- Управление сетью в кризисе. Согласно прогнозам International Data Corporation, к 1995 году в сети будет работать 40 миллионов компьютеров. Корпорации строят разветвленные сети, но не в состоянии управлять сетью так, как это требуется в отношении единой вычислительной Среды предприятия. Простой же такой сети уже сегодня грозит огромными потерями - некоторые американские компании сообщают, что час простоя обойдется им в полмиллиона долларов. В то же время, пока налицо общий недостаток опыта решения задачи управления сетью. К тому же инструмент обладают ограниченными возможностями. Если корпорации хотят быть уверенными в своих сетях, и инструменты, и стратегии управления должны совершенствоваться.
Попытка определения
Даже определение управления сетью неконкретно. Сам термин используется настолько широко, что может трактоваться по-разному - как неискушенными пользователями, изредка прибегающими к файловому сервису Personal NetWare, так и администраторами информационных систем, развернутых на комплексе из нескольких мэйнфреймов и использующих, например, IBM NetView. В наиболее строгом смысле, управление сетью - это деятельность по поддержанию сети в работоспособном состоянии. Она включает в себя действия как с физическими компонентами сети (начиная с кабеля), так и с программными.
В соответствии с трактовкой ISO, можно выделить пять функций управления сетью.
Управление конфигурацией сети (configuration management) включает в себя регистрацию устройств, работающих в сети, их местоположение, сетевые адреса и идентификаторы, управление параметрами сетевых операционных систем, поддержание схемы сети.
Управление ошибками (fault management) - это выявление, определение и разрешение проблем в работе сети.
Анализ эффективности (performance management) помогает на основе накопленной статистической информации оценивать время ответа системы и величину трафика и планировать развитие сети.
Управление безопасностью (security management) включает в себя контроль доступа и сохранение целостности данных. В его функции входит процедура аутентификации, проверка привилегий, поддержка ключей шифрования, управление полномочиями. К этой же группе можно отнести важные (именно из-за их недостатков происходит большинство вторжений в систему) механизмы управления паролями, внешним доступом, соединения с другими сетями.
Учет работы сети (accounting management) подразумевает регистрацию использования ресурсов и устройств сети.
Разные системы управления сетью могут делать особый акцент на различных функциях управления. Это следует учитывать при выборе конкретной системы.
Управление сетью часто путают с управлением системой, в задачи которого входит обслуживание хост-компьютеров, в том числе и установленных на них операционных систем.
Инструменты управления сетью
Для того чтобы перечисленные задачи выполнять, естественно использовать специальные инструменты.
К сожалению, налицо разрыв между тем, что требуется от управления сетью, и тем средствами, которые на самом деле доступны. Необходима система, осуществляющая мониторинг, контроль и управление каждым элементом корпоративной сети - от простейших до самых изощренных устройств. Идеальная система наблюдает за сетью и, обнаружив проблему, активизирует определенное действие, исправляет ситуацию и уведомляет администратора о том, что произошло и какие шаги предприняты. Одновременно с этим система управления должна накапливать данные, на основании которых можно планировать развития сети. Наконец, система должна быть независимой от производителя и обладать удобным интерфейсом, позволяющим выполнять все действия с одной консоли.
Реальная ситуация, увы, гораздо менее радужна. Инструментов управления - действительно удобных и многопротокольных - явно недостаточно. Большинство так называемых инструментов управления в действительности сетью не управляет, а всего лишь осуществляет ее мониторинг. Они следят за сетью, но не выполняют активных действий, если с сетью что-то произошло или может произойти.
Кроме того, многие хорошие инструменты работают с сетевым оборудованием только того производителя, который этот инструмент создал. Мало масштабируемых инструментов, способных обслуживать как уровень подразделения, так и сеть предприятия.
Проблему управления устройствами от разных поставщиков призваны решить стандарты. Частичное решение дает поддержка популярного среди производителей Простого Протокола Управление Сетью (SNMP - Simple Network Management Protocol) или CMIP (Common Management Information Protocol); но и они не лишены недостатков.
