Сетевой анализ. Часть II.
Дата: 08.02.2003 14:59 Тема: В помощь сисадмину
В первой части статьи мы познакомились с программой Network Manager,
выяснили, как собирать информацию, интерпретировать ее, и зачем все это
вообще нужно. Теперь вы узнайте о сетевом анализе в целом, в том виде,
в каком он существует сегодня. Речь пойдет о средствах анализа в
локальной сети, поэтому приготовьтесь к потоку, прежде всего,
теоретической информации.
Средства анализа
Все средства, применяемые для анализа и диагностики локальных сетей, можно разделить на несколько классов.
- Агенты систем управления,
поставляющие информацию по протоколам SNMP или CMIP. Для получения и
обработки данных от агентов обычно требуется наличие системы
управления.
- Встроенные системы диагностики и управления на основе программно-аппаратных модулей,
поставляемые в сетевом коммутационном оборудовании. Они, как правило,
управляют и выполняют мониторинг только одного устройства, но, как
часто и случается, по совместительству выполняют функции SNMP-агентов,
поставляя данные об устройстве системам управления.
- Экспертные системы.
Это мощнейшие системы, часто реализованные в виде отдельных модулей
средств мониторинга и анализа сетей: систем управления сетями, сетевых
анализаторов и т.д. Главное их отличие в том, что они содержат в себе
знания технических специалистов о выявлении причин плохой роботы сети и
о вариантах решения данной проблемы. Это вам не кнопочка диагностики в
Windows XP, хотя простейший вариант этой системы выглядит именно как
контекстно-зависимая справка. Более сложные представляют собой базы
знаний с элементами искусственного интеллекта. Примерами таких систем
являются встроенные в систему управления Spectrum от компании Cabletron и в анализатор протоколов Sniffer от Network General, HP Open View и SunNet Manager.
- Анализаторы протоколов.
Это программные или аппаратные системы, которые ограничиваются, в
отличие от систем управления, лишь мониторингом и анализом трафика. Как
правило, эти системы захватывают и декодируют пакеты широкого спектра
протоколов. Они выполняют полное декодирование, то есть в удобной для
специалиста форме показывают вложенность пакетов протоколов различных
уровней друг в друга с расшифровкой содержания отдельных полей каждого
пакета.
- Сетевые анализаторы.
Это все то оборудование для диагностики кабальных систем, которым тоже
конечно должен владеть администратор ну или хотя бы знать о нем.
Делятся сетевые анализаторы на четыре группы:
- Сетевые мониторы.
Они предназначены для тестирования кабелей, также умеют собирать
статистику по трафику - его средней интенсивности, средней
интенсивности пакетов с определенной ошибкой и т.д. Эти устройства
самые интеллектуальные из четырех классов, так как умеют работать не
только на физическом уровне модели OSI, но и на канальном, а нередко
даже и на сетевом.
- Устройства сертификации кабельных систем. Просто выполняют сертификацию в соответствии с требованиями одного из международных стандартов на кабельные системы.
- Кабельные сканеры. Используются для диагностики медных кабельных систем.
- Тестеры.
Предназначены для проверки на отсутствие физического разрыва. Самый
доступный вариант, которым должен владеть ИМХО каждый администратор.
Ну, и конечно есть многофункциональные устройства, совмещающие в себе несколько функций.
Перейдем к детальному рассмотрению
обозначенных позиций. Спешу вас несколько разочаровать - столь
многообразные и сложные системы на базе SNMP мной не будут
рассматриваться по ряду причин: во-первых, из-за своей сложности
подобное рассмотрение не умещается в рамки данной статьи, а во-вторых,
и здесь специалисты со мной согласятся, системы на базе протокола SNMP
предназначены не столько для анализа, сколько для управления сетью и
сетевыми устройствами в первую очередь. Может как-нибудь в будущих статьях...
