監視および情報セキュリティシステムへのトラフィックのトンネリングと送信
GTP、GRE、L2TP、PPPoE、VXLAN、およびその他のトンネルの頭字語は、どのネットワークエンジニアにもよく知られています。トラフィックをトンネリングすると、次のことが可能になります。
- OSIモデルの第3レベルでネットワークを構築することにより、データフロー制御を提供します
- リモートオフィスを共有リソースを備えた単一のネットワークにリンクする
- インフラストラクチャ層とユーザー層を分離することにより、ネットワーク管理を簡素化します
- さまざまなテクノロジーに基づいて統合ネットワークを構築する
- ユーザーモビリティを提供します(モバイルネットワーク、データセンター内の仮想マシンの移行)
ただし、トンネルを使用すると、情報のセキュリティを確保するという点で追加の要件が課せられます。
ほとんどの情報セキュリティシステムと監視システムは、トラフィックのコピーを処理します。同時に、インフラストラクチャからのデータ転送は、次の3つの方法のいずれかで提供されます。
- パケットは追加のネットワーク機器機能によって複製され、専用(SPAN)ポートに送信されます
- パッシブトラフィックタップ(TAP)が光回線にインストールされ、光パワーを元の受信者とDPIシステムの2つの回線に分割します。
- ネットワークパケットブローカーがインフラストラクチャに追加され、TAPの場合と同様にパケットミラーリングの機能を実行します-元の受信者とDPIシステム
以前に書いたように、最近のインフラストラクチャでは、SPANポートは実際には使用されていません。必要な帯域幅も、データ転送の保証も提供していません。トンネルは問題を悪化させるだけです。監視ポートへの送信基準は外部ヘッダーフィールド(トンネルヘッダー)のみであるため、ユーザーパケットフィールド(ネストされたヘッダー)による予備フィルタリングは不可能になります。
パッシブ光カプラーとネットワークパケットブローカーの最も一般的に使用される組み合わせ。
TAPはネットワークの信頼性が維持されることを保証し、ネットワークパケットブローカーはDPIシステムへの正しいデータ転送を保証し、それらの使用を最適化します。ただし、トンネリングを使用する場合、これは1つの場合にのみ可能です。ネットワークパケットブローカーがトンネル構造の分析をサポートし、トンネリングされたトラフィックパケットのネストされたヘッダーに基づいてトラフィックを分散できる場合です。
トンネルトラフィックのフィルタリングと分類
ブローカーがトンネリングされたパケットのネストされたヘッダーを分析するブローカーの機能がなければ、DPIの最適化について話すことは意味がありません。 DPIシステムの負荷を軽減し、その数を減らすことを可能にするフィルタリングと分類は、ユーザートラフィックのフィールド(ネストされたヘッダー)で正確に機能する必要があります。そうしないと、特定のユーザーのIPアドレス、必要なプロトコル、または暗号化されたトラフィックを分離することができません。これは、外部フィールドによるトンネルになります。外部フィールドの非ターゲットトラフィックからDPIシステムへのトラフィックをクレンジングしようとすると、「セキュリティホール」が作成されるだけです。ターゲットトラフィックは、トンネル内の情報セキュリティと監視を「すり抜け」ます。
その結果、ネストされたヘッダーによる分析機能がない場合、セキュリティまたは品質の監視を確実にするために、すべてのトラフィックを分析システムに送信する必要があります。新しいサーバーとライセンスを購入してパフォーマンスを向上させ、サーバールームのスペースを借りて、この公園にサービスを提供する追加の従業員を雇います。
トンネリングトラフィックバランシング
トンネルトラフィックのバランスの問題はさらに多面的です。まず、異なるトンネル間でユーザーパケットを分散する場合(モバイルネットワーク、負荷分散で冗長な場合、および単に異なるトンネルを介して順方向ストリームと逆方向ストリームを送信する場合)、ネストされたヘッダーを分析せずにユーザー交換セッションの整合性を確保することは不可能です。
2つのセッション(AB-VAとCD-DC)を取り、トンネルチャネルT1、T2、T3を介して送信してみましょう。基地局間を歩いているモバイルオペレーターの加入者について話しているとしましょう。これらのセッションのパケットは異なるトンネルにあり、トンネルされたトラフィックがネットワークパケットブローカーに到達した場合、セッションの整合性を維持しながらそれらのバランスを取るための2つのオプションがあります。
- 外部ヘッダーによるバランシング。 DPI: 1 3 DPI 1, 2 DPI 2. (AB) AB-BA, 1 2 , DPI, (BA) 2 3, , DPI 1 DPI 2. CD-DC. DPI . , DPI «» , ( ) . ( ), .
