Fluke Deutschland GmbH, 05/2000 Protokollanalyse Was leisten moderne Tools und wie setzt man sie effizient ein Fluke Deutschland GmbH, 05/2000

Die Rolle des Protocol Analysators im Rahmen der SwitchVision Suite Network Inspector läuft die gesamte Zeit Monitoring Dokumentation Erkennen von Netz-Problemen LANMeter Dokumentation (Reports) Schnelles Finden fast aller Fehler Protocol Inspector Schwierige Fehler (Sicherheit, Netz-Applikationssoftware) Voice Over IP (VoIP) Gigabit Ethernet Security Server Traffic Analyse

Protokollanalyse ist der Blick durchs Mikroskop! Wir erinnern uns: Protokollanalyse ist der Blick durchs Mikroskop! We could these product series “The SwitchVision Suite”. It contains best in class tools, software and hardware, that works together to provides total visibility to your switched network environment. Each tools offers a different scope of vision/view to your network.

Internetwork Throughput Protocol Inspector Skill Level PI Distributed Protocol Inspector Application Decode Application Monitoring TrafficFlow Manager Network Analysis 694/5 SwitchInspector Network Inspector Service monitoring Device monitoring OneTouch Device testing Internetwork Throughput Connectivity testing DSP Cable certification Cable Hub PC/Host Switch Enterprise

Expertenwissen erforderlich ! Protocol Analysator Erfasst, dekodiert und filtert Pakete auf allen 7-Layern Fehlersuche, Alarme Device Monitoring Protocol Monitoring Application Monitoring Expertenwissen erforderlich !

Protocol Analysator Ursprünglich das Tool des Software/Hardware- Entwicklers Blick auf die richtige Protocol-Interaktion in Applikationen Einblick in jedes Bit in jedem Paket Ist ein Troubleshooting Tool geworden Segment-Auslastung im Normalbetrieb und bei Spitzenlast Fehler und Kollisionen im Normalbetrieb und während Spitzenzeiten Top N User Antwortszeiten Funktioniert prima im Shared-Media-Bereich (jetzt auch im Switchbereich und VLAN-Bereich einsetzbar)

Protocol Analysator - Pros Wichtig für Fehlersuche, Protokollinteroperability und Responsezeiten Frame Header Zeigt die unterschiedlichen Protokolltypen auf dem Netz Zeigt PDU und highest Layer Protocolle Frame Inhalt Zeigt die Paketinhalte auf Bit- und Byteebene + ASCII-Text Zeitliche Zusammenhänge Misst Responsezeiten von Applikationen und Protokollen Absolute Zeit: in 1/10.000 s; wird benutzt, um die Zeit zwischen 2 Ereignissen auf einer Verbindung zu messen Zeitdifferenz: Verstrichene Zeit zwischen gesendeten und empfangenen Frames; Häufig benutzt, um die Response- zeit zwischen Client und Server zu messen Relative Zeit: Kummulative Messung jedes Frames in der Aufzeichnung; hauptsächlich für Durchsatz und Performance

Protocol Analysator - Kontras Sie müssen den Node oder das Pattern des Problems kennen Anderenfalls müssen Sie bei Switches über die SPAN Funktion Port-Mirroring betreiben Kann nicht ohne Remote-Option über Switch-Segment Genzen schauen Bei Netzen mit Switches sind mehrere Analysatoren erforderlich Portabiliät ist fraglich Laptop boot time Capture-Files können groß sein 1MB/Minute sind nicht unüblich

Protokollanalysator als Ergänzung zum Network Inspector und LANMeter Überblicken der gesamte Broadcast Domain mit dem Network Inspector Finden der problematischen Nodes mit dem LANMeter, herunter bis zur Collision-Domain zusätzlich Ausschluß der Hardware als Ursache der Probleme Setzen von Filtern und Aufzeichnen von Paken an diesen Nodes mit dem Protocol Inspector Lösen von Antwortszeit- und Protokollinteroperability Problemen mit dem Protocol Inspector Vollständige Dekodierung des Verkehrsflusses mit dem Protocol Inspector

