Sie sind auf Seite 1von 4

®

Whitepaper Datenpaketen auf den Puls fühlen

Intelligent-TAPs erlauben umfassenden Netzwerkeinblick


Schnelle Netze sind gut für Anwender und Applikationen, doch Monitoring und Fehlersuche sind bei der schieren
Datenmenge in Multi- Gigabit Links schwierig - schon die Erfassung stellt Administratoren vor eine Herausforder-
ung. Intelligente TAP-Systeme können die Lösung sein.

Im Netzwerk gilt wie beim Sport die Grundregel: schneller, höher, weiter. Die Bandbreitenanforderungen steigen
mit jeder neuen Programmgeneration, die Netzwerkmedien passen sich in Sprüngen der Nachfrage an. Im
Backbone gilt mittlerweile 10 Gigabit-Ethernet als Standardtechnologie für Neuinstallationen, Pilotinstallationen
nutzen 40 und 100 Gigabit. So erfreulich der technische Fortschritt auch ist, für viele Administratoren stellen die
hohen Bandbreiten eine große Herausforderung dar. Die riesige Menge an Daten erschwert das Monitoring von
Applikationen, von der Fehlersuche ganz zu schweigen. Schon der Zugriff auf die Pakete gestaltet sich schwi-
erig. In großen Netzwerken gibt es traditionell zwei Möglichkeiten, Datenpakete im laufenden Betrieb abzugrei-
fen. Zum einen können praktisch alle Mid- und High- End Switches den Datenverkehr einzelner Ports auf einen
so genannten Mirror- oder Span-Port kopieren. Ein dort angeschlossener Analyzer sieht alle Pakete des
Quellports. Die zweite Möglichkeit stellt ein Test Access-Port (TAP). TAPs werden in die Netzwerkleitung einge-
schleift und stellen die durchfließenden Pakete an einem dedizierten High-Speed Port zur Verfügung.

Fehlersuche mit Einschränkungen


Span-Ports haben zahlreiche Einschränkungen, die den Einsatz zur Fehlersuche fast unmöglich machen.
Fehlerhafte Pakete auf OSI- Ebene 1 und 2 werden vom Mirror- Port ignoriert, die eingebauten Netzwerkchips
sortieren Fragmente und Fehler auf einer sehr niedrigen Ebene als nicht relevant aus. Leider sind defekte
Netzwerkkarten oder Fehler in der Verkabelung oft nur durch die Auswertung von Layer 1 und 2 Paketen zu
finden. Dazu kommt die Frage der Bandbreite: will der Administrator einen voll ausgelasteten 100 Mbit Full-
Duplex Port auf einen Span-Port spiegeln, muss dieser 200 Mbit Kapazität haben. In einer solchen Situation
könnte man möglicherweise noch auf einen Gigabit-Port ausweichen, zumindest wenn ein freier Port zur Verfü-
gung steht und zur Fehlersuche genutzt werden darf. Bei einem voll ausgelasteten Full- Duplex Gigabit- Port ist
dieser Weg aber ebenfalls verwehrt. Dazu können Verzögerungen durch den Kopiervorgang entstehen, je nach
Leistungsfähigkeit der eingesetzten Switch-Hardware. Auch das gern eingesetzte Ausdehnen von VLANs über
mehrere Ports eines Switches kann bei der Fehlersuche Probleme bereiten. Wird das VLAN auf den Span-Port
kopiert, lassen sich einzelne Pakete kaum noch einem Port zuordnen. Dass für alle diese Einsatzzwecke ein gut
geschulter Netzwerkadministrator notwendig ist, der den Switch und seine Konfiguration beherrschen muss,
erschwert zusätzlich die Logistik für Fehlersucheinsätze.

