Зміст:
1. Моніторинг та аналіз локальних мереж
2. Класифікація засобів моніторингу і аналізу
2.1 Аналізатори протоколів
2.2 Мережеві аналізатори
3. Протокол SNMP
3.1 Відмінності SNMPv 3
3.2 Безпека в SNMPv 3
3.3 Недоліки протоколу SNMP
1. Моніторинг та аналіз локальних мереж
Постійний контроль за роботою локальної мережі, що становить основу будь-якої корпоративної мережі, необхідний для підтримки її в працездатному стані. Контроль - це необхідний перший етап, який повинен виконуватися при управлінні мережею. Зважаючи на важливість цієї функції її часто відокремлюють від інших функцій систем управління і реалізують спеціальними засобами. Такий поділ функцій контролю і власне управління корисно для невеликих і середніх мереж, які обов'язково потрібно інтегрованої системи управління економічно недоцільна. Використання автономних засобів контролю допомагає адміністратору мережі виявити проблемні ділянки й пристрої мережі, а їх відключення або реконфігурацію він може виконувати в цьому випадку вручну. Процес контролю роботи мережі зазвичай ділять на два етапи - моніторинг і аналіз.
На етапі моніторингу виконується більш проста процедура - процедура збору первинних даних про роботу мережі: статистики про кількість циркулюючих в мережі кадрів та пакетів різних протоколів, стан портів концентраторів, комутаторів і маршрутизаторів і т. п.
Далі виконується етап аналізу, під яким розуміється більш складний і інтелектуальний процес осмислення зібраної на етапі моніторингу інформації, зіставлення її з даними, отриманими раніше, і вироблення припущень про можливі причини повільний або ненадійної роботи мережі.
Завдання моніторингу вирішуються програмними та апаратними вимірниками, тестерами, мережевими аналізаторами, вбудованими засобами моніторингу комунікаційних пристроїв, а також агентами систем управління. Завдання аналізу вимагає більш активної участі людини та використання таких складних засобів, як експертні системи, акумулюючі практичний досвід багатьох мережевих фахівців.
2. Класифікація засобів моніторингу і аналізу
Все різноманіття засобів, що застосовуються для аналізу і діагностики обчислювальних мереж, можна розділити на декілька великих класів.
Агенти систем управління, що підтримують функції однієї зі стандартних MIB (MIB (Management Information Base) - база даних інформацією управління, яка використовується в процесі управління мережею в якості моделі керованого об'єкта в архітектурі агент-менедже) і постачають інформацію по протоколу SNMP або CMIP. Для отримання даних від агентів зазвичай потрібна наявність системи управління, що збирає дані від агентів в автоматичному режимі.
Вбудовані системи діагностики і керування (Embedded systems). Ці системи виконуються у вигляді програмно-апаратних модулів, які встановлюються в комунікаційне обладнання, а також у вигляді програмних модулів, вбудованих в операційні системи. Вони виконують функції діагностики і управління тільки одним пристроєм, і в цьому їх основна відмінність від централізованих систем управління. Прикладом коштів цього класу може служити модуль управління багатосегментний повторювачем Ethernet, який реалізує функції автосигментацією портів при виявленні несправностей, приписування портів внутрішнім сегментами повторювача і деякі інші. Як правило, вбудовані модулі управління «за сумісництвом» виконують роль SNMP-агентів, що поставляють дані про стан пристрої для систем управління.
Аналізатори протоколів (Protocol analyzers). Представляють собою програмні або апаратно-програмні системи, які обмежуються на відміну від систем управління лише функціями моніторингу та аналізу трафіку в мережах. Хороший аналізатор протоколів може захоплювати і декодувати пакети великої кількості протоколів, що застосовуються в мережах, - зазвичай кілька десятків. Аналізатори протоколів дозволяють встановити деякі логічні умови для захоплення окремих пакетів і виконують повне декодування захоплених пакетів, тобто показують у зручній для фахівця формі вкладеність пакетів протоколів різних рівнів одне в одного з розшифровкою змісту окремих полів кожного пакета.
