Nā hoʻonā hou no ke kūkulu ʻana i nā ʻōnaehana palekana ʻike - nā mea hoʻolaha packet pūnaewele (Network Packet Broker)

Ua hoʻokaʻawale ka palekana ʻike mai ke kelepona i kahi ʻoihana kūʻokoʻa me kāna mau kikoʻī ponoʻī a me kāna mau lako ponoʻī. Akā aia kahi papa liʻiliʻi o nā mea hana e kū nei ma ka hui o ke kelepona a me ka infobez - nā mea hoʻolaha packet network (Network Packet Broker), he mau mea kaulike hoʻi lākou, nā hoʻololi kūikawā / nānā ʻana, nā mea hōʻuluʻulu kalepa, Security Delivery Platform, Network Visibility a pēlā aku. A ʻo mākou, ma ke ʻano he mea hoʻomohala a me ka mea hana o ia mau mea hana, makemake maoli mākou e haʻi hou aku iā ʻoe e pili ana iā lākou.

Ka laulā a me nā hana e hoʻoholo ʻia

ʻO nā packet brokers pūnaewele he mau mea hana kūikawā i loaʻa ka hoʻohana nui loa i nā ʻōnaehana palekana ʻike. No laila, he mea hou ka papa hana a he liʻiliʻi i nā ʻōnaehana pūnaewele maʻamau i hoʻohālikelike ʻia me nā hoʻololi, nā mea ala, a pēlā aku. ʻO ka paionia i ka hoʻomohala ʻana i kēia ʻano mea ʻo ka hui ʻAmelika ʻo Gigamon. I kēia manawa, ʻoi aku ka nui o nā mea pāʻani i kēia mākeke (me nā hopena like ʻole mai ka mea hana kaulana o nā ʻōnaehana hoʻāʻo - IXIA), akā ʻo kahi pōʻai liʻiliʻi wale nō o nā poʻe loea e ʻike mau i ke ola o ia mau mea. E like me ka mea i hōʻike ʻia ma luna, ʻoiai me ka huaʻōlelo ʻaʻohe mea maopopo ʻole: nā inoa mai nā "pūnaewele transparency network" i nā "balancers" maʻalahi.

ʻOiai e hoʻomohala ana i nā ʻoihana packet pūnaewele, ua ʻike mākou i ka ʻoiaʻiʻo, ma kahi o ka nānā ʻana i nā kuhikuhi no ka hoʻomohala ʻana i ka hana a me ka hoʻāʻo ʻana i nā laboratories / hoʻāʻo ʻana, pono ia e wehewehe like i nā mea kūʻai aku e pili ana i ke ola ʻana o kēia papa o nā lako. , ʻoiai ʻaʻole ʻike nā kānaka a pau.

ʻOiai ʻo 15-20 mau makahiki i hala aku nei, he liʻiliʻi nā kaʻa ma ka pūnaewele, a ʻo ka hapa nui o ka ʻikepili koʻikoʻi. Akā ʻO ke kānāwai o Nielsen hana hou Kānāwai o Moore: Piʻi ka wikiwiki o ka pili pūnaewele ma 50% i kēlā me kēia makahiki. Ke ulu mau nei ka nui o nā kaʻa (hōʻike ka pakuhi i ka wānana 2017 mai Cisco, kumu Cisco Visual Networking Index: Forecast and Trends, 2017–2022):

Me ka wikiwiki, ke koʻikoʻi o ka hoʻolaha ʻana i ka ʻike (he mea huna kālepa kēia a me ka ʻikepili pilikino kaulana) a ke piʻi nei ka hana holoʻokoʻa o ka ʻoihana.

No laila, ua puka mai ka ʻoihana palekana ʻike. Ua pane aku ka ʻoihana i kēia me nā ʻōnaehana holoʻokoʻa holoʻokoʻa (DPI), mai nā ʻōnaehana pale kaua DDOS i nā ʻōnaehana hoʻokele hanana hanana ʻike, me IDS, IPS, DLP, NBA, SIEM, Antimailware a pēlā aku. ʻO ka maʻamau, ʻo kēlā me kēia o kēia mau mea hana he polokalamu ia i hoʻokomo ʻia ma kahi kahua kikowaena. Eia kekahi, ua hoʻokomo ʻia kēlā me kēia polokalamu (mea hana loiloi) ma kāna kahua kikowaena: ʻokoʻa nā mea hana lako polokalamu, a koi ʻia ka nui o nā kumuwaiwai helu no ka nānā ʻana ma L7.

