Das Was, Warum und Wie des Port-Monitorings

Das Überwachen von Ports ist ein wichtiger Bestandteil des Netzwerk-Monitorings. Erfahren Sie, was Ports sind und wie Sie beim Port-Monitoring berücksichtigen müssen.

Was ist ein Port?

Bei der Definition eines Ports muss man zwei Dinge berücksichtigen: Ein Port kann entweder physisch oder virtuell sein. In diesem Artikel befassen wir uns zwar hauptsächlich mit physischen Ports, dennoch ist eine Definition von beiden Port-Arten notwendig.

Ein physischer Port ist einer der vielen Anschlüsse, die Computer – und Hardware im Allgemeinen – verwenden, um verschiedene Geräte miteinander zu verbinden. In Netzwerken überträgt ein Netzwerk-Port Daten zwischen den Geräten. Dazu wird eines der bereits bestehenden Netzwerkprotokolle verwendet. Diese Ports gibt es in vielen Formen und finden sich an den meisten Computern, Servern, Switches, Routern, Modems und ähnlichen Netzwerkgeräten. In Netzwerk- und Telefoniekontexten werden am häufigsten RJ11, RJ25 und RJ45 (RJ steht für Registered Jack) verwendet.

Im Gegensatz zu physischen Ports nehmen virtuelle Netzwerk-Ports keinen tatsächlichen Platz auf einem Gerät ein, sondern sind nur logische Anschlüsse. Sie sind eine Terminologie, die Netzwerkprotokolle verwenden, um einen Kommunikationskanal zwischen einer Quelle und einem Ziel zu öffnen. Dabei sind die Quelle und das Ziel durch ihre Port-Nummern getrennt.

Die Signale der virtuellen Ports laufen durch die physischen Ports. Im Gegensatz zu physischen Ports sind sie nicht ausschließlich verdrahtet, da sich Verbindungen auch drahtlos öffnen lassen. Aus diesem Grund konzentrieren wir uns im Rahmen des Port-Monitorings auf die physischen Ports. Dazu gehören unidirektionale Ports, bei denen der Datenfluss nur in eine Richtung geht, wie Uplink- und Downlink-Ports, oder Access-Ports, an die Sie Ihre Endgeräte direkt anschließen können.

Alle diese Ports können und sollten Sie mit einer Port-Monitoring-Software überwachen. Die Gründe erläutern wir Ihnen im Laufe dieses Artikels.

Was ist Port-Monitoring?

Ein Netzwerk funktioniert nur, wenn auch alle seine Komponenten funktionieren. Wenn eine oder mehrere Komponenten defekt sind, bekommen nicht nur Netzwerk-Admins die Folgen zu spüren, sondern auch die User:innen. Switches und Router sind das Herzstück des Netzes und jeder ihrer Ports ist unerlässlich für das einwandfreie Funktionieren des Netzes. Sobald die Kommunikation zwischen zwei Ports unterbrochen wird, können ernsthafte Probleme auftreten.

Durch das Port-Monitoring können Sie den Status und die Gesundheit eines Ports in einem Netzwerk überprüfen, um Ausfälle zu verhindern und Engpässe zu erkennen. Es ist außerdem möglich, eine Bestandsaufnahme der Ports und der zugehörigen Geräte vorzunehmen und bei Änderungen sofort Benachrichtigungen zu erhalten. Das Port-Monitoring ist ein Teilbereich des umfassenderen Netzwerk-Monitorings. Teilweise wird es auch als Netzwerk-Port-Monitoring bezeichnet, obwohl es ein redundanter Begriff ist.

Das Port-Monitoring umfasst das spezifischere Switch-Port-Monitoring, das Firewall-Monitoring und das Router-Port-Monitoring. Um Port-Monitoring durchzuführen, benötigen Sie eine Netzwerk-Monitoring-Software mit Port-Monitoring-Funktionen, wie beispielsweise Checkmk.

Der Screenshot zeigt einen Switch, der in Checkmk überwacht wird.

Welche Metriken eines Ports können Sie überwachen?

