Проектирование структурированной кабельной системы предприятия

3. Тонкая настройка параметров сети (собственно оптимизация). Если сеть работает удовлетворительно, то дальнейшее повышение ее производительности или надежности вряд ли можно достичь изменением только какого-либо одного параметра, как это было в случае полностью неработоспособной сети или же в случае ее грубой настройки. В случае нормально работающей сети дальнейшее повышение ее качества обычно требует нахождения некоторого удачного сочетания значений большого количества параметров, поэтому этот процесс и получил название «тонкой настройки».

Даже при тонкой настройке сети оптимальное сочетание ее параметров (в строгом математическом понимании термина «оптимальность») получить невозможно, да и не нужно. Нет смысла затрачивать колоссальные усилия по нахождению строгого оптимума, отличающегося от близких к нему режимов работы на величины такого же порядка, что и точность измерений трафика в сети. Достаточно найти любое из близких к оптимальному решений, чтобы считать задачу оптимизации сети решенной. Такие близкие к оптимальному решения обычно называют рациональными вариантами, и именно их поиск интересует на практике администратора сети или сетевого интегратора.

Поиск неисправностей в сети - это сочетание анализа (измерения, диагностика и локализация ошибок) и синтеза (принятие решения о том, какие изменения надо внести в работу сети, чтобы исправить ее работу).

· Анализ - определение значения критерия эффективности (или, что одно и то же, критерия оптимизации) системы для данного сочетания параметров сети. Иногда из этого этапа выделяют подэтап мониторинга, на котором выполняется более простая процедура - процедура сбора первичных данных о работе сети: статистики о количестве циркулирующих в сети кадров и пакетов различных протоколов, состоянии портов концентраторов, коммутаторов и маршрутизаторов и т.п. Далее выполняется этап собственно анализа, под которым в этом случае понимается более сложный и интеллектуальный процесс осмысления собранной на этапе мониторинга информации, сопоставления ее с данными, полученными ранее, и выработки предположений о возможных причинах замедленной или ненадежной работы сети. Задача мониторинга решается программными и аппаратными измерителями, тесторами, сетевыми анализаторами и встроенными средствами мониторинга систем управления сетями и системами. Задача анализа требует более активного участия человека, а также использования таких сложных средств как экспертные системы, аккумулирующие практический опыт многих сетевых специалистов.

· Синтез - выбор значений варьируемых параметров, при которых показатель эффективности имеет наилучшее значение. Если задано пороговое значение показателя эффективности, то результатом синтеза должен быть один из вариантов сети, превосходящий заданный порог. Приведение сети в работоспособное состояние - это также синтез, при котором находится любой вариант сети, для которого значение показателя эффективности отличается от состояния «не работает». Синтез рационального варианта сети - процедура чаще всего неформальная, так как она связана с выбором слишком большого и очень разнородного множества параметров сети - типов применяемого коммуникационного оборудования, моделей этого оборудования, числа серверов, типов компьютеров, используемых в качестве серверов, типов операционных систем, параметров этих операционных систем, стеков коммуникационных протоколов, их параметров и т.д. и т.п. Очень часто мотивы, влияющие на выбор «в целом», то есть выбор типа или модели оборудования, стека протоколов или операционной системы, не носят технического характера, а принимаются из других соображений -коммерческих, «политических» и т.п. Поэтому формализовать постановку задачи оптимизации в таких случаях просто невозможно.

3.2 Средства оптимизации и устранения неисправностей в сетях

Для использования средств тестирования с максимальной отдачей необходимо приобрести определенные навыки в проведении анализа протоколов и повышении производительности. Анализ протоколов (protocol analysis) - это процесс перехвата, просмотра и последующего анализа функционирования протокола связи в конкретной сетевой архитектуре. Повышение производительности (performance tuning) - это использование статистических данных, собранных в ходе сеанса анализа протоколов, и модификация программных и аппаратных компонентов локальной сети с учетом накопленных данных для оптимальной работы сети.

И анализ протоколов, и повышение производительности - это своего рода искусство. Под анализом протоколов понимается получение данных протокола и последующий логический процесс разборки исследуемого протокола. Повышение производительности - это процесс пристального изучения данных для реорганизации локальной сети с целью оптимизации ее работы.

Квалифицированное проведение анализа протоколов и повышение производительности основано на некоторой методике.

Методология анализа протоколов

В ходе сеанса анализа протоколов необходимо использовать следующие шесть логических этапов.

1. Перехват. Начать с перехвата данных для всех уровней вашей модели протокола Ethernet.

2. Просмотр. Изучить данные на каждом уровне, начиная с уровня МАС и продвигаясь в направлении уровня Приложение.

3. Анализ. Тщательно исследовать данные на каждом уровне на предмет надежного и стабильного процесса связи.

4. Проверка ошибок. Просмотреть и отметить любые нерегулярные ошибки, передаваемые на функциональный адрес REM.

5. Определение уровня производительности. Установить пропускную способность сети для базового уровня сети в целом и отдельных рабочих станций.

6. Выделение компонента. Продолжить анализ любых потенциальных проблем, выделяя конкретный компонент посредством фильтрации, инициализации, временных отметок и других методов классификации.

Рис. 3.1 - Соотношение области исследования и степени детализации в процессе анализа

Как показано на рис. 3.1, по мере продвижения в ходе анализа от пункта 1 к пункту 6 и расширения степени детализации исследуемых процессов внимание аналитика фокусируется на конкретных элементах локальной сети. В ходе анализа в рассмотрение включается все больше и больше технических подробностей исследуемой локальной сети.

