Netzwerk-Analyse ist die Tätigkeit, welche alle einzelnen Schritte der Aufzeichnung, Auswertung und Bewertung von LAN/WAN-Datenverkehr umfasst unter Einbeziehung aller verfügbarer (oder erstellbarer) Dokumentation und unter Betrachtung aller im Netzwerk angeschlossenen Kommunikations-Teilnehmer (Clients, Server, Printer, etc.).
Netzwerk-Analyse und LAN-Analyse sind ähnlich, aber nicht identisch. Netzwerk-Analyse ist der weitere Begriff:
LAN-Analyse ist nur ein Bestandteil der Netzwerk-Analyse (wenngleich ein sehr wichtiger) und entspricht der Fehlersuche im Netzwerk.
Netzwerk-Analyse will Zusammenhänge und Eigenheiten des IT-Systems ergründen, die auch unabhängig von Fehlern interessant sind.
Allgemein wird "Netzwerk-Analyse" verkürzt verstanden als "Fehlersuche im Netzwerk" bzw. "LAN-Analyse", womit der strategische Ansatz, der z.B. laufende Dokumentation mit einschließt, zu kurz kommt.
Zur Aufzeichnung werden LAN Analyzer verwendet, deren Capture Engine den Datenverkehr erfasst und auf der Festplatte des Messrechners speichert. Netzwerk-Analyse ohne die Ausstattung zur LAN-Analyse ist nur schwer möglich, weil die dann übrig bleibenden Funktionen der Statistik und des Netzwerk-Managements die Binär-Aufzeichnungen des LAN-Verkehrs nicht ersetzen können.
Es ist wichtig, dass die wichtigsten Grundregeln der LAN-Messung eingehalten werden:
Capture Engine auf "Clear Buffer" stellen (nicht "Wrap Buffer")
alle LAN-Pakete aufzeichnen (keine Paket-Filter, keine Protokoll-Filter)
die LAN-Pakete in voller Länger aufzeichnen (kein "Packet Slice")
den MessPunkt genauestens dokumentieren (Mirror-Port, TAP/Splitter, Hub, Server-Trace mit TcpDump, etc)
der Ort der Messung muss durchdacht und dem vermuteten Fehler angemessen sein (z.B. WAN-Router, DNS-Server, etc.)
Insgesamt sind viele Details zu beachten, um zu einer erfolgreichen Aufzeichnung der Messdaten zu kommen. Synapse:Networks hat daher ein Kompendium der LAN-Analyse-Regeln bezüglich der Messdaten-Aufzeichnung verfasst:
Außerdem sollte berücksichtigt werden, dass LAN-Analyse "nur" ein Bestandteil der sehr viel umfassenderen Netzwerk-Analyse ist. Ohne umsichtiges Konzept kann eine Messung schnell ins Leere laufen.
Viele Fehler-Szenarien haben mit Namensdiensten zu tun (NetBIOS, WINS, DNS, NDS, SLP, etc.), mit Domain-Anmeldungen (Logon) und Berechtigungen (LDAP bzw. Active Directory, Kerberos, Radius, etc.). Da diese Dienste in hohem Maße logisch verknüpft sind, müssen Messungen darauf achten, dass alle Abhängigkeiten und Quer-Verbindungen erfasst und sichtbar gemacht werden.
Zur Auswertung werden Offline-Experten-Systeme verwendet. Das erste und in seiner Art bis heute einzige Werkzeug dieser Art ist TraceMagic von Synapse:Networks. Hier wird Netzwerk-Analyse auf allen OSI-Schichten betrieben (vertikal) sowie in den Client-Server-Dialogen (horizontal) samt umfangreicher Dokumentationen (MAC Address,IP Address, DNS, WINS etc.).
Die Auswertung und Berichts-Erstellung darf nicht beeinträchtigt sein durch Personal-Fluktuation bzw. darf nicht von jungen, unerfahrenen Kräften vollzogen werden, sondern muss in den Händen der erfahrensten Experten liegen.
