AdRem NetCrunch Wersja 6.x Monitorowanie sieci przewodnik Monitorowanie i zarządzanie sieciami
2010 AdRem Software, sp. z o.o. Niniejszy dokument został opracowany przez firmę AdRem Software i przedstawia poglądy oraz opinie firmy AdRem Software dotyczące zawartych w nim treści według stanu na dzień jego publikacji. Firma AdRem Software zastrzega sobie prawo do dokonywania zmian informacji zawartych w niniejszym dokumencie bez uprzedniego powiadomienia. Na podstawie niniejszego dokumentu firma AdRem Software nie udziela żadnych gwarancji ani jawnych, ani dorozumianych. Firma AdRem Software zachęca czytelników do osobistego wypróbowania i oceny wszystkich opisanych tutaj produktów. AdRem Software, logo AdRem Software, AdRem sfconsole, AdRem Server Manager oraz AdRem NetCrunch są zarejestrowanymi znakami towarowymi firmy AdRem Software sp. z o.o. Nazwy wszelkich innych wymienionych w tym podręczniku produktów i marek są znakami towarowymi lub zarejestrowanymi znakami towarowymi odpowiednich firm i zostają niniejszym uznane. AdRem Software, sp. z o.o. ul. Wadowicka 8a 30-415 Kraków Polska tel.: +48 12 37 88 900 faks: +48 12 37 88 901 e-mail: sales@adrem.com.pl Witryna internetowa: www.adrem.com.pl
Spis treści SPIS TREŚCI... 3 WSTĘP... 5 MONITOROWANIE SIECI... 7 PRZEDMOWA... 7 RODZAJE WIZUALIZACJI SIECI... 8 CO NALEŻY MONITOROWAĆ... 8 Urządzenia krytyczne... 8 Inne urządzenia... 9 Aplikacje udostępnione na urządzeniach... 9 Zasoby urządzeń... 10 Usługi sieciowe udostępnione na urządzeniach... 10 JAK NALEŻY MONITOROWAĆ... 13 Małe sieci... 14 Duże sieci... 14 Monitorowanie pasywne... 15 Monitorowanie aktywne... 15 Monitorowanie aplikacji... 15 Monitorowanie z jednego punktu pomiaru... 15 Monitorowanie z wielu punktów pomiaru... 15 Skanowanie szczegółowe... 16 Monitorowanie inteligentne... 16 PODSTAWOWE PARAMETRY STATYSTYCZNE... 16 Opóźnienie (ang. Latency)... 17 Liczba utraconych pakietów... 17 Przepustowość (ang. Throughput)... 17 Dostępność... 17 Wykorzystanie/Obciążenie (ang. Utilization)... 18 POPULARNE NARZĘDZIA DIAGNOSTYCZNE... 18 Ping... 18 Traceroute... 18 Wyszukiwanie DNS... 19 Połączenie... 19 Skaner... 19 SNMP... 20 Zintegrowane monitorowanie sieci... 20 WPROWADZENIE DO SNMP... 21 OGÓLNA CHARAKTERYSTYKA... 21 ZASTOSOWANIA SNMP... 21 TERMINOLOGIA SNMP... 21 ARCHITEKTURA SNMP... 22 Wspólnota SNMP... 23 3
AdRem NetCrunch 6.x Komunikaty SNMP...24 Pułapki SNMP...24 ARCHITEKTURA SNMP W PROGRAMIE NETCRUNCH... 25 WERSJE PROTOKOŁU SNMP... 26 MENEDŻER MIB-ÓW W PROGRAMIE NETCRUNCH... 27 INNE ŹRÓDŁA INFORMACJI O SNMP... 27 SŁOWNICZEK TERMINÓW... 29 INDEKS... 36 4
Wstęp Niniejszy przewodnik ma za zadanie pomóc administratorom sieci w sprawnym zarządzaniu infrastrukturą sieciową przy użyciu technologii tworzenia map, monitorowania, alterowania i raportowania. Ponieważ w przeważającej mierze podręcznik ten odnosi się do sieci opartych na protokole TCP/IP, począwszy od tego miejsca termin sieć będzie oznaczać sieć działającą w oparciu o protokół TCP/IP, chyba że w danym przypadku zostanie wyraźnie określone, że chodzi o inny rodzaj sieci. Zostaną przedstawione różnorakie aspekty strategii monitorowania sieci, takie jak metody wizualizacji sieci i rodzaje monitorowanych zasobów oraz powszechnie używane parametry i narzędzia pomiarowe. Omówione zostaną także zagadnienia związane z zarządzaniem za pomocą protokołu SNMP. Dokument składa się z dwóch zasadniczych części: Monitorowanie sieci i Wprowadzenie do SNMP. Na końcu znajduje się słowniczek terminów, który przybliży zagadnienia omawiane nie tylko w niniejszym przewodniku, ale także w Podręczniku użytkownika NetCrunch i w dokumencie pt. Pierwsze kroki. Te dwa ostatnie dokumenty są dostępne na internetowej witrynie programu pod adresem http://www.adrem.com.pl/netcrunch/documentation.php. 5
Monitorowanie sieci Przedmowa W środowisku informatycznym współczesnej organizacji kwestia monitorowania infrastruktury sieciowej posiada fundamentalne znaczenie. Gdy funkcjonowanie sieci nie jest mierzone, działy informatyki pozbawione są obiektywnej oceny/dokumentacji i punktów odniesienia dotyczących jej działania. W przypadku braku monitorowania, efekty jakichkolwiek zmian bądź inwestycji w infrastrukturę sieciową są niezwykle trudne do oszacowania nie wiadomo, czy przyniosły poprawę, czy wręcz przeciwnie. W związku z tym, istnieje kilka istotnych przesłanek wskazujących na konieczność ciągłego monitorowania sieci korporacyjnych. Po pierwsze, w ogólnych rozrachunku monitorowanie sieci przyczynia się do poprawy efektywności sieci, która z kolei przekłada się na rentowność przedsiębiorstw. Przykładowo, wczesne ostrzeganie i usuwanie usterek lub zakłóceń wydajności usług może zapobiegać sytuacjom kryzysowym, które bezpośrednio uderzają w efektywność biznesową. Po drugie, monitorowanie wzmaga bezpieczeństwo organizacji. Regularnie badając stan kluczowych urządzeń w sieci, zapewniamy niezakłócone działanie opierających się na nich usług. W ten sposób zyskujemy pewność, że gdy pojawi się jakiekolwiek