Wenn die Bordmittel des Betriebssystems nicht mehr ausreichen, um Problemen im Netzwerk auf die Spur zu kommen, müssen Sie schwerere Geschütze auffahren. Sie haben dabei die Wahl zwischen Freeware-Tools, kommerziellen Software-Lösungen und hochgezüchteten Hardware-Analyzern.
Das prinzipielle Vorgehen bei der Fehlersuche ist mit allen Werkzeugen ähnlich. Eine so genannte Capture Engine erfasst über die Netzwerkkarte die übertragenen Datenpakete und speichert sie in Trace-Dateien oder in einem Online-Pufferspeicher ab. Die Protokollanalyse-Software untersucht sie dann nach verschiedenen Kriterien.
Sie können dabei zahlreiche Filter definieren, zum Beispiel um nur die Kommunikation zwischen zwei bestimmten Stationen oder nur die Frames eines bestimmten Protokolls angezeigt zu bekommen. Diese Filter lassen sich in der Regel sowohl beim Capturing als auch bei der anschließenden Trace-Analyse einsetzen.
Vorsicht beim Filtern
Wenn Sie bereits bei der Datenerfassung Filter aktivieren, sollten Sie sich darüber im Klaren sein, dass Sie nur die Datenpakete zu sehen bekommen, die den Filterkriterien entsprechen. Es besteht deshalb die Gefahr, dass Frames, die Rückschlüsse auf die Fehlerursache ermöglichen würden, in der Trace-Datei nicht enthalten sind. Dieses Problem können Sie umgehen, indem Sie den gesamten Datenverkehr mitschneiden. Dadurch stehen für die Nachverarbeitungs-Analyse alle eventuell relevanten Informationen zur Verfügung.
Setzen Sie zusätzlich zu den Filterfunktionen des LAN-Analyzers ein Experten-System ein, haben Sie die Möglichkeit, tagsüber das Capturing durchzuführen und nachts die automatische Analyse laufen zu lassen. Im Idealfall präsentiert Ihnen das Expertensystem die für Fehlfunktionen verantwortlichen Datenpakete auf dem Silberteller.
Mit Hardware-Analyzern, die in Echtzeit operieren, ist ein derartiges Vorgehen nicht möglich. Sie untersuchen die im Buffer erfassten Daten sofort, können allerdings aufgrund des begrenzten Online-Speichers immer nur Stichproben des gesamten Traffics mitschneiden. Dafür lässt sich mit diesen Geräten ein deutlich schnelleres Troubleshooting durchführen als es bei einer Offline-Nachbearbeitung von Trace-Dateien der Fall ist.
Capturing-Techniken
Um den gesamten Datenverkehr zu erfassen, benötigen Sie leistungsfähige Netzwerkkarten mit Capture Engines, die alle Frames kontinuierlich und vollständig auf Festplatte speichern können. Dabei fallen sehr große Datenmengen an, insbesondere wenn die Messung über einen längeren Zeitraum erfolgt.
Fast Ethernet (100 Mbit/s) überträgt theoretisch pro Sekunde bis zu 144.000 Pakete. Mit Gigabit Ethernet (1000 Mbit/s) können es bis zu 1.440.000 Pakete pro Sekunde sein, die fortlaufend in Trace-Dateien geschrieben werden müssen. Bei einer mehrere Stunden laufenden Analyse entstehen so Hunderte von Trace-Dateien. Das Expertensystem des LAN-Analyzers sollte deshalb in der Lage sein, mehrere Trace-Dateien gleichzeitig auszuwerten, damit Sie nicht jede Trace-Datei einzeln untersuchen müssen.
Für die Erfassung von Fast-Ethernet-Traffic reichen handelsübliche Netzwerkkarten in Verbindung mit der Capture Engine eines Software-Analyzers aus. Schwieriger ist dies mit Gigabit Ethernet. Um die hier anfallenden Datenmengen vollständig mitzuschneiden, empfiehlt sich der Einsatz von speziellen Netzwerkkarten oder Hardware-Analyzern.