Die Fluke Protocol Inspector Familie 3 Modelle (Capture, Decode, und Filter mit NDIS-NIC): PI-100 Protocol Inspector Standard (Teil der SwitchVision Suite) PIP-100 Protocol Inspector Pro (zusätzlich Experten-Modus, Remote-Control, Distributed PI, Traffic Generator, optional Voice over IP (VoIP)) PIP-ENH (Erweiterung des PI-100 auf PIP-100) DPI für 10/100 Ethernet mit externen passiven Taps (HD / FD) Gigabit Ethernet Produkt Linie designed für Switched Networks Taps

Monitoring Summary View (mehrere Quellen, jeweils ein Darstellungsfenster) Summary View (Hauptfenster) primär für Monitoringaufgaben Auswahl der Datenquelle im/ Resourcen-Browser Setzen von Alarmen im Alarm Browser Darstellung von Systemmeldungen im Message Window

Capture View 802.1Q VLAN tagging supported IPSec Protokolle H.323 und andere Decodierung mit VoIP

Decoding Detail View

Einfach einstellbare Filterung

Protocol Inspector Expert Analyse Press the button to open Expert Analysis

Protocol Inspector - Typen und Preise

Distributed Protocol Inspector und zusätzliche Komponenten Remote protocol link verbindet alle DPI, FETA, 12 Taps and PI Agenten im Netzwerk Eine PI-Console steuert / analysiert mehrere Agenten Peer-to-peer Architektur 10/100 Mbps-Ethernet Full / Half-Duplex Gigabit-Ethernet Jedes Paket (auch fehlerhafte Pakete) werden erfaßt

Distributed PI Unterstützt Half oder Full-Duplex 10/100 Mbps Ethernet Auto-sensing 10/100 Mbps Ethernet RJ-45 Management-Port Echtzeit Packet-Decoding und -Analyse durch ASIC-Technologie (jedes Paket wird erfaßt) Full-line rate capture Full-line-rate transmit Hardware basierendes pre-filtering and packet slicing Pufferspeicher 32 MB

Distributed Protocol Inspector und Gigabit Protocol Inspector Analysator und Monitoring für 10/100 oder Gigabit Ethernet Große capture and transmit Buffer Pre-capture Filter und Slicing durch Hardware Full-line rate capture und transmit - auch bei eingeschalteter Filterung 1 oder 2 Analysator Ports 10/100/1000 Mb Ethernet 1 Interface für Half-duplex 2 Interfaces für 2 Half-duplex Segmente oder 1 Full-duplex Link Multimode, Singlemode und neu hi-power single mode auf einer Plattform

High Performance Gigabit Distributed und integrierte Architektur Erweiterung der bestehenden 10/100 Architektur Gleiche Analyse- Software wie bei 10/100 Mbps Für alle Komponenten der gesamten Plattform Fehler tolerante, non-intrusive Analyse mit passivem Tap Einsatz an unterschiedlichen Standorten, Erweiterung durch zusätzliche Analysatoren; keine Störung des Links Silicon accelerated full-bandwidth Hardware Volle Geschwindigkeit im Nutzkanal während der Datenaufzeichnung / Analyse

Taps Single und 12-Doppel Port Taps verfügbar Rack Mountable Device (nur 12-Port) Erlaubt es, Verkehr auf bis zu 12 Full-Duplex oder Half-Duplex 10/100 Mbps Ethernet Segmenten zu erfassen Passive Devices Erfordert den Protocol Inspector zur Steuerung (nutzt das RSP Protocol)

Arbeitsweise eines Taps Host A Switch B Port A Port B Straight-thru cable Straight-thru cable Power Tap A port Tap B port Der Tap spaltet die RX und TX-Signale auf Rein passives Mithören Full Duplex Links sind analysierbar DPI empfängt Daten von beiden Seiten Full Duplex Tap Läßt auch Fehler passieren (fehlertolerant) Betriebsspannungs-ausfall hat keine Auswirkung auf den “Nutzkanal” DPI kann keine Signale in den Nutzkanal senden (störungsfreies Messen) ONE WAY DATA FLOW DPI