zagrożenie np. dla aplikacji biznesowych dowiemy się o tym odpowiednio wcześnie, aby podjąć skuteczne działania naprawcze. Po trzecie, stałe monitorowane sieci usprawnia planowanie kolejnych uaktualnień i zmian w konfiguracji oraz decyzji o inwestycjach lub konsolidacji zasobów informatycznych. Na przykład, łatwo wówczas lokalizować zasoby przeciążone, a następnie odpowiednio wcześnie dokonywać usprawnień. Podsumowując, monitorowanie sieci jest kluczowym zadaniem współczesnego administratora sieci, menedżera informatyki i innych osób zawodowo związanych z utrzymaniem infrastruktury IT. Przed przystąpieniem do monitorowania sieci, istotne jest rozeznanie, co tak naprawdę należy monitorować w sieci korporacyjnej (temat ten bardziej szczegółowo omawiają kolejne rozdziały). Kolejnym zadaniem administratora sieci jest uzyskanie graficznej wizualizacji fizycznej i logicznej topologii sieci. Tylko w ten sposób może on zyskać pełny obraz sieci, co ułatwi mu ustalenie, które jej zasoby mają znaczenie krytyczne i pozwoli usprawnić wdrażanie uaktualnień i utrzymanie sieci. Wszystkie te czynności stają się o wiele łatwiejsze przy użyciu oprogramowania AdRem NetCrunch, które automatycznie skanuje sieci lokalne i graficznie odwzorowuje na mapach wszystkie wykryte w nich urządzenia i usługi sieciowe, ukazując fizyczne i logiczne zależności między nimi. Program potrafi również monitorować w trybie ciągłym działanie urządzeń sieciowych (skanowanie i monitorowanie sieci zostaną omówione poniżej). 7
AdRem NetCrunch 6.x Rodzaje wizualizacji sieci Zasadniczo istnieją różne sposoby wizualizacji sieci. Prawdopodobnie do najpopularniejszych należy tak tzw. wizualizacja geograficzna. Metoda ta umożliwia wizualizację sieci poprzez reprezentację fizycznego rozmieszczenia składających się na nią węzłów. Niestety metoda ta wiąże się z pewnymi trudnościami, albowiem urządzenia monitorujące wykonujące skanowanie fizycznej sieci zazwyczaj nie mają dostępu do informacji o fizycznej lokalizacji węzłów. Oczywiście możliwe jest uzyskanie geograficznego obrazu sieci za pomocą ręcznego mapowania wszystkich węzłów, lecz w przypadku nieustannie ewoluujących średnich i dużych sieci, zadanie to może okazać się ponad siły administratora. Innym powszechnie stosowanym sposobem wizualizacji sieci jest prezentacja logicznych zależności pomiędzy węzłami. Ta metoda opiera się na logicznej hierarchii sieci. Przykładem wykorzystania logicznej budowy sieci jest rozmieszczanie hostów na podstawie adresów IP w podsieciach. Co należy monitorować W monitorowaniu sieci można wyróżnić kilka kluczowych obszarów monitorowania. Pierwszy z nich stanowią podłączone do sieci urządzenia. W tym przypadku istotne jest, z jakim rodzajem urządzenia mamy do czynienia, oraz w jakiej relacji znajduje się ono z innymi urządzeniami. Drugi obszar dotyczy aplikacji, zasobów systemowych i usług sieciowych dostępnych w danym urządzeniu. Oba mają zasadnicze znaczenie w procesie monitorowania. Zanim więc przystąpimy do działania, warto zdecydować, co konkretnie należy monitorować jakie urządzenia, aplikacje, zasoby i usługi mają największe znaczenie dla sieci i firmy. W przypadku średnich i dużych sieci sam proces monitorowania może okazać się niezwykle skomplikowany i czasochłonny, zatem zamiast monitorować wszystko, co znajduje się w sieci, warto nadzorować jedynie kluczowe urządzenia. W ten sposób unikamy nadmiernego obciążania sieci i jej zasobów ruchem monitorującym. Urządzenia krytyczne W kontekście monitorowania sieci najważniejsze okazują się te urządzenia, bez których sieć staje się niestabilna, wydłuża się czas odpowiedzi, bądź dochodzi wręcz do przestojów. Ponadto w niektórych sieciach duże znaczenie odgrywają urządzenia wspomagające procesy biznesowe. Do najważniejszych urządzeń w sieci należą: Serwer węzeł udostępniający usługi sieciowe dowolnym innym hostom sieci. We współczesnych złożonych sieciach, serwery odgrywają kluczową rolę w zarządzaniu usługami. Kiedy serwer ulega awarii bądź staje się niedostępny, użytkownicy na danym hoście tracą dostęp do usług znajdujących się na danym serwerze. Ruter węzeł wytyczający optymalną trasę przesyłu pakietów w sieci przy użyciu adresów IP. Obsługa tego urządzenia wymaga od administratora wiedzy na temat sieci i tras pakietów. W przypadku usterki rutera połączenie się z określonym węzłem w sieci staje się niemożliwe. 8
