Testování podnikové sítě

S testováním sítě se mnozí nepářou, považují to za příliš drahé a časově náročné. Správci s omezeným počt...


S testováním sítě se mnozí nepářou, považují to za příliš drahé a časově
náročné. Správci s omezeným počtem zaměstnanců a rozpočtem se domnívají, že je
lepší starat se spíše o její každodenní údržbu. Nicméně s trochou vizí a
správnými nástroji mohou věnovat testování sítě tolik času, kolik chtějí, a
přesto dosáhnout z dlouhodobého hlediska důležitých výkonnostních i finančních
přínosů.
Správné plánování do budoucna vyžaduje nejen znalost stávající kapacity sítě,
ale také jejích budoucích požadavků a jejich přesného vztahu ke specifickým
síťovým architekturám. Takové údaje získáte pouze s pomocí testování sítě.
V následujícím Testu týdne jsme se podívali na situaci na trhu testovacích
zařízení a provedli recenzi hardwarových produktů na testování sítě nejvyšší,
střední i základní třídy. Z oblasti špičkových produktů jsme prověřili
testovací zařízení SmartBits TeraMetrics XD od firmy Spirent Communications.
DA-3400 Ethernet Data Network Analyzer společnosti Acterna zastupuje v testu
střední třídu a trojici doplňuje v oblasti low-endu nejnovější verze známého
produktu OptiView od firmy Fluke Networks.
Při našem testování jsme se zaměřili na tři hlavní oblasti. První z nich bylo
ověřování, což představuje simulovaný test, který má za úkol zjistit, zda
navržená architektura sítě bude fungovat ve specifických podmínkách. Následuje
test kapacity, zahrnující monitorování stávajícího provozu a testy generující
provoz, které přesně určí nutné požadavky na upgrade sítě. A konečně je zde
nejběžnější forma testování, tj. lokalizace a odstraňování poruch, tedy test
skutečné sítě nebo scénářů v testovací síti, který by měl určit řešení
specifických problémů.
Hlavním klíčem k úspěšnému testování sítě je důkladná příprava a vytvoření SPAN
(switched port analyzer) portu nebo zapojení, které zkoumá provoz na klíčových
místech sítě. Abyste mohli objevit takové problémy, jako je napadení červem
Slammer, a zjistit, které stroje byly infikovány a které pouze odrážejí provoz,
je důležité postupovat od okraje sítě směrem k externím spojům.

Spirent SmartBits TeraMetrics XD Firma Spirent bezpochyby představuje Rolls
Royce v oblasti zařízení pro testování sítě; to ale nutně neznamená, že široká
produktová řada tohoto výrobce je vhodná pro každého. Spirent exceluje v
oblasti ověřování a plánování kapacity velkých sítí, ale zařízení SmartBits
TeraMetrics XD není navrženo k diagnostice problémů pro tento účel jsou k
dispozici vhodnější produkty. Nemluvě o tom, že cena plně vybavené skříně od
firmy Spirent je dost vysoká na to, aby odradila většinu firem se středně
velkou sítí.
V laboratořích našich amerických kolegů již dlouhou dobu využívají produkty
Spirent TeraMetrics pro testování vysokorychlostních přepínačů podnikové třídy.
A to z jednoduchého důvodu: disponují špičkovými schopnostmi, pokud se jedná o
přesné a flexibilní funkce pro testování sítí a přepínačů. V době psaní této
recenze učinila zmíněná firma v této oblasti velký pokrok a představila nové
moduly SmartBits TeraMetrics XD.
Produktová řada XD je odpovědí firmy Spirent nejen na zvyšující se požadavky na
kapacitu portů, ale také na inteligenci aplikací. Její zákazníci musejí být
schopni testovat mnohem větší propustnosti s vyšší hustotou portů; potřebují
také vědět, jak si určité protokoly a aplikace povedou v těchto prostředích,
zejména s ohledem na výkon a bezpečnost. Vyžadují také možnost testovat v
prostředích s nižší hustotou portů, nicméně s vysokou škálovatelností a
podporou specifických protokolů pro pokročilé směrování, pro aplikační provoz
na čtvrté až sedmé vrstvě, a s bezpečnostními protokoly, jako je IPSec a SSL.
