01 - ITwelzel.biz
Transcription
01 - ITwelzel.biz
Technik News - Netzwerkmagazin G46392 Januar 2003 D a s N 01 13. Jahrgang thema des monats EINSTIEGSSZENARIEN Switch on VoIP Flexibilität mit Einsparungspotential PRAXIS Kommandobrücke Teil 1: NetSight Atlas Management Console p r a x i s n a h e N e t z w e r k m a g a z i n AKTUELL • DataVoice Initiative 2003 stärkt den Fachhandel 3 Herausgeber: COMPU-SHACK NEWS • • • • • • • • • • • • • • • • Allied Telesyn: AT-8350GB mit 48 Ports plus Gigabit Uplinks Allied Telesyn: Residential Gateways der AT-RG200 Serie Cisco: Catalyst 3550-24 PWR Inline Power Cisco: IP-Kommunikationssystem erweitert Cisco: Zwölf Produkte erweitern Sicherheits-Portfolio Compu-Shack Production: Robuste WAVEline Interbuilding Bridge Compu-Shack Production: DSLline Wireless Internet Gateway HP: Speicherlösungen IBM: TotalStorage ICP vortex: Neue Generation der ICP RAID Controller Tandberg Data: SuperLoader SDLT5120L Backup-Speicher Intel: Prozessoren für 2003 3Com: Manipulationssicherheit mit zentraler Verwaltung Microsoft: NET Server 2003 Netgear: ADSL-Modem-Router DG824B Newsticker THEMA DES MONATS THEMA DES MONATS Switch on VoIP Flexibilität mit Einsparungspotential 4 4 5 6 7 8 8 9 9 10 11 12 12 13 13 14 Telefon: 02631/983-0 Telefax: 02631/983-199 Electronic Mail: TECHNEWS @ COMPU-SHACK.COM Redaktion: Heinz Bück Hotline und Patches: Jörg Marx Verantwortlich für den Inhalt: Heinz Bück Technische Leitung: Ulf Wolfsgruber Erscheinungsweise: monatlich 1 Heft Bezugsquelle: Bezug über COMPU-SHACK Electronic GmbH Jahres-Abonnement zuzüglichMWSt.: Inland: 60,84 € Ausland: 86,41 € 16 Layout und Titelbild: Marie-Luise Ringma Von Voice over IP versprechen sich Unternehmen zurecht eine deutliche Senkung ihrer Kommunikationskosten. Inzwischen aber erwächst auch aus den Applikationen ein Produktivitätsgewinn mit Einsparpotential. Ob bei einer schrittweisen Migration oder bei GrüneWiese-Projekten, VoIP schafft Innovation und Flexibilität mit finanziellem Nutzen. Druck: Görres-Druckerei, Koblenz Lektorat: Andrea Briel Anja Dorscheid Abo-Versand: Wolanski GmbH, Bonn HOTLINE • • • • • • • • • • • • • • • • Electronic GmbH, Ringstraße 56-58, 56564 Neuwied Empfohlene Novell und BinTec Patches Empfohlene Microsoft Patches Empfohlene Veritas Patches Neue Patches in der Übersicht: Veritas, Microsoft Neue Patches in der Übersicht: Novell BinTec: X-Router Security, Teil 2: v6.2.5 IPSec Callback und weitere Features SonicWall: Internet Security Appliances, Teil 2: Installation und Konfiguration G+H: ShiftF11 - pfiffiger Telefon-Service mit GroupWise-Integration Cisco: Einbruchssicherung, Teil 1: Cisco Intrusion Detection System Cisco: ADSL over ISDN oder PPPoE over Ethernet WatchGuard: Tips & Tricks zur Firebox, Teil 2: Adreßeingabe und Reboot 5 1 Novell: PKI-Diag für Certificate Server Veritas: Kleine Tips zu Backup Exec Tobit: Kommunikation, einfach gemacht Novell: Interessante Tips der Deutschen Netware FAQ Novell NDS: Versionen und Plattformen 37 38 39 40 41 42 44 47 48 49 52 54 55 56 57 Reproduktionen aller Art (Fotokopien, Mikrofilm, Erfassung durch Schrifterkennungsprogramme) - auch auszugsweise - nur mit schriftlicher Genehmigung des Herausgebers. Wir möchten uns nachträglich bei all denen bedanken, die durch die freundliche Zusammenarbeit das Erscheinen dieser Zeitung ermöglicht haben. Als Informationsquelle dient uns auch das Internet. Wenn Sie speziell über Ihre Erfahrungen referieren möchten, bieten wir Ihnen dies unter der Rubrik “Hotline” an. www.technik-news.de Selbstverständlich kann COMPU-SHACK die einwandfreie Funktion der vorgestellten Patches und Tips nicht garantieren und übernimmt keinerlei Haftung für eventuell entstehende Schäden. PRAXIS • • • • Do IT Dot NET, Teil 10: Share Point Portal Server 2001 Nortel Networks, Teil 2: CVS Features und Funktionen BinTec: Teil 4: IPSec-Konfiguration mit dem Setup Wizard Enterasys: Kommandobrücke, Teil 1: NetSight Atlas Management Console 28 30 32 34 SOLUTIONS • Training, Support und Projekte Die Liste aktueller Updates zu Novell, Microsoft und BinTec finden Sie auf Seite 37 neueste Patches für Veritas auf Seite 39 25,27,43 VORSCHAU 01 • Messen, Roadshows, Termine 2 59 Ausgabe 01/2003 a AKTUELL BUSINESS DEVELOPMENT Wachstums-Chance VoIP DataVoice Initiative 2003 stärkt den Fachhandel Von Heinz Bück Das Business Development Team der Compu-Shack setzt die Ende letzten Jahres gestartete DataVoice Initiative 2003 offensiv fort. Mit ausgewählten führenden Herstellern eröffnet Compu-Shack dem Fachhandel die Chance, Einstiegs- und Migrationslösungen zu Voice over IP und IP-Telefonie in Netzwerken jeder Größe anbieten zu können. DataVoice Learning Cycles und ein ausgesuchtes Trainingsangebot bieten einen soliden Einstieg in die innovativen Technologien. Denn VoIP wird 2003 zu den Wachstumsmärkten gehören. Die Zeit ist reif für Voice over IP. Unabhängige Studien attestieren der Integration von Daten und Sprache im Netzwerk nicht nur eine gesunde Marktreife. Die Analysten insgesamt prognostizieren ihr für 2003 den großen Durchbruch im IT-Markt. Die Kasseler TechConsult z.B. hatte die Planungen deutscher Unternehmen im Jahr 2002 ermittelt und gibt ein Investitionsvolumen in VoIP von 140 Millionen Euro an, für 240.000 Arbeitsplätze. Frost & Sullivan sagen erhebliche Zuwächse für die IP-TKAnlagen voraus. Wobei die Gartner Group feststellt, daß gerade die kleinen und mittelständischen Unternehmen eine Vorreiterrolle beim Umstieg auf die IP-Kommunikation übernehmen werden. Converge IT Um die marktstrategischen, technologischen und vertrieblichen Fragen zu klären, verstärkt das Business Development Team die DataVoiceInitiative im Jahr 2003. Unter dem Motto “DataVoice - converge it” eröffnet die Compu-Shack einen differenzierten Sales Support für ihre Fachhandelspartner, damit sie kundennahe Lösungsangebote führender Hersteller anbieten können. Er setzt bei einer eingehenden Beratung zur Auswahl eines bewährten ProduktPortfolios an und umfaßt eine Vielfalt an Angeboten für den Einstig in VoIP und die Realisierung von Projekten im Bereich Data Voice Communications. Denn der Mehrwert steckt im Detail, weil ein neues Kommunikationssystem heutzutage - nach Abwägung von Kosten- und Leistungsmerkmale - positive Auswirkungen auf die Unternehmensprozesse und die Produktivität hat. Test IT Die DataVoice Initiative bietet dem Fachhandel ausgewählte Teststellungen für den Einstieg in die VoIPTechnologie. Dazu können Komponenten von AVAYA, 3Com und Cisco leihweise erworben werden. Dieses Angebot ist verbunden mit begleitenden Workshops durch die DataVoiceExperten der Compu-Shack-Solution. Ein praxisnaher Know-howTransfer und die Möglichkeit, die Komponenten nach eigener Wahl in aller Ruhe auch selbst zuhause auszuprobieren oder interessierten Kunden vorzustellen, führt zum schnellen Erwerb eigener Expertise. Ausgezeichnete Vorzugskonditionen bei einer Übernahme der Geräte sind gewiß ein besonderer Anreiz zum Einstieg in VoIP und die IP-Telefonie. Try IT Parallel dazu werden mit Beginn des neuen Jahres die DataVoice Learning Cycles intensiviert, um Barrieren beim Start in ein neues Geschäftsfeld auszuräumen. Um Technologien und Absatzmärkte kompetent einschätzen zu können, wenden sich diese praxis- 01 Ausgabe 01/2003 3 nahen Workshop-Reihen mit technischen und vertrieblichen Hilfestellungen sowohl an die Entscheider und Einkäufer im Fachhandel als auch an die Techniker in den Systemhäusern, die jetzt in die VoIP Technologien einsteigen möchten. Denn für eine kundennahe Betreuung ist die Kenntnis von Einstiegs- und Migrationslösungen zu Voice over IP ebenso notwendig wie verläßliche Informationen über das Marktpotential in kleinen und mittleren Unternehmen. Die Workshops helfen, den Mehrwert von VoIP und IP-Telefonie zu analysieren und darzustellen, um maßgeschneiderte Lösungen für individuelle Kundenbedürfnisse verkaufen zu können. Train IT Ein a bgestimmtes Ang ebot der Compu-Shack Training flankiert die DataVoice Initiative im Schulungssektor. Ausgewählte, herstellerbezogene Trainings verschaffen eine zusätzliche Qualifizierung und Zertifizierung in diesem aussichtsreichen Geschäftsfeld. Als gestandene Praktiker werden die DataVoice Experten der Compu-Shack Training und der Compu-Shack Solution die interessierten Fachhändler auf ihre VoIP-Projekte intensiv vorbereiten und sie auch bei der Projekt-Abwicklung aktiv unterstützen. Informationen erteilt das Business Team Development : 02631/ 983-458 oder [email protected] AKTUELL D n NEWS ALLIED TELESYN ALLIED TELESYN High-Level Volle Bandbreite AT-8350GB mit 48 Ports plus Gigabit Uplinks Allied Telesyn hat ihre erfolgreiche Gigabit Switch-Serie 8300 um ein Enterprise-Gerät für Unternehmens-Anwendungen auf High-Level erweitert. Der neue AT-8350GB ist ausgestattet mit 48 10/100TX Ports, zwei 10/100/ 1000T Uplinks oder alternativ mit zwei Glasfaser-Anschlüssen pro GBIC. Residential Gateways der AT-RG200 Serie Um High-Speed-Internet, VoIP und Streaming-Video gleichzeitig für Ethernet-Heimanwendungen nutzbar zu machen, hat Allied Telesyn intelligente Funktionen in die Residential Gateways ihrer AT-RG200 Serie integriert. N A NEWS Allied Telesyn trägt mit ihrer SwitchSerie AT-8300 den besonderen Anforderungen von Netzwerken mittelständischer Unternehmen Rechnung. Daher zeichnen sich die Enterprise Switches der AT-8300-Serie nicht nur durch High Density, Zuverlässigkeit und Flexibilität aus, sondern bieten zudem weitgehende Sicherheitsmerkmale. Mit 48 festen 10/100TX Ports ist nun der neue AT-8350GB verfügbar. Er ist kombinierbar mit dem AT8326GB aus derselben Reihe und im Stack erweiterbar bis auf maximal 144 Ports. Ein zusätzlicher Uplink kann zwei weitere 100FX oder 10/100/ 1000TX Ports zur Verfügung stellen. Dabei hat das Gerät nur eine Höheneinheit und ermöglicht dennoch höchste Portdichten auf engstem Raum. Eine optionale redundante Stromversorgung bietet erhöhte Verfügbarkeit. Security Der AT-8350GB verfügt über TopMerkmale bei Hard- und Software, das wohl wichtigste Merkmal ist die Security-Ausstattung, die unter anderem über VLANs, dynamische VLANs und Portsicherheit geboten wird. So- mit ist sichergestellt, daß Informationen aus dem LAN nur den zuvor festgelegten Benutzergruppen zur Verfügung gestellt werden. Der Zugang zum Netz ist durch Authentifizierung geregelt. Eine Unterstützung von IGMP ermöglicht das Filtern von Multicast-Protokollen, um den Datenverkehr im Netzwerk optimieren zu können. Management Das AT-8350GB Management wird auch von AT-View Plus unterstützt. Allied Telesyns Netzwerkmanagement ist eine Java-Entwicklung, die sowohl alleine als auch mit beliebigen Management-Plattformen eingesetzt werden kann. Wie bei den Managed Layer 2 Switches von Allied üblich, ist bei den AT-8350GB Switches ein Net.Cover Basic PlusService für 3 Jahre im Preis enthalten. Dieser gewährleistet einen Austausch fehlerhafter Produkte am nächsten Werktag, beinhaltet außerdem Software-Upgrades und eine gebührenfreie Telefonnummer für kostenlosen technischen Support. Mehr Informationen unter www.alliedtelesyn.de. Neben erweiterten High-SpeedInternet-Zugängen und der Möglichkeit, Entertainment-Angebote zu nutzen, wird seitens der Serviceprovider derzeit verstärkt an Breitband-Angeboten gearbeitet, um Video-on-Demand, E-Learning per Internet und Pay-TV mit Multicast-Service anzubieten. Um nun ein und dasselbe Gerät für so viele verschiedene Angebote gleichzeitig nutzen zu können, hat Allied Telesyn ausgeklügelte Funktionen in ihre Residential Gateways der AT-RG200 Serie integriert. Ticker ...Einstellung Kein Support mehr für 6.0: Tobit Software wird zum 31.01.2003, zweieinhalb Jahre nach der Ablösung durch die Nachfolgeversionen, den individuellen telefonischen und schriftlichen Support für die Ver sion 6.0 von David, David Professional, David One, MailWare und FaxWare einstellen. Für Kunden, die noch eine Version 6.0 im Einsatz haben, werden bis auf weiteres die Service Packs, Hotfixes und Knowledge-Base Artikel im Club Tobit zur Verfügung gestellt. Für preiswerte Updates auf die aktuelleVersion, David XL, hält Tobit Software Angebote bereit. Neben erweiterten Funktionalitäten im Bereich Messaging bietet David XL zusätzlich die Integration von Groupwarefunktionen und viele Werkzeuge, die den organisatorischen Ablauf von Aufgaben in Unternehmen optimieren. 01 Ausgabe 01/2003 4 CISCO Multimedia Die Residential Gateways machen es möglich, herkömmlichen Internetverkehr und Videodaten zu trennen, wodurch man über verschiedene Ports mehrere Multicast-Angebote nutzen kann. Zum Beispiel können mehrere Film- oder Fernsehkanäle zur gleichen Zeit angesprochen werden, ohne die Internetanbindung zu beeinflussen. Realisiert wurde das durch Einbinden von IGMP-Snooping und VLAN-Unterstützung in diesen Residential Gateway. Der AT-RG213 unterstützt QoS und ToS zur Prioritätenzuordnung des Datenverkehrs. Dabei kann man die von einzelnen Anwendern oder Services verwendete Bandbreite kontrollieren. Den ATRG213 wird es in verschiedenen Ausführungen geben, die den BreitbandNetzwerkzugang entweder per Multi- oder Single-Mode 10/100TX bzw. mit 100FX faseroptischer EthernetVerbindung zuläßt. Dabei ist der Anwender mit drei 10/100TX-Ports ausgerüstet, die zum Anschluß von PCs, Netzwerkgeräten und sogar zusätzlichen Videokonvertern genutzt werden können. High-Level VoIP Das Gerät unterstützt außerdem zwei analoge FXS VoIP-Ports mit einem weiteren Ersatzanschluss, um im Notfall Zugang zum PSTN-Netzwerk zu erhalten, sollte es zu einer Fehlfunktion in der Breitbandanbindung kommen. DieAT-RG213-Reihe kann auch für xDSL, Kabelfernsehen und Funkverbindungen genutzt werden und ist ideal für den Gebrauch in Verbindung mit den Endgeräten der Kunden, weil sie von der High-Level VoIP- und Switch-Technologie profitiert. Das AT-RG213 unterstützt die verschiedenenVoIP-Protokolle SIP und H.323 und kann auch in Verbindung mit Diensten wie Anrufumleitung, Rückrufumleitung und Call-Waiting arbeiten. L2TP-Support ermöglicht die Nutzung von VoIP-Anwendungen durch Zweigstellen, die dieselben Programme über dasselbe Netzwerk gebrauchen, indem eine virtuelle Mietleitung verwendet wird. Data und Voice Catalyst 3550-24 PWR Inline Power Der neue Cisco Catalyst 3550-24 PWR mit Layer 3/4-Diensten sorgt für leistungsstarkes IP-Routing von der Desktop-Umgebung bis zum Backbone. Er bietet sich als ideale Switching-Lösung an, wo Netzwerke auf integrierte Sprach-, Video- und Datenanwendungen vorbereitet werden. Der Multilayer Switch verfügt über 24 10/100-Ports mit integriertem Inline-Strom und zwei eingebauten Gigabit Ethernet-Slots. D Die integrierte Inline-Stromversorgung des Catalyst 3550-24 PWR liefert Gleichstromspannung an alle Geräte, die Spannung über herkömmliche UTP-Kabel aufnehmen können, wie etwa die Cisco 7900-IP-TelefonFamilie oder die Aironet AccessPoints der Serie350. Problemlos kann der Multilayer Switch in herkömmlichen LANs integriert werden, um neben dem reinen Datenverkehr auch Voice-Optionen zu übernehmen. Denn er bringt alle notwendigen Funktionen mit, um das Netzwerk auf die Integration von Sprache, Video und Daten vorzubereiten. Zwei Versionen Der hochverfügbare 3550-24 PWR stellt netzwerkweit intelligente Dienste für Quality of Service und RateLimiting breit und nutzt SecurityAccess-Control-Listen und Multicast Management für eine sicheres und hochleistungsfähiges IPRouting. Die Konfiguration erfolgt über GUI, die Verwaltung über die Cisco Cluster Management Suite (CMS). Zwei Software-Versionen stehen zur Verfügung. Zum einen die SMI-Version, welche das BasisRouting - statisches und RIP - zurVerfügung stellt. Das Enhanced Multilayer Image (EMI) beinhaltet die Software für dynamisches WireSpeed-IP-Routing. ...Kostenlos downladen Ticker IOS Security und Management: Für die Switches der Cisco Catalyst Serie 2950 und 3550 gibt es neue IOS-basierende Security- und Management-Features. Die Software verfügt über: • 802.1x Benutzer-Authentifizierung am Switch (ACS) • SSH für verschlüsselte Verbindung mittels Secure Shell • SNMPv3 mit Authentifizierung und Verschlüsselung • DHCP Interface Tracker • Access Control List für den kontrollierten Zugang • MAC Address Notification und MAC Address Aging • IGMP Filtering, 802.1s und 802.1w Sie können die Software bei Compu-Shack im Cisco Fachhandelsportal kostenlos downloaden: http://pm-cisco.compu-shack.com 01 Ausgabe 01/2003 5 n NEWS CISCO 16 Neue IP-Kommunikationssystem erweitert Mit gleich 16 neuen Produkten für ihr IP-Kommunikationssystem präsentiert Cisco Systems eine umfassende Erweiterung zur Produktivitätssteigerung in Unternehmen. Sie umfaßt die fünf Kategorien Unified Messaging, IP-PBXFunktionen, Netzwerk-Infrastruktur, Audio-/Video-Conferencing und Customer Contact Center. D Die Software Cisco Unity 4.0 erweitert die Produktivitätsvorteile von Unternehmen, die Lotus Domino einsetzen. Mitarbeiter können damit aus ihrer Notes Inbox auf alle Nachrichten zugreifen und sie selbst verwalten. Unity 4.0 nutzt denselben Nachrichtenspeicher und dasselbe Verzeichnis wie Domino, vereinfacht somit die Systemadministration und macht die IT-Abteilung produktiver. Cisco Unity 4.0, das auch Microsoft Exchange unterstützt, zeichnet sich durch eine breite Kompatibilität zu Kommunikationsprotokollen aus. Dazu gehör en Voice Profile for Internet Mail (VPIM), die Audio Messaging Interchange Specification (AMIS) und das Session Initiation Protocol (SIP). NEWS CallManager 3.3 Die neuste Version der Cisco CallProcessing-Software unterstützt 30.000 IP-Telefone pro IP-PBX-Cluster und bis zu zehn Cluster pro System. Um diese enorme Skalierbarkeit noch zu verbessern, wird der CallManager durch den Cisco 7845 Media Convergence Server (MCS) unterstützt, eine hochleistungsfähige, hochverfügbare Server-Plattform, mit der 7.500 IP-Telefone auf einem Server betrieben werden können. Die erhöhte Skalierbarkeit eines IP-PBXClusters verbessert die Transparenz der Anruffunktionen, vereinfacht die Verwaltung der Datenbanken und ermöglicht die Anbindung von mehr Mitarbeitern an produktivitätssteigernde Applikationen. Der Cisco IP-Audio- und Video CallManager 3.3 verfügt über eine verbesserte Kompatibilität zu herkömmlichen Telefonanlagen und unterstützt das Q-Signing Protocol (Q.SIG) sowie Erweiterungen des H.323-Protokolls. Unternehmen können somit nahtlos von traditionellen TK-Anlagen auf eine IP-Kommunikationsumgebung wechseln. IP Telephony Mit dem CiscoWorks IP Telephony Environment Monitor (ITEM) 1.3. können IT-Mitarbeiter den Betriebszustand von Cisco IP-Telefonie-Umgebungen in Echtzeit beurteilen, um effizient und proaktiv auf Störungen der Verfügbarkeit der IP-TelefonieDienste reagieren zu können. Mit dem Cisco IP Phone Messenger 1.1 können die Benutzer Instant Messages über ihr Telefon-Display senden und empfangen, noch während sie telefonieren. Der IP Manager Assistant erweitert häufig genutzte Funktionen wie Anrufauswahl, sofortige Anrufweiterleitung und Verbindungsstatus für Mitarbeiter, um die Kommunikation zu vereinfachen. Er wird als kostenlose Erweiterung mit dem Cisco CallManager 3.3 geliefert. Als jüngste Erweiterung der IP-Telefon-Familie verfügt das Cisco IP Phone 7905G über Inline Power Support und ein Pixel-Display. Die Erweiterungen für IPAudio- und Video-Conferencing optimieren die Zusammenarbeit von Arbeitsgruppen. Die Produkte der neuen Cisco IP/VC350-Videoconferencing-Serie verfügen über eine bessere Performance für Audio und Video, über eine eingebaute Code-Umwandlung und eine dynamische grafische Benutzerschnittstelle. Die Cisco Conference Connection 1.2 bietet integriertes Audio-Conferencing mit dem Cisco CallManager. Anwender können damit Conference Calls verwalten, planen und sich einwählen, indem sie die Web-Browser-Schnittstelle auf ihrem Cisco IP-Telefon oder ihrem PC nutzen. Customer Contact Im Intelligent Contact Management bietet ein neuer CTI-Driver für Siebel 7 den Call-Center-Mitarbeitern schnelleren Zugriff auf wichtige Kundeninformationen. Darüber hinaus sind folgende Erweiterungen verfügbar, das Cisco 2651 XM-V Voice Gateway Router Bundle mit optionaler SRST-Funktion (Survivable Remote Site Telephony), ein Catalyst 6500 Communication Media Module sowie das Cisco IP Telephony Remote Site Solution Package, außerdem die Cisco CTE 1400 Content Transformation Engine 2.7, der neue Cisco Catalyst 3550-24 PWR Intelligent Ethernet Switch sowie die Conferencing und Transcoding Software für Voice Gateway Router. 01 Ausgabe 01/2003 6 CISCO Security für jede Größe Zwölf Produkte erweitern Sicherheits-Portfolio Sichere Konnektivität und integrierte Netzwerksicherheit für kleine bis mittlere Unternehmen und SOHO-Umgebungen sind die strategischen Zielsetzungen der Cisco SAFE-Architektur. Jüngst hat Cisco Systems das Sicherheitsprodukt-Portfolio dazu um 12 Lösungen erweitert, mit Routing-Plattformen und Security Services. F Für kleine Unternehmen, Niederlassungen und Telearbeiter liefern die neuen Cisco 831 EthernetBreitband- und 837 ADSLBreitband-Router hohe Performance und kostengünstige, verläßliche Konnektivität. Die Cisco 831 und 837 Router bieten eine integrierte Stateful-Firewall und VPN-Funktionen. Zusammen mit der hardware-beschleunigten Verschlüsselung und einem planvollen Sicherheits-Management lassen sich qualitativ hochwertige Datenverbindungen wie auch moderne Sprachund Video-Services zuverlässig realisieren. Die Cisco SOHO 91 und 97 Breitband-Router sichern einen einfachen Zugang für kleine Büros. Auf Breitbandumgebungen abgestimmt, verfügen sie über moderne Managementfunktionen, die die Betriebskosten reduzieren. VPN-Performance Cisco ergänzte ihre VPN-Lösungen um Beschleunigungs-Module für die Router der Cisco 2691er, 3660er und 3700er Serien. Diese Geräte sind darauf ausgelegt, die VPN-Performance in Niederlassungen zu erhöhen und gleichzeitig in der Lage, die Nutzung der CPU um die Hälfte zu senken. Kunden profitieren von einer bis zu zehn Mal höheren Performance der IP-Sprach- und -Video-VPNs in Niederlassungen. Die Module gehören zu den ersten Hardware-beschleunigten AES-Lösungen (Advanced Encryption Standard). Dabei lassen sich in der Cisco IOS Software auch die Er- Reporting für das breite Portfolio der Content-Networking-Lösungen und die PIX Firewall-Familie von Cisco. Security-Services weiterungen der integrierten Netzwerk- und Sicherheitsfunktionen nutzen. Neue Möglichkeiten eröffnen sich für konvergente Daten-, Sprachund Video-Netzwerke. Sie bieten verbesserte Quality of Service, Ausfallsicherheit, Skalierbarkeit und Verschlüsselung für VPNs, während sich ihr Einsatz und ihre Verwaltung vereinfacht. Secure Content Mit der Secure Content Acce-lerator II Serie adressiert Cisco die Anforderungen von Datenzentren an eine sichere Konnektivität. Der SCA II 11000 befreit die Web-Server im Back-End von der Secure-SocketLayer-Verarbeitung (SSL) und vereinfacht die Verwaltung von Zertifikaten. Das Gerät erweitert das bestehende SSL-Portfolio von Cisco. Es ist auf Kunden ausgerichtet, die eine hohe Übertragungssicherheit ihrer WebServer bei gleichzeitiger Spitzenperformance suchen. Die Version 1.7 der Hosting Solution Engine (HSE) ist darauf ausgerichtet, daß Gruppen innerhalb einer Organisation über eine geteilte Netzwerkinfrastruktur die täglich anfallenden Verwaltungsaufgaben selbständig ausführen können. Cisco HSE 1.7 umfaßt Konfiguration, Performance Monitoring und 01 Ausgabe 01/2003 7 Cisco IOS stellt die Grundlage, um integrierte Netzwerksicherheit für Unternehmen jeder Größe zu realisieren. Die Routing-Plattformen von Cisco unterstützen Security-Services innerhalb der Cisco IOS Software, die eine Inline Stateful Firewall und Intrusion Detection bietet. Es gibt 42 zusätzliche Signaturen und Authentifizierungen für IDS. IOS integriert die Netzwerk-Services, auch um qualitativ hochwertige IPSprach- oder -Video-VPNs bei erweiterter Performance zu realisieren. Die Security-Services nutzen dabei erweiterte QoS-Funktionalitäten und auf Bedarf verfügbare Meshing-Funktionen. Sie unterstützen IP-SecurityStateful-Failover (IPsec) für eine optimierte Verfügbarkeit der Sprache über VPNs. Zu den IOS Software-Services für IPsec gehören übrigens auch eine integrierte AES-Unterstützung und neue NAT-Funktionen für verbesserte Intra-Network-Kompatibilität. Für mobile Nutzer bieten die neuen Cisco Identity-Based Networking Services (IBNS) eine integrierte Software Lösung. Durch Erweiterungen der IEEE 802.1x-Standards für drahtgebundene und drahtlose Authentifizierung entsteht eine bessere Kontrolle über den Netzwerkzugang, die Mobilität und Sicherheitsrichtlinien in Einklang bringt. n E NEWS COMPU-SHACK PRODUCTION Weitreichend Robuste WAVEline Interbuilding Bridge Die neue WAVEline Interbuilding Bridge der Compu-Shack Production bietet eine zuverlässige Wireless-Lösung für die gebäudeübergreifende Kommunikation. Durch das widerstandsfähige Metallgehäuse ist sie für den Betrieb in robusten Industrieumgebungen ebenso geeignet wie für Hot-Spots. D Die neue WAVEline Interbuilding Bridge empfiehlt sich als GebäudeBackbone oder aber als Zugangspunkt für Wireless-Clients in drahtgebundene Netze über einen 10/ 100MBit/s-Netzwerkanschluß (RJ45). Zur Verbindung von mehreren Gebäuden werden Punkt-zu-Mehrpunkt-Verbindungen unter stützt. Über die beiden R-SMA-Antennenanschlüsse läßt sich leicht eine der hochwertigen WAVEline-Richtfunkantennen zur Reichweitensteigerung anbinden. Die WAVEline Interbuilding Bridge unterstützt eine Vielzahl unterschiedlicher Betriebsmodi, arbeitet im Repeater-, Bridge- und Station-Mode und ist somit vielseitig einsetzbar. Über das Web-Interface oder die integrierte RS-232-Schnittstelle ist die WAVEline-Funkbrücke einfach zu konfigurieren, auch ist es möglich, Traffic-Statistiken einzusehen. Die Interbuilding Bridge bietet erweiterte Sicherheitsfunktionen. Sie unterstützt WEP40/128-Datenverschlüsselung sowie ein auf MACAdressen basierende Zugangskontrolle. Der Wi-Fi-kompatible Access Point mit Repeating und Point-toMultipoint-Funktion bietet ein übergangsloses, 802.11b-kompatibles Roaming. COMPU-SHACK PRODUCTION Kombiniert DSLline Wireless Internet Gateway Das neue Wireless Internet Gateway aus der DSLline der Compu-Shack Production zeichnet sich durch ein hohes Leistungsspektrum bei höchst einfacher Handhabung aus. Über DSL- oder Kabelmodem-Zugang können WirelessClients bequem auf Internet-Dienste zugreifen. Ebenso die am integrierten 4-Port Switch angeschlossenen LANBenutzer. NEWS F Für kleine Anwendergruppen bringen intelligent kombinierte Geräte wie das Wireless Internet Gateway der Compu-Shack Production ein hohes Leistungsspektrum und Preisvorteile. Denn gerade im Small-Office-Bereich müssen vielfach Kosten gespart werden, bei Investitionen wie bei der Verwaltung. Selbst ohne besonderes IT-Know-how können die umfangreichen Funktionen des DSLline Wireless Internet Gateways über ein leistungsfähiges Webinterface recht einfach konfiguriert werden. Über den integrierten DHCP-Server lassen sich IP-Adressenvergabe und Namensauflösung des gesamten Netzwerks au- tomatisieren, was den administrativen Aufwand auf ein Minimum beschränkt. Des Weiteren bietet das Gerät umfangreiche Logging-Funktionen mit automatischer E-Mail-Benachrichtigung. Alles drin Die intelligente Firewall des DSLline Wireless Internet Gateways schützt das Netzwerk über eine StatefulInspection-Funktion vor Angriffen aus dem Internet. Zusätzlich schirmt die NAT-Funktion das am Gateway angeschlossene Netzwerk vor ungewolltem Zugriff aus dem Internet ab. Zum Funktionsumfang gehören ein IEEE 802.11b kompatibler Access Point, mit WEP128 und Benutzerauthentifizierung. Der integrierte 4Port Switch mit 10/100MBit/s AutoNegotiation bietet eine WANSchnittstelle, mit der kleine Büros ihr gesamtes Netzwerk über ein DSLoder Kabelmodem mit dem Internet verbinden können. Es unterstützt PPPoE und PPTP, dynamische und feste IP-Adressen, aber auch verschiedene Telefonie- und Konferenzanwendungen. Mit VPN-Unterstützung über PPTP und einer DMZ-Funktion gibt es weitreichende Sicherheit in einer preiswerten SOHO-Lösung. 