Manual Analisis de Trafico

Diplomatura en Telecomunicaciones y Redes de Datos Mdulo 6

ANLISIS DE TRFICO Y DIAGNSTICO EN REDES LOCALES TEORIA Y METODO

INTRODUCCION El presente trabajo intenta establecer un mtodo de trabajo para llegar a un diagnstico lo mas preciso posible basado en decisiones cuantitativas, a partir de mtricas tomadas por equipos y software especficos. Bsicamente todo apunta a llegar a un DIAGNSTICO, objetivo que es exitoso en cuanto involucra dos elementos: un cumulo de experiencia para elaborar una hiptesis de trabajo basado en determinados sntomas y una estrategia de investigacin que debiera ser sustentada por un mtodo de trabajo que gue a los profesionales hacia este objetivo. Como todo mtodo, es perfectible y deseamos que as sea, para lo cual invitamos a todos aquellos que lo usen a aportar las mejoras obtenidas de probar al mismo en el campo. Pensamos que el anlisis de trfico ser una disciplina preponderante ya que la infraestructura de red usada por la organizacin, sustenta el trfico transaccional de mas y mas aplicaciones y que cada una de ellas tiene determinadas exigencias y comportamiento a la hora de usar esta infraestructura.

ESTRUCTURA DEL MODULODIA 1

2

3

4

5 6

TEMAS Introduccin al management de red y al anlisis de trafico Por que aparece la necesidad de anlisis de trafico? Fuerzas Que objetivos intenta lograr el anlisis de trafico? Que limites y alcances tiene? Cual es la problemtica que plantean las mediciones El mtodo: secuencia SINTOMA HIPOTESIS ESTRATEGIA ANALISIS DIAGNOSTICO TRATAMIENTO. Diagnostico de infraestructura de cableado: Estndar EIA/TIA 568 Parmetros de medicin de la categora 5: Atenuacin, crosstalk, NEXT, mapa de cableado, etc. Parmetros de medicin de la categora 6: PowerSum NETX, EFNETX, etc. Metodologa planteada por el boletn TSB 67 Herramientas de anlisis y diagnostico de Link fsico: TDR. Limitaciones. Diagnostico de layer 2: Estndar 802.3 Conceptos bsicos de la arquitectura Ethernet: segmento fsico, lgico, dominio de colisin, dominio de broadcast. Que separa a cada uno. Formatos de la trama y tipos de trama Principios de operacin de CSMA: InterFrameGap, deferral time, colisiones tempranas y tardas. Tipos de errores en CSMA y a que se atribuyen Principios de diseo y optimalidad de CSMA Arquitectura de Ethernet en 100 y 1000Mbps (802.3u, 802.3z, 802.3ab) Protocolos anexos a Ethernet Protocolos adicionales al fenmeno de bridging: Spanning Tree (802.1D) VLANs: Protocolos de identificacin de VLAN. Protocolo 802.1Q. GARP y GVRP Arquitectura de protocolos de TCP/IP Anlisis del encabezado de IP y cada una de las funciones Como es el inicio de una sesin basada en TCP. Mantenimiento de sesin. Parmetros de importancia: round trip time, latencia, troughput. Incidencia del overhead de protocolo en una sesin. Paquet ratio. MTUs. Anlisis de factores que impactan sobre el rendimiento de una sesin. Fundamentos de SNMP y RMON 1 y 2 Arquitectura de SNMP. Conceptos de request de SET y GETS. MIBs. Estructura de las mismas. Lenguaje de descripcin (ASN.1) Community names de lectoescritura. Estndares RMON y su alcance. Grupos. Funciones de cada uno de ellos. Anlisis de trafico: diferentes funciones de un analizador. Interpretacin de los resultados de cada una. Perfil de segmento Captura y decoding Trending y baselining Anlisis post-captura Discovering de dispositivos y de ruta. Introduccin a un mtodo de trabajo para uso de los analizadores Trabajo con analizadores en ambientes switcheados. Pros y contras. Port mirroring. Informacin entregada por el SO de los switches. Trabajo con el analizador de trafico en relacin a los routers. Que se puede hacer y que no. Como medir el trafico a partir de la interfaz LAN del router. Pedido de informacin de trafico al sistema operativo de los routers. Mtodo de trabajo Fase 1 Definicin de los objetivos y Fase 2 Estrategia de medicin Fase 3 Instalacin, seguimiento y recopilacin de mediciones Fase 4 Anlisis y diagnostico LABORATORIOS PRACTICOS LABORATORIOS PRACTICOS Y VISITA DE INVITADO PARA MOSTRAR EQUIPOS DE MEDICION DE CABLEADO / ANALIZADORES DE HARDWARE

INTRODUCCION AL ANALISIS DE TRAFICOQue diferencias existen entre la gestin de la red y el anlisis de trafico? La primera es una estrategia que abarca a la totalidad de los recursos de la red , ya sean clientes, servidores, elementos de conectividad y protocolos, formando una solucin que comprende toda la infraestructura. El anlisis de trafico es especficamente destinado al monitoreo, seguimiento y control del trafico generado por los servicios y las aplicaciones. Podemos decir que es un subset de la administracin de la red, estructurada en layers segn vemos: Soluciones de management de red Openview, CA Unicenter o NetWorkIT Pro, IBM Tivoli Aplicaciones de gestin de dispositivos Ej.: Cisco Works, 3COM Trascend, etc. Aplicaciones y hardware de monitoreo de trafico Ej.: Observer, NAI Sniffer, Shomiti, HP NetMetrix, NetScout, etc. Instrumental de certificaciones de enlace fsico Ej.: TDRs de Fluke, Wandel & Goltermann Por que aparece la necesidad de medir el trafico? Porque las aplicaciones demandan cada vez mas recursos de la red Porque hay cada vez mas aplicaciones distribuidas Por desconocimiento de los consumos de la aplicacin Por desconocer el origen de los problemas Por que otra razn? ____________________________________________________________ Que objetivos intenta alcanzar el anlisis de trafico? Diagnostico de problemas Planificacin de carga y consumos Monitoreo de consumos Comportamiento de aplicacin Algn otro? _____________________________________________________________ Que limites y alcances tiene? Es generalmente pasivo y no pro-activo No corrige los problemas de la red, solo los mide y ayuda a diagnosticar Depende de la capacidad de la herramienta utilizada y de la estructura de la red Algn otro? _____________________________________________________________ Que problemas conlleva el anlisis? Requiere de conocimiento de los protocolos de la red Depende de cmo este conformada la infraestructura Depende del tipo de instrumental utilizado Algn otro? _____________________________________________________________

Como es la secuencia de diagnostico tradicional?SINTOMA "La red esta lenta" "No puedo conectarme a..." "La aplicacion esta lenta..." "Perdi la conexion a..."

RECOPILAR INFORMACION PARA ELABORAR UNA HIPOTESIS DE TRABAJO

- Ocurre siempre ? - Le afecta a todos? - Que cambios se realizaron? -Desde cuando? / Desde donde?

Hipotesis de trabajo mas probable

Nueva hipotesis de trabajo

Desarrollo de una estrategia de analisis y/o mediciones para recopilar informacion precisa y corroborar la hipotesis de trabajo

Analisis y mediciones Interpretacion de los resultados

Corroboran la hipotesis?

No

Si

DIAGNOSTICO Y SOLUCION

ANALISIS Y DIAGNOSTICO DE LA INFRAESTRUCTURA DE CABLEADO ESTANDAR ANSI/TIA/EIA-568-A-95 Y OTROSIntroduccin Una parte del diagnostico del trafico se ve afectado o no por las caractersticas y calidad de los parmetros de la infraestructura fsica, ya que los frames se derivan en pulsos transmitidos por los links fsicos Por ende, ciertos problemas detectados por el analizador de trafico, tales como exceso de errores en las tramas (CRCs errors) derivan de problemas en el cableado. Diagnosticar problemas en la infraestructura de cableado, implica la revisin de los siguientes puntos: El diseo de la infraestructura en si misma, pautada por el estndar ANSI, TIA/EIA 568-A, Comercial Building Telecommunications Cabling Standard y los siguientes subestandards ANSI/TIA/EIA-568-A-95, estructura del cableado ANSI/EIA/TIA-569-A-98, premisas para el cableado. ANSI/EIA/TIA-570-91, cableado residencial y de pequeas oficinas ANSI/TIA/EIA-606-93, administracin y documentacin ANSI/TIA/EIA-607-94, practicas de puesta a tierra Medicin y diagnostico El boletn TIA/EIA TSB-67, define la practica de medicin del cableado. Para categora 5 extendida, se ha definido el boletn TSB-97, con parmetros mas exigentes, tales como el ELFNEXT, por ejemplo. Normalmente, los parmetros mas representativos y deseados de revisin son: Atenuacin, medida en 24dB como peor nivel de ruido NEXT (Near End CrossTalk), 27.1dB, como peor valor Mapa de cable (correcta disposicin del pinout, basada preferentemente en la especificacin T568A PAR Nro. 3 Color Blanco/Verde Verde/Blanco Blanco/Naranja Azul/Blanco Blanco/Azul Naranja/Blanco Blanco/Marrn Marrn/Blanco Funcin T3 R3 T2 R1 T1 R2 T4 R4 PIN # 1 2 3 4 5 6 7 8

2

1

4

Longitud del segmento, menor a 100 metrosTIA/EIA channel 802.3 link segment 100m

L1 Work Area

TIA/EIA basic link 90 m Patch Panel L2

Hub Patch Panel L3

Cuarto de cableado L1 + L2 + L3 = 10 m maximo

Industry Standards Performance Comparison Worst-case channel performance at 100 MHzParameter Category 5 and Class D with pending additional requirements TIA PN-4292 (TSB-95) and SC 25 N 487 1-100 MHz 24 dB 27.1 dB N/A* 3.1 dB N/A 17 dB (new requirement) 14.4 dB (new requirement) 8 dB* (new requirement) 548 nsec 50 nsec Category 5E SP-4195 (A-5) Proposed Category 6 Class E (Performance at 250MHz shown in parentheses) 1-250 MHz 21.7 dB (36 dB) 39.9 dB (33.1 dB) 37.1 dB (30.2 dB) 18.2 dB (-2.9 dB) 15.4 dB (-5.8 dB) 23.2 dB (15.3 dB) 20.2 dB (12.3 dB) 12 dB (8 dB) 548 nsec (546 nsec) 50 nsec Proposed Category 7 Class E (Performance at 600MHz shown in parentheses) 1-600 MHz 20.8 dB (54.1 dB) 62.1 dB (51 dB) 59.1 dB (48 dB) 41.3 dB (-3.1 dB)** 38.3 dB (-6.1 dB)** ffs*** ffs*** 14.1 dB (8.7 dB) 504 nsec (501 nsec) 20 nsec

Specified frequency range Attenuation NEXT Power-sum NEXT ACR Power-sum ACR ELFEXT Power-sum ELFEXT Return loss Propagation delay Delay skew

1-100 MHz 24 dB 30.1 dB 27.1 dB 6.1 dB 3.1 dB 17.4 dB 14.4 dB 10 dB 548 nsec 50 nsec

Note: Industry channel-performance requirements for Category 5E, Category 6, and Category 7 are currently under development. *Pending Class D return-loss requirement at 100 MHz is 10 dB. Class D power-sum NEXT loss is 24.1 dB at 100 MHz. **Positive ACR at 600 MHz is accomplished with the typical Class F implementation with interconnect environment and without transition point. ***ffs-The parameters are marked for future study by the ISO standards group, and anticipated performance requirements are under development. High-frequency bandwidth specs The TIA and ISO working groups are also developing Category 6, Category 7, Class E, and Class F requirements for cabling capable of supporting higher-frequency bandwidths and higher performance than was previously achievable. These specifications will likely be presented to the industry for technical comment and review in early 1999. TIA document PN-4292, proposed telecommunications systems bulletin TSB-95, provides recommendations for the new Category 5 channel parameters of return loss and equal-level far-end crosstalk (ELFEXT) loss. These recommendations are specified to verify the performance of installed, or "legacy," Category 5 cabling to ensure that it can support Gigabit Ethernet applications. TSB-95's return-loss and ELFEXT-loss recommendations were derived from the worst-case transmission performance of channels with only two connection points. This two-connector channel topology is consistent with the IEEE committee's assumption that cabling used to support Gigabit Ethernet systems will most likely use an interconnect instead of a crossconnect field and will not include a consolidation or transition point connection. Before attempting to run Gigabit Ethernet over existing in-stalled Category 5 cabling, you should verify that its performance meets the minimum recommendations of TSB-95. Existing channel configurations with three or four connectors that satisfy the TSB-95 ELFEXT-loss and return-loss requirements will also support Gigabit Ethernet. Because the recommendations of TSB-95 are applicable for the qualification of existing installed cabling only, they should not be used as the minimum performance criteria for new Category 5 cabling. Originally balloted as an addendum, TSB-95 is informative in nature and does not contain mandatory or "shall" requirements.

