CC BY
120
ИССЛЕДОВАНИЕ ХАРАКТЕРИСТИК ТРАФИКА КОРПОРАТИВНОЙ СЕТИ
Р.В. Суханов
ООО «Байтсервис», г. Москва, Россия
Корпоративные сети современных компаний, как правило, представляют собой объединение локальной сети центрального офиса и локальных сетей территориально распределенных филиалов. Для проведения исследования была выбрана реальная корпоративная сеть одной из московских компаний.
Сбор данных проводился в головном офисе на маршрутизаторе (с помощью программного продукта CommView, разработанного компанией TamoSoft), через который осуществляется обмен трафиком между сегментами корпоративной сети, а также между корпоративной сетью компании и глобальной сетью Интернет. Весь трафик, проходящий через центральный маршрутизатор, с помощью технологии зеркалирования дублировался на специально выделенном порту, к которому был подключен ПК с предустановленным ПО. Продолжительность исследования составила порядка 24 часов.
Согласно полученному распределению между сетевыми протоколами лидирующее положение занимает IP (Internet Protocol) v.4, доля которого в исследованном трафике составила 99.95 %. Кроме указанного протокола, была выявлена незначительная доля протокола IP v.6, который представляет собой следующее поколение протокола IP и в настоящее время только начинает получать распространение в корпоративных сетях.
Согласно полученному распределению между основными IP протоколами лидирующее положение занимает TCP (Transmission Control Protocol). Доля его трафика составила 85.34 %. Для протоколов: GRE (Generic Routing Encapsulation) доля трафика составила 14.01 %; UDP (User Datagram Protocol) - 0.6 %; ICMP (Internet Control Message Protocol) - 0.02 %. Присутствие в трафике указанной доли протокола GRE обусловлено использованием технологии туннелирования для объединения головного офиса и территориально распределенных филиалов в единую сеть, при которой один протокол внедряется (инкапсулируется) в другой.
Исходя из вышеуказанных данных, можно сделать вывод, что в корпоративной сети в качестве основного используется стек протоколов TCP/IP.
Распределение протоколов уровня приложений выглядит следующим образом: доля трафика HTTP (Hyper Text Transfer Protocol) - 74.96 %; HTTPS (Hypert Text Transfer Protocol Secure), поддерживающего шифрование трафика - 3.29 % от общего объема; SMTP (Simple Mail Transfer Protocol) -20.42 % (используемый в качестве основного для работы электронной почты); DNS (Domain Name System) - 0.72 %.
Относительно размеров пакетов, присутствующих в исследуемом трафике, получилось следующее распределение: пакеты размером более 1023 байта - 41.43 % от общего трафика, пакеты размером менее 64 байта -32.92 %.
Количество переданных пакетов за время проведения исследования (23 часа 48 минут) в общей сложности составило порядка 21 828 794 шт. Объем переданных данных составил порядка 15 433 900 291 байт. Средняя скорость передачи данных в момент замера составила 1 572 392 бит в секунду, среднее количество переданных в секунду пакетов составило 279 шт. График загрузки канала корпоративной сети имеет неоднородный характер интенсивности распределения трафика, постоянно меняющийся во времени с кратковременными всплесками в часы наивысшей нагрузки, обусловленные рабочим графиком сотрудников компании.
Исследование трафика сети провайдера
Телекоммуникационные сети провайдеров, как правило, представляют собой более сложные структуры, чем обычные локальные и корпоративные сети и подразделяются на магистральные, сети доступа и др. [1]. Общая схема исследуемой упрощенной структуры приведена на рисунке 1.
Локальная сеть
Рис. 1. Общая схема исследуемой упрощенной структуры
Сбор данных проводился центральным маршрутизатором провайдера. В качестве каналообразующего оборудования используется высокопроизводительное сетевое оборудование компании Cisco и волоконнооптическая линия связи (ВОЛС). ВОЛС является транспортной магистралью с пропускной способностью до 1 Гбит/с. В состав данной магистрали входят несколько сегментов волоконно-оптических линий связи общей протяженностью более 11 км - до здания «ММТС-9», представляющей собой крупнейшую в России точку обмена трафиком. Для данного магистрального канала характерна повышенная степень загруженности, поэтому измерение интенсивности трафика в точке доступа позволяет выявить и проанализировать характерные особенности измеренного трафика.
Анализ статистических данных трафика производился с помощью программного продукта PRTG Traffic Grapher, разработанного компанией Paessler AG. Сбор данных как по входящему, так и исходящему трафикам осуществлялся на порту центрального маршрутизатора в течение года - с февраля 2009 по февраль 2010 г.
