Назначение и принцип работы Sniffer Pro LAN
Традиционным инструментом сетевого инженера является декодер протоколов, с помощью которого можно просматривать заголовки и содержимое сетевых пакетов в читаемом виде (например, Sniffer Basic). Таким способом можно обнаруживать неисправности в сравнительно небольших сетях - декодер протоколов эффективен тогда, когда проблема уже практически локализована.
Как же локализовать проблему в большой загруженной сети? Очевидно, что без специальной экспертной системы это довольно сложно. Экспертный анализатор перехватывает пакеты с одновременным построением базы сетевых объектов, выявляя сетевые аномалии: симптомы и диагнозы. Симптомы - некритические события, например, однократный повтор передачи данных. Диагнозы - критические сбои, требующие немедленного вмешательства. После локализации и анализа проблемы Sniffer Pro LAN выдает соответствующее предупреждение администратору с описанием неисправности и рекомендуемыми действиями по ее устранению - все это происходит автоматически и в реальном масштабе времени.
Именно благодаря экспертным возможностям продукт Sniffer Pro LAN занимает лидирующее положение на рынке сетевых анализаторов. Sniffer Pro LAN - программный пакет для экспертного анализа трафика в локальных сетях любого размера. Графическое представление информации в реальном времени, декодер более 450 протоколов (включая оригинальные, например, Cisco VLAN), экспертный анализ, работа с коммутирующими (Switched) концентраторами - вот неполный перечень возможностей данного продукта.
Другое важное преимущество Sniffer Pro LAN - работа в коммутируемых (Switched) локальных сетях. В отличие от концентраторов физического уровня (Hubs), в последнее время сети все чаще используют коммутацию пакетов на втором уровне - канальном. Концентраторы второго уровня (Switched Hubs) позволяют резко снизить число т.н. коллизий, являющихся характерным явлением сетей CSMA/CD (Ethernet). В больших сетях коллизии резко снижают общую производительность сети.
Коммутируемые сети невозможно анализировать обычными способами перехвата пакетов. Грубо говоря, концентратор второго уровня передает пакеты только их непосредственному получателю, а не всем узлам сети. Чтобы сделать анализ возможным, производители сетевых концентраторов стали снабжать свои изделия специальным "зеркальным" портом, на который транслируется весь сетевой трафик.
Sniffer Pro LAN подключается к концентратору второго уровня с помощью двух сетевых интерфейсов. Первый интерфейс является административным и служит для управления концентратором по SNMP. Второй интерфейс подключается к "зеркальному" порту - через него Sniffer Pro LAN перехватывает весь сетевой трафик, проходящий через концентратор.
 |
Задачи, решаемые Sniffer Pro LAN
Внедрение новых приложений и технологий
Sniffer Pro LAN анализирует влияние новых приложений и технологий на производительность сети на подготовительном этапе, до их внедрения, предотвращая тем самым возможное падение производительности.
Минимизация времени простоев
Экспертный анализатор Sniffer Pro LAN позволяет минимизировать время дорогостоящих простоев сети, обеспечивая быстрый поиск и локализацию проблем, а также их диагностику и решение на всех семи уровнях модели OSI.
Всесторонний анализ сети
Анализируются все области локальной сети, в том числе недоступные для других анализаторов. Например, Switch Expert, входящий в состав Sniffer Pro LAN, обеспечивает взаимодействие с сетевыми коммутаторами, осуществляя мониторинг и анализ виртуальных сетей (VLAN). VLAN Expert локализует проблемы в конфигурации и работе виртуальных сетей, оповещая ответственное лицо и предлагая готовые
|
Возможности Sniffer Pro LAN
- Захват сетевых пакетов в реальном времени
- Анализ ошибок физического уровня (необходимо применение сертифицированных сетевых адаптеров)
- Отображение статистической информации в реальном времени
- Визуализация трафика в виде диаграмм, графов, таблиц и т.д.