Um mögliche Probleme an Ihren Ports zu erkennen, lohnt es sich, einige Metriken genauer im Auge zu behalten. Anhand der genutzten Bandbreite der einzelnen Ports können Sie beispielsweise feststellen, welcher Port aktiver ist, welcher nicht ausgelastet ist und welche Ports überflüssig sind oder auf Hardware-Fehler überprüft werden müssen.

Änderungen am Durchsatz, insbesondere plötzliche, können auf Probleme hindeuten. Um möglichst genau zu sein, müssen Sie solche Änderungen auf Port- und nicht auf Node-Ebene überwachen.

Mit einer geeigneten Monitoring-Software können Sie auch die Paketverlustrate an jedem Port überwachen. Eine hohe Rate kann ein Anzeichen für verschiedene Probleme sein, etwa für ein defektes oder loses Kabel oder einen fehlerhaft arbeitenden Port. Wenn mehrere Ports desselben Geräts ähnlich hohe Paketverlustraten aufweisen, kann dies auf das Gerät als Ursache hindeuten. Um sicherzugehen, müssen Sie jedoch alle Ports überwachen.

Der Status eines Ports – up oder down – ist eine wichtige Metrik, die Sie überwachen sollten. Er ist nicht nur relevant, um festzustellen, ob ein bestimmter Port überhaupt funktioniert, sondern kann auch auf ernstere Probleme hinweisen, die Sie untersuchen müssen. Ausgefallene oder getrennte Ports werden in Checkmk als veränderter Status angezeigt und lösen beispielsweise einen Alert aus.

Da nicht alle dieser Metriken einen eindeutigen Grund anzeigen, wenn sie bei einem Port-Monitoring-Scan gemeldet werden, müssen Sie die meisten selbst interpretieren. Nichtsdestotrotz sind sie wichtige Faktoren, die Sie bei der Analyse der schlechten Performance oder jeglicher Art von Problemen im Zusammenhang mit Ihrem Netzwerk berücksichtigen sollten. Jede dieser Metriken trägt zu einem vollständigen Monitoring bei und macht das Port-Monitoring zu einem weiteren Baustein auf dem Weg zu einer gesunden und leistungsfähigen Infrastruktur.

Der Screenshot zeigt mehrere Graphen eines Uplink-Ports

Warum ist Port-Monitoring wichtig?

Das Port-Monitoring ergänzt Ihr Monitoring um eine zweite Ebene. Sie ersetzt nicht die Überwachung der CPU-Auslastung, der Hardware-Sensoren oder der einzelnen Monitoring-Services, gibt Ihnen aber weitere Einblicke in diese. Es ist wichtig, zu erkennen, wenn ein Netzwerkgerät überlastet ist. Wenn Sie jedoch wissen, dass die Ports konstant und stark belastet sind, können Sie auch die Gründe für die Überlastung erkennen.

Wenn Sie nicht alle Ports überwachen, können Sie nicht feststellen, ob das gesamte Gerät oder einer der Ports die Ursache des Problems ist. Durch das Monitoring aller Netzwerk-Interfaces ist es möglich, defekte Patches oder Installationskabel zu erkennen, welche ebenfalls häufige Ursachen für Netzwerkausfälle und -unterbrechungen sind.

Ein einziger Port, der versehentlich getrennt wird oder ausfällt, kann größere Ausfälle verursachen. Auch wenn die meisten Ports für eine Infrastruktur nicht so wichtig sind, gibt es dennoch einige, die es sind. Dementsprechend ist das Port-Monitoring für IT-Teams unerlässlich, um solche Ausfälle zu vermeiden.

Beim Port-Monitoring können nicht nur physische Probleme entdeckt werden. Auch logische und softwarebezogene Probleme sind möglich. Die automatische Übertragung von Netzwerk-Interface-Funktionen wie Geschwindigkeit und Duplex-Modus ist üblich, aber nicht ganz zuverlässig. Es kann zu Fehlkonfigurationen kommen, durch die ein Gerät versucht, mit einer niedrigeren Geschwindigkeit als möglich zu arbeiten und so den Datenverkehr eines ansonsten funktionierenden Ports verlangsamen.

