unitest
Юнитест диалог
buttons contacts theory about us home
Версия для печати

Что такое анализатор протоколов?

С развитием современных локальных (LAN) и глобальных (WAN) сетей, от знакомых нам когда-то анализаторов протоколов осталось только название. Первоначально разработанные для слежения за одноуровневыми (многоуровневой модели OSI и вложения протоколов тогда не существовало) глобальными сетями, работающими со скоростями передачи 9600 бит в секунду и менее, первые анализаторы протоколов были не более чем устройствами для захвата и декодирования сигнала. В содержимом декодированных фреймов (кадров) приходилось разбираться пользователю.
Современные анализаторы протоколов должны декодировать множество протоколов одновременно на скоростях немыслимых 10 лет назад. Помимо детального анализа протоколов современные приборы должны следить за сетью и собирать подробную статистику о ее работе. Последнее поколение анализаторов протоколов предоставляет возможность всестороннего слежения как за производительностью и загруженностью всей сети, так и за функционированием отдельного приложения индивидуального пользователя. Анализаторы протоколов имеют определенные преимущества перед другими технологиями: анализ и нахождение неисправностей по ходу работы, оценка производительности при планировании сети и решение проблем функционирования сетевых приложений, что недоступно для систем удаленного контроля и управления сетью.
Стоимость анализаторов протоколов колеблется от нескольких сотен до десятков тысяч долларов. С первого раза правильный выбор сделать нелегко, а посему, вооружимся знаниями.
Программные анализаторы для локальных сетей (LAN).
На низшей ступени анализаторов LAN находятся программные анализаторы. Цена получается низкой за счет применения ПО, работающего под обычной операционной системой и использования имеющейся сетевой карты. Прогресс в производительности компьютеров и характеристиках чипсетов для сетевых карт сделал программные анализаторы жизнеспособными в низко и среднезагруженных сетях.
Для сетей Ethernet и Token Ring сетевой адаптер должен поддерживать так называемый беспорядочный режим (Promiscuous Mode) при котором в сети обнаруживаются и передаются для дальнейшего анализа в компьютер все фреймы вне зависимости от их конечного адреса. Без этого режима сетевой адаптер будет пропускать в компьютер фреймы только со своим MAC-адресом (MAC-адрес -уникальное 48-разрядное число, присваиваемое сетевому адаптеру производителем), что делает анализ малоинформативным.
Поскольку программный анализатор – это программа, выполняемая на компьютере, то, по сути дела, все функции анализа выполняет компьютер. Вычислительная мощь компьютера, количество памяти, возможности сетевого адаптера и степень загруженности сети – все это сказывается на характеристиках программного анализатора.

Программный анализатор.

Если локальная сеть полностью загружена, то есть вероятность того, что программный анализатор не будет "видеть" все пакеты в сети, потому что скорости процессора не хватит для анализа каждого из них.
Степень анализа протокола.
Многие программные анализаторы в силу стремления к снижению стоимости не предназначены для глубокого анализа декодированных фреймов. Понимать и использовать информацию, предоставляемую такими анализаторами, способен далеко не каждый пользователь. В любом случае, при обращении в службу поддержки, эта информация не будет лишней. Всегда выбирайте программный анализатор с большей глубиной анализа, даже если Вам кажется, что такие подробности излишни.
Слежение за загруженностью сети и предоставление статистики – еще одна способность качественных программных анализаторов, совсем не лишняя при проведении анализа трафика локальной сети.
В целом, программные анализаторы предоставляют информацию об общей модели трафика, не вдаваясь в дополнительные подробности. Выбирайте программу, которая показывает не только количество IP, IPX или HTTP трафика, но и подробную информацию о модели трафика и протоколах.
Фильтрация: сужение области поиска неисправности.
Для сужения области поиска конкретной неисправности пользователь может применить фильтр, который будет пропускать для дальнейшей обработки только определенные фреймы, например, только от какой-то одной рабочей станции. При этом все фреймы поступают в компьютер и обрабатываются на предмет соответствия условиям фильтрации. Соответствующие условиям фреймы записываются в память, остальные – отбрасываются. Этот тип фильтрации требует большой вычислительной мощности процессора.
Ограничения мониторинга: полудуплексные и дуплексные анализаторы.
Одним из ограничений, присущих программным анализаторам является невозможность работы в дуплексном режиме, когда прием и передача выполняются одновременно. В случае подключения через концентратор (Hub), пригоден и полудуплексный анализатор.

Концентратор

Все фреймы на входе концентратора передаются на все задействованные порты. Это значит, что анализатор протоколов может быть подключен к любому свободному порту, и будет "видеть" все данные на входе концентратора.