01 Ausgabe 01/2003 8 HP IBM ENSAextended TOE Speicherlösungen TotalStorage Eine ganze Reihe verbesserter Speicherlösungen bringt Hewlett-Packard im Rahmen ihrer ENSAextended-Strategie auf den Markt. Mit neuen Network Storage-Produkten lassen sich flexibel handhabbare Speicherumgebungen aufbauen und an wechselnde Bedingungen anpassen. IBM hat aktuelle SpeichernetzwerkProdukte für den Mittelstand angekündigt. Hauptbestandteil ist eine industrieweit erstmals eingesetzte TCP/IP Offload Engine (TOE). Die neue Technologie dient der Beschleunigung der Netzwerkleistung und der Skalierbarkeit bei IBM-Produkten im NAS-Speichersegment. SANs, um diese auch über das Internet zu betreiben, eine strategische Plattform für die SpeichermanagementSoftwarelösungen von HP. Disk Arrays Eine neue Version von HP Storage Works NAS 8000 unterstützt HP StorageWorks Enterprise Modular Arrays (EMA) in SAN-Konfigurationen. HP integrierte das Network Data Management Protocol (NDMP), mit dem sich das System an die führenden Backup-Lösungen anbinden läßt. Die Lights-Out-Funktionalität wurde erweitert und die Performance der Lösung erhöht. SAN-Management Eine Erweiterung des SAN-Portfolios ist u.a. das neue HP StorageWorks SAN Switch 2/32 Power Pak. Dieser für die Fabric-Seite des SAN konzipierte Fibre-Channel-Switch erreicht zwei Gigabit/s Durchsatz und verfügt über 32 Ports, mit einer kompletten Ausstattung an intelligenten Softwarefeatures zum SAN-Management. Die Fabric Manager v3.0.2 Management Station unterstützt den SANAdministrator bei der täglichen Verwaltung einer Vielzahl von Switches und bis zu acht Strukturen in Echtzeit. Die HP OpenView Storage Management Appliance ist eine gerätebasierende Überwachungs- und Management-Schnittstelle für offene Hardware- und Software-Erweiterungen verbessern die Managebarkeit, Funktionalität und Integration von Disk Arrays in IT-Infrastrukturen. Der HP StorageWorks Application Policy Manager XP ist ein Lastverteilungswerkzeug für XP-Plattenarrays. Mit diesem Tool lassen sich ApplikationsPrioritäten und Speicher-Leistungskapazität in Einklang bringen, indem jeder Arbeitsstation intelligent Speicherkapazität zugewiesen werden kann. Die neue Version 3.0 ermöglicht es, bei den HP StorageWorks Disk Arrays XP1024 und XP128 auf Logical Device-Ebene Regeln festzulegen und spezifisch zu ordnen. Ebenfalls verbessert wurde HP StorageWorks Command View XP, das eine zentralisierte und internetbasierende Verwaltung der Disk Arrays von HP.ermöglicht. Zu den vielen Neuerungen von HP zählen bei den Disk Arrays Host-Bus-Adapter für Windows Advanced Server und IntelProzessor-basierende Linux-Systeme, Lösungen für HP StorageWorks EVA unter NetWare und Linux sowie die HP Virtual Controller Software VCS Version 2.0, ein Kit und die entsprechende Software für Dual-Controller. Detaillierte Informationen über alle neuen und verbesserten HP Speicherprodukte und -lösungen sind im WWW unter http://www.hp.com/go/ storage zu finden. 01 Ausgabe 01/2003 9 Z Zu den neuen IBM-Produkten mit TOE-Technologie gehören u.a. das TotalStorage NAS 200 und das TotalStorage NAS Gateway 300. Sie arbeiten gegenüber ihren Vorgängern mit doppelter Prozessorleistung. Durch die 2,4 GHz Intel XeonProzesoren und eigene Beschleunigungsadapter für den schnelleren Datentransfer entsteht im Speichernetz bis zu 50 Prozent Leistungsgewinn unter Windows. Das NAS200 ist erstmals mit 146,8 GB-Platten bestückt, skalierbar bis zu 7 TB. Das TotalStor age NAS Gateway 300 reicht bis 22 TB, wobei sich der Durchsatz zu SANs durch 2Gb Fiber Channel Attachments nun verdoppelt läßt. Bei den TotalStorage-FAStTProdukten verdoppelt sich die Kapazität durch den Einsatz der neuen 146,8 GB-Platten sogar auf bis zu 32 TB. n NEWS ICP VORTEX SCSI und SATA Neue Generation der ICP RAID Controller ICP präsentiert eine neue Produktgeneration ihrer RAID Controller. Das Angebot umfaßt hoch integrierte RAID on Motherboard Lösungen sowie leistungsstarke Ultra320 SCSI und Serial ATA Controller. Charakteristisch sind neben hoher Performance und Datensicherheit die einfache Handhabung. Reduzierte Einführungspreise erleichtern den Einstieg in neueste RAID-Technologie für Workstations und Server. D Die neuen 64-Bit PCI RAID Controller mit 66MHz verfügen über eine Intel 80303 RISC I/O CPU, mit integriertem Coprozessor für schnelle RAID 4/5 Parity Berechnungen und Onboard Cache bis 128MB. Sie unterstützen RAID 0, 1, 4, 5 und 10, Hot Fix, Hot Plug und Auto Hot Plug mit SAF-TE sowie die gängigen Betriebssysteme. Mit der ICP RAID Console und dem ICP RAID Navigator können Disk Arrays komfortabel eingerichtet, verwaltet und gewartet werden, auch remote. Die Software erlaubt online Kapazitätserweiterungen, RAID Level/ RAID Array Migration sowie Array Roaming und Controller Tausc h ohne eine Neukonfiguration des Systems. Im Lieferumfang der ICP Controller befinden sich neben Handbuch und CD-ROM zwei Slotbügel für Low Profile und Full Height PCI-Steckplätze. Aufgrund der kompakten Bauweise können die neuen blauen ICP Controller auch in „high density Blade Servern“ eingesetzt werden. Die Garantie beträgt drei Jahre. NEWS RAID-on-Motherboard GDT8500RZ heißt der modulare RAID on Motherboard (MROMB) Controller mit 64MB integriertem SDRAM für Entry-level RAID-Systeme. Mit einem attraktiven Preisangebot will ICP die neue RAID Technologie für jedermann bezahlbar machen. Auf Basis der RAIDIOS-Tech- Ultra320 RAID Controller nologie (RAID I/O Steering) nutzt der Controller die auf dem Motherboard existierenden I/O-Schnittstellen. Er wird dazu in einen 3.3Volt PCI-Steckplatz mit RAIDIOS Unterstützung eingesteckt, der auf vielen Mainboards vorhanden ist. Der GDT8500RZ unterstützt bis zu zwei Ultra160/320 SCSI-Kanäle des Motherboards oder bis zu vier SerialATA-Kanäle (SATA). Bei RAID 0 kann eine Datenrate zum Betriebssystem von bis zu 300MB/sec erzielt werden. Diese Übertragungsraten machen den Controller besonders für Anwendungen interessant, bei denen große Datenvolumen schnell übertragen werden müssen. Der GDT8514RZ ist ICPs EinKanal-RAID-Controller mit der Funktionalität eines Zwei-Kanal-Controllers. An einen internen und einen externen Ultra320 SCSI-Kanal können bis zu 30 Geräte angeschlossen werden. Die maximale Datenübertragungsrate pro Kanal wurde im Gegensatz zu Ultra160 verdoppelt und beträgt nun bis zu 320 MB/sec. Mit dem Ultra320 RAID Controller adressiert ICP vorwiegend Hochleistungs-Enter-prise-Server. Die ICP Software Tools helfen bei der Konfiguration. Der Controller ist abwärtskompatibel zu früheren SCSIGeräten und für PCI-X Steckplätze geeignet, unterstützt andere SCSI-Geräte sowie 5- bzw. 3.3Volt PCI-Steckplätze. Serial ATA Controller Mit Verfügbarkeit der ersten Serial ATA-Festplatten brachte ICP einen 4Kanal RAID Controller mit SATASchnittstelle auf den Markt. Mit dem GDT8546RZ werden I/O-Flaschenhälse umgangen, denn er kann gleichzeitig über alle vier SATA 1.5 Kanäle auf die angeschlossenen Laufwerke zugreifen. Er erzielt dabei gleich hohe Datenübertragungsraten von bis zu 150MB/sec. pro Laufwerk. Serial ATA zeichnet sich durch einfache und sichere Anschlußtechnik aus. 01 Ausgabe 01/2003 10 Fällt z.B. eine Festplatte aus, ist das SATA RAID durch die redundante Verkabelung ohne Unterbrechung weiter funktionsfähig. Die Kabellänge beträgt bis zu einem Meter. SATA Schnittstellen sind kompatibel zu bisherigen PC-Architekturen. Über optionales ICP Zubehör, ATA/ SATA Converter Kit, können parallel ATA (IDE)Festplatten an den Controller angeschlossen werden. Durch diese Vielseitigkeit richtet sich der GDT 8546RZ nicht nur an Anwender, die eine sichere und kosteneffiziente Speicherlösung suchen, sondern zielt auch auf Einstiegs-Server mit ICP RAID-Technologie. Er ist gerade für datenintensive Anwendungen wie Audiooder Videobearbeitung , Bildarchivierung und Datenübertragung im Streaming Broadcast geeignet. Der Controller wird mit 128MB SDRAM onboard und vier SATA-Kabeln ausgeliefert. cker Ti...Klipp und klar Neue Controller Firmware: Ende Dezember hat ICP für die Controller Serien GDT6xy3RS, GDT4xy3RZ und GDT8xy3RZ Ultra160 SCSI RAID eine neue Firmware 1.28.07-N050/2.28.07R050 veröffentlicht. Diese wird seitdem standardmäßig auf allen ICP Ultra160 SCSI RAID Controllern ausgeliefert. Das neue BIOS 6.08b liefert speziell für neuere Motherboards eine verbesserte Kompatibilität, z.B. für Asus, Intel, SuperMicro und Tyan. Weiterhin wurden diverse Systemmeldungen klarer formuliert, um Fehlerquellen und Falschbedienung auszuschließen. Das Software Release kann seit Jahresanfang - und wie immer kostenlos - von der ICP Webseite heruntergeladen werden. TANDBERG DATA 5 TB auf Rackmount getrimmt SuperLoader SDLT5120L Backup-Speicher Mit dem SuperLoader SDLT5120L bringt Tandberg Data den bislang leistungsstärksten Autoloader im 2U-Rackmount-Format auf den Markt. Dank des Spitzenlaufwerks des SDLT320 speichert er bis zu 5,12 TByte Daten bei einer Transferrate von maximal 115 GByte Daten pro Stunde. D Das für Standard19-Zoll-Schränke optimierte Design des SuperLoader SDLT5120L sichert ein Maximum an Skalierbarkeit und Investitionsschutz, und das so platzsparend wie kein anderer. Schon das Grundmodell beinhaltet ein Cartridge-Modul mit 8 Medien. Je nach Speicherbedarf läßt es sich um ein zweites Modul aufrüsten, wahlweise ab Werk oder aber später durch den Anwender selbst. Das Laufwerk ist mit Netzteil und SCSI-Schnittstelle in ein separates Einschubmodul, das sogenannte Drive Carrier Assembly (DCA), integriert. Durch einen einfachen Austausch können Anwender neue Streamer-Entwicklungen unmittelbar nutzen und die Speicherkapazität weiter erhöhen. Die Rückwärtskompatibilität der Super-DLT-Technologie gewährleistet es, zuvor beschriebene Bänder zu lesen. Management Ein Remote-Management-Zugang ermöglicht es, den SuperLoader SDLT5 120L von jedem Ort aus zu konfigurieren und zu überwachen. Der Administrator greift über den Ethernet Port direkt auf das integrier- 01 Ausgabe 01/2003 11 te Web-Management-Tool zu und gelangt mit Hilfe eines StandardWeb-Browsers zu den Einstellungen des Gerätes und seinen Statusinformationen. Ein optional erhältlicher Barcode-Leser erleichtert und beschleunigt die Inventarisierung von Medien. Er läßt sich ebenfalls nachrüsten. Der Tandberg SuperLoa-der SDLT5120L unterstützt alle führenden Backup-Softwarelösungen, u.a. CA ARCServe, VERITAS BackupExec, NetBack-up und Legato Networker. Jeder SuperLoader-Kunde erhält von Tandberg Data ein umfassendes Servicepaket mit ServiceHotline, Schulungen sowie einem Vor-Ort-Service innerhalb von 24 Stunden. Dieser ist - wie bei Tandberg üblich während des ersten Garantiejahres kostenlos und kann danach im Rahmen eines pauschalen Wartungsvertrags verlängert werden. n NEWS INTEL 3COM Xeon Firewall PC Cards Prozessoren für 2003 Manipulationssicherheit mit zentraler Verwaltung Intel stellt ein Dutzend neuer Produkte für die traditionsreiche Familie der Xeon Prozessoren vor. Es handelt sich damit um die umfangreichste Produktvorstellung im Segment der Server und Workstations. Sie schließt neue Prozessoren, Chipsätze und Plattformen für Intel-basierte Server und Workstations ein. 3Com hat eine neue Firewall PC Card herausgebracht. Gleichzeitig kamen aktualisierte Versionen der Firewall PCI Cards für Desktop und Server auf den Markt. Der neue Embedded Firewall Policy Server in der Version 1.5 versorgt bis zu 1000 Client Devices. NEWS M Mit der Vorstellung ihrer neuen Produktgruppen bietet Intel nun auch für Workstations die Möglichkeit, die Hyper-Threading-Technologie, AGP 8x Grafikkarten und Dual-Channel-DDR-Speichertechnologie zu nutzen. Die neuen Xeon-Prozessoren mit Taktfrequenzen von 2,8GHz, 2,6GHz, 2,4GHz und 2GHz und dem 533MHz Front-Side-Bus runden das Bild ab. Intel hat bereits mit der Auslieferung von vier neuen XeonProzessoren von 2,0 GHz bis 2,8GHz, einem integrierten 512KB Cache und einem 533MHz schnellen Front-Side-Bus für den optimalen Datentransfer zum Chipsatz begonnen. Zwei-Wege-Server und Workstations profitieren von diesen neuen CPUs, die Intel mit der 0.13 Mikron-Prozeßtechnologie herstellt. In Verbindung mit diesen Prozessoren erhöht der Chipsatz E7501 für Zwei-Wege-Server die Systemleistung um mehr als 25 Prozent. Diese Plattformen optimieren Einsatzbereiche im Load Balancing, der Netzwerksicherheit, des Traffic Managements, der Voice-over-IPLösungen und des Web Caching. Der Chipsatz E7505 eignet sich für Workstations, die zwei Xeon-Prozessoren verwenden, der E7205 für Workstations des Einstiegssegments mit einem Prozessor auf Basis des Pentium 4. D Die 3Com Embedded Firewall ist eine hardware-basierte, dezentrale Firewall-Lösung. Sie ist in die Hardware der PC und PCI Cards integriert und ermöglicht zusätzlich die Verbindung zum Netzwerk über Fast Ethernet. Die Technologie vereint gleichsam die Widerstandsfähigkeit einer Hardware-Lösung mit der Flexibilität einer zentral verwalteten Software-Lösung, um eine umfassend abgesicherte Infrastruktur zu schaffen. Sie verbindet Firewall Security mit eingebauter 10/ 100 LAN-Konnektivität. Als zentral gesteuerte Sicherheitslösung auf der Client-Seite schafft die Embedded Firewall Technologie zuverlässige Netzwerkverbindungen über die Unternehmens-Firewall hinaus. Embedded Firewall 3Coms Embedded Firewall-Lösungen ermöglichen den Schutz besonders gefährdeter Angriffspunkte im Netz, auf Notebooks oder RemotePCs an entfernten Arbeitsplätzen. Für den Unternehmenseinsatz konzipiert, erlauben die 3Com Firewall Cards einen durchgängigen Sicherheitsansatz bis an die entfernten Peripherien des Netzwerks. Dabei bieten sie ei- nen kosteneffektiven Weg, um die Remote Desktops anzubinden, zu verwalten und zu sichern. Der 3Com Embedded Firewall Policy Server erkennt neue Hardware und vereinfacht somit Systemergänzungen oder änderungen. Client Security Die 3Com Embedded Firewall Lösung funktioniert wie eine zentral verwaltete Embedded Client Firewall, die das Netz gegen mögliche Angriffe hermetisch abriegelt. Die neuen Firewall Cards dehnen den Schutz auf Fernarbeitsplätze aus, die sich über einen VPN Breitbandzugang in das Unternehmensnetzwerk einwählen. Die neuen Produkte reagien automatisch, wenn ein Zugriff innerhalb oder von außerhalb des physikalischen Netzwerks erfolgt, und passen die Sicherheitsregeln entsprechend an. Die 3Com Firewall PC Cards werden mit Nutzerlizenz ausgeliefert, um eine unkomplizierte Anwendung der Lösung zu ermöglichen. Im Zuge ihrer Neuankündigung wurden auch die Embed-ded Firewall Produkte für Desktops und Server zusammen mit einer Nutzerlizenz ausgeliefert. 01 Ausgabe 01/2003 12 MICROSOFT NETGEAR Auf dem Wege In einem .NET Server 2003 ADSL-Modem-Router DG824B Das neue Server-Betriebssystem Windows .NET Server 2003 kommt Microsoft zufolge voraussichtlich im April 2003 auf den Markt. Der Release Candidate 2 in Deutsch (RC2) soll zum Jahreswechsel zur Verfügung stehen. In vier Versionen für Abteilungen, Unternehmen und Rechenzentrum wird .NET Server auf den Markt kommen., W Windows .NET Server 2003 ist eine umfassende Infrastruktur-Plattform, die auf der Windows 2000 Server-Familie aufsetzt. Das Produkt werde, so Brian Valentine, Senior Vice President der Windows Division, das zuverlässigste Server-Betriebssystem sein, das Microsoft jemals auf den Markt gebracht habe. Auf der neuen Plattform lassen sich mit MicrosoftLösungen vielfältige Informationen, Anwender, Systeme und Geräte übergreifend verbinden. Erhöhte Produktivität war das erklärte Ziel bei der Entwicklung der Windows .NET Server 2003, bei denen integrierte Anwendungen XML-basierte Web-Services nutzen. Weitreichende Verbesserungen wurden in den Bereichen System-Management, automatische Konfiguration und Policy-basiertes Prozeß-Recycling vorgenommen, um eine stabile, vernetzte Plattform bereitzustellen. Vier Versionen Windows .NET Server 2003 wird in vier Versionen erhältlich sein, für Abteilungen und Unternehmen bis hin zu Rechenzentren weltweit agierender Konzerne. Die Standard Edition ist für Unternehmensumgebungen verschiedener Größe ausgelegt. Die Web Edition wurde speziell für das Einrichten und Betreiben von WebServices entwickelt. Enterprise und Datacenter Edition werden als 32und als 64-Bit-Version verfügbar sein, wobei die Datacenter-Systeme auf Rechenzentren mit allerhöchsten Anforderungen zielen. Gemeinsam mit führenden Hardware-Anbietern wie HP arbeitet Microsoft an der Erweiterung der Skalierbarkeit der Windows .NET Server 2003. So bestätigt HP exzellente Erfahrungen mit den heutigen Versionen des .NET Servers auf den Itanium2-basierten Servern HP RX2600 und HP RX5670, die auch die Windows .NET Server 2003 Enterprise Edition unterstützen werden. Mit der Verfügbarkeit des RC2 wird Microsoft alle vier Editionen von Windows .NET Server 2003 finalisiert haben. Dazu gehört auch der Support für die 64-Bit-Multiprozessor-Systeme der High-End Datacenter Edition. Release Candidate 2 Seit August ist der Release Candidate 1 von Windows .NET Server 2003 für alle interessierten Anwender in Englisch verfügbar. Die Software soll mehr als 300.000 Mal via Internet heruntergeladen worden sein. Mit dem aktuellen RC2 können Kunden den allerneuesten Entwicklungsstand nachverfolgen. Über das Customer Review Program kann man eine Testversion oder eine Evaluierungs-CD anfordern. Teilnehmer am deutschen Customer Preview Program (CPP) erhalten für 35 Euro den RC 2 in Deutsch als Evaluierungsversion des finalen Produkts. h t t p : / / w w w . m i c r o soft.com/windows.netserver 01 Ausgabe 01/2003 13 Netgear hat mit dem ADSL-ModemRouter DG824B ein besonderes Gerät für Small und Home Offices konzipiert. Es bietet in Kombination von DSL-Modem und Router vier 10/ 100-RJ45-Ethernet-Ports für die Vernetzung und ist für die InternetVerbindung durch Firewall und Sicherheitsfunktionen geschützt. D Die vier RJ45-Fast-Ethernet-Schnittstellen des DG824B erkennen die Rechnergeschwindigkeit automatisch und optimieren den Speed im Netzwerk auf bis zu 200 Mbps im Vollduplex-Betrieb. Die im Netz verbundenen Anwender können somit Breitband-Multimedia-Applikationen oder Echtzeit-Anwendungen wie NetMeeting, Video-Conferencing nutzen. Durch zahlreiche Sicherheitsmerkmale bleibt dieVerbindung zu jedem Zeitpunkt geschützt. Denn neben URL-Content-Filtern und der tageszeitabhängigen Freigabe von Online-Richtlinien, bietet der DG824B mit Networ k Ad dress Translation, Firewall mit Stateful Paket Inspection und VPN Passthrough einen fortschrittlichen Schutz des Netzwerkes. DHCP, DNS und die gängigen Internetprotokolle runden den Funktionsumfang ab. Die Installation ist dank der bewährten Netgear-Routinen auch für unerfahrene Anwender absolut problemlos. Der animierte Installations-Assistent führt den Nutzer durch alle Abschnitte des Prozesses. n NEWS ...Tunnel Builder Bandwidth-Protection für MPLS: Cisco Systems erweitert ihr IOS um Bandwidth Protection für Multiprotocol Label Switching (MPLS). Mit der neuen Lösung können Service Provider die Verfügbarkeit ihrer Netzwerke steigern. MPLS Bandwidth Protection ist eine Netzwerk-Architektur, die auf MPLS Traffic Engineering, Fast Reroute sowie der Offline-Applikation Tunnel Builder Pro basiert. Tunnel Builder Pro ermöglicht die Einsparung von Bandbreite sowie die Steigerung der Ausfallsicherheit im gesamten Netzwerk. MPLSNetzwerke können somit unterbrochene Links teilweise schneller als SONET/SDH-Netzwerke (Synchronous Optical Network/Synchronous Digital Hierarchy) wiederherstellen. Mit dieser Lösung sind Service Provider in der Lage, kostengünstig hochwertige Service Level Agreements anzubieten. Bislang war das Cisco MPLS Traffic Engineering mit den Funktionen Fast Reroute Link und Node Protection ausgestattet. Mit der MPLS Bandwidth Protection wird der Bandbreitenschutz im gesamten Netzwerk noch weiter erhöht. Der Tunnel Builder Pro errechnet Backup-Tunnel, indem er den Hybrid-Optimization-Algorithmus anwendet. Diese intelligente Funktion reserviert Bandbreite unabhängig von der Anzahl der Traffic-Engineering-Tunnel im Netzwerk. Zusätzlich wurden auch Fast Reroute Link und Node Protection mit weiteren IOS-Funktionen ausgestattet, um den Bandbreitenschutz zu erhöhen. Die neue MPLS-Bandwidth-Protection ist ab sofort verfügbar. NEWS ...Tunnel im WLAN DSL/Kabel- und Wireless Router: Netgear hat mit dem FVM318 eine weiteres Mitglied ihrer ProSafe Router-Familie angekündigt. Der neue DSL/Kabel- und Wireless Router verfügt über acht 10/100 SwitchPorts, einen Access Point nach 802.11b-Standard sowie eine VPN-Firewall. Diese kann auf der WAN-Seite 70 IPSec basierte VPN-Tunnel aufbauen und gleichzeitig weitere 32 für Wireless LAN-Verbindungen unterhalten. Das Gerät garantiert eine durchgängige Sicherheit für authentifizierte Remote-Sites und mobile Benutzer. Der Router verfügt über eine echte Firewall mit Stateful Packet Inspection, die Denial-of-Service-Attacken weitgehend ausschließt. Neben den Webpage URL Content Filtern und der 168 Bit 3DES IPSec Encryption stellt Netgear darüber hinaus mit der neuen AES (256-Bit)Verschlüsselung eine der sichersten Schutzfunktionen zur Verfügung. Die Web-basierte Remote-ManagementFunktion sorgt außerdem für problemlosen Multi-SiteEinsa tz. Das Einrichten der VPN-Sicherheitszuordnungen wurde erheblich vereinfacht. Die mitgelieferte Install Assistant CD enthält Anleitungen mit Animationen für eine zeitsparende Installation. Der Router kann bis zu 253 Benutzer unterstützen und wird für zusätzlichen Schutz mit einer kostenlosen Virenschutz- und Privacy-Software für PCs geliefert. Er soll im ersten Quartal im Fachhandel erhältlich sein. ...Neue Maßstäbe 2,6 TeraByte in der Stunde:Computer Associates setzte mit BrightStor Enterprise Backup neue Maßstäbe und erzielte bei der Sicherung der Microsoft SQL Server 2000 Datenbank auf Windows 2000 Datacenter Server einen neuen Rekord. Mit einem Durchsatz von 2,6 Terabyte pro Stunde übertraf die Lösung alle bisher von CA und anderen Speicheranbietern gesetzten Werte. Bei der Datenwiederherstellung über 32 Laufwerke erreichte BrightStor Enterprise Backup einen gleichbleibenden Wert von 2,2 Terabyte pro Stunde. Dabei betrug die durchschnittliche CPU-Auslastung CA zufolge 26 Prozent. Die durchschnittliche CPU-Auslastung mit einem 8-CPU-Backup-Server liegt bei nur 12 Prozent. Zur Testumgebung zählten eine 2,5 TB Datenbank der SQL Server 2000 Enterprise Edition auf einem Unisys ES7000 Orion 230-Server. Auf diesem lief als Betriebssystem die Windows 2002 Datacenter Edition. Die IT-Architektur bestand aus einem leistungsstarken SAN mit Fibre Channel-Laufwerke Lighting 9980 von Hitachi Data Systems, Fabric Switches der Marke Silkworm 3800 von Brocade mit 2 Gbit pro Sekunde sowie Tape Libraries ATL P7000 von Quantum. Die Bandbibliotheken verfügten über insgesamt 32 LTO Ultrium Bandlaufwerke, die über Fibre Channel Host Bus Adapter LP9002 von Emulex an den Unisys-Server angeschlossen waren. Die CA-Kerntechnologie wurde in Verbindung mit dem BrightStor Enterprise SQL Server Agenten eingesetzt. ...Wachstum Märkte für IP-Telefonie: Analysten der TechConsult prognostizieren für den Zeitraum bis 2004 ein durchschnittliches jährliches Wachstum von 13,7 Prozent für den IP-Telefonie-Markt in Deutschland. Zu diesem Ergebnis kommt die Studie “IP-Telefonie in deutschen Unternehmen, Organisationen undVerwaltungen”, die im Auftrag von Cisco Systems erstellt wurde. Demnach wächst der IP-Telefonie-Markt von 60 Millionen Euro in 2002 bis auf 76 Millionen Euro in 2004. Die Studie zeigt, daß die Einführung von IP-Telefonie für die Mehrheit der Unternehmen eine strategische Entscheidung ist. In 75 Prozent der befragten Unternehmen ist die oberste Führungsebene an dieser Entscheidung beteiligt. Von den befragten Unternehmen setzen 9 Prozent bereits eine IP-Telefonie-Lösung ein, vor allem in der Telekommunikationsbranche und der Industrie sowie in Non-Profit-Organisationen. Weitere 14 Prozent Ticker 01 Ausgabe 01/2003 14 neue Version 6.5 wird im ersten Quartal 2003 ausgeliefert. Kunden, die bis zum 15. Januar im Rahmen der Lizenzkundenprogramme VLA, CLA und MLA auf GroupWise 6 aufrüsten oder migrieren, erhalten einen Rabatt von bis zu 30 Prozent auf GroupWise 6 sowie eine Upgrade Protection, innerhalb deren Laufzeit alle künftigen Versionen von GroupWise kostenlos sein werden. Die öffentliche Beta-Version steht unter http:// beta.novell.com zum kostenlosen Download bereit, Info unter www.novell.com/groupwise/ promotion. der Befragten planen, zwischen 2002 und Ende 2004 eine IP-Telefonie-Lösung einzusetzen. Von diesen wiederum will knapp die Hälfte die Technologie bereits in diesem Jahr einführen. 