Analisis de Trafico PDF

Curso de Anlisis de Trafico Curso de Anlisis de Trafico
www.netkonline.com www.netkonline.com
Pagina: 1
Mdulo 6
Anlisis de Trfico
CARRERA
CARRERA
DIPLOMATURA EN TELECOMUNICACIONES
Y REDES DE DATOS
Docente: J ulio Locatelli
Pagina: 2
INDICE
8. Anlisis de sesin.
9. Anlisis de
distribucin del
paquete.
10. Anlisis de errores en
sesin.
11. Analizadores de
trafico.
12. RMON.
13. SNMP.
1. Introduccin.
2. Anlisis y diagrama del cableado (Layer 1).
3. Anlisis del layer enlace de datos (Layer 2).
4. Principios de operacin del protocolo
CSMA/CD.
5. Conceptos.
6. Direccionamiento y Ruteo.
7. Ejemplos.
Pagina: 3
Anlisis de Trfico
Pagina: 4
Anlisis de Trfico
Introduccin
El presente intenta establecer un mtodo de trabajo para llegar a un diagnstico
lo mas preciso posible basado en decisiones cuantitativas, a partir de mtricas
tomadas por equipos y software especficos.
Pagina: 5
Anlisis de Trfico
Introduccin
Bsicamente todo apunta a llegar a un DIAGNSTICO, objetivo que es
exitoso en cuanto involucra dos elementos: un cmulo de experiencia
para elaborar una hiptesis de trabajo basado en determinados sntomas y
una estrategia de investigacin que debiera ser sustentada por un mtodo
de trabajo que gue a los profesionales hacia este objetivo.
Pagina: 6
Anlisis de Trfico
Introduccin
Como todo mtodo, es perfectible y deseamos que as sea, para locual invitamos a
todos aquellos que lo usen a aportar las mejoras obtenidas de probar al mismo en el
campo.
Pagina: 7
Anlisis de Trfico
Introduccin
Pensamos que el anlisis de trfico ser una disciplina preponderante ya que la
infraestructura de red usada por la organizacin, sustenta el trfico transaccional de
mas y mas aplicaciones y que cada una de ellas tiene determinadas exigencias y
comportamiento a la hora de usar esta infraestructura.
Pagina: 8
Introduccin
Anlisis de Trfico
Que diferencias existen entre la gestin de la red y el anlisis de trafico?
Gestin de Red Anlisis de Trfico
Estrategia que abarca a la totalidad
de los recursos de la red , ya sean
clientes, servidores, elementos de
conectividad y protocolos,
formando una solucin que
comprende toda la infraestructura.
Destinado al monitoreo,
seguimiento y control del trafico
generado por los servicios y las
aplicaciones.
Pagina: 9
Introduccin
Anlisis de Trfico
Podemos decir que es un subset de la administracin de la red, estructurada en
layerssegn vemos:
Soluciones de management de red
Openview, CA Unicenter o NetWorkIT Pro, IBM Tivoli
Aplicaciones de gestin de dispositivos
Ej.: Cisco Works, 3COM Trascend, etc.
Aplicaciones y hardware de monitoreo de trafico
Ej.: Observer, NAI Sniffer, Shomiti, HP NetMetrix,
NetScout, etc.
Instrumental de certificaciones de enlace fsico
Ej.: TDRs de Fluke, Wandel & Goltermann
Pagina: 10
Introduccin
Anlisis de Trfico
Por que aparece la necesidad de medir el trafico?
Porque las aplicaciones demandan cada vez mas recursos de la red
Porque hay cada vez mas aplicaciones distribuidas
Por desconocimiento de los consumos de la aplicacin
Por desconocer el origen de los problemas
Por que otra razn?
Pagina: 11
Introduccin
Anlisis de Trfico
Que objetivos intenta alcanzar el anlisis de trafico?
Diagnostico de problemas
Planificacin de carga y consumos
Monitoreo de consumos
Comportamiento de aplicacin
Algn otro?
Pagina: 12
Introduccin
Anlisis de Trfico
Que limites y alcances tiene?
Es generalmente pasivo y no pro-activo.
No corrige los problemas de la red, solo
los mide y ayuda a diagnosticar.
Depende de la capacidad de la herramienta
utilizada y de la estructura de la red.
Pagina: 13
Introduccin
Anlisis de Trfico
Que problemas conlleva el anlisis?
Requiere de conocimiento de los protocolos de la red
Depende de cmo este conformada la infraestructura
Depende del tipo de instrumental utilizado
Pagina: 14
Anlisis de Trfico
Introduccin
Hipotesis de trabajo
mas probable
SINTOMA " La red esta lenta"
" No puedo conectarme a..."
" La aplicacion esta lenta..."
" Perdi la conexion a..."
RECOPILAR INFORMACION PARA
ELABORAR UNA HIPOTESIS DE
TRABAJO
- Ocurre siempre ?
- Le afecta a todos?
- Que cambios se realizaron?
-Desde cuando? / Desde donde?
Nueva hipotesis de
trabajo
Desarrollo de una estrategia de analisis y/o mediciones para recopilar informacion precisa y
corroborar la hipotesis de trabajo
Analisis y mediciones
Interpretacion de los resultados
Corroboran
la hipotesis?
DIAGNOSTICO
Y
SOLUCION
Si
No
Como es la secuencia de
diagnostico tradicional?
Pagina: 15
Anlisis de Trfico
Anlisis y diagnostico de la infraestructura de cableado.
Una parte del diagnostico del trafico se ve afectado o no por las
caractersticas y calidad de los parmetros de la infraestructura
fsica, ya que los framesse derivan en pulsos transmitidos por los
links fsicos.
Por ende, ciertos problemas detectados por el analizador de
trafico, tales como exceso de errores en las tramas (CRCserrors)
derivan de problemas en el cableado.
Pagina: 16
Anlisis de Trfico
Diagnosticar problemas en la infraestructura de cableado,
implica la revisin de los siguientes puntos:
TelecommunicationsCablingStandard y los siguientes subestandards
ANSI/TIA/EIA-568-A-95, estructura del cableado
ANSI/EIA/TIA-569-A-98, premisas para el cableado.
ANSI/EIA/TIA-570-91, cableado residencial y de pequeas oficinas
ANSI/TIA/EIA-606-93, administracin y documentacin
ANSI/TIA/EIA-607-94, practicas de puesta a tierra
Pagina: 17
Anlisis de Trfico
Medicin y diagnostico
El boletn TIA/EIA TSB-67, define la practica de medicin del
cableado. Para categora 5 extendida, se ha definido el boletn
TSB-97, con parmetros mas exigentes, tales como el
ELFNEXT, por ejemplo.
Pagina: 18
Anlisis de Trfico
Normalmente, los parmetros mas representativos y deseados de revisin son:
Atenuacin, medida en 24dB como peor nivel de ruido.
NEXT (Near End CrossTalk), 27.1dB, comopeor valor.
Mapa de cable (correcta disposicin del pinout, basada preferentemente en la
especificacin T568A.
Longitud del segmento, menor a 100 metros.
PAR Nro. Color Funcin PIN #
Blanco/Verde T3 1
Verde/Blanco R3 2
Blanco/Naranja T2 3
Azul/Blanco R1 4
Blanco/Azul T1 5
Naranja/Blanco R2 6
Blanco/Marrn T4 7
Marrn/Blanco R4 8
4
2 1
3
Pagina: 19
Anlisis de Trfico
Work Area
Hub
Patch Panel
Patch Panel
L2
Cuarto de cableado
L1 + L2 + L3 = 10 m maximo
L1
TIA/EIA basic link
90 m
TIA/EIA channel
802.3 link segment
100m
L3
Pagina: 20
Anlisis de Trfico
Industry Standards Performance Comparison Worst-case channel performance at 100 MHz
Parameter Category 5
and Class D
with pending additional
requirements
TIA PN-4292 (TSB-95)
and SC 25 N 487
Category 5E
SP-4195 (A-5)
Proposed
Category 6
Class E
(Performance at
250MHz shown in
parentheses)
Proposed
Category 7
Class E
(Performance at
600MHz shown in
parentheses)
Specified frequency range 1-100 MHz 1-100 MHz 1-250 MHz 1-600 MHz
Attenuation 24 dB 24 dB 21.7 dB (36 dB) 20.8 dB (54.1 dB)
NEXT 27.1 dB 30.1 dB 39.9 dB (33.1 dB) 62.1 dB (51 dB)
Power-sum NEXT N/A* 27.1 dB 37.1 dB (30.2 dB) 59.1 dB (48 dB)
ACR 3.1 dB 6.1 dB 18.2 dB (-2.9 dB) 41.3 dB (-3.1 dB)**
Power-sum ACR N/A 3.1 dB 15.4 dB (-5.8 dB) 38.3 dB (-6.1 dB)**
ELFEXT 17 dB (new requirement) 17.4 dB 23.2 dB (15.3 dB) ffs***
Power-sum ELFEXT 14.4 dB (new requirement) 14.4 dB 20.2 dB (12.3 dB) ffs***
Return loss 8 dB* (new requirement) 10 dB 12 dB (8 dB) 14.1 dB (8.7 dB)
Propagation delay 548 nsec 548 nsec 548 nsec (546 nsec) 504 nsec (501 nsec)
Delay skew 50 nsec 50 nsec 50 nsec 20 nsec
Pagina: 21
Anlisis de Trfico
HERRAMIENTAS DE MEDICION: EL TDR (TIME DOMAIN
REFLECTOMETER)
Es el certificador de los parmetros de
rendimiento del cable. Normalmente llegan
solo hasta la capa 1 de OSI, certificando que el
link fsico cumple con lo referido a la
categora y bajo las condiciones de medicin y
testing establecidas en el TSB67 o TSB95
Pagina: 22
Anlisis de Trfico
HERRAMIENTAS DE MEDICION: EL TDR (TIME DOMAIN
REFLECTOMETER)
Ejemplos de este tipo de herramientas son el FLUKE
DSP-4000 o el Microtest. Normalmente su costo oscila
entre los USD 3000.- y los USD 8000.- dependiendo de
las capacidades, y algunos de ellos tambienincluyen
mediciones de layer 2, tales como utilizaciondel canal
y/o colisiones.
Pagina: 23
Anlisis de Trfico
Features of the DSP-4000 Digital CableAnalyzer:
Provides unsurpassed ruggedness to keep your
crews up and running.
Gives you the fastest test times using high-
speed digital technology.
Minimizes training time with ease of use.
Automatically diagnoses cabling fault and
shows exact location in feet or meters.
Exceeds specification requirements for Cat 5,
Cat 5E and Cat 6 with level III accuracy.
Accepts the new manufacturer-specific Cat 6
connectors.
Pagina: 24
Anlisis de Trfico
Features of the DSP-4000 Digital CableAnalyzer:
Displaysresultsto350 MHz.
Shows detailed plots of NEXT, ELFEXT, PSNEXT,
Attenuation, ACR, Propagation Delay, and Return
Loss-up to 350 MHz.
Works with an optional Fiber Test Adapter to
provide automatic dual wavelength loss testing for
two fibers at a time.
Provides built-in Talk Mode for two-way voice
communication between the main and remote units.
Includes tone generator for use with a tone probe,
such as the Fluke 140, to trace wires and identify
cable in LAN installations.
Pagina: 25
Anlisis de Trfico
Powerful high definition diagnostics
The DSP-4000 helps you quickly identify and locate opens or
breaks, short circuits, and anomalies in the cabling link under
test. With a touch of the FAULT-INFO key, the DSP-4000
automatically diagnoses the cabling faults and graphically
displays the cabling link and the location of the defect. Utilizing
Enhanced High Definition Time Domain Crosstalk (HDTDX)
and High Definition Time Domain Reflectometry(HDTDR),
the DSP-4000 can precisely locate the position of a crosstalk
problem any distance along the link - measured in feet or meters
- from the tester. These high definition diagnostics make the
DSP-4000 the industry's first cable tester to pinpoint sources of
crosstalk or return loss anywhere along an entire link length.
Pagina: 26
Anlisis de Trfico
Mas informacin OnLine:
www.fluke.com/nettools
www.cabling-design.com
www.cabletesting.com
www.siemon.com
www.faqs.org/faqs/LANs/cabling-faq
Pagina: 27
Anlisis de Trfico
Anlisis del layer de enlace en ambientes de LAN estndar 802.3
1973: Sistema llamado red ALOHA, una red basada en transmisin radial.
Hacia 1972: Desarrollo de Metcafe y sus colegas en los laboratorios de
Xerox.(una computadoras personales ALTOS a 2.94Mbps).
En J ulio de 1976, Metcalfe y Boggs publicaron el estndar.
Hacia fines de 1977, la patente fue publicada como Sistema de comunicacin de
datos multipunto con deteccin de colisin, propiedad de Xerox Corp.
En 1985, la IEEE publico el estndar definitivo bajo el titulo: IEEE 802.3
Mtodo de Acceso al Medio de sensado de portadora y deteccin decolisin y sus
especificaciones fsicas
Historia
Pagina: 28
Anlisis de Trfico
Ao Suplemento Descripcin
1985 802.3a 10BASE2 Thin Ethernet
1985 802.3c Especificaciones del repetidor de 10 Mbps, clusula 9
1987 802.3d FOIRL Fiber Link
1990 802.3i 10BASE-T, twister pair
1993 802.3j 10BASE-F, fiber optic
1995 802.3u 100BASE-T Fast Ethernet y Auto-Negociacion
1997 802.3x Estndar Full-Duplex
1998 802.3z 1000BASE-X Gigabit Ethernet sobre fibra ptica
1998 802.3ac Extensin del Frame a 1522 bytes para soportar el tag de VLANS
1999 802.3ab 1000BASE-T, Gigabit Ethernet sobre par trenzado
2000 802.3ad Agregacin de links paralelos
Suplementos de la IEEE
Pagina: 29
Anlisis de Trfico
Presencia dentro de OSI
Logical Link Control Sublayer (LLC) 2 DATA LINK
Media Access Control (MAC)
Physical signaling sublayers 1 - PHYSICAL
Media Specifications
Pagina: 30
Anlisis de Trfico
E
s
p
e
c
i
f
i
c
a
c
i
n
E
n
c
o
d
i
n
g
V
e
l
o
c
i
d
a
d
M
e
d
i
o
M
x
i
m
o

