科学数据管理区的监控、应用与安全解析
在高速网络环境下,科学数据管理区(Science DMZ)的高效运行离不开有效的监控、性能应用以及全面的安全保障。下面将详细探讨相关内容。
科学数据管理区的监控与性能应用
科学数据管理区的关键要素之一是性能测量和监控点。与企业网络侧重于单域性能指标不同,科学数据管理区的监控过程聚焦于多域端到端性能指标。常见的监控应用包括perfSONAR、简单网络管理协议(SNMP)、Syslog和Netflow(Netflow也用于安全目的)。
perfSONAR
perfSONAR有助于定位网络故障并维持最佳的端到端使用预期。使用该工具的组织需在其网络中安装测量点,测量点是运行perfSONAR应用的Linux机器。它提供自动带宽测试和诊断工具等服务。
其主要特点是具有协作性,机构可测量到不同中间域和目标网络的多个指标,如吞吐量、延迟、数据包丢失等。随着科学数据管理区数量的增加,perfSONAR的部署也在稳步增长,目前全球已部署了2000多个测量点,美国的大多数科学数据管理区至少包含一个perfSONAR节点。
SNMP与perfSONAR的比较
SNMP协议也广泛用于监控。SNMP和perfSONAR的功能互补,一个监控良好的科学数据管理区可能同时包含两者。具体对比如下:
| 特性 | SNMP | perfSONAR |
| — | — | — |
| 主要用途 | 企业网络:办公室、校园、商业互联网服务提供商 | 科学数据管理区、研究与教育网络 |
| 范围 | 单域 | 多域 |
| 受控负载下的网络监控 | 困难;SNMP代理可收集统计信息或报告事件 | 容易;perfSONAR由多个主动测试工具组成 |
| 性能检测 | 困难;SNMP使用轮询来跟踪单个网络元素,而非端到端性能 | 容易;perfSONAR的探测测试测量端到端性能 |
| 软故障检测 | 困难;只能通过轮询字节计数器在本地推断故障 | 较容易;具有多域可见性,可从本地网络对任何已部署的perfSONAR节点进行主动监控 |
| 端到端故障检测 | 困难;多域可见性有限 | 较容易;有多种端到端工具用于性能和故障排除 |
| 子路径测试 | 否 | 是;perfSONAR的NPAD工具允许测试部分路径 |
| 硬故障 | 较容易;SNMP可通过陷阱消息报告异步事件 | 困难;perfSONAR不报告异步事件 |
| 可测量变量 | CPU使用率、数据包计数器、丢弃的数据包、流量数量 | 带宽、延迟、数据包丢失、抖动 |
| 可调度测试 | 否 | 是;pScheduler |
| 配置和任务指定的可编程性 | 有商业产品,但可能需要自定义编码来自动配置/测试设备 | 较容易;支持jq(命令行JSON处理器)用于解析和处理命令 |
| 机密性、完整性和认证 | 是;SNMPv3 | 否 |
| 报告 | 是;有多个自动生成报告的工具,通常仅针对单域 | 是;自动生成端到端多域路径的报告和仪表板;esmond存储和报告时间序列测量 |
广域网仿真和其他性能应用
部署科学数据管理区时,需测试路由器、交换机和数据传输节点(DTN)。若不引入广域网条件(如延迟和抖动),路由器和交换机的问题可能在测试环境中难以发现。在没有广域网的情况下,网络模拟器是有用的替代方案。
常用的广域网仿真应用有netem和iPerf。netem是Linux应用,可模拟广域网特性并允许改变参数;iPerf测量从客户端到服务器的内存到内存吞吐量。两者可一起用于模拟DTN之间的数据传输,并测试TCP参数、路由器和交换机。
企业网络和科学数据管理区的应用对比
企业网络和科学数据管理区在数据传输、监控应用和虚拟化技术使用方面存在差异,具体如下:
| 特性 | 企业网络 | 科学数据管理区 |
| — | — | — |
