網絡監測交換機如何幫助IT團隊保持積極主動
一流的團隊都面臨巨大的壓力,提高企業網絡的性能和安全性。監測安全性、合規性和性能需要得到正確的數據以供正確的監測工具進行分析。本文介紹網絡監測交換機的功能,以及如何優化監測工具的流量,提高整體監測工具的性能和保護IT團隊的監測工具投資。
當今商業環境面臨的監測挑戰
業務應用和系統的快速發展使信息技術(IT)成為世界上最成功的公司戰略的一部分。近期轉向虛擬化和云計算正值惡意實體對戰略資產發起不斷增加的威脅之時。同時,越來越苛刻的政府和行業法規需要更嚴格的數據中心控制,以確保合規性。信息機構都在努力應對這些挑戰,同時努力改善網絡和計算機系統的響應性和可靠性,以幫助提高其公司的競爭優勢。
為了擺脫這些數據中心的挑戰,IT團隊使用多項技術主動監測他們的網絡和應用。應用性能監測、網絡性能監測、入侵檢測和預防系統、網絡電話顯示器、數據記錄器、傳統的網絡分析儀是監測工具的示例,幫助IT團隊更好地了解其網絡的性能和問題。這些有價值的工具都需要訪問網絡數據,以進行它們的分析。網絡設備和網絡TAP上的鏡像端口(也稱為SPAN端口)構成了為分析工具提供網絡數據的數據接入點。但是,因為數據接入點的數目是有限的,連接了大量的監測工具到網絡是不可能的。一個相對較新的技術——網絡監測交換機,是為了解決這個問題。
網絡監測交換機位于網絡SPAN、TAP和監測工具之間。該技術允許網絡工程師從 SPAN
和TAP 端口收集網絡流量,并提供帶有網絡數據副本的監測工具。
圖1 展示了網絡監測交換機配合一個典型的網絡。但是,網絡監測交換機做的遠不止復制數據。它們解決了網絡工程師在當今的數據中心面臨的安全性、合規性以及可視性問題。
根據Forrester研究公司2011年8月公布的報告,網絡監測交換機是今天的數據中心的必備元素之一。此外,來自Forrester的報告指出:
•“I&O(基礎設施和運營)的專業人士正在轉向數據中心的監測交換機;這些裝置可以收集所有來自網絡上的SPAN鏈接和TAP的流量,并與多個監測和管理工具共享。該交換機可以與IDS / IPS、APM等工具共享其他基于流的信息,從而消除了SPAN端口和網絡分流短缺。”
圖一 網絡監測交換機位于網絡SPAN、TAP和監測工具之間
#p#
本白皮書將介紹網絡監測交換機的能力,并解釋它解決當今數據中心的問題。
監測工具全面可視網絡
將監測工具直接連接網絡中的 TAP 和SPAN端口是獲得分析數據最簡單的方法,但這種方法有幾個缺陷。最直接的問題是,只是沒有足夠的TAP和SPAN端口針對典型IT團隊使用的所有工具。根據企業管理協會公司的研究和分析,43%的組織表示SPAN和TAP的短缺是他們無法監測所有網段的主要原因。(參見圖2)。
覆蓋范圍:為什么不能監測所有網段?
Ÿ SPAN/TAP短缺
Ÿ 沒有足夠的監測工具
Ÿ 買不起附加工具
Ÿ 工作人員跟不上
Ÿ 覆蓋范圍足夠
Ÿ 工具不提供能力
Ÿ 其他
圖2:企業管理協會數據:為什么一些網段不能被監測
現代網絡架構通過網絡提供了多條路徑,這有助于提高網絡的可靠性,同時也為有效的監督創造了另一個問題。當一個或多個鏈路失敗,這種冗余的網絡體系結構確保了數據仍然可以到達其目的地時。然而,冗余也意味著在網絡中的兩個設備之間的數據可能不能通過完全相同的網絡路徑,一些數據可能被監測工具錯過。
因為許多監測工具需要來自一個會話的所有數據來執行精確的分析,很有可能該數據缺失會導致不準確的報告。試想只計算駛過一個街道的車輛數目來分析一個城市的交通。這條街上的交通量可能并不能代表其他地方的交通,車型的頻率的統計分析很可能被扭曲。缺乏可視性嚴重限制了監測工具的有效性。
網絡監測交換機解決了可視性的問題。網絡監測交換機使IT團隊能夠快速連接TAP和SPAN到監測工具,并通過一個易于控制的控制面板來配置這些連接。這樣一來,監測工具可以訪問來自多個網段的所有數據,并獲得網絡流量的完整視圖。此外,監測工具可以獲得來自一個或多個網段的數據副本,從而使更多的工具來獲得相同的網絡數據。
網絡監測交換機通過解決TAP和SPAN短缺的問題增加可視性。然而,先進的網絡監測交換機還提高監測能力,方法是放寬帶寬升級路徑、提高網絡監測工具的性能、安全訪問網絡數據,并提高數據中心的生產率。#p#
放寬升級道路
現代數據中心面臨的另一個挑戰是需要升級到10G或40G,以處理不斷增長的帶寬需求。據Anue系統網絡工程師最近進行的市場調查顯示,超過40%的受訪者計劃在未來18個月內提升他們的支柱網絡。你什么時候開始升級?
