analisis de trafico
TRANSCRIPT
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 1
Módulo 6Análisis de Tráfico
CARRERACARRERADIPLOMATURA EN TELECOMUNICACIONES
Y REDES DE DATOS
Docente: Julio Locatelli
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 2
INDICE
8. Análisis de sesión.
9. Análisis de distribución del paquete.
10. Análisis de errores en sesión.
11. Analizadores de trafico.
12. RMON.
13. SNMP.
1. Introducción.
2. Análisis y diagrama del cableado (Layer 1).
3. Análisis del layer enlace de datos (Layer 2).
4. Principios de operación del protocolo CSMA/CD.
5. Conceptos.
6. Direccionamiento y Ruteo.
7. Ejemplos.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 3
Análisis de Tráfico
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 4
Análisis de Tráfico Introducción
El presente intenta establecer un método de trabajo para llegar a un diagnóstico lo mas preciso posible basado en decisiones cuantitativas, a partir de métricas tomadas por equipos y software específicos.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 5
Análisis de Tráfico Introducción
Básicamente todo apunta a llegar a un DIAGNÓSTICO, objetivo que es exitoso en cuanto involucra dos elementos: un cúmulo de experiencia para elaborar una hipótesis de trabajo basado en determinados síntomas y una estrategia de investigación que debiera ser sustentada por un método de trabajo que guíe a los profesionales hacia este objetivo.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 6
Análisis de Tráfico Introducción
Como todo método, es perfectible y deseamos que así sea, para lo cual invitamos a todos aquellos que lo usen a aportar las mejoras obtenidas de probar al mismo en el campo.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 7
Análisis de Tráfico IntroducciónPensamos que el análisis de tráfico será una disciplina preponderante ya que la infraestructura de red usada por la organización, sustenta el tráfico transaccional de mas y mas aplicaciones y que cada una de ellas tiene determinadas exigencias y comportamiento a la hora de usar esta infraestructura.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 8
Introducción
Análisis de Tráfico
¿Que diferencias existen entre la gestión de la red y el análisis de trafico?
Gestión de Red Análisis de TráficoEstrategia que abarca a la totalidad de los recursos de la red , ya sean clientes, servidores, elementos de
conectividad y protocolos, formando una solución que
comprende toda la infraestructura.
Destinado al monitoreo, seguimiento y control del trafico generado por los servicios y las
aplicaciones.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 9
Introducción
Análisis de Tráfico
Podemos decir que es un subset de la administración de la red, estructurada en layers según vemos:
Soluciones de management de redOpenview, CA Unicenter o NetWorkIT Pro, IBM Tivoli
Aplicaciones de gestión de dispositivos Ej.: Cisco Works, 3COM Trascend, etc.
Aplicaciones y hardware de monitoreo de traficoEj.: Observer, NAI Sniffer, Shomiti, HP NetMetrix,
NetScout, etc.
Instrumental de certificaciones de enlace físicoEj.: TDRs de Fluke, Wandel & Goltermann
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 10
Introducción
Análisis de Tráfico
¿Por que aparece la necesidad de medir el trafico?
• Porque las aplicaciones demandan cada vez mas recursos de la red
• Porque hay cada vez mas aplicaciones distribuidas
• Por desconocimiento de los consumos de la aplicación
• Por desconocer el origen de los problemas
• Por que otra razón?
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 11
Introducción
Análisis de Tráfico
¿Que objetivos intenta alcanzar el análisis de trafico?
• Diagnostico de problemas
• Planificación de carga y consumos
• Monitoreo de consumos
• Comportamiento de aplicación
• Algún otro?
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 12
Introducción
Análisis de Tráfico
¿Que limites y alcances tiene?
• Es generalmente pasivo y no pro-activo.
• No corrige los problemas de la red, solo los mide y ayuda a diagnosticar.
• Depende de la capacidad de la herramienta utilizada y de la estructura de la red.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 13
Introducción
Análisis de Tráfico
¿Que problemas conlleva el análisis?
• Requiere de conocimiento de los protocolos de la red
• Depende de cómo este conformada la infraestructura
• Depende del tipo de instrumental utilizado
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 14
Análisis de Tráfico Introducción
Hipotesis de trabajomas probable
SINTOMA "La red esta lenta""No puedo conectarme a...""La aplicacion esta lenta..."
"Perdi la conexion a..."
RECOPILAR INFORMACION PARAELABORAR UNA HIPOTESIS DE
TRABAJO
- Ocurre siempre ?- Le afecta a todos?
- Que cambios se realizaron?-Desde cuando? / Desde donde?
Nueva hipotesis detrabajo
Desarrollo de una estrategia de analisis y/o mediciones para recopilar informacion precisa ycorroborar la hipotesis de trabajo
Analisis y medicionesInterpretacion de los resultados
Corroboranla hipotesis?
DIAGNOSTICOY
SOLUCION
Si
No
¿Como es la secuencia de diagnostico tradicional?
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 15
Análisis de Tráfico Análisis y diagnostico de la infraestructura de cableado.
Una parte del diagnostico del trafico se ve afectado o no por las características y calidad de los parámetros de la infraestructura física, ya que los frames se derivan en pulsos transmitidos por los links físicos.Por ende, ciertos problemas detectados por el analizador de trafico, tales como exceso de errores en las tramas (CRCs errors) derivan de problemas en el cableado.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 16
Análisis de Tráfico Análisis y diagnostico de la infraestructura de cableado.
Diagnosticar problemas en la infraestructura de cableado, implica la revisión de los siguientes puntos:
Telecommunications Cabling Standard y los siguientes subestandards
• ANSI/TIA/EIA-568-A-95, estructura del cableado
• ANSI/EIA/TIA-569-A-98, premisas para el cableado.
• ANSI/EIA/TIA-570-91, cableado residencial y de pequeñas oficinas
• ANSI/TIA/EIA-606-93, administración y documentación
• ANSI/TIA/EIA-607-94, practicas de puesta a tierra
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 17
Análisis de Tráfico Análisis y diagnostico de la infraestructura de cableado.
Medición y diagnostico
El boletín TIA/EIA TSB-67, define la practica de medición del cableado. Para categoría 5 extendida, se ha definido el boletín TSB-97, con parámetros mas exigentes, tales como el ELFNEXT, por ejemplo.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 18
Análisis de Tráfico Análisis y diagnostico de la infraestructura de cableado.
Normalmente, los parámetros mas representativos y deseados de revisión son:•Atenuación, medida en 24dB como peor nivel de ruido.•NEXT (Near End CrossTalk), 27.1dB, como peor valor.•Mapa de cable (correcta disposición del pinout, basada preferentemente en la especificación T568A.•Longitud del segmento, menor a 100 metros.
PAR Nro. Color Función PIN #
Blanco/Verde T3 1
Verde/Blanco R3 2
Blanco/Naranja T2 3
Azul/Blanco R1 4
Blanco/Azul T1 5
Naranja/Blanco R2 6
Blanco/Marrón T4 7
Marrón/Blanco R4 8
4
2 1
3
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 19
Análisis de Tráfico Análisis y diagnostico de la infraestructura de cableado.
Work Area
Hub
Patch Panel
Patch Panel
L2
Cuarto de cableado
L1 + L2 + L3 = 10 m maximo
L1TIA/EIA basic link
90 m
TIA/EIA channel802.3 link segment
100m
L3
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 20
Análisis de TráficoAnálisis y diagnostico de la infraestructura de cableado.
Industry Standards Performance Comparison Worst-case channel performance at 100 MHzParameter Category 5
and Class Dwith pending additionalrequirementsTIA PN-4292 (TSB-95)and SC 25 N 487
Category 5ESP-4195 (A-5)
ProposedCategory 6Class E(Performance at250MHz shown inparentheses)
ProposedCategory 7Class E(Performance at600MHz shown inparentheses)
Specified frequency range 1-100 MHz 1-100 MHz 1-250 MHz 1-600 MHz
Attenuation 24 dB 24 dB 21.7 dB (36 dB) 20.8 dB (54.1 dB)
NEXT 27.1 dB 30.1 dB 39.9 dB (33.1 dB) 62.1 dB (51 dB)
Power-sum NEXT N/A* 27.1 dB 37.1 dB (30.2 dB) 59.1 dB (48 dB)
ACR 3.1 dB 6.1 dB 18.2 dB (-2.9 dB) 41.3 dB (-3.1 dB)**
Power-sum ACR N/A 3.1 dB 15.4 dB (-5.8 dB) 38.3 dB (-6.1 dB)**
ELFEXT 17 dB (new requirement) 17.4 dB 23.2 dB (15.3 dB) ffs***
Power-sum ELFEXT 14.4 dB (new requirement) 14.4 dB 20.2 dB (12.3 dB) ffs***
Return loss 8 dB* (new requirement) 10 dB 12 dB (8 dB) 14.1 dB (8.7 dB)
Propagation delay 548 nsec 548 nsec 548 nsec (546 nsec) 504 nsec (501 nsec)
Delay skew 50 nsec 50 nsec 50 nsec 20 nsec
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 21
Análisis de TráficoAnálisis y diagnostico de la infraestructura de cableado.
HERRAMIENTAS DE MEDICION: EL TDR (TIME DOMAIN REFLECTOMETER)
Es el certificador de los parámetros de rendimiento del cable. Normalmente llegan solo hasta la capa 1 de OSI, certificando que el link físico cumple con lo referido a la categoría y bajo las condiciones de medición y testing establecidas en el TSB67 o TSB95
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 22
Análisis de TráficoAnálisis y diagnostico de la infraestructura de cableado.
HERRAMIENTAS DE MEDICION: EL TDR (TIME DOMAIN REFLECTOMETER)
Ejemplos de este tipo de herramientas son el FLUKE DSP-4000 o el Microtest. Normalmente su costo oscila entre los USD 3000.- y los USD 8000.- dependiendo de las capacidades, y algunos de ellos tambien incluyen mediciones de layer 2, tales como utilizacion del canal y/o colisiones.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 23
Análisis de TráficoAnálisis y diagnostico de la infraestructura de cableado.
Features of the DSP-4000 Digital CableAnalyzer:
• Provides unsurpassed ruggedness to keep your crews up and running.
• Gives you the fastest test times using high-speed digital technology.
• Minimizes training time with ease of use. • Automatically diagnoses cabling fault and
shows exact location in feet or meters. • Exceeds specification requirements for Cat 5,
Cat 5E and Cat 6 with level III accuracy. • Accepts the new manufacturer-specific Cat 6
connectors.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 24
Análisis de TráficoAnálisis y diagnostico de la infraestructura de cableado.
Features of the DSP-4000 Digital CableAnalyzer:
• Displays results to 350 MHz. • Shows detailed plots of NEXT, ELFEXT, PSNEXT,
Attenuation, ACR, Propagation Delay, and Return Loss-up to 350 MHz.
• Works with an optional Fiber Test Adapter to provide automatic dual wavelength loss testing for two fibers at a time.
• Provides built-in Talk Mode for two-way voice communication between the main and remote units.
• Includes tone generator for use with a tone probe, such as the Fluke 140, to trace wires and identify cable in LAN installations.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 25
Análisis de TráficoAnálisis y diagnostico de la infraestructura de cableado.
