PRODUKT Fluke OptiView II INA ANALYSE Netzwerk-Analysator im Praxistest
Produktanalyse Netzwerk-Analysator im Praxistest Fluke OptiView Series II Integrated Network Analyzer Markus Schaub Copyright 2004 by ComConsult Technologie Information GmbH
Dieses Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Alle Rechte an dem Werk stehen ausschließlich der ComConsult Technologie Information GmbH, Pascalstraße 25, 52076 Aachen zu. Sämtliche Bearbeitungen, Vervielfältigungen, insbesondere zu Zwecken des Nachdrucks, der Wiedergabe in jeder Form, der Vermarktung und der Übersetzung in andere Sprachen bedürfen der schriftlichen vorherigen Genehmigung der ComConsult Technologie Information GmbH. Es ist nicht erlaubt, das Werk oder Teile daraus ohne schriftliche Genehmigung der Herausgeberin auf elektronischem oder fotomechanischem Wege zu vervielfältigen oder unter Verwendung elektronischer oder mechanischer Systeme zu speichern, zu verarbeiten, systematisch auszuwerten oder zu verbreiten. Die Autoren sowie der Herausgeber sind mit größter Sorgfalt vorgegangen, ein fehlerfreies Dokument zu erstellen. Eine Haftung für Fehler, eventuelle Auslassungen oder Fehlinterpretationen des Inhalts bei der Anwendung oder Realisierung der beschriebenen Szenarien wird nicht übernommen. Beigefügte CDs genießen im gleichen Maße wie die Druckschrift Urheberrechtsschutz. Eine Haftung für eventuelle Schäden an Hard- oder Software, für Schäden durch die Verwendung von Programmen sowie für ein nicht ordnungsgemäßes Funktionieren der Software auf der CD-ROM wird nicht übernommen. Die verschuldensunabhängige Produkthaftung ist ausgeschlossen. Die Wiedergabe von Produktnamen, Markenbezeichnungen, Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürfen. Die Autoren und die Herausgeberin richten sich im Wesentlichen nach den Schreibweisen der Hersteller. ComConsult Research repräsentiert das Produkt- und Technologie-Testlabor der ComConsult Technologie Information GmbH Copyright der deutschen Ausgabe: 2004 by ComConsult Technologie Information GmbH Erste Auflage vom 2. November 2004 Kommentare und Fragen können Sie gerne an uns richten: ComConsult Technologie Information GmbH Pascalstraße 25 52076 Aachen +49 (2408) 955 400 +49 (2408) 955 399 E-Mail: Hoechel@comconsult-research.com Copyright 2004 by ComConsult Technologie Information GmbH
Inhaltsverzeichnis MANAGEMENT SUMMARY 1 ARCHITEKTUR 2 Hardware 2 Software 3 Tools der Basisanwendung für den Kabelbereich 4 Der Wireless Network Analyzer 10 ERFAHRUNGEN IM PRAKTISCHEN EINSATZ 13 Proaktive Fehlersuche im Ethernet 13 Aktive Fehlersuche im Ethernet 14 Proaktive Fehlersuche im Wireless LAN 14 Aktive Fehlersuche im Wireless LAN 15 Copyright 2004 by ComConsult Technologie Information GmbH Seite i
Management Summary Ein Problem der aktiven wie auch der proaktiven Fehlersuche ist, dass man zunächst einmal das richtige Werkzeug haben und insbesondere auch dabei haben muss. So können in der Regel in geswitchten Netzen nur dann für die Fehleranalyse interessante Pakete aufgezeichnet werden, wenn auf dem Switch ein Monitor-Port konfiguriert werden kann. Daneben werden Managementsysteme, CLI oder Web-Interfaces benötigt und last, but not least Kabelmessgeräte für Kupfer und Glasfaser. Kommen dann auch noch Wireless LANs ins Spiel, können die notwendigen Tools schnell unübersichtlich werden und natürlich hat man vor Ort das entscheidende Werkzeug gerade nicht dabei. Ja, es gibt aufwändige und umfangreiche Netzwerk- und Systemmanagementsysteme, die alle Netzwerkkomponenten überwachen, Fehler automatisiert melden und sogar den ursächlichen Verursacher identifizieren können. Aber für viele kleinere und mittlere Unternehmen sind solche Systeme zu teuer und personalintensiv im Betrieb. Ja, es gibt viele hervorragende Open-Source-Protokollanalysatoren und andere kostenfreie Netzwerktools. Was ist aber, wenn der Gigabit-Uplink überwacht werden soll? Mit dem OptiView II Integrated Network Analyzer hat Fluke eine omnipotente Netzwerkanalyse-Appliance auf dem Markt, welche die Funktionen Kabelmessgerät, Wireless-LAN- Sniffer, Paketanalysator, Netzwerk-Probe und viele weitere Troubleshooting-Tools in einem kompakten Gerät vereint. Seine Stärken kann der OptiView vor allem im schnellen Auffinden von Standardfehlern ausspielen. Vorausgesetzt die eingesetzten Netzwerkkomponenten unterstützen SNMP und man hat die richtigen Communities eingetragen, erlangt man sehr