330 likes | 411 Views
Protokollanalyse Was leisten moderne Tools und wie setzt man sie effizient ein. Fluke Deutschland GmbH, 05/2000. Die Rolle des Protocol Analysators im Rahmen der SwitchVision Suite. Network Inspector läuft die gesamte Zeit Monitoring Dokumentation Erkennen von Netz-Problemen LANMeter
E N D
ProtokollanalyseWas leisten moderne Tools und wie setzt man sie effizient ein Fluke Deutschland GmbH, 05/2000
Die Rolle des Protocol Analysators im Rahmen der SwitchVision Suite • Network Inspector läuft die gesamte Zeit • Monitoring • Dokumentation • Erkennen von Netz-Problemen • LANMeter • Dokumentation (Reports) • Schnelles Finden fast aller Fehler • Protocol Inspector • Schwierige Fehler (Sicherheit, Netz-Applikationssoftware) • Voice Over IP (VoIP) • Gigabit Ethernet • Security • Server Traffic Analyse
Wir erinnern uns: Protokollanalyse ist der Blick durchs Mikroskop!
Skill Level Protocol Inspector PI Distributed Protocol Inspector Application Decode Application Monitoring TrafficFlow Manager Network Analysis 694/5 SwitchInspector Network Inspector Service monitoring Device monitoring OneTouch Device testing Internetwork Throughput Connectivity testing DSP Cable certification Hub Cable Switch PC/Host Enterprise
Protocol Analysator Erfasst, dekodiert und filtert Pakete auf allen 7-Layern • Fehlersuche, Alarme • Device Monitoring • Protocol Monitoring • Application Monitoring Expertenwissen erforderlich !
Protocol Analysator • Ursprünglich das Tool des Software/Hardware- Entwicklers • Blick auf die richtige Protocol-Interaktion in Applikationen • Einblick in jedes Bit in jedem Paket • Ist ein Troubleshooting Tool geworden • Segment-Auslastung im Normalbetrieb und bei Spitzenlast • Fehler und Kollisionen im Normalbetrieb und während Spitzenzeiten • Top N User • Antwortszeiten • Funktioniert prima im Shared-Media-Bereich(jetzt auch im Switchbereich und VLAN-Bereich einsetzbar)
Protocol Analysator - Pros • Wichtig für Fehlersuche, Protokollinteroperability und Responsezeiten • Frame Header • Zeigt die unterschiedlichen Protokolltypen auf dem Netz • Zeigt PDU und highest Layer Protocolle • Frame Inhalt • Zeigt die Paketinhalte auf Bit- und Byteebene + ASCII-Text • Zeitliche Zusammenhänge • Misst Responsezeiten von Applikationen und Protokollen • Absolute Zeit: in 1/10.000 s; wird benutzt, um die Zeit zwischen 2 Ereignissen auf einer Verbindung zu messen • Zeitdifferenz: Verstrichene Zeit zwischen gesendeten und empfangenen Frames; Häufig benutzt, um die Response- zeit zwischen Client und Server zu messen • Relative Zeit: Kummulative Messung jedes Frames in der Aufzeichnung; hauptsächlich für Durchsatz und Performance
Protocol Analysator - Kontras • Sie müssen den Node oder das Pattern des Problems kennen • Anderenfalls müssen Sie bei Switches über die SPAN Funktion Port-Mirroring betreiben • Kann nicht ohne Remote-Option über Switch-Segment Genzen schauen • Bei Netzen mit Switches sind mehrere Analysatoren erforderlich • Portabiliät ist fraglich • Laptop boot time • Capture-Files können groß sein • 1MB/Minute sind nicht unüblich
Protokollanalysator als Ergänzung zum Network Inspector und LANMeter • Überblicken der gesamte Broadcast Domain mit dem Network Inspector • Finden der problematischen Nodes mit dem LANMeter, herunter bis zur Collision-Domain • zusätzlich Ausschluß der Hardware als Ursache der Probleme • Setzen von Filtern und Aufzeichnen von Paken an diesen Nodes mit dem Protocol Inspector • Lösen von Antwortszeit- und Protokollinteroperability Problemen mit dem Protocol Inspector • Vollständige Dekodierung des Verkehrsflusses mit dem Protocol Inspector