Ein Port mit einer hohen Paketverlustrate kann ein Anzeichen für Duplex-Fehlanpassungen sein. Diese treten auf, wenn direkt verbundene Netzwerkschnittstellen falsch konfiguriert sind und eine im Halb- und die andere im Vollduplex-Modus arbeitet. Ähnlich verhält es sich mit Protokollverlusten, wenn zum Beispiel ein Datenübertragungsprotokoll zwar implementiert ist, der Router es aber nicht erkennt. Wenn Sie wissen, wie sich die einzelnen Ports verhalten, können Sie solche Fehlkonfigurationen leicht aufdecken.

Ein Port, der eine schlechte Performance aufweist, hat möglicherweise nichts mit dem Port selbst oder dem Gerät zu tun, an das er angeschlossen ist. Stattdessen kann es sich um ein beschädigtes oder fehlerhaftes Kabel handeln. Diese können die übertragenen Pakete verfälschen und sogar dazu führen, dass die physische Schnittstelle des Switches zeitweise down und anschließend wieder up ist. Probleme wie unstetige Ports und ähnliche Synchronisationsprobleme können Sie mit einem angemessenen Port-Monitoring erkennen.

Das Port-Monitoring wird mit anderen Monitoring-Typen kombiniert, um einen Gesamtüberblick über Ihre Infrastruktur zu erhalten. Wenn Sie Ihre Ports nicht überwachen, müssen Sie sich mit einem unvollständigen Bild zufriedengeben, das weit von den Zielen eines angemessenen Netzwerk-Monitorings entfernt ist.

Was sind die Vorteile von Port-Monitoring?

Neben den bereits erwähnten offensichtlichen Vorteilen, die eine Software für Port-Monitoring bieten kann, gibt es noch einige weitere Vorteile des Port-Monitorings. Diese sind jedoch nicht unbedingt mit dem Fehlverhalten von Ports und der Entdeckung möglicher Probleme in Ihrem Netzwerk verbunden.

Eine moderne Port-Monitoring-Software kann durch die Port-Überwachung eine erweiterte Netzwerktopologie erstellen. Durch die Analyse der einzelnen Ports und die Überprüfung ihrer IP-Adressen und Subnetze wird ein vollständiges Bild des Netzwerks erstellt. Dabei werden nicht nur die verschiedenen Netze erfasst, sondern auch, wie sie miteinander verbunden sind. Dies ist die Grundlage für eine Live-Netzwerküberwachung.

Anhand von Metriken wie genutzte Bandbreite und Paket- und Fehlerraten an jedem Port Ihres Netzwerks können Sie erkennen, was stärker genutzt wird und was nicht. Die Kapazitätsplanung wird durch das Monitoring der Netzwerk-Ports klarer. Es gibt keine Zweifel mehr, ob es ein alter Router oder ein erhöhter Datenverkehr ist, der die Langsamkeit verursacht. Dadurch vermeiden Sie unnötige Ausgaben, weil Sie zum Beispiel ein funktionierendes Gerät austauschen.

Darüber hinaus können Sie durch das Port-Monitoring nicht autorisierte physische Verbindungen zu Switches und/oder Routern erkennen. Eine unberechtigte Person kann sich mit einem Terminal in Ihr Netzwerk einklinken und ohne Port-Monitoring würden Sie es nicht merken. Mit Checkmk ist es einfach zu erkennen, wenn ein ungenutzter Port plötzlich aktiv wird und Datenverkehr erzeugt. Ohne Switch-Port-Monitoring würde dies unbemerkt bleiben.

Und das gilt auch in umgekehrter Richtung. Wenn Sie Ihre ungenutzten Ports kennen, können Sie sie blockieren und so die Sicherheit des Netzwerks insgesamt erhöhen.

Screenshot von Checkmk zeigt das Inventar aller Ports in einem Switch

Was sind die Herausforderungen beim Port-Monitoring?

