Network Monitoring Switches
Relevante Daten zum richtigen Zeitpunkt
Netzwerkadministratoren analysieren Netze aus zahlreichen Blickwinkeln. Einmal steht die Netzwerksicherheit im Vorder-grund, dann eine bestimmte Anwendung oder das Compliance-Management. Für alles gibt es spezifische Analyse-Tools.
Die Analyse-Werkzeuge benötigen Traffic-Daten von mehreren Punkten im Netz. Sie alle müssen sich die vorhandenen Mirror-Ports und TAPs (Test Access Points) teilen. Dabei ist wichtig, dass die Tools jeweils alle relevantenDaten zum richtigen Zeitpunkt erhalten. Nur so lassen sich genaue Aussagen über das Netzwerk und dessen Leistungsparameter treffen. Besonders effektiv und spezifisch lässt sich der Traffic mit einem Network Monitoring Switch aufbereiten.
Analyse-Tools greifen über TAPs oder SPAN-Ports (Switch-Port-Analyse) auf Traffic-Daten zu. TAPs sind in die Verbindungen eingeschleift. Sie kopieren die Traffic-Daten und geben sie an ein Analyse-Tool weiter. Bei einem Ausfall schalten TAPs die Netzwerkverbindung einfach durch, die Verbindung bleibt erhalten, nur der Monitoring-Ast fällt weg. Eine weitere Form von TAPs ist ein Aggregation-TAP. Diese Variante kopiert Pakete der Hin- und Rückrichtung eines Links auf einen gemeinsamen Ausgang. An dieser Stelle könnten bei Überlast Daten für die Messung verloren gehen.
Bei Switches mit SPAN- oder Mirror-Ports kopiert der Switch den Verkehr eines aktiven Ports an den SPAN-Port. Fällt ein SPAN-Port aus, hat dies keine Auswirkungen auf das Netz. Leider haben aktive Komponenten oft nur einen oder wenige SPAN-Ports. Somit lassen sich nicht gleichzeitig mehrere Verbindungen mit unterschiedlichen Tools analysieren. Als Abhilfe entwickelte Cisco das so genannte Remote SPAN (rSPAN). Mit dieser Technik lassen sich die Traffic-Daten eines Switch-Ports über einen Port eines anderen Switches überwachen.
Dies erhöht jedoch die Netzlast und ist für Netze mit hoher Netzlast nicht zu empfehlen. Für realistische Ergebnisse ist es deshalb sinnvoll, mit einfachen TAPs und SPANs an allen kritischen Punkten im Netz den Traffic aufzunehmen und diesen anschließend intelligent zu reduzieren und an die einzelnen Tools zu verteilen.
Traffic intelligent reduzieren
Ein Network Monitoring Switch (NMS) führt die Traffic-Daten aus den verteilten SPANs und TAPs zusammen und verteilt die jeweils relevanten Daten an die angeschlossenen Tools. Er reduziert das Datenvolumen, indem er zum Beispiel mehrfach auftretende Datenpakete erkennt und duplizierte verwirft (De-Duplikation).
Solche duplizierten Pakete kommen bei bestimmten Monitoring-Konfigurationen vor und verfälschen die Analyse. Sie treten zum Beispiel auf, wenn der Traffic von mehreren SPAN-Ports aggregiert wird und außerdem natürlich bei redundanten Verbindungen. 50 bis 80 Prozent der Netzlast kann aus duplizierten Paketen bestehen. Nicht alle Analyse-Tools erkennen duplizierte Pakete. Selbst wenn sie sie erkennen und entfernen, senkt dies die Performance des Analyse-Tools. Des Weiteren entlastet der NMS mit der De-Duplikation den Link zwischen dem NMS und dem Analyse-Tool und steigert so die Effizienz des Links.
40-GBit/s-Links überwachen
Beim Netzwerk-Monitoring sind Breitbandverbindungen mit Übertragungsraten von 10 und 40 GBit/s eine Herausforderung. Bisher verfügt noch kaum ein Analysewerkzeug über eine 40GBit/s-Schnittstelle. Es gibt allerdings bereits einen Network Monitoring Switch mit 1/10- und 40-Gigabit-Ethernet-Schnittstellen, nämlich den NMS Anue 5288 von Anue Systems. Das Gerät nimmt den Traffic am Backbone in Line-Rate auf und bereitet ihn anschließend für Gigabit- und 10-Gigabit-Ethernet-Schnittstellen auf, bevor es die Daten an die Analyse-Tools weitergibt. Dieser NMS bietet auf zwei Höheneinheiten Platz für vier Anschlussmodule, entweder mit 16 1/10GbE-Ports oder vier 40GbE-Ports bestückt. An diese Ports schließt der Anwender sowohl die TAPs und SPANs an wie auch die verschiedenen Analyse-Tools. Die Zuordnung erfolgt über die Web-basierende Konfiguration des NMS.