91 Prozent der Unternehmen, die die Einführung von IP-Telefonie planen, gaben an, daß sie über ein Datennetz verfügen, das für die Sprachübertragung geeignet ist. Flexibilität, geringe Betriebskosten, die Integrationsfähigkeit von Anwendungen und der Nutzen für die Anwender sind die wichtigsten Motive für eine Einführung ...Rekordhalter ...Concierge SAP- und TPC-C-Benchmarks: Die Server HP ProLiant ML570 und ProLiant DL760 haben bei SAPund TPC-C Benchmark-Tests neue Höchstwerte erreicht. Das Achtwegesystem ProLiant DL760 erreichte nach TPC-C 111.805,22 Transaktionen pro Minute (tpmC). Er überwandt als erstes System die Schwelle von 100.000 tpmC. Das Vierwegesystem ML570 erzielte gegenüber dem bisher schnellsten ProLiant-Vierprozessorsystem einen Vorsprung von 80 Prozent. Beide Systeme basieren auf dem neuen Intel Xeon MP-Prozessor von Intel, der getaktet mit 2 GHz das Hyperthreading unterstützt. Die Server nutzen die Advanced Memory-Protection-Technologie von HP und eignen sich damit für große Datenbanken, Back-EndApplikationen und die Serverkonsolidierung. Der neue ProLiant DL760-Server, der Anfang 2003 zur Auslieferung kommt, basiert auf der zweiten Generation des Achtwege-Chipset ProFusion. Er wird der erste Server mit Hot Plug RAID Memory-Technologie auf dem Markt sein. Auch das Vierwegesystem HP ProLiant ML570 basiert auf Xeon XP-CPUs von Intel mit jeweils zwei GHz Taktfrequenz und einem Level-3-Cache von zwei MByte. Das Testsystem war mit vier GByte Arbeitsspeicher ausgerüstet. Als Betriebssystem kam bei den Tests bei HP in München Microsoft Windows 2000 Advanced Server zum Einsatz sowie eine Datenbank auf Basis des Microsoft SQL Server 2000 und SAP R/3 Release 4.6C. Live-Chats und Newsgroups:Microsoft hat das TechNet-Abonnement für IT-Experten erweitert. TechNet Online Concierge heißt der neue Live-Chat, bei dem Abonnenten Kontakt mit einem Microsoft Support-Berater aufnehmen können. Sie haben darüber hinaus die Möglichkeit, technische Fragen an Experten in moderierten Newsgroups zu stellen. Der Chat-Service Online Concierge hilft Abonnenten bei der Suche nach relevanten TechNet-Inhalten, wie Fachartikeln, technischen Informationen und Hilfestellungen. Darüber hinaus beantworten die Support-Berater in Echtzeit Fragen zu Download-Problemen, zum Support-Zugriff sowie zu Fragen, die nicht in den Bereich des technischen Supports fallen. Der neue Service steht sieben Tage in der Woche rund um die Uhr in englischer Sprache zur Verfügung. Exklusiv für TechNet Plus-Abonnenten gibt es den TechNet Managed Newsgroup Support. In mehr als 90 öffentlichen Newsgroups von Microsoft können technische Fragen gestellt werden. Zugang zu den neuen Services unter: www.microsoft.com/technet/ subscriptions/suboserv.asp ...Ab zur Zentrale Ressource Sharing mit Filialen: Novell hat mit Nterprise Branch Office eine neue Netzwerklösung speziell für die Anbindung von Niederlassungen und Zweigstellen vorgestellt. Novell Nterprise Branch Office wird als eine reine Softwarelösung ausgeliefert Mit dem zentralen Netzwerk verbunden, ermöglicht es den Anwendern in Niederlassungen den sofortigen Zugriff auf Datenspeicher und Druckressourcen. Die Lösung sorgt außerdem für ein automatisches Backup der Daten auf den Servern im Rechenzentrum des Unternehmens. Die Kunden haben die Wahl, welche Hardware sie einsetzen. Nterprise Branch Office ist im Novell Fachhandel erhältlich. Lizenzkunden mit einer NetWare Maintenanceoder Upgrade-Protection erhalten die neue Software kostenlos. Informationen unter: www.novell.com/ products/branchoffice. ...Sicherheiten integriert Messaging- und Collaboration: Novell hat mit GroupWise 6.5 die nächste Version ihres Messagingund Collaboration-Systems vorgestellt. Das neue Release zielt auf eine erhöhte Sicherheit in der Unternehmenskommunikation ab. GW 6.5 verfügt nun über integriertes, sicheres Instant Messaging (IM) innerhalb der Unternehmensfirewall, was ein Mitlesen durch Unbefugte unmöglich macht. Weiterhin beinhaltet die Version 6.5 integrierte Spam-Filter sowie Anti-Virus-Funktionen. Gr oupWise bietet eine neue , intuitive Bedienoberfläche, arbeitet plattformübergreifend und läuft unter Novell NetWare und Windows NT/2000. Die 01 Ausgabe 01/2003 15 thema des monats EINSTIEGSSZENARIEN Switch on VoIP Flexibilität mit Einsparungspotential Von Elmar Horst E Von Voice over IP versprechen sich Unternehmen zurecht eine deutliche Senkung ihrer Kommunikationskosten. Inzwischen aber erwächst auch aus den Applikationen ein Produktivitätsgewinn mit Einsparpotential. Ob bei einer schrittweisen Migration oder bei GrüneWiese-Projekten, VoIP schafft Innovation und Flexibilität mit finanziellem Nutzen. 01 Ausgabe 01/2003 16 Voice over IP ersetzt sukzessive die klassische Telefonie. In den konvergierenden Netzen fließen Sprachund Datenkommunikation moderner Unternehmen zusammen. Im Gegensatz zur leitungsvermittelten Telefonie, bei der für die Dauer der Verbindung ein festgelegter kostenträchtiger Kanal zur Verfügung steht, wird die Sprachinformation bei der paketvermittelten Kommunikation in kleine IP-Pakete zerlegt und im eigenen Netzwerk verschickt. Da die Sprachübertragung als Real-TimeAnwendung in Echtzeit stattfinden muß und zudem eine geeignete Sprachqualität erzielt werden soll, müssen bestimmte Rahmenbedingungen (QoS) sichergestellt werden. Der Begriff Voice over IP (VoIP) subsummiert eine ganze Reihe von Verfahren zur Echtzeitübertragung von Sprache über IP-basierte Netze. Dazu zählen sowohl firmeninterne Anwendungen der EnterpriseTelefonie als auch die IP-Telefonie zur Kommunikation über das Internet. Insgesamt läßt sich VoIP als Teil einer Gesamtentwicklung von herkömmlich getrennten Daten- und Telefonie-Netzen zu einer einheitlichen Netzstruktur verstehen. Das Zusammenfließen der Technologien für den Transport von Sprache, Multimedia und Daten fällt unter den Begriff des Converged Networking oder kurz Konvergenz. Für den Einsatz von Voice over IP über das Internet sind besonders abgesicherte Kommunikationswege zu bevorzugen. Virtual Private Networks sind die ideale Grundlage für VoIP in der unternehmensübergreifen Kommunikation. Sparpotential Wir wollen uns daher die technologischen Chancen, die beiVoIP zum Tragen kommen anhand verschiedener Einstiegs- und Migrationssszenarien genauer ansehen, um dann in der nächsten Ausgabe die Applikationen samt Neuerungen ausführlich zu be- leuchten. Denn auf den Einsatz kommt es an! Welches Sparpotential in einer VoIP-Lösung steckt, ist von Fall zu Fall sehr individuell. Es ist daher von besonderer Bedeutung, die Anforderungen und Bedürfnisse genau zu analysieren, um diesen individuellen Mehrwert für ein Unternehmen optimal auszuschöpfen. Üblicherweise erwarten Unternehmen eine deutliche Senkung ihrer Kommunikationskosten. In der Praxis gibt es da in der Tat große Einsparpotentiale. Längst liegen handfeste Vorteile auch bei den Applikationen. Denn mit der Konvergenz von Sprache und Daten lassen sich Anwendungen implementieren, die über die Leistungsmerkmale einfacher Telefonielösungen weit hinausgehen und mit merklichen Produktivitätsgewinnen einhergehen. Wir wollen uns daher die technologischen Chancen, die bei VoIP zum Tragen kommen, anhand verschiedener Einstiegs- und Migrationssszenarien genauer ansehen, um dann in der nächsten Ausgabe die innovativen Applikationen ausführlich zu beleuchten. Denn auf den Einsatz kommt es an! IP-PBX Grundsätzlich kann die herkömmliche Telefon-Nebenstellenanlage (TKAnlage) überall durch die Nutzung von Sprachübertragung im IP-Netz ersetzt werden, schrittweise oder vollständig. IP-PBX bietet einen Leistungs- und Bedienungskomfort, der viele klassische TK-Anlagen sogar weit übertrifft. Sie kann mit jedem Teilnehmer im klassischen Telefonnetz kommunizieren und erreicht zusätzlich auch alle Multimedia-Endgeräte im weltweiten IP-Netz. IP-Endgeräte IP-PBX kennt dreierlei Arten von Endgeräten. Das Tischtelefon (IPHardphone) wird an das Ethernet an- 01 Ausgabe 01/2003 17 geschlossen und ist mit dem Systemtelefon einer herkömmlichen TKAnlage vergleichbar. Das PC-Telefon (IP-Softphone) ist eine sehr leistungsfähige PC-basierende Telefonie-Software, zum Telefonieren mit Handset oder Headset. Das Mobiltelefon (Wireless IP-Phone) schließlich ist als schnurloses Telefon für den InhouseBetrieb mit Wireless-LAN-Technologien (IEEE 802.11) einsetzbar. IP-PBX-Systeme Ebenfalls drei Arten von IP-PBX-Systemen lassen sich ausmachen. Als IPenabled bezeichnet man eine TKAnlage (PBX), wenn klassische Telefonie mittels einer IP-Baugruppe bzw. mit einem IP-Interface VoIPfähig gemacht wird. Hierdurch ergibt sich ein hybrides TK-System, welches die vorhandenen klassischen Endgeräte wie Systemtelefone, Faxe usw. zusammen mit neuen VoIP-Endgeräten betreibt. Es entstehen weitestgehend identische Leistungsmerkmale über IP, jedoch mit der Zusatz-Option einer IP-Vernetzung zweier TKAnlagen z.B. über WAN. Der IP-PBX-Switch ist meist eine Box, die primär auf VoIP fokussiert ist. Sie stellt aber zusätzlich einzelne analoge oder digitale Ports bereit, beispielsweise für analoge Faxe oder ISDN-Karten in PCs. Eine solche Box eröffnet darüber hinaus eine Vielzahl neuer Funktionen, etwa die Nutzung bereits vorinstallierter Anwendungen für CTI, Unified Messaging oder Call-Center-Applikationen. Software-PBX / NBX besteht im wesentlichen aus Programmen, die auf einem Server im Netz installiert werden und als Gesprächs-Manager fungieren. Die Software-PBX ist fast ausschließlich auf VoIP ausgelegt. Im Zusammenspiel mit zusätzlichen HWKomponenten wird der Übergang zur konventionellen Welt mittels Gateways realisiert. Bei kleineren Lösungen kann die Call-Software auch direkt auf dem Gateway instal- thema des monats liert sein. Auch die Software-PBX bietet ein hohes Maß an zusätzlichen Applikationen an, die zum Teil auf mehrere Ressourcen verteilt werden können. Speaking Wireless VoIP-Lösungen für WLAN-Implementationen Das NetLink Wireless Telefonsystem von SpectraLink ist eine innovative Produktfamilie, die die Vorzüge des Wireless LAN mit denen der mobilen Telefonie in einer standardkonformen VoIP-Implementation verbindet. NetLink WTS stellt alle Komponenten für mobile Telefonie in Wireless Infrastrukturen bereit. Das NetLink IP Wireless Telefon Handset bietet neben allen wichtigen Telefoniemerkmalen auch die Möglichkeit, umfangreiche LAN-Funktionen zu nutzen. Mobile Telefonie im Wireless LAN Durch die Kompatibilität zu den WLAN-Implementation der wichtigsten Infrastrukturhersteller läßt sich NetLink WTS problemlos in die gängigen Funknetzwerke integrieren. NetLink-Wireless-Telefone sind wahlweise für Wi-Fi-Netzwerke mit Direktfolge-Verfahren (Direct Sequence) nach IEEE 802.11b oder für Anwendungen mit Frequenzsprung-Verfahren (Frequency Hopping) nach IEEE 802.11 erhältlich. Um stets eine gleich bleibende, hohe Sprachqualität zu erzielen, hat SpectraLink ein Sprachpriorisierungsverfahren für 802.11-Zugangspunkte und Schnurlostelefone entwickelt. Die Wireless Access Points empfangen die Sprach-Daten-Pakete der NetLink IP Handsets. Diese werden über das LAN an das NetLink Telefonie-Gateway weitergeleitet und von dort an die Telefonanlage übergeben. Die NetLink Telefonie-Gateways arbeiten als Schnittstelle zwischen WLAN und der TK-Anlage und komplettieren das Produktportfolio. In einer reinen IP-Umgebung hingegen findet der NetLink SVP Server Anwendung. Telefonie-Funktionen drahtlos NetLink WTS stellt als ein robustes VoIP-Telefoniesystem im Wireless-LANUmfeld umfangreiche Funktionen zur Sicherstellung der Sprachqualität, Priorisierung und Steuerung der Sprach-Daten-Pakete bereit. Anwenderfreundliche Tools zur Konfiguration und Administration der angeschlossenen Endgeräte sind integraler Bestandteil des NetLink-Systems. Die Emulation herstellerspezifischer Endgerätemerkmale ermöglicht den Einsatz des NetLink WTS an existierenden Telefonanlagen - ohne jede Einbuße bei den Leistungsmerkmalen - und rundet so den Funktionsumfang des Systems in idealer Weise ab. Multiservice Networking Die Konvergenz mobiler Sprachdienste und Datenapplikationen eröffnet unter Einbeziehung des Wireless LAN neue Anwendungsmöglichkeiten mit mehr Flexibilität und höhere Mobilität. Der Einsatz des NetLink WTS erweitert das WLAN zu einer Multiserviceplattform mit umfangreichen Telefonie-Funktionen. Der technologische Gewinn geht mit deutlichen Kosteneinsparungen einher. Die Handgeräte können laufend mit den neuesten Protokollen, Funktionen und Fähigkeiten ausgestattet werden. Szenarien Schauen wir uns typische Szenarien zur VoIP-Standortvernetzung und die typischen Implementierungsmöglichkeiten an, so erhellt, wie eine Innovation aus Kostenbewußtsein diverse Einsparpotentiale auszuschöpfen vermag. Durch eine vollständige oder schrittweise Migration entsteht ein technologischer Gewinn, der die Unternehmenskommunikation rationalisiert. Doppel-Investitionen in eine getrennte Infrastrukur oder in ”sprachlose” Komponenten rechnen sich mittelfristig kaum mehr. Grüne Wiese Die einfachste, weil flexibelste Art einer VoIP-Implementierung ist sicherlich die ”Grüne Wiese” bzw. der Komplett-Austausch, weil man die Anforderungen nach ihren technischen Aspekten und finanziellen Maßgaben frei gestalten kann. Eine komplett neue Installation läßt sich individuell an die Kundenbedürfnisse anpassen. Das gleiche gilt für den kompletten Austausch eines TK-Systems. Der Kunde hat die freie Wahl, für welche Art von IP-PBX er sich entscheidet. Wenn eben möglich, bietet sich eine reine VoIP-Lösung an, weil sich mit einer homogenen Infrastruktur für die Kommunikation am wirkungsvollsten das Potential an Kosteneinsparungen ausschöpfen läßt. Das beginnt mit dem Wegfallen einer gesonderten Telefon-Verkabelung Die kaum bandbreitenaufwendige Sprachkommunikation kann über das Datennetz gleich mit übertragen werden. Es setzt sich fort bei der gemeinsamen Administration von Sprache und Daten. Denn die 01 Ausgabe 01/2003 18 Mitarbeiter können zentral administriert werden, um Sprach- und Datendienste in Anspruch nehmen zu können. Zudem kann ein durchgängiger Einsatz von effizienzsteigernden Applikationen jederzeit verwirklicht werden. Vergleichsweise gering sind die Mehrkosten, wo bei nicht priorisierungsfähigen Komponenten durch Neuanschaffungen Aufwendungen entstehen, um QoS-Anforderungen zu genügen. Soll das neu zu implementierende Datennetz ohnehin für Realtime-Multimedia-Anwendungen ausgelegt werden, so steht eine preisgünstige Alternative gar nicht erst zur Diskussion. Wünscht der Kunde nach wie vor auch klassische Endgeräte, ob nun in geringen Teilen oder gar überwiegend, so läßt sich ein Grüne-Wiese-Projekt auch mit einer hybriden Anlage realisieren, die klassische und IPTelefonie vereint. Will man bei einem Komplettaustausch der alten TK-Anlage noch vorhandene Systemtelefone auch weiterhin nutzen, bieten einige TK-Hersteller klassischer Endgeräte die Möglichkeit, in den neuen VoIP-Systemen mit entsprechenden Baugruppen vorhandene Telefonie weiterzubetreiben. Hierbei ist man dann natürlich an den ursprünglichen Hersteller gebunden. des Unternehmens, ein Nebengebäude, eine Gruppe von Mitarbeiterinnen und Mitarbeitern oder eine Abteilung mit VoIP-Endgeräten ausgestattet und über ein Gateway an das vorhandene TK-System angebunden. Hierzu müssen in der TK-Anlage eine entsprechende Anzahl an Ports für den IP-Zweig zur Verfügung gestellt werden, um den VoIP-Teilnehmern auch Gespräche mit dem Rest des Unternehmens und der Außenwelt zu ermöglichen. Alternativ kann das Gateway auch zwischen das öffentliche Telefonnetz und die existierende TK-Anlage geschaltet werden. Es gibt die Gespräche dann an den VoIP-Zweig oder die klassische Anlage weiter, je nach der angewählten Rufnummer (vgl. Abb. 2). Auch mag es sein, daß das vorhandene System sich auf die neue Technologie umrüsten läßt. Hierbei spricht man von einer VoIP-Integration durch Umrüstung der Anlage oder auch von IP-enabling (vgl. Abb. 3). Wie oben beschrieben, wird die vorhandene TK-Anlage IP-fähig gemacht. Es entsteht ein hybrides System. Eine Teilnehmererweiterung geschieht mittels VoIP-Endgeräten. Nach und nach lassen sich auch die klassischen Endgeräte gegen VoIP-Endgeräte austauschen, mit zunehmenden Rationalitätsgewinnen für die Unternehmenskommunikation. Abb. 1: Implementierung auf „grüner Wiese“ bzw. Komplettaustausch Migration Anders als beim Komplettaustauch wird bei einer Migrationslösung das vorhandene TK-System schrittweise ergänzt oder sukzessive abgelöst. Eine Migration bietet sich immer dann an, wenn der Kunde zunächst erst einmal eigene Erfahrung mit der neuen Technologie sammeln will oder das Budget für Investitionen begrenzt ist, wenn ein existierendes TK-System noch nicht abgeschrieben ist oder noch Leasingverträge bestehen, obwohl die Anlage erweitert werden muß. Zum einen läßt sich eine solche Migration durch Adaption eines VoIPZweigs realisieren. Hier wird ein Teil Abb. 2: Migration durch Erweiterung mittels Gateway Standort vernetzung Häufig wird VoIP zunächst als Inselinstallation an einem Standort eingeführt. Bei zufriedenstellendem Betrieb wird eine Ausweitung auf das ganze Unternehmen angestrebt. Bei einer unternehmensweiten VoIP- 01 Ausgabe 01/2003 19 thema des monats Advantage durch MultiVantage S8300/G700 Media-Server und Media-Gateway Mit dem S8300/G700, dem modularen Media-Server-/Media-Gateway-Produkt für kleine und mittlere Unternehmen bietet AVAYA ein zukunftsweisendes Telefonie-System, das sowohl in traditionellen als auch in IP-Netzwerken seine Stärken voll entfaltet. Hinter der neuen Media-Server und Media-Gateway-Kombination S8300/G700, die aus der innovativen MultiVantage-Produktfamilie von AVAYA stammt, verbirgt sich im kompakten 19-Zoll-Format ein Multitalent mit umfangreichen Funktionen und Applikationen, mit Bedienkomfort bei der Implementierung und Handhabung im Betrieb. IP-Telefonie, einen Switch voraus Das S8300/G700 Kommunikationssystem vereint die Anforderungen modernster IP-Telefonie, Router- bzw. Switch-Technologie mit anspruchsvollen Funktionen aus dem Bereich Call-Center Management und Call-Handling in einer Plattform. Einfache Implementierung und Handhabung, modulares Systemkonzept, Zuverlässigkeit und umfangreiche VoIP- sowie LAN/WAN-Applikationen in einem kompakten Format machen den S8300/G700 zu einer zukunftsweisenden Systemlösung. So lassen sich zum Beispiel Stack-Konfigurationen mit der Cajun-Produktfamilie von AVAYA realisieren, ohne Signalkonvertierungen durchführen oder gar Performance-Einbußen befürchten zu müssen. Vom Media-Gateway zum Media-Server Durch Einfügen des S8300-Server-Moduls wird aus dem G700 Media-Gateway ein Media-Server. Das sehr flexible Systemdesign ermöglicht es, auf einfachem Wege individuelle Konfigurationen zu realisieren, zum Beispiel die Verknüpfung von Zweigstellen mit der Zentrale eines Unternehmens in einem Master-SlaveSystemkonzept, selbst unter Beibehaltung entsprechender Fall-Back-Szenarien. So vereint das Systemkonzept des S8300/G700 die Funktion eines kompletten Layer-2-Switches mit einem integrierten leistungsstarken VoIP-Prozessor. Ebenso kann das System mit Cajun P330-LAN/WAN-Router-Modulen und verschiedenen digitalen sowie analogen Media-Modulen ausgestattet werden. Der S8300/G700 eröffnet - jenseits der ”Grüne-Wiese”-Implementation - ein stufenloses Migrations-Szenario. MultiVantage-Applikationssoftware Das S8300-Server-Modul enthält neben Routing-Funktionalitäten und Modulen zur Herstellung von Sprachsignalisierung die AVAYA-MultiVantage-Applikationssoftware, aber auch umfangreiche Benachrichtigungsdienste für Sprache, EMail oder Fax. Das modulare Systemkonzept ermöglicht es, durch den Einsatz einfacher Schnittstellenmodule neben den traditionellen Telefonen auch moderne IP-Endgeräte Seite an Seite zu betreiben. Dabei werden beiden ohne jede Einschränkung die Applikationen der MutiVantage-Familie zur Verfügung gestellt. Lösung erhalten die Mitarbeiter die Möglichkeit, über IP auf die kompletten Kommunikationstools zuzugreifen, etwa auf die individuellen Funktionstasten oder das persönliche Telefonbuch. Dies geschieht vollkommen unabhängig davon, an welchem Standort sich ein Mitarbeiter gerade befindet. Er ist automatisch über eine Rufnummer identifiziert, auch außerhalb des Unternehmens, beispielsweise über Softphone am Laptop mit Headset. Eine Standortvernetzung kann dank IP-Fähigkeit des Systems über eine - meist schon existierende Datenanbindung realisiert werden (vgl. Abb. 4 und 5). Theoretisch könnte eine Niederlassung komplett nur über IP an die Unternehmenszentrale angebunden werden. Die ein- und ausgehenden Gespräche mit dem öffentlichen Telefonnetz könnten über den Anschluß der Zentrale laufen. Es sprechen jedoch einige Argumente für einen eigenen Zugang der Niederlassung ins öffentliche Sprachnetz. Zum einen muß die Niederlassung bei einem Engpaß oder einem kompletten Wegfall der IP-Verbindung erreichbar bleiben und auch weiterhin extern telefonieren können. Zum anderen ist es insbesondere bei weiter entfernten Standorten nicht wünschenswert, daß beispielsweise ein Anrufer aus dem Raum München, der die dortige Niederlassung anrufen will, die Firmenzentrale in Berlin anwählen muß, um dann über IP nach München zurückgeroutet zu werden. Entfernte Standorte sollten also alle einen eigenen Zugang zum öffentlichen Telefonnetz haben. Umgekehrt aber können beispielsweise eigene Mitarbeiter am Standort München in den Raum Berlin telefonieren, indem das Gespräch über IP erst an das Gateway der Berlin-Zentrale geschickt wird, um es dann extern weiterzuleiten. Hieraus ergeben sich am Rande weitere Einsparungen, die je nach Telefonaufkommen trotz der inzwischen relativ geringen Inlandsgebühren ihren Beitrag leisten. 01 Ausgabe 01/2003 20 H.320 H.321 H.322 H.323 H.324 Standardisierungen der H.32x-Familie Sprache/Video über ISDN (und H.310) Sprache/Vi deo über ATM (Breitband digitalnetze / B-ISDN) Sprache/Video über LANs mit QoS Sprache/Video über Packet Switched Networks Sprache/Video über analoges Telefon oder Mobilfunk VoIP im VPN Zunehmende Verbreitung findet VoIP im Bereich der Virtual Pr ivate Networks (VPN). Diese geschlossenen und besonders abgesicherten Netze eignen sich ideal als Einstiegsszenarien. Besonders kleine Niederlassungen und Heimarbeitsplätze, die ohnehin über eine Datenanbindung ans Unternehmensnetz verfügen, können mittels VPN gleichzeitig Sprachkommunikationsdienste mit VoIP nutzen. Eine entsprechende Box an der Remote-Lokation stellt Sprach- und Datenkommunikation über IP und einen Backup-Zugang ans öffentliche Telefonnetz via ISDNPort zur Verfügung (vgl. Abb. 6). Auch mobile Mitarbeiterinnen und Mitarbeiter können sich über VPN kostengünstig mit dem Unternehmensnetz verbinden, beispielsweise über Laptops mit IP-Softphone und Headset. Wie jeder andere Kollege sind sie über die Firmenrufnummer erreichbar und haben damit nicht nur Zugriff auf gemeinsam Unternehmens-daten, sondern auf die gesamte Unternehmenskommunikation einschließlich Sprach-Applikationen. Auch läßt sich ein Unternehmen mit vielen Heimarbeitsplätzen nach außen hin virtuell so darstellen, als sei es an einem Standort ansässig. Eine größere Flexibilität geht mit höherer Produktivität einher, zum Vorteil der Mitarbeiter, des Unternehmens und der Kunden. Signalisierung Wenden wir uns nun den technischen Details zu. Bei den Standards zu VoIP konkurrieren momentan zwei verschiedene Übertragungsprotokolle, zum einen H.323, zum anderen das Session Initiation Protocol (SIP). H.323 der ITU-T Die International Telecommunications Union ist für den Standard H.323 zuständig und hat für dessen Spezifikationen inzwischen zahlreiche Versionen und Ergänzungen herausgegeben. H.323 definiert als die vier zentralen Elemente Terminals, Abb. 3: Migration durch IP-Enabling Gateways, Gatekeeper und Multipoint Control Units (vgl TN 09/2000). Ursprünglich als Grundlagenprotokoll für Videokonferenzen in Unternehmensnetzwerken entwickelt, kam die internationale Normierung erstmals 1996 heraus. Mit augenfälligen Gemeinsamkeiten zu Signalisierungsprotokollen des ISDN vereint der H.323 Standard heutzutage eine ganze Reihe von Protokollen (siehe unten). Der Standard spezifiziert alle Komponenten, Protokolle und Prozeduren, um Multimedia-Kommunikationsdienste wie Real-Time Audio, Video und Daten über P aketvermittlung in IP-Netzwerken herzustellen. H.323 ist aber nur ein Teil einer ganzen Standardisierungsreihe der H.32x-Familie SIP der IETF Das Session Initiation Protocol ist jünger. Es wurde von Internet Engineering Task Force entwickelt und 1999 zum Standard erhoben. Im Hinblick auf das Internet entwikkelt, liegen die GeAbb. 4:VoIP-Anbindung zweier Standorte 01 Ausgabe 01/2003 21 thema des monats Einstiegslösung für IP-Telefonie Media Convergence Server Familie MCS-7815-1000 Mit der Einstiegslösung ihrer Media Convergence Server Familie ermöglicht Cisco Systems auch kleineren Unternehmen den rentablen Übergang zur IPTelefonie. Denn die Cisco Architecture for Voice, Video and Integrated Data (AVVID) berücksichtig Anwendungen für kleine und mittelständische Unternehmen ebenso wie für Konzernlösungen mit internationalem Format. Performance Der Cisco Media Convergence Server MCS 7815-1000 ist eine leistungsfähige Plattform für moderne IP-Telefonie-Anwendungen, die besonders die kleineren Unternehmen adressiert. Entworfen wurde der Cisco MCS 7815-1000, um AVVIDLösungen bis 200 Endgeräte zu implementieren. Damit richtet sich der Media Convergence Server sowohl an Einzelunternehem bis zu dieser Größenordnung wie auch an Niederlassungen in Unternehmensverbünden. Robuste Hardware Der MCS 7815-1000 arbeitet mit einem Intel Celeron 1-GHz Prozessor und 512 MB SDRAM und besitzt damit eine genügend hohe Performance. Er beinhaltet eine 20,4 GB Festplatte und bietet Backup- und Restore Funktionalitäten, die während der Installationsroutine kundenspezifisch konfiguriert werden können. Alle relevanten Dateien werden in definierten vernetzten Laufwerken nach den Benutzervorgaben gespeichert. Bei einem eventuellen Ausfall können die Daten über das Restore-Programm wiederhergestellt werden. Um einen durchgängigen Betrieb des IP-Telefonnetzes zu gewährleisten, kann der MCS 78151000 auch redundant ausgelegt werden. Call Processing Software Der Cisco CallManager ist die Call Processing Software der Cisco AVVID-Systeme. Diese bewährte Software-Komponente erweitert die herkömmliche Unternehmens-Telefonie um die paketorientierte IP-Telefonie. Die Cisco CallManager Software dient der Anrufsignalisierung, Weiterschaltung und der Vermittlung abgehender Telefonate. Sie übernimmt sowohl die Sprachdienste als auch die Konferenzvermittlung im Netz. Darüber hinaus bindet der CallManager alle Telefonie-Einheiten an das Unternehmensnetz an und stellt die Verknüpfung zu Sprach-Daten-Applikationen dar, beispielsweise zu Ciscos Unified Messaging oder Outlook. Auf einem Cisco MCS 7815-1000 unterstützt der Cisco CallManager bis zu 200 IP-Telefone. meinsamkeiten hier bei Eigenschaften, die uns vom Hypertext Transfer Protocol bekannt sind. SIP ist recht einfach, denn es verwendet Klartext. Neben HTTP benutzt es - quasi als Sitzungsprotokoll - weitere InternetStandards wie das Simple Mail Transfer Protocol (SMTP), URLs, die Multipurpose Internet Mail Extension MIME und auch den Domain Name Service (DNS). Die zentralen Elemente des SIP sind der User Agent, Proxy Server, Redir ect Server und der Registrator. In einerArt Client-ServerArchitektur arbeiten die User Agents bei der Initialisierung von Anfragen oder deren Beantwortung wechselweise als Client oder Server. Zur Übertragung der Gesprächsdaten nutzt SIP das Session Description Protocol (SDP) der IETF. Hierüber werden die verwendeten Komprimierungsverfahren (Codecs), Bandbreiten und IPAdressen der beteiligten Gateways ausgetauscht. Konkurrenz SIP und H.323 unterscheiden sich aufgrund ihrer Architektur sehr deutlich voneinander. H323 besitzt eine regelhafte Systemarchitektur und definiert für die Implementierung den Verbindungsauf- und -abbau, die Steuerung und das zu verwendende Medium. Demgegenüber dient SIP dazu, temporäre Sitzungen nach Maßgaben des Internets aufzubauen und zielt demzufolge nur auf deren Initiierung, Modifizierung und Beendigung. Die SIP-Architektur folgt der offenen Internet-Philosophie ihrer Urheber und regelt nur die Mindestvoraussetzungen sporadischer Sitzungen, in denen die Anwendungen die beiderseitige Kommunikation steuern. H.323 hingegen ist strenger, umfassender und detaillierter, weil es Telekommunikationslösungen vor Augen hat. Sehen wir uns im folgenden den streng regulierten Aufbau der verschiedenen H.323 Komponenten etwas genauer an. 01 Ausgabe 01/2003 22 VoIP nach Standard H.323 Protokolle im Überblick H.225 RAS Registration, Admission and Status ist das Protokoll zwischen Endpunkten wie Terminals und Gateways einerseits und dem Gatekeeper andererseits. RAS wird benutzt, um die Anmeldung am Gatekeeper, den Rufzustand, Bandbreitenänderung, Terminalstatus Rufaufnahme und -beendigung zwischen Endpunkten und dem Gatekeeper durchzuführen. Hierfür wird ein RAS Kanal zwischen dem