Cziráky Zoltán • Flow alapú forgalomelemzés előnyei és felhasználási területei

Flow alapú forgalom- elemzés előnyei és felhasználási területei

Előbb vagy utóbb minden vállalti IT infrastruktúra esetében eljön az idő, amikor valamiféle forgalommonitorozó rend-szer kiépítése szükségessé válik. Akár csak annak mérésére, hogy egyes hálózati szegmensekben mekkora forgalmak továbbítódnak, akár kapacitás tervezés előkészítéséhez, a hálózati forgalmat, annak összetételét és fizikai megoszlását monitoroznunk kell. Erre jó megoldást kínál a flow alapú forgalomelemzés.

A flow alapú forgalommonitorozás esetében a hálózatunk- ban megtalálható aktíveszközök interfészein áthaladó IP forgalmat „figyeljük”. Az SNMP-vel és RMON-al ellentétben nincsen szükség külső probe-okra vagy időszakos lekérdezés- re, hiszen a flow adatokat az aktíveszközök egyoldalú kom-munikáció útján, a beállításoktól függően, automatikusan továbbítják a feldolgozó rendszer részére. Rendkívül nagy előnye ennek a technológiának, hogy – bár a Cisco Systems fejlesztése - a legtöbb nagy aktíveszköz gyártó berendezé-sei képesek valamilyen változatát exportálni a feldolgozó rendszer részére, így semmiféle hardver beruházást nem igényel a bevezetése. (2., 3. ábrák)

A flow éppen annyi adatot tartalmaz (cél/forrás IP cím és port, L3 protokoll, ToS valamint logikai interfész), amennyi a forgalomelemzéshez szükséges, tehát ki, kivel, mennyit, mikor, mennyi ideig, továbbá milyen protokollon és mely hálózati interfészeket használva beszélget. Ha ezt az adat-mennyiséget képesek vagyunk érthető formában tálalni, kész is a forgalommonitorozó rendszerünk. Ennél az utolsó pontnál azonban érdemes egy kicsit megállnunk, hiszen az „érthető forma” nagy hangsúlyt kap, amikor üzemszerű használatra keresünk megoldást. Fontos továbbá azt is meg- jegyezni, hogy a flow technológia előnyeinek 100%-os kihasz- nálásához olyan robusztus adatbázisban kell tárolnunk az adatokat, mely az adatok veszteségmentes, pontos és gyors lekérdezést teszi lehetővé.

Milyen fontosabb területeken használható a flow alapú forgalomelemzés?

Üzemeltetés és hibakeresés:• Hálózati eszközök, interfészek és alkalmazások

használata valós időben;

2. ábra

1. ábra

3. ábra

2 EQUICOM Méréstechnikai Kft. • © 2011 Minden jog fenntartva • www.equicom.hu

• Riportok az utolsó teljes percig a valós forgalomról;• Hálózati forgalom problémákat okozó felhasználók/pár-

beszédek felismerése;• QoS ellenőrzése, megfelel-e a hálózati konfigurációnak;• Nem kívánt hálózati forgalmak figyelése.

Szerverek és alkalmazások:• Mely szerverek a leginkább leterheltek;• Mely alkalmazások szolgálják ki a legtöbb felhasználót;• Mely linkek továbbítják a legtöbb alkalmazást.

Üzletági számlázás:• Mekkora az üzletágankénti sávszélesség használat;• Egyes üzletágak mely alkalmazásokat milyen mértékben

használják;• Mikor van szükség az egyes linkek/eszközök bővítésére.

Kapacitás-tervezés:• Alkalmazás típusok, sávszélesség felhasználás és

eloszlás;• Eszköz/Interfész/Link kihasználtság;• Szerver kihasználtság.

Hálózat biztonság:• Port szkennelés/Hacking;• Virus betörések;• Szokatlan/Abnormális aktivitások;• Nem kívánt alkalmazások (TCP ports) vagy user-ek

(IP addresses).

Szolgáltatás minőség:• Felhasználók és alkalmazások mely forgalmi osztályokat

használják (QoS és DiffServ Tag-ek);• A sávszélesség milyen arányában jelennek meg a külön-

böző QoS és DiffServ forgalmak.

A következőkben nézzünk három olyan esetet részleteseb-ben, melyek meglehetősen aktuálisak, és gyakran vetnek fel kérdéseket a hálózatüzemeltetők körében.

