Net-Design
Transcription
Net-Design
Enterasys Networks – Design Guide I Enterasys Networks – Design Guide INHALTSVERZEICHNIS 1 EINLEITUNG..................................................................... 1 2 ZIELGRUPPE.................................................................... 2 3 TECHNOLOGIE ................................................................ 3 3.1 3.2 3.3 3.4 ETHERNET...........................................................................................................3 3.1.1 Das Paketformat.........................................................................................3 3.1.2 Der Schritt zu 100 MBit/s.............................................................................8 3.1.3 Der Schritt von 100 auf 1000 MBit/s........................................................... 11 3.1.4 Von 1000 auf 10.000 MBit/s ...................................................................... 13 3.1.5 Fazit ............................................................................................. 13 10-GIGABIT -ETHERNET - DIE LÖSUNG FÜR UNTERNEHMENSNETZWERKE .................. 13 3.2.1 Warum 10-Gigabit Ethernet für Unternehmensnetzwerke? .......................... 14 3.2.2 Die wesentlichen Merkmale des 10-Gigabit Ethernet Standards .................. 16 3.2.3 Treiber von 10-Gigabit-Ethernet................................................................. 18 AUTO NEGOTIATION............................................................................................ 24 3.3.1 Einschränkungen bei Auto-Negotiation....................................................... 25 3.3.2 Was bedeutet „Auto Negotiation“ – Begriffsabgrenzung.............................. 25 3.3.3 Warum funktioniert Auto Negotiation – Definitionen & Standards ................. 26 3.3.4 Was passiert beim Auto Negotiation – Prozess ........................................... 28 3.3.5 Was ist bei der Einstellung von Netzwerkkomponenten zu beachten............ 28 3.3.6 Kontrolle und Diagnose............................................................................. 30 3.3.7 Literatur zu Auto Negotiation ..................................................................... 32 SWITCHINGTECHNOLOGIE.................................................................................... 33 II Enterasys Networks – Design Guide 3.5 4 Cut Through Switch .................................................................................. 33 3.4.2 Store & Forward Switch............................................................................. 34 ENTERASYS NETWORKS SWITCHLÖSUNGEN........................................................... 34 LAYER 2 PROTOKOLLE ................................................ 36 4.1 SPANNING TREE................................................................................................. 36 4.2 VIRTUAL LOCAL AREA NETWORKS (VLAN) ............................................................ 37 4.3 4.4 5 3.4.1 RAPID SPANNING TREE NACH IEEE 802.1 W ......................................................... 38 4.3.1 Overview of RSTP..................................................................................... 38 4.3.2 Overview of protocol changes ................................................................... 39 4.3.3 Port Role Assignments .............................................................................. 39 4.3.4 RSTP BPDU format................................................................................... 40 4.3.5 RSTP / STP interoperation......................................................................... 47 MULTIPLE SPANNING TREE (MST) NACH 802.1S .................................................... 48 4.4.1 MST Conformance Requirements .............................................................. 48 4.4.2 SST and MST Regions .............................................................................. 49 4.4.3 Interoperability between SST and MST....................................................... 51 4.4.4 The Common Spanning Tree ..................................................................... 51 4.4.5 Internal Sub-Tree Protocol (ISTP) and MST Protocol................................... 52 4.4.6 ISTP BPDU (I-BPDU)................................................................................. 52 4.4.7 Summary ............................................................................................. 53 LAYER 3 KOMMUNIKATION......................................... 54 III Enterasys Networks – Design Guide 5.1 IP ADRESSIERUNG ............................................................................................. 54 5.2 ROUTER ............................................................................................................ 55 5.3 ROUTIN- PROTOKOLLE ....................................................................................... 59 6 MULTICAST.................................................................... 60 6.1 VORBEMERKUNGEN ZUR ERLÄUTERUNG VON MULTICASTS ...................................... 60 6.2 GRUNDLAGEN.................................................................................................... 60 7 6.2.1 Adressierung von Daten ............................................................................ 61 6.2.2 Multicast-Adresse..................................................................................... 61 6.2.3 Dynamische An- /Abmeldung. ................................................................... 62 6.2.4 Multicast-Routing-Protokolle ..................................................................... 62 6.2.5 Distance Vector Multicast Routing Protocol (DVMRP) ................................. 63 6.2.6 Multicast OSPF (MOSPF) .......................................................................... 63 6.2.7 Protocol Independent Multicast (PIM)......................................................... 63 6.2.8 PIM Dense Mode ...................................................................................... 64 6.2.9 PIM Sparse Mod-eine neue Idee................................................................ 64 LAYER 3 PROTOKOLLE ................................................ 65 7.1 OSPF............................................................................................................... 65 IV Enterasys Networks – Design Guide 7.2 8 7.1.1 RFCs ............................................................................................. 65 7.1.2 Funktionsweise......................................................................................... 65 7.1.3 Das Areakonzept ...................................................................................... 66 7.1.4 Metrik 7.1.5 OSPF Router Classification ....................................................................... 67 7.1.6 Virtual Links ............................................................................................. 68 7.1.7 Spezielle Areas ......................................................................................... 69 7.1.8 LSA – Link State Advertisements ............................................................... 70 7.1.9 Designated Router .................................................................................... 71 7.1.10 Infos und Links: ........................................................................................ 71 ............................................................................................. 66 VRRP VIRTUAL ROUTER REDUNDANCY PROTOCOL................................................ 71 7.2.1 Grundlagen ............................................................................................. 71 7.2.2 Designbeispiele für Enterasys Expedition Router ........................................ 72 7.2.3 Hochverfügbarkeit mit symmetrischem Loadbalancing ............................... 73 7.2.4 Hochverfügbarkeit für mehrere Sub-Netze und „neuen“ virtuellen Adressen. 74 7.2.5 Tipps und Tricks ....................................................................................... 74 UPN UND IEEE 802.1X................................................... 76 8.1 AUSGANGSSITUATION ......................................................................................... 76 8.2 BESCHREIBUNG DES AUFBAUS............................................................................. 77 8.3 EINSTELLUNGEN IN WINDOWS 2000 ADVANCED SERVER ......................................... 78 8.3.1 Konfiguration des Routing and Remote Access Service (RRAS) für die Unterstützung der benötigten uthentisierungsmethoden ............................. 78 8.3.2 Konfiguration des Internet Authentication Service (IAS) für die Zuweisung unterschiedlicher Rollen ............................................................................ 81 V Enterasys Networks – Design Guide 8.4 8.5 9 EINSTELLUNGEN NETSIGHT POLICY MANAGER ....................................................... 88 8.4.1 Rollenzuweisung....................................................................................... 88 8.4.2 Servicezuweisung ..................................................................................... 89 8.4.3 Authentisierung......................................................................................... 92 8.4.4 WEB-Logon ............................................................................................. 94 8.4.5 IEEE 802.1X ............................................................................................. 95 8.4.6 Definition von Virtuellen LANs (VLANs)....................................................... 96 BENUTZER INNERHALB EINES USER PERSONALIZED NETWORK................................. 98 SICHERHEIT................................................................. 101 9.1 9.2 EINE GANZHEITLICHE SICHERHEITSSTRUKTUR FÜR DAS UNTERNEHMENSNETZWERK . 101 9.1.1 Unsere Informationstechnik (IT) funktioniert, aber ist sie auch sicher?........ 102 9.1.2 Sicherheit spielt die Hauptrolle ................................................................ 102 9.1.3 Wer ist PETE?......................................................................................... 104 9.1.4 Einführung von Secure Harbour TM ............................................................ 104 9.1.5 Secure Harbour TM ................................................................................... 105 9.1.6 Welche Enterasys-Produkte beinhalten Secure Harbour TM?....................... 105 9.1.7 Secure Harbour TM – ein „ganzheitlicher Ansatz“ für die Netzwerksicherheit 106 DRAGON ......................................................................................................... 107 9.2.1 Nutzen eines Intrusion Detection Systems................................................ 107 9.2.2 Unternehmensweite Abläufe.................................................................... 107 9.2.3 IDS – Intrusion Detection System............................................................. 108 9.2.4 Sicherheit als dynamischer Prozess ......................................................... 108 9.2.5 Implementierung ..................................................................................... 110 9.2.6 Der Hostsensor....................................................................................... 110 9.2.7 Der Netzwerksensor................................................................................ 111 9.2.8 Auswertung und Korrelation .................................................................... 112 VI Enterasys Networks – Design Guide 9.2.9 10 Fazit ........................................................................................... 112 VOICE OVER IP – EINE GESAMTPLANUNG .............. 113 10.1 EINLEITUNG ..................................................................................................... 113 10.2 GRUNDSÄTZLICHE DESIGNKRITERIEN FÜR KONVERGENTE NETZE............................ 113 10.2.1 Verfügbarkeit.......................................................................................... 114 10.2.2 Wirtschaftlichkeit, Managebarkeit ............................................................ 114 10.2.3 Sicherheit 10.2.4 Konvergenzfähigkeit................................................................................ 114 10.2.5 Die LAN Infrastruktur............................................................................... 115 10.2.6 Logisches Konzept (IP Adressen, Vlan und QoS Definition) ....................... 115 10.2.7 IP- und Vlan Zuweisung........................................................................... 115 10.2.8 QoS Definition – Traffic Management: ...................................................... 117 10.2.9 Gesamtkonzept Beschreibung................................................................. 118 ........................................................................................... 114 10.2.10 Standort Hemsbach................................................................................ 119 11 WIRELESS LAN ............................................................ 132 11.1 WESHALB WIRELESS TECHNOLOGIEN EINSETZEN? ............................................... 132 11.2 WELCHE MÄRKTE WERDEN MIT WLAN ADRESSIERT ?........................................... 132 11.3 WAS WIRD ALS WLAN BEZEICHNET ?.................................................................. 132 11.4 SICHERHEIT..................................................................................................... 135 VII Enterasys Networks – Design Guide 11.5 MANAGEMENT DER ACCESS POINTS................................................................... 136 11.6 AUSLEUCHTUNG .............................................................................................. 136 12 WIDE AREA NETWOK (WAN) ...................................... 137 12.1 13 WAN VERBINDUNGSARTEN ............................................................................... 137 12.1.1 Paketvermittelnde Verbindung ................................................................. 137 12.1.2 Leitungsvermittelnde Verbindung............................................................. 138 NETZWERKMANAGEMENT MIT NETSIGHT ATLAS 142 13.1 ÜBERWACHUNG UND VERWALTUNG VON NETZWERKEN ......................................... 142 13.2 PERFORMANCE -MANAGEMENT .......................................................................... 142 13.3 KONFIGURATIONS-MANAGEMENT....................................................................... 142 13.4 ACCOUNTING-MANAGEMENT ............................................................................. 143 13.5 FEHLER-MANAGEMENT ..................................................................................... 143 13.6 SICHERHEITS-MANAGEMENT ............................................................................. 143 13.7 IT IN WETTBEWERBSVORTEILE UMSETZEN - NETZWERKMANAGEMENT MIT NET SIGHT ATLAS VON ENTERASYS NETWORKS.............................................. 143 13.7.1 NetSight Atlas Console – Device- und System-Management..................... 144 13.7.2 NetSight Policy Manager - Rollenbasiertes System-Management für VIII Enterasys Networks – Design Guide Unternehmen.......................................................................................... 146 13.7.3 Netsight Atlas ACL Manager – zentrales Verwalten von komplexen Zugangskontrollen .................................................................................. 147 13.7.4 Netsight Atlas Inventory Manager – Inventarisierung der vorhandenen Infrastruktur ........................................................................................... 148 14 VIRTUAL PRIVATE NETWORK (VPN) ......................... 150 14.1 15 ÜBERBLICK ÜBER IPSEC ................................................................................... 150 14.1.1 Was ist IPSec?........................................................................................ 150 14.1.2 IPSec Pakete, Header und Modi .............................................................. 151 14.1.3 Security Association (SA)......................................................................... 153 14.1.4 Internet Key Exchange (IKE)..................................................................... 153 DESIGNS....................................................................... 156 15.1 NETZWERKDESIGN BASICS ................................................................................ 