27.06.2011 Нейт Мак-Алмонд

Я остановил свой выбор на трех кандидатах: WhatsUp Gold Premium компании Ipswitch, OpManager Professional компании ManageEngine и ipMonitor компании SolarWinds. Стоимость каждого из этих сетевых сканеров не превышает 3000 долл. (за 100 устройств), и при этом у каждого из них есть пробный период эксплуатации, в течение которого вы можете бесплатно протестировать выбранный продукт

Я работаю в компании среднего размера, и мы уже около семи лет используем одну и ту же систему мониторинга сети. Она предоставляет нашим администраторам базовую информацию о доступности серверов и служб, а также отправляет текстовые сообщения SMS на наши мобильные телефоны в случае возникновения проблем. Я пришел к выводу, что необходимо обновить систему или по крайней мере добавить эффективное средство, способное обеспечить более высокую производительность и предоставлять подробную информацию о состоянии серверов терминалов, систем Exchange и SQL, размещенных в вашей сети. . Давайте сравним наших кандидатов.

Процесс обнаружения

Для подготовки к тестированию в первую очередь необходимо было включить службу SNMP на всех устройствах, включая серверы Windows. Изменив настройки службы SNMP, я установил доступ с привилегией «только чтение» на всех устройствах, которые должен охватывать процесс мониторинга. В системах Windows Server 2003/2000 служба SNMP устанавливается с помощью мастера Windows Components, размещенного в панели Add/Remove Programs, а в системе Windows Server 2008 компоненты SNMP добавляются с помощью мастера Server Manager. После завершения работы мастера необходимо запустить оснастку Services, расположенную в папке Control Panel, и настроить службу SNMP - это несложно. Управляемые сетевые устройства, такие как межсетевые экраны, коммутаторы, маршрутизаторы и принтеры, также имеют средства управления службой SNMP, и обычно процесс настройки представляет собой достаточно простую операцию. Дополнительную информацию о службе SNMP можно получить из документа «Simple Network Managment Protocol» (technet.microsoft.com/en-us/library/bb726987.aspx).

Далее я установил все три системы мониторинга на одну из двух своих рабочих систем с Windows XP SP3. После установки каждая система состояла из двух частей: базы данных и веб-сервера. Управление каждой из выбранных систем через веб-интерфейс может выполняться несколькими администраторами, и у вас есть возможность настроить учетные записи с различными уровнями доступа. Общим для трех систем является и то, что каждый пользователь имеет возможность добавлять, удалять и перемещать панели в своей рабочей области. Панели отображают однотипные данные, такие как загрузка процессора или использование памяти для различных устройств в сети.

Перед тем как начать сканирование сети (так называемый процесс обнаружения), я задал параметры учетной записи, которую каждая система должна использовать для получения доступа к устройствам, обнаруженным в сети. Как показано в сравнительной таблице, система Ipswitch WhatsUp Gold Premium позволяет настроить учетную запись для работы со службами SNMP, WMI, Telnet, SSH, ADO и VMware. Система ManageEngine OpManager Professional позволяет работать по протоколам SNMP, WMI, Telnet, SSH и URL, а система SolarWinds ipMonitor - по протоколам SNMP, WMI и URL.

После настройки службы SNMP на сетевых устройствах и учетных записей (Windows и SNMP) для каждой из систем сетевого мониторинга я запустил процесс обнаружения для диапазона IP-адресов в своей локальной сети. Все системы обнаружили около 70 устройств. Используя настройки сканирования, заданные по умолчанию, тестируемые системы хорошо показали себя при идентификации типов устройств, а также представили подробную информацию о состоянии устройств. Все три системы содержат сенсоры для основных рабочих характеристик устройств и серверов, таких как: загрузка процессора, использование памяти, использование/наполненность диска, потери/задержки пакетов, состояние служб Exchange, Lotus, Active Directory и всех служб Windows. Каждая из систем имела возможность добавлять сенсоры как для отдельных устройств, так и для больших групп устройств.

Пакеты OpManager и WhatsUp Gold имеют интерфейс для идентификации и сбора событий службы VMware с серверов и гостевых систем. Кроме того, оба продукта располагают функцией опроса диспетчера портов коммутатора, которая показывает, какие устройства подсоединены к различным портам управляемых коммутаторов. Полученная информация поможет определить, через какой порт коммутатора осуществляется соединение с определенным бизнес-приложением, при этом нет необходимости вручную выполнять трассировку кабелей в серверных комнатах. В дальнейшем вы можете настроить оповещения для определенных портов коммутатора. При работе с пакетом OpManager для получения результатов опроса портов достаточно выбрать коммутатор и запустить инструмент Switch Port Mapper - система вернет результаты за несколько секунд. Аналогичное средство, входящее в состав WhatsUp Gold, называется MAC Address, его необходимо запускать с отмеченным параметром Get Connectivity. На получение результата в системе WhatsUp Gold уходит больше времени, так как она пытается просканировать устройства и собрать информацию о подключениях по всей сети.

Ipswitch WhatsUp Gold Premium

Ipswitch WhatsUp Gold Premium
ЗА: обеспечивает наиболее точные результаты среди трех конкурентов, позволяет создавать собственные сенсоры, предоставляет комплексные средства мониторинга систем VMware, интегрируется с AD.
ПРОТИВ: меньшее количество встроенных сенсоров и более высокая стоимость по сравнению с конкурентами (если приобретать лицензию менее чем на 500 устройств).
ОЦЕНКА: 4,5 из 5.
ЦЕНА: 7495 долл. за 500 устройств, 2695 долл. за 100 устройств, 2195 долл. за 25 устройств.
РЕКОМЕНДАЦИИ : я рекомендую WhatsUp Gold IT подразделениям, обслуживающим крупные среды VMware, или желающим создавать собственные сенсоры.
КОНТАКТНАЯ ИНФОРМАЦИЯ: Ipswitch, www.ipswitch.com

При работе с системами IpMonitor и OpManager я время от времени сталкивался с непонятными показаниями, которые ставили меня в тупик. В системе IpMonitor в рабочих панелях могли отображаться отрицательные значения, когда уровень загрузки процессора значительно снижался. В другом случае при загруженности процессора близкой к нулю система IpMonitor прислала мне уведомление, что процессор задействован на 11,490%! Система OpManager, отслеживая и присылая мне корректную информацию об использовании дисков контроллеров домена, при этом в некоторых случаях не включала ни один из контроллеров в список 10 серверов с максимальным использованием дискового пространства. При этом соседняя панель извещала о том, что один из моих контроллеров домена должен быть даже не в десятке, а в тройке. При использовании WhatsUp Gold я не сталкивался с подобными ситуациями. Система WhatsUp Gold отслеживает загруженность ядер процессоров в своих панелях, и, когда я сравнил результаты из панелей WhatsUp Gold с показаниями средства Windows Performance Monitor, они в точности совпали по каждому из ядер. Аналогично, информация об использовании жестких дисков корректно передавалась на все соответствующие приложения рабочей области.

Система WhatsUp Gold имеет встроенную библиотеку сенсоров, которая позволяет создавать новые сенсоры на основе существующих. Крупные организации могут найти эту возможность полезной, так как она позволяет создавать единые наборы сенсоров для мониторинга различных типов устройств - это наиболее эффективной способ настраивать сенсоры для группы устройств.

Система WhatsUp Gold не имеет сенсоров для устройств отдельных производителей (за исключением сенсора для источников питания APC UPS), в отличие от пакета OpManager, использующего собственные сенсоры для устройств Dell, HP и IBM, но зато позволяет создавать сенсоры типа Active Script. Данный тип позволяет разрабатывать собственные процессы мониторинга с помощью языков программирования VBScript и JScript. Сенсорам Active Script посвящен центр онлайн-поддержки, в котором пользователи системы WhatsUp Gold могут получать и загружать готовые сценарии.

Единственное улучшение, которое мне бы хотелось добавить в систему WhatsUp Gold, касается интерфейса (экран 1), в основном из-за того, что он слишком линейный. Например, понадобится до 5 щелчков на кнопках Cancel и Close, чтобы вернуться из окна Active Monitor Library обратно к рабочей области. Также в системе WhatsUp Gold отсутствует сенсор (если, конечно, не написать его вручную), проверяющий состояние сайта, а он может быть необходим, особенно в случаях, когда сайт размещен на стороннем сервере и другие пути доступа к нему отсутствуют.

Экран 1. Интерфейс WhatsUp Gold Premium

Для обработки ситуаций, когда устройства находятся в нерабочем состоянии в течение некоторого времени, можно настроить отправку уведомлений каждые 2, 5 и 20 минут. Таким образом можно привлечь внимание администратора к отсутствию откликов от важнейших узлов в течение определенного времени.

WhatsUp Gold является единственной из рассматриваемых систем, которая обладает возможностью интеграции в окружение LDAP, - данный момент может быть принципиальным при выборе решения для крупных сетей.

ManageEngine OpManager

ManageEngine OpManager
ЗА: лучший пользовательский интерфейс среди трех продуктов; больше встроенных сенсоров, чем в двух других системах; самая низкая цена при покупке лицензии на 50 и менее устройств.
ПРОТИВ: в ходе тестов не все показатели устройств отображались корректно; возможно, потребуется потратить время на отладку, чтобы сделать систему полностью функциональной.
ОЦЕНКА: 4,5 из 5.
ЦЕНА: 1995 долл. за 100 устройств, 995 долл. за 50 устройств, 595 долл. за 25 устройств.
РЕКОМЕНДАЦИИ: ИТ-подразделения, желающие получить максимальное количество встроенных возможностей (за исключением интеграции в AD), оценят систему OpManager Professional. При покупке лицензий в диапазоне 26–50 устройств ее стоимость почти вдвое ниже стоимости двух других продуктов.
КОНТАКТНАЯ ИНФОРМАЦИЯ: ManageEngine, www.manageengine.com

После установки системы OpManager я обнаружил, что она отличается простотой настройки огромного числа функций и удобством перемещения между ними. В OpManager предусмотрена возможность отправки (наряду с электронными письмами и SMS) сообщений типа Direct Message для учетной записи в системе Twitter - приятная альтернатива электронной почте. Подобное использование учетных записей Twitter позволяет мне быть в курсе происходящего в сети, но, так как мой телефон не звонит при доставке сообщений из системы Twitter, я параллельно хочу получать текстовые уведомления о наиболее важных событиях. Я могу просматривать информацию о достижении пороговых значений на любом сервере с помощью сообщений Twitter и, таким образом, иметь журнал текущих событий в сети, но не обязательно использовать данную схему для передачи предупреждений о критических ситуациях.

В дополнение к стандартным сенсорам, система OpManager предлагает технологии мониторинга производительности по протоколу SNMP, разработанные поставщиками для таких устройств, как Dell Power-Edge, HP Proliant и IBM Blade Center. OpManager также может быть интегрирован с Google Maps API, благодаря чему вы сможете добавлять свои устройства на карту Google. Однако для этого придется приобрести учетную запись Google Maps API Premium (если вы не планируете сделать свою карту сети общедоступной) в соответствии с условиями лицензирования бесплатной версии системы Google Maps API.

Для обработки ситуаций, когда администратор получает предупреждение, но никак не реагирует на него в течение определенного времени, в системе OpManager можно настроить отправку дополнительного предупреждения другому администратору. Например, сотрудник, обычно отвечающий за обработку критических событий для определенной группы серверов, может оказаться занят или болен. На такой случай имеет смысл настроить дополнительное предупреждение, которое привлечет внимание другого администратора, если первое предупреждение не было просмотрено или сброшено в течение заданного количества часов/минут.

Среди трех рассматриваемых продуктов только система OpManager имела раздел, предназначенный для мониторинга качества обменов VoIP в глобальной сети. Для использования инструментов мониторинга VoIP необходимо, чтобы устройства, как в сети источника, так и в сети назначения, поддерживали технологию Cisco IP SLA. Кроме того, система OpManager, интерфейс которой показан на экране 2, включает в себя больше сенсоров и рабочих панелей, чем любой из конкурирующих продуктов.

