Netzwerkanalyse: Flow-Monitoring
Flow-Monitoring: Upgrades ohne Eigentor
Fortsetzung des Artikels von Teil 2
Software-Flow-Monitoring: Neue Protokolle für alte Hardware
Wird ein neues Netzwerk installiert, dann kann man beim Flow-Monitoring komplett auf standardisierte Schnittstellen zugreifen. Denn Messprotokolle wie Netflow sind in moderner LAN-Hardware Standard.
In der Regel muss aber ein bestehendes LAN für Flow-Monitoring fit gemacht werden. Viele Legacy-Komponenten unterstützen Hardware-seitig aber kein Flow-Monitoring. Dann bleiben Analyse und Überwachung lückenhaft.
Andererseits will aber auch niemand Switches und Router zum alten Eisen werfen, nur weil sie noch kein Netflow beherrschen. Denn eigentlich wollte man Flow man mit Flow-Monitoring ja sinnvoll investieren und Geld sparen.
Zum Glück gibt es mittlerweile ein Programm, das die auch ältere Hardware »Ready for Netflow« macht. Flow Publisher von Ipswitch fängt als eigenständiger Agent den Raw-Traffic von TAPs (Test Access Points), gespiegelten Ports oder direkt von Windows-Hosts ab und macht aus diesen Daten detaillierte Netflow-Records.
Dabei werden Netflow v1, v5 und v9 unterstützt. Dann erhält man in jedem Segment alle Informationen über den Verkehr auf User-, Anwendungs- und Protokoll-Ebene, und das ohne Neuanschaffung von Komponenten.
Hat man per Hardware- oder Software-Flow-Monitoring eine solide Datenbasis erhoben, kann man wirklich sinnvolle Investitionen planen, welche die Servicequalität im Netz verbessern. Für diese Quality of Service (QoS) gibt es mehrere Messgrößen:
- Latenzzeit: die Verzögerung der Ende-zu-Ende-Übertragung
- Jitter: die Abweichung der Latenzzeit von ihrem Mittelwert
- Paketverlustrate: die Wahrscheinlichkeit, dass einzelne IP-Pakete bei der Übertragung verloren gehen oder − bei Echtzeitdiensten − ihr Ziel zu spät erreichen
- Durchsatz: die pro Zeiteinheit im Mittel übertragene Datenmenge
Diese Daten verraten dem Fachmann, wo es hakt: Ist der Durchsatz niedrig oder die Verlustrate hoch, drohen unangenehmen Verzögerungen bei Datenzugriffen. Wichtig, gerade im Voice-over-IP-Zeitzalter: Hohe Latenzzeiten und ausuferndes Jittering gilt es unbedingt zu vermeiden, sonst leidet Verständigungsqualität im Telefonverkehr – und damit auch die Außenwirkung des Unternehmens.
Daher lohnt es sich oft, die QoS mit speziellen Tools genauer unter die Lupe zu nehmen. Hier bietet sich zum Beispiel das Plug-in VoIP Monitor an. Es basiert auf Cisco-IP-SLA und checkt die Verbindungen durch die Übertragung von Testpaketen. Diese detailliertere Analyse setzt allerdings den Einsatz von Routern von Cisco voraus.
Bereits nach der Erstinstallation einer Flow-Monitoring-Software zeigen sich die Schwachstellen im Netzwerk. Aber auch hier heißt es: Erst genauer nachforschen und dann neue Hardware kaufen. Verfolgt man die Datenströme bis zum Endanwender, zeigt ein Abgleich mit der Stellenbeschreibung ob der Bandbreitenkonsum von einem Videojournalisten verursacht wird – oder von einem Fußballfan.
Ist Flow-Monitoring implementiert, bedarf es dann erfahrungsgemäß kaum mehr eines Mitarbeitergesprächs oder gar einer Abmahnung. Meist reicht allein die Information, dass der Administrator nichtbetriebliche LAN-Nutzung zielgenau orten kann, um den Vuvuzuela-Sound in den Büros Schweigen bringen.