Концентратор + ПА

Сложности возникают при использовании в сети коммутаторов (switch). Будучи более "разумным" устройством, чем "широковещательный" концентратор, коммутатор "знает" адреса устройств, подключенных к каждому порту, и передает фреймы только между требуемыми портами. Это позволяет разгрузить другие порты, не передавая на них каждый пакет, как это делает концентратор. В то же время, мы не можем подключить анализатор, поскольку порт занят исследуемым устройством.

Концентратор

Одним из способов решения этой проблемы является присоединение концентратора к порту коммутатора. Тогда трафик по этому порту будет передаваться одновременно и на анализатор протоколов и на устройство.
Если возможно, то концентратор лучше включать в последний используемый порт коммутатора. Порты коммутатора, подключенные к клиентам, обычно менее загружены, чем порты, подключенные к серверам.
Подключение программных анализаторов к коммутаторам сети Ethernet может быть выполнено с помощью концентратора. Этот тип соединения может не работать в некоторых дуплексных средах.

Концентратор + коммутатор

Некоторые программные анализаторы комплектуются специальными сетевыми адаптерами. По сравнению с обычными сетевыми адаптерами такие карты имеют улучшенные возможности по отслеживанию определенных параметров, например, таких как коллизии.
Эти адаптеры не следует путать с настоящими аппаратными анализаторами, поскольку для перехвата и анализа фреймов все еще применяется компьютер.
Аппаратные анализаторы локальных сетей.
Когда необходима высокая производительность и подробный анализ протоколов и трафика, то тогда придется покупать аппаратный анализатор протоколов. Возросшие требования по мониторингу скоростного трафика удовлетворяются применением специализированной аппаратной схемы со встроенным программным обеспечением. В аппаратной схеме применяются процессоры, полностью посвященные задачам перехвата и анализа сетевых данных. В отличие от своих программных "братьев" характеристики перехвата и анализа фреймов у аппаратных анализаторов не зависят от производительности процессора компьютера.
Аппаратная фильтрация: высокопроизводительные фильтры.
Аппаратные анализаторы содержат специальные схемы, которые могут быть настроены для фильтрации по определенным условиям, как входящих, так и исходящих фреймов. Эти схемы позволяют избежать посылки на процессор сигналов прерывания, "предлагающих" ему заняться работой по фильтрации, и уменьшают или исключают возможность пропуска необходимых фреймов в сильно загруженных сетях.

Аппаратный анализатор

Дополнительный функции:
Другой важной особенностью качественных аппаратных анализаторов является возможность мониторинга дуплексных сетей Ethernet. Многие сети, особенно те, в которых применяются коммутаторы, могут проверяться только аппаратными анализаторами, способными поддерживать дуплексный режим. Работа в дуплексном режиме не исключает возможности подключения аппаратного анализатора к стандартному порту концентратора.

Аппаратный анализатор

Благодаря специализированным аппаратным схемам становится возможной разработка ПО, расширяющего возможности анализаторов. Это могут быть долговременный мониторинг приложений и экспертные системы, работающие в реальном времени. При покупке аппаратного анализатора, обращайте внимание на предоставляемые им возможности. Не все из них могут Вам понадобиться сегодня, но потребности меняются с развитием технологий и лучше сейчас немного переплатить за прибор, способный "расти" вместе с Вашей сетью, чем через несколько лет покупать новый.
Некоторые программные анализаторы поддерживают многосегментный анализ. При этом производится мониторинг более чем одного сегмента сети одновременно. Например, обе стороны маршрутизатора, локальная и глобальная, могут отслеживаться одновременно для анализа трафика, проходящего через маршрутизатор. Если Вы сталкиваетесь с неисправностями маршрутизации, коммутирования и временными задержками, то многосегметный анализ поможет проверить правильность маршрутизации или коммутации и обнаружить чрезмерные задержки при передаче пакетов.
Архитектура: концепции построения.
Аппаратные анализаторы бывают двух основных типов. В первом случае анализатор представляет собой самодостаточный прибор, в котором содержится все необходимое для работы: от интерфейсных карт до клавиатуры и дисплея. Недостатком такого подхода является отсутствие гибкости: возможности ограничены предусмотренным набором, модернизация прибора и адаптация к новым технологиям затруднены.
Во втором случае анализатор изготавливается в виде отдельного блока, который подключается к персональному компьютеру (ноутбуку). Это позволяет использовать уже имеющийся компьютер для управления анализатором. Полученная информация сохраняется на жестком диске компьютера и может быть просмотрена позже без необходимости включения анализатора. Облегчается передача информации в расположенные на компьютере приложения по составлению отчетов и отсылка этой информации по электронной почте.
Другое преимущество внешнего анализатора, управляемого компьютером, заключается в его стоимости. Производитель анализаторов со встроенным компьютером тратит время и деньги на разработку компьютера, в то время как, возможно, компьютер даже с лучшими параметрами у Вас уже есть.
Некоторые производители делают сетевые адаптеры, которые в действительности представляют собой аппаратные анализаторы. Обычно они выполнены в виде PCI-карты и содержат процессор и другие цепи, предназначенные для выполнения анализа. Это не значит, что все PCI-анализаторы являются аппаратными. Отличить аппаратный анализатор от программного можно по месту сбора и обработки данных.
Анализаторы глобальных сетей (WAN).
В силу специфики работы глобальных сетей программных анализаторов для них не существует.
По своей природе глобальные сети двунаправлены. Это значит, что аппаратура передачи данных (data communications equipment, DCE) и оконечное оборудование (data terminal equipment, DTE) имеют один приемник и один передатчик. Кроме того, для приложений WAN часто необходим специализированный интерфейс, учитывающий множество скоростей и оконечных устройств. Для мониторинга трафика в обоих направлениях анализатор должен следить как за стороной передачи, так и за стороной приема. Для этого необходимо иметь два приемника. Обычно подключение WAN-анализатора выполняется “Y” кабелем.

