Системы сетевого мониторинга (Network Monitoring System, NMS) существенно отличаются от систем обнаружения вторжений (Intrusion Detection System, IDS) или систем предотвращения вторжений (Intrusion Prevention System, IPS). Последние выявляют нарушение защиты и предотвращают потенциально опасную деятельность неавторизованных пользователей. NMS позволяет определить, насколько эффективно работает сеть во время выполнения обычных операций и не отвечает за безопасность.
Сетевой мониторинг может выполняться с помощью различных программных средств или сочетания аппаратных устройств, функционирующих в режиме plug-and-play, и программных решений. Можно осуществлять мониторинг практически любой сети — проводной или беспроводной, локальной сети предприятия, виртуальной частной сети или инфраструктуры, предоставляемой провайдером. Мониторинг способен охватывать устройства с различными операционными системами и множеством функций — от КПК и сотовых телефонов до серверов, маршрутизаторов и коммутаторов. Системы NMS помогают выявить любую специфическую активность в сети, определить параметры производительности и предоставить результаты, которые позволяют решать множество разнообразных задач, включая выполнение технических требований, предупреждение о внутренних угрозах безопасности и обеспечение прозрачности сетевых операций.
Решение о том, за чем конкретно нужно следить в вашей сети, столь же важно, как и решение об использовании мониторинга как такового. Необходимо убедиться, что карта топологии корпоративной сети отражает реальное положение дел. Эта карта должна точно описывать типы сетевых сегментов, мониторинг которых будет выполняться, предоставлять данные о серверах, а также работающих на них приложениях и операционных системах, о количестве настольных систем, которые необходимо учитывать, о типах удаленных устройств, имеющих доступ к каждой сети. Чем большая ясность будет в самом начале, тем проще будет потом выбрать инструменты мониторинга, которые следует приобрести.
Можно возразить, что, если сеть работает, то нечего с ней возиться. Зачем добавлять еще одну головную боль сетевым администраторам, если количество их задач уже едва умещается в списках, занимающих всю стену от пола до потолка? Причины настаивать на внедрении сетевого мониторинга в общих словах можно выразить так: поддержка текущего состояния сети, гарантия готовности, увеличение производительности. Кроме того, NMS позволит накопить бесценную информацию, которая пригодится при планирования дальнейшего развития сетевой инфраструктуры.
Для того чтобы предсказать перспективы роста сети, необходимы сведения об истории развития инфраструктуры. Решения, принятые на основе слишком скудных данных, могут стать источником очень глубоких проблем. Сеть с момента ее создания серьезно изменилась. Изменения конфигурации, добавление сетевых устройств, серверов и настольных систем привели к дисбалансу трафика на Web-серверах и серверах электронной почты, перегрузке коммуникаций и каналов связи, которые не увеличили своего быстродействия.
А если, кроме всего прочего, между вами и вашими поставщиками существует соглашение об уровне обслуживания (Service-Level Agreement, SLA), мониторинг просто необходим. NMS может гарантировать, что будут выполнены контрактные обязательства по уровню производительности для соответствующих устройств, сервисов и приложений. Проверка выполнения SLA в оперативном режиме реального времени избавляет от последующих споров, которые ухудшают отношения с вашими поставщиками услуг, поскольку позволяет провести своего рода демаркационную линию, устанавливающую границы ответственности за работу сети. Другими словами, четко определяется, где начинается сеть провайдера и заканчивается сеть потребителя.
Мониторинг сети будет бессмысленным, если он не обеспечивает определение наиболее важных параметров. Анализируют, как правило, использование пропускной способности сети, производительность приложений и серверов.
Но вы же не хотите получать слишком много данных, ведь вас буквально захлестнет волна ненужной информации и вы не сможете уследить за отклонениями действительно существенных параметров? Если же получаемых сведений будет слишком мало, можно упустить что-то важное. Следовательно, необходимо понять, каким образом определить «нужный диапазон» системы мониторинга.
Традиционный сетевой мониторинг начинается с проверки основных показателей ядра сети. Проверяются и сообщаются, как правило, значение пропускной способности канала Глобальной сети, задержки или время откликов коммутаторов, маршрутизаторов и серверов, а также показатели загрузки процессоров. Если, например, где-либо уровень загрузки процессора составляет 100%, с этим нужно немедленно разобраться.
Сетевой мониторинг способен помочь также управлять пользователями. Инструментальные средства, снабженные функциями автоматического обнаружения, позволяют определять добавление устройств, их удаление или изменения конфигураций. Некоторые из них способны динамически группировать устройства, используя такие параметры, как «IP-адрес», или «сервис», «тип» и «расположение». Все это очень полезно при управлении крупной сетью.
