Systeme: Erfolgreiche Protokollanalyse in modernen Netzstrukturen

Jagd auf unsichtbare Gegner

Ein Schwerpunkt der Virtualisierung liegt auf der Einfachheit der Prozesse. Die tatsächliche Kontrolle und Überwachung kritischer Parameter kommt dabei oft zu kurz. Die Virtualisierung hat zudem den Nachteil, dass früher genutzte Analysewerkzeuge nicht mehr eingesetzt werden können. Grund ist die fehlende Sichtbarkeit der Daten. Wie sich trotz Virtualisierung sinnvolle Monitoring- und Analyse-Funktionen im Netzwerk etablieren lassen, zeigt dieser Artikel.
Mit dem Heftschwerpunkt 'IT-Support & Troubleshooting' startet IT-Administrator ins neue Jahr. Dabei zeigen wir Ihnen, auf welchem Weg Sie Ihr eigenes ... (mehr)

Ein klassischer Protokoll-Analysator (beispielsweise das Open Source-Werkzeug Wireshark) ist ein Stand-alone-Gerät beziehungsweise eine Software auf einem PC und ermittelt im Netzwerk relevante Probleme, Fehler und Ereignisse. Darüber hinaus tragen diese Werkzeuge zur Ermittlung der Ursachen einer schlechten Netzwerk-Performance bei, indem sie die individuellen Protokollinformationen und die zugehörigen Netzaktivitäten darstellen.

Messmethoden für Netze

Die Virtualisierung der Netzwerke und der Rechenzentren schafft jedoch blinde Flecken in der Server-Infrastruktur und unsichtbare Netzwerke. Da ein großer Anteil des Verkehrs über Cloud-Infrastrukturen (in Form virtueller Tunnel-Endpunkte) übermittelt wird, berührt dieser Verkehr in vielen Fällen nicht einmal die physischen Netzwerke. Dadurch verlieren die Administratoren die Sichtbarkeit der Daten und zwangsläufig auch die Kontrolle über die Kommunikationsströme. Daher müssen die Daten in den Rechnersystemen und den Netzwerken wieder sichtbar gemacht werden. Hierzu stehen verschiedene Funktionen zur Verfügung.

SPANs

In geswitchten Netzen werden die für die Datenanalyse notwendigen Daten nicht an jeden Port übertragen. Ein Switch leitet nur Broadcasts und Pakete mit unbekannten Empfängeradressen an alle Ports weiter. Hat dieser die MAC-Adresse des Empfängers in seiner Switch-Tabelle, werden die betreffenden Pakete nur an den Port des Zielgeräts gesendet. Dies erfordert neue Suchstrategien zur Fehleranalyse. Aus diesem Grund unterstützen die meisten Switche die Spiegelung von Switch-Ports mit Hilfe der Mirror-Port-Funktion. Dadurch wird der jeweils zu untersuchende Link auf einen anderen Port des Switches, an dem der Analysator angeschlossen ist, gespiegelt. Einige Hersteller sind dabei sogar in der Lage, den Verkehr mehrerer Switch-Ports auf einem Mirror-Port auszugeben. Der Mirror-Port wird auch als SPAN-Port (Switch Port ANalyser) oder Maintenance-Port bezeichnet.

Die Weiterleitung der zu analysierenden Daten auf den Mirror-Port sollten Sie nur nutzen, wenn dieser die Datenmengen der gespiegelten Ports auch verkraftet. Ist dies nicht der Fall, gehen Pakete verloren. Auf der sicheren Seite sind Sie, wenn der Spiegel-Port dieselbe Bandbreite aufweist wie der Quell-Port. Darüber hinaus beeinträchtigt das Mirroring die Switch-Performance, da der Switch für die Spiegelung alle Pakete duplizieren muss. Auch der gespiegelte Port kann in seiner Performance einbrechen und die Fehlersuche produziert erst wirklich Probleme. Zum anderen verzerrt das Port-Mirroring die Analyse, weil ein Switch defekte Pakete automatisch verwirft. Daher werden SPAN-Ports in der Praxis nur als ergänzende Messstellen für Ad-hoc-Analysen genutzt.

comments powered by Disqus

Artikel der Woche

Setup eines Kubernetes-Clusters mit Kops

Vor allem für Testinstallationen von Kubernetes gibt es einige Lösungen wie Kubeadm und Minikube. Für das Setup eines Kubernetes-Clusters in Cloud-Umgebungen hat sich Kops als Mittel der Wahl bewährt. Wir beschreiben seine Fähigkeiten und geben eine Anleitung für den praktischen Einsatz. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018

Microsite