| 数据传输应用 - 速率 | 几十Mbps到几Gbps | 10 Gbps及以上 |
| 数据传输应用 - 传输协议 | UDP、TCP、TSL/SSL | TCP |
| 数据传输应用 - 部分和可重启传输 | 通常不需要 | 非常理想 |
| 数据传输应用 - 并行流管理 | 不需要 | 需要 |
| 数据传输应用 - 并行文件系统 | 通常不使用也不需要 | 非常理想;提供并行性机会和更高速率 |
| 数据传输应用 - 共享和发布 | 成熟工具,高采用率,如谷歌云端硬盘、Dropbox | 处于发展阶段,如Globus |
| 数据传输应用 - 安全 | 成熟特性,由HTTPS和TLS/SSL支持 | 处于发展阶段,尚未完全符合规则和法规 |
| 数据传输应用 - 存储库之间的数据同步 | 支持(如谷歌云端硬盘、Dropbox) | 最少支持;需要手动操作 |
| 监控应用 - 监控范围 | 单域 | 多域 |
| 监控应用 - 软故障检测 | 可取但非必需 | 非常理想 |
| 监控应用 - 子路径测试 | 不需要;典型交换局域网环境中的路径通常是单跳 | 非常理想;路径通常由多个域中的许多跳组成 |
| 监控应用 - 硬故障检测 | 容易,高度细化,如企业设备中有6000多个Syslog事件和90个SNMP陷阱通知 | 可用功能少 |
| 监控应用 - 监控网络类型 | 专注于局域网和/或互连局域网 | 专注于由局域网和广域网组成的互联网络 |
| 虚拟化技术 - 虚拟主机 | 高采用率:服务器整合、多个执行环境、移动性 | 低采用率,整合需求有限(通常仅用于数据传输和perfSONAR应用);性能损失 |
| 虚拟化技术 - 虚拟交换机 | 高采用率;虚拟交换机与VLAN一起用于隔离虚拟机 | 低采用率,缓冲区能力和配置不可用;性能损失 |
| 虚拟化技术 - 虚拟路由器 | 中等采用率;新技术(如NSX),适用于数据中心的东西向流量路由 | 低采用率,不需要;性能损失 |
| 虚拟化技术 - 虚拟网卡 | 高采用率;E1000e、VMXNET、VMXNET2、VMXNET3 | 低采用率,如VMXNET3支持10 Gbps速率 |
| 网络虚拟化协议 | 用于局域网管理,如802.1Q、覆盖VXLAN | 用于广域网的资源预留,如OSCARS、MPLS |
企业网络中网络虚拟化协议主要用于局域网管理,而科学数据管理区使用的协议和平台用于广域网的资源预留和虚拟电路创建。并且,由于虚拟设备的性能损失,虚拟化在科学数据管理区的部署未被广泛采用。
下面通过mermaid流程图展示科学数据管理区监控与应用的整体流程:
graph LR
A[科学数据管理区] --> B[监控应用]
B --> B1[perfSONAR]
B --> B2[SNMP]
B --> B3[Syslog]
B --> B4[Netflow]
A --> C[性能应用]
C --> C1[广域网仿真]
C1 --> C11[netem]
C1 --> C12[iPerf]
A --> D[数据传输应用]
A --> E[虚拟化技术]
以上内容涵盖了科学数据管理区的监控、性能应用以及与企业网络的应用对比,有助于深入理解科学数据管理区在高速网络环境中的运行机制。
科学数据管理区的监控、应用与安全解析
高速网络中的安全方面
在高速网络中,安全问题日益受到关注,尤其是在科学数据管理区。安全问题主要可分为以下四个方面:
-
操作安全
:攻击者可能尝试进行未经授权的访问、在设备中植入恶意软件以及发起拒绝服务(DoS)攻击。通常使用访问控制列表(ACLs)、防火墙、入侵预防系统(IPSs)和入侵检测系统(IDSs)来应对这些攻击。
-
机密性
:传输消息的内容应仅由发送者和预期接收者理解,这需要对消息进行加密。
-
完整性