schnell einen Überblick über das Netzwerk und den Zustand seiner Komponenten und kann mit einem systematischen Troubleshooting beginnen. Gerade durch die Kombination der verschiedenen Werkzeuge kann man schnell mögliche Fehlerquellen im Kabel, im Funkbereich, auf Layer 2 oder Layer 3 auszuschließen und die wichtigsten SNMP- oder RMON- Zähler der Komponenten auf Auffälligkeiten überprüfen. Beide Analysetools für den Kabel- und den Funkbereich bieten zudem noch die Möglichkeit den Kommunikationsstream selbst aufzuzeichnen und auf den verschiedenen Protokollebenen zu analysieren. Auf diese Weise lassen sich viele Fehler aufspüren und beseitigen. Highlights im Testbetrieb waren das Tool TraceSwitchRoute, das den Weg einer Kommunikationsbeziehung durch ein geswitches Layer-2-Netz herausfindet, und der integrierte Durchsatztest für Wireless LANs. Kaum ein Wireless Netzwerk wird isoliert als reines WLAN betrieben. In der Regel werden die Kommunikationspartner der Funksysteme sogar im kabelgebundenen Ethernet- Bereich liegen und bei der Fehlersuche müssen beide Topologien miteinbezogen werden. Auch hier ist der OptiView ein ideales Hilfsmittel, da er gleichzeitige Einblicke in beide Technologien bietet. Zielgruppen für das Gerät sind kleine bis große Unternehmen. In großen Umgebungen kann der OptiView eine äußerst praktische und schnell einzusetzende Ergänzung zum bestehenden Equipment sein und darüber hinaus als mobile RMON-Probe eingesetzt werden. Für Betreiber kleiner und mittlerer Netze kann das Gerät durchaus als einziges Troubleshooting-Werkzeug ausreichen, da es die Grundfunktionen vieler verschiedener Tools in sich vereint, einfach zu handhaben ist und mit dem integrierten Expertensystem Netzwerkadministratoren hinlänglich unterstützt. Copyright 2004 by ComConsult Technologie Information GmbH Seite 1
Architektur Abbildung 1: OptiView Series II Integrated Network Analyzer Hardware Der OptiView II INA erinnert eher an ein Messgerät mit großem Touchscreen als an einen PC. Er ist mit 23x26 cm ein kompaktes, portables Gerät und wird über den 600x800 großen Touchscreen bedient. Im Innern besteht er aus zwei separaten Komponenten: einem PC mit Bedienoberfläche und PCMCIA-Schnittstelle für die Wireless Karte und einer Analysatorhardware für den Kabelmessbereich. Die Verbindung zwischen den beiden Hardwareteilen wird durch eine interne Ethernetschnittstelle realisiert. Sowohl der Rechner als auch der Analysator sind Eigenentwicklungen der Firma Fluke. Um vor häufigen Release-Wechseln sicher zu sein, wurde hierbei weitgehend auf Standardkomponenten verzichtet. Die Schnittstelle zum Ethernet wird also durch ein separates Bauteil realisiert, welches neben der eigentlichen Protokollanalyse auch einfache Kabeltests durchführen kann. Durch die Ausführung dieses Analysators in Hardware ist es möglich auch Gigabit- Übertragungen in wire-speed verarbeiten zu können, was den OptiView insbesondere gegenüber einfachen Softwarelösungen auf Laptops deutlich hervorhebt. Allerdings kann er nicht in eine Verbindung eingeschleift werden, in geswitchten Netzen muss daher stets mit einem Monitorport gearbeitet werden. Copyright 2004 by ComConsult Technologie Information GmbH Seite 2
Software Neben der Hardware fällt beim Start das Betriebsystem Windows XP auf. Installiert ist ein vollständiges Windows XP Professional, das vom Hersteller nur an die Hardwaregegebenheiten wie Touchscreen und Netzwerkschnittstellen angepasst wurde, von den Eventprotokollen über die Systemsteuerung und den Editor bis hin zu den Spielen ist alles da. Die Festplatte ist in zwei Partitionen C und D unterteilt, durch Drücken der Taste F9 beim Startvorgang kann die Partition C jederzeit wieder in den Ursprungszustand zurückversetzt werden, eventuell auf D abgespeicherte Daten wie Analysator-Traces bleiben dabei erhalten. Basisanwendung für den Kabelbereich ist die Fluke-eigene Software OptiView Integrated Network Analyzer, für den Wireless-Bereich gibt es das entsprechende Programm Opti- View Wireless Network Analyzer. Daneben stehen noch zur Verfügung: OptiView Fiber Inspector zur Messung von Glasfaserkabeln, OptiView Integrated Protocol Expert zur Protokollanalyse, OptiView Analyzer Remote zur Fernsteuerung des Integrated Network Analyzer auf anderen Systemen und ein bereits lizenzierter MIB-Browser der Firma MG-Soft, mittels dessen beliebige SNMP-Variablen von Netzwerkkomponenten und Servern abgefragt werden können vorausgesetzt man hat vorher die entsprechende MIB einkompiliert. Im Auslieferungszustand wird durch die Windows-Autostartfunktion das Programm Opti- View Integrated Network Analyzer beim Start aufgerufen. Abbildung 2: Startbildschirm der Basisanwendung Copyright 2004 by ComConsult Technologie Information GmbH Seite 3