Методология повышения производительности

Повышение производительности, как и анализ протоколов, представляется весьма сложной задачей, решение которой возможно лишь при наличии соответствующей квалификации и опыта в проектировании локальных сетей. Эта работа требует понимания всех хитросплетений сетевых программных и технических средств и: механизмов их взаимодействия. Повышение производительности включает следующие восемь базовых этапов:

1. Общий обзор. Изучить все собранные в ходе сеанса анализа протоколов статистические данные, относящиеся к уровню связи.

2. Постановка цели. Распределить использование полосы пропускания сети.

3. Выявление неисправностей. Выявить источники (конкретные компоненты сети) всех зафиксированных ошибок.

4. Планирование ресурсов. Назначить ресурсы для тестирования любых проблемных областей, обеспечивающие точные оценки.

5. Составление проекта модификаций. Указать все изменения, которые необходимо выполнить в программных и аппаратных компонентах сети. Рассмотреть все альтернативы. Оценить воздействие всех факторов окружения исследуемой локальной сети.

6. Реализация проекта. Выполнить необходимые изменения в компонентах сети - по одному за раз. С точки зрения сохранения целостности сети чрезвычайно важно вносить изменения поэтапно, с последующим повторным тестированием.

7. Повторное тестирование. Еще раз выполнить сеанс анализа протоколов применительно к модифицированному компоненту. Если результаты тестирования не подтверждают прогнозируемых улучшений, возможно, эти изменения следует подкорректировать.

8. Документирование. Зафиксировать в документах результаты своей работы. Иногда с этими результатами полезно ознакомить других специалистов, которых могут коснуться изменения в работе сети.

На рисунке 3.2 показан алгоритм повышения производительности локальной сети.

Рис. 3.2 - Поэтапный алгоритм настройки локальной сети Ethernet

Работа с анализатором протокола

С целью эффективного использования анализатора протокола необходимо хорошо ориентироваться в следующих вопросах:

1. Архитектура исследуемой локальной сети

2. Методология анализа протоколов

3. Основные режимы работы используемого анализатора протоколов

Анализатор протокола - это аппаратно-программное устройство, способное «заглянуть» в кабель локальной сети. Анализатор протокола физически подключается к сети и перехватывает данные, передаваемые по кабелю этой сети, декодируя и анализируя некоторые из них.

Большинство анализаторов протокола состоят из ПК с сетевой платой соответствующей топологии и программного обеспечения сетевого анализа, записанного на диск этого ПК.

Анализатор протокола подключается к локальной сети посредством сетевой платы - точно так же, как обычный узел сети. Разница между узлом типа «анализатор протокола» и обычным сетевым узлом заключается в том, что обычный узел копирует только пакеты, адресованные ему, тогда как анализатор копирует все пакеты, проходящие через его сетевой адаптер.

В этом режиме работает большинство анализаторов протокола Ethernet. Программное обеспечение сетевого анализа построено в соответствии с многоуровневой моделью. Эта модель состоит из базового рабочего кода, выполняющего фактическое управление и декодирование конкретных перехваченных данных. Над базовым рабочим кодом размещается специфический для конкретной топологии код, позволяющий анализатору протокола работать с соответствующей топологией. Над кодом топологии размещается следующий уровень, расшифровывающий анализируемые протоколы.

Основные режимы работы анализатора протокола - это перехват, декодирование и отображение данных сетевого протокола. Модификация стандартных параметров режимов работы достигается посредством трех методов, встроенных в анализатор протокола: инициализации, фильтрации и возможностей отображения.

Методы инициализации и фильтрации позволяют выбрать часть сетевых данных для перехвата или отображения, а также установить момент начала их перехвата или отображения.

Фильтрация служит для отображения интересующих пакетов, исключая из рассмотрения посторонний поток данных. Хорошим примером может служить выделение пакета из передачи PCLAN. Допустим, что вас интересует только протокол SMB. Вы отфильтровываете протоколы MAC, DLC и NetBIOS, оставляя в результате для просмотра и анализа только один протокол - SMB.

Инициализация позволяет увязать режимы перехвата и отображения с определенными событиями. Если, например, вы зададите инициализацию анализатора протокола по команде чтения файла SMB, то анализатор должен будет начать перехват или отображение сетевых данных только после того, как произойдет событие чтения SMB.

Возможности отображения обычно позволяют выводить данные в цифровом и графическом форматах. Большинство анализаторов протокола способно фиксировать определенные временные соотношения. Возможности отображения дополнены функциями печати и записи информации в файл. В результате почти все, что вы будете видеть на экране анализатора, можно также распечатывать и записывать на диск.

Подводя итог, отметим, что, если вы хотите правильно пользоваться анализатором протокола, то должны следовать указанной методологии (т.е. перехватывать, просматривать, анализировать, выявлять ошибки, сравнивать производительность), а затем сосредоточить свое внимание на области, вызывающей вопросы.

Работа анализатора протокола - достаточно продолжительный процесс, но время, затраченное на тщательное изучение предоставляемой им информации, обязательно себя оправдает. Если вы хорошо разбираетесь в работе этого устройства, то сможете быстро и эффективно проанализировать необходимые вам данные.

LANdecoder и LAN Vision Monitor от Triticom

Фирма Triticom была основана в 1989 г. и находится в Сент-Поле, шт. Миннесота. Эта фирма проектирует и выпускает высококачественные изделия для мониторинга, управления и моделирования локальных сетей. В число этих изделий входят LANdecoder/tr, LANdecoder/e, TokenVision, EtherVision и ArcVision.

Изделия серии LANdecoder являются исключительно программными анализаторами. Эта серия в настоящее время поддерживает топологии Token Ring и Ethernet.

