Обеспечение сетевого доступа для средств мониторинга

Сегодня успех деятельности многих предприятий и организаций в огромной степени зависит от надежности и качества работы используемых ими сетевых сервисов и приложений, на которые в свою очередь сильно влияют состояние и параметры сетевых инфраструктур, передающих трафик этих сервисов и приложений. Мониторинг сети, а также контроль ключевых параметров функционирования (KPI) сетевых сервисов и приложений помогают быстрее выявлять и устранять проблемы в их работе для поддержания качества обслуживания пользователей на должном уровне.

Оптимальное подключение

Контроль работы сети, а также сетевых сервисов и приложений предполагает захват и анализ сетевого трафика. Это делается не только с целью диагностики сетевых проблем, но и для оптимизации работы критически важных сервисов и приложений, а также для выявления угроз информационной безопасности и осуществления легального перехвата передаваемой по сети информации в рамках СОРМ.

Специалисты по ИТ используют различные средства мониторинга, включая анализаторы протоколов, зонды RMON, коллекторы NetFlow, системы IDS/IPS и пробники на базе серверных платформ, способные записывать большие объемы сетевого трафика (см. раздел «Анализ, мониторинг и диагностика корпоративной сети»). Для подключения их к сети с целью захвата подлежащего контролю сетевого трафика лучше всего использовать специальные сетевые ответвители или коммутаторы средств мониторинга, имеющие функцию такого ответвителя. В отличие от SPAN-порта Ethernet-коммутатора, который может быть перегружен и который не пропускает дефектные пакеты, сетевой ответвитель, включаемый в разрыв сетевого канала, позволяет контролировать весь (!) трафик, передаваемый по этому каналу, независимо от степени загрузки последнего. Сетевой ответвитель никак не влияет на работу контролируемого канала и не снижает его надежность, поскольку при сбое электропитания ответвитель для медной линии остается прозрачным для контролируемого трафика, а волоконно-оптический ответвитель — это пассивное устройство, которому вообще не требуется электропитание. Кроме того, поскольку подключенное через ответвитель средство мониторинга не нуждается в IP- адресе, оно является изолированным от сети, что значительно уменьшает его подверженность хакерским атакам.

В продаже имеется широчайший ассортимент сетевых ответвителей для медных или волоконно-оптических линий, поддерживающих различные максимальные скорости передачи данных — от 10 Мбит/с до 100 Гбит/с. Помимо обычных ответвителей, производятся регенерирующие ответвители, которые используются тогда, когда один и тот же трафик нужно контролировать с помощью нескольких средств мониторинга одновременно. Такое устройство выводит ответвленный трафик сразу через несколько своих портов мониторинга. Если же число сетевых каналов, которые нужно контролировать, превышает число имеющихся средств мониторинга, можно использовать агрегирующий ответвитель, который объединяет трафик из нескольких контролируемых каналов и выводит суммарный поток через один или несколько своих портов мониторинга. Однако скорость этого потока может превысить пропускную способность порта средства мониторинга, что приведет к недопустимой потере пакетов. Один из способов избежать этого — выбрать модель агрегирующего ответвителя с достаточно большим буфером.

Перегрузка средства мониторинга может произойти и при его подключении к более быстрому сетевому каналу (например, если с помощью 10-гигабитового ответвителя подсоединить анализатор с портом 1GE к линии 10GE). Для снижения нагрузки на средства мониторинга широко используется предварительная фильтрация ответвленного трафика, чтобы это средство получало только те данные, которые нужны ему для выполнения его основных функций (например, связанных с обнаружением вторжений в сеть). Также с помощью устройства с функцией балансировки нагрузки высокоскоростной трафик можно примерно поровну разделить между несколькими средствами мониторинга. При этом зачастую важно, чтобы сохранялась целостность передаваемых потоков пакетов, то есть все пакеты, относящиеся к одному и тому же потоку, должны поступать на одно и то же средство мониторинга (в группе средств с балансировкой нагрузки). Фильтрация трафика и балансировка нагрузки позволяют защитить инвестиции в имеющиеся средства мониторинга при внедрении все более высокоскоростных сетевых технологий. Функции агрегации, регенерации, фильтрации трафика и балансировки нагрузки имеются в коммутаторах средств мониторинга и балансировщиках нагрузки на них. Таким образом, если средства мониторинга приходится часто переключать с одного канала на другой и/или нужны функции фильтрации трафика и балансировки нагрузки, подключайте эти средства к сетевым ответвителям или SPAN- портам через соответствующие коммутаторы, а не напрямую.

