Paketerfassung und -analyse
Wireshark-Einsatz in 10GbE-Netzen
Moderne 10-Gigabit-Ethernet-Netze stellen eine große Herausforderung für die zuverlässige Analyse des Datenverkehrs dar. Bislang von Administratoren geschätzte Tools sind für die hohen Leitungsgeschwindigkeiten zu langsam, und proprietäre Messhardware ist in vielen Fällen zu teuer. Doch es gibt praktikable Lösungen.
Viele Unternehmen rüsten heute von 1GbE- auf 10GbE-Netzwerkkomponenten um - und bringen damit ihre IT-Administratoren in Bedrängnis. Diese wollen ihre gewohnten Analyse-Tools wie beispielsweise Wireshark weiterhin effizient bei der Fehler- und Ereignisanalyse einsetzen. Doch die Performance von Notebooks und PCs reicht für das Packet Tracing in 10GbE-Netzwerken nicht mehr aus. Zwar gibt es leistungsfähige Messhardware namhafter Anbieter, die auch mit den hohen Leitungsgeschwindigkeiten klarkommt, diese ist aber für viele Unternehmen kaum bezahlbar.
Bewährte Analysesoftware
Viele IT-Teams verfolgen für die Traffic-Analyse in ihren Netzwerken bislang einen bewährten Do-it-yourself-(DIY)-Ansatz: Aus einem schnellen Notebook, PC oder Server, einer Netzwerkkarte und geeigneter Open-Source-Software wie Tcpdump, Netsniff oder Wireshark bauen sie einen Analysator für das gezielte Packet Tracing im Netzwerk auf. Dieser ist verhältnismäßig günstig und liefert eine Performance, die für eine detaillierte Paketanalyse in 1GbE-Netzwerken ausreicht.
Wireshark hat sich in diesem Szenario als Quasistandard für die detaillierte Paketanalyse etabliert. Die Software ist für Windows, Unix und Mac OS X erhältlich. Das beliebte Freeware Tool analysiert den Datenverkehr im Netzwerk auf Protokollebene. Wireshark kennt 472 verschiedene Protokolle, von Virtual LAN über Fibre Channel bis hin zum klassischen IP und dem neueren IPv6. Ist die Winpcap-Bibliothek auf dem Analyserechner installiert, kann der Anwender den Netzwerk-Traffic aufzeichnen und auswerten. Der Sniffer geht bei Bedarf tief ins Detail und erlaubt zum Beispiel Einblicke in die Paket-Header und -inhalte.
Mit zunehmenden Leitungsgeschwindigkeiten gerät dieser DIY-Ansatz jedoch an seine Grenzen. Für 10GbE-Netzwerke sind Hardware-Performance und Skalierbarkeit unzureichend. Bei Vollauslastung überträgt eine 10GbE-Leitung zirka 1,25 GByte/s - bei einer Paketrate von 800.000 bis 14 Millionen Paketen pro Sekunde.
Ein PC ist mit dem Traffic in solch schnellen Infrastrukturen überfordert und kann nicht alle Pakete erfassen. Schon Microbursts von wenigen 100 ms können ausreichen, den Softwareanalysator aus dem Tritt zu bringen. Die möglichen Folgen sind Paketverlust und letztlich mögliche Falscheinschätzungen aufgrund fehlender Daten in den Trace-Dateien.
Hinzu kommt, dass ein solches System massenhaft Rohdaten ohne Indexierung auf das Speichermedium schreibt. Sucht der Anwender bei der Analyse Pakete einer bestimmten Kommunikation, sind sämtliche Dateien zu durchsuchen. Dies ist sehr zeitaufwendig und somit für eine schnelle Fehleranalyse kontraproduktiv.
Ein weiterer Nachteil der beliebten DIY-Lösungen ist zudem, dass keine Funktionen für Remote-Management und Teamzusammenarbeit vorgesehen sind. Dabei ist es bei der aktuellen Vielfalt möglicher Fehler und auffälliger Ereignisse vorteilhaft, wenn zuständige Administratoren beispielsweise kurzfristig die Meinung externer Spezialisten einholen können.
