Metódy pre monitorovanie sieťovej prevádzky

V priebehu niekoľkých rokov sa počet vytvorených sietí, prepojov medzi používateľmi niekoľko násobne zvýšil. Tento enormný nárast je zapríčinený rozmachom celosvetovej siete ( internetu ), rýchlo napredujúcim vývojom technických zariadení, objavovaním nových možností v rámci prenosu digitálnych informácií.

Tieto javy boli podnetom pre zameranie sa na kontrolu, vylepšenie a zbieranie informácií o sieťovej prevádzke. Monitorovanie sieťovej prevádzky ( network monitoring ) sa stalo súčasťou spravovania sietí (network management ).

Spravovanie sietí zahŕňa pasívne a aktívne meranie, monitorovanie sieťových zdrojov za účelom opravy nežiadúceho stavu siete ( troubleshooting ), detekcie potenciálnych problémov, vylepšenia fungovania siete, vytvorenia dokumentácie popisujúcej stav a hlavné prvky siete.

Pasívne meranie

Pojem pasívne meranie označuje sledovanie činnosti a správania sa toku paketov prostredníctvom monitorovania trafficu bez jeho modifikácie, resp. navyšovania jeho hodnoty práve týmto monitorovaním. Meranie je uskutočňované sieťovými zariadeniami ( routre, switche ), ktoré vo svojej konfigurácii zahŕňajú prídavnú implementáciu na realizáciu meraní. Tieto implementácie rôznych meracích nástrojov umožňujú identifikovanie a nahrávanie meraných charakteristík toku paketov, ktorý cez nich pretečie. Získané informácie sú následne zozbierané bez akéhokoľvek ovplyvňovania trafficu.

Pasívne meranie slúži na získanie rôznych typov informácií, hlavne poznatkov o :

• rýchlosti doručovania paketov
• paket timing - u
• trafficu

Pri pasívnom meraní sa využívajú protokoly, ktorých vlastnosti a možnosti umožňujú zber informácií potrebných pre zhodnotenie výsledku. Medzi tieto protokoly patria:

• IPFIX
• SNMP
• RMON
• CMIP

Na týchto protokoloch sú založené meracie nástroje, bežne používané pre meranie a monitorovanie stavu siete.

Aktívne meranie

Aktívny prístup k meraniu sa zakladá na schopnosti vloženia testovacích paketov do toku v sieti, ktorej stav chceme monitorovať. Tento počin však môže viesť k zvýšeniu trafficu, čo je pre meranie neprípustné a nevyhovujúce => správnosť merania nie je zaručená. Aktívne meranie slúži na získanie informácii ohľadom:

• paket delay
• paket loss
• paket jitter
• routes
• bandwidth - u, throughput - u

Bežne používané nástroje, ako je ping, ktorý meria oneskorenie a stratu paketov, a traceroute, ktorý pomáha určiť topológiu siete, sú príkladmi základných nástrojov aktívneho merania. Oba posielajú ICMP pakety (probes) určenému hostovi a čakajú, kedy host pošle reakciu naspäť odosielateľovi.

Existuje niekoľko projektov, ktoré sa zaoberajú aktívnym meraním. Medzi tieto projekty patria:NIMI, Surveyor,AMP, Skitter str.23.

Porovnanie jednotlivých projektov: http://www.slac.stanford.edu/comp/net/wan-mon/iepm-cf.html

Kombinačné meranie

Po prečítaní vyššie uvedených častí sa dá bezpečne dôjsť k záveru, že kombinácia aktívneho a pasívneho merania je najlepším možným výsledkom. Kombinačná technika, využíva tie najlepšie aspekty pasívneho i aktívneho monitorovania prostredia. Príkladom takéhoto druhu merania sú dva nižšie uvedené projekty :

1. Watching Resources from the Edge of the Network (WREN)
2. Self Configuring Network Monitor (SCNM)

Praktická aplikácia aktívneho a pasívneho merania.

SNMP

Simple Network Management Protocol (SNMP) je štandardizovaný protokol pre správu zariadení v IP sieťach. Medzi zariadenia, ktoré obvykle podporujú SNMP patria routre, switche, servery, pracovné stanice, tlačiarne, modemy a ďalšie. Používa sa najmä v sieťovo riadených systémoch na monitorovanie sieťových zariadení, ktoré si vyžadujú pozornosť správcu.

