SDN不支持?jǐn)?shù)據(jù)包嗅探該怎么辦?

責(zé)任編輯:editor04

2014-09-04 10:29:31

摘自:TechTarget中國

Patrick Hubbard解釋了為什么Wireshark及其他數(shù)據(jù)包嗅探工具不支持虛擬化的4-7層網(wǎng)絡(luò)的原因,不過,監(jiān)控應(yīng)用服務(wù)器的NIC或許可以成為解決方法。

最近,我花了一下午時(shí)間去調(diào)試一個(gè)VoIP問題,而這本應(yīng)該一個(gè)簡單的SIP連接問題。我會(huì)省略一些繁瑣的細(xì)節(jié),但是最終結(jié)論是在從運(yùn)營商通過網(wǎng)關(guān)向SIP轉(zhuǎn)發(fā)數(shù)據(jù)包時(shí)產(chǎn)生了不對(duì)稱的呼叫質(zhì)量問題。

實(shí)際上,這種還不是最嚴(yán)重的問題?,F(xiàn)實(shí)中,這個(gè)問題會(huì)導(dǎo)致4,500毫秒延遲和74%的丟包率,但是這個(gè)問題只會(huì)出現(xiàn)在一個(gè)方向上?,F(xiàn)在要解決這個(gè)問題并不難——只需要在一個(gè)恰當(dāng)?shù)奈恢貌渴鹨粋€(gè)專門嗅探數(shù)據(jù)包的應(yīng)用就可以診斷問題,如Wireshark。然后就可以確定是要從電話還是網(wǎng)關(guān)開始修復(fù)問題。然而,問題是現(xiàn)在面對(duì)的是SDN路由。

但是,實(shí)際上并不是純粹意義的SDN技術(shù)在作怪,而是因?yàn)樵诰W(wǎng)關(guān)附近網(wǎng)絡(luò)中定義的軟件是由控制器編程管理。這還不是所謂路由的全部問題——路由定義、ACL及其他允許VoIP流量根據(jù)需要進(jìn)行修改的元素也都由控制器管理。

需要一定的時(shí)間才能確定應(yīng)該在何處分析流量,因?yàn)橐郧暗臄?shù)據(jù)包嗅探工具還不支持4-7層虛擬化。那么,在軟件定義網(wǎng)絡(luò)中,哪些技術(shù)將會(huì)替代最可信和最不可或缺的資源呢?由虛擬MAC手工收集的數(shù)據(jù)是一個(gè),還有呢?

虛擬網(wǎng)絡(luò)的深度數(shù)據(jù)包檢測 粗略看,這一直都不是問題。有許多SDN解決方案支持應(yīng)用層流量監(jiān)控,并且?guī)в蠳etFlow工具和應(yīng)用防火墻分析功能。然而,實(shí)踐中管理員定義網(wǎng)絡(luò)中還有一些新的復(fù)雜問題。

確實(shí),有越來越多的網(wǎng)絡(luò)設(shè)備內(nèi)置了深度數(shù)據(jù)包檢測(DPI),但是將數(shù)據(jù)輸送到不同分析位置又會(huì)進(jìn)一步放大數(shù)據(jù)存儲(chǔ)的問題,首先就是NetFlow。在虛擬網(wǎng)絡(luò)中,實(shí)現(xiàn)應(yīng)用感知并不需要大數(shù)據(jù),而且SDN控制器并不一定要實(shí)現(xiàn)Map Reduce才能發(fā)現(xiàn)vHaystack的Skype流量。

在最低層面上,一段時(shí)間里我們的網(wǎng)絡(luò)一直在關(guān)注于應(yīng)用程序,而最近一段時(shí)間則關(guān)注于感知應(yīng)用的存在。在SDN領(lǐng)域中,我們的網(wǎng)絡(luò)及其管理工具都必須感知應(yīng)用和策略。vWireshark v0.1版本如何在策略中區(qū)分出不同應(yīng)用流量并根據(jù)策略限制這些流量傳輸呢?管理應(yīng)該如何根據(jù)虛擬通道的策略定義來創(chuàng)建用于劃分?jǐn)?shù)據(jù)包捕捉方式的流量過濾器呢?我們是否需要讓 SDN控制器創(chuàng)建大量的虛擬端口鏡像呢?如果在10G以上的規(guī)模,事情會(huì)變得很糟糕。

蠻荒之地:在應(yīng)用服務(wù)器NIC上執(zhí)行監(jiān)控 人們很容易忽視一個(gè)適合感知應(yīng)用網(wǎng)絡(luò)監(jiān)控的位置:應(yīng)用服務(wù)器的NIC?,F(xiàn)在的應(yīng)用程序故障修復(fù)確實(shí)很有難度——在一些終端設(shè)備上很難實(shí)現(xiàn),在設(shè)備上或客戶機(jī)OS連接宿主虛擬交換機(jī)的虛擬機(jī)上嗅探數(shù)據(jù)包是很有幫助的。這并不需要改變SDN網(wǎng)絡(luò)配置——事實(shí)上,SDN讓服務(wù)層DPI更具吸引力,因?yàn)樵贜IC上,虛擬化并不會(huì)產(chǎn)生任何影響。這里可以得到最原始的流量,其中包含所有需要的訪問信息。

在遷移到SDN時(shí),很可能你現(xiàn)有的網(wǎng)絡(luò)性能監(jiān)控解決方案本身已經(jīng)支持服務(wù)器端DPI,并且還帶有許多你都不知道的特性。你完全沒有必要丟掉之前所使用的指標(biāo),特別是在感知應(yīng)用網(wǎng)絡(luò)方法本身已經(jīng)很成熟的條件下。

隨著網(wǎng)絡(luò)變得越來越復(fù)雜,實(shí)現(xiàn)DPI可能保證清晰的應(yīng)用服務(wù)交付指標(biāo)。對(duì)于云與混合型網(wǎng)絡(luò),這一點(diǎn)是毋庸置疑的,因?yàn)檫@些環(huán)境中唯一可靠的訪問就在應(yīng)用服務(wù)器上。

對(duì)于我遇到的VoIP問題,實(shí)際上是一種關(guān)于流量圖QoS不滿足要求的典型情況。錯(cuò)誤的策略將返回的流量標(biāo)記為最佳流量,同時(shí)還給它綁定了隊(duì)列及硬丟棄指令。我當(dāng)時(shí)挺幸運(yùn),因?yàn)樗锰幱诰W(wǎng)關(guān)控制器的下游,不然我現(xiàn)在可能還沒法解決問題,沒有任何一名管理員愿意遇到這種問題。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)