Un monitoring sofisticato ma spesso invisibile per garantire la sicurezza, l’affidabilità e l’efficienza della rete. E l’evoluzione è a misura dell’utente

“La potenza è nulla senza controllo”, recitava un famoso spot di qualche anno fa e lo slogan potrebbe ben adattarsi al mondo delle reti. L’infrastruttura dedicata all’università e alla ricerca realizzata da GARR raggiunge prestazioni indubbiamente considerevoli, ma il grado di complessità della rete e l’elevato numero di utenti che la utilizzano rendono indispensabile un monitoraggio continuo e costante per poter garantire l’efficienza del suo funzionamento.

Gran parte delle attività che riguardano il monitoring, che si tratti di tool automatici o azioni di persone fisiche, rimane nascosta. È un servizio invisibile e sempre in moto che silenziosamente opera per garantire il funzionamento ottimale della rete. L’ erogazione di servizi all’avanguardia che possano rispondere alle esigenze specifiche del mondo della ricerca è nella natura della rete GARR. La nascita di ognuno di questi servizi richiede la creazione di strumenti e procedure che ne assicurino il controllo e questo lavoro è svolto dal nostro gruppo di Software Development.

Giovanni Cesaroni
GARR
Software Design & Development
Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Nino Curleo
GARR 
Software Design & Development
Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Grazie al sistema di monitoring, il GARR-NOC (Network Operation Center), il gruppo che si occupa della configurazione e della gestione dell’infrastruttura di rete e dei servizi agli utenti, opera in modo proattivo, riuscendo spesso ad anticipare le segnalazioni di malfunzionamento e intervenendo tempestivamente per risolvere i guasti, a volte senza che l’utente si accorga del problema. Funzionalità avanzate del sistema di monitoring, come l’analisi dei flussi di traffico, permettono di fornire un valido contributo sia in termini di sicurezza che in fase di progettazione della rete. L’ architettura della rete GARR infatti è disegnata sulla base delle esigenze degli utenti e questa analisi qualitativa consente di conoscere le reali necessità di banda delle organizzazioni e dei progetti di ricerca connessi, sia in termini di quantità, sia nella “direzione” del traffico.

Strumenti integrati di monitoring

L’ approccio di GARR nella costruzione del sistema di monitoring è sempre stato rivolto all’uso di tool open source ed allo stesso tempo all’integrazione e correlazione dei dati. Questi due aspetti non sempre vanno d’accordo, specialmente in una rete che evolve continuamente e in cui si ha l’esigenza di mantenere negli anni la storia delle misure senza perdere i dati. A questo scopo è stata fondamentale quanto onerosa la progettazione e l’implementazione di un sistema informativo che facesse da base per la correlazione e per l’evoluzione temporale dei dati. Al sistema di monitoring è stato dato il nome GINS, GARR Integrated Networking Suite, proprio per sottolinearne l’aspetto dell’integrazione.

GINS include gli strumenti per la diagnostica e il tracciamento dei problemi dell’infrastruttura di rete e dei servizi, i sistemi di acquisizione e visualizzazione delle statistiche di traffico e di reportistica. L’interoperabilità dei tool e l’integrazione garantiscono al NOC una veloce diagnostica dei problemi. Molte delle funzionalità di GINS sono pubblicamente accessibili a chiunque tramite interfaccia web: ad esempio, la visualizzazione delle statistiche di traffico e le weathermap della dorsale di rete. Le weathermap sono mappe dinamiche e interattive che consentono una visualizzazione grafica d’insieme dello stato della rete in ogni suo collegamento. Sulla mappa possono essere riportate molte informazioni tra cui il traffico dei link e dei servizi, le temperature e il carico delle CPU degli apparati e poi aspetti più avanzati, come i costi OSPF, i ticket in lavorazione o programmati. GINS è un servizio nato per garantire tutti gli altri servizi offerti da GARR, ma al tempo stesso può essere considerato anche un servizio per l’utente finale.

La trasparenza con cui sono mostrati i dati di traffico fa sì che i gestori delle reti delle varie istituzioni collegate possano disporre di un importante strumento di lavoro, accedendo a informazioni che solitamente in altre reti sono mantenute sotto l’esclusivo controllo dell’operatore. Monitoring come controllo, dunque, ma anche come raccolta di statistiche ed analisi dei dati: la suite permette infatti di collezionare e organizzare le informazioni relative alle singole istituzioni che vengono rese disponibili in report mensili e annuali.

Ma dove vanno i bit?

