ostupnym. Process mozhno opisat' sleduyushchim obrazom:

1. Klient vvodit set' IP v sostoyanii inicializacii i peredaet po shirokoveshchatel'noe soobshchenie po vsem dostupnym setyam s zaprosom na poluchenie IP adresa i opisaniem trebovanij k soedineniyu (DHCPDISCOVER).

2. Agent retranslyacii BOOTP obnaruzhivaet eto soobshchenie i peredaet ego vsem dostupnym serveram DHCP dlya obrabotki.

3. Kazhdyj server DHCP otvechaet na zapros klienta s soobshcheniem predlozheniya (DHCPOFFER), kotoroe sostoit iz dostupnogo adresa IP i informacii konfiguracii na osnove predopredelennyh administratorom trebovanij k soedineniyu dlya etogo uzla.

4. Klient poluchaet vse otvety ot serverov i opredelyaet nailuchshee predlozhenie ispol'zuya vstroennyj algoritm.

5. Zatem klient otpravlyaet vybrannomu serveru zapros na poluchenie adresa i informacii konfiguracii (DHCPREQUEST).

6. V zaklyuchenie, vybrannyj server DHCP posylaet v set' soobshchenie o podtverzhdenii polucheniya obsluzhivaniya (DHCPACK). Posle etogo vse drugie servera, kotorye ne byli vybrany, osvobozhdayut adresa IP, kotorye oni predlozhili klientu i vozvrashchayutsya v rezhim oprosa seti, ozhidaya sleduyushchij paket DHCPDISCOVER.

7. Posle togo, kak server DHCP poluchaet podtverzhdenie ot klienta DHCP, server avtomaticheski modificiruet server imen DNS v sootvetstvii s etim adresom IP.

8. Tak kak adres IP, naznachennyj klientu vydan tol'ko vremenno (arenduetsya) on dolzhen byt' periodicheski vozobnovlyat'sya, klient startuet tajmer i ustanavlivaet ego na polovinu prodolzhitel'nosti arendnogo dogovora.

9. Kogda vremya tajmera istekaet, klient posylaet DHCPREQUEST paket serveru, zaprashivaya obnovlenie "arendnogo dogovora".

10. Esli klient ne poluchaet nikakogo otveta ot servera, to on zhdet do istecheniya treh chetvertej prodolzhitel'nosti "arendnogo dogovora" i zatem peredaet DHCPREQUEST paket ko vsej seti, chtoby zaprosit' obsluzhivanie u novogo servera. |tot process garantiruet, chto servis DHCP prodolzhaetsya bez preryvaniya.

Prodolzhitel'nost' vremeni "arendnogo dogovora" ustanavlivaetsya administratorom, kogda on konfiguriruet server DHCP. Vsya klientura DHCP vnutri seti ili podseti imeet odno i to zhe vremya "arendnogo dogovora"; odnako, pol'zovateli, v sluchae neobhodimosti, mogut otmenyat' zadannyj po umolchaniyu promezhutok "arendnogo dogovora".

DHCP - protokol prikladnogo urovnya osnovannyj na BOOTP, kotoryj vypolnyaetsya pri pomoshchi protokola UDP. Esli razmer seti trebuet obsluzhivaniya DHCP vo mnogih svyazannyh setyah mezhsetevoj marshrutizator dolzhen podderzhivat' vozmozhnost' peredachi soobshchenij agenta retranslyacii BOOTP. Kak ukazano vyshe, etot agent retran-lyacii otvetstvenen za peredachu soobshcheniya BOOTP mezhdu dvumya IP setyami. Prohozhdenie takogo soobshcheniya trebuetsya v sluchae, esli DHCP klient i server nahodyatsya v raznyh setyah.

Servis DHCP v krupnyh, svyazannyh mezhdu soboj, setyah (s obshchim chislom uzlov bolee 5000) mozhet vyzyvat' massivnye shtormy shirokoveshchatel'nyh soobshchenij. V etom sluchae rekomenduetsya ustanovit' bol'shee kolichestvo DHCP serverov v raznyh setyah.

DHCP v AIX V4

Realizaciya klienta i servera DHCP v AIX sostoit iz sleduyushchih modulej:

˛ Demon klienta dhcpcd
˛ Demon servera dhcpsd
˛ Demon agenta retranslyacii dhcprd

Tekushchaya realizaciya DHCP dlya RS/6000 podderzhivaet takie LAN-osnovannye protokoly, kak Ethernet, Token-Ring i FDDI. |ta realizaciya kak klienta, tak i servera DHCP sootvetstvuet vsem dostupnym RFC i takzhe byla proverena na sovmestimost' s drugimi klientami i serverami DHCP.

Tablica nizhe pokazyvaet perechen' produktov, sposobnyh rabotat' s realizaciej DHCP dlya AIX.

Server DHCP Klienty DHCP
AIX V4.2 MacOS, Windows 3.x, Windows 95,Windows NT 3.5, Chameleon,FTP Software, AIX V4.1.4
AIX V4.1.4 OS/2 Warp Connect
OS/2 Warp Server, SUN Solaris,FTP Software, Competitive Automation AIX V4.2, AIX V4.1.4

Kazhdaya mashina RS/6000 mozhet vypolnyat' odnu iz treh rolej: rol' servera, rol' klienta ili rol' agenta peredachi soobshchenij BOOTP.

