Netzwerkanalyse in IP-Datennetzen
Transcription
Netzwerkanalyse in IP-Datennetzen
GEBÄUDE + KOMMUNIKATION Netzwerkanalyse in IP-Datennetzen DATENNETZE ÜBERWACHEN UND PRÜFEN Zur Erhaltung der Qualität von Datenübertragungssystemen müssen gelegentlich die Netze analysiert und untersucht werden. Bei Störungen und Fehlern in Netzen erfordert dieses ein gezieltes Nachgehen nach den Ursachen. Das lässt sich mit Protokollanalysatoren durchführen, wie hier beschrieben. AUF EINEN BLICK DAS ETHERNETPROTOKOLL hat sich als wichtigstes Kommunikationsprotokoll in der Datentechnik durchgesetzt DAS OSI-MODELL legt die Struktur und Funktionen der digitalen Nachrichtenübertragung fest oderne Datennetzwerke sind komplexe Gesamtsysteme, die durch das Zusammenwirken verschiedenster Komponenten eine hohe Komplexität erhalten haben. Heutige Ethernet-Netzwerke müssen leistungsfähiger und skalierbarer sein, bezüglich Bandbreite und Dienstleistungen. Neue Anwendungen die zusätzlich einen »Quality of Service« oder Anforderungen an die gemeinsame Synchronisation benötigen, sollten diesen Service auch bekommen. In der digitalen Kommunikationstechnik (Telefon, Internet, Multimediatechnik, Automatisierungstechnik) hat sich das Ethernetprotokoll (auch häufig nur Ethernet genannt) heute endgültig durchgesetzt. Das Ethernet und das IP-Protokoll (weitere, höhere Proto- LINK www.wireshark.com kollebene, Schicht 3) dominiert in Netzwerken für die Kommunikation zwischen Rechnern und Datennetzwerkkomponenten (VoIP-Telefone, Drucker, Ein- und Ausgabegeräte, Smart-TV und Automatisierungskomponenten. Es ist überall zu finden und wird heutzutage nicht nur in lokalen Netzen eingesetzt. Weitere Einsatzgebiete sind der Mobilfunkbereich, die privaten Heimnetze sowie immer mehr und mehr der Industriebereich (Industrial Ethernet). Ethernet hat sich über lange Zeit bewährt und sich gegen viele konkurrierende, digitale Übertragungssysteme (Token-Ring, FDDI, verschiedene Feldbussysteme) durchgesetzt. Auch die Telefonie (Sprachübertragung) nutzt nun mit dem Dienst VoIP (siehe Infokasten) die Ressourcen des Datennetzes. Fachbeiträge zum Thema Datenanalyse in Sprachnetzen »de« 1-2.2014, S. 56 62 Telefone setzen das analoge Sprachsignal heute in ein digitales Übertragungssignal um. Videokameras digitalisieren die Bildinformationen. Ein Datenpaket wird von einem Anwender generiert und mit allen notwendigen Adressinformationen an den Eingang des Netzwerkes übergeben (Bild 1). Die Paketübertragung nützt die Tatsache aus, dass nicht alle angeschlossenen Endgeräte gleichzeitig senden. Die Teilnehmer teilen sich zeitlich (Paketweise) die Leitung (Bild 2). Ethernet-Rahmen transportieren die Daten und unterscheiden sich durch ihre individuellen Adressen (MAC/medium accesss control, Schicht 2 und IP-Adressen, Schicht 3). Dadurch sind unterschiedliche IP-Header MAC-Trailer FCS INFOS Paketorientierte Übertragung Rahmenprüfsumme Daten TCP / UDP SA Quell-IPAdresse MAC-Header DA Ziel-IPAdresse SA DA Quell-MACAdresse Ziel-MACAdresse Bild 1: Zusammensetzung des Ethernet-Rahmenformats de 5.2014 Quelle: H. Otto M Quelle: SIgurd Schobert PROTOKOLLANALYSE bedeutet Mitschneiden und Interpretieren der Nachrichtenelemente GEBÄUDE + KOMMUNIKATION Eine erfolgreiche Fehlersuche