一流的团队都面临巨大的压力,提高企业网络的性能和安全性。监测安全性、合规性和性能需要得到正确的数据以供正确的监测工具进行分析。本文介绍网络监测交换机的功能,以及如何优化监测工具的流量,提高整体监测工具的性能和保护IT团队的监测工具投资。
当今商业环境面临的监测挑战
业务应用和系统的快速发展使信息技术(IT)成为世界上最成功的公司战略的一部分。近期转向虚拟化和云计算正值恶意实体对战略资产发起不断增加的威胁之时。同时,越来越苛刻的政府和行业法规需要更严格的数据中心控制,以确保合规性。信息机构都在努力应对这些挑战,同时努力改善网络和计算机系统的响应性和可靠性,以帮助提高其公司的竞争优势。
为了摆脱这些数据中心的挑战,IT团队使用多项技术主动监测他们的网络和应用。应用性能监测、网络性能监测、入侵检测和预防系统、网络电话显示器、数据记录器、传统的网络分析仪是监测工具的示例,帮助IT团队更好地了解其网络的性能和问题。这些有价值的工具都需要访问网络数据,以进行它们的分析。网络设备和网络TAP上的镜像端口(也称为SPAN端口)构成了为分析工具提供网络数据的数据接入点。但是,因为数据接入点的数目是有限的,连接了大量的监测工具到网络是不可能的。一个相对较新的技术——网络监测交换机,是为了解决这个问题。
网络监测交换机位于网络SPAN、TAP和监测工具之间。该技术允许网络工程师从 SPAN
和TAP 端口收集网络流量,并提供带有网络数据副本的监测工具。
图1 展示了网络监测交换机配合一个典型的网络。但是,网络监测交换机做的远不止复制数据。它们解决了网络工程师在当今的数据中心面临的安全性、合规性以及可视性问题。
根据Forrester研究公司2011年8月公布的报告,网络监测交换机是今天的数据中心的必备元素之一。此外,来自Forrester的报告指出:
•“I&O(基础设施和运营)的专业人士正在转向数据中心的监测交换机;这些装置可以收集所有来自网络上的SPAN链接和TAP的流量,并与多个监测和管理工具共享。该交换机可以与IDS / IPS、APM等工具共享其他基于流的信息,从而消除了SPAN端口和网络分流短缺。”
图一 网络监测交换机位于网络SPAN、TAP和监测工具之间
本白皮书将介绍网络监测交换机的能力,并解释它解决当今数据中心的问题。
监测工具全面可视网络
将监测工具直接连接网络中的 TAP 和SPAN端口是获得分析数据最简单的方法,但这种方法有几个缺陷。最直接的问题是,只是没有足够的TAP和SPAN端口针对典型IT团队使用的所有工具。根据企业管理协会公司的研究和分析,43%的组织表示SPAN和TAP的短缺是他们无法监测所有网段的主要原因。(参见图2)。
覆盖范围:为什么不能监测所有网段?
Ÿ SPAN/TAP短缺
Ÿ 没有足够的监测工具
Ÿ 买不起附加工具
Ÿ 工作人员跟不上
Ÿ 覆盖范围足够
Ÿ 工具不提供能力
Ÿ 其他
图2:企业管理协会数据:为什么一些网段不能被监测
现代网络架构通过网络提供了多条路径,这有助于提高网络的可靠性,同时也为有效的监督创造了另一个问题。当一个或多个链路失败,这种冗余的网络体系结构确保了数据仍然可以到达其目的地时。然而,冗余也意味着在网络中的两个设备之间的数据可能不能通过完全相同的网络路径,一些数据可能被监测工具错过。
因为许多监测工具需要来自一个会话的所有数据来执行精确的分析,很有可能该数据缺失会导致不准确的报告。试想只计算驶过一个街道的车辆数目来分析一个城市的交通。这条街上的交通量可能并不能代表其他地方的交通,车型的频率的统计分析很可能被扭曲。缺乏可视性严重限制了监测工具的有效性。
网络监测交换机解决了可视性的问题。网络监测交换机使IT团队能够快速连接TAP和SPAN到监测工具,并通过一个易于控制的控制面板来配置这些连接。这样一来,监测工具可以访问来自多个网段的所有数据,并获得网络流量的完整视图。此外,监测工具可以获得来自一个或多个网段的数据副本,从而使更多的工具来获得相同的网络数据。
网络监测交换机通过解决TAP和SPAN短缺的问题增加可视性。然而,先进的网络监测交换机还提高监测能力,方法是放宽带宽升级路径、提高网络监测工具的性能、安全访问网络数据,并提高数据中心的生产率。
放宽升级道路
现代数据中心面临的另一个挑战是需要升级到10G或40G,以处理不断增长的带宽需求。据Anue系统网络工程师最近进行的市场调查显示,超过40%的受访者计划在未来18个月内提升他们的支柱网络。你什么时候开始升级?