Monitorowanie sieci Przełącznik urządzenie, które wybiera ścieżkę lub trasę przesyłu pakietu danych do kolejnego miejsca przeznaczenia. Przełączniki mogą także pełnić funkcję ruterów, od których są jednak prostsze i szybsze. Usterka przełącznika uniemożliwia skierowanie pakietu danych w żądanym kierunku. Z tego powodu niezwykle ważnym zadaniem administratora sieci jest szybkie wykrycie awarii przełącznika. Zapora ogniowa (ang. firewall) komputer lub urządzenie sprzętowe, które służy do ochrony sieci lokalnej przed dostępem z zewnątrz. O jej znaczeniu decyduje zdolność do wykrywania nieautoryzowanych prób dostępu. Zapory ogniowe gwarantują, że zasoby sieciowe są wykorzystywane w odpowiednich celach, dlatego ich nieprzerwane poprawne działanie ma istotne znaczenie. Koncentrator punkt, w którym schodzą się połączenia urządzeń w sieci. Od sprawnego działania koncentratora uzależniona jest efektywność sieci. Ten typ urządzenia jest powszechnie używany w sieciach o konfiguracji gwiaździstej. Za względu na swoją przezroczystość w sieci jest raczej trudny do monitorowania. Inne urządzenia Oprócz wymienionych wyżej urządzeń, możliwe jest również monitorowanie innych elementów sieci. Istnieje szereg powodów, dla których warto je stale nadzorować. Przykładowo, duże znaczenie w danej sieci może mieć wykrywanie awarii stacji roboczych bądź niedostępności poszczególnych usług sieciowych. Jednakże w ogólnym rozrachunku te pomniejsze urządzenia nie pełnią tak istotnej roli dla całości funkcjonowania sieci. Do tej grupy urządzeń należą: Stacja robocza każdy komputer osobisty podłączony do sieci i udostępniający swoje zasoby innym większym komputerom. Najczęściej połączone ze sobą stacje robocze tworzą sieć lokalną, choć mogą również być wykorzystywane w charakterze systemów autonomicznych. Urządzenie peryferyjne urządzenie pełniące rolę interfejsu między użytkownikiem a serwerem, zazwyczaj pozbawione własnego oprogramowania i uzależnione od innego komputera, np. serwera. Do tej kategorii urządzeń zalicza się nie tylko monitory i myszy komputerowe, ale również urządzenia wejściowe, takie jak skanery, kamery wideo bądź czytniki kart magnetycznych. Aplikacje udostępnione na urządzeniach W procesie monitorowania sieci istotne jest nadzorowanie działania nie tylko urządzeń, lecz również udostępnionych na nich aplikacji. Przykładowo, administrator powinien być w stanie stwierdzić, czy w danych momencie określony system operacyjny działa bez zakłóceń. Od tego zależy bowiem współużytkowanie drukarek, plików i baz danych. Do ważniejszych aplikacji, które powinny podlegać monitorowaniu należą: System operacyjny program główny zarządzający wszystkimi aspektami działania komputera, w tym innymi programami. W pewnych sytuacjach ważne może okazać się monitorowanie sieciowych systemów operacyjnych, które zostały zaprojektowane przede wszystkim w celu wspomagania stacji roboczych i komputerów osobistych w sieci. Przykładami takich systemów są NetWare firmy Novell i LAN Manager firmy Microsoft. 9
AdRem NetCrunch 6.x Serwer plików serwer służący do przechowywania programów i danych wykorzystywanych przez użytkowników sieci i z tego powodu stanowiący istotny element w monitorowaniu sieci. Serwer bazodanowy serwer używany do przechowywania i odczytywania danych w sieciach, np. w sieciach rozległych. Serwer aplikacji serwer służący do obsługi programów i przetwarzania danych. Także ten typ urządzenia stanowi bardzo ważny element sieci. Przykładem serwera aplikacji jest serwer webowy. Serwer wydruków komputer lub aplikacja w sieci kontrolująca i dostarczająca hostom usługi drukowania. Awaria serwera wydruków zatrzymuje funkcjonowanie procesów drukowania. Ponadto możliwe jest monitorowanie określonych portów używanych przez różne aplikacje i usługi sieciowe. Przykładowo można określić, jakie systemy korzystają z danych portów. Jeśli w trakcie sprawdzania aplikacja na porcie okazuje się godna zaufania i stabilna, można przejść do weryfikacji kolejnego portu. Zasoby urządzeń Kolejnym aspektem sieci wymagającym monitorowania są zasoby systemowe urządzeń, np. obciążenie procesora. Spośród najważniejszych należy wymienić m.in. (warto zauważyć, że tylko niektóre z nich odnoszą się do określonego typu urządzenia): Obciążenie procesora procentowe wykorzystanie procesora przez poszczególne urządzenia. Wykorzystanie pamięci procentowe wykorzystanie pamięci przez poszczególne urządzenia. Liczba sesji liczba użytkowników aktualnie podłączonych do urządzenia. Wykorzystanie pamięci masowej procentowe wykorzystanie pamięci masowej przez poszczególne urządzenia. Usługi sieciowe udostępnione na urządzeniach Oprócz nadzoru urządzeń, aplikacji i zasobów systemowych pomocne może okazać się monitorowanie podstawowych usług sieciowych na poszczególnych urządzeniach. Oto lista niektórych z popularnych usług, które można monitorować przy użyciu programu NetCrunch: NAZWA USŁUGI CHARGEN TCP CHARGEN UDP CIFS (NetWare) OPIS USŁUGI SIECIOWEJ Protokół Character Generator oparty o TCP. Protokół Character Generator oparty o UDP. Protokół Common Internet File System dla systemu operacyjnego NetWare. 10
