People Group

Все средства, применяемые для анализа и диагностики локальных сетей, можно разделить на несколько классов.

1. Агенты систем управления, поставляющие информацию по протоколам SNMP или CMIP. Для получения и обработки данных от агентов обычно требуется наличие системы управления.
2. Встроенные системы диагностики и управления на основе программно-аппаратных модулей, поставляемые в сетевом коммутационном оборудовании. Они, как правило, управляют и выполняют мониторинг только одного устройства, но, как часто и случается, по совместительству выполняют функции SNMP-агентов, поставляя данные об устройстве системам управления.
3. Экспертные системы. Это мощнейшие системы, часто реализованные в виде отдельных модулей средств мониторинга и анализа сетей: систем управления сетями, сетевых анализаторов и т.д. Главное их отличие в том, что они содержат в себе знания технических специалистов о выявлении причин плохой роботы сети и о вариантах решения данной проблемы. Это вам не кнопочка диагностики в Windows XP, хотя простейший вариант этой системы выглядит именно как контекстно-зависимая справка. Более сложные представляют собой базы знаний с элементами искусственного интеллекта. Примерами таких систем являются встроенные в систему управления Spectrum от компании Cabletron и в анализатор протоколов Sniffer от Network General, HP Open View и SunNet Manager.
4. Анализаторы протоколов. Это программные или аппаратные системы, которые ограничиваются, в отличие от систем управления, лишь мониторингом и анализом трафика. Как правило, эти системы захватывают и декодируют пакеты широкого спектра протоколов. Они выполняют полное декодирование, то есть в удобной для специалиста форме показывают вложенность пакетов протоколов различных уровней друг в друга с расшифровкой содержания отдельных полей каждого пакета.
5. Сетевые анализаторы. Это все то оборудование для диагностики кабальных систем, которым тоже конечно должен владеть администратор ну или хотя бы знать о нем.

• Сетевые мониторы. Они предназначены для тестирования кабелей, также умеют собирать статистику по трафику - его средней интенсивности, средней интенсивности пакетов с определенной ошибкой и т.д. Эти устройства самые интеллектуальные из четырех классов, так как умеют работать не только на физическом уровне модели OSI, но и на канальном, а нередко даже и на сетевом.
• Устройства сертификации кабельных систем. Просто выполняют сертификацию в соответствии с требованиями одного из международных стандартов на кабельные системы.
• Кабельные сканеры. Используются для диагностики медных кабельных систем.
• Тестеры. Предназначены для проверки на отсутствие физического разрыва. Самый доступный вариант, которым должен владеть ИМХО каждый администратор.

Ну, и конечно есть многофункциональные устройства, совмещающие в себе несколько функций.

Перейдем к детальному рассмотрению обозначенных позиций. Спешу вас несколько разочаровать - столь многообразные и сложные системы на базе SNMP мной не будут рассматриваться по ряду причин: во-первых, из-за своей сложности подобное рассмотрение не умещается в рамки данной статьи, а во-вторых, и здесь специалисты со мной согласятся, системы на базе протокола SNMP предназначены не столько для анализа, сколько для управления сетью и сетевыми устройствами в первую очередь.
Может как-нибудь в будущих статьях...

У многих системных администраторов прикосновение железу вызывает, мягко говоря, отвращение, они настолько закапываются в свои программные дела, что иногда не в состоянии определить простой обрыв кабеля, надеюсь, вы не из числа.

Итак, основное назначение сканеров и тестеров - это определение электрических параметров кабелей: длины кабеля (тестером... слабо :)), параметра NEXT (Near End Cross Talk - перекрестные наводки на ближнем конце, т.е. помехозащищенность кабеля от внутренних источников помех; витую пару и лапшу в телефонах для того и перекручивают, чтоб уменьшить этот показатель), затухания, импеданса (активного сопротивления), схемы разводки пар проводников, уровня электрических шумов в кабеле и т.д.

Для определения местоположения неисправности кабельной системы (обрыва, замыкания, неправильно установленного разъема и т.д.) используется метод "отраженного импульса" (Time Domain Reflectometry, TDR). Метод этот состоит в том, что сканер излучает в кабель сигнал и измеряет время задержки до прихода отраженного сигнала, в общем, тот же ping только по-электрически. По полярности отраженного сигнала определяется характер повреждения кабеля (замыкание или обрыв). В хорошем кабеле без багов ответного импульса почти нет.

Точность измерения расстояния зависит от того, насколько точно известна скорость распространения сигналов в кабеле. Обозначается она как NVP и задается в процентах от скорости света. Не волнуйтесь, хорошие современные сканеры уже содержат данные NVP для всех основных типов кабелей и после небольшой калибровки вы обязательно выберете подходящий.