图3:网络工程师什么时候计划升级其支柱网络
升级的网络是昂贵的,并且当网络监测工具必须同时进行升级时变得更加昂贵。传统意义上,网络工程师没有选择。当他们升级他们的网络,他们也不得不升级监测工具。随着网络监测交换机的到来,网络工程师现在有一个更好的选择,因为这些新设备还允许低速监测工具接收来自高速核心网段的数据。网络工程师现在能够利用他们的低速工具监测高速支柱网络,保护其原有的监测工具投资。
那么,监测交换机如何在升级后的网络中工作呢?该网络监测交换机“降档”网络数据的速度与可用监测工具的速度相匹配。因为该网络监测工具与升级后的网络之间潜在的速度不匹配,监测工具可能对导致数据包丢失的数据不知所措。该网络监测交换机提供了一种方法来过滤网络数据,以减少数据量,符合该工具的处理能力。
这种能力不仅解决了速度地差距,而且还可以从数据流中删除其他不必要的数据包,只提供监测工具所需的分析数据。这样一来,监测工具在涉及不相关的数据时不必要浪费CPU和内存资源。随着IT组织过渡到新的、更高速的网络技术,这不仅扩展了监测工具投资,它还让IT团队从他们已经拥有的监测工具中得到性能改善。
使监测工具更好地工作
IT组织对监测工具进行大量的投资。因此,至关重要的是,IT团队通过充分利用自己的核心能力来充分利用他们的监测工具。为了帮助IT团队实现他们的监测工具的最大优势,先进的网络监测交换机提供了许多功能,从他们的工具卸载密集型处理。这样的特性包括数据包过滤、负载均衡、数据包重复数据删除、数据包微调和MPLS剥离。
过滤
使用监测工具来找到所需要的数据包并丢弃剩余的数据包浪费了昂贵的资源。它也是处理器密集型的。通过在网络监测交换机上过滤数据,监测工具被释放来执行被购买的工作,从而导致监测工具执行更多有用的工作。
过滤通常分三个阶段进行。第一阶段是在网络所连接的端口(网络接口)上进行。第二阶段是位于网络端口和监测工具所连接的端口(工具端口)之间的能力强、端口独立的过滤器。过滤的第三阶段是在工具端口进行。三级过滤是很重要的,因为在网络端口的过滤完全消除了排除在外的流量被提供给所有的工具端口。一旦该流量被删除,它不再可用于分析。
一种替换的方法是在工具端口过滤,但这将导致两个问题。第一,工具接口可能被来自网络端口的流量覆盖。第二,网络过滤器和工具过滤器之间的相互作用复杂且不明显,除非你精通集合论。端口独立的过滤器是进行批量过滤的理想场所,因为它可以通过这个单一的过滤器定义准确地了解正在发生的事情。当考虑一个网络监测交换机,了解其过滤能力是很重要的。请参阅图3作为三级过滤的例子。
图4.三级过滤的例子
负载均衡
当企业网络中的数据量增加,IT团队经常发现,该网络数据流的增长速度比其监测工具的能力更快。之前表现不错的单个监测工具现在丧失能力。通过“负载平衡”,一些网络监测交换机具有跨多个工具发送数据的能力,而且坚持将所有数据从一个特定的会话发送到单一监测工具。负载平衡功能保持会话数据放在一起,以进行更好的分析,但跨多个监测工具平衡了网络总负荷。这个功能被广泛用于与网络数据记录器。由于会话数据被保持在一起,在以后的时间里只需要一个数据记录器访问来分析任何给定会话。
数据包重复数据删除
卸载的另一种形式是网络监测交换机从网络数据流中删除重复的数据包的能力。重复的数据包最常见是由使用SPAN/镜像端口造成。虽然一些监测工具能够删除重复的数据包,许多工具不具备这种能力。然而,即使一个监测工具能够删除重复的数据包,这样做是一个非常耗费资源的任务。卸载重复数据包删除到网络监测交换机可以减少监测工具一半的CPU负荷。
删除重复的数据包的另一个关键好处是工具的以太网端口的带宽被保存,允许提供更多的数据给监测工具。在极端的情况下,带宽效率的提高可以增加一倍以上的“好”数据包的数量,大大提高了监测工具的性能。
