ProHoster > Π‘Π»ΠΎΠ³ > Maamulka > Xalalka casriga ah ee lagu dhisayo nidaamyada amniga macluumaadka - dallaaliyeyaasha xirmada shabakada (Network Packet Broker)

Xalalka casriga ah ee lagu dhisayo nidaamyada amniga macluumaadka - dallaaliyeyaasha xirmada shabakada (Network Packet Broker)

Nabadgelyada macluumaadka ayaa ka soocday isgaarsiintii oo noqotay warshad madaxbannaan oo leh qalab u gaar ah iyo qalab u gaar ah. Laakiin waxaa jira qalab yar oo aan la aqoon oo taagan isgoyska isgaarsiinta iyo amniga macluumaadka - dilaaliinta xirmada shabakada (Shabakadda Baakidhka Shabakadda), oo sidoo kale loo yaqaanno dheelli-tireyaasha culeyska, kuwa gaarka ah/korjoogteynta furayaasha, isu-ururinta taraafikada, Platform gaarsiinta Amniga, Muuqaalka Shabakadda, iyo wixii la mid ah. Annaguna, horumariye Ruush ah iyo soo saaraha aaladahaas, runtii waxaan jeclaan lahayn inaan wax badan kaaga sheego.

Xalalka casriga ah ee lagu dhisayo nidaamyada amniga macluumaadka - dallaaliyeyaasha xirmada shabakada (Network Packet Broker)

Baaxadda iyo hawlaha la xallinayo

Dallaaliyeyaasha xirmada shabakadu waa aalado gaar ah oo helay codsiga ugu weyn nidaamyada amniga macluumaadka. Sidan oo kale, fasalkan qalabku waa mid ku cusub oo ku yar kaabayaasha shabakadaha guud marka la barbar dhigo furayaasha, router-yada, iwm. Hormoodka horumarinta qalabka noocan ah wuxuu ahaa shirkadda Maraykanka ee Gigamon. Waqtigan xaadirka ah, waxaa jira ciyaartoy badan oo suuqan ku jira (oo ay ku jiraan soo saaraha caanka ah ee nidaamyada tijaabada, shirkadda IXIA, waxay leedahay xalal isku mid ah), laakiin kaliya goob cidhiidhi ah oo xirfadlayaal ah ayaa wali og jiritaanka aaladahaas. Sida kor ku xusan, xitaa erey-bixintu ma cadda: magacyadu waxay u dhexeeyaan "nidaamyada daah-furnaanta shabakada" si fudud "balancers."

Iyadoo la horumarinayo dallaaliyeyaasha baakadaha shabakadda, waxaan la kulannay xaqiiqda ah, marka lagu daro falanqaynta tilmaamaha horumarinta shaqeynta iyo tijaabinta shaybaarada / aagagga tijaabada, waxaa lagama maarmaan ah in si isku mar ah loo sharaxo macaamiisha suurtagalka ah ee ku saabsan jiritaanka fasalkan qalabka. mar haddii qof walba uusan ka warqabin.

Kaliya 15-20 sano ka hor waxaa jiray taraafig yar oo shabakada ah, waxayna ahayd inta badan xog aan muhiim ahayn. Laakin Sharciga Nielsen ficil ahaan ku celceliya Sharciga Moore: Xawaaraha isku xirka internetka ayaa sanad walba kor u kaca 50%. Mugga taraafikada ayaa sidoo kale si tartiib tartiib ah u koraya (garaafka ayaa muujinaya saadaasha 2017 ee Cisco, isha Cisco Visual Networking Index: Saadaasha iyo Isbeddellada, 2017-2022):

Xalalka casriga ah ee lagu dhisayo nidaamyada amniga macluumaadka - dallaaliyeyaasha xirmada shabakada (Network Packet Broker)
Iyadoo ay weheliso xawaaraha, muhiimada ay leedahay faafinta macluumaadka (tani waa labadaba sirta ganacsiga iyo xogta shakhsi ahaaneed ee caanka ah) iyo waxqabadka guud ee kaabayaasha ayaa kordha.

Sidaa darteed, waxaa soo baxay warshadaha amniga macluumaadka. Warshadaha ayaa tan uga jawaabay soo ifbaxa dhammaan aaladaha falanqaynta taraafikada qoto dheer (DPI): laga bilaabo nidaamyada ka hortagga weerarka DDOS ilaa nidaamyada maareynta dhacdooyinka amniga macluumaadka, oo ay ku jiraan IDS, IPS, DLP, NBA, SIEM, Antimailware iyo wixii la mid ah. Sida caadiga ah, mid kasta oo ka mid ah qalabkan waa software lagu rakibay madal server. Waxaa intaa dheer, barnaamij kasta (qalabka falanqaynta) ayaa lagu rakibay madal server u gaar ah: soo saarayaasha software way kala duwan yihiin, falanqaynta L7 waxay u baahan tahay ilo badan oo xisaabinta.

