Einführung in das Monitoring mit Wireshark (3)

Lesezeit
2 Minuten
Bis jetzt gelesen

Einführung in das Monitoring mit Wireshark (3)

16.04.2018 - 00:00
Veröffentlicht in:

Das Monitoring inklusive der notwendigen Detailanalyse des Datenverkehrs im Netzwerk ist ohne ein leistungsfähiges Analysesystem unmöglich. Eines der wichtigsten Netzwerktools für jeden Administrator ist Wireshark – ein Open Source-Netzwerkanalysator, mit dem Sie alle Pakete im Netzwerk aufzeichnen und die Paketinhalte detailliert analysieren. Im dritten Teil der Workshopserie erklären wir die Besonderheiten einer Netzwerksegmentierung mit VLANs und beschreiben, wie Sie auch hier mit Wireshark zu einer Fehleranalyse gelangen.

Mögliche Fehlerquellen im Netzwerk
Mehrere Dinge sind für die Sendewiederholung eines Pakets (TCP-Segment) verantwortlich. Meist ist die Ursache für eine Sendewiederholung auf einen Paketfehler zurückzuführen. Paketfehler können durch eine fehlerhafte Verkabelung oder von Kabeln in der Nähe von Störquellen wie Stromleitungen oder Leuchtstofflampen verursacht werden. Eine fehlerhafte Interface-Karte kann ebenfalls Paketfehler erzeugen. Auch elektronische Störungen auf der physikalischen Schicht können zu Bitfehlern und folglich zu Paketverlusten führen. Auf dem Data Link Layer gehört beim Ethernet ein Duplex-Mismatch zu den häufigsten Ursachen von Paketfehlern.

Alte Netzadapter gehen in der Regel nicht richtig mit dem Autonegotiation-Mechanismus um. Bei modernen Komponenten kommen die Autonegotiation-Probleme zwar nicht mehr vor, trotzdem finden sich in vielen Unternehmen immer noch völlig veraltete Autonegotiation-Konfigurationen. Die Kombination eines Vollduplex-Interfaces an einem Ende der Verbindung und einem auf die automatische Duplex-Erkennung eingestellten Interface am anderen Ende der Verbindung kann zu einem sogenannten Duplex-Mismatch führen.

Die im Standard festgelegte Duplex-Erkennung bietet für ein fest eingestelltes Interface (eine auf eine fixe Konfiguration festgelegte Schnittstelle) keine Möglichkeit, mit einem anderen Interface, das auf automatische Parameteraushandlung konfiguriert ist, über das Netz Konfigurationsparameter auszutauschen. Da das auf die automatische Aushandlung konfigurierte Interface keine Parameter aushandeln kann, setzt es sich in den Halbduplex-Modus und aktiviert das Netz-Interface. Somit kommunizierte in unserem Fall ein Halbduplex-Interface mit einem Vollduplex-Interface über die betreffende Verbindung.

Einen solchen Duplex-Mismatch erkennen Sie auf dem für den Vollduplex-Betrieb eingestellten Interface an Runts, FCS- und CRC-Fehlern. Auf der Halbduplex-Seite der Verbindung treten vermehrt Late Collisions auf. Ein Duplex-Mismatch führt zwangsläufig zu Paketverlusten und die Anzahl der Paketverluste steigt kontinuierlich mit der Netzlast an.
 
Netzwerksegmentierung mit VLANs
Die Integration von virtuellen LANs, kurz VLANs, ist die einfachste Methode zur Verkehrssteuerung. Der Standard 802.1Q definiert die Architektur und die Dienste in Virtual-Bridge-LANs sowie die Protokolle, Algorithmen und Verfügbarkeit dieser Dienste. Bei der Aufzeichnung der VLAN-Daten über einen Analysator verschwindet das VLAN wie von Geisterhand und ist im aufgezeichneten Datenstrom nicht mehr zu finden. Was können Sie tun, um die VLANs auf dem Analysator wieder sichtbar zu machen?

Ein VLAN ist ein logisches Teilnetz innerhalb eines Switches beziehungsweise eines physischen Netzwerks und kann sich über einen oder mehrere Switche hinweg ausdehnen. Ein VLAN teilt physische Netze in mehrere logische Netzwerke auf, indem es dafür sorgt, dass VLAN-fähige Switche die Datenpakete eines VLAN nicht in ein anderes VLAN weiterleiten und das, obwohl die Teilnetze an gemeinsame Switches angeschlossen sein können.

