ProHoster > Блог > Nchịkwa > Ihe ngwọta ọgbara ọhụrụ maka iwulite sistemụ nchekwa ozi - ndị na-ere ahịa ngwugwu netwọk (Network Packet Broker)

Ihe ngwọta ọgbara ọhụrụ maka iwulite sistemụ nchekwa ozi - ndị na-ere ahịa ngwugwu netwọk (Network Packet Broker)

Nchekwa ozi kewapụrụ na nkwukọrịta gaa na ụlọ ọrụ nọọrọ onwe ya nwere nkọwapụta nke ya na akụrụngwa nke ya. Ma e nwere obere-mara klas nke ngwaọrụ na-eguzo na nkwụsị nke telecom na infobez - ndị na-ere ahịa ngwugwu netwọk (Network Packet Broker), ha bụkwa ndị na-ebu ibu, ndị pụrụ iche / nleba anya switches, ndị na-achịkọta okporo ụzọ, Platform Nnyefe Nchekwa, Visibility Network na ndị ọzọ. Ma anyị, dị ka onye nrụpụta Russia na onye nrụpụta ngwaọrụ ndị dị otú ahụ, chọrọ n'ezie ịkọrọ gị ihe ndị ọzọ gbasara ha.

Ihe ngwọta ọgbara ọhụrụ maka iwulite sistemụ nchekwa ozi - ndị na-ere ahịa ngwugwu netwọk (Network Packet Broker)

Oke na ọrụ a ga-edozi

Ndị na-ere ihe ngwungwu netwọkụ bụ ngwaọrụ pụrụ iche achọpụtala ojiji kachasị na sistemụ nchekwa ozi. Dị ka nke a, klas ngwaọrụ dị ọhụrụ na ole na ole na akụrụngwa netwọk nkịtị ma e jiri ya tụnyere switches, routers, na ndị ọzọ. Onye ọsụ ụzọ na mmepe nke ụdị ngwaọrụ a bụ ụlọ ọrụ America Gigamon. Ka ọ dị ugbu a, enwere ọtụtụ ndị egwuregwu n'ahịa a (gụnyere ihe ngwọta ndị yiri ya sitere n'aka onye nrụpụta ama ama nke sistemu ule - IXIA), mana ọ bụ naanị okirikiri ndị ọkachamara ka maara banyere ịdị adị nke ngwaọrụ dị otú ahụ. Dị ka e kwuru n'elu, ọbụna na okwu okwu, ọ dịghị ihe doro anya doro anya: aha ndị sitere na "network transparency usoro" dị mfe "balancers".

Mgbe anyị na-emepe emepe ndị na-ere ahịa netwọkụ, anyị chere ihu n'eziokwu na, na mgbakwunye na nyochaa ntuziaka maka mmepe nke ọrụ na nnwale na ụlọ nyocha / mpaghara ule, ọ dị mkpa ịkọwara ndị na-azụ ahịa n'otu oge banyere ịdị adị nke klas a. , ebe ọ bụ na ọ bụghị onye ọ bụla maara banyere ya.

Ọbụna 15-20 afọ gara aga, e nwere obere okporo ụzọ na netwọk, na ọ bụ ọtụtụ ihe na-adịghị mkpa data. Ma Iwu Nielsen na-emegharị ugboro ugboro Iwu Moore: Ọsọ njikọ ịntanetị na-abawanye site na 50% kwa afọ. Ọnụ ọgụgụ nke okporo ụzọ na-etokwa ngwa ngwa (eserese ahụ na-egosi amụma 2017 sitere na Cisco, isi iyi Cisco Visual Networking Index: amụma na Trends, 2017-2022):

Ihe ngwọta ọgbara ọhụrụ maka iwulite sistemụ nchekwa ozi - ndị na-ere ahịa ngwugwu netwọk (Network Packet Broker)
Tinyere ọsọ ọsọ, mkpa ọ dị na-ekesa ozi (nke a bụ ma nzuzo nzuzo na data nkeonwe) na arụmọrụ zuru oke nke akụrụngwa na-abawanye.

N'ihi ya, ụlọ ọrụ nchekwa ozi apụtala. Ụlọ ọrụ ahụ azaghachila nke a site na ngwaọrụ nyocha okporo ụzọ (DPI), site na usoro mgbochi DDOS na usoro nlekọta ihe omume nchekwa ozi, gụnyere IDS, IPS, DLP, NBA, SIEM, Antimailware na ndị ọzọ. Dịka, nke ọ bụla n'ime ngwaọrụ ndị a bụ ngwanrọ arụnyere n'elu ikpo okwu nkesa. Ọzọkwa, a na-etinye mmemme ọ bụla (ngwa nyocha) n'elu ikpo okwu nke ya: ndị na-emepụta ngwanrọ dị iche iche, a na-achọkwa ọtụtụ ihe nchịkọta maka nyocha na L7.

