安博通業界觀察：SDN驅動下一代NPBs產品融合發展

　　  一、再談NPBs和TAP

　　在上篇文章(流量可視化如何做到1+1+1>3)中我們分析過由TAP(分流器)、NPBs和業務分析系統三者組成的1+1+1解決方案架構。其中TAP產品主要負責分流和負載，而NPBs產品主要負責提取和分析。在國內的應用語境中，一般我們談到TAP產品會稱之為“網絡分流器”，而談到NPBs產品會稱之為“流量探針、流量傳感器、流量可視化”等。在進一步介紹SDN驅動方案之前，筆者想先就分流器產品和流量探針產品之間的區別，做個簡要的說明。

“1+1+1”解決方案架構示意圖

　　分流器：前級、偏重載荷層面、高性能、硬件方案

　　從功能方面分析，分流器產品提供三個最重要的特性，第一個是編輯報文處理，例如增減或刪除VLAN/VxLAN/NVGRE/GRE/ERSPAN等協議標簽、編輯報文的IP/MAC地址、在報文中增加字段(例如timestamp)、報文截斷、隧道封裝等。第二個是分流負載，例如多進單出、單進多出、多進多出(如M:N模型)、HASH負載、分擔負載等。第三個是載荷級別DPI，例如基于載荷內容進行數據脫敏、數據去重、同源同宿、會話和分片跟蹤等，高性能方案中分流器產品可以提供N段關鍵字的全包浮動搜索。這里要解釋的是，一般意義的上分流器支持的內容識別僅停留在Payload級別上，實現在整個報文的固定位置匹配精確或浮動的特征碼，此分析粒度不足以直接服務安全和性能分析。舉例來說，當APT分析系統需要提取所有包含.doc和.pdf文件作為附件的郵件內容，并計算文件HASH值或將原始文件上報時，就不適合直接使用分流器解決問題。

　　從部署位置上看，分流器一般位于前級位置，需要處理T/10T級別的大流量，所以分流器產品常采用ATCA架構/FPGA芯片等超高性能硬件方案，相應地，高性能要求也降低了其功能靈活性和豐富度。

　　流量探針：后級、偏重應用內容層面、豐富功能特性、業務系統對接

　　在部署位置上，NPBs產品一般位于分流器/交換機產品的后級，偏重于流量應用層內容解析，具備較為豐富的功能特性，而絕對處理性能相比分流器產品較低。例如，當業務系統需要分析應用表現和鏈路質量時，往往需要采集設備提供包含區域鏈路、應用流速、應用排名、流量占比、應用延時、協議重傳等等內容的綜合性信息，或者當業務系統需要進行安全分析的時候，需要采集設備學習和建立流量模型，識別流量應用層內容，并在流量超出模型范圍一定比例閾值或者出現特定應用內容時采取告警和信息上報。類似這樣的業務需求，需要NPBs產品能夠提供比分流器產品更深層的分析能力，不僅需要提供L7應用層級別的內容識別能力，還需要支持排名、建模、異常發現等數據分析能力。正是憑借這些能力，NPBs產品才能夠為復雜的業務分析和安全分析提供原始材料。

　　二、全NPBs方案的缺點

　　了解了分流器產品和NPBs產品的主要區別后，我們繼續討論一種應用場景：多分支機構組網下的業務分析。需求如下圖所示：假設某組織有50家分支機構，通過廣域網專線和互聯網VPN方式混合搭建總部和分支之間的通道，內網中有數百個業務系統正在使用，用戶需要進行流量采集，并圍繞業務使用和內網安全進行數據分析。

多分支機構組網示意圖

　　針對此需求，由于所有用戶和業務系統的交互流量都要進行分析，所以看似合理方案應該是在50個分支機構和總部的出口設備上旁路部署NPBs產品，進行流量采集分析，示意圖如下：

全NPBs組網方案示意圖

　　但是如果仔細考慮，會發現上述全NPBs方案還有不少的問題，例如：

　　無法實現靈活的按需采集

　　當只需要分析某些特定的分公司或應用系統時(可能正在發生緊急問題)，或單獨針對新上線業務進行分析時，無法簡便地做到只牽引需要的流量，這導致盡管部署了全NPBs方案，但業務實時生效的NPBs設備比例很低，造成巨大資源浪費。

