ЭКСПЛУАТАЦИЯ

ОБЪЕКТОВ СЕТЕВОЙ
ИНФРАСТРУКТУРЫ
Аппаратные анализаторы протоколов
•В ходе проектирования новой или модернизации старой сети
часто возникает необходимость в количественном измерении не­
которых характеристик сети, таких как, например,
интенсивность потоков данных по сетевым линиям связи;
задержки, возника­ющие на различных этапах обработки
пакетов; время реакции на запросы того или иного вида; частота
возникновения определен­ных событий и др.
• Дляэтих целей могут быть использованы разные средства, на­
пример средства мониторинга в системах управления сетью.
• Некоторыеизмерения в сети могут быть выполнены
встроенными в ОС программными измерителя­ми.
• Например, компонента ОС WindowsNT Perfomance Monitor
содержит ряд счетчиков, которые фиксируют число сетевых па­
кетов, передаваемых в единицу времени, число процессов,
ожида­ющих завершения операции с диском, процент
использования процессора и ряд других процессов. Кроме того,
современные ка­бельные тестеры способны вести захват и
анализ содержимого па­кетов.
• Однаконаиболее совершенным средством исследования сети
является анализатор протоколов, реализующий захват и
изучение циркулирующих в сети пакетов.
• Основываясьна результатах ана­лиза, анализатор протоколов
осуществляет обоснованное и взве­шенное изменение каких-
либо компонентов сети, оптимизацию ее производительности,
поиск и устранение неполадок, причем выводы о влиянии
некоторого изменения анализатор делает после анализа
протоколов (и до, и после внесения изменения).
• Чащедругих анализатор протоколов используется сетевым ад­
министратором, планирующим преобразование или дальнейшее
развитие существующей сети. С помощью анализатора протоко­
лов можно не только оперативно устранять проблемы по мере
их возникновения, но и предупреждать их появление. Таким
обра­зом, анализаторы протоколов — это именно те средства, с
кото­рых следует начинать диагностику сети.
• Анализаторможет захватывать и декодировать до нескольких
десятков протоколов, применяемых в сетях, ставить логические
условия для захвата отдельных пакетов и выполнять полное
декодирование захваченных пакетов, т.е. показывать в удобной
для специалиста форме вложенность пакетов протоколов разных
уровней друг в друга (инкапсуляцию) с расшифровкой содержа­
ния отдельных полей каждого пакета.
•Кроме того, анализатор сетевых протоколов может
использоваться для решения следующих задач:
■ изучение работы сети и локализация трудноразрешимых про­
блем;
■ обнаружение и идентификация несанкционированного ПО;
■ получение базовых моделей трафика и метрики утилизации сети
(здесь термин «метрика утилизации» показывает степень
загрузки сети в определенном географическом месте и в опре­
деленное время);
■ идентификация неиспользуемых протоколов для удаления их из
сети;
■ генерация трафика для испытания на вторжение в целях про­верки
системы защиты;
■ работа с системами обнаружения вторжений;
■ прослушивание трафика, т.е. локализация несанкционирован­ного
трафика с использованием, например, беспроводных то­чек
доступа.
• Анализатор протоколов представляет собой либо специализи­
рованное устройство, либо персональный компьютер (Noutbоок),
оснащенный специальной сетевой картой и соответствующим
программным обеспечением, которые должны точно соответ­
ствовать технологии проверяемой сети. Анализатор подключает­ся
к сети, как обычный хост, но хост принимает только адресованные
ему пакеты, а анализатор может принимать все пакеты данных,
передаваемые по сети. Для этого сетевой адаптер ана­лизатора
протоколов переводится в режим беспорядочного за­хвата.
• ПО анализатора состоит из ядра, поддерживающего работу се­
тевого адаптера, и программного обеспечения, декодирующего
протокол канального уровня, с которым работает сетевой адаптер,
а также наиболее распространенные протоколы верхних уровней
(IР, ТСР, ftp, telnet, НТТР, IРХ, NETBEUI и др.).
 • Анализаторы протоколов имеют некоторые общие свойства.
