Kytkentäisen Ethernet-verkon monitorointi ei suju yhtä yksinkertaisesti kuin vanhassa jaetun median Ethernet-verkossa. Tässä vinkkejä miten homman voi hoitaa.

Kytkentäisessä Ethernet-verkossa kehys ohjataan eteenpäin vastaanottajan MAC-osoitteen (Ethernet-osoite) perusteella:

• Jos kytkin tietää portin jossa vastaanottaja sijaitsee, kehys ohjataan vain siihen porttiin.
• Jos kytkin ei tiedä missä vastaanottaja sijaitsee, ohjataan kehys kaikkiin portteihin
• Broadcastit ohjataan kaikkiin portteihin. (Jos broadcasteja ole rajoitettu tai käytössä ei ole VLANeja)

Kytkimet eroavat toisistaan. Joku kytkin suodattaa AINA vialliset kehykset pois joten niitä ei näy muualla kuin ongelmallisessa yhteydessä. Joissan kytkimessä voidaan määritellä päästääkö se vialliset läpi vai ei. Näistä syistä kytkentäisen verkon analysointi eroaa täysin perinteisestä keskitinpohjaisesta verkosta. Jos analysaattori/testeri kytketään kytkimen porttiin, se näyttää ko. liitynnän liikenteen = käytännössä broadcasteja.

Liikenteen monitorointi vaatii siis lisätoimenpiteitä: yleensä monitorointi keskitetään palvelin- ja reititinportteihin joissa näkyy eniten liikennettä ja saadaan yleiskuva tietyn palvelimen tai ulossuuntautuvan liikenteen (reititin) osalta. Liikenteen monitorointiin on kolme tapaa:

1. kytkimen portin kopiointi ns. monitoriporttiin, jossa analysaattori/testeri on.

Riippuen kytkimestä kopioitavien porttien lukumäärä vaihtelee yhdestä ylöspäin. Portteja kopioitaessa on muistettava se tosiseikka, että kytkimet voivat suodattaa vialliset kehykset pois joten ne eivät näy analysaattorille. Myöskään törmäyksiä ei kopioida, joten niitäkään ei pystytä havaitsemaan.

2. asennetaan tap eli ”väliotto” kriittisiin linjoihin joita halutaan monitoroida.

Analysaattori/testeri kytketään tähän tap-adapteriin. Tällätavoin ei tarvita portin kopiointeja (monitorointi rajoittuu yhteen porttiin kerrallaan). Tätä on joskus tehty myös hubilla, mutta silloin on muistettava että hubi on AINA half-duplex eli jos esim. palvelin on alunperin full-duplex yhteydellä kytkimessä hubin väliintulo pudotaa kokonaisnopeuden puoleen. Tap on täysin näkymätön monitoroitavalle yhteydelle eli se ei vaikuta liikennöintiin eikä liioin sähkökatko tap-adapterissa aiheuta muuta kuiin analysaattoriin menevän liikenteen häviämisen. Tap-adapterin käyttö on ainoa tapa varmistaa kaiken liikenteen näkyminen analysaattorille.

3. tehdään SNMP-kyselyjä kytkimeltä ongelmallisen portin selvittämiseksi.

Tämä tehdään yleisimmin kytkimen mukana tulleella hallintaohjelmalla. SNMP/RMON pohjainen tieto kertoo MAC-tason tilan eli ilmoittaa esim. liikenteen kokonaismäärän, broadcastien määrän sekä vialliset kehykset. Ongelmaksi muodostuu tyypillisesti MAC-osoite, sillä kytkimet eivät sitä välttämättä (riippuu kytkimestä) kerro. Jos tällainen kytkin ei päästä viallisia kehyksiä monitoriporttiin jää ainoaksi vaihtoehdoksi liittyä ongelmallisen yhteyden rinnalle tap-adapterilla (hubikin käy, tosin ne ovat useimmiten 10Mbit/s ja AINA half-duplex) jos halutaan tutkia viallista liikennettä tarkemmin.

Miten mittaukset tehdään?

1. Selvitä kytkimen tila esim hallintaohjelmalla jolla näkyy hyvin kokonaiskuva eli kaikkien porttien liikennemäärä ja MAC-tason virheet. Jos käytössä on verkonvalvontasovellus, hoituu asia tietenkin sillä. Jos hallinta- tai valvontasovellusta ei ole käytössä voidaan käyttää SNMP-kyselyjä tekeviä verkkotestereitä kuten EtherScopea.

2. Jos ongelmalllinen yhteys on selvillä, kopioi liikenne monitoriporttiin (tai käytä tap-adaptereita) jolloin analysaattorilla päästään selvittämään kaikkien OSI-tasojen ongelmat mikäli tarpeen. Jos yhteydessä on kehysvirheitä, on syy normaalisti joko verkkokortti tai kaapelointi. SNMP:llä saatava statistiikka ei näytä ongelmia olevan MAC-tasolla, on ongelma ylemmillä OSI-tasoilla jolloin liikenteen seikkaperäinen analysointi on tarpeen.

Pätkivien client-server sovellusten vikaselvityksiin on paras vaihtoehto Opnetin ACE, joka analysoi esim. tcpdumpilla, Wiresharkilla (ent. Ethereal) tai Opnetin omilla agenteilla kerätyn liikenteen ja osoittaa suoraan syyn ongelmaan.

TAP-tyypit

TAP adaptereita on kaksi perustyyppiä.

1. Liikenteen yhdistävät adapterit

Tämäntyyppiset adapterit ovat nykyisin suositumpia, sillä niitä käyttämällä selvitään analysaattorissa yhdellä portilla jonka vastaanottoon molempien liikennöintisuuntien liikenne ohjataan. Rajoittavana tekijänä on siirtokapasiteetti, sillä teoriassahan full-duplex yhteyden siirtokapasiteetti on kaksinkertainen, esim 2 x 100Mbit/s. Kun tällainen liikenne ohjataan yhteen vastaanottopiiriin, rajoittuu vastaanotettavan liikenteen maksimiarvo tietenkin 100Mbit/s. Tämä on hyvä muistaa varsinkin palvelimien yhteyksiä monitoroidessa.

2. Liikenteen erikseen kopioivat adapterit 

 Alunperin adapterit kopioivat aina yhden liikennöintisuunnan yhteen analysaattoria varten tarkoitettuun liitäntään, eli analysaattorissa oli oltava kaksi vastaanottavaa porttia jotta molemmat suunnat voitiin analysoida. Tästä syystä yhdistävät adapterit ovat suositumpia.

Taustatietoa kytkimen toiminnasta

Kytkimillä on kaksi päätoimintatapaa:

1. store and forward

kytkin ottaa koko kehyksen vastaan ennen edelleenohjaamista. kytkin tarkastaa kehyksen tarkistussumman ja heittää vialliset pois.

2. cut-through

kun kytkin on ottanut vastaan kehyksestä alun eli vastaanottajan osoitteeseen saakka se ohjaa sen eteenpäin. Vialliset, alimittaiset ja ylipitkät kehykset pääsevät läpi.

Kytkimen manuaalista selviää miten kytkin tukee näitä eri tapoja. Jotkut kytkimet voidaan pakottaa toimimaan tietyllä toimintatavalla, toiset toimivat älykkäästi” ilman että siihen voi puuttua.