下一代企業(yè)網(wǎng)絡(luò)的可視化和安全性

責(zé)任編輯:cdeng

作者:litao984lt編譯

2018-02-07 10:56:47

摘自:機(jī)房360

當(dāng)今的數(shù)據(jù)中心需要智能化,靈活敏捷的監(jiān)控和安全架構(gòu),提供普遍的可視化,單一面板管理,零接觸的規(guī)模化,自動(dòng)化和硬件選擇。傳統(tǒng)NPB的功能仍然是必需的;然而,傳統(tǒng)NPB的分布式及其設(shè)計(jì)不適合數(shù)據(jù)中心,這就要求解決方案能夠快速高效地運(yùn)行。

當(dāng)今的數(shù)據(jù)中心需要智能化,靈活敏捷的監(jiān)控和安全架構(gòu),提供普遍的可視化,單一面板管理,零接觸的規(guī)?;?,自動(dòng)化和硬件選擇。傳統(tǒng)NPB的功能仍然是必需的;然而,傳統(tǒng)NPB的分布式及其設(shè)計(jì)不適合數(shù)據(jù)中心,這就要求解決方案能夠快速高效地運(yùn)行。

網(wǎng)絡(luò)所有者需要一款動(dòng)態(tài)的解決方案,使工具能夠訪(fǎng)問(wèn)來(lái)自任何機(jī)架,任何位置,任何虛擬機(jī),任何容器以及任何云計(jì)算的流量,并根據(jù)需要進(jìn)行橫向擴(kuò)展——無(wú)需物理重新配置或逐個(gè)管理。這樣的解決方案可以簡(jiǎn)化和加速變更管理,縮短問(wèn)題排查時(shí)間,減少OPEX和CAPEX。

下一代的可視性和安全架構(gòu)必須能夠?yàn)閿?shù)據(jù)中心帶來(lái)以下好處:

·提供跨整個(gè)企業(yè)組織范圍的可視性和安全架構(gòu)(包括每臺(tái)機(jī)架,工作負(fù)載,數(shù)據(jù)中心和站點(diǎn))

·更快,更高效地部署,擴(kuò)展和修復(fù)

·優(yōu)化OPEX和CAPEX

為了實(shí)現(xiàn)這些優(yōu)勢(shì),企業(yè)數(shù)據(jù)中心需要一套具備可視化和安全體系的架構(gòu),其作為一個(gè)邏輯NPB運(yùn)行,使工具能夠在任何地方進(jìn)行物理上的運(yùn)行,但在邏輯上處于任何位置,因此可以實(shí)時(shí)動(dòng)態(tài)監(jiān)視和維護(hù)網(wǎng)絡(luò)。作為結(jié)構(gòu)運(yùn)行的邏輯“超級(jí)NPB”也將為網(wǎng)絡(luò)和安全團(tuán)隊(duì)提供高效操作和擴(kuò)展所需的單一管理點(diǎn)。

要實(shí)現(xiàn)這種下一代的NPB體系架構(gòu),必須將超大規(guī)模原理應(yīng)用于傳統(tǒng)的NPB功能。通過(guò)引入軟件定義的基于控制器的開(kāi)放式硬件設(shè)計(jì),數(shù)據(jù)中心可以獲得完整的網(wǎng)絡(luò)視圖和單點(diǎn)配置和管理。這種方法與傳統(tǒng)的“舊一代”網(wǎng)絡(luò)可視性和網(wǎng)絡(luò)切換方法形成對(duì)比,后者的設(shè)備逐個(gè)運(yùn)行,架構(gòu)僵化。

 

圖1:舊一代與新一代架構(gòu)

超大規(guī)模設(shè)計(jì)增強(qiáng)了可視性和安全性體系結(jié)構(gòu)。基于控制器的SDN結(jié)構(gòu)并不是專(zhuān)有的逐個(gè)框架結(jié)構(gòu),而是能夠自動(dòng)發(fā)現(xiàn)和配置可見(jiàn)性節(jié)點(diǎn),實(shí)現(xiàn)零點(diǎn)觸摸的橫向擴(kuò)展,單一面板管理,內(nèi)置彈性和硬件選擇,允許數(shù)據(jù)中心的網(wǎng)絡(luò)和安全團(tuán)隊(duì)以更靈活和靈活的方式運(yùn)作。