Экран 2. Интерфейс OpManager Professional

SolarWinds ipMonitor

SolarWinds ipMonitor
ЗА: неограниченное количество устройств по очень низкой цене; простота в использовании.
ПРОТИВ: отсутствует механизм согласования действий администраторов.
ОЦЕНКА: 4 из 5.
ЦЕНА: 1995 долл. - количество устройств не ограничено (25 сенсоров бесплатно).
РЕКОМЕНДАЦИИ: если бюджет ограничен, а вам необходимо организовать мониторинг большого числа устройств, если процесс мониторинга не требует сложных решений и вам подходит внесистемный подход к согласованию действий администраторов, система компании SolarWinds - ваш выбор.
КОНТАКТНАЯ ИНФОРМАЦИЯ: SolarWinds, www.solarwinds.com

После первого знакомства с системой ipMonitor ее интерфейс, изображенный на экране 3, показался мне весьма запутанным. Я чуть не вечность потратил на то, чтобы найти место, где настраивается частота проверки системой отдельных системных сенсоров (по умолчанию опрос выполнялся каждые 300 секунд). Однако после использования ipMonitor в течение нескольких недель я обнаружил, что эта система чрезвычайно проста в применении и обладает достаточными возможностями для качественного мониторинга сети. С помощью ipMonitor можно настроить сканирование «по умолчанию» таким образом, что любая служба или параметр производительности будут всегда включены в будущие процессы сканирования. Вдобавок к стандартным (и названным выше) сенсорам, система ipMonitor предлагает сенсор журнала событий Windows, который можно использовать для отправки предупреждений при обнаружении критических событий.

Экран 3. Интерфейс SolarWinds ipMonitor

С другой стороны, система ipMonitor не имеет механизмов отслеживания/назначения адресатов предупреждений. Это не имеет значения, если в компании один администратор сети, но более крупные ИТ-подразделения, скорее всего, сочтут существенным недостатком неспособность системы подтверждать получение предупреждений, назначать адресатов и сбрасывать предупреждения. Если администраторы забывают координировать свои действия вне системы, возможны ситуации, когда несколько администраторов получают одно и то же предупреждение и начинают работать над одной и той же проблемой. Впрочем, для разрешения подобных конфликтов достаточно разработать согласованный алгоритм реагирования на предупреждения - например, если разделить ответственность за сетевые устройства между администраторами, то не будет возникать вопросов о том, кто должен заняться решением той или иной проблемы.

Время принимать решение

Я уже решил для себя, какой из трех продуктов больше подойдет к моему окружению. Я остановился на системе ManageEngine OpManager с лицензией на 50 устройств по нескольким причинам.

Прежде всего, мне нужна возможность отслеживать максимальное количество параметров своего окружения, так как это лучший способ избежать неожиданных отказов. В данном вопросе система OpManager, безусловно, впереди конкурентов. Вторая причина - бюджет. Я могу продолжать использовать наши старые средства мониторинга, работающие по принципу «включено/выключено», для рабочих станций и принтеров, и таким образом избежать затрат на дополнительные лицензии. Наконец, мне действительно понравился подход, использованный сотрудниками ManageEngine при разработке OpManager, позволяющий задействовать преимущества новых технологий, и я считаю полностью оправданными затраты на приобретение годового пакета обслуживания и поддержки, позволяющего загружать обновления, появляющиеся по мере развития продукта.

Нейт Мак-Алмонд ([email protected]) - директор по ИТ в агентстве по оказанию социальных услуг, имеет сертификаты MCSE, Security и Network+, специализируется на решениях с тонкими клиентами и медицинских базах данных

Введение

В последние годы информационные технологии претерпевают значительные и постоянные изменения. По некоторым оценкам, за последние пять лет объем сетевого трафика локальных сетей вырос в десять раз. Таким образом, локальные сети должны обеспечивать все большую пропускную способность и необходимый уровень качества обслуживания. Однако какие бы ресурсы ни имела сеть, они все-таки конечны, поэтому для сети необходима возможность управления трафиком.

А для того чтобы управление было максимально эффективным, требуется возможность контроля над пакетами, передающимися между устройствами вашей сети. Также у администратора существует великое множество обязательных для исполнения ежедневных операций. Это, например, проверка правильности функционирования электронной почты, просмотр регистрационных файлов на предмет выявления ранних признаков неисправностей, контроль за подключением локальных сетей и за наличием системных ресурсов. И здесь на помощь могут прийти средства, применяемые для мониторинга и анализа вычислительных сетей.

Чтобы не запутаться в многообразии методик, средств и продуктов, созданных для мониторинга, начнем с краткого описания нескольких крупных классов этих продуктов.

Системы управления сетью (Network Management Systems). Это централизованные программные системы, которые собирают данные о состоянии узлов и коммуникационных устройств сети, а также о трафике, циркулирующем в сети. Эти системы не только осуществляют мониторинг и анализ сети, но и выполняют в автоматическом или полуавтоматическом режиме действия по управлению сетью - включение и отключение портов устройств, изменение параметров мостов адресных таблиц мостов, коммутаторов и маршрутизаторов и т.п. Примерами систем управления могут служить популярные системы HPOpenView, SunNetManager, IBMNetView.

Средства управления системой (System Management). Средства управления системой часто выполняют функции, аналогичные функциям систем управления, но по отношению к другим объектам. В первом случае объектом управления является программное и аппаратное обеспечение компьютеров сети, а во втором - коммуникационное оборудование. Вместе с тем некоторые функции этих двух видов систем управления могут дублироваться, например средства управления системой могут выполнять простейший анализ сетевого трафика.

Встроенные системы диагностики и управления (Embedded systems). Эти системы выполняются в виде программно-аппаратных модулей, устанавливаемых в коммуникационное оборудование, а также в виде программных модулей, встроенных в операционные системы. Они выполняют функции диагностики и управления только одним устройством, и в этом их основное отличие от централизованных систем управления. Примером средств этого класса может служить модуль управления концентратором Distrebuted 5000, реализующий функции автосегментации портов при обнаружении неисправностей, приписывания портов внутренним сегментам концентратора и некоторые другие. Как правило, встроенные модули управления «по совместительству» выполняют роль SNMP-агентов, поставляющих данные о состоянии устройства для систем управления.

Анализаторы протоколов (Protocol analyzers). Представляют собой программные или аппаратно-программные системы, которые ограничиваются, в отличие от систем управления, лишь функциями мониторинга и анализа трафика в сетях. Хороший анализатор протоколов может захватывать и декодировать пакеты большого количества применяемых в сетях протоколов - обычно несколько десятков. Анализаторы протоколов позволяют установить некоторые логические условия для захвата отдельных пакетов и выполняют полное декодирование захваченных пакетов, то есть показывают в удобной для специалиста форме вложенность пакетов протоколов разных уровней друг в друга с расшифровкой содержания отдельных полей каждого пакета.

Экспертные системы. Системы этого вида аккумулируют человеческие знания о выявлении причин аномальной работы сетей и возможных способах приведения сети в работоспособное состояние. Экспертные системы часто реализуются в виде отдельных подсистем различных средств мониторинга и анализа сетей: систем управления сетями, анализаторов протоколов, сетевых анализаторов. Простейшим вариантом экспертной системы является контекстно-зависимая help-система. Более сложные экспертные системы представляют собой так называемые базы знаний, обладающие элементами искусственного интеллекта. Примером такой системы является экспертная система, встроенная в систему управления Spectrum компании Cabletron.

Многофункциональные устройства анализа и диагностики. В последние годы в связи с повсеместным распространением локальных сетей возникла необходимость разработки недорогих портативных приборов, совмещающих функции нескольких устройств: анализаторов протоколов, кабельных сканеров и даже некоторых возможностей ПО сетевого управления. В качестве примера такого рода устройств можно привести Compas компании Microtest, Inc. или 675 LANMeter компании FlukeCorp.

Системы управления

В последнее время в области систем управления наблюдаются две достаточно четко выраженные тенденции:

1. Интеграция в одном продукте функций управления сетями и системами. (Несомненное достоинство этого подхода - единая точка управления системой. Недостаток заключается в том, что при большой нагрузке на сеть сервер с установленной программой мониторинга может не справляться с обработкой всех пакетов и, в зависимости от продукта, либо игнорировать часть пакетов, либо становиться «узким местом» системы.).
2. распределенность системы управления, при которой в системе существует несколько консолей, собирающих информацию о состоянии устройств и систем и выдающих управляющие действия. (Здесь все наоборот: задачи мониторинга распределены между несколькими устройствами, но возможны дублирование одних и тех же функций и несогласованность между управляющими воздействиями разных консолей.)

Зачастую системы управления выполняют не только функции мониторинга и анализа работы сети, но и включают функции активного воздействия на сеть - управления конфигурацией и безопасностью (см. врезку).

Протокол управления сетями SNMP

Большинству специалистов, занимающихся построением сетей и их управлением, нравится концепция стандартов. Это вполне объяснимо, ведь стандарты позволяют им выбирать поставщика сетевой продукции на основании таких критериев, как уровень сервиса, цена и эксплуатационные характеристики продукции, вместо того чтобы быть «прикованными» к фирменному решению одного производителя. Самая большая на сегодня сеть - Интернет - основана на стандартах. С целью координации усилий по их разработке для этой и других использующих протоколы TCP/IP сетей была создана Инженерная проблемная группа Интернет (IETF).

Наиболее распространенным протоколом управления сетями является протокол SNMP (SimpleNetworkManagementProtocol), который поддерживают сотни производителей. Главные достоинства протокола SNMP - простота, доступность, независимость от производителей. Протокол SNMP разработан для управления маршрутизаторами в сети Интернет и является частью стека TCP/IP.

What is MIB - Man In Black?

Если речь идет об инструментах мониторинга корпоративной сети, то за этой аббревиатурой скрывается термин Management Information Base. Для чего нужна эта база данных?

SNMP - это протокол, используемый для получения от сетевых устройств информации об их статусе, производительности и характеристиках, которые хранятся в специальной базе данных сетевых устройств, называемой MIB. Существуют стандарты, определяющие структуру MIB, в том числе набор типов ее переменных (объектов в терминологии ISO), их имена и допустимые операции с этими переменными (например, читать). Наряду с другой информацией в MIB могут храниться сетевой и/или MAC-адреса устройств, значения счетчиков обработанных пакетов и ошибок, номера, приоритеты и информация о состоянии портов. Древовидная структура MIB содержит обязательные (стандартные) поддеревья; кроме того, в ней могут находиться частные (private) поддеревья, позволяющие изготовителю интеллектуальных устройств реализовать какие-либо специфические функции на основе его специфических переменных.

Агент в протоколе SNMP - это обрабатывающий элемент, который обеспечивает менеджерам, размещенным на управляющих станциях сети, доступ к значениям переменных MIB и таким образом предоставляет им возможность реализовать функции по управлению и наблюдению за устройством.

Полезным добавлением к функциональным возможностям SNMP является спецификация RMON, обеспечивающая удаленное взаимодействие с базой MIB. До появления RMON протокол SNMP не мог использоваться удаленным образом, он допускал только локальное управление устройствами. Однако RMON лучше всего действует в разделяемых сетях, где он способен контролировать весь трафик. Но если в сети присутствует коммутатор, фильтрующий трафик таким образом, что он становится невидим для порта, если не предназначен для устройства, связанного с этим портом, или не исходит из этого устройства, то данные вашего зонда пострадают.

Во избежание этого производители снабдили некоторыми функциями RMON каждый порт коммутатора. Это более масштабируемая система, чем система постоянного опроса всех портов коммутатора.

Анализаторы протоколов

В ходе проектирования новой или модернизации старой сети часто возникает необходимость в количественном измерении некоторых характеристик сети, таких, например, как интенсивность потоков данных по сетевым линиям связи, задержки, возникающие на различных этапах обработки пакетов, времяреакции на запросы того или иного вида, частота возникновения определенных событий и др.

В этой непростой ситуации вы можете использовать разные средства и прежде всего - средства мониторинга в системах управления сетью, которые уже обсуждались в предыдущих разделах статьи. Некоторые измерения на сети могут быть выполнены и встроенными в операционную систему программными измерителями, примером тому служит компонент ОС WindowsNTPerformanceMonitor. Эта утилита была разработана для фиксации активности компьютера в реальном масштабе времени. С ее помощью можно определить большую часть «узких мест», снижающих производительность.

В основе PerformanceMonitor - ряд счетчиков, фиксирующих такие характеристики, как число процессов, ожидающих завершения операции с диском, число сетевых пакетов, передаваемых в единицу времени, процент использования процессора и др.

Но наиболее совершенным средством исследования сети является анализатор протоколов. Процесс анализа протоколов включает захват циркулирующих в сети пакетов, реализующих тот или иной сетевой протокол, и изучение содержимого этих пакетов. Основываясь на результатах анализа, можно осуществлять обоснованное и взвешенное изменение каких-либо компонентов сети, оптимизацию ее производительности, поиск и устранение неполадок. Очевидно, что для того, чтобы можно было сделать какие-либо выводы о влиянии некоторого изменения на сеть, необходимо выполнить анализ протоколов до и после внесения изменения.

