Netzwerk-Analyse
QaaS ® (‚Quality as a Service ®‘) Netzwerk- bzw. Protokoll-Analysen liefern u.a. mit detaillierten Verursacherlisten (Alleinstellungsmerkmal) unmittelbare Hinweise auf Quellen von Störungen / Auffälligkeiten bei Konfiguration, Auslastung, Bandbreite, Protokollverteilung, Performance, etc.
Dazu wird an mehreren ausgewählten Messpunkten ein repräsentativer Anteil des Datenverkehrs einer IP-Infrastruktur erfasst.
Netzwerk-Analyse auf einen Blick
Verursacherlisten werden standardmäßig für die in der Grafik gezeigten Kategorien (Dienste / Services) erzeugt. Sie sind nach der Häufigkeit entsprechender Datenpakete geordnet und enthalten neben genauen Angaben zu Quelle (d.h. wer hat eine bestimmte Störung / Auffälligkeit verursacht), sowie Ziel auch eventuelle Spezifika der jeweiligen Kategorie. Die Kategorie ‚Adr.‘ (Source IP-Adressen / -Adressbereiche) ist eines der Beispiele für weiterführende individuelle Auswertungen.
Zwei kurze anonymisierte Ausschnitte der bis zu 500 Positionen langen Verursacherlisten verdeutlichen exemplarisch für die Kategorien ‚Broadcast‚ und ‚DNS-Error‚ deren systematischen Aufbau.
Zusammen mit der Gesamtheit der per jeweiliger Kategorie aus den Messdaten separierten Datenpakete ermöglichen die Verursacherlisten so unmittelbare und punktgenaue Korrekturmaßnahmen.
Gleichzeitig werden mittels Scan der kompletten Messdaten präzise, aussagekräftige Statistiken für die o.g. Kategorien sowie alle Protokoll-Schichten (EtherType, IP-Protokoll, Portnummer, etc.) erstellt, die als Basis für Diagramme mit sehr hoher zeitlicher Auflösung (5 Sekunden) dienen. Sie zeigen, wann welche Störungen / Auffälligkeiten aufgetreten sind.
Dank ihres streng modularen Konzeptes ist die Tool-Suite auch schnell und flexibel an neue, projektbezogene Anforderungen anpassbar.
Sämtliche Ergebnisse werden sorgfältig verifiziert, in einem Sachverständigenbericht ausführlich beschrieben, sowie mit entsprechenden Bewertungen und Handlungsempfehlungen versehen.
Fragen zur Netzwerk- oder VoIP-Analyse? Jetzt Beratung vereinbaren.
Anwendungsbereiche
Netzwerk-Analysen sind grundsätzlich passive Messungen, das bedeutet Erfassung des tatsächlichen Datenverkehrs ohne die aktive Erzeugung von Testdaten.
Messdaten
In der IP-Infrastruktur wird vorzugsweise an mehreren genau zu definierenden Stellen ein repräsentativer Anteil des ungefilterten Datenverkehrs (kein Capture-Filter) in Form standardisierter Traces (.cap) erfasst. Dabei werden alle Datenpakete vor dem Aufzeichnen bis auf die Header gekürzt (70 Byte Capture-Limit) und somit alle sensiblen Inhalte (Payload) verworfen.
Sie werden z.B. eingesetzt bei:
- Troubleshooting: Reaktion auf Netzwerkstörungen / Netzwerkprobleme unterschiedlichster Art, wie z.B. schlechte Performance, langsames Netz, lange Antwortzeiten, hohe Latenz / Verzögerung, hohe Auslastung, Bandbreitenprobleme, Übertragungsprobleme, Performanceprobleme, zu geringer Durchsatz, Paketverlust, …
- Statusmessung: präventive Bestimmung des aktuellen Status Quo (Konfiguration / Auslastung / Bandbreite / Protokollverteilung / etc.), insbesondere nach Änderungen in der Applikationslandschaft oder der IP-Infrastruktur
- VoIP-Messung: wie Netzwerk-Analyse, jedoch mit zusätzlich starkem Fokus auf Voice over IP, Video over IP, Fax over IP, Priorisierung, d.h. QoS (Quality of Service), Besonderheiten der Signalisierung, des (S)RTP-Protokolls, sowie Störungen der Sprachkommunikation
Alle Voraussetzungen und technischen Details passiver Messungen sind in einer übersichtlich strukturierten Checkliste zusammengefasst, die per E-Mail angefordert werden kann.