Полученные данные для удобства дальнейшего анализа были разделены на группы: трафик в течение часа; трафик в течение суток; трафик в течение месяца; трафик в течение года.
На рисунках 2 и 3 представлены графики интенсивности входящего (красный цвет) и исходящего (зеленый цвет) трафика, фиксируемого системой мониторинга в течение 1 часа с интервалом между замерами 3 секунды:
Рис. 2. Интенсивность трафика в утренние часы
Рис. З. Интенсивность трафика в вечерние часы
Как видно из графиков, интенсивность, как входящего, так и исходящего трафика в разрезе временного интервала 1 час, в основном, состоит из двух компонент: определенной составляющей, характеризуемой систематической флуктуацией, или трендом, и случайной составляющей с вероятностными свойствами, характеризуемой кратковременными по времени, но существенными по амплитуде всплесками или пульсациями. Сравнивая графики, можно заметить, что среднее значение интенсивности трафика меняется в большую сторону, что связано с графиком работы клиентов провайдера. Выявленная особенность поведения трафика имеет важное практическое значение, так как в случае достижения предельно допустимой пропускной способности каналообразующего оборудования в пиковые моменты при пульсациях трафика может иметь место перегрузка сети,
что обязательно необходимо учитывать при проектировании.
Возможности PRTG Traffic Grapher позволяют формировать различные отчеты. Для количественной оценки основных статистических характеристик трафика: среднее значение входящего трафика, среднее значение исходящего трафика, средняя интенсивность входящего трафика, средняя интенсивность исходящего трафика, суммарное значение входящего трафика, суммарное значение исходящего трафика, - зафиксированных мониторинговой системой в течение 1 часа (16:00-17:00) с интервалом усреднения данных равным 1 минуте, данные были представлены в сводной таблице. Основные результаты следующие: среднее значение интенсивности входящего трафика составило порядка 18 Мбит в секунду, пиковое значение составило порядка 52 Мбит в секунду
з
(период 16:06-16:07). Среднее значение интенсивности исходящего трафика за исследованный час составило порядка 23 Мбит в секунду, пиковое значение составило порядка 34 Мбит в секунду (период 16:31-16:32). Среднее значение входящего трафика составило 0.120 Гбайт в минуту, среднее значение исходящего трафика составило 0.127 Гбайт в минуту. Суммарный объем входящего трафика за исследованный час составил 7.2 Гбайт, а суммарный объем исходящего трафика составил 8.3 Гбайт. Для выявления
Из графика видно, что поведение как входящего, так и исходящего трафика в разрезе временного интервала 24 часа носит вполне определенных характер: интенсивность его существенно меняется по амплитуде (от минимального до максимального) и носит волнообразный характер (аппроксимация по амплитуде выделена синим цветом), при этом на фоне ее плавного (в масштабах суток) изменения отчетливо наблюдаются кратковременные по времени, но существенные по амплитуде пульсации трафика. Часы минимальной нагрузки на сеть можно определить как 04:00-08:00. Часы максимальной нагрузки на сеть были зафиксированы дважды в сутки, первый раз в период с 14:3015:30, второй раз в период с 21:30-22:30. Объяснение такого поведения трафика, по всей видимости, заключается в особенностях работы корпоративных клиентов в течение суток.
Для количественного выражения основных статистических характеристик трафика:
других характеристик, представляющих интерес, таких как часы наибольшей нагрузки, периодичность их повторения и т. д., необходимо исследование трафика в разрезе существенно больших временных интервалов.
На рисунке 4 представлен график интенсивности входящего (выделен красным цветом) и исходящего (выделен зеленым цветом) трафика, зафиксированного системой мониторинга в течение 24 часов с интервалом усреднения данных по замерам равным 5 минут.
среднее значение входящего трафика, среднее значение исходящего трафика, средняя интенсивность входящего трафика, средняя интенсивность исходящего трафика, суммарное значение входящего трафика, суммарное значение исходящего трафика, - зафиксированных мониторинговой системой в течение 24 часов (с 00:00 19.02.10 г. до 24:00 19.02.10 г.) с интервалом усреднения данных равным 1 часу, полученные данные также были сведены в таблицу. Основными результатами являются: среднее значение интенсивности входящего трафика за исследованные сутки составило порядка 18 Мбит в секунду, пиковое значение составило порядка 35 Мбит в секунду (период 13:00-14:00). Среднее значение интенсивности исходящего трафика за исследованные сутки также составило порядка 18 Мбит в секунду, пиковое значение составило порядка 39 Мбит в секунду (период 19:00-20:00). Среднее значение входящего трафика составило 7.8 Гбайт в час, среднее значение исходящего трафика соста-
5 min Averages - 24 Hours
20:00 22:00 00:00 02:00 04:00 06:00 08:00 10:00 12:00 14:00 16:00
Щ Bandwidth Traffic IN Bandwidth Traffic OUT
Рис. 4. Интенсивность трафика в течение 24 часов
вило 7.9 Гбайт в час. Суммарный суточный объем входящего трафика составил порядка
188.5 Гбайт, а суммарный суточный объем исходящего трафика составил порядка
189.6 Гбайт. В общей сложности за сутки через телекоммуникационную сеть провайдера прошло 378.2 Гбайт трафика.