Программу LANdecoder можно загружать на множестве ПК-платформ, определенных Triticom; для работы требуется высокопроизводительная NIC. LANdecoder обеспечивает декодирование полного семиуровневого протокола для топологии Ethernet и включает декодеры для следующих протоколов:

1. IEEE 802.2

2. IEEE 802.3

3. IEEE 802.5

4. MAC LLC XNS

5. PEP TCP/IP

6. Полный NetBIOS Novell

7. Полный NetWare Lite

Это изделие позволяет конвертировать перехваченную информацию в формат различных анализаторов протокола (например, Network General Sniffer). Происходит это так: отфильтрованные с помощью LANdecoder данные помещаются в какой-либо файл, а затем этот файл экспортируется в формат Network General Sniffer для последующего анализа. Эта особенность весьма полезна для таких типов протоколов, которые не могут быть полностью декодированы LANdecoder.

LANdecoder включает усовершенствованные инициаторы и фильтры перехвата. Он поддерживает функцию присвоения символических имен для мониторинга адресов. Эта программа декодирует большинство кодов изготовителей сетевых плат. Включен также полный набор функций генерации потока данных, что повышает управляемость процесса загрузки сети Ethernet в ходе сеанса анализа посредством LANdecoder.

Указанный анализатор располагает также полным набором функций мониторинга, охватывающих основные категории статистики Ethernet. Именно эти средства Triticom включает и в серию изделий LANVision, описанную ниже.

LANVision Monitor выполняет мониторинг сетей Ethernet, контролирует и отображает все основные категории статистических данных среды Ethernet.

Программный продукт LANVision рассчитан на специальные типы аппаратуры ПК с сетевой платой для Ethernet, поддерживаемой Triticom. Программа LANVision представляет собой средство мониторинга Ethernet. Она не выполняет функций анализатора протокола и поэтому не идентифицирует и не отображает наборов протоколов верхнего уровня. Идентифицируются только определенные типы MAC.

LANVision Monitor обладает «дружественной» системой меню.

В LANVision Monitor используется один основной режим работы - режим Monitor Traffic. Другими пунктами меню являются:

Set Network Alarms (Установить аварийную сигнализацию сети)

Network Log Options (Параметры регистрации в сети)

Assign Logical Names (Присвоить логические имена)

Configuration Options (Параметры конфигурации)

Report Generator (Генератор отчетов)

Quit to DOS (Выйти в DOS)

Эти пункты меню предназначены для конфигурирования основной рабочей среды. Режим Monitor Traffic (контроль потока данных) включает четыре способа отображения в реальном времени и обеспечивает просмотр перехватываемой информации в следующих режимах:

1. Статистический режим. Представляет широкие возможности для просмотра всех статистических данных по Ethernet.

2. Режим диаграммы. Обеспечивает графическое представление использования полосы пропускания сети и статистики подсчета пакетов.

3. Станционный режим. Отслеживает пакеты, посылаемые отдельными станциями.

4. Режим MAC. Отображает общую информацию о перехваченных пакетах MAC.

5. Из режима Monitor Traffic вы можете перейти в любой из режимов Real Time Display (отображение в реальном времени) для просмотра потока данных сети.

Bce режимы Real Time Display взаимосвязаны и динамически отображают синергистический и хронологический перечень пакетов сети по мере их перехвата. Возможно несколько режимов отображения по пакетам и отдельным станциям.

Станционный режим отображает все многообразие статистических данных вида «станция-пакет» (например, общее число пакетов, полное число килобайтов, средний размер пакета, количество нерегулярных ошибок и т.п.).

Статистический режим представляет собой весьма существенное дополнение, поскольку позволяет получить общий обзор сети и важные статистические данные о Ethernet (например, информацию маршрутизации источника).

Режим MAC предоставляет критическую информацию по Ethernet, в том числе ошибки CRC, конфликты, МАС-пакеты активного монитора.

Функция Set Network Alarm позволяет LANVision Monitor рассылать аварийные сигналы при возникновении в сети тех или иных критичных событий.

Функция Network Log Options, оказывающая значительную помощь при поиске неисправностей, ведет журнал регистрации основных событий в сети (например, включение/выключение режима мониторинга потока данных, ошибки, аварийные сигналы, пиковую нагрузку сети). Можно организовать динамическую пересылку этого журнала в файл или на принтер. Важная особенность этой функции заключается в том, что вы можете создать среду тестирования своей сети с последующим автоматическим сохранением статистических данных тестирования.

Для мониторинга локальных сетей LANdecoder32 осуществляет сбор информации и кадров при помощи драйверов NDIS компании Microsoft или AccuCapture компании Triticom. Последние оптимизированы для функций анализа и мониторинга. Это позволяет увеличить производительность системы или предоставить детальную информацию об ошибочных кадрах, в том числе и таких низкоуровневых ошибках, как несовпадение контрольной суммы. Для мониторинга и анализа удаленных сегментов сети LANdecoder32 взаимодействует с подключенными к сети стандартными зондами RMON; для работы LANdecoder32 необходима поддержка протокола TCP/IP.

Программное обеспечение производит семиуровневое декодирование пакетов более чем 85 протоколов. Кроме того, продукт поддерживает фильтрацию и может создавать отчеты на основе собранной статистики.

Изделия фирмы Triticom LANdecoder и LANVision являются надежными средствами анализа и мониторинга топологии 10/100 Ethernet. Их основные функции удобны в использовании, а выводимая на экран информация - понятна и легко читаема. Оба эти изделия относительно недороги, информативны и просты эксплуатации.

Использование рефлектометра временной области

В современных сетях проблемы с кабельными соединениями порождают очень высокий процент симптомов неисправностей. Раньше поиск дефектного кабеля представлял собой крайне изнурительную работу. Но сегодня в распоряжении пользователей имеется такой большой выбор тестового оборудования, что выполнение этой задачи существенно упрощается. Среди всего этого оборудования, благодаря своей эффективности, быстродействию и новаторскому подходу, выделяются устройства TDR.

TDR (Time Domain Reflectometer - рефлектометр временной области) представляет собой устройство, которое вырабатывает, передает и контролирует отражение особого сигнала в кабеле. Такое устройство иногда называют кабельным радаром, поскольку принцип его действия действительно в чем-то напоминает работу обычного радара.

