Caligare - makes the network better Contact Us |  Sitemap |  Our customers   Cisco Technology Developer Partner
  Products Services Offers Download Support About Partners   
 

Caligare Flow Inspector – Systém pro monitorování a analýzu datových toků


V minulosti byla oblast monitoringu použita především pro zajištění základní funkčnosti sítě, tedy stavu jednotlivých linek a sledování jejich chybovosti. V současnosti se potřeby monitorování rozdělují do více oblastí a to převážně do oblasti monitorování vybrané, konkrétní služby (aplikace) nebo do oblasti monitorování směrem k celé trase datového přenosu mezi komunikujícími klienty. Kromě zájmu správce sítě na zajištění a optimalizaci provozu datové sítě a jejich služeb, přibývají nově i povinnosti vyplývající ze zákona.

Poslední vývoj v oblasti síťových aplikací a služeb přináší změny ve struktuře celého síťového provozu. K požadavkům na monitorování zároveň přibyla i analytická potřeba vycházející z vlastního provozu sítě. Toto se poté promítá i do celé oblasti monitorování datového provozu sítě. Základní otázkou pak může být - co je vlastně rozumné, smysluplné a efektivní monitorovat? Různé skupiny uživatelů mohou mít a maji samozřejmě jiné nároky na monitorovací systém. Základem je však poskytnout uživateli ucelené a přehledné informace o celkovém stavu a vývojových trendech sítě, jejích službách, aplikacích a uživatelích. Kvalitní monitorování je tudíž nezbytnou podmínkou úspěšného provozu jakékoli datové sítě.

Jedním z mnoha řešení monitorování a analýzy síťové infrastruktury mohou být technologie vycházející z principu přepínání paketů na základě přenášených datových tocích. V moderních směrovačích (nebo i inteligentních L2/L3/L4 přepínačích) byla v posledních letech implementována funkce pro export informací o jednotlivých datových tocích. Tyto exporty informací jsou v Cisco terminologii nazývány NetFlow Data Export (NDE). Zbytek textu popisuje fungování NDE v síťových zařízeních firmy Cisco Systems, která je vůdcem v oblasti vývoje této technologie.

Směrovač si dynamicky vytváří s každým přijatým paketem záznam v tabulce datových toků. Tabulka toků obsahuje rozličné informace, vždy však informaci nutnou k identifikaci datového toku, tedy zdrojovou/cílovou IP adresu, protokol, zdrojové rozhraní, zdrojový/cílový port (má-li smysl) a typ služby. Informace o datovém toku je jednosměrná. Pokud přijatý paket náleží už existujícímu toku jsou zaktualizovány v tabulce datových toků pouze položky počet bytů a počet paketů. Jelikož mají směrovače omezenou kapacitu paměti, je nutné tabulku datových toků určitým způsobem redukovat. Na každém směrovači existují dva parametry ohledně doby, po kterou může existovat záznam o datovém toku v tabulce, resp. čas než dojde k exportu dat k analyzátoru. Prvním parametrem je tzv. „inactive time“, tj. pokud do existujícího toku nepřijde po určenou dobu žádný paket, je informace o tomto toku exportována. Druhým parametrem je tzv. „active time“, tj. informace o datovém toku je exportována okamžitě po dosažení tohoto času. Vhodným nastavením těchto parametrů lze upravovat nároky jak na paměť a výpočetní kapacitu exportujícího zařízení, tak i na přenosovou linku a na výpočetní výkon analyzátoru.

NDE jsou přenášeny UDP protokolem na správcovský server nebo na monitorovací stanici. Již z výše popsaného vyplývá, že exporty informací o datových tocích mohou tvořit ohromné množství dat, zvláště na velmi rychlých sítích s gigabitovými přenosovými linkami. Toto sebou samozřejmě přináší mnoho problémů spojených se zpracováním a vlastním ukládáním dat.

NDE může být využit například pro následující typy aplikací:
  • monitorování datové sítě,
  • analýzu a správu sítě, případně i plánování rozšíření,
  • monitorování aplikací,
  • monitorování uživatelů a vytváření jejich profilů,
  • účtování,
  • dlouhodobé skladování informací o přenesených datech.

