Netzwerkanalyse in IP-Datennetzen

GEBÄUDE + KOMMUNIKATION
Netzwerkanalyse in IP-Datennetzen
DATENNETZE ÜBERWACHEN UND PRÜFEN Zur Erhaltung der Qualität von Datenübertragungssystemen müssen gelegentlich die Netze analysiert und untersucht werden. Bei Störungen und
Fehlern in Netzen erfordert dieses ein gezieltes Nachgehen nach den Ursachen. Das lässt sich
mit Protokollanalysatoren durchführen, wie hier beschrieben.
AUF EINEN BLICK
DAS ETHERNETPROTOKOLL hat sich als
wichtigstes Kommunikationsprotokoll in der
Datentechnik durchgesetzt
DAS OSI-MODELL legt die Struktur und
Funktionen der digitalen Nachrichtenübertragung fest
oderne Datennetzwerke sind komplexe
Gesamtsysteme, die durch das Zusammenwirken verschiedenster Komponenten
eine hohe Komplexität erhalten haben. Heutige Ethernet-Netzwerke müssen leistungsfähiger und skalierbarer sein, bezüglich
Bandbreite und Dienstleistungen. Neue Anwendungen die zusätzlich einen »Quality of
Service« oder Anforderungen an die gemeinsame Synchronisation benötigen, sollten diesen Service auch bekommen.
In der digitalen Kommunikationstechnik
(Telefon, Internet, Multimediatechnik, Automatisierungstechnik) hat sich das Ethernetprotokoll (auch häufig nur Ethernet genannt)
heute endgültig durchgesetzt. Das Ethernet
und das IP-Protokoll (weitere, höhere Proto-
LINK
www.wireshark.com
kollebene, Schicht 3) dominiert in Netzwerken für die Kommunikation zwischen
Rechnern und Datennetzwerkkomponenten
(VoIP-Telefone, Drucker, Ein- und Ausgabegeräte, Smart-TV und Automatisierungskomponenten. Es ist überall zu finden und wird
heutzutage nicht nur in lokalen Netzen eingesetzt. Weitere Einsatzgebiete sind der Mobilfunkbereich, die privaten Heimnetze sowie
immer mehr und mehr der Industriebereich
(Industrial Ethernet). Ethernet hat sich über
lange Zeit bewährt und sich gegen viele konkurrierende, digitale Übertragungssysteme
(Token-Ring, FDDI, verschiedene Feldbussysteme) durchgesetzt. Auch die Telefonie
(Sprachübertragung) nutzt nun mit dem
Dienst VoIP (siehe Infokasten) die Ressourcen des Datennetzes.
Fachbeiträge zum Thema
Datenanalyse in Sprachnetzen
»de« 1-2.2014, S. 56
62
Telefone setzen das analoge Sprachsignal
heute in ein digitales Übertragungssignal um.
Videokameras digitalisieren die Bildinformationen. Ein Datenpaket wird von einem Anwender generiert und mit allen notwendigen
Adressinformationen an den Eingang des
Netzwerkes übergeben (Bild 1).
