Netzwerk-Pflege bei der Josefs-Gesellschaft

Netzwerk-Monitoring mit dem Allegro Network Multimeter im Sozialunternehmen

Netzwerk-Analyse in Krankenhäusern, Pflegeeinrichtungen und Seniorenzentren

Die Josefs-Gesellschaft gGmbH ist ein katholischer Träger von Einrichtungen für Menschen mit Behinderungen, Seniorenzentren und Krankenhäusern. Mit über 10.000 Mitarbeitern und ca. 39 Beteiligungsgesellschaften bundesweit ist die Josefs-Gesellschaft eines der größten Sozialunternehmen in Deutschland. Die vielfältigen Angebote reichen von Wohnmöglichkeiten, Schulen, beruflicher Bildung und Werkstätten bis hin zur medizinischen und pflegerischen Versorgung. In der Holding-Zentrale in Köln laufen die Netzwerk-Fäden zusammen. Dort steht auch das zentrale Rechenzentrum sowie im Abstand von zweihundert Metern das Backup-Rechenzentrum, in dem zur Sicherheit alle wichtigen Daten gespiegelt werden.

VPN-Strecken verbinden über 80 Standorte

Die regional verteilten Standorte sind überwiegend per VPN-Leitungen mit dem zentralen Data Center in Köln verbunden. Die beiden Kölner Rechenzentren sind mit mehreren 10-Gigabit-Leitungen untereinander verkoppelt. Achim Kaufmann, Teamleiter IT-Infrastruktur in der JG-Zentrale, ist unter anderem für Planung, Ausbau, Stabilität, Geschwindigkeit und Zuverlässigkeit der Netzwerkleitungen verantwortlich. Daher will er Engpässe frühzeitig erkennen, bevor es zur Überlastung oder gar zum Ausfall einer Leitung kommt. In System- und Hardwarefragen beraten wird er dabei vom Analyse-Spezialisten GORDION, der das Projekt von der Beratung bis hin zur Implementierung umfassend betreute.

Mit den Analyzern die Verbindung zu über 80 Standorten messen.
Mit den Analyzern die Verbindung zu über 80 Standorten messen

Was wäre, wenn eine Leitung lahmt?

Würde eine VPN-Strecke in einem Krankenhaus ausfallen, wäre der Zugriff zum betriebsinternen Cloud-Rechenzentrum in Köln vorübergehend abgeschnitten. Ein Krankenhaus könnte zwar offline weiterarbeiten, pflegen und operieren, aber die Dokumentation würde wieder auf Papier basieren, was den Prozess also langwieriger, umständlicher und aufwändiger machen würde.

Vorsorgen ist besser

Um Leitungsengpässe vorher zu erkennen, wurde in der JG-Gruppe in den letzten Jahren neben Wireshark auf Laptops ein großer, schwerer Network Analyzer mit eingebautem Monitor eingesetzt. Nachdem Anfang 2019 aber ein langjähriger Vertrag für das teure Gerät auslief und der amerikanische Hersteller binnen weniger Jahre mehrmals verkauft wurde, hat sich Herr Kaufmann nach neuen Lösungen umgeschaut. Von Freeware über Appliances bis hin zu verteilten Monitoring-Systemen auf multiplen Servern war alles dabei. Am Ende fiel die Wahl auf zwei Stand-Alone-Netzwerk-Analysatoren des Messgeräte-Entwicklers und -Herstellers Allegro Packets, ein Allegro 200 und ein Allegro 1000.

Allegro 200 analysiert 2 GBit/s Traffic – das Allegro 1000 20 GBit/s-Verkehr

Der kleine Allegro Network Multimeter 200 ist kaum größer als ein Smartphone: Es wiegt nur 260 Gramm, hat aber trotzdem 2x 1000Base-T-Anschlüsse und kann Netzwerk-Durchsätze bis 2 GBit/s analysieren. Die interne Datenbank fasst 2 GB. Eine externe Festplatte oder SSD kann via USB3 als Paket-Ringpuffer angeschlossen werden und ermöglicht eine Daueraufzeichnung im LAN. Mit dem Allegro 200 analysieren die JG-Netzwerk-Techniker vorzugsweise die Netze in den 80 Standorten. Er ist viel reisefreundlicher als das frühere US-Gerät.