Ogni giorno l’infrastruttura di rete GARR veicola miliardi di pacchetti generati o diretti verso gli enti di ricerca italiani ed internazionali. Ma quali strade percorrono questi pacchetti? Da dove sono originati e verso quali destinazioni viaggiano? La risposta a queste domande è estremamente utile a chi opera sulla rete, soprattutto nella pianificazione e progettazione, nel monitoring delle politiche di instradamento e nella gestione degli incidenti di sicurezza. Bisogna considerare, però, che per godere di queste informazioni occorre conservare la sorgente e la destinazione di ogni flusso IP che transita sulla rete. Ciò implica un notevole impegno nel dimensionamento delle risorse di storage e di calcolo che consentono il mantenimento e la gestione dei dati. Per semplificare queste operazioni, viene effettuato un processo di campionamento che permette di ridurre di circa mille volte il numero dei dati, pur mantenendo la significatività dell’informazione contenuta in essi.

Un apposito protocollo, chiamato Netflow (e nella versione standardizzata IPFIX), consente la cattura di tali informazioni provenienti da tutti i router della rete e il loro relativo collezionamento. Questa grande quantità di dati è resa facilmente accessibile e fruibile grazie a numerosi processi di analisi ed archiviazione, come ad esempio la creazione di statistiche relative a specifici contesti, che possono essere molto vari: dal traffico prodotto da una specifica applicazione, alla distribuzione del traffico prodotto da un grande fornitore di servizi. Un esempio di utilizzo di questo strumento di analisi è stata l’osservazione e la quantificazione del traffico tra gli enti connessi a GARR e Google.
Ciò ha permesso di pianificare la messa in opera di un collegamento diretto, più efficiente e meno costoso, che oggi è realizzato per mezzo di due link esclusivi con Google, per una capacità totale di 2Gbps. In fase di migrazione, inoltre, lo strumento è stato utilizzato dal personale del GARR-NOC per garantire che il traffico da e verso Google transitasse correttamente sui nuovi link dedicati. Oltre all’osservazione del traffico verso l’esterno della rete, sono stati molto utili gli strumenti che permettono di creare e di visualizzare le matrici di traffico tra i diversi PoP o tra gruppi di utenti. I dati ricavati tramite il protocollo Netflow, oltre che per generare, come abbiamo visto, alcuni tipi particolari di statistiche, sono conservati, così come sono, per essere consultati a posteriori.

Tale funzionalità è molto utile per analizzare all’occorrenza un evento verificatosi tempo prima in rete. In merito a tale funzione, un ruolo fondamentale lo ha il gruppo di lavoro GARR-CERT che, attraverso gli strumenti di analisi dei flussi, proattivamente individua le condizioni malevole. Ciò avviene in sinergia con il gruppo GARR-NOC, che, dopo aver analizzato le caratteristiche dei flussi e individuato l’origine del traffico dannoso, come ad esempio l’indirizzo di un host che genera un attacco DOS (Denial of Service), applica le opportune politiche per la difesa delle infrastrutture di rete dell’ente colpito.

L’evoluzione su misura

L’implementazione di soluzioni sempre nuove per erogare servizi di rete all’avanguardia richiede l’introduzione di nuove strategie e tecnologie di controllo. Pensiamo al caso delle VPN (Virtual Private Network), reti che, in quanto private, non possono essere monitorate in modo tradizionale. Per questo, ad esempio, è stato implementato un sistema di misura delle performance distribuito, basato sulla tecnologia RPM (Real-Time Performance Monitoring), che permette di misurare la latenza tra due nodi qualsiasi della rete e quindi anche assicurare la funzionalità delle reti private.

Questa tecnologia consente inoltre il monitoring delle performance di protocolli applicativi specifici da qualsiasi punto della rete, dando così la possibilità al NOC di conoscere le prestazioni della rete non solo a livello di trasporto ma anche a quello applicativo. Questo approccio all’evoluzione del monitoring sarà fondamentale nella rete GARR-X, in cui il controllo del livello ottico verrà gestito direttamente dal GARR e non più demandato agli operatori di TLC. Sarà quindi necessario definire nuove metriche che serviranno a controllare la rete ottica nelle sue caratteristiche peculiari, ad esempio il degrado a cui è tipicamente soggetto il laser.

Altrettanto importante diventa l’integrazione di nuovi strumenti e la conseguente correlazione degli allarmi e delle segnalazioni provenienti dai vari livelli della rete.

Per maggiori informazioni: https://www.gins.garr.it