Аналізатори протоколів

В ході проектування нової або модернізації старої мережі часто виникає необхідність в кількісному вимірюванні деяких характеристик мережі таких, наприклад, як інтенсивності потоків даних по мережних лініях зв'язку, затримки, що виникають на різних етапах обробки пакетів, часи реакції на запити того або іншого вигляду, частота виникнення певних подій і інших характеристик.

Для цих цілей можуть бути використані різні засоби і перш за все - засоби моніторингу в системах управління мережею, які вже обговорювалися в попередніх розділах. Деякі вимірювання на мережі можуть бути виконані і вбудованими в операційну систему програмними вимірниками, прикладом тому служить компоненту ОС WindowsNTPerformanceMonitor. Навіть кабельні тестери в їх сучасному виконанні здатні вести захоплення пакетів і аналіз їх вмісту.

Але найдосконалішим засобом дослідження мережі є аналізатор протоколів. Процес аналізу протоколів включає захоплення циркулюючих в мережі пакетів, що реалізовують той або інший мережний протокол, і вивчення вмісту цих пакетів. Грунтуючись на результатах аналізу, можна здійснювати обгрунтовану і зважену зміну яких-небудь компонент мережі, оптимізацію її продуктивності, пошук і усунення неполадок. Очевидно, що для того, щоб можна було зробити які-небудь висновки про вплив деякої зміни на мережу, необхідно виконати аналіз протоколів і до, і після внесення зміни.

Аналізатор протоколів є або самостійним спеціалізованим пристроєм, або персональним комп'ютером, звичайно переносний, класу Notebook, оснащений спеціальною мережною картою і відповідним програмним забезпеченням. Вживані мережна карта і програмне забезпечення повинні відповідати топології мережі (кільце, шина, зірка). Аналізатор підключається до мережі точно також, як і звичайний вузол. Відмінність полягає в тому, що аналізатор може приймати всі пакети даних, передавані по мережі, тоді як звичайна станція - тільки адресовані їй. Програмне забезпечення аналізатора складається з ядра, що підтримує роботу мережного адаптера і декодує одержувані дані, і додаткового програмного коду, залежного від типу топології досліджуваної мережі. Крім того, поставляється ряд процедур декодування, орієнтованих на певний протокол, наприклад, IPX. До складу деяких аналізаторів може входити також експертна система, яка може видавати користувачу рекомендації про те, які експерименти слід проводити в даній ситуації, що можуть означати ті або інші результати вимірювань, як усунути деякі види несправності мережі.

Не дивлячись на відносне різноманіття аналізаторів протоколів, представлених на ринку, можна назвати деякі риси, в тій чи іншій мірі властиві всім їм:

· Призначений для користувача інтерфейс. Більшість аналізаторів має розвинений дружній інтерфейс, що базується, як правило, на Windows або Motif. Цей інтерфейс дозволяє користувачу: виводити результати аналізу інтенсивності трафіку; одержувати миттєву і усереднену статистичну оцінку продуктивності мережі; задавати певні події і критичні ситуації для відстежування їх виникнення; проводити декодування протоколів різного рівня і представляти в зрозумілій формі вміст пакетів.

· Буфер захоплення. Буфери різних аналізаторів відрізняються за об'ємом. Буфер може розташовуватися на встановлюваній мережній карті, або для нього може бути відведено місце в оперативній пам'яті одного з комп'ютерів мережі. Якщо буфер розташований на мережній карті, то управління їм здійснюється апаратний, і за рахунок цього швидкість введення підвищується. Проте це приводить до дорожчання аналізатора. У разі недостатньої продуктивності процедури захоплення, частина інформації втрачатиметься, і аналіз буде неможливий. Розмір буфера визначає можливості аналізу по більш менш представницьких вибірках захоплюваних даних. Але яким би великим не був буфер захоплення, рано чи пізно він заповниться. В цьому випадку або припиняється захоплення, або заповнення починається з початку буфера.

· Фільтри. Фільтри дозволяють управляти процесом захоплення даних, і, тим самим, дозволяють економити простір буфера. Залежно від значення певних полів пакету, заданих у вигляді умови фільтрації, пакет або ігнорується, або записується в буфер захоплення. Використовування фільтрів значно прискорює і спрощує аналіз, оскільки виключає проглядання непотрібних в даний момент пакетів.

· Перемикачі - це деякі умови початку і припинення процесу захоплення даних, що задаються оператором, з мережі. Такими умовами можуть бути виконання ручних команд запуску і зупинки процесу захоплення, час доби, тривалість процесу захоплення, поява певних значень в кадрах даних. Перемикачі можуть використовуватися спільно з фільтрами, дозволяючи більш детально і тонко проводити аналіз, а також продуктивний використовувати обмежений об'єм буфера захоплення.

· Пошук. Деякі аналізатори протоколів дозволяють автоматизувати проглядання інформації, що знаходиться в буфері, і знаходити в ній дані по заданих критеріях. В той час, як фільтри перевіряють вхідний потік на предмет відповідності умовам фільтрації, функції пошуку застосовуються до вже накопичених в буфері даних.

Методологія проведення аналізу може бути представлена у вигляді наступних шести етапів:

1. Захоплення даних.

2. Проглядання захоплених даних.

3. Аналіз даних.

4. Пошук помилок. (Більшість аналізаторів полегшує цю роботу, визначаючи типи помилок і ідентифікуючи станцію, від якої прийшов пакет з помилкою.)

5. Дослідження продуктивності. Розраховується коефіцієнт використовування пропускної спроможності мережі або середній час реакції на запит.

6. Докладне дослідження окремих ділянок мережі. Зміст цього етапу конкретизується у міру того, як проводиться аналіз.

Звичайно процес аналізу протоколів займає відносно небагато часу - 1-2 робочих дні.