Оригинальное название: A Summary of Network Traffic Monitoring and Analysis Techniques
Ссылка на оригинальный текст: http://www.cse.wustl.edu/~jain/cse567-06/ftp/net_monitoring/index.html
Рекомендации: представленный перевод не является профессиональным. Возможны отступления от текста, неправильная трактовка тех или иных терминов и понятий, субъективное мнение переводчика. Все иллюстрации внесены в перевод без изменения.
Алиша Сессил
Обзор методов анализа и мониторинга сетевого трафика
Так как продолжают расти частные внутренние сети компаний, чрезвычайно важно, чтобы сетевые администраторы знали и умели управлять вручную различными типами трафика, который путешествует по их сети. Мониторинг и анализ трафика необходимы для того, чтобы более эффективно диагностировать и решать проблемы, когда они происходят, таким образом не доводя сетевые сервисы до простоя в течении длительного времени. Доступно много различных инструментов, которые позволяют помочь администраторам с мониторингом и анализом сетевого трафика. Данная статья обсуждает методы мониторинга ориентированные на маршрутизаторы и методы мониторинга не ориентированные на маршрутизаторы (активные и пассивные методы). Статья даёт обзор трёх доступных и наиболее широко используемых методов мониторинга сети, встроенных в маршрутизаторы (SNMP, RMON и Cisco Netflow) и предоставляет информацию о двух новых методах мониторинга, которые используют сочетание пассивного и активного методов мониторинга (WREN и SCNM).
1. Важность мониторинга и анализа сети
Сетевой мониторинг (мониторинг сети) - это сложная задача, требующая больших затрат сил, которая является жизненно важной частью работы сетевых администраторов. Администраторы постоянно стремятся поддержать бесперебойную работу своей сети. Если сеть «упадёт» хотя бы на небольшой период времени, производительность в компании сократится и (в случае организаций предоставляющих государственные услуги) сама возможность предоставления основных услуг будет поставлена под угрозу. В связи с этим администраторам необходимо следить за движением сетевого трафика и производительностью на всей сети и проверять, появились ли в ней бреши в безопасности.
2. Способы мониторинга и анализа
«Анализ сети - это процесс захвата сетевого трафика и его быстрого просмотра для определения того, что произошло с сетью» - Анжелла Оребаух. В следующих разделах обсуждаются два способа мониторинга сети: первый - маршрутизаторо-ориентированный, второй - не ориентированный на маршрутизаторы. Функциональность мониторинга, который встроен в сами маршрутизаторы и не требует дополнительной установки программного или аппаратного обеспечения, называют методами, основанными на маршрутизаторе. Не основанные на маршрутизаторах методы требуют установки аппаратного и программного обеспечения и предоставляют большую гибкость. Обе техники обсуждаются ниже в соответствующих разделах.
2.1. Методы мониторинга основанные на маршрутизаторе
Методы мониторинга основанные на маршрутизаторе - жёстко заданы (вшиты) в маршрутизаторах и, следовательно, имеют низкую гибкость. Краткое описание наиболее часто используемых методов такого мониторинга приведены ниже. Каждый метод развивался много лет прежде чем стать стандартизованным способом мониторинга.
2.1.1. Протокол простого сетевого мониторинга (SNMP), RFC 1157
SNMP - протокол прикладного уровня, который является частью протокола TCP/IP. Он позволяет администраторам руководить производительностью сети, находить и устранять сетевые проблемы, планировать рост сети. Он собирает статистику по трафику до конечного хоста через пассивные датчики, которые реализуются вместе с маршрутизатором. В то время, как существуют две версии (SNMPv1 и SNMPv2), данный раздел описывает только SNMPv1. SNMPv2 построен на SNMPv1 и предлагает ряд усовершенствований, таких как добавление операций с протоколами. Стандартизируется ещё один вариант версии SNMP. Версия 3 (SNMPv3) находится на стадии рассмотрения.
Для протокола SNMP присущи три ключевых компонента: управляемые устройства (Managed Devices), агенты (Agents) и системы управления сетью (Network Management Systems - NMSs). Они показаны на рис. 1.
Рис. 1. Компоненты SNMP
Управляемые устройства включают в себя SNMP-агента и могут состоять из маршрутизаторов, переключателей, коммутаторов, концентраторов, персональных компьютеров, принтеров и других элементов, подобных этим. Они несут ответственность за сбор информации и делают её доступной для системы управления сетью (NMS).
Агенты включают в себя программное обеспечение, которое владеет информацией по управлению, и переводят эту информацию в форму, совместимую с SNMP. Они закрыты для устройства управления.
Системы управления сетью (NMS) выполняют приложения, которые занимаются мониторингом и контролем устройств управления. Ресурсы процессора и памяти, которые необходимы для управления сетью, предоставляются NMS. Для любой управляемой сети должна быть создана хотя бы одна система управления. SNMP может действовать исключительно как NMS, или агент, или может исполнять свои обязанности или др.
Существует 4 основных команды, использующиеся SNMP NMS для мониторинга и контроля управляемых устройств: чтение, запись, прерывание и операции пересечения. Операция чтения рассматривает переменные, которые хранятся управляемыми устройствами. Команда записи меняет значения переменных, которые хранятся управляемыми устройствами. Операции пересечения владеют информацией о том, какие переменные управляемых устройств поддерживают, и собирают информацию из поддерживаемых таблиц переменных. Операция прерывания используется управляемыми устройствами для того, чтобы сообщить NMS о наступлении определённых событий.
SNMP использует 4 протокольные операции в порядке действия: Get, GetNext, Set и Trap. Команда Get используется, когда NMS выдаёт запрос на информацию для управляемых устройств. SNMPv1-запрос состоит из заголовка сообщения и единицы данных протокола (PDU). PDU-сообщения содержит информацию, которая необходима для удачного выполнения запроса, который будет либо получать информацию от агента, либо задавать значение в агенте. Управляемое устройство использует SNMP агентов, расположенных в нём, для получения необходимой информации и затем посылает сообщение NMS"у, с ответом на запрос. Если агент не владеет какой либо информацией по отношению к запросу, он ничего не возвращает. Команда GetNext будет получать значение следующего экземпляра объекта. Для NMS также возможно посылать запрос (операция Set), когда устанавливается значение элементов без агентов. Когда агент должен сообщить NMS-события, он будет использовать операцию Trap.
Как говорилось ранее, SNMP - протокол уровня приложений, который использует пассивные сенсоры, чтобы помочь администратору проследить за сетевым трафиком и производительностью сети. Хотя, SNMP может быть полезным инструментом для сетевого администратора, он создаёт возможность для угрозы безопасности, потому что он лишён возможности аутентификации. Он отличается от удалённого мониторинга (RMON), который обсуждается в следующем разделе, тем, что RMON работает на сетевом уровне и ниже, а не на прикладном.
2.1.2. Удалённый мониторинг (RMON), RFS 1757
RMON включает в себя различные сетевые мониторы и консольные системы для изменения данных, полученных в ходе мониторинга сети. Это расширение для SNMP информационной базы данных по управлению (MIB). В отличии от SNMP , который должен посылать запросы о предоставлении информации, RMON может настраивать сигналы, которые будут «мониторить» сеть, основанную на определённом критерии. RMON предоставляет администраторам возможности управлять локальными сетями также хорошо, как удалёнными от одной определённой локации/точки. Его мониторы для сетевого уровня приведены ниже. RMON имеет две версии RMON и RMON2. Однако в данной статье говорится только о RMON. RMON2 позволяет проводить мониторинг на всех сетевых уровнях. Он фокусируется на IP-трафике и трафике прикладного уровня.