156 15.1.1 Der Layer 2 ........................................................................................... 156 15.1.2 Der Layer 3 ........................................................................................... 156 15.1.3 Das klassische Layer 2 Netzwerk............................................................. 156 15.1.4 Das klassische Layer 3 Netzwerk............................................................. 156 15.1.5 Die Kombination von Layer 2 und 3 Netzwerken....................................... 157 15.1.6 Erweitere Möglichkeit von Layer 2 und 3 Netzwerken................................ 157 15.1.7 Layer2/3 Netzwerke basierent auf Spanning Tree ..................................... 158 15.1.8 Layer2/3 Netzwerke one-for-one VLAN Konfiguration ............................... 159 15.1.9 Layer2/3 Netzwerke one-in-middle VLAN Konfiguration............................ 160 15.1.10 Layer2/3 Netzwerke mit all-in-one Vlan Konfiguration................................ 161 IX Enterasys Networks – Design Guide 15.2 16 BEISPIEL XSR UND VPN ................................................................................... 162 15.2.1 Die Ausgaben der VPN-relevanten SHOW-Befehle ................................... 174 15.2.2 Anzeige der aktiven Tunnel...................................................................... 175 15.2.3 Beispiel Site to Site VPN unter Nutzung von XSR´s über ISDN................... 175 15.2.4 Wireless LAN Beispiel Punkt-zu-Punkt-Konfiguration................................ 179 15.2.5 Wireless-LAN Beispiel Punkt-zu-Punkt Konfiguration mit VPN................... 179 15.2.6 Wireless-LAN Beispiel Punkt-zu-Multipunkt Konfiguration......................... 180 15.2.7 Wireless LAN Beispiel Punkt zu Multipunkt Konfiguration mit VPN............. 182 AUSBLICK .................................................................... 183 Wir bitten um Ihr Verständnis, dass einige Passagen in diesem Guide im englischen Original belassen wurden. Eine wörtliche Übersetzung würde den technischen Sachverhalt nicht mehr klar darstellen können. X Enterasys Networks – Design Guide 1 Einleitung Seit einiger Zeit bietet Enterasys Networks seinen Partnern, Consultants und Kunden den „Solution Guide“ als ein deutschsprachiges Informationsmedium an. Dieser wird nicht nur zur Informationsgewinnung, sondern häufig auch als ein Instrument zur Planung von modernen Datennetzwerken genutzt. Aus dieser Erkenntnis heraus wurde die Idee geboren, einen speziellen „Design Guide“ zu erstellen, der tiefer in die Materie eintaucht und dessen erste Ausgabe Sie nun in Händen halten. Der Schwerpunkt dieses neuen Guides liegt bei Design und Planungsaspekten. Dabei wurde großen Wert darauf gelegt, die Lösungen standardbasierend vorzustellen und den Mehrwert, der durch eine intelligente Kombination dieser Standards entsteht, zu erläutern. Der Aufbau des Guides gliedert sich zunächst in die Beschreibungen verschiedener Technologien und Standards und mündet schließlich in den Designbeispielen. Zu Beginn des Guides werden Grundkenntnisse von Datennetzwerken ausgeführt (Ethernet Frame, Ethernet, Fast Ethernet, Gigabit Ethernet, 10 Gigabit Ethernet). Es erfolgt anschließend ein Überblick über die wichtigsten Protokolle, die bei den im letzten Teil des Guides dargestellten Designs Verwendung finden. Bei den Designs wurde – wie bereits erwähnt – Wert auf die Standardkonformität der Beispiele (Layouts) geachtet, so dass eine Umsetzung in Vertikalmärkten (z.B. Gesundheitswesen, Energieversorgung oder Bildung) leicht möglich ist. Der vorgelegte Guide ist ein „lebendes“ Dokument und wird regelmäßig erweitert, ergänzt und den aktuellen Entwicklungen (HW + SW) angepasst werden. Über Feedback würden wir uns freuen. Bitte informieren Sie hierzu Ihren lokalen Enterasys Presales Ansprechpartner. Viel Spaß und Erfolg beim Lesen wünscht Ihnen Ihr Enterasys Technik Team 1 Enterasys Networks – Design Guide 2 Zielgruppe Der Design Guide soll dem Leser, der mit der Planung und Realisierung von Datennetzen betraut ist, als Grundstock für die Projektierung dienen. Durch seine komprimierte Form – sozusagen „kurz und bündig“ – kann er als Nachschlagewerk sowohl für die für die Planung wesentlichen Rahmenparameter als auch bei konkreten Umsetzungen von Designs verwendet werden. Natürlich wird manches Detail bei der Umsetzung in einem aktuellen Projekt unterschiedlich sein. Um Sie auch an dieser Stelle unterstützen zu können, möchten wir Sie bitten, entweder mit den Enterasys Partnern oder direkt mit uns Kontakt aufzunehmen. 2 Enterasys Networks – Design Guide 3 Technologie 3.1 3.1.1 ETHERNET DAS PAKETFORMAT Beim Ethernet handelt es sich um ein so genanntes paketvermittelndes Netzwerk. Dies bedeutet, dass die zu übertragenden Daten in kleinere Einheiten aufgeteilt werden, die man als Pakete (Packets) oder Rahmen (Frames) bezeichnet. Dabei sucht sich jedes Paket autonom seinen Weg durch das Netzwerk. Auf der Empfängerseite werden die einzelnen Teilsendungen dann wieder zusammengefügt. Das ursprüngliche Ethernet war ein logischer Bus, auch dann, wenn es physisch nicht als Bus implementiert war. Das bedeutet, dass eine sendende Netzwerkstation von allen Netzwerkteilnehmern gehört wird. Der Ethernet-Controller der Empfangsstation entscheidet auf Grund der Zieladresse (MAC-Adresse), welche Nachrichten für ihn bestimmt sind. Alle anderen Nachrichten werden ignoriert. 3.1.1.1 Typen von Ethernet Paketen Abbildung 1: Ethernet Typen 3 Enterasys Networks – Design Guide Die Länge der einzelnen Abschnitte wird in Tabelle 1 beschrieben. Ethernet-Paket Komponente Bytes Anmerkungen Präambel 7 101010...101010, Taktsynchronisation Rahmenbegrenzer 1 10101011 dient der Ab hier eigentliches Datenpaket und Kollisionserkennung Zieladresse 6 MAC-Adresse Quelladresse 6 MAC-Adresse Datenlänge 2 Daten 0 1500 Padding 0 - 46 „Füllmaterial“, damit das Datenpaket 64 Byte lang wird. Prüfsumme FCS 4 Anhand der Prüfsumme kann der Empfänger erkennen, ob das Paket korrekt angekommen ist. Tabelle 1: Ethernet Packet 3.1.1.2 CSMA/CD als Grundlage von Ethernet Abbildung 2: CSMA/CD Ablaufdiagramm 4 Enterasys Networks – Design Guide Das Ethernet-Protokoll basiert auf den Teilkomponenten Multiple Access, Carrier Sense und Collision Detection: Multiple Access (MA): Alle Ethernet-Stationen greifen unabhängig voneinander auf das gemeinsame Übertragungsmedium (shared medium) zu. Carrier Sense (CS): Wenn eine Ethernet-Station senden will, so prüft sie zuerst, ob gerade eine andere Kommunikation läuft. Ist das Medium besetzt, so wartet die Station bis zum Ende der Übertragung und eine zusätzliche Zeitspanne von 9,6µs. Ist das Medium frei, so beginnt die Station sofort zu senden. Collision Detection (CD): Während des Sendens beobachtet die sendende Station das Medium, um mögliche Kollisionen mit anderen Sendestationen zu erkennen. Wenn sie während des Sendevorganges keine Störung erkennt, die auf eine Kollision mit einem anderen Paket zurückgeführt werden kann, gilt das Paket als erfolgreich versendet. Wenn die Sendestation eine Kollision erkennt bricht diese ihre Übertragung ab und sendet ein "Jamming" Signal (101010... = AAAAAAAA), wartet eine Zeit von 9,6µs zzgl. einer zufälligen Zeitspanne, die von der Anzahl der bisherigen Fehlversuche für dieses Paket abhängt (Binary Backoff) und unternimmt dann einen erneuten Sendeversuch an den Bus. Dieses Verfahren funktioniert aber nur dann zuverlässig, wenn die sendende Station die Kollision entdecken kann, bevor die Übertragung des Paketes abgeschlossen ist. Dabei ist zu berücksichtigen, dass die Ausbreitung von Signalen auf Leitungen mit endlicher Geschwindigkeit geschieht. Für einen erfolgreichen Einsatz des CSMA/CD-Protokolls muss die doppelte maximale Laufzeit zwischen zwei Stationen kürzer sein als die Übertragungsdauer der kürzesten zulässigen Pakete. Ausgehend von der Tatsache, dass die minimale Paketlänge eines EthernetPakets 64 Byte (= 512 Bits) beträgt, muss also sichergestellt sein, dass die maximale Signallaufzeit (Round Trip Delay - RTD) 512 "Bitzeiten" nicht übersteigt. Bei einer Datenrate von 10 Mbit/s dauert die Übertragung eines Bit 100 ns, so dass das RTD kleiner als 51,2 µs sein muss. 3.1.1.3 Erlaubte Verzögerungszeiten Gemäß den Ethernet-Vorgaben dürfen die verschiedenen aktiven und passiven Komponenten Verzögerungszeiten verursachen. Die folgende Tabelle zeigt Beispiele für 10MBit Ethernet: 10 MBit/s Komponente Bit-Zeit Controller Senderichtung 3 Controller Empfangsrichtung 7 Transceiver-Kabel (2m) 0,25 5 Enterasys Networks – Design Guide Transceiver Senderichtung 3 Transceiver Empfangsrichtung 5 Repeater 8 Inter-Repeater Link 25 1 Bit-Zeit = 100ns Tabelle 2: Ethernet Bit-Zeit 3.1.1.4 Späte Kollisionen Um zu bestimmen, ob eine Verbindung zwischen zwei Stationen den RTD-Bedingungen genügt, sind die Bitzeiten aller beteiligten Komponenten zu addieren. Die Summe darf nicht größer sein als die minimale Paketlänge in Bit (512). Ist diese Bedingung nicht erfüllt und treten Kollisionen erst nach den 512 Bit-Zeiten auf, spricht man von so genannten Late Collisions. Diese können von den Ethernet-Controllern nicht erkannt werden, weil sie das Paket vermeintlich schon komplett gesendet haben, bevor die Störung auf dem Medium erkannt wurde. Dennoch wird das Netzwerk im Allgemeinen funktionieren, da die Protokolle der höheren Schichten diese verlorenen Pakete meist erneut anfordern, wie dies beispielsweise bei TCP der Fall ist. Wenn beim nächsten Sendeversuch keine Kollision mit der zu weit entfernten Station auftritt, kann das Paket doch noch erfolgreich übertragen werden. Allerdings wird die Leistungsfähigkeit des Netzwerks wesentlich beeinträchtigt, da immer mehr Bandbreite für Retransmissionen von Datenpaketen genutzt wird. 3.1.1.5 MAC-Adressen Um sicherzustellen, dass keine identischen Adressen in einem Netzwerk auftreten, werden die Ethernet-Adressen (auch als MAC-Adressen bezeichnet) von den Herstellern fest in der Hardware kodiert. Die Verteilung erfolgt dabei nach dem folgenden Schlüssel: MAC-Adresse Bits Anmerkungen 47 1, wenn es sich bei der Zieladresse um eine Gruppenadresse für Multi- oder Broadcasts handelt. Sonst 0. 46 0, wenn es sich um eine global verwaltete Adresse handelt (nach IEEE). 1, wenn es sich um eine lokal verwaltete Adresse handelt (für private Netze) 45 - 24 Hersteller-Identifikation. Wird durch die IEEE vergeben. 23 - 0 Adapter-Identifikation. Wird durch den Hersteller vergeben. Tabelle 3: Ethernet Packet Bit-Positionen 6 Enterasys Networks – Design Guide Die meisten Ethernet-Controller können auch Pakete empfangen und an die höheren Schichten weitergeben, die nicht für sie bestimmt sind. Man bezeichnet diese Betriebsart als "Promiscuous Mode". Dieser Modus stellt ein wesentliches Sicherheitsrisiko dar, da er die Realisierung von so genannten Netzwerk-Sniffern erlaubt, die den gesamten Verkehr auf einem Netzwerk beobachten können. 3.1.1.6 Vom Koax-Bus zum Twisted-Pair-Stern Ursprünglich sah die Ethernet-Spezifikation Koaxialkabel als Übertragungsmedium vor. Je nach Qualität der Kabel wurden dabei Thick Coax (10Base-5) und Thin Coax (10Base-2) unterschieden. Letzteres wird auf Grund der geringen Kosten auch als Cheapernet bezeichnet. Bei der Nutzung eines Koaxialkabels sind drei Punkte hervorzuheben: • Es handelt sich auch in der Implementierung um einen physischen Bus, an den die Stationen angehängt werden. Hierzu dienen T-Stücke, die in das Kabel eingesetzt werden (so genannte Vampirstecker). • Für eine Kollisionserkennung muss die sendende Station den Zustand auf dem Kabel überprüfen. Stimmen die dort vorliegenden Pegel nicht mit den gesendeten Signalen überein, wird dies als Kollision erkannt. • In diesem Zusammenhang ist auch wichtig, dass die Kabelenden mit angepassten Widerständen abgeschlossen werden, um Reflexionen zu vermeiden, die unter Umständen als Kollisionen erkannt würden. Koaxialkabel weisen jedoch eine Reihe von Nachteilen auf. So müssen beispielsweise für den Einbau weiterer Stationen Kabel aufgetrennt werden, wodurch für eine gewisse Zeit keine Übertragung möglich ist. Deshalb wurde der Standard 1990 im Rahmen des 10Base-T für den Einsatz von Twisted-Pair-Kabeln erweitert. 3.1.1.7 Twisted-Pair Die Nutzung von Twisted-Pair-Kabeln stellt in einigen wichtigen Punkten eine Abkehr von den ursprünglichen Mechanismen dar: • In den Koaxialkabeln werden Sendekanal (Transmit - Tx) und Empfangskanal (Receive - Rx) voneinander getrennt und jeweils auf einem Leitungspaar übertragen. • Eine Kollision wird erkannt, wenn während des Sendens auf dem Tx-Leitungspaar Pakete auf dem Rx-Leitungspaar empfangen werden. • Wenn zwei Teilnehmer unmittelbar miteinander kommunizieren wollen (Point-to-PointVerbindung), dann muss der Sendekanal der einen Station mit dem Empfangskanal der anderen Station verbunden werden. Dies erfolgt mit einem so genannten gekreuzten Kabel (Crossover-Kabel). • Wenn mehr als zwei Teilnehmer miteinander kommunizieren wollen, dann wird ein Hub als zentrale Station benötigt. Dieser gibt die Signale, die er auf dem Rx-Leitungspaar eines Ports empfangen hat, im einfachsten Fall an allen anderen Ports auf dem TxLeitungspaar wieder aus. Damit kann jede Station, die an diesen Hub angeschlossen ist, die Pakete auf ihrem Rx-Kanal empfangen. Wichtig dabei ist jedoch, dass der Hub die Pakete nicht auf den Port der sendenden Station zurückschickt. In diesem Fall würde die sendende Station Aktivität auf dem Empfangskanal detektieren, die dann als Kollision gedeutet würde. Allerdings erlaubt diese Trennung der Kanäle auch den Betrieb in einem Vollduplex-Modus, der 1997 in dem ergänzenden Standard 802.3x verabschiedet wurde. Dieser Modus basiert im 7 Enterasys Networks – Design Guide Wesentlichen darauf, dass es erlaubt ist, sowohl auf dem Sende- als auch auf dem Empfangskanal zu übertragen und die Kollisionserkennung zu deaktivieren. 3.1.1.8 Glasfaser für längere Strecken bzw. einen Backbone Nachteilig an der Übertragung sowohl über Koaxialkabel als auch über Twisted-Pair-Kabel ist die limitierte Reichweite. Beim Twisted-Pair-Kabel ist das elektrische Signal nach etwa 100 m so weit abgeschwächt, dass es durch einen Repeater wieder aufgefrischt werden muss. Bei den Koaxialkabeln sind Reichweiten von 500 m bei 100Base-5 (die Zahl 5 entspricht 500 m) und von 185 m bei 10Base-2 (die Zahl 2 steht für ein aufgerundetes 1,85) erreichbar. Je mehr Repeater jedoch eingesetzt werden, desto größer werden die Verzögerungszeiten und es kommt zu späten Kollisionen. Dementsprechend eignen sich Kupferkabel nicht für den Einsatz als Backbone zur Verbindung verschiedener Gebäude auf einem Campus. Aus diesem Grund wurden zwei weitere Standards aufgenommen, die die Übertragung von optischen Signalen über Glasfaserverbindungen beschreiben. Auf diese Weise lässt sich ohne Repeater eine Entfernung von 2 km überbrücken. Von den insgesamt drei verabschiedeten Standards hat sich in der Praxis nur der 10Base-FL durchgesetzt. Dabei ist auch wieder zu bedenken, dass Glasfaserleitungen sinnvoll nur in Punktzu-Punkt-Verbindungen eingesetzt werden können. Auch 10Base-FL steht also für eine Sternstruktur. 3.1.2 DER SCHRITT ZU 100 MBIT /S 100 MBit/s Komponente Bit-Zeit Class I Repeater 140 Class II Repeater 92 Endgerät 50 Cat3-Twisted Pair (1m) 1,14 Cat5-Twisted Pair (1m) 1,112 Glasfaserkabel (1m) 1 1 Bit-Zeit = 10ns Tabelle 4: Fast Ethernet Bit Zeit Parameter 10Mbit/s Ethernet 100Mbit/s Ethernet Slot time 512 bit times 512 bit times Interframe gap 96 bit times 96 bit times Attempt limit 16 16 8 Fast Enterasys Networks – Design Guide Backoff limit 10 10 Jam Size 32 bits 32 bits Max Frame Size 1518 bytes 1518 bytes Min Frame Size 64 bytes (512 bits) 64 bytes (512 bits) Address Size 48 bits 48 bits Bit Time .1 µsec .01 µsec Collision domain 51.2 µsec (round trip) 5.12 µsec Tabelle 5: Vergleich Ethernet-Fast Ethernet Mit dem Einsatz von immer leistungsfähigeren Arbeitsplatzrechnern stieg der Bedarf nach Bandbreite in den neunziger Jahren zusehends. Aus diesem Grund wurde 1995 der auch als Fast Ethernet bezeichnete Standard 100Base-T mit einer Datenrate von 100 MBit/s verabschiedet. Folgende Aspekte verdienen hier besondere Beachtung: • • • Das erlaubte Round Trip Delay ließen die Entwickler mit 512 Bitzeiten unverändert. Da aber wegen der höheren Datenrate eine Bitzeit nur noch 10ns entspricht, ist dem Zeitbudget eine höhere Aufmerksamkeit zu widmen. Während ein Signal bei 10 MBit/s in einer Bitzeit (100ns) auf dem Kabel etwa acht Meter zurücklegt, so schafft es bei 100 MBit/s auf einem Cat-5-Kabel in einer Bitzeit (10ns) weniger als einen Meter. Ähnlich verschärfen sich auch die Anforderungen an die aktiven Komponenten (siehe auch "Erlaubte Verzögerungszeiten"). Koaxialkabel kommen auf Grund ihrer unzureichenden elektrischen Eigens chaften nicht mehr zum Einsatz. Aber auch die Übertragung über Twisted-Pair stellt besondere Herausforderungen an die Übertragungsmechanismen. Dabei wurden mit 100Base-Tx, 100Base-T2 und 100Base-T4 drei alternative Technologien standardisiert. Dabei setzt der Einsatz von 100Base-Tx Twisted-Pair-Kabel nach der Kategorie Cat-5 voraus, die eine Übertragungsfrequenz von 100 MHz erlauben. Damit Fast-Ethernet auch für die alten Cat-3-Kabel (Grenzfrequenz 16 MHz) noch realisierbar ist, wurden die Standards 100Base-T4 und 100Base-T2 verabschiedet. Beide haben sich in der Praxis zwar nicht durchgesetzt, sind aber dennoch von Interesse, da die dort implementierten Mechanismen, mit denen 100 Mbit/s über Kabel mit 16 MHz Grenzfrequenz übertragen werden, bei der nächsten Geschwindigkeitssteigerung im 1000Base-T Anwendung finden. 