d
i
m
e
t
r
o

d
e

l
a

r
e
d
/
l
o
n
g
i
t
u
d

d
e
l

t
r
o
n
c
a
l

(
m
t
)
M
x
i
m
a

l
o
n
g
i
t
u
d

d
e

s
e
g
m
e
n
t
o

(
m
t
)
M
n
i
m
a

l
o
n
g
i
t
u
d

d
e

s
e
g
m
e
n
t
o

(
m
t
)
M
x
i
m
a

c
a
n
t
i
d
a
d

d
e

s
e
g
m
e
n
t
o
s

s
e
p
a
r
a
d
o
s

p
o
r

r
e
p
e
t
i
d
o
r
e
s
M
x
i
m
a

c
a
n
t
i
d
a
d

d
e

r
e
p
e
t
i
d
o
r
e
s
M
x
i
m
a

c
a
n
t
i
d
a
d

d
e

n
o
d
o
s

p
o
r

s
e
g
m
e
n
t
o
O
b
s
e
r
v
a
c
i
o
n
e
s
10BASE5 Manchester 10Mbps Coaxial
RG213
2800 500 0.5 5 4 100 Conector: Transeiver externo AUI
10BASE2 Manchester 10Mbps Coaxial RG58 925 185 0.5 5 4 30 Conector: BNC
FOIRL 10Mbps FOMM
62.5/125um
- 1000 - - -- 0 Conector: ST
Cantidad mxima de transeivers por
segmento: 2
802.3 CUADRO COMPARATIVO DE CARACTERISTICAS
Pagina: 31
Anlisis de Trfico
E
s
p
e
c
i
f
i
c
a
c
i
n
E
n
c
o
d
i
n
g
V
e
l
o
c
i
d
a
d
M
e
d
i
o
M
x
i
m
o

d
i
m
e
t
r
o

d
e

l
a

r
e
d
/
l
o
n
g
i
t
u
d

d
e
l

t
r
o
n
c
a
l

(
m
t
)
M
x
i
m
a

l
o
n
g
i
t
u
d

d
e

s
e
g
m
e
n
t
o

(
m
t
)
M
n
i
m
a

l
o
n
g
i
t
u
d

d
e

s
e
g
m
e
n
t
o

(
m
t
)
M
x
i
m
a

c
a
n
t
i
d
a
d

d
e

s
e
g
m
e
n
t
o
s

s
e
p
a
r
a
d
o
s

p
o
r

r
e
p
e
t
i
d
o
r
e
s
M
x
i
m
a

c
a
n
t
i
d
a
d

d
e

r
e
p
e
t
i
d
o
r
e
s
M
x
i
m
a

c
a
n
t
i
d
a
d

d
e

n
o
d
o
s

p
o
r

s
e
g
m
e
n
t
o
O
b
s
e
r
v
a
c
i
o
n
e
s
10BASE-T Manche
ster
10Mbps UTP level 3
o sup.
200 100 No hay
(0.3 tpica)
5 4 1024 Seal: +/- 2.5v
Atenuacin mxima en el segmento: 11.5dB
Perdida por conector RJ 45: 1.5dB
Impedancia caracterstica: 100 Ohm
Conector: RJ 45, pinout TIA/EIA 568
Cantidad mxima de transeivers por segmento: 2
10BASE-FL
Fiber Link
Manche
ster
10Mbps FOMM
62.5/125u
m
4000 2000 - 5 4 1024 Reemplaza al FOIRL
Conexin WS-WS, WS-HUB o HUB-HUB
Conector: AUI/ST
Cantidad mxima de transeivers por segmento: 2
Se pueden lograr distancias superiores a 2000
m. Utilizando transei vers de FO monomodo (8
o 9/62.5um) full-duplex, llegando a 40 km.
Pagina: 32
Anlisis de Trfico
E
s
p
e
c
i
f
i
c
a
c
i
n
E
n
c
o
d
i
n
g
V
e
l
o
c
i
d
a
d
M
e
d
i
o
M
x
i
m
o

d
i
m
e
t
r
o

d
e

l
a

r
e
d
/
l
o
n
g
i
t
u
d

d
e
l

t
r
o
n
c
a
l

(
m
t
)
M
x
i
m
a

l
o
n
g
i
t
u
d

d
e

s
e
g
m
e
n
t
o

(
m
t
)
M
n
i
m
a

l
o
n
g
i
t
u
d

d
e

s
e
g
m
e
n
t
o

(
m
t
)
M
x
i
m
a

c
a
n
t
i
d
a
d

d
e

s
e
g
m
e
n
t
o
s

s
e
p
a
r
a
d
o
s

p
o
r

r
e
p
e
t
i
d
o
r
e
s
M
x
i
m
a

c
a
n
t
i
d
a
d

d
e

r
e
p
e
t
i
d
o
r
e
s
M
x
i
m
a

c
a
n
t
i
d
a
d

d
e

n
o
d
o
s

p
o
r

s
e
g
m
e
n
t
o
O
b
s
e
r
v
a
c
i
o
n
e
s
10BASE-FB
Fiber
Backbone
Manchester 10Mbps FOMM 62.5/125um 2000 Conexin HUB-HUB
No fue adoptado
10BASE-FP
Fiber
Passive
Manchester 10Mbps FOMM 62.5/125um 500 No fue adoptado
Para acople pasivo de hasta 33
computadoras
100BASE-TX 4B/5B 100Mbps
(200Mbps
en full-
duplex)
UTP level 5, 2
pares
STP 150 Ohm
200 100 No hay 5 4 1024 Con UTP, se requiere conectores
RJ 45, con pinout TIA/EIA 568
Con STP, se requiere un adaptador
de impedancia con conector de 9
pines (MDI D-Type)
Cantidad mxima de transeivers
por segmento: 2
Pagina: 33
Anlisis de Trfico
E
s
p
e
c
i
f
i
c
a
c
i
n
E
n
c
o
d
i
n
g
V
e
l
o
c
i
d
a
d
M
e
d
i
o
M
x
i
m
o

d
i
m
e
t
r
o

d
e

l
a

r
e
d
/
l
o
n
g
i
t
u
d

d
e
l

t
r
o
n
c
a
l

(
m
t
)
M
x
i
m
a

l
o
n
g
i
t
u
d

d
e

s
e
g
m
e
n
t
o

(
m
t
)
M
n
i
m
a

l
o
n
g
i
t
u
d

d
e

s
e
g
m
e
n
t
o

(
m
t
)
M
x
i
m
a

c
a
n
t
i
d
a
d

d
e

s
e
g
m
e
n
t
o
s

s
e
p
a
r
a
d
o
s

p
o
r

r
e
p
e
t
i
d
o
r
e
s
M
x
i
m
a

c
a
n
t
i
d
a
d

d
e

r
e
p
e
t
i
d
o
r
e
s
M
x
i
m
a

c
a
n
t
i
d
a
d

d
e

n
o
d
o
s

p
o
r

s
e
g
m
e
n
t
o
O
b
s
e
r
v
a
c
i
o
n
e
s
100BASE-FX 4B/5B 100Mbps
(200Mbps
en full-
duplex)
FOMM 62.5/125um 824 412
(2000 en
full-duplex)
No hay 5 4 1024 Conector: Duplex SC o conector MII de
40 pines (para transeiver externo)
Portadora de onda: 1350 nm
Se pueden lograr distancias
superiores a 2000 mts. Utilizando
transei vers de FO monomodo (8 o
9/62.5um) full-duplex, llegando a 20
km.
Cantidad mxima de transeivers por
segmento: 2
1000BASE-
CX
8B/10B 1000/200
0Mbps
High-quality
shielded twisted
pair
25 mts No muy adoptado en el mercado
Requiere alguno de dos tipos de
conectores, en los extremos:
HSSDC (High Speed Serial Data
Conector de 8 pines o fibre channel
style 2)
Conector de 9 pines D-Subminiatura (el
mismo que el usado en Token Ring
para STP de 150 Ohm)
Pagina: 34
Anlisis de Trfico
E
s
p
e
c
i
f
i
c
a
c
i
n
E
n
c
o
d
i
n
g
V
e
l
o
c
i
d
a
d
M
e
d
i
o
M
x
i
m
o