Хотя существует 3 ключевых компонента мониторинговой среды RMON, здесь приводятся только два из них. Они показаны на рис. 2 ниже.
Рис. 2. Компоненты RMON
Два компонента RMON это датчик, также известный как агент или монитор, и клиент, также известный как управляющая станция (станция управления). В отличии от SNMP датчик или агент RMON собирает и хранит сетевую информацию. Датчик - это встроенное в сетевое устройство (например маршрутизатор или переключатель) программное обеспечение. Датчик может запускаться также и на персональном компьютере. Датчик должен помещаться для каждого различного сегмента локальной или глобальной сети, так как они способны видеть трафик, который проходит только через их каналы, но они не знают о трафике за их приделами. Клиент - это обычно управляющая станция, которая связана с датчиком, использующим SNMP для получения и коррекции RMON-данных.
RMON использует 9 различных групп мониторинга для получения информации о сети.
- Statistics - статистика измеренная датчиком для каждого интерфейса мониторинга для данного устройства.
- History - учёт периодических статистических выборок из сети и хранение их для поиска.
- Alarm - периодически берёт статистические образцы и сравнивает их с набором пороговых значений для генерации события.
- Host - содержит статистические данные, связанные с каждым хостом, обнаруженным в сети.
- HostTopN - готовит таблицы, которые описывают вершину хостов (главный хост).
- Filters - включает фильтрацию пакетов, основываясь на фильтровом уравнении для захвата событий.
- Packet capture - захват пакетов после их прохождения через канал.
- Events - контроль генерации и регистрация событий от устройства.
- Token ring - поддержка кольцевых лексем.
Как установлено выше, RMON, строится на протоколе SNMP. Хотя мониторинг трафика может быть выполнен при помощи этого метода, аналитические данные об информации, полученные SNMP и RMON имеют низкую производительность. Утилита Netflow, которая обсуждается в следующем разделе, работает успешно со многими пакетами аналитического программного обеспечения, чтобы сделать работу администратора намного проще.
2.1.3. Netflow, RFS 3954
Netflow - это расширение, которое было представлено в маршрутизаторах Cisco, которые предоставляют возможность собирать IP сетевой трафик, если это задано в интерфейсе. Анализируя данные, которые предоставляются Netflow, сетевой администратор может определить такие вещи как: источник и приёмник трафика, класс сервиса, причины переполненности. Netflow включает в себя 3 компонента: FlowCaching (кеширующий поток), FlowCollector (собиратель информации о потоках) и Data Analyzer (анализатор данных). Рис. 3 показывает инфраструктуру Netflow. Каждый компонент, показанный на рисунке, объясняется ниже.
Рис. 3. Инфраструктура NetFlow
FlowCaching анализирует и собирает данные о IP потоках, которые входят в интерфейс, и преобразует данные для экспорта.
Из Netflow-пакетов может быть получена следующая информация:
- Адрес источника и получателя.
- Номер входящего и выходящего устройства.
- Номер порта источника и приёмника.
- Протокол 4 уровня.
- Количество пакетов в потоке.
- Количество байтов в потоке.
- Временной штамп в потоке.
- Номер автономной системы (AS) источника и приёмника.
- Тип сервиса (ToS) и флаг TCP.
Первый пакет потока, проходящий через стандартный путь переключения, обрабатывается для создания кэша. Пакеты с подобными характеристиками потока используются для создания записи о потоке, которая помещается в кэш для всех активных потоков. Эта запись отмечает количество пакетов и количество байт в каждом потоке. Кэшируемая информация затем периодически экспортируется в Flow Collector (сборщик потоков).
Flow Collector - ответственен за сбор, фильтрование и хранение данных. Он включает в себя историю об информации о потоках, которые были подключены при помощи интерфейса. Снижение объёма данных также происходит при помощи Flow Collector"а при помощи выбранных фильтров и агрегации.
Data Analyzer (анализатор данных) необходим, когда нужно представить данные. Как показано на рисунке, собранные данные могут использоваться для различных целей, даже отличных от мониторинга сети, таких как планирование, учёт и построение сети.
Преимущество Netflow над остальными способами мониторинга, такими как SNMP и RMON, в том, что в ней существует программные пакеты, предназначенные для различного анализа трафика, которые существуют для получения данных от Netflow-пакетов и представления их в более дружелюбном для пользователя виде.
При использовании инструментов, таких как Netflow Analyzer (это только один инструмент, который доступен для анализирования Netflow-пакетов), информация, приведённая выше, может быть получена от Netflow-пакетов для создания диаграмм и обычных графиков, которые администратор может изучить для большего понимания о его сети. Наибольшее преимущество использования Netflow в отличии от доступных аналитических пакетов в том, что в данном случае могут быть построены многочисленные графики, описывающие активность сети в любой момент времени.
2.2. Технологии не основанные на маршрутизаторах
Хотя технологии, не встроенные в маршрутизатор всё же ограничены в своих возможностях, они предлагают большую гибкость, чем технологии встроенные в маршрутизаторы. Эти методы классифицируются как активные и пассивные.
2.2.1. Активный мониторинг
Активный мониторинг сообщает проблемы в сети, собирая измерения между двумя конечными точками. Система активного измерения имеет дело с такими метриками, как: полезность, маршрутизаторы/маршруты, задержка пакетов, повтор пакетов, потери пакетов, неустойчивая синхронизация между прибытием, измерение пропускной способности.
Главным образом использование инструментов, такие как команда ping, которая измеряет задержку и потери пакетов, и traceroute, которая помогает определить топологию сети, является примером основных активных инструментов измерения. Оба эти инструмента посылают пробные ICMP-пакеты до точки назначения и ждут, когда эта точка ответит отправителю. Рис. 4 - пример команды ping, которая использует активный способ измерения, посылая Echo-запрос от источника через сеть в установленную точку. Затем получатель посылает Echo-запрос обратно источнику от которого пришёл запрос.
Рис. 4. Команда ping (Акстивное измерение)
Данный метод может не только собирать единичные метрики об активном измерении, но и может определять топологию сети. Ещё один важный пример активного измерения - утилита iperf. Iperf - это утилита, которая измеряет качество пропускной способности TCP и UDP протоколов. Она сообщает пропускную способность канала, существующую задержку и потери пакетов.
Проблема, которая существует с активным мониторингом, - это то, что представленные пробы в сети могут вмешиваться в нормальный трафик. Часто время активных проб обрабатывается иначе, чем нормальный трафик, что ставит под вопрос значимость предоставленной информации от этих проб.
Согласно общей информации, описанной выше, активный мониторинг - это чрезвычайно редкий метод мониторинга, взятый в отдельности. Пассивный мониторинг напротив не требует больших сетевых расходов.
2.2.2. Пассивный мониторинг
Пассивный мониторинг в отличии от активного не добавляет трафик в сеть и не изменяет трафик, который уже существует в сети. Также в отличии от активного мониторинга, пассивный собирает информацию только об одной точке в сети. Измерения происходят гораздо лучше, чем между двумя точками, при активном мониторинге. Рис. 5 показывает установку системы пассивного мониторинга, где монитор размещён на единичном канале между двумя конечными точками и наблюдает трафик когда тот проходит по каналу.
