Net-Solution-Guide (Enterasys)

Transcription

Solution Guide 20042
Register
Netzwerke im
Wandel der Zeit
Secure Networks
User Personalized
Networking
VPN
Dragon Intrusion Defense
Open Convergence
On Demand Networking
Matrix Switches
XPedition Serie
XPedition Security Router
Dragon Intrusion
Defense 7.0
Roam About Wireless
Netzwerkmanagement
Netsight Atlas
Planungsbeispiele
Literaturtipps und
Internetadressen
Inhaltsverzeichnis
Seite I
Inhaltsverzeichnis
Register
5
Inhaltsverzeichnis
I
Vorwort
Fehl
er! Textmarke nicht definiert.
Hinweis für alle Leser
2
Das Unternehmen
3
Der Name
3
Die Philosophie
3
Die Fakten
3
Enterasys Networks Headquarters
4
Niederlassung Deutschland und Hauptverwaltung Zentral und Osteuropa
4
Schweiz
4
Österreich
4
Netzwerke im Wandel der Zeit
5
Rückblick Netzwerke der ersten Generation
6
Gegenwart Netzwerke der zweiten Generation
9
Zukunft Netzwerke der dritten Generation
13
Secure Networks
16
Secure On Demand Networking
16
Lösungsportfolio
18
Diese Lösungsansätze werden im Folgenden besprochen:
18
Secure Networks
19
UPN User Personalized Networking
24
Virtual Private Network
35
Firewall
44
Intrusion Detection Systems
46
Dragon 7.0 und Dynamic Intrusion Response
48
Enterasys Networks – Solution Guide 20042
Inhaltsverzeichnis
Seite II
Secure Open Convergence
54
Voice over IP
54
EFFECT, die Convergence Strategie von Enterasys Networks
58
Anforderungen an die Netzwerkkomponenten für VoIP
59
Quality of Service im Netzwerk
60
Power over Ethernet
66
Phone Detection
68
Convergence Lösungen am Beispiel
68
Zusammenfassung
69
70
Redundanz
70
Skalierbarkeit
76
Netzwerkmanagement
80
Netzwerk Management Modell
80
Ebenen von Netzwerk Management Systemen
80
Simple Network Management Protocol
81
Produktportfolio
83
Switching
84
Matrix N Serie
85
Matrix E7
100
Matrix E1 Serie
104
SmartSwitch 2200 2H25225R
Matrix C Serie
108
Matrix V2 Serie
113
GBIC, mGBIC and XENPAK`s Optionen zu allen Switches
118
Routing
121
XPedition 2000, 2400
136
140
Inhaltsverzeichnis
Seite III
XPedition ER16
148
Optionen, Kabel
155
WAN Routing
156
XSR3020, 3150, 3250, 4100
164
Optionen – Network Interface Modules
172
Security
172
Dragon Intrusion Defense 7.0
Wireless
173
181
RoamAbout R2
181
AP3000
186
Sonstige Komponenten
192
Network Management NetSight Atlas
196
NetSight Atlas Console
197
NetSight Atlas Policy Manager
201
NetSight Atlas Inventory Manager
203
NetSight Atlas Router Services Manager
205
Planungsbeispiele
207
Außenstellen mit VPN und ISDN Backup
207
AußenstellenAnbindung über VPN und Standleitung
208
Literaturhinweise
210
Whitepapers
210
Internetadressen
211
Internetseiten zum Thema Security
Impressum
211
212
Vorwort
Seite 1
Vorwort
Sehr geehrte Leserin,
Sehr geehrter Leser,
der Enterasys Solution Guide bietet Ihnen seit drei Jahren einen umfassenden
Überblick zu den Enterasys Strategien, Lösungen und Produkte. In der vorliegenden Ausgabe (Stand
10/2004) haben wir das Thema Secure Networks ergänzt und um wesentliche Bestandteile wie z.B.
Lösungen zu „Trusted Endpoint Security“ erweitert. Geht es heute und in Zukunft mehr denn je um
durchgängige und ganzheitliche Sicherheit bis hin zu den mobilen Endgeräten wie PDAs, Smartpho
nes, Blackberries, etc.. Der Einsatz mobiler Endgeräte stellt Unternehmen und IT Mitarbeiter vor neue
Herausforderungen in punkto Absicherung mobiler Zugänge und Endgeräte. Nach wie vor sehen wir
einen sich fast täglich verändernden rechtlichen Rahmen der Unternehmen dazu auffordert Informati
onen, Daten und Kommunikation sicherer zu machen, geht es mehr denn je um die Umsetzung neuer,
als auch die Einhaltung bestehender gesetzlicher Rahmenbedingungen und die Minimierung von
Geschäfts und Haftungsrisiken.
Nach einem erweiterten Überblick über Vergangenheit, Gegenwart und Zukunft der Netwerktechnolo
gie stellen wir Ihnen unsere Lösungen zu Themen wie Secure Networks, Secure Open Convergence
und Secure On Demand Networking sowie die dazugehörigen Produktbereiche, Technologien und
Standards, vor.
Den Schwerpunkt bildet dabei das Thema Netzwerksicherheit – einer der Erfolgsfaktoren für Unter
nehmen im 21. Jahrhundert. Mit Secure Networks präsentiert Enterasys eine innovative, unterneh
mensweite Lösung, die Sicherheitstechnologien direkt in eine verteilte Netzwerkinfrastruktur integ
riert.
Einen Überblick über das gesamte Produktlösungsangebot von Enterasys haben wir im Kapitel Pro
duktportfolio zusammengestellt. Neu aufgenommen wurden die Matrix C2 Switches mit Secure Net
works Funktionalität.
Wir wünschen Ihnen ein informatives Lesevergnügen
Zum guten Schluss haben wir für Sie eine Liste interessanter Literaturtips und Internetlinks zusam
mengestellt.
Ihre
Enterasys Networks Germany GmbH
Seite 2
Enterasys Networks behält sich vor, jederzeit Änderungen der Produkte oder Lösungen vorzunehmen.
Bitte verwenden Sie daher immer die aktuellen Informationen der Enterasys Networks Homepage
unter www.enterasys.com oder www.enterasys.com/de/.
Wir würden uns über ein persönliches Gespräch mit Ihnen sehr freuen und stehen Ihnen gerne unter
den nachfolgend aufgeführten Telefonnummern in allen unseren Niederlassungen zur Verfügung.
Frankfurt /Main
+49 (0)69/478600
Berlin
+49 (0)30/399795
Leipzig
+49 (0)341/5285350
Zürich
+41 (0)1/308 39 47
Wien
+43 (1)994606605
Seite 3
Wir über uns
Das Unternehmen
Enterasys Networks ging im Februar 2000 im Rahmen eines Spinn Offs aus Cabletron Systems her
vor. Das Unternehmen mit Sitz in Andover, Massachusetts (USA) nähe Boston beschäftigt run 1.400
Mitarbeiter in 30 Niederlassungen weltweit und besitzt über 800 TechnologiePatente. Seit August
2001 wird Enterasys Networks an der NYSE unter dem Kürzel ETS gehandelt.
Enterasys weist über 16 Jahre Erfahrung auf dem Gebiet der technologischen Entwicklung und Inno
vation auf und besitzt ein tiefes Verständnis dafür, was Unternehmenskunden benötigen, um die
Geschäftsabwicklung zu verbessern. Alle Lösungen, Produkte und Services von Enterasys haben ein
gemeinsames Ziel: Informationstechnologie in entscheidende Geschäftsvorteile umzusetzen. Entera
sys ist einer der weltweit führenden Anbieter von Secure Networks, ganzheitlich, sicheren Netzwerk
lösungen.
Der Name
Enterasys ist aus "Entera" und "Sys" zusammengesetzt. "Entera" wurde aus dem Spanischen abge
leitet und bedeutet "das Ganze", "Sys" ist die Abkürzung von Systems.
Die Philosophie
Enterasys steht für
•
Ein kundenorientiertes Vertriebsmodell zum Aufbau langfristiger Kundenbeziehungen.
•
Die Umsetzung von Technologien in echte Geschäftsvorteile.
•
Die Einbindung der weltweiten Vermarktungspartner für schnelle Lieferung und Services.
•
Die Bewahrung einer StartupMentalität, getragen von einem erfolgreichen und stabilen
Unternehmen.
Die Fakten
Gründung im Februar 2000
Eines von vier Cabletron Systems Unternehmen
Mitarbeiter
Weltweit 1200 Mitarbeiter
Börsengang
Seit 2001 – eigenständig unter dem Kürzel
ETS an der NYSE
Intellektuelles Eigentum
Mehr als 650 Netzwerktechnologiepatente
Standorte
Geschäftsstellen in mehr als 30 Ländern welt
weit
Normenausschussmitgliedschaft
IEEE, IETF, IRTF, DMTF, WECA
Seite 4
Enterasys Networks Headquarters
50 Minuteman Rd.
Andover, MA 01810
USA
Tel: (978) 6841000
Niederlassung Deutschland und Hauptverwaltung Zentral und
Osteuropa
Enterasys Networks Central & Eastern Europe
Solmsstr. 83
60486 Frankfurt
Tel. +49 (0)69/478600
Fax: +49 (0)69/47860109
Schweiz
Enterasys Networks Switzerland AG
World Trade Center
Leutschenbachstraße 95
CH8050 Zürich
Tel. +41 (0) 1 3083947
Fax: +41 (0) 1 3083500
Österreich
Enterasys Networks Handelsgesellschaft m.b.H.
Twin Tower
Wienerbergstaße 11
A1100 Wien
Tel. +43 (0) 1 994 60 66 05
Fax: +41 (0) 1 994 60 55 04
Einen kompletten Überblick über Deutschland und die europäischen Länder und deren Kontakte
finden Sie unter:
http://www.enterasys.com/corporate/locations/europe/.
Seite 5
Dieses Kapitel soll Ihnen aufzeigen, welchen Werdegang die Netzwerktechnologie bereits hinter sich
hat, wie sich die Gegenwart darstellt und vor allem welche Technologien und Lösungen in der Zukunft
bestimmend sein werden.
Die Vergangenheit kennt man durch ein "geshartes", paralleles Anbinden aller Endgeräte an das
Netzwerk (BusSystem). Eine aus heutiger Sicht niedrig performante Bandbreite wurde von allen
Endgeräten geteilt. WANAnbindungen standen oftmals nur über Standleitungen zur Verfügung bzw.
als wenig performante Modemlinks.
Die nächste Generation der Netzwerke wurde bestimmt durch Switching und höhere Bandbreiten zu
den Endgeräten, leistungsfähigere Backbones und flexiblere WANTechnologien durch Wählverbin
dungen.
Viele Netzwerke auf Kundenseite befinden sich teilweise noch heute in der oben aufgeführten Genera
tion. Zum Teil sind diese allerdings schon erweitert worden und gehören daher bereits zur dritten
Generation. Unter dieser dritten Generation von Netzwerken versteht Enterasys Networks den Einsatz
von Netzwerken, die mehr bieten als performante Anbindungen von Endgeräten wie zum Beispiel PCs
oder Server. Ein Netzwerk muss dem Kunden und Administrator einen Mehrwert an Funktionalität
aufzeigen. Die Problemstellungen heutiger Netzwerke lassen sich nicht einfach mit mehr Bandbreite
lösen. Es sind intelligente Lösungen gefordert.
Die Netzwerke älterer Generation waren "nur" für die Verbindung der Endgeräte da. Heute und vor
allem zukünftig sind Netzwerke ein Teil des Geschäftsprozesses eines Unternehmens. Ohne die
eBusinessFunktion eines Netzwerkes wird ein Unternehmen zukünftig kein Geschäft mehr machen
können. Zu den bekannten Netzwerkkomponenten wird vor allem der Einsatz von Wireless LANs
immer wichtiger. Die dadurch gewonnene Mobilität innerhalb des Netzwerkes und die zukünftigen
Standards in diesem Bereich ermöglichen auch hier eine höhere Leistungsfähigkeit und eine wesent
liche Flexibilität beim Erweitern von Netzen.
Als eines der wichtigsten Themen im Netzwerkbereich hat sich die Sicherheit herauskristallisiert.
Neben den bekannten Sicherheitsfeatures wie der Einsatz von VLANs zur Netzwerksegmentierung
oder RADIUS zur Benutzerauthentifizierung wird sich in Zukunft auch der Einsatz eines User Personali
zed Networks durchsetzen. Ein gesicherter Zugang zum Netzwerk wird dann nicht wie zuvor nur über
MACAdressen basierte Beschränkungen möglich sein. Stattdessen wird der Zugang über den ent
sprechenden Benutzer, der sich am Netzwerk anmelden möchte, authorisiert. Zusätzlich wird das
Erstellen von Profilen für einzelne Benutzer oder Benutzergruppen, die Verwaltung der Benutzer und
das Auferlegen bestimmter Richtlinien noch mehr Sicherheit und Performanz bieten. Zum Beispiel
kann man dem Standarduser ein ManagementProtokoll wie SNMP verbieten oder VoIPTraffic die
höchste Priorität zuordnen. Als unabdingbares SecurityInstrument neben einer Firewall wird sich ein
Intrusion Detection System durchsetzen.Im WANBereich ist eine weitere Datenübertragungs
möglichkeit hinzugekommen. Es handelt sich dabei um die gesicherte Datenübertragung über das
öffentliche Internet. Diese Variante, bekannt als Virtual Private Network (VPN) bietet zum Einen Kos
tenvorteile und zum Anderen auch flexiblere Einsatzmöglichkeiten als die bisher bekannten WAN
Verbindungen.
Das Netzwerk ist wesentlich mehr als eine einfache Verbindung mehrerer Endgeräte!
Seite 6
Rückblick Netzwerke der ersten Generation
Die Evolution der Netzwerke begann mit dem ersten Personal Computer zu Beginn der 80er Jahre.
Dem effektiven Datenaustausch, den Backups und dem Zugreifen auf gemeinsame Ressourcen wurde
1983 zum Durchbruch verholfen.Am Anfang der Computernetzwerke standen zwei Technologien zur
Anbindung der Endgeräte zur Auswahl:
•
Token Ring
•
Ethernet
Token Ring wurde maßgeblich von der Firma IBM entwickelt und vertrieben.
Die in IEEE 802.5 definierte LANVerbindung Token Ring basiert auf diesem System des Token Pas
sings. Wie der Name bereits sagt, hat das Netz eine RingTopologie. Das heißt, dass alle Rechner an
einem logischen Ring angeschlossen sind.
Innerhalb des Ringes wird das Prinzip des Token Passings eingesetzt um Daten zu übermitteln. Auf
dem Ring kreist permanent ein Token. Dieses Token kann man als eine Art "vorbeifahrenden Zug"
sehen, der sich im Zustand "belegt" oder "frei" befindet. Wenn zum Beispiel Endgerät A an Endgerät
B ein Datenpaket senden möchte, muss dieses warten bis es den Token mit dem Zustand "frei"
erhält. Sobald es dann Daten angehängt hat, wird der Token als "belegt" gekennzeichnet. Jede Stati
on, die nun passiert wird, prüft den Token, ob die Daten für sie bestimmt sind oder nicht. Wenn ja,
entnimmt sie die Daten und markiert den Token, dass sie die Informationen erhalten hat. Das Token
kreist nun solange auf dem Ring, bis es wieder zur Sendestation gelangt. Die Sendestation erkennt
nun, dass die Informationen gelesen wurden, entfernt den Anhang des Tokens und setzt somit den
Token wieder auf "frei". Durch dieses sichere Übertragungsverfahren hat Token Ring ein sehr breites
Einsatzfeld gefunden.
D
C
A
Token
B
Funktionsweise Token Ring
Seite 7
Als eine Alternative zu Token Ring entstand das Ethernet. Der Ethernet Standard IEEE 802.3, ur
sprünglich von den Firmen DEC, Intel und Xerox entwickelt, wurde 1983 vom Institute of Electrical
Engineers (IEEE) verabschiedet.
Ethernet verwendet als Zugriffsverfahren die Technologie CSMA/CD (Carrier Sense Multiple Access
with Collision Detection). Alle Endgeräte sind über ein einzelnes Kabel miteinander verbunden.
Der Zugriff auf das Übertragungsmedium erfolgt bei Ethernet nicht so kontrolliert wie bei der Techno
logie Token Ring. Wenn Endgerät A an das Endgerät B Daten senden möchte, "hört" es in das Kabel,
ob schon eine Kommunikation stattfindet (Carrier Sense). Wenn nein, sendet es seine Daten mit der
Zieladresse B. Wenn eine Kommunikation stattfindet, wartet Station A mit dem Versenden, bis das
Übertragungsmedium frei ist und versendet erst dann seine Informationen.
Bei dem Verfahren CSMA/CD kann es jedoch zu "Collisions" kommen, wenn zufällig mehrere Statio
nen gleichzeitig Daten versenden (Multiple Access). Dann werden alle defekten Datenpakete verwor
fen (Collision Detection) und die Dateninformation erneut gesendet.
B
CSMA/CD
A
C
Funktionsweise Ethernet
Jede der beiden Technologien hat seine Vor und Nachteile im Egdebereich. Bei Token Ring gibt es
keine Kollisionen, aber Endgeräte dürfen nur dann senden, wenn das Token die Station passiert. Hier
liegt der Vorteil von Ethernet. Jedes Endgerät sendet seine Informationen, wenn es nötig ist. Ethernet
hat sich gegenüber Token Ring behauptet und dies fast völlig vom Markt verdrängt.
Je größer die Netzwerke wurden, desto kleiner wurde auch die Bandbreite, die jedem einzelnen
Endgerät im "shared" Ethernet Segment zur Verfügung stand. Prinzipiell gab es zwei Möglichkeiten,
die Netze zu segmentieren und dadurch eine größere Bandbreite im Netzwerk zur Verfügung zu
stellen. Zum Einen durch Bridges oder zum Anderen durch Router.
Seite 8
Bridges waren die einfachsten und frühesten Formen des LANPaketSwitching. Bridges arbeiten auf
der zweiten Ebene (Layer 2) des OSINetzwerkmodells. Sie treffen ihre WeitergabeEntscheidung auf
Basis der MACAdressinformation. Durch das Lesen der MACQuelladresse jedes empfangenen Pa
kets erkennen Bridges, wo sich die Benutzer im Netzwerk befinden. Die Zuordnung von MACAdresse
und BridgePort werden in einer Tabelle abgelegt. Wenn die Bridge nun die MACZieladresse eines
Paketes liest, prüft sie diese in der AdressPortTabelle auf Übereinstimmung und gibt das eingelese
ne Paket an den entsprechenden BridgePort weiter. Kennt die Bridge die MACZieladresse nicht,
dann leitet sie das Paket an alle Ports weiter. Dieses "Flooding" der Pakete kann Probleme im Hin
blick auf die Netzsicherheit mit sich bringen, denn Daten können so zu nicht berechtigten Benutzern
gelangen. Ein weiterer Nachteil in einem gebridgeten Netzwerk ist das ungehinderte Ausbreiten von
Broadcasts, denn Broadcasts sind Nachrichten an alle und so leiten die Bridges diese Pakete an alle
Ports weiter.
Router beheben die mit den Bridges verbundenen Probleme. Sie arbeiten auf der dritten Ebene (Layer
3) des OSIModells. Der Layer 3 verwendet ein Adressierungsschema, das für jedes der vielen existie
renden Netzwerkprotokolle (IP, IPX, DECNet, etc.) unterschiedlich ist. Daraus resultiert, dass die
ForwardingLogik eines Routers erheblich komplexer ausgelegt sein muss als die einer Bridge. Der
komplexe Entscheidungsprozeß erhöht zwar die Netzwerksicherheit, doch verlangsamt er auch die
Weiterleitung der Pakete und erhöht den Konfigurationsaufwand.
Zur Verbindung der Token Ringe oder der einzelnen Ethernet Segmente auf dem Etagenbereich wurde
anfangs die Technologie FDDI (Fiber Distributed Digital Interface) verwendet. FDDI basiert, ähnlich wie
Token Ring, auf einer ringförmigen Architektur mit zwei GlasfaserRingen und stellt dabei eine Band
breite von 100 Mbps zur Verfügung. Um im Backbonebereich ein Höchstmaß an Redundanz gewähr
leisten zu können, besitzt ein FDDI Backbone zwei Adernpaare, einen primären und einen sekundären
Ring. Der Datenverkehr geht über den primären Ring. Sollte dieser ausfallen, wird automatisch mit
Hilfe des zweiten Rings die alte Ringstruktur wiederhergestellt.
Das nachfolgende Bild zeigt ein typisches Netzwerk der 80er Jahre mit einem FDDIBackbone und
Bridges, die für die Lastentkopplung der einzelnen Segmente sorgen.
Seite 9
A
B
B
FDDI
B
Funktionsweise FDDI mit Ethernetsegmente im Egdebereich
Die Verbindung verschiedener Lokationen erfolgte meist mit den Technologien X.25 oder einem SNA
Tunneling. Vereinzelt wurden auch PCs mit Modems ausgestattet, um einen Datentransfer zu gewähr
leisten.
Gegenwart Netzwerke der zweiten Generation
Im Laufe der Jahre wurden immer leistungsstärkere PCs entwickelt. In gleichem Maße wuchsen die
Anforderungen an eine moderne Netzwerkinfrastruktur. Die nachfolgende Grafik vermittelt einen
Überblick über die zeitliche Entwicklung der verschiedenen NetzwerkTechnologien und über die zur
Verfügung gestellten Bandbreiten:
Seite 10
Bandbreiten verschiedener Technologien im Vergleich
Um höhere Bandbreiten im Backbonebereich zur Verfügung zu stellen, standen Technologien wie ATM
und Fast Ethernet als Alternative zu FDDI zur Verfügung.
ATM hatte den Vorteil einer skalierbaren Bandbreite von 155 Mbps bis zu 2,4 Gbps und mehr, sowie
der Multimediafähigkeit, also ein einziges Medium für Voice, Video und Data. Der gravierende Nachteil
von ATM bestand darin, dass der administrative Aufwand zu groß und die Kosten für die ATM
Komponenten und deren Infrastruktur erheblich zu hoch waren.
Als ideale Alternative zu FDDI ergaben sich Technologien wie Fast Ethernet, heute Gigabit Ethernet,
zukünftig 10Gigabit Ethernet. Ethernet in verschiedenen Bandbreiten hat den Vorteil einer skalierbaren
Technologie, vom Endgerät bis zum HighPerformance Backbone.
Seite 11
Von Ethernet zu Gigabit Ethernet und mehr…
Am Beispiel von Ethernet kann nochmals deutlich aufgezeigt werden, wie die Bandbreitenanforderun
gen an die Netzwerkinfrastruktur im Laufe der Jahre gestiegen sind. Die ersten Netzwerke basierten
auf "shared" Ethernet Lösungen. Höhere Bandbreitenanforderungen wurden durch "switched" Ether
net Anbindungen einzelner Server und kleinerer Segmentierungen in die Netzwerke integriert. Ein
Meilenstein für die Technologie Ethernet war die Entwicklung von Fast Ethernet, sowie später die
Technologie Gigabit Ethernet.
Heute wird "switched Fast Ethernet to the desk" als Standard fast überall eingesetzt. Die Server
farmen, sowie die Etagenverteiler, werden dabei mit Gigabit Ethernet an einen zentralen Router ange
bunden.
In größeren Netzwerken finden VLANs (Virtual LANs) ihren Einsatz. Die Zielsetzung bei der Bildung von
VLANs ist die Trennung von physikalischer und logischer Netzstruktur. Der Vorteil eines solchen
Ansatzes liegt vor allem in den Einsparungspotentialen bezüglich der Betriebskosten. Betrachtet man
die Netzwerkkosten in ihrer Gesamtheit, stellt man fest, dass mit steigender Komplexität des Netz
werkes die Betriebskosten die Anschaffungskosten bei weitem übersteigen. Ein Hauptteil dieser
Betriebskosten stellen insbesondere Rekonfigurierungstätigkeiten dar, die beispielsweise dann erfor
derlich werden, wenn Mitarbeiter innerhalb eines Unternehmens umziehen. Der Netzwerk
Administrator muss in diesem Fall den betroffenen Endgeräten neue Netzwerkadressen und Subnetz
Masken zuweisen.
Diese zeit und damit kostenintensiven Arbeiten resultieren vor allem aus der engen Verknüpfung von
logischer und physikalischer Struktur in den traditionellen Netzwerken. Der Grundgedanke der mo
dernen Netzwerkarchitektur ist:
Seite 12
"Any Service, Anywhere, Anytime."
Dies bedeutet, dass die Zuordnung zu einem logischen LAN sich nicht mehr nach dem physikalischen
Anschlußpunkt des Endgerätes im Netz richtet, sondern sie kann frei, mit Hilfe einer Konfigurations
software, über verschiedene Kriterien definiert werden.
Da sich nicht nur die Anforderungen im Hinblick auf ein hochperformantes Netzwerk, sondern auch
auf eine größtmögliche Verfügbarkeit des Netzwerkzugangs und damit auch mit einer höheren Mobili
tät der Mitarbeiter geändert haben, werden bereits heute schon in vielen Unternehmen WLANs einge
setzt. Durch WLANs können im Workgroupbereich kostengünstige Netzwerkerweiterungen im Ver
gleich zu einem kabelgebundenen Netz erreicht werden. Die dafür zur Verfügung stehende Bandbreite
und die Möglichkeiten im Layer 3/4 Bereich lassen auch weitergehende Datenübertragungen zu.
Einem Einsatz von VoIP mit entsprechender Sprachqualität über ein WLAN steht demzufolge nichts im
Wege. Im OutdoorBereich lassen sich vergleichsweise teure Standleitungen im Ortsnetzbereich
relativ kostengünstig ablösen. Meist bringt dies auch noch eine Bandbreitenerhöhung mit sich.
Eine Anbindung der Netzwerke an ein WAN mit hoher Bandbreite erfolgt mit Technologien wie SDH
(Synchronous Digital Hierarchy) oder Frame Relay. Nachteilig sind Standleitungen zwischen den
Lokationen. Mobile User werden in der Regel über ISDN mit einer Bandbreite von 64 kbps, also einem
BKanal angebunden. Auch zur Anbindung kleinerer Offices finden ISDN Technologien Verwendung,
hier oftmals mit einer S2M Schnittstelle.
Als Alternative hat sich der Einsatz von VPNs durchgesetzt. Auch hier werden sowohl die Betriebskos
ten minimiert als auch die Mobilität der User erhöht. Diese Lösung hat sich gerade für die Verbindung
von mehreren Lokationen eines Unternehmens deutschland, europa oder weltweit etabliert. Als
zusätzliches Plus können mobile User in ein solches VPN integriert werden.
Typisches Netzwerkdesign von heute
Seite 13
Zukunft Netzwerke der dritten Generation
Zukünftig, zum Teil schon heute, befinden sich die Anforderungen an ein Netzwerk zunehmend mehr
in der Applikationsebene, das heißt ein Netzwerk muss Informationen im Layer 4 des OSIModells
verarbeiten können. Quality of Service (QoS) ist dabei ein ganz wichtiger Aspekt.
Convergence, VideoKonferenzen, EchtzeitAudio und VideoMulticasting oder interaktive Transakti
onsverarbeitung erfordern eine striktere Kontrolle über Latenz und Durchsatz als traditionelle Anwen
dungen, wie eMail und RemoteDateizugriff.
QoS bezieht sich allgemein auf einen Satz von Mechanismen zur Gewährleistung des Bandbreiten
Niveaus, LatenzHöchstgrenzen und kontrollierten Timings zwischen Paketen.
Durch den Einsatz von Komponenten, die QoSfähig sind und im Layer 4 arbeiten, können dann neue
Funktionalitäten eines Netzwerkes unterstützt werden, wie zum Beispiel Convergence (VoIP).
Das Netzwerkdesign wird durch die Anwendungen der Endgeräte bestimmt. Heute schon werden
eBusiness Applikationen, wie SAP oder ähnliche, in ein Netzwerk implementiert. Das hat zur Folge,
dass auch Endgeräte mit hohen Bandbreiten an das Netzwerk angebunden werden müssen. Perfor
mante Backbones mit Priorisierungsmechanismen werden benötigt. Zudem werden Strukturen
erforderlich, die eine einfache Verwaltung der Netze ermöglichen und den Administrationsaufwand auf
ein Minimum beschränken. Es wird nur noch eine Technologie vom Endgerät bis zum Backbone
geben: Ethernet mit verschiedenen Bandbreiten. Das hat den Vorteil einer vereinfachten Administrati
on, sowie niedrigen Implementierungskosten im Gegensatz zu aufwendigen und teueren Technologien
wie ATM.
Zukünftig geht es nicht mehr darum die Verfügbarkeit des Netzwerkes zu erhöhen, sondern die ange
sprochenen Applikationen bzw. Dienste immer (annähernd 100%) zur Verfügung zu stellen. Dies hat
zur Folge, dass sowohl Komponenten in sich redundant ausgelegt werden müssen als auch die Ver
fügbarkeit des Netzes durch Leistungsmerkmale bzw. Standards wie "Per VLAN SpanningTree IEEE
802.1s", "Quickconvergence IEEE 802.1w" und "VRRP" erhöht werden müssen.
Die Anbindung von Remote Usern und Small Offices benötigt noch mehr Bandbreiten und Flexibilität,
die durch Technologien wie ISDN nicht mehr zur Verfügung gestellt werden können.
Zukunftsorientierte Netzwerkdesigns sollten daher heute mindestens ein Layer 4 Backbone mit Giga
bit Ethernet Bandbreite besitzen. Das 10 Gigabit Ethernet, wofür es seit Juli 2002 den Standard
802.3ae, gibt wird hier seinen Einzug halten. Außerdem muss Switched Fast Ethernet für Endgeräte
bereitgestellt werden. Im WAN Bereich werden xDSLTechnologien benötigt. Die Anbindung von
Remote Usern kann dann mit ADSL geschehen, die Small Offices werden mit SDSL an das Enterprise
Netzwerk angebunden. Und um den Einsatz dieser Übertragung sicherer zu gestalten, wird VPN mehr
denn je gefragt sein.
Seite 14
Zukunftsorientierte Netzwerkarchitektur
Neben der Hochverfügbarkeit von Applikationen innerhalb eines Netzes und der Mobilität der User, ist
Sicherheit das zukünftig bestimmende Thema. Es wurde erkannt, dass über 70% aller Angriffe auf ein
Netzwerk von innen kommen. Aufgrund dieser Situation ist es erforderlich, dass die Sicherheit der
gespeicherten Daten (Dateien und Datensätze) sowie die Bereitstellung interaktiver Daten (Netzwerk
verkehr) verwaltet wird, damit das ITSystem den Bedürfnissen des Unternehmens gerecht wird und
seine Ziele effektiv unterstützen kann. Um dies zu erreichen, wird innerhalb der "ITGemeinde" ein
Umdenkprozess einsetzen. Technologien wie Datenverschlüsselung, Filterung, Genehmigungen, Rate
Limiting, VLANs und QoS sollten der Gesamtlösung untergeordnet und nicht mehr als eigenständige
Lösungen betrachtet werden.
Die größte Herausforderung besteht dabei darin, dass das Netzwerk in der Lage sein muss, auf die
Identität der Person zu reagieren. Bislang war es in Datennetzen nicht möglich, die in einem Netzwerk
arbeitenden Menschen sichtbar zu machen. Es gibt natürlich in jedem Netzwerk Punkte, die das
Konzept des individuellen Benutzers berücksichtigen, üblicherweise das Network Operating System
(NOS), das Directory sowie Benutzernamen und unterschiedlichste AuthentifizierungsFunktionen. Die
tatsächlichen ConnectivityVorrichtungen im Netzwerk haben das Konzept des individuellen Benutzers
bislang jedoch noch nicht berücksichtigt.
Es gab zwar in der Vergangenheit Versuche, Systeme zu entwickeln, die Richtlinien und Sicherheits
merkmale auf der Grundlage technischer Erwägungen einsetzen – etwa MACAdressen, IPAdressen
oder Teilnetz bzw. SwitchPortStandort. Angesichts der heutigen Mobilität der Mitarbeiter und der
komplizierten Konfiguration dieser Mechanismen blieben die Systeme jedoch unzureichend. Daher
besteht die Herausforderung, ein System zu implementieren, das den Benutzer, der auf das Netzwerk
zugreifen möchte, erkennt und ihm aufgrund seiner Funktion bzw. seines Aufgabenbereichs innerhalb
des Unternehmens die entsprechenden Verhaltensprofile zur Verfügung stellt. Mit der Integration
eines User Personalized Networks und der damit verbundenen Authentifizierung wird der Standard
IEEE 802.1x für die Benutzerauthentifizierung immer mehr Einzug in die Netzwerkumgebung halten.
Neben der Benutzerauthentifizierung gibt es noch weitere Sicherheitsmechanismen auf den verschie
denen Ebenen. Auf Ebene 2 des OSISchichtmodells können MACBased Port Locking (Einfrieren von
Seite 15
für einen dedizierten Port zugelassener MACAdressen) und im Zusammenhang mit dem User Perso
nalized Network auch MACAuthentication (zum Beispiel für die Authentifizierung von Druckern) für
mehr Sicherheit sorgen. Mit entsprechenden Access Control Listen und einer Multilayer Frame Klas
sifizierung können Sicherheitsstufen auf Ebene 3 und 4 eingebaut werden.
Zu den Angriffen von innen kommen auch Angriffe aus dem öffentlichen Internet. Netzwerke, die
heute durch Firewalls vor diesen Eindringlingen geschützt werden, sind oftmals nur unzureichend
abgesichert. Immer wieder werden Firewalls mit verschiedensten Hackertools umgangen. Auch Anti
Virensysteme sind kein ultimativer Schutz vor Viren. Der Zeitversatz zwischen dem Bekanntwerden
eines Virus und entsprechender Updates für die Systeme ist teilweise zu groß, um hier eine wirkliche
Sicherheit zu gewährleisten. Der Einsatz von Intrusion Detection kann somit sowohl die oben erwähn
ten 70% "innere Attacken" als auch die Angriffe und Viren aus dem Internet erkennen. Sicherheits
sensible Netze können dadurch noch effektiver geschützt werden.
Seite 16
Secure Networks
Secure Networks ist eine unternehmensweite Lösung, die SicherheitsTechnologien direkt in eine
verteilte Netzwerkinfrastruktur integriert. Alle sicherheitsrelevanten Komponenten arbeiten zusammen
und sind automatisiert. Sie stellen damit eine geschlossene SicherheitsArchitektur dar, die auch noch
einfach und effizient durch eine gemeinsame Managementoberfläche und ein einheitliches Policy
Management verwaltet werden kann.
Ein Secure Network baut auf einer flexiblen Infrastruktur und einem ServiceModell auf, das Benutzer,
Systeme, Applikationen, Event Management, automatisierte Kontrolle und die Möglichkeit, aktiv auf
Ereignisse antworten zu können, zusammenfaßt.
Eine flexible Infrastruktur stellt einen authentisierten Zugang an allen Stellen zur Verfügung, an denen
ein Zugriff auf Ressourcen erfolgt. Sie verringert mit einer dynamischen Autorisierung die Angriffsflä
che für Denial of Service Attacken. Zusätzlich sichert eine flexible und zuverlässige Infrastruktur die
Verfügbarkeit von Applikationen und sichert den geschäftskritischen Anwendungen die entsprechen
den Bandbreiten.Open Convergence
Die Secure Open Convergence Lösung stellt sicher, dass Kunden beliebige Sprach, Video und Storage
over IP Lösungen auf der Netzwerkinfrastruktur von Enterasys betreiben können. Dies geschieht völlig
standardbasiert und hält dem Kunden alle Möglichkeiten offen. Automatisierte Erkennung von zum
Beispiel VoIP Phones ermöglicht eine einfache Integration und lässt das Umzugsmanagement kom
plett verschwinden.
Die Secure Open Convergence Lösung stellt sicher, dass Kunden beliebige Sprach, Video und Storage
over IP Lösungen auf der Netzwerkinfrastruktur von Enterasys betreiben können. Dies geschieht völlig
standardbasiert und hält dem Kunden alle Möglichkeiten offen. Automatisierte Erkennung von zum
Beispiel VoIP Phones ermöglicht eine einfache Integration und lässt das Umzugsmanagement kom
plett verschwinden.
Die Secure On Demand Networking Lösung stellt Ressourcen für neue Applikationen durch wenige
Mausklicks zur Verfügung und bietet damit OnDemand Leistungsmerkmale für alles, was an Anfor
derungen in Zukunft auf Sie zukommen kann. Hinzu kommt eine Lösung, die Ihnen 365 Tage und 24
Stunden am Tag zur Verfügung stehen kann. Durch entsprechendes Netzwerk und Produktdesign
sowie standardisierte Protokolle ist dies heute implementierbar.
Seite 17
Bestandteile des Produktportfolios zu Secure Networks
Die einzelnen Produktlinien sind bei Enterasys Networks unter folgenden Namen zu finden:
•
Switching
> Die "Matrix" Switching/Routing Produktlinie
•
Routing
> Die "XPedition Switch Router und Matrix XSerie"
•
WAN
> Die "XPedition Security Router" Linie mit VPN, Firewall und IDS Integration
•
Security
> "User Personalized Networks" und "Dragon Intrusion Defense"
•
Wireless
> Die "RoamAbout" Produktlinie
•
Network Management
> Die "NetSight Atlas" Netzwerkmanagement Software
Zusammenfassung
Enterasys Networks bietet eine vollständige Netzwerklösung für Unternehmensnetze, die sich durch
Flexibilität und Skalierbarkeit, geringe Betriebskosten, Sicherheit und Hochverfügbarkeit sowie hohen
Investitionsschutz und Standardbasiertheit auszeichnet.
Einen kompletten Überblick über die Leistungsfähigkeit finden sie auch unter www.enterasys.com/de.
Lösungsportfolio
Seite 18
Lösungsportfolio
Die Anforderungen an Konzepte und Lösungen für Netzwerke wird mit jedem Tag größer. Dabei rückt
die reine Datenübertragung immer mehr in den Hintergrund. Es wird immer mehr Wert auf Lösungen
gelegt, die dem Grundgedanken von BusinessDriven Networks entsprechen.
Diese Lösungen müssen berücksichtigen, dass es nicht mehr reicht, in einzelnen Bereichen Funktio
nalitäten bereitzustellen. Vielmehr wird eine vollständig integrierte Lösung erwartet. Erst dadurch
entsteht ein echter Mehrwert für Unternehmen. Im Gegensatz dazu führen inkompatible individuelle
Implementierungen oft zu Einschränkungen und suboptimalen Lösungen.
Diese Lösungsansätze werden im Folgenden besprochen:
•
•
Secure Networks
o
User Personalized Networking
o
VPN
o
Firewall
o
o
Dynamic Intrusion Response Systems
o
Voice over IP
o
EFFECT
o
Quality of Service
o
•
!
IntServ, Diffserv
!
802.1p, 802.11e
Power over Ethernet, Phone Detection
o
o
Redundanz
!
SpanningTree, Rapid SpanningTree 802.1w
!
Multiple SpanningTree 802.1s
!
VRRP, OSPF
Skalierbarkeit
o
Server Load Balancing
Lösungsportfolio
Seite 19
o
IPv6
o
Network Management
Secure Networks
Bei den meisten Unternehmen sind in den letzten Jahren alle wichtigen Geschäftprozesse durch IT
Systeme unterstützt oder sogar komplett abgebildet worden. Die Abhängigkeit von einer sicheren und
verfügbaren IT Infrastruktur steigt damit stetig. Das Netzwerk ist das Herzstück dieser Infrastruktur –
ohne Netzwerk steht das komplette IT System still. Auf der anderen Seite haben die Bedrohungen
durch die Verbreitung des Internets und der damit verfügbaren Mittel und das KnowHow im gleichen
Maße zugelegt. Aktuelle Zahlen, wie die Steigerung der sicherheitsrelevanten Vorfälle (registriert vom
CERT – Computer Emergency Response Team www.cert.org) von 82094 in 2002 auf 114885 in 2003
(nur bis Q3) oder auch die Studie von Mummert und Partner in Deutschland vom März 2003, bewie
sen dies (hier hat sich die Anzahl der registrierten Attacken in Deutschland in den letzten 4 Jahren
vervierfacht). In dieser Studie wurde auch ermittelt, dass 66% der Attacken von internen Systemen
und Zugängen heraus erfolgten – bei den letzten Internet Würmern wurden die zentralen Firewalls
und Virenscanner durch einfaches Hereintragen auf mobilen Systemen wie Laptops umgangen. Damit
müssen entsprechende Sicherheitskonzepte sowohl auf interne als auch auf externe Angriffe
vorbereitet sein. Ein ganzheitlicher und skalierbarer Ansatz ist damit gefragt: eine Ergänzung der bis
dato wenigen zentralen Sicherheitssysteme – meist nur Firewalls, Virenscanner und begrenzt auch
Intrusion Detection – durch verteilte Authentisierung, automatisierte Regelvergabe und dynamische
Antworten bei unbefugtem Zugriff an jedem Ort der Infrastruktur wird notwendig.
Zufolge der Angaben der Meta Gruppe ist die Wahrscheinlichkeit für Unternehmen mit Intranet
vernetzten Nutzern, Opfer eines Übergriffs innerhalb ihrer eigenen Grenzen zu werden, doppelt so
hoch, als für Übergriffe über das Internet, durch externe Teilnehmer. Diese Statistik stellt genau die
Grundsätze in Frage, nach denen Unternehmen ihre bestehenden Sicherheitsmaßnahmen seit 10
Jahren entwerfen. Die Bedrohung aus den eigenen Reihen ist, auch wenn es viele Firmenchefs und
ITLeiter überraschen mag, statistisch gesehen eigentlich am logischsten.
