Do You Control Your Network, or Does Your Network Control You?

Se você investiu dezenas de milhões de dólares na construção de um sistema de rede confiável, robusto e de alto desempenho, agora precisa pensar em algumas questões sérias: o que você fará para garantir melhor desempenho, maior confiabilidade e melhor utilização de sua rede? Você será proativo ou reagirá apenas quando seu sistema começar a ficar lento e a superutilização do switch começar a travar aplicações críticas? O risco representado pelo seu sistema compensa o custo para você, seus clientes e sua reputação?

A resposta a todas essas perguntas é o monitoramento de rede. Muitas pessoas pensam imediatamente em aplicações de segurança quando ouvem o termo monitoramento de rede. No entanto, embora o monitoramento de rede inclua a capacidade de analisar ameaças de segurança em potencial, como impedir ataques de negação de serviço e hackers, ele também pode ser usado por administradores de rede para monitorar o desempenho em tempo real de sua rede e identificar gargalos ou outros problemas de desempenho em potencial. O monitoramento feito de forma correta deve permitir que você veja os dados de erro, desempenho e utilização, garantindo a precisão das alterações, certificando-se de que elas produzam apenas os resultados desejados. Isso significa que você pode definir uma linha de base do desempenho da aplicação antes de migrar ou consolidar os componentes do data center, monitorar o desempenho durante a movimentação e, em seguida, otimizar o novo sistema para utilização, disponibilidade e desempenho máximos. Atualmente, algumas das principais instituições financeiras do mundo, grandes SANs comerciais e empresas de consumo mais inovadoras utilizam os benefícios desta abordagem preventiva para obter um retorno sobre seus investimentos em meses, em vez de anos.

Existem duas tecnologias sendo usadas atualmente em sistemas de monitoramento de rede — SPAN (analisador de porta comutada), também conhecido como espelhamento de porta, e tap (porta de acesso ao tráfego). Uma porta SPAN copia o tráfego de qualquer porta de tráfego para uma única porta não utilizada. As portas SPAN também proíbem o tráfego bidirecional nessa porta, para proteger contra o fluxo reverso do tráfego para a rede. A porta SPAN então direciona os pacotes de seu switch ou roteador para o dispositivo de teste para análise. O tap é um componente passivo que permite o acesso não intrusivo aos dados que fluem pela rede, permitindo o monitoramento dos seus enlaces. Um tap usa divisão óptica passiva para transmitir tráfego em linha para um dispositivo de monitoramento conectado, sem interferência de fluxo de dados.

Para decidir qual tecnologia é a certa para sua rede, vamos comparar essas duas soluções. Algumas pessoas se referem ao spanning como uma tecnologia passiva, mas uma porta SPAN não é verdadeiramente passiva porque tem um efeito mensurável no tráfego da rede. O spanning altera o tempo da interação do quadro e os descarta se a velocidade da porta SPAN ficar sobrecarregada. O algoritmo de spanning usado pelo dispositivo não é seu foco principal. A comutação ou o roteamento é e, portanto, o spanning será suspenso se a replicação de um quadro se tornar um problema. O switch sempre tratará os dados do SPAN com uma prioridade mais baixa do que o tráfego normal. Além disso, as portas SPAN descartam todos os pacotes corrompidos ou abaixo do tamanho mínimo, e fazem isso sem notificar o usuário. O switch também pode eliminar erros da camada 1 e alguns erros da camada 2, com base no nível de prioridade. Isso significa que seu dispositivo de monitoramento de rede pode não receber todos os dados necessários para conduzir uma análise precisa do desempenho do sistema. Uma porta SPAN não pode replicar totalmente qualquer enlace duplex.