Auch der Allegro Network Multimeter 1000 ist kaum größer als ein Laptop und passt je nach Ausbaustufe mit seinen 2 bis 4 Kilogramm in fast jede Aktentasche. Der 1000er hat bis zu 7x 1-Gigabit- und 2x 10-Gigabit-Ethernet-Kupfer-Ports plus 2x SFP+-Glasfaser Anschlüsse. Der maximale Durchsatz liegt bei 20 GBit/s. Der Speicher kann 16, 64, oder 128 GB fassen. Damit lassen sich auch die schnellen 10G-Leitungen zwischen den Kölner Rechenzentren messen.

Streckenmessung zur Provider-Kontrolle

Ein erster Anwendungsfall innerhalb der Josefs-Gesellschaft ist die Streckenmessung, anhand derer sich die IT-Abteilung Klarheit verschaffen möchte, ob eine Leitung Engpässe hat. Dabei ist es egal, ob sich diese zwischen zwei Rechenzentren oder zwischen Zentrale und Einrichtung befindet. Bestehen Engpässe, will man klären, ob diese durch eigene Applikationen verursacht werden oder durch Kapazitätsprobleme des Providers. Beginnen wir mit Letzterem.

Mit Hilfe des Allegro 200 und Allegro 1000 werden Fehler in Echtzeit und in der Vergangenheit ausfindig gemacht sowie Leistungsengpässe entdeckt.
Beispielaufbau zur Messung von Paketverlust und Latenz zwischen zwei Netzwerken, die über das Internet verbunden sind

Leitungs-Überbuchung im MPLS-Netz nachweisen

Wenn ein Internet-Provider in seinem Service Level Agreement zum Beispiel versichert, die gemietete MPLS-Leitung schaffe von Endpunkt zu Endpunkt nonstop 50 MBit/s mit 100 Millisekunden Latenz, lässt sich dies mit zwei Allegro Network Multimeter konkret überprüfen - und zwar passiv. Bisher musste man ein Gerät aktiv an die Leitung anschließen, um die nötige Last zu generieren. Doch wenn die Leitung bereits überbucht ist, kann man keine große Dauerlast zusätzlich auf die Leitung schicken. Fährt ein anderer Provider-Kunde dann ein großes Backup auf der gleichen Strecke, ist die Leitung plötzlich schlecht. Macht der andere Kunde ein Backup nur einmal im Monat, müsste der aktive Test einen ganzen Monat laufen, bevor der Störer überhaupt bemerkt werden würde. Leitungsüberbuchungen im MPLS-Netz sind per se nichts Ungewöhnliches, aber es ist schwer, dies einem Provider auch konkret nachzuweisen. Die Lösung: Zwei Allegro-Geräte können an zwei Standorten passiv messen, an beiden die Pakete aufzeichnen und schließlich die Prüfsummen austauschen. Erklärung auch in diesem Video. 

Dazu äußert sich Achim Kaufmann: „Allegro Packets bietet uns die Möglichkeit, ohne großartigen Aufwand an sonstigen Endgeräten die Leitungen zu messen. Den 1000er und den 200er kann ich einfach passiv in den Kommunikationsweg einklinken und sehe sofort, was auf diesem Port passiert. Ich kann z.B. ablesen, dass von den 100 Prozent Paketen, die auf die Leitung geschickt werden, auf der anderen Seite 99 Prozent in unter 100 Millisekunden ankommen.“

10G-Strecken zwischen Rechenzentren messen

Die Rechenzentren der JG-Gruppe sind redundant aufgebaut. Das heißt, „wir haben zwei Brandabschnitte. Die einzelnen Data Center sind knapp 200 Meter voneinander getrennt und sind mit vier Mal 10 Gigabit untereinander verbunden“, so Kaufmann. „Diese Strecken kann ich mit dem Allegro der 1000er Serie einzeln monitoren und vermessen. Die Rechenzentren stehen beide in Köln. Einen Brandabschnitt haben wir in unserem zentralen Gebäude, der andere steht in einem unserer Krankenhäuser. Die beiden Rechenzentren sind auf Storage-Ebene gegeneinander gespiegelt.“