Enterasys Networks ist auf der Suche nach einer Lösung bei Sicherheitsverstößen immer wieder auf
den so genannten PETE gestoßen. PETE ist der Potential Employee Threat to Enterprise (potentielle
Bedrohung des Unternehmens durch einen Angestellten). Mit anderen Worten: PETE macht 70% der
möglichen Bedrohungen aus, mit denen viele Unternehmen heutzutage konfrontiert werden.
Nicht nur Sicherheitslecks, die zum Zerstören (gewollt oder ungewollt) bzw. zum Stehlen sensibler
Daten führen, erzeugen entsprechende Schäden. Sondern auch die Nichtverfügbarkeit der IT Infra
struktur durch Viren, Würmer wie SQL Slammer, Nimda und DoS – Denial of Service – Attacken fügen
den Unternehmen erheblichen Schaden zu. Schätzungen zufolge sind bis zu 90% aller Unternehmen
betroffen mit einem Gesamtschaden von bis zu 178 Milliarden US Dollar.
Die letzten Ereignisse haben gezeigt:
Business Continuity ist nur durch redundante UND sichere Netzwerke zu erreichen.
Dies ist das zentrale Thema von Secure Networks bei Enterasys.
Lösungsportfolio
Seite 20
Security versus Mobility
Die Netzwerklandschaft hat sich in den letzten Jahren grundlegend geändert. Neue Zugangsmethoden
wie Wireless LAN (WLAN) oder Virtual Private Network (VPN) gewinnen immer mehr an Akzeptanz. Ein
Zugewinn an Flexibilität und Mobilität sowie ein großes Maß an Kostenersparnis sind die treibenden
Faktoren. Durch die steigende Verbreitung dieser Technologien werden aber auch vermutliche Sicher
heitslücken eingebaut. Im folgenden wird beleuchtet, in wie weit dies der Fall ist und was dagegen
getan werden kann.
Zudem wird auf die Frage eingegangen, ob sich die Themen Mobilität und Sicherheit gegenseitig
ausschließen oder ergänzen.
Mobile Dienste werden von den Unternehmen und deren Mitarbeitern immer stärker genutzt. Bei fast
allen neuen Geschäftsszenarien steht das Internet im Brennpunkt des Interesses. Es ist die zentrale
Plattform, die zukünftige Geschäftsanwendungen ermöglicht. Wichtige Kerngrößen des Internet der
nächsten Generation sind hohe Zuverlässigkeit und Verfügbarkeit für geschäftskritische Anwendun
gen, Servicequalität, durchgängige Datenübertragung auf optischen Netzen bis zum Desktop sowie
flexible
Bereitstellung von Inhalten und Diensten für jedes Endgerät. Darüber hinaus ist die nächste Internet
Generation sowohl über Kabel als auch mobil über Funk zugänglich. Menschen können dadurch
effizienter zusammenarbeiten und durch den Zugriff auf Anwendungen und Dateien besser mit Kolle
gen und Kunden kommunizieren. Der persönliche Desktop, EMails und Dateien stehen ebenso wie
der sichere Zugang zu Internet und Corporate Networks zeit und ortsunabhängig mittels den unter
schiedlichsten stationären und mobilen KommunikationsEndgeräte (Handys, PDAs, Laptops etc.) zur
Verfügung.
Hierdurch ergeben sich für Unternehmen optimierte Arbeitsabläufe und neue Geschäftsmöglichkeiten.
Für Mitarbeiter stehen die gewohnte Arbeitsumgebung und die notwendigen Dateien und Informatio
nen zur Verfügung, egal ob sie im Teleworking von zu Hause, im firmeneigenen oder im externen Büro
arbeiten.
Beispielsweise stehen dem Vertriebsmitarbeiter, der auf Kundenbesuch ist, die gleichen Informationen
zur Verfügung stehen wie seinen Kollegen im Büro. Selbst kurzfristige Aktualisierungen von Präsenta
tionen oder Angeboten sind dadurch möglich. Die Anzahl der mobilen Arbeitskräften in Deutschland
steigt nach IDC bis zum Jahr 2007 enorm an.
Lösungsportfolio
Seite 21
Quelle: IDC 2003
In der nahen Zukunft werden zudem verstärkt Konvergenznetze Ihren Platz einnehmen.
Sie bieten heute eine einheitliche Infrastruktur zum Informationsaustausch. Das unterscheidet sie von
traditionellen Netzwerken, die entweder über Telefonleitungen die Stimme oder über Computernetze
Daten transportieren. Die Gartner Group schätzt, dass 2005 rund 45 Prozent der neu installierten
Telefonleitungen IPbasiert arbeiten werden; 2000 waren es noch zwei Prozent.
Die Portierunge existierender Anwendungen auf mobile
Plattformen wirft jedoch Fragen in puncto Sicherheit auf
Vor allem dürfen die in den Unternehmen aufgebauten
Sicherheitsarchitekturen nicht durch die mobilen Endgeräte
für Angriffe von außen geöffnet werden. Daher müssen sich
Unternehmen schnellstens auch von der Ansicht trennen, dass
die Daten innerhalb des Netzwerkes sicher sind und nur von
außen Gefahren durch Hacker, Wardriver, Viren oder Würmer lauern.
So banal es klingen mag, aber ein grundsätzliches Problem besteht darin, dass sich die Teilnehmer
einer Kommunikation nicht sehen. Dies gilt sowohl für Telefon, Handy, PDA oder Laptop. Beim Telefon
hilft die Stimme zur Erkennung des Gegenüber, beim den weiteren Varianten müssen anderer Metho
den genutzt werden, um sich zu authentifizieren und andere identifizieren zu können.
Ein weiteres Stichwort ist Integritätsschutz. Wie kann sicher gestellt werden, dass die Daten bei der
Übertragung nicht verändert wurden, wenn jemand etwa bei einem Geschäft im Internet eine Zah
Lösungsportfolio
Seite 22
lungsanwendung genutzt hat? Wer ist berechtigt, auf welche Ressourcen zuzugreifen? Sensible Daten
von Kunden oder geheime Unternehmensstrategien, die heute häufig auf Unternehmensservern lie
gen, sollen per Fernzugriff nur den Berechtigten zugänglich sein.
Durch den Einsatz von WLAN wird zwar die Mobilität und Flexibilität stark erhöht. Die WirelessWolke
macht jedoch vor Unternehmensmauern keinen Halt. Sensible Daten können ohne die Aktivierung von
entsprechen Sicherheitsfunktionalitäten über dieses Medium aus dem Unternehmen entfernt werden,
ohne dass jemand etwas bemerkt. Jede WirelessZugangsstelle ist ein einfaches Mittel geworden,
GrenzAbwehrsysteme zu umgehen.
Doch nicht nur Wireless LAN ist ein potentieller Gefahrenherd. Neue Technologien wie so genannte
Adhoc Netzwerke über Bluetooth oder Smart Phones werden zukünftig verstärkt als Angriffziele in
Erscheinung treten.
Laut IDC werden 500 Millionen Smart Phones für das Jahr 2006 erwartet. Durch die schnelle Verbrei
tung dieser Geräte, zu denen natürlich auch die USBMemorySticks zählen, reicht es nicht, wenn
Unternehmen nur noch klassisch den Virenschutz auf den Desktop bzw. Laptop aufspielen. Zudem
verfügen immer mehr Laptops über den HibernateModus („Schlafmodus“). Der Laptop ist dadurch
nach wie vor aktiv und kann angegriffen werden, auch wenn er in der Tasche eines Mitarbeiters
vermutlich geschützt ist.
Grundsätzlich gewinnen dadurch EndtoEndSicherheit, Verschlüsselung, Aufbau von TrustCentern
und PublicKeyInfrastrukturen (PKIs) an Bedeutung. Verschlüsselung hilft vertrauliche Computer
Telefongespräche oder EMails zu schützen. Eine PKI ermöglicht sichere EndtoEndTransaktionen
mittels Identifikation und Authentisierung von Kunden und Produktanbietern. Das verschlüsselte
Passwort (öffentlicher Schlüssel) des Kunden ist beim Lieferanten sicher gespeichert. Es verschafft
ihm die Sicherheit, dass die Transaktion tatsächlich vom jeweiligen Kunden getätigt wurde. Eine
verschlüsselte Verbindung über Remote Access VPN erlaubt etwa vom Hotel oder von zu Hause aus
über eine öffentliche Datenleitung sicher auf den Unternehmensserver zuzugreifen. Der chipkartenba
sierte Zugang zu Rechnern und Netzen mit unterschiedlichen Rechten ist ein Weg, um Anwender zu
authentifizieren und für Verbindlichkeit zu sorgen.
Stellt sich nun die Frage, ob die Implementierung von Sicherheitsfunktionalitäten die Nutzung von
neuen, mobilen Diensten einschränkt oder gar verhindert? Sicherlich gibt es Funktionalitäten, die
statisch an bestimmten Stellen konfiguriert werden. Das können
zum Beispiel auf SwitchPortEbene Zuweisungen von bestimmten MACAdressen auf entsprechende
Switchports sein. Dadurch kann sichergestellt werden, dass nur ausgewählte Rechner Zugang zur
Infrastruktur bekommen. Zieht dieser Anwender aber mit seinem Rechner um, kann er ohne entspre
chende Umkonfigurationen nicht mehr über das Netzwerk kommunizieren. Das erhöht den Aufwand
für den Administrator enorm und lässt die Betriebskosten in die Höhe schnellen.
Enterasys Networks kann im Rahmen der User Personalized Network (UPN) Architektur eine kostenef
fektive und automatisierte Lösung bieten. Im Zuge dieser oben genannten Umzüge wird der Rechner
nicht mehr statisch einem SwitchPort zugewiesen. Durch Authentifizierungsmaßnahen auf Basis von
MACAdresse oder Benutzername via IEEE 802.1X werden dynamisch die entsprechenden Rechner
auf SwitchPortEbene freigeschaltet. Der Anwender kann dadurch ohne Konfigurationsaufwand
innerhalb des Unternehmens umziehen. Dabei spielt es keine Rolle, ob der Rechner via Wireless LAN
Lösungsportfolio
Seite 23
oder mittels drahtgebundenem Ethernet an das Unternehmensnetz angeschlossen ist. Die entstehen
den Kosten und Zeitersparnis beim Changemanagement sind ernorm. Eine Total Cost of Ownership
(TCO) Berechnung lässt sich so sehr einfach darstellen.
Ist der Switch leistungsfähig genug, kann er zudem eine „verteilte Firewall“ darstellen, indem er
einige Funktionen einer Firewall wie Berechtigungsprüfungen und Filtern von Datenpakete übernimmt.
Durch einen Zusammenschluss mehrerer Switches werden die so genannten „Enforcement Points“
im gesamten Netz verteilt, die Sicherheit des Intranet lässt sich damit erheblich verbessern. Unbe
rechtigte Nutzer werden sofort abgewiesen, unerwünschte Datenpakete gelangen erst gar nicht ins
Netzwerk und für bestimmte Arten von Datenströmen gilt ein eingeschränkter Zugang zum Netz.
Die Switches sind in der Lage, die Zugriffsrechte am Netzwerkrand dynamisch an den Nutzer anzu
passen. Der berechtigte Nutzer erhält nur Zugriff auf diejenigen Protokolle und Ressourcen, die für
seine spezifische Aufgabenstellung erforderlich sind.
Wenn ein Vertriebsmitarbeiter beispielsweise keinen Zugriff auf das Simple Network Management
Protokoll (SNMP) erhalten soll, wird bei der Berechtigungsprüfung ein entsprechender Filter im Switch
aktiviert. Durch den Einsatz des Intrusion Detection Systems Dragon kann zusammen mit dem Net
sight Policy Manager zusätzlich eine Lösung bereitgestellt werden, die verteilte Intrusion Prevention
Funktionalitäten an jedem internen Zugangspunkt des Netzwerkes ermöglicht.
Ein ganz entscheidender Faktor in einer ganzheitlichen Sicherheitsstruktur ist jedoch der Faktor
Mensch. Eine Umfrage der Meta Group ergab, dass das größte Hemmniss für die Durchsetzung eines
hohen Sicherheitsniveaus bei ITInfrastrukturen das geringe Sicherheitsbewusstsein der Anwender
ist.
Hier müssen Unternehmen schnellstens Maßnahmen ergreifen, um nicht unbewusst Opfer eines
Angriffes zu werden. Denn meist starten Angriffe ohne böswillige Absichten ausgehend von den
diversen Endgeräten der Mitarbeiter.
Lösungsportfolio
Seite 24
In letzter Konsequenz ist es jedoch wichtig, die Gesamtzusammenhänge der Sicherheitsstruktur zu
prüfen, um einen sauberen Status quo zu erreichen. Leider wird bisher oft erst dann etwas getan,
wenn gerade mal ein Thema die öffentliche Aufmerksamkeit gewinnt oder eine Sicherheitslücke
aufgedeckt wurde. Dann wird hastig der Virenschutz verbessert, die letzten SecurityPatches einge
spielt oder schnell eine Firewall installiert. So werden aber immer nur Einzellöcher gestopft. IT
Sicherheit ist kein Produkt, sondern ein Prozess von aufeinander abgestimmten Maßnahmen. Durch
deren regelmäßige Überprüfung und Aktualisierung erreicht man ein höheres Niveau an Sicherheit als
vorher und kann die neuen, mobilen Geschäftsmöglichkeiten nutzen.
Enterasys Networks stellt im Rahmen der SecureNetworksStrategie Lösungen bereit, die individuel
len Sicherheitsanforderungen von Unternehmen heute bereits erfüllen.
UPN User Personalized Networking
Die zentrale Technologie, die allen Lösungen – Secure Networks, Secure Open Convergence und
Secure On Demand Networking – zugrunde liegt, ist User Personalized Networking. Sie ermöglicht es,
Benutzer, Systeme und Applikationen automatisch zu erkennen oder zu authentisieren und nachfol
gend beliebig und dynamisch so genannten Policies zuzuordnen. Eine Policy kann dabei Sicherheits
relevanz haben, Zugangskontrolle oder VLANZugehörigkeit sind Beispiele dafür, oder bezogen sein
auf Quality of Service Parameter, wie zum Beispiel die Garantie von Bandbreite für VoIP.
Identity Services with User Personalized Networks
Lösungsportfolio
Seite 25
Die Architektur User Personalized Networking von Enterasys Networks hat folgende Ziele:
•
Zugriffssicherheit
•
Zentrale Authentisierung und Autorisierung, Single SignOn
•
Automatisiertes Benutzermanagement, Mobilität
•
Automatisierte Verteilung und Management von Security und Bandreitenprofilen per Be
nutzer/per Applikation
•
Abbildung der Geschäftsprozesse auf die IT Infrastruktur
•
Effiziente und schnelle Einführung von neuen Applikationen
Für Kunden ergeben sich massive Vorteile in den Bereichen Betriebskosten (Monitoring, Konfiguration
und Umzugsmanagement) und Sicherheit im Netzwerk.
Betrachten wir UPN am Beispiel Security: Die meisten Unternehmen konzentrieren sich nach wie vor
auf die Schnittstelle zwischen ihrem Intranet und dem Internet bei Sicherheitsthemen. Aber auch das
eigentlich "vertrauenswürdige" Intranet ist anfällig. Man geht davon aus, dass etwa die Hälfte aller
Angriffe auf eine NetzwerkInfrastruktur aus dem Unternehmen selbst kommt, was unter anderem
wie folgt begründet werden kann:
•
Die Grenze, an dem das vertrauenswürdige Netzwerk endet und das gefährliche Netzwerk
beginnt, verschwimmt immer mehr.
•
Geschäftspartner erhalten entweder intern oder über so genannte virtuelle private Netze
(VPN) Zugriff auf das Intranet.
•
Die Verbreitung drahtloser Netze öffnet die Infrastruktur eines Unternehmens über die Ge
bäudemauern hinaus und macht sie für Angriffe von außen anfälliger.
•
Auch in halbprivaten Bereichen wie Konferenzräumen oder Hörsälen gibt es Netzwerkan
schlüsse.
•
Viren, Trojaner und Würmer können versehentlich oder mutwillig in eine Organisation ein
gebracht werden, zum Beispiel über private Laptops.
Dabei sind die von mobilen Mitarbeitern und Besuchern eines Firmengebäudes ausgehenden Gefah
ren besonders zu beachten. Laptops werden häufig zu Hause, am Flughafen, oder im Hotelzimmer an
das "gefährliche" Netz angeschlossen, ohne dass die Integrität des Netzes garantiert werden könnte.
Bisher wurde wenig oder gar nichts gegen diese internen Gefährdungen unternommen. Es gibt jetzt
aber neue Technologien, mit denen man direkt am LANPort (Wireless oder Wired) im Intranet einer
Organisation so genannte AAAPrüfungen (Authentication, Authorization, Accounting) vornehmen
kann. Der neue IEEE 802.1x Standard definiert einen Mechanismus für die Authentifizierung, bevor
der Nutzer in das Intranet hereingelassen wird. Zusammen mit intelligenten Switches kann IEEE
802.1x die Berechtigungsprüfung (Authorization) unterstützen und festlegen, was der berechtigte
Nutzer darf und was nicht. Diese Funktionen werden an dem SwitchPort durchgeführt, über den sich
der Nutzer "eingewählt" hat. So wird der Port selbst zum Punkt (Enforcement Point), der die Si
cherheitsPolicy der Organisation durchsetzt. Ist ein Switch leistungsfähig genug, kann er zur Firewall
Lösungsportfolio
Seite 26
werden, die Berechtigungsprüfungen vornimmt und Datenpakete filtert. Ein System solcher Switches
verteilt die Enforcement Points im gesamten Netz und kann so die Sicherheit des Intranet wesentlich
verbessern. Es gibt sogar Switches (wie zum Beispiel die Matrix Serie von Enterasys), mit denen die
Zugriffsrechte am Netzwerkrand dynamisch an den Nutzertyp angepasst werden können und jeder
berechtigte Nutzer nur Zugriff auf diejenigen Protokolle und Ressourcen erhält, die für die spezifische
Aufgabenstellung absolut notwendig sind.
Was also brachen wir für die Realisierung eines User Personalized Networks? Generell muss eine
Policy Enabled Networking Lösung folgende Funktionen bereitstellen:
•
Erstellen von Regeln und Policies
•
Erkennen von Policy Konflikten
•
Speicherung von Policies
•
Verteilung von Policies
•
Umsetzung von Policies in Befehle, die von der Netzwerkkomponente verstanden werden
können
•
Verteilung der Befehle in die Netzwerkomponenten
•
Überprüfung der Verteilung
Die User Personalized Network Architektur von Enterasys Networks nutzt hierzu den NetSight Atlas
Policy Manager. Dieses ManagementTool, Bestandteil der NetSight Atlas Management Suite und wie
alle anderen Komponenten auch SNMPbasiert, bietet eine komfortable Oberfläche zur Implementie
rung von Policy Based Networking.
Policy Konzepte
Lösungsportfolio
Seite 27
Das Konzept basiert auf einer 3stufigen Hierarchie. Auf der obersten Abstraktionsebene hat man
verschiedene Rollen, die die Rolle eines Users innerhalb der Firma und damit die Rechte und Ein
schränkungen des Netzwerkverhaltens dieser User definieren.
Diese Rollen werden durch verschiedene Services beschrieben, jeder Rolle werden dazu die passen
den Services zugewiesen.
Diese Services wiederum werden durch genaue Klassifizierungsregeln und zugehörige Eigenschaften
definiert.
Betrachten wir den Vorteil dieser Abstraktionsebenen noch einmal genauer. Durch die Kombination
verschiedener NetzwerkRegeln zu einem Service kann man zum Beispiel VoIP folgendermaßen
beschreiben: VoIP = DSCP EF (Expedited Forwarding, geringste Latenz, höchste Priorität), jedoch nur
360 kbps Bandbreite maximal (würde 3 gleichzeitigen VoIP Gesprächen entsprechen).
Als nächster Schritt müssen die im Policy Manager festgelegten Policies auf die Netzwerk
komponenten übertragen werden. Selbstverständlich müssen diese Komponenten Klassifizierung,
Filterung und Authentifizierung unterstützen. Enterasys Networks ist hier mit einem breiten Portfolio
dementsprechender Komponenten beispielhaft und bietet so einen Serviceenabled Edge, der einen
wesentlichen Baustein für User Personalized Networking darstellt.
Die verbreitete Art und Weise, Policies zu verteilen, ist per CLI oder per SNMP. Diese statische Konfi
guration bietet die größte Sicherheit, ein vorhersagbares Verhalten einer Netzwerkomponente zu
erzeugen. Enterasys Networks führt dabei eine Trennung von Authentication und Policy Management
durch: Die Authentication erfolgt mittels eines Standard RADIUS Servers, der bei erfolgreicher Authen
tisierung innerhalb des Attributs FilterID die so genannte Rolle mitliefert. Diese Rolle ist allerdings
keine einfache VLAN ID, sondern beschreibt eine Kombination aus netzwerkspezifischen Regeln, die
zuvor (und damit statisch) per CLI oder per SNMP schon auf alle Netzwerkkomponeten übertragen
wurden. Bevorzugt wird hier SNMPv3 zur besseren und sicheren Skalierung dem Lösung (was die
Verteilung und Überprüfung der Policies angeht). Lokal auf der Netzwerkkomponente werden die
entsprechenden MIB Einstellungen aber auch in CLI Sprache umgesetzt, um den Netzwerkadministra
tor nochmals eine weitere Möglichkeit der Prüfung und Modifikation zu geben. Je nach Wert der Filter
ID beim RADIUS Response wird dann der Port eines Benutzers dynamisch mit einer Regel belegt. Eine
Regel kann folgende Parameter enthalten:
•
Access Control auf Layer 2/3/4
•
Port VLAN ID Zuweisung und/oder Layer 2/3/4 VLAN Klassifizierung
•
Quality of Service
•
Queueing mit Layer 2/3/4 Klassifizierung, Priorisierung und ReMarking
•
Rate Limiting (Port, ApplikationsFlow, Protokoll, Nutzer (IP oder MAC))
Mit den Rollenbasierenden Policies und der Übertragung dieser Policies auf den Serviceenabled
Edge haben wir schon ein leistungsfähiges Werkzeug für Policy Enabled Networking. Allerdings sind
unsere Policies dann noch rein statisch. Um daraus wirkliches User Personalized Networking zu
Lösungsportfolio
Seite 28
machen fehlt noch die dynamische Komponente: die Zuordnung eines Ports zu einem User. Dazu
braucht man einen Mechanismus zur Authentication. Damit sind unsere drei Bausteine für User Per
sonalized Networking komplett.
Die drei Bausteine für ein UPN
Mit dem IEEE Standard 802.1x steht uns ein einheitliches Verfahren zur Authentisierung am Switch
port und damit am Eingang zu unserem Netzwerk zur Verfügung. Verschiedene Hersteller, Enterasys
Networks eingeschlossen, haben vorab mit webbasierender Authentifizierung gearbeitet. Diese Vari
anten sind mit der Verbreitung von IEEE 802.1x, das mittlerweile von allen gängigen Betriebssystemen
unterstützt wird, weitgehend überholt.
IEEE 802.1x liefert ein komplettes Authentication Framework, das Portbasierende Zugriffskontrolle
ermöglicht. Das Modell von 802.1x zur Implementierung sieht dabei ebenfalls verschiedene Abstra
hierungen vor.
Supplicant ist das Gerät, welches einen Netzwerkzugang anfordert.
Authenticator ist das Gerät, welches den Supplicant authentisiert und den Netzwerkzugang versperrt
oder frei gibt.
Authentication Server ist das Gerät, welches den BackendAuthenticationDienst bereitstellt.
Dabei nutzt 802.1x bestehende Protokolle, wie EAP oder RADIUS, die empfohlen, aber nicht vorge
schrieben sind. Unterstützt wird 802.1x für Ethernet, Token Ring und IEEE 802.11.
Dabei sind eine Fülle von Authentisierungsmechanismen vorgesehen, wie zum Beispiel Zertifikate,
Smart Cards, Onetime Passwörter oder biometrische Verfahren. Diese Flexibilität wird erreicht durch
die Nutzung des Extensible Authentication Protocol (EAP).
Lösungsportfolio
Seite 29
Der Bekanntheits und Nutzungsgrad des Protokoll EAP (Extensible Authentication Protocol) und seiner
Varianten steigt zunehmend. Auslöser ist der Standard IEEE 802.1x, Portbasierte Network Authentica
tion – der unter anderem EAP in der Variante EAPoL (EAP over LAN, EAP mit Ethernet Framing) zur
Authentisierung beschreibt.
Primär getrieben durch die Anforderung bezüglich Authentisierung und Verschlüsse
lung/Schlüsselmanagement für TKIP (802.11i und WiFi WPA) und der 802.11a/b/h/g WLAN Standards
des IEEE bekommt 802.1x mit EAP aber zusehends auch Beachtung innerhalb herkömmlicher Ether
netNetzwerke.
Weiterhin erlaubt die Nutzung von EAP in der von Microsoft favorisierten Variante für RAS VPN (Remo
te Access Virtual Private Networks) innerhalb von IPSec/L2TP (IPSecurity, Layer 2 Tunneling Protocol)
eine einheitliche Authentisierung eines Nutzers über LAN, WLAN und WAN Infrastrukturen.
EAP erlaubt eine offene Kommunikation, die aus Requests und Responses für entsprechende Authen
tisierung (beider Seiten) besteht. Zum Beispiel kann ein Authenticator bei der Verwendung von Securi
ty Token Cards nacheinander sowohl den Namen, als auch den PIN, als auch den Wert des Tokens
separat nacheinander abfragen – der Supplicant kommt dabei jeweils in einen anderen Authentisie
rungsStatus.
Die eigentliche Authentisierung erfolgt durch die Weiterreichung der EAP Pakete mittels EAPRADIUS
(RFC 2869) an einen RADIUS Server. Dieser kann wiederum je nach Hersteller Schnittstellen zu Ver
zeichnisdiensten wie Active Directory ADS von Microsoft oder Novell´s NDS über LDAP oder XML
sowie Plugins für Secure ID Card Integration haben.
Je nach Anforderung und Anwendung kann eine Vielzahl von EAP Protokollen zur Anwendung kom
men, folgende Tabelle soll eine kurze Übersicht geben:
Protokoll
Standard
Client/Server Authen Dynamisches Wep
tisierung
Schlüsselmanagement
EAPMD5
RFC 2284
Nein
Nein
EAPTLS
RFC 2716
Ja
Ja
EAPTTLS
draftietfpppexteap
ttls01.txt
Ja
Ja
draftjosefssonpppext
eaptlseap02.txt
Ja
Ja
EAPPEAP
Ein Beispiel: EAPTLS (Transport Layer Security)
Eine herkömmliche SSL Authentisierung, zum Beispiel beim Aufbau einer HTTPSVerbindung (Hyper
Text Transport Protocol (Secure)), führt meist nur eine so genannte "Oneway" oder "Serverside"
Authentication durch. Hierbei authentisiert sich der Server beim Client. Dieser überprüft die Identität
des Servers und seines Zertifikats durch den Vergleich der ausstellenden CA des ServerZertifikats
Lösungsportfolio
Seite 30
mit einer lokalen Liste von so genannten Trusted Root CAs. Diese Liste, die im Falle einer HTTPS
Verbindung typischerweise im Browser des Clients gepflegt wird, ist die Certificate Trust List (CTL).
Der SSLHandshake wird hier über TCP durchgeführt.
Im Falle von EAPTLS geschieht der Handshake über das EAP bzw. EAPoL Protokoll. EAPTLS führt im
Gegensatz zum SSLHandshake eine Authentisierung sowohl des Clients als auch des Servers (ge
nauer gesagt: des Authentication Servers = RADIUS Servers) durch.
Switch Port
Supplicant
PAE
(user)
Authentication
Server
(R ADIUS)
Authenticator System
Services
P or t unauthorized
Authenticator
PAE
EAPOL
Exchange
LAN
EAP – Authentication Exchange
Erwähnenswert für die Realisierung von User Personalized Networking ist noch die Integration beste
hender MACbasierender Authentifizierung in das UPN Konzept.
Die MACAdress Authentifizierung erweitert das User Personalized Network um die Option, auch
Komponenten wie Netzwerkdrucker, die keine Eingabemöglichkeit von Username und Passwort
haben, aufgrund ihrer MACAdressen einer Authentifizierung zu unterziehen. Dies ergibt den Vorteil,
dass sämtliche Ports eines Switches nun eine dynamische Rollenvergabe mit entsprechender Authen
tifizierung des Gerätes vornehmen können. Dadurch lässt sich flächendeckend ein abgesicherter
Netzwerkzugang bereitstellen. Alle Ports innerhalb der SwitchingDomäne können eine Authentifzie
rung, auch von Druckern, durch eine Vereinbarung im RADIUS Server mit Username = MACAdresse
und Password = Nopassword veranlassen.
Betrachten wir zum Abschluss noch ein Beispiel: Ein Vertriebsmitarbeiter sollte keinen Zugriff auf das
Simple Network Management Protokoll (SNMP) bekommen, so dass bei der Berechtigungsprüfung
dynamisch ein im Switch enthaltener Filter aktiviert werden kann. Ein wesentliches Attribut der dy
namischen Regelzuweisung im Switch ist die Mobilität dieser Regel (Policy). Jedes Mal, wenn sich der
Nutzer von einem anderen Standort aus "einwählt" und den AuthentifizierungsVorgang einleitet, folgt
Lösungsportfolio
Seite 31
die definierte Regel dem Nutzer: Die Regel wird dynamisch im Switch generiert und nicht statisch im
Netz. So wird der Nutzer immer gleich behandelt, unabhängig davon, von wo aus er sich tatsächlich
konnektiert hat.
BenutzerAuthentisierung in einem User Personalized Network
Man kann dies als dynamische Access Listen am Netzwerkzugang definieren, die automatisch verteilt
und bei Benutzerumzug auch automatisch angepasst werden. Das gleiche ist für Quality of Service,
Bandbreitenlimitierungen sowie VLANZuweisungen möglich und dient damit als Basis für eine kon
vergente Infrastruktur (siehe Open Convergence), ein weiteres Wachstumssegment im Netzwerk
markt.
EAP und Rapid ReKeying für WLANs
IEEE 802.1x und EAP, die auch für IEEE 802.11 unterstützt werden, finden hier noch einen ganz
besonderen Einsatz.
Das neue Leistungsmerkmal Rapid ReKeying stellt eine sichere und dynamische Schlüsselverwaltung
in Wireless LANs mit Enterasys Networks Access Points AP3000, AP 2000 und R2 zur Verfügung.
Mobilität ist eines der modernsten Schlagworte in unserer Gesellschaft. Die Informationsübertragung
soll heutzutage überall funktionieren. "Anywhere" und "anytime" sind fast schon Grundvoraussetzun
gen für heutige Unternehmen. Die Wireless LAN (WLAN) Technologie nach 802.11b (11 Mbps) ist
daher stark im Kommen. Neue Laptopsysteme haben oft schon 802.11b Adapter auf dem Mainboard
integriert. Damit sinken die Kosten für die Adapter erheblich. Da es sich hier schon fast um eine
"Commodity"Technologie handelt, sind die technischen Hürden zur Implementierung in beliebigen
Endsystemen als äußerst gering und vergleichbar mit einem einfachen EthernetAdapter anzusehen.
Auch die Access Points sind heute schon zu einem erschwinglichen Preis zu haben. Selbst die Einfüh
Lösungsportfolio
Seite 32
rung von Wireless Hot Spots auf öffentlichen Plätzen wird derzeit von verschiedenen Stellen stark
diskutiert.
Allerdings ist das Thema Sicherheit in Wireless Netzen in der nahen Vergangenheit sehr bezweifelt
worden. Das so genannte Wired Equivalent Privacy (WEP) ist dabei extrem in die Schlagzeilen geraten.
Inzwischen gibt es allerdings einige Ansätze, die nachfolgend aufgeführte Sicherheitslücken schließen
können. Welche Sicherheitslücken bzw. Angriffsmethoden gibt es?
Es gibt im Wesentlichen drei Arten von Angriffen die ein WLAN als unsicher erscheinen lassen:
•
Denial of Service:
Eine Attacke, bei der bestimmte Dienste oder Komponenten komplett lahm gelegt werden.
•
Man in the Middle:
Eine Attacke, in der eine dritte Partei in die Konversation eindringt. Damit kann dieser dritte
den gesamten Verkehr zwischen die beiden kommunizierenden Endgeräte mitlesen.
•
Session Hijacking:
Eine Attacke, bei der eine legitimierte Endstation komplett durch eine andere ersetzt wer
den kann. Es werden dabei bestimmte Attribute der legitimierten Verbindung "gestohlen".
Im Folgenden wird nun kurz beschrieben, wie WEP und IEEE 802.1x prinzipiell funktionieren und wie
man mit der aktuellen Entwicklung des Rapid ReKeyings die Sicherheitslücken füllen kann.
Wired Equivalent Privacy
Mit der Wired Equivalent Privacy (WEP) Funktionalität werden alle Daten innerhalb eines WLAN ver
schlüsselt. Wie in IEEE 802.11 spezifiziert wird hierzu der RC4 Algorithmus genutzt. Zur Verschlüsse
lung werden KEYPaare benutzt. Sowohl der WirelessAccessPoint als auch die Endstation nutzen die
gleichen Paare. Der erste Key wird in der Regel zum Verschlüsseln der Daten benutzt, der zweite Key
zum Entschlüsseln der Daten. Im folgenden Bild ist dies nochmals dargestellt. WEP funktioniert nur,
wenn die gleichen Schlüssel zum Ver bzw. Entschlüsseln benutzt werden. Sollte zum Verschlüsseln
Key 3 = Bobss benutzt werden, kann er nicht von der Endstation mit dessen Key 3 = Freds entschlüs
selt werden.
Das Hauptproblem von WEP ist, dass sich der zur Verschlüsselung des Datenverkehrs verwendete
Schlüssel ganz einfach durch Abhören des Datenverkehrs in einem WirelessNetz ausspähen lässt.
Man fängt die übermittelten Daten ab und prüft sie mit modernen Entschlüsselungsmethoden. Es
dauert erfahrungsgemäß etwa 15 Minuten, bis ein 40BitWEPSchlüssel – entsprechenden Verkehr
vorausgesetzt – entschlüsselt ist.
Lösungsportfolio
Seite 33
WEP Verschlüsselung
Und genau da setzt Rapid ReKeying an. Wenn man also den WEPSchlüssel während dieser Viertel
stunde wechselt, kann eine Entschlüsselung verhindert werden. Außerdem wird der Datenverkehr mit
einem bestimmten Schlüssel dadurch eingeschränkt, dass an jedem Access Point eigene Sende und
Empfangsschlüsselpaare hinterlegt werden. Auch das verlängert die zur Entschlüsselung notwendige
Zeit. Der Einsatz eigener Schlüsselpaare je Access Point schränkt den Verkehr mit jedem Schlüssel
weiter ein.
Rapid ReKeying
Enterasys Networks hat aufgrund der bekannten Sicherheitslücken in 802.11 ein Verfahren entwi
ckelt, das als "Rapid ReKeying" oder "Key Tumbling" bezeichnet wird. Es erlaubt die häufige und
automatische Verteilung neuer IEEE 802.11 WEP Schlüssel. Dabei wird der Standard IEEE 802.1x zur
automatischen Schlüsselverteilung bzw. der automatischen Verteilung neuer Schlüssel genutzt. Daher
ist es nicht notwendig, proprietäre Verfahren einzuführen, für die spezielle Client und Server
Software erforderlich wäre. Die EnterasysLösung setzt für 802.1x Clients und Server auf die strategi
schen Partner Microsoft, Funk Software oder Meeting House Communications. Sie sind entweder
bereits am Markt erhältlich oder werden in Kürze verfügbar sein. Derzeit werden die Betriebssysteme
Windows XP, 2000, NT, ME und einige LinuxVersionen unterstützt.
Der klare Vorteil des Rapid ReKeying liegt darin, dass es die oben beschriebenen Angriffe mit aus
gespähten WEPSchlüsseln umgeht. Im Folgenden wird der generelle Ablauf verdeutlicht:
1.
Der Access Point erzeugt ein neues Zufallsschlüsselpaar und hinterlegt es in der Liste der
Empfangsschlüssel für das Wireless LAN. Die beiden ältesten Schlüssel werden über
schrieben. Jetzt kann der Access Point mit dem aktuellen oder dem neuen Schlüsselpaar
empfangen. Der PseudorandomSchlüsselgenerator ist von hoher Qualität. Zur Vermeidung
doppelter Schlüsselfolgen übermittelt er Daten in Echtzeit nach außen.
2.
Der Access Point beginnt mit der Übermittlung der Schlüsselpaare an Clients und kenn
zeichnet dabei den einen Schlüssel als den neuen Empfangsschlüssel und den anderen als
Lösungsportfolio
Seite 34
den neuen Sendeschlüssel. Das kann einige Sekunden dauern, während jeder Client auf
den neuen Sendeschlüssel umschaltet, der bereits in der Sendeschlüsselliste hinterlegt
wurde. Die neuen Empfangsschlüssel werden vom Client noch nicht verwendet. Die beiden
ältesten Schlüssel werden überschrieben.
3.
Sobald das neue Schlüsselpaar an alle Clients übermittelt wurde, schaltet der Access Point
den WirelessSendeschlüssel auf den neuen Sendeschlüssel aus dem verteilten Schlüssel
paar um. Das geschieht entweder durch einfache Bestätigung oder durch zwei bis drei
Blindsendevorgänge an die Clients. Ab jetzt wird nur noch das neue Schlüsselpaar verwen
det.
4.
Die neuen Schlüssel bleiben so lange aktuell, bis ihre Nutzungsdauer abgelaufen ist. Das
kann nach einer bestimmten Zeit sein, oder nach einer bestimmten Anzahl gesendeter oder
empfangener Datenpakete. Diese Option legt der Nutzer in Anpassung an den optimalen
Betrieb seines Netzwerks selbst fest.
5.
Ist die Nutzungsdauer des Schlüssels abgelaufen, geht der Vorgang bei Schritt 1 von neu
em los. Die Verteilung der Schlüssel gemäß 802.1x bedingt, dass vor einer Session EAP
TLSSchlüssel generiert werden, um die Verteilung der WEPSchlüssel selbst zu verschlüs
seln. Um das Rapid ReKeying zudem zu erleichtern, muss in regelmäßigen Abständen
auch die Authentifizierung wiederholt werden. Das kann auch aus anderen Gründen er
wünscht sein, ebenso wie das Auffrischen der EAPTLSSchlüssel zur Verschlüsselung der
verteilten WEPSchlüssel.
Das Roaming von einem Access Point zum nächsten erfordert die erneute Authentifizierung. Durch die
Verwendung von EAPTLSZertifikaten muss der Nutzer aber erfreulicherweise nicht jedes Mal erneut
Kennung oder Passwort eingeben. Die erneute Authentifizierung ist daher komplett transparent. Die
RoamAbout Wireless Lösung von Enterasys Networks liefert mittels Rapid ReKeying dadurch höhere
Sicherheit für den WirelessDatenverkehr. Das Verfahren benutzt bekannte Standards und Methoden.
Durch dieses Verfahren ist sichergestellt, dass die über RoamAbout Wireless verschickten Daten nur
dem jenigen zugänglich werden, für den sie auch bestimmt sind.
802.11i Security mit TKIP
Durch 802.11i werden Erweiterungen an der MACSchicht vorgenommen, die die Sicherheit übertra
gener Daten wesentlich verbessern sollen. Das Problem dabei ist, dass eine Abwärtskompatibilität
erhalten werden muss, damit ältere Produkte in einem WLAN weiterhin verwendet werden können.
Daher basieren die Erweiterungen hauptsächlich auf WEP, versuchen jedoch dessen Sicherheitsman
kos so weit wie möglich zu reduzieren. Die Access Point Produkte der RoamAbout Serie setzen die
Sicherheitsempfehlungen der Arbeitsgruppe 802.11i wie folgt um:
•
Mutual (Client/Server) Authentication
•
Dynamic Session Key
•
Message Integrity Check (MIC)
o
Temporal Key Integrity Protocol (TKIP)
o
Per Packet Key hashing
Lösungsportfolio
Seite 35
o
Initialization Vector Sequencing
o
RapidRekeying
802.1x stellt für fast alle Maßnahmen von 802.11i die Basis dar, sowohl bei der Mutual Authenticati
on, als auch beim Dynamic Session Key, Rapid Rekeying sowie beim Message Integrity Check. Die
Access Points von Enterasys unterstützen 802.1x und die oben genannten Features.
Virtual Private Network
Unter einem Virtual Private Network (VPN) versteht man den Lösungsansatz, eine öffentliche Netzinf
rastruktur zu nutzen, um seine privaten Daten zu transportieren. Dieses öffentliche Netz können
typische WANNetze wie Frame Relay oder ATM bilden. Doch immer öfter setzen VPNs direkt auf IP
auf. Sie nutzen also das öffentliche Internet als Transportmedium. Dies bedeutet, eine schon beste
hende Verbindung zu einem ISP (Internet Service Provider) wird genutzt, um die virtuelle Verbindung
zu der entsprechenden Gegenstelle aufzubauen. Diese virtuellen Verbindungen, Tunnel genannt,
können zum Beispiel zwischen Hauptniederlassung und Zweigstelle sein, Mitarbeiter können sich
über VPN (statt über herkömmliche Einwahlverfahren) von unterwegs ins Firmennetz einwählen oder
man bietet einem Partner eine Verbindung zum Firmennetzwerk an. In diesem Fall spricht man von
einem ExtranetVPN.
Vorteile dieser Lösung sind vor allen Dingen Kostenersparnis, da oft schon Verbindungen zum Internet
bestehen und man sich so eine weitere dedizierte Leitung spart. Die anfallenden Kosten bestehen also
nur für die Verbindung zum nächsten POP (Point of Presence) des gewählten ISP statt für die komplet
te Leitungslänge zwischen den beiden verbundenen Standorten.
