4 Dinge, die Ihr Netzwerkteam über Ihre Zugangsnetzwerke wissen sollte | NETSCOUT
| Anwendungshinweis |

4 Dinge, die Ihr Netzwerkteam
über Ihre Zugangsnetzwerke wissen sollte

Im letzten Jahrzehnt sind Unternehmen immer abhängiger davon geworden, dass Mitarbeiter und Kunden verbunden sind, um sie einzubinden, wenn sie ihr Geschäft planen und führen. Des Weiteren hat die Beliebtheit des cloud-basierten IoT, das M2M-Kommunikation durchführt, zu einer Hassliebe-Beziehung mit dem IT-Betriebsteam geführt, da viele dieser Geräte ohne ihr Wissen auf dem Netzwerk fungieren können und potentiell vernichtende Sicherheits- und betriebliche Risiken darstellen. Natürlich hat sich das Switch-Netzwerk, das alles verbindet, mit entwickelt und wird immer komplizierter, sowohl vom Standpunkt der Konfiguration aus als auch der Sicherheit. In diesem Whitepaper werden der Zustand des Switch-Netzwerks und die Hauptattribute besprochen, in die das IT-Team Einsicht haben sollte. In diesem Artikel werden die Best Practices besprochen, die das Team effizienter in der Kontrolle des Switch-Netzwerks machen, die Zusammenarbeit des IT-Teams verbessern und die verbundenen Personen und Dinge am Laufen halten sollen.

Die Switch-Netzwerke von heute

Die Rolle des Switch-Netzwerks hat sich seit der Einführung in den frühen neunziger Jahren geändert. Mit dem Hinzukommen von weiteren mobilen Benutzern und immer mehr BYOB-Produkten hat das Switch-Netzwerk eine wichtigere Rolle angenommen, da es die Verbindung von unterschiedlicheren Arten von Endgeräten aufrecht erhält und dabei die Sicherheit des Unternehmensnetzwerks bewahrt. Wir werden die vier Hauptfunktionen des heutigen Switch-Netzwerks betrachten, die das Netzwerkteam unter Kontrolle halten muss und werden bewährte Maßnahmen vorschlagen:

Hauptfunktionen: Zu verwaltende Haupteigenschaften
Kommunikation Angebot von Power over Ethernet, Duplex, Geschwindigkeit zum Gerät und den Link-Mechanismus, um dies zu bewerkstelligen.
Authentifizierung und Adressierung Geräte – und Benutzerauthentifizierungs-Mechanismus und Adressen- und Zugangsbereitstellungsdienst.
Routing Die Switch- und VLAN-Topologie sowie Paket-Routing-Services wie DNS, Gateway, NAT, die IP-Pakete vom Client zu ihrem Ziel bringen.
Effizienz Netzwerkpfad-Bandbreiten-, Paketverlust-, Verzögerung- und Jitter-Eigenschaft, die die Sendeeffizienz und dadurch das Benutzererlebnis beeinträchtigen.

Wie ein Switch-Netzwerk zusammenarbeitet, um Verbindungen aufzubauen und Zugang zu verbundenen Geräten bereitzustellen

Kommunikation

Leistungskonnektivität
PoE hat sich zu einer beliebten Methode zum Betreiben von Endgeräten entwickelt, da es die Kosten der Bereitstellung und Wartung verringert. Viele Netzwerkgeräte, wie Access Points, VoIP-Telefone und, in der jüngeren Vergangenheit, IoTs werden nahezu komplett durch PoE betrieben. Die Nennleistung von PoE folgt IEEE 802,3-Normen und Geräte werden basierend auf Spannung und Wattzahl in Klassen unterteilt. Es gibt zwei Arten von PoE-Geräten:

  1. Spannungsversorgungsgeräte (PSE), die Spannung über das Ethernet-Kabel versorgen. In neuen Bereitstellungen ist PSE gewöhnlich das Switch und wird gewöhnlich als Endspan bezeichnet. Ein PoE-Injektor, Midspan genannt, kann zwischen ein Nicht-PoE-Switch und das PoE-betriebene Gerät als Nachrüstung platziert werden. Basierend auf dem PoE-Standard, den das PSE unterstützt, fällt er in einen PoE-TYP, 0 - 4 (siehe Tabelle 1). PSE können in zwei Betriebsarten arbeiten: Mode A PSE liefert Strom über die Paare 12, 36 auf dem 4-Paar UTB-Kabel und Mode B PSE verwendet die freien Paare 45 und 78. Es ist wichtig zu beachten, dass PSE bestimmt, in welchem Modus die Spannungsversorgung geboten wird. Der Standard erfordert nicht, dass PSE Modi A und B unterstützt.
  2. PD (Powered Device) ist ein von PSE versorgtes Gerät und nimmt daher Leistung auf. Mit 802.3af und 802.3at konforme PD müssen Modi A UND B unterstützen können. Basierend auf der Wattzahl, die von dem PD aufgenommen wird, fällt es in eine PoE-Klasse, 0 – 4 (siehe Tabelle 2).

 

PoE-Typ Gebräuchliche Bezeichnung Entsprechende Norm Verwendete Paare Max. Leistung an PSE-Anschluss Max. Leistung an PD
1 PoE 802.3af 2 15,4 W 12,95 W
2 PoE+, PoE Plus 802.3at 2 30 W 25,5 W
3 4-Paar PoE, PoE++, UPoE-Nr. 802.3bt* 4 60 W 51 W
4 PoE mit höherer Leistung 802.3bt* 4 100 W

Tabelle 1: PoE PSE-Typen
Nr.: UPoE ist eine Cisco-eigene Klassifizierungsreferenz in deren „Digital Ceiling“-Lösung.
*: 802.3bt ist ein vorgeschlagener IEEE-Standard der Anfang 2018 ratifiziert werden soll.

