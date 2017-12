Je komplexer Netzwerke werden, desto wichtiger wird ein detaillierter Einblick in die übermittelten Daten – auch aus Sicherheitsgründen. Ein Verkehrsmonitoring in modernen Highspeed-Netzwerken auf Basis von Switchen und Routern ist mit den gängigen Technologien nicht mehr zu leisten. Die Konsequenz: Viele Netzverbindungen werden als Black Box betrieben. Daher ist für ein kostengünstiges Management aller Netzressourcen eine Monitoring-Technologie notwendig.



Im Netzwerkmarkt wurden in den vergangenen Jahren einige Monitoring-Mechanismen entwickelt: Das Simple Network Management Protokoll (SNMP) ist dabei der Veteran der Messmethoden. In SNMP-Systemen werden die zu überwachenden Daten von den Agenten ständig über das Netz übermittelt. Dies hat in der Regel eine hohe Netzbelastung zur Folge. Der Remote-Monitoring-Standard RMON legt hingegen die Grundlage für einen Verkehrsmonitoring in Shared-Media-Netzen fest.Ein RMON-Agent überwacht und dekodiert den gesamten Datenverkehr eines angeschlossenen Netzwerks, bereitet diese Daten auf und leitet diese an die Netzmanagementstation weiter. Beim Switched-Monitoring-Standard SMON handelt es sich um eine Adaption von RMON auf die Funktionalität von Switchen. Ein SMON-Agent überwacht bestimmte vom Netzmanager festgelegte Datenströme bei der Übermittlung über einen Switch.Im RFC 3176 ("sFlow: A Method for Monitoring Traffic in Switched and Routed Networks") wurde 2001 eine neue Technologie zum Monitoring des Datenverkehrs in modernen Netzwerken festgelegt. Das besondere Merkmal der sFlow-Technik besteht in den Sampling-Mechanismen (Stichproben) zur Reduzierung der Messdaten. Ein sFlow-Agent nutzt hierfür statistisches Paket-Sampling für die von den Switchen übermittelten Datenflüsse sowie zeitbezogenes Sampling der Interface-Statistiken.Als Datenfluss werden alle Pakete bezeichnet, die ein Router- oder Switch-Interface empfängt beziehungsweise übermittelt. Erreicht ein Paket ein Interface, entscheidet ein Filter, ob das betreffende Paket weitergeleitet oder verworfen wird. Für die Weiterleitung des Pakets ermittelt die Switching/Routing-Funktion dann das Destinations-Interface.Zu diesem Zeitpunkt wird auch festgelegt, ob das betreffende Paket als Stichprobe dienen soll. Der Entscheidungsmechanismus beruht auf einen Zähler, der bei jedem empfangenen Datenpaket zurückzählt. Erreicht der Zähler den Wert 0, wird das betreffende Paket als Stichprobe herangezogen. Außerdem wird jedes empfangene Paket in einem Total_Packets-Zähler verzeichnet. Dieser Zähler stellt somit die maximale Anzahl der möglichen Paket-Samples dar.Die Stichprobe erfordert das Kopieren der Paket-Header beziehungsweise das Herauslösen der spezifischen Paketinformationen. Jede Stichprobe erhöht den Total_Samples-Zähler. Die Stichproben werden anschließend an den sFlow-Agenten zur weiteren Verarbeitung übermittelt.Das Sample enthält somit die eigentliche Paketinformation und die Werte der Total_Packets- und Total_Samples-Zähler. Bei einer Stichprobe legt der Paketzähler fest, nach welcher Anzahl empfangener Pakete eine weitere Stichprobe aus dem Datenstrom entnommen wird. Die Sampling-Rate errechnet sich über das Verhältnis Total_Packets zu Total_Samples.Die sFlow MIB ermöglicht die Integration von Sampling-Funktion in unterschiedlichen physischen oder logischen Elementen eines Switches/Routers (beispielsweise Interfaces, Backplanes oder VLANs). Jede Sampling-Engine sammelt die spezifischen Informationen (zum Beispiel Total_Packets, Total_Samples, Rate) selbständig und leitet diese an den sFlow-Agenten weiter. Der sFlow-Agent übermittelt die gesammelten Statistikdaten dann anschließend über das Netz an die Managementstation.