1、专有及保密信息超强性能的网络监测数据接入平台超强性能的网络监测数据接入平台专有及保密信息7 Gigamon公司简介公司简介专有及保密信息专有及保密信息 Gigamon Gigamon数据监测领域的领导者数据监测领域的领导者n成立于成立于2003年年nDAN数据接入领域(数据接入领域(Data Access Network)的开拓者)的开拓者n一直引领一直引领DAN的技术发展的技术发展n2008年被年被Frost&Sullivan评为全球监评为全球监测领域测领域最佳新兴技术公司最佳新兴技术公司n现已服务于现已服务于全球全球50个国家的运营商、金融、政府和制造等行业个国家的运营商、金融、政府和制造
2、等行业专有及保密信息5电信电信业业保险保险业业金融与金融与银行业银行业计算机与计算机与网网络业络业政府与政府与国防国防大学与医疗大学与医疗卫生卫生制造、公用事业制造、公用事业和零售和零售业业MGICNEBRASKA ITNEBRASKA IT酒店酒店业业专有及保密信息部分技部分技术术合作伙伴合作伙伴专有及保密信息7 网络监测现状分析网络监测现状分析专有及保密信息日益增多的网络监测设备日益增多的网络监测设备警报 服务水平监测 VoIP 监测企业管理 环境监测 事件日志监测 系统监测 网络诊断工具 网络流量监测网络性能监测 网络协议分析网络安全监测 数据库监测SNMP 监测 应用监测Web 监测
3、其它专有及保密信息如何将监测流量传送给监测设备?如何将监测流量传送给监测设备?IDS网网络络基基础础架架构构数据库监测数据库监测网络性能监测网络性能监测监测设备监测设备.Web安全安全?面临很多问题面临很多问题.SPAN专有及保密信息专有及保密信息?问题一问题一 怎样将一个监测数据流传送给多台监测设怎样将一个监测数据流传送给多台监测设备?备?span交换机的交换机的SPAN口不够,更改监测设备的连接线,口不够,更改监测设备的连接线,轮流使用?轮流使用?专有及保密信息专有及保密信息问题二问题二 怎样将多个监测数据流传送到单台监测怎样将多个监测数据流传送到单台监测设备?设备?经常更改监测工具的连接
4、线?经常更改监测工具的连接线?带着监测工具赶去各个监带着监测工具赶去各个监测地点?测地点?放弃一部分数据流?放弃一部分数据流?专有及保密信息 数据流过多,超过监测工具的处理能力,升级更换监数据流过多,超过监测工具的处理能力,升级更换监测设备?测设备?问题三问题三 监测设备只需要指定的流量,如何剔除监测设备只需要指定的流量,如何剔除无用流量?无用流量?无数的无数的IPIP、端口号、端口号、协议流等等协议流等等只需数据库流量只需数据库流量?专有及保密信息其他问题其他问题n无法实现法规要求的在线无法实现法规要求的在线实时监测实时监测 n监测要求变化,需要对网络部署及配置进行频繁修改监测要求变化,需要
5、对网络部署及配置进行频繁修改 频繁更改网络配置可能导致网络崩溃?频繁更改网络配置可能导致网络崩溃?专有及保密信息7 如何解决监测中存在的问题?如何解决监测中存在的问题?专有及保密信息 组建集中统一的网络监测数据接入平台组建集中统一的网络监测数据接入平台 核心交换机汇聚层交换机接入交换机TAPSPANTAPSPANTAPSPAN Gigamon 网络监测数据接入平台网络监测数据接入平台网络性能监测Netscout数据库安全Guardium其他监测工具网络安全监测IDS专有及保密信息 随时为客户的监测管理系统提供线速数据服务随时为客户的监测管理系统提供线速数据服务专有及保密信息网络架构业务数据 监
6、测设备监测设备灵活添加删除监测数据和监测设备,便于灵活添加删除监测数据和监测设备,便于监测设备测试或扩容监测设备测试或扩容专有及保密信息专有及保密信息将一个数据流传送到多个监测设备将一个数据流传送到多个监测设备数据复制分发功能,轻松解决数据复制分发功能,轻松解决SPANSPAN口不够的问题口不够的问题SPAN复制分发复制分发专有及保密信息专有及保密信息将数据流汇聚到整合工具并对其进行均衡 将多个数据流汇聚到一台监测设备将多个数据流汇聚到一台监测设备数据汇聚功能,可适量减少监测设备的数量数据汇聚功能,可适量减少监测设备的数量专有及保密信息(1)采用智能过滤,只输出特定的流量,无需升级监测工具采用
