Мониторинг и анализ локальных сетей

Постоянный контроль за работой локальной сети, составляющей основу любой корпоративной сети, необходим для поддержания ее в работоспособном состоя­нии. Контроль — это необходимый первый этап, который должен выполняться при управлении сетью. Ввиду важности этой функции ее часто отделяют от других функций систем управления и реализуют специальными средствами. Такое раз­деление функций контроля и собственно управления полезно для небольших и средних сетей, для которых установка интегрированной системы управления эко­номически нецелесообразна. Использование автономных средств контроля помо­гает администратору сети выявить проблемные участки и устройства сети, а их отключение или реконфигурацию он может выполнять в этом случае вручную.

Процесс контроля работы сети обычно делят на два этапа — мониторинг и анализ.

На этапе мониторинга выполняется более простая процедура — процедура сбора первичных данных о работе сети: статистики о количестве циркулирующих в сети кадров и пакетов различных протоколов, состоянии портов концентраторов, ком­мутаторов и маршрутизаторов и т. п.

Далее выполняется этап анализа, под которым понимается более сложный и интеллектуальный процесс осмысления собранной на этапе мониторинга инфор­мации, сопоставления ее с данными, полученными ранее, и выработки предполо­жений о возможных причинах замедленной или ненадежной работы сети.

Задачи мониторинга решаются программными и аппаратными измерителями, тестерами, сетевыми анализаторами, встроенными средствами мониторинга ком­муникационных устройств, а также агентами систем управления. Задача анализа требует более активного участия человека и использования таких сложных средств, как экспертные системы, аккумулирующие практический опыт многих сетевых специалистов.

7.3.1. Классификация средств мониторинга и анализа

Все многообразие средств, применяемых для анализа и диагностики вычислитель­ных сетей, можно разделить на несколько крупных классов.

• Агенты систем управления, поддерживающие функции одной из стандартных MIB и поставляющие информацию по протоколу SNMP или CMIP. Для полу­чения данных от агентов обычно требуется наличие системы управления, соби­рающей данные от агентов в автоматическом режиме.

* Встроенные системы диагностики и управления (Embedded systems). Эти сис­темы выполняются в виде программно-аппаратных модулей, устанавливаемых в коммуникационное оборудование, а также в виде программных модулей, встроенных в операционные системы. Они выполняют функции диагностики и управления только одним устройством, и в этом их основное отличие от цент­рализованных систем управления. Примером средств этого класса может слу-

620 Глава 7 • Средство анализа и управления сетями _______________________________________

жить модуль управления многосегментным повторителем Ethernet, реализую­щий функции автосегментации портов при обнаружении неисправностей, при­писывания портов внутренним сегментам повторителя и некоторые другие. Как правило, встроенные модули управления «по совместительству» выполняют роль SNMP-агентов, поставляющих данные о состоянии устройства для систем уп­равления.

• Анализаторы протоколов (Protocol analyzers). Представляют собой программ­ные или аппаратно-программные системы, которые ограничиваются в отличие от систем управления лишь функциями мониторинга и анализа трафика в се­тях. Хороший анализатор протоколов может захватывать и декодировать паке­ты большого количества протоколов, применяемых в сетях, — обычно несколько десятков. Анализаторы протоколов позволяют установить некоторые логичес­кие условия для захвата отдельных пакетов и выполняют полное декодирова­ние захваченных пакетов, то есть показывают в удобной для специалиста форме вложенность пакетов протоколов разных уровней друг в друга с расшифровкой содержания отдельных полей каждого пакета.

