Финансовые компании, ритейлеры, производственные предприятия, учебные заведения, сервис-провайдеры и многие другие организации реализуют цифровые стратегии с приоритетным использованием облачных сервисов и нуждаются в полном контроле сетей для обеспечения информационной безопасности (ИБ) и управления работой пользователей и приложений.
Компания cPacket выпускает полный набор продуктов для мониторинга физических и виртуализированных сетей, а также облачных сред. В ассортимент продукции компании входят следующие физические и виртуальные устройства: брокеры сетевых пакетов серий cVu и cVu-V с функциями мониторинга производительности сети; устройства записи и анализа трафика серий cStor и cStor-V; устройства cClear и cClear-V, предназначенные для сбора и отображения информации о работе сети. Также cPacket поставляет волоконно-оптические сетевые ответвители cTAP.
На рисунке ниже представлена типичная система мониторинга сетевой инфраструктуры ЦОДа, состоящая из продуктов компании cPacket. Эта система обеспечивает контроль трафика «север — юг» и «восток — запад» в физических и виртуальных средах соответственно.
Типичная система мониторинга сети ЦОДа, обеспечивающая контроль трафика «север — юг» и «восток — запад»
В данном решении предусмотрен съем трафика «север — юг» с физических линий сети с помощью ответвителей cTAP. Также для съема трафика можно использовать SPAN-порты. От ответвителей трафик поступает на мультискоростной высокопроизводительный пакетный брокер серии cVu, например модели cVu 16100 или cVu 3240NG, где трафик кастомизируется в соответствии с требованиями анализирующих трафик устройств мониторинга производительности сети и обеспечения ИБ, используемых специалистами подразделений NetOps and SecOps. Для агрегации подлежащего анализу трафика используется второй (относительно недорогой) брокер модели cVu 1000, обеспечивающий простое и беспроблемное подключение дополнительных устройств мониторинга и обеспечения ИБ. Брокеры подают нужные типы трафика этим устройствам.
Для сохранения исходного или кастомизированного трафика с целью последующего анализа к брокеру подключено записывающее устройство cStor. В небольших сетях устройство cStor может быть подсоединено напрямую к ответвителю cTAP.
Для мониторинга трафика «восток — запад» в этом решении задействованы виртуальные устройства cClear-V, cStor-V, cVu-V компании cPacket, а также виртуальные средства сетевого мониторинга и обеспечения ИБ. Устройства cClear и cClear-V предназначены для централизованное представления аналитической информации о работе сети на кастомизируемых информационных панелях (dashboards). Данные устройства могут агрегировать и отображать информацию о сетях ЦОДа, удаленных филиалов и облачных средах.
Мониторинг трафика в облачных средах обеспечивает решение cPacket cCloud, состоящее из предназначенных для использования в облаке виртуальных инстансов cCloud cClear-V, cCloud cStor-V и cCloud cVu-V. Решение cCloud интегрировано с функцией Amazon (AWS) Virtual Private Cloud (VPC) Traffic Mirroring, которая дублирует трафик от инстансов Amazon Elastic Compute Cloud (Amazon EC2) в рамках Amazon VPC и направляет его (с помощью cCloud cVu-V) средствам мониторинга производительности сети и обеспечения ИБ (см. рисунок ниже).
Типичная система мониторинга сети предприятия, обеспечивающая полный контроль трафика «север — юг» и «восток — запад» в ЦОДе, а также трафика в облаке Amazon (часть приложений этого предприятия перемещена из ЦОДа в облако Amazon)
Решение cCloud обеспечивает глубокий анализ трафика, расследование угроз, планирование производительности и емкости сети. С помощью cCloud пользователи могут реплицировать и контролировать трафик в пределах своих Amazon VPC, что упрощает и удешевляет эксплуатацию сети.
Продукция cPacket определяет широкий набор показателей, включая одностороннюю и круговую задержку передачи пакетов, число повторных передач TCP, проводится также анализ микровсплесков трафика с высоким разрешением.
В этих устройствах традиционные функции брокера сетевых пакетов (включая агрегацию, репликацию и фильтрацию трафика) сочетаются с функциями мониторинга производительности сети, что дает возможность организациям быстро и ценою небольших затрат выявлять проблемы в сетевой инфраструктуре и надежно (без потерь пакетов) снабжать трафиком внешние средства сетевого мониторинга и обеспечения ИБ.