Powerful high definition diagnostics
The DSP-4000 helps you quickly identify and locate opens or breaks, short circuits, and anomalies in the cabling link under test. With a touch of the FAULT-INFO key, the DSP-4000 automatically diagnoses the cabling faults and graphically displays the cabling link and the location of the defect. Utilizing Enhanced High Definition Time Domain Crosstalk (HDTDX™) and High Definition Time Domain Reflectometry (HDTDR™), the DSP-4000 can precisely locate the position of a crosstalk problem any distance along the link - measured in feet or meters - from the tester. These high definition diagnostics make the DSP-4000 the industry's first cable tester to pinpoint sources of crosstalk or return loss anywhere along an entire link length.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 26
Análisis de TráficoAnálisis y diagnostico de la infraestructura de cableado.
Mas información On Line:
www.fluke.com/nettools
www.cabling-design.com
www.cabletesting.com
www.siemon.com
www.faqs.org/faqs/LANs/cabling-faq
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 27
Análisis de TráficoAnálisis del layer de enlace en ambientes de LAN estándar 802.3
1973: Sistema llamado red ALOHA, una red basada en transmisión radial.
Hacia 1972: Desarrollo de Metcafe y sus colegas en los laboratorios de Xerox.(unía computadoras personales ALTOS a 2.94Mbps).
En Julio de 1976, Metcalfe y Boggs publicaron el estándar.
Hacia fines de 1977, la patente fue publicada como “Sistema de comunicación de datos multipunto con detección de colisión”, propiedad de Xerox Corp.
En 1985, la IEEE publico el estándar definitivo bajo el titulo: “IEEE 802.3 Método de Acceso al Medio de sensado de portadora y detección de colisión y sus especificaciones físicas”
Historia
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 28
Análisis de TráficoAnálisis del layer de enlace en ambientes de LAN estándar 802.3
Año Suplemento Descripción
1985 802.3a 10BASE2 Thin Ethernet
1985 802.3c Especificaciones del repetidor de 10 Mbps, cláusula 9
1987 802.3d FOIRL Fiber Link
1990 802.3i 10BASE-T, twister pair
1993 802.3j 10BASE-F, fiber optic
1995 802.3u 100BASE-T Fast Ethernet y Auto-Negociacion
1997 802.3x Estándar Full-Duplex
1998 802.3z 1000BASE-X Gigabit Ethernet sobre fibra óptica
1998 802.3ac Extensión del Frame a 1522 bytes para soportar el tag de VLANS
1999 802.3ab 1000BASE-T, Gigabit Ethernet sobre par trenzado
2000 802.3ad Agregación de links paralelos
Suplementos de la IEEE
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 29
Análisis de Tráfico
Presencia dentro de OSI
Análisis del layer de enlace en ambientes de LAN estándar 802.3
Logical Link Control Sublayer (LLC)2 – DATA LINK
Media Access Control (MAC)
Physical signaling sublayers1 - PHYSICAL
Media Specifications
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 30
Análisis de TráficoAnálisis del layer de enlace en ambientes de LAN estándar 802.3
Especificación
Encoding
Velocidad
Medio
Máxim
o diám
etro de la red/longitud
del troncal (mt)
Máxim
a longitud de
segmento (m
t)
Mínim
a longitud de
segmento (m
t)
Máxim
a cantidad de segm
entos separados por
repetidores
Máxim
a cantidad de repetidores
Máxim
a cantidad de nodos por segm
ento
Observaciones
10BASE5 Manchester 10Mbps Coaxial RG213
2800 500 0.5 5 4 100 Conector: Transeiver externo AUI
10BASE2 Manchester 10Mbps Coaxial RG58 925 185 0.5 5 4 30 Conector: BNC
FOIRL 10Mbps FOMM 62.5/125um
- 1000 - - -- 0 Conector: STCantidad máxima de transeivers por segmento: 2
802.3 – CUADRO COMPARATIVO DE CARACTERISTICAS
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 31
Análisis de TráficoAnálisis del layer de enlace en ambientes de LAN estándar 802.3
Especificación
Encoding
Velocidad
Medio
Máxim
o diámetro
de la red/longitud del troncal (m
t)
Máxim
a longitud de segm
ento (mt)
Mínim
a longitud de segm
ento (mt)
Máxim
a cantidad de segm
entos separados por
repetidores
Máxim
a cantidad de repetidores
Máxim
a cantidad de nodos por
segmento
Observaciones
10BASE-T Manchester
10Mbps UTP level 3 o sup.
200 100 No hay(0.3 típica)
5 4 1024 Señal: +/- 2.5vAtenuación máxima en el segmento: 11.5dBPerdida por conector RJ45: 1.5dBImpedancia característica: 100 OhmConector: RJ45, pinout TIA/EIA 568Cantidad máxima de transeivers por segmento: 2
10BASE-FLFiber Link
Manchester
10Mbps FOMM 62.5/125um
4000 2000 - 5 4 1024 Reemplaza al FOIRLConexión WS-WS, WS-HUB o HUB-HUBConector: AUI/STCantidad máxima de transeivers por segmento: 2Se pueden lograr distancias superiores a 2000 m. Utilizando transeivers de FO monomodo (8 o 9/62.5um) full-duplex, llegando a 40 km.
802.3 – CUADRO COMPARATIVO DE CARACTERISTICAS
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 32
Análisis de TráficoAnálisis del layer de enlace en ambientes de LAN estándar 802.3
Especificación
Encoding
Velocidad
Medio
Máxim
o diámetro de
la red/longitud del troncal (m
t)
Máxim
a longitud de segm
ento (mt)
Mínim
a longitud de segm
ento (mt)
Máxim
a cantidad de segm
entos separados por
repetidores
Máxim
a cantidad de repetidores
Máxim
a cantidad de nodos por segm
ento
Observaciones
10BASE-FBFiberBackbone
Manchester 10Mbps FOMM 62.5/125um 2000 Conexión HUB-HUBNo fue adoptado
10BASE-FPFiberPassive
Manchester 10Mbps FOMM 62.5/125um 500 No fue adoptadoPara acople pasivo de hasta 33 computadoras
100BASE-TX 4B/5B 100Mbps(200Mbps en full-duplex)
UTP level 5, 2 paresSTP 150 Ohm
200 100 No hay 5 4 1024 Con UTP, se requiere conectores RJ45, con pinout TIA/EIA 568Con STP, se requiere un adaptador de impedancia con conector de 9 pines (MDI D-Type)Cantidad máxima de transeiverspor segmento: 2
802.3 – CUADRO COMPARATIVO DE CARACTERISTICAS
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 33
Análisis de TráficoAnálisis del layer de enlace en ambientes de LAN estándar 802.3
Especificación
Encoding
Velocidad
Medio
Máxim
o diámetro
de la red/longitud del troncal (m
t)
Máxim
a longitud de segm
ento (mt)
Mínim
a longitud de segm
ento (mt)
Máxim
a cantidad de segm
entos separados por
repetidores
Máxim
a cantidad de repetidores
Máxim
a cantidad de nodos por
segmento
Observaciones
100BASE-FX 4B/5B 100Mbps(200Mbps en full-duplex)
FOMM 62.5/125um 824 412(2000 en full-duplex)
No hay 5 4 1024 Conector: Duplex SC o conector MII de 40 pines (para transeiver externo)Portadora de onda: 1350 nmSe pueden lograr distancias superiores a 2000 mts. Utilizando transeivers de FO monomodo (8 o 9/62.5um) full-duplex, llegando a 20 km.Cantidad máxima de transeivers por segmento: 2
1000BASE-CX
8B/10B 1000/2000Mbps
High-quality shielded twisted pair
25 mts No muy adoptado en el mercadoRequiere alguno de dos tipos de conectores, en los extremos:HSSDC (High Speed Serial Data Conector de 8 pines o fibre channel style 2)Conector de 9 pines D-Subminiatura (el mismo que el usado en Token Ring para STP de 150 Ohm)
802.3 – CUADRO COMPARATIVO DE CARACTERISTICAS
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 34
Análisis de TráficoAnálisis del layer de enlace en ambientes de LAN estándar 802.3
Especificación
Encoding
Velocidad
Medio
Máxim
o diámetro de
la red/longitud del troncal (m
t)
Máxim
a longitud de segm
ento (mt)
Mínim
a longitud de segm
ento (mt)
Máxim
a cantidad de segm
entos separados por
repetidores
Máxim
a cantidad de repetidores
Máxim
a cantidad de nodos por segm
ento
Observaciones
1000BASE-SX 8B/10BFibreChannel
1000Mbps(2000Mbps en full-duplex)
FOMM(MultiModo)
440 mts 220 mts 2 metros Conector: Duplex SC o MT-RJExiste un elemento, denominado GBIC (GigabitEthernet Converter) que permite soportar tanto 1000Base-SX o –LX en un mismo port
1000BASE-LX 8B/10BFibreChannel
1000Mbps(2000Mbps en full-duplex)
Fomm(MonoModo)
10000 m 5000 m 2 metros
1000BASE-T 4D-PAM5 (pulse apmplitudemodulation)
1000Mbps(2000Mbps en full-duplex)
UTP level 5 o superior
200 100 No hay
802.3 – CUADRO COMPARATIVO DE CARACTERISTICAS
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 35
Análisis de TráficoAnálisis del layer de enlace en ambientes de LAN estándar 802.3
Otros estándares no tan utilizados o difundidos comercialmente son, además del 10BROAD36 y del 1BASE5:
100BASE-T4 4B/5B 100Mbps
UTP level 3 o superior, 4 pares
200 100 No hay
5 4 1024 No fue difundido
100BASE-T2 4B/5B 100Mbps
UTP level 3 o superior, 2 pares
200 100 No hay
5 4 1024 No fue desarrollado por ningún fabricante
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 36
Análisis de TráficoAnálisis del layer de enlace en ambientes de LAN estándar 802.3
Tipos de Frames Ethernet
IEEE 802.3 Header Destination MAC address 6 bytes
14 bytes Source MAC address 6 bytes
Type 2 bytes
IP V4 Header Version 4 bits
20 bytes Header Lenght 4 bits
Type of Service 1 byte
FRAME ETHERNET II (DIX)
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 37
Análisis de TráficoAnálisis del layer de enlace en ambientes de LAN estándar 802.3
Tipos de Frames Ethernet
IEEE 802.3 Header Destination MAC address 6 bytes
14 bytes Source MAC address 6 bytes
Lenght (Type si >= 0x0600) 2 bytes
IP V4 Header Version 4 bits
20 bytes Header Lenght 4 bits
Type of Service 1 byte
FRAMES ETHERNET 802.3
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 38
Análisis de TráficoAnálisis del layer de enlace en ambientes de LAN estándar 802.3
Tipos de Frames Ethernet
IEEE 802.3 Header Destination MAC address 6 bytes
14 bytes Source MAC address 6 bytes
Lenght 2 bytes
802.2 LLC DSAP (Destination Service Access Point) 1 byte
3 o 4 bytes SSAP (Source Service Access Point) 1 byte
Control 1 o 2 bytes
IP V4 Header Version 4 bits
20 bytes Header Lenght 4 bits
Type of Service 1 byte
FRAME ETHERNET 802.2 (LLC)
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 39
Análisis de TráficoAnálisis del layer de enlace en ambientes de LAN estándar 802.3
Tipos de Frames Ethernet
IEEE 802.3 Header Destination MAC address 6 bytes
14 bytes Source MAC address 6 bytes
Lenght (Type si >= 0x0600) 2 bytes
802.2 LLC DSAP (Destination Service Access Point) 1 byte
3 o 4 bytes SSAP (Source Service Access Point) 1 byte
Control 1 o 2 bytes
IP V4 Header Version 4 bits
20 bytes Header Lenght 4 bits
Type of Service 1 byte
FRAME ETHERNET SNAP (SubNetwork Access Protocol)
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 40
Análisis de Tráfico
Principios de operación del protocolo CSMA/CD
1. Una señal transmitida en un canal genera una condición denominada portadora.
2. Cuando una interfaz tiene en el buffer una trama, espera a que el canal este libre de señal (ausencia de portadora).
3. Cuando el canal esta libre, la estación espera un intervalo de tiempo denominado IFG (Inter Frame Gap) y luego transmite el frame
4. Si dos estaciones transmiten, la señalización colisiona, y reprograman su transmisión mediante un algoritmo de backoff.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 41
Análisis de Tráfico
Principios de operación del protocolo CSMA/CD
La reglas son:
Si no hay portadora.
