Fachartikel

Das Ende von Traceroute

Während IT-Profis für ihre Unternehmen auf die Cloud, Software-as-a-Service und hybride IT setzen, werden grundlegende Tools wie Traceroute allmählich obsolet. Dabei stellt sich die Frage, wie Administratoren in einer zunehmend undurchschaubaren Umgebung, in der sie immer weniger Befugnisse haben, Netzwerkprobleme erfolgreich beheben können. Der Beitrag zeigt auf, mit welchen alternativen Überwachungsmöglichkeiten sich die Transparenz der hybriden IT wiederherstellen lässt.
Moderne Tools zur Überwachung von Netzwerkpfaden, hier der Network Performance Monitor von SolarWinds, simulieren anwendungsspezifischen Datenverkehr.
Eines der verlockendsten Mantras bei der Nutzung von Cloud und SaaS ist den Ingenieuren und Entwicklern schon immer ein Gräuel, auch wenn es das IT-Management besonders begeistert: "Es gibt weniger zu verwalten." Es ist nichts grundsätzlich falsch daran, kritische Dienste nach der Maßgabe "SLA Confidimus" zu behandeln: Wir vertrauen in Service-Level-Agreements. Üblicherweise setzen Dienstanbieter alles daran, ihre Kunden zufriedenzustellen – zumindest weitgehend.

Der Weg in die Intransparenz
Das Problem liegt allerdings darin, dass Netzwerktechniker dafür verantwortlich sind, ein optimales Benutzererlebnis zu ermöglichen. Auch dann, wenn sie bereitwillig den jahrzehntelangen Fortschritt hin zu einer umfassenden Überwachung wieder umkehren. IT-Abteilungen stimmen zu, Systeme, die den Kern des Geschäftserfolgs ihres Unternehmens ausmachen, an einen Ort zu übertragen, der keinen oder nur geringfügigen Zugriff für die Problembehandlung und nur begrenzte Möglichkeiten zur Überwachung und Berichterstellung bietet. Und auch Amazon, Google, Salesforce und Azure verfügen keineswegs über eine unbegrenzte und absolut ausfallsichere Infrastruktur. Sie unterliegen denselben physikalischen Gesetzen wie die eigenen Rechenzentren und es werden weiterhin Helpdesk-Tickets geöffnet.
APIs verdrängen SNMP
Cloud-Anbieter denken aus gutem Grund nicht daran, ihre Firewalls zu öffnen oder anderen Dienstleistern zu gestatten, ihre Software-definierten Infrastrukturen zu überwachen. Stattdessen müssen sich diese darauf verlassen, dass sie Verwaltungs-APIs und proprietäre Tools bereitstellen, die ihnen einen gewissen Einblick ermöglichen. Diese Schnittstellen sind jedoch längst nicht so informativ, wie Unternehmen es vom eigenen Rechenzentrum gewohnt sind: Sie sind oft wenig benutzerfreundlich und keine davon bietet die Plattformunabhängigkeit und Allgegenwart von ICMP, SNMP und anderen Protokollen. Stattdessen öffnen sie breite spezifische Pfade für den Anwendungsdatenverkehr.

Selbst in den proprietären Netzwerken haben Traceroute und Ping aufgrund der Vielzahl von Routen nur begrenzte Möglichkeiten, wenn es darum geht, Netzwerkleistungsprobleme zwischen Benutzern und Servern zu beheben. Traceroute geht davon aus, dass der Pfad zwischen einem Beobachter und einem Dienst linear ist, und gibt für den Test einen ungefähren Routing-Pfad aus. In hybriden IT-Netzwerken vervielfacht das Internet-Routing das Problem durch vernetztes Multi-Homing und fügt Impedanzen für UDP- und ICMP-Datenverkehr hinzu. Wie lässt sich also die Ursache für eine Salesforce-Leistungsabnahme herausfinden, wenn das Problem bei einer langen Wartezeit in einer von vier Verbindungen liegen könnte, die 25 Prozent Ihres Anwendungsdatenverkehrs übertragen?

Firewall-Flüsterer
Die Antwort lautet: Wir dürfen nicht mehr an unsere sorgfältig entwickelten internen Netzwerke denken, sondern müssen anfangen, so zu denken wie das Internet. Im Fall von internen Netzwerken sollten Unsicherheiten weitgehend vermieden oder ausgeräumt werden, doch die Stabilität des Internets basiert auf kontrollierten Routen-Unsicherheiten. So würde ein anwendungsspezifisches Paket etwa denken: Der gesamte Datenverkehrspfad vom Benutzer bis zum Cloud-Server kann auf mehrere mögliche Routen in mehreren Dimensionen einschließlich der Zeit hin beobachtet werden. Diese Technik ist nicht so unmittelbar zufriedenstellend wie Traceroute – die Beobachtung nimmt einige Zeit in Anspruch – doch es entstehen umfassende und visuelle Ergebnisse.

