Risikominimierung durch virtuelle Netzwerke
Den Fehler finden, bevor er auftritt
Ein virtuelles Netzwerk bildet das Produktionsnetzwerk eines Unternehmens realistisch ab. Damit lassen sich Veränderungen simulieren und Analysen durchführen, ohne den Ablauf in der Produktion zu stören. Der IT-Manager kann unterschiedliche Szenarien vergleichen, Problemursachen analysieren und Gegenmaßnahmen bereits im Vorfeld auf ihre Wirksamkeit hin überprüfen.
Die Zeiten, in denen der Einsatz von System- und Netzwerkmanagementsoftware sich in erster Linie
auf die Überwachung der Systeme und Komponenten beschränkte, sind endgültig vorbei. Herausforderung
Nummer eins für IT-Organisationen ist es, die Kosten zu senken und gleichzeitig gestiegenen
Anforderungen an Verfügbarkeit, Performanz und Sicherheit nachzukommen. Service Level Agreements
(SLAs) schreiben innerhalb der Unternehmen die Kriterien für Verfügbarkeit und Performanz vor.
Zudem sehen Regelwerke wie der Sarbanes Oxley Act, Basel II und Kontrag die IT-Infrastruktur als
Teil des Unternehmensrisikos und fordern den Nachweis regelmäßiger IT-Revisionen.
Um mit weniger Ressourcen mehr Leistung zu erbringen, müssen IT-Manager neue Wege einschlagen,
Architekturen überdenken, neue Techniken evaluieren und Ressourcen konsolidieren. Unter den
Gesichtspunkten Sicherheit und Performanz bergen solche Veränderungen nahezu unkalkulierbare
Risiken. Denn deren Einfluss auf den Betrieb von Anwendungen sind nicht vorhersehbar und nur schwer
aus System- oder Netzwerkmanagementwerkzeugen ablesbar. Um eine faktengestützte Entscheidung zu
treffen, sind Planung und Validierung verschiedener Szenarien, Konzepte und Techniken notwendig.
Ein Unternehmen kann diese jedoch nicht als reale Prototypen aufbauen. Dennoch muss es solche
Konzepte und Techniken einander schnell und kostenneutral gegenüberstellen.
Risikoszenarien antizipieren
Ein Virtual Network Environment (virtuelle Netzwerkumgebung) ermöglicht es, die Auswirkung von
Redesigns im Vorfeld zu analysieren. Das virtuelle Netz bildet das vorhandene Produktionsnetzwerk
realistisch ab und erlaubt, auf dieser Basis Veränderungen durchzuführen, ohne den Ablauf in der
Produktion zu stören. Um ein solches Abbild der Produktion zu erstellen, sind eine Reihe von
Schritten erforderlich (Bild 1): Zunächst muss der Netzwerkplaner für eine bestimmte Fragestellung
den notwendigen Abstraktionsgrad des Netzwerks festlegen. Nur selten ist es erforderlich, jeden
einzelnen Server, Client oder Router für ein virtuelles Netz zu generieren und in die Analyse
einfließen zu lassen. Häufig lassen sich Verdichtungen durchführen, um die einzelnen Clients als
vollständige Subnetze zu betrachten und WAN-Komponenten als "Wolke" zu behandeln. Die Datenströme
sind dann in bestimmten Bereichen zu Flows oder zu Auslastungen zusammenfassbar.
Im zweiten Schritt baut der Netzwerkverantwortliche die für die Analyse entsprechende Topologie
auf. Dazu gehören die Netzwerkkomponenten, deren Verbindungen untereinander und – falls
erforderlich – wichtige Server und Clients. Dabei ist es wichtig, auch Management-Tools wie
beispielsweise HP Openview, Ciscoworks oder Smarts mit zu berücksichtigen. Denn oft sind hier
bereits aufbereitete Topologieinformationen vorhanden.
Anschließend sind die verwendeten Protokolle und deren Konfiguration in das virtuelle Netzwerk
einzulesen. Hier kommt es darauf an, den Aufbau der Protokolle und deren Verhalten auf den Layern 1
bis 4 abzubilden. Dazu zählen unter anderem die klassischen Protokolle wie Spanning Tree, RIP, OSPF
und TCP/IP, aber auch Informationen über ATM-, MPLS- und Wireless-Netze. Diese Daten bilden
zusammen mit den Konfigurationsinformationen die Basis für den Datenfluss von Applikationen durch
das virtuelle Netzwerk.
Import von Monitoring-Informationen
Diese Schritte sollte der Administrator bei häufigen Konfigurationsänderungen und
kontinuierlichen Analysen soweit automatisieren, dass das virtuelle Netzwerk jeweils dem aktuellen
Stand der Produktion entspricht. Um ein realistisches Bild des jeweils aktuellen
Produktionsnetzwerks zu erhalten, sind im letzten Schritt die Verkehrsströme zu importieren. Die
Daten lassen sich aus denjenigen Informationssystemen generieren, die bisher die Datenströme und
Netzwerkleitungen überwacht haben. Dafür bestehen verschiedene Granularitätsstufen der Werte zum
Datenaufkommen. Sie sind abhängig von der Fragestellung importierbar und können in einer Simulation
nebeneinander existieren.
