Netzwerkanalyse, Fehlersuche, Testberichte
Home / News
Netzwerkanalyse
Grundlagen
Verkabelung
Erste Schritte
Baselining
Let's sniff
Tools
Auswerten/Filtern
Typische Probleme 1
Typische Probleme 2
Sicherheit
Bücher
Tutorials
Cacti
DSL einrichten
DynDNS einrichten
m0n0wall | pfSense
Nmap
VirtualBox
Wireshark
Forum
Shop
FAQ
Know How
Testberichte
Hardware-DB
Events
Netzwerklexikon
Links / Service
Suche
Kontakt
Impressum
Feedback
Sitemap
Partner
Unser Partner für
SSL Zertifikate
ist Checkdomain GmbH.
Netzwerktechnik Forum

Forum Netzwerktechnik (Archiv)

Kategorie Netzwerktechnik - Forum Netzwerkprotokolle und Dienste

 
Frage zur Netzwerkanalyse

geschrieben am 11.08.2009 um 11:09 von HaCeWe

Hallo Forum,

ich hoffe mir kann jemand einen Tipp geben, was ich falsch mache. Folgendes TEST-Szenario:
Netzwerkverkabelung:
Rechner 1
IP: 192.168.2.50
__||
__||
"Öffentliche" IP des Routers: 192.168.2.1
Router
"Private" IP des Routers: 192.168.1.1
__||
__||
Rechner 2
IP: 192.168.1.100


Ich setze Wireshark auf Rechner 1 und Rechner 2 ein. Auf dem Router ist eine Portweiterleitung des Ports 443. Auf dem Rechner 1 ist ein "Client"-Tool das auf dem Port 443 zum Router hin Last erzeugt. Der Router soll die Pakete weiter auf den Rechner 2 leiten - dies ist durch das Portforwarding eingerichtet. Der Rechner 2 hat ein "Server"-Tool, welches den Traffic annimmt.

Auf beiden Rechner wird gleichzeitig ein Capture durch Wireshark laufen gelassen. Wenn ich dann den Display-Filter "tcp.port == 443" einsetze, dann sehe ich auf beiden Rechnern unterschiedliche Pakete und auch unterschiedliche Byte-Zahlen. Der Filter sollte dafür sorgen, dass alle anderen Sachen (Broadcasts, Druckeranfragen oder sonstiges) außen vor bleiben.

Warum sind die Sachen nicht gleich? Selbst wenn ein kleiner Unterschied vorhanden wäre, könnte ich mir das vielleicht durch das Routing bzw. das NAT des Routers erklären. Aber ich habe hier einen Unterschied vom Faktor 2,5. Also auf dem Rechner 1 werden 2,5 mal soviele Bytes sowie auch Pakete gezählt als auf dem Rechner 2.

Hat da einer von euch vielleicht eine Erklärung zu?


Wäre fein, wenn mir jemand weiterhelfen könnte, damit ich das verstehe.


Besten Gruß
Christian
 

geschrieben am 11.08.2009 um 19:23 von Mirko

Läuft da eine "echte" TCP-Kommunikation? Hast Du mal auf gesendete bzw. empfangene Frames gefiltert?

Mirko
 

geschrieben am 12.08.2009 um 14:00 von HaCeWe

Hi Mirko,

dank dir fürs Anworten!

Ja - ich habe mir die Daten im Wireshark angeschaut. Es sind SYNC und ACK und die entsprechenden Daten vorhanden. Also aus meiner Sicht eine echte Kommunikation.

Ich habe jetzt folgendes noch getestet:
Die obigen Ergebnisse habe ich ermittelt, in dem ich in dem "Last-Tool" 100 gleichzeitige Verbindungen laufen gelassen habe. Mit weniger gleichzeitigen Verbindungen, also mit deutlich weniger Last, wird die Differenz weniger. Also bei einer Verbindung liegt die Differenz bei knapp 1% - was ich mir durchs Routing oder/ und NAT erklären würde.

Bei unter 15 Verbindungen liegt der Unterschied <10%.

Aus meiner Sicht schon viel zu groß. Was mich aber wundert, ist, dass der Router damit nicht einmal 10 Verbindungen nebeneinander sauber arbeiten lassen kann. Also als Router in einer kleinen Firma schon nicht geeignet.

Kleiner Hintergrund:
Projekt mit 10-15 Leuten, die sich durch den Router (Portforwarding) an einen OpenVPN-Server verbinden sollen. Die Leute arbeiten danach per Remotedesktop auf anderen Rechnern.

Ich habe diesen Router gekauft, da ich angenommen habe, dass er diese Last wohl vertragen sollte. Nachdem ich den alten NetScreen Router gegen diesen hier ausgetauscht habe, konnten die Leute gerade mal 10 Minuten arbeiten, danach war kein Zugriff mehr möglich. Ich konnte den Router von innen per Webinterface erreichen und habe ihn darüber neugestartet. Danach war wiederrum für etwa 5 Minuten das Arbeiten möglich. Danach wurde der Traffic von außen und auch nach außen wieder unterbrochen.

Mit dem obigen Versuchsaufbau wollte ich einen Rückschluß ziehen. Ich gehe davon aus, dass entweder der Router nichts taugt oder aber defekt ist. Ich werde Linksys deswegen mal anrufen - vielleicht können die mir genaueres sagen.