:发送者和预期接收者之间的通信内容不得被恶意或意外地更改,通常使用哈希函数进行完整性控制。
-
认证
:发送者和接收者应确认对方的身份,认证方法通常依赖于预共享密钥和数字签名。
在设计和部署科学数据管理区时,操作安全最为关键,而机密性、完整性和认证可在不同层实现,比如依靠应用层来提供这些服务。
企业网络和科学数据管理区在安全方面存在显著差异,具体如下表所示:
| 特性 | 企业网络 | 科学数据管理区 |
| — | — | — |
| 流量规模 | 数千个并发小流量 | 通常是少数并发大流量 |
| 应用类型 | 网页、电子邮件、HTML、XML、移动应用、媒体内容、SQL等 | 数据传输、性能监控 |
| 最常用端口 | 80(HTTP)、443(HTTPS) | 2811(Globus控制通道)、50,000 - 51,000(Globus数据通道) |
| 端口上的数据操作 | 多媒体、图像处理、游戏、移动代码执行、HTML、XML、SQL操作 | 文件操作:打开、读取、写入、关闭 |
| 设备数量 | 通常是数百到数千个 | 很少,甚至可能只有一个数据传输节点(DTN) |
| 自带设备(BYOD)政策 | 是 | 否 |
| 操作系统和平台 | 多种操作系统和平台,包括Windows、Linux、MAC、RIM Blackberry、Android、Windows Mobile、Oracle、Kindle | 通常所有DTN和perfSONAR节点仅使用Linux(如CentOS) |
| 应用更改和更新 | 应用和操作系统不断更新 | 更改不频繁 |
科学数据管理区不建议使用在线设备,因为它们会实时检查每个数据包。而离线设备处理数据包副本,不会干扰流量。以下是安全设备的典型放置方式:
-
与边界路由器共置
:安全设备(ACL、IPS、IDS和/或防火墙)与边界路由器放置在一起。
-
在OSI模型中的位置
:安全设备在OSI模型中有特定的位置。
下面通过mermaid流程图展示安全设备的放置逻辑:
graph LR
A[网络] --> B[边界路由器]
B --> C[安全设备]
C --> C1[ACL]
C --> C2[IPS]
C --> C3[IDS]
C --> C4[防火墙]
B --> D[科学数据管理区]
B --> E[企业网络]
科学数据管理区的操作安全
网络隔离
由于科学数据管理区和企业网络的流量特性和安全策略不同,它们的隔离是必要的。可以通过物理或逻辑方式进行隔离。
-
物理隔离
:两个网络连接到边界路由器的不同接口。流入校园企业网络的流量需经过防火墙和其他安全设备的检查,而流入科学数据管理区的流量仅需经过边界路由器的最少检查。
-
逻辑隔离
:使用虚拟局域网(VLAN)技术。VLAN是局域网内的逻辑子组,通过软件在交换机上创建。可以为科学数据管理区建立一个或多个VLAN来将其与校园企业网络隔离。但VLAN隔离的缺点是,连接科学数据管理区和企业网络的接口带宽需要共享,如果没有带宽分配控制机制,当DTN积极传输数据时,企业网络可能会受到影响。此外,交换机的规格需要根据科学数据管理区的需求进行调整。
以下是网络隔离的步骤总结:
1.
确定隔离方式
:根据实际情况选择物理隔离或逻辑隔离。
2.
物理隔离操作
:将科学数据管理区和企业网络连接到边界路由器的不同接口,并配置相应的安全检查规则。
3.
逻辑隔离操作
:在交换机上创建VLAN,为科学数据管理区分配VLAN,并设置不同的IP地址方案和访问安全策略。
4.
检查和优化
:检查隔离效果,根据实际流量情况优化带宽分配和交换机配置。
综上所述,科学数据管理区在监控、应用和安全方面都有其独特的特点和要求。了解这些方面的内容,有助于构建高效、安全的科学数据管理区网络环境,满足高速数据传输和处理的需求。
超级会员免费看

860

被折叠的 条评论
为什么被折叠?



