При использовании в сети TCP/IP существует вероятность, что в сети применяется DHCP для раздачи IP-адресов клиентским машинам и, возможно, некоторым принтерам. Нечего и говорить, что если TCP/IP является единственным протоколом в сети, то клиентская машина должна иметь допустимый IP-адрес, чтобы общаться с другими устройствами в сети, например компьютерами, маршрутизаторами, принтерами и серверами. Этот IP-адрес должен иметь подходящий сетевой адрес, адрес хоста и маску подсети, иначе коммуникация просто не будет происходить. Если имеется несколько сегментов, то требуется также используемый по умолчанию шлюз.
DHCP может управлять этими простыми задачами, и даже сделать больше. В действительности это четкий и эффективный протокол, которому требуются только четыре кадра для выдачи адреса и два кадра для обновления этого адреса позже. Рассмотрим это подробнее.
Процесс получения адреса Когда загружается клиент DHCP, первое что он должен сделать, это найти сервер DHCP, выдающий IP-адреса для подсети, к которой он присоединен. Для этого устройство пошлет сообщение поиска DHCP, указывающее, что оно хотело бы получить IP-адрес. Сервер DHCP, получив сообщение поиска, ответит предложением DHCP. Оно говорит: "Я получил ваш запрос и вот адрес, который у меня есть". Клиентская машина может получить несколько предложений DHCP от нескольких серверов, которые могут услышать сообщение поиска DHCP. Клиент выберет первое полученное им предложение DHCP и ответит серверу DHCP, что он хочет получить предложенный IP-адрес. Это называется запросом DHCP. Сервер DHCP при получении запроса ответит подтверждением (АСК): "Можете начинать использовать IP-адрес". Таблица резюмирует этот процесс.
Как можно видеть в таблице, DHCP использует широковещание в течение всего процесса. Это позволяет другим машинам в сети знать о том, что происходит. Рассмотрим этот процесс подробнее. В приведенной ниже распечатке заголовка Ethernet можно видеть, что адресом назначения является FFFFFFFFFFFF. Это широковещательный адрес для уровня доступа к среде передачи. Все устройства в сегменте Ethernet должны будут обрабатывать этот кадр, пока не дойдут до раздела UDP (порта дейтаграмм пользователя) и не обнаружат, что они не имеют указанного порта UDP. В распечатке также видно, что размер кадра Ethernet равен 342 байтам. Это размер данного кадра Ethernet, включая заголовок. Число остающихся байтов равно 328, что является полезной нагрузкой минус 14-байтовый заголовок Ethernet.
Выделенный IP-адрес должен обновляться до истечения срока своей службы. Как можно видеть в распечатке выше, когда выделенный адрес подтверждается, одновременно задается время обновления. Процесс обновления требует только двух кадров: запроса DHCP и последующего АСК.
Клиент DHCP будет запрашивать обновление дважды — при запуске и при истечение половины выделенного времени. В каждом из этих случаев, если запрос успешен, он будет использовать только два кадра. Эти два кадра выглядят точно так же, как кадры запроса и подтверждения, показанные в предыдущем разделе. Единственное различие состоит в том, что при запросе во время истечения половины выделенного времени это будет направленная дейтаграмма, а не широковещательное сообщение, как в случае обновления при запуске.
Эти два кадра имеют размер всего 684 байта и требуют только 100 миллисекунд для завершения. Если клиентской машине DHCP не удалось получить обновление после двух попыток, она будет ждать до следующего периода обновления. Если срок выделенного адреса истекает, то машина возвращается к описанному ранее процессу из четырех кадров, как если бы она пыталась получить адрес в первый раз.
Оптимизация трафика DHCP В действительности трафик DHCP имеет минимальное влияние на объем создаваемого сетевого трафика. Существуют только шесть случаев, когда трафик будет присутствовать вообще. Они перечислены ниже:
• Клиенту DHCP требуется адрес в первый раз — четыре кадра.
• Автоматическое обновление при истечении половины выделенного времени — два кадра.
• Перезапуск клиентской машины DHCP — два кадра.
• Машина перемещается в новую подсеть. Это будет создавать два кадра обновления, которые получат отрицательное подтверждение, затем четыре кадра для получения адреса — всего шесть кадров.
• Замена NIC на машине — четыре кадра.
• Адрес IP освобождается или обновляется вручную, с помощью либо ipconfig, либо winipcfg.
Одним из основных способов сокращения объема трафика DHCP является настройка длительности времени выделения. Это делается менеджером DHCP, как показано на рис. Если длительность выделения адреса изменяется с используемых по умолчанию трех дней до тридцати дней, то сокращение трафика может быть существенным — 13684 байта на каждую машину. Такое изменение имеет смысл, когда область адресов значительно больше, чем число хостов, которые необходимо адресовать. Если это не так, то придется либо использовать длительность выделения по умолчанию, либо сделать длительность еще короче. Другой сценарий при настройке длительности выделения номера может возникать в ситуации, когда существует большое количество переносных компьютеров, которые соединяются с сетью на регулярной основе. Если пользователи не обучены освобождать свои IP-адреса при выходе из сети, они могут получать несколько адресов, требуя тем самым большего пространства адресов, чем необходимо.
Когда создается контроллер домена, служба сервера оптимизирована для совместного использования файлов и принтеров. Это хорошо для серверов файлов и печати, но создает не оптимальную производительность для серверов регистрации. Чтобы изменить это, обратимся к сетевому апплету в панели управления (или сделаем щелчок правой кнопкой мыши по пиктограмме сети на рабочем столе), выберем сервер из закладок служб и щелкнем мышью по свойствам. Как можно видеть на рис, мы хотим выбрать максимальную производительность для сетевых приложений. Затем нажмем ОК. Примечание. Необходимо перезагрузить машину, чтобы получить какой-то эффект. Делая такие изменения, контроллер домена может утроить число одновременных регистрации — от шести до почти 20 регистрации в секунду.
