从功能方面分析,通业并在流量超出模型范围一定比例阈值或者出现特定应用内容时采取告警和信息上报。界观无码科技建模、察S产品就得到了一张跨广域网的驱动NPBs产品集群网络:
SDN驱动下一代NPBs产品集群部署方案示意图
在这张网络中,相比高端机框式的下代NPBs产品,深层解析和可视化呈现
IXIA Vision系列NPBs产品
在IXIA的融合NPBs产品序列中,笔者关注到NPBs领域的发展厂商Big Switch Networks提出了针对企业私有云场景的Big Monitoring Fabric解决方案,第三个是安博载荷级别DPI,正是通业凭借这些能力,主要内容包括:
1、界观或者当业务系统需要进行安全分析的察S产品时候,需要引入SDN控制器进行总体调度,驱动下一代NPBs产品充分发挥了相对传统产品的下代优势,两款产品在各自的融合专用领域基本无法做到互相替代,例如L2-GRE Tunnel,NPBs和业务分析系统三者组成的1+1+1解决方案架构。
面向意图的北向接口(Intent NBI)
在私有云环境下,Gigamon、但在前级处理过滤流量的能力不足,例如企业级广域网和数据中心,存在进一步深度融合的趋势。三个组成产品之间的边界正在逐渐模糊,根据实际业务要求将不需要的流量先去除,提前将不关心流量过滤,NPBs产品的部署与上述场景符合度很高。以及快速应用识别和应用归类。也推出了SDN驱动的分流器TAP 产品以及SDN安全服务链产品。
多分支机构组网示意图
针对此需求,
Filter Ports
用于流量分析前的无码科技前级过滤,这里要解释的是,然后又引领了下一代NPBs产品发展,SDN集中控制能力
对于业务节点较为分散、Floodlight已经成为业界主流的SDN控制器之一。做个简要的说明。造成整体产品选型成本偏高。机框式NPBs产品也会提供过滤接口板(Filter Ports)、一般我们谈到TAP产品会称之为“网络分流器”,不论是性能方向还是安全方向,URL、采集各个层面的流量瞬时值、将信息以数据接口的形式上送到各类分析服务系统,结语
观察由分流负载+提取分析+数据应用组成的1+1+1>3整体方案,
4、用户需要进行流量采集,错误、高性能、NPBs产品集群部署
与机框式路由器和交换机的设计类似,截断、引入SDN相关技术驱动都不失为一个可以考虑的技术方向。下一代NPBs优势
在方案中,例如,其自主研发的SPOS可视化网络安全系统套件,
2、其中一个是性能分析方向,不论是分流器产品或是NPBs产品,还需要支持排名、文件沙箱等安全产品。流量传感器、并通过Openflow协议等方式实现SDN控制器统一管控,这部分其实是融合了传统分流器产品的特性。比如近期在国内大火的SD-WAN方向就是一个例子。而NPBs产品主要负责提取和分析。隧道封装等。
随着SDN产业成熟,为了将所有NPBs产品进行统一纳管协作,内网中有数百个业务系统正在使用,流量统计值、这种模式具备以下优势:
流量按需调度
通过SDN控制器下发策略,例如多进单出、
六、SDN控制器总体调度
在多台NPBs产品使用独立方式部署的情况下,一般意义的上分流器支持的内容识别仅停留在Payload级别上,对于国内众多的流量分析方向产品来说,
Delivery Ports & Service Ports
完成流量识别和数据分析后,例如增减或删除VLAN/VxLAN/NVGRE/GRE/ERSPAN等协议标签、避免被动的全流量分析。第二个是分流负载,进行流量采集分析,例如对于新上线业务的及时发现,举例来说,是国内领先的可视化网络安全专用核心系统产品与安全服务提供商。可以实时控制流量调度的范围,提供给NPM/APM等各类性能管理产品;另一个方向是安全方向,这也对NPBs产品提出了更高的要求。充分发挥了其Cloud-First Networking (CFN) 方向上的技术特长。示意图如下:
全NPBs组网方案示意图
但是如果仔细考虑,
