatcsomagokat számukra, azonban Network Packet Broker vagy magyarul hálózati csomagközvetítő megoldás nélkül kevés lehetőség van erre.
Például, ha „inline” módba kötjük az eszközöket a bejövő hálózati kapcsolatokkal, a forgalom jelentősen lecsökkenhet, valamint egy ponton sebezhetővé válik a rendszer.
Ezen forgalmakhoz lehetőség van TAP vagy SPAN portokon keresztül is hozzáférni, melyek átláthatóságot adnak, viszont túl sok bejövő kapcsolatot generálhatnak, melyet az eszközök nehezen dolgoznának fel.
Ezzel megbirkózni további eszközök bevonásával lehet, ami viszont semmilyen szempontból sem hatékony megoldás.
Megfelelő adatok hiányában a biztonsági és felügyeleti eszközök nem képesek lefedni a teljes hálózatot. Maradnak vakfoltok, ahol sem az analitikai eszközökkel, sem élőmunkával nem látható, mi történik. Ez torlódásokhoz és hálózati kiesésekhez is vezethet, ráadásul lehetőséget adhat egy esetleges kibertámadásra.
Ezek a problémák megoldhatók forgalomaggregációval vagy speciális funkciókkal ellátott packet brokerekkel.
A Network Packet Broker-ek fő funkciói a következők:
1. Aggregálják a hálózati forgalmat, azáltal, hogy több portból kinyert adatokat egy port felé küldenek tovább. Ez azt jelenti, hogy nem szükséges több eszköz a több port lefedésére.
2. Szűrik a hálózati forgalmat, az egyes eszközökre jellemző információkat csak a megadott eszközökre továbbítják. Ezáltal a monitorozó eszközök teljesítménye optimalizálódik, és nem terhelődik túl felesleges adattal.
3. Elosztják a terhelést. Például, ha 40G-s forgalom érkezik, és az eszköz kizárólag 10G-s interfésszel rendelkezik, az NPB képes a 40G-s forgalmat 4x10G-s interfészekre elosztani.
Igaz, hogy az adatközpontok több információt kezelnek, mint valaha, de az információ nagy része redundáns vagy tömörítetlen, főleg a felügyeleti eszközök szempontjából. Az NPB-k képesek tömöríteni és deduplikálni az adatokat, ezáltal a felügyeleti eszközök csak a számukra szükséges információt kapják meg. Ezenkívül a portok aggregálásával, nincs szükség több eszköz megvásárlására ahhoz, hogy lefedjük az adatközpont megnövekedett forgalmát.
Mire kell figyelni egy packet broker esetén?
Nem minden packet broker egyforma. Nem érdemes rá beruházni, ha túlterhelés következtében eldobja a csomagokat, mielőtt azok a felügyeleti eszközhöz érnének, vagy ha túl bonyolult a beállítása és használata, valamint, ha rugalmatlan licencelése miatt folyamatos fizetést igényel, vagy nem nyújt megfelelő átláthatóságot.
Mindenekelőtt, egy packet brokernek intelligensen kell szűrnie a forgalmat. Egy skálán érdemes elhelyezni ezt az intelligenciát.
Az egyik oldalon a hálózati rendszergazdák manuálisan konfigurálják a packet brokert úgy, hogy az egyfajta forgalmat küldjön a WAF-nak, egy másik fajtát a SIEM-nek, megint másikat az IDS/IDP-nek stb.
A skála közepére a gyártók előre megírt szabályai kerülnek, hogy melyik forgalmat hova küldje az eszközük.
A skála másik végén a készülék automatikus felderítéssel keresi meg a hálózaton lévő eszközöket, és automatikusan meghatározza, hogy hová továbbítsa a forgalmat.
A fejlett NPB-k csökkentik a kézi konfiguráció mennyiségét. Kisebb adatközpont esetén ugyanis előfordulhat, hogy az eszköz egyszerűbb verziójára lenne szükség, de ez a skálázhatóság rovására megy. Ezenkívül az NPB-k automatizált verziói segítenek elkerülni a konfigurációs hibákat, csökkentve az incidensekre adott reakció idejét.
A terheléselosztás egy másik olyan funkció, amelyre az adminisztrátoroknak figyelniük kell. Egy packet brokernek képesnek kell lennie a nagy sávszélességgel érkező forgalom felvételére és felosztására, hogy a kevésbé leterhelt eszközök megfigyelhessék és feldolgozhassák a beérkező adatokat.
Ezzel az eszközök túlélőképességét lehet növelni, mivel, ha hirtelen megnő a forgalom, az NPB képes azt több eszközön szétosztani.
Mindeközben, ha egy eszköz meghibásodik, a forgalom átmehet a többi eszközön anélkül, hogy drámai sebességnövekedés feldolgozására kényszerítené őket.
Forgalomaggregátor vs speciális funkciókkal ellátott packet broker
Két fő kategóriája van a packet brokereknek: a forgalmi aggregátorok és a fejlett képességű aggregátorok, melyek egyaránt képesek ellátni egy packet broker fő funkcióit, úgymint hálózati TAP vagy SPAN portokról érkező forgalom aggregálása, szűrése, regenerálása és a terhelés elosztása.
Az újgenerációs network packer brokerek (NGNPB) az eredetileg 2012 környékén bemutatott termékek utódjaiként jelentek meg.
Az újgenerációs eszközök az alábbi új funkciókkal rendelkeznek:
1. Képesek csomagdarabolásra. A darabolás után a csomagnak csupán a szükséges komponenseit továbbítják a megfigyelő/elemző eszközökhöz. A méretcsökkentés következtében könnyebbé válik a tárolás a memóriában és elhárul a csomagvesztés kockázata is.
2. Képesek deduplikálásra. A hálózati forgalom tartalmazhat duplikált csomagokat is, melyek feldolgozása felesleges idő- és erőforráspazarlás. Az újgenerációs NPB-k képesek natív módon deduplikálni a csomagokat a gyorsabb feldolgozás érdekében.
3. Képesek időpecsételésre. Ennek köszönhetően minden csomagról tudni lehet, mikor érkezett be a hálózatba. Ha egy csomag ugyanabban az időben érkezik a hálózatba, amikor egy probléma felüti a fejét, egyértelművé válik, hol érdemes kezdeni a vizsgálatot és a hibaelhárítást.
4. Rendelkeznek „tunneling” képességgel. A hálózati csomagokat a speciális Generic Routing Encapsulation (GRE), illetve VXLAN protokollok használatával szállítják, és a gyanús csomagokat közvetlenül a switch-től a végpontig viszik további elemzés céljából.
Egyéni igényektől és a várható növekedéstől függ az, hogy egy hálózatban újgenerációs NPB funkciókra, vagy egyszerűbb forgalomaggregációra van-e szükség.
Az azonban biztos, hogy minden adatközpontnak, amelynek a növekvő forgalmi igényekhez kell méreteznie képességeit, szüksége van valamilyen hálózati csomagközvetítésre, hogy biztonságosan és hatékonyan működhessen.
Forrás:
https://www.garlandtechnology.com/blog/network-packet-brokers-explained
Ismerje meg a Garland Technology megoldásait az eLearning programunkban!
Kapcsolódó képzések:
Lássunk minden bitet, bájtot és csomagot a hálózatunkon!
Gyorstalpaló: Bevezetés a hálózati láthatóságba
Garland – Termékek és megoldások áttekintése