protokollanalyse was leisten moderne tools und wie setzt man sie effizient ein
Post on 16-Jan-2016
24 Views
Preview:
DESCRIPTION
TRANSCRIPT
Protokollanalyse 1 Karl Brand 05/2000
ProtokollanalyseProtokollanalyse
Was leisten moderne Tools und Was leisten moderne Tools und wie setzt man sie effizient einwie setzt man sie effizient ein
Fluke Deutschland GmbH, 05/2000
Protokollanalyse 2 Karl Brand 05/2000
Die Rolle des Protocol Analysators Die Rolle des Protocol Analysators im Rahmen der SwitchVision Suiteim Rahmen der SwitchVision Suite
Network Inspector läuft die gesamte Zeit Monitoring Dokumentation Erkennen von Netz-Problemen
LANMeter Dokumentation (Reports) Schnelles Finden fast aller Fehler
Protocol Inspector Schwierige Fehler (Sicherheit, Netz-Applikationssoftware) Voice Over IP (VoIP) Gigabit Ethernet Security Server Traffic Analyse
Protokollanalyse 3 Karl Brand 05/2000
Wir erinnern uns:Wir erinnern uns:
Protokollanalyse ist der Blick
durchs Mikroskop!
Protokollanalyse 4 Karl Brand 05/2000
Protocol InspectorProtocol Inspector
Application Decode
Application Monitoring
Device monitoring
Network Analysis
Service monitoring
Device testing
Connectivity testing
Cable certification
Network Inspector
OneTouch
DSP
694/5 SwitchInspector
TrafficFlow Manager
Distributed Protocol InspectorPI
Internetwork Throughput
PC/Hos
t
Cable
Hub
Switch
Enterp
rise
Skil
l Lev
el
Protokollanalyse 5 Karl Brand 05/2000
Protocol AnalysatorProtocol Analysator
Erfasst, dekodiert und filtert Pakete auf allen 7-Layern
Fehlersuche, Alarme
Device Monitoring
Protocol Monitoring
Application MonitoringExpertenwissen
erforderlich !
Protokollanalyse 6 Karl Brand 05/2000
Protocol AnalysatorProtocol Analysator
Ursprünglich das Tool des Software/Hardware- Entwicklers Blick auf die richtige Protocol-Interaktion in Applikationen Einblick in jedes Bit in jedem Paket
Ist ein Troubleshooting Tool geworden Segment-Auslastung im Normalbetrieb und bei Spitzenlast Fehler und Kollisionen im Normalbetrieb und während
Spitzenzeiten Top N User Antwortszeiten
Funktioniert prima im Shared-Media-Bereich(jetzt auch im Switchbereich und VLAN-Bereich einsetzbar)
Protokollanalyse 7 Karl Brand 05/2000
Protocol Analysator - ProsProtocol Analysator - Pros
Wichtig für Fehlersuche, Protokollinteroperability und Responsezeiten Frame Header
Zeigt die unterschiedlichen Protokolltypen auf dem Netz Zeigt PDU und highest Layer Protocolle
Frame Inhalt Zeigt die Paketinhalte auf Bit- und Byteebene + ASCII-Text
Zeitliche Zusammenhänge Misst Responsezeiten von Applikationen und Protokollen
Absolute Zeit: in 1/10.000 s; wird benutzt, um die Zeit zwischen 2 Ereignissen auf einer Verbindung zu messen
Zeitdifferenz: Verstrichene Zeit zwischen gesendeten und empfangenen Frames; Häufig benutzt, um die Response- zeit zwischen Client und Server zu messen
Relative Zeit: Kummulative Messung jedes Frames in der Aufzeichnung; hauptsächlich für Durchsatz und Performance
Protokollanalyse 8 Karl Brand 05/2000
Protocol Analysator - KontrasProtocol Analysator - Kontras
Sie müssen den Node oder das Pattern des Problems kennen
