Jak monitorować duży ruch

Do kontroli ruchu w niewielkiej sieci wystarczy duplikowanie na port analizujący lub użycie prostego tapa. Przy wielu segmentach sieci korporacyjnej czy operatorskiej niezbędne są dedykowane rozwiązania

Odfiltrowana statystyka ruchu

Ważną zaletą filtrowania ruchu do późniejszej analizy jest możliwość statystycznej oceny działania sieci per protokół. Ma to znaczenie w przypadku operatorów telekomunikacyjnych, którzy borykają się z problemem dostarczenia oczekiwanej wydajności dla bardzo różnorodnego ruchu - od przeglądania stron, pobierania i wysyłania poczty elektronicznej, aż po strumieniowane wideo w wysokiej rozdzielczości.

Pozyskanie pakietów za pomocą narzędzi takich jak tap czy port analizujący jest pierwszym krokiem do sensownej analizy. Gdy monitoruje się ruch w segmencie pracującym z prędkością gigabitowego interfejsu Ethernet, zazwyczaj wystarczy analizator wyposażony w dwie gigabitowe karty sieciowe. W większej sieci, złożonej z kilku segmentów, niezbędne jest urządzenie, które przekieruje ruch do analizatora, zapewniając jednocześnie filtrowanie zgodnie z regułami wskazanymi przez politykę bezpieczeństwa i load balancing między analizatorami. Takim urządzeniem jest director, który zapewnia komasowanie ruchu z tapów, sond i portów analizujących, przekierowanie zgodnie z zapisanymi regułami. Pierwsze takie urządzenia kierowały ruch do rejestratora bez zmiany, obecnie zostały wyposażone w algorytmy, które umożliwiają redukcję ilości informacji dopływających do rejestratorów. Analizatory są kosztowne, zatem operatorzy telekomunikacyjni rzadko decydowali się na wdrożenie urządzeń, które byłyby dostosowane rejestrowania do szczytowego obciążenia.

Analizować tylko niezbędny ruch

Obecnie można korzystać z gigabitowych analizatorów i rejestratorów do monitorowania 10 Gbit/s łączy, przy czym obsługiwane jest filtrowanie i dynamiczne równoważenie obciążenia.

Do filtrowania ruchu przed analizą korzysta się z inspekcji pakietów, co umożliwia kierowanie ruchu na podstawie zawartości, a nie nagłówków. Podstawowe filtry obejmują przekazanie do analizatora wybranych kategorii ruchu. Zatem zazwyczaj obejmuje to ruch HTTP, który analizuje pod kątem słów kluczowych, fragmentów treści, ruchu związanego z daną osobą czy e-mailem lub IP. Reguły te umożliwiają przekierowanie ruchu, który ma być archiwizowany do jednego urządzenia, a inspekcję z krótkim czasem retencji - do innego, który będzie poszukiwał wystąpień oczekiwanego wzorca. Metoda ta umożliwia znaczną redukcję ilości magazynowanych danych, zdejmując z analizatora obciążenie związane ze wstępnym filtrowaniem przejętego ruchu. Dodatkowo informacje, które byłyby szczególnie przydatne dla operatorów telekomunikacyjnych, takie jak odfiltrowana komunikacja według etykiet MPLS lub statystyki związane z ruchem przypisanym do konkretnych protokołów.

Po co filtrować

Powódź pakietów w silnie obciążonych sieciach sprawia, że znalezienie informacji jest trudne. Dopiero po odfiltrowaniu niepotrzebnych w danej chwili informacji i protokołów (np. ARP, POP3/SMTP, HTTPS przy analizie HTTP lub VoIP) można skupić się na poszukiwaniu żądanej treści.

Typowym zastosowaniem takiej analizy jest poszukiwanie niepożądanej informacji (nieautoryzowana publikacja poufnej treści), rejestrowanie ruchu dla potrzeb prawnych, identyfikacja ruchu, by przypisać go do konkretnego adresata, a także usprawnienie działania narzędzi badawczych, przez dostarczenie im lepszej jakości informacji.

Tap czy SPAN port?

Tap jest urządzeniem włączanym w wybranym miejscu sieci, by duplikowało ruch na port analizujący. Do tego portu można podłączyć sniffer lub urządzenie kierujące ruch (director) do rejestratora lub analizatora. Najważniejszą z zalet tapa jest duplikowanie ruchu dokładnie w takiej postaci, jak odbywa się ona w analizowanym łączu, z błędami sprzętowymi włącznie. Dzięki temu włączenie tapa umożliwia wykrywanie błędów sprzętowych, określenie problemów z połączeniem, a także analizowanie parametrów najniższych warstw. Dodatkowo tap jest skonstruowany w ten sposób, że dla analizowanego segmentu sieci jest urządzeniem całkowicie przezroczystym - ma wejście połączone z wyjściem, przy czym jest odporny na awarie elektroniki, rozłączenie analizatora sieci czy awarie zasilania samego urządzenia.

Z kolei duplikowanie ruchu na port analizujący (SPAN port) wymaga zmiany konfiguracji przełącznika sieciowego i powoduje wzrost obciążenia jego procesora. Uniemożliwia to także wykrywanie błędów spowodowanych na przykład awarią karty sieciowej lub innymi problemami, które przy włączeniu tapa można wykryć.

Tap jest skonstruowany w taki sposób, by duplikować ruch odbywający się z pełną prędkością łącza, bez żadnych opóźnień. Przełącznik wprowadza opóźnienie, ponadto dane agregowane z portu Ethernet 100 Mbit/s pracującego w pełnym dupleksie wymagają przepustowości 200 Mbit/s, czyli port analizujący musi być gigabitowy.

Zaletą duplikowania ruchu na przełączniku jest szybka zmiana analizowanego portu - wystarczy rekonfiguracja, by monitorować inny segment sieci, bez konieczności przełączania urządzeń.


TOP 200