3.1.2.1 100Base-Tx Die Annahme, dass über eine Cat-5-Verkabelung mit einer 100 MHz Grenzfrequenz automatisch eine Datenrate von 100 MBit/s übertragen werden kann, ist falsch. Folgende Besonderheiten sind hier zu beachten: • Beim Empfang der Signale muss sich der Empfänger auf den Datenstrom synchronisieren. Lange Phasen identischer Signale sind bei der Übertragung im 9 Enterasys Networks – Design Guide • • • 3.1.2.2 Basisband problematisch, weil keine Signalflanken auftreten, mit deren Hilfe der Sender sich wieder neu synchronisieren könnte. Dieses Problem wurde bei den 10 MBit/s-Standards durch die Manchester-Kodierung umgangen. In der ersten Phase wird das Datenbit gesendet, wobei ein Flankenwechsel eine logische 1 bedeutet. Die zweite Phase sorgt für die Taktung, indem auf jeden Fall ein Flankenwechsel stattfindet, wodurch sichergestellt wird, dass in jeder Phase mindestens ein Pegelwechsel vorliegt. Als Nachteil muss jedoch eine Verdoppelung der Frequenz in Kauf genommen werden. Da die Frequenzverdoppelung für 100 MBit/s nicht mehr in Frage kommt, kodiert man den Bitstrom in einem 4B5B-Muster. Dabei werden die Muster so gewählt, dass innerhalb jedes 4 beziehungsweise 5 Bit langen Blocks mindestens ein Signalwechsel auftritt. Somit wird der Bitstrom lediglich um 25 Prozent verlängert und es ergibt sich eine Datenrate von 125 MBit/s. Da eine Frequenz von 125 MHz größer ist als eine Frequenz von 100 MHz, wird das Signal auf drei Signalpegeln übertragen (MLT-3: Multi-Level Transmission mit -1, 0 und 1). Somit lassen sich mehrere Bits pro Symbol übertragen und die Übertragungsfrequenz reduzieren. Die Basisfrequenz der Idle-Bitfolge reduziert sich hierdurch von 125 MHz auf ein Viertel und liegt nun bei 31,25 MHz. Durch ein Verwürfeln des kodierten Datenstroms (Scrambling) muss nun noch eine Aufteilung des Frequenzspektrums erfolgen. Damit sollen das Leistungsspektrum der abgestrahlten Signale aufgespreizt und die Vorgaben zur elektromagnetischen Verträglichkeit erfüllt werden. -T4 und 100Base-T2 Der 100Base-Tx-Standard ist dahingehend verschwenderisch, dass er nur zwei der vier in einem Twisted-Pair-Kabel vorhandenen Leitungspaare nutzt. Auf diese Weise wird auch ISDNTelefonie über das gleiche Kabel ermöglicht. Da diese Praxis jedoch nur selten anzutreffen ist, schlägt der 100Base-T4-Standard vor, alle vier Leitungspaare zu verwenden. Dabei läuft der Datenstrom über drei Leitungspaare, wodurch sich die Signalrate auf 33 MHz reduziert. Das vierte Leitungspaar wird zur Kollisionsdetektierung eingesetzt. Eine weitere Reduktion der Signalrate wird beim 100Base-T4 wiederum durch Kodierungsverfahren erreicht. Bei 100BaseT4 kann die Übertragung zu einem Zeitpunkt nur in eine Richtung erfolgen, ein VollduplexBetrieb ist nicht möglich. 3.1.2.3 100Base-T2 Auch der 100Base-T2-Standard beschreibt ein Verfahren, um die 100 MBit/s des Fast Ethernet über ein Cat-3-Kabel zu übermitteln. Dabei sollte die Übertragung aber nur über zwei Leitungspaare erfolgen, um die anderen beiden Leitungen weiterhin für die Sprachtelephonie freizuhalten. Um diese Aufgabe zu lösen, wurde die Pulse Amplituden Modulation (PAM) entwickelt. Das beim 100Base-T2 verwendete PAM5x5 nutzt fünf verschiedene Pegel (-2, -1, 0, +1, +2). Besonders interessant ist dabei, dass beide Leitungspaare vollduplex übertragen können. Dies wird durch den Einsatz von so genannten Hybrid-Transceivern ermöglicht. Diese weisen zwei Funktionalitäten auf: • In Senderichtung werden das Signal in Senderichtung und das Signal in Empfangsrichtung auf der Leitung überlagert. 10 Enterasys Networks – Design Guide • Auf der Empfangsseite muss das gesendete Signal von dem resultierenden Signal subtrahiert werden, um das Signal in Empfangsrichtung zu erhalten. Dabei müssen jedoch die auf der Leitung reflektierten Anteile des gesendeten Signals mit Hilfe einer Echokompensation (Echo Cancellation) ebenfalls berücksichtigt werden. Damit stellt dieser spezielle Vollduplex-Modus in gewisser Weise eine interessante Evolution in der Ethernet-Historie dar. • Für die Koaxialkabel muss ein Transceiver zum Einsatz kommen. Dieser muss beim Senden gleichzeitig die Pegel auf dem Kabel überprüfen, ob sie mit dem gesendeten Signal übereinstimmen. Weichen diese zu sehr von den gesendeten Signalen ab, wird dies als Kollision erkannt. • Bei der Übertragung mit Twisted-Pair-Kabeln bei 10Base-T werden Sende- und Empfangskanal getrennt. • Nun werden beim 100Base-T2 auch bei der Übertragung im Twisted-Pair-Kabel die Empfangs- und Sendekanäle wieder gemeinsam genutzt, um die geforderte Datenrate bei verfügbarer Bandbreite zu erreichen. 3.1.3 DER SCHRITT VON 100 AUF 1000 MBIT /S 1000 MBit/s Komponente Bit-Zeit Repeater 976 Endgerät 432 Cat5-Twisted Pair (1m) 11,12 Glasfaserkabel (1m) 10,1 1000BaseCX-Kabel (1m) 10,1 1 Bit-Zeit = 1ns Tabelle 6: Giga Ethernet Bit-Zeit Parameter 10Mbit/s Ethernet 100Mbit/s Fast Ethernet 1000Mbit/s Gigabit Ethernet Slot time 512 bit times 512 bit times 512 Byte times Interframe gap 96 bit times 96 bit times 96 bit times Attempt limit 16 16 16 Backoff limit 10 10 10 Jam Size 32 bits 32 bits 32 bits 11 Enterasys Networks – Design Guide Max Size Frame 1518 bytes 1518 bytes 1518 bytes Min Frame Size 64 bytes (512 bits) 64 bytes (512 bits) 512 bytes (4096 bits) Address Size 48 bits 48 bits 48 bits Bit Time .1 µsec .01 µsec .001 µsec. Collision domain 51.2 µsec (round trip) 5.12 µsec 4.096 µsec Tabelle 7: Vergleich Ethernet, Fast Ethernet, Gigaethernet Die Übertragung nach 1000Base-X (IEEE802.3z) baut auf den bestehenden Modulationsverfahren auf und erreicht die höhere Datenrate im Wesentlichen durch die Erhöhung der Übertragungsfrequenz. Dagegen hat man bei der Übertragung nach 1000Base-T (IEEE802.3ab) von der unmittelbaren Skalierung der 100Base-TX-Technologie Abschied genommen. Bei 1000Base-T werden mehrere Verfahren kombiniert, um die Datenrate über ein Cat-5-Kabel auch bei Entfernungen jenseits von 100 m zu erreichen. Dabei sind die zentralen Verfahren den bereits bestehenden 100Base-T2 und 100Base-T4-Standards entlehnt. 3.1.3.1 1000Base-X 1000Base-X nutzt ein 8B10B-Modulationsverfahren, das dem 4B5B-Verfahren aus dem 100Base-X verwandt ist. Dabei wird ein Byte mit acht Bit auf ein Wort mit zehn Bit kodiert, so dass sich die Datenrate auf 1250 MBit/s erhöht. 1000Base-X lässt sich über verschiedene Glasfasern oder über ein bis zu 25 Meter langes 150W-Twinax-Kabel übertragen. 3.1.3.2 1000Base-TX Die Steigerung der Datenrate von 100 auf 1000 MBit/s bei 1000Base-TX lässt sich in fünf Schritten erklären. Die Reihenfolge der Schritte ist dabei willkürlich gewählt. 1. Ausgehend von der Übertragung über ein Leitungspaar bei 100Base-Tx wird nun wie bei 100Base-T4 über alle vier Leitungspaare übertragen. Auf dieses Weise erhöht sich die Datenrate auf 400 MBit/s. 2. Verzichtet man auf die 4B5B-Kodierung, so steigt die Datenrate bei konstanter Übertragungsfrequenz auf 500 MBit/s. 3. Setzt man das PAM5x5 aus dem 100Base-T2 ein, so erreicht man eine Verdoppelung der Datenrate auf 1000 MBit/s, wobei wiederum die Übertragungsfrequenz unverändert bleibt. Dabei ist jedoch eine Verringerung des Signal-Rausch-Abstands um 6 dB durch den jeweils verringerten Signalhub zu verzeichnen, der nun durch eine zusätzliche Fehlerkorrektur ausgeglichen werden muss. 4. Bei der Trellis-basierten Fehlerkorrektur griff man auf eine Faltungskodierung zurück, wie sie insbesondere im Bereich des digitalen Mobilfunks, aber auch bei der Sprach- und 12 Enterasys Networks – Design Guide Mustererkennung bereits seit langem verbreitet ist. Diese Fehlerkorrektur stellt die einzige wirklich neue Komponente im 1000Base-T-Standard dar. 5. Gleichzeitige Übertragung in beide Richtungen über ein Leitungspaar wie bei 100Base-T2. Damit erreicht man 1000 MBit/s im Vollduplex-Modus. 3.1.4 VON 1000 AUF 10.000 MBIT /S Schon bevor 1000Base-T endgültig in trockenen Tüchern war, bildete sich im März 1999 eine weitere Arbeitsgruppe innerhalb der IEEE802.3 Higher Speed Study Group (HSSG). Diese hat mit IEEE802.3ae einen Standard für Datenraten von 10 GBit/s erstellt. Es sollen bewährte Eigenschaften des LAN-Ethernets weiter fortgeführt werden. Insbesondere sollen das Rahmenformat und die unmittelbare Einpassung in die 802.x-Architektur die einfache Bündelung von langsameren Ethernet-Rahmen auf der höheren Geschwindigkeitsstufe und die unmittelbare Übernahme der bestehenden Techniken zur Verkehrssteuerung erlauben. Außerdem soll die Spezifikation eine kostengünstige Implementierung mit zwei- bis dreifachem Kostenaufwand im Vergleich zum Gigabit-Ethernet erlauben. Zum anderen zeigt die Zielrichtung des 10 GBit/s-Ethernet aber deutlich in Richtung der Metropolitan Area Networks (MAN). Insbesondere werden nur noch Punkt-zu-PunktVerbindungen in Vollduplex-Modus unterstützt. Besondere Bedeutung erlangen dabei auch die für das Ethernet neuen Entfernungskategorien im Bereich von 50 Kilometer. Darüber hinaus sehen die gegenwärtigen Entwürfe die unmittelbare Anpassung an bestehende MAN-Strukturen vor, die auf der Basis von SONET/SDH implementiert sind. (siehe auch unter 10GEA, http://www.10gigabit-ethernet.com/) gegründet. Mitlerweile ist der Standard zu 10Gigaetherne verabschiedet. 3.1.5 FAZIT Mit der kostengünstigen Verfügbarkeit der verschiedenen Geschwindigkeitsstufen von 10 MBit/s bis zu 10 GBit/s könnte es dem Ethernet-Standard gelingen, endgültig zum vorherrschenden Netzwerk-Protokoll zu werden. Dies gilt im Bereich der lokalen Netze sowohl für die Bürokommunikation als auch in zunehmendem Maße für die Netze in der industriellen Automation. Mittelfristig kann sich Ethernet auch für regionale Netze (MAN) etablieren, da ein durchgehender Standard ohne Protokollumsetzungen einfacher und kostengünstiger ist als eine Vielzahl verschiedener Systeme. Der Traum einer homogenen Netzwerklandschaft ist somit nicht ausgeträumt, allerdings unter einem anderen Vorzeichen, als ihn sich die Entwickler des verbindungsorientierten und zu aufwändigen ATM erhofft haben. Quellen zum Kapitel Ethernet: Internet http://www.tecchannel.de 3.2 10-GIGABIT-ETHERNET - DIE LÖSUNG FÜR UNTERNEHMENSNETZWERKE In den Anfangszeiten der Netzwerktechnik galt ein Unternehmensnetzwerk als Luxus, der auf den geschäftlichen Erfolg oder Misserfolg absolut keinen Einfluss hatte. Diese frühen Netzwerke boten in eingeschränktem Maße Zugriff auf Unternehmensdaten und ermöglichten den Informationsaustausch im Unternehmen. Auf dieses Netzwerk hatten häufig nur wenige Mitarbeiter Zugriff. Zu den Anwendungen zählte häufig ein E-Mail-Programm für die Kommunikation zwischen Mitarbeitern mit Netzwerkzugriff. Es war nicht untypisch, dass die 13 Enterasys Networks – Design Guide meisten Mitarbeiter gar keinen Netzzugang hatten, so dass die Kommunikation meist auf herkömmliche Weise (Telefon, Sitzungen) erfolgte. Manchmal wurde das Netzwerk dazu benutzt, um im Rahmen eines Projekts Dateien auszutauschen oder auf eine Datenbank zuzugreifen. Dieser Informationsaus tausch galt jedoch lediglich als praktisch, nicht als geschäftskritisch. Nur ausgewählte Mitarbeiter erhielten aufgrund ihrer Arbeit oder Stellung Zugriff auf das Unternehmensnetzwerk. Die Zusammenarbeit beschränkte sich daher generell meist auf das, was man im Rahmen von Telefonaten und Treffen erreichen konnte. Allein die Bereitstellung einheitlicher und aktueller Informationen zur Verwirklichung geschäftlicher Ziele erforderte einen beträchtlichen Koordinationsaufwand. Generelle Aspekte des Unternehmensnetzwerks haben sich seither nicht geändert. Das Unternehmensnetzwerk von heute ist vor allem dazu da, dass Mitarbeiter Zugriff auf Informationen erhalten, diese austauschen und miteinander kommunizieren können. Die Unternehmen haben jedoch heute eine völlig andere Auffassung der Netzwerkfunktion. Das Netzwerk gilt als unverzichtbares und kritisches Werkzeug zur Erreichung der geschäftlichen Ziele des Unternehmens. Viele erfolgreiche Organisationen sehen ihr Netzwerk als Möglichkeit an, einen Vorsprung vor dem Wettbewerb zu erzielen, indem Produkte rascher eingeführt werden, die Effizienz gesteigert wird und das Unternehmen fähige Mitarbeiter anziehen und auch halten kann. Manche der früher als Luxus geltenden Netzwerk-Tools sind heute eine Selbstverständlichkeit im Geschäftsleben. Viele Mitarbeiter kommunizieren per E-Mail, ob ins angrenzende Büro oder auf einen anderen Kontinent. Auch das Internet wird zur Erreichung geschäftlicher Ziele eingesetzt. Es erleichtert den Zugang zu potentiellen Kunden, branchenspezifischer Forschung, Analystenberichten oder anderen Daten. Viele Unternehmen nutzen verstärkt die Funktion des Instant Messaging anstelle von Telefonaten oder E-Mails, oder für den Online-Austausch mit Kollegen, die an einem anderen Ort arbeiten. Das moderne Unternehmen verlässt sich zunehmend auf Datenbanken mit gemeinsamen Informationen. Heute sieht man aber nicht nur die Funktion eines Unternehmensnetzwerks anders als früher, sondern auch die Ziele eines Unternehmens werden durch völlig neue Netzwerk-Methoden und Technologien erreicht. Informationen sind nicht mehr zentral gespeichert. Organisationen sind vielmehr weit verstreut, und auch Ressourcen werden nicht mehr an einem Ort zusammengefasst. Menschen, Daten und Rechnerleistung sind eigenständig verteilt und werden über ein Netzwerk miteinander verknüpft. Streaming Video, Voice over IP, E-Commerce, virtuelle Schulungen und andere Anwendungen sind neue Werkzeuge für geschäftliche Zielsetzungen. Unternehmen benötigen daher Netzwerke, mit denen neue Formen der Inhaltssuche und neue Wege der Informationsbereitstellung möglich sind. Zur Erfüllung geschäftlicher Bedürfnisse muss das Unternehmen Menschen, Anwendungen und Inhalte verbinden und die dafür notwendige Bandbreite bereitstellen. Die Entwicklung von 10-Gigabit Ethernet Lösungen ist eine wesentliche Voraussetzung für die Bewältigung dieser Herausforderungen. 