Размещение сервера регистрации Когда речь идет о регистрации, чем ближе пользователь находится к контроллеру домена, тем лучше. Когда имеется удаленный сайт, не обязательно бездумно помещать BDC на другой стороне медленного соединения и надеяться на лучшее. Существуют также и другие ситуации. Должно быть рассмотрено влияние трафика WAN в связи с синхронизацией служб каталогов. В дополнение к этому, что произойдет, если линия WAN будет выключена, и службы каталогов устареют? Это только часть вопросов, которые должны быть рассмотрены до реализации. Дополнительно, скорее всего, понадобится реализовать WINS и DHCP и сконфигурировать для них репликацию, чтобы сократить этот вид трафика. Мы поговорим об этом в следующей главе, а сейчас, вероятно, лучше всего поместить BDC на другой стороне медленного соединения WAN, но это должна быть хорошо продуманная реализация.
Я ненавижу просмотр. Как правило, это долгий и утомительный процесс, а если и есть на свете что-то еще более отвратительное, чем неправильно работающий компьютер, то это медленный компьютер. Несколько часов сидеть и наблюдать за тем, как на экране вспыхивают цифры... волей-неволей задумаешься о том, можно ли как-то рационализировать этот процесс.
Если просмотр не оптимизирован, то программа просмотра создает дополнительный трафик всякий раз, когда кто-то регистрируется в сети.
Инструмент управления монитором непрерывно следит в сети за предопределенными событиями. Эти события перечислены ниже:
• Монитор перенаправления ICMP создает событие, когда маршрутизатор в сети перенаправляет кадры.
• Монитор маршрутизатора IP создает событие, когда маршрутизатор в сети отказывает.
• Монитор IPRange создает событие, когда кадр имеет адрес источника, который находится вне диапазона адресов, заданных администратором как допустимые для определенной сети.
• Монитор маршрутизатора IPX создает событие, когда в сети отказывает маршрутизатор IPX.
• Мониторы DHCP и WINS создают событие, когда в сети будет обнаружен работающий недопустимый или неавторизованный сервер DHCP или сервер WINS.
• Монитор SynAttack наблюдает за сигналами SynAttack в сети. Эта атака будет создавать большое число не отвечающих соединений на сетевом сервере, что в свою очередь поглощает большой объем ресурсов. Подобно пиявкам, synattack будут высасывать жизнь из сервера. Это атака отказа в обслуживании, и монитор SynAttack знает, как следить за характеристиками, которые указывают, что происходит атака этого типа.
• Монитор безопасности обнаруживает неавторизованные экземпляры сетевого монитора, выполняющиеся в сети.
Когда утилита управления монитором используется для конфигурирования и активации определенного монитора локально или удаленно, монитор проверяет кадры, проходящие мимо машины, так как он ищет определенное свойство, связанное с событием, которое он ищет. Когда маршрутизатор прекращает работу, он больше не объявляет себя в сети. Инструмент управления монитором может заметить отсутствие этих объявлений монитора в течение определенного периода времени. Тогда он создаст событие и откроет инструмент сетевого монитора в окне просмотра событий.
Чтобы использовать монитор, должна выполняться служба управления монитором. Она устанавливается при установке Network Monitor 2, но служба монитора по умолчанию задана для управления вручную. Помимо мониторов, которые поставляются вместе с Network Monitor 2, можно использовать заказные мониторы или мониторы независимых поставщиков, чтобы еще больше расширить функциональность продукта. Нельзя выполнить утилиту управления монитором на любой системе, которая не удовлетворяет требованиям выполнения приложения Network Monitor 2. Кроме того, он требует административных прав на компьютере, выполняющем утилиту управления монитором. Чтобы использовать службу событий, требуется WBEM (управление предприятием на основе Windows), и вы получите это приглашение, запустив утилиту управления монитором на компьютере, который не имеет установленной WBEM. Windows 2000 имеет WBEM по умолчанию, и на машине Windows NT 4.0 вы получаете WBEM, когда устанавливаете административные инструменты SMS 2.0. Можно запустить утилиту из ММС, щелкая правой кнопкой мыши по сетевому монитору и выбирая запуск утилиты управления сетевого монитора, или можно создать ссылку на mcsui.exe (что легче и быстрее). Кроме того, добавив
Нежелательно выполнять утилиту управления монитором на той же машине, которая выполняет первичный сайт SMS, лучше (в связи с требованиями ресурсов) настроить отдельную машину для выполнения мониторинга. Затем можно будет использовать эту машину для мониторинга нескольких удаленных компьютеров, а также для выполнения необслуживаемых трассировок сетевого монитора и триггеров. По сути он станет сетевым управляющим компьютером.
Посмотрим, как можно сконфигурировать монитор для сигнализации о том, что один из маршрутизаторов отключился. На рис. установленные мониторы перечислены в левой панели вывода. Включенные мониторы перечислены в правой панели вывода. Включите монитор, выбрав его из левого списка и нажимая кнопку Enable. Затем утилита управления сетевым монитором предложит сконфигурировать включенный монитор. Если вам не нужно конфигурировать монитор в это время, в ответ нажмите по (нет). Не сконфигурированный монитор будет показан как включенный в правой панели. Если двинуться дальше и сконфигурировать монитор, то появится экран, изображенный на рис. Чтобы проследить за определенным маршрутизатором, надо ввести IP-адрес в поле слева на экране и выбрать число секунд, после которых маршрутизатор считается отключенным, помещая это значение в поле внизу слева на экране. После этого нажмите кнопку Set monitor configuration (Задать конфигурацию монитора) в нижней правой стороне экрана