Die Paketübertragung nützt die Tatsache
aus, dass nicht alle angeschlossenen Endgeräte gleichzeitig senden. Die Teilnehmer teilen sich zeitlich (Paketweise) die Leitung
(Bild 2). Ethernet-Rahmen transportieren
die Daten und unterscheiden sich durch ihre
individuellen Adressen (MAC/medium accesss control, Schicht 2 und IP-Adressen,
Schicht 3). Dadurch sind unterschiedliche
IP-Header
MAC-Trailer
FCS
INFOS
Paketorientierte Übertragung
Rahmenprüfsumme
Daten
TCP /
UDP
SA
Quell-IPAdresse
MAC-Header
DA
Ziel-IPAdresse
SA
DA
Quell-MACAdresse
Ziel-MACAdresse
Bild 1: Zusammensetzung des Ethernet-Rahmenformats
de 5.2014
Quelle: H. Otto
M
Quelle: SIgurd Schobert
PROTOKOLLANALYSE bedeutet Mitschneiden und Interpretieren der Nachrichtenelemente
GEBÄUDE + KOMMUNIKATION
Eine erfolgreiche Fehlersuche hat als oberstes Ziel den Störer zu ermitteln. Das bedeutet, dass nach und nach alle potentiell in
Frage kommenden Fehlerursachen ausgeschlossen werden, bis nur noch die tatsäch-
VoIP Phone
10.0.0.1
10.0.0.3
100 Mbit/s Ethernet-Verbindung
TX
RX
RX
10.0.0.2
TX
Switch /
Router
10.0.0.4
10.0.0.8
Switch /
Router
10.0.0.6
VoIP Phone
10.0.0.7
10.0.0.5
Bild 2: Das Prinzip des Paketmultiplexing: Die Zuordnung in die richtigen Kanäle erfolgt
durch die Adressinformationen in den Routern bzw. Switches
Client
Server
Protokoll-Header
HTTP, TCP,
POP3, SMTP
Protokoll-Header
HTTP, TCP,
POP3, SMTP
Layer 3 Forwarding = Routing
Layer 2 Forwarding = Switching
Router
IP-Adresse
10.125.0.13
MAC-Adresse
00-03-2a-23ae-03
Switch
IP
Switch
Eth
Eth
Eth
IP-Adresse
192.168.0.2
MAC-Adresse
00-01-6823-45-67
Ethernet
FCS
HTTP
TCP
IP
Eth
Quelle: H. Otto
Bild 3: TCP/IP-Protokollstack, die »Stapelung« der verschiedenen Protokollschichten
im OSI-Modell
Quelle: H. Otto
Protokolle sind Regelwerke, die das Verhalten der Benützer eines Rechnernetzes
beschreiben. Die Kommunikation zwischen
zwei Teilnehmern eines Computer-Netzwerkes ist gewissen Formen unterworfen. Damit
dies funktioniert, müssen sich die Benutzer
an die Verfahren, Regeln und Abläufe halten. Nur wenn beide Seiten eine gemeinsame Sprache sprechen, kann eine elektronische Kommunikation, zwischen beiden ermöglicht werden (Bild 3). Das OSI-Modell
(Open system of Interconnection) bescheibt
die Regeln und Empfehlungen für eine geordnete Funktion und Übertragung der digitalen Informationen (Protokolle). Die Eigenschaften der Protokolle ist durch eine fest
vorgegebene Struktur gekennzeichnet: Protokolle haben einen Overhead (Zusatzinformationen), der den eigentlichen Datenanteil
im Rahmen zusätzlich mit Übertragungskapazität belastet.
Das bekannteste Netzwerkprotokoll TCP /
IP bestimmt die Regeln für die Datenübertragung in einem Netzwerk. Der Bekanntheitsgrad von TCP / IP ist durch das Internet und
das World Wide Web sehr stark angestiegen.
Ferner bietet dieses Kommunikationsprotokoll den Vorteil, dass Rechnersysteme mit
unterschiedlichen Hardwareplattformen und
Vorbereitungen zur
Fehleranalyse
Quelle: H. Otto
Protokolle –
Aufgaben und Struktur
verschiedenen Betriebssystemen miteinander verbunden werden können.
Es gibt eine Vielzahl von Datenübertragungsprotokollen, welche die unterschiedlichsten Kommunikationsanforderungen erfüllen. Im Allgemeinen wird immer eine ganze Protokollfamilie angesprochen und nicht
ein einzelnes Protokoll.
Quelle: H. Otto
Bitraten für die einzelnen Teilnehmer möglich. Dies ist für Anwendungen mit burstartigem Datenverkehr ideal. Bei einer stark ausgelasteten Leitung besteht die Gefahr eines
Verlustes von Datenpaketen. Je nach Auslastung der Leitungswege kann die Laufzeit der
Pakete schwanken.