PoE PD-Klasse Typ/Standard Gleichspannung am PSE Gleichspannung am PD Mindestleistung vom PSE-Anschluss Leistungsaufnahme von PD
0 1 / 802.3af 44-57 V 37-57 V 15,4 W 0,44 – 12,95 W
2 1 / 802.3af 44-57 V 37-57 V 4,5 W 0,44 – 3,84 W
3 1 / 802.3af 44-57 V 37-57 V 7,5 W 3,84 – 6,49 W
4 1 / 802.3af 44-57 V 37-57 V 15,4 W 6,49 – 12,95 W
4 1 / 802.3at 50-57 V 42,5–57 V 30 W 12,95 – 25,5 W

Tabelle 2: PoE PD-Klassen

Der 802,3-Standard definiert LLDP als das Protokoll, das für PD zur Kommunikation mit dem PSE verwendet wird und die Klasse, zu der es gehört, so dass das PSE die/den korrekte(n) Spannung/Strom bereitstellen kann. Aber auf dem Markt kann man PoE-Geräte finden, die proprietäre Protokolle verwenden, so z. B. das CDP (Cisco Discovery Protocol), das vor der Ratifizierung des Standards geschaffen wurde. Nicht alle PoE-Geräte sind unbedingt völlig standardkonform, wir müssen daher dahingehend prüfen.

Was könnte schiefgehen?
Die Herausforderung für das Netzwerkteam ist, dass das Leistungsbudget des PSE sowie die Interoperabilität zwischen PD und PSE verwaltet und verstanden werden müssen, da immer mehr PD verschiedener Klassen auf dem Netzwerk bereitgestellt werden. Dazu sind nicht alle PoE-Bereitstellungen standardkonform und vorhandene Kabelsysteme sind nicht unbedingt fähig, PoE zu unterstützen.

Symptom Mögliche Ursachen
Kann keine Leistung erhalten 1. Kabelstörung:
  • a. Unterbrechung/Kurzschluss
  • b. 2 Paar-Kabel, mit MODE B PSE verwendet.
2. PSE und PD nicht kompatibel, unterschiedlicher Typ oder Modus
3. PSE-Anschluss nicht aktiviert für PoE
4. PSE und/oder PD sind nicht komplett standardkonform (z. B. hat PD keine 25 Ohm auf den versorgten Paaren oder unterstützt nicht Modi A u. B zusammen).
5. PSE hat kein ausreichendes Leistungsbudget um das Hochfahren aller angeschlossenen PDs zu unterstützen.
Zeitweiliger Abfall 1. Kabelstörung:
  • a. Zu lang (>100 m)
  • b. Zu hoher Widerstand
2. PSE hat kein ausreichendes Leistungsbudget für alle angeschlossenen, mit voller Leistungsaufnahme arbeitenden PDs (z. B. wenn die motorisierten Sicherheitskameras scannen).

Empfohlene Maßnahmen:

  1. Schulen Sie Ihre Mitarbeiter in der Arbeitsweise von PoE.
  2. Lesen Sie die technischen Daten der Geräte sorgfältig und setzen Sie nur standardkonforme Geräte ein. Vermeiden Sie nicht-standardkonforme Midspan-PSE, wie Ethernet Y-Kabel (sowieso verpönt) oder sogenannte „8-Port PoE Passive Splitters“, die einfach eine 48 VDC-Stromversorgung an alle „nicht genutzten“ Paare anlegt.
  3. Dokumentieren Sie die Wattzahlen von PSE und PDs.
  4. Stellen Sie beim Ändern und Hinzufügen von PDs sicher, dass das PSE alle angeschlossenen PD unterstützen kann.
  5. Bieten Sie dem Team standardisierte Tools und Verfahren, um den Zustand von PD, PSE und Kabeln bei Bereitstellung und Fehlerbehebung zu überprüfen (z. B. vergewissern Sie sich, dass Spannung und Wattzahl auf der PD-Seite verfügbar ist und die Anforderungen erfüllt).

 

Verbindungseigenschaften

Die andere Überlegung bei verbundenen Geräten ist der Verbindungsprozess zwischen dem Gerät und dem Netzwerk. Als Erstes ist zu Bedenken, dass das Kabel zwischen dem Endgerät und dem Switch die Verbindung unterstützen können muss. Die meisten strukturierten Kabelsysteme von heute erfordern, dass alle vier Paare angeschlossen und bei der Bereitstellung auf eine Länge < 100 m zertifiziert werden. Dies wird zur Unterstützung aller Netzwerke bis zu 1 Gbit/s ausreichen, siehe die folgende Tabelle. Tabelle 2 unten zeigt den Mindest-Kabelstandard, der zur Unterstützung unterschiedlicher Arten von Bereitstellungen erforderlich ist. Während eines Upgrades ist es wichtig, das Kabelsystem erneut zu zertifizieren, um zu verhindern, dass Verschleiß oder nicht dokumentierte Änderungen Probleme verursachen.

