Produkte - Director™ > Fachartikel: Datenpaketen auf den Puls fühl ...

Datenpaketen auf den Puls fühlen

Intelligent-TAPs erlauben umfassenden Netzwerkeinblick

Schnelle Netze sind gut für Anwender und Applikationen, doch Monitoring und Fehlersuche sind bei der schieren Datenmenge in Multi- Gigabit Links schwierig - schon die Erfassung stellt Administratoren vor eine Herausforderung. Intelligente TAP-Systeme können die Lösung sein.

Im Netzwerk gilt wie beim Sport die Grundregel: schneller, höher, weiter. Die Bandbreitenanforderungen steigen mit jeder neuen Programmgeneration, die Netzwerkmedien passen sich in Sprüngen der Nachfrage an. Im Backbone gilt mittlerweile 10 Gigabit-Ethernet als Standardtechnologie für Neuinstallationen, Pilotinstallationen nutzen 40 und 100 Gigabit. So erfreulich der technische Fortschritt auch ist, für viele Administratoren stellen die hohen Bandbreiten eine große Herausforderung dar. Die riesige Menge an Daten erschwert das Monitoring von Applikationen, von der Fehlersuche ganz zu schweigen. Schon der Zugriff auf die Pakete gestaltet sich schwierig. In großen Netzwerken gibt es traditionell zwei Möglichkeiten, Datenpakete im laufenden Betrieb abzugreifen. Zum einen können praktisch alle Mid- und High- End Switches den Datenverkehr einzelner Ports auf einen so genannten Mirror- oder Span-Port kopieren. Ein dort angeschlossener Analyzer sieht alle Pakete des Quellports. Die zweite Möglichkeit stellt ein Test Access-Port (TAP). TAPs werden in die Netzwerkleitung eingeschleift und stellen die durchfließenden Pakete an einem dedizierten High-Speed Port zur Verfügung.

Fehlersuche mit Einschränkungen

Span-Ports haben zahlreiche Einschränkungen, die den Einsatz zur Fehlersuche fast unmöglich machen. Fehlerhafte Pakete auf OSI- Ebene 1 und 2 werden vom Mirror- Port ignoriert, die eingebauten Netzwerkchips sortieren Fragmente und Fehler auf einer sehr niedrigen Ebene als nicht relevant aus. Leider sind defekte Netzwerkkarten oder Fehler in der Verkabelung oft nur durch die Auswertung von Layer 1 und 2 Paketen zu finden. Dazu kommt die Frage der Bandbreite: will der Administrator einen voll ausgelasteten 100 Mbit Full- Duplex Port auf einen Span-Port spiegeln, muss dieser 200 Mbit Kapazität haben. In einer solchen Situation könnte man möglicherweise noch auf einen Gigabit-Port ausweichen, zumindest wenn ein freier Port zur Verfügung steht und zur Fehlersuche genutzt werden darf. Bei einem voll ausgelasteten Full- Duplex Gigabit- Port ist dieser Weg aber ebenfalls verwehrt. Dazu können Verzögerungen durch den Kopiervorgang entstehen, je nach Leistungsfähigkeit der eingesetzten Switch-Hardware. Auch das gern eingesetzte Ausdehnen von VLANs über mehrere Ports eines Switches kann bei der Fehlersuche Probleme bereiten. Wird das VLAN auf den Span-Port kopiert, lassen sich einzelne Pakete kaum noch einem Port zuordnen. Dass für alle diese Einsatzzwecke ein gut geschulter Netzwerkadministrator notwendig ist, der den Switch und seine Konfiguration beherrschen muss, erschwert zusätzlich die Logistik für Fehlersucheinsätze.

Während Span- Ports in den Switches sozusagen eine freie Dreingabe sind, verursacht ein TAP Kosten durch die Anschaffung. Dafür umgeht er die angesprochenen Schwierigkeiten durchweg sehr elegant. Der TAP ist zunächst ein völlig passives Element im Netzwerk, das bis hinunter zum OSI-Layer 1 nicht oder nur mit speziellen Tools wie einem Time- Domain- Reflektometer "gesehen" werden kann. Trotzdem leitet er alle Pakete der Netzwerkverbindung transparent, also ohne jede Veränderung, an den Monitoring-Port weiter. Zum Teil aggregieren TAPS auch Daten auf einen Port, so können die meisten Geräte den Sende- und Empfangsanteil auf einem Monitoring- Port zusammenfassen. Um die Daten an diesem dedizierten Port bereit zu stellen ist zwar eine Stromversorgung nötig, fällt der Strom aus, bleibt die Funktion der überwachten Netzwerkverbindung aber unbeeinträchtigt. Meist sorgen redundante Spannungsversorgungen für Ausfallsicherheit beim Betrieb. Fast immer sind auch Pufferspeicher eingebaut, die kurzfristig anfallende Daten zwischenlagern, bis die Monitoring- Anwendung sie abholen kann.

