Jump to content
Sign in to follow this  
DeathAndPain

WAN-Leitung auf konstanten Durchsatz testen

Recommended Posts

Hallo allerseits,

 

bei unseren Netzwerkfernleitungen in unsere Umlandsniederlassungen habe ich das Gefühl, daß die Leitungen zeitweise keinen vernünftigen Durchsatz haben. Jetzt suche ich nach einem Weg, dieses Gefühl in Fakten zu gießen.

 

Derzeit läuft ein Programm, das einmal pro Minute einen Ping in jede Niederlassung schickt. Diese Pings kommen auch alle durch; wir haben also kein Problem auf dem Niveau eines totalen Netzwerkausfalls. Jedoch besteht ein Ping ja nur aus einem kleinen Datenpaket. Die Anwender in einer Niederlassung klagen, daß sie sporadisch immer mal wieder aus dem SAP rausfliegen würden. Hier werden teilweise größere Datenmengen übertragen. Anscheinend klappt das nicht immer zuverlässig genug, obwohl der Ping noch durchgeht.

 

Kennt jemand geeignete Programme, mit denen man solch Fehler eingrenzen kann? Ich denke da an etwas, das Dauerlast in wählbarer Größenordnung auf der Leitung erzeugt und laufend protokolliert, ob und mit welcher Verzögerung die Daten übertragen werden. Das Programm muß dafür geeignet sein, über längere Zeit zu laufen, da der Fehler ja nicht auf Kommando auftritt. Daher halte ich ein Tool wie Wireshark für wenig geeignet, da ich damit über einen längeren Zeitraum eine Protokollflut erzeugen würde, in der die echten Fehlerdaten untergehen.

 

Netio scheint mir für solch Dauermessung ungeeignet. IPERF habe ich mir angeschaut, aber das Tool scheint die Leitung komplett zuzumachen (d.h. soviel durchzuschieben, wie es nur durchkriegt). Sowas ist für den laufenden Betrieb schlecht geeignet. Ich bräuchte eine Einstellmöglichkeit, wieviel Byte pro Sekunde denn übertragen werden sollen. Auf diese Weise könnte man flexibel eine Teillast einstellen, die z.B. einen SAP-Client repräsentiert ohne gleich die ganze Leitung zuzuschaufeln und damit den Produktivbetrieb zu behindern. Dann könnte man schauen, ob es zeitweise zu Übertragungsengpässen kommt.

Share this post


Link to post

Naja, mit Wireshark kannst Du den Traffic mitschneiden, der tatsächlich auf der Leitung ist. Damit könnte man auch Kommunikationspartner aufdecken und schauen, wer wann wieviel durch die Leitung bläst.

 

Was fehlt wäre eine zumutbare "Auswertbarkeit". Aber da gibt es auch was schönes (kostenpflichtigt, Auswertung kann aber auch beauftragt werden):

Synapse:Networks GmbH - LAN-/WAN-Analyse, Netzwerkanalyse, Trace:Magic, Trace:Commander, Troubleshooting, Windows-Analyse, Netzwerk-Analyse: Trace:Magic

P&W Netzwerk GmbH & Co KG - TRACE:MAGIC

 

Je nach Netzwerkumgebung kann man sich das aber auch sparen: Eine "richtige" Firewall (Astaro/Netscreen) hat natürlich ein aussagekräftiges Log.

 

grüße

 

dippas

Share this post


Link to post

Danke für die Info. Wir haben allerdings eine Firewall, gegen die Astaro ein kleiner Krauter ist, nämlich Checkpoint Firewall NG. Aber auch da wird nur paketweise geloggt. Damit bekomme ich eine ähnliche Protokollgrütze wie bei Wireshark.

 

Das mit der Firewall ist sowieso nur theoretischer Natur, weil die Daten auf diesen Fernleitungen nicht durch die Firewall laufen, sondern durch das MPLS-Netz (das ist so was ähnliches wie ein VPN-Tunnel, nur sternförmig). Beide Endpunkte sind damit voll vertrauenswürdig, und die Verbindung dazwischen ist gesichert. Also brauchen wir auf der Verbindung keine Firewall.

 

Was Trace:Magic angeht, so habe ich gemischte Gefühle.

  • Die Screenshots aus der Programmbeschreibungen lesen sich in etwa so übersichtlich wie Wireshark-Protokolle - jeder einzelne ARP-Request ist aufgeführt. Die beworbenen Extrakt-Funktionen, die aus längeren Meßzeiträumen konkrete Fehleraussagen ableiten und den unwichtigen Kram ausblenden, sind nicht erkennbar. Dabei soll angeblich sogar ungeschultes Personal in der Lage sein, mit Trace:Magic Netzwerkfehler zu analysieren (halte ich so oder so für ein Gerücht, aber na ja).
     
  • Die gebotenen Programminformationen beschränken sich mehr oder weniger auf Werbetexte. Man findet weder eine Demoversion noch ein Handbuch zum Download. Ich sehe auch nicht so recht ein, weshalb ich einem Softwarehersteller deswegen hinterherlaufen soll. Zumindest das Handbuch hätten sie ja mal online stellen können. Dann bekommt man schon mal eine Vorstellung, was das Programm kann und wie es sich bedient.
     
  • Über den Preis wird auch kein Wort verloren.

Share this post


Link to post

hallo DeathAndPain,

 

ob eine Checkpoint der Weisheit letzter Schluss ist und ob eine Astaro oder eine Netscreen dagegen kleine Krauter sind, lasse ich mal unkommentiert. Schließlich wollen wir ja keine Philosophie-Diskussion starten, oder?

