Grundlagen Messdatennutzung

Transkript

1

2 Messdaten Erfassung Basis einer jeden aussagekräftigen Analyse sind die zur Verfügung stehenden Messdaten und deren optimale Nutzung. Generell werden bei der Erfassung drei Bereiche unterschieden. Außenstellen (Branch Office, Mobile User,..) Internet (Ether-Connect, MPLS, VPN, Satellit,..) Zentrale (Rechenzentrum, Housing, Hosting,..) Die im Netzwerk verwendeten Komponenten können dabei als Datenquellen genutzt werden. Hierbei stehen vier Mechanismen, wie und welche Daten gesammelt werden, zur Verfügung. Netflow Packetdaten SNMP Agenten 2

3 Messdaten Erfassung Die Grafik zeigt einzelne Erfassungsbereiche und welche Mechanismen als Datenquelle, bei den jeweiligen Komponenten, möglich sind. Welche Datenquellen aus den Erfassungsbereichen kombiniert werden ergibt sich aus der jeweiligen Analyseanforderung. 3

4 Messdaten Definition - NetFlow NetFlow wurde ursprünglich von Cisco entwickelt und wird heute von vielen Herstellern unterstützt. Neben NetFlow gibt es noch sflow (HP), jflow (Juniper) und Netstream (Huawei). Alle Flow Formate sind technisch identisch mit NetFlow. Es existieren verschiedene Versionen von NetFlow. Version 9 ist ein offener Standard, wobei Version 5 die in der Praxis am häufigsten verwendete ist. Ein Flow enthält typischerweise folgende Informationen Versions- und Sequenznummer Zeitstempel Byte- und Paketzähler Quell- und Ziel IP-Adresse Quell- und Ziel IP-Port Ingress- und Egress Port-Nummer 4

5 Messdaten Definition - NetFlow TOS Informationen (QOS/Queues) AS Nummer (BGP 4) TCP Flags Protokoll Typ (TCP, UDP, ICMP) Um NetFlow nutzen zu können muss das Endgerät diesen Mechanismus unterstützen. Am Endgerät das NetFlow Daten liefert werden Ziel IP-Adressen definiert die als Empfänger für die gesendeten NetFlow Daten dienen. NetFlow verursacht bei hoher Last auf dem Endgerät auch erhebliche, statistische Datenmengen. 5

6 Messdaten Definition - Paketdaten Paketdaten, aufgezeichnet durch z.b.: WireShark, OmniPeek oder TCP Dump, sind abhängig vom Messpunkt und können daher lediglich über Spiegelports, TAPs oder am Gerät (das die Messdaten liefert) aufgezeichnet werden. Ist es erforderlich, dass mehrere Messpunkte in Reihe (Multihop-Analyse) für die Aufzeichnung genutzt werden, müssen die Messgeräte, um eine hohe Genauigkeit zu gewährleisten, absolut zeitsynchron arbeiten. Datenerfassung Spiegelport Die Konfiguration des Spiegelports (Spanport, Mirrorport) erfolgt vorwiegend auf Switchen oder Routern. Dabei werden sämtliche Daten eines Ports oder Portgruppe (RX/TX) kopiert und über einen frei wählbaren Port des Geräts als Kopie zur Verfügung gestellt. Über diesen Port können die kopierten Messdaten vom Messgerät übernommen und analysiert werden. Hierbei ist zu beachten, dass z.b.: bei einer Bandbreite von 1Gbps Full Duplex die Daten lediglich mit 1Gbps (TX) ausgegeben werden. 6

7 Messdaten Definition - Paketdaten Datenerfassung TAP Der TAP wird zwischen eine bestehende Netzwerkverbindung eingeschliffen und kopiert sämtlichen auf dieser Verbindung entstehenden Datenverkehr. Der kopierte Datenverkehr wird auf dem Ausgangsport des TAPs zur Verfügung gestellt. Über diesen Port können die kopierten Messdaten vom Messgerät übernommen und analysiert werden. 7

8 Messdaten Definition - Paketdaten Datenerfassung Data-Access-Switch (Matrix-Switch) Der Data-Access oder Matrix- Switch basiert auf modernster TAP Technologie und vereint eine hohe Anzahl an frei konfigurierbaren Ein- und Ausgangsports (Kupfer oder Fiber). Das folgende Beispiel zeigt die Integration eines Data-Access oder Matrix- Switch. 8

9 Kontakt Sie haben Fragen, Anliegen oder Interesse an unseren Leistungen? Ansprechpartner Thomas Pühringer M: +43 (0) T: +43 (0) Ecotrust Consulting GmbH Hafenstraße Linz/Donau, Austria T: +43 (0) F: +43 (0) info@ecotrust.at 9