Кабельные сканеры и тестеры
У многих системных администраторов
прикосновение железу вызывает, мягко говоря, отвращение, они настолько
закапываются в свои программные дела, что иногда не в состоянии
определить простой обрыв кабеля, надеюсь, вы не из числа. Итак, основное назначение сканеров и тестеров
- это определение электрических параметров кабелей: длины кабеля
(тестером... слабо :)), параметра NEXT (Near End Cross Talk -
перекрестные наводки на ближнем конце, т.е. помехозащищенность кабеля
от внутренних источников помех; витую пару и лапшу в телефонах для того
и перекручивают, чтоб уменьшить этот показатель), затухания, импеданса
(активного сопротивления), схемы разводки пар проводников, уровня
электрических шумов в кабеле и т.д. Для определения местоположения
неисправности кабельной системы (обрыва, замыкания, неправильно
установленного разъема и т.д.) используется метод "отраженного импульса" (Time Domain Reflectometry, TDR).
Метод этот состоит в том, что сканер излучает в кабель сигнал и
измеряет время задержки до прихода отраженного сигнала, в общем, тот же
ping только по-электрически. По полярности отраженного сигнала
определяется характер повреждения кабеля (замыкание или обрыв). В
хорошем кабеле без багов ответного импульса почти нет. Точность измерения расстояния
зависит от того, насколько точно известна скорость распространения
сигналов в кабеле. Обозначается она как NVP и задается в
процентах от скорости света. Не волнуйтесь, хорошие современные сканеры
уже содержат данные NVP для всех основных типов кабелей и после
небольшой калибровки вы обязательно выберете подходящий. Конечно, вы можете сказать, что
все это буржуйские штучки, но когда в офисе лежит уже больше двухсот
метров кабеля, отдельные сегменты которого достигают критических
показателей за сотню, а концы просто недоступны для ока
администраторского, то я позволю все же с вами не согласится - уж во
всяком случае, простой тестер надо иметь.
Многофункциональные приборы мониторинга
Самый большой класс приборов для мониторинга
за сетью это конечно многофункциональные приборы, совмещающие в себе
целую кучу возможностей, при этом сохраняя портативность. Все эти
приборы снабжены специальным физическим интерфейсом (как загнул, обычно
прищепками типа "крокодил" :)) и процессором для высокоуровнего
анализа. Давайте посмотрим, что умеют такие приборы:
1. Интерфейс пользователя.
Обычно выглядит такой приборчик не хуже
обычного КПК с ЖК-дисплеем, графическим меню и даже контекстной
справкой. Информация представляется так, что даже обычный юзер сможет
быстро понять, что к чему.
2. Функции проверки.
- Сканирование кабеля.
Позволяет измерять длину кабеля, расстояние до самого серьезного
дефекта и распределение импеданса по длине. При проверке
неэкранированной витой пары можно выявить следующие огрехи: расщепление
пары, обрывы, замыкания и др. Для сетки Ethernet на коаксиале проверять
можно прямо во время работы.
- Функция карты кабелей. С помощью этой функции составляются карты кабелей и кабелей, ответвляющихся от центрального помещения.
- Автоматическая проверка кабеля.
В разных приборах по разному, но обычно сюда входят: длина кабеля,
импеданс, схема подключения жил, затухание и параметр NEXT на частоте
до 100 MGz.
- Функция определения распределения кабельных жил. Осуществляет проверку правильности подсоединения жил, наличие промежуточных разрывов и перемычек на витых парах.
- Проверка постоянным током. Используется для проверки коаксиала на предмет правильной расстановки терминаторов.
- Определение скорости распространения сигнала NVP.
- Проверка пары «сетевой адаптер-концентратор». Тест определяет местонахождение источника неисправности - кабель, концентратор, сетевой адаптер или ПО.
- Автоматическая проверка сетевых адаптеров.
Проверяет правильность вновь установленных сетевых адаптеров или
каких-либо подозрительных. Для сетки Ethernet можно узнать MAC-адрес
адаптера, уровень напряжения сигналов, если сигнал на адаптере не
найден, то автоматически сканируется соединительный кабель и разъем.
