Fachartikel

Seite 2 - Verkehrsmonitoring in geswitchten Netzumgebungen (1)

Sampling der Interface-Statistiken
Den Überblick über das gesamte Netzwerkgeschehen ermöglicht sFlow durch das Sammeln wichtiger Statistikdaten auf den Interfaces. Die in einem sFlow-System integrierten Agenten sammeln die notwendigen Daten per Poll-Mechanismus und bereiten die Ergebnisse (Samples) für den Transfer zur Netzmanagementstation vor. Hierzu legen Sie auf dem sFlow-Agenten eine Liste von Messparametern an.

Der Agent entnimmt anschließend für diese Werte auf dem jeweiligen Interface die entsprechenden Stichproben. Zur Übermittlung spezifischer Flow-Informationen an die NMS-Station ruft der sFlow-Agent die betreffende Parameterliste ab und ordnet den jeweiligen Parametern die entsprechenden Zählerstände zu. Dieser Vorgang lässt sich ohne zusätzliche Belastung der CPU oder des Arbeitsspeichers periodisch (beispielsweise im Sekundenbereich) abarbeiten. Die Übermittlung von Interface-Statistiken resultiert in einem kontinuierlichen Informationsstrom.

Die sFlow-Technologie lässt sich in die meisten heute verfügbaren Switch- und Router-Architekturen integrieren. Ein sFlow-Agent stellt letztendlich nur einen Softwareprozess dar, der als Funktionsmodul des Netzmanagements auf dem jeweiligen Gerät arbeitet. Die Statistiken beziehungsweise Informationsstichproben werden vom jeweiligen Switching/Routing-ASIC erzeugt. Der eigentliche sFlow-Agent muss dabei relativ wenige Verarbeitungsprozesse ausführen. Seine Aufgabe besteht hauptsächlich im Versenden der sFlow-Datagramme. Das minimiert die notwendigen Anforderungen an die CPU und den Speicher auf dem jeweiligen Gerät.


Bild 1: Der sFlow-Collector dient als zentrale Datensammelstelle und nimmt die sFlow Datagrams entgegen.

Bild 1 zeigt die Grundelemente eines sFlow-Systems. In modernen Switchen und Routern bildet diese Architektur die Grundlage für das kontinuierliche Monitoring aller Datenströme auch auf unterschiedlichen Ebenen in einem Netz. Die verteilten sFlow-Agenten übermitteln dabei einen kontinuierlichen Strom an sFlow-Informationen an die zentrale Managementstation (sFlow Collector). Diese sammelt und analysiert die parallelen Informationsströme und bereitet aus den Daten eine Darstellung der Verkehrsflüsse im Netzwerk in Echtzeit auf. Der Einsatz von sFlow in Highspeed-Routern beziehungsweise -Switchen bietet verschiedene Vorteile:

  • Genauigkeit: Die Sampling-Mechanismen sind so einfach gestaltet, dass sich diese in Hardware implementiert lassen. Dies ermöglicht hohe Verarbeitungsgeschwindigkeiten (Wire Speed) auf den unterstützen Interfaces und das sFlow-System garantiert eine Messgenauigkeit auch bei höchsten Übertragungsraten.
  • Detailtiefe: Mit sFlow lassen sich sämtliche Paket-Header und Switching/Routing-Informationen auf allen Ebenen von Layer 2 bis Layer 7 analysieren.
  • Skalierbarkeit: Ein sFlow-System lässt sich sowohl in Bezug auf die Anzahl der Agenten als auch die Geschwindigkeit der überwachten Netzwerk-Interfaces skalieren. Aufgrund der hardwarenahen Integration von sFlow lassen sich auch Highspeed-Netze mit 100 GBit/s und mehr problemlos überwachen. Der praktische Einsatz von sFlow zeigt, dass sich auch Tausende von sFlow-Komponenten ohne signifikante Netzlasterhöhung von einem einzigen sFlow Collector überwachen lassen.
Datenexport per UDP mit NetFlow
Mit Hilfe der NetFlow-Technik können Router oder Switche die über die Datenströme gesammelten Informationen per UDP-Protokoll exportieren. Die UDP-Pakete werden von NetFlow-Kollektoren empfangen, gespeichert und verarbeitet. Die von einem NetFlow-Kollektor empfangenen Daten werden ähnlich wie bei sFlow zur Verkehrsanalyse, Kapazitätsplanung und QoS-Analyse genutzt. Ursprünglich von Cisco als Gegenkonzept zu sFlow entwickelt, wird die Technologie inzwischen von vielen Herstellern unterstützt. Neben NetFlow gibt es von Juniper Networks das "cFlow" und von Huawei das "Netstream". Beide NetFlow-Varianten sind technisch mit dem RFC 3954 identisch.