Обычно процесс анализа протоколов занимает довольно много времени (до нескольких рабочих дней) и включает в себя следующие этапы:

1. Захват данных.
2. Просмотр захваченных данных.
3. Анализ данных.
4. Поиск ошибок.
5. Исследование производительности. Рассчет коэффициента использования пропускной способности сети или среднего времени реакции на запрос.
6. Подробное исследование отдельных участков сети. Содержание работ на этом этапе зависит от результатов, полученных при анализе сети.

На этом можно закончить рассмотрение теоретических моментов, которые необходимо учитывать при построении системы мониторинга вашей сети, и перейти к рассмотрению программных продуктов, созданных для анализа работы корпоративной сети и контроля за ней.

Продукты для мониторинга и анализа

Сравнительный обзор систем управления HPOpenView и CabletronSpectrum

Каждый комплект рассмотренных в этом разделе приложений разбивает управление сетью примерно на четыре области. Первая - это интеграция комплекта в общую инфраструктуру управления сетью, что подразумевает поддержку различных типов устройств того же производителя.

Следующая функциональная область - это средства конфигурирования и управления отдельными сетевыми устройствами, такими как концентратор, коммутатор или зонд.

Третья область - это средства глобального управления, которые отвечают уже за группирование устройств и организацию связей между ними, например приложения генерации схемы сетевой топологии.

Темой этой статьи является четвертая функциональная область - мониторинг трафика. И хотя средства конфигурирования ВЛВС и глобальное управление являются довольно важными аспектами сетевого администрирования, в отдельной сети Ethernet формальные процедуры управления сетью внедрять, как правило, нецелесообразно. Достаточно провести тщательное тестирование сети после инсталляции и время от времени проверять уровень нагрузки.

Хорошая платформа для систем управления корпоративными сетями должна обладать следующими качествами:

• масштабируемостью;
• истинной распределенностью в соответствии с концепцией «клиент/сервер»;
• открытостью, позволяющей справиться с разнородным - от настольных компьютеров до мэйнфреймов - оборудованием.

Первые два свойства тесно связаны. Хорошая масштабируемость достигается за счет распределенности системы управления. Распределенность здесь означает, что система может включать несколько серверов и клиентов.

Поддержка разнородного оборудования - скорее желаемое, чем реально существующее свойство сегодняшних систем управления. Мы рассмотрим два популярных продукта сетевого управления: Spectrum компании CabletronSystems и OpenView фирмы Hewlett-Packard. Обе эти компании сами выпускают коммуникационное оборудование. Естественно, система Spectrum лучше всего управляет оборудованием компании Cabletron, а OpenView - оборудованием компании Hewlett-Packard.

Если карта сети построена из оборудования других производителей, эти системы начинают ошибаться и принимать одни устройства за другие, а при управлении этими устройствами поддерживают только их основные функции, а многие полезные дополнительные функции, которые отличают данное устройство от остальных, система управления просто не понимает и поэтому не может ими воспользоваться.

Во избежание такой ситуации разработчики систем управления включают поддержку не только стандартных баз MIBI, MIBII и RMONMIB, но и многочисленных частных фирм - производителей MIB. Лидер в этой области - система Spectrum, поддерживающая более 1000 баз MIB различных производителей.

Однако несомненным преимуществом OpenView является ее способность распознавать сетевые технологии любых сетей, работающих по TCP/IP. У Spectrum эта способность ограничивается сетями Ethernet, TokenRing, FDDI, ATM, распределенными сетями, сетями с коммутацией. При увеличении устройств в сети более масштабируемой оказывается Spectrum, где количество обслуживаемых узлов ничем не ограничено.

Очевидно, что, несмотря на наличие слабых и сильных мест у той и другой системы, если в сети преобладает оборудование от какого-либо одного производителя, наличие приложений управления этого производителя для какой-либо популярной платформы управления позволяет администраторам сети успешно решать многие задачи. Поэтому разработчики платформ управления поставляют вместе с ними инструментальные средства, упрощающие разработку приложений, а наличие таких приложений и их количество считаются очень важным фактором при выборе платформы управления.

Системы для сетей широкого класса

Это сектор недорогих систем для не очень критичных к сбоям сетей, в него входят FoundationAgentMulti-Port, Foundation Probe, Foundation Manager производства NetworkGeneral. Они представляют собой законченную систему сетевого мониторинга на базе RMON и включают два типа агентов-мониторов - FoundationAgent и FoundationProbe, а также консоль оператора FoundationManager.

FoundationAgentMulti-Port поддерживает все возможности стандартного SNMP-агента и развитую систему сбора и фильтрации данных, а также позволяет с помощью одного компьютера собирать информацию с сегментов Ethernet или TokenRing.

FoundationProbe - сертифицированный компьютер с сертифицированной сетевой платой и предустановленным программным обеспечением FoundationAgent соответствующего типа. FoundationAgent и FoundationProbe обычно функционируют в безмониторном и бесклавиатурном режиме, поскольку управляются программным обеспечением FoundationManager.

Программное обеспечение консоли FoundationManager поставляется в двух вариантах - для Windows-систем и для UNIX.

Консоль FoundationManager позволяет отображать в графическом виде статистику по всем контролируемым сегментам сети, автоматически определять усредненные параметры сети и реагировать на превышение допустимых пределов параметров (например, запускать программу-обработчик, инициировать SNMP-trap и SNA-alarm), строить по собранным данным RMON графическую динамическую карту трафика между станциями.

Системы для распределенных сетей

Это сектор дорогих систем высшего класса, предназначенных для анализа и мониторинга сетей, предъявляющих максимально возможные требования по обеспечению надежности и производительности. В него входит продукт DistributedSnifferSystem (DSS), который представляет собой систему, состоящую из нескольких распределенных по сети аппаратных компонентов и программного обеспечения, необходимого для непрерывного анализа всех, включая удаленные, сегментов сети.

Система DSS строится из компонентов двух типов - SnifferServer (SS) и SniffMasterConsole (SM). В качестве интерфейсов для взаимодействия с консолью могут быть использованы карты Ethernet, TokenRing или последовательный порт. Таким образом, есть возможность контролировать сегмент практически любой сетевой топологии и использовать различные среды взаимодействия с консолью, включая соединения по модему.

Программное обеспечение SnifferServer состоит из трех подсистем - мониторинга, интерпретации протоколов и экспертного анализа. Подсистема мониторинга представляет собой систему отображения текущего состояния сети, позволяющую получать статистику по каждой из станций и сегментов сетей по каждому из используемых протоколов. Две остальные подсистемы заслуживают отдельного обсуждения.

В функции подсистемы интерпретации протоколов входит анализ захваченных пакетов и как можно более полная интерпретация каждого из полей заголовков пакетов и его содержимого. Компания NetworkGeneral создала самую мощную подсистему подобного типа - ProtocolInterpreter способен полностью декодировать более 200 протоколов всех семи уровней модели ISO/OSI (TCP/IP, IPX/SPX, NCP, DECnetSunNFS, X-Windows, семейство протоколов SNAIBM, AppleTalk, BanyanVINES, OSI, XNS, Х.25, различные протоколы межсетевого взаимодействия). При этом отображение информации возможно в одном из трех режимов - общем, детализированном и шестнадцатеричном.

Основное назначение системы экспертного анализа (ExpertAnalysis) - сокращение времени простоя сети и ликвидация «узких мест» сети посредством автоматической идентификации аномальных явлений и автоматической генерации методов их разрешения.

Система ExpertAnalysis обеспечивает то, что компания NetworkGeneral называет активным анализом. Для понимания этой концепции рассмотрим обработку одного и того же ошибочного события в сети системами традиционного пассивного анализа и системой активного анализа.

Допустим, в сети в 3:00 ночи произошел широковещательный шторм, вызвавший в 3:05 сбой системы создания архивных копий баз данных. К 4:00 шторм прекращается и параметры системы входят в норму. В случае работы в сети системы пассивного анализа трафика пришедшие на работу к 8:00 администраторы не имеют для анализа ничего, кроме информации о втором сбое и, в лучшем случае, общей статистики по трафику за ночь - размер любого буфера захвата не позволит хранить весь трафик, прошедший за ночь по сети. Вероятность ликвидации причины, приведшей к широковещательному шторму, в такой ситуации крайне мала.

А теперь рассмотрим реакцию на те же события системы активного анализа. В 3:00, сразу после начала широковещательного шторма, система активного анализа фиксирует наступление нестандартной ситуации, активирует соответствующий эксперт и фиксирует выданную им информацию о событии и его причинах в базе данных. В 3:05 фиксируется новая нестандартная ситуация, связанная со сбоем системы архивирования, и фиксируется соответствующая информация. В результате в 8:00 администраторы получают полное описание возникших проблем, их причин и рекомендации по устранению этих причин.

Переносные системы анализа и мониторинга

Портативный вариант анализатора, почти аналогичный по своим возможностям DSS, реализован в продуктах серии ExpertSnifferAnalyzer (ESA), известный также как TurboSnifferAnalyzer. При значительно меньшей, чем продукты серии DSS, стоимости ESA предоставляют администратору те же возможности, что и полномасштабная DSS, но только для того сегмента сети, к которой ESA подключен в данный момент. Существующие версии обеспечивают полный анализ, интерпретацию протоколов, а также мониторинг подключенного сегмента сети или линии межсегментной связи. При этом поддерживаются те же сетевые топологии, что и для систем DSS. Как правило, ESA используются для периодической проверки некритичных сегментов сети, на которых нецелесообразно постоянно использовать агент-анализатор.

Анализатор протоколов LANalyser компании Novell

LANalyser поставляется в виде сетевой платы и программного обеспечения, которые необходимо устанавливать на персональном компьютере, либо в виде ПК - с уже установленными платой и программным обеспечением.

LANalyser имеет развитый удобный пользовательский интерфейс, с помощью которого устанавливается выбранный режим работы. Меню ApplicationLANalyser является основным средством настройки режима перехвата и предлагает на выбор варианты набора протоколов, фильтров, инициаторов, аварийных сигналов и т.д. Данный анализатор может работать с протоколами NetBIOS, SMB, NCP, NCPBurst, TCP/IP, DECnet, BanyanVINES, AppleTalk, XNS, SunNFS, ISO, EGP, NIS, SNA и некоторыми другими.

Помимо этого в LANalyser включена экспертная система, оказывающая пользователю помощь в поиске неисправностей.

Заключение

Все вышеперечисленные системы, безусловно, необходимы в сети крупной корпорации, однако слишком громоздки для организаций, в которых число пользователей сети не превышает 200-300 человек. Половина функций системы останутся невостребованными, а счет за дистрибутив испугает главного бухгалтера и руководителя компании. Тем более что контроль за аппаратными неисправностями и «узкими местами» системы в небольшой сети в большинстве случаев вполне по силам одному-двум администраторам и не нуждается в автоматизации.

Тем не менее в сети любого масштаба, на наш взгляд, должна в том или ином виде присутствовать система сетевого анализа, благодаря которой администратору будет гораздо проще управлять своим хозяйством.

КомпьютерПресс 7"2001

Управление и мониторинг ИТ-инфраструктуры – одна из главных задач ИТ-департамента любой компании. Решения HP Software позволят упростить задачу системных администраторов и организовать эффективный контроль сети организации

Современная ИТ-инфраструктура представляет собой сложную гетерогенную сеть, включающую в себя телекоммуникационные, серверные и программные решения разных производителей, работающие на базе различных стандартов. Ее сложность и масштабность определяют высокий уровень автоматизированных средств мониторинга и управления, которые должны использоваться для обеспечения надежной работы сети. Программные продукты HP Software помогут решить задачи мониторинга на всех уровнях, от инфраструктуры (сетевого оборудования, серверов и систем хранения) до контроля качества работы бизнес-сервисов и бизнес-процессов.

Системы мониторинга: какими они бывают?

