Идентификация, мониторинг и контроль производительности приложений при помощи маршрутизаторов Cisco
29 января, 2013 3 комментария
Бурный рост и распространение большого количества современных приложений в сетях приводит к тому, что их становится всё труднее и труднее идентифицировать и классифицировать. Это приводит к тому, что современные корпоративные сети становятся невидимыми для IT-служб организаций. Организации не знают, как используются ресурсы корпоративной сети, какие приложения в ней работают, сколько ресурсов используется нежелательными приложениями. Отсутствие этих знаний приводит к тому, что компании не могут контролировать и оптимизировать использование приложений и ресурсов своей корпоративной сети. Как следствие, из-за большого количества нежелательных приложений в сети, перегружающих каналы связи и ресурсы сети, пользователи испытывают проблемы с производительностью важных и критичных бизнес-приложений.
Трудности с обнаружением приложений связаны, в первую очередь, с эволюцией самих приложений. Всё больше приложений используют динамически назначаемые порты, и традиционных методов квалификации по статическим портам TCP/UDP уже недостаточно. Приложения становятся более закрытыми и непрозрачными, зачастую используются различные механизмы шифрования и туннелирования. Многие приложения в рамках сессий предполагают как передачу данных, так и голосовых и видео потоков. Для доступа к приложениям удобно использовать Web-интерфейс, так как при этом не требуется инсталляции дополнительного клиентского программного обеспечения – пользователю достаточно иметь только Web-браузер. Использование Web-браузера удобно, доступно, и позволяет использовать любое устройство (персональный компьютер, мобильный телефон, планшет и т.д.) для доступа к приложению. Таким образом, многие приложения становятся “скрытыми” за протоколами HTTP/HTTPS, которые обеспечивают их передачу, и по сути становятся новыми транспортными протоколами.
Многие традиционные средства классификации (например, NBAR) неспособны обнаруживать приложения в IPv6-трафике.
Другая тенденция, связанная с распространением и популяризацией облачных моделей, предполагает консолидацию всех ресурсов организации в центре обработки данных. Консолидация всех сервисов в центре приводит к тому, что организации тем самым удаляют ресурсы от своих своих филиалов и конечных пользователей и становятся зависимыми от производительности и пропускной способности каналов связи. Многие существующие распределенные WAN-сети построены на устаревшем оборудовании, которое не может обеспечить эффективное взаимодействие пользовательской и облачной инфраструктур и внедрение облачных сервисов по причине невысокой производительности, отсутствия возможностей для безопасной и надежной передачи облачных приложений, а также недостатка средств для мониторинга и управления облачным трафиком. Необходимо понимать, насколько хорошо работают приложения и какое время отклика у удаленных пользователей.
Доставка приложений предполагает прохождение трафика через большое количество устройств в сети. При возникновении проблем с работой бизнес-критичных приложений и жалоб на их медленную работу от пользователей довольно трудно определить источник проблемы и “узкое место” в сети. Традиционные средства диагностики (команды ping, traceroute, анализ маршрутных таблиц, состояния интерфейсов устройств и т.д.) не позволяют сетевым администраторам понять, в чём суть проблемы (рис. 1). Причиной может быть проблема с WAN-каналом, проблема с сервером, проблема с приложением. Причина также может быть и на стороне самого пользователя.
Рис.1
Решение компании Cisco Application Visibility and Control (AVC) представляет из себя набор интегрированных в маршрутизаторы (ISR G2 и ASR 1000) инструментов идентификации, мониторинга и контроля работы приложений в сети. AVC позволяет узнать о работающих в сети приложениях, трендах производительности, текущем времени отклика приложений для удаленных пользователей и т.д.. На базе полученной информации появляется возможность интеллектуально приоритезировать, контролировать и перенаправлять трафик бизнес-критичных приложений, что позволяет обеспечить более эффективную работу приложений и улучшить время их отклика для конечных пользователей.
