Выбирай : Покупай : Используй

Вход для партнеров

Вход для продавцов

0

Сеть под другим углом: как архитектура «прозрачности» меняет ваш взгляд на привычные вещи

Прозрачность имеет первоочередное значение. Когда дело доходит до сетей, то чем прозрачнее ее структура, тем лучше вы понимаете и контролируете все используемые приложения и аппаратную инфраструктуру: виртуальные, физические, облачные, центральные и распределенные компоненты.
Прозрачность имеет первоочередное значение. Когда дело доходит до сетей, то чем прозрачнее ее структура, тем лучше вы понимаете и контролируете все используемые приложения и аппаратную инфраструктуру: виртуальные, физические, облачные, центральные и распределенные компоненты.

Чем лучше прозрачность сети, тем глубже ее понимание

Инфраструктура сегодня становятся больше и сложнее. С ростом скоростей и объемов данных, проходящих через сети, наблюдение, управление и защита данных также требуют больше ресурсов: как машинных, так и человеческих. Тактические «точечные» решения вчерашнего дня перекрыты эволюцией сети сегодня; существует серьезная необходимость в стратегической, прочной, масштабируемой и прозрачной архитектуре. Эта архитектура должна показать всю картину сети и ее мельчайшие детали для того, чтобы иметь полное представление о ней.

В 1674 году Антон ван Левенгук заглянул в каплю воды из пруда с помощью нового типа объектива, который предлагал невиданное до сего момента увеличение. Внезапно он открыл новый мир, и все изменилось навсегда.

Повышенная уязвимость повышает необходимость «прозрачности»««прозрачности»»

Причины , влияющие на рост сетей, хорошо известны. Новые технологии порождают постоянный спрос на доступ к сетям. Уровень проникновения, мобильность, постоянная потребность в доступе и необходимость в еще больших скоростях только увеличиваются. Сегодня более 80 процентов трафика дата-центров приходится на маршруты между серверами.

Почему прозрачность сети так важна?

Сети всегда уязвимы. Полная прозрачность всего трафика имеет решающее значение для выявления проблем и их быстрого разрешения. С большим количеством неконтролируемого перекрестного трафика и трафика между виртуальными машинами сеть все чаще подвергается атакам, в ней имеют место несоблюдение политик безопасности, постоянные потери доступа к сети и иное нарушение стабильной работы. Вызывает беспокойство еще и тот факт, что большинство проблем в cетях по-прежнему неизвестны и открываются с течением времени, а их решение появляется много после этого.

Угрозы безопасности очень непредсказуемы, а вредоносные приложения и программы всегда ищут новые уязвимости в сети. В настоящее время 50 процентов всех атак произошло в организациях с более чем 2500 сотрудников. Этот процент держится стабильно с 2011 года, но фактический объем целевых атак на самом деле удвоился. А целевые атаки на малые предприятия с числом сотрудников до 2500 увеличились втрое с 2011 г. (Отчет Symantec Website Security Threat 2013).

Вне зависимости от ее мощности, размера или влияния, сеть всегда крайне уязвима. Инфраструктура сети и критически важные данные в ней подвержены постоянному риску.

Потери, Нарушение целостности и искажеие данных

Защита сети требует глубокого понимания каждой системы, приложения и устройства. Сложность инфраструктуры должна быть нейтрализована, задачи – автоматизированы и упрощены, чтобы сеть не была раздавлена своими собственными размерами. Осознание аномальной активности позволяет IT-специалистам работать активней, чтобы свести к минимуму возможный ущерб. Как внедрение новых технологий, возможностей и увеличение количества пользователей, необходимость «прозрачности»««прозрачности»» сети продолжает расти.

«Мертвые точки»: что происходит, когда «прозрачности»««прозрачности»» нет

Частичная видимость сети – это как полет не на том самолете: он летит, но не туда, куда вам нужно, и в итоге все получается даже хуже, чем если бы вы вообще не вылетали. Ограничения «стандартных» подходов к «прозрачности»««прозрачности»» выливаются в провалы систем безопасности, которыми пестрят заголовки газет.

Еще до того, как объемы данных начали лавинообразно расти, инструменты мониторинга присоединяли вручную с помощью TAP-и SPAN-портов. Однако с тех пор, как скорость резко возросла до 10 и даже 40 гигабит в секунду, эти инструменты не были обновлены, и со временем стоимость их обслуживания и количество в общем только росли. Сети уже не хватало доступных SPAN-портов и TAP-портов, и как результат – ограничение доступа к данным, необходимым для полной «прозрачности»««прозрачности»». Последовательная потеря пакетов несет в себе угрозу сетевой безопасности и нарушение способности сети быстро реагировать на запросы. Серьезное увеличение нагрузки и нехватка портов привели к появлению злополучных «мертвых точек»: это те области сети, которые инструменты мониторинга не могут увидеть и, следовательно, контролировать.

