{{indPage.title}} /{{BreadCrumbs}}
Gigamon 2019/12/24
選擇網路封包中介的重要條件
記住這九個原則
網路封包中介(NPB)幫助您消除了網路中的盲點,促進了虛擬化和雲端移轉,並有助於提高網路和應用程式的整體安全性。它們是您基礎架構的關鍵部分-但是您的企業了解選擇哪一個NPB 是正確的呢? 在考慮選擇方案時,請參考以下一些經驗提醒。
#1 選擇次世代網路封包中介(NGNPB)
次世代的網路封包中介(NGNPB)與傳統封包中介(NPB)真的有所不同嗎?簡單來說,是的!從過往經驗上看,傳統封包中介(NPB)可以與網路TAP還有聚合器(aggregators)同時運作,並且可以在往內(ingress)或往外(egress)端口執行基本過濾,並將流量轉送至工具。 但是先進的次世代網路封包中介,包含了廣泛的功能集,除了幫助將適當的封包中介到工具外, NGNPB的關鍵功能還包括刪除重複數據,切片,屏蔽和封包表頭/表尾移除。某些網路封包中介供應商甚至更加先進,提供集中式解密,深度封包檢測,提供應用程式可見性,GTP關連性和產出NetFlow資訊。 但是,有一項重要指標您必須要注意,這就是設備可支援的最大過濾數和規則數。適當的NGNPB可以支援您所有的工具。
#2 安排測試環境
準備好測試環境來對NGNPB進行測試。取得測試設備並安裝在機架上,拉好網路線和設定管理網路來存取控制界面(例如GUI或console)。想要成功在網路中部署NGNPB,除了先看用戶手冊內的預先準備事項,您還會發現測試前需要一些額外的硬體,例如SFP,電源線或流量產生器。 此外,請確定您確定取得了硬體和軟體功能的授權。這個步驟看似微不足道,但對於大部分用戶而言,這通常是最繁瑣的步驟,因為需要花一些時間來確定登錄過程是正確完成且有效,這樣才能進行之後的設備測試。 如果您想打破框架並測試其真正的潛力,請要求品質工程團隊的協助。那些人喜歡被挑戰。您甚至可以使用他們的測試計劃來確保您沒有被錯過重要的細節。
#3 測試TAP和聚合器的線速(line rate)性能
您的工具主要功能是需要轉送網路中的每個數據包,這提醒我們可確保零丟包的網路TAP和聚合器解決方案是唯一的選擇。分接點方面也應考慮網路拓撲中所有需要接取的分接點才能避免產生盲點而遺漏。 選擇解決方案時,還要評估端口密度,光學元件的分光比以及支援哪些端口速率。最佳的狀況,供應商有提供單一平台中控軟體來提供管理和監控,這能簡化管理者同時管理多個NGNPB 節點的負擔及營運成本。
#4 評估用戶界面和管理工具
管理者常因為面對眾多的管理工具和介面都不相同而不知所措。 請選擇提供能讓管理者放心的NGNPB,選擇穩定的管理介面是重要的,且確定管理軟體可在單一入口平台上可完成設定和故障排除。選擇一個可以管理多個設備,且隨著規模成長需要擴展時,無需使用多個入口平台控管的解決方案,這可以幫我們節省時間及少了很多麻煩。 #5。確保NGNPB支援在線旁路(Inline Bypass) 在線安全工具上實施的安全策略,造成了線上服務流量的瓶頸。 在線旁路交換器(inline bypass switch)的功能是一種可消除單點故障的彈性結構。封包中介的一個主要功能就是防止設備氾濫,如果您選擇的封包中介還需要其他設備來支援在線旁路,那麼就無法實現一站式解決方案,未整合在單一設備中的在線旁路解決方案會帶來設備氾濫。因此,請選擇可以完成在線旁路任務的NGNPB。
#6 比較待測設備(DUT)的性能
我們都知道,用戶希望他們的網路設備最好隨時都能達到最高效能。為了將解決方案出售給用戶,供應商都會使用對他們最佳的測試方法來發布性能指標,但這總無法提供用戶完整的信息。 當您查看不同的封包中介效能時,請確定每個待側設備性能參數是在完全相同測試規範下的結果。 反覆迭代通常是針對基本指標(例如吞吐量和延遲)運行的,想了解性能參數是如何得出,調整封包大小的方法就是關鍵。 以下是確保這些測試正確執行的一些關鍵指標:
- 拓撲(Topology)
請在相同的流量配置下測試不同的DUT(例如,為了測試一項功能,流量配置文件不變,而DUT是輪流上場測試的)。 - 流量配置文件
遵循RFC要求的情況下模擬出最佳性能。這種類型的量測標準將決定使用哪種類型的配置文件。舉例來說,測試吞吐量需要IMIX配置文件,其平均封包大小以bytes為單位。 TCP測試量測每秒的flow數或每秒的連線數,依此類推。
| 封包大小(包含 IP表頭) | # Packets | 分佈比例 (in packets) | Bytes | 分佈比例(in bytes) |
| 40 | 7 | 58.333333% | 280 | 7% |
| 576 | 4 | 33.333333% | 2304 | 56% |
| 1500 | 1 | 8.333333% | 1500 | 37% |
KPI是根據供應商提供的流量計算指南進行測量的。這指南在不同產品上測試多種功能時很常見。
Example sizing guide: If the device throughput is 3MPPS and average packet size (MTU) is 500B, then throughput in Bps is 1.56 GBps (that is, 3 * 10^6 * (500 +20)), where 20B includes preamble, SFD and IFG.
流量計算指南範例:如果設備吞吐量為3MPPS,平均封包大小(MTU)為500B,則以Bps為單位的吞吐量為1.56 GBps(即3 * 10 ^ 6 *(500 +20)),其中20B包含了preamble,SFD和IFG。 另一方面是對特點和功能進行基準測試時執行系統級測試(system-level test),該測試中要同時設定和啟動多個功能。在IMIX測試中使用類似的流量配置文件,同時不斷增加流量測試。一個典型的示例是刪除重複數據,然後切片,然後進行遮蔽(masking)或表頭剝離。當你想知道設備在同時啟動多種功能時的CPU負載是多少,這種類型的測試將讓您將對設備性能有更深的了解。
#7 評估安全功能
選擇封包中介有一個通常被忽略的方面是生成NetFlow和進階metadata的能力。這些功能很重要,因為使用安全性資訊與事件管理工具進行安全分析時,封包中介必須具備將應用程式相關的metadata餵入這些工具的能力。 當封包中介使用DPI(封包深層檢查技術)來生成metadata元素時,鑑識工具被進一步放在重要的位置。大多數領先的安全工具和安全性資訊與事件管理工具供應商與封包中介供應商合作,以提供客製化的支持。
#8 在雲端獲得可視化
企業正在將其數據中心移轉到雲端,因為這樣做在成本和便利性方面比在本地放置伺服器提供了更大的靈活性,但是安全性是一個問題。共同的責任模型指出,雲端中的安全性您也有責任要去承擔。 要獲得雲端的好處並改善整體安全狀況,請選擇一個可以為您提供整個網路的可視化的網路封包中介。例如,混合雲和多雲(私有雲和多個公共雲)部署已變得很普遍,您需要具備掃描東西向流量的能力。這可以透過設計包含適當NGNPB的基礎架構來實現。
#9 越簡單越好
從管理者的角度來看,您的工具需要靈活安全且快速運行。透過API支援自動化,並與Ansible或Puppet等持續性整合與發佈工具協作,從而為現有可視化平台增加了更多附加價值。 它們可以為您提供實體和虛擬網路的全面性可視化,優化現有工具,使您的架構能夠更現代化,移轉到雲端並實現虛擬化目標。當您在尋找適合企業的解決方案時,請謹記這些關鍵功能。