Раньше при возникновении проблемы с сетью, часто приходилось гадать, что же вызвало неполадки. Позже появились специализированные устройства, которые были дорогими, трудными для управления и понимания. Теперь имеется сетевой монитор, который является программным инструментом анализа компании Microsoft. Существуют две версии этой программы: сокращенная, поставляемая с серверными операционными системами, и полная, которая поставляется с сервером управления системами. Microsoft Network Monitor Lite способен перехватывать трафик, предназначенный только для машины, выполняющей программу. Полная версия переводит сетевой адаптер в "режим, не делающий различия" — т.е. он перехватывает трафик, направленный на компьютер, выполняющий Microsoft Nerwork Monitor, а также трафик, предназначенный для других устройств.
Network Monitor 2.0 поставляется вместе с Windows 2000 в версии Lite, а полная версия поставляется вместе с Windows NT 4.0 и SMS 2.0. Network Monitor 1.2. поставляется вместе с Windows NT 4.0 и SMS 1.2. В действительности существует лишь Небольшое различие между версиями продукта 2.0 и 1.2, так как функционально они одинаковы. Мы укажем различия, но большая часть рассматриваемого материала применима к любой версии продукта.
Microsoft Network Monitor копирует кадры в буфер перехвата, который является областью памяти с изменяемым размером. По умолчанию этот буфер перехвата равен одному мегабайту, но это легко изменить. Однако в связи с этим зависимым от памяти буфером перехвата сетевой монитор может перехватить лишь столько информации, сколько может поместиться в доступной памяти. Когда буфер будет заполнен, он начнет отбрасывать пакеты, и поэтому можно пропустить разыскиваемую информацию. Кроме того, сетевой монитор имеет склонность блокировать и связывать большую часть ресурсов процессора, когда ему разрешается выполняться в течение продолжительных периодов после полного заполнения буфера. К счастью, легко прекратить его работу с помощью Task Manager, но тогда теряется весь перехваченный файл. Мы узнаем некоторые приемы решения этой проблемы при рассмотрении необслуживаемого мониторинга сети. Потеря файла обычно не является проблемой, так как можно выбрать, какую часть кадра необходимо увидеть, создавая фильтр перехвата. Фильтр перехвата (который в определенном смысле похож на запрос к базе данных) позволяет перехватывать только определенные адреса или типы кадров. Мы поговорим об этом в разделе о перехвате данных.
Так как Microsoft Nerwork Monitor легкодоступный, очень мощный инструмент, способный перехватывать данные из сети, необходимо позаботиться о системе безопасности. Как мы видели в других главах, обладая определенными навыками, из сети можно получить очень важную информацию. Microsoft Nerwork Monitor может быть прекрасным инструментом для поиска неисправностей, но также может представлять существенную опасность, оказавшись в недобросовестных руках. Есть несколько способов защиты сети от неавторизованного использования этого инструмента. Мы-поговорим об этом позже, в разделе о безопасности сетевого монитора.
Microsoft Network Monitor не устанавливается по умолчанию. Чтобы установить его, перейдите к вкладке служб сетевого апплета в панели управления и выберите добавить (add) инструменты сетевого монитора и агент. (ПРИМЕЧАНИЕ. Не забудьте выбрать инструменты сетевого монитора и агента, а не просто агента сетевого монитора, который представлен в списке ниже и не включает программу Microsoft Network Monitor.) Установка версий SMS использует отдельную программу Setup.exe, находящуюся в каталоге NMEXR на сайте издательства "ЛОРИ".
Когда данные перехватываются, карта Ethernet передает часть кадров, которые она видит в сети, в буфер перехвата. Если буфер перехвата переполняется, то для определения того, что удерживается в памяти, будет использоваться принцип простой очереди, или FIFO (первый вошел, первый вышел). Чтобы избежать переполнения буфера перехвата, можно изменить настройки буфера, выбирая их из меню перехвата. Появится диалоговое окно, позволяющее определить новый буфер перехвата в мегабайтах. Здесь можно также определить, будет ли перехватываться весь кадр, или некоторое число байтов кадра, позволяя сохранить только информацию заголовка.
Другим способом сократить объем выбранных данных является создание фильтра перехвата для уточнения того, что именно плата передает в буфер перехвата. Начните свой сеанс перехвата, выбрав start в меню перехвата (или нажав кнопку Record). Как показано на рис., сетевой монитор выводит статистические данные о сеансе перехвата во время выполнения. Эти статистические данные дают представление о сетевой производительности в данный момент. Важно помнить, что это мгновенный снимок, и хотя он может дать некоторое представление о сети, его нельзя использовать в качестве инструмента планирования. Если, однако, задокументировать эти записи, развернуть их во времени и сравнить с информацией из управляемых концентраторов, коммутаторов, и маршрутизаторов, можно получить лучшее представление о сетевой производительности.