Такие фрагментированные участки являются идеальным местом для накопления ошибок и предварительных атак. Магниты для «мертвых точек» в общем случае таковы:

  1. Корпоративные слияния и поглощения, которые приводят к объединению совершенно разных сетевых топологий и технологий.
  2. Увольнения и добровольный уход ключевых сотрудников.
  3. Бюджетные сокращения, которые ухудшают возможности мониторинга.

Циклы миграции также начали опережать возможности мониторинга. Потому что инструменты не могут отличить данные, которые нуждаются в мониторинге, от данных, которые дублируются или «неинтересные»; в этих случаях инструменты становятся перегруженными. Инструменты без возможности фильтрации данных продолжают истощать свой потенциал, в то время как IT-бюджеты прогибаются под тяжестью обновлений и капитальных расходов. Как же пакеты данных могут быть собраны, отфильтрованы и систематически проанализированы во избежание проблем?

Вредоносные программы никогда не уходят в отпуск. В январе 2012 года произошла утечка данных 24 миллионов покупателей из базы магазина одежды и обуви Zappos, и в довершение ко всему обнаружились сопутствующие вредоносные плагины для Firefox и Chrome. Ботнет Keilhos тоже вернулся после перерыва в четыре месяца, и немедленно начал наверстывать упущенное. И это было только начало года.

Ожидания клиентов управляют миром

Клиенты требуют круглосуточный доступ к приложениям с немедленным откликом, высокую производительность, непрерывное подключение, доступность, масштабируемость, безопасность и нормативную подотчетность. Соглашения об уровне обслуживания (SLA) должны быть выполнены. А IT-организации должны ожидаемо обеспечить бесперебойную работу для клиентов в безопасной и постоянно доступной сетевой среде. Устаревшие инструменты обеспечения безопасности уже не в состоянии справиться с нагрузками и теряют данные с ростом обрабатываемых объемов.

Благодаря «прозрачности»««прозрачности»» сетей IT-специалисты могут управлять основной инфраструктурой и данными, которые они доставляют своим пользователям. Прозрачность позволяет им выполнять соглашения об уровне обслуживания в интересах конечных пользователей. Специалисты могут управлять инфраструктурой лучше и устранять проблемы с доступом к данным быстрее.

Ожидания клиентов никогда не были так высоки и более сервис-ориентированы

Трудности с масштабируемостью

Предприятия смещаются в сторону управления серверами виртуализации, миграции скоростей до уровня 10/40/100 гигабит в секунду, консолидацией дата-центров, реализации концепции BYOD, и т.д. Любое решение по увеличению «прозрачности»««прозрачности»» должно учитывать стремительно растущие скорости сетей и объемы пакетов. В то время как организация расширяется географически, инфраструктуре мониторинга нужна прозрачность по всей распределенной сети.

Суть масштабируемости лежит гораздо глубже простого добавления ресурсов, это понятие включает в себя полное понимание взаимоотношений различных участков сети. Архитектура должна быть спланирована с учетом поддержки текущей емкости, обеспечивая в то же время достаточную масштабируемость и гибкость для поддержки будущего роста.

Многие считают, что реальная проблема недостатка масштабируемости кроется в основополагающих принципах безопасности сети и нехватке производительности.

Архитектура «прозрачности»««прозрачности»» сети

Покупка большего числа инструментов, в попытках догнать уходящий поезд, контрпродуктивна; это все равно что пытаться упростить задачу, увеличивая ее сложность. Прозрачность сети характеризуется собственной архитектурой, возможностью адресации пакетного доступа и управлением потоками пакетных данных. Архитектура «прозрачности»««прозрачности»» собирает, управляет и распределяет потоки пакетных данных для мониторинга и анализа, она идеально подходит для экономии средств, предоставляя надежность и устойчивость. Экономические преимущества «прозрачности»««прозрачности»» сети также бесспорны.

Архитектурный подход к «прозрачности»««прозрачности»» позволяет реагировать на немедленные требования роста сети, а также на вопросы управления, доступа, контроля и стоимости. Эта архитектура позволяет оптимизировать производительность и стоимость инструментов уже на месте, без капитальных и эксплуатационных затрат. С возможностью доступа к приложениям на низком уровне, команда может перейти мгновенно от метрики высокого уровня к мельчайшим деталям, определить причины проблем и принять немедленные меры для их устранения по первому же сигналу, резко снижая затрачиваемое на ремонт время (MTTR).

