netzwerk Monitoring
geschrieben am 29.08.2007 um 16:00 von a.mirbach
Hi Leute,
ich möchte gerne mein Netzwerk Monitoren.
Ich habe 3 ProCurve Managebare Switche mit je 2 GBICs.
Die Switche sind über ein GBIC miteinander verbunden.
Jeder dieser Switche hat einen Monitor Port. (der 2. GBIC)
Was ich jetzt wissen wollte ist, wie kann ich am besten an die Infos im Netz kommen. z.B. die Monitor Ports auf ein Matrix Switch und von da auf einen Server mit einer SNMP Software...???!!?? Ich kann mir das leider noch nicht genau vorstellen wie sowas auszusehen hat.
Ich möchte einerseits ein Baselining realisieren also Traffickontrolle Top-Talker bla bla... und wenn Fehler auftreten möchte ich mir schnell den Port schnappen und mit einem Sniffer einen ausführlichen Test machen.
Also wie müsste eine solche Infrastrucktur aussehen??
MFG
Andi
geschrieben am 30.08.2007 um 13:35 von bewa
Re: netzwerk Monitoring
Moin.
ich möchte gerne mein Netzwerk Monitoren.
Ich habe 3 ProCurve Managebare Switche mit je 2 GBICs.
Die Switche sind über ein GBIC miteinander verbunden.
Jeder dieser Switche hat einen Monitor Port. (der 2. GBIC)
Mooooment. Meinst du jetzt Monitoring im eigentlichen Sinn, also Netzüberwachung inkl. statischer Auswertung etc. oder möchtest du den Traffic eines auswählbaren Ports mitlesen können? Oder beides? :-)
Was ich jetzt wissen wollte ist, wie kann ich am besten an die Infos im Netz kommen. z.B. die Monitor Ports auf ein Matrix Switch und von da auf einen Server mit einer SNMP Software...???!!??
Für SNMP ist es egal, an welchem Port der Rechner hängt, der die Abfragen startet. Du brauchst irgendeinen Rechner im Netz - wenn du VLANs nutzt, müssen ggf. Routing und Paketfilter erlauben, das die Rechner die die SNMP-Daten sammeln auch zum Switch durchkommen. In größeren Netzen nimmt man dafür häufiger auch ein separates Netz (Out of Band Management), oder zumindest ein eigenes VLAN.
Ich möchte einerseits ein Baselining realisieren also Traffickontrolle Top-Talker bla bla... und wenn Fehler auftreten möchte ich mir schnell den Port schnappen und mit einem Sniffer einen ausführlichen Test machen.
Das sind im Prinzip zwei verschiedene und von einander unabhängige Dinge. Für den ersten Teil brauchst du einen Rechner, der die Daten von den SNMP-Agents auf den Switchen einsammelt. Je nach Betriebssystem gibt es da unterschiedliche, u.a. auch gute kostenlose Tools die auch gleich die Auswertung mit übernehmen, oder Überwachungsfunktionen mit eingebaut haben.
Für das Monitoring gilt als erste Regel immer: Der "Kanal" vom überwachenden bzw. sniffenden Rechner zum zu überwachenden Port muss mindestens so schnell sein, wie der zu überwachende Port, am besten eine Klasse schneller. Andernfalls riskierst du bei hohem Durchsatz, das Traffic verloren geht - was bei Fehlersuche absolut ätzend ist. Wenn du den zweiten GBIC wirklich "über" hast, kannst du natürlich von jedem Switch auf einen Port eines "Überwachungsswitches" gehen und dort auch den Rechner zum Debuggen anbinden. Das sieht man in der Praxis allerdings äußerst selten, weil es viel zu viele Resourcen bindet. Da arbeitet man entweder mit Mirror-Ports die über den Uplink "hochgereicht" werden, oder stöpselt gleich lokal eine Probe ein.
Wenn du insgesamt "nur" drei Switche hast, kannst du aber besser (R)STP aktivieren, alle Switche ringförmig verbinden und deinen Überwachungsrechner auf einen der Switche hängen. Das erhöht die Ausfallsicherheit und ermöglicht in der Regel falls nötig auch Load Sharing.
Welche Erkenntnisse erhoffst du dir eigentlich von dieser Kombination? Mir wäre spontan kein Fehler bekannt, den man über SNMP sieht, aber über den Mirror-Port analysieren könnte, außer vielleicht bestimmte Typen von kaputten Frames - und da bringt einem das Mirroring recht wenig...
geschrieben am 31.08.2007 um 11:36 von a.mirbach
ahm ok vergessen wir erstmal snmp.
ich habe die 3 Switche(100MBit) und möchte am liebsten einen Rechner haben von dem ich das ganze netzwerk also jeden Switchport monitoren kann.