Außerdem ist man medienunabhängig, das heißt es ist unwichtig, auf welcher Layer 1/2 Technologie
die Verbindung der Gegenseite zum Internet beruht. Während Hauptstandorte vermutlich meist über
Standleitungen zum ISP verfügen, können Mitarbeiter auf Reisen analoge oder digitale Einwahl nut
zen. Auch Zugangsarten wie DSL, Wireless oder die in Amerika verbreitete Anbindung über Cable
Modem bieten, besonders für die Arbeit vom HomeOffice aus, den Anschluss an die vorhandene
Infrastruktur und somit die Teilnahme an einem VPN.
Ein weiterer Vorteil ist die Skalierbarkeit der VPNLösung, so kann man zum Beispiel aufgrund der
Medienunabhängigkeit der Teilnehmer eines VPNs ganz individuell Bandbreiten erweitern falls nötig.
Allerdings muss man bedenken, dass Quality of Service im Internet kaum angeboten wird, für Delay
empfindliche Anwendungen sind VPNVerbindungen daher immer noch kritisch.
Lösungsportfolio
56 Kb/ s Modem
(PPP)
Seite 36
VPN
E1
(PPP)
ISP
PRI
(ISDN)
xDSL
(PPPoE)
VPN Lösungen
Eine Herausforderung ist allerdings die Sicherheit bei solchen Datenübertragungen. Dazu müssen
folgende Voraussetzungen erfüllt werden:
•
Zwischen den Kommunikationspartnern muss eine eindeutige Identifikation möglich sein.
•
Die dabei übertragenen Daten dürfen nicht verändert werden können.
•
Es muss sichergestellt werden, dass Unbefugte die Daten auf keinen Fall lesen können.
Um die privaten, über öffentliche Netze transportierten Daten vertraulich zu halten, werden im Allge
meinem Verschlüsselungsverfahren eingesetzt. Dazu werden bekannte, etablierte Verschlüsselungs
algorithmen benutzt, wie DES (Data Encryption Standard), 3DES (Triple DES, eine 3fache Iteration des
DESVerfahrens, um die Sicherheit zu verstärken) und AES (Advanced Encryption Standard).
Zusätzlich kommen Authentifizierungsmethoden zum Einsatz, um den Verbindungspartner zu identifi
zieren, sowie Verfahren zur Überprüfung der Integrität der empfangenen Daten. Auch hier setzt man
auf bewährte Methoden. Kryptographische Hashverfahren wie MD5 (Message Digest 5) und SHA
(Secure Hash Algorithm) werden eingesetzt, um Secure Fingerprints bzw. Digitale Signaturen zu
erzeugen. Dabei nutzt man entweder ausgemachte Passwörter, so genannte Shared Secrets, oder
baut auf eine PKI (Public Key Infrastructure) auf. Eine PKI basiert auf der Idee, mit einer Kombination
von privaten und öffentlichen Schlüsseln zu arbeiten, ursprünglich von Rivest, Shamir und Adleman
(RSA) entwickelt. Man arbeitet dabei also mit einem asymmetrischen Verschlüsselungsverfahren, da
sich die jeweiligen Schlüssel zum Ver und Entschlüsseln unterscheiden.
Daten, die mit einem öffentlichen Schlüssel verschlüsselt wurden, können nur mit dem privaten
wieder entschlüsselt werden, dies sichert die Vertraulichkeit der Daten.
Auf der anderen Seite kann man Daten, die mit dem privaten Schlüssel verschlüsselt wurden, mit
dem öffentlichen Schlüssel entschlüsseln, dies kommt beim Nutzen von digitalen Unterschriften zum
Einsatz, so kann die Integrität der Daten überprüft werden.
Lösungsportfolio
Seite 37
Ein weiteres asymmetrisches Verfahren ist der DiffieHellmanMerkle Exchange, oft kurz auch nur
DiffieHellman genannt. Dieses Verfahren wird oft genutzt, um die Schlüssel für spätere symmetrisch
verschlüsselte Datenverbindungen im Vorfeld auszutauschen.
Tunnel auf Layer 2 oder auf Layer 3 bilden die Grundlage für den Transport von Daten zwischen zwei
VPNEndpunkten über ein öffentliches, unsicheres Netz. Der Name Tunnel wird deshalb verwendet, da
jedes zu übertragene Datenpaket mit einem oder mehreren spezifischen Headern versehen ist. Ein
Tunnel beginnt dort, wo der extra Header hinzugefügt wird und endet, wo das Datenpaket diesen
Header wieder entfernt bekommt. Die Authentisierung und Verschlüsselung läuft komplett innerhalb
des Tunnels ab.
Man unterscheidet drei verschiedene Arten von Tunnel:
•
ClienttoClient
•
GatewaytoGateway
ClienttoGateway
Client-to-Client
Ethernet
Ethernet
Gateway-to-Gateway
Internet
Client-t o-Gateway
TunnelArten
Lösungsportfolio
Seite 38
ClienttoClient
ClienttoClient Verbindungen werden sehr oft über SSLTunnel (Secure Socket Layer) realisiert und
bieten dadurch den Vorteil, dass die zugehörigen IPPakete meist in Firewalls freigegeben sind.
ClienttoGateway und GatewaytoGateway Verbindungen benötigen ein dediziertes VPNGateway,
hier sind die Enterasys XPedition Security Router (XSR) das Produkt, das skalierbare, performante
VPNLösungen ermöglichen. Der XSR hat spezielle Hardware zur Encryption, diese ASICs gewährleis
ten eine performante Verschlüsselung der Daten. Der XSR unterstützt die im Allgemeinen eingesetzten
Protokolle für VPNTunnel.
Lösungsportfolio
Seite 39
Protokolle
Die gängigen Protokolle für VPNVerbindungen sind:
•
PPTP (PointtoPoint Tunneling Protocol)
•
L2TP (Layer 2 Tunneling Protocol)
•
IPSec (Internet Protocol Security)
•
GRE (Generic Route Encapsulation)
PPTP und L2TP
Das PointtoPoint Tunneling Protocol PPTP wurde von Microsoft und Ascend entwickelt und wird
dementsprechend oft in Kombination mit WindowsRechnern eingesetzt. Alle gängigen Windows
Betriebssysteme unterstützen PPTP.
L2TP ist ein von der IETF akzeptierter Standard, eine Mischung aus PPTP und L2F (Layer 2 Forwar
ding, von Cisco entwickelt, aber ohne große Akzeptanz). Da L2TP ein reines Tunnelprotokoll, ohne
Verschlüsselung, ist, wird es oft mit IPSec kombiniert.
Auch L2TP wird von den meisten gängigen Betriebssystemen unterstützt.
Sowohl PPTP als auch L2TP sind Layer2Tunnel Verfahren. Ein Layer2Tunnel ist als eine separate,
virtuelle Verbindung innerhalb des Internets zu sehen. Im Vergleich zu einem Layer3 Protokoll wie
IPSec sind PPTP und L2TP multiprotokollfähig, das heißt es besteht die Möglichkeit über den Tunnel,
also über ein öffentliches Netz, welches auf IP aufsetzt, ein beliebiges Netzwerkprotokoll zu nutzen.
Für ein reines Layer2Tunnelkonzept wirkt sich allerdings nachteilig aus, dass bei diesen Protokollen
nur eine relativ schwache Authentisierung möglich ist. Sowohl PPTP als auch L2TP setzen dabei auf
PPP auf und nutzen die entsprechenden Protokolle zur Authentisierung, also meist PAP (Password
Authentication Protocol) oder CHAP (Challenge Handshake Authentication Protocol). EAP (Extensible
Authentication Protocol) bietet hier in Zukunft eine interessante Alternative. Doch auch die Sicherung
der Daten vor Veränderungen ist nur zum Teil möglich. Wesentliche Sicherheitsfunktionen wie starke
Verschlüsselung, Unterstützung von digitalen Zertifikaten und ein leistungsfähiges Schlüsselmanage
ment können ebenfalls nicht eingesetzt werden.
IPSec
Internet Protocol Security (IPSec) ist ein Standard der IETF und beinhaltet eine Reihe von Protokollen,
mit denen sich alle notwendigen Sicherheitsmechanismen wie starke Authentisierung (durch Authen
tication Header, AH), Schlüsselaustausch (durch Internet Key Exchange, IKE) und Verschlüsselung
(durch Encapsulation Security Payload, ESP) einsetzen lassen. Es ist nicht multiprotokollfähig, sondern
ist rein für das Internet Protocol IP definiert.
Der Grund für die Entwicklung des IPSecStandards waren die fehlenden Sicherheitsmechanismen bei
den Layer 4 Protokollen TCP und UDP. IPv6 mit seinen Sicherheitsmöglichkeiten war und ist noch
nicht im Markt etabliert. Dadurch wurde es unabdingbar, das aus dem IPv6 stammende IPSec zu
modifizieren und für IPv4 anzupassen. Die folgenden Beschreibungen zu den bereits erwähnten
Lösungsportfolio
Seite 40
Themen Authentisierung, Verschlüsselung und Schlüsselaustausch zeigen die Funktionsweise von
IPSec.
Authentisierung
Der Prozess zur Überprüfung der Identität eines Senders und die Feststellung der unverfälschten
Datenübertragung wird durch das so genannte AHProtokoll (Authentication Header) sichergestellt.
Hierbei ist anzumerken, dass es sich lediglich um eine starke Datenintegrität handelt und nicht um
eine Verschlüsselung.
Verschlüsselung
Durch das ESPProtokoll (Encapsulation Security Payload) wird sichergestellt, dass die zu übertrage
nen Daten für dritte unleserlich sind. Dafür sorgen die mit ESP kombinierbaren Verschlüsselungsalgo
rithmen DES, 3DES, RC4 oder AES sowie die für die Datenintegrität verwendeten HashingAlgorithmen
MD5 und SHA1.
Schlüsselaustausch
Im Standard des IPSec ist IKE (Internet Key Exchange) definiert worden. Mit Hilfe dieses Schlüsselaus
tauschverfahrens werden die Authentisierung und die korrekte Verschlüsselung sichergestellt.
IPSec unterscheidet zwei Betriebsmodi:
Tunnelmodus und Transportmodus.
Im Tunnelmodus wird der gesamte Paketrahmen verschlüsselt, das heißt das Datenpaket bekommt
einen neuen IPHeader. Die Quelladresse des Senders und die Zieladresse des Empfängers sind dabei
versteckt und nur die Tunnelendpunkte sind erkennbar.
Nach Ergänzung von AH
I Pv4
New IP
Header
Ori gi nal
IP Header
AH
TCP
Data
Authentifiziert außer f ür ve ränderliche
Felder im neuen IP Heade r
Nach Ergänzung von ESP
IPv4
New I P
Header
ESP
Original
IP Header
TCP
Data
ve rschlüsselt
aut he nt isiert
Tunnel Modus Paket Format
ESP
ESP
Trailer
Autho rizat ion
Lösungsportfolio
Seite 41
Im Transportmodus wird nur der Paketinhalt verschlüsselt, das heißt der ursprüngliche IPHeader
wird beibehalten, so dass die Quell und Zieladresse ungeschützt bleiben.
Nach Ergänzung von AH
IPv4
IP He ader
AH
TCP
Data
Authentifikation ohne veränderliche
Felder (TOS, TTL)
Nach Ergänzung von ESP
IPv4
IP He ader
ESP TCP
Data
ESP
Trai ler
ESP
Authorizati on
verschlüsselt
authentifiziert
Transport Modus Paket Format
IPSecfähige Geräte müssen IPSec mit all seinen Protokollen unterstützen. Zur Überprüfung, ob ein
Gateway oder ein Host berechtigt ist an einem VPN teilzunehmen, besitzt jeder dieser VPNTeilnehmer
eine Datenbank mit Sicherheitsregeln. Diese Regeln beschreiben, welcher Datentraffic wie übertragen
werden soll. Versucht nun beispielsweise ein Gateway die Verbindung zu einem anderen Gateway
aufzubauen, werden über eine so genannte Security Association (SA, EinWegVerbindung zwischen
dem Sender und dem Empfänger) diese Regeln ausgehandelt. Festgelegt wird dabei, welches IPSec
Protokoll (AH oder ESP) verwendet wird, welcher Modus (Tunnel oder Transportmode), welche
Verschlüsselungs bzw. Hashverfahren und natürlich der verwendete Schlüssel selbst. Dies ist nur
möglich, wenn die SicherheitsregelDatenbanken der Teilnehmer übereinstimmen. Ist die SA dann
festgelegt, das heißt beide Teilnehmer verfügen über dieselben SAs (für jede Richtung eine), ist eine
gesicherte Datenübertragung möglich.
GRE
Generic Route Encapsulation (GRE) ist ein reines Tunnelprotokoll, es wird von PPTP genutzt und auch
gerne mit IPSec kombiniert. IPSec bietet keine Routingfunktionalität. Diese wird durch die Kombinati
on mit GRE gewonnen.
Der XPedition Security Router XSR ist als Gateway für VPNs einsetzbar, er unterstützt sowohl Gate
waytoGateway als auch ClienttoGateway Verbindungen.
Lösungsportfolio
Seite 42
GatewaytoGateway Verbindungen
Für GatewaytoGateway Verbindungen wird im Allgemeinen IPSec als Protokoll genutzt.
GatewaytoGateway Szenario
Der Vorteil von GatewaytoGateway Verbindungen liegt darin, dass die Verschlüsselung für die
Clients absolut transparent ist. Konfiguriert wird die Verschlüsselung also an zentraler Stelle, auf den
Clients ist keine spezielle Software oder Konfiguration erforderlich.
ClienttoGateway Verbindungen
Für ClienttoGateway Verbindungen werden Protokolle wie PPTP, L2TP oder proprietäre Varianten
von IPSec genutzt, der XSR unterstützt diese Protokolle. Zur Anbindung eines weiteren XSR als Hard
wareClient bietet EZIPSec eine einfache Variante, IPSecbasierte Tunnels zu konfigurieren. EZIPSec
wurde von Enterasys entwickelt, um die Realisierung einer VPNbasierten Lösung zu vereinfachen.
In fast allen ClienttoGateway Verbindungen bezieht der Client seine IPAdresse dynamisch vom
Gateway. Während PPTP und L2TP dabei auf PPP aufsetzen, nutzt EZIPSec die IKE config mode Pha
se, in der die IPAdresse zugewiesen wird.
Lösungsportfolio
Seite 43
ClienttoGateway Szenario
Durch die Vielfalt der Geräte liefert die XSRProduktfamilie das passende Gerät für jedes Einsatzge
biet, vom kleinen Branchrouter bis zum großen Aggregationrouter in der Hauptzentrale. Die Ver
schlüsselung der Daten geschieht dabei durch entsprechende Hardware, daher entsteht keine zusätz
liche Verzögerung. Der XSR bietet so selbst für verschlüsselte Verbindungen hohe Performanz.
Dabei ist die Tatsache, dass man für die Nutzung des VPNFeatures auf dem XSR eine entsprechende
Lizenz braucht, ein toller Faktor zur Flexibilität einer Netzwerklösung. So kann man den XSR gegebe
nenfalls erst als reinen WANRouter auf herkömmlichen WANTechnologien einsetzen. Später braucht
man kein neues Gerät, sondern nur die entsprechende Lizenz. Die vorhandene Hardware bietet schon
sämtliche VPNLösungen.
Das gleiche gilt für den Einsatz des XSR als Stateful Inspection Firewall, auch dieses Feature ist durch
eine zusätzliche Lizenz verfügbar (mit oder ohne VPN).
Lösungsportfolio
Seite 44
Firewall
Secure Networks bieten Schutz vor dem Stehlen und Zerstören sensibler Daten und garantieren die
Verfügbarkeit des Netzes und wichtiger Ressourcen. Dieser Schutz muss sowohl gegen Bedrohung
von außen als auch von innen bestehen.
Diese Sicherheit wird durch das Zusammenspiel verschiedener Sicherheitskonzepte gewährleistet.
Firewalls bieten dabei einen Schutz gegen Angriffe von außerhalb des Firmennetzes und sind die
erste Stufe der Netzwerksicherheit. Lösungen wie UPN, IDS und VPN ergänzen diese Sicherheit, doch
Firewalls bilden einen entscheidenden Punkt, da sie der erste Angriffspunkt für potentielle Attacken
von außen sind.
Eine Firewall ist meist ein dediziertes Gerät, das zwei Netzwerke miteinander verbindet. Dabei ist die
Aufgabe, das innere, private Netz vor dem äußeren, dem öffentlichen Netz zu schützen. Server, die
von außen zugänglich sein müssen, werden dabei oft in ein separates Netz, die so genannte DMZ
(Demilitarisierte Zone) gestellt.
XSR Firewall Topologie
Lösungsportfolio
Seite 45
Man unterscheidet im Allgemeinen zwischen drei verschiedenen Arten von Firewall:
•
Paketfilter Firewall
•
Proxy Firewall
•
Stateful Inspection Firewall
Paketfilter Firewall
Die Paketfilter Firewall filtert Pakete aufgrund bestimmter Informationen in den Headern auf Layer 2
bis 4. Damit bietet sie einen Basisschutz und ist auf allen gängigen Routern einfach zu implementie
ren.
Der Nachteil besteht darin, dass der Schutz doch recht rudimentär ist. Paketfilter öffnen die benötig
ten Ports normalerweise generell, haben keine Kenntnis über den Status einer Verbindung und haben
keine Möglichkeit, die Informationen auf dem Application Layer zu berücksichtigen.
Proxy Firewall
Die Proxy Firewall besteht aus einem ProxyServer, zu dem die Clients die Verbindungen aufbauen
anstatt die Verbindung direkt nach außen zu etablieren. Das macht dann der ProxyServer anstelle der
Clients selbst. Der ProxyServer kann dabei die Daten genau untersuchen. Diese Art von Firewall ist
sehr sicher, bedeutet allerdings auch einen großen Overhead. Für jede Kommunikation müssen zwei
Verbindungen aufgebaut werden, was eine dem entsprechend starke CPULast bedeutet.
Stateful Inspection Firewall
Die Stateful Inspection Firewall kombiniert Aspekte der Paketfilter Firewall und der Proxy Firewall.
Verbindungen werden von innen initiiert und dann werden die für diese Kommunikation benötigten
Ports für die Dauer der Verbindung geöffnet. So berücksichtigen die aktuellen Regeln der Firewall
stets den Zustand der Verbindungen. Nach dem Beenden der Verbindung werden die Ports sofort
wieder geschlossen. Zusätzlich bieten die meisten Stateful Firewalls auch die Funktionalität, oft
genutzte Applikationen näher zu untersuchen. Dieses Feature wird Application Level Gateway (ALG)
genannt und kann zum Beispiel auf bestimmte FTPKommandos oder HTTPInformationen filtern.
Die Stateful Inspection ist im Kernel des Betriebssystems implementiert und bietet so eine große
Sicherheit in Kombination mit sehr guter Performance.
Der XPedition Security Router XSR kann mit einer entsprechenden Lizenz als Stateful Inspection
Firewall betrieben werden. Er ist Application Level Gateway und unterstützt FTP, HTTP und RPC ge
nauso wie die ConvergenceProtokolle H.323 und SIP. Somit komplementiert er die Enterasys Security
Produktpalette.
Lösungsportfolio
Seite 46
Mehr denn je sind Unternehmen heute abhängig von funktionierenden Netzwerken und sicheren
OnlineVerbindungen. Oft werden sensible Daten und Informationen elektronisch gespeichert und
müssen für ausgewählte Benutzer online zugänglich sein. Solche Zugänge können jedoch auch miss
braucht werden. Insbesondere die dramatische Verbreitung von HackerTools sowie die Einfachheit
Ihrer Bedienung stellen ein großes Gefahrenpotential dar.
Entwicklung von Hackertools
Diese Zugänge stellen aber ein enormes Risiko dar. Sie können zwar über Firewalls und Virtual Private
Networks gesichert werden, ein Schlupfloch bleibt dabei jedoch immer. Dazu kommt, dass sie meist
an markanten Ein und Ausgangspunkten zum Einsatz kommen und für den Betrieb unerlässlich sind.
Dadurch sind sie nicht uneingeschränkt in der Lage, die Daten gründlich genug vor Ort zu analysieren.
Ein Intrusion Detection System (IDS) wird an beliebiger Stelle, zum Beispiel wie die Firewall am Zu
gang zum Internet, in das Netzwerk eingeschleift. Das Einschleifen geschieht entweder über einen
MirrorPort auf einem Switch oder über ein Networktap direkt in das Kabel. Dort hört das IDS den
gesamten Datenverkehr mit und analysiert ihn. Dabei werden "unmögliche" Datenpakete wie falsch
zusammengebaute TCPPakete oder fragmentierte IPPakete mit nicht definierten Offsets erkannt.
Außerdem werden die Sessions der einzelnen Verbindungen wieder zusammengesetzt und diese nach
Auffälligkeiten analysiert und Abweichungen von definierten NetzwerkPolicies (zum Beispiel, dass
Lösungsportfolio
Seite 47
Mitarbeiter keine PeertoPeer Programme wie Napster, Kazaa, etc. verwenden sollten) erkannt. Das
IDS verfügt desweiteren über eine Datenbank, in der alle bekannten Signaturen von Angriffen und
HackerTechniken gespeichert sind (dabei handelt es sich um Binärabbilder bestimmter, typischer
Fragmente der durch Hackertools oder Viren erzeugten Datenpakete). Diese werden mit dem Datenteil
der Pakete verglichen und so erkannt.
Ein Intrusion Detection System (IDS) hat also die Funktion einer Alarmanlage innerhalb lokaler Netz
werke und erkennt folgende Punkte:
•
Sucht ein potentieller Angreifer nach Sicherheitslücken?
•
Findet gerade ein Angriff (von innen oder von außen) statt?
•
Hat die Firewall Schlupflöcher?
•
Ist ein Angreifer erfolgreich gewesen?
•
Welche Informationen wurden geändert bzw. entwendet?
Ein IDSSystem gibt Aufschluss darüber, wer angreift, mit welchen Mitteln und ob der Angreifer
letztendlich erfolgreich ist. Zu beachten ist, dass ein IDSSystem im Gegensatz zu einer Firewall
passiv sein sollte. Es dient nur dazu, Angriffe und Schlupflöcher zu erkennen. Das IDS lässt sich mit
einer Überwachungskamera vergleichen, die jeden Eindringling beobachtet und dessen angewendete
Methoden und Aktivitäten aufzeichnet.
Intrusion Detection ist ein weiterer Baustein zur Sicherheit in lokalen Netzen. Die Funktion und Wirk
samkeit der Firewall wird durch das IDS überprüft und ein IDS hilft auch dort, wo eine Firewall nicht
helfen kann: im Inhouse Netz, bei den Arbeitsplätzen und bei den Servern. Innerhalb lokaler Netze ist
es ohne ein IDS nicht möglich festzustellen, ob Hacking stattfindet. An dieser Stelle sei noch einmal
darauf hingewiesen, dass über 70% aller Angriffe von innen kommen. Ein solcher Angriff kann viele
Ursachen haben:
•
Streit unter Kollegen
•
Interesse an der Gehaltsliste der Firma
•
Ein Fernwartungstool wird benutzt, um von internen Rechnern Angriffe zu fahren
Wie geht ein Hacker / Angreifer vor?
Damit man einen Rechner kompromittieren kann, muss man diesen ausspionieren und eventuell
angreifen. Diese Versuche werden von einem IDS erkannt, dementsprechend können Gegenmaßnah
men ergriffen werden.
Ein guter Angreifer wird folgende Punkte durcharbeiten:
1.
Footprinting
Es handelt sich um Informationen, die öffentlich im WWW zur Verfügung gestellt werden
(beabsichtigt oder unbeabsichtigt). Über WHOIS, Informationen beim DENIC (Nameserver),
Daten aus dem Usenet, Publikationen, etc.
Lösungsportfolio
Seite 48
2.
Scanning
Durch das Footprinting ist unter anderem der IPAdressraum gefunden worden. Jetzt wird
durch Scanning nach einer Schwachstelle auf der Maschine gesucht. Scanning ist ein Me
chanismus, um Zielrechner zu erkunden: laufende Applikationen, Betriebssysteme, Versi
onsstände, etc.
3.
Enumeration
Enumeration ist der Vorgang, um Benutzernamen zu finden. In diesem Vorgang werden e
benfalls freigegebene Verzeichnisse (shares) erkannt.
4.
Gaining Access
Durch die Enumeration haben wir die Benutzernamen gefunden. Nun startet das "Ha
cking". Methoden, um Benutzerrechte auf einer Maschine zu erlangen, sind Buffer Over
flows (durch absichtliche Fehleingabe ein laufendes Programm zum Absturz bringen), Brute
Force Attacken (Passwörter werden erraten), Downloaden der Passwortdatei, etc.
5.
Escalating Privilege
Wenn bei Gaining Access nur Benutzerrechte erlangt wurden, aber keine Admin bzw.
RootRechte, dann gibt es bekannte Exploits (ein Exploit ist die Nutzung einer Security
Schwachstelle in einem Programm auf dem Opferrechner) und die Möglichkeiten, weitere
Passwort Hacking Methoden zu nutzen (unter NT sind Programme verfügbar, die es ermög
lichen, als Guest ein Programm zu starten, das einen neuen lokalen AdministratorAccount
einrichtet).
6.
Pilfering
Nun ist es soweit. Der angegriffene Rechner ist gehackt. Wir sind auf dieser Maschine Ad
ministrator. Jetzt wird von dieser Maschine auf NachbarSysteme zugegriffen (shares, tel
net, rhosts, RSA, etc.).
7.
Covering Tracks
Ein guter Angriff sollte von niemandem bemerkt werden. Logfiles, sowie die letzten be
nutzten Befehle werden gelöscht es werden praktisch alle Spuren des Einbruchs besei
tigt.
8.
Creating Backdoors
Der Besuch beim Opfer soll beim nächsten Angriff weniger aufwendig sein. Auch ein Än
dern des Passwortes soll das nicht verhindern. Somit wird kurz vor dem Verlassen noch ei
ne "Hintertür" (Backdoor) installiert.
9.
Denial of Service
Denial of Service (DOS) ist ebenfalls ein Angriff auf Rechner, jedoch mit
dem Ziel, den angegriffenen Rechner lahm zu legen. Sensitive Daten werden hierbei nicht
entwendet.
Dragon 7.0 und Dynamic Intrusion Response
Dragon 7.0 ist die Intrusion Detection Lösung von Enterasys Networks. Es ist aus der Vorgängerversi
on 6.2 hervorgegangen und blickt auf mehrere Jahre technischer Weiterentwicklung zurück. Im
Lösungsportfolio
Seite 49
Dragon 7.0 wurde die Möglichkeit zur Kombination mit dem NetSight Atlas Management System von
Enterasys Networks geschaffen. NetSight Atlas liefert ein Policy Management, welches durch gemein
same Managementoberfläche (NetSight Atlas Console) und durch ein einheitliches Policy
Management (NetSight Atlas Policy Manager) administriert werden kann bei Enterasys unter dem
Namen User Personalized Network (UPN) bekannt. In dieses Policy Management werden weitere
Lösungen wie Desktop Integrity Kontrolle (über z.B. ZoneLabs und Sygate Lösungen) und Dynamic
Reponse zu einem verteilten Intrusion Prevention System integriert dem Dynamic Intrusion Response
System (DIRS) von Enterasys. Das Management hierzu übernimmt ein Software Modul (Netsight
ATLAS Automated Security Manager), dass in die bestehenden Management Tools eingebunden wird.
Das Dynamic Intrusion Response System von Enterasys Networks gibt der Lösung Secure Networks
die Einzigartigkeit einer voll verteilten Security und Intrusion Prevention Architektur.
•
Ein interner Nutzer scannt das Netz und den
zentralen DNSServer nach offenen Ports ab.
•
Dragon Intrusion Defense erkennt die Aktivität
der Nutzer und gibt einen Alarm an das Manage
ment System Netsight weiter (mit IPSource).
•
Netsight ermittelt Port, MAC Adresse und Nutzer
daten anhand der SourceIP.
•
Eine automatische Antwort zur Sicherung der
Corporate Security Policy wird durchgeführt.
o
Der Netzwerkzugriff für den Nutzer
wird gesperrt.
o
Der Port wird abgeschaltet
o
Dem Nutzer werden alle Protokolle
außer HTTP abgeschaltet.
o
Die Bandbreite für den Nutzer wird
begrenzt.
Verteilte Intrusion Prevention Lösung
Durch die Kombination von Dragon 7.0 zur Erkennung und NetSight zur Reaktion auf Einbrüche ins
Netzwerk wird es möglich, dem Netzwerk die Fähigkeiten von Dragon zugute zu machen.
Lösungsportfolio
Seite 50
Geschlossener Sicherheitskreislauf
Dynamic Intrusion Response Systeme (DIRS) sind dafür gedacht, Schäden durch bösartiges Verhalten
einzudämmen. Das DIRS von Enterasys basiert auf drei Schlüsselkomponenten:
•
Detection (Erkennung)
Erkennt Attacken auf das Netzwerk und die an das Netzwerk angeschlossenen Hosts.
•
Response (Reaktion)
Beendet gezielt Sitzungen der Angreifer durch FirewallRegeln, Switch und Router Accesslisten
und Policy Änderungen.
•
Prevention (Prävention)
Verhindert Angriffe und Policy Missachtungen an den Zugängen zum Netzwerk oder auf Applika
tions bzw. KernelEbene der Server.
Lösungsportfolio
Seite 51
ArchitekturÜbersicht
Das Dragon Defense System besteht aus folgenden Komponenten:
•
Netzwerk Sensor – NIDS (Erfassen von Daten im Netzwerk)
•
Host Sensor – HIDS (Erfassen von Daten auf Servern und Firewalls)
•
Event Flow Processor – EFP (Datenaggregation)
•
Enterprise Management Server – EMS (Zentrales Management)
ArchitekturÜbersicht
Network Intrusion Detection Systems
Network Intrusion Detection Systeme (NIDS) haben die Aufgabe, Datenpakete innerhalb des Netzwer
kes zu untersuchen. Sie arbeiten wie oben bei Intrusion Detection Systeme beschrieben. Durch die
Einführung der Host Intrusion Detection Systeme hat sich der Begriff NIDS für diese "ursprünglichen"
Intrusion Detection Systeme herausgebildet.
Lösungsportfolio
Seite 52
Host Intrusion Detection Systems
Host Intrusion Detection Systeme (HIDS) verfügen in den meisten Fällen über Komponenten, die
Systemprotokolle untersuchen und Benutzerprozesse überwachen. Fortschrittliche Systeme bieten
auch die Möglichkeit, Viren und Trojanercodes zu erkennen. Das Enterasys HIDS zeichnete sich da
durch aus, dass es den bekannten NIMDAVirus bereits bei seiner Verbreitung im September 2001
erkannte, ohne einen Update der Signaturdatenbank durchführen zu müssen. HIDS sind agentenba
siert, das heißt es muss auf jedem zu schützenden Server/PC oder auch auf Firewalls separat instal
liert werden. Zu beachten ist, dass die IDSLösung auch das entsprechende Betriebssystem bzw.
Firewallsystem unterstützen muss.
Dragon IDS (von Gartner als einer der Marktführer in diesem Bereich gesehen) bietet eine vollständige
Integration von sowohl Host als auch Netzwerkbasiertem IDS in einem System.
Enterprise Management Server
Der Enterprise Management Server (EMS) besteht aus einer Vielzahl hochintegrierter Technologien.
Die webbasierten Policy Management Tools liefern eine einfache, zentrale und unternehmensweite
Verwaltung und Überwachung der Dragon Komponenten. Das Alarmtool bietet eine zentrale Alarm
und BenachrichtigungsVerwaltung. Die Security Information Management Anwendungen ermöglichen
das zentrale Überwachen, Analysieren und Erstellen von Reports für alle Security Ereignisse mit einer
Realtime, Trending und Forensics Konsole.
Event Flow Processor
Der Event Flow Processor (EFP) empfängt Ereignisse von einem oder mehreren Dragon Sensors. Diese
Ereignisse können entweder an andere Event Flow Processors weitergeleitet, lokal von einem Dragon
Agent untersucht werden oder beides. Die Dragon Architektur erlaubt es, mehrere EFPs zu verwen
den, um die Ereignisse an strategischen Orten zu aggregieren. In einer Sicherheitsumgebung könnten
die EFPs zum Beispiel bei den einzelnen Kunden lokal installiert werden, um diesen den Zugriff auf die
Ereignisse ihres Standpunktes zu ermöglichen. Die Ereignisse können dennoch weiter an eine zentra
le Instanz geschickt werden, was eine zentrale Verwaltung aller Ereignisse weiterhin ermöglicht.
Durch die verteilte Architektur bietet Dragon Intrusion Defense eine hochgradig skalierbare Lösung.
Die einzelnen Network und Host Intrusion Detection Systeme sammeln Informationen über auffällige
Aktivitäten oder Angriffe und senden diese an einen Event Flow Prozessor. Dieser fasst diese Daten
entsprechend zusammen und stellt sie den Management Stationen zur Verfügung. Diese Management
Stationen sammeln gleichzeitig Informationen über den aktuellen Zustand des Netzwerks. Über diese
Management Stationen können dann Entscheidungen darüber getroffen werden, was im Falle eines
Angriffs geschehen soll. Diese Reaktion kann dann über den NetSight Atlas Policy Manager im Netz
werk konfiguriert werden.
Wo und wie kann man ein Enterasys Dragon im Netz implementieren?
In heutigen, geswitchten Umgebungen ist ein IDS erst nach sorgfältiger Überlegung zu platzieren.
Strategische Knotenpunkte (Internetzugang, Partnerzugänge, Serverfarmen, Domaincontroller, Perso
Lösungsportfolio
Seite 53
nalabteilung, etc.) werden vom IDS abgedeckt. Mögliche Angreifer werden auf der Suche nach einem
lohnenden Ziel von den Sensoren frühzeitig erkannt. Eine Flankierung der Unternehmensressourcen
durch eine Firewall ist durchaus sinnvoll.
Weitere Informationen über das IDS Produkt von Enterasys Networks, mit all seinen Komponenten,
finden sie im Kapitel Übersicht der Komponenten unter IDS oder auf unserer Homepage unter
www.enterasys.com/ids/.
Lösungsportfolio
Seite 54
Convergence bedeutet, dass traditionell getrennte Kommunikationsplattformen wie Telefonnetz und
Datennetz zusammenwachsen. Open Convergence fordert nun die Möglichkeit, dieses Zusammen
wachsen in einer heterogenen Herstellerumgebung zu ermöglichen.
Convergence ermöglicht ein Zusammenwachsen von Applikationen und Geschäftsprozessen und
bietet dadurch dem Anwender eine Vielzahl neuer Features, die in Zukunft geschäftsbestimmend sein
werden. Convergence ist ein wichtiger Bestandteil von eBusiness Anwendungen, wie zum Beispiel
eTrading oder eShopping. Hier werden zukünftig "CallButtons" auf Internetseiten entstehen, die eine
rasche Kundenkommunikation per Convergence gewährleisten können.
Eine einheitliche Infrastruktur von Sprach und Datennetz zeigt zwei wesentliche Vorteile:
•
Kostenreduzierung
•
Wettbewerbsvorteile
Eine Kostenreduzierung wird erreicht durch eine vereinfachte Administration (da nur noch ein Netz
werk vorhanden ist). Die Investitionen sind geringer aufgrund der Installation nur noch einer Infra
struktur, bestehend aus einer einheitlichen Datenverkabelung und "VoiceReady" Switches. Ebenso
werden die Telekommunikationskosten zwischen zwei Standorten reduziert.
Ein entscheidender Vorteil entsteht nun, wenn eine solche, vereinheitlichte Infrastruktur weitgehend
herstellerunabhängig aufgebaut werden kann. Das funktioniert nur, wenn die Hersteller sich an "O
pen" Standards beteiligen. Diese müssen dann natürlich auch in den Produkten realisiert werden.
Wettbewerbsvorteile erlangt der Kunde durch die Verwendung integrierter Call Center Lösungen.
Beispielsweise könnten bei einem ankommenden Anruf (der durch die Telefonnummer identifiziert
wird) WorkflowIntegration Applikationen wie Kundeninformationen auf den Desktop des Call Centers
geladen werden. Somit ist ein schnellerer, besserer Kundensupport gewährleistet.
Was bietet Open Convergence dem Kunden?
•
MultimediaApplikationen und Kommunikationslösungen über IP
•
Herstellerunabhängige und damit kostengünstige Wahl der Infrastrukturkomponenten,
wenn diese ebenfalls offenen Standards entsprechen
•
Integration von Adressdatenbanken, Unified Messaging, WebAnwendungen, Datenbanken,
Workflow
Voice over IP
Voice over IP bezeichnet ganz generell das Konzept, Sprachinformationen zu digitalisieren, in IP
Pakete zu packen und dann über IPbasierende Netze zu transportieren. Im allgemeinen Sprach
gebrauch wird allerdings sehr oft IPTelefonie gemeint, auch wenn der allgemeinere Ausdruck VoIP
genutzt wird.
Lösungsportfolio
Seite 55
Die IPTelefonie stellt einen besonderen Bereich von VoIP dar. Denn bei der IPTelefonie sind die
Endgeräte selbst IPfähig, wir haben also eine EndezuEndeLösung auf der Basis des Internet Proto
kolls. Das bedeutet, dass zum Beispiel auch die Anrufsignalisierung über IP laufen muss.
Eine andere Variante ist zum Beispiel ein so genannter Trunk zwischen zwei Lokationen, die beide
über eine Telefonanlage verfügen. Während die TelefonEndgeräte weiterhin herkömmliche Telefone
(verbunden mit der TKAnlage) sind, werden die beiden Telefonanlagen mit Voicefähigen Routern
durch einen Trunk verbunden. Dieser Trunk basiert dann auf IP. Das heißt die Sprachdaten werden
auf der einen Seite in IP eingepackt, auf der anderen wieder ausgepackt. Vorteil ist die integrierte
Nutzung einer Leitung, anstatt einen weiteren dedizierten Voice Trunk zwischen den beiden Telefon
anlagen mieten zu müssen.
Ein Nutzen von VoIP ist die Kostenersparnis, da durch die Integration nicht mehr zwei separate Netze
für Sprache und Daten betrieben und gewartet werden müssen, sondern nur noch das IPNetzwerk.
Der eigentliche Vorteil von VoIP liegt aber vermutlich nicht in der Telefonie über das Datennetzwerk
selbst, sondern in den Mehrwertdiensten, die eine VoIPImplementierung mit sich bringt. Beispiels
weise sind dies intelligente VoIPApplikationen zum Aufbau von CallCentern oder so genannte Click´n
TalkButtons auf einer WebSeite.
Bei Voice over IP haben sich zwei Protokolle für die Signalisierung etabliert, H.323 und SIP (Session
Initiation Protocol). Die Übertragung der Sprachdaten läuft in beiden Fällen über RTP (RealTime
Transfer Protocol).
H.323 ist ein relativ alter und dementsprechend auch umfassender und komplexer Protokollstandard
der ITUT, sozusagen der Klassiker der paketvermittelten Sprach, Video und Datenübertragung. Es
ist ein UmbrellaProtokoll, das sich nicht nur auf die Übertragung über IP bezieht, und unter anderem
eine Vielzahl von Sprach und Video Codecs definiert. H.323 wird von vielen Geräten, Programmen
und Betriebssystemen unterstützt und ist somit von großer Bedeutung für VoIP.
H.323 Protokoll Stack
Lösungsportfolio
Seite 56
SIP ist als Standard für Voice over IP Verbindungen ein zukunftsträchtiges Protokoll der IETF. Durch
Abstraktion kam man hier von der klassischen Denkweise zur Vermittlung eines Telefongesprächs
weg. Man vermittelt nur noch die Sitzung verschiedener Teilnehmer, unabhängig davon, ob sie spre
chen, schreiben, sich sehen oder auf sonstige Art und Weise miteinander kommunizieren wollen. SIP
ist ein Application Layer Protokoll zum Aufbau, Verändern und Abbau der Verbindungen zwischen zwei
oder mehreren Teilnehmern. Die Architektur ist ähnlich der von HTTP und SMTP, ein textbasiertes
ClientServerProtokoll.
Die aktuelle Entwicklung lässt vermuten, dass SIP auf Dauer H.323 ablösen wird und zur Grundlage
der Kommunikation zwischen VoIPKomponenten verschiedener Hersteller werden wird.
Die verschiedenen Anbieter der IPTelefonieLösungen nutzen im Moment fast ausschließlich ihre
proprietären Protokolle zur Signalisierung. Das macht eine direkte Kopplung dieser Systeme meist
unmöglich. SIP wird hier die Wende bringen: Die meisten Hersteller unterstützen schon oder dem
nächst dieses Protokoll.
Eines haben die verschiedenen VoIP Lösungen gemeinsam: Sie nutzen RTP und das damit gekoppelte
RTCP (RealTime Transfer Control Protocol) zur Übertragung der in IP eingepackten Sprachdaten.
RTP stellt dabei den Dienst der EndezuEndeZustellung von EchtzeitAudio und –Video zur Verfü
gung. RTP nutzt typischerweise UDP, um die Daten zu übertragen. Es könnte allerdings auch auf an
deren Transportprotokollen aufsetzen. RTP bietet die Möglichkeit zur Identifikation der Payload, Se
quenznummern und Zeitstempel und ergänzt damit UDP. UDP sorgt für Multiplexing und Prüfsummen.
RTCP kann zusätzlich zu RTP eingesetzt werden, um den RTP Datenstrom zu kontrollieren. Eine
Rückmeldung über die Qualität der Datenvermittlung zu geben ist die Primärfunktion von RTCP. Ein
Sendeprogramm kann dann dementsprechend reagieren und zum Beispiel eine andere Komprimie
rung wählen oder mehr oder weniger Puffer nutzen.
