Знание — сила. В этом сходятся все сетевые администраторы. Осведомленность о процессах, происходящих во всей сети, — везде, всегда и в реальном времени — позволяет обеспечить максимальную готовность, эффективность и безопасность. Достижение этой цели недорогими средствами и по возможности без побочных эффектов — одна из главных задач на сегодня.
Когда речь идет о деталях, понятие «знание», конечно, относительно. Нередко специалисты по ИТ хотят иметь статистику и отчеты об отношениях внутри сети в зависимости от конкретной ситуации или получить указание на определенные проблемные зоны, в то время как сетевым администраторам приходится проводить подробное расследование на всех уровнях модели OSI с верхнего до нижнего — иногда и в обратном порядке (см. Рисунок 1).
СОВРЕМЕННОЕ ПОЛОЖЕНИЕ ДЕЛ В ОБЛАСТИ ПОЛУЧЕНИЯ ИНФОРМАЦИИ
К наиболее распространенным технологиям сбора информации относятся SNMP, Netflow/S-Flow и классический сетевой анализ. Среди недавних разработок назовем Service Assurance Agent (SAA) компании Cisco. Достаточно известный стандарт RMON/SMON администраторы применяют в новых реализациях довольно редко. Главная причина — наряду с высокими затратами — заключается в требуемой для этой технологии высокой пропускной способности. Решение такого типа не должно затруднять функционирование контролируемых услуг и приложений. В этой области наиболее часто используется простой протокол управления сетью (Simple Network Management Protocol, SNMP). Его главными преимуществами являются гибкость и открытость для производителей сетевых компонентов, а также простота реализации. При помощи SNMP можно получать информацию от отдельных сетевых компонентов, тогда как Netflow/S-Flow непрерывно передает ее центральной станции управления. Наряду с ограничениями, обусловленными пропускной способностью и топологией, необходимо учитывать, что эти технологии считывают лишь показатели счетчиков отдельных компонентов, информация от которых собирается соответствующим решением сетевого управления.
Получаемые цифры могут дать подробную информацию, в некоторых случаях достаточную для осуществления эффективного и недорого подхода. Но иногда, чтобы точнее идентифицировать источник проблем, возникает необходимость в получении гибко составляемых отчетов с более детальными сведениями. Как же обнаружить спорадические трудности при нагрузке (к примеру, с коммутатором ядра для балансировки нагрузки и пр.)? Это возможно лишь при наличии средств независимого контроля, как раз его и предлагает сам трафик данных. Таким образом, мы приходим к классическому сетевому анализу, который при своей почти двадцатилетней истории позиционируется как постоянно прогрессирующая технология.
МЕСТО ПРОФЕССИОНАЛЬНОГО СЕТЕВОГО АНАЛИЗА
От уже упомянутых этот метод отличается тем, что реальные пакеты извлекаются из канала (или из эфира) на битовом уровне, благодаря чему можно получить обзор всех уровней модели OSI. Наличие подробной информации дает техническому специалисту высокий уровень гибкости: он может пользоваться средствами мониторинга производительности приложений, анализа VoIP, судебного расследования и многими другими.
Возможность срочного выяснения причин возникающих проблем часто связывается с понятием пассивного анализа пакетов (Packet Sniffing). В таком случае в выигрыше оказываются те сетевые администраторы, которые хорошо знают используемые инструменты и обладают необходимой базовой статистикой об обычном состоянии сети. Применение мобильных устройств для анализа является первым шагом в этом направлении, и при спорадическом использовании в Ethernet или беспроводной локальной сети их применение настоятельно рекомендуется. В последнем случае особенно необходима возможность свободного перемещения. В принципе, в современных корпоративных сетях эти две сетевых технологии активно консолидируются — на фоне всеобщего перехода на IP.
ИЗМЕРЕНИЯ В ETHERNET, WLAN, VOIP И VOWIFI
При помощи программного анализатора, инсталлированного на ноутбуке и легко и быстро стыкуемого с зеркальным портом, можно вести мониторинг трафика Ethernet и судить, к примеру, о проблемах VoIP — с известными ограничениями, обуславливаемыми измерительной техникой. Так, среди прочего, вследствие зеркалирования в коммутаторе искажается время прохождения пакетов, что в большинстве случаев все еще допускает диагностирование проблем, но этот метод слишком неточен для измерений инсталляция VoIP. К полнодуплексному каналу рекомендуется подключить порт доступа для тестирования (Test Access Port, TAP — зеркально копирует трафик на битовом уровне) и принимать трафик отсортированным по направлению передачи. На помощь в этом случае приходят специальные измерительные карты, которые снабжают пакеты меткой с точным временем. В случае анализа передачи голоса по WiFi (Voice over WiFi, VoWiFi) этого не требуется, поскольку применяется метод множественного доступа с контролем несущей и исключения коллизий (Carrier Sense Multiple Access/Collision Avoidance, CSMA/CA).