Sicheres Plätzchen gesucht

TAPs können zwischen zwei beliebigen Netzwerkgeräten wie Router, Firewalls und Switches eingeschleift werden. Die Analyse- oder Monitoring- Anwendung wird dann an den oder die dedizierten Ports angeschlossen, dazu gehören Protokollanalyzer, RMON Probes oder Intrusion Detection und Prevention Systeme (IDS/IPS). Das An- und Abstecken der Analysesysteme kann je nach Bedarf erfolgen, ohne jeden Einfluss auf die überwachte Netzwerkverbindung. Es gibt Regeneration- TAPs, die die Daten einer Netzwerkverbindung auf etliche Ports für mehrere Überwachungssysteme replizieren und Aggregation-TAPs, die die Daten von verschiedenen überwachten Links auf einem Überwachungsport abbilden. Je nach Hersteller und Art des TAPs sind auch Media- Konversionen möglich, zum Beispiel von herkömmlichen RJ-45 10/100/1000 Ethernet auf 10-Gigabit XFP Monitoring Ports. Auch die Mischung von kupfer- und optischen Medien in einem TAP ist möglich.

Wer TAPs zur ad- hoc Fehlersuche nutzt, wird die Geräte nach Abschluss der Aufgabe aus dem Datenpfad entfernen. Bei der Verwendung als Datenweiche für das Monitoring sieht die Situation anders aus, hier bleiben die Geräte an ihrem Einsatzort. In größeren Netzwerken haben Administratoren entweder die Möglichkeit viele einzelne TAPs an den jeweiligen Brennpunkten des Netzwerks zu nutzen oder mit einem neuen Konzept zu arbeiten. Intelligent TAPs sind in der Lage zahlreiche Netzwerkverbindungen zu überwachen und frei konfigurierbar zu aggregieren, zu regenerieren und auf beliebige Ports zu kopieren. TAPs wie der Director™ von Net Optics verbinden Dutzende oder Hunderte von Netzwerkverbindungen über eine Konfigurationssoftware mit einem Pool von Monitoring- oder Sicherheits- Tools.

Netzwerk- TAPs verfügen über sehr leistungsstarke CPUs und Signalprozessoren. Bei Net Optics heißt die Technik TapFlow, die neben der reinen Kopie von Netzwerkverbindungen auf andere Ports auch Filterfunktionen übernehmen können. So lassen sich aus einer überwachten Datenverbindung in Abhängigkeit des verwendeten Protokolls, von IP-Adressen, Ports oder sogar den Nutzdaten innerhalb eines Pakets einzelne Ströme herausfiltern und gezielt an Analysegeräte weiterleiten. Damit ist eine Vorauswahl der Diagnosedaten möglich, die die Analysetools entlasten und die spätere Auswertung verkürzen. Zum Beispiel könnte man Datenbank-Netzwerkverkehr zu einem speziellen Analyzer oder Rekorder schicken, um mit den SOX- Anforderungen konform zu gehen. PCI- relevanter Traffic ließe sich zu einem anderen Analyzer dirigieren und das IDS-System bekommt eine Kopie aller Datenpakete. Auch möglich: Signalisierung und Nutzdaten werden voneinander getrennt. So kann der Gesprächsauf- und Abbau sowie der Handshake- Prozess von VoIP- Traffic auf einen Monitoring-Port zur Beobachtung gelegt werden, die Sprachdaten werden entweder aus Datenschutzgründen transparent durchgeleitet oder, wenn es sich um rechtliche relevante Gespräche handelt, auf einen anderen Port zur Speicherung kopiert. Durch die hohen Durchsätze der Backplane ist die gleichzeitige Überwachung mehrerer Netzwerkverbindungen und die zeitgleiche Auswertung über ein Analysegerät machbar. So werden bestehende Analysetools optimal ausgelastet, Neuinvestitionen vermieden oder verzögert.

Modular für mehr Flexibilität

Enterprise-Tools wie die innovativen TAPs, müssen mit den aktuellen und den zukünftigen technischen Standards im Netzwerk klar kommen. Dazu sollten die Chassis der Geräte unterschiedliche Medienmodule aufnehmen und beliebig kombinieren können. Alle zurzeit auf dem Markt angebotenen Systeme unterstützen 10-Gigabit Ethernet, zum Teil sind bis zu 24 Ports pro Chassis möglich. Net Optics' Director™ erlaubt bis zu vier 10-Gigabit XFP- Ports und 34 Gigabit- Anschlüsse. Alle ausgehende Gigabit- Ports sind mit SFP- Modulen bestückbar, so dass je nach Aufgabe flexibel entschieden werden kann, ob ein Kupfer- oder ein Glasfasermedium eingesetzt wird. Dazu kommt eine Mischung aus In-Line und Span-Ports. Beim In-Line Einsatz ist der TAP in die zu überwachende Leitung eingeschleift, auf Span-Ports kopiert der TAP die überwachten Netzwerkdaten. Geräte für den Enterprise- Einsatz sollten in der Lage sein, eine schnelle Verbindung, sei es 10- oder 1- Gigabit, auf langsamere Medien herunterzubrechen. Dabei hat es große Vorteile, wenn die Datenmenge per Load- Balancing auf mehrere, langsamere Verbindungen verteilt werden kann. Besonders bei 10-Gigabit ein enorm wichtiges Feature denn die wenigsten Links sind auch nur annähernd ausgelastet, allerdings gibt es im Moment noch wenige Analyse-Tools mit 10- Gigabit Interface und die angebotenen Systeme sind signifikant teurer als ihre 1- Gigabit Kollegen.