7、智能过滤,只输出特定的流量,无需升级监测工具(2)对流量实现负载均衡对流量实现负载均衡数据量增大时,帮客户降低整体组网成本数据量增大时,帮客户降低整体组网成本智能过滤智能过滤/负载均衡负载均衡SPAN智能过滤或流量负载均衡智能过滤或流量负载均衡专有及保密信息7 Gigamon的技术实现的技术实现专有及保密信息GigaVUE的架构设计的架构设计l基于ASIC硬件的带外数据接入设备l全球唯一做到ASIC设计l不基于软件,没有操作系统,没有CPUl采用模块化设计:所有的端口/电源/风扇均为模块化,支持热插拔l专用的、无拥塞的、交叉连接硬件交换 l基于电路交换l端口到端口之间超低时延(低于8微秒)专有
8、及保密信息GigaVUE的强大功能的强大功能l线速性能单一设备支持超过4000条的过滤/映射规则 开启所有过滤时,所有端口都完全实现100%的线速性能 l端口灵活定义所有端口均可自定义为数据输入或输出端口,灵活适应各种业务需求和变化l高扩展性模块化扩展支持堆叠,最大可堆叠至23台快速适应增长的更复杂的业务要求 专有及保密信息 把多个链路汇聚至任意工具 把任意链路复制分流至多个工具 对数据进行智能过滤,将数据包映射至工具 通过智能过滤器在监测设备之间进行负载均衡 1对11对多多对1智能过滤专有及保密信息数据处理举例数据处理举例专有及保密信息能对数据包能对数据包128128字节报头进行过滤字节报头
9、进行过滤允许(allow)或阻止(deny)模式匹配同时使用布尔“and”(与)或“or”(或)模式n基于硬件的过滤几乎消除了延时基于硬件的过滤几乎消除了延时过滤器规则可能基于预先定义的模板,包括:过滤器规则可能基于预先定义的模板,包括:MAC 源或目标地址 VLAN ID 以太网类型 IP version IP 源/目标地址/IP子网 会话,使用多对源和目标IP地址 TOS/DSCP MAC 地址、IP 地址、VLAN ID 或应用端口范围 TCP/UDP 端口号 带有奇偶判断的范围掩码(RTP/RTCP 过滤)用户自定义的位模式和偏移量 协议(GRE/ICMP/IGMP/RSVP/TCP/
10、UDP/.)智能过滤能力智能过滤能力专有及保密信息 Gigamon案例分析案例分析专有及保密信息XX银行数据中心整体监测解决方案银行数据中心整体监测解决方案需求需求需要监测的数据源:数据中心的骨干环网数据中心的骨干环网与第三方机构的外联(如网银等)与第三方机构的外联(如网银等)员工上网内外员工上网内外IT应用区内外应用区内外业务服务器业务服务器全部核心交换机和接入层交换机上联链路全部核心交换机和接入层交换机上联链路监测工具:Netscout(网络性能监测)(网络性能监测)IDSSymantec DLP(数据丢失防护)(数据丢失防护)Compuware(应用程序性能管理)(应用程序性能管理)其他
11、监测工具其他监测工具专有及保密信息Gigamon解决方案架构解决方案架构骨干环网骨干环网外联外联SiSiSiSiSiSiSiSiNetscoutIDSCompuwareSymantec DLPSPANGigaVUE-420服务器区服务器区专有及保密信息 帮助客户帮助客户可以为全网所有监测节点提供大量的数据输入接口,解决了监测工具端口数量少的问题;针对不同的监测需求,提供数据复制、分流、汇聚和过滤等多种方式来处理数据流;通过GigaVUE组建一个集中监测管理配置平台,可以对所有的监测数据流和监测工具进行统一集中的监控管理;面对监测工具新增或扩容,无需再修改网络配置,而只需要对GigaVUE进行配