Während Span- Ports in den Switches sozusagen eine freie Dreingabe sind, verursacht ein TAP Kosten durch
die Anschaffung. Dafür umgeht er die angesprochenen Schwierigkeiten durchweg sehr elegant. Der TAP ist
zunächst ein völlig passives Element im Netzwerk, das bis hinunter zum OSI-Layer 1 nicht oder nur mit speziel-
len Tools wie einem Time- Domain- Reflektometer "gesehen" werden kann.
®

Datenpaketen auf den Puls fühlen


Whitepaper

Trotzdem leitet er alle Pakete der Netzwerkverbindung transparent, also ohne jede Veränderung, an den
Monitoring-Port weiter. Zum Teil aggregieren TAPS auch Daten auf einen Port, so können die meisten Geräte
den Sende- und Empfangsanteil auf einem Monitoring- Port zusammenfassen. Um die Daten an diesem dedi-
zierten Port bereit zu stellen ist zwar eine Stromversorgung nötig, fällt der Strom aus, bleibt die Funktion der
überwachten Netzwerkverbindung aber unbeeinträchtigt. Meist sorgen redundante Spannungsversorgungen für
Ausfallsicherheit beim Betrieb. Fast immer sind auch Pufferspeicher eingebaut, die kurzfristig anfallende Daten
zwischenlagern, bis die Monitoring- Anwendung sie abholen kann.

Sicheres Plätzchen gesucht


TAPs können zwischen zwei beliebigen Netz-
werkgeräten wie Router, Firewalls und Switches
eingeschleift werden. Die Analyse- oder Monitoring-
Anwendung wird dann an den oder die dedizierten
Ports angeschlossen, dazu gehören Protokollana-
lyzer, RMON Probes oder Intrusion Detection und
Prevention Systeme (IDS/IPS). Das An- und
Abstecken der Analysesysteme kann je nach Bedarf
erfolgen, ohne jeden Einfluss auf die überwachte
Netzwerkverbindung. Es gibt Regeneration- TAPs,
die die Daten einer Netzwerkverbindung auf etliche
Ports für mehrere Überwachungssysteme replizieren
und Aggregation-TAPs, die die Daten von verschie-
denen überwachten Links auf einem Überwachun-
gsport abbilden. Je nach Hersteller und Art des TAPs
sind auch Media- Konversionen möglich, zum
Beispiel von herkömmlichen RJ-45 10/100/1000
Ethernet auf 10-Gigabit XFP Monitoring Ports.
Auch die Mischung von kupfer- und optischen Medien in einem TAP ist möglich.

Wer TAPs zur ad- hoc Fehlersuche nutzt, wird die Geräte nach Abschluss der Aufgabe aus dem Datenpfad
entfernen. Bei der Verwendung als Datenweiche für das Monitoring sieht die Situation anders aus, hier bleiben
die Geräte an ihrem Einsatzort. In größeren Netzwerken haben Administratoren entweder die Möglichkeit viele
einzelne TAPs an den jeweiligen Brennpunkten des Netzwerks zu nutzen oder mit einem neuen Konzept zu
arbeiten. Intelligent TAPs sind in der Lage zahlreiche Netzwerkverbindungen zu überwachen und frei konfigurier-
bar zu aggregieren, zu regenerieren und auf beliebige Ports zu kopieren. TAPs wie der Director™ von Net Optics
verbinden Dutzende oder Hunderte von Netzwerkverbindungen über eine Konfigurationssoftware mit einem Pool
von Monitoring- oder Sicherheits-Tools.

Netzwerk- TAPs verfügen über sehr leistungsstarke CPUs und Signalprozessoren. Bei Net Optics heißt die
Technik TapFlow, die neben der reinen Kopie von Netzwerkverbindungen auf andere Ports auch Filterfunktionen
übernehmen können. So lassen sich aus einer überwachten Datenverbindung in Abhängigkeit des verwendeten
Protokolls, von IP-Adressen, Ports oder sogar den Nutzdaten innerhalb eines Pakets einzelne Ströme herausfil-
tern und gezielt an Analysegeräte weiterleiten. Damit ist eine Vorauswahl der Diagnosedaten möglich, die die
Analysetools entlasten und die spätere Auswertung verkürzen. Zum Beispiel könnte man Datenbank-
Netzwerkverkehr zu einem speziellen Analyzer oder Rekorder schicken, um mit den SOX- Anforderungen
konform zu gehen. PCI- relevanter Traffic ließe sich zu einem anderen Analyzer dirigieren und das IDS-System
bekommt eine Kopie aller Datenpakete. Auch möglich: Signalisierung und Nutzdaten werden voneinander
getrennt. So kann der Gesprächsauf- und Abbau sowie der Handshake- Prozess von VoIP- Traffic auf einen
Monitoring-Port zur Beobachtung gelegt werden, die Sprachdaten werden entweder aus Datenschutzgründen
transparent durchgeleitet oder, wenn es sich um rechtliche relevante Gespräche handelt, auf einen anderen Port
zur Speicherung kopiert.
®