圖3:網絡工程師什么時候計劃升級其支柱網絡
升級的網絡是昂貴的,并且當網絡監測工具必須同時進行升級時變得更加昂貴。傳統意義上,網絡工程師沒有選擇。當他們升級他們的網絡,他們也不得不升級監測工具。隨著網絡監測交換機的到來,網絡工程師現在有一個更好的選擇,因為這些新設備還允許低速監測工具接收來自高速核心網段的數據。網絡工程師現在能夠利用他們的低速工具監測高速支柱網絡,保護其原有的監測工具投資。
那么,監測交換機如何在升級后的網絡中工作呢?該網絡監測交換機“降檔”網絡數據的速度與可用監測工具的速度相匹配。因為該網絡監測工具與升級后的網絡之間潛在的速度不匹配,監測工具可能對導致數據包丟失的數據不知所措。該網絡監測交換機提供了一種方法來過濾網絡數據,以減少數據量,符合該工具的處理能力。
這種能力不僅解決了速度地差距,而且還可以從數據流中刪除其他不必要的數據包,只提供監測工具所需的分析數據。這樣一來,監測工具在涉及不相關的數據時不必要浪費CPU和內存資源。隨著IT組織過渡到新的、更高速的網絡技術,這不僅擴展了監測工具投資,它還讓IT團隊從他們已經擁有的監測工具中得到性能改善。
使監測工具更好地工作
IT組織對監測工具進行大量的投資。因此,至關重要的是,IT團隊通過充分利用自己的核心能力來充分利用他們的監測工具。為了幫助IT團隊實現他們的監測工具的最大優勢,先進的網絡監測交換機提供了許多功能,從他們的工具卸載密集型處理。這樣的特性包括數據包過濾、負載均衡、數據包重復數據刪除、數據包微調和MPLS剝離。
過濾
使用監測工具來找到所需要的數據包并丟棄剩余的數據包浪費了昂貴的資源。它也是處理器密集型的。通過在網絡監測交換機上過濾數據,監測工具被釋放來執行被購買的工作,從而導致監測工具執行更多有用的工作。
過濾通常分三個階段進行。第一階段是在網絡所連接的端口(網絡接口)上進行。第二階段是位于網絡端口和監測工具所連接的端口(工具端口)之間的能力強、端口獨立的過濾器。過濾的第三階段是在工具端口進行。三級過濾是很重要的,因為在網絡端口的過濾完全消除了排除在外的流量被提供給所有的工具端口。一旦該流量被刪除,它不再可用于分析。
一種替換的方法是在工具端口過濾,但這將導致兩個問題。第一,工具接口可能被來自網絡端口的流量覆蓋。第二,網絡過濾器和工具過濾器之間的相互作用復雜且不明顯,除非你精通集合論。端口獨立的過濾器是進行批量過濾的理想場所,因為它可以通過這個單一的過濾器定義準確地了解正在發生的事情。當考慮一個網絡監測交換機,了解其過濾能力是很重要的。請參閱圖3作為三級過濾的例子。#p#
圖3.三級過濾的例子
負載均衡
當企業網絡中的數據量增加,IT團隊經常發現,該網絡數據流的增長速度比其監測工具的能力更快。之前表現不錯的單個監測工具現在喪失能力。通過“負載平衡”,一些網絡監測交換機具有跨多個工具發送數據的能力,而且堅持將所有數據從一個特定的會話發送到單一監測工具。負載平衡功能保持會話數據放在一起,以進行更好的分析,但跨多個監測工具平衡了網絡總負荷。這個功能被廣泛用于與網絡數據記錄器。由于會話數據被保持在一起,在以后的時間里只需要一個數據記錄器訪問來分析任何給定會話。
數據包重復數據刪除
卸載的另一種形式是網絡監測交換機從網絡數據流中刪除重復的數據包的能力。重復的數據包最常見是由使用SPAN/鏡像端口造成。雖然一些監測工具能夠刪除重復的數據包,許多工具不具備這種能力。然而,即使一個監測工具能夠刪除重復的數據包,這樣做是一個非常耗費資源的任務。卸載重復數據包刪除到網絡監測交換機可以減少監測工具一半的CPU負荷。
刪除重復的數據包的另一個關鍵好處是工具的以太網端口的帶寬被保存,允許提供更多的數據給監測工具。在極端的情況下,帶寬效率的提高可以增加一倍以上的“好”數據包的數量,大大提高了監測工具的性能。