Aussehen und Bedienung dieser Anwendung sind zunächst ein wenig gewöhnungsbedürftig, da das Gerät jedoch in der Regel über den Touchscreens und ohne Tastatur benutzt wird, weiß man nach kurzer Zeit die übersichtliche Darstellung und die vielen Buttons zu schätzen. Der Startbildschirm ist dafür ein Paradebeispiel: auf den ersten Blick sieht man alle wesentlichen Ergebnisse, vom Kabeltest über entdeckte Stationen und der Protokollstatistik bis hin zu festgestellten Fehlern und Problemen. Dargestellt werden diese einzelnen Bereiche in quadratischen Kästen, die gleichzeitig als Buttons fungieren. Durch einfaches Anklicken erreicht man jeweils die Detailansicht des ausgewählten Tools. Neben dieser Möglichkeit können die einzelnen Teilbereiche auch über die Navigationsleiste am oberen Bildschirmrand angesteuert werden. Für Texteingaben ist eine Softwaretastatur integriert, die mit dem Stift für den Touchscreen gut zu bedienen ist. Für den stationären Einsatz kann man außerdem auch über USB eine physikalische Tastatur und eine Maus anschließen. Neben der direkten Steuerung am Gerät kann der OptiView über die Software Opti- View Analyzer Remote zusätzlich auch remote bedient werden. Dabei sind bis zu sieben solcher Fernsteuerungen voneinander unabhängig möglich und ermöglichen somit den Einsatz als temporäre RMON Probe oder die Hinzuziehung von entfernten Spezialisten. Die Oberfläche dieser Remote-Steuerung ist identisch mit der OptiView-Basisanwendung auf dem OptiView selbst. Für die WLAN-Analyse-Software OptiView Wireless Network Analyzer existiert allerdings bislang kein Remote User Interface (RUI) auf Java-Basis. Will man diese Applikation remote bedienen, muss man entweder auf Windows Bordmittel wie NetMeeting oder Remote Desktop Connection (RDC) zurückgreifen oder eine Third-Party-Software installieren. Für den Protokollanalysator gibt es zwar ebenfalls kein java-basiertes RUI, diese Software kann aber problemlos auf jedem Arbeitsplatzrechner installiert werden. Zur Protokollanalyse müssen dann lediglich die Capture-Files vom OptiView kopiert werden. Das Capturen selbst kann problemlos über das RUI des OptiView kontrolliert werden. Tools der Basisanwendung für den Kabelbereich Der OptiView dient dem vorrangigen Ziel schnell und einfach Fehlerquellen aufzufinden. Dazu sind eine Reihe verschiedener Tools zur systematischen Fehlersuche vom so genannten Layer 0 (Kabeltest) bis hin zum Layer 7 (Application) in dem Gerät vereint. Die dem OptiView zugrunde liegende Philosophie basiert auf zwei Säulen: 1. Eine möglichst hohe Automatisierung beim Auffinden von Fehlern und 2. Fehler von dem Ort ausgehend zu suchen, von dem der Fehler gemeldet wurde, also vom Arbeitsplatz des Benutzers aus. Die Idee ist, nach einer Störungsmeldung zunächst vom eigenen Arbeitsplatz aus mit dem OptiView die einzelne Netzwerkkomponenten durch automatisierte SNMP-Abfragen auf Fehlerzustände zu untersuchen und, wenn das nicht ausreicht, sich mit dem Opti- View vor Ort zu begeben. Kabeltest Eine häufige Ursache von Netzwerkstörungen ist ein Problem im Kabelbereich. Daher führt der OptiView als erstes stets einen automatisierten Kabeltest durch, sobald man ihn an einen beliebigen Port anschließt. Diese einfachen Messungen können jedoch nur bis zur ersten Reflexionsstelle durchgeführt werden. Ist das verwendete Patchkabel also auf der anderen Seite an eine Netzwerkdose angeschlossen, so ist das Ergebnis des Kabeltests natürlich wenig aussagekräftig, da nur das Patchkabel selbst bis zur Dose vermessen wird. Copyright 2004 by ComConsult Technologie Information GmbH Seite 4
