Základem rozpoznání provozu na sedmé aplikační vrstvě je monitoring. Jaké jsou jeho možnosti? Co všechno můžete sledovat? Čtěte další díl průvodce řízením provozu sítě.
Minule jsme si řekli, že DPI (Deep Packet Inspection), tedy rozpoznání provozu na sedmé aplikační vrstvě, je pro kvalitní monitoring sítě stěžejní. Je to logické – informace, že na TCP portu 80 přenášíte momentálně 50 Mb/s vám příliš mnoho neřekne. Může se sice skutečně jednat o HTTP provoz, ale taky to může být BitTorrent. A i když to bude HTPP, může se jednat o internetové rádio, využívající tento protokol.
Pro monitorování provozu si lze v současné době zvolit řadu řešení. Paketový analyzátor jako je Ethereal/Wireshark, softwarové nadstavby různých výrobců, specializované sondy pro monitorování kvality VoIP a další. Každé řešení má přitom své uplatnění, problémem je ale malá flexibilita. Paketový analyzátor opravdu zaznamená každý paket a naprosto dokonale se hodí pro odhalování problému v komunikaci konkrétního uživatele s konkrétní aplikací na konkrétním serveru, nikoliv však k řešení problémů celé sítě. Vyžaduje velkou znalost daného protokolu i znalost ovládání daného programu. Nadstavby od konkrétních výrobců pak samozřejmě spolupracují výhradně s aktivními prvky tohoto výrobce. A pokud se díky VoIP sondě dozvíte, že MOS (Mean Opinion Score) je nízké a problém je s rozptylem zpoždění, je to bezpochyby zajímavé, ale informaci o příčině už nezískáte.
Aktuální stav sítě
Pro odhalování problémů je potřeba mít globální přehled – vědět, jak je síť celkově zatížená, znát počet spojení, počet nových spojení za sekundu (to se velice hodí při odhalování síťových červů, spamů i DoS útoků), mít přehled, kdo generuje nejvíce provozu („top“ uživatelé), která aplikace zabírá nejvíce pásma atd. Ideální je i možnost předdefinovat si pohled na síť, který poskytne dohledu přehled o stavu sítě (viz obrázek Aktuální stav sítě). Tyto informace nám ve více než 90 % případů poskytnou směr, kde hledat problém. Důležité je jednoduché a intuitivní rozhraní, aby se uživatel mohl soustředit na hledání informace, nikoliv na konfiguraci. Ideální je mít možnost odkazovat se z daného grafu na další, tzv. „drill down“. Například z grafu o nejaktivnějších uživatelích si lze kliknout na konkrétní jméno a podívat se, jaké aplikace používá a s kým momentálně komunikuje.
Klasifikace provozu
Někdy se problém týká výhradně určitého segmentu sítě, konkrétního uživatele, serveru nebo aplikace. Pak je vhodné mít možnost nastavit filtr pro sledování části provozu, která nás zajímá. Jinými slovy klasifikovat provoz z pohledu toho, co je pro nás zajímavé a důležité. Jaká klasifikační kritéria se nabízí? Logicky vzato je to:
- zdroj a cíl (např. MAC adresa, IP adresa, IP subnet, IP rozsah, host name)
- služba, respektive aplikace
- čas
- VLAN
- ToS (Type of Service), respektive DSCP (Differentiated Services Code Point)
To vše samozřejmě v libovolné kombinaci (viz obrázek Klasifikace provozu). Lze tak sledovat konkrétního uživatele na základě jeho IP adresy, provoz celého oddělení na základě subnetu nebo VLAN tagu, případně komunikaci účetního oddělení se SAP serverem v době měsíční účetní uzávěrky (viz obrázek Průměrný provoz za definované období).
Průměrný provoz za definované období
Jedna věc je okamžitý stav sítě, ale často nás zajímá i dlouhodobý trend. Jak roste zátěž sítě za posledního půl roku, jak vypadá typický provoz v pracovní době za poslední měsíc, kolik GB bylo přeneseno v síti za včerejší den atd. Na základě takových informací lze plánovat upgrade sítě, navýšení kapacity internetového připojení nebo výměnu serveru za výkonnější. Lze však také ověřit SLA (Service Level Agreement), tedy zda dodavatel dodržuje po celou dobu parametry služby, např. kapacitu spojení a jeho dostupnost. Naopak z pohledu poskytovatele lze tyto dlouhodobé údaje využít pro účtování služeb podle množství přenesených dat, eventuálně i podle přenášeného obsahu. Jinak budou zpoplatněny hry a jinak ostatní provoz. Řadu takových informací stojí za to mít k dispozici pravidelně, takže není od věci mít možnost předdefinovat si reporty včetně formátu (csv, pdf, jpg, xml atd.), které budou zasílány na e-mail uvedené osoby ve zvoleném intervalu (např. každý den, každé pondělí).
Tohoto průvodce vám přinášíme ve spolupráci se společností
Allot Communications.
