Ricerca guasti e monitoring delle Switched LAN

Transcript

Aprile 2005
Ricerca guasti e monitoring delle
Switched LAN
Pietro Nicoletti
www.studioreti.it
Switchedlan-Trouble- 1
© P. Nicoletti: si veda nota a pag. 2
Aprile 2005
Nota di Copyright
Questo insieme di trasparenze (detto nel seguito slides) è protetto dalle leggi sul
copyright e dalle disposizioni dei trattati internazionali. Il titolo ed i copyright relativi alle
slides (ivi inclusi, ma non limitatamente, ogni immagine, fotografia, animazione, video,
audio, musica e testo) sono di proprietà degli autori indicati a pag. 1.
Le slides possono essere riprodotte ed utilizzate liberamente dagli istituti di ricerca,
scolastici ed universitari afferenti al Ministero della Pubblica Istruzione e al Ministero
dell’Università e Ricerca Scientifica e Tecnologica, per scopi istituzionali, non a fine di
lucro. In tal caso non è richiesta alcuna autorizzazione.
Ogni altra utilizzazione o riproduzione (ivi incluse, ma non limitatamente, le riproduzioni
su supporti magnetici, su reti di calcolatori e stampate) in toto o in parte è vietata, se
non esplicitamente autorizzata per iscritto, a priori, da parte degli autori.
L’informazione contenuta in queste slides è ritenuta essere accurata alla data della
pubblicazione. Essa è fornita per scopi meramente didattici e non per essere utilizzata in
progetti di impianti, prodotti, reti, ecc. In ogni caso essa è soggetta a cambiamenti senza
preavviso. Gli autori non assumono alcuna responsabilità per il contenuto di queste slides
(ivi incluse, ma non limitatamente, la correttezza, completezza, applicabilità,
aggiornamento dell’informazione).
In ogni caso non può essere dichiarata conformità all’informazione contenuta in queste
slides.
In ogni caso questa nota di copyright non deve mai essere rimossa e deve essere
riportata anche in utilizzi parziali.
Aprile 2005
Cattura dei pacchetti su reti Shared e
Switched
Nelli reti Shared l’analizzatore può catturare tutti i
pacchetti che transitano in rete
L’analizzatore connesso sulla porta di uno Switch
cattura solo i pacchetti Broadcast e Multicast o i
pacchetti Singlecast che vengono inviati su tutte le
porte per effetto di una funzione di Flooding dello
Switch
Per
catturare i pacchetti che transitano su una porta è
necessario utilizzare le funzioni di Mirroring
Aprile 2005
Errori su rete shared
Se ci sono dei pacchetti errati a livello fisico/MAC (CRC,
Aligment) l’analizzatore è in grado di catturarli e
decodificarli
Per trovare la causa o le cause di errori su una rete
dove vengono corrotti anche gli indirizzi MAC SSAP è
necessario delimitare la zona interessata
A
fronte del rilevamento di un problema si suddivide
inizialmente la rete in due parti, inserendo uno switch
store & forward;
identificata la macro zona in cui sono presentano gli
errori, la si segmenta a successivi passi con lo switch fino
ad identificare l’apparato o gli apparati guasti
Aprile 2005
Errori su rete switched
Lo switch store & forward non inoltra i pacchetti errati
se
un apparato trasmette dei pacchetti errati (CRC,
Alignment), questi non arrivano a destinazione
il livello 4 della macchina ricevente, nel caso TCP, richiede
diverse ritrasmissioni dei pacchetti persi
analizzando l’indirizzo della macchina a cui vengono
richieste molteplici ritrasmissioni si può risalire alla sua
connessione con lo switch
Aprile 2005
Analisi errori su rete switched
L’analizzatore di rete può essere inserito sulla mirror
port dello switch
si
effettua, verso questa, la copia dei pacchetti ricevuti
e/o trasmessi dalla porta dello switch che si vuole
analizzare
Se gli errori sono a livello fisico/MAC tipicamente lo switch
li filtra e non li inoltra sulla porta mirror
Si può inserire un repeater a 10 o 100 Mb/s tra lo
switch e la macchina per collegare l’analizzatore di rete
e poter analizzare gli errori di livello fisico/MAC
la
porta dello switch e la macchina ad essa connessa