Wichtig für die Unterstützung von VoIP Lösungen durch intelligente Netzwerke ist die Möglichkeit, VoIP
Traffic zu erkennen und zu klassifizieren. Dies gestaltet sich von daher als schwierig, da H.323 zum
Beispiel die UDP Ports, auf die RTP aufsetzt, während des Verbindungsaufbaus dynamisch aushan
delt.
Andere Möglichkeiten bestehen darin, basierend auf der IPAdresse zu klassifizieren. Das setzt vor
aus, dass die Adressen der IPTelefone bekannt sind.
Hier könnte man sich auch eine VLANLösung vorstellen, oft werden sämtliche VoIPKomponenten in
ein separates VLAN gesetzt.
Außerdem haben die meisten IPTelefone schon die Fähigkeiten, entsprechende DSCP, IPPrecedence
bzw. 802.1p Werte selbst zu setzen. Netzwerkkomponenten können diese Information dann nutzen
und müssen nicht selbst genauer klassifizieren. Das Problem dabei liegt darin sicherzustellen, dass
das Vertrauen in gesetzte Werte nicht von anderen Hosts ausgenutzt werden kann.
Damit stellt sich die Frage, ob nicht ausreichend Bandbreite zur Übertragung von VoIPDaten vorhan
den ist. Dann könnte man sich die Einführung von QoS sparen. Tatsächlich ist genügend Bandbreite
kein Luxus in einem konkurrenzfähigen Netzwerk, sondern ein absolutes Muss. Sollten wirkliche
BandbreitenEngpässe in einem Netzwerk heute schon bekannt sein, gestaltet sich eine erfolgreiche
Implementierung von VoIP mit Sicherheit schwierig. Sprache macht zwar nur einen minimalen Anteil
Lösungsportfolio
Seite 57
des Gesamtverkehrsaufkommens aus, ist aber sehr zeitkritisch. Es werden keine Verzögerungszeiten
und Jitter akzeptiert. Daher ist eine Priorisierung dieser Information notwendig.
Lösungsportfolio
Seite 58
EFFECT, die Convergence Strategie von Enterasys Networks
Wofür steht EFFECT?
ENTERPRISE FRAMEWORK FOR
EVOLUTIONARY CONVERGENCE TECHNOLOGY
Das Ziel der Konvergenzarchitektur EFFECT von Enterasys Networks ist:
•
Die Integration von aktuellen und zukünftigen Applikationen eines Unternehmens in eine
gemeinsame, intelligente (IP) Infrastruktur
•
Die Integration des Netzwerks zusammen mit den Benutzern und deren Rollen innerhalb
des Geschäftsprozesses des Unternehmens. (Benutzereigenschaften und –Parameter wie
Identität, Authentication, Dynamic Authorization und Accounting, Tracking per Benut
zer/Applikation werden hierbei kombiniert.)
UND
Die Convergence Strategie "EFFECT" basiert auf den "User Personalized Networking" Lösungen von
Enterasys Networks (siehe Kaptitel UPN).
Die Strategie fokussiert auf die schnelle, einfache und sichere Inbetriebnahme von Netzen im Conver
gence Umfeld. Es erfolgt eine Zuordnung der modernen Applikationen auf Basis einer intelligenten,
geswitchten Netzwerkinfrastruktur. Zum Beispiel werden IP Telefone automatisch erkannt und an
schließend dem entsprechenden Nutzer freigegeben. Ferner erfolgt eine automatische Rollenzuwei
sung (Policy am User Port) und eine Bandbreitenbereitstellung, um etwa Priorisierung der im Conver
genceumfeld verwendeten Applikationen zu gestatten.
Zeitgleich wird die Netzwerksicherheit erhöht, da die IP Endgeräte gegenüber dem Netz authentifiziert
werden. Herauszustellen sind die umfangreichen Managementoptionen, die einem Betreiber eines
solchen Netzes eröffnet werden.
Im Rahmen von EFFECT werden neben den H.323 Funktionen ebenfalls das neue SIP (Session Initiati
on Protocol) unterstützt.
Wesentliche Bestandteile der Strategie sind:
•
Hohe Verfügbarkeit des Datennetzes
•
Wirtschaftlichkeit, einfache Verwaltung des Netzes und der angeschlossenen Applikationen
•
Sicherheit
•
Vorbereitung einer Konvergenzfähigkeit und Migration von bestehenden Netzen
•
Zusammenarbeit mit großen Partnern
Die offene Architektur von EFFECT verschafft sowohl für Kunden als auch für Partner erhebliche
Vorteile:
Lösungsportfolio
Seite 59
•
Kunden sind nicht auf einen einzigen Hersteller zum Beispiel für Sprach und Datendienste
festgelegt, sondern können ein "Best of Breed" Konzept realisieren und sind offen für zu
künftige Erweiterungen.
•
Partner können offen die Kunden beraten und verschiedenste Lösungen (Data, Voice, Sto
rage, etc.) aus dem Portfolio für den Kunden zu einer bestmöglichen Lösung zusammen
fassen und damit wiederum einen Mehrwert für den Kunden schaffen.
Eine wesentliche Säule von EFFECT ist die Zusammenarbeit mit Partnern im Convergence Umfeld, wie
Siemens, Polycom, Microsoft und anderen.
Enterasys Networks liefert die Convergence Ready Netzwerkkomponenten die in der Kombination von
UPN mit EFFECT dem Netzwerkbetreiber den optimalen Nutzen bereiten. Denkbar sind Applikationen
mit Klick Buttons, die somit einfach realisierbar sind.
Nähere Informationen stellen Ihnen gerne ihre regionalen Enterasys Networks Ansprechpartner zur
Verfügung.
Anforderungen an die Netzwerkkomponenten für VoIP
Da Sprache immer "Echtzeit" bedeutet, müssen die Voice Pakete entsprechend zuverlässig übertra
gen werden. Es sind also entscheidende Anforderungen an die eingesetzten Komponenten sicher zu
stellen:
•
99.999 % Verfügbarkeit
Kein Delay
•
Kein Echo
•
Erweiterbarkeit
•
Sicherheit
•
Handhabbarkeit
•
Kontrolle
Die hohen Ewartungen an die Qualität der Sprachübertragung und die Verfügbarkeit einer Telefonan
lage stellen sich nach wie vor. Unternehmen werden nur schmerzlich auf diese Parameter verzichten
wollen. Und genau dort liegen auch die Probleme der Konvergenz von Sprache, Video und Daten über
ein IPDatennetzwerk.
Das allgemeine Telefonnetzwerk (Public Switched Telephone Network, PSTN) besitzt einen verbin
dungsorientierten Ansatz. Hier wird erst eine Verbindung mit entsprechenden Parametern hergestellt,
bevor es zum eigentlichen Datenaustausch kommt. Die Verbindung bleibt in der Regel solange beste
hen bis ein Teilnehmer die Konversation abbricht.
Und das ist genau der Unterschied zu IP, bei dem Datagramme verbindungslos übertragen werden.
Kommt es zur Netzwerküberlastung, werden die Datenpakete teilweise verworfen und nochmals
Lösungsportfolio
Seite 60
verschickt. Es steht somit nur ein so genannter "Best Effort Service" zur Verfügung. Die Schwierigkeit
besteht also darin, MultimediaDaten auf einem IPNetzwerk genauso qualitativ hochwertig zu über
tragen wie über ein Telefonnetzwerk.
Um eine qualitativ hochwertige Übertragung zu ermöglichen, sind daher die genannten Randparame
ter zu beachten. Die Einführung von Quality of Service (QoS) stellt hier eine Lösung dar.
Quality of Service im Netzwerk
Für die oben genannten Anwendungen ist das Einführen bestimmter Qualitätsklassen innerhalb eines
Netzwerkes erforderlich. Durch den Einsatz leistungsfähiger Switches und Router, die die entspre
chenden Standards unterstützen, können so die VerzögerungsZeiten innerhalb eines Netzwerkes
optimiert werden. Die Sprachpakete erhalten EndezuEnde eine höhere ÜbermittlungsPriorität als
beispielsweise der tägliche eMailVerkehr. Die Schwierigkeit besteht darin, die Sprachdaten zu er
kennen, um sie gegenüber den restlichen Daten zu priorisieren. Um diese Herausforderung zu bewäl
tigen, müssen Intelligenzen geschaffen werden. Die Layer4Klassifizierung liefert die Möglichkeit, die
Datenpakete bis auf den Transport Layer auszuwerten und damit eine Differenzierung herzustellen.
Aufgrund der Layer 4 Ports kann man erkennen, welche Applikation gerade übertragen wird. Fest
definierte Ports, wie beispielsweise Port 80 für HTTPVerkehr (HyperText Transfer Protocol), liefern
dafür die Grundlagen.
Die Servicequalität eines Netzwerks kann man als eine Kombination aus Verzögerungszeit, Bandbreite
und Zuverlässigkeit beschreiben. Wichtige Charakteristika sind folgende Parameter:
•
•
•
Verzögerungszeit:
o
EndezuEnde oder so genannte RoundTripVerzögerung
o
Varianz der Verzögerungszeit (Jitter)
o
EchtzeitMöglichkeiten
Bandbreite:
o
Peak Data Rate (PDR)
o
Sustained Data Rate (SDR)
o
Minimum Data Rate (MDR)
Zuverlässigkeit:
o
Verfügbarkeit (als % Uptime)
o
Mean Time Between Failures / Mean Time To Repair (MTBF/MTTR)
o
Fehlerrate und Paketverlustrate
Die eigentliche Schwierigkeit besteht nun darin, ein gewisses Maß an Zuverlässigkeit für die neuen
VoIPDienste bereitzustellen. Nur mit einem EndezuEndeAnsatz lassen sich diese neuen Anforde
Lösungsportfolio
Seite 61
rungen in der ITInfrastruktur umsetzen. Dabei gibt es zwei Arten (IntServ und DiffServ) von Quality of
Service zum effektiven Bandbreitenmanagement.
Integrated Services
Die standardisierte Integrated Services (IntServ) Methode basiert auf der Reservierung bestimmter
Ressourcen. Darunter fällt beispielsweise die Technologie Resource Reservation Protocol (RSVP).
Hierzu werden bestimmte Bandbreiten für einen Datenstrom (Flow) EndezuEnde reserviert. Jedes
Element in dieser EndezuEndeKette muss das Protokoll RSVP verstehen und die Bandbreiten für die
entsprechenden Flows reservieren. Damit wird ganz schnell klar, wo die Schwachstellen von RSVP
liegen. Meist versteht nicht jeder Router in der Kette RSVP schon gar nicht im Internet. Zum Anderen
muss jeder Router diese Informationen dynamisch vorhalten und als so genannte Soft States ablegen.
Das kann bei einer großen Anzahl von Flows sehr prozessorintensiv sein.
Eine weitere Herausforderung stellt die Zugriffskontrolle für die Netzwerkressourcen dar. Um RSVP
überhaupt möglich zu machen, braucht man einen zentralen PolicyServer. In 1999 enstand die IETF
Policy Framework Working Group. Die Resource Admission Policy Working Group der IETF hat dann
die Standardisierung von COPS (Common Open Policy Server) vorangetrieben. COPS wurde als Proto
koll entworfen, das mit einer IntServ/RSVP (Integrated Services / Resource ReSerVation Protocol)
Umgebung zusammenarbeitet. Die Kommunikation zwischen dem PDP (Policy Decision Point) und PEP
(Policy Enforcement Point) dient zur Übermittlung und der Admission von RSVP RESV Anfragen. Das
Konzept skaliert aber wie RSVP leider nicht für große Netzwerke, daher findet man COPS Implemen
tierungen nur sehr selten.
Policy Based Networking mit COPS
Insgesamt hat sich der Integrated Services Ansatz nicht durchsetzen können, heutzutage wird meist
DiffServ verwendet.
Lösungsportfolio
Seite 62
Differentiated Services
Differentiated Services (DiffServ) als Ansatz setzt auf OSILayer3 auf. Hierzu wird das Type of Service
Feld im IPHeader genutzt. Der Hauptunterschied zu IntServ besteht darin, dass keine EndezuEnde
Signalisierung der Datenflows benötigt wird. Die einzelnen Datenpakete werden zuerst klassifiziert
und dann entsprechend ihrer Prioritäten über das Netzwerk transportiert.
Damit ist es möglich, zwischen bestimmten Dienstklassen (Class of Service, CoS) innerhalb einer
DiffServDomäne zu differenzieren, um den unterschiedlichen Anforderungen der verschiedenen
Applikationen gerecht zu werden.
Die Verbindungselemente klassifizieren das Datenpaket und leiten es dann priorisiert weiter. Die Art
und Weise der Weiterleitung der Pakete wird als PerHop Forwarding Behavior (PHB) bezeichnet. PHB
beschreibt generell die Zuteilung bestimmter Bandbreiten und Speicherressourcen sowie die ange
forderten Verkehrscharakteristika wie Verzögerungszeit oder Paketverluste. Damit ist eine Differenzie
rung in verschiedene Dienstklassen möglich.
DiffServ Feld
Als Unterscheidungsmerkmal zwischen den verschiedenen PHBWeiterleitungsklassen dient der so
genannte DiffServ Codepoint (DSCP), der aus den ersten sechs Bit im IPv4ToSFeld besteht. Im RFC
2474 wurde das ToSFeld im IPv4Header in DS Feld umbenannt. Damit sind maximal 64 Prioritäts
klassen möglich.
Lösungsportfolio
Seite 63
Zur Zeit sind folgende DSCPWerte definiert, die anderen sind noch reserviert bzw. stehen für experi
mentelle Zwecke zur Verfügung.
DSCP
Binary
Decimal
DSCP
Binary
Decimal
Default
000000
0
AF31
011010
26
CS1
001000
8
AF32
011100
28
AF11
001010
10
AF33
011110
30
AF12
001100
12
CS4
100000
32
AF13
001110
14
AF41
100010
34
CS2
010000
16
AF42
100100
36
AF21
010010
18
AF43
100110
38
AF22
010100
20
CS5
101000
40
AF23
010110
22
EF
101110
46
CS3
011000
24
CS6
110000
48
CS7
111000
56
Die Default Klasse ist für nicht speziell klassifizierten Traffic und entspricht damit der IP Precedence 0.
Die Class Selector (CS) Code Points erlauben eine RückwärtsKompatibilität mit den anderen IP Pre
cedence Werten.
Expedited Forwarding (EF, RFC 2598) ist eine Klasse, die geringe Latenzzeiten, wenig Jitter, möglichst
keinen Paketverlust und garantierte Bandbreite zur Verfügung stellen soll.
Assured Forwarding (AF, RFC 2597) bietet eine Vielzahl von Klassen, um den Datentraffic zu differen
zieren und das PHB mit verschiedenen Drop Probabilities zu definieren.
Per Hop Behav
iour (PHB)
DiffServ Code
Point (DSCP)
IP Prece
dence
Default
000000
Assured Forward
ing
Low Drop
Probability
Medium Drop
Probability
High Drop
Probability
AF11
001010
AF12
001100
AF13
001110
Class 1
0
1
Lösungsportfolio
Expedited
warding
Seite 64
Class 2
AF21
010010
AF22
010100
AF23
010110
2
Class 3
AF31
011010
AF32
011100
AF33
011110
3
Class 4
AF41
100010
AF42
100100
AF43
100110
4
For
EF
101110
5
IP Precedence
Das TOS (Type of Service) Field im IPv4 Header ist zwar mittlerweile als DS Field für die DSCPWerte
umdefiniert, die IP Precedence Bits in ihrer herkömmlichen Bedeutung werden aber immer noch oft
als Alternative zu DSCP genutzt.
Die ursprüngliche Definition des TOS Fields (Länge: 1 Byte = 8 Bits) sieht folgendermaßen aus:
TOS Feld
Die 3 IP Precedence Bits ermöglichen es, dem IP Paket einen Prioritätswert zwischen 0 und 7 zuzu
weisen. Die weiteren Bits waren dafür gedacht, optimal bezüglich Delay, Throughput, Reliability oder
Monetary Costs zu routen. Das letzte Bit war immer noch ungenutzt und musste deswegen auf 0
gesetzt sein (MBZ Must Be Zero). Routingprotokolle wie OSPF unterstützen zwar laut Definition die
Auswertung dieser TOSBits, allerdings gibt es keine Implementierungen, die dies auch wirklich tun.
Anders sieht es mit den 3 Prioritätsbits, der so genannten IP Precedence aus. Mit 3 Bits kann man
folgende 8 Werte beschreiben:
•
000 (0) Routine
•
001 (1) Priority
•
010 (2) Immediate
•
011 (3) Flash
Lösungsportfolio
Seite 65
•
100 (4) Flash Override
•
101 (5) Critical
•
110 (6) Internetwork Control
•
111 (7) Network Control
Die beiden höchsten Prioritäten sind für Netzwerktraffic reserviert, so schicken zum Beispiel Rou
tingprotokolle ihre Nachrichten meist mit der IP Precedence 6 (Internetwork Control). Delaysensitive
Daten wie Voice werden im Allgemeinen mit der IP Precedence 5 versandt. Während der Defaultwert
für normale Daten die IP Precedence 0 ist, bieten die verbleibenden Werte von 14 die Möglichkeit,
den Datentraffic weiter zu unterscheiden und zu priorisieren.
Bei der Wahl der bisher definierten DSCPWerte hat man Wert auf Rückwärtskompatibilität gelegt. So
wird zum Beispiel VoIPTraffic mit Expedited Forwarding EF = 101110 versandt, die ersten drei Bits
entsprechen also dem IP Precedence Wert 5.
Betrachtet man Quality of Service Lösungen auf anderer Ebene, wie zum Beispiel 802.1p für Ethernet
oder die Experimental Bits für MPLS, finden sich auch hier 3 Bits, um Prioritäten darzustellen. Nutzt
man diese QoSVerfahren, so werden im Allgemeinen die 3 IP Precedence Bits in die entsprechenden
Felder für 802.1p oder MPLS kopiert.
Die Realisierung von Quality of Service mit IP Precedence Werten ist also trotz der neueren Technik
mit DSCP Werten immer noch aktuell und wird es in absehbarer Zeit auch bleiben. Die Produkte von
Enterasys Networks unterstützen dementsprechend auch sowohl das Auslesen bzw. Setzen von IP
Precedence als auch von DSCP Werten.
Priorisierung nach IEEE 802.1p
Der Standard IEEE 802.1p ist ein weiterer Ansatz zur Verbesserung der Servicequalität. Hierbei wer
den bestimmte Datenpakete auf dem Netzwerk priorisiert übertragen. Man versieht die Datenpakete
mit einer bestimmten Markierung, die entsprechend des EndezuEndeAnsatzes von jedem Glied in
der Kette erkannt und danach mit bestimmter Priorität übertragen werden. Beispiele für solch einen
Ansatz sind IEEE 802.1p und Differentiated Service (DiffServ). Bei IEEE 802.1p handelt es sich um eine
Erweiterung des IEEE 802.1d Standards, wodurch ein so genanntes Tag in das Datenpaket einge
schoben wird. Dieses Tag besteht aus 2 Byte und ermöglicht zum Einen Prioritätenvergabe durch 3
Bits (was 8 Prioritäten entspricht) und zum Anderen die Bildung von Virtuellen LANs (VLANs) nach dem
Standard IEEE 802.1q. IEEE 802.1p liefert damit eine Datenpriorisierung auf Layer 2.
Lösungsportfolio
Seite 66
IEEE 802.1p Tag
IEEE 802.11e
Die Zugriffsmethode für WLANs basiert derzeit noch auf CSMA/CA (Carrier Sense Multiple Access with
Collision Avoidance). Damit können keine QoS Merkmale geliefert werden. Der IEEE 802.11e Standard
beschreibt einige Erweiterungen, um diese Merkmale in einer WLAN Umgebung zu ermöglichen.
Die dafür verwendete Architektur benutzt einen Mechanismus, um die Datenströme zu klassifizieren
und auf den Basisstationen entsprechende Medium Access Control Policys zu definieren. Die grundle
gende Idee ist dabei, die frei wählbaren Parameter der Layer 2 Kommunikation zu verwenden, um die
vom Benutzter empfundene QoS zu verbessern.
Power over Ethernet
Im Bereich Open Convergence stellt sich auch die Frage der Stromversorgung für Geräte wie zum
Beispiel IPTelefone. Der Standard für PoweroverEthernet (PoE), IEEE 802.3af beinhaltet alle Anfor
derungen, um Geräte über das Ethernetkabel mit Strom zu versorgen. Zu diesen Anforderungen
gehören unter anderem:
•
Switch/LAN Kompatibilität (Midspan Geräte)
•
Daten Integrität (Signalverlust und Rauschen)
•
Sicherheit (Erkennung von PoEfähigen Geräten)
•
Beliebige Infrastruktur (Kompatibel zu Cat3, 5, 5e, 6)
Dabei ist zunächst für die Übergangsphase eine Versorgungseinheit vorgesehen, die in die existieren
de Infrastruktur eingeschleift werden kann (Midspan Insertion Panel). Der Vorteil hierbei ist, dass
diese Lösung bei beliebigen Switches verwendet werden kann.
Lösungsportfolio
Seite 67
1 H 5 8 2 -5 1
E1
Switch
1H582-5 1
Midspan Insertion Panel
(Power Sourcing Equipment)
1H582-5 1
Powered Devices
1
2
3
1
2
3
4
5
6
4
5
6
7
8
9
7
8
9
*
8
#
*
8
#
Midspan Insertion Panel
In Zukunft werden die Switches selbst in der Lage sein, PoE an angeschlossene Geräte zu liefern. Bei
der Matrix N Serie ist dies mit einem 48 Port 10/100BaseTX Board mit externem Powershelf schon
vorgesehen.
Switch wi th PoE Capabi lities
(Endpoint Power Sourcing E quipment)
E1
1H582-5 1
P owered Devic es
1 2 3
1 2 3
4 5 6
7 8 9
4 5 6
7 8 9
*
*
8 #
8 #
PoE – Enabled Switches
Der große Vorteil von PoE ist, dass keine zusätzliche Stromversorgung zu den Endgeräten verlegt
werden muss und deren Installation damit einfacher wird. Das ist insbesondere wichtig für IPPhones,
schließlich ist es für den Anwender äußerst unkomfortabel, gleich zwei Kabel auf dem Schreibtisch
liegen zu haben. Ansonsten ist PoE vor allem für Wireless Access Points, Kartenlesegeräte oder Ka
meras interessant.
Lösungsportfolio
Seite 68
Phone Detection
Die Telefonerkennung (Phone Detection) sorgt dafür, dass ein an das Netzwerk angeschlossenes IP
Phone richtig erkannt wird und im Netzwerk entsprechende Parameter für die Quality of Service für
das Phone gesetzt werden. Zum Beispiel kann nach der Erkennung eines IPPhones dessen Datenver
kehr via 802.1p getagged und damit höher priorisiert werden als anderer Datenverkehr.
Die Telefonerkennung kann dabei durch spezielle Protokollnachrichten wie zum Beispiel Enterasys
CDP erfolgen. Ansonsten können auch beliebige andere Protokolle wie Cisco Discovery Protocol 2.0
oder das Snooping aller Pakete mit Ziel UDP Port 4060 wie bei Siemens verwendet werden.
Convergence Lösungen am Beispiel
Beispiel 1: Allgemein, ohne existierende TKAnlage
Dies ist eine Lösung ohne bestehende TKAnlage, also eine reine Convergence Lösung. Die Engeräte
sind teils IPPhones und PCs, die mit einem Softclient ausgestattet sind.
Convergence Beispiel 1
Die Soft PBX ist die ConvergenceTelefonanlage, die, wie alle Endgeräte, an das IPNetzwerk ange
bunden ist. Das Gateway dient zur Anbindung der Convergence Lösung an das öffentliche Telefon
netz.
Beispiel 2: Allgemein, mit existierender TKAnlage
Die Endgeräte sind die gleichen wie im Beispiel 1. Das Gateway dient diesmal zur Anbindung der
Convergence Lösung an die bestehende TKAnlage. In diesem Beispiel soll aufgezeigt werden, dass
eine CoExistenz beider Systeme möglich ist.
Lösungsportfolio
Seite 69
Convergence Beispiel 2
Der Einsatz einer Convergence Lösung soll nicht heißen, dass die vorhandene Investition der beste
henden klassischen TKAnlage ersetzt werden soll. Es ist im Sinne des Kunden, eventuell eine lang
same Migration zur neuen Technologie durchzuführen. Dies ist mit einer gemeinsamen Lösung von
Siemens oder Avaya und Enterasys Networks jederzeit möglich.
Zusammenfassung
Enterasys Networks stellt mit seiner Enterprise Network Architecture (ENA) eine Architektur zur Verfü
gung, mit der der Aufbau einer zuverlässigen, hochverfügbaren, skalierbaren, sicheren und automati
sierten NetzwerkInfrastruktur optimal möglich ist. Damit ist die Grundlage für eine erfolgreiche
Implementierung von VoIP gegeben.
Die umfangreiche Produktpalette von Enterasys Networks liefert Komponenten, die diese Bedingun
gen erfüllen. Von den N Series Layer 4 Switches bis hin zum Matrix V2. Alle Komponenten können
Priorisierungen bearbeiten, so dass die VoicePakete bevorzugt übertragen werden können und bieten
dabei noch die benötigte Bandbreite. Es wird somit die gewünschte Quality of Service Eigenschaft für
Convergence von einem schon bestehenden Enterasys Netzwerk unterstützt.
Man sollte unbedingt darauf achten, dass neben den beschriebenen QoSAnforderungen die Netz
werkinfrastruktur mit einer sehr hohen Ausfallsicherheit ausgestattet ist, die eine nahezu hundertpro
zentige Verfügbarkeit erreicht. Nur dann ist VoIP eine wirkliche Alternative zu einer herkömmlichen
TKAnlage.
Dazu bedarf es ausfallsicherer Komponenten in einem NetzwerkDesign, das mögliche Ausfälle von
Komponenten schnell kompensieren kann. TrunkingVerfahren und der Aufbau von logischen Struktu
ren durch VLANs, IPSubnetzen und eine schnelles RoutingProtokoll wie MultipathOSPF sind Vor
aussetzungen für eine erfolgreiche Implementierung. Hier sollten zentrale und unternehmenskritische
Ressourcen möglichst redundant und ausfallsicher angeschlossen werden. Auch hierzu stehen Funk
tionalitäten, wie Virtual Router Redundancy Protocol (VRRP) oder LoadSharingNetworkAddress
Translation (LSNAT) in den Hardwarekomponenten zur Verfügung.
Lösungsportfolio
Seite 70
Der Secure On Demand Networking Ansatz liefert eine nahezu hundertprozentige Verfügbarkeit,
Redundanz und Skalierbarkeit. Zusätzlich bietet man differenzierte Dienste für Angestellte, Kunden
oder Partner und damit eine Infrastruktur, die bestimmte Qualitätsmerkmale wie Bandbreite garantie
ren kann.
Redundanz
Woraus besteht hohe Verfügbarkeit? Typischerweise versteht man darunter, dass die über das Netz
werk operierenden Dienste wie VoIP, SAP, etc. weitgehend unbeeinflusst von Ausfällen oder Umstruk
turierungen im Netzwerk bleiben. Um das zu realisieren, müssen die einzelnen Schichten der Netz
werkkommunikation einzeln betrachtet und gesichert werden. Für die eigentliche Sicherung gibt es
zwei grundlegende Ansätze: Zum Einen die zu sichernde Komponente so stabil wie möglich zu ma
chen, zum Anderen eine Redundanz (zum Beispiel in Form eines zweiten Gerätes) bereitzuhalten,
durch die alle Funktionen der ausgefallenen Komponente übernommen werden. Im Folgenden werden
die einzelnen Schichten zusammen mit den verfügbaren Redundanzen vorgestellt.
Physikalische Schicht
In der physikalischen Schicht betrachtet man grundlegende Dinge, wie eine redundante Stromversor
gung durch mehrere Netzteile verbunden mit verschiedenen Versorgungspfaden.
Datenübertragungsschicht
Auf der Datenübertragungsschicht oder Layer 2 gibt es in Abhängigkeit der eingesetzten Technologie
verschiedene Verfahren, um Redundanzen zu ermöglichen. In der Regel bestehen diese immer aus
zusätzlichen Leitungen bzw. physikalischen Übertragungswegen in einem Layer 2 Netzwerk (auch
Broadcastdomain genannt). Bei Ethernet wurde diese Redundanz erstmalig mit dem SpanningTree
Algorithmus möglich. Dazu wurden Weiterentwicklungen wie Rapid SpanningTree und Spanning
Forest geschaffen, um schnellere Konvergenz im Fehlerfall und Verwaltung von SpanningTrees in
einer VLANUmgebung möglich zu machen.
SpanningTree IEEE 802.1d
Der SpanningTree Algorithmus verhindert Loops auf der Datenübertragungsschicht. Die Notwendig
keit entsteht dadurch, dass Broadcasts in einem Ethernetnetzwerk, in dem redundante Pfade vorhan
den sind, unendlich lang kreisen, und somit die verfügbare Bandbreite immer weiter verringern, bis
kein normaler Datenverkehr mehr möglich ist. Der heutzutage gebräuchliche 802.1d Standard ging
aus der von Radia Perlman für die Firma DEC entwickelten, ersten Implementierung des Algorithmus
hervor.
Um Loops zu verhindern tauschen die Netzwerkkomponenten (Switches) eines Layer 2 Netzwerkes
untereinander Nachrichten aus, die vom normalen Datenverkehr unterscheidbar sind. Anhand dieser
Nachrichten wird dann eine der Komponenten zur Wurzel eines Baumes gewählt. Alle anderen Kom
ponenten gliedern sich in diesen Baum ein. Pfade, die nicht innerhalb dieses Baums liegen (das heißt
redundante Pfade) werden dabei ausgeschaltet.
Lösungsportfolio
Seite 71
Wenn ein neuer Switch oder Link hinzugefügt wird oder ein Switch ausfällt, wird dieser Baum neu
berechnet. Solange dieser Baum nicht vollständig aufgebaut ist, leiten die Switches nur die Nachrich
ten weiter, die Informationen enthalten, die für das Aufbauen des Baumes relevant sind. Das heißt,
solange der Baum nicht vollständig ist, ist der normale Datenverkehr im Netzwerk unterbrochen. Die
Neuberechnung des Baumes dauert typischerweise bis zu 60 Sekunden.
RapidSpanningTree IEEE 802.1w
Der 802.1d SpanningTree Algorithmus wurde zu einer Zeit entwickelt, in der es ausreichend war,
wenn sich das Netz nach einem Ausfall in einem Zeitraum von ca. einer Minute erholte.
Heutzutage sind solche Ausfallzeiten nicht mehr akzeptabel, daher wurde der SpanningTree Stan
dard zum RapidSpanningTree Standard (RSTP) weiterentwickelt, um schnellere Konvergenzzeiten zu
ermöglichen. Prinzipiell wurde die Art und Weise der Berechnung des Baumes beibehalten. Die Nach
richten, die unter den Switches ausgetauscht werden, enthalten nun mehr Informationen, außerdem
wurde die Verarbeitung der Nachrichten verbessert. Die wichtigste Neuerung im 802.1w Standard war
die Möglichkeit, einen Port schneller in den Forwarding Modus zu bringen, in dem normale Datenpa
kete ausgetauscht werden können. Im alten Standard wurden die Ports erst dann aktiviert, wenn der
gesamte Baum konvergiert war. Der neue Standard ist in der Lage sicherzustellen, dass ein Port
früher aktiviert werden kann, da die RSTPSwitches aktiv Rückmeldungen austauschen können. In
entsprechend konfigurierten Netzwerken kann die Konvergenzzeit des Baums so auf wenige hundert
Millisekunden gesenkt werden.
VLANs IEEE 802.1q
VLANs erlauben es, einen Switch mit einer Vielzahl physikalischer Ports logisch zu unterteilen, so dass
bestimmte Portgruppen jeweils verschiedene Broadcastdomains bilden, obwohl sie physikalisch zum
gleichen Switch gehören. Der IEEE 802.1q Standard erlaubt es, die Daten aus solchen logisch ge
trennten Portgruppen eindeutig (für die jeweilige Gruppe) zu kennzeichnen, und sie in dieser Form zu
einem anderen Switch zu transportieren. Der Link über den diese markierten Pakete transportiert
werden, wird in der Regel Trunk genannt. Dort können die Daten wieder den einzelnen Gruppen
zugeordnet werden, und, falls diese Gruppen auf diesem Switch ebenfalls existieren, zu den entspre
chenden Ports geschickt werden. Man ist also in der Lage, eine logische BroadcastdomainStruktur
über eine physikalisch vorgegebene Struktur von untereinander verkabelten Switches zu legen. Da
durch können die Mitarbeiter einer Abteilung mit ihren Rechnern in derselben Broadcastdomain sein,
obwohl die Abteilung auf verschiedene Gebäude verteilt ist.
Multiple SpanningTrees IEEE 802.1s
Multiple SpanningTrees (MST) ist eine Ergänzung des 802.1q Standards. Der 802.1w Rapid Span
ningTree Standard wurde erweitert, um mehrere SpanningTrees zu unterstützen. Diese Ergänzung
erlaubt sowohl schnelle Konvergenz als auch Load Sharing in einer VLANUmgebung.
Mit MST wird es möglich, mehrere SpanningTree Instanzen über Trunks hinweg aufzubauen. Dabei
können in Gruppen zusammengefasste VLANs einzelnen SpanningTree Instanzen zugeordnet wer
den. Die einzelnen Instanzen können dabei unabhängig voneinander verschiedene Topologien haben.
In großen Netzwerken wird es dadurch einfacher, redundante Pfade zu verwenden, da verschiedene
Lösungsportfolio
Seite 72
VLANSpanningTree Kombinationen an verschiedene Pfade des Netzwerk gebunden werden können.
MST benutzt dabei eine modifizierte Variante des Rapid SpanningTree Protokolls, genannt das
Multiple SpanningTree Protocol (MSTP).
Netzwerkschicht
Auf der Netzwerkschicht wird Redundanz hauptsächlich durch intelligente RoutingProtokolle wie
OSPF und die Verbesserung der Erreichbarkeit des Default Gateways mit VRRP erreicht. Um dies
sinnvoll zu ermöglichen, müssen schon auf der Netzwerkebene verschiedene Wege zum selben Ziel
vorhanden sein.
Open Shortest Path First
Open Shortest Path First (OSPF, RFC 2328) ist ein hierarchisch aufgebautes LinkState
Routingprotokoll und hat sich als DeFactoStandard für Interior Gateway Protokolle entwickelt.
Im Gegensatz zu BGP (Border Gateway Protokoll), das als Exterior Gateway Protokoll für das Routing
zwischen autonomen Systemen genutzt wird, dienen Interior Gateway Protokolle dazu, Routinginfor
mationen innerhalb einer Organisation auszutauschen.
DistanceVectorProtokolle wie RIP sind dafür mittlerweile meist ungeeignet, da diese sehr schlechte
Konvergenzzeiten aufweisen. Und Ausfallzeiten bis zu mehreren Minuten sind in heutigen Netzwerken
nicht mehr tolerierbar.
LinkStateProtokolle arbeiten Eventgesteuert, die Informationen über Topologieänderungen werden
sofort durch das ganze Netz geflutet. Alle Router reagieren sofort darauf und berechnen bestehende
Ersatzwege. Somit haben LinkStateProtokolle Konvergenzzeiten im Sekundenbereich. Diese schnel
len Berechnungen von Ersatzwegen werden dadurch möglich, dass bei LinkStateProtokollen die
gesamte Topologie eines Netzes allen Routern bekannt ist, gespeichert in der TopologieDatenbank.
Da dadurch außerdem die periodische Verbreitung der gesamten Routinginformation nicht mehr
notwendig ist, arbeiten LinkStateProtokolle ressourcenschonender als DistanceVectorProtokolle.
Der hierarchische Ansatz von OSPF macht dieses Routingprotokoll skalierbar, OSPF eignet sich daher
auch für sehr große Netze. Die Hierarchie basiert auf einem zweistufigen AreaKonzept, es gibt eine
zentrale BackboneArea, an die alle anderen Areas direkt angebunden sind. Durch Verfahren wie
Route Summarization und das Definieren von Areas als Stub Area oder NotSoStubby Area (NSSA,
RFC 3101) wird die Auswirkung von Topologieänderungen auf das gesamte Netz minimiert.
Lösungsportfolio
Seite 73
OSPF Area Konzept
OSPF ist im Moment das StandardProtokoll für Routing innerhalb des eigenen Netzwerkes. Als offe
ner Standard, der von allen Herstellern unterstützt wird, bietet es Kompatibilität zwischen allen Kom
ponenten.
Die schnellen Konvergenzzeiten, die OSPF als LinkStateProtokoll besitzt, sind für heutige Netze
unverzichtbar.
Der hierarchische Ansatz unterstützt die Implementierung in Netzwerken aller Größe, Netze mit OSPF
als Routingprotokoll sind mit dem entsprechenden Netzwerk und AdressDesign einfach zu erwei
tern.
Als modernes Routingprotokoll unterstützt OSPF natürlich VLSM (Variable Length Subnet Mask) und
ermöglicht so Optimierungsverfahren wie Route Summarization.
Aufgrund seiner allgegenwärtigen Präsenz wurde OSPF auch als Routingprotokoll für das aufkom
mende IPProtokoll IPv6 spezifiziert (RFC 2740) und wird auch in Zukunft nicht aus den Netzwerken
wegzudenken sein.
Virtual Router Redundancy Protocol
Das Virtual Router Redundancy Protocol (VRRP, RFC 2338) dient dazu, dem Benutzer Redundanz
bezüglich des Default Gateways zur Verfügung zu stellen. Während Router untereinander Routing
Protokolle nutzen, um die aktuellsten RoutingInformationen auszutauschen und so bei einem Ausfall
Ersatzwege zu lernen und zu nutzen, haben sehr viele Endclients statische Einträge für das Default
Lösungsportfolio
Seite 74
Gateway. Was nun, wenn dieser Router ausfällt? Selbst wenn es einen Ersatzweg gibt, wie sollen die
Clients darauf reagieren?
Default
Gateway
CRASH
Use Alternative
Default Gateway
VRRP Konzept
Die Lösung dazu liefert das Protokoll VRRP. Die Grundidee besteht darin, einen virtuellen Router zu
nutzen und diese IPAdresse als DefaultGateway auf den Hosts zu konfigurieren.
Die physikalischen, redundanten Router kommunizieren dann über das Protokoll VRRP und handeln
aus, wer die RoutingAufgabe des DefaultGateways übernimmt. Dieser Router wird dann als Master
bezeichnet, weitere redundante Router sind Backup Router. Fällt der Master aus, so wird das über
VRRP erkannt und einer der Backup Router übernimmt die Aufgabe des Masters. Für den Client ist
das absolut transparent. Damit es keine Probleme bezüglich der ARPEinträge gibt, nutzt der virtuelle
Router eine zugehörige, für VRRP reservierte MACAdresse.
Lösungsportfolio
Seite 75
R1
IP_R1
MAC_R1
VR
R2
IP_VR
MAC_VR
IP_R2
MAC_R2
DG: IP_VR
MAC(DG): MAC_VR
Emulation eines Virtuellen Routers
So dient VRRP dazu, den Single Point of Failure, den die statische Konfiguration eines Default
Gateways darstellt, zu eliminieren.
Normalbetrieb
Lösungsportfolio
Seite 76
VRRP Redirection im Fehlerfall
Durch die Konfiguration von zwei virtuellen Routern kann man eine zusätzliche Lastverteilung auf die
redundanten Geräte erreichen. Man nutzt zwei virtuelle IPAdressen, jeder der Router ist dann für eine
der beiden Adressen der Master, für die andere der Backup Router. Zusätzlich müssen die Clients
dementsprechend entweder mit der einen oder der anderen IPAdresse als DefaultGateway konfigu
riert werden. Eine gleichmäßige Verteilung kann man zum Beispiel mit dem Dynamic Host Configura
tion Protocol (DHCP) erreichen. So werden beide Router als DefaultGateway genutzt, man hat Last
verteilung in Kombination mit Redundanz.
Weitere Informationen findet man im zugehörigen RFC 2338.
Skalierbarkeit
Enterasys bietet mit seinen Lösungen und seinem Gesamtkonzept eine sehr gute Skalierbarkeit.
Der größte Teil der Netzwerkkomponenten sind modulare Geräte. Komplett modulare, Chassis
basierte Geräte wie die Matrix N Serie oder der XPedition Router liefern große Flexibilität bezüglich
der Erweiterung oder Erneuerung des Netzwerks. Auch teilweise modulare Geräte wie die Matrix E1
Serie oder der XSR gewährleisten einen flexiblen Einsatz.
Lösungen wie User Personalized Networks basieren auf skalierbaren Komponenten. Die Atlas Mana
gement Werkzeuge wie der NetSight Atlas Policy Manager setzen dabei auf offene Standards und
Schnittstellen. So bietet zum Beispiel der Einsatz eines RADIUSServers, der wiederum über LDAP auf
eine bestehende Verzeichnisstruktur zugreifen kann, eine skalierbare Lösung.
Server Load Balancing
Heutige Netzwerkdesigns sind, unter Zuhilfenahme von Protokollen wie Virtual Router Redundancy
Protocol (VRRP) und Open Shortest Path First (OSPF), meist schon redundant ausgelegt. Die Redun
Lösungsportfolio
Seite 77
danz hat aber oft ihre Grenzen, wenn es um den Anschluss der Server geht. Auch hier muss die
Netzwerkomponente eine entsprechende Lösung bereitstellen.
Server Load Balancing oder Load Sharing Network Address Translation bezeichnen das Konzept,
wichtige Server redundant auszulegen, um somit sowohl Ausfallsicherheit als auch höhere Perfor
manz zu erreichen.
