Вбудовані засоби моніторингу і аналізу мереж

Агенти SNMP

На сьогодні існує декілька стандартів на бази даних управляючої інформації. Основними є стандарти MIB-I і MIB-II, а також версія бази даних для видаленого управління RMON MIB. Окрім цього, існують стандарти для спеціальних MIB пристроїв конкретного типу (наприклад, MIB для концентраторів або MIB для модемів), а також приватні MIB конкретних фірм-виробників устаткування.

Первинна специфікація MIB-I визначала тільки операції читання значень змінних. Операції зміни або установки значень об'єкту є частиною специфікацій MIB-II.

Версія MIB-I (RFC 1156) визначає до 114 об'єктів, які підрозділяються на 8 груп:

· System - загальні дані про пристрій (наприклад, ідентифікатор постачальника, час останньої ініціалізації системи).

· Interfaces - описуються параметри мережних інтерфейсів пристрою (наприклад, їх кількість, типи, швидкості обміну, максимальний розмір пакету).

· Address Translation Table - описується відповідність між мережними і фізичними адресами (наприклад, по протоколу ARP).

· Internet Protocol - дані, що відносяться до протоколу IP (адреси IP-шлюзів, вузлів, статистика про IP-пакети).

· ICMP - дані, що відносяться до протоколу обміну управляючими повідомленнями ICMP.

· TCP - дані, що відносяться до протоколу TCP (наприклад, про TCP-з'єднання).

· UDP - дані, що відносяться до протоколу UDP (число переданих, прийнятих і помилкових UPD-дейтаграмм).

· EGP - дані, що відносяться до протоколу обміну маршрутною інформацією Exterior Gateway Protocol, що використовується в мережі Internet (число прийнятих з помилками і без помилок повідомлень).

З цього переліку груп змінних видно, що стандарт MIB-I розроблявся з жорсткою орієнтацією на управління маршрутизаторами, що підтримують протоколи стека TCP/IP.

У версії MIB-II (RFC 1213), прийнятій в 1992 році, був істотно (до 185) розширений набір стандартних об'єктів, а число груп збільшилося до 10.

Агенти RMON

Новітнім додатком до функціональних можливостей SNMP є специфікація RMON, яка забезпечує віддалену взаємодію з базою MIB. До появи RMON протокол SNMP не міг використовуватися віддаленим чином, він допускав тільки локальне управління пристроями. База RMON MIB володіє поліпшеним набором властивостей для віддаленого управління, оскільки містить агреговану інформацію про пристрій, що не вимагає передачі по мережі великих об'ємів інформації. Об'єкти RMON MIB включають додаткові лічильники помилок в пакетах, більш гнучкі засоби аналізу графічних трендів і статистики, більш могутні засоби фільтрації для захоплення і аналізу окремих пакетів, а також складніші умови встановлення сигналів попередження. Агенти RMON MIB більш інтелектуальні в порівнянні з агентами MIB-I або MIB-II і виконують значну частину роботи по обробці інформації про пристрій, яку раніше виконували менеджери. Ці агенти можуть розташовуватися усередині різних комунікаційних пристроїв, а також бути виконані у вигляді окремих програмних модулів, що працюють на універсальних ПК і ноутбуках (прикладом може служити LANalyzerNovell).

Об'єкту RMON привласнений номер 16 в наборі об'єктів MIB, а сам об'єкт RMON об'єднує 10 груп наступних об'єктів:

· Statistics - поточні накопичені статистичні дані про характеристики пакетів, кількість колізій і т.п.

· History - статистичні дані, збережені через певні проміжки часу для подальшого аналізу тенденцій їх змін.

· Alarms - порогові значення статистичних показників, при перевищенні яких агент RMON посилає повідомлення менеджеру.

· Host - дані про вузли мережі, у тому числі і про їх MAC-адреси.

· HostTopN - таблиця самих завантажених вузлів мережі.

· TrafficMatrix - статистика про інтенсивність трафіку між кожною парою вузлів мережі, впорядкована у вигляді матриці.

· Filter - умови фільтрації пакетів.

· PacketCapture - умови захоплення пакетів.

· Event - умови реєстрації і генерації подій.

Дані групи пронумеровані у вказаному порядку, тому, наприклад, група Hosts має числове ім'я 1.3.6.1.2.1.16.4.

Десяту групу складають спеціальні об'єкти протоколу TokenRing.

Всього стандарт RMON MIB визначає близько 200 об'єктів в 10 групах, зафіксованих в двох документах - RFC 1271 для мереж Ethernet і RFC 1513 для мереж TokenRing.

Відмінною рисою стандарту RMON MIB є його незалежність від протоколу мережного рівня (на відміну від стандартів MIB-I і MIB-II, орієнтованих на протоколи TCP/IP). Тому, його зручно використовувати в гетерогенних середовищах, що використовують різні протоколи мережного рівня.

Аналізатори протоколів

В ході проектування нової або модернізації старої мережі часто виникає необхідність в кількісному вимірюванні деяких характеристик мережі таких, наприклад, як інтенсивності потоків даних по мережних лініях зв'язку, затримки, що виникають на різних етапах обробки пакетів, часи реакції на запити того або іншого вигляду, частота виникнення певних подій і інших характеристик.