devono essere impostate in half-duplex!!!
Aprile 2005
Analisi errori su rete switched
Mirror port
L
An AN
aly
ze r
R
L
An AN
aly
ze r
Aprile 2005
Funzioni di port mirroring
Su alcuni switch la funzione di mirroring della porta è
molto elementare e si limita alla copia dei pacchetti
dalla porta sotto testing alla porta di monitor o mirror
dove viene inserito il LAN-Analyzer o lo strumento di
Monitoring
Lan Analyzer
o
Network Probe
Mirror/Monitor Port
Switch
High Capacity
Switch Fabric
Aprile 2005
Quali funzioni dovrebbe prevedere il port
mirroring
Copia dei pacchetti:
ingresso sulla porta IN
In uscita dalla porta OUT
In transito sulla porta nelle due direzioni IN/OUT
Selezionabile per VLAN
Consentita sia da porte ACCESS, sia da porte TRUNK
In
Invio dei pacchetti sulla porta Mirror/Monitor
provenienti da porte Trunk in modalità incapsulata
802.1q o decapsulata 802.1q
Questa
funzione è meno importante delle precedenti
perché ormai la gran parte dei LAN Analyzer sono in
grado di decodificare i pacchetti con l’incapsulamento
802.1q
Aprile 2005
La scelta dei prodotti di switching
Questa scelta non si può limitare semplicemente alle
caratteristiche di:
Numero
e tipo di porte disponibili
Prestazioni
Dimensionamento dei buffer
Costi
Ma …
Deve anche considerare le funzioni di Mirror/Monitor
che offre lo switch!!!
Funzioni
limitate di Mirroring possono impattare
negativamente sul Monitoring della rete e sulla ricerca
guasti
Aprile 2005
Esempio di comandi per abiltare il
mirroring sugli Switch Extreme Networks
Porta da cui copiare i dati 7:8, porta dove si collega il
LAN Analyzer 7:1
Switch# configure mirroring add port 7 : 8
Switch# enable mirroring to port 7 : 1
Switch# configure vlan “Prova1" add ports 7 : 1 tagged
In alternativa si può usare l’opzione untagged
Switch# show mirroring
Mirror port: 7:1 is up
port number 7:8 in all vlans
Le VLAN configurate sono: Prova1, Prova2, Prova3
Aprile 2005
Comandi per abiltare il mirroring sugli
Switch Cisco
monitor session session_number source {interface
interface-id | vlan vlan-id} [, | -] [both | rx | tx]
Crea
una sessione di monitoring che ha come porta o
VLAN sorgente quella specificata
monitor session session_number destination
{interface interface-id [encapsulation {dot1q | isl}]
La
sessione ha come destinazione di mirroring la porta
indicata dove va connesso il LAN Analyzer
monitor session session_number filter vlan vlan-id
[, | -]
Permette
di filtrare delle VLAN
show monitor [session session_number]
Visualizza
le caratteristiche della sessione di mirroring
Aprile 2005
Cosa è necessario per monitorare la
rete e ricercare le cause di un
problema?
Aprile 2005
Prodotti di Management o Monitoring?
I prodotti di management hanno come obiettivo
principale tenere sotto controllo lo stato di
funzionamento degli apparati in un’ottica di gestione
globale della rete
Possono
interrogare ciclicamente gli apparati di rete
Possono ricevere dagli apparati di rete informazioni su
eventi o cambiamenti di stato in modalità asincrona
Forniscono delle informazioni di stato degli apparati di
rete visualizzando gli eventuali allarmi su una mappa
grafica della rete
Per operare devono interagire con gli apparati di rete
attraverso il protocollo SNMP e facendo uso delle MIB
specifiche degli apparati
Aprile 2005
Prodotti di Management o Monitoring?
I prodotti di monitoring hanno come obiettivo principale
tenere sotto controllo il traffico della rete e le sue
caratteristiche
Se
si installano dei Probe nei punti della rete di cui si
vogliono conoscere i dati del traffico questi non hanno
bisogno di interagire con gli apparati di rete attraverso il
protocollo SNMP
Operano su un database e possono fornire indicazioni di
tipo statistico o percentuale sull’entità e la tipologia del
traffico, possono fornire delle informazioni sulle
caratteristiche del traffico e la ridistribuzione per protocolli
Possono tenere dei dati storici sul traffico rilevato che