Karty XD (jsou k dispozici s různými konfiguracemi portů) nabízejí duální
podporu médií (měď i optické vlákno), přičemž je lze škálovat až na maximální
hodnotu 700 portů v logicky konfigurovaném zařízení SmartBits. Upozorňujeme vás
ale, že řada XD představuje kartové produkty, jež vyžadují ke své funkci
SmartBits šasi, a to nejnovější řady SMB 6000C. Starší skříně 6000B pojmou
pouze šest XD karet, na rozdíl od nich model 6000C zvládne plný počet XD karet,
a to díky zlepšenému napájení a chlazení.
To, čím XD karta tak výrazně vyniká, je její linuxový kontrolní modul. Využitím
plnohodnotného operačního systému na každé kartě dokáže firma Spirent nabídnout
bezprecedentní simulace směrování a testování protokolů. Můžete dokonce požádat
i o zakázkové implementace protokolů, byť prozatím je třeba využít službu PSA
(Professional Services Automation) firmy Spirent, dokud nebude vytvořeno
příslušné XD API.
Pomocí XD lze testovat různé scénáře využívající 10/100/1000 Mb měděné porty
nebo gigabitovou optiku na každém portu, s možností generovat provoz na úrovni
maximální propustnosti linky a ten následně na druhé a třetí vrstvě analyzovat.
Při dostatečné hustotě portů XD snadno generuje miliony simultánních IP toků a
testuje specifické QoS, CoS (Class of Service) a DiffServ (Differentiated
Services) architektury. Na každém z portů může současně běžet více aplikačních
nebo bezpečnostních protokolů, a emulovat tak prakticky libovolný vzorek
provozu ve firemní síti včetně veškerých směrovacích a bezpečnostních
protokolů, které budete využívat.
Vestavěný operační systém Linux dovoluje využít každou z karet WebAvalanche
nebo Reflector jako generátor aplikačního provozu. Tato funkce nebyla k
dispozici v době, kdy jsme prováděli recenzi, nicméně výrobce slibuje její
implementaci v letošním roce.
Ke konci loňského roku firma Spirent oznámila také volitelnou dceřinou kartu
(daughter card) pro produktovou řadu XD, pod názvem SmartBits XD Security
Module. Daný produkt je navržen pro testování IPsec a VPN a je založen na
proprietárním šifrovacím čipu, jenž umožňuje každé z karet generovat stovky
IPsec či SSL tunelů současně, což lze využít pro testování VPN architektury na
bázi IPsec nebo SSL.
Schopnosti série XD jsou úžasným krokem směrem k detailnímu testování
rozsáhlých sítí podnikové třídy. Kombinace TeraMetrics XD a SmartBits 6000C je
nákladná v porovnání s dalšími testovanými produkty, nicméně pro správce
velkých sítí, kteří by chtěli v budoucnosti lépe proinvestovat své ztenčující
se rozpočty, může být toto řešení nenahraditelné.

Acterna DA-3400 Ethernet Network Analyzer
Tento produkt je vysoce flexibilním řešením pro testování sítí, které však
nenabízí v oblasti generování provozu takový výkon jako zařízení firmy Spirent.
Nicméně má několik dalších analytických funkcí, díky nimž se stává lepším
řešením pro ty správce sítě, kteří si přejí kombinovat monitorování sítě s
klasickým testováním.
DA-3400 je stohovatelné zařízení purpurové barvy se dvěma sloty na PC Card,
sloužícími pro jeho správu, a dále nabízí ethernetová a WAN rozhraní. Hardware
představuje pouze část celého nákupu; ke skutečnému využití produktu budete
potřebovat software pro správu na bázi Javy. Klientský software je pěkný a
nenáročný, takže nespotřebuje tak mnoho zdrojů na počítači určeném pro správu
nebo na vašem notebooku, který slouží k řešení problémů sítě.
Ať již jako generátor nebo monitor provozu se zařízení DA-3400 určitým způsobem
odlišuje od podobných produktů. Zaprvé se jedná o zcela pasivní zařízení, pokud
neaktivujete generování provozu. Obdobné přístroje, jako třeba OptiView firmy
Fluke Networks, využívají ke sběru dat dotazovacích paketů. Při požadavcích na
vysoce bezpečný provoz to může znamenat, že řešení Fluke Networks bude
nevyhovující, přestože dotazování pomocí paketů dává jistý širší prostor pro
diagnostiku sítě.