Рис. 5. Установка пассивного мониторинга
Пассивные измерения имеют дело с такой информацией, как: трафик и смесь протоколов, количество битов (битрейт), синхронизация пакетов и время между прибытием. Пассивный мониторинг может быть осуществлён, при помощи любой программы, вытягивающей пакеты.
Хотя пассивный мониторинг не имеет затрат, которые имеет активный мониторинг, он имеет свои недостатки. С пассивным мониторингом, измерения могут быть проанализированы только оф-лайн и они не представляют коллекцию. Это создаёт проблему, связанную с обработкой больших наборов данных, которые собраны во время измерения.
Пассивный мониторинг может быть лучше активного в том, что данные служебных сигналов не добавляются в сеть, но пост-обработка может вызвать большое количество временных затрат. Вот почему существует комбинация этих двух методов мониторинга.
2.2.3. Комбинированный мониторинг
После прочтения разделов выше, можно благополучно переходить к заключению о том, что комбинирование активного и пассивного мониторинга - лучший способ, чем использование первого или второго по отдельности. Комбинированные технологии используют лучшие стороны и пассивного, и активного мониторинга сред. Две новые технологии, представляющие комбинированные технологии мониторинга, описываются ниже. Это «Просмотр ресурсов на концах сети» (WREN) и «Монитор сети с собственной конфигурацией» (SCNM).
2.2.3.1. Просмотр ресурсов на концах сети (WREN)
WREN использует комбинацию техник активного и пассивного мониторинга, активно обрабатывая данные, когда трафик мал, и пассивно обрабатывая данные на протяжении времени большого трафика. Он смотрит трафик и от источника, и от получателя, что делает возможным более аккуратные измерения. WREN использует трассировку пакетов от созданного приложением трафика для измерения полезной пропускной способности. WREN разбит на два уровня: основной уровень быстрой обработки пакетов и анализатор трассировок пользовательского уровня.
Основной уровень быстрой обработки пакетов отвечает за получение информации, связанной с входящими и исходящими пакетами. Рис. 6 показывает список информации, которая собирается для каждого пакета. К Web100 добавляется буфер для сбора этих характеристик. Доступ к буферу осуществляется при помощи двух системных вызовов. Один вызов начинает трассировку и предоставляет необходимую информацию для её сбора, пока второй вызов возвращает трассировку из ядра.
Рис. 6. Информация, собранная на главном уровне трассировок пакетов
Объект трассировки пакетов - способен координировать вычисления между различными машинами. Одна машина будет активировать работу другой машины, задавая флаг в заголовке уходящего пакета для начала обработки некоторого диапазона пакетов, которые она трассирует. Другая машина будет в свою очередь трассировать все пакеты, для которых она видит, что в заголовке установлен похожий флаг. Такая координация обеспечивает то, что информация об похожих пакетах хранится в каждой конечной точке независимо от связи и того, что происходит между ними.
Анализатор трассировок пользовательского уровня - другой уровень в среде WREN. Это компонент, который начинает трассировку любого пакета, собирает и обрабатывает возвращённые данные на уровне ядра оператора. Согласно проектированию, компоненты пользовательского уровня не нуждаются в чтении информации от объекта трассировки пакетоввсё время. Они могут быть проанализированы незамедлительно после того, как трассировка будет завершена, чтобы сделать заключение в реальном времени, или данные могут быть сохранены для дальнейшего анализа.
Когда трафик мал, WREN будет активно вводить трафик в сеть сохраняя порядок следования потоков измерения. После многочисленных исследований, найдено, что WREN представляет похожие измерения в перенасыщенных и в не-перенасыщенных средах.
В текущей реализации WREN, пользователи не принуждаются только к захвату трассировок, которые были инициированы ими. Хотя любой пользователь может следить за трафиком приложений других пользователей, они ограничены в информации, которая может быть получена от трассировок других пользователей. Они могут только получить последовательность и подтверждение чисел, но не могут получить актуальные сегменты данных из пакетов.
В общем, WREN - это очень полезная установка, которая использует преимущества и активного, и пассивного мониторинга. Хотя эта технология находится на раннем этапе развития, WREN может предоставить администраторам полезные ресурсы в мониторинге и анализе их сетей. Монитор Собственного конфигурирования сети (SCNM) - другой инструментарий, который использует технологии и активного, и пассивного мониторинга.
2.2.3.2. Сетевой монитор с собственной конфигурацией (SCNM)
SCNM - это инструмент мониторинга, который использует связь пассивных и активных измерений для сбора информации на 3 уровне проникновения, выходящих маршрутизаторов, и других важных точек мониторинга сети. Среда SCNM включает и аппаратный, и программный компонент.
Аппаратное средство устанавливается в критических точках сети. Оно отвечает за пассивный сбор заголовков пакетов. Программное обеспечение запускается на конечной точке сети. Рис. 7, приведённый ниже, показывает программный компонент SCNM среды.
Рис. 7. Программный компонент SCNM
Программное обеспечение отвечает за создание и посылку активированных пакетов, которые используются для старта мониторинга сети. Пользователи будут посылать в сеть пакеты активации, содержащие детали о пакетах, которые они хотят получить для мониторинга и сбора. Пользователи не нуждаются в знании местоположения SCNM-хоста, принимая за истину то, что все хосты открыты для «прослушки» пакетов. На основе информации, которая существует в рамках активационного пакета, фильтр помещается в поток сбора данных, который также работает в конечной точке . Собираются заголовки пакетов сетевого и транспортного уровня, которые соответствуют фильтру. Фильтр будет автоматически введён в тайм аут, после точно заданного времени, если он получает другие пакеты приложения. Служба выборки пакетов, которая запускается на SCNM-хосте, использует команду tcpdump (подобно программе выборки пакетов) в порядке полученных запросов и записи трафика, который соответствует запросу.
Когда инструментами пассивного мониторинга определяется проблема, трафик может быть сгенерирование при помощи инструментов активного мониторинга, позволяя собирать добавляемые данные для более детального изучения проблемы. При развёртывании этого монитора в сети на каждом маршрутизаторе на протяжении пути, мы может изучать только секции сети, которые имеют проблемы.
SCNM предназначен для установки и использования, главным образом, администраторами. Тем не менее обычные пользователи могут использовать некоторую часть этой функциональности. Хотя обычные пользователи способны использовать части среды SCNM мониторинга, им позволено смотреть только свои собственные данные.
В заключение скажем, что SCNM - это ещё один способ комбинированного мониторинга, который использует и активный, и пассивный методы, чтобы помочь администраторам мониторить и анализировать их сети.
3. Заключение
Подбирая частные инструменты для использования их в мониторинге сети, администратор должен сначала решить, хочет ли он использовать хорошо зарекомендовавшие себя системы, которые уже использовались много лет, или новые. Если существующие системы более подходящее решение, тогда NetFlow - наиболее полезный инструмент для использования, так как в связки с этой утилитой могут использоваться анализирующиеся пакеты данных для представления данных в более дружелюбном пользователю виде. Тем не менее, если администратор готов попробовать новую систему, решения комбинированного мониторинга, такие как WREN или SCNM, - лучшее направление для дальнейшей работы.