Cziráky Zoltán • Flow alapú forgalomelemzés előnyei és felhasználási területei

WAN gyorsítási eljárások kiértékelése

Az elmúlt években bekövetkezett hálózatmigrációknak kö- szönhetően a mai WAN kapcsolatokra egyre nagyobb nyomás nehezedik. Ahhoz, hogy a költségeket kordában lehessen tartani, különféle eljárásokat kezdenek el alkalmazni, mint pl. a forgalmak osztályozása, különféle QoS és optimalizá-lási technikák, tömörítési és gyorsítási eljárások. Ez utóbbi ugyan egyszeri nagyobb beruházási költséget jelent, azonban a működési költségek, ROI és TCO mutatók tekintetében rentábilis lehet.

Ennek eldöntéséhez eszközökre van szükségünk, melyek konkrétan és számszerűen megmutatják, hogy egyáltalán érdemes-e ilyen beruházásokba vágnunk. Továbbá a beve-zetést követően sem árt megbizonyosodnunk arról, hogy az hozta-e az elvárt eredményeket.

A flow technológiát ezekben az esetekben is segítségül hív-hatjuk, hiszen költséghatékony választ ad arra, hogy:• kik a hálózati felhasználóim és milyen alkalmazásokat

használnak;• melyek a leginkább leterhelt hálózati eszközeim és azok

milyen hálózati forgalmat kezelnek;• hálózati teljesítmény problémák esetén vajon mi történ-

hetett;• a különféle QoS beállítások hogyan befolyásolják a háló-

zati teljesítményt;• és egyáltalán milyen a teljes hálózatom kihasználtsága.

Az első és legfontosabb lépés, egy ellenőrzési lista készí-tése, mely alapján láthatóvá válik, hogy mely telephelyek szorulnak WAN gyorsításra illetve milyen gyorsítási technika bevezetése ajánlott.

Az ellenőrzési lista a következő minimális lépésekből kell, hogy álljon:1. Azonosítsuk az összes alkalmazást a hálózaton

Mely telephelyeken milyen alkalmazások vannak jelen, ezek milyen mértékben, van-e közöttük olyan, amelynek a használata tiltott a hálózatunkon, stb. (4. ábra)

2. Azonosítsuk a legnagyobb sávszélesség felhasználókatKészítsünk riportot a kommunikációs párokról felhasz-nálói szinten, hogy láthassuk, ki milyen sávszélességet foglal illetve ez üzleti vagy egyéb forgalomból ered-e. Így további sávszélességet „spórolhatunk” meg a sávszé-lesség korlátozásával és más hálózati irányelvek beveze-tésével. (5. ábra)

3. Ellenőrizzük a QoS beállításokatAz eddigi vizsgálatok fényt deríthetnek a hálózati konfi-gurációs problémákra, mint pl. az MPLS esetében legjel-lemzőbb hibás QoS konfigurációkra. (6. ábra)

5. ábra

4. ábra

6. ábra

4 EQUICOM Méréstechnikai Kft. • © 2011 Minden jog fenntartva • www.equicom.hu

4. Keressük meg a torlódásokat és ezek gyakoriságátFontos tudnunk továbbá, hogy hol és milyen gyakran lép-nek fel hálózati torlódások. A hálózati eszközök és ezek interfészeinek monitorozása választ ad erre a kérdésre. (7. ábra)

5. Ellenőrizzük, hogy nincs-e vírus vagy féreg a hálózatbanA vállalati hálózatok forgalmának tetemes részét képezi a házon belüli szerverek által kiszolgált házon belüli alkalmazások forgalma. Ha képesek vagyunk kimutatást készíteni arról, hogy egy-egy host/szerver milyen gyako-risággal kommunikál más IP címekkel, látni fogjuk, hogy merre találhatóak szerver-szolgáltatást nyújtó gépek a hálózatunkban, illetve ezek mennyire „népszerűek”. Így azonosíthatók azok a szerverek is, melyek nem legális üzleti folyamatokat szolgálnak ki, és nem utolsó sorban azon hálózati gépek, melyeken vírus vagy féreg tevé-kenység történik. (8. ábra)

6. Vizsgáljuk meg az alkalmazások megoszlását a hálóza-tunkonÉs végezetül a legfontosabb lépés egy átfogó kép készí-tése a teljes hálózatról, hogy hol és milyen aktivitással milyen alkalmazások generálják a hálózati forgalom legnagyobb részét. (9. ábra)A WAN gyorsítási eljárás bevezetését követően ez az áttekintő kép fog választ adni arra, hogy mennyire volt sikeres az új technológia. A bevezetést követően a flow technológiát használhatjuk többek között arra is, hogy az esetleges hibás route konfigurációk miatt a gyorsítási irányelveket kikerülő forgalmakat azonosítsuk.

