In Unternehmen ist eine effiziente und leistungsfähige IT-Infrastruktur die Grundlage für wirtschaftlichen Erfolg. Vor allem ein gut funktionierendes Unternehmensnetz ist für geschäftliche Aktivitäten essenziell, da geschäftskritische Anwendungen zunehmend netzbasiert sind. Der Betrieb solcher Netze erfordert sorgfältiges Monitoring, da jede Einschränkung der Anwendungen direkt die Produktivität des Unternehmens beeinflusst. Hierbei sollen einerseits Probleme und Ressourcenengpässe möglichst früh erkannt werden, d. h. bevor die Anwendungsnutzung davon betroffen ist. Andererseits haben Netzbetrieb und das Netzmonitoring mit finanziellen Einschränkungen umzugehen, sodass der Einsatz teurer zusätzlicher Messgeräte aus Kostengründen nicht umsetzbar ist. Dies verlangt nach universellen kostengünstigen Messverfahren. Beim Netzmonitoring werden verschiedene Ansätze verfolgt. Zum einen gibt es Komponenten- Monitoring, das z.B. die Auslastung von Prozessoren oder Netzverbindungen misst, sowie Fehler erfasst. Zum anderen stellt Flow-Monitoring aggregierte Messdaten zur Verfügung, die detaillierte Verkehrsanalysen ermöglichen. Beide der genannten Ansätze gehören zur Klasse der passiven Messverfahren, d.h. es wird kein zusätzlicher Messverkehr im Netz erzeugt. Letzteres ist bei aktiven Messverfahren der Fall, die oft eingesetzt werden um zeitbasierte Netzcharakteristika zu messen, wie z.B. die Einweglaufzeit OWD (One-Way Delay), die Umlaufzeit RTT (Round Trip Time) oder Laufzeitschwankungen (Jitter). Die OWD ist ein wichtiger Indikator für die Netzauslastung und für Netzprobleme. Außerdem wirkt sich die OWD direkt auf Antwortzeiten von Anwendungen aus. Dies geschieht einerseits durch die Verzögerung von Anfragen und andererseits durch den Einfluss der OWD auf die Überlastregelung (Congestion-Control). Die Messung der OWD mittels Flow-Daten hat den Vorteil, dass Flow-Daten in Unternehmensnetzen oft schon für andere Zwecke erfasst werden, bzw. deren Erfassung einfach in Routern aktiviert werden kann. Aufgrund dieser Eigenschaften benötigt Flow-basierte OWD-Messung keine zusätzlichen Messgeräte oder grundlegende Änderungen an der Konfiguration von Netzelementen. Es wird nur eine weitergehende Verarbeitung von Flow-Daten zur Extraktion von OWD-Messwerten benötigt. Die grundlegende Frage ist, welche Genauigkeit mit der Flowbasierten OWD-Messung erzielt werden kann. Des Weiteren sind effiziente Verarbeitungsmechanismen notwendig, um die immensen Datenmengen aus großen Netzen verarbeiten zu können. Diese Punkte werden in der vorliegenden Dissertation behandelt. Zusammenfassend zeigt diese Arbeit die Machbarkeit Flow-basierter OWD-Messungen mit Profilunterstützung. Dieses Messverfahren benötigt keine zusätzlichen Komponenten im Netz und nur geringe Zusatzinformationen zur Konfiguration. Damit stellt es eine einfach zu installierende, universelle und kostengünstige Möglichkeit zur Messung der Einweglaufzeit dar, die zusätzlich zu oder als Ersatz für aktive Messungen einsetzbar ist. Die in dieser Arbeit entwickelten Ansätze zur Verbesserung der Zeitstempelgenauigkeit können zudem auch für andere zeitbasierte Flow-Analysen verwendet werden.
Today, an efficient and powerful enterprise IT infrastructure provides a vital basis for economic success. As more and more business critical services are network-based, enterprise networks are the foundation for all business-related activities. Such networks need to be well-managed, which means they require thorough monitoring, since any service degradation directly impacts the enterprise's productivity. At best, problems and resource shortages are detected far before they impact user experience. However, network management and monitoring have to deal with limitations, especially employing expensive additional measurement equipment is infeasible due to limited budgets. There are different approaches for network monitoring. First, there is component monitoring, which monitors parameters, such as CPU or link utilization, or error counts. Another class of monitoring approaches is flow monitoring, which allows for detailed traffic analysis using aggregated measurement data on traffic flows. Both of these approaches are passive, i.e., they do not induce additional traffic into the network. Active measurements come into place when service response times or timing-based network parameters, such as One-Way Delay (OWD), Round Trip Time (RTT), or jitter are measured. Especially the One-Way Delay is an important indicator for network load and problems, since OWD has direct impact on service response time - both as impact on the RTT itself as well as an influencing part to congestion control. Furthermore, OWD is impacted by queuing delay, which directly relates to network utilization and congestion in router queues. The flow-based OWD measurement approach has the advantage that it uses flow data as input, which is often already available in enterprise network scenarios, or its creation can simply be enabled by turning on existing router features. Due to these advantages, flow-based OWD measurement does not require additional measurement equipment or heavy changes to device configurations in the network. It requires only additional processing of flow data for extracting the OWD samples. The fundamental question is, however, which accuracy can be gained by flow data based OWD measurements. Furthermore, efficient processing mechanisms are necessary in order to deal with the huge amount of data that has to be processed in large networks. These questions are addressed in this thesis. In summary, this thesis shows the feasibility of flow-based OWD measurement with profile support. Flow-based OWD measurement with profile support is feasible as addition or replacement for active OWD measurements that are performed today. Furthermore, the approaches for improving timestamp accuracy can be taken as input for any other flow analysis application that relies on flow capturing timestamps.