SDN (Software Defined Networking) oraz NFV (Network Functions Virtualization) wprowadziły wiele potencjalnych korzyści wynikających z wirtualizacji sieci. Dodatkowe warstwy sieciowej abstrakcji to jednak nie tylko zalety, ale i wady. Jednym z problemów jest ograniczona widoczność ruchu przesyłanego w warstwach fizycznych. Wirtualne środowisko nie zapewnia domyślnie pełnej widoczności pakietów sieciowych, przesyłanych wirtualną siecią przez fizyczną infrastrukturę sieciową.

Monitorowanie sieci z poziomu środowiska wirtualnego w takim przypadku jest praktycznie niemożliwe, podobnie jak zarządzanie siecią, czy wykorzystanie narzędzi bezpieczeństwa. Narzędzia monitorowania i bezpieczeństwa w sieci wirtualnej otrzymując zagregowany ruch, nie potrafią określić szczegółów dotyczących specyficznego pakietu lub zagrożenia – przykładowo dokładnego portu lub segmentu sieci, czy znaczników czasowych.

Element NPB (Network Packet Broker) znany także jako kontroler widoczności sieci, rozwiązuje ten problem poprzez przechwytywanie, filtrację, agregację oraz optymalizację ruchu. Pozwala także na zarządzenie sieciami o wydajności 1 Gb/s oraz 10 Gb/s, a nawet realizację procesów bezpieczeństwa systemów pracujących z prędkościami 40/100 Gb/s. NPB jest urządzeniem sprzętowym, które zawiera interfejsy miedziane i światłowodowe, które przechwytują i manipulują ruchem zbieranym przeważnie z portów SPAN (port mirroring) w trybie pasywnym. Produkty NPB zbierają ruch z wielu portów SPAN i manipulują ruchem w celu zapewnienia dokładniejszej i bardziej wydajnej pracy aplikacji monitorujących. W trybie aktywnym (inline) NPB umieszczony jest pomiędzy dwoma urządzeniami – ruterami i/lub przełącznikami. Urządzenie potrafi mapować porty sieciowe, filtrować pakiety, przeprowadzać agregację, regenerację, balansowanie ruchem.

Powstaje pytanie, jak i na ile urządzenia NPB pracują efektywnie w wirtualnej sieciowej infrastrukturze. Podstawą jest konieczność wykorzystania wirtualnych funkcji SPAN PORT, które pozwolą kierować ruch z sieci wirtualnej do infrastruktury fizycznej NPB. Wiele sieci i aplikacji zarządzania wydajnością oraz narzędzi bezpieczeństwa, wymaga izolacji indywidualnych przepływów lub sesji agregowanego ruchu. W celu spełnienia tych wymagań, NPB wspiera różnego typu mechanizmy sieciowej segmentacji, protokołów enkapsulacji oraz tunelowania. Najważniejsza jest jednak zdolność do inspekcji i identyfikacji pakietów z warstw sieciowych L2-L7, powiązana z elastycznością NPB do monitorowania aplikacji, a także wsparcia nowych protokołów takich jak VXLAN, czy VN-tag. NPB w wielu przypadkach potrafią wspierać filtrowanie i analizę ramek VN-Tag, VXLAN. Pozwala to na dynamiczny dostęp, wnikanie w wybrane pakiety, a także zarządzanie wszystkimi pakietami, zarówno w fizycznej, jak i wirtualnej infrastrukturze.

NBP musi także wspierać metody wykorzystywane do przechwytywania ruchu w wirtualnej infrastrukturze. Przykładem może być interfejs API dla wirtualnych funkcji SPAN lub kopiowania zawartości (port mirror) portów w popularnych implementacjach przełączników wirtualnych. W wielu przypadkach wirtualny port SPAN kieruje ruch bezpośrednio do fizycznej infrastruktury monitorowania. Wirtualne przełączniki Cisco oraz VMware udostępniają interfejs API do funkcji SPAN PORT oraz wirtualnej wersji port mirroring. vSwitch kieruje ruch z wirtualnego portu SPAN do fizycznej infrastruktury. Stosując NPB unikamy problemów wydajnościowych środowiska wirtualnego oraz odciążamy HYPERVISOR.

Wirtualizacja sieci i usług sieciowych powoduje jednak, że monitorowanie sieci i bezpieczeństwa jest coraz trudniejsze. NPB ma odgrywać znaczącą rolę w monitoringu sieci wirtualnych. Funkcje NPB z pewnością w przyszłości zostaną przeniesione na grunt SDN oraz NFV. ONF (Open Networking Foundation) przedstawiło narzędzie Sample Tap w marcu 2014 roku. OpenFlow w wersji 1.4 zawiera możliwość konfiguracji przełącznika z funkcjonalnością NPB. ONF zastrzega, że Sample Tap nie może być stosowany w środowiskach produkcyjnych, ale raczej w celach naukowych oraz rozwoju narzędzi zbliżonych funkcjami do NPB w OpenFlow oraz OpenDaylight.

Podziel się na:
  • Facebook
  • Google Bookmarks
  • LinkedIn