Si hay portadora.
Si ocurre una colisión durante la transmisión.Una vez que la estación (en 10 o 100Mbps) ha transmitido 512 bits de un frame (sin incluir el preámbulo) sin colisionar, se dice que la estación ha tomado posesión del canal y no debiera existir colisión (este tiempo se denomina slot time). Entonces la
estación limpia su contador de colisiones.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 42
Análisis de Tráfico
Principios de operación del protocolo CSMA/CD
OPERACIÓN FULL-DUPLEX
Es la operación del canal Ethernet en ambos sentidos simultáneamente.
Ventajas:
Duplicación de la capacidad de transmisión del canal
La longitud del segmento no esta limitada a los requerimientos de timing de un canal compartido, útil especialmente en segmentos de fibra
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 43
Análisis de TráficoPrincipios de operación del protocolo CSMA/CD
OPERACIÓN FULL-DUPLEX
Consideraciones de operación:
El sistema debe tener canales físicos separados para transmisión y recepción.
Solo pueden existir dos interfaces en un segmento full-duplex(conexión punto a punto)
Ambas interfaces deben tener capacidad de operación full-duplex.
No se utiliza el algoritmo CSMA/CD.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 44
Análisis de Tráfico
Principios de operación del protocolo CSMA/CD
Auto negociación
La configuración automática de las interfaces Ethernet es provista por el protocolo denominado Auto-Negotiation Protocol, definido en 1995, como parte del estándar 802.3u (FastEthernet), basado en un protocolo denominado Nway, desarrollado por National Semiconductors específicamente para enlaces de par trenzado. Por ello no se aplica a enlaces de fibra.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 45
Análisis de TráficoPrincipios de operación del protocolo CSMA/CD
Auto negociación
Conceptos básicos:
Opera sobre segmentos de enlace.
La Auto-Negociacion ocurre en momentos de inicialización del enlace.
Utiliza su propio sistema de señalización.
El dispositivo en el otro extremo del enlace, se denomina link partner.
Con excepción de Gigabit Ethernet, no hay Auto-Negociacion en fibra ni tampoco para 100Base-Tx basado en conectores de par trenzado blindado de 9 pines.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 46
Análisis de TráficoPrincipios de operación del protocolo CSMA/CD
Auto negociación
MODELO 1 DE CONFIGURACION PARA 10Mbps
Se requiere de un repeater set para toda conexión.
El path de transmisión entre dos DTEs puede consistir en hasta 5 segmentos.
Los cables de AUI para 10Base-FP y 10Base-FL no deben exceder los 25 metros.
Cuando un path de transmisión consiste de 4 repetidores y 5 segmentos, hasta 3segmentos pueden ser segmentos multipunto (ej. Coaxial) y los remanentes deben ser link-segments (segmentos punto a punto que conecta dos y solo dos MAUs). Cuando hay 5 segmentos presentes, los segmentos de fibra (FOIRL, 10Base-FL o 10Base-FB) no deben exceder de los 500 mts y cada segmento 10Base-FP no debe exceder de los 300 mts.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 47
Análisis de TráficoPrincipios de operación del protocolo CSMA/CD
Auto negociación
MODELO 1 DE CONFIGURACION PARA 10Mbps
Cuando un path de transmisión consiste en 3 repetidores y cuatro segmentos, se aplican las siguientes restricciones:
La longitud máxima de un cable de conexión entre repetidores basado en fibra no debe exceder los 1000 metros para FOIRL/10BASE-FB/10BASE-FL y 700 m para 10BASE-FP
La longitud máxima de cualquier repetidor al segmento del DTE en fibra, no debe exceder de los 400 m para la norma 10BASE-FL y no mas de 300 m para la norma 10Base-FP
No hay restricciones para el numero de segmentos multidrop cuando hay 4 segmentos y 3 repetidores
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 48
Análisis de TráficoPrincipios de operación del protocolo CSMA/CD
Auto negociación
MODELO 1 DE CONFIGURACION PARA 100Mbps
Repeater type Todo encobre
Todo en fibra
Mezcla de cobre yfibra (Tx y Fx)
Mezcla de cobrey fibra (T4 y Fx)
Segmento DTE-DTE 100 412 N/A N/A
Un repetidor Clase I 200 272 260.8 231
Un repetidor Clase II 200 320 308.8 N/A
Dos repetidores de clase II 205 228 216.2 N/A
Máximo diámetro de dominio de colisión Ethernet en metros
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 49
Análisis de TráficoPrincipios de operación del protocolo CSMA/CD
Auto negociación
MODELO 1 DE CONFIGURACION PARA 1000Mbps
Repeater type UTP Categoría 5
1000Base-CX
1000Base-Sx/Lx
UTP Categoría 5
y FO
1000Base-Cxy 1000Base-
Sx/LxSegmento DTE-DTESingle segment
100 25 316 N/A N/A
Un repetidor 200 50 220 210 220
Máximo diámetro de dominio de colisión Ethernet en metros
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 50
Class II Repeater DTE
Class II Repeater DTE
5m
100 m
100 m
MODELO 1 - GUIA DE CONFIGURACION DE FAST ETHERNET
Switch
100 m
Router
Full Duplex Fiber2000m
Repeater
DTE
Repeater
DTE
10Base-FLLink Segment
500 m
MODELO 1 - GUIA DE CONFIGURACION DE 10Mb/s ETHERNET
Repeater
10Base-5Mixing Segment
500 m
Repeater
10Base-FLLink Segment
500 m
DTE
10Base-TLink Segment
100 m
10Base-5Mixing Segment
500 m
10Base-2Mixing Segment
185 m
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 51
Análisis de TraficoPrincipios de operación del protocolo CSMA/CD
Errores dentro del estándar ethernet y su significado
Error Significado Interpretación
CRC errors Son normales mientras no excedan de una tasa fijada como base tanto para una interfaz como para una población de interfaces.
(FCS errors)Si superan la media respecto de una determinada interfaz, con
atribuibles a inducción en el link físico, disturbio eléctrico en el port o falla física en la interfaz.
Se descubren mediante el análisis de “Errors by station” con una interfaz promiscua
Fragments Errores de inconsistencia por ruptura de frame resultante de una colisión
Son normales, excepto que sean originados en una misma dirección física, lo que delata falla en el componente electrónico que no
respeta el time slot de liberación de frame al canal
Errores de inconsistencia por cambio de bits entre la emisión y recepción
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 52
Análisis de TraficoPrincipios de operación del protocolo CSMA/CD
Errores dentro del estándar ethernet y su significado
Error Significado Interpretación
Alignments errors
Errores de inconsistencia debidos a un frame que no tiene un numero bytes completos (Ej. 64 bytes y 4 bits), y cuenta con CRC
no valido
Son normales a una tasa baja. Caso contrario determinan error en la electrónica de la interfaz de red que los
genera, ya que no separa en forma valida el preámbulo del frame en si mismo. Se descubren mediante el
analizador de trafico, función “Errores” o “Errores por estación”
Son normales e incrementales a medida que se incrementa la tasa de uso del canal 802.3
Collisions Evento de colisión entre dos tramas liberadas al canal Si todas las colisiones son generadas por una sola interfaz,
delata una falla en el clock de la misma de la que se deriva error en respetar el slot time de acceso al canal
Runts Paquetes de menos de 512 bytes, abortado por la interfaz por detección de colisión
Normales en un canal, pero si son excesivos y atribuibles a una sola placa, delatan fallas en el hardware
Short EventDetección de actividad en el canal, menor al
tiempo máximo para este tipo, que es de 74 a 81 bit times
Indica generación de ruido externo inducido dentro del canal
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 53
Análisis de TraficoPrincipios de operación del protocolo CSMA/CD
Errores dentro del estándar ethernet y su significado
Error Significado Interpretación
Delata redes con violaciones a las normativas de diseño, especialmente en lo referido a las longitudes y causan perdida de
rendimiento.Late Events
Numero de veces que una colisión es detectada luego del
umbral (mas allá de los 512 bits)
También derivan de una estación que ha sido forzada a operar en full duplex y se la conecta a un concentrador, sin obedecer a
la mecánica CSMA/CD
Usualmente generados por reset o inicialización de la interfaz, mediante llenado del buffer con 1s o 0s.
Frames too long Frames que tienen un conteo
de octetos mayor a 1518 bytes, con FCS valido En un conteo bajo, son normales. Caso contrario delatan una
falla en la interfaz de red
Frames too shortFrames que tienen un conteo
de octetos menores a 64 bytes con FCS valido
Usualmente generados por fallas en la interfaz y el clock que tiene, que completa un slot de tiempo invalido. Posiblemente sea
atribuible al driver que controla la electrónica.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 54
Análisis de TraficoPrincipios de operación del protocolo CSMA/CD
Errores dentro del estándar ethernet y su significado
Error Significado Interpretación
Very long events
(JABBERS)
Transmisor activo mas de lo que permite el conteo de jabbering de 802.3 (de 40000 a
75000 bit times)
Falla en la interfaz o interfaces que conectan al canal.
Auto partitioning
El circuito de un concentrador ha detectado una falla (exceso de transmisiones, exceso de colisiones, etc.) y a aislado el segmento
Es un mecanismo de protección que delata fallas en la lógica de las interfaces o bien loops que generan
exceso de utilización continua del canal.
Data rate mismatches
Contador que expresa el numero de veces que la frecuencia de la señal entrante es diferente de la usada por el concentrado
Delata una falla en la interfaz (timing clock) o en el mecanismo de negociación de velocidad. Especifico
en concentradores autosense.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 55
Análisis de TraficoPrincipios de operación del protocolo CSMA/CD
Errores vistos desde un analizador de trafico
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 56
Análisis de TraficoPrincipios de operación del protocolo CSMA/CD
Test de deteccion de interfaz colisionante:
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 57
Análisis de Trafico
Sumarizacion de conceptos antes de encarar el análisis…
Dominio de contención
El segmento o tramo de medio físico por donde circulan las tramas que forman el tráfico originado en interfaces.
(Dominio de colisión)
En IEEE 802.3 hablamos de segmento o dominio de contención (o colisión) y en IEEE 802.5 / FDDI hablamos de anillo
Las características físicas y de acceso a este segmento esta determinado por el estándar CSMA/CD (longitud máxima, cantidad máxima de nodos, tiempo de inserción, etc.)
