ОПИСАНИЕ РАБОТЫ АНАЛИЗАТОРА СЕТЕВЫХ ПРОТОКОЛОВ «OBSERVER 8» В ДЕМО-РЕЖИМЕ
Observer demo-mode Демо-режим дает возможность опробовать все модули программы «Observer». При этом работа сети моделируется, а не используется реально существующая сеть. Существует возможность моделирования одного из четырех типов сетей:
– Ethernet
– Token Ring
– FDDI
– Frame Relay
Пакет «Observer 8» предоставляет два набора функций:
- Набор функций, которые позволяют наблюдать за работой сети и
проводить её диагностику в реальном масштабе времени (“real
time monitoring and troubleshooting”)
- Набор функций, которые позволяют анализировать работу сети в
течение длительного времени (дни, недели месяцы, годы),
выявлять тенденции, сравнивать работу сети за разные
промежутки времени (“long term trending and baselining”).
Observer demo-modeОсновные модули, входящие в состав программного комплекса «Observer»:
1 Discover Network Names (Автоматическое обнаружение сетевых имен)
2 Network Trending (Сбор долговременной статистической информации о работе сети и построение “трендов”)
3 Packet Capture & Decode (Захват пакетов и декодирование протоколов)
4 Bandwidth Utilization (Определение степени загрузки (утилизации) канала связи / коммутатора)
5 Efficiency History (Определение пропускной способности канала связи)
6 Internet Observer (Наблюдение за Internet)
7 Network Activity Display (Индикация активности сети)
8 Network Errors-by-Station (Сбор статистической информации об ошибках передачи данных)
9 Network Vital Signs (Индикация “здоровья” сети)
10 Size Distribution Statistics (Сбор статистической информации по длинам кадров)
11 Network Pair Statistics (Matrix) (Сбор статистической информации по взаимодействующим парам станций)
12 Protocol Distribution (Сбор статистической информации по сетевым протоколам)
13 Router Observer (Наблюдение за маршрутизатором)
14 Top Talkers (Сбор статистической информации о наиболее активных станциях сети)
15 Web Observer (Наблюдение за WWW-сервером)
16 Triggers & Alarms (Триггеры и сигнализация)
17 Traffic Generator (Генерация тестового трафика)
Данные модули могут совместно использоваться сотнями различных способов, чтобы помочь сетевому администратору анализировать и управлять работой сети.
типовые задания
1) Определить, какой станцией было отправлено максимальное количество широковещательных пакетов в течение 5 минут.
Пояснение: необходимо воспользоваться модулем “Top Talkers”.
2) За промежуток времени 5 минут определить среднее количество пакетов в секунду, передаваемых всеми станциями сети .
Пояснение: необходимо использовать “Network Trending” и при просмотре информации выбрать закладку “Bandwidth Utilization” и выбрать “Calculate value per sec”.
3) Определить время активности станции сети, имеющей определенный IP-адрес в течение 15 минут работы сети.
Пояснение: необходимо использовать модуль “Network Trending”. При просмотре выбрать вкладку “Station Activity Time”.
4) Определить за промежуток времени 5 минут, по какому протоколу, кроме TCP/IP и IPX/SPX, было передано больше всего пакетов, определить для нее среднее количество пакетов в секунду по данному протоколу и адрес этой станции.
Пояснение: необходимо использовать модуль “Network Trending” на закладке “Protocols”.
5) Определить среднее значение степени загрузки канала связи в течение 5 минут.
Пояснение: необходимо использовать модуль “Bandwidth Utilization”.
6) Определить, какой станцией в течение 5 минут было передано(принято) больше всего данных по протоколу FTP.
Пояснение: необходимо использовать модуль “Internet Observer” на вкладке “IP Subprotocols”.
7) Определить, какой процент в общем количетстве пакетов составляли групповые пакеты(multicast) за промежуток времени 5 минут и определить среднюю степень загрузки канала за этот промежуток.
Пояснение: использовать “Network Activity Display”.
8) Определить, какая станция сети имела наибольшее количество ошибок типа слишком коротких кадров за промежуток времени 5 минут.
Пояснение: необходимо использовать модуль “Network Errors-by-Station”.
9) Определить, какая станция имела наибольшее количетво коллизий в течение 5 минут и какой процент составляет доля этих коллизий в общем числе переданных пакетов.
Пояснение: необходимо использовать модуль “Network Vital Signs”.
10) Определить, какая станция в течение 5 минут передала больше всего пакетов размером меньше 64 байт (в процентах из всех переданных ей пакетов).
Пояснение: необходимо использовать модуль “Size Distribution Statistics”.
11) Определить, какая пара станций передала больше всего байт (между собой) за промежуток времени 5 минут и определить задержку передачи для этой пары станций.
Пояснение: необходимо использовать модуль “Network Pair Statistics”.
12) Определить, какая станция за промежуток времени 5 минут имела наибольшее количество соединений с другими станциями.