d
i
m
e
t
r
o

d
e

l
a

r
e
d
/
l
o
n
g
i
t
u
d

d
e
l

t
r
o
n
c
a
l

(
m
t
)
M
x
i
m
a

l
o
n
g
i
t
u
d

d
e

s
e
g
m
e
n
t
o

(
m
t
)
M
n
i
m
a

l
o
n
g
i
t
u
d

d
e

s
e
g
m
e
n
t
o

(
m
t
)
M
x
i
m
a

c
a
n
t
i
d
a
d

d
e

s
e
g
m
e
n
t
o
s

s
e
p
a
r
a
d
o
s

p
o
r

r
e
p
e
t
i
d
o
r
e
s
M
x
i
m
a

c
a
n
t
i
d
a
d

d
e

r
e
p
e
t
i
d
o
r
e
s
M
x
i
m
a

c
a
n
t
i
d
a
d

d
e

n
o
d
o
s

p
o
r

s
e
g
m
e
n
t
o
O
b
s
e
r
v
a
c
i
o
n
e
s
1000BASE-SX 8B/10B
Fibre
Channel
1000Mbps
(2000Mbps en
full-duplex)
FOMM
(MultiModo
)
440 mts 220 mts 2 metros Conector: Duplex SC o MT-RJ
Existe un elemento,
denominado GBIC (Gigabit
Ethernet Converter) que permite
soportar tanto 1000Base-SX o
LX en un mismo port
1000BASE-LX 8B/10B
Fibre
Channel
1000Mbps
(2000Mbps en
full-duplex)
Fomm
(MonoMod
o)
10000 m 5000 m 2 metros
1000BASE-T 4D-PAM5
(pulse
apmplitude
modulation)
1000Mbps
(2000Mbps en
full-duplex)
UTP level 5
o superior
200 100 No hay
Pagina: 35
Anlisis de Trfico
Otros estndares no tan utilizados o difundidos comercialmente son, adems del
10BROAD36 y del 1BASE5:
100BASE-T4 4B/5B 100Mbp
s
UTP level 3 o superior, 4
pares
200 100 No
hay
5 4 1024 No fue difundido
100BASE-T2 4B/5B 100Mbp
s
UTP level 3 o superior, 2
pares
200 100 No
hay
5 4 1024 No fue
desarrollado por
ningn fabricante
Pagina: 36
Anlisis de Trfico
Tipos de Frames Ethernet
IEEE 802.3 Header Destination MAC address 6 bytes
14 bytes Source MAC address 6 bytes
Type 2 bytes
IP V4 Header Version 4 bits
20 bytes Header Lenght 4 bits
Type of Service 1 byte
FRAME ETHERNET II (DIX)
Pagina: 37
Anlisis de Trfico
Lenght (Type si >= 0x0600) 2 bytes
FRAMES ETHERNET 802.3
Pagina: 38
Anlisis de Trfico
Lenght 2 bytes
802.2 LLC DSAP (Destination Service Access Point) 1 byte
3 o 4 bytes SSAP (Source Service Access Point) 1 byte
Control 1 o 2 bytes
FRAME ETHERNET 802.2 (LLC)
Pagina: 39
Anlisis de Trfico
Lenght (Type si >= 0x0600) 2 bytes
802.2 LLC DSAP (Destination Service Access Point) 1 byte
3 o 4 bytes SSAP (Source Service Access Point) 1 byte
Control 1 o 2 bytes
FRAME ETHERNET SNAP (SubNetwork Access Protocol)
Pagina: 40
Anlisis de Trfico
Principios de operacin del protocolo CSMA/CD
1. Una seal transmitida en un canal genera una condicin denominada
portadora.
2. Cuando una interfaz tiene en el buffer una trama, espera a que el canal este
libre de seal (ausencia de portadora).
3. Cuando el canal esta libre, la estacin espera un intervalo de tiempo
denominado IFG (Inter Frame Gap) y luego transmite el frame
4. Si dos estaciones transmiten, la sealizacin colisiona, y reprograman su
transmisin mediante un algoritmo de backoff.
Pagina: 41
Anlisis de Trfico
La reglas son:
Si no hay portadora.
Si hay portadora.
Si ocurre una colisin durante la transmisin.
Una vez que la estacin (en 10 o 100Mbps) ha transmitido 512 bits de un frame (sin
incluir el prembulo) sin colisionar, se dice que la estacin ha tomado posesin del
canal y no debiera existir colisin (este tiempo se denomina slot time). Entonces la
estacin limpia su contador de colisiones.
Pagina: 42
Anlisis de Trfico
OPERACIN FULL-DUPLEX
Es la operacin del canal Ethernet en ambos sentidos
simultneamente.
Ventajas:
Duplicacin de la capacidad de transmisin del
canal
La longitud del segmento no esta limitada a los
requerimientos de timingde un canal compartido,
til especialmente en segmentos de fibra
Pagina: 43
Anlisis de Trfico
OPERACIN FULL-DUPLEX
Consideraciones de operacin:
El sistema debe tener canales fsicos separados para transmisin y
recepcin.
Solo pueden existir dos interfaces en un segmento full-duplex
(conexin punto a punto)
Ambas interfaces deben tener capacidad de operacin full-duplex.
No se utiliza el algoritmo CSMA/CD.
Pagina: 44
Anlisis de Trfico
Auto negociacin
La configuracin automtica de las interfaces Ethernet es provista por el
protocolo denominado Auto-Negotiation Protocol, definido en 1995, como
parte del estndar 802.3u (FastEthernet), basado en un protocolodenominado
Nway, desarrollado por National Semiconductors especficamente para
enlaces de par trenzado. Por ello no se aplica a enlaces de fibra.
Pagina: 45
Anlisis de Trfico
Auto negociacin
Conceptos bsicos:
Opera sobre segmentos de enlace.
La Auto-Negociacionocurre en momentos de inicializacin del enlace.
Utiliza su propio sistema de sealizacin.
El dispositivo en el otro extremo del enlace, se denomina link partner.
Con excepcin de Gigabit Ethernet, no hay Auto-Negociacionen fibra
ni tampoco para 100Base-Txbasado en conectores de par trenzado
blindado de 9 pines.
Pagina: 46
Anlisis de Trfico
Auto negociacin
MODELO 1 DE CONFIGURACION PARA 10Mbps
Se requiere de un repeater set para toda conexin.
El pathde transmisin entre dos DTEspuede consistir en hasta 5 segmentos.
Los cables de AUI para 10Base-FP y 10Base-FL no deben exceder los 25 metros.
Cuando un pathde transmisin consiste de 4 repetidores y 5 segmentos, hasta 3
segmentos pueden ser segmentos multipunto (ej. Coaxial) y los remanentes deben ser
link-segments(segmentos punto a punto que conecta dos y solo dos MAUs). Cuando
hay 5 segmentos presentes, los segmentos de fibra (FOIRL, 10Base-FL o 10Base-FB)
no deben exceder de los 500 mtsy cada segmento 10Base-FP no debe exceder de los
300 mts.
Pagina: 47
Anlisis de Trfico
Auto negociacin
Cuando un pathde transmisin consiste en 3 repetidores y cuatro segmentos,
se aplican las siguientes restricciones:
La longitud mxima de un cable de conexin entre repetidores basado en fibra
no debe exceder los 1000 metros para FOIRL/10BASE-FB/10BASE-FL y 700 m
para 10BASE-FP
La longitud mxima de cualquier repetidor al segmento del DTE en fibra, no
debe exceder de los 400 m para la norma 10BASE-FL y no mas de 300 m para la
norma 10Base-FP
No hay restricciones para el numero de segmentos multidropcuando hay 4
segmentos y 3 repetidores
Pagina: 48
Anlisis de Trfico
Auto negociacin
Repeater type Todo en
cobre
Todo en
fibra
Mezcla de cobre y
fibra (Tx y Fx)
Mezcla de cobre
y fibra (T4 y Fx)
Segmento DTE-DTE 100 412 N/A N/A
Un repetidor Clase I 200 272 260.8 231
Un repetidor Clase II 200 320 308.8 N/A
Dos repetidores de clase II 205 228 216.2 N/A
Mximo dimetro de dominio de colisin Ethernet en metros
Pagina: 49
Anlisis de Trfico
Auto negociacin
Repeater type UTP
Categora 5
1000Base-
CX
1000Base-
Sx/Lx
UTP
Categora 5
y FO
1000Base-Cx
y 1000Base-
Sx/Lx
Segmento DTE-DTE
Single segment
100 25 316 N/A N/A
Un repetidor 200 50 220 210 220
Mximo dimetro de dominio de colisin Ethernet en metros
Pagina: 50
Class II Repeater DTE
Class II Repeater
DTE
5m
100 m
100 m
MODELO 1 - GUIA DE CONFIGURACION DE FAST ETHERNET
Switch
100 m
Router
Full Duplex Fiber
2000m
Repeater
DTE
Repeater
DTE
10Base-FL
Link Segment
500 m
MODELO 1 - GUIA DE CONFIGURACION DE 10Mb/s ETHERNET
Repeater
10Base-5
Mixing Segment
500 m
Repeater
10Base-FL
Link Segment
500 m
DTE
10Base-T
Link Segment
100 m
10Base-5
Mixing Segment
500 m
10Base-2
Mixing Segment
185 m
Pagina: 51
Anlisis de Trafico
Errores dentro del estndar ethernet y su significado
Error Significado Interpretacin
CRC errors
Son normales mientras no excedan de una tasa fijada como base
tanto para una interfaz como para una poblacin de interfaces.
(FCS errors)
Si superan la media respecto de una determinada interfaz, con
atribuibles a induccin en el link fsico, disturbio elctrico en el port
o falla fsica en la interfaz.
Se descubren mediante el anlisis de Errors by station con una
interfaz promiscua
Fragments
Errores de inconsistencia por ruptura de
frame resultante de una colisin
Son normales, excepto que sean originados en una misma direccin
fsica, lo que delata falla en el componente electrnico que no
respeta el time slot de liberacin de frame al canal
Errores de inconsistencia por cambio de
bits entre la emisin y recepcin
Pagina: 52
Anlisis de Trafico
Alignments errors
Errores de inconsistencia debidos a un frame
que no tiene un numero bytes completos
(Ej. 64 bytes y 4 bits), y cuenta con CRC
no valido
Son normales a una tasa baja. Caso contrario determinan
error en la electrnica de la interfaz de red que los
genera, ya que no separa en forma valida el prembulo
del frame en si mismo. Se descubren mediante el
analizador de trafico, funcin Erroreso Errores por
estacin
Son normales e incrementales a medida que se incrementa
la tasa de uso del canal 802.3
Collisions
Evento de colisin entre dos tramas liberadas
al canal
Si todas las colisiones son generadas por una sola interfaz,
delata una falla en el clock de la misma de la que se
deriva error en respetar el slot time de acceso al canal
Runts
Paquetes de menos de 512 bytes, abortado
por la interfaz por deteccin de colisin
Normales en un canal, pero si son excesivos y atribuibles a
una sola placa, delatan fallas en el hardware
Short Event
Deteccin de actividad en el canal, menor al
tiempo mximo para este tipo, que es de
74 a 81 bit times
Indica generacin de ruido externo inducido dentro del canal
Pagina: 53
Anlisis de Trafico
Delata redes con violaciones a las normativas de diseo,
especialmente en lo referido a las longitudes y causan perdida de
rendimiento.
Late Events
Numero de veces que una
colisin es detectada luego del
umbral (mas all de los 512
bits)
Tambin derivan de una estacin que ha sido forzada a operar
en full duplex y se la conecta a un concentrador, sin obedecer a
la mecnica CSMA/CD
Usualmente generados por reset o inicializacin de la interfaz,
mediante llenado del buffer con 1s o 0s.
Frames too long
Frames que tienen un conteo
de octetos mayor a 1518
bytes, con FCS valido
En un conteo bajo, son normales. Caso contrario delatan una
falla en la interfaz de red
Frames too short
Frames que tienen un conteo
de octetos menores a 64 bytes
con FCS valido
Usualmente generados por fallas en la interfaz y el clock que
tiene, que completa un slot de tiempo invalido. Posiblemente sea
atribuible al driver que controla la electrnica.
Pagina: 54
Anlisis de Trafico
Very long
events
(JABBERS)
Transmisor activo mas de lo que permite el
conteo de jabbering de 802.3 (de 40000 a
75000 bit times)
Falla en la interfaz o interfaces que conectan al
canal.
Auto
partitioning
