danielwe
Goto Top

Bandbreiten- und Trafficanalyse mit ntop bei SkyDSL - Was mache ich falsch?

Servus zusammen,

ich sitze hier gerade vor einem Rätsel und kann mir keinen Reim aus den Hinweisen machen. Das ist mein Problem:

Unser Firmennetzwerk besteht aus ca. 200 Clients, hauptsächlich Windows-PCs. Wie besitzen zwei Anbindungen an WAN-Netzwerke. Zum Einen eine 2MBit-Standleitung, die uns mit anderen Standorten verbindet und über die Firmenanwendungen wie Exchange oder SAP laufen. Und zum Anderen eine 10MBit Satelliten-DSL Leitung, die für den reinen Internetverkehr gedacht ist. In diesem Fall geht es nur um die Sat-Leitung, die Standleitung funktioniert ohne Probleme.

Seit etwa einem Monat treten zunehmend Phasen auf, in denen die Leitung extrem langsam wird oder ganz ausfällt. Da sich auf unserer Seite nichts verändert hatte, habe ich erstmal den Carrier angerufen und diesen um Prüfung gebeten. Wie erwartet ist laut deren Aussage die Leitung klasse.

Um auszuschließen, dass das Problem auf unserer Seite liegt, habe ich also eine kleine ntop-Kiste zwischengeschaltet aber aus den Messergebnissen werde ich nicht wirklich schlau. Zunächst mal der Aufbau:

Die Hardware ist ein ausgemusterter Dell Optiplex GX520 mit zweiter NIC. Darauf läuft eine Festplatteninstallation von NST (Eine Linux-Lifedistri, die ntop, ntopng und viele andere Tools schon vorinstalliert hat). Eine der NICs nutze ich für das Webinterface. Die zweite NIC läuft im Promisc-Modus und dient zum Sniffen. Für die Testmessungen lasse ich den Internetverkehr über unsere Backup-Leitung laufen. Es sollte also sichergestellt sein, dass ich der einzige auf der Leitung bin.

Die Infrastruktur schaut so aus, dass an unserem Haupt-Switch (Dell Powerconnect 3540-Stack) ein Router hängt. An diesem Hängt wiederum das Sat-Modem. Das Modem hat einen DHCP-Server an Bord und schleift die WAN-IP an den Router durch. Soweit so gut.

Der Router bietet die Möglichkeit des Port-Mirrorings. Also habe ich den Port vom Router ins LAN gespiegelt und den Sniffing-Port meiner ntop-Kiste daran gehängt. So habe ich schon oft Messungen durchgeführt und bisher nie Probleme bekommen. Dieser Port des Routers sollte ja alles, was aus dem LAN raus bzw. ins LAN rein geht mitbekommen.

Jetzt möchte ich kurz erklären, wie meine Messungen aussehen. Die Bandbreite verhält sich hier ganz seltsam und scheint sehr stark zu schwanken. Wenn ich einen großen Download zum Testen starte kann es passieren, dass ich locker auf meine 10MBit an Auslastung komme. Das sehe ich deutlich in den Peaks in ntop oder im Echtzeit-Bandbreitenmonitor. Aber dann plötzlich bricht die Downloadrate ein (zu sehen im Downloadmanager) und im gleichen Moment geht auch die genutzte Bandbreite im Monitor runter. Ich hatte es schon oft, dass meine Auslastung dann plötzlich bei unter 1MBit lag. Der Download war dann auch entwprechend langsam. Bis der Einbruch kommt, kann es einige Minuten dauern oder auch nur einige Sekunden. Aktuell liegt die Downloadrate z.B. bei 90 KB/s und die Auslastung der Leitung bei etwa 500 KBit/s. Egal, was ich anstelle, ich bekomme die Auslastung und die Geschwindigkeit nicht mehr über 1MBit/s, egal was und wo ich downloade.