3.2.1 WARUM 10-GIGABIT ETHERNET FÜR UNTERNEHMENSNETZWERKE? In den 30 Jahren, in denen es das Ethernet gibt, hat es sich weiterentwickelt und an die Bedürfnisse der Datenpaketübermittlung angepasst. Das Ethernet ist so weit verbreitet, dass praktisch der gesamte Internet-Datenverkehr heute an einem Ethernet-Anschluss beginnt oder endet. Die 10-Gigabit Ethernet Alliance (10GEA) weist sogar darauf hin, dass Ethernet heute 14 Enterasys Networks – Design Guide mehr als 90 % der installierten LAN-Knoten in Unternehmensnetzwerken ausmacht und sogar über 95 % der neu installierten Knoten stellt. Zum Status des Ethernets als De-facto-Standard für Unternehmensnetzwerke haben mehrere Faktoren beigetragen. Darunter fallen die einfache Installation, die Skalierbarkeit, die Wartungsfreundlichkeit und die vergleichsweise geringen Kosten für die Implementierung. Die per Ethernet übermittelte Datenmenge ist ebenso gewachsen wie die Übermittlungsgeschwindigkeiten. Deshalb wurde das Ethernet auch weiterentwickelt und an höhere Geschwindigkeiten und größere Nachfrage angepasst. Die Erfindung des Ethernets wurde zumindest teilweise von der Notwendigkeit getrieben, zahlreiche Rechner in einem Gebäude zu verknüpfen und die gemeinsame Nutzung von Druckern zu erlauben. In den Anfängen konnte man über Ethernet mit Geschwindigkeiten bis 10 Megabit pro Sekunde (Mbit/s) Daten übertragen. Später gab es das Fast Ethernet mit Übertragungsgeschwindigkeiten bis 100 Mbit/s; so konnten auch bandbreitenintensive Anwendungen wie Streaming eingesetzt werden. Seit 1998 gibt es einen Standard, der Übermittlungsgeschwindigkeiten von einem Gigabit pro Sekunde (Gbit/s) erlaubt. Dieser Standard (der auch als Gigabit Ethernet IEEE 802.3z bekannt ist) wird sowohl in Unternehmensnetzwerken als auch in öffentlichen Netzen bereits eingesetzt. Es gibt eine fast einstimmige Meinung über Ethernet-Technologien: • • • Einer Umfrage der Intel Corporation zufolge werden mindestens 75 % aller neuen LAN Clients mit 100 Mbit/s Fast Ethernet Verbindungen eingerichtet. Cahners In-Stat prognostizierte, dass bereits 2001 mehr als 90 % aller geschalteten Ports Fast Ethernet Ports sind. Die Dell’Oro Group schätzt, dass es 2002 etwa 160 Mio. Ports mit 100 Mbit/s Fast Ethernet geben wird. Ebenfalls von der Dell’Oro Group stammt die Prognose, dass es 2002 etwa 18 Mio. Ports Gigabit Ethernet geben wird, und dass sich diese Zahl bis 2004 auf mehr als 32 Millionen fast verdoppeln wird. Je mehr Bandbreite am Arbeitsplatz zur Verfügung steht, desto mehr Anwendungen sind parallel möglich. So haben zum Beispiel wissenschaftliche Institute die Möglichkeit, an Großprojekten gemeinsam zu arbeiten. Krankenhäuser können remote auf Patientendaten und -bilder an anderen Orten zugreifen. Anwender können an gemeinsamen Projekten teilnehmen. Unternehmen können hochwertige Modelle und Simulation nutzen, und jeder hat Zugriff auf wichtige Daten aus aller Welt, in Echtzeit und hoher Qualität, ohne die sonst üblichen Zeitverzögerungen. Dabei wird aber deutlich, dass der Bedarf an Bandbreite in dem Maße steigt, wie am Arbeits platz bandbreitenintensive Anwendungen laufen und dass es immer mehr Anwendungen gibt, die Bandbreite benötigen. Zudem wollen immer mehr Anwender Zugriff auf Informationen haben. So waren die Manager von Unternehmensnetzwerken gezwungen, Technologien einzusetzen, die mit diesen Geschwindigkeiten Schritt halten können. In manchen Fällen muss die Bandbreite an den Arbeitsplatz gebracht werden. In anderen Fällen wird mehr Bandbreite im Backbone benötigt, um den Datenverkehr vieler Anwender mit bandbreitenintensiven Anwendungen zu bedienen oder einen leistungsstarken und möglichst verzögerungsfreien Zugriff auf gezielte Ressourcen weltweit zu ermöglichen. 15 Enterasys Networks – Design Guide Um die Nachfrage nach mehr Bandbreite erfüllen zu können, entwickelte die 802.3ae Task Force des IEEE einen Ethernet-Standard, mit dem Geschwindigkeiten von bis zu 10 Gigabit pro Sekunde möglich sein sollen. Im Juni 2002 wurde die erste Version von 10-Gigabit-Ethernet verabschiedet. Mehrere Faktoren haben die Entwicklung vorangetrieben, darunter der Einsatz verteilter Rechnermodelle, die Verbreitung bandbreitenintensiver Anwendungen und höhere Verarbeitungsgeschwindigkeiten am Arbeitsplatz. 3.2.2 DIE WESENTLICHEN MERKMALE DES 10-GIGABIT ETHERNET STANDARDS Der neue 10-Gigabit Ethernet Standard beinhaltet Funktionen, die sich von früheren EthernetVersionen grundlegend unterscheiden. Der wichtigste ist vielleicht, dass 10-Gigabit Ethernet nur über Lichtwellenleiter und nur im Vollduplexbetrieb funktioniert, während frühere EthernetVersionen auch auf Kupferleiter und den Halbduplexbetrieb eingerichtet waren. Dadurch entfällt das in früheren Ethernet-Versionen verwendete CSMA/CD-Protokoll zur Kollisionsverhinderung, was den Betrieb vereinfacht. Allerdings ist 10-Gigabit Ethernet noch immer Ethernet mit den bewährten Merkmalen wie beispielsweise dem Ethernet-Paketformat und ist auch mit früheren Ethernet-Technologien kompatibel. Durch die erwähnten Funktionen bietet das 10-Gigabit Ethernet einige wesentliche Vorteile: • Der Vollduplexbetrieb bedeutet eine Vereinfachung, weil die für frühere EthernetVersionen erforderlichen Protokolle zur Kollisionserkennung und –verhinderung entfallen. • Der reine Lichtwellenleiterbetrieb bedeutet, dass 10-Gigabit Ethernet sicherer und hochwertiger ist und dass Netzwerkkomponenten auch über größere Entfernungen flexibel miteinander verbunden werden können • 10-Gigabit Ethernet ist aber nicht nur zehnmal schneller als das bisherige Ethernet, sondern hat auch eine maximale Reichweite von 40 Kilometern. • Es bleibt eine Form des Ethernets, so dass existierende Infrastrukturen eingebunden werden können. Die Kommunikation über 10-Gigabit Ethernet ist mit bestehenden Ethernet-Spezifikationen voll kompatibel • Es erfolgt die Bandbreitenskalierung durch den Einsatz von „intelligenten“ Diensten wie Quality of Service (QoS), Policy -Based Networking, Sicherheitsfunktionen oder Möglichkeiten zur Lastverteilung. Der 10-Gigabit Ethernet Standard kann auch mit anderen Netzwerktechnologien, beispielsweise dem Synchronous Optical Network (SONET), zusammenarbeiten. Dank einer speziellen Bitübertragungsschicht (PHY) kann das 10-Gigabit Ethernet auch mit bestehenden SONETZugangsgeräten wie beispielsweise Add/Drop Multiplexern eingesetzt werden. Die Kompatibilität mit den SONET-Zugangsgeräten sorgt gleichzeitig für mehr Flexibilität beim Netzwerkaufbau und erlaubt die Konfiguration von MAN/WAN mit bestehenden SONET-Netzen zur Verbindung entfernter Ethernet LAN. Prinzipiell wurden folgende Standards definiert: 16 Enterasys Networks – Design Guide Abbildung 3: 10-Gigabit Ethernet Standards Grundsatz der IEEE 802.3ae Task Force ist die Erfüllung von fünf Kriterien, die zur Akzeptanz des Standards führen: • Breite Unterstützung durch führende Anbieter und Anwendungen am Markt • Kompatibilität zu bestehenden Ethernet-Protokollstandards sowie den Protokollen Open Systems Interconnectivity (OSI) und Simple Network Management Protocol (SNMP) • Deutliche Unterscheidung von anderen Ethernet-Standards, um damit eine eigenständige Lösung statt als Alternative zu sein • Nachweis der technischen Machbarkeit • Wirtschaftlichkeit für Kunden und Erfüllung von erwarteter Leistungssteigerung zu annehmbaren Gesamtkosten Es ist davon auszugehen, dass Dank dieser fünf Kriterien der 10-Gigabit-Standard einfach und kostengünstig in der Implementierung sein wird und den unterschiedlichsten Kundengruppen eine individuelle Lösung bieten kann. Die 802.3ae Task Force und die 10GEA, die die Ziele der Task Force unterstützt und in erheblichem Maße zu ihrer Zielerreichung beiträgt, haben bereits deutliche Fortschritte bei der Sicherstellung dieser fünf Kriterien gemacht. Neben Enterasys sind über 100 Netzwerkinfrastrukturanbieter bereits Mitglied in der 10GEA und arbeiten aktiv in der Task Force mit. Diese Unternehmen tauschen sich insbesondere darüber aus, wie Kompatibilität und Support auch für unterschiedliche Anwendungen und LAN-, MAN- sowie WAN-Kunden gewährleistet werden können. Die Task Force stellt sicher, dass auch 10-Gigabit Ethernet eine Ethernet-Technologie bleibt und mit bestehender Ethernet-Technologie kompatibel ist. Auf der letzten Supercom im Juni 2002 in Atlanta haben neben Enterasys noch 23 andere Netzwerk-Hersteller einen Interoperabilitätsnachweis erbracht. Über Glasfaser-Leitungen wurde ein 10-Gigabit-Ethernet Netzwerk aufgebaut und eine verteilte Kommunikation nachgestellt. Wie bereits erwähnt, können bestehende Ethernet-Komponenten in eine neue 10-Gigabit Ethernet-Lösung eingebunden werden. Außerdem hat die Dell’Oro Group errechnet, dass ein Port im 10-Gigabit Ethernet anfangs ungefähr das 8,3-Fache eines Gigabit Ethernet Ports kosten 17 Enterasys Networks – Design Guide wird. Das bedeutet interessanterweise, dass eine zehnmal höhere Leistung nur gut achtmal so teuer sein wird. Es ist davon auszugehen, dass Kunden im LAN, MAN und WAN schon bald die höhere Bandbreite nutzen werden. Analystenmeinungen unterstreichen dies: Dell´Oro 10 Gigabit Ethernet Port Shipments (000's) 750 800 700 600 500 340 400 300 110 200 10 100 30 0 2002 2003 2004 2005 2006 Abbildung 4: Erwartetes Port-Shipment • • • • Die Dell’Oro Group erwartetet für 2006 das Shipment für 750.000 10-Gigabit-Ethernet Ports weltweit. Die Dell’Oro Group und Gartner Dataquest prognostizieren bereits für 2004 ein Marktvolumen für 10-Gigabit Ethernet von gut US$ 3,5 Mrd. Die Dell’Oro Group geht weiterhin davon aus, dass bereits 2004 etwa 17 % aller Ethernet-Switches die 10-Gigabit Ethernet Technik nutzen werden. Der Branchenanalyst IDC schätzt, dass es 2004 mehr als 4 Millionen 10-Gigabit Ethernet Ports geben wird. 3.2.3 TREIBER VON 10-GIGABIT -ETHERNET Mehrere Faktoren haben die Entwicklung des 10-Gigabit Ethernet für den Bereich Unternehmensnetzwerke vorangetrieben, darunter Modelle zum „Distributed Computing“, die stark wachsende Verbreitung bandbreitenintensiver Anwendungen und die höhere Verarbeitungsgeschwindigkeiten am Arbeitsplatz. Im Folgenden werden diese kurz beschrieben. 3.2.3.1 Distributed Computing Noch vor wenigen Jahren war ein Unternehmensnetzwerk eine stark zentralisierte Angelegenheit. Menschen, Daten und Rechner wurden vor Ort lokal verknüpft, ohne die Einbindung anderer Lokationen. In der Regel hatte der Anwender nur Zugriff auf die Ressourcen, die sich im gleichen 18 Enterasys Networks – Design Guide Gebäude oder auf dem gleichen Campus befanden. Selten hatten einzelne Anwender überhaupt Zugriff auf die Ressourcen anderer Betriebsstätten. Ein Vertriebsmitarbeiter oder eine Führungskraft hatte nicht die Möglichkeit, von außerhalb auf die in seinem Büro gespeicherten Informationen oder Dateien zuzugreifen. Seit einiger Zeit setzt man jedoch verstärkt auf so genanntes „Distributed Computing“. Hierbei handelt es sich um verteilte Rechnermodelle, die nicht mehr auf zentral zusammengefasste Ressourcen setzen. Heute kann man aus der ganzen Welt auf die gleichen Informationen und Anwendungen zugreifen. Interessanterweise sind manche Informationen oft gar nicht auf dem Rechner gespeichert, auf den man zugreift. Mobilität ist eines der wichtigsten Themen in der heutigen Gesellschaft. Mittlerweile kann der Anwender auch auf Reisen bestimmte Daten abrufen, seine E-Mails lesen, oder Präsentationen und andere Dateien nutzen, für die er die Zugangsberechtigung hat. Da die Ressourcen nicht mehr zentral zusammengefasst sind, müssen Menschen, Daten und Rechnerleistung über Datennetze verknüpft werden. Die alten Hürden mussten abgeschafft werden. Früher war es gar nicht so einfach, von „remote“ auf firmeninterne Ressourcen zuzugreifen. Zum einem war die Leitungsqualität häufig wesentlich schlechter als bei einem lokalen Zugriff. Der Vertriebsmitarbeiter beispielsweise konnte zwar beim Kunden seine Präsentation abrufen. Dabei kam es aber aufgrund von Bandbreitenbeschränkungen zu deutlich schlechterer Qualität. Zudem gab es meist erhebliche Zeitverzögerungen zwischen der Datenabfrage und dem Empfang der Daten. Damit der Angestellte die Zielsetzung des Unternehmens umsetzen kann, muss das Unternehmen gleichbleibend hohe Zugriffsgüte und einen einheitlichen Kenntnisstand seiner Mitarbeiter gewährleisten. Die Kunst dabei ist es aber, die Systeme nicht unnötig doppelt bereitzuhalten. Mit anderen Worten: es sollte gewährleistet sein, dass ohne Ressourcenduplizierung für die einfache und schnelle Verknüpfung von Menschen, Speichermedien, Rechnerleistung und Anwendungen der weit verstreuten Betriebsstätten gesorgt wird. Außerdem darf der räumliche Abstand nicht dazu führen, dass Daten nur mit Zeitverzögerung oder in schlechterer Qualität abgerufen werden können. Das 10-Gigabit Ethernet stellt zusätzliche Bandbreite bereit und erlaubt es dem Unternehmen, ein verteiltes Rechnermodell einzuführen. Die höhere Bandbreite des 10-Gigabit Ethernet ermöglicht den Datenverkehr mit größerer Geschwindigkeit und geringerer Verzögerung. Dadurch wird der Zugriff auf Anwendungen und Informationen erleichtert, auch wenn diese weit entfernt gespeichert sind. Geringe Verzögerungen und besserer Zugriff können die Produktivität und die Leistungsfähigkeit steigern und den Kenntnisstand aller Mitarbeiter verbessern. Dadurch lassen sich wiederum Wettbewerbsvorteile schaffen. Der Anwender kann auch von außerhalb praktisch ohne Verzögerung auf Informationen im Netz zugreifen. Ein Anwender nutzt die verfügbaren Ressourcen vielleicht öfter und lieber, wenn der Zugriff in hoher Güte und ohne nennenswerte Verzögerung erfolgt. Es ist davon auszugehen, dass er es als nützlich empfindet und seltener frustriert ist. Außerdem lässt der 10-Gigabit Ethernet Standard den Zugriff im Unternehmensnetzwerk über Singlemode-Glasfaser bis 40 km Entfernung zu (zum Vergleich: mit Gigabit Ethernet waren maximal 5 km Entfernung möglich). Beispielsweise ist ein Universitätscampus in der Regel nicht unbedingt eine Ansammlung von Gebäuden auf dem gleichen Gelände, sondern kann sich über eine ganze Stadt verteilen oder sogar bis in die Nachbarstadt reichen. Wenn im Backbone 10Gigabit Ethernet implementiert wird, können verteilte Rechnertechnologien eingesetzt werden, 19 Enterasys Networks – Design Guide um den reibungslosen Betrieb der Universität zu vereinfachen. Beispielsweise wird der Einsatz von Rechenzentren und Storage Area Networks (SAN) einfacher, weil man auf die gespeicherten Daten bzw. Anwendungen mit erheblich geringerer Verzögerung zugreifen kann. Auch SANAnwendungen wie Not- oder Backup-Dienste lassen sich effektiver nutzen, weil man erheblich weniger Zeit braucht, um Daten zu sichern oder einzuspielen. 10-Gigabit Ethernet bietet jedem Unternehmen neue Möglichkeiten der Ressourcenverteilung je nach den speziellen Bedürfnissen und Gegebenheiten. Gleichzeitig bleibt die ursprüngliche Verknüpfungsfunktion für Menschen, Daten und Rechner erhalten. 3.2.3.2 Bandbreitenintensive Anwendungen Der Bedarf an höheren Bandbreiten wird auch durch die Zunahme bandbreitenintensiver Anwendungen geschürt. Nicht alle Organisationen verwenden Programme, die Hochgeschwindigkeitsverbindungen über Fast Ethernet hinaus benötigen. Viele Organisationen können jedoch von höheren Übertragungsgeschwindigkeiten profitieren. Forschungsinstitute oder Krankenhäuser beispielsweise nutzen verstärkt Anwendungen, die sehr hohe Bandbreiten benötigen. Echtzeitmodelle oder Simulationen wissenschaftlicher Anwendungen sind Beispiele solcher Programme, die schon allein aufgrund der Datenmengen und der Anzahl benötigter Rechenoperationen so bandbreitenintensiv sind. Auch Krankenhäuser können zusätzliche Bandbreite für Anwendungen wie zum Beispiel „Medical Imaging“ nutzen. Damit Forschung oder Diagnose erleichtert werden können, müssen solche Bilder in der erforderlichen Qualität betrachtet und in Echtzeit ausgetauscht werden können. Deshalb darf die Bandbreite praktisch überhaupt nicht mehr eingeschränkt werden. Häufig stößt eine Organisation aufgrund solcher Anwendungen an die Grenzen ihres Netzwerks, selbst wenn Gigabit Ethernet Links eingebunden sind. Für die Übertragung riesiger Datenmengen in hoher Qualität braucht man Bandbreite, denn nur so lassen sich die Daten ohne nennenswerte Verzögerung zur Verfügung stellen. Gerade hier bietet 10-Gigabit Ethernet mit der zehnfachen Kapazität Abhilfe. Forschungseinrichtungen und Krankenhäuser profitieren von solchen Verbindungen. Das 10-Gigabit Ethernet erleichtert den Einsatz der oben beschriebenen bandbreitenintensiver Forschungsprogramme oder bildgebender Verfahren, und es stellt weitere Funktionen bereit. So kann das 10-Gigabit Ethernet beispielsweise zur Datensicherung der riesigen Mengen von Forschungsergebnissen genutzt werden. Ohne die Übertragungsgeschwindigkeit des 10-Gigabit Ethernet wäre dies mit der aktuellen Technik schwerlich machbar. 