Die Praxis hat allerdings gezeigt, dass sich eine Gigabit-Ethernet-Analyse in vielen Fällen auch mit handelsüblichen Netzwerkkarten und Software-Analyzern vernünftig durchführen lässt, weil die Auslastung von Gigabit-Leitungen abgesehen von Bursts meist nicht sehr hoch ist.
Spiegelung von Switch-Ports
Der Trend zu geswitchten Netzwerken erschwert die LAN-Analyse: Eine Station, die mit einem Switch verbunden ist, bekommt nur noch die für sie bestimmten Pakete zu sehen. Im Shared Ethernet mit Hubs dagegen kann die Netzwerkkarte im Capture-Modus alle Pakete ihres Segmentes mitschneiden. Setzen Sie ein geswitchtes Netz ein, sollten Sie sich deshalb vor einer Analyse genau überlegen, an welchen Punkten eine Messung am aussagekräftigsten sein dürfte. Klassische Kandidaten sind Server-Uplinks und Backbone-Verbindungen.
Eine sehr flexible Möglichkeit, Messungen an verschiedenen Stellen im Netzwerk vorzunehmen, bietet die Mirror-Port-Funktion von Switches. Mit ihr können Sie den jeweils zu untersuchenden Link auf einen anderen Port des Switches spiegeln, an den Sie den Analyzer anschließen. Einige Hersteller sind dabei sogar in der Lage, den Tx- und Rx-Traffic mehrerer Switch-Ports auf einem Mirror-Port auszugeben.
Die zuletzt genannte Funktion sollten man aber nur nutzen, wenn man davon ausgehen kann, dass der Mirror-Port die Datenmengen der gespiegelten Ports auch verkraftet. Tut er das nicht, gehen Pakete verloren. Auf der sicheren Seite sind Sie in der Regel, wenn der Spiegel-Port dieselbe Bandbreite hat wie der Quell-Port. Praktische Erfahrungen zeigen, dass eine Port-Spiegelung normalerweise auch für das Capturing von Vollduplex-Gigabit-Links ausreicht. Für längere Burst-Situationen eignet sich diese Methode allerdings nicht, da der Analyzer über den Spiegel-Port nur die Hälfte der maximal möglichen Vollduplex-Bandbreite aufzeichnen kann.
Das Port-Mirroring bietet eine hohe Flexibilität, hat aber zwei große Nachteile. Zum einen beeinträchtigt es die Switch-Performance, da der Switch für die Spiegelung alle Frames duplizieren muss. Zum anderen verzerrt es die Analyse, weil ein Switch schadhafte Frames automatisch verwirft.
Tap als Ideallösung
Diese Probleme können Sie umgehen, indem Sie für die Erfassung der Messdaten Link-Splitter einsetzen, auch Tap (Test Access Point) genannt. Dabei handelt es sich um kleine Boxen, die in die zu überwachende Netzverbindung zwischengeschaltet werden. Sie duplizieren alle Pakete und erzeugen aus einem Vollduplex-Link zwei Halbduplex-Datenströme mit dem Rx- und dem Tx-Verkehr.
Der Tap ist mit zwei Netzwerkkarten des Analyzers verbunden, der den Rx- und Tx-Traffic in Trace-Dateien schreibt. Die Analysesoftware fügt die beiden Ströme anschließend wieder zu einem zusammen. Die Originalpakete leitet ein Tap unverändert weiter, das heißt der Traffic im Netzwerk wird durch ihn nicht beeinflusst.
Systematische Fehlersuche
Die Ursachen für Netzwerkprobleme haben sich in den vergangenen Jahren deutlich verändert. Lagen sie früher häufig bei den physischen Komponenten wie Verkabelung, Netzwerkkarten, Switches oder Routern, so sind sie heute zum überwiegenden Teil auf den höheren OSI-Schichten der Layer 4 bis 7 zu suchen.
