Специалисты отделов ИТ подвергаются все возрастающему давлению — ведь они вынуждены непрерывно работать над повышением производительности и надежности корпоративных сетей. Мониторинг корпоративной сети призван обеспечить требуемую надежность, соблюдение юридических предписаний и достаточную производительность. При этом предполагается, что необходимые данные найдут путь к нужному инструменту контроля, чтобы, если понадобится, подвергнуться там анализу. При этом так называемые коммутаторы для мониторинга сети могут служить производительными централизованными коммутационными узлами.

Добиваясь большей результативности мониторинга, ИТ-специалисты используют целый ряд технологий для превентивного контроля своих сетей и приложений. В число инструментов, позволяющих получить более подробное представление о состоянии сетей и возникающих в них проблемах, входят инструменты для мониторинга производительности сетей и приложений, системы для распознавания или предотвращения попыток вторжения, контроль VoIP, средства для записи данных, а также традиционные программы для анализа сетевых каналов. Однако всем этим полезным инструментам требуется доступ к данным о сети.

Зеркальные порты (Switched Port Analyzer, SPAN) сетевых устройств и порты для тестового доступа (Test Access Point, ТАР) выступают в качестве точек доступа к данным в сети и предоставляют аналитическим инструментам необходимую информацию. Но, поскольку количество таких точек ограниченно, подключить большое количество мониторинговых инструментов невозможно. Решить эту проблему позволяет сравнительно новый подход под названием «коммутатор для мониторинга сети» (Network Monitoring Switch).

Такой коммутатор подключается между портами SPAN или точками TAP и используемыми контрольными инструментами. Эта технология помогает сетевым администраторам получать данные от портов SPAN и TAP и предоставлять соответствующим инструментам для мониторинга копию этих сетевых данных. На Рисунке 1 показано расположение подобного коммутатора в стандартной сети. Однако эти устройства предназначены не только для тиражирования данных, они обеспечивают надежность и прозрачность функционирования современных ЦОД, соответствие нормативам и предписаниям.

Рисунок 1. Коммутатор для мониторинга сети размещается между портами TAP или SPAN и инструментом мониторинга.
Рисунок 1. Коммутатор для мониторинга сети размещается между портами TAP или SPAN и инструментом мониторинга.

 

КОММУТАТОР ДЛЯ МОНИТОРИНГА В КАЧЕСТВЕ МУЛЬТИПЛИКАТОРА

Самый простой способ получения данных для анализа — прямое подключение инструментов мониторинга к сетевым портам SPAN и TAP, однако этот метод имеет ряд недостатков. Прежде всего количество портов TAP и SPAN, как правило, недостаточно для подключения всех инструментов, используемых сотрудниками ИТ-отдела для контроля сети.

Современные сетевые архитектуры предоставляют несколько путей для доставки информации по сети. В результате надежность сети повышается, но эффективный мониторинг затрудняется. С одной стороны, такая избыточная сетевая архитектура гарантирует, что данные будут доставлены адресату даже в случае отказа одного или нескольких каналов, а с другой — в результате этой избыточности данные, пересылаемые между двумя устройствами, могут использовать разные пути, а значит, некоторые из них не будут обработаны инструментами мониторинга. Последние зачастую обеспечивают высокую точность анализа, только если им доступны все данные сеанса, поэтому в случае отсутствия некоторых из них повышается вероятность получения неточных результатов.

Коммутатор для мониторинга сети позволяет решить эту проблему. С его помощью сотрудники ИТ-отдела смогут быстро и легко подключать TAP и порты SPAN к инструментам мониторинга и настраивать их посредством дружественного пользовательского интерфейса. Таким образом, они получают доступ ко всем данным из различных сегментов сети и подробную информацию о трафике данных в сети. Вдобавок инструменты мониторинга могут запрашивать копии данных из одного или нескольких сетевых сегментов, так что с одними и теми же данными смогут работать сразу несколько инструментов.

Таким образом, коммутаторы для мониторинга сети обеспечивают более полную картину процессов, происходящих в сети, поскольку решают проблему недостаточного количества TAP и портов SPAN. Но они расширяют и сами возможности мониторинга, поскольку упрощают путь к увеличению пропускной способности сети, улучшают качество работы инструментов контроля, защищают доступ к сетевым данным и повышают производительность ИТ на предприятии.