Endpunkt und dem Gatekeeper geöffnet. Der RAS Kanal ist der erste Kanal, der geöffnet wird, da über ihn der Aufbau anderer möglicher Kanäle initiiert und kontrolliert wird. Abb. 5: Standortanbindung über IP-Gateways H.225 Call Signalling Die Signalisierung nach H.225 kündigt einen Verbindungsaufbau zwischen zwei H.323 Endpunkten an, indem die Meldungen des H.225-Protokolls auf dem Call Signalling Channel ausgetauscht werden. Der Channel ist zwischen zwei Endpunkten oder einem Endpunkt und einem Gatekeeper geöffnet. Abb. 6: VoIP zwischen Home Office und Zentrale H.323 Komponenten nals, Gateways, Gatekeeper und MCUs. Der Standard spezifiziert alle beteiligten Komponenten, Protokolle und Prozeduren, Abb. 7: Elemente der H.323 Protokollstruktur im OSI- um MultimediaKommunikation Referenzmodell wie Real-Time Audio, Video und Daten über paketbasierte Netzwerke herzustellen. Wir sagten bereits, daß H.323 vier zentrale Elemente definiert: Termi- Terminal Ein H.323-Terminal hat vielerlei Gestalt. Das kann ein PC mit einer H.323 unterstützenden 01 Ausgabe 01/2003 23 H.245 Controll Signalling Der H.245 Standard dient dem Übertragen von Steuersignalen und wird benutzt, um die aufeinanderfolgenden Steuermeldungen zwischen zwei H.323-Endpunkten auszutauschen, welche die Operationen der H.323-Endpunkte steuern. Dies können Informationen über die Vermittlungsfähigkeit und die Vermittlungsbereitschaft, das Öffnen u. Schließen von logischen Media-StreamKanälen, Daten u. Nachrichten zur Flußkontrolle sowie generelle Kommandos und Informationen sein. RTP Das Realtime Transport Protocol bietet Punkt-zuPunkt-Zustelldienste für Echtzeit Audio- und Videostreams. RTP wird gewöhnlich verwendet, um Daten über das UDP (User Datagram Protocol) zu liefern. RTP in Verbindung mit UDP bietet bandbreitenschonende TransportprotokollFunktionalität. UDP bietet die nötige Mehrkanalfähigkeit und Prüfsummen. RTP kann auch mit anderen Protokollen verwendet werden RTCP Das Realtime Transport Control Protocol ist das Gegenstück zum Realtime Transport Protocol (RTP) und liefert die Steuerdienste hierzu. Die wichtigste Funktion von RTCP ist es, Informationen über die Qualität und Art der Datenverteilung zur Verfügung zu stellen, um etwa gesicherte Bandbreite und Priorität zu gewährleisten. thema des monats Vernetzte Telefonie-Lösung SuperStack 3 NBX Kommunikationslösung Die 3Com Business-Kommunikationslösung verfügt über eine Software der dritten Generation, mit allen wesentlichen Funktionen für Büros und Geschäftsstellen mit bis zu 600 Nutzern pro Standort. Eine Ethernet-/ Fast Ethernet-Hardware-Plattform (10/100BASE-TX) erweitert die NBX-Produktfamilie und erfüllt auch die Ansprüche größerer Unternehmen. Die vernetzte Telefonie-Lösung SuperStack 3 NBX wartet mit Funktionen auf, die das Systemverhalten erheblich verbessern, für eine leichtere Bedienung des Systems sorgen und dadurch die Verwaltungs- und Wartungskosten senken. Produktivitäts-Steigerung Die vernetzte Telefonie-Lösung der 3Com SuperStack 3 NBX bietet über ein lokales oder Wide Area Netzwerk eine hochleistungsfähige Kommunikationsarchitektur und ein umfassendes Anwendungspaket. Als Ergänzung für das Kommunikationssystem NBX 100 unterstützt SuperStack 3 NBX bis zu 750 Leitungen und Sprechstellen und ermöglicht eine effizientere Abwicklung von weltweiten Geschäftsvorgängen, verbesserten Kundenkontakt, Kosteneinsparungen und eine Steigerung der Produktivität. Systemverfügbarkeit Zusätzliche Elemente enthalten 10/100 Mbit/s Ethernet Resilient Uplink Ports mit Fail-over-Funktionalität, für redundante Netzwerke und gespiegelte Festplatten. Die Lösung ist kompatibel zur redundanten 3Com Stromversorgungstechnologie und der 3Com Ethernet Power Source, die NBX-Business-Telefone über LAN verläßlich mit Strom versorgt und eine maximale Betriebszeit gewährleistet. Die 3Com SuperStack 3 NBX verfügt über eine erprobte End-to-EndArchitektur, die maximale Systemverfügbarkeit gewährleistet. Die vermittlungstechnische Umgebung der SuperStack 3 NBX Lösung basiert auf dem VxWorksEchtzeit-Betriebssystem von Wind River und sorgt für den reibungslosen Kommunikationsablauf. NBX NetSet Administration Utility Die 3Com SuperStack 3 NBX bietet die Kontrolle über das gesamte Telefonsystem. Das verbesserte NBX NetSet Administration Utility ermöglicht einfaches, systemweites Management von jedem Arbeitsplatz innerhalb des Netzwerks. Alle administrativen Routineanwendungen werden über einen Standard-Webbrowser ausgeführt. Mit diesen neuen Managementmöglichkeiten bietet 3Com weitere Ergänzungen zu den bereits umfangreichen Tools, des bewährten Systems NBX 100. So ermöglicht die Network-SupervisorAnwendung den Entwurf einer Netzwerktopologiekarte und die Wartung von Netzwerkelementen von jedem PC innerhalb des Netzwerkes. Software sein - etwa ein VoIPSoftphone mit USB-Headset - oder eine PC-Soundkarte und Headset, aber auch eine unabhängige Einheit wie ein IP-Telefon bzw. VoIPHardphone. Sie alle bedienen als Grunddienst die Audiokommunikation und können Video- oder Datenkommunikation beliebig unterstützen. H.323-Terminals spielen die Schlüsselrolle in den IP-TelefonieDiensten. Sie verfügen über einen eigenen H.323-Protokoll-Stack und gegebenenfalls über Multimedia-Unterstützung. Hauptziel von H.323 ist das Zusammenspiel mit anderen Terminals jeglicher Art. Gateways Verschiedene H.32x Systeme werden über Gateways miteinander verbunden, z.B. H.323 mit H.320 (ISDN). Dabei kann es notwendig sein, unterschiedliche Audio- und Videoströme umzusetzen (Transcodierung). Zudem müssen Gateways in der Lage sein, DTMF- und Faxsignale zu interpretieren und anzupassen. Hierbei müssen verschiedene Signalisierungen konvertiert werden, um im Beispiel zu bleiben, von H.323 auf die ISDN-Signalisierung nach H.320. Gatekeeper Der Gatekeeper ist die Software PBX und damit die zentrale Managementeinheit. Er führt die Mitgliederliste für seine H.323-Zone und wird bei jedem Anruf vom Client oder Gateway informiert. Er verwaltet die Zuordnung der Telefonnummer zur IP-Adresse, trägt den jeweiligen Zustand in eine Tabelle ein und kann dementsprechend reagieren. Der Gatekeeper kann auch unzulässige Anforderungen (Admission-Phase) abblocken, bspw. bei einer fehlenden Amtsberechtigung. Neben so wichtigen Diensten wie Registration, Admission and Status (RAS), die der Gatekeeper den Terminals und 01 Ausgabe 01/2003 24 Gateways zur Verfügung stellt, werden auch Services für Bandbreitenmanagement, Accounting, Gebührenkontrolle und Least Cost Routing im Gatekeeper implementiert. PROJEKTE Train IT – Try IT – Trade IT MCU Die Multipoint Control Unit ist eine optionale Komponente, die zur Realisierung von zentralen Konferenzen benötigt wird. H.32x realisiert nur die technischen Voraussetzungen für das Mischen von Informationsströmen (Audio/Video). Die MCU erfüllt sozusagen die Aufgabe eines Mischpults. Sie stellt die Services und Rechenoperationen für Konferenzen. Um die Prozessorbelastung einzelner Maschinen in einer H.323 Zone im Rahmen zu halten, kann es auch mehrere MCUs in einer Zone geben. Bei kleinen Netzen können Gatekeeper, Gateway und MCU auch als eine Einheit ausgelegt sein. H.323-Zone Die H.323-Zone ist eine Ansammlung aller Terminals, Gateways und MCUs, die von höchstens einem Gatekeeper verwaltet werden. Mehrere Gatekeeper sind aus Gründen der Redundanz möglich. Eine H.323Zone kann unterschiedliche Netzsegmente beinhalten, sie ist keine physikalische Zone, sondern eine Verwaltungseinheit, in der verschiedene Protokolle und Codecs gelten. Struktur H.323 besitzt eine differenzierte Protokollstruktur (vgl. Abb. 7): • Video CODECS (H.261, H.263) • Audio CODECS (G.7xx) • Systemkontrolleinheiten (H.245, H.225 RAS und H.225 Call Signalling) steuern den geordneten Betrieb von H.323 Terminals • Real-Time Transfer-Protokoll • Real-Time Control-Protokoll • Datenkanal (T.120) optional VoIP-Dienstleistungsbundles von Compu-Shack Compu-Shack bietet ihren Fachhandelspartnern einen speziellen Voice-Service an. Reseller haben die Möglichkeit, eine intelligente VoIP-Lösung von Cisco, 3Com oder Avaya für die Dauer von 21 Kalendertagen auszuleihen und intensiv zu testen. Ein begleitender Workshop zu jedem einzelnen Voice-Test-Bundle erleichtert den Einsteig. Innerhalb eines Zeitraums von drei Wochen können Compu-Shack-Fachhandelspartner die aktuellen VoIP Systeme Cisco, 3Com oder Avaya in ihren Räumlichkeiten ausprobieren und sich mit der Technik vertraut machen. Bevor Kaufentscheidungen getroffen werden, kann man die Komponenten in aller Ruhe testen. Außerdem besteht die Möglichkeit, interessierten Kunden die Technik und Funktionalität live und vor Ort zu demonstieren. Workshop inklusive Damit die ersten Schritte mit der neuen Technik leichter fallen, ist in jedem Bundle ein eintägiger Workshop enthalten, bei dem Experten der Compu-ShackProjektberatung eine Einweisung in die Grundlagen der Systeme geben. U.a. werden alle erforderlichen Kenntnisse für die Inbetriebnahme der Geräte, die Administration von Benutzern und das Einrichten der Telefoniefeatures vermittelt. Die genauen Inhalte werden individuell mit dem Fachhändler abgestimmt. Die Lieferung der Geräte erfolgt im Flightcase. 3 VoIP-Test-Bundles Compu-Shacks Fachhandelspartner haben die Wahl zwischen 3 verschiedenen VoIPBundles. 01 Ausgabe 01/2003 25 Avaya VoIP-Bundle Avaya IP-Office IP403 Office, 8 S0-Anschlüsse, 4 Avaya Definity IP Telefone, Avaya IP-Office IP400 Phone Manager, Avaya IP-Office IP400VoiceMail, Avaya Softphones + eintägiger Workshop. Cisco VoIP-Bundle Cisco Catalyst 3521 PWR, Compaq DL 320, Cisco 3640, 2 S 0-Anschlüsse, Cisco ATA 186, 5 Cisco IP Phones, Cisco CallManager 3.2 (2c) mit allen Applikationen, Cisco Softphone + eintägiger Workshop. 3Com VoIP-Bundle 3Com NBX 100, E1 Interface, BRI Interface, Analog Terminal Interface, 3 IP-Telefone + Attendant Console, pcXset, Call Reports, ConneXtions (H.323 Gateway), Tapi Dialer, Palm Dialer+ eintägiger Workshop. Ein Erwerb der Systeme im Anschluß an die Testphase wird zu Vorzugskonditionen angeboten. Zusätzliche Informationen über den Inhalt der Bundles, über Preise und den Ablauf erhalten Sie unter der Rufnummer 02631 / 983-345 oder auf E-Mail-Anfrage an projekte@ compu-shack.com. Besuchen Sie uns im Internet unter www.projekte. compu-shack.com. thema des monats Kommunikation nach Wahl Das Resource-Reservation-Protokoll (RSVP) - ein Standard der IETF - dient zur Gewährleistung bestimmter Übertragungsqualitäten wie Bandbreite und Priorisierung über TCP/IP Business Communications Manager 3.0 Der Business Communications Manager 3.0 von Nortel Networks bietet eine einzigartige Kombination von Sprach- und Daten-Lösungen sowie leistungsstarke Applikationen in einem einzigen Gehäuse. Mit dem Release 3.0 wurde die Funktionsvielfalt abermals erweitert und gibt kleinen bis mittleren Unternehmen Vorteile, wie sie sonst nur über High-End-Lösungen verfügbar sind. Der Maximalausbau wurde verdoppelt und liegt zwischen 128 und 160 Systemendgeräten. Business-Anwendungen BCM ermöglicht den Anschluß digitaler Telefone wie auch die Verbindung zu analogen Endgeräten über einen Adapter. Neben Router-Funktionalitäten und den IP-Services unterstützt BCM 3.0 eine Reihe von Business-Anwendungen. Das Interactive Voice Response (IVR) z.B. ist eine Self-Service Anwendung, die für die Kunden eines Unternehmens rund um die Uhr erreichbar ist und den Anrufern einfach abrufbare Informationen durch die Auswahl einer Serie von Prompts über ihr DTMF-Telefon anbietet. BCM 3.0 stellt eine integrierte EchtzeitAnwendung zur Verfügung, welche auf Voice CTI aufbaut und die IVR Applikation interpretiert. Der Network Configuration Manager 2.0 (NCM) fungiert in übergreifenden Systemen als Plattform für eine zentralisierte Konfiguration und Systemverwaltung, besonders in großen BCM-Netzwerken mit vernetzten Kunden und Partnern. Optimierte Hardware Mit BCM 3.0 wird eine Hardware-Basis eingeführt, die in zwei verschiedenen Modellen verfügbar ist und die Anzahl der vielen ehemaligen Basis-Plattformen reduziert. Um größere Konfigurationen ohne zusätzliche Erweiterungsgehäuse einzusetzen, besitzt der BCM 400 vier Media Bay Module im Haupt Chassis. Der BCM 200 hat deren zwei, denn er wird für kleinere Installationen verwendet, die weniger als 32 digitale Telefone benötigen. Er bietet aber dieselben Leistungsmerkmale wie der 400. Gegenüber den vormaligen BCM 2.x Versionen sind die beiden 10/100BaseT Ethernet LAN-Ports nun auf dem Motherboard des BCM 200 und 400 integriert. Die WAN-Karte bleibt aber eine seperat bestellbare Hardware. Redundanz-Pakete Auch wird die Media Service Card nun eine austauschbare Karte. Das Modell 400 wird serienmäßig als Standard Chassis oder mit voller Redundanz für Stromversorgung, Lüfter und Festplatten mit RAID verfügbar sein. Redundanz Pakete können bei Bedarf in Installationen nachgerüstet werden, um Standard Chassis in redundante Chassis umzurüsten. Der BCM 200 jedoch unterstützt kein zusätzliches Erweiterungsgehäuse und ist nur als Standard Chassis mit optionaler RAID Festplatte in Redundanz verfügbar. Auch eine redundante Stromversorgung oder Lüfter sind bei den BCM 200 Chassis nicht vorgesehen. Fragen zu aktuellen VoIP-Technologien beantwortet das Compu-Shack Business Development DataVoice Communications Tel.: 02631/983-458 eMail: [email protected] H.323 oder SIP? Wie schon erwähnt, sind die beiden Signalisierungsprotokolle H.323 und SIP leider nicht kompatibel. Es gibt derzeit kaum Migrationsansätze. Am komplexeren H.323 lehnen sich inzwischen Dutzende weiterer Standards an. Hersteller halten sich zudem nur grob an die Vorgaben von H.323. Um komfortable Leistungsmerkmale umsetzen zu können, werden oft proprietäre Erweiterungen implementiert. Es empfiehlt sich daher derzeit, trotz aller Kompatibilitätsverheißungen die Komponenten nur eines Herstellers in einer VoIP-Umgebung einzusetzen.SIP steht heute noch am Anfang. Die Hersteller verhalten sich insgesamt bei der Umsetzung derzeit noch abwartend, zumal noch Teilbereiche wie die Signalisierung von Leistungsmerkmalen offen sind. Obwohl erste VoIP-Produkte SIP-Funktionalität bieten, sind auch diese Lösungen in Bezug auf Komfort-Features proprietär. Es bleibt also abzuwarten, ob und wann sich SIP aufgrund der flexibleren Skalierbarkeit und seiner einfacheren Installation gerade bei größeren Firmen und Service Providern etablieren wird. Für kleine bis mittlere Unternehmen bleibt H.323 im Moment die erste Wahl. Nachdem wir die Szenarien und Protokollwelten kennengelernt haben, wollen wir in der nächsten Ausgabe die zugehörigen Applikationen vorstellen. Denn in ihnen liegt ein hohes Innovationspotential mit Propduktivitätsgewinn.In weiteren Folgen werden Ihnen dann am konkreten Beispiel von VoIP-Implementierungen aus der Praxis berichten. 01 Ausgabe 01/2003 26 TRAINING Alles spricht für VoIP Cisco Trainings zu IP Telephony und Voice over IP Compu-Shack Training bietet brandaktuelle Schulungen und Workshops rund um die innovativen Voice over IPTechnologien an, beispielsweise zur Cisco IP-Telefonie. Denn die Konvergenz von Daten und Sprache wird zu den technologischen Herausforderungen des neuen Jahres gehören. Mit besonderer Empfehlung der Compu-Shack IT-Trainer wurden die folgenden Netzwerktrainings aus dem Bereich VoIP ausgewählt, um Ihnen einen Überblick über das Compu-Shack Trainingsangebot 2003 zu den innovativen Technologien des Converged Networking zu bieten. Zu jedem Kurs finden Sie die wichtigsten Inhalte und Themen, eine umfassende Beschreibung ist im Internet unter www. training.compu-shack.com. hinterlegt. Termine und Preise dieser Kurse finden Sie in der Vorschau auf Seite 58 unter den TrainingsHighlights. Cisco IP Telephony Der 5-Tage-Kurs Cis CIPT beschreibt und identifiziert alle Komponenten einer Cisco IP-Telephony-Netzwerklösung. Er zeigt nicht nur die Benutzung der Cisco IP Netzwerkkomponenten für den Aufbau einer großen Campus IPTelephony-Lösung, sondern auch die Cisco IP-Telephony-Komponenten, um ein Multi-Site WAN-IPTelefonnetzwerk mit verteilter oder zentraler Anrufverarbeitung aufzubauen. Windows 2000 und CallManager Monitoring-Funktionen helfen bei der Fehlersuche im IPTelephony-Netzwerk und sorgen für die Steigerung der Effizienz. Unity System Engineer Das Seminar Cisco-Unity-SystemEngineer (Cis CUSE) umfaßt Themen, die für Installation, Konfiguration und Betrieb eines CiscoUnitysystems notwendig sind, ob in einer Stand-alone Voice-Mail- oder einer Unified-Messaging-Umgebung. CUSE bietet fünf Tage beste Praxisinformationen für Installation, Upgrade und Setup. Die Kursteilnehmer erhalten eine sehr gute Vorbereitung auf die Cisco Unity System Engineer-Prüfung. Frame Relay, ATM & IP Der 5-tägige Kurs Cis CVOICE macht mit den Sprachtechnologien Voice over Frame Relay, Voice over ATM und Voive over IP vertraut. Nach diesem Seminar haben die Teilnehmer ein grundlegendes Verständnis von Design, Integration und Konfiguration der diversen Voice-Implementationen in Unternehmensnetzen und von Managed Network Services. Besonderes Gewicht haben die verschiedenen Cisco Multiservice Access Router Cisco 2600, 3600, 3810 und 5300. Troubleshooting Ausgehend von Cisco Call-Manager, Unity und TCP/IP vermittelt der 01 Ausgabe 01/2003 27 Kurs Cisco IP Telephony (Cis IPTT) in nur fünf Tagen ein umfangreiches Wissen um das Troubleshooting. Die verschiedenen ”Hands-On”-Übungen schöpfen aus dem breiten Erfahrungsspektrum der praktischen Fehlersuche, von möglichen Fehlern im Design bis zur Konfiguration. Mit Recht kann hier von einem fundierten Wissensaufbau imAVVID-Bereich gesprochen werden. Mit Komfort Die Teilnehmer erwartet bei den vorgestellten Cisco VoIP-Trainings eine optimale Schulungsumgebung und die gewohnt gastliche Betreuung der Compu-Shack Training. Dazu gehören nicht allein eine topaktuelle technische Ausstattung der Schulungszentren und eine angenehme Arbeitsatmosphäre, sondern auch ein Service, bei dem die Teilnehmer sich rundum wohlfühlen. Das Organisationsteam hilft bei der Buchung und Hotelreservierung, sorgt für Getränke und Snacks während des Seminartages und bietet ein ausgezeichnetes Mittagessen während der Seminarpause. Damit die berufliche Weiterbildung zu einem Trainingserlebnis wird. Weitere Informationen zu Trainings, Terminen und Preisen finden Sie unter www.training.compushack.com p PRAXIS MICROSOFT Do IT Dot NET Teil 10: Share Point Portal Server 2001 Von Patrick Fell In SharePoint Portal Server sind die Möglichkeiten zur raschen Erstellung von Webportalen mit Such-, Dokumentverwaltungs- und Gruppenarbeitsfunktionen in einem Produkt zusammengefaßt. Denn in dem steigenden Maße, in dem Unternehmen Informationen erstellen, erfassen oder publizieren, verbringen Mitarbeiter mehr und mehr Arbeitszeit damit, diese Daten zu suchen, zu organisieren und zu pflegen. D tionsflusses nach innen und außen. Abbildung 1 zeigt die Architektur von SPPS. Der Microsoft SharePoint Portal Server (SPPS) unterstützt Anwender und Macher bei der gemeinsamen Erstellung und Nutzung von unternehmensweit erzeugten Informationen und Daten. Bei vollständiger Integration von Programmen, die die Unternehmensmitarbeiter für ihre tägliche Arbeit benötigen, wie Office-Anwendungen oder Webbrowser, optimiert SPPS das Erstellen und Verwalten von Inhalten für die allgemeine Verwendung in Unternehmenportalen. Dashboardsite PRAXIS Portal-Architektur Portale sind für den internen oder externen Gebrauch konzipiert, ja nach Zielsetzung und Anwenderschaft. Sie sind gewissermaßen Sammelpunkte für Informationen, die in einem Browserfenster angezeigt werden. Die Portalinhalte stammen ursprünglich aus verschiedenen Quellen, die in Da tenbanken oder Textverarbeitungssystemem, Grafikprogrammen oder Tabellenkalkulationen angelegt wurden. SharePoint Portal Server ist deswegen eng mit den gängigen Microsoft Technologien verwoben. Er integriert Windows-, Digital Dashboard- und Office-Anwendungen ebenso wie den Internet Explorer, das Exchange Server Web Storage System oder Microsoft Search Service. Den Systemarchitekten und Entwicklern gibt SPPS dadurch recht einfache Verfahren an die Hand, um Unternehmensportale mit Inhalt zu füllen. Dafür werden eigenen Verwaltungsfunktionen für die benötigten Doku- mente genutzt, von der Entstehung oder Überarbeitung bis zur Publikation im Portal. Möglichkeiten der Indizierung von unternehmensbezogenen Inhalten oder Gruppenarbeitsfunktionen erlauben dabei eine Steuerung und Verbesserung des Informa- Die Serverkomponenten von SPPS stellen die Dienste für die Dokumentverwaltung und Suchvorgänge zur Verfügung. Zusätzlich können Administratoren und Benutzer mit den Funktionen der Digital Dashboardund Web Part-Laufzeitumgebung eigene Dashboardsites erstellen und Inhalte in einer zentralen Quelle zusammenfassen. SPPS erstellt während der Installation automatisch ein als Dashboardsite bezeichnetes Webportal. Dieses stellt den zentralen Zugangspunkt zum Auffinden und Verwalten von Informationen dar. Die Nutzer können über einen Browser auf die Dashboardsite zugreifen. Das Suchen und Durchsuchen von Informationen vollzieht sich auf der Basis vorgegebener Kategorien. Neue oder sich ändernde Abb. 1: Share Point Portal Server 2001 01 Ausgabe 01/2003 28 Informationen können von den Benutzern abonniert werden. Für die Macher wiederum ist das Ein- und Auschecken von Dokumenten und das Prüfen ihres Versionsverlaufs bedeutsam, um eine laufende Aktualisierung sicherstellen zu können. Auch müssen bestimmte Dokumente vor der Veröffentlichung genehmigt werden. Da die Dashboardsite Zugriff auf Informationen gewährt, die sowohl innerhalb als auch außerhalb eines Unternehmens gespeichert sein können, können die Benutzer Dokumente unabhängig von deren Speicherort und Format ausfinden und gemeinsam nutzen. Zusätzlich kann die Homepage der Dashboardsite so anpaßt werden, daß unternehmensbezogene Nachrichten und vertrauliche interne Informationen für einen ausgewählten Benutzerkreis angezeigt werden können. Zur Organisation der Informationen nutzt die Dashboardsite die Digital DashboardTechnologie von Microsoft. Ein Digital Dashboard besteht aus wiederverwendbaren, anpaßbaren Web Parts, die Informationen aus einer Vielzahl von Quellen und Websites darstellen können. Es ist problemlos möglich, Web Parts hinzuzufügen oder zu entfernen, um die Dashboardsite anzupassen. Dokumentverwaltung Große und komplexe Informationsquellen lassen sich nur unter Schwierigkeiten durchsuchen und nutzen, wenn den Benutzern kein unterstützender Rahmen zur Verfügung gestellt wird. So enthalten beispielsweise Dateifreigaben außer einer hierarchischen Verzeichnisstruktur keinerlei Hinweise zur Organisation des Inhalts. Da für jedes Dokument nur ein Navigationspfad zur Verfügung steht, müssen die Benutzer nicht nur den Namen des entsprechenden Servers kennen, sondern auch mit der Verzeichnisstruktur der auf dem Server befindlichen Ordner vertraut sein. Wenn sie weitere Informationsquellen hinzufügen, beispielsweise Websites, Mail-Server oder Datenbanken, kann sich das Auffinden und die Zugriffssteuerung von Informatio- nen als recht kompliziert erweisen. Die Dokumentverwaltung von SPPS verschafft in solch komplexen Strukturen den nötigen Überblick, damit Dokumente nicht verloren gehen, überschrieben werden oder plötzlich nicht mehr auffindbar sind. SPPS verfügt deshalb über eine Versionsverfolgung von Dokumenten. Metadaten - als beschreibende und durchsuchbare Angaben zu den Dokumenten - dienen der Identifizierung. Veröffentlichungen werden gesteuert, notwendige Genehmigungen automatisch an berufenen Prüfer weitergeleitet. Die Steuerung des Dokumentzugriffs erfolgt nach einem Regelwerk. Index und Suchdienste Die Informationen eines Unternehmens werden in der Regel an verschiedenen Speicherorten und in einer Vielzahl von Formaten abgelegt. Oft ist nur eine beschränkte Suche nach Text möglich, auch wenn die Serverinfrastruktur die Suche in mehreren Datenquellen ermöglichen würde. Zudem ist es oft schwierig zu beurteilen, ob die Suchergebnisse richtig sind. Deshalb stehen Anwendern in SPPS für das Auffinden von Informationen mehrere Funktionen zur Verfügung, mit deren Hilfe sie Suchvorgänge schneller und zielsicher ausführen können. Unabhängig davon, ob sie nach bestimmten Informationen suchen oder lediglich eine Gruppe verwandter Dokumente durchsuchen möchten. Von einem zentralen Ausgangspunkt für die Suche nach verteilten Informationen werden Schlüsselwortsuchläufe gestartet, bei denen der vollständige Text eines Dokuments sowie dessen Eigenschaften durchsucht werden. Anhand von Themen oder Kategorien wird ein schnelles Auffinden möglich. Automatisch werden Dokumente kategorisiert und danach klassifiziert, ob sie eine hohe Relevanz für eine bestimmte Suche aufweisen. Clients Die Client-Komponenten von SPPS bestehen aus funktionalen Erweiterungen für MS Office und Windows- 01 Ausgabe 01/2003 29 Explorer, mit deren Hilfe diverse Dokumentverwaltungsfunktionen ausgeführt werden können. Beispielsweise werden Textdokumente zur Bearbeitung aus dem SPPS-Arbeitsbereich ausgecheckt und aus dem Portal genommen, um sie zu aktualisieren. Ein Mitarbeiter kann dann nach der Bearbeitung in Microsoft Word direkt ins Menü Datei wechseln und dort den Befehl Eincheck en wählen, um Änderungen vorzunehmen. Umgekehrt kann der Windows-Explorer für die Dokumentenverwaltung von Dateien verwendet werden, die in einem SPPS-Arbeitsbereich enthalten sind. Wenn eine Verbindung zu einem Arbeitsbereich hergestellt wird, den Anwender über Webordner durchsuchen möchten, stehen die leistungsfähigen Suchfunktionen von SPPS auch in Office XP zur Verfügung. Die Client-Komponenten von SPPS sind direkt in Office XP integriert. Benutzer früherer Office-Versionen müssen zum Hinzufügen der Dokumentverwaltungsfunktionen lediglich ein einfaches Client-Setup-Programm ausführen, das im Lieferumfang von SPPS enthalten ist.Die Dashboardsite bietet nicht nur einen zentralen Speicherort für verschiedenste Inhalte, sondern auch Zugriff auf die Dokumentenverwaltungs- und Suchfunktionen von SPPS. Der Zugriff auf die Dashboardsite ist für die Benutzer mit ihrem gewohnten Browser möglich. Die Kommunikation zwischen den Client- und Server-Komponenten erfolgt über Standardinternetprotokolle. Fazit Für Benutzer von Windows und Office stellt SharePoint Portal Server einen leistungsfähigen Server bereit, mit dem Knowledge Worker problemlos Informationen finden, diese gemeinsam nutzen und veröffentlichen können. Als Komplettlösung für Dashboardsites in Unternehmen, mit Dokumentverwaltungsfunktionen, Inhaltssuche und Teamarbeit verkörpert SharePoint Portal Server eine erhebliche Verbesserung der Informationsströme. p PRAXIS NORTEL NETWORKS Sicherheit nach Maß Teil 2: CVS Features und Funktionen Wir haben das letzte Mal die Nortel Networks Contivity VPN Switch Familie vorgestellt. Das Portfolio bietet eine differenzierte Auswahl an Geräten für die verschiedenen Anwendungsgebiete im Branch Office, Remote Access und Extranet VPNs. Neben den konsequent ausgelegten Sicherheitsstufen stellt das skalierbare CVS System eine Vielzahl intelligenter Features bereit, mit klaren Funktionen für eine sichere zentrale Administration. A Alle Contivity-Switches unterstützen Statisches