Die verschiedenen Stufen sind:
Auslastungswerte der verwendeten Leitungen, wie sie unter anderem E-Health,
MRTG, Infovista oder Performance Inside von HP zur Verfügung stellen. Diese Werte sind statisch und
veranschaulichen die Auslastung über ein bestimmtes Zeitintervall.
Flows: Sie bezeichnen Datenströme über eine bestimmte Periode, die im
Gegensatz zu Auslastungswerten Informationen über die Quell- und Zieladresse besitzen. Basierend
auf den verwendeten Routing Policies erzeugen sie eine entsprechende Last auf den Links. Daten
dieser Stufe lassen sich aus vorhandenen Monitoring-Tools wie Netscout, Fluke oder Cisco Flows
generieren.
Die höchste Granularität besitzen Netzwerk-Traces. Sie enthalten einzelne
Pakete und ermöglichen dadurch Aussagen über End-to-End-Antwortzeiten von Transaktionen.
Einsatzgebiete
Für welche Analysen eignet sich ein virtuelles Netzwerk? Die Möglichkeiten reichen vom täglichen
Betrieb über Planungen bis zum Troubleshooting bei Performance-Problemen. Zu den Einsatzgebieten
zählen: Incident- und Problem-Management, Konfigurations- und Change-Management,
Security-Management, Release-Management sowie Kapazitäts- und Servicemanagement.
Oftmals sind diese Bereiche nicht streng voneinander getrennt, sondern überlappen sich. Die
Einbettung in einen IT-Workflow stellt dabei sicher, dass der Produktionsverantwortliche die
gewonnenen Daten und Erkenntnisse weiter verwenden und somit ähnliche Probleme künftig verhindern
kann. Ein typischer Kreislauf dafür ist: Der Mitarbeiter des Helpdesks analysiert eine
Performance-Störung und stellt fest, dass die Konfiguration eines Routers verändert werden muss. Um
Auswirkungen auf andere Bereiche der Infrastruktur auszuschließen, validiert der
Netzwerkadministrator die geplanten Änderungen zunächst. Erst danach setzt er sie auch wirklich
um.
Incident- und Problem-Management
In diese Kategorie fallen das Performance-Troubleshooting von Applikationen und
Netzwerkkonfigurationen. Basierend auf Netzwerk-Traces und Konfigurationsdateien kann der
Netzwerkmanager Analysen durchführen, die das Wechselspiel zwischen Anwendung und Netzwerk
widerspiegeln. Das Design einer Applikation und die Konfiguration oder Topologie des verwendeten
Systems müssen in Einklang miteinander stehen, um die größtmögliche Performance einer
unternehmenskritischen Anwendung sicherzustellen. Mithilfe eines virtuellen Netzwerks lässt sich
hierbei auf der Grundlage von Paketaufzeichnungen eine End-to-End-Analyse durchführen. Dadurch kann
der Projektleiter Probleme, die durch das Zusammenspiel von Applikation und Netzwerk entstehen,
schnell ermitteln und geeignete Gegenmaßnahmen testen. Ein Beispiel ist eine Applikation mit
Multi-Tier-Architektur, bei der die Server in verschiedenen, über WAN-Leitungen verbundenen
Standorten zum Einsatz kommen. Charakterisieren große Datenvolumina oder zahlreiche
Datenverkehrsschritte mit kleinen Paketen das Kommunikationsverhalten der Anwendung, dann kann es
netzwerkseitig zu Verzögerungen sowohl durch Auslastungs- und Bandbreiten- als auch durch
Laufzeitphänomene kommen.
Konfigurations- und Change-Management
In diesem Bereich spielt die Risikoanalyse und die Validierung eine zentrale Rolle. Denn
Veränderungen, die man ohne vorherige Prüfung gleich in der Produktionsumgebung vornimmt, bergen
enorme Risiken. Der IT-Manager kann sie oft nicht richtig abschätzen, da die Auswirkungen häufig in
anderen Bereichen des Netzwerks zu spüren sind. Die Ursache eines Problems lässt sich somit nicht
ohne weiteres zurückverfolgen. Mithilfe des virtuellen Netzwerks dagegen kann der Verantwortliche
die Auswirkungen bereits im Vorfeld ermitteln, analysieren und verhindern. Das Risiko,
beispielsweise Router oder Switches falsch zu konfigurieren, sinkt so deutlich. Außerdem lassen
sich die Analyseergebnisse detailliert dokumentieren und nachprüfen. Bei Netzwerk-Redesigns kann
der Netzwerkplaner auf dieser Basis alle notwendigen Änderungen erst evaluieren und dann
durchführen.