ПОВЫШЕНИЕ ПРОПУСКНОЙ СПОСОБНОСТИ

При увеличении потребности в пропускной способности сети ее повышение до 10 или 40 Гбит/с является трудоемкой задачей. Это не просто дорого — затраты становятся весьма внушительными, если одновременно приходится приобретать и новые инструменты для мониторинга. Раньше у сетевых администраторов просто не оставалось другого выхода — вместе с сетью нужно было обновлять и соответствующие средства контроля. Коммутатор для мониторинга сети оставляет администраторам свободу выбора, ведь с его помощью даже более медленные и несовершенные инструменты мониторинга получат необходимые данные от обновленных высокоскоростных сегментов ядра сети. Благодаря этому можно использовать для наблюдения за магистральными сетями уже имеющиеся инструменты, что позволяет защитить инвестиции в эти решения.

В модернизированных высокоскоростных сетях коммутатор для мониторинга замедляет скорость сетевых данных в соответствии с возможностями существующих средств контроля. Правда, из-за разницы между пропускной способностью обновленной сети и инструмента мониторинга возможно «затопление» последнего большим потоком данных, в результате чего часть пакетов будет утрачена. Поэтому коммутатор для мониторинга сети предоставляет функцию фильтрации сетевых пакетов и регулирования объема данных в соответствии с возможностью их обработки устройством контроля (см. врезку «Фильтры пакетов»).

 

Фильтры пакетов

Распознавание нужных и удаление невостребованных пакетов требуют значительных затрат вычислительных ресурсов. Если фильтрацией этих данных займется коммутатор для мониторинга сети, то инструмент контроля сможет успешнее выполнять другие функции, причем, возможно, с большим экономическим эффектом.

Как правило, процесс фильтрации посредством коммутатора для мониторинга сети делится на три этапа (см. Рисунок A). Первичная проверка осуществляется на порту, к которому подключена сеть (сетевой порт). На втором этапе коммутатор запускает высокопроизводительный и независимый от портов процесс, при котором фильтруются данные, передаваемые между сетевым портом и портом, к которому подключен инструмент мониторинга. Третий этап реализуется на этом инструментальном порту (Tool Port). Трехэтапный процесс фильтрации важен тем, что фильтрация сетевых портов позволяет предотвратить попадание общего трафика на инструментальные порты, а значит, он не будет создавать дополнительную нагрузку при проведении анализа.

Рисунок A. Пример процесса трехэтапной фильтрации, осуществляемой коммутатором для мониторинга сети, установленным между точками доступа к сети и инструментами мониторинга.
Рисунок A. Пример процесса трехэтапной фильтрации, осуществляемой коммутатором для мониторинга сети, установленным между точками доступа к сети и инструментами мониторинга.

 

В качестве альтернативного подхода выступает фильтрация на инструментальном порту, однако такой подход создает две проблемы. Во-первых, в этом случае по-прежнему сохраняется вероятность «затопления» инструментального порта потоком данных, поступающих от сетевых портов. Во-вторых, возможно сложное взаимодействие между сетевыми и инструментальными фильтрами, которое тяжело отследить даже администратору. А фильтр без привязки к портам, напротив, отлично подходит для фильтрации массовых данных, поскольку при этом удается четко отследить взаимосвязи и процессы на основе отдельных настроек фильтрации.

 

Эта функция не только решает проблему разницы в скоростях, но и удаляет из потока данных ненужные пакеты, так что инструмент мониторинга получает только те данные, которые ему необходимы для анализа. В результате исключается обработка избыточной информации, занимающая на это ресурсы процессора и памяти. Таким образом, при переходе к новым, более быстрым сетям коммутатор не только продлевает жизненный цикл имеющегося оборудования для мониторинга сети, но и увеличивает его производительность. Помимо этого, некоторые модели коммутаторов для мониторинга предлагают ряд функций, позволяющих разгрузить процессы обработки данных в контрольных инструментах, требующие больших затрат вычислительных ресурсов. К числу таких функций относятся фильтрация пакетов, выравнивание нагрузок, дедупликация пакетов (см. врезку «Дедупликация пакетов»), удаление из пакетов лишней информации (Packet Trimming) и извлечение исходных пакетов из кадров MPLS (MPLS Stripping).

