Vysoká škola báňská - Technická univerzita Ostrava Fakulta elektrotechniky a informatiky katedra Elektroniky a Telekomunikační techniky
OBSERVER studijní podklady pro předmět Voice over IP
David Zukal Tomáš Wija
Observer, verze 1.0
-1-
Prosinec 2003
Program Observer firmy Network Instruments slouží pro monitorování sítě a analýzu protokolů pro systémy Microsoft, Unix, Novell, Apple, VoIP a bezdrátové sítě. Observer pomáhá zkušeným síťovým administrátorům provádět diagnostiku, umožňuje předcházet a následně řešit problémy v síti.
Observer je obsáhlou kolekcí „režimů a nástrojů“, pomocí kterých jsme schopni diagnostikovat většinu typů síťových problémů. Také umožňuje porozumět chování Vaší sítě. Obsahuje přibližně dva tucty „režimů a nástrojů“, které mohou být konfigurovány a kombinovány stovkami různých způsobů. Následující učební text Vám má pomoci v začátcích používání tohoto programu. Posléze by jste si měli udělat alespoň základní představu o tom co se děje na Vámi diagnostikované síti.
Observer, verze 1.0
-2-
Prosinec 2003
OBSAH
1.
Úvod 1.1. Obecné poznatky
str. 4 str. 4
2.
Dynamické zobrazení dat diagnostiky
str. 5
2.1. 2.2. 2.3. 2.4. 2.5. 2.6. 2.7. 2.8. 2.9. 2.10.
Discover Network Names Filter Setup for Selected Probe Top Tolkers Statistics Size Distribution Statistics Mode Internet Observer Router Observer Network Activity Display Protocol Distribution Mode Ping / Trace Route Triggers and Alarms
str. 5 str. 5 str. 6 str. 7 str. 8 str. 9 str.10 str.11 str.12 str.13
Zachycení komunikace a dekódování paketů
str.15
3.1. 3.2.
Packet Capture Mode Packet Capture Decode and Analysis Submode
str.15 str.16
3.2.1. 3.2.2. 3.2.3. 3.2.4. 3.2.5.
str.17 str.18 str.18 str.19 str.19
3.
Observer, verze 1.0
Decode and Analysis - submode Summary Decode and Analysis - submode Protocols Decode and Analysis - submode Top Talkers Decode and Analysis - submode Pairs (Matrix) Decode and Analysis - submode Internet Observer
-3-
Prosinec 2003
1.
Úvod
Následující text by měl sloužit jako základní pomůcka při používaní programu Observer verze 8.3 firmy Network Instruments. Tento produkt není volně přístupný, pro jeho plnohodnotné používaní je nutné zakoupení licence. Bez licence je možný pouze časově omezený funkční mód nebo simulační Demo. Další podrobnější informace jsou dostupné v manuálu Observer vydaném firmou Network Instruments. Všechny následující texty jsou uváděny s ohledem na používání programu v oblasti VoIP. Uvedené závěry a postupy lze však použít pro monitorování jakékoliv jiné sítě. Podobné měření bylo provedeno také na školní síti VŠB-TU Ostrava v místnosti N211. Jako koncové body byly použity jednotlivá počítačová pracoviště.
1.1.
Obecné poznatky
V tomto oddíle je uvedeno několik základních postřehů z používání programu a lze je uplatnit v celém průběhu používání programu. Je-li v jednotlivých popisovaných módech (například v zobrazení Graph display ikona nebo List Display ikona ) možnost použití pravého tlačítka myši na některou uváděnou IP adresu, můžeme v tom případě vytvořit filtr pro zobrazení komunikace pouze dané IP adresy, případně IP páru (viz. kapitola 2.2). Zobrazené volby Create Filter on station address / pair address) aktivují dialogové okno Filters pro vytvoření filtru. Zobrazené volby Start Packet Capture on station address / on pair address aktivují také dialogové okno Filters. Po potvrzení vytvořeného filtru je však dále automaticky aktivován mód Packet Capture (viz. kapitola 3.1) zachycující pakety. Pomocí pravého tlačítka myši lze obdobné volby použít při zobrazení Dial view (ikona ), navíc jsou zde například funkce Zoom, Hide Selected station, Find. Ve většině případů tabulkových výpisů lze použít pravé tlačítko myši na záhlaví sloupce. Zobrazí se dialogové okno ve kterém má uživatel možnost vybrat si data, která budou vypsána. Obvykle také levým tlačítkem na záhlaví sloupce dojde k seřazení dat dle daného sloupce.
