Mit Filtertechniken das Monitoring optimieren
10?GbE-Verbindungen überwachen
Bei der Einführung von 10 Gigabit Ethernet im Unternehmensnetz ist auch die Netzwerküberwachung entsprechend aufzurüsten. Eine Möglichkeit ist es, den Datenstrom mit Monitoring-Optimierern so zu filtern und aufzuteilen, dass sich die meisten vorhandenen Gigabit-Ethernet-Monitoring-Lösungen weiter nutzen lassen.
Laut einer in diesem Frühjahr veröffentlichten Studie des Marktforschungsinstituts Dell?Oro
wächst der weltweite Switching-Markt im Jahr 2010 vor allem im
10-Gigabit-Ethernet-Switching-Segment. Die Komponenten kommen nicht mehr nur in Core-Switches zum
Einsatz, sondern auch für Server-Verbindungen und für Aggregationsanwendungen im Rechenzentrum. Die
Port-Preise für 10 Gigabit Ethernet (10GbE) sind auf weit unter 1.000 Dollar gefallen. So werden in
diesem Jahr viele Unternehmen ihr Netz auf 10GbE aufrüsten. Dennoch müssen die meisten
Netzwerkverantwortlichen nach der Prämisse "do more with less" handeln. Ein zusätzlicher
Kostenblock bei der Einführung von 10GbE, den viele bei der Budgetierung erst einmal
vernachlässigen, sind die Zusatzkosten für die Wartung des Netzes. Denn auch 10GbE-Netze mit den
darauf laufenden geschäftskritischen Anwendungen müssen mindestens nach den gleichen Standards
überwacht werden wie das bisherige Netzwerk. Dies kann bedeuten, dass die verschiedenen Netzwerk-
und Anwendungsüberwachungslösungen, die ein Unternehmen im Einsatz hat, sich ebenfalls für 10GbE
eignen müssen. Dazu zählen zum Beispiel Application-Performance-Monitore, Lawful-Inspection- sowie
Intrusion-Detection-Systeme, Compliance-Tools, Aufzeichnungsgeräte, VoIP-Monitore und
Protokollanalysatoren. Kaum ein IT-Verantwortlicher hat in wirtschaftlich schwierigen Zeiten das
Budget, um alle im Einsatz befindlichen Monitoring-Lösungen entsprechend aufzurüsten.
Optimiertes Monitoring als Ausweg
Tatsächlich gibt es einen Weg, die bisher genutzten 1GbE-Tools auch für 10GbE-Verbindungen
weiter zu nutzen. Dabei spielen zwei Netzwerktrends Hand in Hand: Zum einen überprüfen heute die
meisten Tools nur einen kleinen Ausschnitt des Netzwerkverkehrs. Solche Monitor-Lösungen würden
sogar effizienter arbeiten, wenn sie nur den Teil des Netzverkehrs zugeteilt bekämen, der
tatsächlich für ihre Auswertungen relevant ist. Zum anderen etablieren sich derzeit Techniken zur
Optimierung der Netzwerküberwachung, die den Traffic filtern und dynamisch an die jeweils passenden
Monitoring-Tools weiterleiten. Damit lässt sich der Umfang des Monitorings erweitern und zugleich
Geld sparen.
Eine derartige Monitoring-Optimierung ermöglicht es, den Datenstrom mit 10 GBit/s Bandbreite zu
empfangen und nach OSI-Layer-2-bis-4-Kriterien zu filtern. Das heißt, der Anwender kann nach
MAC-Adresse, VLANs, Ethertypes, IP-Adressen und UDP-/TCP-Ports filtern. In den meisten Fällen lässt
sich ein 10GbE-Link mit Filtertechniken auf ein 1 GBit/s oder weniger reduzieren. Damit sind all
die Daten herausgefiltert, die das jeweilige Monitoring-Werkzeug für seine Funktion nicht benötigt.
Bei diesen Datenraten kann die IT-Abteilung weiterhin die bisher eingesetzten Monitoring-Werkzeuge
nutzen.
