При внедрении 10-гигабитного Ethernet (10GbE) в корпоративную сеть необходимо соответствующим образом переоснастить систему мониторинга сети. Один из вариантов предполагает такую организацию и разделение потока с помощью оптимизации контроля трафика, чтобы по-прежнему можно было пользоваться имеющимися решениями для мониторинга гигабитного Ethernet.
Согласно опубликованному нынешней весной исследованию аналитического института Dell’Oro, на рынке коммутаторов Ethernet в 2010 году рост ожидается главным образом в сегменте 10-гигабитных продуктов, которые теперь используются не только в коммутаторах ядра, но и для подключения серверов и осуществления агрегирования в ЦОД. Порты для 10-гигабитного Ethernet стали стоить менее 1000 долларов, так что в этом году многие предприятия оснастят свою сеть технологией 10GbE. Тем не менее большинству сетевых администраторов приходится действовать по принципу «добиться большего меньшими средствами».
При планировании бюджета на внедрение 10GbE часто упускается из виду неизбежно возникающая дополнительная статья расходов — затраты на эксплуатацию сети, ведь сети 10GbE, обеспечивающие работу критически важных приложений, необходимо обслуживать как минимум по тем же стандартам, что и предшествующую им сеть, то есть различные решения для мониторинга сетей и приложений, используемые на предприятии, должны поддерживать стандарт 10GbE. В их число входят программы для контроля производительности приложений (Application Performance), системы контроля законности (Lawful Inspection) и обнаружения вторжений (Intrusion Detection), инструменты для соблюдения законодательных предписаний (Compliance), устройства для записи, средства мониторинга VoIP и анализаторы протоколов. Мало у кого из администраторов ИТ в этот экономически сложный период имеется в распоряжении достаточно средств, чтобы соответствующим образом переоборудовать все применяемые средства мониторинга.
ВЫХОД: ОПТИМИЗАЦИЯ МОНИТОРИНГА
На самом деле, инструменты для 1-гигабитного Ethernet можно использовать и для соединений 10GbE. Это оказывается возможным благодаря двум тесно переплетающимся тенденциям в области сетевых технологий: во-первых, большинство инструментов сейчас проверяет лишь небольшую долю сетевого трафика. Такие решения мониторинга работали бы даже эффективнее, если бы на них поступала только та часть сетевого трафика, которая действительно важна для проводимого ими анализа. Во-вторых, все большую популярность приобретают технологии для оптимизации контроля сети, которые фильтруют трафик и динамически перенаправляют его на инструменты мониторинга. В результате увеличивается охват контролируемого трафика и одновременно достигается экономия средств.
Подобная оптимизация процесса мониторинга позволит принимать 10-гигабитный поток данных и фильтровать его в соответствии с заданными критериями на втором-четвертом уровнях модели OSI. Это значит, что пользователь может настроить фильтрацию по MAC-адресу, по виртуальным локальным сетям (VLAN), по значениям Ethertype, по IP-адресам и по портам UDP/TCP. В большинстве случаев посредством фильтрации 10-гигабитный поток данных удается сократить до 1 Гбит/с и ниже. В результате отфильтровываются все ненужные данные, которые не требуются для работы определенного инструмента мониторинга (см. Рисунок 1). При такой интенсивности информационного потока отдел ИТ сможет и дальше использовать применяемые ранее средства мониторинга.
Однако важно, чтобы решение для оптимизации мониторинга было способно конвертировать полнодуплексные 10-гигабитные потоки данных в 1-гигабитные потоки без потери пакетов. Если скорость передачи данных после фильтрации превышает 1 Гбит/с, то с помощью балансировщика нагрузки (Load Balancer) администратор может разделить отфильтрованный трафик данных между двумя 1-гигабитными инструментами. В сетях с малой загруженностью достаточно всего одного 1-гигабитного инструмента для мониторинга нескольких 10-гигабитных каналов.
При этом фильтры трафика должны быть очень точно настроены на подключенные инструменты мониторинга и контролируемые приложения, а также на выполнение корпоративных задач. К примеру, классическому решению для мониторинга производительности приложений требуется только подлежащий контролю трафик TCP с портов приложений. Большинство решений для мониторинга соединений VoIP просматривают лишь определенные протоколы, такие как SIP, SCCP и MGCP. К тому же подобные специализированные инструменты работают наиболее эффективно, когда получают только ту часть потока данных, которая действительно их касается. Это необходимо учитывать, если 1-гигабитные инструменты планируется использовать для контроля 10-гигабитных каналов.
На первый взгляд фильтрация данных кажется несложной задачей, однако это обманчивое впечатление. К примеру, если фильтрация была произведена не до конца и инструмент получает больше данных, чем способен обработать, или ему присылаются не все требуемые данные, то мониторинг перестает быть полным и не охватывает весь сетевой трафик. Делая акцент на необходимости полного контроля сети, при выборе средств для оптимизации мониторинга специалистам по ИТ нужно учитывать простоту управления и надежность, а также возможность автоматического обслуживания.
