Das überwachte Firmennetzwerk
Artikel erschienen in Swiss IT Magazine 2009/08
Eine alte Management-Weisheit gilt nicht nur für das Geschäft im allgemeinen, sondern auch für den zuverlässigen Betrieb von IT- und Telekommunikationsnetzwerken: «You can’t manage what you don’t measure.» Die kontinuierliche Netzwerküberwachung, neudeutsch Network Monitoring, ist denn auch ein tragender Pfeiler der Netzwerkverwaltung insgesamt.
Die internationale Standardorganisation ISO versteht unter Netzwerkmanagement sämtliche Aktivitäten, die dem Betrieb, der Verwaltung und der Überwachung eines Netzwerks dienen und beschreibt die benötigten Funktionen mit dem sogenannten FCAPS-Modell:
- Fault Management (F): Identifizieren, Aufzeichnen, Melden und Beheben von Unregelmässigkeiten, Über- beziehungsweise Unterschreiten von Grenzwerten sowie von eigentlichen Fehlern.
- Configuration Management (C): Meist automatische Erfassung und Inventarisierung aller zu überwachenden Netzwerkkomponenten wie Switches, Router, Gateways, Server, Clients und Dienste.
- Accounting Management (A): Erfassen und Aufzeichnen der Nutzung des Netzwerks durch die verschiedenen Dienste, Nutzer und Kostenstellen zwecks Weiterverrechnung der Betriebskosten, sei es an unternehmensinterne Verbraucher oder an externe Kunden.
- Performance Management (P): Sammeln und Aufzeichnen von Leistungsdaten für statistische Auswertungen und Trendanalysen bezüglich der Leistungsfähigkeit des Netzwerks.
- Security Management (S): Funktionen des Identitäts- und Zugriffsmanagements wie Benutzerauthentifizierung und Autorisierung des Zugriffs auf bestimmte Ressourcen.
Gesamtlösungen für das Netzwerkmanagement decken all diese Bereiche mehr oder weniger adäquat ab und eignen sich für die heterogenen Netzwerklandschaften von Grossunternehmen mit mehreren Standorten. Dazu gehören die umfassenden Management-Frameworks der grossen Hersteller wie CA, HP und IBM.
Viele Netzwerkmanagement-Lösungen decken einzelne Teilbereiche ab – so exis-tieren zahlreiche Produkte, die sich ausschliesslich dem Identitäts- und Zugriffsmanagement oder der Inventarisierung widmen.
Die laufende Überwachung und regelmässige Kontrolle des Netzwerkverkehrs und der beteiligten Komponenten bildet die Basis für alle weiteren Management-Anstrengungen. In der aktuellen Marktübersicht hat Swiss IT Magazine die wichtigsten Lösungen für das Netzwerkmonitoring zusammengefasst – überall dort, wo eine Auswahl besteht, mit Schwerpunkt auf Produkte, die auch in kleinen Umgebungen mit einigen Dutzend bis einigen hundert zu überwachenden Komponenten wirtschaftlich eingesetzt werden können.
Netzwerkmonitoring-Lösungen decken im allgemeinen die Funktionsbereiche F, C und P des FCAPS-Modells ab. Am Anfang steht die automatische Identifizierung der vorhandenen Netzwerkgeräte (Autodiscovery). Die laufende Überwachung der Hardware bedient sich der Protokolle SNMP und WMI, die in praktisch sämtlicher netzwerkfähiger Hardware implementiert sind. Das Monitoring der Netzwerkdienste erfolgt über Protokolle wie TCP, http, DNS, POP3 und so weiter.
Mit diesen Basisprotokollen lässt sich das Netzwerk auch ohne die Installation zusätzlicher Software auf den einzelnen Komponenten überwachen – man spricht von agentenlosem Monitoring. Die meisten Lösungen bieten darüber hinaus auch die Möglichkeit, über Softwareagenten (auch Sensoren oder Probes genannt) weitergehende Informationen über den Betriebszustand und die Leistungsfähigkeit der überwachten Geräte zu gewinnen oder arbeiten grundsätzlich agentengestützt.
Noch weiter geht die detaillierte, paketweise Analyse des Netzwerkverkehrs auf den untersten Ebenen des OSI-Schichtenmodells – dieser Detaileinblick setzt jedoch erstens umfassendes Know-how voraus, damit er wirklich Nutzen bringt, und ist zweitens fast ausschliesslich Sache spezieller Monitoring-Werkzeuge, die in der Produktkategorie «Sniffer» vermarktet werden. Die hier vorgestellten Netzwerkmonitoring-Lösungen beschränken sich auf die agentenlose oder agentengestützte Überwachung auf den höheren Ebenen.
CA, IBM und HP bieten Netzwerkmonitoring im Rahmen ihrer übergreifenden Management-Suiten an. Man findet die Produkte jedoch meist gar nicht unter dem Begriff «Monitoring» – sie werden vielmehr in Kategorien wie «Infrastrukturmanagement», «Performance Management» oder «Business Technology Optimization (BTO)» positioniert. Swiss IT Magazine hat für die Marktübersicht jeweils das Produkt gewählt, das einem klassischen Monitoring-Tool am nächsten kommt. Es lohnt sich deshalb bei Interesse, das Angebot dieser Hersteller genauer unter die Lupe zu nehmen – neben den auf Unternehmensnetzwerke zugeschnittenen Lösungen werden meist weitere Produkte angeboten, die sich mehr für Telekommunikationsnetze eignen. Das einzige Preisbeispiel in diesem Segment zeigt im übrigen, dass diese Lösungen praktisch nur für Gross-unternehmen in Frage kommen: Der Tivoli Network Manager von IBM schlägt mit knapp 100’000 Franken zu Buche.
