Monitoring-Ressourcen effektiver nutzen dank intelligentem Load Balancing

Wie verteile ich meine network Verkehr zur Analyse
möglichst effektiv durch Lastenausgleich?

Aufgabenstellung:

Analyse-, Überwachungs- und Sicherheitssysteme verfügen häufig über mehr als einen Port, um eingehende Daten von den entsprechenden Schnittstellen zu empfangen und zu verarbeiten. network Zugangspunkte. Viele dieser Systeme verfügen über mindestens 2, 4 oder sogar noch mehr Ports, die bereit sind, Daten zu empfangen.

Abhängig von Art und Lage der verschiedenen network Durch die Verwendung von Zugangspunkten bietet sich dem Benutzer die Möglichkeit, jedem abgegriffenen Anschluss einen dedizierten physischen Port zuzuweisen. Hierfür müssen jedoch einige Voraussetzungen erfüllt sein.

Die Geschwindigkeit und Topologie der network Die zu analysierenden Leitungen müssen mit den Anschlüssen des Analysesystems identisch sein, und es muss ausgeschlossen werden, dass in Zukunft weitere Abgriffspunkte hinzugefügt werden, die mit demselben Analysesystem ausgewertet werden sollen.

Ansätze

Abgesehen von den Geschwindigkeits- und Topologieproblemen können selbstverständlich jederzeit weitere Analysesysteme installiert werden, sollte die Anzahl der zu überwachenden Leitungen steigen.
Dies stellt jedoch häufig die kosten- und zeitaufwändigste Alternative dar. Neben der notwendigen Anschaffung würde dies für den Anwender den Umgang mit einem weiteren System bedeuten; ein vermeidbarer zusätzlicher Verwaltungsaufwand.

Um eine solche Situation zu vermeiden, gibt es verschiedene Möglichkeiten und je nach vorhandener Ausstattung können technische Verfahren eingesetzt werden, um die eingehenden Daten der Messpunkte besser auf die bereits vorhandenen physischen Ports zu verteilen.
In vielen Fällen ist es vor allem das Verhältnis von Datenmenge und Anzahl der Messpunkte zur Anzahl der verfügbaren Ports am Analysesystem und nicht die grundsätzliche Datenmenge, die zu Engpässen physikalischer Natur führen kann.

Sowohl (semi-dynamischer) als auch dynamischer Lastausgleich können hier Abhilfe schaffen, eine Funktion, die die meisten network Zu den Paketbrokern gehören:
Dabei wird eine Gruppe/Anzahl physikalischer Ports auf dem Network Packet Broker und als eine einzige logische Ausgabeinstanz definiert. Datenströme, die den Network Packet Broker Die über diese Portgruppierung gesendeten Nachrichten werden auf alle Ports verteilt, die Teil dieser Gruppierung sind, die einzelnen Sitzungen bleiben jedoch erhalten.

Beispiel

 

Nehmen wir folgendes Beispiel an: 8 Messpunkte wurden im lokalen Bereich verteilt. networkEine Sitzung zwischen zwei Endpunkten läuft über jeden Abgriffpunkt. Das verwendete Analysesystem ist mit insgesamt vier Ports zur Datenerfassung ausgestattet.
Selbst wenn man davon ausgeht, dass es sich bei den Messpunkten ausschließlich um SPAN- oder Mirror-Ports handelt, besteht immer noch das Problem, dass zu viele Messpunkte auf zu wenige Ports treffen.

Und hier ist es Network Packet Brokers mit Load Balancing kommen ins Spiel. Load Balancing sorgt dafür, dass jede Sitzung zwischen 2 Endpunkten jedes Messpunkts als Ganzes an einen einzigen Port des angeschlossenen Analysesystems gesendet wird.
Der Einfachheit halber gehen wir davon aus, dass die 8 Sitzungen der 8 Messpunkte gleichmäßig auf die 4 Ports des Analysesystems verteilt sind, also 2 Sitzungen pro Port.

Dies geschieht vollständig dynamisch und nachträglich hinzugefügte Sitzungen zwischen Endpunkten werden vollautomatisch an die Ports des Analysesystems gesendet, die zur Portgruppierung gehören. Es ist nicht notwendig, die Konfiguration des Network Packet Broker Anschließend ermöglichen die eingebauten Automatismen die automatisierte und zuverlässige Verteilung weiterer Datenströme an das Analysesystem.

Selbstverständlich ist es auch möglich, weitere Zapfstellen an die Network Packet Broker und deren Daten in das Load Balancing einbeziehen zu lassen, sowie die oben genannte Portgruppierung um zusätzliche Ausgangsports zu erweitern.
Alle diese Schritte können im laufenden Betrieb durchgeführt werden, die zusätzlichen Datenströme werden in Echtzeit und ohne Unterbrechungen an die neu hinzugekommenen Ports des Analysesystems verteilt.

Auch das Entfernen von Ports, selbst im laufenden Betrieb, ist kein Problem! Die Network Packet Broker kann dafür sorgen, dass die Pakete/Sessions ohne Zeit- und Paketverlust an die restlichen Ports des Analysesystems weitergeleitet werden.