Standard Zertifikationsstufe Verwendetes Paar
10BASE-T Cat 3 12 und 36
100BASE-T Cat 5 12 und 36
1000BASE-T Cat 5 12, 36, 45, 78

Der Verbindungsprozess wird zwischen dem Endgerät und dem Switch ausgehandelt, um Geschwindigkeit, Duplex und die Kabelpaare festzulegen, durch die der Datenaustausch erfolgen kann. Dies ist zu einem geringeren Problem geworden, da die Auto-Aushandlung zur Standard-Einstellung auf Switch-Anschlüssen geworden ist und die Network Interface Card (NIC) die Kompatibilität gewöhnlich aufrecht und gut verstanden hält. Die folgende Tabelle zeigt die zufällige Situation, wenn entweder NIC oder Switch manuell auf die Verwendung einer spezifischen Geschwindigkeit und/oder Duplex gesetzt wird. Die Faustregel ist: Wenn eine Seite erzwungen ist, dann muss die andere Seite gleichermaßen gezwungen werden. Wenn eine Seite automatisch aushandelt, dann muss die andere Seite dies ebenfalls tun. Selbst in dem Fall, wenn eine Verbindung erstellt ist, wenn eine Seite auf Auto und die andere Seite nicht eingestellt ist, ist es sehr wahrscheinlich, dass die Auto-Seite regelmäßig versucht, die Aushandlung zu wiederholen, was zu einem zeitweiligen Verlust der Verbindung führt. Mit fallenden Preisen von 10G-fähigen Switches werden immer mehr Switches mit 1/10G-Anschlüssen bereitgestellt. In den meisten Fällen unterstützt ein 1/10G-Switch-Anschluss weder Halbduplex noch Auto-Aushandlung. Daher müssen der Switch-Anschluss und die NIC übereinstimmen, damit die Verbindung funktionieren kann.


Verbindungsergebnis für 10/100/1000 Mbit/s Ethernet-Switch und NIC, basierend auf Link-Einstellungen

Was könnte schiefgehen?

Symptom Ursache
Keine Verbindung möglich (Link-Lampe leuchtet nicht) Kabelfehler
  - Unterbrechung, Kurzschluss auf Übertragungspaar
Falsches Glasfaser-SFP verwendet: Singlemode versus Multimode
Diskrepanz in Linkeinstellung zwischen Switch und NIC
Link-Geschwindigkeit/Duplex suboptimal und zeitweilige Wiederverbindung Entweder NIC oder Switch wurde auf Auto-Aushandlung gesetzt, während das/die andere auf eine feste Geschwindigkeit von 10/100/1000 Mbit/s gesetzt wurde.
Kabelfehler
  - Split Pairs

Empfohlene Maßnahmen:

  1. Für NICs und Switch-Anschlüsse an 10/100/1000 Mbit/s immer Auto-Aushandlung verwenden. Ein 1/10G-Switch-Anschluss sollte auf die benötigte Geschwindigkeit codiert werden.
  2. Dokumentieren Sie die Switch-Anschluss-Einstellungen und den strukturierten Kabelweg, die verwendet wurden, und, noch wichtiger: Machen Sie diese Informationen allen Teammitgliedern zugänglich.
  3. Bieten Sie eine einfache Methode zum Überprüfen der aktuellen Switch-Anschluss-Verbindungskonfiguration, entweder direkt über LLDP oder über Verwaltungssystem. Der beste Ansatz ist, ein passives Tool zu haben, das inline zwischen der NIC und dem Switch platziert werden kann und die angebotene Link-Fähigkeit und die/das von dem Paar ausgehandelte Link/Duplex überwacht.

 


Switch-Anschluss kann auf PoE gegen einen/eine PoE-Typ/Klasse getestet werden und die der PD-Klasse zur Verfügung stehende TruePower™ anzeigen.

Link-Test zeigt die Link-Fähigkeit des Switch-Anschlusses.

Inline-Analyse, die die/das angegebene und zwischen dem Switch und dem Gerät verwendete Geschwindigkeit/Duplex anzeigt.

Authentifizierung

Bevor ein Gerät mit der Kommunikation mit anderen Geräten auf dem Netzwerk beginnen kann, muss es zu drei Zwecken einen Authentifizierungsprozess durchgehen: Sicherheit, Adresse und Zugangsbereitstellung. Authentifizierung erlaubt einem autorisierten Gerät, auf das Netzwerk zuzugreifen, aber es verhindert auch unbefugte Geräte, sich in das Netzwerk einzuschleichen.

In der Vergangenheit erforderten nur Wi-Fi-Geräte die Authentifizierung, während Kabelverbindungen so ziemlich Plug-and-Play sind. Mit der Vermehrung von IoT-Geräten hat die Geräte-Authentifizierung an bisher unerreichter Bedeutung gewonnen. Es gibt zahlreiche Authentifizierungs-Mechanismen, aber der am häufigsten angewendete basiert auf 802.1x und Radius, gekoppelt mit DHCP-Service. Während des Authentifizierungsprozesses, wie des auf 802.1x basierten, gibt es mindestens drei Teilhaber:
  1. Supplicant: Das Element, das auf das Netzwerk zugreifen will, z. B. die Sicherheitskamera.
  2. Authentifikator: Das Element, durch das der Supplicant auf das Netzwerk zugreifen kann, z. B. Switch oder Wi-Fi-Access Point.
  3. Authentifizierungsserver: Er enthält die Informationen, die zum Entscheiden verwendet werden, ob ein Supplicant auf die Netzwerk-Ressourcen zugreifen darf oder nicht. Dies ist normalerweise ein Server, der das Radius-Protokoll ausführt. Der Authentifizierungsmechanismus kann auf der MAC-Adresse des Geräts, dem Benutzerkonto wie ein Gastkennwort zum Gast-SSID für BYOD oder auf der privaten Zertifikation basieren, die auf der Smartcard einer Sicherheitskamera programmiert ist. Das folgende Beispiel unten zeigt, wie eine Sicherheitskamera mit festem Standort authentifiziert wird. In diesem Fall wird das EAP-Protokoll für zusätzliche Sicherheit verwendet, dies wird normalerweise während der Authentifizierung des Wi-Fi-Endgeräts gesehen.