В физических устройствах серии cVu имеются интеллектуальные (smart) порты, которые определяют показатели функционирования контролируемых сетевых каналов, снабжают пакеты высокоточными временными метками (для контроля джиттера и задержки передачи пакетов), проверяют все биты во всех пакетах для фильтрации на уровнях выше 4-го и генерации проактивных оповещений о нежелательных ситуациях с передачей трафика. Для обеспечения высокой точности генерации временных меток в устройствах серии cVu предусмотрено использование протоколов PTP и NTP, а также внешнего синхросигнала 1PPS.
На основе физических устройств cVu, cClear и cStor реализуют системы мониторинга нового типа — с распределенной архитектурой, в которых отсутствуют проблемы с масштабируемостью, характерные для традиционных систем мониторинга с централизованной архитектурой.
Устройства серии cVu
Основные характеристики устройств серии cVu представлены в нижеследующей таблице.
Модель | Число и тип портов | Высота корпуса | Масса, кг | Энергопотребление, Вт |
cVu 160NG | 16 × 1G/10G (SFP/SFP+) | 1U | 18,6 | 650 |
cVu 240NG | 24 × 1G/10G (SFP/SFP+) | 1U | 18,6 | 650 |
cVu 400NG | 24 × 1G/10G (SFP/SFP+), 4 × 40G (QSFP+) или 16 × 10G (РК) | 1U | 18,6 | 650 |
cVu 560NG | 24 × 1G/10G (SFP/SFP+), 8 × 40G (QSFP+) или 32 × 10G (РК) | 1U | 18,6 | 650 |
cVu 2440NG | 24 × 40G (QSFP+) или 96 × 10G (РК) | 2U | 36,3 | 1700 |
cVu 3240NG | 32 × 40G (QSFP+) или 128 × 10G (РК) | 2U | 36,3 | 1700 |
cVu 4100 | 4 × 100G (QSPF28), 4 × 40G (QSFP+), 16 × 25G (РК) или 16 × 10G (РК) | 2U | 20,8 | 1100 |
cVu 8100 | 8 × 100G (QSPF28), 8 × 40G (QSFP+), 32 × 25G (РК) или 32 × 10G (РК) | 2U | 22,6 | 1350 |
cVu 16100 | 16 × 100G (QSPF28), 16 × 40G (QSFP+), 64 × 25G (РК) или 64 × 10G (РК) | 2U | 25,5 | 1800 |
cVu 1000 | 32 × 100G (QSPF28), 32 × 40G (QSFP+), 128 × 25G (РК), 128 × 10G (РК) или 128 × 1G | 1U | 10 | 220 |
Примечание. РК — при использовании разветвляющих кабелей. |
Все модели серии cVu работают в диапазоне температур 0...40 °С, оснащены двумя или четырьмя заменяемыми в горячем режиме блоками питания с взаимным резервированием, получают электропитание от силовой сети переменного тока 100...240 В (50...60 Гц). Возможен вариант питания от источника постоянного тока. В каждой модели предусмотрено сетевое и консольное управление.
Виртуальные устройства серии cVu-V могут быть задействованы в удаленных филиалах, ЦОДах, сетях связи и публичных облаках. Устройство серии cVu-V можно запустить в среде NFV в виртуализированном филиале в режиме Single-Root Input/Output Virtualization (SR-IOV), чтобы направлять трафик LAN/WAN средствам мониторинга на базе NFV. В виртуализированном программно-определяемом ЦОДе устройство серии cVu-V может функционировать в виде виртуальной машины поверх гипервизора для полного контроля трафика «восток — запад» и выборочной передачи нужного трафика подходящим виртуальным устройствам сетевого мониторинга и обеспечения ИБ. Поскольку многие предприятия перемещают свои приложения в облака, отсутствие мониторинга их трафика становится насущной проблемой. Для контроля облачного трафика и предоставления мониторинга как услуги (Visibility-as-a-Service) можно задействовать устройство серии cVu-V в варианте облачного инстанса. В таблице ниже представлены технические характеристики виртуальных устройств серии cVu-V.