Mgbe ị na-ewu usoro nchekwa ozi, ọ dị mkpa iji dozie ọtụtụ ọrụ ndị bụ isi:

  • esi nyefee okporo ụzọ site na akụrụngwa gaa na usoro nyocha? (ọdụ ụgbọ mmiri SPAN nke emebere maka nke a na akụrụngwa ọgbara ọhụrụ ezughi oke ma ọ bụ na arụmọrụ)
  • esi kesaa okporo ụzọ n'etiti usoro nyocha dị iche iche?
  • kedu ka ị ga-esi tụọ sistemu mgbe enweghị arụmọrụ zuru oke nke otu ihe atụ nke onye nyocha iji hazie olu okporo ụzọ na-abanye ya?
  • otu esi enyocha oghere 40G/100G (na n'ọdịnihu dị nso na 200G/400G), ebe ọ bụ na ngwaọrụ nyocha ugbu a na-akwado naanị 1G/10G/25G interfaces?

Na ọrụ ndị a metụtara:

  • otu esi ebelata okporo ụzọ na-ekwesịghị ekwesị nke na-adịghị mkpa ka a na-edozi ya, ma na-abanye na ngwá ọrụ nyocha ma na-eri ihe onwunwe ha?
  • esi hazie ngwugwu na ngwugwu nwere akara ọrụ ngwaike, nke nkwadebe maka nyocha ga-abụ ma ọ bụ nnukwu akụrụngwa ma ọ bụ ihe a na-apụghị ime eme ma ọlị?
  • esi ewepu na akụkụ nyocha nke okporo ụzọ nke na-adịghị achịkwa iwu nchekwa (dịka ọmụmaatụ, okporo ụzọ nke isi).

Ihe ngwọta ọgbara ọhụrụ maka iwulite sistemụ nchekwa ozi - ndị na-ere ahịa ngwugwu netwọk (Network Packet Broker)
Dị ka onye ọ bụla maara, ọchịchọ na-emepụta ọkọnọ, na nzaghachi maka mkpa ndị a, ndị na-ere ahịa ngwugwu netwọk malitere ịmalite.

Nkọwa izugbe nke ndị na-ere ahịa ngwugwu netwọkụ

Ndị na-ere ahịa ngwugwu netwọk na-arụ ọrụ na ọkwa ngwugwu, na nke a, ha yiri mgbanwe ndị nkịtị. Isi ihe dị iche site na switches bụ na iwu maka nkesa na nchịkọta nke okporo ụzọ na ndị na-ere ahịa netwọk na-ekpebi kpamkpam site na ntọala. Ndị na-ere ihe ngwungwu netwọkụ enweghị ụkpụrụ maka iwulite tebụl na-ebugharị (tebụl MAC) na mgbanwe protocol na mgba ọkụ ndị ọzọ (dịka STP), ya mere oke nke ntọala enwere ike na ubi ndị nwere ike ịghọta n'ime ha ka ukwuu. Onye na-ere ahịa nwere ike kesaa okporo ụzọ site na otu ọdụ ụgbọ mmiri ma ọ bụ karịa gaa n'ụdị ọdụ ụgbọ mmiri ewepụtara nwere njirimara na-edozi ibu ọrụ. Ị nwere ike ịtọ iwu maka idetuo, nzacha, nhazi, mwepu ma gbanwee okporo ụzọ. Enwere ike itinye iwu ndị a na otu dị iche iche nke ọdụ ụgbọ mmiri ntinye nke onye na-ere ihe ngwungwu netwọkụ, yana tinye ya n'usoro n'otu n'otu na ngwaọrụ n'onwe ya. Otu uru dị mkpa nke onye na-ere ihe ngwungwu bụ ikike ịhazi okporo ụzọ n'ụzọ zuru oke ma chekwaa iguzosi ike n'ezi ihe nke nnọkọ (n'ihe banyere ịhazi okporo ụzọ na ọtụtụ usoro DPI nke otu ụdị).

