Liszkai János • Miért használjunk hardveralapú protokoll analizátort? 1

Miért használjunk hardveralapú protokoll analizátort?

Áttekintés

A szoftver alapú protokoll analízis csak korlátozott képes-ségekkel rendelkezik ahhoz, hogy feldolgozza a hálózati forgalmat. Ennek ellenére ezt tekintik a legmegfelelőbb és sokoldalú megoldásnak. Érdemes átgondolni, hogy mik is azok a kötöttségek és korlátozások, amik ezeket a megoldá- sokat jellemzik. Csak gondoljunk arra, hogy a nagy teljesít-mény igények kiszolgálására legtöbbször integrált megoldá-sokat fejlesztenek a gyártók. A protokoll analízis kártyák, amik hardveralapú megoldást jelentenek, a TAP-ek alkal-mazásával képesek robusztus teljesítményre.

A szoftveralapú analizátorokat általános hardver architektú- rákon használják kommersz hálózati kártyákkal (NIC - Network Interface Card), amelyek limitált képességgel rendelkeznek, egy bizonyos határon felül már nem képesek azt a teljesít-ményt nyújtani, ami elvárt ezen a területen. Továbbá nincs meg az a fontos tulajdonságuk, hogy a tárolt adategységeket megfelelő és pontos időbélyeggel lássák el azért, hogy a probléma felderítése időben és térben hatékony lehessen.

A Fluke Networks protokoll analizátor megoldásai rendel-keznek ezekkel a tulajdonságokkal, továbbá megvan bennük az a képesség is, hogy összefogják a több szegmensről szár- mazó forgalmat és megjelenítsék azt valós időben egy jól áttekinthető grafikus interfészen. A Network Time Machine™ a beépített ClearSight Analyzer™ szoftver modullal egyszerre akár négy különálló szegmens forgalmát képes begyűjteni, majd feldolgozni és megjeleníteni egy un. létra diagramban, ahol jól követhetők az egyes tranzakciók a hardver alapú időbélyegek alkalmazásának köszönhetően. A nagyfelbontású (<20ns) időbélyegek felhasználásának másik nagy előnye, hogy kimutatható a hálózati forgalomban bekövetkezett késleltetés és annak pontos helye. Választ kaphatunk arra az alapvető és sokszor visszatérő kérdésre. Hol a hiba: hálózat, alkalmazás, szerver, kliens?

1. ábra

2 EQUICOM Méréstechnikai Kft. • © 2011 Minden jog fenntartva • www.equicom.hu

Miért éppen hardver alapú protokoll analizátor?

A csak szoftveres protokoll analizátorok sok hasznos képes-séggel rendelkeznek, vannak köztük ingyenesen letölthető vagy olcsón elérhető megoldások. Jellemzően nem mindig támogatják az rendelkezésre álló hardvert (hálózati kártyát).

Talán a legfontosabb indok, ami a hardveres megoldá-sokat helyezi előtérbe, hogy a szoftveres megoldások csak korlátozott teljesítménnyel képesek a monitor portokon megjelenő forgalom feldolgozására, illetve a hardveres tükrözés alkalmazása (TAP – Test Access Point) nagyobb teljesítményre képes igény szerint akár full-duplex üzem-módban.

Két hálózati eszköz (hoszt-switch, router-switch, router-router) között manapság legtöbbször full-duplex kapcsola-tokról beszélhetünk. Ebben az esetben az adatok küldése és fogadása egyszerre történik (2. ábra). Mivel az adott médián mindkét irányban lehet forgalom maximális sebes-séggel a link sebessége marketing értelemben kétszer olyan gyors. Például egy Fast Ethernet kapcsolat egy irányban 100 Mbps sebességre képes, tehát a full-duplex link 200 Mbps teljesítményre képes. Egy Gigabit Ethernet link pedig 2Gbps teljesítményű. Ezzel szemben egy half-duplex link egyszerre csak egy irányban forgalmaz, ami azt jelenti, hogy a link sebessége a médiára jellemző, mint pl.: 100 Mbps vagy 1 Gbps.

A port tükrözés (SPAN – Switched Port Analyzer) két me-tódust használ átmásolni a hálózati forgalmat a kitüntetett monitor portra. Az első metódus csak az egyik csatornát használja a full-duplex linken a switch és az analizátor között (3. ábra). A második metódus fél-duplex linket használ, ahol a switch oldali rész lekapcsolt állapotban van. Ennek oka, hogy ne alakuljon ki L2 vagy L3 hurok a hálózatban, továbbá megakadályozza a forgalom újraküldését.

