Utilizza le risorse di monitoraggio in modo più efficace grazie al bilanciamento del carico intelligente

Come distribuisco il mio network traffico per analisi
nel modo più efficace possibile utilizzando il bilanciamento del carico?

Problema

Spesso i sistemi di analisi, monitoraggio e sicurezza dispongono di più di una porta per accettare ed elaborare i dati in arrivo dal corrispondente network punti di accesso. Molti di questi sistemi hanno almeno 2, 4 o anche più porte pronte ad accettare dati.

A seconda del tipo e della posizione dei vari network punti di accesso, questo offre all'utente la possibilità di fornire una porta fisica dedicata per ogni linea intercettata. Tuttavia, diversi fattori sono un prerequisito per questo.

La velocità e la topologia del network le linee da analizzare devono essere identiche ai collegamenti del sistema di analisi e si deve escludere che in futuro vengano aggiunti ulteriori punti di prelievo da valutare con lo stesso sistema di analisi.

approcci

A parte i problemi legati a velocità e topologie, è ovviamente possibile installare in qualsiasi momento sistemi di analisi aggiuntivi qualora il numero di linee da monitorare dovesse aumentare.
Tuttavia, questa è spesso l'alternativa più costosa e dispendiosa in termini di tempo. Oltre all'approvvigionamento necessario, significherebbe per l'utente dover gestire un altro sistema, con un ulteriore onere amministrativo evitabile.

Per evitare una situazione del genere, esistono diverse possibilità e, a seconda della configurazione già in atto, è possibile utilizzare procedure tecniche per distribuire in modo più efficace i dati in arrivo dai punti di misurazione alle porte fisiche già presenti.
In molti casi, è principalmente il rapporto tra volume di dati e numero di punti di misurazione rispetto al numero di porte disponibili sul sistema di analisi, e non la quantità di base del volume di dati, a causare colli di bottiglia di natura fisica.

In questo caso possono essere d'aiuto sia il bilanciamento del carico (semi-dinamico) che quello dinamico, una caratteristica che la maggior parte network i broker di pacchetti includono.
Qui, un gruppo/numero di porte fisiche viene combinato su Network Packet Broker e definito come una singola istanza di output logica. I flussi di dati che lasciano il Network Packet Broker tramite questo raggruppamento di porte vengono distribuiti a tutte le porte che fanno parte di questo raggruppamento, ma le singole sessioni rimangono intatte.

Esempio

 

Supponiamo il seguente esempio: sono stati impostati 8 punti di misura distribuiti nel locale networkUna sessione tra 2 punti terminali viene eseguita tramite ciascun punto di contatto. Il sistema di analisi utilizzato è dotato di un totale di 4 porte per l'acquisizione dei dati.
Anche se si suppone che i punti di misura siano esclusivamente porte SPAN o mirror, sussiste comunque il problema che troppi punti di misura incontrano troppo poche porte.

E questo è dove Network Packet BrokerEntrano in gioco le interfacce con bilanciamento del carico. Il bilanciamento del carico garantisce che ogni sessione tra 2 endpoint di ciascun punto di misurazione venga inviata per intero a una singola porta del sistema di analisi connesso.
Per semplicità, supponiamo che le 8 sessioni degli 8 punti di misura siano distribuite equamente tra le 4 porte del sistema di analisi, 2 sessioni per porta.

Tutto ciò è completamente dinamico e le sessioni aggiunte successivamente tra gli endpoint vengono inviate in modo completamente automatico alle porte del sistema di analisi che appartengono al raggruppamento di porte. Non è necessario impostare o modificare la configurazione del Network Packet Broker in seguito; gli automatismi integrati consentono la distribuzione automatizzata e affidabile di ulteriori flussi di dati al sistema di analisi.

Naturalmente è anche possibile collegare ulteriori punti di prelievo al Network Packet Broker e includere i propri dati nel bilanciamento del carico, nonché espandere il raggruppamento di porte sopra menzionato con porte di uscita aggiuntive.
Tutti questi passaggi possono essere eseguiti durante il funzionamento, i flussi di dati aggiuntivi vengono distribuiti alle nuove porte aggiunte del sistema di analisi in tempo reale e senza interruzioni.

Anche la rimozione delle porte, anche durante il funzionamento, non è un problema! Network Packet Broker è in grado di garantire che i pacchetti/sessioni vengano inoltrati alle porte rimanenti del sistema di analisi senza alcuna perdita di tempo o pacchetti.

 

Sessioni e tuple

Ma come può il file Network Packet Broker garantire che intere sessioni siano sempre distribuite sulle singole porte del gruppo di bilanciamento del carico menzionato sopra?

