Проблемы в работе сети могут значительно снизить доступность и ухудшить качество услуг ЦОД, имеющих огромное значение для успеха деятельности его клиентов и владельцев. В данной статье рассмотрены устройства, предназначенные для подключения средств мониторинга к контролируемой сети, и сами эти средства.

Для повышения доступности и качества услуг ЦОД специалисты по ИТ все больше внимания уделяют контролю работы развернутых в нем сетевых сервисов вместо мониторинга состояния отдельных элементов его сетевой инфраструктуры. Чтобы оценивать качество работы сервисов, необходимо захватывать (в разных точках сети ЦОД) и анализировать их трафик. Захват и анализ трафика выполняются также для оптимизации работы сети, выявления угроз информационной безопасности и осуществления легального перехвата информации в рамках СОРМ.

Всю совокупность продуктов и решений, реализующих мониторинг сети ЦОД, можно разделить на ряд взаимосвязанных уровней (см. Рисунок 1).

 

Рисунок 1. Многоуровневая система сетевого мониторинга.
Рисунок 1. Многоуровневая система сетевого мониторинга.

 

Уровень доступа образуют различные ответвители, обходные и мониторинговые коммутаторы (последние с недавнего времени также называют брокерами сетевых пакетов), установленные на контролируемой сети и обеспечивающие простое и удобное подключение к ней разнообразных средств мониторинга. К последним относятся анализаторы протоколов, зонды RMON, системы обнаружения и предотвращения вторжений (IDS/IPS), средства предотвращения утечки данных (DLP), а также устройства для записи и анализа трафика. Уровни доступа и средств мониторинга предоставляют информацию о работе сети и качестве ее сервисов контролирующим и управляющим приложениям верхнего уровня (IBM Tivoli, HP OpenView и др.).

Рассмотрим возможности устройств уровня доступа, которые служат для подключения вышеперечисленных средств мониторинга к контролируемой сети.

КАК ЛУЧШЕ ПОДКЛЮЧИТЬ СРЕДСТВА МОНИТОРИНГА

Традиционно для подключения средств мониторинга широко используются порты Switched Port ANalyzer (SPAN) в коммутаторах. Однако это решение нельзя считать оптимальным. Дело в том, что коммутатор отбрасывает пакеты, когда его порт SPAN перегружен, к тому же через этот порт нельзя захватить слишком короткие и длинные пакеты, а также пакеты с ошибками CRC, поскольку коммутатор фильтрует их. Таким образом, средство мониторинга, подключенное к порту SPAN, никогда не «увидит» отброшенных в результате перегрузки и дефектных пакетов, что может помешать диагностике проблем в работе сети.

Для подачи контролируемого трафика на средства мониторинга лучше использовать специальные сетевые ответвители или мониторинговые коммутаторы, имеющие функцию такого ответвителя. В отличие от порта SPAN, сетевой ответвитель, включаемый в разрыв контролируемого канала и копирующий встречные потоки его дуплексного трафика в свои порты мониторинга (см. Рисунок 2), предназначенные для подключения средств мониторинга, дает возможность такому средству захватывать 100% пакетов, передаваемых по этому каналу, независимо от степени загрузки последнего. Поскольку каждая «половинка» дуплексного трафика выводится через свой порт мониторинга, для контроля всего трафика нужен двухпортовый анализатор.

 

Рисунок 2. Подключение анализатора протоколов к контролируемому дуплексному каналу (между двумя коммутаторами) через сетевой ответвитель.
Рисунок 2. Подключение анализатора протоколов к контролируемому дуплексному каналу (между двумя коммутаторами) через сетевой ответвитель. 

 

Сетевой ответвитель никак не влияет на работу контролируемого канала и не снижает его надежности, поскольку при сбое в подаче электропитания ответвитель для медной линии остается прозрачным для контролируемого трафика, а волоконно-оптический ответвитель вообще не требует электропитания, поскольку это пассивное устройство. Кроме того, подключенное через ответвитель средство мониторинга не нуждается в IP-адресе и, не имея его, является логически изолированным от сети, что значительно уменьшает подверженность данного средства хакерским атакам.