Tekintsünk egy full-duplex linket, ahol a pillanatnyi ki-használtság a sávszélesség 75%-a. Fast Ethernet kapcsolatnál az aggregált forgalom 150 Mbps, míg Gigabit Ethernet ese- tében 1500 Mbps. Ha a link forgalmát tükrözzük egy protokoll analizátor felé, akkor annak 1/3-a elveszhet a switch olda-lon. Az elveszett adatok soha nem érnek el az analizátorig. Fast Ethernet esetében a veszteség 50 Mbps, míg Gigabit Ethernet esetében 500 Mbps lehet.

Két dolog szükséges ahhoz, hogy elkerüljük a fenti példá- ban említett veszteséget, ha a full-duplex link kihasznált-sága 50% főlé nő: full-duplex TAP és full-duplex protokoll analizátor. Amikor a full-duplex protokoll analizátor egy TAP-hez kapcsolódik, a forgalom teljes egészében továbbí-tásra kerül a protokoll analizátor felé (4. ábra).

A legfontosabb különbség az analizátor full-duplex képes- sége és a hagyományos értelemben vett full-duplex link

3. ábra

2. ábra

4. ábra

Liszkai János • Miért használjunk hardveralapú protokoll analizátort? 3

között az, hogy az analizátor mindkét csatornán képes egyszerre adatot fogadni. Egy hagyományos hálózati kártya (NIC) erre nincs felkészítve, csak az egyik csatornát képes erre a célra használni.

Switch képességek

Egy másik fontos indoka a hardveres protokoll analízis kártya alkalmazásának, hogy a port tükrözés extra CPU és memória kihasználtságot igényel. Alapvetően az várható el a switchtől, hogy a legjobb hatékonysággal továbbítsa a L2 forgalmat a szegmensei között. Ha a switch kihasználtsága túlságosan megemelkedik, a tükörport felé nem továbbít forgalmat, hiszen nem elsődleges prioritás. Ez téves riasz-tást eredményezhet a monitorozó rendszer oldaláról, ami a jitter növekedését (phantom-jitter) érzékeli az adat-egységek viszonylatában. Ez a probléma elkerülhető a TAP alkalmazásával.

MAC hibák

A következő megfontolandó kérdés az előforduló MAC hibák kezelése. A szoftver alapú protokoll analizátorok csak korlá- tozott képességekkel rendelkeznek az ilyen hibák felisme- résében.

A legtöbb switch eldobja a hibás kereteket, mivel azok nem kívánatosak a hálózat számára, sőt annak teljesítmé-nyét rontják. A protokoll analízis szemszögéből viszont fontos jelentősége lehet ezeknek a kereteknek, mivel ront- hatják a link minőségét és befolyásolhatják az azon futó al-kalmazások teljesítő képességét. Még mindig előfordulhat-nak a hálózatban olyan aktív eszközök, amelyek nem szűrik ki a hibás kereteket.

Ebben az esetben nem érdemes szoftveres megoldáshoz folyamodni. Ha a switch monitor portja kiszűri ezeket a kereteket, az adategységek soha nem jutnak el az analizá-torhoz. Ha a switch mégis átengedi, a szoftver alapú anali-zátor hálózati kártya meghajtó programjának kell kezelnie és analizálnia a hibás kereteket. Tehát, amikor szükségessé válik a MAC hibák vizsgálata, érdemes olyan megoldást válasz- tani, ami képes a hibás L2 kereteken full-duplex analízist végezni.

4 EQUICOM Méréstechnikai Kft. • © 2011 Minden jog fenntartva • www.equicom.hu

Teljesítmény

A legfontosabb ok, ami indokolja a hardveralapú protokoll analízis kártya alkalmazását, a teljesítmény. Ha a link kihasználtsága túl magas, csak a célhardver képes megbir-kózni a magas forgalommal.

A hagyományos hálózati kártyák a klasszikus kliens szerver kapcsolatokra lettek tervezve, (böngészés, fájlok kezelése, levelezés, adatbázis szolgáltatások, stb.), és nem protokoll analízisre.

Protokoll analízis során a hagyományos 10/100Mbps háló- zati kártya már 20-30% hálózati kihasználtság környékén el-kezdi eldobálni a kereteket. Gigabit esetén már 7-9% körül előfordulhat ez a jelenség.

A link kihasználtsága időszakosan könnyen elérhet akár 70%-ot is, habár általában jóval alacsonyabb. Ezeket a tel-jesítmény tüskéket igen nehéz észrevenni. A hálózati moni-torozó rendszerek a vizsgált paraméterek időbeli változását trend grafikonokon ábrázolják, amit mintavételezés előz meg. A mintavételezés gyakorisága fontos tényező ebben az esetben. Minél kisebb idő telik el két lekérdezés között, annál pontosabb kimutatást kapunk, hiszen a két szomszé-dos mért érték között ezek a rendszerek átlagolnak.

