NetFlow i rozwiązania pokrewne definiują przepływ jako jednokierunkową serię pakietów przesyłanych od źródłowego adresu IP do docelowego adresu IP z wykorzystaniem tego samego protokołu (TCP, UDP, ICMP i inne). Jeżeli pakiety będą wykorzystywały zarówno protokół TCP, jak i UDP, dodatkowo zostaną uwzględnione w przepływie numery portów. NetFlow przekazuje siedem unikalnych parametrów identyfikowanych jako przepływ – źródłowy interfejs routera, źródłowy adres IP, docelowy adres IP, typ usługi ToS, protokół IP, źródłowy i docelowy port. Dodatkowo mogą być zbierane informacje o interfejsie przeznaczenia, ilości wysłanych danych i pakietów. Większość usług komunikacji wymaga transmisji w obu kierunkach, więc często można zaobserwować raport NetFlow jako przepływy powiązane z każdą ze stron komunikacji. Zaawansowany kolektor i analizator NetFlow pomoże w korelacji każdego z przepływów, co umożliwi widoczność w raporcie pełnej konwersacji. Niektóre wersje NetFlow i narzędzi pokrewnych wspierają także próbkowanie, które powoduje, że tylko jeden z danej grupy przepływów jest wykorzystywany do aktualizacji danych o przepływach. Zwiększa to wydajność rozwiązania, które w znaczący sposób wpływa na wydajność urządzeń sieciowych. Generowanie przepływów przez router lub przełącznik może doprowadzić do znacznego zmniejszenia wydajności urządzenia. Dobrym pomysłem jest więc realizacja funkcjonalności kopiowania pakietów na jeden z portów przełącznika (za pomocą funkcjonalności SPAN lub port mirroring) i generowanie przepływów przez dedykowane oprogramowanie. NetFlow i pokrewne mechanizmy są doskonałym źródłem informacji o bezpieczeństwie i kondycji sieci. Każda sieciowa komunikacja może zostać zapisana (logowana) z precyzją do milisekund, więc łatwo określić, czym zajmowaćsię w sieci określony użytkownik. Zdecydowanie szybciej przebiega analiza takich elementów, w przeciwieństwie do analizy sieci pakiet po pakiecie.

Protokół SFlow zachowuje się zupełnie inaczej niż wyżej wymienione. Największą zaletą sFlow jest bardzo duża skalowalność, duża dostępność parametrów analizy oraz konfiguracja przez SNMP. sFlow tworzy jedną próbkę z każdego strumienia ruchu (przykładowo 1 paczka danych na 512 lub 1 paczka danych na 1024). Pozwala to na bardzo szybkie i wydajne działanie mechanizmu. Oznacza to jednak również, że część komunikacji może zostać pominięta przez sFlow. Duże pliki, strumieniowe przesyłanie wideo z pewnością nie umkną analizie. Kolejnym problemem związanym z sFlow jest trudność w czasowym umiejscowieniu danych.

Zobacz również:

• Trendy technologiczne 2024 według AWS

Odpowiedź na pytanie, co będzie najlepsze do analizy ruchu nie jest łatwa i będzie zależała od konkretnej implementacji. W miejscach, gdzie potrzebna będzie raczej analiza bezpieczeństwa i powiązań w sieci, mechanizm NetFlow lub pokrewne będą niezastąpione. W miejscach, gdzie ruchu jest bardzo dużo i sprzęt sieciowy wykorzystywany jest bardzo intensywnie, jedynym sensownym rozwiązaniem będzie implementacja sFlow. W małych sieciach wybór rozwiązania będzie zależny od istniejącego sprzętu trasującego i przełączającego.

Analiza i obróbka informacji o przepływach może zostać przeprowadzona z wykorzystaniem darmowego i komercyjnego oprogramowania. Warto zapamiętać, że dzięki analizie WAN z wykorzystaniem przepływów łatwo i szybko zidentyfikujemy potencjalne problemy z wydajnością WAN. Łatwo będzie wskazać aplikacje, które monopolizują przepustowość, użytkowników maksymalnie wykorzystujących dostępne zasoby, przepływy wymagające priorytetyzacji. Analiza WAN będzie potrzebna także w bieżącym monitorowaniu wydajności WAN i wprowadzaniu modyfikacji konfiguracji QoS.

ZARZĄDZANIE WAN POPRZEZ MECHANIZMY QOS

Sprawdzenie, co dzieje się na styku WAN i wykrycie potencjalnych problemów to tylko część zadań związanych z optymalizacją. Tradycyjne metody optymalizacji (kompresje, deduplikacje i podobne) nie sprawdzają się w środowisku SaaS. W nowym podejściu optymalizacji WAN powracają do łask mechanizmy QoS. Podstawą optymalizacji WAN zawsze będzie technologia zarządzania jakością pakietów QoS (Quality of Service). QoS to cały zestaw elementów i technologii umożliwiających określenie, w jaki sposób aplikacje i usługi będą wykorzystywały zasoby przepustowości WAN. Dzięki QoS możemy priorytetyzować ruch, gwarantując wysoki poziom wydajności dla wymagających aplikacji. Aplikacje niewymagające specjalnego traktowania mogą uzyskiwać niski priorytet. Szczególnie wrażliwe na opóźnienia aplikacje, przykładowo głos czy wideo, będą umiejscowione zawsze na szczycie listy priorytetów. Z pewnością w związku z upowszechnieniem się usług oferowanych przez chmury, także aplikacje udostępniane w takiej postaci powinny zostać potraktowane priorytetowo.