Category 5E requirements Formally known as TIA SP-4195-A, Addendum 5 to TIA/EIA-568A specifies Enhanced Category 5 (Category 5E) performance requirements. It is strongly recommended that new Category 5 cabling installations be specified to satisfy the minimum requirements of this document, and it is expected that TIA/EIA-568A-5 will emerge as the new de facto minimum standard for Category 5 cabling. The standard specifies the minimum ELFEXT-loss and return-loss requirements necessary to support developments in applications technology and defines the minimum performance required for a worst-case four-connector channel to support applications that use full-duplex transmission schemes. To ensure additional crosstalk headroom for robust applications support, TIA/EIA-568A-5 also specifies powersum near-end crosstalk (NEXT)-loss and ELFEXT-loss performance for Category 5E cables, links, and channels. Addendum 5 to TIA/EIA-568A is a normative document and, unlike TSB-95, it provides mandatory requirements, not recommendations. Amendment to ISO/IEC-11801 The performance specifications in ISO-proposed draft amendment PDAM 3 provide new requirements for return loss and ELFEXT to complement existing ISO Class D requirements. PDAM 3 specifies return-loss and ELFEXT-loss requirements that are in harmony with the values in TIA/EIA-568A-5; but, the amendment does not specify additional NEXT-loss margin above existing Class D requirements. PDAM 3 also includes propagation-delay and delay-skew requirements for channels and permanent links that are in harmony with the requirements of TIA/EIA-568A. The requirements of proposed Amendment 3 to ISO/IEC-11801 are normative, and this document is expected to become the de facto standard for new Class D cabling installations. Category 6 and Class E The proposed Category 6 and Class E standards under development by TIA and ISO working groups describe a new performance range for unshielded twisted-pair (UTP) and screened twisted-pair (ScTP) cabling. The charter of these working groups is to specify the best performance that UTP and ScTP cabling can be designed to deliver. It is anticipated that these requirements will be specified in the frequency band of at least 1 to 250 megahertz and will be capable of supporting a positive power-sum attenuation-tocrosstalk ratio (ACR) to 200 MHz. At this time, there are no applications, either pending or proposed, under development for operation over Category 6 and Class E cabling. For Category 6 and Class E cabling topologies to be consistent with existing category and class requirements, the standards groups have agreed upon the 8-position modular-jack interface as the mandatory work-area interface. Category 6 and Class E specifications thus will be backward-compatible, which means that applications running on lower categories or classes of cabling will be supported by the Category 6 and Class E infrastructure. If components of a different category or class are mixed with Category 6 and Class E components, the combination shall meet the transmission requirements of the lowest-performing component. TIA/EIA, ISO/IEC, CENELEC (the European Committee for Electrotechnical Standardization-Brussels), and other groups are collaborating closely on the development of Category 6 and Class E standards, and their proposed requirements are very much in harmny. It is expected that Category 6 and Class E requirements will be available for industry review within the next six months. If TIA and ISO do not encounter unexpected technical issues, the industry could have access to published Category 6 and Class E requirements within 12 months. Category 7 and Class F Proposed Category 7 and Class F requirements are being developed for fully shielded (i.e., overall shield and individually shielded pairs) twisted-pair cabling. Category 7 and Class F will be supported by an entirely new interface design (i.e., plug and socket). Even though these requirements will be supported by a new connecting hardware interface, Category 7 and Class F will also be backward-compatible with lower-performing categories and classes.

It is anticipated that Category 7 and Class F requirements will be specified in the frequency band of at least 1 to 600 MHz. At this time, there are no applications, either pending or proposed, under development for operation over Category 7 and Class F cabling. It is interesting to note that TIA is not actively developing a standard for Category 7 and will most likely harmonize with the Class F requirements put forth by ISO. If industry consensus is achieved on the selection of a Category 7 inter-face design, Class F requirements might be available at approximately the same time as the Category 6 and Class E specifications. The table compares channel-performance data at 100 MHz and other frequency values of interest for the TIA Category 5, 5E, proposed 6, and 7 and ISO Class D, E, and F performance standards. Think ahead When designing and installing structured-cabling systems, choose the strongest foundation to support your present and future networking needs. To ensure support of emerging technologies that use the latest advances in signaling schemes, it is critical to be as informed as possible. Trust the TIA and ISO standards groups to specify complete cabling criteria capable of supporting tomorrow's technologies today. HERRAMIENTAS DE MEDICION: EL TDR (TIME DOMAIN REFLECTOMETER) Es el certificador de los parametros de rendimiento del cable. Normalmente llegan solo hasta la capa 1 de OSI, certificando que el link fisico cumple con lo referido a la categoria y bajo las condiciones de medicion y testing establecidas en el TSB67 o TSB95 Ejemplos de este tipo de herramientas son el FLUKE DSP-4000 o el Microtest. Normalmente su costo oscila entre los USD 3000.- y los USD 8000.- dependiendo de las capacidades, y algunos de ellos tambien incluyen mediciones de layer 2, tales como utilizacion del canal y/o colisiones. A continuacion, se inserta un extracto de las especificaciones del instrumental de FLUKE. ***** The DSP-4000 Digital CableAnalyzer can boost your bottom line by providing fast, accurate testing of high-performance Cat 5E, Cat 6 or fiber optic cabling. The DSP-4000 is so easy to use that you'll spend less time training and more time certifying. One button diagnostics spot problems quickly, making you more efficient. Built for abuse, with its heavy-duty overmolding and protected display, you'll reduce downtime due to breakage. Features of the DSP-4000 Digital CableAnalyzer: Provides unsurpassed ruggedness to keep your crews up and running. Gives you the fastest test times using high-speed digital technology. Minimizes training time with ease of use. Automatically diagnoses cabling fault and shows exact location in feet or meters. Exceeds specification requirements for Cat 5, Cat 5E and Cat 6 with level III accuracy. Accepts the new manufacturer-specific Cat 6 connectors. Displays results to 350 MHz. Shows detailed plots of NEXT, ELFEXT, PSNEXT, Attenuation, ACR, Propagation Delay, and Return Lossup to 350 MHz. Works with an optional Fiber Test Adapter to provide automatic dual wavelength loss testing for two fibers at a time. Provides built-in Talk Mode for two-way voice communication between the main and remote units. Includes tone generator for use with a tone probe, such as the Fluke 140, to trace wires and identify cable in LAN installations.

Includes free Windows-based DSP-LINK software that lets you quickly download all stored test results (500 to more than 2000) from the DSP-4000 to your PC. Monitors network traffic on 10Base-T and 100Base-T Ethernet systems, and helps identify hub port connections.

Powerful high definition diagnostics The DSP-4000 helps you quickly identify and locate opens or breaks, short circuits, and anomalies in the cabling link under test. With a touch of the FAULT-INFO key, the DSP-4000 automatically diagnoses the cabling faults and graphically displays the cabling link and the location of the defect. Utilizing Enhanced High Definition Time Domain Crosstalk (HDTDX) and High Definition Time Domain Reflectometry (HDTDR), the DSP-4000 can precisely locate the position of a crosstalk problem any distance along the link - measured in feet or meters - from the tester. These high definition diagnostics make the DSP-4000 the industry's first cable tester to pinpoint sources of crosstalk or return loss anywhere along an entire link length. Optional Link Interface Adapters Manufacturers' proprietary Cat 6 solutions are making testing a challenge, due to the need for tuned jack/plug combinations from the same manufacturer. Fluke has solved this with its manufacturer-specific Link Interface Adapters. These optional adapters allow you to tailor you DSP-4000 for every installation, delivering unequaled link test accuracy. In the future, when a Cat 6 connector is industry standard, Fluke will offer a standard Cat 6 Link Adapter for the DSP-4000 which will allow the testing of all Cat 6 links. Optional Fiber Test Adapter The optional DSP-FTA410S Fiber Test Adapter easily attaches to the DSP-4000, allowing bi-directional testing of dual multimode fiber links at 850 nm and 1300 nm, testing two fibers at a time. It also measures optical power, loss, length, and propagation delay; provides pass/fail results based on common fiber test standards; and may be used with a separate power source, such as the Fluke LS-1310/1550 to measure optical power and power loss of singlemode fiber at 1310 nm and 1550 nm. The Fiber Test Adapter also supports the DSP-4000 Talk Mode, allowing easy voice communication with your partner. Small Form Factor (SFF) Accessory Kits Fluke's new SFF Accessory Kits allow you to test fiber links containing SFF connectors (including MT-RJ, VF-45, and LC), and FiberJack connectors, quickly and accurately. Used with the DSP-4000 and the DSP-FTA410S Fiber Test Adapter, the SFF testing provides loss results that conform to ANSI/TIA/EIA-526-14A, Method B when used with the additional test jumper now included with the Fiber Test Adapter. This procedure provides improved test results by including loss of the fiber PLUS the connectors at BOTH ends. Application note available. Premise Wiring Vendor Approvals To ensure you have the best tool to meet your cable installation and certification needs, Fluke has subjected its award winning DSP-4000 Digital CableAnalyzer to rigorous testing in the leading wiring manufacturers' labs. Read what they had to say in their approval letters.

Mas informacin On Line: www.fluke.com/nettools www.cabling-design.com www.cabletesting.com www.siemon.com www.faqs.org/faqs/LANs/cabling-faq REVISION DEL CAPITULO: ALGUNAS PREGUNTAS? Nombre dos parmetros a controlar dentro del link fsico, que deban ser vigilados 1 - _______________________________________________________________

2 - _______________________________________________________________ Que estndar rige las practicas de medicin y certificacin? __________________________________________________________________

ANALISIS DEL LAYER DE ENLACE EN AMBIENTES DE LAN ESTANDAR 802.3 (ETHERNET)Historia Bob Metcalfe describi por primera vez un sistema al que denomino Ethernet, en 1973, basado en un sistema llamado red ALOHA, una red basada en transmisin radial, inventada a fines de los 60s en la Universidad de Hawaii Hacia 1972, el desarrollo de Metcafe y sus colegas en los laboratorios de Xerox, en Palo Alto, una computadoras personales ALTOS, en una red que comparta un nico canal, a 2.94Mbps: Haba nacido lo que Metcalfe denomino Alto Aloha Network, posteriormente cambiado a Ethernet para manifestar la transmisin por propagacin de la seal en un nico canal. En Julio de 1976, Metcalfe y Boggs publicaron el estndar Ethernet: Conmutacin de paquetes distribuida, para redes locales Hacia fines de 1977, la patente fue publicada como Sistema de comunicacin de datos multipunto con deteccin de colisin, propiedad de Xerox Corp. En 1980, el consorcio formado por DEC-Intel-Xerox, publico el estndar conocido como DIX Ethernet, luego, en su versin 2.0 llevado ante la IEEE en un esfuerzo por estandarizarlo. El estndar de la IEEE fue creado bajo la direccin del Comit de estndares de redes Locales y Metropolitanas, que identifica a todos los estndares bajo su tutela como 802. En 1985, la IEEE publico el estndar definitivo bajo el titulo: IEEE 802.3 Mtodo de Acceso al Medio de sensado de portadora y deteccin de colisin y sus especificaciones fsicas (IEEE 802.3: Carrier Sense Multiple Access with Colisin Detection and Physical Layer Specifications.) El estndar americano, fue luego mundialmente refrendado por la ISO, como ISO 8802.3 Suplementos de la IEEE Ao Suplemento 1985 802.3a 1985 802.3c 1987 802.3d 1990 802.3i 1993 802.3j 1995 802.3u 1997 802.3x 1998 802.3z 1998 802.3ac 1999 802.3ab 2000 802.3ad Presencia dentro de OSI 2 DATA LINK 1 - PHYSICAL Logical Link Control Sublayer (LLC) Media Access Control (MAC) Physical signaling sublayers Media Specifications

