Обеспечение сетевого доступа для средств мониторинга

Сегодня успех деятельности многих предприятий и организаций в огромной степени зависит от надежности и качества работы используемых сетей и сетевых приложений. Сетевой мониторинг, под которым понимается систематический контроль ключевых показателей функционирования сети и сетевых приложений, помогает обнаруживать и устранять возникшие и назревающие проблемы в их работе для поддержки качества обслуживания пользователей на должном уровне. Кроме того, сетевой мониторинг крайне важен для обеспечения информационной безопасности, поскольку позволяет выявлять опасные действия пользователей и вредоносного ПО.

Виды сетевого мониторинга

Различают пассивный и активный сетевой мониторинг. При пассивном мониторинге ключевые показатели функционирования сети и сетевых приложений контролируются путем анализа реального трафика действующей сети, «наблюдаемого» в различных ее точках, а при активном — для определения этих показателей используется специально сгенерированный тестовый трафик.

В свою очередь, выделяют три основных типа пассивного мониторинга: мониторинг на базе пакетов (захват и анализ сетевых пакетов средствами мониторинга), SNMP-мониторинг (опрос SNMP-устройств для получения информации об их состоянии и трафике) и мониторинг на базе потоков (сбор информации о потоках трафика по протоколам xFlow и др.).

Будучи одной из разновидностей пассивного мониторинга, сетевой мониторинг на базе пакетов осуществляется пассивными (не передающими тестовый трафик) устройствами мониторинга, анализирующими захваченные пакеты.

Оптимальное подключение устройств пассивного мониторинга

Специалисты по ИТ используют различные устройства пассивного мониторинга (включая анализаторы протоколов, зонды RMON, коллекторы NetFlow, системы IDS/IPS и пробники, способные записывать большие объемы сетевого трафика), предназначенные для последовательного (inline) или внеполосного (out-оf-band) подключения к линиям сети. Для out-of-band-подключения устройств мониторинга лучше всего использовать специальные сетевые ответвители.

Сетевой ответвитель включают в разрыв линии сети. Пропуская через себя передаваемый по линии дуплексный трафик, сетевой ответвитель копирует его половинки (встречные потоки пакетов) в свои порты мониторинга, предназначенные для подключения устройств мониторинга (см. рисунок). В отличие от Ethernet-коммутатора со SPAN-портами, сетевой ответвитель никогда не отбрасывает никаких пакетов, в том числе дефектных, и таким образом обеспечивает 100%-ный (!) контроль трафика в линии.

Сетевые ответвители никак не влияют на работу сети и не снижают ее надежности, поскольку при сбое электропитания ответвитель для медной линии остается прозрачным для контролируемого трафика, а волоконно-оптический ответвитель — это пассивное устройство, которому вообще не требуется электропитание. Кроме того, поскольку подключенное через ответвитель устройство мониторинга не нуждается в IP-адресе, оно является изолированным от сети, что значительно уменьшает его подверженность хакерским атакам.

В продаже имеется широчайший ассортимент сетевых ответвителей для медных или волоконно-оптических линий, поддерживающих различные максимальные скорости передачи данных — от 10 Мбит/с до 100 Гбит/с. Помимо обычных ответвителей, производятся регенерирующие ответвители, которые используются тогда, когда один и тот же трафик нужно контролировать с помощью нескольких разных устройств мониторинга одновременно. От обычного ответвителя регенерирующий ответвитель отличается увеличенным числом портов мониторинга. Если же число сетевых каналов, которые нужно контролировать, превышает число имеющихся устройств мониторинга, можно использовать агрегирующий ответвитель, который объединяет трафик из нескольких контролируемых каналов и выводит суммарный поток через несколько своих портов мониторинга (см. рисунок). Однако скорость этого потока может превысить пропускную способность порта устройства мониторинга, что приведет к недопустимой потере пакетов. Чтобы уменьшить вероятность потери пакетов, нужно выбрать модель агрегирующего ответвителя с достаточно большой буферной памятью.

Функционирование агрегирующего и сетевого ответвителей

Перегрузка устройства мониторинга может произойти и при его подключении к более быстрому сетевому каналу (например, если с помощью 10-гигабитоного ответвителя подсоединить анализатор с портом 1GE к каналу 10GE). Для снижения нагрузки на устройства мониторинга широко используется предварительная фильтрация ответвленного трафика, чтобы это устройство получало только те данные, которые нужны ему для выполнения его основных функций (например, связанных с обнаружением вторжений в сеть). Также с помощью устройства с функцией балансировки нагрузки высокоскоростной трафик можно примерно поровну разделить между несколькими устройствами мониторинга. При этом зачастую важно, чтобы сохранялась целостность передаваемых потоков пакетов, то есть все пакеты, относящиеся к одному и тому же потоку, должны поступать на одно и то же устройство мониторинга в группе устройств с балансировкой нагрузки.

Фильтрация трафика и балансировка нагрузки позволяют защитить инвестиции в имеющиеся устройства мониторинга при внедрении все более высокоскоростных сетевых технологий. Функции агрегации, регенерации, фильтрации трафика и балансировки нагрузки имеются в брокерах сетевых пакетов. Таким образом, если устройства мониторинга приходится часто переключать с одного контролируемого канала на другой и/или нужны функции фильтрации трафика и балансировки нагрузки, следует подключать эти устройства к сетевым ответвителям или SPAN-портам через брокеры сетевых пакетов, а не напрямую.