 

圖2:傳統(tǒng)NPB與新一代架構(gòu)的可見(jiàn)性和安全架構(gòu)

下一代的可視化是逐一管理代理的進(jìn)步。獨(dú)立的NPB和有限的集群不能提供全面的網(wǎng)絡(luò)視圖。相反,這些傳統(tǒng)的NPB創(chuàng)造了一些可視性的問(wèn)題,這些問(wèn)題是難以管理的,而且如果他們需要不同的視圖觀點(diǎn)或者網(wǎng)絡(luò)基礎(chǔ)設(shè)施發(fā)生變化的話(huà),往往需要將工具連根拔起,進(jìn)行遷移。相比之下,下一代可視化架構(gòu)使用SDN模型,其中底層節(jié)點(diǎn)是集中控制的,并且可以動(dòng)態(tài)地改變其狀態(tài),而無(wú)需物理干預(yù)。

超大規(guī)模為下一代基礎(chǔ)架構(gòu)所帶來(lái)的關(guān)鍵特征是智能化和靈活性。

下一代的可視化和安全體系結(jié)構(gòu)具有以下特征:

智能化敏捷性靈活性

l 基于SDN控制器的結(jié)構(gòu)(邏輯“超NPB”)

l 自動(dòng)發(fā)現(xiàn)和配置

l 分析和警報(bào)l 單一面板管理

l 自動(dòng)化

l 可編程集成

l 零接觸l 開(kāi)源硬件(供應(yīng)商選擇)

l 訂購(gòu)價(jià)格優(yōu)勢(shì)

l 橫向擴(kuò)展

l 在任何地方處理任何工作負(fù)載

這些功能解決了傳統(tǒng)NPB的架構(gòu)和操作復(fù)雜性,消除了可視性和管理孤島,加速了運(yùn)營(yíng)。

下一代可視化和安全架構(gòu)包括軟件和開(kāi)放硬件組件,可以利用這些組件來(lái)形成定制化的解決方案。

下一代可見(jiàn)性和安全體系結(jié)構(gòu)的組件包括:

1、結(jié)構(gòu)化控制器

基于軟件的智能控制器冗余運(yùn)行,并提供對(duì)可見(jiàn)性節(jié)點(diǎn)結(jié)構(gòu)的可視性,從單一接口對(duì)其進(jìn)行編程,并允許通過(guò)有限的交互,快速地在整個(gè)結(jié)構(gòu)上進(jìn)行配置更改。REST API使結(jié)構(gòu)能夠動(dòng)態(tài)地與工具和工作流進(jìn)行交互,從而實(shí)現(xiàn)響應(yīng)和任務(wù)的自動(dòng)化。

2、開(kāi)源的網(wǎng)絡(luò)交換機(jī)

可視化節(jié)點(diǎn)利用商用以太網(wǎng)交換機(jī)提供經(jīng)濟(jì)高效的可視化覆蓋范圍,支持內(nèi)聯(lián)或帶外部署模式。由冗余控制器管理的互連節(jié)點(diǎn)組成一個(gè)彈性結(jié)構(gòu)。沒(méi)有一個(gè)節(jié)點(diǎn)需要單獨(dú)進(jìn)行交互,因?yàn)榧軜?gòu)的智能與控制器在一起,而不是在盒子上。網(wǎng)絡(luò)和安全工具視圖只需要在控制器上設(shè)置。通過(guò)結(jié)構(gòu)的流量映射是自動(dòng)進(jìn)行的,不需要進(jìn)行任何配置。在節(jié)點(diǎn)失去與控制器的接觸的情況下,仍然能夠基于其最后編程的配置進(jìn)行操作。

3、基于x86的服務(wù)節(jié)點(diǎn)

高級(jí)數(shù)據(jù)包處理功能(如重復(fù)數(shù)據(jù)刪除和深度數(shù)據(jù)包檢測(cè))可以由基于x86的服務(wù)節(jié)點(diǎn)執(zhí)行。任何通過(guò)結(jié)構(gòu)的流量都可以通過(guò)服務(wù)節(jié)點(diǎn)發(fā)送,為每個(gè)工具執(zhí)行所需的功能。這種設(shè)計(jì)確保了高級(jí)數(shù)據(jù)包處理功能可用于整個(gè)可視化結(jié)構(gòu),從而提供每款工具,而不管訪(fǎng)問(wèn)通信的具體位置。第三方服務(wù)節(jié)點(diǎn)(如傳統(tǒng)的NPB或SSL解密器)也可以與結(jié)構(gòu)整合。