Ke kūkulu ʻana i kahi ʻōnaehana palekana ʻike, pono e hoʻoponopono i kekahi mau hana maʻamau:

• Pehea e hoʻololi ai i nā kaʻa mai ka ʻōnaehana i nā ʻōnaehana loiloi? (ʻaʻole lawa ka nui a i ʻole ka hana ʻana o nā awa SPAN i hoʻokumu mua ʻia no kēia i nā ʻenehana hou)
• pehea e puunaue ai i ke kaahele ma waena o nā ʻōnaehana anamanaʻo like ʻole?
• pehea e hoʻonui ai i nā ʻōnaehana inā ʻaʻole lawa ka hana o hoʻokahi laʻana o ka mea anaana e hoʻoponopono i ka nui holoʻokoʻa o ke kaʻa e komo ai?
• pehea e nānā ai i nā pilina 40G/100G (a i ka wā e hiki mai ana ʻo 200G/400G), no ka mea, kākoʻo wale nā ​​mea hana loiloi i kēia manawa i nā interface 1G/10G/25G?

A me kēia mau hana pili:

• pehea e hōʻemi ai i nā kaʻa kūpono ʻole pono ʻole e hoʻoponopono ʻia, akā hele i nā mea hana loiloi a hoʻopau i kā lākou waiwai?
• pehea e hoʻoponopono ai i nā ʻeke a me nā ʻeke me nā hōʻailona lawelawe ʻoihana, ʻo ka hoʻomākaukau ʻana no ka nānā ʻana e lilo i kumu waiwai a i ʻole hiki ke hoʻokō ʻia?
• pehea e wehe ʻole ai i ka ʻāpana ʻikepili o ke kaʻa i hoʻoponopono ʻole ʻia e ke kulekele palekana (no ka laʻana, traffic of the head).

E like me ka ʻike o nā mea a pau, hoʻokumu ka noi i ka lako, i ka pane ʻana i kēia mau pono, ua hoʻomaka ka hoʻomohala ʻana o nā packet brokers.

ʻO ka wehewehe nui o nā mea kūʻai pūnaewele pūnaewele

Ke hana nei nā mea kūʻai packet pūnaewele ma ka pae packet, a ma kēia ʻano like lākou me nā hoʻololi maʻamau. ʻO ka ʻokoʻa nui mai nā hoʻololi, ʻo ia nā lula no ka hāʻawi ʻana a me ka hōʻuluʻulu ʻana o nā kaʻa i loko o nā ʻoihana packet brokers i hoʻoholo piha ʻia e nā hoʻonohonoho. ʻAʻole i loaʻa i nā mea kūʻai packet pūnaewele nā ​​kūlana no ke kūkulu ʻana i nā papa hoʻouna (MAC tables) a me nā kuʻina hoʻololi me nā hoʻololi ʻē aʻe (e like me STP), a no laila ʻoi aku ka laulā o ka laulā o nā hoʻonohonoho hiki a me nā kahua hoʻomaopopo i loko o lākou. Hiki i kekahi broker ke puunaue like i ke kalaiwa mai hookahi a oi mau awa hookomo i ka laula o na awa puka me kahi hi'ona ho'okohu ho'okohu. Hiki iā ʻoe ke hoʻonohonoho i nā lula no ke kope ʻana, kānana, hoʻokaʻawale, hoʻokaʻawale a hoʻololi i nā kaʻa. Hiki ke hoʻohana ʻia kēia mau lula i nā pūʻulu like ʻole o nā awa hoʻokomo o ka mea hoʻolaha packet pūnaewele, a me ka hoʻopili ʻana i kekahi ma hope o kekahi i loko o ka hāmeʻa ponoʻī. ʻO kahi pōmaikaʻi koʻikoʻi o ka packet broker ka hiki ke hoʻoponopono i nā kaʻa ma ke kahe holo piha a mālama i ka pono o nā kau (i ke ʻano o ke kaulike ʻana i nā kaʻa i nā ʻōnaehana DPI o ke ʻano like).

