Видимость, гибкость и наглядность сети в решениях IXIA на примере расширения сети дата-центра

Новини

31 січ 2018

Решив внедрить в вашу сеть гибкую систему мониторинга, вы вряд ли обойдетесь без решений IXIA в сфере видимости сети (Visibility). Компания IXIA является однозначным лидером рынка в этом направлении. Ее продукты и решения позволяют создать гибкую, наглядную, легко-масштабируемую и простую с точки зрения видимости структуру сети.

Такие устройства, как TAP и Bypass switch, дают возможность легко встроиться в любое место вашей сети и направить основной (inline) либо зеркалированный (outline) трафик на любое устройство безопасности или анализа. А такой продукт, как IXIA Network Packet Broker, позволит агрегировать данные из разных источников и участков сети (TAP, Bypass, SPAN), произвести их интеллектуальную фильтрацию, обработку, балансировку, а также направить на любое устройство безопасности или мониторинга для дальнейшего анализа и обработки.

Остановимся на этих решениях подробнее. В качестве примера, возьмем структуру дата-центра и последующее её расширение.

Схематично структуру сети можно изобразить так:

ЭТАП 1

Приняв решение о внедрении дополнительного устройства анализа данных, сетевые инженеры сталкиваются с вопросом перенаправления трафика и влияния на действующую сеть. Зеркалирование на штатных устройствах не всегда возможно, поскольку требует наличия свободного физического интерфейса и съедает часть системных ресурсов. Кроме этого, количество SPAN портов ограничено. Недорогое устройство Network TAP компании IXIA позволяет вклиниться в разрыв и организовать зеркалирование прозрачно и незаметно для всей сети. Оно происходит на физическом уровне, что определяет простоту и надёжность. На оптических каналах не требуется даже электропитание TAP устройства.

Различные модификации IXIA Network TAP позволяют зеркалировать данные на скоростях до 100 Gbps для оптоволоконных каналов и 1 Gbps для медных. Они могут объединять в стойке до 24 физических интерфейсов на один RU, что означает значительную экономию места. Кроме этого, существуют устройства – Regen Taps – позволяющие зеркалировать один канал в несколько других (до 8) на скоростях 10/100/1000 Mbps на меди и 1/10 Gbps на оптике. Такая модификация используется, когда необходимо обеспечить данными несколько систем мониторинга.

Вы можете разместить любое количество TAP-ов (в том числе и в виртуальной инфраструктуре), чтобы наблюдать полную картину движения данных по нашей сети. В этом случае вы ограничены только лимитом по объему принимаемого трафика на устройстве мониторинга. Зачастую, такие системы лицензируются по этому параметру, поэтому для полной картины видимости в сети придётся раскошелится на «дорогую» спецификацию устройства мониторинга.

ЭТАП 2

Следующий шаг модернизации сети заказчика – внедрение inline-устройства безопасности, такого как NGFW (Next Generation FireWall), которое позволяет инспектировать трафик на уровне приложений.

Такой способ внедрения даст возможность проверять трафик в режиме inline с возможностью перехода в bypass в случае отказа устройства. IXIA Bypass switch отслеживает доступность устройства с помощью предварительно настроенных контрольных пакетов (heartbeats) и переходит в режим bridge в случае отказа. Это позволяет сохранить сервисы доступными, пока идет восстановление NGFW. Само подключение занимает считанные секунды и дает возможность не перестраивать сегментирование, адресацию и маршрутизацию в этом сегменте сети, включив на устройстве безопасности режим L2.

При необходимости технического обслуживания устройства, подключенного таким образом, переключение в bypass режим произойдет мгновенно, никак не влияя на доступность сети.

ЭТАП 3

Следующим шагом была реорганизация сети заказчика для обеспечения беспрецедентной видимости, масштабируемости и контроля с помощью IXIA Network Packet Broker – Vision ONE.

Высокопроизводительное устройство позволяет агрегировать до 48 SFP+ портов для 1/10G, 4 порта QSFP+ для 40G или 16х10G, занимает мало места в стойке (1U), имеет простой WEB-интерфейс и впечатляющие функции по обработке данных. С его помощью можно объединить трафик из различных TAP, Bypass, SPAN-портов, обеспечив информацией необходимые устройства безопасности (NGFW, IPS, DLP, DoS, NBA, IDS, SIEM, Forensics, …) и системы мониторинга.

Такая схема внедрения устройств безопасности, обработки и мониторинга трафика обладает целым рядом неоспоримых преимуществ:

быстрое и безболезненное подключение и отключение устройств;
простота и наглядность схемы;
прозрачность движения данных

Всё это позволяет легко управлять, защищать и обслуживать сеть.

