DeathAndPain 10 Geschrieben 11. Mai 2007 Melden Teilen Geschrieben 11. Mai 2007 Hallo allerseits, bei unseren Netzwerkfernleitungen in unsere Umlandsniederlassungen habe ich das Gefühl, daß die Leitungen zeitweise keinen vernünftigen Durchsatz haben. Jetzt suche ich nach einem Weg, dieses Gefühl in Fakten zu gießen. Derzeit läuft ein Programm, das einmal pro Minute einen Ping in jede Niederlassung schickt. Diese Pings kommen auch alle durch; wir haben also kein Problem auf dem Niveau eines totalen Netzwerkausfalls. Jedoch besteht ein Ping ja nur aus einem kleinen Datenpaket. Die Anwender in einer Niederlassung klagen, daß sie sporadisch immer mal wieder aus dem SAP rausfliegen würden. Hier werden teilweise größere Datenmengen übertragen. Anscheinend klappt das nicht immer zuverlässig genug, obwohl der Ping noch durchgeht. Kennt jemand geeignete Programme, mit denen man solch Fehler eingrenzen kann? Ich denke da an etwas, das Dauerlast in wählbarer Größenordnung auf der Leitung erzeugt und laufend protokolliert, ob und mit welcher Verzögerung die Daten übertragen werden. Das Programm muß dafür geeignet sein, über längere Zeit zu laufen, da der Fehler ja nicht auf Kommando auftritt. Daher halte ich ein Tool wie Wireshark für wenig geeignet, da ich damit über einen längeren Zeitraum eine Protokollflut erzeugen würde, in der die echten Fehlerdaten untergehen. Netio scheint mir für solch Dauermessung ungeeignet. IPERF habe ich mir angeschaut, aber das Tool scheint die Leitung komplett zuzumachen (d.h. soviel durchzuschieben, wie es nur durchkriegt). Sowas ist für den laufenden Betrieb schlecht geeignet. Ich bräuchte eine Einstellmöglichkeit, wieviel Byte pro Sekunde denn übertragen werden sollen. Auf diese Weise könnte man flexibel eine Teillast einstellen, die z.B. einen SAP-Client repräsentiert ohne gleich die ganze Leitung zuzuschaufeln und damit den Produktivbetrieb zu behindern. Dann könnte man schauen, ob es zeitweise zu Übertragungsengpässen kommt. Zitieren Link zu diesem Kommentar
dippas 10 Geschrieben 14. Mai 2007 Melden Teilen Geschrieben 14. Mai 2007 Naja, mit Wireshark kannst Du den Traffic mitschneiden, der tatsächlich auf der Leitung ist. Damit könnte man auch Kommunikationspartner aufdecken und schauen, wer wann wieviel durch die Leitung bläst. Was fehlt wäre eine zumutbare "Auswertbarkeit". Aber da gibt es auch was schönes (kostenpflichtigt, Auswertung kann aber auch beauftragt werden): Synapse:Networks GmbH - LAN-/WAN-Analyse, Netzwerkanalyse, Trace:Magic, Trace:Commander, Troubleshooting, Windows-Analyse, Netzwerk-Analyse: Trace:Magic P&W Netzwerk GmbH & Co KG - TRACE:MAGIC Je nach Netzwerkumgebung kann man sich das aber auch sparen: Eine "richtige" Firewall (Astaro/Netscreen) hat natürlich ein aussagekräftiges Log. grüße dippas Zitieren Link zu diesem Kommentar
