Netzwerk-Monitoring in der Josefs-Gesellschaft

Netzwerk

Veröffentlicht 02.12.2020 13:30, Kim Wehrs

Die Josefs-Gesellschaft gGmbH ist ein katholischer Träger von Einrichtungen für Menschen mit Behinderungen, Seniorenzentren und Krankenhäusern. Mit über 10.000 Mitarbeitern und ca. 39 Beteiligungsgesellschaften bundesweit ist die Josefs-Gesellschaft eines der größten Sozialunternehmen in Deutschland. Die vielfältigen Angebote reichen von Wohnmöglichkeiten, Schulen, beruflicher Bildung und Werkstätten bis hin zur medizinischen und pflegerischen Versorgung. In der Holding-Zentrale in Köln laufen die Netzwerk-Fäden zusammen. Dort steht auch das zentrale Rechenzentrum sowie im Abstand von zweihundert Metern das Backup-Rechenzentrum, in dem zur Sicherheit alle wichtigen Daten gespiegelt werden.

VPN-Strecken verbinden über 80 Standorte

Die regional verteilten Standorte sind überwiegend per VPN-Leitungen mit dem zentralen Data Center in Köln verbunden. Die beiden Kölner Rechenzentren sind mit mehreren 10-Gigabit-Leitungen untereinander verkoppelt. Achim Kaufmann, Teamleiter IT-Infrastruktur in der JG-Zentrale, ist unter anderem für Planung, Ausbau, Stabilität, Geschwindigkeit und Zuverlässigkeit der Netzwerkleitungen verantwortlich. Daher will er Engpässe frühzeitig erkennen, bevor es zur Überlastung oder gar zum Ausfall einer Leitung kommt. In System- und Hardwarefragen beraten wird er dabei vom Analyse-Spezialisten GORDION, der das Projekt von der Beratung bis hin zur Implementierung umfassend betreute.

Was wäre, wenn eine Leitung lahmt?

Würde eine VPN-Strecke in einem Krankenhaus ausfallen, wäre der Zugriff zum betriebsinternen Cloud-Rechenzentrum in Köln vorübergehend abgeschnitten. Ein Krankenhaus könnte zwar offline weiterarbeiten, pflegen und operieren, aber die Dokumentation würde wieder auf Papier basieren, was den Prozess also langwieriger, umständlicher und aufwändiger machen würde.

Vorsorgen ist besser

Um Leitungsengpässe vorher zu erkennen, wurde in der JG-Gruppe in den letzten Jahren neben Wireshark auf Laptops ein großer, schwerer Network Analyzer mit eingebautem Monitor eingesetzt. Nachdem Anfang 2019 aber ein langjähriger Vertrag für das teure Gerät auslief und der amerikanische Hersteller binnen weniger Jahre mehrmals verkauft wurde, hat sich Herr Kaufmann nach neuen Lösungen umgeschaut. Von Freeware über Appliances bis hin zu verteilten Monitoring-Systemen auf multiplen Servern war alles dabei. Am Ende fiel die Wahl auf zwei Stand-Alone-Netzwerk-Analysatoren des Messgeräte-Entwicklers und -Herstellers Allegro Packets, ein Allegro 200 und ein Allegro 1000.

Streckenmessung zur Provider-Kontrolle

Ein erster Anwendungsfall innerhalb der Josefs-Gesellschaft ist die Streckenmessung, anhand derer sich die IT-Abteilung Klarheit verschaffen möchte, ob eine Leitung Engpässe hat. Dabei ist es egal, ob sich diese zwischen zwei Rechenzentren oder zwischen Zentrale und Einrichtung befindet. Bestehen Engpässe, will man klären, ob diese durch eigene Applikationen verursacht werden oder durch Kapazitätsprobleme des Providers. Beginnen wir mit Letzterem.

Leitungs-Überbuchung im MPLS-Netz nachweisen

Wenn ein Internet-Provider in seinem Service Level Agreement zum Beispiel versichert, die gemietete MPLS-Leitung schaffe von Endpunkt zu Endpunkt nonstop 50 MBit/s mit 100 Millisekunden Latenz, lässt sich dies mit zwei Allegro Network Multimeter konkret überprüfen - und zwar passiv. Bisher musste man ein Gerät aktiv an die Leitung anschließen, um die nötige Last zu generieren. Doch wenn die Leitung bereits überbucht ist, kann man keine große Dauerlast zusätzlich auf die Leitung schicken.

Fährt ein anderer Provider-Kunde dann ein großes Backup auf der gleichen Strecke, ist die Leitung plötzlich schlecht. Macht der andere Kunde ein Backup nur einmal im Monat, müsste der aktive Test einen ganzen Monat laufen, bevor der Störer überhaupt bemerkt werden würde. Leitungsüberbuchungen im MPLS-Netz sind per se nichts Ungewöhnliches, aber es ist schwer, dies einem Provider auch konkret nachzuweisen.

