2. Керування мережею та протоколи керування мережею.
Класифікація засобів моніторингу і аналізу
Все різноманіття засобів, вживаних для моніторингу і аналізу обчислювальних мереж, можна розділити на декілька крупних класів:
Системи управління мережею (Network Management Systems) - централізовані програмні системи, які збирають дані про стан вузлів і комунікаційних пристроїв мережі, а також дані про трафік, циркулюючий в мережі. Ці системи не тільки здійснюють моніторинг і аналіз мережі, але і виконують в автоматичному або напівавтоматичному режимі дії по управлінню мережею - включення і відключення портів пристроїв, зміна параметрів мостів адресних таблиць мостів, комутаторів і маршрутизаторів і т.п. Прикладами систем управління можуть служити популярні системи HPOpenView, SunNetManager, IBMNetView.
Засоби управління системою (System Management). Засоби управління системою часто виконують функції, аналогічні функціям систем управління, але по відношенню до інших об'єктів. В першому випадку об'єктом управління є програмне і апаратне забезпечення комп'ютерів мережі, а в другому - комунікаційне устаткування. Разом з тим, деякі функції цих двох видів систем управління можуть дублюватися, наприклад, засоби управління системою можуть виконувати найпростіший аналіз мережного трафіку.
Вбудовані системи діагностики і управління (Embedded systems). Ці системи виконуються у вигляді програмно-апаратних модулів, встановлюваних в комунікаційне устаткування, а також у вигляді програмних модулів, вбудованих в операційні системи. Вони виконують функції діагностики і управління тільки одним пристроєм, і в цьому їх основна відмінність від централізованих систем управління. Прикладом засобів цього класу може служити модуль управління концентратором Distrebuted 5000, реалізовуючий функції автосегментації портів при виявленні несправностей, приписування портів внутрішнім сегментам концентратора і деякі інші. Як правило, вбудовані модулі управління "за сумісництвом" виконують роль SNMP-агентів, що поставляють дані про стан пристрою для систем управління.
Аналізатори протоколів (Protocol analyzers). Є програмними або апаратно-програмними системами, які обмежуються на відміну від систем управління лише функціями моніторингу і аналізу трафіку в мережах. Хороший аналізатор протоколів може захоплювати і декодувати пакети великої кількості протоколів, вживаних в мережах - звичайно декілька десятків. Аналізатори протоколів дозволяють встановити деякі логічні умови для захоплення окремих пакетів і виконують повне декодування захоплених пакетів, тобто показують в зручній для фахівця формі вкладеність пакетів протоколів різних рівнів один в одного з розшифровкою змісту окремих полів кожного пакету.
Устаткування для діагностики і сертифікації кабельних систем. Умовно це устаткування можна поділити на чотири основні групи: мережні монітори, прилади для сертифікації кабельних систем, кабельні сканери і тестери (мультиметри).
Мережні монітори (звані також мережними аналізаторами) призначені для тестування кабелів різних категорій. Слід розрізняти мережні монітори і аналізатори протоколів. Мережні монітори збирають дані тільки про статистичні показники трафіку - середньої інтенсивності загального трафіку мережі, середньої інтенсивності потоку пакетів з певним типом помилки і т.п.
Призначення пристроїв для сертифікації кабельних систем, безпосередньо виходить з їх назви. Сертифікація виконується відповідно до вимог одного з міжнародних стандартів на кабельні системи.
Кабельні сканери використовуються для діагностики мідних кабельних систем.
Тестери призначені для перевірки кабелів на відсутність фізичного розриву.
Експертні системи. Цей вид систем акумулює людські знання про виявлення причин аномальної роботи мереж і можливі способи приведення мережі в працездатний стан. Експертні системи часто реалізуються у вигляді окремих підсистем різних засобів моніторингу і аналізу мереж: систем управління мережами, аналізаторів протоколів, мережних аналізаторів. Найпростішим варіантом експертної системи є контекстно-залежна help-система. Складніші експертні системи є так званими базами знань, що володіють елементами штучного інтелекту. Прикладом такої системи є експертна система, вбудована в систему управління Spectrum компанії Cabletron.
Багатофункціональні пристрої аналізу і діагностики. Останніми роками, у зв'язку з повсюдним розповсюдженням локальних мереж виникла необхідність розробки недорогих портативних приладів, що суміщають функції декількох пристроїв: аналізаторів протоколів, кабельних сканерів і, навіть, деяких можливостей ПО мережного управління. Як приклад такого роду пристроїв можна привести Compas компанії MicrotestInc. або 675 LANMeter компанії FlukeCorp.