Verwendung von LSNAT
Der Produkte von Enterasys realisieren dies über eine Implementierung des RFC 2391 Load Sharing
Network Address Translation LSNAT. Dabei wird auf Anfragen an einen virtuellen Server (IP) reagiert
und die Anfragen werden entsprechend auf reelle Serveradressen umgesetzt in Abhängigkeit des
angesprochenen Layer 4 Ports. Zwischen den reellen Servern werden dann die Anfragen nach wähl
baren Algorithmen wie zum Beispiel RoundRobin, Weighted RoundRobin oder Least Weighted Load
First verteilt. Parallel dazu überprüft man die Verfügbarkeit der Server und verteilt die Anfragen beim
Ausfall eines Servers auf die verbleibenden Serversysteme. Dieses System sorgt zum Einen für eine
sehr gute Ausfallsicherheit, zum Anderen kann dieses virtuelle Serversystem sehr gut skalieren, da
man beliebig viele Server hinzufügen kann. Diese Server müssen natürlich auf eine einheitliche Da
tenstruktur zugreifen, was von dem Betriebssystem der Server unterstützt werden muss.
Unter Verwendung dieser Methode und der weiter oben beschriebenen Redundanzverfahren lässt sich
damit folgendes Szenario realisieren:
Lösungsportfolio
Seite 78
OnDemand Szenario
Hier ist einmal der Zugang des Hosts zum Netz via VRRP redundant ausgelegt, außerdem werden die
Anfragen am Ziel, d.h. beim Server per LSNAT verteilt. Die redundanten Wege können durch den
MultiPath Support von OSPF beide genutzt werden. Bei einem Defekt sorgt die schnelle Konvergenz
von OSPF für annähernd keine Ausfallzeiten. Zwischen den Switches werden 802.3ad Trunks gebil
det, die höhere Bandbreite und weitere Redundanz zur Verfügung stellen.
IPv6
Das Internetprotokoll IPv4 wurde Anfang der siebziger Jahre für das ARPANET (Advanced Research
Projects Agency) entwickelt. Im Laufe der Zeit ist dieses Netz immer weiter gewachsen, bis schließ
lich das heutige Internet entstand. Anfang der neunziger Jahre wurde klar, dass der Adressraum für
die gestiegene Zahl von Anwendern und zukünftigen Anwendungen insgesamt zu klein war, und die
Komplexität des Routings durch die daraus entstandene unstrukturierte Adressvergabe immer mehr
anwachsen würde. Daher begann die Internet Engineering Task Force (IETF) mit der Entwicklung
eines neuen Protokolls, IPv6, um dieses Problem zu beheben. IPv6 wurde also vor allem unter folgen
den Gesichtspunkten entwickelt:
•
Hierarchische AdressStruktur
•
Ressourcenschonend Routebar
•
Adressknappheit beheben
•
Dynamische Konfiguration (mobiler Bereich)
•
Erhöhtes Sicherheitsbedürfnis
•
Bandbreitenreservierung
Dabei sollte jedoch nach wie vor ein weicher Übergang von IPv4 zu IPv6 möglich bleiben.
Lösungsportfolio
Seite 79
Die IPv6 Adressen stellen mit einer Länge von 128 Bit einen fast unerschöpflichen Adressraum zur
Verfügung. Außerdem sind die bisherigen Konzepte zur Vergabe dieser Adressen sehr hierarchisch
geplant, was das Internetrouting hoffentlich dauerhaft vereinfachen wird.
Zum Routen im Internet wurden zuerst die Global Aggregatable Addresses (RFC 2374) genutzt. Im
August letzten Jahres wurde dieser RFC allerdings vom RFC 3587 abgelöst, seitdem ist das IPv6
Global Unicast Address Format ausschlaggebend. Der neue RFC macht die Strukturierung der IPv6
Adressen flexibler als die vorher doch sehr strenge Hierarchie.
m bits
n bits
global routing prefix
subnet ID
128- n-m bi ts
interface ID
Globale IPv6 Unicast Adresse
Das globale Routing Prefix wird im Allgemeinen einer Site zugewiesen, ist aber hierarchisch struktu
riert, um die Anbindung über die Provider widerzuspiegeln. Die Subnet ID ist dann die Kennung für die
Subnetze innerhalb einer Site, während auf dem lokalen Link der Interface Identifier dazu dient, die
einzelnen Netzwerkkomponenten voneinander zu unterscheiden.
Die momentan verwendeten Adressen wurden sehr vorsichtig vergeben, um den Fehler der unstruktu
rierten Adressvergabe wie bei IPv4 zu vermeiden.
Das Protokoll wird inzwischen zunehmend eingesetzt, wenn auch längst nicht in dem Ausmaß von
IPv4. Ein Problem dabei ist nach wie vor, dass ältere Hardware damit nicht zurecht kommt, bzw. dass
IPv6 meist nicht in Hardware geroutet werden kann und der Router damit überproportional belastet
wird. Enterasys Networks wird IPv6 auf den Platinum DFEs der N Series, den XPedition 8000/8600
und ER16 sowie der XPedition Security Router Reihe unterstützen.
Lösungsportfolio
Seite 80
Netzwerkmanagement
Netzwerk Management Modell
Ein Netzwerk Management System (NMS) ist eine Anwendung, die es dem Netzwerkadministrator
erlaubt, kritische Aspekte des Netzwerks zu verwalten. Nach dem durch die ISO definierten Netzwerk
Management Modell sollte ein NMS folgende Komponenten enthalten:
Fault Management
AusfallVerwaltung zur Erkennung, Aufzeichnung und Benachrichtigung von Benutzern im Fehlerfall
und soweit möglich auch zur Behebung von Netzwerkproblemen, um das Netzwerk weiterhin
funktionsfähig zu halten.
Configuration Management
Konfigurationsverwaltung für das Überwachen von Netzwerk und System
Konfigurationsinformationen, so dass die Effekte verschiedener Versionen von Hardware und Soft
wareelementen nachvollzogen und verwaltet werden können.
Accounting Management
Accountingmöglichkeiten, um die Auslastungsparameter im Netzwerk zu messen und zu analysieren,
um optimale Zugriffszeiten zu bieten.
Performance Management
Leistungsverwaltung zum Sammeln und Analysieren von Daten, um Schwellwerte für ein proaktives
System zu bestimmen, um eine erträgliche Netzwerkleistung garantieren zu können.
Security Management
Sicherheitsverwaltung zur Kontrolle des Zugriffs auf Netzwerkressourcen, damit das Netzwerk nicht
sabotiert werden kann (beabsichtigt oder unbeabsichtigt).
Ebenen von Netzwerk Management Systemen
Unter dem Begriff Netzwerk Management verstehen die einen, dass eine einzelne Person mit einem
Protokollanalysator die Netzwerkaktivität überwacht. Andere gehen davon aus, dass eine Highend
Workstation benutzt wird, auf der eine verteilte Datenbank läuft, die automatisch Netzwerkkomponen
ten abfragt und EchtzeitGraphen der Netzwerktopologie und des Datenaufkommens im Netzwerk
erzeugt.
Wenn man über Netzwerk Management Anwendungen spricht, muss man unterscheiden, welche
Ebene an Funktionalität man betrachtet.
Am unteren Ende der Skala der NMS Hierarchie befinden sich Netzwerk Element Manager wie der
NetSight Element Manager, die verwendet werden, um einzelne Netzwerkkomponenten Stück für
Stück zu verwalten.
Am oberen Ende der Hierarchie gibt es Netzwerk Enterprise Management Systeme wie den
SPECTRUM Enterprise Manager. Dieser wird verwendet, um alle Geräte (auch unterschiedlicher Her
Lösungsportfolio
Seite 81
steller) eines Unternehmens zu verwalten und Zusatzleistungen wie Rootcause Analyse, Data Ware
housing und Business Prozess Management zu liefern.
Zwischen diesen beiden Ebenen platzieren sich die Netzwerk Management Systeme auf Systemebe
ne, wie die NetSight Atlas Suite, welche unternehmensweite Konfiguration und Troubleshooting von
Enterasys oder kompatiblen Geräten ermöglicht, und dies zu einem Preis im Bereich der Netzwerk
Element Manager. NetSight Atlas erlaubt das Gruppieren von Geräten, um gezielt Teilbereiche zu
überwachen und so die Zeit zu verringern, die zum Konfigurieren und Administrieren von
Netzwerkkomponenten gebraucht wird.
Simple Network Management Protocol
Simple Network Management Protocol (SNMP) ist das Standard Protokoll, welches von Netzwerk
Management Systemen verwendet wird, um mit entfernten Netzwerkkomponenten zu kommunizie
ren. Es wird dazu verwendet, deren Konfiguration und Leistungsinformationen auszulesen. Die erste
Version dieses Protokolls, SNMPv1, wurde 1988 veröffentlicht und lieferte fortgeschrittene Möglich
keiten zum entfernten Netzwerk Management. Es wird heute noch von den meisten der konkurrieren
den Netzwerk Management Systeme auf dem Markt verwendet.
Da SNMPv1 ursprünglich entwickelt wurde, um die Ressourcen der Rechner zu schonen, verwendete
es einen minderwertigen Authentifizierungsmechanismus zur Sicherung der Kommunikation. Dieser
bestand in einem einfachen KlartextPasswort, dem Community String. Daher wurden und werden
vielerorts immer noch IPAdressbasierte Accesslisten als Zugriffsbeschränkung für SNMPv1 verwen
det, was in Anbetracht der Tatsache, dass SNMP auf dem verbindungslosen UDPProtokoll aufbaut,
natürlich auch wieder eine Sicherheitslücke ist. Das liegt daran, dass die Absenderadresse des IP
Pakets nicht stimmen muss, da kein Handshake zum Aufbau einer Verbindung benötigt wird.
Mit SNMPv2 wurden einige neue Methoden für das Protokoll bereitgestellt, es gab auch mehrere
Ansätze um die Sicherheitsproblematik in den Griff zu bekommen, davon hat sich jedoch keiner
wirklich durchgesetzt.
Mit der Weiterentwicklung der Netzwerke wurde die sichere Kommunikation zwischen Management
station und Netzwerkkomponenten immer wichtiger. Die aktuellste Version des Protokolls, SNMPv3,
erhöhte die Sicherheit der Kommunikation durch Authentifizerung, Verschlüsselung und Zugriffskon
trolle. SNMPv3 (RFC 25712575) definiert verschiedene SecurityModelle. Die nutzerbasierte Zugriffs
kontrolle wird durch die Definition von Views (ViewBased Access Control Model (VACM)) ergänzt. Die
Nutzer erhalten dadurch nur Zugriff auf Teilbereiche der MIB.
Lösungsportfolio
Seite 82
SNMPv3 Unterstützung in NetSight Atlas
Enterasys Networks unterstützt SNMPv3 in fast allen Geräten. Selbstverständlich wird es auch von
allen Komponenten der NetSight Atlas Suite unterstützt.
Produktportfolio
Seite 83
Produktportfolio
Dieses Kapitel gibt Ihnen einen Überblick über das breite Produktportfolio von Enterasys Networks.
Dabei sind die Produkte in die anfangs beschriebenen Produktbereiche aufgeteilt:
•
Switching
> Die "Matrix" Switching/Routing Produktlinie
Dazu gehören der Matrix N1, N5, N7, E7, E1, V2, C1, C2 sowie der SmartSwitch 2200.
•
Routing
> Die "XPedition Switch Router"
Mit den kleinen XPedition 2x00, den mittleren XPedition 8x00 und dem großen ER16.
•
WAN
> Die "XPedition Security Router" Linie mit VPN, Firewall und IDS Integration
Die XSR1805 und XSR1850 ZweigstellenGeräte und die "großen" XSR3x00 sowie den
XSR4100.
•
Security
> "User Personalized Networks" und "Dragon Intrusion Defense"
mit der Dragon Intrusion Defense 7.0.
•
Wireless
> Die "RoamAbout" Produktlinie
mit dem R2 und dem AP3000.
•
Network Management
> Die "NetSight Atlas" Netzwerk Management Software.
Jedes Produkt wird zunächst kurz oder bei neueren Produkten auch ausführlicher beschrieben. Es
folgt eine Liste der verfügbaren Komponenten mit Abbildungen und den zugehörigen Produkt
nummern. Im Anschluss folgen die technischen Eigenschaften der Produkte wie unterstützte Funktio
nalitäten, Kapazitäten, Spezifikationen und unterstützte RFC und IEEEStandards.
Produktportfolio
Seite 84
Switching
Die "Matrix" Switching/Routing Produktlinie bietet eine komplette Lösung für den LAN Switching und
Routing Bereich vom Access bis zum Core. Mit einer einheitlichen Konfigurationsoberfläche und
Funktionen gesichert durch das EOS – Enterasys Operating System – sind hochfunktionelle und
homogene Netze unter geringstem Administrationsaufwand möglich. Applikationsbasierte Dienste
(Sicherheit, Quality of Service, etc.) durch Layer 2/3/4 Classification und Unterstützung von User
Personalized Networking zeichnen diese Produktlinie aus. Sowohl standalone, als auch stackable und
Chassisbasierte Systeme sind verfügbar.
Matrix C2
Enterasys Matrix Switches
Mehr dazu unter http://www.enterasys.com/products/switching/.
Produktportfolio
Seite 85
Matrix N Serie
Die Matrix N Serie ist die High End Switch Produktlinie mit Switching, Routing und UPN Funktionen für
alle Anwendungsbereiche im LAN, vom Core bis zum Access. Mit drei Chassisvarianten (3,5,7 Slots)
und einer voll verteilten Architektur, die keinen Single Point of Failure hat und hohe Skalierbarkeit
bietet, sowie mit einer passiven Backplane ist die Matrix N Serie für die nächsten Jahre die erste
Wahl. Die Möglichkeiten gehen heute von 10 Megabit Ethernet bis hin zu 10 Gigabit Ethernet.
Die Module – die so genannten Distributed Forwarding Engines (DFE) – sind in zwei Varianten erhält
lich und passen in alle Chassis:
Die Gold DFEs für den Access Bereich optimiert
Die Platinum DFEs für den High End Access sowie Distribution, Server und Core Bereich
Matrix N Series Einsatzgebiet
Produktportfolio
Seite 86
Architektur der N Serie
Die Platinum DFE Module der Matrix N Serie sind in Bezug auf Architektur und Design völlig anders
aufgebaut als die meisten Produkte am Markt: Hierbei wird auf ein voll verteiltes Switching und Rou
ting Design in Verbindung mit einer passiven PunktzuPunkt Backplane gesetzt, was spezifische
Vorteile bietet.
Switch Architectures
Vorteile der Backplanearchitektur
Auf der technischen Ebene bietet eine passive vollvermaschte Punkt zu Punkt Backplane folgende
Vorteile gegenüber einer traditionellen – teilweise aktiven Punkt zu Punkt Backplane (wie zum
Beispiel Crossbar Architekturen):
•
Kein Single Point of Failure durch die passive Backplane
•
Keine Bandbreitenbegrenzung durch zentrale Engines oder Backplanetaktung
•
Punktuelle Erhöhung der Bandbreite zwischen Slots durch einfaches Hinzufügen neuerer
und schnellerer Module möglich (unterstützt damit mehrere Modulgenerationen ohne zu
sätzliche Hardware Upgrades)
Bezogen auf die aktuelle Matrix N Serie bedeutet dies:
•
Eine potentielle Bandbreitenerhöhung von heute 20 Gbps auf 80 Gbps von Modulslot zu
Modulslot mit neuen DFE Modulen
Produktportfolio
Seite 87
•
Vorhersagbare Performance unabhängig von der Bestückung des Systems
•
Mehr Module = Mehr Performance
•
Einfache Migration zu neuen Geschwindigkeiten und Funktionen durch Hinzufügen neuer
DFE Module
•
Eine volle Redundanz ohne Zusatzmodule
•
Geringe Anzahl von Ersatzteilen
Die Architektur wird erfolgreich bei Enterasys Networks schon seit 1997 in den verschiedensten
Modulgenerationen älterer Systeme (SmartSwitch6000 und nachfolgend Matrix E7) genutzt und hat
sich bewährt. Selbst die aktuellen Platinum DFE Module sind mit diesen Modulen interoperabel in
einem einzigen Chassis OHNE Performanceeinbußen!
Auf der kaufmännischen Ebene bietet die Architektur folgende Vorteile, insbesondere unter dem
Angesicht der Tatsache, dass bei zentralen Architekturen die Zentralkomponenten in redundanter
Ausführung bis zu 30% und mehr der Gesamtsystemkosten bei Vollausbau ausmachen können. Bei
einem Teilausbau (der typisch ist) liegt dieser Betrag noch höher!
Geringere Einstiegskosten (keine teuren, zentralen Engines notwendig) auch bei geringem Ausbau
Keine zusätzlichen Redundanzkosten (15% und mehr Zusatzinvestition)
Keine Zusatzkosten bei der Migration zu neuen Technologien (30% und mehr Zusatzinvestition für
neue, redundante Zentralengines)
Keine Zusatzkosten für die Wartung (und Spare Parts) zentraler Komponenten
Vorteile der verteilten Switching und Routing Architektur
Zu der passiven vollvermaschten Punkt zu Punkt Backplane kommt die Tatsache, dass jedes DFE
Modul volle Switching Routing und auch ManagementIntelligenz besitzt. Die Redundanz der Modu
le untereinander ist vollautomisch und reagiert typischerweise weit unter 1 Sekunde (keine Relevanz
für normalen IP Verkehr) und im Worst Case bis zu 2 Sekunden. Dennoch agiert das Gesamtsystem
als ein einziger Switch bzw. Router und bietet die Vorteile einer zentralen Architektur im Bezug auf
Administration und Mangement. Neue Module werden automatisch konfiguriert.
Produktportfolio
Seite 88
Services Automati cally Distributed
across DFEs at Boot -up
•
•
Automatic Service Fail - Over (Self
Healing)
– All Services in Milliseconds
– Intra - chassis Routing Redundancy
vi a VRRP (RFC 2338) ~1 Sec
Automatic Module Self -Configuration
Hos
H ostt
Ser
vic es
Se rvices
– Inserted “blank ” module gets
confi guration from other modules
•
Routing
Routing
Serrvices
Se
vices
Port
Port
Serv
ic es
Se rvices
Switching
Switc hing
Ser
Serv
vices
ice s
Local Module Upgrades
– Only affects Users on upgraded
module
Multicast
Multic ast
Ser
Services
vices
Optimierte High Availability Services
Auf der technischen Seite bietet dies folgende Vorteile:
•
Optimierter Verkehr – Ausnutzung der Bandbreite durch das System direkt von Modul zu
Modul (Switching und Routing)
•
Keine Begrenzung der Bandbreite durch zentrale Systeme
•
Verbindungsaufbau dezentral, das heißt stabiler bei Netzwerkproblemen wie Würmern, etc.
•
Hohe CPU Performance durch verteilte CPUs pro DFE bieten auch zukünftig Potential für
neue Dienste wie zum Beispiel Multi User Authentication pro Port
•
Automatische Hochverfügbarkeit direkt im System implementiert
•
Einfache Verwaltung wie ein zentral gemanagtes System
•
Vorhersagbare Performance unabhängig von der Bestückung des Systems
•
Mehr Module = Mehr Performance
•
Einfache Migration zu neuen Geschwindigkeiten und Funktionen durch Hinzufügen neuer
DFE Module
Auf der kaufmännischen Seite sind die gleichen Vorteile wie zuvor anwendbar, hinzu kommt die
Tatsache, dass eine Aufrüstung bestimmter zentraler Forwarding Systeme auf eine verteilte Forwar
ding Architektur ebenfalls mit massiven Kosten verbunden sein kann.
Produktportfolio
Seite 89
Unterschied Gold/Platinum DFEs
Die Gold DFEs bieten eine kostengünstige Alternative zu den Platinum DFEs. Dafür gibt es in den Gold
DFEs weniger Features, zum Beispiel wird für diese kein IPv6 verfügbar sein. Außerdem bieten die
Gold DFEs optional eine mit einer Lizenz erwerbbare 11 Redundanz während die Platinum DFEs von
Haus aus eine 1N Redundanz mitbringen.
Wichtig ist, dass Gold und Platinum DFEs wegen der unterschiedlichen Architektur nicht im selben
Chassis mischbar sind.
Die Platinum DFEs können im E7 Chassis verwendet werden und sind nur dort mit alten E7 Boards
mischbar.
Die Gold DFEs können zwar im E7 Chassis verwendet werden, aber dann ist es nicht möglich, gleich
zeitig Boards aus den Generationen eins bis drei zu nutzen.
Backplane
Die N Serie arbeitet ausschließlich mit der FTM2 Backplane. Die Leistung der FTM2 Backplane liegt
im Moment bei 420 Gbps.
Die Module sind untereinander voll vermascht, das heißt insgesamt gibt es 21 Links. Bei einer mo
mentanen Taktung von 20 Gbps erreicht man so die Gesamtkapazität von 420 Gbps.
6
55
4
3
2
1
Slot
1
2
3
4
5
6
7
Vermaschung der Backplane der N Series
Die Slots einer Backplane können untereinander mit verschiedenen Taktraten von 20 bis 80 Gbps
arbeiten.
Die zukünftige Leistung der FTM2 wird bei 21 Links mit einer Taktung von 80 Gbps liegen und damit
1.68 Tbps erreichen.
Produktportfolio
Seite 90
Rückwärstkompatibilität zur FTM1 Backplane im E7
Der E7 hat sowohl eine FTM1 als auch eine FTM2 Backplane. Die FTM1 ist ebenso vermascht wie die
oben beschriebene FTM2 Backplane. Sie wird von den Modulen der ersten, zweiten und dritten Gene
ration benutzt.
FT M 2
FTM
FT M 1
FTM
6H302 -48
FTM 1
6 H302 -48
FTM 1
6 H302 -48
FTM 1
6H302 -48
FTM 1
7H4 382-49
FTM 1 and 2
7H43 82-49
FTM 1 and 2
7G4270 -1 2
FTM 2
Ac tiv e
Unavailable
Di sabled
Proxy Feature im E7
Werden im E7 Module der vierten Generation eingesetzt, so kann man mit einem Proxy Modul der
vierten Generation, das dementsprechend Verbindungen zu beiden Backplanes hat, weiterhin die
alten FTM1 Module verwenden.
Als Proxy Module der vierten Generation können die Module 7H438349, 7H438225 und 7H420272
verwendet werden.
Die Module der ersten und zweiten Generationen können allerdings nur in den ersten fünf Slots be
trieben werden, da sie ursprünglich für das E6 (5 Slot) Chassis entworfen wurden. Daher gab es
schon immer ein ProxyModul, das zwischen den Modulen erster/zweiter Generation in den ersten
fünf Slots und den Modulen dritter Generation im sechsten und siebten Slot vermittelt hat. Diese
Aufgabe können selbstverständlich auch die Proxy Module der vierten Generation übernehmen.
Produktportfolio
Seite 91
Komponenten im Überblick
Chassis
N3
N5
N7
7C103
N3 Chassis
7C105P
N5 Chassis
7C107
N7 Chassis
Optionen
NEOSL3
Enterasys Operating System Advanced Routing Package for Matrix N Series
Switches
7C2031
863W AC power supply for Matrix N3 (requires one 15 AMP power outlet)
7C403
Fan unit for Matrix N3
6C2073
1600W AC input power supply module for Matrix E7 and Matrix N7, requries two
15 AMP power outlets per supply
6C407
Spare fan tray module for Matrix E7 and Matrix N7
NPOE
Matrix POE Power System (for 802.3af support w. Matrix N3/N7)
NPOE1200W
Matrix POE 1200 Watt AC Power Supply (for 802.3af support)
Produktportfolio
Seite 92
Module
4h428249
4h428241
4H420372
4H438249
4H428449
4H430272
4H438349
7G6MGBIC
Produktportfolio
Seite 93
Gold DFEs
NEOSRED
Enterasys Operating System (EOS) 1+1 High Availability upgrade for Matrix N
Series Gold DFE switches
4H428249
Distributed Forwarding Engine (Gold) with 48 10/100BaseTX connectors
with 1 expansion module slot
4H420272
Distributed Forwarding Engine (Gold) with 72 10/100BaseTX ports via RJ45
connectors
4H428349
connectors with 1 expansion module slot
4H420372
connectors
4G428241
Distributed Forwarding Engine (Gold) with 40 10/100/1000BaseTX ports via
RJ45 connectors with 1 expansion module slot
4G420260
Distributed Forwarding Engine (Gold) with 60 10/100/1000BaseTX ports via
RJ45 connectors
4H428249
Distributed Forwarding Engine (Gold) with 48 100BaseFX ports via MTRJ
connectors with 1 expansion
7G6MGBIC
Network Expansion Module (NEM) with 6 1000BaseX ports via MiniGBIC
connectors
Produktportfolio
Seite 94
Platinum DFEs
7H438225
Distributed Forwarding Engine (Platinum) with 24 10/100BaseTX ports via
RJ45 connectors with 1 expansion module slot, concurrent use of expansion
module and FTM1 bridge
7H438249
7H420272
RJ45 connectors
7H438349
7H420372
RJ21 connectors
7G428241
Distributed Forwarding Engine (Platinum) with 40 10/100/1000BaseTX ports
via RJ45 connectors with 1 expansion module slot
7G420260
via RJ45 connectors
7H428449
Distributed Forwarding Engine (Platinum) with 48 100BaseFX ports via
MTRJ connectors with 1 expansion module slot
7G427012
Distributed Forwarding Engine (Platinum) with 12 1000BaseX MiniGBIC
slots
7G420230
via RJ45 connectors
7K429002
Distributed Forwarding Engine (Platinum) with 2 10GE 10GBase optic slots
7G6MGBICA
Network Expansion Module (NEM) with 6 1000BaseX ports via MiniGBIC
connectors
Technische Eigenschaften
Unterstützte Funktionalität
Gold DFEs
DVMRP
MAC locking
SNTP
Node/Alias table
Produktportfolio
Seite 95
Webbased configuration
Policybased Routing
Multiple local user account management
SSH v2
Denial of Service Detection
OSPF NSSA
Passive OSPF support
Audit trail logging
802.1X – Authentication
RADIUS Client
802.1D – 1998
FTP/TFTP Client
802.1Q – Virtual Bridged Local Area Network
ing
TELNET – Inbound/Outbound
GARP VLAN Registration Protocol (GVRP)
Configuration File Upload/Download
802.1p – Traffic Class Expediting
Textbased Configuration Files
802.1w – Rapid Reconfiguration of Spanning
Tree
Syslog
802.1t – Path Cost Amendment to 802.1D
RAD (Remote Address Discovery)
802.3 – 2002
Cabletron Discovery Protocol
802.3ad – Link Aggregation
Entity MIB
802.3x – Flow Control
IP Routing
Broadcast Suppression
Static Routes
Inbound and Outbound Rate Limiting
RIP v1/v2
Strict and Weighted Round Robin Queuing
OSPF
IGMP v1/v2 and Querier support
OSPF ECMP
SMON Port and VLAN Redirect
Virtual Router Redundancy Protocol (VRRP)
FTM1 Proxy Bridge
ICMP
Layer 2 through 4 VLAN Classification
Proxy ARP
Layer 2 through 4 Priority Classification
Basic Access Control Lists
Dynamic VLAN/Port Egress Configuration
Extended ACLs
RMON – Statistic, History, Alarms, Host,
HostTopN, Matrix and Events
DHCP Relay
SMON – VLAN and Priority Statistics
Jumbo Frame support
Produktportfolio
Seite 96
Distributed Chassis Management (Single IP)
Directed Broadcast
SNMP v1/v2c/v3
7G6MGBIC support
CLI Management
Cisco CDP v1/2
Platinum DFEs unterstützen zusätzlich noch
SMON Port and VLAN Redirect
FTM1 Proxy Bridge
Kapazitäten des Routers
Platinum DFEs
ARP Entries (per chassis)
32,768
Static ARP Entries
1,024
Route Table Entries
12,256
OSPF Link State Advertisement Types
6 areas
1 – Router Links
512
2 – Networks Links
512
3 – Summary Networks
3,000
4 – Summary ASBRs
3,000
5 – AS External Links
4,000
7 – NSSA External Links
4,000
9 – Opaque Subnetonly
64
10 – Opaque Area
512
11 – Opaque AS
64
OSPF Neighbors
60
Static Routes
1,000
RIP Routes
3,000
Configured RIP Nets
300
VRRP Interfaces
376
Produktportfolio
Seite 97
Routed Interfaces
256
Access Rules
5,000
IP Helper addresses (per chassis/ per interface)
5120 / 20
Produktportfolio
Seite 98
Gold DFEs
ARP Entries (per chassis)
4,000
Static ARP Entries
512
Route Table Entries
10,000
OSPF Link State Advertisement Types
4 areas
1 – Router Links
100
2 – Networks Links
400
3 – Summary Networks
2,000
4 – Summary ASBRs
2,000
5 – AS External Links
3,000
7 – NSSA External Links
3,000
9 – Opaque Subnetonly
64
Static Routes
512
RIP Routes
1,000
Configured RIP Nets
300
VRRP Interfaces
128
Routed Interfaces
96
Access Rules
1,000
Access Rules per ACL
999
IP Helper addresses (per chassis/ per interface)
768 / 8
Spezifikationen
Matrix N3
•
Abmaße 35.56 cm (14") H x 49.53 cm (19.5") W x 44.45 cm (17.5") D
•
Gewicht 19.1 kg (42 lbs)
Matrix N5
•
Abmaße 58,67 cm (23,1") H x 44.45 cm (17.5") W x 47.50 cm (18.7") D
Produktportfolio
•
Seite 99
Matrix N7
•
Abmaße 77.47 cm (30.5") H x 36.83 cm (14.5") W x 44.04 cm (17.34") D
•
Matrix N3, N5, N7
•
Betriebstemp. 5° C to 40° C (41° F to 104° F)
•
Temperaturgrenzwerte 30° C to 73° C (22° F to 164° F)
•
Zulässige Feuchtigkeit 5% to 90% RH, noncondensing
Stromversorgung: 100 bis 125 VAC Max oder 200 to 250 VAC, 50 to 60 Hz
Mehr Informationen unter
http://www.enterasys.com/products/switching/7C10x/.
Produktportfolio
Seite 100
Matrix E7
Der Matrix E7 wird durch die 4. Generationsmodule ein modularer L3/L4Switch, der speziell für den
WorkgroupBereich mit hoher Portdichte oder auch als zentraler Backboneswitch in Enterprise Netz
werken gedacht ist. Durch seine serienmäßigen L3/L4 Services mit IP Routing ist er die ideale Platt
form für jegliche eBusiness Anforderung.
Er ist auf Basis des SmartSwitch 6000 (heute Matrix E6) entwickelt worden und bietet Platz für 7
Interfacemodule und 2 redundante Power Supplies.
Jedes dieser Interfacemodule ist ein eigenständiger Switch bzw. Router mit einer eigenen Switching
Engine und kann somit das Management, Routing und Switchingtabellen des gesamten Chassis
übernehmen. Auf einem MasterModul werden diese zentralen Informationen gehalten und automa
tisch auf weitere Module der 4. Generation verteilt. Sollte dieses MasterModul ausfallen, springt
automatisch ein anderes Modul als Master ein. Diese bereits bekannte verteilte Architektur hat den
Vorteil einer skalierbareren Bandbreite und einem Höchstmaß an Ausfallsicherheit, da im Chassis kein
Single Point of Failure vorhanden ist. Alle Interfacemodule werden über eine passive Backplane des
Chassis verbunden.
Der Matrix E7 besitzt eine zweite Backplane (FTM2) mit Namen nTERA, welche ab der 4. Generation
eingesetzt wird.
Enterasys Networks legt großen Wert auf Investitionsschutz und bietet durch das ProxyModul
7H438249 mit 48 Port 10/100 plus 6 Port Gigabit Ethernet für die Anbindung an die FTM1 die Mög
lichkeit, ältere Generationsmodule mit der neuen 4. Generation zu verbinden.
Wird dieses Modul nicht als ProxyModul verwendet, so können die 6 Port Gigabit Ethernet als her
kömmliche FrontPanel Gigabit EthernetPorts verwendet werden!
Der Matrix E7 kann mit 3. Generationsmodulen eine Portdichte bis zu 336 Ports für geswitchtes Fast
Ethernet und bis zu 42 Ports für Gigabit Ethernet zur Verfügung stellen. Durch den Einsatz von Inter
facemodulen, mit der (V)HSIM Modularität, können verschiedene Backbonetechnologien wie FDDI,
WAN, Gigabit Ethernet und ATM (OC12) an das Chassis angebunden werden. Dies ermöglicht im
LANBereich für die immer mehr verschwindenden Technologien wie FDDI und ATM eine kostengüns
tige Migration.
Mit der 4. Generation erreicht der Matrix E7 eine Portdichte von über 500 Fast Ethernet Ports, über
400 10/100/1000BaseTX Ports und über 80 Gigabit Ethernet Ports auf LichtwellenleiterBasis.
Durch seine hohe Funktionalität, gerade im Bereich Priorisierung, ist der Matrix E7 die ideale Platt
form, um mit ihm Sprach/DatenNetzwerke aufbauen zu können.
Der Switch kann derzeit mit Boards der 3. Generation eine PaketSwitchingPerformance von
24.5 Mpps, bei einer Bandbreite von 44 Gbps, bieten. Durch das Design der nTERABackplane können
zukünftig mit der 4. Generation eine Bandbreite von 420 Gbps, bei einem Datendurchsatz von mehr
als 90 Mpps, zur Verfügung gestellt werden.
Die Module für Matrix E7 unterstützen den Standard IEEE 802.1x, Port Based Network Access Control.
In diesem Standard wird eine Authentisierung des Users vorgenommen und bis zur vollständigen
Produktportfolio
Seite 101
Überprüfung, ob ein User berechtigt ist sich in das LAN einloggen zu dürfen, wird eine zusätzliche
Sicherheit zur Verfügung gestellt. In Kombination mit unserem Netzwerkmanangement Tool NetSight
Atlas Policy Manager lassen sich dann auch für jeden User bzw. für bestimmte Gruppen von Usern
Profile erzwingen.
Durch seine umfangreiche Funktionalität und seine hohe Portdichte findet der Matrix E7 seinen Ein
satz sowohl im Backbone größerer Firmennetze als auch im High Performance Wiring Closet Bereich,
als Server Farm Switch im Web Hosting Bereich oder als zentraler Branch Office Switch.
Chassis
6C107
6C107
7 slot Matrix E7 Chassis, requires two 15 AMP power outlets per supply
802.1X Port Based Network Access Control with RADIUS
MAC Locking and MAC Authentication
Port Web Authentication
Per VLAN SpanningTree (PVST)
IEEE 802.1w Rapid Reconfiguration of SpanningTree
SMON
Produktportfolio
Seite 102
3rd Generation Module Proxy Function for Matrix E7 modules
MultiLayer Frame Classification
IGMP v1/v2 Support
IEEE 802.1D/Q bridging
Support
for
HSIMA6DP*
HSIMF6
HSIMFE6
HSIMG09*
HSIMG01*
HSIMW84
the
following
HSIMs:
HSIMW6
HSIMW85
HSIMSSA710*
HSIMW87
HSIMSSR600*
Support for the following VHSIMs:
VHSIMG6
VHSIMG02
VHSIMA6DP*
VHSIM2A6DP
Port Mirroring
RMON (9 groups)
RMON (9 groups)
IEEE 802.3ad Link aggregation
Web Management (WebView)
Rate Limiting
Produktportfolio
Seite 103
Kapazitäten
Portdichte
336x10/100BaseTX
42x1000BaseTX
Backplanekapazität
420 Gbps vollvermascht
Anzahl der Slots
7 Slots für Interfacemodule
Spezifikationen
Abmaße H/B/T: 77.47 cm (30.5") x 44.04 cm (17.34") x 36.83 cm (14.5")
Gewicht des leeren Chassis mit Ventilator: 23.6 kg (52 lbs)
Gewicht einer Power Supply: 9.1 kg (20 lbs)
Durchschnittsgewicht eines Modules: 2.0 kg (4.5 lbs)
Höheneinheiten: 18 U
Betriebstemp.: 5° bis +40° C (41° bis +104° F)
Temperaturgrenzwerte: 0° bis +70° C (32° bis +158° F)
Zulässige Feuchtigkeit: 5 bis 90% noncondensing
AC Input Power: 100 V bis 125 V, 16 A; 200 V bis 250 V, 8 A (autosensing)
Output Power: 1200 Watt
http://www.enterasys.com/products/switching/6C107/.
Produktportfolio
Seite 104
Matrix E1 Serie
Die Matrix E1 Serie bietet ähnliche Routing, Switching und UPN Features wie die Matrix N Serie,
jedoch in einem so genannten fixedmodular Formfaktor. Die Systeme sind standalone, jedoch mit bis
zu 3 Optionsslots ausgestattet, die mit verschiedenen Interfaces von 10/100BaseTX über 100Base
FX hin zu 1000BaseX bestückt werden können. Die Haupteinsatzgebiete sind hier im Access Switch
Bereich (mit bis zu 80 Ports 10/100 und 2 Gigabit Uplinks) oder im Distribution Router Bereich (mit bis
zu 12 Gigabit Ports) zu sehen.
Folgende Varianten sind verfügbar:
•
48 Port 10/100 mit 3 Option Slots (E1WS)
•
•
24 Port 10/100 mit 1 Option Slot (E1WS24)
6 Port 10/100/1000 mit 3 Option Slots (E1GWS)
•
6 Port mGBIC mit 3 Option Slots (E1GDS)
•
12 Port 1000BaseX mit einem 10 Gigabit Option Slot (E1OAS)
Option slots
•
16 10/100 (RJ45) Ports
•
8 100FX MMF Ports
•
2 10/100/1000 (RJ45) Ports
•
2 GBIC Ports
•
2 mGBIC Ports
Chassis
1G58209
1G58709
1G69413
1H58225
1H58251
Produktportfolio
Seite 105
1G58209
6 port 10/100/1000BaseTX Layer3 switch with 3 option slots
1G58709
Gigabit distribution switch with 6 MGBIC ports and 3 option slots
1G69413
L2 standalone 8 fixed 1000BaseSX via MTRJ, 4 MGBICs, 1 uplink for 10 Gb/s
mod
1H58251
48 port 10/100BaseTX standalone Layer3 switch with 3 option slots
1H58225
Workgroup switch with 24 10/100BaseTX ports via RJ45 and 1 expansion slot
Module
1G2MGBIC
1G2GBIC
1G2TX
1H8FX
1H16TX
1G2GBIC
2 port GBIC uplink (GPIMs sold separately)
1G2MGBIC
2 port MGBIC uplink
1G2TX
2 port 1000BaseTX uplink
1H8FX
8 port 100BaseFX expansion module for Matrix E1, MMF MTRJ connector
1H16TX
16 port 10/100BaseTX uplink
Produktportfolio
Seite 106
Workgroup and Gigabit Workgroup Switches – 1G58209, 1G58709, 1H582
51, 1H58225
802.3ad – Link Aggregation
PWA+ Web based user authentication
802.1s Multiple SpanningTree protocol
RADIUS Accounting
Secure Span
Jumbo Frame (switch only)
Multiple local user account management
ACL editor functionality
Denial of Service prevention
SNTP
Outbound Traceroute
Audit trail logging
Autoconfiguration
DNS Client
DVMRP Multicast Routing
IGMP VLAN registration
Textbased Configuration Upload/Download
Telnet Client
Syslog
MACbased Authentication
802.1w Rapid SpanningTree
Qtag override command
Node/Alias table
SSHv2 (Server/Client)
IP Routing
802.1X Authentication
RIP v1/2
OSPF
VRRP
RADIUS Client
DHCP Relay
MAC Port Locking
RAD (Remote Address Discovery)
ICMP Route Discovery
Extended ACLs
TOS Rewrite
802.1p – Traffic Management
Priority Classification L2L4
802.1Q – VLAN tagging and identification
4 Transmit Queues per port
802.1D
802.3x Flow Control
802.1t
GVRP
CLI Management
Port Mirroring
Produktportfolio
Seite 107
Telnet Support
Port Trunking
IGMP v1\v2 Snooping
RMON (4 groups)
Runtime Download
GPIM support: GPIM01,
GPIM08, GPIM09
Auto Negotiation
MGBIC support: MGBICLC01, MGBIC
MT01,
MGBICLC09,
MGBIC08,
MGBIC02
VLAN Classification
Inbound Rate Limiting
WebView
Directed Broadcast
GPIM02,
SNMPv1, SNMPv2c, SNMPv3
Kapazitäten
1G58209
1G58709
1H58251
1H58225
Portdichte
6 10/100/1000
BaseTX
6 MGBIC
48
10/100
BaseTX
24
10/100
BaseTX
Optionslots
3
3
3
1
Switching
Kapazität
24 Gbps
24 Gbps
24 Gbps
10 Gbps
Spezifikationen
Workgroup and Gigabit Workgroup Switches – 1G58209, 1G58709, 1H582
51, 1H58225
•
•
Höheneinheiten 2
•
Gewicht: 8.75 kg (19.23 lbs)
•
Betriebstemp. 5° bis +40° C (41° F to 104° F)
•
•
Zulässige Feuchtigkeit 5 bis 90% noncondensing
•
AC Input Power: 85 VAC bis 264 VAC (autosensing)
Produktportfolio
Seite 108
Matrix C Serie
Die Matrix C1 und C2 Serie sind kostengünstige Switches mit Basis Funktionen für Routing und Secu
re Networks, die im Access Bereich (in der 10/100 Ethernet Variante) sowie im Server Bereich (in der
10/100/1000 Ethernet Variante) zum Einsatz kommen.