В современных платформах для мониторинга ИТ существует 3 направления для развития и вывода мониторинга на новый уровень. Первую называют «Мост» («Зонтичная система», «Менеджер менеджеров). Ее концепция заключается в утилизации инвестиций в уже имеющиеся системы, которые выполняют задачи мониторинга отдельных частей инфраструктуры, и превращении самих систем в информационные агенты. Такой подход является логичным развитием обычного мониторинга ИТ инфраструктуры. В качестве предпосылок внедрения системы типа «Мост» может служить принятие ИТ-отделом решения консолидировать разрозненные системы мониторинга для перехода к мониторингу ИТ услуг/систем как чего то целого, разрозненные системы не способные показать всю картину, случай не диагностирования серьезного сбоя приложений, а также большое количество предупреждений и аварийных сигналов, отсутствие единого охвата, приоритезации и выявления причинно-следственной связи.

Результатом внедрения станет автоматизированный сбор всех доступных событий и метрик ИТ-инфраструктуры, сопоставление их состояния и влияния на «здоровье» сервиса. В случае сбоя оператор получит доступ к панели, отображающей корневую причину сбоя с рекомендациями по ее устранению. В случае типового сбоя есть возможность назначить скрипт, автоматизирующей необходимые действия оператора.

Следующая тенденция называется «Аналитика аномалий». Здесь, как и в первом случае, метрики и события собираются из ряда систем инфраструктурного мониторинга, а кроме того, настроен сбор логов ИТ и безопасности. Таким образом, ежеминутно накапливается огромное количество информации, и компания хочет получить преимущества от ее утилизации. Для внедрения «Аналитики аномалий» существует целый ряд причин: сложность своевременного сбора, хранения и анализа всех данных, потребность реактивно устранять неизвестные проблемы, невозможность быстрого определения важной для устранения сбоев информации, сложность выполнения вручную операций поиска отдельных журналов, а также необходимость определения отклонений и повторяющихся сбоев.

Внедрение системы позволит реализовать автоматизированный сбор событий, метрик и логов, хранение этой информации необходимый период времени, а также анализ любой информации, включая журналы, сведения о производительности и данные систем. Помимо этого, станет возможным прогнозирование и разрешение любых типов проблем и предотвращение известных сбоев.

И наконец – «Управление производительностью приложений», или выявление и устранение сбоев в транзакциях конечных пользователей. Такое решение может быть полезным дополнением, работающим в плотном контакте с предыдущими двумя. При этом такая система сама по себе тоже может давать быстрый результат от внедрения. В данном случае в компании есть приложения, важные для бизнеса. При этом важны доступность и качество услуги, одним из ключевых элементов которой является приложение (интернет-банкинг, CRM, биллинг и т. д.). При падении доступности или качества предоставления этого сервиса, как правило, заходит речь о проактивности и быстром восстановлении. Такая система обычно внедряется, когда необходимо повысить доступность сервисов приложений и производительность, а также сократить среднее время восстановления работоспособности. Кроме того, такой подход хорош для устранения лишних затрат и снижения рисков, связанных с соглашением об уровне обслуживания (SLA), и для предотвращения ухода заказчиков (защита бизнеса).

Результаты внедрения в зависимости от главной задачи могут отличаться. В общем случае это позволяет реализовать выполнение типичных действий пользователя «роботом» из разных регионов\сегментов сети, разбор «зеркалированного» трафика, проверку доступности и качества работы сервисов с выявлением узких мест, информирование оператора о необходимости восстановить работоспособность с указанием места деградации. При необходимости становится возможна глубокая диагностика работы приложения для поиска причин систематического ухудшения работы сервисов.

Указанные выше подходы могут быть реализованы с помощью продуктов HP Software, о которых и пойдет речь далее.

«Мост» от HP

HP Operations Bridge представляет новейшее поколение «зонтичных систем мониторинга». Решение объединяет данные мониторинга от собственных агентов, различных модулей мониторинга HP Software и средств мониторинга других разработчиков. Поток событий от всех источников информации накладывается на ресурсно-сервисную модель, к нему применяются корреляционные механизмы для определения того, какие события являются причинами, симптомами и следствиями.

Отдельно следует остановиться на ресурсно-сервисной модели, а точенне моделях, так как таких моделей может не ограниченное количество для анализа информации в разных ракурсах. От ее полноты и актуальности зависит возможность решения выполнять корреляцию потока событий. Для поддержания актуальности моделей используются средства разведки на базе агентов и безагентных технологий, позволяющих получать детальную информацию о компонентах сервиса, взаимосвязях между ними и взаимном влиянии друг на друга. Также есть возможность импорта данных о топологии сервиса из внешних источников – систем мониторинга.

Еще один важный аспект – удобство управления. В сложных и динамично меняющихся средах важно обеспечить подстройку системы мониторинга при изменении структуры систем и добавлении новых сервисов. В Operations Bridge входит компонент Monitoring Automation, который позволяет в автоматическом режиме настраивать системы, вводимые в периметр мониторинга, для чего используются данные о сервисно-ресурсных моделях. Одновременно поддерживается конфигурирование и изменение уже выполненных ранее настроек мониторинга.

Если раньше администраторы могли выполнять одинаковые настройки однотипных компонентов инфраструктуры (например, метрик на Windows, Linux или UNIX-серверах), что требовало немалого времени и усилий, то теперь можно динамично и централизованно настраивать пороговые значения для метрики в разрезе услуги или сервиса.

Аналитика приложений

Использование традиционного подхода к мониторингу подразумевает, что изначально известно, какие параметры контролировать и какие события отслеживать. Растущая сложность и динамика развития ИТ-инфраструктур заставляет искать другие подходы, так как становится все сложнее контролировать все аспекты работы системы.

HP Operations Analytics позволяет собрать и сохранить все данные о работе приложения: лог-файлы, телеметрию, бизнес-метрики и метрики производительности, системные события и т.д., и использовать аналитические механизмы для выявления тенденций и прогнозирования. Решение приводит собранные данные к единому формату и затем, осуществляя контекстный выбор, на основании данных лог-файлов отображает на временной шкале, что, в какой момент и на какой системе происходило. Продукт предоставляет несколько форм визуализации данных (например, интерактивная «тепловая карта» и топология взаимосвязей лог-файлов) и использует функцию помощника для того, чтобы в контексте события или по введенному в строке поиска запросу найти всю совокупность данных, собранных за конкретный период. Это помогает оператору понять, что привело к сбою (или, при использовании данных HP SHA вместе с данными HP OA, сделать соответствующий прогноз), а также выявить как виновника, так и корневую причину случившегося сбоя. HP Operations Analytics дает возможность воспроизвести картину работы сервиса и окружения в момент возникновения сбоя и изолировать его в контексте и времени.

Еще один аналитический инструмент – HP Service Health Analyzer. HP SHA выявляет аномальное поведение контролируемых элементов инфраструктуры с целью предупреждения возможного отказа в предоставлении сервисов или нарушения заданных параметров их предоставления. В продукте применяются специальные алгоритмы статистического анализа данных на основе топологической сервисно-ресурсной модели HP BSM. С их помощью обеспечивается возможность построения профиля нормальных значений параметров производительности, собираемых как с программно-аппаратных платформ, так и с других модулей BSM (например, HP RUM, HP BPM), характеризующих состояние сервисов. В подобные профили вводятся типовые значения параметров с учетом дней недели и времени суток. SHA выполняет исторический и статистический анализ накопленных данных (для понимания сути выявленных данных), а также осуществляет сопоставление с имеющимся динамическим профилем (baselining).

Контроль производительности приложений

Когда речь заходит контроле производительности приложений, следует выделить следующие компоненты решения HP:

• HP Real User Monitoring (HP RUM) – контроль прохождения транзакций реальных пользователей;
• HP Business Process Monitoring (HP BPM) – контроль доступности приложения методом эмуляции действий пользователей;
• HP Diagnostics – контроль прохождения запросов внутри приложения.

HP RUM и HP BPM позволяют оценить доступность приложения с точки зрения конечного пользователя.

HP RUM разбирает сетевой трафик, выявляя в нем транзакции реальных пользователей. При этом можно контролировать обмен данными между компонентами приложения: клиентской частью, сервером приложений и базой данных. Это дает возможность отследить активность пользователей, время обработки различных транзакций, а также определить взаимосвязи между действиями пользователей и бизнес-метриками. Используя HP RUM, операторы службы мониторинга смогут мгновенно получать оперативные уведомления о проблемах в доступности сервисов и информацию об ошибках, с которыми столкнулись пользователи.

HP BPM представляет собой средство активного мониторинга, которое выполняет синтетические пользовательские транзакции, для контролируемых систем неотличимые от реальных. Данные мониторинга HP BPM удобно использовать для расчета реального SLA, так как «робот» выполняет идентичные проверки в одинаковые промежутки времени, обеспечивая постоянный контроль качества обработки типовых (или наиболее критичных) запросов. Настроив пробы для выполнения синтетических транзакций из нескольких точек (например, из разных офисов компании), можно также оценить доступность сервиса для различных пользователей с учетом их расположения и каналов связи. Для эмуляции активности HP BPM использует инструмент Virtual User Generator (VuGen), который также применяется в популярном продукте нагрузочного тестирования HP LoadRunner. VuGen поддерживает огромный спектр различных протоколов и технологий, благодаря чему можно контролировать доступность практически любых сервисов, а также использовать единый набор скриптов для тестирования и мониторинга.
Если же причина сбоев или замедления работы сервиса находится внутри таких технологий, как Java, .NET и т. д., поможет HP Diagnostics.

Решение обеспечивает глубокий контроль Java, .NET, Python на платформах Windows, Linux и Unix. Продукт поддерживает разнообразные сервера приложений (Tomcat, Jboss, WebLogic, Oracle и др.), MiddleWare и базы данных. Специализированные агенты HP Diagnostics устанавливаются на серверах приложений и собирают данные, специфичные для конкретной технологии. Например, для Java-приложения можно увидеть, какие запросы выполняются, какие методы используются и сколько времени тратится на их отработку. Автоматически отрисовывается структура приложения, становится понятно, как задействованы его компоненты. HP Diagnostics позволяет отследить прохождение бизнес-транзакций внутри комплексных приложений, определить узкие места и обеспечить экспертов необходимой информацией для принятия решений.

Дистрибуция решений НР в

Активное сетевое оборудование, должно обеспечивать долгосрочное и бесперебойное функционирование корпоративной сети. Своевременное выявление и устранение неисправностей является залогом успешной и эффективной работы компании. Именно поэтому очень важно уделить особое внимание системе мониторинга, которая бы отслеживала состояние активного оборудования и уведомляла об отклонении от нормальных показателей системного администратора по SMS, e-mail или другим средствам оповещения.

Система мониторинга – это совокупность технических средств, осуществляющих постоянное наблюдение и сбор информации в локальной вычислительной сети на основе анализа статистических данных с целью выявления неисправных или некорректно работающих узлов и оповещения ответственных лиц. Функционал современных систем мониторинга позволяет отслеживать состояние таких сервисов как например:

1) Доступность хоста

Путем периодической отправки запросов ICMP Echo-Request на адрес сетевого устройства

2) Доступность веб-сервера

Путем отправки HTTP запроса на получение страницы

3) Доступность почтовых сервисов

Путем периодической отправки диагностических SMTP сообщений

Кроме того, можно производить замер времени отклика данных сервисов.

Периодические проверки такого рода позволяют быстро определить на каком уровне возникла проблема и незамедлительно приступить к её устранению.

На приведенном выше рисунке показан простейший пример реализации системы мониторинга, контролирующей всего четыре устройства. В реальных же условиях парк активного оборудования может иметь куда больше узлов. Для осуществления грамотного мониторинга проводят объединение разных типов узлов в группы, например группа веб-серверов или группа маршрутизаторов. Такого рода разделение помогает систематизировать статистическую информацию и облегчает процесс наблюдения.

Большинство систем мониторинга позволяют автоматизировать проверку устройств по SNMP и осуществлять диагностику с помощью различных плагинов (в том числе созданных вручную).

Протокол SNMP (Simple Network Management Protocol) - был создан специально для нужд мониторинга сетевого оборудования. Все активные устройства L2 и L3 содержат так называемую Базу информации управления MIB (Management Information Base), в которой находятся основные параметры состояния оборудования. Например, загрузка CPU, статус интерфейсов, объем свободного места и др. Каждой такой записи соответствует уникальный идентификатор OID(Oject IDentifier). Имея нужный идентификатор, можно получить информацию об интересующем параметре по протоколу SNMP. Современные системы мониторинга позволяют автоматизировать данный процесс. Система, по протоколу SNMP, подключается к устройству, опрашивает его по интересующему OID, получает значение параметра и сравнивает его с заданным. Если обнаруживается несоответствие двух данных значений, то системы мониторинга реагирует и запускает процесс оповещения.

