IT-answer

Я думаю, что все согласятся с тем, что мониторинг сетевой активности является одной из приоритетных задач в процессе эксплуатации корпоративных сетей. Все хорошо, легко и просто пока вы администрируете сеть небольшого офиса в городе N. Но что если ваша фирма пошла в гору и стала расширяться? Открытие нового филиала скорей всего повлечет начало отношений с провайдерами, организацию каналов связи и более сложные (назовем это так) манипуляции с сетью.

Возьмем пример классической топологии сети:

Как правило, если все правильно сделано, проблемы на уровнях User и Access отсутствуют либо носят совсем иной характер, не касающийся непосредственно организации сети. Главным образом проблемы могут возникнуть на уровнях взаимодействия Distribution и Core, т.к. на этих уровнях начинается взаимодействие с провайдерскими сетями.

• Distribution - Здесь как правило приходится обеспечивать взаимодействие с удаленными филиалами. Если у вас промзона, на которой вы можете прокладывать свои сети - все ваших руках. Но чаще приходится работать в пределах города, где прокладка линии собственными силами невозможна. Если удаленный филиал достаточно крупный, то организация канала с высокой пропускной способностью будет целесообразна. Но что если у вас множество небольших представительств с 4-5 сотрудниками на каждой точке подключения?
  
• Core - Как правило в Core "стекаются" каналы, собранные на Distribution уровне. Если ваша организация работает в пределах одного города или области - все хорошо. Но что если вы работаете в крупном холдинге и ваш регион - лишь часть большой сети? Организация межрегиональных каналов - очень дорогое удовольствие. Ни о каких линиях связи речи быть не может. Чем "шире" канал, тем больше денег надо платить. И рано или поздно к вам придет начальник и спросит: Почему мы платим за канал так дорого, а нам его все равно не хватает? Ведь мы уже расширяли его дважды!
  

Естественно при этих проблемах возникают закономерные вопросы, как организовать максимально эффективную работу сети? Начнем с определения параметров эффективной работы сети:

• Безопасность
  
• Приоритезаия трафика (распределение полосы)
  
• Минимальные время отклика/потери/сторонний трафик
  
• Максимальная утилизация
  

Допустим, что эти вопросы вы решили. Но как правило необходимо убедиться в работоспособности параметров. Нам на помощь приходят средства мониторинга.

Какой арсенал мы имеем?

• Ping
  
• Traceroute
  
• SNMP
  
• NetFlow
  
• Syslog
  
• IP SLA
  

В рамках этой серии статей мы будем рассматривать протокол NetFlow. Это пропиеритарный протокол, созданный компанией Cisco Systems. Однако, в связи с тем что он оказался наиболее удачным среди аналогов, его взяли на вооружения многие производители сетевого оборудования

Работа протокола организована по следующему принципу:

• Сенсор направляет информацию о прошедшем через него трафике на коллектор
  
• Коллектор аккумулирует данные с различных сенсоров в какой-либо базе
  
• Анализаторы приводят данные в нужный вид
  

В качестве сенсора как правило выступает аппаратный (cisco, juniper) или программный маршрутизатор (softflowd).
Функцию Коллектора и Анализатора как правило объединяют в один программный продукт. Чаще всего это коммерческие продукты, т.к. решение задачи предоставления информации о трафике весьма не тривиальна и требует значительных усилий.