DeathAndPain 10 Geschrieben 15. Mai 2007 Autor Melden Teilen Geschrieben 15. Mai 2007 Danke für die Info. Wir haben allerdings eine Firewall, gegen die Astaro ein kleiner Krauter ist, nämlich Checkpoint Firewall NG. Aber auch da wird nur paketweise geloggt. Damit bekomme ich eine ähnliche Protokollgrütze wie bei Wireshark. Das mit der Firewall ist sowieso nur theoretischer Natur, weil die Daten auf diesen Fernleitungen nicht durch die Firewall laufen, sondern durch das MPLS-Netz (das ist so was ähnliches wie ein VPN-Tunnel, nur sternförmig). Beide Endpunkte sind damit voll vertrauenswürdig, und die Verbindung dazwischen ist gesichert. Also brauchen wir auf der Verbindung keine Firewall. Was Trace:Magic angeht, so habe ich gemischte Gefühle. Die Screenshots aus der Programmbeschreibungen lesen sich in etwa so übersichtlich wie Wireshark-Protokolle - jeder einzelne ARP-Request ist aufgeführt. Die beworbenen Extrakt-Funktionen, die aus längeren Meßzeiträumen konkrete Fehleraussagen ableiten und den unwichtigen Kram ausblenden, sind nicht erkennbar. Dabei soll angeblich sogar ungeschultes Personal in der Lage sein, mit Trace:Magic Netzwerkfehler zu analysieren (halte ich so oder so für ein Gerücht, aber na ja). Die gebotenen Programminformationen beschränken sich mehr oder weniger auf Werbetexte. Man findet weder eine Demoversion noch ein Handbuch zum Download. Ich sehe auch nicht so recht ein, weshalb ich einem Softwarehersteller deswegen hinterherlaufen soll. Zumindest das Handbuch hätten sie ja mal online stellen können. Dann bekommt man schon mal eine Vorstellung, was das Programm kann und wie es sich bedient. Über den Preis wird auch kein Wort verloren. Zitieren Link zu diesem Kommentar
dippas 10 Geschrieben 15. Mai 2007 Melden Teilen Geschrieben 15. Mai 2007 hallo DeathAndPain, ob eine Checkpoint der Weisheit letzter Schluss ist und ob eine Astaro oder eine Netscreen dagegen kleine Krauter sind, lasse ich mal unkommentiert. Schließlich wollen wir ja keine Philosophie-Diskussion starten, oder? MPLS kenne ich bereits seit Jahren. Das die Endpunkte "vertrauenswürdig" sind, ist aber nur die halbe Wahrheit. Natürlich ist der Endpunkt als solcher vertrauenswürdig, aber das Netz dahinter? Wir beschränken durchaus den Netzverkehr zu "vertrauenswürdigen" Netzen (egal ob klassisches IPSec-VPN oder MPLS). Schließlich will ich ja auch vermeiden, das irgendwo ein hinterrücks angeklemmter Rechner (z.B. Laptop eines Gastes) wie wild durch das Netz seinen Mist loswerden möchte. Aber auch das ist eine Philosophie-Frage. Vorteil bei der Firewall: Du kannst den Traffic von einem zum anderen Netz "sehen". Als Anhaltspunkt schon mal nicht schlecht. Zu Trace:Magic: Über den zweiten Link kannst Du dir nach Registrierung eine Demo runterladen (Trace-Commander mit Mini:Magic). Diese ist kostenlos. Es gibt dann noch (kostenpflichtige) Varianten, welche die Logfiles - je nach Variante - bis auf´s letzte Bit auswerten können. Preise sind zu erfragen. Du kannst aber auch mit der Demo ganz komfortabel Logs erzeugen und diese als Dienstleistung auswerten lassen. Dabei kannst Du natürlich auch wählen, ob Du wirklich jeden ARP-Request mitschneiden möchtest ;) Ansonsten ist natürlich auch Google eine immer wieder gern genommene Quelle auf der Suche nach (kostenfreien) Ansätzen: Ethereal - Wireshark Tutorial Teil 1 :: network lab Netzwerkanalyse :: Auswerten und Filtern :: network lab grüße dippas Zitieren Link zu diesem Kommentar