• Экспертные системы. Этот вид систем аккумулирует знания технических спе­циалистов о выявлении причин аномальной работы сетей и возможных спосо­бах приведения сети в работоспособное состояние. Экспертные системы часто реализуются в виде отдельных подсистем различных средств мониторинга и анализа сетей: систем управления сетями, анализаторов протоколов, сетевых анализаторов. Простейшим вариантом экспертной системы является контекст­но-зависимая система помощи. Более сложные экспертные системы представляют собой, так называемые базы знаний, обладающие элементами искусственного интеллекта. Примерами таких систем являются экспертные системы, встроен­ные в систему управления Spectrum компании Cabletron и анализатора прото­колов Sniffer компании Network General. Работа экспертных систем состоит в анализе большого числа событий для выдачи пользователю краткого диагноза о причине неисправности сети.

• Оборудование для диагностики и сертификации кабельных систем. Условно это оборудование можно поделить на четыре основные группы: сетевые мониторы, приборы для сертификации кабельных систем, кабельные сканеры и тестеры.

• Сетевые мониторы (называемые также сетевыми анализаторами) предназна­чены для тестирование кабелей различных категорий. Сетевые мониторы собирают также данные о статистических показателях трафика — средней интенсивности общего трафика сети, средней интенсивности потока пакетов с определенным типом ошибки и т. п. Эти устройства являются наиболее интеллектуальными устройствами из всех четырех групп устройств данного класса, так как работают не только на физическом, но и на канальном, а иногда и на сетевом уровнях.

• Устройства для сертификации кабельных систем выполняют сертификацию в соответствии с требованиями одного из международных стандартов на ка­бельные системы.

• Кабельные сканеры используются для диагностики медных кабельных систем.

• Тестеры предназначены для проверки кабелей на отсутствие физического разрыва.

7.3. Мониторинг и анализ локальных сетей 621

• Многофункциональные портативные устройства анализа и диагностики. В свя­зи с развитием технологии больших интегральных схем появилась возможность производства портативных приборов, которые совмещали бы функции несколь­ких устройств: кабельных сканеров, сетевых мониторов и анализаторов прото­колов.

7.3.2. Анализаторы протоколов

Анализатор протоколов представляет собой либо специализированное устройство, либо персональный компьютер, обычно переносной, класса Notebook, оснащенный специальной сетевой картой и соответствующим программным обеспечением. При­меняемые сетевая карта и программное обеспечение должны соответствовать тех­нологии сети (Ethernet, Token Ring, FDDI, Fast Ethernet). Анализатор подключается к сети точно так же, как и обычный узел. Отличие состоит в том, что анализатор может принимать все пакеты данных, передаваемые по сети, в то время как обыч­ная станция — только адресованные ей. Для этого сетевой адаптер анализатора протоколов переводится в режим «беспорядочного» захвата — promiscuous mode.

Программное обеспечение анализатора состоит из ядра, поддерживающего ра­боту сетевого адаптера и программного обеспечения, декодирующего протокол канального уровня, с которым работает сетевой адаптер, а также наиболее распро­страненные протоколы верхних уровней, например IP, TCP, ftp, telnet, HTTP, IPX, NCP, NetBEUI, DECnet и т. п. В состав некоторых анализаторов может входить также экспертная система, которая позволяет выдавать пользователю рекоменда­ции о том, какие эксперименты следует проводить в данной ситуации, что могут означать те или иные результаты измерений, как устранить некоторые виды неис­правности сети.

Анализаторы протоколов имеют некоторые общие свойства.

• Возможность (кроме захвата пакетов) измерения среднестатистических показа­телей трафика в сегменте локальной сети, в котором установлен сетевой адап­тер анализатора. Обычно измеряется коэффициент использования сегмента, матрицы перекрестного трафика узлов, количество хороших и плохих кадров, прошедших через сегмент.

• Возможность работы с несколькими агентами, поставляющими захваченные пакеты из разных сегментов локальной сети. Эти агенты чаще всего взаимодей­ствуют с анализатором протоколов по собственному протоколу прикладного уровня, отличному от SNMP или CMIP.

• Наличие развитого графического интерфейса, позволяющего представить ре­зультаты декодирования пакетов с разной степенью детализации.

