Масштабируемое решение для сетевого мониторинга компании cPacket

Решение Intelligent Monitoring Fabric (IMF) компании cPacket Networks повышает эффективность администрирования сети, уменьшает среднее время устранения сетевых проблем, выявляет новые виды хакерских атак, включая атаки pre-zero-day.

По мере роста пропускной способности сетей и объемов передаваемых по ним данных традиционные централизованные решения для сетевого мониторинга перестают справляться с обработкой объединенного контролируемого трафика, из-за чего теряются пакеты данных. В распределенном решении IMF, захватывающем и анализирующем трафик в многочисленных точках сети, но при этом имеющем единую систему визуализации результатов сетевого мониторинга, отсутствуют проблемы с масштабируемостью. Основные преимущества решения IMF над традиционными централизованными системами сетевого мониторинга представлены в таблице.

Традиционная система сетевого мониторинга	IMF — мониторинговое решение следующего поколения

Централизованная архитектура	Распределенная архитектура

Ответвление, обработка, агрегация и контроль трафика на разных уровнях системы	Функционал брокера сетевых пакетов и анализатора трафика в одном устройстве

Контроль потоков и частичный анализ пакетов	Полный анализ пакетов

Анализ трафика после возникновения проблемы	Анализ трафика в реальном масштабе времени

Реактивный мониторинг	Проактивный мониторинг

см. также

Проактивно распознавая неполадки, снижающие производительность сети, до того, как они повлияют на работу пользователей, данное решение повышает эффективность администрирования сети и уменьшает среднее время устранения сетевых проблем.

Архитектура IMF

Решение IMF имеет распределенную архитектуру, состоящего из трех уровней: доступа к сетевому трафику, анализа работы сети (этот уровень также обеспечивает расследование сетевых инцидентов) и визуализации результатов мониторинга.

Уровень доступа к сетевому трафику представляет собой совокупность ответвителей и SPAN-портов, которые обеспечивают съем подлежащего контролю трафика с многочисленных каналов сети и его подачу на распределенные по сети коммутаторы-анализаторы трафика сVu компании cPacket. Эти устройства, образующие уровень анализа работы сети (второй уровень архитектуры IMF), основаны на запатентованной микросхеме ASIC, называемой Algorithmic Fabric Processor. По точности и скорости анализа пакетов она значительно превосходит любые другие средства мониторинга производительности сетей.

В устройстве cVu объединены функции брокера сетевых пакетов и сетевого анализатора, благодаря которым решение IMF обеспечивает как общую картину работу сети, так и (при необходимости) углубленный анализ интересующих операций на уровне пакетов. Подобно обычному брокеру сетевых пакетов, устройство cVu агрегирует и реплицирует трафик, равномерно распределяет нагрузку на внешние устройства мониторинга (если они используется) с сохранением целостности потоков пакетов, осуществляет дедупликацию пакетов, прикрепляет к ним временные метки, генерируемые с наносекундной точностью, поддерживает передачу трафика по туннелям.

Интеллектуальные порты устройств сVu (Smart Ports) контролируют каждый бит каждого пакета в каждом потоке на полной скорости сетевых каналов для анализа ненормальной работы приложений, микровсплесков трафика, джиттера и других сетевых проблем. Эти порты информируют о наиболее активных узлах сети (Top Talkers), выявляют потери пакетов и нарушения порядка их следования (gap detection), передают ключевые параметры функционирования (KPI) сети и оповещения о ненормальном прохождении трафика (всплески, джиттер, заторы) на центральную консоль — уровень визуализации, являющийся самым верхним в архитектуре IMF. Результаты анализа передаются в виде компактных метаданных, что значительно снижает нагрузку на сеть. Предусмотренные в устройствах cVu автоматические триггеры помогают анализировать интересующие события в сети, обеспечивая захват фрагментов трафика до и сразу после события.

Компания cPacket выпускает довольно широкий ассортимент моделей устройств cVu, различающихся производительностью, а также числом и составом сетевых портов. Так, модель начального уровня cVu 240NG имеет 24 порта 1/10G, а наиболее мощная модель cVu 3240NG «несет на борту» 32 порта 40G или 20 портов 40G и 48 портов 10G.

При необходимости записывать трафик критически важных сетевых каналов для ретроспективного анализа проблем в работе сети и расследования инцидентов информационной безопасности к коммутаторам-анализаторам cVu подключают устройства хранения данных cStor. Устройство cStor записывает трафик на модульный дисковый массив на полной линейной скорости. Возможна запись всего захватываемого трафика, его фрагментов или только тех видов трафика, которые соответствуют определенным критериям. Сетевые администраторы могут находить и просматривать нужные им фрагменты трафика с помощью простого в использовании графического веб-интерфейса или сценариев. Устройство cStor вмещает до 32 Тбайт данных. При необходимости увеличения емкости к устройству cVu может быть подключено несколько устройств cStor общей емкостью до 128 Тбайт. По этим устройствам коммутатор-анализатор cVu будет распределять нагрузку равномерно, обеспечивая запись трафика интенсивностью до 40 Гбит/с. В процессе диагностики сетевых проблем на центральной консоли хранимые данные могут коррелироваться с KPI и оповещениями, выдаваемыми интеллектуальными портами устройств cVu.