Das Port-Monitoring bringt auch einige Herausforderungen mit sich. Es besteht vor allem die Gefahr einer Alert Fatigue: Ein falsch konfiguriertes Port-Monitoring verursacht schnell eine Flut an Fehlalarmen, besonders, wenn jeder Port Benachrichtigungen auslösen kann. Das können zum Beispiel Access Ports sein, die beim Ein- und Ausschalten eines Geräts einen Alarm auslösen, weil der Port plötzlich Up oder Down ist, obwohl dies ein gängiger Vorgang ist. Wenn man in einer solch großen Menge an Fehlalarmen die wichtigen Alarme finden muss, ist das nicht nur sehr zeitaufwendig, es ermüded das zuständige IT-Team außerdem schnell. Die richtige Konfiguration der von Ihnen gewählten Monitoring-Software ist daher notwendig, um solche unwichtigen Benachrichtigung zu reduzieren und das Port-Monitoring zu einem effizienten Teil Ihrer Monitoring-Bemühungen zu machen.

Bei der Einrichtung des Port-Monitorings müssen Sie zudem darauf achten, dass es alle Ports umfasst. Normalerweise wird ein erster Port-Scan durchgeführt, um alle Ports in einem Netzwerk zu ermitteln. Dabei erfasst die Monitoring-Lösung jedoch nur die Ports, die zu diesem Zeitpunkt aktiv sind. Offline-Ports erfasst es nicht. Ein normaler Port-Scan reicht also nicht aus, um ein holistisches Bild aller Netzwerkschnittstellen zu erhalten. Ein fortgeschrittener Scan hingegen, wie ihn Checkmk durchführt, bezieht auch die Offline-Ports in das Monitoring mit ein. Dadurch sind sie automatisch im Monitoring, wenn sie zu einem späteren Zeitpunkt aktiv sind.

FAQ

Was ist TCP-Port-Monitoring?

Das Monitoring von TCP-Ports funktioniert nur bei virtuellen Ports. Im Gegensatz zu physischen Ports sind TCP- oder UDP-Ports praktisch unendlich, da jeden Moment neue Ports aktiv oder inaktiv werden. Während physische Ports endlich sind und sich ihre Anzahl nur selten ändert, sind virtuelle Ports sehr dynamisch.

Das TCP-Port-Monitoring ist eher mit dem Monitoring einzelner Applikationen oder Services und der Firewall-Überwachung verbunden als mit dem Monitoring von Switches und Routern. IT-Teams nutzen das TCP-Port-Monitoring, um zu wissen, welche Ports auf jedem Gerät aktiv sind, ob Datenverkehr fälschlicherweise von einer Firewall blockiert wird, ob Applikationen einen TCP-Port verwenden, den sie nicht verwenden sollten, und so weiter. Checkmk überwacht sowohl physische als auch TCP-Ports.

Was ist ein TCP-Port?

Ein TCP-Port ist ein logisches Konstrukt, das einen Prozess oder einen Netzwerkservice mit einer Nummer identifiziert. Im TCP-Protokoll werden Ports verwendet, um bestimmte Services zu identifizieren und durch eine IP-Adresse zu ergänzen. Die Kombination aus Ausgangsadresse und Port bildet zusammen mit der Zieladresse und dem Port einen vollständigen Kommunikationskanal zwischen Geräten.

Was ist Port-Mirroring?

Bei Port-Mirroring wird der gesamte Datenverkehr, der über einen physischen Port eines Switches läuft, an einen anderen Port eines angeschlossenen Geräts gesendet. Dabei wird jedes Paket gespiegelt und zur Analyse an ein Remote-Gerät gesendet.

Auf diese Weise können Sie einen bestimmten Port auf einem Gerät überwachen, was speziell für diese Aufgabe eingerichtet ist. Dies kann zum Beispiel ein Gerät sein, auf dem ein Packet Analyzer läuft, oder ein Netzwerk-Stresstest-Tool, das den Datenverkehr über Teile des Netzwerks wiedergibt, um auf Performance-Engpässe zu testen.