如今,网络安全是网络管理的重要组成部分。网络安全对于持续运行的业务,防止数据丢失并维护业务的整体形象至关重要。由于网络变的越来越复杂,更加的动态和虚拟,网络安全所面临的挑战也在日益增加。
现有的网络可视化方法 (例如,以前靠分流链接并将其提供给相应设备)已经不再有效。由于如今的“链接”已经不再是物理上的链接,越来越多的网络被设计为Overlay,它是物理网络顶部的虚拟链接,所以此方法不再适用。
这些Overlay网络实际上是应该被监控的操作网络,但网络TAP和经典网络包代理(NPB)是一个物理设备,工作在Overlay下的一层。
如果我们期望只有一种Overlay技术,那么在理论上这不会是一个问题,但是在现实中,Overlay技术是堆叠的,在同一个物理网络上有不同的overlay。在某些情况下,在大型网络中可以看到数十甚至数百个Overlay。
基于这种情况,我们有几个挑战需要应对:
1.目前的工具不支持这些类型的网络。如果使用了这些工具,那么就有必要将这些逻辑Overlay网络分离开来,只向工具提供正确的网络。
- 为了做到这一点,需要高级的NPBs,它可以过滤这些虚拟Overlay网络。
- 这些虚拟网络更具动态性,通常由网络本身触发,用户不知道,因为它们对于Overlay层是完全透明的。“这对于使用来说是一个优点,但是对于监控来说是一个缺点。”
2. 通常,此类网络具有更多可分接的链接。这些链接通常是100gbit,但负载要高得多。为了解决这个问题,你需要一个NPB,它具有智能过滤和多个100 Gbit线路速度下的转向等功能。将这些流量聚合到一个“智能设备”并处理那里的流量的解决方案将导致其他问题,如:
- 数据包的过载、超额订阅和丢失
- 极端复杂的聚合和解聚配置
- 增加额外延迟
- 成本
《Overlay网络可视化》一文给出了对于Overlay网络完整的解决方案。