 

Im obigen Beispiel dient der Authentifikator als Proxy zur Kommunikation der Authentifizierungsanfrage an den Authentifizierungsserver. Wenn das Gerät authentifiziert ist und erst dann, kann das Gerät eine DHCP-Anfrage an den lokalen DHCP-Server senden, um eine IP-Adresse zu erhalten. Es muss beachtet werden, dass die Authentifizierung und der Pool der zugeordneten IP-Adressen synchronisiert sein müssen. Nehmen wir die Wi-Fi-Authentifizierung zum Beispiel:

Nachdem das Gast-BYOD-Gerät über den Gast-SSID am Netzwerk authentifiziert wird, wird der AP eingerichtet, um Datenverkehr auf VLAN 1 zu senden, während mit dem Unternehmens-SSID verbundene Unternehmensbenutzer zum VLAN 101 gesendet werden. Diese VLANs müssen auf dem Switch für die WLAN-Netzwerke eingerichtet werden und jedes WLAN muss mit einem DHCP-Server über einen Layer 2 Broadcast-Mechanismus mit einem lokalen DHCP-Server verbunden sein, so dass die IP-Adresse dem Gerät gegeben werden kann. In manchen Fällen kann eine DHCP-Brücke, wie der Wi-Fi-Controller, zum Weiterleiten einer DHCP-Anfrage von den Clients auf unterschiedlichen VLANs zu einem einzelnen DHCP-Server verwendet werden. Gewöhnlich schließen sich die IP-Adressen für jedes VLAN gegenseitig aus, siehe unten, so dass zu unterschiedlichen Gruppen gehörende Clients auf ihre eigenen Sätze von Netzwerk-Assets zugreifen können:

Benutzergruppe SSID VLAN IP-Adressenpool Zugreifbare Assets
Gäste Gäste 1 10.10.10.1-10.10.11.255 Begrenzte Internet-Bandbreite, Drucker für Gäste
Unternehmensbenutzer Unternehmen 101 20.10.10.1-20.10.19.255 Internet, Unternehmens-VPN, Unternehmens-Server, Drucker…
Überwachungskamera 201 20.10.20.1-20.10.21.255 Videoserver und Speicher
Netzwerkadministration NetAdmin 301 20.10.30.1-20.10.30.127 Wi-Fi-Controller, Switch/Router-Managementanschlüsse

Zusätzlich zum Zuordnen einer IP-Adresse an das Gerät kann DHCP dem Endgerät weitere wichtige Informationen vermitteln, die für dessen Betrieb unerlässlich sind. So erhält z. B. ein VoIP-Telefon die IP-Adresse des Konfigurationsservers, der die Adresse des Anrufmanagers und die SIP-Anschlussnummer zur Verwendung über DHCP Optionscode 66 (TFTP-Server) oder 150 (VoIP-Konfigurationsserver) enthält.
Die folgende Tabelle enthält die gewöhnlich verwendeten DHCP-Optionen mit ihren Code-Nummern:

DNS-Optionscode Beschreibung
1 Teilnetzmaske (muss nach der Router-Option, Option 3 gesendet werden, wenn beide enthalten sind)
3 Router
6 DNS-Server, in Präferenz-Reihenfolge auflisten
15 DNS-Domänenname, in Präferenz-Reihenfolge auflisten
44 WINS-Server (NetBIOS-Namensserver)
45 NetBIOS Datagramm-Verteilungsserver (NBDD)
46 WINS/NetBIOS Knotentyp
47 NetBIOS Bereich-ID
51 Lease-Zeit
66 TFTP Servername (RFC2132) oder in Namensfeld (RFC2131)
150 IP-Adresse(n) von VoIP-Konfigurationsserver(n) [hat Vorrang über Option 66 (RFC5859)]

Was könnte schiefgehen?

Symptom Mögliche Ursachen
Keine IP-Adresse erhältlich Authentifizierungsproblem
  -Falsche Einstellung für Endgerät (Authentifizierungsprotokoll, falsches Zertifikat)
  - Keine Endgerät-Konfiguration auf Authentifizierungsserver
Keine IP-Adresse verfügbar
  - Unzureichende IP-Adressenabfrage
Netzwerkproblem
  - DHCP-Server nicht erreichbar vom VLAN
Falsche IP-Adresse Netzwerkproblem
  - Falsches VLAN zugeordnet
Falscher oder unbefugter DHCP-Server bietet IP-Adresse an, wenn mehrere DHCP-Server vorhanden sind.

Empfohlene Maßnahmen:

  1. Dokumentieren Sie die VLAN-Konfiguration für Switches, Switch-zu-Switch-Uplinkanschlüsse, VLAN-zu-Benutzergruppe/Adressenkorrelierung und DHCP-Bereitstellung für jede VLAN/Broadcast-Domäne.
  2. Machen Sie die Dokumentation den Teammitgliedern zugänglich, die für das Setup und die Fehlerbehebung der Switch-Netzwerke verantwortlich sind.
  3. Führen Sie standardisierte Testabläufe und Verfahren ein, mit denen jedes Mitglied des Teams die Switch-Konfiguration vom Client-Standort zum entsprechenden VLAN bzw. zur Adresse überprüfen kann.
  4. Verschaffen Sie sich Tools, mit denen Sie Einsicht in alle DHCP-Reaktionen vom Netzwerk erhalten, um unbefugte DHCP-Server, die IP-Adresse und dem Client nach Benutzerberechtigung zugeordneten Optionen festzustellen.

