Am Netzwerkmonitoring ist nichts Mysteriöses

Allegro 3500 zur Analyse großer Netzwerke
Allegro 3500 zur Analyse großer Netzwerke

Jeder IT-Mitarbeiter sollte wissen, wie das Monitoring funktioniert, denn es bildet den Schlüssel zum Verständnis der Netzwerke.

Das Netzmonitoring bzw. die Netzwerkanalyse ist und bleibt der Einstiegspunkt für einen ordentlichen IT-Betrieb. Die Netzwerkanalyse stellt jedoch eine komplizierte Aufgabe dar und erfordert vom Netzadministrator viel Wissen. Neben der Vielfalt an eingesetzten Netzkomponenten, einem heterogenen Mix von Client-Geräten und den verschiedenen Applikationsmodellen, müssen eine Vielzahl weiterer relevanter Datenquellen überwacht und verstanden werden:

  • Die jeweiligen Datenpakete, die von den Clients erzeugt werden,
  • Echtzeit-Metriken und die draus entstehenden Probleme der Netzinfrastrukturen,
  • Logs bzw. Konfigurationen der Netzinfrastrukturen und Servern sowie
  • APIs der Anwendungsserver.

Die für die Netzanalyse genutzten Werkzeuge sollten in der Lage sein, die gesammelten Netzdaten im Detail darzustellen und sollten mit anderen Daten aus dem Netzwerk korreliert werden können. Nur so lassen sich gezielt die aufgetretenen Probleme isolieren bzw. die Trends im Netzwerk erkennen.

Ein großer Teil der heute im Markt verfügbaren Monitoring-Lösungen weist jedoch in der Darstellung und der Aufbereitung der gesammelten Daten erhebliche Schwächen auf. Meist wird der Netzadministrator mit einer Vielzahl von Graphen und Rohdaten konfrontiert, deren Bedeutung erst noch mühsam gelernt werden muss. Die Praxis zeigt, dass erst mit dem richtigen Verständnis der jeweiligen Parameter der notwendige Nutzen abgeleitet werden kann. Ein alltagstaugliches Netzmanagementwerkzeug sollte jedoch in der Lage sein, komplexe Fragen selbständig zu beantworten, automatisch Aktionen bzw. Reaktionen auf bestimmte Ereignisse vorzuschlagen und einen Rückkopplungsmechanismus zur Verfügung stellen.

Eine tiefgehende Analyse beantwortet komplexe Fragestellungen

Die von den Benutzern gemeldeten Störungen basieren in der Regel auf komplexen Fragestellungen und erstrecken sich oft über die gesamte Dateninfrastruktur des Unternehmens. Meldet beispielsweise ein Benutzer auf der 9. Etage des Gebäudes 5 eine schlechte Qualität eines oder mehrerer VoIP-Telefonate, kann aus der Fragestellung nicht sofort abgeleitet werden, ob der Verursacher des Problems im WLAN, im LAN, im WAN oder in der Anwendungsebene zu suchen ist. Kommt ein Telefonat überhaupt nicht zustande, dann kann es daran liegen, dass keine Verbindung zum Netzwerk hergestellt werden kann. Dieses Problem kann wiederum in den Bereichen RADIUS, DHCP, ARP, DNS und der Verkabelung seine Ursachen haben.

Moderne Analysewerkzeuge müssen daher in der Lage sein, auf allen Schichten des Netzwerks die relevanten Fragen beantworten zu können. Im folgenden Absatz werden einige praktische Beispiele dargestellt:

  • Um 12:00 Uhr und um 12:28 Uhr konnte sich Nutzer 1 sich mit seinem Laptop nicht mit dem drahtlosen Netzwerk verbinden. Aber um 12:15 Uhr funktionierte die Verbindung kurzzeitig. Warum?
  • Um 1 Uhr war das Tablet von Nutzer 2 mit VLAN 100 verbunden und es wurden DHCP-Timeouts gemeldet. Um 2:15 war das Gerät plötzlich mit VLAN 200 verbunden und die DHCP-Transaktionen funktionierten.

Die einzelnen Clients, die Protokolle, die Zeitskalen und viele andere Informationen bilden die notwendigen Basisdaten für das Netzmanagement. Der schwierigste Teil des Analyseprozesses besteht darin, die Daten von Hunderten oder Tausenden von Datenquellen miteinander sinnvoll zu korrelieren. In der Praxis werden auf komplexe Fragestellungen schnelle Antworten erwartet. Hierzu übersetzen beispielsweise die Allegro-Network-Multimeter die gesammelten Informationen in mehrdimensionale Schaubilder. Zur Darstellung und zur Verarbeitung der aufgezeichneten Informationen nutzt das Allegro-Network-Multimeter zwei Speicherbereiche:

  • Den In-Memory Speicher und
  • den Ringpuffer-

In-Memory Speicher

Das Gerät nutzt eine In-Memory-Datenbank und speichert darin die Metadaten der verarbeiteten Pakete. Alle Informationen stehen somit in Echtzeit zur Verfügung, einschließlich der Verlaufsgrafiken des Datenverkehrs für das gesamte Gerät, pro MAC-Adresse, pro IP-Adresse oder sogar pro Protokoll. Zusätzlich lassen sich die Grafiken anklicken, um in ein bestimmtes Zeitfenster zu zoomen und die Messergebnisse nur für dieses Zeitfenster darzustellen.