3. Функции сбора статистики.
Эти функции позволяют в реальном времени проследить за изменением различных параметров.
- Сетевая статистика.
В этой группе собраны наиболее важные статистические показатели -
коэффициент использования сегмента (utilization), уровень коллизий,
уровень ошибок и уровень широковещательного трафика. Превышение этими
показателями определенных пороговых значений говорят о проблемах на
сегменте.
- Статистика ошибочных кадров.
Укороченные кадры (Short frames). Это кадры, имеющие длину, меньше
допустимой, то есть меньше 64 байт. Этот тип делится кадров на два
подкласса - короткие кадры (short) у них корректная контрольная сумма,
и коротышки (runts), не имеющие корректной контрольной суммы. Наиболее
вероятной причиной появления таких вот мутантов являются сырые дрова
адаптеров или сами адаптеры, что конечно говорит об их неисправности.
- Удлиненные кадры (Jabbers).
Джаберсы имеют длину превышающие допустимое значение в 1518 байт с
хорошей или плохой контрольной суммой. Они являются следствием затяжной
передачи - опять же проблема в адаптере.
- Кадры нормальных размеров, но с плохой контрольной суммой (Bad FCS) и кадры с ошибками выравнивания по границе байта.
Кадры с неверной контрольной суммой являются следствием, плохих
контактов, помех на кабелях, плохо работающих портов повторителей,
мостов, коммутаторов, маршрутизаторов, сетевых адаптеров. Ошибка
выравнивания всегда сопровождается ошибкой контрольной суммы и может
быть следствием прекращения передачи кадра при распознавании коллизии
передающим адаптером.
- Кадры-призраки (ghosts)
являются результатом электромагнитных наводок на кабеле. Они
воспринимаются сетевыми адаптерами как кадры, не имеющие нормального
признака начала кадра - 10101011. Кадры-призраки имеют длину более 72
байт, иначе они классифицируются как коллизии. Количество таких вот
кадров призраков зависит от места подключения, причины их появления -
петли заземления и др. проблемы с кабельной системой.
Если вы наивно полагаете, что к вашей сети все
описанные мной пакости не относятся, то глубоко ошибаетесь. С виду
капля из лужи тоже чиста, но если посмотреть в нее вооруженным глазом..
:) то мяса, там шевелящегося, едва ли не больше, чем самой воды. И если
представить, что лужа - это сетка на основе всенародных чипов Realteck
неизвестного китайского мастера, то, думаю, всем все сразу станет
понятно. А если серьезно, знание процентного распределения общего
количества ошибочных кадров по их типам может подсказать администратору
причины неполадок в сети. Даже небольшой процент ошибочных кадров может
сильно снизить пропускную способность, сети, если протоколы
восстановления кадров, работают с большими таймаутами ожидания
квитанций. Нормальный процент ошибочных кадров в сети должен быть не
более 0,01 %. - Статистика по коллизиям.
Эта статистика указывает на количество и виды коллизий на сегменте сети
и позволяет определить наличие проблемы и ее местонахождение. Итак,
основные типы коллизий в сети Ethernet.
- Локальная коллизия (Local Collision).
является результатом одновременной передачи двух и более узлов,
принадлежащих к тому сегменту, в котором производятся изменения.
Высокий уровень коллизий говорит о проблемах с кабельной системой.
- Поздняя коллизия (Late Collision).
Это коллизия, которая происходит после передачи первых 64 байт кадра,
так как по протоколу Ethernet коллизия должна определятся именно в этот
момент. Результатом поздней коллизии будет кадр, имеющий длину более 64
байт и содержащий неверное значение контрольной суммы. Обычно такие
проблемы указывают на глюки сетевого адаптера или слишком длинную
сетевую систему, а также большое количество промежуточных повторителей.
- Удаленная коллизия (Remote Collision).