possono essere salvati e visuallizzati in un tempo
successivo
Aprile 2005
Che cos’è il probe
Il probe è un apparato che viene inserito nella rete che
raccoglie dei dati e li può inviare ad una stazione che si
occupa, a sua volta, di visualizzarli ed eventualmente
decodificarli
Può
fare da sonda remota ad un analizzatore di protocollo
Può fare da sonda remota ad un apparato o software di
monitoring del traffico di rete
A seconda delle funzioni che deve svolgere come sonda
remota fornisce alla stazione di monitoring o di analisi
di protocollo informazioni differenti:
Dati
relativi a vari tipi di contatori di: pacchetti, protocolli,
flussi di traffico
Dati statistici
Invio di pacchetti catturati
Aprile 2005
Il monitoring della rete
A cosa serve?
A
tenere sotto controllo il traffico di rete e la sua tipologia
in termini di:
Misura mediata del traffico (average)
Misura dei picchi di traffico
Ridistribuzione del traffico per: stazioni, protocolli, porte,
applicativi di rete
E’
una base dati che serve a stabilire le condizioni di
norma e gli scostamenti o gli eventi
E’ utile nel primo livello di indagine e serve per esempio a
stabilire su quale trunk o porta bisogna concentrare
l’attenzione e raccogliere dati più dettagliati per risolvere
un potenziale problema
Aprile 2005
Quali azioni può scatenare il rilevamento di
uno scostamento sul traffico di rete?
Un maggior approfondimento su un particolare
protocollo da effettuare con il LAN Analyzer
Un maggior approfondimento sul traffico tra stazioni:
coppia
di stazioni
verso e da un stazione che comunica con varie stazioni
Un’indagine su un protocollo inaspettato in rete
Un’indagine sulle ragioni di un aumento inaspettato del
traffico su un porta
Causata
per esempio da programmi “Cavalli di Troia” o
Spyware
Causata da attacchi di Hacker
Causata dal cattivo funzionamento di apparati di rete
Aprile 2005
Quali azioni può scatenare il rilevamento di
uno scostamento sul traffico di rete?
Un riesame della caratteristiche dello Switch sulla base
dell’entità di traffico rilevato
Particolarmente
importante è il traffico di picco e la sua
durata che potrebbe avere un impatto notevole sulla
dimensione dei Buffer
Un entità di traffico non sostenibile dalla porta dello switch
potrebbe comportare una perdita eccessiva di pacchetti e
ha un impatto diretto con le prestazioni di rete percepite
dall’utente
Aprile 2005
Misura del traffico
Le misure si basano sul conteggio dei bit, byte o
pacchetti rilevati nell’intervallo di tempo t0 – t1, ovvero
nell’intervallo di tempo di campionamento.
Per
avere una misura precisa del traffico in ogni istante
bisogna usare un tempo di campionamento pari all’unità
di misura nella quale vengono espressi i valori di traffico
ovvero il secondo
bit/s, Kb/s, Mb/s, Gb/s, byte/s, KB/s, MB/s, packet/s (pps)
Un grafico preciso del profilo di traffico si costruisce per
punti dove ognuno di questi è un campionamento del
traffico nell’intervallo di tempo di 1 secondo
Aprile 2005
Misura del traffico: valori di picco (peak) e
mediati (average)
Per valore di picco si intende il valore massimo rilevato
in una determinata finestra temporale
Nell’apparato
di monitoring si può impostare una funzione
che visualizzi tutti i picchi di traffico che superano una
certa soglia impostata
Per valore mediato o average s’intende il numero di bit,
byte o pacchetti rilevati in un tempo di campionamento
più ampio dell’unità di tempo
Aprile 2005
Valori di carico di traffico (Network Load)
Servono ad indicare il carico del traffico
Le unità di misure tipiche sono bit/s, Kb/s. Mb/s, Gb/s
Per avere dei dati attendibili è necessario che il profilo
di traffico venga costruito per punti
ognuno
di questi è un campionamento del traffico
nell’intervallo di tempo di 1 secondo
I picchi di traffico e la loro durata ci possono aiutare a
stabilire se le caratteristiche dello switch sono adeguate
Aprile 2005
Guardiamo alcuni prodotti di monitoring
NTOP
Prodotto
