1 / 33

Protokollanalyse Was leisten moderne Tools und wie setzt man sie effizient ein

Protokollanalyse Was leisten moderne Tools und wie setzt man sie effizient ein. Fluke Deutschland GmbH, 05/2000. Die Rolle des Protocol Analysators im Rahmen der SwitchVision Suite. Network Inspector läuft die gesamte Zeit Monitoring Dokumentation Erkennen von Netz-Problemen LANMeter

lapis
Download Presentation

Protokollanalyse Was leisten moderne Tools und wie setzt man sie effizient ein

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ProtokollanalyseWas leisten moderne Tools und wie setzt man sie effizient ein Fluke Deutschland GmbH, 05/2000

  2. Die Rolle des Protocol Analysators im Rahmen der SwitchVision Suite • Network Inspector läuft die gesamte Zeit • Monitoring • Dokumentation • Erkennen von Netz-Problemen • LANMeter • Dokumentation (Reports) • Schnelles Finden fast aller Fehler • Protocol Inspector • Schwierige Fehler (Sicherheit, Netz-Applikationssoftware) • Voice Over IP (VoIP) • Gigabit Ethernet • Security • Server Traffic Analyse

  3. Wir erinnern uns: Protokollanalyse ist der Blick durchs Mikroskop!

  4. Skill Level Protocol Inspector PI Distributed Protocol Inspector Application Decode Application Monitoring TrafficFlow Manager Network Analysis 694/5 SwitchInspector Network Inspector Service monitoring Device monitoring OneTouch Device testing Internetwork Throughput Connectivity testing DSP Cable certification Hub Cable Switch PC/Host Enterprise

  5. Protocol Analysator Erfasst, dekodiert und filtert Pakete auf allen 7-Layern • Fehlersuche, Alarme • Device Monitoring • Protocol Monitoring • Application Monitoring Expertenwissen erforderlich !

  6. Protocol Analysator • Ursprünglich das Tool des Software/Hardware- Entwicklers • Blick auf die richtige Protocol-Interaktion in Applikationen • Einblick in jedes Bit in jedem Paket • Ist ein Troubleshooting Tool geworden • Segment-Auslastung im Normalbetrieb und bei Spitzenlast • Fehler und Kollisionen im Normalbetrieb und während Spitzenzeiten • Top N User • Antwortszeiten • Funktioniert prima im Shared-Media-Bereich(jetzt auch im Switchbereich und VLAN-Bereich einsetzbar)

  7. Protocol Analysator - Pros • Wichtig für Fehlersuche, Protokollinteroperability und Responsezeiten • Frame Header • Zeigt die unterschiedlichen Protokolltypen auf dem Netz • Zeigt PDU und highest Layer Protocolle • Frame Inhalt • Zeigt die Paketinhalte auf Bit- und Byteebene + ASCII-Text • Zeitliche Zusammenhänge • Misst Responsezeiten von Applikationen und Protokollen • Absolute Zeit: in 1/10.000 s; wird benutzt, um die Zeit zwischen 2 Ereignissen auf einer Verbindung zu messen • Zeitdifferenz: Verstrichene Zeit zwischen gesendeten und empfangenen Frames; Häufig benutzt, um die Response- zeit zwischen Client und Server zu messen • Relative Zeit: Kummulative Messung jedes Frames in der Aufzeichnung; hauptsächlich für Durchsatz und Performance

  8. Protocol Analysator - Kontras • Sie müssen den Node oder das Pattern des Problems kennen • Anderenfalls müssen Sie bei Switches über die SPAN Funktion Port-Mirroring betreiben • Kann nicht ohne Remote-Option über Switch-Segment Genzen schauen • Bei Netzen mit Switches sind mehrere Analysatoren erforderlich • Portabiliät ist fraglich • Laptop boot time • Capture-Files können groß sein • 1MB/Minute sind nicht unüblich

  9. Protokollanalysator als Ergänzung zum Network Inspector und LANMeter • Überblicken der gesamte Broadcast Domain mit dem Network Inspector • Finden der problematischen Nodes mit dem LANMeter, herunter bis zur Collision-Domain • zusätzlich Ausschluß der Hardware als Ursache der Probleme • Setzen von Filtern und Aufzeichnen von Paken an diesen Nodes mit dem Protocol Inspector • Lösen von Antwortszeit- und Protokollinteroperability Problemen mit dem Protocol Inspector • Vollständige Dekodierung des Verkehrsflusses mit dem Protocol Inspector