12、置即可满足需求,避免因修改网络配置导致网络瘫痪的威胁;专有及保密信息XX银行数据中心银行数据中心Gigamon监测方案监测方案l现有的网络监测工具现有的网络监测工具网络流量分析工具Sniffer入侵检测系统IDS数据库安全审计工具Imperva未来会进行监测工具的扩容l网络监测规划网络监测规划需要将生产网中所有的接入层和汇聚层交换机的上联链路的流量纳入到监测体系中需要将核心交换机的主要链路的流量纳入监测体系所有监测流量都是采用SPAN端口镜像获取专有及保密信息l面临的问题面临的问题 如何将大量交换机的监测流传送到监测工具?如何将大量交换机的监测流传送到监测工具?(1)如何将多链路的流量汇聚给监
13、测工具?(2)汇聚之后的流量过大,会超过监测工具(如Imperva)的处理能力,如何解决?(3)如何将汇聚之后的同一份流量传送给不同的监测工具?专有及保密信息Gigamon部署示意图部署示意图专有及保密信息帮助客户帮助客户lGigamon帮助招商银行解决监测中的问题:帮助招商银行解决监测中的问题:GigaVUE设备实现了多链路数据流的汇聚GigaVUE能够将汇聚后的数据流复制成多份,发送给不同的监测工具通过GigaVUE组建一个了集中监测管理配置平台,可以对所有的监测数据流和监测工具进行统一集中的监控管理;面对以后的监测工具测试或扩容,无需再修改生产网络的配置,避免因修改网络配置给生产网络带来
14、威胁;专有及保密信息保险行业多业务监测解决方案保险行业多业务监测解决方案需求需求越来越多的监测工具,网络部门必须保证网络安全和业务网络的越来越多的监测工具,网络部门必须保证网络安全和业务网络的正常运作正常运作维护更庞大和复杂的网络维护更庞大和复杂的网络各类法规的审计要求各类法规的审计要求n当前需要对当前需要对9条链路进行监测条链路进行监测,需要支持,需要支持18个监测设备:个监测设备:3个数据防护工具Vontu;3 个充分应用行为分析工具 Qradar;3 个 Niksun;4 个 IDS;2 个网络探针 流量记录器用于取证和故障排除的 RUM探测器用于观察客户体验状况的资源使用情况 Teal
15、eaf监测器用于进行web体验监测专有及保密信息核心交换机核心交换机服务器交换机服务器交换机服务器交换机服务器交换机服务器交换机服务器交换机GigaVUE-MP9115311210Infinistream数据记录器IDSIDS后过滤器131564应用监视器(VLAN 122 和 123)IDS后过滤器1614Infinistream流量记录器28应用监视器(VLAN 120 和 121)后过滤器应用监视器(VLAN 126 和 127)7应用监视器(VLAN 124 和 125)后过滤器VLAN 128131VLAN 120123SPAN端口SPAN端口18分析器到第二个GigaVUE-MP的
16、10G链路IDSVLAN 124127应用监视器(VLAN 130 和 131)应用监视器(VLAN 128 和 129)GigaVUE-MP解决方案架构解决方案架构专有及保密信息帮助客户通过丰富的接口,很好地解决端口争用通过丰富的接口,很好地解决端口争用根据需求灵活地对数据进行汇聚和分配根据需求灵活地对数据进行汇聚和分配通过热插拔模块来简化操作通过热插拔模块来简化操作可以随意连接和断开工具可以随意连接和断开工具可视化管理,为一切管理系统提供最短的响应时间可视化管理,为一切管理系统提供最短的响应时间 专有及保密信息电信级电信级VoIP 监测方案监测方案l问题问题VoIP服务质量投诉服务质量投诉
17、合法监听要求合法监听要求被监测节点数量较多被监测节点数量较多在网络核心开启在网络核心开启SPAN 端口,会出现丢包端口,会出现丢包VOIP的监测设备的监测设备QOS探测器成本较高探测器成本较高专有及保密信息l传统解决方案代表五个 100 M 连接 每个探测器可以探测2个链路,总共60个连接,60 个连接/每个探测器2个连接30个探测器,成本大概230w美金专有及保密信息GSXSBCPSXL2 交换机L2 交换机L2 交换机ASXEMSMSSGX分路器分路器分路器分路器分路器分路器ECE分路器分路器GigaVUE入站光纤或入站光纤或 千兆位以太网流量千兆位以太网流量千兆位以太网入站千兆位以太网入