 


OneTouch AT unterstützt 802.1x mit EAP um das des Benutzers zu emulieren.

Stellen Sie fest, ob mehrfache DHCP-Antworten erhalten wurden und welche Parameter angeboten wurden.

Schaffen Sie sich Einsicht in auf Switch-Ports konfigurierte VLANs und andere Zustände wie Ausnutzung und Anzahl von angeschlossenen Geräten.

Routing

Wenn ein Endgerät eine IP-Adresse und wichtige Konfigurationsinformationen erhält, kann es dann mit anderen Geräten auf dem Netzwerk kommunizieren. Routing ist der fundamentale Mechanismus, den das Netzwerk nutzt, um verschiedene IP-basierte Geräte über private und öffentliche Netzwerke zu verbinden. Auf dem Netzwerk befinden sich eine Anzahl bedeutender und fundamentaler Dienste, die diese Funktion unterstützen und mit denen das Netzwerkteam vertraut sein sollte:

Routing-Elemente: Beschreibung
VLAN Virtuelles LAN ist ein Layer 2-Mechanismus, der es Switches ermöglicht, Endgeräte und Switch-Anschlüsse in eine Broadcast-Domäne zu gruppieren.
Router Ein Router ist ein Gerät, das Netzwerke zusammenfügt und den Datenverkehr zwischen ihnen lenkt. Ein Router enthält mindestens zwei Netzwerkschnittstellen-Platinen (NIC), eine ist physisch mit dem einen Netzwerk, die zweite ist physisch mit dem anderen Netzwerk verbunden. Manche Router können so konfiguriert werden, dass sie Datenverkehr nur auf bestimmten, gut bekannten Anschlüssen zulassen. Anwendungen, die auf Protokollen mit speziellen Ports ausführen, müssen dahingehend konfiguriert werden, dass sie diese Ports öffnen.
DNS Ein Domain Name Server, auch DNS-Server oder Namensserver genannt, verwaltet eine riesige Datenbank, die Domänennamen IP-Adressen zuordnet. Wenn Sie eine URL in Ihren Web-Browser eingeben, verwendet der Standard DNS-Server seine Ressourcen, um den Namen in die IP-Adresse für den entsprechenden Webserver zu entschlüsseln.
NAT Network Address Translation ermöglicht einem einzelnen Gerät, z. B. einem Router, als Agent zwischen dem Internet (oder „öffentlichen Netzwerk“) und einem lokalen (oder „privaten“) Netzwerk zu fungieren. Das bedeutet, dass nur eine einzelne oder einige anerkannte IP-Adressen verpflichtet ist/sind, eine gesamte Gruppe von Geräten mit nicht erkannten IP-Adressen zu vertreten.

Die Art, auf die diese Dienste zusammenarbeiten, kann wie im folgenden Beispiel zusammengefasst werden:
Client kommuniziert mit einem Server im Intranet

  1. Client kennt den Namen des Servers
  2. Client sendet eine Anfrage an Standard-DNS IP (Parameter von DHCP)
      a. Wenn sich der Standard-DNS nicht auf dem gleichen IP-Teilnetz befindet, sendet er eine Anfrage an den Standard-Router auf seinem VLAN
      b. Der Router leitet die Anfrage an den mit dem DNS IP-Teilnetz verbundenen Router-Anschluss und die VLAN-ID wird höchstwahrscheinlich geändert
  3. Der DNS-Server antwortet mit der IP-Adresse des Intranet-Servers, über einen Router, falls erforderlich
  4. Eine Verbindungsanfrage wird an die IP-Adresse des Intranet-Servers gesendet, bei Bedarf wieder über den Router
  5. Der Router leitet die Anfrage an den mit dem Intranet-Teilnetz verbundenen Router-Anschluss und die VLAN-ID wird geändert
Der Client wird mit dem Internet verbunden
  1. Die vier ersten Schritte sind die gleichen wie bei der Kommunikation mit dem Intranet-Server, außer dass der Name des Servers eine Webseite über einen Webbrowser sein kann
  2. Der Router leitet das IP-Paket an den Router-Anschluss, der an die Internet-Verbindung angeschlossen ist
  3. Wenn NAT verwendet wird, ändert die NAT die Ursprungsadresse von Client A zu einer erkennbaren öffentlichen Adresse, bevor sie sie an die Internetverbindung weiterleitet

 

Was könnte schiefgehen?

Symptom Mögliche Ursachen
Alle Benutzer auf dem gleichen VLAN können keine Verbindung mit dem Intranet-Server aufbauen Falsche IP-Adresse oder Standard-DNS fehlgeschlagen
Router nicht erreichbar oder fehlgeschlagen
Unterbrochener oder überzeichneter VLAN-Trunkpfad
Alle Benutzer auf dem gleichen VLAN können keine Verbindung mit dem Internet aufbauen Router-Port oder Verbindung zum Internet ausgefallen
Router nicht erreichbar oder fehlgeschlagen
DNS nicht erreichbar oder fehlgeschlagen
NAT fehlgeschlagen
Manche Anwendungen können nicht ausführen Der Router hat u. U. den Protokoll-Port blockiert, den die Anwendung erfordert
VoIP arbeitet nicht Anruf-Manager nicht erreichbar?
DHCP VoIP-Konfigurationsserverinformationen nicht verfügbar oder falsch konfiguriert?

