Мониторинг пакетов становится более интеллектуальным

Вместо массы непонятных данных средства досмотра пакетов предоставляют интеллектуальный анализ

Тучи информации каждый день проходят через сети предприятий. К сожалению, данные в их первозданном виде представляют собой бессмысленный поток байтов для всех, кроме немногих посвященных.

Испоьзуя технологию досмотра пакетов, EcoScope ясно показывает администраторам "узкое место" в сети

Средства, предназначенные для отображения данных из пакетов, известны уже не один год, но эта информация столь обширна и трудна для понимания, что администраторы предпочитают решать проблемы заторов в сетях и обнаружения отказавших сетевых устройств другими путями  -  как правило, методом проб и ошибок.

Хотя средства досмотра пакетов являются обычными компонентами таких ОС, как Unix и Windows NT, пользу от этих средств, похоже, получают только хакеры, часами наблюдая транзакции и ожидая, не произойдет ли что-нибудь интересное.

Но в мире средств досмотра пакетов изменения происходят. В начале 90-х годов корпорация Network General первой выдвинула концепцию автоматического анализа пакетов, а вслед за нею и другие производители пошли на штурм этого сектора рынка.

До недавнего времени получение подробных сведений о производительности и параметрах сети было возможно только для таких платформ управления, как Unicenter The Next Generation фирмы Computer Associates или OpenView компании Hewlett-Packard, где собираются сведения в стандарте SNMP. Сегодня досмотрщики пакетов предоставляют способ извлечения из сети колоссальных количеств данных без размещения назойливых агентов SNMP.

Негативной стороной этой тенденции для менеджеров сетей стала проблема выбора из большого количества продуктов, каждый из которых отличается своим уникальным аспектом толкования интеллектуальности  -  и все это при том, что в отрасли не предпринимается никаких усилий по разработке стандартного API для соединения инструментов анализа с имеющимися средствами досмотра пакетов.

Пока же этого не произойдет, пожалуй, наилучшим решением будет размещение простых в использовании программных досмотрщиков пакетов на каждом узле глобальной сети и применение традиционных аппаратных средств с выездом специалистов по вызову для решения более сложных вопросов. Кроме того, компаниям следует обратить больше внимания на гибридные средства, предназначенные для обеспечения безопасности сетей, например RealSecure компании Intenet Security Systems.

 Новые средства досмотра

Существующие программные средства досмотра включают NetXRay (фирма Cinco Networks), EtherPeek (AG Group) и LANalyser (Novell), работающие на ПК под ОС Windows и имеющие удобные интерфейсы и способы анализа производительности, вполне конкурирующие с высококлассными аппаратными соперниками. Панели пакетов NetXRay и LANаlyser ясно отображают потребляемые каждым протоколом доли полосы пропускания. Для этих продуктов простота декодирования пакетов не является главной характеристикой.

Аппаратные средства мониторинга пакетов также имеют свой ареал обитания во многих сетях, поскольку стандартные сетевые ОС славятся потерями пакетов, в результате чего картина работы сети называется неполной. Аппаратные средства обычно способны выполнять более широкий набор операций мониторинга, выходя за пределы топологий Ethernet или Token-Ring вплоть до анализа ATM, ISDN и даже frame relay. Многие устройства сейчас “щеголяют” графическим интерфейсом пользователя и предлагают такие же функции изучения дрейфа параметров производительности, как и чисто программные продукты.

С Чего начать

Помимо возможности простого пассивного сбора данных об активности в сети многие инструменты досмотра пакетов снабжены средствами, позволяющими администратору вмешаться при возникновении проблемы. Например, Sniffer фирмы Network General может подавать ему сигналы тревоги при падении производительности ниже заданного порога или при невозможности передать пакет. Используя протокол SNMP, Sniffer может посылать сигналы управляющим платформам, таким, как HP OpenView, или непосредственно выполнить какие-либо действия, например исполнить пакетный файл или сценарий.

Идя в этом направлении еще дальше, RealSecure фирмы ISS может остановить сеанс TCP в случае нарушения безопасности.

Работающий под Unix и Windows NT пакет RealSecure имеет высокий уровень аналитических способностей, позволяющих ему отслеживать широкий набор известных последовательностей пакетов. Хотя продукты, подобные RealSecure, продвигаются на рынке как мониторы безопасности сетей, они по-прежнему остаются средствами досмотра пакетов, полностью основанными на наблюдении и декодировании пакетов в реальном времени.

Еще одна вариация на тему технологии досмотра предлагается корпорацией CompuWare, которая выпустила изощренный инструмент мониторинга производительности под названием EcoScope. Этот продукт не только предоставляет статистику по протоколам, например IP или IPX, но может также “раскрыть” информацию уровня приложений. С помощью EcoScope администратору достаточно одного взгляда, чтобы точно узнать, какую долю всего трафика TCP/IP заняла система электронной почты, скажем, Lotus Notes, а какую  -  база данных, допустим, Oracle.

Майкл Суркан (PC Week Labs)