• Фильтрация захватываемых и отображаемых пакетов. Условия фильтрации за­даются в зависимости от значения адресов назначения и источника, типа прото­кола или значения определенных полей пакета. Пакет либо игнорируется, либо записывается в буфер захвата. Использование фильтров значительно ускоряет и упрощает анализ, так как исключает захват или просмотр ненужных в данный момент пакетов.

• Использование триггеров. Триггеры — это задаваемые администратором неко­торые условия начала и прекращения процесса захвата данных из сети. Такими

622 Глава 7 Средства анализа и управления сетями______________________________

условиями могут быть: время суток, продолжительность процесса захвата, по­явление определенных значений в кадрах данных. Триггеры могут использо­ваться совместно с фильтрами, позволяя более детально и тонко проводить анализ, а также продуктивнее расходовать ограниченный объем буфера захвата.

• Многоканальность. Некоторые анализаторы протоколов позволяют проводить одновременную запись пакетов от нескольких сетевых адаптеров, что удобно для сопоставления процессов, происходящих в разных сегментах сети. Возможности анализа проблем сети на физическом уровне у анализаторов про­токолов минимальные, поскольку всю информацию они получают от стандартных сетевых адаптеров. Поэтому они передают и обобщают информацию физического уровня, которую сообщает им сетевой адаптер, а она во многом зависит от типа сетевого адаптера. Некоторые сетевые адаптеры сообщают более детальные данные об ошибках кадров и интенсивности коллизий в сегменте, а некоторые вообще не передают такую информацию верхним уровням протоколов, на которых работает анализатор протоколов.

С распространением серверов Windows NT все более популярным становится анализатор Network Monitor фирмы Microsoft. Он является частью сервера управ­ления системой SMS, а также входит в стандартную поставку Windows NT Server, начиная с версии 4.0 (версия с усеченными функциями). Network Monitor в вер­сии SMS является многоканальным анализатором протоколов, поскольку может получать данные от нескольких агентов Network Monitor Agent, работающих в среде Windows NT Server, однако в каждый момент времени анализатор может работать только с одним агентом, так что сопоставить данные разных каналов с его помощью не удастся. Network Monitor поддерживает фильтры захвата (достаточно простые) и дисплейные фильтры, отображающие нужные кадры после захвата (бо­лее сложные). Экспертной системой Network Monitor не располагает.

7.3.3. Сетевые анализаторы

Сетевые анализаторы представляют собой эталонные измерительные приборы для диагностики и сертификации кабелей и кабельных систем. Они могут с высокой точностью измерить все электрические параметры кабельных систем, а также рабо­тают на более высоких уровнях стека протоколов. Сетевые анализаторы генериру­ют синусоидальные сигналы в широком диапазоне частот, что позволяет измерять на приемной паре амплитудно-частотную характеристику и перекрестные навод­ки, затухание и суммарное затухание. Сетевой анализатор представляет собой ла­бораторный прибор больших размеров, достаточно сложный в обращении.

Многие производители дополняют сетевые анализаторы функциями статистичес­кого анализа трафика — коэффициента использования сегмента, уровня широкове­щательного трафика, процента ошибочных кадров, а также функциями анализатора протоколов, которые обеспечивают захват пакетов разных протоколов в соответ­ствии с условиями фильтров и декодирование пакетов.

7.3.4. Кабельные сканеры и тестеры

Основное назначение кабельных сканеров — измерение электрических и механичес­ких параметров кабелей: длины кабеля, параметра NEXT, затухания, импеданса,

7.3. Мониторинг и онолиз локальных сетей 623

схемы разводки пар проводников, уровня электрических шумов в кабеле. Точность измерений, произведенных этими устройствами, ниже, чем у сетевых анализато­ров, но вполне достаточна для оценки соответствия кабеля стандарту.