ʻO ka mālama ʻana i ka pono o nā kau, ʻo ia ka hoʻoili ʻana i nā ʻeke āpau o ka hālāwai o ka papa lawe (TCP / UDP / SCTP) i hoʻokahi awa. He mea koʻikoʻi kēia no ka mea ʻo nā ʻōnaehana DPI (ʻo ia ka polokalamu e holo ana ma kahi kikowaena pili i ke awa puka o kahi mea kūʻai packet) e nānā i ka ʻike o ke kaʻa ma ka pae noi, a ʻo nā ʻeke a pau i hoʻouna ʻia e hoʻokahi noi pono e hōʻea i ka manawa like o ka. mea kālailai . Inā nalowale nā ​​ʻeke o hoʻokahi kau a puʻunaue ʻia ma waena o nā mea DPI like ʻole, a laila e like kēlā me kēia mea DPI i kahi kūlana e like me ka heluhelu ʻana ʻaʻole i kahi kikokikona holoʻokoʻa, akā nā huaʻōlelo pākahi mai ia mea. A ʻo ka mea nui paha, ʻaʻole maopopo ka kikokikona.

No laila, i ka nānā ʻana i nā ʻōnaehana palekana ʻike, loaʻa i nā mea kūʻai pūnaewele packet nā hana e kōkua ai i ka hoʻopili ʻana i nā ʻōnaehana polokalamu DPI i nā pūnaewele kelepona wikiwiki a hoʻemi i ka ukana ma luna o lākou: kānana mua lākou, hoʻokaʻawale a hoʻomākaukau i nā kaʻa e hoʻomaʻamaʻa i ka hana ma hope.

Eia kekahi, no ka hāʻawi ʻana o nā mea hoʻolaha packet pūnaewele i kahi ākea o nā helu helu a pili pinepine i nā wahi like ʻole i ka pūnaewele, ʻike pū lākou i ko lākou wahi i ka ʻike ʻana i nā pilikia olakino o ka ʻoihana pūnaewele ponoʻī.

Nā hana kumu o nā mea kūʻai pūkewele pūnaewele

ʻO ka inoa "nā hoʻololi hoʻolaʻa / nānā ʻana" i kū mai ke kumu kumu: e hōʻiliʻili i nā kaʻa mai ka ʻoihana (e hoʻohana mau ana i ka passive optical TAP taps a / a i ʻole nā ​​awa SPAN) a puʻunaue ia i waena o nā mea hana loiloi. Hoʻohālikelike ʻia ke kaʻahele ma waena o nā ʻōnaehana o nā ʻano like ʻole, a kaulike ma waena o nā ʻōnaehana o ke ʻano like. ʻO nā hana kumu maʻamau ka kānana ʻana e nā māla a hiki i L4 (MAC, IP, TCP / UDP port, etc.) a me ka hōʻuluʻulu ʻana o kekahi mau ala māmā i hoʻouka ʻia i hoʻokahi (no ka laʻana, no ka hana ʻana ma kahi ʻōnaehana DPI).

Hāʻawi kēia hana i kahi hopena i ka hana maʻamau - hoʻopili i nā ʻōnaehana DPI i ka ʻoihana pūnaewele. ʻO nā mea kūʻai aku mai nā mea hana like ʻole, i kaupalena ʻia i ka hana maʻamau, hāʻawi i ka hoʻoili ʻana a hiki i 32 100G interfaces no 1U (ʻoi aku ka nui o nā interface ʻaʻole i kūpono i ke kino ma ka panel mua 1U). Eia nō naʻe, ʻaʻole lākou e ʻae i ka hoʻemi ʻana i ka ukana ma nā mea hana loiloi, a no kahi ʻenehana paʻakikī ʻaʻole hiki iā lākou ke hāʻawi i nā koi no kahi hana maʻamau: hiki ke hoʻohālikelike ʻia kahi hālāwai i māhele ʻia ma luna o kekahi mau tunnels (a i hoʻolako ʻia me nā inoa MPLS) no nā manawa like ʻole o ka. analyzer a hāʻule maʻamau mai ka nānā ʻana.

Ma waho aʻe o ka hoʻohui ʻana i nā kikowaena 40/100G a, ma muli o ka hoʻomaikaʻi ʻana i ka hana, ke ulu ikaika nei nā ʻoihana packet brokers ma ke ʻano o ka hāʻawi ʻana i nā hiʻohiʻona hou: mai ke kaupaona ʻana i nā poʻomanaʻo tunnel nested i ka decryption traffic. ʻO ka mea pōʻino, ʻaʻole hiki i kēlā mau hiʻohiʻona ke kaena i ka hana ma terabits, akā hiki iā lākou ke kūkulu i kahi ʻōnaehana palekana ʻike kiʻekiʻe a me ka ʻenehana "nani" kahi e hōʻoiaʻiʻo ʻia ai kēlā me kēia mea hana loiloi e loaʻa wale i ka ʻike e pono ai i ke ʻano kūpono loa. no ke kālailai ʻana.

