3. Анализаторы протоколов
С развитием современных локальных (LAN) и глобальных (WAN) сетей, от анализаторов протоколов осталось только название. Первоначально разработанные для слежения за одноуровневыми (многоуровневой модели OSI и вложения протоколов тогда не существовало) глобальными сетями, работающими со скоростями передачи 9600 бит в секунду и менее, первые анализаторы протоколов были не более чем устройствами для захвата и декодирования сигнала. В содержимом декодированных фреймов (кадров) приходилось разбираться пользователю.
Современные анализаторы протоколов должны декодировать множество протоколов одновременно на скоростях немыслимых 15 лет назад. Помимо детального анализа протоколов современные приборы должны следить за сетью и собирать подробную статистику о ее работе. Последнее поколение анализаторов протоколов предоставляет возможность всестороннего слежения как за производительностью и загруженностью всей сети, так и за функционированием отдельного приложения индивидуального пользователя. Анализаторы протоколов имеют определенные преимущества перед другими технологиями: анализ и нахождение неисправностей по ходу работы, оценка производительности при планировании сети и решение проблем функционирования сетевых приложений, что недоступно для систем удаленного контроля и управления сетью.
Стоимость анализаторов протоколов колеблется от нескольких сотен до десятков тысяч долларов. С первого раза правильный выбор сделать нелегко, а посему, вооружимся знаниями.
Программные анализаторы для локальных сетей (LAN).
На низшей ступени анализаторов LAN находятся программные анализаторы. Цена получается низкой за счет применения ПО, работающего под обычной операционной системой и использования имеющейся сетевой карты. Прогресс в производительности компьютеров и характеристиках чипсетов для сетевых карт сделал программные анализаторы жизнеспособными в низко и среднезагруженных сетях.
Для сетей Ethernet и Token Ring сетевой адаптер должен поддерживать так называемый беспорядочный режим (Promiscuous Mode) при котором в сети обнаруживаются и передаются для дальнейшего анализа в компьютер все фреймы вне зависимости от их конечного адреса. Без этого режима сетевой адаптер будет пропускать в компьютер фреймы только со своим MAC-адресом (MAC-адрес -уникальное 48-разрядное число, присваиваемое сетевому адаптеру производителем), что делает анализ малоинформативным. Поскольку программный анализатор – это программа, выполняемая на компьютере, то, по сути дела, все функции анализа выполняет компьютер. Вычислительная мощь компьютера, количество памяти, возможности сетевого адаптера и степень загруженности сети – все это сказывается на характеристиках программного анализатора.
Если локальная сеть полностью загружена, то есть вероятность того, что программный анализатор не будет "видеть" все пакеты в сети, потому что скорости процессора не хватит для анализа каждого из них.
Степень анализа протокола.
Многие программные анализаторы в силу стремления к снижению стоимости не предназначены для глубокого анализа декодированных фреймов. Понимать и использовать информацию, предоставляемую такими анализаторами, способен далеко не каждый пользователь. В любом случае, при обращении в службу поддержки, эта информация не будет лишней. Всегда выбирайте программный анализатор с большей глубиной анализа, даже если Вам кажется, что такие подробности излишни.
Слежение за загруженностью сети и предоставление статистики – еще одна способность качественных программных анализаторов, совсем не лишняя при проведении анализа трафика локальной сети.
В целом, программные анализаторы предоставляют информацию об общей модели трафика, не вдаваясь в дополнительные подробности. Выбирайте программу, которая показывает не только количество IP, IPX или HTTP трафика, но и подробную информацию о модели трафика и протоколах.
Фильтрация: сужение области поиска неисправности. Для сужения области поиска конкретной неисправности пользователь может применить фильтр, который будет пропускать для дальнейшей обработки только определенные фреймы, например, только от какой-то одной рабочей станции. При этом все фреймы поступают в компьютер и обрабатываются на предмет соответствия условиям фильтрации. Соответствующие условиям фреймы записываются в память, остальные – отбрасываются. Этот тип фильтрации требует большой вычислительной мощности процессора.
Ограничения мониторинга: полудуплексные и дуплексные анализаторы. Одним из ограничений, присущих программным анализаторам является невозможность работы в дуплексном режиме, когда прием и передача выполняются одновременно. В случае подключения через концентратор (Hub), пригоден и полудуплексный анализатор.
