网络数据包代理入门指南

什么是网络数据包代理?

网络数据包代理(NPB)是一种类似交换机的网络设备,其大小从便携式设备到1U和2 U单元机箱,再到大型机箱和板卡系统。与交换机不同,除非明确指示,否则NPB不会以任何方式更改通过它的流量。NPB可以在一个或多个接口上接收流量,对该流量执行一些预定义的功能,然后将其输出到一个或多个接口。

通常将其称为“任意对任意”、“多对任意”和“任意对多”端口映射。可以执行的功能中,简单的例如转发或丢弃流量,复杂的又例如过滤第5层以上信息来识别特定会话。NPB上的接口可以是铜缆连接,但通常是SFP / SFP +和QSFP框架,这允许用户使用各种媒体和带宽速度。NPB的功能集是建立在最大化网络设备效率的原则之上的,特别是监视、分析和安全工具。

网络数据包代理提供什么功能?

NPB的功能众多,并且可能会随设备的品牌和型号而有所不同,尽管任何称职的数据包代理都希望拥有一组核心功能。大多数NPB(即最常见的NPB)在OSI第2到第4层发挥作用。

通常,您可以在L2-4的NPB上找到以下功能:流量(或其特定部分)重定向、流量过滤、流量复制、协议剥离、数据包切片(截断)、启动或终止各种网络隧道协议以及流量的负载平衡。正如预期,L2-4的NPB可以过滤VLAN、MPLS标签、MAC地址(源和目标)、IP地址(源和目标)、TCP和UDP端口(源和目标),甚至TCP标志,以及ICMP、SCTP和ARP流量。这绝不是所用功能,而是提供一个思路,了解在第2到第4层运行的NPB如何分离和识别流量子集。客户应在NPB中寻找的一项关键要求是无阻塞背板。

网络数据包代理需要能够满足设备上每个端口的全部流量吞吐量。在机箱系统中,与背板的互连也需要能够满足所连接模块的全部流量负载。如果NPB丢弃了数据包,则这些工具将无法全面了解网络。

尽管绝大多数NPB都是基于ASIC或FPGA,但由于数据包处理性能的的确定性,您会发现许多集成或可以接受(通过模块)CPU。这通常是提供灵活处理的功能,因此不能纯粹在硬件中完成。这些功能包括数据包重复数据删除、时间戳、SSL / TLS解密、关键字搜索和正则表达式搜索等功能。需要注意的是,其功能取决于CPU的性能。(例如,根据流量类型,匹配率和带宽,相同模式的正则表达式搜索可以得出非常不同的性能结果),因此在实际实施之前不容易确定。

如果启用了依赖于CPU的功能,它们将成为NPB整体性能的限制因素。CPU以及可编程交​​换芯片(例如Cavium Xpliant、Barefoot Tofino、Innovium Teralynx)的出现,也成为下一代网络数据包代理的扩展功能集的基础,这些功能单元可以处理L4以上的流量(通常称为作为L7数据包代理)。在上述高级功能中,关键字和正则表达式搜索是下一代功能的一个很好的例子。搜索数据包有效负载的能力为在会话和应用层过滤流量提供了机会,并且比L2-4单元可以为演进的网络提供更精细的控制。

网络数据包代理如何适应基础架构?

可以通过两种不同的方式将NPB安装到网络基础结构中:内联和带外。每一种方法都具有优点和缺点,并且能够以其他方法无法实现的方式进行流量操纵。内联网络包代理具有实时网络流量,该流量在设备到达其目的地的过程中遍历该设备。这就提供了实时操纵流量的机会。例如,在添加、修改或删除VLAN标记或更改目标IP地址时,将流量复制到第二个链路。作为内联方法,NPB还可以为其他内联工具(例如IDS、IPS或防火墙)提供冗余。NPB可以监视此类设备的状态,并在发生故障的情况下将流量动态重新路由到热备用。

带外流量是通过网络TAP或SPAN /镜像端口从网络复制出来的(有关TAP的入门知识,请参见:https://www.lovemytool.com/blog/2018/09/deciding-which-tap-to-purchase-network-tapstest-access-points-are-the-absolute-best-way-to-gain-access-to-network-traff.html)。它在如何处理流量并将其复制到多个监视和安全设备方面提供了很大的灵活性,并且不会影响实时网络。它还提供了前所未有的网络可见性,并确保所有设备都收到正确处理其职责所需的流量的副本。它不仅可以确保您的监视、安全性和分析工具能够获得所需的流量,还可以确保您的网络安全。它还可以确保设备不会在不需要的流量上消耗资源。或许您的网络分析仪不需要记录备份的流量,因为备份过程中会占用宝贵的磁盘空间。这些东西很容易从分析仪中过滤掉,同时保留了该工具的所有其他流量。也许您有一个完整的子网,您要保证它对其他一些系统保持隐藏状态;同样,这很容易在选定的输出端口上被删除。实际上,单个NPB可以内联处理一些流量链路,同时处理其他带外流量。

网络数据包代理可以解决哪些常见问题?

