Что следует знать ИТ-руководителю о трафике сети предприятия и о его структуре в настоящий момент и в ближайшем будущем, чтобы оптимизировать производительность и затраты...
Что следует знать ИТ-руководителю о трафике сети предприятия и о его структуре в настоящий момент и в ближайшем будущем, чтобы оптимизировать производительность и затраты
Назначение корпоративной сети передачи данных состоит в том, чтобы обеспечивать информационный обмен между сотрудниками и организационными подразделениями компании, а также взаимодействие с партнерами. Эти информационные потоки составляют основу для нормальной работы большинства бизнес-процессов современного предприятия.
Мощность информационных потоков в корпоративной сети обычно обозначают термином «сетевой трафик» (или просто «трафик»). Он отражает лишь относительное изменение объемов информационных потоков с течением времени, поэтому часто говорят именно об изменении величины трафика, а не о какой-либо фиксированной величине. Таким образом, трафик — это рейтинг изменения информационных потоков.
Представим себе ситуацию: к вам обратился хороший знакомый с просьбой дать напрокат ваш автомобиль. Вы хотите помочь знакомому и готовы предоставить на время свою любимую машину. При этом у вас наверняка возникнут вопросы: для каких целей будет использоваться автомобиль, во сколько вам обойдется такое использование, какие с этим связаны риски и т. д.
Корпоративная сеть предприятия — это «автомобиль», который обеспечивает быстрое и качественное «передвижение» для бизнес-процессов. Информационный обмен этих процессов порождает сетевой трафик, а трафик, в свою очередь, использует ресурсы корпоративной сети. ИТ-руководитель — это человек, который отвечает за состояние этого «автомобиля» — корпоративной сети, поэтому у него и возникают вопросы:
- для каких целей используются ресурсы сети предприятия в данный момент;
- как дорого обходится такое использование;
- как контролировать использование ресурсов сети;
- какие ресурсы потребуются в ближайшем будущем.
Для того чтобы ответить на них, ИТ-руководителю потребуется сделать три шага. Первый — сбор и первичный анализ сетевого трафика, которые должны выполнить подразделения ИТ-службы (группы сетевых администраторов, администраторов приложений, информационной безопасности). Шаг второй: на базе полученных данных ИТ-руководитель (совместно с руководителями подразделений ИТ-службы) проводит обобщенный анализ текущего состояния и тенденций изменения информационных потоков в сети предприятия. На этом шаге необходимо абстрагироваться от конкретных цифр, полученных на шаге первом, и взглянуть на ситуацию «с высоты птичьего полета», оценить качественные изменения, происходящие с сетевым трафиком. Шаг третий: ИТ-руководитель должен определить, насколько полученные результаты обеспечивают поддержку бизнес-процессов предприятия и соответствуют бизнес-требованиям компании, а также экстраполировать ситуацию в будущее с учетом бизнес-планов.
Для чего используется сеть?
Для ответа на этот вопрос следует определить, какую структуру имеет сетевой трафик.
Прежде всего нужно понять, какова загрузка каналов связи корпоративной сети. В первую очередь следует рассмотреть территориально распределенные каналы (Wide Area Network, WAN) и каналы доступа в Internet, так как в большинстве случаев они арендуются у операторов связи и, следовательно, представляют собой весьма дорогой сетевой ресурс. Затем стоит оценить нагрузку магистральных каналов внутри корпоративной сети и каналов в центрах хранения и обработки данных, поскольку от работы этих каналов зависит работоспособность всей корпоративной сети.
Сегодня существует множество инструментов (как платных, так и бесплатных), которые позволяют измерять и анализировать текущую загруженность каналов сети предприятия. По мере накопления достаточного количества измерений можно выявлять тенденции поведения сетевого трафика, прогнозировать его и оптимизировать. Например, если измерения показывают, что WAN-канал связи стабильно загружен лишь на 10% своей пропускной способности, то стоит задуматься о ее снижении, это поможет снизить затраты на аренду канала.
