Выбор правильной стратегии сетевого анализа зависит от многих факторов. Прежде всего от того, какие технологии будут использоваться, к примеру, SNMP, RMON, Netflow или анализ пакетов. Очень важно не ошибиться с точками измерения и способом подключения анализатора, а также с выбором в пользу реактивного или проактивного анализа. Идея так называемого ретроспективного анализа представляет собой новый подход: система постоянно записывает значения всех важных параметров и следит за тем, чтобы в случае отказа восстановлению подлежали все данные без изъятия. При периодически возникающих проблемах такой подход поможет пользователю сэкономить немало времени.

При выборе системы измерений и анализа необходимо выяснить, какие из перечисленных технологий поддерживаются, и на основании этого понять, в каких областях и при решении каких проблем указанные системы смогут быть полезными. Причем отдельные подходы отнюдь не являются взаимоисключающими — скорее наоборот, они дополняют друг друга и должны использоваться параллельно. Сетевой анализатор Observer компании Network Instruments — пример того, как производители объединяют множество функций в одном устройстве. Благодаря автоматизированной экспертной системе, упрощающей оценку и анализ, он поддерживает SNMP, RMON, Netflow/Sflow и анализ пакетов.

ПРЕДВАРИТЕЛЬНЫЙ ПОИСК ОШИБОК С ПОМОЩЬЮ КОММУТАТОРОВ И МАРШРУТИЗАТОРОВ

Путем удаленного опроса коммутатора или маршрутизатора при помощи протокола SNMP анализатор извлекает значения важных сетевых параметров, таких, как нагрузка, данные о широковещательных рассылках или сообщения об ошибках на втором уровне модели взаимодействия открытых систем (Open Systems Interconnect, OSI) — например, о слишком длинных или коротких пакетах, а также о коллизиях.

Консоль управления SNMP, собирающая данную статистику, предоставляет возможность быстрого обзора узких мест в сети, сведений об уровне и потоках широковещательного трафика, неисправных сетевых картах или интерфейсах, а также данных о проблемах с автоматическим согласованием в сети. Речь идет только об основных параметрах сети. Администратор без труда может получить их от имеющейся инфраструктуры на центральном пункте, поэтому наличие подобной наглядной консоли SNMP и RMON для целей анализа обязательно.

При обнаружении узких мест в сети появляется резонный вопрос о причинах их возникновения. Какие пользователи и приложения вызвали их появление? Ответ помогут найти новые технологии — Netflow и Sflow. Они позволяют собрать подробную информацию с помощью зонда анализатора непосредственно от коммутаторов или маршрутизаторов. Другого дополнительного аппаратного обеспечения не требуется, что позволяет еще эффективнее использовать имеющуюся инфраструктуру.

ДЕТАЛЬНЫЙ АНАЛИЗ ПАКЕТОВ

Во многих других вопросах, в том числе в случае инфраструктур, не поддерживающих технологии Netflow/Sflow, окажется полезным подключение анализатора непосредственно к проверяемому соединению или к соответствующему коммутатору. При этом коммутатор копирует необходимые данные на порт, к которому подключен анализатор. Поскольку подробный анализ с помощью специального устройства довольно дорог, необходима продуманная концепция, где учитывались бы размещение и количество точек измерения и типы их подключения. Анализатор, подключенный непосредственно к потоку данных, в состоянии оценивать данные, относящиеся к уровням со второго по седьмой модели OSI, и потому подходит для решения самых разных задач, включая анализ подозрительных случаев, протоколов, времени задержки, приложений и их производительности, а также — с недавнего времени — исследование качества передачи голоса по IP (Voice over IP, VoIP).

РЕАКТИВНЫЕ МЕТОДЫ ЗАЧАСТУЮ ТЕРПЯТ НЕУДАЧУ

Весьма популярный до сих пор реактивный подход, когда реакция на ошибки в сети происходит с помощью портативных измерительных средств, причем, исключительно после того, как проблема уже возникла, на практике зачастую терпит неудачу. Конечно, велика роль фактора времени — его вечно не хватает персоналу, численность которого сокращена до минимума из соображений экономии, но главная причина кроется в недостатке знаний и умений, невозможности охватить и понять глобальные процессы, происходящие в сети.

