[Guest Post] Next-Generation Network Packet Broker จาก Arista Networks

ในปัจจุบัน Network Traffic Monitoring เริ่มมีความสำคัญและมีความจำเป็นในการตรวจสอบและวิเคราะห์ Network Traffic ภายในองค์กร ทั้งในด้านของสถิติการใช้งานและในด้านความมั่นคงปลอดภัยต่อระบบเครือข่าย แต่การที่จะทำให้การตรวจสอบและวิเคราะห์สมบูรณ์นั้น โดยทั่วไประบบ Network Monitoring และ Network Analyzer จะต้องใช้การ Mirror หรือ Tap Traffic จาก Core Switch, Distributed Switch หรือระบบเครือข่ายหลักขององค์กร เพื่อให้ระบบเหล่านี้มองเห็น Traffic ได้อย่างครบถ้วน แต่การใช้วิธีการคัดลอก (Mirror หรือ Tap) Traffic แบบเดิมๆ นี้ มีข้อจำกัดทั้งในด้านของจำนวนอุปกรณ์และ Hardware Performance ของตัวอุปกรณ์และเครื่องมือที่ใช้วิเคราะห์ระบบ ที่จะสามารถ Monitor ข้อมูลจำนวนมหาศาลทั้งหมดได้ จึงทำให้ Network Tap, Network Aggregator หรือ Network Packet Broker เข้ามามีบทบาทสำคัญในการคัดลอกหรือ Redirect Traffic ของเครือข่ายทั้งหมดหรือเฉพาะข้อมูลที่ต้องการตรวจสอบได้อย่างมีประสิทธิภาพ โดยไม่ต้องทำการคัดลอก Traffic ทั้งหมดจากอุปกรณ์ส่งไปยังเครื่องมือวิเคราะห์ระบบอีกต่อไป

Arista Data Analyzer (DANZ) Monitoring Fabric หรือ “DMF” เป็นอีกหนึ่งโซลูชั่นจาก Arista Networks สำหรับการทำ Network Packet Broker (NPB) เพื่อช่วยเพิ่มประสิทธิภาพในการทำ Network Monitoring โดยเฉพาะ โดยตอบโจทย์ทั้งในด้านของการเพิ่มความสามารถในการตรวจสอบข้อมูลของระบบเครือข่าย (Visibility), การตรวจสอบปริมาณและการวิเคราะห์ข้อมูลในระบบเครือข่าย (Traffic Monitoring และ Traffic Analytic) รวมถึงการตรวจสอบความมั่นคงปลอดภัยในระบบเครือข่ายแบบเชิงลึก (Pervasive Security Monitoring) ซึ่งสามารถเพิ่มวิสัยทัศน์ของระบบเครือข่ายได้หลากหลาย ทั้งในส่วนที่เป็นระบบเครือข่ายแบบ Physical Network, Virtual Network, Container workloads (Single-site หรือ Multi-site) และ Cloud ได้

สถาปัตยกรรมของ DMF นั้นเป็นการออกแบบเครือข่ายแบบ Hyperscale Networking (Scale-Out) Design สำหรับรองรับการขยาย Monitoring Fabric ได้ในอนาคต ซึ่งประกอบด้วย ฮาร์ดแวร์ Ethernet Switch แบบ Open Architecture/OpenSwitch และ ซอฟต์แวร์ควบคุมแบบรวมศูนย์ (SDN Controller) ดังต่อไปนี้