Задействуйте обходной (bypass) коммутатор при необходимости реализовать безаварийное inline-подключение устройства мониторинга или обеспечения информационной безопасности (например, IPS). Если это устройство по какой-либо причине перестанет функционировать, обходной коммутатор направит трафик в обход него и тем самым сохранит (для пользователей) доступность критически важных сервисов и приложений (подробнее см. «Решения для inline-подключения устройств мониторинга»).

Ixia, a Keysight Business, выпускает широкий ассортимент ответвителей, обходных коммутаторов, а также брокеры сетевых пакетов семейства Vision. Устройства Vision коммутируют, агрегируют, регенерируют, фильтруют и равномерно распределяют подлежащий контролю трафик по подсоединенным к ним устройствам мониторинга. Наиболее интеллектуальные модели брокеров в этом семействе — Vision ONE и Vision 7300 — выполняют более широкий набор функций, включая дедупликацию и усечение пакетов, снабжение их высокоточными временными метками, идентификацию и мониторинг трафика приложений (подробнее см. «Функционал мониторинговых решений Ixia»). Для централизованного управления брокерами сетевых пакетов Vision, установленными на контролируемой сети, Ixia выпускает решение Ixia Fabric Controller (IFC).

На рынке систем сетевого мониторинга представлено комплексное решение нового поколения Intelligent Monitoring Fabric (IMF) компании cPacket Networks. По сравнению с традиционными системами сетевого мониторинга, решение IMF обладает улучшенной масштабируемостью, повышенной производительностью, обеспечивает более глубокий анализ работы сети, снижает текущие и капитальные затраты. В состав IMF входят узлы мониторинга, имеющие функции брокера сетевых пакетов и сетевого анализатора.

Контроль облачных сред

В условиях бурного роста популярности облачных вычислений ИТ-специалисты должны гарантировать безопасность данных и приложений, оптимизировать производительность облачных решений и как можно быстрее устранять проблемы в их работе. Для выполнения перечисленных задач необходим контроль облачного трафика. Такой контроль обеспечивает платформа Ixia CloudLens, предназначенная для мониторинга работы частных, публичных и гибридных облаков. В процессе мониторинга работы публичного облака платформа CloudLens функционирует в этом облаке и предоставляет услугу мониторинга с возможностями фильтрации трафика. CloudLens имеет уникальную одноранговую архитектуру (peer-to-peer), сохраняющую все достоинства облачных вычислений, включая гибкость и масштабируемость по требованию. В одноранговой архитектуре предусмотрены прямые соединения между облачными объектами (cloud instances), генерирующими контролируемый трафик, и виртуальными устройствами мониторинга. В конкурирующих решениях используется центральный узел, агрегирующий и фильтрующий трафик. Такая система мониторинга хуже масштабируется, дороже стоит, является менее гибкой.

Одноранговая архитектура CloudLens

Частью платформы CloudLens является решение CloudLens Privаtе, ориентированное на мониторинг частных облаков. Это решение ответвляет трафик из виртуализированных сетей, обрабатывает данный трафик и подает подлежащие контролю пакеты на виртуальные или физические устройства мониторинга.

Позаботьтесь о мониторинге заранее

Рекомендуется изначально планировать реализацию инфраструктуры мониторинга в качестве составной части будущей сети и при ее построении инсталлировать оборудование для подключения устройств мониторинга вместе с другим сетевым оборудованием.

При организации системы сетевого мониторинга необходимо предусмотреть возможности контроля трафика критически важных сетевых каналов на уровнях доступа, распределения и ядра сети, а также в ЦОДе, где находятся серверы предприятия. Поскольку в ЦОДе и в ядре сети сосредоточено множество высокоскоростных линий, там рекомендуется устанавливать многопортовые агрегирующие ответвители и брокеры сетевых пакетов. Использование этого оборудования позволит уменьшить число устройств мониторинга сети, поскольку при наличии возможности агрегировать и коммутировать трафик из ключевых точек сети отпадает необходимость устанавливать по устройству мониторинга в каждой из них.

В настоящее время в магистралях ЦОДов и корпоративных сетей все более широкое распространение получают высокоскоростные сетевые технологии, обеспечивающие скорость передачи данных до 100 Гбит/с. Использование данных технологий позволяет значительно уменьшить число линий в ядре сети и снизить стоимость ее обслуживания, но при этом повышаются требования к надежности каждой высокоскоростной линии, поскольку ее отказ повлияет на работу большего числа пользователей и приложений. Очевидно, что в процессе эксплуатации ЦОДа или корпоративной сети магистральную линию нельзя разъединить даже на несколько секунд, чтобы вставить в нее волоконно-оптический ответвитель для подачи трафика этой линии на устройство мониторинга. Поэтому ответвители лучше устанавливать на магистральные линии изначально (еще на этапе развертывания кабельной системы). Это позволит в дальнейшем при возникновении каких-либо проблем быстро подключать нужные мониторинговые или диагностические устройства к интересующим линиям без их разъединения.

• Анализ и мониторинг корпоративной сети
• Обеспечение сетевого доступа для средств мониторинга
• Мониторинговое решение компании SevOne
• Система мониторинга цифрового телевидения NET-xTVMS
• Система удаленного тестирования оптических волокон FiberWatch
• Снабжение пакетов данных точными временными метками в системах сетевого мониторинга
• Система мониторинга ИТ-инфраструктуры, основанная на открытой программной платформе Zabbix
• Масштабируемое решение для сетевого мониторинга компании cPacket
• Зонд контроля качества каналов связи ПАК TOFSLAN
• Программно-аппаратный комплекс TOFS для мониторинга качества каналов связи