Dank dir auf jeden Fall schonmal für dein Interesse und deine Bereitschaft.


Besten Gruß
Christian
 

geschrieben am 12.08.2009 um 14:58 von Otaku19

durch routing werden die Pakete nicht verändert, wohl aber durchs NAT (aber nicht so das sich Datenmengen erheblich ändern), läuft denn am Router NAT ? Gibts vielleich tunterschiedliche MTUs ? Weiters ist es sehr von der Anwendung abhänbgig wie viele TCP Flows entstehen, sowie http 1.0 und 1.1 da unterschiedlich arbeiten.

Routerdurchsatz würde ich eher mal mit netio checken, falls möglich auch den Router monitoren was sich dort so am Interface und der CPU abspielt, aber ich denke mal das wird irgendeine home Gurke sein ?
 

geschrieben am 12.08.2009 um 20:19 von Mirko

Du hast ja den WAN-Port des Routers via Fast Ethernet mit einem PC verbunden, oder? Damit haben die CPUs vieler kleiner Router so ihre Probleme. Die so entstehenden TCP-Retransmissions könnten auch die Unterschiede in den beiden Traces erklären.

Mirko
 

geschrieben am 13.08.2009 um 12:36 von HaCeWe

@Otaku19:
Ich muss gestehen, ich bin bislang nur oberflächlich mit dem Datenverkehr in Berührung gekommen - bzw. die Sachen, die ich mal gemacht habe, sind schon einige Jahre her. Daher meine Vermutung, dass die kleinen Differenzen durchs NAT (oder durchs Routing - ok verneint ;) ) zustaande kommen.

Ich habe den Router gerade jetzt nicht vor Augen - wenn ich das richtig im Kopf habe, habe ich aber keine Einstellung gesehen, die die MTU ändert. Will das aber jetzt nicht 100%ig behaupten. An den beiden PCs sind auch die Standard Einstellungen von XP belassen worden.

Die Anwendung netio habe ich mir gerade mal auf einer Homepage angeschaut. Sieht um einiges vielversprechender aus, als die Anwendung "Traffic", die ich hier vorliegen habe.

Das Gerät ist von Linksys - RVS4000. Soll ein Produkt für kleine Unternehmen sein. Aber ist im Prinzip genauso ein Mist, wie die Home Produkte. Habe vor einigen Wochen zum ersten mal an einem Cisco Router (1841) experimentieren dürfen. Das sieht schon viel komplexer und erfolgversprechender aus.

@Mirko:
Der WAN Port ist direkt verbunden - ja. Müsste ich noch einen Hop dazwischen setzen, um die Retransmissions des Rechners zu kappen? Wobei so richtig einleuchten will mir das nicht. Weil dann habe ich die Retransmissions ja trotzdem. hmmm...

Dank euch für eure Erklärungen und Hinweise.


Besten Gruß
Christian
 

geschrieben am 17.08.2009 um 15:40 von HaCeWe

Hallo nochmal,

ich habe den Router nochmal zur Brust genommen mit netio. Der Durchsatz lag bei nur 2,5MByte/s. Der Router ist gigabitfähig - habe aber nur 100MBit-Controller zum Testen. Also sollte doch ein Maximum von 100*0,9/1024MByte/s ~ 11 MByte/s möglich sein, oder gilt das nur für Switche ohne "Logik"?

Ich werde mal ein paar andere Router zwecks Vergleichsmöglichkeiten mit netio abtasten. Hat einer von euch vielleicht Erfahrungswerte dazu? Ich finde 2,5MByte/s ist einfach viel zu wenig.


Besten Gruß & Dank!
Christian
 

geschrieben am 18.08.2009 um 08:24 von Otaku19

der theoretische Wert wir dnich wirklich zu erreichen sein,allerdings sind 2,5MB wirklich nicht berauschend.
Nur wenn du von ein Netz ins andere testest, dann wird geroutet und nicht geswitcht. Man darf auch den Aufwand für NAT nicht ausser Acht lassen, kleine Router benötigen für beides schon relativ viel ihrer Ressourcen, in dieser Preisklasse sind die Features eines L3 Switches einfach nicht drin
 

geschrieben am 18.08.2009 um 23:08 von Sebastian

Hallo,

bis jetzt habe ich in Sachen Zuverlässigkeit gute Erfahrungen mit
Bintec R232b bzw. R3000 Routern von Bintec gemacht.
Haben mittlerweile mit aktueller Firmware auch eine nette Weboberfläche und sind so ziemlich unverwüstlich. Firmware Updates kostenlos.

Alternativ typische Kanditaten in diesem Bereich:
-Lancom
-kleiner Cisco

Andere Routerhersteller verwende ich nicht im prof. Bereich.
Firewalls/UTM System mit Routingfunktionalität sind bei dieser Aufzählung ausgenommen.
 

[ Dieses Thema im Live-Forum aufrufen ]

Sie befinden sich im Archiv des Forums.
Zum Forum

Archiv erstellt mit phpBB2HTML 0.1 - Foren in statisches HTML umwandeln © 2006 Mirko Kulpa

 

 
© 2004-2015, network lab - we make your net work - Netzwerkforum
aktualisiert am 21.10.2017