Fachartikel

Verkehrsmonitoring in geswitchten Netzumgebungen (1)

Je komplexer Netzwerke werden, desto wichtiger wird ein detaillierter Einblick in die übermittelten Daten – auch aus Sicherheitsgründen. Ein Verkehrsmonitoring in modernen Highspeed-Netzwerken auf Basis von Switchen und Routern ist mit den gängigen Technologien nicht mehr zu leisten. Die Konsequenz: Viele Netzverbindungen werden als Black Box betrieben. Daher ist für ein kostengünstiges Management aller Netzressourcen eine Monitoring-Technologie notwendig.
Um die Kontrolle über den Datenfluss nicht zu verlieren, ist für ein kostengünstiges Management aller Netzressourcen eine Monitoring-Technologie notwendig.
Im Netzwerkmarkt wurden in den vergangenen Jahren einige Monitoring-Mechanismen entwickelt: Das Simple Network Management Protokoll (SNMP) ist dabei der Veteran der Messmethoden. In SNMP-Systemen werden die zu überwachenden Daten von den Agenten ständig über das Netz übermittelt. Dies hat in der Regel eine hohe Netzbelastung zur Folge. Der Remote-Monitoring-Standard RMON legt hingegen die Grundlage für einen Verkehrsmonitoring in Shared-Media-Netzen fest.

Ein RMON-Agent überwacht und dekodiert den gesamten Datenverkehr eines angeschlossenen Netzwerks, bereitet diese Daten auf und leitet diese an die Netzmanagementstation weiter. Beim Switched-Monitoring-Standard SMON handelt es sich um eine Adaption von RMON auf die Funktionalität von Switchen. Ein SMON-Agent überwacht bestimmte vom Netzmanager festgelegte Datenströme bei der Übermittlung über einen Switch.

Mit Stichproben arbeiten dank sFlow
Im RFC 3176 ("sFlow: A Method for Monitoring Traffic in Switched and Routed Networks") wurde 2001 eine neue Technologie zum Monitoring des Datenverkehrs in modernen Netzwerken festgelegt. Das besondere Merkmal der sFlow-Technik besteht in den Sampling-Mechanismen (Stichproben) zur Reduzierung der Messdaten. Ein sFlow-Agent nutzt hierfür statistisches Paket-Sampling für die von den Switchen übermittelten Datenflüsse sowie zeitbezogenes Sampling der Interface-Statistiken.

Als Datenfluss werden alle Pakete bezeichnet, die ein Router- oder Switch-Interface empfängt beziehungsweise übermittelt. Erreicht ein Paket ein Interface, entscheidet ein Filter, ob das betreffende Paket weitergeleitet oder verworfen wird. Für die Weiterleitung des Pakets ermittelt die Switching/Routing-Funktion dann das Destinations-Interface.

Zu diesem Zeitpunkt wird auch festgelegt, ob das betreffende Paket als Stichprobe dienen soll. Der Entscheidungsmechanismus beruht auf einen Zähler, der bei jedem empfangenen Datenpaket zurückzählt. Erreicht der Zähler den Wert 0, wird das betreffende Paket als Stichprobe herangezogen. Außerdem wird jedes empfangene Paket in einem Total_Packets-Zähler verzeichnet. Dieser Zähler stellt somit die maximale Anzahl der möglichen Paket-Samples dar.

Die Stichprobe erfordert das Kopieren der Paket-Header beziehungsweise das Herauslösen der spezifischen Paketinformationen. Jede Stichprobe erhöht den Total_Samples-Zähler. Die Stichproben werden anschließend an den sFlow-Agenten zur weiteren Verarbeitung übermittelt.

Das Sample enthält somit die eigentliche Paketinformation und die Werte der Total_Packets- und Total_Samples-Zähler. Bei einer Stichprobe legt der Paketzähler fest, nach welcher Anzahl empfangener Pakete eine weitere Stichprobe aus dem Datenstrom entnommen wird. Die Sampling-Rate errechnet sich über das Verhältnis Total_Packets zu Total_Samples.

Die sFlow MIB ermöglicht die Integration von Sampling-Funktion in unterschiedlichen physischen oder logischen Elementen eines Switches/Routers (beispielsweise Interfaces, Backplanes oder VLANs). Jede Sampling-Engine sammelt die spezifischen Informationen (zum Beispiel Total_Packets, Total_Samples, Rate) selbständig und leitet diese an den sFlow-Agenten weiter. Der sFlow-Agent übermittelt die gesammelten Statistikdaten dann anschließend über das Netz an die Managementstation.

Seite 1: Mit Stichproben arbeiten dank sFlow
Seite 2: Sampling der Interface-Statistiken


Seite 1 von 2 Nächste Seite >>
4.12.2017/dr/ln/Mathias Hein

Nachrichten

Alles unter einem Dach [30.11.2017]

Von Hewlett Packard Enterprise kommt mit 'HPE OneSphere' eine Multi-Cloud-Management-Lösung für Public Cloud, Private Cloud und Software-definierte Infrastrukturen. Das SaaS-Portal gibt Kunden einen einheitlichen Zugang zu einem Pool von IT-Ressourcen, der sowohl externe Cloud-Plattformen als auch die eigene, lokal betriebene IT-Umgebung umfasst. [mehr]

baramundi Management Suite 2017 in Release R2 [22.11.2017]

Die neue 'baramundi Management Suite 2017 R2' bietet Administratoren ab sofort eine optimierte grafische Darstellung der IT-Landkarte. Darüber hinaus hat der Hersteller für die neue Version auch das Modul baramundi Inventory weiterentwickelt – Administratoren verfügen damit jetzt über ein neues Werkzeug, das die gesamte Software-Inventur für alle Unternehmensstandorte durchführt. [mehr]

Tipps & Tools

Mit der Fritz!Box feste IP-Adressen zuteilen [12.11.2017]

DHCP-Server teilen dem Netzwerk angeschlossene Clients eine IP-Adresse zu. Diese ändert sich in der Regel nicht, sofern sich das entsprechende Gerät von Zeit zu Zeit am Server anmeldet. Doch gerade Systemen, die stets unter der gleichen Adresse erreichbar sein sollen, etwa einem NAS-Server, sollten Sie auf Nummer sicher gehen und stets die gleiche IP-Adresse zuteilen. Wie das mit der Fritz!Box geht, zeigt diese Anleitung. [mehr]

Ubiquiti-APs in PRTG überwachen [29.10.2017]

Setzen Unternehmen Access Points aus der Ubiquiti-UniFi-Reihe ein, wollen sie diese meist auch auf Auslastung und Verfügbarkeit hin überwachen. Bei der Nutzung der Ubiquiti-MIBs und der Integration der Access Points mittels SNMP in PRTG ist aber nur jeweils ein Access Point pro PRTG-Sensor sichtbar. Das ist in Anbetracht der Tatsache, dass Clients übergangslos zwischen Access Points wechseln, etwas unzulänglich. Es gibt jedoch eine andere Möglichkeiten. [mehr]

Buchbesprechung

Citrix XenMobile 10

von Thomas Krampe

Anzeigen