Разные архитектуры систем управления
Неудовлетворенный спрос на инструменты управления сетью вызван вовсе не тем, что недостаточно производителей таких продуктов. Наоборот. Все ведущие поставщики компьютеров и сетевого оборудования расходуют уйму денег на их разработку - с разной степенью успеха.
Возможны разнообразные архитектуры систем управления. Несмотря на все их отличия, есть и общие черты: используется одна или несколько консолей управления, выделяются так называемые "агенты" и "менеджеры", то есть компоненты системы, отвечающие соответственно за сбор и обработку информации, при этом информация от агентов и, возможно, низкоуровневых ("элементарных") менеджеров собирается в некотором центре, представленном менеджерами более высокого уровня ("интегральными"). Рассмотрим архитектуры чуть поподробнее.
- Универсальная. Все компьютеры, сети и периферийные устройства реализуют один и тот же управляющий протокол, что позволяет им разговаривать напрямую с интегральным менеджером и на одном языке. Ожидать, что такую архитектуру можно привнести в крупную корпоративную сеть, довольно трудно - слишком много разнородного оборудования уже существует.
- "Менеджер менеджеров". Организуется иерархия менеджеров. Низкоуровневые общаются со своей группой устройств, объединяют их по "языковому" принципу. При наличии соответствующего программного обеспечения можно было бы сделать так, чтобы оборудования нижнего уровня работало, как и прежде. К сожалению, при избытке на рынке элементарных менеджеров практически отсутствуют высокоуровневые менеджеры.
- "Невод" (так, за отсутствием устоявшейся русскоязычной терминологии, можно попытаться перевести термин "mesh"). Архитектура управления, включающая в себя иерархии типа "менеджер менеджеров". Интегральные менеджеры могут напрямую взаимодействовать друг с другом. Более того, допускается взаимодействие между собой элементарных менеджеров. Впрочем, интегральных менеджеров для подобной архитектуры пока нет. К тому же, "невод" очень сложен.
- "Платформа". Основывается на едином прикладном программно интерфейсе (API), определенном поддержанном различными производителями, которые будут писать на нем свои прикладные системы управления сетью. Разработчики концентрируются на специфике приложений, поскольку платформа обеспечивает не только независимость от производителя, но и необходимые базовые средства.
Универсальная архитектура проста, но не очень подходит для использования в разнородной среде. Наиболее популярная платформа - вследствие своей практической направленности.
Все обзоры средств управления сетью непременно упоминают системы ведущих производителей компьютеров: IBM, NetView, AT&T Accumaster Integrator, DECmcc (и его более современное воплощение DEC Polycenter), HP OpenView, SunNet Manager, продукты производителей сетевого оборудования (в частности, Cabletron Spectrum), а также инструментарий Novell и Microsoft, предназначенный для локальный сетей персональный компьютеров.
IBM и AT&T реализуют иерархическую схему, а DEC, HP и Sun Microsystems в той или иной степени предпочитают распределенную архитектуру.
IBM NetView
IBM первым взялась за интегрированное управление разнородными сетями, но по ряду оценок в наименьшей степени ориентирована на работу с сетями других производителей. IBM NetView - классический инструмент для управления сетями предприятия, организованными в стиле "центр обработки данных". В 1986 году IBM выработала Открытую Архитектуру Управления Сетью (Open NetWork Management Architecture), которая лучше подходит к централизованным мэйнфрейм-ориентированным (чем клиент/сервер) архитектурам и которая определила три компонента: фокусные точки, входные точки и сервисные точки. Фокусные точки - это менеджеры, устанавливаемые на мэйфреймах. Входные точки агенты, встроенные в управляемые ресурсы. Входные точки, пользуясь NMVT-протоколом семейства SNA, передают данные фокусной точке. Сервисная точка обеспечивает шлюз между NMVT и протоколами управления сетями, не принадлежащими к SNA. Таким образом, в частности, поддерживается общение с SNMP- и CMIP-устройствами.
