VPN (Virtual Private Networks) werden immer wichtiger, weil sie verschlüsselte Übertragungkanäle bieten innerhalb öffentlicher Netz-Strukturen (Internet).
VPN heissen jedoch "private" lediglich wegen der Verschlüsselung der übertragenen Daten; durchaus nicht "privat" ist die Technik, die für die Vermittlung der Daten sorgt
.
Die vom Betreiber des öffentlichen Netzes (Carrier, Provider) zugesagten Leistungs- und Dienst-Merkmale sind das eine, die tatsächlich erbrachten (eingehaltenen) Leistungen und Dienste das andere.
Dahinter kann sich vieles verbergen. Zunächst einmal muss diese beliebte Anwender-Floskel übersetzt werden in den Satz: "Die Antwortzeiten sind (zu) lang."
Lange Antwortzeiten jedoch können auf viele, völlig unterschiedliche Ursachen zurück gefuhert werden - und nur eine davon ist, dass "das Netzwerk langsam" wäre.
Zu diesem Thema gibt es viele Missverständnisse - schon in lokalen Campus-Netzen, also wirklich "privaten" Netzen. Wie soll es dann erst sein, wenn ein VPN die Teilnehmer verbindet?
Hier müssen Messtechnik und Logik sehr präzise eingesetzt werden, um nicht zu völlig falschen Ergebnissen zu kommen.
Die meisten VPN-Provider (Carrier, Betreiber) stellen wenigstens einfache Statistiken über den Datenverkehr im VPN zur Verfügung.
Diese Statistiken sind unverzichtbar, jedoch oft unvollständig - und in ihrer Unvollständigkeit letztlich falsch, weil sie (gewollt?,ungewollt?) zu Fehlschlüssen führen können.
Beispiel:
Wenn eine Statistik besagt, der Datendurchsatz habe zur Uhrzeit 12:34 bei 1,89 Mbps und um 12:35 nur noch 1,70 Mbps betragen
können derartige Nachweise entweder gar nicht oder nur höchst eingeschränkt führen.
TraceMagic ist darauf spezialisiert, derartige Nachweise liefern zu können.
Innerhalb des VPN-Tunnels sind die Daten verschlüsselt - was ja Zweck des VPN-Tunnels ist. Messtechnisch ist dieser Messpunkt also nur eingeschränkt interessant. Gleichwohl sollte hier eine Daten-Aufzeichnung erfolgen:
Erstens, weil nachgewiesen werden muss, ob tatsächlich nur die Daten der angeschlossenen (legalen) Teilnehmer zu sehen sind, oder ob ggf Daten von Fremd-Teilnehmern zu sehen sind (illegal). Derlei wurde schon beobachtet und geht auf technische Fehler oder betrügerischen Vertragsbruch eines der betroffenen Provider zurück.
Zweitens, weil geprüft werden muss, ob die VPN-Endpunkte (VPN-Router) den VPN-Kanal korrekt aufsetzen bzw. korrekt bedienen.
Drittens, weil insbesondere IP-Routing- und Vermittlungs-Fehler nicht immer zuverlässig nachweisbar sind bei Messpunkten, die (nicht im VPN-Kanal selbst, sondern) hinter dem VPN-Netz im lokalen Campus-Netz den Datenverkehr aufzeichnen. Dies kann dann der Fall sein, wenn der VPN-Knoten eingehende IP-Pakete verwirft, statt sie zum Campus-LAN hin auszugeben.
Folglich ergibt sich daraus,
dass sowohl vor wie hinter dem VPN-Knoten aufgezeichnet werden muss, also sowohl im VPN-Tunnel wie ausserhalb;
dass dieser doppelte Aufbau von MessPunkten auf beiden Seiten des VPN-Tunnels erfolgen muss, also sowohl z.B. in der Unternehmenszentrale wie auch in (einer) der Niederlassung(en).
Dies ist mit Aufwand verbunden, der nicht immer gern gesehen wird.
Vor allem die Auswertung der MessDaten von nun schon 4 MessPunkten ist manuell nicht mehr zu leisten.
TraceMagic bietet hier die Technik, automatische Auswertungen laufen zu lassen.
Dessen nicht genug. Lange Wartezeiten ("das Netzwerk ist langsam") müssen nicht auf Fehler im VPN zurück zu führen sein. Es kann sehr wohl sein, dass Clients (Arbeitsrechner) und/oder Server in einer Weise arbeiten, die zwangsläufig zu Verzögerungen führt.
Folglich muss auch der Datenverkehr in den Server-Farmen aufgezeichnet werden, um genau unterscheiden zu können, welche Verzögerungen auf VPN-Effekte zurück gehen - und welche eben nicht.
Ein Spezialfall ist der Datenverkehr im Umfeld von Terminal-Server-Landschaften (z.B. Citrix,ICA,RDP,etc.).
angelastet werden, ohne dass die Fernleitungen selbst Ursache für die Fehler wären.
