Технологии сбора сетевой информации
11.01.2006 | admin

Современные сети передачи данных (СПД) представляют собой сложные комплексы, управление которыми требует обязательного обеспечения мониторинга. Существующие технологии сбора и анализа информации о сетевой активности можно условно классифицировать следующим образом:

  • Мониторинг каналов (Layer 2 OSI)
  • Учет трафика (Layer 3, 4 OSI)
  • Перехват и анализ передаваемых данных (Layer 2-7 OSI).

1. Мониторинг каналов

Задача мониторинга каналов традиционно решается при помощи протокола SNMP [1]. Оборудование (маршрутизаторы и коммутаторы) обеспечивает функционирование специальных переменных (счетчиков), отражающих состояние информационных потоков на интерфейсах (например, число переданных байт), значения которых можно получить удаленно по протоколу SNMP (например, утилитой snmpget из пакета net-snmp [2]).

Беспроводной маршрутизатор Rapira R1-CPE-F2
1 Ethernet PoE, радио 63мВт, 2.3 – 2.5ГГц; 4.9 – 6.1ГГц, 63мВт
всего за $846.74!
Общепринятым стандартом в области мониторинга сетевой инфраструктуры является Remote Monitoring (RMON) [3]. RMON позволяет отслеживать по SNMP статистическую информацию, определяя набор параметров (групп) для сбора данных и функции их обработки.

Одним из лучших инструментальных пакетов, полностью автоматизирующим операции получения и визуализации информации по SNMP, является mrtg [4]. Дальнейшим развитием mrtg явилось создание циклической базы данных Roung Robin Database (RRD) и комплекта rrd-tools [5].

2. Учет трафика

Наиболее известной промышленной технологией учета трафика является NetFlow корпорации Cisco [6]. NetFlow базируется на понятии потока данных (Flow), которая представляет собой однонаправленный набор пакетов (входящих на интерфейс), идентифицирующийся уникальными полями (Src IP, Dst IP, Src Port, Dst Port, Layer 3 Protocol Type, ToS, Input Logical Interface).

Архитектурно система сбора данных по технологии NetFlow состоит из следующих компонентов: экспортер данных (NetFlow Exporter), коллектор (NetFlow Collector – NFC) и анализатор (NetFlow Data Analyzer – NDA).

Экспортер (чаще всего маршрутизатор) накапливает данные о потоках в кэше, который периодически экспортирует коллектору (UDP пакеты). Коллектор собирает экспортируемые данные и хранит в определенном формате. Анализатор позволяет обрабатывать данные коллектора.

Самыми распространенными программными средствами для работы с NetFlow являются: flow-tools [7], cflowd [8], flowc [9] и другие. Кроме того, зная формат NetFlow пакета, приходящего от экспортера, можно написать коллектор и утилиты обработки самостоятельно.

Менее распространенной является технология SFlow, разработанная компанией InMon и применяющаяся в основном в активном оборудовании Hewlett Packard [10]. Парадигма SFlow является классической: агент (активное оборудование), коллектор и анализатор. Агент собирает информацию двумя методами: снятие значений интерфейсных счетчиков и статистическая выборка из потоков данных, проходящих через устройство. Собранные данные агент пересылает коллектору (по протоколу UDP). Обработка потоковых данных осуществляется в соответствии со статистической теорией измерений (на основе построения доверительных интервалов).

Единым стандартом экспорта данных о потоках трафика призван стать IP Flow Information Export (IPFIX), разработанный IETF. Предполагается, что IPFIX станет фундаментальной “вендоронезависимой” технологией сбора данных в гетерогенных сетях будущего.

3. Перехват и анализ передаваемых данных

Большинство управляемых коммутаторов обеспечивает возможность перехвата и анализа потоков, проходящих через их порты. Данная технология может называться по-разному: Port Monitoring, Port Mirroring или Switched Port Analyzer (SPAN) [11]. В рамках этой технологии обеспечивается конфигурирование отдельного порта, куда будет попадать требуемый для анализа трафик с других портов, что в обычном режиме коммутации не допускается.

Для анализа и изучения проходящего через интерфейсы трафика широко применяются так называемые снифферы (от Sniff – нюхать). Наибольшее распространение получило программное обеспечение, основанное на библиотеке libpcap [12]: tcpdump [12], sniffit [13], ethereal [14] и другие. Данные программы позволяют перехватывать сетевые пакеты на интерфейсах рабочих станций и серверов. В сочетании с аппаратными средствами (SPAN) они представляют мощное средство анализа сетевой активности.

ССЫЛКИ.

  1. http://www.faqs.org/rfcs/rfc1157.html
  2. http://net-snmp.sourceforge.net/
  3. http://www.cisco.com/univercd/cc/td/doc/…
  4. http://people.ee.ethz.ch/~oetiker/webtools/mrtg/
  5. http://people.ee.ethz.ch/~oetiker/webtools/rrdtool/
  6. http://www.splintered.net/sw/flow-tools/
  7. http://www.caida.org/tools/measurement/cflowd/
  8. http://netacad.kiev.ua/flowc/
  9. http://www.sflow.org/
  10. http://www.cisco.com/warp/public/473/41.html
  11. http://www.tcpdump.org/
  12. http://www.tengu.be/
  13. http://www.ethereal.com/

Автор: Эдуард Афонцев

Просмотров новости: 752  <, >


-->