Zarządzanie zatorami przy wykorzystaniu QoS odgrywa kluczową rolę w regulacji ruchu WAN. Ruch na poziomie WAN musi zapewnić połączenia dla aplikacji pracujących w czasie rzeczywistym, usług SaaS, ruchu Web i poczty elektronicznej oraz innych typów ruchu. Każdy typ ruchu wymaga innych parametrów połączenia uwzględniając opóźnienia, straty pakietów, zmienność opóźnień. Aplikacje czasu rzeczywistego (głos, wideo) będą wymagały niskich opóźnień oraz niewielkiej zmienności opóźnień. Konieczne dla tego typu ruchu będą kolejki zapewniające niskie opóźnienia. W przypadku ruchu TCP otrzymujemy zdecydowanie większą odporność na opóźnienia. Dotyczy to jednak tylko części aplikacji, w tym ruchu Web, pobierania plików czy poczty elektronicznej. Aplikacje typu VDI (Virtual Desktop Infrastructure) nadal będą wymagały dużej interaktywności. Konieczna jest więc konfiguracja mechanizmów QoS, w celu klasyfikowania ruchu i gwarantowania odpowiedniej przepustowości.

W przypadku realizacji QoS mówimy zazwyczaj o trzech etapach: klasyfikacji, znakowaniu pakietów, kolejkowaniu i kształtowaniu ruchu. Aplikacje mogą być klasyfikowane na podstawie parametrów przepływu. Najłatwiej klasyfikować na podstawie źródłowego i docelowego IP, źródłowego i docelowego portu, protokołu komunikacji. Przedstawione wcześniej mechanizmy analizy przepływów mogą być bardzo pomocne w tym zakresie. Klasyfikacji możemy także dokonać na podstawie aplikacji, przykładowo poprzez wykorzystanie znakowania pakietów VLAN i mechanizm DSCP. Zaawansowane rozwiązania pozwalające na inspekcję pakietów mogą także rozpoznawać aplikacje i automatycznie klasyfikować dane. Pakiety po przejściu przez proces klasyfikacji powinny zostać oznaczone. Znaczniki będą wykorzystywane przez inne elementy QoS oraz urządzenia wspierające QoS na trasie pakietu do miejsca przeznaczenia. Kolejnym etapem będzie kolejkowanie oraz kształtowanie ruchu. Poszczególnie klasy ruchu są obsługiwane poprzez kolejki z odpowiednim priorytetem. Ruch może być kształtowany przez określenie minimalnych gwarancji przepustowości, maksymalnej przepustowości, dopuszczalnego przekroczenia przepustowości.

Uzupełnienie mechanizmów QoS pomocne w optymalizacji WAN mogą stanowić mechanizmy wyboru ścieżki przez sieć PS (path selection), którą będą przesyłane określone pakiety. W przypadku WAN do niedawna mechanizmy zapewnienia redundancji oraz rozkładu obciążenia były zapewniane wyłącznie przez protokoły trasowania. Niestety protokoły trasowania nie zawsze dobrze wywiązują się z tej roli. Protokoły trasowania nie pozwalają na wybór ścieżki czy łącza na podstawie różnych parametrów stanu łącza. Rozwiązaniem tego problemu stały się mechanizmy wyboru ścieżki. Coraz częściej organizacje dysponują kilkoma połączeniami WAN o różnych parametrach. Dzięki możliwościom wyboru ścieżki możemy zdecydować, jakie aplikacje czy usługi będą przesyłane różnymi łączami WAN. Decyzję możemy podjąć mając na uwadze wydajność łącz WAN, koszty, bezpieczeństwo, dostępność. Przykładem takiego mechanizmu jest Cisco PfR, który potrafi dynamicznie reagować na problemy z łącznością WAN. PfR dynamicznie optymalizuje trasy na podstawie opóźnień, poziomu wykorzystania łącza, dynamiczną detekcję problemów ze ścieżką. W rezultacie PfR udoskonala wydajność sieci, optymalnie dystrybuuje obciążenie pomiędzy wieloma łączami, zmniejsza koszty łączy poprzez inteligentne wykorzystanie przepustowości. PfR może także zostać zintegrowany z mechanizmami trasowania Cisco IOS, mechanizmem NetFlow, IPSLA. Implementacja Cisco PfR wymaga routera brzegowego BR oraz kontrolera procesu MC. Router BR jest odpowiedzialny za zbieranie informacji o ruchu oraz implementacji decyzji wydawanych przez MC. W niewielkich wdrożeniach MC oraz BR mogą zostać zrealizowane przez jedno urządzenie. Wymagane jest także korzystanie z co najmniej dwóch łączy WAN.