Експертні системи. Цей вид систем акумулює знання технічних фахівців про виявлення причин аномальної роботи мереж і можливі способи приведення мережі у працездатний стан. Експертні системи часто реалізуються у вигляді окремих підсистем різних засобів моніторингу та аналізу мереж: систем управління мережами, аналізаторів протоколів, мережевих аналізаторів. Найпростішим варіантом експертної системи є контекстно-залежна система допомоги. Більш складні експертні системи являють собою, так звані бази знань, що володіють елементами штучного інтелекту. Прикладами таких систем є експертні системи, вбудовані в систему управління Spectrum компанії Cabletron і аналізатора протоколів Sniffer компанії Network General. Робота експертних систем полягає в аналізі великого числа подій для видачі користувачеві короткого діагнозу про причину несправності мережі.
Обладнання для діагностики та сертифікації кабельних систем. Умовно це устаткування можна поділити на чотири основні групи: мережеві монітори, прилади для сертифікації кабельних систем, кабельні сканери та тестери.
Мережеві монітори (звані також мережними аналізаторами) призначені для тестування кабелів різних категорій. Мережеві монітори збирають також дані про статистичні показники трафіку - середньої інтенсивності загального трафіку мережі, середньої інтенсивності потоку пакетів з певним типом помилки і т. п. Ці пристрої є найбільш інтелектуальними пристроями з усіх чотирьох груп пристроїв даного класу, так як працюють не тільки на фізичному , але і на канальному, а іноді і на мережевому рівнях.
Пристрої для сертифікації кабельних систем виконують сертифікацію відповідно до вимог одного з міжнародних стандартів на кабельні системи.
Кабельні сканери використовуються для діагностики мідних кабельних систем.
Тестери призначені для перевірки кабелів на відсутність фізичного розриву. Багатофункціональні портативні пристрої аналізу і діагностики. У зв'язку з розвитком технології великих інтегральних схем з'явилася можливість виробництва портативних приладів, які поєднували б функції декількох пристроїв: кабельних сканерів, мережних моніторів і аналізаторів протоколів.
2.1 Аналізатори протоколів
Аналізатор протоколів представляє собою або спеціалізований пристрій, або персональний комп'ютер, зазвичай переносний, класу Notebook, оснащений спеціальною мережевою картою і відповідним програмним забезпеченням.
Застосовувані мережева карта і програмне забезпечення повинні відповідати технології мережі (Ethernet, Token Ring, FDDI, Fast Ethernet). Аналізатор підключається до мережі, так само, як і звичайний вузол. Відмінність полягає в тому, що аналізатор може приймати всі пакети даних, що передаються по мережі, в той час як звичайна станція - лише адресовані їй. Для цього мережевий адаптер аналізатора протоколів переводиться в режим «безладного» захоплення-promiscuousmode.
Програмне забезпечення аналізатора складається з ядра, що підтримує роботу мережевого адаптера і програмного забезпечення, декодуючого протокол канального рівня, з яким працює мережевий адаптер, а також найбільш поширені протоколи верхніх рівнів, наприклад IP, TCP, ftp, telnet, HTTP, IPX, NCP, NetBEUI , DECnet і т. п. До складу деяких аналізаторів може входити також експертна система, яка дозволяє видавати користувачу рекомендації про те, які експерименти слід проводити в даній ситуації, що можуть означати ті чи інші результати вимірювань, як усунути деякі види несправності мережі.
Аналізатори протоколів мають деякі загальні властивості.
Можливість (крім захоплення пакетів) вимірювання середньостатистичних показників трафіку в сегменті локальної мережі, в якому встановлений мережевий адаптер аналізатора.
Зазвичай вимірюється коефіцієнт використання сегмента, матриці перехресного трафіку вузлів, кількість хороших і поганих кадрів, що пройшли через сегмент.
Можливість роботи з кількома агентами, котрі поставляють захоплені пакети з різних сегментів локальної мережі. Ці агенти найчастіше взаємодіють з аналізатором протоколів за власним протоколу прикладного рівня, відмінному від SNMP або CMIP.
