Aus reifem Holz geschnitzt Switch on VoIP

Technik News - Netzwerkmagazin
G46392
Halle 13, Stand C37
Februar 2003
D a s
N 02
13. Jahrgang
thema des monats
VERÄSTELT
Aus reifem
Holz geschnitzt
Teil 1: Vom Spanning Tree
zum Rapid STP 802.1w
ANWENDUNGEN
Switch on VoIP
Teil 2: Auf den Einsatz
kommt es an!
p r a x i s n a h e
N e t z w e r k m a g a z i n
AKTUELL
• CS: cs:publish24 schafft versandfertige Publikationen im Handumdrehen
3
Herausgeber: COMPU-SHACK
NEWS
•
•
•
•
•
•
•
•
•
•
•
AVM: Bluetooth ISDN Access Point
AVM: Access Server und NetWAYS/ISDN v6.0
RightVision: Eyebox MAX Internet Appliance
Cobion: Content Security mit Cobion OrangeBox Web
Cisco: Multi-Layer-Schnittstellenkarte für ONS 15454
Cisco: Broadband und Network Processing Engines
Computer Associates: BrightStor ARCserve Backup v.9 für NetWare
LANCOM: Hochwertige Firewall im Router Upgrade
Microsoft: Content Management Server 2002
3Com: Distributed LAN Core mit Pay-as-you-grow-Ansatz
Newsticker
4
5
6
7
8
9
9
10
10
11
12
THEMA DES MONATS
Telefon: 02631/983-0
Telefax: 02631/983-199
Electronic Mail: TECHNEWS @
COMPU-SHACK.COM
Redaktion: Heinz Bück
Hotline und Patches: Jörg Marx
Verantwortlich
für den Inhalt: Heinz Bück
Technische Leitung: Ulf Wolfsgruber
Erscheinungsweise: monatlich 1 Heft
Aus reifem Holz geschnitzt
Bezugsquelle: Bezug über
COMPU-SHACK
Electronic GmbH
Jahres-Abonnement
zuzüglichMWSt.:
Inland: 60,84 €
Ausland: 86,41 €
Teil 1: Vom Spanning Tree zum Rapid STP 802.1w
Es knackt im Geäst des guten alten Spanning Tree.
STP ist alt geworden. Es ist schneller Konvergenz,
die nicht nur Voice oder Video over IP von ihm fordern, nicht mehr gewachsen. Mit dem Standard
802.1w wurde daher das Rapid STP verabschiedet. Geschnitzt aus reifem, alten Holz vom Baum
der Erkenntnis, daß ein schnelles, fest verwurzeltes Protokoll sich den Datenstürmen beugen muß,
um stand zu halten.
Electronic GmbH,
Ringstraße 56-58,
56564 Neuwied
14
Layout und Titelbild: Marie-Luise Ringma
Druck: Görres-Druckerei,
Koblenz
Lektorat: Andrea Briel
Switch on VoIP
Teil 2: Auf den Einsatz kommt es an!
Anja Dorscheid
23
Abo-Versand: Wolanski GmbH,
Bonn
HOTLINE
•
•
•
•
•
•
•
•
•
•
•
Empfohlene Novell und Microsoft Patches
28
Empfohlene ARCserve und BinTec Patches
29
Neue Patches in der Übersicht: ARCserve
30
Neue Patches in der Übersicht: Novell, Microsoft, BinTec
31
Cisco: Einbruchssicherung, Teil 2: IDS-Konfiguration auf Cisco Routern und PIX 3 2
Cisco: LAN Switching, Teil 1: Grundlagen der Switch-Technologie
34
G+H: Tree Commander im Novell eDirectory
37
SonicWall: GBS, Teil 1: Security Features und Anforderungen
38
SonicWall: Support nach Maß
41
WatchGuard: Enterprise Level Security
42
Novell: Interessante Tips der Deutschen Netware FAQ
44
PRAXIS
•
•
•
•
Microsoft: Get Secure - Stay Secure, Teil 1: Common Criteria for Security
Nortel Networks, Teil 3: Praxis-Tips zu Contivity Switches
BinTec: Teil 5: Mit dynamischen und statischen IP-Adressen
Enterasys: Kommandobrücke, Teil 2: VLAN-Management mit NetSight Atlas
38,40,48,54
VORSCHAU
• Messen, Roadshows, Termine
www.technik-news.de
Selbstverständlich kann COMPU-SHACK die einwandfreie Funktion der vorgestellten Patches und
Tips nicht garantieren und übernimmt keinerlei
Haftung für eventuell entstehende Schäden.
46
48
50
52
SOLUTIONS
• Training, Support und Projekte
Reproduktionen aller Art (Fotokopien, Mikrofilm,
Erfassung durch Schrifterkennungsprogramme)
- auch auszugsweise - nur mit schriftlicher Genehmigung des Herausgebers.
Wir möchten uns nachträglich bei all denen bedanken, die durch die freundliche Zusammenarbeit das Erscheinen dieser Zeitung ermöglicht haben. Als Informationsquelle dient uns auch das
Internet. Wenn Sie speziell über Ihre Erfahrungen
referieren möchten, bieten wir Ihnen dies unter der
Rubrik “Hotline” an.
Die Liste aktueller
Updates zu Novell,
Microsoft und BinTec
finden Sie auf Seite 31 neueste
Patches für ARCServe auf
Seite 30
54
02
Ausgabe 02/2003
2
a
AKTUELL
COMPU-SHACK
Echtzeitmarketing
cs:publish24 schafft versandfertige Publikationen im Handumdrehen
Von Heinz Bück
C
cs:publish24 wurde entwickelt, um
die Kommunikation zwischen Herstellern, Vertrie bspartnern und
Endkunden auf eine völlig neue Basis zu stellen und entscheidend zu
verbessern. Mit Hilfe der Technologieplattform cs:publish24 erstellten
Marketingbeauftragte über das
Internet zu jeder gewünschten Tageszeit und selbst ohne spezielle Vorkenntnisse hochwertige Printmedien
in Echtzeit.
Mit cs:publish24 ist eine Publikation in nur wenigen Schritten minutenschnell erstellt. Nach der Produktauswahl bestimmt der Anwender Design
und Text aufgrund vordefinierter
Muster, wählt das Format seiner
Drucksache aus und fügt der Vorlage
individuelle Textbausteine hinzu.
Die vorgeschlagenen Preise brauchen
nur noch übernommen oder modifiziert zu werden, schon erstellt
cs:publish24 das druckreife Dokument. Alle Ergebnisse sind sofort verfügbar, können in Echtzeit erzeugt
und direkt kontrolliert werden. Im
Handumdrehen entstehen personalisierte Datenblätter und Preislisten,
CI-konforme Angebote oder Flyer im
Design eines ausgewählten Herstellers. Die fertigen Dokumente können
auf Knopfdruck an eine Druckerei
nach Wahl weitergeleitet und mit Hilfe eines Fullfillment-Partners versendet werden. Natürlich können die Pu-
blikationen auch direkt gefaxt oder
per Mail als Newsletter verschickt
werden.
Marketing Know-how
Compu-Shack setzt cs:publish24
hausintern in der Katalogerstellung
und im Internet-Shop-System
cs:mall24 ein. Durch jahrelange Erfahrungen verfügt das Compu-Shack
Marketing über einen hohen Sachverstand in der Organisation von
Geschäftsprozessen und in der Produktion komplexer Printmedien. Dieser Know-how- Vorsprung, eine breite, dokumentierte Produktpalette und
langjährige Erfahrung bei InternetTechnologien ermöglichten es
Compu-Shack, ihren Partnern diese
ausgereifte Software-Entwicklung
zur Verfügung zu stellen. Das interaktive Publishing befähigt den Fachhandel, seine Kunden mit individuellen Angeboten in kürzester Zeit zu
versorgen und Produkte gezielt zu bewerben. cs:publish24 ist damit das
ideale Marketinginstrument für die
B2B- und B2C-Kommunikation. Es
eröffnet völlig neue Möglichkeiten
bei der zeitnahen Kundenansprache.
Drucksache
Das Echtzeitmarketing mit dem neuen cs:publish24 vermag die Unternehmenskommunikation auf eine
neue Stufe zu stellen, Prozesse zu
beschleunigen und strapazierte Mar-
02
Ausgabe 02/2003
3
keting-Etats spürbar zu entlasten.
Denn bislang stehen Publikation jeder Art zeitlich, ter minlich und
kostenseitig unter unablässigem Druck. cs:publish24
ist bran-chenneutral und für
viele Anwendungen einsetzbar. Es versetzt Fachhändler, Filialen oder Franchise-Nehmer in die Lage,
druckreife Dokumente
selbst zu erstellen. Vorbei
die Zeiten, wo man Tage
oder Wochen warten mußte, bis endlich alle Änderungen von externen
Dienstleistern eingearbeitet waren.
Der Anwender kann alle inhaltlichen
Korrekturen direkt vornehmen und
auch das Design mit Hilfe vorhandener Vorlagen in Echtzeit selbst verändern. Für die Nutzung fallen vergleichsweise sehr geringe Kosten an,
denn cs:publish24 kann gemietet werden. Auch kann die Abrechnung auf
der Basis produzierter Dokumente erfolgen. Bei der Benutzung über das
Internet fallen zudem keinerlei Wartungsaufwendungen an.
cs:publish24 erhöht die Marktdurchdringung allein schon aufgrund seiner enormen Verarbeitungsgeschwindigkeit. Tagesaktuelle und zielgerichtete Marketingaktivitäten entfalten
sich nun auch dort, wo ehedem noch
Kostenrahmen und Zeitfenster Engpässe schufen.
Ihr Ansprechpartner
Stavros Ntioudis: 02631 / 983-141
AKTUELL
Für die Erstellung tagesaktueller Marketingunterlagen präsentiert Compu-Shack mit cs:publish24 ein universelles
Werkzeug zur Veröffentlichung personalisierter, werblicher Publikationen. Es gibt CompuShack Partnern ein hochwertiges Tool für die professionelle Ansprache ihrer Kunden an die
Hand. Aus vorgefertigten Layouts entstehen individualisierte, CI-konforme Unterlagen für
den Direktversand. Fachhändler wie Hersteller können sich auf der CeBIT 2003 in Halle 13,
Stand C37 von der Effizienz des Echtzeitmarketing überzeugen.
n
NEWS
AVM
BlueFRITZ!
Bluetooth ISDN Access Point
Mit dem weltweit kleinstem Bluetooth ISDN Access Point ist AVM seit dem Jahreswechsel im Handel. Drahtloses
Netzwerk ist jetzt mit allen BlueFRITZ!-Produkten möglich. Als BlueFRITZ! ISDN-Set ist der neue ISDN Access Point
auch zusammen mit einem BlueFRITZ! USB Client erhältlich. Der BlueFRITZ! AP bietet alle ISDN-Leistungsmerkmale
bei kabelloser Übertragung bis 100 Meter.
N
Nicht größer als ein Schokoriegel und
nur 35 Gramm leicht, präsentiert sich
AVMs BlueFRITZ! AP als der weltweit kleinste ISDN Access Point mit
Bluetooth-Technologie. Der APISDN wird einfach an den ISDN-Anschluß gesteckt, ohne daß eine separate Befestigung oder ein externes
Netzteil notwendig wäre.
Ohne weitere Einstellungen
können bis zu sieben PCs
oder andere Bluetooth-Geräte kabellos auf ISDN-Komfort
zugreifen. Und das bis zu 100
Meter weit. BlueFRITZ! APISDN unterstützt vom Start
weg das Personal Area
Networking Profile und
schafft so die Basis für ein
kabelloses Netzwerk. Zeitgleich mit der Markteinführung des Access Points
bietet AVM das PAN-Profil
übrigens auch für ihre anderen
Bluetooth-Produkte zum kostenlosen
Download an.
NEWS
AP-ISDN
Für den Start in die kabellose Kommunikation bietet sich der kleine
Access Point BlueFRITZ! AP-ISDN
geradezu an. Eine bestehende ISDNInstallation zu Hause oder im Büro
läßt sich einfach um die kabellose
Variante für das Notebook oder den
Zweit-PC ergänzen. Der Access Point
wird an den ISDN-Anschluß (NTBA)
oder an eine Nebenstelle mit S 0Schnittstelle gesteckt. Die Stromversorgung erfolgt ebenfalls über NTBA,
ein eigenes Netzteil ist demzufolge
nicht notwendig.
Abhörsicher
Mit einer standardisierten und sicheren Funkverbindung überträgt der
transparent-blaue BlueFRITZ! APISDN Sprache und Daten zwischen
ISDN und Client. Die standardmäßig
aktivierte 128-Bit-Verschlüsselung
und ein bis 1600-mal pro Sekunde
bis zu 240 kBit/s. Über das standardisierte Bluetooth CIP-Profil (Common ISDN Access Profile) kann der
AP mit kompatiblen Gegenstellen
alle ISDN-Leistungsmerkmale wie
Datenkompression, Kanalbündelung
oder D-Kanal-Kommunikation vollständig über Bluetooth übertragen.
Das CIP-Profil ermöglicht darüber hinaus den Einsatz aller
ISDN-Anwendungen für Daten, Sprache und Fax, wie sie
beispielsweise von der
FRITZ!Card PCI, dem weltweit
meistgekauften ISDN-Controller, bekannt sind.
PAN Profile
stattfindender Frequenzwechsel auf
79 Funkkanälen bieten dabei höchste Abhörsicherheit beim Datenaustausch. Die Daten werden bis zu 100
Meter weit kabellos übertragen. Das
werkseitig voreingestellte BluetoothKennwort des ISDNAccess Points, das
der Anwender jederzeit ändern kann,
garantiert, daß nur berechtigte Bluetooth-Geräte auf den AP zugreifen
können. Zusätzlich begrenzen frei
einstellbare Gerätelisten den Zugang.
Über Bluetooth
BlueFRITZ! AP-ISDN bietet alle
ISDN-Anwendungen wie Internetzugang, Datentransfer, PC-Fax und
Videotelefonie. Fast Internet over
ISDN sorgt für das schnelle Surfen mit
Mit dem P ersonal Area
Networking Profile (PAN) können Anwender bis zu sieben
Clients zu einem kabellosen
Ad-hoc-Netzwerk auf Ethernet-Basis
verbinden. Windows-Anwendungen
zur Datei- und Druckerfreigabe sowie
Internet-Zugang sind somit ohne
komplizierte LAN-Verkabelung einsatzbereit. Die Integration von PAN
ermöglicht auch die Übertragung von
DSL über Bluetooth. Neben dem CIPund dem PAN-Profil ist BlueFRITZ!
AP-ISDN vom Start weg auch mit dem
Dial-up Networking Profile ausgestattet. Mit diesem für analoge Modems konzipierten Profil ermöglicht
BlueFRITZ! AP-ISDN anderen
Bluetooth-Produkten, die nicht von
Haus aus ISDN unterstützen, einen
direkten Zugang zum ISDN. So können sich auch PDAs kabellos ins
Internet einwählen. BlueFRITZ! und
das ISDN Start Set sind im Handel.
02
Ausgabe 02/2003
4
AVM
Fernzugriff
Access Server und NetWAYS/ISDN v6.0
AVM ist mit neuen Produkten für den Fernzugriff auf den Markt gekommen. Der AVM Access Server und NetWAYS/
ISDN v6.0 sorgen für eine kostengünstige und sichere Geschäftskommunikation über VPN und ISDN, gerade auch
für mittelständische Unternehmen und Einzelarbeitsplätze.
M
Mit einer innovativen Lösung für
Remote Access und die LAN-LANKommunikation vereinfacht AVM
den Zugriff auf Firmennetze. Der neue
AVM Access Server und die neue
ClientVersion des NetWAYS/ISDN
erfüllen insbesondere die Anforderungen mittelständischer Unternehmen
nach kostengünstigen Verbindungen
und geringem Administrations-Aufwand. Auf Unternehmensseite wird
dazu der AVM Access Server eingesetzt. Die Software verbindet entfernte PC-Arbeitsplätze und -Netzwerke
nahtlos mit dem unternehmenseigenen LAN, sowohl über Direktverbindungen als auch über Virtuelle Private Netzwerke. Firewall und VPNTunneltechnologie schützen dabei
wirkungsvoll das eigene Netzwerk
wie auch die Kommunikation.
Access Server
Die Windows-konforme Bedienoberfläche des Access Servers erleichtert
mit ihren zahlreichen Assistenten die
Installation und erfordert keine besonderen Kenntnisse der VPN-Technologie. Die Verbindung zum LAN
kann über eine direkte ISDN- und
GSM-Einwahl oder über das Internet
mit Hilfe eines Virtuellen Privaten
Netzwerkes erfolgen. Zusätzlich realisiert der Access Server die DSL- und
ISDN-Anbindung des lokalen Netzwerkes an das Internet. Die Konzeption als Software-Router bietet eine
Skalierbarkeit von bis zu 120 ISDNKanälen bei gleichzeitigem unbegrenzten VPN-Zugriff. Die Möglichkeit, vorhandene PC-Standard-Hardware zu nutzen, reduziert die Kosten
deutlich. Der Access Server ist abge-
lichkeit, bei Remote Access alternativ zur ISDN- oder GSM-Direkteinwahl auch eine Internet-Verbindung
einzusetzen. Zum Schutz des eigenen
Netzwerkes und der zu übertragenden
Daten erfolgt die Verbindung über ein
VPN mit wirkungsvoller Authentifizierung und Datenverschlüsselung.
IP Security
stimmt auf die AVM Controller
FRITZ!Card DSL, B1, C2, C4, T1 und
T1-B. Kommen KEN! oder KEN! DSL
zum Einsatz, bietet der Access Server
die optimale Erweiterung für den
Fernzugriff. So können beispielsweise Nachrichten auf dem KEN!-Mailserver von zu Hause aus einfach und
kostengünstig über das Internet abgerufen werden.
NetWAYS/ISDN v6.0
Mit AVM NetWAYS/ISDN v6.0
kommt als Gegenstück eine professionelle Lösung für den sicheren Zugriff von Einzelplätzen auf das LAN
zum Einsatz, für Außendienstmitarbeiter, Niederlassungen oder Heimarbeitsplätze. Mittels VPN kann dabei
eine kostengünstige und sichere Verbindung über das Internet aufgebaut
werden. Der neue Remote Access
Client ermöglicht es, zentrale LANRessourcen wie Mail- oder Terminalserver, SAP oder Datenbanken wahlweise über ISDN, DSL, GSM und
HSCSD zu nutzen. Neu ist die Mög-
02
Ausgabe 02/2003
5
Für sichere Internet-Verbindungen
mit Verschlüsselung integrierte AVM
IPSec in die neuen Remote Access
Produkte. AVM setzt hierbei neben
den Standardverfahren DES und
3DES auch auf den Ad vanced
Encryption Standard, der Schlüssellängen von bis zu 256 Bit ermöglicht.
Auch wenn Internet-Anbieter dynamische IP-Adressen mit jeder
Teilnehmeranwahl neu vergeben,
kann der Access Server einen VPNTunnel aufbauen. So lässt sich auch
von einem DSL-Anschluss zu einem
anderen DSL-Anschluß eine Verbindung aufbauen. Das Internet Key Exchange Protocol und IPSec sorgen für
die VPN-Interoperabilität zu den Produkten anderer Hersteller. Für schnelle VPN-Verbindungen nutzen die neuen AVM Remote Access Produkte
Datenkompressionsverfahren im gesamten Internet-Tunnel. Neben dem
Kompressionsverfahren Fast Internet
over ISDN auf PPP-Ebene wird nun
erstmals IP Payload Compression
(IPComp) unterstützt, das auf IP-Ebene ansetzt und somit unabhängig vom
Internet-Anbieter ist. Es beschleunigt
den Datenverkehr im VPN-Tunnel um
bis zu 200 Prozent. AVM Access Server und AVM NetWAYS/ISDN v6.0
sind im Fachhandel erhältlich.
n
NEWS
RIGHTVISION
Reduziert aufs Maximum
Eyebox MAX Internet Appliance
RightVision bietet mit der Eyebox MAX einen Internet Telematik-Server, der eine verblüffend hohe Vielfalt an Features auf einer einzigen anwenderfreundlichen Plattform kostengünstig vereint. Wo früher jeweils separate Installationen und Appliances notwendig waren, erhalten kleine bis mittlere Unternehmen ein Maximum an Sicherheit und
Services in nur einem Gerät. Für Web-Access, Mailverwaltung und Website-Hosting, für Workgroupgenerierung und
Datensicherung, und versehen mit zusätzlichen Firewalling-Funktionalitäten.
B
Bisher behalfen sich kleine und mittlere Unternehmen für die Anbindung
an das Internet mit Router-Lösungen.
Allerdings werden viele sicherheitsrelevante Aufgaben damit noch nicht
gelöst. Intelligente Services für EMail, Firewall, Virenschutz und
Internetfilter müssen im Normalfall
zusätzlich implementiert werden, um
die Möglichkeiten der öffentlichen
Kommunikation sicher zu nutzen.
RightVision präsentiert mit der
Eyebox MAX eine Komplettlösung
für genau dieses Szenario. Sie vereint
fast alle Kommunikationsformen eines modernen Betriebes und bietet
darüber hinaus noch die zugehörigen
Security-Mechanismen für ISDN und
DSL, für LAN und WAN.
NEWS
MAXimum
Hinsichtlich des Leistungsumfanges
hebt sich die Eyebox MAX deutlich
hervor. Der integrierte ISDN / ADSLRouter, der Proxy Cache und der EMail-Server mit Trend Micro AntiVirus Mailscanner bieten ein multifunktionales Software-Featurepacket,
das in Kombination mit der integrier-
ten NAT-Firewall die Sicherheitsaspekte von Anfang an berücksichtigt. Ein DNS- und ein RAS-Server
gehören ebenfalls dazu. All diese Services sind wohl aufeinander abgestimmt und bieten von vorne herein
den größtmöglichen Schutz des Netzwerks nach modernstem Stand der
Technik. Eye-box MAX ist über SetUp-Wizards oder Browser einfach zu
bedienen. Ein kostengünstiger Support steht ebenso zur Verfügung wie
eine innovative Update-Technologie.
Security
Durch einen eigenen lokalen CacheServer wird der Internet-Zugang im
LAN um bis zu 35% beschleunigt, bei
entsprechend verringerten Verbindungskosten. Der Proxy Server fordert auf Wunsch vom Benutzer ein
Paßwort für den Web-Zugang. Die
Internet Firewall schützt das lokale
Netz vor fremden Zugriffen. Alle internen LAN-PCs werden im öffentlichen Netz durch IP Masquerading
bzw. NAT verborgen. Ein externer
Zugriff auf Rechner mit interner IPAdresse wird blockiert. Die Firewall
beruht auf IP-basierter Packet-FilterTechnologie. E-Mail wird spamsicher
über AV-Mailproxy mit Antivirenfilter
empfangen. Alle gängigen E-Mail
Clients wie Outlook oder Outlook
Express, Exchange, Netscape Messenger, Eudora etc. können verwendet werden. Über RAS besteht ein sicherer Zugriff von unterwegs auf das
Firmennetz. Eyebox MAX bietet einen oder mehrere ISDN Dial-in Ports
für den transparenten LAN-Zugang.
Sicherheit ist gewährleistet durch
Überprüfung der anrufenden MSNNummer. Auf Wunsch kann ein Rückruf angefordert werden. Ein Log-File
protokolliert die Zugriffe. Über den
30-tägigen kostenlosen InstallationsSupport hinaus gibt es eine kostengünstige Support-Rufnummer.
Webaccess
Auch bei dieser RightVision-Lösung
sorgt das Linux-Betriebssystem
durch seine bewährten Eigenschaften nicht nur für einen stabilen dauerhaften Betrieb im Internetworking,
sondern gewährt auch ein transparentes und nachvollziehbares Verhalten
im Netz. Zudem kennt Linux keine
Beschränkung der User-Anzahl. Die
Integration an den einzelnen Arbeitsplätzen erfolgt gänzlich ohne zusätzliche Treiber. Eyebox MAX fügt sich
hervorragend in jede WindowsNetzwerkumgebung. Für die IP-LAN/
WAN-Kopplung können ISDN-Wählleitungen mit 64 / 128 Kb verwendet werden. Weiterhin kann T-DSL
(PPPoE) oder X-DSL bzw. Kabelmodem alsAnschluß dienen. Die Verbindung zum Internet wird nach Bedarf automatisch aufgebaut und kann
nach frei wählbarer Zeit terminiert
werden. Authentifizierung beim
Provider erfolgt durch PAP oder
CHAP. Die Eyebox MAX bietet aber
auch die Möglichkeit, Internet-,
Intranet- oder gar Extranetsites über
den integrierten Apache-Webserver
zu hosten. Die Dateiübertragung erfolgt entweder extern oder lokal via
Datei-Manager oder FTP.
02
Ausgabe 02/2003
6
COBION
Ich surfe was, was Du nicht siehst
Content Security mit Cobion OrangeBox Web
Unbeschränkter Internet-Zugang stellt für manche Mitarbeiter eine große Versuchung dar, das Web für nichtgeschäftsrelevante Zwecke zu nutzen, ob für Homebanking, Job-Suche oder Erotik-Angebote. Cobion OrangeBox Web erfüllt
alle Anforderungen, die Unternehmen an ihre Content Security stellen. Die Cobion Datenbank OrangeFilter mit 14
Millionen indizierten Webseiten garantiert einen umfassenden Schutz vor unerwünschten Webseiten, rechtlichen
Problemen und sinkender Produktivität von Mitarbeitern.
Risiken
D
Das Ab lenkungspotential des
Internet-Zugangs am Arbeitsplatz ist
hoch. Untersuchungen zufolge nutzen drei von vier Mitarbeitern ihren
Dienst-PC auch zum privaten Surfen.
Sie schreiben nicht nur E-Mails oder
lesen neueste Nachrichten, auch private Geschäfte werden oftmals vom
Arbeitsplatz aus abgewickelt. 31 %
derjenigen, die den Online-Zugang
im Büro für private Zwecke nutzen,
buchten Reisen oder reservierte Plätze. 28 % der Befragten regelten im
Büro ihre Bankgeschäfte. Solch private Nutzung soll die deutsche Wirtschaft schätzungsweise dreistellige
Millionenbeträge jährlich kosten.
Mit OrangeBox Web bietet Cobion
eine Content Security-Lösung, die
einen umfassenden Schutz gegen derart fehlgeleitete Mitarbeiterproduktivität und unerwünschte WebInhalte bietet, als Software-Lösung
oder auf eigener Hardware-Plattform.
Als offenes System unterstützt die
Cobion OrangeBox Web alle wichtigen Betriebssysteme und Schnittstellen.
Wenngleich in liberalen Führungsstrukturen private Aktivitäten im vielzitierten “vernünftigen Rahmen” toleriert werden, so sind die meisten
Unternehmen strikt gegen die Zweckentfremdung ihrer Infrastrukturen
durch Mitarbeiter, insbesondere innerhalb der Arbeitszeit. Dabei werden
die juristischen Risiken die beim unerlaubten Surfen entstehen, oftmals
ganz übersehen. Doch ein Unternehmen haftet, wenn z.B. am Arbeitsplatz
urheberrechtlich geschützte Bilder,
pornografisches oder extremistisches
Material aus dem Internet geladen,
weiterverbreitet oder sogar Minderjährigen zugänglich gemacht werden
sollten. Schadenersatzforderungen
und ein möglicher Imageverlust können im Extremfall zu einer ernsthaften Bedrohung werden.
Prävention
OrangeBox Web kommt als hochintelligente Bild- und Textanalyse zum
Einsatz, bei der verschiedene Sicherheitsverfahren kombiniert werden.
Vollautomatische Webcrawler durchsuchen rund um die Uhr das World
Wide Web. Monatlich werden 60 Millionen neue Seiten ausgewertet. Das
macht täglich etwa 100.000 neue Einträge im OrangeFilter, der CobionDatenbank. Diese enthält aktuell 14
Millionen indizierte Webseiten, was
1,9 Milliarden ausgewerteter Webseiten und Bilder entspricht. Damit
ist die Cobion-Datenbank das weltweit größteVerzeichnis dieserArt. Mit
Klassifizierungen in 58 Kategorien,
02
Ausgabe 02/2003
7
einer multilingualen Filterliste in 11
Sprachen und regelbasierten Blackund White-Listen bietet Cobion
höchste Aktualität bei größtmöglicher Sicherheit gegen unzumutbaren
Web Content. Media-Type-Filter, individuell definierbare Regeln und
Aktionen und das Monitoring sorgen
für eine Anpassung an die unternehmenspezifischen Richtlinien.
Content Security
Netzwerksicherheit genießt Umfragen zufolge in vier von fünf Unternehmen hohe Priorität. Die Sensibilität ist in jüngster Zeit merklich gestiegen. Immerhin setzen fast alle
Unternehmen inzwischen Antivirensoftware und Firewalls ein. Zu einem
wirksamen Schutz gegen die Risken
ungehemmter Internetaktivitäten und
dem damit einhergehenden Produktivitätsverlust gehört jedoch auch die
Content Security. Die Herausforderung bei Filter-Lösungen für InternetZugänge am Arbeitsplatz liegt darin,
den größtmöglichen Schutz mit
geringstmöglichen Einschränkungen
zu verbinden. Kontrollstrategien werden von den Mitarbeitern als Drohung empfunden und sorgen für Unzufriedenheit. Um Interessenkonflikten aus dem Weg zu gehen, bietet sich
eine Unternehmens-Richtlinie an, die
den Online-Gebrauch für alle Mitarbeiter verbindlich regelt. Cobion
OrangeBox Web überprüft alle aufgerufenen Web-Inhalte, Texte wie
Bilder. Sie toleriert alle akzeptierten
Aktivitäten, blockiert aber zuverlässig unerwünschte Webseiten.
n
E NEWS
CISCO
SONET auf COMET
Multi-Layer-Schnittstellenkarte für ONS 15454
Cisco erweitert ihr Metro-Optical-Ethernet-Portfolio mit einer Multi-Layer Schnittstellenkarte für die Multiservice
Provisioning Platform ONS 15454. Sie sorgt für die Übertragung von Ethernet-/IP-Multipoint-Diensten mit einer
Geschwindigkeit von mehreren Millionen Datenpaketen pro Sekunde über die optische Transportplattform.
NEWS
D
Die neue Multi-LayerSchnittstellenkarte ist die
erste Technologie im
Rahmen der Multiserviceover-SONET/SDH-Strategie (MSOS) von Cisco.
Service Provider werden
mit den MSOS-Technologien und deren Multiservice-Lösungen über
Syn-chronous Optical
Net-work/Synchronous
Digital Hierarchy rentabler, da sie hochwertige
Datendienste flexibel und
skalierbar anbieten können. MSOS baut auf dem
COMET-Portfolio für optische Netzwerklösungen
auf, eine leistungsstarke
Produktpalette
für
Complete Opti-cal Multiservice Edge and Transport, auf. Service Provider
optimieren damit ihre
Ethernet-, IP- und Storage-Dienste
über SONET/SDH-Netzwerke und
verbessern ihren QoS Standard, um
die geforderten Service Level
Agreements (SLAs) einhalten zu
können. DieWertigkeit der SONET/
SDH-Netzwerke erhöht sich durch
Packet Multiplexing für eine bessere Netzwerkleistung und die
Datenoptimierung der Transportschicht.
VLAN und IP-Netz
Die Transport-Plattform ONS
15454 MSSP bietet in Verbindung
mit der Multi-Layer-Schnittstellen-
für Dienste wie Ondemand-Services definieren sich durch QoSund diverse Class-ofService-Kriterien. Mit
dem Cisco Transport
Manager oder dem
Cisco Transport Controller erreichen Service
Provider eine hohe Management-Effizienz für
die ONS-15454-Plattform und die MLSchnittstellenkarte.
IOS-integriert
karte zahlreiche Vorteile in MetroOptical-Ethernet-Netzwerken. Die
hohe Übertragungsgeschwindigkeit
sowie Layer-2 Ethernet Switching
und Layer-3 Packet Multiplexing
sorgen in einer integrierten MultiLayer-Lösung für einen außerordentlich hohen Datendurchsatz. ONS
15454 kann für die Bereitstellung
von Private-Line-Ethernet- und
Switched-Ethernet-Diensten genutzt
werden. Der Einsatz ist sowohl auf
VLAN- als auch auf IP-Basis möglich. Die Unabhängigkeit von der
Netzwerkarchitektur hat den Vorteil
erstklassiger QoS-Standards für
Voice-over-IP, VPN und InternetAccess-Dienste. Hochwertige SLAs
Die neue Schnittstellenkarte hat eine 2-PortGigabit-Ethernet- und
eine 12-Port-10/100BASE-T-Schnittstelle. Sie
unterstützt mehrere Paket-Priorisierungen mittels 802.1p, beziehungsweise den
IP-Type-of-Ser vice-Bereic hen
(TOS). Mit dieser Klassifikation sortiert und terminiert sie Datenpakete
in verknüpften SONET/SDH
Circuits. Zudem verfügt die MLSchnittstellenkarte über eine IOSSoftware-Implementierung von
Internet Class bis zu Carrier Class
ONS 15454 Packet Processing.
