Už ste našli spôsob ako monitorovať výkon aplikácií?

Daniel Kaničár

Senior Systems Engineer

daniel.kanicar@alef.com

Vyťažte maximum z Meraki MX

  • Každý sieťový admin pozná slovné pojmy ako: „Nejde mi internet!“, „Nefunguje mi WiFi“, „Všetko je spomalené“, „Nedá sa s tým pracovať“. Problémy sú nekonečné, tak ako aj vesmír.
  • Pokiaľ pracujete v malej firme, riešenie takýchto požiadaviek je väčšinou jednoduché a býva vyriešené jednoduchým reštartom sieťovej krabičky. Ak problém pretrváva, tak sa snažíte riešenie problému presunúť na Vášho poskytovateľa Internetu.

Čo však v prípade väčšej siete, veľkého počtu užívateľov, veľkého množstva sieťových prvkov a rôznych pripojení do Internetu. Pokiaľ máte vo Vašej  DMZ sieti Cisco Meraki MX firewall, môžete si gratulovať. Zariadenie spĺňa požiadavky na aplikačný firewall, VPN bránu, má SD-WAN podporu a jednotný konfiguračný Dashboard pre všetky Cisco Meraki zariadenia

Náš tip:

  • Aby ste však dokázali z tohto zariadenia získať maximum,
    porozmýšlajte o zakúpení Insight licencie.

Insight licencia Vám dovolí monitorovať užívateľskú skúsenosť s webovými aplikáciami. Keďže firewall býva zvyčajne zapojený aj do lokálnej siete aj do Internetu, dokáže admina nasmerovať, v ktorej časti siete môže byť potencionálny problém.

Ako príklad si vezmite službu Office 365. Užívateľka reportuje problém, nemôže uložiť dokument, ktorý práve vytvorila. Admin začína zbierať informácie o užívateľke, čo robila a kedy, kde je pripojená, či je na WiFi alebo LAN, atď. Zber týchto informácií trvá nejakú dobu, počas tejto doby sa  problém nerieši  a ani admin zatiaľ nevie, kde môže byť „pes zakopaný“.
Pokiaľ by ste ale boli do Internetu pripojený prostredníctvom Cisco Meraki MX s Insight licenciou, tak v rámci monitoringu aplikácie by ste hneď videli kde sa problém nachádza, koľko užívateľov má problém a na ktorom rozhraní firewallu je problém.  Navyše budete mať k dispozícií rôzne historické štatistiky.

Meraki Insight predstavuje prienik troch moderných trendov:

  1. AI – Umelá inteligencia. Sleduje možné anomálie v sieti, zaloguje čas kedy niečo takéto detegovala. Následne viete porovnávať logy na iných zariadeniach a odhaliť páchateľa, príčinu problému.
  2. Data – Meraki MX využíva cloudový Meraki Dashboard a tak má dostatočný priestor na ukladanie veľkého množstva údajov o správaní sa webových aplikácií. Týmto odpadá zákazníkovi potreba udržiavať drahé diskové pole pre účely monitoringu. Navyše Meraki Dashboard je GDPR compliant.
  3. SD-WAN – aktuálny trend ukazuje, že viac a viac firiem sa snaží využívať pre svoje fungovanie cloudové služby. Týmto sa ale stávajú čoraz viac závislými od Internetovej konektivity a zriaďujú si záložné pripojenia, napríklad cez LTE. Perfektná vec, ale znovu sťažuje adminom riešenie užívateľských  problémov.

Ako to teda celé funguje?

Meraki MX sa “stane” kolektorom informácií o aplikáciách a sieťach. Nad týmito informáciami prebehne analýza, ktorej výstupom budú prehľadné a ľahko čitateľné grafy. Keďže na zber informácií sa využíva Meraki cloud dashboard, tak celá analýza a história údajov je dostupná  v cloude a nezaťažuje nám lokálny hardware.

Následne začne Meraki MX sledovať požadovanú aplikáciu, zaznamenáva všetky prenosy súvisiace s appkou a ukladá tieto informácie do Meraki cloudu cez zašifrovaný tunel. V cloude najskôr prebehne DPI analýza (deep packet inspection) pomocou Cisco AMP a IPS nástrojov. Z týchto informácií sa získajú údaje ako sieťového charakteru, tak aj aplikačného, ktoré následne Meraki Insight vyhodnocuje a danej aplikácií priraďuje skóre (Performance score). Toto skóre vyjadruje užívateľskú spokojnosť s danou službou. Základné thresholdy môže definovať admin pre každú sledovaná aplikáciu zvlášť. Týmto vie zabezpečiť určitú granularitu medzi bussiness critical a menej podstatnými službami.