Слежение и анализ сети - жизненно необходимы в работе системного администратора. Администраторы должны стараться содержать свою сеть в порядке, как для не разрозненной производительности внутри компании, так и для связи с любыми существующими публичными сервисами. Согласно вышеописанной информации, некоторое число маршрутизаторо-ориентированных технологий и не основанные на маршрутизаторах, пригодны для помощи сетевым администраторам в ежедневном мониторинге и анализе их сетей. Здесь коротко описываются SNMP, RMON, и Cisco"s NetFlow - пример нескольких технологий, основанных на маршрутизаторах. Примеры не основанных на маршрутизаторах технологий, которые обсуждались в статье, - это активный, пассивный мониторинг и их сочетание.
Мониторинг и анализ сетей
Постоянный контроль за работой сети, необходим для поддержания её в работоспособном состоянии. Контроль-это необходимы первый этап, который должен выполняться при управлении сетью. Этот процесс работы сети обычно делят на 2 этапа: мониторинг и анализ.
На этапе мониторинга выполняется более простая процедура- процедура сбора первичных данных о работе сети: статистики о количестве циркулирующих в сети кадров и пакетов различных протоколов, состоянии портов концентраторов, коммутаторов и маршрутизаторов и т. п.
Далее выполняется этап анализа, под которым понимается более сложный и интеллектуальный процесс осмысления собранной на этапе мониторнга информации, сопоставления с данными, полученными ранее, и выработки предположений о возможных причинах замедленной или ненадёжной работы сети.
Средства для мониторинга сети и обнаружения в её работе «узких мест» можно разделить на два основных класса:
- стратегические;
- тактические.
Назначение стратегических средств состоит в контроле за широким спектром параметров функционирования всей сети и решении проблем конфигурирования ЛВС.
Назначение тактических средств - мониторинг и устранение неисправностей сетевых устройств и сетевого кабеля.
К стратегическим средствам относятся:
- системы управления сетью
- встроенные системы диагностики
- распределённые системы мониторинга
- средства диагностики операционных систем, функционирующих на больших машинах и серверах.
Наиболее полный контроль за работой, осуществляют системы управления сетью, разработанные такими фирмами, как DEC, Hewlett - Packard, IBM и AT&T. Эти системы обычно базируются на отдельном компьютере и включают системы контроля рабочих станций, кабельной системой, соединительными и другими устройствами, базой данных, содержащей контрольные параметры для сетей различных стандартов, а также разнообразную техническую документацию.
Одной из лучших разработок для управления сетью, позволяющей администратору сети получить доступ ко всем её элементам вплоть до рабочей станции, является пакет LANDesk Manager фирмы Intel, обеспечивающий с помощью различных средств мониторинг прикладных программ, инвентаризацию аппаратных и программных средств и защиту от вирусов. Этот пакет обеспечивает в реальном времени разнообразной информацией о прикладных программах и серверах, данные о работе в сети пользователей.
Встроенные системы диагностики стали обычной компонентой таких сетевых устройств, как мосты, репиторы и модемы. Примерами подобных систем могут служить пакеты Open - View Bridge Manager фирмы Hewlett - Packard и Remote Bridge Management Software фирмы DEC. К сожалению большая их часть ориентирована на оборудование какого - то одного производителя и практически несовместима с оборудованием других фирм.
Распределённые системы мониторинга представляют собой специальные устройства, устанавливаемые на сегменты сети и предназначенные для получения комплексной информации о трафике, а также нарушениях в работе сети. Эти устройства, обычно подключаемые к рабочей станции администратора, в основном используются в много сегментных сетях.
К тактическим средствам относят различные виды тестирующих устройств (тестеры и сканеры сетевого кабеля), а также устройства для комплексного анализа работы сети - анализаторы протоколов. Тестирующие устройства помогают администратору обнаружить неисправности сетевого кабеля и разъёмов, а анализаторы протоколов - получать информацию об обмене данными в сети. Кроме того, к этой категории средств относят специальное ПО, позволяющее в режиме реального времени получать подробные отчёты о состоянии работы сети.
Средства мониторинга и анализа
Классификация
Все многообразие средств, применяемых для мониторинга и анализа вычислительных сетей, можно разделить на несколько крупных классов:
Системы управления сетью (NetworkManagementSystems) - централизованные программные системы, которые собирают данные о состоянии узлов и коммуникационных устройств сети, а также данные о трафике, циркулирующем в сети. Эти системы не только осуществляют мониторинг и анализ сети, но и выполняют в автоматическом или полуавтоматическом режиме действия по управлению сетью - включение и отключение портов устройств, изменение параметров мостов адресных таблиц мостов, коммутаторов и маршрутизаторов и т. п. Примерами систем управления могут служить популярные системы HPOpenView, SunNetManager, IBMNetView.
Средства управления системой (SystemManagement). Средства управления системой часто выполняют функции, аналогичные функциям систем управления, но по отношению к другим объектам. В первом случае объектом управления является программное и аппаратное обеспечение компьютеров сети, а во втором - коммуникационное оборудование. Вместе с тем, некоторые функции этих двух видов систем управления могут дублироваться, например, средства управления системой могут выполнять простейший анализ сетевого трафика.
Встроенные системы диагностики и управления (Embeddedsystems). Эти системы выполняются в виде программно-аппаратных модулей, устанавливаемых в коммуникационное оборудование, а также в виде программных модулей, встроенных в операционные системы. Они выполняют функции диагностики и управления только одним устройством, и в этом их основное отличие от централизованных систем управления. Примером средств этого класса может служить модуль управления концентратором Distrebuted 5000, реализующий функции автосегментации портов при обнаружении неисправностей, приписывания портов внутренним сегментам концентратора и некоторые другие. Как правило, встроенные модули управления «по совместительству» выполняют роль SNMP-агентов, поставляющих данные о состоянии устройства для систем управления.
Анализаторы протоколов (Protocolanalyzers). Представляют собой программные или аппаратно-программные системы, которые ограничиваются в отличие от систем управления лишь функциями мониторинга и анализа трафика в сетях. Хороший анализатор протоколов может захватывать и декодировать пакеты большого количества протоколов, применяемых в сетях - обычно несколько десятков. Анализаторы протоколов позволяют установить некоторые логические условия для захвата отдельных пакетов и выполняют полное декодирование захваченных пакетов, то есть показывают в удобной для специалиста форме вложенность пакетов протоколов разных уровней друг в друга с расшифровкой содержания отдельных полей каждого пакета.
Экспертные системы . Этот вид систем аккумулирует знания технических специалистов о выявлении причин аномальной работы сетй и возможных способах приведения сетей в работоспособное состояние. Экспертные системы часто реализуются в виде отдельных подсистем различныз средств мониторинга и анализа сетей: систем управления сетями, анализаторов протоколов, сетевых анализаторов. Простейшим вариантом экспертной системы является контекстно-зависимая help-система. Более сложные экспертные системы представляют собой так называемые базы знаний, обладающие элементами искусственного интеллекта. Примером такой системы является экспертная система, встроенная в систему управления Spectrum компании Cabletron.
Оборудование для диагностики и сертификации кабельных систем . Условно это оборудование можно поделить на четыре основные группы: сетевые мониторы, приборы для сертификации кабельных систем, кабельные сканеры и тестеры (мультиметры).