Нередко система анализа и мониторинга поддерживает упреждающий способ работы и тем самым содействует пониманию внутренних сетевых процессов. В современных сетях многие приложения централизованы. Поэтому количество точек измерения можно ограничить несколькими важными соединениями без потери контроля над происходящим. Основное внимание должно быть направлено на важные соединения между серверами, центральной магистралью и маршрутизаторами. Здесь сходятся данные всего предприятия, так что администратор может распознавать самые различные нарушения и отреагировать на них еще до того, как они разовьются в настоящие проблемы. Экспертная система постоянно ведет мониторинг ошибок в сети и исследует потоки данных в поисках аномалий. Портативные измерительные средства пригодятся и в других ситуациях, однако они действительно необходимы лишь там, где невозможно провести исследование с помощью централизованной системы. Если портативные и распределенные измерительные средства принадлежат одному производителю, то наличие одинакового пользовательского интерфейса и привычного принципа работы позволит гораздо быстрее и надежнее решить проблемы и заметно сократить время обучения.

ЗЕРКАЛИРОВАНИЕ ПОРТА ИЛИ TAP?

Очень важно выяснить, каким образом анализатор подключается к наблюдаемому соединению — путем зеркалирования коммутируемого порта (Switched Port ANalyzer, SPAN) или за счет подключения к соединению порта доступа для целей тестирования (Test Access Port, TAP). Инструмент для анализа имеет несколько входов, поддерживающих соединения с балансировкой нагрузки, с помощью которой поток данных разделяется между несколькими физическими соединениями.

Рисунок 1. Зеркалирование порта на гигабитном соединении.
Зеркалирование портов — самый простой метод, его поддерживают почти все коммутаторы. Данные контролируемого соединения копируются на порт, к которому подключен анализатор — в противном случае анализатор не смог бы распознать ничего, кроме широковещательной и многоадресной передачи. Однако зеркалирование портов может быстро исчерпать свой потенциал. Во-первых, коммутатор отфильтровывает все пакеты с ошибками, прежде чем передать их анализатору, поэтому на втором уровне OSI анализатор уже не обнаруживает никаких ошибок. Во-вторых, этот метод не подходит для полнодуплексных соединений с высокой нагрузкой: начиная с 50-процентной нагрузки на канал со скоростью передачи 1000 Мбит/с в случае Gigabit Ethernet и 10 000 Мбит/с в случае 10 Gigabit Ethernet неизбежны потери пакетов, что приводит к фальсификации результатов измерений (см. Рисунок 1).

ТРЕБОВАНИЯ ПОЛНОДУПЛЕКСНОГО РЕЖИМА

Дело в том, что каналы передачи и приема между коммутатором и анализатором направляются в одно соединение. Кроме того, при зеркалировании портов временная информация фальсифицируется, поскольку в полнодуплексном режиме пакеты поступают сразу с обеих сторон, а те, что накладываются друг на друга, необходимо сохранять в буфере и упорядочивать до того, как система передаст их дальше. В то же время этот метод анализа сокращает объем инвестиций, поскольку недорогого полудуплексного аппаратного обеспечения или программных средств проверки оказывается вполне достаточно.

Если администратору нужен более точный анализ или соединение слишком загружено, он будет использовать порт доступа к средствам тестирования (TAP). Такие пассивные сетевые компоненты «врезаются» в соединение, т. е. обладают входом и выходом для сетевого соединения и двумя выходами к анализатору. Благодаря наличию этой постоянной точки измерений анализатор можно подключить в любое время, не оказывая влияния на соединение. На оба выхода, предназначенных для целей анализа, канал приема и канал передачи копируются один к одному без задержки пакетов.

ТАР: ВОПРОС ПОРТОВ

Пакеты с ошибками система тоже передает дальше для анализа. Поскольку ТАР обладает двумя выходами к анализатору, последнему необходимы два входа. Стандартная полнодуплексная сетевая карта может получать до 50% пакетов (1000 Мбит/с в случае Gigabit Ethernet и 10 000 Мбит/с в случае 10 Gigabit Ethernet) и отправлять 50%.