Eine Kommunikation zwischen zwei unterschiedlichen VLANs ist somit nur über einen Router möglich, der an beide VLANs angeschlossen ist. VLANs verhalten sich also so, als ob sie jeweils mit eigenen, voneinander unabhängigen Switchen aufgebaut wären. Eine Unterteilung der physikalischen Netze auf der logischen Ebene hat folgende Gründe:
 
  • Die Zuordnung von Endgeräten zu Netzwerksegmenten, unabhängig vom Standort der Station.
  • Die Aufteilung der Netze in kleinere Broadcast-Domänen, damit sich die Broadcasts nicht über das gesamte Netz ausbreiten.
  • Verbesserung der Performance einzelner Netze. So kann beispielsweise der VoIP-Verkehr innerhalb eines VoIP-VLANs gesammelt und bei der Übertragung priorisiert werden.
  • Durch die Trennung der Datenströme in unterschiedliche VLANs werden die jeweiligen Datenströme voneinander auf der logischen Ebene getrennt und gegeneinander abgeschottet.
  • Die Administration der einzelnen Netzwerke wird erleichtert.
  • Die VLANs bilden die Grundlage der Priorisierung auf der Ebene 2 und sorgen für den problemlosen Datentransport zwischen Sender und Empfänger.
Um die Dienstgüte innerhalb des MAC-Layers zu sichern, definierte die IEEE eine Erweiterung des Standards IEEE 802.1D (MAC Bridges). Der Standard 802.1p (Traffic Class Expediting and Dynamic Multicast Filtering) beschreibt Methoden für die Bereitstellung der Dienstgüte auf dem MAC-Level. Nach IEEE 802.1p werden diverse QoS-Parameter definiert. Die Unterscheidung der Pakete und der entsprechenden Zuordnung zu den Queues wird durch die Identifizierung der Prioritäten eines Pakets oder Frame erreicht.

Verkehrsarten oder Traffic-Types – nach Verkehrsklassen unterschieden
 
Der IEEE 802.1p-Standard empfiehlt die User Priority und deren Umwandlung (Mappen) zu Verkehrsklassen (Traffic Classes) und damit zu den vorhanden Queues. Die User Priority wird dabei durch die Anwendung oder durch die Berechtigung des Nutzers definiert. Innerhalb eines Netzwerks werden die transportierten Informationen – Verkehrsarten oder Traffic-Types – nach Verkehrsklassen unterschieden (siehe Tabelle).

 


Seite 1: Netzwerksegmentierung mit VLANs
Seite 2: Fehleranalyse in VLANs

 

  Seite 1 von 2 Nächste Seite >>

 


dr/ln/Mathias Hein

Ähnliche Beiträge

Einführung in das Monitoring mit Wireshark (4)

Das Monitoring inklusive der notwendigen Detailanalyse des Datenverkehrs im Netzwerk ist ohne ein leistungsfähiges Analysesystem unmöglich. Eines der wichtigsten Netzwerktools für jeden Administrator ist Wireshark – ein Open Source-Netzwerkanalysator, mit dem Sie alle Pakete im Netzwerk aufzeichnen und die Paketinhalte detailliert analysieren. Im vierten Teil der Workshopserie dreht sich alles darum, wie Sie VoIP-Verbindungen unter die Lupe nehmen.

Seite 2 - Einführung in das Monitoring mit Wireshark (3)

Die Priorisierung der Pakete und die entsprechenden Zuordnungen zu den Queues im Switch werden durch das Prioritäts-Feld im VLAN-Tag (Bits 1 bis 3) erreicht. Der IEEE-802.1p-Standard legt das Mappen der Prioritäten zu den jeweiligen Verkehrsklassen (Traffic Classes) und damit zu den vorhanden Queues fest. Innerhalb eines Netzwerks/ VLANs werden die transportierten Informationen nach den verschiedenen Verkehrsarten oder Traffic-Types unterschieden.

Seite 2 - Einführung in das Monitoring mit Wireshark (2)

Funktionen zur Unterstützung bei der Analyse sind unter dem Menüpunkt "Analyze" zusammengefasst. Dazu gehören die Möglichkeiten, Display-Filter zu definieren und diese für die spätere Nutzung zu speichern, Protokolle zu aktivieren und deaktivieren sowie eine Dekodierungen vorzugeben, die von der Standard-Wireshark-Einstellung abweichen soll.