Подключение WAN-анализатора “Y” кабелем.

При слежении за трафиком WAN-анализатор должен "понимать" различные типы инкапсуляций (вложений протоколов), применяемых в сети. Таких как PPP, frame relay, SDLC и т.д. Помните, что Ваша сеть может измениться, поэтому WAN-анализатор должен легко модернизироваться.
При покупке WAN-анализатора необходимо рассматривать его совместимость с LAN-анализатором. Если в будущем Вам понадобится LAN-анализатор, то лучше чтобы оборудование было сделано по общему принципу, работало "в команде". В этом случае возможности анализа у такой пары будут выше, чем у суммы разнородных приборов. Обращайте внимание на такие инструменты, как декодирующие протокол приложения и согласующийся вид графиков и диаграмм на LAN и WAN-анализаторах.
Распределенные анализаторы.
Распределенные анализаторы предназначены для проведения анализа в ключевых точках по всей сети. Идея состоит в том, чтобы разместить анализаторы в различных сегментах сети и управлять ими удаленно, из одного места.
Распределенные анализаторы могут быть как аппаратными, так и программными для локальных сетей, и только аппаратными для глобальных.
Программные анализаторы часто размещают на компьютерах пользователей и в случае необходимости запускают их в фоновом режиме. Работникам информационно-управляющей системы (MIS) надо только подключиться и запустить анализатор. В зависимости от потребностей количество "агентов" распределенного анализатора может составлять от двух до нескольких сотен.
При выборе компьютеров для размещения "агентов" следует руководствоваться определенными соображениями. Выбирайте компьютеры, которые не будут выключены. Некоторые пользователи устанавливают компьютеры, полностью посвященные работе приложений анализатора. Это гарантирует постоянный доступ и исключает возможность изменения конфигурации таким образом, что это остановит работу "агента". Кроме того, характеристики анализатора будут лучше, если на компьютере одновременно не будут запускаться конкурирующие приложения.
Блоки аппаратного анализатора размещают в различных местах по всей сети. Аппаратные анализаторы часто применяются как для обычного мониторинга сети, так и для анализа. Текущее состояние сети можно сравнивать с данными собранными ранее, что позволяет увидеть отклонения в степени загруженности сети и принять меры раньше, чем возникнут проблемы.
Если Вы собираетесь устанавливать распределенный анализатор в сети, то продумайте способ подключения и управления блоками. Помимо подключения через локальную сеть надо предусмотреть подключение по телефонной линии. Распределенный анализатор, к которому невозможно подключиться по причине выхода сети из строя, принесет мало пользы.
Распределенный аппаратный анализатор должен поддерживать метод сегментированной коммутации.
Задействуя матричные коммутаторы, пользователь может подключить анализатор к множеству портов концентратора или коммутатора и удаленно выбирать порт для мониторинга. Это исключает необходимость покупки большого количества анализаторов. Матричные коммутаторы доступны для поддержки всех видов локальных и глобальных сетей.
Многие пользователи выбирают комбинацию аппаратных и программных анализаторов в распределенной системе. Аппаратные анализаторы размещают в критически важных участках, таких как магистраль Ethernet или линия ATM или frame relay глобальной сети. Они дополняются распределенными программными анализаторами, работающими на компьютерах, подключенных к менее критическим участкам Ethernet. Убедитесь, что ключевые приложения, такие как механизм декодирования протоколов, работают одинаково как в аппаратном, так и в программном анализаторах.
Часто программные анализаторы размещают на компьютерах пользователей в ключевых сегментах по всей сети, а аппаратные анализаторы устанавливают возле маршрутизаторов и коммутаторов в помещении для оборудования. Этот способ выгоден тем, что обеспечивает низкую стоимость анализа индивидуальных сегментов и, в то же время, помещает мощь аппаратных анализаторов в то место, где от них будет максимум пользы.
Что подходит Вам?
