Мониторинг в корпоративных сетях

Апрышкина Галина

Введение

Системы управления

   Протокол управления сетями SNMP

   What is MIB — Man In Black?

   Анализаторы протоколов

Продукты для мониторинга и анализа

   Сравнительный обзор систем управления HPOpenView и CabletronSpectrum

   Семейство продуктов мониторинга и анализа сетей компании NetworkGeneral

      Системы для сетей широкого класса

      Системы для распределенных сетей

      Переносные системы анализа и мониторинга

   Анализатор протоколов LANalyser компании Novell

Заключение

 

В майском номере КомпьютерПресс мы писали об основных обязанностях системного администратора. Одной из наиболее рутинных и, несомненно, нуждающихся в автоматизации задач является мониторинг корпоративной или локальной сети предприятия. Эта статья о том, как сделать систему мониторинга более эффективной и в то же время прозрачной для пользователя.

Введение

В последние годы информационные технологии претерпевают значительные и постоянные изменения. По некоторым оценкам, за последние пять лет объем сетевого трафика локальных сетей вырос в десять раз. Таким образом, локальные сети должны обеспечивать все большую пропускную способность и необходимый уровень качества обслуживания. Однако какие бы ресурсы ни имела сеть, они все-таки конечны, поэтому для сети необходима возможность управления трафиком.

А для того чтобы управление было максимально эффективным, требуется возможность контроля над пакетами, передающимися между устройствами вашей сети. Также у администратора существует великое множество обязательных для исполнения ежедневных операций. Это, например, проверка правильности функционирования электронной почты, просмотр регистрационных файлов на предмет выявления ранних признаков неисправностей, контроль за подключением локальных сетей и за наличием системных ресурсов. И здесь на помощь могут прийти средства, применяемые для мониторинга и анализа вычислительных сетей.

Чтобы не запутаться в многообразии методик, средств и продуктов, созданных для мониторинга, начнем с краткого описания нескольких крупных классов этих продуктов.

Системы управления сетью (Network Management Systems). Это централизованные программные системы, которые собирают данные о состоянии узлов и коммуникационных устройств сети, а также о трафике, циркулирующем в сети. Эти системы не только осуществляют мониторинг и анализ сети, но и выполняют в автоматическом или полуавтоматическом режиме действия по управлению сетью — включение и отключение портов устройств, изменение параметров мостов адресных таблиц мостов, коммутаторов и маршрутизаторов и т.п. Примерами систем управления могут служить популярные системы HPOpenView, SunNetManager, IBMNetView.

Средства управления системой (System Management). Средства управления системой часто выполняют функции, аналогичные функциям систем управления, но по отношению к другим объектам. В первом случае объектом управления является программное и аппаратное обеспечение компьютеров сети, а во втором — коммуникационное оборудование. Вместе с тем некоторые функции этих двух видов систем управления могут дублироваться, например средства управления системой могут выполнять простейший анализ сетевого трафика.

Встроенные системы диагностики и управления (Embedded systems). Эти системы выполняются в виде программно-аппаратных модулей, устанавливаемых в коммуникационное оборудование, а также в виде программных модулей, встроенных в операционные системы. Они выполняют функции диагностики и управления только одним устройством, и в этом их основное отличие от централизованных систем управления. Примером средств этого класса может служить модуль управления концентратором Distrebuted 5000, реализующий функции автосегментации портов при обнаружении неисправностей, приписывания портов внутренним сегментам концентратора и некоторые другие. Как правило, встроенные модули управления «по совместительству» выполняют роль SNMP-агентов, поставляющих данные о состоянии устройства для систем управления.

Анализаторы протоколов (Protocol analyzers). Представляют собой программные или аппаратно-программные системы, которые ограничиваются, в отличие от систем управления, лишь функциями мониторинга и анализа трафика в сетях. Хороший анализатор протоколов может захватывать и декодировать пакеты большого количества применяемых в сетях протоколов — обычно несколько десятков. Анализаторы протоколов позволяют установить некоторые логические условия для захвата отдельных пакетов и выполняют полное декодирование захваченных пакетов, то есть показывают в удобной для специалиста форме вложенность пакетов протоколов разных уровней друг в друга с расшифровкой содержания отдельных полей каждого пакета.