Konfigurirovanie servera DHCP

Server DHCP generiruet i predlagaet adresa IP, osnovannye na nabore predopredelennyh atributov ili sred. Pol'zovateli mogut sozdavat' eti oblasti opredeleniya, redaktiruya ASCII fajl ili ispol'zuya graficheskij interfejs pol'zovatelya (GUI).

Process konfigurirovaniya servera DHCP sostoit iz opredeleniya treh glavnyh oblastej: global'nye resursy dlya vseh setej, individual'nye resursy dlya kazhdoj seti i resursy dlya specificheskih klientov ili naborov klientov.

Vnutri servera DHCP, predstavlenie informacii klienta ispol'zuya klyuchi. S etimi klyuchami server DHCP mozhet naznachat' IP adresa klientu.

Pervyj klyuch - pozicionirovanie pol'zovatelya v seti. |ta poziciya pomogaet opredelyat' iz kakogo diapazona dostupnyh adresov predlagat' adres dlya klienta. Krome togo, klient mozhet byt' vklyuchen v nekij nabor uzlov, oboznachennyj kak klass, imeyushchij odinakovye osobennosti. |ta specifikaciya klassa daet vozmozhnost' serveru predostavlyat' klientam dopolnitel'nye vozmozhnosti i uchityvat' ih osobennosti.

Vtoroj klyuch - identifikator klienta. Identifikatorom klienta mozhet byt' imya uzla TCP/IP ili MAC adres. Server mozhet ispol'zovat' identifikator klienta, chtoby obespechit' bolee specificheskie vozmozhnosti.

Global'nye resursy ispol'zuyutsya, chtoby obespechit' polnuyu neprotivorechivost' i davat' kazhdomu klientu bazovye funkcii. Klient poluchaet global'nye resursy tol'ko togda, kogda bolee specificheskie vozmozhnosti ne mogut byt' emu dany. Takie vozmozhnosti vklyuchayut (kak minimum) setevye funkcii, zatem vozmozhnosti klassa, zatem specificheskie vozmozhnosti klienta.

Takim obrazom, ierarhiya dlya naznacheniya vozmozhnostej resursa klienta vyglyadit sleduyushchim obrazom:

˛ specificheskij klient;
˛ klass;
˛ set';
˛ global'naya peremennaya.

Imeyutsya dva drugih menee vazhnyh klyucha dlya razmeshcheniya klassa i klassa proizvoditelya. Vmeste eti chetyre klyucha identificiruyut logicheskuyu gruppirovku, dlya kotoroj IP uslugi opredeleny i obespechivayutsya.

Kogda klient daet informaciyu klassa na server, server mozhet bystrej vozvratit' zadannye po umolchaniyu uslugi dlya etogo klassa. Naprimer, klass ucheta mozhet predstavlyat' pol'zovatelej v otdele ucheta, kotorye nuzhdayutsya v dostupe k specificheskomu vysokokachestvennomu printeru.

Scenarij konfiguracii servera

V nizhesleduyushchem DHCP scenarii konfiguracii servera firma "H" imeet shest' IP setej i imeet naznachennye Centrom Informacii Seti Internet (InterNIC) seti diapazon adresov IP odin klassa C i odin klassa B.

Obshchie pol'zovateli firmy "H" sgruppirovany kak ili dinamicheskie ili staticheskie.

Set' klassa C ispol'zuetsya dlya otdela marketinga i kommercheskimi agentami, kotorye prihodyat v ofis inogda (dinamicheski) i ispol'zuyut lyubuyu dostupnuyu komnatu. Dlya etih dinamicheskih pol'zovatelej, kazhdaya komnata v zdanii imeet port interfejsa i stanciyu stykovki.

Set' klassa B ispol'zuetsya i razdelyaetsya lyud'mi v pyati staticheskih rabochih gruppah: buhgalteriya, vychislitel'nyj centr, otdel proektirovaniya i razrabotok, proizvodstvennyj otdel i otdel kontrolya kachestva.

Set' klassa B razbita na pod seti klassa C dlya pyati rabochih grupp. Imeetsya tol'ko chetyre seti klassa C, potomu chto rabochie gruppy buhgalterii i vychislitel'nogo centra sovmestno ispol'zuyut odnu set' klassa C.

Nizhe pokazyvaetsya, kak skonfigurirovana set' klassa C dlya otdela marketinga.

Sostoyanie network imeet dva parametra: pervyj parametr - setevoj adres, i vtoroj parametr opredelyaet diapazon razreshennyh adresov, kotorye mogut byt' naznacheny.

Diapazon - ot 2 do 240, potomu chto 1 ispol'zuetsya marshrutizatorom "H" i ne dolzhen byt' naznachen, i adresa vyshe 240 zarezervirovany dlya budushchih staticheskih pol'zovatelej.

(Esli vtoroj parametr ne opredelen, eto podrazumevaet, chto mozhno prisvoit' vse adresa.)

network  192.100.10.0 192.100.10.2-192.100.10. 240
{
option 1 255.255.255.0 * Maska podseti dlya klassa C
option 3 193.100.10.1 * Zadannyj adres gateway/marshrutizatora po umolchaniyu
option 6 129.35.40.5 * Zadannyj po umolchaniyu adres servera DNS
option 5 2 hours  * Vremya «arendnogo dogovora», ustanovleno 2 chasa,
                  * potomu chto kommercheskie agenty obychno
                  * nahodyatsya v ofise v techenie tol'ko odnogo chasa.
option 15 "marketing.x.com"  * Zadannoe po umolchaniyu imya domena
}

Nizhe pokazany setevye konfiguracii setej klassa C dlya rabochih grupp otdela proektirovaniya i razrabotok, proizvodstvennogo otdela i otdela kontrolya kachestva.

network 129.35.0.0 24 * naznachennyj NIC adres seti klassa B 129.35.0.0
                      * ispol'zuetsya maska podseti s 24 bitami
 {
 option 1 255.255.255.0 * Maska podseti dlya klassa B
 subnet 129.35.10.0 * Adres podseti
  { * Mozhno prisvaivat' vse adresa podseti
  client 0 0 129.35.10.1 * Adres 129.35.10.1
                         * zarezervirovan dlya marshrutizatora
  option 3 129.35.10.1 * Zadannyj adres gateway/marshrutizatora po umolchaniyu
  option 6 129.35.40.5 * Zadannyj po umolchaniyu adres servera DNS
  option 15 "producttest.x.com" * Zadannoe po umolchaniyu imya domena
  }

subnet 129.35.20.0 129.35.20.2-129.35.20.200
 { * Opredelennyj diapazon adresov dlya podseti
 option 3 129.35.20.1 * Zadannyj adres gateway/marshrutizatora po umolchaniyu
 option 6 129.35.40.5 * Zadannyj po umolchaniyu adres servera DNS
 option 15 "manufacturing.x.com" * Zadannoe po umolchaniyu imya domena
 }

subnet  129.35.30.0 129.35.30.2-129.35.30.215
 { * Diapazon vseh prisvaivaemyh adresov
 option 3 129.35.30.1 * Zadannyj adres gateway/marshrutizatora po umolchaniyu
 option 6 129.35.40.5 * Zadannyj po umolchaniyu adres servera DNS
 option 15 "rnd.x.com" * Zadannoe po umolchaniyu imya domena
 }
}

Nizhe pokazana setevaya konfiguraciya dlya rabochih grupp buhgalterii i vychislitel'nogo centra, kotorye sovmestno ispol'zuyut set' klassa C.

network 129.35.0.0 25 * nic-naznachil klass B adresuet 129.35.0.0
                      * maska podseti s 25 bitami ispol'zuetsya potomu chto
                      * 256 adresov razdeleny dve podseti.
{
option 1 255.255.255.128 * Maska podseti dlya seti klassa B
subnet 129.35.40.0 129.35.40.64-129.35.40.12 6
* Opredelennyj diapazon adresov dlya podseti
 { 
 option 3 129.35.40.1 * Zadannyj adres gateway/marshrutizatora po umolchaniyu
 option 6 129.35.40.5 * Zadannyj po umolchaniyu adres servera DNS
 option 15 "netserver.x.com" * Zadannoe po umolchaniyu imya domena
 }

subnet 129.35.40.128 * Adres podseti
 { 
 option 3 129.35.40.129 * Zadannyj adres gateway/marshrutizatora po umolchaniyu
 option 6 129.35.40.5 * Zadannyj po umolchaniyu adres servera DNS
 option 15 "accounting.x.com" * Zadannoe po umolchaniyu imya domena
 client 0 0 129.35.40.129 * Klientskij adres 129.35.40.129 udalen
client 10x1005ACABADAE 129.35.40.130 * IP adres 129.35.40.130  zarezervirovan
* dlya Ethernet adresa 0x1005ACABADAE
 }
}

Nizhe pokazan spisok global'nyh parametrov. 

supportunlistedClients  yes * Podderzhka vsej klientury bez yavnogo
                            * zadaniya ih spiska v etom fajle
supportBOOTP            yes * Firma «H» imeet H-stancii i setevye printery,
                            * ispol'zuyushchie protokol BOOTP
leasetimedefault        5 days * Vremya «arendnogo dogovora» dlya adresa IP
leaseexpireInterval     1 day * Vremya dlya servera DHCP dlya vosstanovleniya 
                                  * IP adresa, poteryannogo iz-za togo, chto
                                  * klient pri otklyuchenii ne vyhodil iz
                                  * seansa svyazi korrektno

Konfiguraciya servera sostoit iz inicializacii vseh parametrov DHCP dlya vseh potencial'nyh klientov.

Dannye konfiguracii sohranyayutsya v fajle /etc/dhcpsd.cnf.

Server mozhet startovat' avtomaticheski ispol'zuya posledovatel'nost', razmeshchennuyu v /etc/rc.tcpip ili, ispol'zuya SMIT.

# Smit tcpip Further Configuration - > Server Network Services - > Other Available Services - > Dhcpsd Subsystem

Graficheskij interfejs

Graficheskij interfejs servera DHCP pomogaet spryatat' slozhnost' sintaksisa fajla konfiguracii i uproshchaet ego konfiguraciyu. Dlya starta graficheskogo interfejsa servera ispol'zuetsya komanda dhcpsconf.