Der NMS reduziert den Traffic für die angeschlossenen Tools schon allein dadurch, dass er jedem Tool nur die jeweils relevanten Daten zusendet. Die De-Duplikation eliminiert darüber hinaus mehrfach auftretende Pakete. Zusätzlich sind bei den verbliebenen Datenpaketen noch die irrelevanten Anteile über Packet-Trimming abtrennbar. Dies können auch nicht relevante Header-Anteile aus den Paketen (Protocol Stripping) sein. Zudem speichert eine Burst-Protection-Funktion Datenspitzen, die die Kapazität eines angeschlossenen Tools überschreiten würden, kurzzeitig in einem Puffer. Der NMS leitet den Traffic in der passenden Übertragungsrate an das Tool weiter und baut den Puffer mit sinkender Last wieder ab. Mit diesen Mechanismen ist sichergestellt, dass kein relevanter Traffic verloren geht. So sollen selbst bei 40GbE-Verbindungen 1GbE-Analyse-Tools weiterhin einsetzbar bleiben.
Sensible Daten
Bei Security-Monitoring-Lösungen dürfen aus Datenschutzgründen sensible Daten etwa über Mitarbeiter oder Geschäftsgeheimnisse bei der Analyse nicht lesbar sein. Mit einem NMS kann der Administrator vorab konfigurieren, welche Inhalte von Datenpaketen im NMS zu löschen sind, bevor die Pakete anschließend an das Analyse-Tool weiterwandern. Network Monitoring Switches filtern, modifizieren und verteilen nicht nur den Traffic. Sie können auch Datenströme mehrerer Quellen zusammenfassen (Aggregation) oder den Traffic eines SPAN-Ports oder TAPs für verschiedene Analysen vervielfältigen und an mehrere Analyse-Tools weiterleiten. Der Anwender kann an einen Network Monitoring Switch zum Beispiel eine Applikation-Monitoring-Lösung, einen Netzwerkanalysator, ein VoIP-Analyse-System oder eine Audit- und Compliance-Management-Lösung anschließen. Auch Sicherheitslösungen wie Intrusion-Detection-Systeme (IDS) oder Intrusion-Prevention-Systeme (IPS) sind ebenso möglich wie Security-Information-and-Event-Management-Systeme (SIEM).
Der NMS kann den Datenstrom zudem ständig oder auch dynamisch an einen Netzwerkdatenrekorder weiterleiten, zum Beispiel ab einer bestimmten Netzlast. Der Administrator bedient und konfiguriert einen NMS in der Regel über ein Web-GUI.
Automatische Analysen konfigurierbar
Um Störungen möglichst frühzeitig zu erkennen, lässt sich die Datenaufzeichnung und -aufbereitung beispielsweise an Events knüpfen oder an das Überschreiten einer bestimmten Netzlast an bestimmten Punkten im Netz. Der Anwender kann das Gerät auch für unterschiedliche Netzlasten oder Situationen so konfigurieren, dass die Überwachung mehr oder weniger detailliert sein soll. Erkennt ein Analyse-Tool dann zum Beispiel bei der oberflächlichen Überwachung ein Ereignis mit Handlungsbedarf, so kann es automatisch den NMS dazu veranlassen, den Traffic an der kritischen Stelle detailliert zu erfassen und auf dem Netzwerkdatenrekorder für eine Detailanalyse aufzuzeichnen.
Parallel dazu geht eine entsprechende Warnmeldung heraus. Dies funktioniert für Netzwerkprobleme ebenso wie für Sicherheitslücken. Viele Unternehmen verwenden zum Beispiel ein SIEM- und ein Data-Leak-Prevention-System (DLP), um die Einhaltung von Sicherheits-Policies zu überwachen. Erkennt das SIEM-System ein ungewöhnliches Nutzerverhalten, so kann es automatisch den NMS dazu veranlassen, dass er die auffälligen Pakete an den Netzwerkdatenrekorder und an ein angeschlossenes DLP-System weiterleitet. Der Rekorder zeichnet den kritischen Traffic sofort auf. Das DLP-System gibt eine Warnmeldung gemäß den vorab konfigurierten Sicherheitsregeln aus.
Fazit
Network Monitoring Switches reduzieren den erfassten Datenstrom und optimieren ihn jeweils für die angeschlossenen Analyse-Tools. Auf diese Weise lässt sich heute mit einem NMS selbst 40-Gigabit-Ethernet-Traffic in Line-Rate aufnehmen und für Gigabit- und 10-Gigabit-Ethernet-Schnittstellen aufbereiten, und zwar ohne Verlust an relevanten Daten. Das vorhandene Monitoring-Equipment kann somit weiter in Betrieb bleiben. Dies spart Zeit und Geld. Network Monitoring Switches oder ähnliche Lösungen sind von mehreren Herstellern erhältlich, selbst in hochverfügbarer Ausführung mit NEBS-Level-3-Zertifizierungfür Carrier und Service-Provider. Anue Systems brachte im vergangenen Herbst mit dem Anue5288 den ersten 40GBit/s-NMS auf den Markt.
Lesen Sie mehr zum Thema
