开放网络的今天,汇聚分流器的明天
作者简介:张渐修,任职于上海同悦信息科技有限公司,从事P4可编程交换机市场工作,Wechat: Tooyumzjx。
前言
汇聚分流器一直是网络基础设施的一个重要组成部分。通过为通信网络和数据中心提供完整的网络可视性,它可以帮助运维人员监控网络性能,优化相应的安全部署,因而汇聚分流器在大规模网络中变得至关重要。同时随着网络开放成为下一代基础设施的基本要求,以SONiC为代表的开放网络操作系统逐渐成为网络设备的开发基石,这也使得研发软硬件解耦的汇聚分流器解决方案成为可能。随着SDN芯片的逐代演进,现今网络交换设备具备超强的数据平面,配合缓存规模的增加,结合灵活的配合和动作,基于开放SONiC和SDN芯片,将汇聚分流变为一种运行于标准操作系统之上的应用成为可能。开放的汇聚分流器不仅可以满足运营方对性能和带宽容量的要求,而且通过接口标准化的硬件和NOS,它可以实现跨平台的移植,方便针对不同场景选择最合适的硬件方案,也有利于用户开发安装定制化的私有软件。
汇聚分流器的演进
传统模式下,汇聚分流器通常采用垂直整合的方式,也就是说设备商提供软件与硬件紧耦合的黑盒设备。造成这种现象的主要原因在于以前没有一个标准化的网络操作系统,一个像Linux一样的通用软件系统,可以让应用开发者以此为基础进行二次开发。
现在随着SONiC开放网络操作系统的出现,网络设备领域的Linux已经诞生。SONiC获得了几乎所有网络芯片厂商的支持,目前已经公开支持SONiC系统的设备也达到上百种,而且优先得到适配的通常是高端的大带宽芯片,这就正好解决了分流器需要满足网络流量日益增长的需求。
SONiC颠覆了以往专有NOS的封闭架构,基于容器的系统非常方便构建定制化的网络服务,开放的组合带来丰富的社区生态,在开放共赢中相互创造新的商业模式和企业价值。
开放的汇聚分流器具有很多优势,首先它极大地丰富了客户在设备规格上的可选范围,不再受限于传统厂商先买框再买线卡,通过框锁定客户的死板做法,当前基于白盒交换机的汇聚分流器支持业界主流的芯片,在带宽方面支持从10G到400G的不同需求,用户可以针对实际使用场景选择合适带宽的设备,从而可以大幅大降低采购成本;其次基于与数据中心网络同类型的白盒交换机来搭建汇聚分流器还可以减少设备种类,减少硬件型号,这样在网络排障等运维场景可以降低运维人员的工作难度。同时基于开源SONiC的网络操作系统支持二次开发,这样就可以整合其它开源或定制的分析套件,将汇聚分流平台打造成为真正的网络报文代理(NPB)产品。
下面分享两则应用案例。
案例分享一:基于可编程平台的开放NPB产品
汇聚分流器会从整网设备上收集流量,过滤后的数据包分配给网络监控和性能管理工具,比如做应用分析、网络优化和取证、应用性能管理或者网络性能管理等。汇聚分流器可以为不同的网络监控工具提取其需要的特定网络流量,从而确保网络监控和安全工具可以得到更高效的利用,进而改善整个网络的性能。
随着5G网络的普及,满足客户的服务质量QoS和服务水平协议SLA至关重要。运营商需要汇聚分流器来监控、隔离、过滤或处理在网络中造成问题的数据流,比如当运营者需要检查来自特定用户设备的数据流,对其进行相应检测分析,查找丢包原因或者诊断网络带宽降低的原因时,对于此类有明确应用场景的需求,黑盒的可视化平台通常会提供五花八门的功能,让用户为不需要的功能买单,满足设备厂商分摊研发成本的目的,但这种模式就用户来讲既被硬件平台限定又没有任何的软件功能自由度可言。
在图1.1的传统模式下,被抓取的海量报文被传输到服务器上,管理员使用会话信息作为搜索键从文件中过滤出所需的数据包。因为处理过程需要离线操作,人工的介入导致通常需要很长时间才能隔离过滤或者分析出网络上的相关流量,无法及时响应业务部门的故障排除和验证请求会严重影响用户体验。
图1.1、传统模式 图1.2 NPB模式
如图1.2所示,为了更加自动化和智能化, OpenMesh可编程交换机运行OpenNPB分流软件后就可以变身为NPB设备,前文手动操作转换为SDN的方式,故障排除时间可以相应地大幅缩减。NPB交换机以线速进行报文的过滤,只有被交换机过滤后的数据包被记录并进行离线分析。此时就可以针对终端用户对应用优化的不同需求来对不同数据包进行处理,实现流量的过滤与汇聚,对端到端的网络流量提供实时的可视性。
