Статья только в электронной версии журнала
Камерон Стардевант (PC Week Labs)
Появление в продукте EtherPeek 4.0 фирмы AG Group возможностей захватывать пакеты одновременно в несколько буферов и отображать этот процесс в реальном масштабе времени вывело его на первое место среди программных анализаторов протокола Ethernet. Несмотря на неуклюжий пользовательский интерфейс, из-за которого в ходе тестирования нам не удавалось вовремя добираться до интересовавших нас деталей, новейшие усовершенствования анализатора делают его одним из лучших продуктов данного назначения, испытанных в Тестовом центре PC Week Labs. ПО EtherPeek 4.0 поступило в продажу в начале января. При цене $995 оно практически не отличается от таких продуктов, как Sniffer Basic фирмы Network Associates или PacketBoy фирмы NDG Software.
Подобно своим конкурентам, EtherPeek способен расшифровать содержимое доброй сотни типов пакетов, и в нашей испытательной сети не нашлось ни одного, который оказался бы ему не по зубам. Еще некоторое время назад одним из важнейших параметров сравнения анализаторов 10/100 Мбит/с версий Ethernet выступало число распознанных пакетов (этот показатель по-прежнему остается значимым для декодеров гигабитной версии протокола). Теперь же администраторам сетей следует обращать основное внимание на захват пакетов и фильтрацию.
EtherPeek позволяет использовать сложные фильтры для выявления потенциально проблемных пакетов
Среди конкурирующих продуктов EtherPeek 4.0 выделяется новым многобуферным механизмом захвата пакетов. В ходе тестирования мы запускали одновременно несколько сеансов захвата и выводили на экран сразу несколько окон, отображающих содержимое буферов. Первый буфер использовался для захвата всех пакетов без разбора; второй - только для трафика между сервером электронной почты и конкретным клиентским ПК.
В дополнение к захвату пакетного трафика в реальном масштабе времени (этой возможности нет ни в одном из других известных нам чисто программных анализаторов) EtherPeek позволяет определить доли полосы пропускания, занятые различными протоколами. Теперь несложно узнать, какая часть этого ресурса потребляется системой электронной почты.
Подобно другим недорогим декодерам, EtherPeek лишен таких дополнительных интеллектуальных возможностей, как анализ файлов с захваченными пакетами и выдача полезных рекомендаций сетевым администраторам. Однако способность этого продукта преобразовывать IP- и MAC-адреса в удобочитаемые для пользователя идентификаторы значительно упрощает ручной анализ собранной им низкоуровневой информации.
Администраторам имеет смысл приобрести дополнительный модуль к EtherPeek, например NetSense, предлагаемый фирмой Net3 Group за $995. Этот продукт вырабатывает рекомендации по устранению неисправностей на основе собранной анализатором информации о трафике.
Сетевым администраторам не стоит облизываться на новую функцию “group by name”. Хотя мы смогли объединить в группы сходные устройства, в частности серверы электронной почты, но особой выгоды это не принесло, поскольку чаще всего проблемы, для разрешения которых мы применяли EtherPeek, были вполне очевидными и без группирования.
Некоторые другие новинки EtherPeek принесут больше пользы в тех случаях, когда уже есть некоторое представление о природе проблемы (например, такой, как “широковещательный шторм”) и нужно только локализовать ее источник. Для этого служит новый фильтр, позволяющий использовать множественные критерии, связанные операторами И, ИЛИ, НЕ. С его помощью можно захватывать пакеты определенного протокола, несущие определенные адреса и номера портов в заголовках.
В частности, когда нам потребовалось исследовать трафик HTTP и SNMP, имевший, по нашему мнению, отношение к возникновению проблем, мы смогли сформировать фильтр, выделяющий для захвата только пакеты этих протоколов. Очень удобно то, что такие сложные фильтры можно сохранять для последующего использования. Более того, их можно применять и к уже записанным в файл захваченным последовательностям пакетов. Мы бы даже рекомендовали пользователям EtherPeek собирать весь трафик, а его фильтрацию и сортировку оставлять на потом, чтобы не упустить случайно каких-либо важных сведений.
Кроме того, EtherPeek позволяет контролировать в реальном масштабе времени статистику обмена пакетами между парами узлов, процент сетевых ресурсов, занятых трафиком того или иного протокола, и другие подобные показатели. EtherPeek - один из немногих инструментов, обеспечивающих просмотр статистических данных в процессе захвата пакетов, что дает дополнительные возможности для обнаружения потенциальных проблем.
С техническим аналитиком Камероном Стардевантом можно связаться по адресу: cameron_sturdevant@zd.com.
Резюме для руководителей
EtherPeek 4.0
Модернизированная версия анализатора EtherPeek фирмы AG Group - отличный инструмент для сетевых специалистов, находящихся на передовой линии борьбы с неисправностями и нуждающихся в полнофункциональном программном анализаторе протоколов для выявления проблем и их источников. Хотя интерфейс для просмотра тела пакетов мог бы быть и не столь неуклюжим, возможности захвата пакетов одновременно в несколько буферов, просмотра их в реальном масштабе времени и применения сложных фильтров с лихвой чем компенсируют этот недостаток.
БЛИЖАЙШАЯ ВЫГОДА. анализатор протокола - инструмент, необходимый для устранения неисправности на начальном этапе, и организациям, еще не использующим никакого анализатора, следует приобрести EtherPeek.
ДОЛГОСРОЧНАЯ ВЫГОДА. такие инструменты, как EtherPeek, предназначаются для применения в проблемных ситуациях, поэтому их роль в администрировании сети с точки зрения длительной перспективы невелика. Хотя EtherPeek, несомненно, можно использовать в качестве дополнения к средствам анализа долговременных тенденций, его основное назначение - дать администратору более полное представление о каждодневной работе сети.
( + ) Отображение пакетов в реальном масштабе времени; одновременное использование нескольких буферов захвата; сложная фильтрация пакетов.
( - ) Неуклюжий интерфейс расшифровки содержимого пакетов.
Фирма AG Group, Уолнат-Крик, шт. Калифорния, (925) 937-7900, www.etherpeek.com.
Методика оценки: www.pcweek.com/reviews/meth.html.