Seite 2 - Einführung in das Monitoring mit Wireshark (3)

Lesezeit
2 Minuten
Bis jetzt gelesen

Seite 2 - Einführung in das Monitoring mit Wireshark (3)

16.04.2018 - 00:00
Veröffentlicht in:
Die Priorisierung der Pakete und die entsprechenden Zuordnungen zu den Queues im Switch werden durch das Prioritäts-Feld im VLAN-Tag (Bits 1 bis 3) erreicht. Der IEEE-802.1p-Standard legt das Mappen der Prioritäten zu den jeweiligen Verkehrsklassen (Traffic Classes) und damit zu den vorhanden Queues fest. Innerhalb eines Netzwerks/ VLANs werden die transportierten Informationen nach den verschiedenen Verkehrsarten oder Traffic-Types unterschieden. In der Regel definiert sich die jeweilige Priorität des Pakets durch die Anwendung oder durch die Berechtigung des Nutzers.

Die Unterscheidung von sieben Verkehrsarten im Gegensatz zu acht definierten Verkehrsklassen verringert die Anzahl der benötigten Queues im Layer-2-Switch. In der Praxis ist die Anzahl verfügbarer Queues in den Switches geringer als die Anzahl der vorhandenen Verkehrsklassen. Derzeit werden in den meisten Netzkomponenten nur zwei beziehungsweise vier Queues verwendet. Aus diesem Grund muss der Netzadministrator die Verkehrsklassen an die im Switch vorhandenen Queues anpassen.

VoIP-VLANs in der Praxis
VLANs sind ein wichtiger Bestandteil der Priorisierungskonzepte in Unternehmensnetzen. Bei Störungen im VoIP-Betrieb werden von Administratoren als Grundlage des Troubleshootings an diversen Netzwerkknoten mit Hilfe von Analysatoren sogenannte "Traces" gezogen und analysiert. Ziel dieser Analyse ist es, die VoIP-Ströme zu identifizieren und nach den aufgetretenen Fehlern (beispielsweise Jitter und Paketverluste) zu durchsuchen. Entdecken Sie Fehler in den Datenströmen, gilt es, die Fehlerquelle schnell im Netzwerk zu lokalisieren.

Die Standards IEEE 802.1p und IEEE 802.1Q definieren dabei eine Erweiterung des MAC-Headers. Diese Erweiterung wird als Tag und die Frames mit dieser Erweiterung als Tagged-Frames bezeichnet. Der zusätzliche Q-Tag im MAC-Header wird durch den sogenannten Tag-Protocol-Identifier (TPID) mit dem Wert "0x8100" signalisiert.
 
Bild 5: Ein VLAN-Tagged-Frame mit QTag Prefix.
Bild 5: Ein VLAN-Tagged-Frame mit QTag Prefix.


Die ersten drei Bit im p/Q-Tag definieren die Prioritätswerte gemäß Standard 802.1p. Beim folgenden Canonical Format Identifier (CFI) handelt es sich um einen fest definierten Wert: 0x0. Das anschließende VLAN ID-Feld (VLAN Identifier) dient gemäß Standard IEEE 802.1Q der eindeutigen Identifizierung von virtuellen LANs.
 
Fehleranalyse in VLANs mit Wireshark
Bei der Fehleranalyse durchsuchen Sie die aufgezeichneten Daten nach Paketen aus dem entsprechenden VLAN. Dabei kontrollieren Sie, ob der VoIP-Strom korrekt markiert ist. So muss der Datenstrom für die jeweilige Priorisierungsart die hierfür gültigen Bedingungen erfüllen und unter Umständen auch eine bestimmte Port-Range bedienen. Da diese Informationen aus dem aufgezeichneten Trace gewonnen werden können, suchen Sie nach dem betreffenden VLAN-Tag. In der Praxis kann es vorkommen, dass in den aufgezeichneten Traces keine VLAN-Tags zu finden sind und somit keine komplette Analyse der Fehlerbilder möglich ist.

Bei vielen Rechnern ist das ein normales Phänomen. Die VLAN-Tags werden einfach nicht angezeigt und von der Netzwerkkarte vor der eigentlichen Aufzeichnung ausgefiltert. Die Ursache für die Unterdrückung der VLAN-Tags bei der Verkehrsanalyse liegt im verwendeten Betriebssystem. Windows verfügt beispielsweise über keinen eingebauten Mechanismus zur Aufzeichnung des VLAN-Tags. Die meisten Ethernet-Adapter-Treiber verwerfen entweder den VLAN-Tag oder entfernen diesen automatisch vor der Weiterverarbeitung. Somit scheint es, als wäre kein VLAN-Tag im eigentlichen Ethernet-Paket vorhanden. Zur Beseitigung dieses Darstellungsfehlers müssen Sie jede verwendete Netzwerkkarte individuell betrachten.