• DMF Controller แบบ VMs หรือฮาร์ดแวร์: สำหรับบริหารจัดการ Configuration และตรวจสอบข้อมูลแบบรวมศูนย์
• DMF ซอฟต์แวร์ ที่ใช้ติดตั้งบนอุปกรณ์ Switch แต่ละตัวภายใน DMF fabric
• Hardware Switch ของ Arista Networks หรือ Open Ethernet Switches (White Box หรือ Brite Box) ของ 3^rd Party Vendor
• DMF Service Node (Optional):  สำหรับโซลูชั่นเพิ่มเติมของ NPB เช่น Deduplication, Packet Slicing, Header Stripping, Regex matching, Packet masking, GTP Correlation, UDP Replication และ IPFIX/NetFlow generation
• DMF Recorder Node (Optional): สำหรับการจัดเก็บและบันทึกข้อมูลระดับ Petabyte เพื่อการสืบค้นข้อมูลในภายหลัง
• DMF Analytics Node (Optional : สำหรับการวิเคราะห์ข้อมูลทั้งในด้านของประสิทธิภาพและความมั่นคงปลอดภัย โดยสามารถแสดงข้อมูลย้อนหลังได้ 

คุณสมบัติเด่นโดยรวมของ Arista DMF Network Packet Broker

• มีการออกแบบบนพื้นฐานของ Open-Standard Hardware/Software โดยใช้ Control Fabric แบบ SDN โดยทำงานร่วมกับสวิตช์ประสิทธิภาพสูงแบบ OpenSwitch/Whitebox/britebox) และเซิร์ฟเวอร์มาตรฐานแบบ x86 โดยรองรับการขยาย Fabric ได้อย่างง่ายดายในอนาคต
• สามารถบริหารจัดการและตรวจสอบการทำงานของทั้ง DMF Fabric ได้แบบมุมมองผ่านหน้าจอเดียว (Single Pane of Glass ) รองรับการบริหารจัดการผ่าน CLI, GUI หรือ REST APIs
• ลดค่าใช้จ่าย (CAPEX/OPEX): DMF เป็นโซลูชั่นที่รวมการทำงานของทั้ง NPB + Analytic + Packet capture ซึ่งรองรับการตรวจจับและการวิเคราะห์ประสิทธิภาพของเครือข่ายและความผิดปกติทางด้านความมั่นคงปลอดภัยของเครือข่ายอย่างรวดเร็ว โดยทำงานร่วมสวิตช์แบบเปิด หรือสวิตช์ของ Arista Network ซึ่งเป็นฮาร์ดแวร์มาตรฐานทำให้สามารถลดค่าใช้จ่ายได้ ทั้งในด้านค่าอุปกรณ์และการบริหารจัดการ ในทางกลับกันหากเทียบกับ NPB แบบทั่วไปนั้นมี TCO สูงเนื่องจากมีการใช้ฮาร์ดแวร์แบบเฉพาะ (Specific Vendors Appliance) ที่มีราคาสูงที่ต้องมีการเพิ่มจำนวนอุปกรณ์ทุกครั้งที่ต้องการขยาย Monitoring Fabric