Traces besitzen den entscheidenden Vorteil, dass auch nach einer Messung situativ noch beliebig oft auf eventuell veränderte Anforderungen bei der Auswertung eingegangen werden kann. Das ist insbesondere beim Troubleshooting, d.h. der Suche nach i.d.R. unbekannten Ursachen von Störungen, von entscheidender Bedeutung.
Demgegenüber ist die ausschließliche Beschränkung auf (ggf. proprietäre) Netzwerk-Statistiken sogenannter Network-Probes / -Agents von Netzwerkmanagement- bzw. Monitoring-Systemen notwendigerweise mit einer Reduzierung des Informationsgehaltes verbunden. Zudem müssen sämtliche zu erfassenden Parameter dort häufig bereits im voraus festgelegt werden.
Passive Messpunkte
Passiv bedeutet, dass der real in einer IP-Infrastruktur laufende Datenverkehr völlig rückwirkungsfrei ausschließlich passiv (also nicht invasiv) erfasst wird, ohne aktiv Testdaten zu simulieren / zu erzeugen.
TAP (Test Access Port)
TAPs sind voll transparent, besitzen keine MAC- und benötigen auch keine IP-Adresse. Sie sind für Kupfer (RJ45) oder LWL (Singlemode / Multimode, LC-Stecker) verfügbar. Kupfer-TAPs unterstützen PoE.
Auswahl der Messpunkte
Für lokale Unternehmens-Netzwerke bietet sich die ‚Encircle a Network‚ Strategie an, wobei ein LAN aus möglichst vielen „Blickwinkeln“ betrachtet, d.h. mit passiven Messpunkten an möglichst vielen repräsentativen Stellen versehen wird.
Messdauer
Unabhängig von der Art (passiv, aktiv) der Messung wird grundsätzlich eine Dauer von 1 Woche (24/7) empfohlen, da nur so eventuelle tageszeitliche bzw. wochentägliche Besonderheiten zuverlässig zu erfassen sind. Je nach Größe des Projekts und Umfang der Aufgabenstellung kann das Gesamtvolumen der Messdaten aller Messpunkte dabei zwischen wenigen GB oder mehreren TB liegen. Die Datenmenge ist neben der Komplexität der Aufgabenstellung bzw. des zu untersuchenden Fehlerbildes einer der bestimmenden Faktoren für die anschließende Dauer der Auswertung.
Ort der Leistungserbringung
Die Auswertung der Messdaten erfolgt nach dem Ende der einwöchigen Messung im eigenen Office in Deutschland.
Checkliste
Alle wesentlichen Aspekte einer passiven Messung sind in der ‚CheckList TAP und Mess-Server.pdf‚ zusammengefasst:
- Vor Messbeginn benötigte Angaben
- Technische Informationen zu den Messpunkten
- Auswahl geeigneter Messpunkte
Diese Checkliste kann per E-Mail angefordert werden – zusätzlich wird auf Wunsch per Telefon- oder Web-Konferenz bei der Auswahl geeigneter Messpunkte unterstützt.
Um Messfehler zu vermeiden, werden bei professionellen Messungen sog. TAPs (Test Access Ports) mittels regulärer Patchkabel (d.h. keine Direct Attach Cable) in die zu messende(n) Verbindung(en) eingeschleift. Ein TAP (ausschließlich für die Konnektivität zuständig) ist immer direkt mit einem Mess-Server (1HE Linux Blade mit 1TB HDD und Dual-Port NIC) zur Aufzeichnung der Daten verbunden. So eine 1:1 Kombination von TAP und Mess-Server wird als Messpunkt bezeichnet. Je mehr solche Messpunkte innerhalb eines Projektes insgesamt eingesetzt werden, um so kompletter ist das, sich nach der Auswertung ergebende Gesamtbild.
Mirror-Ports haben sich aus verschiedenen Gründen in der Praxis hingegen als latente Fehlerquelle erwiesen und werden daher nur in absoluten Ausnahmefällen verwendet.