Все фреймы на входе концентратора передаются на все задействованные порты. Это значит, что анализатор протоколов может быть подключен к любому свободному порту, и будет "видеть" все данные на входе концентратора.
Сложности возникают при использовании в сети коммутаторов (switch). Будучи более "разумным" устройством, чем "широковещательный" концентратор, коммутатор "знает" адреса устройств, подключенных к каждому порту, и передает фреймы только между требуемыми портами. Это позволяет разгрузить другие порты, не передавая на них каждый пакет, как это делает концентратор. В то же время, мы не можем подключить анализатор, поскольку порт занят исследуемым устройством.
Одним из способов решения этой проблемы является присоединение концентратора к порту коммутатора. Тогда трафик по этому порту будет передаваться одновременно и на анализатор протоколов и на устройство.
Если возможно, то концентратор лучше включать в последний используемый порт коммутатора. Порты коммутатора, подключенные к клиентам, обычно менее загружены, чем порты, подключенные к серверам.
Подключение программных анализаторов к коммутаторам сети Ethernet может быть выполнено с помощью концентратора. Этот тип соединения может не работать в некоторых дуплексных средах.
Некоторые программные анализаторы комплектуются специальными сетевыми адаптерами. По сравнению с обычными сетевыми адаптерами такие карты имеют улучшенные возможности по отслеживанию определенных параметров, например, таких как коллизии.
Эти адаптеры не следует путать с настоящими аппаратными анализаторами, поскольку для перехвата и анализа фреймов все еще применяется компьютер.
Аппаратные анализаторы локальных сетей.
Когда необходима высокая производительность и подробный анализ протоколов и трафика, то тогда придется покупать аппаратный анализатор протоколов. Возросшие требования по мониторингу скоростного трафика удовлетворяются применением специализированной аппаратной схемы со встроенным программным обеспечением. В аппаратной схеме применяются процессоры, полностью посвященные задачам перехвата и анализа сетевых данных. В отличие от своих программных "братьев" характеристики перехвата и анализа фреймов у аппаратных анализаторов не зависят от производительности процессора компьютера.
Аппаратная фильтрация: высокопроизводительные фильтры. Аппаратные анализаторы содержат специальные схемы, которые могут быть настроены для фильтрации по определенным условиям, как входящих, так и исходящих фреймов. Эти схемы позволяют избежать посылки на процессор сигналов прерывания, "предлагающих" ему заняться работой по фильтрации, и уменьшают или исключают возможность пропуска необходимых фреймов в сильно загруженных сетях.
Дополнительные функции: Другой важной особенностью качественных аппаратных анализаторов является возможность мониторинга дуплексных сетей Ethernet. Многие сети, особенно те, в которых применяются коммутаторы, могут проверяться только аппаратными анализаторами, способными поддерживать дуплексный режим. Работа в дуплексном режиме не исключает возможности подключения аппаратного анализатора к стандартному порту концентратора.
Благодаря специализированным аппаратным схемам становится возможной разработка ПО, расширяющего возможности анализаторов. Это могут быть долговременный мониторинг приложений и экспертные системы, работающие в реальном времени. При покупке аппаратного анализатора, обращайте внимание на предоставляемые им возможности. Не все из них могут Вам понадобиться сегодня, но потребности меняются с развитием технологий и лучше сейчас немного переплатить за прибор, способный "расти" вместе с Вашей сетью, чем через несколько лет покупать новый.
Некоторые программные анализаторы поддерживают многосегментный анализ. При этом производится мониторинг более чем одного сегмента сети одновременно. Например, обе стороны маршрутизатора, локальная и глобальная, могут отслеживаться одновременно для анализа трафика, проходящего через маршрутизатор. Если Вы сталкиваетесь с неисправностями маршрутизации, коммутирования и временными задержками, то многосегметный анализ поможет проверить правильность маршрутизации или коммутации и обнаружить чрезмерные задержки при передаче пакетов.
Архитектура: концепции построения. Аппаратные анализаторы бывают двух основных типов. В первом случае анализатор представляет собой самодостаточный прибор, в котором содержится все необходимое для работы: от интерфейсных карт до клавиатуры и дисплея. Недостатком такого подхода является отсутствие гибкости: возможности ограничены предусмотренным набором, модернизация прибора и адаптация к новым технологиям затруднены.
