您控制网络还是网络控制您? | 光通信 | 康宁

作者: RUSSELL KIRKLAND 和 LUIS ABREU 翻译:马继涛    康宁光通信 

了解网络监控

如果您投资了数千万美元,建立了一个可靠、健壮、高效的网络系统,您现在就需要问自己一些严肃的问题:为了确保更高的性能、更好的可靠性和更好地利用网络,您将做些什么? 您会积极主动想办法,还是当您的系统开始滞后,利用率过度、应用程序开始崩溃的关键时刻,您会做出什么反应? 您会用您、您的客户、您的 信誉、系统的代价做赌注吗?

所有这些问题的最好解决方案都是网络监控。许多人在听到网络监控这个词时立刻想到了安全应用程序。 然而,网络监控确实包括分析潜在安全威胁的能力,比如拒绝服务攻击和黑客。网络管理员还可以使用它来监 视网络的实时性能,并确定传输瓶颈或其他潜在的性能问题。正确的监视应该允许您看到网络错误、网络性能和利用数据并确保网络更改的准确性,验证它们只产生预期的结果。这意味着您可以在迁移或合并数据中心组件之前设置应用程序性能的基线。在整个迁移过程中监视性能,然后优化新系统以获得最大利用率、可用性和性能。目前世界上一些领先的金融机构,大型商业存储区域网络(SANs), 大多数创新型的消费公司正利用这种预防性的方法,在数月而不是数年的时间内实现投资回报。

SPAN 和 Tap

目前在网络监控系统中使用了两种技术--SPAN(交换端口分析仪),也称为端口镜像,和 tap(传输接入点)。SPAN 端口从任何传输端口到一个单独未使用的端口复制此传输,SPAN 端口还禁止双向传输,防止传输回流而进入网络。SPAN 端口然后将数据包从交换机或路由器测试装置进行数据分析。TAP 是一个无源组件,允许非侵入性的访问数据流通过网络,并监测网络链路。TAP 使用无源光学分光来传输给监控设备而不会干扰数据流。 

交换端口分析仪-SPAN-也称为端口镜像。SPAN 端口复制从任何传输端口到一个单独未使用端口的传输, SPAN 端口还禁止双向传输, 防止传输回流而进入网络。SPAN 端口将从交换机或路由器的数据包传输到测试设备进行数据分析。

为了决定哪些技术是适合您的网络,让我们花点时间来比较这两个解决方案。有些人参考了无源技术的发展,但 SPAN 端口不是真正意义上的无源,因为它有一个可衡量的对网络传输的影响。如果 SPAN 端口的速度超载,那么框架交互的时间将生成变化和降帧。生成算法使用的设备不是重点,交换或路由是主要的焦点, 因此框架交互的时间生成将暂停,如果复制一个框架会成为一个问题。 

交换机对待 SPAN 数据的优先级总是低于正常的传输。此外,SPAN 端口降低所有数据包到最小,他们这样做并不会通知用户。基于优先级,交换机也可能降低第 1 层和一些第 2 层的错误,这意味着您的网络监控设备可能无法获得所有所需的数据进行准确的分析系统性能。SPAN 端口不能完全复制任何双链接。 

随着带宽需求增加到 1G 和更高,您需要寻求一个不同的技术,将允许您实时查看所有网络传输,包括错误和数据包大小。TAP 使您能够做到,并是真正的无源产品。TAP 能提供在无添加任何额外负载到网络上的情况下,每个数据包均实时查看。TAP 用无源光学分割变换您的"一对一”光缆链路为到“一进二出”的连接。因为设备是简单的分光,而不是复制它,您可以在离线或带外情况下对数据进行分析,对于实时 I/O 传输不会造成影响的应用价值。因为这是实时传输,保证您会收到所有流量是实时的,而不用考虑数据传输速率。 

重要的是要注意 SPAN 端口必须需要网络工程师进行配置并带将它们从更关键的任务中分离出来,此外,如 果 SPAN 端口在网络刷新时没有被禁用,可以为该端口创建一个“桥接循环”连接作为一个网络端口,这将导致网络性能问题。因为 TAP 确实是无源的,它不需要网络工程师在交换机上对它进行任何功能或编程的配置。 

 

   
  非集成TAP模块系统示意图  

 

 

   
  集成 TAP 模块系统示意图  

 

技术和应用

当我们对比期望的网络监控技术时,成本也是我们必须考虑的事情。使用网络工程师配置一个SPAN 端口,会增加额外费用,监控 SPAN 端口的费用会由于更高的数据速率而增加,这是由于交换机万兆端口本来就比千兆交换机端口昂贵,但是 tap 端口在千兆、万兆甚至40G 的费用是一样的。出于这个原因,更高的数据速率下,光学分光正在成为一个更受欢迎的解决方案。

