Issuu on Google+

Miért használjunk hardveralapú protokoll analizátort?

Áttekintés A szoftver alapú protokoll analízis csak korlátozott képességekkel rendelkezik ahhoz, hogy feldolgozza a hálózati forgalmat. Ennek ellenére ezt tekintik a legmegfelelőbb és sokoldalú megoldásnak. Érdemes átgondolni, hogy mik is azok a kötöttségek és korlátozások, amik ezeket a megoldásokat jellemzik. Csak gondoljunk arra, hogy a nagy teljesítmény igények kiszolgálására legtöbbször integrált megoldásokat fejlesztenek a gyártók. A protokoll analízis kártyák, amik hardveralapú megoldást jelentenek, a TAP-ek alkalmazásával képesek robusztus teljesítményre. A szoftveralapú analizátorokat általános hardver architektúrákon használják kommersz hálózati kártyákkal (NIC - Network Interface Card), amelyek limitált képességgel rendelkeznek, egy bizonyos határon felül már nem képesek azt a teljesítményt nyújtani, ami elvárt ezen a területen. Továbbá nincs meg az a fontos tulajdonságuk, hogy a tárolt adategységeket megfelelő és pontos időbélyeggel lássák el azért, hogy a probléma felderítése időben és térben hatékony lehessen. A Fluke Networks protokoll analizátor megoldásai rendelkeznek ezekkel a tulajdonságokkal, továbbá megvan bennük az a képesség is, hogy összefogják a több szegmensről származó forgalmat és megjelenítsék azt valós időben egy jól áttekinthető grafikus interfészen. A Network Time Machine™ a beépített ClearSight Analyzer™ szoftver modullal egyszerre akár négy különálló szegmens forgalmát képes begyűjteni, majd feldolgozni és megjeleníteni egy un. létra diagramban, ahol jól követhetők az egyes tranzakciók a hardver alapú időbélyegek alkalmazásának köszönhetően. A nagyfelbontású (<20ns) időbélyegek felhasználásának másik nagy előnye, hogy kimutatható a hálózati forgalomban bekövetkezett késleltetés és annak pontos helye. Választ kaphatunk arra az alapvető és sokszor visszatérő kérdésre. Hol a hiba: hálózat, alkalmazás, szerver, kliens?

1. ábra

Liszkai János  •  Miért használjunk hardveralapú protokoll analizátort?

1


Miért éppen hardver alapú protokoll analizátor? A csak szoftveres protokoll analizátorok sok hasznos képességgel rendelkeznek, vannak köztük ingyenesen letölthető vagy olcsón elérhető megoldások. Jellemzően nem mindig támogatják az rendelkezésre álló hardvert (hálózati kártyát). Talán a legfontosabb indok, ami a hardveres megoldásokat helyezi előtérbe, hogy a szoftveres megoldások csak korlátozott teljesítménnyel képesek a monitor portokon megjelenő forgalom feldolgozására, illetve a hardveres tükrözés alkalmazása (TAP – Test Access Point) nagyobb teljesítményre képes igény szerint akár full-duplex üzemmódban. Két hálózati eszköz (hoszt-switch, router-switch, routerrouter) között manapság legtöbbször full-duplex kapcsolatokról beszélhetünk. Ebben az esetben az adatok küldése és fogadása egyszerre történik (2. ábra). Mivel az adott médián mindkét irányban lehet forgalom maximális sebességgel a link sebessége marketing értelemben kétszer olyan gyors. Például egy Fast Ethernet kapcsolat egy irányban 100 Mbps sebességre képes, tehát a full-duplex link 200 Mbps teljesítményre képes. Egy Gigabit Ethernet link pedig 2Gbps teljesítményű. Ezzel szemben egy half-duplex link egyszerre csak egy irányban forgalmaz, ami azt jelenti, hogy a link sebessége a médiára jellemző, mint pl.: 100 Mbps vagy 1 Gbps. A port tükrözés (SPAN – Switched Port Analyzer) két metódust használ átmásolni a hálózati forgalmat a kitüntetett monitor portra. Az első metódus csak az egyik csatornát használja a full-duplex linken a switch és az analizátor között (3. ábra). A második metódus fél-duplex linket használ, ahol a switch oldali rész lekapcsolt állapotban van. Ennek oka, hogy ne alakuljon ki L2 vagy L3 hurok a hálózatban, továbbá megakadályozza a forgalom újraküldését. Tekintsünk egy full-duplex linket, ahol a pillanatnyi kihasználtság a sávszélesség 75%-a. Fast Ethernet kapcsolatnál az aggregált forgalom 150 Mbps, míg Gigabit Ethernet esetében 1500 Mbps. Ha a link forgalmát tükrözzük egy protokoll analizátor felé, akkor annak 1/3-a elveszhet a switch oldalon. Az elveszett adatok soha nem érnek el az analizátorig. Fast Ethernet esetében a veszteség 50 Mbps, míg Gigabit Ethernet esetében 500 Mbps lehet. Két dolog szükséges ahhoz, hogy elkerüljük a fenti példában említett veszteséget, ha a full-duplex link kihasználtsága 50% főlé nő: full-duplex TAP és full-duplex protokoll analizátor. Amikor a full-duplex protokoll analizátor egy TAP-hez kapcsolódik, a forgalom teljes egészében továbbításra kerül a protokoll analizátor felé (4. ábra). A legfontosabb különbség az analizátor full-duplex képessége és a hagyományos értelemben vett full-duplex link

