Suchen

Netzwerkprobleme bei Chat, Telefon und Video finden So monitoren und analysieren Sie TCP, SIP, RTP und SSL

| Autor / Redakteur: Klaus Degner / Dipl.-Ing. (FH) Andreas Donner

Wer kennt es nicht: Die Telefonkonferenz ist gestartet, aber ein Gesprächspartner ist nur mit Verzögerungen und sehr undeutlich zu verstehen. Treten diese Fehler wiederholt auf, dann wird der Admin gerufen. Um bei der Vielzahl an Netzwerkaktivitäten den Fehler zu finden, ist es hilfreich, „in die Leitung zu schauen“ und die Verbindungen über die Netzwerkschichten 2 bis 7 und deren Pakete zu analysieren. Dabei werden die genutzten Protokolle, z.B. TCP, SIP, RTP oder SSL, untersucht.

Firmen zum Thema

Wenn es bei Voice- und Videoverbindungen ruckelt und stottert, hilft ein Network Analyzer – und ein wenig Knwo-how.
Wenn es bei Voice- und Videoverbindungen ruckelt und stottert, hilft ein Network Analyzer – und ein wenig Knwo-how.
(Bild: Allegro Packets)

Heterogene Anwendungen und Dienste beanspruchen die Bandbreite der Netzwerkverbindung. Verschiedene Teilnehmer bzw. Dienste teilen sich eine in Summe immer zu schmale Datenübertragungsrate. Wenn Nutzer heute auf Uplinks von bis zu 1 GBit/s zugreifen, sind das enorme Zuwächse gegenüber vergangener Jahre. Allerdings sind die zu übertragenden Datenmengen ebenfalls mit der Komplexität ihrer Anwendungen gestiegen. Backup, Chat, E-Mail, Telefon und Video laufen über ein Kabel und konkurrieren miteinander. Mitarbeiter können zusätzlich meist ihre eigenen Geräte verbinden und nutzen auch dort datenhungrige Anwendungen. Moderne Messtechnik zur Netzwerkanalyse macht die Aktivitäten, Engpässe und Störungen im Netzwerk sichtbar und ermöglicht eine detaillierte Untersuchung und Auswertung des Traffics.

Erreichbarkeit von Diensten

In vielen Firmen kommt neben E-Mail auch andere textbasierte Kommunikation, z.B. Einzel- oder Gruppenchat, zum Einsatz. Von der E-Mail ist man es gewohnt, dass sie nicht ad hoc zugestellt werden muss. Beim Chat erwartet man dagegen eine unmittelbare Zustellung der Nachricht, ohne Verzögerung. Für langes Warten auf Antwort ist kein Verständnis beim User vorhanden, da die Unterhaltung oft kleinteiliger und kurzgefasst ist. Der Admin kann feststellen, ob es an einem technischen Problem liegt, wenn das Gespräch mal wieder stockt.

Bildergalerie

Mit einem dedizierten Werkzeug zur Netzwerkanalyse kann er die entsprechende IP-Adresse des Chat-Users ermitteln und sich die Protokolldaten der TCP-Verbindungen anzeigen lassen. Die TCP-Verbindungsdaten sind für Aufbau, Kontrolle und Beendigung der Verbindung zuständig. Mit dem Netzwerk-Analyzer wird erkannt, wie lange der Handshake in die eine und in die andere Richtung dauert. Damit wird deutlich, ob es Latenzprobleme gibt.

Sind Dienste virtualisiert, kann es Qualitätsprobleme mit der virtuellen Maschine geben. Sie arbeitet meist nach dem Best-Effort-Prinzip und verteilt die Leistung gleich. Bei einem Backup spielt die Dauer eine untergeordnete Rolle. Der Chat braucht die Leistung jedoch sofort. Wenn der Service über eine virtuelle Maschine läuft, dann kann der Admin über die zu hohen Handshake-Zeiten herausfinden, dass der virtuelle Host der virtuellen Maschine nicht genügend Rechenzeit zuteilt. Es gibt Pausen, in der die Maschine sehr stark ausgelastet ist und keine Anfragen beantwortet.

Wurden über TCP Daten übertragen, bestätigt die Gegenseite nach einer kurzen Zeit deren Empfang. Ist die Antwortzeit konstant ungewöhnlich hoch, liegt das an der Entfernung zwischen Server und Client. Wenn die TCP-Antwortzeit deutlich ansteigt und schwankt, dann steht der Chat-Server entweder unter hoher Last oder die Verbindung ist sehr langsam. Das Ganze funktioniert auch in Client-Richtung. Ist die Antwortzeit sehr hoch und es wird nur sehr zögerlich bestätigt, dann ist der Chat-Client oder die Strecke überlastet. Das Netzwerkanalyse-Tool hilft hier, die Zeiten der Kontroll-Verbindungen zu überblicken.