Descripcin 10BASE2 Thin Ethernet Especificaciones del repetidor de 10 Mbps, clusula 9 FOIRL Fiber Link 10BASE-T, twister pair 10BASE-F, fiber optic 100BASE-T Fast Ethernet y Auto-Negociacion Estndar Full-Duplex 1000BASE-X Gigabit Ethernet sobre fibra ptica Extensin del Frame a 1522 bytes para soportar el tag de VLANS 1000BASE-T, Gigabit Ethernet sobre par trenzado Agregacin de links paralelos

802.3 CUADRO COMPARATIVO DE CARACTERISTICASMximo dimetro de la red/longitu d del Medio Mxima cantidad de nodos por segmento Mxima cantidad de repetidores Mxima cantidad de segmentos separados por Mnima longitud de segmento (mt) Especificac in 10BASE5 10BASE2 FOIRL 10BASE-T 10BASE-FL Fiber Link 100BASE-FX 4B/5B 1000BASE-CX 8B/10B 1000BASE-SX 8B/10B Fibre Channel Observacio nes Mxima longitud de segmento (mt) Velocidad Encoding Manchester 10Mbps Manchester 10Mbps 10Mbps Manchester 10Mbps Manchester 10Mbps 1000Mbps (2000Mbps en fullduplex)

Coaxial RG213 Coaxial RG58 FOMM 62.5/125um UTP level 3 o sup.

2800 925 -

500 185 1000

0.5 0.5 -

5 5 -

4 4 --

100 30 0

200

100

No hay (0.3 tpica)

5

4

1024

FOMM 62.5/125um

4000

2000

-

5

4

1024

10BASE-FB Manchester 10Mbps Fiber Backbone 10BASE-FP Manchester 10Mbps Fiber Passive 100BASE-TX 4B/5B 100Mbps (200Mbps en full-duplex)

FOMM 62.5/125um FOMM 62.5/125um UTP level 5, 2 pares STP 150 Ohm FOMM 62.5/125um

2000 500 200 100 No hay 5 4 1024

100Mbps (200Mbps en full-duplex)

824

412 (2000 en fullduplex)

No hay

5

4

1024

1000/2000Mb High-quality ps shielded twisted pair

25 mts

FOMM (MultiModo)

440 mts

220 mts

2 metros

100 Conector: Transeiver externo AUI 30 Conector: BNC 0 Conector: ST Cantidad mxima de transeivers por segmento: 2 Seal: +/- 2.5v Atenuacin mxima en el segmento: 11.5dB Perdida por conector RJ45: 1.5dB Impedancia caracterstica: 100 Ohm Conector: RJ45, pinout TIA/EIA 568 Cantidad mxima de transeivers por segmento: 2 Reemplaza al FOIRL Conexin WS-WS, WS-HUB o HUB-HUB Conector: AUI/ST Cantidad mxima de transeivers por segmento: 2 Se pueden lograr distancias superiores a 2000 m. Utilizando transeivers de FO monomodo (8 o 9/62.5um) full-duplex, llegando a 40 km. Conexin HUB-HUB No fue adoptado No fue adoptado Para acople pasivo de hasta 33 computadoras Con UTP, se requiere conectores RJ45, con pinout TIA/EIA 568 Con STP, se requiere un adaptador de impedancia con conector de 9 pines (MDI D-Type) Cantidad mxima de transeivers por segmento: 2 Conector: Duplex SC o conector MII de 40 pines (para transeiver externo) Portadora de onda: 1350 nm Se pueden lograr distancias superiores a 2000 mts. Utilizando transeivers de FO monomodo (8 o 9/62.5um) full-duplex, llegando a 20 km. Cantidad mxima de transeivers por segmento: 2 No muy adoptado en el mercado Requiere alguno de dos tipos de conectores, en los extremos: HSSDC (High Speed Serial Data Conector de 8 pines o fibre channel style 2) Conector de 9 pines D-Subminiatura (el mismo que el usado en Token Ring para STP de 150 Ohm) Conector: Duplex SC o MT-RJ Existe un elemento, denominado GBIC (Gigabit Ethernet Converter) que permite soportar tanto 1000Base-SX o LX en un mismo port

1000BASE-LX

8B/10B Fibre Channel

1000BASE-T

1000Mbps (2000Mbps en fullduplex) 4D-PAM5 1000Mbps (pulse (2000Mbps apmplitude en fullmodulation) duplex)

Fomm (MonoModo)

10000 m

5000 m

2 metros

UTP level 5 o superior

200

100

No hay

Otros estndares no tan utilizados o difundidos comercialmente son, adems del 10BROAD36 y del 1BASE5:100BASE-T4 4B/5B 100Mbps UTP level 3 o superior, 4 pares UTP level 3 o superior, 2 pares 200 100 No hay 5 4 1024 No fue difundido

100BASE-T2

4B/5B

100Mbps

200

100

No hay

5

4

1024

No fue desarrollado por ningn fabricante

Otros no tan populares: 10BROAD36, 1BASE5

DIFERENTES TIPOS DE FRAMES ETHERNET FRAME ETHERNET II (DIX) IEEE 802.3 Header 14 bytes IP V4 Header 20 bytes Destination MAC address Source MAC address Type Version Header Lenght Type of Service 6 bytes 6 bytes 2 bytes 4 bits 4 bits 1 byte

FRAMES ETHERNET 802.3 IEEE 802.3 Header 14 bytes IP V4 Header 20 bytes Destination MAC address Source MAC address Lenght (Type si >= 0x0600) Version Header Lenght Type of Service 6 bytes 6 bytes 2 bytes 4 bits 4 bits 1 byte

FRAME ETHERNET 802.2 (LLC) IEEE 802.3 Header 14 bytes 802.2 LLC 3 o 4 bytes IP V4 Header 20 bytes Destination MAC address Source MAC address Lenght DSAP (Destination Service Access Point) SSAP (Source Service Access Point) Control Version Header Lenght Type of Service 6 bytes 6 bytes 2 bytes 1 byte 1 byte 1 o 2 bytes 4 bits 4 bits 1 byte

FRAME ETHERNET SNAP (SubNetwork Access Protocol) IEEE 802.3 Header 14 bytes 802.2 LLC 3 o 4 bytes IP V4 Header 20 bytes Destination MAC address Source MAC address Lenght (Type si >= 0x0600) DSAP (Destination Service Access Point) SSAP (Source Service Access Point) Control Version Header Lenght Type of Service 6 bytes 6 bytes 2 bytes 1 byte 1 byte 1 o 2 bytes 4 bits 4 bits 1 byte

FORMATO DE LA DIRECCION FISICA DE ETHERNET (MAC ADDRESS) 1 2 3 F0 2E 15 0000 1111 0111 0100 1010 1000 Organizationally Unique Identifier (OUI) 1er bit = 0 => Direccion de Unicast 1er. Bit = 1 => Direccion de Multicast Todos los bits = 1 => Direccion de Broadcast 4 6C 0011 0110 5 6 77 9B 1110 1110 1101 1001 Interface Address

ESTRUCTURA DE UNA TRAMA IEEE 802.3, CON UN DATAGRAMA IP (V.4) Y UN SEGMENTO TCP INTER FRAME GAP (IFG) Preamble (10101010) Start Frame Delimeter (10101011)IEEE 802.3 hdr 14 bytes

7 bytes 1 byte 802.1Q Vlan Tag Header6 bytes 6 bytes 2 bytes 1 byte Destination MAC address Source MAC address TPID (Tag Protocol Identifier) TCI (Tag Control information) 12 bits = VLAN Identifier 4 bits = 802.1p priorization Lenght (Type si >= 0x0600) 6 bytes 6 bytes 2 bytes 2 bytes

Destination MAC address Source MAC address Lenght (Type si >= 0x0600) DSAP (Destination Service Access Point) SSAP (Source Service Access Point)

802.2 LLC 3 o 4 bytes

1 byte 1 o 2 bytes 4 bits 4 bits 1 byte 2 bytes 2 bytes 3 bits 29 bits 1 byte 1 byte 2 bytes 4 bytes 4 bytes 1 byte 1 byte 2 bytes 2 bytes 4 bytes 4 bytes 4 bits 6 bits 6 bits 2 bytes 2 bytes 2 bytes 3 bytes 1 byte Svr Thput* Svr->Clt Thput*

Sesion de web en ExpoInternet 200.47.108.100 www.cyberjuegos.com 200.47.108.100 www.cyberjuegos.com 200.47.108.100 www.cyberjuegos.com 200.47.108.100 www.cyberjuegos.com 200.47.108.100 www.cyberjuegos.com 200.47.108.100 www.cyberjuegos.com 200.47.108.100 www.cyberjuegos.com 200.47.108.100 www.cyberjuegos.com 200.47.108.100 www.cyberjuegos.com Consulta de DNS 200.47.108.101

TCP/Port 2342Port 1626 TCP/Port 2323Port 1626 TCP/Port 2346HTTP TCP/Port 2353HTTP TCP/Port 2356Port 1626 TCP/Port 2360HTTP TCP/Port 2364HTTP TCP/Port 2366HTTP TCP/Port 2372HTTP

734 73 154 48 170 63 53 35 12

340,424 8,124 127,350 32,367 35,436 54,494 36,965 18,950 8,339

00:02:31 00:06:50 00:01:08 00:00:11 00:02:20 00:00:05 00:00:15 00:00:11 00:00:01

814.5 783.9 668.3 768.9 632.5 697.0 817.1 594.0

2.112 0.048 0.544 0.544 0.592 0.248 0.464 0.408 2.936

15.960 0.112 14.008 20.408 1.424 85.104 17.512 10.688 45.288

200.3.116.2

UDP/Port 2384DNS

4

650

< 00:00:01

913.0

0.000

0.000

Consulta de NetBIOS 208.238.102.110 200.47.108.186 UDP/NetBIOS NameNetBIOS Name 6 1,059 00:00:03 1 1.040 1.568

Consulta de ORACLE - Servidor NT contra servidor UNIX, en ambiente LAN 130.120.0.239 130.120.0.239 130.120.0.239 130.120.0.239 130.120.0.239 130.120.0.239 129.120.0.1 129.120.0.1 129.120.0.1 129.120.0.1 129.120.0.1 129.120.0.1 TCP/Port 1045Oracle TCP/Port 1041Oracle TCP/Port 1087Oracle TCP/Port 1088Oracle TCP/Port 1092Oracle TCP/Port 1093Oracle 213 48 84 13 9,338 13 24,510 4,630 7,600 1,430 3,091,120 1,430 00:01:15 00:01:00 00:00:05 < 00:00:01 00:02:33 < 00:00:01 1.5 1.1 5.6 19.3 1.3 12.8 0.208 4.472 0.000 19.776 0.000 0.000 0.400 6.920 0.000 142.248 0.000 0.000

Request de NetBIOS y NCP dentro de IPX 4.0090271CB358 5.0004AC6ECF29 4.009027574F8E 4.009027574F8E Ejecucion de PING 163.35.10.19 163.35.10.42 ICMP Echo (Ping) 3 314 00:00:28 5.0 0.000 0.000 IPX (Socket 05520550)/SMB 10 IPX (Socket 40070451)/NCP 10 IPX (Socket 400A0451)/PBurst 4 1,487 1,765 368 144,468 1,821,512 00:03:59 00:08:54 00:02:15 16.5 4.6 3.2 0.000 1.056 2.760 0.000 1.112 105.568

