Menu

Der sogenannte FAB von Garland Technology, ein Network Packet Broker mit Filter, Aggregation und Load-Balancing Eigenschaften, hilft Ihnen, große Datenströme für Monitoring Zwecke effizient zu verwalten. Bei traditionellen Netzwerk Monitoring Methoden werden oftmals die Analysegeräte mit den Datenleitungen direkt verbunden. Dabei müssen die Daten ungefiltert von den Monitoring Systemen aufgenommen und bearbeitet werden. Diese Variante verbirgt Risiken, da mit steigender Datenmenge die Performance der Tools leidet und die Analysesysteme die Daten nicht mehr akkurat erfassen können. Zum Abgriff der Daten werden häufig noch SPAN Ports benutzt, die aber für ein permanentes Monitoring nicht geeignet sind. Auch Cisco macht die Anwender auf die Risiken von SPAN Ports aufmerksam.

Weitere Informationen finden Sie in unserem Beitrag Netzwerk Taps.

Netzwerke müssen heute aus verschiedenen Gründen überwacht werden, sei es, um Eindringversuche zu erkennen, zur klassischen Fehleranalyse, Web Performance Monitoring, Messung der Applikationsleistung, zur forensischen Analyse, aus Compliance Gründen oder zu anderen Security Zwecken.

An dieser Stelle ist es besonders wichtig, dass die Monitoring Systeme nur die Daten vom Netzwerk erhalten, die auch für die entsprechende Analyse notwendig sind. Werden die Daten ungefiltert weitergeleitet, dann muss das Analysewerkzeug alle ankommenden Datenpakete annehmen und rechenintensiv bearbeiten. Dieser Prozess beansprucht teure Ressourcen und wirkt sich negativ auf die Performance und somit das Ergebnis der Analyse aus.

Stattdessen schaltet man eine weitere Ebene zwischen dem Netzwerk und dem Monitoring System und filtert mit sogenannten Network Packet Broker aus den Datenströmen die Netzwerkpakete heraus, die von Interesse sind. Durch diese Methode bekommen die Analysesysteme weniger Daten und können sich vollständig auf die Auswertung der relevanten Informationen konzentrieren. Somit können z.B. für eine Analyse der DNS Performance alle nicht DNS Pakete aus den Datenströmen entfernt werden, was zu einer Lastreduzierung auf den Tools führt und die Ressourcennutzung optimiert. Durch diese Methode können einfach und gezielt Datenpakete aus riesigen Datenströmen entfernt bzw. herausgefiltert werden, was zu einer Verbesserung der Monitoring Qualität führt.

Ein weiteres Feature eines solchen Data Monitoring Switches ist die dynamische und intelligente Umverteilung der Datenströme anhand der Auslastung. Hier werden die gesamten Netzwerkdaten ebenfalls zentral am Network Packet Broker zusammengeführt und von hier aus an die angeschlossenen Tools gleichmäßig umverteilt. Hierzu wird eine Monitoring Gruppe erstellt und nach dem Regelwerk die Netzwerkdaten an die Gruppe geschickt. Sind z.B. 4 Tools dieser Gruppe zugeordnet, dann bekommt jedes System ca. 25% des gesamten Datenvolumens. Damit können auch Hochverfügbarkeitsszenarien abgebildet werden. Fällt nämlich ein Tool aus, bekommen die verbliebenen 3 Monitoring Systeme 33% des Datenverkehrs und Sie haben Ihre Netzwerkdaten stets im Überblick. Damit solch eine Lastverteilung ohne externen Eingriff automatisch funktioniert, muss der FAB Netzwerk Flows bzw. Sessions erkennen, da ansonsten die angeschlossenen Monitoring Systeme nur fragmentierte Informationen erhalten würden und eine Analyse somit nicht möglich wäre.

Für die Erkennung von Sessions ist der Data Monitoring Switch von Garland Technology mit weitreichenden Funktionen ausgestattet, wie Sie im unteren Bild sehen können. Dabei kann der Network Packet Broker die Flows anhand von folgenden Kriterien identifizieren; Source IP, Destination IP, Source Port, Destination Port, MPLS Labels und IPv6 Adressen.


Load-Balancing Kriterien



Load-Balancing Szenario

Je nach Konfiguration und Filter Policy wird der gesamte Datenverkehr gleichmäßig auf die Load-Balancing Gruppe 1 verteilt. Der Network Packet Broker achtet dabei, dass jedes Tool gleichviel Daten bekommt und würde in dem unteren Beispiel jedem Monitoring Tool 25% des Datenverkehrs weiterleiten. Für eine gerechte Verteilung wird die Session Table und das Volumen des Datenverkehr ausgewertet.



Fällt ein Monitoring Tool aus der Load-Balancing Gruppe aus oder wird zu Wartungszwecken vom Switch entfernt, dann verteilt der Network Packet Broker die Daten entsprechend auf die verbliebenen Tools um. In unserem Beispiel hier, würden die noch aktiven Analysesysteme jeweils ca.33,3% des Datenverkehrs bekommen. Sobald das ausgefallene System wieder Online ist, findet wieder die gewöhnliche Lastverteilung auf alle 4 Tools statt. Per SNMP oder auch Syslog werden Sie über solche Ereignisse proaktiv informiert. Das Load-Balancing findet ohne Eingriff vollautomatisch statt.





Selbstverständlich können Sie mehrere Load-Balancing Gruppen erstellen und den Netzwerkverkehr nach Ihren Interessen umverteilen. Eine weitere Möglichkeit bietet Ihnen der Network Packet Broker, nämlich Sie können den gesamten Traffic am Eingangsport und/oder am Ausgangsport zusätzlich mit Filter Regeln aussortieren. Somit könnten Sie einen bestimmten Teil Ihres Netzwerkverkehrs z.B. Database Traffic für die Analyse an Load-Balancing Gruppe 1 schicken und alles andere an LB Gruppe 2. Auch ist es erlaubt die kompletten Daten an beide LB Gruppen gleichzeitig zu verteilen. Haben Sie 10G oder 40G Leitungen aber das Datenvolumen ist kleiner <5G, dann können Sie bequem Ihren kompletten Datenverkehr redundant auf 1G Analysetools lastverteilen. Sollte Ihr gesamter Traffic größer 10G sein, und Sie möchten es aber dennoch mit 1G Tools überwachen, dann haben Sie die Möglichkeit per Packet Slicing den Payload abzuschneiden oder per Filter die Daten vorher auszusortieren. Der Network Packet Broker ist sehr flexibel und erlaubt sehr viele Konfigurationen, die wir Ihnen gerne vor Ort oder auch remote vorführen.




Wir beraten Sie gerne und freuen uns über Ihre Kontaktaufnahme!

NEOX - Standort

Unsere Partner

IT Security made in Germany TeleTrusT Quality Seal


Kontakt zu uns!

NEOX NETWORKS GmbH
Otto-Hahn Strasse 8
63225 Langen / Frankfurt am Main
Tel: +49 6103 37 215 910
Fax: +49 6103 37 215 919
Email: info@neox-networks.com
Web: http://www.neox-networks.com
Anfahrt >>