1. Возможность измерения среднестатистических показателей
трафика в сегменте ЛВС, в котором установлен анализатор: изме­
ряется коэффициент использования сегмента, матрицы пере­
крестного трафика узлов, количество хороших и плохих кадров,
прошедших через сегмент.
2. Большинство анализаторов имеют развитый дружественный
интерфейс, который позволяет пользователю: выводить результа­ты
анализа интенсивности трафика; получать мгновенную и усред­
ненную статистическую оценку производительности сети; зада­вать
и отслеживать различные ситуации; производить декодирова­ние
протоколов разного уровня и представлять в понятной форме
содержимое пакетов.
3. Буферы захвата пакетов различных анализаторов отличают­ся по объему,
что влияет на эффективность анализа. Дело в том, что размер буфера
определяет возможности анализа по так назы­ваемым представительным
выборкам захватываемых данных. Но каким бы большим ни был буфер
захвата, рано или поздно он за­полнится. В этом случае либо прекращается
захват, либо заполне­ние начинается с начала буфера.
4. Возможность работы с несколькими Агентами, поставля­ющими
захваченные пакеты из разных сегментов ЛВС. Эти Аген­ты чаще всего
взаимодействуют с анализатором протоколов по собственному протоколу
прикладного уровня, отличному от SNMP или СМIР.
5. Наличие развитого графического интерфейса, позволяюще­го
представить результаты декодирования пакетов с разной степе­нью
детализации.
6. Фильтрация захватываемых и отображаемых пакетов. Усло­вия фильтрации
задаются в зависимости от значения адресов на­значения и источника, типа
протокола или значения определен­ных полей пакета. Фильтры позволяют
управлять процессом за­хвата данных и тем самым позволяют экономить
пространство буфера. В зависимости от значения определенных полей пакета,
заданных в виде условия фильтрации, пакет либо игнорируется, либо
записывается в буфер захвата. Использование фильтров зна­чительно ускоряет
и упрощает анализ, так как исключает захват или просмотр ненужных в
данный момент пакетов.
7. Использование переключателей (триггеров). Триггеры — это задаваемые
администратором некоторые условия начала и пре­кращения процесса захвата
данных из сети. Такими условиями могут быть: время суток,
продолжительность процесса захвата, появление определенных значений в
кадрах данных. Триггеры мо­гут использоваться совместно с фильтрами,
позволяя более де­тально и тонко проводить анализ, а также продуктивнее
расходо­вать ограниченный объем буфера захвата.
8. Многоканальность. Некоторые анализаторы протоколов по­зволяют проводить
одновременную запись пакетов от нескольких сетевых адаптеров, что удобно для
сопоставления процессов, про­исходящих в разных сегментах сети.
9. Некоторые анализаторы протоколов позволяют автоматизи­ровать просмотр
информации в буфере, выбирая данные по за­данным критериям.
•Анализ протоколов занимает один-два рабочих дня и включает в себя следующие
этапы:
■ захват, просмотр и анализ захваченных данных;
■ поиск ошибок и идентификация станции — источника пакета с ошибкой;
■ расчет коэффициента использования пропускной способности сети;
■ подробное исследование отдельных участков сети.
•Анализаторы протоколов разделяются на два вида: полностью программные
анализаторы протоколов и специализированное обо­рудование с возможностями
декодирования и анализа протоколов.
• Программные анализаторы протоколов представляют собой программные модули,
выполняющие все перечисленные ранее функции анализа под управлением обычной
ОС на обычном ком­пьютере. Анализатор включается в сеть тоже как обычный ком­
пьютер. Программные анализаторы используют стандартные сетевые карты и
стандартное аппаратное обеспечение, рабочую станцию или ноутбук, однако в
некоторых случаях требуются сетевые карты определенных производителей.

Включение
хоста-анализатора
в сеть
• Как правило, обработку всех пакетов, в том числе ошибочных, они не гарантируют —
это их основной недостаток. Также они не по­зволяют анализировать трафик в
высокоскоростных каналах пе­редачи данных.