Die Fluke Protocol Inspector Familie • 3 Modelle (Capture, Decode, und Filter mit NDIS-NIC): • PI-100 Protocol Inspector Standard (Teil der SwitchVision Suite) • PIP-100 Protocol Inspector Pro (zusätzlich Experten-Modus, Remote-Control, Distributed PI, Traffic Generator, optional Voice over IP (VoIP)) • PIP-ENH (Erweiterung des PI-100 auf PIP-100) • DPI für • 10/100 Ethernet mit externen passiven Taps (HD / FD) • Gigabit Ethernet • Produkt Linie designed für Switched Networks • Taps
Monitoring • Summary View (mehrere Quellen, jeweils ein Darstellungsfenster) • Summary View (Hauptfenster) primär für Monitoringaufgaben • Auswahl der Datenquelle im/ Resourcen-Browser • Setzen von Alarmen im Alarm Browser • Darstellung von Systemmeldungen im Message Window
Capture View • 802.1Q VLAN tagging supported • IPSec Protokolle • H.323 und andere Decodierung mit VoIP
Decoding • Detail View
Protocol Inspector Expert Analyse Press the button to open Expert Analysis
Distributed Protocol Inspector und zusätzliche Komponenten • Remote protocol link verbindet alle DPI, FETA, 12 Taps and PI Agenten im Netzwerk • Eine PI-Console steuert / analysiert mehrere Agenten • Peer-to-peer Architektur • 10/100 Mbps-Ethernet • Full / Half-Duplex • Gigabit-Ethernet • Jedes Paket (auch fehlerhafte Pakete) werden erfaßt
Distributed PI • Unterstützt Half oder Full-Duplex 10/100 Mbps Ethernet • Auto-sensing 10/100 Mbps Ethernet RJ-45 Management-Port • Echtzeit Packet-Decoding und -Analyse durch ASIC-Technologie (jedes Paket wird erfaßt) • Full-line rate capture • Full-line-rate transmit • Hardware basierendes pre-filtering and packet slicing • Pufferspeicher 32 MB
Distributed Protocol Inspector undGigabit Protocol Inspector • Analysator und Monitoring für 10/100 oder Gigabit Ethernet • Große capture and transmit Buffer • Pre-capture Filter und Slicing durch Hardware • Full-line rate capture und transmit - auch bei eingeschalteter Filterung • 1 oder 2 Analysator Ports 10/100/1000 Mb Ethernet • 1 Interface für Half-duplex • 2 Interfaces für 2 Half-duplex Segmente oder 1 Full-duplex Link • Multimode, Singlemode und neu hi-power single mode auf einer Plattform
High Performance Gigabit • Distributed und integrierte Architektur • Erweiterung der bestehenden 10/100 Architektur • Gleiche Analyse- Software wie bei 10/100 Mbps • Für alle Komponenten der gesamten Plattform • Fehler tolerante, non-intrusive Analyse mit passivem Tap • Einsatz an unterschiedlichen Standorten, Erweiterung durch zusätzliche Analysatoren; keine Störung des Links • Silicon accelerated full-bandwidth Hardware • Volle Geschwindigkeit im Nutzkanal während der Datenaufzeichnung / Analyse
Taps • Single und 12-Doppel Port Taps verfügbar • Rack Mountable Device (nur 12-Port) • Erlaubt es, Verkehr auf bis zu 12 Full-Duplex oder Half-Duplex 10/100 Mbps Ethernet Segmenten zu erfassen • Passive Devices • Erfordert den Protocol Inspectorzur Steuerung (nutzt das RSP Protocol)
Arbeitsweise eines Taps • Der Tap spaltet die RX und TX-Signale auf • Rein passives Mithören • Full Duplex Links sind analysierbar • DPI empfängt Daten von beiden Seiten Host A Switch B Port A Port B Straight-thru cable Straight-thru cable Power Tap A port Tap B port • Läßt auch Fehler passieren (fehlertolerant) • Betriebsspannungs-ausfall hat keine Auswirkung auf den “Nutzkanal” • DPI kann keine Signale in den Nutzkanal senden (störungsfreies Messen) Full Duplex Tap ONE WAY DATA FLOW DPI