Der zu messende Datenverkehr wird mit wire speed getrennt nach Übertragungsrichtung (in den beiden Skizzen zur internen Funktionsweise blau und grün dargestellt) repliziert (Kupfer-TAPs) bzw. gesplittet (LWL-TAPs mit Split-Ratio). Potentielle Bottlenecks werden daher von vornherein vermieden, zudem stehen so für beide Übertragungsrichtungen eindeutig zuzuordnende Datensätze zur Verfügung.
Die beiden Skizzen geben Einblick in die (interne) Funktionsweise von Kupfer- bzw. LWL-TAPs.
Das Einschleifen zu Beginn sowie das Ausschleifen zum Ende der Messung bedingt jeweils eine kurze Unterbrechung der zu messenden Verbindung von wenigen (typisch max. 5) Sekunden und wird in Absprache mit dem Auftraggeber / Endkunden natürlich zu verkehrsarmen Zeiten durchgeführt.
Zur Untersuchung von Außenstandorten / Filialen (WAN) ist hingegen die ‚Follow a Path‚ Strategie mit nacheinander aufgereihten Messpunkten besser geeignet.
In der Praxis ergibt sich jedoch i.d.R. ein individuelles Szenario, welches Merkmale beider vorgenannter Strategien enthalten kann.
Alleinstellungsmerkmale von Netzwerk-Analyse
Skalierbarkeit der Projekte (< 50 bis > 150.000 User)
Fragen zur Netzwerk- oder VoIP-Analyse? Jetzt Beratung vereinbaren.
Häufige Fragen
rund um Netzwerk-Analysen
Welche Daten werden erfasst?
Wenn nicht anders vereinbart / gewünscht, werden grundsätzlich alle Daten erfasst (kein Capture-Filter). Das wird sogar dann empfohlen, wenn es „nur“ um Störungen im VoIP-Bereich geht. Die tägliche Praxis zeigt nämlich, dass die tatsächlichen Ursachen (‚root cause‘) häufig gar nicht im VoIP-System selbst, sondern im non-VoIP Kontext liegen.
Enthalten die Messdaten sensible Inhalte (Gespräche, Videos, Daten)?
Nein. Standardmäßig ist auf den Mess-Servern ein Capture-Limit von 70 Byte konfiguriert, d.h. alle Datenpakete werden bereits bei der Erfassung automatisch nach 70 Byte abgeschnitten. So werden lediglich die Header (MAC, VLAN, IP, UDP/TCP) und einige wenige Bytes des jeweiligen Datenprotokolls (z.B. Art der ICMP-Message, Typ des IGMP-Reports) aufgezeichnet. Die eigentlichen Inhalte (Gespräche, Videos, Daten) sind damit überhaupt nicht zugänglich.
Die Grafik verdeutlicht am Beispiel des G.711 Codecs mit 160 Byte Payload, dass bei 70 Byte Capture-Limit pro Paket immer nur kleinste Sprach-Fragmente von 16 Byte (10 %) erfasst werden – im Falle von VLANs sogar nur 12 Byte (7,5 %). Gespräche lassen sich so definitiv nicht abhören.
Darüber hinaus hat das Capture-Limit den Vorteil, dass die Aufzeichnungskapazität der Mess-Server (1 TB) nicht vorzeitig erschöpft ist.
In ganz besonderen, durch den Auftraggeber / Endkunden explizit schriftlich zu bestätigenden Ausnahmefällen (z.B. Analyse der SIP-Signalisierung) müssen zur Erfüllung der Aufgabenstellung die Datenpakete allerdings in voller Länge erfasst werden. In solchen Fällen wird jedoch das selektive Messen empfohlen (d.h. mit Capture-Filter ‚SIP‘), sodass andere Daten unberücksichtigt bleiben.
Was passiert mit den Messdaten?
Idealerweise stellt der Auftraggeber / Endkunde zum Ende der Messung eine externe USB 3.x SSD entsprechender Größe (z.B. 1 TB, 2 TB, …) bereit. Die Messdaten werden dann von den Mess-Servern direkt auf die SSD gesichert und dort verarbeitet. Zum Projektende erfolgt die Archivierung (Verschlüsselung) aller originalen und verarbeiteten Messdaten auf der SSD sowie deren Rückgabe an den Auftraggeber / Endkunden.
Wie werden die Messdaten verarbeitet / ausgewertet?
Die Verarbeitung / Auswertung erfolgt mit einer speziell entwickelten, äußerst leistungsfähigen und effizienten modularen Tool-Suite, deren Funktionalität die Möglichkeiten marktüblicher Tools deutlich übersteigt.