Security-Management
Ist das Abbild der Produktionsumgebung einmal erstellt, kann der Produktionsleiter durch eine
Verknüpfung mit dem vorhandenen Systemmanagementwerkzeug dessen Aktualität sicherstellen. Durch
einen automatisierten Workflow lässt sich nun das Netzwerk nach Sicherheitskriterien überprüfen,
wie sie beispielsweise Sarbanes Oxley und Kontrag verlangen – also ohne manuellen Aufwand. Solche
Tests belasten den laufenden Betrieb nicht, garantieren eine lückenlose Dokumentation der
durchgeführten Veränderungen und zeigen die damit verbunden Risiken auf. Werden vorgeschriebene
Regeln verletzt, löst das virtuelle Netzwerk einen Alarm aus. Der Sicherheitsbeauftragte bemerkt
Sicherheitslücken unmittelbar und kann sie sofort schließen. Zudem kann er mit Filterlisten testen,
wie anfällig oder verwundbar das System für Anwenderfehler, Viren oder Würmer ist. Ebenso kann ein
Netzwerktechniker die Erreichbarkeit von Ziel-Ports in einem Subnetz prüfen sowie Verwundbarkeiten
in einem Report darstellen und diese im Anschluss gezielt eliminieren.
Release-Management
Führt ein Unternehmen ein neues Release oder eine komplett neue Anwendung ein, interessiert den
CIO vor allem, ob die vorhandene IT-Infrastruktur die geforderten Performance-Kriterien erfüllt.
Basierend auf so genannten Discrete-Event-Simulationen kann der Projektleiter Antwortzeiten für
Transaktionen berechnen und überprüfen, ob die im Vorfeld vereinbarten SLAs überhaupt einhaltbar
sind und ob das Netzwerk oder das Applikationsdesign zu verändern ist. Außerdem kann der
Netzwerkverantwortliche noch vor dem eigentlichen Rollout der neuen Software testen, ob auf der
Grundlage der implementierten ACLs die Benutzer berechtigt sind, mit dieser neuen Applikation zu
arbeiten oder ob die Netzwerkabteilung Router oder Firewalls umkonfigurieren muss.
Kapazitäts- und Servicemanagement
Für einen Business-Managementprozess ist es von elementarer Bedeutung, die Service-Levels,
Performance und Verfügbarkeit von geschäftskritischen Anwendungen zu überwachen. Verändern sich die
äußeren Parameter – beispielsweise die Anzahl der Nutzer – oder konsolidiert man die Infrastruktur
zwecks Kostensenkung, steht der Projektmanager vor der Frage, wie sich die notwendigen Kapazitäten
darstellen lassen. Bild 2 zeigt einen exemplarischen Workflow dafür, wie die Kapazitätsplanung für
Netzwerke durch eine neue Anwendung aussieht. Die erhöhte Last spiegelt sich auf der einen Seite in
den Bandbreiten der verwendeten Weitverkehrsverbindungen und zum anderen in der Rechnerleistung der
benötigten Server wider. Beide müssen unter den veränderten Lastszenarien so dimensioniert sein,
dass die IT-Abteilung festgeschriebene SLA-Parameter einhält. Auf der Grundlage eines virtuellen
Netzwerks kann der Netzwerkmanager sowohl die Bedingungen einer erhöhten Last durch mehr Nutzer als
auch veränderte Topologien als Folge der Konsolidierung darstellen. Daraus berechnet er die
resultierende End-to-End-Performance. Designfunktionen wie das Hochrechnen der Last helfen bei der
Bestimmung der notwendigen Bandbreite und Serverkapazität.
Fazit
Mit einem virtuellen Netzwerk lassen sich Risiken, die bei komplexen Infrastrukturen
zwangsläufig auftreten, effizient eliminieren. Indem der Produktionsleiter geplante Änderungen
zunächst validiert, senkt das Unternehmen die Quote an Konfigurationsfehlern und vermeidet unnötige
Ausfallzeiten und Engpässe bei der Performance von Anwendungen. Der Support lokalisiert Fehler
schneller, der Netzwerktechniker kann Gegenmaßnahmen bereits im Vorfeld auf ihre Wirksamkeit hin
überprüfen. Durch den Vergleich verschiedener Szenarien kann der IT-Manager unterschiedliche
Lösungen nebeneinander stellen und diejenige mit dem größten Kosten-Nutzen-Potenzial finden. Das
macht IT-Investitionen transparent und reduziert das Risiko von Fehlinvestitionen. Gleichzeitig
erlaubt das Zusammenspiel mit vorhandenen Systemmanagementwerkzeugen automatisierte
Sicherheitsprüfungen und Dokumentationen. Projektleiter können in Zusammenarbeit mit dem
Netzwerkmanager Veränderungen wie die Einführung neuer Anwendungen, Funktionalitäten oder Releases
bereits im Vorfeld gezielt untersuchen. So stellen sie das Erfüllen der geforderten
Leistungskriterien sicher. Schon hier lassen sich die Investitionen in die Infrastruktur aufzeigen
und in die Gesamtkosten einrechnen. Ziel all dieser Untersuchungen ist es, die IT-Infrastruktur
besser auszulasten, gleichzeitig aber die Verfügbarkeit und Leistungsfähigkeit von Anwendungen zu
erhöhen.
Lesen Sie mehr zum Thema
