Similar presentations:
Мониторинг и анализ локальных сетей. Лекция 36
1. Мониторинг и анализ локальных сетей
Лекция 36.2.
Вопросы для изучения:• Протоколы SNMP, SNMPv3;
• Классификация средств мониторинга и
анализа сети.
3. Протокол SNMP
Протокол SNMP (Simple Management NetworkProtocol — простой протокол сетевого
администрирования) используется в качестве
стандартного протокола взаимодействия
менеджера и агента.
• Протокол SNMP относится к прикладному
уровню стека TCP/IP.
• Для транспортировки своих сообщений он
использует дейтаграммный транспортный
протокол UDP
4.
SNMP —это протокол типа «запрос-ответ», тоесть на каждый запрос, поступивший от
менеджера, агент должен передать ответ.
Особенностью протокола является его
чрезвычайная простота — он включает в себя
всего несколько команд.
SNMP-сообщения, в отличие от сообщений
многих других коммуникационных протоколов,
не имеют заголовков с фиксированными
полями.
Любое SNMP-сообщение состоит из трех
основных частей: версии протокола, общей
строки и области данных.
5.
• Общая строка (community string)используется для группирования устройств,
управляемых определенным менеджером.
Общая строка является своего рода
паролем, так как для того, чтобы устройства
могли взаимодействовать по протоколу
SNMP, они должны иметь одно и то же
значение этого идентификатора (по
умолчанию часто употребляется строка
«public»).
6.
• В области данных содержатся описанныекоманды протокола, а также имена
объектов и их значения. Область данных
состоит из одного или более блоков,
каждый из которых может относиться к
одному из перечисленных типов команд
протокола SNMP. Для каждого типа
команды определен свой формат.
7. SNMPv3
SNMPv3 предоставляет важные особенностибезопасности:
• Аутентификация — определение источника
сообщения.
• Конфиденциальность — шифрование пакетов
для защиты от перехвата.
• Целостность — предотвращение изменений
сообщений в пути, включая дополнительный
механизм защиты от повторной трансляции
перехваченного пакета.
8. Классификация средств мониторинга и анализа
Все многообразие средств, применяемых для мониторинга ианализа вычислительных сетей, можно разделить на
несколько крупных классов:
• Системы управления сетью (NetworkManagementSystems)
— централизованные программные системы, которые
собирают данные о состоянии узлов и коммуникационных
устройств сети, а также данные о трафике, циркулирующем
в сети. Эти системы не только осуществляют мониторинг и
анализ сети, но и выполняют в автоматическом или
полуавтоматическом режиме действия по управлению
сетью — включение и отключение портов устройств,
изменение параметров мостов адресных таблиц мостов,
коммутаторов и маршрутизаторов и т. п. Примерами систем
управления могут служить популярные системы
HPOpenView, SunNetManager, IBMNetView.
9. Классификация средств мониторинга и анализа
• Средства управления системой(SystemManagement). Средства управления
системой часто выполняют функции,
аналогичные функциям систем управления, но по
отношению к другим объектам. В первом случае
объектом управления является программное и
аппаратное обеспечение компьютеров сети, а во
втором — коммуникационное оборудование.
Вместе с тем, некоторые функции этих двух видов
систем управления могут дублироваться,
например, средства управления системой могут
выполнять простейший анализ сетевого трафика.
10. Классификация средств мониторинга и анализа
• Встроенные системы диагностики иуправления (Embeddedsystems). Эти системы
выполняются в виде программно-аппаратных
модулей, устанавливаемых в
коммуникационное оборудование, а также в
виде программных модулей, встроенных в
операционные системы. Они выполняют
функции диагностики и управления только
одним устройством, и в этом их основное
отличие от централизованных систем
управления.
11. Классификация средств мониторинга и анализа
• Анализаторы протоколов (Protocolanalyzers).Представляют собой программные или
аппаратно-программные системы, которые
ограничиваются в отличие от систем управления
лишь функциями мониторинга и анализа трафика
в сетях. Анализаторы протоколов позволяют
установить некоторые логические условия для
захвата отдельных пакетов и выполняют полное
декодирование захваченных пакетов, то есть
показывают в удобной для специалиста форме
вложенность пакетов протоколов разных уровней
друг в друга с расшифровкой содержания
отдельных полей каждого пакета.
12. Свойства анализаторов протоколов
Пользовательский интерфейс: позволяет пользователю: выводить результаты анализа
интенсивности трафика; получать мгновенную и усредненную статистическую оценку
производительности сети; задавать определенные события и критические ситуации для
отслеживания их возникновения; производить декодирование протоколов разного уровня и
представлять в понятной форме содержимое пакетов.
Буфер захвата. Буферы отличаются по объему. Буфер может располагаться на устанавливаемой
сетевой карте, либо для него может быть отведено место в оперативной памяти одного из
компьютеров сети. Если буфер расположен на сетевой карте, то управление им осуществляется
аппаратно, и за счет этого скорость ввода повышается. В случае недостаточной
производительности процедуры захвата, часть информации будет теряться, и анализ будет
невозможен. Каким бы большим ни был буфер захвата, рано или поздно он заполнится. В этом
случае либо прекращается захват, либо заполнение начинается с начала буфера.
Фильтры. Фильтры позволяют управлять процессом захвата данных, и, тем самым, позволяют
экономить пространство буфера. Использование фильтров значительно ускоряет и упрощает
анализ, так как исключает просмотр ненужных в данный момент пакетов.
Переключатели — это задаваемые оператором некоторые условия начала и прекращения
процесса захвата данных из сети. Такими условиями могут быть выполнение ручных команд
запуска и остановки процесса захвата, время суток, продолжительность процесса захвата,
появление определенных значений в кадрах данных.
Поиск. Некоторые анализаторы протоколов позволяют автоматизировать просмотр
информации, находящейся в буфере, и находить в ней данные по заданным критериям.
Функции поиска применяются к уже накопленным в буфере данным.
13.
Методология проведения анализа может бытьпредставлена в виде следующих шести этапов:
• Захват данных.
• Просмотр захваченных данных.
• Анализ данных.
• Поиск ошибок.
• Исследование производительности. Рассчитывается
коэффициент использования пропускной
способности сети или среднее время реакции на
запрос.
• Подробное исследование отдельных участков сети.
Содержание этого этапа конкретизируется по мере
того, как проводится анализ
14. Сетевые анализаторы
• Сетевые анализаторы (не путайте их санализаторами протоколов) представляют
собой эталонные измерительные инструменты
для диагностики и сертификации кабелей и
кабельных систем.
• Сетевые анализаторы содержат высокоточный
частотный генератор и узкополосный
приемник. Передавая сигналы различных
частот в передающую пару и измеряя сигнал в
приемной паре, можно измерить затухание и
др.
15. Экспертные системы
• Этот вид систем используют для выявленияпричин аномальной работы сетей и
возможных способах приведения сетей в
работоспособное состояние.
• Экспертные системы часто реализуются в
виде отдельных подсистем различных
средств мониторинга и анализа сетей:
- систем управления сетями,
- анализаторов протоколов,
- сетевых анализаторов.