Anderenfalls müssen Sie bei Switches über die SPAN Funktion Port-Mirroring betreiben
Kann nicht ohne Remote-Option über Switch-Segment Genzen schauen
Bei Netzen mit Switches sind mehrere Analysatoren erforderlich
Portabiliät ist fraglich Laptop boot time
Capture-Files können groß sein 1MB/Minute sind nicht unüblich
Protokollanalyse 9 Karl Brand 05/2000
Protokollanalysator als Ergänzung zum Protokollanalysator als Ergänzung zum Network Inspector und LANMeterNetwork Inspector und LANMeter
Überblicken der gesamte Broadcast Domain mit dem Network Inspector
Finden der problematischen Nodes mit dem LANMeter, herunter bis zur Collision-Domain
zusätzlich Ausschluß der Hardware als Ursache der Probleme
Setzen von Filtern und Aufzeichnen von Paken an diesen Nodes mit dem Protocol Inspector
Lösen von Antwortszeit- und Protokollinteroperability Problemen mit dem Protocol Inspector
Vollständige Dekodierung des Verkehrsflusses mit dem Protocol Inspector
Protokollanalyse 10 Karl Brand 05/2000
Die Fluke Protocol Inspector FamilieDie Fluke Protocol Inspector Familie
3 Modelle (Capture, Decode, und Filter mit NDIS-NIC):
PI-100 Protocol Inspector Standard (Teil der SwitchVision Suite) PIP-100 Protocol Inspector Pro (zusätzlich Experten-Modus, Remote-Control, Distributed
PI, Traffic Generator, optional Voice over IP (VoIP)) PIP-ENH (Erweiterung des PI-100 auf PIP-100)
DPI für 10/100 Ethernet mit externen passiven Taps (HD / FD) Gigabit Ethernet Produkt Linie designed für Switched Networks
Taps
Protokollanalyse 11 Karl Brand 05/2000
MonitoringMonitoring
Summary View (mehrere Quellen, jeweils ein Darstellungsfenster) Summary View (Hauptfenster) primär für Monitoringaufgaben
Auswahl der Datenquelle im/ Resourcen-Browser Setzen von Alarmen im Alarm Browser Darstellung von Systemmeldungen im Message Window
Protokollanalyse 12 Karl Brand 05/2000
Capture ViewCapture View
802.1Q VLAN tagging supported
IPSec Protokolle H.323 und
andere Decodierung mit VoIP
Protokollanalyse 13 Karl Brand 05/2000
DecodingDecoding
Detail View
Protokollanalyse 14 Karl Brand 05/2000
Einfach einstellbare FilterungEinfach einstellbare Filterung
Protokollanalyse 15 Karl Brand 05/2000
Protocol Inspector Expert Protocol Inspector Expert AnalyseAnalyse
Press the button to open Expert Analysis
Protokollanalyse 17 Karl Brand 05/2000
Distributed Protocol Inspector und Distributed Protocol Inspector und zusätzliche Komponentenzusätzliche Komponenten
Remote protocol link verbindet alle DPI, FETA, 12 Taps and PI Agenten im Netzwerk
Eine PI-Console steuert / analysiert mehrere Agenten
Peer-to-peer Architektur
10/100 Mbps-Ethernet
Full / Half-Duplex
Gigabit-Ethernet
Jedes Paket (auch fehlerhafte Pakete) werden erfaßt
Protokollanalyse 18 Karl Brand 05/2000
Distributed PIDistributed PI
Unterstützt Half oder Full-Duplex 10/100 Mbps Ethernet
Auto-sensing 10/100 Mbps Ethernet RJ-45 Management-Port
Echtzeit Packet-Decoding und -Analyse durch ASIC-Technologie (jedes Paket wird erfaßt)
Full-line rate capture Full-line-rate transmit Hardware basierendes pre-filtering and packet slicing
Pufferspeicher 32 MB