Empfohlene Maßnahmen:

  1. Während der Installation halten Sie standardisierte Tools und Verfahren bereit, damit Techniker die Zugänglichkeit und den Weg zu lokalem Router und kritischen Servern, Intranet und Internet von einer VLAn-Kante stichprobenartig mit jeder Berechtigung prüfen können.
  2. Dokumentieren Sie den korrekten Standard-Router, die DNS-IP-Adresse, die dem Client basierend auf der Benutzer/Geräteberechtigung zur Referenz bei der Fehlerbehebung bereitgestellt werden sollte. Machen Sie diese Informationen dem Team zugänglich.
  3. Halten Sie für die Fehlerbehebung Tools bereit, die Traceroute und Switch-Path zeigen können und notieren Sie Pass oder Fail des DNS-Prozesses beim Zugreifen auf Assets über die lokale Teilnetz/Broadcast-Domäne hinaus.

 


Führen Sie eine TCP-Verbindung zur Überprüfung der DNS-Auflösung, Verbindungsfähigkeit zum Server und Reaktionszeit beider aus.

Vergewissern Sie sich, dass der Standard-Gateway/Router erreichbar ist.

Bestimmen Sie die Switch-Wege zwischen dem Switch-Anschluss und dem Zielgerät.

Effizienz

Wenn Konnektivität, Authentifizierung und Router überprüft sind, ist der letzte, aber nicht unwichtigste Schritt, sicherzustellen, dass das Netzwerk helfen kann, Anwendungsdatenverkehr effizient zu liefern. Es gibt mehrere Hauptfaktoren, die die Benutzererfahrung der Anwendung aufgrund des Netzwerks beeinflussen können:

  1. Verfügbare Bandbreite kann die Serviceklasse der Bereitstellung beeinflussen, besonders auf WAN-Verbindungen, wie auch die Höhe der Last auf dem Netzwerk.
  2. Der verwendete Netzwerkpfad kann die transversale Latenz wie auch die verfügbare Bandbreite beeinflussen.
  3. Smart-Geräte wie Load-Balancer und WAN-Beschleuniger, die die Anwendungs-Transaktion überarbeiten.
Da das Design des Netzwerks hauptsächlich diese Faktoren diktiert, liegt es in der Verantwortung des Netzwerkteams, das Design dahingehend zu überprüfen, ob es in der Lage ist, die Anwendung zu unterstützen, bevor es bereitgestellt wird und keine Last anliegt, wie auch nach dessen Bereitstellung. Die am häufigsten geprüften Parameter: Informationsgeschwindigkeit (IR) oder Bandbreite, Jitter, Verzögerung und Paketverlust. Die drei am häufigsten eingesetzten Netzwerkansätze sind iPerf, IETF RFC2544 und ITU Y.1564. In der folgenden Tabelle werden die Leistungen dieser drei Tests verglichen:

 

  RFC2544 iPerf Y.1564
Frame-Typ Nur UDP TCP, UDP UDP
Netzwerk-Hauptprüfungen Informationsgeschwindigkeit, Verzögerung und Datenverlust. Jitter ist optional TCP: Informationsgeschwindigkeit,
UDP: Informationsgeschwindigkeit,
Verzögerung, Jitter und Datenverlust
Informationsgeschwindigkeit, Verzögerung, Jitter und Datenverlust
Hauptsächliche einstellbare Parameter IPv4, DSCP, TOS und VLAN;
Sieben Frame-Größen (Byte):
64, 128, 256, 512, 1024,
1280, 1518; gleiche Port-Nr.
senden und empfangen
IPv4 oder IPv6,
DSCP, TOS und VLAN;
TCP: Bytes gesendet, insgesamt,
MTU/MSS, TCP Fenstergröße,
und zu sendende Datei; UDP:
benutzerdefinierter Frame: Größe
Andere Port-Nr. senden und empfangen
IPv4 oder IPv6,
Layer 3-Tag: MPLS,
802.1p, 802.1ad,
DSCP und COS;
Stream-Profil: MTU,
CIR, EIR, EMIX;
Andere Port-Nr. senden und empfangen
Anzahl an gleichzeitigen Verbindungen Ein Mehrfach Mehrfach
HW-Plattform Professionelle Testausrüstung Windows/Linux/Unix-basierter Computer Professionelle Testausrüstung
Vorteile Einfache Konfiguration für maximale Bandbreite TCP- und UDP-Test;
Multi-Strom Test:
gratis unter BSD-Lizenz
TCP- und UDP-Test;
Multi-Strom Test:
kurze Testzeit
Nachteil Nur UDP
Erfordert dedizierte HW
Übertragungsgeschwindigkeit ist Slave von NIC-Driver Befehlszeilen-UI Komplizierte Konfiguration nicht normal im Unternehmens-LAN, erfordert dedizierte HW

Von diesen drei Prüfansätzen ist RF2544 der erste, der angewendet wurde und noch heute der am meisten verwendete. Er war ausreichend zur durchgängigen Validierung der Netzwerkleistung. iPerf gewinnt an Beliebtheit in der Netzwerkingenieur-Gemeinschaft aufgrund der Fähigkeit, Bandbreitentests mit TCP-Strömen durchzuführen sowie aufgrund der niedrigen Bereitstellungskosten. Z.1564 wird hauptsächlich für Metro-Netzwerk Linkprüfung verwendet, wo SLA unverzichtbar ist. Er ist bisher nicht allgemein in Unternehmen angenommen worden.