Routing, RIPv1 und RIPv2. Bei den Geräten ab CVS 600 ist mit der optionalen Advanced Routing Lizenz OSPF (sowie VRRP und Diffserv) verfügbar. Allerdings ist die Übertragung dynamischer Routing-Protokolle über IPSec-Tunnel bisher nicht definiert. Es existieren, wenn überhaupt, ausschließlich proprietäre Lösungen. PRAXIS Backup-Tunnel Nortel hat eine Lösung bei den VPNSwitches vom Contivity VPN Switch 600 an aufwärts implementiert und das Verfahren als Standard vorgeschlagen. Damit kann der Ausfall einer Verbindung durch das Routingprotokoll erkannt und ein ggf. vorhandener Ersatzweg über den sogenannten Backup-Tunnel automatisch verwendet werden. Mit dem Static Tunnel Failover der CVS ist solches Re-Routing auch bei statischem Routing über den Tunnel möglich. Das hat zugleich den Vorteil, daß der Backup-Tunnel auch über Wählverbindungen wie ISDN geführt werden kann, weil er erst bei Bedarf aufgebaut wird. Der Ausfall des primären Tunnels wird in diesem Fall durch ein - noch proprietäres - IPSec-KeepAlive-Verfahren erkannt. Hierfür ist ein Standard in Vorbereitung, den Nortel in der nächsten Software-Version bereits implementieren will. Durch Routing Policies können die Contivity Switches - ausgenommen CVS 100 - statische Routen mittels RIP oder OSPF im privaten LAN nutzen. Redundanzen Das Virtual Router Redundancy Protocol (VRRP) bietet die Möglichkeit, ein Backup für das Default Gateway im privaten LAN zu konfigurieren. Hinter der Client Address Redistribution verbirgt sich die Möglichkeit, den Remote Access Usern beliebige freie Netzadressen zuzuweisen und das entsprechende - physikalisch nicht vorhandene - IP-Netz den restlichen Routern im Netzwerk per RIP oder OSPF mitzuteilen. Sofern der Contivity VPN Client (CVC) benutzt wird, steht auch für die RAUser eine Failover-Funktion zur Verfügung. Diese basiert auf der Übertragung von bis zu drei Adressen von Backup-Switches, zu denen der Client sich nach einem Verbindungsabbruch oder bei Nichterreichbarkeit seines primären CVS automatisch verbinden kann. Quality of Service Mit der Forwarding Priority wird die Priorität der internen Paketverarbeitung festgelegt. Die Call Admission Priority dient der Steuerung der Verbindungsannahme bei überbuchten Systemen. Ein festgelegter Prozentsatz der maximal möglichen Tunnelverbindungen wird jeweils für Nutzer einer bestimmten oder höheren Prioritätsstufe reserviert. Durch die Unterstützung von DiffServ ist die anwendungsabhängige Priorisierung verschiedener Datenströme möglich, wenn entsprechende DiffServ-Informationen von der Anwendung im IPPaket eingetragen werden. Für den Fall, daß dies nicht durch die Anwen- dung geschieht oder geschehen kann, verfügt Contivity über einen eigenen Klassifizierer, mit dem DiffServ-Markierungen - abhängig von den IPAdressen und/oder TCP/UDP-Portnummern - vorgenommen werden können. QoS-Merkmale der CVS-Familie • vierstufige Forwarding Priority • vierstufige Call Admission Priority • Reservierte Verbindungen für definierte Nutzergruppen • DiffServ-Support • Policing und Shaping • integrierter Classifier/Marker • DSCP-Übernahme im äußeren Header • Bandbreiten-Management • Garantierte Bandbreiten und Burst Rates für einzelne Site-to-Site-Verbindungen und Benutzergruppen Kompression Weitere Funktionalitäten sind die Datenkompression, die Unterstützung von Multi-Link-PPP und eine Bandbreitensteuerung für die VPNTunnel selbst. Die Datenkompression ist für VPN von besonderer Bedeutung. Der beim Einpacken der Daten entstehende Overhead kann je nach Größe des Originalpaketes dazu führen, daß die maximale Paketlänge bestimmter Transportnetze (z.B. 1500 Byte bei Ethernet) überschritten wird. Dann muß das Tunnelpaket fragmentiert werden, was zu einer Verdoppelung der Paketanzahl und zu zusätzlichem Overhead führt. Durch die Kompression der Anwendungsdaten wird diese Fragmentierung zwar nicht ausgeschlossen, ihre Wahrscheinlich- 01 Ausgabe 01/2003 30 keit jedoch erheblich reduziert. Weil einzelnen BO-Tunneln - bzw. gruppenweise den Tunneln von RA-Usern - gesteuerte Bandbreiten zugewiesen werden können, wird deren Summe nicht größer als das Produkt aus einstellbarem Multiplexfaktor und physikalischer Bandbreite auf zentraler Seite. Administration Die Contivity Switches ab CVS 600 bieten eine Vielzahl von Management-möglichkeiten. In der Handhabung unterscheiden wir den Zugang zum Gerät, den Zugriff auf Systemkomponenten und Konfigurationsbereiche sowie die genutzte Management-Anwendung. Zugang Der Zugang kann über den Konsolen-Port, über das private LAN-Interface oder über Tunnelverbindungen zum öffentlichen oder privaten Interface erfolgen. Im Restricted Mode ist der Management-Zugang ausschließlich auf sichere Tunnelverbindungen beschränkt, was die gelegentlich gewünschte HTTPS-Unterstützung für Management-Verbindungen unnötig macht. In Sachen Zugriffsmöglichkeiten können verschiedenen Administratoren unterschiedliche Rechte zugewiesen werden. Insbesondere können für ein verteiltes Management die Rechte für Teile des Systems an einzelne delegiert oder für die gesamte Komponente definiert werden. Bei Nutzung sogenannter Control-Tunnel kann das Management sogar zwischen mehreren Unternehmen - z.B. der eigenen Firma und dem ISP - verteilt werden, weil diese Tunnel nur den Zugriff auf die ManagementAdresse des Switches gestatten, nicht aber auf das dahinterliegende private LAN. Management-GUI Die wichtigste Management-Anwendung ist das Web-basierte GUI, das mit Java-fähigen Browsern genutzt werden kann, wie gesagt mit Ausnahme des Basismodells. Das in Entwick- lung befindliche CLI bietet demgegenüber derzeit noch nicht alle Konfigurationsmöglichkeiten (momentan etwa 75%). Interessant ist das Skripting, durch das Konfigurationsdaten als ASCII-Datei entnommen, editiert und für andere Switches verwendet werden können. Als Tool für ein zentrales Management bietet Nortel Networks den Contivity Configuration Manager (CCM) an. Außerdem können die CVS auch in jedes plattformübergreifende SNMPManagement einbezogen werden. aber auch MacOS und Linux sowie AIX, Solaris und HP/UX unterstützt werden können, wenngleich kostenpflichtig. Das Besondere am Contivity IPSec-Client ist seine zentrale Konfiguration. Nur ganz wenige Parameter müssen - und können auf dem Client-PC selbst eingestellt werden, sofern sie nicht über ProfilDateien schon bei der Customized Installation vorgegeben wurden. Mit der kundenspezifischen Installation kann das Erscheinungsbild der Client-Software angepaßt werden. Einbindung Zentrale Konfiguration Die Contivity Switches ab CVS 600 bieten optimale Möglichkeiten zur Einbindung in die AdministrationsInfrastrukturen. Dazu gehört nicht nur das Management über HTTP oder SNMP und die Speicherung von Meldungen auf einem Syslog-Server. Vielmehr werden auch eine Vielzahl von Verzeichnisdiensten und Datenbanken für die Authentisierung und Administration der Remote-Einwähler unterstützt. Ein dazu genutzter RADIUS-Server oder die Certificate Authority (CA) eines PKI-Systems können sich dabei auch im öffentlichen Netz - z.B. bei einem Service Provider - befinden. Alle anderen Festlegungen erfolgen gruppenweise auf dem Switch und werden beim Verbindungsaufbau automatisch über den IPSec-Tunnel zum Client übertragen. Dies erspart nicht nur die manuelle Konfiguration dutzender oder gar hunderter PCs, sondern ist zugleich auch ein wesentlicher Sicherheitsaspekt. Denn dem VPN User ist eine absichtliche oder zufällige Änderung der Sicherheitseinstellungen unmöglich. Zur zentralen Konfiguration gehören neben den funktionalen Parametern wie IP-Adresse, DNS oder WINS auch Informationen über alternative Switches für Backup bzw. Loadsharing sowie die gesamte Security-Policy. Diese enthält nicht nur die Festlegung, welche Daten über den Tunnel dürfen, sondern z.B. auch Definitionen, ob Split Tunneling erlaubt ist oder nicht, ob der Nutzer sein Paßwort für die VPN-Verbindung lokal speichern darf, oder ob er beim Aufbau der VPN-Verbindung seinen Screensaver mit Paßwortschutz und vorgegebener Ansprechzeit eingerichtet haben muß. Von vornherein ist klar und vom Nutzer unbeeinflußbar, für welche Anwendungen und Domain-Zugriffe der IPSec-Client automatisch gestartet wird. Das CVSSicherheitskonzept greift rundum, von der Systemsoftware bis zur Client-Konfiguration. CVS-Verwaltungsdienste • Authentifizierung und Adreßverwaltung über LDAP, PKI, RADIUS, etc. • Accounting und Logging über LDAP, RADIUS und Syslog • Konfigurationsspeicherung über LDAP, CCM oder interne Dateien • Flexible, für Events konfigurierbare SNMP-Traps Contivity VPN Client Die Contivity Client-Software für Windows wird mit dem Switch ausgeliefert und ist unlimitiert kopierbar. Sie besitzt gegenüber Standard IPSec für den Endkunden wertvolle Erweiterungen. Die Installation auf dem PC ist sehr einfach und kann ohne Probleme vom Nutzer selbst durchgeführt werden, wobei Windows Betriebssysteme üblich sind, 01 Ausgabe 01/2003 31 Informationen zu Contivity Switches erhalten Sie vom Business Team Nortel bei Compu-Shack 02631/983-451 oder per E-Mmail an [email protected]. p PRAXIS BINTEC IPsec-Implementierung Teil 4: IPSec-Konfiguration mit dem Setup Wizard Von Hardy Schlink Wir hatten unsere Ipsec-Konfiguration in zwei Teilinstallationen gegliedert. Nachdem wir letztens die Registrierung eines eindeutigen Hostnamens beim DynDNS Provider und die Dynamic DNS-Einstellungen vorgenommen haben, werden wir nun die Konfiguration des IPSec-Tunnels mit Hilfe des IPSec Wizard angehen. U Um sich das zu realisierende Szenario zu veranschaulichen, werfen Sie vielleicht nochmals einen Blick auf Abbildung 1 in TN12. Hier erkennen wir, daß eine Anbindung via IPSec zwischen dem Router in der Außenstelle und dem in der Zentrale implementiert werden soll. In unserem Konfigurationsbeispiel besitzt der Router in der Zentrale den Hostnamen cs-x4000.dyndns.org. Routerkonfiguration Wir starten die Konfiguration, indem wir das Setup-Tool des Routers aufrufen und in das Menü IPSec wechseln. Wurden bisher noch keine Einstellungen für das IPSec-Protokoll getätigt, startet der IPSec Setup Wizard automatisch und wir können nach dem Beantworten der beiden ersten Fragen Eingangsfrage= yes und What to do? = Start Wizard mit der eigentlichen Konfiguration beginnen. PRAXIS IPSec Peer Die erste Entscheidung, die es zu treffen gilt, ist die Wahl der Authentifizierungsmethode. Für unseren Test wählen wir die vorgeschlagene Option Pre Shared Keys (siehe Abb. 1). Nach Bestätigung der Auswahl mit der Entertaste gelangen wir zur nächsten Seite, in der die Peer-Konfiguration durch Selektieren der Funktion Start durchgeführt wird. Zur Peer-Konfiguration sind einige Daten einzugeben (vgl. Abb. 2). Unter Description geben Sie einen Namen ein, der die Aufgabe des Peers möglichst genau beschreibt, z.B. Verbindung_Außenstelle. Bei Peer Address tragen Sie den Hostnamen ein, den Sie für dieAußenstelle beim DynDNS Provider () registriert haben, z.B. cs-x1200.dyn des.org . Als Peer ID wird ein Identifikationskriterium angegeben,, welches der Peer für die Authentication benutzen soll, nehmen wir doch hier die Modellbezeichnung des Routers der Gegenstelle x1200. Um jedwede ID zu akzeptieren, müssen Sie das Feld leer lassen. In diesem Fall muß aber eine andere Methode definiert werden, um den Peer zu identifizieren, z.B. eine statische IP-Adresse oder ein Zertifikat. Pre Shared Key verlangt die Eingabe eines Random-Key, der zur Bestätigung nochmals eingetragen werden muß. Wichtig dabei ist, daß der Pre Shared Key auf beiden Router identisch sein muß, um einen IPSec-Tunnel aufbauen zu können. Wir haben nun die grundlegenden Peer-Parameter konfiguriert, mit Save bestätigen wir unsere Arbeit. Auf der nun erscheinenden IPSec Wizard Page wählen wir Start, um zu den Einstellungen des P e e r Traffic zu gelangen. Peer Traffic Mit Hilfe des ”IPSec Setup Wizard” kann nur ein IPSec Peer angelegt werden. Sollten Sie aber mehrere Peers benötigen, so muß deren Konfiguration manuell im IPSecMenü vorgenommen werden. Um den Datenverkehr zwischen der Zentrale und der Außenstelle zu sichern, muß mindestens ein Eintrag in der Peer Traffic List getätigt werden (siehe Abb. 3). Die notwendigen generellen Settings werden vom IPSec Wizard automatisch eingetragen, Settings, die es dem IKE Traffic 01 Ausgabe 01/2003 32 erlauben, IPSec unverändert zu passieren, und zusätzlich die Weiterleitung des Non IPSec Traffic ermöglichen, nachdem das IPSec-Protokoll angewendet wurde. Einige Einstellungen im Peer Traffic Menü müssen wir jedoch selbst vornehmen. Unter Description tragen Sie eine genaue Bezeichnung des Datenverkehrs ein, der geschützt werden soll, z.B. All Traffic, wenn jedes Protokoll verschlüsselt wird. Wenn der gesamte Traffic zwischen dem Zentralund Außenstellen-Router abzusichern ist, müssen sie in der Protocol Option: dont-verify auswählen. Natürlich ist es möglich, den Datentyp genauer zu spezifizieren. Wenn z.B. nur HTTP-Traffic gesichert werden soll, so wählen Sie hier das Protokoll TCP explizit aus. Optionen Die Option Local/Remote Type erlaubt es, den Datenverkehr zwischen dem lokalen Netzwerk der Zentrale und dem Remote-Netzwerk der Außenstelle zu sichern, Dafür gilt es, den Typ auf net einzustellen. Als nächstes müssen Sie unter Local/ Remote IP die Netzwerkadressen und -masken definieren, und zwar sowohl für das lokale wie für das entfernte Netzwerk, zum Beispiel: Local IP - z.B. 10.1.0.0/16 Remote IP – z.B. 10.13.100.0/24 Die Felder Local/Remote Port erscheinen, wenn als Protokoll z.B. UDP oder TCP ausgewählt wurde. So nutzt zum Beispiel HTTP den TCP Port 80. Solange der IPSec Wizard benutzt wird, ist der Wert des Menüpunkt Action auf protect festgesetzt und kann hier nicht geändert werden. Save und Exit Wenn Sie alle Einstellungen zur sicheren Übertragung Ihrer Daten ausgewählt haben, bestätigen Sie dies über den Button Save. Sie werden nun vom IPSec Setup Wizard zu dessen Hauptmenü zurückgeführt. Denn die Konfiguration des IPSec Protokolls ist beendet. Dort angelangt haben Sie noch die Möglichkeit, einen Dump der Nachrichten auszuführen, um die während der Konfiguration an der Console ausgegeben Messages zum Syslog-Host Ihres Routers zu übergeben. Sie können aber auch die Konfiguration löschen, wenn Sie bemerkt haben, daß gewisse Daten nicht korrekt sind. Dazu wird die Option clear config ausgeführt. Wenn keine der beiden Möglichkeiten angewendet werden soll, können Sie den IPSec Wizard über den Menüpunkt Exit verlassen. Im Haupt-Menü von IPSec haben Sie jetzt die Wahl, die eben durchgeführte Konfiguration manuell anzupassen, oder diese aber mit Save abzuspeichern, damit beim nächsten Start des Routers die IPSec-Konfiguration auch gestartet werden kann. Abb. 1: Auswahl der Authentifizierungsmethode Abb. 2: Konfiguration des IPSec-Peer Abb. 3: Parameter des Peer-Traffic-Menü Außenstelle Jetzt müssen wir uns noch um die Konfiguration des Routers in der Außenstelle kümmern. Sie gehen hierbei genauso vor wie bei der Einrichtung des Routers in der Zentrale. Natürlich müssen Sie die Konfiguration entsprechend abändern, z.B. den DynDNS Hostname oder die Local/ Remote-Netzwerkeinstellungen, da die Außenstelle - zumindest in unserem Beispiel - die Verbindung zur Zentrale aufbaut. Fazit Nachdem die ersten Hindernisse überwunden sind, wird die Konfiguration 01 Ausgabe 01/2003 33 des IPSec-Protokolls mit BinTecs IPSec Setup Wizard dem Administrator ganz gewiß leicht von der Hand gehen. Hat man erst einmal eine funktionierende Implementierung, so kann man diese für spätere manuelle Konfigurationen als Referenzquelle verwenden, und damit viel Zeit und Arbeit sparen. Mit einem Wort: Eine Bereicherung und eine Empfehlung. In einer der nächsten Ausgaben wollen wir uns mit einer Konstellation der IPSec-Konfiguration beschäftigen, in der die Zentrale über eine statische IP-Adresse verfügt, und die Außenstelle ihre IP-Adresse dynamisch vom Provider bezieht. p PRAXIS ENTERASYS Kommandobrücke Teil 1: NetSight Atlas Management Console NetSight Atlas ist die neue Managementplattform von Enterasys Networks. Sie wird den Netsight Element- bzw. Topologie-Manager ablösen. Enterasys macht ihren Partnern derzeit interessante Migrationsangebote. Wir wollen Ihnen daher Netsight-Atlas vorstellen und Sie zu einem Rundgang durch die neue Kommandobrücke des Enterasys Networking einladen. E Enterasys Networks präsentiert NetSight Atlas als eine umfassende Managementplattform für Unternehmensnetzwerke, mit weitreichender Event- und Alarm-Protokollierung. NetSight Atlas ermöglicht die Konfiguration und die Verwaltung von mehreren hundert Geräten gleichzeitig. Mit nur wenigen Maus-klicks lassen sich komplexe Admini-strationsaufgaben optimieren. Zu den zahlreichen Komponenten gehören u.a. Discovery und EventManagement, Device Tree und Mapping sowie das VLANManagement. PRAXIS Atlas Console Der Eingangsbildschirm der Atlas Console bietet auf den ersten Blick die übliche Menü-Auswahl für Dateioperationen und Editing, für Tools und Applikationen, darunter Icons zur schnelleren Auswahl einzelner Funktionen wie Cut, Copy, Paste, Print, Discovery und FlexView-Funktionen. An unteren Bildschirmrand werden die Events angezeigt. Das Fenster auf der linken Seite zeigt Netzwerkkomponenten wie Switches oder Router und VLANs an, der Ausschnitt auf der rechten Seite die Auswahl von Properties, Map, VLAN, Compass und In- terface Summary. Hinter ihnen verbergen sich eine Vielzahl von Optionen für ein proaktives Netzwerkmanagment. Device Discovery Um Netzwerkmodule in die Console einzufügen, gibt es zwei Möglichkeiten. Entweder wird ein Icon mit dem Symbol eines Schiffs in der Tool-Leiste ausgewählt oder man geht über Tools / Discover in der Menüleiste. Im Discovery-Menü kann dann eine beliebige IP-Range eingegeben werden, um die aktiven Komponenten ausfindig zu machen. Sind sie nicht SNMP-fähig oder ist der Community Name falsch, erscheinen sie nur als Ping Only. Ist ein Modul schon in die Atlas Console integriert, so wird der Status als Exists angegeben. Sind alle Module ”discovered”, können sie über Save All in dieAtlas Console übernommen werden. Über Save kann eine Auswahl getroffen werden, welche Module abgespeichert werden sollen (vgl. Abb. 2). Dazu werden im linken Fenster einzelne Module angewählt und per Button [>>]in das Auswahl-Fenster übernommen, umgekehrt werden Einträge mit [<<] wieder entfernt. Mit Save wird 01 Ausgabe 01/2003 34 eine Auswahl in die Atlas Console eingefügt. Einzelne Elemente können durch Anwählen von NetzwerkmodulIcons (z.B. My Network), einen Klick mit der rechten Maus-Taste und nachfolgender Anwahl von A d d Device unter Angabe des richtigen Community Namens in die Liste eingefügt werden. Properties Im linken Fenster der Atlas Console gibt es für Network Devices eine Vielzahl an Untergruppen wie Chassis, Device, Contact oder All Devices. Nach einer Auswahl auf der linken Seite werden auf der rechten die entsprechenden Properties als Liste angezeigt, beispielsweise für ein oder mehrere Devices (vgl. Abb. 3). Location, Contact, System Name und Nickname sind dabei veränderliche Variablen, die pro Switch eingestellt werden können, so daß z.B. eine automatische Zuordnung nach Lokationen erfolgt. Aktuelle Daten können über Refresh Device Groups oder durch den Button unten rechts in der Atlas Console regeneriert werden. Der jeweilige Status beim Aufbau eines Fensters ist am unteren Bildrand der Atlas Console ablesbar, ebenso welche Daten gerade abgefragt werden. In der Properties-Liste aller Devices kann über einen Editor-Button unterhalb des Properties-Fensters eine Änderung der Variablen auf mehreren Switchen gleichzeitig vorgenommen werden. Die neuen Daten werden in der Editor-Zeile eingetragen und mit dem Enforce-Button übernommen, fertig. Navigation Abb. 1: Atlas Console Abb. 2: Save Discovered Devices Eine Map dient zur Visualisierung des Netzwerks und zur Verortung der Komponenten. Die verschiedenen Gruppen und Devices im linken Fenster können in der Map als Icon dargestellt werden. Auf diese Weise kann eine Karte des Netzwerk dargestellt und mit Textinformationen versehen werden. Durch Anklicken des Devices und Drükken der rechten Maustaste können Device Properties im Label oder in der grafischen Darstellung geändert, Module ausgewählt oder gelöscht werden (vgl. Abb. 4). Durch Doppelklick auf ein Device wird der Device-Manager des Moduls aufgerufen, wir werden später noch genauer auf ihn eingehen. Compass Über Compass ist es möglich, eine erweiterte Suchfunktion im Netz durchzuführen. Gesucht werden kann nach MAC- und IP-Adressen von angeschlossenen Devices, in Umgebungen nach IEEE 802.1x auch nach Usernamen. Dazu wird im Search Type die entsprechende Funktion ausgewählt, z.B. IP Address. Mit einem Ping kann überprüft werden, ob das entsprechende Device erreichbar ist. Voraussetzung, um eine IP-Adresse zu finden ist, daß das entsprechende Netzwerkmodul, auf dem sich die Ziel-IP befindet, in die Device-Liste der Atlas Console übernommen worden ist. Um im gesamten Netz- Abb. 3: Properties werk zu suchen, wird auf der rechten Seite My Networks oder All Devices ausgewählt, ansonsten würde nur im entsprechenden Teilbereich gesucht. Mit Search wird dann die Aktion gestartet. Tritt ein Fehler bei der Suche auf, so wird automatisch ein Fenster aufgerufen, das auf die Search Logs verweist, die Detailinformationen liefern. Angezeigt werden alle Ports, die in ihrer SAT-Tabel- 01 Ausgabe 01/2003 35 p PRAXIS le (Source Address Table) entsprechende Informationen über das Device enthalten. Als Ausgabe werden SourceAdresse, Vlan-Infos, MAC-Adresse usw. angezeigt, Sortierund Suchfunktion lassen die Ausgabe modifizieren. Des weiteren wird ein Log-File erstellt, das mögliche Probleme beim Suchvorgang ausgibt, z.B. daß ein Device nicht SNMP-fähig ist. Die Informationen können über das Search Log Fenster angezeigt, die Compass-Tabelle durchsucht und geordnet werden. FlexViews Die Interface Summary liefert Informationen über die Portzustände der jeweiligen Hardware-Komponenten. Sie gehört zu den sogenannten FlexView-Elementen. Die Flexibilität der Views liegt darin, daß die angezeigten Elemente, abhängig von den MIB-Variablen, frei wählbar sind. Es können somit eine Vielzahl weiterer Views mit variablem Inhalt generiert werden, wobei sich bestehende beliebig verändern lassen. Abb. 4: Eine Map visualisiert die Netzwerkkomponenten. Interface Summary Werden ein oder mehrere Devices ausgewählt, kann die Abfrage der MIB-Einträge (Management Information Base) über einen grünen Retrieve-Pfeil gestartet werden. Aufgelistet werden IP-Adresse, Instance, Type und Description sowie Physical Status, Logical Status, MACAdresse und Speed. Während der Abfrage ist der Button mit dem grünen Pfeil rot gefärbt. Erst wenn er wieder grün wird, ist die Abfrage erfolgreich gewesen. Wie zuvor in der Properties-Tabelle können auch hier MIB-Variablen mit Hilfe des Editors verändert und mit Enforce gesichert werden. Ebenso ist die Sortier- und Suchfunktion anwendbar. Für diese Funktionen und das Speichern und Drukken gibt es vordefinierte Buttons . Abb. 5: Interface Summary de Views geöffnet oder geändert und neue erstellt werden. Des weiteren kann eine Kopie des aktuellen FlexViews hin addiert werden. In den FlexView Properties kann ein beliebiger Name für die neue Tabelle gewählt werden. Daten können durch ein Polled ständig aktualisiert oder gezielt durch ein Retrieve abgerufen werden. Ein definiertes Verzeichnis dient zum Abspeichern der Daten aus der jeweiligen Ansicht. Die Portinstanzen können wahlweise im FlexView unterdrückt werden. PRAXIS Darstellungen Die in den FlexViews enthaltenen Informationen können auf unterschiedliche Weise veranschaulicht werden. Die Tabellenfunktion ist dabei die g rundlegende Darstellungsart, wahlweise können auch Kuchen- oder Balkengrafik aufgerufen werden. In den Grafiken lassen sich veränderliche Daten als Balken- oder Kuchenstücke auflisten. Eine Datenauswahl kann auf- oder absteigend geordnet werden, wobei je nach Anzahl der Variablen ein oder mehrere Werte in der Grafik gleichzeitig dargestellt werden können. Für die FlexViews gibt es verschiedene vorgefertigte Ansichten. Diese können über das Buttondown-Fenster der FlexView ausgewählt werden, z.B. die genannte Interface Summary, RMON Ethernet Statistics oder Bridge Spanning Tree Information. Wizard Im MIB Wizard können die Daten der MIB ausgewählt und mit Add in die FlexView übernommen werden. Die Reihenfolge der Spalten kann geändert, Einträge können gelöscht werden. Die Auswahl der Daten erfolgt hier individuell für jedes Modul. In einem nächsten Fenster wird die Reihenfolge endgültig festgelegt, bevor die Daten mit einem Finish übernommen werden. FlexView erstellen Die NetSight Atlas Console enthält ausgezeichnete Möglichkeiten, VLANs zu verwalten. Beim nächsten Mal werden wir sie Ihnen vorstellen. Änderungen der FlexView erfolgen über die Buttons New, Open oder Properties. Mit ihnen können bestehen- 01 Ausgabe 01/2003 36 h HOTLINE Stand: 11. Dezember 2002 Technik-News Patch-CD Januar 2003 NW 6.0 NW6SMS1A.exe 299913.exe NW6SP2.exe AFPLIC2.exe NWFTPD6.exe CONONE133SP1.exe CFGRD6B.exe DNSDHCP1.exe TCP605o.exe DSAUDIT.exe TRUST110.exe ES7000.exe XCONSS9F.exe FIXNAMES.exe FLSYSFT7.exe NW 5.1 HTTPSTK1.exe 299913.exe NAASUPD3.exe 4PENT.exe NAAUPD2.exe AFNWCGI1.exe NAT600D.exf COMX218.exe NETDRV41.exe CONONE133SP1.exe NFAP1SP2.exe DLTTAPE.exe NICI_U0.exf DNSDHCP1.exe NIPP105.exe DS760C.exe NSSCHECK.exe DS880D_a.exe NW56UP1.exe DSAUDIT.exe NW6_ISS.txt DSBROWSE.exe NW6NBI1A.exe FLSYSFT7.exe NW6NSS2B.exe FP3023A.exe FP3023S.exe HDIR501C.exe IDEATA5A.exe SNMPFIX.exe STRMFT1.exe TCP581o.exe TRUST110.exe JVM133SP1.exe eDirectory 8.x AM210PT2.exe AM210PT4.exe TSA5UP10.exe Tools / DOCs ADMN519F.exe C1.exg AM210SNP.exe NAT600D.exe NDP21P4.exe NESN51.exe NFAP1SP2.exe NICi_U0.exf NIPP104.exe NMASPT2.exe NW51_ISS.txt NW51FS1.exe NW51SP5.exe NW56UP1.exe NWFTPD6.exe OPLOC514.exe PKI202B.exe PSRVR112.exe SBCON1.exe SLP107G.exe SNMPFIX.exe XCONSS9F.exe AMW2KP2A.exe AMW2KSP1.exe C1UNX85A.exe DSRMENU5.tgz DSX86UPG.tgz EDIR862.exe EDIR862.tgz EDIR862SP2.tgz EDIR862SP2A.exe EDIRW32.exe NAM21SP1.tgz NDSUNIX4.tgz NOVLNIUO-2.4.2.z PWDSCH.exe SIMPLE862UP.tgz UNIXINF1.tgz UNIXINS2.tgz WCNICIU0.exf CRON5.exe DBGLOG1.zip DSDIAG1.exe ETBOX7.exe HIGHUTIL1.exe LOADDLL1.exe MIGRTWZD.exe NCCUTIL5.exe NLSDLL.exe NWSC1.exe ONSITB8.exe STUFKEY5.exe TBACK3.exe TCOPY2.exe Windows Clients Win 95/98 dt. LOGN3321.exe NC332SP1.exe NPTR95B.exe W98332E.exe Win 95/98 engl. LOGN3321.exe NC332SP1.exe NPTR95B.exe W98332E.exe Win NT/2000/XP dt. 276794.exe 291562.exe NC483SP1.exe WNT483G.exe Win NT/2000XP engl. 276794.exe 291562.exe 298848.exe 309392.exe ZENworks 298848.exe 309392.exe 311632.exe LOGN4831A.exe 311632.exe LOGN4831A.exe NC483SP1.exe WNT483E.exe Miscellaneous Updates NW SAA 4.0 NW4SAA.exe SAA40020.exe SAA4PT1.exe iChain 2.0/2.1 IC20SP2.exe IC21SP1.exe GroupWise 6.0 GW62AOT.exe GW6SP2M.exe GW6TOMCAT_NT.exe GW6WASF.exe GWCSRGEN2.exe Bintec Router Software Bingo! BGO521P1.bg Bingo! Plus/Professional BGO494.bgp Bingo! DSL NW 4.2 DECRENFX.exe DS617.exe GROUPFIX.exe IPG4201.exe IPGSN10A.exe LONGNAM.exe NAT600D.exe NLSLSP6.exe NW4SP9.exe NW4WSOCK.exe NWIPADM.nlm ODI33G.exe SNMPFIX.exe TRUST110.exe