TDR посылает сигнал определенной амплитуды и длительности, а затем «прослушивает» кабель и фиксирует любые отражения сигнала. Если в данном кабеле проблем не выявлено, и он нагружен должным образом, отражений сигнала быть не должно.

С кабелем могут быть связаны следующие проблемы:

1. Открытые кабели (физический обрыв)

2. Короткозамкнутые кабели (пересечение двух или более внутренних проводников)

3. Пережатые кабели

4. Плохая нагрузка кабелей (неподходящая или вообще отсутствует)

5. Прочие проблемы (петли, изгибы и т.п.)

Вид отраженного сигнала определяет тип проблемы, возникшей в кабеле. Такое уникальное отражение иногда называют еще сигнальной сигнатурой неисправности в кабеле (cable signal fault signature CSFS). Современные TDR позволяют фиксировать и интерпретировать большую часть неисправностей в кабеле. Для определения вероятного типа повреждения кабеля большинство устройств анализирует полярность и амплитуду CSFS. Некоторые из устройств сообщают вероятный тип неисправности и приблизительное расстояние от точки тестирования до места повреждения.

Прежде чем приступить к тестированию любого кабеля, необходимо изолировать подозрительный участи кабеля от остальной части локальной сети. Некоторые ПК, концентраторы, повторители и мосты могут вызывать паразитные отражения сигнального теста TDR. Лучший способ избежать этого - отключить эти устройства и протестировать каждый участок кабеля отдельно.

Важно убедиться в том, что тестируемый участок кабеля нагружен должным образом. Большинство TDR комплектуется соответствующими нагрузками для того типа кабеля, который они могут тестировать. Чтобы застраховать себя от неожиданностей, следует воспользоваться одной из таких нагрузок.

Имея в своем распоряжении высококачественный TDR, можно получить всю необходимую информацию. Если проблем с кабелями не выявлено, вы получите соответствующее сообщение. В противном случае большинство TDR сообщат вам вероятный тип повреждения кабеля и расстояние до точки неисправности.

Некоторые TDR имеют специализированные тесты на омическое сопротивление кабеля, потери в дБ (потери сигнала), непрерывность (разрывы и короткие замыкания) и шум в кабеле. Другие устройства комбинируют эти тесты тем или иным образом. В любом случае, стоит сначала выполнить общий сигнальный тест, для того чтобы получить полное представление о качестве кабеля, а затем уже проводить специальное тестирование. Некоторые типы устройств позволяют сохранять и распечатывать результаты тестирования, облегчая тем самым задачу документирования этих результатов.

Стандартное оборудование для тестирования кабелей

Для топологии Ethernet выпускается специальный набор оборудования тестирования кабелей. Тестовое оборудование кабелей локальных сетей производится уже достаточно давно, но сегодня на рынке локальных сетей появилось много совершенно новых типов приборов.

3.3 Методы оптимизации

Эти методы связаны с замерами характеристик рабочей нагрузки для средних сетей. Овладение этими методами невозможно без опыта практической работы в области анализа протоколов. Описываемые методы применены в реальных условиях большинства основных сетей. Предлагаемые методы основаны на серии особых сеансов анализа и вычислений, позволяющих успешно завершить процесс оптимизации. Эти методы служат также для поиска неисправностей и поддержания работы сети на оптимальном уровне.

В этом разделе описаны основные сферы анализа, включающие общие исследования и измерения ключевых аспектов, в том числе уровней широковещательной передачи, повторных передач в сети, условий перегрузки полосы пропускания сети, анализа эффективности приложений и общих вычислений пропускной способности.

Некоторые методы оптимизации, представленные здесь, относятся как к физическому, так и к верхнему уровням протоколов, а также к способам измерения их работы. Эти методы построены по определенному шаблону, что позволяет использовать их применительно ко всей сети.

Каждый метод требует определенного методического и аналитического подхода, а также знания применяемого анализатора протокола.

Следует также отметить, что описанные этапы носят профилактический характер и применимы к любой сети, в том числе и к нормально функционирующей. Этими методами можно также пользоваться для поиска исправностей в сетях.

Исследование уровня широковещательной передачи

Сети всегда обладают тем или иным уровнем широковещательной передачи. Уровень широковещательной передачи (broadcast level) характеризуется пакетами протокола определенного типа, используемыми для проверки правильности соединения или общей связи между узлами. Узлы локальной или объединенной сети используют широковещательные передачи пакетов, для того чтобы выявить и проверить определенные средства связи между соответствующими им объектами. Широковещательные передачи имеют большое значение как средство, с помощью которого определенные устройства в сети «узнают» о наличии других устройств, например, маршрутизаторов и определенных файл-серверов, согласно соглашению о наименовании устройств.

Определенные уровни широковещательных передач являются нормальным явлением, но поскольку полоса пропускания любой сети ограничена, широковещательные передачи следует свести к минимуму. Хотя пакеты широковещательной передачи необходимы для поддержания работы любой сети, некоторые сетевые широковещательные передачи могут порождать проблемы, особенно если их источником являются другие сети, а в той сети, где они обнаруживаются, в них нет необходимости.

Анализ протокола позволяет достаточно точно измерять уровень широковещательной передачи в сети. Вообще говоря, широковещательные передачи в любой сети не должны превышать значения 8-10% от общего объема передач. Если средний объем широковещательных передач превышает 10%, а временами достигает 20-25%, они являются потенциальным источником проблем со связью в сети. Это явление называют штормом широковещательных передач. Иногда, однако, повышенный уровень широковещательной передачи в сети является закономерным (например, когда пользователи открывают и закрывают сеансы работы в сети). В эти моменты в сети могут наблюдаться всплески уровней широковещательной передачи.