Protokollanalyse 19 Karl Brand 05/2000
Analysator und Monitoring für 10/100 oder Gigabit Ethernet
• Große capture and transmit Buffer • Pre-capture Filter und Slicing durch Hardware• Full-line rate capture und transmit - auch bei
eingeschalteter Filterung1 oder 2 Analysator Ports 10/100/1000 Mb Ethernet
• 1 Interface für Half-duplex• 2 Interfaces für 2 Half-duplex
Segmente oder 1 Full-duplex Link
• Multimode, Singlemode und neu hi-power single mode auf einer Plattform
Distributed Protocol Inspector undDistributed Protocol Inspector undGigabit Protocol Inspector Gigabit Protocol Inspector
Protokollanalyse 20 Karl Brand 05/2000
High Performance GigabitHigh Performance Gigabit
Distributed und integrierte Architektur Erweiterung der bestehenden 10/100 Architektur
Gleiche Analyse- Software wie bei 10/100 Mbps Für alle Komponenten der gesamten Plattform
Fehler tolerante, non-intrusive Analyse mit passivem Tap
Einsatz an unterschiedlichen Standorten, Erweiterung durch zusätzliche Analysatoren; keine Störung des Links
Silicon accelerated full-bandwidth Hardware Volle Geschwindigkeit im Nutzkanal während der Datenaufzeichnung /
Analyse
Protokollanalyse 21 Karl Brand 05/2000
TapsTaps
Single und 12-Doppel Port Taps verfügbar
Rack Mountable Device (nur 12-Port)
Erlaubt es, Verkehr auf bis zu 12 Full-Duplex oder Half-Duplex 10/100 Mbps Ethernet Segmenten zu erfassen
Passive Devices
Erfordert den Protocol Inspectorzur Steuerung (nutzt das RSP Protocol)
Protokollanalyse 22 Karl Brand 05/2000
Arbeitsweise eines TapsArbeitsweise eines Taps
Der Tap spaltet die RX und TX-Signale auf
Rein passives Mithören
Full Duplex Links sind analysierbar
DPI empfängt Daten von beiden Seiten
DPI
Host A Switch B
Tap Bport
Tap Aport
Port A Port B
Full Duplex Tap
Straight-thru cable Straight-thru cable
Läßt auch Fehler passieren (fehlertolerant)
Betriebsspannungs-ausfall hat keine Auswirkung auf den “Nutzkanal”
DPI kann keine Signale in den Nutzkanal senden (störungsfreies Messen)
Power
ONE WAYDATA FLOW
Protokollanalyse 23 Karl Brand 05/2000
TapsTaps
Folgende Probleme, die mit einem Port-Mirroring verbunden sind, treten bei einer Tap-Lösung nicht auf: Switch Performance Reduzierung
Mindestens 1 Port steht für Analyse/ Monitoring nicht fur LAN Verkehr zur Verfügung
Fehlerhafte Pakete des physikalischen Layers, wie “Runts” und “überlange Pakete” werden nicht aufgezeichnet
Verlieren der Full-Duplex Fähigkeit
Protokollanalyse 24 Karl Brand 05/2000
TapsTaps
Darstellen des Verkehrs an HD und FD 10/100 Mbps Ethernet Segmenten von einem PI oder DPI
Typische Verwendung an Links an denen Monitoring und Verkehrsanalyse wichtig sind
Rein passiver Abgriff es Verkehrs Unterbrechnung der Stromversorung zum Tap, führt nicht zum
Verlust der Netzverbindung (kein Verlust von Daten) Non-invasive Analyse und Monitoring Fault tolerant Erlaubt switches and hosts to negotiate linking Keine Beeinflussung von Switches oder Links Capture beide Seiten der Verbindung
Protokollanalyse 25 Karl Brand 05/2000
Welche Meßmittel braucht Welche Meßmittel braucht man bei Switched Networks ?man bei Switched Networks ?