hat als oberstes Ziel den Störer zu ermitteln. Das bedeutet, dass nach und nach alle potentiell in Frage kommenden Fehlerursachen ausgeschlossen werden, bis nur noch die tatsäch- VoIP Phone 10.0.0.1 10.0.0.3 100 Mbit/s Ethernet-Verbindung TX RX RX 10.0.0.2 TX Switch / Router 10.0.0.4 10.0.0.8 Switch / Router 10.0.0.6 VoIP Phone 10.0.0.7 10.0.0.5 Bild 2: Das Prinzip des Paketmultiplexing: Die Zuordnung in die richtigen Kanäle erfolgt durch die Adressinformationen in den Routern bzw. Switches Client Server Protokoll-Header HTTP, TCP, POP3, SMTP Protokoll-Header HTTP, TCP, POP3, SMTP Layer 3 Forwarding = Routing Layer 2 Forwarding = Switching Router IP-Adresse 10.125.0.13 MAC-Adresse 00-03-2a-23ae-03 Switch IP Switch Eth Eth Eth IP-Adresse 192.168.0.2 MAC-Adresse 00-01-6823-45-67 Ethernet FCS HTTP TCP IP Eth Quelle: H. Otto Bild 3: TCP/IP-Protokollstack, die »Stapelung« der verschiedenen Protokollschichten im OSI-Modell Quelle: H. Otto Protokolle sind Regelwerke, die das Verhalten der Benützer eines Rechnernetzes beschreiben. Die Kommunikation zwischen zwei Teilnehmern eines Computer-Netzwerkes ist gewissen Formen unterworfen. Damit dies funktioniert, müssen sich die Benutzer an die Verfahren, Regeln und Abläufe halten. Nur wenn beide Seiten eine gemeinsame Sprache sprechen, kann eine elektronische Kommunikation, zwischen beiden ermöglicht werden (Bild 3). Das OSI-Modell (Open system of Interconnection) bescheibt die Regeln und Empfehlungen für eine geordnete Funktion und Übertragung der digitalen Informationen (Protokolle). Die Eigenschaften der Protokolle ist durch eine fest vorgegebene Struktur gekennzeichnet: Protokolle haben einen Overhead (Zusatzinformationen), der den eigentlichen Datenanteil im Rahmen zusätzlich mit Übertragungskapazität belastet. Das bekannteste Netzwerkprotokoll TCP / IP bestimmt die Regeln für die Datenübertragung in einem Netzwerk. Der Bekanntheitsgrad von TCP / IP ist durch das Internet und das World Wide Web sehr stark angestiegen. Ferner bietet dieses Kommunikationsprotokoll den Vorteil, dass Rechnersysteme mit unterschiedlichen Hardwareplattformen und Vorbereitungen zur Fehleranalyse Quelle: H. Otto Protokolle – Aufgaben und Struktur verschiedenen Betriebssystemen miteinander verbunden werden können. Es gibt eine Vielzahl von Datenübertragungsprotokollen, welche die unterschiedlichsten Kommunikationsanforderungen erfüllen. Im Allgemeinen wird immer eine ganze Protokollfamilie angesprochen und nicht ein einzelnes Protokoll. Quelle: H. Otto Bitraten für die einzelnen Teilnehmer möglich. Dies ist für Anwendungen mit burstartigem Datenverkehr ideal. Bei einer stark ausgelasteten Leitung besteht die Gefahr eines Verlustes von Datenpaketen. Je nach Auslastung der Leitungswege kann die Laufzeit der Pakete schwanken. Bild 4: Grafische Darstellungen geben einen raschen Überblick, Netzauslastung, eines File-Transfers einer Station www.elektro.net Bild 5: Protokollverteilung: welche Protokolle kommen vor? Statistik der erfassten Datenprotokolle 63 Quelle: H. Otto GEBÄUDE + KOMMUNIKATION Quelle: H. Otto Bild 6: Kommunikationsbeziehungen: Statistik der Konversationsbeziehungen auf der IP-Ebene Bild 7: Protokollanalyse – Wireshark-Anaylse: Aufgezeichnete Protokolldaten, die