Наявність розвиненого графічного інтерфейсу, що дозволяє представити результати декодування пакетів з різним ступенем деталізації.
Фільтрація захоплюваних і відображаються пакетів. Умови фільтрації задаються в залежності від значення адрес призначення і джерела, типу протоколу або значення певних полів пакету. Пакет або ігнорується, або записується в буфер захоплення. Використання фільтрів значно прискорює і спрощує аналіз, так як виключає захоплення або перегляд непотрібних в даний момент пакетів.
Використання тригерів. Тригери - це задаються адміністратором деякі умови початку і припинення процесу захоплення даних з мережі. Такими умовами можуть бути: час доби, тривалість процесу захоплення, поява певних значень в кадрах даних. Тригери можуть використовуватися спільно з фільтрами, дозволяючи більш детально й тонко проводити аналіз, а також продуктивніше витрачати обмежений обсяг буфера захоплення.
Багатоканальність. Деякі аналізатори протоколів дозволяють проводити одночасний запис пакетів від декількох мережевих адаптерів, що зручно для зіставлення процесів, що відбуваються в різних сегментах мережі.
Можливості аналізу проблем мережі на фізичному рівні у аналізаторів протоколів мінімальні, оскільки всю інформацію вони отримують від стандартних мережевих адаптерів.
Тому вони передають і узагальнюють інформацію фізичного рівня, яку повідомляє їм мережевий адаптер, а вона багато в чому залежить від типу мережного адаптера.
Деякі мережні адаптери повідомляють більш детальні дані про помилки кадрів та інтенсивності колізій у сегменті, а деякі взагалі не передають таку інформацію верхнім рівням протоколів, на яких працює аналізатор протоколів.
З поширенням серверів Windows NT все більш популярним стає аналізатор Network Monitor фірми Microsoft. Він є частиною сервера управління системою SMS, а також входить в стандартну поставку Windows NT Server, починаючи з версії 4.0 (версія з усіченими функціями). Network Monitor у версії SMS є багатоканальним аналізатором протоколів, оскільки може отримувати дані від кількох агентів Network Monitor Agent, що працюють у середовищі Windows NT Server, однак в кожний момент часу аналізатор може працювати тільки з одним агентом, так що зіставити дані різних каналів з його допомогою не вдасться. Network Monitor підтримує фільтри захоплення (досить прості) і дисплейні фільтри, що відображають потрібні кадри після захоплення (більш складні). Експертною системою Network Monitor не має.
2.2 Мережеві аналізатори
Мережеві аналізатори являють собою еталонні вимірювальні прилади для діагностики та сертифікації кабелів і кабельних систем. Вони можуть з високою точністю виміряти всі електричні параметри кабельних систем, а також працюють на більш високих рівнях стека протоколів. Мережеві аналізатори генерують синусоїдальні сигнали в широкому діапазоні частот, що дозволяє вимірювати на приймальні парі амплітудно-частотну характеристику та перехресні наведення, згасання і сумарне загасання. Мережевий аналізатор є лабораторний прилад великих розмірів, досить складний у зверненні.
Багато виробників доповнюють мережеві аналізатори функціями статистичного аналізу трафіку - коефіцієнта використання сегмента, рівня широкомовного трафіку, відсотка помилкових кадрів, а також функціями аналізатора протоколів, які забезпечують захоплення пакетів різних протоколів відповідно до умов фільтрів і декодування пакетів.
Мережева статистика
У цій групі зібрані найбільш важливі статистичні показники - коефіцієнт використання сегмента (utilization), рівень колізій, рівень помилок і рівень широкомовного трафіку. Перевищення цими показниками певних порогів в першу чергу говорять про проблеми в тому сегменті мережі, до якого підключений багатофункціональний прилад.
Статистика помилкових кадрів
Ця функція дозволяє відстежувати всі типи помилкових кадрів для певної технології. Наприклад, для технології Ethernet характерні такі типи помилкових кадрів.
