C помощью анализаторов протоколов пользователи могут беспристрастно проверить обещанные свойства, выявить ошибки в собственной сети и, в конце концов, повременить с увеличением пропускной способности или добавлением новых компонентов. Какие же функции необходимы современному сетевому или протокольному анализатору, хотя бы в связи со все более увеличивающейся скоростью передачи данных?

Аналитические системы принципиально делятся на два вида: полностью программные решения и специализированное оборудование. Первые используют стандартные сетевые карты и стандартное аппаратное обеспечение (ПК) (правда, в некоторых случаях требуются сетевые карты определенных производителей). Как правило, обработку всех пакетов без исключения они не гарантируют — и это их основной недостаток. Только с появлением Windows 2000 стало возможным обращение к сетевым картам посредством прямого доступа к памяти (Direct Memory Access, DMA), что способствовало увеличению производительности. Абсолютных гарантий, однако, получить так и не удается. Вдобавок драйверы должны поддерживать DMA — иначе каждый пакет будет вызывать прерывание. По полнодуплексному каналу 100 Мбит/с может проходить до 288 тыс. пакетов/с, реальное же значение составляет около 50 тыс. прерываний в секунду (опытное значение, полученное автором в результате синтетических тестов).

Заданные правила фильтрации (фильтр для сбора данных) должны отрабатываться в рамках каждого прерывания. Это означает, что чем сложнее и объемнее правила, тем ниже производительность сбора данных. Поэтому применение программных систем для Gigabit Ethernet и более высоких скоростей не рекомендуется, что в равной степени относится как к решениям известных производителей, так и к продуктам более мелких поставщиков и бесплатному программному обеспечению.

Уже самый простой фильтр по IP-адресу приводит к сокращению производительности примерно до 10—15 тыс. пакетов/с. Эти значения в очень большой степени зависят от конфигурации компьютера, а потому порекомендовать какого-либо конкретного производителя с точки зрения производительности не представляется возможным. Подобные системы должны использоваться только для декодирования протоколов и базисного анализа в стиле RMON/ RMON2, поскольку, как уже было упомянуто, не дают никаких гарантий синхронности и полноты. В качестве примера можно назвать следующие продукты: Sniffer от Network Associates (NAI), Software Advisor от Agilent, Surveyor от Finisar, Network-Inspektor от Fluke, Tevista от Chevin и, как представитель бесплатного ПО, Ethereal.

Поддержка большого количества протоколов — конечно, важный критерий для покупки, но надо избегать приобретения дорогого и ненужного балласта, чтобы при измерениях не отвлекаться на излишние подробности. Так, например, Sniffer предлагает максимальное многообразие протоколов, но поддержка DecNET, LAT, Banyan Vines или XNS может потребоваться только в самых редких случаях. Software Advisor наиболее близок к продукту NAI, однако отличается другой концепцией обслуживания. При выборе системы следует просто решить, какой способ обслуживания наиболее удобен.

За Network Inspektor компании Fluke скрывается Surveyor производства Finisar в версии OEM. Его особенностью является предлагаемый бесплатно комплект разработчика протокола (Protocol Developer Kit, PDK) для написания собственных декодеров — для самостоятельно разработанных протоколов, например. Впрочем, Finisar всегда своевременно выпускает обновления программного обеспечения. Tevista компании Chevin отличается своей удаленной статистикой, ее сбор и доставку на удаленные машины осуществляют собственные программные агенты. Кроме того, информация отображается в очень наглядном и функциональном окне декодера.

Все эти решения превосходят такие бесплатные программные продукты, как Ethereal, благодаря наличию экспертной системы, которая уже во время записи предупреждает о превышении предельных величин и не соблюдении протокола. Такая система поставляется, как правило, с предварительно сконфигурированными параметрами и перечнем наиболее часто встречающихся сетевых и протокольных аномалий. Дважды щелкнув мышью, в большинстве случаев можно сразу открыть список возможных и установленных причин неисправностей.

Многие производители предлагают демонстрационные версии с временными или функциональными ограничениями. Ethereal же по аналогичным функциям все еще не может сравниться с коммерческими разработками. Остается ждать, достигнет ли бесплатное ПО того же уровня и когда такое станет возможным. В то же время Ethereal — единственная программа, которая работает как на платформах Windows, так и на MacOS и Linux.

АППАРАТНОЕ РЕШЕНИЕ ОБЕСПЕЧИВАЕТ ПРОИЗВОДИТЕЛЬНОСТЬ

Когда речь идет о производительности и синхронности, то без приобретения системы на базе аппаратного обеспечения не обойтись. Начиная с Gigabit Ethernet, запись терабайт данных с последующим поиском по ним имеет мало смысла. Частичная запись и поиск также не являются удовлетворительным решением, потому что ошибки не возникают по заказу. Как правило, администраторы идентифицируют ошибки посредством их описания или статистики, для чего необходима соответствующая фильтрация. Об объеме собираемых данных постоянно ведутся дискуссии, однако на практике эта величина в лучшем случае может быть вторичным критерием выбора анализатора: при высоких скоростях не так уж и существенно, за 1, 2 или 4 с переполнится память. Гораздо важнее сами фильтры и, в идеале, оценка в режиме реального времени посредством экспертных систем.

Рисунок 1. Сводные результаты измерений анализатора (продукт Surveyor компании Finisar) будут понятны не каждому, но эксперты извлекут из них ценные сведения.