Более поздняя разработка IBM NetView/6000, учитывающая особенности распределенной среды UNIX-станций, лишена многих ограничений, связанных с иерархической архитектурой своей предшественницы.
AT&T Accumaster Integrator
AT&T бросила вызов IBM и взялась за производство альтернативной системы управления сетью, также выбрав классическую иерархическую модель. Поскольку AT&T не испытывала груза зависимости от собственного оборудования, в предложенной в 1987 году Унифицированной Архитектуре Управления Сетью (Unified Network Management Architecture) были заложены возможности управления устройством от разных поставщиков. За основу был взят интерфейс менеджер/элемент модели OSI. Однако спецификации OSI были неполны, а их развитие отставало от практических потребностей, AT&T действовала на свой страх и риск. В дальнейшем многие из предложений AT&T стали общепринятыми.
AT&T Accumaster Integrator - первая интегрированная управляющая система, основанная на предложениях OSI. В ней используется цветная графика, интегрированная реляционная СУБД, даже экспертная система. К сожалению, стандарт управления сетью по версии OSI до сих пор не завершен, а производители ориентриуются на SNMP. В результате, Accumaster в настоящий момент используется, в основном, только с оборудованием AT&T.
Еще один недостаток Accumaster - централизованный подход: в его иерархической архитектуре только один главный Integrator.
DECmcc
DEC был первым производителем, описавшим распределенную архитектуру управления сетью - она называлась EMA (Enterprise Management Architecture) - и ее реализацию DECmcc. Эта архитектура описывается в терминах гибких взаимосвязей между менеджерами и агентами, допуская взаимодействие менеджеров между собой и управление различных менеджеров пересекающимися наборами агентов. DECmcc использует распределенный сервис имен и каталогов.
Кроме общепринятой базы данных для данных, связанных с управлением сетью, предложенная DEC платформа поддерживается функциональные модули, модули представления и доступа. Ядро менеджера - объектно-ориентированный прикладной программной интерфейс, основанный на RPC (Remote Procedure Call - Удаленный Вызов Процедуры). Модули доступа предоставляют интерфейсы к системам управления других производителей, поддерживая многочисленные протоколы, фирменные и стандартные. Доступ к удаленным устройствам строится в объектном стиле. Функциональные модули реализуют специфические приложения, типа конфигурирования и обработки ошибок. Модули представления отвечают за пользовательский интерфейс - он может быть графическим и простым символьным.
DECmcc работает в рамках VMS и Ultrix, а теперь и в DEC OSF/1.
HP OpenView
Компания Hewlett-Packard вступила в круг поставщиков систем управления сетями на год позже AT&T. Для того чтобы конечным пользователям не нужно было заботиться о разнообразии различных новых протоколов, HP опубликовала семейство прикладных программных интерфейсов, предоставив другим производителям возможность надстраивать их продукты над базовыми сервисами OpenView. Как это ни удивительно, первоначальная версия OpenView работала под DOS и имела довольно ограниченные возможности. Современная же UNIX-версия весьма развита и работает на разнообразных платформах, в том числе, конечно, на оборудовании HP и рабочих станциях Sun.
OpenView состоит из четырех основных компонентов:
- сервисы представления, включающие прикладные интерфейсы как для Windows, так и для OSF Motif;
- средства управления данными - база данных и управление событиями;
- коммуникационные протоколы, реализующие SNMP и, в определенной мере, CMIP;
- надстроенные над тремя первыми компонентами прикладные управляющие программы, представляющие ряд специфических сервисов.
Распределенный прикладной программный интерфейс достаточно хорошо скрывает детали сетевого оборудования. На основе OpenView свои управляющие приложения реализуют не только традиционные поставщики компьютерного и сетевого оборудования, но и те, кто занят телекоммуникациями.
Масштабируемость и гибкость OpenView доказывают, что архитектура платформы является адекватным решением проблем распределенного предприятия.