Auf die Möglichkeiten der Kabelanalyse gehen wir deshalb nur ganz kurz ein. Hersteller wie Fluke Networks oder Ideal Industries bieten hierfür Handheld-Tester in verschiedenen Ausführungen und Preisklassen an. Diese Geräte können unterschiedliche Kabeltypen wie Kat 5, 5e, 6 oder 7 auf ihre Funktionsfähigkeit prüfen. Mit Zusatzmodulen lassen sich derartige Tester auch für Glasfaserverbindungen nutzen.
Für die Fehlersuche mit einem LAN-Protokoll-Analyzer empfiehlt sich ein schrittweises Vorgehen. Zunächst sollten Sie sich auf die Netzwerk- und Transportschicht konzentrieren und sich einen Überblick der Kommunikationsbeziehungen im Netzwerk verschaffen. Damit erhalten Sie eine gute Ausgangsbasis für die weitere Analyse.
Filtern der Informationen
Erste nützliche Informationen bekommen Sie, wenn Sie im LAN-Analyzer bei der Auswertung der Trace-Dateien Filter auf die Broadcast- und die Multicast-Protokolle setzen. Hierzu zählen unter anderem Bridge- und Service-Advertising-Protokolle sowie die Routing-Protokolle RIP und OSPF. Auch ICMP kann Hinweise auf IP-Routing-Fehler geben. Der Filtervorgang lässt sich mithilfe zusätzlicher protokollspezifischer Kriterien weiter verfeinern.
Im zweiten Schritt empfiehlt sich ein Blick auf die Protokolle für die Namens- und Adressauflösung wie ARP, RARP, DNS, WINS und DHCP. Haben Sie den Verdacht, dass eine bestimmte Station für die Netzwerkprobleme verantwortlich ist, können Sie die betreffenden Pakete über entsprechende Filter aus dem Trace-File extrahieren. Oder Sie setzen bereits beim Capturing einen Filter auf die MAC- oder IP-Adresse dieses Systems.
Für die Fehlersuche in den oberen OSI-Schichten setzen Sie am besten ein Expertensystem ein, das die meisten Analyzer-Hersteller als optionales Modul anbieten. Es analysiert die erfassten Pakete automatisch auf allen OSI-Layern, isoliert Fehler und erstellt Reports. Ein Expertensystem sollte zudem in der Lage sein, mehrere Trace-Files parallel zu verarbeiten, um den manuellen Aufwand möglichst niedrig zu halten. Die Messungen sollte das Tool in einer Datenbank speichern. Dies gewährleistet zum einen die Wiederholbarkeit, zum anderen ist das einmal erarbeitete Know-how damit jederzeit abrufbar.
LAN-Analyse mit Freeware
Ein interessantes Freeware-Produkt für die LAN-Protokollanalyse ist der Open-Source-Analyzer Ethereal. Die Software, die unter Unix, Linux und Windows läuft, verfügt über eine leistungsfähige Capture Engine, die Standard-Netzwerkkarten nutzt. Das Tool kann fast 400 Protokolle verarbeiten und dürfte damit die meisten Anforderungen abdecken. Umfangreiche Filterfunktionen erlauben eine gezielte Analyse. Mit dem Zusatzmodul Mergecap können Sie zudem mehrere Trace-Files zu einer Datei zusammenfassen. Ein Expertensystem bietet es aber nicht.
Weitere Open-Source-Werkzeuge sind Ntop und Tcpdump, die ebenfalls über normale Netzwerkkarten Trace-Dateien für die Analyse erzeugen. Ntop (Network Traffic Probe) kann darüber hinaus den zum Beispiel durch Port-Mirroring ausgespiegelten Datenverkehr auswerten und umfangreiche Statistiken über die Verkehrsbeziehungen erstellen.
