Çareseriyên nûjen ji bo avakirina pergalên ewlehiya agahdariyê - Brokerên pakêtê yên torê (Network Packet Broker)

Ewlekariya agahdarî ji têlefonê veqetiyaye pîşesaziyek serbixwe ku bi taybetmendiyên xwe û alavên xwe ve girêdayî ye. Lê çînek cîhazên hindik-naskirî heye ku li ser hevbendiya telekom û infobez radiweste - brokerên pakêta torê (Brokerê Pakêta Torê), ew di heman demê de balanskerên barkirinê, guhêrbarên pispor / şopandinê, berhevkarên trafîkê, Platforma Radestkirina Ewlekariyê, Dîtina torê û hwd. Û em, wekî pêşdebir û hilberînerê rûsî yên amûrên weha, bi rastî dixwazin ji we re bêtir li ser wan vebêjin.

Qad û karên ku bêne çareser kirin

Brokerên pakêtên torê amûrên pispor in ku di pergalên ewlehiya agahdariyê de karanîna herî mezin dîtine. Bi vî rengî, çîna cîhazê di binesaziya torê ya hevpar de li gorî guhêrbar, rêwer, û hwd re nisbeten nû ye û hindik e. Pêşengê pêşxistina vî cureyê cîhazê şirketa Amerîkî Gigamon bû. Heya nuha, di vê sûkê de bi girîngî bêtir lîstikvan hene (di nav de çareseriyên wekhev ên ji hilberînerê naskirî yên pergalên ceribandinê - IXIA), lê tenê dorhêlek teng a pispor hîn jî di derbarê hebûna amûrên weha de dizane. Wekî ku li jor hate destnîşan kirin, tewra bi termînolojiyê re jî gumanek nezelal tune: nav ji "pergalên şefafiya torê" heya "balansek" hêsan in.

Di dema pêşxistina brokerên pakêtên torê de, em bi vê rastiyê re rû bi rû bûn ku, ji bilî analîzkirina rêwerzên ji bo pêşkeftina fonksiyonê û ceribandina li laboratuar / qadên ceribandinê, pêdivî ye ku di heman demê de ji xerîdarên potansiyel re derbarê hebûna vê çîna amûrê de rave bikin. , ji ber ku her kes pê nizane.

Tewra 15-20 sal berê, li ser torê seyrûseferek hindik hebû, û ew bi piranî daneyên ne girîng bûn. Lebê qanûna Nielsen bi pratîkî dubare dike qanûna Moore: Leza pêwendiya înternetê salane %50 zêde dibe. Hêjmara seyrûseferê jî bi domdarî zêde dibe (grafîk pêşbîniya 2017-an ji Cisco nîşan dide, çavkanî Indeksa Tora Vizual a Cisco: Pêşbînî û Trend, 2017–2022):

Li gel lezê, girîngiya belavkirina agahdariyan (ev hem veşartî bazirganî û hem jî daneyên kesane yên navdar e) û performansa giştî ya binesaziyê zêde dibin.

Li gorî vê yekê, pîşesaziya ewlehiya agahdariyê derketiye holê. Pîşesazî bi tevahî amûrên analîzkirina trafîkê (DPI) bersiv da vê yekê, ji pergalên pêşîlêgirtina êrîşa DDOS heya pergalên rêveberiya bûyera ewlehiya agahdariyê, di nav de IDS, IPS, DLP, NBA, SIEM, Antimailware û hwd. Bi gelemperî, her yek ji van amûran nermalava ku li ser platformek serverê hatî saz kirin e. Digel vê yekê, her bername (amûra analîzê) li ser platforma servera xwe tê saz kirin: hilberînerên nermalavê cûda ne, û ji bo analîzkirina li ser L7 gelek çavkaniyên hesabkirinê hewce ne.

Dema ku pergala ewlehiya agahdariyê ava dike, pêdivî ye ku hejmarek karên bingehîn çareser bikin:

• meriv çawa trafîkê ji binesaziyê vediguhezîne pergalên analîzê? (Benderên SPAN yên ku bi eslê xwe ji bo vê di binesaziya nûjen de hatine pêşve xistin, ne ji hêla mîqdar û ne jî di performansê de ne bes in)
• meriv çawa seyrûseferê di navbera pergalên analîzên cihêreng de belav dike?
• Meriv çawa pergalên pîvandinê dema ku performansa yek nimûneya analîzer têrê nake ku tevahiya qebareya seyrûsefera ku tê de tê de hilîne?
• meriv çawa pêwendiyên 40G / 100G (û di pêşerojek nêzîk de jî 200G / 400G) çavdêrî dike, ji ber ku amûrên analîzê niha tenê pêwendiyên 1G / 10G / 25G piştgirî dikin?

