當今的數據中心需要智能化，靈活敏捷的監控和安全架構，提供普遍的可視化，單一面板管理，零接觸的規模化，自動化和硬件選擇。傳統NPB的功能仍然是必需的;然而，傳統NPB的分布式及其設計不適合數據中心，這就要求解決方案能夠快速高效地運行。

網絡所有者需要一款動態的解決方案，使工具能夠訪問來自任何機架，任何位置，任何虛擬機，任何容器以及任何云計算的流量，并根據需要進行橫向擴展——無需物理重新配置或逐個管理。這樣的解決方案可以簡化和加速變更管理，縮短問題排查時間，減少OPEX和CAPEX。

下一代的可視性和安全架構必須能夠為數據中心帶來以下好處：

·提供跨整個企業組織范圍的可視性和安全架構(包括每臺機架，工作負載，數據中心和站點)

·更快，更高效地部署，擴展和修復

·優化OPEX和CAPEX

為了實現這些優勢，企業數據中心需要一套具備可視化和安全體系的架構，其作為一個邏輯NPB運行，使工具能夠在任何地方進行物理上的運行，但在邏輯上處于任何位置，因此可以實時動態監視和維護網絡。作為結構運行的邏輯“超級NPB”也將為網絡和安全團隊提供高效操作和擴展所需的單一管理點。

要實現這種下一代的NPB體系架構，必須將超大規模原理應用于傳統的NPB功能。通過引入軟件定義的基于控制器的開放式硬件設計，數據中心可以獲得完整的網絡視圖和單點配置和管理。這種方法與傳統的“舊一代”網絡可視性和網絡切換方法形成對比，后者的設備逐個運行，架構僵化。

 

圖1：舊一代與新一代架構

超大規模設計增強了可視性和安全性體系結構。基于控制器的SDN結構并不是專有的逐個框架結構，而是能夠自動發現和配置可見性節點，實現零點觸摸的橫向擴展，單一面板管理，內置彈性和硬件選擇，允許數據中心的網絡和安全團隊以更靈活和靈活的方式運作。

 

圖2：傳統NPB與新一代架構的可見性和安全架構

下一代的可視化是逐一管理代理的進步。獨立的NPB和有限的集群不能提供全面的網絡視圖。相反，這些傳統的NPB創造了一些可視性的問題，這些問題是難以管理的，而且如果他們需要不同的視圖觀點或者網絡基礎設施發生變化的話，往往需要將工具連根拔起，進行遷移。相比之下，下一代可視化架構使用SDN模型，其中底層節點是集中控制的，并且可以動態地改變其狀態，而無需物理干預。

超大規模為下一代基礎架構所帶來的關鍵特征是智能化和靈活性。

下一代的可視化和安全體系結構具有以下特征：

智能化敏捷性靈活性

l 基于SDN控制器的結構(邏輯“超NPB”)

l 自動發現和配置

l 分析和警報l 單一面板管理

l 自動化

l 可編程集成

l 零接觸l 開源硬件(供應商選擇)

l 訂購價格優勢

l 橫向擴展

l 在任何地方處理任何工作負載

這些功能解決了傳統NPB的架構和操作復雜性，消除了可視性和管理孤島，加速了運營。

下一代可視化和安全架構包括軟件和開放硬件組件，可以利用這些組件來形成定制化的解決方案。

下一代可見性和安全體系結構的組件包括：

1、結構化控制器

基于軟件的智能控制器冗余運行，并提供對可見性節點結構的可視性，從單一接口對其進行編程，并允許通過有限的交互，快速地在整個結構上進行配置更改。REST API使結構能夠動態地與工具和工作流進行交互，從而實現響應和任務的自動化。

2、開源的網絡交換機

可視化節點利用商用以太網交換機提供經濟高效的可視化覆蓋范圍，支持內聯或帶外部署模式。由冗余控制器管理的互連節點組成一個彈性結構。沒有一個節點需要單獨進行交互，因為架構的智能與控制器在一起，而不是在盒子上。網絡和安全工具視圖只需要在控制器上設置。通過結構的流量映射是自動進行的，不需要進行任何配置。在節點失去與控制器的接觸的情況下，仍然能夠基于其最后編程的配置進行操作。

3、基于x86的服務節點

高級數據包處理功能(如重復數據刪除和深度數據包檢測)可以由基于x86的服務節點執行。任何通過結構的流量都可以通過服務節點發送，為每個工具執行所需的功能。這種設計確保了高級數據包處理功能可用于整個可視化結構，從而提供每款工具，而不管訪問通信的具體位置。第三方服務節點(如傳統的NPB或SSL解密器)也可以與結構整合。