Укорочені кадри (Short frames). Це кадри, що мають довжину, менше допустимої, тобто менше 64 байт. Іноді цей тип кадрів диференціюють на два класи - просто короткі кадри (short), у яких є коректна контрольна сума, і «коротуна» (runts), не мають коректної контрольної суми. Найбільш ймовірними причинами появи укорочених кадрів є несправні мережеві адаптери і їх драйвери.
Подовжені кадри (Jabbers). Це кадри, що мають довжину, що перевищує допустиме значення в 1518 байт з гарною чи поганою контрольною сумою. Подовжені кадри є наслідком тривалої передачі, яка з'являється з-за несправностей мережевих адаптерів.
Кадри нормальних розмірів, але з поганою контрольною сумою (Bad FCS) і кадри з помилками вирівнювання по межі байта. Кадри з невірною контрольною сумою є наслідком безлічі причин - поганих адаптерів, перешкод на кабелях, поганих контактів, некоректно працюють портів повторювачів, мостів, комутаторів і маршрутизаторів. Помилка вирівнювання завжди супроводжується помилкою за контрольною сумою, тому деякі засоби аналізу-трафіку не роблять між ними відмінностей. Помилка вирівнювання може бути наслідком припинення передачі кадру при розпізнаванні колізії передавальним адаптером.
Кадри-привиди (ghosts) є результатом електромагнітних наведень на кабелі. Вони сприймаються мережевими адаптерами як кадри, які не мають нормального ознаки початку кадру - 10101011. Кадри-примари мають довжину більше 72 байт, в іншому випадку вони класифікуються як вилучені колізії. Кількість виявлених кадрів-примар у великій мірі залежить від точки підключення мережевого аналізатора. Причинами їх виникнення є петлі заземлення та інші проблеми з кабельної системою.
Знання процентного розподілу загальної кількості помилкових кадрів за їх типами може багато чого підказати адміністратору про можливі причини неполадок у мережі. Навіть невеликий відсоток помилкових кадрів може призвести до значного зниження корисної пропускної спроможності мережі, якщо протоколи, що відновлюють спотворені кадри, працюють з великими тайм-аутами очікування квитанцій. Вважається, що у нормально працюючій мережі відсоток помилкових кадрів не повинен перевищувати 0,01%, тобто не більше 1 помилкового кадру з 10 000.
Статистика по колізій
Ця група характеристик дає інформацію про кількість і видах колізій, позначених на сегменті мережі, дозволяє визначити наявність і місцезнаходження проблеми. Аналізатори протоколів зазвичай не можуть дати диференційованої картини розподілу загального числа колізій за їх окремими типами, в той же час знання переважаючого типу колізій може допомогти зрозуміти причину поганої роботи мережі.
Нижче наведені основні типи колізій мережі Ethernet.
Локальна колізія (Local Collision). Є результатом одночасної передачі двох або більше вузлів, що належать до того сегменту, в якому виконуються вимiрювання. Якщо багатофункціональний прилад не генерує кадри, то в мережі на кручений парі або волоконно-оптичному кабелі локальні колізії не фіксуються. Занадто високий рівень локальних колізій є наслідком проблем з кабельною системою.
Дистанційна колізія (Remote Collision). Ці колізії відбуваються на іншій стороні повторювача (по відношенню до того сегменту, в якому встановлений вимірювальний прилад). У мережах, побудованих на багатопортовий повторювачах (10Base-T, 10Base-FL/FB, 100Base-TX/FX/T4, Gigabit Ethernet), всі вимірювані колізії є віддаленими (крім тих випадків, коли аналізатор сам генерує кадри і може бути винуватцем колізії ). Не всі аналізатори протоколів та засоби моніторингу однаковим чином фіксують видалені колізії. Це відбувається через те, що деякі вимірювальні засоби і системи не фіксують колізії, що відбуваються при передачі преамбули.