На рынке представлен широкий ассортимент сетевых ответвителей для медных или волоконно-оптических линий, поддерживающих различные максимальные скорости передачи данных — от 10 Мбит/с до 100 Гбит/с. Помимо обычных сетевых ответвителей, выпускаются регенерирующие ответвители, которые используются тогда, когда один и тот же трафик нужно контролировать с помощью нескольких разных средств мониторинга одновременно. От обычного ответвителя такое устройство отличается увеличенным числом портов мониторинга. Существуют и регенерирующие устройства, которые разветвляют трафик портов SPAN, давая возможность подключить к такому порту сразу несколько средств мониторинга.

Если число сетевых каналов, которые нужно контролировать, превышает число имеющихся средств мониторинга, можно использовать агрегатор каналов. Это устройство объединяет трафик, ответвляемый из нескольких контролируемых каналов, и выводит суммарный поток через свои порты мониторинга. Однако скорость этого потока может превысить пропускную способность порта средства мониторинга, что приведет к недопустимой потере пакетов. Во избежание потерь пакетов при всплесках трафика, следует выбирать модель агрегатора с достаточно большой буферной памятью.

Перегрузка средства мониторинга, оснащенного, например, гигабитным сетевым портом, может произойти и при его подключении к более быстрому сетевому каналу (с помощью ответвителя или мониторингового коммутатора). Для снижения нагрузки на средства мониторинга широко используется предварительная фильтрация ответвленного трафика, чтобы это средство получало только те данные, которые нужны ему для выполнения основных функций (например, связанных с обнаружением вторжений в сеть). Кроме того, с помощью устройства мониторингового доступа с функцией балансировки нагрузки высокоскоростной трафик можно примерно поровну разделить между несколькими одинаковыми средствами мониторинга. При этом зачастую важно, чтобы сохранялась целостность передаваемых потоков пакетов, то есть все пакеты, относящиеся к одному и тому же потоку, должны поступать на одно и то же средство мониторинга (в группе средств с балансировкой нагрузки). Многие устройства с функцией балансировки нагрузки обеспечивают такую возможность.

Фильтрация трафика и балансировка нагрузки позволяют защитить инвестиции в имеющиеся средства мониторинга при внедрении все более высокоскоростных сетевых технологий. Функции агрегации, регенерации, фильтрации трафика и балансировки нагрузки имеются в мониторинговых коммутаторах и балансировщиках нагрузки на средства мониторинга. Таким образом, если средства мониторинга приходится часто переключать с одного контролируемого канала на другой и/или нужны функции фильтрации трафика и балансировки нагрузки, следует подключать эти средства к сетевым ответвителям или SPAN-портам через мониторинговые коммутаторы и балансировщики нагрузки, а не напрямую.

Если средство мониторинга (например, IPS) необходимо включить в разрыв сетевого канала (inline), для повышения его надежности используется обходной (bypass) коммутатор. Если данное средство по какой-либо причине перестанет функционировать, обходной коммутатор обнаружит это и автоматически направит трафик в обход него, благодаря чему передача контролируемого трафика не будет прервана. Кроме того, с помощью обходного коммутатора системный администратор может в любой момент времени вручную переключить трафик в обход средства мониторинга, чтобы физически отключить его от сети, например, для проведения профилактического обслуживания. Наряду с обычными ответвителями и обходными коммутаторами, в продаже имеются интеллектуальные разновидности этих устройств, собирающие и выдающие статистику RMON и таким образом позволяющие контролировать трафик без подключения специального средства мониторинга. Поддержка RMON имеется и в мониторинговых коммутаторах.

Одним из самых заметных игроков на мировом рынке решений для систем сетевого мониторинга является компания Net Optics, которая выпускает широкий ассортимент ответвителей и обходных коммутаторов, а также мониторинговые коммутаторы семейства Director и балансировщик нагрузки xBalancer. Устройства Director коммутируют, агрегируют, регенерируют, фильтруют и равномерно распределяют подлежащий контролю трафик между подсоединенными к ним средствами мониторинга. Наиболее интеллектуальные члены этого семейства обеспечивают динамическое выравнивание нагрузки с сохранением целостности потоков и предварительную фильтрацию трафика с использованием функции глубокого анализа пакетов (DPI).