Mit ihrer Kompatibilität zu Cisco
IOS ergänzt die Schnittstellenkarte
auch bestehende Cisco Edge Router,
um eine höhere Effizienz in der Bereitstellung der Services zu erzielen.
Diese IOS-Eigenschaften gelten
auch für VLAN- und IP-Architekturen.
02
Ausgabe 02/2003
8
CISCO
COMPUTER ASSOCIATES
Lösungen für
Kabelnetze
Die Neun für die
Sechser
Broadband und
Network Processing Engines
BrightStor ARCserve Backup v.9
für NetWare
Cisco Systems kündigte mit der MC5X20S Broadband
Processing Engine (BPE) ein Upgrade für den uBR10012
Cable Modem Termination System Router (CMTS) an. Die
Lösung für High-Speed Data over Cable Service Interface Specification Processing (DOCSISTM) wartet mit
hoher Portdichte und erweitertem RF Spectrum auf.
Die Datensicherungslösung BrightStor ARCserve Backup
Version 9 von Computer Associates ist seit Jahresbeginn
für NetWare verfügbar. Das neue Produkt für das Novell
Betr iebssystem verbindet Performance, hohen
Bedienkomfort und Zuverlässigkeit mit vereinfachter
Lizenzierung und einem attraktiven Preismodell.
H
D
Höhere Skalierbarkeit, Performance und Verfügbarkeit
unterstützen Kabelnetzbetreiber bei rapide ansteigenden
Teilnehmerzahlen. Mit Platz für bis zu acht der neuen
Broadband Processing Engine in einem Chassis ist der
Cisco uBR10012 die derzeit dichteste am Markt verfügbare CMTS-Plattform. Nach DOCSIS und EuroDOCSIS
1.1 zertifiziert, ermöglicht der CMTS Router Kabelnetzbetreibern, mehr Teilnehmer anzubinden und höhere
Bandbreiten anbieten zu können. Mit der 5X20 BPE können Multiple System Operators (MSOs) zwischen fünf und
80.000 Modems über ein einziges Carrier-Class-Chassis
skalierbar verwalten.
Die Version 9 von Bright
Stor ARCserve Backup liefert umfassende Unterstützung für NetWare 6-Umgebungen. So bietet die Open
File Agent-Technologie mit
Copy on Write-Funktion
die Möglichkeit, kritische
Daten auch bei laufenden
Applikationen ohne Unterbrechung zu sichern. Nachdem mehrere hundert Unternehmen in einem BetaTestprogramm BrightStor ARCserve unter NetWare geprüft hatten, erhielt die CA-Lösung Ende Dezember von
Novell das Zertifikat ”YES, Tested and Approved for
NetWare 6”. Sie stellt hohe Performance und vereinfachtes Speichermanagement für Novell-Kunden mit heterogenen Netzwerken bereit.
Network Processing
Zudem stellt Cisco einen neue Network Processing Engine
vor, den uBR7200-NPE-G1-Prozessor, der die Geschwindigkeit des Cisco uBR7246VXR CMTS Routers mehr als
verdoppelt. Cisco hat weitere Features für den Betrieb
hochverfügbarer Netzwerke und die industrieweit erste
integrierte OC-48-WAN-Schnittstelle für ein CMTS entwickelt. Mit dieser neuesten Network Processing Engine
(NPE) für den uBR7246VXR CMTS Router können Netzbetreiber die Anzahl der Teilnehmer nochmals erhöhen
und gleichzeitig eine breitere Auswahl an Mehrwertdiensten anbieten, Services wie Voice over IP, VPN oder Video
Streaming. Neue Features wie Stateful Switchover (SSO)
und die N+1 Failover Solution verhindern Ausfallzeiten
und ermöglichen unterbrechungsfreie Breitband-Services.
Auch diese Lösung für den CMTS ist derzeit einzigartig
in der Netzwerkindustrie. Die neue OC-48 DPT (Dynamic
Packet Transport) WAN-Schnittstelle für den CMTS senkt
die Netzwerkkomplexität und gewährleistet skalierbare
Internet Services und einen zuverlässigen IP-Datentransport über Glasfaser. Dem steigenden Bandbreitenbedarf
im Massenmarkt für Sprachdienste und andere kommerzielle Services wird somit hinreichend Rechnung getragen.
Storage Management
BrightStor ARCserve Backup für NetWare sichert sowohl
Daten von NetWare Servern als auch von Microsoft
Windows, Linux und UNIX auf einem Novell Server, unabhängig von der NetWare-Version. Mit ihrer innovativen Speichermanagement-Lösung bietet CA den NovellKunden eine plattformübergreifende Datensicherung in
heterogenen SAN-Umgebungen. BrightStor ARCserve
Backup für NetWare ist auch in die kürzlich vorgestellte
Windows-Version integrierbar. Die neuner Version für
Linux ist zur Zeit noch in der Beta-Test-Phase, soll aber
noch im ersten Quartal2003 erhältlich sein und vergleichbare Integrationsmöglichkeiten aufweisen; als eine einfach zu installierende übergreifende Datensicherungslösung. Im Preis für die aktuelle Lösung ist bereits die
Unterstützung für Groupwise enthalten.
02
Ausgabe 02/2003
9
n
NEWS
LANCOM
MICROSOFT
Security erweitert
XML in .NET
Hochwertige Firewall im Router Upgrade
Content Management
Server 2002
LANCOM Systems hat zu Ende des vergangenen Jahres ihre Firmware-Version 2.80 vorgestellt. Neben der Stateful Inspection Firewall mit Intrusion
Detection und Denial-of-Service Protection zählen QoS, Traffic Shaping sowie der LANCOM VPN Client zu den Highlights dieses kostenlosen Upgrades.
M
Mit dem Firewall-Upgrade von
LANCOM Systems kann jeder
LANCOM bzw. ELSA LANCOM
Router oder Access-Point auf eine
Sicherheitstechnologie nach neuesten Standards aufgerüstet werden.
Die Stateful-Inspection Firewall überwacht alle Verbindungen. Fremde
Datenpakete, die nicht zu einer bekannten Session gehören, werden
verworfen. Alle für eine Verbindung
benötigten Ports werden nach Bedarf
dynamisch geöffnet, z.B. für FTP,
Netmeeting oder H.323. Über Firewall-Regeln mit einer Richtungsabhängigkeit können nur noch Verbindungen von der Quell- zur Zieldestination aufgebaut werden. Mit
Hilfe der Denial-of-Service-Protection werden gängige Hacker-Angriffe wie SYN-Flooding, Smurf, LAND,
Ping of Death, Teardrop oder Bonk,
aber auch Fragmentierungsangriffe
wie Fragrouter usw. erkannt, protokolliert und abgewehrt. Die IntrusionDetection erkennt Port-Scans und IPSpoofing. Durch einen PING-Blocker
und den TCP Stealth-Mode ist ein
”Verstecken” des Gerätes möglich.
NEWS
IP Quality-of-Service
Eine dynamische Bereitstellung von
garantierten Mindest-Bandbreiten für
VoIP-Traffic oder bestimmte Dienste,
Applikationen oder Stationen ist
durch IP Quality-of-Service möglich.
Die Mindestbandbreiten sind pro Verbindung oder global für alle Benutzer einstellbar, etwa eine Reservierung von 128 kBit/s für VoIP. Sobald
sie nicht mehr benötigt wird, erhalten alle anderen Applikationen die
volle Bandbreite zurück. Mit IPTraffic-Limiting ist eine Begrenzung
von Bandbreiten global oder pro Verbindung, für bestimmte Dienste,
Subnetze, Applikationen oder Stationen möglich. Durch ein Traffic Management mit dynamischen Mindestund Maximalbandbreiten können
verschiedene Subnetze, unternehmenskritische Applikationen und
Webserverzugriffe an einem Anschluß
optimal ausbalanciert werden.
Noch kurz vor Ende des vergangenen Jahres in die Produktion gegangen, ist der Content Management
Server 2002 als das neueste Produkt
der .NET Enterprise Server Familie
erscheinen. Die Lösung ist eng mit
Microsoft .NET integriert und unterstützt XML-Inhalte sowie XML Web
Services.
VPN Remote Access
Der kostenlose LANCOM VPN Client
für Windows 2000 und XP ermöglicht mobilen Nutzern per IPSec gesicherten Zugang zum FirmenIntranet. Im Anwendungsszenario
VPN Remote Access unterstützt der
LANCOM VPN Client jetzt IPSec
over PPTP, damit der mobile Nutzer
eine im Intranet gültige, lokale IPAdresse zugewiesen bekommt. Zusätzlich steht eine Konfigurationsvariante für das IPSec over WLAN der
neuen LANCOM Wireless AccessPoint Generation zur Verfügung. Die
LANCOM VPN Gateways sind durch
die Unterstützung des IKE Aggressive Modes nun auch interoperabel
gegenüber 3rd-Party VPN Gateways
mit dynamischen IP-Adressen. Durch
das Firewall-Upgrade stehen für die
LANCOM VPN-5-Option nun sogar
25 gleichzeitige VPN-Kanäle zur Verfügung. Die Anzahl der konfigurierbaren VPN-Gegenstellen wurde
auf 50 für VPN-5 bzw. 25 für VPN-1
erhöht. Die Firmware-Version 2.80 ist
nur unter www.lancom.de im
Internet verfügbar.
G
Gegenüber der Vorgängerversion bietet Content Management Server
2002 Features, die die Produktivität
beim Erstellen und Verwalten von
komplexen Web-Seiten erhöhen. Vereinfacht wurden die Administration
von Webseiten und die Entwicklung
von neuen Anwendungen. So ist es
künftig möglich, direkt aus Microsoft Word Inhalte für das Web zu erstellen und sie zu publizieren, ohne
die Word-Umgebung zu verlassen.
Durch die Integration mit dem Microsoft Application Center wird es einfacher, große und komplexe Webseiten zu managen und die Pflege in vielen Bereichen zu automatisieren.
Gesteuert
Neue Funktionen für die verteilte Administration erleichtern das Management von globalen oder mehreren
Webseiten über das Content Management System. Dabei gibt es verschiedene Levels für die Vergabe von
02
Ausgabe 02/2003
10
Administrationsrechten an einzelne
Anwender oder Anwendergruppen.
Die Entwicklungstools von Content
Management Server 2002 sind eng
mit Visual Studio .NET und dem .NET
Framework integriert. Das bietet Entwicklern eine vollständige Umgebung, um leistungsfähige und geschäftskritische Webseiten mit geringem Programmieraufwand aufzubauen. Vorbereitete Steuerungselemente
helfen, dynamische Webseiten im
Drag-and-Drop-Verfahren zu erstellen. Über ein eigenes Software
Development Kit können diese Elemente an die speziellen Bedürfnisse
des Unternehmens angepaßt werden
oder neue maßgeschneiderte Features
entwickelt werden. Der Einsatz von
Templates wird durch die Unterstützung von Source Code Management
Systemen, wie Microsoft Visual
SourceSafe, vereinfacht.
3COM
XRN Interconnect Kit
Distributed LAN Core mit Pay-as-you-grow-Ansatz
Das XRN Interconnect Kit von 3Com ist verfügbar. Damit endet die erste
Phase des dreistufigen Markteinführungsprozesses der innovativen XRN-Technologie. Die bereits Anfang des Jahres vorgestellte Lösung von 3Com ermöglicht den Aufbau von skalierbaren und hoch verfügbaren Unternehmensnetzwerken.
XML Services
Der neue Content Manager Server
bietet nativen Support für das Management von XML-basierten Inhalten
und unterstützt auch XML Web Services. Damit werden die Schranken
von verschiedenen Entwicklungssprachen überwunden. Es gibt keine
Hindernisse mehr für die Integration
des Content Management Server in
heterogene Umgebungen. Mit dem
neuen XML Placeholder Object können Anwender XML-Inhalte erzeugen
und ablegen sowie Extensible
Stylesheet Language Transformation
(XSLT) Stylesheets und XML Schema Definition (XSD) verwenden. So
lassen sich Webanwendungen erzeugen, die effizienter mit anderen Systemen Daten austauschen und die
durch offene Standards flexibel für
zukünftige Einsatzmöglichkeiten
bleiben. Die erweiterten Möglichkeiten für das Content Management erlauben es, Web-Inhalte oder Funktionalitäten als Web Services bereitzustellen und verteilte Lösungen zu
entwickeln. Content Management
Server 2002 bietet erweiterte Unterstützung für das Microsoft .NET
Framework, XML Web Services und
die Integration mit Microsoft Office
und Visual Studio .NET.
D
Das Interconnect Kit besteht aus einem Interconnect Kabel und der Gigabit Multilayer Switching Software
Version 3.0. Zwei unabhängige CoreSwitches werden zu einer Distributed
Fabric zusammengeschlossen und
können in der Folge als eine logische
Einheit zentral verwaltet werden.
Neben der erhöhten Netzwerkverfügbarkeit profitieren Kunden vom
Schutz ihrer Investitionen durch die
flexible LAN-Infrastruktur. Zusätzlich garantiert der zugrunde liegende Pay-as-you-grow-Ansatz das
bedarfsabhängige Wachstum des
Unternehmensnetzwerks.
Erweiterungen
Das XRN Interconnect Kit von 3Com
kann leicht zusammen mit den festkonfigurierten Switches 4060, 4050
sowie der gesamten SuperStack 3
Switch 4900-Produktfamilie eingesetzt werden. Zwei unabhängige
Switches werden zu einer SwitchingEinheit auf Layer 2- und Layer 3-Ebe-
02
Ausgabe 02/2003
11
ne gekoppelt und können zentral verwaltet werden. Diese Einheit nutzt die
Leistung beider Switches und sorgt
somit für einen skalierbaren, leistungsstarken und hochverfügbaren
LAN Core. Die Auslieferung des neuen XRN Interconnect Kits geht einher mit der Erweiterung des 3ComPortfolios an Unternehmensprodukten, die konsequent auf Innovation, Praktikabilität und hohe Wertigkeit setzen. Das Feedback von
Beta-Kunden hinsichtlich des XRN
Interconnect Kits ist 3Com zufolge
durchweg positiv. Für die ausstehenden beiden Entwicklungsphasen der
XRN-Technologie plant 3Com die
Erhöhung der Anzahl koppelbarer
Switches sowie die Vergrößerung der
Distanz zwischen den verbundenen
Komponenten. Darüber hinaus wird
die XRN-Fabric von 1 auf 10 Gigabit
Ethernet skalierbar. 3Com setzt auf
eine langfristige und flexible Partnerschaft zu ihren Kunden, die durch
Skalierbarkeit und Netzwerkoptimierung gekennzeichnet ist.
n
NEWS
...Unerwünscht
Verbindungen zu 0900-Nummern:Die AVM
Sicherheitssoftware ISDN Watch schützt PC-Nutzer vor
unerwünschten Verbindungen zu den neuen 0900-Nummern. Anfang Januar 2003 starteten die neuen 0900er
Servicenummern, die bis zum Jahr 2005 die bisherige
0190 ablösen sollen. Die aktuelle Version von ISDN
Watch als Teil der FRITZ!-Software berücksichttigt diese Änderung bereits. Ein Update der Software ist daher
nicht nötig, lediglich die aktiven Einstellungen sollten
bei Bedarf aktualisiert werden. Mit ISDN Watch lassen
sich Anwahl und Rufannahme einzelner Rufnummern
wie auch die mit 0900 beginnenden Rufnummern sperren. Auf Systemen mit Benutzerverwaltung wie Windows
XP oder Windows 2000 können nur Anwender mit
Administratorrechten die Einstellungen ändern. Somit
lassen sich gesperrte Rufnummern nicht von
unautorisierten PC-Nutzern freischalten. Die
FRITZ!Software in der Version 3.03 einschließlich ISDN
Watch steht zum Download bereit. Optimalen Schutz
bietet ISDN Watch zusammen mit CAPI-Treibern ab der
Version 3.10.02, ebenfalls unter www.avm.de.
...Resistente Medien
Überlebensfähige Datenspeicher: Papier
ist geduldig, aber als Datenspeicher für die Ewigkeit so
wenig geeignet wie CDs oder Festplatten. Beruhigend
für die Nachwelt, daß amerikanische Forscher besonders
widerstandsfähige Bakterien als Informations-Träger
entdeckt haben. Sie konnten Daten - in Form von künstlicher DNA - in Bakterien speichern und wieder abrufen.
Die Forscher verwendeten dabei ihren Angaben zufolgebesonders widerstandsfähige Mikroben, die dreitausend
Mal mehr Strahlung aushalten als der Mensch. Der bakterielle Datenträger sei um das Tausendfache resistenter
gegen ionisierende Strahlung als jede andere Lebensform auf dem Planeten und auch besonders widerstandsfähig gegen Trockenheit und extreme Temperaturen.
Beunruhigend für die Nachwelt ist allenfalls, daß die
zum Backup benötigte Menschheit offensichtlich weniger resistent ist. Denn egal welche Informationen wir weitergeben wollen, nach heutiger Sicht ist es für alle Medien unverzichtbar, daß ihnen die geneigte Leserschaft
erhalten bleibt. Wer schreibt schon für Bakterien ?
NEWS
...Aufgewirbelt
Staub im Computerhirn:Auf der Suche nach
Technik-Trends und vermeintlichen Innovationen werden Wege beschritten, die wohl nur dem unbedarften
Laien abseitig scheinen. Entwicklungen wie intelligenter Staub oder Roboterratten sind zwar weit davon ent-
fernt, im Alltag eingesetzt zu werden. Doch glaubt man
Analysten von IDC, könnten sie eines Tages dieselbe
Bedeutung haben, die heute dem Mikroprozessor oder
der Computermaus zugesprochen wird. Das
Marktforschungsunternehmen hatte sich in Universitäten und Forschungseinrichtungen umgesehen und Entwicklungen gefunden, denen größte Aussichten auf eine
künftige Marktrelevanz bescheinigt werden könne. Dabei sei man sehr unorthodox vorgegangen. Unter anderem habe man eine Ratte ausgewählt, der Mitte 2002
Sensoren ins Hirn eingesetzt wurden, weil sie zeige, daß
sich Informationen zwischen Lebewesen und Computern austauschen lassen. Aufgewirbelt wurden die
Computerhirne auch von intelligentem Staub, sogenanntem Smart Dust. Er fungiert als Mini-Sensor für
schwer zugängliche Stellen und leitet gesammelte Informationen an Rechner weiter. Im Mikrokosmos sieht IDC
die kommenden Trends, bei winzigen, nur wenige Nanometer große Röhrchen und Maschinen, bei Quantencomputer, Grid Computing oder Mini-Transistoren, die
sich als Innovationen durchsetzen werden.
...Extrem
Illegale Internetseiten:Nach Internet-Analysen der Cobion AG ist eine drastische Zunahme extremistischer und illegaler Internetangebote zu verzeichnen. Der jährliche Anstieg wurde mit 30 Prozent beziffert.
Laut Cobion, dem Technologieführer im Markt für
Content Security Produkte, ist die Zahl der Internethosts,
die sich mit ungesetzlichen, extremen, rassistischen und
illegalen Internetseiten befassen, auf über 100.000 angestiegen. Das entspricht mehr als sechs Millionen einzelnen Internetseiten. Im Cobion-Rechenzentrum durchsuchen 1000 PCs das Internet permanent nach neuen Seiten. Täglich werden Bilder, Grafiken und Texte von
Internetangeboten vollautomatisch ausgewertet. Derzeit sind zwei Milliarden Internetseiten analysiert. Alle
potentiell unerwünschten Internet-Inhalte trägt Cobion
aus täglichen Analysen in ihre Filterdatenbank
OrangeFilter ein. Diese ist mit 14 Millionen Einträgen
die aktuellste, effektivste und leistungsfähigste InternetFilterliste weltweit. Seiten mit bedenklichem Inhalt
werden einer von 58 thematischen Kategorien zugeordnet. Zu diesen zählen Extremismus und illegale Aktivitäten, extreme Pornografie wie Nekrophilie oder Sodomie, Satanismus, Okkultismus und Vampirismus, aber
auch Suizidforen oder Seiten über Kannibalismus. Ferner werden Seiten, die Selbstmord oder Selbstverstümmelung propagieren oder Gewalt verherrlichen, einklassifiziert. Auch Aufrufe zu Mord oder Brandstiftung,
Bauanleitungen für Waffen, Bomben und gefährlichen
Gerätschaften sind einer Gruppe zugeordnet. Die FilterDatenbasis wird von Cobion AG in einem dynamischen
Verfahren täglich um bis zu 100.000 Neueinträge erweitert.
Ticker
02
Ausgabe 02/2003
12
...Schneller Zugriff
Content Networking:Cisco Systems hat ihr Portfolio von Content-Networking-Lösungen für Datenzentren um die Anwendung Cisco Global Site Selector
4480 und den Content Service Switch 11501 erweitert.
Darüber hinaus stellte Cisco mit BEA Systems und Siebel
Systems zwei zertifizierte Architekturen für ContentNetworking-Umgebungen vor. Mit den neuen Komponenten können Kunden virtuelle, verteilte Datenzentren
aufbauen, die die Bereitstellung geschäftskritischer
Anwendungen an alle Nutzer beschleunigen. Sie erhöhen die Verfügbarkeit des Netzwerks bei hoher Auslastung, bei Ausfällen einzelner Webseiten oder komplexen Web-Inhalten und verbessern die Qualität von Online-Diensten. Die Applikation GSS 4480 gleicht Datenverkehr zwischen verteilten Datenzentren ab. Sie fungiert als zentrale Kontrollinstanz und arbeitet mit den
Cisco Content Switches zusammen, um aktuelle Kontrollfunktionen des Domain Name System (DNS) herunterzuladen und Nutzeranfragen direkt an eine frei
verfügbare Ressource innerhalb der verteilten Struktur
eines Datenzentrums weiterzuleiten. Der CSS 11501
ermöglicht Switching in kleinen Applikations-ServerFarmen für die Unterstützung von Internet-, Intranet- und
Extranet-Nutzern. Er unterstützt mit der Kontroll-Software WebNS Unternehmen, die ein intelligentes Verkehrs-Management in kleinen Datenzentren zu einem
günstigen Preis benötigen. Zertifizierte Architekturen
von BEA Systems und Siebel Systems optimieren die
Anwendungs-Perfomance und Verfügbarkeit für eine
höhere Endnutzer-Produktivität.
eine Ethernet-Verbindung am Platz zur Verfügung. Die
Testphase auf der Strecke Frankfurt - Washington D.C.
dauert drei Monate. Die Lufthansa plant, die gesamte
Interkontinentalflotte in den nächsten zwei Jahren mit
Breitband-Verbindungen auszustatten.
...Unter Strom
UPS Rackmounts:APC bietet ab sofort eine Erweiterung ihrer unterbrechungsfreien Stromversorgungsproduktpalette Smart-UPS an. Die neuen Modelle SmartUPS Rackmount 1U bieten zahlreiche Zusatzfunktionen
bei geringerem Platzbedarf im Rack. Die neuen SmartUPS Rackmounts in einer Höheneinheit von nur 4,45 cm
sind mit 750 VA und 1000 VA verfügbar. Sie bieten zur
Kommunikation sowohl USB als auch serielle
Connectivity. Die USV bietet Stromschutz für Business
Critical Server in komplexen Stromschutzarchitekturen
für Blade Server, Appliance Server oder die neuen Itanium
2 basierenden Server im Rack. In Verbindung mit APC´s
PowerChute Business Edition können Administratoren
unterschiedliche Systeme sicher herunterfahren und die
unterbrechungsfreie Stromversorgungen für Server und
Workstations verwalten. Der in die USV integrierte
Erweiterungsschacht SmartSlot kann problemlos auf alle
APC Stromverwaltungsmodule zurückgreifen. Dies sind
Erweiterungskarten wie die Network Management Card,
die den Nutzer befähigt, die APC USV über Web, SNMP,
WAP, Telnet, DHCP und Syslog zu konfigurieren, zu
kontrollieren und zu überwachen. Neue Features der
Steckkarten umfassen Umgebungsüberwachung oder
Modem-Funktionalitäten ohne zusätzlichen SmartSlot
oder die speziellen Erweiterungsgehäuse.
...Funk ´n Flug
...Im Tunnel unterwegs
Breitband-Internet an Bord: Cisco Systems
bringt Netzwerk-Technologien ins Flugzeug. Die Lufthansa begann am 15. Januar auf dem Linienflug von
Frankfurt nach Washington D.C mit einer Testphase für
ein drahtloses breitbandiges Netzwerk an Bord einer
Boeing 747-400. Die Lösung ist die erste ihrer Art in der
Luftfahrtindustrie. Der Zugriff auf Daten ist mit einer
Übertragungsrate von bis zu 3 Mbps möglich, das Versenden mit einer Übertragungsrate von derzeit 128 Kbps,
die später auf 750 Kbit/s steigen sollen. Die Infrastruktur,
die eine Zwei-Wege-Daten-Verbindung zwischen dem
Flugzeug und dem Boden ermöglicht, liefert Connexion
by Boeing. Im Flugzeug waren fünf Access Points der
Cisco Aironet 350 Serie installiert, außerdem ein Cisco
3640 Router und neun Cisco Catalyst 3548 XL Switches.
Die Komponenten sind modifizierte Cisco-Standardgeräte, die von Lufthansa Technik auf ihre Flugtauglichkeit überprüft und nach den gültigen Luftfahrtregularien
zertifiziert wurden. Sie unterstützen drahtlose Verbindungen nach dem 802.11b-Standard. Zusätzlich steht
VPN-Sicherheit für Pocket PC: Check Point
VPN-1 SecureClient ist ab jetzt Teil der Begleit-CD zum
HP iPAQ h5450. Die Software ermöglicht Anwendern
dieses Pocket PCs den sicheren, ortsunabhängigen Zugriff auf Ressourcen im Unternehmensnetzwerk. Durch
die enge Zusammenarbeit von Check Point und HP
haben Kunden die Möglichkeit, eine vollständige VPNSicherheitsinfrastruktur auf Basis von HP-Plattformen
und Check Point Lösungen zu implementieren. VPN-1
SecureClient verbindet eine zentral administrierbare
Personal Firewall mit VPN-Konnektivität. Durch diesen
einzigartigen Ansatz stellt Check Point sicher, daß mobile Geräte den gleichen hohen Sicherheitsstandards
entsprechen, die auch im Unternehmensnetz gelten. iPAQ
h5450 Anwendern steht die Software von Check Point
auf der HP Begleit-CD direkt zur Verfügung. Ziel der
verstärkten Zusammenarbeit von Check Point und Hewlett-Packard ist die Bereitstellung nahtloser und flexibler Sicherheitslösungen bis hin zu mobilen Geräten.
02
Ausgabe 02/2003
13
thema des monats
VERÄSTELT
Aus reifem Holz geschnitzt
Teil 1: Vom Spanning Tree zum Rapid STP 802.1w
Von Markus Thelen
E
Es knackt im Geäst
des guten alten
Spanning Tree.
STP ist alt geworden. Es ist schneller Konvergenz, die
nicht nur Voice
oder Video over IP
von ihm fordern,
nicht mehr gewachsen. Mit dem
Standard 802.1w
wurde daher das
Rapid STP verabschiedet. Geschnitzt aus reifem,
alten Holz vom
Baum der Erkenntnis, daß ein schnelles, fest verwurzeltes Protokoll sich
den Datenstürmen
beugen muß, um
stand zu halten.
02
Ausgabe 02/2003
14
Voice over IP, VPN und Security sind
im Moment allgegenwärtige Themen. Zwar haben wir verstanden, daß
die wichtigste Grundlage für all diese neuen Dienste und Anwendungen
eine zuverlässige Netzwerk-Infrastruktur ist, nutzen Bandbreiten von
1 Gbps und mehr und legen unsere
Netzwerke redundant aus, doch
manch einer hat vergessen, daß im
Layer 2 nach wie vor ein Protokoll
arbeitet, das ein komplettes Netzwerk
bis zu fünfzig Sekunden komplett
außer Gefecht setzen kann. Die Rede
ist von Spanning Tree.
STP ist alt geworden und hält den
heutigen Forderungen nach schneller Konvergenz nicht mehr stand.
Schon im Jahr 1990 formulierte die
IEEE ein erstes Mal den Standard
802.1d, der es bis zur letzten 1998er
Version auf stattliche 373 Seiten
brachte. Bedarf nach einem schneller
konvergierenden Protokoll war also
schon lange da. Kürzlich verabschiedete das Gremium mit dem Standard
802.1w das ausgefeilte Rapid STP,
einen Beschleuniger, der als Weiterentwicklung des 802.1D nun die Netzwerke erobern soll. Uns stellt sich also
die Frage, wo liegen die Unterschiede und wie lassen sich die Vorteile
nutzen? Wir werden uns deshalb zuerst ausgiebig mit der Logik und Arbeitsweise des STP beschäftigen, um
uns dann den Vorzügen des Rapid
STP zuzuwenden. Denn viele Begriffe sind beibehalten worden, vor allem das Ziel, mittels Berechnung einer Baumstruktur für ein schleifenfreies Netz zu sorgen. Ein mit STP
oder RSTP berechneter Baum sieht
vollkommen gleich aus. Doch optimiert RSTP diese Prozesse durch rationellere Definitionen und ausgeklügelte Algorithmen, das Verfahren
ist wesentlich effizienter.
Good old STP
Schauen wir uns also - gleichsam im
Rückblick - die Vorgehensweise des
”guten alten” 802.1d Spanning Trees
an. Generelles Ziel des Protokolls ist
es, für ein redundantes, dabei
schleifenfreies Netz auf Layer 2 zu
sorgen. Denn Schleifen sind der Tod
für ein geswitchtes Netz. Die Gefahren wollen wir anhand des in Abbildung 1 dargestellten kleinen Netzwerkes näher betrachten. Sie finden
in anderen Diskussionen zu diesem
Thema häufig die Darstellung, daß
sich die LANs zwischen den Bridges
befinden. Dem war ja ”früher” auch
so. Da dies in heutigen Netzen aber
eigentlich nicht mehr von Interesse
ist, wollen wir im folgenden ein rein
geswitchtes Netz betrachten, gerade
auch im Hinblick auf den Einsatz von
Virtuellen LANs. Wir wollen den Verästelungen des Spanning Tree folgen
und die Knackpunkte und Arbeitsweise des Protokolls am konkreten
Beispiel verdeutlichen. Ohne weitere Vorkehrungen ergäben sich in dem
zweifellos überschaubaren Aufbau in
Abbildung 1 bereits die ersten Probleme.
Broadcast Storms
(4), schließlich muß ein empfangener Broadcast auf allen Ports ausgegeben werden. So erreicht der Frame
dann auch Switch 3, der ihn zur Station C schickt und, wie es sich gehört,
zu Switch 1 (5). Damit ist der
Broadcast wieder am Beginn seiner
Reise und dreht folglich ”eine neue
Runde”. Was für diesen, sozusagen
gegen den Uhrzeigersinn kreisenden
Frame gilt, gilt konsequenterweise
auch für den Frame, der ganz zu Anfang von Switch 1 zu 3 gesendet wurde. Er kreist im Uhrzeigersinn im
Netzwerk umher. Es wird schnell ersichtlich, daß ein Broadcast auf diese Art ”ewig” in unserm Netz kursieren und es auf Dauer ersticken würde.
Es gibt im LLC-Header auch keinen
Zähler vergleichbar zum Layer 3
”Time-to-live”, der den Frame irgendwann für ”tot” erklären und verwerfen würde.
MAC Address Table
Was einen Switch ausmacht, ist seine
Fähigkeit, die MAC-Adressen sendender Stationen mitlesen zu können
und diese in einer Tabelle seinen
Zu den prinzipiellen Aufgaben eines
Switches gehört es, empfangene Broadcast Frames
auf allen angeschlosse- Abb. 1: An diesem Netz wollen wir unsere Betrachtungen zum
nen Ports wieder auszuge- STP und RSTP vornehmen.
ben. Sendet, wie in Abbildung 2 dargestellt, die
Station A einen solchen
Broadcast aus (1), so wird
Bridge 1 diesen also an 2
und 3 weitergeben (2).