Client Server Protocol/Application Intercambio de informacion de base de datos entre SUN y AS/400 163.35.10.42 163.35.10.42 163.35.10.42 163.35.10.42 163.35.10.42 163.35.10.42 163.35.10.42 163.35.10.42 163.35.10.42 163.35.10.29 163.35.10.29 163.35.10.29 163.35.10.29 163.35.10.29 163.35.10.29 163.35.10.29 163.35.10.29 163.35.10.29 TCP/Port 34636Port 12000 TCP/Port 34633Port 12000 TCP/Port 34634Port 12000 TCP/Port 34639Port 12000 TCP/Port 34641Port 12000 TCP/Port 34648Port 12000 TCP/Port 34652Port 12000 TCP/Port 34653Port 12000 TCP/Port 34654Port 12000

Packets 26 14 14 28 30 46 34 30 28

Bytes 6,130 1,680 1,750 2,868 4,498 16,894 6,846 3,252 3,260

Duration < 00:00:01 < 00:00:01 < 00:00:01 < 00:00:01 < 00:00:01 00:00:01 00:00:01 00:00:01 < 00:00:01

Resp Time (ms)

Clt->Svr Thput* Svr->Clt Thput* 0.000 0.000 0.000 0.000 0.000 22.752 13.232 18.368 0.000 0.000 0.000 0.000 0.000 0.000 237.600 60.928 26.344 0.000

Consulta de FORM en HTML desde una sucursal a traves de un enlace FRAME RELAY 169.174.12.15 169.174.12.15 169.174.12.15 169.174.12.15 169.174.12.15 163.35.10.42 163.35.10.42 163.35.10.42 163.35.10.42 163.35.10.42 TCP/Port 1075HTTP TCP/Port 1076HTTP TCP/Port 1077HTTP TCP/Port 1078HTTP TCP/Port 1079HTTP 20 11 14 13 27 8,747 2,499 3,379 2,162 14,287 00:00:04 00:00:02 00:00:04 00:00:07 00:00:07 164.3 338.3 469.5 146.0 171.7 2.616 4.040 2.784 1.232 1.472 16.640 6.832 4.224 0.760 14.344

Consulta de FORM en HTML desde un segmento local, cruzando un switch 169.167.146.179 163.35.10.42 169.167.146.179 163.35.10.42 169.167.146.179 163.35.10.42 169.167.146.179 163.35.10.42 169.167.146.179 163.35.10.42 169.167.146.179 163.35.10.42 163.35.10.42 169.174.12.15 163.35.9.239 169.174.12.6 TCP/Port 1527HTTP TCP/Port 1528HTTP TCP/Port 1529HTTP TCP/Port 1530HTTP TCP/Port 1531HTTP TCP/Port 1533HTTP TCP/Port 1023Print TCP/Port 1035Telnet 24 28 13 26 17 175 18 50 12,596 15,253 2,111 14,412 3,571 107,178 1,152 8,494 00:00:07 00:00:08 00:00:10 00:00:10 00:00:19 00:00:47 00:01:34 00:19:36 0.3 0.0 0.3 0.0 11.5 0.3 15.2 226.9 1.824 1.736 0.976 1.256 0.952 0.984 0.048 0.008 13.288 13.928 0.680 10.288 0.552 17.320 0.048 0.048

PING-PONG DE PAQUETES

SECUENCIA DE PAQUETES CON RETRANSMISION Packet 349: 00:04:AC:25:2C:01 -> 00:60:2F:A4:B1:D8 Network: Ethernet Frame type: 802.3, Frame size: 77 Time: 11h:53m 22.974sec, Diff. time: 0.003 IP, 163.35.83.10 -> 163.35.119.234 Source IP: 163.35.83.10, Destination IP: 163.35.119.234 Version: 04, IP header length: 05 (32 bit words) Service type: 0: Precedence: 0, Delay: Norm, Throug: Norm, Reliab: Norm Total IP length: 59 ID: B100h Fragments: No Time to live: 128 PROTOCOL: [6] TCP Header checksum: 3881 (GOOD) TCP PSH ACK, [1033] -> [1494] Source port: [1033] Destination port: [1494] Sequence number: 223897, Acknowledgement: 119589 TCP header length: 05 (32 bit words), Window: 7744 TCP data length: 19, Checksum: 7542h (GOOD) Sequence number + TCP data length: 223916 Data 0000 11 00 01 CF DD 40 B1 D9 46 56 3A B9 E7 0F 74 B5 ...@FV:.t 0010 62 9A E2 b RAW D8 00 D6 00 B5 PACKET 00 04 80 06 00 03 11 00 62 9A LISTING: AC 25 2C 38 81 A3 6A 99 00 01 CF DD E2

0000 0010 0020 0030 0040

00 00 77 1E 3A

60 3B EA 40 B9

2F B1 04 75 E7

A4 00 09 42 0F

B1 40 05 00 74

01 23 01 40

08 53 D3 B1

00 0A 25 D9

45 A3 50 46

00 23 18 56

.`/..%,...E. .;[email protected]#S.# w.....j..%P. .@uB.....@FV :.t b FV

Packet 350: 00:04:AC:25:2C:01 -> 00:60:2F:A4:B1:D8 Network: Ethernet Frame type: 802.3, Frame size: 77 Time: 11h:53m 23.384sec, Diff. time: 0.410 IP, 163.35.83.10 -> 163.35.119.234 Source IP: 163.35.83.10, Destination IP: 163.35.119.234 Version: 04, IP header length: 05 (32 bit words) Service type: 0: Precedence: 0, Delay: Norm, Throug: Norm, Reliab: Norm Total IP length: 59 ID: B200h Fragments: No Time to live: 128 PROTOCOL: [6] TCP Header checksum: 3781 (GOOD) TCP PSH ACK, [1033] -> [1494] Source port: [1033] Destination port: [1494] Sequence number: 223897, Acknowledgement: 119589 TCP header length: 05 (32 bit words), Window: 7744 TCP data length: 19, Checksum: 7542h (GOOD) Sequence number + TCP data length: 223916 Data 0000 11 00 01 CF DD 40 B1 D9 46 56 3A B9 E7 0F 74 B5 ...@FV:.t 0010 62 9A E2 b RAW D8 00 D6 00 B5 PACKET 00 04 80 06 00 03 11 00 62 9A LISTING: AC 25 2C 37 81 A3 6A 99 00 01 CF DD E2

0000 0010 0020 0030 0040

00 00 77 1E 3A

60 3B EA 40 B9

2F B2 04 75 E7

A4 00 09 42 0F

B1 40 05 00 74

01 23 01 40

08 53 D3 B1

00 0A 25 D9

45 A3 50 46

00 23 18 56

.`/..%,...E. .;[email protected]#S.# w.....j..%P. .@uB.....@FV :.t b FV

Packet 351: 00:60:2F:A4:B1:D8 -> 00:04:AC:25:2C:01 Network: Ethernet Frame type: 802.3, Frame size: 85 Time: 11h:53m 23.563sec, Diff. time: 0.179 IP, 163.35.119.234 -> 163.35.83.10 Source IP: 163.35.119.234, Destination IP: 163.35.83.10 Version: 04, IP header length: 05 (32 bit words) Service type: 0: Precedence: 0, Delay: Norm, Throug: Norm, Reliab: Norm Total IP length: 67 ID: 61B5h Fragments: No Time to live: 122 PROTOCOL: [6] TCP Header checksum: 8DC4 (GOOD) TCP PSH ACK, [1494] -> [1033] Source port: [1494] Destination port: [1033] Sequence number: 119589, Acknowledgement: 223916 TCP header length: 05 (32 bit words), Window: 7660 TCP data length: 27, Checksum: 9A89h (GOOD) Sequence number + TCP data length: 119616 Data 0000 19 00 01 6F 68 DD E3 15 40 78 83 0B 22 B9 05 9B ...oh.@x.". 0010 31 4C 1D 51 3F 2E 17 4A 14 FB 92 1L.Q?..J. RAW PACKET LISTING: 00 04 AC 25 2C 01 00 60 2F A4 B1 D8 08 00 45 00

0000

..%,..`/..E.

ANLISIS DE SESION: LATENCIA Y TROUGHPUTLatency Analysis for TCP/Port 1622HTTP. Sender: 169.167.146.184 Responder: 163.35.10.42 Latency in Milliseconds Minimum 0 Maximum 44 Average 11.25 Contention 11.25 Packets Total 38 Send-to-Receive Ratio 01:01.1 Average Send Size 112 Average Receive Size 1058 Latency Analysis for TCP/Port 1622HTTP. Sender: 163.35.10.42 Responder: 169.167.146.184 Latency in Milliseconds Minimum 2 Maximum 133 Average 16.5 Contention 14.5 Packets Total 38 Send-to-Receive Ratio 1.2:1 Average Send Size 1011 Average Receive Size 114 Throughput Analysis for TCP/Port 1622HTTP from 169.167.146.184 to 163.35.10.42 Throughput in KBits/Second Minimum 1.662 Maximum 204.114 Average 4.173 Contention 199.942 Packets Total 18 Average Size 112 Average Payload 69 Protocol Overhead 38.45% Throughput Analysis for TCP/Port 1622HTTP from 163.35.10.42 to 169.167.146.184 Throughput in KBits/Second Minimum 15.809 Maximum 7,006.80 Average 43.929 Contention 6,962.87 Packets Total 21 Average Size 1011 Average Payload 972 Protocol Overhead 3.88%

ANLISIS DE DISTRIBUCION DE PAQUETES POR TAMANIO

ANLISIS DE ERRORES EN LA SESION Frame Error Summary Bad FCS 0 Runt/Short 0 Long/Jabber 412 Fragment 0 Collision Fragment Analysis DLC Source Transmits 0 0 0% 0 0 0% 0 0 0% 0 0 0% 0 0 0%

Retransmits

% Retransmitted

No collision fragments to analyze in trace file.