Observer, verze 1.0
-4-
Prosinec 2003
2.
Dynamické zobrazení dat diagnostiky
2.1.
Discover Network Names
Prvním krokem je sestavení seznamu zařízení. Předpokladem je znalost IP adres použitých IP zařízení a také znalost IP adresy gatekeeperu. Nejprve spustíme položku Tools
→ Select Address Table for Local Observer (ikona ). V zobrazeném dialogovém okně volíme položku New, zadáme nové jméno a potvrdíme OK. V této chvíli je jako aktuální soubor tabulky adres nastaven Vámi zvolený soubor. Dalším krokem je již konkrétní vyhledávání adres. Cesta Tools → Discover Network names (ikona ). Modul zachytí všechny síťové adresy na diagnostikovaném segmentu sítě. Spuštění funkce provedeme pomocí ikony , zachycené adresy jsou vypsány do tabulky, . Pro lepší orientaci lze manuálně těmto adresám vyhledávání adres ukončíme ikonou přiřadit Vámi zvolené pojmenování pomocí Edit Alias a změnou položky Alias. Před ukončením je vhodné pomocí Save Aliases nalezené adresy uložit. V případě, že již máte uloženu Vaší vlastní tabulku v některém souboru použijete Import Aliases, tabulky se ukládají do adresáře LocalAddressTable. Pro zadání přesného rozsahu hledaných IP adres zvolíme položku Setup (ikona ). V dialogovém oknu poté zadáme IP adresu Vašeho zařízení a dále rozmezí IP adres, které mají být automaticky vyhledány.
Obr.2.1: Dialogové okno Discover Network Names s adresami použitými při měření Položka Discover using : IP (vyhledává IP adresy v síti), IPX (dotazuje se lokálních NetWare serverů a ptá se na NetWare login name pro každou pevnou IP adresu nalezenou na lokálním serveru) a Msft (vyhledává pouze NetBIOS/NetBEUI, která jsou šířena na síti).
2.2.
Filter Setup for Selected Probe
Při monitorování provozu IP telefonie je vhodné do systému zadat filtry, které odstraní nadbytečný provoz v síti. Vytvoříme tedy filtr umožňující monitorování komunikace pouze mezi IP telefony a Gatekeeperem. K tomu použijeme volbu Tools → Filter Setup for Selected Probe (ikona
). V zobrazeném dialogovém okně použijeme pravé tlačítko myši a zvolíme
Observer, verze 1.0
-5-
Prosinec 2003
Create New Address Filter Entry (obrázek 2.2). Observer otevře dialogové okno ve kterém již vytvoříme konkrétní filtr (obrázek 2.3). Filtr lze vytvořit na základě IP adresy, hardwarové adresy nebo adresy IP verze 6 (Ipv6). Využití Vámi vytvořeného filtru závisí na konkrétním použitém nástroji. Obvykle se použití filtru nastavuje v položce Setup (ikona ), povolením Use current filter.
Obr.2.2: Okno Filters - přidání nového filtru
Obr.2.3: Dialogového okno Add/Edit Address Filter Entry - přidání filtru
2.3.
Top Tolkers Statistics
Je to jeden z nejjednodušších, ale nejvíce užitečných módů. Dovoluje síťovým administrátorům monitorovat, které stanice generují a přijímají největší provoz v síti. Cesta Statistics → Top Talkers Statistics (ikona ikony
, ukončení pomocí ikony
Observer, verze 1.0
). Spuštění aplikace se opět provede pomocí
.
