随着数据中心升级到100Gbps的速度逐渐加快,以支持对速度和高性能工作负载的需求,他们将需要在这个过程中和之后保持网络的可见性和安全性,以防止瓶颈和威胁。然而,许多安全和性能工具不能以100Gbps的速度摄取数据,这就留下了可被网络犯罪分子利用的盲点。可见性差距也增加了排除故障和最大限度地提高性能所需的时间和精力,并确保终端用户拥有卓越的体验,最佳做法是在将数据平面升级到100Gbps之前,确保监控平面具有这种能力。
企业有效地连接这些数据速率的一种方法是使用两层监控拓扑结构。让我们讨论一下这种方法何时合适以及如何实施。
从图中可以看出,使用了两个网络数据包经纪人(NPB);一个用于 “聚合”,通过TAP和跨度端口获取数据包,一个用于 “分发”。通常情况下,要观察/监测的端口数量超过了数据包被传送到的端口数量。聚合级数据包经纪商通常有较少的功能和较多的输入和输出端口,这就是为什么它们被用于采集以获得成本效益。分布级数据包经纪商的功能更多,因此成本也更高;它们的输入和输出端口也往往更少,这就是为什么它们被更少地部署。
理想情况下,网络数据包采集应以高达100Gbps的数据速率进行。因为每跳增加了性能数据的偏差,最好是观察这些信息尽可能接近源,所以另一个理想的能力aggregation-class包代理添加高分辨率时间信息(例如,时间戳)传入的数据包,以及观察微爆发等性能指标。聚合代理之所以被恰当地命名为聚合代理,是因为它们所做的不仅仅是复制并转发数据包。它们实际上聚合了包,减少了包流的数量。这使得使用具有更少输入和输出端口的分发类包代理成为可能。根据所涉及的网络和IT的需求,聚合类包代理还可以将包直接交付到其他目的地,例如捕获到磁盘的解决方案。然而,分发类包代理执行大部分的包传递。
分而治之
在需要的地方应用正确的网络分组代理特性、功能和端口密度是将可见性需求划分为两个层的一种经济有效的方法。
这就是两层网络监控拓扑的“原因”和“方式”。由于以网络为中心的可见性是至关重要的,IT部门应该确保在升级核心网络或工具时他们的可见性不会受到影响。两层拓扑提供了独立升级核心网和各种安全和性能工具的自由。(雪薇)
