Network Packet Broker на платформе EcoSwitch

Брокер сетевых пакетов предназначен для использования в составе системы управления трафиком операторского класса, а также в центрах обработки данных.

Поставка продукта осуществляется в формате программно-аппаратного комплекса. Допускается кастомизация продукта под конкретный спектр задач заказчика, что позволяет подобрать оптимальный вариант решения исходя из индивидуальных потребностей.

Преимущества

• Большой набор функций, достаточный для решения комплексных задач агрегации и распределения сетевого трафика на аналитические системы;
• Модельный ряд с широким диапазоном выбора устройств, отличающихся портовой емкостью и производительностью;
• Интуитивно понятная модель управления и мониторинга, с интерфейсами для автоматизации;
• Индивидуальный подход к потребностям заказчика, допускающий кастомизацию решения;
• Отечественный производитель, исследования и разработка ведутся в российском офисе со штаб-квартирой в Москве;
• Высочайший уровень технической поддержки продукта.

Принцип работы

Как сетевое устройство Брокер сетевых пакетов представляет собой мост второго уровня. Брокер сетевых пакетов подключается к источникам трафика с одной стороны и к анализаторам – с другой. В качестве источников могут быть пассивные оптические сплиттеры, SPAN-порты сетевых устройств, Брокер сетевых пакетов так же может включаться в разрыв канала для формирования копий трафика или перенаправления трафика для обработки с последующим возвратом его в канал.

Механизмы распределения полученного трафика формируются из правил выбора нужного трафика и способов его распределения между анализаторами. Условия выбора трафика позволяют задавать соответствия по полям заголовков от физического уровня L1 (порт, LAG, группа и т.д.) до транспортного L4 модели OSI, а также по значениям payload. В качестве способов распределения трафика сейчас доступны следующие варианты и их допустимые комбинации: сброс трафика, отправка в выходной порт или агрегат, балансировка трафика на кластере из анализаторов, создания множества копий трафика.  Дополнительной гибкости добавляет режим обучения, в котором устройство запоминает IP-адреса источников для того, чтобы впоследствии вернуть возвратные пакеты в нужный порт. Таким образом, брокер сетевых пакетов производит предфильтрацию потоков трафика для экономии ресурсов и эффективной работы подключенных анализаторов.

Основная функциональность

Функциональные возможности брокера сетевых пакетов от компании RDP постоянно развиваются и совершенствуются, основываясь на потребностях заказчиков. В настоящее время в продукте реализованы следующие возможности:

• Агрегирование потоков трафика из разных источников и последующее их распределение между анализаторами;
• Возможность работы портов в режимах: direction tx-only, direction rx-only, direction full;
• Агрегирование каналов (LAG) с поддержкой протокола LACP;
• Гибкая настройка правил выбора целевых потоков трафика на основе:
  • протоколов, IP-адресов (с возможностью задать список подсетей) и/или портов источников и получателей трафика;
  • меток VLAN c поддержкой разного количества меток;
  • меток MPLS c поддержкой разного количества меток;
  • поля ToS в пакетах;
  • входящих портов трафика и групп портов;
  • различных полей заголовков IP-пакетов и содержимого (payload) пакетов;
  • сочетания вышеуказанных правил выбора.
• Фильтрация, байпас, балансировка и зеркалирование выделенных потоков трафика;
• Различные режимы распределения трафика: one-to-one, one-to-many, many-to-one и many-to-many;
• Алгоритмы балансировки на основе протоколов, IP-адресов, портов, flow (5-Tuple) источников и получателей трафика;
• Обучение IP-адресам пакетов входящего трафика для передачи возвратных пакетов в те же порты, через которые были получены исходящие пакеты;
• Добавление, удаление, изменение меток VLAN для корректной инкапсуляции распределяемого трафика.
• Снятие дампов трафика (sniffer) для выбранного трафика и отправка по протоколу TZSP на аналитические системы.
• Управление и мониторинг:
  • Out-of-band интерфейс управления 1000BASE-T.
  • BMC (Baseboard Management Controller) микроконтроллер для удаленного управление устройством через IP (совмещен с интерфейсом управления).
  • USB, COM порт для локального управления.
  • Функционал AAA: создание, удаление пользователей с определенными правами.
  • Авторизация по протоколу TACACS.
  • Синхронизация времени по протоколу NTP.
  • Мониторинг по протоколу prometheus.
  • Поддержка SNMP, cигнализация о событиях средствами SNMP traps.
  • Логирование через протокол syslog.

