Sieć pod lupą
-
- 22.01.2013
Analiza ruchu pomaga administratorom w diagnostyce i utrzymaniu sieci. Mogą monitorować wydajność, wychwytywać i usuwać problemy podczas transmisji, wykrywać zagrożenia i zapobiegać im.
Do niedawna monitorowanie odrzucanych pakietów prowadzili niemal wyłącznie operatorzy telekomunikacyjni, obecnie taką kontrolę prowadzi się także przy zwykłych połączeniach wideo w sieciach klasy korporacyjnej.
"Dziś pozyskanie danych jest prostsze niż jeszcze kilka lat temu. Większość urządzeń może być próbnikami ruchu, można kontrolować zmianę opóźnień czy utratę ruchu w strumieniu MPEG. Po uzupełnieniu dedykowanych rozwiązań przez proste informacje możliwe do pozyskania za pomocą pułapek SNMP łatwo jest wyciągać praktyczne wnioski dotyczące pracy sieci" - wyjaśnia Łukasz Bromirski.
Na przykład informacja o odrzuconych pakietach MPEG w połączeniu z raportami ruchu umożliwia znalezienie przyczyn problemów z ruchem wideo. Jeśli zgłoszenie dotyczy złej pracy połączeń wideo na kilku stacjach roboczych, a jednocześnie w tym samym czasie pracuje na nich aplikacja o niskim znaczeniu biznesowym generująca duży ruch sieciowy, wiadomo, gdzie należy szukać przyczyny problemu. W niekontrolowanej sieci taki przypadek jest trudny do analizy, gdyż administratorzy nie dysponują statystyką ruchu.
Wadliwy kabel
Przy problemach z pracą aplikacji administratorzy często obarczają winą aktywny sprzęt i oprogramowanie. Zazwyczaj mają rację, ale bywa, że znalezienie powodu, dla którego sieć źle działa, jest trudne.
"Niekiedy przyczyną problemów z siecią może być coś, czego nikt przedtem nie podejrzewał. U jednego z naszych klientów po migracji do sieci gigabitowej pojawiły się problemy z przepustowością. Analiza ruchu wykazała, że przyczyną są kable łączeniowe wykonane przez studentów na praktykach. Pracowały one dobrze przy prędkości 100 Mbit/s, ale po migracji do sieci gigabitowej, generowały makabryczną liczbę błędów. Bez oprogramowania do monitoringu ruchu nie można było stwierdzić, co się w tym segmencie naprawdę działo" - mówi Marcin Ścieślicki, HPN business development manager w HP Polska.
Czy na pewno szybsze łącze jest potrzebne?
Analiza ruchu pomaga administratorom także w podejmowaniu decyzji o rozwoju infrastruktury. W praktyce rzadko znają oni szczegóły ruchu w danym łączu lub segmencie, a zatem decyzje o modernizacji lub podwyższeniu przepustowości podejmowane bywają intuicyjnie. Analiza ruchu może przynosić wnioski, których administrator nie brał pod uwagę - przepustowość jest wystarczająca, ale firmie przyda się optymalizacja ruchu. Niekiedy potwierdzi wstępną diagnozę i wskaże potrzebę inwestycji, ale aby móc wnioskować, trzeba najpierw zmierzyć.
Marcin Ścieślicki daje przykład: "Zawsze przed rozpoczęciem projektu związanego z modernizacją sieci zakładamy monitoring ruchu sieciowego. Informuje on o błędach fizycznych i logicznych, pokazuje wąskie gardła i miejsca, w których sieć wymaga modernizacji. W niektórych przypadkach okazuje się, że wystarczy nieco przeorganizować ruch, by podwyższenie przepustowości nie było konieczne lub by można było ten proces odsunąć w czasie. Niekiedy wyniki udowadniają, że modernizacja jest konieczna, a to dobry argument dla części biznesowej".
Co zatyka wąskie gardła?
Dobry monitoring sieci pokaże, jaka aplikacja z niej korzysta, pozwala ocenić rzeczywiste potrzeby. Wprowadzenie monitoringu umożliwi wykrycie wykorzystania sieci przez aplikacje o niskim znaczeniu biznesowym i usprawnienie pracy istniejących łączy.
"Sama informacja o zajęciu łączy niewiele wnosi, jeśli sieć jest zablokowana, dlatego że część administratorów wymienia między sobą napotkane w internecie filmy. Monitoring potrafiłby coś takiego pokazać, a co najważniejsze, potrafi również wskazać, że sieć jest zajęta ze względu na dostęp do aplikacji biznesowych, takich jak SAP. Znając wyniki pomiarów ruchu między serwerami i stacjami roboczymi, można niekiedy osiągnąć poprawę przepustowości, przeorganizowując model sieci" - wyjaśnia Marcin Ścieślicki.
Kto to nadaje?
Dzisiejsze sieci firmowe muszą sprostać zadaniu niezawodnego przesłania dużej ilości danych o różnym charakterze ruchu, co utrudnia osiągnięcie oczekiwanych parametrów wydajnościowych i żądanego bezpieczeństwa. Szczególnego znaczenia nabiera poszukiwanie niepożądanego ruchu. Warto uzupełnić informacje statystyczne o to, co można uzyskać przy wykorzystaniu wyspecjalizowanych narzędzi, takich jak Cisco Identity Services Engine.
"Za pomocą ISE można uzyskać informacje o zalogowanych użytkownikach generujących ruch, o systemie operacyjnym i aplikacjach, miejscu podłączenia danego komputera, a także wiele innych szczegółów. Można otrzymać próbki ruchu, by stwierdzić, co naprawdę robi dany użytkownik w sieci. Można wykryć konkretną aplikację odpowiadającą za dany ruch, a także poziom uwierzytelnienia użytkownika, z którego prawami ona pracuje. Ma to kolosalne znaczenie przy detekcji ruchu związanego z zaawansowanym technicznie złośliwym oprogramowaniem" - mówi Łukasz Bromirski, dyrektor techniczny Cisco Poland.
Czy u nas działa obca sieć?
Podstawowym źródłem, z którego administratorzy korzystają przy analizie, co dzieje się w sieci, jest duplikacja ruchu na port do analizy (tzw. span port). Jest ona możliwa przez sieć WAN, dostępne są także specjalizowane sondy zainstalowane na stacji roboczej, które mogą zebrać informacje o tym, co się działo na komputerze.