Netzwerk-Analyse ohne Dokumentation ist auf lange Sicht nicht möglich. Da letztlich auch die logischen Beziehungen unter den Netzwerk-Teilnehmern Gegenstand der LAN-Analyse zu sein hat, muss z.B. klar sein:
Welcher Server hat welche Dienste im Angebot - und wem gegenüber?
Welche Clients greifen mit welchen Applikationen auf welche Dienste bzw. Server zu?
Welche Restriktionen / Einschränkungen gibt es? (Server-Profile, Firewall-Policies etc.)
Welche Benutzer haben welche Rechte und Aufgaben?
etc, etc.
Ohne eine Dokumentation ist kein SOLL-IST-Abgleich möglich. Netzwerk-Analyse aber MUSS einen solchen Abgleich mit umfassen.
Netzwerk-Analyse verlangt nach Erfassung und Darstellung der logischen Verkehrs-Beziehungen der Netzwerk-Teilnehmer.
Der unter Dokumentation beschriebene Aufgaben-Teil ist passiv - er erfasst das, was sein soll (hätte sein sollen).
Mit den Mitteln der LAN-Analyse ist nun heraus zu finden, was TATSÄCHLICH geschieht:
Wer kommuniziert mit wem?
Welche Daten werden ausgetauscht, welche Applikationen arbeiten?
Entspricht dies den in der Dokumentation (im Pflichtenheft) hinterlegten SOLL-Beschreibungen?
Netzwerk-Analyse liefert also logische Fluss-Diagramme bzw. eine Verkehrs-Matrix, die nicht nur die physischen Kontakte, sondern auch die logischen Beziehungen abbildet bzw. beschreibt.
Der Aufbau eines Master-Plans zur Errichtung eines Kommunikations-Verbundes bzw. eines Client-Server-Netzwerkes setzt seinerseits bereits eine "mentale" (abstrakte) Netzwerk-Analyse voraus: Was ist gewollt? Was ist möglich?
Die Inbetriebnahme sollte sodann weiterhin mit praktischer Netzwerk-Analyse einher gehen: Wurde das Gewollte erreicht? Wurde das Mögliche zutreffend eingeschätzt und umgesetzt?
Im Regelbetrieb sodann sollte ständig in Stichproben Netzwerk-Analyse betrieben werden, um Abweichungen vom SOLL-Zustand (SOLL-IST-Vergleich) zu erkennen, bevor die Toleranz der beteiligten Systeme erschöpft ist und die Fehler die Wahrnehmungsschwelle der Anwender erreichen bzw. überschreiten.
Bei Migrationen sollte grundsätzlich VOR, WÄHREND und NACH der Umstellung Netzwerk-Analyse betrieben werden, um die allgemein absehbaren Kollateral-Schäden frühzeitig erkennen bzw. abwenden zu können.
Nur im Ausnahmefall sollte Netzwerk-Analyse reaktiv sein.
Nicht umsonst ist "Netzwerk-Analyse" auch ein Begriff der empirischen Sozial-Wissenschaften. Das bedeutet im technischen Umfeld: Fehler werden oft erst möglich, weil Menschen sich nicht hinreichend ausgetauscht und abgestimmt haben. Auch technische Fehler haben eine Vorgeschichte, und die liegt oft in:
fehlerhaften Beschaffungs- bzw. Ausschreibungs-Verfahren
fehlerhaften oder lückenhaften Dokumentationen, die als Basis für Entscheidungen dien(t)en
unklaren Zuständigkeiten zwischen den Fach-Abteilungen
Dem Thema "Netzwerk-Analyse" liegt also "Organisations-Analyse" im Sinne von "Planungs- und Ablauf-Analyse" zu Grunde, wenn auch die im zeitlichen Vorlauf liegenden Bedingungen technischer Ausfälle erkannt werden sollen - und wenn die Wiederholung solcher Ereignisse und Zuspitzungen langfristig zuverlässig vermieden werden soll.
LAN-WAN-Analyse ohne diesen "weichen" Faktor von "Netzwerk-Analyse" kann im Einzelfall zu kurz greifen.
