Messdaten erfassen und zielgenau verteilen

Bei Messungen in LANs mit Mikrosegmentierung und Virtualisierung (VLANs) ist die Anzahl
notwendiger Segmentabgriffe im Vergleich zu Shared Backbones um ein Vielfaches höher. Ein
Administrator, der hier Fehler lokalisieren oder Ursachen für Verzögerungen oder
Performance-Einbrüche ermitteln möchte, kann mit den Spiegel-Ports (SPAN-Ports) der Switches oder
mit TAP-Systemen (Test Access Point), also mit passiven Traffic-Splittern arbeiten. Beide Varianten
betrachten aber immer nur ein Segment, sodass der Administrator zahlreiche verteilte SPAN-Ports und
TAPs benötigt, um Fehler schnell lokalisieren zu können.

SPAN-Ports und TAPs

SPAN-Ports sind kostengünstig und flexibel, da sie in den Switches integriert sind. Der Anwender
kann mit ihnen Datenpakete aus physischen sowie VLANs extrahieren. Doch meist ist pro Switch nur
eine begrenzte Anzahl von Spiegelfunktionen nutzbar. Die Mirror-Funktion belastet die CPU des
Switches und birgt zudem die Gefahr von Mess-Jitter, also von Laufzeitunterschieden zwischen
tatsächlichem Traffic und Messwerten, da je nach Belastung des Switching-Systems eine variable
Verzögerung der Messdatenkopie auftreten kann. Für Echtzeitanalysen ist diese Technik daher
ungeeignet. Fehlerhafte Datenpakete wie CRC-Fehler (Prüfsummenfehler) oder Runts (verkümmerte
Pakete) blockt der Switch ab, bevor sie auf den SPAN-Port übertragen werden, sodass sie bei
Messungen nicht auftauchen. SPAN-Ports sind immer "Half-Duplex", da stets nur ein Send-Segment für
die Ausgabe von Daten nutzbar ist. Wer eine Duplex-Leitung überprüfen will, kann zwei Segmente
gemeinsam auf den SPAN-Port legen, "überbucht" ihn damit aber, oder er verbindet zwei getrennte
SPAN-Ports mit dem Messgerät. Die Handhabung der SPAN-Ports erfordert gewissenhafte Planung und
disziplinierten Umgang mit dem System, da eine versehentliche Fehlkonfiguration zu dramatischen
Netzstörungen führen kann.

Netzwerk-TAPs bieten sich als Alternative an. Sie greifen Datenverbindungen (Kupfer oder Glas)
unter möglichst geringem Dämpfungsverlust ab. Diese Geräte belasten den Switch nicht und spiegeln
den Traffic einer Verbindung, ohne ihn zu stören oder zu verfälschen, an das Messgerät. Die
Messdaten sind somit weitgehend authentisch. TAPs stellen andererseits einen Kostenfaktor dar und
sollten zudem ausfallsicher eingesetzt werden.

Backbone-Segmente werden heute mit 10 GBit/s betrieben. Das heißt, eine redundante
10GbE-Verbindung im Vollduplex-Modus bedeutet für das Messgerät eine Datenflut von 40 GBit/s. Nur
zur Veranschaulichung: Wer den verbreiteten Wireshark auf seinem Notebook zur Messung an einer
Core-Verbindung von lediglich 1 GBit/s verwendet, stößt schnell an die Performance-Grenzen seines
PC-gestützten Software-Analysators, die bei wenigen 100 MBit/s liegen. Für realistische Messungen
in einem modernen Backbone ist Spezialhardware notwendig. Die Forderung nach einer 100-prozentigen
Capture Rate ist allerdings bei 10GbE auch heute nicht ohne Weiteres zu erfüllen, da die
Durchsatzraten der derzeit leistungsfähigsten Hardwaresysteme im Bereich von maximal 75 bis 80
Prozent liegen. Diese Schätzung bezieht sich auf Übertragungen im Half-Duplex-Betrieb. Im
Duplex-Modus erreichen die Systeme noch niedrigere effektive Datenraten.

Solche Backbone-Verbindungen sind meist sowohl für die Fehlersuche als auch für das Performance-
und Applikations-Monitoring sowie für Security-Lösungen relevant. Somit müssen oft multiple
Monitoring-Werkzeuge an einzelne Hauptleitungen angeschlossen werden. Das wird aber angesichts der
vielen relevanten Messpunkte teuer: Wer beispielsweise einen Pool von 1- und
10-GBit/s-Backbone-Verbindungen betreibt und eine flächendeckende Monitoring-Lösung anstrebt, muss
im Hochlastbereich mit Kosten ab 20.000 Euro pro 1-GBit/s- und rund 50.000 Euro für ein
10-GBit/s-Werkzeug kalkulieren. Gemeinsam genutzte Aufzeichnungs-Tools sind hier ratsam, jedoch
bedarf es einer ausgeklügelten Strategie, um die Lösung sowohl effektiv als auch wirtschaftlich
betreibbar zu gestalten.