數據包微調
在將數據包發送到監測工具之前,數據包微調從數據包中刪除有效載荷數據,留下標題信息。一些監測工具不要求數據包有效負載的信息,在這種情況下,刪除載荷數據允許更多的數據跨越鏈路從網絡監測交換機被發送到監測工具。這樣一來,監測工具可以收到更大數量的網絡數據。此外,由于合規性原因,在發送到監測工具之前,可能期望“微調”或刪除數據包中敏感的有效載荷數據。
MPLS剝離
刪除MPLS標簽是另一種形式的卸載,實際上增加了監測工具的能力。大多數監測工具不能夠理解MPLS標簽的數據包,使他們無法監測MPLS網絡。網絡監測交換機可以刪除MPLS標頭和轉發包含在MPLS標記的數據包中的原始數據包。標準的網絡監測工具可以用來監測MPLS網絡活動。
保持網絡數據安全
安全始終是IT組織的一個關鍵問題,因為他們負責確保錯誤的數據最終不會落入他人之手。相反,他們必須確保正確的數據在正確的人手中。網絡監測交換機具有集成到網絡安全系統的能力(如TACACS +),并允許管理員指定哪些用戶和群組可以訪問網絡數據。細粒度訪問控制能夠指定哪些群組或用戶可以訪問以及他們有權做什么——如有權修改端口設置、數據流的連接以及過濾器定義。
一旦網絡監測交換機的訪問控制建立,最佳安全實踐要求任何變化都記錄到系統日志服務器。這樣就可以知道何時何人進行了更改。#p#
提高IT生產力
IT部門缺乏時間和資源,提高生產率具有很大的意義。由于管理網絡監測配置,連接器和過濾器的定義可以是一個復雜的任務,如何通過一個監測工具管理這些配置是關鍵。利用網絡監測交換機管理配置以不同的方式進行,這取決于所選的監測交換機的的品牌。
有些需要專門配置網絡流量的命令行界面代碼,有的要求GUI界面和命令行界面代碼的結合,有的完全通過拖動和拖放界面來管理。通過拖動和拖放控制面板管理的工具比其他版本更易于部署,因為IT團隊并不必須是具體到該工具的命令語言專家。一個直觀的界面還允許IT團隊專注于經營監測工具,而不是將數據發送到工具的任務。
過濾庫
網絡監測交換機的另一個省時的功能是導入和導出精細控制哪些內容被保存或加載的配置信息。過濾器定義庫也可以被保存,使IT團隊能夠創造共同的過濾器定義,并為團隊之間的使用傳播這些庫。
自動化
自動化是適用于某些網絡監測交換機的生產力提高。監測工具、網絡管理系統和IT自動化系統可以動態地控制網絡監測交換機。通過使用一個簡單的腳本語言,基于軟件的系統可以控制網絡監測交換機的任何方面。 IT團隊現在可以創建功能非常強大的系統,這些系統使用協同或自動化工作的多個網絡設備。
想象一下,一個入侵檢測系統(IDS)在發生入侵時就檢測到。利用網絡監測交換機的自動化功能,IDS啟動了腳本,建立了被IDS監測的網絡端口和網絡數據記錄器之間的連接,立即捕獲入侵事件以供日后分析。同樣,網絡管理系統能夠應對網絡中發生的變化,并更改過濾器或添加/更改/刪除網絡監測交換機的內部連接。
總結
IT團隊面臨的壓力正在不斷增加,以提高企業網絡的性能和安全性。為了應對這些挑戰,IT團隊依靠監測工具。監測安全性、合規性以及應用和網絡性能要求訪問越來越多的網絡數據、優化性能的監測工具和全面了解網絡。不幸的是,數據接入點的數量有限,妨礙了有效的監測。網絡監測交換機是解決這些挑戰的必要工具。網絡監測交換機不僅解決TAP和SPAN短缺的問題,同時也優化了到所有監測工具的流量,提高了整體監測工具性能并保護IT團隊的監測工具投資。
Ixia的Anue5200系列網絡優化工具
Anue系統5200系列網絡工具優化™(NTO)結合了帶有強大功能以及三級過濾、自動化和數據包復制的基本網絡監測交換機的功能和好處。
NTO業界領先的“拖動和拖放”控制面板使它成為業內最易使用的網絡監測交換機。
