Погружение в Network Monitor

Инструмент network monitor, реализованный в Windows и Microsoft Systems Management Server (SMS), позволяет выполнять мониторинг сетевого трафика. Мониторинг можно проводить в реальном времени или, перехватив и сохранив сетевой трафик, анализировать его позднее. Сохраненные данные могут использоваться для устранения неполадок в локальных и распределенных сетях, а также практически во всех устройствах, которые задействуют для коммуникаций протокол TCP/IP. Network Monitor имеет три основные области применения.

• Поиск неисправностей в сетевых соединениях. Это основная область применения Network Monitor. Если у вас есть два компьютера, при взаимодействии которых возникают трудности, можно воспользоваться функцией Network Trace для выяснения причины проблемы. Network Monitor также используется для просмотра пакетов TCP/IP, которые пересылаются между двумя устройствами, и данных, содержащихся в каждом из них.
• Оценка сетевой производительности. Network Monitor дает ясную и полную картину работы сети. Если возникает подозрение, что с точки зрения сетевой производительности имеются уязвимые места, можно воспользоваться информацией Network Monitor — например, статистикой о сетевой нагрузке и данными об источниках сетевого трафика — для поиска таких слабых мест. Хотя обычно Network Monitor не используется как базовое средство для выявления проблем в сетевых коммуникациях, это превосходный вспомогательный инструмент, позволяющий отыскать причину неисправности и показать гораздо более детальную картину происходящего, чем это позволяет сделать Performance Monitor.
• Поиск устройства, инициировавшего выдачу «маяка». Так называемый beaconing — процесс выдачи компьютерам в сети кольцевой топологии сигнала о том, что передача маркера прервана из-за серьезной ошибки. До появления коммутируемых сетей с помощью Network Monitor отслеживались проблемы в работе аппаратных сетевых устройств. Сейчас Network Monitor по-прежнему можно использовать для поиска фрагментированных или разрушенных пакетов, генерируемых несправным оборудованием, однако для этого следует установить полную версию Network Monitor, которая поддерживает работу удаленных агентов и перехватывает сетевые пакеты в сегменте даже в том случае, когда трафик не предназначен для станции, на которой запущен Network Monitor. Подробнее о двух версиях Network Monitor рассказано во врезке «Версии Network Monitor». При наличии управляемого коммутатора с помощью комбинации статистик и Network Monitor можно получить исчерпывающую информацию о неисправности для диагностики сетевого оборудования.

Установка Network Monitor

Для того чтобы воспользоваться монитором на сервере, на котором установлен Network Monitor или SMS, необходима сетевая карта, которая поддерживает смешанный режим (так называемый promiscuous mode — состояние, в котором сетевой адаптер обнаруживает в сети все фреймы вне зависимости от их конечного адреса; данный режим поддерживает большинство сетевых адаптеров). При установке Windows Server 2003 и Windows 2000 Server Network Monitor устанавливается только в том случае, если вы явно это указали. Чтобы установить Network Monitor, входящий в состав Windows 2003 и Windows 2000 Server, нужно выполнить следующие действия.

1. Открыть Control Panel (Start, Settings, Control Panel).
2. Дважды щелкнуть Add or Remove Programs.
3. Щелкнуть Add/Remove Windows Components.
4. Щелкнуть Management and Monitoring Tools, затем Details.
5. Установить флажок Network Monitor Tools и щелкнуть ОК.

Запуск Network Monitor

Как только Network Monitor хайп монитор установлен, его можно запускать. Следует щелкнуть Start, Programs, Administrative Tools, Network Monitor. Можно также запустить Network Monitor с командной строки или использовать командный файл. На экране появится начальный экран Network Monitor. Чтобы инициировать захват пакетов, щелкните кнопку Capture. Начнется перехват сетевых пакетов, и окно Network Monitor будет выглядеть примерно так, как показано на экране 1. Как мы видим, основное окно Network Monitor состоит из четырех областей, в которых отображается информация различного типа.