我们已经介绍了这些功能,并在此过程中介绍了NPB的一些潜在应用程序。现在让我们集中讨论NPB解决的最常见的痛点。

工具的网络访问受限:

网络数据包代理解决的第一大挑战是访问受限。换句话说,将网络流量复制到每个需要它的安全和监视设备是一个挑战。当您打开SPAN端口或安装TAP时,您只有一个可能需要去到许多工具的流量源。此外,任何给定的工具实际上都应该从网络中的多个点接收流量,以消除盲点。那么,如何将所有流量传递给每个工具?

NPB通过两种方式对此进行了补救:它可以接受流量馈送,并将该流量的精确副本复制尽可能多的工具中。不仅如此,NPB还可以从网络中不同点的多个源获取流量,并将它们汇总在一起输出到单个工具。将这两个功能结合在一起,您就可以接受来自SPAN和TAP监控器端口的所有源,并将它们汇总到NPB中,根据需要进行聚合,并将该流量的副本输出到您环境中的每个工具,同时保持对发送到每个工具的流量的精确控制,这也包括一些无法处理的流量。

如前所述,可以从流量中剥离协议,否则可能会阻止工具对其进行分析。NPB也可以终止隧道(例如GRE),以便包含在其中的流量可以由各种工具来解析。

网络数据包还充当将新工具添加到环境中的中央枢纽。无论是内联还是带外,都可以将新设备连接到NPB,并且只需对现有规则表进行一些快速编辑,新设备即可接收网络流量,而不会中断网络的其余部分或重新布线。

优化工具效率:

网络数据包代理可帮助您充分利用监视和安全设备。让我们考虑一下使用这些工具可能遇到的一些潜在情况,您的许多监视/安全设备可能正在浪费与该设备无关的流量处理能力。最终,设备会达到其上限,既处理有用的流量也处理不太有用的流量。在这一点上,该设备的供应商一定会很乐意为您提供功能强大的替代产品,甚至具有多余的处理能力来解决您的问题……不管怎么说,始终还是会浪费一段时间。如果我们能在这个工具到达之前把那些对它毫无意义的流量处理掉呢。

另外,假设设备仅查看其接收到的流量的标头信息。对数据包进行切片来移除有效负载,然后仅转发标头信息,就可以大大减少工具的流量负担;那为什么不呢?网络数据包代理可以做到这一点。这延长了现有工具的使用寿命,并减少了频繁升级的需求。

您可能会发现自己已经耗尽了设备上的可用接口,而这些设备可能仍然有大量的可用空间。接口甚至可能没有在其可用流量附近传输。NPB的聚合将解决此问题。通过在NPB上聚合流向设备的数据流,您可以充分利用设备提供的每个接口,优化带宽利用率并释放接口。

另一个类似的情况是,您的网络基础架构已迁移到10G,而设备只有1G接口。设备可能仍然能够轻松处理那些链接上的流量,但是根本无法协商链接的速度。在这种情况下,NPB可以有效地充当速度转换器并将流量传递到该工具。如果带宽成为限制,那么NPB还可丢弃无关的流量,执行数据包切片,并在工具的可用接口上对剩余流量进行负载平衡,从而再次延长其使用寿命。

同样,NPB在执行这些功能时也可以充当媒体转换器。如果设备仅具有铜缆接口,但需要处理来自光纤链路的流量,则NPB可以再次充当中介,从而再次获得到该设备的流量。

最大化您在安全和监视设备上的投资:

网络数据包代理使组织可以从其投资中获得最大的收益。如果您具有TAP基础结构,则数据包代理将把分接流量的访问权限扩展到需要它的所有设备。NPB通过消除无关的流量并从网络工具分流各种功能来减少浪费的资源,以便它们可以实现其设计的功能。NPB可以用来为您的环境添加更高级别的容错能力甚至网络自动化。提高响应速度,减少停机时间,并使人员腾出时间专注于其他任务。NPB带来的效率提高了网络可见性,减少了资本支出和运营成本,并增强了组织的安全性。

在本文中,我们广泛研究了什么是网络数据包代理,任何可行的NPB应该具有什么功能,如何将NPB部署到网络中以及它们解决的最常见问题。这不是有关网络数据包代理的详尽论述,但希望这有助于解释有关这些设备的疑问或困惑。也许上面的一些示例说明了NPB如何解决网络中的问题,或者提示了一些有关如何提高环境效率的思考。在以后的文章中,我们将研究一些特定的问题,以及Cubro在TAP、网络数据包代理和探针方面如何解决这些问题。