Ich würde von jedem Switch eine Verbindung(1000mbit) zu einem Matrixswitch(1000MBit) herstellen. Wenn ich jetzt Port 34 von Switch 2 monitoren will würde ich diesen Port auf den Port der zum matrixswitch fürt spiegeln. Dann im Matrixswitch den port wo Switch 2 angeschlossen ist auswerten z.b. mit etherreal oder so... wird das in der Praxis nicht so geamcht??
Das sieht man in der Praxis allerdings äußerst selten, weil es viel zu viele Resourcen bindet.
Was meinst du mit zuviele Resourcen bindet. Ich würde ja nur wenn Fehler auftreten den Traffic auf den Switch umleiten ansonsten dümpelt der einfach nur vor sich hin.
MFG
Andi
geschrieben am 31.08.2007 um 13:33 von bewa
ahm ok vergessen wir erstmal snmp.
Sind halt zwei völlig verschiedene Baustellen. Das können wir aber auch gerne klären.
Ich würde von jedem Switch eine Verbindung(1000mbit) zu einem Matrixswitch(1000MBit) herstellen. Wenn ich jetzt Port 34 von Switch 2 monitoren will würde ich diesen Port auf den Port der zum matrixswitch fürt spiegeln. Dann im Matrixswitch den port wo Switch 2 angeschlossen ist auswerten z.b. mit etherreal oder so...
Jein. Das wird so noch nicht wie gewünscht funktionieren, oder du hast den Snifferport nur nicht mit erwähnt. Du hast dann ja folgendes:
Switch2(34)->(Port X)Backbone-Switch->(Port Y, Sniffer PC) (Der Sniffer muss ja auch irgendwo dran hängen.)
Wenn du am Matrix-Switch auch Ports spiegeln kannst, musst du also nochmal von X nach Y spiegeln. Wenn er das nicht kann, wird es so nicht funktionieren.
Deutlich schöner sind natürlich diese beiden Varianten:
1) Du kannst diese drei Switche stacken. Dann sagst du dem Switch "Spiegele Port 1/X auf Sniffer-Port 2/Y". Fertig.
2) Du kannst den Switchen beibringen "Spiegel Switch A Port X auf Switch B Port Y". Das nennt sich z.B. bei Cisco RSPAN:
http://www.cisco.com/warp/public/473/41.html#topic4-2 (Schau dir zumindest mal die Skizzen an, auch wenn du HP einsetzt.
wird das in der Praxis nicht so geamcht??
Es gibt noch ein paar andere. RSPAN, Probes, die nach Bedarf installiert werden, Stacks nutzen, etc. Deine Version ist eine machbare Variante. Ein Sniffer hilft übrigens in der Praxis längst nicht so oft weiter, wie man sich das anfangs vorstellt. Wir brauchen den fast nur noch zum Debuggen von komplexen VoIP-Fehlern...
Meistens verwendet man dafür nicht die (teuren) Uplink-Ports, um einen Sniffer rein hängen zu können. Wenn du an einem Switch 24x100 MBit und 2xGBit hast, verwendest du normalerweise beide GBit-Ports für den UPlink zum Backbone. Dort kannst du dann den Sniffer rein hängen, wenn noch ein Port frei ist. Dann musst du nicht unnötig in Backbone und Sniffer aufteilen.
Das sieht man in der Praxis allerdings äußerst selten, weil es viel zu viele Resourcen bindet.
Was meinst du mit zuviele Resourcen bindet. Ich würde ja nur wenn Fehler auftreten den Traffic auf den Switch umleiten ansonsten dümpelt der einfach nur vor sich hin.
Vielleicht reden wir auch nur aneinander vorbei. :-))
Ich kenne deine Switche nicht - wieviele GBit-Ports haben die? Zwei? Vier? Wie sind die verbunden? Und wie soll die Verkabelung nachher mit Sniffer aussehen?
geschrieben am 31.08.2007 um 14:53 von a.mirbach
OK interessante anregungen... und vielen dann für deine mühe.
Ich bereite mal eine kleine Zeichnung vor dann kannst du dir das vielleicht
besser vorstellen. Bis dahin schönes Wochenende
geschrieben am 01.09.2007 um 16:15 von bewa
OK interessante anregungen... und vielen dann für deine mühe.