Сетевые мониторы (называемые также сетевыми анализаторами) предназначены для тестирования кабелей различных категорий. Следует различать сетевые мониторы и анализаторы протоколов. Сетевые мониторы собирают данные только о статистических показателях трафика - средней интенсивности общего трафика сети, средней интенсивности потока пакетов с определенным типом ошибки и т. п.
Назначение устройств для сертификации кабельных систем , непосредственно следует из их названия. Сертификация выполняется в соответствии с требованиями одного из международных стандартов на кабельные системы.
Кабельные сканеры используются для диагностики медных кабельных систем.
Тестеры предназначены для проверки кабелей на отсутствие физического разрыва.
Многофункциональные устройства анализа и диагностики. В последние годы, в связи с повсеместным распространением локальных сетей возникла необходимость разработки недорогих портативных приборов, совмещающих функции нескольких устройств: анализаторов протоколов, кабельных сканеров и, даже, некоторых возможностей ПО сетевого управления. В качестве примера такого рода устройств можно привести Compas компании MicrotestInc. или 675 LANMeterкомпании FlukeCorp.
Анализаторы протоколов
В ходе проектирования новой или модернизации старой сети часто возникает необходимость в количественном измерении некоторых характеристик сети таких, например, как интенсивности потоков данных по сетевым линиям связи, задержки, возникающие на различных этапах обработки пакетов, времена реакции на запросы того или иного вида, частота возникновения определенных событий и других характеристик.
Для этих целей могут быть использованы разные средства и прежде всего - средства мониторинга в системах управления сетью, которые уже обсуждались в предыдущих разделах. Некоторые измерения на сети могут быть выполнены и встроенными в операционную систему программными измерителями, примером тому служит компонента ОС WindowsNTPerformanceMonitor. Даже кабельные тестеры в их современном исполнении способны вести захват пакетов и анализ их содержимого.
Но наиболее совершенным средством исследования сети является анализатор протоколов. Процесс анализа протоколов включает захват циркулирующих в сети пакетов, реализующих тот или иной сетевой протокол, и изучение содержимого этих пакетов. Основываясь на результатах анализа, можно осуществлять обоснованное и взвешенное изменение каких-либо компонент сети, оптимизацию ее производительности, поиск и устранение неполадок. Очевидно, что для того, чтобы можно было сделать какие-либо выводы о влиянии некоторого изменения на сеть, необходимо выполнить анализ протоколов и до, и после внесения изменения.
Анализатор протоколов представляет собой либо самостоятельное специализированное устройство, либо персональный компьютер, обычно переносной, класса Notebook, оснащенный специальной сетевой картой и соответствующим программным обеспечением. Применяемые сетевая карта и программное обеспечение должны соответствовать топологии сети (кольцо, шина, звезда). Анализатор подключается к сети точно также, как и обычный узел. Отличие состоит в том, что анализатор может принимать все пакеты данных, передаваемые по сети, в то время как обычная станция - только адресованные ей. Программное обеспечение анализатора состоит из ядра, поддерживающего работу сетевого адаптера и декодирующего получаемые данные, и дополнительного программного кода, зависящего от типа топологии исследуемой сети. Кроме того, поставляется ряд процедур декодирования, ориентированных на определенный протокол, например, IPX. В состав некоторых анализаторов может входить также экспертная система, которая может выдавать пользователю рекомендации о том, какие эксперименты следует проводить в данной ситуации, что могут означать те или иные результаты измерений, как устранить некоторые виды неисправности сети.
Несмотря на относительное многообразие анализаторов протоколов, представленных на рынке, можно назвать некоторые черты, в той или иной мере присущие всем им:
- Пользовательский интерфейс. Большинство анализаторов имеют развитый дружественный интерфейс, базирующийся, как правило, на Windows или Motif. Этот интерфейс позволяет пользователю: выводить результаты анализа интенсивности трафика; получать мгновенную и усредненную статистическую оценку производительности сети; задавать определенные события и критические ситуации для отслеживания их возникновения; производить декодирование протоколов разного уровня и представлять в понятной форме содержимое пакетов.
- Буфер захвата. Буферы различных анализаторов отличаются по объему. Буфер может располагаться на устанавливаемой сетевой карте, либо для него может быть отведено место в оперативной памяти одного из компьютеров сети. Если буфер расположен на сетевой карте, то управление им осуществляется аппаратно, и за счет этого скорость ввода повышается. Однако это приводит к удорожанию анализатора. В случае недостаточной производительности процедуры захвата, часть информации будет теряться, и анализ будет невозможен. Размер буфера определяет возможности анализа по более или менее представительным выборкам захватываемых данных. Но каким бы большим ни был буфер захвата, рано или поздно он заполнится. В этом случае либо прекращается захват, либо заполнение начинается с начала буфера.
- Фильтры. Фильтры позволяют управлять процессом захвата данных, и, тем самым, позволяют экономить пространство буфера. В зависимости от значения определенных полей пакета, заданных в виде условия фильтрации, пакет либо игнорируется, либо записывается в буфер захвата. Использование фильтров значительно ускоряет и упрощает анализ, так как исключает просмотр ненужных в данный момент пакетов.
- Переключатели - это задаваемые оператором некоторые условия начала и прекращения процесса захвата данных из сети. Такими условиями могут быть выполнение ручных команд запуска и остановки процесса захвата, время суток, продолжительность процесса захвата, появление определенных значений в кадрах данных. Переключатели могут использоваться совместно с фильтрами, позволяя более детально и тонко проводить анализ, а также продуктивнее использовать ограниченный объем буфера захвата.
- Поиск. Некоторые анализаторы протоколов позволяют автоматизировать просмотр информации, находящейся в буфере, и находить в ней данные по заданным критериям. В то время, как фильтры проверяют входной поток на предмет соответствия условиям фильтрации, функции поиска применяются к уже накопленным в буфере данным.
Методология проведения анализа может быть представлена в виде следующих шести этапов:
- Захват данных.
- Просмотр захваченных данных.
- Анализ данных.
- Поиск ошибок. (Большинство анализаторов облегчают эту работу, определяя типы ошибок и идентифицируя станцию, от которой пришел пакет с ошибкой.)
- Исследование производительности. Рассчитывается коэффициент использования пропускной способности сети или среднее время реакции на запрос.
- Подробное исследование отдельных участков сети. Содержание этого этапа конкретизируется по мере того, как проводится анализ.
Обычно процесс анализа протоколов занимает относительно немного времени - 1-2 рабочих дня.
Сетевые анализаторы
Сетевые анализаторы (не следует путать их с анализаторами протоколов) представляют собой эталонные измерительные инструменты для диагностики и сертификации кабелей и кабельных систем. В качестве примера можно привести сетевые анализаторы компании HewlettPackard - HP 4195A и HP 8510C.
Сетевые анализаторы содержат высокоточный частотный генератор и узкополосный приемник. Передавая сигналы различных частот в передающую пару и измеряя сигнал в приемной паре, можно измерить затухание и NEXT. Сетевые анализаторы - это прецизионные крупногабаритные и дорогие (стоимостью более $20’000) приборы, предназначенные для использования в лабораторных условиях специально обученным техническим персоналом.