Die Lösung: Zwei Geräte können an zwei Standorten passiv messen, an beiden die Pakete aufzeichnen und schließlich die Prüfsummen austauschen.

Dazu äußert sich Achim Kaufmann: „Die eingesetzte Technik bietet uns die Möglichkeit, ohne großartigen Aufwand an sonstigen Endgeräten die Leitungen zu messen. Die beiden Geräte kann ich einfach passiv in den Kommunikationsweg einklinken und sehe sofort, was auf diesem Port passiert. Ich kann z.B. ablesen, dass von den 100 Prozent Paketen, die auf die Leitung geschickt werden, auf der anderen Seite 99 Prozent in unter 100 Millisekunden ankommen.“

10G-Strecken zwischen Rechenzentren messen

Die Rechenzentren der JG-Gruppe sind redundant aufgebaut. Das heißt, „wir haben zwei Brandabschnitte. Die einzelnen Data Center sind knapp 200 Meter voneinander getrennt und sind mit vier Mal 10 Gigabit untereinander verbunden“, so Kaufmann. „Diese Strecken kann ich nun einzeln monitoren und vermessen. Die Rechenzentren stehen beide in Köln. Einen Brandabschnitt haben wir in unserem zentralen Gebäude, der andere steht in einem unserer Krankenhäuser. Die beiden Rechenzentren sind auf Storage-Ebene gegeneinander gespiegelt.“

Backbone-Leitungen monitoren

Stabilität und Ausfall-Sicherheit der Backbone-Leitungen sind sehr wichtig, sagt Kaufmann: „Wir haben den Allegro 1000 kürzlich auf 10G aufgerüstet. Damit kann ich jetzt auch meine Backbone-Leitungen monitoren. Wir haben zwei redundante Wege ins zentrale Rechenzentrum und haben von der Telekom auch zwei Hauseinführungen, die komplett getrennte Wege nehmen. Unsere Beteiligungsgesellschaften sind aber nicht so breitbandig abgesichert. Das ist am Ende ja auch alles eine Frage der Kosten.“

Streckenmessung zwischen Zentrale und Krankenhaus

Umso wichtiger sei gerade auch die Qualitätsanalyse der Fernleitungen. Dabei stehe das eine Gerät im Kölner Rechenzentrum und das andere Gerät in einem der 80 Standorte, etwa einem der acht Krankenhäuser. Dazu Kaufmann: „Unsere Beteiligungsgesellschaften nutzen Ressourcen in unserem zentralen Rechenzentrum in Echtzeit. Wenn beispielsweise Krankenhäuser abgeschnitten wären, dann hätten sie keinen Online-Zugriff mehr auf das Krankenhaus-Informationssystem, auf die Lohnabrechnung und die Pflege-Verwaltung. Dann könnten diese letztendlich nicht mehr in Echtzeit dokumentieren, sondern müssten ihre Dokumentation nachträglich erfassen. Will sagen: Alles per Hand aufschreiben und später eintippen.“ Auch deshalb sei das Leitungs-Monitoring „fast genauso wichtig wie ein Daten-Backup: Das sollte man regelmäßig als Vorsorge machen und nicht erst, wenn schon etwas passiert ist.“

Datenschutz-technisch sehr konform

Die Entscheidung für ein Netzwerk-Monitoring-Verfahren muss auch den Datenschutz berücksichtigen. Doch was ist sicher? Freeware? In der Cloud verteilte Systeme? Wer will da die Hand ins Feuer legen? Mit Allegro Packets hat Achim Kaufmann auch an dieser Stelle keine schlaflosen Nächte: „Es ist Datenschutz-technisch sehr konform. Denn die Daten werden nur auf dem Allegro-Gerät gehalten, welches die IT unter der alleinigen Kontrolle hat. Die Daten sind auch flüchtig. Das heißt: Wenn das Gerät entwendet wird, gilt der Fall: Strom weg, Daten weg! Falls man zum Beispiel mit dem Allegro 200 vor Ort Daten aufzeichnen möchte, kann man die extern anschließbare Festplatte komplett AES-verschlüsselt einrichten. Wer das Passwort nicht kennt, kommt nicht an den Inhalt der Platten. Dahinter steckt ein Linux-LUKS-Container, der als sicher gilt. Andere Monitoring-Systeme verschicken die Messdaten zum Beispiel per NetFlow übers Netzwerk an den zentralen Server. Können Sie sich Zugriff auf diesen Server verschaffen, sind Sie quasi im Datenparadies und sehen Alles auf einen Blick.“ Im Zweifel ist ein Stand-Alone-Gerät eben noch ein Tick sicherer als jede Cloud.

Quelle: Allegro Packets
https://allegro-packets.com/de/


Lesen Sie mehr zum Thema "Aus dem Markt"

Lesen Sie hier die neuesten Beiträge

Diese Webseite verwendet Cookies.   Mehr Info.      oder