À medida que os requisitos de largura de banda aumentam para 1G e além, é preciso olhar para uma tecnologia diferente que permitirá visualizar todo o tráfego da rede em tempo real, incluindo erros e independentemente do tamanho do pacote. Um tap permite que você faça exatamente isso. Os taps são verdadeiramente passivos. Fornecem visibilidade em cada pacote de dados, sem adicionar qualquer carga adicional à rede. Os taps utilizam divisores ópticos para transformar sua conexão de patch panel “one-in-one-out” em uma conexão “one-in-two-out”. Como o dispositivo está simplesmente dividindo o sinal em vez de replicá-lo, você pode tirar uma parte do sinal off-line ou fora da banda para fazer a análise do tráfego de E/S, sem afetar as aplicações ativas. Como se trata de tráfego ao vivo, você tem a garantia de receber todo o tráfego do enlace em tempo real, independentemente da taxa de dados.

É importante observar que uma porta SPAN deve ser configurada por um engenheiro de rede, afastando-os de tarefas mais críticas. Além disso, se a porta SPAN não for desabilitada durante uma atualização de rede, é possível que essa porta seja cabeada para servir como uma porta de rede, criando um “loop de ponte”, o que resultará em problemas de desempenho de rede. Como um tap é realmente passivo, ele não precisa ser configurado e não exige nenhum dos valiosos recursos de processamento de seus switches ou tempo de programação de seus engenheiros de rede.

Quando comparamos as tecnologias de monitoramento de rede em potencial, o custo também é algo que devemos considerar. Além da despesa adicional de se usar um engenheiro de rede para configurar uma porta SPAN, o custo de monitorá-la aumenta, com taxas de dados mais altas. Isso se deve ao fato de que uma porta de switch 10G é mais cara do que uma porta de switch 1G. No entanto, uma porta tap 1G custa o mesmo que uma porta tap 10G ou mesmo 40G.  Por esse motivo, o tapping óptico está se tornando uma solução mais popular para taxas de dados mais altas.

O spanning pode ser usado com sucesso como uma tecnologia de acesso para baixa largura de banda, eventos da camada de aplicação como análise de conversação, fluxos de aplicação e relatórios de VoIP, mas não é uma boa solução para monitoramento de conformidade de segurança de tráfego ou interceptação legal devido à falta de fidelidade absoluta. Se estiver executando um sistema de alta taxa de dados e quiser garantir o desempenho ideal da infraestrutura enquanto realiza o monitoramento de conformidade de segurança de tráfego ou interceptação legal, você deve monitorar no nível físico, conduzir análises no nível de protocolo e coletar todo o tráfego em tempo real. Os taps permitem que você faça isso.

Mesmo que o tap seja uma solução melhor para a maioria das redes atuais, nem todos os taps são criados igualmente. Um tap pode ser integrado ou não integrado ao seu cabeamento estruturado e pode usar divisores de cone bicônico fundido (do inglês FBT), ou divisores de filme fino. Os taps também podem ser apresentados com diferentes tipos de conectores, alguns mais úteis do que outros.

Os taps integrados executam a mesma função que sua rede de cabeamento estruturado normal, mas também enviam uma parte da luz para a eletrônica de monitoramento. Por outro lado, taps não integrados são implantados como dispositivos autônomos fora de sua rede de cabeamento estruturado. Com os taps tradicionais não integrados, sempre que você precisar alterar as portas monitoradas, o enlace deve ser temporariamente desativado para fazer novas conexões entre as portas monitoradas e os dispositivos tap passivos. Um módulo tap integrado permite que você execute movimentações, adições e alterações nas portas monitoradas, sem interromper a rede AO VIVO, economizando até oito horas de inatividade anualmente. Outra grande diferença entre os taps integrados e não integrados são as portas expostas. Os taps não integrados têm portas expostas para conexões de rede e de monitoramento, enquanto os taps integrados expõem apenas as portas de rede. Para taps integrados, as portas de monitoramento são conectadas no backplane do sistema, o que simplifica a infraestrutura de cabeamento, aumenta a eficiência operacional e, por não haver portas de monitoramento acessíveis, proporciona um ambiente mais seguro.