После того как получены общие сведения о загруженности каналов, необходимо оценить структуру трафика: какие приложения его генерируют и какие группы пользователей используют данные приложения. Такой анализ можно выполнить различными методами. В частности, большинство современного сетевого оборудования позволяет классифицировать проходящий сетевой трафик по группам и вычислять объем пропущенного трафика, предназначенного для отдельных пользователей. Если окажется, что 50% трафика Internet-канала — это mp3-файлы, то стоит задуматься о принятии организационных мер к любителям музыки (разумеется, если доступ к ней не требуется им по роду деятельности). Другой пример: группа пользователей порождает аномально большой трафик неизвестного приложения. Вероятнее всего, их компьютеры заражены вирусом типа «сетевой червь», поэтому сотрудники отдела информационной безопасности должны срочно провести проверку зараженных компьютеров.
После проведения структурного анализа сетевого трафика необходимо выяснить, как и насколько эффективно отдельные подразделения компании (группы пользователей) используют на деле те бизнес-приложения, которые они должны использовать в рамках существующих бизнес-процессов и должностных инструкций. Допустим, что в компании полным ходом идет замена ERP-системы и подразделения регулярно сообщают руководству предприятия об успешном переходе со старой информационной системы на новую. Между тем анализ сетевого трафика отдельных групп пользователей показывает, что старая система продолжает весьма активно использоваться, а новая система используется нерегулярно. Для ИТ-руководителя это является сигналом о том, что внедрение столкнулось с определенными проблемами: не продумана стратегия миграции со старой системы на новую, или не все бизнес-процессы удалось перевести на новую систему, или не все пользователи прошли обучение работе с новой системой.
На данном этапе ИТ-руководителю важно совместно с топ-менеджерами компании и руководителями подразделений определить приоритеты отдельных бизнес-процессов в рамках всей компании и подразделений. После этого ИТ-руководитель сможет спроецировать эти приоритеты на уровень приложений, которые задействованы в соответствующем бизнес-процессе. Основываясь на приоритетности сетевых приложений, можно определить приоритеты трафика в сети предприятия. Таким образом, выстраивается цепочка: приоритет бизнес-процесса — приоритет приложения — приоритет сетевого трафика.
Как оценить затраты?
Чтобы оценить затраты на доставку данных для WAN- и Internet-канала, можно использовать различные инструменты, осуществляющие учет трафика за определенный отрезок времени (для внутреннего учета трафика нет смысла тратиться на серьезные биллинговые системы). С помощью этих инструментов можно получить представление о количестве трафика по отдельным приложениям, а также по использованию приложения отдельными подразделениями. Поскольку тарифы операторов связи известны, такой инструмент внутреннего учета трафика позволит быстро и объективно рассчитать затраты на передачу трафика отдельного приложения, а при необходимости и затраты на трафик, приходящийся на каждое подразделение компании.
Например, компания провела анализ и оценила затраты на передачу трафика приложения, автоматизирующего документооборот. Руководство подразделения розничных продаж обратило внимание на чрезмерные затраты при работе сотрудников в удаленных офисах компании, подключенных по WAN-каналам. Последующий анализ показал, что служащие подразделения розничных продаж постоянно использовали в документообороте функцию рассылки документа на всех коллег по подразделению, поэтому каждый сотрудник подразделения во всех удаленных офисах ежедневно получал десятки весьма объемных писем от коллег. Решить проблему «внутреннего спама» удалось простыми организационно-техническими мерами: вместо рассылки документов стали использовать специально созданный форум, в котором публиковались новости подразделения, а сотрудники могли читать только те документы, которые были им действительно необходимы.
Как оценить затраты на доставку трафика внутри сети, используя только ресурсы корпоративной сети (без участия WAN- и Internet-каналов)? Для отдельного ее канала (магистрального или канала в центре хранения и обработки данных) с помощью тех же инструментов, что и для WAN- и Internet-каналов, можно определить количество трафика по отдельным приложениям и по подразделениям. Основная проблема здесь кроется в расчете тарифа за передачу трафика по внутреннему каналу.