Monitorowanie sieci NAZWA USŁUGI CIFS/SMB DAYTIME DNS ECHO FINGER FTP GOPHER HOSTNAMES HTTP HTTPS IBASE IMAP4 IRC LDAP LOGIN LOTUS DOMINO SERVER MSSQL MTA (HTTP) OPIS USŁUGI SIECIOWEJ Protokół Common Internet File System działający na TCP. Protokół Daytime informujący o dacie i czasie. System Nazw Domen, czyli baza danych służąca do rozpoznawania nazw domen w sieci. Protokół Echo. Usługa dostarczająca informacji o użytkownikach w sieci Internet. Usługa protokołu FTP służącego do transmisji plików w sieci. Usługa internetowa protokołu Gopher. Serwer używany przez Sieciowe Centrum Informacyjne (Network Information Center, USA) do przydzielania nazw komputerom sieciowym. Usługa protokołu HTTP używanego do komunikacji między serwerami w sieci WWW. Usługa protokołu HTTP działająca w warstwie bezpiecznych gniazd (Secure Sockets Layer). InterBase SQL Server. Usługa Internet Messaging Access Protocol 4 używana m.in. do dostępu do poczty elektronicznej przez Internet i przetrzymywania przychodzących wiadomości email. Usługa Internet Relay Chat. Usługa protokołu Lightweight Directory Access Protocol umożliwiająca dostęp do katalogów adresowych w sieciach TCP/IP. Usługa Remote Login (RLOGIN). Lotus Domino Server Server MS SQL Agent GroupWise Message Transfer agent przekazywania wiadomości, koordynujący cały ruch pomiędzy urzędami pocztowymi. NAME Internet Name Server (IEN 116). NC HTTP Server HTTP używany przed program AdRem NetCrunch. 11
AdRem NetCrunch 6.x NAZWA USŁUGI NC HTTPS NetBIOS (TCP) NNTP NTP NWNCP TCP NWNCP UDP NWPORTAL PASSGEN TCP PASSGEN UDP PING POA (HTTP) POA (TCP) POP2 POP3 QDAY TCP QDAY UDP RADIUS OLD RADIUS RTSP554 RTSP7070 SLP (TCP) SLP (UDP) OPIS USŁUGI SIECIOWEJ Server HTTPS używany przed program AdRem NetCrunch. Sesja podstawowego sieciowego systemu wejścia/wyjścia (NetBIOS) na protokole TCP. Usługa protokołu Network News Transfer Protocol. Usługa protokołu Network Time Protocol. Usługa protokołu Novell NetWare NCP na protokole TCP. Usługa protokołu Novell NetWare NCP na protokole UDP. Usługa portalu Novell NetWare Management Portal. Usługa protokołu Password Generator Protocol działająca na TCP. Usługa protokołu Password Generator Protocol używająca usługi UDP. Usługa weryfikująca, czy określony adres IP istnieje i czy jednocześnie zwraca żądania. Agent urzędu pocztowego GroupWise (GroupWise Post Office). Agent urzędu pocztowego GroupWise (GroupWise Post Office). Usługa protokołu Post Office Protocol 2 służąca do przetrzymywania nadesłanych w sieci wiadomości email. Usługa Post Office Protocol 3 służąca do przetrzymywania nadesłanych w sieci wiadomości email. Usługa Quote of the Day działająca na TCP. Usługa Quote of the Day działająca na UDP. Usługa Remote Authentication Dial-in User (Radius - Old Port). Usługa protokołu zabezpieczeń Remote Authentication Dial-in User (RADIUS) służącego do uwierzytelniania. Protokół Real Time Streaming Protocol na porcie 554 (Real Audio). Protokół Real Time Streaming Protocol na porcie 7070 (Real Audio). Usługa Service Location Protocol działająca na TCP. Usługa Service Location Protocol działająca na UDP. 12
Monitorowanie sieci NAZWA USŁUGI SMTP SNMP SSH SYSTAT TCP SYSTAT UDP OPIS USŁUGI SIECIOWEJ Usługa protokołu Simple Mail Transfer Protocol służącego do wymiany poczty elektronicznej w sieci. Simple Network Management Protocol służąca do monitorowania i zarządzania siecią. Usługa Secure Shell. Usługa Active Users (Remote WHO na protokole TCP). Usługa Active Users (Remote WHO na protokole UDP). Socks 4 Protokół SOCKS Wersja 4. Socks 5 Protokół SOCKS Wersja 5. TELNET TFTP TIME TCP TIME UDP WHOIS WINS Protokół emulacji terminala umożliwiający użytkownikom sieci zdalne logowanie się do innych komputerów za pomocą terminalu. Usługa protokołu Trivial File Transfer. Usługa protokołu Time Protocol (działa na TCP) obsługująca liczbę sekund. Usługa Time Protocol service (działa na UDP) obsługująca liczbę sekund. Usługa zwracająca informacje o hostach, domenach i adresach internetowych w sieci IP (NICKNAME/WHOIS). Serwer Windows Internet Name. Jak należy monitorować Po ustaleniu, jakie elementy sieci należy monitorować w pierwszej kolejności, ważne jest przyjęcie odpowiedniej strategii monitorowania sieci. W mniejszych sieciach proces monitorowania przebiega zupełnie inaczej niż w sieciach rozległych i bardziej złożonych. W niektórych przypadkach bardziej na miejscu może okazać się zewnętrzne monitorowanie sieci (jak np. monitorowanie aktywne) niż monitorowanie pasywne, i vice versa. W innych sytuacjach najlepszą opcją jest monitorowanie od wewnątrz, czyli monitorowanie aplikacji. Monitorowanie aktywne polega na stwierdzaniu, czy określony węzeł w sieci działa poprawnie. Z kolei monitorowanie pasywne umożliwia określenie, czy przepustowość sieci jest mniejsza niż zazwyczaj. Monitorowanie aplikacji najczęściej służy do weryfikacji ogólnej sprawności urządzenia. Ponadto należy zdecydować, czy chcemy mierzyć sieć w tylko jednym punkcie, czy też w wielu punktach na raz. Równie przydatne mogą okazać się techniki inteligentnego skanowania i monitorowania sieci. 13