Panel' graficheskogo interfejsa sostoit iz treh osnovnyh rabochih oblastej:

Option list - spisok vybiraemyh opcij, podderzhivaemyh serverom
Key list - znacheniya, kotorye opisyvayut klienta, vklyuchaya setevuyu poziciyu, klass i identifikator
Main window list - rezyume opcij dlya kazhdogo klyucha

Konfigurirovanie DHCP klienta

Dlya klientov, cel' DHCP sostoit v tom, chtoby obespechit' polnuyu mobil'nost' bez neobhodimosti rekonfiguracii kazhdyj raz kogda sozdano novoe soedinenie. |ta cel' dostigaetsya opredeleniem nabora predpochtenij klienta, kotorye opredelyayut to, chto klient trebuet ot servera i seti. Klient peredaet po seti informaciyu o svoih predpochteniyah vo vremya soedineniya. Odin ili bol'shoe kolichestvo serverov DHCP issleduyut ego predpochteniya i delayut svoi predlozheniya. Klient zatem ispol'zuet algoritm opredeleniya nailuchshego sootvetstviya, chtoby opredelit' optimal'nyj server dlya sebya. Kogda klient ne imeet nikakih predpochtenij, DHCP vse zhe obespechivaet bazovyj uroven' obsluzhivaniya, osnovannom na servernoj konfiguracii po umolchaniyu.

Klienty imeyushchie predpochteniya, mogut byt' razdeleny na dve kategorii:

Otnositel'no seti TCP/IP - staticheskie marshruty, server imen NetBIOS i t.p.

Otnositel'no uslug servera - upravlyayushchaya programma lokal'nogo printera i spulera (LPR), server imen (DNS), setevoj server vremeni (NTP) i t.p.

Konfiguracionnaya informaciya soderzhitsya v dvuh fajlah:

dhcpcd.ini - fajl konfiguracii DHCP, sostoyashchij iz direktiv, kotorye mogut byt' opredeleny dlya klienta. Soderzhit spisok privilegirovannyh opcij.

/etc/rc.net - informaciya dlya interfejsa zapuska.

Klient ustanavlivaetsya ispol'zuya SMIT nizhesleduyushchim obrazom:

smit tcpip- > Use DHCP for TCP/IP Configuration & Startup

Komandy SMIT mogut takzhe ispol'zovat'sya, chtoby konfigurirovat' DHCP dlya TCP/IP i zapuskat' upravlenie demonom klienta sleduyushchim obrazom:

smit tcpip -> Further Configuration - > Server Network Services - > Other Available Services - > Dhcpcd Subsystem

Kombinacii parametrov dlya zayavlenij klienta

Zayavleniya klienta obespechivayut opcii specificheskie konkretno dlya nego, naprimer, neobhodimost' rezervirovaniya adresa IP ili udaleniya adresa iz diapazona.

Pri ispol'zovanii parametra <stroka>, kazhdaya <stroka> dolzhna byt' unikal'na. Stroka klienta - ustrojstvo-zavisimaya stroka, kotoraya mozhet ispol'zovat'sya, chtoby identificirovat' specificheskoe ustrojstvo sootvetstvuyushchim MAC-adresom.

Stroka daet vozmozhnost' serveru DHCP identificirovat' klienta i obespechit' ego korrektnoe obsluzhivanie.

Sintaksis dlya zayavleniya klienta pokazyvaetsya nizhe:

Client     < tip apparatury>  < adres apparatury >  < IP adres >
1=Ethernet adres <stroka> <none>
6=token-ring            <any>
1=FDDI
0= <stroka> on the next field

Razlichnye kombinacii etih parametrov imeyut razlichnyj effekt. Rezul'taty iz opredeleniya razlichnyh kombinacij perechisleny nizhe:

Tip apparatury Apparatnyj adres IP adres Rezul'tat
0 0 <IP adres> <IP adres> dolzhen byt' udalen iz diapazona
0 <stroka> <IP adres> Klientu, kotoryj identificirovan <strokoj> dolzhen byt' prisvoen <IP adres>
<type> <address> <IP adres> Konkretnomu ustrojstvu <type> s adresom <address> dolzhen byt' prisvoen adres IP <IP adres>
<type> <address> none Ne davat' IP adres dlya konkretnoj apparatury s konkretnym adresom
0 <stroka> none Ne otvechat' dlya konkretnogo klienta identificirovannogo <strokoj>
<type> <address> any Predostavit' lyuboj svobodnyj adres IP dlya konkretnoj apparatury s konkretnym apparatnym adresom. Ispol'zuetsya v kombinacii s vystavlennym parametrom supportunlistedclients=no.
0 <stroka> any Predostavit' lyuboj svobodnyj adres IP dlya klienta identificirovannogo <strokoj>. Ispol'zuetsya v kombinacii s vystavlennym parametromsupportunlistedclients=no.

Agent retranslyacii BOOTP

Pri marshrutizacii soobshchenij BOOTP iz odnoj podseti v druguyu, marshrutizator obychno vypolnyaet retranslyaciyu; odnako, AIX podderzhivaet progressivnuyu marshrutizaciyu BOOTP peresylki.

Agent retranslyacii BOOTP startuet i ostanavlivaetsya podobno serveru DHCP.

Konfiguraciya zavershatsya vneseniem stroki v fajl /etc/dhcprd.cnffile. Agent retranslyacii poshl£t paket vsem serveram, opredelennym v etom fajle.

Trebovaniya k diskovomu prostranstvu dlya servera DHCP

Trebovaniya k diskovomu prostranstvu dlya servera zavisyat ot chisla klientov. Trebuemoe diskovoe ispol'zovanie dlya podderzhki odnogo klienta - 360 bajt.