Distributed-TAP-Systeme

Für diese Zwecke bieten sich Distributed-TAP-Systeme kombiniert mit Filtertechniken an. Diese
Systeme arbeiten mit TAP-Switches, über die sich die Messdaten aus verteilten Einzel-TAPs und
SPAN-Ports via Datenaggregation zu Probe-Kanälen zusammenfassen lassen. Durch die Aggregation von
Einzelsegmenten lassen sich Messgeräte effizienter nutzen. So kann ein Probe-Kanal, der für 10
GBit/s ausgelegt ist, parallel die Messdaten von mehreren GbE-Verbindungen übertragen. Da die
einzelnen Kanäle schaltbar sind, hat der Anwender die Möglichkeit, die aggregierten Daten oder
jeweils separat die RX/TX-Kanäle zu analysieren. Auch die Parallelschaltung gleicher Daten auf
mehrere Messgeräte – etwa für das Intrusion-Detection-System und für das Anwendungs-Monitoring –
ist bei vielen Modellen möglich. Die Administratoren können jederzeit via Remote-Konfiguration
(Telnet, HTTP, HTTPS, SSH) festlegen, welche Daten aus welchem Segment oder einer Gruppe von LAN-
und SPAN-Segmenten einer Probe gemessen werden sollen. TAP-Switches erlauben im Gegensatz zu
Matrix-Switches die Aggregation mit der selektiven Schaltung nach Bedarf. Die LAN-Medien
(Kupfer/Fiber) können bei neuen TAP-Modellen praktisch nach Belieben gewandelt werden.

Im Unterschied zu TAP-Switches sind insbesondere für Testlabors und große Enterprise-Umgebungen
so genannte Physical-Layer-Switches verfügbar. Diese verfügen im Normalfall nicht über
Aggregationsfunktionen, können aber mit TAP-Systemen gekoppelt werden und bieten neben der
Medienkonvertierung die Möglichkeit, Eingangskanäle von LAN/WAN-Verbindungen protokollneutral zu
übertragen und auf vielfache Ausgänge zu replizieren. Auch hier ist das Remote-Management der
Systeme von großem Vorteil.

Mit Filterfunktion

Die derzeit anspruchvollste Disziplin im Bereich der TAPs stellen TAP-Filtersysteme dar. Sie
basieren auf FPGA (frei programmierbaren Gate Arrays) und können Netzwerkdaten in Wirespeed nicht
nur aggregieren, sondern nach den verschiedensten Kriterien ebenso schnell filtern. Damit lassen
sich neue Messinfrastrukturen realisieren. Ein Netzbetreiber kann zum Beispiel die Daten mit
beliebigem Inhalt und Herkunft zunächst in eine Art Pool stellen. Das System übergibt diese dann
jeweils zielgerichtet nach den Filterkriterien an die verschiedenen Monitoring- und
Analysewerkzeuge. Beispielweise kann es den gesamten Verkehr von IP-Subnetzen oder IP-Subnet-Ranges
auf Probe 1 übertragen und HTTP-Traffic ausschließlich auf ein IDS-System. Nutz- und Steuerdaten
lassen sich dabei einfach voneinander trennen. Die Systeme verfügen zudem über die Möglichkeit,
Frame-Inhalte nach Kriterien zu verändern, sei es, Datenrahmen mit VLAN-Tags zu stempeln oder die
Frame-Details ab einer bestimmten Tiefe abzuschneiden, um Sicherheitsbedürfnissen oder der
Privatsphäre von Daten Rechnung zu tragen.

Insbesondere im Backbone-Bereich mit Datenraten bis 10 GBit/s ermöglichen solche Filtersysteme
eine sinnvolle Messdatenreduktion.

Mittlerweile gibt es sogar spezielle Mini-Filter-TAPs, die an die Netzwerkschnittstelle eines
Notebooks anschließbar sind. Dieser Mini-Filter-TAP reduziert dann selbst in stark belasteten
Infrastrukturen die Messdaten soweit, dass der Anwender mit Notebook und Softwareanalysator
aussagekräftige Ergebnisse erhält.