Nun habe ich also von unserem Carrier den Link zu einem Online-Speedtest bekommen, den ich bitte ausführen und ihm die Ergebnisse schicken sollte. Wenn ich also diesen Speedtest durchführe, geht meine Auslastung durch die Decke und ich kann deutlich den Peak im Bandbreitenmonitor erkennen. Der Speedtest zeigt mir dann - O-Wunder - natürlich auch ein Top-Ergebnis an. Laut diesem Ding sind Up- und Download Top und ich sollte kein Problem haben.

Mache ich dagegen einen Speedtest eines anderen Anbieters, dann bekomme ich dort eine Leistung von rund 6000 kBit/s im Download und in der Auslastung sehe ich keinen hohen Peak sondern lediglich ein paar kleine Spitzen, die nur bis max 2MBit/s reichen. Das sind zwar auch nur Durchschnittswerte, trotzdem wundert es mich, dass die Kurven so unterschiedlich aussehen und die Testergebnisse so unterschiedlich sind.


Was ich mir nun dazu gedacht habe ist folgendes: Irgendwie stinkt das ganze danach, als würde bei den Jungs die Bandbreite knapp werden. Also priorisieren sie ihren eigenen Speedtest damit alles auf den Kunden abgewälzt werden kann. Anders kann ich mir nicht erklären, wieso deren eigener Test so einen Ausschlag verursacht während ein fremder Test sogar einen Timeout bekommt. Dass die genutzte Bandbreite trotz mehrerer Leitungshungriger Dienste sogar bei 200 Nutzern auf der Leitung nicht über maximal 2MBit/s hinausgeht, spricht für eine Drosselung der Leitung. Mein Problem besteht jetzt nur darin, das ganze auch nachzuweisen.

Deswegen meine Frage: Habe ich hier bei der Messung einen Fehler gemacht? Gibt es Einschränkungen beim Port-Mirroring, die ich nicht bedacht habe? Ich habe nämlich festgestellt, dass ich unter den TOP-Flows tatsächlich auch Flows zwischen internen Rechnern habe. In der Liste der TOP-Senders stehen fast nur interne PCs. Auch das sollten eigentlich externe Kisten sein. Kann das damit zusammen hängen, dass ich nur einen Sniffer an einem Mirror-Port habe und die Daten nicht durch das Gerät laufen?

Was denkt Ihr? Mache ich bei der Messung etwas falsch?

Danke schonmal für die Hilfe.

Viele Grüße
Daniel

Content-ID: 243706

Url: https://administrator.de/contentid/243706

Ausgedruckt am: 25.11.2024 um 13:11 Uhr

aqui
aqui 15.07.2014 um 14:46:42 Uhr
Goto Top
Hier steht wie man ntop bändigt:
Netzwerk Management Server mit Raspberry Pi
Kapitel: " Grafische Analyse mit ntop"
keine-ahnung
keine-ahnung 15.07.2014 um 15:00:03 Uhr
Goto Top
Moin,
spricht für eine Drosselung der Leitung. Mein Problem besteht jetzt nur darin, das ganze auch nachzuweisen.
wozu? Die werden Dir die 10Mbit ja nicht zugesichert haben, gelle? Zum anderen ist das ein shared medium mit allen Nachteilen, zusätzlich geht's IMHO über irgendeinen Proxy, der was weiss ich wo steht ...

Unterm Strich wird rauskommen: stimmt, ist stellenweise oder immer langsamer als maximal möglich. Konsequenzen: eher keine ... face-wink

LG, Thomas
DanielWe
DanielWe 15.07.2014 um 15:15:48 Uhr
Goto Top
Ntop ist doch bereits im Einsatz und sammelt fleißig Daten. Mein Problem ist, dass ich mir daraus keinen Reim machen kann.