Для определения местоположения неисправности кабельной системы (обрыва, короткого замыкания, неправильно установленного разъема и т. д.) используется метод «отраженного импульса» (Time Domain Reflectometry, TDR). Суть этого метода состоит в том, что сканер излучает в кабель короткий электрический им­пульс и измеряет время задержки до прихода отраженного сигнала. По полярно­сти отраженного импульса определяется характер повреждения кабеля (короткое замыкание или обрыв). В правильно установленном и подключенном кабеле от­раженный импульс почти отсутствует.

Точность измерения расстояния зависит от того, насколько точно известна ско­рость распространения электромагнитных волн в кабеле. В различных кабелях она будет разной. Скорость распространения электромагнитных волн в кабеле (Nominal Velocity of Propagation, NVP) обычно задается в процентах от скорости света в вакууме. Современные сканеры содержат в себе электронную таблицу данных о NVP для всех основных типов кабелей, что дает возможность пользователю уста­навливать эти параметры самостоятельно после предварительной калибровки.

Кабельные сканеры — это портативные приборы, которые обслуживающий пер­сонал может постоянно носить с собой.

Кабельные тестеры — наиболее простые и дешевые приборы для диагностики кабеля. Они позволяют определить непрерывность кабеля, однако, в отличие от кабельных сканеров, не дают ответа на вопрос о том, в каком месте произошел сбой.

7.3.5. Многофункциональные портативные приборы мониторинга

В последнее время начали выпускаться многофункциональные портативные при­боры, которые объединяют в себе возможности кабельных сканеров, анализаторов протоколов и даже некоторые функции систем управления, сохраняя в то же вре­мя такое важное свойство, как портативность. Многофункциональные приборы мониторинга имеют специализированный физический интерфейс, позволяющий выявлять проблемы и тестировать кабели на физическом уровне, который допол­няется микропроцессором с программным обеспечением для выполнения высоко­уровневых функций.

Рассмотрим типичный набор функций и свойств такого прибора, который ока­зывается очень полезным для диагностики причин разнообразных неполадок в сети, происходящих на всех уровнях стека протоколов, от физического до прикладного.

Интерфейс пользователя

Прибор обычно предоставляет пользователю удобный и интуитивно понятный интерфейс, основанный на системе меню. Графический интерфейс пользователя реализован на многострочном жидкокристаллическом дисплее и индикаторах со­стояния на светодиодах, извещающих пользователя о наиболее общих проблемах наблюдаемых сетей. Имеется обширный файл подсказок оператору с уровневым

624 Глава 7 • Средства анализам управления сетями

доступом в соответствии с контекстом. Информация о состоянии сети представля­ется таким образом, что пользователи любой квалификации могут ее быстро по­нять.

Функции проверки аппаратуры и кабелей

Многофункциональные приборы сочетают наиболее часто используемые на прак­тике функции кабельных сканеров с рядом новых возможностей тестирования.

Сканирование кабеля

Функция позволяет измерять длину кабеля, расстояние до самого серьезного де­фекта и распределение импеданса по длине кабеля. При проверке неэкранирован­ной витой пары могут быть выявлены следующие ошибки: расщепленная пара, обрывы, короткое замыкание и другие виды нарушения соединения.

Для сетей Ethernet на коаксиальном кабеле эти проверки могут быть осуществ­лены на работающей сети.

Функция определения распределения кабельных жил

Осуществляет проверку правильности подсоединения жил, наличие промежуточ­ных разрывов и перемычек на витых парах. На дисплей выводится перечень свя­занных между собой контактных групп.

Функция определения карты кабелей

Используется для составления карты основных кабелей и кабелей, ответвляющих­ся от центрального помещения.

Автоматическая проверка кабеля

В зависимости от конфигурации возможно определить длину, импеданс, схему подключения жил, затухание и параметр NEXT на частоте до 100 МГц. Автоматическая проверка выполняется для:

• коаксиальных кабелей;

• экранированной витой пары с импедансом 150 Ом;

• неэкранированной витой пары с сопротивлением 100 Ом.