- Декодер более 450 протоколов
- Анализ оригинальных протоколов (в частности, Cisco VLAN)
- Sniffer Expert - экспертная система анализа, распознающая более 250 различных симптомов неисправностей
- Switch Expert - анализ концентраторов Ethernet второго уровня (Cisco Catalyst серий 2900, 5000, 6000, Nortel Baystack 450)
- Поддержка топологий Ethernet 10/Mbps, 100 Mbps, Full Duplex, Token Ring 4 Mbps, 16 Mbps, FDDI 100 Mbps
- Анализ полнодуплексных коммутируемых сегментов Fast Ethernet (требуется внешний адаптер Fast Ethernet Full Duplex Pod)
|
Анализ трафика в реальном времени
Sniffer Pro LAN позволяет анализировать сетевой трафик в реальном времени. После запуска Sniffer переводит сетевой интерфейс в режим прослушивания и накапливает статистическую информацию о трафике, позволяя отображать ее в табличном или графическом виде. Вся диаграммы обновляются в реальном времени, т.е. содержат самую последнюю информацию. Программа может представлять результаты в различном виде:
- Traffic Matrix - отображает все маршруты (показывает пары узлов, обменивающихся информацией, а также демонстрирует, какие пары узлов дают наибольший вклад в трафик). Матрицу можно просматривать в виде графа или диаграмм. Ярким цветом подсвечиваются самые последние передачи данных.
- History - временные графики различных характеристик (загрузка, коллизии, число "битых" фреймов и т.д.)
- Host Table - 10 самых активных узлов (по объему трафика). Для каждого узла предоставляется информация, включающая адрес MAC, адреса и протоколы IP, сеть и транспортные параметры IPX.
- Protocol Distribution - распределение одних протоколов внутри других протоколов (например, IP и DECNet поверх Ethernet; HTTP, FTP и NetBIOS поверх IP).
- Global Statistics - статистическое распределение размеров пакетов и загрузки сети.
|
Декодирование протоколов
Sniffer Pro LAN декодирует более 450 протоколов сетевого взаимодействия, начиная с канального и заканчивая уровнем приложений. Декодер отображает полную инкапсуляцию и расшифровывает все заголовки. Например, у перехваченного пакета SMB/NetBIOS можно просмотреть заголовки канального уровня (DLC), сетевого (IP), а также TCP и собственно SMB. Кроме этого приводится 16-ричный дамп (Hex Dump) пакета.
Генерация трафика
Генерация трафика незаменима при отладке сетевых приложений разработчиком. Sniffer Pro LAN способен воспроизводить записанные пакеты, по одному или пачкой, с заданным временным интервалом для лучшего контроля загрузки сети. Пакеты могут быть предварительно откорректированы редактором. Возможна также одновременная генерация трафика с мониторингом.
|
Анализ трафика за длительный период времени
Важной особенностью пакета Sniffer Pro LAN является возможность анализа сетевого трафика за длительный период времени с представлением данных в графическом формате. Sniffer Pro LAN собирает и накапливает статистику, которая может быть отображена в реальном времени в виде "моментального снимка" сетевой активности, сохранена для дальнейшего использования или экспортированы в CSV-формат для последующего анализа с помощью множества различных инструментов производства третьих фирм. Кроме того, Sniffer Pro LAN включает большое количество готовых форм отчетов за определенный период.
Сетевая статистика:
- Загрузка сети, %
- Отслежено фреймов
- Байты
- Распределение размеров фреймов
- Количество сетевых узлов
Статистика ошибок:
- Количество ошибок исполнения (Run Errors)
- Количество ошибок контроля/выравнивания (CDC/alignment)
- Число коллизий
- Количество ошибок фреймов
- Фреймы с превышением размера
Статистика протоколов:
- Загрузка сети по протоколам, %
- Количество фреймов по протоколам, %
- Количество байт по протоколам, %
Статистика размеров фреймов:
- Доли фреймов по размеру, %
- Количество фреймов по размеру
Статистика станций (для каждой активной станции):
- Трафик (входящий и исходящий)
- Загрузка, % (средняя и текущая)
- Средняя загрузка сети, %
Сетевые тревоги:
- Порог уровня ошибок
- Порог бездействия сети
- Порог загрузки сети
- Порог уровня фреймов
- Тревоги превышения размера фрейма
Топологии:
- Ethernet: 10 Mbps, 100 Mbps, Full Duplex
- Token Ring: 4 Mbps, 16 Mbps
- FDDI (Fiber Distributed Data Interface) 100 Mbps
|
Адресная книга и автоматическое обнаружение
Функции адресной книги и Auto Discovery позволяет фиксировать домены IP, входы (logins) IPX, имена NetBIOS, автоматически привязывая их к MAC-адресам. Информация записывается в одну или несколько (для каждого сегмента) адресных книг.