Verfolgen wir den Frame
weiter, der gerade an
Switch 2 angekommen ist,
so wird er in unserem Beispiel an Station B und an
die Switches 4 und 5 geschickt (3). Damit erhalten
dann in (4) auch die Stationen D und E den
Broadcast. Switch 5 sieht
sich natürlich genauso in
der Pflicht, den Frame zu
Bridge 3 weiterzuleiten
02
Ausgabe 02/2003
15
thema des monats
Cajun Multiservice-Switches
Bandbreitenerweiterung mit Zukunft
Die AVAYA Cajun-Multiservice-Netzwerke basieren auf der SAFER-Technologie,
der Switch Architecture For Extreme Resiliency. AVAYA´s innovative Hochverfügbarkeitsarchitektur sorgt für ein fehlertolerantes Switching auf höchstem
Niveau. Laufend werden neue Standards und Security-Funktionen wie IEEE
802.1x, SSL und SSH in die Cajun-Produkte integriert. Mit der Bandbreitenerweiterung durch die Einführung von 10Gigabit-Modulen wurden weitere Verbesserungen der bestehenden Algorithmen umgesetzt, beispielsweise durch
das schnelle Konvergenzverfahren, welches die Rapid Reconfiguration of
Spanning Tree Protokoll (RSTP) nach IEEE 802.1w bietet.
Schnelle Konvergenz
Gerade bei Erweiterungen existierender Standards, wie etwa beim Übergang
von STP nach IEEE 802.1d zu RSTP nach IEEE 802.1w, wird besonderes Augenmerk auf die Homogenität der bisherigen Konfiguration gelegt. Eine Änderung der Netzinfrastruktur ist bei AVAYA deshalb nicht notwendig. Die Geräte
erkennen selbständig, ob angebundene Systeme RSTP unterstützen. Diese
Funktionen werden von den Produkten der Cajun Serie durchgängig unterstützt.
Deren High-Speed-Multilayer-Switches P130, P330, P580 und P882 zeichnen
sich durch ihre herausragende Leistungsfähigkeit und hochperformanten
Systemfunktionen aus.
Multi-Layer-Switches
Bereits in den Basisversionen ermöglichen die modularen AVAYA Cajun-Switches
den Aufbau von Netzwerken, die Sprach-, Video- und Datenanwendungen gemeinsam auf einer Infrastruktur mit höchsten Qualitätsansprüchen bereitstellen. Die Palette umfaßt flexible Systeme für unterschiedliche Konfigurationen zu
einem ausgezeichneten Preis-/ Leistungsverhältnis. Die P130 Serie basiert auf
einem kosteneffizienten Layer-2 Switch, der sich durch die Anzahl der möglichen Ports und entsprechende Performance für die Workgroup empfiehlt, als
Einzelkomponente oder Erweiterungseinheit im Stack betrieben. Das stapelbare System P330 bietet hochleistungsfähige Multi-Layer-Switches für große
Port-Dichte und höchste Ansprüche an Qualität und
Funktionalität
Multiservice-Switches
Der Multiservice-Routing-Switch P580 ist ein multilayerfähiges Hochleistungs-Ethernet-Switching-System für
eine Gigabit-skalierte Campus-Vernetzung. Ein kompaktes Chassis und sechs E/A-Module ermöglichen
das Switching auf Schicht 2 sowie das IP- und IPXRouting auf Schicht 3, mit Störungsausgleich und
Fehlertoleranz. Als hochleistungsfähiger GigabitEthernet-Backbone-Switch gewährleistet der P882 Spitzenleistungen für Multiservice-Netzwerke und die Gewißheit, daß die heute installierte Infrastruktur auch in
Zukunft die End-to-End-QoS liefert, die verzögerungssensitiver Datenverkehr erfordert.
Ports zuzuordnen. Nur daraufhin ist
ein gezieltes Frame-Forwarding möglich. In der Praxis ist es denn auch
wirklich das allererste, was ein Switch
mit einem empfangenen Frame
macht, er lernt die MAC-Adresse der
sendenden Station und trägt den
Tupel MAC-Adresse X= Port Y in seine MAC-Adreßtabelle ein. Üblicherweise behält der Switch diesen Eintrag 5 Minuten bei, selbst wenn die
Station ab jetzt keinen Frame mehr
sendet. Empfängt die Bridge einen
Frame einer bereits bekannten Station, resettet sie jedesmal den laufenden Timer dieses Tupels.
Es kann selbstverständlich auch sein,
daß sich ein Switch mehrere MACAdressen auf einem einzigen Port einträgt. Immerhin könnte an diesem Port
ein Hub oder Switch angeschlossen
sein, oder es handelt sich gar um den
aktiven Uplink-Port des Switches.
Auch hier ist STP essentiell.
Ein Frame wird nie auf dem Port
ausgegeben, über den er erhalten wurde.
Inkonsistenz
Schauen wir uns dies wieder in unserem Beispiel an. Kurz nach dem Einschalten hat noch keiner der fünf
Switches eine MAC-Adresse einer
Station gelernt. Nun sendet Station A
einen Unicast an Station E, woraufhin sich also Switch 1 die MACAdresse von A auf Port 1 einträgt und
anschließend den Frame auf den Ports
2 und 5 aussendet, da er (noch) keine
Ahnung hat, über welchen seiner
Ports die Station E zu erreichen ist.
Jetzt erhalten auch Switch 2 und 3
diesen Frame und tragen sich zuerst
ebenfalls die MAC-Adresse von A jeweils auf dem Port ein, auf dem sie
den Unicast gerade erhalten haben.
Sie wissen im Umkehrschluß ab jetzt,
über welchen Port Station A erreich-
02
Ausgabe 02/2003
16
bar ist. Beide Switches 2 und 3 haben
jedoch noch nie von Station E gehört und müssen folglich den Frame
wieder auf allen Ports ausgeben.
Damit lernt nun Switch 5 von zwei
Quellen über eine Station A. Auf welchen Port soll er sich die MAC-Adresse von A eintragen? Da die beiden
Frames nicht absolut gleichzeitig
beim Switch 5 eintreffen, wird er die
aktuellste Information über Station A
- also den zuletzt erhaltenen Frame in seine MAC-Adreßtabelle eintragen. Er selbst hat aber auch noch keinen Frame von E empfangen und sendet daraufhin den Unicast wiederum
auf allen Ports aus. Der Frame erreicht
nun erneut die Switches 2 und 3, die
nun ihre alte Information über Station A verwerfen und stattdessen deren
MAC-Adresse jeweils auf dem Port
eintragen, auf dem sie gerade den
Frame erhalten haben. Sie haben also
gelernt, daß sie Station A erreichen,
indem sie alle Frames für diese Station auf den Link zu Switch 5 hinausschicken - und das ist natürlich falsch.
Die MAC-Adreßta bellen der
Switches werden durch die Schleife
im Netz falsch aufgebaut.
Mehrfachkopien
Auf Layer 2 gibt es im Ethernet kein
Verfahren, die zu sendenden Frames
”durchzunumerieren”. Somit besteht
keine Kontrolle von empfangenen
Frames auf der Empfängerseite und
keine Möglichkeit, doppelt erhaltene Frames zu verwerfen. Wenn nicht
darüber liegende Layer dies überwachen, könnten Applikationen mit
doppelt erhaltenen Frames Probleme
bekommen. Schauen wir uns das wieder am Beispiel an.Angenommen, die
Switches seien gerade wieder eingeschaltet worden, und keiner habe eine
MAC-Adresse einer Station gelernt.
Nun möchte Station A einen UnicastFrame an B senden. Switch 1 erhält
den Frame und leitet ihn aufgrund der
leeren MAC-Adreßtabelle auf allen
Ports weiter. Damit erreicht der Frame
nun auch Switch 2, der diesen wieder
aufgrund einer leer en MACAdreßtabelle auf allen Ports weitergibt. Der Frame gelangt nun bereits
ein erstes Mal an die Station B. Dagegen läuft der Frame, der von Switch
1 an 3 geschickt wurde, weiter durch
das Netz. Er erreicht Switch 5, der ihn
aufgrund seiner ebenfalls leeren
MAC-Tabelle wieder auf allen Ports
weiterleitet. Sie ahnen es schon. Der
Frame erreicht erneut Switch 2, der
den Frame also jetzt ein zweites Mal
an die Station B leitet. Dies muß kein
Problem darstellen, immerhin gibt es
noch weitere Layer im OSI-Modell,
die sich darum kümmern könnten.
Aber definitiv wird das Netzwerk mit
unnötigem Traffic belastet. Und daran ändert auch ein darüber liegender
Layer nichts.
Baumstruktur
den übrigen Bridges ausgewertet und
um ihre eigenen Informationen erweitert, wiederum an die an sie angeschlossenen Switches ”nach unten”
weitergeleitet werden. Ein Switch
wird also erst bei Erhalt eines BPDUs
dazu veranlaßt, selbst ein BPDU zu
generieren und es max. 2 Sekunden
später auszusenden. Beim Einschalten geht zunächst einmal jeder Switch
davon aus, er selbst sei Root-Bridge
und sendet eigene BPDUs. Gleichzeitig hört er aber auch bereits auf eintreffende BPDUs und entscheidet anhand einer Bridge-ID, ob und wo es
vielleicht bereits eine Wurzel zur
Berechnung seiner Topologie gibt.
Root-Bridge
Diese Bridge-ID setzt sich zusammen
aus der MAC-Adresse eines jeden
Switches und einer vorangestellten
Priorität, die im Auslieferungszustand
aller Geräte auf hexadezimal 8000
eingestellt ist, aber verändert werden
kann. Je kleiner dieser Wert, desto
höher die Priorität. Bei gleicher Priorität entscheidet also die MAC-Adresse des Switches: je ”kleiner”, desto
Die Probleme wären behoben, wenn
STP eigenständig und dynamisch einen Link zwischen den vier Switches
1,2,3 und 5 ”abschalten” könnte. Die
Schleife wäre unterbrochen, es gäbe
für Frames nur noch einen ein-eindeutigen Weg zwischen allen
Stationen. Um dies zu gewährleisten, geht STP an Abb. 2: Ein von Station A gesendeter Broadcast läuft endlos
durch das Netz. Man spricht von einem Broadcaststorm.
die Wurzeln des Übels
und berechnet ausgehend
von einem Switch, der sogenannten Root-Bridge,
eine Baumstruktur, die
alle Switches überspannt,
und dem Protokoll seinen
Name gibt.
BPDU
Damit die Switches die
Topologie des Netzwerks
kennenlernen können,
versendet die Root-Bridge defaultmäßig alle 2 Sekunden sogenannte Bridge Protokoll Data Units
(BPDU). Das sind kleine
Multicast-Frames, die von
02
Ausgabe 02/2003
17
thema des monats
Catalyst High Performance
Switches for Voice, Video and integrated Data
Alle Switches der Cisco Catalyst Serie nutzen zur Minimierung von Ausfallzeiten
und zur Erhöhung der Betriebszeit den Rapid Spanning Tree Algorithmus nach
IEEE 802.1w. Die Catalyst Serie bietet hochperformante Switching-Lösungen
gerade auch dort, wo Netzwerke auf integrierte Sprach-, Video- und Datenanwendungen vorbereitet werden.
Leitungsgeschwindigkeit
Der Catalyst 2950SX-24 z.B. ist ein Standalone-Switch mit Festkonfiguration,
der neben 24 10/100-Ports über zwei zusätzliche 1000BASE-SX Fibre Ports
verfügt. Er ist über die Cisco Cluster Management Suite einfach zu installieren,
ein web-basiertes Management-Tool, das zur Konfiguration und Fehlerbehebung
von bis zu 16 Catalysts unter einer einzigen IP-Adresse dient. High-SpeedDatenverkehr und Wire-Speed-Performance läßt sich an allen Ports realisieren.
Sprache, Video und Daten
Der neue Cisco Catalyst 3550-24 PWR mit Layer 3/4-Diensten sorgt für leistungsstarkes IP-Routing von der Desktop-Umgebung bis zum Backbone. Er
bietet sich als Lösung an, wo integrierte Sprach-, Video- und Datenanwendungen
gefragt sind, um neben dem reinen Datenverkehr auch Voice-Optionen zu übernehmen. Der Multilayer Switch verfügt über 24 10/100-Ports und zwei eingebaute Gigabit Ethernet-Slots. Die integrierte Inline-Stromversorgung liefert
Gleichstromspannung an alle Geräte, die Spannung über herkömmliche UTPKabel aufnehmen können, wie etwa die Cisco 7900-IP-Telefon-Familie oder
die Aironet Access-Points der Serie350.
Next Generation
Die Cisco Catalyst 4500 Familie beinhaltet drei neue Chassis. Catalyst 4503
mit 3 Slots, Catalyst 4506 mit 6 und Catalyst 4507R mit 7 Slots. Alle drei unterstützen die neue Supervisor Engine IV mit integriertem non-blocking Layer 2/3/
4 Switching. Diese Elastizität ermöglicht eine Redundanz der Supervisor Engine
des Catalyst 4507R mit Supervisor IV. Mit intergrieter In-Line Power für IPTelefonie, softwarebasierender Fault Tolerance und Power Supply Redundanz
stellt er eine Key Komponente mit für die Cisco Architekture for Voice, Video and
integrated Data dar. Auch die Modelle der Catalyst 6500 Serie sind Multilayer
Switches, die nach dem OSI-Modell Layer 2, 3 und 4 unterstützen. Layer 4
Switches können höhere Informationen aus dem Datenpaket auslesen und
beispielsweise Applikationen nach UDP- oder TCP-Portnummern erkennen,
für intelligente QoS-Steuerung und Priorisierung des Datenverkehrs. Ein Zusatzmodul für die Line Card unterstützt die Stromversorgung gemäß dem IEEE
802.3af Inline-Power-Standard. Die Switches liefern damit integriertes Powerover-Ethernet für den Einsatz von Wireless Access Points und für IP-Telefone.
Fragen zu RSTP und den Cisco Catalyst Switches beantwortet das Business Team Cisco bei Compu-Shack
unter 02631/983-445 oder auf
E-Mail-Anfrage an sales-cisco.compushack.com.
höher die Priorität. Es macht Sinn, die
Entscheidung, ”wer wird Root-Bridge”, nicht den Switches zu überlassen, sondern aktiv Prioritäten zu setzen. Wählen Sie einen Switch, der
möglichst zentral liegt, nicht ständig
rebootet wird und leistungsfähig ist.
Jeder der übrigen Switches kann nun
mit Hilfe der von der Root gesendeten BPDUs einen Weg zu dieser Wurzel bestimmen. Gibt es mehrere Wege,
werden die ”schlechteren” eben abgeschaltet, indem der Port in den sogenannten Blocking State übergeführt wird. Um diese Wege überhaupt beurteilen zu können, werden
die Pfadkosten auf den Links zur
Root aufsummiert (es gilt Tabelle1).
Forwarding
Um selbst einzelne Ports untereinander bewerten zu können, ist eine PortPriority definiert. Angenommen, zwischen zwei Switches sind zwei Verbindungen gesteckt. Dann entscheidet diese Port-Priority darüber, welcher Port in den Blocking-State übergeht. Auch hier gilt: Je kleiner die
Port-ID, desto höher die Priorität. Natürlich kann auch dies per Konfiguration geändert werden.
Bei der Root-Bridge hingegen gilt
stets, daß sie alle Ports im Forwarding
State hat. Ports, an die weitere Segmente - in weitesten Sinne also ein
weiterer Teil des Netzwerks, konkret:
ein Switch - angeschlossen sind, bezeichnet man allgemein als
Designated Ports, denn sie sind sozu-
Tabelle 1
Ethernet
FastEthernet
GigabitEthernet
10GigabitEthernet
”alte” Norm
100
10
1
1
aktuell
100
19
4
2
Tabelle 1: Mit zunehmender Bandbreite
wurden die Pfadkosten bereits in 802.1d an
aktuelle Netzwerke angepaßt.
02
Ausgabe 02/2003
18
sagen ”dazu ernannt”, in das an sie
angeschlossene Segment Frames zu
forwarden.
Schauen wir uns wieder im Beispiel
an, wie sich der oben beschriebene
Algorithmus in unserem Netzwerk
auswirkt. Wir haben Switch 1 mit Hilfe der Priorität gezielt zur Root-Bridge ernannt. Dank der BPDUs der Root
wissen die Switches 2 und 3 nach spätestens 2 Sekunden, daß Switch 1 eine
niedrigere Bridge-ID besitzt, als sie
selbst. Somit ist für sie Switch 1 die
Root und beide merken sich schon
mal vor, den jeweils zur Root-Bridge
zweigenden Port in den ForwardingState zu schalten.
Den Port eines Switches, der den
besten Pfad zur Root-Bridge hat,
nennt man Root-Port.
Listening-State
Standardmäßig sind Switches so konfiguriert, daß sie auf einem Port nach
”Link up” erst einmal 15 Sekunden
lang ausschließlich BPDUs empfangen und auswerten, alle übrigen auf
diesem Port empfangenen oder zu
sendenden Frames werden verworfen.
15 Sekunden heißt, daß eine RootBridge bei der standardmäßig verwendeten Hello-Time von 2 Sekunden bis zu sieben Switches entfernt
sein kann und ihre BPDUs trotzdem
garantiert beim letzten Switch ankommen, bevor irgendein Port eines
Switches forwardet. Diese Phase
nennt man Listening-State. Die
Switches 2 und 3 haben sich ja aufgrund des von der Root erhaltenen
BPDU bereits für ihren Root-Port entschieden. Beide schicken nun,
getriggert durch den Erhalt der RootInformationen, nach spätestens 2 Sekunden ihre ”eigenen” BPDUs mit
den zusätzlichen Pfadkosten von 19
auf den übrigen Ports weiter. Switch
2 schickt also an 4 und 5, Switch 3 an
Switch 5. Für Switch 4 ist die Entscheidung, wie er die Root des
geswitchten Netzwerks erreicht, einfach. Ihm bleibt nur ein einziger Port.
Anders jedoch Switch 5, dessen
Spanning-Tree Alg orithmus nun
ebenfalls einen (!) Root-Port bestimmen muß. Der übrige Port muß dann
zwangsläufig in den Blocking-State
übergehen. Der Algorithmus bestimmt aufgrund der Port-Priority,
Port 3 von Switch 5 werde zum RootPort. Also muß Port 6 in den BlockingState gebracht werden.
Learning-Phase
die Root-Bridge eines Netzwerks
down geht. Schauen wir uns dazu
Switch 5 an. Switch 1 sei so konfiguriert, daß er Root-Bridge ist, auf
Switch 3 sei die nächstkleinste Bridge-ID konfiguriert, er ist die sogenannte Backup-Root. Der STP-Algorithmus hat Port 3 auf Bridge 5 zum
Root-Port ernannt und Port 6 in den
Blocking-State geschaltet. Schalten
wir nun die Root-Bridge 1 ab, dauert
es insgesamt fünfzig Sekunden, bis
Port 6 an Switch 5 Frames forwardet.
Fast eine Minute vergeht also, bis das
daran befindliche Segment bzw. sämtliche Stationen an Switch 3 wieder
Zugang zum übrigen Netz haben.
Dank der Philosophie, daß eine RootBridge eben sieben Switches entfernt
sein darf, toleriert Switch 5 also insgesamt 14 Sekunden, die zwischen
dem Versand einer BPDU aus der Root
und dem Eintreffen beim Switch verstreichen dürfen. Nun wird er nicht
gleich aufgrund einer einzigen fehlenden BPDU eine neue Topologie
berechnen. Er akzeptiert drei fehlende BPDUs, ergo weitere 6 Sekunden.
Erst jetzt, nach 20 Sekunden - der
Standard nennt diesen Timer
MaxAge - schaltet er seinen bis dato
Dies alles geschieht sehr schnell.
Unser Netzwerk ist bereits nach kurzer Zeit, genau genommen nach maximal 4 Sekunden, kurz nachdem alle
BPDUs zugestellt worden sind, konvergiert. Es sieht jetzt wie in Abbildung 3 dargestellt aus. Trotzdem vergehen dank der bei 802.1d recht ”konservativen” Timer, weitere 11 Sekunden, in denen wirklich nicht viel passiert. Der Zeitraum ist wie gesagt nur
dazu da, um zu garantieren, daß selbst
für eine sieben Switches entfernte
Root genügend Zeit bleibt, ihr BPDU
”zuzustellen”. Doch selbst
nach dieser 15 Sekunden Abb. 3: Das Netzwerk ist konvergiert. Es gibt für die Frames der
langen Listening-Phase Stationen nur noch einen eindeutigen Weg durch das Netz.
geht der Port noch nicht
ins Forwarding über. Statt
dessen tritt er nun für weitere 15 Sekunden in die
sogenannte Learning-Phase ein, in der nach wie vor
keine Frames weitergeleitet werden. Zumindest
aber die darin enthaltenen
Absende-MAC-Adressen
empfangener Frames werden mitgelesen und in die
Switch-interne MACAdreßtabelle eingetragen.
Bridge down
Der ”schlimmste” Fall im
Spanning Tree ist der, daß
02
Ausgabe 02/2003
19
thema des monats
HP Procurve Switches
Durchsatzstärke und Ausfallsicherheit
Die HP Procurve Switches 5300, 4100, 6108 und 2650 belegen das Bestreben
von HP, modernste Netzwerktechnologien zu äußerst attraktiven Preisen zum
Anwender zu bringen. Alle diese Switches haben neben den bekannten HPMerkmalen wie hohem Durchsatz, umfangreicher Ausstattung und günstigsten
Pro-Port-Preisen auch schon das Zukunfts-Feature Rapid Spanning Tree nach
IEEE802.1w implementiert.
Downtime down
Spanning Tree sucht beim Ausfall eines präferierten Links als Alternative den
zweitbesten Weg zum ursprünglichen Ziel. Rapid Spanning Tree macht genau
dasselbe, jedoch mit einer wesentlich höheren Geschwindigkeit. Um die Ausfallzeiten auf höchstens eine Sekunde zu minimalisieren und die Netzwerksbetriebszeit zu erhöhen, nutzen die HP-Switches 4104 und 4108 wie auch die
Modelle 5304 und 5308 Rapid Spanning Tree nach IEEE 802.1w. Hohe Durchsatzgeschwindigkeiten, umfangreiche Konfigurationsmöglichkeiten - bei 41xx
im Layer 2, bei 53xx im Layer 3 - sind Garanten für sicheres Arbeiten mit der
sprichwörtlichen HP-Qualität. Beide Gerätereihen eignen sich für mittlere bis
große Umgebungen, ob als reine Gigabit-Switches für Serverfarmen, oder als
zentrale Switches für bis zu 192 10/100er-Workstations wie bei den 8-ModulGeräten. Beide Gerätereihen haben eine Führungsrolle in ihrem Marktsegment
übernommen, nicht zuletzt durch die hohe Flexibilität ihrer Netzwerkmodule, die
seit dem 1.1.2003 abermals erweitert wurden.
Neueste Procurve Switches
Zu den neuesten HP Procurve Geräten zählt u.a. auch der 6108. Dieser HighPerformance Switch hat sechs feste 10/100/1000-Ports und zwei DualPersonality-Ports, die für Gigabit-Kupfer wie auch als GBIC-Uplinks für GigabitFiber verwendet werden können. Durch eine Backplane-Geschwindigkeit von
16 Gbps wird er höchsten Anforderung in Netzwerken gerecht, wo ein Backbone
Switch für die Server verlangt wird. Ebenfalls neu ist der HP Procurve 2650 mit 48
Ports für 10/100 und zwei Dual-Personality-Ports. Bei einer Bauhöhe von nur
einer Höheneinheit weist er branchenweit die höchste Portdichte in nur einer HE
auf. Für mittelgroße Netzwerke, die z.B. über zwei Server und eine hohe Anzahl
Workstations verfügen, sorgt dieser Switch mit einer Backplane-Geschwindigkeit von 13,6 Gbps für zügigen Durchsatz. Unterstützt wird dies durch eine
blockierungsfreie Wire-Speed-Architektur für Durchsatz mit einer niedrigen Latenzzeit. Dazu paßt, daß der HP Procurve 2650 wie auch der 6108 RSTP nach
802.1w realisieren.
Über die besondern Merkmale und Vorzüge der HP Procurve Switches mit Rapid
Spanning Tree informiert Sie das Compu-Shack Team PM-Server-Networking,
telefonisch unter 02631 / 983 455 oder auf E-Mail-Anfrage an: [email protected].
im Blocking befindlichen Port 6 in
den Listening-State. Inklusive der
jetzt folgenden Listening- und
Learning-Phasen kommen die 50 Sekunden zustande, bis Port 6 im
Forwarding-State ist. Allgemein läßt
sich dieser Algorithmus mit dem in
Abbildung 4 dargestellten Flußplan
darstellen.
Für eine Vielzahl von Ports kann man
diese lange Zeit jedoch erheblich
verkürzen. Verallgemeinernd gilt die
Aussage, daß STP für jeden Port überprüft, ob er zu einer Schleife im Netz
führen würde. Dies kann aber doch
für alle Ports, an denen lediglich eine
Workstation oder ein Server angeschlossen ist, prinzipiell ausgeschlossen werden. Also macht es Sinn, diese Ports aus der Betrachtung des STP
herauszunehmen. Das bedeutet, die
Ports gehen nach dem Ereignis Link
Up augenblicklich in den Forwarding-Zustand und verkürzen damit
die Out-Time von 30 auf 0 Sekunden. Cisco bietet hierzu das Feature
Portfast, bei dem STP nicht abgeschaltet, Frames jedoch ebenfalls
direkt geforwardet werden. Der Port
sendet auf jeden Fall immer noch alle
2 Sekunden BPDUs und berichtet
eine Topologie Change Notification
(TCN) an seine Root.
Topologie-Change
Der Standard 802.1d definiert ein Topologie-Change-Verfahren. Vereinfacht gesagt tritt ein Topologie Change dann ein, wenn ein im ForwardingState befindlicher Port in den
Blocking-State übergeht oder umgekehrt. Der Switch, der diesen Topologie Change erkennt, schickt dazu eine
Topologie Change Notification
(TCN) auf seinem Root-Port hinaus,
um der Root-Bridge die Änderung
mitzuteilen. Eine TCN ist nichts anderes als ein BPDU, in dem ein entsprechendes Bit gesetzt ist. Jeder
Switch auf dem Weg zur Root schickt
bei Erhalt des Frames sofort ein
02
Ausgabe 02/2003
20
Acknowledgement zurück, um den
Empfang des ganz speziellen Frames
zu bestätigen und gibt es selbst auf
seinem eigenen Root-Port weiter. (vgl.
Abb. 5) Einmal beim Root-Switch angekommen, wird diese als Kopf des
ganzen Netzwerks diesen TopologieChange nun über eine Zeit von
Max_Age + For-warding_delay (üblicherweise also 35 Sekunden) ins
gesamte Netz hinein schicken, um
alle Switches zu informieren (vgl.
Abb. 6) Wozu das Ganze? Wir haben
weiter oben erwähnt, daß die Switches
einen Timer von 300 Sekunden haben, nach dessen Ablauf erst ein Eintrag einer MAC-Adresse aus der MACAdreß-tabelle entfernt wird. Würde
sich die Topologie unseres Netzwerks
ändern, würde Spanning Tree also einen neuen Baum über die Switches
spannen. Aber das allein reicht nicht
für eine schnelle Konvergenz des Netzes. Schauen wir uns das in einem Beispiel an.
Aging-Timer
STP habe in einem Netzwerk für den
in Abbildung 3 dargestellten Aufbau
gesorgt. Die Kommunikation zwischen C nach E verläuft über Bridge
1 und 2. Switch 5 hat die MAC-Adresse von Station C auf Port 3 gelernt.
Switch 3 weiß Station E über seinen
Port 2 zu erreichen. Nehmen wir nun
an, der Link zwischen Switch 1 und 2
ginge down. STP hätte innerhalb von
30 Sekunden eine neue Topologie
gefunden und den Port 6 von Bridge
5 vom Blocking in den Forwarding
State umgeschaltet. Trotzdem könnten die Stationen E und C für insgesamt 5 Minuten nach wie vor nicht
miteinander kommunizieren. Denn
ein Frame, der von Station E nach Station C geschickt werden soll, würde
aufgrund der Informationen der MACAdreßtabelle von Switch 5 weiterhin
auf Port 3 ausgegeben werden. Switch
2 wird diesen Frame nun verwerfen,
da er keinen Pfad mehr zu Station C
hat. Umgekehrt wird ein Frame, den
Station C an E schicken will, von
chen ausgeführt. (vgl. Abb. 7) OffenSwitch 3 aufgrund seiner MAC- sichtlich entstünde jetzt in VLAN 1
Adreßtabelle weiterhin
auf Port 2 ausgegeben, Abb. 4: Jeder Port durchläuft in 802.1d mindestens einmal die
Das führt dazu, daß dargestellten Phasen.
Switch 1 diesen Frame erhält und verwirft, da kein
Pfad mehr zu Station E
vorhanden ist. Erst nach
fünf Minuten, wenn auf
Switch 3 und 5 die Timer
für die MAC-Adressen der
Stationen C bzw. E abgelaufen sind, wird der nächste Frame geflooded und
ein k orrekter MACAdreßtabelleneintrag ermöglicht. Das Problem ist
also der zu lange Timer der
Abb. 5: Switch ”B” stellt eine Änderung eines Ports fest und muß
MAC-Adreßtabelle.
Für Abhilfe sorgt nun der dies mittels TCN seiner Root-Bridge berichten. Alle Switches
”dazwischen” bescheinigen den Erhalt eines TCN mit TCA.
oben erwähnte TopologieChange. Es gilt die Aussage, daß ein Switch, erhält
er einen TC seiner RootBridge, den Aging-Timer
seiner g esamten MACAdreßtabelle auf Max_
Age + Forwarding_Delay
reduziert, in aller Regel
also auf 35 Sekunden. So
wird gewährleistet, daß die
Einträge der MAC-Adreßtabelle zwar schneller gelöscht, aber daraufhin
eben auch durch Flooding
sehr schnell wieder aktua- Abb. 6: Erst die Root-Bridge sendet bei Erhalt eines TCN für 35
Sekunden die Meldung TC ins Netzwerk. Alle Bridges setzen
lisiert werden.
daraufhin den Aging-Timer der gesamten MAC-Adreßtabelle
herab.
Virtuelles LAN
Zusätzlich zu diesen langen Zeiten hat 802.1d
noch ein weiteres Problem.
In einem geswitchten Netz
mit 802.1q VLANs sei folgendes konfiguriert. Zwischen zwei Switches verläuft ein Trunk, der VLAN
1, 2 und 3 beinhaltet. Zusätzlich sei für VLAN 1
noch eine weitere Verbindung zwischen den Swit-
02
Ausgabe 02/2003
21
thema des monats
Einfach anders
InterSwitchTrunk beim Passport 8600
Der Passport 8600 ist das Flagschiff der Backbone Switches von Nortel
Networks. Das Chassis wird als Ausführung mit 3, 6 und 10 Slots angeboten.
Nortel Networks hat für den Passport 8600 eine Technik entwickelt, mit der zwei
Backbone Chassis mit einem sogenannten InterSwitchTrunk verbunden werden, ohne daß Loops in der Netzwerktopologie entstehen oder das Spanning
Tree Protokol (STP/RSTP/802.1W) erforderlich wird.
Split Multi Link Trunk
Um Loops in der Netzwerktopologie zu vermeiden, folgt Nortel Netwoks einer
eigenen Philosophie. Die dazu eingesetzte Technik heißt Split Multi Link Trunk.
Durch den Einsatz von Multi Link Trunks wird die mögliche Entstehung von
Loops also von vornherein unterbunden. Die Verbesserung von STP mit Umschaltzeiten zwischen 30 und 60 Sekunden zu RSTP mit maximal einer Sekunde ist also nur der Anfang einer Lösung, die Nortel perfektioniert hat. Beim
Einsatz von Split Multi Link Trunk können Trunks von den Etagenverteilern auf
zwei separate Backbone Switches aufgeteilt werden. Multi Link Trunk ist zudem
eine ideale Migrationstechnik für die redundante Anbindung von Geräten, die
kein STP beherrschen, weder nach 802.1d noch nach 802.1w.
