Zaznacz stronę
Formularz kontaktowy
Jeśli interesuje Cię nasza oferta, skorzystaj z formularza i zadaj pytanie naszemu specjaliście.

Profitap i NetAlly – rozwiązywanie problemów z przechwytywaniem pakietów

Pierwszym krokiem w każdej udanej analizie pakietów, pod kątem rozwiązywania problemów u źródła, jest przechwycenie właściwych z nich — tych, które zawierają informacje potrzebne do rozwiązania problemu. Z tego artykułu dowiesz się, jak połączenie narzędzi firm Profitap i NetAlly ułatwia uzyskiwanie dostępu do danych pakietowych.

W wielu przypadkach problemy z siecią można rozwiązać za pomocą statystyk SNMP oraz testów aktywnych lub przepustowości. Czasami jednak jedynym sposobem dotarcia do źródła problemu jest przechwytywanie pakietów. W naszych czasach bardzo ważne jest posiadanie najlepszych narzędzi, aby zapewnić przechwycenie wszystkich niezbędnych pakietów. Bez tego dotarcie do źródła problemu może być trudne — jeśli nie nawet niemożliwe. Sugerujemy skorzystanie z połączenia sprzętu dwóch naszych dostawców, NetAlly EtherScope™ nXG i Profitap Booster In-Line, tworząc idealne rozwiązanie do przechwytywania pakietów.

Istnieje kilka etapów skutecznego przechwytywania i analizowania ruchu sieciowego. W tym artykule przeanalizujemy każdy z tych kroków oraz rolę, jaką odgrywają EtherScope™ nXG i Booster In-Line.

Pierwszym krokiem w udanym przechwyceniu pakietów jest uzyskanie dostępu do ich danych. Nie możemy po prostu podłączyć się do dowolnego portu przełącznika i oczekiwać, że przechwycimy pakiety między dwoma urządzeniami. Do wyboru mamy kilka metod przechwycenia, podczas ich standardowej drogi. Każda z nich ma swoje zalety i wyzwania, a my przyjrzymy się trzem najczęstszym z nich.

SPAN Porty

Na tą chwilę najbardziej popularna metoda przechwytywania ruchu sieciowego z urządzeń podłączonych do przełącznika Ethernetowego. Przełącznik z którego chcemy pobrać dane jest konfigurowany w taki sposób, żeby kopiował ruch ze wszystkich portów wejściowych i wyjściowych i wysyłał go na inny port, do którego możemy podłączyć analizator.

Plusy:
  • Nie ma potrzeby rozłączania urządzeń.
  • Proste w konfiguracji.
  • Niskie koszty, funkcja wbudowana w przełącznik.
  • Może zostać wprowadzona szybko.
Minusy:
  • Agreguje ruch do jednego portu.
  • Wymaga konfiguracji przełącznika.
  • Komendy konfiguracyjne w przełączniku różnią się między dostawcami i modelami.
  • Nie wszystkie przełączniki mają taką funkcję.
  • Nie kopiuje wszystkich pakietów (ignoruje niektóre typy i rozmiary).
  • Zmienia „timing” pakietów (co przeszkadza w analizie historycznej).

W sytuacji gdy nie pracujemy na dużej ilości danych, SPAN port może być dobrym rozwiązaniem, jednak w połączeniu gigabitowym, pracującym w pełnym dupleksie, może zdarzyć się, że połączony ruch wejściowy i wyjściowy przekroczy możliwości SPAN portu. W tym przypadku, część pakietów będzie musiała zostać porzucona, przez co proces analizy znacząco się skomplikuje. Zmiany w konfiguracji przełącznika nie zawsze stanowią problem w niektórych sieciach, ale duże sieci często wymagają przeprowadzenia procesów kontroli zmian, co może wydłużyć czas między wykryciem błędu, a jego rozwiązaniem.

TAPy agregacyjne

Innym sposobem dostania się do odpowiednich pakietów są TAPy agregacyjne. Jest to urządzenie, które fizycznie umieszczone w połączeniu między monitorowanym urządzeniem, a resztą sieci zbiera i łączy ruch z portów wejściowych i wyjściowych na pojedynczy port wyjściowy.