Перед непосредственным внедрением системы мониторинга, необходимо провести обследование ЛВС, результатом которого должен стать перечень наблюдаемого оборудования, параметров и утвержденный алгоритм эскалации событий мониторинга. На основе анализа сетевой инфраструктуры заказчика формируются первые решения определяющие архитектуру будущей системы мониторинга.

На следующем этапе осуществляется составление спецификаций и пакета проектной документации, с учетом пожеланий заказчика.

Заключительным этапом является масштабирование системы мониторинга, то есть расширение объема наблюдаемой ИТ-инфраструктуры до необходимого заказчику.

Внедрение системы мониторинга – это важный шаг на пути к полной автоматизации ИТ-инфраструктуры, который ведет к повышению эффективности ее использования. Специалисты нашей компании не раз разрабатывали решения, которые оправдывают ожидания заказчиков и надёжно работают вот уже несколько лет.

Полезна ли Вам эта статья?

Пожалуйста, расскажите почему?

Нам жаль, что статья не была полезна для вас:(Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

РЕФЕРАТ

Настоящий документ является техническим проектом разработки и внедрения системы сетевого мониторинга верхнепышминской городской сети передачи данных общего доступа ООО Геркон. В проекте проведено исследование существующих систем сетевого мониторинга, анализ текущей ситуации на предприятии и обоснован выбор конкретных компонентов системы сетевого мониторинга.

Документ содержит описание проектных решений и спецификации оборудования.

Результатом проектирования являются разработанные решения по внедрению и использованию системы:

§ Полное описание всех этапов проектирования, разработки и внедрения системы;

§ Руководство системного администратора, включающее описание пользовательского интерфейса системы.

Настоящий документ представляет законченные проектные решения и может быть использован для внедрения системы.

ПЕРЕЧЕНЬ ЛИСТОВ ГРАФИЧЕСКИХ ДОКУМЕНТОВ

Таблица 1 - Перечень листов графических документов

	Системы сетевого мониторинга
	Логическая структура сети
	Алгоритм работы ядра сетевого мониторинга и оповещений
	Структура анализатора загрузки сетевых интерфейсов
	Структура сборщика системных журналов событий
	Интерфейс Nagios
	Обобщенная структура системы сетевого мониторинга

ПЕРЕЧЕНЬ УСЛОВНЫХ ОБОЗНАЧЕНИЙ, СИМВОЛОВ И ТЕРМИНОВ

Ethernet - стандарт передачи данных, выпущенный IEEE. Определяет как передавать или получать данные из общей среды передачи данных. Формирует нижний транспортный уровень и используется различными высокоуровневыми протоколами. Обеспечивает скорость передачи данных 10Мбит/сек.

Fast Ethernet - технология передачи данных со скоростью 100Мбит/сек, использующая CSMA/CD метод, как и 10Base-T.

FDDI - Fiber Distributed Data Interface - волоконно-оптический интерфейс распределенной передачи данных - технология передачи данных со скоростью 100Мбит/сек, использующая метод маркерного кольца.

IEEE - Institute of Electrical and Electronic Engineers (Институт инженеров по электротехнике и электронике) - организация, разрабатывающая и публикующая стандарты.

LAN - Local Area Network - локальная сеть, ЛВС.

MAC адрес - Media Access Control - идентификационный номер сетевого устройства, определяемый, как правило, производителем.

RFC - Request for Comments - свод документов, выпускаемых организацией IEEE, и включающих в себя описание стандартов, спецификаций и др.

TCP/IP - Transmission Control Protocol/ Internet Protocol - протокол управления передачей/протокол Internet.

ЛВС - Локальная вычислительная сеть.

ОС - Операционная система.

ПО - Программное обеспечение.

СКС - Структурированная кабельная система.

СУБД - Система управления базами данных.

Тренд - Долговременная статистика, которая позволяет построить так называемую тенденцию.

Утилизация - Загрузка канала или сегмента.

ЭВМ - Электронно-вычислительная машина.

ВВЕДЕНИЕ

Информационная инфраструктура современного предприятия представляет собой сложнейший конгломерат разномасштабных и разнородных сетей и систем. Чтобы обеспечить их слаженную и эффективную работу, необходима управляющая платформа корпоративного масштаба с интегрированными инструментальными средствами. Однако до недавнего времени сама структура индустрии сетевого управления препятствовала созданию таких систем - «игроки» этого рынка стремились к лидерству, выпуская продукты ограниченной области действия, использующие средства и технологии, не совместимые с системами других поставщиков.

Сегодня ситуация меняется к лучшему - появляются продукты, претендующие на универсальность управления всем разнообразием корпоративных информационных ресурсов, от настольных систем до мэйнфреймов и от локальных сетей до ресурсов Сети. Одновременно приходит осознание того, что управляющие приложения должны быть открыты для решений всех поставщиков .

Актуальность данной работы обусловлена тем, что в связи с распространением персональных компьютеров и созданием на их основе автоматизированных рабочих мест (АРМ) возросло значение локальных вычислительных сетей (ЛВС), диагностика которых, является объектом нашего исследования. Предметом исследования являются основные методы организации и проведения диагностики современных компьютерных сетей.

"Диагностика локальной сети" - процесс (непрерывного) анализа состояния информационной сети. При возникновении неисправности сетевых устройств фиксируется факт неисправности, определяется ее место и вид. Сообщение о неисправности передается, устройство отключается и заменяется резервным .

Сетевой администратор, на которого чаще всего ложатся функции по проведению диагностики, должен начинать изучать особенности своей сети уже на фазе ее формирования т.е. знать схему сети и подробное описание конфигурации программного обеспечения с указанием всех параметров и интерфейсов. Для оформления и хранения этой информации подойдут специальные системы документирования сети. Используя их, системный администратор, будет заранее знать все возможные «скрытые дефекты» и «узкие места» своей системы, для того, чтобы в случае возникновения нештатной ситуации знать, с чем связана проблема с оборудованием или программным обеспечением, повреждена программа или к ошибке привели действия оператора.

Сетевому администратору следует помнить, что с точки зрения пользователей качество работы прикладного программного обеспечения в сети оказывается определяющим. Все прочие критерии, такие как число ошибок передачи данных, степень загруженности сетевых ресурсов, производительность оборудования и т. п., являются вторичными. "Хорошая сеть" - это такая сеть, пользователи которой не замечают, как она работает.

Предприятие

Преддипломная практика проходила на предприятии ООО «Геркон» в отделе сопровождения в должности системного администратора. Предприятие предлагает услуги доступа в Интернет в городах Верхняя Пышма и Среднеуральск по технологии Ethernet и коммутируемым (dial-up) каналам с 1993 года и является одним из первых поставщиков услуг Интернет в этих городах. Правила предоставления услуг урегулированы публичной офертой и регламентом.

Научные и производственные задачи подразделения

Отдел сопровождения решает следующий спектр задач в пределах данного предприятия:

§ техническая и технологическая организация предоставления доступа в Интернет по коммутируемым и выделенным каналам;

§ техническая и технологическая организация беспроводного доступа в Интернет;

§ выделение дискового пространства для хранения и обеспечения работы сайтов (хостинг);

§ поддержка работы почтовых ящиков или виртуального почтового сервера;

§ размещение оборудования клиента на площадке провайдера (колокация);

§ аренда выделенных и виртуальных серверов;

§ резервирование данных;

§ развертывание и поддержка корпоративных сетей частных предприятий.

В процессе деятельности и увеличения объемов поставок услуг возникла проблема упреждающего обнаружения неисправных и слабых мест в организации сети, то есть ставилась задача внедрения решения, позволяющего прогнозировать необходимость замены или модернизации участков сети до того, как неисправности отразятся на работе абонентских узлов.

1. СИСТЕМЫ СЕТЕВОГО МОНИТОРИНГА

Несмотря на множество приемов и инструментов обнаружения и устранения неполадок в компьютерных сетях, «почва под ногами» сетевых администраторов все еще остается достаточно зыбкой. Компьютерные сети все чаще включают волоконно-оптические и беспроводные компоненты, наличие которых делает бессмысленным применение традиционных технологий и инструментов, предназначенных для обычных медных кабелей. Вдобавок к нему при скоростях свыше 100 Мбит/с традиционные подходы к диагностике зачастую перестают работать, даже если средой передачи является обычный медный кабель. Однако, возможно, наиболее серьезным изменением в компьютерных сетевых технологиях, с которым пришлось столкнуться администраторам, стал неизбежный переход от сетей Ethernet с разделяемой средой передачи к коммутируемым сетям, в которых в качестве коммутируемых сегментов часто выступают отдельные серверы или рабочие станции.

Правда, по мере осуществления технологических преобразований некоторые старые проблемы решились сами собой. Коаксиальный кабель, в котором выявить электротехнические неисправности всегда было труднее, чем в случае витой пары, становится редкостью в корпоративных средах. Сети Token Ring, главной проблемой которых была их несхожесть с Ethernet (а вовсе не слабость в техническом отношении), постепенно заменяются коммутируемыми сетями Ethernet. Порождающие многочисленные сообщения об ошибках протоколов сетевого уровня протоколы, такие, как SNA, DECnet и AppleTalk, замещаются протоколом IP. Сам же стек протоколов IP стал более стабильным и простым для поддержки, что доказывают миллионы клиентов и миллиарды страниц Web в Internet. Даже закоренелым противникам Microsoft приходится признать, что подключение нового клиента Windows к Internet существенно проще и надежнее установки применявшихся ранее стеков TCP/IP сторонних поставщиков и отдельного программного обеспечения коммутируемого доступа.

Как бы многочисленные современные технологии ни затрудняли выявление неполадок и управление производительностью сетей, ситуация могла бы оказаться еще тяжелее, если бы технология АТМ получила широкое распространение на уровне ПК. Свою положительную роль сыграло и то, что в конце 90-х, не успев получить признание, были отвергнуты и некоторые другие высокоскоростные технологии обмена данными, включая Token Ring с пропускной способностью 100 Мбит/с, 100VG-AnyLAN и усовершенствованные сети ARCnet. Наконец, в США был отклонен очень сложный стек протоколов OSI (который, правда, узаконен рядом правительств европейских стран) .

Рассмотрим некоторые актуальные проблемы, возникающие у сетевых администраторов предприятий.

Иерархическая топология компьютерных сетей с магистральными каналами Gigabit Ethernet и выделенными портами коммутаторов на 10 или даже 100 Мбит/с для отдельных клиентских систем, позволила увеличить максимальную пропускную способность, потенциально доступную пользователям, как минимум в 10--20 раз. Конечно, в большинстве компьютерных сетей существуют узкие места на уровне серверов или маршрутизаторов доступа, поскольку приходящаяся на отдельного пользователя пропускная способность существенно меньше 10 Мбит/с. В связи с этим замена порта концентратора с пропускной способностью 10 Мбит/с на выделенный порт коммутатора на 100 Мбит/с для конечного узла отнюдь не всегда приводит к значительному увеличению скорости. Однако если учесть, что стоимость коммутаторов в последнее время снизилась, а на большинстве предприятий проложен кабель Категории 5, поддерживающий технологию Ethernet на 100 Мбит/с, и установлены сетевые карты, способные работать на скорости 100 Мбит/с сразу после перезагрузки системы, то становится ясно, почему так нелегко сопротивляться искушению модернизации. В традиционной локальной сети с разделяемой средой передачи анализатор протоколов или монитор может исследовать весь трафик данного сегмента сети.

Рис. 1.1 - Традиционная локальная сеть с разделяемой средой передачи и анализатором протоколов

Хотя преимущество коммутируемой сети в производительности иногда почти не заметно, распространение коммутируемых архитектур имело катастрофические последствия для традиционных средств диагностики. В сильно сегментированной сети анализаторы протоколов способны видеть только одноадресный трафик на отдельном порту коммутатора, в отличие от сети прежней топологии, где они могли тщательно исследовать любой пакет в домене коллизий. В таких условиях традиционные инструменты мониторинга не могут собрать статистику по всем «диалогам», потому что каждая «переговаривающаяся» пара оконечных точек пользуется, в сущности, своей собственной сетью.

Рис. 1.2 - Коммутируемая сеть

В коммутируемой сети анализатор протоколов в одной точке может «видеть» только единственный сегмент, если коммутатор не способен зеркально отображать несколько портов одновременно.