Ich möchte gern wissen, ob es ein generelles Problem beim Sniffen mit dem Mirror-Port gibt oder ob ich damit generell die selben Analysen in der selben Qualität fahren kann, wie mit einer Appliance, die die Daten durchschleift.
DanielWe
DanielWe 15.07.2014 um 15:20:31 Uhr
Goto Top
Wir haben eine Businessleitung gekauft aufgrund der Aussage, dass wir damit in den Stoßzeiten priorisiert werden und es zu keinen Bandbreiteneinbrüchen kommt. Selbst wenn Du recht hättest, hätte ich schon ein Interesse daran, die Ursache des Problems zu ermitteln damit es uns nicht eventuell beim nächsten Anbieter genau so geht.

Wenn wir sowieso 90% der Zeit nur 500KBit haben, dann kann ich auch wieder auf die olle DSL-Light-Leitung schalten, die uns der Rosa Riese hier anbietet. Dafür brauch ich keine Schüssel auf dem Dach.
brammer
brammer 15.07.2014 um 15:58:20 Uhr
Goto Top
Hallo,

kannst du zeitliche Spitzenzeiten ausmachen?
Gibt es die Engpässe zu bestimmten zeiten oder eher zufällig?

Ansonten würde ich auf reines überbuchen der Satelliten Bandbreite tippen, das heißt der Carrier hat mehr verkauft als er hat, in dem Wissen das nicht jeder die komplette Bandbreite braucht.

Der Bandbreiten Test anderer Anbieter is kaum aussagekräfitg, du weißt ja nicht was dazwischen an Flaschenhälsen oder Engpässen existiert.

Dem Carrier Bandbreiten test würde ich genauso wenig trauen, da kann der Carrier Daten anzeigen wie er mag.

brammer
DanielWe
DanielWe 15.07.2014 um 16:55:43 Uhr
Goto Top
Hi,

gefühlt wird es zum späten Vormittag hin schlechter und zum Nachmittag gegen 15:00 wieder besser. Das deckt sich sowohl mit unseren Arbeitszeiten als auch mit der vermuteten höchsten Belastung der Satellitenbandbreite allgemein.
keine-ahnung
keine-ahnung 15.07.2014 um 17:37:05 Uhr
Goto Top
Moin nochmal,
Das deckt sich sowohl mit unseren Arbeitszeiten als auch mit der vermuteten höchsten Belastung der Satellitenbandbreite allgemein
letzteres ist eine Vermutung von Dir oder lässt sich das irgendwie belegen? Ich würde die Zugänge via ka-Sat überwiegend eher dem privaten Umfeld zuordnen - dort sollte die höchste Inanspruchnahme eher ab dem Nachmittag zu erwarten sein? Wieviel traffic verursacht Ihr da eigentlich via satellite? Eventuell greift da auch eine fair-use-policy?

LG, Thomas
DanielWe
DanielWe 15.07.2014 um 18:23:32 Uhr
Goto Top
Wir haben jetzt 18:21 und die Bandbreite ist immer noch im Keller. Damit wäre mein Gefühl wohl widerlegt.
Fair-Use gibts bei SkyDSL nicht. Das war mir ja beim Abschluss so wichtig. Whatever. Ich glaube ich werde einfach mal ein paar von den Auswertungen auf deren Facebookseite posten. Mal sehen, wie schnell die Jungs beim Löschen unterwegs sind. :D
keine-ahnung
keine-ahnung 15.07.2014 um 18:37:18 Uhr
Goto Top
Bei einer Contention-Ratio von z.B. 1:50 stehen jeweils 50 Kunden gemeinsam die 3.000 GB eines 10 MBit/s Anschlusses pro Monat zur Verfgung. Demnach stehen den einzelnen Kunden im Mittel ca. 60 GB im Monat zur Verfügung, wobei durch die automatische Umverteilung (sogenannte "Mischkalkulation") der einzelne Kunde je nach Nutzungsverhalten ggf. mehr oder weniger als den im Mittel verfügbaren Wert nutzt. Desweiteren kann die dem Einzelnen zur Verfügung stehende Bandbreite seines Anschlusses von der Anzahl der aktiven Nutzer abhängen. Dies ist immer dann der Fall sofern die reale Contention-Ratio die vertraglich festgelegte Contention-Ratio unterschreitet.
und
Beim "Pooling" (Verwendung von Pools) werden Kunden nach bestimmten Kriterien in einem gemeinsamen Pool zusammengefasst. Bei skyDSL werden Kunden z.B. aus technischen Gründen hinsichtlich ihres Standortes einem Pool zugewiesen, der zu einem bestimmten Satelliten-Beam und Satelliten-Transponder gehört. Auch werden Kunden anhand ihres gebuchten Tarifes in Pools zusammengefasst. Zusätzlich werden Kunden mit ülichem Nutzungsprofil innerhalb ihres Tarifes jeweils einem Pool zugeordnet. Da bei einem Anschluss mit Contention-Ratio die zur Verfolgung stehende Bandbreite des Anschlusses von der Anzahl der aktiven Nutzer abhängt, führt auf Grund der Ähnlichkeit der Kunden eines Pools hinsichtlich ihres Nutzungsprofils mit steigender Nutzungsintensität des Anschlusses die Wahrscheinlichkeit, dass die maximale Bandbreite des Anschlusses erreicht werden kann.
Alter Falter, ich habe zwar einen ziemlich gründlichen und langen akademischen und postakademischen Bildungsweg absolviert ... aber was will uns der Autor (in diesem Fall von der SkyDSL-FAQ zitiert) damit sagen? Das die nur mit 50 Kunden pro Transponder kalkulieren ...?? Nachtigall, ick hör Dir trapsen ...