Обнаружение приложений маршрутизаторами Cisco ISR G2 и ASR 1000 осуществляется при помощи механизмов глубокой инспекции пакетов DPI (Deep Packet Inspection) и протокола NBAR2. NBAR2 является развитием и более новой версией протокола NBAR, который позволял классифицировать более 150 приложений, использующих статические порты. Расширенные механизмы классификации NBAR2 с глубоким анализом потоков трафика (на уровнях L4-L7) позволяют идентифицировать более 1500 приложений, использующих как статические, так и динамические порты TCP/UDP с отслеживанием состояния. В отличие от NBAR версии 1, NBAR2 также поддерживает классификацию IPv6. Кроме этого, NBAR2 позволяет администраторам создавать собственные сигнатуры для приложений, которые не включены в стандартную библиотеку.
NBAR2 может применяться не только для обнаружения приложений и сбора статистики (количество пакетов, байт, bit rate и т.д.) по каждому идентифицированному приложению. Классифицировав приложения, можно применить политики QoS для них, например, ограничить полосу пропускания для трафика bittorrent или перемаркировать поля DSCP для youtube. Политики QoS позволяют обеспечить контроль полосы пропускания для классифицированных приложений. При помощи технологии PfR (Performance Routing) также можно реализовать контроль маршрутов приложений с учётом информации о состоянии и метриках производительности каналов связи (потери пакетов, загрузка канала, задержки и jitter) в режиме реального времени. PfR в интеграции с NBAR2 позволяют обеспечить адаптивный динамический выбор маршрутов для классифицированных приложений. Например, можно использовать один канал связи с низкой задержкой, jitter’ом и потерями пакетов для видеоприложений, а другой канал связи – для всего остального трафика.
Интеграция NBAR2 с технологией Flexible Netflow позволяет обеспечить IPv4/IPv6 мониторинг на уровнях L2-L7 для классифицированных приложений (рис. 2).
Рис. 2
В отличие от традиционного Netflow, технология Flexible Netflow позволяет явно указать необходимые для мониторинга ключевые поля кэша потока данных (Netflow-записи) и передавать кэш на несколько различных коллекторов Netflow посредством экспорта Netflow version 9 (RFC 3954) или IPFIX (RFC 5101). Кэш-запись Flexible Netflow может формироваться не только на базе IP-адресов, портов, интерфейсов. Использование NBAR2 позволяет добавить новое ключевое поле для Netflow – имя приложения. Таким образом появляется возможность отобразить статистику по количеству переданных пакетов и байт по каждому приложению в кэш-записях Netflow. Можно узнать, какие приложения работают в корпоративной сети, сколько в сети нежелательного трафика (bittorrent, youtube и т.д.), кто (какие IP-адреса) использует эти приложения и т.д.. На базе полученной информации можно применить политики QoS к выбранным приложениям и/или пользователям (IP-адресам). Механизмы извлечения HTTP-полей (field extraction) позволяют Flexible Netflow увидеть, к каким web-ресурсам (hostname и URL, например, www.google.com/news) обращаются пользователи и также собрать статистику по этим запросам.
Таким образом, при помощи Flexible Netflow и NBAR2 можно понять, какие приложения работают в сети, какая полоса пропускания используется этими приложениями, опеределить направления потоков передачи данных, какие пользователи и IP-адреса являются наиболее “активными” с точки зрения потребления трафика. Также на базе Flexible Netflow и NBAR2 реализованы интегрированные в маршрутизаторы Cisco ISR G2 и ASR 1000 средства расширенного мониторинга – Performance Agent (для критичных TCP-приложений) и Performance Monitoring (для голоса и видео).
Причиной плохого качества работы приложений может являться не только сетевая часть. Проблема может заключаться в низком времени отклика самих серверов. В таких случаях организациям трудно определить истинный источник проблем и “узкое место” при доставке приложения.
Маршрутизаторы Cisco ISR G2 с активированной функциональностью Performance Agent (IOS PA) могут обеспечить пассивный мониторинг времени отклика TCP-приложений для каждого сегмента с использованием более 40 метрик, таких как время TCP-транзакции, время отклика сервера, сетевая задержка на стороне клиента, сетевая задержка на стороне сервера и т.д.. (рис. 3)
Рис. 3
Маршрутизатор ISR G2 вычисляет значения метрик, располагаясь на пути прохождения трафика и инициализации TCP-сессий между сервером и клиентом. (рис. 4)
Рис. 4
На пути взаимодействия клиента и сервера может быть несколько таких маршрутизаторов с IOS PA. Таким образом можно разделить путь трафика на несколько сегментов и получить информацию по задержкам для каждого из них.