Die Monitoring?-?Optimierungs?-?Lösung muss dabei jedoch zusätzlich die
Vollduplex-10GbE-Datenströme ohne Paketverluste in 1GbE-Datenströme konvertieren. Übersteigt die
Datenrate nach der Filterung 1 GBit/s, könnte der Administrator mit einem Load-Balancer den
gefilterten Datenstrom auf zwei 1-GBit/s-Tools verteilen. Bei wenig ausgelasteten Netzen ist es mit
Filter-Optimierung sogar möglich, dass ein 1-GBit/s-Tool mehrere 10GbE-Links überwacht.
Die Traffic-Filter müssen dabei sehr genau an die angeschlossenen Monitoring-Werkzeuge, an die
zu überwachenden Anwendungen sowie an die Unternehmensziele angepasst sein. So benötigt zum
Beispiel ein klassischer Application-Performance-Monitor nur den TCP-Traffic von den
Anwendungs-Ports, die er überwachen soll. Die meisten VoIP-Überwachungslösungen untersuchen nur
bestimmte Protokolle wie SIP, SCCP und MGCP. Hinzu kommt, dass diese spezialisierten Tools am
effizientesten arbeiten, wenn sie nur den Teil des Datenstroms erhalten, der für sie relevant ist.
Dies sollte auch gewährleistet sein, wenn 1-GBit/s-Tools zur Überwachung von 10-GBit/s-Links
eingesetzt werden.
Datenfilterung erscheint auf den ersten Blick recht unkompliziert. Es steckt aber mehr dahinter
als man denkt. Werden die Daten zum Beispiel unvollständig gefiltert, und ein Tool erhält mehr
Input, als es verarbeiten kann, oder es erhält nicht alle dafür relevanten Daten, so ist die
Überwachung unvollständig und erstreckt sich nicht mehr über den gesamten Netzverkehr. Insbesondere
mit Blick auf die vollständige Netzabdeckung bei der Überwachung sollte ein IT-Leiter bei der
Auswahl eines Monitoring-Optimierers auf die kriterieneinfache Bedienung, Zuverlässigkeit, sowie
automatische Pflege und Wartung achten.
Entscheidende Kriterien für Monitoring-Optimierer
Nicht jede Lösung bietet eine intuitive Bedienschnittstelle oder ein grafisches User-Interface
(GUI). So gibt es Systeme, bei denen der Anwender zahlreiche komplexe und kryptische Regeln über
das Command Line Interface (CLI) eingeben muss. Andere wiederum bieten Drag-and-Drop-GUIs, die den
Zeitaufwand für die Konfiguration und Verwaltung des Systems von Stunden auf Minuten begrenzen.
Damit kann ein IT-Verantwortlicher schnell am falschen Ende sparen. Je einfacher sich eine Lösung
bedienen lässt, umso mehr Zeit hat ein Administrator für andere wichtige Aufgaben.
Wichtig ist außerdem, dass die Lösung automatisch auf "Overlapping Packets" reagieren kann.
Damit sind Datenpakete gemeint, die den Filterkriterien mehrerer Tools entsprechen und somit auch
an mehrere Monitoring-Tools weitergeleitet werden müssen. Solche Überschneidungen treten in fast
allen Rechenzentren auf. Erkennt das Monitoring-Optimierungssystem sie nicht, dann sehen die
Überwachungs-Tools nicht alle für sie relevanten Daten, und die jeweilige Überwachung erstreckt
sich nicht mehr über den ganzen Netzwerk-Traffic.
Es kommt zu diesen Problemen, weil Filter in der Regel sequenziell arbeiten. Das heißt, das
System setzt zunächst den Filter für das erste Monitoring-Tool und filtert den verbleibenden
Datenstrom nach den Anforderungen des nächsten Tools und die daraus verbleibenden Daten gemäß den
Anforderungen des darauf folgenden Tools. Doch bei dieser Vorgehensweise wird für nachfolgende
Monitoring-Tools nicht mehr der komplette Datenstrom gefiltert, sondern nur noch ein Teil davon.Wer
Span-Ports oder Taps für mehrere Monitoring-Tools gemeinsam nutzt und den Datenstrom nun für diese
Tools filtern will, hat mit größter Wahrscheinlichkeit solche Overlapping Packets. Muss der
Anwender die Filter für solche Anwendungen über ein CLI konfigurieren, so wird dies schnell sehr
komplex und aufwändig in der Programmierung. Es kommt nicht selten vor, dass das Setzen von Filtern
bei Overlapping Packets über 100 Zeilen Code mit komplexen Regeln erfordert. Dabei muss der
Anwender schon ein Experte für Filtercodierung sein.