Для цих цілей можуть бути використані різні засоби і перш за все - засоби моніторингу в системах управління мережею, які вже обговорювалися в попередніх розділах. Деякі вимірювання на мережі можуть бути виконані і вбудованими в операційну систему програмними вимірниками, прикладом тому служить компоненту ОС WindowsNTPerformanceMonitor. Навіть кабельні тестери в їх сучасному виконанні здатні вести захоплення пакетів і аналіз їх вмісту.

Але найдосконалішим засобом дослідження мережі є аналізатор протоколів. Процес аналізу протоколів включає захоплення циркулюючих в мережі пакетів, що реалізовують той або інший мережний протокол, і вивчення вмісту цих пакетів. Грунтуючись на результатах аналізу, можна здійснювати обгрунтовану і зважену зміну яких-небудь компонент мережі, оптимізацію її продуктивності, пошук і усунення неполадок. Очевидно, що для того, щоб можна було зробити які-небудь висновки про вплив деякої зміни на мережу, необхідно виконати аналіз протоколів і до, і після внесення зміни.

Аналізатор протоколів є або самостійним спеціалізованим пристроєм, або персональним комп'ютером, звичайно переносний, класу Notebook, оснащений спеціальною мережною картою і відповідним програмним забезпеченням. Вживані мережна карта і програмне забезпечення повинні відповідати топології мережі (кільце, шина, зірка). Аналізатор підключається до мережі точно також, як і звичайний вузол. Відмінність полягає в тому, що аналізатор може приймати всі пакети даних, передавані по мережі, тоді як звичайна станція - тільки адресовані їй. Програмне забезпечення аналізатора складається з ядра, що підтримує роботу мережного адаптера і декодує одержувані дані, і додаткового програмного коду, залежного від типу топології досліджуваної мережі. Крім того, поставляється ряд процедур декодування, орієнтованих на певний протокол, наприклад, IPX. До складу деяких аналізаторів може входити також експертна система, яка може видавати користувачу рекомендації про те, які експерименти слід проводити в даній ситуації, що можуть означати ті або інші результати вимірювань, як усунути деякі види несправності мережі.

Не дивлячись на відносне різноманіття аналізаторів протоколів, представлених на ринку, можна назвати деякі риси, в тій чи іншій мірі властиві всім їм:

· Призначений для користувача інтерфейс. Більшість аналізаторів має розвинений дружній інтерфейс, що базується, як правило, на Windows або Motif. Цей інтерфейс дозволяє користувачу: виводити результати аналізу інтенсивності трафіку; одержувати миттєву і усереднену статистичну оцінку продуктивності мережі; задавати певні події і критичні ситуації для відстежування їх виникнення; проводити декодування протоколів різного рівня і представляти в зрозумілій формі вміст пакетів.

· Буфер захоплення. Буфери різних аналізаторів відрізняються за об'ємом. Буфер може розташовуватися на встановлюваній мережній карті, або для нього може бути відведено місце в оперативній пам'яті одного з комп'ютерів мережі. Якщо буфер розташований на мережній карті, то управління їм здійснюється апаратний, і за рахунок цього швидкість введення підвищується. Проте це приводить до дорожчання аналізатора. У разі недостатньої продуктивності процедури захоплення, частина інформації втрачатиметься, і аналіз буде неможливий. Розмір буфера визначає можливості аналізу по більш менш представницьких вибірках захоплюваних даних. Але яким би великим не був буфер захоплення, рано чи пізно він заповниться. В цьому випадку або припиняється захоплення, або заповнення починається з початку буфера.

· Фільтри. Фільтри дозволяють управляти процесом захоплення даних, і, тим самим, дозволяють економити простір буфера. Залежно від значення певних полів пакету, заданих у вигляді умови фільтрації, пакет або ігнорується, або записується в буфер захоплення. Використовування фільтрів значно прискорює і спрощує аналіз, оскільки виключає проглядання непотрібних в даний момент пакетів.

· Перемикачі - це деякі умови початку і припинення процесу захоплення даних, що задаються оператором, з мережі. Такими умовами можуть бути виконання ручних команд запуску і зупинки процесу захоплення, час доби, тривалість процесу захоплення, поява певних значень в кадрах даних. Перемикачі можуть використовуватися спільно з фільтрами, дозволяючи більш детально і тонко проводити аналіз, а також продуктивний використовувати обмежений об'єм буфера захоплення.

· Пошук. Деякі аналізатори протоколів дозволяють автоматизувати проглядання інформації, що знаходиться в буфері, і знаходити в ній дані по заданих критеріях. В той час, як фільтри перевіряють вхідний потік на предмет відповідності умовам фільтрації, функції пошуку застосовуються до вже накопичених в буфері даних.

Методологія проведення аналізу може бути представлена у вигляді наступних шести етапів:

1. Захоплення даних.

2. Проглядання захоплених даних.

3. Аналіз даних.

4. Пошук помилок. (Більшість аналізаторів полегшує цю роботу, визначаючи типи помилок і ідентифікуючи станцію, від якої прийшов пакет з помилкою.)

5. Дослідження продуктивності. Розраховується коефіцієнт використовування пропускної спроможності мережі або середній час реакції на запит.

6. Докладне дослідження окремих ділянок мережі. Зміст цього етапу конкретизується у міру того, як проводиться аналіз.

Звичайно процес аналізу протоколів займає відносно небагато часу - 1-2 робочих дні.