 

Рисунок 3. Пример построения системы сетевого мониторинга на базе коммутатора Director Pro компании Net Optics.
Рисунок 3. Пример построения системы сетевого мониторинга на базе коммутатора Director Pro компании Net Optics. 

 

На Рисунке 3 приведен пример построения системы мониторинга на базе коммутатора Director Pro компании Net Optics. Это устройство ответвляет трафик, передаваемый между маршрутизатором и коммутатором, которые показаны в верхней части рисунка, а также между коммутаторами, представленными в правом нижнем углу рисунка. Кроме того, в Director Pro поступает трафик из SPAN-портов трех коммутаторов, изображенных один над другим в середине рисунка. Поступивший трафик коммутатор направляет в различных комбинациях на подключенные к нему анализаторы протоколов, зонды RMON, устройство IDS и устройство записи трафика для расследования сетевых инцидентов (forensic). Кружочками разного цвета обозначен трафик разных протоколов.

По сравнению с коммутаторами Director, продукт xBalancer лучше подходит для равномерного распределения нагрузки на inline-средства мониторинга. При этом он обеспечивает сохранение целостности потоков. Для централизованного управления большим числом своих интеллектуальных продуктов, установленных на контролируемой сети, компания Net Optics предлагает платформу управления Indigo Pro.

КОНТРОЛЬ ВИРТУАЛИЗИРОВАННЫХ СРЕД

В ЦОД широко используются виртуализированные сетевые среды, которые повышают эффективность работы ИТ-систем, их гибкость и снижают расходы. Однако трафик, передаваемый между виртуальными машинами на одном и том же гипервизоре, не может быть захвачен и проанализирован с помощью обычных физических средств мониторинга. Отсутствие контроля этого трафика создает угрозу информационной безопасности и затрудняет диагностику сетевых сбоев.

Для решения данной проблемы Net Optics разработала виртуальный ответвитель Phantom Virtualization Tap — программное обеспечение, которое предназначено для контроля трафика в наиболее популярных виртуализированных средах: VMware vSphere ESX/ESXi Server 4.x/5.x, Microsoft Hyper-V 2012 8.x, Citrix Xen Server 5.6.x, Red Hat KVM 2.6.32, Oracle VM 3.0 и Parallels Cloud Server 6.0. Устанавливаемый в ядро гипервизора компонент Phantom Monitor данного решения может перехватывать весь трафик, передаваемый между виртуальными машинами через виртуальный коммутатор, интеллектуально фильтровать перехватываемые пакеты и пересылать подлежащие контролю данные виртуальным и физическим средствам мониторинга. Для подачи на физические средства мониторинга трафик выводится из виртуализированной среды в инкапсулированном виде по туннелю. Конечной точкой последнего может быть устройство Phantom HD, пересылающее трафик мониторинговому коммутатору Director (см. Рисунок 4), или другое подходящее устройство терминирования. Phantom HD — специальное высокопроизводительное устройство, предназначенное для фильтрации и предварительной обработки пакетов, захваченных в виртуализированных средах.

 

Рисунок 4. Пример построения системы мониторинга физических и виртуализированных сетевых сред.
Рисунок 4. Пример построения системы мониторинга физических и виртуализированных сетевых сред.

 

Решение Phantom Virtualization Tap не мешает работе виртуальных машин и не требует никакой модификации последних. Второй основной программный компонент данного решения — Indigo Pro for Phantom Virtualization Taps — предназначен для сбора и выдачи информации о трафике, а также для управления многочисленными виртуальными ответвителями, работающими на контролируемых хостах. Выдается статистическая информация о работе виртуализированных сред на уровнях L2 и L3 (число переданных пакетов, загрузка и др.). Конечно, для мониторинга виртуализированной среды можно выводить трафик из нее с помощью портов SPAN виртуального коммутатора, но на это тратится до половины производительности данного коммутатора. Виртуальный же ответвитель Phantom Virtualization Tap не загружает виртуальный коммутатор, и пропускная способность последнего остается неизменной.

