【网络安全】现代overlay网络的监控方法

Overlay网络和数据中心网络

带有VXLAN的Overlay网络很流行，它基本上是将逻辑网络与基础物理硬件分离。如今，Overlay网络已成为任何数据中心的标准，并增强了数据中心的灵活性。但是，当前我们正处于过渡过程中，数据中心架构正在经历另一波变革。 今天的区别在于，我们正在谈论每个数据中心数百或数千个overlay网络，最多有数千个端点。 此外，overlay网络比过去更具动态性。

下图显示了云数据中心网络的发展。

底层网络设计&L2 Overlay

这些overlay网络共享相同的底层网络，但是对于用户来说，它是完全透明的网络。这对L2网络的用户是有利的，因为他们可以做任何他们想做的事情。例如，使用任何IP地址或任何VLAN。但是，缺点是监控参考底图网络，因为您还会看到ioverlay网络。此外，确定不同的overlay网络也很复杂。

此图显示了一般问题。这些服务中的每一个都可以使用相同的IP范围。这显然是因为运行这些服务的网络工程师希望使其变得简单。底层网络基础设施处理这些不同服务的分离。这是通过隧道完成的。今天，这是典型的VXLAN；在过去，它是MPLS或VLAN。不同的是，今天它是动态的。

在此方案中，我们有几个可见性选项：

• 参考底图网络的可见性
• 特定overlay网络的可见性
• 所有overlay网络的可见性
• 同时显示参考底图和overlay的可见性(完整的端到端视图)

网络可见性于端点可见性对比

在探索overlay网络的复杂性之前，了解网络可见性和端点可见性之间的区别至关重要。这两者之间有一些主要的不同之处。

• 网络可见性显示基于网络数据的指标，而端点可见性显示基于日志或活动客户端的指标。
• 网络可见性大多是被动解决方案，而端点可见性通常不是被动的。
• 网络可见性对设备和软件是不可知的，而端点可见性并不是不可知的，通常需要为每台设备采用。
• 网络可见性涉及较低的运营成本，但终端可见性解决方案的运营成本较高且不可预测。
• 网络可见性提供端到端视图，包括传输路径。但是，端点可见性显示端到端性能，但不显示网络路径或网络参数。网络参数是端到端参数的间接派生。
• 网络可见性与应用相关，但端点可见性提供了良好的以应用为中心的指标。
• 与终端可见性解决方案相比，由于硬件的原因，网络可见性在安装阶段涉及更复杂的方法，端点可见性解决方案在一开始就很容易安装。
• 良好的故障排除需要网络可见性，而故障排除仅有端点可见性是不够的。

我们，Cubro，提供网络可见性解决方案。

Overlay网络的复杂性

底层网络设计&L2 overlay和监控

如果您在以下位置分流并监控，则可以在此图片中清楚地看到问题：

有两个问题：

问题1：可以多次看到相同的流量。同时可以看到所有overlay网络。这是因为L2网络可以运行相同的IP范围，并且由于典型的监控解决方案使用IP地址来确定网络中的不同路径，因此对于传统的监控来说，分离流是非常复杂的。

典型的监控工具不能处理隧道流量。几乎所有监控工具都设计为仅在一个端口或一个逻辑网络层上处理流量。此工具通常无法关联流量。

这是常见的问题；相同的IP范围但不同的overlay。正常情况下，标准监控设备看不到外部报头。因此，内部IP测量的结果往往是错误的。overlay信息通常会丢失，因此结果不正确！

问题2：这个问题更加复杂。overlay网络可以分布在不同的DC上，这些不同的DC通常通过BGP链路连接。在这种情况下，需要BGP关联来产生有用的结果。

数据中心或数据中心网段之间的BGP互联。

监控现代overlay网络的不同方法

所有供应商都在谈论安全性，每个人都提供很酷的软件工具来分析您可以考虑的任何威胁。问题只在于将正确的流量传输到相关设备。仅点击和删除基础网络报头是不够的，也不能解决问题，因为overlay是高度动态的，并且在第二层透明overlay网络中，您很可能会有重复的IP范围。这种隧道信息的移除会导致错误的结果，并且在动态隧道的情况下，可见性工具必须跟随数据中心的overlay网络。需要动态隧道过滤-需要解码信令和路由业务。带内信令和解码是未来可见性的必备条件。

每个网络基础设施对网络监控解决方案有不同的要求。有几种工具和解决方案可用，因此必须仔细选择合适的解决方案。优化的解决方案提供了更好的网络控制和更好的性能。

让我们来看看Cubro提供的三种不同的解决方案设计。

解决方案1：

• 移除并关联路径上的流
• 基于底层传输信息的流关联
• 基于BGP的流路合并
• 丰富带内交换机遥测数据
• 使用开关表信息丰富数据

网络路径

现在已经确定了受物理网络中断影响的应用程序和主机，SDDC管理员可以通过选择终端节点来查看VM到VM的流量被封装在哪里，并可以具体查看流量经过了哪些物理网络设备。

现在，SDDC管理员可以确定路径中的哪些网络设备是导致应用程序性能问题的原因。

下图显示了VM到CM通信中涉及的网络设备接口。

对于中继跟踪通信的接口，将显示以下信息：

• 该接口上的相对业务量占其标称容量的百分比
• 在当前平均数据包大小下可维持的最大数据包速率接口上的相对数据包速率
• 在选定的时间间隔内，通过此接口在每个方向上通过的字节总数
• 在选定的时间间隔内，通过此接口在每个方向上通过的数据包总数

路径信息不仅适用于日期中心内的VM至VM（东西流量），也适用于VM至网关（南北流量）。此功能可用于识别网络拥塞和异常活动，例如数据泄露。

解决方案2：

另一种可能的选择是动态VXLAN过滤。这个方案不像方案1那么完美，但是可以重用“旧的”监测设备。可以重新调整旧设备的用途，因为动态VXLAN过滤将确保只过滤出来自相关overlay的流量并将其发送到传统监控工具。

挑战在于，只有少数NPB能够进行VXLAN过滤。第二个问题是，这必须动态完成。因此，某些信令协议必须由数据包代理或外部设备解码。这将我们引向我们的第三个解决方案-Cubro Cloud Switch(CCS)。

解决方案3：

最先进的解决方案是使用Cubro Cloud Switch，因为CCS结合了高级交换结构和可视化结构。 下图显示了使用CCS时的转换。

Cubro Cloud Switch在第2层到第7层提供切换功能，同时提供可视化。因为包转发是在硬件中完成的，交换机基础设施知道微服务在哪里运行，并且可以复制相关的流量，并通过交换机基础设施将其发送到探测系统（虚拟/真实）。

该解决方案是Cubro设计基于Sonic的高性能硬件云交换机。Cubro Cloud Fabric提供安全、可扩展的网络可见性解决方案，可简化网络工程师的工作。