Uygulamaların ve ağın performansını belirlemek, olası problemleri çözmek ve PCI uyumluluğunu da içine alacak şekilde uygulama ve ağ güvenliğini sağlamak amacıyla kullanılan çeşitli çözümler mevcut. Bunlardan belki de ilk akla gelenler netflow/sflow gibi teknolojiler. Ancak bu teknolojilerde paketlerin yalnızca başlık bilgisinin toplanıyor olması, daha da önemlisi bir çok donanım üzerinde bu çözümün örnekleme ile yapılması (binlerce paketten yalnızca bir tanesinin dikkate alınması) özellikle güvenlik konusunda kullanılmalarını pek mümkün kılmıyor. Hiç paket kaçırmadan ve paketin tamamını görerek bir çözüm oluşturmak istersek bu durumda Cisco’nun Data Broker olarak adlandırdığı teknolojiler kullanılmaya başlanıyor.
Data Broker ve benzer çözümlerde kampüs ve veri merkezi anahtarlarından SPAN yapılarak veya TAP’lar yardımıyla kopyalanan trafik, veri iletiminde kullanılan geleneksel anahtarlar topluluğuna paralel olarak oluşturulmuş ikinci bir izleme ağına gönderiliyor, buradan da istenen izleme, ölçme veya güvenlik sunucularına analiz amacıyla iletiliyor. Bu sunucu sistemlere örnek olarak DLP ve IDS gibi güvenlik çözümlerini veya Cisco açısından bakacak olursak Prime NAM, Lancope veya SourceFire çözümlerini verebiliriz.
2014 yılında yaklaşık 500 Milyon dolarlık bir pazara ulaşan bu çözümde, yıllık olarak da %30’luk bir büyüme söz konusu. Pazara hakim tek bir üretici bulunmamakla beraber gerek ürünler gerekse istenen özellikler için biçilen lisans ücretleri ise oldukça yüksek. Bu çözüm için özel donanımlar üreten firmaların yaşadığı bir diğer problem ise birbirlerinden farklılaşma konusunda ortaya çıkıyor. Cisco bu noktada hem fiyatı daha ekonomik olan, hem de genişleyebilme, yönetim kolaylığı ve esnekliği ile farklılık yaratacak Data Broker çözümü ile bu firmalar arasına katılmış durumda. Fiyatın ekonomik olmasının bu noktada dikkatinizi çektiğini düşünerek yavaş yavaş sağlanan çözümün avantajları konusuna geçmek istiyorum.
Cisco Data Broker çözümünü SPAN ve TAP’lar üzerinden gelen trafiği hedef izleme sistemlerine ileten anahtarlama cihazları ile bu anahtarları yönetmek için kullanılan Data Broker yazılımından oluşuyor. Anahtarlama parçasını yakından tanıdığımız Nexus 3000/3100/3500’ler veya Nexus 9300/9500’ler ile inşa ediyoruz. Bu anahtarlara tek eklemeniz gereken ise Data Broker lisansı. Oluşturulan bu ağı yönetmek için kullanılan Data Broker yazılımı ise aslında bir “SDN Controller”. Anahtarları OpenFlow veya NxAPI ile yönetebiliyor.
İhtiyaç duyulan port sayısına bağlı olarak bu parçaları iki farklı modelde bir araya getirmek mümkün.
- Gömülü Model: Tek bir Data Broker anahtardan oluşur. DataBroker yazılımı için ayrı bir sunucuya ihtiyaç duyulmaz ve anahtar içindeki “Linux container” üzerine bir OVA dosyası aracılığıyla kurulur.
- Merkezi Model: Eğer çok sayıda anahtar kullanılacaksa, merkezi bir data broker yazılımı ayrı bir sunucuya kurulur. Bu yazılım herhangi bir topolojide birbirine bağlanmış anahtarlardan sonsuz döngü oluşturmayacak bir iletim yapısı oluşturur ve bu yapıyı yönetir.
Data Broker yazılımı sahip olduğu GUI aracılığı ile hangi anahtarların hangi portlarına gelen SPAN/TAP trafiğinin birleştirilerek hangi anahtarların hangi çıkış portlarına iletileceği belirlememize yardımcı olurken bir yandan da her hangi bir kesinti sonucu topolojide bir değişiklik oluşması durumunda tekrar sonsuz döngüye sahip olmayan yeni bir yapının oluşturulmasını otomatik olarak sağlar.