Taps Folgende Probleme, die mit einem Port-Mirroring verbunden sind, treten bei einer Tap-Lösung nicht auf: Switch Performance Reduzierung Mindestens 1 Port steht für Analyse/ Monitoring nicht fur LAN Verkehr zur Verfügung Fehlerhafte Pakete des physikalischen Layers, wie “Runts” und “überlange Pakete” werden nicht aufgezeichnet Verlieren der Full-Duplex Fähigkeit

Taps Darstellen des Verkehrs an HD und FD 10/100 Mbps Ethernet Segmenten von einem PI oder DPI Typische Verwendung an Links an denen Monitoring und Verkehrsanalyse wichtig sind Rein passiver Abgriff es Verkehrs Unterbrechnung der Stromversorung zum Tap, führt nicht zum Verlust der Netzverbindung (kein Verlust von Daten) Non-invasive Analyse und Monitoring Fault tolerant Erlaubt switches and hosts to negotiate linking Keine Beeinflussung von Switches oder Links Capture beide Seiten der Verbindung

Welche Meßmittel braucht man bei Switched Networks ? Full duplex DPI Pods Syncronisiertes Dual Port Interface Fehler-Tolerante Link Taps Kein einschränkendes Monitoring / Analyse Mirror (span) Ports leisten dies nicht! Blenden Fehler aus, bevor die fehlerhaften Daten vom Analysator gesehen werden Keine 100%-ige Fehlersuche möglich

Fiber Optic Tap Fiber Tap, 1 Port DPI Single oder Multimode Modelle verfügbar Für 10BaseF, 100BaseFX, 1000BaseSX/LX < 4db Dämpfung Fehler-tolerante und passive optische Splitter Technologie Unterbrechung des Links für Analyse und Fehlersuche nicht erforderlich Optional rackmount frame, 3 oder 12 Slots DPI Fiber Tap

Protocol Inspector System Requirements Processor: 166 MHz Pentium Memory: 64Mbyte 192Mbyte (VoIP oder Gigabit DPI) Disk Space: 20-25 MB Display: 800 X 600 OS: Win95/98/2K & WinNT 4.X

DPI Hardware

Distributed System Beispiel Distributed Protocol Inspector Distributed Protocol Gigabit Distributed Protocol Inspector Protocol Inspector Tap-1 Tap-12 100 Mbps Server switch 100Mbps multimode fiber Gigabit backbone switch singlemode backbone server farm 10/100 Mbps local hub switch Fast E’net Traffic Analyzer

Distributed System Beispiel Distributed Protocol Inspector Distributed Protocol Protocol Inspector Tap-1 Tap-12 100 Mbps Server switch 100Mbps multimode fiber Gigabit backbone switch singlemode backbone server farm 10/100 Mbps local hub switch Fast E’net Traffic Analyzer Gigabit Distributed Protocol Inspector

Server/Gateway Latency Testing Zur Analyse “denial of service” Server Latency wenn neue Applikationen eingeführt werden VoIP Testing TAP-1 DPI-112 Server

Latency oder Firewall Testing TAP-1 DPI-112 C I S O Y T E M Switch Firewall Filterfunktion Latency Zeiten von Switches, Router oder Firewalls

PI VLAN ISL/802.1q Decodierung

Beispiel: Messen an einer Server to Switch Verbindung MDI MDIX MDIX MDI Server A Switch B Port A Port B Straight-thru cable Straight-thru cable Tap A port Tap B port Full Duplex Tap MDIX MDIX Straight-thru cables MDI MDI DPI

Beispiel: Messen an einer Switch to Switch Verbindung MDIX MDIX MDIX MDI Switch A Switch B Port A Port B Crossover cable Straight-thru cable Tap A port Tap B port Full Duplex Tap MDIX MDIX Straight-thru cables MDI MDI DPI

