В первой части статьи мы познакомились с программой Network Manager, выяснили, как собирать информацию, интерпретировать ее, и зачем все это вообще нужно. Теперь вы узнайте о сетевом анализе в целом, в том виде, в каком он существует сегодня. Речь пойдет о средствах анализа в локальной сети, поэтому приготовьтесь к потоку, прежде всего, теоретической информации.
Средства анализа
Все средства, применяемые для анализа и диагностики локальных сетей, можно разделить на несколько классов.
- Агенты систем управления, поставляющие информацию по протоколам SNMP или CMIP. Для получения и обработки данных от агентов обычно требуется наличие системы управления.
- Встроенные системы диагностики и управления на основе программно-аппаратных модулей, поставляемые в сетевом коммутационном оборудовании. Они, как правило, управляют и выполняют мониторинг только одного устройства, но, как часто и случается, по совместительству выполняют функции SNMP-агентов, поставляя данные об устройстве системам управления.
- Экспертные системы. Это мощнейшие системы, часто реализованные в виде отдельных модулей средств мониторинга и анализа сетей: систем управления сетями, сетевых анализаторов и т.д. Главное их отличие в том, что они содержат в себе знания технических специалистов о выявлении причин плохой роботы сети и о вариантах решения данной проблемы. Это вам не кнопочка диагностики в Windows XP, хотя простейший вариант этой системы выглядит именно как контекстно-зависимая справка. Более сложные представляют собой базы знаний с элементами искусственного интеллекта. Примерами таких систем являются встроенные в систему управления Spectrum от компании Cabletron и в анализатор протоколов Sniffer от Network General, HP Open View и SunNet Manager.
- Анализаторы протоколов. Это программные или аппаратные системы, которые ограничиваются, в отличие от систем управления, лишь мониторингом и анализом трафика. Как правило, эти системы захватывают и декодируют пакеты широкого спектра протоколов. Они выполняют полное декодирование, то есть в удобной для специалиста форме показывают вложенность пакетов протоколов различных уровней друг в друга с расшифровкой содержания отдельных полей каждого пакета.
- Сетевые анализаторы. Это все то оборудование для диагностики кабальных систем, которым тоже конечно должен владеть администратор ну или хотя бы знать о нем.
Делятся сетевые анализаторы на четыре группы:
- Сетевые мониторы. Они предназначены для тестирования кабелей, также умеют собирать статистику по трафику - его средней интенсивности, средней интенсивности пакетов с определенной ошибкой и т.д. Эти устройства самые интеллектуальные из четырех классов, так как умеют работать не только на физическом уровне модели OSI, но и на канальном, а нередко даже и на сетевом.
- Устройства сертификации кабельных систем. Просто выполняют сертификацию в соответствии с требованиями одного из международных стандартов на кабельные системы.
- Кабельные сканеры. Используются для диагностики медных кабельных систем.
- Тестеры. Предназначены для проверки на отсутствие физического разрыва. Самый доступный вариант, которым должен владеть ИМХО каждый администратор.
Ну, и конечно есть многофункциональные устройства, совмещающие в себе несколько функций.
Перейдем к детальному рассмотрению обозначенных позиций. Спешу вас несколько разочаровать - столь многообразные и сложные системы на базе SNMP мной не будут рассматриваться по ряду причин: во-первых, из-за своей сложности подобное рассмотрение не умещается в рамки данной статьи, а во-вторых, и здесь специалисты со мной согласятся, системы на базе протокола SNMP предназначены не столько для анализа, сколько для управления сетью и сетевыми устройствами в первую очередь.
Может как-нибудь в будущих статьях...
Кабельные сканеры и тестеры
У многих системных администраторов прикосновение железу вызывает, мягко говоря, отвращение, они настолько закапываются в свои программные дела, что иногда не в состоянии определить простой обрыв кабеля, надеюсь, вы не из числа.
Итак, основное назначение сканеров и тестеров - это определение электрических параметров кабелей: длины кабеля (тестером... слабо :)), параметра NEXT (Near End Cross Talk - перекрестные наводки на ближнем конце, т.е. помехозащищенность кабеля от внутренних источников помех; витую пару и лапшу в телефонах для того и перекручивают, чтоб уменьшить этот показатель), затухания, импеданса (активного сопротивления), схемы разводки пар проводников, уровня электрических шумов в кабеле и т.д.
Для определения местоположения неисправности кабельной системы (обрыва, замыкания, неправильно установленного разъема и т.д.) используется метод "отраженного импульса" (Time Domain Reflectometry, TDR). Метод этот состоит в том, что сканер излучает в кабель сигнал и измеряет время задержки до прихода отраженного сигнала, в общем, тот же ping только по-электрически. По полярности отраженного сигнала определяется характер повреждения кабеля (замыкание или обрыв). В хорошем кабеле без багов ответного импульса почти нет.