In solchen Fällen sollte der Administrator auf jeden Fall darauf bestehen, dass der
Monitoring-Optimierer Overlapping-Pakete automatisch und sorgfältig mit seinen Filterprozeduren
verarbeiten kann. Bei manchen Optimierern muss der Anwender zum Beispiel einfach nur spezifizieren,
welche Daten jedes Tool erhalten soll, und das System nimmt dann automatisch die komplexe Codierung
vor.
Automatische Pflege und Wartung
Besonders interessant wird es, wenn die Netzwerkkonfiguration sich ändert. Es gibt Systeme, die
ihre Filter bei Änderungen automatisch anpassen. Wer die Filterregeln für Overlapping Packets per
CLI eingegeben hat, wird ahnen, was bei Netzwerkänderungen an Aufwand auf ihn zukommt: Jedes Mal
muss der Administrator nicht nur die Netzwerkeinstellungen, sondern auch die Filtereinstellungen
und die Konfiguration des Tools entsprechend anpassen – und das mit dem Wissen, dass sich ein
Netzwerk kontinuierlich verändert.
Ist er einmal mit der manuellen Wartung der Filter via CLI nicht auf dem aktuellen Stand, muss
er dafür merkliche Kompromisse in der Monitoring-Abdeckung hinnehmen, weil die Monitoring-Tools
nicht alle Daten erhalten, die sie für ihre Aufgabe benötigen. Wer also die Monitoring-Abdeckung
für sein LAN möglichst kontinuierlich hoch halten will, sollte ein System wählen, das den
Datenstrom nicht nur zuverlässig filtert, sondern auch betriebstauglich ist und automatisch die
Filtersetzung überprüft und anpasst, wenn Netzwerkänderungen auftreten.
Um ein Beispiel aus der Praxis zu nehmen, sei hier der Net Tool Optimizer der 5200-Serie von
Anué Systems genannt. Die Geräte dieser Reihe erfassen den 1- und 10-GbE-Netzwerk-Traffic im
Promiscuous Mode mit RJ45-, SFP- und XFP-Schnittstellen und unterstützen zur Weiterleitung des
Datenverkehrs verschiedene Verfahren:
- One-to-Many verteilt das Eingangssignal auf mehrere Ausgangs-Ports. Dort wird das Signal
jeweils spezifisch gefiltert; - Many-to-Many verteilt mehrere Eingangssignale auf mehrere Ausgangs-Ports. Damit kann der
Anwender den Datenstrom aus mehreren Netzsegmenten auf verschiedene Tools verteilen, und - Many to One aggregiert mehrere Eingangssignale in ein Ausgangssignal. Diese Funktion empfiehlt
sich jedoch nur bei gering belasteten Netzwerken.
Zudem vermeidet diese Lösung Paketverluste bei 10-GbE-Lastspitzen durch eine Filterfunktion, die
bei hohen Datenaufkommen das Eingangssignal auf mehrere Ausgangs-Ports verteilt. Ferner ist laut
Herstellerangaben sichergestellt, dass die Daten nur vom Netzwerk aus in den Optimizer gelangen
können und dann an verschiedene Tools weitergeleitet werden. Der umgekehrte Weg ist nicht möglich.
Das heißt, niemand kann vom Optimizer oder einem Überwachungs-Tool aus auf das Netzwerk
zugreifen.
Fazit: vorhandene Tools nutzen
Wer 10GbE in seinem Netzwerk einführen will, muss dafür nicht auch sein komplettes
Monitoring-Equipment auf 10GbE updaten. Denn die vorhandenen Tools lassen sich auch für
10GbE-Verbindungen nutzen, wenn das Unternehmen Netzwerkoptimierer einsetzt, die den 10GbE-Traffic
angemessen filtern und verlustfrei in 1GbE-Daten umwandeln.
Lesen Sie mehr zum Thema