В другие моменты у того или иного устройства может возникнуть какая-либо проблема, заставляющая его генерировать высокие уровни широковещательной передачи. Это явление тоже можно отнести к категории шторма широковещательных передач. Чаще всего это происходит в случае установки определенных типов маршрутизаторов или файл-серверов, которые испытывают проблемы с приемом подтверждений от другого устройства. Иногда они порождают такой высокий уровень широковещательной передачи, который препятствует нормальной связи в сети.

Реальная опасность, однако, возникает тогда, когда одни сети соединены с другими сетями, имеющими высокий уровень широковещательных передач. Поскольку эти сети соединены мостами, повышенные уровни широковещательной передачи одной сети «просачиваются» через мост и оказывают негативное влияние на другие сети. Это обычная для объединенных сетей проблема.

Отметим, что единственный способ точно определить уровень широковещательной передачи - воспользоваться анализатором протокола или подходящим средством управления сетью.

Дубликатные адреса

Проблемы с дубликатными адресами возникают в ряде топологий и окружений протоколов. Дубликатные адреса могут вызывать серьезные проблемы, особенно в среде с несколькими сетями.

Дубликатные адреса - это одинаковые адреса двух устройств на физическом или верхнем уровне протокола. Любая попытка связи в сети с использованием таких устройств приводит к прямому конфликту.

Проблема возникает, когда дубликатные адреса используются протоколами верхнего уровня. Например, если физический уровень допускает использование какого-либо адреса в сети, а верхний уровень протокола (например, Novell IPX) находится в непосредственном конфликте с другим узлом, подключенным к сети с дубликатным адресом уровня IPX, это приводит к общему сбою потока данных в объединенной сети. Поскольку и сетевой, и транспортный уровни (и даже верхние уровни протокола) имеют особые соглашения по адресации, надо иметь информацию обо всех адресах в конкретных узлах сети.

Для обнаружения пакета от любого устройства в сети и анализа всех основных точек адресации в этом пакете можно использовать анализатор протокола. Например, в стандартном пакете Novell имеется уровень управления линией передачи данных, имеющий физический адрес MAC, который можно декодировать. На уровне межсетевого Пакетного обмена (Internetwork Packet Exchange - IPX) действует соглашение по адресации узла-источника, сети-источника и процесса-источника для уровней Novell. Более высокие уровни могут иметь и другие схемы адресации с учетом тех или иных конкретных приложений.

Вся эта информация декодируется в ходе анализа протокола, это не составляет особых проблем в работе с современными сетями.

В многосетевой среде возникают значительные проблемы, если два дубликатных адреса физического уровня пытаются открыть сеанс связи. Это составляет потенциальную опасность при доступе к шлюзам и файл-серверам. Например, два узла осуществляют доступ к одному и тому же устройству объединенной сети, являясь при этом компонентами различных сетей-источников в многосетевой среде. Для того чтобы определить такой дубликатный адрес, требуется, как правило, весьма экстенсивный анализ протокола.

Время реакции

Время реакции (response time) представляет собой эффективное значение времени, которое требуется узлу для того, чтобы ответить другому узлу на конкретный запрос данных.

Пользуясь общими методами анализа и измерениями, нетрудно определить нормальные и аномальные значения времени реакции в той или иной сети. Изготовители оборудования указывают в документации эталонные значения времени реакции для той или иной конкретной операции в сети. В промышленности существует соглашение, в соответствии с которым передача, выполняемая любым узлом в ответ на любой запрос, должна занимать не более 100 мс. В случае глобальной сети значения времени ответа должны составлять не более 200-250 мс для любого ответа на любой тип запроса узла.

Это промышленные стандарты, время реакции в локальной или объединенной сети может несколько отличаться от этих стандартов. Как уже отмечалось, в каждой сети всегда существует некоторый нормальный режим работы, который рассматривается как ее статический базовый режим. Поскольку все сети, в том числе объединенные, содержат различные комбинации технических и программных средств, а также приложений, невозможно определить единое нормальное время реакции для всех сетей.

Необходимо подробно изучить операции, выполняемые в анализируемой вами сети, а затем определить для этой сети нормальное время реакции. Это измерение входит в число тех, которые необходимо использовать при оптимизации анализируемой вами сети.

Для определения времени реакции следует воспользоваться анализатором протокола или соответствующим средством мониторинга сети. Понаблюдайте за процессами выдачи запроса и ответа на этот запрос между двумя узлами сети на различных интервалах времени в ходе сеанса связи и определите время реакции.

Сделать это довольно просто - достаточно отфильтровать определенные типы адресов и применить специальные временные методы анализатора протокола. Эту информацию можно задокументировать и выполнить модификации, необходимые для сокращения времени реакции в целом.

Повторные передачи в сети

Высокое количество повторных передач в сети может оказаться важным фактором, влияющим на работу сети в целом. Сетевые устройства обычно рассчитывают получить ответ на передачу данных в течение определенного промежутка времени, в противном случае они выполняют повторную передачу данных.

Одни приложения передают данные повторно из-за проблем связи, возникших в сети. Другие приложения продолжают запрашивать данные в случае некорректного ответа от узла-получателя.

Другим основным источником повторных передач в сети может быть несовместимость версии драйвера сетевой платы того или иного узла с сетевым драйвером платы узла-получателя.

Все эти конфликты вызывают повышение интенсивности потока данных между физическим и сетевым уровнями сети, что часто приводит к нарушению связи и сбою работы сети в целом. Если эта ситуация имеет место на прикладном уровне, то конкретное приложение на пользовательском компьютере может исчерпать свой лимит времени (зависнуть) вызвать сбой в сети на уровне файл-сервера.

Сложность систем связи в современном сетевом окружении вызывает необходимость в упреждающем мониторинге повторных передач в сети.

