NEWS > 27.11.2009 - Neuer Funkschau-Artikel verfügbar: Intelligenter tes ...

Neuer Funkschau-Artikel verfügbar: Intelligenter testen im Netzwerk

Test Access-Ports (TAPs) liefern Administratoren wichtige Diagnose- und Performance-Informationen über das Netzwerk. Intelligent-Taps können aber noch weit mehr, als eine Kopie jedes Datenpakets anzufertigen.

Je schneller das Netz, desto besser für die Anwender. Im Backbone gilt mittlerweile 10 Gigabit-Ethernet als Standardtechnologie für Neuinstallationen, Pilotanwender nutzen 40 und 100 Gigabit. Für Administratoren stellen die hohen Bandbreiten eine große Herausforderung dar. Die riesige Datenmenge erschwert das Monitoring von Applikationen, von der Fehlersuche ganz zu schweigen. Schon der Zugriff auf die Pakete gestaltet sich schwierig. Wenn es darauf ankommt, Pakete aller OSI-Layer zu erkennen, bleibt nur die Installation von einem oder mehreren Test-Access-Ports (TAPs).

Director™ - Data Monitoring Switch/Intelligent Tap Implementation
Zum Vergrößern bitte anklicken

TAPs können zwischen zwei beliebigen Netzwerkgeräten wie Router, Firewalls und Switches eingeschleift werden. Die Analyse- oder Monitoring-Anwendung wird dann an den oder die dedizierten Ausgabe-Ports des TAP angeschlossen. Dankbare Abnehmer sind Protokollanalyzer, RMON-Probes oder Intrusion Detection und Prevention Systeme (IDS/IPS). Das An- und Abstecken der Analysesysteme kann je nach Bedarf erfolgen, es hat keinen Einfluss auf die überwachte Netzwerkverbindung. Allerdings muss das Netzwerk einmal unterbrochen werden, um den TAP einzuschleifen. Verständlich, dass die IT-Abteilung solche Eingriffe auf ein Minimum beschränken will.

Einmal drin, immer drin
Intelligent-TAPs wie der Director von Net Optics sind in der Lage zahlreiche Netzwerkverbindungen zu überwachen. Es gibt Regeneration-TAPs, die die Daten einer Netzwerkverbindung auf mehrere Ports für mehrere Überwachungssysteme replizieren und Aggregation-TAPs, die die Daten von verschiedenen überwachten Links auf einem Überwachungsport sammeln. Je nach Hersteller und Art des TAPs sind auch Media- Konversionen möglich, zum Beispiel von herkömmlichen RJ-45 10/100/1000 Ethernet auf 10-Gigabit XFP Monitoring Ports. Auch die Mischung von kupfer- und optischen Medien in einem TAP ist möglich.

Intelligent- APs verfügen über sehr leistungsstarke CPUs und Signalprozessoren. Bei Net Optics heißt die Technik TapFlow, die neben der reinen Kopie von Netzwerkverbindungen auf andere Ports auch Filterfunktionen übernehmen kann. So lassen sich aus einer überwachten Datenverbindung in Abhängigkeit des verwendeten Protokolls, von IP-Adressen, Ports oder sogar den Nutzdaten innerhalb eines Pakets einzelne Ströme herausfiltern und gezielt an Analysegeräte weiterleiten. Damit ist eine Vorauswahl der Diagnosedaten möglich, die die Analysetools entlasten und die spätere Auswertung verkürzen. Zum Beispiel könnte man Datenbank-Netzwerkverkehr zu einem speziellen Analyzer oder Rekorder schicken, um mit den SOX-Anforderungen konform zu gehen. PCI-relevanter Traffic ließe sich zu einem anderen Analyzer dirigieren und das IDS-System bekommt eine Kopie aller Datenpakete.

Ebenfalls möglich ist die Trennung von Signalisierung und Nutzdaten. So kann der Gesprächsauf- und Abbau sowie der Handshake-Prozess von VoIP-Traffic auf einen Monitoring-Port zur Beobachtung gelegt werden, die Sprachdaten werden entweder aus Datenschutzgründen transparent durchgeleitet oder, wenn es sich um rechtlich relevante Gespräche handelt, auf einen anderen Port zur Speicherung kopiert. Durch die hohen Durchsätze der Backplane sind die gleichzeitige Überwachung mehrerer Netzwerkverbindungen und die zeitgleiche Auswertung über ein Analysegerät machbar. So werden bestehende Analysetools optimal ausgelastet, Neuinvestitionen vermieden oder verzögert.

Net Optics Director™ - Für eine animierte Vorstellung bitte anklicken

Modular für mehr Flexibilität
Enterprise-Tools wie Intelligent-TAPs müssen mit aktuellen und zukünftigen technischen Standards im Netzwerk klar kommen. Dazu sollten die Chassis der Geräte unterschiedliche Medienmodule aufnehmen und beliebig kombinieren können. Alle zurzeit auf dem Markt angebotenen Systeme unterstützen 10 Gigabit Ethernet, zum Teil sind bis zu 24 Ports pro Chassis möglich. Net Optics ' Director erlaubt bis zu vier 10 Gigabit XFP- Ports und 34 Gigabit-Anschlüsse. Alle ausgehende Gigabit-Ports sind mit SFP-Modulen bestückbar, so dass je nach Aufgabe flexibel entschieden werden kann, ob ein Kupfer- oder ein Glasfasermedium eingesetzt wird.

