Откуда берутся flows?

Flow data* являются основой современного мониторинга сети, помогая администраторам обеспечить надежность и безопасность данной среды. Но откуда берутся flow data? Есть несколько способов их получения, каждый способ обладает собственными достоинствами и недостатками. Давайте их рассмотрим.

Генерирование flows с помощью зондов Flowmon

Зонд Flowmon представляет собой специальное оборудование или виртуальное устройство, предназначенное для генерирования и экспортирования flow data из сетевого трафика. Зонд подключается к инфраструктуре сети через порты мониторинга. Существует несколько способов подключения к порту мониторинга и получения на зонде копии трафика:

  1. Зонд на порте зеркалирования (SPAN). Один из более легких способов подключения зонда к контролируемой сети. Порт мониторинга зонда подключается к порту маршрутизатора, на который зеркалируется сетевой трафик с других портов маршрутизатора. Недостатками этого способа является отсутствие номера интерфейса и ограниченная пропускная способность портов мониторинга. Этот вариант хорошо подходит для корпоративных сетей.
  2. Зонд на TAP-устройстве (Test Access Point). Этот вариант немного сложнее, потому что требует дополнительного оборудования (TAP), установленного в линию. С другой стороны, в этом случае порты RX и TX разделены, и вы можете захватывать все пакеты. Этот способ используется, главным образом, в сегменте Telco/ISP, а также в ЦОД. Но не забудьте, что при использовании TAP требуется два порта мониторинга на каждую линию.
  3. Зонд в виртуальной среде. Этот способ довольно похож на использование зонда на порте зеркалирования, но в этом случае маршрутизатор является виртуальным. Главным достоинством является прозрачность различных виртуальных сред.

* Flow data – данные сетевых потоков, данные статистики сетевого взаимодействия

Генерирование flows с помощью других источников

  1. Коммутаторы, маршрутизаторы, брандмауэры и другие источники. Экспортирование flow data из уже развернутых сетевых устройств является хорошим способом получить по максимуму от своих инвестиций. Нет необходимости развертывать и платить за дополнительное оборудование, но следует всегда протестировать качество и точность экспортированных flow data. Имейте в виду, что в этом случае у вас не будет метаданных протокола уровня приложений, а генерирование flows не является их основным функционалом – когда устройство сильно нагружено, экспорт flows может прерываться, а ваша сеть перестанет быть прозрачной. Примером использования может быть мониторинг дочерних офисов, а также обеспечение DDoS защиты в сегменте Telco/ISP (экспорт flows от граничных коммутаторов).
  2. Брокеры сетевых пакетов. Дублируя сетевой трафик всей сетевой инфраструктуры (как физической, так и виртуальной) и собирая его на одном месте, брокеры сетевых пакетов прекрасно справляются и с подачей трафика на зонд Flowmon, и с генерированием flow data. Таким образом, брокеры сетевых пакетов обеспечивают прозрачность всей сети, включая метаданные протокола уровня приложений. С другой стороны, если брокеры сетевых пакетов не развернуты в сети, то потребуются дополнительное оборудование и дополнительные расходы. Брокеры сетевых пакетов обычно используются в корпоративных сетях и ЦОД.
  3. Виртуальные платформы. Этот способ похож на использование flows с коммутатора/маршрутизатора, но в виртуальной среде. Преимуществом является получение встроенной и легко используемой прозрачности виртуальной среды, которая, в противном случае, была бы проблемной. С другой стороны, вы получите информацию уровня L3/L4 без метаданных протокола уровня приложений. Примеры включают в себя VMware NSX/VDS и Open vSwitch, используемые в малом и среднем бизнесе, ЦОД и в других сегментах.

Сравнение возможностей сбора flows с помощью зонда

pic1

Сравнение возможностей сбора потоков без зондов

pic2

Когда стоит предпочесть зонд другим источникам flows

Можно назвать множество преимуществ зондов Flowmon перед другими источниками. Во-первых, с помощью зонда вы получаете более точные данные даже на 100G соединениях, зонд Flowmon не пропустит ни единого пакета. Во-вторых, зонд Flowmon предоставляет более подробные аналитические данные о сетевом трафике в сравнении с другими источниками flows. Такие данные включают в себя метрики производительности сети и метаданные протокола уровня приложения (DNSDHCP и другие). Подобный подход будет очень эффективным при быстрой идентификации коренной причины, снижая среднее время разрешения проблемы. В-третьих, зонды Flowmon универсальны, они поддерживают различные протоколы туннелирования и уровня L2 и могут быть развернуты как в физической, так и виртуальной среде. И наконец, что не менее важно, зонд Flowmon может захватывать пакеты, что расширяет возможности его использования для мониторинга работы приложений (с помощью Flowmon APM), например, или для захвата пакетов по требованию в тех случаях, когда требуется более подробный их анализ. Кроме того, можно запустить захват пакетов, использую технологию обнаружения аномалий (Flowmon ADS), для последующего анализа происшествий.

Итак, теперь мы знаем, откуда берутся flows. Существует множество способов получить flow data, каждый способ имеет свои «за» и «против». Зонды Flowmon не всегда являются необходимостью, но они дают множество преимуществ, благодаря которым вы получаете подробные аналитические данные для быстрого разрешения проблем в сети, облегчая жизнь сетевым администраторам и снижая затраты на эксплуатацию сети.

Иcточник >

Сюжеты Аналитика, мониторинг и реагирование Новости партнеров