Moin!

o.k. Danke. So und wenns nun darum geht abzurechnen welcher Traffic letztendlich verursacht wird (also das was ins Internet geht) welcher Traffic ist da anzusehen? Der vom Switch oder?

Diese Frage kann man so nicht ohne weiteres beantworten.

Wenn es darum geht, dass du die Rechnung deines Providers kontrollieren willst, dann ist entscheidend, welcher Traffic über den Router nach "draußen" geht. Dementsprechend ist das Zählwerk am Switch hin zu deinem Rechner sowieso irrelevant und zählt falsch, richtiger wäre da das Zählwerk am Ausgangsport zum Router. Aber das ist eigentlich auch irrelevant, da es denselben grundsätzlichen Fehler macht und Daten mitzählt, die ausschließlich im lokalen Netzwerk bleiben, tatsächlich richtig wäre es, am Ausgang des Routers ins Internet zu messen.

Das ganze funktioniert natürlich nur, wenn der Provider dieselbe Meßgrundlage benutzt und auch den gleichen Traffic mißt und abrechnet. Tatsächlich berechnen Netzwerkbetreiber untereinander aber beispielsweise gar keinen Traffic mehr. Man finanziert die sowieso zwingend erforderliche Leitung hin zu einem definierten Austauschpunkt (beispielsweise DECIX in Frankfurt, einem beliebigen anderen lokalen Austauschknoten einer anderen Stadt, oder auch einem eigens dafür eingerichteten "privaten" Knoten) und kümmert sich um deren Betrieb. Wieviel Traffic dann tatsächlich über diese Leitung geht, ist von den Betriebskosten her nämlich total irrelevant. Das Leitunglegen ist teuer, und der Betrieb der Leitung kostet auch regelmäßig - und zwar unabhängig von der Leitungsauslastung.

Wenn du aber deswegen fragst, weil du gegenüber deinen Kunden Traffic abrechnen willst, dann hast du ja sozusagen Wahlfreiheit der Mittel. Gerecht wäre es, den IP-Traffic am Server als Grundlage zu nehmen. Denn nur IP-Traffic geht vom Server aus auch tatsächlich ins Internet, der Rest bleibt sehr wahrscheinlich im lokalen Netzwerksegment (ARP beispielsweise wird von Routern nicht weitergeleitet).

Wenn du den Kunden gerne mehr in Rechnung stellen willst, und dich dem Vorwurf aussetzen, dass du nicht nachvollziehbar zuviel abrechnest (weil der Kunde sicherlich keinen Zugriff auf den Switch hat, sondern allenfalls den IP-Traffic auf seinem Server sieht), dann nimm die Meßwerte vom Switch.

Zur Info:

Switch zeigt höhere Werte als Rechner
Switch ist ein CISCO Catalyst 2924

Das ist ja schon ein etwas besseres Modell. Ich hab' von solchen Switches konkret keine Ahnung (noch nie in der Verlegenheit gewesen, so einen benutzen und administrieren zu können), aber ganz grundsätzlich könnten die besseren Switches aus Performanceoptimierungsgründen tatsächlich doch auch das IP-Protokoll verstehen. Es gibt da so Tricks, dass der Switch erkennt, dass z.B. eine TCP-Verbindung aufgebaut ist, und die zugehörigen Datenpakete werden dann nicht mehr mit Store&Forward, sondern direkt durchgeleitet. Es wäre also rein theoretisch denkbar, dass es auch Zähler gibt, die tatsächlich IP-Traffic mitzählen. Trotzdem hat ein Switch rein netzwerktheoretisch von IP keine Ahnung zu haben (diese Optimierungen sind auch etwas, was aus dem Switch eigentlich einen Zwitter hin zum Router machen), folglich kann dieser eigentlich nur "Bytes gesendet auf der Leitung" zählen. Und das ist eben immer mehr, als aufgrund des IP-Protokolls über das Netzwerk geht.

Und aus Sicht des Switches und seines Admins ist es auch eher irrelevant, dass der Switch selektiv IP-Traffic zählen könnte. Der Switch ist für die Netzwerkperformance da, die in diesem Zusammenhang relevante Zahl ist die tatsächliche Auslastung der Leitungen unabhängig vom Protokoll. Wenn irgendein durchdrehendes Gerät das Netz mit ARP-Anfragen flutet, dann hilft es wenig, wenn der Router weiterhin meldet "kaum IP-Traffic vorhanden".

- Sven Rautenberg