ТЕОРИТИЧЕСКИЕ АСПЕКТЫ ИСПОЛЬЗОВАНИЯ СЕТЕВЫХ ПРОТОКОЛОВ ПРЕДПРИЯТИЯ.

В рамках данной работы приведена разработка протокола анализатора для локальной сети.

Анализатор сетевых протоколов — жизненно важная часть набора инструментов сетевого администратора. Анализ сетевых протоколов — это поиск истины в сетевых коммуникациях.

Анализатор протоколов выполняет простые операции:

1. При работе в режиме полного сканирования (когда перехватываются все пакеты, а не только широковещательные или адресованные сетевому адаптеру анализатора) он получает копию каждого пакета, проходящего по некоторому участку сети.

3. Отбрасывает неинтересные для данного наблюдения пакеты.

4. Выводит побитную информацию о пакетах каждого из сетевых уровней.

Результаты исследования пакетов можно сохранить в журнале отслеживания и всегда вызвать для дополнительного анализа. Работа анализатора показана на рис. 1.

Рисунок 1. Схема перехвата пакетов и вывода результатов в анализаторе протоколов

Существуют различные реализации анализаторов протоколов. Иногда анализатор представляет собой обычное приложение и использует установленный в компьютере сетевой адаптер. Главный недостаток программных анализаторов – низкая производительность, поскольку приходиться использовать ресурсы компьютера (шину, процессор и сетевой адаптер) совместно с другими приложениями. Кроме того, драйверы сетевых адаптеров не предназначены для продолжительного перехвата всех поступающих пакетов.

К другому типу относятся анализаторы, представляющие собой высокопроизводительные платформы. Иногда анализатор снабжается отдельным сетевым адаптером (например, Domino компании Wavetek Wandel Goldermann) или подключается через переходное устройство к рабочей станции или переносному компьютеру (например, Sniffer компании Network Associates). После перехвата посланного по кабелю пакета, анализатор выделяет заголовки и подробно в каждом из них описывает отдельный бит. Пример анализа пакета регистрации в NT показан на рис. 2 (приведены текстовое описание и «сырые» шестнадцатеричные данные для разных уровней стека протоколов).

Программные анализаторы для локальных сетей (LAN).

На низшей ступени анализаторов LAN находятся программные анализаторы. Цена

получается низкой за счет применения ПО, работающего под обычной операционной системой и использования имеющейся сетевой карты. Прогресс в производительности компьютеров и характеристиках чипсетов для сетевых карт сделал программные анализаторы жизнеспособными в низко и средне загруженных сетях. Для сетей Ethernet и Token Ring сетевой адаптер должен поддерживать так называемый беспорядочный режим(Promiscuous Mode) при котором в сети обнаруживаются и передаются для дальнейшего анализа в компьютер все фреймы вне зависимости от их конечного адреса. Без этого режима сетевой адаптер будет пропускать в компьютер фреймы только со своим MAC-адресом (MAC-адрес -уникальное 48-разрядное число, присваиваемое сетевому адаптеру производителем), что делает анализ малоинформативным. Поскольку программный анализатор – это программа, выполняемая на компьютере, то, по сути дела, все функции анализа выполняет компьютер. Вычислительная мощь компьютера, количество памяти, возможности сетевого адаптера и степень загруженности сети – все это сказывается на характеристиках программного анализатора.

Если локальная сеть полностью загружена, то есть вероятность того, что программный анализатор не будет "видеть" все пакеты в сети, потому что скорости процессора не хватит для анализа каждого из них. Многие программные анализаторы в силу стремления к снижению стоимости не предназначены для глубокого анализа декодированных фреймов. Понимать и использовать информацию, предоставляемую такими анализаторами, способен далеко не каждый пользователь. В любом случае, при обращении в службу поддержки, эта информация не будет лишней. Всегда выбирайте программный анализатор с большей глубиной анализа, даже если Вам кажется, что такие подробности излишни. Слежение за загруженностью сети и предоставление статистики – еще одна способность качественных программных анализаторов, совсем не лишняя при проведении анализа трафика локальной сети. В целом, программные анализаторы предоставляют информацию об общей модели трафика, не вдаваясь в дополнительные подробности. Выбирайте программу, которая показывает не только количество IP, IPX или HTTP трафика, но и подробную информацию о модели трафика и протоколах. Для сужения области поиска конкретной неисправности пользователь может применить фильтр, который будет пропускать для дальнейшей обработки только определенные фреймы, например, только от какой-то одной рабочей станции. При этом все фреймы поступают в компьютер и обрабатываются на предмет соответствия условиям фильтрации. Соответствующие условиям фреймы записываются в память, остальные – отбрасываются. Этот тип фильтрации требует большой вычислительной мощности процессора. Одним из ограничений, присущих программным анализаторам является невозможность работы в дуплексном режиме, когда прием и передача выполняются одновременно. В случае подключения через концентратор (Hub), пригоден и полудуплексный анализатор.

Все фреймы на входе концентратора передаются на все задействованные порты. Это значит, что анализатор протоколов может быть подключен к любому свободному порту, и будет "видеть" все данные на входе концентратора.

Сложности возникают при использовании в сети коммутаторов (switch). Будучи более "разумным" устройством, чем "широковещательный" концентратор, коммутатор "знает" адреса устройств, подключенных к каждому порту, и передает фреймы только между требуемыми портами. Это позволяет разгрузить другие порты, не передавая на них каждый пакет, как это делает концентратор. В то же время, мы не можем подключить анализатор, поскольку порт занят исследуемым устройством.