Точность измерения расстояния зависит от того, насколько точно известна скорость распространения сигналов в кабеле. Обозначается она как NVP и задается в процентах от скорости света. Не волнуйтесь, хорошие современные сканеры уже содержат данные NVP для всех основных типов кабелей и после небольшой калибровки вы обязательно выберете подходящий.
Конечно, вы можете сказать, что все это буржуйские штучки, но когда в офисе лежит уже больше двухсот метров кабеля, отдельные сегменты которого достигают критических показателей за сотню, а концы просто недоступны для ока администраторского, то я позволю все же с вами не согласится - уж во всяком случае, простой тестер надо иметь.
Многофункциональные приборы мониторинга
Самый большой класс приборов для мониторинга за сетью это конечно многофункциональные приборы, совмещающие в себе целую кучу возможностей, при этом сохраняя портативность. Все эти приборы снабжены специальным физическим интерфейсом (как загнул, обычно прищепками типа "крокодил" :)) и процессором для высокоуровнего анализа.
Давайте посмотрим, что умеют такие приборы:
1. Интерфейс пользователя.
Обычно выглядит такой приборчик не хуже обычного КПК с ЖК-дисплеем, графическим меню и даже контекстной справкой. Информация представляется так, что даже обычный юзер сможет быстро понять, что к чему.
2. Функции проверки.
- Сканирование кабеля. Позволяет измерять длину кабеля, расстояние до самого серьезного дефекта и распределение импеданса по длине. При проверке неэкранированной витой пары можно выявить следующие огрехи: расщепление пары, обрывы, замыкания и др. Для сетки Ethernet на коаксиале проверять можно прямо во время работы.
- Функция карты кабелей. С помощью этой функции составляются карты кабелей и кабелей, ответвляющихся от центрального помещения.
- Автоматическая проверка кабеля. В разных приборах по разному, но обычно сюда входят: длина кабеля, импеданс, схема подключения жил, затухание и параметр NEXT на частоте до 100 MGz.
- Функция определения распределения кабельных жил. Осуществляет проверку правильности подсоединения жил, наличие промежуточных разрывов и перемычек на витых парах.
- Проверка постоянным током. Используется для проверки коаксиала на предмет правильной расстановки терминаторов.
- Определение скорости распространения сигнала NVP.
- Проверка пары «сетевой адаптер-концентратор». Тест определяет местонахождение источника неисправности - кабель, концентратор, сетевой адаптер или ПО.
- Автоматическая проверка сетевых адаптеров. Проверяет правильность вновь установленных сетевых адаптеров или каких-либо подозрительных. Для сетки Ethernet можно узнать MAC-адрес адаптера, уровень напряжения сигналов, если сигнал на адаптере не найден, то автоматически сканируется соединительный кабель и разъем.
3. Функции сбора статистики.
Эти функции позволяют в реальном времени проследить за изменением различных параметров.
- Сетевая статистика. В этой группе собраны наиболее важные статистические показатели - коэффициент использования сегмента (utilization), уровень коллизий, уровень ошибок и уровень широковещательного трафика. Превышение этими показателями определенных пороговых значений говорят о проблемах на сегменте.
- Статистика ошибочных кадров. Укороченные кадры (Short frames). Это кадры, имеющие длину, меньше допустимой, то есть меньше 64 байт. Этот тип делится кадров на два подкласса - короткие кадры (short) у них корректная контрольная сумма, и коротышки (runts), не имеющие корректной контрольной суммы. Наиболее вероятной причиной появления таких вот мутантов являются сырые дрова адаптеров или сами адаптеры, что конечно говорит об их неисправности.
- Удлиненные кадры (Jabbers). Джаберсы имеют длину превышающие допустимое значение в 1518 байт с хорошей или плохой контрольной суммой. Они являются следствием затяжной передачи - опять же проблема в адаптере.
- Кадры нормальных размеров, но с плохой контрольной суммой (Bad FCS) и кадры с ошибками выравнивания по границе байта. Кадры с неверной контрольной суммой являются следствием, плохих контактов, помех на кабелях, плохо работающих портов повторителей, мостов, коммутаторов, маршрутизаторов, сетевых адаптеров. Ошибка выравнивания всегда сопровождается ошибкой контрольной суммы и может быть следствием прекращения передачи кадра при распознавании коллизии передающим адаптером.
- Кадры-призраки (ghosts) являются результатом электромагнитных наводок на кабеле. Они воспринимаются сетевыми адаптерами как кадры, не имеющие нормального признака начала кадра - 10101011. Кадры-призраки имеют длину более 72 байт, иначе они классифицируются как коллизии. Количество таких вот кадров призраков зависит от места подключения, причины их появления - петли заземления и др. проблемы с кабельной системой.