　　流量初步過濾處理能力不足

　　很多NPBs產品偏重于流量識別和數據分析，但在前級處理過濾流量的能力不足，在使用全NPBs方案時，對去重、截斷、負載等操作支持不佳，導致輸入的無效流量過大，NPBs分析的效率較低。

　　方案造價較高

　　相比分流器方案，NPBs產品處理性能較低，而且由于無法實現按需采集和初級過濾，往往實際分析僅100Mbps的特定業務流量時，卻需要按照鏈路配置1Gbps性能的NPBs產品，造成整體產品選型成本偏高。

　　三、下一代NPBs產品的要素

　　與下一代防火墻的概念類似，為了解決NPBs產品面臨的一些問題，Gigamon、Big Switch Networks等NPBs廠商提都出了下一代NPBs產品的概念和要素：

　　1、融合TAP能力

　　越來越多的NPBs產品開始支持分流器產品的特性，增加流量初級過濾的能力，反之，越來越多的分流器產品也在支持NPBs產品的特性，從而提升流量深層識別能力。雖然從架構層面上看，兩款產品在各自的專用領域基本無法做到互相替代，但在較通用的場景下，例如企業級廣域網和數據中心，對專用的高性能分流器并不存在剛需，此時融合初步分流器能力的NPBs產品就會非常適用。

　　2、深層解析和可視化呈現

IXIA Vision系列NPBs產品

　　在IXIA的NPBs產品序列中，其可視化能力定義為四個層級，從網絡層、報文層、安全層和應用層逐漸遞進，作為產品的高附加值特性存在，可見深層解析能力和可視化呈現能力是NPBs產品的重要指標。客戶對NPBs產品的要求不再僅停留在網絡層和報文層的通用功能，而是需要深入到業務層面進行定制化識別，以及較強的本地可視化呈現能力。

　　3、安全和性能分析融合

　　關于NPBs產品的下游分析系統，筆者目前觀察到兩個主要應用方向，其中一個是性能分析方向，采集各個層面的流量瞬時值、流量統計值、業務延時、抖動、開銷、錯誤、原始報文等信息，提供給NPM/APM等各類性能管理產品;另一個方向是安全方向，通過采集流量中的IP地址、URL、文件HASH、HTTP協議詳細內容等信息，實現入侵行為、病毒查殺、威脅情報、文件沙箱等安全產品。不論是性能方向還是安全方向，NPBs產品都需要與下游產品進行深度融合，按照不同下游產品的要求進行數據接口對接，完成從流量到業務的銜接。

　　4、SDN集中控制能力

　　對于業務節點較為分散、不同節點間業務差異較大、節點上的業務按需變更的場景，SDN驅動是通用的解決方案，NPBs產品的部署與上述場景符合度很高。對于流量分析業務，除了按照固定的規律將不需要的流量前級過濾掉之外，也需要按照業務需求實時變更下發分析策略，一旦將方案從全流量分析變為按需分析，單點NPBs產品的性能要求即可降低，從而降低整體方案的成本。

　　四、Big Switch提出的SDN驅動下一代NPBs集群部署方案

　　針對上述問題，筆者關注到NPBs領域的廠商Big Switch Networks提出了針對企業私有云場景的Big Monitoring Fabric解決方案，該方案的核心為SDN驅動的下一代NPBs集群，主要內容包括：

　　1、NPBs產品集群部署

　　與機框式路由器和交換機的設計類似，除了背板外，機框式NPBs產品也會提供過濾接口板(Filter Ports)、分發接口板(Delivery Ports)和業務接口板(Service Ports)，分別實現前級過濾、復制分發和業務處理，如圖所示。

機框式NPBs產品拆分示意圖

　　當我們把每一部分拆分為獨立NPBs產品，并使用SDN控制器進行整體管理時，就得到了一張跨廣域網的NPBs產品集群網絡：

SDN驅動下一代NPBs產品集群部署方案示意圖

　　在這張網絡中，進一步將端口細化為如下角色：

　　Tunnel Ports

　　跨廣域網傳輸時，在NPBs產品間一般使用隧道互連，例如L2-GRE Tunnel，這些隧道上的端口被歸類為Tunnel Ports，可見下一代NPBs產品也應當考慮支持常見的隧道技術。