Задействуйте обходной (bypass) коммутатор при необходимости использовать включаемое в разрыв сетевого канала (inline) средство мониторинга (например, IPS). Если это средство по какой-либо причине перестанет функционировать, обходной коммутатор направит трафик в обход него и тем самым сохранит (для пользователей) доступность критически важных сервисов и приложений. Наряду с обычными ответвителями и обходными коммутаторами, в продаже имеются интеллектуальные разновидности этих устройств, позволяющие просматривать статистику RMON без подключения специального устройства мониторинга. Поддержка RMON имеется и в коммутаторах средств мониторинга.

Компания Net Optics выпускает широкий ассортимент ответвителей, обходных коммутаторов, а также коммутаторы средств мониторинга семейства Director и эффективный балансировщик нагрузки xBalancer. Устройства Director коммутируют, агрегируют, регенерируют, фильтруют и равномерно распределяют подлежащий контролю трафик по подсоединенным к ним средствам мониторинга. Наиболее интеллектуальные члены этого семейства обеспечивает динамическое выравнивание нагрузки с сохранением целостности потоков и предварительную фильтрацию трафика с использованием функции DPI. В отличие от коммутаторов Director, устройство xBalancer способно равномерно распределять нагрузку на inline-средства мониторинга (также с сохранением целостности потоков). Для централизованного управления большим числом своих продуктов, установленных на контролируемой сети, компания Net Optics предлагает платформу управления Indigo Pro.

Контроль виртуализированных сред

В последние годы произошло широкомасштабное распространение виртуализированных сетевых сред, которые повышают эффективность работы ИТ-систем, их гибкость и снижают расходы. Однако трафик, передаваемый между виртуальными машинами на одном и том же гипервизоре, не может быть захвачен и проанализирован с помощью обычных физических средств мониторинга. Отсутствие контроля этого трафика создает угрозу информационной безопасности предприятия и затрудняет диагностику сетевых сбоев.

В качестве решения данной проблемы компания Net Optics предлагает использовать выпускаемое ею ПО Phantom Virtualization Tap (виртуальный ответвитель), которое предназначено для контроля трафика в виртуализированных вычислительных средах. Устанавливаемый в ядро гипервизора компонент Phantom Monitor данного программного решения может перехватывать весь трафик, передаваемый между виртуальными машинами через виртуальный коммутатор, интеллектуально фильтровать перехватываемые пакеты и пересылать подлежащие контролю данные средствам мониторинга. Он даже может отправлять перехваченный трафик на физический сетевой порт для контроля этого трафика с помощью традиционных физических средств мониторинга.

Решение Phantom Virtualization Tap не мешает работе виртуальных машин и не требует никакой модификации последних. Второй основной программный компонент данного решения — Phantom Manager — предназначен для сбора и выдачи информации о трафике, а также для управления многочисленными виртуальными ответвителями, работающими на контролируемых хостах. Выдается статистическая информация о работе виртуальных сред на уровнях 2 и 3 (число переданных пакетов, загрузка и др.). Конечно, для мониторинга виртуализированной среды можно выводить трафик из нее с помощью SPAN- портов виртуального коммутатора, но на это тратится до половины производительности данного коммутатора. Виртуальный же ответвитель Phantom Virtualization Tap не загружает виртуальный коммутатор, и пропускная способность последнего остается неизменной.

Решение Phantom Virtualization Tap совместимо с наиболее распространенными платформами виртуализации: VMware vSphere ESX/ESXi Server 4.x/5.x; Microsoft Hyper-V 8.x; Citrix Xen Server 5.6.x; Redhat KVM 2.6.32 и Oracle VM 3.0. Оно способствует обеспечению безопасности виртуальных сред, их надежной работы и соответствия нормативным требованиям.

Позаботьтесь о мониторинге заранее

В многоуровневой системе сетевого мониторинга различные ответвители, обходные коммутаторы и коммутаторы средств мониторинга, установленные на контролируемой сети и обеспечивающие простое и удобное подключение к ней разнообразных средств мониторинга, образуют уровень доступа (см. рисунок), который в компании Net Optics также называют Monitoring Access Platform (MAP). Данная платформа передает подлежащий контролю трафик средствам мониторинга (разного рода пробникам), которые в свою очередь снабжают информацией о работе сети, сетевых сервисов и приложений программные средства мониторинга и управления верхнего уровня.

Компания Net Optics рекомендует изначально планировать реализацию MAP в качестве составной части будущей сети и при ее построении инсталлировать устройства MAP вместе с другим сетевым оборудованием. Желательно, чтобы MAP была создана до возникновения сетевых проблем.

В архитектуре MAP необходимо предусмотреть возможности мониторинга трафика критически важных сетевых каналов на уровнях доступа, распределения и ядра сети, а также в ЦОДе, где находятся серверы предприятия. Поскольку в ЦОДе и ядре сети сосредоточено множество высокоскоростных линий, там рекомендуется устанавливать многопортовые агрегаторы каналов и коммутаторы семейства Director. Для контроля виртуализированных сред на серверах ЦОДа желательно задействовать виртуальные ответвители Phantom Virtualization Tap.