Прежде всего следует подсчитать все расходы, связанные с эксплуатацией данного канала (амортизация активного сетевого оборудования, расходы на электропитание, расходы на охлаждение оборудования). Основываясь на полученных результатах, рассчитаем ежемесячные затраты, затем эту величину распределим по отдельным приложениям в соответствии с их пропорциями в суммарном месячном объеме трафика. Так мы получим оценку затрат на передачу трафика отдельного приложения по данному каналу в течение месяца. Разумеется, данный метод расчета не претендует на высокую точность, но позволит сравнивать трафик для отдельных приложений в рамках всей корпоративной сети.
С практической точки зрения более важно определить затраты на доставку трафика одного приложения для группы пользователей. Для этого необходимо проследить прохождение трафика приложения по всей корпоративной сети до участников этой группы и на каждом канале по пути следования оценить по отдельности затраты на передачу трафика. Этот метод расчета более трудоемок, но полученный результат может дать более точное представление о затратах на трафик отдельных информационных потоков.
Как контролировать затраты?
Итак, после ранее проведенного анализа нам уже известно, какие приложения используют ресурсы сети, какова приоритетность этих приложений в соответствии с бизнес-процессами и каковы затраты на доставку трафика. Рассмотрим ряд способов, которые позволят контролировать использование ресурсов сети и тем самым контролировать затраты.
Обеспечение качества обслуживания для отдельных приложений в корпоративной сети. Современное сетевое оборудование позволяет обеспечивать заданный приоритет (класс обслуживания) для сетевого трафика отдельного приложения на всем пути следования по корпоративной сети. (Разумеется, если на этом пути есть WAN-каналы, то приоритеты обслуживания трафика следует оговаривать с оператором связи.)
Отметим, что механизмы приоритезации сетевого трафика (они обозначаются сокращением QoS — Quality of Service, «качество услуг») должны быть включены на всем сетевом оборудовании корпоративной сети, поэтому должна быть выработана единая политика приоритезации трафика для всей сети целиком. В противном случае эффект от внедрения приоритезации может быть резко отрицательным.
Например, для подключения небольшого удаленного офиса компании был использован WAN-канал с очень небольшой пропускной способностью. В этом офисе активно использовали корпоративную систему документооборота, а для голосовой связи применялась система IP-телефонии. Сотрудники часто жаловались на плохую работу телефонов в рабочее время. Специалисты ИТ-подразделения были уверены в том, что WAN-канал «слишком узкий» для нормальной работы IP-телефонии и требуется увеличение канала. Детальный анализ показал, что неверно были выбраны настройки QoS для WAN-канала. После исправления данной ошибки ситуация нормализовалась, при этом существенных затрат на расширение WAN-канала удалось избежать. Более того, пользователи удаленного офиса отметили и улучшение скорости работы приложений документооборота.
До недавнего времени инструментов для обеспечения заданного качества обслуживания трафика было очень мало, они были чрезвычайно дороги и сложны в использовании (обычно они предназначались для операторов связи). Сейчас ситуация меняется: такие инструменты есть практически во всех системах управления сетевым оборудованием для корпоративных сетей, с их помощью можно контролировать приоритеты трафика и осуществлять детальную настройку политики приоритезации в рамках всей сети.
Сжатие трафика. Обычно этот способ используется для WAN-каналов. Идея его проста: трафик подвергается компрессии, затем передается по каналу, а по прибытии распаковывается. Это позволяет сократить объем трафика, передаваемого по WAN-каналу, а следовательно, сократить затраты.
В настоящее время на рынке предлагается широкий спектр оборудования, которое осуществляет сжатие сетевого трафика: его могут выполнять многие модели WAN-маршрутизаторов, а также специализированные устройства — так называемые WAN-компрессоры. Последние обеспечивают очень высокую степень сжатия трафика некоторых приложений, так как учитывают особенности структуры их трафика. Такие устройства обеспечивают также стабильную работу сетевых приложений при наличии ошибок на WAN-канале. Кроме того, WAN-компрессоры имеют развитые встроенные функции контроля за уровнем трафика отдельных приложений, что позволяет отслеживать выполнение политик приоритезации бизнес-систем.
