Содержание к диссертации
Введение
1. Обзор и анализ средств и методов мониторинга и диагностирования компьютерных сетей 10
1.1 Принципы построения компьютерных сетей масштаба предприятия 10
1.2 Мониторинг и управление современными сетями. Выбор сетевых показателей 15
1.3 Обзор и классификация средств наблюдения за сегыо и ее диагностики 22
1.4 Анализ существующих методов диагностирования сетей и моделирования трафика 27
1.5 Постановка цели и задач исследования 38
2. Разработка математической модели прогнозировании состояния корпоративной компьютерной сети 39
2.1 Предлагаемая схема активного мониторинга сети 39
2.2 Описание наблюдаемых переменных па основе теории случайных процессов 45
2.3 Решение задачи квантования по уровню наблюдаемых переменных 52
2.4 Нахождение значимой глубины памяти наблюдаемого процесса 56
2.5 Построение вероятностной модели прогнозирования 59
2.6 Рассмотрение возможных областей значений наблюдаемых переменных 66
2.7 Выводы 70
3. Создание программного обеспечения мониторинга и прогнозирования состояния компьютерной сети 72
3.1 Взаимосвязь массивов.,ассоциированных с наблюдаемой переменной 72
3.2 Разработка структуры реализуемого программного обеспечения на основе модели прогнозирования состояния вычислительной сети 77
3.3 Реализация произвольной периодизации 82
3.4 Реализация адаптивного прогнозирования S9
3.5 Детектирование потенциально опасных отклонений 97
3.6 Вывод 102
4. Мониторинг и прогнозирование сети на основе разработанной модели 104
4.1 Возможное применение разработанного обеспечения 104
4.2 Описание корпоративной сети ОАО «НЛМК» 106
4.3 Применение разработанных методов и средств для мониторинга и прогнозирования состояния корпоративной сети 110
4.4 Сравнительный анализ результатов вероятностного прошозировапия с использованием разработанной и марковской моделей 125
4.5 Выводы 135
Заключение 136
Литература 138
Приложения 148
- Мониторинг и управление современными сетями. Выбор сетевых показателей
- Описание наблюдаемых переменных па основе теории случайных процессов
- Разработка структуры реализуемого программного обеспечения на основе модели прогнозирования состояния вычислительной сети
- Сравнительный анализ результатов вероятностного прошозировапия с использованием разработанной и марковской моделей
Введение к работе
Актуальность работы. Высокоскоростные корпоративные компьютерные сети играют в настоящее время все более важную роль. Они стали важной и неотъемлемой частью инфрасгруктуры и технологических процессов большинства предприятий и организаций. Сбои и отказы в компьютерных сетях приводят к искажению, необратимым потерям или временным задержкам информации, приводящим, в свою очередь, к нарушению технологических процессов, процессов управления предприятием, значительным финансовым потерям.
Современные компьютерные сети отличаются сложностью физической и логической топологии и организации- Кардинальные изменения в компьютерных сетях имеют место в связи с увеличением требований, предъявляемых к ним, способностью обеспечить выполнение новых, более емких приложений и компонентов. Концепция взаимодействия открытых систем (OSI) позволяет различным сетевым компонентам и приложениям разных производителей взаимодействовать друг с другом. С одной стороны, гетерогенность дает гибкость в удовлетворении разнообразных запросов ттолі-зователей, с другой, -она увеличивает риск возникновения сбоев и ошибок.
Ключевой составляющей обеспечения эффективного функционирования компьютерных сетей, сохранения постоянной сетевой готовности и высокой надежности является наличие систем мониторинга и управления.
В свою очередь, одной из основных целей мониторинга является оперативное обнаружение аномалий в работе сети, влияющих на потоки трафика, таких как: отказы, изменения конфигурации, перегрузки и запрещенные воздействия.
Распознавание и идентификация аномалий зачастую базируются на методах, представляющих собой практический опыт, полученный специалистом при администрировании сети (так называемых методах ad hoc). Существуют различные коммерческие и свободно распространяемые инструменты, однако
они требуют задания самим пользователем правил или пороговых значений для срабатывания предупреждающих сигналов. Можно сказать, что подавляющее число, современных систем не могут гарантирован. обнаружение и, тем более, прогнозирование аномалий, что обусловлено несовершенством заложенных в них методов и алгоритмов. Следовательно, любой сбой, отказ, перегрузка для таких сетей всегда является неожиданным и непредсказуемым, что существенно усложняет задачу ликвидации последствий этих сбоев и делает невозможной задачу предотвращения критических ситуаций.
Таким образом, разработка эффективных методов и средств прогнозирования состояний компьютерной сети, разработка специального программного обеспечения мониторинга корпоративной сети для выявления аномалий является весьма актуальной задачей,
Сетевые аномалии и свойства сетевого трафика стали интенсивно изучаться с начала 1990-х гг.. Примеры анализа типовых режимов трафика могут быть найдены и работах [78], [101]. Более детальные характеристики и модели сетевого трафика включают исследование свойств самоподобия [23], [102], [120]. Различные методы анализа были использованы в этих и других исследованиях, включая временные ряды и Вейвлет-анализ [70].
Примерами работ в направлении обнаружении аномалий могут быть следующие труды: [90] - данная работа сфокусирована па изоляции сбоев в сетях, [85] - показывает, что сбои могут быть обнаружены по статистическим отклонениям от регулярно наблюдаемого состояния сети (профиля, шаблона), [75] - пороговые значения применяются к моделям временных рядов для определения отклоняющегося поведения сети. Эти исследования сосредоточены на том, как наиболее точно определить отклонение от нормального режима работы сети,
Аналогичный подход применен и в данной работе. Эффективность системы обнаружения аномалий зависит от точности и соответствия выбранного математического аппарата и методов, определяющего нормальный профиль состояния сети и детектирующего отклонения от него.
Цель работы: Целью диссертационной работы является разработка прикладного математического и программного обеспечения мониторинга и прогнозирования состояния корпоративной компьютерной сети для выявления аномалий в ее поведении на основе теоретического и экспериментального исследования в области программных средств организации и управления обработкой данных мониторинга компьютерных сетей.
Для достижения указанной цели были поставлены и решены следующие задачи:
Анализ существующих методов и средств мониторинга компьютерных сетей.
Разработка математической модели прогнозирования состояния корпоративной компьютерной сети, позволяющей учесть оптимальную глубину памяти и не стационарность наблюдаемого процесса.
Создание, на основе этой модели, алгоритма детектирования потенциально опасных отклонений поведения наблюдаемых сетевьгх показателей от типового профиля их поведения.
Создание структуры специального программного обеспечения мониторинга компьютерной сети, обеспечивающего задание типового профиля поведения.
Экспериментальная проверка разработанных средств на данных мониторинга корпоративной сети и проведение сравнительного анализа с другими моделями.
Методы исследовании. В работе использованы методы теории вероятностей, математической статистики, анализа временных рядов, теории марковских процессов, объек гн о-ориентиров энного программирования.
Научная новизна. В диссертационной работе получены следующие результаты, характеризующиеся научной новизной:
- метод активного мониторинга корпоративной компьютерной сети, отличающийся представлением наблюдаемых сетевых показателей как совокупностей реализаций случайных процессов и позволяющий применить аппарат
теории вероятностей, математической статистики и анализа временных рядов для их прогнозирования;
алгоритм оценки наличия памяти и старения данных о наблюдаемом процессе, позволяющий определить оптимальную значимую глубину обращения в прошлое;
вероятностная модель прогнозирования состояния компьютерной сети, позволяющая учесть оптимальную глубину памяти и не стационарность наблюдаемого процесса и отличающаяся использованием массивов исходных авто коррелированных данных и методов решения задач классификации и снижения размерности:
алгоритм детектирования потенциально опасных отклонений от типового профиля поведения наблюдаемых переменных, отличающийся использованием разработанной вероятностной модели прогнозирования и позволяющий охватить все возможные состояния наблюдаемых переменных;
структура специального программного обеспечения мониторинга компьютерной сети» обеспечивающего задание профиля типового поведения, отличающаяся возможностью периодизации любой наблюдаемой сетевой переменной,
Практическая значимость заключается в повышении эффективности математического и программного обеспечения мониторинга компьютерных сетей предприятий. В рамках диссертационного исследования разработано программное обеспечение мониторинга и построении типового профиля поведения компьютерной сети, позволяющее осуществлять наблюдение показателей информационных управляющих баз (МГВ) управляемых сетевых устройств и производить гибкую, интересующую сетевого специалиста периодизацию собранных данных, которая позволяет получить основу типового профиля поведения сети,
Реализация и внедрение результатов работы. Разработанное программное обеспечение внедрено в Дирекции по информационным технологиям ОАО «Новолипецкий металлургический комбинат». Данное программное
обеспечение, предназначенное для наблюдения МТ В-переменных и построения профиля их типового поведения при штатном функционировании корпоративной корпоративной сети, используется в качестве средства мониторинга,
Результаты диссертационной работы используются в учебном процессе Липецкого филиала Международного института компьютерных технологий при подготовке инженеров по специальности 230101 «Вычислительные машины, комплексы, системы и сети».
Апробация работы. Материалы работы, ее основные теоретические и практические результаты докладывались и обсуждались на международных, всероссийских и региональных конференциях, в том числе на ХІ-ой Международной открытой научной конференции «Современные проблемы информатизации в информационных системах и телекоммуникациях» (Воронеж, 2006), на Международной научной конференции «Компьютерные технологии в технике и экономике» (Воронеж, 2007), на Всероссийской молодежной конференции по проблемам управления (Москва, 2008), ііа Международной научной конференции «Информационные технологии и системы» (Геленджик, 2008), на V-ой Всероссийской школе-семинаре молодых ученых «Управление большими системами» (Липецк, 2008).
Публикации. По материалам диссертации опубликовано 11 научных работ, в том числе 1 — в издании, рекомендованном ВАК РФ. В работах, опубликованных в соавторстве и приведенных в конце автореферата, лично соискателю принадлежат: [421 ~~ алгоритм периодизации данных мониторинга, [43] - метод активного мониторинга вычислительной сети и вероятностная модель прогнозиро ваі шя.
Структура и объем работы. Диссертация состоит из введения, четырех глав, заключения, списка литературы из 121 наименования, 7 приложений, Основная часть работы изложена на 147 страницах, содержит 38 рисунков и 20 таблиц.
Во введении обосновывается актуальность темы диссертационной работы, формулируется цель, задачи исследования, научная новизна и прак-
тическая значимость полученных результатов, дается краткое содержание диссертации по главам,
В первой главе диссертации рассмотрены и проанализированы существующие методы и средства мониторинга компьютерных сетей.
Во второй главе разрабатывается математическое обеспечение активного мониторинга корпоративной компьютерной сети, устраняющее недостатки применяющихся моделей прогнозирования, в частности, построена вероятностная модель прогнозирования, позволяющая учесть оптимальную глубину ламяти и не стационарность наблюдаемого процесса. Предложена схема построения типового профиля «нормального» поведения сети, основанная на проведении гибкой периодизации исходных статистических данных. Основанием возможности применения периодизации является идея рандомизированного моделирования.
В третьей главе представлена программная реализация разработанного математического обеспечения активного мониторинга компьютерной сети, разработан алгоритм детектирования потенциально опасных отклонений в се поведении, представлена взаимосвязь массивов, ассоциированных с наблюдаемой сетевой переменной.
Особое внимание уделено реализации инструментария автоматизированной периодизации и механизма прогнозирования с использованием созданной модели.
В четвертой главе сформулированы обобщенные правила использования разработанного программного обеспечения, проведена проверка разработанных средств на данных по интенсивности трафика серверной фермы ОАО «HJ1MK», произведен сравнительный анализ разработанных средств с методом обнаружения, основанном на использовании марковской модели, показана большая чувствительность и адекватность созданного обеспечения.
В заключении приведены основные результаты диссертационной работы, указаны перспективные направления дальнейших исследований.
Мониторинг и управление современными сетями. Выбор сетевых показателей
База данных МТВ-И не дает детальной статистики по характерным ошибкам кадров Ethernet, что впоследствии было реализовано в новом стандарте RMON МШ [118], который специально ориентирован на сбор детальной статистики по протоколу Ethernet. Основной элемент любой системы управления сетью — схема взаимодействия "мспеджер-агент-управляемый объект". Агент наполняет МІВ управляемого объекта текущими значениями его характеристик, а менеджер извлекает данные из MJB. Таким образом, агент является посредішком между управляемым объектом и менеджером, располагающемуся, обычно, на отдельной станции сетевого управления (NMS - Network Management Station) (рис. 1.3). Агент поставляет менеджеру только те данные» которые предусматриваются МІВ- Узнать МШ, поддерживаемые устройством, можно из его документации. SNMP, как непосредственно сетевой протокол, предоставляет только набор команд для работы с переменными М1В. Этот набор включает операции, представленные в таблице 1.1. Для именования переменных базы МТБ и однозначного определения их форматов используется дополнительная спецификация, называемая SMI — Structure of Management Information. При описании переменных МІВ и форматов протокола SNMP спецификация SMI опирается на формальный язык ASN.1, принятый ISO в качестве нотации для описания терминов коммуникационных протоколов. Имена переменных МІВ могут быть записаны как в символьном, так и в числовом форматах. Символьный формат используется для представления переменных в текстовых документах и на экране дисплея, а числовые имена -— в сообщениях протокола SNMP. Составное числовое имя объекта SNMP МІВ соответствует полному имени этого объекта в дереве регистрации объектов стандартизации ISO (объекты баз МІВ SNMP зарегистрированы во всемирном дереве регистрации стандартов ISO).
Пространство имен объектов TSO имеет древовидную иерархическую структуру. От корня этого дерева отходят три ветви, соответствующие стандартам, контролируемым ISO, ITU и совместно ISOITU. В свою очередь, организация ISO создала ветвь для стандартов, создаваемых национальными и международными организациями (ветвь org). Стандарты Internet создавались под эгидой Министерства обороны США (Departament of Defence, DoD), поэтому стандарты МЮ попали в поддерево dod-internet, а далее - в группу стандартов управления сетью — ветвь mgmt, Объекты любых стандартов, создаваемых под эгидой ISO, однозначно идентифицируются составными символьными именами, начинающимися от корня этого дерева, В сообщениях протоколов применяются однозначно соответствующие им составные числовые имена (OID). Каждая ветвь дерева имен объектов нумеруется в дереве целыми числами слева направо, начиная с единицы, и эти числа и заменяют символьные имена. Поэтому полное символьное имя объекта МІВ имеет вид; is о,org hdod. internet. mgmt,mib, а полное числовое имя: 1.3,6.1.2.1, Как видно, базы МІВ в сочетании с протоколом SNMP представляют собой мощную основу для мониторинга и управления сетями, позволяющую оперировать параметрами сетевых устройств на различных, уровнях модели OS1/ISO, Именно значения МШ-переменных, получаемых непосредственно с наблюдаемых сетевых устройств с помощью протокола SNMP, предлагается использовать в данной работе для прогнозирования состояния компьютерной сети с целью обнаружения аномальных состояний. Для выявления сетевых аномалий исследователи пытаются использовать различные параметры, извлекаемые из сетевого трафика: абсолютные величины показателей интенсивности во времени, отдельные значения полей сетевых пакетов, значения счетчиков, хранящихся в базах МІВ. Есть также попытки выделения из трафика логических образований - сетевых потоков. Согласно (52], потоком данных (dataflow, data stream) называют непрерывную последовательность единиц данных (байтов, кадров5 ячеек), объединенных набором общих признаков, выделяющих его из общего сетевого трафика. Например, потоком может быть множество сетевых пакетов, имеющих одинаковые ЇР-адреса и порты отправителя и получателя пакетов на некотором промежутке времени. Рассмотрению идей исследования характери-стик аномалий сетевых потоков посвящена работа [73].
В ней ставится задача анализа сетевых потоков, получаемых с сетевого оборудования Cisco посредством механизма Net flow. Интересные результаты исследований, направленных на анализ распределений значений полей сетевых пакетов Б реальной сети, приведены в работе [76], Накопленный за несколько месяцев реальный сетевой трафик университета подвергся статистической обработке. Были собраны и проанализированы заголовки IP, TCP и UDP пакетов па предмет выявления отклонений от существующих стандартов, описанных в документах RFC. Основной вывод, который можно сделать из данной работы заключается в объективно высокой возможности появления пакетов с аномальными значениями отдельных сетевых пакетов, что само по себе является сетевой аномалией и может указывать на наличие других проблем. Преимущества использования МІВ-переменньтх заключаются в следующем: — охват различных уровней сетевого взаимодействия; — считывание данных непосредственно с наблюдаемого сетевого устройства; — отсутствие необходимости захвата {sniffing) и анализа трафика, что необходимо в случае использования данных, извлекаемых из пакетов, и что довольно проблематично в случае мониторинга высокоскоростных магистралей. Примерами работ, использующих значения МТБ-переменных, могут служить [75, 77, 87, 116-117].
Описание наблюдаемых переменных па основе теории случайных процессов
Таким образом, после вычисления границ доверительного интервала на каждом шаге и проверки условий (2.54)-(2.57) для каждого шага может быть определен соответствующий вариант взаимного расположения граничных значений.
Из рис. 2.14а - 2.14г видно, что каждое значение наблюдаемой переменной оказывается в одной из трех возможных областей. Условия нахождения в области 1 одинаковы для всех вариантов — это условия выхода значения наблюдаемой переменной за границы доверительного интервала и интервала квантования. Условия нахождения в областях 2 и 3 индивидуальны для каждого из вариантов взаимного расположения граничных значений. Так, для четвертого варианта область 2 отсутствует. Область 3 для всех вариантов является областью определенных состояний, т.е., она всегда находится внутри квантуемого интервала [хиижн; хаерХ11]. Кроме того, состояния определены: 1) для варианта 1 — в области 3; 2) для варианта 2 — в области 3 и верхней части зоны 1 в интервале 3) для варианта 3 - в области 3 и нижней части зоны 1 в интервале 4) для варианта 4 — в области 3, верхней части зоны 1 в интервале [xdoa.ecpx(j)\xcepxH] и нижней части зоны 1 в интервале [хМ1ЛСН\хдовшМ1ЖЦ)\\
Запишем условия принадлежности значений наблюдаемой величины каждой из возможных областей для каждого из возможных вариантов в виде таблицы 2.7.
Следует заметить, что превышение верхних границ доверительных ип-тервалов ХдолаерМ) наД верхней границей интервала квантования хверхи (варианты 1 и 3) возможно в случае, когда верхняя граница квантуемого интервала отличается от предельного значения наблюдаемой величины, т.е., когда она меньше его (см. разделы 2.2, 2.3):
Также следует обратить внимание на положение нижних верхних границ доверительных интервалов х шн-гО") ЮД нижней границей интервала квантования Хинжи (варианты 2 и 4). Данные варианты возможны в случае ручного задания нижнего значения наблюдаемой величины, отличной от нулевого. Нулевое значение в качестве нижней границы квантуемого интервала является естественным, т.к., наблюдаемые переменные представляют собой значения счетчиков сетевых устройств (см. разделы 2.2, 2,3). Но задание отличной от нуля ниж j ней іраницьі квантуемого интервала вполне оправдано в случае довольно высоких значений на всех шагах во всех реализациях. Бели есть необходимость ручного задания данной границы» ее значение можно оценить визуально на спериодизированных данных.
Проведенное рассмотрение возможных областей значений наблюдаемых переменных лежит в основе алгоритма детектирования потенциально опасных отклонений от типового профиля поведения вычислительной сети, представленного в главе 3,
Во второй главе работы были решены следующие задачи: предложение метода акти иного мониторинга корпоративной компьютерной сети, отличающегося представлением наблюдаемых сетевых показателей, как совокупностей реализаций случайных величин, и позволяющего применить аппарат теории вероятностей, математической статистики и анализа временных рядов для их про гнозиров алия; разработка алгоритма оптимального квантования по уровню наблюдаемых переменных, позволяющего осуществить задание их состояний и учесть распределение вероятности значений наблюдаемой переменной; разработка алгоритма оценки наличия памяти и старения данных наблюдаемого процесса, позволяющего определить оптимальную значимую глубину обращения в прошлое; построение вероятностной модели прогнозирования состояния компьютерной сети, позволяющей учесть оптимальную глубину памяти и нестационарность наблюдаемого процесса и отличающейся использованием массивов исходных автокоррелировэнных данных и методов решения задач классификации и снижения размерности.
Были получены следующие результаты: метод активного мониторинга корпоративной компьютерной сети, отличающийся представлением наблюдаемьк сетевых показателей как совокупностей реализаций случайных процессов и позволяющий применить аппарат теории вероятностей, математической статистики и анализа временных рядов для их прогнозирования; алгоритм оптимального квантования по уровню наблюдаемых переменных, позволяющий осуществить задание их состояний и учесть распределение вероятности значений наблюдаемой неременной; алгоритм оценки наличия памяти и старения данных о наблюдаемом процессе, позволяющий определить оптимальную значимую глубину обращения в прошлое; вероятностная модель прогнозирования состояния компьютерной сети, позволяющая учесть оптимальную глубину памяти и не стационарность наблюдаемого процесса и отличающаяся использованием массивов исходных автокоррелир о ванных данных и методов решения задач классификации и снижения размерности.
В работе создана схема активного мониторинга корпоративной компьютерной сети с использованием периодизации данных, подразумевающая обучение разрабатываемого программного обеспечения и а исторических данных с целью построения типового профиля поведения вычислительной сети.
Создана модель вероятностного прогнозирования состояния компьютерной сети, учитывающая нестационарноеть, наличие памяти и устаревание данных наблюдаемого процесса, Данная модель используется представленным в третьей главе алгоритмом детектирования потенциально опасных отклонений от типового профиля поведения наблюдаемых переменных, что позволяет своевременно выявить возможные аномалии в работе вычислительной сети.
Разработка структуры реализуемого программного обеспечения на основе модели прогнозирования состояния вычислительной сети
Последний пункт, являющийся основополагающим, опирается на мощ ную библиотеку классов "AdventNet SNMP Package" от компании AdvenlNet, Это довольно обширный пакет классов, реализующий запросы SNMP, работу с файлами МІВ и архитектурные решения, позволяющие преодолеть ограни чения безопасности языка Java. Данный пакет является бесплатным, кроме то го, на данный момент он уже прошел довольно длинную стадию развития, имеется служба технической поддержки [68].
Все созданные в программном обеспечении классы являются наследниками класса Frame, представляющим основу для создания оконной формы (для создания GUI применён пакет java.swing). Основной класс программы Main Window также является его наследником. Все используемые в программе массивы и параметры, общие для всех наблюдаемых переменных, являются полями данного класса. Все основные действия каждой из функциональных групп: взаимодействие с базами данпых? опрос сетевых устройств, построение обучающего ансамбля реализаций и пр., - реализованы с помощью методов основного класса программы. Выполнение действий, связанных с каждой наблюдаемой переменной, во время обучающего и активного мониторинга выполняется в режиме многопоточности: используются возможности класса Thread,
Помимо прочего» класс MainWindow предоставляет в распоряжение пользователя основное окно программы, в котором визуализируется дерево мониторинга, наблюдаемые значения выбранной в дереве переменной (в табличной или графической форме), а также содержится меню, посредством которого осуществляется управление программой. Структура меню и навигация между всеми окнами программы приведена на рисунке 3,4.
Объект, представляющий основное окно, создаётся при нажатии кнопки "Вперёд" в окне заставки, которое появляется первым при запуске ПСХ
В окне задания узла вводится ГР-адрес и community string (символьная строка для доступа к устройству, используемая в протоколе SNMP) наблюдаемого устройства, в окне задания переменной вводятся OID для ранее заданных адресов- Окно связывания с базами данных позволяет задать для каждой наблюдаемой переменной базы данных для сохранения результатов работы программы,
Для сохранения результатов измерений и вычислений, получаемых при наблюдении сетевых переменных, построении профилей их "нормального" поведения, прогнозировании значений и состояний, обнаружении аномалий на каждую наблюдаемую переменную задействованы две базы данных: основная БД (main DB) и БД типового профиля наблюдаемой переменной (Profile DB).
Подключение к базам данных осуществляется через API-интерфейс JDBC (Java Database Connectivity), Java обеспечивает пересылку инструкций структурированного языка запросов SQL и получение результатов запросов. Для доступа к базе данных используется мост ODBC-JDBC.
Описания полей таблиц баз данных, а также некоторые необходимые для их заполнения исходные и непосредственно получаемые с использование ем этих таблиц важные данные приведены в приложении 5,
Основная база данных имеет всего одну таблицу Zamery, содержащую значения счётчиков N1IB, значения, рассчитанные по формуле (3.1), а также дату/время считывания а шаги на времени мониторинга ї\ІОІІ. База заполняется в результате обучающего (пассивною) мониторинга и предостаиляет, в дальнейшем, исходные данные для построения профилей "нормального" поведе-ния переменной. Можно сказать, что таблица Zamery содержит массив снятых замеров и массив снятых значений, представленных на рисунке ЗЛ раздела 3.1.
Остальные таблицы, приведённые в приложении 5, содержатся в базе данных типового профиля. Большинство из них: X_lsh, Stat_har, R_gr, X_s, G_j, D_opt, B_global, C_globaI, - соответствуют массивам, взаимосвязь которых также рассмотрена в разделе ЗЛ,
Имеются таблицы (Pabs, Ртах), дополняющие стохастическую модель прогнозирования, они будут подробно рассмотрены в разделе 3.4, в котором отдельное внимание уделено также таблице наблюдаемых значений на фазе активної "о мониторинга Сuncnt_Values.
Особый интерес представляет таблица вспомогательных параметров Ра-ram, содержащая всего одну запись. Назначение ланний таблицы заключается в том, чтобы хранить в себе параметры, которые могут быть различны для каждой наблюдаемой переменной (приложение ЗЛА). Параметры, общие для всех наблюдаемых переменных, сохраняются в соответствующих полях основного класса программы MainWindow.
Таким образом, представлена функциональная и структурная взаимосвязь компонентов разрабатываемого программного обеспечения, выбрана среда реализации.
Сравнительный анализ результатов вероятностного прошозировапия с использованием разработанной и марковской моделей
Рассмотрим организацию корпоративной компьютерной сети ОАО "НЛМК", в которой будем проводить апробацию разработанных в главах 2 и 3 методов и средств,
Схема магистральной части сети приведена на рис. 4.1. Как видно, она полностью соответствует иерархической структуре, обсуждавшейся в разделе 1.1. Можно явно выделить следующие уровни подключения сетевых устройств: уровень ядра (core level); уровень распределения {distribution level); уровень доступа (access level),
Первые два уровня образованы маршрутизирующими коммутаторами (routing switches), что позволяет обрабатывать пакеты сетевого слоя с большой скоростью (маршрутизация со скоростью коммутации),
Примечательна тшюспязпая топология ядра, образованного коммута-торами Passport 8610 и Passport 1612, при котором одноименные устройства объединяются в одни логическое посредством специального IST-соединепин, что дает возможность использования расщепленных транков (SMLT).
Применение многоканальных соединений (MLT) на втором слое эталонной модели OS1 (раздел 1,1) является важным аспектом построения отказоустойчивых сетей, которое позволяет распределять нагрузку между физическими связями. MLT-соединсния (трагіки) широко использованы при построении корпоративной сети ОАО "НЛМК". Они применены внутри ядра, при подключении уровня распределения к ядру, при подключении серверной фермы к ядру (рис.4.1).
Разделенный многоканальные соединения (Split MLT — SMLT) позволяют различным физическим каналам внутри себя оканчиваться на разных магистральных коммутаторах, таким образом, с точки зрения устройств, подключенных к ним через стандартный MLT, эти коммутаторы работают как одно логическое устройство (см,, например, соединение LPC3-GW-0I с МСС иКСС).
Распределение наїрузки в MLT соединениях происходит на базе сессий. Нагрузка не распределяется на уровне пакетов, как это часто ошибочно думается. В зависимости от производителя оборудования есть различные методы и технологии, используемые для распределения нагрузки через MLT соединения. Некоторые производители используют «барабанный» метод, некоторые используют методі, основного/вспомогательного канала, прочие используют хэш-функции, а некоторые — комплексные методики.
Фирма Nortel Networks, на чьем оборудовании построена сетевая магистраль комбината, в своих устройствах для определения физического канала для передачи данных в конкретной сессии использует хэш-функцию, основанную на MAC и/или IP адресе источника и получателя.
Обычно л сети данные передаются от разных источников к разным получателям, поэтов данный алгоритм обеспечивает хорошее распределение нагрузки между каналами в Ml ,Т соединении,
Еще одной особенностью сети комбината является широкое применение стекирования коммутаторов (МСС-21-01, ServersFarm на рис.4.1), когда несколько устройств (до восьми) объединяются с помощью стековых кабелей в одно логическое устройство, что позволяет облегчить администрирование, Некоторые стеки, например, стек серверной фермы, образованный коммутаторами BayStack 5510, являются отказоустойчивыми.
Подключение станций сетевого управления (NMS) организовано также через отказоустойчивый стек главного вычислительного центра предприятия на базе коммутаторов Bay Stack 470, подключенный к ядру. На одной из NMS и будет проведена апробация разработанных средств активного мониторинга вычислительной сети.
Также в сети комбината широко использованы технологии VLAN и виртуальной маршрутизации, при которой физический интерфейс маршрутизатора не привязан жестко к определенной [Р-сети, а поставлен в соответствие виртуальной ЛВС (VLAN). VLAN организованы на основе назначения портов и использования протокола 802. lq,
В сочетании с SMLT-соеди нения ми на сетевом уровне эталонной модели используется протокол VRRPj позволяющий использовать резервный маршрутизатор для подключенных через избыточные соединения сети.
Следует отметить, что увеличение отказоустойчивости посредством использования избыточных связей существенно усложняет структуру компьютерной сети, ее администрирование и мониторинг, так как увеличивается вероятность возникновения следующих проблем: неравномерное распределение нагрузки, неоптимальный выбор маршрута, петли коммутации, петли маршрутизации. Первые две ведут к нежелательному увеличению сетевых задержек, вторые — к потере работоспособности IP-сети (VLAN) или группы сетей.
В связи с этим, следует еще раз подчеркнуть необходимость активного мониторинга магистральных устройств и их. интерфейсов.
Рассмотрим применение разработанных методов и средств на примере наблюдения интенсивности исходящего трафика серверной фермы корпоративной сети ОАО "НЛМК".
Как было показано в разделе 4,2, стек коммутаторов серверной фермы подключен к ядру сети посредством шрегировэнного соединения (транка), в котором задействованы два интерфейса стека: 1/48 и 2/48. В качестве примера наблюдаемой сетевой переменной рассматривается интенсивность трафика интерфейса 1/48.
В ходе наблюдения за сетью (с шагом At = 5 мин) были собраны исходные данные, к которым была применена суточная периодизация с выбором будничных дней недели, С период изированные исходные данные, представляющие 25 реализаций наблюдаемой сетевой переменной, представлены в приложении 1. По этим данным может быть построен ансамбль реализаций, представленный на рис. 4.2.