Эти коллизии происходят на другой стороне повторителя, то есть в другом
сегменте по отношению к измерительному прибору. Обычно все коллизии в
сетях Ethernet от 10Base до Gigabit удаленные.
Интенсивность коллизий не должна превышать 5 %, а пики выше 20 % говорят о серьезных проблемах.
- Распределение используемых сетевых протоколов. Это статистика по используемым протоколам в процентах относительно общего количество кадров в сети.
- Генерирование трафика. Генерация прибором трафика для теста на пропускную способность.
- Основные генераторы широковещательного трафика (Top Broadcasters). Станции, больше всех генерирующие широковещательные или групповые кадры.
- Основные отправители (Top Senders). Функция позволяет отслеживать наиболее активные передающие узлы локальной сети.
- Основные получатели (Top Receivers). Соответственно, по смыслу.
4. Функции анализа протоколов.
Это уже дорогостоящая функция, впрочем, обычно
многофункциональные приборы могут декодировать несколько основных
протоколов, таких как TCP/IP, Novell NetWare, NetBIOS и Banyan VINES.
Не все правда могут отобразить ту картину, какую мы можем видеть в
анализаторах протоколов, но в место этого собирается статистика о
наиболее важных пакетах, свидетельствующих о наличии проблем в сетях.
Например, при анализе протокола TCP/IP, собирается статистика по ICMP
пакетам, с помощью них маршрутизаторы сообщают об ошибках узлам.
3. Функции ping.
Ну, куда без него...
Сетевые анализаторы
Это эталонные измерительные приборы для
диагностики кабелей. Они могут с очень высокой точностью измерить все
электрические параметры кабелей, обычно с целью сертификации и т.д. Это
уже не детские и далеко не карманные, а лабораторные приборы.
Современные варианты помимо электрических измерений умеют уже все то,
что и программы типа Network Monitor, в общем, сами понимаете, сколько
это может стоить.
Анализаторы протоколов
Итак, с чего начали, тем и закончили… Снова
анализаторы, снова сниферы… Напомню, что это - программное обеспечение
состоящее из ядра, поддерживающего работу адаптера, и программного
обеспечения, декодирующего протокол канального уровня, с которым
работает сетевой адаптер, а также наиболее распространенные протоколы
верхних уровней: IP, TCP, FTP, Telnet, HTTP, IPX, NCP, DECnet, NetBEUI
и т.д. В состав некоторых анализаторов может входить экспертная
система, позволяющая пользователю выдавать рекомендации о том, какие
действия можно предпринять в данной ситуации, что могут означать те или
иные неисправности, как их устранить.
Возможности анализа сети на физическом уровне у сниферов минимальные,
поскольку всю информацию они получают от сетевого адаптера, а ее
характер во многом зависит от типа этого адаптера.
И снова статья увеличивается до размера, когда ее приходится делить на
части, так что мне приходится закругляться, но в третьей части, а она,
надеюсь, будет я вам расскажу немного о реальных практических проблемах
и о том, как их можно решать при помощи сниферов. Еще я покажу другие
анализаторы протоколов, ведь при всей своей бесплатности Network
Monitor входит в состав далеко не бесплатной ОС Windows, да и то лишь
Lite (вы ведь помните его нехорошее ограничение на перехват совсем
чужих пакетов), а ведь есть еще Open Source, ну и возможно будет и еще
что-нибудь вкусненькое, но говорить пока не буду, не хочу обещать.
To be Continue...
P.S. Ну и для самых продвинутых людей исключительно рекомендую к ознакомлению - по кабелям стандарт EIA/TIA-568A (все те кабельные системы, при помощи которых строят сегодня сети, кроме коаксиала – устарел, батько…), ISO/IEC 11801 (аналогично).
Эта статья распечатана с сайта Ru.Board
http://ru-board.com/new
Адрес этой статьи:
http://ru-board.com/new/article.php?sid=127
Источник: http://ru-board.com/new/article.php?sid=127 |