Redundanzen
Die Ausfallsicherheit wird signifikant erhöht, da neben der Leitung auch der
Passport selbst redundant vorhanden ist. Sollte es trotz dieser hohen Redundanz zu Ausfällen kommen, so schafft das Split Multi Link Trunk eine Umschaltzeit von weniger als einer Sekunde. Diese einzigartige Lösung hatte die Tolly
Group im Mai 2002 getestet und als bahnbrechenden Schritt zu höchster Ausfallsicherheit bezeichnet, weil bisher nicht gekannte Umschaltzeiten gemessen
wurden. Sind bisher durch Spanning Tree bedingte Umschaltzeiten von 30 bis
60 Sekunden der Tod jeder geschäftskritischen Applikation oder Session, so
begegnet Nortel Networks dieser Gefahr mit Umschaltzeiten von 0,38 bis 0,91
Sekunden. Hierbei “merkt” keine SAP Session, daß sie nun auf einem anderen
Gerät läuft.
Technologie-Vorreiter
Der Passport 8600 stellt Schnittstellen für 10/100Base TX und 100Base FX
bereit, bedient 1000Base SX und TX und macht
selbst vor 10 GBit Ethernet nicht Halt. Durch die
Möglichkeit bis zu drei Netzteile und zwei CPUModule einzusetzen, erreicht der Passport ein
Höchstmaß an Ausfallsicherheit. Durch diese innovative Technik stellt Nortel Networks erneut ihren Anspruch als Vorreiter in Technologiesektor
unter Beweis und festigt ihrer Führungsposition
im Markt der hochverfügbaren Backbone
Switches.
Über die Besonderheiten des Split Multi Link Trunk
und über Passport Switches informiert Sie das
Compu-Shack Team PM-Nortel, telefonisch unter 02631 / 983 451 oder auf E-Mail-Anfrage an:
[email protected].
Abb. 7: 802.1d berechnet den STP nur in VLAN1.
Der Trunk zwischen beiden Switchen wird
geblockt und für VLAN 2 und 3 gibt es keine
Verbindung mehr.
eine Schleife. Doch 802.1d berechnet nun nach den oben dargestelltenden Regeln seinen Tree ausschließlich in VLAN1, was dazu führt, daß
der Port 4 auf Switch 2 aufgrund der
höheren Port-ID in den BlockingState übergeführt wird. Sehr zum
Nachteil für die VLANs 2 und 3, denn
dieser Port war für diese VLANs die
einzige Verbindung zwischen den
beiden Switches. Umgekehrt ist konsequenterweise vorstellbar, daß eine
Schleife innerhalb dieser VLANs genauso wenig erkannt würde und zu
all den eingangs dargestellten Problemen führen würde.
Bisher gingen alle Hersteller einen
eigenen Weg, um dieses Problem mit
proprietären BPDUs und einem eigenen Spanning-Tree-Prozeß pro VLAN
zu lösen. Bei Cisco beispielsweise
kannte man dies unter dem Namen
PVST (Per VLAN-Spanning-Tree).
Der Vorteil eines optimalen Spanning
Tree pro VLAN wird dabei mit dem
Nachteil erkauft, eine höhere CPUBelastung eines jeden Switches hinzunehmen, sowie eine höhere Netzwerkbelastung in Kauf zu nehmen, da
natürlich auch jeder STP-Prozeß seine eigenen BPDUs schickt. Dies ist
nun mit einigen Änderungen standardisiert worden, und zwar im Protokoll
02
Ausgabe 02/2003
22
802.1s, dem Multiple Spanning-TeeProtokoll MSTP, dem prinzipiell
auch RSTP zugrunde liegt. Man berechnet jedoch einen Spanning Tree
für eine Gruppe von VLANs. So könnte beispielsweise für VLAN 1 bis 10
ein eigener Tree berechnet werden,
für VLAN 11 bis 20 hingegen ein anderer. Dazu faßt man Switches in
Regionen zusammen, die alle die gleiche Konfiguration besitzen müssen,
Regionname, Revisionnummer und
VLAN-Tabelle. Über diese Informationen wird eine ”Quersumme” gebildet. Ist die Quersumme eines erhaltenen BPDUs gleich der eigenen Berechnung, wird der Nachbar-Switch
als Mitglied der gleichen Region akzeptiert. Dies aber sei hier aber nur in
einem groben Exkurs erwähnt.
Nachdem wir uns nun ausgiebig mit
STP beschäftigt haben, wollen wir
uns in der nächsten Ausgabe eingehend dem neuen RSTP befassen. Viele Begriffe sind beibehalten worden,
vor allem aber das Ziel, mit Berechnung einer Baumstruktur für ein
schleifenfreies Netz zu sorgen. Ein
mit STP oder RSTP berechneter
Baum sieht vollkommen gleich aus.
Beide Protokolle haben nach getaner Arbeit die gleichen Ports im
Blocking-Zustand – nur das Verfahren ist wesentlich effizienter.
ANWENDUNGEN
Switch on VoIP
Teil 2: Auf den Einsatz kommt es an!
Von Elmar Horst
In der letzten Ausgabe hatten wir einen Überblick über die Technologie
gegeben und anhand von Einstiegs- und Migrations-Szenarien potentielle
VoIP-Implementationen aufgezeigt. In diesem zweiten Teil wenden wir uns
den innovativen Applikationen zu, die häufig den eigentlichen Mehrwert
von VoIP ausmachen, denn auf den Einsatz kommt es an!
Während die Entscheidung, ein neues Kommunikationssystem anzuschaffen, in der Vergangenheit primär
von Kosten und Leistungsmerkmalen
beeinflußt wurde, gewinnen heute
eher die Auswirkungen auf Betriebsabläufe und Geschäftsprozesse an
Bedeutung. Produktivität, Flexibilität, Effektivität und Kommunikationsoptimierung aufgrund neuer
technischer Möglichkeiten sind viel
häufiger die ausschlaggebenden Kriterien geworden. Dank Internet,
Standortvernetzung und VPN können
Mitarbeiter, Geschäftspartner und
Kunden über eine einzige Kommunikationsplattform auf ihre Anwendungen zugreifen und sich untereinander austauschen. Es ist völlig unerheblich geworden, welche Art von
Gerät der Benutzer verwendet, oder
wo er sich gerade befindet. Er hat stets
Zugriff auf die gesamte Funktionalität der Bürokommunikationsmittel
und die entsprechenden Anwendungen.
Applikationen
In einer durchgängig konvergenten
VoIP-Lösung sind alle Kommunikationsfunktionen eines Unternehmens auf einer IP-basierten Plattform
zusammengeführt. In dieser Infrastruktur können die verschiedenen
02
Ausgabe 02/2003
23
Kommunikationsarten wie Telefon,
Fax, E-Mail oder Web bis hin zu Video over IP bereitgestellt werden.
Anwendungen wie gemeinsame
Adreßbücher und Kalender stehen
heute schon IP-basiert zur Verfügung.
Da alle Arten der Kommunikation nun
über dieses konvergente Netzwerk
ausgeführt werden können, ergibt sich
eine Vielzahl von neuen Anwendungen, die sich die gewonnene Interaktivität dieser Kommunikationsmittel zunutze machen können, beispielsweise das Unified Messaging.
Zuordnungen
Lassen Sie uns zunächst jedoch noch
einmal die Begrifflichkeiten in den
richtigen Zusammenhang bringen.
Sehr häufig werden Technologie ,
Technik, Produkt, Leistungsmerkmal
und Organisationsformen, mit Abkürzungen belegt, in einem Atemzug
genannt. Ist Call-Center beispielsweise ein Produkt, eine Technologie oder
eine Organisationsform? Bedeutet
Call-Center immer auch ComputerTelefonie-Integration (CTI) oder verhält es sich umgekehrt? Ist CTI ein
Produkt, eine Schnittstelle oder eine
Technologie? Was ist TAPI und was
TSAPI und wozu brauche ich überhaupt Voice-Systeme?
Call-Center, CTI-Anbindungen und
thema des monats
Applikationen, IP-Telefonie und
Voice-Systeme sind wesentliche Bausteine einer modernen Kommunikationslösung. Dabei hat jede der Lösungen ein anderes Gesicht, abgestimmt auf das jeweilige Unternehmen mit all seinen Kommunikationsanforderungen und -situationen. In
unserem Überblick wollen wir deshalb nicht nur die Applikation benennen, sondern auch die vielfältigen
Möglichkeiten innerhalb einer Lösung aufzeigen und zuordnen.
CC und ACD
Die Grundlage einer Kommunikationslösung stellt das moderne TKSystem. Es sollte bereits die notwendigen Leistungsmerkmale zum Aufbau eines Call-Centers beinhalten.
Ein Call-Center bzw. Contact-Center
ist zunächst nichts anderes, als eine
Organisationsform, die unter Zuhilfenahme von Hard- und SoftwareKomponenten einen effizienten kundenorientierten Telefonverkehr oder
allgemein Kundenkontakt ermöglichen soll. Das in der TK-Anlage enthaltene Leistungsmerkmal der automatischen Anrufverteilung, kurz ACD
für Automatic Call Distribution, bildet hierbei das zentrale Element. Damit können Anrufe anhand der identifizierten Rufnummer automatisch
zu einem entsprechenden freien Mitarbeiter, dem Agenten, vermittelt werden. Organisatorisch werden diese
Agenten zu Gruppen zusammengefaßt, die sich nach bestimmten Kriterien wie Sachkenntnisse oder bestimmten Kundenbeziehungen unterscheiden. Je nach Telefonaufkommen
lassen sich zentral weitere Mitarbeiter in diese ACD-Gruppen einbinden.
Logisch
Neben der Zuordnung einer physikalischen Rufnummer für ein Endgerät
bringt eine logische Rufnummernzuordnung für einen Telefonie-Teilnehmer oder einen Agent des Call-Cen-
ters zusätzliche Möglichkeiten und auch höhere
Flexibilität mit sich. Er
wird nicht mehr nur über
eine Endgerätedurchwahl, sondern primär über
eine logische Agenten-Nr.
bzw. Teilnehmer-Nr. identifiziert. Über dieser UserID und Paßwort/PIN meldet er sich an einem beliebigen Teilnehmerplatz
Abb. 1: Grafische Tools helfen, Prioritäten zu
am Telefonie-System an. verwalten und situationsabhängige Routen zur
Das kann auch in einer automatischen Anrufvermittlung zu entwerfen.
anderen Lokation oder
gar zuhause sein. Damit ist er unab- re für Verkauf. Warten jetzt beispielshängig davon, an welchem Endgerät weise zwei Anrufer für Verkauf und
und wo er sich gerade befindet, er- einer für Hotline, so bekommt unser
reichbar, sobald er sich “eingeloggt” Agent als erstes den priorisier-ten
Hotline-Anrufer, während Agenten
hat.
mit hoher Verkaufspriorität bevorSkill based
zugt die Anrufer für den Verkauf zuIn Analogie zu den Benutzerprofilen gestellt bekommen. Hierüber kann
und Policies der Datenwelt verfügt sichergestellt werden, daß einAnrufer
also auch der Telefonie-Teilnehmer stets an einen geeigneten bzw. mögüber seine individuell zugeordneten lichst an einen richtigen Agenten auLeistungsmerkmale, Telefonierechte tomatisch vermittelt wird. Liegen
und besondere Eigenschaften. So läßt keine Anrufe für Hotline vor und ist
sich innerhalb des Call-Centers ein der Verkauf ausgelastet, so können
Regelwerk definieren, welches ein- auch Anrufe für Vertrieb an unseren
kommende Anrufe gezielt nach be- Hotline-Agenten übermittelt werden.
stimmten Kriterien verteilt. Diese Kri- Die hierfür erforderlichen Applikatioterien können bestimmte Fähigkeiten nen verfügen meist über Tools, mit
und Kenntnisse einzelner Agenten denen sich nicht nur die Agenten, ihre
sein, beispielsweise Fremdsprachen- Skills und die entsprechenden Priooder Produktkenntnisse. Nach den ritäten verwalten lassen, sondern auch
Prinzipien dieses Skill based Routing situationsabhängige Routen zur aukönnen über Prioritätenlevel bzgl. der tomatischen Anrufvermittlung meist
Fähigkeiten oder der gewünschten grafisch entwerfen lassen (s. Abb. 1
Auslastung Routen für eine Anruf- und Box auf S.25).
verteilung hinterlegt werden, die es
ermöglichen, beispielsweise einen
Automatisiert
hochqualifizierten Spezialisten weiAuto
Attendant
und Custom Call
ter hinten in der Rufverteilung zu positionieren, um ihn nicht mit einfa- Routing bezeichnen die Entgegenchen Anfragen auszulasten, sondern nahme und automatische Verarbeidie erforderliche Qualität bei Bedarf tung von Anrufen. Neben der höchst
vorteilhaften Möglichkeit der Anzu Verfügung zu haben.
ruferidentifikation anhand der übermittelten Rufnummer (CLIP) und
Prioritäten
dementsprechender Weiterleitung
Ein Agent kann eine hohe Priorität kann eine bestimmte Agentengruppe
für Hotline haben und eine niedrige- aber auch gezielt über Sammelruf-
02
Ausgabe 02/2003
24
nummern erreicht werden. Ebenso
gibt es Weiterleitungsmöglichkeiten
nach einer vorgeschalteten Ansage
durch Ziffernwahl mittels DTMF
(Dual Tone Multiplexed Frequency)
oder sogar durch Spracherkennung.
Der Anruf wird automatisch entgegengenommen und über eine Ansage
werden weitere Optionen vorgegeben. Wir kennen sie mittlerweile aus
den verschiedensten
Telefonkontakten zu Dienstleistern jeder Art.
”Für Preisinformationen drücken Sie
die 1!”, heißt es dann oder: ”Bitte
geben Sie Ihre Kundennummer ein!”
Hier können auch entsprechende Kriterien für ein ”Skill Based Routing”
wie oben beschrieben abgefragt werden.
Ein Automatischer Vermittlungsplatz
- neudeutsch: Auto Attendant - ist eine
Applikation, welche die Bearbeitung
von eingehenden Anrufen über nimmt, so wie sie ein Telefonist
durchführen würde. DerAnrufer erhält
über eine Sprachaufforderung eine
Reihe von Optionen, die er durch
Drücken der entsprechenden Taste
seines MFV-Telefons selektieren
kann. Wurde die gewünschte Option
ausgewählt, wird der Anrufer je nach
Implementierung des Auto Attendant
an eine Nebenstelle, Mailbox oder an
die Zentrale weitervermittelt.
Beim Custom Call Routing (CCR)
schließlich handelt es sich um eine
sogenannte Sprachmenü-Anwendung, welche mit dem Ein-ZiffernZugriff dem Anrufer eine ganze Reihe von Sprachansagen und Transferoptionen zurVerfügung stellt. Je nach
Realisierung des Custom Call
Routing erhalten Anrufer die Möglichkeit, sich zu einem bestimmten
Mitarbeiter weiterverbinden zu lassen oder weiterführende Informationen zu erhalten.
Reporting
Um den Call-Center-Betrieb zu optimieren, sollte die Lösung über geeignete Management-Applikationen
verfügen, mit deren Hilfe die Daten
ausgewertet werden können.
Echtzeitstatistiken erlauben den Zugriff auf aktuelle Call-Center- und
Agent-Daten, um z.B. den Status der
Leitungen und Queues in Realtime
abfragen zu können. Weiterhin kann
die Auslastung der Agenten überwacht werden, um eventuelle Überlastungen durch den Einsatz weiterer
Kollegen abzufangen.
Die Managementapplikationen stellen neben der Realtime-Auswertung
der Daten auch historische Auswertungen für die Planung der Ressourcen zur Verfügung. Zeichnet man z.B.
über einen längeren Zeitraum dieAuslastung auf, läßt sich eine sicherere
und effizientere Planung bzw. eventuell erforderliche Anpassung bzgl.
Personaleinsatz und - bedarf durchführen.
Komponenten
Call-Center-Bausteine wie CTI, UM,
Voice Mail oder IVR-Systeme können, müssen aber nicht zwangsweise
in die Organisation einbezogen werden. Entscheidend ist die Zielsetzung.
Die Frage nach dem: ”Was will ich
erreichen“, bestimmt sowohl denAufbau als auch die Auswahl der zu verwendenden Komponenten. War die
Hauptzielsetzung ursprünglich die
Verbesserung der Erreichbarkeit des
Unternehmens, so werden heute vielfältige Zusatzaufgaben und erweiterte Zielsetzungen mit Call-CenterLösungen realisiert.
Die ehemalige Bezeichnung als “telefonische Bestellannahme” verdeutlicht sehr gut, worum es in den CallCentern der frühen Jahre vornehmlich
ging. Gestiegene Ansprüche der Anwender, veränderte Märkte und
Wettbewerbssituationen sowie technische Weiterentwicklungen ermöglichen es aber heutzutage, nicht nur
eingehende (In-Bound), sondern auch
ausgehende Anrufe (Out-Bound) in
einem Call-Center abzuarbeiten. Der
02
Ausgabe 02/2003
25
Aufbau einer Kundenbindung sowie
die Nutzung verschiedener Kommunikationsmedien sind die zentralen Aufgaben, die heute von einem
Call-Center abgedeckt werden müssen.
Einsatzbereiche
Wo liegen die Vorteile und was sind
Einsatzbereiche für Call-Center? Neben einer Verbesserung der Erreichbarkeit und Optimierung der Servicequalität, was letztlich auch zu einer
höheren Kundenbindung führt, werden ein effizienterer Personaleinsatz
und damit verbundene Kosteneinsparungen erzielt.
Selbstverständlich bietet das CallCenter mit all seinen Tools die besten Voraussetzungen. Nicht allein für
eine hochwertige Kundenbetreuung
im Sinne von Customer Relationship
Management (CRM), da sich sämtliche Informationsflüsse zentral steuern und verwalten lassen, das CallCenter ist ebenso prädestiniert für effiziente Neukundenacquise. Diese
Situationsgerecht
Anrufsteuerung
Innerhalb einer Call-Center-Applikation lassen sich die unterschiedlichsten Situationen und
Statusinformationen abfragen
und auswerten, um eine automatisierte Anrufverteilung vorzunehmen:
• Tageszeit
• Vorwahl oder Rufnummern-ID
des Anrufers
• Tonwahlerkennung (DTMF)
• VIP-Rufnummer
• Anzahl der aktiven Anrufe
• Anzahl der verfügbaren
Agenten
• Anzahl der Anrufer in Warteschlangen
• Durchschnittliche Antwortzeit
• Erwartete Antwortzeit
• Auslastung weiterer Standorte
thema des monats
Call Center in a Box
Applikationen in kompakter Form
Mit der MultiVantage Applikationssoftware und dem leistungsstarken MediaServer S8300 und dem Media Gateway G700 stellt AVAYA eine äußerst kompakte
und flexible Call-Center-Plattform mit modularem Systemkonzept vor, Es entfaltet seine Stärken bereits in kleinen und mittleren Implementationen. Damit eröffnen sich VoIP-Technologien auch jenen Unternehmen, für die eine solche
Investition bisher nicht wirtschaftlich schien.
Multitalent für Daten und Sprache
Die Kombination aus Media-Server und modularem Media-Gateway mit der
MultiVantage-Software schafft ein multifunktionales IP-System. Es realisiert neben der nahtlosen Verschmelzung von Daten- und Sprachnetzwerken umfangreiche Call-Center-Applikationen. Design, Implementierung und Betrieb sind
durch die kompakte 19”-Form und die umfangreichen Call-Managementfunktionen äußerst komfortabel umzusetzen. S8300 und G700 vereinen modernste VoIP-Telefonie, Router- bzw. Switch-Technologie und LAN/WAN-Applikationen in einer Plattform. In Kombination mit den AVAYA Cajun Switches lassen sich Stack-Konfigurationen realisieren, ohne Signalkonvertierungen durchführen oder gar Performance-Einbußen befürchten zu müssen.
MultiVantage nach Maß
Die AVAYA MultiVantage-Software stellt umfangreiche Dienste in diversen Konfigurationen auf unterschiedlichsten Hardware-Plattformenr zur Verfügung. Ihre
Call-Center-Applikationen unterteilen sich je nach Bedarf in die Varianten Basic,
Elite und Delux. Schon die Basis-Version bietet Automated Call Distribution,
Multiple Call Handling und Auto Attendant. Mit dem Campaign Manager und dem
Call Recording, mit Call- und Priority- Queuing stehen umfangreiche Steuerungs, Analyse- und Auswertewerkzeuge zur Verfügung.
Vom TK-System zum Call Center
Durch Einfügen des Server-Moduls wird das Media-Gateway zum Media-Server.
Das flexible Systemdesign ermöglicht vielfältige Konfigurationen, z.B. die Verknüpfung von Zweigstellen mit der Zentrale unter Beibehaltung entsprechender
Fall-Back-Szenarien. Das System vereint die Funktion eines kompletten Layer2-Switches mit einem integrierten leistungsstarken VoIP-Prozessor. Ebenso
kann es mit Cajun P330-LAN/WAN-Router-Modulen und verschiedenen digitalen oder analogen Media-Modulen ausgestattet werden. Das S8300-ServerModul enthält neben Funktionalitäten für Routing- und Sprachsignalisierung die
AVAYA MultiVantage-Software und umfangreiche Messaging-Applikationen für
Sprache, E-Mail oder Fax. Traditionelle Telefongeräte können mit IP-Endgeräten Seite an Seite betrieben werden, wobei Ihnen uneingeschränkt alle
MutiVantage-Applikationen zur Verfügung stehen.
Organisationsform hat heute beispielsweise schon längst bei Banken,
Versicherungen, Energieversorgern,
Medieneinrichtungen (Presse, Funk,
Fernsehen) und im Versandhandel
Einzug gehalten, bei denen Kundenbetreuung und -beratung schon sehr
lange einen hohen Stellenwert haben.
Aber auch in kleinen bis mittelständischen Unternehmen wie Reisebüros, Transport- und Logistikunternehmen, in größeren Arztpraxen,
Anwaltskanzleien, Steuerberatungskanzleien, Telemarketingagenturen,
Hotels u.v.m. sind die Vorteile von
Call-Center-Lösungen gefragt.
Voice-Mail
Weitere Standardapplikationen, die
für VoIP-Lösungen von elementarer
Bedeutung sind Voice-Mail-Systeme.
Mit ihnen ist ein Unternehmen rund
um die Uhr für seine Anrufer da, auch
außerhalb der Bürozeit. Insbesondere für kleinere TK-Systeme im SmallBusiness-Bereich, können VoiceMail-Systeme bei erhöhtem Kommunikationsaufkommen in Spitzenzeiten die Erreichbarkeit eines Unternehmens sichern. Kleine Lösungen
ersetzen oft nur den klassischen Anrufbeantworter, nehmen also lediglich die Sprachnachrichten der Anrufer auf, verteilen die Nachricht ggf.
in ein UM-System bzw. geben diese
später wieder.
Für die Call Center-Anwendung stehen dabei das Bereitstellen von Informationen über Sprachausgabe
(- etwa das Abspielen von verschiedenen Ansagetexten - im Vordergrund, oder Fax on Demand und die
Überlauffunktion, die eine Speicherung von Rückrufwünschen bei Lastspitzen oder Anrufen außerhalb der
Servicezeiten vornimmt.
Der Anrufer kann sich informieren
und Wünsche, Bestellungen oder
auch Reklamationen einsprechen.
Das System stellt alle Nachrichten in
Boxen zusammen, die später von
Mitarbeitern abgearbeitet werden.
02
Ausgabe 02/2003
26
Voice-Box
Durch ein zentrales Voice-Mail-System, das für jeden Mitarbeiter eines
Unternehmens eine Voice-Box zur
Verfügung stellt, ist gewährleistet,
daß eine Nachricht genau an denjenigen gelangt, für den die Nachricht
bestimmt ist. Für jedeVoice-Box können unterschiedliche Ansagetexte
aufgesprochen werden, so daß der
Anrufer erfahren kann, ob der Angerufene für längere Zeit abwesend ist,
sich zum Beispiel im Außendienst
befindet. Für letzteren Fall besteht für
den Inhaber einer Voice-Box die
Möglichkeit, sich ab einer vordefinierten Anzahl von Nachrichten
in seinem Voice-Mail-System von
dieser, zum Beispiel auf seinem
Handy anrufen zu lassen und durch
Eingabe seines PIN-Codes die für ihn
bestimmten Nachrichten abzuhören.
Somit erreichen den Angerufenen
auch Nachrichten, die ein sofortiges
Handeln erfordern, obwohl er außer
Haus ist. Sprachnachrichten lassen
sich durch ein Voice-Mail-System
nicht nur von unterwegs abrufen,
sondern auch weiterleiten, verteilen,
modifizieren und/oder archivieren.
Unified Messaging
Durch das Unified Messaging erhält
der Anwender die Möglichkeit, seine
gesamten Sprach-, E-Mail- und Faxnachrichten mit Hilfe eines Multimedia-PCs oder Notebook zentral und
effizient zu verwalten. Es stellt damit
die konsequente Weiterentwicklung
vom Voice-Mail-System zu einer einheitlichen Messaging-Plattform für
alle gängigen Kommunikationsarten
dar. Alle Nachrichtentypen können
direkt am Desktop-System angesehen
bzw. abgehört werden, und zwar unabhängig von Zeit und Ort. Hierdurch
wird eine verbesserte und organisierte Kommunikation ermöglicht, die zu
einer höheren Produktivität des Anwenders führt und schnellere Reaktionszeiten für den Kunden mit sich
bringt. Investitionen, die bereits
für das Unternehmensnetzwerk
getätigt wurden, können voll
ausgenutzt werden, da die Nachrichtenverw altung über das
LAN bzw. IP durchgeführt wird.
Als mögliche Client-Systeme
für Unified Messaging steht
meist schon MS-Exchange bzw.
MS-Outlook, Lotus Notes oder
Novell GroupWise zur Verfügung. Dabei fügt sich idealerweise das UM-System nahtlos
in die angesprochenen Client- Abb. 2: Aufbau der Infrastruktur nach der Implementierung
Systeme ein. Hinsichtlich der des Unified Messaging
Verarbeitung und Beantwortung von Nachrichten etwa findet eine auswertung kann über ein Managevollständige Integration in die ge- ment-Tool automatisiert und elektrowohnte Benutzeroberfläche statt. nisch weiterverarbeitet werden, z.B.
Aber auch bei der Administration er- durch Export in Excel oder die Angeben sich wesentliche Vorteile. An- bindung an Datenbanken. Idealerstelle mehrerer unterschiedlicher Sy- weise lassen sich die gesamten Komsteme mit jeweils eigenen Ver- munikationsdaten und -arten eines
zeichnisdiensten und Speicherorten Kunden oder Geschäftspartners einlassen sich bei einem UM-System gehend wie ausgehend zuordnen und
idealerweise alle Kommunikations- auswerten, womit eine auf ihn bezonachrichten in einem System verwal- gene Kostenbewertung realistisch
ten und pflegen. Damit ergibt sich für und objektiv wird.
den Administrator ein Single Point of
Maintenance. Durch dieseVereinheitlichung lassen sich die Kosten für den
IT-Support reduzieren.
Anhand der Applikationen läßt sich
überzeugend aufzeigen, wie vielfältig und ausgereift die Möglichkeiten
Billing-System
von modernen VoIP-Lösungen inzwiEin Verbindungsdaten-Management- schen sind. Sie finden schon breite
System hält die Gesprächs- bzw. Verwendung zur Steigerung der EffiVerbindungsdaten eines Kommuni- zienz und Produktivität. Insofern ist
kationsnetzes fest. Es ermöglicht die Überlegung weniger die, ob ein
Kostentransparenz und damit die Er- Unternehmen mit VoIP starten soll,
kennung von Einsparpotentialen. sondern eher wann. Die Frage, die es
Dienst- und Privatgespräche lassen für jedes Projekt neu zu beantworten
sich getrennt erfassen. Die Auswer- gilt, lautet daher, welches sind hier
tung der Gesprächsdaten und evtl. des die geeigneten Killerapplikationen
Voice-IP-Aufkommens insbesondere gegenüber klassischer Telefonie. Die
bei VoIP-Lösungen mit IP-Billing- Vorteile und der Mehrwert von VoIP
system erlaubt eine Verteilung der sind individuell. Denn auf den EinKosten im Unternehmen auf Kosten- satz kommt es an.
stellen bzw. auf externe Aufträge und
Projekte, Mandanten usw. Auch Fak- In unserem letzten Beitrag wollen wir
turieren der Kommunikations-Ser- Komponenten für individuelle CTI
viceleistung wird hiermit leicht ge- Lösungen vorstellen, u.a. die Telefonmacht. Die gesamte Gesprächsdaten- manager und Softphones.
Fazit
02
Ausgabe 02/2003
27
h
Technik News Patch-CD Februar 2003
HOTLINE
Stand: 15. Januar 2002
NetWare
NW 6.0
299913.exe
AFP101Q.exe
AFPLIC2.exe
CONONE133SP1.exe
DNSDHCP1.exe
DSAUDIT.exe
ES7000.exe
FIXNAMES.exe
FLSYSFT7.exe
HTTPSTK1.exe
NAASUPD3.exe
NAAUPD2.exe
NAT600D.exf
NETDRV41.exe
NFAP1SP2.exe
NICI_U0.exf
NIPP105.exe
NSSCHECK.exe
NW56UP1.exe
NW6_ISS.txt
NW6NBI1A.exe
NW6NSS2B.exe
Windows Clients
Win 95/98 dt.
NC332SP1.exe
NPTR95B.exe
W98332E.exe
LOGN3321.exe
Win 95/98 engl.
NPTR95B.exe
W98332E.exe
NC332SP1.exe
LOGN3321.exe
NW6SMS1A.exe
NDP2SP2C.exe
NW6SP2.exe
NWFTPD6.exe
NWPAUP2.exe
SNMPFIX.exe
TCP605o.exe
TRUST110.exe
XCONSS9F.exe
NW 5.1
299913.exe
4PENT.exe
AFNWCGI1.exe
COMX218.exe
CONONE133SP1.exe
DLTTAPE.exe
DNSDHCP1.exe
DS760C.exe
DS880D_a.exe
DSAUDIT.exe
DSBROWSE.exe
FLSYSFT7.exe
FP3023A.exe
Win NT/2000/XP dt.
291562.exe
LOGN4831C.exe
NC483SP1.exe
FP3023S.exe
HDIR501C.exe
IDEATA5A.exe
JVM133SP1.exe
NAT600D.exe
NDP21P4.exe
NDP2SP2C.exe
NESN51.exe
NFAP1SP2.exe
NICi_U0.exf
NIPP104.exe
NMASPT2.exe
NW51_ISS.txt
NW51FS1.exe
NW51SP5.exe
NW56UP1.exe
NWFTPD6.exe
NWPAUP2.exe
OPLOC514.exe
PKI202B.exe
PSRVR112.exe
SBCON1.exe
SLP107G.exe
ZENworks
NDPC4831.exe
NDPC4831.exe
WNT483G.exe
Win NT/2000XP engl.