有源的分光可以被成功地用于低带宽的接入技术,如应用层事件---像对话分析、应用程序流,和VoIP 报告,但对于传输安全和合规监控或合法监听,它不是一个好的解决方案,因为被复制的数据缺乏绝对的保真度。如果您正在运行一个高速率系统,想确保最佳基础设施性能,而进行传输安全合规的监控或合法的拦截,您必须在物理层面监控,在协议级别进行分析,实时收集所有流量。TAP 允许您这样做。

 

   
  MTP/LC 集成 Tap 模块和非集成 Tap 模块  

 

虽然对于大多数今天的网络而言,无源分光是一个更好的解决方案,但不是所有TAP都能胜任的。TAP 可以集成到您的结构化布线中,采用FBT 无源分割,TAP 也可以使用不同的连接器类型,更灵活,更有用。

综合利用并集成进了正常的结构化布线网络系统,同时也将部分无源分光发送到监控电子产品。相反,非集成式TAP 是作为独立部署设备,并不在结构化布线系统中。传统非集成式TAP,任何时候,当您需要改变监控端口时,您必须暂时中断连接,并建立一个新的连接。而一个集成而综合利用的TAP 模块将允许您执行移动、增加、和改变监控端口,而不影响您的网络正常运行,每年还可以节省您八小时的停机时间。 

另一个集成和非集成 TAP 的主要区别是露出的端口。非集成式TAP 的端口有网络接口和监控连接接口,而集成 TAP 只显露出网络端口,监控端口连接到系统布线。集成TAP,监视端口相连,简化了布线的基础设施,提高运营效率,因为没有访问监控端口,提供了一个更加安全的环境。

通过把 TAP 的功能合并在一个标准的布线系统预端接模块中,可以综合利用模块,可以节省宝贵的机柜空间,用于更多的设备安装。一个集成的 TAP 模块,每个机柜单元(1RU)可以支持72 端口(144 芯),保持和布线系统相同的密度。

 

 

   
  Corning EDGE™ 和 EDGE8® 解决方案Tap模块  

 

性能方面的考虑

网络性能在数据中心是一个重要的考虑因素,相比一个集成的解决方案,整合利用结构化布线解决方案能在实时链路中消除两个连接,加上使用高性能薄膜多模分光技术,减少了链路衰减,增大了扩展以太网和光纤通道的光纤传输距离。

损耗不是唯一能影响以太网和光纤通道传输距离的因素。当前市场上的一些模块仍然使用 FBT 分割,从而导致比特率(BER)误码增加。而采用薄膜分割的集成 TAP 模块,将不引入任何误码率处罚,所以您可以灵活地安装在您的系统,而不用担心误码率的影响。

最后,集成 TAP 模块允许您将利用您所有的链接,随时监视您需要的链接。对于您的网络监控需求增长或变化,只需添加所需的已安装的 TAP 模块与您的网络监控设备之间连接即光纤跳线即可了,不需要更改您的布线的基础设施,网络也不会中断。此外,由于集成 TAP 模块占据同一个空间传统 MTP/LC 模块,在现有网络添加监控很简单,换掉一个传统 MTP/LC 模块为集成 TAP 模块即可。

TAP 可以应用于多个连接器类型,当设计一个结构化布线网络时,提供后部 MTP 连接器 TAP 端口的模块为您提供最大的灵活性。如果需要到不同的机柜位置,MTP 连接器允许生产网络端口的分离和利用。使用此功能集中活动的监测设备,分布在整个数据中心中的多个机柜位置,通过优化活动监测设备的使用和减少修补错误的风险,可以节约成本。

康宁的 EDGE™ 和 EDGE8® 数据中心解决方案提供使用最新的高性能薄膜分路器的全集成全无源的 tap 解决方案。这两个解决方案包括一整套支持利用 tap 网络的结构化布线组件。基于12芯的 EDGE 解决方案使用 MTP 接头、预端接光缆、模块、扇出跳线等产品组成以12 芯光纤为倍数的预端接布线系统。基于8芯的EDGE8 解决方案使用 MTP 接头、预端接光缆、模块、扇出跳线等产品组成以 8 芯光纤为倍数的预端接布线系统,EDGE8 解决方案提供了一个支持更高的数据速率的优化解决方案,因为未来的收发器将使用光学双工或8芯并行光学。

为什么您要投入资本和声誉在一个您无法看到将要发生什么并且不能保证应用性能的系统中哪?不要等到您的一个主要数据中心故障才开始考虑网络监控。

现在就做您的功课和实施一个计划吧。