Из рисунка видно, входящий и исходящих потоки в разрезе временного интервала 1 месяц имеют вполне определенных характер: интенсивность в течение суток, как было показано ранее, существенно меняется по амплитуде (от минимального до максимального) и носит периодический, волнообразный характер, при этом пиковые значения амплитуды суточных замеров трафика в разрезе недели также меняются и тоже носят волнообразный характер (аппроксимация по амплитуде выделена синим цветом), с максимальным значением в середине недели. Дни минимальной нагрузки на сеть можно определить как суббота-воскресенье. Дни максимальной нагрузки на сеть можно определить как среда-четверг. Объяснение такого поведения трафика, по всей видимости, заключается в чередовании у клиентов исследуемого провайдера рабочих дней с выходными.
Для количественного выражения основных статистических характеристик трафика: среднее значение входящего трафика, среднее значение исходящего трафика, средняя интенсивность входящего трафика, средняя интенсивность исходящего трафика, суммарное значение входящего трафика, суммарное значение исходящего трафика, - за-
На рисунке 5 представлен график интенсивности входящего (красным цветом) и исходящего (зеленым цветом) трафика, зафиксированного системой мониторинга в течение месяца (с 19.01.10 г. по 19.02.10 г.) с интервалом усреднения данных по замерам равным 1 час:
фиксированных мониторинговой системой в течение 1 месяца (с 01.02.10 г. по 28.02.10 г.) с интервалом усреднения данных равным 1 суткам, результаты были сведены в отдельную таблицу. Согласно данным таблицы среднее значение интенсивности входящего трафика за исследованный месяц составило порядка 18 Мбит в секунду, пиковое значение составило порядка 25 Мбит в секунду (17.02.2010). Среднее значение интенсивности исходящего трафика за исследованные сутки также составило порядка 22 Мбит в секунду, пиковое значение составило порядка 27 Мбит в секунду (10.02.2010). Среднее значение входящего трафика составило
189.7 Гбайт в сутки, среднее значение исходящего трафика составило 224.5 Гбайт в сутки. В общей сложности за исследованный месяц через телекоммуникационную сеть провайдера прошло 11 553 Гбайт трафика.
На рисунке 6 представлен график интенсивности входящего (красным цветом) и исходящего (зеленым цветом) трафика, зафиксированного нашей системой мониторинга в течение 1 года (с февраля 2009 г. по февраль 2010 г.) с интервалом усреднения данных по замерам равным 1 дню.
Hourly Averages - 30 Days
дне 23 Яне 26 Яне 29 фев 01 фев 04 фев 07 фев 10 фев 13 фев 16 фев 19
Щ Bandwidth Traffic IN Bandwidth Traffic OUT
Рис. 5. Интенсивность трафика в течение месяца
Daily Averages - 365 Days
0
2009-апр 2009-июн 2009-авг 2009-окт 2009-дек 2010-фев
■ Bandwidth Traffic IN Bandwidth Traffic OUT
Рис. 6. Интенсивность трафика в течение года
Из графика видно, что период минимальной нагрузки на сеть характеризуется серединой июня 2009 г., а период максимальной нагрузки на сеть - конец декабря 2009 г. При этом, на протяжении исследованного периода наблюдается тенденция к росту интенсивности трафика, что вполне объяснимо смещением в большую сторону доли мультимедийных данных.
В результате проведенных исследований можно сделать вывод: потоковая нагрузка на сеть и выходной поток имеют явно выраженный периодический характер, который во многом определяется особенностью деятельности корпоративной сети и ее клиентов.
Полученные результаты позволяют определить количественные значения всплесков трафика и его рост в течение года. Их использование позволяет проектировать ресурсы корпоративной сети таким образом, чтобы, с одной стороны, повысить информационную эффективность сети, используя полный ресурс системы, с другой - не допустить неконтролируемой ее перегрузки.
Литература
1. Основы инфокоммуникационых технологий: учеб. пособие для вузов / В.В. Величко, Г.П. Катунин, В.П. Шувалов; под ред. В.П. Шувалова. М., 2009.