Nā hana kiʻekiʻe o nā mea hoʻolaha packet pūnaewele

1. Ua ʻōlelo ʻia ma luna poʻomanaʻo hoʻopaʻa ʻana i ke kaulike ʻana i ke kaʻa kaʻa.

No ke aha he mea nui? E noʻonoʻo i 3 mau mea hiki ke koʻikoʻi a hui pū ʻia paha:

• e hōʻoia i ke kaulike kaulike i mua o kahi helu liʻiliʻi o nā tunnels. Inā he 2 tunnels wale nō ma kahi o ka pilina o nā ʻōnaehana palekana ʻike, a laila ʻaʻole hiki ke hoʻokaʻawale iā lākou e nā poʻomanaʻo waho ma nā kahua kikowaena 3 i ka wā e mālama ana i ke kau. I ka manawa like, hoʻouna ʻia nā kaʻa ma ka pūnaewele me ka ʻole, a ʻo ke kuhikuhi ʻana o kēlā me kēia tunnel i kahi hale hana kaʻawale e koi ai i ka hana nui o ka hope;
• e hōʻoiaʻiʻo ana i ka pono o nā kau a me nā kahawai o nā protocol multisession (e like me FTP a me VoIP), nā ʻeke i pau i nā tunnels like ʻole. Ke piʻi mau nei ka paʻakikī o ka ʻoihana pūnaewele: redundancy, virtualization, simplification of administration, a pēlā aku. Ma kekahiʻaoʻao, hoʻonui kēia i ka hilinaʻi ma keʻano o ka laweʻana i kaʻikepili, ma kaʻaoʻao'ē aʻe, hoʻopiʻi ia i ka hana o nā pūnaewele palekana. ʻOiai me ka lawa ʻana o ka hana a nā mea loiloi e hoʻoponopono i kahi kaila i hoʻolaʻa ʻia me nā tunnels, ʻaʻole hiki ke hoʻonā ʻia ka pilikia, no ka mea, ua hoʻouna ʻia kekahi o nā ʻeke hālāwai hoʻohana ma luna o kahi ala ʻē aʻe. Eia kekahi, inā e ho'āʻo mau lākou e mālama i ka pono o nā kau ma kekahi mau ʻoihana, a laila hiki i nā protocol multisession ke hele i nā ʻano like ʻole;
• ke kaulike ma ke alo o MPLS, VLAN, nā mea hoʻohana ponoʻī, etc. ʻAʻole maoli nā tunnels, akā naʻe, hiki i nā mea hana me nā hana maʻamau ke hoʻomaopopo i kēia kaʻa ʻaʻole ma ke ʻano he IP a me ke kaulike e nā helu MAC, e hōʻino hou ana i ka kūlike o ke kaulike a i ʻole ka pono o ka hālāwai.

Hoʻokaʻawale ka mea hoʻolaha packet pūnaewele i nā poʻomanaʻo o waho a hahai i nā kuhikuhi a hiki i ke poʻo IP pūnana a me nā kaulike ma luna. ʻO ka hopena, ʻoi aku ka nui o nā kahawai (ʻo ia hoʻi, hiki ke kaulike ʻole ʻia a ma luna o ka nui o nā paepae), a loaʻa i ka ʻōnaehana DPI nā ʻeke kau a pau a me nā kau pili āpau o nā protocol multisession.

2. Hoʻololi kaʻahele.
ʻO kekahi o nā hana ākea e pili ana i kona hiki, ʻo ka nui o nā subfunctions a me nā koho no kā lākou hoʻohana he nui:

