Es ist noch gar nicht besonders lange her, als Enterprise-Netzwerke überwiegend dazu dienten, Computernutzer mit dem Internet und lokalen Ressourcen zu verbinden. Die Mehrzahl der Applikationen waren relativ simpel: Web-Browser, Office-Applikationen, E-Mail und andere lokale Anwendungen. Das Datennetzwerk war zwar wichtig, aber in den meisten Fällen nicht so geschäftsentscheidend wie das Telefonnetzwerk. Ein Verlust von Netzwerk-Connectivity war fürchterlich unbequem, brachte aber keinesfalls das Geschäft zum Stillstand, denn die Benutzer konnten immer noch auf ihre lokalen Applikationen zugreifen und ihre Arbeit erledigen.

Heute aber sind die Performance und Integrität des Datennetzwerks entscheidend für den Erfolg vieler Unternehmen. Und es gibt heute keine Beschränkung mehr auf Kabel, Desktop-Computer und Laptops, Standorte, Uhrzeiten und Grenzen. Der Zugriff auf das Unternehmensnetzwerk erfolgt zunehmend via Wifi – in der Regel mit unterschiedlichen Endgeräten, die oftmals noch nicht einmal dem Unternehmen sondern den Nutzern selbst gehören. Anwender laden sich Applikationen selbst herunter und nutzen sie. Hinzu kommen unzählige Websites und Services in der Cloud, die häufig Multimedia-Inhalte, also Voice, Daten und Video, liefern. Benutzer sammeln, senden und laden eine riesige Menge und Vielfalt von Inhalten in irrsinnigem Tempo. In einigen Fällen werden neue Applikationen über Nacht zu geschäftskritischen Applikationen.

Dies sind Herausforderungen für die IT, für deren Bewältigung neue Lösungsansätze erforderlich sind, zum Beispiel erhöhte Sichtbarkeit und Steuerung/Kontrolle der Applikationen durch eine tiefgreifende Architektur, die Deep-Packet-Inspection-(DPI)-Techniken nutzt. DPI an sich ist keineswegs neu, diese Technik wird schon lange von vielen Security-Systemen für die Intrusion-Detection genutzt. Neu hingegen ist der Zweck, für den Extreme Networks DPI-Technik in Purview einsetzt.

Gegenwärtig sind viele Produkte auf dem Markt, die Einblick in die Applikationen bieten. Dazu zählen beispielsweise Netzwerk- und Applikationsperformance-Management-Lösungen (NPM, APM). Diese Lösungen sind jedoch in ihren Fähigkeiten limitiert, denn sie können bestimmte Informationen schlicht nicht liefern, beispielsweise das Verhältnis von Applikations- zu Netzwerk-Antwortzeit. Sie sind außerdem häufig nicht in der Lage, dem Benutzer eine Kontrolle über die Applikation zu geben, und sie kennen nicht den vollständigen Kontext der Nutzer, Geräte und Standorte.

Next-Generation-Firewalls, WAN-Accelerators, Application-Delivery-Controller und Wifi-spezifische Lösungen stützen sich darauf, große Verkehrsmengen von überall aus dem Netzwerk durch eine einzelne Appliance zu leiten, um die mit DPI in der IT-Infrastruktur typischerweise verbundenen Skalierbarkeits- und Kostenprobleme in den Griff zu bekommen. Diese Lösungen konzentrieren sich in der Regel ausschließlich auf IT-Operationen. Und diese Lösungen sind nicht miteinander gekoppelt, es existiert keine homogene Applikations-klassifikation zwischen diesen unterschiedlichen Werkzeugen. Darum sind echtes End-to-End-Management und -Steuerung unmöglich. Die fragmentierten, individuellen Point-Produkte erlauben keine vereinheitlichte Netzwerkmanagement-Ansicht des gesamten Netzwerks, was es schwierig macht, das Netzwerk in seiner Gesamtheit zu managen.

Eine DPI-Architektur aber, die über die gesamte Netzwerkinfrastruktur hinweg bereitgestellt werden kann, vom Datacenter bis zum Einstiegspunkt (Edge), verkabelt oder drahtlos, wird eine überlegene Benutzererfahrung bieten und gleichzeitig die Nutzung der Netzwerkressourcen optimieren. Eine gut integrierte und vereinheitlichte Lösung kann außerdem Point-Produkte eliminieren und damit Komplexität und Kosten der derzeit existierenden Lösungen reduzieren. Indem ein solches Produkt mehr Kontextinformationen liefert, wird es zu einem wichtigen Geschäftsposten für Analytik und vom Netzwerk getriebene Geschäftsintelligenz. Und dies alles ist nicht nur Theorie, Extreme Networks hat ein Produkt beziehungsweise eine Architektur dafür: Purview.