Û karên girêdayî jêrîn:

• meriv çawa seyrûsefera neguncayî ya ku ne hewceyî pêvajo ye, lê digihîje amûrên analîzê û çavkaniyên wan dixwe kêm bike?
• meriv çawa paket û paketên binavkirî yên bi nîşaneyên karûbarê hardware re mijûl dibe, ku amadekirina wan ji bo analîzê wekî çavkaniyek zexm an jî qet ne pêkan e?
• Meriv çawa beşek trafîka ku ji hêla polîtîkaya ewlehiyê ve nehatiye rêve kirin ji analîzê derxîne (mînakî, seyrûsefera serê).

Wekî ku her kes dizane, daxwaz peydakirinê diafirîne, di bersiva van hewcedariyan de, brokerên pakêtê yên torê dest pê kirin.

Danasîna Giştî ya Brokerên Pakêta Torê

Brokerên pakêtê yên torê di asta pakêtê de dixebitin, û di vê yekê de ew dişibin guhezvanên asayî. Cûdahiya sereke ji guhezvanan ev e ku qaîdeyên belavkirin û berhevkirina seyrûseferê di brokerên pakêtên torê de bi tevahî ji hêla mîhengan ve têne destnîşankirin. Brokerên pakêtên torê ji bo avakirina tabloyên şandinê (tabloyên MAC) û pevguhertina protokolan bi guhezbarên din re (wek STP) re standard nînin, û ji ber vê yekê jî rêza mîhengên gengaz û qadên têgihîştî di wan de pir berfirehtir e. Brokerek dikare seyrûseferek ji yek an çend portên têketinê berbi rêzek diyarkirî ya portên derketinê ve bi taybetmendiyek hevsengkirina barkirina hilanînê bi rengek wekhev belav bike. Hûn dikarin ji bo kopîkirin, fîlterkirin, dabeşkirin, veqetandin û guheztina seyrûseferê qaîdeyan saz bikin. Van qaîdeyan dikarin li komên cihêreng ên benderên têketinê yên brokera pakêtê ya torê werin sepandin, û hem jî di cîhaza bixwe de bi rêz li pey hev werin sepandin. Awantajek girîng a brokerek pakêtê ev e ku meriv seyrûseferê bi rêjeya herikîna tevahî bidomîne û yekparebûna danişînan biparêze (di doza hevsengkirina seyrûsefera çend pergalên DPI-yê yên heman celebî de).

Parastina yekparebûna danişînan ev e ku hemî pakêtên danişîna qata veguhastinê (TCP / UDP / SCTP) li yek portê veguhezînin. Ev girîng e ji ber ku pergalên DPI-yê (bi gelemperî nermalava ku li ser serverek ku bi porta derketinê ya brokerek pakêtê ve girêdayî ye tê xebitandin) naveroka seyrûseferê li qata serîlêdanê analîz dike, û hemî pakêtên ku ji hêla yek serîlêdanê ve têne şandin / wergirtin divê biçin heman mînaka analîzerê. . Ger pakêtên yek danişînê winda bibin an di nav cîhazên DPI-ya cihêreng de werin belav kirin, wê hingê her amûrek DPI-ya ferdî dê di rewşek wekhev de be ku ne tevahî nivîsek, lê peyvên kesane ji wê bixwînin. Û, bi îhtîmaleke mezin, dê nivîs fêm neke.

Ji ber vê yekê, ku li ser pergalên ewlehiya agahdariyê hûr dibin, brokerên pakêtên torê xwedan fonksiyonek in ku dibe alîkar ku pergalên nermalava DPI-yê bi torên têlefonê yên bilez ve girêbide û barkirina li ser wan kêm bike: ew berê fîlter dikin, dabeş dikin û seyrûseferê amade dikin da ku pêvajoyek paşîn hêsan bikin.

Wekî din, ji ber ku brokerên pakêtên torê cûrbecûr statîstîkan peyda dikin û bi gelemperî bi xalên cihêreng ên torê ve girêdayî ne, ew di heman demê de cihê xwe di tespîtkirina pirsgirêkên tenduristiyê yên binesaziya torê bixwe de jî dibînin.

Fonksiyonên Bingehîn ên Brokerên Pakêta Torê

Navê "veguheztinên veqetandî / çavdêrîkirinê" ji armanca bingehîn derket: berhevkirina seyrûseferê ji binesaziyê (bi gelemperî bi karanîna tapên TAP-ê yên optîkî yên pasîf û / an portên SPAN bikar tînin) û belavkirina wê di nav amûrên analîzê de. Trafîk di navbera pergalên celebên cûda de neynikê (duberî) ye, û di navbera pergalên heman celeb de hevseng e. Fonksiyonên bingehîn bi gelemperî fîlterkirina zeviyên heya L4 (MAC, IP, porta TCP / UDP, hwd.) û berhevkirina çend kanalên bi sivik barkirî di yek de (mînak, ji bo pêvajoyek li ser yek pergala DPI) vedihewîne.