Кабельные сканеры
Данные приборы позволяют определить длину кабеля, NEXT, затухание, импеданс, схему разводки, уровень электрических шумов и провести оценку полученных результатов. Цена на эти приборы варьируется от $1’000 до $3’000. Существует достаточно много устройств данного класса, например, сканерыкомпаний MicrotestInc., FlukeCorp., DatacomTechnologiesInc., ScopeCommunicationInc. В отличие от сетевых анализаторов сканеры могут быть использованы не только специально обученным техническим персоналом, но даже администраторами-новичками.
Для определения местоположения неисправности кабельной системы (обрыва, короткого замыкания, неправильно установленного разъема и т. д.) используется метод «кабельного радара», или TimeDomainReflectometry (TDR). Суть этого метода состоит в том, что сканер излучает в кабель короткий электрический импульс и измеряет время задержки до прихода отраженного сигнала. По полярности отраженного импульса определяется характер повреждения кабеля (короткое замыкание или обрыв). В правильно установленном и подключенном кабеле отраженный импульс совсем отсутствует.
Точность измерения расстояния зависит от того, насколько точно известна скорость распространения электромагнитных волн в кабеле. В различных кабелях она будет разной. Скорость распространения электромагнитных волн в кабеле (NVP - nominalvelocityofpropagation) обычно задается в процентах к скорости света в вакууме. Современные сканеры содержат в себе электронную таблицу данных о NVP для всех основных типов кабелей и позволяют пользователю устанавливать эти параметры самостоятельно после предварительной калибровки.
Наиболее известными производителями компактных (их размеры обычно не превышают размеры видеокассеты стандарта VHS) кабельных сканеров являются компании MicrotestInc., WaveTekCorp., ScopeCommunicationInc.
Тестеры
Тестеры кабельных систем - наиболее простые и дешевые приборы для диагностики кабеля. Они позволяют определить непрерывность кабеля, однако, в отличие от кабельных сканеров, не дают ответа на вопрос о том, в каком месте произошел сбой.
Встроенные средства мониторинга и анализа сетей
Агенты SNMP
На сегодня существует несколько стандартов на базы данных управляющей информации. Основными являются стандарты MIB-I и MIB-II, а также версия базы данных для удаленного управления RMONMIB. Кроме этого, существуют стандарты для специальных MIB устройств конкретного типа (например, MIB для концентраторов или MIB для модемов), а также частные MIB конкретных фирм-производителей оборудования.
Первоначальная спецификация MIB-I определяла только операции чтения значений переменных. Операции изменения или установки значений объекта являются частью спецификаций MIB-II.
Активное сетевое оборудование, должно обеспечивать долгосрочное и бесперебойное функционирование корпоративной сети. Своевременное выявление и устранение неисправностей является залогом успешной и эффективной работы компании. Именно поэтому очень важно уделить особое внимание системе мониторинга, которая бы отслеживала состояние активного оборудования и уведомляла об отклонении от нормальных показателей системного администратора по SMS, e-mail или другим средствам оповещения.
Система мониторинга – это совокупность технических средств, осуществляющих постоянное наблюдение и сбор информации в локальной вычислительной сети на основе анализа статистических данных с целью выявления неисправных или некорректно работающих узлов и оповещения ответственных лиц. Функционал современных систем мониторинга позволяет отслеживать состояние таких сервисов как например:
1) Доступность хоста
Путем периодической отправки запросов ICMP Echo-Request на адрес сетевого устройства
2) Доступность веб-сервера
Путем отправки HTTP запроса на получение страницы
3) Доступность почтовых сервисов
Путем периодической отправки диагностических SMTP сообщений
Кроме того, можно производить замер времени отклика данных сервисов.
Периодические проверки такого рода позволяют быстро определить на каком уровне возникла проблема и незамедлительно приступить к её устранению.
На приведенном выше рисунке показан простейший пример реализации системы мониторинга, контролирующей всего четыре устройства. В реальных же условиях парк активного оборудования может иметь куда больше узлов. Для осуществления грамотного мониторинга проводят объединение разных типов узлов в группы, например группа веб-серверов или группа маршрутизаторов. Такого рода разделение помогает систематизировать статистическую информацию и облегчает процесс наблюдения.
Большинство систем мониторинга позволяют автоматизировать проверку устройств по SNMP и осуществлять диагностику с помощью различных плагинов (в том числе созданных вручную).
Протокол SNMP (Simple Network Management Protocol) - был создан специально для нужд мониторинга сетевого оборудования. Все активные устройства L2 и L3 содержат так называемую Базу информации управления MIB (Management Information Base), в которой находятся основные параметры состояния оборудования. Например, загрузка CPU, статус интерфейсов, объем свободного места и др. Каждой такой записи соответствует уникальный идентификатор OID(Oject IDentifier). Имея нужный идентификатор, можно получить информацию об интересующем параметре по протоколу SNMP. Современные системы мониторинга позволяют автоматизировать данный процесс. Система, по протоколу SNMP, подключается к устройству, опрашивает его по интересующему OID, получает значение параметра и сравнивает его с заданным. Если обнаруживается несоответствие двух данных значений, то системы мониторинга реагирует и запускает процесс оповещения.
Перед непосредственным внедрением системы мониторинга, необходимо провести обследование ЛВС, результатом которого должен стать перечень наблюдаемого оборудования, параметров и утвержденный алгоритм эскалации событий мониторинга. На основе анализа сетевой инфраструктуры заказчика формируются первые решения определяющие архитектуру будущей системы мониторинга.
На следующем этапе осуществляется составление спецификаций и пакета проектной документации, с учетом пожеланий заказчика.
Заключительным этапом является масштабирование системы мониторинга, то есть расширение объема наблюдаемой ИТ-инфраструктуры до необходимого заказчику.
Внедрение системы мониторинга – это важный шаг на пути к полной автоматизации ИТ-инфраструктуры, который ведет к повышению эффективности ее использования. Специалисты нашей компании не раз разрабатывали решения, которые оправдывают ожидания заказчиков и надёжно работают вот уже несколько лет.
Полезна ли Вам эта статья?
Пожалуйста, расскажите почему?
Нам жаль, что статья не была полезна для вас:(Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!
27.06.2011 Нейт Мак-Алмонд
Я остановил свой выбор на трех кандидатах: WhatsUp Gold Premium компании Ipswitch, OpManager Professional компании ManageEngine и ipMonitor компании SolarWinds. Стоимость каждого из этих сетевых сканеров не превышает 3000 долл. (за 100 устройств), и при этом у каждого из них есть пробный период эксплуатации, в течение которого вы можете бесплатно протестировать выбранный продукт
Я работаю в компании среднего размера, и мы уже около семи лет используем одну и ту же систему мониторинга сети. Она предоставляет нашим администраторам базовую информацию о доступности серверов и служб, а также отправляет текстовые сообщения SMS на наши мобильные телефоны в случае возникновения проблем. Я пришел к выводу, что необходимо обновить систему или по крайней мере добавить эффективное средство, способное обеспечить более высокую производительность и предоставлять подробную информацию о состоянии серверов терминалов, систем Exchange и SQL, размещенных в вашей сети. . Давайте сравним наших кандидатов.