Если вы наивно полагаете, что к вашей сети все описанные мной пакости не относятся, то глубоко ошибаетесь. С виду капля из лужи тоже чиста, но если посмотреть в нее вооруженным глазом.. :) то мяса, там шевелящегося, едва ли не больше, чем самой воды. И если представить, что лужа - это сетка на основе всенародных чипов Realteck неизвестного китайского мастера, то, думаю, всем все сразу станет понятно. А если серьезно, знание процентного распределения общего количества ошибочных кадров по их типам может подсказать администратору причины неполадок в сети. Даже небольшой процент ошибочных кадров может сильно снизить пропускную способность, сети, если протоколы восстановления кадров, работают с большими таймаутами ожидания квитанций. Нормальный процент ошибочных кадров в сети должен быть не более 0,01 %.
- Статистика по коллизиям. Эта статистика указывает на количество и виды коллизий на сегменте сети и позволяет определить наличие проблемы и ее местонахождение. Итак, основные типы коллизий в сети Ethernet.
- Локальная коллизия (Local Collision). является результатом одновременной передачи двух и более узлов, принадлежащих к тому сегменту, в котором производятся изменения. Высокий уровень коллизий говорит о проблемах с кабельной системой.
- Поздняя коллизия (Late Collision). Это коллизия, которая происходит после передачи первых 64 байт кадра, так как по протоколу Ethernet коллизия должна определятся именно в этот момент. Результатом поздней коллизии будет кадр, имеющий длину более 64 байт и содержащий неверное значение контрольной суммы. Обычно такие проблемы указывают на глюки сетевого адаптера или слишком длинную сетевую систему, а также большое количество промежуточных повторителей.
- Удаленная коллизия (Remote Collision). Эти коллизии происходят на другой стороне повторителя, то есть в другом сегменте по отношению к измерительному прибору. Обычно все коллизии в сетях Ethernet от 10Base до Gigabit удаленные.
Интенсивность коллизий не должна превышать 5 %, а пики выше 20 % говорят о серьезных проблемах.
- Распределение используемых сетевых протоколов. Это статистика по используемым протоколам в процентах относительно общего количество кадров в сети.
- Генерирование трафика. Генерация прибором трафика для теста на пропускную способность.
- Основные генераторы широковещательного трафика (Top Broadcasters). Станции, больше всех генерирующие широковещательные или групповые кадры.
- Основные отправители (Top Senders). Функция позволяет отслеживать наиболее активные передающие узлы локальной сети.
- Основные получатели (Top Receivers). Соответственно, по смыслу.
4. Функции анализа протоколов.
Это уже дорогостоящая функция, впрочем, обычно многофункциональные приборы могут декодировать несколько основных протоколов, таких как TCP/IP, Novell NetWare, NetBIOS и Banyan VINES. Не все правда могут отобразить ту картину, какую мы можем видеть в анализаторах протоколов, но в место этого собирается статистика о наиболее важных пакетах, свидетельствующих о наличии проблем в сетях. Например, при анализе протокола TCP/IP, собирается статистика по ICMP пакетам, с помощью них маршрутизаторы сообщают об ошибках узлам.
3. Функции ping.
Ну, куда без него...
Сетевые анализаторы
Это эталонные измерительные приборы для диагностики кабелей. Они могут с очень высокой точностью измерить все электрические параметры кабелей, обычно с целью сертификации и т.д. Это уже не детские и далеко не карманные, а лабораторные приборы. Современные варианты помимо электрических измерений умеют уже все то, что и программы типа Network Monitor, в общем, сами понимаете, сколько это может стоить.
Анализаторы протоколов
Итак, с чего начали, тем и закончили… Снова анализаторы, снова сниферы… Напомню, что это - программное обеспечение состоящее из ядра, поддерживающего работу адаптера, и программного обеспечения, декодирующего протокол канального уровня, с которым работает сетевой адаптер, а также наиболее распространенные протоколы верхних уровней: IP, TCP, FTP, Telnet, HTTP, IPX, NCP, DECnet, NetBEUI и т.д. В состав некоторых анализаторов может входить экспертная система, позволяющая пользователю выдавать рекомендации о том, какие действия можно предпринять в данной ситуации, что могут означать те или иные неисправности, как их устранить.
Возможности анализа сети на физическом уровне у сниферов минимальные, поскольку всю информацию они получают от сетевого адаптера, а ее характер во многом зависит от типа этого адаптера.
И снова статья увеличивается до размера, когда ее приходится делить на части, так что мне приходится закругляться, но в третьей части, а она, надеюсь, будет я вам расскажу немного о реальных практических проблемах и о том, как их можно решать при помощи сниферов. Еще я покажу другие анализаторы протоколов, ведь при всей своей бесплатности Network Monitor входит в состав далеко не бесплатной ОС Windows, да и то лишь Lite (вы ведь помните его нехорошее ограничение на перехват совсем чужих пакетов), а ведь есть еще Open Source, ну и возможно будет и еще что-нибудь вкусненькое, но говорить пока не буду, не хочу обещать.
To be Continue...
P.S. Ну и для самых продвинутых людей исключительно рекомендую к ознакомлению - по кабелям стандарт EIA/TIA-568A (все те кабельные системы, при помощи которых строят сегодня сети, кроме коаксиала – устарел, батько…), ISO/IEC 11801 (аналогично).
|