Siete, na ktorých beží SNMP pozostávajú z troch komponentov:

1. Management station Stanica s ľuďmi či spracovateľským programom (pre vyhodnocovanie komunikácie).
2. Zariadenie (network component) Zariadenie, o ktorom chceme získavať informácie. Je spojené s agentom a komunikuje výhradne skrze neho. Medzi takéto zariadenia patria: router, access server, switch, bridge, hub, IP telefón, IP video kamera, tlačiarne.
3. Agent Väčšinou súčasť zariadenia - realizuje komunikáciu, čaká na dotazy, zasiela odpovede.

Forma komunikácie Komunikáciu si možno predstaviť ako client-server, kde servery sú Management station. SNMP je asynchrónny protokol typu požiadavka / odpoveď. SNMP je na rozdiel od Token Ringu, kde príjemca musí odpovedať skôr ako môže vysielacej stanice znovu posielať ďalšiu správu, menej rigidné. Tak vysielajúce zariadenia rozozná odpoveď len ak je vyslaná a prijatá späť. Slovo Simple pochádza z faktu, že protokol má len 5 funkcií: Komunikáciu v SNMP protokolu začína Management station pomocou nasledujúcich dotazov:

1. GET REQUEST - základné GET na princípe adresy zložené z OID
2. GETNEXT REQUEST - pre iteráciu cez záznamy
3. GET RESPONSE - ako odpoveď agenta
4. SET REQUEST - pre nastavovanie hodnôt
5. TRAP- agent iniciuje komunikáciu u TRAPu

Dáta sú obsiahnuté v MIB (Management Information Base). MIB je hierarchicky organizovaná kolekcia informácii s bezmenným koreňom a stromovou štruktúrou - SNMP Global Naming Tree. Každý uzol v tomto strome (okrem koreňa) obsahuje stručný textový popis a hodnotu integer. V najvyššej úrovni sú napríklad uzly 1-ISO (spravovaný organizáciou ISO) 0-CCIT (spravovaný orgarizaciou ITU-T) 2-JOINT-ISO-CCITT (spravovaný spoločne organizáciou ISO a ITU-T). Jednotlivým výrobcom sú nižšie v strome prideľované ich vlastné podstromy, v ktorých už naďalej nie sú obmedzení. MIB je adresovaný pomocou OID (object identifier). Každé OID je adresou premennej, ktorá môže byť čítaná či zapisované. MIB adresy (tvar OID) - jedná sa o čísla oddelené bodkovou notáciou. Príklad adresácia MIB stromu pomocou OID: MIB

Verzie SNMP

RMON

Protokol SNMP sme si popísali ako najrozšírenejší protokol pre správu počítačových sietí, ktorý používa architektúru manager - agent. SNMP agent môže ale poskytnúť len agregované hodnoty požadovaných štatistík (napr. počet paketov). Neposkytne nám žiadnu historickú analýzu dátových tokov, napr za posledný deň. Aby sme túto štatistiku a analýzy získali, musel by sa manager periodicky pýtať agenta v pravidelných intervaloch po celú dobu, ktorá nás zaujíma, čiže musel by vykonávať tzv polling.

Základnou ideou pri návrhu RMON bolo mať inteligentného agenta, ktorý je schopný čo najpodrobnejšieho monitorovania sieťového segmentu a uchovávania zozbieraných informácií. Získané informácie (aktuálne i historické dáta) z rôznych agentov možno potom prezentovať na centrálnej správcovskej konzole pri minimálnej komunikačnej záťaži a zároveň minimálnej výpočtovej záťaži konzoly.

Sieťový administrátor je pomocou distribuovaných RMON zariadení schopný vykonávať širokú škálu správcovských úloh z jedného miesta - bez nutnosti opustiť svoje kreslo v centrálnej správcovskej konzole.

Verzie RMON

CMIP

CMIP (Common Management Information Protocol) je model, ktorý definuje, ako vytvoriť spoločný systém riadenia siete. Kým SNMP definuje štandardy pre správu siete, CMIP je zložitejší. V skutočnosti, CMIP používajú iba niektorí poskytovatelia telekomunikačných služieb pre správu siete. V kontraste, SNMP je internetový protokol špeciálne pre siete TCP / IP, ktorý sa bežne používa v podnikových sieťach.

---

Network Traffic Anomalies Detection and Identification with Flow Monitoring

THE RESEARCH ON REAL-TIME ALARM ALGORITHM IN NETWORK TRAFFIC MONITORING SYSTEM