我们讨论了为什么网络包的经纪人是日益拥挤的数据中心的基本组件,用于流量聚合和负载均衡。我们还开始深入研究特定的高级特性,比如重复数据删除。今天,我们将重点关注网络隧道。简而言之,该特性允许网络分组代理(NPB)传输网络基础设施不支持的协议,从而很快将潜在的性能问题或威胁带给您的注意。
什么是网络隧道?为什么要使用它?
讽刺的是,隧道化并不是网络隧道化所需要的最好的视觉类比。与其把网络隧道想象成一辆汽车通过隧道,不如把网络隧道想象成一辆汽车在一艘渡船上行驶。
在这个类比中,你的车是一个包。这种包裹,就像你的汽车,被设计成可以四处旅行,但有些地方它不能到达。一个数据包可能与您的数据中心不兼容,就像您的汽车与大片水域不兼容一样。
与其把你的车开到海里去,或者把你的数据包放到一个不兼容的网络里,不如用渡船来代替。渡轮封装您的汽车,并安全地将其运输到一个兼容的道路网络。同样,网络隧道协议用不同的报头封装了一个不兼容的包,目的是使其与您的网络兼容。
网络隧道通常用于连接远端站点和虚拟专用网应用。在这种情况下,来自您的计算机的数据包是加密的,以一种与公共互联网不兼容的方式。VPN设备用新的报头将这些数据包封装起来,告诉互联网将这些数据包发送到公司网络,然后从公司网络中剥去新的报头并进行解密。
当您的公司网络与vpn和云相关联时,隧道是网络数据包代理的一个重要特性。在这些上下文中,可能不可能设置物理网络TAP或SPAN端口,因为云中的基础设施不属于您或可以访问。通过使用先进的网络包代理通过隧道特性,您可以捕获云中和私有网络中的数据包,然后将它们发送给监视工具进行分析。
不同的隧道协议
就这一点而言,剥猫皮或挖洞的方法不止一种。网络隧道协议有多种,每种协议在网络安全用例中都有各自的优点和缺点。
>>聚合-为你的网络增加价值
(免费白皮书)
GRE:通用路由封装
由思科系统开发的GRE已经成为广泛使用的网络隧道行业标准。它使用起来非常简单,因为它所做的只是将两个新头添加到一个封装的包中。一个报头标识数据包,另一个报头添加数据包将被发送的地址。
为了使GRE生效,您需要建立GRE隧道。这涉及到在两台路由器之间创建一个特定的配置,这意味着GRE只能用于特定的点对点通信。GRE通常与VPN应用一起使用,VPN提供了一个安全的加密层,GRE通过隧道将流量加密到需要去的地方。
L2GRE:二层GRE
L2GRE或二层GRE在IP网络中提供了一个虚拟的私有以太网,允许用户在多个位置拥有相同的VLAN,并且可以连接。第二层报文先封装在GRE报文中,再封装在IP协议中。隧道提取数据包并将其转发到目的地,允许源端和目的端像彼此有一个虚拟连接一样进行操作。
VXLAN:虚拟可扩展局域网
与GRE相比,VXLAN在数据中心应用程序中更为常见,特别是在包含高度虚拟化环境的数据中心中。跨这些环境扩展网络通信可能很困难,因为它们处理的通信量可能大大超过物理基础设施的容量。
因此,VXLAN用于创建一个覆盖网络,允许管理员虚拟化网络基础设施。使用VXLAN,管理员可以部署和使用虚拟交换机、防火墙和其他网络基础设施,允许网络随着虚拟机数量的增加而扩展。
封装远程交换端口分析器
基本上,这是一个虚拟的SPAN端口。与SPAN端口一样,ERSPAN允许管理员镜像来自交换机上端口的流量,然后将此流量(使用GRE)发送到另一个设备上的不同端口。在我们之前关于重复数据删除的文章中,我们提到过SPAN端口是重复数据包的巨大来源——如果可能的话,我们建议您切换到网络tap。然而,与传统的SPAN端口相比,ERSPAN有更多的可能性。
例如,SPAN端口通常只将来自一个交换机的流量镜像到另一个交换机,但是ERSPAN允许您将来自交换机的流量镜像到您想要的任何设备。例如,您可以将镜像流量发送到配备专用监控设备的PC或服务器,您可以使用过滤器,以便您的设备只检查通过GRE发送的数据包。这意味着您可以使用ERSPAN将流量从您网络中的任何地方直接发送到配备了监控它的设备。
将隧道添加到部署中
您现在运行的数据中心可能与过去的私有云相去甚远。它是高度虚拟化的,与云存储高度集成,包含多个VPN或SD-WAN连接,将其连接到分支机构和远程用户。如果没有网络数据包代理,这些新的链接就会在网络中创建传统监控工具无法触及的盲点。通过使用先进的网络数据包代理如配备隧道的PacketMAX,你可以把这些盲点暴露出来,从而使网络更加安全和稳定。
想要在部署中添加一个包代理,但是不知道从哪里开始?加入我们一个简短的网络设计- it咨询或演示。没有义务,这是我们喜欢做的。