Анализаторы протокола и другие средства мониторинга сети, как правило, позволяют выявлять наличие повторных передач в сети. В зависимости от типа анализатора, это может потребовать особого декодирования пакетов.

Если в сети на каком-либо уровне отмечены повторные передачи (даже если их количество не превышает одну-две на адрес), соответствующий адрес должен быть исследован на физическом уровне на предмет совместимости типов пакетов и версий сетевых драйверов. Если проблем обнаружено не будет, необходимо проанализировать параметры сетевой связи или общее время работы всех приложений на уровне OSI.

Некоторые приложения и определенные типы программных модулей для узлов-получателей позволяют модифицировать конфигурацию с целью предотвращения повторных передач. Анализ повторных передач в сети нужен для того, чтобы полностью избавиться от них. Определенный процент повторных передач присутствует в большинстве сетей, и аналитик может устранить их полностью, воспользовавшись анализатором протокола.

Сетевые перегрузки

Оптимизация включает проверку полосы пропускания на перегрузку. Уровни полосы пропускания можно контролировать в среднем и в периоды пиковых, нагрузок. Среднее использование - это нагрузка сети в течение указанного стандартного промежутка времени. Пиковое использование - это высший пик состояния сети, достигнутый за указанное время.

В ходе анализа сетей важно понимать разницу между этими двумя уровнями ширины полосы. Ethernet характеризуется средним и пиковым уровнями. Выполняя многочисленные аналитические исследования и пользуясь указанными методами, можно измерить как нормальный, так и пиковый уровни для конкретной сети. Что касается измерений, то они могут несколько отличаться в различных сетях, что связано с особенностями (например, типом приложений, а также количеством технологических компонентов и пользователей) каждой сетевой среды. В сети Ethernet средний уровень полосы пропускания в 30% считается предельным уровнем для среднего использования в целом, а 55% - предельным уровнем пикового использования. Это можно считать стандартными промышленными значениями для Ethernet. На основе особенностей той или иной сети, выявленных в ходе анализа, исследователь может определить факторы, обусловливающие среднее и пиковое использование данной сети в течение длительного периода времени. Для выполнения этой работы от аналитика требуется не только высокая квалификация, но и четкое поднимание анализируемых сетевых операций.

Идентификация маршрута в объединенной сети

Идентификация маршрута в объединенной сети представляет собой определение маршрутов при передаче данных из одной сети в другую. Хотя некоторые современные анализаторы протокола без труда выполняют сбор статистики такого рода, этот вид исследования требует от аналитика наличия большого опыта в части поиска неисправностей в сетях. Анализатор протокола контролирует конкретный обмен информацией между двумя узлами в различных сетях. Обычно, когда обмен информацией происходит между двумя узлами в различных сетях, при перемещении данных из одной сети в другую определенная информация о маршруте содержится на различных уровнях протокола. Иногда (в зависимости от уровней интенсивности потока данных и наличия узких мест в сетях Ethernet) используются неэффективные маршруты.

Для облегчения декодирования маршрутов данных между двумя узлами можно использовать анализатор протокола.

4 Обеспечение безопасности работы сети предприятия

До недавнего времени сеть Интернет использовалась в основном для обработки информации по относительно простым протоколам: электронная почта, передача файлов, удалённый доступ. Сегодня, благодаря широкому распространению технологий WWW, всё активнее применяются средства распределённой обработки мультимедийной информации. Одновременно с этим растёт объём данных, обрабатываемых в средах клиент/сервер и предназначенных для одновременного коллективного доступа большого числа абонентов. Разработано несколько протоколов прикладного уровня, обеспечивающих информационную безопасность таких приложений, как электронная почта (PEM, PGP и т.п.), WWW (Secure HTTP, SSL и т.п.), сетевое управление (SNMPv2 и т.п.). Однако наличие средств обеспечения безопасности в базовых протоколах семейства TCP/IP позволит осуществлять информационный обмен между широким спектром различных приложений и сервисных служб.

4.1 Примеры атак на TCP/IP

Пассивные атаки на уровне TCP

При данном типе атак крэкеры никаким образом не обнаруживают себя и не вступают напрямую во взаимодействие с другими системами. Фактически все сводиться к наблюдению за доступными данными или сессиями связи.

Подслушивание

Атака заключаются в перехвате сетевого потока и его анализе. Англоязычные термин - «sniffing».

Для осуществления подслушивания крэкеру необходимо иметь доступ к машине, расположенной на пути сетевого потока, который необходимо анализировать; например, к маршрутизатору или PPP-серверу на базе UNIX. Если крэкеру удастся получить достаточные права на этой машине, то с помощью специального программного обеспечения сможет просматривать весь трафик, проходящий через заданные интерфейс.

Второй вариант - крэкер получает доступ к машине, которая расположена в одном сегменте сети с системой, которой имеет доступ к сетевому потоку. Например, в сети «тонкий Ethernet» сетевая карта может быть переведена в режим, в котором она будет получать все пакеты, циркулирующие по сети, а не только адресованной ей конкретно. В данном случае крэкеру не требуется доступ к UNIX - достаточно иметь PC с DOS или Windows (частая ситуация в университетских сетях)

Другой вариант решения - использование интеллектуальных свитчей и UTP, в результате чего каждая машина получает только тот трафик, что адресован ей.

Активные атаки на уровне TCP

При данном типе атак крэкер взаимодействует с получателем информации, отправителем и/или промежуточными системами, возможно, модифицируя и/или фильтруя содержимое TCP/IP-пакетов. Данные типы атак часто кажутся технически сложными в реализации, однако для хорошего программиста не составляет труда реализовать соответствующий инструментарий.Возможность формирования произвольных IP-пакетов является ключевым пунктом для осуществления активных атак.

