Анализ и мониторинг корпоративной сети

Проблемы в работе сети могут значительно ухудшать качество обслуживания пользователей, снижая степень их удовлетворенности сетевыми сервисами и порождая недовольство теми, кто предоставляет эти сервисы. Поэтому крайне важно максимально быстро обнаруживать, диагностировать и устранять проблемы. Различные системы сетевого мониторинга и диагностические средства ускоряют обнаружение и анализ проблем и тем самым способствуют сокращению периода времени между появлением проблемы и ее устранением. Более того, собирая и анализируя информацию о работе сети, средства мониторинга позволяют выявлять возможные проблемы и не допускать их возникновения.

Для обеспечения качества сетевых услуг ИТ-специалисты все больше внимания уделяют контролю работы приложений и сервисов вместо мониторинга состояния отдельных инфраструктурных сетевых устройств. Чтобы оценивать качество работы сервисов, необходимо захватывать их трафик в разных точках сети (например, до и после балансировщика нагрузки, сервера базы данных и др.) и анализировать его. Анализ трафика осуществляется также для оптимизации работы сети, выявления хакерской активности и в других целях.

Предприятия заинтересованы в полном контроле работы своих сетей. При этом собирается и анализируется информация об объемах передаваемого трафика, порождающих наибольший трафик узлах, задержках в работе сети и приложений, потреблении полосы пропускания сети различными приложениями и клиентами и др. Эти сведения помогают выявлять те узлы, которые более всего нагружают сеть и устранять проблемы в работе приложений. Также с помощью средств мониторинга контролируются транзакций в приложениях и деиствия пользователей на предмет выявления возможных нарушений ими должностных инструкций (например, пользователи могут передавать во вне конфиденциальные данные и посещать запрещенные корпоративной политикой веб-саиты). Еще ИТ-специалисты заинтересованы в мониторинге качества сеансов VoIP и передачи видео и в получении оповещений, когда параметры функционирования сети окажутся хуже предельно допустимых значении.

Средства анализа, мониторинга и диагностики сети могут быть программными или аппаратными. В последнем случае речь идет о пробниках на базе серверных или компьютерных платформ со сменяемыми специальными платами захвата трафика и предустановленным ПО анализа захваченного трафика, а также об интегрированных устроиствах сетевого мониторинга типа plug-and-play. Для записи больших объемов захватываемого трафика пробники на базе серверных платформ оснащают быстродеиствующими дисковыми подсистемами типа RAID достаточно большой емкости. Программные средства анализа трафика могут быть бесплатными (например, Wireshark или nTop) или коммерческими. Последние характеризуются более широким диапазоном функциональных возможностеи, а также покупатели коммерческих средств могут рассчитывать на поддержку со стороны их производителей и поставщиков. Для контроля крупномасштабных сетей используются централизованно управляемые системы мониторинга с распределенными по сети пробниками. Одним из лучших коммерческих приложений для анализа, мониторинга и диагностики корпоративных IP-сетеи любого масштаба является ПО OmniPeek компании WildPackets.

Программный анализатор OmniPeek

Программное обеспечение OmniPeek (выпускаемое в четырех разных вариантах: Basic, Professional, Enterprise и Connect) предназначено для полного анализа работы корпоративных сетеи. Функционируя как ПО для портативного сетевого анализатора или как консоль для программных пробников OmniEngine, приложение OmniPeek предлагает интуитивно понятный и простой в использовании графический интерфеис, который помогает инженерам быстро анализировать и диагностировать корпоративные сети. Данное приложение обеспечивает централизованный экспертный анализ для всех управляемых подсетеи. Проводя экспертный анализ, OmniPeek диагностирует проблемы в диалогах между парами сетевых узлов и тем самым позволяет быстро определять, в работе каких элементов сети возникли неполадки. Сетевые инженеры могут получать оповещения при возникновении конкретных экспертных событий, или когда нарушаются сконфигурированные правила сетевой политики.