Во втором случае анализатор изготавливается в виде отдельного блока, который подключается к персональному компьютеру (ноутбуку). Это позволяет использовать уже имеющийся компьютер для управления анализатором. Полученная информация сохраняется на жестком диске компьютера и может быть просмотрена позже без необходимости включения анализатора. Облегчается передача информации в расположенные на компьютере приложения по составлению отчетов и отсылка этой информации по электронной почте.
Другое преимущество внешнего анализатора, управляемого компьютером, заключается в его стоимости. Производитель анализаторов со встроенным компьютером тратит время и деньги на разработку компьютера, в то время как, возможно, компьютер даже с лучшими параметрами у Вас уже есть.
Некоторые производители делают сетевые адаптеры, которые в действительности представляют собой аппаратные анализаторы. Обычно они выполнены в виде PCI-карты и содержат процессор и другие цепи, предназначенные для выполнения анализа. Это не значит, что все PCI-анализаторы являются аппаратными. Отличить аппаратный анализатор от программного можно по месту сбора и обработки данных.
Анализаторы глобальных сетей (WAN).
В силу специфики работы глобальных сетей программных анализаторов для них не существует. По своей природе глобальные сети двунаправлены. Это значит, что аппаратура передачи данных (data communications equipment, DCE) и оконечное оборудование (data terminal equipment, DTE) имеют один приемник и один передатчик. Кроме того, для приложений WAN часто необходим специализированный интерфейс, учитывающий множество скоростей и оконечных устройств. Для мониторинга трафика в обоих направлениях анализатор должен следить как за стороной передачи, так и за стороной приема. Для этого необходимо иметь два приемника. Обычно подключение WAN-анализатора выполняется “Y” кабелем.
При слежении за трафиком WAN-анализатор должен "понимать" различные типы инкапсуляций (вложений протоколов), применяемых в сети. Таких как PPP, frame relay, SDLC и т.д. Помните, что Ваша сеть может измениться, поэтому WAN-анализатор должен легко модернизироваться.
При покупке WAN-анализатора необходимо рассматривать его совместимость с LAN-анализатором. Если в будущем Вам понадобится LAN-анализатор, то лучше чтобы оборудование было сделано по общему принципу, работало "в команде". В этом случае возможности анализа у такой пары будут выше, чем у суммы разнородных приборов. Обращайте внимание на такие инструменты, как декодирующие протокол приложения и согласующийся вид графиков и диаграмм на LAN и WAN-анализаторах.
Распределенные анализаторы. Распределенные анализаторы предназначены для проведения анализа в ключевых точках по всей сети. Идея состоит в том, чтобы разместить анализаторы в различных сегментах сети и управлять ими удаленно, из одного места. Распределенные анализаторы могут быть как аппаратными, так и программными для локальных сетей, и только аппаратными для глобальных. Программные анализаторы часто размещают на компьютерах пользователей и в случае необходимости запускают их в фоновом режиме. Работникам информационно-управляющей системы (MIS) надо только подключиться и запустить анализатор. В зависимости от потребностей количество "агентов" распределенного анализатора может составлять от двух до нескольких сотен. При выборе компьютеров для размещения "агентов" следует руководствоваться определенными соображениями. Выбирайте компьютеры, которые не будут выключены. Некоторые пользователи устанавливают компьютеры, полностью посвященные работе приложений анализатора. Это гарантирует постоянный доступ и исключает возможность изменения конфигурации таким образом, что это остановит работу "агента". Кроме того, характеристики анализатора будут лучше, если на компьютере одновременно не будут запускаться конкурирующие приложения.
Блоки аппаратного анализатора размещают в различных местах по всей сети. Аппаратные анализаторы часто применяются как для обычного мониторинга сети, так и для анализа. Текущее состояние сети можно сравнивать с данными собранными ранее, что позволяет увидеть отклонения в степени загруженности сети и принять меры раньше, чем возникнут проблемы.
Если Вы собираетесь устанавливать распределенный анализатор в сети, то продумайте способ подключения и управления блоками. Помимо подключения через локальную сеть надо предусмотреть подключение по телефонной линии. Распределенный анализатор, к которому невозможно подключиться по причине выхода сети из строя, принесет мало пользы.