Cisco’nun sunduğu DataBroker çözümünün öne çıkan bazı özelliklerini listelersek:
Çok Noktadan çok noktaya iletim (Mutipoint to multipoint): Seçilen kaynaklardan gelen SPAN/TAP trafiği filtrelendikten sonra istenen sayıda hedefe gönderilebilir. Kaynak ve hedef portlar farklı databroker anahtarlara dağıtılmış olabilir.
Tüm portlardan çok noktaya iletim (Any-to-Multipoint): İstenen trafiğin hangi portlardan geldiği bilinmiyorsa, tüm kaynak portlardan gelen trafik filtrelere uygun olarak istenen sayıda hedefe ulaştırılabilir. Kaynak ve hedef portlar yine farklı databroker anahtarlarda dağıtılmış olabilir.
Filtremele: Paketlerin L1-L4 başlıklarına göre (Vlan-tag, IP, port vb.) filtreleme yapılabilir. Filtreleme istenen trafik için çift yönlü de sağlanabilir (bidirectional packet filtering). Böylece örneğin izlenen trafik içindeki yalnızca belli sunuculara yönelik HTTP trafiğini bir güvenlik sunucusuna yönlendirmek mümkün. Filtreme işlemi istenmeyen paketlerin tamamen yok sayılması amacıyla da kullanılabiliyor.
Yük Paylaşımı: İzleme sunucusunun kapasitesinin üstünde bir trafik varsa bu uygulamadan birden fazla kurularak veya sunucuya port kapasitesinin üzerinde bir trafik göndermek gerekiyorsa sunucuya yeni port eklemek ve bunlar arasında yük paylaşımı yapmak mümkün. 3100, 9300, 9500 anahtarlar ek olarak simetrik hash’leme ile paylaştırılan trafiğin çift yönlü olarak aynı uygulamaya/porta gönderilmesi de sağlayabiliyor (bi-directional packet matching). Yük paylaşımı yapmak için tüm hedef portların aynı data broker portlarına bağlı olması gerektiğini hatırlatmakta fayda var (en azından bugün için).
Çoklu Veri Merkezi Yönetimi: Farklı veri merkezlerine dağıtılmış DataBroker topolojilerinin tek bir DataBroker yazılımı ile yönetilmesi mümkün.
Topoloji değişiklikliklerine adaptasyon: DataBroker anahtarları arasındaki bağlantıların kesilmesi gibi durumlarda DataBroker yazılımı tekrar sonsuz döngüye neden olmayan yeni bir topoloji oluşturabilir.
Başlık slime/ekleme: Orjinal pakette bulunmasa da giriş trafiklerini ayırt etmek ve filtreleme esnasında kullanmak için giriş yönünde paketlere vlan-tag eklemek mümkün. Orjinal paketin MPLS başlığı varsa bu başlığı da kaldırabilirsiniz.
PTP bigisi ekleme: Bugün için yalnızca Nexus 3500 anahtarlarda paketlere giriş yönünde PTP (IEEE 1588) bilgisi eklemek mümkün.
Paket Kırpma: Yine bugün için yalnızca Nexus 3500 anahtarlarda databroker ağına giren paketlerin yalnızca belli bir boyutunun izleme sistemlerine iletilmesi mümkün (örneğin paketlerin ilk 64-byte’lık kısmı)
Büyümekte olan bir pazara girerek oyunun akışını değiştirmeyi sıklıkla yapan Cisco’nun bu çözümü yukarıda listelediğim bir çok özellikle rakiplerinden farklılaşıyor. Port başına maliyet olarak (1/10/40/100Gbps portlar) bakıldığında sağladığı ekonomik çözüm ise bir diğer artı değer. Çözümü biraz daha detaylı incelemek isterseniz aşağıdaki link’teki dokümanı okuyabilirsiniz. Cisco iş ortaklarının erişebildiği dCloud üzerinde bir demo da mevcut. Bu demo ortamı son kullanıcıların talep etmesi durumunda iş ortakları tarafından kendileriyle de paylaşılabiliyor. Israrla demo erişimi isteyin derim 🙂
Kubilay Akgül – CCIE #29500
Cisco Türkiye – Sistem Mühendisi
1 Comments
Nexus ürün ailesinin ITD ile birlikte az bilinen ama çok faydalı olan bu ilave özelliğini gayet güzel bir blog yazısı ile özetlemişsin. E artık diğer gizli cevherleri de bekleriz 🙂