VoIP-Daten werden (sofern in den Messdaten vorhanden) zum Zwecke einer nachgelagerten applikationsspezifischen Analyse / Diagnose / Korrelation herausgefiltert.
Darüber hinaus werden weitere Merkmale / Dienste / Protokolle, wie z.B. Broad- / Multicasts, QoS (VLAN-Prio, DiffServ), low TTL, ICMP, IGMP, DNS, MDNS, DHCP, ECN, TCP Zero Window, etc. (Funktionsumfang ist Gegenstand permanenter Erweiterungen) immer automatisch separiert, statistisch ausgewertet und -sofern Auffälligkeiten festgestellt wurden- zusammen mit den Verursacherlisten ergänzend zum Sachverständigenbericht als sog. Referenz-Traces zur Verfügung gestellt. Der jeweilige Verursacher kann so an Hand der separierten Traces die Situation im Bedarfsfall mit Tools seiner Wahl nochmals nachvollziehen.
Die originalen Messdaten selbst bleiben dabei natürlich als Nachweis immer unverändert erhalten.
Wann stehen die Ergebnisse der Messung zur Verfügung?
Die aus mehreren Schritten bestehende, sehr ins Detail gehende Auswertung beginnt nach Beendigung der Messdaten-Erfassung. Wesentlichen Einfluss auf die Dauer der Auswertung haben neben der Menge der Messdaten (GB .. TB) auch der Umfang der Aufgabenstellung sowie die Komplexität der zu analysierenden Störungen. Die Bereitstellung der validierten Ergebnisse (ausführlicher Sachverständigenbericht inkl. Anlagen) kann frühestens eine Woche später erfolgen – bei besonders großen Datenmengen ist ggf. auch mehr Zeit erforderlich. Im Interesse des Endkunden / Auftraggebers gilt der Grundsatz „Sorgfalt vor Schnelligkeit“.
Bei Feststellung von gravierendem Handlungsbedarf erfolgt jedoch zeitnah eine Vorab-Information.
Welche Aufzeichnungskapazität haben die Mess-Server?
Alle Mess-Server verfügen über eine 1 TB Festplatte. Jeden Tag um 00:00 Uhr startet eine automatische Archivierungsroutine (Komprimierung) der Messdaten des Vortages, sodass wieder Speicherplatz freigegeben wird.
Die Auslastung ist laut Netzwerkmanagement-System gering - sind Störungsursachen im Netzwerk damit auszuschließen?
Nein. Die Auslastung wird üblicherweise durch (z.B. SNMP-basierte) Netzwerkmanagement-Tools ermittelt. Bestimmungsgemäß weisen deren Daten i.d.R. natürlich nur einen begrenzten Informationsgehalt auf (z.B. Packets / Bytes in / out). So ist es trotz geringer (Gesamt-) Auslastung durchaus möglich, dass einige Funktionen / Dienste / Protokolle unbemerkt bereits alarmierende Zustände / Situationen anzeigen / aufweisen.
Kann in einem 'switched network' überhaupt gemessen werden?
Ja. Unabhängig vom Ziel der Messung (Troubleshooting, Statusmessung, Abnahmemessung, etc.) ist es nie erforderlich (und natürlich auch unmöglich), den gesamten Verkehr eines Netzwerks zu erfassen. Ein repräsentativer Anteil davon ist völlig ausreichend – es müssen dazu lediglich Messpunkte mit einer der Aufgabenstellung entsprechenden praktischen Relevanz bestimmt werden.
Warum sollten zum Messen keine Mirror-Ports verwendet werden?
Es gibt hauptsächlich zwei Gründe, die gegen die Verwendung von Mirror-Ports sprechen:
- offenbar läuft der Replikationsprozess auf den Switches mit untergeordneter Priorität. Das kann in der Praxis bei der Bereitstellung des gespiegelten Verkehrs durchaus zu Paketverlusten führen, welche der originale Datenverkehr nicht aufweist. Bei „normalen“ Daten wird dieser Sachverhalt praktisch kaum bemerkt. VoIP-Verkehr, d.h. (S)RTP-Pakete sind hingegen mit fortlaufenden Sequenznummern versehen, was Paketverluste sofort erkennbar macht. Mirror-Ports werden daher als -zumindest latent- unzuverlässig angesehen.