数据包微调
在将数据包发送到监测工具之前,数据包微调从数据包中删除有效载荷数据,留下标题信息。一些监测工具不要求数据包有效负载的信息,在这种情况下,删除载荷数据允许更多的数据跨越链路从网络监测交换机被发送到监测工具。这样一来,监测工具可以收到更大数量的网络数据。此外,由于合规性原因,在发送到监测工具之前,可能期望“微调”或删除数据包中敏感的有效载荷数据。
MPLS剥离
删除MPLS标签是另一种形式的卸载,实际上增加了监测工具的能力。大多数监测工具不能够理解MPLS标签的数据包,使他们无法监测MPLS网络。网络监测交换机可以删除MPLS标头和转发包含在MPLS标记的数据包中的原始数据包。标准的网络监测工具可以用来监测MPLS网络活动。
保持网络数据安全
安全始终是IT组织的一个关键问题,因为他们负责确保错误的数据最终不会落入他人之手。相反,他们必须确保正确的数据在正确的人手中。网络监测交换机具有集成到网络安全系统的能力(如TACACS +),并允许管理员指定哪些用户和群组可以访问网络数据。细粒度访问控制能够指定哪些群组或用户可以访问以及他们有权做什么——如有权修改端口设置、数据流的连接以及过滤器定义。
一旦网络监测交换机的访问控制建立,最佳安全实践要求任何变化都记录到系统日志服务器。这样就可以知道何时何人进行了更改。
提高IT生产力
IT部门缺乏时间和资源,提高生产率具有很大的意义。由于管理网络监测配置,连接器和过滤器的定义可以是一个复杂的任务,如何通过一个监测工具管理这些配置是关键。利用网络监测交换机管理配置以不同的方式进行,这取决于所选的监测交换机的的品牌。
有些需要专门配置网络流量的命令行界面代码,有的要求GUI界面和命令行界面代码的结合,有的完全通过拖动和拖放界面来管理。通过拖动和拖放控制面板管理的工具比其他版本更易于部署,因为IT团队并不必须是具体到该工具的命令语言专家。一个直观的界面还允许IT团队专注于经营监测工具,而不是将数据发送到工具的任务。
过滤库
网络监测交换机的另一个省时的功能是导入和导出精细控制哪些内容被保存或加载的配置信息。过滤器定义库也可以被保存,使IT团队能够创造共同的过滤器定义,并为团队之间的使用传播这些库。
自动化
自动化是适用于某些网络监测交换机的生产力提高。监测工具、网络管理系统和IT自动化系统可以动态地控制网络监测交换机。通过使用一个简单的脚本语言,基于软件的系统可以控制网络监测交换机的任何方面。 IT团队现在可以创建功能非常强大的系统,这些系统使用协同或自动化工作的多个网络设备。
想象一下,一个入侵检测系统(IDS)在发生入侵时就检测到。利用网络监测交换机的自动化功能,IDS启动了脚本,建立了被IDS监测的网络端口和网络数据记录器之间的连接,立即捕获入侵事件以供日后分析。同样,网络管理系统能够应对网络中发生的变化,并更改过滤器或添加/更改/删除网络监测交换机的内部连接。
总结
IT团队面临的压力正在不断增加,以提高企业网络的性能和安全性。为了应对这些挑战,IT团队依靠监测工具。监测安全性、合规性以及应用和网络性能要求访问越来越多的网络数据、优化性能的监测工具和全面了解网络。不幸的是,数据接入点的数量有限,妨碍了有效的监测。网络监测交换机是解决这些挑战的必要工具。网络监测交换机不仅解决TAP和SPAN短缺的问题,同时也优化了到所有监测工具的流量,提高了整体监测工具性能并保护IT团队的监测工具投资。
Ixia的Anue5200系列网络优化工具
Anue系统5200系列网络工具优化™(NTO)结合了带有强大功能以及三级过滤、自动化和数据包复制的基本网络监测交换机的功能和好处。
NTO业界领先的“拖动和拖放”控制面板使它成为业内最易使用的网络监测交换机。