Es el conjunto de segmentos por donde una trama de broadcast (MAC Address de destino FF-FF-FF-FF-FF-FF) se debe propagar.
Dominio de broadcast
Usualmente limitado por las interfaces de los routers
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 58
Análisis de Trafico
Sumarizacion de conceptos antes de encarar el análisis…
Identificador de interfaz Ethernet, TokenRing o FDDI. Compuesta por 6 bytes, de los cuales los 3 primeros identifican al fabricante.
Dirección física o MAC
Ejemplo: 00-60-5C-3D-76-04, donde 00-60-5C corresponde a interfaz 802.3 de router CISCO
Dirección lógica Identificador de layer 3 de un dispositivo conectado a una red lógica (Ej. 10.1.0.1 / 8 es la descripción de una dirección IP conectado a la red 10.0.0.0 / 8)
Latencia Cantidad de tiempo (usualmente en milisegundos) que una trama tarda en llegar de un extremo a otro, influenciado por factores tales como exceso de uso (contención) y atenuaciones físicas (EMI/RFI)
Contención Intervalo en ms que demora una interfaz hasta poder acceder al segmento para transmitir
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 59
Análisis de Trafico
Sumarizacion de conceptos antes de encarar el análisis…
Tiempo total de transito: Es el tiempo total que una transacción demora entre ser generada y ser respondida por el servidor.
RTT
Esta formado por el tiempo transcurrido dentro del cliente (CT), mas el tiempo de contención, mas el tiempo de transito dentro de la red y el tiempo de procesamiento en el servidor
Throughput Tasa de envío de información, manifestada en Kbps (kilobits por segundo). Simboliza el volumen de tráfico que una aplicación o conjunto de ellas genera, sobre un intervalo de tiempo. Usado para confrontar contra la capacidad de transporte del canal, o ancho de banda (bandwith)
Protocol overhead Incidencia de los headers de protocolo sobre el tamaño de la solicitud de servicio
Packet ratio Cantidad de paquetes enviados hasta recibir la confirmación por el protocolo de control de layer 4
Packet size Tamaño de la trama de layer 2 utilizada
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 60
Análisis de Trafico
Sumarizacion de conceptos antes de encarar el análisis…
Jabbers Paquetes de mas de 1516 bytes (en Ethernet), con CRC valido, usualmente generados por fallas en el driver o la placa de red
Runts Paquetes de menos de 64 bytes (en Ethernet), con CRC valido, usualmente generados por fallas en el driver o la placa de red
CRC errors Errores de Frame Check Sequence, usualmente generados por fallas en el la placa de red y/o inducciones en el cableado.
Bandwidthutilización
Uso de la capacidad de transmisión del canal
Broadcast Solicitud de aviso de servicio que debe ser procesada por todas las interfaces del segmento
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 61
Análisis de Trafico
Sumarizacion de conceptos antes de encarar el análisis…
Multicast Solicitud de aviso de servicio que debe ser procesada por algunas de las interfaces del segmento
Colisiones tempranas
Tramas físicas colisionadas en el segmento donde se encuentran medidas o relevadas
Colisiones tardías Idem al anterior, pero en un segmento que cruza un repetidor.
CSMA Protocolo de alocación de ancho de banda, parte del estándar IEEE 802.3
Token Passing Idem al anterior, pero para estándar IEEE 802.5
Diseño de frame Ethernet: Existen 4 tipos de framesFrame type
ETHERNET_802.2 (o LLC), ETHERNET_802.3 (propietario de Novell), ETHERNET_II (o “crudo”) y ETHERNET_SNAP
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 62
Análisis de TraficoDireccionamiento y ruteo: layer 3
Direccionamiento Control de direcciones y/o rutas o destinos de red validos, así como de uso de mascaras de subred
Fragmentación (MTU) Capacidad del protocolo de ser subdividido en porciones menores para pasar por estructuras de red con framing de menor capacidad.Se analizar la posibilidad que tiene el router de fragmentar, si es que la aplicación lo permite
Vigencia de ruta (TTL) Decremento del tiempo de vida en la red, ya sea de 1 en 1 por el pasaje por routers o en mas de una unidad si hay priorizacion (queueing)Analizaremos la capacidad de la red de evitar loops
Opciones del datagrama Opciones de priorizacion del mismo.
Protocolo encapsulado Se analiza la validez del protocolo transportado por el datagrama
Parámetros de análisis:
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 63
Análisis de TraficoDireccionamiento y ruteo: layer 3Estructura del datagrama IP:
Versión Versión del protocolo IP 4 bits
Header Lenght Longitud del encabezado IP, en múltiplos de 4 bytes 4 bits
Type of Service Tipo de servicio para priorizacion del datagrama, dentro de los routersPrecedenciaDelayTroughputConfiabilidad
1 byte
Total lenght Longitud total del datagrama IP, usualmente menor a 65000 bytes 2 bytes
Identification Identificación del datagrama dentro de un conjunto de fragmentos 2 bytes
Flag Marca que indica si el datagrama ha de ser fragmentado o no y si es el ultimo de una serie de fragmentos 3 bits
Fragment offset Desplazamiento del fragmento dentro de la serie para su reensamblaje en el destino 29 bits
Time of Live Tiempo en segundos que tendrá vigencia el datagrama dentro de la red, decrementado en uno en cada router y usualmente iniciado en 30, 64 o 128 en el destino
1 byte
Protocol Identificación del protocolo que continua en la porción de carga (payload) 1 byte
Header Checksum Control de error del header IP, para validez dentro del proceso de conmutación que ocurre dentro del router 2 bytes
Source IP Address Dirección IP de origen 4 bytes
Destination IP Address
Dirección IP destinataria 4 bytes
IP options Opciones de tratamiento del datagrama 1 byte
Padding Complemento de relleno del header, en caso de variabilidad. 1 byte
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 64
Análisis de TraficoDireccionamiento y ruteo: La sesión layer 4
La sesión es importante dentro del análisis de trafico ya que determina el comportamiento del dialogo transaccional cliente/servidor.De una sesión, existen los siguientes parámetros de análisis:
Participantes Direcciones IP o DNSs de los participantes en la sesión
Encadenamiento Sesiones posteriores abiertas entre varios secuencias client/server
Puertos origen/destino utilizados, básicamente de tres tipos:
Well-Known (0-1023)
Asigned (1024 – 40000)
User-defined (40000 – 699000)
Volumen Cantidad de paquetes o bytes desplazados en la sesión, en ambos sentidos
Latencia Tiempo en ms que la sesión completa tiene, en promedio
Duración de la sesión Tiempo que la sesión permanece activa ya sea por paquetes de keepalive o por timouts que son excedidos.
Sockets
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 65
Análisis de TraficoDireccionamiento y ruteo: La sesión layer 4De una sesión, existen los siguientes parámetros de análisis:
Throughput Cantidad de bps que la aplicación genera, en un sentido y en otro, sin considerar los encabezados de los protocolos
Análisis del cliente al servidor o del servidor al clienteDireccionalidad o patrón
Inbound o outbound
Protocol everhead Porcentual del volumen de bits totales que son consumidos por los protocolos de layer 2 al 4
Packet ratio Cantidad de paquetes que son enviados por cada ACK
Cantidad de segmentos o canales que debe cruzar una transacción para llegar a destino y viceversa
Segmentos cruzados (HOP count)
Se deben considerar ambos sentidos
Round trip time (RTT) Tiempo total de la transacción (request emitido y ACK recibido) que implica la sumatoria de tiempos en cada uno de los segmentos individuales cruzados, mas el tiempo de procesamiento en cliente y servidor o servidores
Retransmisiones Cantidad de reintentos de envío de request debidos a la no recepción de los ACK por parte del destino
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 66
Análisis de TráficoDireccionamiento y ruteo: La sesión layer 4
Análisis de los encabezados de layer 4
Source Port Puerto de origen de la transacción, ya sea en el cliente como en el servidor, donde se intercalan.Puede ser: User defined ports.
2 bytes
Destination port Puerto de destino de la transacción, usualmente es el que designa a la aplicación, si no medimos del cliente al servidorPuede ser: Well-Known ports, Asigned ports, User defined ports.
2 bytes
Sequence number Nro. de segmento de TCP, usado para controlar la recepción de ACK, dentro de un conjunto de segmentos de TCP enviados
4 bytes
ACKnoledge number
Nro. de ACK que se espera recibir como parte de este segmento 4 bytes
Header Lenght Longitud del encabezado TCP 4 bits
Reserved No usado 6 bits
SEGMENTO TCP (24 bytes)
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 67
Análisis de Tráfico
Direccionamiento y ruteo: La sesión layer 4
Análisis de los encabezados de layer 4
Code bits (SYN, ACK, etc.)
Tipo de mensaje de TCPSYN = Inicio y apertura de sesiónACK = Confirmación de recepción de segmento
6 bits
Window Cantidad de bytes a ser enviados entre el origen y el destino 2 bytes
Checksum Control de error del encabezado TCP 2 bytes
Urgent Pointer Tipo de mensaje de TCP en relación a la prioridad 2 bytes
Options No usado 3 bytes
Padding Complemento 1 byte
SEGMENTO TCP (24 bytes)
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 68
Análisis de Tráfico
Direccionamiento y ruteo: La sesión layer 4
Análisis de los encabezados de layer 4
Source Port Puerto de origen de la transacción, ya sea en el cliente como en el servidor, donde se intercalan. Puede ser: User defined ports
2 bytes
Destination port Puerto de destino de la transacción, usualmente es el que designa a la aplicación, si no medimos del cliente al servidorPuede ser: Well-Known ports, Asigned ports, User defined ports.
2 bytes
Message lenght Longitud del mensaje a ser enviado 2 bytes
Checksum Control de error del encabezado UDP 2 bytes
DATAGRAMA UDP (8 bytes)
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 69
Análisis de TráficoEl circuito de una transacción cliente-servidor
Red PublicaInternet y/o
Frame Relay
Server1
Cliente origen de la
Router RouterHub
Server2
Hub
64 Kbps
Router
128 Kbps
64 Kbps / CIR 50% 128 Kbps / CIR 50%
Data
Data
Req.Outboun
Req.Outbound
Req.Req.
Req.
1. Generacionde transaccionen la estacion
y suencapsulado
en undatagrama/
frame
2. Cruce delsegmento local
3. Cruce de lainterfaz LAN del
router local
4. Cruce delsegmento W AN
hasta la redpublica
5. Trafico en lared publica
6. Cruce delsegmento W ANpara acceso al
site central
7. Acceso atraves del routerdel site central
7. Acceso atraves del
switch del sitecentral
8. Llegada alservidor y
procesamientodel request
9. Busqueda dedatos en segundo
servidor
10. Respuestadel request
cruzando otraruta
11. Procesamientode la respuesta por
el client.