XCONSS9F.exe GWIA6SP1.exe GWPDLOCK.exe GWPORT32.exf WAVIEW71.exf Brick XS/Office BRK512.xs BRK521P2.xs2 Brick XMP BRK521P1.XP ZENworks for Desktops 3.0 ZD32SYBK.exe ZD3XJVM.exe ZDF32SP1CLIENT.exe ZDF32SP1SERVER.exe ZF3INVMP.exe ZFD3SP1A.exe ZENworks for Desktops 4.0 ZFD4AGENTMSI.exe ZENworks 3.0 for Server NICI24CPK.exe ZFS3SP1.exe ZFS3SP1MANW5.exe ZFS3SP1MANW5.exe ZS3SCH.exe Bordermanager 3.6/3.7 ADMATTRS.exe BM37VPN2.exe BM35ADM7.exf BMAS3X01.exe BM36C02.exe NBMICSA1.exe BM36SP2A.exf PXY031.exe BM37FLT.exe PXYAUTH.exe BM37UPN2.exe RADATR3A.exe Brick X.21 BRK495.x21 Brick XL/XL2 BRK521P1.xl Netracer SETUPEX.exe Cluster Services CS1SP4.exe CVSBIND.exe X8500 B6205P04.x8a X4000 B6205P04.x4a X3200 B6205P04.bgd Brick XM NR494P1.zip B6205P04.zip BrickWare u. Configuration Wizard BW625.exe NLMDISK.zip BRK511.xm BRK521P1.xm2 XCentric XC533.xcm MODULE14.xcm X2100/2300 B6205P04.x2c X1000 / 1200 B6205P04.x1x 01 Ausgabe 01/2003 37 HOTLINE NetWare Patches h HOTLINE Deutsche Updates Windows NT 4.0 DEUQ300972I.exe DEUQ328145i.EXE GERQ323172i.exe SP6I386G.exe Englische Updates Windows NT 4.0 MPRI386.exe PPTPFIXI.exe Q323172i.exe Q328145i.exe RRASFIXI.exe SP6I386.exf Windows 2000 ENPACK_WIN2000ADMIN_GER.exe Q299956_W2K_SP3_X86_DE.exe Q311967_W2K_SP3_X86_DE.exe Q318593_W2K_SP3_X86_DE.exe Q324096_W2K_SP4_X86_DE.exe Q324380_W2K_SP4_X86_DE.exe W2KSP2SRP1D.exe W2KSP3.exe Windows XP XPSP1_DE_X86.exe Microsoft .NET NDP10SP357.exe Windows 2000 ENPACK_WIN2000ADMIN_EN.exe Q299956_W2K_SP3_X86_EN.exe Q311967_W2K_SP3_X86_TWE.exe Q316094_W2K_SPLl_X86_EN.exe Q318593_W2K_SP3_X86_EN.exe Q324096_W2K_SP4_X86_EN.exe Q324380_W2K_SP4_X86_EN.exe W2KSP2SRP1.exe W2KSP3E.exe Internet Explorer 6.0 IE6SETUPG.exe Q313675.exe Q316059D.exe Q324929G.exe Exchange 2000 EX2KSP2_SERVER.exe Q320436ENUI386.exe Exchange 5.5 SP4_550G.exe Windows XP Q315000_WXP_SP1_x86_NEU.exe WM320920_8.exe XPSP1_EN_X86.exe Internet Explorer 6.0 IE6SETUPE.exe Q316059D.exe Q324929E.exe Microsoft .NET NDP10SP317396.exe Exchange 2000 Q278523ENGI.exe Exchange 5.5 SP4_550E.exe HOTLINE B6205P04.x1x 1359 KB Neues Software Image für die Bintec Router X1000 und X1200. Neuerungen dieser Version sind: • Stateful Inspection Firewall • IPSec-Callback • PPTP-Passthrough • Bündelung von PRI-Timeslots zu Hyperchannels • Erweiterung der RIP-Implementierung • Zeitgesteuerte Ausführung von Shell-Befehlen In folgenden Bereichen wurden Fehler beseitigt: • VoIP, IPSec und VoIP mit Stateful Inspection • Neustart mit STAC-Kompression • ICMP Messages und NAT • CHAP-MD5-Authentisierung • PRI-Menü erweitert • MPPC und MPPE • Neustart mit OSPF • Software-FAX Probleme • Leased Line Probleme • Falsche Netzmaske bei NAT-Einträgen • RIP V2 Probleme • CAPI Fehler Folgende Features sind hinzugekommen: • Bezeichnug der Ressourcenmodule • Implementierung von Gratuitous ARP rot grün • ANSI T1.617 D LMI für Frame Relay • State Transitions für PPP-Callback • Erweiterungen im IPSec Bereich • Erweiterungen des Frame Relay mit X2100 • Anzeige der Default-Route • Lizenzanzeige • Wizard-Unterstützung für BinGO! DSL • STAC-Kompression • Zugang zum OSPF-Menü B6205P04.x2c 1608 KB wie zuvor für X2100 und X2300 B6205P04.zip 1356 KB wie zuvor für X3200 B6205P04.x4a 1606 KB wie zuvor für X4000 B6205P04.x8a 1669 KB wie zuvor für X8500 B6205P04.bgd 970 wie zuvor für die Bintec Router Bingo! DSL seit unserer letzten Veröffentlichung neu hinzugekommen Technik News Service-CD blau gelb Patches aus Platzgründen nicht mehr auf der Monats-CD auf der letzten Service CD 01 Ausgabe 01/2003 38 Veritas Backup Exec für Windows v. 8.6 Veritas Backup Exec für Windows v. 8.5 Veritas Backup Exec für NetWare v. 8.5 Installation BNT86I02_241044.EXE (3878) (dt.) BNT86I03_241035.EXE (3878) (engl.) Installation BNT85I02_235855.EXE (dt.) (3572 rc9) BNT85I03_235770.exe (engl.) (3572 rc9) RAIDIRECTOR_233163.EXE Installation B85P00_245899.EXE (194.1) (dt.) EXECV3176ENG_245515.EXE (engl.) EXECV3176DEU_245538.EXE (dt.) Patches BNT8XVIRUPD_251854.EXE DAT-4228_251238.ZIP X420021031U2_251237.CAB PSMKEY_246315.EXE BNT85XCHFIX_244073.EXE (3572 rc9) BNT85SYSFIX_242765.EXE (3572 rc9) BNT8XVIRUPD_240051.EXE BNT85OFOFIX_239866.EXE (3572 rc9) BNT85CATFIX_238991.EXE (3572 rc9) BNT85SSOFIX_236423.EXE (3572 rc9) MEDIAFIX_234341.EXE (3571) POST3571_232826.EXE Patches OFO_316_252047.EXE (NLS) OFO_237_BENW_247849.EXE BESRVRUP.EXE (engl.) Patches BNT86SHRPT_251341.EXE (3878) BNT86MBOXFIX_250666.EXE (3878) BNT86RPTFIX_251567.EXE (3878) BNT86IDRSPFIX_251758.EXE (3808,3878) BNT8XVIRUPD_251854.EXE X420021031U2_251237.CAB BNT86LNCALL_249879.EXE (3878) BNT86GRMFIX_249358.EXE (3878) BNT86SHRPT_248868.EXE (3878) BNT86SELECTFIX_246764.EXE (3878) BNT86IDRSP2_249305.EXE (3808 + 3878) BNT86IDRFIX_249618.EXE (3878) BNT86BEMCMD_249735.EXE (3878) BNT86BEMCMD_248869.EXE (3878) BNT86INMPART_248864.EXE (3878) BNT86LNFX_248589.EXE (3808 rc5) PSMKEY_246315.EXE (dt.engl.) BNT86SQLFIX2_246317.EXE (3878) BNT86OFOFIX2_245401.EXE (3878) BNT86XCHFIX_243897.EXE (3878) 3808HF9_241122.EXE (3808 rc5) BNT86OFOFIX_239867.EXE (3808 rc5) BNT86SQLFIX_239493.EXE (3808) BNT86SYSFIX_239551.EXE (3808 rc5) BNT86TSMFIX_239160.EXE (3808 rc5) BNT86CMDFIX_239162.EXE (3808 rc5) Treiber BNT86IDRV36_251862.EXE BNT86IDRV34_250034.EXE Agenten BNT86NW6_246316.EXE AGORACLE_242760.EXE NLS_AGNT_241420.TAR NWAA191_236656.EXE Utility BENTTOOL_240872.EXE Treiber BNT85IDRV29a_237727.EXE BNT85iDRV29_236293.EXE Agenten AGORACLE_242760.EXE NLS_AGNT_241420.TAR NWAA191_236656.EXE AG9X021_234221.EXE Utility BENTTOOL_240872.EXE Dokumente 249221.PDF (dt.) 249222.PDF (dt.) 247713.PDF (dt.) 241706.PDF (engl.) Treiber B850DV15_248047.EXE TIMEOUT.EXE Agenten NLS_AGNT_242465.TAR NLS_AGNT_241420.TAR BEORANW_241399.EXE WIN9X_AGENT_239813.EXE OS2AGENT.EXE DOSAGENT.EXE MACAGENT.EXE Utility ALLTOOLS_247493.EXE BENTTOOL_240872.EXE Dokumente WINNTAGT_230560.EXE 247711.PDF 247712.PDF ADMIN_241115.PDF ADMIN_241117.PDF AGENT_ACCEL_WP_233287.PDF NWCLUSTER_233285.PDF Veritas Backup Exec für NetWare v. 9.0 Installation B90PNLS_252068.EXE (4174) (NLS) EXECV3176ENG_245515.EXE (engl.) EXECV3176DEU_245538.EXE (dt.) Treiber B90DV03_251845.EXE (NLS) B90PV128TC7200_250461.EXE (4172) B90DV02_249913.EXE (4172) B90DV03_251845.EXE (NLS) B90PV128TC7200_250461.EXE (4172) Patches SECPATCH_249722.EXE (4019/4170) Agenten OFO_316_252047.EXE (NLS) OFO_237_BENW_247493.EXE (engl) B.237 NLS_AGNT_241420.TAR (NLS) Nur die neusten NW und NT Versionen, nur Intel CPU’s (kein Alpha), nur englisch und deutsch, wenn vorhanden. Dokumente 247538.PDF (dt.) 247713.PDF (dt.) Utility ALLTOOLS_247493.EXE BENTTOOL_240872.EXE 01 Ausgabe 01/2003 39 h HOTLINE Neue Patches in der Übersicht Backup Exec 8.5 und 9.0 für Novell NetWare B90DV03_251845.EXE (NLS) BNT86IDRV36_251862.EXE (NLS) Dieses aktuelle Device Treiber Set für Backup Exec 9 vom 19. Nov. 2002 ist ab Build 4172.2 einzusetzen, nicht für Build 4019. Das aktuelle Device Treiber Release (20021101) sowie das Robotic Library Release (36) können für alle Builds der Backup Exec v8.6 eingesetzt werden. OFO_316_252047.EXE (NLS) BNT86IDRSPFIX_251758.EXE In dieser Datei ist das Upgrade für die Open File Option für NetWare Version 1.12 Build 316. Dieses Release wurde unter folgenden Environments getestet: - NW 4.2 SP 9 und BE für NW 9.0.4172 und 8.5.194.1 - NW 5.1 SP 5 und BE für NW 9.0.4172 und 8.5.194.1 - NW 6 SP 2 und BE für NW 9.0.4172. Eine der Haupteigenschaften diese Upgrades ist die Unterstützung für NW 6 NSS Volumes, jetzt auch über physikalische Festplatten hinweg. Das SP2 wird benötigt! Außerdem muß NW6NSS2B.EXE auf dem NW 6 System eingespielt sein, bevor die Open File Option verwendet wird. Ist Kompression auf einem NSS Volume eingeschaltet, muß die TechNote #251974 beachtet werden. Diese finden Sie unter http://seer.support.veritas. com/docs/251974.htm. Dieser Hotfix Nummer 44 für Backup Exec v8.6 Build 3808 und 3878 behebt ein Problem mit Intelligent Disaster Recovery. Es schlägt fehl, w enn ein IDR Bootmededium verwendet wird, welches mit Windows 2000 Service Pack 2 oder 3 integrierter CD erstellt wurde. Der Hotfix behebt dieses Problem, wenn er vor dem Erstellen der IDR Bootmedien eingespielt wurde. Backup Exec 8.5 und 8.6 249221.PDF (dt.) Hotfix Nummer 42 für Backup Exec v8.6 Build 3878 behebt Fehler beim Sichern von Exchange Mailboxen, z.B. Access Violation während der Sicherung mit der Funktion LpValFindProp. Auch wurden Nachrichten als korrupt gemeldet, wenn sie Anhänge im Format ATTnnnnn.txt enthiellten. Anhänge wurden als return undeliverable assoziiert. Ebenso wird der Fehler behoben, daß nach dem Backup Verbindungen zum Exchange Server nicht freigegeben wurden. Backup Exec für Windows NT und Windows 2000 v8.5 Administrator Manual in Deutsch. BNT86SHRPT_251341.EXE (NLS) BNT86RPTFIX_251567.EXE (engl.) Der Hotfix Nummer 43 für Backup Exec v8.6 Build 3878 behebt einen Fehler bei dem Robotic Library Inventory Report. Die Fehlermeldung lautet: E r r o r i n formula. BNT86MBOXFIX_250666.EXE (NLS) für Windows NT /2000 BNT8XVIRUPD_251854.EXE (NLS) Das aktuelle Virus Engine Update (File Version 4.1.6.0) kann für die Backup Exec Versionen 8.0, 8.5 und 8.6 und für alle Builds dieser Versionen eingesetzt werden. Advanced Autoloader Support / Troubleshooting für Backup Exec für Windows NT und 2000 in Englisch. Der Hotfix Nummer 25 für Backup Exec v8.6 Build 3878 behebt Fehler im Zusammenhang mit dem SharePoint Portal Server. Sicherungen und auch das Wiederherstellen schlugen fehl, mit der Meldung Connection Lost. Ein Durchsuchen nach entfernten Servern scheiterte, wenn die Bedsmdoc.dll nicht umbenannt wurde. Auch hing das Benutzer-Interface, wenn Backup Exec geöffnet wurde. Q324929E.exe 2051 KB (engl.) Q324929G.exe 2056 KB (dt.) 249222.PDF (dt.) HOTLINE Manual für die Optionen und Agenten von Backup Exec für Windows NT und Windows 2000 in Deutsch. 241706.PDF (engl.) Das Security Update für Internet Explorer Version 6.0 verhindert, daß ein Angreifer Kommandos im User System ausführen kann. Patches 01 Ausgabe 01/2003 40 291562.exe 278 KB FIXNAMES.exe 107 KB NAASUPD3.exe 849 KB Diese Update des Novell Clients 4.83 für Windows NT/2000 und XP hilft, wenn Windows Probleme hatte, mehrere Files parallel zu öffnen. Das Modul FIXNAMES.nlm kan überprüfen, ob alle Dateien in einem Pfad eines NSS-Volumes einen legalen Namen nach der aktuellen Code Page haben. Dieser Fehler kann entstehen, wenn Files angelegt werden und die aktuelle Code Page des Servers von der eigentlich konfigurierten abweicht. In diesem Update sind alle Patches für Novell Advanced Audit Services der NW 6 enthalten, inklusive NAASUPD2.exe. AM210PT4.exe 204 KB Das Update für Novell Account Management Version 2.1 ersetzt die SAMDRV.dll für Windows NT Server, die mit Account Management installiert wurden. BM36SP2A.exe 2190 KB Das SP 2A für Novell Bordermanager 3.6 beinhaltet Updates für alle seine mitgelieferten Produkte. IC20SP2.exe 5239 KB Das SP 2 für Novell iChain Version 2.0 enthält Updates für alle im iChain enthalten Produkte. IC21SP1.exe 9331 KB SP 1, wie zuvor für iChain Version 2.1 C1.exe 35645 KB Novell ConsoleOne Version 1.3.4 in der englisch/französichen Ausführung, für die Plattformen Novell, Windows NT und 2000. DS760C.exe 1249 KB In diesem NDS-Update für die Novell Netware v5.1 mit einer installierten NDS-Version 7 finden Sie die Module DS.nlm v7.60c und ein neues DSLOADER.nlm. Diesen Patch bitte nicht auf einer NW 5.1 mit installierterter DS-Version 8.x installieren, auch nicht auf NW 4.x oder 6.x. LOGN3321.exe 331 KB NBMICSA1.exe 3426 KB Das Novell Bordermanager ICSA Compliance Kit in der Version 1.0 behinhaltet Files, um den ICSA Standard zu erfüllen. NIPP105.exe 2666 KB Das Update des Novell iPrint Clients (Version 1.05) behebt Probleme mit Roaming Profiles, wenn der iPrint Client auf einem Windows NT Client installiert ist. TCP5810.exe 812 KB Hinweise zu diesem Patch für den Novell Client 3.32 für Windows 95 und 98 finden Sie unter den TIDs 10073127 und 10021405. In diesem Update finden Sie die TCP/IP Versionen 5.91o (verschlüsselter Stack) und 5.81o (unverschlüsselter Stack) für NW 5.1 nach SP 4. LOHN4831A.exe 442 KB TCP605o.exe 814 KB Mit diesem Update werden Probleme des Novell Clients 4.83 (mit SP 1) für Windows NT/2000 und XP behoben., hauptsächlich für Login und GINA (vgl. Readme). wie zuvor für NW 6.0 nach SP 1 ZFD4AGENTMSI.exe 41206 KB Sie benötigen die enthaltenen Dateien und Anweisungen, um mit dem Novell Applikation Launcher die ZenWorks for Desktops Management Agent.msi Dateien anArbeitsplätze zu verteilen. Neu auf der TN Monats- CD 01/2003 Novell 291562.exe 278 KB 41206 KB AM210PT4.exe 204 KB BM36SP2A.exe 2190 KB C1.exe 35645 KB DS760C.exe 1249 KB FIXNAMES.exe 107 KB IC20SP2.exe 5239 KB IC21SP1.exe 9331 KB LOGN3321.exe 331 KB LOHN4831A.exe 442 KB Bintec B6205P04.x1x 1359 KB B6205P04.x2c 1608 KB B6205P04.zip 1356 KB B6205P04.x4a 1606 KB B6205P04.x8a 1669 KB B6205P04.bgd 970 NAASUPD3.exe 849 KB NBMICSA1.exe 3426 KB NIPP105.exe 2666 KB TCP5810.exe 812 KB TCP605o.exe 814 KB ZFD4AGENTMSI.exe Microsoft Q324929E.exe 2051 KB Q324929G.exe 2056 KB Demo-Version von G+H ShiftF11 01 Ausgabe 01/2003 41 h HOTLINE BINTEC X-Router Security Teil 2: v6.2.5 IPSec Callback und weitere Features Von Hardy Schlink Interessante Funktionen erweitern die Router System-Software 6.2.5. Wir haben letztens die Stateful Inspection FireWall vorgestellt. Diesmal geht es u.a. um IPSec Callback, PPTP Passthrough, die Bündelung von PRI-Hyperchannels und die RIP-Implementierung. Befehlen in der SNMP-Shell lassen sich nun zeitgesteuert ausführen. Außerdem ist in der aktuellen Version ein Modem-Update inbegriffen. S HOTLINE Seit dem Release 6.2.2 unterstützt BinTec den sogenannten DynDNS Service, mit dessen Hilfe Sie sichere Verbindungen zu Hosts aufbauen können, die nur über eine dynamische IP-Adresse verfügen. Um diese Funktion realisieren zu können, identifiziert DynDNS einen Peer über den zugewiesenen Host-Namen. Eine IPAdresse für den Peer ist nicht erforderlich. Der DynDNS Service ist aber nicht in der Lage zu signalisieren, ob ein Peer auch wirklich ”online” ist. Dadurch besteht keine Möglichkeit, den Peer anzustoßen, damit er die erforderliche Internet-Verbindung aufbaut. Doch genau dies wäre die Voraussetzung, um einen IPSec-Tunnel über das Internet zu initiieren. Mit Release 6.2.5 steht uns aber zur Lösung dieses Problems ein neues Feature mit dem Namen IPSec Call back zur Verfügung (siehe Abb. 1). anhand der ISDN-Rufnummer ausreichend genug, um den ISDN-Tunnelaufbau in die Wege zu leiten. IPSec Heartbeat Die Funktion des IPSec Heart beat wurde implementiert, um eine SA dahingehend zu überprüfen, ob sie noch gültig ist oder nicht. Abhängig von der gewählten Konfiguration, wird durch das Senden- oder Empfangen von Signalen des IPSec-Heartbeat eine SA als ungültig erklärt, wenn diese Signale ausbleiben. Die gesendeten oder empfangenen Pakete der Heartbeat Signalisierung werden hierbei nicht als IPSec Pakete gewertet. Eine SA verbleibt also nicht aufgrund dieser Pakete im Status aktiv. Router eintreffen, keinem bestimmten Destination-Host zugewiesen werden können. Damit mehrere PPTPHosts (Endpunkte) zu einemVPN-Server verbinden können, der über einen Router hinweg zu erreichen ist, wurde von BinTec die Funktion PPTP Passthrough in die SystemSoftware 6.2.5 implementiert. GRE Context Numbers PPTP-Passthrough ordnet GRE Context Numbers zu, ähnlich wie beim Verfahren des NAT PortMapping. Einem vom lokalen Netzwerk eingehenden Paket mit einer internen GRE Context Number wird vom Router eine externe GRE Context Number zugewiesen. Damit Abb. 1: Das IPSec Callback Menü IPSec Callback PPTP Passthrough Die neue Funktion nutzt die traditionellen Möglichkeiten des ISDN. Sie signalisiert dem gewünschten Kommunikationspartner über einen direkten ISDN-Call, daß man online ist, und den Wunsch hat, einen IPSecTunnel über das Internet aufzubauen. Hat der angewählte Peer noch keine Connection zum Internet, so wird er durch den ISDN-Call aufgefordert, dies nachzuholen. Diese Aktion verursacht keinerlei Kosten, da der angewählte Router den ISDN-Ruf gar nicht annehmen muß. Denn die Identifikation der Calling Party ist PPTP-Verbindungen, die von unterschiedlichen Hosts stammen, können durch Network Address Translation erst einmal nicht voneinander getrennt werden, da daß für PPTPConnections verwendete und erweiterte GRE-Protokoll (Generic Routing Enca-psulation) nicht portspe-zifisch arbeitet. Hieraus resultiert, daß Pakete, die vom LAN als eine Antwort auf eine Anfrage am Abb. 2: Die Funktion des Triggered-RIP 01 Ausgabe 01/2003 42 wird erreicht, daß vom WAN kommende GRE-Pakete einer bestimmten PPTP-Connection zugewiesen werden können. Die verwendeten GRE Context Numbers werden nach Abbau der GRE-Verbindung wieder freigegeben. Es ist wichtig zu wissen, daß die beschriebene Funktion des PPTPPassthrough nur für ausgehende Verbindungen gilt. Der Aufbau einer Session vom WAN zum LAN ist weiterhin auf eine PPTP-Verbindung begrenzt, wobei die Zuordnung zu einem Host im LAN über die NAT-Konfiguration erfolgt, da der Router bei eingehenden PPTP-Paketen nicht in der Lage ist, einer externen GRE Context Number die zugehörige interne Nummer zuordnen. Es erfolgt lediglich die Umsetzung der externen auf die interne IP-Adresse. Damit eingehende Verbindungen überhaupt möglich sind, muß die NAT-Konfiguration entsprechend vorbereitet werden, was natürlich auch für PPTP-Connections gilt. PRI-Bündelung Die Kanäle eines S2M-Anschlusses ließen sich bisher nur über das PPPMultilink-Protokoll auf der Layer-2Ebene bündeln. Mit Erscheinen der System-Software 6.2.5 kann die Bündelung der B-Kanäle bereits auf dem physikalischen Layer-1 durchgeführt werden. Zusätzlich können PPP Multilink Kanalbündel frei konfiguriert werden. Die verfügbaren Timeslots lassen sich zu mehreren PPP Multilink Kanalbündeln zusammenfassen. Bisher konnte nur ein einziger Kanalbündel eingestellt werden, der alle Timeslots beinhaltete. Diese Zeitfenster haben die Aufgabe, die zur Verfügung stehende Bandbreite von 2 Mbit/s einer S2M-Connection in logische Kanäle zu unterteilen. Triggered RIP BinTec hat zwei Erweiterungen für den RIP-Prozeß implementierte, um den Datenverkehr exakt steuern zu können, der vom Routing Informati- on Protocol erzeugt wird: Triggered RIP und weitere Einstellungsmöglichkeiten des RIP-Prozesses. Das Update der ipRouteTable kann unter Umständen zu einem hohen Datenverkehr führen. Um diesen Traffic besser beherrschen zu können, hat BinTec gemäß RFC 209 neben den Standard-Protokollen RIP v1 und v2 das sogenannte Triggered RIP in die Software 6.2.5 aufgenommen (siehe Abb. 3). Es ist dafür verantwortlich, daß nur noch unter genau definierten Zuständen Updates der ipRouteTable durchgeführt werden, und nicht mehr in festen Zeitintervallen. Nach Standard werden Updates nur dann gesendet und empfangen, wenn die folgenden Bedingungen zutreffen: - wenn durch neue Informationen von einem Interface die ipRouteTable verändert wird, - wenn das RIP in einem Update Request eine explizite Anfrage nach einem Routing-Update erhält, - wenn die Erreichbarkeit eines ”Hops” eine Änderung - z.B. von nicht erreichbar zu erreichbar - erfährt - oder wenn das System eingeschaltet wurde. Hierdurch wird sichergestellt, daß wenigstens ein Update gesendet- bzw. empfangen wird. Bei der ersten Bedingung werden nur die letzten Änderungen übermittelt, bei allen anderen Fällen erfolgt die Übertragung der gesamten Table. Befehle zeitgesteuert Mit der System-Software 6.2.5 wird es möglich, alle Befehle, die in der SNMP-Shell über die Syntax cmd=<command> eingegeben werden können, mit einem Countdown zu versehen. Um welche Befehle es sich hierbei genau handelt, können Sie in Erfahrung bringen, indem Sie in der SNMP-Shell das Kommando cmd? eingeben. Sie können zum Beispiel über den Befehl cmd=re boot timeout=120 veranlassen, daß ein Router nach Ablauf von 120 Sekunden neu gestartet wird. Bei X4000 und X8500 wurde die Firmware der Modem-Ressourcenmodule (XTR-S, XTR-M, XTR-2M, XTR-L) aktualisiert. 01 Ausgabe 01/2003 43 SUPPORT Local-ID Bei unseren Tests ist uns aufgefallen, daß bei der Konfiguration mit dem IPSec Setup Wizard die sogenannte Local-ID nicht abgefragt und somit auch nicht im IPSecSetup eingetragen wurde. Die Konsequenz hieraus war, daß kein IPSecTunnel zwischen der Außenstelle und der Zentrale aufgebaut werden konnte. Lösen konnten wir diese Fehlfunktion, indem wir die erstellte Konfiguration manuell angepaßt haben (siehe Abb. 1). Abb.1: Menüpunkt IPSec/IKE <Phase 1> Defaults Im Menüpunkt IPSec / IKE <Phase 1> Defaults wollten wir die Local-ID spezifizieren, in unserem Praxisbeispiel nannten wir sie x4000. Hierbei verloren wir jedoch immer die Telnet-Verbindung zum Router. Nach erneutem Aufbau dieser Connection konnten wir feststellen, daß der Wert für die Local-ID nicht übernommen wurde. Agressive Mode Nachdem die Local-ID erneut eingegeben wurde, traten keine Probleme mehr auf, und die Konfiguration konnte ohne weitere Vorkommnisse abgeschlossen werden. Abschließend haben wir im Menüpunkt IPSec / IKE <Phase 1> Defaults den Mode auf aggressive gesetzt. Diese manuelle Anpassung muß auf beiden beteiligten Routern - in der Außenstelle wie auch in der Zentrale - vorgenommen werden. h HOTLINE SONICWALL Internet Security Appliances Teil 2: Installation und Konfiguration Wir haben Ihnen die diversen Features der SonicWall Security Appliances vorgestellt, die eine umfassende Sicherheitslösung ausformen, um das Netzwerk vor verschiedensten Angriffen zu schützen. Diesmal wollen wir Sie mit der Installation und Konfiguration der Security Appliances vertraut machen. V Vor der eigentlichen Inbetriebnahme sollten Sie einige Informationen schon zur Hand haben, die während der Konfiguration des Systems benötigt werden, wie die IPAdressen des WAN-Gateways (Router) und ggf. des Mail Servers, DNS-Adressen, die SonicWall LAN- und WANIP-Adressen (NAT Public) sowie die LAN- und WAN/ DMZ-Subnet-Masks. Diese Daten können in Abhängigkeit des jeweiligen Internet-Zugangs unterschiedlich sein, sind aber für die Konfiguration der Security-Appliance unentbehrlich. Weil alle Einstellungen über einen Web-Browser vorgenommen werden, kann die Konfiguration von einer beliebigen Workstation im LAN durchgeführt werden. Und da dieses Oberfläche für alle Internet Security Appliances von SonicWall die gleiche ist, wird auch die Arbeit an verschiedenen Geräten erheblich erleichtert. Die hier beschriebene Konfiguration z.B. wurde mit einem System aus der TELE 3 Serie durchgeführt. Es stellt kein Problem dar, sie für andere Appliances wie etwa die Pro 100, 200 oder 300 zu übernehmen. Ihre Workstation in Abhängigkeit des verwendeten Betriebssystem neu booten. Nach dem Aufruf des WebBrowsers geben Sie im Adreßfeld die Default IP-Adresse 192.168.168. 168 der SonicWall an. Daraufhin werden Sie vom Installation Wizard begrüßt, sofern es sich um die erstmalige Inbetriebnahme der FireWall handeln. Im Web-Browser ist es erforderlich, den Java-Support zu enablen. Weiterhin muß die Unterstützung von HTTP Uploads gewährleistet sein. Wizard Der SonicWall Installation Wizard vereinfacht die erstmalige Installation und Konfiguration der Geräte. Er stellt eine Reihe von Konfigurationsfenstern bereit, in denen die entsprechenden Daten eingegeben werden, z.B. das Paßwort des Administrators oder die Settings für den Internet-Zugriff. Sollten Sie den Installation-Wizard umgehen wollen, klicken Sie einfach mit der Maus auf den Button Cancel. Dann können Sie sich nach der Eingabe von User Name: admin und Paßwort: password an der FireWall anmelden, wobei es sich hier um die Defaultwerte für den Admin-Account handelt. Wenn Sie im Eingangsbildschirm des Installation Wizard auf Next klicken, wird die Konfiguration gestartet. Zuerst gilt es, ein neues Paßwort zu definieren, was aus Sicherheitsgründen dringend zu empfehlen ist. Um Tippfehler auszuschließen, muß es erneut eingegeben und bestätigt werden. HOTLINE Installation Die Inbetriebnahme über einen Web-Browser setzt eine bestehende IP-Verbindung voraus. Die SonicWall-Geräte sind im Auslieferungszustand daher bereits mit der Adresse 192.168.168.168 / 255.255. 255.0 voreingestellt. Sie müssen also nur noch Ihre Management-Workstation mit einer IP-Adresse versehen, die sich im gleichen Subnetz befindet wie die SonicWall, z.B . 192.168.168.200 / 255.255. 