Mit Cace und Wireshark

Riverbed treibt Netzanalyse voran

15.07.2011
Von Doris Gottstein
Mit der Übernahme von Cace wagt Riverbed den Spagat: Neben den kommerziellen Produkten rund um Wireshark wird der WAN-Optimierer Hauptsponsor des führenden Open-Source-Tools zur Netzwerkanalyse.

Nicht wenige Anwender reagierten mit Skepsis, als Riverbed im Oktober 2010 den Kauf von Cace Technologies, der Trägergesellschaft des quelloffenen Netzwerkanalyse-Tools Wireshark, bekannt gab. Sie befürchteten insbesondere, dass Wireshark durch die Übernahme seine Unabhängigkeit verliert und die Weiterentwicklung durch die Open-Source-Gemeinde allmählich eingestellt wird.

Loris Degioanni, Cace-Mitbegründer und jetziger Senior Director of Technology, sieht das Problem, räumt aber ein, dass Cace aus eben diesen Gründen einen passenden Käufer gewählt hat: „Bei Riverbed konnte man voraussehen, wie sie unsere Produkte sinnvoll integrieren und weiterentwickeln können.“ Und neben eher kommerziellen Zukunftsvisionen sei die wichtigste Bedingung gewesen, dass Wireshark unabhängig und die Community bleibt, wie sie ist. „Wir suchten eine Firma, die auch den Wert dieses Open-Source-Tools erkennt.“

Wieder vereint: Drei Erfinder, die den Open Source-Gedanken hochhalten (v.l.n.r.): Gerald Combs (Wireshark), Loris Degioanni (WinPcap) und Steve McCanne (TcpDump).
Wieder vereint: Drei Erfinder, die den Open Source-Gedanken hochhalten (v.l.n.r.): Gerald Combs (Wireshark), Loris Degioanni (WinPcap) und Steve McCanne (TcpDump).
Foto: Doris Gottstein

Hinzu kommt, dass neben Degioanni auch Wireshark-Gründer Gerald Combs und das gesamte Entwickler-Team zu Riverbed wechselten. Bedenkt man, dass die Wurzeln der ganzen Packet-Analyzing-Technik in den von Wireshark genutzten Werkzeugen "TcpDump", "LibPcap" und "WinPcap" liegen, sind somit zusammen mit TcpDump-Entwickler Steve McCanne, Mitgründer und CTO von Riverbed, alle Entwickler dieser maßgeblichen Open-Source-Tools in einem Unternehmen vereint.

Kombination von Netflow Analytics und Deep Packet Inspection

Riverbeds Hauptgrund für den Kauf war der Umstand, dass sich durch die Integration von Netflow Analytics und Deep Packet Inspection völlig neue Möglichkeiten zur Fehlereingrenzung bieten: Während die Netflow-Daten die Informationen für den Überblick liefern und es ermöglichen, bei Bedarf auf einzelne Flows herunterzuzoomen, liefern die Daten aus der Paketanalyse die für die Fehlereingrenzung notwendigen Details.

Auf dem 4. Sharkfest, das Mitte Juni an der kalifornischen Stanford University stattfand, stellte Riverbed mit Version 3.0 den ersten Meilenstein des ambitionierten Integrationsprojekt vor, bei dem das Netflow-Tool Profiler von Riverbed mit Caces Pilot-Plattform verschmolzen wurde. Für Riverbed-CTO McCanne stellt dies allerdings nur den Anfang dar: „Flow-based Plattformen kombiniert mit Packet-based Analytik in einer gemeinsamen Architektur, dies ergibt eine großartige Basis für weitere intelligente Lösungen", erklärt er. Das elegante Design sei sehr flexibel, skalierbar und offen für alle denkbaren Erweiterungen und Anpassungen.

Durch die Kombination von Informationen aus Netflow-Daten und Paketanalyse ergeben sich völlig neue Möglichkeiten, Fehler einzugrenzen.
Durch die Kombination von Informationen aus Netflow-Daten und Paketanalyse ergeben sich völlig neue Möglichkeiten, Fehler einzugrenzen.
Foto: Riverbed

Wie die Kombination von Netflow-Daten und Packet Level-Informationen funktioniert, liefert ein Vergleich mit Google Maps und Street View. Auf der Map-Ebene liefert Netflow die Daten für die Übersicht und erlaubt es, auf einzelne Datenflows hinunter zu zoomen. Um den Detaillierungsgrad noch mehr zu erhöhen, können dann ergänzend Paketanalysedaten herangezogen werden (siehe Chart).
Mit diesem Vorgehen lassen sich viele Netzwerkprobleme dadurch vermeiden, dass Engpässe erkennbar werden, bevor sie sich auf Netzfunktionen und Performance auswirken. So wird ein Schlagwort Realität, das seit jeher in der Datenfluss-Welt herumgeistert: proaktives Netzwerkmanagement.
Bei der Entwicklung dieser Architektur wurde besonderer Wert auf die Reduzierung der Datenmenge gelegt, die zwischen den zentralen Monitoring-/Reporting-Systemen (Cascade Pilot und Cascade Profiler) und den dezentralen Flow-Kollektoren und Paketaufzeichnungsgeräten (Cascade Shark) ausgetauscht werden. Mit dieser Integration können Flow-Daten dazu verwendet werden, eine bestimmte Auswahl von Paketen, die für die Analyse eines Problemfalls notwendig sind, auf den Cascade Pilot und Wireshark zu übertragen.

Der Nutzen dieser Vorgehensweise zeigt sich gerade beim Troubleshooting, wo beide Aspekte, die Übersichtlichkeit und der höchst mögliche Detaillierungsgrad, wichtig sind. Ersteres benötigen Netzwerker, um Probleme mit Hilfe von Netflow-Daten eingrenzen zu können, Letzteres, um sich auf einen Ausschnitt zu konzentrieren, der über die Problemdetails Auskunft gibt.

Inhalt dieses Artikels