คุณสมบัติ	คำอธิบายโดยย่อ
Virtual Workload Monitoring  ( VM/Container)	รองรับการตรวจสอบ Traffic บน Virtual Machine และ Container Based ได้ รองรับการขยายเพิ่มเติม และรองรับการ Monitor แบบไม่ต้องติดตั้ง Agent  (Agentless) สำหรับ Virtual Machine ได้ รองรับการทำ Dynamic monitoring แบบรวมศูนย์ได้ (Centralized VM Monitoring)
Advanced Filtering & Deeper Packet Matching Capabilities	L2/L3/L4 header filtering สำหรับ Ingress Traffic และ Packet replication สำหรับหลายๆ Egress tools. Deeper Packet Matching (DPM) ด้วยการทำ Packet masking (ขนาด Packet สูงสุด 128 ไบต์). รองรับการทำ Packet matching (inner header fields) สำหรับ Packet ที่มีการ Encapsulated เช่น MPLS, VXLAN, GRE และโปรโตคอล GTP, SCTP IPv4, IPv6 และ Q-in-Q packet Filtering IPv4, IPv6, MAC Address masking, TCP Flags, DSCP matching.
Specialized Packet Functions	Packet De-duplication : สำหรับ Drop Packet ที่ซ้ำๆ กัน Packet Slicing : สำหรับการเลือกทำ Payload Stripping Packet Masking : สำหรับการซ่อนข้อมูลสำคัญที่อยู่ใน Packet เช่น Credit card, SSN, passwords, ข้อมูลส่วนบุคคลทางการแพทย์/การเงิน ตามข้อกำหนดของ SOX, HIPAA และ PCI Regex Pattern matching : สำหรับการเลือกทำ Packet filtering ตามรูปแบบของ Regular Expression ที่กำหนด Header stripping สำหรับ VXLAN, Fabric Path, LISP, PPPoE, ERSPAN และ MPLS packets. รองรับการทำ IPFIX/Netflow/sFlow Generation L2GRE tunnel packet decapsulation. VLAN tag stripping VLAN tag push Inner packet post stripping matching GTP correlation  : รองรับการทำ GTP correlation load balancing UDP Replication
DMF Recorder Node	สำหรับการทำ Traffic Capture สำหรับ Cloud-Native Network Defense & Rapid Remediation at scale เป็น Platform ประสิทธิภาพสูงบนพื้นฐานของ x86 Appliance, รองรับการเพิ่ม Node แบบ Scale-out สามารถทำงานร่วมกับ DMF Controller เพื่อให้สามารถบริหารจัดการแบบรวมศูนย์จากจุดเดียวกันได้ทั้งหมด รองรับการทำ Packet Capturing, Querying และ Replay รองรับการทำ PTP / NTP timestamping รองรับการ Programmable และ การใช้ Script ด้วย REST APIs
DMF Analytics Node	รองรับการทำ Application Analytic (app-aware analytics) สำหรับ Cloud-native network defense and rapid remediation at scale เป็น Platform ประสิทธิภาพสูงบนพื้นฐานของ x86 Appliance, รองรับการเพิ่ม Node แบบ Scale-out รองรับการทำงานร่วมกับ DMF Controller เพื่อให้สามารถบริหารจัดการแบบรวมศูนย์จากจุดเดียวกันได้ทั้งหมด รองรับการแสดงผลบนหน้า Dashboard เช่น health/capacity planning/troubleshooting dashboards, Performance views ได้แก่ Top Talkers, Top Apps, TCP connection/latency tracking รองรับการแสดงผลด้าน Security บนหน้า Dashboard เช่น Rogue DHCP/DNS servers, IP/MAC spoofing. รองรับการแสดงผลของแต่ละ Host บนหน้า Dashboard เช่น New Hosts, Operating System รองรับการแจ้งเตือนโดยอัตโนมัติเมื่อมีการใช้งานเกินค่าที่กำหนด เช่น Link utilization. รองรับ sFlow/NetFlow collection สำหรับ Appliaction แบบ Real time visibility รวมถึง Traffic ที่มีการ Encapsulated ด้วย รองรับการตรวจสอบการโจมตีเครือข่ายในระดับ Sub-second triggering เช่น DoS/DDoS
Network-Wide Visibility	สามารถทำ Packet filtering, Aggregation, Tool port Load-balancing, และ Packet replication. รองรับการตรวจสอบทั้งแบบ Single switch หรือ Scale-out 1/2/3 layer fabric (1G, 10G, 25G, 40G และ 100G) สามารถบริหารจัดการอุปกรณ์ Switch ทั้งหมด แบบ Centralized fabric/policy definition/instrumentation รองรับการ Programmable และ การใช้ Script ด้วย REST APIs รองรับการทำ Deeper Packet Matching (DPM) สำหรับ L2, L3, L4 header รองรับการตั้งเวลาการกำหนดนโยบาย (Policy) แบบ Time/packet-based scheduling

สำหรับผู้ที่สนใจรายละเอียดเพิ่มเติมสามารถศึกษาข้อมูลได้ที่ https://www.arista.com/en/products/danz-monitoring-fabric หรือติดต่อผ่านตัวแทนจำหน่าย VST ECS (Thailand) Co., Ltd. อีเมล: Arista@vstecs.co.th