2

2. ábra

3. ábra

4. ábra

EQUICOM Méréstechnikai Kft.  •  © 2011 Minden jog fenntartva  •  www.equicom.hu


között az, hogy az analizátor mindkét csatornán képes egyszerre adatot fogadni. Egy hagyományos hálózati kártya (NIC) erre nincs felkészítve, csak az egyik csatornát képes erre a célra használni.

Switch képességek Egy másik fontos indoka a hardveres protokoll analízis kártya alkalmazásának, hogy a port tükrözés extra CPU és memória kihasználtságot igényel. Alapvetően az várható el a switchtől, hogy a legjobb hatékonysággal továbbítsa a L2 forgalmat a szegmensei között. Ha a switch kihasználtsága túlságosan megemelkedik, a tükörport felé nem továbbít forgalmat, hiszen nem elsődleges prioritás. Ez téves riasztást eredményezhet a monitorozó rendszer oldaláról, ami a jitter növekedését (phantom-jitter) érzékeli az adategységek viszonylatában. Ez a probléma elkerülhető a TAP alkalmazásával.

MAC hibák A következő megfontolandó kérdés az előforduló MAC hibák kezelése. A szoftver alapú protokoll analizátorok csak korlátozott képességekkel rendelkeznek az ilyen hibák felismerésében. A legtöbb switch eldobja a hibás kereteket, mivel azok nem kívánatosak a hálózat számára, sőt annak teljesítményét rontják. A protokoll analízis szemszögéből viszont fontos jelentősége lehet ezeknek a kereteknek, mivel ronthatják a link minőségét és befolyásolhatják az azon futó alkalmazások teljesítő képességét. Még mindig előfordulhatnak a hálózatban olyan aktív eszközök, amelyek nem szűrik ki a hibás kereteket. Ebben az esetben nem érdemes szoftveres megoldáshoz folyamodni. Ha a switch monitor portja kiszűri ezeket a kereteket, az adategységek soha nem jutnak el az analizátorhoz. Ha a switch mégis átengedi, a szoftver alapú analizátor hálózati kártya meghajtó programjának kell kezelnie és analizálnia a hibás kereteket. Tehát, amikor szükségessé válik a MAC hibák vizsgálata, érdemes olyan megoldást választani, ami képes a hibás L2 kereteken full-duplex analízist végezni.

Liszkai János  •  Miért használjunk hardveralapú protokoll analizátort?

3


Teljesítmény A legfontosabb ok, ami indokolja a hardveralapú protokoll analízis kártya alkalmazását, a teljesítmény. Ha a link kihasználtsága túl magas, csak a célhardver képes megbirkózni a magas forgalommal. A hagyományos hálózati kártyák a klasszikus kliens szerver kapcsolatokra lettek tervezve, (böngészés, fájlok kezelése, levelezés, adatbázis szolgáltatások, stb.), és nem protokoll analízisre. Protokoll analízis során a hagyományos 10/100Mbps hálózati kártya már 20-30% hálózati kihasználtság környékén elkezdi eldobálni a kereteket. Gigabit esetén már 7-9% körül előfordulhat ez a jelenség. A link kihasználtsága időszakosan könnyen elérhet akár 70%-ot is, habár általában jóval alacsonyabb. Ezeket a teljesítmény tüskéket igen nehéz észrevenni. A hálózati monitorozó rendszerek a vizsgált paraméterek időbeli változását trend grafikonokon ábrázolják, amit mintavételezés előz meg. A mintavételezés gyakorisága fontos tényező ebben az esetben. Minél kisebb idő telik el két lekérdezés között, annál pontosabb kimutatást kapunk, hiszen a két szomszédos mért érték között ezek a rendszerek átlagolnak. Nézzünk egy példát. Egy Gigabit Ethernet link esetében a 64-1518 byte méretű keretek elküldésének időszükséglete 0,608-12,24 µs. Ennélfogva 1 másodperc alatt 81K-1,6M számú keret kerül továbbításra. Ezen mennyiség már elegendő ahhoz, hogy a link kihasználtság felugorjon 70%-ra, majd visszaessen az átlagos szintre. Ha a mintavételezés túl ritkán történik, a monitorozó rendszer nem fogja észrevenni a tüskét. Egy jellemző probléma az un. jabbering (informális jelentése: hibás eszköz folyamatosan korrupt adatokat küld; formálisan egy olyan állapot, ahol az állomás egy meghatározott ideig hosszabb adategységeket küld a megengedett méretnél). Alkalmazásával egy szolgáltatást végző eszköz (pl.: szerver) olyan állapotba kerülhet, amelyben nem képes ellátni feladatát vagy egy hálózati aggregációs link bedugulhat. Manapság elvárás, hogy a protokoll analizátor képes legyen felismerni és kezelni az ilyen hibákat akkor is, ha a magas kihasználtság akár rövid vagy hosszú ideig áll fent.