291562.exe
NC483SP1.exe
298848.exe
NDPC4831.exe
LOGN4831C.exe
WNT483E.exe
Miscellaneous Updates
NW SAA 4.0
NW4SAA.exe
SAA40020.exe
SAA4PT1.exe
iChain 2.0/2.1
IC20SP2.exe
IC21SP1.exe
GroupWise 6.6
GW62AOT.exe
GW6SP2M.exe
GW6TOMCAT_NT.exe
GW6WASF.exe
GWCSRGEN2.exe
GWIA6SP1.exe
GWPDLOCK.exe
GWPORT32.exf
WAVIEW71.exf
SNMPFIX.exe
STRMFT1.exe
TCP581o.exe
TRUST110.exe
TSA5UP10.exe
XCONSS9F.exe
NW 4.2
DECRENFX.exe
DS617.exe
GROUPFIX.exe
IPG4201.exe
IPGSN10A.exe
LONGNAM.exe
NAT600D.exe
NLSLSP6.exe
NW4SP9.exe
NW4WSOCK.exe
NWIPADM.nlm
ODI33G.exe
SNMPFIX.exe
TRUST110.exe
XCONSS9F.exe
eDirectory 8.x
AM210PT2.exe
AM210PT4.exe
AM210SNP.exe
AMW2KP2A.exe
AMW2KSP1.exe
C1UNX85A.exe
DSRMENU5.tgz
DSX86UPG.tgz
EDIR862.exe
EDIR862.tgz
EDIR862SP3.tgz
EDIR862SP3.exe
EDIRW32.exe
NAM21SP1.tgz
NDSUNIX4.tgz
NOVLNIUO-2.4.2.z
PWDSCH.exf
SIMPLE862UP.tgz
UNIXINF1.tgz
UNIXINS2.tgz
WCNICIU0.exf
ZENworks for Desktops 3.0
255099.exe
ZD32SYBK.exe
ZD3XJVM.exe
ZDF32SP1CLIENT.exe
ZDF32SP1SERVER.exe
ZF3INVMP.exe
ZFD3SP1A.exe
Tools / DOCs
ADMN519F.exe
C1.exg
CFGRD6B.exe
CRON5.exe
DBGLOG1.zip
DSDIAG1.exe
ETBOX7.exe
HIGHUTIL1.exe
LOADDLL1.exe
MIGRTWZD.exe
NCCUTIL11.exe
NLSDLL.exe
NWSC1.exe
ONSITB8.exe
STUFKEY5.exe
TBACK3.exe
TCOPY2.exe
ZENworks 3.0 for Server
NICI24CPK.exe
ZFS3SP1.exe
ZFS3SP1MANW5.exe
ZFS3SP1MANW5.exe
ZS3SCH.exe
ZENworks for Desktops 4.0
ZFD4AGENTMSI.exf
Bordermanager 3.6/3.7
ADMATTRS.exe
BM37UPN2.exe
BM35ADM7.exf
BM37VPN2.exe
BM36C02.exe
BMAS3X01.exe
BM36SP2A.exf
NBMICSA1.exe
BM37FLT.exe
PXY031.exe
BM37SP1.exe
PXYAUTH.exe
RADATR3A.exe
SETUPEX.exe
Cluster Services
CS1SP4.exe
CVSBIND.exe
Deutsche Updates
HOTLINE
Windows NT 4.0
DEUQ300972I.exe
DEUQ328145i.EXE
GERQ323172i.exe
SP6I386G.exe
Windows 2000
ENPACK_WIN2000ADMIN_GER.exe
Q299956_W2K_SP3_X86_DE.exe
Q311967_W2K_SP3_X86_DE.exe
Q318593_W2K_SP3_X86_DE.exe
Q810649_W2K_SP4_X86_DE.exe
Q329170_W2K_SP4_X86_DE.exe
W2KSP2SRP1D.exe
W2KSP3.exe
Windows XP
xpsp1_de_x86.exe
Q329390_WXP_SP2_x86_DEU.exe
Q329170_WXP_SP1_x86_DEU.exe
Microsoft .NET
NDP10SP357.exe
Exchange 2000
EX2KSP2_SERVER.exe
Q320436ENUI386.exe
Internet Explorer 6.0
IE6SETUPG.exe
Q313675.exe
Q316059D.exe
Q324929G.exe
Windows XP
Q315000_WXP_SP1_x86_NEU.exe
WM320920_8.exe
xpsp1_en_x86.exe
Q329390_WXP_SP2_X86_ENU.exe
Q329170_WXP_SP2_X86_ENU.exe
Microsoft .NET
NDP10SP317396.exe
Exchange 2000
Q278523ENGI.exe
Internet Explorer 6.0
IE6SETUPE.exe
Q316059D.exe
Q324929E.exe
Exchange 5.5
SP4_550G.exe
Englische Updates
Windows NT 4.0 Windows 2000
MPRI386.exe
ENPACK_WIN2000ADMIN_EN.exe
PPTPFIXI.exe
Q299956_W2K_SP3_X86_EN.exe
Q323172i.exe
Q311967_W2K_SP3_X86_TWE.exe
Q328145i.exe
Q316094_W2K_SPLl_X86_EN.exe
RRASFIXI.exe
Q318593_W2K_SP3_X86_EN.exe
SP6I386.exf
Q810649_W2K_SP4_X86_EN.exe
Q329170_W2K_SP4_X86_EN.exe
W2KSP2SRP1.exe
W2KSP3E.exe
Patches
Exchange 5.5
SP4_550E.exe
02
Ausgabe 02/2003
28
ARCserve 2000 englisch
Basis Produkt Updates
QO30918.CAZ (SP4)
QO29368.CAZ (SP4 QO31854)
QO29003.CAZ (SP4 QO31854)
QO27942.CAZ (SP4)
QO27941.CAZ (SP4)
QO27928.CAZ (SP4)
QO27920.CAZ (SP4)
QO23827.CAZ (SP4)
QO22113.CAZ (SP4)
QO20824.CAZ (SP4)
QO19741.CAZ (SP4)
QO19666.CAZ (SP4)
QO19251.EXE
QO19353.CAZ (SP4
QO19352.CAZ (SP4)
QO19351.CAZ (SP4)
QO05692.CAZ (SP4)
LO85115.CAZ (SP3)
QO23524.CAZ (SP4)
r
Client Agenten
QO29236.CAZ
QO28844.CAZ
QO24149.CAZ (SP4)
QO19337.CAZ
LO86966.CAZ
Device Support
QO31854.CAZ (SP4)
Agent for Open Files
QO27937.CAZ
Disaster Recovery
QO30557.CAZ (SP4)
QO28649.CAZ (SP4)
QO27924.CAZ (SP4)
QO20404.CAZ (SP4)
Exchange
QO22840.CAZ (SP4)
LO94975.CAZ
Lotus Notes
QO22886.CAZ (QO22616)
QO21794.CAZ (SP4)
QO10195.CAZ
SQL
LO91562.CAZ
Image Option
QO17318.CAZ
Oracle
QO23524.CAZ (SP4)
Serverless Backup
QO20992.CAZ (SP4)
ARCserve 2000 deutsch
ARCserve 2000 ASO
ARCserve 7.0 NetWare
QO30918.CAZ (SP3)
QO29368.CAZ (SP3 QO31854 )
QO29003.CAZ (SP3, QO31854 )
QO27942.CAZ (SP3)
QO27941.CAZ (SP3)
QO27928.CAZ (SP3)
QO27920.CAZ (SP3)
QO22619.CAZ
QO22113.CAZ (SP3)
QO20824.CAZ (SP3)
QO19741.CAZ (SP3)
QO19668.CAZ (SP3)
QO15579.CAZ (QO15176)
QO15331.CAZ
QO15176.CAZ (SP3)
QO09494.CAZ
QO06336.CAZ
QO04949.CAZ (SP3)
QO00944.CAZ (SP3)
QO00943.CAZ (SP3)
QO30918.CAZ
QO29368.CAZ (QO31854)
QO29003.CAZ (QO31854)
QO22113.CAZ
QO20824.CAZ
QO19741.CAZ (QO15178)
QO19353.CAZ
QO19352.CAZ (QO15178)
QO19351.CAZ (QO15178)
QO15579.CAZ (QO15178)
QO15571.CAZ
QO15331.CAZ
QO15178.CAZ
QO10201.CAZ
QO08105.CAZ
QO05189.CAZ
QO00944.CAZ
QO00943.CAZ
LO98929.CAZ
QO31736.CAZ (QO24373)
QO31093.CAZ (QO20942)
QO29270.CAZ (QO24239)
QO28648.CAZ (QO05996)
QO27406.CAZ (QO05996)
QO24763.CAZ (QO08364)
QO24478.CAZ (QO12831)
QO24373.CAZ (QO20942)
QO24239.CAZ (QO16426)
QO23731.CAZ (QO05996)
QO20942.CAZ (QO05996, QO12831, QO16426)
QO20907.CAZ (QO05996)
QO19341.CAZ (QO12831, QO05996)
QO17320.CAZ (QO05996)
QO16426.CAZ (QO05996, QO12831)
QO15463.CAZ (QO05996)
QO12831.CAZ (QO05996)
QO11242.CAZ (QO05996)
QO08364.CAZ (QO05996)
QO06599.CAZ (QO05996)
QO05996.CAZ
ohne
QO19339.CAZ
QO28844.CAZ
QO19337.CAZ
QO31854.CAZ (SP3)
QO31854.CAZ (SP4)
QO32110.CAZ (QO05996)
QO27937.CAZ
QO27937.CAZ
LO90527.CAZ
QO30072.CAZ
QO27924.CAZ
QO27924.CAZ
QO16630.CAZ
QO13758.CAZ (SP3)
QO06202.CAZ (SP3)
LO85115.CAZ (SP3)
QO19351.CAZ (QO15176)
QO22831.CAZ (SP3)
QO13760.CAZ
QO22840.CAZ
Groupwise Agent
QO11943.CAZ
Storage Area Network
QO14907.CAZ
LO98879.CAZ
QO15790.CAZ
QO10199.CAZ
LO89345.CAZ
QO10201.CAZ
LO95010.CAZ (SP3)
ohne
QO10618.CAZ
QO10618.CAZ
QO23524.CAZ (SP3)
QO23524.CAZ
QO12765.CAZ
QO20992.CAZ (SP3)
QO06297.CAZ (SP3)
QO20992.CAZ
QO06297.CAZ
Tape Library Option
LO98883.ZIP (QO05996)
ARCserve 9.0 Windows
BABv9WP1.EXE
CAZIPXP.EXE für alle
Dateien zum Entpacken
der .CAZ Dateien.
Bintec Router Software
Bingo!
BGO521P1.bg
Bingo! Plus/Professional
BGO494.bgp
Bingo! DSL
B6205P04.bgd
BrickWare u. Config. Wizard
BW628.exe
NLMDISK.zip
rot
Brick XS/Office
BRK512.xs
BRK521P2.xs2
Brick XMP
BRK521P1.XP
Brick XM
BRK511.xm
BRK521P1.xm2
seit unserer letzten Veröffentlichung neu
Ausgabe hinzugekommen
02/2003
grün
Technik News Service-CD
Brick X.21
BRK495.x21
Brick XL/XL2
BRK521P1.xl
Netracer
NR494P1.zip
XCentric
XC533.xcm
MODULE14.xcm
blau
gelb
29
X8500
B6205P04.x8a
X4000
B6205P04.x4a
X3200
B6205P04.zip
X2100/2300
B6205P04.x2c
X1000 / 1200
B6205P04.x1x
aus Platzgründen nicht mehr auf der Monats-CD
auf der letzten Service CD
02
h
HOTLINE
Brightstor ARCServe Backup v9 für
Windows
BABv9WP1.EXE (engl.)
Diese Datei beinhaltet den ersten kumulativen Patch für die
ARCserve Version 9 für Windows und die aktuelle Geräteunterstützung. Er behebt ein Problem mit der Disaster Recovery
Option, wenn von ARCserve 2000 auf die Version 9 upgedatet
wurde, der Windows Backup Agent jedoch nicht mit aktualisiert
wurde. Dieser Patch stellt dann die Abwärtskompatibilität wieder her. Doch kann auch der Windows 2000 Agent mit SP4 auf
die Version 9 aktualisiert werden, um die Funktion wiederherzustellen. Nach Einspielen des Patches muß ein Vollbackup gefahren werden, die Bootdisketten müssen neu erstellt werden.
Zum Installieren muß die Datei einfach auf jedem Backup Server aufgerufen werden, das Programm findet dann automatisch
die installierten Komponenten und führt das Update durch.
Für manche Patches wird der vorherige Einsatz von
Service Packs oder früherer Patches vorausgesetzt Die
Beschreibung nennt die Voraussetzungen, in den Listen der empfohlenen Patches stehen sie in Klammern. Die aktuelle Liste unterstützter Geräte finden
Sie unter esupport.ca.com. bzw. unter http://
support.ca.com/techbases/basb9/
basb9_cdl.html.
QO31854.CAZ (dt. / engl.)
Neben der Unterstützung für die neuesten Bandlaufwerke und
Changer, behebt dieser Patch neun verschiedene Fehler, die unter bestimmten Umständen auftreten. Bei der Disaster Recovery
(IDR) müssen nach Einspielen des Patches neue Bootdisketten
erstellt werden. Voraussetzung: SP4 (engl.), SP3 (dt.), keine für
ASO.
QO30557.CAZ (engl.)
Ein Problem mit Disaster Recovery tritt auf, wenn man ein von
der CD bootbares Image (CD basierende Methode) auf einem
NT 4.0 Server erstellen möchte und versucht, ein Disaster
Recovery durchzuführen. Der Wizard kopierte beim Erstellen
der Cdboot.iso die DLLs in den falschen Pfad bootdisk
statt bootdisk.w2k. Daraufhin schlägt die Disaster Recovery
fehl, da es kein Medium lokalisieren kann. Voraussetzung ist
SP4.
QO27924.CAZ (dt./engl.)
Dieser Patch verhindert, daß die Disaster Recovery Informationen gesichert werden, obwohl kein komplettes Backup vorhanden ist. Nach dem Einspielen des Patches muß zuerst wieder ein
komplettes Backup vorliegen, dann erst kann die Disaster
Recovery Information gesichert werden. Voraussetzung: SP4
(engl.), SP3 (dt.), keine für ASO.
Englisch wenn nicht anders deklariert)
Die Dateien mit der Endung CAZ müssen mit dem
Programm und der Syntax Cazipxp.exe –Dateiname
entpackt werden
ARCserve 2000
QO30918.CAZ (dt./engl.)
Die Fehler E8511 und E8512 treten auf, wenn ein Backup Job,
bei dem die NDS zum Sichern ausgewählt wurde, verändert
wurde und dann erneut aufgegeben wird. Voraussetzung: SP4
(engl.), SP3 (dt.), keine für ASO.
ARCserve 7 für NetWare
QO31736.CAZ
Mit Einsatz dieses Patches wird die Zeit verringert, die benötigt
wird, um die Anzeigebildschirme beim Backup oder Device
Manager zu erneuern (refresh). Voraussetzung: Patch QO24373.
HOTLINE
QO29368.CAZ (dt./engl.)
Das Problem unable to connect to group begegnet
uns, wenn ein Auftrag zum Wiederherstellen von Daten startet.
Wenn die Tape Engine in den Debug Mode geschaltet wurde,
wird die Meldung Error in connecttotape(), The
Tape in the slot xx is different from what
the enduser wanted in das Tape.log geschrieben. Der
Auftrag wird nicht durchgeführt. Voraussetzung: SP4 (engl.),
SP3 (dt.), kein SP für ASO, jedoch für alle Versionen der neue
Patch QO31854 (s.u.).
QO31093.CAZ
Dieser Patch ermöglicht beim Durchsuchen großer NDS-Bäumen, die NDS Objekte wieder zu expandieren. Voraussetzung:
Patch QO20942.
QO32110.CAZ
Neben der Unterstützung für die neuesten Bandlaufwerke und
Changer ist in dieser Datei der Testfix T11B200 enthalten, wenn
Asdb.nlm und Capeer.nlm nicht entladen werden können.
Die beiden NLM referenzierten aufeinander und verlangten, daß
das jeweils andere zuerst entladen werden solle. Voraussetzung:
Patch QO5996.CAZ.
Patch-Listen auf der Monts-CD
Die Listen der empfohlenen und neu erschienenen
Patches und Updates finden Sie nun als offene Excel
Dokumente auf der Monats-CD im Verzeichnis
_PatchListen.
Demo-Version von G+H
TreeCommander
auf der Monats-CD
Patches
02
Ausgabe 02/2003
30
255099.exe 192 KB
Ein Patch für ZenWorks for Desktops
3.x behebt das Hängenbleiben bei der
Installation auf einem NW 4.11 Server.
AFP101Q.exe 188 KB
Patch für das Novell Native File Access
Pack, der den AFP-Sleep Mode unterstützt. Probleme mitAbends, Directories
und Commnad-Line Optionen wurden
behoben
BM37SP1.exe 3505 KB
SP1 für Bordermanager 3.7 mit Updates
für den gesamten Lieferumfang.
EDIR862SP3.exe 14463 KB
Das SP3 für eDirectory Services 8.6.2
für alle Novell und Microsoft Plattformen in der internatonalen Version darf
nicht auf NW 4.x und 5.0 oder NDS
6.x, 7.x, 8.x, 8.5.x, 8.7.x installiert werden. ModulVersionen in diesem Update:
DS 10350.12, DSREPAIR 10250.34 und
NLDAP 10350.08.
EDIR862SP3.tgz 8016 KB
SP3 für eDirectory 8.6.2 für Solaris und
Linux in der internationalenVersion mit
den Modulversionen: NDSD 10350.11,
NDSREPAIR 10250.33 und LDAP
10350.07. Das Update bitte nicht auf einer NDS Version 8.x, 8.5 oder 8.7 installieren!
Client geladen werden konnten (s. TID
10073624 ).
Patch-Listen auf der Monts-CD
Die Listen der empfohlenen und
neu erschienenen Patches und
Updates finden Sie nun als offene Excel Dokumente auf der Monats-CD im Verzeichnis _Patch
Listen.
LOGN4831C.exe 454 KB
Multiple Login und GINA-Probleme des
Novell Clients 4.83 werden behoben.
NCCUTL11.exe 839 KB
Mit den Tools NCCREAD.exe und
NCCSCAN.exe kann man Netware
Clients monitoren und analysieren.
NDP3SP2C.exe 3623 KB
Diese Update enthält den iPrint Client aus
der Datei NIPP105.exe und die
Snapins für den NWadmin, um Printer
Agents mit dem neuen Novell Gateway
konfigurieren zu können. Diesen Patch
nur auf Servern verwenden, die mit SP2
für NW 6 bzw. SP5 für NW5.1 gepatcht
wurden.
NDPC4831.exe 280 KB
Das NDPS Update für den Novell Client
4.83 behebt das Problem, daß der Drukkertreiber nicht via NDPS RPM auf den
NT483PT4.exe 403 KB
Die wichtigsten Updates des Novell
Clients 4.83 wurden zusammengefaßt:
NWFS.sys,
NWDHCP.sys,
NWDNS.sys,
NWSAP.sys,
SRVLOC.sys und NWVPNUP.exe.
NWPAUP2.exe 229 KB
Das NWPA.nlm aus dem SP2 der NW6
und dem SP5 der NW5.1 wurde aus den
Service Packs einzeln herauskopiert, da
einige Installationen auf bestimmten Hardware-Plattformen ohne Service Pack Probleme zeigten.
PWDSCH.exf 95 KB
Patch für das Novell Account Management zur Passwort Synchronisation in einer Multi-Tree-Umgebung. In der Standard Version önnen Sie Paßworter vom
Activ Directory oder einer NT-Domäne
bislang mit nur einem NDS-Tree synchronisieren, hiermit geht´s nun auch mit mehreren.
ZFD4AGENTMSI.exf 41205 KB
Diese Dateien und Anweisungen benötigen Sie, um mit dem Applikation Launcher
die ZenWorks for Desktops Management
Dateien Agent.msi an die Arbeitsplätze zu verteilen.
BW628.exe 8883 KB
Die BRICKware for Windows r. 6.2.8 hat neue Funktionen bei
HP-OpenView-Integration sowie dem Activity Monitor
(Namensauflösung und Kommandozeilenargumente). Änderungen wurden vorgenommen beim Setup, der Wizard-Unterstützung, den Lizenzen in Release 6.1.1 und höher sowie den DIME
Tools. Probleme bei Activity Monitor und dem DIME Tools
ISDN Trace wurden gelöst. Der Activity Monitor zeigt unter
Windows XP Fehlverhalten, denn Icons in der Taskleiste werden nicht korrekt dargestellt.Aktiviert man die Ausblendung inaktiver Router, so können auch die Icons aktiver Router aus der
Taskleiste entfernt werden. Bei der Schnellen Benutzerumstellung
(Fast User Switching) unter Windows XP kann der Activity
Monitor zwar von allem Benutzern gestartet werden, die Informationen werden aber nur einem der Benutzer angezeigt.
Q810649_W2K_SP4_X86_EN.exe 3537 KB (engl)
Q810649_W2K_SP4_X86_De.exe 3547 KB (dt.)
Das Update für Windows 2000 bietet bessere Unterstützung
anderer Browser, so daß man nicht mehr gezwungen wird, den
Internet Explorer zu verwenden.
Q329390_WXP_SP2_x86_ENU.exe 283 KB (engl.)
Q329390_WXP_SP2_x86_DEU.exe 285 KB (dt.)
Das Security Update für Windows XP beseitigt einen Fehler des
SMB-Signals, der dazu führte, daß einAngreifer die Group Policy
modifizieren konnte.
Q329170_W2K_SP4_X86_EN.exe 1167 KB (engl.)
Q329170_W2K_SP4_X86_DE.exe 1172 KB (dt.)
Aktuelles Security Update vom Dezember 2002 für Windows
2000.
Q329170_WXP_SP1_x86_ENU.exe 516 KB (engl.)
Q329170_WXP_SP1_x86_DEU.exe 519 KB (dt.)
Das Security Update für Windows XP behebt den Fehler eines
nicht geprüften Buffers in der Windows Shell. Hierdurch kann
der Angreifer die Kontrolle über den Rechner bekommen.
02
Ausgabe 02/2003
31
h
HOTLINE
CISCO
Einbruchssicherung
Teil 2: IDS-Konfiguration auf Cisco Routern und PIX
Von Jörg Marx
Wir haben letztens das Cisco Intrusion Detection System für IOS Router und Cisco Pix skizziert und gesehen, welche
Gegenmaßnahmen bei Denial-of-Service-Attacken getroffen werden können. Nun wollen wir daran gehen, die Konfiguration des IOS bzw. des Pix IDS vorzunehmen.
C
Cisco Systems hat IDS-Funktionen in ihre IOS Router ab
der Version 12.0.5(T) und in die Pix Firewall seit der
Version 5.2.(1) implementiert. Prinzipiell ist die Arbeitsund Funktionsweise dieselbe. Das IDS kann Pakete löschen und Sitzungen zurücksetzten, wenngleich es Alarme lediglich an einen normalen Syslog Server senden
kann, aber nicht an den Cisco Secure Policy Manager
oder den IDS Director. IOS IDS und Pix IDS verfügen
beide über 59 Standardsignaturen. Unterschiede gibt es
in den eingeschränkteren Konfigurationsmöglichkeiten
der Pix.
Hinweis: Wir werden im Schwerpunkt der kommenden
TN 03/2003 zum Thema “Intrusion Detection Systeme”
die Problematik und die verfügbaren IDS-Strategien und
-Techniken im Detail darlegen.
Bei der Konfiguration des Cisco IOS möchten wir uns
auf den Teil beschränken, der auf dem Router bzw. auf
der Pix vorgenommen werden muß. Die eventuell
dahinterliegende IDS-Managementlösung wird nicht
Bestandteil dieses Artikels sein. Es wird ein Lösungsansatz vorgestellt, der davon ausgeht, daß der IOS Router
bzw. die Cisco Pix den Traffic ins Internet regelt und als
Firmenschnittstelle zum Internet dient. Zuerst zeigen wir
Ihnen die Einstellungen für IOS Router mit IDS.
HOTLINE
Cisco IOS IDS
In dem von uns verwendeten Beispiel hat der Cisco
Router die IOS-Version 12.2.12a mit IP, Firewall, IDS
und 3DES Verschlüsselung (vgl. Abb. 1). Wir verwendeten einen Cisco 1720, auf dem CBAC Acces-Listen definiert sind, die nur von innen initiierte Sessions zulassen.
Zudem verfügt der Router über NAT, so daß von außen
nicht erkennbar ist, welche IP-Konfiguration sich hinter
dem Router befindet. Für die Einstellungen im IOS sind
im Prinzip nur ein paar Zeilen erforderlich, die Sie der
Konfiguration hinzufügen müssen:
IP AUDIT NOTIFY LOG
IP AUDIT NAME IDS INFO ACTION ALARM
IP AUDIT IDS ATTACK ACTION ALARM DROP RESET
Mit dem ersten Kommando teilen Sie dem Cisco Router
mit, daß er für das IDS das Syslog Logging verwenden
soll. Hierzu ist es erforderlich, daß auf dem Cisco Router
ein Syslog Server definiert wurde, der im internen Netz zu
finden ist. Mit der zweiten und dritten Zeile wird ein IDSProfil mit dem Namen IDS erstellt. Dieses Profil ist so
ausgelegt, daß es bei Informations- und bei Angriffsnachrichten alarmiert, das Paket löscht und die Session beendet. Dieses Profil müssen Sie abschließend noch auf ein
Interface binden. Hierzu geben Sie die folgenden Kommandos ein:
INTERFACE ETHERNET 0
IP AUDIT IDS IN
Hiermit wird das Profil IDS auf das eingehende Ethernet
O Interface gesetzt. Es prüft somit jedes ankommende
Paket nach den IDS-Richtlinien bzw. vergleicht diese mit
den Signaturen.
SHOW-Kommandos
Zum Überprüfen der Einstellungen hält Cisco wie immer
einige Show-Kommandos bereit.
SHOW
SHOW
SHOW
SHOW
SHOW
SHOW
IP
IP
IP
IP
IP
IP
AUDIT
AUDIT
AUDIT
AUDIT
AUDIT
AUDIT
ALL
CONFIGURATION
INTERFACE
NAME
SESSIONS
STATISTICS
Um die Konfiguration zu prüfen, sollten Sie mit dem Kommando SHOW IP AUDIT CONFIGURATION arbeiten.
Hier erhalten Sie alle wichtigen Einstellungen zum IDS,
zum Beispiel folgende:
Event notification through syslog is enabled
Event notification through Net Director is
disabled
Default action(s) for info signatures is alarm
Default action(s) for attack signatures is
alarm
Default threshold of recipients for spam
signature is 250
PostOffice:HostID:0 OrgID:0 Msg dropped:0
:Curr Event Buf Size:0
Configured:100
Post Office is not enabled - No connections
are active
Audit Rule Configuration
02
Ausgabe 02/2003
32
Audit name ids
info actions alarm
attack actions drop reset
Ist die Konfiguration des IDS auf dem Router abgeschlossen, müssen Sie noch sicherstellen, daß ein Syslog Server
in Ihrem Netzwerk läuft, der die Informationen sammelt.
Cisco PIX IDS
In unserem zweiten Beispiel haben wir eine einfache
gehostete Umgebung vor uns, in der eine Cisco Pix die
Verbindung ins Internet herstellt. Auf dem Inside Interface befinden sich verschieden Server, Web-Server oder
Mail-Server, die gehostet werden (vgl. Abb. 2). Auch auf
der Pix finden Sie die CBAC Access-Listen, die nur einen
von innen initiierten Verkehr zulassen. NAT versteckt das
interne Netz nach außen hin. Um IDS auf der Pix zu verwenden, sollte mindestens die Software Version 5.2 laufen, in unserem Beispiel war es die Version 6.2.2. Auch
hier arbeiten wir mit einem Syslog Server und nicht mit
einem Cisco Secure Policy Manager oder dem IDS
Director. Deshalb muß das Syslog bereits aktiviert sein.
Hierzu benutzen Sie das Kommando LOGGING.
Abb. 1: IDS auf einem Cisco Router
Die IDS Konfiguration auf der Pix geht über das Kommando IP AUDIT vonstatten, wie schon zuvor im IOS,
jedoch sind hier mehr Verknüpfungen erforderlich. Hier
im einzelnen die Kommandos:
IP AUDIT INFO ACTION ALARM
IP AUDIT ATTACK ACTION ALARM
IP AUDIT NAME IDSATTACK ATTACK ACTION ALARM
DROP RESET
IP AUDIT NAME IDSINFO INFO ACTION ALARM
IP AUDIT INTERFACE OUTSIDE IDSINFO
IP AUDIT INTERFACE OUTSIDE IDSATTACK
Die ersten beiden Zeilen aktivieren IDS auf allen Interfaces und geben hierzu Alarme auf Info- oder Angriffssignaturen. Zeile drei und vier definiert ein IDS-Profil mit
einem Namen für die Alarmmeldung und einem weiteren
für die Gegenmaßnahmen, wie etwa Pakete zu löschen
und die Session zurückzusetzen. Die Zeilen 5 und 6 weisen diese Profile den entsprechenden Interfaces zu. Damit
ist die Konfiguration des IDS auf der Pix abgeschlossen.
SHOW Kommandos
Auch bei der Pix haben Sie mit Kommandos wie SHOW
IP AUDIT INFO die Möglichkeit zu prüfen, welche
IDS Features auf der Pix aktiv sind. SHOW IP AUDIT
ATTACK zeigt an, daß die Ausgabe bei einem Angriff ein
Alarm sein wird. SHOW IP AUDIT INTERFACE
OUTSIDE sagt Ihnen, welche Profile dem Interface zugewiesen sind. SHOW IP AUDIT NAME IDSINFO listet
den Inhalt des Profiles IDSINFO.
Syslog Server
Abb. 2: IDS auf einer Pix
Welche Informationen der Syslog Server empfängt bzw.
ausgibt, und wie diese auszuwerten sind, wird an einem
Beispiel deutlich. Folgende Zeilen könnte ein Syslog
Server zeigen, wenn der IDS-Sensor auf dem Router oder
der Pix eine Auffälligkeit erkannt hat. %PIX-4-400027:
IDS:3041 TCP SYN+FIN flags from
134.135.12.12 to 152.146.14.14 on
interface outside. Diese Zeile zeigt an, daß die
IP-Adresse 134.135.12.12 einen Aufklärungsangriff
auf die IP-Adresse 152.146.14.14 gestartet hat. Dieser Vorgang wird als Angriff gewertet, das Paket gelöscht
und die Session zurückgesetzt.
Die Meldung %PIX-4-400027: IDS:2001 ICMP
unreachable from 134.135.12.12 to
152.146.14.14 on interface outside zeigt
an, daß jemand versucht hat, die Paketfilterung zu umgehen. Auch hierbei handelt es sich um eine Angriffsmeldung.
Erscheint %PIX-4-400027: IDS:2001 ICMP echo
reply from 134.135.12.12 to 152.146.14.14
on interface outside, so besagt diese Meldung,
daß von der IP-Adresse 134.135.12.12 eine erfolgreiche ICMP-Echo Meldung (Ping) an die IP-Adresse
152.146.14.14 gesendet wurde. Hierbei handelt es
sich jedoch um eine bloße Information, bei der keine
weitere Gegenmaßnahme eingeleitet wird.
02
Ausgabe 02/2003
33
h
HOTLINE
CISCO
LAN Switching
Teil 1: Grundlagen der Switch-Technologie
Von Jörg Marx
Die Switching-Technologie hat die LANs erobert. Fast alle Netzwerke sind heutzutage geswitcht. Entstanden aus dem
Bedarf nach immer höheren Bandbreiten, kamen mit der neuen Technologie auch Herausforderungen und Probleme
auf die Netzwerkadministratoren zu, die es in den vormals Hub-gestützten Netzwerken nicht gab. Wir möchten Grundlagen und Praxis des LAN Switching aus Sicht des Herstellers Cisco näher beleuchten.
W
Wir werden etwas weiter ausholen,
um die Grundregeln des LANSwitching und die Umsetzung der
Technologie bei den verschieden
Cisco Switches zu erklären. Es geht
uns am Anfang dieser Artikelserie um
die Standard-Techniken. Darauf aufbauend werden wir die erweiterten
Technologien der wichtigsten CiscoKomponenten vorstellen.
HOTLINE
Bridge und Switch
Ein Hub, wir erinnern uns, ist ein reiner Verteiler und Signalverstärker. Er
selbst besitzt keine eigene Intelligenz, um die Performance zu optimieren. Ein Paket, das an ihn geschickt
wird, kann von jedem angeschlossenen Teilnehmer gesehen werden,
denn im Hub findet kein Verteilprozeß statt. Anfangs gab es die gute
alte Ethernet Bridge, die erstmals eine
Lastaufteilung und Segment-Verlängerung vornahm. Vom Prinzip her
macht ein Switch nichts anderes,
wenngleich heutzutage wesentlich
schneller und hochperformant. Er
überwacht dabei alle durchlaufenden
Pakete, um die MAC-Adresse der am
Port angeschlossenen Geräte zu erfahren. Mit diesen Informationen füllt
der Switch seine eigene Datenbank,
denn nach einem Reboot ist diese immer erst einmal leer. Erst wenn über
jeden verbundenen Port ein Paket
gesendet wurde, ist die Datenbank
vervollständigt.
MAC-Adresse
Anhand seiner Adreß-Datenbank ist
der Switch in der Lage, jedes eingehende Paket anhand seiner Quell- und
Zieladresse bestimmten Ports zuzuordnen. Somit kann er das eingehende Paket direkt an den Port weiterleiten, an dem das Bestimmungsgerät
mit seiner Ziel MAC-Adresse angeschlossen ist. Oder andersherum ge-
sehen, alle anderen Ports, die das Paket nichts angeht, sehen es auch nicht.
Diese Verfahren wird als Frame
Filtering bezeichnet.