Конечно, вы можете сказать, что все это буржуйские штучки, но когда в офисе лежит уже больше двухсот метров кабеля, отдельные сегменты которого достигают критических показателей за сотню, а концы просто недоступны для ока администраторского, то я позволю все же с вами не согласится - уж во всяком случае, простой тестер надо иметь.

Самый большой класс приборов для мониторинга за сетью это конечно многофункциональные приборы, совмещающие в себе целую кучу возможностей, при этом сохраняя портативность. Все эти приборы снабжены специальным физическим интерфейсом (как загнул, обычно прищепками типа "крокодил" :)) и процессором для высокоуровнего анализа.

Давайте посмотрим, что умеют такие приборы:

Обычно выглядит такой приборчик не хуже обычного КПК с ЖК-дисплеем, графическим меню и даже контекстной справкой. Информация представляется так, что даже обычный юзер сможет быстро понять, что к чему.

1. Сканирование кабеля. Позволяет измерять длину кабеля, расстояние до самого серьезного дефекта и распределение импеданса по длине. При проверке неэкранированной витой пары можно выявить следующие огрехи: расщепление пары, обрывы, замыкания и др. Для сетки Ethernet на коаксиале проверять можно прямо во время работы.
2. Функция карты кабелей. С помощью этой функции составляются карты кабелей и кабелей, ответвляющихся от центрального помещения.
3. Автоматическая проверка кабеля. В разных приборах по разному, но обычно сюда входят: длина кабеля, импеданс, схема подключения жил, затухание и параметр NEXT на частоте до 100 MGz.
4. Функция определения распределения кабельных жил. Осуществляет проверку правильности подсоединения жил, наличие промежуточных разрывов и перемычек на витых парах.
5. Проверка постоянным током. Используется для проверки коаксиала на предмет правильной расстановки терминаторов.
6. Определение скорости распространения сигнала NVP.
7. Проверка пары «сетевой адаптер-концентратор». Тест определяет местонахождение источника неисправности - кабель, концентратор, сетевой адаптер или ПО.
8. Автоматическая проверка сетевых адаптеров. Проверяет правильность вновь установленных сетевых адаптеров или каких-либо подозрительных. Для сетки Ethernet можно узнать MAC-адрес адаптера, уровень напряжения сигналов, если сигнал на адаптере не найден, то автоматически сканируется соединительный кабель и разъем.

Эти функции позволяют в реальном времени проследить за изменением различных параметров.

1. Сетевая статистика. В этой группе собраны наиболее важные статистические показатели - коэффициент использования сегмента (utilization), уровень коллизий, уровень ошибок и уровень широковещательного трафика. Превышение этими показателями определенных пороговых значений говорят о проблемах на сегменте.
2. Статистика ошибочных кадров. Укороченные кадры (Short frames). Это кадры, имеющие длину, меньше допустимой, то есть меньше 64 байт. Этот тип делится кадров на два подкласса - короткие кадры (short) у них корректная контрольная сумма, и коротышки (runts), не имеющие корректной контрольной суммы. Наиболее вероятной причиной появления таких вот мутантов являются сырые дрова адаптеров или сами адаптеры, что конечно говорит об их неисправности.
• Удлиненные кадры (Jabbers). Джаберсы имеют длину превышающие допустимое значение в 1518 байт с хорошей или плохой контрольной суммой. Они являются следствием затяжной передачи - опять же проблема в адаптере.
• Кадры нормальных размеров, но с плохой контрольной суммой (Bad FCS) и кадры с ошибками выравнивания по границе байта. Кадры с неверной контрольной суммой являются следствием, плохих контактов, помех на кабелях, плохо работающих портов повторителей, мостов, коммутаторов, маршрутизаторов, сетевых адаптеров. Ошибка выравнивания всегда сопровождается ошибкой контрольной суммы и может быть следствием прекращения передачи кадра при распознавании коллизии передающим адаптером.
• Кадры-призраки (ghosts) являются результатом электромагнитных наводок на кабеле. Они воспринимаются сетевыми адаптерами как кадры, не имеющие нормального признака начала кадра - 10101011. Кадры-призраки имеют длину более 72 байт, иначе они классифицируются как коллизии. Количество таких вот кадров призраков зависит от места подключения, причины их появления - петли заземления и др. проблемы с кабельной системой.

Если вы наивно полагаете, что к вашей сети все описанные мной пакости не относятся, то глубоко ошибаетесь. С виду капля из лужи тоже чиста, но если посмотреть в нее вооруженным глазом.. :) то мяса, там шевелящегося, едва ли не больше, чем самой воды. И если представить, что лужа - это сетка на основе всенародных чипов Realteck неизвестного китайского мастера, то, думаю, всем все сразу станет понятно. А если серьезно, знание процентного распределения общего количества ошибочных кадров по их типам может подсказать администратору причины неполадок в сети. Даже небольшой процент ошибочных кадров может сильно снизить пропускную способность, сети, если протоколы восстановления кадров, работают с большими таймаутами ожидания квитанций. Нормальный процент ошибочных кадров в сети должен быть не более 0,01 %.