Was könnte verursachen, dass eine Anwendung langsam ausführt?
Wenn ein Benutzer moniert, dass das Netzwerk langsame Leistung erbringt, sollten einige Fragen gestellt werden, um herauszufinden, ob das Problem auch wirklich am Netzwerk liegt:
  a. Welche Anwendung ist betroffen? Echtzeit-Voice/Daten oder Datenverkehr
  b. Wenn es sich nicht um eine Unternehmens-Anwendung handelt, stellen Sie Fragen, um zu bestimmen, ob die Anwendungsströme innerhalb des Unternehmensnetzwerks enthalten sind.
  c. Wie viele Clients waren betroffen? In welchem Verhältnis stehen diese Clients zueinander?

Symptom Woran könnte es liegen?
Alle Benutzer nur einer Intranet-Anwendung erlebten langsame Ausführung Problem liegt an Anwendung oder Server;
Das Netzwerk bis zu dem/den Anwendungsserver(n) hat einen Defekt
Alle Benutzer einer Internet-Anwendung erlebten langsame Ausführung Problem liegt an Internet-Anwendung;
Datenfluss der Internet-Anwendung blockiert
Erfahrung eines Benutzers mit einer Anwendung war schlecht Konfiguration von Client-Gerät oder Konto;
Problem mit Client/Netzwerk-Konnektivität, besonders bei Verbindung über Wi-Fi
Wenige Benutzer im gleichen VLAN hatten die gleiche schlechte Leistungserfahrung Problem liegt am Netzwerkpfad von VLAN zur Anwendung
Problem liegt an VLAN-Gruppenbereitstellung

Empfohlene Maßnahmen:
Bei der Bereitstellung:

  1. Netzwerkleistungstest für durchgängige Verbindung zwischen kritischen Wegen bis zur maximalen Bandbreite des schwächsten Gliedes und gegen die SLA-Anforderung des schwächsten Gliedes durchführen. Wenn kein SLA-Parameter verfügbar ist, ist die folgende Richtlinie anzuwenden: Verzögerung, Einweg, durchgängig, < 150 ms, Jitter < 100 ms und Paketverlust < 1 %.
  2. Dokumentieren Sie das Testergebnis für die Verbindung für künftige Referenz.
Während der Fehlerbehebung:
  1. Wenn es sich um eine TCP-Anwendung handelt, versuchen Sie, einen TCP Connect-Test zum Server auszuführen. Wenn der Test 100 % mit kaum Verzögerung abschließt, ist es sehr wahrscheinlich, dass das Problem am Server selbst liegt, nicht an der Netzwerkverzögerung. Der nächste Schritt ist der Nachweis, dass der Paketverlust auf dem Netzwerkweg zwischen dem Client und dem Server akzeptabel ist, damit das Netzwerk als Ursache ausgeschlossen werden kann. Normalerweise ist < 1 % erwünscht bei der Geschwindigkeit, die der Höchstgeschwindigkeit für die Informationen entspricht, die für die Informationen erforderlich ist. Wenn sich der Server außerhalb des Unternehmensnetzwerks befindet, brauchen Sie nur bis zu dem Punkt zu prüfen, an dem der Stream das Netzwerk verlässt.
  2. Wenn die Anwendung Echtzeit-Voice/Video ist, können Sie von manchen VoIP-Telefonen Jitter/Paketverluste-Statistiken von Anrufen erhalten. Ansonsten können Sie einen RFC2544- oder iPerf-Test gegen den Zielendpunkt ausführen. Normalerweise erfordert Voice und Video Einweg-End to End-Verzögerung von < 150 ms, Jitter < 40 ms und Paketverlust < 1 % bei einer UDP-Stream-Geschwindigkeit, die in etwa der des Voice/Medien-Streams entspricht.
  3. Alle Testergebnisse dokumentieren. Wenn das Problem nicht am Netzwerk liegt, versuchen Sie, die Anwendungs-Transaktion an beiden Enden der Anwendung zu erfassen: Nahe dem Client und nahe dem Server. Der beste Ansatz ist, den Datenverkehr mittels Inline-TAP oder über SPAN-Spiegel-Port abzugreifen.

 



Testen Sie die Konnektivität mit dem Anwendungsserver und überprüfen Sie die DNS-Auflösung sowie die geleitete Reaktionszeit von beiden.

Überprüfen Sie die Leistung der verdrahteten Verbindung zum Router mit den Leistungstests des OneTouch AT. Messen Sie den Upstream- und Downstream-Durchsatz bis zu 1 Gbps sowie Verlust, Jitter und Latenz.

Erfassen Sie Pakete inline zwischen Switch und Gerät und legen Sie einen Filter an, um relevante Informationen auf SD-RAM zu speichern.

Alles zusammenbringen

Um in der Unterstützung von Switch-Netzwerken heutzutage ein wirksames Netzwerkteam zu sein, muss es über die Technologie auf dem Laufenden sein, die das alles möglich macht. Es ist auch wichtig, dass die Mitglieder des Teams Informationen effektiv austauschen, nicht nur über Wissen wie z. B. die Konfiguration des Netzwerks, sondern auch vor-Ort-Informationen bei der Fehlerbehebung oder Bereitstellung. Trotz der besten Bemühungen haben nicht alle Mitglieder des Teams die gleiche Wissensstufe. Viel Freeware und viele Tools stehen auf dem Markt zur Verfügung, aber nicht alle Teammitglieder haben das nötige Wissen, um diese Tools anzuwenden, sie zu interpretieren und die Ergebnisse mitzuteilen. Freeware ist auch berüchtigt für den Mangel an Dokumentation und Testberichterstellung die leicht verbreitbar wäre. Die Fähigkeit, Echtzeitinformationen über das Netzwerk zu speichern und weiterzugeben, verbessert nicht nur die Zusammenarbeit zwischen Teams während der Fehlerbehebung, sie dient auch als wichtiger Beleg, wenn Dritte, z. B. Service-Provider, hinzugezogen werden müssen, um ein von ihnen verursachtes Problem zu beheben.