Datenpaketen auf den Puls fühlen


Whitepaper
Durch die hohen Durchsätze der Backplane ist die gleichzeitige Überwachung mehrerer Netzwerkverbindungen
und die zeitgleiche Auswertung über ein Analysegerät machbar. So werden bestehende Analysetools optimal
ausgelastet, Neuinvestitionen vermieden oder verzögert.

Modular für mehr Flexibilität


Enterprise-Tools wie die innovativen TAPs, müssen mit den aktuellen und den zukünftigen technischen Stan-
dards im Netzwerk klar kommen. Dazu sollten die Chassis der Geräte unterschiedliche Medienmodule
aufnehmen und beliebig kombinieren können. Alle zurzeit auf dem Markt angebotenen Systeme unterstützen
10-Gigabit Ethernet, zum Teil sind bis zu 24 Ports pro Chassis möglich. Net Optics' Director™ erlaubt bis zu vier
10-Gigabit XFP- Ports und 34 Gigabit- Anschlüsse. Alle ausgehende Gigabit- Ports sind mit SFP- Modulen
bestückbar, so dass je nach Aufgabe flexibel entschieden werden kann, ob ein Kupfer- oder ein Glasfaserme-
dium eingesetzt wird. Dazu kommt eine Mischung aus In-Line und Span-Ports. Beim In-Line Einsatz ist der TAP
in die zu überwachende Leitung eingeschleift, auf Span-Ports kopiert der TAP die überwachten Netzwerkdaten.
Geräte für den Enterprise- Einsatz sollten in der Lage sein, eine schnelle Verbindung, sei es 10- oder 1- Gigabit,
auf langsamere Medien herunterzubrechen. Dabei hat es große Vorteile, wenn die Datenmenge per Load-
Balancing auf mehrere, langsamere Verbindungen verteilt werden kann. Besonders bei 10-Gigabit ein enorm
wichtiges Feature denn die wenigsten Links sind auch nur annähernd ausgelastet, allerdings gibt es im Moment
noch wenige Analyse-Tools mit 10- Gigabit Interface und die angebotenen Systeme sind signifikant teurer als ihre
1- Gigabit Kollegen.

Aktuelle Geräte sind meist in der Lage, selbst einfache Monitoring- Aufgaben zu übernehmen. Netzwerkstatis-
tiken wie absolute Auslastung, Auslastung nach Protokollen oder IP-Adresse werden per SNMP übermittelt und
ausgewertet. Bei Net Optics sind sogar einfache RMON- Statistiken im Funktionsumfang des Director™
enthalten. Mit den Angaben lassen sich erste Aussagen über den grundsätzlichen Status im Netzwerk treffen,
ohne ein komplexes Tool einzusetzen. Trotzdem sind Filtering- TAPs in der Anwendung nicht komplexer als ein
einfaches TAP- Device. Sie werden in das Netzwerk eingeschleift, mit dem Stromanschluss verbunden und über
eine Managementsoftware konfiguriert.

Nur einen Mausklick entfernt


Gerade in umfangreichen Netzwerken mit vielen überwachten Verbindungen kann eine grafische Benutzerober-
fläche die Übersicht erleichtern. Potenzielle Käufer sollten daher diese intelligenten TAP- Systeme in Aktion
testen und die Erstellung neuer Analyse Verbindungen oder Aggregationen selbst ausprobieren. Dabei sind zwei
Varianten möglich: eine separate Software, die auf einem Arbeitsplatz installiert wird und mit einer Visio-
ähnlichen Oberfläche einfaches Drag- and- Drop von Verbindungen, Ports und Funktionen erlaubt sowie ein
integrierter Webserver im TAP, mit dem über einen Browser ortsunabhängig konfiguriert wird. Mit dem Browser
sind zwar weniger Operationen möglich, dafür gestattet er den Zugang zu Statusinformationen und einfachen
Konfig-Aufgaben von jedem Computer im Netzwerk.
®

