Hardware-basierende Gigabit-Ethernet-Analysatoren beinhalten meist eine für Gigabit-Ethernet-Geschwindigkeit ausgelegte Hardware.

Durch die rasche Verbreitung von Gigabit-Ethernet in heutigen Unternehmensnetzen nimmt die Gigabit-Ethernet-Analyse einen immer größeren Stellenwert ein. Anstatt die Fehler an verschiedenen Stellen des Netzwerkes zu suchen, macht es Sinn, die Analyse in das Backbone – dem »Rückgrad« des Netzwerkes – zu verlagern. Hier handelt es sich meist um Gigabit-Ethernet-Verbindungen oder auch um Gigabit-Ethernet-Trunk-Verbindungen, wobei zur Steigerung der Durchsatzrate zwei oder mehrere Gigabit-Ethernet-Links gebündelt werden. Analysen im Backbone liefern wertvolle Aussagen wie Applikationszeit-Analyse, Fehleranalyse, Bandbreitennutzung, Top-Talker, Sicherheitsbedrohungen oder Viren-Befall.

Gigabit-Ethernet-Analysatoren sollten eine Reihe von Kriterien erfüllen. Zuerst sollten IT-Verantwortliche sich über die aktuelle und zukünftige Auslastung der Gigabit-Ethernet-Links, an denen eine Analyse vorgenommen werden soll, Gedanken machen. Für gering ausgelastete Links kann man auf einen Software-basierenden Analysator zurückgreifen und eine handelsübliche Gigabit-Ethernet-Netzwerkkarte verwenden. Verwendet man das Messgerät direkt am Switch über einen Spiegelport ist dabei folgendes zu beachten: Der »SPAN«- oder Monitoring-Port am Switch, an dem der Analysator angeschlossen wird, kopiert beide Richtungen eines Gigabit-Ethernet-Datenstromes voll-duplex in einen gleichgerichteten Halb-duplex-Datenstrom zum Analysator.

Obwohl die Portspiegelung die einfachste Lösung der Paketerfassung ist, gibt es bei dieser Methode einen gravierenden Nachteil. So-bald die Netzwerklast auf dem zu überwachenden Gigabit-Ethernet-Link in beide Richtungen die 50-Prozent-Grenze übersteigt, gehen Pakete verloren und die Datenanalyse wird ein verzerrtes oder sogar ein falsches Bild vom zu überwachenden Netzwerkverkehr liefern. Hinzu kommt, dass die Portspiegelung den Switch mit einer zusätzlichen Prozessorleistung belastet und somit seine Leistungsfähigkeit herabsetzt. Generell kann man sagen, dass bei einer Link-Auslastung unter 1 GBit/s (gesamt über beide Richtungen), ein Software-basierender Analysator mit einer handelsüblichen Gigabit-Ethernet-Netzwerkkarte an einem Span-Port eine adäquate Lösung ist. Falls jedoch die Grenze von 1 GBit/s überschritten wird, ist eine technisch anspruchsvollere Lösung zu empfehlen. Einige Hersteller bieten bereits einen Hardware-basierenden Gigabit-Ethernet-Analysator an. Diese Lösungen beinhalten meist eine für Gigabit-Ethernet-Geschwindigkeit optimierte Hardware zusammen mit einem Test-Access-Point (TAP).

Leistungsparameter

Obwohl man viele verschiedene Hardware-basierende Lösungen auf dem Markt vorfindet, die sich nach Preis und Leistung manchmal auch deutlich unterscheiden, haben sie einige Komponenten alle gemeinsam. Hierzu gehört zunächst ein Test-Access-Point, dies ist eine Hardware, welche das Datensignal eines Full-Duplex-Gigabit-Ethernet-Links passiv erfasst und zum Analysator weiterleitet. TAPs sind in allen Ausführungen (TX/SX/LX/ZX) und Variationen (Single-/Multi-TAP) erhältlich.