Ich bereite mal eine kleine Zeichnung vor dann kannst du dir das vielleicht
besser vorstellen. Bis dahin schönes Wochenende
Danke gleichfalls.
Du musst auch kein "Kunstwerk" produzieren. Im Prinzip reicht sogar Textform. Aber ohne eine eindeutige Aussage welche dieser mind. fünf Elemente (Sniffer, 3xHP, Matrix) wie verbunden werden soll, redet man zu schnell aneinander vorbei.
geschrieben am 03.09.2007 um 16:03 von a.mirbach
So ich hoffe du kannst dir das jetzt besser vorstellen.
z.B. Switch 1 monitored einen port an den matrix switch.
Am Matrix Switch lasse ich mir diesen Port dann an den Client mit
dem Sniffer weiterleiten.
Beispiel HP Switch
Beispiel für ein MatrixSwitch
![]()
geschrieben am 04.09.2007 um 08:54 von bewa
So ich hoffe du kannst dir das jetzt besser vorstellen.
Ja, sehr gut sogar, danke.
Das sollte auf jeden Fall funktionieren. Du musst nur aufpassen, das du am Matrix-Switch nicht versehentlich eine zusätzliche Verbindung zwischen den HP-Switchen schaltest - oder das dort (R)STP aktiv ist. Sonst baust du einen Loop und das Netz ist mit hoher Wahrscheinlichkeit bis zu einem Neustart schnell platt. Sniffen sollte so auf jeden Fall sauber klappen.
Das ist eigentlich auch schon die Luxus-Variante. Statt eines Matrix-Switches kannst du evtl. auch einen normalen managebaren GBit-Switch nehmen, der das Spiegeln von Ports beherrscht. Ob das mit so einer "doppelten Spiegelung" funktioniert (von einem HP auf den GBit-Switch, dort auf den Sniffer-Port) habe ich noch nie probiert, weil wir (bei meinem Arbeitgeber) bei Bedarf Sniffer-"Sonden" (Probes) vor Ort einstecken (lassen), wenn das nötig wird. Prinzipiell sehe ich da kein Problem.
Ich habe jetzt nicht nach den Preisen für einen Matrix-Switch gesucht, aber günstig sind die IIRC nicht. Wenn das Geld da ist, solltest du zuschlagen. Falls nicht, wäre die Variante mit dem GBit-Switch eine Option. Selbst wenn das nicht klappt, hättest du dann mit aktiviertem STP einen zusätzlichen Ausfalldschutz, falls du alles wie in deiner Skizze verkabelst. (Alle Switche können sich dann grundsätzlich über zwei Wege erreichen und schalten im Fehlerfall automatich um.)
geschrieben am 04.09.2007 um 09:59 von a.mirbach
ok währe das geklärt.
jetzt möchte ich noch ein monitoring einrichten.
die switche können alles snmp und im moment verwende ich den
mitgelieferten procurve manager plus.
im prinzip ist es doch egal wo ich den snmp client einhänge, oder?
MFG
Andi
geschrieben am 05.09.2007 um 15:48 von bewa
im prinzip ist es doch egal wo ich den snmp client einhänge, oder?
Jein. :-) Solange alle im gleichen VLAN sind, ist es egal, wo du den SNMP-Rechner anschliesst. Wenn du also nur eins nutzt, d.h. alle angeschlossenen Geräte sind im gleichen VLAN (wäre bei der Größe nicht unüblich), kannst du dir einen Port aussuchen.
Wenn du mehrere VLANs einsetzt, muss der Rechner in einem VLAN sein, in dem er Zugriff auf das SNMP der Switche hat, oder du musst so routen, das er das Management der Switche erreichen kann.
Wenn du irgendwo einen Router oder L3-Switch hast, würde ich ein Client-VLAN, ein Server-VLAN und ggf. ein Management-VLAN (für SNMP, Remote-Config, etc.) einrichten und wo nötig dazwischen routen.
Wenn das nicht, oder du den Aufwand sparen willst, kannst du bei der Netzgröße aber auch ohne auskommen. Der Test ist simpel: SNMP nutzt in der Regel UDP, daher kannst du einfach testen ob du vom SNMP-Rechner aus die Management-IP der Switche pingen kannst. Dann sollte auch SNMP gehen, wenn dazwischen nicht noch irgendein Paketfilter rumpfuscht. :-)
[ Dieses Thema im Live-Forum aufrufen ]
|