Abbildung 3: Kabeltest Für die Messung einer kompletten Strecke wird ein spezieller Stecker (Wiremapper) mitgeliefert. Dieser Wiremapper wird in die Dose auf der Gegenseite der Verbindung eingesteckt und durch den OptiView erkannt und auch als solcher angezeigt. Abbildung 3 zeigt einen erfolgreichen Kabeltest mit einem Wiremapper. Die Messung ergab für die Kabelpaare 4/5 und 7/8 eine Länge von 2 Metern, dies entspricht exakt der Länge des verwendeten Patchkabels. Man kann daraus also schnell schließen, dass diese Adern in der Dose nicht aufgelegt sind, vermutlich wird so genanntes Kabelsplitting verwendet bei dem zwei Dosen durch ein achtadriges Kabel versorgt werden. Eine solche Reflexionsmessung zur Überprüfung eines Patchkabels ist jedoch eine eher fragwürdige Methode. Sollen Patchkabel gezielt gemessen werden, so ist auch hierfür die Methode mit Hilfe des Wiremapper vorzuziehen. Neben der Messung von Kupferkabeln können mit dem OptiView natürlich auch Glasfaser-Verbindungen getestet werden. Es ist jedoch anzumerken, dass die Kabeltests des OptiView lediglich zur schnellen Fehleranalyse dienen können und kein dediziertes Kabelmessgerät ersetzten, insbesondere wenn es um Abnahme- oder Qualitätsmessungen geht. Discovery aller Stationen einer Broadcast-Domäne mit SNMP und ping Nach dem Kabeltest erfolgt eine automatische Discovery der erreichbaren Broadcast-Domänen. Der OptiView benötigt hierfür eigene IP-Adressinformationen, die er entweder über DHCP zugeteilt bekommt oder selbst auf Grund der Copyright 2004 by ComConsult Technologie Information GmbH Seite 5
empfangenen Informationen auswählt und sich zuteilt. Erkennt er in geswitchten Netzen hauptsächlich durch Broadcasts mehr als ein Layer-3-Netz in seinem Segment und bekommt er keine IP- Adresse durch einen DHCP-Server zugewiesen, so wählt er für sich eine IP-Adresse aus dem (scheinbar) größten der IP-Netze aus. Existiert nur ein einziges Netz, so benutzt er eine aus diesem. Sollte die so gewählte Adresse von einem anderen Gerät später beansprucht werden, gibt er sie sofort frei und wählt eine neue freie Adresse. Nachdem das Gerät eine gültige IP-Adresse hat, beginnt es im Netz aktive Stationen zu suchen und zu identifizieren. Hierzu werden sowohl Pings als auch SNMP-Abfragen verwendet. Antwortet eine Station auf SNMP-Pakete, werden einige fest vorgegebene SNMP-Parameter abgefragt und ausgewertet. So können Switches, Router, Server etc. klassifiziert und Standardwerte wie Default- Gateway und Subnetzmaske ausgelesen werden. Abbildung 4 zeigt das Ergebnis einer solchen Discovery: die gefundenen Geräte werden nach Kategorien sortiert und in einer Browser-ähnlichen Darstellung präsentiert. Durch einen Doppelklick auf ein Gerät werden weitere ausgelesene Informationen angezeigt. Zur erfolgreichen SNMP-Discovery muss im Gerät eine Liste mit allen verwendeten SNMP-(Read-Only-)Communities hinterlegt werden. Diese Communities werden dann für jedes entdeckte System der Reihe nach getestet bis eine zum Erfolg führt (oder eben nicht). Leider ist es nicht möglich, für einzelne Geräte spezielle Passworte zu hinterlegen die Liste wird für alle Netze und alle Geräte verwendet. Dies ist aus Sicherheitssicht durchaus problematisch, ein Angreifer bekommt so alle im Netz verwendeten Communities präsentiert. Per Default werden nur die automatisch entdeckten Broadcast-Domänen durchsucht, jedoch können weitere IP-Netze manuell konfiguriert werden. Dann ist allerdings darauf zu achten, dass SNMP- Pakete und Pings nicht durch Access- Abbildung 4: Automatische Discovery Copyright 2004 by ComConsult Technologie Information GmbH Seite 6
Listen auf Routern oder Firewalls blockiert werden, ansonsten schlägt die Abfrage entfernter Netze natürlich fehl. Counter-Überwachung und RMON Die abgerufenen SNMP-Counter können geräte- und interface-spezifisch grafisch dargestellt werden. Wird vom OptiView beim abgefragten Gerät auch RMON- Funktionalität festgestellt, so werden statt der SNMP-Counter die RMON-Parameter abgefragt und grafisch dargestellt. Statistiken können auch von Netzwerkmanagementsystemen abgerufen und weiterverarbeitet werden. So ist der OptiView II INA beispielsweise eine von Concord zertifizierte Netzwerk-Probe. Abbildung 6: Graphische RMON-Analyse Abbildung 5: Switch Port Statistik Abbildung 5 zeigt eine Darstellung von RMON-Daten, die aus einem Layer-2- Switch ausgelesen wurden. Da sich die Darstellungen von SNMP- und RMON- Daten stark ähneln, ist auf den ersten Blick nicht zu erkennen, was von beiden gerade dargestellt wird. Darüber hinaus ist es nicht möglich von der RMON-Sicht auf die SNMP-Sicht zu wechseln dazu müsste man im überwachten Geräte RMON vorübergehend ausschalten. Statistiken zur Protokollverteilung Neben diesen abgefragten Statistiken entfernter Stationen erstellt der OptiView selbst eigene RMON-Statistiken auf Basis der empfangenen Pakete, die ebenfalls graphisch dargestellt werden