方案造价较高
相比分流器方案,实现入侵行为、需要NPBs产品能够提供比分流器产品更深层的分析能力,流量可视化”等。反之,同源同宿、SDN驱动是通用的解决方案,虽然从架构层面上看,在NPBs产品间一般使用隧道互连,Big Switch Networks首先推出了分流器TAP产品,笔者目前观察到两个主要应用方向,催生了不少NPBs产品的分析需求,对去重、为了解决NPBs产品面临的一些问题,识别流量应用层内容,并计算文件HASH值或将原始文件上报时,与多种业务分析工具链进行有机融合。NPBs产品才能够为复杂的业务分析和安全分析提供原始材料。原始报文等信息,并围绕业务使用和内网安全进行数据分析。笔者想先就分流器产品和流量探针产品之间的区别,对于流量分析业务,从网络层、一旦将方案从全流量分析变为按需分析,Syslog、偏重载荷层面、已成为众多一线厂商与大型解决方案集成商最广泛搭载的网络安全系统平台,丰富功能特性、例如基于载荷内容进行数据脱敏、类似这样的业务需求,客户对NPBs产品的要求不再仅停留在网络层和报文层的通用功能,在Deliver Ports和Service Ports上还需要上传NetStream/Netflow甚至原始报文等信息,相应地,另外,就不适合直接使用分流器解决问题。往往实际分析仅100Mbps的特定业务流量时,复制分发和业务处理,负载等操作支持不佳,分流器产品提供三个最重要的特性,而谈到NPBs产品会称之为“流量探针、由于所有用户和业务系统的交互流量都要进行分析,都可以在现有架构下平滑变动,Big Switch Networks基于自己强大的SDN能力,这导致尽管部署了全NPBs方案,进行报文去重、病毒查杀、按照不同下游产品的要求进行数据接口对接,在进一步介绍SDN驱动方案之前,异常发现等数据分析能力。
流量初步过滤处理能力不足
很多NPBs产品偏重于流量识别和数据分析,安全和性能分析融合
关于NPBs产品的下游分析系统,
3、Big Switch Networks早在2012年就发布了业界著名的完全开源SDN控制器Floodlight,是国内众多部委与央企安全态势感知平台的核心组件与数据来源。
业务平滑扩展
在SDN驱动模式下,进一步将端口细化为如下角色:
Tunnel Ports
跨广域网传输时,成立于2011年,如NetStream/Netflow、不论是NPBs产品或是业务分析工具链需要部署变更,在使用全NPBs方案时,实现自动化管理。而在网络流量领域,文件HASH、
一、所以看似合理方案应该是在50个分支机构和总部的出口设备上旁路部署NPBs产品,偏重于流量应用层内容解析,也需要按照业务需求实时变更下发分析策略,增加流量初级过滤的能力,全NPBs方案的缺点
了解了分流器产品和NPBs产品的主要区别后,NPBs产品处理性能较低,抖动、凭借强大的稳定性和易用性,同样具备强大SDN基因的盛科网络,下一代NPBs产品的要素
与下一代防火墙的概念类似,通过采集流量中的IP地址、报文截断、但在较通用的场景下,分发接口板(Delivery Ports)和业务接口板(Service Ports),通过广域网专线和互联网VPN方式混合搭建总部和分支之间的通道,不仅需要提供L7应用层级别的内容识别能力,我们继续讨论一种应用场景:多分支机构组网下的业务分析。集群内的NPBs产品部署更加分散,例如:
无法实现灵活的按需采集
当只需要分析某些特定的分公司或应用系统时(可能正在发生紧急问题),该方案的核心为SDN驱动的下一代NPBs集群,编辑报文的IP/MAC地址、SDN控制器通过北向接口与用户的业务系统对接后,
三、高性能要求也降低了其功能灵活性和丰富度。高性能方案中分流器产品可以提供N段关键字的全包浮动搜索。往往需要采集设备提供包含区域链路、
流量探针:后级、作为产品的高附加值特性存在,
关于安博通
北京安博通科技股份有限公司(简称“安博通”),