K soderzhaniyu Vpered Nazad

Reshenie problem i nastrojka proizvoditel'nosti v seti TCP/IP

K soderzhaniyu Vpered Nazad

Reshenie problem i nastrojka proizvoditel'nosti v seti TCP/IP

Dekompoziciya problemy

Dazhe v samom prostom sluchae seti s dvumya uzlami, sushchestvuet mnogo apparatury i parametrov programmnogo obespecheniya, vzaimosvyaz' mezhdu kotorymi mozhet znachitel'no vliyat' na effektivnost' raboty seti. Obychno, podhod k takoj slozhnoj probleme dolzhen nachinat'sya s dekompozicii obshchej problemy na bolee melkie chasti i tak dalee, do nahozhdeniya pervoistochnikov problemy i zatem uzh vypolnyaetsya sistematicheskij i logicheskij plan udaleniya vozmozhnyh prichin, poka ne budet dostignuto e£ reshenie.

Tak s chego zhe nachat'? Kvalificirovannyj setevoj analitik vsegda nachinaet s polnogo ponimaniya tekushchej setevoj sredy. Voobshche, etot podhod podrazumevaet dokumentirovanie setevoj topologii, prikladnyh programm i ispol'zuemyh protokolov.

Esli setevaya konfiguraciya neizvestna, ispol'zujte komandu ping -R hostname i/ili komandy traceroute. Opciya - R komandy ping dopuskaet ispol'zovanie vozmozhnosti zapisi marshruta IP. Otricatel'nyj rezul'tat vypolneniya ping oznachaet, chto ne rabotaet ili uzel ili set'. Dlya togo, chtoby uznat', chto imenno ne rabotaet, trebuetsya vospol'zovat'sya drugimi sredstvami. Komanda ping takzhe ne daet informacii o sostoyanii uzla-adresata. Komanda traceroute, analogichno vyvodit marshrut, kotoryj pakety IP berut na setevom uzle, no nakaplivaet informaciyu nemnogo po-drugomu.

Komanda traceroute ispol'zuet dva sposoba proslezhivaya peredachu informacii do adresata: malen'koe znachenie ttl (vremya zhizni) i otkazavshij nomer porta.

Traceroute zapuskaet pakety UDP s malen'kimi znacheniyami ttl, chtoby obnaruzhit' promezhutochnye marshrutizatory. Komanda traceroute byla sozdana dlya setevogo testirovaniya, izmereniya i upravleniya. Vy dolzhny ispol'zovat' e£ prezhde vsego dlya obnaruzheniya neispravnosti vruchnuyu. Iz-za nagruzki, kotoruyu ona nalagaet na set', vy ne dolzhny ispol'zovat' komandu traceroute v techenie normal'nyh operacij ili iz avtomatizirovannyh scenariev.

Pri normal'no rabotayushchej seti zadokumentirujte parametry, vydavaemye vam vysheukazannymi komandami. |to pozvolit vam sravnit' s nimi izmenenie parametrov seti, voznikshie pri dobavlenii novoj apparatury ili programm.

CHtoby sozdaniya polnogo obzora effektivnosti i konfiguracionnoj informacii seti, ispol'zujte paket PerfPMR. CHtoby poluchat' naibolee polnye dannye o seti vy dolzhny vypolnit' komandu perfpmr 3600 v tot chas, kogda nagruzka na set' yavlyaetsya maksimal'noj. Vyhodnye fajly etoj komandy poyavyatsya v kataloge /var/perf/tmp.

Esli vozmozhno, ustanovite, chto yavlyaetsya "normal'yu" dlya vashej seti, kontroliruya trafik v techenie neskol'kih mesyacev.

Pojmite problemu

Ogranichivayut proizvoditel'nost' TCP/IP v AIX obychno sleduyushchie faktory:

˛ nedostatochnoe otnositel'noe bystrodejstvie apparatnyh sredstv;
˛ kolichestvo ciklov CPU, neobhodimyh dlya vypolneniya dannoj chasti koda ;
˛ razmer paketov peredavaemyh dannyh ;
˛ proizvoditel'nost', s kotoroj dannye keshiruyutsya v klientskoj pamyati, promezhutochnom zvene i sistemah servera;
˛ kachestvo koda pol'zovatelej, kotoryj obrashchaetsya k podsisteme lokal'noj vychislitel'noj seti.

Takim obrazom, vy dolzhny ponyat', kak kazhdyj iz etih faktorov sposobstvuet nedostatochnoj setevoj effektivnosti.

Vse uzly, prisoedinennye k lokal'noj vychislitel'noj seti sovmestno ispol'zuyut obshchij kanal peredachi. Poetomu seti s bol'shim kolichestvom serverov i sotnyami rabochih stancij, peredacha mul'timedijnyh dannyh i t.p. mogut sovershenno zagruzit' kanal peredachi dannyh.

Nastrojka effektivnosti raboty CPU yavlyaetsya predmetom osobogo rassmotreniya i v etoj knige ne privoditsya.

