Ein Programm zur Verkehrsflußanalyse in heterogenen geswitchten Netzwerken.
Von Corina Apachite, Mohamed Zouari, Iskander Rekik, Stefan Henze und Karsten Römling.
© 2000. All rights reserved.
Dies ist ein vorläufiges Handbuch. Es ist u.U. noch nicht vollständig und enthält möglicherweise noch nicht alle wichtigen Punkte. Mit Auslieferung des fertigen DisTAnz wird es ein komplettes, fehlerbereinigtes Handbuch geben.
Die Analyse von Verkehrflüssen in lokalen Netzwerken ist schon lange ein wichtiger Teil der Arbeit im Netzwerkmanagement. Doch haben traditionelle Tools wie tcpdump und Ethereal den Nachteil, in geswitchten lokalen Netzwerken nur jeweils ein Segment beobachten zu können.
Der Distributed Traffic Analyzer bietet dagegen die Möglichkeit, auch in einem solchen Netzwerk eine Analyse des gesamten Netzwerkverkehrs vornehmen zu können.
Hierzu werden mehrere Agenten auf die verschiedenen, durch Switches getrennten Segmente des Netzwerkes angesetzt, und leiten die von ihnen gesammelten Daten auf Anfrage an einen Manager weiter. Dieser schlüsselt die Daten entsprechend der Nutzervorgaben auf und stellt sie dar.
Um nun in den einzelnen Netzwerksegmenten Daten sammeln zu können, werden Agenten benutzt. Diese Agenten bekommen von einem Hilfsprogramm (tcpdump; ist seperat zu installieren) auf Port 2000 eine textuelle Entsprechung des IP-Verkehrs im Segment. Die Agenten führen (mit Hilfe einer zuvor durchgeführten Synchronisation mit dem Manager) eine Korrektur der Zeitstempel durch und behalten dann die Daten der letzten maximal 12 Stunden im Speicher. Auf Anfrage eines Managers werden die seit der letzten Anfrage desselben Managers aufgelaufenen Daten an diesen übermittelt.
Der Manager übernimmt die Zusammenführung der von den Agenten gelieferten Daten. Hierzu können einerseits alle verfügbaren Agenten gefunden, als auch einzelne Agenten zur Datenabfrage ausgewählt werde. Die gesammelten Daten werden dann zusammengeführt, sortiert und angezeigt. Auch eine Speicherung von Daten ist möglich.
Das Programm ermöglicht gegenwärtig nur die Analyse von IP-Verkehr im Netzwerk. Andere auf Ethernet aufsetzende Protokolle werden nicht betrachtet. Weiterhin werden nur TCP, UDP und ICMP als auf IP aufsetzende Protokolle differenziert, und auch diese nicht in allen Einzelheiten aufgeschlüsselt. Insbesondere die Beobachtung von Paketinhalten ist nicht möglich.
Zum Betrieb der Programme ist auf den Rechnern ein lauffähiges JDK 1.2.x Voraussetzung. Für den Betrieb des Managers ist zudem eine grafische Benutzeroberfläche nötig. Eine Bildschirmauflösung von mindestens 800x600 Punkten wird empfohlen, eine Maus ebenfalls. Es wird 1 MB Festplattenspeicher benötigt, der RAM-Bedarf ist vom beobachteten Netzwerkverkehr abhängig.
Der Start des Systems setzt sich aus zwei Teilen zusammen. Erst sind ein oder mehrere Agenten zu starten, danach der Manager. Diese Reihenfolge ist nicht zwingend, aber empfehlenswert. Ohne Agenten ist keine Beobachtung des Netzwerkverkehrs möglich, so daß der Start des Managers allein nur zur Betrachtung einer zuvor gespeicherten Beobachtung sinnvoll ist.
Die Agenten sind auf jeweils einem Rechner eines jeden zu beobachtenden Netzwerksegmentes zu starten. Der Startvorgang ist dabei sehr einfach:
java -jar DTAAgent.jar [<port> <group>]
Standardwerte fü Port und Gruppe sind 35000 und 230.0.0.1.
Sollten hierbei Fehler auftreten, so wird der Agent eine Fehlermeldung ausgeben. Die Bedeutung dieser Fehlermeldung kann im Abschnitt Fehlersuche nachgeschlagen werden.
Der Start des Managers gestaltet sich ebenso einfach wie der Start eines Agenten. Der Manager kann auf einem eigenen Rechner gestartet werden, ebenso kann er jedoch auf dem gleichen Rechner laufen wie ein Agent. Das Starten mehrerer Manager hat keine Nachteile.
java -jar DTAManager.jar [<port> <group>]
Standardwerte fü Port und Gruppe sind 35000 und 230.0.0.1.
Sollten hierbei Fehler auftreten, so wird der Manager eine Fehlermeldung ausgeben. Die Bedeutung dieser Fehlermeldung kann im Abschnitt Fehlersuche nachgeschlagen werden.
Über die Menüs sind die meisten Funktionen des Programms zugänglich, lediglich die Sortierung der Tabellen kann nur durch einen Mausklick auf den Tabellenkopf beeinflußt werden.
Unten ein Screenshot des Manager-Fensters mit den vier Hauptbereichen Menü, Sortierungen-Liste, Datentabelle und Detail-Fenster. Die Menüs werden im Abschnitt Die Menüs erläutert.
Hier kann mit einem Mausklick eine Art der Datenansicht ausgewählt werden. Die Datentabelle wird entsprechend ausgetauscht. Diese Funktion ist auch über das Menü Ansicht zu erreichen.
Hier werden die Daten, die aus der Netzwerkbeobachtung gewonnen werden, dargestellt. Ein Klick auf eine Spaltenüberschrift sortiert die Tabelle nach den Werten dieser Spalte. Ein Klick bei gedrückter Shift-Taste kehrt die Sortierreihenfolge um. Ein Klick auf einen Karteireiter stellt statt der summierten Daten nur die vom ausgewählten Agenten kommenden Daten dar.
Mittels Drag & Drop können die Tabellenspalten umsortiert werden, ebenso ist mit der Maus eine Änderung der Spaltenbreiten möglich.
Nach einem Klick auf eine Zeile der Datentabelle werden hier die zugehörigen Detailinformationen angezeigt.
© 2000. All rights reserved.