Taps • Folgende Probleme, die mit einem Port-Mirroring verbunden sind, treten bei einer Tap-Lösung nicht auf: • Switch Performance Reduzierung • Mindestens 1 Port steht für Analyse/ Monitoring nicht fur LAN Verkehr zur Verfügung • Fehlerhafte Pakete des physikalischen Layers, wie “Runts” und “überlange Pakete” werden nicht aufgezeichnet • Verlieren der Full-Duplex Fähigkeit
Taps • Darstellen des Verkehrs an HD und FD 10/100 Mbps Ethernet Segmenten von einem PI oder DPI • Typische Verwendung an Links an denen Monitoring und Verkehrsanalyse wichtig sind • Rein passiver Abgriff es Verkehrs • Unterbrechnung der Stromversorung zum Tap, führt nicht zum Verlust der Netzverbindung (kein Verlust von Daten) • Non-invasive Analyse und Monitoring • Fault tolerant • Erlaubt switches and hosts to negotiate linking • Keine Beeinflussung von Switches oder Links • Capture beide Seiten der Verbindung
Welche Meßmittel braucht man bei Switched Networks ? • Full duplex DPI Pods • Syncronisiertes Dual Port Interface • Fehler-Tolerante Link Taps • Kein einschränkendes Monitoring / Analyse • Mirror (span) Ports leisten dies nicht! • Blenden Fehler aus, bevor die fehlerhaften Daten vom Analysator gesehen werden • Keine 100%-ige Fehlersuche möglich
Fiber Optic Tap • Fiber Tap, 1 Port • Single oder Multimode Modelle verfügbar • Für 10BaseF, 100BaseFX, 1000BaseSX/LX • < 4db Dämpfung • Fehler-tolerante und passive optische Splitter Technologie • Unterbrechung des Links für Analyse und Fehlersuche nicht erforderlich • Optional rackmount frame,3 oder 12 Slots DPI Fiber Tap
Protocol InspectorSystem Requirements • Processor: 166 MHz Pentium • Memory: 64Mbyte 192Mbyte (VoIP oder Gigabit DPI) • Disk Space: 20-25 MB • Display: 800 X 600 • OS: Win95/98/2K & WinNT 4.X
Gigabit Distributed Protocol Inspector 100Mbps multimode fiber Gigabit singlemode backbone Gigabit backbone switch Gigabit backbone switch Tap-1 Tap-1 Distributed Protocol Inspector Tap-1 Fast E’net Traffic Analyzer Tap-12 Distributed Protocol Inspector Protocol Inspector 100 Mbps Server switch 100 Mbps switch server farm Distributed Protocol Inspector 10/100 Mbps local hub Protocol Inspector Distributed System Beispiel
TAP-1 Server DPI-112 Server/Gateway Latency Testing • Zur Analyse “denial of service” • Server Latency wenn neue Applikationen eingeführt werden • VoIP Testing
S C I S C O Y S T E M S Switch TAP-1 TAP-1 DPI-112 Latency oder Firewall Testing • Firewall Filterfunktion • Latency Zeiten von Switches, Router oder Firewalls
Beispiel: Messen an einer Server to Switch Verbindung MDI MDIX MDI MDIX Server A Switch B Port A Port B Straight-thru cable Straight-thru cable Tap A port Tap B port Full Duplex Tap MDIX MDIX Straight-thru cables MDI MDI DPI
Beispiel: Messen an einer Switch to Switch Verbindung MDIX MDIX MDI MDIX Switch A Switch B Port A Port B Straight-thru cable Crossover cable Tap A port Tap B port Full Duplex Tap MDIX MDIX Straight-thru cables MDI MDI DPI
VoIP Option für PI Full Decode & Quality of Service Messung New VoIP Option mit QoS Messungen Reports über 30 Messungen der Qualität By Conversation (zeigt alle calls) By Channel (zeigt alle channels innerhalb eines calls) Full H.323 Decode Suite plus; MGCP, RTP, RTCP, SIP, Gateway, ASN.1 Cisco SSP protocol Full decode von H.323 und andere VoIP Protokollen Full set of metric mit Schwelleneinstellung um Performance Probleme bei VoIP zu finden RTCP interarrival jitter packet count und packet dropped