protokollanalyse was leisten moderne tools und wie setzt man sie effizient ein

Protokollanalyse 1 Karl Brand 05/2000

ProtokollanalyseProtokollanalyse

Was leisten moderne Tools und Was leisten moderne Tools und wie setzt man sie effizient einwie setzt man sie effizient ein

Fluke Deutschland GmbH, 05/2000


Die Rolle des Protocol Analysators Die Rolle des Protocol Analysators im Rahmen der SwitchVision Suiteim Rahmen der SwitchVision Suite

Network Inspector läuft die gesamte Zeit Monitoring Dokumentation Erkennen von Netz-Problemen

LANMeter Dokumentation (Reports) Schnelles Finden fast aller Fehler

Protocol Inspector Schwierige Fehler (Sicherheit, Netz-Applikationssoftware) Voice Over IP (VoIP) Gigabit Ethernet Security Server Traffic Analyse


Wir erinnern uns:Wir erinnern uns:

Protokollanalyse ist der Blick

durchs Mikroskop!


Protocol InspectorProtocol Inspector

Application Decode

Application Monitoring

Device monitoring

Network Analysis

Service monitoring

Device testing

Connectivity testing

Cable certification

Network Inspector

OneTouch

DSP

694/5 SwitchInspector

TrafficFlow Manager

Distributed Protocol InspectorPI

Internetwork Throughput

PC/Hos

t

Cable

Hub

Switch

Enterp

rise

Skil

l Lev

el


Protocol AnalysatorProtocol Analysator

Erfasst, dekodiert und filtert Pakete auf allen 7-Layern

Fehlersuche, Alarme

Device Monitoring

Protocol Monitoring

Application MonitoringExpertenwissen

erforderlich !


Protocol AnalysatorProtocol Analysator

Ursprünglich das Tool des Software/Hardware- Entwicklers Blick auf die richtige Protocol-Interaktion in Applikationen Einblick in jedes Bit in jedem Paket

Ist ein Troubleshooting Tool geworden Segment-Auslastung im Normalbetrieb und bei Spitzenlast Fehler und Kollisionen im Normalbetrieb und während

Spitzenzeiten Top N User Antwortszeiten

Funktioniert prima im Shared-Media-Bereich(jetzt auch im Switchbereich und VLAN-Bereich einsetzbar)


Protocol Analysator - ProsProtocol Analysator - Pros

Wichtig für Fehlersuche, Protokollinteroperability und Responsezeiten Frame Header

Zeigt die unterschiedlichen Protokolltypen auf dem Netz Zeigt PDU und highest Layer Protocolle

Frame Inhalt Zeigt die Paketinhalte auf Bit- und Byteebene + ASCII-Text

Zeitliche Zusammenhänge Misst Responsezeiten von Applikationen und Protokollen

Absolute Zeit: in 1/10.000 s; wird benutzt, um die Zeit zwischen 2 Ereignissen auf einer Verbindung zu messen

Zeitdifferenz: Verstrichene Zeit zwischen gesendeten und empfangenen Frames; Häufig benutzt, um die Response- zeit zwischen Client und Server zu messen

Relative Zeit: Kummulative Messung jedes Frames in der Aufzeichnung; hauptsächlich für Durchsatz und Performance


Protocol Analysator - KontrasProtocol Analysator - Kontras

Sie müssen den Node oder das Pattern des Problems kennen

Anderenfalls müssen Sie bei Switches über die SPAN Funktion Port-Mirroring betreiben

Kann nicht ohne Remote-Option über Switch-Segment Genzen schauen

Bei Netzen mit Switches sind mehrere Analysatoren erforderlich

Portabiliät ist fraglich Laptop boot time

Capture-Files können groß sein 1MB/Minute sind nicht unüblich


Protokollanalysator als Ergänzung zum Protokollanalysator als Ergänzung zum Network Inspector und LANMeterNetwork Inspector und LANMeter

Überblicken der gesamte Broadcast Domain mit dem Network Inspector

Finden der problematischen Nodes mit dem LANMeter, herunter bis zur Collision-Domain

zusätzlich Ausschluß der Hardware als Ursache der Probleme

Setzen von Filtern und Aufzeichnen von Paken an diesen Nodes mit dem Protocol Inspector

Lösen von Antwortszeit- und Protokollinteroperability Problemen mit dem Protocol Inspector

Vollständige Dekodierung des Verkehrsflusses mit dem Protocol Inspector


Die Fluke Protocol Inspector FamilieDie Fluke Protocol Inspector Familie

3 Modelle (Capture, Decode, und Filter mit NDIS-NIC):

PI-100 Protocol Inspector Standard (Teil der SwitchVision Suite) PIP-100 Protocol Inspector Pro (zusätzlich Experten-Modus, Remote-Control, Distributed