Időbélyeg A hardveralapú protokoll analizátor kártyák képesek időbélyeggel ellátni a kereteket az analízist vagy adategység tárolást megelőzően.

4

EQUICOM Méréstechnikai Kft.  •  © 2011 Minden jog fenntartva  •  www.equicom.hu


Az időbélyegek két módon „kerülhetnek rá” a keretekre. Vagy hardverből, vagy szoftveres úton. A hardveres megoldás esetében erre a célra fejlesztett protokoll analizátor kártya a belépő keretet azonnal felcímkézi nanoszekundumos pontossággal. A szoftveres időbélyeget a szoftveralapú protokoll analizátorok alkalmazzák. Mielőtt ez megtörténik, a keretnek át kell haladnia a kártyán és a meghajtó programnak fel kell dolgoznia. Csak ezután teheti rá maga az alkalmazás az időbélyeget. Ebben az esetben már csak mikroszekundumos pontosságról beszélhetünk, ami bizonyos ingadozást is szenvedhet. Ha a rendszer más feladatot is végez eközben, a késlekedés elérheti akár a néhányszor 10µs-ot. Ha vis�szaemlékszünk arra, hogy a keret küldési ideje Gigabit Ethernet esetében szokványos keretméretek esetén 0,60812,24 µs között változik, akkor 20µs-os késlekedés alatt akár 30 keret küldése is megtörténhet. Ezeket a szoftveralapú protokoll analizátor nem tudja megfelelően feldolgozni. Ahogyan egy kis CPU teljesítménnyel rendelkező switch eredményezhet téves riasztást, úgy az időbélyegek nem várt ingadozása is okozhat ilyet.

Több hálózati szegmens vizsgálata valós időben Mivel a hálózati forgalom általában több szegmensen halad keresztül, ésszerű elvárás a protokoll analizátorokkal szemben, hogy képesek legyenek egyszerre vizsgálni az adatfolyamot a hálózat teljes keresztmetszetében. Általában azért alkalmazzuk a protokoll analizátorokat, hogy megtaláljuk a probléma gyökerét: kliens, szerver vagy infrastruktúra (router/switch). Például, amikor a kliens küld egy szabályos kérést a szervernek, de a szerver nem válaszol, vagy a válasz jelentős késleltetést szenved, a probléma okozója lehet a szerver. Hasonlóan, amikor a szerver küld egy szabályos kérést a kliens felé, de nem kap válasz, vagy túl magas válaszidővel érkezik, a probléma visszavezethető a kliensre. Ha a hálózat eldobálja a kereteket, vagy kimagasló késleltetéssel továbbítja az adategységeket, a probléma gyökere a hálózati aktív eszközökben, vagy azok összeköttetéseiben keresendő. Praktikus dolog, ha a tranzakciók és a hozzájuk tartózó késleltetés értékek jól áttekinthető módon jelennek meg az analizátor kezelői felületén (5.ábra). Ha a fenti érveket átgondoljuk, könnyen belátható, hogy a nagysebességű, nagy kiterjedéssel és kihasználtsággal rendelkező hálózatban ésszerű döntésnek látszik a hardveralapú protokoll analizátor használata.

5. ábra

Liszkai János  •  Miért használjunk hardveralapú protokoll analizátort?