Nástroje pro zobrazování trendů lze využít k prohlížení minulých událostí, a to
ve značném časovém rozmezí. Jednotka disponuje 5GB pevným diskem, na nějž se
ukládají historická data pro budoucí přístup a porovnávání. Potřebujete-li
dlouhodobý monitoring, jedná se o velmi šikovné řešení. Statistiky lze zobrazit
buď pomocí samotného zařízení, nebo je lze odeslat na počítač v lokální síti s
příslušným Java klientem.
Silnou stránkou DA-3400 je analýza sítě. Produkt zvládá analýzu paketů v
reálném čase při maximální propustnosti gigabitového Ethernetu nebo OC-12.
Provoz klasifikuje podle VLAN, IP podsítě, PVC (Permanent Virtual Circuit) nebo
VCC (Virtual Channel Connections), takže je administrátoři mohou ještě rychleji
identifikovat. Podporuje také analýzu pokročilých směrovacích protokolů včetně
chybových událostí a dlouhodobých statistik. Při správném nastavení je dokonce
schopen analyzovat VoIP (Voice over IP) nebo VoATM (Voice over ATM) pakety a
zjišťovat výkonové a kvalitativní charakteristiky.
Co se týče testování sítě, produkt je primárně zaměřen na ověřování. Generování
provozu je solidní, ale zdaleka nedosahuje takového výkonu, který byste mohli
za příslušné peníze získat od firmy Spirent. Nicméně znovu opakujeme, že
generování a analýza provozu jsou jediným smyslem existence produktové řady
SmartBits XD, zatímco zařízení firmy Acterna slouží více účelům.
Prvním a hlavním z nich je dlouhodobý monitoring a zjišťování a odstraňování
problémů v síti. Softwarový monitoring zahrnuje některé velmi působivé funkce,
jako je zobrazování detailních informací o datovém spojení, s jehož pomocí
rychle zjistíte propustnost a vysílání na libovolné IP podsíti. S využitím
DA-3400 je poměrně jednoduché odhalit řadu problémů včetně počítačů
infikovaných viry. Tyto stroje identifikuje okamžitě pomocí vzorků provozu a
stejným způsobem umí ověřit, zda byla infekce odstraněna či nikoliv.
Pokud bychom měli nějaká přání týkající se DA-3400, pravděpodobně bychom začali
s možností oddělit podsítě na dvou rozhraních. Ocenili bychom gigabitové
ethernetové SPAN rozhraní pro připojení k routerům, zatímco rozhraní Fast
Ethernet by mohlo monitorovat úplně jiný síťový segment. To by přineslo skvělou
možnost, jak sledovat externí i interní připojení a porovnávat proudy dat při
útoku virů, jako je Blaster nebo Slammer. Výrobce nás ujistil, že na této
možnosti již pracuje.
V případě produktu Acterna DA-3400 se nejedná o tak výkonné zařízení, jako
nabízí Spirent, ostatně pro tyto účely nebyl navržen. Je ale nástrojem
sloužícím k dlouhodobému sledování sítě a odstraňování problémů, přičemž
současně disponuje možnostmi ověřování architektury sítě. A v těchto oblastech
nemá konkurenci.

Fluke OptiView analyzéry
Firma Fluke Networks je dlouhou dobu považována za experta na diagnostiku sítí
a její nejnovější verze OptiView ukazuje, že výrobce stále neztrácí dech.
Nicméně je třeba poznamenat, že ačkoliv označujeme OptiView za low-end zařízení
pro testování sítě a jeho cena je z testovaných produktů nejnižší, rozhodně se
nejedná o levný nákup. Zařízení stojí více než 10 000 dolarů, přičemž výrobce
ujišťuje, že cena jeho hodnotě plně odpovídá. Vyzkoušeli jsme dvě různé verze
nástroje OptiView, konkrétně Integrated Network Analyzer (INA), což je
dedikovaná mobilní jednotka, a stohovatelné zařízení Workgroup Analyzer. V obou
případech se jedná o soběstačné PC s operačním systémem Windows, vybavené
stejným softwarem.
Integrated Network Analyzer je tablet proprietárního formátu, obsahující slot
pro PC kartu pro připojení ke klasické nebo bezdrátové síti. Na našem starším
tabletu, který používáme v naší laboratoři, je nainstalována nejnovější verze
OptiView, nicméně stále pracuje pod operačním systému Windows 98. Dnes se
stejným zařízením dostanete Windows XP Tablet PC Edition. Zařízení INA je
nabízeno s nejrůznějšími rozhraními, přičemž každé z nich ovlivňuje jeho cenu.