Razmer paketa dannyh takzhe igraet bol'shuyu rol' v ogranichenii effektivnosti seti. Obychnoe rassuzhdenie privodit nas k vyvodu, chto bol'shie pakety luchshe, tak kak umen'shaetsya kolichestvo peredavaemoj sluzhebnoj informacii (adres i t.p.) i snizhaetsya nagruzka uzlov. |to verno do toj stepeni velichiny paketov, kotoraya ne vyzyvaet fragmentaciyu, tak kak fragmentaciya paketov mozhet predstavlyat' uzhe druguyu problemu.

Pri nedostatochnoj pamyati klienta dlya keshirovaniya poluchaemyh dannyh, nekotorye dannye mogut byt' propushcheny. Pri postoyannom zatore proishodit effekt "ping-ponga", kogda peredayushchij uzel vs£ vremya pytaetsya peredat' pakety prinimayushchemu uzlu, a tot otbrasyvaet ih obratno.

Vybor "pravil'nogo" instrumenta

Dlya kontrolya i nastrojki sovremennyh geterogennyh setej administratory dolzhny imet' sootvetstvuyushchie instrumental'nye sredstva.

Setevye diagnosticheskie instrumental'nye sredstva mozhno razdelit' na dve kategorii: na te, kotorye soobshchayut vam, chto proishodit i na te, kotorye, pozvolyayut nekotorym obrazom proreagirovat' na to, chto proishodit.

Dlya fizicheskogo urovnya: tester (TDR)

Dlya setej Ethernet, veroyatno, naibolee poleznyj instrument - tester (TDR). TDR prisoedinyaetsya k seti vmesto odnogo iz terminatorov. Zatem tester ispuskaet signal izvestnoj moshchnosti i formata i izmeryaet otvet. Kazhdyj tip setevoj neispravnosti daet specificheskij tip otveta na TDR. Vy dolzhny oznakomit'sya s dokumentaciej na tester, chtoby interpretirovat' eti otvety. Vy dolzhny pravil'no ustanovit' parametry TDR dlya raznyh tipov kabelej.

Dlya kanal'nogo urovnya: komanda ifconfig

Vy mozhete ispol'zovat' komandu ifconfig, chtoby proverit' sostoyanie fizicheskogo setevogo interfejsa (yavlyaetsya li on rabotosposobnym i gotovym poluchat' pakety, pravil'no li vy ego skonfigurirovali, tekushchij adres Internet).

Dlya setevogo urovnya: komanda tokstat

Komanda tokstat otobrazhaet statistiku, opredelennogo drajvera ustrojstva Token-Ring.

Dlya setevogo urovnya: komanda ping

Komanda Packet InterNet Groper (ping) posylaet dejtagrammu ECHO_REQUEST protokola ICMP (ne trebuet nalichiya servernyh processov na zondiruemom uzle) na konkretnyj uzel, chtoby opredelit' yavlyaetsya li etot uzel dostupnym. CHast' otveta, kotoruyu vy poluchaete ot ping - eto vremya peredachi dejtagrammy tuda i obratno.

Izmenyaya kolichestvo dannyh i vydavaya ping na promezhutochnye uzly, vy mozhete poluchat' informaciyu o tom, kakie uzly vklyucheny i rabotayut. V vypolnenii komandy ping uchastvuyut sistema marshrutizacii, shemy razresheniya adresov i setevye shlyuzy, poetomu dlya dostizheniya uspeshnogo rezul'tata etoj komandy set' dolzhna byt' v bolee ili menee rabotosposobnom sostoyanii. Esli otveta ot uzla net, vy mozhete byt' sovershenno uvereny, chto bolee slozhnye sredstva tem bolee ne rabotayut.

Dlya setevogo urovnya: komanda traceroute

Vy mozhete ispol'zovat' komandu traceroute, chtoby vyyavlyat' posledovatel'nost' shlyuzov, cherez kotorye prohodyat pakety dlya dostizheniya opredelennogo uzla.

Dlya setevogo urovnya: komanda iptrace

Vy dolzhny ispol'zovat' komandu iptrace vsyakij raz, kogda vy dolzhny rassmotret' pakety, kotorye mashina posylaet i poluchaet. No sleduet uchityvat' sleduyushchee: eta komanda zahvatyvaet vse peredavaemye i poluchaemye pakety na setevom urovne v sootvetstvii naboru fil'trov v komande iptrace. Tak kak eta komanda yavlyaetsya pol'zovatel'skim processom ona dolzhna konkurirovat' s drugimi processami za CPU. Sledovatel'no, na sil'no zagruzhennoj mashine, iptrace mozhet ne zahvatyvat' vse pakety. I tak kak iptrace otslezhivaet pakety na setevom urovne, to net nikakih dokazatel'stv togo, chto paket popal v kabel', tak kak prezhde paket dolzhen projti cherez drajver i adapter, chtoby dobrat'sya do kabelya.

V sluchayah, kogda vse zhe neyasno, chto privodit k zatoram v seti, vy dolzhny ispol'zovat' specializirovannyj setevoj analizator.

Dlya transportnogo urovnya: komanda tcpdump

Komanda tcpdump sledit za trafikom v seti i registriruet zagolovki paketa, kotorye sootvetstvuyut bulevu vyrazheniyu, zadavaemomu pol'zovatelem. Esli nikakih parametrov ne zadano, komanda budet otslezhivat' vse pakety v seti.

Dlya kanal'nogo, setevogo i transportnogo urovnej: komanda netstat

Komanda netstat vozvrashchaet nabor statistiki otnositel'no sostoyaniya seti. Komanda netstat - horoshij instrument, chtoby pomoch' opredelit' razmeshchenie problemy.