Was ist aber, wenn die Ziel-MACAdresse nicht in der Switch-Datenbank vorhanden ist? In diesem Fall
wird das Paket im Flooding-Verfahren über sämtliche Ports weitergeleitet, bis der Switch an einem bestimmten Port die gewünschte MAC-Adresse findet und sie in die Datenbank
eintragen kann. Heutzutage ist dieser Vorgang besonders schnell, weil
die Entscheidungsprozesse fast ausschließlich in der Hardware (ASIC)
des Switches ablaufen. Daraus ergibt
sich die um ein Vielfaches erhöhte
Performance gegenüber der althergebrachten Ethernet Bridge, annäherungsweise in Wirespeed. Um solch
rasend schnelle Switching-Prozesse
zu realisieren, bietet Cisco drei unterschiedliche Verfahren an, das Store
and Forward, das Cut-Through und
das Fragment-Free-Verfahren.
Store and Forward
Beim Store-and-Forward-Verfahren
liest der Switch das ankommende
Paket komplett ein und legt es in seinem Buffer ab. Als erstes führt er eine
Überprüfung im Layer 2 durch und
prüft, ob das Paket fehlerhaft ist oder
nicht. Ist es fehlerhaft, wird es verworfen. Wird kein Fehler festgestellt,
schaut der Switch in seiner
Forwarding-Tabelle nach, um den
entsprechenden Port (bei Unicast)
oder gleich mehrere (bei Multi- oder
02
Ausgabe 02/2003
34
Broadcast) zu finden, an den die Pakete weitergeleitet werden sollen. Der
Vorteil dieses Verfahrens liegt in der
Fehlerüberprüfung der Pakete, der
Nachteil in den höheren Latenzzeiten, da jedes Paket erst komplett eingelesen werden muß. Denn dadurch
sinkt die Performance des Switches.
Cut-Through
Das Cut-Through-Verfahren liest im
Gegensatz zum Store-and-ForwardVerfahren nur die ersten 6 Bytes des
Paketes ein. Darin befinden sich die
Quell- und Zieladresse. Wichtig ist
dem Switch aber nur das Ziel, sobald
er die Zieladresse ausgelesen hat,
sieht er in seiner Forwarding-Tabelle
Abb. 1: Netzwerk mit Schleifen
nach, um den oder die Ziel-Ports zu
finden und das Paket direkt dorthin
weiterzuleiten. Der Vorteil liegt in der
geringeren Latenzzeit, da der Switch
das Paket nicht komplett einlesen
muß, um es weiterzuleiten. Hierdurch
gewinnt er deutlich an Performance.
Der Nachteil des Cut-Through-Verfahrens ist, daß keine Fehlerprüfung
der Pakete stattfindet, so daß auch
fehlerhafte Pakete häufiger weitergeleitet werden können.
Fragment-Free
Beim Fragment-Free-Verfahren wird
ein Kompromiß zwischen dem Store
and Forward und Cut Through gewählt. Hierbei liest der Switch die ersten 64 Byte ein,
bevor über die
Forwarding Table
den entsprechende Port adressiert.
In diesen ersten
64 Byte kann somit zumindest
eine Kollisionsprüfung durchgeführt werden.
Hiermit hat der
Switch eine besserer Fehlerüberprüfung als beim
Cut-ThroughVerfahren mit minimalen Performance-Verlusten
in Form.
Abb. 2: Netzwerk, nachdem Spanning Tree abgearbeitet
wurde
Spanning
Tree
Ein wichtiger
Punkt bei der
Konfiguration eines Switches ist
das SpanningTree-Protokoll.
STP wird verwendet, um eine
Schleifenbildung
zu verhindern,
wenn es mehrere
Pfade zu einem
Ziel gibt. Unser
02
Ausgabe 02/2003
35
Schwerpunktthema RSTP beschreibt
die Prinzipien des STP im Detail.
Deshalb wollen wir hier die wesentlichen Begrifflichkeiten und Apekte zu
STP, die für unsere praktische Arbeit
mit den Cisco Switches von Interesse
sind, nur kurz zusammenfassen.
Schleifen
Die unangenehmen Begleiterscheinung der Schleifenbildung können
wir uns an folgendem Beispiel noch
einmal vor Augen führen (vgl. dazu
Abb. 1). Wird eine Broadcast-Nachricht aus dem Segment 3 versendet,
so würden die Bridges B und C diese
Nachricht an das Segment 3 weiterleiten. Die Bridge A würde in diesem
Fall zwei Broadcasts empfangen und
diese an das Segment 1 weiterleiten.
Auch die Bridge D hätte diesen
Broadcast an das Segment 1 weitergeleitet. Bridge D wird jedoch nun
die beiden Broadcasts von Bridge A
wieder in das Segment 2 weiterleiten
und so werden sich die Broadcasts so
langsam hochschaukeln.
Root Bridge
Dieses Verhalten führt zum Broadcast
Storm, der je nach Beschaffenheit das
ganze Netzwerk lahmlegen kann. Um
dies zu vermeiden, nutzen wir das
Spanning-Tree-Protokoll. Denn aus
Redundanz-Gründen ist es oftmals
nötig, Parallel-Verbindungen (Schleifen) aufzubauen. STP erzeugt eine
schleifenfreie Netzwerktopologie.
Hierzu werden die Verbindungen, die
eine Schleife verursachen, in den
Blocking Mode versetzt und damit
gesperrt. Im ersten Schritt wird dazu
im Netzwerk die sogenannte Root
Bridge benannt. Welches Gerät das
sein wird, hängt davon ab, wie die
verschiedenen Switches eingestellt
sind. Haben alle die gleiche Bridge
Priority, so wird die Root Bridge über
die MAC-Adresse der einzelnen
Switches ermittelt, mehr oder weniger zufällig. Möchten Sie jedoch einen bestimmten Switch zur Root Bridge machen, muß dieser mit einer höheren Bridge Priority - und das bedeutet einem niedrigen Wert - ausgestattet werden. Als Root Bridge soll-
h
HOTLINE
te zweckmäßiger Weise ein zentraler
performanter Switch ausgewählt werden. Ist dieser definiert, wählt jede
andere Bridge im Netz einen ihrer
Ports mit dem geringsten Pfadaufwand (Path Cost) zur Root Bridge hin.
Der Pfadaufwand ist die Summe aller
zu durchquerenden Interfaces bis zur
Root Bridge.
Kommando-Eintrag auch weggelassen werden kann. Das Spanning-TreeProtokoll IBM wird nur noch aus
Kompatibilitätsgründen zu alten
IBM-Geräten benötigt. Um sich die
Spanning-Tree-Konfiguration anzusehen, geben Sie SHOW SPANNINGTREE ein.
BPDU-Pakete
Im nächsten Schritt wird die designierte Bridge ermittelt. Hierbei handelt es sich um diejenige, die in jedem LAN den geringsten Pfadaufwand nachweisen kann und somit als
einzige in dieses Segment Pakete
weiterleiten darf. Alle anderen Ports
der anderen Bridges werden in den
Blocking Mode versetzt. Diese Kommunikation geht über sogenannte
BPDU-Pakete (Bridge Protokoll Data
Units). Dabei handelt es sich um einen besonderen Nachrichtentyp, ein
Hello-Paket, das in Spanning-TreeKonfigurationen zum Austausch von
Management- und Steuerinformationen zwischen den einzelnen Bridges verwendet wird. Aus den ausgewerteten Informationen wird anschließend die Topologie des Netzwerkes erstellt. Anhand der Abbildung 2 können Sie diesen Prozeß
noch einmal verfolgen. Root Bridge
ist in diesem Beispiel ist Bridge A,
designierte Bridge ist B. An allen Interfaces finden Sie die Pfadkosten, die
zur Berechnung herangezogen werden.
Wenn Sie die Bridge Priority eines Switches im laufenden Betrieb verändern und sich auch die
Root Bridge ändert, ist Ihr komplettes Netz bis zu 60 Sekunden
lahm gelegt. Spanning Tree führt
eine komplett neue Wegewahl
durch, so daß in dieser Zeit keine
andere Kommunikation möglich
ist.
Bridge Priority
Das Kommando SPANNING-TREE
VLAN (vlan-id) PRIORITY
(bridge priority)dient dazu,
einen Switch als Root Bridge zu definieren. Der Wert der b r i d g e
priority kann zwischen 0 und
65535 liegen, Default ist 32768. Je
niedriger dieser Wert, um so höher die
Priorität und somit die Wahrschein-
lichkeit, daß dieser Switch die Root
Bridge wird. Sie können bestimmte
Werte verändern, beispielsweise die
Max Age, Hello Time und Forward
Delay. Doch sollten Sie diese Werte
zunächst unverändert lassen. Wenn
man an ihnen drehen möchte, muß
zuvor eine Berechnung des Spanning
Trees in diesem Netz durchgeführt
werden.
Haben Sie einen reinen IOS-Switch,
läuft die Konfiguration etwas anders.
Das
Kommando
BRIDGE
(bridge-group) PROTOCOL
IEEE/DEC aktiviert Spanning Tree,
NO BRIDGE (bridge-group)
PROTOCOL IEEE/DEC deaktiviert
STP. Auch hier ist das DEC-Protokoll
nur noch aus Kompatibilitätsgründen
implementiert, Default ist auch hier
IEEE nach dem 802.1D Standard.
Anschließend muß jedes Interface in
diese Bridge Group mit dem Kommando BRIDGE-GROUP (bridgegroup), auf dem Interface, eingefügt werden. Die Bridge Priority definieren Sie wie mit B R I D G E
(bridge-group) PRIORITY
(bridge priority).
Welche Probleme zu einer Fehlfunktion des Spanning-Tree führen können, ist das Thena des nächsten Beitrags.
Tips
BackupToDate
BrightStor ARCserve Backup v9 für NetWare
Fatal Error bei Installation
HOTLINE
Die Konfiguration
Kommen wir also nun zu den Einstellungen auf den Cisco Switches.
Auf allen Switches ist Spanning-Tree
defaultmäßig auf VLAN 1 aktiv. Jedes weitere VLAN auf einem Switch
benötigt seine eigene Spanning-TreeKonfiguration. Zum Aktivieren ist
SPANNING-TREE VLAN (vlanid) PROTOCOL IEEE/IBM einzugeben, zum Deaktivieren: N O
SPANNING-TREE VLAN (vlanid) PROTOCOL IEEE/IBM. Als
Default-Protokoll nutzen die Cisco
Switches immer IEEE, so daß dieser
Während der Installation von ARCserve 9 kann es zu einem Fatal Error
kommen: A fatal error has occurred. This program will
terminate. You may check D:\Program Files\Common
Files\Novell\ni\data\ni.log for more details after you
dismiss this dialog. Null. Um das Problem zu beheben, muß auf
der Arbeitsstation der Ordner NI umbenannt und die Installation wiederholt
werden. Der Ordner wird während der Installation automatisch wieder erstellt. Unter Umständen müssen Sie auch noch auf dem Server in den
Verzeichnissen Sys:\Ni\Update\Data, Sys:\Ni\Update\lib und
Sys:\Ni\Data alle Dateien löschen, die zuARCserve gehören. Auf NetWare
5.1 Servern kann es außerdem nötig sein, den Befehl prodsync menu an
der Serverkonsole aufzurufen und darüber alle BrightStor Einträge zu löschen, die sich auf dem Server befinden. Ein Neustart des Servers ist nach
dem Löschen der Dateien ebenfalls erforderlich.
ARCserve kann übrigens auch an der Server Konsole direkt installiert werden. Es werden dabei die Novell Installation Services (NIS) verwendet,
welche dann über die Novell GUI laufen.
02
Ausgabe 02/2003
36
G+H
Beam uns rüber, Scotty
Tree Commander im Novell eDirectory
Die G+H Netzwerk-Design bietet auch für Administrationsaufgaben im Novell eDirectory ein leistungsstarkes Tool,
das Kopiervorgänge und die Implementation von Objekten in Verzeichnisbäumen wesentlich vereinfacht. Der Tree
Commander ist ein einfacher Browser für intelligente Manipulationen im eDirectory von Novell. Er besteht aus
Designer und Engine.
D
Der Tree Commander von G+H ist
beim Re-Design eines Verzeichnisbaumes genauso hilfreich wie beim
Aufbau eines neuen. Beispielsweise
um einen Meta-Verzeichnisbaum anzulegen, der seine Objekte aus bestehenden Trees erhalten soll.
Directory Design
Die Designer-Komponente des Tree
Commander ermöglicht es, Objekte
aus einem
Verzeichnisbaum auf
einfachste
Art
und
Weise umzukopieren.
Das Ziel des
Kopiervorganges kann
dabei derselbe, aber
auch ein anderer oder
ein neuer
Verzeichnisbaum sein. Mittels Filteroptionen
kann der Kopiervorgang nach vordefinierten Eigenschaften detailliert
beschrieben werden. Alle Einstellungen erfolgen über ein grafisches Interface und benötigen somit keinerlei Kenntnis von Skriptsprachen.
Szenarien
Weil der Designer das Ergebnis eines
Kopiervorganges zunächst nur simuliert, kann das gewünschte Resultat
vorab überprüft werden. Mehrere
Kopiervorgänge können zu einem
Szenario zusammengefaßt werden.
Ein solches Szenario kann mit allen
seinen Eigenschaften gespeichert
und später wieder geöffnet werden.
Werden zum Beispiel Benutzer- und
Gruppenobjekte innerhalb eines
Szenarios verschoben, sorgt der Designer automatisch dafür, daß die zugehörigen Gruppenmitgliedschaften
eines Benutzers entsprechend den
neuen Gruppenlokationen im Zielverzeichnisbaum angepaßt werden.
Ist ein neu entstandenes Szenario abschließend geprüft und für wohl befunden, setzt die Engine-Komponente
des Tree Commander es in die Realität um. Eine genaue Trace-Ausgabe
sowie Statusanzeigen und ein Simulationsbetrieb ermöglichen eine detaillierte Analyse des Kopiervorganges.
Metaverzeichnisse
Metaverzeichnisse dienen heutzutage als eine Art Datendrehscheibe zwischen verschiedenen Verzeichnisdiensten, beispielsweise für Anwendungen oder Datenbanken. Metaverzeichnisse sorgen automatisch
dafür, daß die relevanten Daten bestimmte Verzeichnisdienste, Applikationen und Databases erreichen. Dies
geschieht mittels Event-Steuerung
bzw. mit einem Poll-Mechanismus.
Dazu ist nicht allein die Ablage von
benutzerspezifischen Daten mit Namen, Login, Paßwort oder Zugriffsrechten erforderlich, sondern auch die
Synchronisation in WAN und LAN.
Zudem müssen Netzwerkressourcen
wie Server, Workstations oder Drukker bekannt gegeben werden. Informationen zu Volumes, Printqueues
02
Ausgabe 02/2003
37
und Policies, zu DNS, DHCP oder PKI
wollen hinterlegt werden. Verzeichnis-dienste arbeiten demnach als zentraler Datenspeicher für Services und
Applikation wie auch für Benutzer,
Kunden- und Lieferanten. Sie erst ermöglichen diesen den Zugang und
die Nutzung unterschiedlicher Anwendungen im Intra- und Extranet.
Der Tree Commander hilft, die Komplexität der Systeme zu durchdringen
und Strukturen neu zu gestalten.
Eine Demoversion mit Produktbe-schreibung
finden Sie auf der aktuellen TN Monats-CD im
Verzeichnis TreeCommander. Nach dem
Programmstart werden Sie dazu aufgefordert,
sich mit dem angegebenen Aktivierungscode
zu melden, per Mail an [email protected], via Fax oder Telefon. G+H generiert daraufhin eine Lizenzdatei, die Sie nur
noch in das Programmverzeichnis kopieren
müssen. Zur Installation des Tree
Commander ist die folgende S/N erforderlich:
PWX93-45792-8376X-XWEXX. Nach Ablauf
des 30-tägigen Tests können Sie dann eine
reguläre Lizenz-Datei erwerben. Info unter
www.netzwerk-design.de.
h
HOTLINE
SONICWALL
Global Management System
Teil 1: Security Features und Anforderungen
Von Hardy Schlink
Wir haben in den letzten beiden Ausgaben die Installation und Konfiguration der SonicWALL Security Appliances
behandelt. Sie formen eine umfassende Sicherheitslösung, um das Netzwerk vor verschiedensten Angriffen zu schützen. Diesmal wollen wir Ihnen das SonicWALL Global Management System vorstellen, das zur zentralen Verwaltung
verteilter Internet Security Appliances dient.
I
In dieser Ausgabe wollen wir uns zunächst allgemein mit der grafischen
Management-Software für die Sonic
WALL Internet Security Appliances
auseinandersetzen. Sie trägt den Namen SonicWALLGlobal Management System oder kurz SGMS. Wir
werden skizzieren, für welche Aufgabenbereiche die Software entwickelt
wurde. Daran anschließend werden
ihre wichtigsten Features vorgestellt
und die unverzichtbaren Voraussetzungen für eine erfolgreiche Installa-
HOTLINE
Hotline Support
Bei Compu-Shack erhalten Sie telefonischen Support für die breite
Palette der SonicWALL SecurityProdukte. In einem
professionellen CallCenter helfen Ihnen
erfahrene Systemingenieure wie unser
Autor Hardy Schlick
bei der Lösung von
akuten Problemen.
Die Compu-Shack Hotliner beseitigen gemeinsam mit Ihnen Fehlerquellen direkt am Telefon. Für
sporadische Anfragen wählen Sie
die 0190 / 87 55 22 (1,86 EUR
pro Minute). Für dauerhaften AllInclusive-Support ist die VIP-Support-Card die richtige Lösung.
Kostenlose Informationen zum Leistungssprektrum des Compu-Shack
Supports erhalten Sie unter 02631-983988 oder im Internet unter
www.cs-support.de.
tion. Sie erfordert eine funktionierende Datenbank, wobei wir einen
Microsoft SQL Server 2000 benutzt
haben. Dessen Vorbereitung und die
eigentliche Installation der Management-Software werden Inhalt des
nächsten Beitrags sein.
SGMS
Heutzutage stehen immer mehr Unternehmen und Service-Provider vor
der Herausforderung, eine Sicherheitsstrategie in ihre verteilten Netzwerke zu implementieren. Diese setzt
sich aus mehreren Bausteinen zusammen, um verschiedene Bereiche wie
VPNs, Virenschutz und dasVerhindern
von Hacker-Attacken abzudecken.
Mit dem Anwachsen der verteilten
Netzwerkstruktur und durch die Integration von Außenstellen mit der Zentrale eines Unternehmen über das
Internet wächst die Komplexität des
Managements der Security-Appliances, Security-Policies und Updates.
Eine einzige Schwachstelle in der Implementation der Sicherheitsstrategie
an irgendeinem Punkt des Netzwerkes kann die komplette Infrastruktur
gefährden und somit den böswilligen
Zugriff auf kritische Daten ermöglichen (vgl. dazu auch die grundsätzlichen Überlegungen der Common
Criteria for Security in unserer neuen
Praxis-Serie). Der Schaden durch
Sicherheitslücken kann unter Umständen ein finanzielles Desaster für
ein Unternehmen bedeuten. Sicherheit tut not.
Security-Management
Sehr oft wird das Security-Management noch auf Basis eines sogenannten ”Site by Site Managements” ausgeführt, wobei jede Außenstelle eines Unternehmen für die Einhaltung
der Security-Policies sorgt. Diese Art
des Management ist sehr zeitintensiv, teuer und oft auch unzuverlässig.
Um die Site by Site Security der verteilten Netzwerke abzulösen und ein
zentrales Management zu realisieren,
stellt SonicWALL zwei Software-Suiten ihres Global Management Systems in verschiedenen Editionen zur
Verfügung, die Standard Edition und
die Entry Edition.
Aufgabenbereich
Die Standard-Edition ist für Großunternehmen oder Service-Provider gedacht, die Tausende von SonicWALL
Security-Appliances von einer zentralen Lokation aus verwalten möchten. Die Entry Edition ist für kleinere
bis mittlere Unternehmen und Service-Provider die bevorzugte Wahl,
da das Management bereits ab fünf
installierten SonicWALL SecurityAppliances möglich wird (siehe Abb.
1). Beide Software-Suiten stellen dem
Administrator eine kosteneffektive,
auf Browser basierende übergreifende Management Lösung zur Verfügung. Durch die Bereitstellung der
entsprechenden Tools lassen sich die
Security-Policies einfach konfigurieren und verwalten und VPN-Policies
bis zum Benutzer verteilen. Durch
02
Ausgabe 02/2003
38
das Hinzufügen von verschiedenen
Services wie etwa das Network AntiVirus und Content Filtering erhält der
Anwender einen zusätzlichen Mehrwert für seine Security-Appliances.
Beide Management-Applikationen
helfen den Unternehmen, eine durchgehende Sicherheitslösung zu
implementieren, Kosten einzusparen
und das Verteilen der Security-Policies zu beschleunigen.
Features
Zu den wichtigsten Features des
SonicWALL Global Management
Systems gehören das Centralized
Secure Management, die Managed
VPN Services, das Distributed Security Management und das ViewPoint
Reporting.
Centralized
Mit dem Centralized Secure Management ermöglicht SonicWALL GMS
dem Administrator das entfernte Verwalten der Internet Security
Appliances von einer zentralen Lokation aus. Es vereinfacht die Aufgaben der Definition und Verteilung
von vollständigen, spezifischen oder
gruppenbezogenen Security Policies
sehr weitreichend. Nicht nur die Bearbeitung der Firewall-Funktionen ist
möglich, SonicWALL erlaubt zusätzlich die Konfiguration weiterer
Security-Dienste wie das genannte
Network Anti Virus oder Content
Filtering . SonicWALL GMS sorgt mit
Managed VPN Services dafür, daß die
Definition und Distribution von VPNPolicies leicht von der Hand gehen.
Durch die Verwendung der Management-Software wird erreicht, daß die
Anwendung der VPN-Policies auf den
entsprechenden Appliances erzwungen wird, Hierdurch ist sichergestellt,
daß alle Remote Sites und User mit
den aktuellsten Updates und Policies
arbeiten.
Informationen zu den Installationsvoraussetzungen der Solaris
Server Systeme finden Sie im
SGMS Installation Guide unter
http://www.sonicwall.com/
products/documentation/
sgms_documentation.html
von Informationen in Real Time und
als Historical Reports zu generieren.
Diese Daten dienen einer anschließenden Analyse von Security-Events.
Voraussetzungen
Das Installationsprogramm des
SGMS (HTML) erkennt automatisch,
ob es sich beim zugrunde liegenden
Betriebssystem um Windows NT/
2000/XP oder um eine Solaris ServerPlattform handelt. Die Installationsroutine selbst ist bei allen Systemen
gleich. Da die meisten Installationen
wohl auf einer Windows-Plattform
stattfinden, wollen wir uns im Verlauf
dieses Artikels auf deren Voraussetzungen konzentrieren. Bevor Sie an
die eigentliche Installation des
SGMS gehen, sollten Sie sich vorab
die allgemeinen Anforderungen des
Programms an seine Arbeitsumgebung etwas genauer anschauen. Sie
betreffen Datenbanken, Treiber und
das SGMS Gateway ebenso wie Betriebssystem- und Netzwerkanforderungen.
Distributed
Der Verantwortungsbereich des Managements kann vom Administrator
mit Hilfe des SGMS segmentiert werden. Somit können Zuständigkeiten
für bestimmte Security-Appliances
entsprechend definierten
Anwendergruppen zugeAbb. 1: Aufbau des SonicWALL Global Management Systems
ordnet werden. Durch die
Vergabe von Rechten
und Privilegien für einen
Multi-Level-Access wird
sichergestellt, daß nur
eine ganz bestimmte
Gruppe die SecurityAppliances managen
kann.
Durch die Bereitstellung
eines Reporting-Systems
erlaubt SGMS die grafische Darstellung der
Firewall- und Netzwerkaktivitäten aller verwalteten Internet Security
Appliances. Mit Hilfe
von ViewPoint erhält der
Administrator die Möglichkeit, eine Vielzahl
ersetzen
02
Ausgabe 02/2003
39
Eine Kopie des i-net SPRINTA™
JDBC Treibers finden Sie auf der
SonicWall GMS CD-ROM. Wir
empfehlen Ihnen, die Datenbank
aus Performance- und Sicherheitsgründen auf einem separaten Server zu implementieren.
Datenbank und Gateway
Um die Managementapplikation
SGMS nutzen zu können, benötigen
Sie entweder eine Oracle 9i Datenbank oder einen Microsoft SQL Server 2000 mit SP2. Für den eigentlichen Zugriff auf die Datenbanken
wird weiterhin ein Java Database
Connectivity Treiber (JDBC) gebraucht. Im Falle des SQL Servers
2000, wird der i-net SPRINTA JDBC
Driver vom Setup-Programm der
SGMS Installationsroutine bereits
automatisch auf der ManagementMaschine hinterlegt.
h
HOTLINE
Der Datenbank-Server muß mit wenigstens einem 750 MHz Prozessor,
512 MB RAM und 2 GB freiem Plattenspeicher die Mindestanforderungen erfüllen. Um das SonicWall Global Management System einsetzen zu
können, ist es erforderlich ein sogenanntes SGMS Gateway zwischen
jedem SonicWALL GMS Agent Server und den zu verwaltenden
Security-Appliances zu integrieren.
Das SGMS Gateway erlaubt jedem der
Agent Server über VPN-Tunnels eine
sichere Kommunikation mit den
Appliances, entweder über Management VPN-Tunnel oder via Site-to-Site
VPN-Tunnel.
COMPU-SHACK TRAINING
Sicherheit mit SonicWALL
Security-Training mit Extra on Top
Die SonicWALL-Schulungen der Compu-Shack Training bieten Administratoren, Security-Verantwortlichen und Support-Mitarbeitern praxisnahes Know-how für die Planung, Inbetriebnahme und Betreuung von
Netzwerken mit SonicWALL-Komponenten. Nach Abschluß des Trainings
SonicWALL Security Administrator geht die während der Schulung benutzte SonicWALL TELE3 (Not for Resale, NFR) in den Besitz des Kandidaten über, ein attraktives “Extra on Top”.
Compu-Shack Training bietet ab März
2003 Schulungen zum Thema SonicWALL
Security an. Interessenten können wählen
zwischen der Qualifizierung zum
SonicWALL Security Administrator mit
Abschlußtest oder einem Intensivtraining
zu SonicWALL Advanced VPN.
Netzwerk
HOTLINE
Wie eingangs gesagt, beziehen wir
uns hier auf Windows NT/2000/XPPlattformen. Um SGMS anforderungsgemäß installieren und ausführen zu können, wird ein Administrator Account benötigt. Die Betriebssystemanforderungen sind Windows
NT 4.0 mit SP4 oder höher, Windows
2000 oder XP Professional.
Der lokale und entfernte BrowserZugriff erfolgt über Internet Explorer
oder Netsca pe 4.7. Auf jedem
Windows-basierenden SGMS-Server
muß für Oracle 9i ein Client installiert werden, außerdem für Oracle wie
für Microsoft SQL Server der JDBCTreiber. Wir brauchen min. eine 750
MHz CPU, 512 MB RAM und 85 MB
freien Speicherplatz.
Security Administrator mit Extra
Das 2-Tage-Seminar ”SonicWALL Security Administrator” mit Extra on Top bietet
eine intensive TELE-TZX-Schulung und versetzt Sie in die Lage, die betriebsspezifische Netzwerksicherheit mit SonicWALL individuell zu planen, einzurichten und
zu warten. Themenschwerpunkte sind Firewall-Technologien, grundlegende
Installationsschritte, Tips und Tricks für die Praxis sowie SonicWALL IPSc VPN
und Content Filter. Als Abschluß des Kurses wird der CSSA Online-Test zum Certified
SonicWALL Security Administrator abgelegt. Das Besondere dabei ist, daß on Top
die während der Schulung benutzte SonicWALL TELE3 (NFR) nach Abschluß des
Trainings in den Besitz des Teilnehmers übergeht. Der Preis für das zweitägige
Training beträgt 1450,- •. Die Termine sind der 17. bis 18. März 2003 in Neuwied
und der 21. bis 22. Mai 2003 in München.
Bandbreite
SonicWALL Advanced VPN Design
Installation und Betrieb der SGMSSoftware stellen folgende Anforderungen an das Netzwerk. Der SGMS
Server benötigt direkten Zugriff ins
Internet und muß über eine statische
IP-Adresse verfügen.
Die Netzwerkverbindung des SGMSServer muß sicherstellen, daß mindestens 1 KByte/s an Bandbreite für
jede zu verwaltende SecurityAppliance zur Verfügung steht. Wenn
also das Management von 100 Appliances ansteht, muß die Verbindung
eine Bandbreite von 100 KByte/s
unterstützen.
Der Tages-Kurs ”SonicWALL Advanced VPN” vermittelt die Details beim Design
von VPN-Konzepten und Technologien, einschließlich der Installation und Konfiguration. Ebenso werden IPSEC-Implementation und -Kryptographie behandelt.
Weitere Schwerpunkte bilden das Design von SonicWALL-Lösungen sowie das
Troubleshoooting.Der Kurs findet am 19. März 2003 in Neuwied und dem 23. Mai
2003 in München statt. Der Preis beträgt 790,- € •. Für beide Kurse sind gute TCP/IPKenntnisse und ein grundlegendes Verständnis von Netzwerkkonzepten erforderlich, insbesondere der Topologien und des OSI-Schichtenmodells. Netzwerkkenntnisse von Microsoft Windows sind hilfreich. Für den Kurs ”SonicWALL Advanced
VPN” sind erste, allgemeine Kenntnisse über VPN-Tunnel von Vorteil.
Für eine persönliche Beratung und Anmeldungen steht das Compu-Shack Training
Team unter 02631-983-317 gerne zur Verfügung. Weitere Informationen zu Trainings, Terminen und Preisen finden Sie im Internet unter
www.training.compu-shack.com.
02
Ausgabe 02/2003
40
SONICWALL
Services
Support nach Maß
SonicWALL bietet differenzierte Support-Programme an, die darauf ausgerichtet sind, daß Kunden die bestmögliche
Unterstützung für Appliances und das Global Management System erhalten. Je nach Bedarf können die Support
Services während der Arbeitswoche oder rund um die Uhr in Anspruch genommen werden. Für das SGMS ermöglicht
die implementierte Mandantenfähigkeit das Anbieten von Security Services durch Telekommunikationsunternehmen
und Service Provider.
F
Für die SonicWALL Appliances besteht neben einem Hardware Vorabaustausch ein Telefon- und Web Support, mit Zugang zur Knowledge-Datenbank und zu Firmware Updates.
Während der Garantiezeit von einem
Jahr können diese Leistungen an 90
Tagen während der lokalen Geschäftszeiten in Anspruch genommen werden, bei Abschluß des Jahresvertrages 8x5 während des ganzen Jahres
zu lokalen Geschäftszeiten und beim
SonicWALL Support 24x7 sogar rund
um die Uhr.
Garantie-Support
Die SonicWALL-Produkte sind zuverlässig, einfach zu installieren, zu
konfigurieren und zu managen. Die
SonicWALL-Support-Garantie enthält einen erweiterten Austausch-Service für defekte Hardware, einen 90Tage-Telefon-Service und Web-basierten Support für die Installation
oder Hilfen bei der Konfiguration
während der lokalen Geschäftszeiten.
Die ersten 90 Tage erhalten Kunden
kostenlos Software und Firmware
Updates über ihren Zugang zu
SonicWALLs elektronischen Support
Tools.
8x5 oder 24x7
Für Kunden, die erweiterten technischen Support und weitere Vorteile
durch zusätzliche Software und Firmware Updates wünschen, bietet
SonicWALL den Support 8x5 an.
Dieser Jahresvertrag enthält erweiterten Austausch-Service für defekte
Hardware, Telefon- und Web-Support
während der Geschäftszeiten sowie
Zugang zu allen Soft- und Firmware
Updates. Bei Kunden mit kritischen
Netzwerken, die keine Ausfallzeiten
dulden, erweitert der SonicWALL
Support 24x7 diesen Jahresvertrag um weitere Services. Telefon- und WebSupport stehen
an sie ben Tage
pro Woche rund
um die Uhr zur Verfügung, für eine
Eskalationsintervention bei Problemen der höchsten Prioritätsstufe.
SGMS Support
Für das SonicWALL Global Management System, die übergreifende Software-Plattform zum zentralen Verwalten der Sicherheitsinfrastruktur einer
oder mehrerer Unternehmungen, sind
die Support Services während der einjährigen Garantiezeit und bei den
Serviceverträgen 8x5 oder 24x7 die
gleichen wie zuvor. Der Comprehensive GMS Support 8x5 und 24x7
schließt die Appliances zusätzlich
mit ein. Die implementierte Mandantenfähigkeit erlaubt das Anbieten von
Security Services durch Telekommunikationsunternehmen und Service Provider. Denn viele Unternehmen stehen vor der Frage, ob die über
verschiedene Standorte verteilten Sicherheitssysteme wie Firewalls, VPNSysteme und Antiviren-Lösungen mit
eigenen oder fremden Ressourcen
verwaltet werden sollen.
