Rodina Analyzátoru Observer

Rodina produktů kolem analyzátoru Observer v současnosti představuje ucelenou řadu řešení pro analýzu a sledování sítě v širokém měřítku, ať už se jedná o dekódování paketů, expertní analýzu zachyceného provozu včetně VoIP, dlouhodobé sledování statistik sítě, statistické hodnocení v reálném čase, korelaci statistik, aplikační nebo forenzní analýzu.

Evolved Packet Core

Od verze 16 umožňuje Observer monitorování LTE sítí. Ty lze sledovat z hlediska připojených zařízení, využívaných aplikací, nebo podle konkrétního místa v EPC (Evolved Packet Core). Provoz je tak viditelný již od síťového rozhraní vysílače (eNodeB), přes brány SGW a PGW do datové sítě. Také je možné interpretovat provoz v řídící rovině na MME.

Mezi produkty řady Observer najdeme jak čistě softwarová řešení, tak hardwarové sondy pro užší použití. Softwarová část zahrnuje několik verzí analyzátoru Observer, jednoduchou sondu, expertní sondu, multi-sondu a expertní konzoli. Všechny tyto softwarové nástroje lze nainstalovat na téměř libovolné PC s operačním systémem MS Windows. Ovladače potřebné k zachytávání podporují i virtualizované operační systémy.

Hardwarová část zahrnuje duplexní gigabitovou sondu, 10-gigabitovou sondu a jejich přenosné varianty, které obsahují optimalizované síťové karty. Někdy ale ani to nemusí stačit pro zachytávání při plném vytížení linky. Proto je zde nejvyšší modelová řada sond GigaStor, která používá specializovaný hardware k zachycení všech paketů i na plně vytížené 10Gb lince (nezávislý test je možno najít na tolly.com. K dispozici je i 40Gb varianta, která ale zatím v Česku nenachází příliš velké uplatnění.

Výhodou celé rodiny je vlastnost, kterou výrobce – Viavi Solutions – nazývá Unified Codeset: ačkoliv analyzátory podporují širokou škálu síťových platforem, od sériových linek, přes ATM, SAN a FDDI až po 40-gigabitový Ethernet a WiFi, rozhraní pro uživatele zůstává pro všechny stejné. Řešení je také distribuované díky své třívrstvé architektuře – analyzátor se skládá ze sondy, která data pořizuje a ukládá. Druhou částí je konzole, která komunikuje s libovolnou sondou,může ji řídit a prezentuje data, která byla naměřena sondou. Libovolnou sondu v síti tedy lze připojit k libovolné konzoli. Tato dvojice slouží především pro troubleshooting. Některé sondy a konzole umožňují také zprostředkování statistik z jiných zdrojů. Mohou se chovat jako NetFlow kolektory nebo sbírat informace SNMP či RMON. Veškeré souhrnné informace jsou pak dostupné v třetí části tzv. Reportingu. Provozu tedy lze sledovat prostřednictvím WebReportingu, pro jednotlivé konzole, nebo APEX, pro veškeré konzole v síti. Statistiky APEX jsou přístupné prostřednictvím internetového prohlížeče odkudkoliv. Pomocí interaktivních prvků lze tyto statistiky upravovat a automatizovaně generovat PDF reporty.

Všechny sondy poskytují již zmíněné zachycení a dekódování síťového provozu. Konzole a částečně i Reporting zajišťují expertní analýzu zachyceného provozu. Statistiky v konzoli jsou získávány v reálném čase je zde i možnost automatického spouštění a vypínání statistik a zachytávání, pomocí alarmů. APEX pak zajišťují především dlouhodobé statistiky a poskytují celkový přehled o dění na síti. Zajímavá je i možnost sledování celkového stavu sítě a aplikací prostřednictvím nastavených prahových hodnot.

Samotná paketová analýza v současnosti zahrnuje dekódování zhruba 600 síťových protokolů včetně některých uzavřených, jako např. komprimovaný Citrix ICA a Nortel UniStim. Observer umožňuje od verze 12 dekódování provozu, který je šifrovaný pomocí SSL/TLS (podmínkou je klíč).