Packet 62: 00:60:5C:3D:76:04 -> 00:A4:00:80:D2:9C Network: Ethernet Frame type: 802.3, Frame size: 1518 Time: 14h:18m 00.374sec, Diff. time: 0.001 IP, 163.35.7.118 -> 169.167.151.206 Source IP: 163.35.7.118, Destination IP: 169.167.151.206 Version: 04, IP header length: 05 (32 bit words) Service type: 0: Precedence: 0, Delay: Norm, Throug: Norm, Reliab: Norm Total IP length: 1500 ID: EB03h Fragments: No Time to live: 127 PROTOCOL: [6] TCP Header checksum: 1F09 (GOOD) TCP ACK, [1433] -> [1065] Source port: [1433] Destination port: [1065] Sequence number: 984815369, Acknowledgement: 14341348 TCP header length: 05 (32 bit words), Window: 7483 TCP data length: 1460, Checksum: C594h (GOOD) Sequence number + TCP data length: 984816829 Data 0000 04 01 07 02 00 00 00 00 41 0E 44 65 73 63 75 65 ........A.Descue 0010 6E 74 6F 73 20 31 32 33 06 43 68 65 71 75 65 13 ntos 123.Cheque. 0020 44 65 70 6F 73 69 74 61 72 20 65 6E 20 43 75 65 Depositar en Cue 0030 6E 74 61 00 08 33 8F 00 00 00 00 00 00 04 0D 00 nta..3......... 0040 00 00 05 50 65 73 6F 73 04 01 AF D6 1C 00 04 01 ...Pesos.. .... 0050 88 84 02 01 4E D1 04 81 92 94 00 0E 44 54 4F 2E ..N...DTO. 0060 44 45 20 43 48 45 51 55 45 53 0A 4B 4F 4E 49 53 DE CHEQUES.XXXXX 0070 41 20 53 52 4C 0E 44 65 73 63 75 65 6E 74 6F 73 A SRL.Descuentos 0080 20 31 32 33 06 43 68 65 71 75 65 13 44 65 70 6F 123.Cheque.Depo 0090 73 69 74 61 72 20 65 6E 20 43 75 65 6E 74 61 00 sitar en Cuenta. 00A0 08 33 8F 00 00 00 00 00 00 04 0F 00 00 00 05 50 .3............P 00B0 65 73 6F 73 04 01 08 1D 4D 00 04 01 D8 D0 01 01 esos....M..... 00C0 4E D1 04 87 92 94 00 0E 44 54 4F 2E 44 45 20 43 N...DTO.DE C 00D0 48 45 51 55 45 53 10 42 6F 73 69 73 69 6F 20 65 HEQUES.XXXXXXX e 00E0 20 48 69 6A 6F 73 2E 0E 44 65 73 63 75 65 6E 74 Hijos..Descuent 00F0 6F 73 20 31 32 33 06 43 68 65 71 75 65 13 44 65 os 123.Cheque.De 0100 70 6F 73 69 74 61 72 20 65 6E 20 43 75 65 6E 74 positar en Cuent 0110 61 00 08 33 8F 00 00 00 00 00 00 04 08 00 00 00 a..3........... 0120 05 50 65 73 6F 73 04 01 3F 9A 38 00 03 01 10 27 .Pesos..?8....' 0130 01 4E D1 04 8B 92 94 00 0E 44 54 4F 2E 44 45 20 .N...DTO.DE 0140 43 48 45 51 55 45 53 0A 49 52 53 49 53 41 20 53 CHEQUES.XXXXXX S 0150 52 4C 0E 44 65 73 63 75 65 6E 74 6F 73 20 31 32 RL.Descuentos 12 0160 33 06 43 68 65 71 75 65 13 44 65 70 6F 73 69 74 3.Cheque.Deposit 0170 61 72 20 65 6E 20 43 75 65 6E 74 61 00 08 33 8F ar en Cuenta..3 0180 00 00 00 00 00 00 04 06 00 00 00 05 50 65 73 6F ............Peso 0190 73 04 01 70 1C 14 00 03 01 10 27 01 4E D1 04 8C s..p......'.N. 01A0 92 94 00 0E 44 54 4F 2E 44 45 20 43 48 45 51 55 ..DTO.DE CHEQU 01B0 45 53 13 43 4F 52 52 41 4C 4F 4E 20 43 4F 4D 41 ES.XXXXXXXXX XX 01C0 48 55 45 20 53 41 0E 44 65 73 63 75 65 6E 74 6F HUE SA.Descuento 01D0 73 20 31 32 33 06 43 68 65 71 75 65 13 44 65 70 s 123.Cheque.Dep 01E0 6F 73 69 74 61 72 20 65 6E 20 43 75 65 6E 74 61 ositar en Cuenta 01F0 00 08 33 8F 00 00 00 00 00 00 04 2E 00 00 00 05 ..3............ 0200 50 65 73 6F 73 04 01 E4 1D 31 00 03 01 10 27 01 Pesos...1....'. 0210 4E D1 04 8D 92 94 00 0F 43 49 54 49 43 48 45 43 N...XXXXXXXX 0220 4B 20 45 58 50 52 45 01 20 0F 43 68 65 71 75 65 K XXXXX. .Cheque 0230 73 20 50 6F 73 64 61 74 61 06 43 68 65 71 75 65 s Posdata.Cheque 0240 13 44 65 70 6F 73 69 74 61 72 20 65 6E 20 43 75 .Depositar en Cu

ANALIZADORES DE TRAFICO Concepto Un analizador de trafico es una herramienta de software, hardware o mixta que permite al analista de protocolos tomar mediciones y efectuar capturas para su anlisis posterior, a fin de llegar a un diagnostico Soluciones basadas en software solamente Soluciones basadas en hardware y software, generalmente de tipo propietaria y especializada

Tipos

Segn su capacidad de toma de mediciones en mas de un segmento se dividen en: Componentes Analizadores distribuidos, que dialogan con probes o agentes de medicin Analizadores centralizados

Hardware de procesamiento Software de anlisis Interfaces fsicas a la red (layer 2) en forma promiscua y con diferentes potencialidades de buffering, procesamiento y reporting. Probes

Funciones

Bsicamente, las funciones se agrupan en: Captura y anlisis experto post-captura, con capacidades de filtrado pre y post-captura Mediciones interactivas Mediciones de largo plazo (trendings) Alarmas y triggers Descubrimiento de direcciones fsicas y sus correspondientes direcciones lgicas Generacin de trafico

DIFERENCIAS ENTRE LAS SOLUCIONES BASADAS EN SOFTWARE Y EN HARDWARE Factor Costo Capacidad de procesamiento Facilidad de uso Capacidad de distribucin Obsolescencia Software Bajo (2000 a 12.000.- USD) Depende de la interfaz de red utilizada Media a alta Si Capacidad de fcil upgrade Hardware/Software Mas de 15.000.- USD Alta Baja a media Si Debo reemplazar el hardware/firmware por obsolescencia Limitada a la capacidad del equipo Baja Depende de la reparacin de la unidad Si Si Si Si

Capacidad de Trending Fallas Contingencia Capacidad reporting de RMON/SNMP Capacidad de medicin en WAN Capacidad de mediciones de layer 1 Capacidad de bypass

Limitada al disco Susceptible a las fallas del SO subyacente Puede ser reinstalado ante falla de hardware Si No No No

Metodo de anlisis de trfico y diagnstico Aguilar & Asociados Pagina 35

TIPOS DE ANLISIS QUE SE PUEDEN GENERAR UN CON ANALIZADOR DE TRAFICO Perfil de segmento/s Este estudio brinda informacin respecto de la actividad y comportamiento de trfico de uno o varios segmentos, tomados en forma aislada o simultanea Esta compuesto de las siguientes mtricas Utilizacin histrica de ancho de banda (histograma): Expresa el consumo del segmentos en un % de uso del mismo, a lo largo del tiempo, tomando muestreos sucesivos. Este muestreo intenta descubrir excesos de consumo de recurso en el tiempo y relacionarlos con las demoras. Debe ser complementado con los signos vitales, toptalkers, matrices y distribucin protocolar. Signos vitales (errores + casting): cantidad y tipo de errores sobre trfico total e incidencia del trfico de broadcast/unicast sobre el total de trfico. Este muestreo intenta descubrir errores excesivos generados por interfaces o drivers y/o incidencia del trfico de tipo broadcast en la red (tormentas). EL mismo debe ser complementado por el anlisis de tipo TopTalker o errores por interfaces para descubrir el origen del problema. Errores por interfaz: Discriminacin de errores por interfaz: intenta determinar el tipo de error ocurrido y su origen. TopTalkers (MAC e IP): Ranking de interfaces mas activas, tanto en generacin de trfico unicast como broadcast/multicast. De aqu surgir el nodo responsable de un exceso de trfico o la decisin de que interfaz debe estar colocada en una boca de switch o debiera ser migrada de estndar de layer 2 (de 10Base-T a 100Base-Tx) Matrices conversacionales: Describe todo par de conversaciones activas en la red con su volumen de intercambio. Distribucin protocolar y subprotocolar: distribucin porcentual de protocolos de layer 3 y de layer 4, requerido para identificar redundancia de protocolos instalados o sesiones de recursos compartidos. Utilizacin de interfaz de router de segmento: % de uso de la interfaz del router que atiende al segmento, tanto entrante como saliente, usado para determinar el estado del intercambio de trfico entre la LAN y la WAN y analizar si el mismo es el causante de la demora. Eficiencia del segmento: respuesta del segmento a la insercin de paquetes. Da una idea de la contencin existente o la capacidad de respuesta de un segmento a la inser cin de requ erimi ento s. NOTA: En caso de analizar mltiples segmentos, porque las transacciones o el trfico a monitorear cruzan mas de un segmento, las mtricas se debern tomar en forma simultanea, ya sea colocando dos o mas probes o bien realizando un espejado de puertos del switch. Considerar aqu que si el segmento es punto a punto fullMetodo de anlisis de trfico y diagnstico Aguilar & Asociados Pagina 36

duplex (por ejemplo, enlace entre servidor y switch) la insercin de un punto de medicin (probe) no debiera alterar este estado.


Anlisis de ruta/s Es la descripcin de la o las rutas por donde la transacciones o trfico de la red circula. En caso de existir rutas redundantes, y que los switches se configuren para realizar balance de carga, se deber analizar cada una de ellas en particular y correlacionar los cambios a las demoras ocurridas en la o las aplicaciones. Se analizaran los siguientes puntos: Tiempo total de transito (mnimo, medio y mximo) Cantidad de rutas alternativas Ranking de latencia por ruta Delay entre saltos Cantidad de saltos mnimo y mximo Direcciones IP de los nodos intermedios (routers) Incidencia de los saltos en el transito total de la transaccin Normalmente este estudio complementa la captura de paquetes de aplicacin realizada en la boca de la PC cliente para analizar el impacto del transito sobre el tiempo total de la transaccin Nuevamente se requiere simultaneidad de mediciones.


Carga y rendimiento de dispositivos Este estudio tiene por objeto encontrar el origen de la perdida de calidad de servicio en demoras ocurridas en el flujo de trfico, pero originadas en sobrecarga de servidores y/o equipamiento de conectividad Parmetros a obtener Consumo de ciclos de CPU (CPU Utilizacin) Consumo o carga sobre la interfaz de red Desborde de buffers Cantidad de memoria RAM instalada Cantidad de disco instalado, en relacin con el cache Como se pueden obtener: En routers y switches mediante su sistema operativo, si el mismo entrega las estadsticas, o en su defecto, mediante la generacin de reportes SNMP utilizando la MIB del fabricante En servidores Netware, utilizando el utilitario Monitor o TrendTrack En servidores NT, con el utilitario Performance Monitor En servidores UNIX con el utilitario SAR Certificacin de link ENLACES LOCALES (LAN) El objetivo es conocer la certificacin del cableado de UTP, en la red local, que debe adherirse a los parmetros de la categora correspondiente, fijados por la EIA/TIA en su norma 568, medidos y certificados bajo el boletn TSB 67 Para links de 100Mbps Full Duplex y 1GB de Ethernet Full Duplex, controlar la distancia y atenuaciones respecto de la norma 802.3z y 802.3ab. En especial para enlaces de fibra de 1GB, controlar la atenuacin de la misma, medida en dB. Los mismos se obtienen con los denominados scanners de cable, que debern cumplir con el testing para 100Mbps (CAT 5) y/o Categora 5 extendida (mediciones de ELFNEXT, etc.) ENLACES GEOGRAFICOS (WAN) Para los enlaces suministrados por un proveedor de servicios, la medicin debe ser realizada por el proveedor, en base a la calidad pactada en el contrato (SLA) o con la presencia de un tercero que utilice un analizador de trfico para WAN, tal como el Fluke o los equipos de Wandel & Gottleman.


Captura de paquetes y anlisis experto post-captura El objetivo de este anlisis es encontrar, a partir de la captura de trabas procedentes de un dialogo o conjunto de dilogos (sesiones) cliente-servidor, el origen de las demoras o cancelaciones de servicio La misma puede hacerse en varios puntos de la infraestructura: En el extremo cercano al cliente: ya sea colocando un analizador en el segmento en que esta conectada la PC del usuario (HUB) o realizando un port mirroring si el mismo esta ubicado en la boca de un switch. Esta captura es apta para medir las latencias totales o Ineficiencia del cliente. En el extremo cercado al servidor, dem al anterior, pero buscando medir demoras por sobrecarga de servicios en el servidor. En varios puntos de la infraestructura, para conocer la incidencia de las demoras parciales.

METODO:

La captura de paquetes exige la definiciones siguientes: Coordinacin de actividades con el usuario e instalacin de los equipos Definicin de la funcin/aplicacin a medir Coordinacin de tiempos de ejecucin de aplicacin/funcin y de la toma de trfico que se registrara en la planilla que figura en las paginas siguientes Posteriormente, un software de anlisis post-captura, tal como el NetSense, puede ayudarnos a encontrar los parmetros de la sesin que generan el problema. Dentro del anlisis experto, buscaremos: Troughput de la sesin y su direccionalidad Latencia de la sesin y su direccionalidad Puertos abiertos Retransmisiones Errores en las tramas Overhead del protocolo Ratio de envo de paquetes A un nivel mas bajo, el trace paquete a paquete nos da la facilidad de encontrar el request o solicitud de servicio que genera el corte de conexin o exceso en el delay, tales como sentencias SQL que generan exceso de trfico. Triggers & alarms Usadas para detectar condiciones anmalas que se suceden en forma aleatoria. La cantidad de alarmas o los umbrales de activacin, dependen de la capacidad del analizador de trfico, pero fundamentalmente permiten detectar fallas, disparando acciones tales como, por ejemplo, captura de paquetes, cuando la tasa de errores de CRC excede un determinado % del trfico total. Trending general Este anlisis, tomado sobre una base de una semana hbil o mas, permite determinar la utilizacin, Top talkers y distribucin de protocolos, sobre una condicin mas estable. Conoceremos el perfil de uso de un segmento en trminos genricos, aunque no sabremos, por ejemplo, quien o que determino un pico de uso, excepto que activemos un trigger, que es el anlisis anterior.