Процесс обнаружения
Для подготовки к тестированию в первую очередь необходимо было включить службу SNMP на всех устройствах, включая серверы Windows. Изменив настройки службы SNMP, я установил доступ с привилегией «только чтение» на всех устройствах, которые должен охватывать процесс мониторинга. В системах Windows Server 2003/2000 служба SNMP устанавливается с помощью мастера Windows Components, размещенного в панели Add/Remove Programs, а в системе Windows Server 2008 компоненты SNMP добавляются с помощью мастера Server Manager. После завершения работы мастера необходимо запустить оснастку Services, расположенную в папке Control Panel, и настроить службу SNMP - это несложно. Управляемые сетевые устройства, такие как межсетевые экраны, коммутаторы, маршрутизаторы и принтеры, также имеют средства управления службой SNMP, и обычно процесс настройки представляет собой достаточно простую операцию. Дополнительную информацию о службе SNMP можно получить из документа «Simple Network Managment Protocol» (technet.microsoft.com/en-us/library/bb726987.aspx).
Далее я установил все три системы мониторинга на одну из двух своих рабочих систем с Windows XP SP3. После установки каждая система состояла из двух частей: базы данных и веб-сервера. Управление каждой из выбранных систем через веб-интерфейс может выполняться несколькими администраторами, и у вас есть возможность настроить учетные записи с различными уровнями доступа. Общим для трех систем является и то, что каждый пользователь имеет возможность добавлять, удалять и перемещать панели в своей рабочей области. Панели отображают однотипные данные, такие как загрузка процессора или использование памяти для различных устройств в сети.
Перед тем как начать сканирование сети (так называемый процесс обнаружения), я задал параметры учетной записи, которую каждая система должна использовать для получения доступа к устройствам, обнаруженным в сети. Как показано в сравнительной таблице, система Ipswitch WhatsUp Gold Premium позволяет настроить учетную запись для работы со службами SNMP, WMI, Telnet, SSH, ADO и VMware. Система ManageEngine OpManager Professional позволяет работать по протоколам SNMP, WMI, Telnet, SSH и URL, а система SolarWinds ipMonitor - по протоколам SNMP, WMI и URL.
После настройки службы SNMP на сетевых устройствах и учетных записей (Windows и SNMP) для каждой из систем сетевого мониторинга я запустил процесс обнаружения для диапазона IP-адресов в своей локальной сети. Все системы обнаружили около 70 устройств. Используя настройки сканирования, заданные по умолчанию, тестируемые системы хорошо показали себя при идентификации типов устройств, а также представили подробную информацию о состоянии устройств. Все три системы содержат сенсоры для основных рабочих характеристик устройств и серверов, таких как: загрузка процессора, использование памяти, использование/наполненность диска, потери/задержки пакетов, состояние служб Exchange, Lotus, Active Directory и всех служб Windows. Каждая из систем имела возможность добавлять сенсоры как для отдельных устройств, так и для больших групп устройств.
Пакеты OpManager и WhatsUp Gold имеют интерфейс для идентификации и сбора событий службы VMware с серверов и гостевых систем. Кроме того, оба продукта располагают функцией опроса диспетчера портов коммутатора, которая показывает, какие устройства подсоединены к различным портам управляемых коммутаторов. Полученная информация поможет определить, через какой порт коммутатора осуществляется соединение с определенным бизнес-приложением, при этом нет необходимости вручную выполнять трассировку кабелей в серверных комнатах. В дальнейшем вы можете настроить оповещения для определенных портов коммутатора. При работе с пакетом OpManager для получения результатов опроса портов достаточно выбрать коммутатор и запустить инструмент Switch Port Mapper - система вернет результаты за несколько секунд. Аналогичное средство, входящее в состав WhatsUp Gold, называется MAC Address, его необходимо запускать с отмеченным параметром Get Connectivity. На получение результата в системе WhatsUp Gold уходит больше времени, так как она пытается просканировать устройства и собрать информацию о подключениях по всей сети.
Ipswitch WhatsUp Gold Premium
Ipswitch WhatsUp Gold Premium
ЗА:
обеспечивает наиболее точные результаты среди трех конкурентов, позволяет создавать собственные сенсоры, предоставляет комплексные средства мониторинга систем VMware, интегрируется с AD.
ПРОТИВ:
меньшее количество встроенных сенсоров и более высокая стоимость по сравнению с конкурентами (если приобретать лицензию менее чем на 500 устройств).
ОЦЕНКА:
4,5 из 5.
ЦЕНА:
7495 долл. за 500 устройств, 2695 долл. за 100 устройств, 2195 долл. за 25 устройств.
РЕКОМЕНДАЦИИ
: я рекомендую WhatsUp Gold IT подразделениям, обслуживающим крупные среды VMware, или желающим создавать собственные сенсоры.
КОНТАКТНАЯ ИНФОРМАЦИЯ:
Ipswitch, www.ipswitch.com
При работе с системами IpMonitor и OpManager я время от времени сталкивался с непонятными показаниями, которые ставили меня в тупик. В системе IpMonitor в рабочих панелях могли отображаться отрицательные значения, когда уровень загрузки процессора значительно снижался. В другом случае при загруженности процессора близкой к нулю система IpMonitor прислала мне уведомление, что процессор задействован на 11,490%! Система OpManager, отслеживая и присылая мне корректную информацию об использовании дисков контроллеров домена, при этом в некоторых случаях не включала ни один из контроллеров в список 10 серверов с максимальным использованием дискового пространства. При этом соседняя панель извещала о том, что один из моих контроллеров домена должен быть даже не в десятке, а в тройке. При использовании WhatsUp Gold я не сталкивался с подобными ситуациями. Система WhatsUp Gold отслеживает загруженность ядер процессоров в своих панелях, и, когда я сравнил результаты из панелей WhatsUp Gold с показаниями средства Windows Performance Monitor, они в точности совпали по каждому из ядер. Аналогично, информация об использовании жестких дисков корректно передавалась на все соответствующие приложения рабочей области.
Система WhatsUp Gold имеет встроенную библиотеку сенсоров, которая позволяет создавать новые сенсоры на основе существующих. Крупные организации могут найти эту возможность полезной, так как она позволяет создавать единые наборы сенсоров для мониторинга различных типов устройств - это наиболее эффективной способ настраивать сенсоры для группы устройств.
Система WhatsUp Gold не имеет сенсоров для устройств отдельных производителей (за исключением сенсора для источников питания APC UPS), в отличие от пакета OpManager, использующего собственные сенсоры для устройств Dell, HP и IBM, но зато позволяет создавать сенсоры типа Active Script. Данный тип позволяет разрабатывать собственные процессы мониторинга с помощью языков программирования VBScript и JScript. Сенсорам Active Script посвящен центр онлайн-поддержки, в котором пользователи системы WhatsUp Gold могут получать и загружать готовые сценарии.
Единственное улучшение, которое мне бы хотелось добавить в систему WhatsUp Gold, касается интерфейса (экран 1), в основном из-за того, что он слишком линейный. Например, понадобится до 5 щелчков на кнопках Cancel и Close, чтобы вернуться из окна Active Monitor Library обратно к рабочей области. Также в системе WhatsUp Gold отсутствует сенсор (если, конечно, не написать его вручную), проверяющий состояние сайта, а он может быть необходим, особенно в случаях, когда сайт размещен на стороннем сервере и другие пути доступа к нему отсутствуют.
|
Экран 1. Интерфейс WhatsUp Gold Premium |
Для обработки ситуаций, когда устройства находятся в нерабочем состоянии в течение некоторого времени, можно настроить отправку уведомлений каждые 2, 5 и 20 минут. Таким образом можно привлечь внимание администратора к отсутствию откликов от важнейших узлов в течение определенного времени.
