Средства сетевого мониторинга, разработанные автором [1], позволяют получить достоверную информацию о функционировании объектов корпоративной вычислительной сети (КВС). Постоянный мониторинг более чем 80 сетевых параметров дает ценную информацию о работе сети в целом и ряде важных сетевых объектов в частности, актуальную в решении задач проектирования и управления сетью, экономических расчетах за трафик, и иных [2]. При этом мониторинг исполняется с помощью наблюдающей станции (НС) – выделенного ПК, оснащенного специальным программным обеспечением, эксплуатирующегося под управлением MS-DOS 6.22. Важнейшая часть контролируемых параметров, в том числе большинство общесетевых характеристик, доступна для наблюдения на экране НС. Все параметры также фиксируются в периодических отчетах НС, формируемых на HDD. Каждые 15 минут формируется краткий, каждый час – полный отчет. Как правило, в целях полноты мониторинга работу НС прерывать нежелательно; 1 раз в сутки серия отчетов записывается из рабочего каталога в архив в упакованном формате в виде единого блока. Один или более раз в неделю, обычно в начале часа, работа НС прерывается оператором на несколько минут для переписи вновь образованных за это время блоков на дискету. Анализ отчетов исполняется на другом ПК.
В необходимых случаях в текущий мониторинг могут быть внесены коррективы. К примеру, оператор, не прерывая общего процесса сбора информации, может задать ряд фильтров, указав логический ip-адрес или физический MAC-адрес интересуемого объекта, и разрешить дампирование отфильтрованных пакетов на HDD на нужный отрезок времени. В MS-DOS, однозадачной среде, для снятия дампа нужно приостановить мониторинг.
Описанные варианты использования средств сетевого мониторинга в версиях, разработанных до 2005г., страдают очевидным недостатком. Как видим, актуальная сетевая информация была доступна либо визуально на экране НС в момент ее появления, либо после снятия блока отчетов, обычно через несколько суток. Ряд параметров (например, текущий список сетевых пользователей) доступен на экране в течение 15 минут до формирования очередного отчета. Таким образом, изучение актуальных данных средств сетевого мониторинга было с необходимостью отнесено во времени, либо приводило к прерыванию текущего мониторинга. На практике, использовались две НС [3, рис. 35 на стр. 79]. Основная НС вела непрерывный мониторинг, вспомогательная НС включалась лишь для проведения специальных исследований. В обоих вариантах, данные мониторинга были доступными лишь с рабочих мест установки этих НС.
Как уже было отмечено [4], такой изолированный вариант эксплуатации средств сетевого мониторинга не отвечает одной из весьма соблазнительных целей – актуального задействования данных мониторинга для последующего использования, возможно, программного. Программой исследований, между тем, предусмотрено непосредственное использование данных сетевого мониторинга в целях формирования комплекса автоматизированных средств управления сетью с применением сетевого коммутатора.
Для решения указанной проблемы предпринято следующее.
Разработана первая версия мониторной программы (МП), демонстрирующей информацию о ряде актуальных сетевых параметров. МП выполнена в виде Windows-приложения реального времени. Связь с DOS-программой наблюдающей станции осуществляется по serial-порту ежесекундно по инициативе МП. В свою очередь, НС, для сокращения объема программирования ее дополнительных блоков, работает в режиме отклика: при появлении на serial-порте кода связи выдается отклик с текущим временем; группа фиксированных актуальных параметров должна быть запрошена специально. Структурно блок-схема подобного кооперативного использования НС и МП показана на рис.1.
Рис. 1. Схема взаимодействия НС и мониторной программы
При отборе актуальных параметров для демонстрации в МП из всего множества выбраны характеризующие общее состояние сети и общее состояние программы НС. Поскольку ряд параметров в НС сохраняется накопительным итогом с начала последнего 15-минутного цикла наблюдений, имело смысл также отобразить параметры этого цикла. Далее при описании параметров сохранены введенные автором в[1] термины.