Экспертные системы. Системы этого вида аккумулируют человеческие знания о выявлении причин аномальной работы сетей и возможных способах приведения сети в работоспособное состояние. Экспертные системы часто реализуются в виде отдельных подсистем различных средств мониторинга и анализа сетей: систем управления сетями, анализаторов протоколов, сетевых анализаторов. Простейшим вариантом экспертной системы является контекстно-зависимая help-система. Более сложные экспертные системы представляют собой так называемые базы знаний, обладающие элементами искусственного интеллекта. Примером такой системы является экспертная система, встроенная в систему управления Spectrum компании Cabletron.

Многофункциональные устройства анализа и диагностики. В последние годы в связи с повсеместным распространением локальных сетей возникла необходимость разработки недорогих портативных приборов, совмещающих функции нескольких устройств: анализаторов протоколов, кабельных сканеров и даже некоторых возможностей ПО сетевого управления. В качестве примера такого рода устройств можно привести Compas компании Microtest, Inc. или 675 LANMeter компании FlukeCorp.

В начало В начало

Системы управления

В последнее время в области систем управления наблюдаются две достаточно четко выраженные тенденции:

  1. Интеграция в одном продукте функций управления сетями и системами. (Несомненное достоинство этого подхода — единая точка управления системой. Недостаток заключается в том, что при большой нагрузке на сеть сервер с установленной программой мониторинга может не справляться с обработкой всех пакетов и, в зависимости от продукта, либо игнорировать часть пакетов, либо становиться «узким местом» системы.).
  2. распределенность системы управления, при которой в системе существует несколько консолей, собирающих информацию о состоянии устройств и систем и выдающих управляющие действия. (Здесь все наоборот: задачи мониторинга распределены между несколькими устройствами, но возможны дублирование одних и тех же функций и несогласованность между управляющими воздействиями разных консолей.)

Зачастую системы управления выполняют не только функции мониторинга и анализа работы сети, но и включают функции активного воздействия на сеть — управления конфигурацией и безопасностью (см. врезку).

В начало В начало

Протокол управления сетями SNMP

Большинству специалистов, занимающихся построением сетей и их управлением, нравится концепция стандартов. Это вполне объяснимо, ведь стандарты позволяют им выбирать поставщика сетевой продукции на основании таких критериев, как уровень сервиса, цена и эксплуатационные характеристики продукции, вместо того чтобы быть «прикованными» к фирменному решению одного производителя. Самая большая на сегодня сеть — Интернет — основана на стандартах. С целью координации усилий по их разработке для этой и других использующих протоколы TCP/IP сетей была создана Инженерная проблемная группа Интернет (IETF).

Наиболее распространенным протоколом управления сетями является протокол SNMP (SimpleNetworkManagementProtocol), который поддерживают сотни производителей. Главные достоинства протокола SNMP — простота, доступность, независимость от производителей. Протокол SNMP разработан для управления маршрутизаторами в сети Интернет и является частью стека TCP/IP.

В начало В начало

What is MIB — Man In Black?

Если речь идет об инструментах мониторинга корпоративной сети, то за этой аббревиатурой скрывается термин Management Information Base. Для чего нужна эта база данных?

SNMP — это протокол, используемый для получения от сетевых устройств информации об их статусе, производительности и характеристиках, которые хранятся в специальной базе данных сетевых устройств, называемой MIB. Существуют стандарты, определяющие структуру MIB, в том числе набор типов ее переменных (объектов в терминологии ISO), их имена и допустимые операции с этими переменными (например, читать). Наряду с другой информацией в MIB могут храниться сетевой и/или MAC-адреса устройств, значения счетчиков обработанных пакетов и ошибок, номера, приоритеты и информация о состоянии портов. Древовидная структура MIB содержит обязательные (стандартные) поддеревья; кроме того, в ней могут находиться частные (private) поддеревья, позволяющие изготовителю интеллектуальных устройств реализовать какие-либо специфические функции на основе его специфических переменных.

Агент в протоколе SNMP — это обрабатывающий элемент, который обеспечивает менеджерам, размещенным на управляющих станциях сети, доступ к значениям переменных MIB и таким образом предоставляет им возможность реализовать функции по управлению и наблюдению за устройством.

Полезным добавлением к функциональным возможностям SNMP является спецификация RMON, обеспечивающая удаленное взаимодействие с базой MIB. До появления RMON протокол SNMP не мог использоваться удаленным образом, он допускал только локальное управление устройствами. Однако RMON лучше всего действует в разделяемых сетях, где он способен контролировать весь трафик. Но если в сети присутствует коммутатор, фильтрующий трафик таким образом, что он становится невидим для порта, если не предназначен для устройства, связанного с этим портом, или не исходит из этого устройства, то данные вашего зонда пострадают.