255.0. Sie haben die Wahl, ob sie die Firewall- und Management-Workstation im LAN mit Ethernet-Kabel 1:1 über einen Hub oder Switch verbinden, oder ob Sie für die direkte Verbindung zwischen den Geräten ein Ethernet Cross-Over-Kabel verwenden. Gegebenenfalls müssen Sie 01 Ausgabe 01/2003 44 SGMS Beim Menüpunkt Use Global Management System setzen wir für unsere Konfiguration diesmal kein Häkchen. Das SonicWall Global Management System (SGMS) ist eine auf Web-Browser basierende SecurityManagementsoftware, mit deren Hilfe Administratoren in die Lage versetzt werden, selbst Hunderte von SonicWallAppliances remote zu verwalten. Gedacht ist die Applikation in erster Linie für größere Unternehmen oder Service-Anbieter, die ihren Kunden eine zentrale Verwaltung der Firewalls als Dienstleistung anbieten möchten. Wir werden in einer der nächsten Ausgaben der Technik-News näher auf die Leistungen dieser Management-Applikation eingehen. Internet Access Im nächsten Fenster können wir die Zeitzone spezifizieren, die unserer Region zugeordnet ist, wobei die interne Uhr der SonicWall über einen Network Time Server im Internet gesetzt wird. Über Next erreichen wir ein InfoFenster, in dem wir darauf hingewiesen werden, welche Daten des ISP wir zur Konfiguration des InternetAccess benötigen. Die nächste Seite erlaubt es uns dann, die Verbindungsart zum ISP zu bestimmen, wobei verschiedene Adressierungsmodi zur Auswahl stehen (s. Abb. 1). Im Rahmen dieses Artikels wollen wir uns auf die erste Installationsvariante (IP address) konzentrieren und im folgenden mit einer statischen IP-Adresse arbeiten. Aus Gründen der Vollständigkeit seien die anderen Verbindungsarten zum Internet-Service-Provider daher nur kurz beschrieben. Den zweiten Menüpunkt (more IP addresses) wählen Sie nur aus, wenn Ihr Provider Ihnen zwei oder mehr IP-Adressen hat zukommen lassen. Die dritte Option (PPPoE) wird immer dann verwendet, wenn der ISP eine Authentication in Form von User Name und Password und die Installation einer speziellen Zugangs-Software von Ihnen erwartet. Die vierte Einstellungsmöglichkeit (DHCP) findet Anwendung, wenn Ihr Provider Ihnen die offizielle IP-Adresse dynamisch zuweist. In diesem Fall schaltet die SonicWall die Funktion NAT with DHCP Client ein, ein typischer Adressierungsmode für Kabelund DSL User. Weil der Installation-Wizard PPPoE- und DHCP-Verbindungen automatisch entdecken kann, müssen Sie eigentlich keine dieser hier skizzierten Optionen selektieren. Abb. 1: Einstellungsmöglichkeiten ”Connecting to the Internet” Abb. 2: Konfigurationsseite des Installation Wizard Statische IP-Adresse Die Option Assigned you a single static IP address wird verwendet, wenn der Internet-ServiceProvider Ihnen nur eine einzige offizielle IP-Adresse zugewiesen hat. Nach Bestätigung dieses Menüpunktes öffnet sich das Fenster Use Network Address Translation (NAT), in dem die SonicWall-Software Abb. 3: Eingabe der LAN IP-Adresse und der SubnetMask anzeigt, daß Sie von Ihrem ISP eine einzelne registrierte IP-Adresse erhalten haben und der Wizard nun NAT einschalten will, um diese Adresse mit allen Workstations 01 Ausgabe 01/2003 45 h HOTLINE und anderen Netzwerk-Ressourcen gemeinsam zu nutzen. Wenn wir dieAbfrage positiv beantworten und Next klicken, gelangen wir zur Konfigurationsseite Getting to the Internet (s. Abb. 2). Konfigurationsseite Hier angelangt, gilt es die folgenden Daten einzugeben: die SonicWall WAN IP-Addresse, die WAN/DMZ Subnet Mask sowie die Adressen des WAN-Gateways (Router) und des DNS-Servers. Durch Betätigen des Button Next erreichen wir das nächste Konfigurationswindow, welches den Namen Fill in information about your LAN trägt (s. Abb. 3). In den beiden Feldern SonicWall LAN IP Address und LAN Subnet Mask tragen wir die IP-Adresse und Netzwerkmaske für das Ethernet-Interface ein, welches über einen Hub oder Switch in das lokale Netzwerk integriert wird. Da wir ja während der Konfiguration NAT ausgewählt haben, wird es sich in den meisten Fällen um eine IP-Adresse aus einem privaten Adreßraum handeln, z.B. 10.1.13.76. Mit Next gelangen wir zur nächsten Seite des Installation-Wizar d mit der Bezeichnung O p t i o n a l – SonicWall´s DHCP Server. An dieser Stelle erhält der Administrator die Möglichkeit, die SonicWallFirewall als DHCP-Server zu konfigurieren. Dazu wird der Menüpunkt Enable DHCP Server selektiert. Es gilt lediglich, den Adreßbereich zu definieren, aus dem die anfragenden Clients ihre IP-Adresse erhalten sollen. Per Default ist die Option Disable DHCP Server eingestellt, die Workstations im LAN erhalten die IPKonfiguration also in statischer Form. Der definierte Adreßbereich muß dem gleichen Subnetz angehören wie die SonicWall Web Management Adresse. HOTLINE Konfig-Daten Im Menü Configuration Summary werden die Konfigurationsdaten zusammenfassend angezeigt, die wir mit Hilfe des Installation-Wizard eingegeben haben. Um die getätigten Einstellungen nachträglich zu ändern, können wir über den Button Back in der Konfiguration zurückgehen, um Anpassungen vorzunehmen. Sollte die Konfiguration korrekt durchgeführt worden sein, erscheint nach dem abschließenden N e x t das sogenannte Congratulations Window, in dem wir als URL die LAN IP-Adresse unserer SonicWall sehen, z.B. URL: http://10.1.13.76. Sie benötigen diese Information, um später auf das Web Management Interface zugreifen können und die Administration ihrer Internet Security Appliance durchzuführen. Wirksam wird die fertige Konfiguration der Firewall über den Button Restart auf der Seite Congratulations. Der Neustart des Systems benötigt etwa 90 Sekunden. Denken Sie daran, die IP-Adresse Ihrer Management-Workstation wieder auf den ursprünglichen Wert zurückzusetzen, falls Sie diese zur Konfiguration geändert hatten. Registrierung Nach dem Neustart sollten Sie sich in die FireWall einloggen, indem Sie in Ihrem Web-Browser zunächst die ”neue” IP-Adresse Ihrer SonicWall eingeben und im nun erscheinenden Menü den Usernamen admin und das neue Paßwort eintragen. Im Statusfenster des Web-Management-Interface finden Sie einen Link, der es Ihnen ermöglicht, das Gerät auf dem Web-Server der Firma SonicWall online zu registrieren. Hierdurch erhalten Sie Zugriff auf den technischen Support, Software Updates und Informationen zu neuen Produkten. Zusätzlich bekommen Sie einen Monat lang kostenlosen Access zur Content Filter List und Zugang zu einer 15-Tage-Trialversion der Network Antivirus Software. Access Rules Die Default-Einstellungen erlauben jeglichen ausgehenden Datentransfer vom lokalen Netzwerk in das Internet. Eingehender Zugriff vom Internet auf das LAN wird hingegen von vorneherein abgewiesen. Internet-Benutzer erhalten zunächst also keine Möglichkeit auf interne Ressourcen des Unternehmensnetzwerk zuzugreifen. Hierfür ist das Anlegen von sogenannten Network Access Rules zwingend erforderlich. Sollte die Appliance einen DMZ-Port enthalten, so haben die User des LAN-User wie Internet-Benutzer vollen Zugriff auf alle Systeme der DMZ. Fazit Die Internet Security Appliances von SonicWall verfügen über eine üppige Ausstattung an Standard-Technologien, wie wir bereits im ersten Teil dieses Artikels feststellen konnten. Die VPN-Techniken sorgen für die gebotene Sicherheit. Rundum wird der Administrator mit allen notwendigen Sicherheitsfeatures versorgt, um sein Netzwerk vor den unterschiedlichsten Angriffen wirkungsvoll schützen zu können. Der Installation Wizard nimmt einem hierbei die meiste Arbeit ab und sorgt für eine einfache Konfiguration der Systeme. Ein angenehmer Mehrwert für Supporter ist die bei allen SonicWall Geräten gleiche Browser-Oberfläche, die die Administration verschiedener Systeme wesentlich erleichtert. Beim nächsten Mal geht es um das SonicWall Global Management System (SGMS). Mit seiner Hilfe ist die Administration verteilter SonicWall-Appliances auch remote möglich. Besonders ISPs und große Unternehmen profitieren von den vielfältigen Managementoptionen. 01 Ausgabe 01/2003 46 G+H Wahlhelfer ShiftF11 - pfiffiger Telefon-Service mit GroupWise-Integration Die G+H Netzwerk-Design bietet ausgeklügelte Tools für das Novell-Umfeld. So nutzt ShiftF11 die GroupWise Mailbox für den ganz persönlichen Telefon-Komfort. Das Wählen von Rufnummern erfolgt per Mausklick, mit Zugriff auf das Adreßbuch. Ein Rufnummernspeicher und eine Historie der angenommenen bzw. entgangenen Anrufe läßt den Anwender wissen, wer noch auf Rückruf wartet. Denn die Mailbox merkt sich, wer dran war. S ShiftF11, eine pfiffige Wählhilfe von G+H, entfaltet ihren hilfreichen Telefon-Service inVerbindung mit Novell GroupWise. Sie setzt dabei lediglich eine installierte und lauffähige TAPISchnittstelle für die Telefon-Kommunikation voraus. Nach der Installation muß zum ersten Start nur das entsprechende Telefon-Device ausgewählt werden. Vorausgesetzt der STATUS-Login zeigt connect an, denn andernfalls wird der Wahlerhelfer nicht aktiv werden können. Brav richtet sich das Programm rechts unten in der Windows-Taskbar ein. Mit einem Klick auf das Icon startet die ShiftF11-Wählhilfe, und schon kann über die Suche in den GroupWiseAdreßbüchern oder per Speicherbutton gewählt werden. buch eingelesen wird. Das mag je nach dessen Größe bei manchen Zeitgenossen etwas länger dauern, ist aber gerade dann gewiß ein Grund mehr, von diesem Tool Gebrauch zu machen, nur so kann auch eine wirklich schnelle Suche garantiert werden. Sie können Rufnummern über Tastatur oder Maus eingeben. Zum Wählen drücken Sie [ENTER] oder klicken mit der Maus auf den Knopf Wählen. Über die Speicherplätze weisen Sie Ihren Gesprächspartnern über die Suche im GW-Adreßbuch einen eindeutigen Namen mit Rufnummer zu. Für einen schnellen Zugriff auf diese Telefon-Service ShiftF11 kann aber auch eingehende Rufe anzeigen. Sofern der TAPI-Treiber es zuläßt und die Rufnummer im GroupWise-Adreßbuch vorhanden ist, wird der Anrufername gleich mit angezeigt. Konnte ein Anruf nicht entgegengenommen werden, weil man z.B. nicht am Platz war oder um drei nun doch endlich Mittagspause gemacht hat, hinterläßt das Programm eine Telefonnachricht in der eigenen GroupWise-Mailbox. Erste Wahl Das Programm benötigt Schreibrechte im aktuellen Installationsverzeichnis. Beim Start kann das Logo etwas länger zu sehen sein, weil das komplette GroupWise-Adreß- Eine Demoversion mit Produktbeschreibung finden Sie auf der aktuellen TN Monats-CD im Verzeichnis GH_Shift_F11. Nach dem Programmstart werden Sie dazu aufgefordert, sich mit dem angegebenen Aktivierungscode zu melden, per Mail an gh@netz werk-design.de oder via Fax oder Telefon. G+H generiert daraufhin eine Lizenzdatei, die Sie nur noch in das Programmverzeichnis kopieren müssen. Zur Installation von ShiftF11 ist die folgende S/N erforderlich: PWX93-45792-83 76X-XWEXX. Nach Ablauf des 30tägigen Tests können Sie dann eine reguläre Lizenz-Datei von ShiftF11 erwerben. Info unter www.netzwerk-design.de. 01 Ausgabe 01/2003 47 Rufnummern brauchen Sie dann nur noch auf den entsprechenden Button zu klicken. Ein- und ausgehende Anrufe können in einer lokalen LogDatei mitprotokolliert werden. Bei Abwesenheit wird Ihnen eine Mail zugestellt. Zum späteren Wählen aus der Historie können Sie Einträge aus dieser Liste in die Wählhilfe übernehmen. Damit wird ein schneller Rückruf möglich. Ja selbst der Export nach Excel ist für das Ein- oder Ausgangsbuch vorgesehen, als Protokoll wer wen wann angerufen hat. Ein Klick genügt Das Programm kann auch auf Tastenkombinationen von außen reagieren. Dies ist aber nur unter Microsoft Windows NT/2000 und auch dort nicht in allen Programmen möglich, muß also ausprobiert werden. Stellen Sie einen entsprechenden HotKey ein, so können Sie in einem anderen Programm eine Rufnummer markieren und per HotKey an ShiftF11 übergeben. Und sollten Sie einmal Veränderungen an Ihr em GroupWiseAdreßbuch vorgenommen haben, genügt ein Klick, um das Adreßbuch neu einzulesen. h HOTLINE CISCO Einbruchssicherung Teil 1: Cisco Intrusion Detection System Von Jörg Marx Wir hatten in der November- und Dezember-Ausgabe 2002 gezeigt, wie Sie den VPN-Client konfigurieren müssen, um mit einem Cisco IOS Router oder mit der Cisco Pix zu kommunizieren. Durch die im Internet herrschenden Gefahren kommen aber weitere Herausforderungen auf die Netzbetreiber zu, beispielsweise die Angriffserkennung. A Angriffe wie etwa Denial of Service Attacken (DoS) sehen für eine Firewall erst einmal wie ein normaler Datenverkehr aus, gegen den sie gar nicht eingreift. Erst kürzlich wurden durch eine solche Attacke 7 der 16 DNS-Rootserver lahmgelegt, ohne daß die Betreiber direkt etwas dagegen tun konnten. Die Firewall ging davon aus, daß es sich um wirkliche User mit ernsthaften Dienstanfragen handelte und schritt somit auch nicht ein. HOTLINE Erkennung Genau hier greift die Angriffserkennung eines IDS-Systems ein. Seine Aufgabe ist es, den Datenverkehr auf einem definierten Segment passiv abzuhören. Angriffe auf ein Netzwerk weisen bestimmte, immer wiederkehrende Muster auf, die zu einem großen Teil bekannt sind. Das IDS-System macht sich deshalb entsprechende Sicherheitssignaturen zunutze. Es vergleicht die aus dem Datenverkehr ausgelesenen Eigenschaften mit den fest im System hinterlegten Signaturen. Ziel des IDS-Systems ist es, die gesammelten Daten auszuwerten und eventuelle Angriffe frühzeitig zu erkennen, um Gegenmaßnahmen einzuleiten. Dies kann z.B. ein einfaches Alarmsignal an den Administrator sein, verdächtige Paket können gelöscht werden, oder die Verbindung wird ganz zurückgesetzt. Die Qualität eines IDS-System ist abhängig davon, über wie viele hinterlegte Signaturen es verfügt, und ob es hierzu regelmäßige Updates gibt, die eine laufende Aktualität garantieren. Dabei bleibt anzumerken, daß es dabei keine 100-prozentige Sicherheit geben kann. Wir werden Ihnen in einem der kommenden TN-Schwerpunktthemen die Problematik und die verfügbaren IDS-Strategien und Techniken im Detail darlegen. Das IDS Feature im IOS ist erst ab der Router-Serie 1700 und größer verfügbar ist. Da die Router darunter - der 1600 oder 800 - nicht genügend Rechenleistung aufbringen, wird es IDS wohl für diese Version auch in absehbarer Zeit nicht geben. Cisco IDS Cisco Systems hat IDS-Funktionen in ihre Router und Firewall-Geräte integriert. Wir möchten Ihnen deren Möglichkeiten im IOS der Cisco Router und der Cisco Pix aufzeigen und beim nächsten Mal darlegen, wie diese konfiguriert werden. Wir sollten dabei festhalten, daß das IDS der IOS Router und der Cisco PIX eine sogenannte OnePacket Intrusion Detection ist. Das heißt, es werden nur Angriffe erkannt, die 1 Paket groß sind. Die meistenAngriffe beruhen auf solchen Paketen, wie etwa Ping of Death, Deny of Service oder der Port Scan. IOS Router IDS Die Angriffserkennung im Cisco Router IOS ist seit der Version 12.0.5(T) verfügbar. Nach der Installation bzw. Konfiguration der IDSEigenschaften im IOS arbeitet der Cisco Router als IDS-Sensor. Er legt sich hörend auf die Leitung und vergleicht die gesehenen Pakete mit den verfügbaren Signaturen. Das IDS kann bei einer Angiffserkennung Gegenmaßnahmen auslösen, und zwar einen Alarm senden, verdächtige Pakete löschen oder die zugehörige 01 Ausgabe 01/2003 48 TCP-Verbindung ganz zurücksetzen. Ein Cisco Router der 1700er Serie und aufwärts kann je nach Konfiguration einen Alarm an einen einfachen Syslog Server senden oder direkt an den Cisco Secure IDS Director schikken. Hier können Alarme ausgewertet werden. Die Variante, daß der Router entsprechende Pakete löscht, ist mit einiger Vorsicht zu genießen, da ihr unter Umständen auch Pakete von gewollten Verbindungen zum Opfer fallen. Wird die dritte Variante genutzt und die komplette TCP-Session zurückgesetzt, so wird sowohl an die Quelle als auch das Ziel ein Paket mit gesetztem RST-Flag (Reset) gesendet. Die Cisco IOS IDS-Lösung beinhaltet insgesamt 59 Standardsignaturen, die Sie je nach Einsatzzweck aktivieren oder deaktivieren können. Der Vorteil des IDS-Sensors ist, daß er nicht nur auf einem Segment mithört, sondern alle eingehenden und ausgehenden Pakete erfaßt und auswertet. Das Erfassen sämtlicher Pakete auf dem Router hat aber auch einen Nachteil, denn die Performance wird hierdurch um einiges beeinträchtigt. Cisco PIX IDS Die Angriffserkennung auf der Cisco Pix ist seit der Version 5.2.(1) implementiert. Im Prinzip ist die Arbeitsund Funktionsweise identisch zu der des IDS-Systems im IOS. Kleine Unterschiede gibt es jedoch. Im einzelnen handelt es sich hierbei um die Konfiguration, die auf der Pix nur im beschränkten Umfang möglich ist. Auch die Alarmmeldungen sind begrenzter. Denn sie können leider nicht an einen Cisco Secure Policy Manager oder den IDS Director weitergegeben werden, sondern lediglich an einen normalen Syslog Server. Ansonsten ist der Funktionsumgang identisch. Das Cisco PIX IDS kann alarmieren, Pakete löschen und Sitzungen zurücksetzen, und es verfügt ebenfalls über 59 Standardsignaturen. CISCO Welche Modems, welche Router? ADSL over ISDN oder PPPoE over Ethernet Von Jörg Marx Die Digital Subscriber Line verbreitet sich unaufhörlich. Jedoch hat dieser Markt gerade in Deutschland auch Tücken, allzumal, wenn man auf Produkte ausländischer Hersteller zurückgreift. Auch bei Cisco muß man wissen, welches Produkt bei uns zu Lande eingesetzt werden kann. Wir geben Ihnen einen kleinen Überblick. B Bei ADSL-Technologien geht man im Normalfall davon aus, daß die Modulation der Daten über analoge Leitungen erfolgt. Genau das ist in Deutschland aber nur bei 5% der DSL-Anschlüsse der Fall. Der Rest geht über ISDN, was ja bekanntlich auf digitale Übertragungstechniken aufsetzt. Weil in Deutschland also überwiegend ADSL over ISDN eingesetzt wird, ist Vorsicht bei allen Produkten geboten, die im Prinzip zwar ADSL unterstützen, jedoch nicht explizit sagen, ob sie ADSL auch über ISDN unterstützen. Mit ”reinen” ADSL- Produkten ohne ISDN-Unterstützung werden Anwender in Deutschland an den meisten DSLAnschlüssen keine Freude haben. Grundsätzlich gibt es also einiges zu beachten. DSL für ISDN Haben Kunden in Deutschland einen DSL-Anschluß für ISDN erworben bzw. angemeldet, so erhalten sie vom Provider meist zwei Lösungsangebote. Entweder sie installieren ihr eigenes Gerät, oder sie bekommen eines gestellt. In beiden Fällen benötigen sie den NTBA des Providers für den ISDN-Anschluß. Hinter dem NTBA kommt der sogenannte Splitter, dann ein ADSL-Modem bzw. ein Router. Dieser Splitter sorgt für die Trennung der ADSL-Signale von den normalen Telefonsignalen bzw. von den ISDNSignalen. Genau das gleiche muß logischerweise vom Provider getan werden, bei ihm ist für die Trennung beider Signale ein sogenannter DSL Access Multiplexer (DSLAM) zustän- Abb. 1: Schematische Darstellung der DSL-Anschlußmöglichkeiten Beim nächsten Mal werden wir darlegen, wie das IDS der IOS Router und der Cisco Pix konfiguriert wird. 01 Ausgabe 01/2003 49 h HOTLINE dig. Sein eigenes ADSL-Gerät am Splitter anzuschließen, lassen die meisten Provider zu. Im Falle eines Modems benötigt der Anwender eines, das ADSL over ISDN spricht, einfaches ADSL reicht eben nicht aus. Andernfalls wird das passende Gerät gleich vom Provider selbst gestellt. Kommt aber ein Router zum Einsatz, ob nun ein eigener oder einer vom Provider, so wird gar kein ADSL over ISDN benötigt, sondern das PPPoE Protokoll gefahren. PPPoE Bei Routern kommt das Point-toPoint-Protokoll over Ethernet - kurz PPPoE - zum Einsatz. Es konstituiert eine Client-Server-Lösung. Beim Provider steht der PPPoE.Server, der im DSLAM abgebildet wird. Zu ihm verbinden sic h alle Clients. Als PPPoE-Client kann z.B. auch eine Ethernetkarte in einem PC arbeiten, hierzu hat der Fachhandel gute Angebote parat. Wenn man ein ganzes Netzwerk mittels DSL ans Internet bringen möchte, installiert man einen PPPoE-Client in Form eines Routers. Dieses hat auf dem einem Ethernet Interface das PPPoE-Protokoll gebunden, auf dem anderen - zum internen Netzwerk hin - das normale TCP/ IP-Protokoll. Der PPPoE-Client baut eine Verbindung zum PPPoE-Server auf und wird nach dem Benutzernamen und dem Paßwort gefragt. Sobald die Authentifizierung erfolgt ist, hat der User Zugang zum Internet. HOTLINE DSL-Angebote In Deutschland unterscheidet man prinzipiell zwei Anschlußvarianten: die Flaterate und DSL Call by Call bzw. mit Datenvolumen. Bei der Flatrate zahlen Kunden einen festen Preis pro Monat und haben dafür in der Regel keine Begrenzung des Datenvolumens und auch keine weiteren Kosten. Natürlich ist diese Anschlußart nicht gleichzusetzen mit einer Standleitung, weil keine feste IP-Adresse erworben wird, was es erschwert einen internen Mail- oder Web-Server zu betreiben. Die IP- Adresse, die der Provider zuteilt, hält max. 24 Stunden anschließend wird die Verbindung zwangsweise kurz getrennt und mit einer neuen IPAdresse wieder aufgebaut. Bei nutzungsabhängigem DSL - mit Abrechnung Call by Call oder nach einem bestimmten Datenvolumen wird entweder die Online-Zeit und oder die Datenmenge gemessen und abgerechnet. Zusätzlich müssen Anwender eine monatliche Grundgebühr bezahlen. Auch bei dieser Anschlußart erhalten die Clients mit dem Einwählen eine dynamische Adresse. Wichtig bei dieser Anschlußart ist, daß das die verwendeten Komponenten über einen sogenannten Idle Timeout verfügen. Denn dieser trennt die Verbindung, wenn kein Traffic mehr auf der Verbindung ist. Geräte, die eine derartige Funktion nicht besitzen, sind an einem solchen Anschluß nicht zu gebrauchen. Cisco over ISDN Kommen wir nach dieser Grundsatzerörterung zu den Cisco Geräten, die Sie in Deutschland privat, im Unternehmen oder bei Ihren Kunden einsetzen können. Wir unterscheiden anhand der dargelegten Problematik zwischen ”technologisch möglichen” und ”ISP-seitig erlaubten” Anschlußarten. Technologisch eignen sich für ADSL over ISDN der Cisco 826, der Cisco 677i und der 677i-DIR. Diese Geräte besitzen ADSL-Schnittstellen, mit denen ADSL over ISDN betrieben werden kann. Doch müssen Sie mit dem Provider abklären, ob Sie diese Geräte direkt an den Splitter anschließen können und dürfen. Folgende Geräte und Schnittstellen eignen sich jedoch nicht für ADSL over ISDN und sind damit nicht für DSL-Anschlüsse in Deutschland zu gebrauchen: weder der Cisco 827 noch das WIC-1ADSL Interface im Cisco 1720, 2600 oder 3600. Mit ihnen können Sie ADSL nur über analoge Telefonleitungen betreiben. Dies muß aber mit dem Telef ondienstleister abgeklärt werden. Cisco für PPPoE Der Betrieb von ADSL-Geräten birgt meist auf Seiten der Anwender eine Reihe von Unsicherheiten. Wenn kundeneigene ADSL-Geräte von Providern nicht erlaubt werden, kommen nur noch PPPoE-Clients in Frage, die zwei Ethernetschnittstellen besitzen und hinter dem ADSL-Modem des Service-Anbieters installiert werden. Diese Technologie ist weltweit einsetzbar. Folgende Cisco Geräte und Schnittstellen eignen sich für PPPoE hinter einem ADSL-Modem, das vom Provider gestellt wird: der Cisco 806 mit zwei Ethernet-Schnittstellen, die WIC-1ENET Interfaces im Cisco 1720 sowie alle Cisco-Router der Serien 1600, 2600 und 3600 mit mindestens 2 Ethernet-Interfaces oder 2 Fast Ethernet-Schnittstellen, wie etwa beim Cisco 1605 und 2611. Das drahtlose BSE342 übrigens unterstützt derzeit noch nicht den überlangen Benutzernamen von T-Online. Cisco Pix Geräte ab der Software Version 6.2.2 sind jedoch nur für DSL Flaterates geeignet, da sie kein IdleTimeout besitzen. Probleme bei PPPoE? In einigen Fällen kann es vorkommen, daß auf den PCs hinter einem PPPoERouter eine Verringerung der Standard-Ethernet-Paketgröße von 1500 auf 1492 Bytes vorgenommen werden muß, weil der PPP-Header zusätzliche 8 Byte erfordert. Wenn diese nicht geändert wird, können manche Java-Webseiten nicht geladen werden. Mehr hierzu finden auf der Seite Troubleshooting MTU Size in PPPoE Dialin Connectivity unter: http://www.cisco.com/warp/ public/794/router_mtu.html. Cisco bietet für Windows-gestützte PCs ein Tool an, mit dem man die MTU-Size sehr einfach verändern kann. 01 Ausgabe 01/2003 50 WATCHGUARD Tips & Tricks zur Firebox Teil 2: Adreßeingabe und Reboot Nach unserer Hotline-Erfahrung gibt es für den einen oder anderen Probleme beim Eingeben der IP-Adresse in die Firebox System-Software. Wenngleich das auf den ersten Blick eine recht triviale Sache zu sein scheint, ist die geforderte Art der Eingabe scheinbar nicht jedem auf Anhieb einsichtig. S Sie sollten beachten, daß die IPAdressen auf zwei verschiedene Arten eingetragen werden können, abhängig vom jeweiligen Kontext. Wenn Sie ein leeres Feld - ohne vorgegebene Punkte - vor sich sehen, so können Sie hier entweder einen Namen oder eine IP-Adresse eintragen. Weiterhin ist es erforderlich, die Punkte zwischen den einzelnen Adreßbereichen der IP-Adresse mit anzugeben. Wenn hingegen ein Eingabefeld erscheint, in dem sich bereits vorgegebene Punkte und ein Slash befinden, erkennen Sie hieran, daß in diesem Bereich nur eine IPAdresse plus Subnetmask eingegeben werden kann, aber kein Name. Sie müssen nun die IP-Adresse Zeichen für Zeichen eingeben, wobei Sie nach einem Oktet nun einen Punkt verwenden können oder auch nicht, doch wird auf keinen Fall ein weiterer Punkt per Eingabe angenommen. Besteht die Adresse in einem Teilbereich aus weniger als drei Zeichen, so ist es hingegen erforderlich, nach der letzten Zahl einen Punkt zu setzen, um zum nächsten Feld zu gelangen. Um die Subnetmask zu definieren, geben Sie auf der Tastatur erst ein Slash-Zeichen ein, um in den Bereich der Netmask zu wechseln. Auch hierdurch wird kein zusätzlicher Slash erzeugt. Um einen Eintrag im Feld Address only zu editieren, wechseln Sie an die gewünschte Stelle. Sie verwenden die Delete- oder Backspace-Taste, um Daten zu löschen. Anschließend geben Sie die neuen Werte ein. Reset der Firebox Die WatchGuard Firebox Systeme bieten uns zwei verschiedene Verfahren des Reboots an, Hard Reboot beziehungsweise Soft Reboot. Hard Reboot Da die Software der Firebox im NVRAM gespeichert und gestartet wird, und nicht auf einer physikalischen Festplatte in einem Filesystem liegt, stellt es im Prinzip kein Problem dar, einen Hard-Reboot durch das Unterbrechen der Stromversorgung einzuleiten. Aber bekanntlich gibt es keine Regel ohne Ausnahme. Denn Sie dürfen auf keinen Fall die Stromversorgung kappen, wenn gerade mit dem Policy-Manager das Image des Gerätes im Flash-Speicher gesichert wird. Ein Neustart der Firebox dauert etwa 20 bis 40 Sekunden. Das hängt von der Anzahl der zu startenden Services ab. Soft Reboot Es ist nicht möglich, mit Hilfe der Tabulator-Taste in ein weiteres Feld zu wechseln. Sie müssen alle Zahlen, Punkte und Slashes über die Tastatur eingeben. Im Policy-Manager finden Sie eine Reboot-Option, mit deren Hilfe Sie als Administrator die Firebox auch aus der Ferne zu einem Neustart bewegen können. Die Prozedur ist recht einfach. Sie gehen folgendemaßen vor. Nach dem Öffnen des Policy 01 Ausgabe 01/2003 51 Managers wählen Sie den Menüpunkt File / Reboot. Es folgt die Eingabe der externen IP-Adresse und des Read/Write Passwords. Mit einem Klick auf den Button OK ist alles getan. WatchGuard Vclass Security Workshops im Januar Mit Vor- und Nachmittagsveranstaltungen für Technik und Vertrieb startet die Security Initiative der CompuShack zum Jahresanfang eine Veranstaltungsreihe zu “WatchGuard Vclass”. Schon Ende Januar finden die jeweils halbtägigen technischen und vertrieblichen Workshops zu Watch Guard Security-Löungen statt. Im Technical Focus zeigt die Vorführung des VControllers die WatchGuard Security von ihrer praktischen Seite und demonstriert VPNs zwischen Vclass und Firebox III. Unter dem Sales Focus werden am Beispiel der Vclass vertriebliche Fragen besprochen, um kundenspezifische VPN-Lösungen empfehlen und plazieren zu können. Die Kalkulation eines VPN beantwortet Fragen zum Return on Investment. Hier die Termine: Neuwied: 23.01.2003 Hamburg: 28.01.2003 Potsdam: 29.01.2003 München: 30.01.2003 Die Teilnehmergebühr für einen der beiden halbtägigen Workshops beträgt 85,Euro. Wer beide Veranstaltungen besucht, zahlt nur 149,- Euro. h HOTLINE NOVELL Diagnose und Reparatur PKI-Diag für Certificate Server In der Technik News 12/2002 zeigten wir Ihnen, wie man vorgehen muß, wenn der Novell Certificate Server nicht mehr fehlerfrei läuft. Um festzustellen, ob es hier Probleme gibt, und wie diese sich äußern, bietet Novell das Tool PKIDIAG an. Wir wollen es Ihnen vorstellen. te man diese Objekte auch in anderen Container innerhalb des Trees anordnen. Die Empfehlung ist jedoch, alle in einem Container zu belassen. Wie kann Sie nun das Tool PKIDIAG bei der Überprüfung bzw. beim Anlegen von Certificate Objekten behilflich sein? PKIDIAG M Mit Tool dem PKIDIAG sind Sie recht schnell in der Lage, auf jedem Server zu prüfen, inwieweit die vorhandenen Zertifikate noch fehlerfrei arbeiten, und ob sie überhaupt vorhanden sind. Bestimmte Zertifikate lassen sich mittels PKIDIAG sogar wieder neu erzeugen. Um die Ausgaben und Auswertungen des Tools jedoch richtig einschätzen zu können, müssen wir jedoch die Zusammenhänge der NDS-Objekte und der entsprechenden Zertifikate kennen. HOTLINE Architektur Die Architektur der Novell Certificate Services basiert auf einer Reihe von Objekten, die miteinander verbunden sind und in einem direkten Zusammenhang stehen. Abgespeichert werden diese Informationen in den Server Zertifikaten. Ein Server Certificate-Objekt referenziert immer auf das KMO-Objekt (Key MaterialObjekt, Schema Definition NDSPKI: Key Material). Jedes Server-Objekt hat einen Link auf das SAS:ServiceObjekt und umgekehrt. Wenn sich mehrere Server im Tree befinden, hat das SAS:Service-Objekt zu jedem im Tree befindlichen Server einen Link zu dessen Server-Zertifikat. Nameskonvention Die Namensgebung der Server Certificate Objects hat ein fest definiertes Schema, welches die Zuordnung der einzelnen Objekte zu einem entsprechenden Server und umgekehrt vereinfachen soll. Im ObjektNamen finden Sie den <servername> wieder, so daß Sie direkt erkennen können, zu welchem Server ein Objekt gehört. Am Beispiel wird deutlich, daß wenn ein bestimmter Server den Namen DATENSERVER hat, und das Zertifikates CERTONE heißt, das Objekt den Namen