Пізня колізія (Late Collision). Це колізія, яка відбувається після передачі перших 64 байт кадру (за протоколом Ethernet колізія повинна виявлятися при передачі перших 64 байт кадру). Результатом пізньої колізії буде кадр, який має довжину більше 64 байт і містить невірне значення контрольної суми. Найчастіше це вказує на те, що мережевий адаптер, який є джерелом конфлікту, виявляється не в змозі правильно прослуховувати лінію і тому не може вчасно зупинити передачу. Іншою причиною пізньої колізії є занадто велика довжина кабельної системи або занадто велика кількість проміжних повторювачів, що приводить до перевищення максимального значення часу подвійного обороту сигналу. Середня інтенсивність колізій у нормально працюючій мережі повинна бути менше 5%. Великі сплески (більше 20%) можуть бути індикатором кабельних проблем.
Розподіл використовуваних мережних протоколів
Ця статистична група належить до протоколів мережевого рівня. На дисплеї з'явиться список основних протоколів у спадному порядку щодо процентного співвідношення кадрів, що містять пакети даного протоколу до загальної кількості кадрів в мережі.
Основні відправники (Top Sendes)
Функція дозволяє відстежувати найбільш активні передавальні вузли локальної мережі. Прилад можна налаштувати на фільтрацію по єдиному адресою і виявити список основних відправників кадрів для даної станції. Дані відображаються на дисплеї у вигляді діаграми разом із переліком основних відправників кадрів.
Основні получотелі (Top Receivers)
Функція дозволяє стежити за найбільш активними вузлами-одержувачами мережі. Інформація відображається у вигляді, аналогічному наведеною вище.
Основні генератори широкомовного трафіку (Top Broadcasters)
Функція виявляє станції мережі, які більше за інших генерують кадри з широкомовними і груповими адресами.
Генерування трафіку (Traffic Generation)
Прилад може генерувати трафік для перевірки роботи мережі при підвищеному навантаженні. Трафік може генеруватися паралельно з активовано Мережева статистика, Статистика помилкових кадрів і Статистика по колізій.
Користувач може задати параметри генерується трафіку, такі як інтенсивність і розмір кадрів. Для тестування мостів і маршрутизаторів прилад може автоматично створювати заголовки IP-і IPX-пакетів, і все що потрібно від оператора - це внести адреси джерела і призначення.
У ході випробувань користувач може збільшити на ходу розмір і частоту проходження кадрів за допомогою клавіш управління курсором. Це особливо цінно при пошуку джерела проблем продуктивності мережі і умов виникнення відмов.
3. Протокол SNMP
Всю необхідну інформацію протокол SNMP отримує з бази керуючої інформації (ManagementInformationBase, MIB). MIB представляє собою базу даних стандартизованої структури. База даних має деревоподібну структуру, а всі змінні класифіковані за тематикою. Кожне піддерево містить певну тематичну підгрупу змінних. Найбільш важливі компоненти, що відповідають за роботу мережевих вузлів, об'єднані в підгрупі MIB-II.
Існують два типи MIB: стандартні і фірмові. Стандартні MIB визначені комісією з діяльності Інтернет (Internet Activity Board, IAB), а фірмові - виробником пристрою.
У таблиці 1 наведено список найбільш поширених стандартів баз керуючої інформації.
Таблиця 1
База
Призначення
MIB-II
Задає безліч об'єктів, які можуть бути використані для управління мережевими інтерфейсами.
MIB повторювача
Включено до підмножина MIB-II. Встановлює об'єкти, які можна використовувати для управління повторювачем.
MIB мосту
Включено до підмножина MIB-II.
Визначає об'єкти даних, які можна використовувати для управління мостом.
RMON MIB
Вказує об'єкти даних, які можна використовувати для управління мережею в цілому, за допомогою протоколу RMON.
У базах даних, зазначених у таблиці 1, присутня безліч змінних, які можуть бути корисні для діагностування мережі і мережевих пристроїв.
Наприклад, використовуючи MIB-II, можна отримати відомості про загальну кількість пакетів, переданих мережевим інтерфейсом, а за допомогою MIB повторювача можна дізнатися інформацію про кількість колізій в порту.