AdRem NetCrunch 6.x Małe sieci W niniejszej broszurze pod pojęciem małych sieci rozumiane są sieci posiadające poniżej 1000 węzłów. W takich właśnie sieciach monitorowanie nie pochłania wielu zasobów systemu znajdującego się na komputerze, na którym przebiega proces. Wówczas jedno urządzenie monitorujące, jak np. NetCrunch, w zupełności umożliwia nadzór nad funkcjonowaniem istotnych węzłów w sieci. Co więcej, system komputerowy wspomagający działanie aplikacji monitorującej nie potrzebuje bardzo szybkiego procesora i ogromnej pamięci do tego celu wystarczy komputer średniej klasy. Ponadto, jeśli sieć jest monitorowana przez aplikację zoptymalizowaną pod kątem wydajności, jak np. NetCrunch, sam proces monitorowania nie będzie generować nadmiernego ruchu w sieci. Duże sieci W sieciach dużych a za takie uznaje się sieci zawierające więcej niż 1000 węzłów sytuacja przedstawia się zgoła inaczej. Jeśli monitorujemy wszystkie lub większość węzłów w takiej sieci, aplikacja monitorująca wytworzy dużą ilość dodatkowego ruchu w sieci, przez co rezultaty pomiaru nie będą w miarodajny sposób odzwierciedlać aktualnej sytuacji. W skrajnych przypadkach sieć może ulec awarii na skutek zbyt obciążającego monitorowania. Ponadto takie monitorowanie wymaga komputera posiadającego dużo więcej zasobów. W zrozumiały sposób takie podejście do monitorowania dużych sieci nie może być dla nikogo zadowalające. Alternatywą wobec takiego stanu rzeczy jest NetCrunch. Dzięki technologii inteligentnego monitorowania, NetCrunch umożliwia definiowanie limitów obciążenia ruchem monitorującym dowolnych lub wszystkich podsieci tworzących dużą sieć. Innymi słowy, program nigdy nie przekroczy dopuszczalnego poziomu ruchu monitorującego w sieci. W ten sposób NetCrunch eliminuje problem przeciążenia sieci spowodowanego monitorowaniem. Mimo iż zazwyczaj w dużych sieciach zaleca się monitorowanie tylko najważniejszych elementów (np. kluczowych urządzeń, jak serwery czy rutery), w razie potrzeby możliwe jest monitorowanie wszystkiego. Dzięki możliwości inteligentnego skanowania NetCrunch pozwala na monitorowanie nawet kilku tysięcy węzłów jednocześnie. Dla przykładu, jeśli duża sieć posiada wolne łącze o przepustowości 1Mbit/s (typowy osiąg dla sieci rozległych WAN), NetCrunch umożliwia użytkownikowi ograniczenie ruchu monitorującego do 10% przepustowości łącza. Granica 10% nie zostanie w żadnym wypadku przekroczona. Ponadto może zdarzyć się, że w danym momencie sieć jest intensywnie eksploatowana wówczas proces monitorowania potrwa nieco dłużej niż zazwyczaj. Należy również pamiętać, że NetCrunch zachowuje w pamięci wszystkie zmienne związane z monitorowaniem sieci. Dlatego, aby uniknąć przeciążania pamięci podczas monitorowania ogromnej ilości węzłów, zaleca się używanie programu na komputerze wyposażonym w duże zasoby pamięci RAM, najlepiej około 2 GB. Zasadniczo w przypadku dużych sieci zalecanie jest monitorowanie jedynie newralgicznych zasobów (np. kluczowych urządzeń takich jak serwery i rutery). Zadanie to ułatwia NetCrunch, który umożliwia użytkownikom zadecydowanie o tym, które węzły będą traktowane w monitorowaniu jako istotne, a które jako mniej ważne (program może również podjąć taką decyzję samodzielnie bez interakcji z użytkownikiem). Węzły uznane za krytyczne będą monitorowane w pełnym zakresie (a więc śledzone będą wszystkie usługi 14
Monitorowanie sieci sieciowe i liczniki wydajności na tych węzłach itp.). Węzły o mniejszym znaczeniu będą sprawdzane jedynie pod kątem aktualnego stanu nie będą wówczas monitorowane żadne inne parametry. Monitorowanie pasywne Oprócz podziału na sieci duże i małe, w kontekście monitorowania ważne jest również rozróżnienie na monitorowanie aktywne i pasywne. Oba rodzaje monitorowania zaliczane są do monitorowania zewnętrznego. W monitorowaniu pasywnym program nie wysyła żadnych pakietów, lecz jedynie przechwytuje pakiety przychodzące i wychodzące z węzłów. Oznacza to, że ruch w sieci pozostaje niezakłócony, ponieważ żadne pakiety testowe nie są wysyłane do węzłów z zadaniem monitorowania. Ten rodzaj monitorowania używany jest często w celu pomiaru strumienia ruchu w sieci w postaci liczby pakietów lub bajtów przepływających przez poszczególne urządzenia. Monitorowanie aktywne Monitorowanie aktywne polega na instalowaniu agentów na mierzonych zasobach i wysyłaniu pakietów testowych w sieć w celu stwierdzenia, czy dane urządzenie lub aplikacja działa poprawnie. Ten rodzaj monitorowania wywiera widoczny wpływ na ruch w samej sieci. Może to więc wypaczyć wyniki pomiaru, gdyż wysyłanie pakietów testowych może zakłócić normalne funkcjonowanie sieci. Z tego powodu monitorowanie aktywne wymaga dużej ostrożności. Czym więcej monitorowanych węzłów, tym więcej pakietów testowych zostaje wysyłanych w sieć, co może ujemnie wpływać na wydajność sieci. Monitorowanie aplikacji W odróżnieniu od monitorowania aktywnego i pasywnego, które z kolei należą do kategorii monitorowania zewnętrznego, monitorowanie aplikacji stanowi przykład monitorowania wewnętrznego. Monitorowanie aplikacji najczęściej stosuje się w celu aktualnej weryfikacji poprawności funkcjonowania danego węzła, np. serwera. W zależności od rodzaju węzła, możliwe jest monitorowanie różnych rodzajów liczników charakterystycznych dla danego urządzenia. Odczytując wskazania liczników można określić, czy urządzenie działa poprawnie, i czy któryś z liczników nie przekroczył wartości granicznych. Monitorowanie z jednego punktu pomiaru W procesie monitorowania kolejnym ważnym czynnikiem jest kwestia wyboru ilości punktów pomiaru. Monitorowanie z jednego punktu pomiaru oznacza, że tylko jeden węzeł będzie służył za miejsce, z którego odbywa się monitorowanie. Metoda ta stosowana jest w monitorowaniu pasywnym, gdyż wówczas monitorowanie sieci sprowadza się do testowania ruchu wychodzącego i przychodzącego do jednego węzła w sieci. Monitorowanie z wielu punktów pomiaru Pomiar sieci z kilku punktów zakłada monitorowanie z kilku węzłów jednocześnie. Taka metoda używana jest w monitorowaniu aktywnym, gdzie pakiety testowe wysyłane są w sieć. 15