- i.d.R. werden die beiden Übertragungsrichtungen (Rx / Tx) eines zu spiegelnden Ports an einem physischen Mirror-Port bereitgestellt (Tx), was zu einem potenziellen Bottleneck führt. Darüber hinaus gestaltet sich die Auswertung dadurch aufwändiger.
Woraus besteht ein Messpunkt?
Netzwerk-Analysen werden natürlich immer passiv durchgeführt, d.h. Erfassung von Messdaten – ohne die (aktive) Erzeugung von Testdaten. Folglich besteht ein passiver Messpunkt immer jeweils aus einer Kombination von TAP (Test Access Port – ausschließlich für die Konnektivität zuständig) und Mess-Server, welcher die über den TAP ausgekoppelten Messdaten aufzeichnet.
Was ist ein TAP?
TAP steht für ‚Test Access Port‘. Das sind kleine Cu- oder LWL-Devices, welche einfach temporär in die zu messende Verbindung eingeschleift werden, um deren Verkehr blockierungsfrei und mit wirespeed an zwei Monitor-Ports, d.h. also getrennt nach Übertragungsrichtung (Rx / Tx), bereitzustellen. An den beiden Monitor-Ports des TAP ist zum Aufzeichnen der Messdaten ein Mess-Server mit Dual-Port Interface-Karte angeschaltet. Die TAPs selbst sind also lediglich für die Konnektivität zuständig – vermeiden dabei jedoch die typischen Nachteile der Mirror-Ports.
Benötigt ein TAP eine IP-Adresse?
Nein. TAPs sind voll transparent – besitzen weder eine MAC-Adresse, noch benötigen Sie eine IP-Adresse.
Welche Medientypen / Link Speeds / Steckerformate unterstützen die TAPs?
- Kupfer, RJ45-Stecker, 1 GB/s
- Multimode-LWL (50µm Querschnitt, 850nm Wellenlänge), LC-Stecker, 1 und 10 GB/s
- Singlemode-LWL (9µm Querschnitt, 1310nm Wellenlänge), LC-Stecker, 1 und 10 GB/s
Benötigen TAPs einen 19“ Einbauplatz?
Nein. Auf Grund ihrer geringen Baugröße – sie beträgt lediglich [B x T x H]:
- Kuper-TAP: 11,3 x 13,3 x 3 cm oder 11,3 x 12,3 x 3 cm
- LWL-TAP: 11,3 x 9 x 3 cm oder 11,3 x 8,5 x 3 cm
benötigen die portablen TAPs keinen 19“ Einbauplatz.
Können in Verbindungen eingeschleifte TAPs Störungen verursachen?
Kupfer-TAPs besitzen ein Steckernetzteil. Fällt dieses Steckernetzteil aus, bleibt die Verbindung, in welcher sich der TAP befindet, trotzdem bestehen. Allerdings kann der TAP nun keine Messdaten mehr zum angeschlossenen Mess-Server weiterleiten.
LWL-TAPs sind rein passiv – benötigen somit kein Steckernetzteil, welches ausfallen könnte. Die Bereitstellung der Messdaten an den Monitor-Ports des TAP wird über eine Aufteilung (Split) der Glasfasern realisiert. Die Split-Ratio der eingesetzten TAPs beträgt 50:50, d.h. der zu untersuchenden Verbindung stehen 50 % des Lichts zur Verfügung, während die anderen 50 % dem Mess-Server zugeführt werden. Im normalen Enterprise Umfeld (Campus) sind 50 % völlig ausreichend.
Wie viele Messpunkte sollten vorgesehen werden?
Grundsätzlich gilt: je mehr repräsentative Messpunkte, desto informativer die Ergebnisse. Es stehen bis zu 10 Messpunkte zur Verfügung. Deren konkrete Anzahl ist projektbezogen abzuwägen.
Welches sind sinnvolle Messpunkte?
Die konkrete Auswahl geeigneter repräsentativer Messpunkte ist durch die Aufgabenstellung determiniert. Grundsätzlich eignen sich jedoch Router (allg. Übergänge zu Carriern, anderen Standorten oder Netzen), Firewalls, SBCs, Gateways, Uplinks, zentrale Server, Basis-Stationen, etc., sowie nicht zuletzt exemplarisch auch die Netzwerk-Peripherie (Benutzer).