Kommerzielle Analyse-Produkte
Zu den Klassikern der LAN-Analyse zählt die Software LANdecoder32 von Triticom, die auch Expertenfunktionen integriert. Der deutsche Anbieter Synapse Networks hat sich mit Trace Magic auf ein Expertensystem spezialisiert, das Capture Engines von anderen Anbietern nutzt. Die Software kann mehrere Trace-Dateien gleichzeitig analysieren und soll dadurch in der Lage sein, auch aus sehr umfangreichen Datenbeständen automatisch die für die Fehlersuche wichtigen Pakete herauszufischen.
Die meisten Analyzer-Hersteller bieten sowohl Software-Lösungen als auch spezialisierte Hardware-Produkte an. Insbesondere für die Analyse von Gigabit Ethernet ist eine leistungsfähige Hardware nötig. Derartige Lösungen sind nicht ganz billig und schlagen schnell mit 10 000 bis 20 000 Euro zu Buche.
Network Instruments hat eine Gigabit-Ethernet-Version des Observer auf den Markt gebracht, die nur im Paket mit Analyse-Hardware erhältlich ist. Gleiches gilt für Gigapeek NX von Wildpackets.
Fluke und Niksun
Eine sehr umfangreiche Produktpalette für die LAN-Analyse bietet Fluke Networks an. Sie reicht von Kabeltestern über einfache Analyzer bis zu Hochleistungs-Hardware-Analysatoren. Für die Protokoll-Analyse nutzt Fluke eine angepasste Version der Surveyor-Software von Shomiti.
Shomiti wurde mittlerweile von Finisar aufgekauft, die ihre Hardware-Analyse-Plattformen mit der Surveyor-Software bestücken.. Der THGhd-Analyzer kann mithilfe von acht Gigabit-Capture-Karten bis zu vier zu einem Trunk zusammengefasste Gigabit-Ethernet-Links vollständig mitschneiden. Die Analysesoftware führt die Datenströme wieder zusammen.
Niksun mit Net VCR und Sniffer Technologies mit der s6040-Appliance können ebenfalls bis zu vier aggregierte Gigabit-Ethernet-Links analysieren. Die NAI-Tochter Sniffer Technologies hat ihre LAN-Analyse-Produkte zur Sniffer Network Protection Platform ausgebaut. Diese besteht aus zwei zentralen Komponenten: Sniffer Distributed 4.3 ermöglicht netzwerkweite Analysen und ein Monitoring. Der Network Performance Orchestrator (nPO) stellt mit dem nPO Manager und dem nPO Visualizer Werkzeuge für die Verwaltung, Planung und Sicherheit des Netzes bereit. Vor kurzem hat Sniffer den Netasyst Network Analyzer vorgestellt, bei dem es sich um eine abgespeckte Version für kleine und mittlere Unternehmen handelt.
Agilent
Der auf Mess- und Analysegeräte spezialisierte Hersteller Agilent hat mit dem Network Analyzer ein Produkt für die Echtzeitanalyse von Sprach-, Mobil- und Datenanwendungen in LAN- und WAN-Umgebungen entwickelt. Das integrierte Expertensystem soll Fehler schnell aufspüren. Agilent bietet auch eine Software für die zentrale Verwaltung von Analyse-Systemen an.
Das Agilent Network Troubleshooting Center fasst die Daten von verschiedenen im Netz verteilten Analyzern und Probes für die Auswertung in einer zentralen Konsole zusammen. Der Systemverantwortliche erhält dadurch eine Gesamtsicht auf sein Netzwerk und kann sich per Drill-Down zum Kern des jeweiligen Problems vorarbeiten. Die Software ist in der Lage, SNMP-, RMON- und MIB-Daten von Analyse- und Monitoring-Systemen anderer Hersteller auszuwerten.
Auch von Fluke Networks mit der Optiview Console 6.0 und von Sniffer Technologies gibt es Lösungen für ein zentrales Management von verteilten Analysesystemen.