 

Die Brücke von Management zu Analytics schlagen

Die Architektur setzt sich zusammen aus drei Hauptkomponenten: dem "OneFabric Control Center", der Purview-Application-Fingerprint-Engine und einem auf "CoreFlow2" basierenden Data-Collection-Device (Data-Plane). Extreme Networks offeriert eine einheitliche Application-Delivery-Fabric vom Datacenter bis zum Einstiegspunkt. Durch die Erzeugung einer einzelnen Netzwerkumgebung und der Lieferung einer einheitlichen Netzwerk- und  Applikationserfahrung bietet Onefabric-Control-Center zentralisierten Einblick und zentralisierte Kontrolle für das gesamte Netzwerk. Dies erlaubt eine engere Zusammenarbeit von Applikations- und Infrastruktur-Teams, was Kosten reduzieren und Fehler, die durch typische Operations-Workflows entstehen, beseitigen kann. Eingebettete Automations- und Orchestrierungs-Features verbessern die Auslieferung von Applikationen für dynamische und mobile Umgebungen. Onefabric-Control-Center bietet eine vereinheitlichte, zentralisierte Management- und  Kontrollerfahrung, die Administratoren erlaubt, die in Extreme Networks Netzwerklösungen steckende Intelligenz und so das volle Potenzial von Purview zu nutzen. Oneview-Control-Center integriert sich mit den wichtigsten Virtualisierungslösungen und besitzt einzigartige Fähigkeiten für virtuelle Datacenter und zur Aktivierung von SDDC.

Die Lösung generiert eine Menge Daten. Darum ist es wichtig, den Nutzern eine schnelle und intuitiv nutzbare Schnittstelle für Berichte zu bieten – ein Schlüssel für effiziente Analyse. Das anfängliche Dashboard zeigt auf einen Blick aggregierte Daten für die Gesamtzahl eindeutiger Applikationen, die im Netzwerk verwendet werden, gemeinsam mit der konsumierten Gesamtbandbreite, der Gesamtzahl der Clients und mehr. Auf der nächsten Ebene sieht der Administrator "fingerprinted" Applikationen in einer koordinierten Radar-Ansicht. Da ein Großteil der modernen Kommunikation unter Verwendung der HTTP- oder HTTPS-Protokolle erfolgt, wird der Zeiger in dieser Ansicht wohl in Richtung Web-Applikationen ausschlagen. Eine weitere nützliche Visualisierungstechnik ist die Treemap-Ansicht, in der jede Applikationsgruppe in einem farbigen Kasten repräsentiert wird. Die Größe des jeweiligen Kastens ist in der Standardeinstellung analog der von der Applikationsgruppe konsumierten Bandbreite, kann aber auch andere Werte repräsentieren, beispielsweise die Anzahl der Clients. Die Treemap erlaubt dem Administrator, schnell große Datenmengen zu erfassen und die relative Wichtigkeit jeder Applikation zu verstehen.

Das Produkt enthält vorkonfigurierte Dashboards für spezifische "Branchen", beispielsweise Gesundheitswesen oder Bildung. Das Enterprise-Dashboard, also das für Unternehmen vorkonfigurierte Dashboard, zeigt zum Beispiel die Bandbreitennutzung für Applikationen, die primär in einem typischen Unternehmensnetzwerk genutzt werden. Die Auswahl passt nicht immer und dieses Feature ist vielleicht doch eher der Kategorie Gimmick zuzuordnen. Jedenfalls sind diese Dashboards durch den Benutzer individuell anpassbar, so dass er die Sammlung der "repräsentativen" Applikationen beeinflussen kann. Noch eine Ebene tiefer sieht der Administrator dann Ansichten für eine zuvor selektierte Applikation. Darin erkennt er dann beispielsweise, welcher Client die meisten Ressourcen dieser Applikation beansprucht. Diese Informationen lassen sich innerhalb von Onefabric-Control-Center mit Kontextinformationen der Network-Access-Control-Lösung kombinieren. In diesem Fall können dann auch Nutzer, Rollen, Gerätetypen und Standorte für Berichts- und Datenaggregationszwecke genutzt werden. NAC ist keine Voraussetzung für den Einsatz von Purview, steuert jedoch wichtige Informationen bei, welche die Ergebnisse noch aussagekräftiger machen.

