【技術文章】再談Network Packet Broker

再談Network Packet Brokers

｛版權宣告｝本文由美國Garland Technology授權翰特科技翻譯使用

譯者：翰特科技

我們都知道整個數據中心的流量持續在增長。朝向100G乙太網的轉變亦正在進行中，截至2018年，已有28%的數據中心開始進行升級的動作。與此同時，400G乙太網也已經可用，並逐漸被廣泛採用。隨著越來越多的數據流過數據中心，運營商需要有關組成數據的細膩資訊。Network Packet Broker （NPB）的設計在於使管理員及他們的工具能更容易分析這些流量，從而實現更順暢、功能更強大的數據中心運營流程。

為什麼在數據中心裡需要Network Packet Brokers？

然而，即使您尚未部署 100G 乙太網，您可能仍然是需要 NPB。在您的資料中心內，您已經擁有許多工具，用來監控網路性能，提供封包可見性，並減輕威脅和不當行為者。為了正常運行，這些工具需要穩定的數據流 - 但是如果沒有NPB，幾乎沒有什麼好的管理手段的選擇。

例如，您可以將這些工具直接與傳入的網路連接串接，但這可能會減慢流量並產生單點故障(single points of failure)。通過網路 TAP 和 SPAN 埠存取此流量以得到封包可見性，又會反過來生成太多額外連入連線讓工具處理。通常應對這種情況意味著添加更多工具或更多鏈路，但這種解決方法效率既不高也不經濟。

如果沒有取得必要的封包，資安和監控工具就無法將功能覆蓋整個網路，網路中將存在一些盲點，在這之中，分析工具和人類管理員都無法看到正在發生的事情。這可能導致網路壅塞和中斷，而且它甚至可以為攻擊者提供足夠的掩護，以成功實施網路攻擊。

這些問題可以使用流量聚合器(traffic aggregator)或進階功能的network packet broker來解決。Network Packet Broker的主要功能是：

1. 它們聚合網路流量，從多個埠獲取數據並將其導到單個埠（隨後是單個設備）。這意味著您不必因為有多條鏈路就要購買多個(份)工具來監控。

2. 它們過濾網路流量，僅獲取監工具所需要的特定信息，然後將其指定導向到該工具。這有助於監控工具的性能，因為不會因過多無關數據而負擔過重。

3. 它們可以進行負載平衡。例如，如果您有 40G 的流量進入，而您的設備僅支援 10G 介面，則您的 NPB 可以將 4 個 10G 介面之間的流量負載平衡到設備中。

的確，數據中心處理的資訊比以往任何時候都多，但其中大部分資訊都是冗餘的或未壓縮的，特別是對於您的監控工具而言。NPB能夠壓縮和刪除這些數據，只為監控工具提供它們功能運行所需的部份。此外，它們的埠聚合功能消除了購買多種工具以覆蓋增加的數據中心流量的必要性。

怎麼挑選Network Packet Broker

並非所有Network Packet Broker都是一樣的。如果NPB因為流量超額而在封包到達您的監控工具之前將之丟棄、如果它太複雜而無法輕鬆設定和使用、因為一堆功能要選購的費用限制了NPB的使用靈活性、或者如果它不包含適當的封包可見能力，那麼它就不該放進您的機櫃裡。

首先，NPB需要能夠智慧地過濾流量，我們要考量是否具有智能調整的功能。最差狀況是，網路管理員要手動配置 NPB，使其將一種流量發送到 WAF，將另一種流量發送到 SIEM，將另一種流量發送到 IDS/IDP，依此類推。中等的智能調整是供應商預先編寫了關於將哪種流量發送到哪裡的規則。而最好的智能調整是，設備使用自動發現來查找網路上已有的工具，並自動確定將流量發送到何處。

更先進的NPB可以減少大量的手動工作。如果您的數據中心較小，則可能只需要簡單版本的設備，但您的工作可能無法很好地擴展。此外，NPB有更多的自動化功能更可以幫您避免設定錯誤的發生，進而造成事件回應速度的減慢。

負載平衡是管理員應注意的另一個功能。基本上，這意味著NPB應該能夠接收以高頻寬進入的流量並將其拆分，以便低頻寬設備可以監視和處理它。這有讓您的設備更具生存能力的效果 - 如果流量突然增加，它可能會分散在多個設備上。同時，如果設備發生故障，流量可以故障轉移到其餘工具，而不會迫使它們處理速率的急劇增加。

在購買NPB時，人們可能不會考慮使用者介面是怎麼樣的，但是在管理其鏈路時，GUI其實是非常重要的。使用命令行介面來管理和配置NPB效率極低，尤其是在流量高峰、部分中斷和其他緊急情況下。在管理員需要重新調整封包流的情況下，用戶介面最好是使用帶有拖放(drag-and-drop)控制功能的完整圖形用戶介面。

單純流量聚合 vs. 進階Network Packet Broker

Network Packet Broker主要分為兩類。單純的流量聚合器或具備進階功能的流量聚合器，這裡說的進階功能是可將從網路 TAP 和 SPAN 埠傳送過來的流量進行聚合(Aggregating)、過濾(Filtering)、重新生成(Regenerating)和負載平衡(Load balancing)。在大多數狀況中，這些功能就足夠了。

而新世代Network Packet Broker（NGNPBs）或進階功能NPB最近取代了從2012年左右開始推出的舊世代NPB。這些設備與其前身之間的主要區別在於一些新功能：

1. 它們可以進行封包切片。如果數據包在到達您的安全工具之前被丟棄，那麼它們對於監控是無用的。封包切片將數據減少到僅留下其最重要的部份，從而更輕鬆地將數據儲存在記憶體中並防止丟棄封包。

2. 他們可以刪除重複數據(deduplicate)。不同位置傳送過來的網路流量可能包含重複的封包。處理重複封包是浪費資源。進階 NPB 可以本機對封包進行重複資料刪除，從而提高處理吞吐量。

3. 它們可以添加時間戳記(time stamping)。這意味著您將知道每個封包何時進入您的網路。如果封包在網路中開始出現問題的同時傳入，您將知道要檢查該封包是否存在潛在問題。

4. 它們可以分析使用通用路由封裝（Generic Routing Encapsulation, GRE）或 VXLAN 協定（這些協定不是網路固有的）通過tunnel傳輸的封包，將可疑封包直接從交換機傳輸到端點中挑出進行進一步分析。

您的網路是否採用進階功能 NPB 或是流量聚合器，都取決於您的需求和預計中的成長。然而，可以肯定的是，每個需要擴展其功能以滿足不斷增長的流量需求的數據中心都需要Network Packet Broker，以便它以安全有效的方式運行。