Performance score

Performance score 100 znamená, že ako sieťová časť, tak aj aplikačná fungujú správne. A teda užívateľská skúsenosť by mala byť bezproblémová.  Skóre okolo 80 znamená, že niektorí užívatelia môžu mať potencionálne problém. Ďalší extrém, je skóre blízke 0, čo značí, že aplikácia buď nefunguje, alebo funguje len v obmedzenom režime. V nasledujúcom prípade je definované sledovanie 3 aplikácií: Software updates, Google drive, Google. Ako vidíte performance score majú vysoké, tým pádom je užívateľská spokojnosť v poriadku, čiže sieť aj webová aplikácia fungujú dobre.

Thresholds

Performance score sa počíta na základe definovaných thresholdov. Do výpočtu nám vstupujú per-flow goodput a application response time.

    1.       Per-flow Goodput – predpovedané maximálne množstvo dát, ktoré môžu byť prenesené v rámci jedného prenosu. Táto hodnota je odvodená z latencie (oneskorenia) a loss (stratovosti) siete
    2.       Application Response Time – HTTP response time pre požiadavku inicializovaný aplikáciou.

Obe tieto hodnoty môže administrátor prispôsobovať podľa svojich požiadaviek. Napríklad definovať minimálne akceptovateľný per-flow goodput v rozmedzí 10Kbps – 10Mbps. Základná hodnota je 160Kbps. Podobne, môže admin definovať maximálne tolerovateľný application response time, v rozmedzí 100ms – 100s. Default nastavenie je 3 sekundy. Na obrázku nižšie sú zobrazené možnosti nastavenia thresholdov pre aplikáciu iTunes. Ako vidíte, celé nastavovanie je veľmi jednoduché a Insight sa snaží držať Cisco Meraki štandard -  všetko veľmi prehľadné, automatické a jednoduché.


Insight z definovaných thresholdov vygeneruje čitateľné grafy. V našom prípade sa sleduje webová aplikácia Windows Office 365. Z výpisu je vidno,  že performance score je 41%. Zobrazené štatistiky sú za posledný týždeň. Keďže Meraki Insight sleduje ako sieťové správanie, ale aj aplikačné, tak z grafu je možné vyčítať, že problém nie je na sieti, ale je aplikačného charakteru. Pri bližšom skúmaní je vidno  aj klientov, ktorí majú reálne problém s danou službou.

V rámci sledovania trendov danej aplikácie, je možné získať komplexný prehľad o zdraví webovej služby. Dajú sa  zobraziť detailne štatistiky z LAN, WAN segmentu, chybovosti na sieti, spotrebovaná šírka pásma a latencia.

Z aplikačného pohľadu vidíme HTTP response time, HTTP request rate a akú spotrebu dát má daná aplikácia.

Ďalej je možné  zobraziť podrobné informácie o užívateľoch, ich performance score pre danú aplikáciu, koľko krát danú aplikáciu využili, priemerný goodput a priemerný aplikačný response time. V rámci sledovanej aplikácie si vieme zobraziť taktiež štatistiky jednotlivých aplikačných serverov a používaných domén,  veľmi podobne ako pri klientoch.

Insight limitácie

Aktuálne je Insight podporovaná len na Meraki MX zariadeniach. Ak sú MX zariadenia nastavené ako AutoVPN Hub-y, tak nie je možné vykonávať analýzu nad touto VPN komunikáciou. Aby ste túto prevádzku vedeli analyzovať, je potrebné spustiť Insight na VPN Spoke MX zariadeniach. Medzi poslednú limitáciu patrí monitoring aplikácie, ktorú máte umiestnenú za MX LAN portom, táto prevádzka nebude analyzovaná.

Licencovanie a škálovateľnosť

Meraki Insight vyžaduje zakúpenie dodatočnej licencie. Licencia sa kupuje na 1,3 alebo 5 rokov. Insight licencia je aplikovaná per definovaný Network. Jednotlivé typy licencií sú rozlišované na základe priepustnosti zakúpeného MX zariadenia.

Detaily v tabuľke nižšie:

Typ licenciePodporovaná priepustnosťMožný Hardware
Meraki Insight (Small) Až do 250 Mbps MX60(W), MX64(W), MX65(W)
Meraki Insight (Medium) Až do 750 Mbps MX84, MX100
Meraki Insight (Large) Až do 5 Gbps MX250, MX400, MX600
Meraki Insight (XLarge) Až do 10 Gbps MX450

 

Čo dodať na záver?

Chráňte si vaše dáta, je to to najcennejšie vo Vašej spoločnosti. Meraki MX poskytuje slušný úvod do aplikačnej bezpečnosti a v spojení s Insight dosiahnete zo zakúpeného hardwaru maximum.

Pre viac informácií nás kontaktujte

SK-sales@alef.com

Dokumentácia:

Bližšie informácie o Cisco Meraki a GDPR nájdete tu:
https://documentation.meraki.com/zGeneral_Administration/Privacy_and_Security/GDPR_-_Data_Privacy_and_Protection

Bližšie informácie o  Meraki Insight nájdete tu:
https://documentation.meraki.com/MI/Meraki_Insight