Корпоративным ИТ-отделам необходимо иметь более точную и полную информацию о пользователях, в то время как Internet-провайдеры главным образом уделяют внимание доменам. Есть определенные различия между требованиями предприятия и крупного провайдера. Корпоративному сетевому администратору может потребоваться информация о том, какой вид трафика в основном проходит через коммутатор, или о распределении нагрузки по IP-адресам. Имея нужные средства мониторинга, можно определить, на какие IP-адреса приходится большая часть трафика. Можно выяснить, например, что работа электронной почты была прервана из-за попытки передать слишком большой файл или из-за других некорректных действий сотрудников в периоды высокой загрузки почтового сервера. Формируемые отчеты позволяют установить, кто из пользователей создает наибольшую нагрузку на сеть с учетом типа приложения, сервера, клиента или подсети. С такими пользователями можно связаться и объяснить им, как надлежит работать в сети.
Такие примитивные параметры, как время передачи и подтверждения приема пакетов, сведения о потере пакетов и задержках при их передаче, применялись для того, чтобы дать ИТ-менеджеру определенное представление о состоянии сети. Однако этого уже недостаточно — если вообще можно говорить о релевантности подобных параметров. Приложения, критическим образом зависящие от производительности сети, подобные IP-телефонии, Internet-телевидению или «видео по требованию», значительно повысили интерес к сетевому мониторингу. Сегодня системных администраторов, особенно работающих в провайдерских компаниях, все больше интересует, насколько хорошо эти такого рода приложения и сервисы предоставляются пользователям.
Администраторы подобных конвергированных сетей теперь тратят все больше времени на наблюдение за производительностью приложений и использованием пропускной способности, применяя для этого инструментарий, который в режиме реального времени предоставляет информацию о том, что в действительности происходит в их сетях. Такие инструменты находят и позволяют устранять проблемы, ухудшающие качество обслуживания, включая задержки, джиттер и потерю пакетов, каждая из которых влияет на качество обслуживания. Сетевым администраторам необходимо определить приоритеты для наблюдения и выбрать инструменты, которые позволят обеспечить максимально высокое качество обслуживания пользователей, будь то сотрудники или клиенты.
Инструментальные средства сетевого мониторинга весьма разнообразны по степени сложности. Если вы «лабораторная крыса», то можете использовать массу инструментов с интерфейсом командной строки. Один из них — легендарный Ping, надежное средство для тех, кто привык работать в наиболее простом режиме. Ping проверяет, достижим ли конкретный хост в IP-сети. Для этого на соответствующий хост направляются пакеты ICMP (протокол передачи команд и сообщений об ошибках, Internet Control Message Protocol), которые требуют подтверждения о получении, и эти подтверждения отслеживаются. Ping оценивает в миллисекундах время, прошедшее с момента отправки пакета до получения подтверждения о его доставке, фиксирует все потери пакетов и затем формирует отчет.
Конечно, такие инструменты требуют серьезных знаний. Для людей, не столь технически сведущих, существует множество решений на базе Web с графическим интерфейсом, в том числе средства, формирующие детализированные отчеты и графические диаграммы. Этот инструментарий, возможно, проще устанавливать и использовать. Многие из таких решений поставляются с предварительно заданными с помощью скриптов конфигурациями. Кроме того, диаграммы, которые они формируют, очень удобно присоединять к презентациям для руководства, когда приходится обосновывать инвестиции в модернизацию сети.
Для сетевого мониторинга предлагается множество инструментов категории Open Source, которые предпочитают многие ИТ-специалисты. Как правило, такие решения инновационны, не изысканны, но стильны, и, что самое главное, в основном бесплатны или дешевы. Кроме того, свободно распространяемые инструменты мониторинга могут работать почти со всеми другими средствами NMS и любыми платформами. Данные, получаемые с их помощью, почти всегда представлены в формате XML. Теперь даже ведущие производители начинают использовать XML. Например, один из инструментов, который распространялся бесплатно на условиях лицензии GNU GPL, появился в виде небольшого скрипта для графического представления информации об использовании канала доступа в Internet. Позже его стали применять как инструментарий для графического представления совершенно других данных — быстродействия, напряжения, температуры, количества полученных твердых копий.
Затем специалисты начали применять эту программу для опроса сетевых устройств, получения данных MIB (Management Information Base) и протокола SNMP, а также использовать скрипты Perl для представления результатов в виде графиков на Web-страницах. Этот инструментарий быстро приобрел популярность не только у сообщества Open Source, но также и у очень крупных производителей коммерческих решений, позаимствовавших некоторые его свойства, чтобы улучшить собственные продукты.