PLACAS DE RED PROMISCUAS, PCI Topology Vendor Errors Ethernet Ethernet Any Olicom CRC, Pkts Too Big, Pkts Too Small, Alignment, Collisions CRC, Pkts Too Big, Pkts Too Small, Alignment, Collisions CRC, Pkts Too Big, Pkts Too Small, Alignment, Collisions CRC, Pkts Too Big, Pkts Too Small, Alignment, Collisions CRC, Alignment CRC, Pkts Too Big, Pkts Too Small, Alignment, Collisions CRC, Pkts Too Small, Alignment, Collisions Pkts too small none CRC, Pkts Too Big, Pkts Too Small, Alignment, Collisions CRC, Pkts Too Big, Pkts Too Small, Alignment, Collisions CRC, Pkts Too Big, Pkts Too Small, Alignment, Collisions All 29 MAC layer errors reported Token RIng IBM

Comments Any adapter that uses the DEC/Intel 21143 chip set should work with the Network Instruments ErrorTrack drivers for viewing Errors-by-station. These cards work as expected. PCI versions of this adapter (ENW-9501) are excellent for both traffic generation and errors. Observer includes a driver to support extended Ethernet errors. This card is available from Network Instruments (see price list) Observer includes a driver to support extended Ethernet errors. BUT this card has been discontinued by D-Link. The EtherExpress Pro/100b PCI is reported to support all errors (not internally tested) NIC uses the DEC 21140-AF chip set - this will work with Observer's enhanced NDIS driver and Windows 95/98. This chip set does not work with Windows NT. (Use Network Instruments NE2000ni.SYS driver for extended errors) very poor for traffic generation not internally tested, but known to work no NDIS errors reported, good for traffic generation We tested the KNE100TX 10/100 card with very good results (in Windows 95/98). Observer includes a driver to support extended Ethernet errors (KNE100TX). Longshine reports that the LCS-8038TXD uses the DEC 21143 chip set, this this adapter will provide complete errors-by-station for both 95/98 and NT. We have tested the SK-NET GE-SX 1000Base-SX adapter (SysKonnect part number SK-9843) here and found it to work perfectly. Other adapter in the same family should also work. Newer IBM Token Ring PCI adapter support promiscuous mode. We have tested IBM Part Number 41H8900 internally and found that it functioned perfectly. We tested these adapters with the 6.0 drivers and everything worked perfectly. Note you must turn on "Statistics Gathering Mode" in the drivers Advanced settings dialog. Also note that the "Presto" adapter do not support statistics gathering mode. We have tested the PCI/II OC-3137 here using the version 4.16.00 driver and found it to work well. Must use "classic" card (OEM of the Olicom card) Only model DEFPA-UA is reported to support promiscuous mode You must use the version 4.00 drivers (dated 10/14/97). Since all SysKonnect adapters use the same driver, all models should work. Also note: SysKonnect only supports NT for true FDDI. On 95/98 the FDDI board emulates a 100MB Ethernet adatpter.

Ethernet

Planet

Ethernet Ethernet Ethernet Ethernet Ethernet Ethernet Ethernet Ethernet Ethernet Gigabit Ethernet

D-Link Intel Bay/Netgear NE2000 SMC IBM 3COM Kingston Longshine

SysKonnect

Token Ring Madge

All 29 MAC layer errors reported

Token Ring Olicom Token Ring Intel FDDI DEC

All 29 MAC layer errors reported All 29 MAC layer errors reported -

FDDI

SysKonnect -

For Token Ring, please note that 3COM use the Tropic Chip Set, and DOES NOT SUPPORT PROMISCUOUS MODE for our products, or for any protocol analyzer.


PLACAS DE RED PROMISCUAS, PCMCIA Topology Ethernet Vendor Planet Errors Pkts Too Small, Too Big, Alignment (Collisions, CRC and Errors by Station with Network Instruments Driver) Comments Model ENW-3502FC has been internally tested and works great with the DEC/Intel 21143 Network Instruments driver. Worked well for both capture and traffic generation. Note: this is a 32-bit CardBus adapter. Also at this time this card does not work with Windows NT. CN40BC tested internally (Use Network Instruments NE2000ni.SYS driver for extended errors) We tested the ENW-3500-F here and found it good for traffic generation, but lacks adequate error tracking Not internally tested, but known to work. DME-336T combo modem/ethernet card tested (Use Network Instruments NE2000ni.SYS driver for extended errors) DFE-660TX 10/100 CardBus PCMCIA Ethernet card tested (Use Network Instruments DFE660.SYS driver for extended errors) Be certain that your laptop supports CardBus for this adapter. Note: At this time this card does not work with Windows NT. not internally tested, but known to work CBE-10/100TX tested - can generate 100% wire speed, we were very impressed with this card

Ethernet Ethernet Ethernet Ethernet

CNet Planet Olicom D-Link

CRC, Alignment, Pkts Too Small, Collisions Alignment, Collisions, Pkts Too Small CRC, Pkts Too Big, Pkts Too Small, Alignment, Collisions Pkts Too Small, Alignment, Collisions (CRC w/ Network Instruments Driver) Pkts Too Small, Too Big, Alignment (Collisions, CRC and Errors by Station with Network Instruments Driver)

Ethernet

D-Link

Ethernet Ethernet Ethernet Ethernet Ethernet Ethernet Token Ring

Intel Xircom SMC IBM 3COM Megahertz Madge

Token Ring Token Ring

Olicom Intel

Pkts Too Small, Alignment, Collisions CRC, Pkts Too Big, Pkts Too Used the latest 8020M drivers (dated 2/14/97) Small, Alignment, Collisions not internally tested, but known to work none no NDIS errors reported, good for traffic generation Pkts Too Small not internally tested, but known to work We tested these adapters with the 6.0 drivers and everything worked perfectly. Note you must turn on All 29 MAC layer errors reported "Statistics Gathering Mode" in the drivers Advanced settings dialog. We have teste the version 4.16.00 driver and found it to All 29 MAC layer errors reported work well All 29 MAC layer errors (OEM of the Olicom card - see above) reported

For Token Ring, please note that both IBM and 3COM use the Tropic Chip Set, and DO NOT SUPPORT PROMISCUOUS MODE for our products, or for any protocol analyzer.


SNMP & RMON AGENTES RMON Estructuras de informacin definidas en los dispositivos, tendientes a recopilar informacin de la red en forma pasiva, no intrusiva y a almacenar esta informacin en estructuras de memoria interna (registros, tablas, etc.) Para ello se puede apelar a dos tipos de agentes: Probes (sondas) por software residentes en los dispositivos (Ej. switches SS1000) Probes (sondas) por hardware conectadas a cada segmento de la red GRUPOS RMON 1 (PHYSICAL / DATA LINK LAYERS) Statistics History Alarm EventMuestra estadsticas para el segmento de LAN completo, no relacionado con hosts individuales Ej.: Paquetes totales, errores, broadcasts, distribucin de paquetes, etc. Muestra estadsticas en base al tiempo para un segmento completo de LAN. No genera trfico. (trfico, errores, etc.) Monitorea las estadsticas del MIB, dispara acciones si se supera el umbral establecido y no se tomas mas acciones hasta que el valor cae por debajo del valor de recupero Tabla de todos los eventos generados por el agente RMON, que pueden ser levantados o disparados por otros grupos RMON, tales como Alarm y Packet Filter. Cuando un evento se dispara, un numero de acciones tiene lugar (Ej.: envo de un trap, disparar una sesin de captura, etc.)

Host HostTopN Matrix Filter Packet Capture

Brinda estadsticas basadas en direcciones MAC, NO direcciones de red (Quien esta conversando?). Ej.: numero de paquetes, bytes, broadcasts, errores por cada estacin. Rankea los host mas activos, basado en trfico o errores. Brinda estadsticas basadas en pares de comunicacin entre direcciones MAC Ej.: Numero de paquetes enviados entre la estacin A y el server B. Permite establecer las condiciones contra parmetros existentes en los paquetes, ya sea para capturarlos como para monitorearlos Captura paquetes en un buffer interno acordes a los parmetros definidos en el grupo Filter. Es particularmente til en condiciones de error.

GRUPOS RMON 2 (NETWORK LAYER) Protocol Directory Protocol Distribution Address Translation Map Network Layer Host Network Layer Matrix Application Layer Host Application Layer Matrix User Defined History Probe Configuration RMON ConformityDefine que protocolos son capaces de ser reconocidos y contabilizados por RMON2 Contabiliza el numero de paquetes y bytes que han sido enviados por los protocolos definidos en el grupo anterior Provee un mapa entre las direcciones de capa 3 (red) y las direcciones fsicas MAC de capa 2 (enlace)

Lista las direcciones de red y asocia los paquetes y bytes de entrada y salida de cada uno. Mantiene contabilizaciones de bytes y paquetes para cada conversacin detectada por los agentes Mantiene estadsticas respecto de las aplicaciones derivadas de la tabla de Network Layer Mantiene contadores de paquetes y bytes para cada conversaciones de layer de red basada por protocolo. Peridicamente muestrea objetos MIB definidos por el usuario Objetos de configuracin de dispositivos (varios) Requerimientos de cumplimiento con la MIB de RMON2


SNMP SNMP V1 y V2 (RFC 1157) Motor de comandos de gestin (PDUs) va servicio de transporte IP y control no confiable UDP, basados en una consola (NMS) o cliente que debe polear a los agentes (servidores) en los dispositivos inteligentes acerca de estado, variaciones de umbrales o cambio de estado de alguno de los objetos definidos en el estndar MIB MIB I y II (RFC 1213) Base de definiciones de objetos administrables, formada por categoras (ip, systems, etc.) y variables (ipRoutingTable) que permiten saber a la consola NMS que es lo que puede administrar de un determinado agente SMI (RFC 1211) Conjunto de reglas o lenguaje en que se debe estructurar la MIB ASN.1 (May87a) Lenguaje para codificacin para su transmisin en la red (BER) e identificacin de objetos en forma unvoca, basados en la definicin de la ISO, denominada object identifier Ej.: iso.org.dod.internet.mgmt.mib.ip.ipRoutingTable ...> esta identificada por... > 1.3.6.1.2.1.4.20


EJEMPLOS DE UNA SECCION DE MIB rfc1213 ESTANDAR RFC1213-MIB DEFINITIONS ::= BEGIN IMPORTS mgmt, NetworkAddress, IpAddress, Counter, Gauge, TimeTicks FROM RFC1155-SMI OBJECT-TYPE FROM RFC-1212; -- This MIB module uses the extended OBJECT-TYPE macro as -- defined in [14]; -- MIB-II (same prefix as MIB-I) mib-2 OBJECT IDENTIFIER ::= { mgmt 1 } -- textual conventions DisplayString ::= OCTET STRING -- This data type is used to model textual information taken -- from the NVT ASCII character set. By convention, objects -- with this syntax are declared as having --SIZE (0..255) PhysAddress ::= OCTET STRING -- This data type is used to model media addresses. For many -- types of media, this will be in a binary representation. -- For example, an ethernet address would be represented as -- a string of 6 octets.