Nézzünk egy példát. Egy Gigabit Ethernet link esetében a 64-1518 byte méretű keretek elküldésének időszükséglete 0,608-12,24 µs. Ennélfogva 1 másodperc alatt 81K-1,6M számú keret kerül továbbításra. Ezen mennyiség már ele-gendő ahhoz, hogy a link kihasználtság felugorjon 70%-ra, majd visszaessen az átlagos szintre. Ha a mintavételezés túl ritkán történik, a monitorozó rendszer nem fogja észre-venni a tüskét.

Egy jellemző probléma az un. jabbering (informális jelen- tése: hibás eszköz folyamatosan korrupt adatokat küld; formá- lisan egy olyan állapot, ahol az állomás egy meghatározott ideig hosszabb adategységeket küld a megengedett méretnél). Alkalmazásával egy szolgáltatást végző eszköz (pl.: szerver) olyan állapotba kerülhet, amelyben nem képes ellátni felada- tát vagy egy hálózati aggregációs link bedugulhat.

Manapság elvárás, hogy a protokoll analizátor képes legyen felismerni és kezelni az ilyen hibákat akkor is, ha a magas kihasználtság akár rövid vagy hosszú ideig áll fent.

Időbélyeg

A hardveralapú protokoll analizátor kártyák képesek idő-bélyeggel ellátni a kereteket az analízist vagy adategység tárolást megelőzően.

Liszkai János • Miért használjunk hardveralapú protokoll analizátort? 5

Az időbélyegek két módon „kerülhetnek rá” a keretekre. Vagy hardverből, vagy szoftveres úton. A hardveres megoldás esetében erre a célra fejlesztett protokoll analizátor kár-tya a belépő keretet azonnal felcímkézi nanoszekundumos pontossággal.

A szoftveres időbélyeget a szoftveralapú protokoll anali-zátorok alkalmazzák. Mielőtt ez megtörténik, a keretnek át kell haladnia a kártyán és a meghajtó programnak fel kell dolgoznia. Csak ezután teheti rá maga az alkalmazás az időbélyeget. Ebben az esetben már csak mikroszekundumos pontosságról beszélhetünk, ami bizonyos ingadozást is szenvedhet. Ha a rendszer más feladatot is végez eközben, a késlekedés elérheti akár a néhányszor 10µs-ot. Ha visz-szaemlékszünk arra, hogy a keret küldési ideje Gigabit Ethernet esetében szokványos keretméretek esetén 0,608-12,24 µs között változik, akkor 20µs-os késlekedés alatt akár 30 keret küldése is megtörténhet. Ezeket a szoftverala-pú protokoll analizátor nem tudja megfelelően feldolgozni. Ahogyan egy kis CPU teljesítménnyel rendelkező switch eredményezhet téves riasztást, úgy az időbélyegek nem várt ingadozása is okozhat ilyet.

Több hálózati szegmens vizsgálata valós időben

Mivel a hálózati forgalom általában több szegmensen halad keresztül, ésszerű elvárás a protokoll analizátorokkal szem-ben, hogy képesek legyenek egyszerre vizsgálni az adatfo-lyamot a hálózat teljes keresztmetszetében.

Általában azért alkalmazzuk a protokoll analizátorokat, hogy megtaláljuk a probléma gyökerét: kliens, szerver vagy infrastruktúra (router/switch). Például, amikor a kliens küld egy szabályos kérést a szervernek, de a szerver nem válaszol, vagy a válasz jelentős késleltetést szenved, a probléma okozója lehet a szerver. Hasonlóan, amikor a szerver küld egy szabályos kérést a kliens felé, de nem kap válasz, vagy túl magas válaszidővel érkezik, a probléma vissza-vezethető a kliensre. Ha a hálózat eldobálja a kereteket, vagy kimagasló késleltetéssel továbbítja az adategységeket, a probléma gyökere a hálózati aktív eszközökben, vagy azok összeköttetéseiben keresendő. Praktikus dolog, ha a tranzakciók és a hozzájuk tartózó késleltetés értékek jól áttekinthető módon jelennek meg az analizátor kezelői felületén (5.ábra).

Ha a fenti érveket átgondoljuk, könnyen belátható, hogy a nagysebességű, nagy kiterjedéssel és kihasználtsággal rendelkező hálózatban ésszerű döntésnek látszik a hardver-alapú protokoll analizátor használata.