Analizadorde trafico
Analizadorde trafico
Probe
Probe
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 70
Análisis de TráficoEJEMPLOS DE DIFERENTES SESIONES
Client Server Protocol/App. Packets Bytes Duration Resp Time (ms)
Clt->Svr Thput*
Svr->Clt Thput*
Sesion de web en ExpoInternet
200.47.108.100 www.cyberjuegos.com TCP/Port 2342<->Port 1626 734 340,424 00:02:31 814.5 2.112 15.960
200.47.108.100 www.cyberjuegos.com TCP/Port 2323<->Port 1626 73 8,124 00:06:50 0.048 0.112
200.47.108.100 www.cyberjuegos.com TCP/Port 2346<->HTTP 154 127,35 00:01:08 783.9 0.544 14.008
200.47.108.100 www.cyberjuegos.com TCP/Port 2353<->HTTP 48 32,367 00:00:11 668.3 0.544 20.408
200.47.108.100 www.cyberjuegos.com TCP/Port 2356<->Port 1626 170 35,436 00:02:20 768.9 0.592 1.424
200.47.108.100 www.cyberjuegos.com TCP/Port 2360<->HTTP 63 54,494 00:00:05 632.5 0.248 85.104
200.47.108.100 www.cyberjuegos.com TCP/Port 2364<->HTTP 53 36,965 00:00:15 697.0 0.464 17.512
200.47.108.100 www.cyberjuegos.com TCP/Port 2366<->HTTP 35 18,95 00:00:11 817.1 0.408 10.688
200.47.108.100 www.cyberjuegos.com TCP/Port 2372<->HTTP 12 8,339 00:00:01 594.0 2.936 45.288
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 71
Análisis de TráficoEJEMPLOS DE DIFERENTES SESIONES
Client Server Protocol/App. Packets
Bytes Duration Resp Time (ms)
Clt->Svr Thput*
Svr->Clt Thput*
Consulta de DNS200.47.108.101 200.3.116.2 UDP/Port 2384<->DNS 4 650 < 00:00:01 913.0 0.000 0.000
Consulta de NetBIOS208.238.102.110 200.47.108.186 UDP/NetBIOS Name<-
>NetBIOS Name6 1,059 00:00:03 1 1.040 1.568
Consulta de ORACLE - Servidor NT contra servidor UNIX, en ambiente LAN130.120.0.239 129.120.0.1 TCP/Port 1045<->Oracle 213 24,51 00:01:15 1.5 0.208 0.400
130.120.0.239 129.120.0.1 TCP/Port 1041<->Oracle 48 4,63 00:01:00 1.1 4.472 6.920
130.120.0.239 129.120.0.1 TCP/Port 1087<->Oracle 84 7,6 00:00:05 5.6 0.000 0.000
130.120.0.239 129.120.0.1 TCP/Port 1088<->Oracle 13 1,43 < 00:00:01 19.3 19.776 142.248
130.120.0.239 129.120.0.1 TCP/Port 1092<->Oracle 9,338 3,091,120
00:02:33 1.3 0.000 0.000
130.120.0.239 129.120.0.1 TCP/Port 1093<->Oracle 13 1,43 < 00:00:01 12.8 0.000 0.000
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 72
Análisis de TráficoEJEMPLOS DE DIFERENTES SESIONES
Client Server Protocol/App. Packets Bytes Duration Resp Time (ms)
Clt->Svr
Thput*
Svr->Clt Thput*
Request de NetBIOS y NCP dentro de IPX4.0090271CB358 5.0004AC
6ECF29IPX (Socket 0552<->0550)/SMB
4 368 00:03:59 16.5 0.000 0.000
4.009027574F8E 10 IPX (Socket 4007<->0451)/NCP
1,487 144,468 00:08:54 4.6 1.056 1.112
4.009027574F8E 10 IPX (Socket 400A<->0451)/PBurst
1,765 1,821,512 00:02:15 3.2 2.760 105.568
Ejecucion de PING
163.35.10.19 163.35.10.42
ICMP Echo (Ping)
3 314 00:00:28 5.0 0.000 0.000
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 73
Análisis de Tráfico
Client Server Protocol/Application Packets
Bytes Duration Resp Time (ms)
Clt->Svr Thput*
Svr->Clt Thput*
Intercambio de información de base de datos entre SUN y AS/400
163.35.10.42 163.35.10.29 TCP/Port 34636<->Port 12000 26 6,130 < 00:00:01 0.000 0.000
163.35.10.42 163.35.10.29 TCP/Port 34633<->Port 12000 14 1,680 < 00:00:01 0.000 0.000
163.35.10.42 163.35.10.29 TCP/Port 34634<->Port 12000 14 1,750 < 00:00:01 0.000 0.000
163.35.10.42 163.35.10.29 TCP/Port 34639<->Port 12000 28 2,868 < 00:00:01 0.000 0.000
163.35.10.42 163.35.10.29 TCP/Port 34641<->Port 12000 30 4,498 < 00:00:01 0.000 0.000
163.35.10.42 163.35.10.29 TCP/Port 34648<->Port 12000 46 16,894 00:00:01 22.752 237.600
163.35.10.42 163.35.10.29 TCP/Port 34652<->Port 12000 34 6,846 00:00:01 13.232 60.928
163.35.10.42 163.35.10.29 TCP/Port 34653<->Port 12000 30 3,252 00:00:01 18.368 26.344
163.35.10.42 163.35.10.29 TCP/Port 34654<->Port 12000 28 3,260 < 00:00:01 0.000 0.000
EJEMPLOS DE DIFERENTES SESIONES
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 74
Análisis de Tráfico
Client Server Protocol/Application Packets
Bytes Duration
Resp Time (ms)
Clt->Svr Thput*
Svr->Clt Thput*
Consulta de FORM en HTML desde una sucursal a traves de un enlace FRAME RELAY169.174.12.15 163.35.10.42 TCP/Port 1075<->HTTP 20 8,747 00:00:0
4164.3 2.616 16.640
169.174.12.15 163.35.10.42 TCP/Port 1076<->HTTP 11 2,499 00:00:02
338.3 4.040 6.832
169.174.12.15 163.35.10.42 TCP/Port 1077<->HTTP 14 3,379 00:00:04
469.5 2.784 4.224
169.174.12.15 163.35.10.42 TCP/Port 1078<->HTTP 13 2,162 00:00:07
146.0 1.232 0.760
169.174.12.15 163.35.10.42 TCP/Port 1079<->HTTP 27 14,287 00:00:07
171.7 1.472 14.344
EJEMPLOS DE DIFERENTES SESIONES
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 75
Análisis de Tráfico
Client Server Protocol/Application Packets
Bytes Duration Resp Time (ms)
Clt->Svr Thput*
Svr->Clt Thput*
Consulta de FORM en HTML desde un segmento local, cruzando un switch169.167.146.179 163.35.10.42 TCP/Port 1527<->HTTP 24 12,596 00:00:07 0.3 1.824 13.288169.167.146.179 163.35.10.42 TCP/Port 1528<->HTTP 28 15,253 00:00:08 0.0 1.736 13.928169.167.146.179 163.35.10.42 TCP/Port 1529<->HTTP 13 2,111 00:00:10 0.3 0.976 0.680169.167.146.179 163.35.10.42 TCP/Port 1530<->HTTP 26 14,412 00:00:10 0.0 1.256 10.288169.167.146.179 163.35.10.42 TCP/Port 1531<->HTTP 17 3,571 00:00:19 11.5 0.952 0.552169.167.146.179 163.35.10.42 TCP/Port 1533<->HTTP 175 107,17
800:00:47 0.3 0.984 17.320
EJEMPLOS DE DIFERENTES SESIONES
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 76
Análisis de TráficoPing-pong de paquetes
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 77
Análisis de TráficoSecuencia de paquetes con retransmisión
Packet 349: 00:04:AC:25:2C:01 -> 00:60:2F:A4:B1:D8Packet 349: 00:04:AC:25:2C:01 -> 00:60:2F:A4:B1:D8
Network: EthernetFrame type: 802.3, Frame size: 77Time: 11h:53m 22.974sec, Diff. time: 0.003
IP, 163.35.83.10 -> 163.35.119.234Source IP: 163.35.83.10, Destination IP: 163.35.119.234Version: 04, IP header length: 05 (32 bit words)Service type: 0: Precedence: 0, Delay: Norm, Throug: Norm, Reliab: NormTotal IP length: 59ID: B100hFragments: NoTime to live: 128PROTOCOL: [6] TCPHeader checksum: 3881 (GOOD)
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 78
Análisis de TráficoSecuencia de paquetes con retransmisión
Packet 349: 00:04:AC:25:2C:01 -> 00:60:2F:A4:B1:D8
IP, 163.35.83.10 -> 163.35.119.234
TCP PSH ACK, [1033] -> [1494]
Source port: [1033] Destination port: [1494]
Sequence number: 223897, Acknowledgement: 119589
TCP header length: 05 (32 bit words), Window: 7744
TCP data length: 19, Checksum: 7542h (GOOD)
Sequence number + TCP data length: 223916
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 79
Análisis de TráficoSecuencia de paquetes con retransmisión
Packet 349: 00:04:AC:25:2C:01 -> 00:60:2F:A4:B1:D8
IP, 163.35.83.10 -> 163.35.119.234
Data
0000 11 00 01 CF DD 40 B1 D9 46 56 3A B9 E7 0F 74 B5 ...ÏÝ@±ÙFV:¹ç.tµ
0010 62 9A E2 bšâ
RAW PACKET LISTING:
0000 00 60 2F A4 B1 D8 00 04 AC 25 2C 01 08 00 45 00 .`/¤±Ø..¬%,...E.
0010 00 3B B1 00 40 00 80 06 38 81 A3 23 53 0A A3 23 .;±.@.�.8�£#S.£#
0020 77 EA 04 09 05 D6 00 03 6A 99 00 01 D3 25 50 18 wê...Ö..j™..Ó%P.
0030 1E 40 75 42 00 00 11 00 01 CF DD 40 B1 D9 46 56 .@uB.....ÏÝ@±ÙFV
0040 3A B9 E7 0F 74 B5 62 9A E2 :¹ç.tµbšâ ±ÙFV
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 80
Análisis de TráficoSecuencia de paquetes con retransmisión
Packet 350: 00:04:AC:25:2C:01 -> 00:60:2F:A4:B1:D8Network: Ethernet
Frame type: 802.3, Frame size: 77
Time: 11h:53m 23.384sec, Diff. time: 0.410
IP, 163.35.83.10 -> 163.35.119.234
Source IP: 163.35.83.10, Destination IP: 163.35.119.234
Version: 04, IP header length: 05 (32 bit words)
Service type: 0: Precedence: 0, Delay: Norm, Throug: Norm,
Reliab: Norm
Total IP length: 59
ID: B200h
Fragments: No
Time to live: 128
PROTOCOL: [6] TCP
Header checksum: 3781 (GOOD)
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 81
Análisis de TráficoSecuencia de paquetes con retransmisión
Packet 350: 00:04:AC:25:2C:01 -> 00:60:2F:A4:B1:D8
TCP PSH ACK, [1033] -> [1494]
Source port: [1033] Destination port: [1494]
Sequence number: 223897, Acknowledgement: 119589
TCP header length: 05 (32 bit words), Window: 7744
TCP data length: 19, Checksum: 7542h (GOOD)
Sequence number + TCP data length: 223916
Data
0000 11 00 01 CF DD 40 B1 D9 46 56 3A B9 E7 0F 74 B5 ...ÏÝ@±ÙFV:¹ç.tµ
0010 62 9A E2 bšâ
RAW PACKET LISTING:
0000 00 60 2F A4 B1 D8 00 04 AC 25 2C 01 08 00 45 00 .`/¤±Ø..¬%,...E.
0010 00 3B B2 00 40 00 80 06 37 81 A3 23 53 0A A3 23 .;².@.�.7�£#S.£#
0020 77 EA 04 09 05 D6 00 03 6A 99 00 01 D3 25 50 18 wê...Ö..j™..Ó%P.