|
Поддерживаемые топологии
- Ethernet: 10 Mbps, 100 Mbps, Full Duplex
- Token Ring: 4 Mbps, 16 Mbps
- FDDI (Fiber Distributed Data Interface) 100 Mbps
|
Экспертная система Sniffer Pro LAN
Как обнаружить проблему в сети масштаба предприятия? Например, можно устанавливать фильтр на сетевые адреса, захватывать и декодировать каждый пакет, затем анализировать перехваченное сетевое соединение. При этом нужно уделять пристальное внимание всем временным меткам и заголовкам пакетов. Затем фильтр настраивается на следующую группу и процесс повторяется. Таким образом, анализируются наиболее важные сетевые ресурсы, например, серверы. Если сеть велика и сильно загружена, процесс значительно усложняется, требуя больших затрат и квалификации. И нет никакой гарантии, что проблема обнаружится там, где ее ищут. Очевидно, что в подобной ситуации должна применяться следящая "интеллектуальная" система, концентрирующая внимание оператора на возникающих неисправностях. Такую возможность предоставляет Sniffer Expert - механизм, встроенный во все продукты Sniffer Pro и DSS/RMON Pro.
|
Возможности Sniffer Expert
Системные требования
|
- Pentium 400 МГц
- Windows 95/98/NT/2000
- 64 Мб RAM (128 Мб рекомендуется)
- 84 Мб дискового пространства
- Fast Ethernet Full Duplex
- Token Ring
- FDDI
|
Входит в состав пакетов
|
|
|
Обнаружение и локализация проблемы
Анализатор просматривает перехваченные в сети кадры и сигнализирует администратору об обнаруженных аномалиях.
Диагностика
Sniffer Expert автоматически выявляет проблемы на всех семи уровнях модели OSI в реальном времени, начиная с канального и заканчивая уровнем приложений. Информация о возникшей проблеме отображается вместе с уровнем её важности. При этом Sniffer Expert оперирует двумя основными понятиями: симптомы (менее критичные проблемы) и диагнозы (критичные). Например, повышенная задержка между запросом HTTP GET и ответом сервера относится к симптомам, а перегрузка сегмента выше заданного порога - диагнозом. Sniffer Expert распознает более 250 различных симптомов и диагнозов неисправностей с выдачей возможных путей решения проблем.
Детальное описание проблемы
Администратор может вызвать окно детального описания, в котором содержится информация о симптомах проблемы и возможных путях её разрешения. Выявленные симптомы и диагнозы располагаются системой на соответствующих уровнях модели сетевого взаимодействия - графический интерфейс Sniffer Expert разработан на основе этой концепции. Сводная таблица отображает текущее состояние Sniffer Expert, которое для каждого уровня включает диагнозы, симптомы и все обнаруженные сетевые объекты. Например, Sniffer Expert выявляет маршрутную информацию, перехватывая соответствующие протоколы (RIP и т.д.). На основе нее заполняются объекты типа Route. По каждой выявленной проблеме система отображает "виновные" объекты и подробный текстовый комментарий.
|
Аппаратное обеспечение
Некоторые характеристики сети (например, число коллизий Ethernet) анализируются только при наличии специального аттестованного Network Associates сетевого адаптера Ethernet, Token Ring или FDDI. Network Associates поставляет адаптеры Ethernet 10/100, Token Ring и FDDI как в стандарте PCI - для установки в настольный компьютер или переносной индустриальный компьютер Sniffer FlexPAC, так и CardBus - для установки в обычный ноутбук. Поставляются следующие адаптеры:
|
- Ethernet 10/100 Mb Cardbus Card
- Ethernet 10/100 Mb PCI Card
- Fast Ethernet Full Duplex PCI Card
- Token Ring PCMCIA Card
- Token Ring PCI card
- FDDI SAS/DAS PCI Card
- Fast Ethernet Full Duplex Pod (внешний адаптер для работы с полнодуплексными коммутируемыми сетями Fast Ethernet)
|
Награды и сертификаты
|
