Utilice los recursos de monitorización de forma más eficaz gracias al equilibrio de carga inteligente

¿Cómo distribuyo mis network tráfico para análisis
¿De la forma más eficaz posible utilizando el equilibrio de carga?

Primaria

A menudo, los sistemas de análisis, monitoreo y seguridad tienen más de un puerto para aceptar y procesar datos entrantes del puerto correspondiente. network Puntos de acceso. Muchos de estos sistemas tienen al menos 2, 4 o incluso más puertos listos para aceptar datos.

Dependiendo del tipo y ubicación de los distintos network Puntos de acceso: esto ofrece al usuario la opción de proporcionar un puerto físico dedicado por cada línea conectada. Sin embargo, varios factores son necesarios para ello.

La velocidad y la topología de la network Las líneas a analizar deben ser idénticas a las conexiones del sistema de análisis y debe descartarse que en el futuro se añadan otros puntos de toma que deban ser evaluados por el mismo sistema de análisis.

Enfoques

Además de los problemas con las velocidades y las topologías, por supuesto se pueden instalar en cualquier momento sistemas de análisis adicionales si aumenta el número de líneas a monitorizar.
Sin embargo, esta suele ser la alternativa más costosa y que requiere más tiempo. Además de la adquisición necesaria, implicaría para el usuario lidiar con otro sistema, un esfuerzo administrativo adicional que se podría evitar.

Para evitar tal situación, existen varias opciones y, dependiendo de la configuración ya existente, se pueden utilizar procedimientos técnicos para distribuir de forma más efectiva los datos entrantes desde los puntos de medición a los puertos físicos ya existentes.
En muchos casos, es principalmente la relación entre el volumen de datos y el número de puntos de medición respecto del número de puertos disponibles en el sistema de análisis y no la cantidad básica de volumen de datos lo que puede generar cuellos de botella de naturaleza física.

Tanto el equilibrio de carga (semidinámico) como el equilibrio de carga dinámico pueden ayudar aquí, una característica que la mayoría network Los intermediarios de paquetes incluyen:
Aquí se combina un grupo/número de puertos físicos en el Network Packet Broker y se define como una única instancia de salida lógica. Flujos de datos que salen del Network Packet Broker A través de esta agrupación de puertos se distribuyen a todos los puertos que forman parte de esta agrupación, pero las sesiones individuales permanecen intactas.

Ejemplo

 

Supongamos el siguiente ejemplo: se han establecido 8 puntos de medición distribuidos en el área local. networkUna sesión entre dos puntos finales se ejecuta a través de cada punto de derivación. El sistema de análisis utilizado cuenta con un total de cuatro puertos para la adquisición de datos.
Incluso si asumimos que los puntos de medición son exclusivamente puertos SPAN o espejo, aún existe el problema de que demasiados puntos de medición se encuentran con muy pocos puertos.

Y aquí es donde Network Packet BrokerLos sistemas con balanceo de carga entran en juego. Este asegura que cada sesión entre dos puntos finales de cada punto de medición se envíe como un todo a un único puerto del sistema de análisis conectado.
Para simplificar, supongamos que las 8 sesiones de los 8 puntos de medición se distribuyen equitativamente entre los 4 puertos del sistema de análisis, 2 sesiones por puerto.

Todo esto es completamente dinámico y, posteriormente, las sesiones añadidas entre los endpoints se envían de forma totalmente automática a los puertos del sistema de análisis que pertenecen a la agrupación de puertos. No es necesario configurar ni modificar la configuración del... Network Packet Broker Posteriormente, los automatismos incorporados permiten la distribución automatizada y confiable de más flujos de datos al sistema de análisis.

Por supuesto, también es posible conectar puntos de toma adicionales al Network Packet Broker y tener sus datos incluidos en el Balanceo de Carga, así como ampliar la agrupación de puertos mencionada anteriormente con puertos de salida adicionales.
Todos estos pasos se pueden realizar durante la operación, los flujos de datos adicionales se distribuyen a los puertos recién agregados del sistema de análisis en tiempo real sin interrupciones.

¡Quitar los puertos, incluso durante el funcionamiento, tampoco supone ningún problema! Network Packet Broker es capaz de garantizar que los paquetes/sesiones se reenvíen a los puertos restantes del sistema de análisis sin pérdida de tiempo ni de paquetes.

 

Sesiones y tuplas

Pero, ¿cómo puede el Network Packet Broker ¿Cómo garantizar que las sesiones completas se distribuyan siempre en los puertos individuales del grupo de equilibrio de carga mencionado anteriormente?