Во избежание этого производители снабдили некоторыми функциями RMON каждый порт коммутатора. Это более масштабируемая система, чем система постоянного опроса всех портов коммутатора.

В начало В начало

Анализаторы протоколов

В ходе проектирования новой или модернизации старой сети часто возникает необходимость в количественном измерении некоторых характеристик сети, таких, например, как интенсивность потоков данных по сетевым линиям связи, задержки, возникающие на различных этапах обработки пакетов, времяреакции на запросы того или иного вида, частота возникновения определенных событий и др.

В этой непростой ситуации вы можете использовать разные средства и прежде всего — средства мониторинга в системах управления сетью, которые уже обсуждались в предыдущих разделах статьи. Некоторые измерения на сети могут быть выполнены и встроенными в операционную систему программными измерителями, примером тому служит компонент ОС WindowsNTPerformanceMonitor. Эта утилита была разработана для фиксации активности компьютера в реальном масштабе времени. С ее помощью можно определить большую часть «узких мест», снижающих производительность.

В основе PerformanceMonitor — ряд счетчиков, фиксирующих такие характеристики, как число процессов, ожидающих завершения операции с диском, число сетевых пакетов, передаваемых в единицу времени, процент использования процессора и др.

Но наиболее совершенным средством исследования сети является анализатор протоколов. Процесс анализа протоколов включает захват циркулирующих в сети пакетов, реализующих тот или иной сетевой протокол, и изучение содержимого этих пакетов. Основываясь на результатах анализа, можно осуществлять обоснованное и взвешенное изменение каких-либо компонентов сети, оптимизацию ее производительности, поиск и устранение неполадок. Очевидно, что для того, чтобы можно было сделать какие-либо выводы о влиянии некоторого изменения на сеть, необходимо выполнить анализ протоколов до и после внесения изменения.

Обычно процесс анализа протоколов занимает довольно много времени (до нескольких рабочих дней) и включает в себя следующие этапы:

  1. Захват данных.
  2. Просмотр захваченных данных.
  3. Анализ данных.
  4. Поиск ошибок.
  5. Исследование производительности. Рассчет коэффициента использования пропускной способности сети или среднего времени реакции на запрос.
  6. Подробное исследование отдельных участков сети. Содержание работ на этом этапе зависит от результатов, полученных при анализе сети.

На этом можно закончить рассмотрение теоретических моментов, которые необходимо учитывать при построении системы мониторинга вашей сети, и перейти к рассмотрению программных продуктов, созданных для анализа работы корпоративной сети и контроля за ней.

В начало В начало

Продукты для мониторинга и анализа

Сравнительный обзор систем управления HPOpenView и CabletronSpectrum

Каждый комплект рассмотренных в этом разделе приложений разбивает управление сетью примерно на четыре области. Первая — это интеграция комплекта в общую инфраструктуру управления сетью, что подразумевает поддержку различных типов устройств того же производителя.

Следующая функциональная область — это средства конфигурирования и управления отдельными сетевыми устройствами, такими как концентратор, коммутатор или зонд.

Третья область — это средства глобального управления, которые отвечают уже за группирование устройств и организацию связей между ними, например приложения генерации схемы сетевой топологии.

Темой этой статьи является четвертая функциональная область — мониторинг трафика. И хотя средства конфигурирования ВЛВС и глобальное управление являются довольно важными аспектами сетевого администрирования, в отдельной сети Ethernet формальные процедуры управления сетью внедрять, как правило, нецелесообразно. Достаточно провести тщательное тестирование сети после инсталляции и время от времени проверять уровень нагрузки.

Хорошая платформа для систем управления корпоративными сетями должна обладать следующими качествами:

  • масштабируемостью;
  • истинной распределенностью в соответствии с концепцией «клиент/сервер»;
  • открытостью, позволяющей справиться с разнородным — от настольных компьютеров до мэйнфреймов — оборудованием.

Первые два свойства тесно связаны. Хорошая масштабируемость достигается за счет распределенности системы управления. Распределенность здесь означает, что система может включать несколько серверов и клиентов.

Поддержка разнородного оборудования — скорее желаемое, чем реально существующее свойство сегодняшних систем управления. Мы рассмотрим два популярных продукта сетевого управления: Spectrum компании CabletronSystems и OpenView фирмы Hewlett-Packard. Обе эти компании сами выпускают коммуникационное оборудование. Естественно, система Spectrum лучше всего управляет оборудованием компании Cabletron, а OpenView — оборудованием компании Hewlett-Packard.