Детектирование и защита

Простейшим сигналом IP-spoofing будут служить пакеты с внутренними адресами, пришедшие из внешнего мира. Программное обеспечение маршрутизатора может предупредить об этом администратора. Однако не стоит обольщаться - атака может быть и изнутри Вашей сети.

В случае использования более интеллектуальных средств контроля за сетью администратор может отслеживать (в автоматическом режиме) пакеты от систем, которые в находятся в недоступном состоянии. Впрочем, что мешает крэкеру имитировать работу системы B ответом на ICMP-пакеты?

Какие способы существуют для защиты от IP-spoofing? Во-первых, можно усложнить или сделать невозможным угадывание sequence number (ключевой элемент атаки). Например, можно увеличить скорость изменения sequence number на сервере или выбирать коэффициент увеличения sequence number случайно (желательно, используя для генерации случайных чисел криптографически стойкий алгоритм).

Если сеть использует firewall (или другой фильтр IP-пакетов), следует добавить ему правила, по которым все пакеты, пришедшие извне и имеющие обратными адресами из нашего адресного пространства, не должны пропускаться внутрь сети. Кроме того, следует минимизировать доверие машин друг другу. В идеале не должны существовать способа, напрямую попасть на соседнюю машину сети, получив права суперпользователя на одной из них. Конечно, это не спасет от использования сервисов, не требующих авторизации, например, IRC (крэкер может притвориться произвольной машиной Internet и передать набор команд для входа на канал IRC, выдачи произвольных сообщений и т.д.).

Шифрование TCP/IP-потока решает в общем случае проблему IP-spoofing'а (при условии, что используются криптографически стойкие алгоритмы).

Для того, чтобы уменьшить число таких атак, рекомендуется также настроить firewall для фильтрации пакетов, посланных нашей сетью наружу, но имеющих адреса, не принадлежащие нашему адресному пространству. Это защитит мир от атак из внутренней сети, кроме того, детектирование подобных пакетов будет означать нарушение внутренней безопасности и может помочь администратору в работе.

Пассивное сканирование

Сканирование часто применяется крэкерами для того, чтобы выяснить, на каких TCP-портах работают демоны, отвечающие на запросы из сети. Обычная программа-сканер последовательно открывает соединения с различными портами. В случае, когда соединение устанавливается, программа сбрасывает его, сообщая номер порта крэкеру.

Данный способ легко детектируются по сообщениям демонов, удивленных мгновенно прерванным после установки соединением, или с помощью использования специальных программ. Лучшие из таких программ обладают некоторыми попытками внести элементы искусственного элемента в отслеживание попыток соединения с различными портами.

Однако крэкер может воспользоваться другим методом - пассивным сканированием (английский термин «passive scan»). При его использовании крэкер посылает TCP/IP SYN-пакет на все порты подряд (или по какому-то заданному алгоритму). Для TCP-портов, принимающих соединения извне, будет возвращен SYN/ACK-пакет, как приглашение продолжить 3-way handshake. Остальные вернут RST-пакеты. Проанализировав данные ответ, крэкер может быстро понять, на каких портах работают программа. В ответ на SYN/ACK-пакеты он может также ответить RST-пакетами, показывая, что процесс установки соединения продолжен не будет (в общем случае RST-пакетами автоматический ответит TCP/IP-реализация крэкера, если он не предпримет специальных мер).

Метод не детектируется предыдущими способами, поскольку реальное TCP/IP-соединение не устанавливается. Однако (в зависимости от поведения крэкера) можно отслеживать

1. резко возросшее количество сессий, находящихся в состоянии SYN_RECEIVED. (при условии, что крэкер не посылает в ответ RST)

2. прием от клиента RST-пакета в ответ на SYN/ACK.

К сожалению, при достаточно умном поведении крэкера (например, сканирование с низкой скоростью или проверка лишь конкретных портов) детектировать пассивное сканирование невозможно, поскольку оно ничем не отличается от обычных попыток установить соединение.

В качестве защиты можно лишь посоветовать закрыть на firewall все сервисы, доступ к которым не требуется извне.

Угрозы информационной безопасности

Обеспечение сохранности конфиденциальной информации (КИ ) необходимо начинать с определения системы угроз, то есть негативных процессов, способствующих утечке информации.

По цели воздействия различают три основных типа угроз безопасности автоматизированным системам обработки информации (АСОИ ): 

1)Угрозы нарушения конфиденциальности направлены на разглашение конфиденциальной или секретной информации. При реализации этих угроз информация становится известной лицам, которые не должны иметь к ней доступ.

2)Угрозы нарушения целостности информации, хранящейся в компьютерной системе или передаваемой по каналу связи, направлены на её изменение или искажение, приводящее к нарушению её качества или полному уничтожению. Целостность информации может быть нарушена умышленно злоумышленником, а также в результате объективных воздействий со стороны среды, окружающей систему. Эта угроза особенно актуальна для систем передачи информации - компьютерных сетей и систем телекоммуникации.

3)Угрозы нарушения работоспособности (отказ в обслуживании) направлены на создание таких ситуаций, когда определённые преднамеренные действия либо снижают работоспособность АСОИ, либо блокируют доступ к некоторым её ресурсам.

В общем виде все угрозы делятся на две группы: внутренние и внешние.

 Внутренние угрозы инициируются персоналом объекта, на котором установлена система, содержащая КИ. Из-за неудовлетворительной зарплаты или отношения руководства, отдельные сотрудники с высоким уровнем самооценки могут предпринять действия по выдаче информации лицам, заинтересованным в её получении.