3.2.3.3 Höhere Verarbeitungsgeschwindigkeit am Arbeitsplatz Manche Unternehmen nutzen zwar bandbreitenintensive Anwendungen, benötigen aber nicht die riesigen Bandbreiten, die eine Forschungseinrichtung oder ein Krankenhaus braucht. Verschiedene Anwendungen sollen den Kenntnisstand von Mitarbeitern, Partnern und Kunden verbessern helfen. Konferenzschaltungen für Sprach- oder Bildübertragung sollen die gemeinsame Arbeit an Projekten unabhängig vom Standort erleichtern. Viele Unternehmen stellen ihren Partnern und Kunden E-Commerce-Funktionen zur Verfügung. MultimediaAnwendungen erwecken Produkte, Lösungen und Projekte zum Leben und helfen Mitarbeitern, 20 Enterasys Networks – Design Guide Partnern und Kunden dabei, sich ein Bild zu machen. Interaktive gemeinsame Schulungen oder die virtuelle Zusammenarbeit vermitteln Mitarbeitern neue Kenntnisse und Erfahrungen, steigern ihre Produktivität und stellen für Partner oder Kunden Informationen bereit. Damit diese und andere Anwendungen wie gewünscht implementiert werden können, muss die Organisation dem Anwender den leistungsstarken und möglichst verzögerungsfreien Zugriff ermöglichen. Anwendungen wie Multimedia-Präsentationen, Online-Schulungen oder die virtuelle Zusammenarbeit haben einen höheren Bandbreitenbedarf, weil erheblich mehr Daten übermittelt werden müssen als beispielsweise in einer E-Mail. Diese Anwendungen benötigen mehr Bandbreite als früher, aber nicht unbedingt die riesigen Bandbreiten, die beispielsweise ein Forschungsinstitut benötigt. Um die virtuelle Zusammenarbeit über Streaming-Video und Sprachübertragung zwischen Mitarbeiten auf der ganzen Welt zu ermöglichen, muss die erforderliche Bandbreite am Arbeitsplatz bereitgestellt werden, damit die elektronische Zusammenarbeit auch den gewünschten Nutzen bringt. Ohne Bandbreite am Arbeitsplatz kann eine solche Zusammenarbeit unproduktiv sein. Funktioniert das Streaming nicht reibungslos, werden die benötigten Informationen eventuell nicht bereitgestellt. Entstehende große Zeitverzögerungen führen dazu, dass der Anwender entnervt aufgibt. Außerdem neigen Unternehmen dazu, für das aufgewendete Geld die größtmögliche Bandbreite zu erwerben, auch wenn die Kapazität nicht unmittelbar gebraucht wird. Die Preise für Gigabit Ethernet Ports werden rasch sinken, so dass immer mehr Arbeitsplätze über die notwendigen Bandbreiten verfügen werden. Die oben genannten Zahlen von Dell`Oro bestätigen dies eindrucksvoll. Unternehmen werden wachsen, sie werden am Arbeitsplatz mehr Bandbreite zur Verfügung stellen, und immer mehr Anwender werden die Netzwerk-Ressourcen zur Zusammenarbeit nutzen. Dadurch ergibt sich ein steigender Bandbreitenbedarf im Netzwerk-Backbone. Gartner Dataquest geht davon aus, dass der Datenverkehr im Unternehmensnetz weiterhin um ca. 3060 % pro Jahr wachsen wird. Neue Anwendungen wie IP-Telefonieren, Audio- oder VideoKonferenzen in Echtzeit und die virtuelle Zusammenarbeit über Multimedia-Anwendungen setzen sich immer mehr durch. Ohne entsprechende Steigerung der Backbone-Kapazität kann sich im Netzwerk-Backbone schnell ein Datenstau bilden. Denn genau dann ist die hohe Bandbreite am Arbeitsplatz gar nicht mehr so nützlich, denn die Übertragungsgeschwindigkeiten hängen nicht nur vom Arbeitsplatz, sondern auch vom Netzwerk-Core ab. Wird auch für den Netzwerk-Backbone 10-Gigabit Ethernet eingesetzt, können Leitungen gebündelt werden, so dass über den Netzwerk-Backbone ohne Verzögerung oder Datenverlust auch mehrere Übertragungen von 10/100/1000-Ethernet-Daten parallel laufen können. Diese geringere Verzögerung und höhere LAN-Leistung bietet dem Anwender verbesserten Zugriff auf Informationen und Anwendungen, so dass die gesamten NetzwerkRessourcen produktiver genutzt werden können. 21 Enterasys Networks – Design Guide 3.2.3.4 Enterasys’ Strategie für 10-Gigabit Ethernet Enterasys ist führendes Mitglied der 10-Gigabit Ethernet Alliance (10GEA). Die Entwicklungen im Bereich 10-Gigabit Ethernet Technologie fasst Enterasys im Rahmen der so genannten UTOPIAStrategie zusammen. UTOPIA steht für „Unlocking the Optical Internet Application“ und nutzt die derzeitigen Entwicklungen in der Lichtwellenleitertechnik, um Unternehmensnetze (LANs) zu MANs und WANs zu erweitern. In der Vergangenheit hat man verstärkt in den Ausbau von Lichtwellenleitertechnik investiert. Solche Netzwerke dienten in den letzten zehn Jahren vor allem der Sprachübertragung. Heute werden sie angesichts des Bandbreitenbedarfs auch für die Datenübermittlung genutzt. Die Aufrüstung stellt für den Datenverkehr mehr Bandbreite zur Verfügung. Das so genannte optische Internet steckt jedoch noch in den Kinderschuhen. Die Menge und Qualität der über optische Netze verschickten Daten sind nach wie vor begrenzt. Man kann aber davon ausgehen, dass mit in den optischen Netzen die Bandbreite fast unbegrenzt ist. Daher muss also die Schnittstelle zwischen dem LAN und dem optischen Internet so verbessert werden, dass Unternehmen die zusätzliche Bandbreite nutzen können. Außerdem müssen die Möglichkeiten der verteilten Bereitstellung und Speicherung von Inhalten besser genutzt werden. Im Rahmen dieser Vision hat Enterasys mehrere Produkte entwickelt, die sich für 10-Gigabit Ethernet skalieren lassen, darunter den Matrix E1 Optical Access Switch, den Matrix E7 Multilayer Switch und den X-Pedition ER16 Switch Router. Das Backplane-Design dieser Produkte ist so ausgelegt, dass die Aufrüstung auf Technologien wie beispielsweise 10-Gigabit Ethernet bereits vorgesehen ist. Man kann also stets durch den Anschluss neuer Module auf die neueste Technik aufrüsten. Der Einsatz von 10-Gigabit Ethernet Modulen macht diese Produkte zu echten Core-Routern mit 10-Gigabit Ethernet Geschwindigkeiten. Dabei werden Merkmale wie QoS zur Datenpriorisierung, granulare Bandbreiten-Kontrolle oder modernste Sicherheitsfunktionen erst möglich. In Abbildung 5 ist der grundsätzliche Aufbau eines 10Gigabit Ethernet Netzwerkes dargestellt. 22 Enterasys Networks – Design Guide Abbildung 5: Campus Design Heute sieht man die Funktion eines Unternehmensnetzwerks anders als früher, und auch die Ziele eines Unternehmens werden durch völlig neue Netzwerk-Methoden und Technologien erreicht. Organisationen und Ressourcen sind oft sehr weit verstreut. Menschen, Informationen und Rechnerleistung sind häufig verteilt, und Ressourcen werden über ein Netzwerk miteinander verknüpft. Streaming Video, Voice over IP, E-Commerce, virtuelle Schulungen und andere Computeranwendungen sind neue Werkzeuge um die Zielsetzungen des Unternehmens zu erreichen. Organisationen und ihre Netzwerke gehen zu verteilten Rechnermodellen über. Netzwerke müssen immer mehr Informationen und bandbreitenintensive Anwendungen transportieren. Daher benötigen Unternehmen Netze, mit denen auch neue Formen der Inhaltssuche und neue Wege der Informationsbereitstellung möglich sind. Die Entwicklung von 10-Gigabit Ethernet Lösungen ist wesentlicher Bestandteil eines solchen Netzwerks, um einer größerer Zahl von Anwender den Zugriff auf Informationen zu ermöglichen. Im Rahmen der UTOPIA-Strategie bietet Enterasys 10-Gigabit Ethernet Produkte an, die den aktuellen Anforderungen optimal entsprechen und bietet damit Unternehmenskunden eine skalierbare Lösung. 23 Enterasys Networks – Design Guide Im nächsten Kapitel verlassen wir das Thema Übertragungsgeschwindigkeit und wenden uns an einzelen Parametern innerhalb der Ethernet-Technologie. 3.3 AUTO NEGOTIATION Der Einsatz von zwei unterschiedlichen Geschwindigkeitsstufen wirft die Frage nach der Kompatibilität auf. Auf Grund der ähnlichen Vorgaben lassen sich Baugruppen entwerfen, die in der Lage sind, wahlweise mit 10 oder mit 100 MBit/s zu kommunizieren. Wünschenswert ist dabei auch, dass automatisch die größtmögliche Geschwindigkeit genutzt wird. Zu diesem Zweck wurde im Rahmen des Fast-Ethernet-Standards das so genannte Auto-NegotiationProtocol (ANP) festgelegt, das auf dem von National Semiconductor entwickelten Nway Protokoll basiert. ANP bezieht sich auf Verbindungssegmente zwischen zwei Kommunikationsteilnehmern. Es wird unmittelbar bei der Initialisierung der Verbindung aufgerufen und verwendet ein dediziertes Signalsystem. Dieses basiert auf den Normal Link Pulses (NLP), die 10Base-T zur Kontrolle der Verbindung regelmäßig versendet. ANP sendet Signalfolgen mit 33 Fast Link Pulses (FLP), deren Timing genau den NLPs entspricht. Damit können 10Base-T-Stationen ohne ANP umgehen, denn sie erkennen diese Signale als NLP. Unterstützt eine Station aber das ANP, so kann es aus den 16 geradzahligen FPLs das 16 Bit Link Code Word auswerten, das Informationen über die unterstützten Geschwindigkeiten und Modi enthält. Anhand einer Prioritätenfolge werden dann Geschwindigkeit und Modus ausgewählt. Auto-Negotiation Datenwort Bedeutung 0-4 Bei Ethernet immer 10000. Damit kann der Standard auch auf andere Übertragungssysteme erweitert werden. 5 unterstützt 10Base-T 6 unterstützt 10Base-T Full Duplex 7 unterstützt 100Base-TX 8 unterstützt 100Base-TX Full Duplex 9 unterstützt 100Base-T4 10 unterstützt Datenflusskontrolle 11 reserviert 12 reserviert 13 Fehlerindikator 14 ACK - Quittierung eines ANP-Datenpakets 15 NP (Next Page). Es folgen weitere herstellerspezifischen Informationen 24 Datenpakete mit Enterasys Networks – Design Guide Tabelle 8: Autonegotiation Datenwort 3.3.1 EINSCHRÄNKUNGEN BEI AUTO-NEGOTIATION Bei 10 und 100 MBit/s ist Auto-Negotiation optional, bei 100Base ist es nur für Twisted-Pair gültig. Auf Grund verschiedener Wellenlängen ist bei den optischen Links ohnehin keine Interoperabilität möglich. Für Gigabit-Ethernet ist ANP verpflichtend vorgeschrieben. Wenn ein Gerät nicht auf die FLPs antwortet, greift die so genannte Parallel Detection, die den Übertragungsstandard anhand der Signalform und der Kodierung erkennt. Dabei wird allerdings standardmäßig der Halbduplexbetrieb ausgewählt. Dies führt dann zu Problemen, wenn das andere Gerät manuell auf Vollduplexbetrieb eingestellt wurde. ANP bietet die Möglichkeit, zusätzliche Informationen auf weiteren Seiten (Next Page) zu übermitteln. Auf diese Weise können auch die Gigabit-Standards in das ANP einbezogen werden. Problematisch erscheint allerdings, dass diese Möglichkeit von einigen Herstellern dazu genutzt wird, herstellerspezifische Informationen zu übertragen. Aus diesem Grund vertragen sich verschiedene Herstellerpaarungen bei der Abwicklung des ANP nicht. In diesen Fällen muss dann meist manuell konfiguriert werden. 3.3.2 WAS BEDEUTET „AUTO NEGOTIATION“ – BEGRIFFSABGRENZUNG Auto Negotiation ist ein aktiver Prozess, der von beiden beteiligten Geräten unterstützt und beim Aufbau der physikalischen Verbindung ausgeführt werden muss, damit eine definierte Verbindung zustande kommt. „Definierte Verbindung“ bedeutet in diesem Zusammenhang, dass die zu verwendende Geschwindigkeit und der Duplex-Modus von beiden beteiligten Geräten mit eindeutigem Ergebnis ausgehandelt (engl. negotiation = Verhandlung) wird. Wichtig: Dies setzt eine Punkt-zu-Punkt–Verbindung voraus, funktioniert also nur in Switched Ethernet–Umgebungen! 3.3.2.1 Abgrenzung des Begriffs „Auto Negotiation“ von Auto-Sense / Auto-Sensing und Auto-Detect / Auto-Detection Beide Begriffe sind nicht im IEEE 802.3 Standard definiert. Generell soll mit diesen Ausdrücken dargestellt werden, dass die jeweilige Komponente die Fähigkeit besitzt, sich an einen oder mehrere Parameter der Umgebung, in der sie eingesetzt wird, selbsttätig, also ohne Benutzereingriff, anzupassen. Die Begriffe sind austauschbar und können weder bestimmten Funktionen, noch Herstellern, noch Komponententypen eindeutig zugeordnet werden. Auto-Sensing oder Auto-Detect beschreibt meist das selbsttätige Erkennen eines benutzten Anschlusses: Es handelt sich hierbei in erster Linie um Netzwerkkarten, die (meist) nur mit einer einzigen Geschwindigkeit arbeiten (z.B. 10 MBit/s), die aber nicht nur einen, sondern zwei oder mehr physikalische Anschlüsse besitzen, z.B. RJ-45 und/oder BNC und/oder AUI AutoSensing/- Detection bedeutet in diesem Zusammenhang, dass der jeweils verwendete Anschluss nicht über Steckbrücken (Jumper), DIP-Schalter oder ein Konfigurationsprogramm festgelegt wird, sondern dass die Karte selbsttätig erkennt, welcher der physikalischen Anschlüsse ein Signal erhält – einfacher gesagt, an welchem Port das Kabel angesteckt ist. Dies ist ein passiver (einseitiger) Vorgang, und er funktioniert unabhängig davon, ob die Karte an ein 25 Enterasys Networks – Design Guide Shared Medium (Hub oder BNC-Busverkabelung) oder an einen Switch angeschlossen wird. Dieser Mechanismus ist nicht auf Ethernet beschränkt; auch bei TokenRing -Karten, die z.B. RJ45 und AUI-Anschluß besitzen, kann er implementiert sein. Autonegotiation bezeichnet die selbsttätige Erkennung und Anpassung an die von der Gegenseite vorgegebene Geschwindigkeit (und nur die!). Das Verfahren, soweit es sich um Ethernet-Komponenten handelt, ist immer Halbduplex. Auch dies ist ein einseitiger, passiver Vorgang. In diesem Zusammenhang besagt Auto-Detect/Auto-Sensing also lediglich, dass das jeweilige Gerät in der Lage ist, mit unterschiedlichen Geschwindigkeiten zu arbeiten. Im Ethernet-Bereich (Achtung: nur Shared Medium!) können dies 10/100 MBit Netzwerkkarten oder 10/100 MBit Dual-Speed Hubs sein. Im TokenRing-Umfeld können dies Netzwerkkarten und aktive Komponenten sein, die sowohl mit 4 als auch 16 MBit/s arbeiten. Gelegentlich verbirgt sich sogar normgerechte Auto Negotiation nach IEEE 802.3 dahinter! 3.3.2.2 Fazit Für eine reibungslose Zusammenarbeit, besonders wenn Produkte verschiedener Hersteller zum Einsatz kommen, ist also unbedingt auf die dokumentierte Konformität zum Standard (IEEE 802.3 Compliance) zu achten. 3.3.3 WARUM FUNKTIONIERT AUTO NEGOTIATION – DEFINITIONEN & STANDARDS Die Vorstellung der Nway Auto-Negotiation durch National Semiconductor erfolgte 1994 und führte zur Festlegung im Fast-Ethernet-Standard (IEEE 802.3u). Hier wurde die Einführung des Reconciliation Layer auf dem Physical Layer definiert (Stichwort: Fast Link Pulse). Die Sicherung der Abwärtskompatibilität zu Geräten, auf denen Auto Negotiation nicht implementiert (oder abgeschaltet) ist, wird durch die Parallel-Detection-Funktion gewährleistet: Die zeitliche Abfolge der FLP-Sequenzen eines Auto-Negotiation-fähigen Geräts ermöglicht einer reinen 10BaseT-Gegenstelle, diese als Link Integrity Pulses zu erkennen und eine Verbindung mit 10 MBit/s korrekt aufzubauen. Handelt es sich beim Kommunikationspartner dagegen um ein 100BaseT-Gerät ohne AutoNegotiation-Unterstützung, werden die von ihm nach dem Start und in Zeiten ohne Datenübertragung ausgesandten Idle-Signale von der Autoneg-fähigen Komponente als solche erkannt und die Verbindungsgeschwindigkeit auf 100 MBit/s eingestellt. Die AutonegKomponente sendet in diesem Fall keine FLPs mehr aus, sondern ebenfalls Idle-Signale. Achtung: Im Fast Ethernet- Bereich ist Auto Negotiation ist nur für diejenigen Varianten definiert, die auf Basis von Twisted Pair Kabel arbeiten, also 10BaseT, 100BaseTx, und 100BaseT4, aber nicht für den Einsatz auf Lichtwellenleiter (100BaseFX). Gigabit-Ethernet über Glasfaser (1000Base SX und 1000BaseLX) ist ein Sonderfall: Hierfür gibt es einen IEEE-Standard zur Auto Negotiation über ein ähnliches Verfahren, mit dem allerdings nur der verwendete Duplex-Modus und das Flow-Control–Verfahren ausgehandelt werden, aber NICHT die Geschwindigkeit. 26 Enterasys Networks – Design Guide Für die manuelle Konfiguration von Geräten, die die Auto-Negotiation–Funktion Typ 1000BaseX unterstützen, schlägt der Standard eine besondere Handhabung vor. Danach soll bei Festeinstellungen die Auto Negotiation nicht deaktiviert werden, sondern das Autoneg-Signal soll nur noch die gewünschten Verbindungsparameter als „Advertised Abilities“ übertragen. Hierzu ein Zitat aus dem 802.3–Standardtext: „ 37.1.4.4 User Configuration with Auto-Negotiation Rather than disabling Auto-Negotiation, the following behavior is suggested in order to improve interoperability with other Auto-Negotiation devices. When a device is configured for one specific mode of operation (e.g.1000BASE-X Full Duplex), it is recommended to continue using Auto-Negotiation but only advertise the specifically selected ability or abilities. This can be done by the Management agent only setting the bits in the advertisement registers that correspond to the selected abilities.” Davon wird im Kapitel Sonderfälle nochmals die Rede sein. Auto Negotiation ist nur definiert für Komponenten, die 10/100 MBit/s oder 10/100/1000 MBit/s – fähig sind1. Ein Fast Link Pulse Burst besteht aus insgesamt 33 Pulsen. FLP, Fast Link Pulse burst: Botschafter des Auto Negotiation – Prozesses; Der Aufbau, die Funktionen werden durch ein Zitat aus dem Standard erläutert: „The basic mechanism to achieve Auto-Negotiation is to pass information encapsulated within a burst of closely spaced link integrity test pulses that individually meet the 10BASE-T Transmitter Waveform for Link Test Pulse. This burst of pulses is referred to as a Fast Link Pulse (FLP) Burst. Each device capable of Auto-Negotiation issues FLP Bursts at power up, on command from Management, or due to user interaction. The FLP Burst consists of a series of link integrity test pulses that form an alternating clock/data sequence. Extraction of the data bits from the FLP Burst yields a Link Code Word that identifies the operational modes supported by the remote device, as well as some information used for the Auto-Negotiation function’s handshake mechanism. To maintain interoperability with existing 10BASE-T devices, the function also supports the reception of 10BASE-T compliant link integrity test pulses. 