РЕШАЮЩИЕ КРИТЕРИИ ДЛЯ ОПТИМИЗАТОРОВ МОНИТОРИНГА
Не каждое решение предоставляет интуитивно понятный графический пользовательский интерфейс (см. Рисунок 2). До сих пор встречаются системы, где необходимо вводить многочисленные сложные правила через командную строку (Command Line Interface, CLI). Другие, напротив, обладают графическими интерфейсами с поддержкой «перетаскивания» (drag-and-drop), благодаря чему настройка и администрирование системы выполняются не в течение многих часов, а за несколько минут. В результате создаются условия для разумной экономии, ведь чем проще управление решением, тем больше времени администратор может уделить выполнению других важных задач.
Кроме того, важно, чтобы решение умело автоматически реагировать на «совпадающие пакеты» (Overlapping Packets). Под этим имеются в виду пакеты данных, которые соответствуют критериям отбора для нескольких инструментов, а значит, должны отправляться им всем. Такое совмещение встречается во всех центрах обработки данных. Если система оптимизации мониторинга его не распознает, то контрольные инструменты не получают всех важных для них файлов, и мониторинг перестает охватывать весь сетевой трафик.
Эта проблема возникает из-за того, что большинство фильтров работают последовательно, то есть сначала применяется фильтр для первого инструмента мониторинга, затем оставшийся поток данных фильтруется в соответствии с требованиями второго инструмента, оставшиеся данные — по требованиям следующего и т. д. Однако при таком подходе для последующих мониторинговых инструментов фильтруется не весь поток данных, а лишь его часть. Когда для нескольких инструментов мониторинга используются общие порты SPAN или TAPS и нужно отфильтровать для них трафик данных, вероятность появления таких совпадающих пакетов очень высока. Если фильтры приходится настраивать через интерфейс командной строки, то процесс программирования становится очень трудоемким. Нередко задание фильтров для совпадающих пакетов требует написания более ста строк кода со сложными правилами, и тогда пользователь должен быть специалистом в области программирования фильтров.
В таких случаях администратору обязательно следует настоять на том, чтобы приобретаемое решение для оптимизации мониторинга было способно автоматически и тщательно обрабатывать совпадающие пакеты с помощью своих процедур фильтрации. В некоторых оптимизаторах, к примеру, требуется только указать, какой тип данных следует отправлять к каждому инструменту, а система затем автоматически осуществляет все трудоемкое кодирование.
АВТОМАТИЧЕСКОЕ ОБСЛУЖИВАНИЕ
Особенно непростая ситуация возникает, когда меняется конфигурация сети. Некоторые системы способны автоматически настраивать фильтры в соответствии с произведенными изменениями. Если правила фильтрации для совпадающих пакетов вводились через командную строку, то нетрудно предположить, какой объем работы предстоит в случае изменений в сети: администратору каждый раз придется не только настраивать параметры самой сети, но и заново задавать параметры фильтрации и настройки инструментов, осознавая, что это не последние изменения в сети.
Если ручное обновление фильтров через командную строку не будет поспевать за изменяющимся статус-кво, то охват сети процессом мониторинга неизбежно окажется неполным, поскольку контрольные инструменты не смогут получить все требуемые им данные. Таким образом, когда в локальной сети требуется обеспечить постоянный мониторинг на высоком уровне, то необходимо выбрать такую систему, которая не только качественно фильтрует поток данных, но и удобна в эксплуатации и способна автоматически проверять и настраивать фильтры в случае изменений в сети.
В качестве примера можно назвать решение Net Tool Optimizer серии 5200 компании Anué Systems. Устройства этой серии способны обрабатывать 1- и 10-гигабитный сетевой трафик в смешанном режиме (Promiscuous Mode) через интерфейсы RJ45, SFP и XFP, а также поддерживают различные методы для дальнейшей передачи трафика данных (см. Рисунок 3):
- One-to-Many распределяет входящий сигнал между несколькими исходящими портами, где выполняется фильтрация сигнала.
- Many-to-Many распределяет несколько входящих сигналов на несколько исходящих портов. С их помощью пользователь может распределять потоки данных из различных сегментов сети по разным инструментам.
- Many-to-One объединяет несколько входящих сигналов в один исходящий. Однако использование этой функции рекомендуется только в сетях с малой загруженностью.
Кроме того, решение помогает избежать потери пакетов при пиковых нагрузках соединения 10GbE благодаря функции фильтрации, которая в случае большого наплыва данных распределяет входящий сигнал по нескольким исходящим портам. К тому же производитель гарантирует, что данные могут попадать из сети только в оптимизатор, откуда они перенаправляются различным инструментам; обратный путь закрыт, то есть никому не удастся атаковать сеть с помощью оптимизатора или одного из инструментов мониторинга.
ИСПОЛЬЗОВАНИЕ ИМЕЮЩИХСЯ ИНСТРУМЕНТОВ
При внедрении 10GbE в существующую сеть совершенно необязательно полностью обновлять все инструменты мониторинга. Если предприятие воспользуется оптимизаторами сети, обеспечивающими соответствующую фильтрацию трафика 10GbE и его преобразование без потерь в 1-гигабитные потоки, то для соединений 10GbE можно будет использовать существующие инструменты.
Давид Эзер — руководитель отдела продаж компании Psiber Data, производителя и дистрибьютора решений для контроля сетей.