  10. Die Fluke Protocol Inspector Familie • 3 Modelle (Capture, Decode, und Filter mit NDIS-NIC): • PI-100 Protocol Inspector Standard (Teil der SwitchVision Suite) • PIP-100 Protocol Inspector Pro (zusätzlich Experten-Modus, Remote-Control, Distributed PI, Traffic Generator, optional Voice over IP (VoIP)) • PIP-ENH (Erweiterung des PI-100 auf PIP-100) • DPI für • 10/100 Ethernet mit externen passiven Taps (HD / FD) • Gigabit Ethernet • Produkt Linie designed für Switched Networks • Taps

  11. Monitoring • Summary View (mehrere Quellen, jeweils ein Darstellungsfenster) • Summary View (Hauptfenster) primär für Monitoringaufgaben • Auswahl der Datenquelle im/ Resourcen-Browser • Setzen von Alarmen im Alarm Browser • Darstellung von Systemmeldungen im Message Window

  12. Capture View • 802.1Q VLAN tagging supported • IPSec Protokolle • H.323 und andere Decodierung mit VoIP

  13. Decoding • Detail View

  14. Einfach einstellbare Filterung

  15. Protocol Inspector Expert Analyse Press the button to open Expert Analysis

  16. Distributed Protocol Inspector und zusätzliche Komponenten • Remote protocol link verbindet alle DPI, FETA, 12 Taps and PI Agenten im Netzwerk • Eine PI-Console steuert / analysiert mehrere Agenten • Peer-to-peer Architektur • 10/100 Mbps-Ethernet • Full / Half-Duplex • Gigabit-Ethernet • Jedes Paket (auch fehlerhafte Pakete) werden erfaßt

  17. Distributed PI • Unterstützt Half oder Full-Duplex 10/100 Mbps Ethernet • Auto-sensing 10/100 Mbps Ethernet RJ-45 Management-Port • Echtzeit Packet-Decoding und -Analyse durch ASIC-Technologie (jedes Paket wird erfaßt) • Full-line rate capture • Full-line-rate transmit • Hardware basierendes pre-filtering and packet slicing • Pufferspeicher 32 MB

  18. Distributed Protocol Inspector undGigabit Protocol Inspector • Analysator und Monitoring für 10/100 oder Gigabit Ethernet • Große capture and transmit Buffer • Pre-capture Filter und Slicing durch Hardware • Full-line rate capture und transmit - auch bei eingeschalteter Filterung • 1 oder 2 Analysator Ports 10/100/1000 Mb Ethernet • 1 Interface für Half-duplex • 2 Interfaces für 2 Half-duplex Segmente oder 1 Full-duplex Link • Multimode, Singlemode und neu hi-power single mode auf einer Plattform

  19. High Performance Gigabit • Distributed und integrierte Architektur • Erweiterung der bestehenden 10/100 Architektur • Gleiche Analyse- Software wie bei 10/100 Mbps • Für alle Komponenten der gesamten Plattform • Fehler tolerante, non-intrusive Analyse mit passivem Tap • Einsatz an unterschiedlichen Standorten, Erweiterung durch zusätzliche Analysatoren; keine Störung des Links • Silicon accelerated full-bandwidth Hardware • Volle Geschwindigkeit im Nutzkanal während der Datenaufzeichnung / Analyse

  20. Taps • Single und 12-Doppel Port Taps verfügbar • Rack Mountable Device (nur 12-Port) • Erlaubt es, Verkehr auf bis zu 12 Full-Duplex oder Half-Duplex 10/100 Mbps Ethernet Segmenten zu erfassen • Passive Devices • Erfordert den Protocol Inspectorzur Steuerung (nutzt das RSP Protocol)

  21. Arbeitsweise eines Taps • Der Tap spaltet die RX und TX-Signale auf • Rein passives Mithören • Full Duplex Links sind analysierbar • DPI empfängt Daten von beiden Seiten Host A Switch B Port A Port B Straight-thru cable Straight-thru cable Power Tap A port Tap B port • Läßt auch Fehler passieren (fehlertolerant) • Betriebsspannungs-ausfall hat keine Auswirkung auf den “Nutzkanal” • DPI kann keine Signale in den Nutzkanal senden (störungsfreies Messen) Full Duplex Tap ONE WAY DATA FLOW DPI