My jsme otestovali vysoce vybavenou variantu s dvojicí gigabitových optických
ethernetových rozhraní a jedním klasickým RJ45 10/100/1000 konektorem. Na INA
budete marně hledat WAN nebo ATM konektivitu, na rozdíl od produktů firmy
Acterna.
A na rozdíl od Acterna DA-3400 je OptiView určen k odstraňování problémů. Proto
se samozřejmě nejedná o pasivní zařízení, je schopen provádět na síti řadu změn
včetně změny MAC adres, QoS profilů či nastavení TTL (Time to Live), a to přímo
z konzole OptiView. Skvělá je úroveň podpory SNMP; zařízení identifikuje, a
dokonce i nastavuje různé skupiny a disponuje detailním zobrazením informací a
vynikajícím MIB (Management Information Base) prohlížečem. (Produkty firem
Acterna a Spirent nejsou určeny ke správě SNMP.) Tato funkce dává přístroji
OptiView možnost fungovat jako hardwarový analyzátor, je schopen skenovat různá
zařízení a zjišťovat údaje až do takových podrobností, jako jsou otáčky
ventilátoru nebo úroveň vytížení procesoru na serveru.
Klíčovou funkcí softwaru OptiView je Problem Discovery Pane. Zde je uplatněna
inteligence zahrnující seznamy chyb, varování a poplachů s postupným
zobrazováním detailnějších údajů, odhalujících vlastní příčinu chyb z mnoha
úhlů pohledu. Zjištěné problémy nebo zařízení lze třídit podle kritérií jako
top talkers nebo top conversations a automaticky vytvořit a nastavit filtr
provozu, který nasměrujete na určitou konverzaci a tu odposloucháváte.
Co se týče testování kapacity nebo ověřování sítě, nabízí OptiView omezené
možnosti, nicméně dostatečné k tomu, abychom mohli vyzkoušet různé scénáře na
jednom segmentu. Zařízení generuje point-to-point nebo point-to-multipoint
provoz s různými délkami rámců. Tato funkce se nevyrovná možnostem aplikačního
spoofingu produktu Spirent, ale dostačuje k tomu, abyste získali dobrou
představu o tom, jak změna v síti nebo aplikaci ovlivní daný segment nebo
abyste si ověřili, že navržená změna bude skutečně fungovat. OptiView INA je
také jediným nástrojem z testované trojice, který je schopen testovat klasické
i bezdrátové sítě. K využití druhé zmíněné možnosti potřebujete Wi-Fi PC Card a
také jinou aplikaci pro analýzu. Výrobce dosud neoznámil, kdy dojde k integraci
analytického softwaru pro LAN a WLAN. Současný nástroj pro analýzu WLAN je
souborem utilit, s jehož pomocí lze postupovat od základního zobrazení
relevantních údajů o WLAN na jedné obrazovce, a to včetně síly signálu,
zobrazení kanálů, až po pohled na spektrum.
Software disponuje vynikajícími možnosti sledování, což přijde vhod, pokud
příležitostný uživatel 802.11b způsobí ostatním uživatelům připojeným k
přístupovému bodu standardu 802.11g snížení rychlosti z 20 na 5,5 Mb/s. Může se
také stát, že se některý zaměstnanec rozhodne připojit nechráněný přístupový
bod do firemní sítě, aby si mohl hrát s nějakou novou PDA hračkou. Nástroj
OptiView je schopen takové záležitosti odhalit s pomocí vizuálního zobrazení,
které se zvětšuje, pokud se blížíte k některému neautorizovanému přístupovému
nebo koncovému bodu. A pokud jsou naše přístupové body vybaveny protokolem
SNMP, tak může aplikace zjistit i detaily o výkonu pomocí MIB prohlížeče.
OptiView není nástrojem první volby pro testování velkých sítí. Nicméně i u
velkých sítí se jedná o výbornou investici v oblasti zjišťování a odstraňování
problémů a získání hrubé představy o tom, co vám mohou nabídnout dražší
testovací nástroje. U středně velkých sítí je OptiView nejužitečnější kombinací
schopností testování, monitorování a řešení problémů ze všech testovaných
produktů.

