Für das Netzwerkmonitoring kommen in der Regel drei Mechanismen zum Einsatz, die sich in der Detailgenauigkeit der Daten und den Anforderungen an die zu überwachenden Umgebungen voneinander unterscheiden. Jeder Mechanismus hat seine Vor- und Nachteile. Bevor man sich für einen von ihnen entscheidet, sollte man sie also genauer unter die Lupe nehmen und den am besten geeigneten Mechanismus auswählen.
Monitoring via SNMP
Bei der SNMP-basierten Überwachungsmethode werden Netzwerkgeräte nach einem bestimmten Parameter und dessen Wert abgefragt. SNMP wird häufig zur Überwachung von Parametern wie CPU-, Speicher- oder Netzwerkschnittstellenauslastung verwendet. Die SNMP-Abfrage ist relativ klein, so dass sie für eine kontinuierliche Abfrage und Echtzeitüberwachung verwendet werden kann. Auf diese Weise können wir die Belastungswerte der kritischen Netzelemente ermitteln. Leider sagen uns die Ergebnisse, die wir erhalten, nicht alles. Im Falle der Auslastung der Netzwerkschnittstelle kennen wir zwar den Wert dieser Auslastung, aber via SNMP können wir nicht feststellen, was die Ursache dafür ist. Das bedeutet, dass wir nicht herausfinden können, wer die meisten Informationen sendet oder welche Art von Daten gesendet werden. Daraus können wir schließen, dass SNMP nicht unbedingt ein Verfahren zur Überwachung des Netzwerkverkehrs ist, sondern sich eher für die Überwachung von Geräten eignet. SNMP kann daher nicht nur für die Netzwerküberwachung, sondern auch für die Überwachung von Computern und anderen Geräten nützlich sein.
Monitoring durch Aufzeichnung des gesamten Netzwerkverkehrs (Full-Packet-Capture)
Auf der anderen Seite der Genauigkeitsskala steht die Aufzeichnung des gesamten Netzwerkverkehrs und dessen anschließende Archivierung und Analyse. Die Infrastruktur des Full-Packet-Capture (FPC) -Tools erfordert die Installation zusätzlicher Geräte (Sonden), an die eine Kopie des Netzverkehrs übermittelt wird. Der Verkehr wird über SPAN/Mirror-Port-Mechanismen, die auf Switches und Routern verfügbar sind, oder über spezielle, in der Leitung installierte Geräte, sogenannte Paket-Broker oder einfachere TAP-Geräte, übertragen. Wie bereits hier zu sehen ist, wird die Infrastruktur dadurch sehr kompliziert und erfordert zusätzliche finanzielle Investitionen.
In Bezug auf die Genauigkeit von Netzverkehrsmessungen ist die Full-Motion-Aufzeichnung des Datenverkehrs unübertroffen. Jedes Paket wird erfasst und aufgezeichnet. Zudem ist es möglich, das Paket vollständig zu verfolgen und seine Auswirkungen auf die Netzwerkleistung zu untersuchen. Die Messung von Werten wie der Latenzzeit, ihren Schwankungen und sogar die genaue Messung erneuter Übertragungen ist bei der vollständigen Aufzeichnung des Datenverkehrs kein Problem. Außerdem haben wir Zugriff auf den Inhalt der Pakete (Nutzlast), so dass wir auch etwas über den Inhalt der Kommunikation erfahren können – zumindest über unverschlüsselte Inhalte.
An dieser Stelle ist ein weiterer Nachteil der FPC-Analyse zu erwähnen. Die Aufzeichnung des verschlüsselten Datenverkehrs bringt uns keinen zusätzlichen Nutzen, als dass wir die Kommunikationspartner, die verwendeten Protokolle und die Netzwerkperformancekennzahlen kennen. Der fehlende Einblick in den Inhalt der verschlüsselten Kommunikation bedeutet hingegen, dass wir keinen zusätzlichen Nutzen aus der Aufzeichnung des Datenverkehrs ziehen, sondern nur, dass wir enorme Kosten für die Speicherung der Aufzeichnungen aufwenden müssen. Es sollte erwähnt werden, dass eine kontinuierliche Aufzeichnung des Traffics mit einem Durchsatz von 10 GBit/s, die Speicherung von 75 GByte Daten pro Minute, also mehr als 100 TByte Daten pro Tag erfordert. Jeden Tag! Solche Datenmengen sind nicht nur schwer zu analysieren, auch die Speicherung ist problematisch.
Als Mittelglied dient die Überwachung via Netflow
Hier handelt es sich um ein Verfahren, das auf der Erfassung und Analyse von Metadaten des Netzwerkverkehrs basiert, die von Switches und anderen Netzwerkgeräten gesendet werden. Netflow liefert nicht nur volumetrische Daten über den Netzwerkverkehr, sondern zeigt auch die Seiten der Netzwerkkommunikation, die Art der in der Kommunikation verwendeten Protokolle und Anwendungen sowie andere Netzwerkmetriken (VLAN, QoS usw.) an.
Mit der Entwicklung von Netzwerkgeräten wurde auch das Netflow-Protokoll modifiziert. Seine neueste Version IPFIX kann zusätzlich Informationen über Traffic-Performance-Metriken (NPM) und manchmal sogar Informationen über den Inhalt einer solchen Kommunikation liefern (grundlegende Daten aus Nutzdatenpaketen, aber nicht der gesamte Inhalt der Kommunikation). Der große Vorteil des Netflow-Protokolls besteht darin, dass es oft von den Herstellern von Netzwerkausrüstung verwendet wird. Wenn jedoch der Hersteller des von uns verwendeten Geräts nicht über eine solche Möglichkeit verfügt oder die gelieferten Daten von unzureichender Qualität sind, bietet Netflow die Möglichkeit, zusätzliche Sonden, wie im Fall von FPC, zu verwenden. Die Verwendung von Netflow-Sonden verursacht zwar zusätzliche Kosten und eine höhere Komplexität der Infrastruktur, ist aber mit wesentlich geringeren Kosten verbunden als die Aufzeichnung des Datenverkehrs durch die Sonde. Auch die generierte Datenmenge ist deutlich kleiner als bei der Erfassung aller Pakete, was die Kosten für die Datenspeicherung auf ein Minimum reduziert. Der Einfachheit halber kann davon ausgegangen werden, dass die Menge der Netlow-Daten etwa 0,2-0,5 % des ursprünglichen Netzverkehrs ausmacht, der mit Netflow überwacht wird.
Fazit von Sycope: „Welche Methode der Netzwerküberwachung ist für Sie am besten geeignet? Nachdem Sie die Merkmale der einzelnen Methoden kennengelernt haben, können Sie besser einschätzen, welche Methode für Sie am besten geeignet sein könnte. Sie werden auch sehen, dass nicht alle Ihre Erwartungen erfüllt werden können. Höchstwahrscheinlich wird die beste Methode zur Überwachung Ihres Netzes eine Kombination aus zwei der drei Methoden sein. Nur dann werden Sie die Ziele erreichen, die Sie sich selbst gesetzt haben.“
#Sycope