Интеграция Performance Agent с NBAR2 позволяет получить значения TCP-метрик не только по каждому сегменту, но и по каждому приложению. Как и для Flexible Netflow, статистика с одного или нескольких Performance Agent может быть передана (при помощи стандартного экспорта Netflow v9) Netflow-коллекторам и представлена в виде агрегированных графических отчетов. Проанализировав эти отчёты, администратор может получить представление о том, насколько хорошо работают приложения для удаленных пользователей, какое время отклика и приложений для удаленных филиалов, как долго передаётся файл по FTP с центрального сервера, как быстро грузятся web-страницы корпоративного портала и т.д..
Performance Agent собирает информацию только по TCP-приложениям. А как быть с голосом и видео? Для мониторинга метрик голоса и видео (задержки, потери пакетов, jitter, MoS) можно использовать функциональность Performance Monitoring, которая интегрирована в маршрутизаторы Cisco ISR G2 и ASR 1000. Performance Monitoring анализирует голосовые и видео потоки и собирает информацию о метриках производительности голоса и видео. При помощи NBAR2 можно идентифицировать приложение и собрать статистику по метрикам голоса и видео для этого приложения. Также IOS Performance Monitor позволяет настроить пороговые значения и триггеры. Например, в случае превышения уровня потери пакетов в 5% на маршрутизаторе, автоматически может быть отправлено уведомление syslog или выполнено другое действие.
Активировав на каждом маршрутизаторе функциональность Performance Monitoring, сетевые администраторы получают возможность понять, где именно в сети возникают проблемы с потерями пакетов, высокими задержками и т.д. во время RTP-сессий.
Performance Monitoring, также как Performance Agent, Flexible Netflow и NBAR2, поддерживает стандартный Netflow-экспорт статистики по мониторингу. В качестве коллекторов Netflow для экспортируемых данных могут быть использованы решения Cisco Prime Infrastructure с лицензией Assurance для всестороннего мониторинга и управления сетью, аппаратные платформы Cisco для сетевого анализа NAM (Network Analysis Module) и системы некоторых сторонних производителей. Cisco Prime Infrastructure с лицензией Assurance представляет из себя централизованную систему управления производительностью приложений, услуг и пользователей. Prime Infrastructure обеспечивает корреляцию и агрегацию данных для быстрой диагностики, выполняет анализ пакетов и потоков трафика и предоставляет агрегированную отчётность. Кроме этого, Prime Infrastructure может получать и агрегировать информацию с нескольких устройств Cisco NAM.
Заключение
Cisco Application Visibility and Control (AVC) представляет из себя набор из нескольких технологий маршрутизаторов Cisco ISR G2 (серии 800,1900,2900,3900), ASR 1000 и средств управления и мониторинга (рис.5).
Рис. 5
Интеграция технологий мониторинга с механизмами глубокого анализа потоков и протоколом NBAR2 позволяет получить информацию о работе приложений в сети, обеспечить контроль для каждого приложения, управление использованием сетевых ресурсов и улучшить работу приложений в сети. Помимо этого, AVC предоставляет богатые возможности для упрощения процедур поиска и устранения неисправностей в сети.
Пожалуй, самое важное преимущество решения AVC заключается в том, что весь функционал полностью интегрирован в маршрутизаторы Cisco ISR G2 и ASR 1000, и не требуется каких-либо дополнительных устройств. Если в сети организации уже используются маршрутизаторы Cisco 1900, 2900 или 3900, то возможность использовать временные лицензии на 60 дней для маршрутизаторов и программного обеспечения Prime Infrastructure с лицензией Assurance (evaluation-версия доступна на сайте www.cisco.com) позволяет оценить преимущества решения в вашей сети без каких-либо дополнительных затрат.
Ссылки и дополнительная информация: