LAMPADoraclejava.co.kr/new/mail/file/Introduction.pdf · 2019-10-16 · 1. Introducing LAMPAD INDEX • 네트워크의잡화와 다양화 • LAMPAD의접근방법 • LAMPAD vs

이동형네트워크분석도구Configure LessInspect Deeper

Stay Alert Everywhere

LAMPAD

1. Introducing LAMPAD

INDEX

• 네트워크의 복잡화와 다양화• LAMPAD의 접근 방법• LAMPAD vs. Others• Comparison

4. Use Cases • LAMPAD 의 현장 적용 형태• 전수조사 기반 서비스 품질 관리• 의심되는 (물리)구간의 정밀 분석• NAT 네트워크 추적• 자체적인 초동 조사 환경

※ 솔루션의 기능 추가 및 성능 향상 등으로 인하여, 본 소개서에서는 일부 기능 설명이 누락되거나 표시 화면이 실제 솔루션과 일치하지 않을 수 있습니다.

2. Multi Facet Diagnosis • Overview• 상위 레이어 특화 경고• 추적 및 분석• 패킷 분석 필터• 외부 도구 연동 지원• LAMPAD Diagram

5. Case Studies • 국내 기간 통신사업자 A사, 클라우드 지연 추적• A사, 업무 네트워크 서비스 지연

3. LAMPAD GUI • DASHBOARD• ALERTFALL• ANALIZE (1) ~ (3)• CONFIGURE• Real-time Packet Capture & Analysis

LAMPADThe Portable Network Analyzer

INTRODUCING LAMPAD

LAMPAD The Portable Network Analyzer Copyright 2019. Soulsystems Corp. All rights reserved.

어디를 관리해야하는가?

무엇을분석해야하는가?

어떻게추적해야하는가?

네트워크의복잡화및다변화

최근의 네트워크는 구조의 복잡화와 서비스의 다양화로 인해 품질관리가그어느때보다더어려워지고있습니다.

가상화 기반 환경으로 인한 품질 관리 어려움

Server Side

▪ 서비스 가상화/SDN: 잦은 구조 변경과 가상화로 품질 유지 어려움

▪ 외부 클라우드: 외부 업체에 서비스 품질을 온전히 의존

▪ 서비스의 거대화, 다양화 및 복잡화

접속 기기와 환경의 다양화

Client Side

▪ 다양한 Client - PC, 스마트폰, 태블릿, 기타 각종 IoT 기기

▪ 고정된 사무실 → 네트워크가 연결된 모든 곳에서 접속

(카페, 공원, 임시 사무실, 고객사, ...... )

더많아진관제대상

더복잡해진서비스구조

새로운규격과프로토콜

물리적으로구분된네트워크

한정된예산

?

4

Introducing LAMPAD


패킷전수검사및실시간경고

LAMPAD는 하이엔드 분석도구를 갖춘 이동형 장비를 통해 언제 어디서나 정밀 분석이 가능한 환경을제공합니다.

하이엔드분석도구

이동성확보

높은연동성/ 확장성

L4 & L7 전용고급추적/분석도구

운영실무를반영한다양한특화도구

LAMPAD 전용포터블서버

트래픽분석구간Mirror포트확보

미러포트연결후바로수집/분석

각종 OpenStandard 지원

외부 DB 연계 외부분석도구연동

5

1

2

3

LAMPAD의접근방법Introducing LAMPAD


LAMPAD는 기존의 각 네트워크 분석 장비가 가진 장점만을 모았습니다.

vs. NMS

▪ 시스템이연결된위치의품질측정– 반면, NMS는 연동된 장비가 보내주는 데이터

를 이용하므로– 연동되지 않은 last mile 장비에서 사각지대

발생 가능 (예. 사무실의 unmanaged switch)

▪ Application 추적– L4~L7 수준의 분석 및 추적

vs. DPI

▪ 복잡한사전설정불필요– 미러 포트 연결만으로 바로 사용– 특정 IP 주소에 TAG를 설정할 수 있으며,

설정 이전 시간을 포함한 모든 시간대에대해 추적 및 분석 수행

▪ 이동성확보→더자세한분석– 서버와 클라이언트 네트워크를 물리적

으로 오가며 분석– 특정 위치(예: 사무실 1층)에서만 발생하

는 문제를 심층, 추적 분석

vs. Other Portables

▪ 강력한 DPI 기능의분석제공– 타 휴대장비는 제품의 기능, 성능보다

이동성을 강조하는 반면– LAMPAD 는 거치형 포터블 하드웨어

를 채용하여 충분한 수준의 성능과 기능을 제공

6

LAMPAD vs. OTHERSIntroducing LAMPAD

LA

MP

AD

COMPARISON

■ 서비스자동추출및단위분석- DNS + L4 + L7 분석을 통한 서비스 자동 추출

■ 초단위 Burst 트래픽추이감지- 평균 트래픽 대비 급증하는 트래픽 탐지 & 경고

■ 서비스성능분석- 서비스 별 응답시간 분석, 이상 현상 자동 탐지 & 경고

■ 패킷분석- 패킷 저장 및 데이터 분석 가능 여부

■ 언어지원- UTF-8 체계로 다국어 지원 (한글 포함)

■ 유연성- 수집 결과물을 3rd Party 프로그램에서 활용 (PCAP, CSV, SQLITE)- 이동 분석 용이

■ 경제성- 경쟁력 있는 제품 비용

■ Customizing- 고객 요구 사항 적극 반영

7

Introducing LAMPAD

LAMPAD는 경쟁 제품의 부족한 기능을 분석 / 보강한 솔루션이며최종적으로 고객이 만족하는 서비스와 가치를 제공하는데 목표가 있습니다.

LAMPAD F’ R’N’


MULTI FACET DIAGNOSIS


LAMPAD는 L4~L7에 특화된 경고진단도구 및 표준화된외부연동환경을 제공합니다.

9

OVERVIEWLAMPAD Feature

Payload 추적도구

TCP 특화분석도구

기본통계

Layer7 전용분석도구

특화진단도구

Conversations, headers, status, …

Full payload search, sessions, ……

Reset, Windows, ……

Bytes, packets, ……

실시간경고LAMPAD

외부연동

Open Standard 기반의외부연동

트래픽일반

Layer4 특성화경고

Layer7 특성화경고

Bytes, packets, latency, ……

TCP flags, window size, ……

Status, response code, ……


사용량 성능지표

LAMPAD는 일반사용통계정보는 물론 L4~L7의특성에 이르기까지다양한종류의경고를감지할 수 있습니다.

LAMPAD 경고체계

BPS

PPS

Latency

Timeout

Request(TCP+UDP)

성능지표 / 일반경고

사용량 성능지표

특성화경고

Request (TCP, UDP)

TCP RSTs

TCP Zero Window

HTTP 4XX

HTTP 5XX

(24)

(11)

(14)

(7)

(36)

10

상위레이어특화경고LAMPAD Feature


상위레이어분석

LAMPAD는 서비스사용량부터 서버 IP 자동감지, PAYLOAD 추적 등다양한 종류의 도구를 제공합니다.

* 특정한 규칙을 가진 문자열의 집합을 표현하는 데 사용하는 형식 언어

서버 IP 감지– 모든 서버 IP 자동 감지

(TCP&UDP)– 해당 IP 에 접속을 시도한

모든 Client 목록 포함

TCP RSTs– 발생한 IP와 출처– RST 생성 원인*

Top N

BPS & PPS

Latency

TimeoutsTCP Zero Windows 세션

– 해당 IP로부터 출발하거나들어온 모든 세션

– 개별 세션에 대한 세부 정보

Payload 추적– 모든 TCP 스트림, 모든

UDP Payload– 정규 표현식* 지원

HTTP session 분석– 정규 표현식 기반의

Header 추적 지원

11

추적및분석LAMPAD Feature

일반통계분석 Payload 추적 세션과서비스분석

* 패킷 발생 원인을 L4 스위치 등에서 제공하는 경우에 한함

LAMPAD ANALYSIS TOOLS


LAMPAD의 모든 분석 기능에는 공통적으로 사용할 수 있는강력한필터도구가 제공됩니다.

기간

태그

IP

Port

TCP flag 패킷 상태

Layer 4 프로토콜

Layer 7 프로토콜

사용량

패킷분석필터

기간태그IP 주소Port 번호패킷상태TCP FlagLayer 4 프로토콜Layer 7 프로토콜

복합조건적용

12

패킷분석필터LAMPAD Feature

*SuperCodex™

Packet

* SuperCodex 란 ? 각패킷에서추출한정보구조체로서,빠른분석서비스를제공하기위하여패킷또는세션단위데이터및보조데이터를규격화한자체개발저장데이터


LAMPAD는 다양한 개방형표준(Open standard)을 지원하므로다양한외부시스템과연동이 가능합니다.

■ 표준 Nanosecond PCAP 으로 저장

■ 외부 S/W (예. wireshark) 에서 즉시 사용 가능

■ CLI 등 을 통한 별도 추출 작업 불 필요

■ 자체 개발한 SuperCodex™ 형식으로 저장

■ 외부에서 읽을 수 있는 DB 형태로 전환 가능

■ SQLite3, CSV, JSON 등 지원

13

외부도구연동지원LAMPAD Feature

METADATA

PACKET

LAMPAD

Data Storage Packet

MetadataEXPORT

SuperCodex™

Copyright 2019. Soulsystems Corp. All rights reserved.

WAN

Router

Enterprise Network고성능, 실시간 GUI 환경 제공

AggregationSwitch

① 고객사 네트워크 규모, 부하 등 에 따라 스마트탭(Packet broker), 확장형 저장장치(ESU)등의 장비 추가 도입이 필요할 수 있음

② LAMPAD는 기본적으로 ‘이동성’, ‘Zero-설정’을 기반으로 설계

LAMPAD는 엔터프라이즈네트워크의 대용량전수데이터 뿐만 아니라소규모네트워크에서 고성능의패킷분석환경을 제공합니다.

사용 예시 2. 이동형, 소규모 네트워크, 원격 지사/국사

LAMPAD

위 그림은 LAMPAD의 연결 구성을 설명하기 위한 예제입니다. 네트워크 규모 및 구성에 따라 다양한 방법으로 적용할 수 있습니다.

Aggregated PacketsSPAN

TAP

IPS Firewall

Packet Broker (Aggregator)

End Point / Hosts

E

Switch

Switch

EE

TAP

TAP

장소 이동 /간편 분석

①

②

사용 예시 1. 엔터프라이즈, 전용 설치Server/ Core

14

DIAGRAMLAMPAD Feature


LAMPAD Visualization

LAMPAD The Portable Network Analyzer Copyright 2019. Soulsystems Corp. All rights reserved. 16

DASHBOARD (Monitor)

실시간트래픽의통계정보 / 성능지표 / 실시간경고내역에대한시각화제공

• 시스템이 제공하는 모니터링 인터페이스 선택• 실시간 또는 특정 기간 동안의 트래픽 정보 확인

• 트래픽 통계정보 및 성능 지표 변화의 시각화 정보 제공

1 1

2

2

3

3

3

• 자동 경고 생성 (임계 값 기준)• 비상 상황, 이상 치의 빠른 인식 기능 제공• 경고 세부 목록 제공

모니터링인터페이스 / 분석기간설정

통계정보, 성능지표시각화

실시간경고관리


DASHBOARD

경고 세부 목록


BPS, PPS, TCP Requests, TCP RST, TCP Zero Windows, TCP Timeout, HTTP 4xx, HTTP 5xx 등

• 네트워크 트래픽 문제점 및 특이사항을 Alert event 로제공

17

ALERTFALL

자동화된경고내역생성

1

경고이벤트추적

22

2

Tim

e

[지원되는경고종류]

3경고내역제공

3

• 경고 별 정렬 (Sorting) 기능 제공• 경고 발생 시간, 태그 및 이상 값 (Alert event value) 등 추적


ALERTFALL

선택된 단위 시간(TimeStamp) 내 모든 경고 내역 예. TCP RSTs 기준 오름 차순 정렬

1


ANALYZE (1)

• BPS (단위 시간 별 전송 비트 개수), PPS (단위시간 별 전송 패킷 개수)

일반통계정보확인도구제공 (장애원인추적을위한가시성제공)

일반통계분석기능

Latency

BPS

PPS

1

• 각 초당 평균 지연 시간 (latency)• 각 초당 timeout 개수• TopN (트래픽 량이 가장 많은 IP 주소 목록)


Analyze (일반 통계)

1


ANALYZE (2)

• 단위 시간 내 모든 서비스를 분석하여 IP 주소별 세션 추적

서비스, 세션추적도구제공 (상세분석을위한 TAG관리)

서비스및세션분석기능22

3

Service 추적

3

TAG 설정

TAG를이용한특화분석기능

• Step 1 - IP 주소 별 사용자 TAG 생성• Step 2 - 프로토콜 및 Payload 추적/분석에 TAG 활용

예제) 임의 IP 주소를 ‘TAG_208’로 할당

TRAFFIC

Tags

IP AddrIP Addr

IP Addr분석필터


Analyze (서비스, 세션 추적)

단위 시간 별서비스 내역


ANALYZE (3)

• TCP RSTS 추적 도구

TCP 전용통계 및 Protocol, Payload 분석을위한다양한필터제공

프로토콜및 Payload분석도구44

Ex. ‘TAG_208’을 기준으로 분석을 요청하는 예시 (※ TAG_208은 사전 설정한 TAG 값 )

• HTTP 추적 도구

• TAG를 이용한 추적


Analyze (프로토콜, Payload 분석)


CONFIGURE

경고생성을위한사전설정최소화

접속 ID 설정

경고 임계 값 변경Data Feed 선택

사용자 생성 TAG 관리사용자가 분석을 위해 별도 생성한 TAG 관리*

* 사용자 경고 생성을 위한 임계 값 설정

데이터 Feed 전체에 대한 기본 임계 값(Threshold) 설정

자동 경고를 생성할 데이터 Feed (Directory*) 선택* Directory (Subdirectory) ← 패킷 및 메타데이터 저장 공간

최소화된사전설정, 자동경고기능

복잡하고불필요한사전설정최소화

경고설정

User defined TAG

Data Feed선택

1

1

1

2

2

사용자정의 TAG



Real-time packet capture & analysis

빠른경고분석을위한인덱스데이터 (SuperCodex™)생성

빠른서비스분석을위한실시간데이터인덱싱

PACKET

SuperCodex™(Data structure)

PCAPs

SuperCodex(Index)

010011011010011

Packet process

010011011010011

PCAP

실시간트래픽저장 (PCAP)

1

1 2

2

L2~L4 Header…

Payloads L7 protocols

▼최적화된분석결과

▼빠른서비스제공



LAMPAD Highlight

⚫ 네트워크 트래픽 수집 / 분석에 특화된 Appliance 제품

⚫ 빠른 분석 기능을 제공하기 위해 데이터 인덱싱 기술(SuperCodex*) 자체 개발

⚫ Mirror 포트를 연결 만으로도 자동화된 분석 기능 제공

⚫ 세션 기반 최적화된 트래픽 분석을 바탕으로 생성된 트래픽 경고(Alert) 내역의 시각화 제공

⚫ 실시간 트래픽 통계 및 성능 지표 제공- 일반 사용량 통계, L4~L7 분석, Payload 추적, 세션과 서비스 분석 등

⚫ 개방형 표준 (Open Standard) 지원- 외부 소프트웨어에서 읽을 수 있는 다양한 형태의 EXPORT 기능 제공 (SQLite3, CSV, JSON 등 지원)

SuperCodex - 각 패킷에서 추출한 핵심 정보 구조체로서, 빠른 분석 서비스를 제공하기 위한 자체 개발 저장 데이터


USE CASES


⚫ HW, SW 일체형 Appliance

⚫ 최대 10Gbps 지원

⚫ 거치형으로도사용가능

⇒ 데이터 센터

⇒ 엔터프라이즈 네트워크

이동형하드웨어

⚫ 고객사필요따른다양한

Customization option 지원

⚫ 모든기능에대해 REST API 지원

LAMPAD는전용포터블하드웨어일체형어플라이언스(appliance)제품으로커스터마이징에필요한다양한 Option 제공이가능합니다.

Customization

25

LAMPAD Use Cases

LAMPAD 현장적용형태


Traffic

LAMPAD의모든경고와분석은실시간전수조사에기반하므로, 더욱정확하고정밀한데이터를제공합니다.

LAMPAD실시간품질측정

Layer 4일반통계 Layer 7

BPS

PPS

Etc.

Latency

Timeout

RST

Zero window

HTTP statuscode

Etc.

26

각 TAG 별품질지표설정

전수조사기반의서비스품질관리LAMPAD Use Cases

경고발생에따른분석및대응

■ 트래픽 증가 원인 파악■ RST 발생 위치 및 원인 별 분류■ HTTP 트래픽 상세 분석…


의심 구간

Server데이터센터인입 광역

RING 지역Backbone

건물UPLINK

사무실4층 Client

원인이예상되는위치로장비를이동하여

성능및이상유무측정

LAMPAD는문제가의심되는모든구간을동일한환경에서정밀분석할수있는기반을제공합니다.