18、站 流量流量来自来自 GigaVUE 的的GigaVUE探测器探测器分路器分路器lGigamon解决方案l 1个探测器个探测器+2个个 GigaVUE+45个分路器个分路器 成本不到成本不到40万美元万美元专有及保密信息实现了集中监测实现了集中监测通过汇聚和智能过滤,只接受通过汇聚和智能过滤,只接受VOIPVOIP流量,提高了监测设备的工作流量,提高了监测设备的工作效率效率监测流量完整,无数据包丢失,监测流量完整,无数据包丢失,实现了全网监测的统一可视化管理,提升了故障响应时间实现了全网监测的统一可视化管理,提升了故障响应时间降低了现行项目及扩容项目的成本投入降低了现行项目及扩容项目的成本投入
19、帮助客户帮助客户专有及保密信息XX运营商运营商3G业务监测解决方案业务监测解决方案需求需求需要对需要对3G网络数据进行更严格的监测网络数据进行更严格的监测,以适应以适应3G网络的发展网络的发展数据业务可视化监测及控制数据业务可视化监测及控制突发流量如病毒和攻击的监测和防范突发流量如病毒和攻击的监测和防范网络流量审计网络流量审计专有及保密信息1Gb/秒10 Gb/秒10 Gb/秒1Gb/秒1Gb/秒10 Gb/秒10 Gb/秒合法监听运行 Wireshark的 PCGiGnGGSNGigamon解决方案架构解决方案架构专有及保密信息帮助客户通过智能过滤,将指定的数据包传送给监测设备,提高监测设通
20、过智能过滤,将指定的数据包传送给监测设备,提高监测设备的工作效率备的工作效率保证实时监测的数据完整和低延时保证实时监测的数据完整和低延时方便以后数据量增大后的监测扩容方便以后数据量增大后的监测扩容专有及保密信息l提高运营维护系统的灵活度组建集中监测管理平台组建集中监测管理平台给监测设备传送指定的数据流量给监测设备传送指定的数据流量加强网络的实时可视化管理,缩短管理响应时间加强网络的实时可视化管理,缩短管理响应时间帮助帮助ITIT团队应对各种监测维护需求及扩容团队应对各种监测维护需求及扩容l降低整体组网和运营维护成本减少监测设备的数量减少监测设备的数量无需对监测设备进行升级或更换无需对监测设备进
21、行升级或更换GigamonGigamon的价值的价值专有及保密信息 Gigamon产品介绍产品介绍专有及保密信息GigamonGigamon产品系列产品系列 GigaVUE-420GigaVUE-2404GigaVUE-212G-TAP专有及保密信息WebWeb管理界面管理界面CitrusCitrus专有及保密信息GigaVUE-212前端视图l 高高1Ul 支持支持2个个10G portl 最大支持最大支持12个个1G port(基础为(基础为8个,可扩展个,可扩展4个)个)管理口Mgmt和console口8个千兆光电复用口2个10G port可扩展模块,支持4个千兆SFP端口(可为光或电)
22、专有及保密信息GigaVUE-212后端视图l 双冗余双冗余AC或或DC电源电源l 双冗余风扇双冗余风扇l 电源和风扇模块支持热插拔电源和风扇模块支持热插拔双冗余风扇双冗余电源专有及保密信息GigaVUE-420前端视图l 最大支持最大支持4个万兆端口和个万兆端口和20个千兆端口个千兆端口l 1U 高度高度l 可堆叠至可堆叠至10台,台,240个端口个端口可扩展端口模块,提供4个千兆光电复用端口 基础单元,提供4个千兆电口或4个千兆光口扩展模块,内置电口双容错Tap GigaTAP-Tx扩展模块,内置电口双容错Tap GigaTAP-SxMgmt端口Console口专有及保密信息GigaVUE
