Nicht wenige Anwender reagierten mit Skepsis, als Riverbed im Oktober 2010 den Kauf von Cace Technologies, der Trägergesellschaft des quelloffenen Netzwerkanalyse-Tools Wireshark, bekannt gab. Sie befürchteten insbesondere, dass Wireshark durch die Übernahme seine Unabhängigkeit verliert und die Weiterentwicklung durch die Open-Source-Gemeinde allmählich eingestellt wird.

Loris Degioanni, Cace-Mitbegründer und jetziger Senior Director of Technology, sieht das Problem, räumt aber ein, dass Cace aus eben diesen Gründen einen passenden Käufer gewählt hat: „Bei Riverbed konnte man voraussehen, wie sie unsere Produkte sinnvoll integrieren und weiterentwickeln können.“ Und neben eher kommerziellen Zukunftsvisionen sei die wichtigste Bedingung gewesen, dass Wireshark unabhängig und die Community bleibt, wie sie ist. „Wir suchten eine Firma, die auch den Wert dieses Open-Source-Tools erkennt.“

Hinzu kommt, dass neben Degioanni auch Wireshark-Gründer Gerald Combs und das gesamte Entwickler-Team zu Riverbed wechselten. Bedenkt man, dass die Wurzeln der ganzen Packet-Analyzing-Technik in den von Wireshark genutzten Werkzeugen "TcpDump", "LibPcap" und "WinPcap" liegen, sind somit zusammen mit TcpDump-Entwickler Steve McCanne, Mitgründer und CTO von Riverbed, alle Entwickler dieser maßgeblichen Open-Source-Tools in einem Unternehmen vereint.

Kombination von Netflow Analytics und Deep Packet Inspection

Riverbeds Hauptgrund für den Kauf war der Umstand, dass sich durch die Integration von Netflow Analytics und Deep Packet Inspection völlig neue Möglichkeiten zur Fehlereingrenzung bieten: Während die Netflow-Daten die Informationen für den Überblick liefern und es ermöglichen, bei Bedarf auf einzelne Flows herunterzuzoomen, liefern die Daten aus der Paketanalyse die für die Fehlereingrenzung notwendigen Details.

Auf dem 4. Sharkfest, das Mitte Juni an der kalifornischen Stanford University stattfand, stellte Riverbed mit Version 3.0 den ersten Meilenstein des ambitionierten Integrationsprojekt vor, bei dem das Netflow-Tool Profiler von Riverbed mit Caces Pilot-Plattform verschmolzen wurde. Für Riverbed-CTO McCanne stellt dies allerdings nur den Anfang dar: „Flow-based Plattformen kombiniert mit Packet-based Analytik in einer gemeinsamen Architektur, dies ergibt eine großartige Basis für weitere intelligente Lösungen", erklärt er. Das elegante Design sei sehr flexibel, skalierbar und offen für alle denkbaren Erweiterungen und Anpassungen.

Wie die Kombination von Netflow-Daten und Packet Level-Informationen funktioniert, liefert ein Vergleich mit Google Maps und Street View. Auf der Map-Ebene liefert Netflow die Daten für die Übersicht und erlaubt es, auf einzelne Datenflows hinunter zu zoomen. Um den Detaillierungsgrad noch mehr zu erhöhen, können dann ergänzend Paketanalysedaten herangezogen werden (siehe Chart).
Mit diesem Vorgehen lassen sich viele Netzwerkprobleme dadurch vermeiden, dass Engpässe erkennbar werden, bevor sie sich auf Netzfunktionen und Performance auswirken. So wird ein Schlagwort Realität, das seit jeher in der Datenfluss-Welt herumgeistert: proaktives Netzwerkmanagement.
Bei der Entwicklung dieser Architektur wurde besonderer Wert auf die Reduzierung der Datenmenge gelegt, die zwischen den zentralen Monitoring-/Reporting-Systemen (Cascade Pilot und Cascade Profiler) und den dezentralen Flow-Kollektoren und Paketaufzeichnungsgeräten (Cascade Shark) ausgetauscht werden. Mit dieser Integration können Flow-Daten dazu verwendet werden, eine bestimmte Auswahl von Paketen, die für die Analyse eines Problemfalls notwendig sind, auf den Cascade Pilot und Wireshark zu übertragen.

Der Nutzen dieser Vorgehensweise zeigt sich gerade beim Troubleshooting, wo beide Aspekte, die Übersichtlichkeit und der höchst mögliche Detaillierungsgrad, wichtig sind. Ersteres benötigen Netzwerker, um Probleme mit Hilfe von Netflow-Daten eingrenzen zu können, Letzteres, um sich auf einen Ausschnitt zu konzentrieren, der über die Problemdetails Auskunft gibt.