По этой причине полнодуплексная версия анализатора оснащается не обычной полнодуплексной картой, а специальной картой обеспечения «двойного приема» (Dual Receive), имеющей не менее двух портов (а также несколько портов для соединений с балансировкой нагрузки). С ее помощью можно получать и анализировать всю пропускную способность, т. е. 2000 Мбит/с или, соответственно, 20 000 Мбит/с.

Если пользователь из соображений экономии не планирует применять аппаратный анализатор на всех критически важных соединениях, то рекомендуется хотя бы снабдить эти соединения портом ТАР, чтобы при возникновении проблемы подключить анализатор, не разрывая соединение.

Рисунок 2. Выбор точек измерения при помощи сетевого ТАР.
Интересную альтернативу предлагает агрегатор ТАР, который по аналогии с зеркалированием портов воспринимает полнодуплексный поток данных и переводит его на единственный выходной порт. При пиковых нагрузках передаваемые данные сохраняются во внутреннем промежуточном буфере, ошибки второго уровня также передаются анализатору. Если коммутатор не занят решением дополнительных задач, к примеру, зеркалированием портов, агрегатор TAP будет надежной альтернативой (см. Рисунок 2).

РЕТРОСПЕКТИВНЫЙ АНАЛИЗ

В последнее время все более и более популярной становится новая концепция сетевого анализа, известная как «ретроспективный анализ». Используемые до сих пор распределенные системы позволяют действовать упреждающе и выявлять проблемы при помощи экспертных систем. Однако практика показывает, что очень полезным может оказаться использование возможностей более быстрого реагирования: поскольку в большинстве случаев техник приступает к детальному поиску причин неполадки лишь по прошествии определенного времени после ее возникновения или же пользователь сообщает о проблеме через несколько минут, а то и часов, когда весь поток данных уже недоступен.

Впрочем, такой подход имеет смысл далеко не всегда: зачастую весьма эффективными оказываются решения, позволяющие записывать сетевые данные критически важных соединений Gigabit Ethernet или 10 Gigabit Ethernet на протяжении нескольких часов, суток или даже недель, а в случае необходимости анализировать их с помощью систем извлечения данных с навигацией по времени.

ДОРОГОСТОЯЩЕЕ ВОСПРОИЗВЕДЕНИЕ ОТПАДАЕТ

Примером такого продукта является GigaStor компании Network Instruments. Он нацелен на существенное ускорение решения проблем, поскольку их дорогостоящее воспроизведение не требуется. Решающее значение имеет тот факт, что важные сетевые параметры в выбранном временном интервале можно установить без предварительной загрузки нескольких гигабайт сохраненных данных. Протокольный анализ очень больших объемов данных требует слишком много времени, и потому, как правило, его стремятся избежать. На первый план выходит соответствие практике. Если, к примеру, рассерженный пользователь жалуется на медленный доступ к базе данных или на разрыв соединения именно между 9 и 10 ч, администратор может быстро выяснить, что происходило в указанное время, и затем в течение нескольких секунд отобрать лишь необходимые для детального анализа данные (см. Рисунок 3).

Рисунок 3. Пользовательский интерфейс с навигацией во времени для долгосрочного анализа.
ЗАКЛЮЧЕНИЕ: НУЖЕН ОБЗОР ВАЖНЕЙШИХ МЕСТ В СЕТИ

По мере распространения приложений реального времени, в частности, VoIP, сетевой анализ занимает новое положение в условиях современной инфраструктуры ИТ. Если в прошлом было достаточно зеркалирования портов, то сегодня, к примеру, для анализа времени реакции приложения требуется проведение измерений в реальном времени и непосредственно в канале. Подходящая система анализа помимо приемлемых издержек предлагает максимально широкий обзор важнейших мест в сети и необходимую масштабируемость в будущем.

Алеш Малер — региональный менеджер по продажам компании Network Instruments в Центральной и Восточной Европе.
Давид Эзер — менеджер по продажам компании Psiber Data.

© AWi Verlag