Решение IMF может быть задействовано совместно с другими системами мониторинга для расширения возможностей анализа и диагностики работы сети. Устройства cVu могут в реальном масштабе времени пересылать контролируемый трафик на эти системы, или подавать на них ранее записанный трафик.

Централизованное управление распределенными по всей сети устройствами cVu и cStor и единый доступ к поступающей от них информации осуществляются с помощью центральной консоли Stream and Packet Inspection Front End Environment (SPIFEE) — уровня визуализации данной системы мониторинга. Консоль SPIFEE обеспечивает передовую аналитику (с корреляцией данных, полученных от всех устройств cVu на сети) и выводит карты уровня визуализации (Visualization-layer Maps), которые, в отличие от обычных статических сетевых карт, представляют собой динамическое отображение (в реальном масштабе времени) постоянно обновляемой и пополняемой информации о трафике. Это дает возможность сетевым администраторам легко контролировать, оптимизировать и диагностировать сложные сети ЦОДов, устранять перемежающиеся неполадки в работе облачных приложений и узкие места в высокоскоростных сетевых инфраструктурах.

На базе IMF разработаны эффективные решения для мониторинга трейдинговых сетей, повышения успешности бизнеса сервис-провайдеров и выявления совершенно новых видов атак.

Решения для мониторинга трейдинговых сетей

Для мониторинга трейдинговых сетей компания cPacket разработала решение cBurst, предназначенное для выявления микровсплесков трафика, которые могут привести к потере рыночных данных, а также решение для обнаружения нарушений передачи рыночных данных (Market Feed Gap Detection). Кроме того, для успешной реализации систем мониторинга трейдинговых сетей большое значение имеют такие характеристики оборудования компании cPacket, как миллисекундное разрешение при анализе трафика и возможность снабжения пакетов метками времени с наносекундной точностью.

Рыночные данные передаются между биржами и брокерскими домами или между самими биржами в реальном масштабе времени в виде потоков многоадресных UDP-пакетов. Распределенное решение IMF компании cPacket выявляет нарушения передачи рыночных данных, связанные с потерями пакетов или изменением порядка их следования по сети, и точно определяет места, где происходят данные нарушения.

Таким образом решение IMF информирует о том, кто виновен в невыполнении жестких требований SLA по качеству передачи рыночных данных — их поставщик или оператор сети связи.

Повышение успешности бизнеса сервис-провайдеров

Чтобы успешно вести бизнес в современных условиях, когда уменьшается лояльность абонентов и снижаются доходы в расчете на одного абонента, сервис-провайдеры должны повышать степень удовлетворенности абонентов получаемыми услугами и одновременно снижать затраты на мониторинг и диагностику сетей. В этом сервис-провайдерам поможет решение IMF компании cPacket, обеспечивающее кастомизацию выдаваемой аналитической информации и предсказательное оповещение (predictive alerting).

Метрики, предопределенные в системе сетевого мониторинга и анализа трафика, могут затруднять диагностику определенных проблем. Решение IMF позволяет пользователям задавать собственные KPI, характеризующие работу сети на уровнях 2–7.

Для повышения качества обслуживания пользователей сервис-провайдеры должны в реальном масштабе времени выявлять сетевые проблемы до того, как они повлияют на работу пользователей. Это обеспечивает решение IMF, способное с высоким разрешением анализировать сетевой трафик в многочисленных точках сети и прогнозировать сетевые проблемы, о которых оно информирует системного администратора посредством предсказательных оповещений.

Кастомизация KPI и предсказательные оповещения (проактивный мониторинг) обеспечивают значительное (до 80%) уменьшение среднего времени устранения сетевых проблем.

Решение для обеспечения информационной безопасности

Благодаря возможности глубоко анализа пакетов по всей сети и захвата их с помощью автоматических триггеров, решение IMF является превосходным инструментом для выявления совершенно новых типов атак. Алгоритм выявления атак выглядит следующим образом: при возникновении аномального сетевого события решение IMF выдает аварийное оповещение и захватывает фрагмент трафика (несколько минут трафика до и после события). Данный фрагмент анализируется специалистами по обеспечению информационной безопасности и, если выясняется, что это какая-то атака, определяется ее сигнатура. С помощью последней могут быть выявлены зараженные компьютеры в сети. Таким образом можно обнаруживать атаки pre-zero-day.