0030 1E 40 75 42 00 00 11 00 01 CF DD 40 B1 D9 46 56 .@uB.....ÏÝ@±ÙFV
0040 3A B9 E7 0F 74 B5 62 9A E2 :¹ç.tµbšâ ±ÙFV
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 82
Análisis de TráficoSecuencia de paquetes con retransmisión
Packet 351: 00:60:2F:A4:B1:D8 -> 00:04:AC:25:2C:01(Ver pagina 30)
Network: Ethernet
Frame type: 802.3, Frame size: 85
Time: 11h:53m 23.563sec, Diff. time: 0.179
IP, 163.35.119.234 -> 163.35.83.10
Source IP: 163.35.119.234, Destination IP: 163.35.83.10
Version: 04, IP header length: 05 (32 bit words)
Service type: 0: Precedence: 0, Delay: Norm, Throug: Norm, Reliab: Norm
Total IP length: 67
ID: 61B5h
Fragments: No
Time to live: 122
PROTOCOL: [6] TCP
Header checksum: 8DC4 (GOOD)
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 83
Análisis de TráficoSecuencia de paquetes con retransmisión
Packet 351: 00:60:2F:A4:B1:D8 -> 00:04:AC:25:2C:01(Ver pagina 30)
TCP PSH ACK, [1494] -> [1033]
Source port: [1494] Destination port: [1033]
Sequence number: 119589, Acknowledgement: 223916
TCP header length: 05 (32 bit words), Window: 7660
TCP data length: 27, Checksum: 9A89h (GOOD)
Sequence number + TCP data length: 119616
Data
0000 19 00 01 6F 68 DD E3 15 40 78 83 0B 22 B9 05 9B ...ohÝã.@xƒ."¹.›
0010 31 4C 1D 51 3F 2E 17 4A 14 FB 92 1L.Q?..J.û’
RAW PACKET LISTING:
0000 00 04 AC 25 2C 01 00 60 2F A4 B1 D8 08 00 45 00 ..¬%,..`/¤±Ø..E.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 84
Análisis de Tráfico
Análisis de sesión: Latencia y ThroughputLatency Analysis for TCP/Port 1622<->HTTP. Sender: 169.167.146.184 Responder: 163.35.10.42Latency in Milliseconds
Minimum 0
Maximum 44
Average 11.25
Contention 11.25
Packets
Total 38
Send-to-Receive Ratio 01:01.1
Average Send Size 112
Average Receive Size 1058
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 85
Análisis de Tráfico
Análisis de sesión: Latencia y Throughput
Latency Analysis for TCP/Port 1622<->HTTP. Sender: 163.35.10.42 Responder: 169.167.146.184Latency in Milliseconds
Minimum 2
Maximum 133
Average 16.5
Contention 14.5
Packets
Total 38
Send-to-Receive Ratio 1.2:1
Average Send Size 1011
Average Receive Size 114
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 86
Análisis de Tráfico
Análisis de sesión: Latencia y Throughput
Throughput Analysis for TCP/Port 1622<->HTTPfrom 169.167.146.184 to 163.35.10.42Throughput in KBits/Second
Minimum 1.662
Maximum 204.114
Average 4.173
Contention 199.942
Packets
Total 18
Average Size 112
Average Payload 69
Protocol Overhead 38.45%
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 87
Análisis de Tráfico
Análisis de sesión: Latencia y Throughput
Throughput Analysis for TCP/Port 1622<->HTTPfrom 163.35.10.42 to 169.167.146.184Throughput in KBits/Second
Minimum 15.809
Maximum 7,006.80
Average 43.929
Contention 6,962.87
Packets
Total 21
Average Size 1011
Average Payload 972
Protocol Overhead 3.88%
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 88
Análisis de TráficoAnálisis de distribución de paquetes por tamaño
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 89
Análisis de TráficoAnálisis de distribución de paquetes por tamaño
Frame Error SummaryBad FCS 0
Runt/Short 0
Long/Jabber 412
Fragment 0
Collision Fragment Analysis
DLC Source Transmits Retransmits % Retransmitted
0 0 0%
0 0 0%
0 0 0%
0 0 0%
ANÁLISIS DE ERRORES EN LA SESION
No collision fragments to analyze in trace file.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 90
Análisis de TráficoAnálisis de errores en la sesión
Packet 62: 00:60:5C:3D:76:04 -> 00:A4:00:80:D2:9C (Ver pagina 33)
Network: EthernetFrame type: 802.3, Frame size: 1518
Time: 14h:18m 00.374sec, Diff. time: 0.001
IP, 163.35.7.118 -> 169.167.151.206Source IP: 163.35.7.118, Destination IP: 169.167.151.206
Version: 04, IP header length: 05 (32 bit words)
Service type: 0: Precedence: 0, Delay: Norm, Throug: Norm, Reliab: Norm
Total IP length: 1500
ID: EB03h
Fragments: No
Time to live: 127
PROTOCOL: [6] TCP
Header checksum: 1F09 (GOOD)
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 91
Análisis de Tráfico
Packet 62: 00:60:5C:3D:76:04 -> 00:A4:00:80:D2:9C (Ver pagina 33)
Análisis de errores en la sesión
TCP ACK, [1433] -> [1065]
Source port: [1433] Destination port: [1065]
Sequence number: 984815369, Acknowledgement: 14341348
TCP header length: 05 (32 bit words), Window: 7483
TCP data length: 1460, Checksum: C594h (GOOD)
Sequence number + TCP data length: 984816829
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 92
Análisis de TráficoAnálisis de errores en la sesión
Packet 62: 00:60:5C:3D:76:04 -> 00:A4:00:80:D2:9C (Ver pagina 33)
Data
0000 04 01 07 02 00 00 00 00 41 0E 44 65 73 63 75 65 ........A.Descue
0010 6E 74 6F 73 20 31 32 33 06 43 68 65 71 75 65 13 ntos 123.Cheque.
0020 44 65 70 6F 73 69 74 61 72 20 65 6E 20 43 75 65 Depositar en Cue
0030 6E 74 61 00 08 33 8F 00 00 00 00 00 00 04 0D 00 nta..3�.........
0040 00 00 05 50 65 73 6F 73 04 01 AF D6 1C 00 04 01 ...Pesos..¯Ö....
0050 88 84 02 01 4E D1 04 81 92 94 00 0E 44 54 4F 2E ˆ„..NÑ.�’”..DTO.
0060 44 45 20 43 48 45 51 55 45 53 0A 4B 4F 4E 49 53 DE CHEQUES.XXXXX
0070 41 20 53 52 4C 0E 44 65 73 63 75 65 6E 74 6F 73 A SRL.Descuentos
0080 20 31 32 33 06 43 68 65 71 75 65 13 44 65 70 6F 123.Cheque.Depo
0090 73 69 74 61 72 20 65 6E 20 43 75 65 6E 74 61 00 sitar en Cuenta.
Sigue…..
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 93
Análisis de Tráfico
Analizadores de tráfico
Concepto:
Tipos:
Componentes:
Funciones:
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 94
Análisis de Tráfico
Analizadores de tráfico
Concepto:
Un analizador de trafico es una herramienta de software, hardware o mixta que permite al analista de protocolos tomar mediciones y efectuar capturas para su análisis posterior, a fin de llegar a un diagnostico
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 95
Análisis de Tráfico
Analizadores de tráfico
Tipos:• Soluciones basadas en software solamente
• Soluciones basadas en hardware y software, generalmente de tipo propietaria y especializada
Según su capacidad de toma de mediciones en mas de un segmento se dividen en:
• Analizadores distribuidos, que dialogan con probes o agentes de medición
• Analizadores centralizados
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 96
Análisis de Tráfico
Analizadores de tráfico
Componentes:
• Hardware de procesamiento
• Software de análisis
• Interfaces físicas a la red (layer 2) en forma “promiscua” y con diferentes potencialidades de buffering, procesamiento y reporting.
• Probes
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 97
Análisis de Tráfico
Analizadores de tráficoFunciones:
• Básicamente, las funciones se agrupan en:
• Captura y análisis experto post-captura, con capacidades de filtrado pre y post-captura
• Mediciones interactivas
• Mediciones de largo plazo (trendings)
• Alarmas y triggers
• Descubrimiento de direcciones físicas y sus correspondientes direcciones lógicas
• Generación de trafico
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 98
Análisis de TráficoAnalizadores de tráfico
Diferencias entre las soluciones basadas en software y en hardware
Factor Software Hardware/SoftwareCosto Bajo (2000 a 12.000.- USD) Mas de 15.000.- USD
Capacidad de procesamiento Depende de la interfaz de red utilizada Alta
Facilidad de uso Media a alta Baja a media
Capacidad de distribución Si Si
Obsolescencia Capacidad de fácil upgrade Debo reemplazar el hardware/firmware por obsolescencia
Capacidad de Trending Limitada al disco Limitada a la capacidad del equipo
Fallas Susceptible a las fallas del SO subyacente Baja
Contingencia Puede ser reinstalado ante falla de hardware Depende de la reparación de la unidad
Capacidad reporting de RMON/SNMP Si Si
Capacidad de medición en WAN No Si
Capacidad de mediciones de layer 1 No Si
Capacidad de bypass No Si
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 99
Análisis de TráficoAnalizadores de tráfico
Tipos de análisis que pueden generar un analizador de tráfico:
Perfil de segmento/s
• Utilización histórica de ancho de banda (histograma): Expresa el consumo del segmentos en un % de uso del mismo, a lo largo del tiempo, tomando muestreos sucesivos.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 100
Análisis de TráficoAnalizadores de tráfico
Tipos de análisis que pueden generar un analizador de tráfico:
Perfil de segmento/s
Signos vitales (errores + casting): cantidad y tipo de errores sobre tráfico total e incidencia del tráfico de broadcast/unicast sobre el total de tráfico.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 101
Análisis de TráficoAnalizadores de tráfico
Tipos de análisis que pueden generar un analizador de tráfico:
Perfil de segmento/s
• Errores por interfaz:intenta determinar el tipo de error ocurrido y su origen.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 102
Análisis de TráficoAnalizadores de tráfico
Tipos de análisis que pueden generar un analizador de tráfico:
Perfil de segmento/s
•TopTalkers (MAC e IP): Ranking de interfaces mas activas, tanto en generación de tráfico unicast como broadcast/multicast.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 103
Análisis de TráficoAnalizadores de tráfico
Tipos de análisis que pueden generar un analizador de tráfico:
Perfil de segmento/s•Matrices conversacionales: Describe todo par de conversaciones activas en la red con su volumen de intercambio.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 104
Análisis de TráficoAnalizadores de tráfico
Tipos de análisis que pueden generar un analizador de tráfico:
Perfil de segmento/s•Distribución protocolar y subprotocolar: distribución porcentual de protocolos de layer 3 y de layer 4, requerido para identificar redundancia de protocolos instalados o sesiones de recursos compartidos.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 105
Análisis de TráficoAnalizadores de tráficoTipos de análisis que pueden generar un analizador de tráfico:
Perfil de segmento/s•Utilización de interfaz de router de segmento: % de uso de la interfaz del router que atiende al segmento, tanto entrante como saliente, usado para determinar el estado del intercambio de tráfico entre la LAN y la WAN y analizar si el mismo es el causante de la demora.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 106
Análisis de TráficoAnalizadores de tráfico
Tipos de análisis que pueden generar un analizador de tráfico:
Perfil de segmento/s• Eficiencia del segmento: respuesta del segmento a la inserción de paquetes. Da una idea de la contención existente o la capacidad de respuesta de un segmento a la inserción de requerimientos.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 107
Análisis de TráficoAnalizadores de tráfico
Tipos de análisis que pueden generar un analizador de tráfico:
Análisis de ruta/s:
Es la descripción de la o las rutas por donde la transacciones o tráfico de la red circula.En caso de existir rutas redundantes, y que los switches se configuren para realizar balance de carga, se deberá analizar cada una de ellas en particular y correlacionar los cambios a las demoras ocurridas en la o las aplicaciones.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 108
Análisis de Tráfico
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 109
Análisis de TráficoAnalizadores de tráfico
Tipos de análisis que pueden generar un analizador de tráfico:
Análisis de ruta/s:• Carga y rendimiento de dispositivos: Este estudio tiene por objeto encontrar el origen de la perdida de calidad de servicio en demoras ocurridas en el flujo de tráfico, pero originadas en sobrecarga de servidores y/o equipamiento de conectividad
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 110
Análisis de TráficoAnalizadores de tráfico
Tipos de análisis que pueden generar un analizador de tráfico:
Análisis de ruta/s:• Certificación de link:
•ENLACES LOCALES (LAN): El objetivo es conocer la certificación del cableado de UTP, en la red local, que debe adherirse a los parámetros de la categoría correspondiente, fijados por la EIA/TIA en su norma 568, medidos y certificados bajo el boletín TSB 67.