Und es geht noch tiefer: Die Ansicht "Application Flows" zeigt alles vom Applikationsnamen über den Applikationskontext bis hin zum Vergleich der TCP- mit der Applikations-Antwortzeit. Diese zuletzt genannte Information allein ist schon wertvoll, lassen sich damit doch gegenseitige Schuldzuweisungen der Art "Das Netzwerk ist zu langsam", "Nein, die Applikation ist zu langsam" durch Fakten untermauert ein für alle Mal beenden. In der Application-Flows-Ansicht kann der Administrator den Anwendungsschicht-Kontext selektieren, um Informationen über diese Schicht zu erhalten, die über die in einem typischen Fingerprint enthaltenen Informationen hinausgehen. In einem HTTP-Kontext sind dies beispielsweise Felder wie Raw-URI, Cookie-Informationen, die HTTP-Request-Methode und mehr. Fast einmalig in dieser Industrie ist, dass Extreme Networks den Nutzern die Möglichkeit gibt, Applikations-Fingerprints anzupassen. Die Fingerprints nutzen das XML-Format, sind also recht einfach modifizierbar. Andere Hersteller rücken noch nicht einmal die Information heraus, wie sie ihr Fingerprinting durchführen. Sie veröffentlichen nicht ihr Signature-Set, geschweige denn die Signatursprache, die sie in ihre Produkte einbauen. Die durch Onefabric-Control-Center verwaltete Purview-Application-Fingerprint-Engine offeriert transportunabhängige Applikationserkennung durch DPI. Das bedeutet, dass die OSI-Schichten vier bis sieben Pakete zur Inspektion an die Fingerprint-Engine senden. Die Engine dekodiert und assembliert Protokoll-Header basierend auf verschiedenen Fingerprinting-Techniken gegen Header, den Inhalt und weitere Charakteristiken der Traffic-Flows. Diese Informationen werden mit Flow-Statistiken von der Data-Plane kombiniert und hoch zu Onefabric-Control-Center gesendet, wo sie wiederum mit Kontextinformationen wie Benutzer und Benutzerrollen, Gerätetyp, Standort und anderen Attributen kombiniert werden. Gegenwärtig enthält Purview ungefähr 13.000 Fingerprints, von denen etwa 2.000 von Ports unabhängig sind. Portunabhängigkeit bedeutet, dass Purview Fingerprints auf jedem Port identifizieren kann. Das ist wichtig, weil erstens Nutzer die Ports ändern können, die eine Applikation nutzt, und zweitens weil einige Applikationen mehrere Ports verwenden. Purview schaut grundsätzlich zuerst nach Fingerprints, die vom Port unabhängig sind.

Den Eckpfeiler von Extreme Networks Switching-Technik (in den S-Series- und K-Series-Switching-Produkten) bildet Coreflow2. Und dies ist auch die Schlüsselkomponente innerhalb der Purview-Data-Plane für Applikationssichtbarkeit und -kontrolle. Coreflow2 ist ein programmierbarer auf Flow basierender ASIC, der für Flexibilität bei der Flow-Klassifizierung, der Richtliniendurchsetzung und beim Paket-Reframing sorgt. Auf Grundlage dieses ASIC-Designs entdeckt der Switch neue Flows und sendet fürs Applikations-Fingerprinting ein paar wenige Pakete eines jeden neuen Flows an die Fingerprinting-Engine. Es ist genau diese Funktion, die diese Lösung hoch skalieren lässt, denn die Appliance muss nicht sämtliche Pakete eines Flows sehen, muss nicht in-line mit dem Applikationsverkehr sein und kann sich – dank Remote-Mirroring – an beliebiger Stelle im Netzwerk befinden. Kombiniert mit den nicht gesampelten Flow-Statistiken vom Applikations-Flow bieten diese Resultate vollständige Applikations-Flow-Sichtbarkeit innerhalb von Onefabric-Control-Center. Die Durchsetzung von Richtlinien kann in Konsequenz auf Basis der gewonnenen Applikationssichtbarkeit erfolgen.

Wie es funktioniert

Traditionelle Netflow-Systeme sammeln und definieren Verkehr basierend auf IP-Adressen und TCP/UDP-Ports. Purview hingegen entdeckt, sammelt, dekodiert und prüft Schicht-7-Daten, während es die gewöhnlichen Netflow-Informationen für die jeweiligen Applikations-Flows unverändert lässt. Und während viele andere Analyse-Systeme teure Hardware benötigen, um den massiven Verkehr zu bearbeiten, den Port-Mirrors oder Netzwerk-Taps in den Multi-Gigabit-Segmenten sammeln, kann Purview Millionen von Flows aus dem gesamten Netzwerk mit Multi-Gigabit-Geschwindigkeit analysieren, ohne die Performance der Coreflow2 nutzenden Switching-Hardware zu beeinträchtigen.