10BASE-T link pulse activity is referred to as the Normal Link Pulse (NLP) sequence and is defined in 14.2.1.1. A device that fails to respond to the FLP Burst sequence by returning only the NLP sequence is treated as a 10BASE-T compatible device.“ 1 27 Enterasys Networks – Design Guide Abbildung 6: Basisverschlüsselung Beginnend mit einem Clock Pulse werden im Wechsel mit insgesamt 17 Clock Pulses 16 Data Pulses gesendet. Die 16 Datenpulse bilden zusammen das Base Link Code Word oder auch Base Page. Den Aufbau dieser base page zeigt die Abbildung 6 3.3.4 WAS PASSIERT BEIM AUTO NEGOTIATION – PROZESS Das beiderseitige wiederholte Aussenden von FLPs (Fast Link Puls bursts; kompatibel zu den NLPs, den Normal Link Pulses des Standard 10 MBit/s Ethernets) leitet den Prozeß ein. Der Auswertung der empfangenen FLPs folgt die Bestätigung der von der Gegenstelle signalisierten Parameter (Geschwindigkeit und Duplex-Modus). Der Verbindungsaufbau wird auf der höchsten, beiderseits realiserbaren Ebene etabliert, deren Prioritäten im Standard vorgegen sind (Auflistung von der höchsten zur niedrigsten): 1 2 3 4 5 6 7 8 9 1000BASE-T full duplex 1000BASE-T 100BASE-T2 full duplex 100BASE-TX full duplex 100BASE-T2 100BASE-T4 100BASE-TX 10BASE-T full duplex 10BASE-T 3.3.5 WAS IST BEI DER EINSTELLUNG VON NETZWERKKOMPONENTEN ZU BEACHTEN An dieser Stelle werden einige Betrachtungen zum realen Einsatz von Autonegotiation angestellt. 3.3.5.1 Hardware- und Softwarevoraussetzungen: Soll die Funktion Auto Negotiation in einem Netzwerk genutzt werden, müssen alle beteiligten Komponenten, sowie deren zugehörige Treiber, Firmware, Betriebssystemanpassung usw. diese Funktion nach Standard unterstützen. 28 Enterasys Networks – Design Guide Zu beachten ist hier die mögliche Vielfalt der Komponenten: Switches, Router, Netzwerkkarten (gesteckt oder on board) in Servern und Arbeitsplatzrechnern, interne oder externe Printserver. 3.3.5.2 Konzeptionelle Voraussetzungen Um die einwandfreie Funktion von Auto Negotiation zu gewährleisten, müssen die Einstellungen auf beiden Seiten der jeweiligen Verbindung identisch sein. Die meisten Fehler und Performanceverluste entstehen durch folgendes weit verbreitetes Missverständnis: Auto Negotiation wird verstanden als einseitige passive “Anpassung” einer Komponente an die Vorgaben der Gegenseite, egal wie diese eingestellt ist. Dabei gibt es zwei Denkansätze; der erste konzentriert sich mehr auf die Verwaltung der Netzwerkseite: • • zur vermeintlichen Arbeitserleichterung wird die „bekannte/kontrollierbare” Seite der Verbindung fest eingestellt (in der Regel sind dies Switch-Ports) die unbekannten/ verschiedenen/ wechselnden „Enden” (z.B. Netzwerkkarten von PCs, Druckern) werden auf Auto Negotiation belassen, „damit sie sich selbst anpassen können”. Ebenfalls verbreitet ist der umgekehrte Gedankengang, der mehr die Verwaltung der Endgeräte fokussiert: • • Endgeräte werden fest eingestellt, teils deswegen, weil dies vom jeweiligen EndgeräteHersteller für bestimmte Produkte so empfohlen bzw. vorgeschrieben wird, teils auch, weil sie leichter zugänglich sind. Switch-Ports bleiben auf Auto Negotiation („dann muß man nicht dauernd ins Rechenzentrum”). Was passiert nun bei diesen Mischeinstellungen? • Die Komponente mit aktiver Auto Negotiation erhält keine Antwort auf die von ihr ausgesandten FLPs. Die Komponente erkennt (meist) anhand der Taktung der elektrischen Signale die Geschwindigkeit der Gegenstelle, aber, wegen der fehlenden Informationen aus den FLPs, nicht den Duplex-Modus. • Um konform zum Ethernet-Standard (shared Medium!) zu bleiben und Kollisionen zu vermeiden, wird die Komponente mit aktiver Auto Negotiation ausschließlich im Halbduplex Modus kommunizieren. „Worst Case“ Gerät A ist fest auf 100 MBit/s, Vollduplex eingestellt Gerät B ist auf Auto Negotiation eingestellt Ergebnis: Die Auto Negotiation stellt Gerät B auf 100 MBit/s Halbduplex ein und erwartet ab sofort, dass „Ruhe auf der Empfangsleitung“ herrscht, während sie sendet. Jedes während des Sendebetriebes auf der Empfangsleitung eintreffende Signal wird als Kollision bewertet. 29 Enterasys Networks – Design Guide Da aber das fest auf Vollduplex eingestellte Gerät A gleichzeitig sendet und empfängt (und kein Kollisionsverhalten kennt), wird die Gegenseite regelmäßig wegen „zu vieler Kollisionen“ die Kommunikation unterbrechen. Effekt: Der Datendurchsatz wird nicht nur wesentlich schlechter als bei Vollduplex, sondern wahrscheinlich sogar noch geringer als bei einer beiderseits korrekt eingestellter HalbduplexVerbindung ausfallen. 3.3.5.3 Sonderfälle der Festeinstellung Manche Hersteller implementieren bei Fast-Ethernet-Geräten (z.B. bei manchen Netzwerkkarten des Herstellers HP) die „Festeeinstellung“ von Geschwindigkeit und Duplex-Modus in besonderer Weise. Hierbei wird die Auto Negotiation nicht abgeschaltet, sondern die in den FLPs als „Advertised Abilities“ übermittelten Möglichkeiten werden auf eine einzige Geschwindigkeit und einen einzigen Duplex-Modus reduziert. Ergebnis: Trifft eine solche Komponente im „Festeinstellungs-Modus“ auf eine Gegenstelle, die „offiziell“ Auto Negotiation aktiv hat, werden beide Seiten eine Verbindung aufbauen, die tatsächlich den gewünschten Parametern hinsichtlich Geschwindigkeit und Duplex-Modus entspricht, • denn beide Seiten senden und empfangen FLPs • der Auto-Negotiation–Prozess (tatsächlich auf beiden Seiten aktiv) kann erfolgreich eine Verbindung mit definiertem Status aufbauen Zu beachten: Da diese Implementierung selbst beim selben Hersteller von Baureihe zu Baureihe nicht vorausgesetzt werden kann, ist das Verhalten der jeweiligen Komponente immer im Einzelfall zu prüfen! 3.3.6 KONTROLLE UND DIAGNOSE Einstellungs- oder Funktionsfehler der Auto Negotiation können mit herkömmlichen Protokollanalyse-Tools (Sniffer, NetXray, etc.) nicht festgestellt werden! Die Signale des Auto Negotiation–Prozesses dürfen laut Standard nicht in die höheren Schichten gelangen: „Devices that support multiple modes of operation may advertise this fact using this function. The actual transfer of information of ability is observable only at the MDI or on the medium. Auto-Negotiation signaling does not occur across either the AUI or MII.“ Man benötigt also Hilfsmittel, die Informationen aus dem Physical Layer auswerten können. 30 Enterasys Networks – Design Guide MDI = MEDIUM DEPENDENT INTERFACE MI = MEDIA INDEIPENDENT INTERFACE AUTONEG = AUTO-NEGOTIATION PCS = PHYSICAL CODING SUBLAYER PMA = PHYSICAL MEDIUM ATTACHMENT PHY = PHYSICAL LAYER DEVICE PMD = PHYSICAL MEDIUM DEPENDENT * MII is optional fpr 10 Mb/s DTEs and for 100 Mb/s systems and is not specified for 1 Mb/s systems ** PMD is specified for 100BASE-X only: 100BASE-T4 does not use this layer *** AUTONEG communicates with the PMA sublayer through the PMA service interface messages PMA_LINK request and PMA_LINK indicate. Location of Auto-Negotiation function within the ISO/IEC OSI reference model Abbildung 7: Einbindung von Autonegotiation Abbildung 8: Beispiel Autoneg Konfiguration Eines der dazu geeigneten Werkzeuge wäre z.B. das „NetTool Inline ®“ des Herstellers FLUKE. Es wird in die Verbindung zweier Geräte eingeschleift. Die Beobachtung der Parameter „Advrtsd / Actual Speed“ bzw. „Advrtsd / Actual Duplex“ erlaubt Rückschlüsse auf die Einstellungen der Endpunkte und das korrekte (oder fehlerhafte) Zustandekommen der Verbindung. Ein 31 Enterasys Networks – Design Guide mitgeliefertes Hilfsprogramm ermöglicht das Abspeichern der Bildschirmanzeige des Gerätes auf einen PC. Beispiele: Auch der Netsight Element Manager von Enterasys Networks liefert gute Hinweise darauf, ob Auto Negotiation aktiv ist oder ob um es sich um eine „echte“ Festeinstellung handelt. Nachdem die Komponente erkannt und in die Datenbank eingebunden wurde, öffnet man die Geräteansicht, wählt den betreffenden Port aus und öffnet darauf die Ansicht „Ethernet Configuration“. Abbildung 9: Autonegdarstellung in Netsight Atlas 3.3.7 LITERATUR ZU AUTO NEGOTIATION [1] Part 3: Carrier sense multiple access with collision detection (CSMA/CD) access method and physical layer specifications, IEEE Std. 802.3, 2000 Edition; http://www.IEEE.org [2] Geschwindigkeitskontrolle (Die Auto Negotiation bei Fast Ethernet), Jörg Rech in c’t 4/99 32 Enterasys Networks – Design Guide 3.4 SWITCHINGTECHNOLOGIE Klassische Hub-Systeme wurden zum Bottleneck in den Netzen, nur eine Station konnte zu einem Zeitpunkt senden. Bei einem Hub mit 10Mbit/s und 128 Ports (typischer Abteilungshub) reduziert sich theoretisch die zur Verfügung stehende Bandbreite pro Port auf: 10 Mbit/s dividiert durch 128 = 78 kbit/s! Switches können die Netzperformance deutlich erhöhen. Je nach Technologie haben SwitchingSysteme eine Backplane (Systembus zur Verbindung der Einzelmodule) mit einer wesentlich höheren Bandbreite, außerdem können mehrere Stationen gleichzeitig senden. Switches sind im Prinzip Multiport-Bridges, die die Pakete hardwarebasierend und nicht per Software wie Bridges vermitteln. Man unterscheidet Layer-2-, Layer-3- und Layer-4-Switches (selten Layer-7-Switch). Ein Layer-2-Switch arbeitet auf der Basis der MAC-Standards, die MAC-Frames werden interpretiert und die Transportentscheidung anhand der MAC-Informationen getroffen. Je Port steht einmal die volle LAN-Kapazität zur Verfügung. Wird ein Segment angebunden, so teilt sich die Port-Kapazität für Pakete, die an einen anderen Port weitergeleitet werden müssen, auf alle angebundenen Stationen auf. Stationen in diesem Segment kommunizieren direkt miteinander. Das zugrunde liegende Prinzip des „Switching“ entspricht der herkömmlichen Vermittlung analoger Telefonate. Jeder Eingang ist zeitgleich auf einen beliebigen Ausgang schaltbar, die Kopplung wird für begrenzte Zeit „durchgeschaltet“. Wie bei einem Telefongespräch wird nach Feststellung der MAC-Adressen (Telefonnummer) ein Sender-Empfänger-Adresspaar für die Dauer einer Kommunikationsverbindung zusammengeschaltet und danach wieder getrennt. Bei modernen LAN-Switches ist die Hardware dabei auf einige weniges ASICs geschrumpft. Durch die schnelle Verarbeitungstechnik ergibt sich eine sehr kurze Verweildauer der Pakete im Switch. LAN-Switches lassen sich grob in zwei Klassen unterteilen: • • Cut Trough Switch Store & Forward Switch 3.4.1 CUT THROUGH SWITCH Wie der Name schon andeutet, sind Cut Through Switchs (CT) auf eine extrem schnelle Durchleitung, sprich kurze Latenzzeit, ausgelegt. Sie puffern ein ankommendes Paket bis zum Empfang der MAC-Zieladresse und leiten es nach Auswertung der Zieladresse gemäß der Adresstabelle schnellstmöglich an den Ausgangsport weiter, an dem die Station mit der zugehörigen Adresse liegt. Zur optimalen Unterstützung der CT-Technik haben sich zwei Architekturen entwickelt, ein Hardware-Matrix-Switch (Cross Bar) und eine Cell Backplane. Beide Architekturen verwenden zur Implementierung der Switching-Logik ASICs. Sobald ein Matrix-Switch die Zieladresse decodiert und den entsprechenden Ausgangsport zugeordnet hat, schaltet er den Eingangsport auf den Ausgangsport durch und leitet das Paket unmittelbar weiter. Ist der Ausgangsport schon belegt, wird das Paket im Eingangspuffer des Eingangsport geparkt, sofern noch freier Puffer vorhanden ist. Ist dies nicht der Fall, wird das Paket verworfen. Die Matrix-Architektur ist sehr gut für Unicast-Verkehr geeignet, kann aber zu Blockierungen führen. Probleme treten bei dieser Architektur auch mit Broadcast/Multicasts auf. Da immer nur eine Verbindung zwischen zwei Ports durchgeschaltet wird und kein zentral 33 Enterasys Networks – Design Guide zugreifbarer Paketpuffer vorhanden ist, muss die Weiterleitung eines Broadcast an alle Ports, mittels aufeinander folgenden Durchschaltungen des Eingangsports, auf alle anderen Ports seriell durchgeführt werden. Das Paket wird explizit vervielfältigt und mehrfach durch den Switch transportiert. Leistungseinbußen können auftreten. Cell Backplanes erzeugen die Illusion eines Matrix-Switch durch einen Hochkapazitäts Backplane, der die Eingangsports in derselben Zeit abarbeiten kann wie eine Matrixschaltung. Die Backplane-Kapazität ist so dimensioniert, dass sie erheblich größer ist als die Summenkapazität aller Switch-Ports. Die Backplane kann im Zeitmultiplexmodus (TDM, Time Division Multiplexing) arbeiten und vermeidet dadurch eine Blockierung der Eingänge. Paketpufferung erfolgt hier über den Ausgangspuffer. Die einzelnen Switch-Module sind an den Zellbus angebunden. Sobald ein Paket ankommt, wird es in Zellen segmentiert, mit einem Header versehen, der den Ausgangsport angibt, über den Bus an den Ausgangsport oder den zentralen Paketpuffer weitergeleitet, reassembliert und gepuffert, bis der Ausgangsport frei ist. Durch die Aufteilung in kleine Zellen fester Größe können Pakete, die an verschiedenen Eingangsports anliegen, quasi parallel abgearbeitet werden (analog verschiedener Tasks beim Round Robin). Jeder Eingang schickt im TDM-Verfahren jeweils eine Zelle auf den Bus. Dadurch kann ein langes Paket den Bus nicht mehr unverhältnismäßig lange blockieren. 3.4.2 STORE & FORWARD SWITCH Ein Store & Forward Switch (SF) puffert erst das ankommende Paket (analog Bridge), dann können Fehlererkennung und andere Paketbearbeitungsmechanismen (z.B. Filter) angewandt werden. Sie arbeiten aufgrund des Einsatzes von Backplanes mit hoher Kapazität und ASIC-Technik trotzdem schneller als Multiport-Bridges. Bei Produkten, die die SF-Funktionalität implementiert haben, wird nicht nur die 6-Byte-Ziel-Adresse gelesen, sondern das ganze Paket wird einer kompletten Fehlerprüfung unterzogen und erst dann weiter übertragen, wenn es vollständig und richtig empfangen wurde. SF bietet außerdem den Vorteil, dass keinerlei fehlerhafte Pakete auf das andere Segment übertragen werden. Diese Lösung ist bei größeren Netzen mit vielen Knoten und Kommunikationsbeziehungen besser, weil nicht einzelne fehlerhafte Segmente durch Kollisionen das ganze Netz belasten. Soll zwischen verschiedenen MAC-Verfahren oder verschiedenen Geschwindigkeiten geswitcht werden, so geht dies nur über eine SF, da CTs weder eine Paketumformung (Translation) noch eine Geschwindigkeitsanpassung durchführen können. 3.5 ENTERASYS NETWORKS SWITCHLÖSUNGEN Ein zentraler Geschäftsvorteil in der heutigen Internet-basierten Wirtschaft ist, Usern jederzeit und überall unternehmenskritische Inhalte bereitstellen zu können – ob E-Mail, Web Content oder SAP-, Distance-Learning-, VoIP-Applikationen etc. Dieser Anforderung trägt Enterasys Networks mit seinen Produkten und Lösungen Rechnung. Daher bieten wir auf unseren HighEnd Switchen eine Vielzahl standartkonformer Lösungen an wie zum Beispiel: 34 Enterasys Networks – Design Guide IEEE 802.1s Per VLAN Spanning Tree IEEE 802.1w Rapid Spanning Tree IEEE 802.1X User Authentifizierung (User MAC Address Port Locking Datenpriorisierung bis auf Layer 4 TOS Rewrite Personalized Network) Die Switche Matrix E1 WS und GWS ermöglichen hochleistungsfähiges Switching und Routing zu einem exzellenten Preis-Leistungs-Verhältnis bei der Größe eines Workgroup-Switches. Die Matrix E1 Workgroup Switches und Gigabit Workgroup Switches bieten umfangreiche Layer2/3/4 Funktionen. Dazu gehören Multilayer Frame Classification und Rate Limiting für die Bereitstellung von Quality-of-Service für Unternehmensnetzwerke. Darüber hinaus unterstützen die Produkte Wire Speed IP-Routing sowie redundante Stromversorgungen und dies ohne Mehrkosten. Durch 16-Port 10/100 Module, 8-Port 100Base-FX Module sowie Gigabit-EthernetModule mit Glasfaser oder Kupfer ist eine einzigartige Skalierbarkeit gewährleistet. Der Matrix E1 Workgroup Switch (WS) (1H582-51) hat 48 feste 10/100 Ports und drei flexible, modulare Einschübe für 10/100, 100Base-FX oder Gigabit Ethernet-Module. Der Matrix E1 Gigabit Workgroup Switch (GWS) (1G582-09) verfügt über sechs feste Gigabit Ethernet Ports und drei flexible Einschübe für 10/100, 100Base-FX oder Gigabit-EthernetModule. 