БИБЛИЯ ХАКЕРА

Управление коммутируемыми сетями

Коммутаторы — это сложные многофункциональные устройства, играющие ответственную роль в современных сетях. Поэтому поддержка функций централизованного контроля и управления, реализуемого про­токолом SNMP и соответствующими агентами, практически обязательна для всех классов коммутаторов (кроме, может быть, настольных коммута­торов, предназначенных для работы в очень маленьких сетях).

Для поддержки SNMP-управления коммутаторы имеют модуль уп­равления, в котором имеется агент, ведущий базу данных управляющей информации. Этот модуль часто выполняется на отдельном мощном про­цессоре, чтобы не замедлять основные операции коммутатора.

Наблюдение за трафиком

Так как перегрузки процессоров портов и других обрабатывающих элементов коммутатора могут приводить к потерям кадров, то функция наблюдения за распределением трафика в сети, построенной на основе коммутаторов, очень важна.

Однако, если сам коммутатор не имеет отдельного агента для каж­дого своего то задача слежения за трафиком, традиционно решае­мая в сетях с разделяемыми средами с помощью установки в сеть внеш­него анализатора протоколов, очень усложняется.

Обычно в традиционных сетях анализатор протоколов (например, 8піПегкомпании Network General) подключался к свободному порту кон­центратора и видел весь трафик, передаваемый между любыми узлами сети.

В случае, если же анализатор протокола подключить к свободному порту коммутатора, то он не увидит почти ничего, так как ему кадры пе­редавать никто не будет, а чужие кадры в его порт также направляться не будут. Единственный вид трафика, который будет видеть анализатор — это трафик широковещательных пакетов, которые будут передаваться всем узлам сети. В случае, когда сеть разделена на виртуальные сети, ана­лизатор протоколов будет видеть только широковещательный трафик своей виртуальной сети.

Для того, чтобы анализаторами протоколов можно было по-преж­нему пользоваться и в коммутируемых сетях, производители коммутато­ров снабжают свои устройства функцией зеркального отображения тра­фика любого порта на специальный порт. К специальному порту подключается анализатор протоколов, а затем на коммутатор подается ко­манда через его модуль SNMP-управления для отображения трафика ка­кого-либо порта на специальный порт.

Наличие функции зеркал изаци и портов частично снимает пробле­му, но оставляет некоторые вопросы. Например, как просмотреть одно­временно трафик двух портов, или как просматривать трафик порта, ра­ботающего в полнодуплексном режиме.

Более надежным способом слежения за трафиком, проходящим че­рез порты коммутатора, является замена анализатора протокола на аген­ты RMON MIB для каждого порта коммутатора.

Агент RMON выполняет все функции хорошего анализатора прото­кола для протоколов Ethernet и Token Ring, собирая детальную информа­цию об интенсивности трафика, различных типах плохих кадров, о поте­рянных кадрах, причем самостоятельно строя временные ряды для каждого фиксируемого параметра. Кроме того, агент RMON может само­стоятельно строить матрицы перекрестного трафика между узлами сети, которые очень нужны для анализа эффективности применения ком­мутатора.

Так как агент RMON, реализующий все 9 групп объектов Ethernet, стоит весьма дорого, то производители для снижения стоимости комму­татора часто реализуют только первые несколько групп объектов RMON MIB.

Управление виртуальными сетями

Виртуальные сети порождают проблемы для традиционных систем управления на SNMP-платформе как при их создании, так и при наблю­дении за их работой.

Как правило, для создания виртуальных сетей требуется специаль­ное программное обеспечение компании-производителя, которое работа­ет на платформе системы управления, такой как, например, HP Open View. Сами платформы систем управления этот процесс поддержать не могут, в основном из-за отсутствия стандарта на виртуальные сети. Мож­но надеяться, что появление стандарта 802.1Q изменит ситуацию в этой области.

Наблюдение за работой виртуальных сетей также создает проблемы для традиционных систем управления. При создании карты сети, включа­ющей виртуальные сети, необходимо отображать как физическую струк­туру сети, так и ее логическую структуру, соответствующую связям от­дельных узлов виртуальной сети. При этом по желанию администратора система управления уметь отображать соответствие логических и

Физических связей в сети, то есть на одном физическом канале должны отображаться все или отдельные пути виртуальных сетей.

К сожалению, многие системы управления либо вообще не отобра­жают виртуальные сети, либо делают это очень неудобным для пользова­теля способом.