El circuito de un concentrador ha detectado
una falla (exceso de transmisiones, exceso
de colisiones, etc.) y a aislado el segmento
Es un mecanismo de proteccin que delata fallas en
la lgica de las interfaces o bien loops que generan
exceso de utilizacin continua del canal.
Data rate
mismatches
Contador que expresa el numero de veces
que la frecuencia de la seal entrante es
diferente de la usada por el concentrado
Delata una falla en la interfaz (timing clock) o en el
mecanismo de negociacin de velocidad. Especifico
en concentradores autosense.
Pagina: 55
Anlisis de Trafico
Errores vistos desde un analizador de trafico
Pagina: 56
Anlisis de Trafico
Test de deteccion de interfaz colisionante:
Pagina: 57
Anlisis de Trafico
Sumarizacion de conceptos antes de encarar el anlisis
Dominio de
contencin
El segmento o tramo de medio fsico por donde circulan las tramas que forman el
trfico originado en interfaces.
(Dominio de
colisin)
En IEEE 802.3 hablamos de segmento o dominio de contencin (o colisin) y en
IEEE 802.5 / FDDI hablamos de anillo
Las caractersticas fsicas y de acceso a este segmento esta determinado por el
estndar CSMA/CD (longitud mxima, cantidad mxima de nodos, tiempo de
insercin, etc.)
Es el conjunto de segmentos por donde una trama de broadcast (MAC Address de
destino FF-FF-FF-FF-FF-FF) se debe propagar.
Dominio de
broadcast
Usualmente limitado por las interfaces de los routers
Pagina: 58
Anlisis de Trafico
Identificador de interfaz Ethernet, TokenRing o FDDI. Compuesta por 6 bytes, de los cuales
los 3 primeros identifican al fabricante.
Direccin fsica o
MAC
Ejemplo: 00-60-5C-3D-76-04, donde 00-60-5C corresponde a interfaz 802.3 de router
CISCO
Direccin lgica Identificador de layer 3 de un dispositivo conectado a una red lgica (Ej. 10.1.0.1 / 8 es la
descripcin de una direccin IP conectado a la red 10.0.0.0 / 8)
Latencia Cantidad de tiempo (usualmente en milisegundos) que una trama tarda en llegar de un
extremo a otro, influenciado por factores tales como exceso de uso (contencin) y
atenuaciones fsicas (EMI/RFI)
Contencin Intervalo en ms que demora una interfaz hasta poder acceder al segmento para transmitir
Pagina: 59
Anlisis de Trafico
Tiempo total de transito: Es el tiempo total que una transaccin demora entre ser
generada y ser respondida por el servidor.
RTT
Esta formado por el tiempo transcurrido dentro del cliente (CT), mas el tiempo de
contencin, mas el tiempo de transito dentro de la red y el tiempo de procesamiento
en el servidor
Throughput Tasa de envo de informacin, manifestada en Kbps (kilobits por segundo). Simboliza el
volumen de trfico que una aplicacin o conjunto de ellas genera, sobre un intervalo
de tiempo. Usado para confrontar contra la capacidad de transporte del canal, o
ancho de banda (bandwith)
Protocol overhead Incidencia de los headers de protocolo sobre el tamao de la solicitud de servicio
Packet ratio Cantidad de paquetes enviados hasta recibir la confirmacin por el protocolo de control
de layer 4
Packet size Tamao de la trama de layer 2 utilizada
Pagina: 60
Anlisis de Trafico
Jabbers Paquetes de mas de 1516 bytes (en Ethernet), con CRC valido, usualmente generados
por fallas en el driver o la placa de red
Runts Paquetes de menos de 64 bytes (en Ethernet), con CRC valido, usualmente generados
por fallas en el driver o la placa de red
CRC errors Errores de Frame Check Sequence, usualmente generados por fallasen el la placa de
red y/o inducciones en el cableado.
Bandwidth
utilizacin
Uso de la capacidad de transmisin del canal
Broadcast Solicitud de aviso de servicio que debe ser procesada por todas las interfaces del
segmento
Pagina: 61
Anlisis de Trafico
Multicast Solicitud de aviso de servicio que debe ser procesada por algunas de las interfaces del
segmento
Colisiones
tempranas
Tramas fsicas colisionadas en el segmento donde se encuentran medidas o relevadas
Colisiones tardas Idem al anterior, pero en un segmento que cruza un repetidor.
CSMA Protocolo de alocacin de ancho de banda, parte del estndar IEEE 802.3
Token Passing Idem al anterior, pero para estndar IEEE 802.5
Diseo de frame Ethernet: Existen 4 tipos de frames Frame type
ETHERNET_802.2 (o LLC), ETHERNET_802.3 (propietario de Novell),
ETHERNET_II (o crudo) y ETHERNET_SNAP
Pagina: 62
Anlisis de Trafico
Direccionamiento y ruteo: layer 3
Direccionamiento Control de direcciones y/o rutas o destinos de red validos, as como de uso de
mascaras de subred
Fragmentacin (MTU) Capacidad del protocolo de ser subdividido en porciones menores para pasar
por estructuras de red con framing de menor capacidad.
Se analizar la posibilidad que tiene el router de fragmentar, si es que la
aplicacin lo permite
Vigencia de ruta (TTL) Decremento del tiempo de vida en la red, ya sea de 1 en 1 por el pasaje por
routers o en mas de una unidad si hay priorizacion (queueing)
Analizaremos la capacidad de la red de evitar loops
Opciones del datagrama Opciones de priorizacion del mismo.
Protocolo encapsulado Se analiza la validez del protocolo transportado por el datagrama
Parmetros de anlisis:
Pagina: 63
Anlisis de Trafico
Direccionamiento y ruteo: layer 3
Estructura del datagrama IP:
Versin Versin del protocolo IP 4 bits
Header Lenght Longitud del encabezado IP, en mltiplos de 4 bytes 4 bits
Type of Service Tipo de servicio para priorizacion del datagrama, dentro de los routers
Precedencia
Delay
Troughput
Confiabilidad
1 byte
Total lenght Longitud total del datagrama IP, usualmente menor a 65000 bytes 2 bytes
Identification Identificacin del datagrama dentro de un conjunto de fragmentos 2 bytes
Flag Marca que indica si el datagrama ha de ser fragmentado o no y si es el ultimo de una serie de fragmentos 3 bits
Fragment offset Desplazamiento del fragmento dentro de la serie para su reensamblaje en el destino 29 bits
Time of Live Tiempo en segundos que tendr vigencia el datagrama dentro de la red, decrementado en uno en cada router y
usualmente iniciado en 30, 64 o 128 en el destino
1 byte
Protocol Identificacin del protocolo que continua en la porcin de carga (payload) 1 byte
Header Checksum Control de error del header IP, para validez dentro del proceso de conmutacin que ocurre dentro del router 2 bytes
Source IP Address Direccin IP de origen 4 bytes
Destination IP
Address
Direccin IP destinataria 4 bytes
IP options Opciones de tratamiento del datagrama 1 byte
Padding Complemento de relleno del header, en caso de variabilidad. 1 byte
Pagina: 64
Anlisis de Trafico
Direccionamiento y ruteo: La sesin layer 4
La sesin es importante dentro del anlisis de trafico ya que determina el
comportamiento del dialogo transaccional cliente/servidor.
De una sesin, existen los siguientes parmetros de anlisis:
Participantes Direcciones IP o DNSs de los participantes en la sesin
Encadenamiento Sesiones posteriores abiertas entre varios secuencias client/server
Puertos origen/destino utilizados, bsicamente de tres tipos:
Well-Known (0-1023)
Asigned (1024 40000)
User-defined (40000 699000)
Volumen Cantidad de paquetes o bytes desplazados en la sesin, en ambos sentidos
Latencia Tiempo en ms que la sesin completa tiene, en promedio
Duracin de la sesin Tiempo que la sesin permanece activa ya sea por paquetes de keepalive o por timouts
que son excedidos.
Sockets
Pagina: 65
Anlisis de Trafico
De una sesin, existen los siguientes parmetros de anlisis:
Throughput Cantidad de bps que la aplicacin genera, en un sentido y en otro, sin considerar los
encabezados de los protocolos
Anlisis del cliente al servidor o del servidor al cliente Direccionalidad o patrn
Inbound o outbound
Protocol everhead Porcentual del volumen de bits totales que son consumidos por los protocolos de layer 2 al 4
Packet ratio Cantidad de paquetes que son enviados por cada ACK
Cantidad de segmentos o canales que debe cruzar una transaccin para llegar a destino y
viceversa
Segmentos cruzados
(HOP count)
Se deben considerar ambos sentidos
Round trip time (RTT) Tiempo total de la transaccin (request emitido y ACK recibido) que implica la sumatoria de
tiempos en cada uno de los segmentos individuales cruzados, mas el tiempo de
procesamiento en cliente y servidor o servidores
Retransmisiones Cantidad de reintentos de envo de request debidos a la no recepcin de los ACK por parte
del destino
Pagina: 66
Anlisis de Trfico
Anlisis de los encabezados de layer 4
Source Port Puerto de origen de la transaccin, ya sea en el cliente como en el servidor, donde
se intercalan.Puede ser: User defined ports.
2 bytes
Destination port Puerto de destino de la transaccin, usualmente es el que designa a la aplicacin,
si no medimos del cliente al servidor
Puede ser: Well-Known ports, Asigned ports, User defined ports.
2 bytes
Sequence number Nro. de segmento de TCP, usado para controlar la recepcin de ACK, dentro de
un conjunto de segmentos de TCP enviados
4 bytes
ACKnoledge
number
Nro. de ACK que se espera recibir como parte de este segmento 4 bytes
Header Lenght Longitud del encabezado TCP 4 bits
Reserved No usado 6 bits
SEGMENTO TCP (24 bytes)
Pagina: 67
Anlisis de Trfico
Code bits (SYN,
ACK, etc.)
Tipo de mensaje de TCP
SYN =Inicio y apertura de sesin
ACK =Confirmacin de recepcin de segmento
6 bits
Window Cantidad de bytes a ser enviados entre el origen y el destino 2 bytes
Checksum Control de error del encabezado TCP 2 bytes
Urgent Pointer Tipo de mensaje de TCP en relacin a la prioridad 2 bytes
Options No usado 3 bytes
Padding Complemento 1 byte
SEGMENTO TCP (24 bytes)
Pagina: 68
Anlisis de Trfico
Source Port Puerto de origen de la transaccin, ya sea en el cliente como en el servidor, donde
se intercalan. Puede ser: User defined ports
2 bytes
Destination port Puerto de destino de la transaccin, usualmente es el que designa a la aplicacin,
si no medimos del cliente al servidor
Puede ser: Well-Known ports, Asigned ports, User defined ports.
2 bytes
Message lenght Longitud del mensaje a ser enviado 2 bytes
Checksum Control de error del encabezado UDP 2 bytes
DATAGRAMA UDP (8 bytes)
Pagina: 69
Anlisis de Trfico
El circuito de una transaccin cliente-servidor
Red Publ i ca