Nachfolgend zeigen wir Ihnen ein paar Tipps, wie Sie Ihre Netzwerkkarte unter Windows konfigurieren, sodass mit Wireshark die VLANs im Trace dargestellt werden. Auf den Intel-Netzwerkkarten beispielsweise müssen die aktuellen Treiber von Intel installiert werden. Erst danach lässt sich dieses Feature auch nutzen. Außerdem sind zusätzliche manuelle Eingriffe in der Windows Registry vorzunehmen. Hier sei besonders darauf hingewiesen, dass eine Veränderung der Registry-Einstellung nur von einem Fachmann vorgenommen werden sollte, da sonst die Gefahr besteht, dass der betreffende Rechner nicht mehr ordnungsgemäß funktioniert. Intel stellt unter [2] eine entsprechende Anleitung zur Umkonfiguration von Windows-Rechnern zur Verfügung. Auch bei Broadcom-Adaptern müssen die aktuellen Treiber installiert sein. Starten Sie dann den Registry-Editor mit regedit und suchen Sie nach "TxCoalescingTicks". Klicken Sie mit der rechten Maustaste auf die Instanzennummer (beispielsweise 008) und fügen Sie einen neuen String-Eintrag hinzu mit dem Namen "PreserveVlanInfoInRxPacket" und dem Wert "1".

In der Regel stellen die Hersteller anderer Netzwerkkarten die für ihre Adapter notwendigen Anpassungen und Treiber über das Internet auf ihren Homepages bereit. Mit dem richtigen Betriebssystem, den richtigen Treibern beziehungsweise den notwendigen Änderungen in der Registry bleibt der VLAN-Tag auch nach der Aufzeichnung im Datenstrom erhalten. Damit wird eine schnellere und effizientere Netzanalyse garantiert und eine effizientere Fehlerbehebung möglich.

Seite 1: Netzwerksegmentierung mit VLANs
Seite 2: Fehleranalyse in VLANs

Im ersten Teil der Serie haben wir uns mit der Funktionsweise und Installation von Wireshark beschäftigt und erklärt, wie Sie sich im Interface zurechtfinden. Im zweiten Teil der Workshopserie gingen wir nach einem kurzen Blick auf die Performance von Wireshark darauf ein, wie Sie die passenden Daten des Mitschnitts herausfinden und so Netzwerkfehlern auf die Schliche kommen. Im vierten Teil dreht sich alles darum, wie Sie VoIP-Verbindungen unter die Lupe nehmen.

<< Vorherige Seite Seite 2 von 2  


dr/ln/Mathias Hein
 

Ähnliche Beiträge

Einführung in das Monitoring mit Wireshark (4)

Das Monitoring inklusive der notwendigen Detailanalyse des Datenverkehrs im Netzwerk ist ohne ein leistungsfähiges Analysesystem unmöglich. Eines der wichtigsten Netzwerktools für jeden Administrator ist Wireshark – ein Open Source-Netzwerkanalysator, mit dem Sie alle Pakete im Netzwerk aufzeichnen und die Paketinhalte detailliert analysieren. Im vierten Teil der Workshopserie dreht sich alles darum, wie Sie VoIP-Verbindungen unter die Lupe nehmen.

Einführung in das Monitoring mit Wireshark (3)

Das Monitoring inklusive der notwendigen Detailanalyse des Datenverkehrs im Netzwerk ist ohne ein leistungsfähiges Analysesystem unmöglich. Eines der wichtigsten Netzwerktools für jeden Administrator ist Wireshark – ein Open Source-Netzwerkanalysator, mit dem Sie alle Pakete im Netzwerk aufzeichnen und die Paketinhalte detailliert analysieren. Im dritten Teil der Workshopserie erklären wir die Besonderheiten einer Netzwerksegmentierung mit VLANs und beschreiben, wie Sie auch hier mit Wireshark zu einer Fehleranalyse gelangen.

Seite 2 - Einführung in das Monitoring mit Wireshark (2)

Funktionen zur Unterstützung bei der Analyse sind unter dem Menüpunkt "Analyze" zusammengefasst. Dazu gehören die Möglichkeiten, Display-Filter zu definieren und diese für die spätere Nutzung zu speichern, Protokolle zu aktivieren und deaktivieren sowie eine Dekodierungen vorzugeben, die von der Standard-Wireshark-Einstellung abweichen soll.