Sicherstellung der Leistungsstabilität durch Deduplizierung

Leistungsstabilität bedeutet, die Leistungsfähigkeit Ihrer kommerziellen oder selbstgebauten Appliance in jeder Rechenzentrumsumgebung sicherzustellen. Anders ausgedrückt: Sie gewährleistet, dass Ihre Appliance für Leistungsüberwachung, Cybersicherheit oder Forensik gegenüber gängigen Rechenzentrumsproblemen, wie z. B. fehlerhaft konfigurierten Systemen, robust ist. networks, Unfähigkeit, den gewünschten Verbindungstyp, die Zeitsynchronisation, die Stromversorgung, den Speicherplatz usw. anzugeben.

In diesem Blog befassen wir uns mit der Deduplizierung und damit, wie die Unterstützung der Deduplizierung in Ihrem SmartNIC die Leistungsstabilität gewährleistet, wenn Rechenzentrumsumgebungen nicht richtig konfiguriert sind – insbesondere Router- und Switch-SPAN-Ports.

Gehen Sie vom Schlimmsten aus

Bei der Entwicklung eines Geräts zur Analyse network Wenn es um Daten für die Leistungsüberwachung, Cybersicherheit oder forensische Analysen geht, ist es naheliegend anzunehmen, dass die Umgebungen, in denen Ihr Gerät eingesetzt wird, korrekt konfiguriert sind und Best Practices entsprechen. Ebenso berechtigt ist die Annahme, dass Sie die benötigten Zugriffsrechte und Konnektivität erhalten. Warum sollte jemand den Aufwand betreiben, für ein kommerzielles Gerät zu bezahlen oder gar die Entwicklung eines eigenen Geräts zu finanzieren, wenn er nicht gleichzeitig sicherstellt, dass die Umgebung die Mindestanforderungen erfüllt?

Leider ist es nicht immer so einfach, wie Ihnen viele erfahrene Geräteinstallateure bestätigen können. Das liegt daran, dass das für die Gerätebereitstellung zuständige Team nicht immer auch für den Betrieb des Rechenzentrums verantwortlich ist. Geräte haben für sie keine höchste Priorität. In der Praxis sieht es daher so aus, dass das bereitstellende Team angewiesen wird, das Gerät an einem bestimmten Ort mit einer bestimmten Konnektivität zu installieren – und das war's. Sie würden vielleicht lieber einen Tap verwenden, aber dieser ist möglicherweise nicht verfügbar. In diesem Fall benötigen Sie einen SPAN-Port (Switched Port Analyzer) eines Switches oder Routers für den Zugriff auf die Geräte. network Daten.

Das mag zwar akzeptabel erscheinen, kann aber zu unerwartetem und unerwünschtem Verhalten führen, das so manchem Veteranen graue Haare beschert! Ein Beispiel für dieses unerwünschte Verhalten ist das Duplizieren. network Pakete.

Wie entstehen doppelte Pakete?

Idealerweise sollte man bei der Durchführung network Für Überwachung und Analyse möchten Sie idealerweise einen Tap verwenden, um in Echtzeit direkt auf die Echtzeitdaten zuzugreifen. Wie bereits erwähnt, ist dies jedoch nicht immer möglich, und manchmal müssen Sie sich mit einer Verbindung zu einem SPAN-Port begnügen.

Der Unterschied zwischen einem Tap und einem SPAN-Port besteht darin, dass ein Tap ein physisches Gerät ist, das in der Mitte der Kommunikationsverbindung installiert wird, sodass der gesamte Datenverkehr über den Tap läuft und auf das Gerät kopiert wird. Umgekehrt empfängt ein SPAN-Port an einem Switch oder Router Kopien aller Daten, die den Switch passieren, und kann diese dann über den SPAN-Port dem Gerät zur Verfügung stellen.

Bei richtiger Konfiguration funktioniert ein SPAN-Port einwandfrei. Moderne Router und Switches gewährleisten die Zuverlässigkeit der von SPAN-Ports bereitgestellten Daten. SPAN-Ports können jedoch so konfiguriert sein, dass Pakete dupliziert werden. In manchen Fällen können bei falsch konfigurierten SPAN-Ports bis zu 50 % der vom SPAN-Port bereitgestellten Pakete Duplikate sein.

Wie kommt das? Was Sie bei SPAN-Ports wissen müssen: Wenn ein Paket den Switch über einen Eingangsport erreicht, wird eine Kopie erstellt – und wenn es den Switch über einen Ausgangsport verlässt, wird eine weitere Kopie erstellt. In diesem Fall sind Duplikate unvermeidlich. Es ist jedoch möglich, SPAN so zu konfigurieren, dass nur beim Ein- oder Ausgang des Switches Kopien erstellt werden, wodurch Duplikate vermieden werden.

Dennoch kommt es häufig vor, dass in Rechenzentren SPAN-Ports falsch konfiguriert sind und niemand die Berechtigung hat, die Konfiguration am Switch oder Router zu ändern. Mit anderen Worten: Es gibt Duplikate, und damit muss man leben!

Welche Auswirkungen haben Duplikate?

Duplikate können zahlreiche Probleme verursachen. Das offensichtlichste Problem ist, dass die doppelte Datenmenge auch die doppelte Rechenleistung, den doppelten Speicher, die doppelte Energie usw. erfordert. Das Hauptproblem sind jedoch Fehlalarme: Fehler, die in Wirklichkeit keine Fehler sind, oder Bedrohungen, die keine Bedrohungen darstellen. Eine häufige Auswirkung von Duplikaten auf die Analyse ist die Zunahme von TCP-Warnungen wegen Verbindungsabbrüchen oder erneuter Übertragung. Die Behebung dieser Probleme ist sehr zeitaufwendig – Zeit, die einem überlasteten und unterbesetzten Team oft fehlt. network Das Einsatz- oder Sicherheitsteam verfügt nicht darüber. Zudem ist jede auf Basis dieser Informationen durchgeführte Analyse wahrscheinlich unzuverlässig, was das Problem nur noch verschärft.

Wie man Resilienz erreicht

Mit der integrierten Deduplizierung über eine SmartNIC im Gerät können bis zu 99.99 % der von SPAN-Ports erzeugten doppelten Pakete erkannt werden. Ähnliche Funktionen sind auch bei Paketbrokern verfügbar, allerdings gegen eine erhebliche zusätzliche Lizenzgebühr. Bei Napatech SmartNICs ist dies nur eine von mehreren leistungsstarken Funktionen, die kostenlos zur Verfügung stehen.

Die Lösung eignet sich ideal für Situationen, in denen das Gerät direkt an einen SPAN-Port angeschlossen ist, wodurch der durch Duplikate verursachte Schaden deutlich reduziert wird. Gleichzeitig ist das Gerät dadurch aber auch gegenüber Fehlkonfigurationen des SPAN-Ports und anderen Problemen unempfindlich. network Architektonische Probleme, die zu Duplikaten führen können – ohne auf andere kostspielige Lösungen wie Packet Broker zurückzugreifen, um die notwendige Funktionalität zur Vervollständigung der Lösung bereitzustellen.