-6-
Prosinec 2003
Obr.2.4: Okno Top Talkers Statistics - MAC Zobrazené výsledky měření jsou zaměřeny na IP telefony a Gatekeepera. Zobrazená data lze seřadit podle libovolného sloupce kliknutím na něj. Pomocí pravého tlačítka myši na hlavičce sloupce lze vybrat, které sloupce budou zobrazeny. Pokud jsou aktivní ikony Sloupcového grafu, Koláčového grafu a textového výpisu, pak Observer zobrazí měřené hodnoty zvoleným způsobem. Lze také pomocí rozbalovací nabídky zvolit, zda grafické zobrazení bude ve formátu Packets, pkt/s, Byte, Byte/s, atd.
Obr.2.5: Okno Top Talkers Statistics - IP
2.4.
Size Distribution Statistics Mode
Mód zobrazuje všechny stanice na Vaší síti LAN (akceptuje však Vaše případné zvolené filtrační kritérium - Use current filter). Zachycuje pakety z jednotlivých stanic a provede rozdělení jednotlivých paketů dle velikosti. Výstupem je tedy výpis jednotlivých stanic s procentuálním rozdělením paketů dle jejich velikosti (jednotkou je byte). Na základě tohoto výpisu lze určit problémy síťového toku dat a identifikovat stanice nebo routery, které posílají nejvíce malých a velkých paketů. Výsledkem může být zpětná optimalizace provozu. Cesta Statistics → Size Distribution Statistics.
Observer, verze 1.0
-7-
Prosinec 2003
Obr.2.6: Okno Packet Size Distribution Statistics
2.5.
Internet Observer
Mnoho situací vyžaduje monitorování použití Internetu. Jako možnost aplikace politiky společnosti v oblasti omezování soukromého užívání Internetu. Představuje také možný způsob jak určit, které Internetové protokoly jsou používány, nebo s kterými Internetovými stránkami uživatel komunikuje. Toto vše Observer usnadňuje. V oblasti IP telefonie lze pomocí tohoto módu zjistit směr a objem komunikace, vytvořené komunikující ) použít páry a použité subprotokoly při komunikaci. Opět lze v položce Setup (ikona volbu Use current filter. Cesta Statistics → Internet Observer (ikona ikony
, zastavení pomocí ikony
). Spuštění pomocí
.
Obr.2.7: Okno Internet Observer - Internet Patrol Na obr.2.8 je gatekeeper označen pcn211a.vsb.cz, IP telefony mají adresy IP ve tvaru 158.196.251.201, 158.196.251.202, 158.196.251.203 a 158.196.251.205.
Observer, verze 1.0
-8-
Prosinec 2003
Obr.2.8: Okno Internet Observer - IP Pairs IP Pairs je možnost zobrazení komunikujících dvojic IP telefonů. Z obr.2.8 lze vidět, že telefony 201, 202,203 a 205 jsou všechny spojeny s Gatekeeperem (pcn211a.vsb.cz). Platí, že čím je čára světlejší, tím je komunikace starší. Dále vidíme, že probíhala komunikace mezi telefony 201-205 a 202-203. Zobrazení lze opět změnit na sloupcové, koláčové nebo textové.
Obr.2.9: Okno Internet Observer - IP Subprotocols Poslední možností je zobrazení subprotokolů, které používají jednotlivá zařízení. Ze zobrazeného výsledku měření vidíme, že IP telefonie používá protokoly typu VoIP a pro program Observer nespecifikované protokoly other. Možnost podrobnějšího zobrazení výpisu protokolů až na úroveň základních typů bude uvedena dále (viz. kapitola 2.8).
2.6.
Router Observer
Routery jsou často zúžená místa v síti. Observer Vám umožňuje monitorovat router v reálném čase a stanovit jeho procento vytíženosti. Tento nástroj je přímým prostředkem pro rychlé určení zda router působí jako zúžené místo v síti. Určíte také zda pakety blokují router ve směru přicházejícím nebo odcházejícím. Cesta Statistics → Router Observer Před použitím nástroje Router Observer je nejprve nutno pomocí položky Setup (ikona ) určit Váš konkrétní směrovač (IP zařízení) ze zobrazené tabulky adres. Je možno zadat i přenosovou rychlost závislou na síťové konfiguraci (případně je rychlost vyplněna
Observer, verze 1.0
-9-
Prosinec 2003
automaticky po určení adresy). Spuštění Router Observe provedeme pomocí ikony zastavení pomocí ikony
,
.