-- groups in MIB-II system OBJECT interfaces OBJECT at OBJECT ip OBJECT icmp OBJECT tcp OBJECT udp OBJECT egp OBJECT -- historical (some -- cmot OBJECT transmission OBJECT snmp OBJECT

IDENTIFIER ::= { IDENTIFIER ::= { IDENTIFIER ::= { IDENTIFIER ::= { IDENTIFIER ::= { IDENTIFIER ::= { IDENTIFIER ::= { IDENTIFIER ::= { say hysterical) IDENTIFIER ::= { IDENTIFIER ::= { IDENTIFIER ::= {

mib-2 mib-2 mib-2 mib-2 mib-2 mib-2 mib-2 mib-2

1 2 3 4 5 6 7 8

} } } } } } } }

mib-2 9 } mib-2 10 } mib-2 11 }

--AO - SNMPv2-SMI (RFC1902) org OBJECT dod OBJECT internet OBJECT directory OBJECT mgmt OBJECT mib-2 OBJECT transmission OBJECT experimental OBJECT private OBJECT enterprises OBJECT security OBJECT snmpV2 OBJECT -- transport domains

IDENTIFIER IDENTIFIER IDENTIFIER IDENTIFIER IDENTIFIER IDENTIFIER IDENTIFIER IDENTIFIER IDENTIFIER IDENTIFIER IDENTIFIER IDENTIFIER

::= ::= ::= ::= ::= ::= ::= ::= ::= ::= ::= ::=

{ { { { { { { { { { { {

iso 3 } org 6 } dod 1 } internet 1 } internet 2 } mgmt 1 } mib-2 10 } internet 3 } internet 4 } private 1 } internet 5 } internet 6 }


snmpDomains

OBJECT IDENTIFIER ::= { snmpV2 1 }

-- transport proxies snmpProxys OBJECT IDENTIFIER ::= { snmpV2 2 } -- module identities snmpModules OBJECT IDENTIFIER ::= { snmpV2 3 } EJEMPLOS DE UNA SECCION DE MIB DE DISPOSITIVO: SWITCH CISCO CATALYST 2900c2900PortVisualIndicator OBJECT-TYPE SYNTAX INTEGER { notused(1), black(2), amber(3), green(4) } ACCESS read-only STATUS mandatory DESCRIPTION "This object is used to indicate the current color of a LED. If a LED is flashing, the value of this object will represent the color of the LED at that instant in time." ::= { c2900PortEntry 24 } c2900PortAddressViolationAction OBJECT-TYPE SYNTAX INTEGER { doNothing(1), disablePort(2), sendNotify(3), disablePortAndNotify(4) } ACCESS read-write STATUS mandatory DESCRIPTION "Indicates what action to take when an address violation (an address mismatch or duplication) occurs on a secure port. The default action is to do nothing. doNothing(1) disablePort(2) : do nothing : disable port; the port can only be reenabled by an explicit management action. sendNotify(3) : generate address violation notification. disablePortAndNotify(4): disable port and send notification. Default value: doNothing(1)." DEFVAL { doNothing } ::= { c2900PortEntry 26 } c2900PortBroadcastStormAlarm OBJECT-TYPE SYNTAX TruthValue -Rsyntax INTEGER { -true(1), -false(2) -} ACCESS read-write STATUS mandatory DESCRIPTION "When set to true(1), the switch will generate a broadcastStorm notification upon detecting a port is receiving broadcast packets at a rate higher than or equal to the specified broadcast threshold. When set to false(2), no such trap will be issued. Default value: false(2). c2900PortBroadcastStormAlarm is defined for each port."Metodo de anlisis de trfico y diagnstico Aguilar & Asociados Pagina 46

MAS FUENTES DE INFORMACION RESPECTO DE ANALISIS DE TRAFICO KIT DE ANLISIS DE TRFICO Notebook y/o desktop patchcords derechos y cruzados cortos patchcords derechos y cruzados largos hubs 10/100mbps autosense zapatillas, alargue y adaptadores para tomas de tensin en todas las normas CD con utilitarios y software de anlisis de trfico empalmes hembra- hembra cable null modem destornillador y perillero etiquetas y precintos block para notas y birome / marcador cutter Formularios de relevamiento y anotadores Silla y mesa plegable, para ser utilizada en cuartos de cableado SITES EN INTERNET PARA OBTENER DE INFORMACION ON LINE http://www aguilaryasociados.com.ar networkinstruments.com packeteer.com podbooks.com packet-level.com networkmanagementguide.com shomiti.com nai.com/asp_set/buy_try/try/products_evals.asp Ipswitch.com netcomsystems.com net-reality.com/bcr_tuneup adc.com/access/splbs nmss.com visualnetworks.com/bcr packet-level.com intrak.com aggroup.com/demos ixia.com agilent.com BIBLIOGRAFIA RELACIONADA CON EL ANLISIS DE TRFICO Y LOS PROTOCOLOS NOVELL GUIDE TO NETWARE LAN ANALISYS Laura Chapell Novell Press TCP/IP, Volumen 1 Douglas Commer Editorial Prentice Hall SNMP V2 y RMON Stallings Editorial Prentice Hall


PARTE 2 - METODO DE TRABAJO

METODO DE PASOS PARA ANALISIS DE TRAFICO Y DIAGNOSTICO

DETECCION Y PRECISION DEL SINTOMA

RECOPILAR INFORMACION PRELIMINAR

FASE 1 ENCUADRE DE OBJETIVOS INFORMACION ADICIONAL FORMULACION DE UNA PRIMERA HIPOTESIS DEL PROBLEMA

FASE 2 ESTRATEGIA DE MEDICION

FASE 3 INSTALACION DE LOS EQUIPOS, SEGUIMIENTO Y RECOPILACION DE LA INFORMACION

FASE 4 ANALISIS DE LOS DATOS Y DIAGNOSTICO PUBLICACION DE INFORME ACCIONES CORRECTIVAS


FASE 1: ENCUADRE DE OBJETIVOS Y OBTENCION DE INFORMACION BASICA La meta de este paso es lograr definir la meta del estudio (monitoreo, diagnstico o evaluacin) y si la misma involucra un diagnstico, precisar el sntoma y sus caractersticas de manifestacin. Luego obtener la informacin necesaria para realizar la toma de mtricas para llegar al diagnstico y o evaluacin. Esta fase concluye con la elaboracin de una HIPOTESIS de trabajo sobre la que se basara el desarrollo de la ESTRATEGIA, o segunda fase del mtodo.1. A DONDE SE DESEA LLEGAR ? Monitoreo? Evaluacin? Diagnstico de problema? 2. CUAL ES EL SINTOMA Y COMO SE MANIFIESTA ? Como se manifiesta? Cuando se manifiesta? Donde? 3. EN CUANTO TIEMPO SE DESEA LLEGAR AL DIAGNSTICO (MARCO TEMPORAL DEL ESTUDIO) ? 4. COMO ESTA DISENIADA LA INFRAESTRUCTURA FISICA Y LOGICA ? 5. QUE CARACTERISTICAS TIENE LA TECNOLOGIA QUE LA COMPONE ?

ACTIVIDADES Completar el o los formulario/s de autorrelevamiento o requerimiento de medicin de trfico Definir con el responsable el sntoma Trazar la arquitectura fsica y lgica de la instalacin a fin de obtener informacin que se utilizara en la fase siguiente (estrategia) Definir la arquitectura fsica de los equipos y su configuracin HERRAMIENTAS PARA USO EN ESTA FASE, FORMULARIOS Y SOFTWARE Reunin con el cliente / usuario Formulario de requerimiento para medicin de trfico SINTOMAS Normalmente el sntoma se define como la manifestacin visible del problema. En el caso de una red de datos, usualmente esta ligado al concepto del servicio: es la perdida del mismo, manifestada como la imposibilidad de acceder al servicio (apertura de los puertos de la sesin entre el cliente y el servidor) o la degradacin del mismo, manifestada como atenuaciones, latencias y perdidas de rendimiento o velocidad. Estos problemas pueden manifestarse: Total o parcialmente, afectando a todos o parte de los servicios o toda o parte de la infraestructura Aleatoriamente o en forma claramente definida, ya sea que se pierde o degrada la calidad en momentos imprevistos del da o periodo o porque es imposible realizar la conectividad o se pierde regularmente. Formularios de prerrelevamiento para diagnstico de la instalacin y matrices para descripcin de aplicaciones y su comportamiento. Diagramas realizados a mano alzada o con herramientas tales como VISIO Technical Inventario de dispositivos e interfaces, obtenidas de planillas existentes, o programas de autodescubrimiento tales como el WhatsUp o el LinkAnalyst. Documentacin y diagramas de la instalacin, si existe.

OBJETIVOS, LIMITES Y ALCANCES Usualmente es una traba para el correcto diagnstico, confundir los limites y alcance de cada uno de los servicios. Por ello empezaremos a definir diferentes tipos de servicio.Metodo de anlisis de trfico y diagnstico Aguilar & Asociados Pagina 49

Diagnstico global o especifico de infraestructura de red local o geogrfica. Relacionado no con un problema especifico, sino como una evaluacin de un estado de situacin, y tiene como alcance llegar a un dictamen de calidad y reingenieria si se requiere. Monitoreo de trfico dentro de la infraestructura de red local o geogrfica. Relacionado con el seguimiento del perfil de movimiento de trfico a travs de una infraestructura local o geogrfica a efectos de evaluar cargas, futuras ampliaciones o llegar al diagnstico de problemas que se suponen que derivan del trfico. Anlisis de desempeo de la aplicacin (Response Time Analysis). Relacionado con la evaluacin y diagnstico de problemas especficos de una aplicacin, en relacin al trfico que la misma genera (tipo, volumen y direccionalidad, el tiempo transaccional, etc.) y como el mismo afecta a la infraestructura o es afectado por ella. Otros estudios especficos. Son anlisis realizados a efectos de: BASELINING: Generar una toma de parmetros contra la que confrontar MODELIZACION y SIMULACION: Evaluar como variara un parmetro en funcin de cambios a otro. Por ejemplo, como disminuira la latencia en funcin de variar la disponibilidad de ancho de banda DISCOVERY: Documentar los dispositivos de la instalacin, sus direcciones fsicas, lgicas y servicios instalados, as como los tiempos de respuesta al polling. TUNNING DE PROTOCOLOS: Realizacin del anlisis para evaluar mejoras a la configuracin de los parmetros de transmisin, tales como tamao de tramas, ubicacin de servicios, ratio de envo de paquetes, direccionamiento, etc.

ENCUADRE DE OBJETIVOS

Diagnostico global

Diagnostico especifico

MonitoreoTrafico Dispositivos Ambos

Analisis de aplicacion y su relacion con la red

Otro tipo de estudio especifico(Ej. tunning, etc.)

LAN Propuestas de mejora de calidad Auditorias

LAN Auditoria y/o mejoras sectorizadas

LAN Total o Parcial

Diagnostico de problema de aplicacion

Certificaciones de cableado

BaseLining WAN Propuestas de mejora de calidad Auditorias WAN Auditorias y/o mejoras sectorizadas

WAN Total o Parcial

RTA Response Time Analysis

Modelizacion y/o simulacion

Discovery y/o documentacion Internet Internet LAN+WAN Total o Parcial Tunning de protocolos Intranets (Wan privada) Intranets (Wan privada)


FORMULARIO DE REQUERIMIENTO PARA MEDICION DE TRFICO DE APLICACION

Aguilar & AsociadosAnlisis y monitoreo de trfico Administracin de redes Juan F. Segu 3607, piso 5 - 1425 Buenos Aires - Tel. (011) 4801-0620 [email protected] CONTACTOS: Lic. Luis Aguilar Celular: 15-5323-6327 Ing. Ignacio Bonelli Celular: 15-5349-3777 Pager: 4348-9000 PIN 228923, usuario: Luis Aguilar OBJETIVO DE LA MEDICION: Describir: - El problema que se quiere diagnosticar (sntoma) y su frecuencia/ocurrencia Arquitectura y funcionamiento de la aplicacin, si se conoce PRERREQUISITOS: Antes de realizar la medicin disponer de:Boca libre en HUB o switch, dentro del cuarto de cableado, as como una boca de tensin para conectar los instrumentos. Si se requiere, claves de acceso a servidores, estaciones de trabajo involucradas y/o routers o switches para realizar port-mirroring y/o pedidos de SNMP

Esquema de direccionamiento IP para el analizador y/o los probes de medicin. (mascara, gateway, DNS)

IP: Mascara: Gateway: DNS 1rio. DNS 2rio.Es una boca de switch? Es de 10 o de 100Mbps? Half o Full Duplex?

