百科生活 投稿
关于【汇聚分流设备】:汇聚分流设备(网络分流设备品牌),TAP交换机之初体验,今天小编给您分享一下,如果对您有所帮助别忘了关注本站哦。
- 内容导航:
- 1、汇聚分流设备(网络分流设备品牌)
- 2、TAP交换机之初体验
1、汇聚分流设备(网络分流设备品牌)
提问:汇聚分流设备(网络分流设备品牌)最佳答案多条广告如下脚本只需引入一次 汇聚分流设备也称作流量采集器、TAP设备、镜像交换机等,可以解决用户现网碰到的如下问题:1、交换机镜像端口不足:基于交换机镜像端口旁路部署的安全设备逐渐增多,在同时部署两个或以上的旁路监听设备之时不仅增加交换机的性能开销,且不能满足各种安全监控设备灵活部署的需要。2、安全设备部署分散:不同种类的安全监控设备部署在网络各处进行监控分析时,容易形成信息孤岛,导致信息分散,
多条告白如次剧本只需引入一次
集聚分流摆设也称作流量搜集器、TAP摆设、镜像调换机等,不妨处置用户现网碰到的如次题目:
1、调换机镜像端口不及:鉴于调换机镜像端口旁路安置的安定摆设渐渐增加,在同声安置两个或之上的旁路监听摆设之时不只减少调换机的本能开支,且不许满意百般安定监察和控制摆设精巧安置的须要。
2、安定摆设安置分别:各别品种的安定监察和控制摆设安置在搜集到处举行监察和控制领会时,简单产生消息半壁江山,引导消息分别,监察和控制资源没辙处置,反复监察和控制必然没辙制止。
3、没辙一致管理和控制:各别品种的安定监察和控制摆设关心维度有所辨别,监察和控制流量也各别,所以地区处置将减少保护艰巨,加大了企业运维本钱。
4、领会功效低:在搜集带宽晋级时,企业开始商量减少安定监察和控制摆设的入股,但全量的数据监察和控制领会,必然带有洪量无效的后台流,其真实所需的数据并不多,如不许灵验过滤,将贬低安定摆设领会功效。
5、没辙监察和控制10/40/100G链路:安定监察和控制摆设厂商长于于从普遍1G/10G以太网网卡捕捉报文,经过CPU举行流重组、和议解密、数据领会,其本领框架结构都积淀在X86平台上,这类处置计划因为遭到网卡和硬件框架结构的控制性,可处置的链路介质和流量都不高
6、没辙标识数据源:在搜集原始数据时,不许灵验的标识数据源来自那些部分或地舆场所,将感化安定监察和控制摆设准时创造报复事变或定位妨碍事变。
6、没辙标识数据源:在搜集原始数据时,不许灵验的标识数据源来自那些部分或地舆场所,将感化安定监察和控制摆设准时创造报复事变或定位妨碍事变。
7、不足一致可视化处置:洪量搜集节点和安定监察和控制摆设处置对立独力,沿用保守的地区轨制举行处置,没辙做到全网全部监察和控制,生存很多处置监察和控制盲点。
2、TAP交换机之初体验
原计划第三篇关于TAP交换机的文章写一写测评,但苦于接触到的TAP交换机并不是那么多,在这种情况下写测评文章,不够严谨,有失偏颇。就改为写一写TAP交换机的体验吧。本文以苏州盛科出品的V550-24T16X这款产品为基础来谈谈TAP交换机的功能以及使用方法。准备在下一篇再写一写TAP交换机的应用场景和部署。
关于
这一节简单介绍下苏州盛科和这款交换机吧,作为背景介绍。
苏州盛科是一家做以太网交换芯片的企业,从2005年到目前,已经做了很多代芯片,随着近几年国产化浪潮,这家公司总算是守得云开见月明,成为国产化交换设备的核心元器件供应商,在网络设备国产化产业链里成为不可或缺的一环。
这款V550-24T16X是一款很有意思的产品,像是专门面向中型企业、事业单位设计的汇聚分流器产品。1U的标准机架高度,模块化双电源冗余设计,可交流可直流,部署友好性、可靠性都兼顾了。24个千兆电口,16个万兆光口,非常灵活,因为很多单位都是有既存的千兆网络设备,又有新的万兆网络设备,两种端口形态定位精准。这款设备采用的是盛科自研的第五代芯片CTC7148,弱CPU,没有FPGA。
功能
从该产品的功能清单来看,支持很多功能,本文就按照我比较关注的几个基础功能来写,免得过于冗长。
- 汇聚分流功能
流量的汇聚分流是TAP交换机的基础功能,既要能够汇聚多个流量采集点流量,又能够灵活的按需分发流量。
V550-24T16X配置这个功能的逻辑是先创建一个TAP Group,然后往TAP Group里面添加ingress port和egress port。这里有三个概念,TAP Group就是一组入端口和出端口以及相关流量操作的策略,不同TAP Group之间是相互隔离的,逻辑不相干。Ingress port也就是入端口,是用来连接流量采集点的端口(一般是核心交换机的镜像出口)。Egress port是出端口,用来连接流量需求设备(一般是安全设备、流量分析设备)。为了适应更多的流量需求场景,同一个入端口的不同流量可以分属于不同的TAP Group,同一个出端口可以属于不同的TAP Group。这里逻辑有点绕,简单来讲就是入端口的概念可以延伸成入端口+Flow,这一点在实际应用中是比较灵活的,针对不同需求可以自由组合。