können. Hierzu zählen Auswertungen zur Protokollverteilung, den Top Talkern und den Top Conversations. Diese RMON- TraceSwitchRoute Hierbei handelt es sich um ein nützliches Tool, um schnell den tatsächlichen Verbindungsweg zwischen zwei Geräten bis auf die Ebene der Layer-2-Switchports aufzulösen. Nach der Auswahl der beiden Geräte liest das Tool über SNMP die Adresstabellen der Switches aus und ermittelt so den aktuellen Verbindungsweg (siehe Abbildung 7). Hat man die Switches und Ports auf diese Weise identifiziert, ist es einfach, den OptiView anschließend dazu zu nutzen, die Geräte- und Portstatistiken auszulesen und so einem Fehler schnell auf die Spur zu kommen. Grundsätzlich ist das auch über Router hinweg möglich. Dies setzt jedoch trotzdem voraus, dass die MAC-Adressen beider Geräte und der Routerinterfaces bekannt sind. Durch den Wechsel der MAC-Adresse am Router muss man bei der Interpretation des Ergebnisses sehr genau hinschauen, wie es zu interpretieren muss. Übersichtlicher ist es hierbei, den Weg je Einzeletappe für jedes Layer- 2-Segment getrennt aufzulösen. Copyright 2004 by ComConsult Technologie Information GmbH Seite 7
Abbildung 7: TraceSwitchRoute Abbildung 8: Definition eines Capture-Filters Protokollanalyse Vor der eigentlichen Protokollanalyse müssen die zu untersuchenden Pakete aufgezeichnet werden. Während das Aufzeichnen (Capture) der Pakete durch die Analysator-Hardware erledigt und durch die OptiView-Basisanwendung gesteuert wird, steht zur nachfolgenden Analyse das Tool OptiView Protocol Expert zur Verfügung. Copyright 2004 by ComConsult Technologie Information GmbH Seite 8
Abbildung 9: Protokollanalyse mit farblicher Hervorhebung von potentiellen Fehlern Der Einsatz spezialisierter Hardware ermöglicht es hierbei, Daten bis zu Gigabit-Geschwindigkeit zu verarbeiten. Mit dem zusätzlichen Einsatz von Capture- Filtern können so sämtliche interessanten Pakete aufgezeichnet werden, ohne dass das System wegen Überlastung Pakete verliert. Auf Grund dieser Architektur sind die Capture-Filter vergleichsweise schlicht gehalten: man kann lediglich nach einzelnen Protokollen und Sender-Empfänger-Pärchen filtern (siehe Abbildung 8). Zur Definition eines Filters werden jeweils nur die Protokolle und Geräte angeboten, die bereits gesehen wurden gegebenenfalls muss man also einige Zeit warten, bevor man einen passenden Filter erstellen kann. Maximal 64 MB Gesamtdaten können aufgezeichnet werden, danach kann die Aufzeichnung beendet oder aber im Round-Robin-Verfahren ältere Pakete überschrieben werden. Um eine größere Menge von Paketen erfassen zu können, kann die Anzahl der aufgezeichneten Bytes pro Paket beispielsweise auf die Header-Informationen beschränkt werden. Während der Aufzeichnung kann man mit den übrigen Tools problemlos weiterarbeiten, dabei sollte jedoch beachtet werden, dass man je nach Filter auch die eigenen Frames aufzeichnet. Nach Abschluss der Aufzeichnung kann der aufgezeichnete Stream abgespeichert oder direkt in das Protokollanalysetools geladen werden. Das Einladen selbst umfangreicher Datenmengen in das Analysetool geschieht dabei mit auffallend großer Geschwindigkeit. Copyright 2004 by ComConsult Technologie Information GmbH Seite 9
Die Oberfläche des Protokollanalysators selbst ist ähnlich gestaltet wie die der meisten anderen Analysatoren. Fluke hat jedoch auch hier Wert darauf gelegt, dass potentielle Fehler auch optisch schnell gefunden und erkannt werden können (siehe Abbildung 9). Traffic Generator Zur Erzeugung von großen Datenströmen steht außerdem ein Traffic Generator zur Verfügung. Hierbei können verschiedene Parameter eingestellt werden wie beispielsweise Paketgröße, Datendurchsatz, Art des Traffics und TOS-Felder. VLAN-Discovery Vorausgesetzt die entsprechenden Variablen können mittels SNMP auf den Switches ausgelesen werden, erfolgt eine automatische Discovery aller verwendeter VLANs. Der Wireless Network Analyzer Wie bereits erwähnt, ist die Basisanwendung OptiView Integrated Network Analyzer ausschließlich für den Kabelbereich zuständig, zur Analyse und Fehlersuche in Wireless LANs steht eine eigene Anwendung OptiView Wireless Network Analyzer zur Verfügung. Oberfläche und Bedienung dieser Anwendung ähneln jedoch deutlich der des Basistools. Als Hardware-Schnittstelle kommt hier eine spezielle PCMCIA-WLAN-Karte zum Einsatz, die die Standards 802.1 a, b und g unterstützt. Diese WLAN-Option ist das