  22. Taps • Folgende Probleme, die mit einem Port-Mirroring verbunden sind, treten bei einer Tap-Lösung nicht auf: • Switch Performance Reduzierung • Mindestens 1 Port steht für Analyse/ Monitoring nicht fur LAN Verkehr zur Verfügung • Fehlerhafte Pakete des physikalischen Layers, wie “Runts” und “überlange Pakete” werden nicht aufgezeichnet • Verlieren der Full-Duplex Fähigkeit

  23. Taps • Darstellen des Verkehrs an HD und FD 10/100 Mbps Ethernet Segmenten von einem PI oder DPI • Typische Verwendung an Links an denen Monitoring und Verkehrsanalyse wichtig sind • Rein passiver Abgriff es Verkehrs • Unterbrechnung der Stromversorung zum Tap, führt nicht zum Verlust der Netzverbindung (kein Verlust von Daten) • Non-invasive Analyse und Monitoring • Fault tolerant • Erlaubt switches and hosts to negotiate linking • Keine Beeinflussung von Switches oder Links • Capture beide Seiten der Verbindung

  24. Welche Meßmittel braucht man bei Switched Networks ? • Full duplex DPI Pods • Syncronisiertes Dual Port Interface • Fehler-Tolerante Link Taps • Kein einschränkendes Monitoring / Analyse • Mirror (span) Ports leisten dies nicht! • Blenden Fehler aus, bevor die fehlerhaften Daten vom Analysator gesehen werden • Keine 100%-ige Fehlersuche möglich

  25. Fiber Optic Tap • Fiber Tap, 1 Port • Single oder Multimode Modelle verfügbar • Für 10BaseF, 100BaseFX, 1000BaseSX/LX • < 4db Dämpfung • Fehler-tolerante und passive optische Splitter Technologie • Unterbrechung des Links für Analyse und Fehlersuche nicht erforderlich • Optional rackmount frame,3 oder 12 Slots DPI Fiber Tap

  26. Protocol InspectorSystem Requirements • Processor: 166 MHz Pentium • Memory: 64Mbyte 192Mbyte (VoIP oder Gigabit DPI) • Disk Space: 20-25 MB • Display: 800 X 600 • OS: Win95/98/2K & WinNT 4.X

  27. Gigabit Distributed Protocol Inspector 100Mbps multimode fiber Gigabit singlemode backbone Gigabit backbone switch Gigabit backbone switch Tap-1 Tap-1 Distributed Protocol Inspector Tap-1 Fast E’net Traffic Analyzer Tap-12 Distributed Protocol Inspector Protocol Inspector 100 Mbps Server switch 100 Mbps switch server farm Distributed Protocol Inspector 10/100 Mbps local hub Protocol Inspector Distributed System Beispiel

  28. TAP-1 Server DPI-112 Server/Gateway Latency Testing • Zur Analyse “denial of service” • Server Latency wenn neue Applikationen eingeführt werden • VoIP Testing

  29. S C I S C O Y S T E M S Switch TAP-1 TAP-1 DPI-112 Latency oder Firewall Testing • Firewall Filterfunktion • Latency Zeiten von Switches, Router oder Firewalls

  30. PI VLAN ISL/802.1q Decodierung

  31. Beispiel: Messen an einer Server to Switch Verbindung MDI MDIX MDI MDIX Server A Switch B Port A Port B Straight-thru cable Straight-thru cable Tap A port Tap B port Full Duplex Tap MDIX MDIX Straight-thru cables MDI MDI DPI

  32. Beispiel: Messen an einer Switch to Switch Verbindung MDIX MDIX MDI MDIX Switch A Switch B Port A Port B Straight-thru cable Crossover cable Tap A port Tap B port Full Duplex Tap MDIX MDIX Straight-thru cables MDI MDI DPI

  33. VoIP Option für PI Full Decode & Quality of Service Messung New VoIP Option mit QoS Messungen Reports über 30 Messungen der Qualität By Conversation (zeigt alle calls) By Channel (zeigt alle channels innerhalb eines calls) Full H.323 Decode Suite plus; MGCP, RTP, RTCP, SIP, Gateway, ASN.1 Cisco SSP protocol Full decode von H.323 und andere VoIP Protokollen Full set of metric mit Schwelleneinstellung um Performance Probleme bei VoIP zu finden RTCP interarrival jitter packet count und packet dropped

More Related