PI, Traffic Generator, optional Voice over IP (VoIP)) PIP-ENH (Erweiterung des PI-100 auf PIP-100)

DPI für 10/100 Ethernet mit externen passiven Taps (HD / FD) Gigabit Ethernet Produkt Linie designed für Switched Networks

Taps


MonitoringMonitoring

Summary View (mehrere Quellen, jeweils ein Darstellungsfenster) Summary View (Hauptfenster) primär für Monitoringaufgaben

Auswahl der Datenquelle im/ Resourcen-Browser Setzen von Alarmen im Alarm Browser Darstellung von Systemmeldungen im Message Window


Capture ViewCapture View

802.1Q VLAN tagging supported

IPSec Protokolle H.323 und

andere Decodierung mit VoIP


DecodingDecoding

Detail View


Einfach einstellbare FilterungEinfach einstellbare Filterung


Protocol Inspector Expert Protocol Inspector Expert AnalyseAnalyse

Press the button to open Expert Analysis


Distributed Protocol Inspector und Distributed Protocol Inspector und zusätzliche Komponentenzusätzliche Komponenten

Remote protocol link verbindet alle DPI, FETA, 12 Taps and PI Agenten im Netzwerk

Eine PI-Console steuert / analysiert mehrere Agenten

Peer-to-peer Architektur

10/100 Mbps-Ethernet

Full / Half-Duplex

Gigabit-Ethernet

Jedes Paket (auch fehlerhafte Pakete) werden erfaßt


Distributed PIDistributed PI

Unterstützt Half oder Full-Duplex 10/100 Mbps Ethernet

Auto-sensing 10/100 Mbps Ethernet RJ-45 Management-Port

Echtzeit Packet-Decoding und -Analyse durch ASIC-Technologie (jedes Paket wird erfaßt)

Full-line rate capture Full-line-rate transmit Hardware basierendes pre-filtering and packet slicing

Pufferspeicher 32 MB


Analysator und Monitoring für 10/100 oder Gigabit Ethernet

• Große capture and transmit Buffer • Pre-capture Filter und Slicing durch Hardware• Full-line rate capture und transmit - auch bei

eingeschalteter Filterung1 oder 2 Analysator Ports 10/100/1000 Mb Ethernet

• 1 Interface für Half-duplex• 2 Interfaces für 2 Half-duplex

Segmente oder 1 Full-duplex Link

• Multimode, Singlemode und neu hi-power single mode auf einer Plattform

Distributed Protocol Inspector undDistributed Protocol Inspector undGigabit Protocol Inspector Gigabit Protocol Inspector


High Performance GigabitHigh Performance Gigabit

Distributed und integrierte Architektur Erweiterung der bestehenden 10/100 Architektur

Gleiche Analyse- Software wie bei 10/100 Mbps Für alle Komponenten der gesamten Plattform

Fehler tolerante, non-intrusive Analyse mit passivem Tap

Einsatz an unterschiedlichen Standorten, Erweiterung durch zusätzliche Analysatoren; keine Störung des Links

Silicon accelerated full-bandwidth Hardware Volle Geschwindigkeit im Nutzkanal während der Datenaufzeichnung /

Analyse


TapsTaps

Single und 12-Doppel Port Taps verfügbar

Rack Mountable Device (nur 12-Port)

Erlaubt es, Verkehr auf bis zu 12 Full-Duplex oder Half-Duplex 10/100 Mbps Ethernet Segmenten zu erfassen

Passive Devices

Erfordert den Protocol Inspectorzur Steuerung (nutzt das RSP Protocol)


Arbeitsweise eines TapsArbeitsweise eines Taps

Der Tap spaltet die RX und TX-Signale auf

Rein passives Mithören

Full Duplex Links sind analysierbar

DPI empfängt Daten von beiden Seiten

DPI

Host A Switch B

Tap Bport

Tap Aport

Port A Port B

Full Duplex Tap

Straight-thru cable Straight-thru cable

Läßt auch Fehler passieren (fehlertolerant)

Betriebsspannungs-ausfall hat keine Auswirkung auf den “Nutzkanal”

DPI kann keine Signale in den Nutzkanal senden (störungsfreies Messen)

Power

ONE WAYDATA FLOW


TapsTaps

Folgende Probleme, die mit einem Port-Mirroring verbunden sind, treten bei einer Tap-Lösung nicht auf: Switch Performance Reduzierung

Mindestens 1 Port steht für Analyse/ Monitoring nicht fur LAN Verkehr zur Verfügung