Full duplex DPI Pods Syncronisiertes Dual Port Interface
Fehler-Tolerante Link Taps Kein einschränkendes Monitoring / Analyse
Mirror (span) Ports leisten dies nicht! Blenden Fehler aus, bevor die fehlerhaften Daten vom Analysator gesehen werden Keine 100%-ige Fehlersuche möglich
Protokollanalyse 26 Karl Brand 05/2000
Fiber Optic TapFiber Optic Tap
Fiber Tap, 1 Port
Single oder Multimode Modelle verfügbar
Für 10BaseF, 100BaseFX, 1000BaseSX/LX
< 4db Dämpfung Fehler-tolerante und passive
optische Splitter Technologie Unterbrechung des Links für
Analyse und Fehlersuche nicht erforderlich
Optional rackmount frame,3 oder 12 Slots
Fiber Tap
DPI
Protokollanalyse 27 Karl Brand 05/2000
Protocol InspectorProtocol InspectorSystem RequirementsSystem Requirements
Processor: 166 MHz Pentium
Memory: 64Mbyte
192Mbyte (VoIP oder Gigabit DPI)
Disk Space: 20-25 MB
Display: 800 X 600
OS: Win95/98/2K & WinNT 4.X
Protokollanalyse 29 Karl Brand 05/2000
Distributed System Distributed System BeispielBeispiel
Distributed ProtocolInspector
DistributedProtocolInspector
Gigabit Distributed Protocol Inspector
Distributed Protocol Inspector
Tap-1Tap-1
Tap-1 Tap-12
100 Mbps Server switch
100Mbpsmultimode fiber Gigabit
backbone switchGigabit
backbone switch
Gigabit singlemode backbone
serverfarm
10/100 Mbps local hub
100 Mbps switch
Protocol Inspector
Protocol Inspector
Fast E’net Traffic Analyzer
Protokollanalyse 31 Karl Brand 05/2000
TAP-1
DPI-112
Server
Server/Gateway Latency TestingServer/Gateway Latency Testing
Zur Analyse “denial of service”
Server Latency wenn neue Applikationen eingeführt werden
VoIP Testing
Protokollanalyse 32 Karl Brand 05/2000
Latency oder Firewall TestingLatency oder Firewall Testing
Firewall Filterfunktion
Latency Zeiten von Switches, Router oder Firewalls
TAP-1
DPI-112
TAP-1
C ISCOSYSTEMS
Switch
Protokollanalyse 33 Karl Brand 05/2000
PI PI VLANVLAN ISL/802.1q Decodierung ISL/802.1q Decodierung
Protokollanalyse 34 Karl Brand 05/2000
Beispiel: Messen an einer Beispiel: Messen an einer Server to Switch VerbindungServer to Switch Verbindung
DPI
Server A Switch B
Tap Bport
Tap Aport
Port A Port B
Full Duplex Tap
Straight-thru cable Straight-thru cable
MDIXMDIX
MDIMDI
Straight-thru cables
MDI
MDIX
MDI
MDIX
Protokollanalyse 35 Karl Brand 05/2000
Beispiel: Messen an einer Beispiel: Messen an einer Switch to Switch VerbindungSwitch to Switch Verbindung
DPI
Switch A Switch B
Tap Bport
Tap Aport
Port A Port B
Full Duplex Tap
Crossover cable Straight-thru cable
MDIXMDIX
MDIMDIX
Straight-thru cables
MDI
MDIX
MDI
MDIX
Protokollanalyse 36 Karl Brand 05/2000
VoIP Option für PI VoIP Option für PI
Full Decode & Quality of Service Messung
New VoIP Option mit QoS MessungenReports über 30 Messungen der Qualität
By Conversation (zeigt alle calls)By Channel (zeigt alle channels innerhalb eines calls)
Full H.323 Decode Suite plus;MGCP, RTP, RTCP, SIP, Gateway, ASN.1Cisco SSP protocol
Full decode von H.323 und andere VoIP Protokollen
Full set of metric mit Schwelleneinstellung um Performance Probleme bei VoIP zu finden
RTCP interarrival jitterpacket count und packet dropped
top related