Zu erhalten in folgenden Versionen:
48 Port 10/100 mit 2 x 10/100/100 und 2 mGBIC Ports
24 Port 10/100/1000 und 4 mGBIC Ports
C1 Chassis
C1G12424
C1H12448
C1G12424
24 port 10/100/1000BaseTX via RJ45 connector with 4 MGBIC uplink slots
C1H12448
48 port 10/100BaseTX via RJ45 connector with 2 10/100/1000BaseTX via
RJ45 plus 2 MGBIC uplink slots
Optionen
CSERRPSPSM
CSER RPS Single PSM
CSERRPSSYS
CSER RPS Shelf including 1 CSERRPSPSM
802.1P Traffic Management/ Dynamic Multicast Filtering
802.1x Authentication
SSHv2 Secure Telnet support
Auto Negotiation
Runtime Download
SNMP v1/v2c/v3
Produktportfolio
Seite 109
Configuration Upload\Download
802.3ad Link Aggregation
TOS Rewrite
802.3x Flow Control
Port Mirroring (many to 1)
CLI Management (via local console and telnet)
IP routing
Webbased management
Static routes
IGMP V1\V2 Snooping
RIP v1 and v2
Outbound Rate Limiting
Enterasys EDP
RMON Groups 1,2,3 and 4
Kapazitäten
Arp Entries
256
Static Arp Entries
128
Route Table Entries
1000
Static Routes
512
RIP Routes
512
Routed Interfaces
48, 8 subnets
IP Helper Addresses
960 per device
Spezifikationen
•
Abmaße H/B/T: 4.39 cm (1.73") H x 44.45 cm (17.5") W x 44.0 cm (17.3") D
•
Gewicht: 5.5 kg (12.1 lb)
•
•
•
zulässige Feuchtigkeit 5% to 90%, noncondensing
•
Stromversorgung: 100 – 120; 200 – 240 VAC, 50/60 Hz
Mehr dazu unter http://www.enterasys.com/products/switching/c1/.
Produktportfolio
Seite 110
Matrix C2
Die Matrix C2 stackbaren Switches sind die konsequente Weiterentwicklung der C1 Switches und
bieten Funktionalitäten die bisher nur in größeren Core Switches verfügbar waren.
Eine highspeed, voll redundante Stackverbindung mit 640 Gbps bietet skalierbare Backplane Leis
tung und sorgt dafür, dass das Gesamtsystem wie ein einziger Switch managebar ist. Bei Ausfall des
Management Masters oder einer Stackverbindung wird automatisch ein Failover eingeleitet und der
Betrieb des gesamten Stacks sichergestellt.
Die Portdichten erreichen bis zu 384 10/100 Ports mit max. 32 Gigabit Uplinks oder bis zu 336
10/100/1000 Ports.
Die Sicherheitsfunktionen und die Secure Networks Unterstützung sind so hoch wie bei der Matrix E1
Serie.
C2G12424
24 port 10/100/1000 ports via RJ45 connector and 4 MGBIC ports
C2G12448
48 port 10/100/1000 ports via RJ45 connector and 4 MGBIC ports
C2G12448P
48 port 10/100/1000 Power over Ethernet ports via RJ45 connector and
4 MGBIC ports
C2K12224
24 port 10/100/1000 ports via RJ45 connector and 10Gbit XFP ports
C2H12448
48 port 10/100 ports via RJ45 connector and 4 MGBIC ports
C2H12448P
48 port 10/100 Power over Ethernet ports via RJ45 connector and 4 MGBIC
ports
Optionen
C2L3-LIC
Matrix C2 Enhanced Lay er 3 Routing License (OSPF, PIM,
DVMRP, VRRP)
C2CAB-SHORT
Matrix C2 stacking cable f or connecting adjacent switches
(30 cm)
C2CAB-LONG
Matrix C2 stacking cable f or connecting the top switch to
the bottom switch (1m)
C2RPS-SYS
Matrix C2 RPS Chassis plus one C2RPS-PSM (chassis
supports up to 8 C2RPS-PSMs)
Produktportfolio
Seite 111
supports up to 8 C2RPS-PSMs)
C2RPS-CHAS8
Matrix C2 RPS Chassis supporting up to 8 C2RPS-PSMs
C2RPS-PSM
Matrix C2 150 watt Redundant Non-PoE Power Supply with
one DC cable
Address Table Size
16,000
Throughput Capacity
148,810
1,488,100
pps
pps
per
Fast
Ethernet
per Gigabit
Ethernet
port
port
14,881,000 pps per 10-Gigabit port
VLANs
4,096
VLAN
1,024 VLAN entries per stack
Priority Queues
8 per port
IDs
802.1P Traffic Management/ Dynamic Multicast Filtering
802.1x, Web, MAC Authentica
tion
SSHv2 Secure Telnet support
Auto Negotiation
Runtime Download
SNMP v1/v2c/v3
Configuration Upload\Download
TOS Rewrite
802.3x Flow Control
Port Mirroring (many to 1)
CLI Management (via local console and telnet)
Enterasys EDP
Webbased management
RMON Groups 1,2,3 and 4
IGMP V1\V2 Snooping
RIP v 1 and v 2
StaticRoutes
Power-ov er-Ethernet
IEEE 802.3af compliant
Total PoE power of 375 W
Produktportfolio
Seite 112
ICMP
OSPF2
ARP & ARP Redirect
PIM-SM/DM
DVMRP
VRRP
DHCP/BOOTP Relay
Total PoE power of 375 W
Av erage of 7.5 watts per
port (Class 2)
Maximum of 15.4 watts per
port
Per-port enable/disable
Per-port priority saf ety
Per-port ov erload and short
circuit protection
Sy stem power monitor
Outbound Rate Limiting
Spezifikationen
•
•
Gewicht: 5.05 kg bis 6.94 kg (11.12 lbs to 14.32 lbs)
•
•
•
zulässige Feuchtigkeit 5% to 90%, noncondensing
•
Stromversorgung: 100 – 120; 200 – 240 VAC, 50/60 Hz
Mehr dazu unter http://www.enterasys.com/products/switching/c2/.
Produktportfolio
Seite 113
Matrix V2 Serie
Die Matrix V2 Serie bietet eine kostengünstige, stackable Lösung mit dem Fokus auf effiziente 10/100
Ethernet Konnektivität – mit allen Sicherheitsfunktionen und Quality of Service für heutige Netzwerk
anforderungen. Ergänzt mit Lösungen für Power over LAN, bietet die Matrix V2 Serie ein unschlagba
res Preis/Leistungsverhältnis für kleine und große Unternehmensnetze. Bis zu 192 Ports sind hier
stackbar.
Chassis
V2H12424
V2H124-24
Base sy stem, 24-port managed switch with no uplinks
V2H124-24T
Base sy stem with 24 10/100 ports and two V2G121-1
V2G121-1
1-port RJ45 1000Base-T uplink
V2G112-2
Matrix V2 Uplink Module with 1 10/100/1000Base-TX "Combo" port
v ia RJ-45 or mini-GBIC
V2H151-1M
1-port 100-FX MMF
V2H151-1S
1-port 100-FX SMF
V2STACK
Stacking module with USB connectors
VSER-RPUSYS
Matrix V2 redundant non-PoE power supply (f or up to f our switches)
with f our DC cables
Produktportfolio
Seite 114
Optionen
V2G1211
V2G1122
V2STACK
Stacking Module
V2G1122
2 port Gigabit Combo viaRJ45 1000BaseTX MGBIC
V2G1211
1000BaseTX uplink via RJ45 connector
V2H1511M
100BaseFX MMF uplink via SC connector
V2H1511S
100BaseFX SMF uplink via SC connector
MGBICSTACK
Matrix V2 Stacking module via mGBIC´s
General Features
Stacking capabilities – stackable up to eight
units high in a daisychain configuration with
the bottom unit typically considered the
primary or master unit
24 10/100BASET/TX, and 2 expansion slots
Half and full duplex mode 10/100M bps
speed for all ports; Full duplex mode on port
25 and 26 when operating in Gigabit speed
Auto MDI/MDIX on all 10/100BaseTX ports
Supports up to 8K MAC address entries.
8MB flash ROM memory
Produktportfolio
Seite 115
32MB for packet buffer size
Provides flow control mechanism: backpres
sure for half duplex; IEEE 802.3x for full
duplex operation
Provides storeandforward scheme
Provides HOL (Head of Line) blocking pre
vention
Provides Redundant Power Supply (RPS)
Connector for uninterrupted operation
Provides Link Aggregation
2/3/4 ports per trunk
Up to 6 trunk groups
Supports 802.3ad (LACP)
Supports Cisco Etherchannel (static truck)
Support Load Balance for both Unicast and
Multicast traffics
VLAN Support
IEEE 802.1Q tagging VLAN
Up to 255 VLANs
GVRP (Generic VLAN Registration Protocol)
L2/L3/L4Traffic Classification/Priority Management
Supports CoS by IEEE 802.1p; 4 priority
queues control
Rate Limiting (Bandwidth Management, 1M
per level for 10/100M, 8M per level for
Gigabit)
Traffic Classification/Priority Management
based on IP Precedence/TOS
Traffic Classification by DSCP
Traffic Classification/Priority Management
based on TCP port number
Weighted Round Robin (WRR) for priority
queues
IGMP (v1/v2c) Snooping and Query function
Broadcast Storm control
SpanningTree protocol
Supports IEEE 802.1D SpanningTree proto
col
Supports IEEE 802.1w Rapid SpanningTree
Support Proprietary per port based Fast
Forwarding mode
Produktportfolio
Seite 116
Management Features
1 Male DB9 RS232C console interface
configured as DTE for operation, diagnostics,
status, and configuration information
Command Line Interface from the console
port using a VT100 terminal
SNMP v1/v2 management functions
RMON (group 1, 2, 3 and 9)
Webbased management
TELNET console interface
BOOTP and DHCP client for IP address as
signment
Supports Firmware image upgrade via TFTP
protocol and XModem
Supports dual Firmware images
Supports Configuration file upload/download
by TFTP protocol
Supports two or more Configuration files
Security Features
RADIUS
TACACS+
SSL
SSH
Access Control Lists (ACLs)
Web Management Encryption
SNTP
IEEE 802.1x Port Security
Kapazitäten
FdbEntries
8000
VLANs
255
Spezifikationen
•
Abmaße H/B/T: 44 cm (17.37") x 32.4 cm (12.76") x 4.3 cm (1.7")
•
Gewicht: 4.22 kg (9.3 lbs)
•
•
•
zulässige Feuchtigkeit 10% to 90% (Noncondensing)
•
Stromversorgung:
o
Nominal Input Voltages: 100V 240V
o
Input Voltage Range: 12V
Produktportfolio
Seite 117
o
Input Frequency: 47Hz to 63Hz
o
Maximum i/p Current: 5A rms max.
o
Leistungsaufnahme: 24W
Mehr dazu unter http://www.enterasys.com/products/switching/V2H12424/.
Produktportfolio
Seite 118
GBIC, mGBIC and XENPAK`s Optionen zu allen Switches
Hier sind einige der bei Enterasys verfügbaren GBICs, mGIBCs und 10 Gigabit Ethernet Module be
schrieben.
GPIM09
GPIM01
GBIC
GPIM01
Gigabit Ethernet port interface module (GPIM), 1000BaseSX
GPIM02
Gigabit Ethernet port interface module (GPIM), 1000BaseTX via RJ45 connector
GPIM08
Gigabit
Ethernet
Long Haul (70km)
GPIM09
Gigabit Ethernet port interface module (GPIM), 1000BaseLX
port
interface
MGBICLC01
module
MGBICMT01
mGBIC
MGBICLC01
1000BaseSX Mini GBIC with LC connector
MGBICLC03
Singleport 1000BaseSX (2 km long haul= module via LC connector
MGBICLC08
Singleport 1000BaseLX/LH (70 km) SMF with LC connector
(GPIM),
Produktportfolio
Seite 119
MGBICLC09
1000BaseLX Mini GBIC with LC connector
MGBICMT01
1000BaseSX Mini GBIC with MTRJ connector
MGBIC02
Singleport 10/100/1000BaseTX module via RJ45 connector
10GBASESR
XENPAK
ZPIM106
10 Gigabit interface uplink for 1G69413, accepts one 10GBASE optic
10GBASELR
10 Gigabit interface for 1310 nm serial optic, SMF (210km) via SC
connector
10GBASESR
10 Gigabit interface for 850 nm, 62.5 & 50 micron, MMF (33 m and
66 m) via SC connector
10GBASEER
10 Gigabit interface for 1550 nm, 9 micron SMF (40 km) via SC connec
tor
10GBASELX4
10 Gigabit interface for 1310 nm, 62.5 & 50 micron, MMF (300 m and
240 m) or SMF (10 km) via SC connector
XFP
10GBASE-SRXFP
10GBASE-SR-XFP XFP with 10-Gigabit Ethernet Short
Reach (300m ov er MMF) v ia LC connector
Produktportfolio
Seite 120
10GBASE-LRXFP
XFP with 10-Gigabit Ethernet Long Reach (10KM ov er SMF)
v ia LC connector
10GBASE-ERXFP
XFP with 10-Gigabit Ethernet Extended Reach (40KM ov er
SMF) v ia LC connector
Anforderungen an ein Core Produkt
Seite 121
Routing
Anforderungen an ein Core Produkt
Die zuvor erwähnte Tatsache, dass sich durch Konvergenzstrategien mehr und mehr Applikationen
mit unterschiedlichsten Anforderungen an Quality of Service (Bandbreite und Verfügbarkeit) und
Sicherheit auf dem Netz wiederfinden, stellt besondere Anforderungen an ein Core Produkt.
Neben optimalem Investitionsschutz sind dies insbesondere:
Kapazität und Performance
Das Wachstum der Netze wir sehr stark durch konvergente Infrastrukturen getrieben. Ein Core Pro
dukt muss hier entsprechende Switching und Routing Kapazitäten haben, um diesem Wachstum auch
gerecht zu werden. Der Durchsatz muss unabhängig vom Verkehrsprofil sein.
Verfügbarkeit
Heutige Netze können sich gar keine Ausfälle mehr leisten. Auch nicht zu Wartungszwecken oder aber
auch bei DDOS, BruteForce und kaskadierten Angriffen. Ein heutiges Core Produkt muss unter allen
Umständen verfügbar sein.
Quality of Service
Durch die Konvergenz von Applikationen und Endsystemen muss ein Core Produkt sowohl eine opti
male Aggregierung der Verkehrsflüsse ermöglichen aber auch sicherstellen, dass Bandbreite für die
jeweiligen Verkehrsflüsse durch das Gesamtsystem garantiert werden kann. Eine entsprechende
Produktarchitektur ist notwendig.
Sicherheit
Seite 122
Wie schon erwähnt muss sich ein Core Produkt nahtlos in ein Security Konzept einbinden und ent
sprechende Analysemöglichkeiten bieten. Der Core steht unter besonderer Last bei Distributed Denial
of Service Angriffen u d nnur im Core sind solche Angriffe erkennbar bzw. auch abwehrbar.
Die Matrix XSerie
Seite 123
Die Matrix XSerie
Um den genannten Anforderungen gerecht zu werden, wurde die Matrix XSerie in einer Weise de
signed, die u.a. auch Anforderungen aus dem Service Provider Umfeld umsetzen.
X16
X8
X4
640Gb I/O Thruput
2.56Tb Switching
capacity
320Gb I/O Thruput
1.28Tb Switching
capacity
160Gb I/O Thruput
640Gb Switching
capacity
Architektur
Die Architektur ist eine Virtual Output Queue Architektur, die für die bis zu 8000 Queues pro System
eine garantierte Übertragung durch das System hindurch unter allen Umständen garantiert. Packete
werden auf dem Ingress I/O Modul zwischengespeichert und erst dann über die Crossbar übertragen,
wenn der entsprechende OutputPort auch frei ist.
Die Matrix XSerie
Seite 124
Die einzelnen I/O Module arbeiten in einer voll verteilten Forwarding Umgebung und sind über eine
Crossbar Backplane miteinander verbunden.
Virtual Output Queue Architecture
Fabric Node 1
MAC
PHY
2 Fabric
Nodes per IO
Module
Packet
processing
Control
VoQ
Control
Module
20
TE
Redundant Control
Modules
Switching
Crossbar
Fabric Node n
Switching
Redundant
I/O
MAC
PHY
Packet
processing
VoQ
TE
Scheduler
Auf den I/O Modulen werden jeweils 2 10 Gbit/s FD NPU (Network Processor Units) verwendet, die das
PaketForwarding über einen Longest Prefix Match (LPM) Verfahren realisieren. Dieses Verfahren hat
den Vorteil gegenüber Flowbasierten Ansätzen, dass keine Pakete an zentrale Control Module gesen
det werden müssen, die dann wiederum einen Pfad/Flow programmieren. Dies führt nämlich bei
DDOS Angriffen zu einer erheblichen Last auf den Control Modulen Flowbasierter Systeme.
Classification Lookup / Policing /
F
di
I/O
MAC
PHY
Layer
10G
Packet
processing
10G
SPI4.2
10G
SPI4.2
10G
Packet
processing
Packet Buffering
VOQs
Fabric A
Traffic
Engineering
Fabric B
•
•
Packet Editing,
Multicast Replication
•
I/O
MAC
PHY
Layer
10G
SPI4.2
10G
Packet
processing
10G
Packet
processing
VOQs
10G
SPI4.2
Traffic
Engineering
Fabric A
Fabric B
Fabric Inter
face
1:1 Redun
dancy
2X
Over
speed
Die Matrix XSerie
Seite 125
Die NPU Architektur bietet auch den Vorteil, durch einfache Software Upgrades Funktionen wie Ipv6
und MPLS einzubinden.
An den Ports der I/O Module können dann Queueing Verfahren wie Strict und Weighted Fair für die 8
Queues pro Port gemischt und mit Rate Limiting/Shaping Funktionen kombiniert werden. Buffermana
gement wie RED ist selbstverständlich.
Es findet weiterhin eine volle Trennung von Control und Data Plane statt. Die I/O Module haben neben
der Verbindung über die Crossbar eine separate Gigabit Backplane, die sie mit den zentralen Control
Modulen verbindet – beim Matrix X16 summiert sich dies auf zusätzliche 30 Gbps Control Plane
Kapazität. Selbst innerhalb dieser Control Plane sind Quality of Service Merkmale (Strict und Weighted
Fair Queueing mit Rate Limiting bzw Rate Shaping) realisiert, die Bandbreiten für Management, Rou
ting etc. garantieren bzw. limitieren. Damit besteht jederzeit Zugriff auf das System und das System
selbst kann gegenüber DDOS Angriffen optimal geschützt werden. Im Gegensatz zu Software
basierten Kontrollmechanismen ist dieser Hardwarebasierte Mechnismus wesentlich stablier und
sicherer bei Angriffen mit hoher Last.
Die Matrix XSerie
Seite 126
Alle Komponenten sind voll redundant ausgelegt, damit eine optimale Verfügbarkeit gewährleistet
werden kann – natürlich auch Stromversorgung, Lüfter etc.. Die I/O Module können unabhängig von
den Control Modulen Pakete forwarden, d.h. selbst im Falle eine Failovers zwischen den Control
Modulen (für Software Update oder auch bei Software/Hardware Fehlern) findet keine Unterbrechung
der Verkehrflüsse in der Data Plane statt.
Interprocessor
Communication
(IPC)
Control
Module
Control
Module
Intercard
Communication
(ICC)
Data Plane
IOM
Data Inter-
IOM
Data Inter-
Eine modulare SoftwareArchitektur sorgt für Flexibilität innerhalb der Entwicklung des Produktes.
Neue Funktionen können schnell implementiert und die Software kann einfach auf neue Hardware
Varianten angepasst werden.
Die Matrix XSerie
Seite 127
Common Component Architecture
Enterasys Operating System (EOS)
Platform
Independent
Applications
Oth
MPL
Switch
RoutReduces software
complexity
Enterasys Operating Sys-
APPLICATION ABSTRACTION
Reduces software
complexity
Enables application
portability
Hi
Control Module
M
Hi
I/O Module
M
Distributed OS
Enables Scale
HARDWARE ABSTRACTION
LAYER
Platform
specific
software
Device
Drivers
Forwarding
Code
Application
Agents
Kern der Software Architektur ist der High Availbility Manager (HA Manager), der nach dem Starten
des Betriebssystems die Aufgabe übernimmt, alle folgenden Module zu starten und zu überwachen.
Der HA Manager ist dann auch für das unterbrechungsfreie Umschalten zwischen den Control Modu
len zuständig.
Control Module Fail-over happens in the control plane.
Packet forwarding in the forwarding plane is unaffected.
OS Kernel
OS Kernel
High Availability
Manager
Active Control
Module
Load Modules
Standby Control
Module
Persistent
Data
Store
High Availability
Manager
Load Modules
Die Matrix XSerie
Seite 128
Kapazität und Performance
Mit bis zu 2,56 Tbps Swichting Kapazität und einem maximalen I/O Throughput von 640 Gbps ist die
Matrix XSerie für die Anforderungen an zukünftige Core Netze, insbesondere auch bei Anwendungen
im Data Center und GRID Computing Bereich optimal aufgestellt.
Die 10 Gigabit Ethernet Ports der MatrixX Serie sind WireSpeed und auch SingleStream fähig, d.h.
man kann zwischen 2 High End System volle 10 Gbit/s Durchsatz erreichen. Viele Architekturen heute
führen intern ein Multiplexing von 1 Gbit/s Streams durch, was eine klare Limitation darstellt.
Verfügbarkeit
Neben der reinen HardwareVerfügbarkeit führt die Separierung von Control und Data Plane zur einer
wesentlichen Steigerung der Gesamtverfügbarkeit. Hinzu kommt die Möglichkeit, in der Control Plane
Software Updates etc. unterbrechungsfrei durchzuführen. Die NPU´s der I/O Module sind durch Ihr
LPM Verfahren ebenfalls hoch verfügbar in Bezug auf DDOS Attacken etc.
Graceful Restart Funktionen für OSPF, ISIS und BGP gehören ebenfalls zum Leistungsumfang.
Quality of Service
Die Virtual Output Queue Architektur bietet das Maximale an Möglichkeiten, was heutige Technik in
Bezug auf Bandbreitenmanagement und –garantien bieten kann.
Sicherheit
Die Matrix XSerie ist in die Secure Networks Architektur von Enterasys voll eingebunden und dann
mit den dort verfügbaren Tools optimal gemanaged werden. Damit werden Access und Core Policies
optimal aufeinander abgestimmt und ergeben eine wirkliche durchgängige Lösung.
Leistungsdaten Matrix XSerie
Seite 129
Matrix XSeries Chassis Configurations
Matrix X8
Matrix X16
Switching Capacity
1.28 Tbps
2.56 Tbps
System Throughput (Full Du
plex)
320 Gbps
640 Gbps
I/O Slots
8
16
10 GbE I/O Module (# Ports)
2
2
Max. 10 GbE Per Chassis
16
32
Max. 10 GbE Per Rack
48
64
1 GbE I/O Module (# Ports)
32
32
Max. 1 GbE Per Chassis
256
512
Max. 1 GbE Per Rack
512
1,024
Matrix X8
Matrix X16
MAC Adresses
128,000
128,000
FIB
128,000
128,000
RIB
512,000
512,000
VLANs
4096
4096
Trunking Ports
8
8
Trunking Groups
No Limit
No Limit
OSPF Areas
16
16
Multicast Groups
8k
8k
Spanning Tree Instances
32
32
Matrix XSeries Matrix XSeries
Matrix XSeries Capacities
Switching
802.1s Multiple Spanning Tree
802.1p Priorities
802.1q VLAN Tagging
802.3ae 10 GbE
802.1w Rapid STP
GVRP
IGMP v3 (RFC 2236)
IGMP Snooping
Jumbo Frame Support – 9K bytes)
ECMP (8 Paths)
Diff Serv
Security
DoS Prevention
ACLs – up to 32,000 per system
AAA
RADIUS (RFC 2138)
SSHv2
Secure Copy v2
Seite 130
Management and Statistics
SNMPv1/v2/v3
MultiAccess CLI
DHCP Client/Server/Relay
Syslog
Telnet Client/Server
FTP
TFTP
NTP Client
Cabletron Discovery Protocol (CDP)
RMON 1(4 groups)
Policy MIB
Seite 131
General Protocols
IP (RFC 791)
ICMP (RFC 792,1256)
TCP (RFC 793)
UDP (RFC 768)
TELNET (RFC 854)
BootP (RFC 951, 1542)
Routing
General Routing (RFC 1812)
RIP v1/v2 (RFC 2453)
RIP ECMP
OSPF v2 (RFC 2328)
OSPF Graceful Restart
OSPF ECMP
OSPF NSSA (RFC 1587)
ISIS (RFC 1195)
ISIS Graceful Restart
ISIS ECMP
BGP4 (RFC 1771)
BGP4 Graceful Restart
VRRP (RFC 2338)
DVMRP
PIMSM
Route Redistribution
Seite 132
System
Multiple Images
Multiple Configurations
Hitless Software Upgrade
Hitless Software Failover
Network Management
Policy MIB
NetSight Atlas Automated Security Manager
Seite 133
Seite 134
Partno.
System
X16C
16slot Matrix XSeries chassis
X8C
8slot Matrix XSeries chassis
XFAN
Matrix XSeries fan assembly
XAC
Matrix XSeries AC power supply
XCM00
Matrix X16 and X8 control module
X16FM
Matrix X16 fabric module
X8FM Matrix
Matrix X8 fabric module
XENSLIC
Matrix XSeries Enterasys Networking System license
I/O Modules
XM200
2port 10GBaseX XFP Matrix XSeries IOM
XG3200
32port 1000BaseX SFP Matrix XSeries IOM
MGBIC/XFP Modules
MGBICLC01
MiniGBIC with 1000BaseSX via LC connector
MGBICLC09
MiniGBIC with 1000BaseLX via LC connector
MGBIC02
MiniGBIC with 1000BaseT via RJ45 connector
MGBIC08
MiniGBIC with 1000BaseLX/LH (70km long haul) SMF via LC con
nector
10GBASESRXFP
10GBASE SR XFP Optic
10GBASELRXFP
10GBASE LR XFP Optic
10GBASEERXFP
10GBASE ER XFP Optic
Zusammenfassung
Seite 135
Zusammenfassung
Die Matrix XSerie ist ein Core Produkt der neuen Generation, das durch ein intelligentes Produktde
sign allen Anforderungen gewachsen ist. Eine nahtlose Integration in die Secure Networks Lösung von
Enterasys bietet weitergehende Funktionen. Das Anwendungsfeld ist weit gesetzt, von Data Center
Aggregation, über GRID Computing hin zu Core Routing und Metro SP Anwendungen.
Mehr dazu unter www.enterasys.com/products/
Zusammenfassung
Seite 136
XPedition Serie
Die XPedition Switch Router von Enterasys bieten alle Möglichkeiten in Bezug auf Routing – von
RIPv1 bis zu BGPv4 und Switching, die große Unternehmensnetze heute benötigen. Zusätzlich sind
die Produkte auch auf den Einsatz im (Metro) WAN ausgerichtet – ATM, POS (Packet over SONET),
FDDI, HSSI und X.21 werden neben den 10 Megabit bis 10 Gigabit Ethernet Schnittstellen unterstützt.
Integrierte Server Load Balancing und Web Cache Redirection Unterstützung erweitern den Anwen
dungsbereich. Extensive Analyse und Accountingmöglichkeiten mit RMON, RMON2 und Netflow v5
runden das Gesamtangebot ab.
Mehr dazu unter http://www.enterasys.com/products/routing/.
Die XPedition 2x00 sind hardwarebasierende standalone L3/L4Switches von Enterasys Networks.
Sie sind in drei Varianten verfügbar:
Der XPedition 2000 stellt 16 Fast Ethernet Ports und 2 modulare ExpansionSlots zur Verfügung.
Diese Slots können wahlweise mit Gigabit Ethernet, Fast Ethernet oder WANUplinks ausgestattet
werden.
Mit dem XPedition 2100 wird ein L3/L4 Switch mit 8 fest installierten Gigabit Ethernet Ports angebo
ten.
Die dritte Variante ist der neue XPedition 2400, der vergleichbar mit dem XPedition 2000 ist, aller
dings keinerlei Restriktionen beim Einsatz von Gigabit Ethernet Modulen aufweist. Zudem besitzt er
einen größeren Arbeitsspeicher. Nähere Informationen entnehmen Sie bitte aus den aktuellen Release
Notes des XPedition 2400 unter:
http://www.enterasys.com/download/download.cgi?lib=ssr.
Je nach Anforderung können die XPedition 2x00 Router als Workgroup Switches für Power User oder
auch als kleine Backbone Switches in einem Small Medium Enterprise Netzwerk verwendet werden.
Zusammenfassung
Seite 137
Chassis
XP2100
XP2400
XP2400256
XP2000 with 256 MB of memory
SSR2GSX
XP2100 – 8 ports 100BaseSX, redundant power supply, X
Pedition Router Services software. No expansion slots
Optionen
XP2ATM2902
XP2400 2 ATM OC3
XP2FXAA
XP2400 8 port 100BaseFX module via MTRJ connector
XP2HSSICK
HSSI blade for XP2400 with internal clocking support
XP2LX70AA
XP2400 1 port 70 km 1000BaseLX Gigabit Ethernet module
XP2LXAA
XP2400 2 port 1000BaseLX module
XP2RKMT
Rackmount Kit for XP2400 & 2100
XP2SERAA
XP2400 dual port serial module
XP2SERCAA
XP2400 Quad port serial module with compression
XP2SERCEAA
XP2400 Quad port serial module with compression & encryption
XP2SXAA
XP2400 2 port 1000BaseSX expansion module
XP2TXAA
XP2400 8 port 10/100BaseTX module
SSR2GSX
XP2100 8 port 1000BaseSX, redundant power supply, XPedition
Router Services software. No expansion slots
Zusammenfassung
Seite 138
Portdichte
•
XPedition 2100:
•
8x 1000BaseSX
•
XPedition 2000:
•
16x 10/100BaseTX
•
2x Uplink Slot
•
XPedition 2400:
•
16x 10/100BaseTX
•
2x Uplink Slot
Unterstütze Funktionalität
SpanningTree
Spanning Forest (VLAN SpanningTree),
Rapid SpanningTree, IEEE 802.1w
Load Sharing
Link Aggregation 802.3ad
Policy based routing
OSPF Equal Cost Multi Path
VRRP
Garantierte Bandbreiten
Priorisierung des User Traffics
Priority Queuing und Rate Limiting
Strict und Weighted Fair Queuing auf Port Basis
Wirespeed Routing
SNMP, RMON und RMON2
Accounting Support via Netflow v5
Kapazitäten
Bandbreite
8.0 Gbps NonBlocking
Datendurchsatz
6.0 Mpps im Routing (XP2100: 9.2 Mpps)
Layer4 Application Flows
Bis zu 128,000
Layer3 Routes (XPedition 2000,2100)
100,000
Layer3 Routes (XPedition 2400)
220,000
MAC Adressen
180,000
Zusammenfassung
Seite 139
Security/Access Filter
2,000
VLANs
4,096
Spezifikationen
XPedition 2000 und XPedition 2400:
•
Abmaße H/B/T: 7.1cm (2.8") x 43.2cm (17") x 47cm (18.5")
•
Gewicht 9 kg (20 lbs)
•
Betriebstemp. 5° to +40° C (41° to +104° F)
•
Zulässige Feuchtigkeit 15 to 90% noncondensing
•
Spannungsversorgung: 120/240VAC, 6A max.
XPedition 2100:
•
Abmaße H/B/T: 7.1cm (2.8") x 43.2cm (17") x 47cm (18.5")
•
•
•
•
Weitere Informationen über die XPedition 2x00 Serie finden sie unter
http://www.enterasys.com/products/routing/2000/.
Zusammenfassung
Seite 140
Der modulare XPedition 8x00 ist mit dem XPedition 8000 in einem 8Slot Chassis und mit dem X
Pedition 8600 in einer 16Slot Variante verfügbar.
Die hardwarebasierenden XPedition 8000 und 8600 waren in der Vergangenheit unter dem Namen
SmartSwitch Router 8000 und 8600 erhältlich.
Das 16Slot Chassis bietet Platz für maximal 15 Interfacemodule. Es muss mindestens ein Slot für ein
Control Modul verwendet werden, welches redundant mit einem zweiten ausgelegt werden kann.
In das 8Slot Chassis können maximal 7 Interfacemodule eingesetzt werden. Das Control Modul kann
ebenfalls redundant ausgelegt werden.
Im Weitern werden die verfügbaren Interfacemodule aufgezeigt. Es stehen Module für Gigabit Ether
net, Fast Ethernet, ATM, FDDI sowie für WAN zur Verfügung. Diese können in beide Chassis, also dem
16 oder 8Slot, eingesetzt werden.
Die XPedition 8x00 können wegen ihrer L3/L4 Funktionalität und der hohen Portdichte im Bereich
Gigabit Ethernet, als zentrale BackboneKomponenten, aber auch als Gebäudeverteiler verwendet
werden.
Chassis
SSR8
SSR16
Zusammenfassung
Seite 141
XP8000 – 8 Slot
SSR8
XP8000 – 8 slotchassis, backplane, modular fan
SSRPS8
AC power supply (2 may be used for loadsharing redundancy)
SSRPS8DC
DC power supply (2 may be used for loadsharing redundancy)
SSRFAN8
Fan tray module
SSR8PSIMPCT
XP8000Impact Kit
XP8600 – 16 Slot
SSR16
16 slot chassis, 1 fabric card, modular fan
SSRPS16
AC power supply
SSRPS16DC
DC power supply
SSRFAN16
Fan tray module
BasisSystem Module
SSRSF16
Redundant fabric card
SSRCM264
Control module with 64 MB memory
SSRCM2B64
SSRCM264 control module with 64 MB memory respin
SSRCM4256
Control module with 256 MB memory
Zusammenfassung
Seite 142
Connectivity Module
SSRHTX3216
SSRGSX3102
SSRGTX3204
SSRGLX3902
SSR
HTX12
08AA
Fast Ethernet module – 8 port 10/100BaseTX module via Cat 5 RJ45 with 4 MB
memory, supports approximately 64k flows/module
SSR
HTX32
16
Fast Ethernet module – 16 port 10/100BaseTX module via Cat 5 RJ45 with 16 MB
memory
SSR
HFX21
08AA
Fast Ethernet module – 8 port 100BaseFX, MMF SC, 16 MB memory, supports
approximately 256k flows/module
SSR
HFX29
08AA
Fast Ethernet module – 8 port 100BaseFX, SMF, 16 MB memory, supports up to
2,000,000 flows/system. Built to order
SSR
GLX29
02AA
Gigabit Ethernet module – 2 port 1000BaseLX via SCLX (for MMF or SMF), 16 MB
SSR
GSX21
02AA
Gigabit Ethernet module – 2 port 1000BaseSX via SCLX (for MMF), 16 MB mem
ory, supports approximately 256k flows/module
SSR
GTX32
02
Gigabit Ethernet module – 2 port 1000BaseTX via RJ45 connector with 16 MB
SSR
GTX32
04
Gigabit Ethernet module – 4 port 1000BaseTX via RJ45 connector with 16 MB
memory
Zusammenfassung
Seite 143
04
SSR
GSX31
02
Gigabit Ethernet module – 2 port 1000BaseSX via SC connector with 16 MB mem
ory
SSR
GSX31
04
Gigabit Ethernet module – 4 port 1000BaseSX via SC connector with 16 MB mem
ory
SSR
GLX39
02
Gigabit Ethernet module – 2 port 1000BaseLX via SC connector with 16 MB mem
ory
SSR
GLX93
04
Gigabit Ethernet module – 4 port 1000BaseLX via SC connector with 16 MB mem
ory
SSR
GLH39
02
Gigabit Ethernet module – 2 port 1000BaseLX (70 km) Jumbo frame module
SSRARE
Advanced router engine module for AppleTalk
WAN Module
SSRSERCE04
SSRHSSI02
SSRSERC04AA
Quad serial port, with compression
SSRSERCE04AA
Quad serial port with compression and encryption
SSRHSSI02CK
Dual port HSSI module with internal clocking
SSRHSSICAB
Cable – HSSI, 3 meter, male to male connector
Zusammenfassung
Seite 144
ATM und POS Module
SSRATM2902
SSRATM2902
2 port ATM base module. Accepts ATM physical modules for connec
tivity (APHYs sold separately)
FDDI Module
SSRFDDI02
SSRFDDI02
2 port FDDI base module (accepts DAS/SAS FPHYs; FPHYs are sold sepa
rately)
Zusammenfassung
Seite 145
POS Module
SSRPOS2104
SSRPOS2904
SSRPOS3102
SSRPOS3902
SSRPOS2104
4 port OC3c/STM1 Packet over Sonet/SDH MMF module
SSRPOS2904
4 port OC3c/STM1 Packet over Sonet/SDH SMFIR module
SSRPOS3102
2 port OC12c/STM4 Packet over Sonet/SDH MMF module
SSRPOS3902
2 port OC12c/STM5 Packet over Sonet/SDH SMFIR module
SpanningTree
Spanning Forest (Per VLAN SpanningTree)
Load Sharing
Link Aggregation IEEE 802.3ad
OSPF Equal Cost Multi Path
VRRP
Priorisierung des User Traffics, Priority Queuing
und Rate Limiting
Strict und Weighted Fair Queuing auf Port
Basis
Wirespeed Routing
Zusammenfassung
Seite 146
Basis
Accounting Support via Netflow
Kapazitäten
XPedition 8600
XPedition 8000
Anzahl Slots für Interfacemodule
15
7
Portdichte
L3 10/100BaseTX
240
112
Portdichte
L3 1000Base
30
14
Switch Fabric
32 Gbps
16 Gbps
Routing Performance
34 Mpps
15 Mpps
MAC addressen
800.000
400.000
L3 Routes
250.000
250.000
L4 Flows
2.000.000
2.000.000
VLANs
4.096
4.096
Zusammenfassung
Seite 147
Spezifikationen
XPedition 8000
•
Abmaße H/B/T: 22.3 cm (8.75") x 43.82 cm (17.25") x 31.12cm (12.25")
•
•
•
•
XPedition 8600
•
Abmaße H/B/T: 48.9 cm (19.25") x 43.82 cm (17.25") x 31.12 cm (12.25 ")
•
Gewicht 28.0 kg (61.75 lbs)
•
•
•
Weitere Informationen über den XPedition 8600
http://www.enterasys.com/products/routing/SSR16/ und
und
8000
http://www.enterasys.com/products/routing/SSR8/.
finden
sie
unter
Zusammenfassung
Seite 148
XPedition ER16
Der hardwarebasierende XPedition ER16 ist die neueste Generation der L3/L4Switches von Entera
sys Networks. Er ist heute die ideale Plattform für alle LAN Backbone Lösungen. Ein hohes Maß an
Skalierbarkeit, Performance und Security macht den XPedition ER16 zu einer idealen Komponente für
alle eBusiness Anwendungen.
Das modulare Chassis hat Platz für 16 Module. Es muss mindestens ein Controllermodul eingesetzt
werden, welches redundant ausgelegt werden kann. Es stehen Interfacemodule für Gigabit Ethernet,
Fast Ethernet, ATM, FDDI und WAN zur Verfügung.
Durch seine extrem hohe Portdichte und Funktionalität findet der XPedition ER16 seinen Einsatz als
zentraler Backbone Switch in allen applikationsbasierenden Netzwerken.
Chassis
ER16
ER16C
ER16 chassis field replacement unit
ER16CS
Enterasys Routing Platform Base Chassis with one switch fabric module
and a clock card
ER16AC
Enterasys Router AC power supply (minimum 2 required, 3 or 4 required
for redundancy)
ER16DC
ER16 DC power supply
ER16FN
Enterasys Routing Platform fan tray assembly (spare)
Zusammenfassung
Seite 149
ER16CK
Enterasys Routing Platform clock card assembly (spare)
ER16SF
Enterasys Routing Platform Switching fabric module (spare or redun
dancy)
ER16CM3128
Enterasys Routing Platform control module with 128 MB memory
ER16CM4256
Enterasys Routing Platform control module with 256 MB memory
Optionen
XPPCMCIA
32AT
32 MB ATA memory for the XPedition
XPSYSFW32
XPedition System Firmware on a 32 MB ATA PCMCIA card (one unit is
required with every XP8000, 8600 and ER16 system)
ER16CSB3
ER16 bundle with chassis, switch fabric module, clock card, redundant
CM3128s, 2 power supplies, routing firmware, 32 MB PCMCIA card and
spare PCMCIA card
ER16CSB4
ER16 bundle with chassis, switch fabric module, clock card, redundant
CM4256s, 2 power supplies, routing firmware, 32 MB PCMCIA card and
spare PCMCIA card
Zusammenfassung
Seite 150
Module
ER1604
ER16TX24
ER16TX32
ER16GTX3204
ER16OS1601
ER16SX08
ER1604
4 port GBIC module
ER16SX08
8 port 1000BaseSX module
Zusammenfassung
Seite 151
ER1608
8 port GBIC module
ER16TX24
24 port 10/100BaseTX module
ER16TX32
32 port 100BaseTX module
ER16GTX3204
ER16GTX3208
ER16HFX3124
24 Port 100BaseFX T series module for MMF via MTRJ connectors
ER16HFX3924
24 Port 100BaseFX T series module for SMF via MTRJ connectors
ER16SERC04
AA
4 port serial witch compression
ER16OS2601
10 Gb Ethernet ER16 module
ER16OS1601
10 Gb one port single slot module
SpanningTree
Spanning Forest (Per VLAN SpanningTree)
Load Sharing NAT
Link Aggregation IEEE 802.3ad
OSPF Equal Cost Multi Path, VRRP
Priorisierung des User Traffics, Priority Queu
ing und Rate Limiting
Strict und Weighted Fair Queuing auf Port
Basis
Wirespeed Routing
Accounting Support mit Netflow v5
Kapazitäten
Bandbreite
128 Gbps NonBlocking
Datendurchsatz
70 Mpps im Routing
Layer4 Application Flows
Bis zu 4,000,000
Zusammenfassung
Seite 152
Layer3 Routes
250,000
MAC Adressen
1,600,000
Security/Access Filter
20,000
VLANs
4,096
Portdichte
480x10/100BaseTX
120x1000BaseTX
Anzahl der Slots
15 Slots für Interfacemodule
1 Slot für Control Modul, Redundanz mit
2tem Control Modul möglich
Spezifikationen
•
Abmaße H/B/T: 48.26 cm (19") x 48.26 cm (19") x 88.9 cm (35")
•
Gewicht 56.25 kg (125 lbs.)