Sledování provozu v síti
S příchodem přepínaným sítí získali administrátoři možnost oddělit kolizní body
pomocí izolace provozu. Problémem ale je, že tato funkce zajišťovaná přepínači
brání v pohledu na veškerý provoz v síti, jež jsme měli k dispozici v době
rozbočovačů a koaxiálních kabelů. Nastavení sítě takovým způsobem, aby bylo
možno využít testovací nástroje v jejích klíčových oblastech, je cestou k
odhalení komplexních síťových problémů.
Výrobci přepínačů se pokusili problém vyřešit pomocí SPAN (Switched Port
ANalyzer) portů, jež zrcadlí data z několika portů přepínače na port určený pro
monitorování a analýzu. Zmíněná technologie tak správcům umožňuje umístit na
důležitá místa sítí monitorovací zařízení. Kritické oblasti, jako je serverová
farma na příslušné podsíti, mohou vyžadovat nepřetržité vyhrazení portu pro
analýzu, zatímco u jiných podsítí je možno využít předdefinovaný SPAN port pro
připojení příslušného zařízení podle potřeby. Podobné řešení lze uplatnit v
poměrně malých sítích, nicméně u větších architektur vzniká problém, kdy v
mnoha případech při zrcadlení velkého množství rychlých ethernetových portů na
jediný SPAN port (pokud celkové využití překročí kapacitu jednoho portu)
dochází ke ztrátě rámců. Problémem SPAN portů je také skutečnost, že u většiny
přepínačů jich máte k dispozici pouze velmi omezený počet nebo často pouze
jediný, což silně omezuje vaše možnosti nepřetržitého monitorování klíčových
datových cest, zvláště pokud se jedná o rozsáhlé, mnohacestné přepínané
architektury. Jedním okamžitým řešením je koncepce měděných a optických
přípojek pro odposlech, kterou využívají firmy jako Net Optics, Finisar a Fluke
Networks. Zmíněné produkty odvádějí signál pomocí rozboček ve tvaru písmene Y,
které umožňují připojení analyzátoru do libovolně zvolené části sítě, bez
ohledu na dostupnost SPAN portů. Nezapomeňte však na to, že tyto porty jsou
směrové a při jejich zapojování do sítě je to třeba vzít v potaz.
Nalezení správného řešení pro monitorování je z velké části otázkou relativní
velikosti sítě spolu s podrobnou znalostí nejdůležitějších datových cest.
Zobrazení dlouhodobých změn vzorců toku dat může ve většině případů zvýraznit
budoucí problémy.

Tipy pro testování sítě
1. Měřte užitečné charakteristiky: Mezi ně patří ztráta paketů na páteři,
využití šířky pásma, výkonnost WAN spoje, RTT (Round-Trip Time) a RTT odchylka
a dosažitelnost ICMP (Internet Control Message Protocol).
2. K měření zařízení využijte vhodné metody: Zajistěte, aby testování systému
bylo prováděno pomocí takových měření, která poskytují relevantní údaje. Je
lépe raději uvažovat pouze v podmínkách reálného světa a na jejich základě
zvolit vhodné testy.
3. Kontrolujte systémové záznamy: Je to pracné, ale procházení záznamů
směrovače je velice užitečné při analýze prováděné po selhání sítě. Užitečná
data lze vytěžit ze správně nastavených trapů včetně takových, které pokrývají
BGP (Border Gateway Protocol) a PPP.
4. Snažte se vědět, kudy proudí data: Analýza zdrojových a cílových dat je
dlouhodobým cílem mnoha testovacích iniciativ. Zjišťováním změn datových cest,
jejich konvergence a přesměrování portů v průběhu času mohou administrátoři
začít tvořit dlouhodobou strategii.
5. Využívejte vizualizace dlouhodobého monitorování: Dlouhodobé monitorování
lze nastavit tak, aby poskytovalo zobrazení aktuálních statistik o výkonu sítě.
Velký graf pomůže odhalit vznikající problémy.
6. Pořizujte dokumentaci ihned, neodkládejte to na pozdější dobu: Ohromným
přínosem nástrojů pro testování sítě je jejich schopnost vytvářet vizuálně
přitažlivé zprávy, včetně vysvětlivek k shromážděným testovacích datům.
Nezůstaňte však pouze u těchto zpráv. Využijte nástroje pro analýzu logů, trapů
a MIB tabulek (Management Information Bases). A nakonec, využijte přínos
monitorovacích nástrojů pro firmu k fyzickému zdokumentování své sítě (zjištěná
data lze použít k tisku identifikačních štíků).









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.