Целостность цепи при проверке постоянным током

Эта функция используется при проверке коаксиальных кабелей для верификации правильности используемых терминаторов и их установки.

Определение номинальной скорости распространения

Функция вычисляет номинальную скорость распространения (Nominal Velocity of Propagation, NVP) по кабелю известной длины и дополнительно сохраняет полу­ченные результаты в файле для определяемого пользователем типа кабеля (User Defined cable type) или стандартного кабеля.

Комплексная автоматическая проверка пары «сетевой адаптер-концентратор»

Этот комплексный тест позволяет последовательно подключить прибор между ко­нечным узлом сети и концентратором. Тест дает возможность автоматически опре-

7.3. Мониторинг и анализ локальных сетей 625

делить местонахождение источника неисправности — кабель, концентратор, сете­вой адаптер или программное обеспечение станции.

Автоматическая проверка сетевых адаптеров

Проверяет правильность функционирования вновь установленных или «подозри­тельных» сетевых адаптеров. Для сетей Ethernet по итогам проверки сообщаются: МАС-адрес, уровень напряжения сигналов (а также присутствие и полярность импульсов Link Test для 10BASE-T). Если сигнал не обнаружен на сетевом адапте­ре, то тест автоматически сканирует соединительный разъем и кабель для их диаг­ностики.

Функции сбора статистики

Эти функции позволяют в реальном масштабе времени проследить за изменением наиболее важных параметров, характеризующих «здоровье» сегментов сети. Ста­тистика обычно собирается с разной степенью детализации по разным группам.

Сетевая статистика

В этой группе собраны наиболее важные статистические показатели — коэффици­ент использования сегмента (utilization), уровень коллизий, уровень ошибок и уро­вень широковещательного трафика. Превышение этими показателями определенных порогов в первую очередь говорят о проблемах в том сегменте сети, к которому подключен многофункциональный прибор.

Статистика ошибочных кадров

Эта функция позволяет отслеживать все типы ошибочных кадров для определен­ной технологии. Например, для технологии Ethernet характерны следующие типы ошибочных кадров.

• Укороченные кадры (Short frames). Это кадры, имеющие длину, меньше допус­тимой, то есть меньше 64 байт. Иногда этот тип кадров дифференцируют на два класса — просто короткие кадры (short), у которых имеется корректная конт­рольная сумма, и «коротышки» (runts), не имеющие корректной контрольной суммы. Наиболее вероятными причинами появления укороченных кадров яв­ляются неисправные сетевые адаптеры и их драйверы.

• Удлиненные кадры (Jabbers). Это кадры, имеющие длину, превышающую допу­стимое значение в 1518 байт с хорошей или плохой контрольной суммой. Удли­ненные кадры являются следствием затянувшейся передачи, которая появляется из-за неисправностей сетевых адаптеров.

• Кадры нормальных размеров, но с плохой контрольной суммой (Bad FCS) и кадры с ошибками выравнивания по границе байта. Кадры с неверной конт­рольной суммой являются следствием множества причин — плохих адаптеров, помех на кабелях, плохих контактов, некорректно работающих портов повтори­телей, мостов, коммутаторов и маршрутизаторов. Ошибка выравнивания всегда сопровождается ошибкой по контрольной сумме, поэтому некоторые средства анализа трафика не делают между ними различий. Ошибка выравнивания мо­жет быть следствием прекращения передачи кадра при распознавании колли­зии передающим адаптером.