Datenpaketen auf den Puls fühlen


Whitepaper
Kunden sollten auf einen möglichst hohen Anpassungsgrad der Übersicht achten, damit Endgeräte, Verbindun-
gen und Tools auch mit eigenen sinnvollen Namen gekennzeichnet werden können und nicht nur über ihre MAC-
Adresse oder eine Port-Nummer identifiziert werden. Ebenfalls hilfreich sind umfangreiche Online-Handbücher
mit Beispielen zu den typischen Analyseaufgaben im Netz.

Administratoren bevorzugen für die Konfiguration im Feld eine Kommandozeile, die von den intelligenten TAPs
zur Verfügung gestellt werden. Im Enterprise-Umfeld haben viele Admins Erfahrung mit der Verwaltung von
Cisco- Switches, eine ähnliche Syntax verkürzt die Einarbeitungszeit und macht das Handling einfacher. Weil
Data Switches enorme und vor allem sensible Datenmengen über das Geschehen im Netzwerk liefern, sollten
die Zugänge sorgfältig gesichert sein. Bei der Nutzung des Browsers muss die Kommunikation über SSL laufen,
die Kommandozeile sollte ebenfalls mit einer Benutzeranmeldung gesichert und entweder lokal über den RS-232
Port oder eine SSH- Terminalverbindung laufen.

Enterprise-TAPs beherrschen zahlreiche Filterfunktionen, im Fall des NetOptics Director™ sind es über 1000
Filterelemente pro Chassis. Weil sich in den vergangenen Jahren die Syntax des IDS-Systems SNORT als
Branchenstandard durchgesetzt hat, zahlt es sich in reduziertem Schulungsaufwand und schnellerer Anpassung
des Filtering-TAPs an die eigenen Netzwerkumgebung aus, wenn das Gerät ebenfalls die SNORT- Syntax für die
Definition von Filtern heranzieht.

Kosten/Nutzen Faktor hoch


Auch wenn intelligente Netzwerk- TAPs ihren Preis haben - High- End Systeme kosten mehrere Zehntausend
Euro - sind die möglichen Einsparpotenziale in großen Netzwerken immens. Wie bereits erwähnt kann die
Anschaffung von 10 Gigabit Testtools verzögert werden, aber auch die Kosten für interne Prozesse lassen sich
damit deutlich senken. So gibt es in Unternehmen definierte Vorgehensweisen, wenn ein TAP in das Netzwerk
eingeschleift werden soll. Diese Anfrage/Bestätigungsabläufe blockieren Arbeitszeit und dauern unter Umständen
mehrere Wochen. In der Zeit werden keine Monitoringdaten erfasst, geht es um eine schlecht performende
Applikation, findet so lange auch keine Optimierung statt. Frust bei den Benutzern und verlorene Produktivität
sind die Folge. Ebenfalls positiv: durch einen Data Monitoring Switch sinkt die Zahl einzelner TAP-Geräte drast-
isch, weil für den Großteil der Monitoring- und Fehlersuchaufgaben lediglich eine Konfigurationsänderung an der
Switch Appliance notwendig wird. Dass weniger Geräte auch weniger Stromverbrauch bedeuten, ist nur noch
das positive Tüpfelchen auf dem "i".

For further information on Tap technology: Distributed by:


http://www.netoptics.com
Net Optics, Inc.
5303 Betsy Ross Drive
BRAIN FORCE Software GmbH
Santa Clara, CA 95054
Ohmstr. 12
(408) 737-7777
D - 63225 Langen (near Frankfurt/M.)
info@netoptics.com
Tel: +49 (0)6103 906-767
Email: netoptics@brainforce.com
www.network-taps.eu

Disclaimer: Information contained herein is the sole and exclusive property of Net Optics Inc. The information within this document or item is confidential; it shall not be disclosed to a third
party or used except for the purpose of the recipient providing a service to Net Optics Inc. or for the benefit of Net Optics Inc. Your retention, possession or use of this information constitutes
your acceptance of these terms. Please note that the sender accepts no responsibility for viruses and it is your responsibility to scan attachments (if any).