Fehlerhafte Pakete des physikalischen Layers, wie “Runts” und “überlange Pakete” werden nicht aufgezeichnet

Verlieren der Full-Duplex Fähigkeit


TapsTaps

Darstellen des Verkehrs an HD und FD 10/100 Mbps Ethernet Segmenten von einem PI oder DPI

Typische Verwendung an Links an denen Monitoring und Verkehrsanalyse wichtig sind

Rein passiver Abgriff es Verkehrs Unterbrechnung der Stromversorung zum Tap, führt nicht zum

Verlust der Netzverbindung (kein Verlust von Daten) Non-invasive Analyse und Monitoring Fault tolerant Erlaubt switches and hosts to negotiate linking Keine Beeinflussung von Switches oder Links Capture beide Seiten der Verbindung


Welche Meßmittel braucht Welche Meßmittel braucht man bei Switched Networks ?man bei Switched Networks ?

Full duplex DPI Pods Syncronisiertes Dual Port Interface

Fehler-Tolerante Link Taps Kein einschränkendes Monitoring / Analyse

Mirror (span) Ports leisten dies nicht! Blenden Fehler aus, bevor die fehlerhaften Daten vom Analysator gesehen werden Keine 100%-ige Fehlersuche möglich


Fiber Optic TapFiber Optic Tap

Fiber Tap, 1 Port

Single oder Multimode Modelle verfügbar

Für 10BaseF, 100BaseFX, 1000BaseSX/LX

< 4db Dämpfung Fehler-tolerante und passive

optische Splitter Technologie Unterbrechung des Links für

Analyse und Fehlersuche nicht erforderlich

Optional rackmount frame,3 oder 12 Slots

Fiber Tap

DPI


Protocol InspectorProtocol InspectorSystem RequirementsSystem Requirements

Processor: 166 MHz Pentium

Memory: 64Mbyte

192Mbyte (VoIP oder Gigabit DPI)

Disk Space: 20-25 MB

Display: 800 X 600

OS: Win95/98/2K & WinNT 4.X


Distributed System Distributed System BeispielBeispiel

Distributed ProtocolInspector

DistributedProtocolInspector

Gigabit Distributed Protocol Inspector

Distributed Protocol Inspector

Tap-1Tap-1

Tap-1 Tap-12

100 Mbps Server switch

100Mbpsmultimode fiber Gigabit

backbone switchGigabit

backbone switch

Gigabit singlemode backbone

serverfarm

10/100 Mbps local hub

100 Mbps switch

Protocol Inspector

Protocol Inspector

Fast E’net Traffic Analyzer


TAP-1

DPI-112

Server

Server/Gateway Latency TestingServer/Gateway Latency Testing

Zur Analyse “denial of service”

Server Latency wenn neue Applikationen eingeführt werden

VoIP Testing


Latency oder Firewall TestingLatency oder Firewall Testing

Firewall Filterfunktion

Latency Zeiten von Switches, Router oder Firewalls

TAP-1

DPI-112

TAP-1

C ISCOSYSTEMS

Switch


PI PI VLANVLAN ISL/802.1q Decodierung ISL/802.1q Decodierung


Beispiel: Messen an einer Beispiel: Messen an einer Server to Switch VerbindungServer to Switch Verbindung

DPI

Server A Switch B

Tap Bport

Tap Aport

Port A Port B

Full Duplex Tap

Straight-thru cable Straight-thru cable

MDIXMDIX

MDIMDI

Straight-thru cables

MDI

MDIX

MDI

MDIX


Beispiel: Messen an einer Beispiel: Messen an einer Switch to Switch VerbindungSwitch to Switch Verbindung

DPI

Switch A Switch B

Tap Bport

Tap Aport

Port A Port B

Full Duplex Tap

Crossover cable Straight-thru cable

MDIXMDIX

MDIMDIX

Straight-thru cables

MDI

MDIX

MDI

MDIX


VoIP Option für PI VoIP Option für PI

Full Decode & Quality of Service Messung

New VoIP Option mit QoS MessungenReports über 30 Messungen der Qualität

By Conversation (zeigt alle calls)By Channel (zeigt alle channels innerhalb eines calls)

Full H.323 Decode Suite plus;MGCP, RTP, RTCP, SIP, Gateway, ASN.1Cisco SSP protocol

Full decode von H.323 und andere VoIP Protokollen

Full set of metric mit Schwelleneinstellung um Performance Probleme bei VoIP zu finden

RTCP interarrival jitterpacket count und packet dropped

protokollanalyse was leisten moderne tools und wie setzt man sie effizient ein

Documents