Netscout Service Assurance - за та проти аналізу пакетів

Компанія NWU, офіційний дистрибутор рішень компанії Netscout, разом із представником вендора, провела вебінар на тему «Видимість, як послуга для критично важливих IT-служб», на якому познайомила із рішенням для комплексного моніторингу та управління сучасною мережевою інфраструктурою та забезпечення доступності критично важливих бізнес-послуг і продуктивності мережі.

 

Сьогодні ІТ-інфраструктури вимагають постійного моніторингу, тому що навіть короткочасний їх простій може обернутися значними втратами. Тому присвячений цій темі вебінар за участю експерта Netscout Олександра Томіка привернув увагу широкого загалу. Свій виступ пан Томік побудував у формі порівняння функціональності двох підходів організації моніторингу: за допомогою аналізу потоків даних та методом дослідження пакетів.

Представляючи рішення Netscout, він зазначив, що вони дають можливість проводити аналіз працездатності ІТ-інфраструктур як активними, так і пасивними методами. Перші є, власне, синтетичними тестами, з допомогою яких перевіряються не тільки відгуки серверів, а й функціонування таких хмарних сервісів, як Office 365. Тоді як пасивні передбачають аналіз реального трафіку користувачів. Він потрапляє в платформу через пристрої TAP, що розміщуються в локальній мережі, або безпосередньо з комутаторів.

 

Проведення дослідження ІТ-інфраструктури із застосуванням методу аналізу потоків дає інформацію про IP-адреси, протоколи, порти та інтерфейси. Якщо ж залучити аналіз пакетів, то можна також отримати дані про IP-адреси, протоколи та порти, але не вийде з'ясувати, через які інтерфейси йде трафік. Але аналіз пакетів дає можливість виявляти помилки додатків, наприклад, у разі відмови в обслуговуванні сервера. Крім того, аналіз пакетів дозволяє визначати які саме програми працюють у мережі, що особливо важливо для виявлення загроз. Також є можливість оцінювати оперативність відгуку додатка на запити, що надходять.

За наявності сервісу універсальних комунікацій аналіз пакетів надає інформацію про якість голосового зв'язку, причому це стосується і спеціалізованих пакетів, таких як Microsoft Teams та протоколу Voice over IP в цілому.

 

При роботі з зашифрованим трафіком аналіз пакетів дає інформацію про сертифікати, що використовуються, чого цілком достатньо без потреби в розшифровці.

 

Серед складнощів роботи з аналізу потоків доповідач відзначив широкий спектр ПО, що застосовується для цього. Зараз найбільш популярні Netflow v.5 і v.9, а також різноманітні модифікації, включаючи IPFIX, Sflow, Jflow і т. д. Але різношерстість форматів, що виникає у зв'язку з цим, може створити проблеми при взаємодії з системою моніторингу. У разі аналізу пакетів, такої проблеми не повинно бути, оскільки технологія Deep Packet Inspection розгортає інформацію, що видається нею, в стандартизованому вигляді.

Ще одне обмеження методу аналізу потоку пов'язане з необхідністю проводити вибірковий відбір трафіку за значних його обсягів. Для аналізу пакетів є дві опції – TAP та SPAN. При пасивному зборі за допомогою TAP ми отримуємо повнішу картину. Тоді як SPAN простіше у розгортанні, тому що не вимагає ніякого додаткового обладнання, але якщо при цьому залучені центральні пристрої, знижується їхня продуктивність.

 

Важливий аспект – потреба у зберіганні значного обсягу даних, які використовуються під час аналізу пакетів. Зазвичай він обмежується для зберігання протягом одного-двох тижнів. У цьому випадку технологія аналізу пакетів виділяє метадані.

Як зазначив доповідач, аналіз потоків корисний для загальної оцінки працездатності мережі та отримання статистики з виявленням основних потоків трафіку, включаючи волюметричне навантаження на сервери.