sviluppato da Luca Deri disponibile su due
piattaforme: Fre BSD, Windows
Fluke OptiView Console
Prodotto
che va installato su un Server Windows: NT,
2000 o 2003
Observer Suite della Network Instruments
Prodotto
installabile su PC Windows
Aprile 2005
NTOP
Caratteristiche principali:
Effettua
un monitoring continuo sulla rete e può produrre
vari tipi di report e statistiche
Opera a seconda delle 2 piattaforme su:
Sun Solaris, Ms Windows, Linux, *BSD, and MacOS X.
Ha
un server HTTP/HTTPS integrato, operante di default
sulla porta 3000, che mette a disposizione i report su
pagine WEB consultabili da qualunque PC in rete
Si appoggia a NetView (Cisco) raccogliere i dati da varie
sonde remote in una rete geografica e convogliarli verso
un collettore centrale che raccoglie i vari dati e produce
dei report con interfaccia WEB
Aprile 2005
NTOP
Caratteristiche principali:
Le
sonde (Probe) possono essere costituite da diversi
nBox inseriti su diverse porte mirror degli switch
nBox è un appliance costituita da un PC di modeste
dimensioni fisiche con Kernel Linux ottimizzato e software
NTOP che raccoglie il traffico da una porta Ethernet
10/100/1000. E’ in grado di operare correttamente su flussi
Gigabit Ethernet senza perdere dati
Aprile 2005
Tipi di
report
che
fornisce
NTOP
Aprile 2005
Tipi di
report
che
fornisce
NTOP
Aprile 2005
Tipi di
report
che
fornisce
NTOP
Aprile 2005
Tipi di
report
che
fornisce
NTOP
Aprile 2005
Tipi di
report
che
fornisce
NTOP
Aprile 2005
Tipi di report
che fornisce
NTOP
192.168.18.1
192.168.18.120
192.168.18.120
Tipi di report
che fornisce
NTOP
Aprile 2005
192.168.18.1
192.168.18.120
Aprile 2005
Tipi di report
che fornisce
NTOP
192.168.18.1
192.168.18.1
Tipi di report
che fornisce
NTOP
Aprile 2005
192.168.18.1
192.168.18.120
Tipi di report
che fornisce
NTOP
Aprile 2005
Aprile 2005
Fluke OptiView Console (OVC)
Caratteristiche principali
Interroga
gli apparati di rete attraverso il protocollo
SNMP, per questa ragione il PC su quale è caricato OVC in
una rete switched deve stare sulla VLAN di management
(tipicamente la VLAN 1)
Gli apparati di rete devono avere la funzione SNMP abilitata
Può
tenere dati storici fino a 1 settimana
Permette di visualizzare dati e statistiche a posteriori
Permette di effettuare degli zoom temporali per meglio
visualizzare il profilo di traffico
Bisogna definire quali e quante porte di uno switch
vengono monitorizzate da OVC
Aprile 2005
Requisiti minimi OptiView Console
Non è
importante
il prodotto
funziona
anche se il
sistema
operativo è
in italiano.
Aprile 2005
Requisiti
minimi
OptiView
Console
Oppure
Windows XP
Professional
Aprile 2005
Tipi di report che fornisce OptiView
Console
(MAC 00000C-103051)
Aprile 2005
Tipi di report che fornisce
OptiView Console
Aprile 2005
OptiView Console
Aprile 2005
OptiView Console
Aprile 2005
OptiView Console
Aprile 2005
OptiView Console
Aprile 2005
Observer Suite della Network Instruments
Opera su sistemi Windows
E’ un ibrido che include funzioni di:
Monitoring
LAN-Analyzer
Funzioni
elementari di sistema di gestione
Aprile 2005
Tipi di report
che fornisce
Observer
Suite
Aprile 2005
Network Protocol Distribution
Tipi di report
che fornisce
Observer
Suite
Aprile 2005
Network IP subprotocol distribution
Tipi di report
che fornisce
Observer
Suite
Aprile 2005
Network IP group protocol distribution
Tipi di report
che fornisce
Observer
Suite
Aprile 2005
Tipi di report
che fornisce
Observer
Suite

Ricerca guasti e monitoring delle Switched LAN

Transcript

Documenti analoghi

8 settembre 2010 Il Gazzettino di Treviso

questionario di soddisfazione dei clienti

Catalogo per - creato il 13-08-2016 Viglietta Guido

Gennaio 2006 - Fondazione Marazza

Bosco e Territorio

LA gOSTRUZlÒNE LINGUISTICA DELLA COMUNICAZIONE

CLUB ROMA NORD OVEST GIANLUCA NICOLETTI

GIANLUCA NICOLETTI Alla fine qualcosa ci inventeremo

Il Messaggero - La Medicina Estetica.it

Il Quotidiano di Cosenza - Servizio di conciliazione delle Camere di