Die übrigen Anbieter offerieren meist mehrere Produktvarianten. Eine kostenlose Testversion gibt es fast bei allen Lösungen, einige Produkte sind überdies entweder ausschliesslich oder optional in einer Open-Source- oder Community-Ausgabe erhältlich. Ausserdem bieten fast alle Anbieter ihre Lösung entweder auch in einer speziell für KMU positionierten Einstiegsversion oder die Lizenzierung ist auch für kleinere Umgebungen skalierbar – mit Preisen, die bereits bei einigen hundert Franken beginnen. Im Folgenden stellt Swiss IT Magazine einige besonders auffallende Produkte mit ihren interessantesten Eigenschaften vor.
Netcrunch vom polnischen Hersteller Adrem Software ist vergleichsweise preisgünstig und bietet agentenlose Überwachung von über 65 Protokollen und Kenngrössen anhand von 250 vordefinierten Monitoring-Policies. Adrem betont die grafisch attraktive und übersichtlich gestaltete Oberfläche, mit der sich die wichtigsten Parameter von tausenden von Netzwerkkomponenten auf einen Blick erfassen lassen sollen. Das Produkt wird nach der Anzahl der überwachten Netzwerkknoten lizenziert und ist in den Varianten Premium (diverse Abstufungen ab 125 Nodes) und Premium XE (für grosse Netzwerke mit bis zu 1000 oder unbeschränkt vielen Nodes) erhältlich. Die Anzahl der überwachten Services, Events und Messwerte unterliegt bei allen Varianten keinerlei Beschränkung.
Der Netmanager IP Infrastructure ist das KMU-Produkt von Cisco: Die Software überwacht bis zu 100 Geräte und 100 Wireless-Access-Points und unterstützt dabei neben der Produktepalette von Cisco selbst auch Hardware von Drittherstellern. Für das Monitoring der hauseigenen Unified-Communication-Lösung hält Cisco ebenfalls ein KMU-Produkt namens Netmanager Unified Communications bereit, das für Umgebungen mit bis zu 1000 Nutzern ausgelegt ist. Für grössere Unternehmen bietet Cisco die Ciscoworks Lan Management Solution (LMS) an.
Mit einem Startpreis von 195 Euro kommt der PRTG Network Monitor aus der Küche der Nürnberger Paessler AG auch für kleinste Umgebungen in Frage. Das Lizenzmodell unterscheidet sich allerdings von den Mitbewerbern: Paessler lizenziert nach der Anzahl der für die Überwachung eingesetzten Sensoren. Bei einem komplexen Gerät wie einem Server werden meist mehrere Sensoren benötigt. Die Einstiegslizenz gilt für maximal 100 Sensoren, eine Lizenz für unbeschränkt viele Sensoren ist ab 2000 Euro erhältlich. Daneben gibt es eine Gratisversion für bis zu 10 Sensoren. Die kürzlich angekündigte Version 7 bietet als Hauptneuerung die sogenannten «Toplists»: Die Software zeigt neben den detaillierten Analysen verschiedene wichtige Angaben in Form von vorkonfigurierten und benutzerdefinierbaren Listen an. Die drei vorkonfigurierten Toplists zeigen auf Basis der Informationen von Packet-Sniffing- und Netflow-Sensoren auf einen Blick die IP-Adressen, die Verbindungen und die Protokolle mit dem grössten Bandbreitenverbrauch an.
Das Hauptmerkmal von Big Brother 4 von Quest Software ist ein ausgefeiltes User Interface auf Flash-Basis: Alle Informationen werden grafisch attraktiv aufbereitet und mit einfach zu identifizierenden Farbcodierungen kategorisiert. Im Hintergrund steht eine Client/Server-Architektur mit vier Komponenten: Der Display Server kümmert sich um die Präsentation der gesammelten Informationen, der Paging Server verarbeitet die Statusinformationen und gibt Alarmmeldungen aus, die Network Monitor Testing Routine analysiert Netzwerkprotokolle und die Local System Monitors sammeln auf den überwachten Geräten Systeminformationen und leiten sie an den Display Server und/oder den Paging Server weiter. Big Brother ist in einer kostenlosen Community-Edition für Privatanwender und Nonprofit-Organisationen und mit einer kommerziellen Lizenz für den geschäftlichen Einsatz erhältlich.
Auch die Open-Source-Szene hat diverse Monitoring-Lösungen hervorgebracht. Als Beispiel dienen die verbreiteten Projekte Nagios (dank zahlreichen Plug-ins mit sehr umfassendem Funktionsumfang) und Hyperic HQ (neben der GPL-lizenzierten Ausgabe auch mit kommerzieller Lizenz erhältlich). Zu den weiteren Netzwerkmonitoren mit freiem Quellcode gehören MRTG, Cacti, Zabbix, Munin und Bigsister.