Системи управління
Відповідно до рекомендацій ISO можна виділити наступні функції засобів управління мережею:
Управління конфігурацією мережі і імен - полягає в конфігуруванні компонентів мережі, включаючи їх місцеположення, мережні адреси і ідентифікатори, управління параметрами мережних операційних систем, підтримка схеми мережі: також ці функції використовуються для іменування об'єктів.
Обробка помилок - це виявлення, визначення і усунення наслідків збоїв і відмов в роботі мережі.
Аналіз продуктивності - допомагає на основі накопиченої статистичної інформації оцінювати час відповіді системи і величину трафіку, а також планувати розвиток мережі.
Управління безпекою - включає контроль доступу і збереження цілісності даних. У функції входить процедура аутентифікації, перевірки привілеїв, підтримка ключів шифрування, управління повноваженнями. До цієї ж групи можна віднести важливі механізми управління паролями, зовнішнім доступом, з'єднання з іншими мережами.
Облік роботи мережі - включає реєстрацію і управління ресурсами і пристроями, що використовуються . Ця функція оперує такими поняттями як час використовування і платня за ресурси.
З приведеного списку видно, що системи управління виконують не тільки функції моніторингу і аналізу роботи мережі, необхідні для отримання початкових даних для настройки мережі, але і включають функції активної дії на мережу - управління конфігурацією і безпекою, які потрібні для відробітку виробленого плану настройки і оптимізації мережі. Сам етап створення плану настройки мережі звичайно залишається за межами функцій системи управління, хоча деякі системи управління мають в своєму складі експертні підсистеми, що допомагають адміністратору або інтегратору визначити необхідні заходи по настройці мережі.
Засоби управління мережею (NetworkManagement), не слід плутати із засобами управління комп'ютерами і їх операційними системами (SystemManagement).
Засоби управління системою звичайно виконують наступні функції:
Облік апаратних і програмних засобів, що використовуються. Система автоматично збирає інформацію про обстежені комп'ютери і створює записи в базі даних про апаратні і програмні ресурси. Після цього адміністратор може швидко з'ясувати, що він має свій в розпорядженні і де це знаходиться. Наприклад, дізнатися про те, на яких комп'ютерах потрібно відновити драйвери принтерів, які ПК володіють достатньою кількістю пам'яті і дискового простору і т.п.
Розподіл і установка програмного забезпечення. Після завершення обстеження адміністратор може створити пакети розсилки програмного забезпечення - дуже ефективний спосіб для зменшення вартості такої процедури. Система може також дозволяти централізований встановлювати і адмініструвати додатки, які запускаються з файлових серверів, а також дати можливість кінцевим користувачам запускати такі додатки з будь-якої робочої станції мережі.
Віддалений аналіз продуктивності і виникаючих проблем. Адміністратор може віддалено управляти мишею, клавіатурою і бачити екран будь-якого ПК, що працює в мережі під управлінням тієї або іншої мережної операційної системи. База даних системи управління звичайно береже детальну інформацію про конфігурацію всіх комп'ютерів в мережі для того, щоб можна було виконувати видалений аналіз виникаючих проблем.
Прикладами засобів управління системою є такі продукти, як SystemManagementServer компанії Microsoft або LANDeskManager фірми Intel, а типовими представниками засобів управління мережами є системи HPOpenView, SunNetManager і IBMNetView.
Останнім часом в області систем управління спостерігаються дві достатньо чітко виражені тенденції:
інтеграція в одному продукті функцій управління мережами і системами
розподіленість системи управління, при якій в системі існує декілька консолей, що збирають інформацію про стан пристроїв і систем і віддаючи управляючі команди.
Створення систем управління мережами немислиме без орієнтації на певні стандарти, оскільки управляюче програмне забезпечення і мережне устаткування, а, значить, і агентів для нього, розробляють сотні компаній. Оскільки корпоративна мережа напевно неоднорідна, управляючі інструменти не можуть відображати специфіки однієї системи або мережі.
Найпоширенішим протоколом управління мережами є протокол SNMP (Simple Network Management Protocol), його підтримують сотні виробників. Головні достоїнства протоколу SNMP - простота, доступність, незалежність від виробників. В значній мірі саме популярність SNMP затримала ухвалення CMIP, варіанту управляючого протоколу за версією OSI. Протокол SNMP розроблений для управління маршрутизаторами в мережі Internet і є частиною стека TCP/IP.