Ein Verkehrsstrom lässt sich auf viele Arten beschreiben. NetFlow in Version 5 definiert als Verkehrsstrom eine unidirektionale Folge von Paketen, die über die folgenden Werte verfügen:

  • Ingress-Schnittstelle (SNMP ifIndex)
  • Versionsnummer und Sequenznummer
  • Zeitstempel
  • Byte- und Paketzähler
  • Quell- und Ziel-IP-Adressen
  • Quell- und Ziel-IP-Ports
  • Ingress- und Egress-Port-Nummern
  • Kennung der höheren Protokolle
  • Type of Service (ToS) beziehungsweise DifServ-Informationen
  • AS-Nummern (BGP)
  • TCP-Flags
Seite 1: Mit Stichproben arbeiten dank sFlow
Seite 2: Sampling der Interface-Statistiken

Im ersten Teil drehte sich alles um sFlow und NetFlow. Im zweiten Teil sehen wir uns dann an, inwieweit Überlast zu Netzwerkausfällen führen kann. Der dritte Teil erklärt, warum es wichtig ist, die Anforderungen des eigenen IT-Betriebs genau zu kennen. Und im vierten Teil gehen wir schließlich auf die Vermeidung von Flaschenhälsen und die Integration einer Netzwerkvisualisierung ein.

<< Vorherige Seite Seite 2 von 2
4.12.2017/dr/ln/Mathias Hein

Nachrichten

Netzwerkfehler schnell auffinden [22.06.2020]

Allegro Packets erweitert seine Produktfamilie der Network Multimeter für die Fehlersuche und Netzwerkanalyse mit den Modellen "1330", "3300" und "5300". Die x300-Serie verspricht hohe Leistung, die beim Allegro 5300 eine Analyserate von bis zu 100 GBit/s ermöglichen sollen. [mehr]

Kleiner WLAN-Administrator [9.04.2020]

D-Link bringt den "Nuclias Connect Hub DNH-100" auf den Markt. Der Netzwerk-Controller ist mit der mandantenfähigen Nuclias-Connect-Software ausgestattet. Mit Hilfe des rund 500 Gramm leichten DNH-100 lassen sich kleine bis mittlere WLAN-Umgebungen zentral administrieren. [mehr]

Besser im Blick [18.10.2019]

Tipps & Tools

Vorschau Januar 2020: LAN, WAN & SDN [16.12.2019]

Die Netzwerkinfrastruktur gehört wahrscheinlich nicht zu den heißesten Themen im IT-Bereich, nimmt jedoch einen enormen Stellenwert für Administratoren ein. Denn ohne stabile Grundlage kommt es schnell zu Engpässen im Datendurchsatz und Ausfällen von Applikationen. IT-Administrator startet das neue Jahr deshalb mit dem Schwerpunkt "LAN, WAN & SDN". Darin zeigen wir unter anderem, wie Sie Netzwerkgeräte mit rConfig, Jinja2 und Netdisco verwalten. Außerdem lesen Sie, wie Sie Anmeldungen mit dem Microsoft Network Policy Server unter Kontrolle behalten. In den Tests werfen wir einen Blick auf die NetBrain Integrated Edition 8.0. [mehr]

Fernzugriff auf PRTG Core Server [24.11.2019]

PRTG Network Monitor wird in vielen Unternehmen für das Monitoring der IT-Infrastruktur verwendet. Nicht selten kommt die Frage auf, wie der Zugriff auf den PRTG Core Server auch von außerhalb des Unternehmensnetzwerks möglich ist. Was der Admin hier beachten muss und welche Vorkehrungen wichtig sind, um Zugriffe durch unautorisierte Dritte zu verhindern, zeigt dieser Tipp. [mehr]

Buchbesprechung

Microsoft Office 365

von Markus Widl

Anzeigen