Lösung: Starke Hardware, flexible Software
Was Administratoren für die Paketanalyse in modernen, verteilten Netzwerken benötigen, ist eine flexible, effizient und akkurat arbeitende Visibility-Lösung. Die Skalierbarkeit einer solchen Lösung steht und fällt mit der Architektur des Gesamtsystems. Wenn sämtliche für die Netzwerkanalyse nötigen Funktionen in Software abgebildet sind, hängt die Erweiterbarkeit des Gesamtsystems praktisch nur davon ab, wie weit sich die Hardware transparent erweitern lässt, sodass mehr Rechenkapazität für die gewünschten Funktionen zur Verfügung steht. Zu den Hardwarekomponenten zählen die Switching-Fabric, die Control Plane, die Speicheranbindung, Traffic-Analysemodule, Remote-Storage-Prozessoren sowie die Capture- und Processing-Module für den Datenverkehr.
Der Hersteller Infinicore beispielsweise hat zu diesem Zweck die "Elastic Network Visibility Architecture" (EVA) für seine Lösung "Flowmagic" entwickelt. Diese setzt sich aus vier Funktionsblöcken zusammen: Capture, Storage, Analysis und Collaboration. Spezielle Visibility-Aufgaben verarbeitet diese Lösung nicht mit einer jeweils dedizierten Hardwarekomponente, die schnell zum Flaschenhals werden kann. Vielmehr verteilt sie die Berechnungen flexibel auf erweiterbare Funktionsblöcke, die sich proportional mit der Zahl der Netzwerkanschlüsse skalieren lassen. So entsteht eine Unified-Visibility-Lösung, die auch in 10GbE-Netzen sämtliche Analyseaufgaben übernehmen kann: vom Erfassen und Ablegen aller Pakete über die direkte Paketdekodierung und -ansicht, den Export und das Prioritäts-Management bis hin zu Teamarbeitsfunktionen.
Eine Kernkomponente des Systems ist das leistungsfähige, skalierbare Speicherkonzept. Als Massenspeicher für das Stream-to-Disc-Modul eignen sich lokal installierte Festplatten oder schnelle SAN-/NAS-Anbindungen. Sämtliche Pakete versieht die Lösung sofort beim Eintreffen mit einem hoch genauen Zeitstempel und legt sie dann ab. Dank des Index ist es möglich, relevante Daten auch später jederzeit schnell aufzufinden.
Eine intuitive Web-basierende Benutzeroberfläche mit integriertem Dashboard vermittelt dem Anwender einen guten Überblick über den Zustand seiner IT. Mithilfe leistungsfähiger Filter- und Maskierungsfunktionen lassen sich auffällige Ereignisse schnell selektieren und detailliert in ihrem Kontext betrachten.
Fazit
Der DIY-Ansatz für die Analyse des Datenverkehrs hat in schnellen 10GbE-Netzwerken ausgedient. Trotzdem müssen Anwender nicht zwangsläufig in oft sehr teure proprietäre Messhardware investieren. Einen preislich attraktiven Ansatz bieten moderne Visibility-Lösungen, mit denen Administratoren die Möglichkeit erhalten, auch in 10GbE-Netzwerken den gesamten Datenverkehr aufzuzeichnen sowie detailliert und schnell zu analysieren.
Leistungsfähige Teamfunktionen und eine Web-basierende Benutzeroberfläche vereinfachen die Zusammenarbeit mit anderen Experten. Gewohnte und bewährte Analysesoftware wie Wireshark kann dabei weiterhin zum Einsatz kommen. Ein zusätzliches Merkmal einer solchen Lösung: Dank ihrer extrem flexiblen Architektur lässt sich ein Grundsystem anschaffen und bei Bedarf um zusätzliche Capture- und Processing-Module erweitern.
Lesen Sie mehr zum Thema