Если вы решили приобрести новое сетевое оборудование, то имейте в виду, что, отдельные его производители разрабатывают инструментальные средства, которые предоставляют весьма детальную информацию для выпускаемых ими устройств, что значительно повышает ценность покупки. Убедитесь, однако, в совместимости этих средств, особенно с операционными системами в вашей сети. И тогда вы сможете понять, насколько они могут быть полезны для реализации разработанного вами плана. Иначе, вполне возможно, что вам придется платить дважды. Вы же не хотите оказаться в ситуации, когда, например, инструменты мониторинга, поставляемые вместе с приобретенными новыми серверами для одного из офисов, не будут корректно работать с серверами в другом офисе, где установлена не поддерживаемая ими операционная система?
В том случае если вы применяете множество разнородных устройств, которые обладают разной степенью взаимодействия и требуют достаточно серьезного изучения, еще не все потеряно. На рынке существуют устройства мониторинга, которые могут помочь вам продержаться и в такой ситуации, объединяя и упрощая аспекты управления сетевым мониторингом. Для этого трафик направляется в автономные программные или аппаратные инструментальные средства, что позволяет выполнять балансировку нагрузки между устройствами, находящимися в разных подсетях. Теоретически этот процесс является более гибким и помогает уменьшить снижение производительности в сети, вызванное использованием нескольких средств мониторинга, которые замедляют трафик в процессе его анализа. Упрощается и ситуация с обучением, поэтому вашим сетевым администраторам не придется сидеть ночами над многочисленными руководствами и справочниками.
По мере того как сети становятся все сложнее, усложняются и системы мониторинга. В конвергированных сетях, предоставляющих услуги triple play, в одном канале передаются голос, видео и данные. Здесь необходимы средства мониторинга и управления производительностью, работающие в режиме реального времени. Такого рода сетям нужна система, которая проверяет каждый пакет на целостность, задержку и определяет потерю пакетов — и это самый минимум. Традиционный способ управления сетями — использование SNMP-агентов, которые каждые пять секунд опрашивают сетевые устройства, чтобы определить, есть ли проблемы в сети, — в данной ситуации не подходит. Существуют средства мониторинга, которые выполняют более серьезные задачи, включая принятие мер по сохранению работоспособности при отключении электропитания, поддержку зеркалируемых портов коммутаторов и виртуальных локальных сетей, и даже такие «тонкости», как ЖК-дисплеи для поиска и устранения неисправностей.
Если ваша сеть становится слишком сложной и вы не в состоянии следить за тем, что в ней происходит, эту работу могут выполнить за вас другие специалисты. Существуют компании, предоставляющие различные услуги сетевого мониторинга, управления и анализа, которым вы можете передать на аутсорсинг эти работы. Например, один европейский поставщик услуг предлагает различные модули пользователям и компаниям, работающим в «чужих» сетях. Один модуль выполняет профилирование сети пользователя в течение определенного промежутка времени, чтобы выявить проблемы, и формирует отчет о производительности по трафику и приложениям. Другой модуль использует эту информацию и предоставляет рекомендации для повышения эффективности работы сети. Третий — ведет постоянное наблюдение, формирует уведомления и отчеты о производительности, а еще один — управляет сетью так, чтобы она соответствовала техническим условиям.
Средства сетевого мониторинга могут быть и совершенно бесплатными, и очень дорогими. Большинство свободно распространяемых инструментальных средств ничего не стоят, как и инструменты, которые поставляются при покупке компонентов инфраструктуры. Цены на устройства мониторинга, программные решения или услуги колеблются от 50 долл. до пятизначных сумм.
Прибегая к внешним сервисам, вы, скорее всего, сможете выбрать нужное вам из предлагаемого списка функций мониторинга. В зависимости от выбранных приоритетов это может обойтись дешевле покупки систем мониторинга. Возможны и другие компромиссы. Покупая сервисы, вы можете получить доступ к новейшим технологиям, а приобретая устройства — повысить уровень контроля собственной сети.
Но есть один непреложный факт, связанный с сетевым мониторингом. Цена отказа от его использования может оказаться намного выше, чем вы думаете, если вы не сумеете выйти на заданный уровень производительности и готовности, истратив для этого определенные средства, или попытаетесь сэкономить деньги на обеспечении защиты и «здоровья» сети. Во что все это обойдется? Иногда это может вам стоить работы.