新型数据中心建设中的“第三张网”——独立的流量采集网

在数字化技术日益普及的今天,计算力成为核心生产力,数据中心随之成为数字化时代的“新基建”,新型数据中心已经成为国家经济发展的重要命脉和关键基础设施。同时,数据中心面临的网络安全威胁也越来越多,运维精细化要求也在不断提高。

在这样的大背景下,政府、金融、电力、运营商、互联网等重点行业的数据中心除了部署串接的安全设备外,也部署了大量的旁路监测系统,如网络性能分析系统NPM、应用性能分析系统APM、回溯分析系统、网络流量分析系统NTA、安全态势感知系统、入侵检测系统、APT攻击检测系统、防病毒系统、数据库审计系统等。

不同类型的旁路监测系统往往来自不同的厂商,传统的部署方案往往采用各自独立的“点”状部署模式,形成一个个“安全烟囱”,不仅给信息资源的共享造成极大阻碍,也降低了各监测系统的工作效率,增加了建设和运维成本。

新型数据中心建设中的“第三张网”——独立的流量采集网_第1张图片

 图1:传统的分散“点”状部署模式

传统的分散“点”状部署模式面临的问题主要体现在:

  1. 流量采集困难随着监测系统的增多,每个监测系统都需要业务网络交换机做流量镜像,而交换机镜像口一般不超过2个,从而导致新监测系统无法接入;并且随着镜像流量的增加,对业务网络交换机的性能也会有较大的影响。
  2. 扩展性较差由于各自独立的部署模式,当新增加前端监测链路或后端监测系统时,都需要重新进行网络规划,变成“拉链工程”。
  3. 资源无法复用各监测系统独立部署探针,完成去隧道、分片重组、去重、SSL解密等预处理需求,其中不少预处理功能需求是重叠的,从而造成重复建设和成本增加。
  4. 流量调度困难分散的部署模式,无法做到统一的流量调度,无法应对“护网行动”等紧急流量调度要求。

部署模式全新升级,痛点难点逐个击破

随着网络规模的扩展,传统“点”状部署模式正逐渐被抛弃,取而代之的是网络架构上的全新升级,通过建设统一的流量采集网,实现流量的统一采集、统一处理、统一分发。流量采集网的定位是统一的大数据采集和预处理平台,是继业务网络、管理网络之后部署的又一张专用网络,即“第三张网”。流量采集网的基本架构如下图所示:

新型数据中心建设中的“第三张网”——独立的流量采集网_第2张图片

 图2:星融元流量采集网的基本架构

流量采集网采用CLOS网络架构,用户可根据采集点数量、流量规模、后端系统数量等灵活地调整网络规模,实现系统的平滑收缩/扩容。基于上述的流量采集网架构,该方案具备如下优势:

  1. 清晰的部署平面网络架构上进行了全新的设计,分成业务网络、流量采集网、监测系统三个清晰的部署平面,不同平面之间互不干扰,最大程度保障业务网络健壮性和安全性。
  2. 统一的流量采集每个监测点位的流量只需统一采集一次,之后可按需智能分发给各种监测系统,节约业务网络交换机的镜像口,降低对交换机的性能影响。
  3. 全采全监,按需调度流量采集尽量覆盖所有网络节点,实现全网无死角监控,让安全威胁无所遁形,全网覆盖,按需输出,针对不同的监测系统提供定制化的数据源。
  4. 一次建设,弹性扩展前端新增监测链路或后端增加监测系统时,仅需在流量采集网开通相应端口即可,无需重新的网络规划设计;基于CLOS架构,支持平滑的流量监控网的横向扩展,整体系统架构无需变动。
  5. 资源整合,降本增效流量采集网统一完成去隧道、分片重组、去重、SSL解密、打时间戳、报文截短等后端监控系统不擅长处理的预处理功能,替代各监测系统独立部署的各种探针,实现资源整合,降本增效。
  6. 集群管理,灵活调度借助于集群管理系统,实现统一的策略下发,为用户屏蔽复杂的策略分解和集群内的流量选路过程,实现了真正意义上的全网策略统一下发和灵活的流量调度,满足“护网行动”等紧急流量调度需求,提升了运维管理效率。

新型数据中心建设中的“第三张网”——独立的流量采集网_第3张图片
图3:星融元提供的图形化管理界面

 

你可能感兴趣的:(流量采集,数据中心,网络,云计算,运维)