•ENLACES GEOGRAFICOS (WAN): Para los enlaces suministrados por un proveedor de servicios, la medición debe ser realizada por elproveedor, en base a la calidad pactada en el contrato (SLA) o con la presencia de un tercero que utilice un analizador de tráfico para WAN, tal como el Fluke o los equipos de Wandel & Gottleman.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 111
Análisis de TráficoAnalizadores de tráfico
Tipos de análisis que pueden generar un analizador de tráfico:
Análisis de ruta/s:
• Captura de paquetes y análisis experto post-captura: El objetivo de este análisis es encontrar, a partir de la captura de trabas procedentes de un dialogo o conjunto de diálogos (sesiones) cliente-servidor, el origen de las demoras o cancelaciones de servicio.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 112
Análisis de TráficoAnalizadores de tráfico
Tipos de análisis que pueden generar un analizador de tráfico:
Análisis de ruta/s• Triggers & alarms:Usadas para detectar condiciones anómalas que se suceden en forma aleatoria.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 113
Análisis de TráficoAnalizadores de tráfico
Tipos de análisis que pueden generar un analizador de tráfico:
Análisis de ruta/s•Trending general: Este análisis, tomado sobre una base de una semana hábil o mas, permite determinar la utilización, Top talkers y distribución de protocolos, sobre una condición mas estable.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 114
Análisis de Tráfico
Analizadores de tráfico
¿Es importante la placa de RED?
¿Qué caracteristicas debe cumplir una placa de RED?
Veamos ciertos fabricantes… (ver pagina 39)
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 115
Análisis de TráficoRMON
Agentes RMON: Estructuras de información definidas en los dispositivos, tendientes a recopilar información de la red en forma pasiva, no intrusiva y a almacenar esta información en estructuras de memoria interna (registros, tablas, etc.).
Para ello se puede apelar a dos tipos de agentes:
Probes (sondas) por software residentes en los dispositivos (Ej. switches SS1000)
Probes (sondas) por hardware conectadas a cada segmento de la red
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 116
Análisis de TráficoRMON
Grupos rmon 1 (physical / data link layers): Statistics Muestra estadísticas para el segmento de LAN completo, no relacionado con hosts individuales
Ej.: Paquetes totales, errores, broadcasts, distribución de paquetes, etc.
History Muestra estadísticas en base al tiempo para un segmento completo de LAN. No genera tráfico. (tráfico, errores, etc.)
Alarm Monitorea las estadísticas del MIB, dispara acciones si se supera el umbral establecido y no se tomas mas acciones hasta que el valor cae por debajo del valor de recupero
Event Tabla de todos los eventos generados por el agente RMON, que pueden ser levantados o disparados por otros grupos RMON, tales como Alarm y Packet Filter.Cuando un evento se dispara, un numero de acciones tiene lugar (Ej.: envío de un trap, disparar una sesión de captura, etc.)
Host Brinda estadísticas basadas en direcciones MAC, NO direcciones de red (Quien esta conversando?).Ej.: numero de paquetes, bytes, broadcasts, errores por cada estación.
HostTopN Rankea los host mas activos, basado en tráfico o errores.
Matrix Brinda estadísticas basadas en pares de comunicación entre direcciones MACEj.: Numero de paquetes enviados entre la estación A y el server B.
Filter Permite establecer las condiciones contra parámetros existentes en los paquetes, ya sea para capturarlos como para monitorearlos
PacketCapture
Captura paquetes en un buffer interno acordes a los parámetros definidos en el grupo Filter. Es particularmente útil en condiciones de error.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 117
Análisis de TráficoRMON
Grupos rmon 2 (network layer).Protocol Directory Define que protocolos son capaces de ser reconocidos y contabilizados por RMON2
Protocol Distribution Contabiliza el numero de paquetes y bytes que han sido enviados por los protocolos definidos en el grupo anterior
Address Translation Map Provee un mapa entre las direcciones de capa 3 (red) y las direcciones físicas MAC de capa 2 (enlace)
Network Layer Host Lista las direcciones de red y asocia los paquetes y bytes de entrada y salida de cada uno.
Network Layer Matrix Mantiene contabilizaciones de bytes y paquetes para cada conversación detectada por los agentes
Application Layer Host Mantiene estadísticas respecto de las aplicaciones derivadas de la tabla de Network Layer
Application Layer Matrix Mantiene contadores de paquetes y bytes para cada conversaciones de layer de red basada por protocolo.
User Defined History Periódicamente muestrea objetos MIB definidos por el usuario
Probe Configuration Objetos de configuración de dispositivos (varios)
RMON Conformity Requerimientos de cumplimiento con la MIB de RMON2
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 118
Análisis de Tráfico
SNMP
SNMP V1 y V2 (RFC 1157)
MIB I y II (RFC 1213)
SMI (RFC 1211)
ASN.1 (May87a)
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 119
Análisis de TráficoSNMP
SNMP V1 y V2 (RFC 1157): Motor de comandos de gestión (PDUs) vía servicio de transporte IP y control no confiable UDP, basados en una consola (NMS) o cliente que debe polear a los agentes (servidores) en los dispositivos inteligentes acerca de estado, variaciones de umbrales o cambio de estado de alguno de los objetos definidos en el estándar MIB.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 120
Análisis de TráficoSNMP
MIB I y II (RFC 1213): Base de definiciones de objetos administrables, formada por categorías (ip, systems, etc.) y variables (ipRoutingTable) que permiten saber a la consola NMS que es lo que puede administrar de un determinado agente.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 121
Análisis de TráficoSNMP
SMI (RFC 1211): Conjunto de reglas o lenguaje en que se debe estructurar la MIB.
ASN.1 (May87a): Lenguaje para codificación para su transmisión en la red (BER) e identificación de objetos en forma unívoca, basados en la definición de la ISO, denominada “object identifier”Ej.:iso.org.dod.internet.mgmt.mib.ip.ipRoutingTable ...> esta identificada por... > 1.3.6.1.2.1.4.20
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 122
Análisis de Tráfico
SNMP: EJEMPLOS DE UNA SECCION DE MIB rfc1213 ESTANDAR.
EJEMPLOS DE UNA SECCION DE MIB rfc1213 ESTANDARRFC1213-MIB DEFINITIONS ::= BEGINIMPORTS
mgmt, NetworkAddress, IpAddress, Counter, Gauge,TimeTicks
FROM RFC1155-SMIOBJECT-TYPE
FROM RFC-1212;-- This MIB module uses the extended OBJECT-TYPE macro as-- defined in [14];-- MIB-II (same prefix as MIB-I)mib-2 OBJECT IDENTIFIER ::= { mgmt 1 }-- textual conventionsDisplayString ::=
OCTET STRING-- This data type is used to model textual information taken-- from the NVT ASCII character set. By convention, objects-- with this syntax are declared as having
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 123
Análisis de Tráfico….
-- SIZE (0..255)PhysAddress ::=
OCTET STRING-- This data type is used to model media addresses. For many-- types of media, this will be in a binary representation.-- For example, an ethernet address would be represented as-- a string of 6 octets.-- groups in MIB-IIsystem OBJECT IDENTIFIER ::= { mib-2 1 }interfaces OBJECT IDENTIFIER ::= { mib-2 2 }at OBJECT IDENTIFIER ::= { mib-2 3 }ip OBJECT IDENTIFIER ::= { mib-2 4 }icmp OBJECT IDENTIFIER ::= { mib-2 5 }tcp OBJECT IDENTIFIER ::= { mib-2 6 }udp OBJECT IDENTIFIER ::= { mib-2 7 }egp OBJECT IDENTIFIER ::= { mib-2 8 }
….
SNMP: EJEMPLOS DE UNA SECCION DE MIB rfc1213 ESTANDAR.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 124
Análisis de Tráfico-- historical (some say hysterical)
-- cmot OBJECT IDENTIFIER ::= { mib-2 9 }transmission OBJECT IDENTIFIER ::= { mib-2 10 }snmp OBJECT IDENTIFIER ::= { mib-2 11 }
--AO - SNMPv2-SMI (RFC1902)org OBJECT IDENTIFIER ::= { iso 3 }dod OBJECT IDENTIFIER ::= { org 6 }internet OBJECT IDENTIFIER ::= { dod 1 }directory OBJECT IDENTIFIER ::= { internet 1 }mgmt OBJECT IDENTIFIER ::= { internet 2 }mib-2 OBJECT IDENTIFIER ::= { mgmt 1 }transmission OBJECT IDENTIFIER ::= { mib-2 10 }experimental OBJECT IDENTIFIER ::= { internet 3 }private OBJECT IDENTIFIER ::= { internet 4 }enterprises OBJECT IDENTIFIER ::= { private 1 }security OBJECT IDENTIFIER ::= { internet 5 }snmpV2 OBJECT IDENTIFIER ::= { internet 6 }-- transport domainssnmpDomains OBJECT IDENTIFIER ::= { snmpV2 1 }-- transport proxiessnmpProxys OBJECT IDENTIFIER ::= { snmpV2 2 }-- module identitiessnmpModules OBJECT IDENTIFIER ::= { snmpV2 3 }
SNMP: EJEMPLOS DE UNA SECCION DE MIB rfc1213 ESTANDAR.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 125
Análisis de Tráficoc2900PortVisualIndicator OBJECT-TYPE
SYNTAX INTEGER {notused(1),black(2),amber(3),green(4)}
ACCESS read-onlySTATUS mandatoryDESCRIPTION
"This object is used to indicate the current color ofa LED. If a LED is flashing, the value of this object willrepresent the color of the LED at that instant in time."
::= { c2900PortEntry 24 }c2900PortAddressViolationAction OBJECT-TYPE
SYNTAX INTEGER {doNothing(1),disablePort(2),sendNotify(3),disablePortAndNotify(4)}
SNMP: EJEMPLOS DE UNA SECCION DE MIB DE DISPOSITIVO: SWITCH CISCO CATALYST 2900.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 126
Análisis de TráficoACCESS read-write
STATUS mandatoryDESCRIPTION
"Indicates what action to take when an address violation(an address mismatch or duplication) occurs on asecure port. The default action is to do nothing.
doNothing(1) : do nothingdisablePort(2) : disable port; the port can only be reenabled
by an explicit management action.sendNotify(3) : generate address violation notification.disablePortAndNotify(4): disable port and send notification.
Default value: doNothing(1)."DEFVAL { doNothing }::= { c2900PortEntry 26 }
SNMP: EJEMPLOS DE UNA SECCION DE MIB DE DISPOSITIVO: SWITCH CISCO CATALYST 2900.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 127
Análisis de Tráficoc2900PortBroadcastStormAlarm OBJECT-TYPE
SYNTAX TruthValue-- Rsyntax INTEGER {-- true(1),-- false(2)-- }
ACCESS read-writeSTATUS mandatoryDESCRIPTION
"When set to true(1), the switch will generatea broadcastStorm notification upon detecting a port isreceiving broadcast packets at a rate higher thanor equal to the specified broadcast threshold.When set to false(2), no such trap will be issued.Default value: false(2).c2900PortBroadcastStormAlarm is defined for each port."
SNMP: EJEMPLOS DE UNA SECCION DE MIB DE DISPOSITIVO: SWITCH CISCO CATALYST 2900.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 128
Análisis de Tráfico
Método de trabajo
DETECCION Y PRECISION DEL SINTOMA
RECOPILAR INFORMACION PRELIMINAR
FASE 1ENCUADRE DE OBJETIVOSINFORMACION ADICIONAL
FORMULACION DE UNA PRIMERA HIPOTESIS DEL PROBLEMA
FASE 2 ESTRATEGIA DE MEDICION
FASE 3INSTALACION DE LOS EQUIPOS, SEGUIMIENTO Y RECOPILACION DE LA INFORMACION
FASE 4ANALISIS DE LOS DATOS Y DIAGNOSTICO
PUBLICACION DE INFORMEACCIONES CORRECTIVAS
METODO DE PASOS PARA ANALISIS DE TRAFICO Y DIAGNOSTICO
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 129
Análisis de TráficoMétodo de trabajo
Fase 1: encuadre de objetivos y obtención de información básica
1. A donde se desea llegar?monitoreo?, Evaluación?, Diagnóstico de problema?
2. Cual es el síntoma y como se manifiesta?como se manifiesta?, Cuando se manifiesta?, Donde?
3. En cuanto tiempo se desea llegar al diagnóstico (marco temporal del estudio)?
4. Como esta diseñada la infraestructura física y lógica?
5. Que caracteristicas tiene la tecnología que la compone?
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 130
Diagnosticoglobal Diagnostico
especifico
MonitoreoTrafico
DispositivosAmbos
Analisis deaplicacion y surelacion con la
red
Otro tipo deestudio
especifico(Ej. tunning, etc.)
LANPropuestas de
mejora de calidadAuditorias
WANPropuestas de
mejora de calidadAuditorias
LANAuditoria y/o
mejorassectorizadas
WANAuditorias y/o
mejorassectorizadas
LANTotal o Parcial
WANTotal o Parcial
Certificaciones decableado
BaseLining
Modelizacion y/osimulacion
Discovery y/odocumentacion
Tunning deprotocolos
Diagnostico deproblema deaplicacion
RTAResponse Time
Analysis
Internet
Intranets(Wan privada)
Internet
Intranets(Wan privada)
LAN+WANTotal o Parcial
ENCUADRE DEOBJETIVOS
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 131
Análisis de TráficoMétodo de trabajo
Fase 2: estrategia de medición
1. Que tipo de análisis se solicitara ?perfil de segmento?, Análisis de ruta?, Carga y rendimiento de
dispositivos?, Certificación de link?, Captura de paquetes y análisis experto post-captura?, Triggers & alarms?, Trending general?
2. Que instrumental o software se utilizara ?tdrs?, Probes de LAN distribuidos? Cuantos?, Analizador de tráfico
simple?, Probes de WAN?, Software de monitoreo y descubrimiento de red / ruta?, Software de reporting de SNMP?
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 132
Análisis de TráficoMétodo de trabajo
Fase 2: estrategia de medición
3. Cuanto tiempo estarán midiendo ?medición puntual?, Trending?
4. Donde se colocaran los instrumentos ?en el puerto del cliente, del servidor o en ambos simultáneamente?, En
el puerto del servidor?, En el puerto del troncal?, En la entrada o salida del router?
5. Se usaran fuentes adicionales y/o cruzadas de información ?estadísticas entregadas por los sistemas operativos de los routers,
switches o servidores, software de gestión de los dispositivos
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 133
Análisis de TráficoMétodo de trabajo
Fase 3: instalación, seguimiento y recopilación de mediciones.
1. Quien será el interlocutor técnico dentro de la organización ?
entrega de direcciones Ip y/o mibs de dispositivos.
acceso a los sistemas operativos del servidor/routers.
establecimiento de port-mirroring en switches.
control de las sondas y su correcto funcionamiento.
coordinación con el sector usuario.
coordinación de remoción de las sondas.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 134
Análisis de TráficoMétodo de trabajo
Fase 4 – análisis de resultados, diagnóstico y acciones correctivas.
1. Cual es el motivo exacto o supuesto del problema ?Puede precisarse con seguridad?, Hay pruebas que surgen de los
estudios precedentes?, Se infiere como posible en base a las mediciones obtenidas?
2. Por que se produce?Cual es el origen del problema?, Puede prevenirse o evitarse?
3. Que se debe realizar para evitarlo?
Que acciones correctivas deben ser tomadas?, Que mediciones posteriores deben realizarse para corroborar la corrección del problema?, Evaluación costo-beneficio.
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 135
Frame RelayX.25
Punto a PuntoVelocidad
Sucursal 1Localidad
IP
Sucursal 2Localidad
IP
Administracion CentralLocalidad
IP
Veloc.
Veloc.
Veloc.
Sucursal 2Localidad
IP
DIAGRAMA DE RED GEOGRAFICAORGANIZACION
FECHA
Satellite dish
Satellite
Radio tower
Sucursal 2Localidad
IP
Sucursal 2Localidad
IP
Radio tower
Enlace de radioTecnologia y velocidad
Satellite dish
Router
Router
Router central
Router
Interfaz LANIP / Mask=MAC =
Interfaz WANIP / mask=
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 136
Switch central
Servidor xx
Hub/switch piso 12
Hub/switch piso 11
Hub/switch piso 10
Hub
Tipode
Link
Hub
Hub
Tipo de linkUTP / Fibra
Flujo de la informacion
Servidor + Router
MAC - IP
MAC - IP
MAC - IP
Hub Piso 1
Hub Piso 2
Hub Piso 3
DIAGRAMA DE FISICO DE LA RED LOCALORGANIZACION:
FECHA:
MAC - IP
Estacion ClienteIP
MAC
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 137
BA
CK
BO
NE
- E
stan
dar
Dominio de colision # 3Redes logicas definidas: IP - IPX - etc
Dominio de colision # 3Redes logicas definidas: IP - IPX - etc
Dominio de colision # 2Redes logicas definidas: IP - IPX - etc
Dominio de colision # 1Redes logicas definidas: IP - IPX - etc
IBM Compatible
Hub piso
Hub piso
Switch
VLAN #1 VLAN #2
VLAN #3
DIAGRAMA LOGICO DE LA RED LOCALORGANIZACION:
FECHA:
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 138
HUB / Switch (Marca - Modelo - Velocidad - version OS - IP address - Observaciones)
1 72 3 4 5 6 8 9 10 11 12 13 14
Router (Marca - Modelo - Version IOS - Usos)
1 2
Puertos LAN
3 V.35 V.35 RS232 RS232 RS232 HSSI G.703
MA
C a
dd
ress
IP a
dd
ress
Uso
MA
C a
dd
ress
IP a
dd
ress
Uso
MA
C a
dd
ress
IP a
dd
ress
Uso
IP a
dd
ress
Uso
IP a
dd
ress
Uso
IP a
dd
ress
Uso
IP a
dd
ress
Uso
IP a
dd
ress
Uso
IP a
dd
ress
Uso
IP a
dd
ress
Uso
Bridge (marca - modelo - IP)
Lan port
Radio tower
Bridge (marca - modelo - IP)
Lan port
Radio tower
2Mbps
MA
C a
dd
ress
IP a
dd
ress
Uso
MA
C a
dd
ress
IP a
dd
ress
Uso
MA
C a
dd
ress
IP a
dd
ress
Uso
MA
C a
dd
ress
IP a
dd
ress
Uso
MA
C a
dd
ress
IP a
dd
ress
Uso
MA
C a
dd
ress
IP a
dd
ress
Uso
MA
C a
dd
ress
IP a
dd
ress
Uso
MA
C a
dd
ress
IP a
dd
ress
Uso
MA
C a
dd
ress
IP a
dd
ress
Uso
MA
C a
dd
ress
IP a
dd
ress
Uso
MA
C a
dd
ress
IP a
dd
ress
Uso
MA
C a
dd
ress
IP a
dd
ress
Uso
MA
C a
dd
ress
IP a
dd
ress
Uso
MA
C a
dd
ress
IP a
dd
ress
Uso
CONFIGURACION Y USO DE LOS PRINCIPALES EQUIPOS DE CONECTIVIDAD
Puertos WAN
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 139
CONFIGURACION DE VLANS Y SWITCHING DE LAYER 3
VLANID
Nombre Sector de la empresa Switchunit
PortsSubnet
AsignadaTag
Method?
Router address
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 140
Análisis de TráficoKIT DE ANÁLISIS DE TRÁFICO
Notebook y/o desktoppatchcords derechos y cruzados cortospatchcords derechos y cruzados largoshubs 10/100mbps autosensezapatillas, alargue y adaptadores para tomas de tensión en todas las normasCD con utilitarios y software de análisis de tráficoempalmes hembra- hembracable null modemdestornillador y perilleroetiquetas y precintosblock para notas y birome / marcadorcutterFormularios de relevamiento y anotadoresSilla y mesa plegable, para ser utilizada en cuartos de cableado
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 141
Análisis de Tráfico
http://www…aguilaryasociados.com.arnetworkinstruments.compacketeer.compodbooks.compacket-level.comnetworkmanagementguide.comshomiti.com
nai.com/asp_set/buy_try/try/products_evals.aspIpswitch.comnetcomsystems.comnet-reality.com/bcr_tuneupadc.com/access/splbsnmss.comvisualnetworks.com/bcrintrak.comaggroup.com/demosixia.comagilent.com
SITES EN INTERNET PARA OBTENER DE INFORMACION ON LINE
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 142
Análisis de Tráfico
Bibliografia relacionada con el análisis de tráfico y los protocolos
Novell guide to netware lan analisys
Laura Chapell
Novell Press
TCP/IP, Volumen 1
Douglas Commer
Editorial Prentice Hall
SNMP V2 y RMON
Stallings
Editorial Prentice Hall
Curso de Análisis de TraficoCurso de Análisis de Traficowww.netkonline.comwww.netkonline.com
Pagina: 143
Análisis de Tráfico
FIN