Int ernet y/o
Frame Rel ay
Server1
Cliente origen de la
Router Router Hub
Server2
Hub
64 Kbps
Router
128 Kbps
64 Kbps / CIR 50%
128 Kbps / CIR 50%
Data
Data
Req.Out boun
Req.Outbound
Req.
Req.
Req.
1. Generacion
de transaccion
en la estacion
y su
encapsulado
en un
datagrama/
frame
2. Cruce del
segmento local
3. Cruce de la
interfaz LAN del
router local
4. Cruce del
segmento WAN
hasta la red
publica
5. Trafico en la
red publica
6. Cruce del
segmento WAN
para acceso al
site central
7. Acceso a
traves del router
del site central
7. Acceso a
traves del
swi t ch
del site
central
8. Llegada al
servidor y
procesamiento
del request
9. Busqueda de
datos en segundo
servidor
10. Respuesta
del request
cruzando otra
ruta
11. Procesamiento
de la respuesta por
el client.
Anal i zador
de tr af i co
Anal i zador
de tr af i co
Probe
Probe
Pagina: 70
Anlisis de Trfico
EJEMPLOS DE DIFERENTES SESIONES
Client Server Protocol/App. Packets Bytes Duration
Resp Time
(ms)
Clt->Svr
Thput*
Svr->Clt
Thput*
Sesion de web en ExpoInternet
200.47.108.100
www.cyberjuegos.com
TCP/Port 2342<->Port 1626 734 340,424 00:02:31 814.5 2.112 15.960
200.47.108.100
www.cyberjuegos.com
TCP/Port 2323<->Port 1626 73 8,124 00:06:50 0.048 0.112
200.47.108.100
www.cyberjuegos.com
TCP/Port 2346<->HTTP 154 127,35 00:01:08 783.9 0.544 14.008
200.47.108.100
www.cyberjuegos.com
TCP/Port 2353<->HTTP 48 32,367 00:00:11 668.3 0.544 20.408
200.47.108.100
www.cyberjuegos.com
TCP/Port 2356<->Port 1626 170 35,436 00:02:20 768.9 0.592 1.424
200.47.108.100
www.cyberjuegos.com
TCP/Port 2360<->HTTP 63 54,494 00:00:05 632.5 0.248 85.104
200.47.108.100
www.cyberjuegos.com
TCP/Port 2364<->HTTP 53 36,965 00:00:15 697.0 0.464 17.512
200.47.108.100
www.cyberjuegos.com
TCP/Port 2366<->HTTP 35 18,95 00:00:11 817.1 0.408 10.688
200.47.108.100
www.cyberjuegos.com
TCP/Port 2372<->HTTP 12 8,339 00:00:01 594.0 2.936 45.288
Pagina: 71
Anlisis de Trfico
Client Server Protocol/App. Packe
ts
Bytes Duration
Resp Time
(ms)
Clt->Svr
Thput*
Svr->Clt
Thput*
Consulta de DNS
200.47.108.101 200.3.116.2 UDP/Port 2384<->DNS 4 650 <00:00:01 913.0 0.000 0.000
Consulta de NetBIOS
208.238.102.110 200.47.108.186 UDP/NetBIOS Name<-
>NetBIOS Name
6 1,059 00:00:03 1 1.040 1.568
Consulta de ORACLE - Servidor NT contra servidor
UNIX, en ambiente LAN
130.120.0.239 129.120.0.1 TCP/Port 1045<->Oracle 213 24,51 00:01:15 1.5 0.208 0.400
130.120.0.239 129.120.0.1 TCP/Port 1041<->Oracle 48 4,63 00:01:00 1.1 4.472 6.920
130.120.0.239 129.120.0.1 TCP/Port 1087<->Oracle 84 7,6 00:00:05 5.6 0.000 0.000
130.120.0.239 129.120.0.1 TCP/Port 1088<->Oracle 13 1,43 <00:00:01 19.3 19.776 142.248
130.120.0.239 129.120.0.1 TCP/Port 1092<->Oracle 9,338 3,091,12
0
00:02:33 1.3 0.000 0.000
130.120.0.239 129.120.0.1 TCP/Port 1093<->Oracle 13 1,43 <00:00:01 12.8 0.000 0.000
Pagina: 72
Anlisis de Trfico
Client Server Protocol/App. Packets Bytes Duration
Resp
Time (ms)
Clt-
>Svr
Thput*
Svr->Clt
Thput*
Request de NetBIOS y NCP
dentro de IPX
4.0090271CB358
5.0004AC
6ECF29
IPX (Socket 0552<-
>0550)/SMB
4 368 00:03:59 16.5 0.000 0.000
4.009027574F8E
10
IPX (Socket 4007<-
>0451)/NCP
1,487 144,468 00:08:54 4.6 1.056 1.112
4.009027574F8E
10
IPX (Socket 400A<-
>0451)/PBurst
1,765
1,821,512
00:02:15 3.2 2.760 105.568
Ejecucion de PING
163.35.10.19 163.35.10.
42
ICMP Echo
(Ping)
3 314
00:00:28
5.0 0.000 0.000
Pagina: 73
Anlisis de Trfico
Client Server Protocol/Application Pac
kets
Bytes Duration Resp
Time
(ms)
Clt->Svr
Thput*
Svr->Clt
Thput*
Intercambio de informacin de base de datos entre SUN
y AS/400
163.35.10.42 163.35.10.29
TCP/Port 34636<->Port 12000
26 6,130
<00:00:01
0.000 0.000
163.35.10.42 163.35.10.29
14 1,680
<00:00:01
0.000 0.000
163.35.10.42 163.35.10.29
14 1,750
<00:00:01
0.000 0.000
163.35.10.42 163.35.10.29
28 2,868
<00:00:01
0.000 0.000
163.35.10.42 163.35.10.29
30 4,498
<00:00:01
0.000 0.000
163.35.10.42 163.35.10.29
46 16,894
00:00:01
22.752 237.600
163.35.10.42 163.35.10.29
34 6,846
00:00:01
13.232 60.928
163.35.10.42 163.35.10.29
30 3,252
00:00:01
18.368 26.344
163.35.10.42 163.35.10.29
28 3,260
<00:00:01
0.000 0.000
Pagina: 74
Anlisis de Trfico
kets
Bytes Durati
on
Resp
Time (ms)
Clt->Svr
Thput*
Svr->Clt
Thput*
Consulta de FORM en HTML desde una sucursal a
traves de un enlace FRAME RELAY
169.174.12.15
163.35.10.42 TCP/Port 1075<->HTTP 20 8,747 00:00:0
4
164.3 2.616 16.640
169.174.12.15
163.35.10.42 TCP/Port 1076<->HTTP 11 2,499 00:00:0
2
338.3 4.040 6.832
169.174.12.15
163.35.10.42 TCP/Port 1077<->HTTP 14 3,379 00:00:0
4
469.5 2.784 4.224
169.174.12.15
163.35.10.42 TCP/Port 1078<->HTTP 13 2,162 00:00:0
7
146.0 1.232 0.760
169.174.12.15
163.35.10.42 TCP/Port 1079<->HTTP 27 14,287 00:00:0
7
171.7 1.472 14.344
Pagina: 75
Anlisis de Trfico
kets
Bytes Duration Resp
Time
(ms)
Clt->Svr
Thput*
Svr->Clt
Thput*
Consulta de FORM en HTML desde un
segmento local, cruzando un switch
169.167.146.179
163.35.10.42 TCP/Port 1527<->HTTP 24 12,596 00:00:07 0.3 1.824 13.288
169.167.146.179
163.35.10.42 TCP/Port 1528<->HTTP 28 15,253 00:00:08 0.0 1.736 13.928
169.167.146.179
163.35.10.42 TCP/Port 1529<->HTTP 13 2,111 00:00:10 0.3 0.976 0.680
169.167.146.179
163.35.10.42 TCP/Port 1530<->HTTP 26 14,412 00:00:10 0.0 1.256 10.288
169.167.146.179
163.35.10.42 TCP/Port 1531<->HTTP 17 3,571 00:00:19 11.5 0.952 0.552
169.167.146.179
163.35.10.42 TCP/Port 1533<->HTTP 175 107,17
8
00:00:47 0.3 0.984 17.320
Pagina: 76
Anlisis de Trfico
Ping-pong de paquetes
Pagina: 77
Anlisis de Trfico
Secuencia de paquetes con retransmisin
Packet 349: 00:04:AC:25:2C:01 ->00:60:2F:A4:B1:D8
Packet 349: 00:04:AC:25:2C:01 -> 00:60:2F:A4:B1:D8
Network: Ethernet
Frame type: 802.3, Frame size: 77
Time: 11h:53m 22.974sec, Diff. time: 0.003
IP, 163.35.83.10 -> 163.35.119.234
Source IP: 163.35.83.10, Destination IP: 163.35.119.234
Version: 04, IP header length: 05 (32 bit words)
Service type: 0: Precedence: 0, Delay: Norm, Throug: Norm, Reliab: Norm
Total IP length: 59
ID: B100h
Fragments: No
Time to live: 128
PROTOCOL: [6] TCP
Header checksum: 3881 (GOOD)
Pagina: 78
Anlisis de Trfico
Packet 349: 00:04:AC:25:2C:01 ->00:60:2F:A4:B1:D8
IP, 163.35.83.10 -> 163.35.119.234
TCP PSH ACK, [1033] -> [1494]
Source port: [1033] Destination port: [1494]
Sequence number: 223897, Acknowledgement: 119589
TCP header length: 05 (32 bit words), Window: 7744
TCP data length: 19, Checksum: 7542h (GOOD)
Sequence number +TCP data length: 223916
Pagina: 79
Anlisis de Trfico
Packet 349: 00:04:AC:25:2C:01 ->00:60:2F:A4:B1:D8
IP, 163.35.83.10 -> 163.35.119.234
Data
0000 11 00 01 CF DD 40 B1 D9 46 56 3A B9 E7 0F 74 B5 ...@FV:.t
0010 62 9A E2 b
RAW PACKET LISTING:
0000 00 60 2F A4 B1 D8 00 04 AC 25 2C 01 08 00 45 00 .`/..%,...E.
0010 00 3B B1 00 40 00 80 06 38 81 A3 23 53 0A A3 23 .;.@. .8 #S.#
0020 77 EA 04 09 05 D6 00 03 6A 99 00 01 D3 25 50 18 w.....j..%P.
0030 1E 40 75 42 00 00 11 00 01 CF DD 40 B1 D9 46 56 .@uB.....@FV
0040 3A B9 E7 0F 74 B5 62 9A E2 :.tb FV
Pagina: 80
Anlisis de Trfico
Packet 350: 00:04:AC:25:2C:01 ->00:60:2F:A4:B1:D8
Network: Ethernet
IP, 163.35.83.10 ->163.35.119.234
Service type: 0: Precedence: 0, Delay: Norm, Throug: Norm,
Reliab: Norm
Total IP length: 59
ID: B200h
Fragments: No
Time to live: 128
PROTOCOL: [6] TCP
Header checksum: 3781 (GOOD)
Pagina: 81
Anlisis de Trfico
Packet 350: 00:04:AC:25:2C:01 ->00:60:2F:A4:B1:D8
TCP PSH ACK, [1033] -> [1494]
TCP data length: 19, Checksum: 7542h (GOOD)
Data
0000 11 00 01 CF DD 40 B1 D9 46 56 3A B9 E7 0F 74 B5 ...@FV:.t
0010 62 9A E2 b
RAW PACKET LISTING:
0000 00 60 2F A4 B1 D8 00 04 AC 25 2C 01 08 00 45 00 .`/..%,...E.
0010 00 3B B2 00 40 00 80 06 37 81 A3 23 53 0A A3 23 .;.@. .7 #S.#
0020 77 EA 04 09 05 D6 00 03 6A 99 00 01 D3 25 50 18 w.....j..%P.
0030 1E 40 75 42 00 00 11 00 01 CF DD 40 B1 D9 46 56 .@uB.....@FV
0040 3A B9 E7 0F 74 B5 62 9A E2 :.tb FV
Pagina: 82
Anlisis de Trfico
Packet 351: 00:60:2F:A4:B1:D8 ->00:04:AC:25:2C:01(Ver pagina 30)
Network: Ethernet
IP, 163.35.119.234 -> 163.35.83.10
Total IP length: 67
ID: 61B5h
Fragments: No
Time to live: 122
PROTOCOL: [6] TCP
Header checksum: 8DC4 (GOOD)
Pagina: 83
Anlisis de Trfico
Packet 351: 00:60:2F:A4:B1:D8 ->00:04:AC:25:2C:01(Ver pagina 30)
TCP PSH ACK, [1494] -> [1033]
TCP data length: 27, Checksum: 9A89h (GOOD)
Data
0000 19 00 01 6F 68 DD E3 15 40 78 83 0B 22 B9 05 9B ...oh.@x .".
0010 31 4C 1D 51 3F 2E 17 4A 14 FB 92 1L.Q?..J .
RAW PACKET LISTING:
0000 00 04 AC 25 2C 01 00 60 2F A4 B1 D8 08 00 45 00 ..%,..`/..E.
Pagina: 84
Anlisis de Trfico
Anlisis de sesin: Latencia y Throughput
Latency Analysis for TCP/Port 1622<->HTTP.
Sender: 169.167.146.184 Responder: 163.35.10.42
Latency in Milliseconds
Minimum 0
Maximum 44
Average 11.25
Contention 11.25
Packets
Total 38
Send-to-Receive Ratio 01:01.
1
Average Send Size 112
Average Receive Size 1058
Pagina: 85
Anlisis de Trfico
Latency Analysis for TCP/Port 1622<->HTTP.
Sender: 163.35.10.42 Responder: 169.167.146.184
Latency in Milliseconds
Minimum 2
Maximum 133
Average 16.5
Contention 14.5
Packets
Total 38
Send-to-Receive Ratio 1.2:1
Average Send Size 1011
Average Receive Size 114
Pagina: 86
Anlisis de Trfico
Throughput Analysis for TCP/Port 1622<->HTTP
from 169.167.146.184 to 163.35.10.42
Throughput in KBits/Second
Minimum 1.662
Maximum 204.114
Average 4.173
Contention 199.942
Packets
Total 18
Average Size 112
Average Payload 69
Protocol Overhead 38.45%
Pagina: 87
Anlisis de Trfico
Throughput Analysis for TCP/Port 1622<->HTTP
from 163.35.10.42 to 169.167.146.184
Throughput in KBits/Second
Minimum 15.809
Maximum 7,006.80
Average 43.929
Contention 6,962.87
Packets
Total 21
Average Size 1011
Average Payload 972
Protocol Overhead 3.88%
Pagina: 88
Anlisis de Trfico
Anlisis de distribucin de paquetes por tamao
Pagina: 89
Anlisis de Trfico
Anlisis de distribucin de paquetes por tamao
Frame Error Summary
Bad FCS 0
Runt/Short 0
Long/J abber 412
Fragment 0
Collision Fragment Analysis
DLC Source Transmits
Retransmits %
Retransmitted
0 0 0%
0 0 0%
0 0 0%
0 0 0%
ANLISIS DE ERRORES EN LA SESION
No collision fragments to analyze in trace file.
Pagina: 90
Anlisis de Trfico
Anlisis de errores en la sesin