SunNet Manager
В число наиболее популярных платформ управления сетью, ориентированных на SNMP, в последнее время вошел SunNet Manager. В 1992 году больше всего SNMP-приложений, разработанных независимыми производителями, предназначалось для SunNet Manager и OpenView. Sun сообщил о 120 подобных разработках, HP - о 110.
Отличительная особенность SunNet Manager - ориентация на потенциально очень большое число рабочих станций в управляемой сети, измеряемое, быть может, десятками тысяч. Управляющая консоль взаимодействует с SNMP-клиентами и клиентами-"посредниками" (proxy agents). Каждый такой посредник может взаимодействовать со многими узлами. У него есть и другая функция - общение с агентами, "не понимающими" SNMP-протокол.
Novell NetWare Management System
Конечно, следует упомянуть о стандартных решениях, интегрированных в массовые сетевые операционные системы и предназначенные для управления сетями персональных компьютеров.
NetWare Management System (NMS) - платформа, предназначенная для управления ресурсами сложной NetWare-сети. NMS автоматически обнаруживает IPX- и IP-устройства, в том числе серверы NetWare и настольные ПК, строит карту сети, осуществляет ее мониторинг, сообщает администратору о возникающих проблемах, предоставляет средства управления серверами.
NMS состоит из двух наборов программного обеспечения: NetWare Services Manager (консоль) и NetWare Management Agent. Консоль может работать в рамках MS Windows 3.x или OS/2. Агенты размещаются на серверах, собирают доступные им данные и отображают на консоли. Агент выступает в роли универсального интерфейса, действующего между NetWare Services Manager и управляемыми ресурсами сервера NetWare 4.0. Его основные функции: регистрация управляемых компонентов серверов и предоставление NetWare Services Manager`у процедур для управления и мониторинга этих объектов.
Для централизованного управления удаленными серверами используется NetWare Remote Management Facility.
Читатель, конечно, уже отметил для себя, что NMS вкладывает в понятие "агент" несколько иной смысл, нежели классические платформы управления сетью. В качестве главной задачи выделяется управление серверами.
Возможности NMS (что характерно для управляющих платформ) расширяются благодаря включению в нее инструментальных средств других производителей - удобно иметь инструмент, умеющий делать все.
Так, в марте этого года Intel и Novell объявили об интеграции Intel LANDesk Manager с NMS, что позволяет пользователям NetWare в рамках одного набора средств управлять сетью и настольными ПК с одной консоли.
Новая версия LANDesk Manager содержит средства для "инвентаризации" аппаратуры и программного обеспечения, удаленного управления ПК и принт-сервисами NetWare. Она интегрирована с NMS 2.0, подразумевающим наличие Windows на консоли. Дополнительные компоненты LANDesk Manager имеют средства резервного копирования и выявления вирусов.
В NMS интегрированы также LANDesk Virus Protect и система управления данными Storage Express.
На графической консоли NMS изображается единая схема сети, включающая настольные системы, серверы, сетевые принтеры, другие сетевые устройства. На этой схеме, пользуясь мышью, администратор выбирает пиктограммки, соответствующие узлам сети, и выполняет те или иные действия над ними.
Впрочем, LANDesk уже интегрирован в HP OpenView for Windows (также работающей с IPX- и IP-соединениями).
Интеграцией сетевого инструментария занимается не только Intel. Microsoft договорился об интеграции своего аналогичного инструмента, Hermes, в NetView, OpenView и PolyCenter. Предполагается, что Hermes будет обеспечивать для MS и Novell сетей возможности, пересекающиеся с возможностями LanDesk/NMS.
Комбинация LANDesk/NMS хороша тем, что NMS распознает проблемы сервера NetWare и может автоматически запускать копирование на сервере Storage Express.
Протоколы управления сетью
Simple Network Management Protocol
SNMP чрезвычайно распространен, его поддерживают сотни производителей. В значительной степени популярность SNMP задержала принятие CMIP, варианта управляющего протокола по версии OSI.
Коротко говоря, SNMP - это протокол, используемый для получения от сетевых устройств информации об их статусе, производительности и их характеристиках. Его главные достоинства - простота, доступность, независимость от производителей.