 

Дедупликация пакетов

Удаление повторяющихся пакетов из трафика, так называемая дедупликация данных, тоже может быть вынесена на коммутатор для мониторинга сети. Двойные пакеты часто появляются вследствие использования портов SPAN. Лишь немногие инструменты мониторинга способны выполнять удаление повторяющихся пакетов. Кроме того, этот процесс чрезвычайно ресурсоемок. В результате передачи задач по дедупликации данных коммутатору для мониторинга сети нагрузка на процессор инструмента контроля может снизиться вдвое.

Еще один важный эффект такого переноса — разгрузка порта Ethernet на инструменте мониторинга, поэтому последний в результате получает больше полезных данных. В экстремальных случаях повышение эффективности использования пропускной способности может увеличить количество доставляемых полезных пакетов более чем в два раза, что значительно повысит производительность инструмента мониторинга.

 

ЗАЩИТА СЕТЕВЫХ ДАННЫХ

Для ИТ-специалистов вопросы безопасности всегда очень важны. С одной стороны, им необходимо предотвратить попадание данных в руки посторонних лиц, а с другой — позаботиться о том, чтобы уполномоченные на это люди или специализированные средства получали всю необходимую им информацию. Поэтому коммутаторы для мониторинга сети поддерживают интеграцию в системы защиты сети (к примеру, TACACS+), а администратор может указать, каким пользователям и пользовательским группам разрешен доступ к сетевым данным. Детализированный контроль доступа позволяет настроить для них правила и определить разрешенные действия — к примеру, права на изменение параметров портов, соединений для передачи данных или настроек фильтров. В соответствии с лучшими практиками (Best Practices) в области безопасности, после настройки контроля доступа на коммутаторах мониторинга сети все совершаемые изменения следует запротоколировать на сервере Syslog. Это позволит отследить, кто и когда совершал те или иные изменения.

Управление настройками мониторинга сети, соединениями и параметрами фильтрации может представлять собой сложную задачу, поэтому ключевая роль отводится администрированию конфигурации инструмента мониторинга. В зависимости от модели коммутатора, существуют различные возможности управления настройками. Некоторые коммутаторы используют для настройки параметров сетевого трафика исключительно коды интерфейса командной строки (Command Line Interface, CLI), у других встречается комбинация из пользовательского интерфейса и кода CLI, у третьих — интерфейс Drag-and-Drop. Инструменты, предлагающие управление по принципу Drag-and-Drop, настраиваются легче, чем остальные, поскольку в этом случае специалистам из ИТ-отдела не нужно досконально разбираться в отдельных командных языках. Наличие интуитивно понятного интерфейса позволяет им сконцентрироваться на процессе управления инструментом мониторинга, не уделяя особого внимания тому, каким именно образом данные попадают к этому инструменту.

АВТОМАТИЗАЦИЯ

Функции автоматизации предлагаются в некоторых коммутаторах для мониторинга сети (к примеру, Anue 5200 Series Net Tool Optimizer от Ixia) в качестве опции для повышения производительности. С помощью этой функции инструменты мониторинга, системы администрирования сети и решения для автоматизации ИТ могут динамически управлять таким коммутатором. Управление всеми аспектами его работы осуществляется посредством ПО, в котором используется простой язык на базе сценариев. Благодаря этому сотрудники ИТ-отдела могут формировать очень производительные системы, в которых обеспечивается автоматизированное взаимодействие сетевого оборудования.

В качестве примера можно привести систему для обнаружения вторжений (Intrusion Detection System, IDS). Когда эта система распознает попытку внедрения в сеть, то с помощью функций автоматизации коммутатора она запускает сценарий, при выполнении которого создается соединение между контролируемым сетевым портом и устройством для записи сетевых данных. Последнее накапливает данные о вторжении для их последующего анализа. Аналогичным образом система администрирования сети может реагировать на изменения в сети и изменять настройки фильтров или добавлять, изменять и удалять соединения коммутатора для мониторинга сети.

Энрике Лабарта — руководитель отдела развития бизнеса по региону EMEA в компании Ixia Technologies Europe.