У MIB кожен об'єкт має ім'я і тип. Назва об'єкту характеризує його становище в дереві MIB. При цьому ім'я дочірнього вузла включає в себе ім'я батьківського вузла і задається цілим числом.
3.1 Відмінності SNMPv 3
SNMP - протокол прикладного рівня. Він призначений для обміну інформацією між мережевими пристроями. За допомогою цього протоколу, мережевий адміністратор може виробляти аналіз мережевого устаткування, знаходити і вирішувати безліч мережевих проблем.
У Грудні 1997 року з виходом SNMPv 3, користувачам стали доступні нові служби, такі як: обмеження доступу, захист даних і аутентифікація користувача.
Крім цього, варто відзначити, що SNMPv 3 перейняв модульну архітектуру від своїх попередників. Це забезпечує підтримку попередніх версій SNMP і, не дивлячись на те, що SNMPv 1 і SNMPv 2 не підтримують аутентифікацію і шифрування, у Вас буде можливість керування пристроями, які підтримують ці версії.
При створенні нової версії розробники керувалися такими принципами:
необхідно забезпечити більшу безпеку протоколу (особливо для операцій типу SET);
SNMPv 3 повинен мати можливість подальшого розвитку та розширення;
протокол повинен залишитися простим і зрозумілим;
налаштування параметрів безпеки SNMPv 3 повинні бути максимально простими;
У SNMPv 3 вже не застосовуються терміни «агент» і «менеджер», тепер використовуються терміни «сутності». Як і раніше одна сутність знаходиться на керованому пристрої, а друга займається опитуванням додатків.
У сутностей-агентів і сутностей-менеджерів тепер є ядро, яке виконує чотири основні функції (див. Малюнок 1):
1.Функция диспетчера;
2.обработка повідомлень;
3.Функції безпеки;
4.Контроль доступу.
Диспетчер - це проста система управління вхідним і вихідним трафіком. Для кожного вихідного блоку даних (PDU) він визначає тип необхідної обробки (SNMPv 1, SNMPv 2, SNMPv 3) і передає блок даних відповідного модуля в системі обробки повідомлень.
Після того як система обробки повідомлень поверне повідомлення, яке містить цей блок даних, Диспетчер відправить його на транспортний рівень для подальшої передачі. Для вхідних повідомлень, Диспетчер проводить зворотну операцію.
Система обробки повідомлень отримує від Диспетчера вихідні блоки даних (PDU), додає до них відповідний заголовок і повертає їх назад Диспетчеру.
Система безпеки відповідає за шифрування і аутентифікацію. Всі вихідні повідомлення перед відправкою спочатку передаються із системи обробки повідомлень в систему безпеки, де всі шифруються поля в заголовку повідомлення, блок даних (PDU), генерується код аутентифікації і додається до заголовку повідомлення.
Після цього повідомлення передається назад у систему обробки повідомлень. Точно така ж операція, але в зворотному порядку проводиться для всіх вхідних повідомлень.
Система контролю доступу управляє службами аутентифікації для контролю доступу до MIB виходячи з вмісту блоків даних. (PDU). Теоретично, система контролю доступу може працювати з різними моделями контролю доступу, але на даний момент в RFC 2275 описана тільки одна модель - VACM (View - BasedAccessControlModel)
Таблиця 2 - Основні методи SNMP
Метод
Для чого застосовується
Підтримується
GET
Використовується менеджером для отримання даних з MIB. Розмір повідомлення обмежений можливостями агента.
SNMPv1-3
GET-NEXT
Метод дозволяє послідовно виконати набір команд іполучіть набір значень з MIB
SNMPv1-3
GET-BULK
Використовується менеджером для отримання відразу великої кількості даних з MIB. Розмір повідомлення посиланого агентом не обмежений.
SNMPv2, SNMPv3
SET
Використовується менеджером для установки значень в MIB агента
SNMPv1-3
GET-RESPONSE
SNMPv1-3
TRAP
Використовується агентом щоб послати сигнал менеджеру
SNMPv1-3