Obr.2.10: Okno Router Observer - Gatekeeper Přidání dalších zobrazovacích oken provedeme pomocí pravého tlačítka myši na záložce a volbou Create Router Observer Window. Opět zvolíme IP zařízení pomocí volby Setup (ikona ).
Obr.2.11: Okno Router Observer - IP telefon
2.7.
Network Activity Display
Network Activity Display zobrazuje kritické informace vytížitelnosti a broadcast znázorňované na referenční ose provozu. Toto zobrazení Vám může pomoci podívat se na „zdraví“ sítě LAN a může Vás upozornit na hrozící zpomalení (oslabení) způsobené přívalem broadcastů a multicastů. Tento mód nelze ovlivnit, jakmile je spuštěn dochází k jeho automatickému startu. Cesta Statistics → Network Activity Display. Je opět možno volit několik zobrazovacích módů.
Observer, verze 1.0
- 10 -
Prosinec 2003
Obr.2.12: Okno Network Activity Display.
Obr.2.13: Okno Network Activity Display.
2.8.
Protocol Distribution Mode
Mód ukazuje jak jsou Vaše data distribuována sítí na základě protokolů. Můžete získat nový pohled na komunikaci v síti, zjistit jaké protokoly používají jednotlivé servery a aplikace spuštěné v monitorované síti. Síťový administrátor může tímto jednoduchým pohledem na síť zjistit zda jsou v síti neznámé nebo nekonfigurované protokoly. Cesta Statistics → Protocol Distribution. Na obr.2.14 je zobrazen výpis protokolů zachycených při IP telefonii. Použijete-li správně filtry (Use current filter) pak bude výpis obsahovat pouze protokoly používané při IP telefonii.
Observer, verze 1.0
- 11 -
Prosinec 2003
Obr.2.14: Okno Protocol Distribution Statistics - při použití filtru
2.9.
Ping / Trace Route
Mód umožňuje uživateli zjistit zda je daná stanice aktivní pomocí funkce Ping. Funkce Ping je vyslání požadavku ICMP echo request na příslušnou adresu, jestliže stanice pracuje normálně pak odpoví. Jestliže je však stanice za firewall, pak může tento firewall zabránit průchodu odpovědi. Mód uživateli umožňuje zadat velikost paketu (Packet size), počet paketů (Packets). Posledním parametrem je čas (Timeout), jestliže Observer nedostane odpověď v čase menším než Timeout, pak rozhodne, že stanice nepřijímá nebo neodpovídá.
Obr.2.15: Okno Ping/Trace Route - mód Ping Dále je zde funkce Trace, která provede výpis cesty z počítače na kterém je instalován Observer ke stanici se zadanou Internetovou adresou (předpokladem je její aktivní stav).
Observer, verze 1.0
- 12 -
Prosinec 2003
Obr.2.16: Okno Ping/Trace Route - mód Trace Route
2.10. Triggers and Alarms Mód umožňuje nastavit spouštěcí impulsy (triggers) pro jednotlivé síťové aktivity a přičlenit režimy když nastane spouštěcí impuls. Vícenásobné spouštěcí impulsy mohou být nastaveny a spuštěny současně. Nastavené akce mohou být například výstup na přiřazenou tiskárnu, zápis do zadaného souboru, výpis okna s hlášením na obrazovku, spuštění definovaného programu, hlášení na Pager a další.
Obr.2.17: Okno Triggers and Alarms Konfigurace módu se provádí pomocí položky Setup (ikona ). Zobrazí se nám dialogové okno Probe Alarms Setting. Volba Alarm List nám umožňuje nastavení typů alarmů, které chceme, aby Observer registroval. Možné alarmy jsou zobrazeny na obr.2.18. Volba Triggers určuje možné spouštěcí impulsy, které vyvolají reakci Observeru. Je zde uveden základní popis alarmů a parametry při kterých dojde k reakci Observeru. Je možno opět použít uživatelský filtr (Use current filter profile), který způsobí reakci Observeru pouze na alarmy na příslušných adresách. Poslední volbou je Actions, ve které určujeme jaká bude reakce Observeru na přítomnost daného spouštěcího impulsu (triggers).