 

MPLS kenne ich bereits seit Jahren. Das die Endpunkte "vertrauenswürdig" sind, ist aber nur die halbe Wahrheit. Natürlich ist der Endpunkt als solcher vertrauenswürdig, aber das Netz dahinter? Wir beschränken durchaus den Netzverkehr zu "vertrauenswürdigen" Netzen (egal ob klassisches IPSec-VPN oder MPLS). Schließlich will ich ja auch vermeiden, das irgendwo ein hinterrücks angeklemmter Rechner (z.B. Laptop eines Gastes) wie wild durch das Netz seinen Mist loswerden möchte. Aber auch das ist eine Philosophie-Frage.

 

Vorteil bei der Firewall: Du kannst den Traffic von einem zum anderen Netz "sehen". Als Anhaltspunkt schon mal nicht schlecht.

 

Zu Trace:Magic: Über den zweiten Link kannst Du dir nach Registrierung eine Demo runterladen (Trace-Commander mit Mini:Magic). Diese ist kostenlos. Es gibt dann noch (kostenpflichtige) Varianten, welche die Logfiles - je nach Variante - bis auf´s letzte Bit auswerten können. Preise sind zu erfragen.

 

Du kannst aber auch mit der Demo ganz komfortabel Logs erzeugen und diese als Dienstleistung auswerten lassen. Dabei kannst Du natürlich auch wählen, ob Du wirklich jeden ARP-Request mitschneiden möchtest ;)

 

Ansonsten ist natürlich auch Google eine immer wieder gern genommene Quelle auf der Suche nach (kostenfreien) Ansätzen:

 

Ethereal - Wireshark Tutorial Teil 1 :: network lab

Netzwerkanalyse :: Auswerten und Filtern :: network lab

 

grüße

 

dippas

Share this post


Link to post
ob eine Checkpoint der Weisheit letzter Schluss ist und ob eine Astaro oder eine Netscreen dagegen kleine Krauter sind, lasse ich mal unkommentiert. Schließlich wollen wir ja keine Philosophie-Diskussion starten, oder?

Ist richtig, aber bei der Einführung lag die Astaro seinerzeit bei ca. € 6000, wohingegen die Checkpoint bei € 20.000+ angesiedelt war, dafür aber auch mehr bot - oder waren das noch DM? Egal. Ist jedenfalls schon eine andere Größenordnung.

 

MPLS kenne ich bereits seit Jahren. Das die Endpunkte "vertrauenswürdig" sind, ist aber nur die halbe Wahrheit. Natürlich ist der Endpunkt als solcher vertrauenswürdig, aber das Netz dahinter? Wir beschränken durchaus den Netzverkehr zu "vertrauenswürdigen" Netzen (egal ob klassisches IPSec-VPN oder MPLS). Schließlich will ich ja auch vermeiden, das irgendwo ein hinterrücks angeklemmter Rechner (z.B. Laptop eines Gastes) wie wild durch das Netz seinen Mist loswerden möchte.

Ich bin mir nicht sicher, wie Du das meinst. Wir haben ein großes "internes Netz", das mehrere Gebäude umfaßt, aber dennoch als ein Netz mit einheitlichem Sicherheitslevel anzusehen ist. Wenn jemand in einem der Gebäude einfach ein fremdes Notebook einstöpseln würde, dann wäre das so oder so ein Regelverstoß. Es wäre willkürlich und nicht nachvollziehbar zu sagen, wenn ein Gebäude verseucht wird, dann ist das in Ordnung, aber alle, das darf nicht sein. Der Ansatz muß weiter vorne liegen: In unser internes Netz darf nichts Fremdes rein. Auf Sabotage legen wir unser Netz nicht aus.

 

Genauso könntest Du innerhalb Deines Hauses willkürlich Dein Netz segmentieren und Dreiergrüppchen von Räumen definieren, zwischen denen Du jeweils eine fette, teure Firewall aufstellst. So könntest Du versuchen, Outbreaks auf Parzellen von drei Räumen zu beschränken. Aber mal ehrlich - macht sowas außerhalb von militärischen Einrichtungen Sinn?

 

Wir haben jedenfalls ein großes internes Netz. Und solange nicht etwas Fremdes aus dem MPLS-Netz heraus einstreut (und da vertrauen wir mal dem Provider), haben wir da kein Problem. Historisch hatten wir da auch nie eine Schwierigkeit mit.

 

Aber vielen Dank für Deine Tipps.

Share this post


Link to post

Naja, hoher Preis bedeutet ja nicht zwangsläufig auch eine hohe Qualität. Bei der Checkpoint bin ich mir fast sicher, dass das ein DM-Preis war - sofern die Leistung/Features mit einer ASG 220 vergleichbar sind. Aber tröste dich, ne Astaro kann man auch für 10000 € bekommen ;)

 

Du hast natürlich recht, wenn Du sagst, dass das interne Netz - egal ob rein hausintern segmentiert oder über WAN - insgesamt sauber sein und bleiben muss. Einen Outbreak auf einzelne Bereiche zu beschränken macht aber meines Erachtens auch ausserhalb militärischer Einrichtungen Sinn. Allerdings würde ich auch die Kirche im Dorf lassen und sicherlich nicht jeden einzelnen Raum/Parzelle mit einer Firewall absichern. Vielfach reicht es, die WAN-Anbindungen untereinander abzukoppeln.

 

Was anderes wäre es, wenn das Unternehmen im Gebäude z.B. eine Abteilung mit brisanten Daten hat (Forschung & Entwicklung beispielsweise). Hier kann es Sinn machen, auch diese Abteilung innerhalb eines Gebäudes gegen den Rest abzuschotten. Klar ist aber auch, dass das jeweils gesondert betrachtet werden muss.

 

Hast Du mal die Links gesichtet? Insbesondere was Wireshark bereits von Haus aus an Auswertbarkeit liefert ist schon in vielen Fällen ausreichend.

 

grüße

 

dippas

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...