Die Beobachtung von Anwendern, dass die beklagten Verzögerungen nur bei Dialogen via WAN bzw VPN auftreten, nicht aber bei Zugriffen via LAN, mag zwar subjektiv stimmen; der gerne getroffene Rückschluss, dass auch die Ursache hierfür folglich im WAN bzw VPN liegen müsse, ist jedoch ohne klaren Beweis ungültig.
In vielen Fällen liegen die Ursachen tatsächlich in der zentralen Server-Farm, und WAN bzw VPN verschärfen das durch die Server verursachte Problem nur noch - quasi als Turbo-Lader, weil die Verkehrs-Charakteristik eines WAN/VPN nun mal zwingend eine andere ist als die eines LAN.
Die Lösung in solchen Fällen wäre nicht die Erhöhung des Datendurchsatzes im WAN/VPN ("..mehr Bandbreite.."), sondern eine Veränderung der Server-zu-Server-Kommunikation.
TraceMagic bietet die hierfür zwingend benötigten Spezial-Auswertungen.
In vielen Fällen hat sich gezeigt, dass die wesentlichen Ursachen für Wartezeiten, Verzögerungen, Laufwerksverluste etc. weder bei den zentralen Servern liegen, noch bei den WAN/VPN-Verbindungen, sondern an Fehlern, die seitens der Arbeitsrechner (Clients) gemacht werden und die überwiegend auf Konfigurations- und Migrations-Fehler zurück zu führen sind.
Folglich muss der Datenverkehr der Clients in der/den Niederlassung/en erfasst werden.
Ob dies mit einem klassischen Messrechner geschieht, oder ob hierzu auf den Clients sog. "Capture Agents" installiert werden, die den Client selbst den eigenen Datenverkehr aufzeichnen lassen, kann von Fall zu Fall entschieden werden.
Fakt ist, dass ohne eine solche Aufzeichnung die reichlich bekannten Fehlverhalten der Clients weder ausgeschlossen noch erkannt werden können.
Da es sich hier um Fehlverhalten sowohl der Windows-System-Dienste handeln kann
wie auch um Applikations-Instanzen (Schleifen-Bildungen, Quer-Verkehr Peer-to-Peer, etc.), ist eine darauf speziell ausgerichtete LAN-Analyse unverzichtbar.
TraceMagic bietet die hierfür benötigten Funktionen.
TraceMagic bietet vor allem die Technik, die Aufzeichnungen sehr vieler MessPunkte (wenn nämlich jeder Client für sich den eigenen Datenverkehr festhält) automatisch auszuwerten - was manuell weder quantitativ, noch qualitativ möglich wäre.
VPN-Analyse bzw WAN-Analyse allgemein beginnt bei der Erstellung von Last-Profilen.
Unter Last-Profilen werden Statistiken verstanden, die den Verlauf der Datenlast über die Zeit abbilden.
Teil dieser Last-Profile sind die vom VPN-Provider zur Verfügung gestellten Statistiken (siehe oben).
Je nach aktüll vorliegender Aufgabenstellung jedoch ist mehr nötig.
Erstens müssen Statistiken erzeugt werden, die unabhängig von den Provider-Daten gewonnen werden - einerseits, um eine eigene, vertraünswürdige Datenqülle zu haben, andererseits, um die eigenen Daten mit denen des Providers vergleichen zu können. Im Falle von Abweichungen sind oft schon die ersten Lösungsansätze gegeben.
Zweitens müssen ggf. Statistiken erzeugt werden, die den Datenverkehr nicht nur insgesamt darstellen (wie allgemein üblich bei Provider-Statistiken), sondern die individülle Last-Profile auswerfen, z.B. getrennt nach Niederlassung, getrennt nach Applikation, getrennt nach IP-Subnetz, getrennt nach Server-IP-Adresse(n). Derlei Last-Profile können nicht durch die Provider geliefert werden, da die Verschlüsselung im VPN-Kanal dies von vornherein gar nicht zuliesse.
TraceMagic verfügt uber verschiedene Auswertungs-Module und Filter, die erlauben, neben allgemeinen Last-Profilen spezielle Profile zu erzeugen
Antwortzeit-Analyse wird zwar von jedem herkömmlichen LAN-Analyser geboten, oft jedoch in höchst verkürzender Weise - und mit Einladung zu Missverständnissen.
TraceMagic ist in der Lage, auf verschiedenen Ebenen Antwortzeit-Analyse zu betreiben:
Antwortzeiten und Sende-Intervalle von Paket zu Paket auf dem Physical Layer bzw. MAC Layer, ungeachtet der Applikations-Abläufe. Unterbrechungen werden so zuverlässig erkannt.