Ao incorporar as funções de um tap em um módulo padrão, um módulo tap integrado permite que você economize um espaço valioso no rack, que pode ser usado para equipamentos geradores de receita. Com um módulo tap integrado, você pode cabear e aproveitar até 72 portas por unidade de rack (1RU) — mantendo a mesma densidade de um enlace sem tap.  Com uma solução de tap não integrado, além do espaço de rack necessário para o cabeamento em si, unidades de rack extras seriam necessárias para aproveitar as 72 portas cabeadas.

O desempenho é uma consideração importante em redes de data center. A integração do tap em sua solução de cabeamento estruturado elimina duas conexões do enlace ativo, em comparação com uma solução não integrada. Isso, junto com o uso da tecnologia de divisão multimodo de filme fino de alto desempenho, fornece atenuação reduzida de enlace, o que se traduz em distâncias estendidas de Ethernet e Fibre Channel.

A perda não é a única coisa que pode afetar as distâncias de Ethernet e Fibre Channel. Alguns módulos tap no mercado atual ainda utilizam divisores FBT, o que pode causar aumento nas taxas de erro de bit (do inglês BER) com base no local em que são colocados no sistema, devido às penalidades de transmissão que introduzem. Os divisores de filme fino não introduzem qualquer penalidade de BER, então você tem a flexibilidade de instalá-los em qualquer lugar em seu sistema, sem se preocupar com os efeitos da BER.

Por fim, os módulos tap integrados permitem incorporar o tap em todos os seus enlaces no primeiro dia, com a opção de monitorar apenas os enlaces de que você precisa. Conforme seus requisitos de monitoramento de rede aumentam ou mudam, basta adicionar o cabeamento necessário entre os módulos tap já instalados e seu equipamento de monitoramento de rede. Como não há necessidade de alterar sua infraestrutura de cabeamento, não haverá interrupção da rede. Além disso, como os módulos tap integrados ocupam o mesmo espaço que os módulos MTP®/LC tradicionais, adicionar monitoramento a uma rede existente é tão simples quanto trocar um módulo tradicional por um módulo tap.

Os taps podem ser apresentados em vários tipos de conectores, mas ter uma porta tap apresentada como um conector MTP® na parte traseira do módulo oferece flexibilidade máxima ao projetar uma rede de cabeamento estruturado. A pegada do conector MTP permite a separação de portas de rede de produção ao vivo e portas tap em diferentes locais de gabinete, se desejado. Utilizar esse recurso para centralizar o equipamento de monitoramento ativo, em vez de instalar em vários locais de gabinete em todo o data center, oferece economia de custos ao otimizar a utilização do equipamento de monitoramento ativo e reduzir o risco de erros de patch.

A Corning oferece uma solução de tap óptico totalmente integrada e passiva, utilizando os mais recentes divisores de filme fino de alto desempenho, com nossas soluções de data center EDGE™ e EDGE8^®. Ambas as soluções incluem um conjunto completo de componentes de cabeamento estruturado para suportar uma rede com tap.  Os produtos da solução Base-12 (EDGE) utilizam um conector MTP de 12 fibras para conectividade com troncos, módulos e chicotes oferecidos em incrementos de 12 fibras. Os produtos da solução Base-8 (EDGE) utilizam um MTP de 8 fibras para conectividade com troncos, módulos e chicotes oferecidos em incrementos de 8 fibras. Uma solução Base-8 fornece uma transição otimizada para taxas de dados mais altas, uma vez que futuros transceptores são projetados para utilizar duplex de 2 fibras ou óptica paralela de 8 fibras.

Por que você investiria seu capital e apostaria sua reputação em um sistema onde não se consegue ver o que está acontecendo e não se pode garantir o desempenho do aplicativo? Não espere até que você esteja no meio de uma grande interrupção do data center para começar a pensar sobre o monitoramento de rede. Faça sua lição de casa e implemente um plano agora mesmo.