Рассмотрим следующий пример. Для подключения удаленного офиса компании использовался WAN-канал с уровнем ошибок около 1% (увы, некачественные каналы связи — нередкое явление в российских регионах). Как показал сравнительный анализ, бизнес-приложение на этом канале связи работало в 2,5 раза медленнее, чем на другом канале, работающем без ошибок. (Такое парадоксальное поведение объясняется особенностями приложения и некоторыми недостатками протокола TCP/IP.) На этом проблемном канале связи были проведены тестовые испытания WAN-компрессора, который учитывает особенности трафика бизнес-приложения и может проактивно корректировать ошибки канала. Испытания показали, что с WAN-компрессором скорость работы бизнес-приложения практически равнялась скорости работы на WAN-канале без ошибок. После оценок затрат на передачу трафика этого приложения без WAN-компрессора и с его использованием было принято решение о его приобретении для этого проблемного канала связи.
Кэширование. Обычно к нему прибегают для оптимизации трафика Web-приложений. Этот способ применяется достаточно широко: работа с Web-приложениями осуществляется через кэш-сервер, который сохраняет у себя в памяти наиболее часто используемые Web-ресурсы и при повторном обращении к ним возвращает пользователю информацию из своей памяти, не обращаясь к самим ресурсам, таким образом не нагружая канал и снижая затраты на его использование. Кроме того, кэш-сервер позволяет сохранять подробный журнал для всего прошедшего трафика как по отдельным приложениям, так и по группам пользователей. Это дает возможность контролировать и анализировать кэшируемый трафик бизнес-приложений.
Кэширование часто применяется в корпоративных сетях для оптимизации трафика Internet-канала, поскольку пользователи корпоративной сети обычно обращаются к постоянному кругу Web-ресурсов. В частности, кэширование можно эффективно применять для оптимизации трафика бизнес-приложений: многие современные бизнес-системы (например, класса ERP) построены по технологии Web-приложений.
Еще один пример. Сотрудники крупного удаленного офиса компании работают с ERP-системой, построенной как Web-приложение (с использованием Java-апплетов). Установка кэш-сервера в удаленном офисе не дала практически никакого снижения трафика ERP-системы на WAN-канале. Анализ журнала кэш-сервера показал, что Java-апплеты ERP-приложения не кэшируются. После дополнительной настройки кэш-сервера трафик ERP-системы снизился на 40% от первоначального уровня. Это, разумеется, существенно снизило затраты на передачу ERP-трафика.
Разграничение доступа сотрудников к ресурсам Internet. Этот способ используется для оптимизации трафика, передаваемого по Internet-каналу.
На рынке имеется широкий выбор ПО, предназначенного для контроля доступа к Internet-ресурсам. Это ПО устанавливается на сервере контроля доступа. Настройки его политик позволяют определять, какой группе пользователей к каким группам Internet-ресурсов разрешен доступ. Группы таких ресурсов содержатся в специальной базе-классификаторе (эта база регулярно обновляется). Каждое обращение пользователя корпоративной сети к Internet-ресурсу проверяется через сервер контроля доступа. Это позволяет ограничить доступ к Internet-ресурсам, не связанным с деятельностью сотрудников (развлечения, знакомства, музыка, файлообменные сети и т. п.), а также к потенциально опасным ресурсам (хакерские и пиратские сайты).
Однако при внедрении такой системы контроля доступа возникает организационная проблема: сотрудники компании могут расценить такой контроль как вторжение компании в их частную жизнь. Этот вопрос лежит в юридической плоскости. Один из способов решения проблемы — при приеме человека на работу предлагать ему подписать документ, который предупреждает о том, что его телефонные переговоры и доступ в Internet могут контролироваться.