В отношении подключения к среде передачи оборудование разных производителей во многом отличается. Если в программах NAI и Agilent предусматриваются различные интерфейсы для локальных, глобальных и ATM-сетей, то Finisar предлагает интерфейсы на 10/ 100 Мбит/с и Gigabit Ethernet, а также Fibre Channel — для SAN. Особенность продукции Finisar (и, соответственно, Fluke) в том, что в ней имеется не только порт 10/100BaseTX, но и слот конвертера гигабитного интерфейса (Gigabit Interface Converter, GBIC) на измерительном модуле, т. е. карта анализатора на 10, 100 и 1000 Мбит/с. В 2003 г. объявлено о выпуске прибора для 10 Gigabit Ethernet с интерфейсами Fibre Channel и Ethernet. Системы компании Fluke имеют также интерфейсы на 10/100 Мбит/с и для Gigabit Ethernet или Token Ring — в зависимости от оборудования.

На практике важнее всего наличие интерфейсов Ethernet на 10/ 100 Мбит/с и 1 Гбит/с. Если Agilent работает с внутренними точками доступа для тестирования (Test Access Point, TAP), чтобы анализировать полнодуплексные каналы, то другим производителям необходима отдельная TAP. Одна лишь Finisar предлагает медный гигабитный TAP, у которого имеется как «медный», так и SX-выход. Используемый также в системе Agilent слот GBIC позволяет осуществлять быструю адаптацию к SX, LX, ZX и 1000TX благодаря простой смене GBIC. У NAI конкретные технологии поддерживаются посредством отдельных модулей, как у Agilent при работе в области 10/100 Мбит/с.

Объем собираемых данных у всех почти одинаков — если у NAI эта величина составляет 144 Мбайт на канал, то у Finisar — 128 Мбайт на канал, а у Agilent — 256 Мбайт на прямой и обратный канал. Агрегирование каналов, т. е. измерение групп линий (транков), Agilent поддерживает с помощью синхронизированных каналов в количестве до двух на один анализатор. При необходимости несколько анализаторов может быть синхронизировано, а полученные трассировочные файлы могут быть сведены воедино с помощью дополнительной программы. Finisar синхронизирует до четырех каналов в одном анализаторе, причем данные измерений помещаются непосредственно в один трассировочный файл.

Рисунок 2. Комплексная система для выполнения задач измерения.

В случае аппаратного обеспечения применяется два принципиально различных подхода: один основан на собственном процессоре, другой — на программируемых цифровых модулях. Если программируемые цифровые модули рассчитаны на полную нагрузку сети, то у систем на базе процессоров при большом количестве фильтров может наблюдаться снижение производительности. Это проявляется, например, в невозможности сохранения в памяти кадров данных, хотя они соответствуют условиям фильтрации. NAI и Agilent выпускают измерительное оборудование, где установлен собственный процессор. Finisar и Fluke используют программируемые цифровые модули, благодаря чему даже при сложной фильтрации обеспечивается высокая производительность. Для анализа SAN компания Finisar применяет специально разработанный аналитический процессор. Общим для всех систем является обусловленное оборудованием ограничение на фильтрацию.

При оценке соотношения цена/производительность необходимо обратить внимание на политику лицензирования. Все поставщики предлагают системы модульной структуры, благодаря чему покупатель может составить собственную систему в зависимости от индивидуальных потребностей: базовый пакет поставляется с дополнительными опциями для удаленной работы, экспертных оценок, составления отчетов, генерирования нагрузки, VoIP и других задач. NAI предлагает лицензию на программное обеспечение с ограничением по времени, поэтому при покупке рекомендуется выяснить диапазон лицензий и обратить внимание на срок их действия. К экспертным системам на базе аппаратного обеспечения предъявляется требование проведения (по возможности) автоматического анализа и в режиме реального времени. Выдача аварийного сигнала через SNMP или по электронной почте при превышении пороговых значений является безусловно обязательной, как и интеграция анализатора в качестве зонда RMON/RMON2 с экспертной системой в имеющуюся систему управления сетью.

Однако при использовании любой технологии измерения всегда надо помнить о том, что анализатор — даже если он содержит «экспертную систему» — хотя и показывает множество аномалий и ошибок, но их оценка всегда остается прерогативой пользователя.

Ян Бартельс — консультант по анализу сетей в компании Menatnet. С ним можно связаться по адресу: sm@lanline.awi.de.

Важнейшие критерии выбора
  • аппаратное или программное решение;
  • поддерживаемые протоколы (при необходимости расширяемость их списка);
  • удаленная статистика;
  • функции фильтрации/триггерные функции;
  • встроенная экспертная система с автоматическим анализом в режиме реального времени;
  • соединение с сетью;
  • интегрированная Test Access Point (TAP);
  • слот GBIC;
  • на базе аппаратного процессора или на базе программируемых цифровых модулей;
  • модульная структура программного обеспечения;
  • выдача сообщений о неисправностях через SNMP, по электронной почте, SMS и проч.;
  • интеграция в существующую систему сетевого управления;
  • адекватная политика лицензирования.
Основные производители на рынке систем анализа сетей

Acterna http://www.acterna.com

Agilent http://www.agilent.com

Chevin http://www.chevin.com

Finisar http://www.finisar.com

Fluke http://www.fluke.com

Nettest http://www.nettest.com

Network Associates(NAI) http://www.nai.com/us/products/sniffer/ mgmt_analysis/category.htm

Network Instruments http://www.network-instruments.com

Triticom http://www.triticom.com

Wild Packets http://www/wildpackets.com

Бесплатное программное обеспечение:

Ethereal http://www.ethereal.com

? AWi Verlag