V tomto článku je představeno softwarové řešení firmy Caligare, která vytvořila systém Caligare Flow Inspector pro analýzu datových toků. Caligare Flow Inspector (CFI) umožňuje inteligentní analýzu a vyhodnocování síťového provozu zpracováním NetFlow statistik exportovaných ze směrovačů nebo přepínačů, které podporují NDE. Příkladem podporovaných směrovačů mohou být produkty již výše zmíněné firmy Cisco Systems nebo i firmem jako je Juniper, Extreme Networks, atd.

CFI umožňuje analýzu provozu téměř v reálném čase, inteligentní filtraci, agregaci a statistické vyhodnocení dat. Dále poskytuje multikriteriální selekci dat na úrovni jednotlivých datových toků (například dle zdrojové/cílové IP adresy, použitého protokolu, portů apod.) a zahrnuje také heuristické metody umožňující zpracování protokolů používajících dynamické porty.

CFI poskytuje uživateli
  • Monitorovaní datových toků na velmi rozsáhlých sítích.
  • Detailní informace o jednotlivých datových tocích na úrovni vrstvy L3/L4 ISO/OSI síťového modelu.
  • Hodinové, denní, týdenní a měsíční statistiky.
  • 26 základních statistik.
  • Možnost zvolení z palety různých grafů pro každou statistiku.
  • Možnost definice vyhledávací podmínky podle sítě, použitého IP protokolu, použitých TCP/UDP portů, detekované aplikace.
  • Možnost uložení vyhledávacích podmínek do profilu pro pozdější použití.
  • Archivace jednotlivých grafů pro pozdější analýzu.
  • Definice více uživatelů, každý z uživatelů může mít jiná oprávnění.
  • Informace o aktuálním stavu zařízení a jednotlivých portech přes SNMP protokol.
  • Možnost definice pravidel pro vlastní aplikace.
  • Archivace datových toků.
  • CFI disponuje možností redundance všech prvků, rozložení zátěže na více prvků.
  • CFI je podporován veškerými distribucemi Linuxu (Debian, RedHat, SUSE, Slackware, atd.).
  • Možnost použití samo-instalačního CD bez nutnosti znalosti OS Linux.
Přenesená data
Obrázek: Statistika přenesených dat v prostředí Caligare Flow Inspector Software.

CFI slouží také ke zmapování datových toků v dané počítačové síti - například pobočky versus centrála. Mezi nejdůležitější parametry sledování patří:

  • objem přenesených dat mezi lokalitami,
  • jakou měrou se aplikace podílejí na vytížení linky,
  • kdo s kým komunikuje,
  • počet navazovaných spojení,
  • nejaktivnější stanice,
  • rozložení zátěže v jednotlivých hodinách,
  • nejvhodnější doby pro údržbu sítě.

Výstup měření a analýz je vhodný pro využití v dalších možných projektech organizace, jejichž cílem může být například optimalizace datových linek, což s sebou přináší vhodnou implementaci nastavení ACL listů na hraničních směrovačích a nastavení QoS (kvalita služeb).

Nejaktivnější zdroje dat
Obrázek: Přehled nejaktivnějších zdrojů dat v síti zobrazen v spojnicovém grafu. Utilizační mapa
Obrázek: Mapa s vytížením jednotlivých uživatelsky definovatelných objektů.

S využitím CFI může právě Vaše organizace získat velmi nepostradatelný nastroj, který slouží k monitorování, analýze a managementu stávající počítačové sítě a k plánování jejích budoucích parametrů. Software rovněž napomáhá k velmi efektivní ochraně počítačové sítě, identifikuje zdroje virové nákazy, zabraňuje možným útokům na počítačovou síť a možným ztrátám dat. Použitím CFI software udržíte plnou funkcionalitu, získáte potřebnou bezpečnost, spolehlivost, dostupnost a využijete plnou kapacitu Vaší podnikové počítačové sítě.

Více informací o produktu Caligare Flow Inspector lze nalézt na domovské stránce firmy Caligare http://www.caligare.com.



Lontact: caligare@caligare.com
Copyright: Caligare
Modifikováno 7. prosince 2005

  © 2003-2024 Caligare. All Rights Reserved.  Terms of Use  | Privacy Statement  | Site Map  | Contact Us