При этом специалисты службы безопасности должны максимально ограничить круг лиц, которые могут иметь доступ к системе контроля доступа в Internet, дабы предотвратить утечку информации о частной жизни сотрудников компании. Внедрение такой системы контроля доступа в Internet позволит резко сократить трафик в Internet-канале. Готовясь к ее развертыванию, ИТ-руководитель должен обсудить с руководством компании единые принципы построения политики доступа к Internet-ресурсам, а также согласовать выработанную политику с юристами на предмет ее соответствия общегражданским правам и свободам сотрудников компании.
Рассмотрим такой пример. В корпоративной сети 800 сотрудников имеют доступ к Internet. В среднем каждый сотрудник тратит в неделю до 1 часа рабочего времени на обращение к Internet, не связанное с должностными обязанностями. Учитывая средний тариф на Internet-канал, получим, что в неделю в среднем один сотрудник компании на непрофильную деятельность расходует три «казенных» доллара. Следовательно, за год коллектив урежет «казну» компании на 120 тыс. долл. Затраты на реализацию системы контроля доступа в Internet будут в несколько раз меньше. Таким образом, система контроля доступа в Internet позволит существенно снизить непроизводственные затраты на Internet-канал, а кроме того, высвободит время сотрудников для деятельности, полезной для компании.
Как спрогнозировать будущие затраты?
Накопленные аналитические данные о сетевом трафике позволят ИТ-руководителю составить прогноз на ближайшее будущее о том, как будет меняться сетевой трафик, каковы окажутся затраты на его передачу и какие меры можно принять, чтобы минимизировать эти затраты.
Для составления прогноза можно применять как простую линейную экстраполяцию, так и более тонкие методы статистического прогнозирования (например, используя соответствующую библиотеку Microsoft Excel). Конечно, следует помнить, что полученный прогноз будет отражать тенденцию развития исходя из текущей структуры бизнес-приложений. По мере развития компании наверняка изменятся и ее бизнес-приложения, их состав и назначение. Если перемены произойдут уже в ближайшем будущем, то необходимо провести анализ трафика этих бизнес-приложений в тестовой инсталляции. На основании этого анализа можно скорректировать прогноз поведения трафика с учетом грядущих изменений. После того как прогноз развития сетевого трафика составлен, можно оценить затраты на передачу трафика в будущем. Особое внимание следует уделить перерасчету стоимости передачи трафика через WAN- и Internet-каналы, так как развитие и изменение бизнес-приложений может привести к необходимости изменения пропускной способности или смены приоритезации трафика для данных каналов, что приведет к существенному изменению структуры и величины соответствующих затрат.
Цикл анализа сетевого трафика |
Кроме того, изменения в бизнес-приложениях могут повлечь за собой изменения во внутренних каналах. В частности, наверняка потребуется модернизация или закупка сетевого оборудования, не исключены изменения в архитектуре корпоративной сети. При оценке будущих затрат на передачу трафика все это необходимо учесть.
Будущие затраты на передачу сетевого трафика можно контролировать в первую очередь организационными мерами. Так, четкое поэтапное внедрение нового бизнес-приложения позволит спланировать затраты на передачу его трафика. Чисто технологически будущие затраты можно оптимизировать, применяя так называемые адаптируемые сети, которые позволяют динамически изменять архитектуру сети и приоритеты трафика в зависимости от изменения бизнес-приложений и бизнес-правил предприятия.
* * *
Итак, все оценки проведены. Что дальше? Не стоит почивать на лаврах! Поскольку корпоративная сеть постоянно растет и развивается, этими вопросами следует заниматься постоянно. Кроме того, этот цикл (см. рисунок) нужно выполнять при изменении бизнес-приложений и бизнес-процессов компании, расширении и изменении организационной структуры, а также при подготовке бюджета ИТ-подразделения. Все это позволит ИТ-руководителю точно оценивать и контролировать затраты на сетевой трафик в условиях постоянно меняющихся требований бизнеса компании.
Владислав Запоев - ведущий системный инженер компании Inline Technologies, vlad_z@in-line.ru