Packet 62: 00:60:5C:3D:76:04 -> 00:A4:00:80:D2:9C (Ver pagina 33)
Network: Ethernet
IP, 163.35.7.118 -> 169.167.151.206
Total IP length: 1500
ID: EB03h
Fragments: No
Time to live: 127
PROTOCOL: [6] TCP
Header checksum: 1F09 (GOOD)
Pagina: 91
Anlisis de Trfico
TCP ACK, [1433] -> [1065]
TCP data length: 1460, Checksum: C594h (GOOD)
Pagina: 92
Anlisis de Trfico
Data
0000 04 01 07 02 00 00 00 00 41 0E 44 65 73 63 75 65 ........A.Descue
0010 6E 74 6F 73 20 31 32 33 06 43 68 65 71 75 65 13 ntos123.Cheque.
0020 44 65 70 6F 73 69 74 61 72 20 65 6E 20 43 75 65 Depositar en Cue
0030 6E 74 61 00 08 33 8F 00 00 00 00 00 00 04 0D 00 nta..3 .........
0040 00 00 05 50 65 73 6F 73 04 01 AF D6 1C 00 04 01 ...Pesos......
0050 88 84 02 01 4E D1 04 81 92 94 00 0E 44 54 4F 2E ..N. ..DTO.
0060 44 45 20 43 48 45 51 55 45 53 0A 4B 4F 4E 49 53 DE CHEQUES.XXXXX
0070 41 20 53 52 4C 0E 44 65 73 63 75 65 6E 74 6F 73 A SRL.Descuentos
0080 20 31 32 33 06 43 68 65 71 75 65 13 44 65 70 6F 123.Cheque.Depo
0090 73 69 74 61 72 20 65 6E 20 43 75 65 6E 74 61 00 sitar en Cuenta.
Sigue..
Pagina: 93
Anlisis de Trfico
Analizadores de trfico
Concepto:
Tipos:
Componentes:
Funciones:
Pagina: 94
Anlisis de Trfico
Concepto:
Un analizador de trafico es una
herramienta de software, hardware o
mixta que permite al analista de
protocolos tomar mediciones y efectuar
capturas para su anlisis posterior, a fin
de llegar a un diagnostico
Pagina: 95
Anlisis de Trfico
Tipos:
Soluciones basadas en software solamente
Soluciones basadas en hardware y software, generalmente de tipopropietaria y
especializada
Segn su capacidad de toma de mediciones en mas de un segmento se dividen en:
Analizadores distribuidos, que dialogan con probeso agentes de medicin
Analizadores centralizados
Pagina: 96
Anlisis de Trfico
Componentes:
Hardware de procesamiento
Software de anlisis
Interfaces fsicas a la red (layer 2)
en forma promiscua y con
diferentes potencialidades de
buffering, procesamiento y reporting.
Probes
Pagina: 97
Anlisis de Trfico
Funciones:
Bsicamente, las funciones se agrupan en:
Captura y anlisis experto post-captura, con
capacidades de filtrado prey post-captura
Mediciones interactivas
Mediciones de largo plazo (trendings)
Alarmas y triggers
Descubrimiento de direcciones fsicas y sus
correspondientes direcciones lgicas
Generacin de trafico
Pagina: 98
Anlisis de Trfico
Diferencias entre las soluciones basadas en software y en hardware
Factor Software Hardware/Software
Costo Bajo (2000 a 12.000.- USD) Mas de 15.000.- USD
Capacidad de procesamiento Depende de la interfaz de red utilizada Alta
Facilidad de uso Media a alta Baja a media
Capacidad de distribucin Si Si
Obsolescencia Capacidad de fcil upgrade Debo reemplazar el hardware/firmware por
obsolescencia
Capacidad de Trending Limitada al disco Limitada a la capacidad del equipo
Fallas Susceptible a las fallas del SO subyacente Baja
Contingencia Puede ser reinstalado ante falla de hardware Depende de la reparacin de la unidad
Capacidad reporting de RMON/SNMP Si Si
Capacidad de medicin en WAN No Si
Capacidad de mediciones de layer 1 No Si
Capacidad de bypass No Si
Pagina: 99
Anlisis de Trfico
Tipos de anlisis que pueden generar un analizador de trfico:
Perfil de segmento/s
Utilizacin histrica de ancho de banda (histograma): Expresa
el consumo del segmentos en un % de uso del mismo, a lo largo
del tiempo, tomando muestreos sucesivos.
Pagina: 100
Anlisis de Trfico
Signos vitales (errores +casting): cantidad y tipo
de errores sobre trfico total e incidencia del
trfico de broadcast/unicast sobre el total de
trfico.
Pagina: 101
Anlisis de Trfico
Tipos de anlisis que pueden generar un
analizador de trfico:
Errores por interfaz:
intenta determinar el tipo
de error ocurrido y su
origen.
Pagina: 102
Anlisis de Trfico
Tipos de anlisis que pueden generar
un analizador de trfico:
TopTalkers(MAC e
IP): Ranking de
interfaces mas activas,
tanto en generacin de
trfico unicast como
broadcast/multicast.
Pagina: 103
Anlisis de Trfico
Matrices conversacionales: Describe todo par de conversaciones
activas en la red con su volumen de intercambio.
Pagina: 104
Anlisis de Trfico
Tipos de anlisis que pueden
generar un analizador de trfico:
Distribucin protocolar y
subprotocolar: distribucin
porcentual de protocolos de
layer 3 y de layer 4, requerido
para identificar redundancia
de protocolos instalados o
sesiones de recursos
compartidos.
Pagina: 105
Anlisis de Trfico
Utilizacin de interfaz de router de segmento: % de uso de la interfaz del
router que atiende al segmento, tanto entrante como saliente, usado para
determinar el estado del intercambio de trfico entre la LAN y la WAN y
analizar si el mismo es el causante de la demora.
Pagina: 106
Anlisis de Trfico
Eficiencia del segmento: respuesta del segmento a la insercin
de paquetes. Da una idea de la contencin existente o la
capacidad de respuesta de un segmento a la insercin de
requerimientos.
Pagina: 107
Anlisis de Trfico
Anlisis de ruta/s:
Es la descripcin de la o las rutas por donde la transacciones otrfico de la red
circula.
En caso de existir rutas redundantes, y que los switchesse configuren para realizar
balance de carga, se deber analizar cada una de ellas en particular y correlacionar
los cambios a las demoras ocurridas en la o las aplicaciones.
Pagina: 108
Anlisis de Trfico
Pagina: 109
Anlisis de Trfico
Anlisis de ruta/s:
Carga y rendimiento de dispositivos: Este estudio tiene por objeto encontrar el
origen de la perdida de calidad de servicio en demoras ocurridasen el flujo de
trfico, pero originadas en sobrecarga de servidores y/o equipamiento de
conectividad
Pagina: 110
Anlisis de Trfico
Anlisis de ruta/s:
Certificacin de link:
ENLACES LOCALES (LAN): El objetivo es conocer la certificacin del
cableado de UTP, en la red local, que debe adherirse a los parmetros de
la categora correspondiente, fijados por la EIA/TIA en su norma568,
medidos y certificados bajo el boletn TSB 67.
ENLACES GEOGRAFICOS (WAN): Para los enlaces suministrados por
un proveedor de servicios, la medicin debe ser realizada por el
proveedor, en base a la calidad pactada en el contrato (SLA) o con la
presencia de un tercero que utilice un analizador de trfico para WAN,
tal como el Flukeo los equipos de Wandel & Gottleman.
Pagina: 111
Anlisis de Trfico
Anlisis de ruta/s:
Captura de paquetes y anlisis experto post-captura: El objetivo de este
anlisis es encontrar, a partir de la captura de trabas procedentes de un dialogo
o conjunto de dilogos (sesiones) cliente-servidor, el origen de las demoras o
cancelaciones de servicio.
Pagina: 112
Anlisis de Trfico
Tipos de anlisis que pueden
generar un analizador de
trfico:
Anlisis de ruta/s
Triggers& alarms:
Usadas para detectar
condiciones anmalas que
se suceden en forma
aleatoria.
Pagina: 113
Anlisis de Trfico
Anlisis de ruta/s
Trendinggeneral: Este anlisis, tomado sobre una base de una semana hbil o
mas, permite determinar la utilizacin, Toptalkersy distribucin de protocolos,
sobre una condicin mas estable.
Pagina: 114
Anlisis de Trfico
Es importante la placa de RED?
Qu caracteristicas debe cumplir una placa de RED?
Veamos ciertos fabricantes (ver pagina 39)
Pagina: 115
Anlisis de Trfico
RMON
Agentes RMON: Estructuras de informacin definidas en los dispositivos,
tendientes a recopilar informacin de la red en forma pasiva, nointrusiva y
a almacenar esta informacin en estructuras de memoria interna (registros,
tablas, etc.).
Para ello se puede apelar a dos tipos de agentes:
Probes (sondas) por softwareresidentes en los
dispositivos (Ej. switches SS1000)
Probes (sondas) por hardwareconectadas a cada
segmento de la red
Pagina: 116
Anlisis de Trfico
RMON
Grupos rmon 1 (physical / data link layers):
Statistics Muestra estadsticas para el segmento de LAN completo, no relacionado con hosts individuales
Ej.: Paquetes totales, errores, broadcasts, distribucin de paquetes, etc.
History Muestra estadsticas en base al tiempo para un segmento completo de LAN. No genera trfico. (trfico, errores, etc.)
Alarm Monitorea las estadsticas del MIB, dispara acciones si se supera el umbral establecido y no se tomas mas acciones hasta
que el valor cae por debajo del valor de recupero
Event Tabla de todos los eventos generados por el agente RMON, que pueden ser levantados o disparados por otros grupos
RMON, tales como Alarmy Packet Filter.
Cuando un evento se dispara, un numero de acciones tiene lugar (Ej.: envo de un trap, disparar una sesin de captura, etc.)
Host Brinda estadsticas basadas en direcciones MAC, NO direcciones de red (Quien esta conversando?).
Ej.: numero de paquetes, bytes, broadcasts, errores por cada estacin.
HostTopN Rankealos host mas activos, basado en trfico o errores.
Matrix Brinda estadsticas basadas en pares de comunicacin entre direcciones MAC
Ej.: Numero de paquetes enviados entre la estacin A y el server B.
Filter Permite establecer las condiciones contra parmetros existentes en los paquetes, ya sea para capturarlos como para
monitorearlos
Packet
Capture
Captura paquetes en un buffer interno acordes a los parmetros definidos en el grupo Filter. Es particularmente til en
condiciones de error.
Pagina: 117
Anlisis de Trfico
RMON
Grupos rmon 2 (network layer).
Protocol Directory Define que protocolos son capaces de ser reconocidos y contabilizados por RMON2
Protocol Distribution Contabiliza el numero de paquetes y bytes que han sido enviados por los protocolos definidos en el
grupo anterior
Address Translation Map Provee un mapa entre las direcciones de capa 3 (red) y las direcciones fsicas MAC de capa 2 (enlace)
Network Layer Host Lista las direcciones de red y asocia los paquetes y bytes de entrada y salida de cada uno.
Network Layer Matrix Mantiene contabilizaciones de bytes y paquetes para cada conversacin detectada por los agentes
Application Layer Host Mantiene estadsticas respecto de las aplicaciones derivadas de la tabla de Network Layer
Application Layer Matrix Mantiene contadores de paquetes y bytes para cada conversacionesde layer de red basada por
protocolo.
User Defined History Peridicamente muestrea objetos MIB definidos por el usuario