5


Nézzük a következő példát. A felhasználó panaszkodik az alkalmazás lassúságára. Egy protokoll analizátor kapcsolódik arra a switchre, amin a felhasználó számítógépe van. Az analizátor grafikus felületén jól látszik, hogy a kliens kéréseire nem érkezik válasz az alkalmazás szerver felől (6. és 7. ábra). Ebből azt a következtetést lehet levonni, hogy két oka lehet a problémának: • az alkalmazás szerver nem válaszol a kérésekre • a hálózaton elveszik a kliens kérése, vagy a szerver válasza Ahhoz, hogy a probléma pontosan behatárolható legyen szükséges egy újabb analízis a szerver oldali switchen (8. és 9. ábra). Ha ezen a ponton is tapasztalható a válaszüzenetek hiánya a kliens felől, akkor a szolgáltatói hálózatban lehet a hiba. Ha a protokoll analizátor képes egyszerre több szegmens vizsgálatára, akkor egy méréssel kimutathatóvá válik a probléma (10. és 11. ábra). Az ábrán látható, hogy minden üzenetváltás jól beazonosítható, továbbá mindegyikhez tartozik egy Delta és egy Relative Time. A Delta Time megmutatja a két szomszédos keret közötti késleltetést, míg a Relative Time a kapcsolat kezdete óta eltelt időt jelenti. A Delta Time érték mellett a késleltetést színes oszlop is jelöli. A szín egyben utal arra, hogy a késleltetés nagysága elfogadható, vagy meghaladja a küszöbértéket.

6. ábra

7. ábra

8. ábra

Több hálózati szegmens utólagos vizsgálata Mivel a problémák túlnyomó többsége túlmutat a helyi hálózatok (LAN szegmensek) kérdéskörén, elvárható képesség egy protokoll analizátortól, hogy támogassa több capture fájl összefűzését egy közös fájlba és annak utólagos analízisét. Mikor alkalmazzák ezt a megoldást? Előfordulhat, hogy egyszerre kell adatforgalmat vizsgálni a hálózat több pontján, de ezt több protokoll analizátorral végzik (12.ábra). Minden mérés végeredménye egy-egy capture fájl. A hatékony problémamegoldás ebben az esetben az un. utólagos analízis a capture fájlok segítségével. A vizsgálat értékelhető eredményre csak akkor vezet, ha ezeket a fájlokat a protokoll analizátor képes egyben kezelni, kvázi mintha egy eszközzel mértünk volna a hálózat több pontján. Az összefűzött capture fájok segítségével hatékony hibafelderítés végezhető az olyan hálózatokban, ahol a NAT (Network Address Translation) használata miatt a publikus és privát IP forgalom is megjelenik. A capture fájlok összefűzése csak akkor történhet meg megfelelő módon, ha az időbélyegek helyesen kerültek rá a keretekre. Ezt csak a hardveres protokoll analizátor

6

9. ábra

10. ábra

11. ábra

EQUICOM Méréstechnikai Kft.  •  © 2011 Minden jog fenntartva  •  www.equicom.hu


kártyák képesek megoldani, hiszen azok felbontóképessége 20 ns vagy az alatti (13. ábra).

Összefoglalás A protokoll analizátor kártyák segítségével elkerülhetők azok a limitációk, amik a szoftveres megoldásokat jellemzik: • a full-duplex analízis hiánya • a port tükrözés problémák (keretvesztés kritikus időben, teljesítmény romlásból adódó késleltetés, hálózati eszköz újraindulás memória probléma miatt, hibás keretek eldobása, stb.) • a szoftveres megoldást futtató számítógép korlátozott teljesítménye • hardveres időbélyeg alkalmazásának hiánya • capture fájlok összefűzhetőségének hiánya az időbélyegek pontatlansága miatt A Fluke Networks protokoll analizátor kártyákat használ a Network Time Machine™ és az Optiview® XG megoldásaiban. A ClearSight Analyzer™ integráltan megtalálható mindkettőben. Segítségükkel lehetővé válik a több szegmensből álló hálózatok protokoll analízise, alkalmazások teljesítőképességének vizsgálata és a problémák felderítése akár valós időben (14. ábra).

12. ábra

13. ábra

Kérjük kérdéseivel, észrevételeivel forduljon bizalommal munkatársainkhoz. www.equicom.hu 14. ábra

EQUICOM Méréstechnikai Kft. © 2011 Minden jog fenntartva Jelen kiadvány a jogtulajdonos írásos engedélye nélkül sem részben, sem egészben nem másolható, sem elektronikus, sem mechanikus eljárással, beleértve a fénymásolást, számítógépes rögzítést is.

Liszkai János  •  Miért használjunk hardveralapú protokoll analizátort?

7


HÍReq - 2011/15 Miért használjunk hardveralapú protokoll analizátort?