SNMP - це протокол, що використовується для отримання від мережних пристроїв інформації про їх статус, продуктивність і характеристики, які зберігаються в спеціальній базі даних мережних пристроїв, званої MIB (Management Information Base). Існують стандарти, що визначають структуру MIB, у тому числі набір типів її змінних (об'єктів в термінології ISO), їх імена і допустимі операції цими змінними (наприклад, читання). В MIB, разом з іншою інформацією, можуть зберігатися мережною і/або MAC-адреси пристроїв, значення лічильників оброблених пакетів і помилок, номери, пріоритети і інформація про стан портів. Деревовидна структура MIB містить обов'язкові (стандартні) піддерева, а також в ній можуть знаходитися приватні (private) піддерева, що дозволяють виробнику інтелектуальних пристроїв реалізувати які-небудь специфічні функції на основі його специфічних змінних.
Агент в протоколі SNMP - це оброблювальний елемент, який забезпечує менеджерам, розміщеним на управляючих станціях мережі, доступ до значень змінних MIB, і тим самим дає їм можливість реалізувати функції по управлінню і нагляду за пристроєм.
Основні операції по управлінню винесені в управляючу станцію. При цьому пристрій працює з мінімальними витратами на підтримку управляючого протоколу. Він використовує майже всю свою обчислювальну потужність для виконання своїх основних функцій маршрутизатора, моста або концентратора, а агент займається збором статистики і значень змінних стану пристрою і передачею їх менеджеру системи управління. SNMP - це протокол типу "запит-відповідь", тобто на кожний запит, що поступив від менеджера, агент повинен передати відповідь. Особливістю протоколу є його надзвичайна простота - він включає всього декілька команд.
Команда Get-request використовується менеджером для отримання від агента значення якого-небудь об'єкту по його імені.
Команда GetNext-request використовується менеджером для витягання значення наступного об'єкту (без вказівки його імені) при послідовному перегляді таблиці об'єктів.
За допомогою команди Get-response агент SNMP передає менеджеру відповідь на одну з команд Get-request або GetNext-request.
Команда Set використовується менеджером для встановлення значення якого-небудь об'єкту або умови, при виконанні якої агент SNMP повинен послати менеджеру відповідне повідомлення. Може бути визначена реакція на такі події як ініціалізація агента, рестарт агента, обривши зв'язки, відновлення зв'язку, невірна аутентифікація і втрата найближчого маршрутизатора. Якщо відбувається будь-яка з цих подій, то агент ініціалізував переривання.
Команда Trap використовується агентом для повідомлення менеджеру про виникнення особливої ситуації.
Версія SNMPv.2 додає до цього набору команду GetBulk, яка дозволяє менеджеру отримати декілька значень змінних за один запит.
Вбудовані засоби моніторингу і аналізу мереж
Агенти SNMP
На сьогодні існує декілька стандартів на бази даних управляючої інформації. Основними є стандарти MIB-I і MIB-II, а також версія бази даних для видаленого управління RMON MIB. Окрім цього, існують стандарти для спеціальних MIB пристроїв конкретного типу (наприклад, MIB для концентраторів або MIB для модемів), а також приватні MIB конкретних фірм-виробників устаткування.
Первинна специфікація MIB-I визначала тільки операції читання значень змінних. Операції зміни або установки значень об'єкту є частиною специфікацій MIB-II.
Версія MIB-I (RFC 1156) визначає до 114 об'єктів, які підрозділяються на 8 груп:
System - загальні дані про пристрій (наприклад, ідентифікатор постачальника, час останньої ініціалізації системи).
Interfaces - описуються параметри мережних інтерфейсів пристрою (наприклад, їх кількість, типи, швидкості обміну, максимальний розмір пакету).
Address Translation Table - описується відповідність між мережними і фізичними адресами (наприклад, по протоколу ARP).
Internet Protocol - дані, що відносяться до протоколу IP (адреси IP-шлюзів, вузлів, статистика про IP-пакети).
ICMP - дані, що відносяться до протоколу обміну управляючими повідомленнями ICMP.
TCP - дані, що відносяться до протоколу TCP (наприклад, про TCP-з'єднання).
UDP - дані, що відносяться до протоколу UDP (число переданих, прийнятих і помилкових UPD-дейтаграмм).
EGP - дані, що відносяться до протоколу обміну маршрутною інформацією Exterior Gateway Protocol, що використовується в мережі Internet (число прийнятих з помилками і без помилок повідомлень).
