Actualités de l'entreprise Scenario d'application de capture de trafic de réseau de contournement
Dans le scénario d'application NPB typique, le problème le plus gênant pour les administrateurs est la perte de paquets causée par la congestion des paquets miroirés et des réseaux NPB.La perte de paquets dans NPB peut provoquer les symptômes typiques suivants dans les outils d'analyse back-end:
Une alarme est générée lorsque l'indicateur de surveillance des performances du service APM diminue et que le taux de réussite de la transaction diminue.
L'alarme d'exception de l'indicateur de surveillance des performances du réseau NPM est générée
Le système de surveillance de la sécurité ne détecte pas les attaques réseau en raison de l' omission d' événement
Événements d'audit du comportement du service générés par le système d'audit du service
- Je ne sais pas.
En tant que système centralisé de capture et de distribution pour la surveillance des bypasses, l'importance du NPB est évidente.la façon dont il traite le trafic de paquets de données est très différente du commutateur de réseau traditionnel en direct, et la technologie de contrôle de la congestion du trafic de nombreux réseaux en direct de service n'est pas applicable à NPB. Comment résoudre la perte de paquets NPB, commençons par l'analyse des causes profondes de la perte de paquets pour le voir!
Analyse des causes profondes de la congestion des paquets NPB/TAP
Tout d'abord, nous analysons le parcours réel du trafic et la relation de cartographie entre le système et les flux entrants et sortants du réseau de niveau 1 ou de niveau NPB.Quel que soit le type de topologie réseau que NPB forme, en tant que système de collecte, il existe une relation entre l'entrée et la sortie de trafic de plusieurs à plusieurs entre "accès" et "sortie" de l'ensemble du système.
Ensuite, nous examinons le modèle commercial de NPB du point de vue des puces ASIC sur un seul appareil:
Caractéristique 1: Le "trafic" et le "débit d'interface physique" des interfaces d'entrée et de sortie sont asymétriques, ce qui entraîne un grand nombre de micro-explosions.Dans les scénarios typiques d'agrégation de trafic de plusieurs à un ou de plusieurs à plusieurs, la vitesse physique de l'interface de sortie est généralement inférieure à la vitesse physique totale de l'interface d'entrée. Par exemple, 10 canaux de collecte 10G et 1 canal de sortie 10G;Dans un scénario de déploiement à plusieurs niveaux, tous les NPBBS peuvent être considérés dans leur ensemble.
Caractéristique 2: Les ressources de cache des puces ASIC sont très limitées. En ce qui concerne la puce ASIC couramment utilisée actuellement, la puce avec une capacité d'échange de 640 Gbps a un cache de 3-10 Mbytes; A 3.La puce de capacité de 2 Tbps a un cache de 20 à 50 MB. y compris BroadCom, Barefoot, CTC, Marvell et autres fabricants de puces ASIC.
Caractéristique 3: le mécanisme classique de contrôle du débit de PFC de bout en bout n'est pas applicable aux services de PNB. Le noyau du mécanisme de contrôle du débit de PFC est d'obtenir une rétroaction de suppression du trafic de bout en bout,et finalement réduire l'envoi de paquets à la pile de protocole du point final de communication pour atténuer la congestionCependant, la source de paquets des services NPB sont des paquets miroirés, de sorte que la stratégie de traitement de la congestion ne peut être rejetée ou mis en cache.
Voici l'apparence d'une micro-éclatement typique sur la courbe de débit:
En prenant l'interface 10G à titre d'exemple, dans le diagramme d'analyse de tendance du trafic de deuxième niveau, le taux de trafic est maintenu à environ 3 Gbps pendant une longue période.le pic de trafic (MicroBurst) a largement dépassé le taux physique de l'interface 10G.
Les techniques clés pour atténuer les microburts de PNB
Réduire l'impact de l'asymétrie des interfaces physiques- lors de la conception d'un réseau, réduire autant que possible les vitesses d'entrée et de sortie asymétriques des interfaces physiques.et éviter les taux d'interface physique asymétrique (par exemple, copiant le trafic de 1 Gbit/s et de 10 Gbit/s en même temps).
Optimiser la politique de gestion du cache du service NPB- La politique commune de gestion du cache applicable au service de commutation ne s'applique pas au service d'envoi du service NPB.La politique de gestion du cache de garantie statique + partage dynamique devrait être mise en œuvre en fonction des caractéristiques du service NPBPour minimiser l'impact de la microburst NPB dans le cadre de la limitation actuelle de l'environnement matériel de la puce.
Mettre en œuvre une gestion de la géographie du trafic classifiée- Mettre en œuvre une gestion prioritaire de la classification des services d'ingénierie du trafic basée sur la classification du trafic.et assurer que les paquets de trafic de service sensibles à l'utilisateur peuvent être transférés sans perte de paquets.