neueste Feature des OptiView II INA und nicht in der Grundausstattung enthalten! Wie die Basisanwendung beginnt auch der WLAN-Analyzers beim Start mit einer automatischen Discovery von Wireless Stationen. Hierzu werden alle WLAN-Kanäle nacheinander abgehört, sowohl die von 802.11 b/g wie auch die von 802.11 a. Der Grundphilosophie des OptiView folgend, möglichst automatisiert alles zu überwachen, ist es nicht möglich diesen Scan auf einzelne Kanäle oder Standards einzuschränken. Auf dem Startbildschirm werden dann die erkannten Netzwerke und die zugehörigen Access Points dargestellt. Die gefundenen Netzwerke werden durch Farben und Symbole qualifiziert, so dass der Benutzer auf einen Blick sehen kann, was normal und was problematisch ist: - der Verschlüsselungsgrad wird farbig markiert, wobei Rot für unverschlüsselt und Gelb für WEP-Verschlüsselung steht, - die Symbole vor der SSID signalisieren, ob das Netzwerk bereits von früheren Scans bekannt ist oder ob es sich um ein neues, bislang nicht qualifiziertes Netz handelt. Die Wireless Netze können hierzu in drei Kategorien eingeteilt werden: ein grüner Haken steht für ein eigenes Netzwerk, ein roter Haken symbolisiert das Netzwerk eines Nachbarn, ein gelbes Ausrufezeichen markiert bislang unbekannte Netze. Diese Kategorisierung von Netzen bleibt auch nach einem Neustart erhalten. Der untere linke Teil des Startbildschirms gibt nähere Informationen zu dem Access Point, der im oberen Teil ausgewählt wurde. Der mittlere Teil zeigt das Ergebnis des letzten Kanalscans an. Per Default wird hier das Signal-Rausch- Verhältnis pro Kanal angegeben, es können jedoch eine Vielzahl weiterer Darstellungen (siehe auch Abbildung 11) ausgewählt werden. Der rechte Teil zeigt eine kurze Übersicht wie viele Geräte bestimmter Kategorien wie Access Points, Clients und Bridges gefunden wurden und wie viele welchen IEEE- Standard nutzen. Copyright 2004 by ComConsult Technologie Information GmbH Seite 10
Abbildung 10: Startbildschirm des Wireless Network Analyzers Die Grafiken des Startbildschirms werden auf der Seite Channels noch einmal mit mehr Details dargestellt. Auch hier kann man aus einer Liste von zehn Werten wie Rausch-Signal-Verhältnis, Fehlerrate, Übertragungsrate, etc. auswählen und außerdem die Darstellung auf die wirklich aktiven Kanäle begrenzen, was die Übersichtlichkeit deutlich erhöht. Die Seite Detail liefert weitere Angaben Abbildung 11: Statistiken zu den genutzten Kanälen Abbildung 12: Detail-Seite des WLAN- Analyzers Copyright 2004 by ComConsult Technologie Information GmbH Seite 11
zu Netzwerken, aktiven Clients, die Monitoring-Funktionen können auf einen Kanal beschränkt werden und Statistiken zu den Top Talkern werden erstellt. Darüber hinaus können weitere Statistiken mit detaillierten Informationen zu einzelnen Netzen, Clients und Kanälen abgerufen werden. Alle Grafiken werden in Echtzeit aktualisiert und können als HTML-Report in tabellarischer Form gespeichert werden, um später als Vergleichsdaten herangezogen werden zu können. Abbildung 13: WLAN-Statistiken Um die ergänzenden Tools wie Ping, Durchsatztest, MIB- oder Web-Browser nutzen zu können, ist es notwendig eine eingegeben werden, danach kann sich der OptiView an dem Access Point anmelden. Wie die Basisanwendung hat auch der WLAN-Analyzer ein Capture-Tool. Anders als im Kabel kann jedoch in Wireless LANs während der Paketaufzeichnung nicht mit den anderen Funktionen gearbeitet werden, da die WLAN-Karte dann ausschließlich für den Empfang von Netzwerkpaketen benötigt wird und nicht gleichzeitig senden oder andere Kanäle überwachen kann. Auch hier sind die Möglichkeiten des Vorfilters begrenzt, man kann sich aber beispielsweise auf einen Typ WLAN-Frames wie Daten- oder Managementframes beschränken. Ebenfalls wie beim Ethernet- Filter kann auch hier die Anzahl der aufgezeichneten Bytes pro Paket begrenzt werden, es gibt jedoch keine Begrenzung in der Menge der aufzuzeichnenden Gesamtdatenmenge. Zur eigentlichen Protokollanalyse wird wiederum der OptiView Integrated Protocol Expert verwendet, der sich auch bei der Interpretation der 802.11-Headerfelder keine Blöße gibt. Abbildung 14: Ergänzende Tools Abbildung 15: WLAN-Protokollanalyse aktive Netzwerkverbindung zum betreffenden Access Point herzustellen. Hierzu müssen die notwendigen Zugangsdaten wie SSID, WEP- oder WPA-Keys etc. Copyright 2004 by ComConsult Technologie Information GmbH Seite 12
