我们已经讨论了原因网络数据包经纪人是数据中心越来越拥挤的数据中心的重要组成部分,用于流量聚合和负载平衡。我们还开始潜入特定的高级功能,如重复数据删除。今天,我们将专注于网络隧道。简而言之,此功能允许网络数据包经纪人(NPB)传输网络基础架构不支持的协议,使潜在的性能问题或威胁您的注意力更快。
什么是网络隧道 - 你为什么要用它?
讽刺的是,隧道化并不是网络隧道化所需要的最好的视觉类比。与其把网络隧道想象成一辆汽车通过隧道,不如把网络隧道想象成一辆汽车在一艘渡船上行驶。
在这个类比中,你的车是一个包。这种包裹,就像你的汽车,被设计成可以四处旅行,但有些地方它不能到达。一个数据包可能与您的数据中心不兼容,就像您的汽车与大片水域不兼容一样。
与其把你的车开到海里去,或者把你的数据包放到一个不兼容的网络里,不如用渡船来代替。渡轮封装您的汽车,并安全地将其运输到一个兼容的道路网络。同样,网络隧道协议用不同的报头封装了一个不兼容的包,目的是使其与您的网络兼容。
网络隧道通常用于连接远程站点和虚拟专用网络应用程序。在这种情况下,来自计算机的数据包被加密,以一种方式与公共互联网不兼容。VPN设备用新标题封装这些数据包,该数据标题告诉互联网将这些数据包发送到公司网络,然后在那里剥离新标题并解密。
当您的公司网络与vpn和云相关联时,隧道是网络数据包代理的一个重要特性。在这些上下文中,可能不可能设置物理网络TAP或SPAN端口,因为云中的基础设施不属于您或可以访问。通过使用先进的网络数据包代理使用隧道功能,您可以捕获云中的数据包和专用网络,然后将其发送到您的监控工具进行分析。
不同的隧道协议
对于这事物,有一种以上的猫或隧道隧道隧道隧道。有多个网络隧道协议,每个协议都有其自身的优点和缺点,而不是网络安全用例。
>>聚合 - 将值添加回您的网络
(免费白皮书)
GRE:通用路由封装
由思科系统开发,GRE已成为网络隧道的广泛使用的行业标准。使用非常简单,因为它确实将两个新标头添加到封装的数据包中。一个标题标识数据包,另一个标题添加了将发送数据包的地址。
为了使GRE生效,您需要建立GRE隧道。这涉及到在两台路由器之间创建一个特定的配置,这意味着GRE只能用于特定的点对点通信。GRE通常与VPN应用一起使用,VPN提供了一个安全的加密层,GRE通过隧道将流量加密到需要去的地方。
L2GRE:二层GRE
L2GRE或第2层GRE在IP网络中提供虚拟私有以太网,允许您在多个位置处具有相同的VLAN并连接。层2分组封装在GRE分组中,然后封装在IP协议中。隧道提取数据包并将数据包转发到其目的地,允许源和目的地对等体以彼此具有虚拟连接。
VXLAN:虚拟可扩展局域网
与GRE相比,VXLAN在数据中心应用程序中更为常见,特别是在包含高度虚拟化环境的数据中心中。跨这些环境扩展网络通信可能很困难,因为它们处理的通信量可能大大超过物理基础设施的容量。
因此,vxlan用于创建覆盖网络,允许管理员虚拟化网络基础架构。使用VXLAN,管理员可以部署和使用虚拟交换机,防火墙和其他网络基础架构,允许网络与越来越多的虚拟机一起扩展。
ERSPAN:封装远程交换端口分析仪
基本上,这是一个虚拟跨度端口。与跨度端口一样,ERSPAN允许管理员从一个交换机上的端口映射流量,然后将此流量(使用GRE)传送到另一个设备上的其他端口。在我们以前的重复数据删除的帖子中,我们提到跨度端口是重复数据包的巨大来源 - 我们建议您在可能的情况下切换到网络水龙头。然而,Erspan具有比传统跨度港更多的可能性。
例如,SPAN端口通常只将来自一个交换机的流量镜像到另一个交换机,但是ERSPAN允许您将来自交换机的流量镜像到您想要的任何设备。例如,您可以将镜像流量发送到配备专用监控设备的PC或服务器,您可以使用过滤器,以便您的设备只检查通过GRE发送的数据包。这意味着您可以使用ERSPAN将流量从您网络中的任何地方直接发送到配备了监控它的设备。
将隧道添加到您的部署中
您现在运行的数据中心可能与过去的私有云相去甚远。它是高度虚拟化的,与云存储高度集成,包含多个VPN或SD-WAN连接,将其连接到分支机构和远程用户。如果没有网络数据包代理,这些新的链接就会在网络中创建传统监控工具无法触及的盲点。通过使用先进的网络数据包代理如配备隧道的PacketMAX,您可以将这些盲点带入光线,导致网络更安全且网络。
想要在部署中添加一个包代理,但是不知道从哪里开始?加入我们一个简短的网络设计 - IT咨询或演示。没有义务 - 这就是我们喜欢做的事情。