Набор команд маленький, реализовать его просто. Поскольку для него требуются минимальные ресурсы, им можно пользоваться в сетях персональных компьютеров, CMIP для этой области применения не подходит.
SNMP широко доступен, CMIP нет. SNMP был разработан Университетом Тенесси (США) в 1988 году и распространяется свободно. Он широко поддерживается производителями оборудования Ethernet, расширяется его использования в сетях Token Ring и в телекоммуникациях.
SNMP - запрос-ответный протокол, который можно использовать для контроля чего угодно. Это не система управления сетью, он берет на себя вопросы связи управляющей станции и устройства.
Устройство должно содержать в себе так называемый "агент", обрабатывающий элемент, который обеспечивает менеджерам, размещенным на управляющих станциях сети, доступ на управления и мониторинг устройства.
Основные операции по управлению вынесены в управляющую станцию. Устройства же заняты прежде всего своим непосредственным делом. Более того, если устройства не в состоянии обслужить даже простейшие действия, либо не воспринимает SNMP, может быть установлено промежуточное устройство - отвечающее за работу агента-посредника.
SNMP непосредственно опрашивает управляемые устройства. Изредка, когда происходит значительное событие, агенты инициируют управляющие действия. Такими действиями в SNMP являются: инициализация агента, рестарт агента, разрыв связи, рестарт связи, неудачная аутентикация, потеря марштуризатора. Если подобное событие произошло, агент выставляет прерывание. Производители могут добавить собственные события, требующие обработки.
Информация, существенная для управления сетью, накапливается в MIB (Management Information Base), являющейся, по существу, базой данных объектов. Спецификация MIB1 определяет выборку и чтение информации, MIB2 - изменение и установку значений объектов. MIB является спецификацией OSI. RMON (remote network monitoring MIB - удаленный мониторинг MIB) - последнее дополнение к SMNP, предназначенное для удаленного использования протокола.
SNMP использует транспортный протокол UDP без соединений, что гарантирует малое время отклика и удобно при неполадках сети. Протоколы, ориентированные на соединения, типа TCP, слишком загружают устройства и поэтому не подходят для эффективного управления сетью, кроме того, они не помощники, если сеть "осыпалась". А управление сетью наиболее актуально именно в таких ситуациях. Впрочем, SNMP работает и под TCP, OSI TP0 и TP4, OSI CNLS, и также в рамках NetWare, начиная с версии 3.11.
SNMP обслуживает передачу данных между агентами и станцией, управляющей сетью. Администраторы "видят" сеть через управляющую станцию. Такая станция - это мощный компьютер, работающий, как правило, под управлением UNIX, реже - DOS. Обычно обеспечивается графический интерфейс пользователя, основанный на X Window или MS Windows, иногда - ASCII-интерфейс.
Управляющая система, как минимум, обеспечивает автоматическое конфигурирование карты сети, отображение в реальном времени состояний сети, мониторинг производительности, событий, тестирование соединений дублированных IP-адресов, генерацию предупреждений. Может предоставляться реляционная база данных и средства генерации отчетов.
Итак, SNMP не совершенен, но работает и стал стандартом де факто.
Увы, почти каждый маршрутизатор, бридж и хаб добавляет к стандартному протоколу кое-что от себя, в итоге ни одно из устойств не управляет точно так же, как другие. Производители объединяются вокруг попыток создания более развернутого стандарта.
Большниство специалистов сходятся на том, что используемая схема централизованной регистрации предупреждений и сбора статистики слишком громоздка для корпоративных решений. Простой мониторинг тысячи клиентских станций может переполнить даже весьма мощный управляющий компьютер. Решение, к которому склоняются производители и аналитики, состоит в распределенной среде управления, основанной на системе доменов, отвечающих за определенные группы клиентов и серверов или за конкретное приложение.
Но пока выработка стандарта для управления системами клиент/сервер далека от заключительной стадии. Правда, уже существуют предложения по стандартизации для SNMP-платформ, позволяющей собирать определенного рода статистику о приложениях, работающих в таких системах (например, о повреждениях файлов в реляционных СУБД).