Пояснение: использовать модуль “Network Pair Statistics”.
13) Сделайте так, чтобы при появлении в сети пакета с неизвестным IP-адресом появлялось всплывающее окно, и воспроизводился звуковой сигнал.
Пояснение: установите триггер на данный вид ошибки.
1 Discover Network Names (Автоматическое обнаружение сетевых имен)
Данный режим позволяет автоматически определить все имеющиеся в сети МАС-адреса, поместить их в таблицу настройки фильтров и присвоить соответствующие им имена (auto-alias) для сетей IP или поставить в соответствие IP-адреса или имена DNS. В случае использования NetWare можно “привязать” обнаруженные МАС-адреса к именам пользователей (login name).
Сетевые имена могут отображаться в графическом виде и в виде списка.
-
- Для запуска выберите «Tools > Discover Network Names» в меню или щелкните на иконку
панели инструментов. - Выберите режим определения имен (IP, IPX, Msft), нажав соответствующую кнопку.
- Щелкните «Mode Commands > Setup» или иконку
. - Выберите необходимые параметры.
- Чтобы начать определение сетевых имен, щелкните на иконку
.
- Для запуска выберите «Tools > Discover Network Names» в меню или щелкните на иконку
После выполнения определенные псевдоимена (алиасы) будут использоваться во всех модулях системы.
IP-режим. Вы выбираете интервал IP-адресов, которые вы хотите искать в сети, либо ставите флажок «Passively discover IP addresses». Observer начнет собирать все активные адреса в вашем сегменте сети. Если вы не установили галочку «Passively discover IP addresses», Observer будет проверять все адреса в интервале, который вы указали, потом ожидать ответ. Преимущество «Passively discover IP addresses»-режима в том, что у вас нет необходимости знать, в каком диапазоне лежат адреса вашей сети. Недостаток в том, что если компьютер не генерирует никакого трафика в период пока данный модуль запущен, то он не будет определен Observer-ом. Для определения DNS-имен нажмите кнопку «Resolve IP»
IPX-режим. В данном режиме Observer находит NetWare-серверы и запрашивает login-имена для каждого найденного МАС-адреса. Для этого Observer подключатся к серверу как администратор, поэтому до выполнения каких-либо действий вам будет необходимо ввести пароль администратора NetWare-сети. Observer может сохранить ваш пароль и использовать его при последующем использовании утилиты.
Msft(Microsoft)-режим. В данном режиме Observer пассивно «прослушивает» сетевой трафик и определяет NetBIOS-имена. В данном режиме определение всех имен может занять от пяти минут до нескольких часов.
-
- После того, как имена собраны, вы можете сохранить их, щелкнув на кнопку «SAVE ALIASES». Вы также можете выделить несколько адресов, используя мышь и кнопку «Shift», и сохранить только их. После этого вы можете импортировать список используя кнопку «Import Aliases».
рис.1
- Network Trending (Сбор долговременной статистической информации о работе сети и построение “трендов“)
Функция сбора долговременной статистики (Network Trending) позволяет наблюдать, собирать и анализировать сетевой трафик за длительный временной интервал (дни, недели, месяцы, годы). Observer 8 дает возможность не только получить полную статистическую информацию за интересующий Вас интервал времени, но и сравнить характеристики работы сети за разные периоды времени.
2.1 Выберите « Trending > Network Trending » или щелкните 
.
2.2 Выберите «Mode Commands > Start Mode» или щелкните 
.
Используя кнопку 
вы можете выбрать время сбора информации, дни недели и другие параметры.
рис.2
Observer включает модуль «Network Trending Viewer», который позволяет собирать, хранить, просматривать и анализировать информацию о работе сети. Для запуска выберите «Trending > Start Network Trending Viewer». Вы можете просматривать информацию по всей сети в целом или для любой ее станции, которая существовала в сети в любой момент времени.
Данный модуль содержит следующие вкладки и, соответственно, дает возможность просматривать следующую информацию:
– Stations activity time — отображает, когда первый и последний раз каждая станция была в сети.
– Top Talkers — отображает общее количество для каждой станции входящих и исходящих пакетов, общее количество входящих и исходящих байт.
– Packet Size Distribution — информация по длинам кадров.
– Bandwidth Utilization — степень загрузки канала для конкретного дня.
– Router Bandwidth Utilization — степень загрузки маршрутизатора к абсолютной величине или в процентах.
– Protocols — отображает протоколы, по которым происходит работа в сети. Доступные типы: TCP/IP, IPX/SPX, NetBIOS (including NetBEUI), AppleTalk, DECNET, SNA, и другие.
– TCP/IP Subprotocols, IPX Subprotocols — отображает субпротоколы TCP/IP и IPX, по которым происходит работа в сети. Например, ARP, RARP, IP, TCP, UDP, ICMP и другие (для TCP/IP).
- Network Errors – ошибки работы сети по различным типам.