sich zur weiten Analyse detaillierter ausgewerten lassen liche Fehlerquelle übrig bleibt. Der Aufwand reduziert sich auf zwei Verfahren. Entweder man versucht den Ort des Fehlers zu ermitteln (Client, Server, Netzkomponente oder Verkabelung) oder man grenzt den Fehler nach Protokollen ein. Egal welches Verfahren eingesetzt wird, ohne Vorkenntnisse sind beide Verfahren nicht so leicht in der Praxis umzusetzen. Netzstatistiken einer Datenübertragung Statistiken ermöglichen einen schnellen Überblick über das augenblickliche Netzverhalten. Ob graphisch oder tabellarisch, Analysatoren zeigen Werte wie Auslastung (Peak, Average), Rahmen pro Sekunde und die verwendete Paketgröße an. Mit diesen Werten kann man eine Aussage über die Effizienz des Netzes ermitteln. (Bild 4) Referenzstatistiken sollten vor einem auftretenden Netzproblem aufgezeichnet werden. Damit lassen sich Veränderungen sofort erkennen. Netzstatistiken sind ein nützliches Hilfsmittel für den Planer, um Netzerweiterungen oder Netzveränderungen an den richtigen Stellen durchführen zu können. Nur Statistiken, die einen zeitlichen Bezug zur Darstellung haben sind aussagekräftig genug. Die Statistik »Netzauslastung« ist die am häufigsten verwendete. Aufgrund der Anzahl und Größe von Datenpaketen, die zwischen den Stationen auf den Verbindungen versendet werden, steigt oder fällt die verursachte Netzlast für die physikalische Verbindung. Bei einer ständigen Überwachung, sollte eine Überlastsituation rechtzeitig erkannt werden. Leitungen ins öffentliche Netzwerk haben häufig eine geringere Kapazität und sind deshalb stärker ausgelastet. Mit den Informationen aus diesen Messungen können Regeln aufgestellt werden und durch eventuelle Konfigurationen in den Netzelementen oder zusätzliche Erweiterungen lässt sich die Netzauslastung verbessern. Eine Kurvendarstellung ist umso aussagekräftiger, wenn verschiedene Messwerte zueinander in Bezug gebracht werden. Wenn sich die Anzahl an fehlerhaften Paketen erhöht, gleichzeitig aber auch die Netzlast ansteigt, so ist dies vermutlich eine Folge der erhöhten Auslastung auf der Verbindung. Protokollverteilung Die Kommunikation innerhalb eines Netzwerkes wird durch die verschiedenen Protokolltypen bewerkstelligt. Protokolle dienen zur Regelung und Steuerung der Datenübertragung zwischen verschiedenen Hosts. Obwohl sich das TCP / IP-Protokoll in letzter Zeit gegenüber allen anderen durchgesetzt hat, ist die Menge an Protokollen doch gewaltig. Um für die Fehlersuche gerüstet zu sein, sollte man vorab ermitteln, welche Protokolle in einem Netzwerk vorkommen. (Bild 5) Danach sollte man sich eingehender mit den Protokollen beschäftigen, die für die Verwendung der Unternehmensanwendungen eingesetzt werden. Zu empfehlen ist, für einige Applikationen Datenfiles zu erfassen (Fallbeispiele zum Kennenlernen), man kann daraus ihre Funktion erkennen und analysieren. Kommunikationsbeziehungen Kommunikationsbeziehungen zeigen, wie in einem Netzwerk die Verkehrsflüsse einzuordnen sind. (Bild 6) Verkehrsflüsse zeigen die notwendige Auslastung von Anwendungen. Diese können gering sein z. B. bei Adressanfragen wie DHCP (Dynamic host configuration protocol) oder DNS (domain name server), dagegen recht groß bei Datenbankan- 64 