Probe Configuration Objetos de configuracin de dispositivos (varios)
RMON Conformity Requerimientos de cumplimiento con la MIB de RMON2
Pagina: 118
Anlisis de Trfico
SNMP
SNMP V1 y V2 (RFC 1157)
MIB I y II (RFC 1213)
SMI (RFC 1211)
ASN.1 (May87a)
Pagina: 119
Anlisis de Trfico
SNMP
SNMP V1 y V2 (RFC 1157): Motor de comandos de gestin (PDUs) va
servicio de transporte IP y control no confiable UDP, basados enuna consola
(NMS) o cliente que debe polear a los agentes (servidores) en los dispositivos
inteligentes acerca de estado, variaciones de umbrales o cambio de estado de
alguno de los objetos definidos en el estndar MIB.
Pagina: 120
Anlisis de Trfico
SNMP
MIB I y II (RFC 1213): Base de definiciones de objetos
administrables, formada por categoras (ip, systems, etc.) y variables
(ipRoutingTable) que permiten saber a la consola NMS que es lo que
puede administrar de un determinado agente.
Pagina: 121
Anlisis de Trfico
SNMP
SMI (RFC 1211): Conjunto de reglas o lenguaje en que se debe
estructurar la MIB.
ASN.1 (May87a): Lenguaje para codificacin para su transmisin
en la red (BER) e identificacin de objetos en forma unvoca,
basados en la definicin de la ISO, denominada object identifier
Ej.:
iso.org.dod.internet.mgmt.mib.ip.ipRoutingTable ...> esta
identificada por... >1.3.6.1.2.1.4.20
Pagina: 122
Anlisis de Trfico
SNMP:
EJEMPLOS DE
UNA SECCION DE
MIB rfc1213
ESTANDAR.
EJEMPLOS DE UNA SECCION DE MIB rfc1213 ESTANDAR
RFC1213-MIB DEFINITIONS ::=BEGIN
IMPORTS
mgmt, NetworkAddress, IpAddress, Counter, Gauge,
TimeTicks
FROM RFC1155-SMI
OBJ ECT-TYPE
FROM RFC-1212;
-- This MIB module uses the extended OBJ ECT-TYPE macro as
-- defined in [14];
-- MIB-II (same prefix as MIB-I)
mib-2 OBJ ECT IDENTIFIER ::={ mgmt 1 }
-- textual conventions
DisplayString::=
OCTET STRING
-- This data type is used to model textual information taken
-- from the NVT ASCII character set. By convention, objects
-- with this syntax are declared as having
Pagina: 123
Anlisis de Trfico
.
-- SIZE (0..255)
PhysAddress::=
OCTET STRING
-- This data type is used to model media addresses. For many
-- types of media, this will be in a binary representation.
-- For example, an ethernet address would be represented as
-- a string of 6 octets.
-- groups in MIB-II
system OBJ ECT IDENTIFIER ::={ mib-2 1 }
interfaces OBJ ECT IDENTIFIER ::={ mib-2 2 }
at OBJ ECT IDENTIFIER ::={ mib-2 3 }
ip OBJ ECT IDENTIFIER ::={ mib-2 4 }
icmp OBJ ECT IDENTIFIER ::={ mib-2 5 }
tcp OBJ ECT IDENTIFIER ::={ mib-2 6 }
udp OBJ ECT IDENTIFIER ::={ mib-2 7 }
egp OBJ ECT IDENTIFIER ::={ mib-2 8 }
.
SNMP:
EJEMPLOS DE
UNA SECCION DE
MIB rfc1213
ESTANDAR.
Pagina: 124
Anlisis de Trfico
-- historical (some say hysterical)
-- cmot OBJ ECT IDENTIFIER ::={ mib-2 9 }
transmission OBJ ECT IDENTIFIER ::={ mib-2 10 }
snmp OBJ ECT IDENTIFIER ::={ mib-2 11 }
--AO - SNMPv2-SMI (RFC1902)
org OBJ ECT IDENTIFIER ::={ iso3 }
dod OBJ ECT IDENTIFIER ::={ org 6 }
internet OBJ ECT IDENTIFIER ::={ dod1 }
directory OBJ ECT IDENTIFIER ::={ internet 1 }
mgmt OBJ ECT IDENTIFIER ::={ internet 2 }
mib-2 OBJ ECT IDENTIFIER ::={ mgmt 1 }
transmission OBJ ECT IDENTIFIER ::={ mib-2 10 }
experimental OBJ ECT IDENTIFIER ::={ internet 3 }
private OBJ ECT IDENTIFIER ::={ internet 4 }
enterprises OBJ ECT IDENTIFIER ::={ private 1 }
security OBJ ECT IDENTIFIER ::={ internet 5 }
snmpV2 OBJ ECT IDENTIFIER ::={ internet 6 }
-- transport domains
snmpDomains OBJ ECT IDENTIFIER ::={ snmpV2 1 }
-- transport proxies
snmpProxys OBJ ECT IDENTIFIER ::={ snmpV2 2 }
-- module identities
snmpModules OBJ ECT IDENTIFIER ::={ snmpV2 3 }
SNMP:
EJEMPLOS DE
UNA SECCION DE
MIB rfc1213
ESTANDAR.
Pagina: 125
Anlisis de Trfico
c2900PortVisualIndicator OBJ ECT-TYPE
SYNTAX INTEGER {
notused(1),
black(2),
amber(3),
green(4)
}
ACCESS read-only
STATUS mandatory
DESCRIPTION
"This object is used to indicate the current color of
a LED. If a LED is flashing, the value of this object will
represent the color of the LED at that instant in time."
::={ c2900PortEntry 24 }
c2900PortAddressViolationAction OBJ ECT-TYPE
SYNTAX INTEGER {
doNothing(1),
disablePort(2),
sendNotify(3),
disablePortAndNotify(4)}
SNMP:
EJEMPLOS DE
UNA SECCION DE
MIB DE
DISPOSITIVO:
SWITCH CISCO
CATALYST 2900.
Pagina: 126
Anlisis de Trfico
ACCESS read-write
STATUS mandatory
DESCRIPTION
"Indicates what action to take when an address violation
(an address mismatch or duplication) occurs on a
secure port. The default action is to do nothing.
doNothing(1) : do nothing
disablePort(2) : disable port; the port can only be reenabled
by an explicit management action.
sendNotify(3) : generate address violation notification.
disablePortAndNotify(4): disable port and send notification.
Default value: doNothing(1)."
DEFVAL { doNothing}
::={ c2900PortEntry 26 }
SNMP:
EJEMPLOS DE
UNA SECCION DE
MIB DE
DISPOSITIVO:
SWITCH CISCO
CATALYST 2900.
Pagina: 127
Anlisis de Trfico
c2900PortBroadcastStormAlarm OBJ ECT-TYPE
SYNTAX TruthValue
-- RsyntaxINTEGER {
-- true(1),
-- false(2)
-- }
ACCESS read-write
STATUS mandatory
DESCRIPTION
"When set to true(1), the switch will generate
a broadcastStormnotification upon detecting a port is
receiving broadcast packets at a rate higher than
or equal to the specified broadcast threshold.
When set to false(2), no such trap will be issued.
Default value: false(2).
c2900PortBroadcastStormAlarm is defined for each port."
SNMP:
EJEMPLOS DE
UNA SECCION DE
MIB DE
DISPOSITIVO:
SWITCH CISCO
CATALYST 2900.
Pagina: 128
Anlisis de Trfico
Mtodo de
trabajo
DETECCION Y PRECISION DEL SINTOMA
RECOPILAR INFORMACION PRELIMINAR
FASE 1
ENCUADRE DE OBJ ETIVOS
INFORMACION ADICIONAL
FORMULACION DE UNA PRIMERA HIPOTESIS DEL PROBLEMA
FASE 2
ESTRATEGIA DE MEDICION
FASE 3
INSTALACION DE LOS EQUIPOS, SEGUIMIENTO Y RECOPILACION DE LA INFORMACION
FASE 4
ANALISIS DE LOS DATOS Y DIAGNOSTICO
PUBLICACION DE INFORME
ACCIONES CORRECTIVAS
METODO DE PASOS PARA ANALISIS DE TRAFICO Y DIAGNOSTICO
Pagina: 129
Anlisis de Trfico
Mtodo de trabajo
Fase 1: encuadre de objetivos y obtencin de informacin bsica
1. A donde se desea llegar?
monitoreo?, Evaluacin?, Diagnstico de problema?
2. Cual es el sntoma y como se manifiesta?
como se manifiesta?, Cuando se manifiesta?, Donde?
3. En cuanto tiempo se desea llegar al diagnstico (marco
temporal del estudio)?
4. Como esta diseada la infraestructura fsica y lgica?
5. Que caracteristicas tiene la tecnologa que la compone?
Pagina: 130
Diagnostico
global
Diagnostico
especifico
Monitoreo
Trafico
Dispositivos
Ambos
Analisis de
aplicacion y su
relacion con la
red
Otro tipo de
estudio
especifico
(Ej. tunning, etc.)
LAN
Propuestas de
mejora de calidad
Auditorias
WAN
Propuestas de
mejora de calidad
Auditorias
LAN
Auditoria y/o
mejoras
sectorizadas
WAN
Auditorias y/o
mejoras
sectorizadas
LAN
Total o Parcial
WAN
Total o Parcial
Certificaciones de
cableado
BaseLining
Modelizacion y/o
simulacion
Discovery y/o
documentacion
Tunning de
protocolos
Diagnostico de
problema de
aplicacion
RTA
Response Time
Analysis
Internet
Intranets
(Wan privada)
Internet
Intranets
(Wan privada)
LAN+WAN
Total o Parcial
ENCUADRE DE
OBJETIVOS
Pagina: 131
Anlisis de Trfico
Mtodo de trabajo
Fase 2: estrategia de medicin
1. Que tipo de anlisis se solicitara ?
perfil de segmento?, Anlisis de ruta?, Carga y rendimiento de
dispositivos?, Certificacin de link?, Captura de paquetes y anlisis experto post-
captura?, Triggers & alarms?, Trending general?
2. Que instrumental o software se utilizara ?
tdrs?, Probes de LAN distribuidos? Cuantos?, Analizador de trfico
simple?, Probes de WAN?, Software de monitoreo y descubrimiento de red /
ruta?, Software de reporting de SNMP?
Pagina: 132
Anlisis de Trfico
Mtodo de trabajo
Fase 2: estrategia de medicin
3. Cuanto tiempo estarn midiendo ?
medicin puntual?, Trending?
4. Donde se colocaran los instrumentos ?
en el puerto del cliente, del servidor o en ambos simultneamente?, En
el puerto del servidor?, En el puerto del troncal?, En la entrada o salida del router?
5. Se usaran fuentes adicionales y/o cruzadas de informacin ?
estadsticas entregadas por los sistemas operativos de los routers,
switches o servidores, software de gestin de los dispositivos
Pagina: 133
Anlisis de Trfico
Mtodo de trabajo
Fase 3: instalacin, seguimiento y recopilacin de mediciones.
1. Quien ser el interlocutor tcnico dentro de la organizacin ?
entrega de direcciones Ip y/o mibs de dispositivos.
acceso a los sistemas operativos del servidor/routers.
establecimiento de port-mirroring en switches.
control de las sondas y su correcto funcionamiento.
coordinacin con el sector usuario.
coordinacin de remocin de las sondas.
Pagina: 134
Anlisis de Trfico
Mtodo de trabajo
Fase 4 anlisis de resultados, diagnstico y acciones correctivas.
1. Cual es el motivo exacto o supuesto del problema ?
Puede precisarse con seguridad?, Hay pruebas que surgen de los
estudios precedentes?, Se infiere como posible en base a las mediciones
obtenidas?
2. Por que se produce?
Cual es el origen del problema?, Puede prevenirse o evitarse?
3. Que se debe realizar para evitarlo?
Que acciones correctivas deben ser tomadas?, Que mediciones
posteriores deben realizarse para corroborar la correccin del problema?,
Evaluacin costo-beneficio.
Pagina: 135
Frame Relay
X.25
P
u
n
to
a
P
u
n
to
V
e
lo
cid
a
d
Sucursal 1
Localidad
IP
Sucursal 2
Localidad
IP
Administracion Central
Localidad
IP
Veloc.
Veloc.
Veloc.
Sucursal 2
Localidad
IP
DIAGRAMA DE RED GEOGRAFICA
ORGANIZACION
FECHA
Satellite dish
Satellite
Radio tower
Sucursal 2
Localidad
IP
Sucursal 2
Localidad
IP
Radio tower
Enlace de radio
Tecnologia y velocidad
Satellite dish
Router
Router
Router central
Router
Interfaz LAN
IP / Mask=
MAC =
Interfaz WAN
IP / mask=
Pagina: 136
Switch central
Servidor xx
Hub/switch piso 12
Hub/switch piso 11
Hub/switch piso 10
Hub
Tipo
de
Link
Hub
Hub
Tipo de link
UTP / Fibra
Flujo de la informacion
Servidor +Router
MAC - IP
MAC - IP
MAC - IP
Hub Piso 1
Hub Piso 2
Hub Piso 3
DIAGRAMA DE FISICO DE LA RED LOCAL
ORGANIZACION:
FECHA:
MAC - IP
Estacion Cliente
IP
MAC
Pagina: 137
B
A
C
K
B
O
N
E