Существуют также дополнительные вкладки для сетей типа Token Ring и FDDI .
рис.3
- Packet Capture & Decode (Захват пакетов и декодирование протоколов)
Пакет позволяет декодировать более 500 сетевых протоколов (и субпротоколов) и распознавать более 4000 типов фреймов.
К числу поддерживаемых протоколов (субпротоколов), в частности, относятся:
- для сетей NetWare: IPX, SPX, SAP, RIP, NCP/2, NCP/3, NCP/4, Packet Burst Protocol, NLSP, NDS, Watchdog Protocol, Serialization Protocol, Broadcast Notification Protocol;
- для сетей ТСР/IР: IPv4, IPv6, ARP, ICMP, IP, OSPF, RARP, RIP, RIPv2, SNMP, TCP, UDP, NetBios over IP, HTTP, DHCP, DNS, BooTP, FTP, RPC, TELNET, LPD/LPR, TFTP, POP, POP3, IMAP, RCP, NFS, SMTP, SNMPv2, NNTP,PPP.
- для сетей Microsoft (NetBios/NetBEUI): Full SMB, NON-Session Frames, Session Frames.
- А также протоколы сетей DECnet, AppleTalk, SNA, Banyan/Vines.
- Дополнительные протоколы: MGCP/Megaco, SLP, SQL/TDS, SIP, SDP, RRC 2975 SAP, PPPoE, Xerox XNSflDP, TNS (Oracle), OSI/CLNP, OSI/Inactive Network, OSMSIS, Radius, RSVP, MPLS, CLNS, Frame Relay/Q.931 <Anex D/LMI>, Frame RelayflSO8885, Frame Relay/Q922, VoIP Codec G729A (Nortel).
Функция захвата и декодирования пакетов позволяет хорошо изучить работу сетевых протоколов. Она незаменима в тех случаях, когда необходимо быстро определить, почему сеть ведет себя неадекватно. К таким случаям, например, относятся: невозможность конкретного пользователя (или группы пользователей) подключиться к сети, медленная работа конкретного пользователя, сбои или невозможность печати на конкретном сетевом принтере и др.
Для запуска модуля достаточно отметить любую станцию (или пару взаимодействующих станций) в любом режиме наблюдения (например, Pair Statistics) и щелкнуть правой кнопкой мыши, и пакет предложит автоматически запустить режим захвата пакетов именно от выбранной станции (пары взаимодействующих друг с другом станций).
Observer включает очень удобное средство для просмотра, анализа захваченных пакетов многими способами. Оно включает в себя средство фильтрации пакетов.
рис.4
Пакет позволяет устанавливать большое число разнообразных входных фильтров на захват пакетов. Фильтр называется “входным”, т.к. он фильтрует информацию на входе в буфер пакета Observer. (Кроме “входных фильтров” существуют еще и “пост-фильтры”, которые фильтруют информацию, которая уже записана в буфер пакета Observer.)
Входные фильтры могут строиться на основе МАС-адресов станций, IP-адресов станций, имен станций, определяемых в режиме “автоматического обнаружения станций сети” и/или значений данных в кадре сети. Кроме того, имеется возможность осуществлять фильтрацию по конкретным IP-адресам, задавать диапазоны адресов, исключать определенные диапазоны адресов из процесса захвата пакетов, а также использовать групповые символы при определении конфигурации фильтров. Реализована библиотека стандартных фильтров, ориентированных на разные типы протоколов и событий сети. Например, Вы можете установить фильтр, который будет фильтровать, и записывать в буфер только кадры, содержащие ошибки.
Наличие входных фильтров существенно упрощает процесс диагностики, т.к. позволяет не записывать на диск компьютера большое число ненужной для анализа информации.
Для анализа захваченных пакетов, которые находятся в текущем буфере необходимо нажать кнопку 
. Пакеты могут анализироваться по протоколам, наиболее активным станциям, взаимодействующим парам станций. Для каждого вида анализа существует закладка в окне модуля.
рис.54 Bandwidth Utilization (Определение степени загрузки (утилизации) канала связи / коммутатора)
Пакет измеряет и отображает в графическом и числовом виде текущую, среднюю и максимальную утилизацию канала связи сети и/или коммутатора.
Средняя и максимальная величина рассчитываются, исходя из промежутка времени, в течение которого выполняется модуль. Информация об утилизации канала связи/коммутатора необходима, в частности, для определения причин медленной работы сети, вызванной перегруженностью канала связи/коммутатора.
Для запуска выберите «Statistics > Bandwidth Utilization» или щелкните на иконке 
. Режим отображения выбирается с помощью панели инструментов данного модуля.
рис.6
На рис.6 представлена графическая форма работы модуля. В данном случае зеленым цветом представлена текущая (latest) загрузка канала связи (22.1%), синим – средняя (average) величина (10.3%), красным – максимальная (maximum) величина (90.5%) за весь промежуток работы модуля.Efficiency History (Определение пропускной способности канала связи)