3. Статистика по коллизиям. Эта статистика указывает на количество и виды коллизий на сегменте сети и позволяет определить наличие проблемы и ее местонахождение. Итак, основные типы коллизий в сети Ethernet.
• Локальная коллизия (Local Collision). является результатом одновременной передачи двух и более узлов, принадлежащих к тому сегменту, в котором производятся изменения. Высокий уровень коллизий говорит о проблемах с кабельной системой.
• Поздняя коллизия (Late Collision). Это коллизия, которая происходит после передачи первых 64 байт кадра, так как по протоколу Ethernet коллизия должна определятся именно в этот момент. Результатом поздней коллизии будет кадр, имеющий длину более 64 байт и содержащий неверное значение контрольной суммы. Обычно такие проблемы указывают на глюки сетевого адаптера или слишком длинную сетевую систему, а также большое количество промежуточных повторителей.
• Удаленная коллизия (Remote Collision). Эти коллизии происходят на другой стороне повторителя, то есть в другом сегменте по отношению к измерительному прибору. Обычно все коллизии в сетях Ethernet от 10Base до Gigabit удаленные.

Интенсивность коллизий не должна превышать 5 %, а пики выше 20 % говорят о серьезных проблемах.

4. Распределение используемых сетевых протоколов. Это статистика по используемым протоколам в процентах относительно общего количество кадров в сети.
5. Генерирование трафика. Генерация прибором трафика для теста на пропускную способность.
6. Основные генераторы широковещательного трафика (Top Broadcasters). Станции, больше всех генерирующие широковещательные или групповые кадры.
7. Основные отправители (Top Senders). Функция позволяет отслеживать наиболее активные передающие узлы локальной сети.
8. Основные получатели (Top Receivers). Соответственно, по смыслу.

Это уже дорогостоящая функция, впрочем, обычно многофункциональные приборы могут декодировать несколько основных протоколов, таких как TCP/IP, Novell NetWare, NetBIOS и Banyan VINES. Не все правда могут отобразить ту картину, какую мы можем видеть в анализаторах протоколов, но в место этого собирается статистика о наиболее важных пакетах, свидетельствующих о наличии проблем в сетях. Например, при анализе протокола TCP/IP, собирается статистика по ICMP пакетам, с помощью них маршрутизаторы сообщают об ошибках узлам.

Ну, куда без него...

Это эталонные измерительные приборы для диагностики кабелей. Они могут с очень высокой точностью измерить все электрические параметры кабелей, обычно с целью сертификации и т.д. Это уже не детские и далеко не карманные, а лабораторные приборы. Современные варианты помимо электрических измерений умеют уже все то, что и программы типа Network Monitor, в общем, сами понимаете, сколько это может стоить.

Итак, с чего начали, тем и закончили… Снова анализаторы, снова сниферы… Напомню, что это - программное обеспечение состоящее из ядра, поддерживающего работу адаптера, и программного обеспечения, декодирующего протокол канального уровня, с которым работает сетевой адаптер, а также наиболее распространенные протоколы верхних уровней: IP, TCP, FTP, Telnet, HTTP, IPX, NCP, DECnet, NetBEUI и т.д. В состав некоторых анализаторов может входить экспертная система, позволяющая пользователю выдавать рекомендации о том, какие действия можно предпринять в данной ситуации, что могут означать те или иные неисправности, как их устранить.
Возможности анализа сети на физическом уровне у сниферов минимальные, поскольку всю информацию они получают от сетевого адаптера, а ее характер во многом зависит от типа этого адаптера.
И снова статья увеличивается до размера, когда ее приходится делить на части, так что мне приходится закругляться, но в третьей части, а она, надеюсь, будет я вам расскажу немного о реальных практических проблемах и о том, как их можно решать при помощи сниферов. Еще я покажу другие анализаторы протоколов, ведь при всей своей бесплатности Network Monitor входит в состав далеко не бесплатной ОС Windows, да и то лишь Lite (вы ведь помните его нехорошее ограничение на перехват совсем чужих пакетов), а ведь есть еще Open Source, ну и возможно будет и еще что-нибудь вкусненькое, но говорить пока не буду, не хочу обещать.

To be Continue...

P.S. Ну и для самых продвинутых людей исключительно рекомендую к ознакомлению - по кабелям стандарт EIA/TIA-568A (все те кабельные системы, при помощи которых строят сегодня сети, кроме коаксиала – устарел, батько…), ISO/IEC 11801 (аналогично).