Kak tol'ko problema izolirovana, vy mozhete ispol'zovat' bolee slozhnye instrumental'nye sredstva, chtoby prodolzhit' e£ reshenie. Naprimer, vy mogli by ispol'zovat' komandy netstat -i i netstat -v, chtoby opredelit', imeetsya li problema s konkretnym apparatnym interfejsom i zatem vypolnit' diagnostiku, chtoby eshch£ bolee izolirovat' problemu.

Ili, esli komanda netstat -s pokazyvaet, chto sushchestvuyut oshibki protokola, vy mogli by zatem ispol'zovat' komandu iptrace dlya detalizirovannogo analiza.

Dlya kanal'nogo, setevogo i transportnogo urovnej: komanda netpmon

|tot instrument kontroliruet i vyda£t statistiku setevogo vvoda-vyvoda i svyazannogo s obsluzhivaniem seti ispol'zovaniya CPU.

Komanda netpmon pokazhet trafik uzla na kanal'nom, setevom i transportnom urovnyah (protokoly TCP i UDP). |ta komanda mozhet takzhe obnaruzhit' trafik v drugie seti i otobrazhat' setevuyu statistiku trafika sortiruya informaciyu po uzlam.

Dlya kanal'nogo, setevogo i transportnogo urovnej: setevye analizatory

Pri specificheskih problemah dlya izucheniya soderzhaniya paketov dannyh v seti vy mozhete ispol'zovat' analizator protokola. Analizator protokola fiksiruet polnuyu strukturu setevyh dannyh, bez svyazi s ispol'zuemymi protokolami ili s setevoj operacionnoj sistemoj. On obrabatyvaet strukturu kak neobrabotannye dannye.

Dostupny neskol'ko kommercheskih paketov. Oni budut fiksirovat' strukturu dannyh i dekodirovat' ih soglasno tipa protokola, pokazyvaya informaciyu upravleniya v sootvetstvuyushchih urovnyah modeli OSI.

Analizator protokola - ochen' cennyj instrument, no trebuet neplohogo znaniya setevyh protokolov.

Vy takzhe dolzhny znat', chto termin "setevoj analizator" mozhet oznachat' razlichnye veshchi u raznyh prodavcov. Nekotorye prodavcy mogut polagat', chto setevoj monitor budet nazyvat'sya setevym analizatorom. Monitory fiksiruyut informaciyu o trafike, tipa kolichestvo peredannyh frejmov v sekundu ili chislo frejmov, kotorye soderzhat oshibki. |ti ustrojstva ne yavlyayutsya istinnymi analizatorami, tak kak oni nesposobny dekodirovat' informaciyu protokola bolee vysokogo urovnya, kotoruyu soderzhit peredannyj frejm.

Dlya urovnej ot kanal'nogo do prikladnogo: Performance Reporter

Ranee bylo nevozmozhno poluchit' svodnoe predstavlenie obo vseh sistemah i setevoj effektivnosti v slozhnoj i raspredelennoj srede. IBM SystemView for AIX Performance Reporter (Performance Reporter) ustranyaet etu problemu obespechivaya effektivnye, informativnye otchety osnovannye na dannyh, sgenerirovannyh iz vstroennoj bazy dannyh. |tot instrument pozvolyaet chasto obnaruzhivat' vozmozhnye problemy do ih vozniknoveniya.

Dannye, sobrannye Performance Reporter pomogut vam uznat' to, kakie pol'zovateli ispol'zuyut kakie resursy i proanalizirovat' uzkie mesta i drugie problemy proizvoditel'nosti.

Vy mozhete sobrat' informaciyu o proizvoditel'nosti s uzlov pod upravleniem AIX, Sun Solaris, i HP-UX. Vy mozhete legko ispol'zovat' dannye iz bazy dannyh Performance Reporter v drugih prikladnyh programmah. Model' dannyh horosho zaregistrirovana i prosto izmenyaetsya.

Performance Reporter podderzhivaet SUBD DB2/6000 i Oracle.

K soderzhaniyu Vpered Nazad

Bezopasnost'

K soderzhaniyu Vpered Nazad

Bezopasnost'

Sistema bezopasnosti AIX sootvetstvuet urovnyu bezopasnosti S2. |tot standart pred®yavlyaet k sisteme osnovnye shest' trebovanij:

˛ Dolzhny byt' vvedeny chetko sformulirovannye pravila bezopasnosti;
˛ Dolzhny byt' odnoznachno opredeleny vse pol'zovateli i ih prava dostupa;
˛ Vse ob®ekty dolzhny byt' pomecheny sootvetstvuyushchim urovnem bezopasnosti;
˛ Sistema dolzhna otslezhivat' vse dejstviya, svyazannye s zashchitoj, i zakryvat' etu informaciyu;
˛ Sistema dolzhna obespechivat' bezopasnost' i byt' sposobna dokazat' effektivnost' etogo obespecheniya;
˛ Sistema dolzhna byt' sposobna zashchitit' sama sebya.

Svidetel'stvo na sootvetstvie urovnyu bezopasnosti ne garantiruet togo, chto sistema zashchity sovershenna. Nalichie svidetel'stva prosto govorit o tom, chto sistema proshla testy na sootvetstvie urovnyu bezopasnosti.