Auch wenn die abrufbasierte Überwachung lokaler Geräte noch viele Jahre lang wichtige Betriebsinformationen liefern wird, können IT-Abteilungen durch die visuelle Pfadüberwachung einen Großteil der Möglichkeiten zurückgewinnen, der beim Übergang zu hybriden IT-Netzwerken verloren gegangen ist. Damit sind die zugrundeliegenden Ursachen von Problemen, die auf Fehlfunktionen oder Fehlkonfigurationen zurückgehen, in internen Netzwerken nicht nur leichter erkennbar, sondern die Fehlerbehebung lässt sich außerdem über das Internet bis hin zum Netzwerk des Dienstanbieters ausweiten.

Dies funktioniert, weil moderne Tools zur Überwachung von Netzwerkpfaden anwendungsspezifischen Datenverkehr simulieren, der ebenso wie Benutzerdatenverkehr über Firewalls übertragen wird. Sie lösen das Problem des protokoll- oder portspezifischen Routings durch Lastausgleichsmodule, indem sie denselben Wartezeitproblemen asymmetrischer Multi-Homing-Verbindungen begegnen und alle Hops aufdecken, die die Serviceleistung beeinträchtigen können. Der IT-Administrator reagiert nicht auf ein rotes Symbol auf einer Router-CPU, sondern auf einen roten Hop, egal wo er sich befindet. Und falls dieser Hop sich im Netzwerk eines Cloud- oder SaaS-Anbieters befinden sollte, ist es einfacher den Helpdesk anzurufen und alle Informationen zu nennen, die zur Behebung des Problems nötig sind, anstatt den ganzen Tag auf eine Lösung zu warten.

Fazit
Wenn es gelingt, die Transparenz der hybriden IT wiederherzustellen und für zufriedene Benutzer zu sorgen, kann ein geringerer Verwaltungsaufwand die Mühe wert sein.
8.03.2017/ln/Patrick Hubbard, Head Geek bei SolarWinds

Nachrichten

Paketanalyse mit Wireshark-Funktionen [19.11.2019]

Allegro Packets rollt für seine Analyse- und Monitoring-Software "Allegro Network Multimeter" ein umfassendes Upgrade aus. Highlight der Firmware 2.5 ist laut Hersteller das Feature Webshark, das Funktionen von Wireshark direkt im Browser bereitstellt. [mehr]

Besser im Blick [18.10.2019]

Axis Communications, Anbieter netzwerkbasierter Video-, Audio- und Zutrittskontrolllösungen, kündigt mit der "AXIS Companion version 4" die neueste Version seiner Software zur Verwaltung von Sicherheitssystemen an. Das Produkt bietet einige erweiterte Funktionen, unter anderem lassen sich Warnmeldung direkt an ein mobiles Gerät senden und die Systemverwaltung per Fernzugriff tätigen. [mehr]

Tipps & Tools

Vorschau Januar 2020: LAN, WAN & SDN [16.12.2019]

Die Netzwerkinfrastruktur gehört wahrscheinlich nicht zu den heißesten Themen im IT-Bereich, nimmt jedoch einen enormen Stellenwert für Administratoren ein. Denn ohne stabile Grundlage kommt es schnell zu Engpässen im Datendurchsatz und Ausfällen von Applikationen. IT-Administrator startet das neue Jahr deshalb mit dem Schwerpunkt "LAN, WAN & SDN". Darin zeigen wir unter anderem, wie Sie Netzwerkgeräte mit rConfig, Jinja2 und Netdisco verwalten. Außerdem lesen Sie, wie Sie Anmeldungen mit dem Microsoft Network Policy Server unter Kontrolle behalten. In den Tests werfen wir einen Blick auf die NetBrain Integrated Edition 8.0. [mehr]

Fernzugriff auf PRTG Core Server [24.11.2019]

PRTG Network Monitor wird in vielen Unternehmen für das Monitoring der IT-Infrastruktur verwendet. Nicht selten kommt die Frage auf, wie der Zugriff auf den PRTG Core Server auch von außerhalb des Unternehmensnetzwerks möglich ist. Was der Admin hier beachten muss und welche Vorkehrungen wichtig sind, um Zugriffe durch unautorisierte Dritte zu verhindern, zeigt dieser Tipp. [mehr]

Buchbesprechung

Technik der IP-Netze

von Anatol Badach und Erwin Hoffmann

Anzeigen