Observer, verze 1.0
- 13 -
Prosinec 2003
Obr.2.18: Okno Probe Alarms Setting - Alarm list
Observer, verze 1.0
- 14 -
Prosinec 2003
3.
Zachycení komunikace a dekódování paketů
Všechny dále zobrazené výsledky jsou získány na základě komunikace čtyř IP telefonů typu Siemens 400 a softwarového Gatekeeperu.
3.1.
Packet Capture Mode
Tento mód zachycuje provoz LAN sítě a ukládá data pro pozdější prohlížení v okně Packet View Decode. Packet Capture je také používán pro zobrazení specifických paketů během síťové konverzace. Na základě okamžitého pohledu na vysílanou informaci a na specifikovanou odpověď můžete častokrát získat pohled na daný problém nebo na nekorektní komunikaci. Toto vše je možné pomocí monitorující stanice, která pouze zachytí problémovou komunikaci bez nutnosti fyzického přístupu správce na danou stanici. Jednou zachycený paket může být zobrazen a analyzován v submódu Decode and Analysis. Toto platí jak pro okamžitě zachycené pakety, tak pro pakety uložené v souboru ve formátu *.BFR. Hlavní výhodou tohoto módu je, že všechna zachycená data zcela akceptují Vámi zadaný uživatelský filtr. Hlavní nevýhodou je, že submódy (vyjímkou je mód Decode) jsou pouze statické, zobrazují výsledky na základě dat zachycených v bufferu. Cesta Capture → Packet Capture (ikona
). Spuštění módu pomocí ikony
,
zastavení pomocí ikony . Vykreslená data lze smazat pomocí ikony . Můžete vidět tři různé křivky v grafu (Total - celkový počet paketů, Captured - zachycené pakety, Dropped reprezentují chybové stavy, které nejsou částí běžných procesů Observeru).
Obr.3.1: Okno Packet Capture - grafické zobrazení Výsledky zachycení paketů lze také zobrazit pomocí zobrazení Dial, výpisu do tabulky List display, Sloupcového grafu a Koláčového grafu. Na obr.3.2 je zobrazen výpis do tabulky.
Observer, verze 1.0
- 15 -
Prosinec 2003
Obr.3.2: Okno Packet Capture - zobrazení výpisu do tabulky
3.2.
Packet Capture Decode and Analysis Submode
Tento mód zachycené pakety dekóduje a provede jejich analýzu. Pro zvolení tohoto módu použijeme ikonu . Po aktivaci se zobrazí okno Decode.
Obr.3.3: Okno Decode and Analysis První pole okna (Packet header) zobrazuje číslovaný výpis všech zachycených paketů (Záhlaví paketů). Parametr Offset je zobrazen pouze při výběru některé položky v sekci dekódovaného paketu a určuje offset vybraného řásku od začátku dekódovaného paketu. Možnost znalosti offsetu může být využita například při vytváření offsetového filtru. Tento filtr můžeme vytvořit pomocí pravého tlačítka myši v Hexa výpisu (Start Packet Capture on Segment/Offset nebo Create filter on Segment/Offset) Druhé pole okna (Decode) je již dekódovaný tvar vybraného paketu z první části. Třetí pole okna (Raw Packet Display) je řádkový výpis paketu v Hexa tvaru, označíme-li některý řádek v druhé části, pak je v části třetí označena příslušná část Hexa výpisu. Změna velikosti jednotlivých polí oken se provede pomocí posunutí rozdělující čáry myší.