Графическая панель показывает текущее состояние сети. Эти панели имеют изменяемый размер, позволяя лучше представить данные. Это полезное свойством при мониторинге процесса перехвата. Это высокоуровневое представление может помочь при поиске неисправностей, предоставляя перечисленную ниже информацию.
• Процент загруженности сети
• Число кадров в секунду
• Число байтов в секунду
• Число широковещательных сообщений в секунду
• Число мультивещательных сообщений в секунду
Панель общей статистики показывает числовой итог информации, содержащейся в графической панели. Появляется также статистика относительно перехваченных данных. Панель сообщает, сколько кадров находится в буфере, какая доля буфера использована, были или нет какие-либо кадры отброшены в связи с переполнением буфера. Дополнительная статистика предоставляет информацию о сетевой плате.
Панель статистики сеанса (ниже графической панели) перечисляет сетевые адреса компьютеров, общающихся во время текущего сеанса перехвата. Она показывает, сколько кадров находится в сети и в каком направлении они движутся. Обратите особое внимание на стрелку, так как она используется в сетевом мониторе для указания направления потока данных (используется также при создании фильтров перехвата). Стрелка всегда указывает в направлении компьютера, который будет получать информацию. Например, на рис. bigguy в столбце сетевого адреса 1 посылает 31 кадр в PROX в столбце сетевого адреса 2. PROX посылает 25 кадров назад bigguy.
Панель статистики станции (ниже статистики сеанса) более подробно представляет информацию из статистики сеанса, перечисляя число байтов посланных и полученных каждой станцией, представленной в буфере перехвата. Информация о посланных широковещательных и мультивещательных сообщениях особенно полезна для быстрого выявления потенциальных проблем в сети. Кроме того, может понадобиться исследовать направление потока данных и размеры различных происходящих обменов данными. Все это может оказаться потенциальными узкими местами сети.
Пришло время запустить сетевой монитор. Чтобы управлять перехватом вручную, используется меню перехвата. Однако прежде чем нажать Start, необходимо задать размер буфера. Выбор настроек буфера из меню перехвата позволит сконфигурировать буфер. Используемый по умолчанию максимальный размер буфера перехвата, равный 8 мегабайтам, меньше объема оперативной памяти, установленной на машине. Хотя можно использовать виртуальную память для буфера перехвата, лучше этого не делать для гарантии, что критически важная информация кадра надежно перехвачена. Microsoft Network Monitor пошлет предупреждение при попытке ввести размер буфера перехвата больше физической памяти машины. Сообщение говорит: "Запрашиваемый размер буфера может вызывать потерю кадров в связи с процессом подкачки. Вы уверены, что хотите разместить буфер этого размера?"
Помимо выбора размера буфера можно также выбрать размер кадра, который желательно перехватывать. Например, если интересует только информация заголовка для определенного протокола, то можно задать здесь эту информацию и не тратить пространство на перехват лишних данных кадра. Какой размер кадра перехватывается, зависит от определенного исследуемого протокола. Например, так как мы знаем, что нормальный заголовок Ethernet равен 14 байтам, можно задать кадр перехвата в 14 байтов и перехватывать только заголовки Ethernet. Это позволит нам перехватить 73142 кадра с помощью одномегабайтного буфера перехвата. Можно было бы использовать 34-байтовый кадр для перехвата заголовка IP (14 байтов для заголовка Ethernet и 20 байтов для заголовка IP). Это очень полезно при исследовании проблем передачи файлов, которые часто содержат 1200 или больше байтов данных пользователя, которые могут быстро заполнить буфер перехвата.
Обновление окна статистики перехвата, показанного на рис., создает для центрального процессора нагрузку, которая может быть излишней. Выбирая режим выделенного (dedicated) перехвата в меню перехвата, можно избежать нагрузки, связанной с обновлением изображения, и тем самым предоставить дополнительные ресурсы для перехвата кадров. Как показано на рис, в режиме выделенного перехвата имеется возможность переключения в нормальный режим, выбрав его из меню перехвата. Можно сделать все эти переключения во время работы Microsoft Network Monitor и не потерять кадры. Кроме того, можно приостановить Netmon и продолжить работу приложения в этом режиме.
Когда сеанс перехвата закончен, что мы имеем? Сетевой монитор упрощает задачу анализа данных, организуя перехваченные данные в несколько различных представлений и выполняя большую часть анализа протокола. На рис. мы видим сводное представление. Оно полезно для получения обзора информации, содержащейся в перехваченных данных. Большое число кадров BPDU на рис. являются конфигурационными сообщениями коммутатора.
Добавляя подробное и шестнадцатеричное представления из меню Window, можно найти такую информацию, как адрес источника и адрес места назначения кадра. На рис. мы видим источник и место назначения трафика BPDU, который поглощает большую часть полосы пропускания сети. Вооружившись этой информацией, можно перейти к машине и