Как видим, принимаемые первой версией мониторной программы данные сетевого мониторинга носят исключительно общий характер, однако включают как основные показатели активности сети, так и ряд технологических показателей качества работы самой наблюдающей станции. Вид окна мониторной программы приведен на рис. 2.
Следует отметить, что окно текущей версии МП несет и дополнительную информацию. Внизу его есть блок побайтного показа принятых, но не расшифрованных данных (в нормальных условиях работы этот блок пуст). Заглавие над этим блоком показывает, к какому serial-порту ПК с работающей МП подключено соединение с НС. Наконец, иконка слева вверху окна включает в себя изображение глаза. Этот глаз открыт, если связь с НС была активна в последнюю секунду, иначе глаз показывается прикрытым.
Мониторная программа написана на языке PowerBASIC for Windows 7.04 (www.powerbasic.com) – Windows-диалекте языка той же фирмы, которая выпустила PowerBASIC for DOS, использованный для программирования сетевого мониторинга. Особую трудность при программировании вызвало исполнение программы в режиме немодального (modeless) диалога. Языки высокого уровня вообще, и PowerBASIC for Windows в частности, не обладают особо развитыми средствами для исполнения программ реального времени (кстати, пригодность Windows как операционного средства для задач реального времени также неочевидна автору данной работы). Тем не менее, оказалось возможным для Windows-среды обеспечить устойчивое соединение по serial-порту с DOS-приложением с использованием операторов синхронного вывода в serial-порт и асинхронного ввода из serial-порта.
В первых версиях мониторной программы принимаемая информация носит форматно-числовой характер, не требуя алгоритмов перекодировки и форматных преобразований. Иными словами, в окне МП отображается именно та информация, которая была принята. Далее, однако, предполагается сделать первичное обобщение этой информации. К примеру, выразительным было бы отображение разнодлинных полосок справа от данных, показывающих процентное соотношение принятых из Интернета, посланных в Интернет и внутрисетевых объемов информации.
Более интересно отслеживание ряда показателей сетевой активности, достигнутых за время цикла наблюдения (а быть может, и за более длинный период). Интересным было бы знать максимальное число пользователей за истекшие сутки, максимальную замеренную скорость в сети. Часть этой факультативной, но интересной работы предполагалось выполнить за текущий год, и только неполное финансирование проекта не позволило этим заняться.
В принципе, все получаемые наблюдающей станцией данные могут быть поданы мониторной программе. Основной объем информации НС включает данные по конкретным сетевым устройствам, например, местонахождение всех сетевых устройств, порты их подключения к центральному коммутатору Cisco Catalyst-2924, фиксация почтовых отправлений, адреса сайтов, к которым обращаются пользователи. Объем этих данных, однако, столь значителен, что в ближайшее время работа с ними не планируется.
Еще более интересной представляется возможность передачи принятых мониторной программой данных от НС для общего сведения. С момента получения устойчивой связи НС – МП, реальной становится подача актуальных материалов наблюдения в раздел «Мониторинг» на существующий антивирусный сайт http://av.cemi.rssi.ru. а рис. 1 эта планируемая работа указана двунаправленной пунктирной стрелкой между МП и антивирусным сервером AV-Server. Передачу данных предполагается организовать с помощью UDP, детали этой работы планируется проработать в ближайшее время, быть может, к моменту выхода данной работы в печати.
Основная цель всего проекта, а именно оперативное получение от НС технологических адресов сетевых устройств, нарушающих правила поведения в корпоративной сети, для последующего оперативного автоматического управления сетью, связана с необходимостью разработки взаимодействия МП – Cisco Catalyst. Эти работы подробно описаны в следующей статье данного сборника, а интеграция предназначена к разработке в 2006 году.
(X)Работа выполнена при финансовой поддержке РФФИ, проект N 04-07-90260в