　　Filter Ports

　　用于流量分析前的前級過濾，進行報文去重、解封裝等操作，根據實際業務要求將不需要的流量先去除，這部分其實是融合了傳統分流器產品的特性。

　　Delivery Ports & Service Ports

　　完成流量識別和數據分析后，將信息以數據接口的形式上送到各類分析服務系統，或者將過濾出的流量發送給高性能NPBs產品進行匯聚。另外，對于性能分析和流量回溯業務，在Deliver Ports和Service Ports上還需要上傳NetStream/Netflow甚至原始報文等信息，這也對NPBs產品提出了更高的要求。

　　2、SDN控制器總體調度

　　在多臺NPBs產品使用獨立方式部署的情況下，為了將所有NPBs產品進行統一納管協作，需要引入SDN控制器進行總體調度，從而將多臺產品組成一臺邏輯上的大NPBs產品(Big Monitoring Fabric )，這種模式具備以下優勢：

　　流量按需調度

　　通過SDN控制器下發策略，可以實時控制流量調度的范圍，提前將不關心流量過濾，盡量保持只處理需要的流量，避免被動的全流量分析。通過按需調度，單臺NPBs產品處理性能要求降低，從而實現成本降低。

　　面向意圖的北向接口(Intent NBI)

　　在私有云環境下，業務上下線變更頻繁，催生了不少NPBs產品的分析需求，例如對于新上線業務的及時發現，以及快速應用識別和應用歸類。當前，SDN控制器已經逐漸實現了系統能力的開放，力圖實現面向用戶網絡操作意圖的北向接口(Intent NBI)。SDN控制器通過北向接口與用戶的業務系統對接后，將用戶高層次的業務意圖轉化為NPBs產品部署策略進行下發，實現自動化管理。

　　業務平滑擴展

　　在SDN驅動模式下，不論是NPBs產品或是業務分析工具鏈需要部署變更，都可以在現有架構下平滑變動，無需改變底層配置。相比高端機框式的NPBs產品，集群內的NPBs產品部署更加分散，單點的變更更加靈活，可以實現業務平滑升級擴展。

　　3、下一代NPBs優勢

　　在方案中，下一代NPBs產品充分發揮了相對傳統產品的優勢，通過融合TAP功能在Filter Ports進行早期過濾，并通過Openflow協議等方式實現SDN控制器統一管控，解決了按需部署和平滑變更等問題。在后端，下一代NPBs提供豐富的融合方式，如NetStream/Netflow、Syslog、文件上傳等，與多種業務分析工具鏈進行有機融合。

　　五、業界觀察

　　作為老牌SDN玩家廠商，Big Switch Networks早在2012年就發布了業界著名的完全開源SDN控制器Floodlight，憑借強大的穩定性和易用性，以及對Openflow協議的良好支持，Floodlight已經成為業界主流的SDN控制器之一。Big Switch Networks基于自己強大的SDN能力，在各個領域推出了SDN驅動的解決方案，而在網絡流量領域，Big Switch Networks首先推出了分流器TAP產品，然后又引領了下一代NPBs產品發展，充分發揮了其Cloud-First Networking (CFN) 方向上的技術特長。

Big Switch Networks公司解決方案

　　在國內，與Big Switch Networks發展路線相似，同樣具備強大SDN基因的盛科網絡，也推出了SDN驅動的分流器TAP 產品以及SDN安全服務鏈產品。

　　六、結語

　　觀察由分流負載+提取分析+數據應用組成的1+1+1>3整體方案，三個組成產品之間的邊界正在逐漸模糊，存在進一步深度融合的趨勢。

　　隨著SDN產業成熟，各類SDN應用方向已經進入落地應用階段，比如近期在國內大火的SD-WAN方向就是一個例子。對于國內眾多的流量分析方向產品來說，不論是分流器產品或是NPBs產品，引入SDN相關技術驅動都不失為一個可以考慮的技術方向。

　　關于安博通

　　北京安博通科技股份有限公司(簡稱“安博通”)，成立于2011年，以“看透安全，體驗價值”理念為核心，是國內領先的可視化網絡安全專用核心系統產品與安全服務提供商。其自主研發的SPOS可視化網絡安全系統套件，已成為眾多一線廠商與大型解決方案集成商最廣泛搭載的網絡安全系統平臺，是國內眾多部委與央企安全態勢感知平臺的核心組件與數據來源。

特別提醒：本網內容轉載自其他媒體，目的在于傳遞更多信息，并不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實，對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益，請及時聯系我們，本站將會在24小時內處理完畢。