626 Глава 7 • Средства анализа и управления сетями

• Кадры-призраки (ghosts) являются результатом электромагнитных наводок н; кабеле. Они воспринимаются сетевыми адаптерами как кадры, не имеющие нор мального признака начала кадра — 10101011. Кадры-призраки имеют длин) более 72 байт, в противном случае они классифицируются как удаленные кол­лизии. Количество обнаруженных кадров-призраков в большой степени зави­сит от точки подключения сетевого анализатора. Причинами их возникновения являются петли заземления и другие проблемы с кабельной системой. Знание процентного распределения общего количества ошибочных кадров по

их типам может многое подсказать администратору о возможных причинах непо­ладок в сети. Даже небольшой процент ошибочных кадров может привести к зна­чительному снижению полезной пропускной способности сети, если протоколы, восстанавливающие искаженные кадры, работают с большими тайм-аутами ожи­дания квитанций. Считается, что в нормально работающей сети процент ошибоч­ных кадров не должен превышать 0,01 %, то есть не более 1 ошибочного кадра из 10 000.

Статистика по коллизиям

Эта группа характеристик дает информацию о количестве и видах коллизий, отме­ченных на сегменте сети, позволяет определить наличие и местонахождение про­блемы. Анализаторы протоколов обычно не могут дать дифференцированной картины распределения общего числа коллизий по их отдельным типам, в то же время знание преобладающего типа коллизий может помочь понять причину пло­хой работы сети.

Ниже приведены основные типы коллизий сети Ethernet.

• Локальная коллизия (Local Collision). Является результатом одновременной передачи двух или более узлов, принадлежащих к тому сегменту, в котором производятся измерения. Если многофункциональный прибор не генерирует кадры, то в сети на витой паре или волоконно-оптическом кабеле локальные коллизии не фиксируются. Слишком высокий уровень локальных коллизий является следствием проблем с кабельной системой.

• Удаленная коллизия (Remote Collision). Эти коллизии происходят на другой стороне повторителя (по отношению к тому сегменту, в котором установлен измерительный прибор). В сетях, построенных на многопортовых повторите­лях (10Base-T, 10Base-FL/FB, 100Base-TX/FX/T4, Gigabit Ethernet), все изме­ряемые коллизии являются удаленными (кроме тех случаев, когда анализатор сам генерирует кадры и может быть виновником коллизии). Не все анализато­ры протоколов и средства мониторинга одинаковым образом фиксируют уда­ленные коллизии. Это происходит из-за того, что некоторые измерительные средства и системы не фиксируют коллизии, происходящие при передаче пре­амбулы.

• Поздняя коллизия (Late Collision). Это коллизия, которая происходит после пе­редачи первых 64 байт кадра (по протоколу Ethernet коллизия должна обнару­живаться при передаче первых 64 байт кадра). Результатом поздней коллизии будет кадр, который имеет длину более 64 байт и содержит неверное значение контрольной суммы. Чаще всего это указывает на то, что сетевой адаптер, являю­щийся источником конфликта, оказывается не в состоянии правильно прослу­шивать линию и поэтому не может, вовремя остановить передачу* Другой причиной

7.3. Мониторинг и анализ локальных сетей 627

поздней коллизии является слишком большая длина кабельной системы или слиш­ком большое количество промежуточных повторителей, приводящее к превыше­нию максимального значения времени двойного оборота сигнала. Средняя интенсивность коллизий в нормально работающей сети должна быть

меньше 5 %. Большие всплески (более 20 %) могут быть индикатором кабельных

проблем.

Распределение используемых сетевых протоколов

Эта статистическая группа относится к протоколам сетевого уровня. На дисплее отображается список основных протоколов в убывающем порядке относительно процентного соотношения кадров, содержащих пакеты данного протокола к обще­му числу кадров в сети.

Основные отправители (Top Sendes)

Функция позволяет отслеживать наиболее активные передающие узлы локальной сети. Прибор можно настроить на фильтрацию по единственному адресу и вы­явить список основных отправителей кадров для данной станции. Данные отража­ются на дисплее в виде диаграммы вместе с перечнем основных отправителей кадров.

Основные получатели (Top Receivers)

Функция позволяет следить за наиболее активными узлами-получателями сети. Информация отображается в виде, аналогичном приведенному выше.