Кроме этого, VISION ONE компании IXIA может обрабатывать и фильтровать данные, направляя на устройства только необходимую им информацию.

Сбор трафика и NetFlow из разных источников, расположенных в разных местах сети: физических и виртуальных TAP-ов, SPAN-портов, Bypass-ов.

Network Packet Broker осуществляет:

агрегацию данных (сбор трафика из различных источников, в том числе и из виртуальной среды)
фильтрацию (каждое устройство обработки получает именно то, что ему нужно)
балансировку (легко настраиваемое распределение между устройствами).

Возможности VISION ONE

VISION ONE реализует мониторинг доступности устройств (heartbeats) и автоматически перенаправляет трафик на stand-by устройство кластера в случае отказа основного, активного девайса. Тем самым обеспечивается высокая надежность, стабильность и безопасность всей системы.

В случае выхода из строя устройства, работающего в режиме inline, Network Packet Broker, подключенный через Bypass switch, перенаправляет трафик, оставляя сервисы доступными для клиентов.

Таким же образом осуществляется и балансировка.

Интеллектуальная наработка пакетов

Компания IXIA внедрила в устройства Network Packet Broker расширенные функции по интеллектуальной обработке пакетов (Advanced Feature Module), позволяющие на лету осуществлять обработку трафика. К таким функциям относятся:

Дедупликация - пересылка только одной копии каждого кадра.

Time Stamping - добавление к каждому пакету временной метки, которая может использоваться при мониторинге (используется PTP или NTP).

Packet/Protocol Trimming - обнаружение и удаление протоколов туннелирования из заголовка (VLAN, MPLS, VNTag, VXLAN, Fabric Path, GTP, ERSPAN, GRE).

Также возможна обрезка всего пакета под определённый размер с возможным добавлением хвостовика со значением исходного размера. Это используется в случаях, когда payload пакета не нужен для анализа, либо в целях обеспечения безопасности.

Data Masking – возможность замены блока данных по определённому шаблону или смещению, для сокрытия конфиденциальной информации.

VISION ONE может осуществлять терминацию туннельных протоколов (ERSPAN, GRE), а также имеет расширенную буферизацию интерфейсов 1G для предотвращения потерь данных при микровсплесках.

Все эти функции позволяют гранулированно управлять трафиком, рассчитывая и снижая затраты на лицензирование устройств безопасности и мониторинга.

Наличие ATIP (Application and Threat Intelligence Processor) дает нам возможность осуществлять интеллектуальную обработку трафика приложений на основе DPI (Deep Packet Inspection), а также такую важную функцию, как пассивная расшифровка SSL. Расшифровка SSL встроенными средствами VISION ONE позволит значительно снизить затраты на использование высокопроизводительных устройств анализа трафика.

Функция SSL расшифровки на устройствах IXIA Packet Broker не оказывает влияния на производительность ваших приложений, легка в настройке (просто импорт сертификата сервера и ключа). Поддерживаются все популярные алгоритмы и шифры (асимметричный обмен ключами RSA и ECDH; симметричные ключи 3DES, AES, RC4; алгоритмы хеширования MD5 и SHA).

Также пассивная расшифровка SSL полностью совместима со всеми остальными функциями ATIP. Эти функции включают в себя:

Обработку трафика по таким критериям, как тип приложения, геолокация, поиск по образцу (regex) и маскирование данных.
Расширенную генерацию NetFlow/IPFIX (devise OS, Browser, BGP AS#, Geolocation) и передачу этих данных SIEM-системе для анализа.

VISION ONE дает возможность управлять трафиком в реальном времени и генерирует простые и понятные отчёты об информации в сети.

Следующее достоинство Network Packet Broker от компании IXIA - это простой и понятный WEB-интерфейс, позволяющий легко управлять движением и фильтрацией данных между устройствами, а также экономить время на настройку и отладку ошибок.

Такой подход позволяет уйти от громоздких и сложных правил в файлах конфигурации и значительно снижает вероятность ошибок.

Таким образом, решения компании IXIA в области Visibility – это мощный и понятный инструмент, который выведет вашу инфраструктуру на качественно новый уровень. Решения позволяют существенно упростить и обезопасить вашу сеть, сократив при этом расходы на дорогостоящее оборудование безопасности и мониторинга, а также обслуживание самой инфраструктуры.

При возникновении вопросов по решениям Ixia, пожалуйста, пишите на ixia@bakotech.com.

Посмотреть демо продуктов IXIA, в том числе и в области Visibility, можно на ближайшей конференции IXIA Solutions Con 15 марта в Киеве.

До списку новин >