Одним из способов решения этой проблемы является присоединение концентратора к порту коммутатора. Тогда трафик по этому порту будет передаваться одновременно и на анализатор протоколов и на устройство. Если возможно, то концентратор лучше включать в последний используемый порт коммутатора. Порты коммутатора, подключенные к клиентам, обычно менее загружены, чем порты, подключенные к серверам. Подключение программных анализаторов к коммутаторам сети Ethernet может быть выполнено с помощью концентратора. Этот тип соединения может не работать в некоторых дуплексных средах.

Некоторые программные анализаторы комплектуются специальными сетевыми адаптерами. По сравнению с обычными сетевыми адаптерами такие карты имеют улучшенные возможности по отслеживанию определенных параметров, например, таких как коллизии. Эти адаптеры не следует путать с настоящими аппаратными анализаторами, поскольку для перехвата и анализа фреймов все еще применяется компьютер.

Когда необходима высокая производительность и подробный анализ протоколов и трафика, то тогда придется покупать аппаратный анализатор протоколов. Возросшие требования по мониторингу скоростного трафика удовлетворяются применением специализированной аппаратной схемы со встроенным программным обеспечением. В аппаратной схеме применяются процессоры, полностью посвященные задачам перехвата и анализа сетевых данных. В отличие от своих программных "братьев" характеристики перехвата и анализа фреймов у аппаратных анализаторов не зависят от производительности процессора компьютера. Аппаратные анализаторы содержат специальные схемы, которые могут быть настроены для фильтрации по определенным условиям, как входящих, так и исходящих фреймов. Эти схемы позволяют избежать посылки на процессор сигналов прерывания, "предлагающих" ему заняться работой по фильтрации, и уменьшают или исключают возможность пропуска необходимых фреймов в сильно загруженных сетях.

Другой важной особенностью качественных аппаратных анализаторов является возможность мониторинга дуплексных сетей Ethernet. Многие сети, особенно те, в которых применяются коммутаторы, могут проверяться только аппаратными анализаторами, способными поддерживать дуплексный режим. Работа в дуплексном режиме не исключает возможности подключения аппаратного анализатора к стандартному порту концентратора.

Благодаря специализированным аппаратным схемам становится возможной разработка ПО, расширяющего возможности анализаторов. Это могут быть долговременный мониторинг приложений и экспертные системы, работающие в реальном времени. При покупке аппаратного анализатора, обращайте внимание на предоставляемые им возможности. Не все из них могут Вам понадобиться сегодня, но потребности меняются с развитием технологий и лучше сейчас немного переплатить за прибор, способный "расти" вместе с Вашей сетью, чем через несколько лет покупать новый. Некоторые программные анализаторы поддерживают многосегментный анализ. При этом производится мониторинг более чем одного сегмента сети одновременно. Например, обе стороны маршрутизатора, локальная и глобальная, могут отслеживаться одновременно для анализа трафика, проходящего через маршрутизатор. Если Вы сталкиваетесь с неисправностями маршрутизации, коммутирования и временными задержками, то многосегметный анализ поможет проверить правильность маршрутизации или коммутации и обнаружить чрезмерные задержки при передаче пакетов. Аппаратные анализаторы бывают двух основных типов. В первом случае анализатор представляет собой самодостаточный прибор, в котором содержится все необходимое для работы: от интерфейсных карт до клавиатуры и дисплея. Недостатком такого подхода является отсутствие гибкости: возможности ограничены предусмотренным набором, модернизация прибора и адаптация к новым технологиям затруднены. Во втором случае анализатор изготавливается в виде отдельного блока, который подключается к персональному компьютеру (ноутбуку). Это позволяет использовать уже имеющийся компьютер для управления анализатором. Полученная информация сохраняется на жестком диске компьютера и может быть просмотрена позже без необходимости включения анализатора. Облегчается передача информации в расположенные на компьютере приложения по составлению отчетов и отсылка этой информации по электронной почте. Другое преимущество внешнего анализатора, управляемого компьютером, заключается в его стоимости. Производитель анализаторов со встроенным компьютером тратит время и деньги на разработку компьютера, в то время как, возможно, компьютер даже с лучшими параметрами у Вас уже есть. Некоторые производители делают сетевые адаптеры, которые в действительности представляют собой аппаратные анализаторы. Обычно они выполнены в виде PCI-карты и содержат процессор и другие цепи, предназначенные для выполнения анализа. Это не значит, что все PCI-анализаторы являются аппаратными. Отличить аппаратный анализатор от программного можно по месту сбора и обработки данных.

ЧТО И КАК ПИСАЛИ О МОДЕ В ЖУРНАЛАХ НАЧАЛА XX ВЕКА Первый номер журнала «Аполлон» за 1909 г. начинался, по сути, с программного заявления редакции журнала...

Что делать, если нет взаимности? А теперь спустимся с небес на землю. Приземлились? Продолжаем разговор...

Система охраняемых территорий в США Изучение особо охраняемых природных территорий(ООПТ) США представляет особый интерес по многим причинам...

Что способствует осуществлению желаний? Стопроцентная, непоколебимая уверенность в своем...

Не нашли то, что искали? Воспользуйтесь поиском гугл на сайте: