Sledování sítě pomocí G3 Tomáš Košňar CESNET 29. 1. 2019 Konference e-infrastruktury CESNET
Sledování sítě pomocí G3...v jakém stavu a jak je využita síť plošné sledování celé infrastruktury minimální nároky na konfiguraci analýza problémů, potřeba dohledávat souvislosti dlouhodobá i krátkodobá perspektiva měříme vše, co dává smysl, abychom při zpětné analýze měli k dispozici dostatek informací
Sledování sítě pomocí G3 měření v G3 periodický sběr dat z prvků infrastruktury (u síťových zařízení dominantně SNMP) měření kompletního zařízení v každém kroku (adaptace na změny konfigurace) standardně SNMP v2c, v3 a agregovaně [bulk]walk definovaná množina potřebných/požadovaných OID (aktuálně 850+) periodické discovery (měřitelná OID) měření - v několika krocích celé zařízení (sady OID v rámci MIB podstromů) konstrukce logické struktury zařízení (nezávislé na indexech)
Sledování sítě pomocí G3 ukládání dat v G3 DB souborově/fs orientované historicky ad hoc kalibrované na dobu uchování dat 4-12 let automatický mechanismus více DB - sjednocení na úrovni knihoven pro UI (aktuálně 3. v historii) RRD typicky 16 položek/rra GAUGE u všech měřených veličin standardně přepočet na údaj nezávislý na velikosti time-slotu v RRA MIN, MAX, AVERAGE aut. kalibrace na rozptyl časových kroků 10-1200s binární struktury (perl Storable)
Sledování sítě pomocí G3 G3 v e-infrastruktuře CESNET DB aktivní DB - 755000 měřených údajů v 73000 RRA cca 190 zařízení ~ 14K objektů INTERFACE ~ 3.4K objektů HW ~ 3.3K objektů QoS SYSTEM, IP, TCP, UDP,.. příklad kategorie měřícího serveru: - Xeon 6126 @ 2.60GHz (HT 48C) - 196G RAM - LSI Logic MegaRAID Tri-Mode SAS3508-10xSAS 900G 15rpm, RAID 10 DWDM Router, switch
Sledování sítě pomocí G3 zpřístupnění dat v systému G3 interaktivní UI - browser zařízeními a jejich komponentami nebo vyhledávací aparát
Sledování sítě pomocí G3 zpřístupnění dat v systému G3 interaktivní UI - browser zařízeními a jejich komponentami nebo vyhledávací aparát vizualizace výběrem objektů + způsobu zobrazení ( view )
Sledování sítě pomocí G3 zpřístupnění dat v systému G3
Sledování sítě pomocí G3 zpřístupnění dat v systému G3
Sledování sítě pomocí G3 zpřístupnění dat v systému G3
Sledování sítě pomocí G3 zpřístupnění dat v systému G3 723 20 Mbps (NTP amplifikace)
Sledování sítě pomocí G3 zpřístupnění dat v systému G3
Sledování sítě pomocí G3 zpřístupnění dat v systému G3
Použití systému FTAS k detekci anomálií Tomáš Košňar CESNET 29. 1. 2019 Konference e-infrastruktury CESNET
Použití systému FTAS k detekci anomálií o co jde? detekce anomálií v IP provozu z informací obsažených v záznamech o provozu na bázi toků (NetFlow) flow_direction=ingress forwarding_status=forwarded src_ip=2a02:598:2:0:x:x:x:x dst_ip=2a07:8d80:f003:101:x:x:x:x proto=tcp (6) src_port=https (443) dst_port=36403 src_if=156 dst_if=49 src_vrfid=0x60000000 dst_vrfid=0x60000000 src_as=43037 dst_as=2852 tos=00000000 tcp_flags=push(8),ack(16) nexthop=0:0:0:0:0:x:x:x first=2018/07/25 08:17:29.102 last=2018/07/25 08:17:31.462 octets=34165 pkts=25 zdroje informací síťové prvky HW, SW sondy kolektory
Použití systému FTAS k detekci anomálií FTAS - sběr, zpracování, uchování a zpřístupnění informací o provozu na bázi toků real-time nebo ex-post detekce
Použití systému FTAS k detekci anomálií FTAS - real-time detekce
Použití systému FTAS k detekci anomálií FTAS - real-time detekce
Použití systému FTAS k detekci anomálií FTAS - real-time detekce
Použití systému FTAS k detekci anomálií FTAS - real-time detekce
Použití systému FTAS k detekci anomálií FTAS - real-time detekce
Použití systému FTAS k detekci anomálií FTAS - real-time detekce
Použití systému FTAS k detekci anomálií FTAS - real-time detekce
Použití systému FTAS k detekci anomálií FTAS - ex-post detekce v rámci reportingu, překročení nastavených limitů v zájmovém provozu za dlouhé období (např. den)
Použití systému FTAS k detekci anomálií FTAS - statistické vyhodnocení detekcí
Děkuji za pozornost a trpělivost..