•
•
Temperaturgrenzwerte 30° to +73° C (22° to +164° F)
•
Zulässige Feuchtigkeit 15 to 95%
•
Energieverbrauch: bei 100 bis 125 VAC Max oder 200 to 250 VAC Max = 2400 W, bei 48
VDC = 2400 W 50 to 60 Hz
Unterstützte IETF Standards
RFC No.
Title
RFC 768
User Datagram Protocol
RFC 791
Internet Protocol
RFC 792
Internet Control Message Protocol
RFC 793
Transmission Control Protocol
RFC 826
An Ethernet Address Resolution Protocol
RFC 854
Telnet Protocol Specification
RFC 894
IP over Ethernet
Zusammenfassung
Seite 153
RFC 951
Bootstrap Protocol (BOOTP)
RFC 1058
RIP v1
RFC 1105
BGP
RFC 1157
SNMPv1
RFC 1163
BGP2
RFC 1256
ICMP Router Discover Message
RFC 1265
BGP Protocol Analysis
RFC 1267
BGP3
RFC 1293
Inverse ARP
RFC 1332
PPP Internet Protocol Control Protocol (IPCP)
RFC 1349
Type of Service in the Internet Protocol Suite
RFC 1350
The TFTP Protocol (Revision 2)
RFC 1397
BGP Default Route Advertisement
RFC 1483
Multiprotocol Encapsulation over ATM Adaptation Layer 5
RFC 1490
Multiprotocol Interconnect over Frame Relay
RFC 1519
CIDR
RFC 1552
The PPP Internetwork Packet Exchange Control Protocol (IPXCP)
RFC 1570
PPP LCP Extensions
RFC 1583
OSPF v2
RFC 1631
IP Network Address Translator
RFC 1638
PPP Bridging Control Protocol (BCP)
RFC 1657
BGP4 Definitions of Managed Objects
RFC 1661
PPP (PointtoPoint Protocol)
RFC 1662
PPP in HDLClike Framing
RFC 1723
RIP v2
RFC 1771
BGP4
RFC 1772
Application of BGP in the Internet
RFC 1812
Router Requirements
Zusammenfassung
Seite 154
RFC 1966
BGP Route Reflection
RFC 1990
PPP MultiLink Protocol
RFC 1997
BGP Communities Attribute
RFC 2131
Dynamic Host Configuration Protocol
RFC 2138
RADIUS
RFC 2225
Classical IP and ARP over ATM
RFC 2236
Internet Group Management Protocol, Version 2
RFC 2338
VRRP
RFC 2391
Load Sharing using IP Network Address Translation (Load Balance)
Unterstützte IETF DraftStandards
Draft No.
Title
draftietfpimsmv2new02
PIMSM
draftietfidmrdvmrpv310
DVMRP
draftietfidrbgp417
Breaking Ties (Phase 2), Sect. 9.1.2.2
draftylonensshprotocol00
SSH1 IETF draft
draftietfsecsharchitecture14
draftietfsecshtransport16
draftietfsecshuserauth17
draftietfsecshconnect17
draftietfsecshassignednumbers03
draftietfsecshdhgroupexchange04
draftietfsecshfingerprint01
SSH2 IETF drafts
Weitere Informationen finden sie unter http://www.enterasys.com/products/routing/ER16CS/.
Zusammenfassung
Seite 155
Optionen, Kabel
Optionen
SSRMEM128
XP
memory upgrade kit
XP2000, 8000, 8600 & ER16)
(can
be
SSRMEM256
256 MB DIMM for the XP and SSR CM4 modules
WAN Kabel
SSR449DTE02
4 meter, 2 lead, 2 RS449 DTE (male) connectors
SSRV35DTE02
4 meter, 2 lead, 2 V35 DTE (male) connectors
SSRX21DTE02
4 meter, 2 lead, 2 X21 DTE (male) connectors
Physical modules
ER16 – APHYs
XPAPHY22
1 port OC3 UTP ATM module
XPAPHY29IR
1 port OC3 SMFIR ATM module
XPAPHY67
1 port DS3/T3 Coax ATM module
XPAPHY77
1 port E3 Coax ATM module
ER16 – FPHYs
XPFPHY01
MMF DAS FDDI module
XPFPHY02
UTP SAS FDDI module
XPFPHY09
SMF DAS FDDI module
XP8000, 8600 – FPHYs
FPHY01
1 port MMF FDDI module
FPHY02
1 port UTP FDDI module
FPHY09
1 port SMF FDDI module
used
to
upgrade
Zusammenfassung
Seite 156
WAN Routing
WANAnbindungen stellen traditionell einen hohen Anteil der laufenden Kosten für Netzwerke dar. Die
Kostenreduzierung und Effizienzsteigerung bei der Anbindung von mobilen Mitarbeitern, Heimarbeits
plätzen und Niederlassungen sind die Hauptgründe zur Einführung von Virtual Private Networks. Diese
Technologie verbindet die Vorteile des Internets (IPbasierte, einfache Technologie – "überall" Zugriff
möglich) und der modernen Kryptographie zu einer völlig neuen Betrachtungsweise des Zugriffs auf
Unternehmensnetze.
Anwendungsbereiche des XSR
Enterasys Networks stellt mit den XPedition Security Routern eine ganze Palette von Lösungen für die
sichere Anbindung von Mitarbeitern und Außenstellen bereit. Diese neue Produktlinie hat das Ziel,
Funktionen wie volles IP Routing (RIP, OSPF, BGP, GRE), VPN (IPSec, L2TP, PPTP), Stateful Inspection
Firewall, IDS und IPS in einem hochperformanten, konvergenzfähigen System zu vereinen. Alle Pro
dukte dieser Serie sind zum Beispiel mit VPN Beschleunigern ausgestattet, die zum Einen eine hohe
Verschlüsselungsperformance für die LAN Kopplung erlauben, zum Anderen aber auch das System in
die Lage versetzen, als zentraler VPN Konzentrator für Standard und Microsoft VPN Clients zu arbei
ten.
Zusammenfassung
Seite 157
Einige Beispiele für die Skalierbarkeit der insgesamt sieben BasisProduktkategorien, die alle mit
gleicher Software und Schnittstellenkarten ausgestattet sind (ein großer Vorteil bei Wartungs und
Betriebskosten), sind hier aufgelistet:
•
IP Routing von 25 kpps bis 650 kpps
•
VPN Performance von 3 Mbps bis nahezu 400 Mbps
•
Firewall Performance von 70 Mbps bis über 2 Gbps
•
WAN Schnittstellen von 64 kbps (ISDN) über 2 Mbps (E1, ADSL) bis zu 34 Mbps (E3)
•
LAN Schnittstellen von 10/100 Ethernet bis Gigabit Ethernet
Mehr Informationen unter http://www.enterasys.com/products/routing/xsr/.
Zusammenfassung
Seite 158
XSR1805, 1850
Der XSR1850 ist das Einstiegsprodukt der Enterasys Familie von Sicherheitsroutern für Zweigstellen.
Er bietet leistungsfähige IP Routing Fähigkeiten in Kombination mit fortschrittlichen Sicherheitsmerk
malen wie GatewaytoGateway und ClienttoGateway Virtual Private Networking.
Der rackmountable XSR1850 ist das richtige Produkt für Zweigstellen mit geschäftskritischen Appli
kationen, die 24 Stunden am Tag 7 Tage in der Woche verfügbar sein müssen. Er bietet über 200
parallel laufende IPSec/3DES VPN Tunnels und zusätzlich eine optionale Stromversorgung und redun
dante Lüfter. Durch Standardbasierte Lösungen ist er zukunftssicher für kommende Entwicklungen.
Dazu gehören zum Beispiel Intrusion Detection und Application Level Gateway mit Session Initiation
Protocol Unterstützung.
Der XSR1805 ist die kleinere Variante, von Haus aus mit weniger Speicher ausgestattet, aber bis zur
Kapazität des XSR1850 aufrüstbar.
Chassis
XSR1850
XSR1805
XSR1805
XSR Security Router, incl. EOS IP Routing, 2 10/100 ports, 2 WAN slots,
VPN accelerator, 8 MB Flash, 32 MB DRAM (VPN sold separately)
XSR1850
rack mount, VPN accelerator, 8 MB Flash, 64 MB DRAM (VPN sold sepa
rately)
XSR1850VPN
rack mount, VPN accelerator, 8 MB Flash, 64 MB DRAM
Optionen
Zusammenfassung
Seite 159
XSR1805RKMT
Rackmount kit for XSR1805
XSR18XXVPN
VPN code upgrade for XSR1800 series
XSR18XXFW
Firewall code upgrade for XSR1800 series
XSR18XXVPNFW
VPN & Firewall code upgrade for XSR1800 series
Industrycommon
CLI. (The XSR
1800/3000 Series routers do not support
the SSR native CLI.)
IP protocol support including ARP, ICMP, TCP, UDP
Remote management via TELNET,
SSHv2, and SNMPv1, v3. XSR supports
Telnet Server and Telnet Client
Local management through serial console port –
User access is password protected. Default login:
Admin. No password
Ping and traceroute diagnostic tools
RIPv1 and RIPv2 support includes: Split horizon
with poisoned reverse, triggered updates, and clear
text authentication. It is configurable for send
receive v1 or v2, passive interface, offset metrics,
route filtering
OSPF support includes: Intra and inter
area routing, Type 1 and 2 external
routing, OSPF not so stubby area
(NSSA) option, Opaque link state availability (LSA)
(flooding participation only) option, manual and
automatic virtual links, broadcast, pointtopoint,
pointtomultipoint, and NBMA models, MD5
authentication, and incremental SPF
Access control lists, Standard and Ex
tended, insert, move, and replace entry
ability
Denial of Service protection capability
SNTP Client: Allows synchronization of
realtime clock to an external time ser
vice
PPP support for Sync and Async communication
modes
PPP Authentication – Local database
authentication through Password Authen
tication Protocol (PAP), Challenge Hand
shake Authentication Protocol (CHAP)
(clear text password only over WAN) and
Microsoft Challenge Handshake Authenti
cation Protocol (MSCHAP)
Dial Backup – Answering side of an Async or Sync
(Analog) connection must be configured on a Serial
port that is connected to an analog modem. No
dialer is required for the answering side of the
connection. Features also supported: IP Interfaces,
Configurable Time of Day support. Dial out on
Console port, Client not supported
Zusammenfassung
Seite 160
SNMPv1/v2c For device monitoring,
firmware upgrades, and configuration
downloads; SnMPv3 for device manage
ment, monitoring, firmware upgrades,
and configuration downloads.
Frame Relay PVC DTE
Quality of Service (QoS)| 4 queues, out
bound, RED, CBWFQ, Weighted Fair
Queuing, TOS, DSCP
Multilink PPP (MLPPP)
Network Address Translation (NAT) static,
twoway and NAPT
Integrated Services Digital Network (ISDN) with
support for Basic (S/T and U) and Primary Rate
Interfaces (BRI/PRI)
Dial and
(DoD/BoD)
PointtoPoint Protocol over Ethernet (PPPoE)
Bandwidth
on
Demand
Bandwidth Allocation Protocol/Control
Protocol (BAP/BACP)
Dynamic Host Configuration Protocol (DHCP) Server
and Relay
Virtual Private Network (VPN) with IP
Security (IPSec), Internet Key Exchange
(IKE) and Public Key Infrastructure (PKI),
EZIPSec, PPTP, L2TP over IPSec (Re
mote Access only), RADIUS, EAP, MS
CHAP v2 and v1, SmartCards with EAP,
SecurID with EAP; GRE over IPSec
Open Shortest Path First (OSPF) and
RIPv2 over VPN
Infinite redial capability
Variable ping
Configurable promiscuous ARP
ISDN BRIU NIM
Network Management Objects including: SNMPv3
agent, SSHv2 server, full configuration
backup/restore,
Syslog MIB, Configuration Management
MIB, Configuration Change MIB, Time
dReset MIB, sysORTable,
Entity MIB, Chassis MIB, login banner, CLI timed
reboot, CPU utilization, Protocol IBS (OSPF, RIP, FR,
PPP)
AAA service: Firewall, Telnet/Console,
SSHv2, VPN
Firewall: Stateful inspection engine, FTP and H.323
ALG support, application command support: FTP,
SMTP and HTTP, DOS protection for internal hosts,
logging, authentication: firewall and NAT, firewall
and VPN interaction
Secondary IP addressing
DF Bit Override support
Zusammenfassung
Seite 161
ISDN call back
Link monitoring at Ethernet sub interface level
(PPPoE)
Ethernet backup
Power Safe Bootrom Upgrade
T3/E3 NIM and firmware (Subrate/Clear
channel)
T1 Drop & Insert NIM and firmware
ADSL Annex A/C & B NIM and firmware
including PPP over Ethernet (PPPoE), PPP
over ATM (PPPoA), and IP over ATM
(IPoA)
802.1 Q VLAN Routing
Remote Auto Install (RAI) over Frame
Relay
QoS over Multilink PPP
Route Preference
Multiple Static Routes
RIP/OSPF route redistribution
Weighted Random Early Detection (WRED)
Dialer Watch with VRRP
Configurable router ID
Traffic shaping
OSPF Database Overflow
OSPF Passive Interface
OSPF T3/T5Ssummarization
Null Interface
Multiclass Multilink QoS
Sun and Microsoft Remote Procedure
Calls (RPC) Application Level Gateway
(ALG)
Access Control Lists (ACL) Violations logging
Generic Routing Encapsulation (GRE) Over
IPSec
Aggressive Mode User Authentication
Classless InterDomain Routing (CIDR){IP
Mask}
FRF.12 – Frame Relay Fragmentation
Configurable Alarm Time Zone
SNMP Trap Source
Modem Initialization String
Public Key Infrastructure (PKI) Entrust Certificates
Policy Based Routing (PBR)
DNS Proxy
PPP CHAP Authentication
SNMP Trap Source
Kapazitäten
XSR Model
XSR1805
XSR1850
NIM Slots
2
2
Zusammenfassung
Seite 162
Fixed 10/100/1000 LAN Ports
2 10/100
2 10/100
IP Routing Performance
37k PPS
45k PPS
VPN Tunnels
50
200
VPN Throughput
100 Mbps
100 Mbps
Firewalling Throughput
190Mbps
190Mbps
Firewall Policies
10 (upgradeable)
500 (upgradeable)
Simultaneous Firewall Sessions
250 (upgradeable)
10,000 (upgradeable)
Redundant Power Supplies
No
Option
VPN Accelerator
Embedded
Embedded
Spezifikationen
XSR1805
•
Abmaße 35.6 cm (14") L x 25.4 cm (10") W x 6.4 cm (2.5") H
•
Gewicht 3.18 kg (7 lb)
•
•
•
Zulässige Feuchtigkeit 5% to 90% (noncondensing)
•
Energieverbrauch: bei 100 bis 125 VAC Max oder 200 to 250 VA Max=25 W
XSR1850
•
Abmaße 25.4 cm (10") L x 43.1 cm (17') W x 5.0 cm (2") H
•
Gewicht 4.08 kg (9 lb)
•
•
•
•
Energieverbrauch: bei 100 bis 125 VAC Max oder 200 to 250 VA Max=25 W
Zusammenfassung
Seite 163
Weitere Informationen finden sie unter
http://www.enterasys.com/products/routing/XSR18xx/.
Zusammenfassung
Seite 164
XSR3020, 3150, 3250
Die Security Router der XSR 3000 Serie ermöglichen ein einfaches und leistungsfähiges Betreiben von
WANs durch die Kombination umfangreicher IP Routing Merkmale, eine breit gefächerte Auswahl an
WANSchnittstellen, vielfältige Sicherheitsfunktionalitäten wie GatewaytoGateway/ClienttoGateway
VPN und Policymanaged, Stateful Inspection Firewalling. Im Gegensatz zu anderen WANGeräten
bieten die XSRRouter hoch entwickelte Sicherheitslösungen und sind in der Lage, selbst dann Wi
respeedLeistung zu liefern, wenn alle Funktionalitäten aktiviert sind. Außerdem haben sie im Gegen
satz zu typischen Sicherheitsappliances die Möglichkeit zum umfangreichen IP Routing und eine
Vielzahl verfügbarer WANSchnittstellen.
Chassis
XSR3150
XSR3250
XSR3020
XSR Security Router with 3 10/100/1000BaseTX Ethernet LAN interfaces,
2 NIM slots, 128 MB DRAM and dedicated VPN accelerator
XSR3150
XSR3250
Zusammenfassung
Seite 165
Optionen
XSR3020FW
Firewall feature set for XSR3020
XSR3020VPN
VPN feature set for XSR3020
XSR3020VPNFW
Firewall & VPN feature set bundle for XSR3020
XSR3XXXFW
Firewall feature set for XSR3150, XSR3250
XSR3XXXVPN
VPN feature set for XSR3150, XSR3250
XSR3XXXVPNFW
Firewall & VPN feature set bundle for XSR3150, XSR3250
XSRRPC
XSR1850 series redundant power center, chassis and 1 power
supply. Compatible with XSR1850 rev level 0L or higher. European
ESD restrictions to some older hardware revisions
XSRRPOWER1850
Redundant power supply for XSR1850, up to 4 mount in XSRRPC
XSR128MBMEM
128 MB memory upgrade for XSR1850
XSR64MBMEM
64 MB memory upgrade for XSR1850
XSRUGKFW
VPN upgrade to Firewall for XSR1800 series
XSRUGKVPN
Firewall upgrade to VPN for XSR1800 series
XSRNCC2504XX
NIM Carrier Card
XSRDEMOKIT
Branch Router Demo Kit
Zusammenfassung
Seite 166
Unterstützte Funktionalitäten
Industrycommon CLI. (The XSR
1800/3000 Series routers do not support
the SSR native CLI.)
IP protocol support including ARP, ICMP, TCP, UDP
Remote management via TELNET,
SSHv2, and SNMPv1, v3. XSR supports
Telnet Server and Telnet Client
Local management through serial console port –
User access is password protected. Default login:
Admin. No password
Ping and traceroute diagnostic tools
RIPv1 and RIPv2 support includes: Split horizon with
poisoned reverse, triggered updates, and clear text
authentication. It is configurable for send receive v1
or v2, passive interface, offset metrics, route filtering
OSPF support includes: Intra and inter
area routing, Type 1 and 2 external
routing, OSPF not so stubby area
(NSSA) option, Opaque link state availability (LSA)
(flooding participation only) option, manual and
automatic virtual links, broadcast, pointtopoint,
pointtomultipoint, and NBMA models, MD5 au
thentication, and incremental SPF
Access control lists, Standard and Ex
tended, insert, move, and replace entry
ability
Denial of Service protection capability
SNTP Client: Allows synchronization of
realtime clock to an external time
service
PPP support for Sync and Async communication
modes
PPP Authentication – Local database
authentication through Password Au
thentication Protocol (PAP), Challenge
Handshake Authentication Protocol
(CHAP) (clear text password only over
WAN) and Microsoft Challenge Hand
shake Authentication Protocol (MSCHAP)
Dial Backup – Answering side of an Async or Sync
(Analog) connection must be configured on a Serial
port that is connected to an analog modem. No dialer
is required for the answering side of the connection.
Features also supported: IP Interfaces, Configurable
Time of Day support. Dial out on Console port, Client
not supported
SNMPv1/v2c For device monitoring,
firmware upgrades, and configuration
downloads; SnMPv3 for device man
agement, monitoring, firmware up
grades, and configuration downloads.
Frame Relay PVC DTE
Quality of Service (QoS)| 4 queues,
outbound, RED, CBWFQ, Weighted Fair
Multilink PPP (MLPPP)
Zusammenfassung
Seite 167
Queuing, TOS, DSCP
Network Address Translation (NAT)
static, twoway and NAPT
Integrated Services Digital Network (ISDN) with
support for Basic (S/T and U) and Primary Rate
Interfaces (BRI/PRI)
Dial and
(DoD/BoD)
PointtoPoint Protocol over Ethernet (PPPoE)
Bandwidth
on
Demand
Bandwidth Allocation Protocol/Control
Protocol (BAP/BACP)
Dynamic Host Configuration Protocol (DHCP) Server
and Relay
Virtual Private Network (VPN) with IP
Security (IPSec), Internet Key Exchange
(IKE) and Public Key Infrastructure (PKI),
EZIPSec, PPTP, L2TP over IPSec (Re
mote Access only), RADIUS, EAP, MS
CHAP v2 and v1, SmartCards with EAP,
SecurID with EAP; GRE over IPSec
Open Shortest Path First (OSPF) and
RIPv2 over VPN
Infinite redial capability
Variable ping
Configurable promiscuous ARP
ISDN BRIU NIM
Network Management Objects including: SNMPv3
agent,
SSHv2
server,
full
configuration
backup/restore,
Syslog MIB, Configuration Management
MIB, Configuration Change MIB, Time
dReset MIB, sysORTable,
Entity MIB, Chassis MIB, login banner, CLI timed
reboot, CPU utilization, Protocol IBS (OSPF, RIP, FR,
PPP)
AAA service: Firewall, Telnet/Console,
SSHv2, VPN
Firewall: Stateful inspection engine, FTP and H.323
ALG support, application command support: FTP,
SMTP and HTTP, DOS protection for internal hosts,
logging, authentication: firewall and NAT, firewall and
VPN interaction
Secondary IP addressing
DF Bit Override support
ISDN call back
Link monitoring at Ethernet sub interface level
(PPPoE)
Ethernet backup
Power Safe Bootrom Upgrade
T3/E3 NIM and firmware (Subrate/Clear
channel)
T1 Drop & Insert NIM and firmware
Zusammenfassung
Seite 168
ADSL Annex A/C & B NIM and firmware
including PPP over Ethernet (PPPoE),
PPP over ATM (PPPoA), and IP over ATM
(IPoA)
802.1 Q VLAN Routing
Remote Auto Install (RAI) over Frame
Relay
QoS over Multilink PPP
Route Preference
Multiple Static Routes
RIP/OSPF route redistribution
Weighted Random Early Detection (WRED)
Dialer Watch with VRRP
Configurable router ID
Traffic shaping
OSPF Database Overflow
OSPF Passive Interface
OSPF T3/T5Ssummarization
Null Interface
Multiclass Multilink QoS
Sun and Microsoft Remote Procedure
Calls (RPC) Application Level Gateway
(ALG)
Access Control Lists (ACL) Violations logging
Generic Routing Encapsulation (GRE)
Over IPSec
Aggressive Mode User Authentication
Classless InterDomain Routing (CIDR){IP
Mask}
FRF.12 – Frame Relay Fragmentation
Configurable Alarm Time Zone
SNMP Trap Source
Modem Initialization String
Public Key Infrastructure (PKI) Entrust Certificates
Policy Based Routing (PBR)
DNS Proxy
PPP CHAP Authentication
SNMP Trap Source
Zusammenfassung
Seite 169
Kapazitäten
XSR Model
XSR3020
XSR3150
XSR3250
NIM Slots
2
2
6
3
3
3
Optional Gigabit Ethernet *
MiniGBIC
MiniGBIC
MiniGBIC
IP Routing Performance
200k PPS
525k PPS
525k PPS
VPN Tunnels
1000
3,000
(up
gradeable)
3,000
(up
gradeable)
VPN Throughput
100 Mbps
350 Mbps
350 Mbps
Firewalling Throughput
1Gbps
2Gbps
2Gbps
Firewall Policies
1
3,000
(up
gradeable)
3,000
(up
gradeable)
20
60,000
(upgradeable)
60,000
(upgradeable)
Redundant Power Supplies
No
Standard
Standard
VPN Accelerator
Embedded
Embedded
Embedded
Fixed
Ports
10/100/1000
Simultaneous
Sessions
LAN
Firewall
* Use of optional MiniGBIC disables use of 1 fixed LAN port.
Zusammenfassung
Seite 170
Spezifikationen
XSR3020
•
Abmaße H/B/T: 53.3 cm (21") L x 42.9 cm (16.9") W x 4.2 cm (1.6") H
•
Gewicht: 7.72 kg (17 lbs)
XSR3150
•
•
XSR3250
•
•
XSR3020, 3150, 3250
•
Betriebstemperatur 0° C to 40° C (32° F to 104 ° F)
•
•
•
Energieverbrauch (bei 100 to 240~ Volts) 25W
http://www.enterasys.com/products/routing/XSR3xxx/.
Zusammenfassung
Seite 171
Optionen – Network Interface Modules
Für die Xpedtion Security Router Serie sind eine Vielzahl von Network Interface Modules für alle wich
tigen Technologien im WAN Bereich verfügbar.
NIMBR1ST01
NIMDIRELAY02
XSR drop and insert NIM
NIMBRIST01
1 port ISDN BRI with S/T interface
NIMBRIST02
2 port ISDN BRI with S/T interface
NIMBRIU01
1 port ISDN BRI with U interface
NIMBRIU02
2 port ISDN BRI with U interface
NIMADSLAC01
1 port ADSL NIM (Annex AC – POTS)
NIMADSLB01
1 port ADSL NIM (Annex B – ISDN)
NIMCT1E1/PRI1
1 port chan T1/E1 ISDN PRI with CSU/DSU
NIM CT1E1/PRI2
NIM CT1E1/PRI4
NIME1COAXBLN
G.703 Balun with 120ohm UTP (RJ45F) to 75W dualBNC cables
NIMSER02
2 port High speed serial NIM
NIMSER04
4 port High speed serial NIM
NIMT1/E101
1 port fractional T1/E1 DSU/CSU NIM
Zusammenfassung
Seite 172
NIMT1/E102
NIMT1/E104
NIMT3/E301
NIM232CAB04
4
port
NIMSERxx
NIM449CAB04
4 port EIA449 DTE serial cable for NIMSERxx
NIMDBU1CAB04
4 port combination V.35/RS232 DTE serial cable for NIMSERxx
NIMV35CAB04
4 port V.35 DTE serial cable for NIMSERxx
NIMX21CAB04
4 port X.21 DTE serial cable for NIMSERxx
NIMETH01
10/100BaseTX Ethernet NIM
NIMFX01
100BaseFX MMF Ethernet NIM
RS232/EIA530
DTE
serial
cable
for
Security
Enterasys Networks entwickelt die fortgeschrittenen sicherheitsrelevanten Merkmale seiner wichtigs
ten Netzwerkkomponenten weiter und bietet gleichzeitig dedizierte Sicherheitsprodukte wie das
Dragon Intrusion Defense System an. Das Secure Networks Konzept sichert alle Teile des Unterneh
mensNetzwerkes mit den fortschrittlichsten UntersuchungsMethoden für den Datenverkehr und
Intrusion Defense Lösungen, die im Moment verfügbar sind. Im Gegensatz zu anderen industriellen
Sicherheitsmodellen schützt Secure Networks die gesamte Netzwerk Infrastruktur, einschließlich den
öffentlichen Internetseiten einer Organisation sowie deren Intranet und Extranet.
Zusammenfassung
Seite 173
Dragon Intrusion Defense 7.0
Enterasys Dragon Intrusion Defense Systeme bieten umfassenden Schutz für Unternehmen, da sie
genau für deren Sicherheitsanforderungen entwickelt wurden. Nur Dragon, mit seinen einzigartigen
Netzwerkbasierten Erkennungsmethoden, der aktiven Reaktionsfähigkeit, modularen Host Intrusion
Detection Komponenten, Server Management und Ereignis Management, bietet eine zuverlässige
Lösung, um das breite Spektrum an Attacken in dem sich beständig weiterentwickelnden Sicherheits
umfeld abzudecken.
Enterasys Dragon, eines der schnellsten und skalierbarsten IDS im Markt, erkennt sämtliche lokalen
Angriffe auf Datenressourcen oder Rechner, wie ScanVersuche, unerlaubte Zugänge ins System und
erfolgreiche, sowie fehlgeschlagene Logins. Außerdem erkennt und alarmiert es, wenn Registry
Einträge oder Passwortdateien geändert und Logfiles überschrieben werden (covering tracks).
Dragon bietet eine vollständige Lösung mit integrierten Netzwerk und Hostbasierten Intrusion Detec
tion Systemen. Es ist in der Lage Firewalls, Routers, Switches und andere IDS Systeme zu beobach
ten. Eines der wichtigsten Merkmale ist seine hohe Skalierbarkeit, die aus dem modularen Aufbau des
Gesamtsystems hervorgeht. Außerdem bietet es eine der führenden SignaturDatenbanken in der
Anzahl, Tiefe und Qualität sowie in dem Bereitstellen neuer Signaturen und der Anpassungsfähigkeit
an Benutzerwünsche.
Bestandteile von Dragon
Enterasys Dragon besteht aus Dragon Hostsensor (HIDS), Dragon Sensor (NIDS), Enterprise Manage
ment Server (EMS) und dem Event Flow Processor (EFP).
Zusammenfassung
Seite 174
Host Intrusion Detection System
Um die Logfiles analysieren zu können, wird der Dragon Hostsensor eingesetzt. Dieser überwacht alle
relevanten Dateien eines Systems und kann auf einem oder mehreren zentralen "Masterlog Servern"
eingesetzt werden. Hier können zum Beispiel die Meldungen von Routern (egal welcher Hersteller)
überprüft und Ereignisse ausgewertet werden. Der Dragon Hostsensor kann ebenfalls auf zu schüt
zenden Hosts genutzt werden, neben Servern beispielsweise auch auf einem PC aus der Personalab
teilung. Dort erkennt der Hostsensor, wenn die Registry verändert wurde. Wird ein neuer Benutzer
lokal hinzugefügt, wird entsprechend Alarm geschlagen. Es gibt unzählige Programme, die es einem
Angreifer ermöglichen, einen Rechner fernzusteuern. Solche unauthorisierten Zugriffe werden sofort
erkannt und gemeldet.
Enterasys Networks stellt von Haus aus über 2000 Signaturen zur Verfügung. So ist ein schnelles und
effizientes Rollout der Hostsensoren möglich. Eigene Signaturen können jederzeit in wenigen Minuten
über das Webinterface erstellt werden. Der Zugang zum Webinterface ist mit einem Passwort gesi
chert und erfolgt verschlüsselt über SSL.
Eine weitere Anwendung der Hostsensoren liegt in der Möglichkeit, die Logfiles von Firewalls und
Routern zu korrelieren. Damit werden nicht nur erfolgreiche Angriffe erkannt, sondern auch versuchte
Angriffe, die von der Firewall oder dem Router geblockt wurden.
Host Intrusion Prevention Systeme
Mit Dragon 7.0 wurde ein AnwendungsIPS in den Host Sensor integriert. Damit kann der unauthori
sierte Zugriff auf WebApplikationen verhindert werden.
Übersicht Intrusion Prevention System
Zusammenfassung
Seite 175
Ansonsten wird die Kernelintegrität überwacht, um zu melden wann und wo das System kompromit
tiert wurde. Das HIDS kann Router von Drittanbietern, Firewalls, Applikationen und andere IDS Syste
me überwachen.
Network Intrusion Detection System
Als wesentliche Quelle für Informationen über Angriffe dient ein Netzwerksensor. Bei Dragon Sensor
handelt es sich um ein netzwerkbasiertes HighSpeed Intrusion Detection System. Dieses System
beobachtet den NetzwerkVerkehr in Echtzeit, um Attacken oder gefährliche Inhalte zu analysieren,
bevor diese ihr Ziel erreichen. Dragon Sensor analysiert den NetzwerkVerkehr auf Protokoll und
AnwendungsEbene. Im Gegensatz zu den meisten anderen NIDS arbeitet Dragon Sensor nicht nur
signaturbasiert. Der Dragon selbst ist in der Lage, Anomalien zu erkennen, für die in der wissensba
sierten Datenbank keine entsprechende Signatur hintergelegt ist. Wird eine Signatur oder Anomalie
erkannt, löst Dragon Sensor einen Alarm aus und übermittelt alle relevanten Daten des Angriffs (Fol
gepakete inklusive Payload) an den Security Information Manager. Der Security Information Manager
dient dem Reporting und der Analyse.
Mit der zunehmenden Verbreitung von Intrusion Detection Systemen arbeiten Hacker natürlich an
Methoden, um diese zu umgehen. Dragon Sensor ist so konzipiert, dass die Funktionsfähigkeit weder
durch IPFragmentierung, TCP/UDP Stream DeassemblyMethoden wie RPC, HTTP und DNS noch
durch erweiterte ProtokollVerschlüsselungstechniken eingeschränkt wird. Dazu gehören auch die
Polymorphic OverflowTechnologien des Security Researches K2. Die Stärke der Polymorphic Over
flowTechnologien liegen darin, einen Angriff verschieden zu kodieren, um somit ein signaturgestütz
tes IDS zu umgehen. Dragon hat Plugins, die solche Kodierungen erkennen und ist immun gegen die
AngriffsTechniken des Security Researchers K2. Die fortschrittlichen adaptiven Mustererkennungs
Algorithmen sorgen dafür, dass automatisch der beste Algorithmus für den jeweiligen Datenstrom
verwendet wird. Dabei werden mehrere Algorithmen gleichzeitig verwendet.
Netzsensoren werden an wichtigen Datenpfaden innerhalb des Unternehmens implementiert. Dazu
gehören alle Verbindungen, die einen externen Zugang zum eigenen Netz ermöglichen. Durch den
Einsatz mehrerer Sensoren sind selbst getrennte Wege oder andere Redundanzmechanismen für ein
IDS kein Hindernis. Ein Netzsensor wird darüber hinaus in unternehmenskritische Zonen platziert, wie
zum Beispiel Personalabteilung, Entwicklung oder Finanzabteilung.
Zusammenfassung
Seite 176
Neue Merkmale mit Dragon 7.0
•
Appliance mit GigabitUnterstützung
•
Aktuelle CPUs, redundante Netzteile und Festplatten
•
Multithreading – wesentliche Performance Verbesserung
•
24 zusätzliche Ports
•
Zusätzliche MultiTap – praktisch unbeschränkt (Linux)
•
VLAN Filterung beim Sensor (VLAN Tagging in 6.2)
•
Unterstützung eines Virtuellen Sensors
Ein einzelner Sensor kann mehrere Policies für verschiedene Netzwerkcharakteristika unterstützen
(zum Beispiel VLAN Tag, IPAdresse, Port, Protokoll, etc.).
Network Intrusion Prevention Prototyp – Linux IP Queuing & Firewall
Enterprise Management Server
Der Enterprise Management Server stellt die Überwachungs und KontrollFunktionen zur Verfügung.
Security Information Manager
Zentrale Sammlung aller Sicherheitsinformationen. webbasierte Analyseprogramme zum Überwachen
von Ereignissen in Echtzeit, Korrelieren von Aktivitäten, zur nachträglichen Analyse von Angriffen und
zur Trendanalyse.
Event Flow Processor
Der Event Flow Processor (EFP) sammelt und aggregiert Ereignisse, um einen hierarchischen Aufbau
des EreignisManagement Systems zu ermöglichen. Damit können die Ereignisse lokal auf dem EFP
untersucht und mit anderen unternehmensweiten Ereignissen korreliert werden.
Zusammenfassung
Seite 177
Neue Graphische Benutzeroberfläche
Dragon Enterprise Manager
Neue und verbesserte graphische Benutzeroberfläche – Phase1 Management
•
TreeView von Stichwörtern
•
Signatur Wizard
•
Rollenbasierte Authentifizierung
•
Policy RevisionsKontrolle
•
Alle Komponenten von Dragon können von der GUI aus verwaltet und überwacht werden.
•
Verbesserte, webbasierte Installationsroutine
•
Lizenzverteilung für Unternehmen
•
IPv6kompatible Netzwerkanwendung
•
Alarmtool Integration in NetSight Intrusion Response
Um eine Dynamische Intrusion Response zu ermöglichen, muss ein mehrstufiger Prozess durchlaufen
werden.
Zusammenfassung
Seite 178
Dynamic Intrusion Response
Zunächst wird ein Intrusion Ereignis erkannt. Daraufhin muss der dafür verantwortliche Benutzer
gefunden werden und eine Reaktion auf dieses Ereignis durch die Anwendung einer passenden Policy
erfolgen. Diese Reaktion wird sowohl in NetSight als auch in Dragon aufgezeichnet. Außerdem steht
eine Methode zum Rückgängigmachen bzw. Verwalten der dynamischen Änderungen der Port
Konfigurationen zur Verfügung.
Dragon Appliance
Zusammenfassung
Part No.
Seite 179
Beschreibung
DSNSS7-E
Dragon Network Sensor Sof tware f or Ethernet
DSNSS7-FE
DSNSS7-GE
Dragon Network Sensor Sof tware f or Fast Ethernet
Dragon Network Sensor Sof tware f or Gigabit
Ethernet
DSHSS7-1-LIC
Dragon Host Sensor Sof tware License (Single)
DSHSS7-25-LIC
Dragon Host Sensor Sof tware License (25 pack)
DSHSS7-100- LIC
DSHSS7-500-LIC
DSHSS7-WebIPS
Dragon Host Sensor Sof tware Web IPS (All OS's)
DSEMS7-SE
DSEMS7-ME
DSEMS7-LE
DSEMS7-U
Dragon Enterprise Management
Enterprise (2)
Enterprise (25)
Large Enterprise (100)
Sof tware-Small
Sof tware-Medium
Sof twareSof tware-Unlimited
DSNSA7-GE500-SX
DSNSA7-GIG-TX
DSNSA7-GIG-SX
Dragon
NIC)
Dragon
NIC)
Dragon
NIC)
Dragon
NIC)
Dragon
NIC)
Dragon
Dragon
DSEPA7
Dragon EFP Appliance
DSEMA7-ME
Dragon Enterprise Management Serv er ApplianceMedium Enterprise (25)
DSNSA7-FE100-TX
DSNSA7-GE250-TX
DSNSA7-GE250-SX
DSNSA7-GE500-TX
FE100 Network Sensor Appliance (Copper
GE250 Network Sensor Appliance (Copper
GE250 Network Sensor Appliance (Fiber
GE500 Network Sensor Appliance (Copper
GE500 Network Sensor Appliance (Fiber
Gig Network Sensor Appliance (Copper NIC)
Gig Network Sensor Appliance (Fiber NIC)
Zusammenfassung
Seite 180
DSEMA7-RED-U
Dragon Enterprise Management Serv er ApplianceLarge Enterprise (100)
Dragon Enterprise Management Serv er ApplianceUnlimited
Dragon Enterprise Management Serv er Appliance Redundant,Unlimited
DSISA7-TX
DSISA7-SX
INS² Integrated Network Sensor/Serv er (Copper
NIC)
INS² Integrated Network Sensor/Serv er (Fiber NIC)
DSEMA7-LE
DSEMA7-U
Betriebssysteme
Network Sensor
Sparc Solaris (versions 8 and 9), Red Hat Linux (2.4 kernel,
versions 8.0 and 9.0)
Host Sensor
Windows NT/2K/XP, Sparc Solaris (versions 8 and 9), AIX
(versions 4.3.3 and 5.X), HPUX (version 11.x), and Linux
Distributions: Red Hat (versions 8.0 and 9.0), SuSE (version
8.1), Mandrake (version 9), Slackware (version 8.1) and
Debian
Enterprise Management
Sparc Solaris (versions 8 and 9), Red Hat Linux (versions
8.0 and 9.0)
http://www.enterasys.com/products/ids.
Zusammenfassung
Seite 181
Wireless
Die Enterasys Networks Wireless LAN Familie "RoamAbout" wurde speziell für eine mobile, verkabe
lungslose Kommunikation in einem Netzwerk jeder Größe entwickelt.
Anwendungsfälle:
•
Indoor (Client Mode)
•
Outdoor (Point to Point)
•
Outdoor (Point to Multi Point)
Die Produkte RoamAbout R2 (für alle Modi) und die AP3000 Varianten (Client Mode) unterstützen alle
gängigen Standards im 2,4 Ghz Bereich (802.11b und 802.11g) sowie 5 Ghz Bereich (802.11a und
zukünftig 802.11h). Der RoamAbout R2 ist zusätzlich so modular ausgelegt, dass auch weitere Stan
dards integriert werden können.
Im Bereich Sicherheit, eines der am stärksten diskutierten Themen bei Wireless LAN, sind beide
Produkte ebenfalls auf dem aktuellsten Stand: 802.1x Authentisierung, WiFiProtected Access WPA
und 802.11i Fähigkeit mit AES Verschlüsselung. Via SNMPv3, SSHv2 und SSL sowie weiteren Funkti
onen wie SSID Unterdrückung und IntraBBS Relay Kontrolle bietet er sicheres Management.
RoamAbout R2
Neben den oben beschriebenen drei Lösungsvarianten bietet der R2 eine kostenlos mitgelieferte
RoamAbout Management Software, den Access Point Manager. Dieses Management Tool ermöglicht
eine Visualisierung des gesamten Wireless Netzwerkes.
Ein Höchstmaß an Sicherheit lässt sich erreichen, indem Netzwerknamen für WLANs definiert werden,
Encryption mit 40 Bit oder 128 Bit eingeschaltet wird und Authentifizierung über MACAdressen
verwendet wird.