具体来讲,图2中来自网络设备端口的数据包从移动网络复制并转发到汇聚分流交换机,然后交换机进行按需的数据过滤,汇聚或者分流。这样的话,只有与用户相关的数据包(由用户的会话信息或其他方法确定)从交换机的用户平面中被过滤出来并送至分析软件进行后续处理。
图2 可编程的汇聚分流器
基于特定字段的特定值对数据报文进行过滤等常规处理都可以在P4可编程交换机中线速实现。此外,为了提高分流软件的实用性,OpenNPB实现了基于QOS的网络分流,通过设定不同出端口的流量阈值,用户可以动态的调整流量在不同线路的分配权重,从而实现一种弹性的流量负载均衡。
可编程交换机的抽象API还支持P4应用与本地或远程控制平面的结合,从而建立高度差异化的解决方案。
案例分享二:基于国产交换平台的NPB产品
SONiC网络操作系统区别于传统操作系统的一个明显不同就是在社区的推动下实现了标准的交换机抽象层,保证不同芯片平台都可以运行相同的SONiC软件。因此上述方案可以非常方便的移植到国产交换平台,满足特定行业对国产化平台的需求。
在金融数据中心,鉴于业务需求通常部署有大量网络工具用于故障排除或监控,一个可视化的网络才能够保障网络的正常运行。传统上管理员需要在不同的交换机上设置特定的SPAN,这些过滤配置一旦出现问题就有可能导致网络中断。另外,交换机内部由于资源有限通常只支持一定数量的SPAN。这个过程很容易出错,配置速度慢且缺乏一致性。
这种要对每台设备单独进行网络设置的方式明显不满足运维的需求,如图3所示通过引入OpenMesh国产分流交换机,只设置一次SPAN就可以将所有流量汇集到交换机,并根据需要集中地创建所有策略,基于容器的过滤策略可以过滤并减少非相关流量,只将有用报文导向目标分析工具。此时分析软件也不需要像数据网络一样规模庞大,从另一个角度可以降低对分析工具的投资。以安全分析为例,管理员只需要引导特定的流量如PCI-DSS相关流量送到带外工具进行分析。
图3 国产汇聚分流器
总结
基于大带宽的硬件平台和开放的网络操作系统,汇聚分流器可以实现聚集网络流量到单点,然后通过集中的网络工具场充分发挥网络和安全分析平台的潜力,为管理员提供正确的数据和所有网络的可视性。
这种允许多个网络工具使用网络数据的共享式访问,改变了之前在整个网络部署分布式的监控和安全平台的方式,具有更高的投入产出和工作效率。一次性网络设置,然后根据需要过滤并提供每个平台/工具相匹配的流量,简单而集中的管理使得过滤和传输流量到分析平台的策略创建非常灵活,所有这些都可以通过集中的Web GUI管理完成。这意味着当部署完成后,管理员在提取特定流量时不再需要访问网络设备或具备相应的网络管理识,这也有助于避免在生产环境中对网络交换机进行复杂的网络配置管理,这些操作非常容易出错而且缺乏可扩展性(SPAN限制)和颗粒度(在过滤层面)。
总体来讲,开放网络的今天就是汇聚分流器的明天。它具备如下开放网络的特征。
优化网络监控工具:用于流量分析/处理的网络工具(如NPM、APM、数据包处理工具等)在处理越来越海量的数据时相当昂贵。与其不断扩大规模购买网络分析工具,不如通过汇聚分离器来过滤并提取与该特定网络平台相关的流量;
简单快速的部署:汇聚分离器本质上是带外平台,保证不会影响生产网络。人们只需要从组网设备的SPAN端口设置一次目标地址,或将所有流量传送到分流器就可以了。远程流量处理(过滤和转发)可以在用户网络中通过隧道来实现,不需要改变用户网络的任何特定设置就可以工作;
自动化的API支持:开放的汇聚分离器支持北向的REST API,可以用来触发自动化任务,例如IPS可以对特定的可疑外部IP地址进行警报,SIEM可以处理警报,并触发API使汇聚分离器开始向网络记录器复制特定流量,实现进一步的取证;
安全性:管理员可以访问所有数据和过滤设置,而用户只能接收管理员授权的流量。这有助于控制哪些人和工具可以接收网络中的安全敏感流量;
开放性:平台建立在开放硬件和SONiC软件之上,天然支持SDN管理范式,方便用户在软件协议层面和硬件平台层面上做进一步扩展。
【转载须知】
若转载文章为原创文章,可在相应文章下或公众号后台留言;其他非转载类文章须在文首以不小于14号字体标明转载自SDNLAB。