7. ábra

8. ábra

9. ábra

Cziráky Zoltán • Flow alapú forgalomelemzés előnyei és felhasználási területei

Virtualizált adatközpontok menedzselése

Első ránézésre a konszolidált adatközpontok üzemeltetése egyszerűbb feladat, azonban új kihívásokkal kell szembe-nézni ezekben az esetekben. Ilyen például a virtualizáció és a területek közötti együttműködés, kommunikáció. Az elmúlt években szinten kivétel nélkül minden vállalati IT infrastruktúrán használtak valamiféle monitorozási, telje-sítménymérési megoldást. A konszolidált adatközpontokban végrehajtott szerver és alkalmazás virtuálizációval ezek a hálózatmenedzsment követelmények nem változtak, csak a „játéktér” lett más. (10. ábra)

Csak a példa kedvéért: korábban, ha egy alkalmazás esetében lassulást érzékeltek, azt kellett eldönteni, hogy ezt a szerver, a hálózat, vagy maga az alkalmazás okozza. Mivel egy alkalmazást egy szerver szolgált ki, ez nem volt túl nehéz feladat. Manapság, mikor egy fizikai szerver több alkalmazást is kiszolgál, ez sokkal komplexebb feladattá válik. Általános hiba az üzemeltetők részéről, hogy csak a virtualizációs komponensekre fókuszálnak a teljes infrast-ruktúra és teljesítmény helyett.

A meglévő infrastruktúra elemek, mint a routerek, switchek, és virtualizált szerverek (pl. VMware) kihaszná-lásával a flow technológia költséghatékony megoldást kínál ezen virtualizált adatközpontok komplex menedzselésére.

A Cisco és egyéb nagy aktíveszköz gyártók, valamint a VMware berendezések is képesek flow adatokat szolgál-tatni, melyeket összegyűjtve átfogó képet kaphatunk a hálózat virtualizált és „hagyományos” részeiről is. Ezzel egy rendszerben oldható meg a teljes hálózat és az adat-központ teljesítmény menedzsmentje is, segítve ezzel a különböző IT területek közti együttműködést.

Üzletági számlázás

Bár a WAN kapcsolatok költség/Mbps aránya csökkenő tendenciát mutat, egyre több vállalat vezeti be – akár az ITIL részeként – az üzletági számlázást, mely részletezi a különböző vállalati egységek IT erőforrásokra vetített fel-használási arányát.

Egy ilyen eljárás bevezetésénél néhány fontos szempontot érdemes szem előtt tartani:• a rendszer üzemeltetése egyszerű kell, hogy legyen;• kerüljük a szolgáltatások ingyenessé tételét;• célszerű a felhasználás alapú költség megosztást alkal-

mazni, de ennek precíznek kell lennie;• válasszunk olyan költség modellt, amely illeszkedik az

üzleti céljainkhoz.

10. ábra

6 EQUICOM Méréstechnikai Kft. • © 2011 Minden jog fenntartva • www.equicom.hu

A legnagyobb kihívás mindig az egy ilyen rendszer beve-zetésekor, hogy elegendő értéket kínáljon, nagyobb beru-házás és többlet feladatok nélkül.

A flow technológia erre is megoldást kínál, hiszen a meg- lévő infrastruktúra elemeket használja, és biztosítja a fel-használás alapú költségeloszlást, hiszen részletes forgalmi adatokkal szolgál. (11. ábra)

Ha képesek vagyunk a flow rekordokban szereplő adat-halmazt olyan formában megjeleníteni, hogy abból egyér- telmű és pontos képet kapjunk az IT erőforrások üzletágan-kénti kihasználásáról, sikeresen hajtottuk végre a projektet. Az adatok megfelelő szűrésével és csoportosításával riport készülhet arról, hogy pl. egy-egy WNA kapcsolatot, szervert, vagy alkalmazást ki (felhasználó, felhasználói csoport, üzlet- ág, telephely, stb.) milyen mértékben használt adott idő-szakban. Ezekből időzített jegyzőkönyvek készíthetők vagy az adatok exportálhatók más rendszerekbe további feldol-gozás céljából.

Konklúzió

Fentiekből látható, hogy bár a flow technológia kifejlesz-tésének nem kimondottan a forgalom monitorozás volt a célja, a flow rekordokban található adatok megfelelő feldolgozásával egy sokrétű, könnyedén implementálható és használható monitorozó rendszer építhető ki.

Kérjük kérdéseivel, észrevételeivel forduljon bizalommal munkatársainkhoz.

www.equicom.hu

11. ábra