35 Enterasys Networks – Design Guide 4 Layer 2 Protokolle 4.1 SPANNING TREE In gebridgten bzw. geswitchten Ethernet-Netzwerken ist wegen des Kommunikationsverhaltens dafür zu sorgen, dass keine Leitungs- bzw. Daten-Schleifen entstehen. Über diese könnten ansonsten Datagramme kreisen und somit zum einen die Performance des Netzes herabsetzen und zu anderen jegliche Kommunikation unmöglich machen, da Ethernet-Pakete „unzustellbar“ werden. Um dieses „Paketkreisen“ zu unterbinden, wurde der Spanning Tree IEEE 802.1 D Algorithmus in Switches implementiert. A “A” transmits a frame to “B” B1’s SAT 1 A 1 B2’s SAT 1 1 2 B B 2 2 2 A B Abbildung 10: Spanning Tree; Frametransfer Wenn mehrere Wege existieren, sucht Spanning Tree einen eindeutigen Weg und schaltet die anderen ab. Fällt dieser Weg aus, so wird auf den redundanten Weg zurückgegriffen. Der Name des Protokolls beruht darauf, dass ein physikalisch existierendes Netz immer logisch so „aufgespannt“ wird, dass sich eine Baumstruktur ergibt, die wiederum „schleifenfrei“ ist. Als Berechnungsparameter werden Entfernungen, Kapazitäten und so genannte Wege/ Pfadkosten herangezogen: Der Switch (die Brücke) mit der niedrigsten Bridge ID wird zur „Root Bridge“. Haben zwei Switches die gleiche Bridge ID wird diejenige zur Root Bridge, die die niedrigste MAC Adresse hat. Bei allen anderen Switches in der Architektur wird der Port mit den geringsten „Pfadkosten“ zur Root Bridge als so genannter „Root-Port“ festgelegt. Die Kommunikation, die zur Ermittlung dieser Parameter erfolgt, wird durch die so genannten BPDUs realisiert; das sind Datenpakete, die von den Switches/Brücken selbständig in regelmäßigen Abständen versendet 36 Enterasys Networks – Design Guide werden. Diejenigen Ports, die auf Grund des Algorithmus abgeschaltet werden befinden sich im „Blocking Mode“. Dieser „geblockte“ Port kann, sobald der als primärer Leitungsweg definierte Pfad nicht mehr existiert, die Dienste übernehmen. Als „Randbedingung“ einer Umschaltung (eines Respans) wird das Ausbleiben oben genannter BPDUs herangezogen. 4.2 VIRTUAL LOCAL AREA NETWORKS (VLAN) Im Kapitel Ethernet ist der Begriff einer Collision und Broadcast Domain erläutert worden. Um eine Broadcaststeuerung auf einem physikalischen Ethernet (Broadcastcontainer) zuzulassen, bedarf es logischer Strukturen und Einheiten, den VLANs. Diese eignen sich, um beispielsweise Arbeitgruppen, die an einem geswitchten LAN angebunden sind, logisch voneinander zu trennen (Broadcastkanalisierung). Zur Einrichtung von VLANs wird der Ethernetframe um die Zuordnungs-Information erweitert, dem VLAN-Tag. Zudem wird ein jeder Userport durch Konfiguration eines Switches im Zugangsbereich einem VLAN zugeordnet. Die zum Backbone gerichteten Uplink-Ports fassen alle an einem Switch konfigurierten VLANs zusammen und transportieren über den „VLAN Trunk Port“ alle bekannten VLANs zu benachbarten Switchen, so dass eine logische „VLAN Backbone Struktur“ entsteht. Durch diesen „Trick“ lassen sich bereits in der Schicht 2 logische Gruppen bilden, ohne dass es einer entsprechend gearteten IP Adressstruktur bedarf. Es gibt verschiedene Parameter, die zu einer VLAN Zuordnung führen können: • • • Port basierende VLANs (hier wird der Userport fest einem VLAN zugeordnet) Protokoll Based VLANs (das genutzte Protokoll, beispielsweise IP oder Apple Talk definiert die VLAN-Zuordnung) MAC-Based VLANs (die physikalische Adresse definiert das VLAN) 37 Enterasys Networks – Design Guide Abbildung 11: VLANs, Quelle: www.netzmafia.de 4.3 RAPID SPANNING TREE NACH IEEE 802.1 W Als Rapid Spanning Tree wird die logische Funktion innerhalb eines Spanning-Tree-Netzes bezeichnet, die den „Respann“ Fall (den Fehlerfall) durch entsprechende Berechnungen und Speicherung der Ergebnisse dieser Berechnungen vorbestimmt. Es werden Tabellen innerhalb der Switche angelegt, die für einen Fehlerfall die Redundanzwege kennen. (Anm. Red.: Der nachfolgende Text liegt leider noch nicht in Deutsch vor, das Kapitel erschien aber so wichtig, dass hier das englische Original aufgenommen wurde) 4.3.1 OVERVIEW OF RSTP RSTP was developed to significantly improve costly re-span time of STP. In a stable topology, small change in STP network can introduce extended down time due to STP timers being used to synchronize Port State transitioning. Timers are used in STP to put Ports in Port State of Forwarding once spanning tree information has been distributed throughout the network in order 38 Enterasys Networks – Design Guide to avoid loops in a network. For example, when a primary link is pulled in a two-switch network connected with a primary link and a backup link, the backup link does not restore a physical connection until Max Age expiry. Furthermore, the backup port does not go into Forwarding Port State until additional MaxAge + 2*ForwardDelay time elapses. This delay is unnecessary in transitioning the backup link from Blocking to Forwarding. In RSTP mode, Bridge would immediately recognize that its old Root Port is down and would use an alternate port as a new Root Port, transitioning this new Root Port into Forwarding Port State immediately after its old Root Port has been put into Blocking State. The entire process would happen on hardware level speed restoring physical connectivity between two Bridges virtually instantaneously. In addition, a mechanism exists for a two ports connected on a point-to-point link that allows transitioning of a Designated Port to Port State of Forwarding by exchanging two BPDUs. Faster port transitioning into Port State of Forwarding means less overall down time since data frames are transmitted out only through ports that are in Forwarding Port State. 4.3.2 OVERVIEW OF PROTOCOL CHANGES Rapid Spanning Tree Algorithm and Protocol (RSTP) have been based on Spanning Tree Algorithm and Protocol (STP). Any Bridged network would result in identical active topology independent of protocol being used. That is, a network running STP and identical network running RSTP, would produce same spanning tree. The difference lies in the algorithm used to achieve this topology. RSTP was developed by making changes to STP in the following areas (IEEE 802.1w D6, section F.2.1): 4.3.3 PORT ROLE ASSIGNMENTS Port Roles have been introduced in STP, but their usage has not been utilized in transitioning a port to Port State of Forwarding. RSTP utilizes Port Roles in order to faster transition ports into Forwarding State. STP assigns one of the following Port Roles to each Bridge Port: Root Port, Designated Port, Alternate Port, or Backup Port. There’s an additional Disabled Port role indicating that a bridge will not participate in Spanning Tree. Root Port - a port connecting the Bridge to the Root Bridge through another Bridge (port connecting to upstream Bridges) Designated Port – a port connecting to downstream Bridges Alternate Port – a port that potentially could be the Root Port if the Root Port went down (port connecting the Bridge upstream but has inferior information to Root Port’s information) Backup Port – a backup port for the path provided by a Designated Port in the downstream direction. Backup ports exist when there are two or more connections from a given LAN. Disabled Port – port having no role within the operation of Spanning Tree. 39 Enterasys Networks – Design Guide Port Role Port State Designate d Discarding Root Port Legend Learning Forwardin g Discarding Learning Alternate Forwardin g Discarding Learning Backup Forwardin g Discarding Learning Disabled Forwardin g Disabled Abbildung 12: Port roles example Port Role assignment is done by Port Roles Selection state machine anytime port’s Message Age expires or whenever ‘better’ BPDU is received. 4.3.4 RSTP BPDU FORMAT The BPDU formats used in 802.1D have been designed to easily allow extensions to the protocol. Since RSTP is a protocol extension to STP by IEEE requirements, RSTP Bridges must be able to process STP BPDU. Thus, RSTP BPDU will encapsulate everything that STP BPDU contains with some additions. Changes were made in BPDU in order to incorporate Port Role information as well as handshake flags necessary to transition Designated Port into Forwarding. The Bridge Group Address of RSTP BPDU is 01-80-C2-00-00-00, which is identical to the STP Bridge Group Address. (See appendix XXXXXX for complete layout of RSTP BPDU): The Protocol Version Identifier will take vale 0x02 to reflect that it’s a RTSP BPDU. The Flag field will utilize all bits as follows (notice bits 1&8 usage is unchanged): 40 Enterasys Networks – Design Guide Bit Interpretation 1 TC flag 2 Propose flag 3 Port Role bit 1 4 Port Role bit 2 5 Learning 6 Forwarding 7 Agree flag 8 TCN flag Tabelle 9: BPDU Packet Bit Definition Additional BPDU field added at the end, the Version 1 length will take value 0x00, which indicates that there is no Version 1 protocol information resent. 4.3.4.1 Changing Port States The part that a Bridge port plays in the active topology (topology consisted of all Bridges connected by links that are Forwarding on both ends) is determined by Port State. The Port State of the Bridge controls the operation of Forwarding and Learning Process. RSTP state machines guarantee that once re-span is over, all Designated Ports and Root Port will be in Port State of Forwarding and all Alternate and Backup Ports will be in Port State of Discarding. When configuration information is being propagated RSTP state machines can select a Port State of Discarding or Learning for Root Ports or Designated Port. While in Port State of Discarding, additions are not made to the BAF and data frames are not forwarded. While in Learning Port State, BAF is updated in the anticipation that current information will be confirmed, however, data frames are not forwarded. In Port State of Forwarding, additions are made to the BAF and data frames are transmitted. Figure 2 shows how RSTP’s Port State relates to STP’s Port State. STP Port State RSTP Port State Active Topology (port Role) Disabled Discarding Excluded ( Disabled ) Blocking Discarding Excluded Backup ) Listening Discarding Included ( Root, Designated) Learning Learning Included ( Root, Designated) Forwarding Forwarding Included ( Root, Designated) Tabelle 10: RSTP and STP valid Port States 41 ( Alternate, Enterasys Networks – Design Guide As was mentioned before, what allows RSTP Bridges to re-span ‘rapidly’ is their ability to transition their ports into Port State of Forwarding almost immediately under certain conditions by utilizing Port Roles. STP Bridges do not have much choice in transitioning their ports. STP Bridges must follow Forward Delay timer in order to transition ports. RSTP Bridge, in addition to timer based transitioning, can transition a port into Port State of Forwarding if any of the following apply (IEEE 802.1w D7, section 17.9): The Port Role has been Root Port or Designated Port for long enough for spanning tree information to propagate throughout the topology and no contradictory information has been received from other Bridges. The Port is now a Root Port and any Ports on the Bridge that have been Root Ports so recently that spanning tree information might not have reached all Bridges in the network, or have been contradicted if necessary, are not and will not be put in a Port State of Forwarding until that time has elapsed (Root Port transitioning rapidly to Forwarding). The Port is a Designated Port and attaches to a LAN that has at most one other Bridge attached (point-to-point connection), and that Bridge’s Port Role assignments are consistent with this Bridge and their Port States are known not to be Forwarding if they attached to LANs that connect to Bridges whose Port Roles are not consistent with that Bridge (Designated Port transitioning rapidly to Forwarding). The Port is a Designated Bridge and attaches to a LAN that is known to have no other Bridge Ports attached Rule a) uses Forward Delay time as basis for port transitioning. It’s the only condition that ports can transition into Port State of Forwarding in STP. This will be the worst case behavior for RSTP Bridge, which will happen when it’s connected to STP Bridge. If a Bridge Port is elected Designate Port, its fdWhile timer, which controls timer based port transitioning, will be set to Forward Delay time defined by the Root Bridge. The Designated Port will attempt to go into Forwarding State first by means of handshake. If no ‘go ahead’ is received from opposite port, it cannot immediately go into Forwarding state. Instead it will revert to fdWhile timer to transition into Port State of Learning. Upon entering Port State of Learning, it will reset its fdWhile timer back to Forward Delay so that next transition will take worst case Forward Delay time. Upon fdWhile timer expiry, Designated Port will transition into Port State of Forwarding. Rule b) says that if an Alternate Port receives ‘better’ information than current Root Port then after Port Role Selection state machine chooses Alternate Port as new Root Port, the new Root Port can transition to state of Forwarding immediately after the old Root Port is put in Blocking State. 42 Enterasys Networks – Design Guide Abbildung 13: Root Port transitioning rule. In the initial setup of figure 3, Port 4 of Bridge B is the Root Port and Port 3 of Bridge B is an Alternate Port. Let’s assume that Port Path cost of Port 4 of Bridge B has been changed so that it no longer should be the Root Port for the Bridge. Once Bridge B detects that Port 3 receives ‘better’ BPDUs, it will notify Port Role Selection state machine to recalculate Port Roles based on the best information received. Port Role Selection state machine will assign Port 4 Port Role of Alternate and Port 3 Port Role of Root Port, which will in turn immediately set Port 4 into Blocking. Rule b) states that at this point Port 3 can enter Forwarding State without introducing a loop into the network. Rule c) allows Designated Port that’s not in Forwarding State to transition to Port State of Forwarding after explicit handshake between the Designated Port and port that it’s connected to. Example of such transition is depicted in Figure XXX. This scenario would occur if a port after Port Role Selection was assigned Port Role of Designated (as we know Designated Ports have Port States of Forwarding in a stable topology) and was not in the Forwarding State. This port would immediately request the connected Bridge to allow it to transition to Port State of Forwarding by means of handshake as follows: 43 Enterasys Networks – Design Guide Abbildung 14: Designated Port that is currently not in Forwarding State sets its Propose flag of RSTP BPDU and transmits it out. Abbildung 15: RSTP BPDU is received on the other side and is compared to determine if it is ‘better’ (determined is a same manner as in STP) than the one that would be transmitted out by the receiving BPDU. If determined ‘better’, Port Role Selection State machine will reassign Port Roles. 44 Enterasys Networks – Design Guide Since this is a ‘better’ BPDU, the receiving port will be assigned Port Role of Root Port or an Alternate Port. If selected Alternate Port, the port will not reply to the message, and will be put into Blocking. Alternate Port does not need to reply to the request since this path will not be part of active topology, therefore, there’s no gain in having the Designated Port transition rapidly. The Designated Port will default to Forward Delay timer in transitioning between Port States. If selected Root Port, all Designated Ports on the Bridge will revert to Discarding Port State. Once all Designated Port are in Discarding, the Root Port will send a reply with Agree flag set True and Port Role set to Root Port. Abbildung 16: Upon reception of ‘go ahead’ (Agree flag set and Port Role of Root Port in the received RSTP BPDU) from Root Port, Designated port will transition to Port State of Forwarding immediately. The Designated Ports that has been put into Discarding can now use same handshake mechanism in order to transition into Port State of Forwarding. Rule d) refers to a port that is not connected to any Bridges. 