Para ello, se genera un valor hash de cada paquete individual. Una función integrada garantiza que, en caso de comunicación bidireccional, los paquetes de ambas direcciones de transporte salgan del... Network Packet Broker de nuevo en el mismo puerto.

Estos valores hash se determinan utilizando el mecanismo denominado “5-tupla”, donde cada tupla representa un campo específico en el encabezado de cada trama Ethernet. Las tuplas disponibles en el Network Packet Broker (p.ej NEOXPacketLion), que se utilizan para el equilibrio de carga dinámico, son:

• Puerto de entrada (conexión física)
• Etertipo
• MAC de origen
• MAC de destino
• Etiqueta VLAN
• Etiqueta MPLS
• Identificador de punto final del túnel GTP
• IP interna de GTP
• Protocolo IP
• IP de origen
• IP de destino
• Puerto de origen de capa 4
• Puerto de destino de capa 4

Dependiendo de la estructura y configuración del network, y dependiendo de si los paquetes se transportan utilizando NAT, otra distribución muy común de tuplas es:

• Protocolo IP
• IP de origen
• IP de destino
• Puerto de origen de capa 4
• Puerto de destino de capa 4

Con el equilibrio de carga basado en "5 tuplas", todas las tuplas mencionadas anteriormente se utilizan para formar un valor hash que garantiza que todos los paquetes, incluida la dirección inversa correspondiente, siempre salgan de la red. Network Packet Broker a través del mismo puerto y por tanto, por ejemplo, el sistema de seguridad utilizado siempre y fundamentalmente sólo recibe sesiones completas para su evaluación.

Valores hash

Para poder generar el valor hash real en el que se basa el balanceo de carga, el usuario tiene dos funciones diferentes a su disposición, CRC32 y GRATIS.

Mediante la función CRC32 se pueden generar claves hash con una longitud de 32 bits y se pueden utilizar tanto de forma simétrica como asimétrica, mientras que la función XOR crea una clave hash de 16 bits de longitud, que, dependiendo del uso previsto, permite una distribución de los datos con mayor resolución, pero solo puede mostrarlos de forma simétrica.

Esta simetría significa que incluso si se intercambian la IP de origen y la IP de destino, como se sabe a partir de las conversaciones regulares de Capa 3, la función aún calcula la misma clave hash y, por lo tanto, las conversaciones completas de Capa 3 siempre salen de la Network Packet Broker en el mismo puerto físico.

En el caso de una distribución asimétrica, que solo es compatible con la función CRC32, la Network Packet Broker PacketLion calcularía diferentes valores hash en la situación descrita anteriormente y, por lo tanto, también se emitirían en consecuencia en diferentes puertos físicos.

Equilibrio de carga dinámico

Otra función adicional del balanceo de carga es la posible dinámica con la que se puede ampliar esta función. En el caso del balanceo de carga dinámico, además del valor hash explicado anteriormente, también se incluye en el cálculo el porcentaje de utilización de cada puerto que forma parte del grupo de puertos de balanceo de carga.

Por supuesto, este procedimiento no divide ningún flujo, y también garantiza que si se emite un flujo en función de los cálculos en un puerto específico, este flujo siempre saldrá del puerto. Network Packet Broker a través del mismo puerto en el futuro.

Mediante un tiempo de espera configurable, el usuario puede definir cuándo un flujo pierde su afiliación a un puerto de salida. En caso de recurrencia, este se envía de nuevo a los participantes del grupo de puertos de balanceo de carga de forma regular y, tanto mediante la detección de la carga en el flujo TX como mediante la generación del valor hash, se determina qué puerto de salida del flujo... Network Packet Broker Actualmente es más adecuado para llevar los datos al sistema de análisis conectado.

Conclusión

Resulta que distribuir la carga de datos entrantes mediante el balanceo de carga ha sido una forma eficaz de utilizar sistemas de seguridad, análisis y monitorización durante muchos años. Con el tiempo, este proceso se ha mejorado aún más y culmina en el Balanceo de Carga Dinámico que ofrece la serie PacketLion.

Ya no es necesario realizar un seguimiento constante de la configuración en lo que respecta a la distribución de las sesiones individuales a los sistemas conectados; esto ahora lo asume la inteligencia del Network Packet Broker y permite al usuario utilizar todo el potencial de sus sistemas y evitar gastos innecesarios.