Vê fonksiyonê ji peywira bingehîn re çareseriyek peyda dike - girêdana pergalên DPI bi binesaziya torê. Brokerên ji hilberînerên cihêreng, bi fonksiyonên bingehîn ve tixûbdar in, pêvajokirina heya 32 100G navbeynkariyê li 1U peyda dikin (bêtir navbeynkar bi fizîkî li ser panela pêşîn 1U nabin). Lêbelê, ew rê nadin ku barê amûrên analîzê kêm bikin, û ji bo binesaziyek tevlihev ew nekarin hewcedariyên fonksiyonek bingehîn jî peyda bikin: danişînek ku li ser çend tunelan hatî belav kirin (an bi tagên MPLS ve hatî çêkirin) dikare ji bo mînakên cihêreng ên analîzer û bi gelemperî ji analîzê derdikeve.

Ji bilî lêzêdekirina navgînên 40/100G û, wekî encam, başkirina performansê, brokerên pakêtên torê bi awayekî çalak di warê peydakirina taybetmendiyên nû yên bingehîn de pêşve diçin: ji hevsengkirina sernavên tunelê hêlîn heya deşîfrekirina trafîkê. Mixabin, modelên weha nikarin bi performansê di terabît de pesnê xwe bidin, lê ew îmkana avakirina pergalek ewlehiya agahdariya pir bi kalîte û teknîkî "xweşik" dikin ku tê de her amûrek analîzê garantî ye ku tenê agahdariya ku ew hewce dike bi forma herî guncaw bistîne. ji bo analîzê.

Fonksiyonên pêşkeftî yên brokerên pakêtê yên torê

1. Li jor behs kirin hevsengkirina sernavê hêlîn di seyrûsefera tunekirî de.

Çima girîng e? 3 aliyên ku dikarin bi hev re an ji hev cuda krîtîk bin binihêrin:

• misogerkirina hevsengiya yekreng li ber hebûna hejmareke piçûk a tunelan. Di bûyera ku di xala girêdana pergalên ewlehiya agahdariyê de tenê 2 tunel hebin, wê hingê dê nekare wan bi sernavên derveyî li ser 3 platformên serverê di dema domandina danişînê de nehêle. Di heman demê de, seyrûsefera di torê de bi rengek neyeksan tê veguheztin, û rêwerziya her tunelê berbi sazgehek pêvajoyek cihêreng dê hewceyê performansa zêde ya paşîn hewce bike;
• temînkirina yekbûna danişînan û rûkalên protokolên pirzimanî (mînak, FTP û VoIP), ku pakêtên wan di tunelên cihêreng de bi dawî bûn. Tevliheviya binesaziya torê her ku diçe zêde dibe: zêdebûn, virtualkirin, hêsankirina rêveberiyê, û hwd. Ji aliyekî ve ev pêbaweriya di warê veguheztina daneyan de zêde dike, ji hêla din ve jî karê pergalên ewlehiya agahdariyê tevlihev dike. Tewra digel performansa têr a analîzkeran ku kanalek diyarkirî bi tunelan re bişopînin, pirsgirêk çareser nabe, ji ber ku hin pakêtên danişîna bikarhêner li ser kanalek din têne şandin. Wekî din, heke ew hîn jî hewl bidin ku di hin binesaziyan de yekrêziya danişînan bigirin, wê hingê protokolên pirzimanî dikarin bi awayên bi tevahî cûda biçin;
• hevsengkirina di hebûna MPLS, VLAN, etîketên alavên kesane, hwd. Bi rastî ne tunel, lê di heman demê de, alavên xwedan fonksiyonên bingehîn dikarin vê seyrûseferê ne wekî IP û hevsengiya navnîşanên MAC-ê fam bikin, careke din yekrengiya hevsengiyê an yekbûna danişînê binpê bikin.

Brokera pakêtê ya torê sernavên derve pars dike û bi dû hev nîşangiran heya sernavê IP-ya hêlîn dişopîne û jixwe li ser wê hevseng dike. Wekî encamek, bi girîngî bêtir çeman hene (bi rêzê ve, ew dikare bi rengek wekhev û li ser hejmarek mezin platforman bêhevseng bibe), û pergala DPI hemî pakêtên danişînê û hemî danişînên têkildar ên protokolên pirzimanî distîne.

