caplon – der Netzwerk-Protokollanalysator für Gigabit-Netze
Ihr Netzwerk wird schneller? Unser Tracer auch!
von Martin Nicolay
Zurzeit befinden sich viele Netzwerke in einer Umbauphase, in der alte 10/100- Mbit- durch Gigabit-Komponenten ersetzt werden. Diese Umstrukturierung bringt nicht nur Vorteile, es entstehen auch Probleme. Vor allem die Analyse von Netzwerkdaten gestaltet sich aufgrund der hohen Geschwindigkeit als schwierig. Die Zahl von 1 Gbit/s sieht auf den ersten Blick nicht besonders spektakulär aus, bei genauerer Betrachtung handelt es sich hierbei jedoch um immense Datenmengen.
Innerhalb einer Sekunde können bei der theoretischen Geschwindigkeit von 1 Gbit/s Full Duplex, fast 240 Megabyte Daten übertragen werden. Pro Minute fallen somit 14 Gigabyte an Daten an. Auch wenn in der Realität ein Durchsatz von 1 Gbit/s nicht erreicht werden kann, stehen bereits 80 % Auslastung (in der Praxis erreichbar) für eine respekteinflößende Datenmenge. Durch diese Betrachtung wird schnell klar, dass dieses Problem nicht mit Standardtools und -komponenten zu lösen ist.
Die Verwendung einer schnelleren CPU und ein paar mehr Festplatten reichen nicht aus, um den gesamten Datenverkehr mitzuschreiben und zu analysieren. Trotz der rasanten Entwicklung der Hardware sind Standardkomponenten auch bei diesen Datenmengen überlastet. Dabei ist es aber in einigen Anwendungsfällen unausweichlich, den Netzwerkverkehr vollständig mitzuschreiben und nicht nur für ein paar Sekunden.
Auf diese neuen Anforderungen der Netzwerktechnik reagiert consistec mit einem neuartigen Trace-Tool, das den Netzwerkverkehr mit einer Geschwindigkeit von 1 Gbit/s Full Duplex (2 Gbit/s effektiv) vollständig und verlustfrei mitschneiden kann: caplon (capture all packets – lose none).
Die Anforderungen an caplon wurden mittels einer Server-Client-Architektur umgesetzt. Dabei übernimmt der Server das eigentliche Mitschneiden der Netzwerkdaten. Der Client ist für die Darstellung und Analyse der Daten zuständig.
Ein System – mehrere User
Diese Architektur ermöglicht es, mehrere Clients gleichzeitig und an verschiedenen Orten zu betreiben. Weiterhin sind die Clients vollkommen unabhängig voneinander. Das heißt, jedem Client werden genau die Daten, die von ihm angefordert wurden, zur Verfügung gestellt. Dabei ist die sinnvolle Einschränkung der Daten durch Capture-Filter für jeden Client unabhängig von den Filtern der anderen Clients möglich. Diese Filter können durch den Benutzer eingestellt werden und bieten so eine individuelle und einfache Möglichkeit, dass nur die relevanten Daten mitgeschnitten werden.
Plug & Trace
Als Client-Software kann der standardmäßig ausgelieferte Wireshark oder ein individuell an Kundenbedürfnisse angepasster caplon-Client eingesetzt werden. Selbstverständlich ist auch ein Mischbetrieb möglich. Der Benutzer erhält durch die Oberfläche ein intuitiv zu bedienendes Werkzeug an die Hand, mit dem die Netzwerkdaten analysiert werden. Mit dem vollständigen Funktionsumfang von Wireshark steht so ein Tool zur Verfügung, das nicht nur die Dekodierung von Protokollen, sondern auch verschiedene statistische Analysen beinhaltet. Selbst das von Wireshark bekannte „Live-Tracen“ wird durch caplon unterstützt. Unmittelbar nach dem Beginn des Mitschneidens stehen die Daten dem Client zur Verfügung und können analysiert werden. Trotz der immensen technischen Herausforderungen ist dieser „Luxus“ bereits in der kleinsten Ausbaustufe von caplon verfügbar.
Das Herz schlägt im Gigabit-Takt
Die Serverkomponente von caplon bildet das Herz und ist für die Datenakquise und -verteilung an die Clients zuständig.
Unterstützt wird der Server durch eine spezielle Netzwerkkarte auf Basis von FPGAs und/oder DSPs (DAG-Card), die ausschließlich zum Mitschneiden der Daten verwendet wird. Diese kann mit Anschlüssen für elektrische oder optische Netzwerke bestückt werden und bedeutet ein Höchstmaß an Flexibilität. Die Netzwerkdaten werden von einem Network-TAP zur Verfügung gestellt, das an das zu überwachende Netzwerkkabel angeschlossen wird. Die Daten werden auf einem speziell präparierten RAID-
System in caplon zwischengespeichert. Die endgültige Datenspeicherung geschieht durch die Clients, die die Daten auf der Systemfestplatte speichern.
Safety first
Natürlich ist, je nach Ausbaustufe von
caplon, die Systemfestplatte als RAID-System erhältlich, um auch bei einem Festplatten-Crash Datenverluste zu vermeiden.
Als besonders sensibel ist natürlich das zu überwachende Netzwerk zu betrachten. In keinem Fall ist hier eine Beeinflussung durch caplon zu akzeptieren. Durch die Verwendung von Network-TAPs werden selbst im Falle eines Fehlers von caplon die Netzwerkdaten korrekt zugestellt und der Betrieb des Netzwerks ist zu keinem Zeitpunkt durch den Einsatz von caplon gefährdet.
Verlustfreies Tracen
Aufgrund der Trennung des Mitschneidens und der Analyse der Daten ist es caplon möglich, alle Daten, selbst bei vollständiger Auslastung des Netzwerks, mitzuschneiden, ohne ein einziges Paket zu „verpassen“. Dabei werden die einzelnen Netzwerkpakete nicht wie bei den meisten anderen Produkten beschnitten und sind damit nur noch für statistische Auswertungen zu gebrauchen, sondern werden vollständig gespeichert. Selbst nach Jahren ist eine genaue Ansicht der übertragenen Daten möglich.
Fazit
Die Kombination aus Netzwerk-Analysetool und Hochleistungs-Tracer dekodiert und analysiert den gesamten Datenverkehr – auch bei hohen Datenraten. Je nach Ausbaustufe erfasst caplon verlustfrei Daten bis in den Terabyte-Bereich und ermöglicht bis zu einer Geschwindigkeit von 1 Gbit/s Full Duplex (2 Gbit/s effektiv) eine verlustfreie Datenerfassung und Analyse von Netzwerken. Verlustfreie Datenerfassung in Netzwerken und weitreichende Möglichkeiten zur Datenauswertung – mit caplon setzt consistec hier neue Maßstäbe in Sachen Netzwerk-Analysetools.