Une solution système raisonnable améliore la capacité de mise en cache des paquets et la capacité de configuration du trafic- intègre la solution par divers moyens techniques pour étendre la capacité de mise en cache de paquets de la puce ASIC.le micro-éclat devient une courbe d'écoulement micro-uniforme après la mise en forme.
Solution de gestion du trafic par micro-explosion NetTAP
Schéma 1 - Stratégie de gestion de la mémoire cache optimisée pour le réseau + gestion prioritaire de la qualité des services classifiés à l'échelle du réseau
Stratégie de gestion du cache optimisée pour l'ensemble du réseau
Sur la base d'une compréhension approfondie des caractéristiques des services du NPB et des scénarios commerciaux pratiques d'un grand nombre de clients,Les produits de collecte de trafic NetTAP mettent en œuvre un ensemble de stratégies de gestion du cache NPB "assurance statique + partage dynamique" pour l'ensemble du réseau, ce qui a un bon effet sur la gestion du cache de trafic dans le cas d'un grand nombre d'interfaces d'entrée et de sortie asymétriques.La tolérance de microburst est réalisée dans la mesure maximale lorsque le cache actuel de la puce ASIC est fixé.
Technologie de traitement par microburst - Gestion basée sur les priorités d'entreprise
Lorsque l'unité de capture du trafic est déployée indépendamment, elle peut également être hiérarchisée en fonction de l'importance de l'outil d'analyse back-end ou de l'importance des données du service lui-même.Par exemple, parmi de nombreux outils d'analyse,L'APM/BPC a une priorité plus élevée que les outils d'analyse/surveillance de la sécurité, car elle implique le suivi et l'analyse de divers indicateurs des systèmes commerciaux importantsPar conséquent, pour ce scénario, les données requises par l'APM/BPC peuvent être définies comme ayant une priorité élevée, les données requises par les outils de surveillance/analyse de la sécurité comme ayant une priorité moyenne,et les données requises par d'autres outils d'analyse peuvent être définies comme ayant une faible prioritéLorsque les paquets de données collectés entrent dans le port d'entrée, les priorités sont définies selon l'importance des paquets.Les paquets ayant une priorité plus élevée sont transférés de manière préférentielle après les paquets ayant une priorité plus élevée., et les paquets d'autres priorités sont transférés après les paquets de priorités plus élevées.les paquets de plus haute priorité sont transférés de manière préférentielle. Si les données d'entrée dépassent la capacité de transmission du port de sortie pendant une longue période, les données excédentaires sont stockées dans le cache de l'appareil.l'appareil élimine de préférence les paquets d'ordre inférieurCe mécanisme de gestion prioritaire garantit que les outils d'analyse clés peuvent obtenir efficacement les données de trafic originales requises pour l'analyse en temps réel.
Technologie de traitement par microburst - mécanisme de classification garantissant la qualité du service de l'ensemble du réseau
Comme le montre la figure ci-dessus, la technologie de classification du trafic est utilisée pour distinguer les différents services sur tous les appareils à la couche d'accès, à la couche d'agrégation/noyau et à la couche de sortie,et les priorités des paquets capturés sont remarquéesLe contrôleur SDN fournit la politique de priorité du trafic de manière centralisée et l'applique aux dispositifs de transmission.Tous les périphériques participant au réseau sont mappés à différentes files d'attente de priorité en fonction des priorités des paquets.. De cette façon, les paquets prioritaires avancés de petit trafic peuvent atteindre zéro perte de paquets. Résoudre efficacement le problème de perte de paquets de surveillance APM et d'audit de services spéciaux pour contourner les services de trafic.
Solution 2 - Cache du système d'extension au niveau GB + schéma de configuration du trafic
Cache étendu au niveau du système GB
Quand le dispositif de notre unité d'acquisition de trafic a des capacités de traitement fonctionnel avancées,il peut ouvrir une certaine quantité d'espace dans la mémoire (RAM) de l'appareil en tant que tampon global de l'appareilPour un seul appareil d'acquisition, au moins GB de capacité peut être fournie comme l'espace de cache de l'appareil d'acquisition.Cette technologie rend la capacité de tampon de notre appareil d'unité d'acquisition de trafic des centaines de fois supérieure à celle du dispositif d'acquisition traditionnelSous le même taux de transfert, la durée maximale de micro-explosion de notre appareil d'acquisition de trafic devient plus longue.Le niveau de millisecondes pris en charge par les équipements d'acquisition traditionnels a été amélioré au deuxième niveau, et le temps de micro-éclatement qui peut résister a été augmenté par milliers de fois.
Capacité de configuration du trafic à plusieurs files d'attente
Technologie de traitement microburst - une solution basée sur la mise en cache Buffer + la configuration du trafic
Avec une super grande capacité de tampon, les données de trafic générées par micro-explosion sont mises en cache,et la technologie de modélisation du trafic est utilisée dans l'interface sortante pour obtenir une sortie fluide des paquets à l'outil d'analyseGrâce à l'application de cette technologie, le phénomène de perte de paquets causé par micro-explosion est fondamentalement résolu.