Als zusätzliche SicherheitsLeistungsmerkmale werden dynamische Schlüsselvergabe, Rapid Re
Keying und der Standard IEEE 802.1x unterstützt. Während die dynamische Schlüsselvergabe haupt
sächlich das Managen eines WLANs bzw. dessen Benutzer erlaubt, hat Enterasys Networks mit dem
Rapid ReKeying ein weiteres Sicherheitsmerkmal entwickelt, das das "Knacken" der Verschlüsse
lung unmöglich macht. In einer vorab definierten Zeit ändern sich die Schlüssel der Benutzer so, dass
ein eventuell geknackter Schlüssel unbrauchbar wird.
Mehr zu diesem Thema können Sie im Kapitel "Lösungsportfolio" unter Rapid ReKeying für WLANs
nachlesen.
Hervorzuheben ist die Kombination mit den NetSight Atlas Produkten, die ein umfassendes Manage
ment der Access Points gestatten. Es werden Templates unterstützt, so dass problemlos große Ac
cess Point Installationen einfach managebar sind. Eine Besonderheit sind die UPN Funktionen auf den
Access Points (zusammen mit dem NetSight Atlas Policy Manager), die ein Guest Networking ermögli
chen.
Zusammenfassung
Seite 182
Access Point
R2
RBTR2AB
RBTR2AZ
RoamAbout Wireless Access Platform with 110/220v (worldwide)
RoamAbout R2 with Mezzanine
Optionen
RBTRCMZ
RoamAbout R2 Wireless Access Platform Mezzanine adapter for an addi
tional PC Radio Card
RBTR2PS3
RoamAbout
120240 VAC
Replacement/Redundant
Power
Supply
One European RoamAbout Outdoor PointtoPoint Wireless Solution con
sisting of:
RBTEDAB
1 R2 access point plus
1 European 11Mb/s low power PCMCIA card (128bit WEP) plus
1 each of the standard polarity antenna pigtail, lightning arrester, antenna
cable and 7 dBi Omni antenna
Zusammenfassung
Seite 183
One European RoamAbout Outdoor PointtoMultipoint Wireless Solution
consisting of:
RBTEDABM07
1 R2 access point plus
1 European 11Mb/s low power PCMCIA card (128bit WEP) plus
1 each of the standard polarity antenna pigtail, lightning arrester, antenna
cable and 7 dBi Omni antenna
IEEE 802.11b
Zukünftige Standards wie IEEE 802.11a
Quality of Service IEEE 802.11e
WiFi Zertifiziert
11 Mbps Bandbreite
Zukünftig 54 Mbps Bandbreite
Support für 250 User (Indoor) je Access Point
L3/4 Switch Architektur
Dynamisches Load Balancing
Modular Mezzanine Slot für eine 2. PCMCIA
Karte
Ein RomAbout Access Point R2 für Indoor LAN
to Client und Outdoor LANto LAN Support.
PointtoMultipoint möglich
Stromversorgung über das Twisted PairKabel
möglich
Redundanter Einsatz von Stromversorgung
über Twisted Pair und externem Netzteil ist
möglich
Kostenfreie Managementsoftware AccessPoint
Manager
Kostenfreie Client Diagnose Tools
4 RMON Gruppen
Telnet und WebManagement
Mit entsprechendem Netsight Produkt
Standard 40Bit WEP (Wired Equvalent
Privacy) serienmäßig
128Bit Encryption (RC4 Algorithmus) verfügbar
Dynamic & Session Encryption
Rapid ReKeying (CSIPTRK)
IEEE 802.1X Port Based Network Access
Control
Zusammenfassung
Seite 184
Kapazitäten
Technik
2.4 GHz PCMCIA (CSIBDxx/CSILDxx)
Frequenzband
2400 bis 2483.5 MHz
Modulationstechnik
Direct Sequence Spread Spectrum (DSSS)
Bitfehlerrate
Besser als 105
Zugangsprotokoll
CSMA/CA (Collision Avoidance) with ACK
Datenrate
11 Mbps (with fall back rates of 5.5, 2 and 1Mbps) Auto
matische Bandbreiten Kontrolle
Sendeleistung
CSIBDxx:
15dB
CSILDxx (outdoor ETSI): 8dB (6.25mW)
Reichweiten (Meter/Feet)
11 Mbps, 5.5
Offener
(160/525) (270/885)
HalbOffener Bereich
(50/165) (70/230)
Geschlossener
(25/80)
(35/115)
Mbps,
2
(32mW)
Mbps,
(400/1300)
(90/300)
(115/375)
(40/130)
(50/165)
1
Mbps
Bereich
(550/1750)
Bereich
Energieverbrauch
120 bis 240 VAC, 16 Watt
Schnittstellen
10/100
Mbps
mit
Autonegotiation
PC Card Interface: Card Bus 32 Bit, PCMCIA 16 bit
Slot für MezzanineBoard (für optionaler zweiter PCMCIA
Karte)
Console port: RS232
Zusammenfassung
Seite 185
Spezifikationen
•
Abmaße H/B/T: 173.4 mm (6.84") x 200.8 mm (7.90") x 62.3 mm (2.45")
•
Gewicht: 1.47 kg (3.25 lbs) inkl. Abdeckung
•
Betriebstemp. 5° bis +40° C (41° F to 104° F)
•
Temperaturgrenzwerte 30° bis +66° C (22° F to 151° F)
•
Zulässige Feuchtigkeit 5 bis 85%
•
Unzulässige Feuchtigkeit 0 bis 95%
•
Höhe: 60 Meter NN bis zu 4000 Meter NN
•
Energieverbrauch: 120 Watt
http://www.enterasys.com/products/wireless/RBTR2/.
Zusammenfassung
Seite 186
AP3000
Der RoamAbout AP3000 ist mit mehreren Technologien ausgestattet und enthält sowohl ein integrier
tes 802.11b/g als auch ein integriertes 802.11a Radio. Für Kunden, die nicht zu einem 802.11a
Netzwerk migrieren wollen oder können (in Europa sind diese Frequenzen zur Zeit nicht freigegeben),
steht auch eine Variante mit nur einem integrierten 802.11b/g Radio zur Verfügung. Dies spart Investi
tionskosten.
Der RoamAbout AP3000 wird Ende Februar 2004 in größeren Mengen lieferbar sein.
AP3000
Access Point
RBT3KAG
Dual embedded radio AP. (1) 802.11a 5GHz radio, and (1) 802.11b/g
2.4GHz radio
RBT3K1G
Single embedded radio AP. (1) 802.11b/g 2.4GHz radio
RBT3KAGG
Dual embedded radio AP. (1) 802.11a 5GHz radio, and (1) 802.11b/g
2.4GHz radio. This product is manufactured in Mexico for government
compliance
Zusammenfassung
Seite 187
Dual Radio
Durch zwei integrierte Radios sind sie in der Lage,
alle Wireless Standards, 802.11a, 802.11b und
802.11g gleichzeitig und dadurch eine einfache
Möglichkeit zur Migration zum 802.11a Standard
anzubieten.
Antenna diversity
Um die bestmögliche Abdeckung zu ermöglichen,
sind zwei Antennen mit "antenna diversity" integ
riert.
10/100BaseTX Uplink
Als Uplink Port steht ein 10/100BaseTX Ethernet
Port zur Verfügung, um zukünftigen Bandbreitenan
forderungen gerecht zu werden.
Remote Power
"Remote Power" spart Geld und Umstände, da keine
Stromleitungen zum Accesspoint verlegt werden
müssen. Der AP3000 unterstützt nicht nur den
802.1af Power over Ethernet Standard über unge
nutzte Leitungen, sondern auch über für die Kommu
nikation genutzte Leitungen. Anmerkung – das ist
nicht Kompatibel zum AP2000 und R2.
Management
Telnet und Web Management erlauben die Manage
ment Flexibilität, die von unseren Kunden erwartet
wird.
NetSight Managebar
Der AP3000 ist vollständig mit der NetSight Platform
managebar, dadurch werden die fortschrittlichen
Management Features von NetSight verfügbar.
SNMPv3
SNMPv3 ist eine neue Version des Simple Network
Management Protokolls, die mehr Sicherheit bietet.
(Im AP3000 wird sie ab März 2004 via Firmware
Upgrade verfügbar sein)
IEEE 802.1X, EAP
IEEE 802.1x/EAP ist ein mächtiger Authentifizierungs
Mechanismus – der sicherste Weg, um Benutzer zu
authentifizieren. Außerdem ermöglicht er die Vertei
lung von Schlüsseln zur Verschlüsselung. Und es
besteht die Möglichkeit, diese nach einer gewissen Zeit
auszutauschen. Unterstützt werden MD5 (ohne Schlüs
sel Austausch), TLS, TTLS and PEAP.
VLANs
VLAN Unterstützung basierend auf IEEE 802.1x
Authorisation – Benutzer können aus Sicherheits
gründen einzelnen VLANs zugeordnet werden.
Zusammenfassung
Seite 188
Verschlüsselung
SitzungsVerschlüsselung – der AP3000 unterstützt
WEP, WPA/802.1x, WPA/PSK (PreShared Keys) und
AESCCM. Da die Verschlüsselung paarweise arbei
tet, wird jedem Benutzer ein eigener Schlüssel
zugewiesen, so dass ein hohes Niveau an Sicherheit
erreicht wird.
IEEE 802.11i
IEEE 802.11i AESVerschlüsselung basiert auf dem
IEEE 802.11i VorabStandard. Sobald dieser ratifiziert
wurde, wird er mit einem Firmware Upgrade im
AP3000 verfügbar sein.
IEEE 802.11e
IEEE 802.11e Standard in Arbeit für QoS über Wire
less – erlaubt die Interoperabilität dieses wichtigen
neuen Features.
IEEE 802.1f
IEEE 802.1f Accesspoint zu Accesspoint Kommunika
tion – Dieser Standard erleichtert das Roaming
zwischen Funkzellen verschiedener Hersteller in
einem Accesspoint Netzwerk.
Konsoleport
Für die initiale Konfiguration hat der AP3000 einen
Konsoleport. Um Zugriff auf den Accesspoint zu
erhalten ist zusätzlich noch ein Passwort erforderlich.
Auto Kanal
Auto Kanal – der AP3000 hat die Fähigkeit, automa
tisch einen Kanal auszuwählen, auf dem kein Daten
austausch stattfindet.
Regelbare Ausgangsleistung
Die regelbare Ausgangsleistung erlaubt es, die
Ausgangsleistung anzupassen, um kleinere Funkzel
len zu erzeugen. Die Leistung kann in Schritten von
50%, 25% und 12,5% geregelt werden.
Dynamische Frequenzwahl
DFS/TPC dynamische Frequenzwahl und Transmitter
Leistungs Kontrolle erlauben es, den AP in europäi
schen Ländern mit weniger Restriktionen zu vertrei
ben.
IBSS Relay
IBSS Relay – die Möglichkeit, WirelessBenutzern zu
erlauben, direkt untereinander oder in der ISP
customer base zu kommunizieren, und die Möglich
keit, dieses Feature zu unterbinden, so dass Nach
barn die direkte Kommunikation untersagt wird.
Load Balancing
Wenn auch nicht auf die gleiche Art und Weise wie
der AP2000 und der R2, hat der AP3000 doch die
Zusammenfassung
Seite 189
Möglichkeit, eine Obergrenze für die Anzahl der
Benutzer, die auf ihn zugreifen können, anzugeben.
Mehrere Images
Das heißt sowohl die Möglichkeit ein aktiv laufendes
Image als auch ein Backup Image auf einem Gerät zu
haben, so dass auf ein früheres Image gewechselt
werden kann.
NTP
NTP Network Time Protocol erlaubt das Schreiben
von Logfiles mit realen Zeitstempeln anstelle der
Uptime.
Kapazitäten
802.11a
Frequency Band
5.15 – 5.25 GHz (low band) US (FCC), Canada, Japan and
parts
of
Europe
5.25 – 5.35 GHz (mid band) US (FCC), Canada and parts of
Europe
5.725 – 5.825 GHz (high band) US (FCC) and Canada
5.50– 5.70 GHz Europe band
Modulation Technique
BPSK, QPSK, 16QAM and 64QAM (OFDM)
Media Access Protocol
Data Rate
54 Mbps with fall back rates of 48, 36, 24, 18, 12, 9 and 6
Mbps per channel
Output Power
17dBm at 5.15 – 5.25 GHz (except at 54 Mbps output is
12dBm)
17dBm at 5.25 – 5.35 GHz
17dBm at 5.725 – 5.825 GHz (except at 54 Mbps output is
16dBm) ,17dBm at 5.50– 5.70 GHz
Receiver Sensitivity
70dBm at 54 Mbps to 88dBm at 6 Mbps at 5.15 –
5.25GHz
5.35GHz
5.825GHz
69dBm at 54 Mbps to 88dBm at 6 Mbps at 5.50– 5.70GHz
Zusammenfassung
Seite 190
801.11b/g
Frequency Band
2.4 – 2.83 GHz US (FCC), Canada, Europe (ETSI)
2.4 – 2.497 GHz Japan
Modulation Technique
802.11b: CCK, DBPSK, DQPSK (DSSS)
Media Access Protocol
Data Rate
802.11b: 11 Mbps with fall back rates of 5.5, 2 and 1 Mbps per
channel
802.11g: BPSK, QPSK, 16QAM and 64QAM (OFDM)
802.11g: 54 Mbps with fall back rates of 48, 36, 24, 18, 12, 9
and 6 Mbps per channel
Output Power
802.11b:
15dBm at 2.412 GHz and 2.472 GHz; 16dBm at 2.417 – 2.467
GHz
802.11g:
2.412 GHz—15dBm at 54 Mbps; 17dBm at 48 Mbps; 18dBm at
36 Mbps; 20dBm at 6 to 24 Mbps
2.417 GHz – 2.467 GHz—14dBm at 54 Mbps; 16dBm at 48
Mbps; 19dBm at 36 Mbps; 20dBm at 6 to 24 Mbps
2.472 GHz—13dBm at 54 Mbps; 15dBm at 48 Mbps; 17dBm at
36 Mbps; 18dBm at 6 to 24 Mbps
Receiver Sensitivity
802.11b: 87dBm at 11 Mbps to 93dBm at 1 Mbps
802.11g: 70dBm at 54 Mbps to 88dBm at 6 Mbps
Abgeschätzte Reichweite in SemiOffenem Büro (Meter/Fuß)
802
.11a
802
.11g
54M
48M
36M
24M
18M
12M
9M
6M
25M
35M
40M
45M
50M
55M
66M
70M
80F
115F
130F
148F
165F
180F
215F
230F
20M
25M
35M
43M
50M
57M
71M
80M
66F
82F
115F
141F
165F
187F
233F
262F
11M
5.5M
2M
1M
Zusammenfassung
Seite 191
802
.11b
66M
85M
90M
93M
216F
279F
295F
305
F
http://www.enterasys.com/products/wireless/RBT3Kxx/.
Zusammenfassung
Seite 192
Sonstige Komponenten
Optionale Hardware
CSISAAX
RoamAbout Ethernet Adapter (needs one WLAN Card: CSIBDAB128)
RBTBXPC
RoamAbout PCI Carrier, 16 & 32 bit bus (requires PCMCIA Radio Card)
WLAN Karten
CSIBDAB128
RoamAbout PC 802.11b Radio Card (WEP 128bit) for ETSI countries
(external antenna connector)
CSICDAW128
RoamAbout 802.11DS World PC Card, optimized for indoor client use
CSILDAB128
11Mb/s Low Power PC Card (ESTI), For building to building applications.
(WEP 128)
RBTBFAX
RoamAbout 802.11a 54Mb/s PC Radio Card (5.155.35 GHz) for the R2,
with onboard antenna only (no external antenna connector)
RBTBFAL
RoamAbout 802.11a PC Card (Low 4 Ch) (For use in Germany in combi
nation with R2, no external antenna connector)
RBTBGAX
World 11b/11g channels (111) and 11a (channels 3664) (no external
antenna connector)
RBTBGAW
802.11 a/b/g PC Client World Card (For use in Germany, no external
antenna connector)
RBTBHR2W
RoamAbout 802.11 a/b/g Multimode Radio Card for R2
Softwareoptionen
CSIPTMP
RoamAbout Activation Key for MultiPoint AP (1 central, up to 6 remotes)
Zusammenfassung
Seite 193
Antennen und Kabel
CSIBBIA
CSIESABM05
CSIESABY14
CSIBBIA
RoamAbout indoor antenna, used for desktop PC applications where
you want to extend antenna range, or at sites where the AP is not
ideally located
CSIESABPT50
Cable Assembly – 50 cm, Standard N
CSIESABPT250
Cable Assembly – 250 cm, Standard N
CSIESABLP
Lightning Protector – Standard N
CSIESABC20
Cable – Low Loss, 20 ft, Standard N
CSIESABC50
CSIESABC75
CSIESABY14
Antenna Yagi Unidirectional – 14 dBi, Standard N
CSIESABM05
Antenna Omnidirectional – 5 dBi, Standard N
CSIESABM07
Antenna Omnidirectional – 7 dBi, Standard N
Zusammenfassung
Seite 194
HINWEIS bezüglich weiterer externer Antennen. Auf Nachfrage bieten wir aktive Antennen an, die
unter geeigneten Randbedingungen Luftdistanzen bis zu ca. 20 km bei 1 Mbit/s ermöglichen.
Yagi 14 dBi Unidirektional
•
Länge = 45.7 cm (18 inch.)
•
Befestigen an vertikalem
(1.4 in.) und 42 mm (1.6 in.)
•
Frequenzbereich 2.4 GHz
•
Nominal Widerstand 50 Ohms
•
Verstärkung 14 dBi
•
Polarisation Linear, Vertikal oder Horizontal
•
Betriebstemperatur 40°C bis +60°C (40°F bis 140°F)
•
Windfestigkeit mindestens 128 km/h (80 mph)
Mast
mit
Außendurchmesser
zwischen
35
mm
Vehical Mount 5 dBi Omnidirektional
•
•
•
•
Verstärkung 5 dBi
•
Polarisation Vertikal
•
•
Windlast mindestens 194 km/h (120 mph)
•
Omni 7 dBi Omnidirektional
•
•
Befestigen an vertikalem Mast mit Außendurchmesser bis zu 51 mm (2 in.)
•
•
•
Verstärkung 7 dBi
Polarisation Linear, Vertikal
•
Zusammenfassung
•
Seite 195
Windlast mindestens 128 km/h (80 mph)
Indoor 2.5 dBi Omnidirektional
•
Länge = 23 cm (9 inch.)
•
Befestigen an Wänden oder Aufstellen
•
•
•
Verstärkung 2.5 dBi
Zusammenfassung
Seite 196
Network Management NetSight Atlas
Mit der NetSight Atlas Management Suite kommen die Vorteile der Enterasys Komponenten richtig
zum Tragen. Effizientes Management der Komponenten trägt wesentlich zur Senkung der Betriebs
kosten und damit zur Reduzierung eines großen Teils der Gesamtkosten bei. Die Produkte sind einzeln
oder auch zusammen installierbar.
Folgende Produkte sind verfügbar:
•
o
•
Zentrales Device Management mit flexibler Oberfläche (FlexViews) und Alarm
Bearbeitung
Optionale Plugin Anwendungen, die bestimmte Netzwerk Management Aufgaben erleich
tern
o
!
•
o
•
Zentrales Management aller UPN Funktionen
Auf einen Klick Hardware, Software und Konfigurationen sichern und verwalten,
Softwareupgrades netzwerkweit auf Knopfdruck
o
Firewall und Access Control List Management für alle Komponenten von einer
Stelle aus
Zusammenfassung
Seite 197
NetSight Atlas Console (von hier an mit Console bezeichnet) ist der Kern der NetSight Atlas Produktli
nie.
Console wurde entwickelt, um den Workflow der meisten Netzwerk Administratoren wider
zuspiegeln. Es ist eine Kommando und KontrollKonsole für unternehmensweites Mehrgeräte
Management.
Mit nur einem Klick und Blick ist es möglich,
Herauszufinden ob und welche Geräte hinzugefügt oder verändert wurden und einzelne Nutzer im
Netzwerk zu finden.
Geräte in beliebige Gruppen einzuteilen, wie BüroStockwerke, Gebäude, Zweigstellen, Gerätefunkti
onen (Core vs. Edge), etc.
Beliebige Eigenschaften von Geräten benutzerdefiniert abzufragen und diese Anfragen in Query
Profilen, genannt FlexViews, für zukünftige Benutzung abzuspeichern.
Zu kontrollieren, wie die Konsole mit Geräten kommuniziert, indem Authentifizierung und Verschlüsse
lung aktiviert wird.
Zusammenfassung
Seite 198
NetSight Atlas Console Light bietet eine kostengünstige Alternative, unterstützt dementsprechend
aber nicht alle Features.
NSACD
NetSight Atlas CD
NSALIC
NetSight Atlas license for one copy of NetSight Atlas
Discovery
Discovery füllt die NetSight Atlas Datenbank, es findet die Geräte basie
rend auf IPAdressbereichen oder CDPSeed Geräten. Die erkannten
Geräte können in der Datenbank gesichert werden, wo sie automatisch
in einer oder mehreren der vom System erstellten, passenden Geräte
gruppen eingetragen werden.
Device Groups, User
defined Groups
Standardmäßig werden Gerätegruppen für verschiedene Produkt Famili
en wie Matrix, XPedition, XSR, etc. erstellt. Es können eigene Gruppen
erstellt und in beliebiger Art und Weise organisiert werden.
Maps und Icons (nicht
verfügbar bei Atlas Lite)
Maps erlauben das Expandieren von Ansichten in der Geräteansicht, so
dass das NetzwerkLayout einfacher visualisiert werden kann. Sie
erlauben das Organisieren der Netzwerke in einfacher Weise, mit gra
phisch dargestellten Verknüpfungen zwischen den Geräten und Geräte
gruppen.
Geräte Icons zeigen ein Abbild des Gerätes und seinen Status. Zusätz
lich können beliebige Icons (GIFFormat) für weitere Geräte oder Funkti
onen abgelegt werden.
FlexViews
(Erstellen von benut
zerdefinierten Views
nicht bei Atlas Lite)
NetSight Atlas Console und NetSight Atlas Console Lite bieten vordefi
nierte FlexViews, die Informationen über ihre Netzwerkgeräte und deren
Ports liefern. Diese Views ermöglichen das Untersuchen und Konfigurie
ren im gesamten System. Die FlexView Tabellen können gefiltert,
durchsucht und sortiert werden, so dass nur bestimmte Netzwerkzu
stände angezeigt werden, zum Beispiel die Top Ten der Ports mit den
höchsten CRCFehlerraten oder der höchsten Paketrate.
FlexViews können diese Informationen auch als Pie Chart oder Balken
grafik präsentieren, die ausgedruckt und als CSV, XML oder HTML
exportiert werden können.
Mit NetSight Atlas Console ist es zusätzlich möglich, eigene FlexViews
zu erstellen oder die Standardviews zu modifizieren. Dies ist mit Netight
Atlas Console Light nicht möglich.
Zusammenfassung
Seite 199
MIB
Tools
(nicht verfügbar bei
Atlas Lite)
MIB Tools erlauben das Durchforsten der MIBs, die von einem aktiven
Gerät im Netzwerk unterstützt werden, und ermöglichen das Ändern der
Werte schreibbarer MIBObjekte.
VLAN
Tools
(nicht verfügbar bei
Atlas Lite)
Die VLAN Tools ermöglichen das Systemweite Konfigurieren von VLANs
und BeobachtungsFähigkeiten. Damit können VLAN Konfigurations
Parameter erstellt werden, die auf eine Vielzahl von Geräten oder Port
Gruppen exportiert werden.
Compass
(nicht verfügbar
Atlas Lite)
Compass ist eine Anwendung, mit der nach Informationen über Endbe
nutzer oder Computer gesucht werden kann. Damit können zum Bei
spiel folgende Fragen beantwortet werden:
bei
•
Wo ist diese IP Adresse im Netzwerk?
•
Wo sind alle Teilnehmer eines IP Subnetzes im Netzwerk?
•
Welche Benutzer sind auf diesem Switch/ in diesem Gebäu
de/ im gesamten Netzwerk authentifiziert?
Alarms und Events
Das Alarm und Event Tool wird verwendet, um bei bestimmten Situatio
nen, die die Aufmerksamkeit des Administrators erfordern, Benachrich
tigungen zu erzeugen. Die erzeugten Informationen können exportiert,
ausgedruckt, durchsucht, gefiltert und sortiert werden. Die Konsole
erlaubt außerdem das Hinzufügen von benutzerdefinierten Alarm und
EventAnzeigen. AlarmAktionen können aus eMail Benachrichtigung
oder beliebigen, extern ausgeführten Programmen bestehen.
Device Manager
Der Device Manager startet eine GeräteAnsicht, welche Status Informa
tionen und administrative Anwendungen bietet, die sie bei der Verwal
tung des Netzwerks unterstützen. Geräte Ansichten liefern graphische
Repräsentationen überwachter Geräte, detaillierte Management
Informationen und dienen auch als Zugriffspunkt für andere
ManagementFenster.
Plugin applications
Dies sind optionale Anwendungen, die aus Atlas Console oder Atlas
Console Lite heraus gestartet werden können. Jede Plugin Anwendung
erleichtert bestimmte Netzwerk Management Aufgaben. Momentan sind
folgende Plugins verfügbar:
•
Policy Manager
•
Inventory Manager
•
Router Services Manager
Zusammenfassung
Seite 200
Unterschied Atlas Console <> Atlas Console light
Merkmale
NetSight Atlas
NetSight Atlas Lite
Discovery
•
•
Device groups, port groups,
userdefined groups
•
•
Maps and icons
•
FlexViews
•
MIB tools
•
VLAN tools
•
Compass
•
Alarms and events
•
•
Device Manager
•
•
NetSight Atlas plugin applications
•
•
•
Systemanforderungen
NetSight Atlas Console kann auf einer Windows NT® 4.0, Windows XP®, Windows® 2000 Platform,
oder UNIX® Solaris® 2.7 or 2.8 Platform installiert werden, die den unten angegebenen Systeman
forderungen entspricht.
Windows
Unix
•
Windows NT 4.0, Windows 2000,
Windows XP (qualified on the Eng
lish version of the
•
Solaris 2.7 and 2.8 (with latest op
erating system patches installed)
•
operating systems)
•
Minimum Sun® Ultra 10/20 (or
equivalent), 256MB RAM
•
Minimum P3450 MHz, 256MB
RAM
•
Recommended Sun® Ultra 30/60
(or equivalent), 512MB RAM
•
Recommended
512MB RAM
•
Free Disk Space 500MB
•
Free Disk Space 500 MB
P3550
MHz,
Zusammenfassung
Seite 201
NetSight Atlas Policy Manager, wichtige Komponente im dynamischen, Userbasierten Netzwerk
Policy Konzept von Enterasys Networks, deckt folgende Punkte ab:
•
Authentifizierung
•
Rollenbasierte Administration
•
ServiceEnabled Edge
Unter Verwendung von Rollenbasierter Administration für die Freigabe und Sperrung des Zugriffes
auf Netzwerkressourcen bietet der Atlas Policy Manager eine mächtige und dennoch einfach zu
bedienende Anwendung. Sicherheitsanforderungen von Unternehmen werden dabei auf eine Weise
modelliert, die sowohl für Techniker als auch für nichttechnische Benutzer verständlich ist.
NetSight Atlas Policy Manager Hauptfenster
Der Atlas Policy Manager vereinfacht das Verwalten komplexer Netzwerk Policys, komplexe Elemente
wie QoS, CoS, Rate Limiting, VLANs und Filtering sind nicht mehr sichtbar. Mit einem Mausklick kann
der Policy Manager eine PolicyRegel im gesamten Netzwerk verteilen. Er vereinfacht und automati
siert die Erstellung und Einhaltung von Benutzerzugriffen, Netzwerkpolicies und Businessenabled
Networks.
Zusammenfassung
Seite 202
NSAPM10D
NetSight Atlas Policy Manager 10 device support. This is a license key
providing support for a maximum of 10 devices
NSAPMCD
NetSight Atlas Policy Manager CD. (Requires at least 1 NSAPMLIC to
use beyond 30 days)
NSAPMLIC
NetSight Atlas Policy Manager License key for one copy of the software
Systemanforderungen
NetSight Atlas Policy Manager kann auf einer Windows NT® 4.0, Windows XP®, Windows® 2000
Platform, oder UNIX® Solaris® 2.7 or 2.8 Platform installiert werden, die den unten angegebenen
Systemanforderungen entspricht.
Windows
•
Unix
Windows XP (qualified on the
English version of the operating
systems)
•
•
Minimum Sun® Ultra 5 (or equiva
lent), 128MB RAM
•
RAM
•
Recommended Sun® Ultra 60 (or
•
Recommended
256MB RAM
•
•
•
Swap Space: Twice RAM
•
A CDROM drive (for hardcopy
•
installation media)
P3550
MHz,
Zusammenfassung
Seite 203
Beim Verwalten eines großen Netzwerks mit Hunderten von Geräten wird das Überwachen von Konfi
gurations und FirmwareVersionen eine mühsame und zeitaufwendige Angelegenheit. NetSight Atlas
Inventory Manager schafft hier mit einem umfassenden Tool zur Verwaltung der Netzwerkkomponen
ten und Konfigurationsänderungen Abhilfe.
Sie können komfortabel von ihrem Arbeitsplatz aus den Bestand an Netzwerkgeräten, deren Hard
ware, Konfiguration und Firmware mit wenigen Mausklicks beobachten. Das Troubleshooting von
Netzwerk Problemen im Zusammenhang mit Änderungen bei Geräten wird einfach, da der Inventory
Manager Änderungen an Konfigurationsdateien verfolgt, meldet und eine History der Änderungen der
Gerätekonfiguration vorhält. Unter der Verwendung von eingebauten Wizards können sie auf einfache
Art und Weise RoutineAufgaben wie Konfigurationssicherungen oder Firmwareaktualisierungen auf
Hunderten von Geräten auf einmal erledigen.
Zusammenfassung
Seite 204
NSAIMCD
NetSight Atlas Inventory Manager CD
NSAIMLIC
NetSight Atlas Inventory Manager licence key for one copy of NetSight
Atlas Inventory Manager
Systemanforderungen
NetSight Atlas Inventory Manager kann auf einer Windows NT® 4.0, Windows XP®, Windows® 2000
Platform, oder UNIX® Solaris® 2.7 or 2.8 Platform installiert werden, die den unten angegebenen
Systemanforderungen entspricht.
Windows
Unix
Windows NT 4.0, Windows
2000, Windows XP (qualified on
the English version of the
operating systems)
•
•
•
Minimum Sun® Ultra 10/20 (or
RAM
•
Recommended Sun® Ultra 30/60
(or equivalent), 256MB RAM
•
Recommended
512MB RAM
•
•
•
P3866
MHz,
Zusammenfassung
Seite 205
Der Router Services Manager (RSM) verfügt über eine graphische Benutzeroberfläche, um Regeln und
ACLs zu erstellen und diese auf Routern in ihrem Netzwerk einzusetzen. Er unterstützt dabei sowohl
die Native ACLs des XPedition Routers als auch die Enterasys Operating System (EOS) ACLs des XSR
oder Matrix. Durch den RSM können die ACLs bequem von ihrem Arbeitsplatz aus per graphischer
Benutzeroberfläche erstellt werden, was eine große Zeitersparnis ist, wenn man berücksichtigt wie
viele Router und ACLs heutzutage im Netzwerk konfiguriert werden müssen, um deren Integrität
sicherzustellen. Außerdem unterstützt der RSM die Transformation von Native in EOS ACLs und um
gekehrt. Desweiteren existiert ein Packet Evaluation Tool, mit dem man synthetisch erzeugte Pakete
gegen die ACL testen kann.
Zusätzliche erlaubt der RSM das Konfigurieren und Überwachen der Firewall Funktionalität eines XSR.
Unter Verwendung der Firewall Management Fähigkeiten des RSM können Sie:
•
Einen zentralen Punkt für Sicherheitsentscheidungen schaffen.
Zusammenfassung
Seite 206
•
Das Netzwerk in diskrete Sicherheitszonen unterteilen.
•
Sicherheitspolicies zwischen verschiedenen Sicherheitszonen erzwingen, um propriätere
Informationen vor unbefugtem Zugriff zu schützen.
•
Es Benutzern ermöglichen, sich über ein öffentliches, unsicheres Netzwerk (Internet) an
zumelden und zu arbeiten.
•
Unerwünschten Datenverkehr einschränken.
•
Interne Netzwerke vor böswilligen und bösartigen Attacken schützen.
•
NetzwerkAktivität aufzeichnen.
•
Die Schwachstellen im Falle einer erfolgreichen Attacke schnell schließen.
NSARSM10D
NetSight Atlas Router Services Manager 10 device support (limited)
NSARSMCD
NetSight Atlas Router Services Manager CD. GUI support for manage
ment of Firewall and ACLs
NSARSMLIC
NetSight Atlas Router Services Manager License Key. A single License
key to use one copy of the NetSight Atlas Router Services Manage
ment software
Systemanforderungen
NetSight Atlas Router Services Manager kann auf einer Windows NT® 4.0, Windows XP®, Win
dows® 2000 Platform, oder UNIX® Solaris® 2.7 or 2.8 Platform installiert werden, die den unten
angegebenen Systemanforderungen entspricht.
Windows
Unix
•
•
Solaris 2.7 and 2.8 (with latest operating
system patches installed)
•
Minimum Sun® Ultra 10/20 (or equiva
lent), 256MB RAM
•
Recommended Sun® Ultra 30/60 (or
•
Windows XP (qualified on the English
version of the operating systems)
Minimum P3450 MHz, 256MB RAM
•
Recommended P42 GHz, 512MB
RAM
•
Mehr Informationen zu den NetsightProdukten finden Sie unter: http://www.enterasys.com/netsight/.
Planungsbeispiele
Seite 207
Planungsbeispiele
Außenstellen mit VPN und ISDN Backup
Das Unternehmen X hat heute eine Anbindung der Außenstellen über den Frame Relay Dienst eines
Providers realisiert. Die Anschlussgeschwindigkeit beträgt zwischen 64 kbps und 128 kbps pro Au
ßenstelle. Es sind insgesamt 200 Außenstellen angeschlossen.
Die neue Anbindung soll aus kosten und sicherheitstechnischen Gründen über die DSL Lösung eines
Providers realisiert werden. Der Abschluss des Providers ist Ethernet. Da die Firmendaten dadurch
das öffentliche Internet passieren, ist ein Schutz mittels VPN unabdingbar.
Aus Redundanzgründen ist ein ISDN Backup gewünscht. Der Backup sieht je nach Kategorie der
Außenstellen keinen Anschluss oder 1 ISDN BRI (64 kbps bzw. 128 kbps) vor, auf dem selektiv Appli
kationen im Backupfall übertragen werden. In der Zentrale stehen für diesen Fall insgesamt 4 ISDN
PRI zur Verfügung. Die Beispiellkalkulation geht von ISDN bei allen Außenstellen aus.
Branch Offi ce B
Branch Office C
Branch Offi ce A
10/100
XS R-1805
IS DN BRI
10/100
X SR-1805
10 Mbp s with PPP oE
to DSL/ Cab le Mo dem
10 Mbps w ith P PPo E
to DSL/ Cabl e Modem
10/100
XS R-1805
ISDN BRI
In ternet or
pri vate I P backbo ne
I SDN
4 IS DN PRI
XSR-1850
FW Cluster
DMZ
FW Cluster
Headqu arters
XS R1850
Planungsbeispiele
Seite 208
Die Lösung würde wie folgt aussehen (basierend auf den jeweiligen Listenpreisen, Angabe ohne
Gewähr):
Anzahl
Produkt
Preis
Gesamtpreis
200
XSR1805
$1.045
$209.000
200
XSR18xxVPN
$1.045
$209.000
200
NIMBRIST01
$520
$104.000
2
XSR3150
$7.683
$15.366
2
XSR3XXXVPN
$5.868
$11.736
2
NIMCT1E1/PRI4
$3.670
$7.340
Enterasys
$556.442
AußenstellenAnbindung über VPN und Standleitung
In folgendem Szenario werden 50 Außenstellen mit einer Standleitung von bis zu 2 Mbps angebunden
(teilweise sind jedoch nur 128 kbps nötig).
Der Backup wird über VPN realisiert. Zusätzlich wird den einzelnen Außenstellen dieser weltweit
tätigen Organisation lokaler Internet Zugriff gewährt, um zusätzliche Leitungskosten zu sparen. Dies
bedeutet, der FirewallFunktion auf den Routern kommt erhebliche Bedeutung zu.
Der lokale Internetverkehr kann bis zu 80% der Leitungskapazität der Standleitung einsparen – damit
verbunden sind wiederum erhebliche Kosteneinsparpotentiale.
Planungsbeispiele
Seite 209
Bran ch Office A
Bran ch Office B
10/100
10/ 100
XSR-1850
XSR-1850
E1 - G. 703
Local Inte rne t A cce ss
& VPN B ack up
E1 - G. 703
10/100
10/100
I nternet
Leased L ine
4 * E1
FW Cluster
DMZ
XSR-1850
XSR1850
FW Clu ster
Head quarters
Die Lösung würde wie folgt aussehen (basierend auf den jeweiligen Listenpreisen, Angabe ohne
Gewähr):
Anzahl
Produkt
Preis
Gesamtpreis
50
XSR1850VPN
$3.355
$167.750
50
XSRFW
$730
$36.500
50
NIMT1/E101
$835
$41.750
2
XSR3150
$7.683
$15.366
2
XSR3XXXVPN
FW
$6.722
$13.444
2
NIMT3/E301
$8.537
$17.074
Entera
sys
291.884,00
Literaturhinweise
Seite 210
Literaturhinweise
Jahrbuch 2001 Kommunikationsnetze
Priorisierungsmechanismen, IPMulticastTechnologien, WLAN, VoIP u.a.– ISBN 382731738X
Jahrbuch 2002 Kommunikationsnetze
SAN und Server Access, optische Übertragungssysteme, Sicherheit u.a. – ISBN 3827319153
IPSEC – ISBN 3827316340
802.11 Wireless Networking Guide www.enterasys.com/support/manuals/ns.html#R
802.1Q VLAN User Guide www.enterasys.com/support/manuals/v.html
Der neue Hacker’s Guide – ISBN 3827259312
Hacking Exposed – ISBN 0072193816
Wireless LANs – ISBN 3936931046
Network Intrusion Detection – ISBN 0735712654
Netzsicherheit – ISBN 3898642127
Understanding SNMP MIBs – 0134377087
Interconnections: bridges and routers 0201563320
Whitepapers
User Personalized Network –
www.enterasys.com/products/whitepapers/upnwhitepaper.pdf
Delivering High Availibility Networks –
www.enterasys.com/products/whitepapers/highavailabilitynetworks.pdf
Enterasys Multilayer Packet Classification http://www.enterasys.com/products/whitepapers/9013244.pdf
Enterprise Network Architecture (ENA) and Siemens HiPath™ Convergence Architecture Technology
Guide www.enterasys.com/products/whitepapers/
ena_siemens_convergence.pdf
Storage Area Networking: Enterprise Trends and the Enterasys Strategy www.enterasys.com/products/whitepapers/san.pdf
VPN & Authentication Deployment Guide http://www.enterasys.com/products/vpn/whitepapers/
Internetadressen
Seite 211
Wireless Market Confusion http://www.enterasys.com/products/whitepapers/9012921.pdf
Weitere Whitepapers finden Sie unter:
http://www.enterasys.com/products/whitepapers/
https://dragon.enterasys.com/whitepapers.html
Internetadressen
www.enterasys.com Unsere Homepage in Englisch
www.enterasys.com/de/ Unsere Homepage in Deutsch
http://portal.enterasys.com – Unser Portal für Enterasys Partner (Registrierung not
wendig
www.enterasys.com/products/ Unsere Produktlinien
www.enterasys.com/support/manuals/ Unsere Handbücher für die verschiedenen Produkte
www.enterasys.com/download/ Unsere Downloadlibrary, unter der Sie Firmware & Release Notes
finden
www.enterasys.com/support/power/ Angaben über Wärmeabgabe der einzelnen Komponenten
www.10gea.com/ 10 Gigabit Ethernet Alliance
www.wifi.com – Wireless Fidelity
grouper.ieee.org/groups/ IEEE Standards Working Groups
www.faqs.org – Internet FAQ Archives
Internetseiten zum Thema Security
http://www.cert.org/ Computer Emergency Response Team
http://www.insecure.org/tools.html Top 75 Security Tools
http://www.dshield.org – Globale Portscan Analyse
http://directory.google.com/Top/Computers/Security/?tc=1/ Verzeichniss mit Security links
www.snapfiles.com – Hackertools
http://attrition.org – Hackertools
http://astalavista.box.sk/ Hackertools
Impressum
Seite 212
www.packetfactory.net – Security Tools (Open Source)
www.blackcode.com – Exploits
www.nmrc.org – Exploits und Informationen
www.heise.de/security Deutschsprachige Security Meldungen
www.gocsi.com Computer Security Institut
www.germansecure.de
www.sans.org
www.nessus.org – Vulnerability Correlation Tool
www.securityfocus.com Security Warehouse mit Exploits
http://cve.mitre.org/ Common Vulnerabilities und Exploits
www.netzspion.de
Impressum
Herausgeber:
Enterasys Networks Germany GmbH
Solmsstr. 83
60486 Frankfurt
Tel. +49 (0)69/478600
Fax: +49 (0)69/47860109
Layout & Druck
© 2004 Enterasys Networks Germany GmbH

Net-Solution-Guide (Enterasys)

Transcription

Similar documents

Net-Design

Speicher- management Tunnelbau

Ausgewählte Themen der IT-Sicherheit

Microsoft Word Viewer - Implementierungsdokumentation_v1_4