02
Ausgabe 02/2003
41
Managed Services
Die strategische Entscheidung, sich
auf das Kerngeschäft zu fokussieren
und damit Bereiche wie die IT-Sicherheit outgesourct zu betreiben, liegt
im Trend. Für Carrier, Ser vice
Provider und Security
Outsourcing Firmen
stellt sich die Frage, wie die verteilten Sicherheitssysteme der
Kunden effektiv und
kostengünstig betrieben werden
können. Die Lösung ist der Managed
Security Service, der mit Hilfe einer
zentralen Sicherheits-ManagementPlattform erbracht wird, die zentral
beim Service Provider oder in der internen IT-Abteilung installiert ist. Sie
verbindet jede Außenstelle über einen sicheren VPN-Tunnel, durch den
die für das Management notwendigen Informationen ausgetauscht werden. Reporting Informationen, Policy
Definitionen, VPN Tunnel-Parameter
und Konfigurationsdaten von Antiviren und URL-Filter sind in einer
zentralen Datenbank abgelegt. Das
Management durch unterschiedliche
Administratoren erfolgt über eine
Web-basierte Konsole.
Hinweis
Ein Compu-Shack Learning Cycle
informiert im Februar zu VPNs mit
SonicWALL. Das Global Management System sowie die Interoperabilität mit VPN-Produkten anderer
Hersteller sind das Thema. Weitere
Info in der Rubrik Vorschau.
h
HOTLINE
WATCHGUARD
Firebox Vclass
Enterprise Level Security
Mit der neuen Firebox Vclass Produktserie von WatchGuard erhält die High Speed Network Security Einzug in das
Netzwerk. Die Systeme sind auf das Enterprise Class Business, auf Remote Offices, auf Service Provider und Data
Center ausgerichtet und abgestimmt. Nachdem wir uns letztens mit den WatchGuard Fireboxes befaßt haben, wollen
wir Ihnen nun auch die Features und Vorzüge der Vclass Serie vorstellen.
D
Die WatchGuard Firewall-Appliances
der Vclass sind selbst höchsten Ansprüchen an die Skarlierbarkeit der
VPN-Technologie gewachsen. Je
nach Gerät können bis zu 20.000
IPSec-Tunnel aufgebaut werden. Die
Integration von vier Embedded
RISC-Prozessoren dient dabei zur beschleunigten
Ausführung der
Firewall-, NAT- und QoS-Funktionen.
Gleichzeitig wird eine höhere Flexibilität erreicht. Die Firebox VclassModelle V100, V80, V60 bieten eine
umfassende Kombination aus Software- und Management-Tools, für
eine konsistente Netzwerk-Infrastruktursicherheit. Die Firebox Vclass V10
ist als sogenannter VPN Endpoint
ausgelegt.
HOTLINE
Stateful Packet Filter
Die Stateful Packet Filtering Technologie sorgt für das performante
Scannen der IP-Header des gesamten
Datenverkehrs sowie für den schnellen Zugriff auf Source/Destination
Port und IP-Adresse. Der Filter verfolgt, welcher Traffic jede Workstation versendet, und welcher DatenTyp typischerweise als nächstes zu erwarten ist. Gerichtet auf das nächste
zu erwartende Paket, welches zu einer normalen Session gehört, legt das
Stateful Packet Filtering sofort entsprechende Accept oder Deny Rules
im System an.
VPN Unterstützung
Das VPN Management erfährt eine
Vereinfachung, indem VPN-Traffic zu
mehreren Endpunkten geroutet wird,
die alle einen einzelnen VPN-Tunnel
benutzen. Die integrierte VPN-Software ermöglicht das Konfigurieren
von Security Policies für die VPNTunnels, um die sogenannten
Extranets abzusichern. Auch einzelne Remote-Mitarbeiter erhalten durch
die WatchGuard Mobile User VPN
Software, die einfach in die Modelle
V100, V80, V60 eingebunden werden
kann, einen sicheren Zugang zum
Netzwerk. Die Firebox Vclass V10
unterstützt jedoch kein Mobile User
VPN und WatchGuard Authentication Server SecureID.
NAT
Network Address Translation sorgt
dafür, daß zur Kommunikation mit
dem Internet nur die öffentlichen IPAdresse(n) verwendet werden. Die
privaten Adressen der Server oder
Workstations werden entsprechend
durch die Firebox übersetzt, und sind
daher im öffentlichen Netz nicht bekannt. Zusätzlich erlaubt NAT den
Zugriff auf Ihre internen Servern, welche über nicht registrierte IP-Adressen verfügen. Die Vclass Firewalls
supporten hierbei statische NAT und
dynamische NAT, reelle One-to-one
NAT, Subnet-to-Subnet NAT, Port
Forwarding und Virtual IP.
Policy based
Mit Hilfe der Firebox Vclass Serie
und QoS erhalten Administratoren
die Möglichkeit, ein Policy based
Traffic Management aufzubauen.
Durch die Funktion des Weighted fair
Queueing werden den einzelnen
Policies entsprechende Prioritäten
vergeben. Für ein- und ausgehenden
Datenverkehr können die DiffServ
Codepoint- (DSCP) und TOS-Informationen überschrieben werden, um
persönliche Anforderungen zu realisieren. Das Traffic Management QoS
erlaubt es den Firebox Vclass Appliances, an sogenannten Multiprotocol- (MPLS) Umgebungen teilzunehmen.
Optionen
Durch das Abonnieren der Anti-VirusLösung von McAfee erreichen Sie
zusätzliche Sicherheit für Ihre Desktop-Systeme. VirusScan ASaP bietet
den kontinuierlichen Schutz gegen
bekannte Viren, Web-Attacken und EMail Intrusion. Alle Firebox Vclass
Appliances beinhalten eine einmalige VirusScan ASaP Subscription, automatische Updates sind durch eine
”Live Security Subscription” einfach
zu handhaben. Ein Premier Service
Program wurde ins Leben gerufen, um
eine erhöhte Verfügbarkeit Ihrer
Firewall-Appliances sicher zu stellen.
Sie erhalten damit einen 24-StundenSupport an 7 Tagen pro Woche und
direkten Zugang zum Priority Support Team, mit einer garantierten maximalen Antwortzeit von einer Stunde.
Network Features
Über das Multi-Tenant Security Management haben Managed Service
Providers (MSPs) und Co-Location
Web-Server Provider die Möglichkeit, unabhängige Policies für bis zu
02
Ausgabe 02/2003
42
200 Tenants (Mieter, Pächter) zu definieren, unterstützt durch die Policybasierenden Features 802.1Q VLAN
Tagging, Routing und Firewall User
Authentication. In einer sogenannten
Hub and Spoke-Topologie ist das
VPN-Tunnel-Switching eine effektive und effiziente Methode, um Corporate VPNs zu verwalten. Der Administrator wird in die Lage versetzt,
VPN-Tunnels zwischen Zentrale und
Außenstellen schnell und einfach zu
implementieren.
Load Balancing
Wenn der durch die Firebox Vclass
strömende Datenverkehr auf eine bestimmte definierte Policy paßt, so
wird dieser Traffic automatisch auf
den Server umgeleitet, der hierfür die
leistungsfähigsten Ressourcen zur
Verfügung stellt. Der Datenverkehr
wird zwischen den verfügbaren
Servern durch sechs verfügbare Algorithmen verteilt, die da wären: Roundund
Weighted Round-Robin,
Random, Weighted Random, Leastund Weighted- Least_Connections.
Durch High Availability Active/
Active (A/A) und die Benutzung von
zwei gleichen Vclass-Appliances wird
nahezu eine Verdoppelung des Durchsatzes erreicht, indem der Datenverkehr gleichzeitig durch diese hindurch geleitet wird. Zusätzlich wird
ein Stateful Failover (Redundanz) der
Firewalls und VPN-Verbindungen erreicht. Die Option steht durch den
Erwerb einer weiteren Lizenz für die
Modelle V100 und V80 zur Verfügung.
Quality of Service
QoS optimiert die Kontrolle eines
komplexen Netzwerkes, indem den
unterschiedlichen Arten von Datenverkehr für Sprache, Daten, Video und
Applikationen eine bestimmte Priorität zugeordnet wird. Die Geräte der
Firebox Vclass Serie verwenden hierfür die Funktion des Weighted Fair
Queueing zur Priorisierung der
Policies. Port Shaping erlaubt es der
Appliance, den Traffic zu verlangsamen und hiermit einen Paketverlust
für hierfür empfindliche Datenströme
zu vermeiden. Auch die Technik des
Traffic Shaping sorgt durch eine
Priorisierung nach der Wichtigkeit
der Daten dafür, daß keine Pakete
verloren gehen.
Vcontroller Management
Die Firebox Vcontroller Management
Software kommt zum Einsatz, wenn
es darum geht, eine oder wenige
Appliances zu verwalten. Hierfür stehen verschiedene Built-In Management-Tools zur Auswahl. Das Device
Discovery Feature sorgt dafür, daß die
IP-Adresse der Vcontroller Management Workstation nicht abgeändert
werden muß, damit diese dem
Subnetz entspricht, in dem die IPAdresse des privaten Interfaces der
Appliance liegt. Durch den Import
eines XML-Profile kann die Konfiguration der Vclass-Systeme ausgeführt werden, was sinnvoll ist, um
mehrere Geräte schnell in Betrieb zu
nehmen. Der Install Wizard dient einer schnellen und einfachen Installation und verringert gleichzeitig die
administrativen Kosten. Durch den
Schritt-für-Schritt-Prozeß gestaltet
sich die erstmalige Inbetriebnahme
des Systems und der Policies als denkbar einfach. Der wohlabgestimmte
Prozeß vermeidet Fehler, die bei komplexen Konfigurationsprogrammen
an der Tagesordnung sind. Mit Hilfe
des Policy Checker können in
Remote Sites konfigurierte Policies
überprüft und als ausführbar deklariert werden. Weiterhin kann sichergestellt werden, daß die neuen
Policies richtig geschrieben wurden
und in der korrekten Reihenfolge
angewendet werden.
Für die Security einer Firewall spielen auch die Logging-Fähigkeiten
eine Rolle. Sie können z.B. Logs zu
einem Server senden, der für das Empfangen von entsprechenden Nachrichten vorbereitet wurde (Archivierung).
Auch die Analyse der Log-Dateien
mit Hilfe einer Third Party Software
wie WebTrens sollten Sie in Betracht
ziehen.
CPM Management
Das WatchGuard CPM Management
vereinfacht dieVerteilung der Policies
über eine zentrale Console, über die
das Verwalten von mehreren Firebox
Vclass Installationen im gesamten
Enterprise-Netzwerk ermöglicht wird.
Der primäre Einsatzort dieser Software ist im Enterprise-Netzwerk,
Datencenter oder bei größeren Service-Providern zu finden, wo die
skalierbare Management-Plattform
ihre Vorteile ausspielen kann und die
Skalierbarkeit sichergestellt. Die Verfügbarkeit von Lizenzen für 10 bis
200 Appliances und eine SiteLicense runden das anforderungsgerechte Angebot ab.
Tips
BackupToDate
BrightStor ARCserve Backup v9 für NetWare
Der volle Service
Wenn auf einem NetWare 6 Server der Open File Agent verwendet wird,
kann es vorkommen, daß eine Meldung besagt, daß offene Dateien während des Sicherns vorhanden seien. Bei NSS Volumes muß, nachdem
BAOF geladen ist, der Server neu gestartet werden, um sicherzustellen,
daß während des Snapshots keine Dateien offen sind. Bei traditionellen
Volumes auf NetWare 6 muß das Ipxspx.nlm geladen sein. Es ist nicht
nötig, IPX auf eine Karte zu binden, es reicht, das NLM zu laden.
ARCserve 9 unterstützt Cluster Failover. Voraussetzung ist, daß bei NetWare
6 mindestens das Service Pack 1 installiert ist und die Novell Cluster Services 1.6 oder höher verwendet werden. Man kann auch ältere Cluster
Services so wie vorher mit der ARCserve 7 Version sichern.(Sie sollten die
CA Dokumente 18090 und 19133 lesen.) ARCserve 9 verwendet den GWTSA
von Novell, um Groupwise 6 zu sichern. Der Groupwise Agent von ARCserve
wird nur für die Vorgängerversionen von Groupwise 6 gebraucht.
02
Ausgabe 02/2003
43
h
HOTLINE
NOVELL
FAQs und Facts
Interessante Tips der Deutschen Netware FAQ
Von Stefan Braunstein
Mit den letzten Support Packs für NetWare 5.1 und 6.0 wurden einige NLMs verschoben. Daher muß jetzt eine
angepaßte CONFIG.SYS existieren, weil einige elementare Module nicht mehr geladen werden können und der
Server nicht korrekt hochfährt. Dennoch kann es vorkommen, daß Sie Public Symbol Errors sehen. Gleichzeitig hat
Microsoft mit dem Windows XP Service Pack 1 eine merkwürdige Sicherheitsprüfung eingebaut.
D
Die JRB Utilities existieren bereits seit zehn Jahren. Alljährlich im Dezember veröffentlicht der Entwickler John
Baird ein neues Update. Die Sammlung der JRB Utilities
enthält viele einzelne Tools, mit denen Datei-, NDS- und
Bindery- Manipulationen per Kommandozeile oder von
komfortablen grafisch orientierten Programmen aus gestartet werden können. Damit werden Automatismen möglich, die zum Beispiel ganze Abteilungen in der NDS und
auf einen neuen Server umziehen lassen, inklusive aller
notwendigen Änderungen der Userobjekte und
Verzeichnisstrukturen. Einige erstellen Listen von beliebigen NDS- oder Dateiobjekten mit vielerlei Filter- und
Sortiermöglichkeiten.
HOTLINE
JRButils 9.00
Der Teil A, der nur 16-bit-Tools zur Manipulation der
Bindery enthält, ist frei verfügbar und liegt der TN Monats-CD im Verzeichnis NWFAQ bei. Die anderen vier
Teile, die 32-bit-Textprogramme für den Zugriff auf
Bindery und NDS sowie die grafisch orientierten Programme enthalten, müssen bei JRB Software bezahlt werden.
Auch die Dokumentation im PDF-Format muß separat
erworben werden. Allerdings besitzt jedes einzelne Tool
eine ausführliche Online-Hilfe, die mit dem Parameter ?
angezeigt wird. Im frei verfügbaren Teil A gibt es eine
Kurzbesc hreibung der Tools aus allen Teilen im
JRBGUIDE.PDF. Hier ist auch eine Aufstellung zu finden, die beschreibt, welches der insgesamt 122 Tools für
welche Aufgabe geeignet ist.
FILES=50
BUFFERS=50
Ansonsten können einige elementare Module nicht geladen werden und der Server fährt nicht korrekt hoch.
Public Symbol Error
Nichtsdestotrotz kann es vorkommen, daß Sie Public Symbol Errors sehen, die sich auf das LIB0.NLM beziehen.
Hierzu gibt es einen Workaround, wobei Sie eine Datei
INSTAUTO.NCF in SYS:SYSTEM erstellen, in der LOAD
LIB0.NLM oder LOAD LIBC.NLM enthalten sind. Diese INSTAUTO.NCF wird automatisch in der Loadstage 2
geladen und lädt ihrerseits die erforderlichen Module,
bevor der Policy Manager im Loadstage 3 darauf zugreift.
Wenn der Server auch nach der Installation oder Update
den Namen TEMPORARY hat, existiert wahrscheinlich eine
INSTAUTO.NCF in C:\NWSERVER, die dem Server in
der Loadstage 2 diesen Namen verpasst. Normalerweise
wird die Datei zwar gelöscht, bei einem Abbruch oder
anderen Problem während der Installation oder einem Update kann es aber vorkommen, daß dies nicht klappt.
Die Datei INSTAUTO.NCF bietet eine elegante Möglichkeit, CONLOG vor dem Starten der AUTOEXEC. NCF
zu laden, um wirklich alle Ausgaben der AUTOEXEC.NCF
mit zu protokollieren. (siehe TID 10063 364)
Verschoben
Seit dem letzten Support Packs für NetWare 5.1 und 6.0
sind einige NLMs von S Y S : S Y S T E M nach
C:\NWSERVER verschoben. Sie werden beim Start des
Servers nun von dort geladen. Aus diesem Grund muß
jetzt zwingend eine CONFIG.SYS existieren, die folgenden Einträge enthält:
TCP/IP Statistiken
Mit den aktuellen Support Packs für NW5.1 und 6.0 können Sie übrigens an der Konsole mit den Befehlen _TCP
oder _IP aktuelle Statistik-Informationen zu diesen Protokollen anzeigen.
02
Ausgabe 02/2003
44
XP Profilierung
Microsoft hat mit dem Windows XP Service Pack 1 eine
Prüfung eingebaut, ob das Profil auf einem Microsoft
Server liegt. Wenn nicht, wird es aus “Sicherheitsgründen” nicht mehr geladen. Deaktivieren läßt sich diese
vermeintliche Sicherheitsprüfung mit der Änderung eines Registry Eintrags: [HKEY_LOCAL_ MACHINE \
SOFTWARE \ Microsoft \ Windows NT \ Cur
r e n t V e r s i o n \ W i n l o g o n ] . Er lautet:
„CompatibleRUP Security“=dword:00000001.
Abb. 1: Statistiken des Konsolenbefehls _IP
Stefan Braunstein, der Verwalter der Deutschen NetWare
FAQ (www. netwarefaq.de) und der Netzwerk-UtilitySammlung (www.net ware files.de), liefert TechnikNews-Lesern allmonatlich Tips, Tricks und Tools rund um Novell
NetWare und verwandte Themen.
Sie erreichen den Autor über www.braunstein.de.
Angesprochenen TIDs (technical information documents) und
weitere englischsprachige Informationen finden Sie in der Novell
Knowledge Base: http://support.novell.com/
search/kb_index.jsp. Einen direkten Link zur NetWare
FAQ haben Sie auch über Technik News online:
www.technik-news.de.
Abb. 2: Statistiken des Konsolenbefehls _TCP
Tips
BackupToDate
BrightStor ARCserve Backup v9
für NetWare
ARCserve Manager
Der ARCserve 7 und ARCserve 9 Manager können nicht
gleichzeitig auf einer Arbeitsstation installiert sein. Sollte
der 7er Manager installiert sein, kann er auf die 9er
Version upgedatet werden.
Auf einer Arbeitsstation wird ein Novell Client 32 benötigt, um über diese ARCserve 9 zu installieren. Jedoch
muß sich der Novell 32 Client nicht auf der Arbeitsstation befinden, um mit dem ARCserve Manager zu
arbeiten. An der NetWare Konsole läßt sich auch weiterhin eine Sicherung oder ein Wiederherstellen von
Dateien direkt durchführen. Sie müssen nicht unbedingt den ARCserve Manager auf einer Arbeitsstation
verwenden. Dieser ist jedoch komfortabler in der Bedienung. Durch Aufruf des TCC.NLM kann ein Tape
Ceaning Job über ein Utility am Server durchgeführt
werden. Sie können jedoch auch den Job Scheduler
Wizard im ARCserve Manager verwenden. Über den
Gerätekonfigurations-Wizard, den Sie ebenfalls über
den ARCserve Manager aufrufen, können Sie ARCserve
9 so konfigurieren, daß die Sicherung anstelle eines
Bandlaufwerkes eine Festplatte als Medium verwendet.
ARCserve 9 funktioniert also auch ohne angeschlossenes Bandlaufwerk.
Tips zu Datenbanken
Der Oracle Datenbank Agent erlaubt es, eine Sicherung
der Datenbank durchzuführen, ohne sie herunterfahren
zu müssen. Es kann sogar weiterhin auf der Datenbank
gearbeitet werden. Die Datenbankintegrität wird durch
den Schutz von Transaction Log, Archive Log, JournalDateien und Daten sichergestellt. Der Qracle Agent kann
individuelle Tablespaces sichern und wiederherstellen.
Er unterstützt das Sichern und Wiederherstellen von entfernten System über TCP/IP.
ARCserve 9 hat aber keinen MS SQL Agent, so daß es
nur die Möglichkeit gibt, die Datenbank komplett als Datei zu sichern, nachdem sie
zuvor heruntergefahren
wurde. Dieses kann automatisch
über
den
Sicherungsauftrag veranlaßt werden. Möchten Sie
die SQL-Datenbank jedoch
ohne voriges Herunterfahren ”live” sichern, müssen Sie ARCserve 9 für
Windows mit dem SQL
Agent verwenden.
02
Ausgabe 02/2003
45
p
PRAXIS
MICROSOFT
Get Secure - Stay Secure
Teil 1: Common Criteria for Security
Von Patrick Fell
Vielerlei Bedrohungen gefährden unsere Netzwerk-Ressourcen. Microsoft hat deshalb das Strategic Technology
Protection Program gestartet und die Sicherheitsevaluierung “Common Criteria” für ihr Betriebssystem Windows
2000 Server erlangt. Dies wollen wir zum Anlaß nehmen, aufzuzeigen wo Sie Ihr Microsoft Netzwerk sichern können
und wie Sie es in einem gesicherten Zustand halten. Denn Schwachstellen in der IT-Infrastruktur werden inzwischen
nur allzu oft für Angriffe und Manipulationen ausgenutzt.
Schon das Erstellen einer von Beginn
an sicheren Umgebung ist nicht ganz
einfach. Sobald eine Umgebung jedoch aktiv ist und genutzt wird, ist es
ein ganz anderes Problem, ihre Sicherheit auch dauerhaft zu gewährleisten. Zusätzliche Maßnahmen
müssen zum Schutz vor Risiken ergriffen werden, die in der weiteren
Zukunft Gefahren heraufbeschwören
, um effektiv reagieren zu können.
PRAXIS
D
Das neue Schema zur Sicherheitsevaluierungs, die Common Criteria for
Information Technology Security
Evaluation, kurz und unausprechlich
CCITSE genannt, stellt einen internationalen Standard dar, der die
Evaluierung von Softwareprodukten
wie etwa Betriebs- oder Firewallsysteme regelt. In diesem ersten Artikel werden wir allgemein auf das
Strategic Technology Protection Program eingehen, eine Initiative, die
Microsoft schon im Oktober letzten
Jahres gestartet hatte, um ihre Produkte, Dienste und Support unter dem
Aspekt der Netzwerksicherheit den
Common Criteria anzugleichen. Wir
wollen Ihnen nicht nur grundlegende Informationen zu potentiellen Sicherheitsrisiken geben, sondern in
den kommenden Ausgaben auch im
einzelnen all die Punkte durchnehmen, die zum Sichern Ihres MicrosoftNetzwerks abgearbeitet werden sollten.
Secure
Der Prozeß zur Erzeugung und zur
Beibehaltung einer sicheren Netzwerkumgebung kann in zwei zusammenhängende Phasen eingeteilt werden, die mit den Begriffen “Get Secure” -Sicherheit schaffen- und “Stay
Secure” - Sicherheit wahren- umrissen werden. Um den größtmöglichen
Sicherheitsgrad für ein Netzwerk zu
erreichen, wurden von Microsoft für
die IT-Sicherheitsbeauftragten neue
Möglichkeiten geschaffen, z.B. mit
dem Security Baseline Analyzer.
Online finden Sie sich unter
www.microsoft.com/technet
im Microsoft Security Toolkit eine
neue Informationsquelle, um im
Selbststudium tiefere Kenntnisse
in Sachen Netzwerksicherheit zu
erwerben.
Risiko-Management
Es ist es unmöglich, eine IT-Infrastruktur zu bilden, die vollständig
gesichert und gleichzeitig nützlich
ist. Bei der Untersuchung der Struktur müssen Sie die Risiken beurteilen können, die für Ihre besondere
Umgebung bestehen. Risiken können
vermindert, die Sicherheit der Infrastruktur erhöht werden, doch führt
dies im Vergleich zu ungesicherten
Systemen zwangsläufig zu einer Beeinträchtigung der Funktionalität.
Nach dem Erkennen von potentiellen Risiken können Sie sehr wahrscheinlich sogar Sicherheit ganz bewußt reduzieren, um dafür die Funktionalität zu erhöhen oder Kosten zu
senken. Daher steht am Anfang aller
Sicherheitsbemühungen ein wohl
kalkuliertes Risikomanagement. Um
dessen Prinzipien zu verstehen, sollten wir vorweg die gebräuchlichen
Begrifflichkeiten erklären, die beim
Risikomanagement verwendet werden. Zu ihren analytischen Kategori-
02
Ausgabe 02/2003
46
en gehören die Ressourcen, mögliche
Bedrohungen und Schwachstellen,
deren Ausnutzungsmöglichkeiten
sowie gegeignete Gegenmaßnahmen.
Ressourcen
Ressourcen sind grundsätzlich in einem Netzwerk alle Werte, die
schützenswert sind. Dies können Daten und Anwendungen, aktive und
passive Komponenten, ja sogar Personen sein. Durch Sicherheitsmaßnahmen soll verhindert werden, daß Ressourcen zu Schaden kommen oder
aktiv angegriffen werden. Ein wichtiger Bestandteil des Risikomanagements ist es demnach, den Wert der
Ressourcen zu ermitteln. Denn im allgemeinen bestimmt eine solche Bewertung, welches Maß an Sicherheit
für ihren Schutz erforderlich und
wirtschaftlich ist.
Gefahren
Bedrohungen für Ressourcen bestehen auf vielerlei Gebiet. Natürliche
und physische Bedrohungen sind
Naturgewalten wie Feuer, Wasser,
Wind oder Erdbe ben, aber auch
Stromausfall hat gravierende Folgen.
Neben beabsichtigten Bedrohungen
durch Angreifer, Saboteure, Industriespione oder schädlichen Code bestehen unbeabsichtigte durch uninformierte Mitarbeiter oder Kunden.
Schwachstellen bezeichnen die Punkte, an denen Ressourcen anfällig für
beabsichtigte oder unbeabsichtigte
Bedrohungen sind. Unverschlossene
Türen oder ein schadhaftes System zur
Feuerbekämpfung sind physiche
Schwachstellen. Bei Hardware und
Software wiederum liegen sie beispielsweise in veralteten Antivirensoftware, in elektrischen Störungen
oder auch in unverschlüsselten Protokolle, um von menschlichen
Schwächen oder unsicheren Helpdeskverfahren ganz zu schweigen.
Ausnutzung
Vielerlei Bedrohungen gefährden
Ressourcen allein dadurch, daß eine
Schwachstelle in der IT-Infrastruktur
ausg enutzt wir d. Ang riffe auf
Schwachstellen werden als Ausnutzung bezeichnet und können auf verschiedenste Arten erfolgen. Die Ausnutzung technischer Schwachstellen
sind eher spektakulären Brute ForceAngriffe, Wiederholungsangriffe und
Sitzungsübernahmen beim Session
Hijacking, aber auch Pufferüberlauf
aufgrund von Konfigurationsfehlern.
Mehr im Verborgenen spielt sich das
Sammeln von Informationen ab, die
Adreß- und Betriebssystemidentifikation, das Scannen von Ports oder
Testen von Anwendungen und Diensten. Bei der Suche nach Schwachstellen analysieren Angreifer Antworten in der Kommunikation, listen
Benutzer und untersuchen Dokumente. Sie fahnden regelrecht nach
Sicherheitslücken, gerade auch bei
Funknetzbetreibern, oder suchen sogar nach Kontakt zu Mitarbeitern.
Denial-of-Service Attacken haben bei
der Ausnutzung der Schwachstellen
von vornherein zum Ziel, die Ressourcen physisch zu beschädigung,
zu entfernen und zu ändern oder
durch Überlastung lahm zu legen.
Schäden
Wenn eine Schwachstelle für einen
Angriff auf eine Ressource ausgenutzt wird, kann dies schwerwiegende Folgen haben. Die unerfreulichsten sind nicht allein der Vertrauensverlust aufgrund unberechtigter Zugriffe und illegitimer Ausweitung von
Berechtigungen, sondern für Betroffenen höchst persönliche Übergriffe,
die aus einem illegalen Identitätswechsel oder Diebstahl der Kennung
enstehen können. Wer Diebe im Haus
hatte, weiß wovon die Rede ist. Die
wirtschaftlichen Folgen durch
Integritätsverlust und die Beschädigung von Daten oder durch Falschinformationen sind kaum kalkulierbar, und der Verlust der Verfügbarkeit
bei Denial-of-Service ist meist ein
sehr großer Schaden.
In den nächsten Artikeln werden wir
uns deshalb mit geeigneten Gegenmaßnahmen beschäftigen und uns um
eine angemessene Verteidigung gegen die Risiken der Piraterie und der
Sorglosigkeit zu kümmern.
Gruppenkalender
Unter DvISE steht eine Terminverwaltung als individueller Kalender zur
Auswahl, wobei hier Gruppen- sowie Terminserienfunktionen integriert
werden können. Durch einen Klick auf den Pfeil neben dem Symbol
Gruppenkalender (sollte aktiviert sein) wird im Archivebaum des TobitInfo-Centers die Einrichtung des Gruppenkalenders durchgeführt. Im sich
nun öffnenden Dialogfenster Gruppenkalender werden über den Button Hinzufügen die jeweiligen Benutzerkalender als neue Verknüpfung
hinzugefügt. Es empfiehlt sich, an dieser Stelle einen aussagekräftigen
Namen für die Verknüpfung auszuwählen. Bereits eingebundene Terminkalender können durch entsprechende Mausklicks nachträglich einoder ausgeblendet werden, sofern es nicht geplant ist, diese permanent
anzuzeigen. Möchten Sie einen Terminkalender für immer aus der Terminverwaltung verbannen, so betätigen Sie im Dialog Gruppenkalender
den Button Entfernen.
Nachdem alle Terminkalender ordnungsgemäß eingebunden wurden,
besitzt jedes Mitglied der Terminverwaltung die Möglichkeit, Termine weiterer Teilnehmer zu verwalten. Wenn im Kalender ein neuer Termin eingetragen wird, erscheint ein Menüfenster mit dem Namen Kalender
wählen, sobald die Option Speichern und schließen ausgeführt
wurde. An dieser Stelle kann nun der Kalender des Mitglieds ausgewählt
werden, in dem der neue Termin abgelegt werden soll. Die eingeblendeten Termine aus anderen Kalender sind mit einem Stern gekennzeichnet
(Wochen- und Monatsansicht), wobei sich deren Farbe nach der Farbe
des Quellarchivs richtet.
02
Ausgabe 02/2003
47
p
PRAXIS
NORTEL NETWORKS
Sicherheit nach Maß
Teil 3: Praxis-Tips zu Contivity Switches
Wir haben die verschiedenen Modelle der Nortel Networks Contivity VPN Switch Familie kennengelernt. Für die
verschiedenen Anwendungsgebiete bietet das Portfolio eine differenzierte Auswahl an Geräten für Branch Offices,
den Remote Access oder Extranet VPNs. Einige praktische Tips des Compu-Shack Supports werden Ihnen bei der
Installation und dem Betrieb der Geräte hilfreich sein
I
Internet Traffic kann nicht passieren,
ohne einen Allow Interface Filter zu setzen. Das LAN1 Interface (Public) der Contivities 1010, 1050 und
1100 ist standardmäßig auf DHCP eingestellt, mit einem Filter Permit
all, ein Default, der sich in diesem
Punkt durchaus von den Einstellungen anderer Modelle unterscheiden
kann. Hierdurch wird gewährleistet,
daß die oben genannten Contivities
eine Verbindung ins Internet aufbauen können, damit der Versand und
Empfang von Daten uneingeschränkt
erfolgen kann.
Sollten Sie versuchen, das LAN1 Interface (Public) anzupingen, erhält
eine am LAN0 Interface (Privat) angeschlossene Workstation eine Fehlermeldung des ICMP-Protokolls,
z.B. wegen Zeitüberschreitung.
Um nun die Datenkommunikation zu
ermöglichen, muß auf dem PublicInterface ein anderer Filter eingetragen werden. Das kann entweder der
vordefinierte Permit All Filter
sein, der alle Protokolle erlaubt, oder
Sie legen einen zusätzlichen Filter
an, der dem gewünschten Datenverkehr entspricht.
Konfiguration
Nortel-Networks wird den Namen
Default-Filter in Deny All
umbenennen, um Konfusionen
von vorne herein zu vermeiden.
PRAXIS
Internet Traffic
Sollte Ihre Connection zum
ISP mit einer statischen IPAdresse oder aber mit Hilfe
des Protokolls PPPoE initiiert werden, so verwendet
das LAN1 Interface (Public)
der Contivities 1010, 1050
und 1100 einen anderen
Filter, den so genannten
Default Filter. Dieser führt jedoch die Funktion Deny all aus, was zur
Folge hat, daß die Datenübertragung zwischen Public und Private Interface
und dem Internet erst einmal nicht möglich ist.