Rta: Direcciones IP origen/es y destino/s involucrados en el trfico que se desea medir o direccin de red del segmento ORIGEN DESTINO/S

Diagrama fsico y lgico de la porcin de la red que involucra el diagnstico Nombre y telfono o interno del usuario involucrado y su ubicacin fsica Das y horas para realizar la medicin (solicitar dos alternativas)


DIAGRAMA DE RED GEOGRAFICA ORGANIZACION FECHAInterfaz LAN IP / Mask= MAC =

Interfaz WAN IP / mask= Router Veloc. Sucursal 1 Localidad IP

Frame Relay X.25

Veloc. Veloc.

Router Sucursal 2 Localidad IP Router central Administracion Central Localidad IPPunto a Velo Punto cidad

Router Sucursal 2 Localidad IP

Satellite

Satellite dish

Satellite dish Sucursal 2 Localidad IP

Enlace de radio Tecnologia y velocidad

Radio tower

Radio tower

Sucursal 2 Localidad IP


Tipo de Link

DIAGRAMA DE FISICO DE LA RED LOCAL ORGANIZACION: FECHA:Hub/switch piso 12 Tipo de link UTP / Fibra Hub Estacion Cliente IP MAC

Hub/switch piso 11 Hub

Hub/switch piso 10

Hub

Flujo de la informacion

MAC - IP Switch central

Hub Piso 1

MAC - IP Servidor + Router MAC - IP

Hub Piso 2

Hub Piso 3 MAC - IP

Servidor xx


DIAGRAMA LOGICO DE LA RED LOCAL ORGANIZACION: FECHA:

Hub piso

Dominio de colision # 1 Redes logicas definidas: IP - IPX - etc

Hub piso


BACKBONE - Estandar



Switch

VLAN #1

VLAN #2

IBM Compatible

VLAN #3


EJEMPLO DE RELEVAMIENTO DE LA CONFIGURACION DE LOS EQUIPOS DE CONECTIVIDADCONFIGURACION Y USO DE LOS PRINCIPALES EQUIPOS DE CONECTIVIDAD

HUB / Switch (Marca - Modelo - Velocidad - version OS - IP address - Observaciones)

1

2

3

4

5

6

7

8

9

10

11

12

13

14

MAC address IP address Uso

Puertos LAN1

IP address Uso

MAC address

IP address Uso

MAC address

IP address Uso

MAC address

Uso

MAC address IP address

Router (Marca - Modelo - Version IOS - Usos)

Uso


Uso


Uso



IP address Uso

MAC address

IP address Uso

MAC address

IP address Uso

MAC address

Uso


Uso


2

3

V.35

V.35

RS232

RS232

RS232

HSSI

G.703

Puertos WAN


Bridge (marca - modelo - IP) Lan port Radio tower

IP address Uso

MAC address

IP address Uso

MAC address

IP address Uso

IP address Uso

2Mbps

Uso

IP address

IP address Uso

Radio tower


IP address Uso

Bridge (marca - modelo - IP) Lan port

Uso

IP address

IP address Uso

CONFIGURACION DE VLANS Y SWITCHING DE LAYER 3 VLAN ID Nombre Sector de la empresa Switch unit Ports Subnet asignada Tag Method? Router address

Por que motivo deseamos relevar las VLANs o metodos de administracion de las mismas? Cite al menos dos.

1: ___________________________________________________________________________________

2: ___________________________________________________________________________________


P4 - MATRIZ DE ANLISIS DE LAS APLICACIONES Y SU COMPORTAMIENTO PrioAMB Nombre de la aplicacin Funcin Arquitectura (SQL, Xbase, Btrieve.) Protocolos (IP, IPX, Netbios) Sector Cant. de usuarios Usa vnculos de WAN? Servidor/es donde se alojan los datos Name, IP, MAC, RAM, HD Comportamiento Lect. intensiva (LI) Grab. Intensiva (GI) Ambos (LI+GI) Store & Fwd Otras observaciones: Funcionalidad Tamao de archivos Cant. de hops involucrados Mxima latencia aceptada

A1


FASE 2: ESTRATEGIA DE MEDICIONLa meta de este paso es definir el programa de actividades que recopilaran los datos o mtricas necesarias para llegar a un diagnstico preciso, a travs de una decisin basada en informacin cuantitativa.1. QUE TIPO DE ANLISIS SE SOLICITARA ? Perfil de segmento? Anlisis de ruta? Carga y rendimiento de dispositivos? Certificacin de link? Captura de paquetes y anlisis experto post-captura? Triggers & alarms? Trending general? 2. QUE INSTRUMENTAL O SOFTWARE SE UTILIZARA ? TDRs? Probes de LAN distribuidos? Cuantos? Analizador de trfico simple? Probes de WAN? Software de monitoreo y descubrimiento de red / ruta? Software de reporting de SNMP? 3. CUANTO TIEMPO ESTARAN MIDIENDO ? Medicin puntual? Trending? 4. DONDE SE COLOCARAN LOS INSTRUMENTOS ? En el puerto del cliente, del servidor o en ambos simultneamente? En el puerto del servidor? En el puerto del troncal? En la entrada o salida del router? 5. SE USARAN FUENTES ADICIONALES Y/O CRUZADAS DE INFORMACION ? Estadsticas entregadas por los sistemas operativos de los routers, switches o servidores Software de gestin de los dispositivos

ACTIVIDADES Definicin de los estudios a realizar y coordinacin de las actividades: instalacin y configuracin de los equipos y acceso al site. HERRAMIENTAS PARA USO EN ESTA FASE, FORMULARIOS Y SOFTWARE Documentacin e informacin obtenida en la fase anterior Kit de anlisis de trfico LAYERS DE ANLISIS Existen 4 layers o capas de anlisis diferentes: LAYER 1 SEGMENTO Se sospecha que la culpa de la cada de calidad es un segmento especifico y se focaliza el estudio en el mismo LAYER 2 SESION (APLICACIN) Se sospecha que el problema esta en la sesin y como se realiza el intercambio, ya sea por eficiencia protocolar como por eficiencia de la aplicacin ppd. LAYER 3 DISPOSITIVOS Se sospecha que la perdida de servicio esta en un dispositivo o dispositivos por donde cruza la transaccin o trfico (PCs Switches Routers Servidores) LAYER 4 CIRCUITO Se analiza el circuito completo en bsqueda de las demoras.


MATRIZ DE HIPOTESIS

# 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 # 1 2 3 4 5 6 7 8 9 10 11

PROBLEMA Congestin continua del troncal Congestin espordica del troncal Congestin continua del segmento Congestin espordica del segmento Atenuacin del link (LAN) Atenuacin del link (WAN) Tormenta de broadcast Sobrecarga del servidor Falta de recurso en la estacin Sobrecarga en el router Sobrecarga en el switch Exceso de errores Errores en la ruta Errores en la configuracin del protocolo Corte de enlace Ineficiencia en la aplicacin Baja en el servicio Ineficiencia del protocolo (overhead) Falla de hardware (NIC) Induccin en el medio (EMI/RFI) Corte en la sesin por exceso de delay ANLISIS Perfil de actividad del segmento Anlisis de carga de dispositivo Anlisis de ruta Certificacin de link (LAN) Certificacin del link (WAN) Monitoreo de dispositivo por SNMP/MIBs Monitoreo de valores entregados por el SO Captura de trfico y anlisis post-captura Polling de dispositivo + anlisis de latencia Consulta en el site de soporte Triggers & Alarms

ANLISIS PARA DETECTARLO 1, puntual 1, trending 1, puntual 1, trending 4, puntual 5, puntual 11, con toptalkers 6, 7 y 9 6, 7 y 9 2, 3 , 6, 7 y 9 6, 7 y 9 1, trending 3, 9 8, 1 9, 6 8, 3 9, 6 8 1, puntual o trending 4, 5 9


PLANILLA DE CAPTURA Sonda utilizada y fecha: Lugar fsico donde se realizo la medicin:

FUNCION

Nro. paquete inicio

Hora inicio

Nro. paquete final

Hora final

Tiempo medicin


MATRIZ DE DECISION Y ELABORACION DE DIAGNSTICO Ejercicio: Completar el siguiente cuadro con los posibles anlisis a realizar para cada par: tipo de demora de aplicacin / rea de la red LAN Puntual WAN Puntual

TotalAfecta a todas las aplicaciones La demora es continua

Parcial

Total

Parcial

La demora es ciertos momentos

APLICACIONES

Afecta a una aplicacin especifica

La demora es continua


Afecta a un grupo de aplicaciones

La demora es continua



FASE 3: INSTALACION, SEGUIMIENTO Y RECOPILACION DE MEDICIONESLa meta de este paso es coordinar con el cliente o usuarios del sector, la instalacin de los equipos, posibles cortes de servicio que esto generara o bien el acceso a lugares reservados de la instalacin.1. QUIEN SERA EL INTERLOCUTOR TECNICO DENTRO DE LA ORGANIZACION ? Entrega de direcciones IP y/o MIBs de dispositivos Acceso a los sistemas operativos del servidor/routers Establecimiento de port-mirroring en switches Control de las sondas y su correcto funcionamiento Coordinacin con el sector usuario Coordinacin de remocin de las sondas

ACTIVIDADES Definicin de los estudios a realizar y coordinacin de las actividades: instalacin y configuracin de los equipos y acceso al site. HERRAMIENTAS PARA USO EN ESTA FASE, FORMULARIOS Y SOFTWARE Formulario de solicitud de medicin de trfico (ver fase 1) Planilla de instalacin de sondas (instrumentales) REGISTRO DE INSTALACION DE SONDAS DE MEDICION SONDA # MAC IP Gateway DNS Ubicada en: Fecha y hora

Formulario de seguimiento para los usuarios internos REGISTRO DE INCIDENTESFECHA y HORA Que servicio o aplicacin fue afectada? Demora? Perdida de conexin? Total? Parcial?

Kit de anlisis de trficoMetodo de anlisis de trfico y diagnstico Aguilar & Asociados Pagina 62

FASE 4 ANLISIS DE RESULTADOS, DIAGNSTICO Y ACCIONES CORRECTIVASLa meta de este paso es analizar la informacin obtenida, establecer relaciones y llegar a la conclusin o diagnstico mediante la emisin de un informe, donde adems se debern expresar las acciones correctivas a realizar (tratamiento).1. CUAL ES EL MOTIVO EXACTO O SUPUESTO DEL PROBLEMA ? Puede precisarse con seguridad? Hay pruebas que surgen de los estudios precedentes? Se infiere como posible en base a las mediciones obtenidas? 2. POR QUE SE PRODUCE? Cual es el origen del problema? Puede prevenirse o evitarse? 3. QUE SE DEBE REALIZAR PARA EVITARLO? Que acciones correctivas deben ser tomadas? Que mediciones posteriores deben realizarse para corroborar la correccin del problema? Evaluacin costo-beneficio

ACTIVIDADES Anlisis de la informacin obtenida, aplicando las matrices de decisin. Elaboracin del informe de diagnstico Exposicin del informe ante los responsables y/o solicitantes HERRAMIENTAS PARA USO EN ESTA FASE, FORMULARIOS Y SOFTWARE Archivos conteniendo las mtricas y dems mediciones obtenidas Procesador de texto Planilla de calculo Software de graficacin Software de anlisis de trfico para procesar los resultados Software de anlisis experto post-captura CONTENIDO DEL INFORME Resumen ejecutivo Diagrama de la porcin de la infraestructura relevada Interpretacin tcnica de los resultados Acciones correctivas Apndice con mediciones que sustentan el diagnstico o las conclusiones


INFORME DE DIAGNSTICO PERDIDA DE SESION DE OUTLOOK CON ROUTERS XX RESUMEN EJECUTIVO Cliente: Fecha: Site: Responsable: Responsable por el cliente: Objetivo XX Mayo 11, 2000 Planta Pilar Ignacio Bonelli / Luis Aguilar Juan Perez Determinar la causa posible de la perdida de sesin en la carga de Outlook pasando por routers XX Actividades Captura de paquetes con inicio de sesin en dos variantes: Con routers con balance

Documents

Manual Analisis de Trafico