Своєю чергою головною метою аналізу пакетів є виявлення причин відмов. Це включає оцінку продуктивності додатків із виміром часу відгуку. А щодо аспектів безпеки ця технологія дає набагато більше інформації, ніж загальний обсяг трафіку, як у разі аналізу потоків.

Щодо розгортання двох типів рішень та їх порівняння. Для аналізу потоків у мережі розміщуються колектори, на які спрямовується трафік з різного активного мережного обладнання, включаючи комутатори та маршрутизатори. Процес збору такої інформації може здійснюватися як у дата-центрі, так і у віртуальному середовищі та навіть у публічній хмарі. З колекторів інформація надходить на вузол аналізу, де проходить її обробка. Головне, щоби не виникало несумісності форматів потоків.

 

Розгортання системи аналізу пакетів складніше і включає кілька рівнів. На першому розміщуються пасивні TAP, які відгалужують у систему аналізу, що формується, сигнали оптичних каналів передачі даних. На другому рівні розташовуються PFS, які агрегують трафік з десятків, а то й сотень TAP, а також зі SPAN в активному мережевому устаткуванні для передачі на пристрій аналізу InfiniStreamNG, що належить до третього рівня системи. Таке розгортання можливе як у фізичному, так і у віртуальному середовищі. В останньому випадку використовується віртуалізований аналізатор пакетів vStream. Він є і в магазинах додатків для широкого спектра публічних хмарних сервісів, дозволяючи проводити аналіз пакетів у цьому середовищі.

 

Розміщувати обладнання для аналізу трафіку у філіях, якщо такі є у корпоративній ІТ-інфраструктурі, має сенс лише в тому випадку, коли якісь програми розміщені саме у філії, а не в центральному офісі чи дата-центрі.

Центральним елементом системи аналізу пакетів Netscout є nGeniusOne, куди прямує вся зібрана vStream інформація для наочного подання.

Варто зазначити, що варіант аналізу трафіку в активному режимі реалізується з використанням рішення від Netscout – nGeniusPULSE. Для його розгортання достатньо використовувати компактні пристрої збирання трафіку nPoint. Докладач навів приклад конфігурації, коли nPoint встановлюється у філію, дозволяючи виміряти реальну пропускну спроможність каналу підключення, або порівнювати роботу доступу до послуг інтернет-банку у випадках підключення через бездротову та провідну мережу.

 

Пропоноване компанією Netscout рішення nGeniusOne об'єднує кілька елементів, що дозволяють наочно подати інформацію, що збирається системою, активувати повідомлення у разі якихось екстрених ситуацій для різних груп користувачів, провести аналітику продуктивності додатків і т. д. По суті, це єдина панель управління.

 

Олександр Томік трохи докладніше зупинився на структурі збору інформації у системі пасивного аналізу пакетів. Річ у тому, що бувають ситуації, коли регуляторні вимоги забороняють розкривати всі дані у трафіку. Наприклад, у разі банків небажано відкривати деталі профілю клієнтів. Тому на другому рівні агрегації трафіку для маскування деяких полів застосовують спеціалізовані пристрої Packet Flow eXtender (PFX), а не звичайні Packet Flow Switch (PFS). В арсеналі Netscout також є обладнання для розшифрування трафіку nGenius Decription Appliance, яке має сенс використовувати у випадку, коли стоїть завдання аналізу роботи вебпорталу.

 

Докладач звернув увагу на те, що система збору інформації Netscout при необхідності може стикуватися і з рішеннями інших виробників: наприклад, зі шлюзами безпеки або APT.

Зібрана як у віртуальному, так і у фізичному середовищі інформація проходить попередню обробку за допомогою патентованої технології ASI, яка дозволяє доповнити пакети метаданими для подальшого використання при централізованому аналізі nGeniusONE. При цьому вихідні «сирі» пакети залишаються у віртуальному середовищі або на фізичних пристроях.

 

Для розміщення у філіях виробник пропонує компактні пристрої Remote ISNG, оснащені здвоєними портами 10GE/1GE. А для дата-центрів пропонуються потужніші платформи.

