Kommentar: Netzwerkmanagement
Regelwerk zur Netzwerk-Verwaltung
Fortsetzung des Artikels von Teil 1
Was muss überwacht und verwaltet werden
Wo fängt man bei der Definition eines NMS-Regelwerks an? Am besten man definiert zuerst einfache Richtlinien und erarbeitet im Laufe der Zeit immer komplexere Richtlinien.
Da wir etwas nicht überwachen können, von dem wir nicht wissen, ob es wirklich in unserem Netzwerk vorhanden ist, müssen wir mit der Erkennung der im Netzwerk integrierten Komponenten beginnen. Es hat sich als sinnvoll erwiesen, mit Hilfe von regelmäßigen Netzwerk-Scans, alle Geräte im Netzwerk zu identifizieren und zu inventarisieren. Beim Netzwerkaudit steht die automatische Komponentenfindung im Vordergrund. Die Netzwerkkomponenten (z.B. Switche, Router) und Endgeräte (z.B. PCs, Drucker, IP-Telefone und Server) müssen automatisch gefunden werden. Die spezifischen Geräte-, Konfigurations- und Verbindungsdaten der aufgefundenen Komponenten werden hierzu in einer Datenbank gespeichert und analysiert.
Nach jedem Audit werden die Geräte spezifischen Daten aktualisiert. Ein Netzwerkaudit liefert außerdem die Basisinformationen für die Netzwerk- und die Sicherheitsplanung, den Netzbetrieb und den Dokumentationsdienst.
Als Netzadministrator muss man in der Lage sein die Netzwerkinfrastruktur in der notwendigen Detailgenauigkeit graphisch darzustellen. Bei der Netzwerkdokumentation (Visualisierung) wird die Netztopologie aus den zuvor in der Datenbank abgelegten Informationen berechnet und automatisch die verschiedenen Netzwerkansichten gezeichnet. Die Layer-2-„neighbour hood map“ zeigt die direkte Layer-2-Umgebung einer Komponente, beispielsweise eines Layer-2-Switches mit angeschlossenen Endgeräten. Die Layer-3-„next hop map“ zeigt ein ausgewähltes Layer-3-Gerät (Router oder Layer-3-Switch), seine Subnetze und den Next-Hop-Router. Ebenfalls sorgt ein Dokumentationsdienst auf dieser Datenbasis für eine automatische Erzeugung von Bestandlisten (Hardware-, Software-, Patch-, Hersteller-, Standortberichte etc. automatische Struktur-Visualisierung und Erzeugung eines Netzplans auf Layer 2 oder Layer 3, sowie als Kombination von Layer 2 und 3).
Auch sollte das Regelwerk eine „End-of-Life-“ (EoL-)Erkennung beinhalten. Die Hersteller sind nicht in der Lage, über sehr lange Zeiträume den Support für die im Feld installierten Netzwerkkomponenten aufrecht zu halten. Einige Hersteller geben mittlerweile zwar auf die Hardware einen „Livetime Support“, aber dies betrifft im Regelfall nur die Hardware und nicht die auf den Komponenten installierte Software. In den Unternehmen befinden sich eine große Anzahl von veralteten Switches und Routern, welche möglicherweise die fachlichen Anforderungen noch bestens abdecken, aber aufgrund von Software-Verwundbarkeiten ein ernstes Betriebsrisiko darstellen. Da die Hersteller für die Software keinen Support mehr bieten, wird das Sicherheitsrisiko mit steigendem Alter immer höher.
Die EoL-Erkennung stellt auch sicher, dass nur von den Herstellern unterstützte Geräte in der kritischen Netzwerkinfrastruktur verwendet werden. Auf Basis der EoL-Informationen erfolgt auch die weitere Netzplanung beziehungsweise der weitere Netzausbau.