Tragbare Netzwerk-Prüfgeräte von NETSCOUT geben nicht nur Netzwerkteams die Mittel an die Hand, Einsicht zu gewinnen, die Produktfamilie an Tools bietet darüber hinaus zwei Haupteigenschaften, die dem Team helfen, effektiver zu sein.

1. Automatische Prüfung zum Unterstützen von programmierbaren standardisierten Testverfahren.
Die Tools bieten einen AutoTest, der mit einem einfachen Tastendruck Einsicht in alle vier Aspekte des Switch-Netzwerks eröffnet, mit vom Benutzer programmierbaren Pass/Fail-Grenzen und automatischer Berichterstellung. Es stehen drei Auswahlen zur Verfügung, die unterschiedliche Stufen an Detail und Prüftiefe bieten:

AutoTest-Funktionen             LinkSprinter
            LinkRunner
            OneTouch AT
Konnektivität – PoE Typ 1 Typ 1 und 2 mit
TruePower
Typ 1 und 2 mit
TruePower
Konnektivität – Link 10/100/1000 Mbit/s
Kupfer
10/100/1000 Mbit/s
Kupfer oder Glasfaser
10/100/1000 Mbit/s
Kupfer oder Glasfaser und
Bis zu 802.11ac
Konnektivität – Switch-ID LLDP/CDP-Berichte
Switch-Name/Anschlussnr.
LLDP/CDP-Berichte
Switch-Name/Anschlussnr.
LLDP/CDP-Berichte
Switch-Name/Anschlussnr.
Authentifizierung 802.1x/EAP 802.1x/EAP
Adresse DHCP u. statisch DHCP u. statisch DHCP u. statisch
VLAN-ID
Routing Gateway,
Ping 1 IP-Gerät mit
DNS-Auflösung
Gateway,
Ping 10 IP-Geräte mit
DNS-Auflösung
Gateway,
Ping, TCP-connect,
E-MAIL, FTP, IGMP,
WEB-Test für Benutzer
definierbare Anzahl von Geräten
Effizienz Reaktionszeit für Ping-Test Reaktionszeit für Ping-Test Reaktionszeit für
Routen-Test
RFC2544 bis zu 1Gbit/s
Bemerkenswerte Tools • Testergebnis anzeigen
über Wi-Fi von
Mobile App
• Versorgt durch PoE oder AA-Batterie
• Abstand zum Fehler
• Tongenerator für
Kabelverlauf nachverfolgen
• Wiremap für Kabel
Tests
• Abstand zum Fehler
• Paketerfassung
• Inline-PoE- und VoIP-Analyse
• Geräteerkennung u.
Inventory-Bericht
• Remote-Steuerung
• Abstand zum Fehler

Tabelle: Vergleich der Hauptfunktionen zwischen tragbaren Netzwerk-Testgeräten für Switched Networks von NETSCOUT

2. Kollaborativer Arbeitsfluss für mit Cloud-Portal zum Speichern und Freigeben von Testergebnissen.

Zur Vereinfachung von Transparenz und Kollaboration im Netzwerkteam sind alle tragbaren NETSCOUT Testtools mit einer cloud-basierten Ergebnis- und Berichtmanagement-Datenbank namens Link-Live verbunden. Es handelt sich dabei um einen cloud-basierten Service, der das automatische Hochladen von Testergebnissen von allen tragbaren Tools unterstützt. Während der Netzwerkbereitstellung lässt sich einfach ein Fortschrittbericht erstellen, der die jeden Tag getesteten Switch-Ports, ihre Link-Geschwindigkeit und Duplex-Verteilung und die PoE-Ergebnisse anzeigt. Während der Fehlerbehebung können frühere Testergebnisse von einem Switch-Port für eine schnelle Identifikation von Änderungen mit aktuellen Testergebnissen verglichen werden.

 

Abb.: Link-Live Ergebnis-Dashboard mit Zusammenfassung der Testergebnisse

Abb.: Erweiterte Testergebnisse mit detaillierten Informationen

Abb.: Berichtzusammenfassung von Link-Live mit Anzeige des Fortschritts aus der Sicht der Testergebnisse im Zeitverlauf

Fazit

Die Switch-Netzwerke haben sich mit der Zeit von einfachen Verbindungsgeräten für das Netzwerk weiter entwickelt, so dass sie heute Spannung versorgen, Geräte und Benutzer authentifizieren und ihren Datenverkehr effektiv und automatische leiten können. Das Netzwerkteam muss seine Kenntnisse der übernommenen Technologie auf dem Laufenden halten und auch die Einsicht in die Konstruktion des Switch-Netzwerks bewahren und Änderungen vornehmen können, besonders an den Rändern, wo Geräte und Benutzer ständig in Bewegung sind und neue M2M-Geräte hinzukommen. Die Anwendung einer bewährten Maßnahme, die eine Standardisierung des Testverfahrens, die Verbreitung der Informationen, von Design und Konfiguration bis hin zu Echtzeit-vor-Ort-Status ermöglicht, wird die Effizienz des Teams insgesamt verbessern. Die tragbaren Netzwerk-Testgeräte von NETSCOUT bieten die besten Testeigenschaften ihrer Klasse und automatische Testverfahren, die das Netzwerkteam effizient machen und ihm die Kontrolle der 4 Hauptaspekte der Switch-Netzwerke sichern.

 
 
Powered By OneLink