В беспроводных локальных сетях иногда сигнал отражается многократно. Зная об этом, техник либо должен исключить из рассмотрения дублируемые пакеты, либо выбрать надежный инструмент измерения с поддержкой обработки таких проблем. Если он измеряет трафик Ethernet на точке доступа при помощи встроенной сетевой интерфейсной платы и трафик беспроводной сети посредством карты PCMCIA, то путем многосегментного анализа сможет вести мониторинг коммуникационного потока в двух сегментах (см. Рисунок 2). Таким образом, можно идентифицировать, где возникла проблема — на уровне беспроводной сети или выше. Это, кстати, неплохой метод для выявления проблем с приложениями в случае трафика WLAN, зашифрованного с использованием WPA2. Современные решения позволяют также отображать трафик двух сегментов в одной выборке и тем самым следить за поведением брандмауэров или за роумингом мобильных телефонов с поддержкой VoWiFi.
ИЗМЕРЕНИЯ В ВЫСОКОСКОРОСТНЫХ СРЕДАХ
Все большее значение в высокоскоростных средах получают мобильные устройства, оснащенные поддержкой записи на диск со скоростью от 1 Гбит/с (без потерь на протяжении длительного периода времени) и емкостью до 1 Тбайт (к примеру, таковы требования системных интеграторов). Преимущество этих устройств заключается в том, что они могут принимать трафик данных не только на гигабитной магистрали, но и в каналах Fast Ethernet вплоть до настольной системы или телефона VoIP в полнодуплексном режиме. Это позволяет не только диагностировать проблемы в сети и в системе передачи голоса по IP, но и проводить уже упомянутые измерения системы VoIP (см. Рисунок 3). Вследствие возрастающего потока данных в 10-гигабитном диапазоне мобильные устройства достигают пределов своих возможностей (кстати, и стационарные тоже), но это уже относится к вопросу определения понятия «мобильный», а также будущих разработок аппаратного обеспечения.
То, что предлагается использовать в случае неотложных проблем в качестве последнего средства, становится все более важным в повседневной активной работе. Речь идет о возрождении распределенных аналитических систем. Между тем, соответствующие решения поддерживают работу в реальном времени как в случае диагностических подходов, так и при эксплуатации систем отчетности.
ОТ РЕАКТИВНОГО «ТУШЕНИЯ» ПРОБЛЕМ К ПРОАКТИВНОМУ МОНИТОРИНГУ
В отличие от уже описанных вспомогательных технологий аналитические системы не нуждаются в высокой пропускной способности, предлагают подробную информацию для различных целей и хранят ее до тех пор, пока в ней есть потребность. Иными словами, в имеющейся клиент-серверной системе можно хранить не только статистические данные, но и реальный сетевой трафик (последний — в зависимости от свободного места на диске в конкретной точке измерения). По сравнению со сложными системами управления интеллектуальные платформы сетевого анализа инсталлируются просто и с небольшими издержками. Условием для начала работы является всего лишь базовое понимание сетевых технологий, коммуникационных отношений и протоколов. Помощь в поиске и правильной интерпретации нужных пакетов в море данных готовы оказать эвристические экспертные системы.
После их внедрения можно централизованно создавать отчеты о множестве сегментов, проводить анализ тенденций в изменении трафика данных и многое другое. При оперативном мониторинге потока данных, его анализе и составлении на его основе статистики полученная информация может быть применена для повседневного анализа производительности приложений. В качестве примера можно привести ситуацию, когда специалист размещает измерительный блок непосредственно перед сервером приложений SAP. Клиент отправляет запрос серверу, а сервер отсылает ответ, при этом измеряется длительность транзакции, и полученное время отклика приложения преобразуется в интуитивно понятное значение между 0 и 100% в соответствии с новым индексом производительности приложений (http://www.apdex.org). Таким образом, сотрудники службы поддержки смогут следить за производительностью важных для предприятия приложений SAP и при возникновении затруднений передать ее анализ службе поддержке второго или третьего уровня.