Основные генераторы широковещательного трафика (Top Broadcasters)

Функция выявляет станции сети, которые больше остальных генерируют кадры с широковещательными и групповыми адресами.

Генерирование трафика (Traffic Generation)

Прибор может генерировать трафик для проверки работы сети при повышенной нагрузке. Трафик может генерироваться параллельно с активизированными функ­циями Сетевая статистика, Статистика ошибочных кадров и Статистика по коллизиям.

Пользователь может задать параметры генерируемого трафика, такие как ин­тенсивность и размер кадров. Для тестирования мостов и маршрутизаторов при­бор может автоматически создавать заголовки IP- и IPX-пакетов, и все что требуется от оператора — это внести адреса источника и назначения.

В ходе испытаний пользователь может увеличить на ходу размер и частоту следования кадров с помощью клавиш управления курсором. Это особенно ценно при поиске источника проблем производительности сети и условий возникнове­ния отказов.

Функции анализа протоколов

Обычно портативные многофункциональные приборы поддерживают декодирова­ние и анализ только основных протоколов локальных сетей, таких как протоколы стеков TCP/IP, Novell NetWare, NetBIOS и Banyan VINES.

В некоторых многофункциональных приборах отсутствует возможность деко­дирования захваченных пакетов, как в анализаторах протоколов, а вместо этого

628 Глава 7 • Средства анализа и управления сетями

собирается статистика о наиболее важных пакетах, свидетельствующих о наличии проблем в сетях. Например, при анализе протоколов стека TCP/IP собирается статистика по пакетам протокола ICMP, с помощью которого маршрутизаторы сообщают конечным узлам о возникновении разного рода ошибок. Для ручной проверки достижимости узлов сети в приборы включается поддержка утилиты IP Ping, а также аналогичных по назначению утилит NetWare Ping и NetBIOS Ping.

7.3.6. Мониторинг локальных сетей на основе коммутаторов

Наблюдение за трафиком

Так как перегрузки процессоров портов и других обрабатывающих элементов ком­мутатора могут приводить к потерям кадров, то функция наблюдения за распреде­лением трафика в сети, построенной на основе коммутаторов, очень важна.

Однако если сам коммутатор не снабжен встроенным агентом SNMP для каждого своего порта, то задача слежения за трафиком, традиционно решаемая в сетях с разделяемыми средами с помощью установки в сеть внешнего анализато­ра протоколов, очень усложняется.

Обычно в традиционных сетях анализатор протоколов или многофункциональ­ный прибор подключался к свободному порту концентратора, что позволяло ему наблюдать за всем трафиком, передаваемым между любыми узлами сети.

Если же анализатор протокола подключить к свободному порту коммутатора, то он не зафиксирует почти ничего, так как кадры ему передавать никто не будет, а чужие кадры в его порт также направляться не будут. Единственный вид трафи­ка, который будет фиксировать анализатор, — это трафик широковещательных па­кетов, которые будут передаваться всем узлам сети, а также трафик кадров с неизвестными коммутатору адресами назначения. В случае когда сеть разделена на виртуальные сети, анализатор протоколов будет фиксировать только широковеща­тельный трафик своей виртуальной сети.

Чтобы анализаторами протоколов можно было по-прежнему пользоваться и в коммутируемых сетях, производители коммутаторов снабжают свои устройства функцией зеркального отображения трафика любого порта на специальный порт. К специальному порту подключается анализатор протоколов, а затем на коммута­тор подается команда через его модуль SNMP-управления для отображения тра­фика какого-либо порта на специальный порт.

Наличие функции зеркализации портов частично снимает проблему, но остав­ляет некоторые вопросы. Например, как просматривать одновременно трафик двух портов или трафик порта, работающего в полнодуплексном режиме.

Более надежным способом слежения за трафиком, проходящим через порты ком­мутатора, является замена анализатора протокола на агенты RMON MIB для каждо­го порта коммутатора.