 

Фінальним етапом процесу аналізу пакетів є обробка зібраної інформації в nGeniusONE. Це рішення наочно подає дані про продуктивність всіх систем, що є в ІТ-інфраструктурі підприємства. А при виявленні будь-якої проблеми можна в три кліки заглибитись до рівня пакета, щоб з'ясувати причину походження відмови. При цьому надається інформація про те, які саме групи користувачів зачепили: будь-то всі клієнти, наприклад Office 365, або навіть окремий співробітник.

 

Інформаційна панель nGeniusONE дозволяє групувати сервіси з наочним представленням метрик якості їхньої роботи. Так, наприклад, для контакт-центру відображається якість голосового зв'язку на будь-яких протоколах. Для базових ІТ-сервісів, таких як Active Directory та DNS, показується їхня працездатність. Формується інфографіка ступеня завантаження каналів широкосмугових інтернет-каналів. Окремо представляється продуктивність важливих бізнес-сервісів: Office 365, Exchange і т.д.

Переконатися в працездатності, наприклад Office 365, дуже проблематично за допомогою аналізу потоків, оскільки цей хмарний сервіс включає безліч компонентів. І розібратися з тим, чи всі вони працюють належним чином, можна лише шляхом аналізу пакетів. А аналіз потоків лише дає інформацію про те, які порти взаємодіють один з одним.

 

Важливою особливістю nGeniusONE є наочне уявлення про топологію сервісів. При цьому відображається їхнє угруповання з розміщенням в тій чи іншій публічній або приватній хмарі. Така карта будується автоматично в nGeniusONE.

 

У наведеному доповідачем прикладі сервіс-монітора аналізувалася працездатність сервісу Sharepoint. У ньому у наочній формі виводиться інформація про його продуктивність та відсутність помилок, а також про рівень затримок відповідей на запити.

 

До складу nGeniusONE входить також монітор сертифікатів безпеки, який відображає інформацію про те, наскільки актуальними є сертифікати, що є в організації. Своєю чергою, засіб моніторингу уніфікованих комунікацій визначає якість голосового зв'язку із зазначенням рівня втрат, якщо такі спостерігаються по якихось каналах. Моніторинг мережі дозволяє відстежувати такі показники, як обсяг трафіку між різними вузлами чи утилізація смуги окремими користувачами.

Докладач зазначив, що в арсеналі Netscout є широкий спектр засобів декодування для різних протоколів, включаючи різноманітні карткові системи. Це дозволяє аналізувати пов'язаний із ними трафік.

 

Патентована технологія аналізу пакетів ASI (Adaptive Service Intelligence) компанії Netscout передбачає багаторівневу архітектуру. На першому з них виконується фільтрація пакетів, що дозволяє виділити із загального потоку ті дані, які допомагають виявляти проблеми. На наступному рівні визначаються сесії, потім збирається інформація про те, хто з ким спілкувався та з використанням якогось протоколу. Нарешті формуються індикатори основних показників продуктивності. Вони дають уявлення про продуктивність серверів, обсяг трафіку, працездатність додатків і т.д.

 

Підсумовуючи, Олександр Томік провів коротке порівняння двох методів моніторингу ІТ-інфраструктур: за допомогою аналізу потоків та пакетів. Він зазначив, що у разі застосування простішого при розгортанні методу аналізу потоків у великих мережах з інтенсивним трафіком можна використовувати пропоновані Netscout пристрої nGeniusONE Flow collector. Ця технологія надає прості метрики, такі як «хто з ким розмовляє» та визначення топових генераторів трафіку. За її допомогою можна розширити можливості інструментів виявлення відмов.

Але для точної діагностики проблем не можна уникнути аналізу пакетів, оскільки він забезпечує більш детальну інформацію. Для порівняння аналіз потоків виконується з періодичністю раз на хвилину, тоді як аналіз пакетів можна робити з кроком в мікросекунди. Таким чином, обидві розглянуті технології цінні, але виявлення відмов за допомогою аналізу пакетів набагато зручніше та точніше.