2. Guhertina trafîkê.
Yek ji fonksiyonên herî berfireh di warê kapasîteyên wê de, hejmara subfunctions û vebijarkên ji bo karanîna wan gelek in:

• rakirina bargiraniyê, di vê rewşê de tenê sernavên pakêtê ji parserê re derbas dibin. Ev ji bo amûrên analîzê an ji bo celebên seyrûseferê yên ku naveroka pakêtan tê de rola xwe nalîzin an jî nayên analîz kirin têkildar e. Mînakî, ji bo seyrûsefera şîfrekirî, daneyên danûstendina parametrîkî (kî, bi kê re, kengê û çiqas) dibe ku balkêş be, di heman demê de bargiran bi rastî zibil e ku kanal û çavkaniyên hesabkerê analîzkerê digire. Guhertin mimkun in dema ku bargiran ji dest pêvekek diyarkirî qut dibe - ev ji bo amûrên analîzê çarçoveyek zêde peyda dike;
• tunekirinê, ango rakirina sernavên ku tunelan destnîşan dikin û nas dikin. Armanc ew e ku barê li ser amûrên analîzê kêm bikin û karîgeriya wan zêde bikin. Detunnelkirin dikare li ser bingehek jihevkirî, an jî bi analîza sernavê dînamîkî û veqetandina li ser bingeha pakêtek were saz kirin;
• rakirina hin sernavên pakêtê: etîketên MPLS, VLAN, zeviyên taybetî yên alavên sêyemîn;
• maskekirina beşek sernivîsan, mînakî, maskekirina navnîşanên IP-yê ji bo misogerkirina anonîmkirina trafîkê;
• Zêdekirina agahdariya karûbarê li pakêtê: mohra demjimêr, porta têketinê, etîketên pola trafîkê, hwd.

3. Dabeşkirin - Paqijkirina pakêtên trafîkê yên dubare yên ku ji amûrên analîzê re têne veguheztin. Pakêtên dubare bi gelemperî ji ber taybetmendiyên girêdana bi binesaziyê diqewimin - seyrûsefer dikare di çend xalên analîzê re derbas bibe û ji her yek ji wan were neynik kirin. Di heman demê de şandina pakêtên TCP-ê yên bêkêmasî jî heye, lê heke pir ji wan hebin, wê hingê ev bêtir pirs in ji bo şopandina kalîteya torê, û ne ji bo ewlehiya agahdariyê di wê de.

4. Taybetmendiyên fîlterkirina pêşkeftî - ji lêgerîna nirxên taybetî yên li ser hevberek diyarkirî heya analîza îmzeyê li seranserê pakêtê.

5. nifşê NetFlow / IPFIX - berhevkirina cûrbecûr statîstîkên li ser seyrûsefera derbasbûnê û veguheztina wê ji amûrên analîzê re.

6. Deşîfrekirina seyrûsefera SSL, bi şertê ku sertîfîka û mifteyên pêşîn di nav brokera pakêta torê de werin barkirin dixebite. Lêbelê, ev dihêle hûn bi girîngî amûrên analîzê dakêşin.

Gelek fonksiyonên din, bikêr û kirrûbir hene, lê yên sereke, dibe ku, têne navnîş kirin.

Pêşkeftina pergalên tespîtkirinê (navber, êrişên DDOS) di nav pergalên ji bo pêşîlêgirtina wan, û her weha danasîna amûrên DPI-yê yên çalak, hewce dike ku di pilana veguheztinê de ji pasîf (bi navgîniya portên TAP an SPAN) berbi çalak ("di navberê" de were guhertin. ). Vê rewşê hewcedariyên pêbaweriyê zêde kir (ji ber ku têkçûnek di vê rewşê de dibe sedema têkçûna tevaya torê, û ne tenê windakirina kontrolê li ser ewlehiya agahdariyan) û bû sedema guheztina hevgirêdanên optîkî bi derbazên optîkî (ji bo ku pirsgirêka girêdayîbûna performansa torê ya bi performansa ewlehiya agahdariya pergalê çareser bike), lê fonksiyonên sereke û hewcedariyên wê yek in.

Me Brokerên Pakêta Tora Yekgirtî ya DS-ê bi navbeynkariya 100G, 40G û 10G ji sêwirandin û sêwiranê bigire heya nermalava pêvekirî pêşve xistiye. Digel vê yekê, berevajî brokerên pakêtê yên din, fonksiyonên guheztin û hevsengiyê ji bo sernavên tunelên hêlînkirî di hardware me de, bi tevahî leza portê têne bicîh kirin.

Source: www.habr.com