Стоит добавить, что данное решение может быть использовано и для контроля трафика, передаваемого между виртуальными машинами, работающими на разных блейд-серверах в одном и том же шасси. Сложность контроля этого трафика заключается в том, что он передается по специальной объединительной плате в шасси и, подобно трафику внутри виртуализированной среды, также «невидим» для физических средств мониторинга.

ПОЗАБОТЬТЕСЬ О МОНИТОРИНГЕ ЗАРАНЕЕ

Рекомендуется изначально планировать реализацию уровня доступа системы мониторинга в качестве составной части будущей сети и при ее построении инсталлировать устройства для подключения средств мониторинга вместе с другим сетевым оборудованием.

При организации системы мониторинга необходимо предусмотреть возможности контроля трафика критически важных сетевых каналов на уровнях доступа, распределения и ядра сети, а также в ЦОД, где находятся серверы предприятия. Поскольку в ЦОД и в ядре сети сосредоточено множество высокоскоростных линий, там рекомендуется устанавливать многопортовые агрегаторы каналов и коммутаторы семейства Director. Использование этих устройств позволит уменьшить число средств мониторинга сети ЦОД, поскольку при наличии возможности агрегировать и коммутировать трафик из ключевых точек сети отпадает необходимость устанавливать по средству мониторинга в каждой из них. Для контроля виртуализированных сред на серверах ЦОД рекомендуем задействовать виртуальные ответвители Phantom Virtualization Tap.

В настоящее время в ЦОД все более широкое распространение получают высокоскоростные технологии, обеспечивающие скорость передачи данных до 40 или 100 Гбит/с. Использование данных технологий позволяет значительно уменьшить число линий в ЦОД и снизить стоимость обслуживания его сети, но при этом повышаются требования к надежности каждой высокоскоростной линии, поскольку ее отказ повлияет на работу большего числа пользователей и приложений. Очевидно, что в процессе эксплуатации ЦОД магистральную линию нельзя разъединить даже на несколько секунд, чтобы вставить в нее волоконно-оптический ответвитель для подачи трафика этой линии на средство мониторинга. Поэтому пассивные ответвители лучше устанавливать на магистральные линии ЦОД изначально (еще на этапе развертывания его кабельной системы). Это позволит в дальнейшем при возникновении каких-либо проблем быстро подключать нужные мониторинговые или диагностические средства к интересующим линиям без их разъединения.

РАЗНООБРАЗИЕ СРЕДСТВ МОНИТОРИНГА

Предприятия заинтересованы в полном контроле работы своих сетей, включая сети ЦОД. Для этого собирается и анализируется информация об объемах передаваемого трафика, порождающих наибольший трафик узлах, задержках в работе сети и приложений, потреблении пропускной способности сети различными приложениями и клиентами и др. Эти сведения помогают выявить те узлы, которые более всего нагружают сеть, и устранить проблемы в работе приложений. Кроме того, с помощью средств мониторинга контролируются транзакции приложений и действия пользователей на предмет выявления возможных нарушений ими должностных инструкций (например, пользователи могут передавать вовне конфиденциальные данные). Еще ИТ-специалисты заинтересованы в мониторинге качества сеансов VoIP и передачи видео, а также в получении оповещений, когда параметры функционирования сети ЦОД окажутся хуже предельно допустимых значений.

Средства мониторинга сети, осуществляющие анализ передаваемых по ней пакетов, могут быть программными или аппаратными. Аппаратные средства, в свою очередь, можно разделить на две категории. Первая — это нередко называемые пробниками решения на базе серверных или компьютерных платформ со сменяемыми специальными платами захвата пакетов, расширяемыми оперативной и дисковой памятью и предустановленным ПО анализа захваченного трафика, а вторая — это интегрированные устройства сетевого мониторинга типа plug-and-play. Ко второй категории относятся продукты Spyke и appTap компании Net Optics, которые ориентированы на предприятия малого и среднего бизнеса и потому могут быть рекомендованы для использования лишь в небольших ЦОД.