З цього переліку груп змінних видно, що стандарт MIB-I розроблявся з жорсткою орієнтацією на управління маршрутизаторами, що підтримують протоколи стека TCP/IP.
У версії MIB-II (RFC 1213), прийнятій в 1992 році, був істотно (до 185) розширений набір стандартних об'єктів, а число груп збільшилося до 10.
Агенти RMON
Новітнім додатком до функціональних можливостей SNMP є специфікація RMON, яка забезпечує віддалену взаємодію з базою MIB. До появи RMON протокол SNMP не міг використовуватися віддаленим чином, він допускав тільки локальне управління пристроями. База RMON MIB володіє поліпшеним набором властивостей для віддаленого управління, оскільки містить агреговану інформацію про пристрій, що не вимагає передачі по мережі великих об'ємів інформації. Об'єкти RMON MIB включають додаткові лічильники помилок в пакетах, більш гнучкі засоби аналізу графічних трендів і статистики, більш могутні засоби фільтрації для захоплення і аналізу окремих пакетів, а також складніші умови встановлення сигналів попередження. Агенти RMON MIB більш інтелектуальні в порівнянні з агентами MIB-I або MIB-II і виконують значну частину роботи по обробці інформації про пристрій, яку раніше виконували менеджери. Ці агенти можуть розташовуватися усередині різних комунікаційних пристроїв, а також бути виконані у вигляді окремих програмних модулів, що працюють на універсальних ПК і ноутбуках (прикладом може служити LANalyzerNovell).
Об'єкту RMON привласнений номер 16 в наборі об'єктів MIB, а сам об'єкт RMON об'єднує 10 груп наступних об'єктів:
Statistics - поточні накопичені статистичні дані про характеристики пакетів, кількість колізій і т.п.
History - статистичні дані, збережені через певні проміжки часу для подальшого аналізу тенденцій їх змін.
Alarms - порогові значення статистичних показників, при перевищенні яких агент RMON посилає повідомлення менеджеру.
Host - дані про вузли мережі, у тому числі і про їх MAC-адреси.
HostTopN - таблиця самих завантажених вузлів мережі.
TrafficMatrix - статистика про інтенсивність трафіку між кожною парою вузлів мережі, впорядкована у вигляді матриці.
Filter - умови фільтрації пакетів.
PacketCapture - умови захоплення пакетів.
Event - умови реєстрації і генерації подій.
Дані групи пронумеровані у вказаному порядку, тому, наприклад, група Hosts має числове ім'я 1.3.6.1.2.1.16.4.
Десяту групу складають спеціальні об'єкти протоколу TokenRing.
Всього стандарт RMON MIB визначає близько 200 об'єктів в 10 групах, зафіксованих в двох документах - RFC 1271 для мереж Ethernet і RFC 1513 для мереж TokenRing.
Відмінною рисою стандарту RMON MIB є його незалежність від протоколу мережного рівня (на відміну від стандартів MIB-I і MIB-II, орієнтованих на протоколи TCP/IP). Тому, його зручно використовувати в гетерогенних середовищах, що використовують різні протоколи мережного рівня.
Аналізатори протоколів
В ході проектування нової або модернізації старої мережі часто виникає необхідність в кількісному вимірюванні деяких характеристик мережі таких, наприклад, як інтенсивності потоків даних по мережних лініях зв'язку, затримки, що виникають на різних етапах обробки пакетів, часи реакції на запити того або іншого вигляду, частота виникнення певних подій і інших характеристик.
Для цих цілей можуть бути використані різні засоби і перш за все - засоби моніторингу в системах управління мережею, які вже обговорювалися в попередніх розділах. Деякі вимірювання на мережі можуть бути виконані і вбудованими в операційну систему програмними вимірниками, прикладом тому служить компоненту ОС WindowsNTPerformanceMonitor. Навіть кабельні тестери в їх сучасному виконанні здатні вести захоплення пакетів і аналіз їх вмісту.
Але найдосконалішим засобом дослідження мережі є аналізатор протоколів. Процес аналізу протоколів включає захоплення циркулюючих в мережі пакетів, що реалізовують той або інший мережний протокол, і вивчення вмісту цих пакетів. Грунтуючись на результатах аналізу, можна здійснювати обгрунтовану і зважену зміну яких-небудь компонент мережі, оптимізацію її продуктивності, пошук і усунення неполадок. Очевидно, що для того, щоб можна було зробити які-небудь висновки про вплив деякої зміни на мережу, необхідно виконати аналіз протоколів і до, і після внесення зміни.