Если карта сети построена из оборудования других производителей, эти системы начинают ошибаться и принимать одни устройства за другие, а при управлении этими устройствами поддерживают только их основные функции, а многие полезные дополнительные функции, которые отличают данное устройство от остальных, система управления просто не понимает и поэтому не может ими воспользоваться.

Во избежание такой ситуации разработчики систем управления включают поддержку не только стандартных баз MIBI, MIBII и RMONMIB, но и многочисленных частных фирм — производителей MIB. Лидер в этой области — система Spectrum, поддерживающая более 1000 баз MIB различных производителей.

Однако несомненным преимуществом OpenView является ее способность распознавать сетевые технологии любых сетей, работающих по TCP/IP. У Spectrum эта способность ограничивается сетями Ethernet, TokenRing, FDDI, ATM, распределенными сетями, сетями с коммутацией. При увеличении устройств в сети более масштабируемой оказывается Spectrum, где количество обслуживаемых узлов ничем не ограничено.

Очевидно, что, несмотря на наличие слабых и сильных мест у той и другой системы, если в сети преобладает оборудование от какого-либо одного производителя, наличие приложений управления этого производителя для какой-либо популярной платформы управления позволяет администраторам сети успешно решать многие задачи. Поэтому разработчики платформ управления поставляют вместе с ними инструментальные средства, упрощающие разработку приложений, а наличие таких приложений и их количество считаются очень важным фактором при выборе платформы управления.

В начало В начало

Семейство продуктов мониторинга и анализа сетей компании NetworkGeneral

Кроме систем управления сетями, функции мониторинга системы могут выполнять различные анализаторы протоколов. Здесь мы рассмотрим два семейства таких продуктов от компаний NetworkGeneral и Novell.

В начало В начало

Системы для сетей широкого класса

Это сектор недорогих систем для не очень критичных к сбоям сетей, в него входят FoundationAgentMulti-Port, Foundation Probe, Foundation Manager производства NetworkGeneral. Они представляют собой законченную систему сетевого мониторинга на базе RMON и включают два типа агентов-мониторов — FoundationAgent и FoundationProbe, а также консоль оператора FoundationManager.

FoundationAgentMulti-Port поддерживает все возможности стандартного SNMP-агента и развитую систему сбора и фильтрации данных, а также позволяет с помощью одного компьютера собирать информацию с сегментов Ethernet или TokenRing.

FoundationProbe — сертифицированный компьютер с сертифицированной сетевой платой и предустановленным программным обеспечением FoundationAgent соответствующего типа. FoundationAgent и FoundationProbe обычно функционируют в безмониторном и бесклавиатурном режиме, поскольку управляются программным обеспечением FoundationManager.

Программное обеспечение консоли FoundationManager поставляется в двух вариантах — для Windows-систем и для UNIX.

Консоль FoundationManager позволяет отображать в графическом виде статистику по всем контролируемым сегментам сети, автоматически определять усредненные параметры сети и реагировать на превышение допустимых пределов параметров (например, запускать программу-обработчик, инициировать SNMP-trap и SNA-alarm), строить по собранным данным RMON графическую динамическую карту трафика между станциями.

В начало В начало

Системы для распределенных сетей

Это сектор дорогих систем высшего класса, предназначенных для анализа и мониторинга сетей, предъявляющих максимально возможные требования по обеспечению надежности и производительности. В него входит продукт DistributedSnifferSystem (DSS), который представляет собой систему, состоящую из нескольких распределенных по сети аппаратных компонентов и программного обеспечения, необходимого для непрерывного анализа всех, включая удаленные, сегментов сети.

Система DSS строится из компонентов двух типов — SnifferServer (SS) и SniffMasterConsole (SM). В качестве интерфейсов для взаимодействия с консолью могут быть использованы карты Ethernet, TokenRing или последовательный порт. Таким образом, есть возможность контролировать сегмент практически любой сетевой топологии и использовать различные среды взаимодействия с консолью, включая соединения по модему.

Программное обеспечение SnifferServer состоит из трех подсистем — мониторинга, интерпретации протоколов и экспертного анализа. Подсистема мониторинга представляет собой систему отображения текущего состояния сети, позволяющую получать статистику по каждой из станций и сегментов сетей по каждому из используемых протоколов. Две остальные подсистемы заслуживают отдельного обсуждения.