Для сохранения контроля над сильно сегментированными сетями производители коммутаторов предлагают разнообразные средства для восстановления полной «видимости» сети, однако на этом пути остается немало трудностей. В поставляемых сейчас коммутаторах обычно поддерживается «зеркальное отображение» портов, когда трафик одного из них дублируется на ранее незадействованный порт, к которому подключается монитор или анализатор.

Однако «зеркальное отображение» обладает рядом недостатков. Во-первых, в каждый момент времени виден только один порт, поэтому выявить неполадки, затрагивающие сразу несколько портов, очень непросто. Во-вторых, зеркальное отражение может привести к снижению производительности коммутатора. В-третьих, на зеркальном порту обычно не воспроизводятся сбои физического уровня, а иногда даже теряются обозначения виртуальных локальных сетей. Наконец, во многих случаях не могут в полной мере зеркально отображаться полнодуплексные каналы Ethernet.

Частичным решением при анализе агрегированных параметров трафика является использование возможностей мониторинга агентов mini-RMON, тем более что они встроены в каждый порт большинства коммутаторов Ethernet. Хотя агенты mini-RMON не поддерживают группу объектов Capture из спецификации RMON II, обеспечивающих полнофункциональный анализ протоколов, они тем не менее позволяют оценить уровень использования ресурсов, количество ошибок и объем многоадресной рассылки.

Некоторые недостатки технологии зеркального отображения портов могут быть преодолены установкой «пассивных ответвителей», производимых, например, компанией Shomiti. Эти устройства представляют собой заранее устанавливаемые Y-коннекторы и позволяют отслеживать с помощью анализаторов протокола или другого устройства не регенерированный, а реальный сигнал .

Следующей актуально проблемой, является проблема с особенностями оптики. Администраторы компьютерных сетей обычно используют специализированное оборудование диагностики оптических сетей только для решения проблем с оптическими кабелями. Обычное стандартное программное обеспечение управления устройствами на базе SNMP или интерфейса командной строки способно выявить проблемы на коммутаторах и маршрутизаторах с оптическими интерфейсами. И только немногие сетевые администраторы сталкиваются с необходимостью проводить диагностику устройств SONET.

Что касается волоконно-оптических кабелей, то причин для возникновения возможных неисправностей в них существенно меньше, чем в случае медного кабеля. Оптические сигналы не вызывают перекрестных помех, появляющихся от того, что сигнал одного проводника индуцирует сигнал на другом -- этот фактор наиболее усложняет диагностическое оборудование для медного кабеля. Оптические кабели невосприимчивы к электромагнитным шумам и индуцированным сигналам, поэтому их не требуется располагать подальше от электромоторов лифтов и ламп дневного света, т. е. из сценария диагностики все эти переменные можно исключить.

Сила сигнала, или оптическая мощность, в данной точке на самом деле является единственной переменной, которую требуется измерить при поиске неисправностей в оптических сетях. Если же можно определить потери сигнала на всем протяжении оптического канала, то можно будет идентифицировать практически любую проблему. Недорогие дополнительные модули для тестеров медного кабеля позволяют проводить оптические измерения.

Предприятиям, развернувшим крупную оптическую инфраструктуру и самостоятельно ее обслуживающим, может понадобиться приобрести оптический временный рефлектометр (Optical Time Domain Reflecto-meter, OTDR), выполняющего те же функции для оптического волокна, что и рефлектометр для медного кабеля (Time Domain Reflectometer, TDR). Прибор действует подобно радару: он посылает импульсные сигналы по кабелю и анализирует их отражения, на основании которых он выявляет повреждения в проводнике или какую-либо другую аномалию, и затем сообщает експерту, в каком месте кабеля следует искать источник проблемы.

Хотя различные поставщики кабельных соединителей и разъемов упростили процессы терминирования и разветвления оптического волокна, для этого по-прежнему требуется некоторый уровень специальных навыков, и при разумной политике предприятие с развитой оптической инфраструктурой вынуждено будет обучать своих сотрудников. Как бы хорошо ни была проложена кабельная сеть, всегда существует возможность физического повреждения кабеля в результате какого-либо неожиданного происшествия .

При диагностике беспроводных локальных сетей стандарта 802.11b также могут возникнуть проблемы. Сама по себе диагностика, столь же проста, как и в случае сетей Ethernet на базе концентраторов, так как беспроводная среда передачи информации разделяется между всеми обладателями клиентских радиоустройств. Компания Sniffer TechНlogies первой предложила решение для анализа протоколов таких сетей с пропускной способностью до 11 Мбит/с, и впоследствии большинство лидирующих поставщиков анализаторов представили аналогичные системы.

В отличие от концентратора Ethernet с проводными соединениями, качество беспроводных клиентских соединений далеко от стабильного. Микроволновые радиосигналы, используемые во всех вариантах локальной передачи, слабы и порой непредсказуемы. Даже небольшие изменения положения антенны могут серьезно сказаться на качестве соединений. Точки доступа беспроводной локальной сети снабжаются консолью управления устройствами, и это часто более действенный метод диагностики, чем посещение клиентов беспроводной сети и наблюдение за пропускной способностью и условиями возникновения ошибок с помощью портативного анализатора.

Хотя проблемы синхронизации данных и установки устройств, возникающие у пользователей персональных цифровых секретарей (PDA), более естественно соответствуют задачам группы технической поддержки, а не обязанностям сетевого администратора, нетрудно предвидеть, что в недалеком будущем многие такие устройства превратятся из отдельных вспомогательных средств, дополняющих ПК, в полноправных сетевых клиентов.

Как правило, операторы корпоративных беспроводных сетей будут (или должны) препятствовать развертыванию чрезмерно открытых систем, в которых любой пользователь, находящийся в зоне действия сети и обладающий совместимой интерфейсной картой, получает доступ к каждому информационному кадру системы. Протокол безопасности беспроводных сетей WEP (Wired Equivalent Privacy) обеспечивает аутентификацию пользователей, гарантию целостности и шифрование данных, однако, как это обычно случается, совершенная система безопасности осложняет анализ причин сетевых неполадок. В защищенных сетях с поддержкой WEP специалисты по диагностике должны знать ключи или пароли, защищающие информационные ресурсы и контролирующие доступ в систему. При доступе в режиме приема всех пакетов анализатор протоколов сможет видеть все заголовки кадров, но содержащаяся в них информация без наличия ключей будет бессмысленной .

При диагностировании туннелированных каналов, которые многие производители называют виртуальными частными сетями с удаленным доступом, возникающие проблемы аналогичны имеющим место при анализе беспроводных сетей с шифрованием. Если трафик не проходит через туннелированный канал, то причину неисправности определить нелегко. Это может быть ошибка аутентификации, поломка на одной из оконечных точек или затор в общедоступной зоне Internet. Попытка использования анализатора протоколов для выявления высокоуровневых ошибок в туннелированном трафике будет пустой тратой сил, потому что содержание данных, а также заголовки прикладного, транспортного и сетевого уровней зашифрованы. Вообще, меры, принимаемые в целях повышения уровня безопасности корпоративных сетей, обычно затрудняют выявление неисправностей и проблем производительности. Межсетевые экраны, proxy-серверы и системы выявления вторжений могут дополнительно осложнить локализацию неполадок .

Таким образом, проблема диагностики компьютерных сетей является актуальной и в конечном счете, диагностирование неисправностей является задачей управления. Для большинства критически важных корпоративных систем, проведение продолжительных восстановительных работ не допустимо, поэтому единственным решением будет использование резервных устройств и процессов, способных взять на себя необходимые функции немедленно после возникновения сбоев. На некоторых предприятиях сети всегда имеют дополнительный резервный компонент на случай сбоя основного, т. е. n х 2 компонентов, где n -- количество основных компонентов, необходимое для обеспечения приемлемой производительности. Если среднее время восстановления (Mean Time To Repair, MTTR) достаточно велико, то может понадобиться еще большая избыточность. Дело в том, что время устранения неисправности предсказать нелегко, а значительные затраты в течение непредсказуемого периода восстановления являются признаком плохого управления.

Для менее важных систем резервирование может оказаться экономически неоправданным, и в этом случае будет целесообразно вкладывать средства в наиболее эффективные инструменты (и в обучение персонала), чтобы максимально ускорить процесс диагностики и устранения неисправностей на предприятии. Кроме того, поддержку определенных систем можно доверить сторонним специалистам, либо привлекая их на предприятие по контракту, либо пользуясь возможностями внешних центров обработки данных, либо обращаясь к провайдерам услуг по сопровождению приложений (Application Service Providers, ASP) или провайдерам услуг управления. Помимо затрат наиболее значительным фактором, влияющим на решение об обращении к услугам сторонних организаций, можно считать уровень компетентности собственного персонала. Сетевые администраторы должны решить, не является ли некоторая конкретная функция настолько тесно связанной со специфическими задачами предприятия, что от стороннего специалиста нельзя будет ожидать более качественного выполнения работы, чем это будет сделано силами служащих компании.

Почти сразу после того, как были развернуты первые корпоративные сети, надежность которых оставляла желать лучшего, производители и разработчики выдвинули концепцию «самовосстанавливающихся сетей». Современные сети, безусловно, надежнее, чем они были в 90-х гг., но не потому, что неполадки стали самоустраняться. Ликвидация сбоев программного обеспечения и аппаратных средств современных сетей все еще требуют вмешательства человека, и в ближайшей перспективе в таком положении дел не предвидится никаких принципиальных изменений. Методы и инструменты диагностики вполне соответствуют современной практике и технологиям, но они еще не достигли такого уровня, который позволил бы значительно сэкономить время сетевых администраторов в их борьбе с неполадками сетей и дефицитом производительности .

1 .1 Программные средства диагностики

Среди программных средств диагностики компьютерных сетей, можно выделить специальные системы управления сетью (Network Management Systems) - централизованные программные системы, которые собирают данные о состоянии узлов и коммуникационных устройств сети, а также данные о трафике, циркулирующем в сети. Эти системы не только осуществляют мониторинг и анализ сети, но и выполняют в автоматическом или полуавтоматическом режиме действия по управлению сетью - включение и отключение портов устройств, изменение параметров мостов адресных таблиц мостов, коммутаторов и маршрутизаторов и т.п. Примерами систем управления могут служить популярные системы HPOpenView, SunNetManager, IBMNetView.

Средства управления системой (System Management) выполняют функции, аналогичные функциям систем управления, но по отношению к коммуникационному оборудованию. Вместе с тем, некоторые функции этих двух видов систем управления могут дублироваться, например, средства управления системой могут выполнять простейший анализ сетевого трафика.

Экспертные системы. Этот вид систем аккумулирует человеческие знания о выявлении причин аномальной работы сетей и возможных способах приведения сети в работоспособное состояние. Экспертные системы часто реализуются в виде отдельных подсистем различных средств мониторинга и анализа сетей: систем управления сетями, анализаторов протоколов, сетевых анализаторов. Простейшим вариантом экспертной системы является контекстно-зависимая help-система. Более сложные экспертные системы представляют собой так называемые базы знаний, обладающие элементами искусственного интеллекта. Примером такой системы является экспертная система, встроенная в систему управления Spectrum компании Cabletron.

1.1.1 Анализаторы протоколов

В ходе проектирования новой или модернизации старой сети часто возникает необходимость в количественном измерении некоторых характеристик сети таких, например, как интенсивности потоков данных по сетевым линиям связи, задержки, возникающие на различных этапах обработки пакетов, времена реакции на запросы того или иного вида, частота возникновения определенных событий и других характеристик.

Для этих целей могут быть использованы разные средства и прежде всего - средства мониторинга в системах управления сетью, которые уже обсуждались ранее. Некоторые измерения на сети могут быть выполнены и встроенными в операционную систему программными измерителями, примером тому служит компонента ОС Windows Performance Monitor. Даже кабельные тестеры в их современном исполнении способны вести захват пакетов и анализ их содержимого .

Но наиболее совершенным средством исследования сети является анализатор протоколов. Процесс анализа протоколов включает захват циркулирующих в сети пакетов, реализующих тот или иной сетевой протокол, и изучение содержимого этих пакетов. Основываясь на результатах анализа, можно осуществлять обоснованное и взвешенное изменение каких-либо компонент сети, оптимизацию ее производительности, поиск и устранение неполадок. Очевидно, что для того, чтобы можно было сделать какие-либо выводы о влиянии некоторого изменения на сеть, необходимо выполнить анализ протоколов и до, и после внесения изменения.