ICMP-Ping-Dialoge werden untersucht, um auffällig lange Laufzeiten zu erkennen. Unter der Voraussetzung, dass von der Zentrale aus alle Niederlassungen, die via WAN/VPN angeschlossen sind, per Ping angesprochen werden, können exakt die "guten" von den "schlechten" VPN-Anbindungen unterschieden werden - und in ein Verhältnis zu den aktüllen Applikations-Verläufen gesetzt werden. Doppelt interessant sind diese Auswertungen, wenn zur Zeit der Messung der Provider eigenen Ping-Tests parallel hierzu in seiner VPN/WAN-Struktur laufen lässt und die Ergebnisse zur Verfügung stellt (was in jedem Falle zu veranlassen ist!).
Für das Dialog-Verhalten der Applikationen ist die Analyse der TCP-Transaktionen von oft entscheidender Bedeutung. Im Gegensatz zu vielen anderen LAN-Analyzern unterscheidet TraceMagic nach Treiber-Antwortzeit und Applikations-Antwortzeit, und hierin wird zusätzlich die Unterscheidung ermöglicht zwischen Client- und Server-Antwortzeit.
Immer öfter arbeiten Clients nicht mit Terminal-Server-Technik (etwa Citrix-Metaframe via ICA), sondern mit HTML-Front-Ends, was besagt, dass die Anwendung auf einem Application-Server (Proxy-Server) läuft und der Anwender lediglich über HTTP die HTML-Seiten dieses Servers dargestellt bekommt. Die Analyse solcher Landschaften bedarf immer der Messung und Datenauswertung vor und hinter dem Proxy-Server. Da hinter dem Proxy-Server jedoch die IP-Adressen der Clients verloren gehen und ersetzt werden durch die IP-Adresse des Proxy-Servers, können herkömmliche LAN-Analyzer keine Antwortzeit-Analyse mehr betreiben, weil sie die Dialoge nicht mehr einzelnen Client-IP-Adressen bzw einzelnen IP-Subnetzen (und folglich nicht mehr einzelnen Niederlassungen) zuordnen können. TraceMagic verfügt über eine Technik, die dieses trotzdem möglich macht, da das HTTP-Protokoll hierzu über Umwegen sehr wohl Möglichkeiten bietet.
Ausserdem bietet TraceMagic die Möglichkeit, bei allen Antwortzeit-Analysen individülle Schwellenwerte zu setzen, um die Auswertungen den aktüllen Umgebungs-Bedingungen anpassen zu können.
Die Verschlüsselung verlangt, dass im Daten-Paket für den VPN-Header genügend Platz bleibt.
Daher geschieht oft folgendes: Clients senden ihre Pakete in voller Länge ab (1518 Octets Ethernet, 1500 Octets IP). Trifft ein solches Paket beim VPN-Router ein, ist kann dieser ggf. keinen VPN-Header bilden und voran stellen, weil das Paket in seiner Länge bzw. Daten-Kapazität schon vollends ausgeschöpft wurde. Der VPN-Router wird an den Client zurück melden "ICMP: MTU Size Mismatch" und wird den Client auffordern, mit einer kleineren MTU (Maximum Transmission Unit) zu arbeiten. In der Regel verstehen die Clients diese Meldungen und halten sich daran.
Im Zusammenhang mit der VPN-MTU jedoch können an jeder Stelle des Übertragungsweges Fehler auftreten.
VPN-Analyse muss auf Fehler dieser Art gesondert eingehen.
VPN-Analyse ist umfangreich, anspruchsvoll, komplex - eine Herausforderung eigener Art.
Nur ausgebildete Spezialisten können zu gültigen Ergebnissen kömmen, und dies nur mit einem hierzu speziell entwickelten Analyse-Werkzeug: TraceMagic.
Synapse:Networks als Hersteller der Software TraceMagic arbeitet mit wenigen Partnern zusammen und stellt sicher, dass der Kunde über die TraceMagic-Partner zu gültigen und belastbaren Aussagen kommt, die jederzeit verifizierbar und nachvollziehbar sind.
Bei Bandbreiten-Management geht es sehr schnell um viel Geld. Schon die Frage, ob eine 2-Megabit-ISDN-Leitung aufzustocken wäre auf eine 34-Megabit-ATM-Leitung, kann über mehrere 10.000 EUR entscheiden - monatlich.
Ein qualifizierte Ist- und Bedarfs-Analyse ist hier jederzeit ihr Geld wert. Und spätestens bei Auseinandersetzungen mit VPN-Providern (bei Verdacht auf Schlechtleistung im WAN) ist eine unanfechtbare Analyse mit beweisbaren Aussagen unverzichtbar.
TraceMagic ist das Werkzeug bzw die Plattform, um dies messtechnisch bzw analytisch umzusetzen. Unsere TraceMagic-Partner tragen Gewähr dafür, dass der Kunde umfassend und angemessen zur Situation beraten und begleitet wird.
:: :: ::
Mail
an die Online-Redaktion zum aktuellen Thema ("VPN-Analyse").