Sobald wir wissen, welche Komponenten sich in unserem Netzwerk befinden, können wir Regeln definieren, die das Erkennen von Hardwareausfällen ermöglichen. Die Praxis lehrt, dass Lüfter und Netzteile in der Regel häufiger ausfallen als andere Komponenten. Auch sollte ein Regelwerk für den Ausfall von CPUs, von Speicherressourcen und für das Über- und Unterschreiten bestimmter Temperaturschwellenwerte festgelegt werden.
Das Regelwerk mit dem größten Nutzen überwacht alle Konfigurationsänderungen und wird als Network-Change und Configuration-Management (NCCM) bezeichnet. In der Praxis führen Konfigurationsänderungen oft zu Netzwerkausfällen (zwischen 40 bis 80 Prozent). Ein Regelwerk welches alle Konfigurationsänderungen archiviert und alle Konfigurationsparameter aktualisiert, reduziert die Anzahl der Ausfälle.
Das Regelwerk in Bezug auf die Interface-Statistiken ist ziemlich einfach. In der Praxis habe ich jedoch festgestellt, dass in den meisten Unternehmen für die Statistiken keinerlei Richtlinien definiert und dieser Prozess übersprungen wird. Stattdessen konzentriert sich die IT auf die Interface-Performance. Die Performance ist einfach zu verstehen, aber es ist ungeheuer schwierig ein Regelwerk zu entwerfen, welches den Anforderungen des jeweiligen Netzsystems gerecht wird. Stattdessen ist es einfacher mit einem binären Verfahren (aktiv oder inaktiv) zu beginnen. Dieses simple Regelwerk legt fest, dass jedes konfigurierte und administrierte Router- beziehungsweise Switch-Interface (Status Admin: Up) auch aktiviert sein soll. Eine Statusüberprüfung ist anschließend sehr einfach: Man sucht nur nach Interfaces, die administriert werden und derzeit deaktiviert sind. Diese Interfaces geben Hinweise auf mögliche Probleme im Netzwerk.
Ein Regelwerk zu den Fehlern auf Netzwerk-Interfaces und Paketverlusten erkennt automatisch alle wesentlichen Probleme im Netzwerk. In der Regel sollten diese Fehlerstatistiken so wenige Fehler wie möglich anzeigen. Sollte ein Interface trotzdem solche Fehler aufweisen, dann muss ein Schwellenwert definiert werden, der dafür sorgt, dass der zuständige Netzadministrator bei dessen Überschreitung alarmiert wird. Mit Hilfe einer Top-N-Statistik werden alle im Netz aktiven Interfaces geprüft und die schlimmsten Übeltäter bei der darauf folgenden Fehlerprüfung korrigiert. Diese Statistiken dienen auch der Netzplanung, denn die einzelnen Schnittstellenauslastungen geben konkrete Hinweise auf mögliche Engpässe. Aus diesem Grund ist es erforderlich einen Top-N-Auslastungs-Report auf wöchentlicher und/oder monatlicher Basis zu erstellen, um auch schleichende Trends erkennen zu können.
Sobald die Basisrichtlinien festgelegt sind, konzentriert man sich auf die komplexeren Themen der Netzwerkanalyse. Diese Richtlinien betrachten die Router-Redundanz-Protokolle (HSRP/VRRP), die Spanning-Tree-Protokolle, die QoS-Funktionalität und eine Broadcast-Storm-Erkennung. Abschließend werden die Richtlinien für die Netzwerk-Virtualisierung festgelegt. Diese Richtlinien stellen sicher, dass die virtuellen Topologien richtig konfiguriert sind und ordnungsgemäß funktionieren. Es wird definiert, welche Art von virtuellen Topologien (MPLS, GRE-Tunnel, etc.) im Einsatz sind und, dass die notwendigen Maßnahmen aktiviert werden, wenn gegen bestimmte Richtlinie verstoßen wird.
- Regelwerk zur Netzwerk-Verwaltung
- Was muss überwacht und verwaltet werden
Lesen Sie mehr zum Thema