Масштабируемая архитектура «прозрачности» обеспечивает устойчивость сети и контроль за пакетами, не усложняя ее элементы. Так как отсутствие доступа является основным фактором в появлении «мертвых точек», архитектура «прозрачности» обеспечивает полный доступ для мониторинга и применения средств безопасности. TAP-устройства предлагают надежные точки доступа к траффику сети, в то время как брокеры сетевых пакетов (NPB) обеспечивают расширенную фильтрацию, агрегацию, дедупликацию, а также предлагают другие функции, обращая внимание только на «полезный» трафик.

Предлагаемые возможности для отдельных приложений и сессий способствуют лучшему развитию архитектуры, в то время как политики и управление отдельными элементами помогают автоматизировать процессы и интегрироваться с существующими системами управления.

Управление архитектурой «прозрачности» инфраструктуры требует интуитивного визуального/графического интерфейса, который прост в использовании и обеспечивает быструю обратную связь в операциях: в противном случае, архитектура может стать просто еще одним сложным элементом сети.


Архитектура сетевой «прозрачности» IXIA охватывает сетевые и виртуальные TAP-устройства,Bypass коммутаторы, брокеры сетевых пакетов (NPB), мониторинг приложений и сессий, а также уровень управления.

Сетевые брокеры: двигающая сила «прозрачности»

Брокеры сетевых пакетов (NPB) – компактные, аппаратные и монтируемые в стойку – предлагают широкий спектр возможностей для обработки и управления сетевыми пакетами. Они предоставляют необходимые средства для повышения производительности рабочих инструментов и расширения возможностей для предоставления наивысших скоростей сети. Сетевые брокеры оптимизируют доступ и прозрачность трафика одной или нескольких сетей, будучи связанными с инструментами мониторинга, безопасности и средствами ускорения, и также предлагают:

  1. Совокупный мониторинг трафика из нескольких линков.
  2. Фильтрацию и чистку трафика.
  3. Восстановление и балансировку нагрузки трафика для нескольких инструментов.

Брокеры сетевых пакетов также предварительно фильтруют трафик для того, чтобы избавиться от избыточности и использования лишних ресурсов. Они также разумно распределяют трафик от сетевых устройств через порты по схемам «многие-ко-многим», «любой-ко-многим», «многие-к-любому», и «любой-к-любому».

Стандартный уровень сети L2 – L4 пакетной передачи данных по-прежнему представляет ценность, и, чтобы действительно понять инфраструктуру вашей сети и то, как правильно реагировать на требования клиентов, необходимо посмотреть, какие приложения запущены. Требуется уделить внимание артефактам производительности на уровне приложений, т.е. уровня L7. Применение «умной» системы управления и контроля приложений (той, которая может анализировать пакеты, основываясь на типе приложения и его условий использования) теперь доступно для понимания взаимодействия пользователя и приложений, что жизненно необходимо первым. Эта технология расширяет преимущества брокеров и является следующей ступенью эволюции в повышении «прозрачности» сети.

Система управления и контроля позволяет динамически определить все приложения, запущенные в сети. Вы можете захватить различные сигнатуры для известных и неизвестных приложений, давая сетевым администраторам полное представление о сети. Кроме того, хорошо продуманные решения «прозрачности» предлагают углубленную контекстную информацию, такую, как точное место доступа к приложению, типы пользователей сети, операционные системы и типы браузеров, используемых для доступа.

«Брокеры разумно распределяют трафик от сети к устройствам через назначения портов – «многие-ко-многим», «любой-ко-многим», «многие-к-любому», и «любой-к-любому».

Брокер сетевых пакетов повышает ценность ваших инвестиций в инструменты

Возможность оптимизации производительности и нагрузки существующих инструментов на скоростях выше 10 и даже 40 гигабит стала сегодня актуальной, как никогда раньше. Брокеры сетевых пакетов NPB обеспечивают существенную экономию средств, повышая уровень безопасности без ущерба для функциональности.