AdRem NetCrunch 6.x Skanowanie szczegółowe Przed rozpoczęciem monitorowania, ważne jest określenie, jakie konkretne urządzenia chcemy monitorować. Jedną z metod wykrywania urządzeń w sieci jest skanowanie. Skanowanie sieci polega na przeszukiwaniu listy adresów IP hostów aktualnie dostępnych w sieci. Jednakże tu pojawia się problem zazwyczaj nie wszystkie urządzenia działają i odpowiadają poprawnie w momencie skanowania. W rezultacie otrzymujemy niepełny i niemiarodajny obraz sieci. Rozwiązaniem tego problemu jest skanowanie inteligentne, które przeszukuje nie tylko listę adresów IP, ale także szuka dostępnych urządzeń sprawdzając tablice rutingu, domeny i grupy robocze Active Directory i kontenery drzew edirectory. W tym miejscu należy zauważyć, iż rezultatem skanowania inteligentnego jest lista zawierająca wyłącznie nowo wykryte węzły; urządzenia, które zostały wykryte wcześniej nie znajdują się na nowej liście. NetCrunch udostępnia specjalny kreator skanowania, który przeprowadza użytkownika przez procedurę wykrywania sieci przy wykorzystaniu wszystkich wymienionych powyżej technik. Podczas pierwszego uruchomienia programu kreator ten uruchamia się automatycznie. Już po wykryciu sieci w dowolnym momencie możliwe jest ponowne przeskanowanie wybranych fragmentów sieci zdalnej lub lokalnej. Monitorowanie inteligentne Monitorowanie inteligentne jest jednym z najbardziej skutecznych sposobów na usprawnienie monitorowania sieci. W tym celu można użyć dwóch podstawowych technik. W ogólnym zarysie pierwsza z nich polega na ograniczaniu ilości ruchu generowanego w sieci przez aplikację monitorującą. Ustala się wówczas szczegółowe limity ruchu monitorującego, jakim podlegać będzie urządzenie monitorujące. W rezultacie proces monitorowania nie będzie generował nadmiernego ruchu w sieci ani wpływał na wyniki pomiarów. Natomiast drugim sposobem jest nadzorowanie wyłącznie węzłów o krytycznym znaczeniu, takich jak rutery czy serwery. Okazuje się to szczególnie korzystne w dużych sieciach, w których monitorowanie tysięcy węzłów po prostu mija się z celem. NetCrunch umożliwia korzystanie z obu wspomnianych technik monitorowania inteligentnego. Przy użyciu programu możliwe jest definiowanie konkretnych wybranych węzłów, które chcemy kontrolować. Ponadto NetCrunch umożliwia monitorowanie podsieci w danej sieci z możliwością określania na nich limitów ruchu monitorującego. W ten sposób jeśli ruch monitorujący przekroczy dopuszczalne granice, program nie będzie wysyłał dodatkowych pakietów monitorujących aż do momentu, kiedy ruch w tej podsieci nie spadnie poniżej pewnego poziomu. Ponadto program umożliwia określenie węzłów jako krytyczne wówczas będą monitorowane w pełnym zakresie lub jako mniej ważne (wówczas sprawdzany będzie jedynie ich status). Podstawowe parametry statystyczne Weryfikacja wydajności sieci odbywa się poprzez mierzenie kilku najistotniejszych parametrów statystycznych. Dla celów niniejszej publikacji poniższa lista zawiera najważniejsze z nich, co oczywiście w żaden sposób nie wyczerpuje tematu. 16
Monitorowanie sieci Opóźnienie (ang. Latency) Termin ten posiada wiele definicji. W kontekście monitorowania sieci oznacza on czas, w którym pakiet wędruje od jednego węzła do drugiego i z powrotem. Na potrzeby aplikacji monitorujących opóźnienie można również zdefiniować jako czas odpowiedzi (czas podróży pakietu, ang. Round-Trip Time, w skrócie RTT). NetCrunch umożliwia mierzenie w milisekundach (ms) wartości takich jak średni czas odpowiedzi (w programie oznaczonym jako średni RTT), najkrótszy czas odpowiedzi (min. RTT), maksymalny czas odpowiedzi (maks. RTT). Wielkości te są wyświetlane w programie na karcie Szczegóły w oknie Widok sieci. Powszechnym sposobem na otrzymanie próbek wartości opóźnienia podczas monitorowania jest użycie Ping. Narzędzie to zostanie omówione w dalszej części tego rozdziału. Liczba utraconych pakietów Kolejnym istotnym parametrem, który należy monitorować jest ilość utraconych pakietów. Komunikujące się ze sobą w sieci węzły wymieniają między sobą pakiety. Zdarza się jednak, że np. ruter odrzuca czekający w kolejce pakiet ze względu na duży ruch. Ilość utraconych pakietów określa więc procentową sumę pakietów, jakie gubią się w drodze do stacji odbiorczej i z powrotem w określonym odstępie czasu. W tym kontekście warto zauważyć, że wielkość