Bild 4: Grafische Darstellungen geben einen raschen Überblick, Netzauslastung, eines File-Transfers einer Station
www.elektro.net
Bild 5: Protokollverteilung: welche Protokolle kommen vor? Statistik der erfassten Datenprotokolle
63
Quelle: H. Otto
GEBÄUDE + KOMMUNIKATION
Quelle: H. Otto
Bild 6: Kommunikationsbeziehungen: Statistik der Konversationsbeziehungen auf der IP-Ebene
Bild 7: Protokollanalyse – Wireshark-Anaylse: Aufgezeichnete Protokolldaten, die sich zur weiten Analyse detaillierter ausgewerten lassen
liche Fehlerquelle übrig bleibt. Der Aufwand
reduziert sich auf zwei Verfahren. Entweder
man versucht den Ort des Fehlers zu ermitteln (Client, Server, Netzkomponente oder
Verkabelung) oder man grenzt den Fehler
nach Protokollen ein. Egal welches Verfahren
eingesetzt wird, ohne Vorkenntnisse sind beide Verfahren nicht so leicht in der Praxis umzusetzen.
Netzstatistiken einer
Datenübertragung
Statistiken ermöglichen einen schnellen
Überblick über das augenblickliche Netzverhalten. Ob graphisch oder tabellarisch, Analysatoren zeigen Werte wie Auslastung (Peak,
Average), Rahmen pro Sekunde und die verwendete Paketgröße an. Mit diesen Werten
kann man eine Aussage über die Effizienz
des Netzes ermitteln. (Bild 4) Referenzstatistiken sollten vor einem auftretenden Netzproblem aufgezeichnet werden. Damit lassen
sich Veränderungen sofort erkennen. Netzstatistiken sind ein nützliches Hilfsmittel für
den Planer, um Netzerweiterungen oder
Netzveränderungen an den richtigen Stellen
durchführen zu können. Nur Statistiken, die
einen zeitlichen Bezug zur Darstellung haben sind aussagekräftig genug.
Die Statistik »Netzauslastung« ist die am
häufigsten verwendete. Aufgrund der Anzahl
und Größe von Datenpaketen, die zwischen
den Stationen auf den Verbindungen versendet werden, steigt oder fällt die verursachte
Netzlast für die physikalische Verbindung.
Bei einer ständigen Überwachung, sollte
eine Überlastsituation rechtzeitig erkannt
werden. Leitungen ins öffentliche Netzwerk
haben häufig eine geringere Kapazität und
sind deshalb stärker ausgelastet. Mit den Informationen aus diesen Messungen können
Regeln aufgestellt werden und durch eventuelle Konfigurationen in den Netzelementen
oder zusätzliche Erweiterungen lässt sich die
Netzauslastung verbessern.
Eine Kurvendarstellung ist umso aussagekräftiger, wenn verschiedene Messwerte
zueinander in Bezug gebracht werden. Wenn
sich die Anzahl an fehlerhaften Paketen
erhöht, gleichzeitig aber auch die Netzlast
ansteigt, so ist dies vermutlich eine Folge der
erhöhten Auslastung auf der Verbindung.
Protokollverteilung
Die Kommunikation innerhalb eines Netzwerkes wird durch die verschiedenen Protokolltypen bewerkstelligt. Protokolle dienen
zur Regelung und Steuerung der Datenübertragung zwischen verschiedenen Hosts. Obwohl sich das TCP / IP-Protokoll in letzter Zeit
gegenüber allen anderen durchgesetzt hat,
ist die Menge an Protokollen doch gewaltig.
Um für die Fehlersuche gerüstet zu sein,
sollte man vorab ermitteln, welche Protokolle
in einem Netzwerk vorkommen. (Bild 5)
Danach sollte man sich eingehender mit den
Protokollen beschäftigen, die für die Verwendung der Unternehmensanwendungen eingesetzt werden. Zu empfehlen ist, für einige
Applikationen Datenfiles zu erfassen (Fallbeispiele zum Kennenlernen), man kann
daraus ihre Funktion erkennen und analysieren.
Kommunikationsbeziehungen
Kommunikationsbeziehungen zeigen, wie in
einem Netzwerk die Verkehrsflüsse einzuordnen sind. (Bild 6) Verkehrsflüsse zeigen die
notwendige Auslastung von Anwendungen.