Erfahrungen im praktischen Einsatz Der OptiView eignet sich vor allem für zwei Vorgehensweisen: 1. zur proaktiven Fehlersuche, um Unregelmäßigkeiten und Fehlkonfigurationen im Netzwerk aufzuspüren, bevor es zu Störungsmeldungen kommt. 2. zum schnellen Auffinden von Standardfehlern während eines Störfalls. Proaktive Fehlersuche im Ethernet Wie oben beschrieben starten automatisch eine Autodiscovery aller Systeme im Netz und direkt anschließend die Identifizierung aller SNMP- und RMON-Geräte, sobald die Appliance an ein Netzwerk angeschlossen wird. Bei den SNMP-fähigen Geräten werden Standardparameter abgefragt und automatisch geprüft, ob diese mit anderen Komponenten und selbst gewonnenen Informationen übereinstimmen. So werden zum Beispiel die auf den Geräten konfigurierten Default-Gateways verglichen und überprüft, ob diese Systeme tatsächlich erreichbar sind. Diese Ergebnisse werden bereits auf der Startseite angezeigt. Klickt man dort auf den Button Problem Discovery, wechselt man zu der tabellarischen Darstellung aller aufgefundenen Probleme. Die Probleme werden in zwei Stufen gewichtet und entsprechend farblich markiert: rot sind schwere Fehler, gelb weniger schwere Probleme. Auch bereits gelöste Probleme, die bei früheren Untersuchungen festgestellt wurden, bleiben in der Übersicht als resolved enthalten, ebenso wie Meldungen, die per Acknowledge als bekannter Zustand bestätigt wurden. Abbildung 16: Tabellarische Darstellung aufgefundener Probleme Copyright 2004 by ComConsult Technologie Information GmbH Seite 13
Neben der Autodiscovery-Funktion eignen sich vor allem auch die Statistiktools zur proaktiven Fehlersuche. Gerade die port- bzw. interface-spezifischen Statistiken von Switches verschaffen dem Servicepersonal schnell einen Überblick, ob alles im Grünen Bereich ist. So ist man in der Lage auf Netzwerkfehler zu reagieren, bevor es zu ernsthaften Störungen kommt. Bei unseren Tests in real betriebenen Netzen sind so eine Menge kleinerer Fehlkonfigurationen aufgefunden worden, wie falsch gesetzte Default-Gateways oder vor allem bei Druckern nicht unüblich vorkonfigurierten Layer-3-Protokollen wie IPX und AppleTalk, die im Netz gar nicht betrieben werden. Aktive Fehlersuche im Ethernet Die erste Bewährungsprobe für den OptiView im Test war ein Klassiker aus der Serie Druckerprobleme. Im konkreten Fall war der Fehler durchaus schwierig zu analysieren, denn es lag kein völliges Versagen des Druckerdienstes vor sondern nur die subjektive Wahrnehmung des Benutzers, dass der Drucker viel langsamer als sonst arbeite. Der Drucker wurde in der Übersicht der erkannten Devices schnell identifiziert, ebenso der Switchport an den er angeschlossen war. Die ausgelesenen Portstatistiken zeigten einen stetig anwachsenden CRC-Fehlerzähler auf dem betreffenden Switchport. Mit der Kabeltestfunktion des OptiViews wurde zunächst das Patchkabel des Druckers und danach auch die gesamte Kabelstrecke vom Drucker bis zum Patchpanel des Switchs ohne Ergebnis getestet. Durch schlichtes Ausschlussverfahren blieb nur noch die Netzwerkkarte des Druckers als Fehlerquelle übrig, deren Austausch das Problem schließlich löste. Fazit: Der OptiView erwies sich bei der Fehlersuche als nützlich, da alle Tests übersichtlich, schnell und mit nur einem Gerät durchgeführt werden konnten. Zwar konnte der OptiView die fehlerhafte Netzwerkkarte nicht identifizieren, doch war das Gerät auch für einen erfahrenen Troubleshooter eine große Hilfe, da durch die Sammlung verschiedener Tools für alle OSI-Schichten auf einem Werkzeug die Lokalisierung des Fehlers erheblich vereinfacht und beschleunigt wurde. Besonderes Highlight war das Tool TraceSwitch- Route, das schnell und zuverlässig den Weg durch das geswitchte Netzwerk ermitteln konnte und so die Suche nach Portnummern und Portstatistiken deutlich beschleunigte. Proaktive Fehlersuche im Wireless LAN Die Autodiscovery des WLAN-Analyzers ermöglicht es dem Benutzer, sich einen guten Überblick über die Funksituation seiner Umgebung zu verschaffen. Belegte Kanäle werden erkannt und benutzte Protokolle sowie verwendete SSIDs inkl. Verschlüsselungsart zuverlässig angezeigt. Will man also einen neuen Access Point inbetriebnehmen, kann man so schnell sehen, welche Kanäle dafür günstig sind. Ebenso können damit fremde Access Points (so genannte Rogue Access Points) erkannt werden. Für eine ständige Sicherheitsüberwachung eines Funkbereichs eignet sich der OptiView allerdings nicht. Abbildung 17: Wireless Locator Copyright 2004 by ComConsult Technologie Information GmbH Seite 14