Ist der Bandbreitenbedarf wirklich gerechtfertigt, zeigen Reports schnell, wo man die Konfiguration ändern oder neue Geräte anschaffen muss. Wie sich Änderungen am Routing, an Firewalls, dem DNS oder anderen Konfigurationsparametern auswirken, kann man am besten herausfinden, indem man mit der Flow-Monitoring-Software den Datenverkehr auch im Zeitverlauf darstellt. Digitale Engpässe gehören dann schnell der Vergangenheit an.
Bevor es zu Compliance-Verletzungen kommt, sollte man das Netz auch auf verdächtige Datenströme abklopfen. Fehlgeschlagene Connects oder Transfers zu dubiosen Adressen oder Ports müssen nachverfolgt und abgeklärt werden. Denn bei der Datensicherheit hört für die meisten Kunden oder Prozesspartner der Spaß auf.
Auch die Übertagung von MP3-Dateien gilt es zu analysieren, denn beim Musik-Tausch unter Kollegen wird nicht selten gegen Copyright- oder Gema-Bestimmungen verstoßen. Zwar liefert Flow-Monitoring keine Informationen über die Dateninhalte, aber allein die Analyse von Übertagungsvolumina und -protokollen sowie Quelle und Ziel zeigt, wer auf verbotenen Tauschbörsen aktiv war.
Hat man mit Hilfe von Flow-Monitoring sein Netzwerk richtig konfiguriert, kann man sich der laufenden Überwachung widmen. Dazu definiert man spezielle Reports für Administrator oder Geschäftsleitung. Hier muss das Programm die richtige Mischung aus vordefinierten Templates und flexiblen Gestaltungsmöglichkeiten bieten.
In der Praxis hat sich die Kombination mit anderen Überwachungs-Tools bewährt. Dabei sollte aber eines zum anderen passen, sonst gibt es schnell ein Fenster-Wirrwarr auf der Überwachungskonsole.
Ipswitch Flow Monitor und VoIP Monitor werden als Plug-ins für das bekannte Netzwerk-Monitoring-Programm Whatsup Gold angeboten, dann steht für alle Programme eine einheitliche Benutzerschnittstelle zur Verfügung. Bei Bedarf wird Flow Publisher als Agent auf verschiedenen Windows-Rechnern im Netz installiert.
Anhand der ermittelten Standardwerte kann man schließlich Warnschwellen definieren. Das System überwacht sich dann im Normalbetrieb weitgehend selbst. Erst wenn die vorgegebenen Grenzwerte überschritten werden, schlägt die Flow-Monitoring-Software Alarm.
Egal, ob man den Mitarbeiter manchmal eine kleine Fußball-Pause gönnen will oder nicht: auf Flow-Monitoring sollte keine IT-Abteilung mehr verzichten. Moderne Netzwerke sind komplex und die Compliance-Richtlinien streng. Da muss der Administrator genau Bescheid wissen, was in seinem Netzwerk vorgeht.
Dabei muss Flow-Monitoring nicht teuer sein: Ein geeignetes Programm gibt es für relativ wenig Geld. Oft amortisiert sich die Investition auch schnell, weil sich so manche geplante Hardware-Neuanschaffung als überflüssig herausstellt. Flow-Monitoring ist nicht zuletzt auch eine vertrauensbildende Maßnahme.
Nur wer nachweisen kann, dass seine IT sicher ist, wird als verlässlicher Kooperationspartner akzeptiert. Software-Flow-Monitoring-Tools wie Flow Publisher machen flächendeckendes Flow-Monitoring in jedem Netz möglich.
Die neuen Möglichkeiten sollte man nutzen – auch nach der Weltmeisterschaft.
Der Autor: Dipl.-Ing. Andreas Obernbaak ist Presales Engineer EMEA bei Ipswitch Inc.
- Flow-Monitoring: Upgrades ohne Eigentor
- Performance-Schwäche: Konfigurationsproblem oder Virenbefall?
- Software-Flow-Monitoring: Neue Protokolle für alte Hardware
Lesen Sie mehr zum Thema