Wireless LAN und Echtzeit-Verkehr
Die meisten Hersteller haben ihre LAN-Analyse-Produkte inzwischen um WLAN-Fähigkeiten erweitert. So bietet Fluke den Waverunner an, Sniffer eine Wireless-PDA-Version sowie Netasyst Wireless. Finisar hat den Surveyor Wireless im Programm und der Observer von Network Instruments verfügt ebenfalls über eine entsprechende Option. Auch Ethereal unterstützt bereits WLANs. Zudem mischen Newcomer wie Airmagnet mit, die speziell für dieses Marktsegment neue Analyzer entwickelt haben.
Ein anderer Trend ist die Ergänzung der Produkte um Spezialfunktionen für die Analyse von Echtzeit-Traffic wie VoIP oder Video. Hierbei geht es unter anderem darum, QoS-Parameter wie Jitter oder Delay zu überwachen sowie die Sprachqualität zu überprüfen. Für die Fehlersuche in Netzwerken mit Echtzeit-Datenübertragungen sind zudem gleichzeitige zeitkorrelierte Messungen in unterschiedlichen Netzsegmenten nötig, um Ursachen zuverlässig diagnostizieren zu können.
Netzwerk regelmäßig überwachen
Ideal wäre es natürlich, wenn Sie möglichst selten einen LAN-Analyzer benötigen. Der beste Weg, dies zu erreichen, ist eine kontiniuerliche Überwachung des Netzwerkes. Dadurch erhalten Sie frühzeitig Hinweise auf Veränderungen in den Kommunikationsbeziehungen und können Probleme wie sich anbahnende Flaschenhälse bereits erkennen, bevor sie sich negativ auswirken.
Ein derartiges Monitoring sollte grundlegende Parameter wie Auslastung, Port-Fehler, physikalische Fehler und verworfene Pakete umfassen. Diese Daten können Sie über die Netzwerkkarte des Analyzers oder über eine so genannte Probe sammeln. Dabei handelt es sich um eine Hardware-Box oder eine auf einem Rechner installierte Software, die Informationen sammelt und über das Netzwerk an den Analyse-Rechner übermittelt.
Da wir es heutzutage aber meist mit geswitchten Netzwerken zu tun haben, kommen diese Möglichkeiten aus Kostengründen nicht in Betracht. Denn wenn alle Systeme überwacht werden sollen, wäre für jeden Switch-Port eine eigene Probe erforderlich.
Monitoring per Netzwerkmanagement-System
Für ein kontinuierliches Monitoring sind deshalb Netzwerkmanagement-Systeme wie Whatsup Gold von Ipswitch, Network Probe von Objectplanet, The Guard von Realtech oder Ngenius von Netscout die bessere Alternative.
Ein regelmäßiges Monitoring lässt sich auch mit Freeware-Produkten einrichten. So enthalten die meisten Linux-Distributionen das Tool Netstat, das Netzwerkverbindungen von Linux-Servern überwacht. Für das Monitoring von WAN-Verbindungen eignet sich das Open-Source-Tool MRTG (Multi Router Traffic Grapher).
Fazit
Für kleinere und mittlere Unternehmen dürften Freeware-Analyzer und kostengünstige Software-Produkte mit Standard-Hardware die beste Wahl sein. Wer regelmäßig LAN-Analysen durchführt, wird sehr bald nach einer Lösung Ausschau halten, die auch ein leistungsfähiges Experten-System umfasst. Denn nur damit können Sie Trace-Dateien automatisch analysieren.
In sehr großen Netzwerken sind Lösungen für ein zentrales Management verteilter LAN-Analyse-Systeme aufgrund der einfacheren Verwaltung sicher eine Überlegung wert. Die Anschaffung von spezialisierten Hardware-Analyzern dürfte aufgrund der hohen Preise nur für zahlungskräftige Unternehmen in Betracht kommen, die auf Echtzeit-Analysen angewiesen sind.
Den größten Nutzen bringt jedoch eine kontinuierliche Überwachung kritischer Netzwerkverbindungen. Denn damit erhalten Sie in vielen Fällen schon frühzeitig Hinweise auf drohendes Unheil und können entsprechende Maßnahmen ergreifen, um den reibungslosen Netzbetrieb sicherzustellen. (jlu)