Характеристика | Варианты для использования на сети заказчика | Варианты Cloud (облачные) | ||
cVu-V1 | cVu-V10 | cVu-V1 | cVu-V10 | |
Число виртуальных портов для управления | 1 | 1 | Н/п | Н/п |
Число виртуальных портов для мониторинга | 10 | 25 | 1 | 25 |
Скорость порта, Гбит/с | 1 | 10 | 1 | 10 |
Скорость контролируемого трафика, Гбит/с | <1 | <10 | <1 | <10 |
Поддерживаемые гипервизоры | VMware ESXi 5.5 или новее, RedHat KVM | VMware ESXi 5.5 или новее, RedHat KVM | Н/п | Н/п |
Поддерживаемые виртуальные коммутаторы | VMware VSS/VDS, RedHat KVM OVS | VMware VSS/VDS, RedHat KVM OVS | Н/п | Н/п |
Поддерживаемые виртуальные сетевые платы | VMXNET1, 2, E1000 | VMXNET3 | Н/п | Н/п |
Поддерживаемое туннелирование | VXLAN, ERSPAN | VXLAN, ERSPAN | VXLAN, ERSPAN | VXLAN, ERSPAN |
Высокопроизводительный режим | DPDK/SR-IOV | DPDK/SR-IOV | Н/п | Н/п |
Число vCPU | 4 | 8 | 4 (AWS T3a.xlarge) (Azure D4.v3) | 8 (AWS T3a.2xlarge) (Azure D8.v3) |
Объем памяти, Гбайт | 32 | 64 | 16 (AWS T3a.xlarge) (Azure D4.v3) | 32 (AWS T3a.2xlarge) (Azure D8.v3) |
Примечание. Н/п — неприменимо. |
Эти устройства предназначены для захвата, записи/воспроизведения и анализа сетевого трафика. Они используются для диагностики сетевых проблем; контроля производительности сетей, приложений и пользователей; оценки соответствия ИТ-решений регуляторным требованиям; мониторинга SLA; обеспечения ИБ; расследования инцидентов ИБ. К основным функциям этих устройств относятся снабжение пакетов временными метками, индексация пакетов (для быстрого поиска нужной информации), выдача детальной статистической информации по потокам трафика с определением характеристик потоков путем анализа заголовков протоколов уровней 2–4, анализ задержки, джиттера, многоадресных видеопотоков и финансовых протоколов.
Физические устройства серии cStor захватывают пакеты из линий передачи без потерь и записывают трафик на диски на скоростях от 1 до 40 Гбит/с. Скорость записи у виртуальных устройств — до 10 Гбит/с.
В серию физических устройств cStor входит ряд моделей, различающихся числом и типом сетевых портов, скоростью записи на диски, объемом дисковой памяти, массогабаритными и другими характеристиками.
Устройства серии cStor
Основные характеристики устройств серии cVu представлены в нижеследующей таблице.
Модель | Число и тип портов | Высота корпуса | Скорость записи на диски, Гбит/с | Объем дисковой памяти по умолчанию, Тбайт | Макс. объем дисковой памяти, Тбайт | Масса, кг | Макс. энерго-потребление, Вт |
cStor 5 |
4 × 1G (SFP), 2 × 10G (SFP+) |
1U | 5 | 16 | 16 | 24 | 798,7 |
cStor 10 |
2 (или 4) × 10G (SFP+) |
2U | 10 | 16 | 64 | 23,6 | 650 |
cStor 15 |
2 (или 4) × 10G (SFP+) |
2U | 15 | 72 | 216 | 30 | 1169,6 |
cStor 25 |
4 × 10G (SFP+), 2 × 40G (QSFP+) |
2U | 25 | 28,8 | — | 30 | 1183,2 |
cStor 40 |
4 × 10G (SFP+), 2 × 40G (QSFP+) |
4U | 40 | 216 | 360 | 60 | 1373 |
Виртуальные устройства серии cStor-V могут быть задействованы в удаленных филиалах, ЦОДах, сетях связи и публичных облаках. Устройство серии cStor-V можно запустить в среде NFV в виртуализированном филиале в режиме SR-IOV для захвата и анализа трафика LAN/WAN. Устройства серии cStor-V интегрируется с виртуальными маршрутизаторами Cisco ISRv для предоставления аналитики пользователям в филиалах. В таблице ниже представлены технические характеристики виртуальных устройств серии cVu-V.