Plusy:
  • Brak potrzeby dostępu do przełącznika ani jego konfiguracji.
  • TAP jest odporny na awarie, jeżeli straci zasilanie, pakiety dalej będą przesyłane.
  • Może zostać umieszczony w sieci podczas jej budowania.
Minusy:
  • Łatwo jest przeciążyć port wyjściowy.
  • Żeby zamontować taki TAP, trzeba rozłączyć sieć.
  • Urządzenie musi zostać kupione.

TAPy agregacyjne mają tę zaletę, że nie wymagają dostępu do przełącznika. Jednak tak jak w metodzie, w której wykorzystujemy SPAN porty, TAPy agregacyjne mogą zostać przeciążone, co spowoduje utratę części pakietów.  W większości przypadków takie urządzenie jest dobrym rozwiązaniem, szczególnie gdy pracujemy z analizatorem który ma tylko jeden port wejściowy.

Komputer z 10-gigabitową kartą sieciową

Jednym ze sposobów walczenia z problemami związanymi z agregacją jest korzystanie z urządzenia przechwytującego, z kartą, której przepustowość przewyższa ten sam współćzynnik połączenia, które monitorujemy w dupleksie. Takim urządzeniem może być na przykład karta sieciowa, pracująca z prędkością 10G. To pozwala wykorzystać pełne możliwości TAPa, który wysyła zagregowany ruch na port o większej przepustowości niż suma ruchu wejściowego i wyjściowego.

Wyzwaniem, związanym z tym rozwiązaniem, jest znalezienie komputera z 10-gigabitową kartą sieciową, jak i możliwością przechwytywania z pełną szybkością łącza 10 Gb/s. W większości przypadków, komputer nie będzie w stanie przechwytywać wszystkich danych z łącza, do którego jest podłączony, a potem zapisywać go na dysku lub w pamięci. W sytuacji, w której nasz komputer posiada już odpowiednią kartę sieciową, swoistym bottleneckiem może okazać się dysk, który nie nadąży za zapisem danych.

NetAlly EtherScope™ nXG i Profitap Booster In-Line

Jeżeli chodzi o sposób na przechwycenie i bezstratne zapisywanie pakietów, połączenie NetAlly EtherScope nXG i Profitap Booster In-Line jest trudne do przebicia. Te dwa narzędzia umożliwiają nam uzyskanie dostępu do sieci, jednoczesne przechwytywanie wielu łączy oraz zapisywanie pakietów z pełną prędkością łącza 10Gb/s.

Booster In-Line od Profitap składa się z czterech TAPów pracujących w trybie in-line, przepuszcza PoE oraz jest odporny na zaniki zasilania. Ze względu na specyfikę „fail open”, w której pracuje, tzn. w razie utraty zasilania, urządzenie dalej przesyła pakiety między urządzeniami do których jest podłączone. Jest to wyjątkowo ważne, ponieważ gdybyśmy umieścili standardowe urządzenie monitorujące bezpośrednio do sieci, mogłoby ono stać się punktem krytycznym, który uśmierciłby naszą infrastrukturę w razie awarii, aż do momentu naprawy.

Ruch ze wszystkich czterech TAPów jest agregowany, a następnie wysyłany na port SFP+ 1G/10G, który może pracować na transceiverach SFP – zarówno miedzianych jak i światłowodowych – tak samo jak na kablach DAC. Dzięki 10G portowi SFP+ możemy przesyłać cały ruch sieciowy ze wszystkich czterech TAPów, pracujących na 100% swoich możliwości, w obu kierunkach. Ich łączna przepustowość wynosi 8Gb/s, co nie przekracza przepustowości portu wyjściowego.

Gdy już uda nam się połączyć cztery linki i wysłać je na pojedynczy interfejs 10G, podłączamy go do EtherScope nXG, który pozwala na przechwytywanie i zapisywanie ruchu z pełną prędkością łącza 10Gb/s, bez utraty pakietów. Daje nam pewność że podczas analizy mamy dostęp do wszystkich potrzebnych danych.