Aktuelle Geräte sind meist in der Lage, selbst einfache Monitoring- Aufgaben zu übernehmen. Netzwerkstatistiken wie absolute Auslastung, Auslastung nach Protokollen oder IP-Adresse werden per SNMP übermittelt und ausgewertet. Bei Net Optics sind sogar einfache RMON- Statistiken im Funktionsumfang des Director™ enthalten. Mit den Angaben lassen sich erste Aussagen über den grundsätzlichen Status im Netzwerk treffen, ohne ein komplexes Tool einzusetzen. Trotzdem sind Filtering- TAPs in der Anwendung nicht komplexer als ein einfaches TAP- Device. Sie werden in das Netzwerk eingeschleift, mit dem Stromanschluss verbunden und über eine Managementsoftware konfiguriert.

Nur einen Mausklick entfernt

Gerade in umfangreichen Netzwerken mit vielen überwachten Verbindungen kann eine grafische Benutzeroberfläche die Übersicht erleichtern. Potenzielle Käufer sollten daher diese intelligenten TAP- Systeme in Aktion testen und die Erstellung neuer Analyse Verbindungen oder Aggregationen selbst ausprobieren. Dabei sind zwei Varianten möglich: eine separate Software, die auf einem Arbeitsplatz installiert wird und mit einer Visio-ähnlichen Oberfläche einfaches Drag- and- Drop von Verbindungen, Ports und Funktionen erlaubt sowie ein integrierter Webserver im TAP, mit dem über einen Browser ortsunabhängig konfiguriert wird. Mit dem Browser sind zwar weniger Operationen möglich, dafür gestattet er den Zugang zu Statusinformationen und einfachen Konfig-Aufgaben von jedem Computer im Netzwerk. Kunden sollten auf einen möglichst hohen Anpassungsgrad der Übersicht achten, damit Endgeräte, Verbindungen und Tools auch mit eigenen sinnvollen Namen gekennzeichnet werden können und nicht nur über ihre MAC- Adresse oder eine Port-Nummer identifiziert werden. Ebenfalls hilfreich sind umfangreiche Online-Handbücher mit Beispielen zu den typischen Analyseaufgaben im Netz.

Administratoren bevorzugen für die Konfiguration im Feld eine Kommandozeile, die von den intelligenten TAPs zur Verfügung gestellt werden. Im Enterprise-Umfeld haben viele Admins Erfahrung mit der Verwaltung von Cisco- Switches, eine ähnliche Syntax verkürzt die Einarbeitungszeit und macht das Handling einfacher. Weil Data Switches enorme und vor allem sensible Datenmengen über das Geschehen im Netzwerk liefern, sollten die Zugänge sorgfältig gesichert sein. Bei der Nutzung des Browsers muss die Kommunikation über SSL laufen, die Kommandozeile sollte ebenfalls mit einer Benutzeranmeldung gesichert und entweder lokal über den RS-232 Port oder eine SSH- Terminalverbindung laufen.

Enterprise-TAPs beherrschen zahlreiche Filterfunktionen, im Fall des NetOptics Director™ sind es über 1000 Filterelemente pro Chassis. Weil sich in den vergangenen Jahren die Syntax des IDS-Systems SNORT als Branchenstandard durchgesetzt hat, zahlt es sich in reduziertem Schulungsaufwand und schnellerer Anpassung des Filtering-TAPs an die eigenen Netzwerkumgebung aus, wenn das Gerät ebenfalls die SNORT- Syntax für die Definition von Filtern heranzieht.

Kosten/Nutzen Faktor hoch

Auch wenn intelligente Netzwerk- TAPs ihren Preis haben - High- End Systeme kosten mehrere Zehntausend Euro - sind die möglichen Einsparpotenziale in großen Netzwerken immens. Wie bereits erwähnt kann die Anschaffung von 10 Gigabit Testtools verzögert werden, aber auch die Kosten für interne Prozesse lassen sich damit deutlich senken. So gibt es in Unternehmen definierte Vorgehensweisen, wenn ein TAP in das Netzwerk eingeschleift werden soll. Diese Anfrage/Bestätigungsabläufe blockieren Arbeitszeit und dauern unter Umständen mehrere Wochen. In der Zeit werden keine Monitoringdaten erfasst, geht es um eine schlecht performende Applikation, findet so lange auch keine Optimierung statt. Frust bei den Benutzern und verlorene Produktivität sind die Folge. Ebenfalls positiv: durch einen Data Monitoring Switch sinkt die Zahl einzelner TAP-Geräte drastisch, weil für den Großteil der Monitoring- und Fehlersuchaufgaben lediglich eine Konfigurationsänderung an der Switch Appliance notwendig wird. Dass weniger Geräte auch weniger Stromverbrauch bedeuten, ist nur noch das positive Tüpfelchen auf dem "i".