Es funktioniert ganz einfach: Zunächst ist die Netzwerk-Hardware (S- oder K-Series-Switches) so einzustellen, dass sie Netflow an eine Purview-Engine weiterleitet. Dies bietet bereits sämtliche Informationen, die in Netflow-v9-Paketen enthalten sind, darunter die Quell- und Ziel-IP-Adressen gemeinsam mit Protokoll- und Paket-Counter-Informationen. Im zweiten Schritt ist dann auf denselben Schnittstellen ein spezieller Policy-Mirror (oder Purview-Mirror) einzuschalten, der die ersten Pakete (0 bis 31, Standard 15) jedes neuen Flows zur Purview-Engine sendet. Die Purview-Engine prüft den Stream und identifiziert per Fingerprinting die jeweilige Applikation. Diese Information kombiniert sie dann wieder mit dem korrespondierenden Netflow-Satz. Der so kombinierte Satz enthält nun also nicht nur IP- und TCP/UDP-Informationen, sondern auch den Applikationsnamen und die Kategorisierung, TCP- und Applikations-Antwortzeiten und Applikations-Metadaten, im Fall von HTTP- oder HTTPS-Verkehr beispielsweise URL-, User-Agent- und SSL-Zertifikats-Informationen.

Extreme Networks sagt, die Purview-Lösung funktioniere in jedem Netzwerk, nicht nur in solchen, die Extreme-Switches einsetzen. Ein Purview-Deployment besteht aus einem Coreflow2-fähigen Gerät im Netzwerk, das die Daten sammelt, der Purview-Engine und Onefabric-Control-Center (worin Netsight enthalten ist). Netzwerke, die bereits mit Switches der Extreme-K- oder -S-Serie arbeiten, unterstützen Purview sofort. Netzwerke, die keine Coreflow2-Switches nutzen, also auch Nicht-Extreme-Netzwerke, benötigen mindestens ein Coreflow2-basiertes Gerät, das irgendwo im Netzwerk installiert wird.

Lizenzierung & Fazit

Die Lizenzierung von Purview basiert auf der Anzahl der Flows im beobachteten Netzwerk. Auf der Grundlage von Tests im eigenen und Untersuchungen einiger Netzwerke von Purview-Kunden rechnet Extreme Networks mit 30 Flows pro Gerät und Minute. Dabei geht Extreme von durchschnittlich zwei bis drei Geräten pro Benutzer aus. 10.000 Geräte würden dementsprechend durchschnittlich ungefähr 300.000 Flows pro Minute erzeugen. In diesem Fall wäre eine PV-FPM-500K-Lizenz erforderlich, die rund 100.000 Dollar kostet. Das entspricht einem Preis von 20 Dollar pro 100 Flows/Minute oder sechs  Dollar pro Client bei einer typischen Flow-Rate von 30 Flows/Minute.

Für eine Million Flows pro Minute kostet die Purview-Lizenz 150.000 Dollar. Die Preise pro 100 Flows/Minute und pro Client reduzieren sich dann auf 15 Dollar respektive 4,50 Dollar. Den günstigsten Preis pro 100 Flows/Minute (8,33 Dollar) und pro Client (2,50 Dollar) erzielt man durch Erwerb einer Purview-Lizenz für drei Millionen Flows/Minute, die 250.000 Dollar kostet. Eine Purview-Engine-Appliance (Hardware only) allein kostet 20.000 Dollar, ein 10-GBit/s-Interface-Upgrade dafür 5.000 Dollar.

Extreme Networks offeriert zwei Purview-Bundles, die besonders Nutzern von Nicht-Extreme-Netzwerken den Einstieg schmackhaft machen sollen. Die Bundles enthalten alles, was für einen sofortigen Start notwendig ist. Sie unterstützen durchschnittlich 250 bis 500 Nutzer mit durchschnittlich drei Geräten pro User. Zur Auswahl steht ein Bundle für eine virtuelle Bereitstellung und eines für ein Hardware-Deployment. Der Preis der virtuellen Lösung liegt bei 35.000 Dollar, das Hardware-Deployment kostet um die 55.000 Dollar.

Fazit
Purview begeistert – das gilt sowohl für unsere eigene Testumgebung als auch für die Live-Umgebungen, die wir uns intensiv anschauen konnten. Allein schon Onefabric-Control-Center beziehungsweise Netsight überzeugt durch erstklassige Filter- und Suchfunktionen und einfache Bedienung. Gemeinsam mit Purview wird daraus ein wertvolles Werkzeug, das tatsächlich die Brücke schlägt von Management zu Analytik.

Die Performance des Systems ist beeindruckend, und das nicht nur im Testnetzwerk, sondern auch in einem massiven Produktivnetzwerk mit Segmenten in Europa und den USA. Allerdings ist zuzugeben, dass es sich um ein Extreme-Netzwerk handelte, in dem viele Switches von vornherein Coreflow2-fähig waren – wie sich Purview in einem Nicht-Extreme-Netzwerk schlägt, wäre noch zu testen. Doch auch einige Netzwerke in den Stadien der NFL, die ihre Wifi-Services damit geplant haben sowie managen und auf die wir uns aufschalten konnten, bestätigen eindrucksvoll die Performance, die Vielfältigkeit der Analyse-Möglichkeiten sowie das Kontextmanagement. 

Quelle: Funkschau