Гистограммы использования сети. Первая область (отмечена цифрой 1 красного цвета) содержит гистограммы, отображающие статистические данные о трафике сервера. Первая полоса — % Network Utilization — самая важная. Если сервер принадлежит сегменту, к которому подключены другие компьютеры, и значение сетевой нагрузки значительно превышает 35%, возможно, сеть станет для данного сервера узким местом. Ethernet использует протокол Carrier Sensing Multiple Access with Collision (CSMA/CD) с обнаружением коллизий. В некоммутируемом Ethernet при сетевой нагрузке свыше 35% число коллизий слишком велико, и это катастрофически снижает производительность. Если придется столкнуться с высокой сетевой загрузкой, следует рассмотреть возможность использования коммутируемого Ethernet для повышения производительности.

Если сервер подключен к выделенному порту коммутатора, сетевая утилизация может быть гораздо выше 35%, при этом задержек по сети не наблюдается. Но если утилизация сети достигает 80%, стоит рассмотреть вопрос об использовании адаптера с двумя портами или перейти на Gigabit Ethernet или 10 Gigabit Ethernet. Если доля широковещательных или групповых пакетов или того и другого слишком велика (более 50% в секунду), вероятно, в сети имеется неисправный сетевой адаптер http://hyipclub.club, выставляющий «маяки», или же просто слишком многие компьютеры выдают широковещательные запросы. Неплохо было бы собирать статистику о сетевом трафике до того, как проблема возникла, тогда в случае инцидента у администратора уже была бы история наблюдений и базовые показатели, относительно которых можно проводить исследование текущего сетевого трафика.

Экран 1. Основное окно Network Monitor

Сетевые соединения. Вторая область (цифра 2 в голубой рамке) отображает список устройств, с которыми связывается данный сервер. Имена в колонке Network Address 1 являются или именами сетевых карт типа Network Monitor supported, используемых в сети, или MAC-адресами (Media Access Control, MAC), если сетевые адаптеры не поддерживают функцию мониторинга. Чтобы вывести список адаптеров в сети, требуется выбрать Options, Show Vendor Names. В колонке 1->2 показано число пакетов, переданных устройству в колонке Network Address 2, а в колонке 1<-2 — число пакетов, полученных от устройства Network Address 2. Необычно высокое значение пакетов, генерируемое специфическими сетевыми адресами, может указывать на неисправный сетевой адаптер или очень интенсивный трафик от определенных сетевых устройств.

Сетевые статистики. Третья область (цифра 3 в зеленой рамке) показывает статистику текущего захваченного сетевого пакета. Если планируется перехватывать пакеты дольше минуты, может потребоваться увеличить размер буфера захвата, в противном случае буфер начнет терять пакеты. По умолчанию размер буфера составляет всего 1 Мбайт и при загруженной сети он заполнится практически мгновенно. Когда буфер становится полным, самые старые пакеты удаляются и заменяются новыми. Для изменения размера буфера нужно выбрать Capture, Buffer Settings и изменить соответствующие настройки. Устанавливаемый размер буфера не должен превышать размер доступной физической памяти, иначе начнется пропуск фреймов из-за свопинга на диск.

Подробная информация о пакете. Четвертая область (цифра 4 в желтой рамке) показывает детальную информацию о числе и типе фреймов, отосланных или принятых с каждого устройства. Если отсылается или принимается необычно большое число байтов с какого-либо устройства, это может означать, что устройство работает неправильно или просто в данный момент пересылает по сети огромный объем данных.

Фильтр сбора данных может быть установлен при помощи меню Capture, Filter с последующей тонкой настройкой параметров фильтра. Фильтр позволяет отслеживать пакеты с привязкой к определенным протоколам, сетевым адресам или текстовым шаблонам. Это способствует снижению размера буфера захвата и может пригодиться в сильно загруженных сетях. Тем, кто раньше не сталкивался с Network Monitor, советую не использовать фильтр, а сперва научиться хорошо ориентироваться во всех типах сетевого трафика. Очень легко отсечь нужные данные, если фильтр будет установлен слишком жестко. После того как перехват трафика будет полностью завершен, я предлагаю ограничиться фильтром отображения (о нем немного позже), чтобы скрыть не подлежащий анализу трафик.