Характеристика | cStor-V1 | cStor-V10 |
Число виртуальных портов для управления | 1 | 1 |
Число виртуальных портов для захвата трафика | 10 | 25 |
Скорость порта, Гбит/с | 1 | 10 |
Скорость записи на диски, Гбит/с | <1 | <10 |
Объем памяти для хранения пакетов по умолчанию, Тбайт | 8 | 16 |
Максимальный объем памяти для хранения пакетов, Тбайт | 56 | 64 |
Поддерживаемые гипервизоры | VMware ESXi 6.0 или новее, RedHat KVM, Cisco NFVIS | VMware ESXi 6.0 или новее, RedHat KVM, Cisco NFVIS |
Поддерживаемые виртуальные коммутаторы | VMware VSS/VDS, RedHat KVM OVS | VMware VSS/VDS, RedHat KVM OVS |
Поддерживаемые виртуальные сетевые платы | VMXNET1, 2, E1000 | VMXNET3 |
Поддерживаемое туннелирование | VXLAN, ERSPAN | VXLAN, ERSPAN |
Высокопроизводительный режим | DPDK/SR-IOV | DPDK/SR-IOV |
Число vCPU | 4 | 8 |
Объем оперативной памяти, Гбайт | 32 | 64 |
Емкость раздела диска, Тбайт | 8 | 16 |
Эти устройства образуют уровень анализа и визуализации в мониторинговых решениях на базе продукции cPacket, охватывающих физические и виртуализированные сети на территории предприятия, а также многооблачные среды. Устройство cClear или cClear-V может управлять тысячами физических и/или виртуальных, а также облачных устройств серий cVu, сVu-V, cStor, cStor-V и анализировать получаемую от них информацию. Устройство cClear или cClear-V предоставляет высокоуровневую информацию по каждому важному сетевому каналу и дает возможность получать сведения о потоках и пакетах.
Устройство cClear
Наряду с детальным анализом сетевого трафика для мониторинга производительности сети и обеспечения ИБ, в устройствах cClear и cClear-V предусмотрены выдача аварийных оповещений. Кроме того, в этих устройствах есть возможность поиска нужных фрагментов сетевого трафика по любым полям заголовков пакетов и образцам в реальном масштабе времени, что позволяет быстро выявлять сетевые проблемы. Благодаря возможности выводить кастомизируемые информационные панели, визуализирующие работу сети на многочисленных графиках для корреляции данных, и экспортировать данные (через API) в такие инструменты, как ServiceNow, LogicMonitor и OpenView для мониторинга сервисов, устройство cClear или cClear-V является эффективными элементом центра управления сетью.
Аналитическая информация о работе сети, выводимая устройством cClear или cClear-V
Обычно используются графики, информирующие о ключевых показателях работы (KPI) сети, захваченных пакетах, передаваемых потоках, задержке передачи пакетов, наиболее активных узлах (Top Talkers) и др.
Интеграция с брокерами сVu и cVu-V обеспечивает получение информации об интенсивности трафика каждую миллисекунду для обнаружения микровсплесков трафика. Выполняется глубокий анализ каждого пакета на каждом порте для поиска информации о конкретных хостах, угрозах или отклонениях сети от нормативных требований. Возможен доступ к записанным пакетам (pcap-файлам) в один клик.
В таблице ниже представлены технические характеристики физических и виртуальных устройств серии cClear и cClear-V.
Характеристика | Варианты для использования на сети заказчика | Вариант Cloud (облачный) | |
cClear | cClear-V | cClear-V | |
Вариант поставки | Оборудование + ПО | OVA | AMI, GCP |
Поддерживаемые гипервизоры, IaaS-платформы | Н/п | VMware ESXi 5.5 или новее, RedHat KVM, Cisco NFVIS | AWS, Google Cloud |
Поддерживаемые виртуальные коммутаторы | Н/п | VMware VSS/VDS, RedHat KVM OVS | Н/п |
Поддерживаемые физические/виртуальные сетевые платы | 10 GbE | VMXNET1, 2, 3, E1000 | Н/п |
Поддерживаемое туннелирование | VXLAN, ERSPAN | VXLAN, ERSPAN | VXLAN, ERSPAN |
Высокопроизводительный режим | Специализированное устройство | DPDK/SR-IOV | С помощью FPGA |
Число физических/виртуальных портов для управления | 1 | 1 | 1 |
Облачные вычисления | Н/п | Н/п | m5.xlarge |
Число vCPU | 4 | 4 | |
Объем оперативной памяти, Гбайт | 64 | 16 | 16 |
Пропускная способность, Гбит/с | <1 | <1 | <1 |
Объем дисковой памяти по умолчанию, Гбайт | 500 | Н/п | Н/п |
Примечание. Н/п — неприменимо. |