Fachartikel

Netzwerk-Troubleshooting im Datacenter der TU Graz

Lastspitzen erkennen, netzwerkkritischen DHCP-Traffic analysieren, unerwarteten Verkehr sichtbar machen, nachträgliche Paketanalyse des problematischen Verkehrs: Für die Netzwerktechniker der Technischen Universität Graz gehören diese Aufgaben zum Arbeitsalltag. Sie nutzen dafür den Mess- und Troubleshooting-Analyzer Allegro Network Multimeter. Der Anwenderbericht beschreibt, wie den IT-Administratoren damit mehr Zeit für die dauerhafte Sicherung der Netzwerkqualität bleibt.
Die Analyse des Netzwerkverkehrs ist nicht immer unkompliziert – eingesetzte Tools sollten deshalb so einfach zu nutzen sein wie möglich.
Die Technische Universität Graz verfügt mit ihren über 100 Instituten und Organisationseinheiten über ein weit verzweigtes heterogenes Netzwerk. Mehr als 15.000 Studierende, über 3000 Angestellte und Gäste aus aller Welt erwarten ein stabiles Netzwerk und eine schnelle Internetverbindung. Gerade im Forschungsbereich ist ein weltweiter Informationsaustausch über das Internet rund um die Uhr unerlässlich.

Die Verantwortung für das reibungslose Netzwerk obliegt dem Team von Philipp Rammer, Service Owner Netzwerk am Zentralen Informatikdienst (ZID) der TU Graz. Er berichtet, wie man eine solche Aufgabe stemmt und welches Tool er für die Qualitätssicherung und das schnelle Debuggen von Fehlern einsetzt.

Das Rechenzentrum einer Universität ist mit dem Nervensystem im menschlichen Körper vergleichbar, denn hier laufen alle Netzwerke und Daten zusammen. Ein reibungsloser Betrieb ist also wichtig, weil bei einem Ausfall direkt im Rechenzentrum große Teile der Universität lahmgelegt wären. Insgesamt sind fast alle nur erdenklichen Anwendungen im Einsatz, egal ob verschiedenste File- und Webservices, Videokonferenzen, VoIP, Lizenzserver oder große Backups.

Problemlage: Viel Wartungsaufwand bei der Netzwerkadministration
Bis vor kurzem arbeiteten die Netzverantwortlichen mit mehreren redundanten Tools, um das Netzwerk bei Laune zu halten, was mit viel Wartungsaufwand und zusätzlichen Applikationen, Servern und Datenbanken einherging. Daher hatten sie sich auf die Suche nach einer Alternative gemacht und mehrere Geräte getestet. Eines der Geräte war ein Allegro Network Multimeter 1200.

"Selbst mit diesem für ein Datacenter einer Universität recht kleinen Gerät war schnell klar, dass das Tool genau unseren Anforderungen entspricht", erläutert Rammer die erste Testphase. "Es erlaubt uns, den Überblick zu behalten und unerwarteten Verkehr zu identifizieren. Lastspitzen lassen sich granular untersuchen und Fehler entdecken, bevor sie zum Problem werden. Tritt doch ein Problem auf, können sehr schnell und einfach die zugehörigen Teilnehmer identifiziert und Verbindungen analysiert werden, bis hin zu einem Packet Capture. Der Testlauf mit dem Allegro 1200 hat uns überzeugt, die Appliance für das Monitoring des gesamten Datacenters zu verwenden."

Seit Kurzem läuft auch der größere Bruder Allegro 3500 dauerhaft im Datacenter mit. Es ist für die Analyse und das Monitoring von GBit-Verbindungen im Datacenter optimiert. Das System ist auf hohe Aufzeichnungs-, Analyse- und Speicherraten spezialisiert und hat einen Durchsatz von bis zu 100 GBit/s. Es dient den Kollegen von der IT zum Troubleshooting, falls Probleme entstehen und zur langfristigen Optimierung des Netzwerkes. Die Daten werden dabei kurzzeitig und bedarfsbezogen gespeichert – meist auch nur die Headerdaten. Sind die Speicher voll, werden die Daten wieder überschrieben.
Einfache Inbetriebnahme
Die Installation des Allegro 3500 im Rechenzentrum der TU Graz lief einfach und problemlos ab, wie Rammer berichtet. "Wir haben das Allegro 3500 in wenigen Minuten in Betrieb genommen. Mittels des WLAN-Accesspoints kann direkt ohne weitere Verkabelung die initiale Grundkonfiguration vorgenommen werden. Über ein angeschlossenes LAN-Kabel wird ansonsten automatisch eine IP zugewiesen, sodass auch so die Grundkonfiguration einfach erfolgen kann." Teil des Bedienkonzeptes ist es, dass nur wenige Einstellungen vorgenommen werden müssen und das Messgerät in den Grundeinstellungen direkt einsetzbar ist.