下面看看怎么配置
创建一个TAP Group
填一个组名和ID就可以创建了,组名和ID不要重复,容易区分。
该组是否支持报文截断
报文截断可用于脱敏,但比较粗暴,就是把设置长度之后的报文直接截断,不能做mask之类的操作,做mask的动作一般需要强CPU支持。报文截断是个附加属性,可不打开
该组是否支持加时间戳
加时间戳可以记录报文到达的时间,根据这个时间戳,分析设备可以计算出报文到不同网络节点的时间,进而计算出网络时延。报文截断是个附加属性,可不打开
接下来就可以向TAP Group里面添加入端口和出端口了
添加入端口
添加入端口可以设置很多属性,每个属性都对应丰富的功能,包括剥VLAN、标记VLAN和流量匹配和报文编辑等,限于篇幅就多不说了。
添加出端口
添加出端口就简单很多,就只有时间戳功能是否打开。入端口的时间戳功能应该是为了记录报文抵达时间,出端口时间戳应该是报文离开时打上时间戳。
可以通过添加多个入端口和多个出端口来实现流量的汇聚和复制分流。
配置逻辑还是比较简单清晰的,对于最基本的需求,只需要填写TAP Group的名字和ID,其他都可以通过点点戳戳就可以做到。
- 流量过滤功能
流量过滤是汇聚分流器的一个很重要的功能,不同于传统镜像的方式无论是否是无效流量,全部都会镜像给目标设备,汇聚分流器可以根据需要过滤掉无效流量,这可以有效降低目标设备的无效开销,提升处理能力,也是利旧的很好的支撑点。
看看怎么配置
先看看入端口的
使能流量匹配
流匹配这里点开,下面就可以选flow了,flow得提前配好。
添加flow
使能解封装,是一个开关,如果是隧道报文,需要点开。
添加一条流
添加一条流
从字段看,涵盖得非常丰富,基本上常用字段都在里面,还有可以匹配隧道内层的头部信息,限于篇幅,各个字段详细的内容就不赘述。
出端口使用ACL做过滤,跟传统交换机的功能一样
创建ACL
添加ACL的过滤条目
可过滤字段
也可以根据隧道内层报文做过滤。
出端口上启用ACL
出端口配置ACL
在出端口上直接关联对应的ACL
总体而言,该款设备提供了比较丰富灵活的ACL功能,对隧道支持也比较充分,即可基于外层报文也可以基于内层报文进行匹配、过滤、编辑等。
从配置逻辑上看,出端口和入端口的绑定逻辑稍微不同,前者是先配置ACL,然后在端口列表中进行绑定。后者是先配置Flow,然后在TAP Group中添加入端口的时候指定。
- VxLAN隧道解封装功能
VxLAN是目前网络虚拟化最常用的协议,针对虚拟化网络的安全需求,如果在安全设备上解封装VxLAN,带来的开销非常大,把这个工作offload到汇聚分流器上去,是个不错的选择。盛科这款产品支持这一功能。来看看怎么玩。
先在flow上使能解封装功能
使能解封装
在配置flow的时候,匹配VxLAN头部特征
配置匹配VxLAN报文
VxLAN是一个UDP报文,所以IP协议号要选UDP,VxLAN协议对应的UDP目的端口为4789,填上即可识别VxLAN报文。在后面的动作里面选择strip-header,如下图
打开strip-header选项
隧道报文的解封装配置逻辑基本上一样,使能,然后配置识别该隧道协议的特征即可。
从配置逻辑来看,符合匹配+动作的习惯,也比较容易配置。还是很容易上手的。
- 负载均衡
负载均衡也是一个很常用的功能,随着数据量增加,或者多个采集点的流量汇聚到一起,通常一台安全设备搞不定全部的数据,就需要多台同时工作。苏州盛科这款V550-24T16X可以支持流量的负载均衡,也具有很强的灵活性。从机制上,是通过端口聚合的方式实现,就是把多个出端口聚合成一个逻辑口,这样就可以实现聚合组内部的端口之间进行负载均衡。
配置负载均衡的HASH模式
负载均衡的HASH字段
从上图看,负载均衡可选字段还是非常丰富的,对于隧道报文,既可支持外层字段又可支持内层字段,还可以灵活组合。
配置端口聚合
直接勾选就可以了,很是方便。
性能和规格
写着写着就洋洋洒洒一大篇了,简单看看性能和规格吧。
转发性能上看,该款设备可以实现每个端口都线速转发,入端口和出端口没有限制,时延没有条件测试,从官方宣称看最低实验室640纳秒,低于1微秒,这是一个很不错水平。
宣称的设备重启时间120秒,这个中规中矩;功耗55瓦,还是挺低的。
看看规格表
V550-24T16X规格表
负载均衡组数量最多16个,跟端口总数合起来看,算是合理,每个组最多可以64。入端口flow数量1024个,常规情况下够用,出端口ACL数量只有253个,比较勉强。TAP Group数量最多可达512个,足够使用。
本文关键词:汇聚分流设备是什么,汇聚分流设备的去重原理,汇聚分流设备项目招标,汇聚分流设备怎么配置,汇聚分流设备原理。这就是关于《汇聚分流设备,TAP交换机之初体验(汇聚分流设备是什么)》的所有内容,希望对您能有所帮助!
- 最近发表