Diese können gering sein z. B. bei Adressanfragen wie DHCP (Dynamic host configuration protocol) oder DNS (domain name server), dagegen recht groß bei Datenbankan-
64
de 5.2014
Quelle: SIgurd Schobert
Bild 8: Statistik über Rahmenlängen
fragen oder bei einem File-Transfer. Nahezu
die meisten Anwendungen werden als Client / Server Relation dargestellt. Mit einem
genauen Plan der Verkehrsflüsse lassen sich
die Services, Clients und die Routen mit dem
höchsten Verkehrsaufkommen identifizieren.
Protokollanalyse
Das Aufspüren von Fehlern auf den beiden
untersten Netzwerkebenen (Schicht 2 und 3)
reicht heute meist nicht mehr aus, um die
Abläufe im Netzwerk transparent darzustellen. Je komplexer die Netzwerkstrukturen,
umso wichtiger ist es auch den Protokollfehlern auf den höhern, darüber liegenden
Protokollschichten auf die Spur zu kommen.
Insbesondere wenn im Netz verteilt nach
Client / Server-Prinzipien gearbeitet wird,
müssen die Fehlerereignisse auf allen Ebenen (Protokollschichten) des Netzes durchleuchtet werden. Damit kann man im Vorfeld,
Teilbereiche oder sogar das gesamte Netz
auf Problemeffekte hin überprüfen. Werden
all die Aktivitäten überwacht, die zwischen
Anwendern und Servern gemeinsam ablaufen, dann lassen sich Abweichungen
GLOSSAR
DA = Destination Address
SA = Source Address
schnellstens erkennen. Der Netzadministrator hat so frühzeitig heraufziehende Netzprobleme im Blick und kann präventiv eingreifen, bevor es überhaupt zu Verbindungsoder Netzausfällen kommt.
Protokollanalysatoren, wie z. B. der Wireshark (Freeware, Softwarelösung) setzt
man heutzutage hauptsächlich zur Fehlersuche im Netzwerk ein. Darüber hinaus bieten
sie zusätzlich dem Netzadministrator die
Möglichkeit, wichtige Grundfunktionen und
Applikationsabläufe des Netzwerkes zu ermitteln. Diese Grundfunktionen und Abläufe dienen während der Fehlersuche als Referenz.
Das erlaubt recht schnell ein »Soll-Ist-Vergleich« der aktuell aufgezeichneten, fehlerhaften Daten mit einem »Referenzablauf« .
Eine detaillierte Dekodierung von Protokollen für LAN und WAN Anwendungen sollte
zur Verfügung stehen (Bild 7), um eine Auswertung Bit für Bit zu gewährleisten. Damit
kann in allen Schichten (Layern) des OSIModells die komplexe Struktur der Protokolle
aufgebrochen werden. Empfehlenswert ist
das Erstellen eines »Referenz-Protokollabläufes« für die beobachtete Anwendung und
Konfigurationen wie zum Beispiel, nur einige
genannt: Einloggen einer Station, Ausdruck
über das Netz, Zugriff auf Laufwerke und
Server usw. Damit hat man im Fehlerfall
einen funktionierenden Protokollablauf und
man braucht diesen nur mit dem fehlerhaft
aufgezeichneten Protokollablauf zu vergleichen. Hilfreich sind auch die Ermittlungen
der Rahmenlängen (Größe der Nachrichtenelemente), sie zeigen, wie die Nachrichten
verteilt werden (Bild 8).
Fazit
Zur Erhaltung der Qualität von Datenübertragungssystemen müssen gelegentlich die
Netze analysiert und untersucht werden. Bei
Störungen und Fehlern in Netzen erfordert
dieses ein gezieltes Nachgehen nach den
Ursachen. Das lässt sich nur mit Protokollanalysatoren durchführen.
IP = Internet Protocol
TCP = Transport Control Protocol
UDP = User Datagram Protocol
DHCP = Dynamic Host Configuration Protocol
DNS = Domain Name System
OSI = Open Systems Interconnection
AUTOR
LAN = Local Area Network
Helmut Otto
Trainer für Protokollanalyse (TAE Esslingen)
WAN = Wide Area Network
www.elektro.net