Ebenfalls sollten die TCP-Retransmissions betrachtet werden, wenn sich der Chat-User gar nicht einloggen kann, die Verbindung immer unterbrochen wird oder Verzögerungen spürbar sind. Mehrfach gesendete Pakete lassen auf überlastete Netzwerkkomponenten schließen.

Eine erste Antwort, ob eine schlechte Erreichbarkeit von Client oder Server vorliegt, kann also mit der Untersuchung von TCP-Handshakes, TCP-Antwortzeiten und der Begutachtung der TCP-Retransmissions beantwortet werden.

Lastspitzen erkennen

Sind die TCP-Antwortzeiten nicht konstant, kann dies an einer schwankenden Netzlast liegen. Hatte das Netzwerk durch einen ungünstigen Umstand einmalig zu viel zu verarbeiten oder gibt es wiederkehrende Überlastungen? Mithilfe der Burst-Analyse erkennt der Admin, ob es sich um wiederholende und damit systematische Lastspitzen handelt.

Die Burst-Analyse ist ein guter Indikator für die Netzwerkqualität und zeigt, zu wieviel Prozent die Leitung in einem betrachteten Zeitintervall belastet ist. Ein Burst beschreibt den Effekt, dass für kurze Zeit sehr viele Datenpakete ohne Pause über die Leitung geschickt werden, vergleichbar mit einem Stau auf der Straße. Aber wodurch tritt der Stau auf? Beispielsweise zwingen umfangreiche Anfragen die Leitung ans Limit und lösen die Störung für andere Anwendungen aus.

Datentransfers, etwa von schnellen SSD-Festplatten, können die volle Bandbreite des Netzes ausnutzen. Eine große Menge an E-Mails steht beispielsweise in Konkurrenz mit dem Update des Smartphones eines Mitarbeiters. Zusätzlich laufen weitere Dienste, wie Chat und VoIP. Wenn es einen Datenstau für z.B. eine Millisekunde gab, musste der Switch, Router oder die Firewall, weil noch mehr Pakete ankamen, diese puffern oder sogar wegwerfen. Das ist zwar normal in Netzwerken, aber es kann sich problematisch entwickeln und dazu führen, dass Dienste wie Chat oder VoIP gestört werden. Mit dem Analyzer werden diese Lastspitzen sichtbar und gefunden. Mit ihm wird erkannt, welcher Dienst zur Zeit der Lastspitzen sehr viele Daten gesendet oder Verkehr ausgelöst hat.

Vieles kann der Admin über die Vergabe von Quality-of-Service-Regeln lösen. Dafür muss er wissen, welche Dienste und Services im eigenen Netz genutzt werden. QoS beschreibt Methoden, um die Qualität von Diensten im Netz zu verbessern. Dies geschieht über zusätzliche Bandbreite, Reservierung von Bandbreite oder die Priorisierung von Paketen. Die festgelegten Maßnahmen sollten überwacht werden und dadurch das gewünschte Ergebnis bestätigen.

Eine Erhöhung der Übertragungskapazität ist nicht immer die passende Lösung. Meist ist es ratsam, einzelne Dienste in Klassen zu ordnen und ihnen dann eine entsprechende Bandbreite zuzuordnen. Das Chatprogramm könnte hier in einer Klasse mit Video eingeordnet werden. Eine zusätzliche Möglichkeit stellt neben der logischen, die physische Trennung von Diensten dar. Dem Telefondienst bzw. VoIP wird also eine sehr hohe Priorität oder eine eigenständige Leitung zugeordnet.

SIP und RTP unter die Lupe nehmen

Sprach- und Videodienste sind in Form von Telefonie (VoIP) und Videokonferenzen vielfach genutzte Anwendungen im Büroalltag. SIP und RTP sind dabei die am häufigsten genutzten Protokolle zur Sprachübertragung. Das Session Initiation Protocol (SIP) ist für den Aufbau, die Beendigung und die Steuerung der Sitzungen zuständig. Der SIP-Standard ist relativ alt, textbasiert und kann beliebig erweitert werden. Mit der Analyse-Lösung können in den SIP-Statistiken die Anrufe und ihre Meta-Daten angezeigt werden.

