Die Kunst der richtigen Kombination

Flussmessungen mit Netflow und Sflow

Flussmessungen dienen zur Ermittlung von Ende-zu-Ende-Statistiken auf Basis der Verkehrsströme. Das heißt, dass nicht jedes einzelne Paket erfasst wird, sondern lediglich der Gesamtfluss. Für die Implementierung von Quality-of-Service-Mechanismen (QoS) sind diese Informationen nahezu unerlässlich.

Das ursprünglich von Cisco Systems entwickelte Verfahren "Netflow" ermöglicht eine Verfeinerung der IP-Volumenstatistiken durch die Zuordnung zu Protokollarten sowie die Ermittlung weiterer Parameter. Das Konzept beruht darauf, dass Pakete anhand von Protokollparametern eindeutig einem Verkehrsfluss zugeordnet werden können. Zudem gibt Netflow für jeden Verkehrsstrom den Zeitpunkt von Beginn und Ende der Übertragung an.

Das erste Paket eines Verkehrsflusses wird der normalen Verarbeitung innerhalb eines Routers unterworfen. Er wertet die anzuwendenden Regeln aus und behandelt das Paket entsprechend. Die daraus gewonnene Klassifikation und die Regeln zur Weiterleitung speichert der Router in einen Cache. Alle nachfolgenden Pakete des gleichen Flusses leitet er dann direkt zum Ziel-Port und erfasst gleichzeitig die Statistikdaten (siehe Grafik rechts oben).

Der Router lässt sich so konfigurieren, dass er diese Daten per UDP an einen definierten Zielrechner oder Agenten schickt. Da keine Aggregation der Verkehrsflüsse stattfindet, können bei hoher Verkehrslast und hohen Bandbreiten große Datenmengen anfallen. Des Weiteren bietet das hierfür eingesetzte UDP-Protokoll keine Sicherheit bei der Übertragung. Im Vergleich zu RMON ist NetFlow flexibler.

Als Argument gegen Netflow-Messungen führen Netzwerkbetreuer oft den hohen Messverkehr an. Zudem wird kritisiert, dass Netflow bei hohen Link-Geschwindigkeiten von 1 GBit/s oder mehr nicht einsetzbar sei, da die Router-CPU dadurch zu stark belastet werde. Der erste Einwand kann nur bedingt gelten, da Systeme wie "Stablenet PME" von Infosim die Netflow-Daten schon an der Stelle ihres Entstehens zusammenfassen und komprimiert über das Netz schicken. Der zweite Punkt ist schwieriger zu entkräften. Dem Autor sind bislang in einem produktiven Umfeld nur Netflow-Messungen im Bereich bis 1 GBit/s bekannt. Auch Cisco hat dieses Problem erkannt und versucht es in der neuen Netflow-Version mit so genannten statistischen Messungen anzugehen.

Alternativ dazu haben mehrere Hersteller, darunter Foundry Networks und Hewlett-Packard, den Standard "Sflow" ins Leben gerufen und in RFC 3176 spezifiziert. Sflow definiert einen "Sampling"-Mechanismus, der nicht jedes Paket misst und dem jeweiligen Fluss zuordnet, sondern Stichproben nimmt, mit denen sich ähnliche Aussagen treffen lassen.

Hierfür wird zunächst ein Intervall festgelegt, zum Beispiel dass jedes tausendste Paket eine Messrate für die Messung darstellt. Dann erzeugt Sflow zufällig Zahlen um dieses Intervall herum, die als Intervallgröße dienen. Über die SNMP-Zähler lässt sich diese Interface-Statistik auslesen. Aus den Sflow-Daten kann man ähnlich wie bei der Wahlforschung gewisse Prognosen ableiten. Jedoch schleicht sich auch hier ein statistischer Fehler ein. Deshalb ist Sflow für Accounting und Abrechnungsverfahren nur bedingt geeignet.