CMIP
В отличие от SNMP, CMIP представляет собой весьма детальный стандарт, создатели которого стремились охватить как можно больше проблем.
Но, равно как и SNMP, CMIP отвечает за общение менеджера и агента, обеспечивая при этом куда более мощные средства управления. Сравним хотя бы наборы ключевых слов двух протоколов. SNMP: get, getnext, set, trap. CMIP: get, set, action, event-report, create, delete. Тем не менее, дебатов типа "CMIP или SNMP" практически нет - выбор ясен. SNMP - это общепринятый протокол сегодняшнего дня, а CMIP некоторыми признается за долговременную перспективу.
SNMP2
В 1993 году в качестве замены SNMP предложен протокол SNMP2.
SNMP2 улучшает характеристики производительности и безопасности SNMP, определяет дополнительные типа данных, обеспечивает операции типа "менеджер менеджеров" и определяет, как протокол отображается на транспортные уровни.
SNMP2 поддерживает домены управления и более эффективный сбор данных от узлов сети. Однако производители не проявляют особого энтузиазма относительно его поддержки. Объясняясь, говорят, что заказчики этого пока не просят. Однако без поддержки стандартов нельзя управлять разнородными конфигурациями.
Впрочем, может оказаться, что и SNMP2 не решит проблем управления. В нем сохранен механизм регистрации, требующий, чтобы выделенная станция периодически опрашивала управляющие устройства. Некоторые производители (Open Vision, IBM, HP, Legent) обращаются к спецификациям CORBA, описывающим распределенную объектную технологию управления, когда агенты, расположенные на управляемой системе, самостоятельно и по собственной логике обрабатывают важные события. Однако единой реализации этих спецификаций пока нет.
DME
DME - технология, изначально доступная от OSF и уже реализованная в продуктах некоторых поставщиков, - возможно представляет собой альтернативный перспективный вариант управления сетями. DME обеспечивает каркас для создания приложений управления сетями масштаба предприятия. Она позволяет управлять сетевыми ресурсами в объектно-ориентированном стиле и поддерживает как SNMP, так и CMIP.
Выбор инструментария управления сетью
Если вычислительная среда составлена из продуктов различных поставщиков, практически невозможно подобрать инструментарий для управления сетью от одного поставщика. Чтобы получить полное решение, приходится смешивать многочисленные специализированные средства.
При выборе своего подхода к управлению сетью следует определить основные элементы сети, которые будут управляться, каким функциям управления будет уделено особое внимание, какие процессы наиболее важны. В общем случае менеджеры сети нуждаются в инструментах, отбирающих информацию о каждом элементе сети - статус, конфигурация, статистика производительности, по возможности, исторические данные. Соответствующие приложения обычно называют "ориентированными на устройство". С другой стороны, есть "ориентированные на процесс" приложения, манипулирующие с информацией от разнообразных устройств и обслуживающие определенную задачу - скажем, анализ данных, отслеживание ошибки.
Долгое время приложения, решающие специфические задачи управления, было трудно заставить заработать вместе - у каждого был свой собственный пользовательский интерфейс и свои предпочтения. Современный подход делает возможным поддержку комбинации приложений от различных производителей в рамках общей открытой управляющей платформы. Такая платформа обеспечивает единый внешний вид, единую карту сети, общие средства фильтрации событий, доступ к SNMP (обязательно) и (возможно) другим управляющим протоколам.
Для того чтобы построить решение, надо выбрать управляющую платформу, подходящую для данной организации: OpenView, NetView/6000, SunNet Manager, Cabletron Spectrum или что-нибудь еще. Следующий шаг - добавление приложений, зависящих от конкретных устройств и процессов, удовлетворяющих уникальным требованиям данной сети. Поскольку реальное управление сетью делается именно этими приложениями, некоторые покупатели сначала составляют список приложений, потом подбирают платформу и затем уже покупают приложения.