LG, Thomas
DanielWe
DanielWe 15.07.2014 um 18:51:58 Uhr
Goto Top
Ja, mir ist die Geschichte mit dem Pooling bekannt. Deswegen war SkyDSL für mich auch lange kein Thema weil die Sat-Anbieter da stellenweise echt eine unterirdische Mischkalkulation aufstellen. Bis sie eben angefangen haben, die Businessanschlüsse ohne Fair-Use-Policy und ohne Drossel anzubieten. Laut deren Aussage werden die Businesskunden da dynamisch immer so zugewiesen, dass genügend Bandbreite zur Verfügung steht.

Ich finde es nur eine absolute Unverfrohrenheit, eventuelle Änderungen nicht zu kommunizieren und auf Beschwerden nicht zu reagieren. Denn offensichtlich hat sich in den letzten zwei Monaten die Anzahl der Nutzer doch etwas erhöht so dass die Bandbreite in diesem Slot zu gering ist. Damit haben sie wohl die Vorgehensweise gegenüber Privatkunden auch auf Firmenkunden übertragen.

Saftladen. In weiser Vorraussicht habe ich zwar einen Vertrag abgeschlossen, der monatlich kündbar ist. Allerdings sind 768er DSL auch keine Alternative für 200 Mitarbeiter.
aqui
aqui 16.07.2014 um 12:30:16 Uhr
Goto Top
Kommt wie immer drauf an WAS die Mitarbeite machen... Für ein bischen Citrix Terminal Server reicht das allemal... um Bildaten und Videos zu schaufeln sicher nicht.
Alles eine Frage der Sichtweise....
certifiedit.net
certifiedit.net 17.07.2014 um 13:37:30 Uhr
Goto Top
Hi Schleudertrauma,

dir ist das Problem bei SatDSL bewusst? Es ist stark Wetterabhängig. Vielleicht lässt du in zukünftige Messungen auch eine Wetterstation mit ein fliessen. Meine Tests bei einem Kunden mit ähnlich schlechter Anbindung wurden abgebrochen. Latenz ist unterirdisch und selbst bei 20M hast du im Endeffekt nie eine Gewissheit, dass die Gäste (war ein Hotel) die Leistung ziehen können, die sie verlangen. Eben, weil es so stark schwankt.

Der Raum war übrigens Westliche Mitte von BaWü.

Grüße,

Christian
certifiedit.net
certifiedit.net 17.07.2014 um 13:40:01 Uhr
Goto Top
ShitStorms bringen nichts, wenn das Problem in der Technik begründet liegt.