Аналізатор протоколів є або самостійним спеціалізованим пристроєм, або персональним комп'ютером, звичайно переносний, класу Notebook, оснащений спеціальною мережною картою і відповідним програмним забезпеченням. Вживані мережна карта і програмне забезпечення повинні відповідати топології мережі (кільце, шина, зірка). Аналізатор підключається до мережі точно також, як і звичайний вузол. Відмінність полягає в тому, що аналізатор може приймати всі пакети даних, передавані по мережі, тоді як звичайна станція - тільки адресовані їй. Програмне забезпечення аналізатора складається з ядра, що підтримує роботу мережного адаптера і декодує одержувані дані, і додаткового програмного коду, залежного від типу топології досліджуваної мережі. Крім того, поставляється ряд процедур декодування, орієнтованих на певний протокол, наприклад, IPX. До складу деяких аналізаторів може входити також експертна система, яка може видавати користувачу рекомендації про те, які експерименти слід проводити в даній ситуації, що можуть означати ті або інші результати вимірювань, як усунути деякі види несправності мережі.
Не дивлячись на відносне різноманіття аналізаторів протоколів, представлених на ринку, можна назвати деякі риси, в тій чи іншій мірі властиві всім їм:
Призначений для користувача інтерфейс. Більшість аналізаторів має розвинений дружній інтерфейс, що базується, як правило, на Windows або Motif. Цей інтерфейс дозволяє користувачу: виводити результати аналізу інтенсивності трафіку; одержувати миттєву і усереднену статистичну оцінку продуктивності мережі; задавати певні події і критичні ситуації для відстежування їх виникнення; проводити декодування протоколів різного рівня і представляти в зрозумілій формі вміст пакетів.
Буфер захоплення. Буфери різних аналізаторів відрізняються за об'ємом. Буфер може розташовуватися на встановлюваній мережній карті, або для нього може бути відведено місце в оперативній пам'яті одного з комп'ютерів мережі. Якщо буфер розташований на мережній карті, то управління їм здійснюється апаратний, і за рахунок цього швидкість введення підвищується. Проте це приводить до дорожчання аналізатора. У разі недостатньої продуктивності процедури захоплення, частина інформації втрачатиметься, і аналіз буде неможливий. Розмір буфера визначає можливості аналізу по більш менш представницьких вибірках захоплюваних даних. Але яким би великим не був буфер захоплення, рано чи пізно він заповниться. В цьому випадку або припиняється захоплення, або заповнення починається з початку буфера.
Фільтри. Фільтри дозволяють управляти процесом захоплення даних, і, тим самим, дозволяють економити простір буфера. Залежно від значення певних полів пакету, заданих у вигляді умови фільтрації, пакет або ігнорується, або записується в буфер захоплення. Використовування фільтрів значно прискорює і спрощує аналіз, оскільки виключає проглядання непотрібних в даний момент пакетів.
Перемикачі - це деякі умови початку і припинення процесу захоплення даних, що задаються оператором, з мережі. Такими умовами можуть бути виконання ручних команд запуску і зупинки процесу захоплення, час доби, тривалість процесу захоплення, поява певних значень в кадрах даних. Перемикачі можуть використовуватися спільно з фільтрами, дозволяючи більш детально і тонко проводити аналіз, а також продуктивний використовувати обмежений об'єм буфера захоплення.
Пошук. Деякі аналізатори протоколів дозволяють автоматизувати проглядання інформації, що знаходиться в буфері, і знаходити в ній дані по заданих критеріях. В той час, як фільтри перевіряють вхідний потік на предмет відповідності умовам фільтрації, функції пошуку застосовуються до вже накопичених в буфері даних.
Методологія проведення аналізу може бути представлена у вигляді наступних шести етапів:
Захоплення даних.
Проглядання захоплених даних.
Аналіз даних.
Пошук помилок. (Більшість аналізаторів полегшує цю роботу, визначаючи типи помилок і ідентифікуючи станцію, від якої прийшов пакет з помилкою.)
Дослідження продуктивності. Розраховується коефіцієнт використовування пропускної спроможності мережі або середній час реакції на запит.
Докладне дослідження окремих ділянок мережі. Зміст цього етапу конкретизується у міру того, як проводиться аналіз.
Звичайно процес аналізу протоколів займає відносно небагато часу - 1-2 робочих дні.