Weiterhin besitzen Voll-Duplex-Gigabit-Ethernet-Analysatoren einen »Full-Duplex Dual-Receive Capture Card«, also eine speziell für diese Zwecke entwickelte Gigabit-Ethernet-Netzwerkkarte. Anstatt wie eine handelsübliche Netzwerkkarte Pakete auf den TX/RX-Ports gleichzeitig zu senden und zu empfangen, kann diese Karte den Datenverkehr über einen TAP in beiden Richtungen (TX und RX) zusammenfassen und somit den gesamten Voll-Duplex-Gigabit-Ethernet-Datenverkehr erfassen. Die Firmware-Software auf dieser Karte stempelt jedes Paket mit einer Zeitmarke und führt die beiden Datenströme in einen einheitlichen Datenstrom zur späteren Analyse zusammen.

Um ein 100-prozentiges »Mitschneiden« des Datenverkehrs zu ermöglichen sollte das verwendete Analysesystem entsprechende Verarbeitungsparameter aufweisen. Ein Problem dabei ist, dass übliche 32-Bit-Karten mit einer Taktfrequenz von 33 MHz, eine Datenlast wie im Voll-Duplex-Gigabit-Ethernet-Link üblich, nicht 100-prozentig erfassen können. Um sich dieses Problem zu verdeutlichen, ist eine genauere Betrachtung der Prozessgeschwindigkeit notwendig: 33 Mio./s x 32 Bit = 1,056 GBit/s oder 132 MByte/s Prozessgeschwindigkeit (siehe Tabelle auf Seite 22). Ein Voll-Duplex-Link kann jedoch das Doppelte an Daten übertragen (2 GBit/s oder 250 MByte/s).

Aus diesem Grunde sollte man auf Hersteller zurückgreifen, die eine spezielle Karte mit höherer Taktfrequenz und größerer Busbreite im Angebot haben. Zudem ermöglicht diese spezielle Architektur sogar bei sehr hohen Datenraten eine Expert-Analyse in Echtzeit. Eine Expert-Analyse zeigt die gängigsten Netzwerkprobleme automatisch an.

Einige Hersteller umgehen die Entwicklung dieser speziellen Hardware, indem sie den Speicherpuffer direkt auf die Karte setzen. Der Puffer beträgt dann aber in der Regel nicht mehr als 512 MByte was zur 100-prozentigen Datenerfassung nicht ausreichend ist.

Voll-Duplex-Gigabit-Ethernet-Analysatoren besitzen weiterhin einen Speicherpuffer für die Paketerfassung, den Packet-Capture-Buffer, der sich abhängig vom Hersteller direkt auf der Netzwerkkarte oder im Arbeitsspeicher des Analysators befindet. Die Speicherpuffergröße ist entscheidend für die weitere Datenanalyse.

Es ist natürlich möglich, mit Hilfe verschiedener Filter die Paketerfassungszeit zu erhöhen, vorausgesetzt man weiß immer vorher was man filtern will. In einigen Fällen, wie bei der forensischen Datenanalyse oder der Einhaltung von bestimmten Regulierungsvorschriften, ist es notwendig, den gesamten Datenstrom aufzunehmen. Dafür gibt es spezielle Hardware, die in der Lage ist, den Gigabit-Ethernet-Netzwerkverkehr ohne Paketverlust über den Arbeitsspeicher direkt auf eine Festplatte zu schreiben.

Fazit

Die Anforderungen an Netzwerkanalysatoren steigen proportional mit der zu analysierenden Netzwerklast. Um so wichtiger ist es, auf die richtige Lösung zur Analyse zurückzugreifen. Für Voll-Duplex-Gigabit-Ethernet-Verbindungen bis zu einer bidirektionalen Gesamtdatenlast von nicht mehr als 1 GBit/s reicht eine Gigabit-Ethernet-taugliche Softwarelösung aus. Für höhere Datenlasten ist der Umstieg auf eine Hardware unausweichlich. Auch für komplexere Aufgaben, wie die Analyse von Gigabit-Ethernet-Trunks oder für eine länger andauernde Datenerfassung, gibt es heute Lösungen auf dem Markt. Entsprechende Produkte und Systeme für die vorgestellten Aufgaben findet der IT-Verantwortliche im Portfolio von Anbietern wie Network Instruments, die alle über die gemeinsame Observer-Benutzerkonsole zu bedienen und zu integrieren sind.

Ales Mahler, Dipl.-Wirtschaftsingenieur, Regional Sales Manager für Zentral- und Osteuropa, Network Instruments