Zum Auffinden unbekannter Rogue Access Points bietet der OptiView WLAN-Analyzer eine sogenannte Locator Funktion an. Der Locator arbeitet dabei wie ein Geigerzähler: dreht man das Gerät in Richtung des gesuchten Access Point oder nähert man sich ihm, so zeigt die Nadel im Suchfenster (siehe Abbildung 17), dass die Signalstärke zunimmt, und gleichzeitig wird ein akustisches Klicken intensiviert. Unsere Tests haben gezeigt, dass so in der Tat ohne komplizierte Triangulierung Access Points schnell aufgefunden werden können. Ein weiteres nützliches Feature ist die Erstellung von HTML-Reports, die problemlos archiviert werden können und anhand derer man durch regelmäßige Messungen Änderungen im Laufe der Zeit ermitteln kann, wie zum Beispiel die Auslastung einer Zelle. Aktive Fehlersuche im Wireless LAN Die Durchsatzmessung mittels FTP hat sich bei unseren Tests als zwar einfaches jedoch effektives Mittel erwiesen, um sowohl Fehlkonfigurationen von Geräten aufzuspüren als auch schnell und unkompliziert Last zu Testzwecken im WLAN zu generieren. So wurde beispielsweise eine Fullduplex-Halbduplex- Fehlkonfiguration auf der Kabelseite eines Access Points ermittelt, die bis dahin noch unbemerkt geblieben war. Der FTP- Durchsatztest zeigte jedoch ein asymmetrische Durchsatzleistung: vom OptiView über den Access Point zum FTP-Server hin war der Durchsatz erheblich höher als in umgekehrter Richtung. Wie sich zeigte, war der Access Point auf Fullduplex konfiguriert, jedoch nachträglich zusammen mit einigen Druckern an einen Hub angeschlossen worden. Ein anderes Einsatzszenario für das FTP-Tool ergab sich als Lastgenerator bei der Inbetriebnahme eines Voice-over-WLAN-Telefons. Hiermit konnte getestet werden, ob die Sprachqualität im WLAN bei hohen Datendurchsätzen anderer Clients in derselben Zelle leidet. Besonders hervorzuheben ist die Fähigkeit des OptiView Einblick sowohl in die kabellose wie auch in die kabelgebundene Welt zur gleichen Zeit bieten zu können. Das Fluke- Gerät ist gerade bei Problemen, die an der Schnittstelle beider Welten auftreten, das ideale Hilfsmittel. Es ermöglicht sowohl im Ethernet wie auch im WLAN Pakete aufzuzeichnen. Da für beide Netzwerktypen die Protokollanalyse direkt auf dem Gerät durchgeführt werden kann, ist ein umständlicher Wechsel zwischen verschiedenen Tools ü- berflüssig. Zwei Nachteile einer derartigen vergleichenden Paketanalyse sind bei dem Test jedoch aufgetreten: 1. Eine direkte Gegenüberstellung der Pakete im WLAN und im Ethernet ist nicht möglich, sondern muss durch Hin- und Herschalten zwischen den beiden Applikationen manuell vorgenommen werden. Da darüber hinaus beide Traces nicht zeitgleich gestartet werden können, kann dies bei vielen aufgezeichneten Paketen schnell unübersichtlich werden. 2. Der Capture-Prozess muss erst gestoppt werden, bevor die Aufzeichnung im Analysator betrachtet werden kann. Eine zeitgleiche Darstellung zum Zeitpunkt der Aufzeichnung ist nicht möglich. Gerade bei wenigen Paketen ist dieses Vorgehen umständlich. Fazit: Beide Nachteile werden durch die umfangreichen Funktionen und die Möglichkeit zwei verschiedene Netzwerkprotokolle gleichzeitig zu analysieren mehr als wettgemacht. Wie im Kabelbereich zeigt sich auch hier als großer Vorteil die gleichzeitige und problemlose Verfügbarkeit mehrerer verschiedener Tools zur Fehleranalyse. Copyright 2004 by ComConsult Technologie Information GmbH Seite 15
Abbildungsverzeichnis Abbildung 1: OptiView II Integrated Network Analyzer 2 Abbildung 2: Startbildschirm der Basisanwendung 3 Abbildung 3: Kabeltest 5 Abbildung 4: Automatische Discovery 6 Abbildung 5: Switch Port Statistik 7 Abbildung 6: Graphische RMON-Analyse 7 Abbildung 7: TraceSwitchRoute 8 Abbildung 8: Definition eines Capture-Filters 8 Abbildung 9: Protokollanalyse mit farblicher Hervorhebung von potentiellen Fehlern 9 Abbildung 10: Startbildschirm des Wireless Network Analyzers 11 Abbildung 11: Statistiken zu den genutzten Kanälen 11 Abbildung 12: Detail-Seite des WLAN-Analyzers 11 Abbildung 13: WLAN-Statistiken 12 Abbildung 14: Ergänzende Tools 12 Abbildung 15: WLAN-Protokollanalyse 12 Abbildung 16: Tabellarische Darstellung aufgefundener Probleme 13 Abbildung 17: Wireless Locator 14 Copyright 2004 by ComConsult Technologie Information GmbH Seite 16