- ネストされたヘッダーのバランス。バランシング用のネットワークパケットブローカーは、AB-BAセッションとCD-DCセッションの整合性を維持しながら、外部ヘッダーを無視し、DPIシステム間でパケットを分散します。同時に、インフラストラクチャの個々のセクションの状態を監視するために、外部ヘッダーによるフィルタリングを構成できます。したがって、各DPIエンジンはユーザートラフィックのストリーム全体を受信し、監視ツールは特定のトンネルのすべてのパケットを受信します。
トンネルトラフィックのバランスをとる2番目の問題は、トンネルの不均一な負荷です。トンネルの数が少ない高負荷のチャネルを監視する場合、出力ポートのパフォーマンスが過剰になるため、負荷が不均一になり、パケットが失われるという問題があります。
つまり、それぞれ10 Gb / sのセッションABとCDがT1トンネルにカプセル化されている場合、20 Gb / sのトラフィックが取得されます(40GbE / 100GbEインターフェイスまたは10GbE LAG集約リンクを介して送信できます)。このストリームをコピーしてネットワークパケットブローカーに取り込んだ後、10GbEインターフェイスを介した複数のDPIシステムでこのトラフィックのバランスを崩す必要があります。外部ヘッダーを使用してセッションの整合性を維持しながらこれを行うことは不可能です。ストリームが出力インターフェイスの帯域幅を超え、パケットが失われ始めます。
ネストされたヘッダーのバランスをとることで、情報交換の整合性とDPIシステムの品質を損なうことなく、ストリームをより小さなものに分割することができます。
断片化されたトンネルトラフィックのバランス
別のバランスの問題は、トンネリングによって引き起こされるトラフィックの断片化です。トンネルヘッダーを追加すると、MTUとパケットの断片化を超えることになります。
MTUに等しいサイズのパケットがトンネリングデバイスの入力に到着すると、トンネルヘッダーを追加した後、パケットはMTUを超え始め(トンネルヘッダーのバイト数だけ)、フラグメントに分割されます。さらに、ネストされたヘッダーは最初のフラグメントにのみ含まれます。その結果、異なるトンネル(XYヘッダーのあるT1とXZヘッダーのあるT2)に入った同じセッションの2つのパケット(AB1とAB2)は、次の4つのパケットになります。
- 外部XYヘッダーとネストされたABヘッダー
- トンネリングサインのない外部XYヘッダー付き
- 外部XZヘッダーとネストされたABヘッダー
- トンネリングサインのない外部XZヘッダー付き
この場合、フラグメント追跡機能がないと、異なるDPIシステム間での異なるトンネルの分散による情報フローの整合性の違反と、異なるDPIシステム間の異なるフラグメントの分散による情報フローの整合性の違反のどちらかが選択されます。ネストされたヘッダーに対してバランスの取れたチャンクを追跡することで、そのような場合でも整合性が維持されます。
トラフィックの大部分でこれらの問題に遭遇した人は、それらを理解して解決します。いつものように、最悪の事態は、問題がトラフィックの10%未満に影響を与える場合です。問題は目に見えない可能性があり、すべてが安全であるという幻想が生まれます。そして、セキュリティの下にはトンネルがあります。