Observer, verze 1.0
- 16 -
Prosinec 2003
Obr.3.4: Okno Decode and Analysis - rozbalená nabídka dekódované části Pro tento mód jsou přístupné následující volby (cesta Mode commands) : - Save capture buffer - uloží zachycené pakety ve formátu Observeru (*.BFR) - Save capture as text - uloží dekódované pakety v textovém formátu - Find packet - vyhledá paket dle zadaného parametru - Go to packet number - přejde na paket s požadovaným pořadovým číslem - Post filter - provede filtraci zachycených paketů na základě vytvořeného filtru (popis vytvoření filtru viz. kapitola 2.2) - Hardware address - Zdroj a Cíl uvede ve tvaru MAC adresy - Network card (NIC) manufactured - Zdroj a Cíl uvede ve tvaru NIC - Alias Name - Zdroj a Cíl uvede ve tvaru Alias (definice Aliasu v módu Discover Network Name) - IP address - Zdroj a Cíl uvede ve tvaru IP adresy Pomocí záložek lze zobrazit další možné submódy. Mód Expert Analysis není dostupný, není na něj zakoupena Licence. 3.2.1. Decode and Analysis - submode Summary Tento submód zobrazuje statistiky informací obsažených v zachycených paketech. Jedná se o statické zobrazení zachycených dat.
Observer, verze 1.0
- 17 -
Prosinec 2003
Obr.3.5: Okno Summary - submód Decode and Analysis První část okna obsahuje zachycené atributy, druhá statistiku zachycených paketů a třetí chyby zachycených paketů. 3.2.2. Decode and Analysis - submode Protocols Tento submód je podobný módu Protocol Distribution Statistics Mode popsanému dříve. Zobrazení je však statické, popisuje stav komunikace na základě zachycených paketů.
Obr.3.6: Okno Protocols - submód Decode and Analysis Na obr.3.6 jsou zachyceny použité protokoly při komunikaci IP telefonů a Gatekeepera. Opět je možné zobrazení několika způsoby (ikony grafů). 3.2.3. Decode and Analysis - submode Top Talkers Tento submód je podobný módu Top Talkers popsanému dříve. Opět je statický, popisuje stav bufferu. Změní se až v okamžiku přijetí nových dat v módu Packet Capture. Data jsou zobrazena pomocí MAC adresy nebo pomocí IP adresy (záložky). Je opět možnost několika grafických zobrazení.
Observer, verze 1.0
- 18 -
Prosinec 2003
Obr.3.7: Okno Top Talkers - submód Decode and Analysis 3.2.4. Decode and Analysis - submode Pairs (Matrix) Tento submód je podobný módu Pair Statistics (Matrix) popsanému dříve. Je statický, zobrazuje grafické znázornění proběhlé komunikace mezi IP telefony a Gatekeeperem. V levém poli okna Protocols jsou zobrazeny zachycené typy protokolů. Pomocí levého tlačítka myši lze zobrazit pouze komunikaci pomocí vybraného protokolu.
Obr.3.8: Okno Pairs (Matrix) - submód Decode and Analysis 3.2.5. Decode and Analysis - submode Internet Observer Tento submód je podobný módu Internet Observer popsanému dříve. Opět se jedná o statické zobrazení distribuce protokolů na základě zachyceného bufferu dat.
Observer, verze 1.0
- 19 -
Prosinec 2003
Obr.3.9: Okno Internet Observer (Internet Patrol) - submód Decode and Analysis Zobrazení Internet Patrol představuje sloupcový výpis komunikace s ohledem na pakety (velikost, počet, počet v jednotlivých směrech). Zobrazené sloupce lze opět pomocí pravého tlačítka myši na záhlaví sloupce upravit, tedy vybrat které parametry chceme zobrazovat. Pomocí pravého tlačítka na řádku lze přejít do dialogového okna Filters pro vytvoření uživatelského filtru. Zobrazení IP Pairs (Matrix) zobrazuje komunikaci na základě vytvořených komunikujících párů. Zobrazení IP Subprotocols zobrazuje použité protokoly při vzájemné komunikaci, uvádí v kolika paketech byl příslušný protokol použit.
Obr.3.10: Okno Internet Observer (IP Subprotocols) - submód Decode and Analysis
Observer, verze 1.0
- 20 -
Prosinec 2003