Marka la dhisayo nidaamka ammaanka macluumaadka, waxaa lagama maarmaan ah in la xalliyo tiro ka mid ah dhibaatooyinka ugu waaweyn:

  • sida loogu wareejiyo taraafikada kaabayaasha dhaqaalaha loona gudbiyo hababka falanqaynta? (Dekedaha SPAN asal ahaan loo sameeyay ujeedadan ee kaabayaasha casriga ah kuma filna tiro ahaan iyo waxqabad ahaanba)
  • sida loo qaybiyo gaadiidka u dhexeeya hababka falanqaynta kala duwan?
  • sida loo cabbiro nidaamyada marka waxqabadka hal tusaale falanqeeye aanu ku filnayn in lagu farsameeyo dhammaan mugga taraafikada soo galaya?
  • sida loo kormeero 40G/100G interfaces (iyo mustaqbalka dhow 200G/400G), maadaama aaladaha falanqaynta ay hadda taageeraan oo keliya 1G/10G/25G interfaces?

Iyo hawlaha soo socda ee la xidhiidha:

  • Sideen u yarayn karnaa taraafikada aan la beegsanayn ee aan u baahnayn in la farsameeyo, laakiin tagta qalabka falanqaynta oo isticmaala agabkooda?
  • Sida loo farsameeyo baakadaha la duubay iyo baakadaha oo leh summada adeegga, diyaarinta falanqaynta ayaa noqonaysa mid kheyraad badan ama aan suurtagal ahayn in la fuliyo gabi ahaanba?
  • sida looga saaro falanqaynta qaar ka mid ah taraafikada oo aan nidaamin siyaasadda amniga (tusaale, taraafikada maamulaha).

Xalalka casriga ah ee lagu dhisayo nidaamyada amniga macluumaadka - dallaaliyeyaasha xirmada shabakada (Network Packet Broker)
Sida qof kastaa og yahay, baahidu waxay abuurtaa sahayda, iyo dilaaliinta baakadaha shabakadu waxay bilaabeen inay horumariyaan iyaga oo ka jawaabaya baahiyahan.

Sharaxaada guud ee dilaaliinta baakadaha shabakada

Dallaaliyeyaasha baakadaha shabakadu waxay ku shaqeeyaan heerka baakidhka, oo sidan waxay la mid yihiin furayaasha caadiga ah. Farqiga ugu weyn ee furayaasha waa in xeerarka qaybinta taraafikada iyo isku-darka dilaaliinta baakadaha shabakada ay si buuxda u go'aamiyaan goobaha. Dallaaliinta baakadaha shabakadu ma laha halbeegyo lagu dhisayo miisaska gudbinta (MAC miisaska) oo ay ku beddelaan borotokoolka furayaasha kale (sida STP), sidaa darteed baaxadda goobaha suurtagalka ah iyo meelaha la fahmayo ee ku jira ayaa aad u ballaaran. Dallaalku wuxuu si siman u qaybin karaa taraafikada hal ama in ka badan oo dekedo wax-soo-saarka ilaa xad cayiman oo dekedo wax-soo-saar leh oo leh sifo dheellitiran culeyska wax-soo-saarka. Waxaad dejin kartaa shuruuc loogu talagalay koobiyeynta, shaandhaynta, kala-soocidda, ka-saarista iyo beddelka gaadiidka. Xeerarkan waxaa lagu dabaqi karaa kooxo kala duwan oo ka mid ah dekedaha soo gelista baakidhka shabakadeed, waxaana sidoo kale si isdaba joog ah loogu dabaqi karaa midba midka kale ee qalabka laftiisa. Faa'iidada muhiimka ah ee dallaaliyaha baakidhku waa awoodda lagu socodsiiyo taraafikada heerka qulqulka buuxa iyo ilaalinta daacadnimada fadhiyada (haddii la eego isu-dheellitirka taraafikada dhowr nidaamyo DPI oo isku mid ah).