Используемые для сетевого мониторинга программные средства анализа трафика могут быть бесплатными (например, Wireshark или nTop) или коммерческими. Последние характеризуются более широким диапазоном функциональных возможностей, а кроме того, покупатели коммерческих средств могут рассчитывать на поддержку со стороны их производителей и поставщиков. Очевидно, что в ЦОД лучше использовать коммерческие средства. Рассмотрим их возможности на примере ПО OmniPeek компании WildPackets — одного из самых многофункциональных и при этом простых в использовании коммерческих приложений для анализа, мониторинга и диагностики IP-сетей любого масштаба.

ЧТО МОЖЕТ ПРОГРАММНЫЙ АНАЛИЗАТОР

ПО OmniPeek предназначено для анализа работы корпоративных сетей и сетей ЦОД. Данное приложение проводит экспертный анализ сети, в ходе которого диагностирует проблемы в «диалогах» между парами сетевых узлов, и тем самым позволяет быстро определить, в работе каких элементов сети возникли неполадки. Администраторы могут получать оповещения при возникновении конкретных сетевых событий или когда нарушаются сконфигурированные правила сетевой политики.

Наряду с анализом и диагностикой сетевой инфраструктуры, OmniPeek обеспечивает контроль мультимедийного трафика, что позволяет отказаться от использования нескольких разных специализированных анализаторов. Пользователи этого приложения могут просматривать информацию о качестве передачи голоса и/или видео для любого транслируемого медиапотока. В OmniPeek также имеются возможности анализа сигнализации для передачи голоса и видео. В случае плохой работы сети этот продукт поможет инженерам выявить причины проблемы.

OmniPeek дает возможность контролировать время отклика приложений, круговую (round-trip) задержку передачи пакетов, быстроту реагирования серверов, скорость выполнения транзакций с базами данных и множество других низкоуровневых параметров. Для каждого контролируемого приложения это ПО выдает расчетную оценку Application Performance Index (Apdex Score), которая характеризует степень удовлетворенности пользователей работой данного приложения (см. Рисунок 5). Увидев плохую оценку Apdex Score, для определения ее причин инженер может проанализировать конкретный сетевой трафик, который использовался для вычисления этой оценки.

 

Рисунок 5. Информация о работе приложений, выдаваемая ПО OmniPeek.
Рисунок 5. Информация о работе приложений, выдаваемая ПО OmniPeek.

 

С помощью OmniPeek сетевые инженеры могут захватывать и сохранять сетевой трафик, а затем осуществлять его ретроспективный анализ с целью расследования сетевых инцидентов, диагностики проблем в работе сети, контроля соблюдения правил системной политики и др. Среди других важных функций данного пакета можно отметить анализ сетей MPLS и VLAN.

Наряду с ПО OmniPeek, компания WildPackets выпускает ПО для сетевых пробников OmniEngine, которое реализует ту же самую (что и в OmniPeek) технологию анализа сетей. OmniEngine функционирует как сервис на выделенных Windows-серверах или на сетевых записывающих устройствах Omnipliance и TimeLine компании WildPackets.

ВОЗМОЖНОСТИ ПЛАТ ЗАХВАТА ПАКЕТОВ

Прежде чем подробно говорить о применяемых в ЦОД пробниках на базе серверных платформ, стоит рассмотреть возможности используемых в них специальных плат захвата пакетов. Перефразируя известный афоризм «Театр начинается с вешалки», можно сказать, что пробник (на базе компьютерной или серверной платформы) начинается с такого рода платы. Это один из ключевых элементов пробника, от которого во многом зависит эффективность его работы.

В качестве примера рассмотрим возможности плат захвата пакетов DAG, выпускаемых подразделением Endace корпорации Emulex. В отличие от обычных сетевых адаптеров, платы DAG способны захватывать (в оперативную память хост-машины) абсолютно весь подаваемый на них трафик (потери пакетов практически исключены) на полной скорости сетевых каналов, создавая при этом минимальную нагрузку на центральные процессоры хост-машины, что позволяет задействовать почти всю их мощность для анализа захваченных данных и тем самым значительно ускорить его. Полный захват трафика дает возможность сетевому администратору выявлять все тревожные системные события и своевременно предпринимать необходимые корректирующие меры.