utraconych pakietów zazwyczaj mieści się w przedziale między 0% a 15%, co odpowiada różnicy między siecią nieobciążoną a siecią przeciążoną. Wartości powyżej 15 % oznaczają, że sieć nie nadaje się do normalnej eksploatacji. Stałe monitorowanie tego parametru możliwe jest za pomocą NetCruncha. Wartość utraconych pakietów, oznaczona w programie jako % Utraconych, jest wyświetlana w tabeli karty Szczegóły w oknie Widok sieci. Przepustowość (ang. Throughput) Przepustowość to kolejna wartość kluczowa dla procesu monitorowania sieci. Przepustowość sieci to prędkość przesyłu danych, innymi słowy, ilość danych przesyłanych w sieci z jednego miejsca do drugiego w jednostce czasu. Zazwyczaj wartość tą mierzy się w bitach na sekundę (bps), choć stosuje się również bajty na sekundę (Bps) lub pakiety na sekundę (pps). Podczas pomiaru tego parametru należy zwrócić szczególną uwagę na unikanie zbyt małych lub zbyt dużych interwałów czasowych, które mogłyby sprawić, że wyniki pomiarów byłyby niereprezentatywne lub niemiarodajne dla aktualnego stanu sieci. Dostępność W skrócie dostępność sieci to procentowy czas, w którym dane urządzenie działało poprawnie i było dostępne w sieci. W celu sprawdzenia, czy jakieś urządzenie jest dostępne w sieci stosuje się narzędzie Ping. NetCrunch mierzy ten parametr w celu określenia statusu sieci jest on wyświetlany jako Czas działania na karcie Szczegóły tabeli w oknie Mapa. 17
AdRem NetCrunch 6.x Wykorzystanie/Obciążenie (ang. Utilization) Wykorzystanie to kolejna wartość statystyczna niezwykle przydatna w procesie monitorowania. Oznacza ona procentowy czas, w jakim określone zasoby są w użyciu w danym przedziale czasu. Mierzenie wykorzystania umożliwia określenie, które zasoby sieci są intensywnie eksploatowane, a które wykorzystywane są w stopniu znikomym, co w dalszej perspektywie pozwala odpowiednio dysponować dostępnymi zasobami. W programie NetCrunch parametr ten można odczytać w karcie Windows okna Mapa tu znajdują się takie kolumny jak % Obciążenia procesora, % Wykorzystania pamięci i % Obciążenia sieci. Popularne narzędzia diagnostyczne Istnieje wiele narzędzi pozwalających na uzyskanie różnorodnych informacji niezbędnych w monitorowaniu sieci. Niektóre mają za zadanie rozwiązywać bardzo konkretny aspekt działania sieci, inne są bardzie rozbudowane i uniwersalne i pozwalają dokonywać pomiaru jednocześnie wielu parametrów. Poniższa lista zawiera najczęściej używane narzędzia pomiarowe wszystkie z nich zostały udostępnione w programie Itools, dostępnym razem z programem NetCrunch. Ping Narzędzie o nazwie Ping (ang. Packet Internet Groper) zyskało status standardowego narzędzia w monitorowaniu sieci. Ping został stworzony w grudniu 1983 z myślą o platformie UNIX. Ponieważ od początku swojego istnienia Ping był narzędziem darmowym, szybko został zaadaptowany na potrzeby innych platform. Przeznaczenie tego programu narzędziowego jest niezwykle proste. Testuje ono poprawność połączeń między urządzeniami w sieci wysyłając do nich i odbierając pakiety. Sprawdza więc czas odpowiedzi (round-trip time) dla wybranego urządzenia. Za pomocą Ping można niemal natychmiast sprawdzić, czy określony host jest dostępny w sieci i poprawnie komunikuje się z innymi węzłami, czyli czy odbiera i wysyła pakiety. Tak więc Ping umożliwia łatwe mierzenie zarówno opóźnienia, jak i dostępności. Traceroute Traceroute to kolejne narzędzie diagnostyczne pierwotnie stworzone dla platformy UNIX (w 1988 r.), które szybko stało się popularnym standardem monitorowania sieci. Traceroute służy do analizy trasy przesyłu pakietów: opisuje ścieżkę z lokalnego węzła do zdalnego węzła, odnotowując wszystkie napotkane po drodze urządzenia rutujące. W rzeczywistości wysyła on serię pakietów testowych, które przechodzą przez wszystkie rutery aż do momentu, w którym docierają do hosta, lub do momentu osiągnięcia zdefiniowanej wartości tzw. czasu życia (ang. Time To Live, w skrócie TTL). Traceroute umożliwia diagnozę wielu elementów w sieci. Po pierwsze sprawdza trasy przesyłu pakietów do danego hosta, pokazując, które rutery znajdują się na drodze pakietu do stacji odbiorczej. Po drugie pozwala weryfikować jakość połączenia z danym hostem, bowiem im 18
Monitorowanie sieci krótszy jest dystans do stacji odbiorczej (czyli im mniejsza liczba hopów przeskoków między ruterami w sieci), tym lepsza jakość połączenia. Po trzecie Traceroute pozwala lokalizować przeciążone elementy w sieci, ponieważ czym dłuższy czas odpowiedzi danego rutera, tym większe przeciążenie bądź na tym ruterze, bądź na jego bezpośrednim połączeniu z następnym ruterem. Warto zauważyć, że zazwyczaj maksymalna wartość czasu życia (TTL) wynosi 30, co oznacza, że na drodze ze stacji nadawczej do stacji odbiorczej znajduje się do 30 ruterów. Wyszukiwanie DNS Lookup to nieskomplikowane narzędzie, które udostępnia informacje o hostach przechowywane na serwerze DNS tłumacząc nazwy hostów na adresy IP i vice versa. Połączenie Narzędzie o nazwie Przepustowość to w istocie skaner