Das Dashboard des Webinterface stellt die wichtigsten Parameter auf einen Blick dar, darunter die aktivsten IP- und MAC-Adressen, die bandbreitenintensivsten Verbindungen und Protokolle. Das Menü ist analog des OSI-Schichten-Modells angelegt, sodass die einzelnen Analysemodule gut zu finden sind. Das Allegro Network Multimeter liefert Echtzeitstatistiken und selektive Paketfilterung über die Layer 2 bis 7. Über den Paketringpuffer sind im Historienmodus auch rückwirkende Analysen möglich.

Schnelle Problemdiagnose
Rammer beschreibt, wie er nach wenigen Minuten die ersten auffälligen Parameter entdeckt: "Schon nach zehn Minuten haben wir über die Echtzeit-Netzwerkstatistiken des Analysetools die ersten fehlerhaften Clients gefunden, die unseren DHCP-Server beeinträchtigt haben. Das wurde mit einem Blick auf das Protokoll sofort deutlich. Wir haben zu Beginn der Inbetriebnahme rein aus Interesse zum Beispiel die verschiedenen Quality-of-Service-Klassen durchgesehen und eine große Verbindung mit 10 MBit/s entdeckt, was für netzwerk-kritischen DHCP-Traffic sehr viel ist."


Die Messung und Analyse des DHCP-Traffics hilft bei der Einschätzung, ob im Netzwerk alles reibungslos läuft.

So war eine erste Schwachstelle schnell ausgemacht. Grundsätzlich stellt ein Client, der 10 MBit/s DHCP-Traffic durch das Netz schickt, kein Problem dar – solange der Server dem Traffic standhält. Ungewöhnlich ist es aber allemal. Es könnte sich auch mit der Zeit zu einem Problem entwickeln, wenn der DHCP-Server ausfällt und die IP-Adressvergabe an die Endgeräte nicht mehr funktioniert. Mithilfe moderner Analysetools lässt sich eine solche Schwachstelle erkennen und abwenden, bevor ein Problem entsteht. Ein frühzeitiges Erkennen verhindert so mögliche Ausfallzeiten. In diesem Fall wurde das Problem behoben, in dem der Client identifiziert und korrekt konfiguriert wurde.
31.07.2019/ln/Klaus Degner, Geschäftsführer von Allegro Packets

Nachrichten

Cyberkriminelle attackieren Finanzabteilungen [14.08.2019]

ESET Forscher haben eine Reihe von Cyberangriffen entdeckt, die es seit 2016 auf Finanzabteilungen in Unternehmen abgesehen hat. Die Kriminellen setzen dabei auf E-Mails mit Links, die zu schadhaften Dateien führen. Der Inhalt, die Verlinkungen und auch der Dateien in diesen Nachrichten behandeln das Thema Steuern und sollen die Empfänger zu einem unbedachten Klick verleiten. [mehr]

Schwer erkennbarer polymorpher Schadcode [13.08.2019]

Der APT-Akteur "Cloud Atlas", auch bekannt als "Inception", hat sein Angriffsarsenal mit neuen Tools erweitert: mit einer HTML-Anwendung und dem VBShower-Modul, die beide polymorph sind. Das verhindert eine Erkennung durch klassische Indicators of Compromise. [mehr]

Tipps & Tools

Jetzt noch buchen: Training "Drucker in Windows-Netzen" [19.08.2019]

Drucker beschäftigen den Support mehr als jedes andere Gerät. Denn nach wie vor lauern beim Betrieb von Druckservern unter Windows zahlreiche Fallstricke auf den Administrator und eine fehlerhafte Konfiguration lässt das Telefon im Support klingeln. Unser Training liefert Best Practices für den Druck unter Windows und zeigt die Behandlung typischer Fehler. Für den Termin Ende September in Düsseldorf sind noch Teilnahmeplätze offen. [mehr]

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Buchbesprechung

Anzeigen