A questo scopo, viene generato un valore hash da ogni singolo pacchetto. Una funzione integrata garantisce che, in caso di comunicazione bidirezionale, i pacchetti di entrambe le direzioni di trasporto lascino il Network Packet Broker di nuovo sulla stessa porta.

Questi valori hash vengono determinati utilizzando il cosiddetto meccanismo “5-tuple”, in cui ogni tupla rappresenta un campo specifico nell'intestazione di ogni frame Ethernet. Le tuple disponibili su Network Packet Broker (per esempio NEOXPacketLion), che vengono utilizzati per il bilanciamento dinamico del carico, sono:

• Porta di ingresso (connessione fisica)
• Etertipo
• Sorgente MAC
• MAC di destinazione
• Etichetta VLAN
• Etichetta MPLS
• Identificatore dell'endpoint del tunnel GTP
• IP interno GTP
• Protocollo IP
• IP di origine
• IP di destinazione
• Porta sorgente Layer-4
• PORTA di destinazione Layer-4

A seconda della struttura e dell'impostazione del networke, a seconda che i pacchetti vengano trasportati tramite NAT, un'altra distribuzione molto comune di tuple è:

• Protocollo IP
• IP di origine
• IP di destinazione
• Porta sorgente Layer-4
• PORTA di destinazione Layer-4

Con il bilanciamento del carico basato su "5 tuple", tutte le tuple sopra menzionate vengono utilizzate per formare un valore hash che garantisce che tutti i pacchetti, inclusa la direzione inversa corrispondente, lascino sempre il Network Packet Broker tramite la stessa porta e quindi, ad esempio, il sistema di sicurezza utilizzato riceve sempre e fondamentalmente solo sessioni complete per la valutazione.

Valori hash

Per poter generare il valore hash effettivo su cui si basa il Load Balancing, l'utente ha a disposizione due diverse funzioni, CRC32 and XOR.

Tramite la funzione CRC32 è possibile generare chiavi hash con una lunghezza di 32 bit, utilizzabili sia in modo simmetrico che asimmetrico, mentre la funzione XOR crea una chiave hash lunga 16 bit, che, a seconda dell'utilizzo previsto, consente una distribuzione dei dati a maggiore risoluzione, ma può restituirli solo in modo simmetrico.

Questa simmetria significa che anche se l'IP sorgente e l'IP di destinazione vengono scambiati, come è noto dalle normali conversazioni di Livello 3, la funzione calcola comunque la stessa chiave hash e quindi le conversazioni complete di Livello 3 lasciano sempre il Network Packet Broker sulla stessa porta fisica.

Nel caso di una distribuzione asimmetrica, supportata solo dalla funzione CRC32, la Network Packet Broker Nella situazione descritta sopra, PacketLion calcolerebbe valori hash diversi e quindi verrebbero emessi di conseguenza anche su porte fisiche diverse.

Bilanciamento dinamico del carico

Un'ulteriore funzionalità del Load Balancing è la possibile dinamica con cui questa funzionalità può essere estesa. Nel caso del Load Balancing dinamico, oltre al valore hash spiegato in precedenza, il calcolo include anche la percentuale di utilizzo di ciascuna porta che fa parte del gruppo di porte del Load Balancing.

Naturalmente, questa procedura non divide alcun flusso e garantisce anche che se un flusso viene emesso in base ai calcoli su una porta specifica, questo flusso lascerà sempre la porta Network Packet Broker in futuro tramite la stessa porta.

Tramite un timeout configurabile, l'utente può definire quando un flusso perde la sua affiliazione a una porta di uscita. In caso di ricorrenza, il flusso viene nuovamente inviato regolarmente ai partecipanti del gruppo di porte di bilanciamento del carico e, sia rilevando il carico nel flusso di trasmissione sia tramite la generazione del valore hash, viene determinata quale porta di uscita del flusso. Network Packet Broker è attualmente il più adatto per portare i dati al sistema di analisi connesso.

Conclusione

A quanto pare, distribuire il carico di dati in ingresso tramite bilanciamento del carico è da molti anni un metodo efficace per utilizzare sistemi di sicurezza, analisi e monitoraggio. Nel corso degli anni, questo processo è stato ulteriormente migliorato e culmina nel bilanciamento dinamico del carico della serie PacketLion.

Non è più necessario monitorare costantemente la configurazione per quanto riguarda la distribuzione delle singole sessioni ai sistemi collegati; questo compito è ora svolto dall'intelligenza del Network Packet Broker e consente all'utente di sfruttare appieno il potenziale dei propri sistemi ed evitare spese inutili.