Analisis de Trafico

Mdulo 6 Anlisis de Trfico
CARRERA DIPLOMATURA EN TELECOMUNICACIONES Y REDES DE DATOS Docente: Julio Locatelli
Curso de Anlisis de Trafico
www.netkonline.com Pagina: 1
INDICE
1. 2. 3. 4. 5. 6. 7. Introduccin. Anlisis y diagrama del cableado (Layer 1). Anlisis del layer enlace de datos (Layer 2). Principios de operacin del protocolo CSMA/CD. Conceptos. Direccionamiento y Ruteo. Ejemplos. 8. 9. Anlisis de sesin. Anlisis de distribucin del paquete.
10. Anlisis de errores en sesin. 11. Analizadores de trafico. 12. RMON. 13. SNMP.
Anlisis de Trfico
Anlisis de Trfico
Introduccin
El presente intenta establecer un mtodo de trabajo para llegar a un diagnstico lo mas preciso posible basado en decisiones cuantitativas, a partir de mtricas tomadas por equipos y software especficos.
Anlisis de Trfico
Introduccin
Bsicamente todo apunta a llegar a un DIAGNSTICO, objetivo que es exitoso en cuanto involucra dos elementos: un cmulo de experiencia para elaborar una hiptesis de trabajo basado en determinados sntomas y una estrategia de investigacin que debiera ser sustentada por un mtodo de trabajo que gue a los profesionales hacia este objetivo.
Anlisis de Trfico
Introduccin
Como todo mtodo, es perfectible y deseamos que as sea, para lo cual invitamos a todos aquellos que lo usen a aportar las mejoras obtenidas de probar al mismo en el campo.
Anlisis de Trfico
Introduccin
Pensamos que el anlisis de trfico ser una disciplina preponderante ya que la infraestructura de red usada por la organizacin, sustenta el trfico transaccional de mas y mas aplicaciones y que cada una de ellas tiene determinadas exigencias y comportamiento a la hora de usar esta infraestructura.
Anlisis de Trfico
Introduccin
Que diferencias existen entre la gestin de la red y el anlisis de trafico?
Gestin de Red Estrategia que abarca a la totalidad de los recursos de la red , ya sean clientes, servidores, elementos de conectividad y protocolos, formando una solucin que comprende toda la infraestructura.
Anlisis de Trfico Destinado al monitoreo, seguimiento y control del trafico generado por los servicios y las aplicaciones.
Anlisis de Trfico
Introduccin
Podemos decir que es un subset de la administracin de la red, estructurada en layers segn vemos:
Soluciones de management de red Openview, CA Unicenter o NetWorkIT Pro, IBM Tivoli Aplicaciones de gestin de dispositivos Ej.: Cisco Works, 3COM Trascend, etc. Aplicaciones y hardware de monitoreo de trafico Ej.: Observer, NAI Sniffer, Shomiti, HP NetMetrix, NetScout, etc. Instrumental de certificaciones de enlace fsico Ej.: TDRs de Fluke, Wandel & Goltermann
Anlisis de Trfico
Introduccin
Por que aparece la necesidad de medir el trafico? Porque las aplicaciones demandan cada vez mas recursos de la red Porque hay cada vez mas aplicaciones distribuidas Por desconocimiento de los consumos de la aplicacin Por desconocer el origen de los problemas Por que otra razn?
Anlisis de Trfico
Introduccin
Que objetivos intenta alcanzar el anlisis de trafico? Diagnostico de problemas Planificacin de carga y consumos Monitoreo de consumos Comportamiento de aplicacin Algn otro?
Anlisis de Trfico
Introduccin
Que limites y alcances tiene?
Es generalmente pasivo y no pro-activo. No corrige los problemas de la red, solo los mide y ayuda a diagnosticar. Depende de la capacidad de la herramienta utilizada y de la estructura de la red.
Anlisis de Trfico
Introduccin
Que problemas conlleva el anlisis?
Requiere de conocimiento de los protocolos de la red Depende de cmo este conformada la infraestructura Depende del tipo de instrumental utilizado
Anlisis de Trfico
Introduccin
SINTOMA
"La red esta lenta" "No puedo conectarme a..." "La aplicacion esta lenta..." "Perdi la conexion a..."
RECOPILAR INFORMACION PARA ELABORAR UNA HIPOTESIS DE TRABAJO
- Ocurre siempre ? - Le afecta a todos? - Que cambios se realizaron? -Desde cuando? / Desde donde?
Como es la secuencia de diagnostico tradicional?
Hipotesis de trabajo mas probable
Nueva hipotesis de trabajo
Desarrollo de una estrategia de analisis y/o mediciones para recopilar informacion precisa y corroborar la hipotesis de trabajo
Analisis y mediciones Interpretacion de los resultados
Corroboran la hipotesis?
No
Si
DIAGNOSTICO Y SOLUCION
Anlisis de Trfico
Anlisis y diagnostico de la infraestructura de cableado.
Una parte del diagnostico del trafico se ve afectado o no por las caractersticas y calidad de los parmetros de la infraestructura fsica, ya que los frames se derivan en pulsos transmitidos por los links fsicos. Por ende, ciertos problemas detectados por el analizador de trafico, tales como exceso de errores en las tramas (CRCs errors) derivan de problemas en el cableado.
Anlisis de Trfico
Anlisis y diagnostico de la infraestructura de cableado. Diagnosticar problemas en la infraestructura de cableado, implica la revisin de los siguientes puntos: Telecommunications Cabling Standard y los siguientes subestandards ANSI/TIA/EIA-568-A-95, estructura del cableado ANSI/EIA/TIA-569-A-98, premisas para el cableado. ANSI/EIA/TIA-570-91, cableado residencial y de pequeas oficinas ANSI/TIA/EIA-606-93, administracin y documentacin ANSI/TIA/EIA-607-94, practicas de puesta a tierra
Anlisis de Trfico
Anlisis y diagnostico de la infraestructura de cableado. Medicin y diagnostico El boletn TIA/EIA TSB-67, define la practica de medicin del cableado. Para categora 5 extendida, se ha definido el boletn TSB-97, con parmetros mas exigentes, tales como el ELFNEXT, por ejemplo.
Anlisis de Trfico
Anlisis y diagnostico de la infraestructura de cableado. Normalmente, los parmetros mas representativos y deseados de revisin son: Atenuacin, medida en 24dB como peor nivel de ruido. NEXT (Near End CrossTalk), 27.1dB, como peor valor. Mapa de cable (correcta disposicin del pinout, basada preferentemente en la especificacin T568A. Longitud del segmento, menor a 100 metros.
PAR Nro. 3 Color Blanco/Verde Verde/Blanco Blanco/Naranja 2 1 Azul/Blanco Blanco/Azul Naranja/Blanco 4 Blanco/Marrn Marrn/Blanco Funcin T3 R3 T2 R1 T1 R2 T4 R4 PIN # 1 2 3 4 5 6 7 8 www.netkonline.com Pagina: 18
Anlisis de Trfico
TIA/EIA channel 802.3 link segment 100m
L1 Work Area
TIA/EIA basic link 90 m Patch Panel L2
Hub Patch Panel L3
Cuarto de cableado L1 + L2 + L3 = 10 m maximo
Anlisis de Trfico
Industry Standards Performance Comparison Worst-case channel performance at 100 MHz
Parameter Category 5 and Class D with pending additional requirements TIA PN-4292 (TSB-95) and SC 25 N 487 1-100 MHz 24 dB 27.1 dB N/A* 3.1 dB N/A 17 dB (new requirement) 14.4 dB (new requirement) 8 dB* (new requirement) 548 nsec 50 nsec Category 5E SP-4195 (A-5) Proposed Category 6 Class E (Performance at 250MHz shown in parentheses) 1-250 MHz 21.7 dB (36 dB) 39.9 dB (33.1 dB) 37.1 dB (30.2 dB) 18.2 dB (-2.9 dB) 15.4 dB (-5.8 dB) 23.2 dB (15.3 dB) 20.2 dB (12.3 dB) 12 dB (8 dB) 548 nsec (546 nsec) 50 nsec Proposed Category 7 Class E (Performance at 600MHz shown in parentheses) 1-600 MHz 20.8 dB (54.1 dB) 62.1 dB (51 dB) 59.1 dB (48 dB) 41.3 dB (-3.1 dB)** 38.3 dB (-6.1 dB)** ffs*** ffs*** 14.1 dB (8.7 dB) 504 nsec (501 nsec) 20 nsec
Specified frequency range Attenuation NEXT Power-sum NEXT ACR Power-sum ACR ELFEXT Power-sum ELFEXT Return loss Propagation delay Delay skew
1-100 MHz 24 dB 30.1 dB 27.1 dB 6.1 dB 3.1 dB 17.4 dB 14.4 dB 10 dB 548 nsec 50 nsec
Anlisis de Trfico
Anlisis y diagnostico de la infraestructura de cableado. HERRAMIENTAS DE MEDICION: EL TDR (TIME DOMAIN REFLECTOMETER)
Es el certificador de los parmetros de rendimiento del cable. Normalmente llegan solo hasta la capa 1 de OSI, certificando que el link fsico cumple con lo referido a la categora y bajo las condiciones de medicin y testing establecidas en el TSB67 o TSB95
Anlisis de Trfico
Anlisis y diagnostico de la infraestructura de cableado. HERRAMIENTAS DE MEDICION: EL TDR (TIME DOMAIN REFLECTOMETER)
Ejemplos de este tipo de herramientas son el FLUKE DSP-4000 o el Microtest. Normalmente su costo oscila entre los USD 3000.- y los USD 8000.- dependiendo de las capacidades, y algunos de ellos tambien incluyen mediciones de layer 2, tales como utilizacion del canal y/o colisiones.
Anlisis de Trfico
Anlisis y diagnostico de la infraestructura de cableado. Features of the DSP-4000 Digital CableAnalyzer: Provides unsurpassed ruggedness to keep your crews up and running. Gives you the fastest test times using highspeed digital technology. Minimizes training time with ease of use. Automatically diagnoses cabling fault and shows exact location in feet or meters. Exceeds specification requirements for Cat 5, Cat 5E and Cat 6 with level III accuracy. Accepts the new manufacturer-specific Cat 6 connectors.
Anlisis de Trfico
Anlisis y diagnostico de la infraestructura de cableado. Features of the DSP-4000 Digital CableAnalyzer:
Displays results to 350 MHz. Shows detailed plots of NEXT, ELFEXT, PSNEXT, Attenuation, ACR, Propagation Delay, and Return Loss-up to 350 MHz. Works with an optional Fiber Test Adapter to provide automatic dual wavelength loss testing for two fibers at a time. Provides built-in Talk Mode for two-way voice communication between the main and remote units. Includes tone generator for use with a tone probe, such as the Fluke 140, to trace wires and identify cable in LAN installations.
Anlisis de Trfico
Anlisis y diagnostico de la infraestructura de cableado. Powerful high definition diagnostics
The DSP-4000 helps you quickly identify and locate opens or breaks, short circuits, and anomalies in the cabling link under test. With a touch of the FAULT-INFO key, the DSP-4000 automatically diagnoses the cabling faults and graphically displays the cabling link and the location of the defect. Utilizing Enhanced High Definition Time Domain Crosstalk (HDTDX) and High Definition Time Domain Reflectometry (HDTDR), the DSP-4000 can precisely locate the position of a crosstalk problem any distance along the link - measured in feet or meters - from the tester. These high definition diagnostics make the DSP-4000 the industry's first cable tester to pinpoint sources of crosstalk or return loss anywhere along an entire link length.
Anlisis de Trfico
Mas informacin On Line: www.fluke.com/nettools www.cabling-design.com www.cabletesting.com www.siemon.com www.faqs.org/faqs/LANs/cabling-faq
Anlisis de Trfico
Anlisis del layer de enlace en ambientes de LAN estndar 802.3 Historia
1973: Sistema llamado red ALOHA, una red basada en transmisin radial. Hacia 1972: Desarrollo de Metcafe y sus colegas en los laboratorios de Xerox.(una computadoras personales ALTOS a 2.94Mbps). En Julio de 1976, Metcalfe y Boggs publicaron el estndar. Hacia fines de 1977, la patente fue publicada como Sistema de comunicacin de datos multipunto con deteccin de colisin, propiedad de Xerox Corp. En 1985, la IEEE publico el estndar definitivo bajo el titulo: IEEE 802.3 Mtodo de Acceso al Medio de sensado de portadora y deteccin de colisin y sus especificaciones fsicas
Anlisis de Trfico
Anlisis del layer de enlace en ambientes de LAN estndar 802.3 Suplementos de la IEEE
Ao 1985 1985 1987 1990 1993 1995 1997 1998 1998 1999 2000 Suplemento 802.3a 802.3c 802.3d 802.3i 802.3j 802.3u 802.3x 802.3z 802.3ac 802.3ab 802.3ad Descripcin 10BASE2 Thin Ethernet Especificaciones del repetidor de 10 Mbps, clusula 9 FOIRL Fiber Link 10BASE-T, twister pair 10BASE-F, fiber optic 100BASE-T Fast Ethernet y Auto-Negociacion Estndar Full-Duplex 1000BASE-X Gigabit Ethernet sobre fibra ptica Extensin del Frame a 1522 bytes para soportar el tag de VLANS 1000BASE-T, Gigabit Ethernet sobre par trenzado Agregacin de links paralelos www.netkonline.com Pagina: 28
Anlisis de Trfico
Anlisis del layer de enlace en ambientes de LAN estndar 802.3
Presencia dentro de OSI

2 DATA LINK 1 - PHYSICAL Logical Link Control Sublayer (LLC) Media Access Control (MAC) Physical signaling sublayers Media Specifications
Anlisis de Trfico
802.3 CUADRO COMPARATIVO DE CARACTERISTICAS
Mximo dimetro de la red/longitud del troncal (mt) Observaciones Especificacin 10BASE5 10BASE2 FOIRL Mxima cantidad de segmentos separados por repetidores Mxima longitud de segmento (mt) Mnima longitud de segmento (mt) Mxima cantidad de repetidores Mxima cantidad de nodos por segmento Velocidad Encoding Manchester Manchester Medio
10Mbps 10Mbps 10Mbps
Coaxial RG213 Coaxial RG58 FOMM 62.5/125um
2800 925 -
500 185 1000
0.5 0.5 -
5 5 -
4 4 --
100 30 0
Conector: Transeiver externo AUI Conector: BNC Conector: ST Cantidad mxima de transeivers por segmento: 2
Anlisis de Trfico
Mxima longitud de segmento (mt) Mnima longitud de segmento (mt) Mximo dimetro de la red/longitud del troncal (mt) Mxima cantidad de segmentos separados por repetidores Mxima cantidad de repetidores Mxima cantidad de nodos por segmento Observaciones Especificacin 10BASE-T 10BASE-FL Fiber Link Velocidad Encoding Manche ster Manche ster Medio
10Mbps
UTP level 3 o sup.
200
100
No hay (0.3 tpica)
1024
Seal: +/- 2.5v Atenuacin mxima en el segmento: 11.5dB Perdida por conector RJ45: 1.5dB Impedancia caracterstica: 100 Ohm Conector: RJ45, pinout TIA/EIA 568 Cantidad mxima de transeivers por segmento: 2 Reemplaza al FOIRL Conexin WS-WS, WS-HUB o HUB-HUB Conector: AUI/ST Cantidad mxima de transeivers por segmento: 2 Se pueden lograr distancias superiores a 2000 m. Utilizando transeivers de FO monomodo (8 o 9/62.5um) full-duplex, llegando a 40 km.
10Mbps
FOMM 62.5/125u m
4000
2000
1024
Anlisis de Trfico
Mxima cantidad de nodos por segmento Mximo dimetro de la red/longitud del troncal (mt) Mxima cantidad de repetidores Mxima cantidad de segmentos separados por repetidores Mxima longitud de segmento (mt) Mnima longitud de segmento (mt) Observaciones Especificacin 10BASE-FB Fiber Backbone 10BASE-FP Fiber Passive 100BASE-TX Velocidad Encoding Manchester Manchester 4B/5B Medio
10Mbps
FOMM 62.5/125um
2000
Conexin HUB-HUB No fue adoptado
10Mbps
FOMM 62.5/125um
500
No fue adoptado Para acople pasivo de hasta 33 computadoras No hay 5 4 1024 Con UTP, se requiere conectores RJ45, con pinout TIA/EIA 568 Con STP, se requiere un adaptador de impedancia con conector de 9 pines (MDI D-Type) Cantidad mxima de transeivers por segmento: 2
100Mbps (200Mbps en fullduplex)
UTP level 5, 2 pares STP 150 Ohm
200
100
Anlisis de Trfico
Mxima longitud de segmento (mt) Mnima longitud de segmento (mt) Mximo dimetro de la red/longitud del troncal (mt) Mxima cantidad de repetidores Mxima cantidad de nodos por segmento Mxima cantidad de segmentos separados por repetidores Observaciones Especificacin 100BASE-FX 1000BASECX Velocidad Encoding 4B/5B 8B/10B Medio FOMM 62.5/125um
100Mbps (200Mbps en fullduplex)
824
412 (2000 en full-duplex)
No hay
1024
Conector: Duplex SC o conector MII de 40 pines (para transeiver externo) Portadora de onda: 1350 nm Se pueden lograr distancias superiores a 2000 mts. Utilizando transeivers de FO monomodo (8 o 9/62.5um) full-duplex, llegando a 20 km. Cantidad mxima de transeivers por segmento: 2 No muy adoptado en el mercado Requiere alguno de dos tipos de conectores, en los extremos: HSSDC (High Speed Serial Data Conector de 8 pines o fibre channel style 2) Conector de 9 pines D-Subminiatura (el mismo que el usado en Token Ring para STP de 150 Ohm)
1000/200 0Mbps
High-quality shielded twisted pair
25 mts
Anlisis de Trfico
Mximo dimetro de la red/longitud del troncal (mt) Mxima cantidad de segmentos separados por repetidores Mxima cantidad de repetidores Mxima cantidad de nodos por segmento Mxima longitud de segmento (mt) Mnima longitud de segmento (mt) Observaciones Especificacin 1000BASE-SX 1000BASE-LX 1000BASE-T Velocidad Encoding 8B/10B Fibre Channel 8B/10B Fibre Channel 4D-PAM5 (pulse apmplitude modulation) Medio
1000Mbps (2000Mbps en full-duplex)
FOMM (MultiModo )
440 mts
220 mts
2 metros
Conector: Duplex SC o MT-RJ Existe un elemento, denominado GBIC (Gigabit Ethernet Converter) que permite soportar tanto 1000Base-SX o LX en un mismo port
1000Mbps (2000Mbps en full-duplex) 1000Mbps (2000Mbps en full-duplex)
Fomm (MonoMod o) UTP level 5 o superior
10000 m
5000 m
2 metros
200
100
No hay
Anlisis de Trfico
Otros estndares no tan utilizados o difundidos comercialmente son, adems del 10BROAD36 y del 1BASE5:
100BASE-T4 4B/5B 100Mbp s 100Mbp s UTP level 3 o superior, 4 pares UTP level 3 o superior, 2 pares 200 100 No hay No hay 5 4 1024 No fue difundido
100BASE-T2
4B/5B
200
100
1024
No fue desarrollado por ningn fabricante
Anlisis de Trfico
Tipos de Frames Ethernet
FRAME ETHERNET II (DIX)

IEEE 802.3 Header 14 bytes Destination MAC address Source MAC address Type IP V4 Header 20 bytes Version Header Lenght Type of Service 6 bytes 6 bytes 2 bytes 4 bits 4 bits 1 byte
Anlisis de Trfico
FRAMES ETHERNET 802.3

IEEE 802.3 Header 14 bytes Destination MAC address Source MAC address Lenght (Type si >= 0x0600) IP V4 Header 20 bytes Version Header Lenght Type of Service 6 bytes 6 bytes 2 bytes 4 bits 4 bits 1 byte
Anlisis de Trfico
FRAME ETHERNET 802.2 (LLC)

IEEE 802.3 Header 14 bytes Destination MAC address Source MAC address Lenght 802.2 LLC 3 o 4 bytes DSAP (Destination Service Access Point) SSAP (Source Service Access Point) Control IP V4 Header 20 bytes Version Header Lenght Type of Service 6 bytes 6 bytes 2 bytes 1 byte 1 byte 1 o 2 bytes 4 bits 4 bits 1 byte
Anlisis de Trfico
FRAME ETHERNET SNAP (SubNetwork Access Protocol)

IEEE 802.3 Header 14 bytes Destination MAC address Source MAC address Lenght (Type si >= 0x0600) 802.2 LLC 3 o 4 bytes DSAP (Destination Service Access Point) SSAP (Source Service Access Point) Control IP V4 Header 20 bytes Version Header Lenght Type of Service 6 bytes 6 bytes 2 bytes 1 byte 1 byte 1 o 2 bytes 4 bits 4 bits 1 byte
Anlisis de Trfico
Principios de operacin del protocolo CSMA/CD
1. 2. 3. 4. Una seal transmitida en un canal genera una condicin denominada portadora. Cuando una interfaz tiene en el buffer una trama, espera a que el canal este libre de seal (ausencia de portadora). Cuando el canal esta libre, la estacin espera un intervalo de tiempo denominado IFG (Inter Frame Gap) y luego transmite el frame Si dos estaciones transmiten, la sealizacin colisiona, y reprograman su transmisin mediante un algoritmo de backoff.
Anlisis de Trfico
La reglas son: Si no hay portadora. Si hay portadora. Si ocurre una colisin durante la transmisin.
Una vez que la estacin (en 10 o 100Mbps) ha transmitido 512 bits de un frame (sin incluir el prembulo) sin colisionar, se dice que la estacin ha tomado posesin del canal y no debiera existir colisin (este tiempo se denomina slot time). Entonces la estacin limpia su contador de colisiones.
Anlisis de Trfico
OPERACIN FULL-DUPLEX Es la operacin del canal Ethernet en ambos sentidos simultneamente. Ventajas: Duplicacin de la capacidad de transmisin del canal La longitud del segmento no esta limitada a los requerimientos de timing de un canal compartido, til especialmente en segmentos de fibra
Anlisis de Trfico
OPERACIN FULL-DUPLEX Consideraciones de operacin: El sistema debe tener canales fsicos separados para transmisin y recepcin. Solo pueden existir dos interfaces en un segmento full-duplex (conexin punto a punto) Ambas interfaces deben tener capacidad de operacin full-duplex. No se utiliza el algoritmo CSMA/CD.
Anlisis de Trfico
Principios de operacin del protocolo CSMA/CD Auto negociacin
La configuracin automtica de las interfaces Ethernet es provista por el protocolo denominado Auto-Negotiation Protocol, definido en 1995, como parte del estndar 802.3u (FastEthernet), basado en un protocolo denominado Nway, desarrollado por National Semiconductors especficamente para enlaces de par trenzado. Por ello no se aplica a enlaces de fibra.
Anlisis de Trfico
Conceptos bsicos: Opera sobre segmentos de enlace. La Auto-Negociacion ocurre en momentos de inicializacin del enlace. Utiliza su propio sistema de sealizacin. El dispositivo en el otro extremo del enlace, se denomina link partner. Con excepcin de Gigabit Ethernet, no hay Auto-Negociacion en fibra ni tampoco para 100Base-Tx basado en conectores de par trenzado blindado de 9 pines.
Anlisis de Trfico
MODELO 1 DE CONFIGURACION PARA 10Mbps
Se requiere de un repeater set para toda conexin. El path de transmisin entre dos DTEs puede consistir en hasta 5 segmentos. Los cables de AUI para 10Base-FP y 10Base-FL no deben exceder los 25 metros. Cuando un path de transmisin consiste de 4 repetidores y 5 segmentos, hasta 3 segmentos pueden ser segmentos multipunto (ej. Coaxial) y los remanentes deben ser link-segments (segmentos punto a punto que conecta dos y solo dos MAUs). Cuando hay 5 segmentos presentes, los segmentos de fibra (FOIRL, 10Base-FL o 10Base-FB) no deben exceder de los 500 mts y cada segmento 10Base-FP no debe exceder de los 300 mts.
Anlisis de Trfico
MODELO 1 DE CONFIGURACION PARA 10Mbps Cuando un path de transmisin consiste en 3 repetidores y cuatro segmentos, se aplican las siguientes restricciones:
La longitud mxima de un cable de conexin entre repetidores basado en fibra no debe exceder los 1000 metros para FOIRL/10BASE-FB/10BASE-FL y 700 m para 10BASE-FP La longitud mxima de cualquier repetidor al segmento del DTE en fibra, no debe exceder de los 400 m para la norma 10BASE-FL y no mas de 300 m para la norma 10Base-FP No hay restricciones para el numero de segmentos multidrop cuando hay 4 segmentos y 3 repetidores
Anlisis de Trfico
Repeater type Segmento DTE-DTE Un repetidor Clase I Un repetidor Clase II Dos repetidores de clase II Todo en cobre 100 200 200 205 Todo en fibra 412 272 320 228 Mezcla de cobre y fibra (Tx y Fx) N/A 260.8 308.8 216.2 Mezcla de cobre y fibra (T4 y Fx) N/A 231 N/A N/A
Mximo dimetro de dominio de colisin Ethernet en metros

Anlisis de Trfico
Repeater type UTP Categora 5 100 200 1000BaseCX 25 50 1000BaseSx/Lx 316 220 UTP Categora 5 y FO N/A 210 1000Base-Cx y 1000BaseSx/Lx N/A 220
Segmento DTE-DTE Single segment Un repetidor
Mximo dimetro de dominio de colisin Ethernet en metros
MODELO 1 - GUIA DE CONFIGURACION DE FAST ETHERNET
100 m Class II Repeater DTE
5m
100 m Class II Repeater DTE
100 m
Full Duplex Fiber 2000m Switch Router
MODELO 1 - GUIA DE CONFIGURACION DE 10Mb/s ETHERNET
10Base-FL Link Segment 500 m Repeater Repeater
10Base-5 Mixing Segment 500 m
10Base-FL Link Segment 500 m
DTE
Repeater
Repeater
10Base-T Link Segment 100 m
DTE

DTE
Anlisis de Trafico
Errores dentro del estndar ethernet y su significado
Error CRC errors Errores de inconsistencia por cambio de bits entre la emisin y recepcin Significado Interpretacin Son normales mientras no excedan de una tasa fijada como base tanto para una interfaz como para una poblacin de interfaces. Si superan la media respecto de una determinada interfaz, con atribuibles a induccin en el link fsico, disturbio elctrico en el port o falla fsica en la interfaz. Se descubren mediante el anlisis de Errors by station con una interfaz promiscua Errores de inconsistencia por ruptura de frame resultante de una colisin Son normales, excepto que sean originados en una misma direccin fsica, lo que delata falla en el componente electrnico que no respeta el time slot de liberacin de frame al canal
(FCS errors)
Fragments
Anlisis de Trafico
Error Significado
Errores de inconsistencia debidos a un frame que no tiene un numero bytes completos (Ej. 64 bytes y 4 bits), y cuenta con CRC no valido
Interpretacin
Son normales a una tasa baja. Caso contrario determinan error en la electrnica de la interfaz de red que los genera, ya que no separa en forma valida el prembulo del frame en si mismo. Se descubren mediante el analizador de trafico, funcin Errores o Errores por estacin Son normales e incrementales a medida que se incrementa la tasa de uso del canal 802.3 Si todas las colisiones son generadas por una sola interfaz, delata una falla en el clock de la misma de la que se deriva error en respetar el slot time de acceso al canal Normales en un canal, pero si son excesivos y atribuibles a una sola placa, delatan fallas en el hardware Indica generacin de ruido externo inducido dentro del canal
Alignments errors
Collisions
Evento de colisin entre dos tramas liberadas al canal
Runts
Paquetes de menos de 512 bytes, abortado por la interfaz por deteccin de colisin Deteccin de actividad en el canal, menor al tiempo mximo para este tipo, que es de 74 a 81 bit times
Short Event
Anlisis de Trafico
Error
Significado
Interpretacin
Delata redes con violaciones a las normativas de diseo, especialmente en lo referido a las longitudes y causan perdida de rendimiento. Tambin derivan de una estacin que ha sido forzada a operar en full duplex y se la conecta a un concentrador, sin obedecer a la mecnica CSMA/CD Usualmente generados por reset o inicializacin de la interfaz, mediante llenado del buffer con 1s o 0s. En un conteo bajo, son normales. Caso contrario delatan una falla en la interfaz de red Usualmente generados por fallas en la interfaz y el clock que tiene, que completa un slot de tiempo invalido. Posiblemente sea atribuible al driver que controla la electrnica.
Late Events
Numero de veces que una colisin es detectada luego del umbral (mas all de los 512 bits)
Frames too long
Frames que tienen un conteo de octetos mayor a 1518 bytes, con FCS valido Frames que tienen un conteo de octetos menores a 64 bytes con FCS valido
Frames too short
Anlisis de Trafico
Error
Very long events (JABBERS) Auto partitioning
Significado
Transmisor activo mas de lo que permite el conteo de jabbering de 802.3 (de 40000 a 75000 bit times) El circuito de un concentrador ha detectado una falla (exceso de transmisiones, exceso de colisiones, etc.) y a aislado el segmento Contador que expresa el numero de veces que la frecuencia de la seal entrante es diferente de la usada por el concentrado
Interpretacin
Falla en la interfaz o interfaces que conectan al canal. Es un mecanismo de proteccin que delata fallas en la lgica de las interfaces o bien loops que generan exceso de utilizacin continua del canal. Delata una falla en la interfaz (timing clock) o en el mecanismo de negociacin de velocidad. Especifico en concentradores autosense.
Data rate mismatches
Anlisis de Trafico
Principios de operacin del protocolo CSMA/CD Errores vistos desde un analizador de trafico
Anlisis de Trafico
Principios de operacin del protocolo CSMA/CD Test de deteccion de interfaz colisionante:
Anlisis de Trafico
Sumarizacion de conceptos antes de encarar el anlisis
Dominio de contencin (Dominio de colisin) El segmento o tramo de medio fsico por donde circulan las tramas que forman el trfico originado en interfaces. En IEEE 802.3 hablamos de segmento o dominio de contencin (o colisin) y en IEEE 802.5 / FDDI hablamos de anillo Las caractersticas fsicas y de acceso a este segmento esta determinado por el estndar CSMA/CD (longitud mxima, cantidad mxima de nodos, tiempo de insercin, etc.) Dominio de broadcast Es el conjunto de segmentos por donde una trama de broadcast (MAC Address de destino FF-FF-FF-FF-FF-FF) se debe propagar. Usualmente limitado por las interfaces de los routers
Anlisis de Trafico
Direccin fsica o MAC Identificador de interfaz Ethernet, TokenRing o FDDI. Compuesta por 6 bytes, de los cuales los 3 primeros identifican al fabricante. Ejemplo: 00-60-5C-3D-76-04, donde 00-60-5C corresponde a interfaz 802.3 de router CISCO Direccin lgica Latencia Identificador de layer 3 de un dispositivo conectado a una red lgica (Ej. 10.1.0.1 / 8 es la descripcin de una direccin IP conectado a la red 10.0.0.0 / 8) Cantidad de tiempo (usualmente en milisegundos) que una trama tarda en llegar de un extremo a otro, influenciado por factores tales como exceso de uso (contencin) y atenuaciones fsicas (EMI/RFI) Intervalo en ms que demora una interfaz hasta poder acceder al segmento para transmitir
Contencin
Anlisis de Trafico
RTT Tiempo total de transito: Es el tiempo total que una transaccin demora entre ser generada y ser respondida por el servidor. Esta formado por el tiempo transcurrido dentro del cliente (CT), mas el tiempo de contencin, mas el tiempo de transito dentro de la red y el tiempo de procesamiento en el servidor Throughput Tasa de envo de informacin, manifestada en Kbps (kilobits por segundo). Simboliza el volumen de trfico que una aplicacin o conjunto de ellas genera, sobre un intervalo de tiempo. Usado para confrontar contra la capacidad de transporte del canal, o ancho de banda (bandwith) Incidencia de los headers de protocolo sobre el tamao de la solicitud de servicio Cantidad de paquetes enviados hasta recibir la confirmacin por el protocolo de control de layer 4 Tamao de la trama de layer 2 utilizada
Protocol overhead Packet ratio Packet size
Anlisis de Trafico
Jabbers Runts CRC errors Bandwidth utilizacin Broadcast Paquetes de mas de 1516 bytes (en Ethernet), con CRC valido, usualmente generados por fallas en el driver o la placa de red Paquetes de menos de 64 bytes (en Ethernet), con CRC valido, usualmente generados por fallas en el driver o la placa de red Errores de Frame Check Sequence, usualmente generados por fallas en el la placa de red y/o inducciones en el cableado. Uso de la capacidad de transmisin del canal Solicitud de aviso de servicio que debe ser procesada por todas las interfaces del segmento
Anlisis de Trafico
Multicast Colisiones tempranas Colisiones tardas CSMA Token Passing Frame type
Solicitud de aviso de servicio que debe ser procesada por algunas de las interfaces del segmento Tramas fsicas colisionadas en el segmento donde se encuentran medidas o relevadas Idem al anterior, pero en un segmento que cruza un repetidor. Protocolo de alocacin de ancho de banda, parte del estndar IEEE 802.3 Idem al anterior, pero para estndar IEEE 802.5 Diseo de frame Ethernet: Existen 4 tipos de frames ETHERNET_802.2 (o LLC), ETHERNET_802.3 (propietario de Novell), ETHERNET_II (o crudo) y ETHERNET_SNAP
Anlisis de Trafico
Direccionamiento y ruteo: layer 3 Parmetros de anlisis:
Direccionamiento Fragmentacin (MTU) Control de direcciones y/o rutas o destinos de red validos, as como de uso de mascaras de subred Capacidad del protocolo de ser subdividido en porciones menores para pasar por estructuras de red con framing de menor capacidad. Se analizar la posibilidad que tiene el router de fragmentar, si es que la aplicacin lo permite Decremento del tiempo de vida en la red, ya sea de 1 en 1 por el pasaje por routers o en mas de una unidad si hay priorizacion (queueing) Analizaremos la capacidad de la red de evitar loops Opciones de priorizacion del mismo. Se analiza la validez del protocolo transportado por el datagrama
Vigencia de ruta (TTL)
Opciones del datagrama Protocolo encapsulado
Anlisis de Trafico
Direccionamiento y ruteo: layer 3
Estructura del datagrama IP:
Versin Header Lenght Type of Service Versin del protocolo IP Longitud del encabezado IP, en mltiplos de 4 bytes Tipo de servicio para priorizacion del datagrama, dentro de los routers Precedencia Delay Troughput Confiabilidad Longitud total del datagrama IP, usualmente menor a 65000 bytes Identificacin del datagrama dentro de un conjunto de fragmentos Marca que indica si el datagrama ha de ser fragmentado o no y si es el ultimo de una serie de fragmentos Desplazamiento del fragmento dentro de la serie para su reensamblaje en el destino Tiempo en segundos que tendr vigencia el datagrama dentro de la red, decrementado en uno en cada router y usualmente iniciado en 30, 64 o 128 en el destino Identificacin del protocolo que continua en la porcin de carga (payload) Control de error del header IP, para validez dentro del proceso de conmutacin que ocurre dentro del router Direccin IP de origen Direccin IP destinataria Opciones de tratamiento del datagrama www.netkonline.com Pagina: 63 4 bits 4 bits 1 byte
Total lenght Identification Flag Fragment offset Time of Live Protocol Header Checksum Source IP Address Destination IP Address IP options
2 bytes 2 bytes 3 bits 29 bits 1 byte 1 byte 2 bytes 4 bytes 4 bytes 1 byte 1 byte
Padding Curso de Anlisis de Traficorelleno del header, en caso de variabilidad. Complemento de
Anlisis de Trafico
Direccionamiento y ruteo: La sesin layer 4
La sesin es importante dentro del anlisis de trafico ya que determina el comportamiento del dialogo transaccional cliente/servidor. De una sesin, existen los siguientes parmetros de anlisis:
Participantes Encadenamiento Sockets Direcciones IP o DNSs de los participantes en la sesin Sesiones posteriores abiertas entre varios secuencias client/server Puertos origen/destino utilizados, bsicamente de tres tipos: Well-Known (0-1023) Asigned (1024 40000) User-defined (40000 699000) Volumen Latencia Duracin de la sesin Cantidad de paquetes o bytes desplazados en la sesin, en ambos sentidos Tiempo en ms que la sesin completa tiene, en promedio Tiempo que la sesin permanece activa ya sea por paquetes de keepalive o por timouts que son excedidos.
Anlisis de Trafico
Direccionamiento y ruteo: La sesin layer 4
De una sesin, existen los siguientes parmetros de anlisis:
Throughput Direccionalidad o patrn Cantidad de bps que la aplicacin genera, en un sentido y en otro, sin considerar los encabezados de los protocolos Anlisis del cliente al servidor o del servidor al cliente Inbound o outbound Protocol everhead Packet ratio Segmentos cruzados (HOP count) Porcentual del volumen de bits totales que son consumidos por los protocolos de layer 2 al 4 Cantidad de paquetes que son enviados por cada ACK Cantidad de segmentos o canales que debe cruzar una transaccin para llegar a destino y viceversa Se deben considerar ambos sentidos Round trip time (RTT) Tiempo total de la transaccin (request emitido y ACK recibido) que implica la sumatoria de tiempos en cada uno de los segmentos individuales cruzados, mas el tiempo de procesamiento en cliente y servidor o servidores Cantidad de reintentos de envo de request debidos a la no recepcin de los ACK por parte del destino
Retransmisiones
Anlisis de Trfico
Direccionamiento y ruteo: La sesin layer 4 Anlisis de los encabezados de layer 4
SEGMENTO TCP (24 bytes)
Source Port Destination port Puerto de origen de la transaccin, ya sea en el cliente como en el servidor, donde se intercalan.Puede ser: User defined ports. Puerto de destino de la transaccin, usualmente es el que designa a la aplicacin, si no medimos del cliente al servidor Puede ser: Well-Known ports, Asigned ports, User defined ports. Nro. de segmento de TCP, usado para controlar la recepcin de ACK, dentro de un conjunto de segmentos de TCP enviados Nro. de ACK que se espera recibir como parte de este segmento Longitud del encabezado TCP No usado 2 bytes 2 bytes
Sequence number ACKnoledge number Header Lenght Reserved
4 bytes 4 bytes 4 bits 6 bits
Anlisis de Trfico
SEGMENTO TCP (24 bytes)
Code bits (SYN, ACK, etc.) Window Checksum Urgent Pointer Options Padding Tipo de mensaje de TCP SYN = Inicio y apertura de sesin ACK = Confirmacin de recepcin de segmento Cantidad de bytes a ser enviados entre el origen y el destino Control de error del encabezado TCP Tipo de mensaje de TCP en relacin a la prioridad No usado Complemento 6 bits
2 bytes 2 bytes 2 bytes 3 bytes 1 byte
Anlisis de Trfico
DATAGRAMA UDP (8 bytes)
Source Port Destination port Puerto de origen de la transaccin, ya sea en el cliente como en el servidor, donde se intercalan. Puede ser: User defined ports Puerto de destino de la transaccin, usualmente es el que designa a la aplicacin, si no medimos del cliente al servidor Puede ser: Well-Known ports, Asigned ports, User defined ports. Longitud del mensaje a ser enviado Control de error del encabezado UDP 2 bytes 2 bytes
Message lenght Checksum
2 bytes 2 bytes
Anlisis de Trfico
El circuito de una transaccin cliente-servidor
5. Trafico en la red publica
4. Cruce del segmento W AN hasta la red publica
Red Publica Internet y/o Fram e Relay
6. Cruce del segmento W AN para acceso al site central
2. Cruce del segmento local
3. Cruce de la interfaz LAN del 64 Kbps / CIR 50% router local Req.Outboun
Req.O utbound
128 Kbps / CIR 50%
7. Acceso a traves del router del site central
Probe
Hub Req.
R outer
Probe
64 Kbps
R outer
128 Kbps
Req.
7. Acceso a traves del switch del site central
Req.
Cliente origen de la
Analizador de trafico
R outer
Hub
Analizador de trafico
1. G eneracion de transaccion en la estacion y su encapsulado en un datagrama/ frame
11. Procesamiento de la respuesta por el client.
10. R espuesta del request cruzando otra ruta
8. Llegada al servidor y procesamiento del request
D ata
Server2
Server1
D ata
9. Busqueda de datos en segundo servidor
Anlisis de Trfico
EJEMPLOS DE DIFERENTES SESIONES
Client Server Protocol/App. Packets Bytes Duration
Resp Time (ms) Clt->Svr Thput* Svr->Clt Thput*
Sesion de web en ExpoInternet 200.47.108.100 200.47.108.100 200.47.108.100 200.47.108.100 200.47.108.100 200.47.108.100 200.47.108.100 200.47.108.100 200.47.108.100
www.cyberjuegos.com
TCP/Port 2342<->Port 1626 TCP/Port 2323<->Port 1626 TCP/Port 2346<->HTTP TCP/Port 2353<->HTTP TCP/Port 2356<->Port 1626 TCP/Port 2360<->HTTP TCP/Port 2364<->HTTP TCP/Port 2366<->HTTP TCP/Port 2372<->HTTP
734 73 154 48 170 63 53 35 12
340,424 8,124 127,35 32,367 35,436 54,494 36,965 18,95 8,339
00:02:31 00:06:50 00:01:08 00:00:11 00:02:20 00:00:05 00:00:15 00:00:11 00:00:01
814.5
2.112 0.048
15.960 0.112 14.008 20.408 1.424 85.104 17.512 10.688 45.288
www.cyberjuegos.com
www.cyberjuegos.com www.cyberjuegos.com www.cyberjuegos.com
783.9 668.3 768.9 632.5 697.0 817.1 594.0
0.544 0.544 0.592 0.248 0.464 0.408 2.936
www.cyberjuegos.com www.cyberjuegos.com www.cyberjuegos.com www.cyberjuegos.com
Anlisis de Trfico
Client Server Protocol/App. Packe ts Bytes Duration
Resp Time (ms) Clt->Svr Thput* Svr->Clt Thput*
Consulta de DNS
200.47.108.101 200.3.116.2 UDP/Port 2384<->DNS 4 650 < 00:00:01 913.0 0.000 0.000
Consulta de NetBIOS
208.238.102.110 200.47.108.186 UDP/NetBIOS Name<>NetBIOS Name 6 1,059 00:00:03 1 1.040 1.568
Consulta de ORACLE - Servidor NT contra servidor UNIX, en ambiente LAN

130.120.0.239 130.120.0.239 130.120.0.239 130.120.0.239 130.120.0.239 130.120.0.239 129.120.0.1 129.120.0.1 129.120.0.1 129.120.0.1 129.120.0.1 129.120.0.1 TCP/Port 1045<->Oracle TCP/Port 1041<->Oracle TCP/Port 1087<->Oracle TCP/Port 1088<->Oracle TCP/Port 1092<->Oracle TCP/Port 1093<->Oracle 213 48 84 13 9,338 13 24,51 4,63 7,6 1,43 3,091,12 0 1,43 00:01:15 00:01:00 00:00:05 < 00:00:01 00:02:33 < 00:00:01 1.5 1.1 5.6 19.3 1.3 12.8 0.208 4.472 0.000 19.776 0.000 0.000 0.400 6.920 0.000 142.248 0.000 0.000
Anlisis de Trfico
Client Server Protocol/App. Packets Bytes Duration
Resp Time (ms) Clt>Svr Thput* Svr->Clt Thput*
Request de NetBIOS y NCP dentro de IPX

4.0090271CB358 4.009027574F8E 4.009027574F8E
5.0004AC 6ECF29 10 10
IPX (Socket 0552<>0550)/SMB IPX (Socket 4007<>0451)/NCP IPX (Socket 400A<>0451)/PBurst
4 1,487 1,765
368 144,468
1,821,512
00:03:59 00:08:54 00:02:15
16.5 4.6 3.2
0.000 1.056 2.760
0.000 1.112 105.568
Ejecucion de PING 163.35.10.19 163.35.10. 42 ICMP Echo (Ping) 3 314

00:00:28
5.0
0.000
0.000
Anlisis de Trfico
Client Server Protocol/Application Pac kets Bytes Duration Resp Time (ms) Clt->Svr Thput* Svr->Clt Thput*
Intercambio de informacin de base de datos entre SUN y AS/400

163.35.10.42 163.35.10.42 163.35.10.42 163.35.10.42 163.35.10.42 163.35.10.42 163.35.10.42 163.35.10.42 163.35.10.42 163.35.10.29 163.35.10.29 163.35.10.29 163.35.10.29 163.35.10.29 163.35.10.29 163.35.10.29 163.35.10.29 163.35.10.29
TCP/Port 34636<->Port 12000 TCP/Port 34633<->Port 12000 TCP/Port 34634<->Port 12000 TCP/Port 34639<->Port 12000 TCP/Port 34641<->Port 12000 TCP/Port 34648<->Port 12000 TCP/Port 34652<->Port 12000 TCP/Port 34653<->Port 12000 TCP/Port 34654<->Port 12000
26 14 14 28 30 46 34 30 28
6,130 1,680 1,750 2,868 4,498 16,894 6,846 3,252 3,260
< 00:00:01 < 00:00:01 < 00:00:01 < 00:00:01 < 00:00:01 00:00:01 00:00:01 00:00:01 < 00:00:01
0.000 0.000 0.000 0.000 0.000 22.752 13.232 18.368 0.000
0.000 0.000 0.000 0.000 0.000 237.600 60.928 26.344 0.000
Anlisis de Trfico
Client Server Protocol/Application Pac kets Bytes Durati on Resp Time (ms) Clt->Svr Thput* Svr->Clt Thput*
Consulta de FORM en HTML desde una sucursal a traves de un enlace FRAME RELAY
169.174.12.15
163.35.10.42 163.35.10.42 163.35.10.42 163.35.10.42 163.35.10.42
TCP/Port 1075<->HTTP TCP/Port 1076<->HTTP TCP/Port 1077<->HTTP TCP/Port 1078<->HTTP TCP/Port 1079<->HTTP
20 11 14 13 27
8,747 2,499 3,379 2,162 14,287
00:00:0 4 00:00:0 2 00:00:0 4 00:00:0 7 00:00:0 7
164.3 338.3 469.5 146.0 171.7
2.616 4.040 2.784 1.232 1.472
16.640 6.832 4.224 0.760 14.344
169.174.12.15
169.174.12.15
169.174.12.15
169.174.12.15
Anlisis de Trfico
Client Server Protocol/Application Pac kets Bytes Duration Resp Time (ms) Clt->Svr Thput* Svr->Clt Thput*
Consulta de FORM en HTML desde un segmento local, cruzando un switch

169.167.146.179 169.167.146.179 169.167.146.179 169.167.146.179 169.167.146.179 169.167.146.179
163.35.10.42 163.35.10.42 163.35.10.42 163.35.10.42 163.35.10.42 163.35.10.42
TCP/Port 1527<->HTTP TCP/Port 1528<->HTTP TCP/Port 1529<->HTTP TCP/Port 1530<->HTTP TCP/Port 1531<->HTTP TCP/Port 1533<->HTTP
24 28 13 26 17 175
12,596 15,253 2,111 14,412 3,571 107,17 8
00:00:07 00:00:08 00:00:10 00:00:10 00:00:19 00:00:47
0.3 0.0 0.3 0.0 11.5 0.3
1.824 1.736 0.976 1.256 0.952 0.984
13.288 13.928 0.680 10.288 0.552 17.320
Anlisis de Trfico
Ping-pong de paquetes
Anlisis de Trfico
Secuencia de paquetes con retransmisin
Packet 349: 00:04:AC:25:2C:01 -> 00:60:2F:A4:B1:D8
Packet 349: 00:04:AC:25:2C:01 -> 00:60:2F:A4:B1:D8 Network: Ethernet Frame type: 802.3, Frame size: 77 Time: 11h:53m 22.974sec, Diff. time: 0.003 IP, 163.35.83.10 -> 163.35.119.234 Source IP: 163.35.83.10, Destination IP: 163.35.119.234 Version: 04, IP header length: 05 (32 bit words) Service type: 0: Precedence: 0, Delay: Norm, Throug: Norm, Reliab: Norm Total IP length: 59 ID: B100h Fragments: No Time to live: 128 PROTOCOL: [6] TCP Header checksum: 3881 (GOOD)
Anlisis de Trfico
Packet 349: 00:04:AC:25:2C:01 -> 00:60:2F:A4:B1:D8
IP, 163.35.83.10 -> 163.35.119.234 TCP PSH ACK, [1033] -> [1494] Source port: [1033] Destination port: [1494]
Sequence number: 223897, Acknowledgement: 119589 TCP header length: 05 (32 bit words), Window: 7744 TCP data length: 19, Checksum: 7542h (GOOD) Sequence number + TCP data length: 223916
Anlisis de Trfico
Packet 349: 00:04:AC:25:2C:01 -> 00:60:2F:A4:B1:D8
IP, 163.35.83.10 -> 163.35.119.234 Data 0000 11 00 01 CF DD 40 B1 D9 46 56 3A B9 E7 0F 74 B5 ...@FV:.t 0010 62 9A E2 RAW PACKET LISTING: 0000 00 60 2F A4 B1 D8 00 04 AC 25 2C 01 08 00 45 00 .`/..%,...E. 0010 00 3B B1 00 40 00 80 06 38 81 A3 23 53 0A A3 23 .;.@. .8 #S.# 0020 77 EA 04 09 05 D6 00 03 6A 99 00 01 D3 25 50 18 0030 1E 40 75 42 00 00 11 00 01 CF DD 40 B1 D9 46 56 0040 3A B9 E7 0F 74 B5 62 9A E2
w.....j..%P. .@uB.....@FV :.tb FV

Anlisis de Trfico
Packet 350: 00:04:AC:25:2C:01 -> 00:60:2F:A4:B1:D8
Network: Ethernet Frame type: 802.3, Frame size: 77 Time: 11h:53m 23.384sec, Diff. time: 0.410 IP, 163.35.83.10 -> 163.35.119.234 Source IP: 163.35.83.10, Destination IP: 163.35.119.234 Version: 04, IP header length: 05 (32 bit words) Service type: 0: Precedence: 0, Delay: Norm, Throug: Norm, Reliab: Norm Total IP length: 59 ID: B200h Fragments: No Time to live: 128 PROTOCOL: [6] TCP
www.netkonline.com
Header checksum: 3781 (GOOD)
Pagina: 80
Anlisis de Trfico
Packet 350: 00:04:AC:25:2C:01 -> 00:60:2F:A4:B1:D8
TCP PSH ACK, [1033] -> [1494] Source port: [1033] Destination port: [1494] Sequence number: 223897, Acknowledgement: 119589 TCP header length: 05 (32 bit words), Window: 7744 TCP data length: 19, Checksum: 7542h (GOOD) Sequence number + TCP data length: 223916 Data 0000 11 00 01 CF DD 40 B1 D9 46 56 3A B9 E7 0F 74 B5 ...@FV:.t 0010 62 9A E2
RAW PACKET LISTING: 0000 00 60 2F A4 B1 D8 00 04 AC 25 2C 01 08 00 45 00 .`/..%,...E. 0010 00 3B B2 00 40 00 80 06 37 81 A3 23 53 0A A3 23 .;.@. .7 #S.# 0020 77 EA 04 09 05 D6 00 03 6A 99 00 01 D3 25 50 18 w.....j..%P. 0030 1E 40 75 42 00 00 11 00 01 CF DD 40 B1 D9 46 56 Curso de Anlisis de Trafico 0040 3A B9 E7 0F 74 B5 62 9A E2 .@uB.....@FV
www.netkonline.com
:.tb FV Pagina: 81
Anlisis de Trfico
Packet 351: 00:60:2F:A4:B1:D8 -> 00:04:AC:25:2C:01(Ver pagina 30)
Network: Ethernet Frame type: 802.3, Frame size: 85 Time: 11h:53m 23.563sec, Diff. time: 0.179 IP, 163.35.119.234 -> 163.35.83.10 Source IP: 163.35.119.234, Destination IP: 163.35.83.10 Version: 04, IP header length: 05 (32 bit words) Service type: 0: Precedence: 0, Delay: Norm, Throug: Norm, Reliab: Norm Total IP length: 67 ID: 61B5h Fragments: No Time to live: 122 PROTOCOL: [6] TCP
Header checksum: 8DC4 (GOOD)
Anlisis de Trfico
Packet 351: 00:60:2F:A4:B1:D8 -> 00:04:AC:25:2C:01(Ver pagina 30)
TCP PSH ACK, [1494] -> [1033] Source port: [1494] Destination port: [1033] Sequence number: 119589, Acknowledgement: 223916 TCP header length: 05 (32 bit words), Window: 7660 TCP data length: 27, Checksum: 9A89h (GOOD) Sequence number + TCP data length: 119616 Data 0000 19 00 01 6F 68 DD E3 15 40 78 83 0B 22 B9 05 9B 0010 31 4C 1D 51 3F 2E 17 4A 14 FB 92 ...oh.@x.". 1L.Q?..J.
RAW PACKET LISTING: 0000 00 04 AC 25 2C 01 00 60 2F A4 B1 D8 08 00 45 00 ..%,..`/..E.

Anlisis de Trfico
Anlisis de sesin: Latencia y Throughput
Latency Analysis for TCP/Port 1622<->HTTP. Sender: 169.167.146.184 Responder: 163.35.10.42
Latency in Milliseconds Minimum Maximum Average Contention Packets Total Send-to-Receive Ratio Average Send Size Average Receive Size
0 44 11.25 11.25
38 01:01. 1 112 1058

Anlisis de Trfico
Latency Analysis for TCP/Port 1622<->HTTP. Sender: 163.35.10.42 Responder: 169.167.146.184
Latency in Milliseconds Minimum Maximum Average Contention Packets Total Send-to-Receive Ratio Average Send Size Average Receive Size 38 1.2:1 1011 114 2 133 16.5 14.5
Anlisis de Trfico
Throughput Analysis for TCP/Port 1622<->HTTP from 169.167.146.184 to 163.35.10.42
Throughput in KBits/Second Minimum Maximum Average Contention Packets Total Average Size Average Payload Protocol Overhead 18 112 69 38.45% 1.662 204.114 4.173 199.942
Anlisis de Trfico
Throughput Analysis for TCP/Port 1622<->HTTP from 163.35.10.42 to 169.167.146.184
Throughput in KBits/Second Minimum Maximum Average Contention Packets Total Average Size Average Payload Protocol Overhead 21 1011 972 3.88% 15.809 7,006.80 43.929 6,962.87
Anlisis de Trfico
Anlisis de distribucin de paquetes por tamao
Anlisis de Trfico
Anlisis de distribucin de paquetes por tamao ANLISIS DE ERRORES EN LA SESION
Frame Error Summary
Bad FCS Runt/Short Long/Jabber Fragment 0 0 412 0
Collision Fragment Analysis DLC Source 0 0 0 0 Transmits 0 0 0 0

Retransmits % Retransmitted 0% 0% 0% 0%
No collision fragments to analyze in trace file. www.netkonline.com

Pagina: 89
Anlisis de Trfico
Anlisis de errores en la sesin
Packet 62: 00:60:5C:3D:76:04 -> 00:A4:00:80:D2:9C (Ver pagina 33)
Network: Ethernet
Frame type: 802.3, Frame size: 1518 Time: 14h:18m 00.374sec, Diff. time: 0.001
IP, 163.35.7.118 -> 169.167.151.206

Source IP: 163.35.7.118, Destination IP: 169.167.151.206 Version: 04, IP header length: 05 (32 bit words) Service type: 0: Precedence: 0, Delay: Norm, Throug: Norm, Reliab: Norm Total IP length: 1500 ID: EB03h Fragments: No Time to live: 127 PROTOCOL: [6] TCP Header checksum: 1F09 (GOOD) Curso de Anlisis de Trafico
Anlisis de Trfico
TCP ACK, [1433] -> [1065] Source port: [1433] Destination port: [1065] Sequence number: 984815369, Acknowledgement: 14341348 TCP header length: 05 (32 bit words), Window: 7483 TCP data length: 1460, Checksum: C594h (GOOD) Sequence number + TCP data length: 984816829
Anlisis de Trfico
Data 0000 04 01 07 02 00 00 00 00 41 0E 44 65 73 63 75 65 ........A.Descue 0010 6E 74 6F 73 20 31 32 33 06 43 68 65 71 75 65 13 ntos 123.Cheque. 0020 44 65 70 6F 73 69 74 61 72 20 65 6E 20 43 75 65 Depositar en Cue
0030 6E 74 61 00 08 33 8F 00 00 00 00 00 00 04 0D 00 nta..3 ......... 0040 00 00 05 50 65 73 6F 73 04 01 AF D6 1C 00 04 01 ...Pesos...... 0050 88 84 02 01 4E D1 04 81 92 94 00 0E 44 54 4F 2E ..N. ..DTO. 0060 44 45 20 43 48 45 51 55 45 53 0A 4B 4F 4E 49 53 DE CHEQUES.XXXXX 0070 41 20 53 52 4C 0E 44 65 73 63 75 65 6E 74 6F 73 A SRL.Descuentos 0080 20 31 32 33 06 43 68 65 71 75 65 13 44 65 70 6F 123.Cheque.Depo
0090 73 69 74 61 72 20 65 6E 20 43 75 65 6E 74 61 00 sitar en Cuenta. Sigue..

Anlisis de Trfico
Analizadores de trfico
Concepto: Tipos: Componentes: Funciones:
Anlisis de Trfico
Analizadores de trfico Concepto:
Un analizador de trafico es una herramienta de software, hardware o mixta que permite al analista de protocolos tomar mediciones y efectuar capturas para su anlisis posterior, a fin de llegar a un diagnostico
Anlisis de Trfico
Analizadores de trfico Tipos:
Soluciones basadas en software solamente Soluciones basadas en hardware y software, generalmente de tipo propietaria y especializada
Segn su capacidad de toma de mediciones en mas de un segmento se dividen en: Analizadores distribuidos, que dialogan con probes o agentes de medicin Analizadores centralizados
Anlisis de Trfico
Analizadores de trfico Componentes:
Hardware de procesamiento Software de anlisis Interfaces fsicas a la red (layer 2) en forma promiscua y con diferentes potencialidades de buffering, procesamiento y reporting. Probes
Anlisis de Trfico
Analizadores de trfico Funciones:
Bsicamente, las funciones se agrupan en: Captura y anlisis experto post-captura, con capacidades de filtrado pre y post-captura Mediciones interactivas Mediciones de largo plazo (trendings) Alarmas y triggers Descubrimiento de direcciones fsicas y sus correspondientes direcciones lgicas Generacin de trafico
Anlisis de Trfico
Diferencias entre las soluciones basadas en software y en hardware
Factor
Costo Capacidad de procesamiento Facilidad de uso Capacidad de distribucin Obsolescencia Capacidad de Trending Fallas Contingencia Capacidad reporting de RMON/SNMP Capacidad de medicin en WAN Capacidad de mediciones de layer 1 Capacidad de bypass
Software
Bajo (2000 a 12.000.- USD) Depende de la interfaz de red utilizada Media a alta Si Capacidad de fcil upgrade Limitada al disco Susceptible a las fallas del SO subyacente Puede ser reinstalado ante falla de hardware Si No No No Alta
Hardware/Software
Mas de 15.000.- USD
Baja a media Si Debo reemplazar el hardware/firmware por obsolescencia Limitada a la capacidad del equipo Baja Depende de la reparacin de la unidad Si Si Si Si www.netkonline.com Pagina: 98
Anlisis de Trfico
Tipos de anlisis que pueden generar un analizador de trfico: Perfil de segmento/s Utilizacin histrica de ancho de banda (histograma): Expresa el consumo del segmentos en un % de uso del mismo, a lo largo del tiempo, tomando muestreos sucesivos.
Anlisis de Trfico
Tipos de anlisis que pueden generar un analizador de trfico: Perfil de segmento/s Signos vitales (errores + casting): cantidad y tipo de errores sobre trfico total e incidencia del trfico de broadcast/unicast sobre el total de trfico.
Anlisis de Trfico
Tipos de anlisis que pueden generar un analizador de trfico: Perfil de segmento/s Errores por interfaz: intenta determinar el tipo de error ocurrido y su origen.
Anlisis de Trfico
Tipos de anlisis que pueden generar un analizador de trfico: Perfil de segmento/s TopTalkers (MAC e IP): Ranking de interfaces mas activas, tanto en generacin de trfico unicast como broadcast/multicast.
Anlisis de Trfico
Tipos de anlisis que pueden generar un analizador de trfico: Perfil de segmento/s Matrices conversacionales: Describe todo par de conversaciones activas en la red con su volumen de intercambio.
Anlisis de Trfico
Tipos de anlisis que pueden generar un analizador de trfico: Perfil de segmento/s Distribucin protocolar y subprotocolar: distribucin porcentual de protocolos de layer 3 y de layer 4, requerido para identificar redundancia de protocolos instalados o sesiones de recursos compartidos.
Anlisis de Trfico
Tipos de anlisis que pueden generar un analizador de trfico: Perfil de segmento/s Utilizacin de interfaz de router de segmento: % de uso de la interfaz del router que atiende al segmento, tanto entrante como saliente, usado para determinar el estado del intercambio de trfico entre la LAN y la WAN y analizar si el mismo es el causante de la demora.
Anlisis de Trfico
Tipos de anlisis que pueden generar un analizador de trfico: Perfil de segmento/s Eficiencia del segmento: respuesta del segmento a la insercin de paquetes. Da una idea de la contencin existente o la capacidad de respuesta de un segmento a la insercin de requerimientos.
Anlisis de Trfico
Tipos de anlisis que pueden generar un analizador de trfico: Anlisis de ruta/s: Es la descripcin de la o las rutas por donde la transacciones o trfico de la red circula. En caso de existir rutas redundantes, y que los switches se configuren para realizar balance de carga, se deber analizar cada una de ellas en particular y correlacionar los cambios a las demoras ocurridas en la o las aplicaciones.
Anlisis de Trfico
Anlisis de Trfico
Tipos de anlisis que pueden generar un analizador de trfico: Anlisis de ruta/s:
Carga y rendimiento de dispositivos: Este estudio tiene por objeto encontrar el
origen de la perdida de calidad de servicio en demoras ocurridas en el flujo de trfico, pero originadas en sobrecarga de servidores y/o equipamiento de conectividad
Anlisis de Trfico
Tipos de anlisis que pueden generar un analizador de trfico: Anlisis de ruta/s: Certificacin de link: ENLACES LOCALES (LAN): El objetivo es conocer la certificacin del cableado de UTP, en la red local, que debe adherirse a los parmetros de la categora correspondiente, fijados por la EIA/TIA en su norma 568, medidos y certificados bajo el boletn TSB 67. ENLACES GEOGRAFICOS (WAN): Para los enlaces suministrados por un proveedor de servicios, la medicin debe ser realizada por el proveedor, en base a la calidad pactada en el contrato (SLA) o con la presencia de un tercero que utilice un analizador de trfico para WAN, www.netkonline.com Curso de Anlisis como el Fluke o los equipos de Wandel & Gottleman. tal de Trafico Pagina: 110
Anlisis de Trfico
Tipos de anlisis que pueden generar un analizador de trfico: Anlisis de ruta/s: Captura de paquetes y anlisis experto post-captura: El objetivo de este anlisis es encontrar, a partir de la captura de trabas procedentes de un dialogo o conjunto de dilogos (sesiones) cliente-servidor, el origen de las demoras o cancelaciones de servicio.
Anlisis de Trfico
Tipos de anlisis que pueden generar un analizador de trfico: Anlisis de ruta/s Triggers & alarms: Usadas para detectar condiciones anmalas que se suceden en forma aleatoria.
Anlisis de Trfico
Tipos de anlisis que pueden generar un analizador de trfico:
Anlisis de ruta/s
Trending general: Este anlisis, tomado sobre una base de una semana hbil o
mas, permite determinar la utilizacin, Top talkers y distribucin de protocolos, sobre una condicin mas estable.
Anlisis de Trfico
Analizadores de trfico Es importante la placa de RED? Qu caracteristicas debe cumplir una placa de RED? Veamos ciertos fabricantes (ver pagina 39)
Anlisis de Trfico
RMON
Agentes RMON: Estructuras de informacin definidas en los dispositivos, tendientes a recopilar informacin de la red en forma pasiva, no intrusiva y a almacenar esta informacin en estructuras de memoria interna (registros, tablas, etc.). Para ello se puede apelar a dos tipos de agentes: Probes (sondas) por software residentes en los dispositivos (Ej. switches SS1000) Probes (sondas) por hardware conectadas a cada segmento de la red
Anlisis de Trfico
RMON Grupos rmon 1 (physical / data link layers):
Statistics History Alarm Event Muestra estadsticas para el segmento de LAN completo, no relacionado con hosts individuales Ej.: Paquetes totales, errores, broadcasts, distribucin de paquetes, etc. Muestra estadsticas en base al tiempo para un segmento completo de LAN. No genera trfico. (trfico, errores, etc.) Monitorea las estadsticas del MIB, dispara acciones si se supera el umbral establecido y no se tomas mas acciones hasta que el valor cae por debajo del valor de recupero Tabla de todos los eventos generados por el agente RMON, que pueden ser levantados o disparados por otros grupos RMON, tales como Alarm y Packet Filter. Cuando un evento se dispara, un numero de acciones tiene lugar (Ej.: envo de un trap, disparar una sesin de captura, etc.) Brinda estadsticas basadas en direcciones MAC, NO direcciones de red (Quien esta conversando?). Ej.: numero de paquetes, bytes, broadcasts, errores por cada estacin. Rankea los host mas activos, basado en trfico o errores. Brinda estadsticas basadas en pares de comunicacin entre direcciones MAC Ej.: Numero de paquetes enviados entre la estacin A y el server B. Permite establecer las condiciones contra parmetros existentes en los paquetes, ya sea para capturarlos como para monitorearlos
Host HostTopN Matrix Filter
Packet Captura paquetes en un buffer interno acordes a los parmetros definidos en el grupo Filter. Es particularmente til en www.netkonline.com Curso de Anlisis de Trafico Capture condiciones de error. Pagina: 116
Anlisis de Trfico
RMON Grupos rmon 2 (network layer).
Protocol Directory Protocol Distribution Address Translation Map Define que protocolos son capaces de ser reconocidos y contabilizados por RMON2 Contabiliza el numero de paquetes y bytes que han sido enviados por los protocolos definidos en el grupo anterior Provee un mapa entre las direcciones de capa 3 (red) y las direcciones fsicas MAC de capa 2 (enlace)
Network Layer Host Network Layer Matrix Application Layer Host Application Layer Matrix
Lista las direcciones de red y asocia los paquetes y bytes de entrada y salida de cada uno. Mantiene contabilizaciones de bytes y paquetes para cada conversacin detectada por los agentes Mantiene estadsticas respecto de las aplicaciones derivadas de la tabla de Network Layer Mantiene contadores de paquetes y bytes para cada conversaciones de layer de red basada por protocolo. Peridicamente muestrea objetos MIB definidos por el usuario Objetos de configuracin de dispositivos (varios)
User Defined History Probe Configuration
RMON Curso de Anlisis de Trafico Requerimientos de cumplimiento con la MIB de RMON2 Conformity
Anlisis de Trfico
SNMP SNMP V1 y V2 (RFC 1157) MIB I y II (RFC 1213) SMI (RFC 1211) ASN.1 (May87a)
Anlisis de Trfico
SNMP SNMP V1 y V2 (RFC 1157): Motor de comandos de gestin (PDUs) va
servicio de transporte IP y control no confiable UDP, basados en una consola (NMS) o cliente que debe polear a los agentes (servidores) en los dispositivos inteligentes acerca de estado, variaciones de umbrales o cambio de estado de alguno de los objetos definidos en el estndar MIB.
Anlisis de Trfico
SNMP MIB I y II (RFC 1213): Base de definiciones de objetos
administrables, formada por categoras (ip, systems, etc.) y variables (ipRoutingTable) que permiten saber a la consola NMS que es lo que puede administrar de un determinado agente.
Anlisis de Trfico
SNMP
SMI (RFC 1211): Conjunto de reglas o lenguaje en que se debe estructurar la MIB. ASN.1 (May87a): Lenguaje para codificacin para su transmisin en la red (BER) e identificacin de objetos en forma unvoca, basados en la definicin de la ISO, denominada object identifier Ej.: iso.org.dod.internet.mgmt.mib.ip.ipRoutingTable ...> esta identificada por... > 1.3.6.1.2.1.4.20
Anlisis de Trfico
EJEMPLOS DE UNA SECCION DE MIB rfc1213 ESTANDAR RFC1213-MIB DEFINITIONS ::= BEGIN IMPORTS mgmt, NetworkAddress, IpAddress, Counter, Gauge, TimeTicks
SNMP:
EJEMPLOS DE UNA SECCION DE MIB rfc1213 ESTANDAR.
FROM RFC1155-SMI OBJECT-TYPE FROM RFC-1212; -- This MIB module uses the extended OBJECT-TYPE macro as -- defined in [14]; -- MIB-II (same prefix as MIB-I) mib-2 OBJECT IDENTIFIER ::= { mgmt 1 } -- textual conventions DisplayString ::= OCTET STRING -- This data type is used to model textual information taken -- from the NVT ASCII character set. By convention, objects -- with this syntax are declared as having
Anlisis de Trfico
. -SIZE (0..255) PhysAddress ::= OCTET STRING -- This data type is used to model media addresses. For many -- types of media, this will be in a binary representation. -- For example, an ethernet address would be represented as -- a string of 6 octets. -- groups in MIB-II system OBJECT IDENTIFIER ::= { mib-2 1 } interfaces OBJECT IDENTIFIER ::= { mib-2 2 } at OBJECT IDENTIFIER ::= { mib-2 3 } ip OBJECT IDENTIFIER ::= { mib-2 4 } icmp OBJECT IDENTIFIER ::= { mib-2 5 } tcp OBJECT IDENTIFIER ::= { mib-2 6 } udp OBJECT IDENTIFIER ::= { mib-2 7 } egp OBJECT IDENTIFIER ::= { mib-2 8 } .
SNMP:
Anlisis de Trfico
-- historical (some say hysterical) -- cmot OBJECT IDENTIFIER ::= { mib-2 9 } transmission OBJECT IDENTIFIER ::= { mib-2 10 } snmp OBJECT IDENTIFIER ::= { mib-2 11 } --AO - SNMPv2-SMI (RFC1902) org OBJECT IDENTIFIER ::= { iso 3 } dod OBJECT IDENTIFIER ::= { org 6 } internet OBJECT IDENTIFIER ::= { dod 1 } directory OBJECT IDENTIFIER ::= { internet 1 } mgmt OBJECT IDENTIFIER ::= { internet 2 } mib-2 OBJECT IDENTIFIER ::= { mgmt 1 } transmission OBJECT IDENTIFIER ::= { mib-2 10 } experimental OBJECT IDENTIFIER ::= { internet 3 } private OBJECT IDENTIFIER ::= { internet 4 } enterprises OBJECT IDENTIFIER ::= { private 1 } security OBJECT IDENTIFIER ::= { internet 5 } snmpV2 OBJECT IDENTIFIER ::= { internet 6 } -- transport domains snmpDomains OBJECT IDENTIFIER ::= { snmpV2 1 } -- transport proxies snmpProxys OBJECT IDENTIFIER ::= { snmpV2 2 } -- module identities snmpModules OBJECT IDENTIFIER ::= { snmpV2 3 }
SNMP:
Anlisis de Trfico
c2900PortVisualIndicator OBJECT-TYPE SYNTAX INTEGER { notused(1), black(2), amber(3), green(4) } ACCESS read-only STATUS mandatory DESCRIPTION "This object is used to indicate the current color of a LED. If a LED is flashing, the value of this object will represent the color of the LED at that instant in time." ::= { c2900PortEntry 24 } c2900PortAddressViolationAction OBJECT-TYPE SYNTAX INTEGER { doNothing(1), disablePort(2), sendNotify(3), disablePortAndNotify(4)} www.netkonline.com
Pagina: 125
SNMP:
EJEMPLOS DE UNA SECCION DE MIB DE DISPOSITIVO: SWITCH CISCO CATALYST 2900.
Anlisis de Trfico
ACCESS read-write STATUS mandatory DESCRIPTION "Indicates what action to take when an address violation (an address mismatch or duplication) occurs on a secure port. The default action is to do nothing. doNothing(1) : do nothing disablePort(2) : disable port; the port can only be reenabled by an explicit management action. sendNotify(3) : generate address violation notification. disablePortAndNotify(4): disable port and send notification. Default value: doNothing(1)." DEFVAL { doNothing } ::= { c2900PortEntry 26 }
SNMP:
Anlisis de Trfico
c2900PortBroadcastStormAlarm OBJECT-TYPE SYNTAX TruthValue -Rsyntax INTEGER { true(1), false(2) } ACCESS read-write STATUS mandatory DESCRIPTION "When set to true(1), the switch will generate a broadcastStorm notification upon detecting a port is receiving broadcast packets at a rate higher than or equal to the specified broadcast threshold. When set to false(2), no such trap will be issued. Default value: false(2). c2900PortBroadcastStormAlarm is defined for each port."
SNMP:
----
Anlisis de Trfico
METODO DE PASOS PARA ANALISIS DE TRAFICO Y DIAGNOSTICO
DETECCION Y PRECISION DEL SINTOMA
RECOPILAR INFORMACION PRELIMINAR
Mtodo de trabajo
FASE 1 ENCUADRE DE OBJETIVOS INFORMACION ADICIONAL FORMULACION DE UNA PRIMERA HIPOTESIS DEL PROBLEMA
FASE 2 ESTRATEGIA DE MEDICION
FASE 3 INSTALACION DE LOS EQUIPOS, SEGUIMIENTO Y RECOPILACION DE LA INFORMACION
FASE 4 ANALISIS DE LOS DATOS Y DIAGNOSTICO PUBLICACION DE INFORME ACCIONES CORRECTIVAS
Anlisis de Trfico
Mtodo de trabajo Fase 1: encuadre de objetivos y obtencin de informacin bsica
1. A donde se desea llegar?
monitoreo?, Evaluacin?, Diagnstico de problema?
2. Cual es el sntoma y como se manifiesta?

como se manifiesta?, Cuando se manifiesta?, Donde?
3. En cuanto tiempo se desea llegar al diagnstico (marco temporal del estudio)? 4. Como esta diseada la infraestructura fsica y lgica? 5. Que caracteristicas tiene la tecnologa que la compone?
ENCUADRE DE OBJETIVOS
Diagnostico global
Diagnostico especifico
Monitoreo
Trafico Dispositivos Ambos
Analisis de aplicacion y su relacion con la red
Otro tipo de estudio especifico

(Ej. tunning, etc.)
LAN Propuestas de mejora de calidad Auditorias
LAN Auditoria y/o mejoras sectorizadas
LAN Total o Parcial
Diagnostico de problema de aplicacion
Certificaciones de cableado
BaseLining WAN Propuestas de mejora de calidad Auditorias WAN Auditorias y/o mejoras sectorizadas
WAN Total o Parcial
RTA Response Time Analysis
Modelizacion y/o simulacion
Discovery y/o documentacion Internet Internet LAN+WAN Total o Parcial Tunning de protocolos Intranets (Wan privada) Intranets (Wan privada)
Anlisis de Trfico
Mtodo de trabajo Fase 2: estrategia de medicin
1. Que tipo de anlisis se solicitara ? perfil de segmento?, Anlisis de ruta?, Carga y rendimiento de dispositivos?, Certificacin de link?, Captura de paquetes y anlisis experto postcaptura?, Triggers & alarms?, Trending general? 2. Que instrumental o software se utilizara ? tdrs?, Probes de LAN distribuidos? Cuantos?, Analizador de trfico simple?, Probes de WAN?, Software de monitoreo y descubrimiento de red / ruta?, Software de reporting de SNMP?
Anlisis de Trfico
Mtodo de trabajo Fase 2: estrategia de medicin
3. Cuanto tiempo estarn midiendo ? medicin puntual?, Trending? 4. Donde se colocaran los instrumentos ? en el puerto del cliente, del servidor o en ambos simultneamente?, En el puerto del servidor?, En el puerto del troncal?, En la entrada o salida del router? 5. Se usaran fuentes adicionales y/o cruzadas de informacin ? estadsticas entregadas por los sistemas operativos de los routers, switches o servidores, software de gestin de los dispositivos
Anlisis de Trfico
Mtodo de trabajo Fase 3: instalacin, seguimiento y recopilacin de mediciones.
1. Quien ser el interlocutor tcnico dentro de la organizacin ?
entrega de direcciones Ip y/o mibs de dispositivos. acceso a los sistemas operativos del servidor/routers. establecimiento de port-mirroring en switches. control de las sondas y su correcto funcionamiento. coordinacin con el sector usuario. coordinacin de remocin de las sondas.
Anlisis de Trfico
Mtodo de trabajo Fase 4 anlisis de resultados, diagnstico y acciones correctivas.
1. Cual es el motivo exacto o supuesto del problema ? Puede precisarse con seguridad?, Hay pruebas que surgen de los estudios precedentes?, Se infiere como posible en base a las mediciones obtenidas? 2. Por que se produce? Cual es el origen del problema?, Puede prevenirse o evitarse? 3. Que se debe realizar para evitarlo? Que acciones correctivas deben ser tomadas?, Que mediciones posteriores deben realizarse para corroborar la correccin del problema?, Evaluacin costo-beneficio.
DIAGRAMA DE RED GEOGRAFICA ORGANIZACION FECHA

Interfaz LAN IP / Mask= MAC =
Interfaz WAN IP / mask=

Router
Veloc.
Sucursal 1 Localidad IP
Frame Relay X.25
Veloc.
Veloc.
Router
Router central
Administracion Central Localidad IP
Pun to Velo a Punto cida d
Router
Satellite
Satellite dish
Satellite dish
Enlace de radio Tecnologia y velocidad
Radio tower
Radio tower
Tipo de Link
DIAGRAMA DE FISICO DE LA RED LOCAL ORGANIZACION: FECHA:

Hub/switch piso 12
Tipo de link UTP / Fibra

Hub
Estacion Cliente IP MAC
Hub/switch piso 11
Hub
Hub/switch piso 10
Hub
Flujo de la informacion
MAC - IP
Switch central
Hub Piso 1
MAC - IP
Servidor + Router
Hub Piso 2
MAC - IP
Hub Piso 3
MAC - IP
Curso de Anlisis de Trafico xx Servidor
DIAGRAMA LOGICO DE LA RED LOCAL ORGANIZACION: FECHA:
Hub piso
Dominio de colision # 1 Redes logicas definidas: IP - IPX - etc
Hub piso
BACKBONE - Estandar
Switch
VLAN #1
VLAN #2
IBM Compatible
VLAN #3
www.netkonline.com
Bridge (marca - modelo - IP)
IP address Uso
IP address Uso
IP address Uso
14
MAC address IP address Uso
CONFIGURACION Y USO DE LOS PRINCIPALES EQUIPOS DE CONECTIVIDAD
13
Puertos WAN
HUB / Switch (Marca - Modelo - Velocidad - version OS - IP address - Observaciones)
12

G.703
11

HSSI
10
Router (Marca - Modelo - Version IOS - Usos)
MAC address
Uso
RS232
MAC address
IP address Uso
Uso
IP address
MAC address
IP address Uso
IP address Uso
MAC address
IP address Uso
V.35
2Mbps
RS232
IP address Uso
MAC address
IP address Uso
V.35
IP address Uso
IP address Uso
Bridge (marca - modelo - IP)
MAC address
Radio tower
Radio tower
IP address
RS232
Lan port
MAC address
MAC address
IP address
IP address
MAC address
Puertos LAN
Uso
Uso
MAC address
Uso
Uso
MAC address
MAC address
IP address Uso
IP address Uso
Lan port
IP address
IP address

3
2
Pagina: 138
CONFIGURACION DE VLANS Y SWITCHING DE LAYER 3

Subnet Asignada Tag Method?
VLAN ID
Nombre
Sector de la empresa
Switch unit
Ports
Router address
Anlisis de Trfico
KIT DE ANLISIS DE TRFICO
Notebook y/o desktop patchcords derechos y cruzados cortos patchcords derechos y cruzados largos hubs 10/100mbps autosense zapatillas, alargue y adaptadores para tomas de tensin en todas las normas CD con utilitarios y software de anlisis de trfico empalmes hembra- hembra cable null modem destornillador y perillero etiquetas y precintos block para notas y birome / marcador cutter Formularios de relevamiento y anotadores Silla y mesa plegable, para ser utilizada en cuartos de cableado
Anlisis de Trfico
SITES EN INTERNET PARA OBTENER DE INFORMACION ON LINE nai.com/asp_set/buy_try/try/products_e vals.asp Ipswitch.com netcomsystems.com net-reality.com/bcr_tuneup adc.com/access/splbs nmss.com visualnetworks.com/bcr intrak.com aggroup.com/demos ixia.com agilent.com
http://www aguilaryasociados.com.ar networkinstruments.com packeteer.com podbooks.com packet-level.com networkmanagementguide.com shomiti.com
Anlisis de Trfico
Bibliografia relacionada con el anlisis de trfico y los protocolos Novell guide to netware lan analisys Laura Chapell Novell Press TCP/IP, Volumen 1 Douglas Commer Editorial Prentice Hall SNMP V2 y RMON Stallings Editorial Prentice Hall
Anlisis de Trfico
FIN

Analisis de Trafico

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Analisis de Trafico

Enviado por

Direitos autorais:

Formatos disponíveis

Mdulo 6 Anlisis de Trfico

CARRERA DIPLOMATURA EN TELECOMUNICACIONES Y REDES DE DATOS Docente: Julio Locatelli

Curso de Anlisis de Trafico

Curso de Anlisis de Trafico

Curso de Anlisis de Trafico

Curso de Anlisis de Trafico

Curso de Anlisis de Trafico

Curso de Anlisis de Trafico

Curso de Anlisis de Trafico

Curso de Anlisis de Trafico

Curso de Anlisis de Trafico

Curso de Anlisis de Trafico

Curso de Anlisis de Trafico

Curso de Anlisis de Trafico

Como es la secuencia de diagnostico tradicional?

Hipotesis de trabajo mas probable

Nueva hipotesis de trabajo

Analisis y mediciones Interpretacion de los resultados

Curso de Anlisis de Trafico

Curso de Anlisis de Trafico

Curso de Anlisis de Trafico

Curso de Anlisis de Trafico

TIA/EIA basic link 90 m Patch Panel L2

Hub Patch Panel L3

Cuarto de cableado L1 + L2 + L3 = 10 m maximo

Curso de Anlisis de Trafico

Curso de Anlisis de Trafico

Curso de Anlisis de Trafico

Curso de Anlisis de Trafico

Curso de Anlisis de Trafico

Curso de Anlisis de Trafico

Mas informacin On Line: www.fluke.com/nettools www.cabling-design.com www.cabletesting.com www.siemon.com www.faqs.org/faqs/LANs/cabling-faq

Curso de Anlisis de Trafico

Curso de Anlisis de Trafico

Presencia dentro de OSI

Curso de Anlisis de Trafico

10Mbps 10Mbps 10Mbps

Coaxial RG213 Coaxial RG58 FOMM 62.5/125um

500 185 1000

Curso de Anlisis de Trafico

UTP level 3 o sup.

No hay (0.3 tpica)

Curso de Anlisis de Trafico

Conexin HUB-HUB No fue adoptado

100Mbps (200Mbps en fullduplex)

UTP level 5, 2 pares STP 150 Ohm

Curso de Anlisis de Trafico

100Mbps (200Mbps en fullduplex)

412 (2000 en full-duplex)

High-quality shielded twisted pair

Curso de Anlisis de Trafico

1000Mbps (2000Mbps en full-duplex)

1000Mbps (2000Mbps en full-duplex) 1000Mbps (2000Mbps en full-duplex)

Fomm (MonoMod o) UTP level 5 o superior

Curso de Anlisis de Trafico

No fue desarrollado por ningn fabricante

Curso de Anlisis de Trafico

FRAME ETHERNET II (DIX)

Curso de Anlisis de Trafico

FRAMES ETHERNET 802.3

Curso de Anlisis de Trafico

FRAME ETHERNET 802.2 (LLC)

Curso de Anlisis de Trafico

FRAME ETHERNET SNAP (SubNetwork Access Protocol)