Выбор необходимого Вам анализатора зависит от информации, которую Вы надеетесь от него получить. Если нужен базовый мониторинг локальной сети и возможность локализации неисправностей, то подойдет программный анализатор.
Аппаратные LAN-анализаторы сложнее в настройке и работе, но предоставляют большое количество информации, с которой обычно имеют дело эксперты по сетям. Если Вы экспертом пока не являетесь, то сложность и подробность информации Вам не очень поможет. В этом случае лучше пользоваться простым и понятным программным анализатором.
Если Вы выбираете программный анализатор, то убедитесь, что к нему есть дополнительные программные модули, повышающие уровень анализа. Часто пользователи начинают работать с базовыми компонентами программного анализатора и по мере их освоения видят, что могли бы получить больше от дополнительных компонентов, например, таких как программы экспертного анализа. Некоторые программные анализаторы не имеют дополнительных возможностей, и пользователям приходится полностью менять анализатор в случае возросших требований к производительности анализа.
Если Вы отвечаете за сегмент локальной сети размещенной на большой площади, то распределенный программный анализатор поможет сократить "походно-ремонтное" время. Жалобы от удаленного пользователя на медленно работающее приложение можно проверить, не сходя со своего рабочего места, подключившись к соответствующему агенту программного анализатора. В случае изменения конфигурации сети можно оценить ее производительность и определить нагрузку, вызванную подключением нового пользователя или запуском приложения в сегменте.
Аппаратные LAN-анализаторы - инструмент для серьезных пользователей. Хороший аппаратный анализатор "выдает" огромное количество информации о сети и больше всего подходит для слежения за нагрузкой и распределением протоколов на высокоскоростных тяжело загруженных участках и магистралях. Благодаря своим возможностям передачи данных они могут применяться как для проверки участков WAN и LAN, так и для подключения новых. Это инструменты для тех, кто профессионально отвечает за настройку сети, поддержку, анализ и нахождение неисправностей.
Одна из вещей, часто остающаяся вне поля зрения, - это система экспертного анализа. Сеть 100Base-T Fast Ethernet может легко производить 20000 фреймов в секунду. Такой объем трафика может "завалить" данными пользователя, пытающегося анализировать его. В какой-то степени может помочь фильтрация отдельных типов фреймов, но полностью проверить весь объем данных под силу экспертной системе. Особенно она полезна, когда проблемы вызваны взаимодействием нескольких различных приложений. Помните: целью является поиск и устранение неисправности. Хорошая экспертная система делает Вас экспертом, но не требует им быть, чтобы пользоваться ею.
Портативность – тоже важный вопрос для рассмотрения. Подумайте о том, где Вы планируете использовать анализатор. Некоторые анализаторы никогда не покинут здание, поэтому их вес и размеры не имеют значения. Если же Вам придется ездить с анализатором, то подумайте, как он будет размещаться в машине, и сколько человек его будут туда нести.
У многих пользователей есть ноутбук, которым они регулярно пользуются. Если у Вас анализатор со встроенным компьютером, то носить надо будет два компьютера. Оказавшись перед зданием с неисправным лифтом, очень не хочется вешать на плечи 20 кг инструментария.
Если Вы намереваетесь составлять отчеты или переносить собранную информацию в другие приложения, то убедитесь, что анализатор поддерживает такие возможности. Это окажется важным, когда Вы захотите отправить собранную информацию в службу поддержки. Предполагаемому получателю не понадобится загружать в компьютер ПО Вашего анализатора, если данные будут преобразованы в стандартный формат.
Возможно, лучше всего Вам подойдет комбинация программных и аппаратных анализаторов. В этом случае большому количеству пользователей можно установить относительно недорогие программные анализаторы, а аппаратный анализатор использовать в особо тяжелых случаях.

Перепечатка возможна только с использованием ссылки: https://www.unitest.com/theory/