Zuerst starten Sie Ihren Web-Browser
und loggen sich nach der Eingabe der
IP-Adresse mit den entsprechenden
Zugangsdaten in den Contivity ein.
Überprüfen Sie die Einstellung der
Filterkonfiguration im Screen System/LAN. Sollte sich herausstellen,
Abb. 1: Der Menüpunkt „System/LAN“
daß der Default-Filter auf dem PublicInterface gesetzt ist, so ändern Sie
diesen wie oben erwähnt auf Permit all, um nicht nur TunnelTraffic übertragen zu können (s. Abb.
1). Alternativ können Sie einen eigenen verkehrsspezifischen Filter kreieren, den Sie dann auf LAN1 binden. Danach sollte die Kommunikation mit dem Private Interface und
dem Internet funktionieren.
Override-Filter
Die sogenannten Override Filter stehen dem Public und dem Private Interface zur Verfügung. Die Verwaltung geschieht über das Menü
Services/Available. Wie der
Name vermuten läßt, ersetzen diese
Filter diejenigen, die im Punkt
System/LAN konfiguriert wurden.
Die Override-Filter werden benutzt,
um den Tunnelzugang zum Contivity
zu ermöglichen. Ein Beispiel hierfür ist das IPSecProtokoll, welches per
Default erlaubt wird. Das
Resultat ist aber nun, daß
diese Regel, obwohl der Interface-Filter auf Deny all
gesetzt ist, zum Teil vom
Override-Filter überschrieben wird, so daß die Datenübertragung über das IPSecProtokoll erfolgen kann.
Unter dem Menüpunkt Ser
vices/Available können jederzeit weitere Regeln hinzugefügt werden,
um die Override-Rules beliebig erweitern zu können.
02
Ausgabe 02/2003
48
Konfiguration
Wenn der Contivity VPN Switch konfiguriert ist und das Administrator
Password geändert wurde, dürfen Sie
dieses auf keinen Fall vergessen. Für
den Fall, daß das Paßwort des Administrators verloren geht oder vergessen wird, bleibt Ihnen nichts anderes
übrig, als den Contivity zu NortelNetworks zu senden. Denn allein der
Hersteller ist in der Lage, das System
auf die Defaultwerte zurückzusetzen.
Hierbei gehen allerdings alle Einstellungen und Backups verloren. NortelNetworks weist explizit darauf hin,
daß es ohne System Management IPAdresse und ohneAdministrator-Paßwort keine Möglichkeit gibt, auf den
Contivity-VPN-Switch zuzugreifen.
kann die IP-Adresse über das IP
Address Configuration Utility vergeben werden.
Serielle Schnittstelle
Inbetriebnahme
Das serielle Schnittstellenkabel wird
in den DB-9 Stecker des Switch angeschlossen, das andere Ende an die
Management-Workstation. Anschließend erfolgt der Start einer TerminalEmulation, z.B. das Windows-eigene
Hyper-Terminal. Jetzt können Sie die
ersten Einstellungen für den Contivity vornehmen, z.B. die Management-IP-Adresse, die Subnetmaske
oder die Default-Gateway-Adresse
eintragen (s. Abb. 2). Welche Einstellungen Sie in der Terminal-Emulation
für den seriellen Zugriff auf den VPNSwitch vornehmen müssen, entnehmen Sie dem Handbuch des
Contivity.
Bei der erstmaligen Inbetriebnahme
muß ein Contivity VPN Switch über
die sogenannte System Management
IP-Adresse verfügen, um die komplette Konfiguration durchführen zu können. Für die Vergabe der genannten
IP-Adresse stehen uns zwei Möglichkeiten zur Auswahl. Zum einen kann
die Einstellung über die serielle
Schnittstelle erfolgen, zum anderen
Zur Einstellung der IP-Adresse über
das IP Address Configuration Utility
kann die Netzwerk-Verbindung zwischen dem Contivity VPN Switch und
der Management-Workstation entweder direkt über ein Ethernet
Crossover-Kabel erfolgen, oder aber
Configuration Utility
Technik verstehen
Contivity Workshop im Bundle
Compu-Shack nutzt Synergien und bündelt ihr technisches Know-how mit anspruchsvoller HighEnd Hardware von Nortel Networks. Bis zum 14.02.03 werden
die Nortel Networks Contivity VPN-Switches im Bundle mit einem eintägigen
Techniker-Workshop angeboten:
Contivity 1010 5 Tunnel
Contivity 1050 - 5 Tunnel
Contivity 1100 5 Tunnel
Contivity 600 30 Tunnel
Contivity 1700 - 500 Tunnel
Contivity
Contivity
Contivity
Contivity
1700
2700
2700
4600
5 Tunnel
2000 Tunnel
5 Tunnel
5000 Tunnel
Praxisnah umgesetzt
Um die anspruchsvolle Contivity Hardware effektiv implementieren zu können,
erläutern qualifizierte Techniker in einem eintägigen Workshop die Grundlagen
der Contivity VPN Switches und ihre Konfiguration. Auf Wunsch können diese
Workshops auf besondere Kunden-Anforderungen zugeschnitten werden.
Fragen zum Workshop beantworten die Nortel Supporter der Compu-Shack Solution unter
02631/983-988. Informationen zu Contivity Switches erteilt das Business Team Nortel bei
Compu-Shack unter 02631/983-451 oder per E-Mail an [email protected].
02
Ausgabe 02/2003
49
Abb. 2: Serielle Konfiguration der
System Management IP-Adresse
Sie connecten die beiden Devices
über einen Switch des LANs. Anschließend wird auf der ManagementWorksta tion eine Eingabeaufforderung geöffnet. Mit Eingabe des
Befehls A:\ExtNetIP.exe wird
das IP Address Configuration Utility
gestartet. Das Programm trägt automatisch die Seriennummer des ersten
verfügbaren Switches in eine Tabelle
ein, die durchaus noch weitere
Contivities enthalten kann. Im nächsten Schritt vergeben Sie dem VPNConcentrator die System Management IP-Adresse. Das Default
Gateway ist optional und kann auch
später noch konfiguriert werden. Sollten Sie über mehrere Switches verfügen, so können über den Button
Search weitere Seriennummern automatisch gefunden und in die Tabelle eingetragen werden. Um zu überprüfen, ob alle Geräte erkannt wurden, können Sie die Seriennummern
der Tabelle mit den Seriennummern
der Geräte vergleichen. Der Barcode
steht auf der Unterseite des Systems.
Klicken Sie nun auf Apply, so werden die von Ihnen angegebenen Daten zu Management-IP-Adresse,
Subnetmaske oder Default-Gateway
auf jedem Switch konfiguriert. Wenn
der oder die Switches das Update Ihrer Konfiguration beendet haben,
können Sie mit Hilfe Ihres WebBrowsers auf den Contivity zugreifen, indem Sie imAdreßfeld des Browser die entsprechende IP-Adresse eingeben. Hierauf hin erhalten Sie den
Welcome Screen des VPN-Switch.
p
PRAXIS
BINTEC
IPsec-Implementierung
Teil 5: Mit dynamischen und statischen IP-Adressen
Von Hardy Schlink
Wir wollen uns abschließend mit IPSec-Konfigurationen auseinandersetzen, bei denen die BinTec Router ihre IPAdressen in statischer oder dynamischer Form erhalten. Wir werden uns auf die Konfiguration beziehen, die wir in
der letzten Ausgabe mit dem IPSec Setup Wizard erstellt haben, als dynamische IP-Adressen auf beiden Seiten zur
IPSec-Verbindung dienten. Insofern brauchen wir uns nur um die notwendigen Änderungen kümmern. Zu guter Letzt
sollen Ihnen einige Tips zum Trouble Shooting bei Problemen weiterhelfen.
E
Ein Unternehmen möchte die Kommunikation zwischen zwei entfernten
Netzwerken über das Internet mit
IPSec realisieren. In unserem ersten
Beispiel verfügt der Router in der
Zentrale über eine statische IP-Adresse , die Außenstelle erhält beim
Verbindungsaufbau zum ISP eine dynamische.
PRAXIS
Router Zentrale
Für die notwendigen Konfigurationsänderungen am Router der Zentrale
wechseln wir nach Aufruf des Setup
Programms in das Menü IPSec /
Configure Peers. Mit der Auswahl des bestehenden Eintrags gelangen wir zu den momentanen Einstellungen. Da der Router in der Außenstelle seine IP-Adresse dynamisch
beim Verbindungsaufbau zum ISP bezieht, macht es keinen Sinn unter
Peer Address eine feste einzutragen, da sie ja ständig wechselt. Da
von der letzten Konfiguration hier
noch der Hostname steht, müssen
wir diesen entfernen und lassen das
Feld einfach leer. Die anderen Einstellungen lassen wir, wie sie sind, und
verlassen das Menü über Save (s.
Abb. 1). Anschließend erfolgt der
Wechsel in das IPSec-Menü IKE
<Phase 1> Defaults, in dem
wir den Mode von id_protect auf
aggressive umstellen. Der Hintergrund ist, daß die ID Protection auch
die IP-Adressen zur Identifikation
heranzieht. Da aber unsere Außenstelle die ihre dynamisch wechselt, kann
dieser Mode nicht verwendet werden
(s. Abb. 2). Alle anderen Einstellungen werden nicht verändert.
Router Außenstelle
Beim Router der Außenstelle wechseln wir ebenfalls zu I P S e c /
Configure Peers”. Da der Router
der Zentrale über eine statische IPAdresse verfügt, tragen wir sie unter
der Option Peer Address ein, z.B.
62.146.2.98. Man könnte annehmen, daß hiermit die Konfiguration
der Außenstelle abgeschlossen sei.
Doch Sie erinnern sich, daß wir beim
Router der Zentrale den Mode auf
aggressive geändert haben. Genau dies müssen wir hier jetzt auch
tun, da die Einstellungen auf beiden
Seiten der Verbindung gleich sein
müssen.
Nur der Router in der Außenstelle
kann die Verbindung zur Zentrale
aufbauen, da er dessen öffentliche, statische IP-Adresse kennt.
Der umgekehrte Weg von der Zentrale zur Außenstelle ist nicht möglich, da deren wechselnde dynamische Adresse ja nicht bekannt
ist.
Innen wie außen
Kommen wir zum letzten Beispiel
unserer Artikelserie und einem Szenario, in dem beide Router in der
Zentrale und der Außenstelle über
eine öffentliche statische IP-Adresse
verfügen. Die hierfür notwendigen
Ändrungen in den Einstellungen der
Router sind trivial, wir können es kurz
machen. Unter IPSec / Configure
Peers können wir bei unserem bestehenden Eintrag als P e e r
Address die öffentliche IP-Adresse
der Außenstelle eintragen. Im Menüpunkt IKE <Phase 1> Defaul
ts können wir nun als Mode sowohl
id_protect als auch aggressive verwenden, beide werden funktionieren. Damit ist die Konfiguration des Routers in der Zentrale bereits
abgeschlossen.
Die Modifikationen in der Außenstelle sind noch geringer, da hier nur im
Menü IKE <Phase 1> Defaults
der entsprechende Mode eingestellt
werden muß: id_protect oder
aggressive, aber in jedem Fall
muß der Mode auf beiden Seiten der
Verbindung gleich gewählt werden.
Da beide Router über eine öffentliche statische IP-Adresse verfügen,
kann jede Seite eine Verbindung zu
ihrem Gegenüber aufbauen.
Trouble Shooting
Bei Problemen mit IPSec LAN-LAN
Kopplungen über das Internet können die verursachenden Fehlerquellen vielfältig sein, besonders wenn
mehrere Router zwischen den beiden
IPSec-Endpunkten liegen. Wir können in diesem Artikel nicht alle
02
Ausgabe 02/2003
50
Diagnosemöglichkeiten erläutern,
wollen Ihnen aber trotzdem kurz zeigen, wie Sie überprüfen können, ob
eine IPSec-Verbindung überhaupt
zustande gekommen ist, oder welcher
Fehler einen Verbindungsaufbau verhindert.
Verfügung. Durch Eingabe der Syntax i p s e c G l o b M a x S y s L o g
Level=debug ändern Sie den Modus auf debug. Dadurch bekommen
Sie wesentlich mehr Messages mit informativem Inhalt angezeigt .
Monitoring
Möchten Sie, daß der Debug-Modus auch nach einem Reboot des
Routers zur Verfügung steht, muß
die getätigte Modifikation über
den Konsolenbefehl cmd=save
abgespeichert werden. Beachten
Sie, daß die CPU des Routers im
Debug-Modus stärker belastet
wird und dadurch weniger Zeit für
die eigentlichen Aufgaben hat. Wir
empfehlen daher, nur bei Problemen auf debug zu schalten.
IPSec Debug
Sicherlich ist Ihnen der Konsolenbefehl debug all & an der Router
konsole bekannt. Sollten Sie aber erwarten, daß er Ihnen auch Messages
zum IPSec-Protokoll anzeigt, so muß
ich sie enttäuschen. Der Debug-Modus für das IPSec-Protokoll ist in einer SNMP-Tabelle einzuschalten.
Um den Debug-Modus für IPSec zu
aktivieren, wechseln Sie auf den Konsolen-Prompt des entsprechenden
Routers. Hier angelangt, geben Sie
den Charakter l wie ”listing” ein,
woraufhin alle SNMP-Tabellen des
Routers angezeigt werden. Drücken
Sie solange die Enter-Taste, bis Sie
zur Tabelle ipsec gelangen. Hier
finden
Sie
den
Eintrag
ipsecGlobals, vor dem eine bestimmte Zahl steht, z.B. 23. Beachten Sie, daß sich diese Zahl je nach
Software-Version unter scheiden
kann. Beenden sie das Listing der Tabellen, indem Sie den Charakter q wie
”quit” eingeben. Geben Sie nun die
Zahl ein, die vor der Tabelle
ipsecGlobals stand. Hieraufhin
erhalten Sie die Ausgabe all ihrer Variablen. Suchen Sie nach dem
ipsecGlobMaxSysLogLevel.
Per Default steht der Wert auf Info
und stellt für das Trouble Shooting
nicht genügend Informationen zur
Fazit
Wir haben gesehen, daß die IPSecImplementierung der BinTec Router
alle heute möglichen Anbindungen
zum Internet Service Provider unterstützt, beide Seiten mit dynamischen
oder statischen IP-Adressen, eine Seite mit statischer, die andere mit dynamischer. Es gibt nicht viele Router,
die diese vielfältigen Anschlußmöglichkeiten bieten, ein sicherlich
nicht zu unterschätzender Vorteil der
BinTec-Geräte. Nicht zuletzt wird
dem Administrator durch den IPSecSetup-Wizard eine Menge Arbeit abgenommen, Konfigurationen lassen
sich nachträglich leicht anpassen oder
ändern.
Im IPSec Menü der Router befindet
sich der Punkt Monitoring, über
den man in ein Untermenü mit den
Optionen Global Statistics,
IKE Security Associations
und IPSec Security Associa
tions gelangt.
Unter Global Statistics finden Sie Statistiken zu den übertragenen IPSec-Paketen, z.B. AH, ESP, IP
und Non IP Traffic. Interessanter für das Trouble
Abb. 1: Menüpunkt IPSec/Configure Peers
Shooting sind sicherlich
die beiden anderen Optionen. IKE Security
Associations zeigt
uns Informationen über
die IKE SAs an, z.B. die
Local und Remote ID
oder die Local und die
Remote Address. An dieser Stelle lassen sich bereits Fehler ausmachen,
die mit diesen Parameter
zu tun haben. Interessant Abb. 2: Konfiguration der Option Mode
ist auch der verwendete
Algorithmus, der ja auf
beiden Seiten der IPSecVerbindung gleich sein
muß.
IPSec Security
Associations bietet
uns schließlich Informationen über die Richtung der Verbindung inbound oder out
bound - und den verwendeten Modus: Tun- Abb. 3: IPSec Security Associations
nel oder Transport.
Weiterhin können Sie
hier die Local und
Remote Address prüfen.
Im Feld Protected
Traffic ist zu erkennen, für welche IP-Netzwerke die Daten durch
das IPSec-Protokoll geschützt werden (siehe
Abb. 3).
02
Ausgabe 02/2003
51
p
PRAXIS
ENTERASYS
Kommandobrücke
Teil 2: VLAN-Management mit NetSight Atlas
NetSight Atlas präsentiert sich als eine umfassende Managementplattform mit weitreichender Event- und AlarmProtokollierung. Wir haben bei unserem ersten Rundgang über die neue Kommandobrücke von Enterasys Networks
die Atlas Console kennengelernt und wollen uns diesmal mit dem VLAN-Management beschäftigen.
N
NetSight Atlas bietet uns die Möglichkeit, Virtuelle LANs
komfortabel zu verwalten. Sobald auf der linken Seite der
Atlas Console VLAN Elements ausgewählt werden,
erscheint im rechten Fenster ein erster Überblick über die
Anzahl der VLAN Definitionen (vgl. Abb. 1).
VLAN Definitions
Um neue VLANs einzurichten oder Änderungen vorzunehmen, wird im linken Fenster VLAN Definitions
angewählt, woraufhin eine Auflistung der VLANs mit ihrem zugeordneten Modell angezeigt wird. Im rechten Fenster erscheint dazu eine Liste der VLANs mit weiteren
Details zu IDs oder dem Egress Status. Über den Button
New kann ein neues VLAN kreiert werden. Diesem wird
automatisch die nächste freie ID zugewiesen. Falls eine
andere erwünscht ist, kann diese abgeändert werden. Dieses VLAN kann entweder auf alle Devices geschrieben
werden - mit Write VLAN to devices - oder aber
diese Funktion wird ausgeschaltet, um das VLAN individuell zuzuordnen. Empfehlenswert ist es schon, sie ausgeschaltet zu lassen und erst nachträglich alle VLANs auf
die zugehörigen Switche zu verteilen.
Dynamic Egress ist per Default ausgeschaltet. Nur
wenn es unbedingt erforderlich ist, sollte diese Funktion
eingeschaltet werden, da die zugehörige GVRP-Funktion an einige Bedingungen geknüpft ist.
PRAXIS
Port Templates
Zu jeder VLAN-Definition die per Save gesichert wurde,
wird automatisch ein Template erstellt (vgl. Abb. 2). Die
Port Template Definitions ermöglichen, vordefinierte
VLAN-Definitionen mit ihren Port-Einstellungen abzulegen. Das erleichtert die Konfiguration von VLANs auf
den einzelnen Ports wesentlich. Denn statt pro Port eine
neue Konfiguration durchführen zu müssen, kann das vorgefertigte Template einfach auf einem Port abgelegt werden. Da bei der Definition eines VLANs automatisch ein
Template erzeugt wird, muß dieses auch nicht für jedes
VLAN neu angefertigt werden. Außerdem ist es möglich,
nachträglich Einstellungen im Template zu ändern. Jedoch sollte man aufpassen, ob dieses Template oder VLAN
schon auf einem Switch verwendet bzw. konfiguriert wur-
de, da sonst ein Mismatching zwischen den Templates
entstehen kann. Ratsamer ist es also, bei Veränderungen
einfach ein Neues zu erstellen. Dieses kann die Parameter
des Alten übernehmen, wird aber unter einem neuen Namen abgelegt.
Templates erstellen
Um ein Template zu erstellen, wird zunächst der Button
New gedrückt, dann kann dafür ein neuer Name angegeben werden. Des Weiteren kann die PVID des VLANs festgelegt werden. Allerdings läßt sich diese Funktion auch
ausschalten, so daß die bestehende PVID des jeweiligen
Ports, auf dem das Template abgelegt wird, nicht geändert wird. Der Egress Status wird für User-Ports im allgemeinen auf untagged und für Q-Trunks auf tagged
gesetzt. Weitere Funktionen wie Ingress Filtering, Default
Port Priority oder Acceptable Frame Type können pro
Template eingestellt werden, auch GVRP States oder Angaben zur GARP Time. Da es aber möglich ist, daß Informationen von mehr als nur einem VLAN auf dem Port
empfangen werden, kann die Egress-Liste der VLANs für
dieses Template abgeändert werden. Dazu wird zuerst ein
Häkchen in das Kästchen Set All Egress States
gesetzt. Dann kann man für jedes angegebene VLAN mit
der rechten Maustaste den Egress Status individuell auf
tagged, untagged oder no egress setzen. Mit der
Auswahl des Feldes Show All VIDs werden alle VIDs
von 1 bis 4094 angezeigt, mit Save werden die Daten
abschließend gesichert.
02
Ausgabe 02/2003
52
Device
Um nun die VLANs auf den Netzwerkkomponenten zu
überprüfen und neue VLANs einzutragen, wird im linken
Fenster entweder auf ein einzelnes Device oder auf All
Devices gewechselt (vgl. Abb. 3). Rechts kann dann in
das Fenster VLAN gewechselt werden. Anschließend muß
der grüne Pfeil gedrückt werden, um das Fenster zu aktualisieren. Oben rechts werden dann die gewünschten
Devices mit IP-Adresse, Type, Status, Number of VLANs,
VLANs not in Device, VLANs not in Model usw. angezeigt. Befindet sich vor der IP-Adresse ein rotes Doppelkreuz, so zeigt dies an, daß nicht alle VLANs, die auf dem
Device existieren als VLAN-Modell auf der ATLAS
Console konfiguriert sind: VLANs not in Model 6.
Um VLANs, die nicht als Modell in der ATLAS Console
definiert sind, zu übernehmen, gibt es die Möglichkeit,
diese zu mergen. Dazu werden die VLANs im rechten unteren Fenster markiert und mit dem Doppelpfeil übernommen. Doch gibt es auch VLANs, die zwar als Modell auf
der Console existieren, aber nicht auf dem Switch. In diesem Fall stimmt die Number of VLANs auf dem Device
nicht mit der Anzahl der VLAN-Definitionen für das
Primary Model überein. Durch Drücken des Enforce-Buttons kann dieses VLAN aus dem Modell auf den Switch
übertragen werden. Um sich die Einzelheiten der
Configuration Settings anzusehen, können über den Button VLAN Detail alle Informationen zu den VLAN
Models angezeigt werden.
Abb. 1: VLAN-Definitionen
Abb. 2:VLAN Properties
Basic Port
Die Basic-Port-Ansicht für VLANs zeigt die Einstellungen der Ports auf den Devices. Abzulesen sind die IPAdresse, Portnummer, PVID und PVID Egress State sowie
Ingress Filtering, Default Port Priority und Acceptable
Frame Type. Anhand dessen kann festgestellt werden,
welches VLAN für den jeweiligen Port definiert ist, ob es
auf dem Port empfangen werden kann (Egress State) und
ob möglicherweise ein Tagging (Frame Type) vorhanden
ist. Über den Editor Button kann die Änderung von einzelnen oder Gruppen von Ports ausgeführt werden. Mit
Enforce wird die Einstellung auf den Switch übernommen.
Advanced Port
Im Advanced-Port-Fenster muß nach Auswahl des Bereichs
All Devices im linken Fenster eine Aktualisierung
mit dem Pfeil stattfinden. Im rechten unteren Fenster werden die Porteinstellungen der Devices aufgelistet. Entsprechend können dann einzelne aktuelle Porteinstellungen mit vorgegebenen Templates verglichen und
mit einem Merging übernommen werden. Durch
Enforce können Porteinstellungen auf den Switch übertragen werden. Die Egress Details zu den verschiedenen
VLANs auf dem jeweiligen Port lassen sich über den Button Egress Details aufrufen (vgl. Abb. 4).
Abb. 3: LAN All Devices
Abb. 4: Egress Details
Beim nächsten Mal geht es um Alarme und Events, den
Device Manager und Webview.
02
Ausgabe 02/2003
53
v
VORSCHAU
WORKSHOPS - ROADSHOWS - SEMINARE
VPN
Learning Cycles im Februar
Die DataVoice Learning Cycles “Start with VoIP” stellen die vielfältigen Möglichkeiten vor, die sich aus der
Konvergenz von Sprache und Daten im Netzwerk ergeben. Die Teilnehmer erarbeiten anhand von Lösungsszenarien mit Experten der Compu-Shack die vertrieblichen und technischen Grundlagen.
Interoperabilität mit SonicWALL
Im Februar stehen drei Security Workshops zu VPNs mit
SonicWALL auf dem Programm. Ein zentrales Thema ist
die Interoperabilität v on SonicWALL Produkten zu
Routern oder WLAN-Komponenten anderer Hersteller.
E
Eine Einführung in die SonicWALL Produkte und das
Global Manege-ment System (SGMS) eröffnet die aktuellen Learning Cycles zur VPN Security von SonicWALL.
Im Praxisteil geht es um die Interoperabilität zwischen
Produkten verschiedener Hersteller bei VPN-Verbindungen. Am Beispiel von AVAYA und SonicWALL demonstriert der Workshop gesicherte Verbindungen zum WLAN.
Er zeigt Verbindungsaufbauten von VPN-Clients zu den
SonicWALL Lösungen und von Mobil-Usern zu unterschiedlichen Lokationen.
Für eine sichere Unternehmenskomunikation bei RouterVerbindungen steht eine Demonstration mit SonicWALL
und BinTec Komponenten. Die eintägigen Workshops finden am 18.02. in Neuwied, am 19.02. in Potsdam und am
20.02.2003 in München statt. Die Teilnehmergebühr beträgt 149,- Euro.
I
Im Rahmen ihrer DataVoice-Initiative veranstaltet
Compu-Shack im Februar 2003 weitere Learning Cycles
zu innovativen Voice over IP Technologien. Sie richteten
sich nicht nur an Geschäftsführer und Vertriebsleiter als
Business-Entscheider, sondern mit ihren begleitenden
Workshops auch an Techniker, die sich über dieses vielversprechende Thema einen ersten fachlichen Überblick
verschaffen wollen. Die Teilnehmer lernen, wie sie durch
eine gezielte Analyse der individuellen Kundenanforderungen den Mehrwert von VoIP optimal ausschöpfen.
Um Technologien und Märkte richtig einschätzen zu können, klären die DataVoice Learning Cycles alle technischen und vertrieblichen Fragen, um den Einstieg ins VoIPBusiness zu meistern. Sie erläutern das aktuelle Marktpotential bei VoIP und IP-Telephony, erklären Standards
und Protokolle und stellen die Komponenten vor, IP-fähige TK-Anlagen oder IP-Telefonie-Geräte. Lösungen mit
AVAYA MultiVantage und IP-Office schließen die eintägigen Workshop ab, am 6.02. in Hamburg, am 11.02.in
Neuwied, am 13.02. in Potsdam und am 18.02.2003 in
München. Getränke, Snacks und ein Mittagessen sind im
Preis von 149 Euro inbegriffen. Die Teilnehmerzahl ist
begrenzt.
Alle Anmeldungen zu Veranstaltungen der
Compu-Shack können online unter:
www.portal.compu-shack.com
in der Rubrik Workshops erfolgen.
Netzwerkseminare: Highlights im März/April 2003
Kursbezeichnung
Kurs-Nr.
Termin
Veranstaltungsort Preis / €
ZENworks 4 jetzt im Programm !
VORSCHAU
ZENworks for Desktops 4
NV 3006
03.03. – 07.03.03
Potsdam
1.850,17.03. – 21.03.03
Neuwied
12.05. – 16.05.03
München
Upgrade to ZENworks for Desktops 4
NV 3006a
05.03. – 07.03.03
München
1.190,26.05. – 28.05.03
Neuwied
Cisco IP Telephony
Cis CIPT
03.03.- 07.03.03
München
2.700,Cisco Internetworking Troubleshooting
Cis CIT
24.03. – 28.03.03
Neuwied
2.400,Designing Cisco Network Service Architectures
Cis ARCH 07.04 – 11.04.03
Neuwied
2.350,Building Cisco Multilayer Switched Networks
Cis BCMSN 31.03. – 04.04.03
Neuwied
2.350,07.04. – 11.04.03
Potsdam
Programming a Microsoft SQL Server 2000 Database
MS 2073
03.03. – 07.03.03
Neuwied
1.850,Supporting Windows 2000 Professional and Server
MS 2152
31.03. – 04.04.03
Neuwied
1.850,Supporting a Microsoft WIN 2000 Network Infrastructure MS 2153
03.03. – 07.03.03
Neuwied
1.850,10.03. – 14.03.03
München
07.04 – 11.04.03
Neuwied
Das aktuelle Trainings-Programm finden Sie unter
Alle genannten Preise gelten zuzüglich
www.training.compu-shack.com, persönliche Beratung unter:
der gesetzlichen Mehrwertsteuer.
02631-983-317 oder per e-Mail an [email protected].
02
Ausgabe 02/2003
54
MESSEN, ROADSHOWS, SEMINARE
N 03
No 03/2003
Thema des Monats März
ALARMIEREND
Angriffserkennung
Intrusion Detection Systeme
Von Jörg Marx
Mit dem Wachstum des Internet sind die Übergriffe
auf Netzwerke kontinuierlich gestiegen. Doch die oftmals verschwiegene Sabotage von innen heraus ist
nur weniger in den Schlagzeilen als der berüchtigte
Hackerangriff. Die Herausforderung der Netzbetreiber
liegt aber genau darin, für Sicherheit nach innen wie
nach außen zu sorgen. Als Garanten der Netzwerksicherheit haben Intrusion Detection Systeme Konjunktur. Der Markt unterscheidet zwischen drei großen Produktgruppen, dem Host IDS, dem Network
IDS und dem Vulnerability Assessment Scanner. Wir
wollen uns den ersten beiden zuwenden. Mit ausgeklügelten Soft- und Hardware-Lösungen schützt die
Angriffserkennung gleichermaßen vor Einbrüchen und
internen Übergriffen. Wir möchten Ihnen die Funktionsweise der IDS-Systeme etwas näher bringen. Ihre
Hauptaufgabe besteht darin, böswillige Aktionen im
Netzwerk, woher auch immer sie kommen, zu erkennen und vordefinierte Gegenmaßnahmen einzuleiten,
damit Netzwerkressourcen keinen Schaden leiden.
Wir zeigen Ihnen, wie ein IDS-System arbeitet, und
wozu Signaturen benötigt werden. Wir werden sehen,
welche Arten von Angriffen es gibt, wie heutige IDSSysteme darauf reagieren, und welche Gegenmaßnahmen eingeleitet werden. Uns interessiert, wie man
die Qualität eines guten IDS-Systems feststellen
kannt, welche Produkte die führenden Hersteller bieten und wie die verschiedenen Lösungen einzuordnen sind.
Aus reifem Holz geschnitzt, Teil 2:
Switch on VoIP, Teil 3:
Rapid Spanning Tree IEEE 802.1w
CTI Lösungen, Telefonmanager, Softphones
Praxis:
Get secure - Stay secure, Teil 2:
Kommandobrücke, Teil 3:
Microsoft´s Sicherheitsarchitektur
Alarm und Webview in NetSight Atlas
Unter http://portal.compu-shack.com finden Sie in der Medienübersicht alle verfügbaren Compu-Shack Kataloge, das TN Sonderheft “WLAN” und kostenlose Informationsbroschüren zu speziellen Technologiethemen und
Services wie dem neuen cs:publish24. Der Compu-Shack Trainingskalender 2003 informiert Sie über die Schulungen und Workshops des ersten Halbjahres. Er kann unter www.training.compu-shack.com downgeladen werden. Frühbucher erhalten bei einer Anmeldung von 60 Tagen im voraus bis
zu 15% Rabatt. Demo-CDs und
Trials können Sie kostenlos unter www.technik-news.de bestellen.
Ausgewählte Termine
05.-08.02.2003
06.02.2003
11.02.2003
13.02.2003
18.02.2003
18.02.2003
19.-23.02.2003
19.02.2003
20.02.2003
13.-20.03.2003
LearnTec
CS: DataVoice Learning Cycle “Start with VoIP”
CS: DataVoice Learning Cycle “Start with VoIP”
CS: DataVoice Learning Cycle “Start with VoIP”
CS: DataVoice Learning Cycle “Start with VoIP”
CS: Security Learning Cycle “VPN mit SonicWALL
Bildungsmesse
CS: Security Learning Cycle “VPN mit SonicWALL
CS: Security Learning Cycle “VPN mit SonicWALL
CeBIT 2003
02
Ausgabe 02/2003
55
Karlsruhe
Hamburg
Neuwied
Potsdam
München
Neuwied
Köln
Potsdam
München
Hannover
portal
02
Ausgabe 02/2003
56