Распределенный аппаратный анализатор должен поддерживать метод сегментированной коммутации. Используя матричные коммутаторы, пользователь может подключить анализатор к множеству портов концентратора или коммутатора и удаленно выбирать порт для мониторинга. Это исключает необходимость покупки большого количества анализаторов. Матричные коммутаторы доступны для поддержки всех видов локальных и глобальных сетей.
Многие пользователи выбирают комбинацию аппаратных и программных анализаторов в распределенной системе. Аппаратные анализаторы размещают в критически важных участках, таких как магистраль Ethernet или линия ATM или frame relay глобальной сети. Они дополняются распределенными программными анализаторами, работающими на компьютерах, подключенных к менее критическим участкам Ethernet. Убедитесь, что ключевые приложения, такие как механизм декодирования протоколов, работают одинаково как в аппаратном, так и в программном анализаторах.
Часто программные анализаторы размещают на компьютерах пользователей в ключевых сегментах по всей сети, а аппаратные анализаторы устанавливают возле маршрутизаторов и коммутаторов в помещении для оборудования. Этот способ выгоден тем, что обеспечивает низкую стоимость анализа индивидуальных сегментов и, в то же время, помещает мощь аппаратных анализаторов в то место, где от них будет максимум пользы.
Оборудование для диагностики и сертификации кабельных систем
К оборудованию данного класса относятся сетевые анализаторы, приборы для сертификации кабелей, кабельные сканеры и тестеры.
Основные электромагнитные характеристики кабельных систем
Основными электрическими характеристиками, влияющими на работу кабеля, являются: затухание, импеданс (волновое сопротивление), перекрестные наводки двух витых пар и уровень внешнего электромагнитного излучения.
Перекрестные наводки между витыми парами или NearEndCrosstalk (NEXT) - представляют собой результат интерференции электромагнитных сигналов, возникающих в двух витых парах. Один из кабелей витой пары является передающим, а второй - приемным. При прохождении сигнала по одному из кабелей, например передающему, в приемном кабеле возникают перекрестные наводки. Величина NEXT зависит от частоты передаваемого сигнала - чем выше величина NEXT, тем лучше (для категории 5 NEXT должен быть не менее 27 Дб при частоте 100 Мгц, для кабеля категории 3 на частоте 10 МГц NEXT должен быть не менее 26 Дб).
Затухание (Attenuation) - представляет собой потерю амплитуды электрического сигнала при его распространении по кабелю. Затухание имеет два основных источника: электрические характеристики кабеля и поверхностный эффект. Последний объясняет зависимость затухания от частоты. Затухание измеряется в децибелах на метр. Для кабеля категории 5 при частоте 100 Мгц затухание не должно превышать 23.6 Дб на 100 м, а для кабеля категории 3, применяемого по стандарту IEEE 802.3 10BASE-T, допустимая величина затухания на сегменте длиной 100 м не должна превышать 11,5 Дб при частоте переменного тока 10 МГц.
Импеданс (волновое сопротивление) - это полное (активное и реактивное) сопротивление в электрической цепи. Импеданс измеряется в омах и является относительно постоянной величиной для кабельных систем. Для неэкранированной витой пары наиболее часто используемые значения импеданса - 100 и 120 Ом. Характерные значения импеданса для сетей стандарта Ethernet на коаксиальном кабеле составляют 50 Ом, а для сетей стандарта Arcnet - 93 Ом. Резкие изменения импеданса по длине кабеля могут вызвать процессы внутреннего отражения, приводящие к возникновению стоячих волн. Рабочая станция, подключенная к кабелю вблизи узла стоячей волны, не сможет получать адресованные ей сообщения.
Активное сопротивление - это сопротивление постоянному току в электрической цепи. В отличие от импеданса активное сопротивление не зависит от частоты и возрастает с увеличением длины кабеля. Для неэкранированной витой пары категории 5 активное сопротивление не должно превышать 9.4 Ом на 100 м.
Емкость - это свойство металлических проводников накапливать энергию. Два электрических проводника в кабеле, разделенные диэлектриком, представляют собой конденсатор, способный накапливать заряд. Емкость является нежелательной величиной, поэтому ее следует делать как можно меньше. Высокое значение емкости в кабеле приводит к искажению сигнала и ограничивает полосу пропускания линии. Для кабельных систем категории 5 значение емкости не должно превышать 5.6нФ на 100 м.