Рисунок 6. Сравнение функционирования плат DAG и обычных сетевых плат Gigabit Ethernet.
Рисунок 6. Сравнение функционирования плат DAG и обычных сетевых плат Gigabit Ethernet.
Рисунок 6. Сравнение функционирования плат DAG и обычных сетевых плат Gigabit Ethernet.

 

На Рисунке 6 представлены графики, позволяющие сравнить функционирование обычных гигабитных сетевых плат и плат DAG. На первом графике показана зависимость скорости захвата пакетов от скорости их подачи на плату (в тысячах пакетов в секунду). Как видно, у плат DAG она линейная, то есть захватываются абсолютно все пакеты, поступающие на порт платы. Обычные же сетевые платы при повышении нагрузки сначала работают нормально, а потом, достигнув максимальной для себя скорости захвата, начинают отбрасывать множество пакетов. На втором графике представлена зависимость доступных пользователю ресурсов процессора хост-машины от интенсивности захватываемого трафика. При использовании плат DAG загрузка процессора невелика (всегда меньше 10%), и она почти не растет. В случае же применения обычных сетевых плат, напротив, загрузка быстро достигает 100%.

В чем же секрет такого функционирования плат DAG и других подобных продуктов? В отсутствии прерываний работы процессора за счет реализации нуль-копирования (zero-copy) на базе технологии прямого доступа к памяти (DMA). Напомним, что термин «нуль-копирование» обозначает компьютерные операции копирования данных из одной области памяти в другую, выполняемые без участия центрального процессора. На Рисунке 7 сопоставлены маршруты передачи данных при использовании обычной сетевой платы (NIC) и платы DAG.

 

Рисунок 7. Маршруты передачи данных при использовании обычного сетевого адаптера (а) и платы DAG (б).
Рисунок 7. Маршруты передачи данных при использовании обычного сетевого адаптера (а) и платы DAG (б).

 

В первом случае данные сначала попадают в область ввода-вывода (для этого выполняется прерывание, сгенерированное NIC) и только затем — в область пользователя (для чего прерывание генерирует контроллер-концентратор памяти), где они становятся доступными приложению. Очевидно, что второй маршрут гораздо «короче», и в нем отсутствуют узкие места, которые могут стать причиной потери пакетов.

Кроме того, обычные сетевые платы не приспособлены для точной записи времени приема пакетов, тогда как в платах DAG аппаратно реализована возможность прикрепления к пакетам ярлыков с довольно точной (до наносекунд) информацией о времени их (пакетов) приема. Это необходимо для точного определения времени задержки передачи пакетов, а также для реалистичного воспроизведения записанного трафика с целью реконструкции каких-либо сетевых событий.

В платах DAG имеются и другие полезные аппаратно реализованные функции, включая фильтрацию захватываемого трафика (позволяет отбрасывать ненужный трафик для снижения нагрузки на анализатор), равномерное распределение нагрузки по ядрам многоядерного процессора (и соответственно, по приложениям, которые исполняются этими ядрами) с сохранением целостности потоков пакетов и их дупликацию. Дупликация используется, когда над одними и теми же пакетами должны совершаться разные операции, — например, пакеты должны записываться на диск и одновременно передаваться приложению для анализа трафика. С помощью плат DAG можно захватывать или пакеты целиком, или только их заголовки, или фрагменты определенной длины. Вместе со своим ПО плата DAG составляет многофункциональное аппаратно-программное решение для сетевого мониторинга.