這些組件一起可以部署為簡(jiǎn)單的小型架構(gòu)或大型多站點(diǎn)設(shè)計(jì)。

可視化和安全性架構(gòu)較之傳統(tǒng)NPB的優(yōu)勢(shì):

傳統(tǒng)NPB下一代的可視化和安全性架構(gòu)

靜態(tài)設(shè)計(jì)

l 物理束縛,不靈活

l 需要手動(dòng)或物理干預(yù)才能更改架構(gòu)動(dòng)態(tài)的,邏輯上的“超NPB”設(shè)計(jì)

l 根據(jù)需要對(duì)軟件進(jìn)行更改

l 工具可以托管在任何地方

筒倉(cāng)的可視化

l NPB工具組具有不同的可視化程序完整的,普遍的可視化

l 跨整個(gè)數(shù)據(jù)中心(每臺(tái)機(jī)架,位置,虛擬機(jī),容器,云)的持續(xù)性和隨需應(yīng)變的可視性

逐一管理

l 逐一進(jìn)行功能管理結(jié)構(gòu)管理

l 單一面板管理/軟件定義的可見(jiàn)性

專(zhuān)有硬件

l 成本昂貴

l 被供應(yīng)商鎖定開(kāi)源硬件

l 靈活選擇供應(yīng)商

l 靈活的軟件定價(jià)

下一代可視性和安全性提供了架構(gòu)、運(yùn)營(yíng)和業(yè)務(wù)方面的優(yōu)勢(shì)。

對(duì)于企業(yè)業(yè)務(wù)而言:

·更快的服務(wù)和應(yīng)用程序交付

·改進(jìn)服務(wù)和應(yīng)用程序可用性

·降低OPEX和CAPEX

對(duì)于網(wǎng)絡(luò)和安全架構(gòu)來(lái)說(shuō):

·適應(yīng)所有工具(主動(dòng)和被動(dòng)),并根據(jù)需要在全球網(wǎng)絡(luò)中進(jìn)行擴(kuò)展,而不管網(wǎng)絡(luò)或工具的擴(kuò)展或變化

· 提高工具效率和可用性

·降低解決方案成本

對(duì)于操作運(yùn)營(yíng)而言:

·自動(dòng)執(zhí)行任務(wù),并以編程方式與工具或團(tuán)隊(duì)工作流程集成

·加快變更管理

·對(duì)性能和安全問(wèn)題做出更快更動(dòng)態(tài)的響應(yīng)

下一代的可視化和安全性的使用案例

下一代可視性和安全性為數(shù)據(jù)中心提供統(tǒng)一的解決方案,因此網(wǎng)絡(luò)所有者可以:

·監(jiān)控每臺(tái)機(jī)架

·監(jiān)視每個(gè)位置

·監(jiān)控4G / LTE移動(dòng)網(wǎng)絡(luò)

·監(jiān)控每臺(tái)虛擬機(jī)、容器和云工作負(fù)載

·擴(kuò)展DMZ的安全性

·動(dòng)態(tài)減輕攻擊

監(jiān)控每臺(tái)機(jī)架

實(shí)施普遍的性能和安全監(jiān)控解決方案可能會(huì)非常復(fù)雜且成本高昂。通過(guò)采用商用交換機(jī)和智能控制器的下一代架構(gòu),網(wǎng)絡(luò)擁有者可以以令人信服的價(jià)格獲得對(duì)于整個(gè)數(shù)據(jù)中心內(nèi)易于管理的可視化。