Joogteynta hufnaanta kalfadhigu waxay ku lug leedahay gudbinta dhammaan xidhmooyinka kalfadhiga lakabka gaadiidka (TCP/UDP/SCTP) hal deked. Tani waa muhiim sababtoo ah nidaamyada DPI (sida caadiga ah software ku shaqeeya server-ka ku xiran dekedda wax soo saarka baakadaha) waxay falanqeeyaan macluumaadka taraafikada heerka codsiga, iyo dhammaan xirmooyinka la soo diro/la helo hal codsi waa inay yimaadaan isla tusaale falanqeeye . Haddii baakidhyo isku mid ah ay lumaan ama loo qaybiyo qalabka DPI ee kala duwan, markaa qalab kasta oo DPI ah ayaa naftiisa ku arki doona xaalad la mid ah akhrinta qoraalka oo dhan, laakiin kelmado gaar ah oo ka yimid. Iyo, waxay u badan tahay, qoraalka lama fahmi doono.

Sidaa darteed, iyadoo diiradda la saarayo nidaamyada amniga macluumaadka, dallaaliyeyaasha xirmooyinka shabakadu waxay leeyihiin shaqeyn ka caawisa inay ku xiraan nidaamyada software DPI shabakadaha isgaarsiinta xawaaraha sare leh waxayna yareeyaan culeyska iyaga: waxay fuliyaan shaandheyn horudhac ah, kala-soocidda iyo diyaarinta taraafikada si loo fududeeyo habsocodka xiga.

Intaa waxaa dheer, maadaama dallaaliyeyaasha baakadaha shabakadu ay soo saaraan tirokoobyo kala duwan oo inta badan lagu xiro meelo kala duwan oo shabakadda ah, waxay sidoo kale helayaan booskooda marka la ogaanayo dhibaatooyinka waxqabadka kaabayaasha shabakadda laftiisa.

Hawlaha aasaasiga ah ee dilaaliinta baakadaha shabakada

Magaca "dareemooyinka gaarka ah / kormeerka" ayaa ka yimid ujeedada aasaasiga ah: in laga soo ururiyo taraafikada kaabayaasha (sida caadiga ah iyadoo la adeegsanayo dekedaha indhaha ee TAP iyo / ama SPAN) oo loo qaybiyo qalabka falanqaynta. Gaadiidku waa muraayad (la koobiyay) inta u dhaxaysa nidaamyada noocyada kala duwan, iyo isku dheellitirka nidaamyada isku nooc ah. Hawlaha aasaasiga ah waxaa ka mid ah shaandhaynta goobaha ilaa L4 (MAC, IP, TCP/UDP port, iwm.) iyo isu geynta dhawr kanaal oo si fudud loo raray mid (tusaale ahaan, habaynta hal nidaam DPI).

Shaqadani waxay bixisaa xal u ah hawsha aasaasiga ah ee isku xirka nidaamyada DPI ee kaabayaasha shabakada. Dillaaliinta ka kala socda soosaarayaal kala duwan, oo ku xaddidan shaqada aasaasiga ah, waxay bixiyaan socodsiinta ilaa 32 100G interfaces per 1U (interfaces badan ayaan jir ahaan ku habboonayn guddiga hore ee 1U). Si kastaba ha ahaatee, ma yareeyaan culeyska qalabka falanqaynta, iyo kaabayaasha adag xitaa ma bixin karaan shuruudaha shaqada aasaasiga ah: fadhiga lagu qaybiyay dhowr tunnel (ama ku qalabaysan calaamadaha MPLS) waxay noqon karaan kuwo aan dheellitirnayn marka loo eego tusaalooyinka kala duwan ee falanqaynta iyo guud ahaan. fallanqeynta ka baxdo.

Marka lagu daro isku dhafka 40/100G iyo, natiijada, kordhinta waxqabadka, dallaaliyeyaasha baakadaha shabakadu waxay si firfircoon u kobcayaan marka la eego bixinta awoodo cusub oo aasaasi ah: laga bilaabo dheellitirka ku saleysan madaxyada tunnel-ka ee buulkooda ilaa fur-furka taraafikada. Nasiib darro, moodooyinka noocan oo kale ah kuma faani karaan waxqabadka terabits, laakiin waxay kuu oggolaanayaan inaad dhisto nidaam aad u tayo sarreeya oo farsamo ahaan "qurux badan" nidaamka amniga macluumaadka, kaas oo qalab kasta oo falanqayn ah loo ballan qaaday inuu helo kaliya macluumaadka uu u baahan yahay qaabka ugu habboon. falanqaynta.