То же самое касается и трафика VoIP, поскольку он представляет собой не что иное, как еще одно приложение, но с повышенными требованиями к качеству услуг. При контроле всего трафика данных едва ли найдется что-нибудь, что впоследствии нельзя будет восстановить в правовом смысле — возможность, которая для многих администраторов является одновременно и проклятием, и редкой удачей.
ВОЗМОЖНОСТИ РАСШИРЕНИЯ И ПРАКТИЧЕСКОЕ ПРИМЕНЕНИЕ
Как и в реальной жизни, в области информационных технологий часто приходится идти на компромиссы, и в случае распределенных филиалов выделенные зонды не всегда экономически оправданы. В такой ситуации можно опционально привлечь уже упомянутые вспомогательные технологии, к примеру, для считывания значений счетчиков маршрутизаторов/коммутаторов в небольшом филиале, и интегрировать эту информацию во всеобъемлющий обзор.
В классическом смысле сетевой анализ всегда пассивен, и на результат измерения никак не влияет. Посредством функций подачи сигнала тревоги и триггерных функций можно выполнять необходимые действия, когда на каком-либо уровне OSI происходит свободно определяемое событие. А можно и не выполнять!
ПРИМЕР МОНИТОРИНГА SAP: ЗАПРОСЫ SYN
В последнем случае достаточно взглянуть на пример мониторинга SAP: как правило, рабочие станции отправляют соответствующему серверу SAP запрос на синхронизацию (SYN). Если сервер ответа не присылает, а экспертная система измерительного пункта констатирует «сервер не отвечает» (Non Responsive Server) более, чем для заданного числа n коммуникационных потоков, об этом событии можно отправить сообщение (при помощи прерывания SNMP, по электронной почте и т. д.) для информирования ответственного сотрудника.
Любое крупное предприятие выдвигает особые условия, и гибкая расширяемость решения для анализа в целях удовлетворения дополнительных требований имеет очень большое значение, даже если предусмотрены собственные модули для экспертной системы, собственная статистика, отчеты или нестандартные системы декодирования.
ЗАКЛЮЧЕНИЕ
Локальные и распределенные системы сетевого анализа появились на рынке тридцать лет назад, и сегодня они актуальны как никогда. Только эти решения предлагают реальную возможность независимого обзора процессов в сети и гарантированную готовность индивидуально составляемых отчетов — при необходимости сразу за несколько лет. Если так называемые «системы глубокой проверки пакетов» могут гибко предоставлять нужную информацию, то хорошая система отчетности поможет соблюсти соглашения об уровне сервиса (Service Level Agreement, SLA) и корпоративные директивы, обеспечить согласование с нормативными актами, документировать данные об эффективности произведенных действий и обосновывать новые инвестиции. Вопреки распространенному мнению распределенные системы агентов и консолей с выделенным аппаратным обеспечением могут экономично сочетаться с решениями на базе дополнительных технологий SNMP и Netflow/S-Flow и в большинстве случаев приносят гораздо большую пользу. Чем шире распространяются на предприятиях приложения реального времени, тем больше потребность в получении информации об их поведении и в гарантии оптимальной готовности.
Матиас Лихтенэггер — региональный менеджер компании Wildpackets, Ханс Францл — генеральный директор компании Brainworks Computer Technologie.
© AWi Verlag
Опрос по теме сетевого анализа
В данный момент LANline совместно с компанией Brainworks Computer Technologie проводит опрос по теме сетевого анализа. Исследование призвано не только осветить разные аспекты современного сетевого анализа, но и стать практическим руководством для оценки и эффективного применения технологии на предприятиях.
Компании могут пользоваться перечнем вопросов как контрольным списком. Опрос поможет подготовиться к развертыванию проекта сетевого анализа, а также создать основу для оценки уже имеющихся решений. Его участники смогут получить краткие выводы об опыте внедрения систем сетевого анализа.
Ответ на все вопросы занимает от 10 до 15 мин. Никакой оплаты не требуется. Напротив, в качестве благодарности за потраченное время мы предоставляем участникам возможность выиграть ценные призы.
Найти опросный лист можно по адресу http://www.brainworks.de/more/lanline.php.
Мы гарантируем, что вся полученная информация будет рассматриваться строго конфиденциально.