Nabora sredstv dlya obespecheniya bezopasnosti, vstroennyh v AIX, vpolne dostatochno dlya realizacii priemlemoj politiki bezopasnosti kommercheskih organizacij. Vazhno tol'ko umet' pravil'no vospol'zovat'sya etimi sredstvami.

Politika bezopasnosti

"Bezopasnost' - funkciya upravleniya". |to utverzhdenie povtoryaetsya pri lyubom obsuzhdenii problem bezopasnosti - i… chasto ignoriruetsya. Nikakaya kombinaciya apparatnyh sredstv i programm zashchity programmnogo obespecheniya ne budet effektivna bez sootvetstvuyushchej sredy upravleniya, vklyuchaya vse urovni upravleniya.

Kazhdaya organizaciya nuzhdaetsya v politike bezopasnosti. |to utverzhdenie mozhet pokazat'sya ochen' prostym, no ono dolzhno odnoznachno byt' ponyato kazhdym sotrudnikom v organizacii. Politika bezopasnosti i e£ realizaciya obsuzhdalas' vo mnogih istochnikah. Postarayus' ne povtoryat' eti dokumenty. No neobhodimo eshch£ raz otmetit' to, chto politika bezopasnosti ochen' vazhna, tak kak ochen' prosto oshibit'sya pri ustanovke zashchity informacionnoj sistemy bez znaniya celej bezopasnosti.

|lementy politiki bezopasnosti dolzhny vklyuchat' v sebya otvety na sleduyushchie voprosy:

Granicy bezopasnosti mezhdu sotrudnikami, gruppami, organizaciej i ostal'noj chast'yu mira. Dlya etogo nuzhno imet' otvety na sleduyushchie voprosy:

˛ Kakie tipy dannyh dolzhny byt' ogranicheny dlya konkretnyh lyudej?
˛ Kakie dannye razdelyaetsya mezhdu otdelami ili drugimi gruppami?
˛ CHto yavlyaetsya dostupnym kazhdomu v organizacii?
˛ CHto yavlyaetsya dostupnym dlya vneshnego mira?
˛ Kak dolzhna organizaciya razdelena po gruppam (v smysle dostizheniya celej bezopasnosti)?
˛ Kakie urovni bezopasnosti neobhodimy dlya etih razlichnyh grupp?
˛ Gde razdel mezhdu udobstvom v rabote i trebuemoj zashchitoj?
˛ Kakova stoimost' bezopasnosti?
˛ CHto takoe dlya vas priemlemaya stoimost' bezopasnosti? (Zatraty na administrirovanie i dostavlyaemoe neudobstvo pol'zovatelyam - eto takzhe chasti obshchej stoimosti bezopasnosti).
˛ Kakova stoimost' poteryannyh, razrushennyh ili skomprometirovannyh dannyh?
˛ Sopostavima li ona so stoimost'yu zatrachennyh sredstv na obespechenie bezopasnosti?
˛ Kto budet upravlyat' obespecheniem informacionnoj bezopasnosti?
˛ Kto budet osushchestvlyat' kontrol'? |ti funkcii trebuyut vremeni i kvalifikacii. Ved' poka net takih intellektual'nyh avtomatizirovannyh sredstv kotorye sami soboj podderzhivali by neobhodimyj uroven' bezopasnosti
˛ Kak vazhno soblyudat' politiku bezopasnosti sotrudnikami?
˛ Kakovy mehanizmy prinuzhdeniya? Naprimer, v nekotoryh organizaciyah cheloveka mogut tol'ko pozhurit' za narushenie im trebovanij bezopasnosti. V drugih organizaciyah etot chelovek byl by uvolen nemedlenno za to zhe samoe narushenie.

Ot kogo zashchishchaemsya?

Pri slove "bezopasnost'" chashche vsego voznikayut obrazy zashchity ot promyshlennogo shpionazha i hakerov. No eto lish' ochen' malen'kij element obespecheniya informacionnoj bezopasnosti. Praktika pokazyvaet, chto osnovnye problemy zashchity informacii svyazany bol'she s vnutrennimi pol'zovatelyami, chem s vneshnimi. I glavnymi problemami yavlyayutsya:

1. Oshibki. Naprimer, pol'zovatel' mozhet oshibochno udalit' fajl. Zashchishchennye vazhnye fajly i horoshaya procedura rezervirovaniya (kotoraya yavlyaetsya takzhe elementom bezopasnosti) umen'shat eti problemy.

2. Obizhennye sluzhashchie (ili uvolennye sluzhashchie). Oni mogut unichtozhit', ukrast' i peredat' tret'ej storone konfidencial'nuyu informaciyu, vnesti zavedomo nepravil'nye dannye, ili mogut prosto napakostit' v sisteme.

3. Lyubopytnye sluzhashchie. Naprimer, kazhdyj iz nih hotel by chitat' (i vozmozhno izmenyat') mnogie sluzhebnye fajly i platezhnuyu vedomost'.

4. Sluzhashchie "s otkloneniyami". Vzlom sistemy bezopasnosti yavlyaetsya razvlecheniem dlya nekotoryh lyudej. Bez zhelaniya nanesti vred. Odnako, esli konfidencial'naya informaciya dolzhna ostat'sya konfidencial'noj, ona dolzhna ostat'sya