Alles klar im Netzwerk?

Matthias Lichtenegger ist Country Manager Deutschland, Österreich und Schweiz bei Wildpackets.

Ein Netzwerk-Administrator muss stets wissen, was in seinem Netzwerk läuft. Ein probates Mittel dafür ist das Netzwerk-Monitoring. Darunter versteht man das kontinuierliche Beobachten von Hardwarekomponenten (Switches, Router, Server) und Diensten (Webserver, E-Mail, DNS) sowie des Datenverkehrs und dessen Wege. Dabei werden statistische Informationen gesammelt und kumuliert. So bekommen Netzwerkverantwortliche einen Einblick über potenzielle Engpässe, eine Grundlage für Investitionsentscheidungen oder auch einen ersten Anhaltspunkt bei tatsächlichen Problemfällen. Ab einer bestimmten Relevanz des Netzwerkes - welche unabhängig von der Grösse sein kann und sich vielmehr an der Geschäftstätigkeit des Unternehmens orientiert - kommt kein Administrator um die Nutzung von Werkzeugen zur Darstellung seiner EDV herum.

Eine wichtige Unterscheidung beim Netzwerk-Monitoring wird mit den Begriffen «passiv» und «aktiv» getroffen. Während beim passiven Monitoring nur gelauscht wird, also lediglich Werte gesammelt werden, sendet man beim aktiven Monitoring zusätzliche Pakete ins Netz und wertet die Reaktionen darauf aus.

Kleine und mittlere IP-Netze werden oft unter Einsatz der Protokolle SNMP (Simple Network Management Protocol) und WMI (Windows Management Instrumentations) verwaltet und überwacht. SNMP wurde entwickelt, um Netzwerkelemente von einer zentralen Station aus zu kontrollieren. Dies geschieht in einem so genannten Pull-Mechanismus, der Zähler und Konfigurationen von Layer-2-Geräten ausliest. Das SNMP-Protokoll regelt dabei die Kommunikation zwischen den zu überwachenden Geräten und einer zentralen Station.

Werden die Netzwerke grösser, kommen oft das Cisco-proprietäre Protokoll SAA (Service Assurance Agent) sowie NetFlow und sFlow zum Einsatz. SAA gilt als Äquivalent Ciscos zu Microsofts WMI, denn es ist im Cisco-Betriebssystem IOS (Internetworking Operating System) eingebettet. Damit kann man Network Delay, Paketverlust, Jitter, Verfügbarkeit und One-Way-Latency aus Sicht der Komponenten auslesen. Auch NetFlow wurde ursprünglich von Cisco entwickelt, wird aber nunmehr von weiteren Herstellern unterstützt. Im Gegensatz zu SNMP senden mit NetFlow die Komponenten über UDP (User Datagram Protokoll) beständig ihre Zählerstände an eine Kollektorstation. Da UDP ein verbindungsloses Protokoll ist, muss die Kollektorstation alle Pakete immer gut empfangen können. Sonst sind die Informationen verloren, da sie nicht mehr wiederhergestellt werden können. Auch stösst NetFlow bei einer hohen Linkgeschwindigkeit an seine Grenzen. Dies, weil die CPU durch das Erfassen und Weiterleiten der Statistiken zu stark belastet werden kann.

Um künstlich geschaffenen Engpässen aus dem Weg zu gehen, entstand die Idee der Sample-basierten Bewertung. Diverse Bestrebungen mehrerer Hersteller von Netzwerkkomponenten fanden im Standard sFlow ihen Niederschlag. Hierbei wird in einem bestimmten Intervall eine Stichprobe genommen und die daraus gewonnenen Informationen werden hochgerechnet.

Im Gegensatz zum internen Monitoring werden beim externen Monitoring dedizierte Geräte für das Sammeln und Aufbereiten der Daten verwendet. In diesen Bereich fällt auch die Deep Packet Inspection. Sie bietet in grossen Netzen und in IP-Netzen mit Echtzeitanforderungen eine Möglichkeit, um passives Netzwerk-Monitoring zu betreiben. Dieses wiederum ist Bestandteil der Netzwerkanalyse. Mit dieser werden die tatsächlichen Datenpakete von der Leitung genommen und in Echtzeit ausgewertet. So ist der Netzwerkadministrator immer exakt im Bilde und diese Informationen sind auch im Sinne einer forensischen Beweisführung anerkannt.

Bis dato kommt die Netzwerkanalyse vorwiegend beim Troubleshooting zum Einsatz, wenn die Statistiktechnologien nicht ausreichend tiefgehende oder aufgrund von Hardware-Überlastung oder -Defekten falsche Informationen liefern. Ein professioneller Analyser ist aber in nahezu jedem geschäftskritischen Netzwerk im Einsatz. Je nach Grösse und Anforderung der Verfügbarkeit ist dies ein mobiles Gerät für reaktives Troubleshooting oder mehrere verteilte Prüfköpfe (Probes) an neuralgischen Verkehrsknoten für eine pro-aktive Kontrolle der Dienstgüte. Moderne Analyselösungen kombinieren zudem häufig mittels Deep Packet Inspection gewonnene Daten mit NetFlow- oder SNMP-Zählern sowie anderen Informationen aus Datenbanken.

Unternehmen sollten sich vor der Einführung einer Netzwerk-Monitoring-Lösung über die für sie relevanten Anforderungen im Klaren werden und von einem professionellen Anbieter eine entsprechende Checkliste erstellen lassen. Darauf aufbauend können die verfügbaren Produkte evaluiert werden. Bei der Erstellung eines Anforderungskatalogs erkennt man auch, welche Mitarbeiter mit welchen Werkzeugen arbeiten möchten und können.

Ausgehend von der Geschäftsrelevanz ist es wichtig, die richtige Kombination aus Techniken, ihrer Wartungsintensität und der Aussagekraft der gewonnenen Informationen zu finden. Mit der flächendeckenden Einführung von VoIP hält letztendlich eine Echtzeitapplikation auch in Unternehmen Einzug, die bisher von diesen Anforderungen an Quality of Service verschont waren. Insofern wird es immer wichtiger, sich in Echtzeit über die Zustände im Netzwerk zu informieren und so die Verfügbarkeit zu gewährleisten.