•Анализатор всегда запускается в беспорядочном режиме, при котором драйвер
сетевого адаптера перехватывает весь проходя­щий через него трафик, т. е. все фреймы
независимо от их конеч­ного адреса. Если беспорядочный режим отключен, то сетевой
адаптер будет пропускать в компьютер фреймы только с «родным» МАС-адресом, что
делает сам анализ малоинформативным. Ана­лизатор протоколов передает
перехваченный трафик декодеру па­кетов анализатора, который идентифицирует и
расщепляет паке­ты по соответствующим уровням иерархии. Программное обеспе­
чение анализатора протоколов изучает пакеты и отображает информацию о них на
экране хоста в окне анализатора. В зависи­мости от возможностей конкретного
продукта представленная ин­формация может впоследствии дополнительно
анализироваться и отфильтровываться.
• Поскольку программный анализатор — это программа, выпол­няемая на
компьютере, все функции анализа выполняет компью­тер.
Вычислительная мощь компьютера, количество памяти, воз­можности
сетевого адаптера и степень загруженности сети — все это сказывается на
характеристиках программного анализатора. Поэтому, если ЛВС
полностью загружена, есть вероятность того, что программный
анализатор не будет «видеть» все пакеты в сети, потому что скорости
процессора не хватит для анализа каждого из них.
Одним из ограничений, присущих программным анализаторам, является
невозможность работы в дуплексном режиме, когда прием и передача
выполняются одновременно. Однако в случае подключения через
концентратор возможна организация полудуплексного анализатора.
Действительно, все фреймы на входе кон­центратора передаются на все
задействованные порты. Это значит, что анализатор протоколов мо­жет
быть подключен к любому свободному порту и будет «видеть» все данные
на входе концентратора.
 Сеть с хабом и подключение к ней анализатора Сеть с коммутатором и подключение к ней анализатора

Некоторые программные анализаторы комплектуются специ­альными сетевыми

адаптерами. По сравнению с обычными сете­выми адаптерами такие карты имеют
улучшенные возможности по отслеживанию определенных параметров, например
таких, как коллизии.
Некоторые программные анализаторы поддерживают много­сегментный анализ. При
этом производится мониторинг более чем одного сегмента сети одновременно.
Например, обе стороны маршрутизатора — локальная и глобальная — могут
отслеживать­ся одновременно для анализа трафика, проходящего через марш­рутизатор.
 •Аппаратные анализаторы ЛВС применяются в тех случаях, когда
необходимы высокая производительность и подробный ана­лиз протоколов и
трафика. Такие анализаторы представляют со­бой специализированную
аппаратную схему со встроенным мощ­ным программным обеспечением. В
аппаратной схеме применя­ются процессоры, полностью посвященные задачам
перехвата и анализа сетевых данных. В отличие от программных анализаторов
характеристики перехвата и анализа фреймов у аппаратных ана­лизаторов не
зависят от производительности процессора компью­тера. Схема подключения
аппаратного анализатора в сеть показа­на на рисунке, на котором ПК — это
компьютер пользователя (ад­министратора сети).
• Аппаратныеанализаторы содержат специальные схемы, кото­рые могут быть
настроены для фильтрации по определенным усло­виям, как входящих, так и
исходящих фреймов. Эти схемы исключают возможность пропуска
необходимых фреймов в сильно за­груженных сетях
Включение в сеть аппаратного анализатора:
ПК — персональный компьютер
ЦПУ — центральное процессорное
устройство
• Другой особенностью качественных аппаратных анализаторов
является возможность мониторинга дуплексных сетей Ethernet.
Многие сети, особенно те, в которых применяются
коммутаторы, могут проверяться только аппаратными
анализаторами, способными поддерживать дуплексный режим.
• Некоторые производители делают сетевые адаптеры, которые в
действительности представляют собой аппаратные анализатора.
Обычно они выполнены в виде PCI карты и содержат процессор
и другие цепи, предназначенные для выполнения анализа. Это
не значит, что все PCI анализаторы являются аппаратными.
Отличить аппаратный анализатор от программного можно по
месту сбора и обработки данных.