監(jiān)控每個(gè)位置

新一代的可視化和安全架構(gòu)可以通過(guò)廣域網(wǎng)進(jìn)行擴(kuò)展,以實(shí)現(xiàn)對(duì)遠(yuǎn)程數(shù)據(jù)中心和站點(diǎn)的監(jiān)控。這種功能允許工具和操作團(tuán)隊(duì)進(jìn)行集中管理,使任何工具都能在任何流量中得到利用,同時(shí)顯著降低CAPEX和OPEX。在每個(gè)數(shù)據(jù)中心和站點(diǎn)部署商用以太網(wǎng)交換機(jī),可以實(shí)現(xiàn)覆蓋每個(gè)位置的全局視圖——所有這些都通過(guò)冗余光纖控制器進(jìn)行集中管理。

監(jiān)控4G / LTE移動(dòng)網(wǎng)絡(luò)

運(yùn)營(yíng)商網(wǎng)絡(luò)通常使用隧道協(xié)議,某些工具可能無(wú)法讀取。下一代可見(jiàn)性結(jié)構(gòu)中的服務(wù)節(jié)點(diǎn)可以執(zhí)行協(xié)議剝離,以便通過(guò)更廣泛的工具進(jìn)行收集。

監(jiān)控虛擬機(jī)、容器和云工作負(fù)載

在虛擬機(jī),容器和云工作負(fù)載之間實(shí)施一致的監(jiān)視和安全協(xié)議可能是一個(gè)挑戰(zhàn),尤其是考慮到這些工作負(fù)載可能是動(dòng)態(tài)的,短暫的并且只能產(chǎn)生主機(jī)內(nèi)流量。將來(lái)自這些工作負(fù)載的流量傳送到下一代“超NPB”結(jié)構(gòu),可以使用相同或相似的工具,監(jiān)視和保護(hù)其他網(wǎng)絡(luò)流量。

下一代“超NPB”通過(guò)編程方式利用主機(jī)上的虛擬交換機(jī)SPAN端口卸載復(fù)制的工作負(fù)載流量,而不是消耗寶貴的主機(jī)資源或構(gòu)成安全風(fēng)險(xiǎn)。這種設(shè)計(jì)可確保流量不受干擾地指向工具。

擴(kuò)展DMZ的安全性

下一代“超NPB”安全體系結(jié)構(gòu)為在DMZ中部署安全工具和創(chuàng)建按需服務(wù)鏈提供了一種簡(jiǎn)單,橫向擴(kuò)展的方法。他們的基于控制器的設(shè)計(jì)能夠與快速編程和響應(yīng)的工具集成。

動(dòng)態(tài)減輕攻擊

借助x86服務(wù)節(jié)點(diǎn)提供的內(nèi)聯(lián)工具鏈,編程控制器交互以及高性能檢測(cè)和阻止功能,安全擁有者可以在面對(duì)大規(guī)模DDoS攻擊時(shí)擴(kuò)充和擴(kuò)展其內(nèi)聯(lián)工具。

結(jié)論

數(shù)據(jù)中心需要一款智能,敏捷,高度靈活的可視性和安全架構(gòu),可以集中整個(gè)數(shù)據(jù)中心的網(wǎng)絡(luò)流量,并提供成本和運(yùn)營(yíng)效率。

在過(guò)去,網(wǎng)絡(luò)所有者沒(méi)有統(tǒng)一的解決方案來(lái)管理網(wǎng)絡(luò)和安全工具的流量傳輸,無(wú)論是否是帶外數(shù)據(jù)。實(shí)現(xiàn)工具的可見(jiàn)性和優(yōu)化的唯一方法是部署傳統(tǒng)的NPB或利用TAP或SPAN端口。但是,超大規(guī)模網(wǎng)絡(luò)的出現(xiàn)為創(chuàng)建下一代架構(gòu)創(chuàng)造了藍(lán)圖,這些架構(gòu)能夠擴(kuò)展和適應(yīng)企業(yè)和服務(wù)提供商環(huán)境,從根本上簡(jiǎn)化管理。

基于控制器的SDN結(jié)構(gòu)解決方案利用開(kāi)源式硬件來(lái)創(chuàng)建邏輯“超NPB”,能夠在任何規(guī)模上為超大規(guī)模企業(yè)帶來(lái)益處。數(shù)據(jù)中心現(xiàn)在可以實(shí)現(xiàn)在任何地方都能看到和捍衛(wèi)的下一代可見(jiàn)性和安全性;加速和維持服務(wù)交付,并優(yōu)化預(yù)算。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)