Tilmaamaha Xirmada Shabakadda Sare ee Dallaalka

Xalalka casriga ah ee lagu dhisayo nidaamyada amniga macluumaadka - dallaaliyeyaasha xirmada shabakada (Network Packet Broker)
1. Kor ku xusan isu dheellitirnaanta ku salaysan madaxyada buul ee taraafikada tunneled.

Maxay muhiim u tahay? Aynu ka fiirsanno 3 arrimood oo si wadajir ah ama si gooni ah u dhaleeceyn kara:

  • hubinta isku dheelitirnaanta lebbiska iyadoo ay joogaan tiro yar oo tunnel ah. Haddii ay jiraan 2 tunnel oo keliya oo ku yaal barta isku xirka nidaamyada amniga macluumaadka, markaa suurtagal ma noqon doonto in la isku dheellitiro iyada oo loo eegayo madaxyada dibadda ee 3 server-yada iyadoo la ilaalinayo fadhiga. Isla mar ahaantaana, taraafikada shabakada waxaa lagu kala qaadaa si aan sinnayn, iyo u hagida tunnel kasta meel gaar ah oo farsamaynta waxay u baahan doontaa waxqabadka xad dhaafka ah ee kan dambe;
  • hubinta hufnaanta fadhiyada iyo socodka borotokoollada kala duwan (tusaale, FTP iyo VoIP), xirmooyinkoodu waxay ku dhamaadeen tunnel kala duwan. Kakanaanta kaabayaasha shabakadu si joogto ah ayey u kordheysaa: shaqo-ka-tagista, farsamaynta, fududaynta maamulka, iyo wixii la mid ah. Dhinaca kale, tani waxay kordhisaa isku halaynta marka la eego gudbinta xogta, dhanka kale, waxay adkeynaysaa hawlgalka nidaamyada amniga macluumaadka. Xitaa haddii falanqeeyayaashu ay leeyihiin waxqabad ku filan oo ay ku socodsiiyaan kanaal go'an oo leh tunnels, dhibaatadu waxay noqotaa mid aan la xallin karin, maadaama qaar ka mid ah xirmooyinka fadhiga isticmaale lagu kala qaado kanaal kale. Waxaa intaa dheer, iyadoo kaabayaasha qaar ay wali isku dayaan inay daryeeshaan daacadnimada kalfadhiyada, borotokoollada kala-duwanaanshaha waxay qaadan karaan wadooyin kala duwan;
  • isu dheellitirnaanta iyadoo ay joogaan MPLS, VLAN, calaamadaha qalabka gaarka ah, iwm. Ma aha dhab ahaan tunnel-yada, laakiin si kastaba ha ahaatee, qalabka leh hawlaha aasaasiga ah ayaa u fahmi kara taraafikadan sida wax kale oo aan ahayn IP waxayna isku dheelitiraan iyada oo ku saleysan cinwaannada MAC, mar kale ku xad-gudbida isku-dheelitirka dheellitirka ama daacadnimada fadhiyada.

Dilaaliyaha xidhmada shabakadu waxa uu kala saaraa madaxyada dibadda oo si isdaba joog ah u raacaa tilmaamayaasha ilaa madaxa IP-ga ee buulkiisa leh oo uu dheellitirayaa dusheeda. Natiijo ahaan, waxaa jira qulqulo badan oo aad u badan (sida darteed, waxay noqon kartaa mid aan dheellitirneyn oo si siman u siman iyo tiro badan oo goobo ah), iyo nidaamka DPI wuxuu helayaa dhammaan xirmooyinka fadhiga iyo dhammaan fadhiyada la xidhiidha borotokoolka kala-duwanaanta.

2. Wax ka beddelka gaadiidka.
Mid ka mid ah hawlaha ugu ballaadhan marka la eego awoodiisa, waxaa jira hawl-hoosaadyo badan iyo ikhtiyaarrada codsigooda:

  • Tirtiridda culeyska lacag bixinta, kiiskan oo keliya madax xirmooyinka baakadaha ayaa loo wareejiyaa qalabka falanqaynta. Tani waxay khusaysaa qalabka falanqaynta ama noocyada taraafikada kuwaas oo waxa ku jira baakidhyadu aanay waxba ku jirin ama aan la lafaguri karin. Tusaale ahaan, xogta isdhaafsiga taraafigga ee sir ah (yaa, cidda, goorta iyo inta) ayaa laga yaabaa inay xiiseynayaan, laakiin culeyska mushaharka ayaa dhab ahaantii qashin qaadaya kanaalka iyo xisaabinta ilaha falanqaynta. Kala duwanaansho ayaa suurtagal ah marka culeyska la gooyo laga bilaabo kabitaanka la bixiyay - tani waxay siinaysaa baaxad dheeraad ah oo loogu talagalay qalabka falanqaynta;
  • detunneling, oo ah ka saarida madaxyada tilmaamaya iyo aqoonsiga tunnelyada. Hadafka ayaa ah in la yareeyo culeyska qalabka falanqaynta oo la kordhiyo waxtarkooda. Detunneling waxay ku salaysnaan kartaa dhimis go'an ama iyada oo la raacayo falanqaynta madaxa firfircoon iyo go'aaminta baakad kasta;
  • ka saarida qayb ka mid ah madaxyada baakadaha: MPLS tags, VLAN, meelo gaar ah oo qalabka dhinac saddexaad ah;
  • qarinta qayb ka mid ah madaxyada, tusaale ahaan, qarinta ciwaanada IP-ga si loo xaqiijiyo qarsoodiga taraafikada;
  • ku darida macluumaadka adeega baakadka: timestamp, port galinta, calaamada heerka taraafikada, iwm.

3. Kala goynta - nadiifinta xirmooyinka taraafigga ee nuqul ka mid ah oo loo gudbiyo qalabka falanqaynta. Xirmooyinka nuqulku inta badan waxay soo baxaan sababtoo ah dabeecadda isku xirka kaabayaasha - taraafiggu wuxuu dhex mari karaa dhowr dhibcood oo falanqayn ah oo mid kasta oo iyaga ka mid ah ayaa laga dheehan karaa. Dib u soo celinta xirmooyinka TCP ee fashilmay sidoo kale waa mid caadi ah, laakiin haddii ay jiraan wax badan oo iyaga ka mid ah, markaa kuwani waa arrimo aad u badan oo la xidhiidha la socodka tayada shabakada, halkii ay ka ahaan lahaayeen amniga macluumaadka.

4. Tilmaamaha shaandhaynta sare - laga bilaabo raadinta qiyamka gaarka ah ee la bixiyay ilaa falanqaynta saxiixa ee xirmada oo dhan.

5. Jiilka NetFlow/IPFIX - ururinta tirokoobyo kala duwan oo ku saabsan gudbinta taraafikada iyo u wareejinta qalabka falanqaynta.

6. Decryption of SSL taraafikada, shaqeeyaa waa haddii shahaadada iyo furayaasha marka hore lagu shubaa dallaalka xirmo network. Si kastaba ha ahaatee, tani waxay kuu ogolaaneysaa inaad si weyn u nafiso qalabka falanqaynta.

Waxaa jira hawlo badan oo kale, faa'iido leh iyo kuwo suuqgeyneed, laakiin kuwa ugu muhiimsan ayaa laga yaabaa in la taxay.

Horumarinta hababka ogaanshaha (faragelinta, weerarrada DDOS) ee nidaamyada looga hortagayo iyaga, iyo sidoo kale soo bandhigida qalabyada firfircoon ee DPI, waxay u baahdeen isbeddel ku yimaada nidaamka beddelka ee aan qarsoodi ahayn (iyada oo loo marayo dekedaha TAP ama SPAN) si firfircoon ("farqiga farqiga) ”). Xaaladani waxay kordhisay shuruudaha lagu kalsoonaan karo (maadaama guuldarada kiiskan ay horseedayso carqaladaynta shabakada oo dhan, iyo ma aha oo kaliya inay lumiso xakamaynta amniga macluumaadka) waxayna keentay in la beddelo lammaaneyaasha indhaha ee la dhaafo indhaha (si loo xalliyo dhibaatada ku-tiirsanaanta ku-shaqaynta shabakadda ee ku-shaqaynta nidaamka amniga macluumaadka), laakiin shaqada ugu weyn iyo shuruudaha looga baahan yahay waa isku mid.

Waxaan soo saarnay DS Integrity Network Packet Brokers oo leh 100G, 40G iyo 10G interfaces min nakhshad iyo nakhshad wareeg ah ilaa firmware. Waxaa intaa dheer, si ka duwan dilaaliinta baakadaha kale, wax ka beddelka iyo isku dheelitirka hawlaha madaxyada tunnel-ka ayaa lagu hirgeliyay qalab, xawaare buuxa oo deked ah.

Xalalka casriga ah ee lagu dhisayo nidaamyada amniga macluumaadka - dallaaliyeyaasha xirmada shabakada (Network Packet Broker)

Source: www.habr.com

Add a comment