Анализатор протоколов представляет собой либо самостоятельное специализированное устройство, либо персональный компьютер, обычно переносной, класса Нtebook, оснащенный специальной сетевой картой и соответствующим программным обеспечением. Применяемые сетевая карта и программное обеспечение должны соответствовать топологии сети (кольцо, шина, звезда). Анализатор подключается к сети точно также, как и обычный узел. Отличие состоит в том, что анализатор может принимать все пакеты данных, передаваемые по сети, в то время как обычная станция - только адресованные ей. Программное обеспечение анализатора состоит из ядра, поддерживающего работу сетевого адаптера и декодирующего получаемые данные, и дополнительного программного кода, зависящего от типа топологии исследуемой сети. Кроме того, поставляется ряд процедур декодирования, ориентированных на определенный протокол, например, IPX. В состав некоторых анализаторов может входить также экспертная система, которая может выдавать пользователю рекомендации о том, какие эксперименты следует проводить в данной ситуации, что могут означать те или иные результаты измерений, как устранить некоторые виды неисправности сети.

Несмотря на относительное многообразие анализаторов протоколов, представленных на рынке, можно назвать некоторые черты, в той или иной мере присущие всем им:

Пользовательский интерфейс. Большинство анализаторов имеют развитый дружественный интерфейс, базирующийся, как правило, на Windows или Motif. Этот интерфейс позволяет пользователю: выводить результаты анализа интенсивности трафика; получать мгновенную и усредненную статистическую оценку производительности сети; задавать определенные события и критические ситуации для отслеживания их возникновения; производить декодирование протоколов разного уровня и представлять в понятной форме содержимое пакетов.

Буфер захвата. Буферы различных анализаторов отличаются по объему. Буфер может располагаться на устанавливаемой сетевой карте, либо для него может быть отведено место в оперативной памяти одного из компьютеров сети. Если буфер расположен на сетевой карте, то управление им осуществляется аппаратно, и за счет этого скорость ввода повышается. Однако это приводит к удорожанию анализатора. В случае недостаточной производительности процедуры захвата, часть информации будет теряться, и анализ будет невозможен. Размер буфера определяет возможности анализа по более или менее представительным выборкам захватываемых данных. Но каким бы большим ни был буфер захвата, рано или поздно он заполнится. В этом случае либо прекращается захват, либо заполнение начинается с начала буфера .

Фильтры. Фильтры позволяют управлять процессом захвата данных, и, тем самым, позволяют экономить пространство буфера. В зависимости от значения определенных полей пакета, заданных в виде условия фильтрации, пакет либо игнорируется, либо записывается в буфер захвата. Использование фильтров значительно ускоряет и упрощает анализ, так как исключает просмотр ненужных в данный момент пакетов .

Переключатели - это задаваемые оператором некоторые условия начала и прекращения процесса захвата данных из сети. Такими условиями могут быть выполнение ручных команд запуска и остановки процесса захвата, время суток, продолжительность процесса захвата, появление определенных значений в кадрах данных. Переключатели могут использоваться совместно с фильтрами, позволяя более детально и тонко проводить анализ, а также продуктивнее использовать ограниченный объем буфера захвата .

Поиск. Некоторые анализаторы протоколов позволяют автоматизировать просмотр информации, находящейся в буфере, и находить в ней данные по заданным критериям. В то время, как фильтры проверяют входной поток на предмет соответствия условиям фильтрации, функции поиска применяются к уже накопленным в буфере данным.

Методология проведения анализа может быть представлена в виде следующих шести этапов:

1. Захват данных.

2. Просмотр захваченных данных.

3. Анализ данных.

4. Поиск ошибок. (Большинство анализаторов облегчают эту работу, определяя типы ошибок и идентифицируя станцию, от которой пришел пакет с ошибкой.)

5. Исследование производительности. Рассчитывается коэффициент использования пропускной способности сети или среднее время реакции на запрос.

6. Подробное исследование отдельных участков сети. Содержание этого этапа конкретизируется по мере того, как проводится анализ.

Обычно процесс анализа протоколов занимает относительно немного времени - 1-2 рабочих дня.

Большинство современных анализаторов позволяют анализировать сразу несколько протоколов глобальных сетей, таких, как X.25, PPP, SLIP, SDLC/SNA, frame relay, SMDS, ISDN, протоколы мостов/маршрутизаторов (3Com, Cisco, Bay Networks и другие). Такие анализаторы позволяют измерять различные параметры протоколов, анализировать трафик в сети, преобразование между протоколами локальных и глобальных сетей, задержку на маршрутизаторах при этих преобразованиях и т. п. Более совершенные приборы предусматривают возможность моделирования и декодирования протоколов глобальных сетей, "стрессового" тестирования, измерения максимальной пропускной способности, тестирования качества предоставляемых услуг. В целях универсальности почти все анализаторы протоколов глобальных сетей реализуют функции тестирования ЛВС и всех основных интерфейсов. Некоторые приборы способны осуществлять анализ протоколов телефонии. А самые современные модели могут декодировать и представлять в удобном варианте все семь уровней OSI. Появление ATM привело к тому, что производители стали снабжать свои анализаторы средствами тестирования этих сетей. Такие приборы могут проводить полное тестирование сетей АТМ уровня E-1/E-3 с поддержкой мониторинга и моделирования. Очень важное значение имеет набор сервисных функций анализатора. Некоторые из них, например возможность удаленного управления прибором, просто незаменимы .

Таким образом, современные анализаторы протоколов WAN/LAН/ДTM позволяют обнаружить ошибки в конфигурации маршрутизаторов и мостов; установить тип трафика, пересылаемого по глобальной сети; определить используемый диапазон скоростей, оптимизировать соотношение между пропускной способностью и количеством каналов; локализовать источник неправильного трафика; выполнить тестирование последовательных интерфейсов и полное тестирование АТМ; осуществить полный мониторинг и декодирование основных протоколов по любому каналу; анализировать статистику в реальном времени, включая анализ трафика локальных сетей через глобальные сети.

1.1.2 Протоколы мониторинга

Протокол SNMP

SNMP (англ. Simple Network Management Protocol -- простой прото-кол управления сетью) -- это протокол управления сетями связи на основе архитектуры TCP/IP.

На основе концепции TMN в 1980--1990 гг. различными органами стандартизации был выработан ряд протоколов управления сетями передачи данных с различным спектром реализации функций TMN. К одному из типов таких протоколов управления относится SNMP. Протокол SNMP был разработан с целью проверки функционирования сетевых маршрутизаторов и мостов. Впоследствии сфера действия протокола охватила и другие сетевые устройства, такие как хабы, шлюзы, терминальные сервера, LAN Manager сервера, машины под управлением Windows NT и т.д. Кроме того, протокол допускает возможность внесения изменений в функционирование указанных устройств.

Эта технология, призвана обеспечить управление и контроль за устройствами и приложениями в сети связи путём обмена управляющей информацией между агентами, располагающимися на сетевых устройствах, и менеджерами, расположенными на станциях управления. SNMP определяет сеть как совокупность сетевых управляющих станций и элементов сети (главные машины, шлюзы и маршрутизаторы, терминальные серверы), которые совместно обеспечивают административные связи между сетевыми управляющими станциями и сетевыми агентами.

При использовании SNMP присутствуют управляемые и управляющие системы. В состав управляемой системы входит компонент, называемый агентом, который отправляет отчёты управляющей системе. По существу SNMP агенты передают управленческую информацию на управляющие системы как переменные (такие как «свободная память», «имя системы», «количество работающих процессов»).

Агент в протоколе SNMP - это обрабатывающий элемент, который обеспечивает менеджерам, размещенным на управляющих станциях сети, доступ к значениям переменных MIB, и тем самым дает им возможность реализовывать функции по управлению и наблюдению за устройством.

Программный агент - резидентная программа, выполняющая функции управления, а также собирающая статистику для передачу ее в информационную базу сетевого устройства.

Аппаратный агент - встроенная аппаратура (с процессором и памятью), в которой хранятся программные агенты.

Переменные, доступные через SNMP, организованы в иерархии. Эти иерархии и другие метаданные (такие, как тип и описание переменной) описываются Базами Управляющей Информации (Management Information Bases (MIBs)).

На сегодня существует несколько стандартов на базы данных управляющей информации . Основными являются стандарты MIB-I и MIB-II, а также версия базы данных для удаленного управления RMON MIB. Кроме этого, существуют стандарты для специальных MIB устройств конкретного типа (например, MIB для концентраторов или MIB для модемов), а также частные MIB конкретных фирм-производителей оборудования.

Первоначальная спецификация MIB-I определяла только операции чтения значений переменных. Операции изменения или установки значений объекта являются частью спецификаций MIB-II.

Версия MIB-I (RFC 1156) определяет до 114 объектов, которые подразделяются на 8 групп:

* System - общие данные об устройстве (например, идентификатор поставщика, время последней инициализации системы).

* Interfaces - описываются параметры сетевых интерфейсов устройства (например, их количество, типы, скорости обмена, максимальный размер пакета).

* AddressTranslationTable - описывается соответствие между сетевыми и физическими адресами (например, по протоколу ARP).

* InternetProtocol - данные, относящиеся к протоколу IP (адреса IP-шлюзов, хостов, статистика об IP-пакетах).

* ICMP - данные, относящиеся к протоколу обмена управляющими сообщениями ICMP.

* TCP - данные, относящиеся к протоколу TCP (например, о TCP-соединениях).

* UDP - данные, относящиеся к протоколу UDP (число переданных, принятых и ошибочных UPD-дейтаграмм).

* EGP - данные, относящиеся к протоколу обмена маршрутной информацией ExteriorGatewayProtocol, используемому в сети Internet (число принятых с ошибками и без ошибок сообщений).

Из этого перечня групп переменных видно, что стандарт MIB-I разрабатывался с жесткой ориентацией на управление маршрутизаторами, поддерживающими протоколы стека TCP/IP.

В версии MIB-II (RFC 1213), принятой в 1992 году, был существенно (до 185) расширен набор стандартных объектов, а число групп увеличилось до 10 .

Агенты RMON

Новейшим добавлением к функциональным возможностям SNMP яв-ляется спецификация RMON, которая обеспечивает удаленное взаимодействие с базой MIB.

Стандарт на RMON появился в ноябре 1991 года, когда Internet Engineering Task Force выпустил документ RFC 1271 под названием "Remote Network Monitoring Management Information Base" ("Информационная база дистанционного мониторинга сетей"). Данный документ содержал описание RMON для сетей Ethernet.

RMON -- протокол мониторинга компьютерных сетей, расширение SNMP, в основе которого, как и в основе SNMP, лежит сбор и анализ информации о характере информации, передаваемой по сети. Как и в SNMP, сбор информации осуществляется аппаратно-программными агентами, данные от которых поступают на компьютер, где установлено приложение управления сетью. Отличие RMON от своего предшественника состоит, в первую очередь, в характере собираемой информации -- если в SNMP эта информация характеризует только события, происходящие на том устройстве, где установлен агент, то RMON требует, чтобы получаемые данные характеризовали трафик между сетевыми устройствами.

До появления RMON протокол SNMP не мог использоваться удален-ным образом, он допускал только локальное управление устройствами. База RMON MIB обладает улучшенным набором свойств для удаленного управления, так как содержит агрегированную информацию об устрой-стве, что не требует передачи по сети больших объемов информации. Объекты RMON MIB включают дополнительные счетчики ошибок в пакетах, более гибкие средства анализа графических трендов и статистики, более мощные средства фильтрации для захвата и анализа отдельных пакетов, а также более сложные условия установления сигналов предупреждения. Агенты RMON MIB более интеллектуальны по сравнению с агентами MIB-I или MIB-II и выполняют значительную часть работы по обработке информации об устройстве, которую раньше выполняли менеджеры. Эти агенты могут располагаться внутри различных коммуникационных устройств, а также быть выполнены в виде отдельных программных модулей, работающих на универсальных ПК и ноутбуках (примером может служить LANalyzerНvell).

Интеллект агентов RMON позволяет им выполнять простые дей-ствия по диагностике неисправностей и предупреждению о возможных отказах - например, в рамках технологии RMON можно собрать данные о нормальном функционировании сети (т. е. выполнить так называемый baselining), а потом выставлять предупреждающие сигналы, когда режим работы сети отклонится от baseline - это может свидетельствовать, в частности, о неполной исправности оборудования. Собрав воедино информацию, получаемую от агентов RMON, приложение управления может помочь администратору сети (находящемуся, например, за тысячи километров от анализируемого сегмента сети) локализовать неисправность и выработать оптимальный план действий для ее устранения.