-

E
s
t
a
n
d
a
r
Dominio de colision #3
Redes logicas definidas: IP - IPX - etc
IBM Compatible
Hub piso
Hub piso
Switch
VLAN #1 VLAN #2
VLAN #3
DIAGRAMA LOGICO DE LA RED LOCAL
ORGANIZACION:
FECHA:
Pagina: 138
HUB / Switch (Marca - Modelo - Velocidad - version OS - IP address - Observaciones)
1 7 2 3 4 5 6 8 9 10 11 12 13 14
Router (Marca - Modelo - Version IOS - Usos)
1 2
Puertos LAN
3 V.35 V.35 RS232 RS232 RS232 HSSI G.703
M
A
C

a
d
d
r
e
s
s
I
P

a
d
d
r
e
s
s
U
s
o
M
A
C

a
d
d
r
e
s
s
I
P

a
d
d
r
e
s
s
U
s
o
M
A
C

a
d
d
r
e
s
s
I
P

a
d
d
r
e
s
s
U
s
o
I
P

a
d
d
r
e
s
s
U
s
o
I
P

a
d
d
r
e
s
s
U
s
o
I
P

a
d
d
r
e
s
s
U
s
o
I
P

a
d
d
r
e
s
s
U
s
o
I
P

a
d
d
r
e
s
s
U
s
o
I
P

a
d
d
r
e
s
s
U
s
o
I
P

a
d
d
r
e
s
s
U
s
o
Bridge (marca - modelo - IP)
Lan port
Radio tower
Bridge (marca - modelo - IP)
Lan port
Radio tower
2Mbps
M
A
C

a
d
d
r
e
s
s
I
P

a
d
d
r
e
s
s
U
s
o
M
A
C

a
d
d
r
e
s
s
I
P

a
d
d
r
e
s
s
U
s
o
M
A
C

a
d
d
r
e
s
s
I
P

a
d
d
r
e
s
s
U
s
o
M
A
C

a
d
d
r
e
s
s
I
P

a
d
d
r
e
s
s
U
s
o
M
A
C

a
d
d
r
e
s
s
I
P

a
d
d
r
e
s
s
U
s
o
M
A
C

a
d
d
r
e
s
s
I
P

a
d
d
r
e
s
s
U
s
o
M
A
C

a
d
d
r
e
s
s
I
P

a
d
d
r
e
s
s
U
s
o
M
A
C

a
d
d
r
e
s
s
I
P

a
d
d
r
e
s
s
U
s
o
M
A
C

a
d
d
r
e
s
s
I
P

a
d
d
r
e
s
s
U
s
o
M
A
C

a
d
d
r
e
s
s
I
P

a
d
d
r
e
s
s
U
s
o
M
A
C

a
d
d
r
e
s
s
I
P

a
d
d
r
e
s
s
U
s
o
M
A
C

a
d
d
r
e
s
s
I
P

a
d
d
r
e
s
s
U
s
o
M
A
C

a
d
d
r
e
s
s
I
P

a
d
d
r
e
s
s
U
s
o
M
A
C

a
d
d
r
e
s
s
I
P

a
d
d
r
e
s
s
U
s
o
CONFIGURACION Y USO DE LOS PRINCIPALES EQUIPOS DE CONECTIVIDAD
Puertos WAN
Pagina: 139
CONFIGURACION DE VLANS Y SWITCHING DE LAYER 3
VLAN
ID
Nombre Sector de la empresa Switch
unit
Ports
Subnet
Asignada
Tag
Method?
Router
address
Pagina: 140
Anlisis de Trfico
KIT DE ANLISIS DE TRFICO
Notebooky/o desktop
patchcordsderechos y cruzados cortos
patchcordsderechos y cruzados largos
hubs10/100mbps autosense
zapatillas, alargue y adaptadores para tomas de tensin en todaslas normas
CD con utilitarios y software de anlisis de trfico
empalmes hembra- hembra
cable null modem
destornillador y perillero
etiquetas y precintos
blockpara notas y birome / marcador
cutter
Formularios de relevamientoy anotadores
Silla y mesa plegable, para ser utilizada en cuartos de cableado
Pagina: 141
Anlisis de Trfico
http://www
aguilaryasociados.com.ar
networkinstruments.com
packeteer.com
podbooks.com
packet-level.com
networkmanagementguide.com
shomiti.com
nai.com/asp_set/buy_try/try/products_e
vals.asp
Ipswitch.com
netcomsystems.com
net-reality.com/bcr_tuneup
adc.com/access/splbs
nmss.com
visualnetworks.com/bcr
intrak.com
aggroup.com/demos
ixia.com
agilent.com
SITES EN INTERNET PARA OBTENER DE INFORMACION ON LINE
Pagina: 142
Anlisis de Trfico
Bibliografia relacionada con el anlisis de trfico y los protocolos
Novell guide to netwarelananalisys
Laura Chapell
Novell Press
TCP/IP, Volumen1
Douglas Commer
Editorial Prentice Hall
SNMP V2 y RMON
Stallings
Editorial PrenticeHall
Pagina: 143
Anlisis de Trfico
FIN

Analisis de Trafico PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Analisis de Trafico PDF

Cargado por

Copyright:

Formatos disponibles

Curso de Anlisis de Trafico Curso de Anlisis de Trafico

También podría gustarte