5. ábra

6 EQUICOM Méréstechnikai Kft. • © 2011 Minden jog fenntartva • www.equicom.hu

Nézzük a következő példát. A felhasználó panaszkodik az alkalmazás lassúságára. Egy protokoll analizátor kapcsoló-dik arra a switchre, amin a felhasználó számítógépe van. Az analizátor grafikus felületén jól látszik, hogy a kliens kéréseire nem érkezik válasz az alkalmazás szerver felől (6. és 7. ábra). Ebből azt a következtetést lehet levonni, hogy két oka lehet a problémának:• az alkalmazás szerver nem válaszol a kérésekre• a hálózaton elveszik a kliens kérése, vagy a szerver válasza

Ahhoz, hogy a probléma pontosan behatárolható legyen szükséges egy újabb analízis a szerver oldali switchen (8. és 9. ábra).

Ha ezen a ponton is tapasztalható a válaszüzenetek hiánya a kliens felől, akkor a szolgáltatói hálózatban lehet a hiba. Ha a protokoll analizátor képes egyszerre több szegmens vizsgálatára, akkor egy méréssel kimutathatóvá válik a probléma (10. és 11. ábra).

Az ábrán látható, hogy minden üzenetváltás jól beazo-nosítható, továbbá mindegyikhez tartozik egy Delta és egy Relative Time. A Delta Time megmutatja a két szomszédos keret közötti késleltetést, míg a Relative Time a kapcsolat kezdete óta eltelt időt jelenti. A Delta Time érték mellett a késleltetést színes oszlop is jelöli. A szín egyben utal arra, hogy a késleltetés nagysága elfogadható, vagy meghaladja a küszöbértéket.

Több hálózati szegmens utólagos vizsgálata

Mivel a problémák túlnyomó többsége túlmutat a helyi há-lózatok (LAN szegmensek) kérdéskörén, elvárható képesség egy protokoll analizátortól, hogy támogassa több capture fájl összefűzését egy közös fájlba és annak utólagos analízi-sét. Mikor alkalmazzák ezt a megoldást? Előfordulhat, hogy egyszerre kell adatforgalmat vizsgálni a hálózat több pont-ján, de ezt több protokoll analizátorral végzik (12.ábra). Minden mérés végeredménye egy-egy capture fájl. A haté-kony problémamegoldás ebben az esetben az un. utólagos analízis a capture fájlok segítségével. A vizsgálat értékel-hető eredményre csak akkor vezet, ha ezeket a fájlokat a protokoll analizátor képes egyben kezelni, kvázi mintha egy eszközzel mértünk volna a hálózat több pontján.

Az összefűzött capture fájok segítségével hatékony hibafelderítés végezhető az olyan hálózatokban, ahol a NAT (Network Address Translation) használata miatt a publikus és privát IP forgalom is megjelenik.

A capture fájlok összefűzése csak akkor történhet meg megfelelő módon, ha az időbélyegek helyesen kerültek rá a keretekre. Ezt csak a hardveres protokoll analizátor

6. ábra

7. ábra

8. ábra

9. ábra

10. ábra

11. ábra

Liszkai János • Miért használjunk hardveralapú protokoll analizátort? 7

kártyák képesek megoldani, hiszen azok felbontóképessége 20 ns vagy az alatti (13. ábra).

Összefoglalás

A protokoll analizátor kártyák segítségével elkerülhetők azok a limitációk, amik a szoftveres megoldásokat jellemzik:• a full-duplex analízis hiánya• a port tükrözés problémák (keretvesztés kritikus időben,

teljesítmény romlásból adódó késleltetés, hálózati esz-köz újraindulás memória probléma miatt, hibás keretek eldobása, stb.)

• a szoftveres megoldást futtató számítógép korlátozott teljesítménye

• hardveres időbélyeg alkalmazásának hiánya• capture fájlok összefűzhetőségének hiánya az időbélye-

gek pontatlansága miatt

A Fluke Networks protokoll analizátor kártyákat használ a Network Time Machine™ és az Optiview® XG megoldásai-ban. A ClearSight Analyzer™ integráltan megtalálható mind-kettőben. Segítségükkel lehetővé válik a több szegmensből álló hálózatok protokoll analízise, alkalmazások teljesítőké-pességének vizsgálata és a problémák felderítése akár valós időben (14. ábra).

Kérjük kérdéseivel, észrevételeivel forduljon bizalommal munkatársainkhoz.

www.equicom.hu

EQUICOM Méréstechnikai Kft. © 2011 Minden jog fenntartvaJelen kiadvány a jogtulajdonos írásos engedélye nélkül sem részben, sem egészben nem másolható, sem elektronikus, sem mechanikus eljárással, beleértve a fénymásolást, számítógépes rögzítést is.

12. ábra

13. ábra

14. ábra