Уровень внешнего электромагнитного излучения, или электрический шум- это нежелательное переменное напряжение в проводнике. Электрический шум бывает двух типов: фоновый и импульсный. Электрический шум можно также разделить на низко-, средне- и высокочастотный. Источниками фонового электрического шума являются в диапазоне до 150 КГц линии электропередачи, телефоны и лампы дневного света; в диапазоне от 150 КГц до 20 Мгц компьютеры, принтеры, ксероксы; в диапазоне от 20 Мгц до 1 ГГц - телевизионные и радиопередатчики, микроволновые печи. Основными источниками импульсного электрического шума являются моторы, переключатели и сварочные агрегаты. Электрический шум измеряется в мВ. Кабельные системы на витой паре не сильно подвержены влиянию электрического шума (в отличие от влияния NEXT).
Сетевые анализаторы
Сетевые анализаторы (не следует путать их с анализаторами протоколов) представляют собой эталонные измерительные инструменты для диагностики и сертификации кабелей и кабельных систем.
Сетевые анализаторы содержат высокоточный частотный генератор и узкополосный приемник. Передавая сигналы различных частот в передающую пару и измеряя сигнал в приемной паре, можно измерить затухание и NEXT. Сетевые анализаторы - это прецизионные крупногабаритные и дорогие (стоимостью более $20'000) приборы, предназначенные для использования в лабораторных условиях специально обученным техническим персоналом.
Кабельные сканеры
Данные приборы позволяют определить длину кабеля, затухание, импеданс, схему разводки, уровень электрических шумов и провести оценку полученных результатов. Цена на эти приборы варьируется от $1'000 до $3'000. Существует достаточно много устройств данного класса. В отличие от сетевых анализаторов сканеры могут быть использованы не только специально обученным техническим персоналом, но даже администраторами-новичками.
Для определения местоположения неисправности кабельной системы (обрыва, короткого замыкания, неправильно установленного разъема и т.д.) используется метод "кабельного радара", или TimeDomainReflectometry (TDR). Суть этого метода состоит в том, что сканер излучает в кабель короткий электрический импульс и измеряет время задержки до прихода отраженного сигнала. По полярности отраженного импульса определяется характер повреждения кабеля (короткое замыкание или обрыв). В правильно установленном и подключенном кабеле отраженный импульс совсем отсутствует.
Точность измерения расстояния зависит от того, насколько точно известна скорость распространения электромагнитных волн в кабеле. В различных кабелях она будет разной. Скорость распространения электромагнитных волн в кабеле (NVP - nominalvelocityofpropagation) обычно задается в процентах к скорости света в вакууме. Современные сканеры содержат в себе электронную таблицу данных о NVP для всех основных типов кабелей и позволяют пользователю устанавливать эти параметры самостоятельно после предварительной калибровки.
Кабельные тестеры
Системы управления сетью как с использованием, так и без использования RMON, сетевые мониторы и анализаторы протоколов - все они бесполезны на физическом уровне, если не оснащены оборудованием для диагностики проводки. Если контакты на панели переключений замкнуты неправильно или кабель перехлестнулся, то высокоуровневые устройства управления могут лишь сообщить симптомы.
Такие проблемы реально обнаружить и устранить только на месте и с помощью тех или иных приборов для замеров проводки. К счастью, все большее распространение структурированной проводки и преобладание топологий типа "звезда" для 10BaseT Ethernet и Token Ring позволили свести к минимуму количество связанных с проводкой проблем.
Портативные диагностические инструменты
Некоторые изготовители оборудования для тестирования проводки поднялись выше физического уровня стека протоколов. Изготавливаемые ими портативные диагностические приборы обладают достаточной вычислительной мощью для того, чтобы взять на себя часть задач, выполняемых инструментами для мониторинга сети. Обычно они предлагают меню с предопределенными тестами для стандартных особых ситуаций, например совпадения IP-адресов или неправильных типов кадров. Их преимущества над анализаторами протоколов - простота и небольшая величина. Относительным недостатком же является то, что пользователю все равно придется прибегнуть к помощи инструментов для анализа протоколов, поскольку портативные тестеры не в силах правильно определить нестандартную проблему.
Портативные тестеры не собирают и не декодируют пакеты. Многие из них, однако, осуществляют тестирование кабеля, так что один переносной инструмент способен диагностировать многие из часто возникающих в сети особых ситуаций.