Standardmäßig zeigen alle Diagramme den Netzwerkverkehr mit einer Auflösung von einer Sekunde an. Der Detaillierungsgrad für ältere aufgezeichnete Verkehre wird jedoch automatisch reduziert. Hierzu hat der Administrator die Möglichkeit in den Systemeinstellungen die Grafikauflösungen und die Reduktionswerte anzupassen. Diese Einstellungen bewirken entweder detailliertere Grafiken oder längere Datenspeicherzeiten.

Das Allegro-Network-Multimeter speichert keine im In-Memory abgelegten Metadaten dauerhaft. Daher kann das Gerät auch in sicherheitssensiblen Bereichen eingesetzt werden.

Will man trotzdem die aufgezeichneten Informationen dauerhaft speichern, dann empfiehlt sich die Nutzung eines Paketringpuffers.

Ringpuffer

Im Ringpuffer werden alle aufgezeichneten Pakete abgelegt. Da es sich bei den abgelegten Daten oftmals um sensible Informationen handelt, sollten diese durch eine Festplattenverschlüsselung geschützt werden. Die Aufgabe des Paketringpuffers besteht darin, das Extrahieren von Datenverkehren aus der Vergangenheit zu ermöglichen. Filter kontrollieren, welche Pakete im Ringpuffer abgelegt werden. Für die Auswahl der zu speichernden Pakete können beispielsweise folgende Filterfunktionen genutzt werden:

  • Es sollen nur bestimmte Teile des Datenstroms aufgezeichnet werden.
  • Die Daten eines Geräts bzw. einer Anwendung sollen im Ringpuffer abgelegt werden. Für die Analyse bzw. die weitere Verarbeitung sind nur die unteren drei Schichten des Datenstroms notwendig.

Eine der wichtigsten Anforderung des Netzwerbetriebs besteht darin, dass die Administratoren weder auf die Benutzer warten wollen, um deren IT-Probleme entgegen zu nehmen, noch die Zeit haben in einem Berg von Informationen nach der Nadel im Heuhaufen zu suchen. Ein Analysewerkzeug sollten daher über gewisse Automatismen verfügen, die bestimmte problematische Bereiche automatisch anzeigt. Bei der Analyse von Paketverlusten kommt es darauf an, auf welcher Datenbasis die Fehler gesucht werden. Treten die Paketverluste bei einer geringen Auslastung des Netzwerks auf oder nur bei maximaler Auslastung? Für die Fehleranalyse ist es wichtig, dass der Administrator weiß, wann ein Paketverlust auftritt, wie lange dieser dauert und wie oft im Netz die Ressourcen voll ausgelastet sind. Auch genügt es nicht die Durchschnittslast in einem bestimmten Zeitintervall zu untersuchen. Ein Mittelwert der Auslastung einer 1-GBit/s-Leitung wird beispielsweise mit 100 MBit/s dargestellt. Da es sich nur um den Mittelwert handelt, lässt sich davon nicht ableiten,

  • ob der Link zu 10 Prozent der Zeit komplett ausgelastet und die restliche Zeit dafür gar keinen Verkehr zu verarbeiten hatte oder
  • ob der Link kontinuierlich mit gleichmäßigem Verkehr zu 10 Prozent ausgelastet war.

Bei der Analyse einer schlechten Performance kommt es darauf an, zu wie viel Prozent der Zeit die untersuchte Verbindung unter Volllast betrieben wurde. Liegt der Wert bei null Prozent, können Probleme auf Basis von Bandbreitenüberlast ausgeschlossen werden. In dem Fall müssen die Probleme auf einer anderen Ebene gesucht werden. Bei allen anderen Werten ist das Netz punktuell bzw. flächendeckend überlastet. Typische Ursachen für eine solche Überlast sind beispielsweise Backups, große Datei-Transfers oder Windows-Updates, die kurzfristig das LAN bzw. das WLAN ans Limit treibt.

Fazit

Die Netzanalyse bietet den IT-Administratoren die notwendigen Hilfestellungen zur Bewältigung des Arbeitsalltags. Mit Hilfe der richtigen Werkzeuge lassen sich in den Netzwerken und den an den LANs angeschlossenen IT-Systeme die Probleme schnell erkennen und beseitigen.

#Netzpalaver #Allegro