В функции подсистемы интерпретации протоколов входит анализ захваченных пакетов и как можно более полная интерпретация каждого из полей заголовков пакетов и его содержимого. Компания NetworkGeneral создала самую мощную подсистему подобного типа — ProtocolInterpreter способен полностью декодировать более 200 протоколов всех семи уровней модели ISO/OSI (TCP/IP, IPX/SPX, NCP, DECnetSunNFS, X-Windows, семейство протоколов SNAIBM, AppleTalk, BanyanVINES, OSI, XNS, Х.25, различные протоколы межсетевого взаимодействия). При этом отображение информации возможно в одном из трех режимов — общем, детализированном и шестнадцатеричном.

Основное назначение системы экспертного анализа (ExpertAnalysis) — сокращение времени простоя сети и ликвидация «узких мест» сети посредством автоматической идентификации аномальных явлений и автоматической генерации методов их разрешения.

Система ExpertAnalysis обеспечивает то, что компания NetworkGeneral называет активным анализом. Для понимания этой концепции рассмотрим обработку одного и того же ошибочного события в сети системами традиционного пассивного анализа и системой активного анализа.

Допустим, в сети в 3:00 ночи произошел широковещательный шторм, вызвавший в 3:05 сбой системы создания архивных копий баз данных. К 4:00 шторм прекращается и параметры системы входят в норму. В случае работы в сети системы пассивного анализа трафика пришедшие на работу к 8:00 администраторы не имеют для анализа ничего, кроме информации о втором сбое и, в лучшем случае, общей статистики по трафику за ночь — размер любого буфера захвата не позволит хранить весь трафик, прошедший за ночь по сети. Вероятность ликвидации причины, приведшей к широковещательному шторму, в такой ситуации крайне мала.

А теперь рассмотрим реакцию на те же события системы активного анализа. В 3:00, сразу после начала широковещательного шторма, система активного анализа фиксирует наступление нестандартной ситуации, активирует соответствующий эксперт и фиксирует выданную им информацию о событии и его причинах в базе данных. В 3:05 фиксируется новая нестандартная ситуация, связанная со сбоем системы архивирования, и фиксируется соответствующая информация. В результате в 8:00 администраторы получают полное описание возникших проблем, их причин и рекомендации по устранению этих причин.

В начало В начало

Переносные системы анализа и мониторинга

Портативный вариант анализатора, почти аналогичный по своим возможностям DSS, реализован в продуктах серии ExpertSnifferAnalyzer (ESA), известный также как TurboSnifferAnalyzer. При значительно меньшей, чем продукты серии DSS, стоимости ESA предоставляют администратору те же возможности, что и полномасштабная DSS, но только для того сегмента сети, к которой ESA подключен в данный момент. Существующие версии обеспечивают полный анализ, интерпретацию протоколов, а также мониторинг подключенного сегмента сети или линии межсегментной связи. При этом поддерживаются те же сетевые топологии, что и для систем DSS. Как правило, ESA используются для периодической проверки некритичных сегментов сети, на которых нецелесообразно постоянно использовать агент-анализатор.

В начало В начало

Анализатор протоколов LANalyser компании Novell

LANalyser поставляется в виде сетевой платы и программного обеспечения, которые необходимо устанавливать на персональном компьютере, либо в виде ПК — с уже установленными платой и программным обеспечением.

LANalyser имеет развитый удобный пользовательский интерфейс, с помощью которого устанавливается выбранный режим работы. Меню ApplicationLANalyser является основным средством настройки режима перехвата и предлагает на выбор варианты набора протоколов, фильтров, инициаторов, аварийных сигналов и т.д. Данный анализатор может работать с протоколами NetBIOS, SMB, NCP, NCPBurst, TCP/IP, DECnet, BanyanVINES, AppleTalk, XNS, SunNFS, ISO, EGP, NIS, SNA и некоторыми другими.

Помимо этого в LANalyser включена экспертная система, оказывающая пользователю помощь в поиске неисправностей.

В начало В начало

Заключение

Все вышеперечисленные системы, безусловно, необходимы в сети крупной корпорации, однако слишком громоздки для организаций, в которых число пользователей сети не превышает 200-300 человек. Половина функций системы останутся невостребованными, а счет за дистрибутив испугает главного бухгалтера и руководителя компании. Тем более что контроль за аппаратными неисправностями и «узкими местами» системы в небольшой сети в большинстве случаев вполне по силам одному-двум администраторам и не нуждается в автоматизации.

Тем не менее в сети любого масштаба, на наш взгляд, должна в том или ином виде присутствовать система сетевого анализа, благодаря которой администратору будет гораздо проще управлять своим хозяйством.

КомпьютерПресс 7'2001