 

Sitzungen und Tupel

Aber wie kann die Network Packet Broker sicherstellen, dass ganze Sessions immer auf die einzelnen Ports der oben genannten Load Balancing Gruppe verteilt werden?

Zu diesem Zweck wird aus jedem einzelnen Paket ein Hashwert generiert. Eine integrierte Funktion stellt sicher, dass bei bidirektionaler Kommunikation die Pakete beider Transportrichtungen den Network Packet Broker erneut auf demselben Port.

Diese Hashwerte werden mit dem sogenannten „5-Tupel“-Mechanismus ermittelt, wobei jeder Tupel stellt ein bestimmtes Feld im Header jedes Ethernet-Frames dar. Die verfügbaren Tupel auf dem Network Packet Broker (z.B NEOXPacketLion), die für den dynamischen Lastenausgleich verwendet werden, sind:

• Eingangsport (physische Verbindung)
• Ethertyp
• Quell-MAC
• Ziel-MAC
• VLAN-Bezeichnung
• MPLS-Bezeichnung
• GTP-Tunnel-Endpunktkennung
• Innere GTP-IP
• IP-Protokoll
• Quell-IP
• Ziel-IP
• Layer-4-Quell-PORT
• Layer-4-Ziel-PORT

Abhängig von der Struktur und dem Aufbau der networkUnd je nachdem, ob Pakete über NAT transportiert werden, ist eine weitere sehr häufige Verteilung von Tupeln:

• IP-Protokoll
• Quell-IP
• Ziel-IP
• Layer-4-Quell-PORT
• Layer-4-Ziel-PORT

Beim „5-Tupel“-basierten Load Balancing werden alle oben genannten Tupel zur Bildung eines Hash-Wertes verwendet, der sicherstellt, dass alle Pakete, auch die entsprechende Rückwärtsrichtung, immer den Network Packet Broker über den gleichen Port und somit erhält beispielsweise das eingesetzte Sicherheitssystem grundsätzlich immer nur komplette Sessions zur Auswertung.

Hash-Werte

Um den eigentlichen Hashwert, der dem Load Balancing zugrunde liegt, generieren zu können, stehen dem Anwender zwei verschiedene Funktionen zur Verfügung, CRC32 , XOR.

Mittels der CRC32-Funktion lassen sich Hash-Schlüssel mit einer Länge von 32 Bit erzeugen und sowohl symmetrisch als auch asymmetrisch verwenden, während die XOR-Funktion einen 16 Bit langen Hash-Schlüssel erzeugt, der je nach Verwendungszweck eine höher aufgelöste Verteilung der Daten erlaubt, diese aber nur symmetrisch ausgeben kann.

Diese Symmetrie bedeutet, dass selbst wenn die Quell-IP und die Ziel-IP vertauscht werden, wie es bei regulären Layer-3-Konversationen bekannt ist, die Funktion immer noch den gleichen Hash-Schlüssel berechnet und somit die vollständigen Layer-3-Konversationen immer die Network Packet Broker auf demselben physischen Port.

Bei einer asymmetrischen Verteilung, die nur von der CRC32-Funktion unterstützt wird, Network Packet Broker PacketLion würde in der oben beschriebenen Situation unterschiedliche Hashwerte berechnen und somit auch entsprechend auf unterschiedlichen physikalischen Ports ausgeben.

Dynamisches Lastmanagement

Eine weitere, zusätzliche Funktion des Load Balancing ist die mögliche Dynamik, mit der dieses Feature erweitert werden kann. Beim dynamischen Load Balancing fließt neben dem oben erläuterten Hashwert auch die prozentuale Auslastung jedes Ports, der Teil der Load Balancing Portgruppe ist, in die Berechnung ein.

Natürlich werden bei diesem Verfahren keine Flüsse aufgeteilt und es wird auch sichergestellt, dass, wenn ein Fluss basierend auf den Berechnungen an einem bestimmten Port ausgegeben wird, dieser Fluss immer den Network Packet Broker über denselben Port in der Zukunft.

Mittels eines konfigurierbaren Timeouts kann der Benutzer festlegen, wann ein Flow seine Zugehörigkeit zu einem Ausgabeport verliert. Im Wiederholungsfall wird dieser dann wieder regulär an die Teilnehmer der Load-Balancing-Portgruppe ausgegeben und sowohl durch die Lasterkennung im TX-Stream als auch mittels Hashwertbildung ermittelt, welcher Ausgabeport des Network Packet Broker ist derzeit am besten geeignet, um die Daten in das angeschlossene Analysesystem zu bringen.

Fazit

Es hat sich gezeigt, dass die Verteilung der eingehenden Datenlast mittels Load Balancing seit vielen Jahren eine effektive Methode zur Nutzung von Sicherheits-, Analyse- und Überwachungssystemen ist. Im Laufe der Jahre wurde dieser Prozess weiter verbessert und gipfelt im Dynamic Load Balancing der PacketLion-Serie.

Das ständige Nachverfolgen der Konfiguration hinsichtlich der Verteilung der einzelnen Sitzungen auf die angeschlossenen Systeme ist nicht mehr notwendig; dies übernimmt nun die Intelligenz des Network Packet Broker und ermöglicht dem Anwender, das volle Potenzial seiner Systeme auszuschöpfen und unnötige Ausgaben zu vermeiden.