Агент RMON выполняет все функции хорошего анализатора протокола для протоколов Ethernet и Token Ring, собирая детальную информацию об интенсив­ности трафика, различных типах плохих кадров, о потерянных кадрах, причем самостоятельно строя временные ряды для каждого фиксируемого параметра. Кроме того, агент RMON может самостоятельно строить матрицы перекрестного трафика

7.3. Мониторинг и анализ локальных сетей 629

между узлами сети, которые очень нужны для анализа эффективности примене­ния коммутатора.

Так как агент RMON, реализующий все 9 групп объектов Ethernet, стоит весьма дорого, то производители для снижения стоимости коммутатора часто реализуют только первые несколько групп объектов RMON MIB. Другим при­емом снижения стоимости коммутатора является использование одного агента RMON для нескольких портов. Такой агент по очереди подключается к нужному порту, позволяя снять с него требуемые статистические данные.

Управление виртуальными сетями

Виртуальные локальные сети VLAN порождают проблемы для традиционных систем управления на платформе SNMP как при их создании, так и при наблю­дении за их работой.

Как правило, для создания виртуальных сетей требуется специальное программ­ное обеспечение компании-производителя, которое работает на платформе систе­мы управления, например HP Open View. Сами платформы систем управления этот процесс поддержать не могут в основном из-за долгого отсутствия стандарта на виртуальные сети. Можно надеяться, что появление стандарта 802.1Q изменит ситуацию в этой области.

Наблюдение за работой виртуальных сетей также создает проблемы для традици­онных систем управления. При создании карты сети, включающей виртуальные сети, необходимо отображать как физическую структуру сети, так и ее логическую струк­туру, соответствующую связям отдельных узлов виртуальной сети. При этом по же­ланию администратора система управления должна уметь отображать соответствие логических и физических связей в сети, то есть на одном физическом канале должны отображаться все или отдельные пути виртуальных сетей.

К сожалению, многие системы управления либо вообще не отображают вирту­альные сети, либо делают это очень неудобным для пользователя способом, что вынуждает обращаться к менеджерам компаний-производителей для решения этой задачи.

Выводы

* Мониторинг и анализ сети представляют собой важные этапы контроля работы сети. Для выполнения этих этапов разработан ряд средств, применяемых авто­номно в тех случаях, когда применение интегрированной системы управления экономически неоправданно.

» В состав автономных средств мониторинга и анализа сети входят встроенные средства диагностики, анализаторы протоколов, экспертные системы, сетевые анализаторы, кабельные сканеры и тестеры, многофункциональные приборы.

» Анализаторы протоколов чаще всего представляют собой специальное программ­ное обеспечение для персональных компьютеров и ноутбуков, которое перево­дит сетевой адаптер компьютера в режим «беспорядочного» захвата всех кадров. Анализатор протоколов выполняет декодирование захваченных кадров для вло­женных пакетов протоколов всех уровней, включая прикладной.

630 Глава 7 • Средства анализа и управления сетями

* Сетевые анализаторы представляют собой прецизионные приборы для серти­фикации кабельных систем по международным стандартам. Кроме того, эти устройства могут выполнять некоторые функции анализаторов протоколов.

* Кабельные сканеры являются портативными приборами, которые могут измерить электрические параметры кабелей, а также обнаружить место повреждения ка­беля. Кабельные тестеры представляют собой наиболее простые портативные приборы, способные обнаружить неисправность кабеля.

* Многофункциональные портативные приборы сочетают в себе функции ка­бельных сканеров и анализаторов протоколов. Они снабжены многострочны­ми дисплеями, контекстно-чувствительной системой помощи, встроенным микропроцессором с программным обеспечением и позволяют выполнять ком­плексную проверку сегментов сети на всех уровнях, от физического (что не умеют делать анализаторы протоколов), до прикладного. Отличаются от ана­лизаторов протоколов поддержкой только базового набора протоколов локаль­ных сетей.