VoIP Option für PI Full Decode & Quality of Service Messung New VoIP Option mit QoS Messungen Reports über 30 Messungen der Qualität By Conversation (zeigt alle calls) By Channel (zeigt alle channels innerhalb eines calls) Full H.323 Decode Suite plus; MGCP, RTP, RTCP, SIP, Gateway, ASN.1 Cisco SSP protocol Full decode von H.323 und andere VoIP Protokollen Full set of metric mit Schwelleneinstellung um Performance Probleme bei VoIP zu finden RTCP interarrival jitter packet count und packet dropped

Voice-Over-IP Applikationen IP Network Die momentane Explosion von IP Telefon-Produkten VOIP Telefon, VOIP PBXs, VOIP PCs etc und die neuen Dienste, niedrigeren Kosten und flexiblen Qualitäts-Service PC to PC Calls PSTN PC to Phone Calls Phone to Phone Calls Immature, rapidly evolving

IP Data Network POPs in den USA Chicago Boston San Jose NY Dallas LA VOIP POPs Atlanta IP Telephony POPs are interconnected by WAN links (T-1, T-3 and OC-N)

In einem IP Telefonie POP Von der Telefon- Nebenstellen-Anlage (PSTN für Voice calls) VOIP Gateway WAN Router Ethernet DPI Typischer VoIP POP Ethernet arbeitet als “Tap”-Anschluß für den Analysator

Fluke VoIP Options-Architektur Application Enabler Platform Network VoIP Monitoring Analysis Capture Expert Transmit Filtering Logging Alarms Protocol Inspector Software Standard NIC Portable CardBus Gigabit DPI Distributed Protocol Inspector FETA 10/100/1000 Network Link

Fluke DPI Hardware ist der Schlüssel für VoIP Call Set-up protocols benutzen die “conversation port numbers” Wenn Sie Pakete nicht aufzeichnen, die die “conversation port number” enthalten…. Werden Sie den Anruf nicht erfassen ! Sie brauchen 100% capture Fähigkeit DPI erfaßt 100% !

VoIP Einsatzgebiete Carrier, Telcos, ISPs POP Instrumentation QoS Verification/Analysis Resource Planung Enterprises - Einführung von VoIP im Campus Resolving Interoperability Probleme Monitoring/Troubleshooting QoS Verification/Analyse

QoS - Typische Fragen und wie man sie meßtechnisch klärt Was muß ich messen? Wie messe ich es? Wie wichtig ist die Messung bezüglich QoS? Wie muß ich umbauen, um die gewünschte Qualität zu bekommen? Wann muß ich meine Netzwerkkapazität erweitern? Wo kann ich excessive Data Hops entfernen? Warum kommen bestimmte Probleme vor? Was leistet das Netzwerk wirklich? Welche Architektur brauche ich? Wieviele T1s für mein 100/1000 Mbps IP-Netzwerk? Was verursacht die Verzögerung, den Jitter oder die Verluste? Messungen geben Aufschluß, wie das Netzwerk zu dimensionieren ist Traffic Formeln (Erlang Tables, Poisson Tables, ITU Group 12) Fluke’s VoIP erfaßt die IP Information die man als Basis für diese Tabellen braucht

Die VoIP Option ermöglicht Capture + Filtering und Decodierung für H323, Cisco SSP, SIP, MGCP und mehr Voice - Over - IP Gateway Voice DPI Darstellung des Verkehrs: By Call By Channel By Conversation Über 30 verschiedene Arten der Qualitätsmessung Switch IP Network VoIP Protocol Distribution View

VoIP Capture View Q931 Signaling Packet Detail View Hex View

Call Summary Informationen Voice - Over - IP Gateway DPI

Voice - Over - IP Gateway DPI

…weitere Auswertungen Set Up Time Calculation Jitter Berechnung und RTCP Jitter Packet Loss Berechnung Call Dispositionen Network Utilization pro Anruf Exportierbar in CSV-Files Source und Destination Informationen

Spätere Auswertungen End point phone numbers and IP addresses Manufacture and Product Name of end point devices Version of end point devices Version number of H.323 used by each end point device Video coding used by each end point device Port values used by each end point device for H.245 connection Port values used by each end point device for RTP datagrams Port values used by each end point device for RTCP datagrams Master/Slave and Gatekeeper indication Q.931 Call reference value ID