Некоторые варианты использования

Создание отказоустойчивых кластеров из систем URL/DPI фильтрации

При разработке систем URL- DPI-фильтрации мы столкнулись с необходимостью их масштабирования. Эта задача была решена c помощью устройства NPB c функцией балансировки нагрузки. С использованием этого решения мы можем наращивать производительность систем фильтрации до терабитных скоростей. Реализовано взаимодействие между балансировщиком и фильтрами на базе EcoSGE, позволяющее контролировать готовность устройств к обработке трафика: состояние канала, работоспособность устройства EcoSGE и приложения фильтрации. Задача функции балансировки – равномерное распределение нагрузки.

Перенаправление и балансировка трафика на внешних анализаторах

1. Задача

Перенаправить интенсивные потоки трафика на систему анализа, состоящую из нескольких узлов (серверов) с равномерным распределением нагрузки между ними. Функциями устройств анализа могут быть: фильтрация трафика на 7 уровне (NGFW), крипто-VPN, анализ веб-трафика, платформы VAS.



2. Подключение, абстракция

Подключение системы, состоящей из массива анализаторов, осуществляется через устройство пакетного брокера агрегированным каналом непосредственно к пограничному маршрутизатору. Внутри агрегата входящий и исходящий трафик маркирован VLANID, возможно множественное подключение внешних источников трафика с множеством пар VLAN-LAN-VLAN-WAN. ПБ участвует в обмене LACP для контроля состояния линков в агрегате в сторону BR (Border Router).

ПБ является демаркирующим элементом, закрывающим весь комплекс анализаторов. На ПБ обеспечивается дополнительный уровень эксплуатационной и архитектурной абстракции решения.

С точки зрения BR, весь комплекс является прозрачной петлей второго уровня, для пропуска через нее (петлю) трафика используются изолированные маршрутные контексты (VRF), между которыми идёт обмен трафиком через эту петлю.

3. Предварительный анализ трафика

Трафик, полученный со стороны магистрали, предварительно анализируется на пакетном брокере: трафик, необходимый для анализа – балансируется среди анализаторов, весь остальной трафик возвращается обратно в сеть.

4. Взаимодействие с анализаторами

Анализаторы – также работают в качестве моста второго уровня и прозрачны для вышестоящих BR. Для подключения анализаторов возможны варианты: onstick-подключение, аналогичное uplink-подключению, или «в разрыв». При необходимости манипуляции с VLANID может осуществлять как сам ПБ, так и устройство анализатора.

Создание копий трафика

1. Задача

Агрегация сетевого трафика с множества источников в единой точке и формирование его предфильтрованных копий для передачи различным системам, например, системам сбора и хранения информации о трафике, системам ИБ, аналитическим системам quality/performance-monitoring.



2. Подключение

Чтобы подключаться к сетям-источникам, можно задействовать различные механизмы: пассивные оптические сплиттеры, SPAN-порты сетевого оборудования, включение в разрыв каналов.

3. Предварительный анализ и перенаправление

На основе значения различных полей заголовков, а также payload формируются информационные потоки, индивидуальные для каждого зеркала. Они перенаправляются в системы-потребители. Возможна балансировка внутри зеркала. В системы может отдаваться не весь трафик, а только тот, в котором есть потребность.

Также возможно одновременное направление трафика на анализаторы с его возвратом, — например, для внедрения дополнительной информации в payload, — и создание его копий для передачи в однонаправленном режиме.