CERTONE-DATENSERVER haben muß. Alle Objekte stehen, wenn der User keinen Einfluß darauf nimmt, im selben Container. Theoretisch könn- Das Tool wurde entwickelt, um die Verlinkung und die Präsenz der nötigen Certificate-Objekte zu prüfen und wenn nötig zu reparieren. Wenn z.B. ein Server umbenannt wurde oder innerhalb des Trees verschoben wurde können Sie mittels PKIDIAG das entsprechende Certificate-Objekt ebenfalls umbenennen oder verschieben, so daß die Links innerhalb der Zertifikate wieder stimmen und der Server nicht ohne ein gültiges Zertifikat bleiben muß. Sollte eines der benötigten Objekte nicht existieren, so wird es von PKIDIAG angelegt. Fehlen Rechte eines Objektes, werden diese von PKIDIAG wieder hinzugefügt. Auch verlorengegangene Links zwischen einzelnen Objekten können von PKIDIAG wiederhergestellt werden. Zwei Zertifikatstypen können von PKIDIAG erzeugt werden, zum einen das SSL CertificateIP und das SSL CertificateDNS. Modes Im PKIDIAG stehen dem Anwender zwei Betriebsmodi zur Verfügung, einmal der Diagnose-Mode und zum anderen der Fixing-Mode. Im DefaultMode hat PKIDIAG nur Diagnose- 01 Ausgabe 01/2003 52 Fähigkeiten (vgl. Abb. 2). Um Probleme zu beheben, müssen Sie den Mode ändern. Die Verfügbarkeit der Default IP und DNSAdresse des Servers wird überprüft. An dieser Stelle könnte der User eine andere Default IP oder DNSAdresse angeben. Im Fixing Mode kann der User das KMO-Objekt überprüfen und die Verlinkung wieder gerade biegen, wenn Fehler festgestellt werden konnten. Die Optionen, die es für das PKIDIAG gibt, können beim Starten über die Commandline angegeben werden. Die verfügbaren Optionen sehen Sie bei Eingabe der Zeile LOAD PKIDIAG /?. Diagnose und Fixing PKIDIAG checkt im Diagnose-Mode den Link zwischen Server und SAS Service-Objekt. Sollte der Link fehlen, passiert in diesem Betriebsmode erst einmal gar nichts. Im Fixing Mode können Sie entweder das entsprechende SAS Service-Objekt umbenennen, welches auf den Server zeigen soll. Oder Sie stellen den Link eines vorhandenen SAS Service-Objekts, welches schon den richtigen Servernamen enthält, mit dem Server wieder her. PKIDIAG überprüft ebenso den Link des SAS-Service zum Host Server hin, samt der erforderlichen Rechte. Im Fixing Mode können Sie ein neues SAS Service-Objekt erstellen und den Link zum Server herstellen. In diesem Fall werden beide Links forward und backward hinzugefügt. Oder Sie erzeugen einen Link vom SAS-Service-Objekt zum Server. Außerdem können Sie dem Server die nötigen Rechte auf das SAS-Service-Objekt geben. Zur Überprüfung des Links zu den KMO-Objekten liest PKIDIAG alle KMO Objects ein und prüft ihre Links zu den Servern. Es checkt die Namen auf eventuelle Unstimmigkeiten. Im Fixing-Mode kann es die KMO-Objekte verschieben oder umbenennen (vgl. Abb. 3) Abb. 3: PKIDIAG Fixmode Abb. 2: PKIDIAG Default Mode KMO-Objekte Das Tool liest die KMO-Objekte und fügt sie in eine Liste ein. Anschließend werden Tests an den Objekten durchgeführt. Es wird geprüft ob [Public] die richtigen Rechte hat, um die benötigen Attribute des Objektes auszulesen, und ob das KMOObjekt backlink ed zum Server ist. Abb. 1: Console One Screen der Security-Objekte Der Privat Key wird eingelesen und überprüft, ob er durch den Server verwendet werden kann. Um die Links der KMO-Objekte in umgekehrter Richtung zu überprüfen, liest PKIDIAG abermals alle KMO-Objekte, die einen Link zu einem Server haben, ein und vergleicht sie mit der zuvor erstellten Liste. Im Fixing Mode können Sie dann den Link vom SASService-Objekt zum 01 Ausgabe 01/2003 53 KMO-Objekt hinzufügen, ebenso den Back-Link vom KMO-Objekt zum Server. Sie Löschen des Links vom SAS-Objekt zum KMO-Objekt, wenn der Privat Key unbrauchbar wird. Zertifikate Zum Erzeugen der IP- und DNS-Zertifikate prüft PKIDIAG in einem ersten Schritt, ob das SSL Certifi cateIP und das SSL Certifica teDNS vorhanden sind. Im zweiten Schritt werden die Objekt-Namen überprüft, im dritten, ob die Gültigkeit der Objekte noch gegeben ist. Sollte hier irgendein Fehler auftauchen, gehen Sie wieder in den Fixing Mode, um die erforderlichen Eingriffe durchzuführen. Im default KMO Replacement Mode werden die Objekte entweder mit dem alten Namen neu angelegt, oder sie werden nur umbenannt. Weiterhin werden die Private und Public Keys durch neue ersetzt. Im Update Default KMO Mode werden neue Zertifikate erzeugt, wenn die vorhandenen Probleme machen. h HOTLINE VERITAS Neun Null Kleine Tips zu Backup Exec Einige NLMs sollten beim Einsatzes der Backup Exec for NetWare nicht geladen werden. Denn sie unterstützen das Dienstprogramm SBACKUP und konkurrieren mit Backup Exec. Was Sie gegen solche Probleme tun können, oder zu beachten haben, wenn Sie auf die Version 9 aktualisieren, sagt der Veritas Backup Support. HOTLINE B Beim Aktualisieren von älteren Versionen - einschließlich Beta - beachten Sie, daß nur jeweils eine Ver sion von Backup Exec for NetWare auf einem Server installiert sein kann. Wenn Sie von Backup Exec for NetWare Version 8.5 aktualisieren, werden Ihre Aufträge automatisch aktualisiert. Falls Sie im Partitions-Management-Modus installieren, werden Ihre Partitionsinformationen ebenfalls automatisch aktualisiert. Die neue Medien-Management-Funktion - selbst die begrenzte Version im Partitions-ManagementModus - erfordert einen Medieneinsatzverlauf, damit ersichtlich ist, welche Medien überschrieben werden können. Da dieser Verlauf in früheren Versionen von Backup Exec nicht enthalten war, werden alle mit der vorherigen Version erstellten Medien in den Mediensatz Importierte Medien plaziert. Diese benutzen die Standard-Medienmanagement-Optionen und dürfen nicht ohne Aufforderung überschrieben werden. An importierte Medien können auch keine Daten angehängt werden. Wenn bestimmte Medien überschrieben werden sollen, sollten Sie inventarisieren und manuell Medien des temporären Pools oder zu einem anderen Benutzermediensatz verschieben. NLMs unter NetWare 5 Die NLMs N W T A P E . C D M, SCSI2TP.CDM, DLTTAPE.CDM und EXATAPE.CDM sollten während des Einsatzes von Backup Exec for NetWare nicht geladen sein. Sie unterstützen das Dienstprogramm SBACKUP und konkurrieren mit Backup Exec um die an den Server angeschlossenen Mediengeräte. Wenn diese NLMs geladen sind, stellt der SureStart Loader sie fest und fordert Sie auf, sie vor dem Neustarten von Backup Exec zu entladen. Manchmal lädt NetWare 5 diese Treiber automatisch, wenn Sie NWPA. NLM während des Startens laden. Wenn Sie den Parameter /NA zur Zeile NWPA load hinzufügen, kann NWPA Treiber nicht mehr automatisch laden. Benutzen Sie NWPA auch zum automatischen Laden anderer CDM- und HAM-Treiber, so müssen Sie außer dem Parameters /NA spezifische Ladeerklärungen für diese Treiber zu Ihrer STARTUP.NCF hinzufügen. NICs für Sicherungen Um eine Netzwerkkarte (NIC) für Sicherungen und Wiederherstellungen festzulegen, müssen Sie die mit dieser NIC verbundene IP-Adresse kennen. Bei Medienservern müssen der Medienservername und die IP Adresse für die NIC zur lokalen Datei SYS:BKUP EXEC\ND MPSVRS.DAT des Medienservers hinzugefügt werden. Bei entfernten Servern muß der Name des Servers und die IPAdresse zur Datei SYS:BKUP EXEC\NDMPSV RS.DAT des Medienservers und des entfernten Servers hinzugefügt werden. Wird die Adresse während der Installation des entfernten Servers eingegeben, werden die Einträge automatisch hinzugefügt. Java Konsole Um die Java-basierte Administratorkonsole auf derArbeitsstation ausführen zu können, müssen Sie JRE (Java Runtime Environment) 1.1.7b oder 1.2.2 auf demjenigen NetWare Server ausführen, der als Medienserver im einsatz ist. Beide unterstützte JREVersionen sind auf der InstallationsCD enthalten. JRE Version 1.2.2 befindet sich im Verz eichnis N e t Ware\Utils\JDK\java122 und ist nur für NetWare 5.x verfügbar. JRE 1.1.7b befindet sich im Verzeichnis NetWare\Utils\JDK\java 117B und ist für NetWare 4.2 und NetWare 5.x verfügbar. Wenn Sie die Administratorkonsole auf der Arbeitsstation zu benutzen, muß Ihr Netzwerk für den Einsatz von IP konfiguriert sein. Ihre Arbeitsstation muß außerdem Ihren Servernamen zu einer IP-Adresse auflösen können. Dies geschieht via DNS oder durch eine manuelle Aktualisierung der HOSTS Datei der Arbeitsstation. 01 Ausgabe 01/2003 54 TOBIT TobiTips & Tricks Kommunikation, einfach gemacht Möchten Sie über Termine auch unterwegs auf dem Handy informiert werden, oder wollen Sie beispielsweise eingegangene Nachrichten im Orginal an Kollegen verteilen? Dann haben wir einige Tips, wie Sie sich die Kommunikation im Unternehmen wirklich einfach machen können. M Mit Hilfe des XMedia-Transports können Sie auch unterwegs immer rechtzeitig über anstehende Termine informiert werden, wenn diese auf dem Handy signalisiert werden. Hierzu ist es erforderlich für das Eingangsarchive eine neue Verteilregel anzulegen. Über den Menüpunkt Archive / Regeln wird eine neue Regel erstellt. Als Verteilkriterium dient Dokumententyp=Kalender. Zusätzlich ist über die Registerkarte das Weiterleiten zu aktivieren. Im Menüfeld Weiterleiten an wird die entsprechende Rufnummer eingetragen. Abgeschlossen wird die Konfiguration, indem unter Weiterleiten als der Datentyp SMS selektiert wird. Möchten Sie auch den Betreff eines Termins übermittelt bekommen, so ist zusätzlich unter dem Menüpunkt Includedateien / Vor Orginal-Nachricht eine Datei auszuwählen, welche den Inhalt # #subject# # besitzt. Verteilen der Hauspost Über die Funktion Nachrichten intern verteilen können Nachrichten im Orginal-Zustand an einen Benutzer des Unternehmens verteilt werden. Der Empfänger erhält eine Message mit dem Kommentar des Verteilers, die Orginal-Adresse ist aber die des ursprünglichen Absenders. Die zu verteilende Nachricht wird markiert und anschließend der Button verteilen selektiert. Hieraufhin öffnet sich ein Fenster, in dem alle bekannten User des Netzwerkes angezeigt werden. Neben der Auswahl des Empfängers kann bestimmt werden, ob die vorher selektierte Message als Orginal-Nachricht oder als Kopie verteilt werden soll. Der Kommentar kann im rechten Feld eingetragen werden. Durch Bestätigen mit OK wird die Verteilung angestoßen. Sobald der Empfänger die Nachricht öffnet, erscheint automatisch im Vordergrund ein Infofenster, welches den vorher erstellten Kommentar anzeigt. Dateilinks nutzen Sie besitzen z.B. eine Exceldatei, die in Ihrem Unternehmen als Telefonliste verwendet wird, und möchten diese nun allen Kollegen zugänglich machen, damit gemeinsame Ressourcen schnell und einfach verwendet werden können. Eine einfache Lösung besteht im Versenden der Telefonliste als sogenannter Link an jeden Empfänger. Bei einem Datei-Link geht es um nichts anderes, als um zu einer beliebigen Datei einen Verweis im Explorer oder im Web anzulegen, und diese im Tobit-Archive-System abzulegen. Hierzu definieren Sie zuerst im Archive-Baum des Tobit-InfoCenter das Archive, in dem alle zukünftigen Links abgelegt werden sollen. Nach dem Markieren des Archives selektieren Sie in der Menüleiste den Pfeil neben dem Button Neu und führen die Option Link aus. Im dem nun erscheinenden Fenster müssen Name und Pfad des gewünschten Links angegeben werden. Im Falle eines Web-Links ist der Pfad manuell einzutragen oder hineinzukopieren. Nach dem OK erscheint der neue Link im vorher ausgewählten Archiv. 01 Ausgabe 01/2003 55 Durch das Ausführen des Links mit einem Doppelklick der Maus öffnet sich die verlinkte Datei automatisch mit dem zugehörigen Programm. Im Beispiel unserer Exceldatei wird also zuerst Excel gestartet und anschließend unsere Telefonliste geöffnet. Nachrichtensperre Sicherlich sind Sie auch schon vor das Problem gestellt worden, daß z.B. bei einer Faxrundsendung gewisse Gegenstellen ausgeklammert werden sollten. Diese Funktion wird innerhalb der DvISE-Familie durch das sogenannte Robinson Verzeich nis bereitgestellt. Sie finden es unterhalb von Datenbanken im Dv-ISE-Administrator bei Windows NT oder 2000 oder aber im DvISE Service Layer bei einer NetWare-Installation. Die Adressen der Gegenstellen, an die keine Nachrichten versendet werden sollen, werden im Menüpunkt Adressen eingetragen. Auf diese Weise unterbindet die erstellte Robinsonliste unerwünschte Post. Ein Vorteil hierbei ist, daß die Adressen unabhängig vom Nachrichtentyp sind, sie können also als Rufnummer oder E-Mail Adresse hinterlegt werden. Eine Vereinfachung der Eingabe kann durch die Verwendung von sogenannten Wildcards (*) erzielt werden. Der Menüpunkt Bezeichnung sorgt für eine bessere Übersicht und Pflege der eingetragenen Daten. Zusätzlich gibt es eine Einstellung, ob die Gegenstellen generell keine Nachrichten empfangen sollen, oder ob diese Einschränkung z.B. nur bei Rundsendungen gelten soll. h HOTLINE NOVELL FAQs und Facts Interessante Tips der Deutschen Netware FAQ Von Stefan Braunstein Für Support-Anfragen sind etliche Hintergrundinformationen von Interesse. Je mehr über ein System bekannt ist, desto genauer kann eine Frage gestellt werden, und um so detaillierter wird eine Antwort ausfallen können. Daher zeigen wir diesmal u.a. die gängigen und gangbaren Wege, um solche System-Informationen zusammenzutragen. Außerdem geht es um die recht arbeitsaufwendigen Folgen, die eine Änderung der IP-Adresse bei NetWare 6 Servern nach sich zieht. Hilfe bei SupportAnfragen Je mehr Informationen über Ihre Systemumgebung bekannt sind, desto genauer und detaillierter kann eine Beantwortung von Support-Anfragen erfolgen. Besonders wenn Sie Fragen an ein Support-Forum im Internet oder an Newsgroups stellen, wo Fachleute Ihr System nicht kennen. Sie sollten genaue Angaben zur eingesetzten Hardware, zu Software, PatchStänden und Treiberversionen machen können. Einen Großteil dieser Angaben nimmt Ihnen das CONFIG.NLM ab, das Sie in aktuellen NetWare Support Packs, bei Novell im File Finder und natürlich auch auf der aktuellen Monats-CD finden. Es gibt verschiedene Hilfen, um Informationen für Support-Anfragen zusammenzutragen. HOTLINE Report Das Config-NLM erzeugt durch Eingabe von LOAD CONFIG /DS an der Serverkonsole einen umfassenden Report über Ihr System. Beachten Sie, daß der Aufruf auch unter NetWare 5.x und 6.x ein vorangestelltes LOAD erfordert, weil ansonsten der interne Befehle CONFIG aufgerufen wird. Durch Einsatz des Parameters /DS wir d zusätzlich ein VerzeichnisListing von C:\NWSERVER und SYS:SYSTEM mitsamt der aktuellen Werte der SET-Einstellungen erstellt, die allemal wichtige Informationen bieten. Dieser Report wird in der ASCII-Datei S Y S : S Y S T E M / CONFIG.TXT abgelegt. Log-Files Ab NetWare 4.11 ist zusätzlich die ASCII-Datei S Y S : S Y S T E M / ABEND.LOG interessant. Sie enthält die aufgetretenen Abends, soweit es noch möglich war, diese zu protokollieren. Kürzen Sie diese Datei auf die letzten zwei bis drei Einträge, wobei es wichtig ist, jeweils den Abend 1 beizubehalten. Alle weiteren Abends sind selten aufschlußreich, da sie nur Folgefehler des ersten Abends nach einem Server-Neustart widerspiegeln. Auch die ASCII-Datei SYS:ETC/ CONSOLE.LOG kann hilfreich sein. Sie enthält alle Eingaben bzw. Meldungen an der Systemkonsole. Dort müssen Sie dazu aber unter Umständen erst noch UNLOAD CONLOG eingeben, damit Sie die Datei kopieren können. Auch die Datei SYS: SYS T E M / S Y S $ L O G . E R R und ab NetWare 6.0 die SYS:SYSTEM/ BOOT$LOG.ERR liefern Erkenntnisse über allgemeine Fehlverhalten, die Sie unter Umständen sogar selbst lösen können. Hilfreiche Hinweise Geben Sie unbekannte Wörter, Begriffe oder Fehlermeldungen in die Suchmaschine der Novell Knowled- gebase ein. Sie erhalten oftmals hilfreiche Ansätze oder sogar die fertige Lösung präsentiert. Hier zahlt es sich aus, einen Server in Englisch installiert zu haben, weil deutsche Fehlermeldungen selten in der Knowledgebase zu finden sein werden. Sollten Sie NDS-Probleme im Netz haben, können die Dateien SYS:SYS TEM/DS*.LOG erste Hinweise auf mögliche Ursachen geben. In SYS: ETC gibt es weitere Log-Dateien, die von diversen NLMs erzeugt werden. Mit Hilfe dieser Angaben konnte ich schon des öfteren bei Kunden per Ferndiagnose Fehler aufspüren und beseitigen. Manche Indizien können Ihnen unversehens weiterhelfen. IP-Adresse ändern Die IP-Adresse eine NetWare 6 Servers zu ändern, ist eigentlich ganz einfach. Sie starten das INETCFG. NLM, ändern unter dem Menüpunkt Bindings die IP-Adresse, lösen ein Vorsicht bei Anfragen in öffentlichen Foren, wo Sie unbedingt vorher die Seriennummer Ihrer NetWare Version, die gleich am Anfang der Datei zu finden ist, löschen bzw. unkenntlich machen sollten und natürlich auch alle Paßwörter! 01 Ausgabe 01/2003 56 Eine Liste, unter http://www. novell.com/coolsolutions/ netware/features/a_ip_ changes_nw6.html beschreibt die notwendigen Änderungen. Doch Vorsicht, ihr Autor erhebt keinen Anspruch auf Vollständigkeit. REINITIALIZE SYSTEM aus. Und das wäre es auch schon fast gewesen, wenn da nicht noch diverse andere Dienste wären, die diese Adresse bei der Installation fest gespeichert haben. Denen muß diese Änderung meist durch manuelles Editieren von Konfigurationsdateien - mitgeteilt werden. Die Änderungsliste ist leider sehr umfangreich. Sie enthält neben der oben beschriebenen Anpassung in INETCFG viele andere Bereiche wie die Dateien SYS:etc\hosts, S Y S : e t c \ h o s t n a m e und SYS:ETC\FTPSERV.CFG. Sie verweist auf Dienste wie DNS/DHCP, Web Manager, Apache, iFolder, Web Access, NDS, SLP, Clients usw. und nennt viele weitere Punkte, an die Sie denken müssen. Und wie gesagt, sie erhebt nicht einmal den Anspruch, vollständig zu sein. Jede Adreßänderung stellt Ihr eigenes Risiko dar. Und wenn ich mir mögliche Auswirkungen auf das Laufverhalten des Servers vorstelle, weil versehentlich eine der Änderungen ausgelassen wurde, so sollte ab sofort eine vorherige gründliche Überlegung zur IPAdreßvergabe im Netzwerk selbstverständlich werden. Interessanterweise endet denn auch der obige Artikel mit dem kritischen Kommentar eines Lesers, Novell solle sich doch überlegen, diese IP-Adreßänderung als einen einzigen Schritt - ”one stop procedure” - zu realisieren. Stefan Braunstein, der Verwalter der Deutschen NetWare FAQ (www.net warefaq.de) und der NetzwerkUtility-Sammlung (www.netware files.de), liefert Technik-News-Lesern allmonatlich eine Serie mit Tips, Tricks und Tools rund um Novell NetWare und verwandte Themen. Sie erreichen den Autor über www.braunstein.de. Die angesprochenen TIDs (technical information documents) und weitere englischsprachige Informationen finden Sie in der Novell Knowledge Base: http://support.novell.com/ search/kb_index.jsp. Einen direkten Link zur NetWare FAQ haben Sie auch über Technik News online: www.technik-news.de. IP Ports bei NW 6 Vorletzte Ausgabe hatte ich die Nutzung eines Alternativpor ts für ARCserve 7 beschrieben, der die Kommunikation des ARCserve Clients mit dem Server wieder ermöglichte. Ich habe nun bei den NetWare Cool Solutions eine Zusammenstellung aller Ports gefunden, die ein NetWare 6 Server normalerweise belegt. Sie zeigt die Ports an und be- schreibt, ob die Zuordnung der Portadressen zu bestimmten Diensten jeweils auch geändert werden kann: http://www.novell.com/ coolsolutions/netware/ f e a t u r e s / t i p s / t_ports_matrix_nw.html. NOVELL Übersicht behalten Versionen und Plattformen Wenn Sie sich fragen, welche NDS-Version für welche NetWare verfügbar ist, wird Ihnen die folgende Übersicht helfen. Sie zeigt NDS-Versionen und die zugehörige Plattform. Produkt und Version NetWare 4.1 410PT8B (NDS 5) NetWare 4.2 NW4SP9 (NDS 6) NetWare 5.1 SP5 (NDS 7) NetWare 5.1 SP5 (NDS 8) eDirectory 8 eDirectory 8.5.x NetWare 6 (eDirectory 8.6) eDirectory 8.6.1 NetWare 6 SP2 (eDirectory 8.6.2) eDirectory 8.6.2 eDirectory 8.7 Build DS.nlm Version 5.18 DS.nlm Version 6.17 DS.nlm Version 7.60 DS.nlm Version 8.80 DS.nlm und DS.dlm Version 8.79 DS Version 85.27 DS.nlm Version 10110.29 DS Version 10210.43 DS.nlm Version 10310.29 DS Version 103xx.xx DS Version 10410.xx Anm.: Beachten Sie, daß ein eDirectory 8.x nicht gleichzusetzen ist mit einer NDS 8.x. 01 Ausgabe 01/2003 57 Plattformen NW 4.10 NW 4.11/4.2 NW 5.1 NW 5.1 NW 5.0, Win NT/2K NW 5.1, Win, Solaris NW 6 NW 5.1, NW 6, Win, Solaris, Linux NW 6 NW 5.1, NW 6, Win, Solaris, Linux NW 5.1, NW 6 v VORSCHAU WORKSHOPS - ROADSHOWS - SEMINARE Start with VoIP VPN Learning Cycle Die Zeit ist reif für Voice over IP. Im Rahmen ihrer DataVoice-Initiative veranstaltet Compu-Shack im Februar 2003 bundesweite Learning Cycles zu innovativen Voice over IP Technologien. Begleitende Workshops richteten sich nicht nur an Geschäftsführer und Vertriebsleiter als Business-Entscheider, sondern auch an Techniker, die sich über dieses vielversprechende Thema einen ersten fachlichen Überblick verschaffen wollen. I Im DataVoice Learning Cycle “Start with VoIP” lernen die Teilnehmer die vielfältigen Möglichkeiten und Vorteile kennen, die sich durch den Einsatz dieser innovativen Technologie ergeben. Sie erarbeiten anhand beispielhafter Lösungsszenarien gemeinsam mit erfahrenen Experten der Compu-Shack die technischen Grundlagen. Die Teilnehmer lernen, wie sie durch eine gezielte Analyse der individuellen Kundenanforderungen den Mehrwert von VoIP optimal ausschöpfen. DataVoice - converge it Um Technologien und Märkte richtig einschätzen zu können, klärt der DataVoice Learning Cycle alle technischen und vertrieblichen Fragen, um die Hürden beim Einstieg ins VoIP-Business ohne langen Anlauf nehmen zu können: • Marktpotential und Entwicklung • VoIP und IP-Telephony • Standards und Protokolle • TK-Anlagen IP-enabled • IP-Telefonie-Geräte • Quality of Service Lösungsszenarien mit Avaya MultiVantage und IP-Office schließen den eintägigen Workshop ab. Getränke, Snacks und ein Mittagessen sind im Preis von 149 Euro inbegriffen. Die Teilnehmerzahl ist begrenzt. Anmeldung per Fax an 02631 / 983–275 oder online im CompuShack Fachhandelsportal.Termine im nebenstehenden Kalender. Alle Anmeldungen zu Veranstaltungen der Compu-Shack können online unter: www.portal.compu-shack.com in der Rubrik Workshops erfolgen. WatchGuard Vclass Zum Auftakt der Security Initiative ins neue Jahr 2003 finden Ende Januar die ersten halbtägigen Workshops zu “WatchGuard Vclass” statt. Die Vorführung des VControllers und von VPNs zwischen Vclass und Firebox III geben einen praktischen Einblick in die WatchGuard Security. Vormittags stehen die technischen Besonderheiten im Mittelpunkt, während der Nachmittagsveranstaltung die vertrieblichen. Die Kosten betragen jeweils 85,- Euro, für beide Veranstaltungen nur 149,- Euro. VPN mit SonicWALL Ein zweiter Security Workshop im Februar hat Interoperabiltiät von SonicWALL VPNs und zu Komponenten anderer Hersteller zum Thema. Außer den SonicWALL Produkten und dem Global Management System (SGMS) geht es im Praxisteil um sichere wireless bzw. WAN-Verbindungen zu AVAYA bzw. BinTec. VPN Clients und Mobil-User runden den Workshop ab. (nur 149,- Euro) VORSCHAU Netzwerkseminare: Highlights im Februar/März 2003 Kursbezeichnung Managing a Microsoft Windows 2000 Network Environment Implementing and Supporting Microsoft Windows XP Professional Security Workshop mit Linux-Systemen Building Scalable Cisco Internetworks Kurs-Nr. MS 2126 MS 2272 Lin SEC Cis BSCI Termin 03.02. – 07.02.03 24.02 – 28.02.03 03.02 - 07.02.03 03.03. – 07.03.03 10.02.- 11.02.03 03.02. - 07.02.03 24.02 - 28.02.03 Veranstaltungsort Neuwied München Neuwied München Neuwied Neuwied München Preis / € 1.850,- 03.03.- 07.03.03 03.02. – 07.02.03 10.03 – 14.03.03 24.02 – 28.02.03 31.03. – 04.04.03 10.02. – 14.02.03 17.03 – 21.03.03 München Neuwied München München Neuwied Neuwied München 2.700,2.650,- 1.850,715,2.350,- VOICE OVER IP HIGHLIGHTS Cisco IP Telephony Cisco Unity System Engineer Cis CIPT Cis CUSE Cisco Voice over Frame Relay, ATM and IP Cis CVOICE Cisco IP Telephony Troubleshooting Cis IPTT Alle genannten Preise gelten zuzüglich der gesetzlichen Mehrwertsteuer. Das aktuelle Trainings-Programm finden Sie unter www.training.compu-shack.com, persönliche Beratung unter: 02631-983-317 oder per e-Mail an [email protected]. 2.780,2.750,- 01 Ausgabe 01/2003 58 MESSEN, ROADSHOWS, SEMINARE N 02 No 02/2003 Thema des Monats Februar VERÄSTELT Netzwerk bis zu fünfzig Sekunden völlig außer Gefecht setzen kann: Spanning-Tree. Das STP ist alt geworden und hält den heutigen Forderungen nach schneller Konvergenz, die gerade bei Anwendungen wie Voice oder Video over IP, von entscheidender Bedeutung ist, nicht mehr stand. Bedarf nach einem schneller konvergierenden Protokoll war schon länger angemeldet. Kürzlich wurde mit dem Standard 802.1w das neue Rapid STP verabschiedet. Als Weiterentwicklung des 802.1D soll RSTP die Netzwerke erobern. Uns stellt sich also die Frage, wo liegen die Unterschiede, was sind die Vorteile? In der kommenden Ausgabe wird unser Schwerpunktthema diese Fragen klären. Ausgehend von den Aufgaben und Problemen des “guten alten” Spanning-Tree, werden wir uns mit der Funktionsweise des RSTP beschäftigen. Wir werden die Kompatibilität zwischen den beiden Protokollen darstellen und Ihnen zeigen, wie Sie die Vorteile des neuen RSTP nutze n. Aus reifem Holz geschnitzt Rapid Spanning-Tree nach Standard 802.1w Von Markus Thelen Voice over IP, VPN und Network Security sind im Moment die herausragenden Themen. Längst ist bekannt, daß die wichtigste Grundlage für all diese neuen Dienste und Anwendungen eine zuverlässige Netzwerk-Infrastruktur ist. Man nutzt Bandbreiten von 1 Gbps und mehr und legt Netzwerke redundant aus. Dabei könnte man fast vergessen, daß im Layer 2 nach wie vor ein Protokoll arbeitet, das ein komplettes Praxis: Sicherheit nach Maß, Teil 3: Get secure - Stay secure, Teil 1: Kommandobrücke, Teil 2: Tips zu Nortel Networks Contivity Microsoft´s Sicherheitsarchitektur VLANs mit Enterasys´ NetSight Atlas Der Compu-Shack Trainingskalender 2003 informiert Sie über die Schulungen und Workshops des ersten Halbjahres. Er kann unter www.training.compu-shack.com downgeladen werden. Frühbucher erhalten bei einer Anmeldung von 60 Tagen im voraus bis zu 15% Rabatt. Demo-CDs und Trials können Sie kostenlos unter www.technik-news.de bestellen. Und unter http://portal.compu-shack.com finden Sie in der Medienübersicht alle verfügbaren Compu-Shack Kataloge, das TN Sonderheft “WLAN” und kostenlose Informationsbroschüren zu speziellen Technologiethemen und Services. Ausgewählte Termine 23.01.2003 28.01.2003 29.01.2003 30.01.2003 05.-08.02.2003 06.02.2003 11.02.2003 13.02.2003 18.02.2003 18.02.2003 19.-23.02.2003 19.02.2003 20.02.2003 13.-20.03.2003 CS: Security Learning Cycle “WatchGuard Vclass” CS: Security Learning Cycle “WatchGuard Vclass” CS: Security Learning Cycle “WatchGuard Vclass” CS: Security Learning Cycle “WatchGuard Vclass” LearnTec Karlsruhe CS: DataVoice Learning Cycle “Start with VoIP” CS: DataVoice Learning Cycle “Start with VoIP” CS: DataVoice Learning Cycle “Start with VoIP” CS: DataVoice Learning Cycle “Start with VoIP” CS: Security Learning Cycle “VPN mit SonicWALL Bildungsmesse CS: Security Learning Cycle “VPN mit SonicWALL CS: Security Learning Cycle “VPN mit SonicWALL CeBIT 2003 Hannover 01 Ausgabe 01/2003 59 Neuwied Hamburg Potsdam München Hamburg Neuwied Potsdam München Neuwied Köln Potsdam München portal 01 Ausgabe 01/2003 60