Внешние угрозы возникают благодаря непосредственной деятельности недобросовестных конкурентов, преступных элементов, иностранных разведывательных служб, из-за неумелой постановки взаимоотношений с представителями государственных структур, общественных организаций, средств массовой информации. Действия извне могут быть направлены на пассивные носители информации следующими способами:

1.  похищение или снятие копий с различных носителей информации;

2. снятие информации в процессе коммуникации;

3. снятие информации в процессе её передачи по сети связи;

4. уничтожение информации или повреждение ее носителей;

5. случайное или преднамеренное доведение до сведения конкурентов документов и материалов, содержащих секретную информацию.

Действия извне могут быть также направлены на персонал компании и могут выражаться в формах:

1. подкупа,

2. угроз,

3. шантажа,

4. выведывания с целью получения информации, переманивания ведущих специалистов на конкурирующую фирму и т. п.

Внешние угрозы (в случае коммерческой информации), как правило, выступают в форме промышленного шпионажа. В ходе конкурентной борьбы использование промышленного шпионажа нельзя отнести к этическим видам деловых взаимоотношений предпринимателей. Однако любая предпринимательская деятельность, как показывает зарубежная практика, без него немыслима.

Самый благоприятный общественно-экономический климат для развития предпринимательства не сможет предотвратить банкротства, если в результате удачной шпионской акции будут похищены секретные для фирмы сведения.

4.2 Общие сведения о брандмауэре подключения к Интернету

Брандмауэр - сочетание программного и аппаратного обеспечения, образующее систему защиты, как правило, от несанкционированного доступа из внешней глобальной сети во внутреннюю сеть (интрасеть). Брандмауэр предотвращает прямую связь между внутренней сетью и внешними компьютерами, пропуская сетевой трафик через прокси-сервер, находящийся снаружи сети. Прокси-сервер определяет, следует ли разрешить файлу попасть во внутреннюю сеть. Брандмауэр называется также шлюзом безопасности; это система безопасности, действующая как защитный барьер между сетью и внешним миром. Брандмауэр подключения к Интернету (Internet Connection Firewall, ICF) - это программное средство, используемое для настройки ограничений, регулирующих обмен данными между Интернетом и домашней или небольшой офисной сетью.

Если в сети используется служба общего доступа к подключению Интернета (Internet Connection Sharing, ICS), обеспечивающая доступ в Интернет сразу для нескольких компьютеров, на этом общем подключении к Интернету следует активизировать брандмауэр ICF. Впрочем, ICS и ICF можно включать независимо друг от друга. Брандмауэр ICF необходимо установить для любого компьютера, имеющего прямое подключение к Интернету.

Брандмауэр ICF также защищает одиночные компьютеры, подключенные к Интернету. Если компьютер подключен к Интернету с помощью кабельного модема (Устройство, обеспечивающее широкополосное подключение к Интернету с использованием инфраструктуры кабельного телевидения. Скорость доступа при таком подключении варьируется в широких пределах и достигает 10 Мбит/c.), модема DSL (Тип высокоскоростного подключения к Интернету с использованием стандартной телефонной проводки. Такое подключение также называют широкополосным.) или модема удаленного доступа, брандмауэр ICF обеспечит защиту этого подключения. Не следует использовать ICF на подключениях VPN, так как это будет создавать помехи для работы механизма общего доступа к файлам и других функций VPN.

4.3 Антивирусное программное оборудование

Один из основных элементов системы защиты информации в компьютерных сетях - это антивирусное программное оборудование.

Каждый день все больше и больше организаций принимают в качестве внутреннего стандарта использование электронной почты и работу с Интернет. Но, по мере того как это происходит, все большая ответственность ложится на специалистов отделов информационных технологий (ИТ) за предотвращение попадания вирусов в корпоративную сеть.

Увеличился в последний год всплеск активности компьютерных вирусов. Вспомните хотя бы нашумевший вирус Sasser.Он наглядно показал корпорациям, насколько они в этом отношении уязвимы. Стало очевидно, что работники предприятий, не являющиеся специалистами в области ИТ, не обладают ни заинтересованностью, ни необходимой компетентностью для того, чтобы регулярно обновлять свое антивирусное ПО.

Антивирусное ПО локального действия, установленное на машинах пользователей, по-прежнему защищает их от вирусов, принесенных на дискетах и других съемных накопителях, но антивирусное ПО сетевого действия уже более не может считаться «довеском»: оно жизненно необходимо для нормального функционирования вашей сети, а значит, и вашего бизнеса.

Антивирус Касперского Personal Pro 4.5,5.0 (for Windows)

13832 Kb, ShareWare, All Windows

Антивирус Касперского (AVP) Personal Pro был создан в расчете на опытных пользователей, нуждающихся в самых современных технологиях антивирусной защиты. Продукт является последним технологическим достижением Лаборатории Касперского. Для обеспечения полномасштабной защиты информации реализованы специальные технологии поведенческого блокиратора контроля целостности данных.

Agnitum Outpost Firewall Pro (for Windows)

Outpost Pro предлагает ряд уникальных функций, благодаря которым обеспечивается безопасность Вашей системы при соединении с сетью Интернет

Безопасность

· Улучшенный графический интерфейс Детектора Атак дополнен функцией выборочной настройки портов и возможностью создавать список доверенных портов и узлов.

· Контроль Скрытых процессов предотвращает запуск потенциально опасных программ даже доверенными приложениями.

· Защита от внедрения в оперативную память вредоносных программ (проверено лик тестами Copycat, Thermite).

· Защита паролем от несанкционированного выключения брандмауэра Троянским программами и вирусами.

· Блокировка некорректных DNS запросов.

· Улучшенный модуль фильтрации Интерактивных Элементов предоставляет более простой в использовании, гибкий эффективный механизм контроля за интерактивными элементами Wеb страниц (ActiveX, скрипты, и т.п.), что делает Web навигацию более безопасной и удобной.

· Функция "Контроль компонентов" производит отслеживание компонентов всех работающих приложений;

· Технология динамической фильтрации обеспечивает более надежную защиту по сравнению с пакетными фильтрами;