WhatsUp Gold является единственной из рассматриваемых систем, которая обладает возможностью интеграции в окружение LDAP, - данный момент может быть принципиальным при выборе решения для крупных сетей.
ManageEngine OpManager
ManageEngine OpManager
ЗА:
лучший пользовательский интерфейс среди трех продуктов; больше встроенных сенсоров, чем в двух других системах; самая низкая цена при покупке лицензии на 50 и менее устройств.
ПРОТИВ:
в ходе тестов не все показатели устройств отображались корректно; возможно, потребуется потратить время на отладку, чтобы сделать систему полностью функциональной.
ОЦЕНКА:
4,5 из 5.
ЦЕНА:
1995 долл. за 100 устройств, 995 долл. за 50 устройств, 595 долл. за 25 устройств.
РЕКОМЕНДАЦИИ:
ИТ-подразделения, желающие получить максимальное количество встроенных возможностей (за исключением интеграции в AD), оценят систему OpManager Professional. При покупке лицензий в диапазоне 26–50 устройств ее стоимость почти вдвое ниже стоимости двух других продуктов.
КОНТАКТНАЯ ИНФОРМАЦИЯ:
ManageEngine, www.manageengine.com
После установки системы OpManager я обнаружил, что она отличается простотой настройки огромного числа функций и удобством перемещения между ними. В OpManager предусмотрена возможность отправки (наряду с электронными письмами и SMS) сообщений типа Direct Message для учетной записи в системе Twitter - приятная альтернатива электронной почте. Подобное использование учетных записей Twitter позволяет мне быть в курсе происходящего в сети, но, так как мой телефон не звонит при доставке сообщений из системы Twitter, я параллельно хочу получать текстовые уведомления о наиболее важных событиях. Я могу просматривать информацию о достижении пороговых значений на любом сервере с помощью сообщений Twitter и, таким образом, иметь журнал текущих событий в сети, но не обязательно использовать данную схему для передачи предупреждений о критических ситуациях.
В дополнение к стандартным сенсорам, система OpManager предлагает технологии мониторинга производительности по протоколу SNMP, разработанные поставщиками для таких устройств, как Dell Power-Edge, HP Proliant и IBM Blade Center. OpManager также может быть интегрирован с Google Maps API, благодаря чему вы сможете добавлять свои устройства на карту Google. Однако для этого придется приобрести учетную запись Google Maps API Premium (если вы не планируете сделать свою карту сети общедоступной) в соответствии с условиями лицензирования бесплатной версии системы Google Maps API.
Для обработки ситуаций, когда администратор получает предупреждение, но никак не реагирует на него в течение определенного времени, в системе OpManager можно настроить отправку дополнительного предупреждения другому администратору. Например, сотрудник, обычно отвечающий за обработку критических событий для определенной группы серверов, может оказаться занят или болен. На такой случай имеет смысл настроить дополнительное предупреждение, которое привлечет внимание другого администратора, если первое предупреждение не было просмотрено или сброшено в течение заданного количества часов/минут.
Среди трех рассматриваемых продуктов только система OpManager имела раздел, предназначенный для мониторинга качества обменов VoIP в глобальной сети. Для использования инструментов мониторинга VoIP необходимо, чтобы устройства, как в сети источника, так и в сети назначения, поддерживали технологию Cisco IP SLA. Кроме того, система OpManager, интерфейс которой показан на экране 2, включает в себя больше сенсоров и рабочих панелей, чем любой из конкурирующих продуктов.
|
Экран 2. Интерфейс OpManager Professional |
SolarWinds ipMonitor
SolarWinds ipMonitor
ЗА:
неограниченное количество устройств по очень низкой цене; простота в использовании.
ПРОТИВ:
отсутствует механизм согласования действий администраторов.
ОЦЕНКА:
4 из 5.
ЦЕНА:
1995 долл. - количество устройств не ограничено (25 сенсоров бесплатно).
РЕКОМЕНДАЦИИ:
если бюджет ограничен, а вам необходимо организовать мониторинг большого числа устройств, если процесс мониторинга не требует сложных решений и вам подходит внесистемный подход к согласованию действий администраторов, система компании SolarWinds - ваш выбор.
КОНТАКТНАЯ ИНФОРМАЦИЯ:
SolarWinds, www.solarwinds.com
После первого знакомства с системой ipMonitor ее интерфейс, изображенный на экране 3, показался мне весьма запутанным. Я чуть не вечность потратил на то, чтобы найти место, где настраивается частота проверки системой отдельных системных сенсоров (по умолчанию опрос выполнялся каждые 300 секунд). Однако после использования ipMonitor в течение нескольких недель я обнаружил, что эта система чрезвычайно проста в применении и обладает достаточными возможностями для качественного мониторинга сети. С помощью ipMonitor можно настроить сканирование «по умолчанию» таким образом, что любая служба или параметр производительности будут всегда включены в будущие процессы сканирования. Вдобавок к стандартным (и названным выше) сенсорам, система ipMonitor предлагает сенсор журнала событий Windows, который можно использовать для отправки предупреждений при обнаружении критических событий.
|
Экран 3. Интерфейс SolarWinds ipMonitor |
С другой стороны, система ipMonitor не имеет механизмов отслеживания/назначения адресатов предупреждений. Это не имеет значения, если в компании один администратор сети, но более крупные ИТ-подразделения, скорее всего, сочтут существенным недостатком неспособность системы подтверждать получение предупреждений, назначать адресатов и сбрасывать предупреждения. Если администраторы забывают координировать свои действия вне системы, возможны ситуации, когда несколько администраторов получают одно и то же предупреждение и начинают работать над одной и той же проблемой. Впрочем, для разрешения подобных конфликтов достаточно разработать согласованный алгоритм реагирования на предупреждения - например, если разделить ответственность за сетевые устройства между администраторами, то не будет возникать вопросов о том, кто должен заняться решением той или иной проблемы.
Время принимать решение
Я уже решил для себя, какой из трех продуктов больше подойдет к моему окружению. Я остановился на системе ManageEngine OpManager с лицензией на 50 устройств по нескольким причинам.
Прежде всего, мне нужна возможность отслеживать максимальное количество параметров своего окружения, так как это лучший способ избежать неожиданных отказов. В данном вопросе система OpManager, безусловно, впереди конкурентов. Вторая причина - бюджет. Я могу продолжать использовать наши старые средства мониторинга, работающие по принципу «включено/выключено», для рабочих станций и принтеров, и таким образом избежать затрат на дополнительные лицензии. Наконец, мне действительно понравился подход, использованный сотрудниками ManageEngine при разработке OpManager, позволяющий задействовать преимущества новых технологий, и я считаю полностью оправданными затраты на приобретение годового пакета обслуживания и поддержки, позволяющего загружать обновления, появляющиеся по мере развития продукта.
Нейт Мак-Алмонд ([email protected]) - директор по ИТ в агентстве по оказанию социальных услуг, имеет сертификаты MCSE, Security и Network+, специализируется на решениях с тонкими клиентами и медицинских базах данных