Dazu kommt eine Mischung aus In-Line und Span-Ports. Beim In-Line Einsatz ist der TAP in die zu überwachende Leitung eingeschleift, auf Span-Ports kopiert der TAP die überwachten Netzwerkdaten. Geräte für den Enterprise- Einsatz sollten in der Lage sein, eine schnelle Verbindung, sei es 10 oder 1 Gigabit, auf langsamere Medien herunterzubrechen. Dabei hat es große Vorteile, wenn die Datenmenge per Load- Balancing auf mehrere, langsamere Verbindungen verteilt werden kann. Besonders bei 10 Gigabit ein enorm wichtiges Feature denn die wenigsten Links sind auch nur annähernd ausgelastet. Allerdings gibt es im Moment noch wenige Analyse-Tools mit 10 Gigabit Interface und die angebotenen Systeme sind signifikant teurer als ihre 1 Gigabit Kollegen.

Aktuelle Geräte sind meist in der Lage, selbst einfache Monitoring- Aufgaben zu übernehmen. Netzwerkstatistiken wie absolute Auslastung, Auslastung nach Protokollen oder IP-Adresse werden per SNMP übermittelt und ausgewertet. Bei Net Optics sind sogar einfache RMON- Statistiken im Funktionsumfang des Director enthalten. Mit den Angaben lassen sich erste Aussagen über den grundsätzlichen Status im Netzwerk treffen, ohne ein komplexes Tool einzusetzen.

Nur einen Mausklick entfernt
Gerade in umfangreichen Netzwerken mit vielen überwachten Verbindungen kann eine grafische Benutzeroberfläche die Übersicht erleichtern. Potenzielle Käufer sollten daher intelligente TAP-Systeme in Aktion testen und die Erstellung neuer Analyse Verbindungen oder Aggregationen selbst ausprobieren. Dabei sind zwei Varianten möglich: eine separate Software, die auf einem Arbeitsplatz installiert wird und mit einer Visio-ähnlichen Oberfläche einfaches Drag- and- Drop von Verbindungen, Ports und Funktionen erlaubt sowie ein integrierter Webserver im TAP, mit dem über einen Browser konfiguriert wird. Mit dem Browser sind zwar weniger Operationen möglich, dafür gestattet er den Zugang zu Statusinformationen und einfachen Konfig-Aufgaben von jedem Computer im Netzwerk.

Kunden sollten auf einen möglichst hohen Anpassungsgrad der Übersicht achten, damit Endgeräte, Verbindungen und Tools auch mit eigenen sinnvollen Namen gekennzeichnet werden können und nicht nur über ihre MAC- Adresse oder eine Port-Nummer identifiziert werden. Ebenfalls hilfreich sind umfangreiche Online-Handbücher mit Beispielen zu den typischen Analyseaufgaben im Netz.

Administratoren bevorzugen die Kommandozeile für die Konfiguration im Feld. Im Enterprise-Umfeld haben viele Admins Erfahrung mit der Verwaltung von Cisco- Switches, eine ähnliche Syntax verkürzt die Einarbeitungszeit und macht das Handling einfacher. Weil die Systeme enorme und vor allem sensible Datenmengen über das Geschehen im Netzwerk liefern, sollten die Zugänge sorgfältig gesichert sein. Die Kommunikation mit dem Intelligent-TAP muss über SSL oder SSH verschlüsselt werden, die Kommandozeile sollte ebenfalls mit einer Benutzeranmeldung gesichert sein.

Standard-Syntax erleichtert Konfiguration

CLI (Command Line Interface)

Enterprise-TAPs beherrschen zahlreiche Filterfunktionen, im Fall des NetOptics Director sind es über 1000 Filterelemente pro Chassis. Weil sich in den vergangenen Jahren die Syntax des IDS-Systems SNORT als Branchenstandard durchgesetzt hat, zahlt es sich in reduziertem Schulungsaufwand und schnellerer Anpassung des Filtering-TAPs an die eigenen Netzwerkumgebung aus, wenn das Gerät ebenfalls die SNORT-Syntax für die Definition von Filtern heranzieht.

Auch wenn intelligente TAPs ihren Preis haben - High- End Systeme kosten mehrere Zehntausend Euro - sind die möglichen Einsparpotenziale in großen Netzwerken immens. Wie bereits erwähnt kann die Anschaffung von 10 Gigabit Testtools verzögert werden, aber auch die Kosten für interne Prozesse lassen sich damit deutlich senken. So gibt es in Unternehmen definierte Vorgehensweisen, wenn ein TAP in das Netzwerk eingeschleift werden soll. Diese Anfrage/Bestätigungsabläufe blockieren Arbeitszeit und dauern unter Umständen mehrere Wochen.

In dieser Zeit werden keine Monitoringdaten erfasst, geht es um eine schlecht performende Applikation, findet so lange auch keine Optimierung statt. Frust bei den Benutzern und verlorene Produktivität sind die Folge. Ebenfalls positiv: durch einen Intelligent-TAP sinkt die Zahl einzelner TAP-Geräte drastisch, weil für den Großteil der Monitoring- und Fehlersuchaufgaben lediglich eine Konfigurationsänderung notwendig wird. Dass weniger Geräte auch weniger Stromverbrauch bedeuten, ist nur noch das positive Tüpfelchen auf dem "i".

PDF-Download
652 KB