這些組件一起可以部署為簡單的小型架構或大型多站點設計。

可視化和安全性架構較之傳統NPB的優勢：

傳統NPB下一代的可視化和安全性架構

靜態設計

l 物理束縛，不靈活

l 需要手動或物理干預才能更改架構動態的，邏輯上的“超NPB”設計

l 根據需要對軟件進行更改

l 工具可以托管在任何地方

筒倉的可視化

l NPB工具組具有不同的可視化程序完整的，普遍的可視化

l 跨整個數據中心(每臺機架，位置，虛擬機，容器，云)的持續性和隨需應變的可視性

逐一管理

l 逐一進行功能管理結構管理

l 單一面板管理/軟件定義的可見性

專有硬件

l 成本昂貴

l 被供應商鎖定開源硬件

l 靈活選擇供應商

l 靈活的軟件定價

下一代可視性和安全性提供了架構、運營和業務方面的優勢。

對于企業業務而言：

·更快的服務和應用程序交付

·改進服務和應用程序可用性

·降低OPEX和CAPEX

對于網絡和安全架構來說：

·適應所有工具(主動和被動)，并根據需要在全球網絡中進行擴展，而不管網絡或工具的擴展或變化

· 提高工具效率和可用性

·降低解決方案成本

對于操作運營而言：

·自動執行任務，并以編程方式與工具或團隊工作流程集成

·加快變更管理

·對性能和安全問題做出更快更動態的響應

下一代的可視化和安全性的使用案例

下一代可視性和安全性為數據中心提供統一的解決方案，因此網絡所有者可以：

·監控每臺機架

·監視每個位置

·監控4G / LTE移動網絡

·監控每臺虛擬機、容器和云工作負載

·擴展DMZ的安全性

·動態減輕攻擊

監控每臺機架

實施普遍的性能和安全監控解決方案可能會非常復雜且成本高昂。通過采用商用交換機和智能控制器的下一代架構，網絡擁有者可以以令人信服的價格獲得對于整個數據中心內易于管理的可視化。

監控每個位置

新一代的可視化和安全架構可以通過廣域網進行擴展，以實現對遠程數據中心和站點的監控。這種功能允許工具和操作團隊進行集中管理，使任何工具都能在任何流量中得到利用，同時顯著降低CAPEX和OPEX。在每個數據中心和站點部署商用以太網交換機，可以實現覆蓋每個位置的全局視圖——所有這些都通過冗余光纖控制器進行集中管理。

監控4G / LTE移動網絡

運營商網絡通常使用隧道協議，某些工具可能無法讀取。下一代可見性結構中的服務節點可以執行協議剝離，以便通過更廣泛的工具進行收集。

監控虛擬機、容器和云工作負載

在虛擬機，容器和云工作負載之間實施一致的監視和安全協議可能是一個挑戰，尤其是考慮到這些工作負載可能是動態的，短暫的并且只能產生主機內流量。將來自這些工作負載的流量傳送到下一代“超NPB”結構，可以使用相同或相似的工具，監視和保護其他網絡流量。

下一代“超NPB”通過編程方式利用主機上的虛擬交換機SPAN端口卸載復制的工作負載流量，而不是消耗寶貴的主機資源或構成安全風險。這種設計可確保流量不受干擾地指向工具。

擴展DMZ的安全性

下一代“超NPB”安全體系結構為在DMZ中部署安全工具和創建按需服務鏈提供了一種簡單，橫向擴展的方法。他們的基于控制器的設計能夠與快速編程和響應的工具集成。

動態減輕攻擊

借助x86服務節點提供的內聯工具鏈，編程控制器交互以及高性能檢測和阻止功能，安全擁有者可以在面對大規模DDoS攻擊時擴充和擴展其內聯工具。

結論

數據中心需要一款智能，敏捷，高度靈活的可視性和安全架構，可以集中整個數據中心的網絡流量，并提供成本和運營效率。

在過去，網絡所有者沒有統一的解決方案來管理網絡和安全工具的流量傳輸，無論是否是帶外數據。實現工具的可見性和優化的唯一方法是部署傳統的NPB或利用TAP或SPAN端口。但是，超大規模網絡的出現為創建下一代架構創造了藍圖，這些架構能夠擴展和適應企業和服務提供商環境，從根本上簡化管理。

基于控制器的SDN結構解決方案利用開源式硬件來創建邏輯“超NPB”，能夠在任何規模上為超大規模企業帶來益處。數據中心現在可以實現在任何地方都能看到和捍衛的下一代可見性和安全性;加速和維持服務交付，并優化預算。