Возможности брокеров:

  • Балансировка нагрузки решает проблему скорости, растущей быстрее, чем возможности ваших инструментов. Это также решает и проблему нагрузок, не требуя новых капиталовложений и сохраняет текущие инструменты до ближайшего апгрейда системы.
  • Пакетная дедупликация устраняет избыточные пакеты данных, передаваемые по TAP-устройствам и SPAN-портам на полной скорости линии по направлению к инструментам мониторинга, значительно увеличивая пропускную способность системы.
  • Обрезка пакетов (Packet trimming)удаляет полезную нагрузку из пакета, прежде чем он достигает инструментов мониторинга или безопасности, для улучшения емкости и производительности данных инструментов.
  • MPLS Stripping позволяет обрабатывать данные MPLS трафика обычными устройствами мониторинга путем удаления из пакетов MPLS меток и приведению их к формату IPv4/IPv6.
  • GTP stripping удаляет GTP-заголовки из GTP-пакета, оставляя туннелированные заголовки L3 и L4. Предназначена для инструментов, которые не могут обрабатывать GTP-информацию заголовка для анализа туннелированных пакетов.
  • Расширенная защита от потерь предотвращает потерю пакетов при объединении нескольких сетевых потоков в единый поток 1G, обеспечивая постоянное получение инструментами мониторинга данных, в которых они нуждаются.
  • NTP time stamping помогает чувствительным к задержкам инструментам мониторинга знать, когда пакет проходит конкретную точку в сети – лучшие сетевые брокеры обеспечивают синхронизацию с точностью до наносекунды.

Пять советов инсайдера по развертыванию архитектуры сетевой «прозрачности»

1. Стоимость 

Возможно, самое первая проблема в проекте – это бюджет. Если у вас недостаточно средств, то вам, возможно, придется сократить расходы или развернуть систему в несколько этапов. Кроме того, нужно определить бюджет проекта. Если деньги принадлежит департаменту по безопасности, а вы находитесь в департаменте управления сети, то вам, возможно, придется начать переговоры. Составьте свой список пожеланий и определите стратегию развертывания.

2. Тип, размер, и масштаб

Определите, какой тип проекта будет добавлен к существующей инфраструктуре; будет ли это простое расширение существующих мощностей, либо полностью новый дата-центр. Наибольшее опасение у клиентов вызывает тот факт, что замена и модернизация оборудования требует много времени на планирование изменений, а также на запросы и техническое обслуживание операций и процедур. Если же это новое оборудование, то вы можете планировать именно то, что вы хотите. Дополнительные модули находятся где-то между этими двумя позициями. Узнайте свои временные рамки, чтобы спланировать то, что вам нужно: модернизацию или полностью новое оборудование.

3. Временные рамки

Сколько времени у вас есть до завершения проекта? Шесть месяцев или три? Нужны ли вам подрядчики или дистрибьюторы в этом проекте? Учитывайте еще и то, что вам, возможно, придется затратить больше времени, чем планируется.

Физическая инфраструктура

Узнайте в самом начале, с какими мелкими деталями придется иметь дело, и определите, сколько вам придется на них потратить. Возможно, у вас устаревшее оборудования, и вы что-то развертываете дольше обычного – например,увеличение многомодовых оптических кабелей при существующих одномодовых . Кроме того, вы должны определить, есть ли у вас достаточное количество медного кабеля для удовлетворения всех потребностей.

Технические требования

Спросите себя, каковы технические моменты необходимо соблюсти для эффективной развертывания «прозрачности»? Например, нужна ли вам дедупликация? Требуется ли сжатие пакетных данных для большего объема? Или очистка MPLS меток? Все эти вопросы важны и должны быть обязательно рассмотрены.

Развертывание архитектуры «прозрачности» в реальном мире

Полная оценка и анализ как краткосрочных, так и долгосрочных потребностей в «прозрачности» должны охватывать все IT-департаменты. Краткосрочное планирование, даже с учетом самых мельчайших деталей – не принимая в расчет будущие потребности – может привести к завышенной цене модернизации всей сети позже. Для того, чтобы избежать проблем в будущем, потребности мониторинга должны быть полностью взяты в расчет.

Тем не менее, вы можете использовать существующие инструменты мониторинга даже при миграции сети до 10, 40, и даже 100-гигабитных сетей с сохранением значительной части капитала. Перепрофилирование или повторное использование существующих инструментов мониторинга также уменьшает и операционные расходы, так как команда администраторов уже обучена и знакома с инструментами мониторинга, которые они использовали ранее.

Модернизация сети: с 1 гигабита на 10 или даже 40

Ресурсы инфраструктуры по обеспечению прозрачной сети, такие как брокеры сетевых пакетов, могут повысить эффективность сети, уменьшить ее сложность и минимизировать расходы на модернизацию сети. Брокеры сетевых пакетов доказали свою эффективность, помогая IT-департаментам повысить ценность вложений в инструменты гигабитной сети для повышения ее ценности и улучшения функциональности. Сдерживая новые капительные расходы и сокращая операционные, такие как обучение персонала и траты на новые инструменты, брокеры NPB важны с точки зрения экономической составляющей системы «прозрачности» сети.