de 5.2014 Quelle: SIgurd Schobert Bild 8: Statistik über Rahmenlängen fragen oder bei einem File-Transfer. Nahezu die meisten Anwendungen werden als Client / Server Relation dargestellt. Mit einem genauen Plan der Verkehrsflüsse lassen sich die Services, Clients und die Routen mit dem höchsten Verkehrsaufkommen identifizieren. Protokollanalyse Das Aufspüren von Fehlern auf den beiden untersten Netzwerkebenen (Schicht 2 und 3) reicht heute meist nicht mehr aus, um die Abläufe im Netzwerk transparent darzustellen. Je komplexer die Netzwerkstrukturen, umso wichtiger ist es auch den Protokollfehlern auf den höhern, darüber liegenden Protokollschichten auf die Spur zu kommen. Insbesondere wenn im Netz verteilt nach Client / Server-Prinzipien gearbeitet wird, müssen die Fehlerereignisse auf allen Ebenen (Protokollschichten) des Netzes durchleuchtet werden. Damit kann man im Vorfeld, Teilbereiche oder sogar das gesamte Netz auf Problemeffekte hin überprüfen. Werden all die Aktivitäten überwacht, die zwischen Anwendern und Servern gemeinsam ablaufen, dann lassen sich Abweichungen GLOSSAR DA = Destination Address SA = Source Address schnellstens erkennen. Der Netzadministrator hat so frühzeitig heraufziehende Netzprobleme im Blick und kann präventiv eingreifen, bevor es überhaupt zu Verbindungsoder Netzausfällen kommt. Protokollanalysatoren, wie z. B. der Wireshark (Freeware, Softwarelösung) setzt man heutzutage hauptsächlich zur Fehlersuche im Netzwerk ein. Darüber hinaus bieten sie zusätzlich dem Netzadministrator die Möglichkeit, wichtige Grundfunktionen und Applikationsabläufe des Netzwerkes zu ermitteln. Diese Grundfunktionen und Abläufe dienen während der Fehlersuche als Referenz. Das erlaubt recht schnell ein »Soll-Ist-Vergleich« der aktuell aufgezeichneten, fehlerhaften Daten mit einem »Referenzablauf« . Eine detaillierte Dekodierung von Protokollen für LAN und WAN Anwendungen sollte zur Verfügung stehen (Bild 7), um eine Auswertung Bit für Bit zu gewährleisten. Damit kann in allen Schichten (Layern) des OSIModells die komplexe Struktur der Protokolle aufgebrochen werden. Empfehlenswert ist das Erstellen eines »Referenz-Protokollabläufes« für die beobachtete Anwendung und Konfigurationen wie zum Beispiel, nur einige genannt: Einloggen einer Station, Ausdruck über das Netz, Zugriff auf Laufwerke und Server usw. Damit hat man im Fehlerfall einen funktionierenden Protokollablauf und man braucht diesen nur mit dem fehlerhaft aufgezeichneten Protokollablauf zu vergleichen. Hilfreich sind auch die Ermittlungen der Rahmenlängen (Größe der Nachrichtenelemente), sie zeigen, wie die Nachrichten verteilt werden (Bild 8). Fazit Zur Erhaltung der Qualität von Datenübertragungssystemen müssen gelegentlich die Netze analysiert und untersucht werden. Bei Störungen und Fehlern in Netzen erfordert dieses ein gezieltes Nachgehen nach den Ursachen. Das lässt sich nur mit Protokollanalysatoren durchführen. IP = Internet Protocol TCP = Transport Control Protocol UDP = User Datagram Protocol DHCP = Dynamic Host Configuration Protocol DNS = Domain Name System OSI = Open Systems Interconnection AUTOR LAN = Local Area Network Helmut Otto Trainer für Protokollanalyse (TAE Esslingen) WAN = Wide Area Network www.elektro.net