Приложение OmniPeek обеспечивает глубокий анализ и диагностику как сети, так и мультимедииного трафика, что позволяет отказаться от использования нескольких разных средств сетевого анализа. Пользователи этого ПО могут просматривать информацию о качестве передачи голоса и/или видео для любого транслируемого медиапотока. В OmniPeek также имеются возможности воспроизведения голосовых вызовов и анализа сигнализации для передачи голоса и видео. В случае плохой работы сети этот продукт поможет инженерам выявить причины проблемы.

Программное обеспечение OmniPeek дает возможность контролировать время отклика приложений, круговую (round-trip) задержку передачи пакетов, быстроту реагирования серверов, скорость выполнения транзакций с базами данных и множество других низкоуровневых параметров. Для каждого контролируемого приложения это ПО выдает оценку Application Performance Index (Apdex Score), которая характеризует степень удовлетворенности пользователей работой данного приложения. Увидев плохую оценку Apdex Score, для определения ее причин инженер может проанализировать конкретный сетевой трафик, который использовался для вычисления этой оценки.


Информация о работе приложений, выдаваемая ПО OmniPeek

С помощью OmniPeek сетевые инженеры могут захватывать и сохранять сетевой трафик, а затем осуществлять его ретроспективный анализ с целью расследования сетевых инцидентов, диагностики проблем в работе сети, контроля соблюдения должностных инструкций и правил системной политики, анализа функционирования приложений и выполнения деловых транзакций. Интуитивно понятная интерактивная информационная панель позволяет легко задавать критерии поиска нужных данных.

Вышеперечисленными возможностями богатый функционал OmniPeek отнюдь не исчерпывается. Среди других важных функций данного пакета можно отметить анализ сетеи MPLS и VLAN.

Наряду с ПО OmniPeek, компания WildPackets выпускает интеллектуальные программные пробники OmniEngine, которые реализуют ту же самую (что и в OmniPeek) передовую технологию анализа сетеи. Эти продукты анализируют работу сети в реальном масштабе времени, захватывая ее трафик с помощью одного или более сетевых интерфеисов, и сохраняют метрики сетевых приложений и сервисов (включая Apdex Score и MOS), а также захваченные данные для последующего изучения, например, с целью расследования сетевых инцидентов. ПО OmniEngine функционирует как сервис на выделенных Windows-серверах или на сетевых записывающих устроиствах Omnipliance и TimeLine компании WildPackets.

Аппаратные пробники на базе серверных и компьютерных платформ

К этой категории средств мониторинга относятся сетевые записывающие устроиства Omnipliance и TimeLine (специализированные пробники) компании WildPackets, а также многофункциональные аппаратные пробники EndaceProbe компании Endace.

Высокопроизводительное устроиство TimeLine хорошо подходит для использования в сетевых операционных центрах и крупных центрах обработки данных (ЦОД). Оно может записывать трафик, не теряя пакетов, с рекордно высокой постоянной скоростью — до 11,7 Гбит/с!


Высокоскоростное сетевое записывающее устроиство TimeLine

Модель Omnipliance Core предназначена для мониторинга сетей центральных офисов компаний и их ЦОДов, а устроиство Omnipliance Edge ориентировано на филиалы предприятий. Выпускается также переносной анализатор Omnipliance Portable, который выполнен в виде небольшого чемоданчика с 17-дюймовым дисплеем во всю его боковую стенку. Он может быть легко доставлен к любому сетевому узлу или сегменту и задеиствован для поиска и устранения неполадок в его работе.


Переносной сетевой анализатор Omnipliance Portable

Пробники EndaceProbe компании Endace, реализуемые на базе серверных платформ, могут анализировать передаваемый по сети трафик в реальном масштабе времени и осуществлять ретроспективный анализ записанного на собственные диски трафика. Каждое устроиство EndaceProbe поддерживает централизованное управление с единой консоли, что позволяет создать распределенную инфраструктуру записи сетевого трафика. Благодаря технологии DAG компании Endace, устроиства EndaceProbe могут захватывать весь передаваемый по сетевым линиям высокоскоростной трафик без потерь пакетов, и при этом они стоят дешевле специализированных пробников других фирм, которые разрабатывают ПО для анализа сетеи.