DeathAndPain 10 Geschrieben 15. Mai 2007 Autor Melden Teilen Geschrieben 15. Mai 2007 ob eine Checkpoint der Weisheit letzter Schluss ist und ob eine Astaro oder eine Netscreen dagegen kleine Krauter sind, lasse ich mal unkommentiert. Schließlich wollen wir ja keine Philosophie-Diskussion starten, oder? Ist richtig, aber bei der Einführung lag die Astaro seinerzeit bei ca. € 6000, wohingegen die Checkpoint bei € 20.000+ angesiedelt war, dafür aber auch mehr bot - oder waren das noch DM? Egal. Ist jedenfalls schon eine andere Größenordnung. MPLS kenne ich bereits seit Jahren. Das die Endpunkte "vertrauenswürdig" sind, ist aber nur die halbe Wahrheit. Natürlich ist der Endpunkt als solcher vertrauenswürdig, aber das Netz dahinter? Wir beschränken durchaus den Netzverkehr zu "vertrauenswürdigen" Netzen (egal ob klassisches IPSec-VPN oder MPLS). Schließlich will ich ja auch vermeiden, das irgendwo ein hinterrücks angeklemmter Rechner (z.B. Laptop eines Gastes) wie wild durch das Netz seinen Mist loswerden möchte. Ich bin mir nicht sicher, wie Du das meinst. Wir haben ein großes "internes Netz", das mehrere Gebäude umfaßt, aber dennoch als ein Netz mit einheitlichem Sicherheitslevel anzusehen ist. Wenn jemand in einem der Gebäude einfach ein fremdes Notebook einstöpseln würde, dann wäre das so oder so ein Regelverstoß. Es wäre willkürlich und nicht nachvollziehbar zu sagen, wenn ein Gebäude verseucht wird, dann ist das in Ordnung, aber alle, das darf nicht sein. Der Ansatz muß weiter vorne liegen: In unser internes Netz darf nichts Fremdes rein. Auf Sabotage legen wir unser Netz nicht aus. Genauso könntest Du innerhalb Deines Hauses willkürlich Dein Netz segmentieren und Dreiergrüppchen von Räumen definieren, zwischen denen Du jeweils eine fette, teure Firewall aufstellst. So könntest Du versuchen, Outbreaks auf Parzellen von drei Räumen zu beschränken. Aber mal ehrlich - macht sowas außerhalb von militärischen Einrichtungen Sinn? Wir haben jedenfalls ein großes internes Netz. Und solange nicht etwas Fremdes aus dem MPLS-Netz heraus einstreut (und da vertrauen wir mal dem Provider), haben wir da kein Problem. Historisch hatten wir da auch nie eine Schwierigkeit mit. Aber vielen Dank für Deine Tipps. Zitieren Link zu diesem Kommentar
dippas 10 Geschrieben 15. Mai 2007 Melden Teilen Geschrieben 15. Mai 2007 Naja, hoher Preis bedeutet ja nicht zwangsläufig auch eine hohe Qualität. Bei der Checkpoint bin ich mir fast sicher, dass das ein DM-Preis war - sofern die Leistung/Features mit einer ASG 220 vergleichbar sind. Aber tröste dich, ne Astaro kann man auch für 10000 € bekommen ;) Du hast natürlich recht, wenn Du sagst, dass das interne Netz - egal ob rein hausintern segmentiert oder über WAN - insgesamt sauber sein und bleiben muss. Einen Outbreak auf einzelne Bereiche zu beschränken macht aber meines Erachtens auch ausserhalb militärischer Einrichtungen Sinn. Allerdings würde ich auch die Kirche im Dorf lassen und sicherlich nicht jeden einzelnen Raum/Parzelle mit einer Firewall absichern. Vielfach reicht es, die WAN-Anbindungen untereinander abzukoppeln. Was anderes wäre es, wenn das Unternehmen im Gebäude z.B. eine Abteilung mit brisanten Daten hat (Forschung & Entwicklung beispielsweise). Hier kann es Sinn machen, auch diese Abteilung innerhalb eines Gebäudes gegen den Rest abzuschotten. Klar ist aber auch, dass das jeweils gesondert betrachtet werden muss. Hast Du mal die Links gesichtet? Insbesondere was Wireshark bereits von Haus aus an Auswertbarkeit liefert ist schon in vielen Fällen ausreichend. grüße dippas Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.