zdolności przepustowej łącza służy on do testowania szerokości pasma połączenia z węzła lokalnego do węzła docelowego; oznacza to, że sprawdza on najwyższy dopuszczalny poziom transmisji danych pomiędzy węzłem lokalnym a zdalnym w przedziale czasu. Szybkość transmisji jest mierzona w bitach (bps) lub bajtach na sekundę (Bps). W kontekście tego narzędzia warto pamiętać o kilku rzeczach. Po pierwsze, zdarza się, że jakiś host może odrzucić zbyt duże pakiety, dlatego zalecany rozmiar pakietów wynosi 512 bajtów. Po drugie, kiedy mamy do czynienia w większymi pakietami, należy je wysyłać w większych odstępach czasowych. To samo należy zrobić w przypadku wolnych łączy. Po trzecie, kiedy wysyłamy pakiety do hostów zdalnych, lepiej wysyłać mniejsze pakiety. Dystans do określonego hosta czyli liczbę przeskoków między ruterami w sieci można określić za pomocą narzędzia Traceroute. Generalnie skaner przepustowości łącza powinien być używany ostrożnie, ponieważ może on wpływać na wydajność sieci. Skaner Skaner usług umożliwia testowanie statusu usług na poszczególnych hostach. Możliwe jest zebranie następujących informacji o usługach zainstalowanych na wybranym hoście: stan (czy poszczególne usługi działają poprawie, czy też są niedostępne) czas odpowiedzi w milisekundach (ms) aktualnie działających usług krótka charakterystyka każdej usługi numer portów wykorzystywanych przez poszczególne usługi. Aby poprawnie zmierzyć te wartości, należy w narzędziu tym określić czas oczekiwania (timeout) w milisekundach oraz wybrać, które usługi mają być skanowane. Wybranie określonego hosta umożliwia skanowanie jego portów. W takim przypadku można zdefiniować zakres portów, skanować tylko znane porty bądź skanować w poszukiwaniu ewentualnych koni trojańskich na danym hoście. Ponadto skaner pozwala wyszukać wszystkie aktualnie dostępne węzły w sieci lokalnej. 19
AdRem NetCrunch 6.x SNMP SNMP (Simple Network Management Protocol) to opracowany we wczesnych latach 80. protokół komunikacyjny będący standardem w zarządzaniu urządzeniami w sieci (takimi jak np. stacje robocze, przełączniki, serwery, rutery, mostki czy koncentratory). Po raz pierwszy protokół ten został użyty w środowisku UNIX. Mimo iż protokół SNMP jest powszechnie używany do zarządzania lokalnymi i zdalnymi urządzeniami, może on również wspomagać monitorowanie sieci. W zarządzaniu siecią opartym o standard SNMP główną rolę odgrywa zarządca SNMP (ang. SNMP manager) oraz agenty SNMP (ang. SNMP agent). Zarządca SNMP, nazywany również systemem zarządzającym SNMP lub stacją zarządzającą SNMP, komunikuje się z agentami SNMP, wysyłając im kilka rodzajów zapytań operacyjnych: Get, Get_Next i Set. Zarządca SNMP znajduje się na monitorującym komputerze, natomiast agenty SNMP zlokalizowane są na monitorowanym urządzeniach i mają za zadanie wysyłać odpowiedzi na zapytania zarządcy SNMP bądź wysyłać pułapkę (trap) powiadamiającą o zagrożeniu (sytuacji wyjątkowej). W rzeczywistości agenty SNMP komunikują się z tzw. bazami danych informacji zarządzania (MIB-ami), aby zdobyć informacje niezbędne do wysłania odpowiedzi zarządcy SNMP. MIB to baza danych przechowująca informacje o zarządzanym węźle w sieci. Należy zaznaczyć, że choć protokół SNMP służy głównie do zdalnego testowania czy też odpytywania urządzeń w sieci (a więc do wysyłania poleceń Get lub Get_Next do agenta SNMP), umożliwia również zdalne modyfikowanie ustawień urządzeń (poprzez wysyłanie komendy Set). Z reguły większość urządzeń monitorowanych przy użyciu SNMP umożliwia jedynie odczyt informacji. Więcej szczegółów na temat SNMP zawiera rozdział Wprowadzenie do SNMP na stronie 21. Zintegrowane monitorowanie sieci Poza omówionymi wyżej standardowymi narzędziami do monitorowania sieci istnieje spora grupa innych aplikacji o podobnym przeznaczeniu. Jedne skupiają się na konkretnym aspekcie monitorowania, inne zaś oferują szeroką funkcjonalność. Reprezentatywnym przedstawicielem tej ostatniej grupy jest program NetCrunch firmy AdRem Software. NetCrunch może służyć zarówno do ogólnych i prostych aspektów monitorowania, jak i do bardziej szczegółowego nadzoru sieci. W tym celu program został wyposażony w pakiet zaawansowanych funkcji, które umożliwiają ukazanie na graficznych wykresach i diagramach różnorakich aspekty stanu sieci w czasie rzeczywistym. Ponadto pogram udostępnia wszystkie wymienione powyżej narzędzia diagnostyczne (Ping, Traceroute, Lookup, Przepustowość, Skaner usług i SNMP). Co więcej, NetCrunch wychodzi poza monitorowanie w czasie rzeczywistym służy również do powiadamiania o zakłóceniach i awariach w sieci, zbierania trendów i analizy raportów obrazujących historię funkcjonowania sieci. Dzięki temu administrator błyskawicznie dowiaduje się o wszelkich nieprawidłowościach w działaniu krytycznych urządzeń, zasobów i serwisów w sieci oraz może rzetelnie planować inwestycje i zmiany w sieci. Zagadnienia te zostały opisane w Podręczniku Użytkownika na stronie http://www.adrem.com.pl/netcrunch/doc/pl/nc6usersguidepl.pdf 20