23、-420后端视图l 双冗余双冗余AC或或DC电源电源l 双冗余风扇双冗余风扇l 所有模块支持热插拔所有模块支持热插拔4个万兆插槽冗余风扇冗余电源模块专有及保密信息GV-420内置扩展模块 PRT-4004个千兆光电个千兆光电复用复用口口万兆模块万兆模块Tap-202千兆光纤千兆光纤Tap模块模块GigaLINK-SR/LR/ERGigaLINK-Cu(10GBASE-CX4 copper)万兆万兆Tap模块模块Tap-201千兆电口千兆电口Tap模块模块专有及保密信息GigaVUE-2404GigaVUE-2404前端视图前端视图l 高高2U,支持,支持3个模块化插板个模块化插板l 1至至24
24、个万兆端口个万兆端口l 1至至4个千兆端口个千兆端口l 4至至8个可选内置万兆个可选内置万兆Tap(可加(可加2个插板,个插板,1个插板有个插板有4个个Tap)l 可与可与420堆叠堆叠Mgmt和console端口中间的插板为基础单元,包含4个1G SFP端口和8个10G SFP+端口可扩展插板,支持8个10G port或4个Tap,图上为8个10G port可扩展插板,支持8个10G port或4个Tap,图上为4个Tap专有及保密信息GigaVUE-2404GigaVUE-2404后端视图后端视图 双冗余双冗余AC或或DC电源电源 双冗余风扇双冗余风扇双冗余电源双冗余风扇未使用,未来高级属
25、性刀片式插槽专有及保密信息G-Tap U无源外置分路器最多支持8条全双工链路支持1G和10G 光纤链路专有及保密信息GigaSMARTGigaSMARTl GigaVUE-2404的内置扩展模块l 6个端口支持10Gb SFP+或1Gb SFPl 支持Packet Slicing切片l 支持 Masking屏蔽 l 支持TimeStamping时间戳(支持外部GPS信号输入和10ns级精度)l 支持Source labeling源端口标签 GPS天线天线TNC-RG213Serial time code (DB-9)6个个1G/10G端口端口专有及保密信息数据包切片l在网在网络监测络监测工作中
26、工作中查查看数据包看数据包时时,只需,只需对对部分部分报头报头信息信息进进行行查查看即可看即可满满足要求足要求l无需也无无需也无权对权对数据包的内容数据包的内容进进行行查查看看切片后,使得数据包的私密性更为安全;切片后的数据包,减轻了监测设备的处理压力,减少开销损耗,提高了监测工具的工作效率。专有及保密信息屏蔽关键词l对数据包中的私密信息部分(如口令、密码等)进行屏蔽对数据包中的私密信息部分(如口令、密码等)进行屏蔽修改,防止了私密信息泄露,保证了商业安全。修改,防止了私密信息泄露,保证了商业安全。l屏蔽数据包屏蔽数据包19000bytes专有及保密信息数据包时间戳l对于从对于从Network
27、 port进入的数据,在包头或包尾进入的数据,在包头或包尾部分加入时间戳,以实现数据包的时间性。部分加入时间戳,以实现数据包的时间性。l便于基于标准时间来对网络事件进行分析,实现便于基于标准时间来对网络事件进行分析,实现了分析的准确性和实时性。了分析的准确性和实时性。在数据包在数据包中加入时中加入时间戳间戳-在包头加入在包头加入支持,加入在支持,加入在Gigamon Ethertype 22E5之后之后-在包尾加入在包尾加入支持,加入在支持,加入在CRC之前。之前。专有及保密信息源端口标签l对于从对于从Network port进入的数据,在包头或包尾部分加入进入的数据,在包头或包尾部分加入network port标签标签l通过源端口标签,可以区分出每个数据包来自于网络中的通过源端口标签,可以区分出每个数据包来自于网络中的哪条链路。哪条链路。l快速准确的分析出是哪条链路出现故障。快速准确的分析出是哪条链路出现故障。专有及保密信息GigaStreaml在两台堆叠设备的堆叠端口之间,或GigaVUE与监测工具之间,进行端口捆绑或链路聚合,将多个端口聚合在一起l扩大带宽,链路容错,且实现端口之间的数据流负载均衡专有及保密信息我们的共同目标我们的共同目标!追求人生的美好!