Возможные проблемы

Будьте уверены в том, что обновили инструменты мониторинга при обновлении сети - или же возникнет риск неблагоприятного функционирования сети. Исследование и удовлетворение требований систем мониторинга после этого является основной причиной задержек в реализации проекта и перерасхода средств. Кроме того, сложность и внезапно возросшие операционные расходы при первоначальной попытке мониторинга в обновленной сети – это проблемы, не затронутые в первоначальной конструкции.

Слияния и поглощения

При слиянии разрозненных сетей вместе, Архитектура «прозрачности» сети может помочь свести к минимуму структурную сложность новой сети и ее стоимость.

Устаревшее оборудование

Внимательно следите за массивными «мертвыми точками», которые могут возникнуть в результате отсутствия «прозрачности» и мониторинга в тех местах, где она необходима больше всего. Сложность структуры сети может увеличиваться в то время, как разрозненные сети соединяются воедино, оставляя IT-команду гадать «как же получить систему мониторинга данных, которой можно пользоваться».

Кроме того, устаревшее или неизвестное оборудование, которое оставили в системе , может создать ощутимые прорехи в безопасности; неизвестное оборудование не используется, в то время как купленное новое и аналогичное оборудование может привести к избыточности, дополнительным расходам и запутыванию инструментов мониторинга.

«Исследование и удовлетворения потребностей в мониторинге после создания новой сети является основной причиной задержки в реализации проекта и перерасхода».

Управление архитектурой «прозрачности» сети

В рамках проектирования архитектуры «прозрачности» сети потребности администраторов должны быть исследованы и учтены с самого начала работы. Если не сделать этого, то управляющее оборудование (коммутаторы, TAP-устройства, инструменты мониторинга и т.д.) могут стать причиной возникновения многих проблем. Управление устройствами мониторинга сети должно совпадать с вашими потребностями и потребности ваших клиентов (внутренних и внешних). Гибкое управление сетевыми компонентами будет определяющим фактором при масштабировании сети.

Неизбежное увеличение размера и сложности сети необязательно должно значить увеличение сложности самого решения мониторинга. При правильном управлении вы можете контролировать и свести к минимуму сложность мониторинга.

  • Интуитивно: визуально удобный и простой для понимания интерфейс.
  • Интегрировано: «купил и работай», без дополнительной покупки компонентов.
  • Разумно: ресурсы наподобие мощной фильтрации данных и автоматическое обнаружение компонентов или действий на основе пороговых значений.

Три самые главные ошибки, и как их избежать

  • Ошибка #1: отсутствие связи. Если вы не общаетесь друг с другом, то можете в конечном итоге прийти к несоответствию между спецификациями и конфигурациями. Вы должны убедиться, что все люди, работающие с сетью, не только связаны друг с другом, но и понимают друг друга.
  • Ошибка #2: планирование архитектуры «прозрачности» сети без понимания приложений. Это не только риски в плане задержки время отклика или просто «провалы», это может значить также и повторные запуски процессов. Четко понимайте каждое приложение и знайте, как его контролировать.
  • Ошибка #3: неправильное или недостаточно подробное планирование жизненного цикла. У вас есть отличный план, и вы готовы начать развертывать систему, но не обновили все инструменты. Внезапная потребность в каких-то функциях или возможностях, о которых вы даже не догадывались, может привести к задержкам и потерям времени. Обязательно изучите инструкции и всю необходимую информацию, чтобы понять новые модели, оценить необходимость модернизации и дополнительные функции или возможности нового оборудования в целом. Пересматривайте все эти пункты каждые 6 месяцев или каждый год.

И напоследок

Момент роста трафика предъявляет беспрецедентные требования к сеть для полной «прозрачности». Ускоренное изменение и рост количества угроз для сетей являются их толчком для движения вперед, но также они способны быть причиной значительной экономии средств и внедрять новые эффективные функции, которые приносят пользу всей организации.


Архитектура «прозрачности»««прозрачности»» IXIA предлагает конечное решение для сетей, которое позволяет мгновенно реагировать на возникающие проблемы. Это решение является прогрессивным, своевременно отвечающим на запросы пользователей и гибким, оно объединяет надежные технологии и ресурсы для масштабируемости, оно выгодно покупателям, оптимизирует производительность и, наконец, является надежной защитой от угроз для организации сегодня и завтра.

Версия для печати
Комментарии
Статьи по теме