Сбор информации RMON осуществляется аппаратно-программными зондами, подключаемыми непосредственно к сети. Чтобы выполнить задачу сбора и первичного анализа данных, зонд должен обладать достаточными вычислительными ресурсами и объемом оперативной памяти. В настоящее время на рынке имеются зонды трех типов: встроенные, зонды на базе компьютера, и автономные. Продукт считается поддерживающим RMON, если в нем реализована хотя бы одна группа RMON. Разумеется, чем больше групп данных RMON реализовано в данном продукте, тем он, с одной стороны, дороже, а с другой - тем более полную информацию о работе сети он предоставляет.

Встроенные зонды представляют собой модули расширения для сетевых устройств. Такие модули выпускаются многими производителями, в частности, такими крупными компаниями, как 3Com, Cabletron, Bay Networks и Cisco. (Кстати, 3Com и Bay Networks недавно приобрели компании Axon и ARMON, признанных лидеров в области разработки и производства средств управления RMON. Такой интерес к этой технологии со стороны крупнейших производителей сетевого оборудования лишний раз показывает, насколько нужным для пользователей является дистанционный мониторинг.) Наиболее естественным выглядит решение встраивать модули RMON в концентраторы, ведь именно из наблюдения за этими устройствами можно со-ставить себе представление о работе сегмента. Достоинство таких зондов очевидно: они позволяют получать информацию по всем основным группам данных RMON при относительно невысокой цене. Недостатком в первую очередь является не слишком высокая производительность, что проявляется, в частности, в том, что встроенные зонды часто поддерживают далеко не все группы данных RMON. Не так давно 3Com объявила о намерении выпустить поддерживающие RMON драйверы для сетевых адаптеров Etherlink III и Fast Ethernet. В результате окажется возможным собирать и анализировать данные RMON непосредственно на рабочих станциях в сети.

Зонды на базе компьютера - это просто подключенные к сети компьютеры с установленным на них программным агентом RMON. Такие зонды (к числу которых относится, например, продукт Cornerstone Agent 2.5 компании Network General) обладают более высокой производительностью, чем встроенные зонды, и поддерживают, как правило, все группы данных RMON. Они более дороги, чем встроенные зонды, но гораздо дешевле автономных зондов. Помимо этого, зонды на базе компьютера имеют довольно большой размер, что может иногда ограничивать возможности их применения.

Автономные зонды обладают наивысшей производительностью; как легко понять, это одновременно и наиболее дорогие продукты из всех описанных. Как правило, автономный зонд - это процессор (класса i486 или RISC-процессор), оснащенный достаточным объемом оперативной памяти и сетевым адаптером. Лидерами в этом секторе рынка являются компании Frontier и Hewlett-Packard. Зонды этого типа невелики по размеру и весьма мобильны - их очень легко подключать к сети и отключать от нее. При решении задачи управления сетью глобального масштаба это, конечно, не слишком важное свойство, однако если средства RMON применяются для анализа работы корпоративной сети средних размеров, то (учитывая высокую стоимость устройств) мобильность зондов может сыграть весьма положительную роль.

Объекту RMON присвоен номер 16 в наборе объектов MIB, а сам объект RMON объединяет в соответствии с документом RFC 1271, состоит из десяти групп данных.

* Statistics - текущие накопленные статистические данные о характеристиках пакетов, количестве коллизий и т.п.

* History - статистические данные, сохраненные через определенные промежутки времени для последующего анализа тенденций их изменений.

* Alarms - пороговые значения статистических показателей, при превышении которых агент RMON посылает сообщение менеджеру. Позволяет пользователю определить ряд пороговых уровней (эти пороги могут относиться к самым разным вещам - любому параметру из группы статистики, амплитуде или скорости его изменения и многому другому), по превышении которых генерируется аварийный сигнал. Пользователь может также определить, при каких условиях превышение порогового значения должно сопровождаться аварийным сигналом - это позволит избежать генерации сигнала "по пустякам", что плохо, во-первых, потому, что на постоянно горящую красную лампочку никто не обращает внимания, а во-вторых, потому, что передача ненужных аварийных сигналов по сети приводит к излишней загрузке линий связи. Аварийный сигнал, как правило, передается в группу событий, где и определяется, что с ним делать дальше.

* Host - данных о хостах сети, в том числе и об их MAC-адресах..

* HostTopN - таблица наиболее загруженных хостов сети. Таблица N главных хостов (HostTopN) содержит список N первых хостов, характеризующихся максимальным значением заданного статистического параметра для заданного интервала. Например, можно затребовать список 10 хостов, для которых наблюдалось максимальное количество ошибок в течение последних 24 часов. Список этот будет составлен самим агентом, а приложение управления получит только адреса этих хостов и значения соответствующих статистических параметров. Видно, до какой степени такой подход экономит сетевые ресурсы

* TrafficMatrix - статистика об интенсивности трафика между каждой парой хостов сети, упорядоченная в виде матрицы. Строки этой матрицы пронумерованы в соответствии с MAC-адресами станций - источников сообщений, а столбцы - в соответствии с адресами станций-получателей. Матричные элементы характеризуют интенсивность трафика между соответствующими станциями и количество ошибок. Проанализировав такую матрицу, пользователь легко может выяснить, какие пары станций генерируют наиболее интенсивный трафик. Эта матрица, опять-таки, формируется самим агентом, поэтому отпадает необходимость в передаче больших объемов данных на центральный компьютер, отвечающий за управление сетью.

* Filter - условия фильтрации пакетов. Признаки, по которым фильтруются пакеты, могут быть самыми разнообразными - например, можно потребовать отфильтровывать как ошибочные все пакеты, длина которых оказывается меньше некоторого заданного значения. Можно сказать, что установка фильтра соответствует как бы организации канала для передачи пакета. Куда ведет этот канал - определяет пользователь. Например, все ошибочные пакеты могут перехватываться и направляться в соответсвующий буфер. Кроме того, появление пакета, соответствующего установленному фильтру, может рассматриваться как событие (event), на которое система должна реагировать заранее оговоренным образом.

* PacketCapture - условия захвата пакетов. В состав группы перехвата пакетов (packet capture) входят буфера для захвата, куда направляются пакеты, чьи признаки удовлетворяют условиям, сформулированным в группе фильтров. При этом захватываться может не пакет целиком, а, скажем, только первые несколько десятков байт пакета. Содержимое буферов перехвата можно впоследствии анализировать при помощи различных программных средств, выясняя целый ряд весьма полезных характеристик работы сети. Перестраивая фильтры на те или иные признаки, можно характеризовать разные параметры работы сети.

* Event - условия регистрации и генерации событий. В группе событий (events) определяется, когда следует отправлять аварийный сигнал приложению управления, когда - перехватывать пакеты, и вообще - как реагировать на те или иные события, происходящие в сети, например, на превышение заданных в группе alarms пороговых значений: следует ли ставить в известность приложение управления, или надо просто запротоколировать данное событие и продолжать работать. События могут и не быть связаны с предачей аварийных сигналов - например, направление пакета в буфер перехвата тоже представляет собой событие.

Данные группы пронумерованы в указанном порядке, поэтому, например, группа Hosts имеет числовое имя 1.3.6.1.2.1.16.4.

Десятую группу составляют специальные объекты протокола TokenRing.

Всего стандарт RMON MIB определяет около 200 объектов в 10 группах, зафиксированных в двух документах - RFC 1271 для сетей Ethernet и RFC 1513 для сетей TokenRing .

Отличительной чертой стандарта RMON MIB является его независимость от протокола сетевого уровня (в отличие от стандартов MIB-I и MIB-II, ориентированных на протоколы TCP/IP). Поэтому, его удобно использовать в гетерогенных средах, использующих различные протоколы сетевого уровня.

1 .2 Популярные системы управления сетями

Система управления сетью (Network management system) - аппаратные и/или программные средства для мониторинга и управления узлами сети. Программное обеспечение системы управления сетью состоит из агентов, локализующихся на сетевых устройствах и передающих информацию сетевой управляющей платформе. Метод информационного обмена между управляющими приложениями и агентами на устройствах определяется протоколами.

Системы управления сетями должны обладать целым рядом качеств:

* истинной распределенностью в соответствии с концепцией кли-ент/сервер,

* масштабируемостью,

* открытостью, позволяющей справиться с разнородным - от настольных компьютеров до мейнфреймов - оборудованием.

Первые два свойства тесно связаны. Хорошая масштабируемость достигается за счет распределенности системы управления. Распределенность означает, что система может включать несколько серверов и клиентов. Серверы (менеджерами) собирают данные о текущем состоянии сети от агентов (SNMP, CMIP или RMON), встроенных в оборудование сети, и накапливают их в своей базе данных. Клиенты представляют собой графические консоли, за которыми работают администраторы сети. Программное обеспечение клиента системы управления принимает запросы на выполнение каких-либо действий от администратора (например, построение подробной карты части сети) и обращается за необходимой информацией к серверу. Если сервер обладает нужной информацией, то он сразу же передает ее клиенту, если нет - то пытается собрать ее от агентов.

Ранние версии систем управления совмещали все функции в одном компьютере, за которым работал администратор. Для небольших сетей или сетей с небольшим количеством управляемого оборудования такая структура оказывается вполне удовлетворительной, но при большом количестве управляемого оборудования единственный компьютер, к которому стекается информация от всех устройств сети, становится узким местом. И сеть не справляется с большим потоком данных, и сам компьютер не успевает их обрабатывать. Кроме того, большой сетью управляет обычно не один администратор, поэтому, кроме нескольких серверов в большой сети должно быть несколько консолей, за которыми работают администраторы сети, причем на каждой консоли должна быть представлена специфическая информация, соответствующая текущим потребностям конкретного администратора.

Подобные документы

Разработка структуры локально-вычислительной сети ГБОУ СПО "ВПТ". Обоснование топологии, выбор аппаратного обеспечения для коммутации и сегментации. Установка и настройка сетевых протоколов и служб. Система мониторинга сетевых узлов и сетевого трафика.

дипломная работа , добавлен 25.10.2013


Типы сетевых кабелей локальной вычислительной сети. Особенности установки беспроводного соединения Wi-Fi. Расчет трудоемкости работ по созданию ЛВС, затрат на ее разработку и монтаж. Предполагаемая прибыль от реализации ЛВС, капитальных затрат покупателя.

курсовая работа , добавлен 27.12.2010


Анализ административного программного обеспечения локальной сети. Структура сетевых операционных систем. Планирование и сетевая архитектура локальной сети. Использование сетевых ресурсов на примере предприятия, предоставляющего услуги Интернет-провайдера.

контрольная работа , добавлен 15.12.2010


Анализ и практическая реализация использования администрирования и мониторинга сети на предприятии. Процесс создания карты сети в программе LANState. Сетевые программы для сисадминов, программы мониторинга сети. Описание локальной вычислительной сети.

курсовая работа , добавлен 15.02.2017


Классификация локальной вычислительной сети. Типы топологий локальной вычислительной сети. Модель взаимодействия систем OSI. Сетевые устройства и средства коммуникаций. Виды сетевых кабелей. Конфигурация компьютеров-серверов, техники рабочих станций.

курсовая работа , добавлен 05.01.2013


Топология и принципы администрирования кабельной сети, выбор метода подключения сетевого оборудования. Проектирование локальной вычислительной сети. Оценка затрат на внедрение структурированной кабельной системы и системы бесперебойного питания.

дипломная работа , добавлен 28.10.2013


Функциональная схема локальной вычислительной сети. Планирование структуры и топология сети. IP–адресация и протокол TCP/IP. Настройка сетевого принтера и антивирусной системы NOD32. Технология прокладки кабельной системы. Технология создания патч-корда.

курсовая работа , добавлен 08.08.2015


Способы классификации сетей. Разработка и описание структуры локальной вычислительной сети, расположенной в пятиэтажном здании. Технические сведения, топология иерархической звезды. Клиентское аппаратное обеспечение. Установка и настройка сервера.

курсовая работа , добавлен 27.07.2011


Подбор пассивного сетевого оборудования. Обоснование необходимости модернизации локальной вычислительной сети предприятия. Выбор операционной системы для рабочих мест и сервера. Сравнительные характеристики коммутаторов D-Link. Схемы локальной сети.

курсовая работа , добавлен 10.10.2015


Понятие и назначение локальной вычислительной сети, концепция ее построения, выбор топологии. Разработка конфигурации и расчет сетевых характеристик ЛВС ООО "Дон Терминал": технические и программные составляющие, стоимость; информационная безопасность.