Backbone-Leitungen monitoren

Stabilität und Ausfall-Sicherheit der Backbone-Leitungen sind sehr wichtig, sagt Kaufmann: „Wir haben den Allegro 1000 kürzlich auf 10G aufgerüstet. Damit kann ich jetzt auch meine Backbone-Leitungen monitoren. Wir haben zwei redundante Wege ins zentrale Rechenzentrum und haben von der Telekom auch zwei Hauseinführungen, die komplett getrennte Wege nehmen. Unsere Beteiligungsgesellschaften sind aber nicht so breitbandig abgesichert. Das ist am Ende ja auch alles eine Frage der Kosten.“

Streckenmessung zwischen Zentrale und Krankenhaus

Umso wichtiger sei gerade auch die Qualitätsanalyse der Fernleitungen. Dabei stehe der Allegro 1000 im Kölner Rechenzentrum und der Allegro 200 in einem der 80 Standorte, etwa einem der acht Krankenhäuser. Dazu Kaufmann: „Unsere Beteiligungsgesellschaften nutzen Ressourcen in unserem zentralen Rechenzentrum in Echtzeit. Wenn beispielsweise Krankenhäuser abgeschnitten wären, dann hätten sie keinen Online-Zugriff mehr auf das Krankenhaus-Informationssystem, auf die Lohnabrechnung und die Pflege-Verwaltung. Dann könnten diese letztendlich nicht mehr in Echtzeit dokumentieren, sondern müssten ihre Dokumentation nachträglich erfassen. Will sagen: Alles per Hand aufschreiben und später eintippen.“ Auch deshalb sei das Leitungs-Monitoring „fast genauso wichtig wie ein Daten-Backup: Das sollte man regelmäßig als Vorsorge machen und nicht erst, wenn schon etwas passiert ist.“

Leistungsmessung lässt sich mit zwei Allegro Network Multimeter konkret überprüfen - und zwar passiv. 
Echtzeit-Ergebnisse des Messgerätes und der Fernverbindung

Datenschutz-technisch sehr konform

Die Entscheidung für ein Netzwerk-Monitoring-Verfahren muss auch den Datenschutz berücksichtigen. Doch was ist sicher? Freeware? In der Cloud verteilte Systeme? Wer will da die Hand ins Feuer legen? Mit Allegro Packets hat Achim Kaufmann auch an dieser Stelle keine schlaflosen Nächte: „Es ist Datenschutz-technisch sehr konform. Denn die Daten werden nur auf dem Allegro-Gerät gehalten, welches die IT unter der alleinigen Kontrolle hat. Die Daten sind auch flüchtig. Das heißt: Wenn das Gerät entwendet wird, gilt der Fall: Strom weg, Daten weg! Falls man zum Beispiel mit dem Allegro 200 vor Ort Daten aufzeichnen möchte, kann man die extern anschließbare Festplatte komplett AES-verschlüsselt einrichten. Wer das Passwort nicht kennt, kommt nicht an den Inhalt der Platten. Dahinter steckt ein Linux-LUKS-Container, der als sicher gilt. Andere Monitoring-Systeme verschicken die Messdaten zum Beispiel per NetFlow übers Netzwerk an den zentralen Server. Können Sie sich Zugriff auf diesen Server verschaffen, sind Sie quasi im Datenparadies und sehen Alles auf einen Blick.“ Im Zweifel ist ein Stand-Alone-Gerät eben noch ein Tick sicherer als jede Cloud.

Vorteile für die Josefs-Gesellschaft im Überblick

  • Übersichtliches Monitoring
  • Passive Streckenmessung
  • Fehlerquellen schnell ersichtlich
  • Ohne Einarbeitungszeit nutzbar
  • Mobil und im Rechenzentrum
  • Datenschutzfreundlich

Allegro Network Multimeter