Przechwytywanie po obu stronach urządzenia

Podczas rozwiazywania problemów z siecią i poszukiwania „wąskich gardeł” naszej infrastruktury, czasem zadajemy sobie pytanie „Jak duże opóźnienie powoduje dane urządzenie?”. Odpowiedź na to pytanie nie zawsze jest prosta, gdy korzystamy z typowego rozwiązania analizującego. Sytuacja zmienia się jednak, gdy skorzystamy z EtherScope nXG i Booster In-Line, ponieważ do urządzenia Profitap możemy podłączyć się z obydwu stron badanego urządzenia.

Pobierając pakiety wchodzące do urządzenia oraz wychodzące z niego, a następnie agregując je i wysyłając do EtherScope nXG, możemy dokładnie określić opóźnienie, jakie generuje urządzenie znajdujące się pomiędzy dwoma z naszych TAPów. Po zmierzeniu opóźnienia, jesteśmy w stanie określić, czy to właśnie to urządzenie jest naszym punktem ograniczającym.

Więcej niż tylko przechwytywanie

EtherScope nXG to bardzo potężne urządzenie, którego przechwytywanie pakietów jest tylko małą częścią całkowitych możliwości. EtherScope jest po pierwsze przenośnym testerem sieci, który pozwala na korzystanie z takich funkcji jak wykrywanie nazw urządzeń w sieci, zapytań SNMP czy analizę Wi-Fi. Przydatną funkcją tego testera jest odkrywanie nazw urządzeń – przez co w przyszłości, podczas analizy zapisanych pakietów mamy przed oczami adresy IP urządzeń, wiemy już, które adresy są przypisane do których nazw.

Zdalny dostęp i odzyskiwanie śladów

Tworząc EtherScope nXG i Profitap Booster In-Line inżynierowie obu firm pamiętali o tym, że analityk sieciowy nie zawsze może być na miejscu każdej awarii sieciowej i rozwiązali ten problem, umożliwiając wdrożenie rozwiązania w zdalnej lokalizacji, a następnie obsługiwanie go z całkowicie innego miejsca.

Aby skorzystać z EtherScope nXG zdalnie, należy użyć VNC albo web remote control, co pozwala na pracę z urządzeniem z porównywalną wydajnością do pracy na miejscu zdarzenia, bez potrzeby ruszania się z biura. Dzięki takiej opcji analityk sieciowy może przygotowywać filtry do przechwytywania pakietów, albo uruchamiać przechwytywanie zdalnie.

Po pomyślnym przechwyceniu pakietów, EtherScope nXG przygotowuje plik PCAP i następnie wysyła go do Link-Live Cloud Service NetAlly gdzie przez interfejs webowy plik może zostać pobrany i zanalizowany z dowolnego miejsca.

Jak widać skuteczne przechwytywanie i analiza ruchu sieciowego wymaga planowania i odpowiednich narzędzi. Chociaż istnieje kilka sposobów na dostanie się do pakietów które nas interesują, musimy pamiętać o tym że każde z tych rozwiązań ma swoje wady i zalety oraz, że bez wszystkich niezbędnych pakietów rozwiązywanie problemów siecią i aplikacjami może być niemożliwe.

Proponujemy tutaj sprawdzoną kombinację prawdziwego „kombajnu” jeżeli chodzi o przenośne testowanie sieci, testera NetAlly EtherScope nXG z Boosterem Profitap łączącym możliwości czterech TAPów i agregującym ruch na jeden port wyjściowy.

Takie rozwiązanie pozwala nam na:

  • Dostanie się do odpowiednich pakietów w sieci
  • Przepuszczenie PoE
  • Agregowanie ruchu sieciowego bez przeciążania portu wyjściowego
  • Zapisywanie z prędkością 10Gb/s
  • Odkrywanie nazw urządzeń i adresów w sieci

Zdalne kontrolowanie pracy urządzenia i analizowanie ruchu z dowolnego miejsca.