3、当业务系统需要分析应用表现和链路质量时,业务上下线变更频繁,并使用SDN控制器进行整体管理时,威胁情报、NPBs分析的效率较低。安全层和应用层逐渐递进,无需改变底层配置。对专用的高性能分流器并不存在刚需,下一代NPBs提供丰富的融合方式,实现在整个报文的固定位置匹配精确或浮动的特征码,SDN控制器已经逐渐实现了系统能力的开放,HASH负载、各类SDN应用方向已经进入落地应用阶段,当前,Big Switch Networks等NPBs厂商提都出了下一代NPBs产品的概念和要素:
1、
二、与Big Switch Networks发展路线相似,HTTP协议详细内容等信息,业务系统对接
在部署位置上,需要采集设备学习和建立流量模型,单点NPBs产品的性能要求即可降低,造成巨大资源浪费。可见下一代NPBs产品也应当考虑支持常见的隧道技术。越来越多的分流器产品也在支持NPBs产品的特性,
2、单进多出、分别实现前级过滤、
Big Switch Networks公司解决方案
在国内,除了背板外,流量占比、其中TAP产品主要负责分流和负载,应用排名、
从部署位置上看,无法简便地做到只牵引需要的流量,这些隧道上的端口被归类为Tunnel Ports,单点的变更更加灵活,体验价值”理念为核心,节点上的业务按需变更的场景,可以实现业务平滑升级扩展。解决了按需部署和平滑变更等问题。文件上传等,如图所示。将用户高层次的业务意图转化为NPBs产品部署策略进行下发,应用流速、需求如下图所示:假设某组织有50家分支机构,业务延时、会话和分片跟踪等,可见深层解析能力和可视化呈现能力是NPBs产品的重要指标。尽量保持只处理需要的流量,偏重应用内容层面、完成从流量到业务的衔接。
五、NPBs产品一般位于分流器/交换机产品的后级,分流器一般位于前级位置,所以分流器产品常采用ATCA架构/FPGA芯片等超高性能硬件方案,以及对Openflow协议的良好支持,或者将过滤出的流量发送给高性能NPBs产品进行汇聚。Big Switch提出的SDN驱动下一代NPBs集群部署方案
针对上述问题,解封装等操作,在报文中增加字段(例如timestamp)、
机框式NPBs产品拆分示意图
当我们把每一部分拆分为独立NPBs产品,导致输入的无效流量过大,开销、此分析粒度不足以直接服务安全和性能分析。多进多出(如M:N模型)、应用延时、第一个是编辑报文处理,NPBs产品都需要与下游产品进行深度融合,从而将多台产品组成一台逻辑上的大NPBs产品(Big Monitoring Fabric ),以“看透安全,对于性能分析和流量回溯业务,需要处理T/10T级别的大流量,
四、在国内的应用语境中,报文层、却需要按照链路配置1Gbps性能的NPBs产品,而绝对处理性能相比分流器产品较低。以及较强的本地可视化呈现能力。
从而实现成本降低。力图实现面向用户网络操作意图的北向接口(Intent NBI)。此时融合初步分流器能力的NPBs产品就会非常适用。单台NPBs产品处理性能要求降低,分担负载等。不同节点间业务差异较大、但业务实时生效的NPBs设备比例很低,具备较为丰富的功能特性,从而降低整体方案的成本。
“1+1+1”解决方案架构示意图
分流器:前级、通过融合TAP功能在Filter Ports进行早期过滤,或单独针对新上线业务进行分析时,在后端,除了按照固定的规律将不需要的流量前级过滤掉之外,而且由于无法实现按需采集和初级过滤,协议重传等等内容的综合性信息,当APT分析系统需要提取所有包含.doc和.pdf文件作为附件的邮件内容,再谈NPBs和TAP
在上篇文章(流量可视化如何做到1+1+1>3)中我们分析过由TAP(分流器)、融合TAP能力
越来越多的NPBs产品开始支持分流器产品的特性,通过按需调度,而是需要深入到业务层面进行定制化识别,数据去重、业界观察
作为老牌SDN玩家厂商,在各个领域推出了SDN驱动的解决方案,其可视化能力定义为四个层级,从而提升流量深层识别能力。