ПРОБНИКИ НА БАЗЕ СЕРВЕРНЫХ ПЛАТФОРМ

Для захвата и анализа трафика в ЦОД и ядре сети используются пробники на базе мощных серверных платформ с высокоскоростными платами захвата пакетов и быстродействующими дисковыми подсистемами RAID. Платы захвата пакетов в пробнике должны иметь порты с пропускной способностью, соответствующей таковой у контролируемых каналов ЦОД. Вычислительной мощности пробника должно хватать для анализа в реальном масштабе времени требуемого числа высокоскоростных потоков трафика одновременно, а его дисковая подсистема должна обеспечивать достаточно высокую скорость записи захватываемого трафика, чтобы при этом не терялись пакеты. Кроме того, учитывая большое разнообразие развернутых в ЦОД сервисов и приложений, пробник как минимум должен иметь многофункциональное ПО, способное контролировать работу различных сервисов и приложений в реальном масштабе времени и анализировать записанные на диски данные, а еще лучше — допускать установку дополнительных пользовательских приложений, например предназначенных для обеспечения информационной безопасности или контроля работы определенных приложений.

 

Рисунок 8. Высокопроизводительный пробник EndaceProbe 7000.
Рисунок 8. Высокопроизводитель-ный пробник EndaceProbe 7000.

Примером продукта такого рода для использования в ЦОД является интеллектуальное устройство записи сетевого трафика EndaceProbe 7000 подразделения Endace корпорации Emulex (см. Рисунок 8). Это самая высокопроизводительная модель в семействе пробников EndaceProbe, способная, как и другие модели этого семейства, анализировать передаваемый по сети трафик в реальном масштабе времени и осуществлять ретроспективный анализ записанного на собственные диски трафика. Данная модель, реализованная на базе серверного шасси высотой 3U, может иметь до 10 портов мониторинга 10 GbE или до 20 гигабитных портов мониторинга на платах DAG, гарантирующих отсутствие потерь пакетов, и внутренний дисковый массив общей емкостью до 64 Тбайт (16 дисков по 4 Тбайт).

Как показали испытания, проведенные инженерами службы Professional Services компании Ixia, устройство EndaceProbe 7000, оснащенное двухпортовой 10-гигабитной платой DAG и массивом дисков SAS в конфигурации RAID 50, способно записывать характерную для корпоративных сетей комбинацию трафика различных приложений на скорости до 13,5 Гбит/с. При других видах трафика скорость записи доходила до 14,1 Гбит/с. В процессе тестирования для генерации реалистичного тестового трафика с имитацией поведения пользователей в сети применялось оборудование BreakingPoint Storm той же компании.

Стоит отметить, что пробник EndaceProbe 7000 можно оснастить двухпортовым адаптером Fibre Channel для записи захватываемого трафика на внешние дисковые массивы. Данный пробник обрабатывает эти записанные данные так же, как свои локальные. Кроме того, для повышения скорости обработки трафика и емкости хранения может быть реализован своего рода стек из последовательно соединенных устройств EndaceProbe 7000 с равномерным распределением нагрузки между ними. Поскольку устройства EndaceProbe поддерживают централизованное управление с единой консоли, есть возможность создать распределенную систему записи сетевого трафика для контроля работы крупномасштабной сети.

Пробники EndaceProbe работают с базовым Web-приложением EndaceVision, которое может визуализировать захваченный трафик и в реальном масштабе времени отображать информацию о потреблении пропускной способности сети, что помогает сетевым инженерам определять изменения в работе сети, чреватые возникновением проблем. Наряду с EndaceVision каждый пробник поддерживает виртуализированную среду для хостинга приложений Endace Application Dock, которая предназначена для запуска на пробнике дополнительных программных средств других компаний, разработанных самими пользователями приложений и ПО с открытым исходным кодом. Например, на базе пробника EndaceProbe можно реализовать систему обнаружения вторжений, оснастив его ПО Snort. Наличие Endace Application Dock позволяет организациям задействовать на своих пробниках именно те приложения для сетевого мониторинга, которые соответствуют специфическим требованиям этих организаций.

Решения на базе пробников EndaceProbe стоят дешевле многих других конкурирующих решений, способных анализировать и записывать большие объемы сетевого трафика. В одном из проектов в России был задействован пробник модели EndaceProbe 7000 с восемью 10-гигабитными портами мониторинга «на борту», и он успешно справлялся с анализом всех потоков данных, принимаемых этими интерфейсами, при сборе статистической информации о работе сети.