• ka wehe ʻana i ka uku, ʻo ia wale nō nā poʻomanaʻo packet i hāʻawi ʻia i ka parser. He kūpono kēia no nā mea hana loiloi a i ʻole nā ​​ʻano kaʻa kaʻa kahi i hoʻokani ʻole ʻia ai nā ʻike o nā ʻeke a ʻaʻole hiki ke nānā ʻia. No ka laʻana, no ke kaʻa i hoʻopili ʻia, ka ʻikepili hoʻololi parametric (ʻo wai, me wai, i ka manawa, a me ka nui) paha he mea hoihoi, ʻoiai ʻo ka uku uku he ʻōpala maoli ia e noho ana i ke kahawai a me nā kumu helu helu o ka mea kānana. Hiki ke hoʻololi ʻia ke ʻoki ʻia ka uku uku e hoʻomaka ana mai kahi offset i hāʻawi ʻia - hāʻawi kēia i kahi ākea hou no nā mea hana loiloi;
• detunneling, ʻo ia ka wehe ʻana i nā poʻomanaʻo e kuhikuhi a ʻike i nā tunnels. ʻO ka pahuhopu e hōʻemi i ka ukana ma nā mea hana loiloi a hoʻonui i ko lākou pono. Hiki ke hoʻokumu ʻia ka detunneling ma kahi hoʻopaʻa paʻa a i ʻole ka nānā ʻana i ke poʻo poʻomanaʻo a me ka hoʻoholo hoʻoholo no kēlā me kēia ʻeke;
• ka wehe ʻana i kekahi mau poʻomanaʻo packet: nā inoa MPLS, VLAN, nā kahua kikoʻī o nā mea hana ʻekolu;
• ka uhi ʻana i kahi ʻāpana o nā poʻo, no ka laʻana, ka huna ʻana i nā helu IP e hōʻoia i ka inoa ʻole o ke kaʻa;
• ka hoʻohui ʻana i ka ʻike lawelawe i ka ʻeke: nā timestamp, ke awa hoʻokomo, nā lepili papa kaʻa, etc.

3. Hoʻopau hou - ka hoʻomaʻemaʻe ʻana i nā ʻeke huakaʻi hou i hoʻouna ʻia i nā mea hana loiloi. Loaʻa pinepine ʻia nā paʻi pālua ma muli o nā ʻano o ka hoʻopili ʻana i ka ʻoihana - hiki ke hele i ke kaʻa ma nā wahi o ka nānā ʻana a hoʻohālikelike ʻia mai kēlā me kēia. Aia kekahi hoʻouna hou ʻana i nā ʻeke TCP piha ʻole, akā inā he nui o lākou, a laila he mau nīnau hou kēia no ka nānā ʻana i ka maikaʻi o ka pūnaewele, ʻaʻole no ka palekana ʻike i loko.

4. Nā hiʻohiʻona kānana kiʻekiʻe - mai ka ʻimi ʻana i nā waiwai kikoʻī ma kahi offset i hāʻawi ʻia i ka loiloi pūlima i loko o ka pūʻolo holoʻokoʻa.

5. Hanana NetFlow/IPFIX - ka hōʻiliʻili ʻana o nā ʻano helu helu e pili ana i ka hele ʻana a me kāna hoʻololi ʻana i nā mea hana loiloi.

6. Decryption o SSL kalepa, nā hana i hāʻawi ʻia e hoʻouka mua ʻia ka palapala hōʻoia a me nā kī i loko o ka mea hoʻolaha packet pūnaewele. Eia naʻe, ʻae kēia iā ʻoe e wehe nui i nā mea hana loiloi.

Nui nā hana'ē aʻe, pono a me ka kūʻaiʻana, akā,ʻo nā mea nui paha, ua heluʻia.

ʻO ka hoʻomohala ʻana o nā ʻōnaehana ʻike (intrusions, DDOS attacks) i loko o nā ʻōnaehana no ka pale ʻana, a me ka hoʻokomo ʻana i nā mea hana DPI ikaika, pono e hoʻololi i ka hoʻololi hoʻololi mai passive (ma o TAP a i ʻole SPAN ports) i ka hana ("i ka wā hoʻomaha" ). Ua hoʻonui kēia kūlana i nā koi no ka hilinaʻi (no ka hiki ʻole i kēia hihia ke alakaʻi i ka haunaele o ka pūnaewele holoʻokoʻa, ʻaʻole wale i ka nalowale o ka mana ma luna o ka palekana ʻike) a alakaʻi i ka hoʻololi ʻana o nā couplers optical me nā bypasses optical (i mea e hoʻoponopono i ka pilikia o ka hilinaʻi ʻana o ka hana o ka pūnaewele i ka hana o nā ʻōnaehana ʻike palekana), akā mau ka hana nui a me nā koi no ia.

Ua hoʻomohala mākou i ka DS Integrity Network Packet Brokers me 100G, 40G a me 10G interface mai ka hoʻolālā a me ka circuitry a hiki i ka polokalamu hoʻopili. Eia kekahi, ʻaʻole like me nā mea hoʻolaha packet ʻē aʻe, ua hoʻokō ʻia ka hoʻololi ʻana a me ke kaulike ʻana no nā poʻomanaʻo tunnel nested i kā mākou lako, me ka wikiwiki o ke awa.

Source: www.habr.com