Wird ein Telefonat qualitativ schlecht bewertet, ist dies für den Admin im Analyse-Tool nachvollziehbar. Indikatoren sind die Bitrate, Sample-Rate, Infos zum Codec und weitere Audio-Parameter. Die Übertragung der eigentlichen Audiodaten läuft über das Protokoll RTP (Real-Time Transport Protocol). Die RTP-Paketrate zeigt an, ob es Abbrüche der Verbindung gab oder ob die Rate sehr konstant war. Doppelt übertragene oder verworfene Pakete werden ebenfalls gemessen und sichtbar. RTP-Pakete haben Sequenznummern. Wenn Sequenznummern fehlen, dann kann man vom Verlust der Pakete ausgehen (Packet Loss). Die Störungsursache ist dann oft ein Burst oder ein Leitungsproblem.

Oft wird auch davon berichtet, dass der Gesprächspartner nicht durchgängig zu verstehen ist. Die Audiodaten werden in RTP-Blöcken über UDP transportiert. UDP ist ein verbindungsloses Transportprotokoll. Es erwartet, im Gegensatz zu TCP, keine Bestätigung für die sichere Zustellung der Pakete. Diese werden in einem Abstand von 20 oder 30 ms gesendet. Meist werden die Pakete aber nicht gleichbleibend empfangen. Schon ein Unterschied von 20 ms führt zu akustischen Problemen. Ob dies der Fall ist oder ein anderes Problem zur beeinträchtigten Sprachqualität führt, kann über den Analyzer herausgefunden werden. Das Netzwerkanalyse-Tool zeigt den Zeitstempel, Packet Loss und die Unterschiede in der Laufzeit – den Jitter. Für die Messung des Jitters ist eine Genauigkeit im Millisekundenbereich nötig.

Der Videotelefonie über die Schulter schauen

Neben VoIP sind Videotelefonie, Webmeetings und Webinare sehr beliebte Kommunikationsformen, die ebenfalls die Bandbreite des Netzes beanspruchen und dabei zeitkritisch sind. Meist treten Fehler dann auf, wenn man den Dienst am dringendsten benötigt. Der Nutzer klagt über abgehackten Ton oder ruckelnde Bilder.

Bei Problemen wird der Admin gerufen, um innerhalb kurzer Zeit eine Lösung zu finden. Dabei schaut er sich die Netzwerk-Verbindungen der Dienste an. Oft kommen Microsoft Teams und Skype im Unternehmen zum Einsatz. Die Anwendungen stellen SSL-gesicherte Verbindungen zu ihren Servern her. Dies kann verteilt auf die ganze Welt erfolgen. Eine Skype-Analyse ist damit schwer, aber nicht unmöglich.

Über die TCP-Verbindungen lässt sich wieder eine Diagnose des Steuerungsverkehrs durchführen. Mit einer Analyse-Lösung sind die TCP-Antwortzeiten, Retransmissions, TCP Zero Window und weitere Indikatoren sichtbar. Der verschlüsselte Skype-Verkehr erfolgt über RTP. Der RTP-Header ist unverschlüsselt und gibt Aufschluss über Packet Loss, Latenz und Jitter. Der Audio- und Video-Content ist vollverschlüsselt. Skype arbeitet mit dynamischen Codecs und handelt eigenständige Paketraten aus. Ein moderner Analyzer stellt auch für SSL-Verbindungen viele Indikatoren für eine gute Verbindung zur Verfügung: die Antwortzeit für den SSL-Handshake, die erste Antwortzeit für verschlüsselte SSL-Daten, SSL Server Name und Ländercode. Daraus kann zum Beispiel abgeleitet werden, ob der Weg zu einem Skype-Server für unnötig hohe Latenz sorgt oder ob bestimmte SSL-Verbindungen gar nicht angenommen werden.

Klaus Degner.
Klaus Degner.
(Bild: Allegro Packets)

Viele Kommunikationsdienste teilen sich die Bandbreite über eine Netzwerkverbindung. Probleme, wie Lastspitzen und abbrechende Verbindungen, können anhand verschiedener Parameter untersucht werden. Verbindungen, Protokolle und Pakete werden mit professioneller Messtechnik zur Netzwerkanalyse sichtbar. Mit ihr können auch Traces vergangener Sessions untersucht werden (Pcap). Eine genaue Messung und spezifische Analyse helfen dem Admin, Fehler schnell zu finden und die Kommunikationsanwendung wieder zum Laufen zu bringen.

Über den Autor

Klaus Degner ist Geschäftsführer der Allegro Packets GmbH.

(ID:46896036)