 

Рисунок 9. Быстродействующее устройство TimeLine с богатым функционалом сетевого анализа.
Рисунок 9. Быстродействующее устройство TimeLine с богатым функционалом сетевого анализа.

Для записи и анализа трафика в крупных ЦОД хорошо подходят также устройства TimeLine (см. Рисунок 9) и Omnipliance Core компании WildPackets. Они оснащены ПО сетевого анализа OmniEngine Enterprise, реализующим богатый функционал программного анализатора OmniPeek, но возможность устанавливать на них дополнительные приложения не предусмотрена. Продукт TimeLine может записывать трафик, не теряя пакетов, со скоростью более 12 Гбит/с.

МОНИТОРИНГ КАНАЛОВ 40G И 100G

 

Рисунок 10. Головная система сетевого контроля EndaceAccess 100.
Рисунок 10. Головная система сетевого контроля EndaceAccess 100.

С распространением в ЦОД 40- и 100-гигабитных каналов возникла непростая задача контроля передаваемого по ним трафика. В качестве решения этой задачи специалисты Endace разработали головные системы сетевого контроля EndaceAccess 40 и EndaceAccess 100 (см. Рисунок 10), предназначенные для мониторинга 40- и 100-гигабитных каналов соответственно. Суть работы этих продуктов, относящихся к уровню доступа системы мониторинга, заключается в разделении двух входных 40- или 100-гигабитных потоков (контролируемого дуплексного канала) на многочисленные более медленные выходные потоки, которые уже можно подавать на обычные пробники. Поскольку в этих системах реализована та же самая технология захвата трафика, что и в платах DAG, они работают без потерь пакетов.

Продукт EndaceAccess 40 представляет собой компактное (высотой 1U) устройство с двумя входными портами 40G и 12 выходными портами 10G (по шесть на каждый входной порт).

А система EndaceAccess 100 состоит из двух блоков (высотой 1U), в каждом из которых имеется входной порт 100G и 12 выходных портов 10G. Данные продукты совместимы с любыми средствами мониторинга.

Система EndaceAccess реализует фирменный интеллектуальный алгоритм балансировки нагрузки, с помощью которого контролируемый трафик распределяется по выходным портам 10G (предназначенным для подключения внешних средств мониторинга) с сохранением целостности потоков пакетов. Важным достоинствам этого алгоритма является возможность ограничения скорости передачи трафика средству мониторинга, чтобы не допустить его перегрузки. На Рисунке 11 представлен типичный вариант использования системы EndaceAccess 100 с равномерным распределением трафика по однотипным 10-гигабитным средствам мониторинга. К контролируемому каналу устройство EndaceAccess подключают посредством пассивного ответвителя.

 

Рисунок 11. Использование системы EndaceAccess 100 для равномерного распределения трафика по однотипным 10-гигабитным устройствам мониторинга.
Рисунок 11. Использование системы EndaceAccess 100 для равномерного распределения трафика по однотипным 10-гигабитным устройствам мониторинга.

 

Недавно Emulex анонсировала результаты тестирования мониторингового решения, состоящего из системы EndaceAccess 100 и подсоединенных к ней интеллектуальных сетевых записывающих устройств EndaceProbe. Эти результаты подтверждают способность данного решения записывать трафик в канале 100 GbE на его полной линейной скорости без потерь пакетов. Тестирование проводилось в партнерстве с компанией Ixia с использованием шасси Ixia XM2 с нагрузочными модулями 100 GbE и 10 GbE.

Запись сетевого трафика имеет большое значение для эффективной диагностики сетевых проблем и расследования сетевых инцидентов. Обеспечиваемая протестированным решением возможность полностью записывать 100-гигабитный трафик является важным техническим достижением, способствующим распространению технологии 100 GbE.

Алексей Засецкий — директор по развитию бизнеса компании Syrus Systems. Владимир Шельгов — научный редактор компании Syrus Systems. С ними можно связаться по адресам: it@syrus.ru, shelgov@syrus.ru.