Expertní analýza je analytická nadstavba dekódování, která umožňuje například:

  • Zobrazit průběh relace na časové ose
  • Sestavit obsah spojení (u některých protokolů lze zrekonstruovat i přenášené soubory, jako např. u HTTP, SNMP atd.)
  • Provést aplikační analýzu komunikace (analýza aplikačních dotazů a odpovědí na sedmé vrstvě pro vybrané aplikace)
  • Sledování změny parametrů spojení v čase (u TCP např. velikost okna, retransmise atd.)
  • Rozpoznat VoIP hovory s vyhodnotit jejich parametry

Expertní analýza zahrnuje mnohé další funkce v závislosti na měřeném médiu, protokolu a situaci. Například pro vyhodnocování složitějších problémů zahrnujících firewally nebo NAT lze automatizovaně provést zachycení vzorků provozu na více místech současně. Následně pak prostřednictvím Multi-Hop nebo End-to-End analýzy provést korelaci průběhu spojení až v deseti bodech.

Statistiky L2-L4 umožňují získat rychlý kvantitativní přehled o měřeném bodu v síti, ať už se jedná o celkové využití pásma, provoz mezi komunikující adresy a páry, průřez přenášenými protokoly, přehled WLAN parametrů nebo přehled VLAN. Většinu těchto statistických údajů může analyzátor pořizovat ze své sondy monitorováním provozu, může je ale také získat z RMON-kompatibilního zařízení, ze SNMP uzlu nebo NetFlow/sFlow agenta.

Dlouhodobé statistiky samozřejmě vyžadují dlouhodobou přítomnost alespoň NetFlow sondy v síti, lze tak získat přehled o typickém provozu z hlediska času, profilu protokolů, zátěže a umožní pak snadněji identifikovat problémové nebo patologické chování sítě. Tyto pořízené statistiky lze také pravidelně sestavovat do reportů a automaticky zasílat pověřeným osobám pomocí elektronické pošty, nebo je možné je prohlížet je přímo na vestavěném webovém serveru konzole. Tyto dlouhodobé statistiky zahrnují i aplikační parametry nebo např. VoIP.

Každá sonda je vybavená taktéž alarmy, které umožňují automatizaci měření. Sonda může buď reagovat na obecnou událost na síti (např. zvýšení využití pásma nad určitou mez), může sledovat expertně vyhodnocované statistiky a reagovat na ně (např. snížení MOS u hovorů pod určitou mez) nebo může reagovat na přítomnost určitého druhu provozu na sítí definovaného pomocí filtru. Pokud sonda detekuje splnění podmínek pro alarm, může provést až jedenáct různých akci, mezi nimiž nejzajímavější jsou spuštění analytického režimu (např. zachytávání provozu s předdefinovaným filtrem), vyslání SNMP trapu, zaslání e-mailu nebo spuštění externího programu s parametry.

Za zvláštní zmínku stojí gigabitová a desetigigabitová sonda GigaStor pro retrospektivní analýzu. Filozofie této sondy vychází s faktu, že mnohé problémy je obtížné na síti zopakovat (stimulovat) a zachytit pro analýzu a diagnostiku. S tím se pojí i potíž obrovského množství dat v zachyceném vzorku pořízeném na gigabitové a desetigigabitové lince – během zlomku vteřiny analyzátor zachytí desítky až stovky megabytů provozu, v němž je pozdější analýza velmi obtížná. U vzorků pořízených na těchto linkách za delší období je zhola nemožná.

GigaStor kombinuje výkonnou zachytávací kartu s rychlým diskovým polem, které je rozšiřitelné až na 576 TB. Kromě toho, že lze zachytávat plné rychlosti 10 Gbit/s, jsou zachycená data před uložením indexovaná podle času a agregovaná podle dalších sedmi rozměrů, takže dohledání příslušného vzorku je snadné. GigaStor navíc ve verzi 12 disponuje forenzní analýzou, která umožňuje v poli vyhledávat podle signatur definovaných v populárních Snort pravidlech. Sonda se tak posouvá z čistě síťového použití i do oblasti bezpečnosti.

Viavi Solutions

Služby

Nabízíme služby v oblasti testování a analýzy síťových služeb. Provozujeme nebo zprostředkováváme TaaS v oblastech kapacitního plánování, aplikačního a bezpočnostního testování etc.

Která služba je pro vás vhodná?

Produkty

Dlouhodobě spolupracuje především se dvěmap partnery. Pro potřeby testování je to Ixia. Pro analýzu je to Flowmon Solutions

Možnosti testování

Možnosti analýzy

O Nás

Kontakty a Reference.

Zde