Ichekwa iguzosi ike n'ezi ihe nke nnọkọ bụ ịnyefe ngwugwu niile nke nnọkọ nke oyi akwa njem (TCP / UDP / SCTP) n'otu ọdụ ụgbọ mmiri. Nke a dị mkpa n'ihi na sistemụ DPI (na-abụkarị sọftụwia na-agba ọsọ na sava ejikọrọ na ọdụ ụgbọ mmiri nke onye na-ere ahịa ngwugwu) na-enyocha ọdịnaya nke okporo ụzọ na ọkwa ngwa, na ngwugwu niile ezigara / natara site na otu ngwa ga-abịarute n'otu oge ahụ. nyocha . Ọ bụrụ na ngwugwu nke otu nnọkọ furu efu ma ọ bụ kesaa n'etiti ngwaọrụ DPI dị iche iche, mgbe ahụ ngwaọrụ DPI ọ bụla ga-anọ n'ọnọdụ dị ka ịgụ akwụkwọ ọ bụghị ederede dum, kama okwu ndị ọ bụla sitere na ya. Na, o yikarịrị, ederede agaghị aghọta.

Ya mere, na-elekwasị anya na sistemụ nchekwa ozi, ndị na-ere ihe ntanetị nwere ọrụ nke na-enyere aka jikọọ sistemu ngwanrọ DPI na netwọk mgbasa ozi dị elu ma belata ibu dị na ha: ha na-ebu ụzọ yochaa, kewaa ma kwadebe okporo ụzọ iji mee ka nhazi na-esote dị mfe.

Tụkwasị na nke ahụ, ebe ọ bụ na ndị na-ere ahịa ngwugwu netwọk na-enye ọnụ ọgụgụ dị iche iche ma na-ejikọta ya na isi ihe dị iche iche na netwọk, ha na-achọtakwa ebe ha na-achọpụta nsogbu ahụike nke netwọk netwọk n'onwe ya.

Ọrụ ndị bụ isi nke ndị na-ere ahịa ngwugwu netwọkụ

Aha "ngbanwe raara onwe ya nye / nlekota nlekota" sitere na ebumnuche bụ isi: ịnakọta okporo ụzọ site na akụrụngwa (na-ejikarị TAP ngwa anya na / ma ọ bụ ọdụ ụgbọ mmiri SPAN) ma kesaa ya n'etiti ngwaọrụ nyocha. A na-egosipụta okporo ụzọ (nke abụọ) n'etiti usoro nke ụdị dị iche iche, yana n'etiti usoro nke otu ụdị. Ọrụ ndị bụ isi na-agụnyekarị nzacha site na ubi ruo L4 (MAC, IP, TCP / UDP port, wdg) na nchịkọta nke ọtụtụ ọwa ndị a na-ebuchaghị ibu n'ime otu (dịka ọmụmaatụ, maka nhazi na otu DPI).

Ọrụ a na-enye ngwọta maka ọrụ bụ isi - ijikọ usoro DPI na akụrụngwa netwọkụ. Ndị na-ere ahịa sitere na ndị na-emepụta ihe dị iche iche, na-ejedebe na ọrụ bụ isi, na-enye nhazi ihe ruru 32 100G interfaces kwa 1U (ihe ndị ọzọ adịghị adaba n'ụzọ anụ ahụ na 1U n'ihu panel). Agbanyeghị, ha anaghị ekwe ka ibelata ibu na ngwaọrụ nyocha, yana maka akụrụngwa dị mgbagwoju anya, ha enweghị ike ịnye ihe achọrọ maka ọrụ bụ isi: nnọkọ kesara n'ọtụtụ tunnels (ma ọ bụ nwee mkpado MPLS) nwere ike ghara ịdị nhata maka oge dị iche iche. analyzer na n'ozuzu daa na nyocha.

Na mgbakwunye na ịgbakwunye 40/100G interfaces na, n'ihi ya, na-emeziwanye arụmọrụ, ndị na-ere ahịa ngwugwu netwọk na-arụsi ọrụ ike n'ihe gbasara ịnye njirimara ọhụrụ: site na ịhazi na ndị isi ọwara akwụ ụgwọ na nkwụsị okporo ụzọ. N'ụzọ dị mwute, ụdị ndị dị otú ahụ enweghị ike ịnya isi maka ịrụ ọrụ na terabits, mana ha na-eme ka o kwe omume ịmepụta usoro nchekwa ozi dị oke mma na nke "mara mma" nke a na-ekwe nkwa na ngwá ọrụ nyocha ọ bụla ga-enweta naanị ozi ọ chọrọ n'ụdị kachasị mma. maka nyocha.

Ọrụ dị elu nke ndị na-ere ahịa ngwugwu netwọkụ

Ihe ngwọta ọgbara ọhụrụ maka iwulite sistemụ nchekwa ozi - ndị na-ere ahịa ngwugwu netwọk (Network Packet Broker)
1. E kwuru n'elu na-edozi nkụnye eji isi mee ọnụ n'okporo ụzọ mechiri emechi.

Gịnị mere o ji dị mkpa? Tụlee akụkụ 3 nwere ike ịdị mkpa ọnụ ma ọ bụ iche:

  • n'ịhụ na edozi edozi n'ihu ọnụ ọgụgụ dị nta nke tunnels. Ọ bụrụ na enwere naanị 2 tunnels n'ebe njikọ nke usoro nchekwa ozi, mgbe ahụ, ọ gaghị ekwe omume ịmegharị ha site na isi okwu ndị dị n'èzí na nyiwe ihe nkesa 3 mgbe ị na-ejigide nnọkọ ahụ. N'otu oge ahụ, a na-ebufe okporo ụzọ na netwọk ahụ n'ụzọ na-ezighị ezi, na ntụziaka nke ọwara ọ bụla na ebe nhazi dị iche iche ga-achọ oke arụmọrụ nke ikpeazụ;
  • n'ịhụ na iguzosi ike n'ezi ihe nke sessions na iyi nke multisession protocols (dịka ọmụmaatụ, FTP na VoIP), ngwugwu nke kwụsịrị na tunnels dị iche iche. Ihe mgbagwoju anya nke akụrụngwa netwọk na-abawanye mgbe niile: redundancy, virtualization, mfe nke nchịkwa, na ihe ndị ọzọ. N'otu aka ahụ, nke a na-eme ka ntụkwasị obi dịkwuo elu n'ihe gbasara nnyefe data, n'aka nke ọzọ, ọ na-eme ka ọrụ nke usoro nchekwa ozi dị mgbagwoju anya. Ọbụlagodi na arụmọrụ zuru oke nke ndị nyocha iji hazie ọwa raara onwe ya nye na tunnels, nsogbu ahụ wee bụrụ nke enweghị ike idozi, ebe ọ bụ na a na-ebufe ụfọdụ ngwugwu oge onye ọrụ na ọwa ọzọ. Ọzọkwa, ọ bụrụ na ha ka na-agbalị ilekọta iguzosi ike n'ezi ihe nke sessions na ụfọdụ infrastructures, multisession ogbugba ndu nwere ike na-aga kpamkpam dị iche iche ụzọ;
  • ịhazi n'ihu MPLS, VLAN, mkpado akụrụngwa nke ọ bụla, wdg. Ọ bụghị n'ezie tunnels, ma agbanyeghị, akụrụngwa nwere isi ọrụ nwere ike ịghọta nke a okporo ụzọ ọ bụghị dị ka IP na itule site Mac adreesị, ọzọ emebi uniformity nke itule ma ọ bụ nnọkọ iguzosi ike n'ezi ihe.

Onye na-ere ihe ngwungwu netwọkụ na-atụgharị isi nkụnye ndị dị n'elu wee soro n'usoro ntuzi aka ruo na nkụnye eji isi mee IP akwụgoro yana nguzozi na ya. N'ihi ya, enwere ọtụtụ iyi (n'otu n'otu, ọ nwere ike ghara ịdị nhata karịa na ọnụ ọgụgụ dị ukwuu nke nyiwe), na usoro DPI na-enweta ngwugwu nnọkọ niile na nnọkọ niile metụtara nke multisession protocols.

2. Mgbanwe okporo ụzọ.
Otu n'ime ọrụ kachasị ukwuu n'ihe gbasara ike ya, ọnụ ọgụgụ nke subfunctions na nhọrọ maka ojiji ha dị ọtụtụ:

  • na-ewepụ ụgwọ ọrụ, na nke ahụ, ọ bụ naanị ngwugwu nkụnye eji isi mee ka a na-ebufe na parser. Nke a dị mkpa maka ngwaọrụ nyocha ma ọ bụ maka ụdị okporo ụzọ nke ọdịnaya nke ngwugwu ahụ anaghị arụ ọrụ ma ọ bụ enweghị ike nyochaa ya. Dịka ọmụmaatụ, maka okporo ụzọ ezoro ezo, data mgbanwe parametric (onye, ​​onye ya na ya, mgbe, na ole) nwere ike ịmasị ya, ebe ịkwụ ụgwọ bụ n'ezie ihe mkpofu nke na-ejide ọwa na ihe nchịkọta nke onye nyocha. Ọdịiche dị iche iche ga-ekwe omume mgbe a kwụsịrị ụgwọ ọrụ na-amalite site na nkwụsị nke enyere - nke a na-enye ohere ọzọ maka ngwaọrụ nyocha;
  • detunneling, ya bụ iwepụ nkụnye eji isi mee nke na-akọwapụta ma chọpụta tunnels. Ihe mgbaru ọsọ bụ iji belata ibu na ngwá ọrụ nyocha na ịbawanye arụmọrụ ha. Detunneling nwere ike dabere na nkwụghachi ụgwọ akwụghị ụgwọ ma ọ bụ nyocha nkụnye eji isi mee dị ike yana mkpebi nkwụghachi maka ngwugwu ọ bụla;
  • iwepụ ụfọdụ nkụnye eji isi mee: MPLS mkpado, VLAN, mpaghara akụrụngwa nke ndị ọzọ;
  • ikpuchi akụkụ nke nkụnye eji isi mee, dịka ọmụmaatụ, ikpuchi adreesị IP iji hụ na amaghị aha okporo ụzọ;
  • na-agbakwụnye ozi ọrụ na ngwugwu: stampụ oge, ọdụ ụgbọ mmiri ntinye, akara klaasị okporo ụzọ, wdg.

3. Mwepu - nhicha nke ngwugwu okporo ụzọ ugboro ugboro na-ebufe na ngwaọrụ nyocha. Ihe ngwugwu oyiri na-emekarị n'ihi ọdịiche dị iche iche nke ijikọ na akụrụngwa - okporo ụzọ nwere ike ịgafe ọtụtụ isi nyocha ma gosipụta ya site na nke ọ bụla n'ime ha. Enwekwara mweghachi nke ngwugwu TCP na-ezughị ezu, ma ọ bụrụ na e nwere ọtụtụ n'ime ha, mgbe ahụ, ndị a bụ ajụjụ ndị ọzọ maka nyochaa àgwà nke netwọk ahụ, ọ bụghị maka nchekwa ozi na ya.

4. Advanced nzacha atụmatụ - site n'ịchọ ụkpụrụ dị iche iche na nkwụsị nke enyere ruo na nyocha mbinye aka na ngwugwu dum.

5. NetFlow / IPFIX ọgbọ - nchịkọta ọnụ ọgụgụ dị iche iche na-agafe okporo ụzọ na ịnyefe ya na ngwaọrụ nyocha.

6. Decryption nke okporo ụzọ SSL, na-arụ ọrụ ma ọ bụrụhaala na ebu ụzọ wụnye asambodo na igodo n'ime onye na-ere ahịa ngwungwu netwọkụ. Ka o sina dị, nke a na-enye gị ohere ibudata ngwa nyocha nke ọma.

Enwere ọtụtụ ọrụ ndị ọzọ, bara uru na ịzụ ahịa, mana ndị isi, ikekwe, edepụtara.

Mmepe nke usoro nchọpụta (intrusion, ọgụ DDOS) n'ime sistemu maka mgbochi ha, yana iwebata ngwaọrụ DPI na-arụ ọrụ, chọrọ mgbanwe na atụmatụ mgbanwe site na ngafe (site na ọdụ ụgbọ mmiri TAP ma ọ bụ SPAN) na-arụ ọrụ ("na nkwụsị") ). Ọnọdụ a mụbara ihe ndị a chọrọ maka ntụkwasị obi (n'ihi na ọdịda na nke a na-eduga na nkwụsị nke netwọkụ niile, ọ bụghịkwa naanị na ọ ga-efunahụ njikwa ozi nchekwa) wee mee ka nnọchi anya ndị na-anya ngwa anya na-agafe ụzọ anya (iji mee ka ọ bụrụ ihe na-adịghị mma). dozie nsogbu nke ịdabere na arụmọrụ netwọkụ na arụmọrụ nke nchekwa ozi sistemụ), mana isi ọrụ na ihe achọrọ maka ya ka dị otu.

Anyị azụlitela DS Integrity Network Packet Brokers nwere 100G, 40G na 10G interface site na imewe na sekit gaa na ngwanrọ agbakwunyere. Ọzọkwa, n'adịghị ka ndị na-ere ahịa ngwugwu ndị ọzọ, a na-arụ ọrụ ngbanwe na nhazi maka ndị isi ọwara akwụ ụgwọ na ngwaike anyị, na ọsọ ọdụ ụgbọ mmiri zuru oke.

Ihe ngwọta ọgbara ọhụrụ maka iwulite sistemụ nchekwa ozi - ndị na-ere ahịa ngwugwu netwọk (Network Packet Broker)

isi: www.habr.com

Tinye a comment