Пробники EndaceProbe работают с базовым веб-приложением EndaceVision, которое может визуализировать захваченный трафик и в реальном масштабе времени отображать информацию о потреблении полосы пропускания сети, что помогает сетевым инженерам определять изменения в работе сети, чреватые возникновением проблем. Наряду с EndaceVision каждыи пробник поддерживает виртуализированную среду для хостинга приложений Endace Application Dock, которая предназначена для запуска на пробнике дополнительных программных средств других фирм, разработанных самими пользователями приложений и ПО с открытым исходным кодом. Наличие Endace Application Dock позволяет организациям задеиствовать на своих пробниках именно те приложения для сетевого мониторинга, которые соответствуют специфическим требованиям этих организаций.

Решения на базе пробников EndaceProbe стоят дешевле многих других конкурирующих решений, способных анализировать и записывать большие объемы сетевого трафика. В одном из проектов в России был задеиствован EndaceProbe серии 7000 с восемью 10-Гбит/с портами мониторинга «на борту», и он успешно справлялся с анализом всех потоков данных, принимаемых этими интерфеисами, для сбора статистической информации о работе сети.


Высокопроизводительный пробник EndaceProbe серии 7000

Компания Endace выпускает три серии пробников EndaceProbe: 300, 3000 и 7000. Вышеупомянутая модель EndaceProbe серии 7000 является самой высокопроизводительной из них. Она может иметь до 10 портов мониторинга 10GE (или до 20 портов мониторинга 1GE) и до 64 Тбаит внутренней дисковой памяти. Данную модель можно оборудовать адаптерами Fibre Channel для записи захватываемого трафика на внешние дисковые массивы. EndaceProbe серии 7000 обрабатывает эти записанные данные также, как свои локальные. Для мониторинга 40- и 100-гигабитовых сетевых сегментов компания Endace выпускает высокопроизводительные системы EndaceAccess.


Головная система сетевого контроля EndaceAccess 100

Компания «Тритфейс» не только предлагает вышеназванные пробники зарубежных производителей, но и сама собирает пробники (на базе плат захвата трафика Endace DAG и представленных на россииском рынке сертифицированных аппаратных платформ) в соответствии с требованиями заказчиков. При оснащении соответствующим ПО эти устроиства могут быть задеиствованы в качестве анализаторов протоколов, IDS- систем, средств измерения задержек при выполнении торговых транзакций, систем СОРМ и др.

Интегрированные устройства сетевого мониторинга

К этой категории решений относится семейство почти готовых к использованию моноблочных устройства мониторинга Spyke компании Net Optics, принадлежащей фирме Ixia. В состав семейства входят модели Spyke Branch Edition, Spyke 1G и Spike Enterprise Edition. Модель Spyke Branch Edition, предназначенная для филиалов предприятий, имеет пропускную способность 120 Мбит/с, модель Spyke 1G, ориентированная на ЦОДы среднего масштаба, обеспечивает контроль гигабитных потоков трафика, а еще более мощная модель Spyke Enterprise Edition, выпускается в двух вариантах — с пропускной способностью 5 или 10 Гбит/с. Данные модели отличаются не только пропускной способностью, но и объемом внутренней дисковой памяти (от 500 Гбайт в Spyke Branch Edition до трех 4-Тбайт дисков в 10-гигабитном варианте Spyke Enterprise Edition).

Каждая модель Spyke поставляется в двух версиях: Network Monitoring (для мониторинга сети) или Application Monitoring (для мониторинга как сети, так и приложений). Устройства Spyke осуществляют непрерывный и эпизодический захват пакетов; выдают информацию об использовании сети, задержке передачи пакетов и потреблении сетевой полосы пропускания; генерируют и экспортируют записи NetFlow и выполняют многие другие функции. Благодаря наличию функций DPI и Application Analyzer, устройства Spyke версии Application Monitoring автоматически распознают более 1000 приложений и в реальном масштабе времени и выдают информацию о показателях их работы.


Подключение устройства мониторинга Spyke к контролируемой сети

Многочисленными устройствами Spyke можно централизованно управлять с единой консоли. Эти устройства обеспечивают раннее обнаружение возникающих сетевых проблем, а также помогают изолировать и диагностировать их.