Камерон Стардевант (PC Week Labs)
Чисто программные анализаторы протоколов по-прежнему остаются одним из важнейших средств диагностики в арсенале сетевого администратора. Однако слияние трех тенденций в развитии этих проверенных практикой средств борьбы с неисправностями привели к радикальному изменению ситуации, поставив под сомнение ряд устоявшихся представлений о них.
Во-первых, широкомасштабный переход от сетей с разделяемой средой доступа к коммутируемым технологиям перекрыл канал неограниченного доступа к сетевому трафику, без которого анализатору протокола просто не с чем работать.
Во-вторых, анализаторы стали намного интеллектуальнее - сегодня они поддерживают значительно более широкий ассортимент протоколов, чем всего лишь год назад.
В-третьих, чисто программные анализаторы резко подешевели. Цены на большинство из них находятся теперь на уровне $995, что в пределах возможностей ИТ-службы почти любой организации.
Первое из названных обстоятельств более прочих подтолкнуло сетевых администраторов к переоценке того, как и где применять анализаторы при поиске неисправностей. Администратор коммутируемой сети, столкнувшийся с проблемой подозрительного сетевого трафика, вначале обычно локализует проблемную подсеть. Если применяемые коммутаторы поддерживают зеркальные порты (это выполняют большинство современных администрируемых устройств), их можно использовать для получения доступа практически ко всем компонентам трафика. Исключение составляют физические ошибки, такие, как дефекты формирования кадров, - они обычно не дублируются на зеркальный порт. Это ограничивает возможности анализатора, лишая его важной информации. Более того, сетевым администраторам по-прежнему приходится полагаться на интуицию, выбирая, за каким (какими) из портов устанавливать наблюдение (некоторые коммутаторы не позволяют одновременно следить за портами, относящимися к различным виртуальным ЛВС).
Такие продукты, как Explorer фирмы Shomiti Systems, используют для получения непосредственного доступа к анализируемой информации без внесения нарушений в поток трафика пассивные аппаратные врезки. Это хороший выход из положения, если интерес представляет трафик между ответственным сервером и коммутатором. Врезки следует делать заранее, для чего администратору необходимо продумать тактику диагностики возможных неисправностей еще до их возникновения.
В составе серверных ОС NT и NetWare имеются рудиментарные средства анализа протоколов. Их можно использовать для локализации неисправностей, но они отбирают часть вычислительной мощности процессора и не слишком помогают администратору в анализе декодированного трафика.
Рост интеллекта
Развитие за последние пару лет второй из названных тенденций - расширения способностей анализаторов по декодированию протоколов при одновременном упрощении их использования - привело к формированию нового главного критерия оценки того, какой продукт лучше выбрать для работы с той или иной конкретной средой.
Программные анализаторы основных производителей, включая Sniffer Pro фирмы Network Associates, Domino фирмы Wavetek Wandel Goltermann и EtherPeek фирмы AG Group, обрели важные новые возможности декодирования протоколов. Теперь они не только идентифицируют конкретный вид сетевого трафика, например HTTP, но и выделяют пакеты, связанные в одну цепочку обмена или даже относящиеся к одной транзакции, такой, как запрос к СУБД корпорации Oracle.
Хотя все еще остается значительный простор для усовершенствований на таких направлениях, как пассивный мониторинг, сбор данных и экспертный анализ, каждый из упомянутых выше анализаторов протоколов вполне отвечает последним веяниям.
Поэтому, выбирая тот или иной из них, сетевому администратору следует обратить внимание на глубину анализа конкретного интересующего его протокола, а не задаваться вопросом, годится ли данный продукт для исследования каждого из более чем 400 известных видов трафика.
Среди различных анализаторов, поступавших в течение прошлого года на испытания в Тестовый центр PC Week Labs, мы наблюдали на удивление большой разброс по эффективности использования - по способности не только декодировать трафик, но и более глубоко анализировать его, в особенности на уровне формирования экспертных оценок состояния сети.
Например, программа Domino производства Wavetek Wandel Goltermann обладает весьма эрудированной подсистемой экспертного анализа, которая в наших испытаниях показала себя надежным механизмом диагностики неисправностей. Взаимодействие с ней осуществляется через множество мастеров, которые могут быть настроены на уровень новичка или закаленного ветерана, - путь до выставления диагноза окажется при этом на несколько экранов с вопросами длиннее или короче.
Как же их расставить?
Наконец, благодаря тенденции перехода к бросовым ценам на эти чисто программные продукты появляется финансовая возможность их массированного применения. Ушли в прошлое те дни, когда словосочетание “портативный анализатор” означало чемодан со сверхдорогостоящим ПК внутри и программным обеспечением, которое не работает ни с чем, кроме установленной в этом чемодане сетевой платы.
Современный программный анализатор можно установить практически на любом портативном ПК с ОС Windows 9x или NT. И эти заслуженные инструменты останутся в руках диагностов сетевых неисправностей, копающихся в потрохах коммутационных шкафов, еще долгие годы.
Технологии и топологии приходят и уходят, но анализатор протоколов, судя по всему, так и останется “первым инструментом” в арсенале сетевого администратора.
Что происходит с анализаторами протоколов?
Недавние перемены в производстве этих инструментов сделали их еще более ценными средствами диагностики сетевых неисправностей.
-В результате перехода от сетевых технологий с разделением полосы пропускания к коммутируемым сетям чисто программные анализаторы протоколов оказались отрезаны от информации, которая необходима им для диагностики сетевых неисправностей.
-Одним из альтернативных путей доступа к этой информации может служить использование зеркальных портов; однако не все коммутаторы поддерживают соответствующую возможность. Другой путь - применение пассивных аппаратных врезок, по сути представляющих собой концентраторы. Кроме того, такие серверные ОС, как Windows NT, NetWare и большинство разновидностей Unix, имеют рудиментарные встроенные анализаторы.
-Программы-анализаторы способны сегодня идентифицировать больше сетевых протоколов и декодировать больше видов трафика, чем даже всего лишь год назад; и при этом они стали еще проще в использовании.
-Ценовая революция сделала анализаторы протоколов доступнее, чем когда-либо раньше.