LAMPAD

27

의심되는 (물리)구간의정밀추적LAMPAD Use Cases


ⓛ평소 NAT 바깥쪽에거치하여경고(warning)를통해이슈확인

②이슈발생시장비를 NAT 안쪽에이동 / 설치한뒤세부사항추적

NAT 영역

②SPAN/Mirror

SPAN/Mirror

LAMPAD의이동성을활용하면 NAT 네트워크내/외부에서발생하는문제또한손쉽게추적할수있습니다.

ⓛMonitoring

Monitoring

LAMPAD

LAMPAD

28

LAMPAD Use Cases

NAT네트워크추적


네트워크

보안

IT / OA

현업부서

기타 지원부서

점검포인트확인

서비스 사용자 VOC

LAMPAD 경고시스템

3rd Party 에서 경고

이슈확인 유관부서협조요청 사전준비 자료수집

+ 원인규명을위한신속성확보+ 충분한자료수집시간확보+ 특정목적지점조사가능

LAMPAD 용Mirror Port 확보

LAMPAD 연결

측정/분석

초동결과Follow-up

LAMPAD 도입시유관부서협조없이초동조사가능

LAMPAD도입전

LAMPAD도입후

RAW 데이터 수집

RAW 데이터 분석

서비스 사용자 VOC

3rd Party 에서 경고

보안및서비스등이슈발생시유관부서의협조없이도 LAMPAD만으로초동조사를수행할수있습니다.

Timeline

Mirror 포트확보

데이터수집장치

29

LAMPAD Use Cases

자체적인초동조사환경


CASE STUDIES


국내 3대기간통신사업자인 ‘A사’는 LAMPAD를활용하여고객센터서비스지연현상을추적하여장애원인분석및특정

LAMPAD,장애원인추적고객센터장애확인

특정 시간대만 되면 갑자기 상담화면이하얗게 되거나 느려 지면서 상담 대기

시간이 심각하게 길어져…

“네트워크가너무느립니다.”

■ 단 15분 분석만으로 장애 원인 확인 완료→ 특정 HTTPS 서비스에서 무작위 응답지연발생→ 해당 기간 동안 타 서비스는 정상 동작 (Microburst,

TCP RST, Latency 등 특이사항 없음)

■ 문제 발생 상황에서도 네트워크는 정상 동작→ 서버가 입주한 내부 클라우드의 자원 배분 등 의심→ 클라우드 서비스 담당자에게 이슈 및 관련 정보

(Time stamp, IP, Port 등) 인계

문제구간패킷수집

VOC(고객센터)

CLOUD(Server)

약 7일간의 걸쳐고객센터 ↔ 서버 간 패킷 수집

!!!

LAMPAD

LAMPAD

31

LAMPAD CASESTUDIES

#1 기간통신사업자 A사, 클라우드지연추적


■ 미러 포트에 연결하는 것만으로 측정 가능■ 포인트별 측정: 필요에 따라 건물내 다른 구역으

로 이동 (Uplink → 사무실1 → 사무실2 → 강당 → …)

■ 클라우드: 중앙의 별도 관제 체계 구성■ 반면, 사무실은 네트워크 관리 미흡→ LAMPAD 를 필요에 따라 이동 설치/관리

■ 비용 효율성 (이동형 장비)→ 소수 장비로 다수 국사 관리 가능

■ 사용 편의성 (Zero Configuration)→ 미러 포트 연결 만으로 바로 사용 가능

내부 VOC 접수

특정 국사(A, B)에서업무용 서비스 지연 발생

“서비스가느립니다.”

각지점이동 / 장애원인추적

VOC 발생국사 A

VOC 발생국사 B

Last mile (구형) 스위치 교체 필요

장애 원인 특정

LAMPAD의 ‘이동성’과 ‘편의성’을활용하여빠른문제원인파악

효율적인네트워크

관리환경확보

빠른진단/윈인파악

품질사각지대제거

CLOUD(Server)

LAMPAD

32

LAMPAD CASESTUDIES

#2 대형통신사업자, 업무네트워크서비스지연추적

‘A사’는자사일부국사의네트워크지연장애에대하여 LAMPAD를활용하여장애원인을추적, 확인하였고개선

http://www.soulsystems.co.kr


Configure LessInspect Deeper

Stay Alert Everywhere

Documents

LAMPADoraclejava.co.kr/new/mail/file/Introduction.pdf · 2019-10-16 · 1. Introducing LAMPAD INDEX • 네트워크의잡화와 다양화 • LAMPAD의접근방법 • LAMPAD vs