4.3.4.2 Topology Changes Topology Change detection was changed in RSTP by realizing that the only way loop can be introduced in the network is by having port go in Port State of Forwarding. Therefore, topology change is detected only when RSTP Bridge port goes into Port State of Forwarding. Upon detection of topology change, Bridge notifies other RSTP Bridges by sending RSTP BPDU with TC flag set to TRUE. Unlike in STP, topology change information is send out through the Root Port and Designated Ports. By doing so, TCN are propagated much faster throughout the 45 Enterasys Networks – Design Guide network. TCN are sent to RTST Bridges for period of 2*HelloTime every HelloTime. Unlike in STP, there is no explicit acknowledgment send by the recipient of a TCN between RSTP Bridges (TCA flag never gets set in RTSP BPDU). Upon reception of TCN, Bridge will analyze it and forward it upstream through its Root Port and downstream through it Designated Ports. TCN is never sent back on the same Designated Port that it was received on. Topology changes must be detected in order to flush what’s known as Filtering Database (BAF) that contains users addresses (entries) learned on that Bridge. This database allows for learned conversations to take place between end-users. If topology change in the network structure takes place, BAF entries could be no longer valid and therefore need to be removed. In STP TC flag in the Flag field of BPDU was used in order to indicate the need to flush (remove) entries form BAF. This flag would be set by the Root Bridge upon reception of Topology Change Notification BPDU (TCN). In STP Topology Change Notification was send by the Bridge that has detected change in the topology. TCN was send up to the Root Bridge through the Root Port only, and intermediate Bridge would forward the TCN farther upstream without analyzing it. The Root Bridge upon reception of TCN in turn would set TC flag in the BPDU causing every Bridge to set their BAF age time to Forward Delay defined by the Root Bridge. The BAF would remain set to Forward Delay time until MaxAge + Forward Delay time has passed, thus, ensuring that old entries in the BAF would get flushed. This mechanism is no longer valid in RSTP due to rapid port transitioning. BAF flushing process will also make use of TCNs, but a Bridge will never change its BAF age time value since re-span time will be no longer timer-value defined. Instead, upon reception of a TCN, Bridge will clear (flush BAF) all the entries learned on all port except the one that TCN was received on. Once the Bridge flushes the BAF, TCN will be forwarded through the Root Port and Designated Ports (except the Designated Port that received TCN). Also, when Port Role of a port is no longer Designated or Root Port, entries learned on that port must also be cleared. Figures XXX and XXX illustrate TCN propagation mechanism and BAF flushing mechanism. Abbildung 17: Address flushing / TCN sending scheme. Bridges A and C notice link A-C failure and remove entries learned on ports indicated by red triangle. At the same time Bridge C elects new Root Port and sends out a TCN to B. Upon reception of TCN, B flushes entries learned on other ports and sends TCN up through Root Port 46 Enterasys Networks – Design Guide to R and down through Designated Port to A (TCN never gets send back the same Port it came in on) Abbildung 18: Address flushing / TCN sending scheme. Bridge A ignores the TCN from B since it was received on Blocking Port. Bridge R once it receives the TCN, flushes addresses on all other ports (marked with red triangle) and forward the TCN down its Designated Ports to A and D. 4.3.5 RSTP / STP INTEROPERATION Protocol Version Identifier was defined in the 802.1D BPDU so that extensions to the protocol could easily be made. The idea was to be able to sustain communication between Bridges transmitting different Protocol Version Identifiers. To allow for such communication, succeeding version of the protocol were to contain all parameter defined in preceding versions. For example, a version 0 implementation interpret a version 2 BPDU as if it was a version BPDU, ignoring any parameter and flag not defined in Version 0. A version 2 implementation interprets a version 0 BPDU, and does not attempt to look for version 2 parameter or flag values. Unfortunately, there are implementations of 802.1D (Cabletron) in the field that will discard BPDUs that do not carry protocol version 0, or that carry flags that have not been specified in protocol version 0. It has therefore been necessary to allow version 2 Bridges to detect version 0 Bridges on its Ports in order to allow for proper interworking between RSTP Bridges (version 2) and STP Bridges (version 0). RSTP Bridge Ports will transmit both BPDU versions depending on the situation. On ports where no TCN or Configuration BPDUs (version 0) have been received, only RSTP BPDUs are used. On Ports where Configuration or TCN BPDUs have been detected, Configuration and TCN are sending, and RSTP BPDUs are not used. STP Bridge connecting to RSTP Port will not see any difference since it will receive BPDUs as specified by STP. RSTP Bridge’s Designated Port connecting to STP Bridge can no longer use handshake to transition to Port State of 47 Enterasys Networks – Design Guide Forwarding, and will obey Forward Delay timer in successive Port State transitions. RSTP Bridge’s Root Port connecting to STP Bridge can still use rapid Root Port transitioning as described by Section 2.5. When new RTSP Bridge is added to a LAN, it will start sending a version 2 BPDU. For the initial 3 second period it will accept and process any BPDU format, but reception of version 0 BPDUs will not cause it to change the BPDU format it will use. If all other Bridges attached to the LAN are RSTP Bridges they will see version 2 BPDU and will send RSTP BPDU (version 2 BPDU) themselves. However, if a version 0 Bridge is present, it may persist in sending version 0 BPDUs after the initial 3 second period any version 0 BPDU received after the initial 3-second period will cause that Bridge Port to transmit STP BPDUs. Port will continue transmitting STP BPDUs for next 3 seconds. If after the next 3 seconds port receives RSTP BPDU, it will begin transmitting RSTP BPDUs for 3 seconds. If at the end of that 3-second period STP BPDU is received, port will transmit STP BPDUs and the process gets repeated. This mechanism is necessary in order to detect if attached Bridge has changed from RSTP to STP or from STP to RSTP. It may seem like RSTP Port will toggle between sending STP BPDUs and RSTP BPDUs every 3 seconds if that port is connected through a repeater to both STP Bridge and RSTP Bridge. However, that will not happen since leaf Bridges do not talk to Designated Bridges unless topology changes are detected. Once RSTP Bridge Port determines what BPDU to send, it will continue sending them out through that Port until topology changes is detected. 4.4 MULTIPLE SPANNING TREE (MST) NACH 802.1S Mit Per VLAN Spanning Tree wird eine Spanning Tree Struktur bezeichnet, die einem jeden VLAN einen eigenen Spanning Tree zuordnet bzw. zugrunde legt. (Anm. Red.: Der nachfolgende Text liegt leider noch nicht in Deutsch vor, das Kapitel erschien aber so wichtig, dass hier das englische Original aufgenommen wurde). 4.4.1 MST CONFORMANCE REQUIREMENTS As of this writing (802.1s Draft 9), a bridge that supports 802.1s MST must: • Support the rapid spanning tree protocol (802.1w). • Support a stated maximum number, maxSupportedSTs, of Multiple Spanning Tree Instances (MSTIs), where maxSupportedSTs is a least two. • Support a maximum number of FIDs, maxSupportedFIDs, which is at least as large as maxSupportedSTs. • Support the ability to associate each FID to a spanning tree • Support the transmission and reception of MST Region Configuration Information. • For each port support a stated number of sets of port information, where the number of sets is greater than or equal to the number of active spanning trees. • For each port be capable of supporting all instances of the Spanning Tree Protocol. • Use the bridge group address as specified in 8.14.3 of 802.1s Draft 9 (01-80-c2-0000-00). • Support the default parameters for Bridge Forward Delay and Bridge Priority parameters 48 Enterasys Networks – Design Guide • • • • Support the operation of GVRP in maxSupportedSTs spanning-tree contexts Support the VLAN bridge management functions for the bridge protocol entity for maxSupportedSTs spanning tree instances, independently. Support, in particular, management of the bridge priority parameters and of the port priority and path cost parameters for every port, independently for each of maxSupportedSTs spanning trees. Support the Vlan Management functions for maxSupportedSTs spanning tree contexts. - These requirements may change by the time 802.1s is ratified – 4.4.2 SST AND MST REGIONS The overall MST environment in a given bridged LAN can be considered as being composed of two kinds of regions: SST Regions - consists of a set of SST bridges interconnected by individual LANs without intervening MST bridges MST Regions - consists of a set of MST bridges interconnected by individual LANs without intervening SST bridges Because the assignment of VLANs to spanning tree instances is critical to the prevention of forwarding loops, all of the MST bridges in a given MST region MUST have identical MST Region Configurations. MST Region Configuration is a set of configuration information that assigns VLANs to Spanning Tree Groups (STGs) and is consistent throughout a MST Region. MST bridges with different MST Region Configurations are considered to be in different MST Regions. For adjacent bridges to ensure that they are part of the same MST Region, the I-BPDU allows an MST Configuration Identifier to be exchanged between adjacent bridges. The MST Configuration Identifier is a digest of a bridge’s VID to STCI mappings for all possible VID values. SST and MST Regions can be arbitrarily interconnected and there may be any number of links interconnecting a given pair of Regions. The following is an example of several interconnected regions (Figure 5). However the configuration that is considered most likely to be widely applicable to MST environments consists of a single MST Region acting as a backbone for several SST regions (Figure 6). 49 Enterasys Networks – Design Guide Abbildung 19: Several interconnected Regions, SST and MST. Abbildung 20: Most common expected configuration; Several SST Regions connected to a single MST Region backbone. 50 Enterasys Networks – Design Guide 4.4.3 INTEROPERABILITY BETWEEN SST AND MST A virtual bridged LAN may consist of a number of MST and SST Regions. Interoperability between MST and SST Regions is addressed by the fact that, to the SST Regions the virtual bridged LAN appears to consist of a single spanning tree where each MST Region appears in many respects to be a single bridge. To the spanning tree protocol running in SST Regions an MST Region mimics the behavior of a single SST "pseudo-bridge" bridge in the following respects: The same value for the Root Identifier and Root Path Cost is sent in the BPDUs of all ports at the edge of the MST Region. Data frames entering the "pseudo-bridge" on any port can reach any other port of the "pseudobridge" along paths entirely contained within the MST Region. Data transmitted on one port at the edge of a MST Region will not be re-admitted into another port at the edge of the MST Region, thus avoiding data loops. Therefore if an SST Region is connected to an MST Region at two or more points, then the MST Region ensures that either the Common Spanning Tree partitions the SST Region or that the appropriate ports at the edge of the MST Region are blocked. The MST Region fails to mimic the behavior of a single SST bridge in the following respects: The BPDUs transmitted by ports at the edge of the MST Region can specify different values for the Bridge Identifier and thus different values for the Port Identifier. The management functions of the MST Region's bridges are entirely independent. Therefore, if the MST Region Configuration of one or more bridges in an MST Region changes, the MST Region partitions into two or more MST Regions through the operation of the Internal Sub-Tree Protocol (ISTP). 4.4.4 THE COMMON SPANNING TREE To the SST bridges, the combination of SST bridges and MST Regions constitute a single Common Spanning Tree (CST). However, since the MST Regions mimic single bridges, the paths taken by data frames internal to the MST Region are of no concern to the SST bridges. Therefore, within a MST Region data frames can flow among MST bridges along multiple paths belonging to multiple active topologies. The following is an example of the Common Spanning Tree. 51 Enterasys Networks – Design Guide Abbildung 21: SST and MST Regions in the Common Spanning Tree. As we can see here, the MST Regions appear as single bridges to the Common Spanning Tree. 4.4.5 INTERNAL SUB-TREE PROTOCOL (ISTP) AND MST PROTOCOL In a MST environment there are two protocols that are used for communication between bridges. There are three distinct scenarios where these protocols are used. MST bridges communicate with SST bridges in adjacent SST Regions to maintain the CST, which is the basis for data connectivity across the whole virtual bridged LAN. MST bridges communicate with adjacent MST bridges, in order to establish the boundaries of the MST Region(s), and in order to exchange the information that allows an MST Region to calculate the Internal Spanning Tree (IST). MST bridges communicate with adjacent MST bridges that are members of the same MST Region, to establish the connectivity of the MSTIs that are required in order to support the MST Region Configuration. The first two scenarios are supported by the ISTP and the third is supported by the MSTP. 4.4.6 ISTP BPDU (I-BPDU) To calculate the forwarding path within a MST Region, the ISTP uses ISTP BPDUs. This BPDU is an extension to the version 2 RST BPDU, defined in IEEE P802.1w Clause 9. The additions to the RST BPDU are as follows: Octets 37-38: Version 3 Length - a value taken to represent an unsigned binary numeral equal to the length in octets of the following four parameters. Octets 39-46: IST Master Identifier - the bridge identifier of the IST Master Octets 47-50: IST Master Path Cost - the Path Cost to the IST Master within the IST 52 Enterasys Networks – Design Guide Octets 51-74: MST Configuration Identifier - An identifier of a MST Region Configuration, which is a mapping of VLANs to STGs. Octets 75 +: MSTP Record List - Contains one or more MSTP records, each of which carry spanning tree protocol parameters specific to an MSTI supported within the MST Region.(this field may be absent). 4.4.7 SUMMARY As we can see from this introduction to 802.1s, there are advantages and disadvantages to having MST configured within your network. The advantages are: Load Sharing – with bandwidth always at a premium it would be a big advantage to have all ISLs forwarding for at least one VLAN. Quick Fail over – as a result of 802.1s being built on 802.1w, network respans in a MST Region will take approximately one second. High Availability – The combination of load sharing and quick fail over will help to decrease the amount of downtime as a result of a failure in the network. The disadvantages are: There is only one big disadvantage and it is Complexity. This is a very complex functionality, as a result it will make configuration and debugging very difficult if you have tools to help you and almost impossible if you don’t have tools. 53 Enterasys Networks – Design Guide 5 Layer 3 Kommunikation 5.1 IP ADRESSIERUNG Durch die Nutzung von Netzwerkadressen kann eine neue Art der Netzwerkstruktur realisiert werden. Im Gegensatz zur topologisch „flachen“ Welt der MAC-Adressen lassen sich die Subnetze hierarchisch gliedern. Ein Internet Protokoll Netzwerk (IP-Netzwerk) besteht aus einer fortlaufenden Sequenz von IPAdressen. Alle Adressen innerhalb eines solchen Netzwerkes haben einige Ziffern mit den anderen gemeinsam. Dieser übereinstimmende Teil wird als „Netzwerk-Anteil“ bezeichnet, die verbleibenden Ziffern bilden den Host-Anteil (Rechner-Teil). Die Anzahl an Bits die bei allen Adressen im Netz gleich ist, bezeichnet man als Netzwerkmaske. Hier ein Beispiel: IP-Adresse 150.150.1.10 Netzwerkmaske 255.255.0.0 Netzwerk-Anteil 150.150 Host-Anteil 1.10 Netzwerkadresse 150.150.0.0 Tabelle 11: IP-Adressierung Jede Adresse, die bitweise mit der Netzmaske durch ein logisches UND verknüpft wird, ergibt somit die Adresse des Netzwerkes, zu der sie gehört. In einer recht frühen Phase der Entwicklung des IP Protokolls wurden einige Netze des Adressraumes zu so genannten Klassen zusammengefasst. Diese Klassen stellen die Standardgrößen für ein Netzwerk dar, die Aufteilung wurde wie folgt definiert: Abbildung 22: Einteilung des IP-Adressbereiches in Klassen 54 Enterasys Networks – Design Guide Wer den Aufbeu eines lokalen IP-Netzes plant, kann im Prinzip seine Adressen völlig frei aus wählen. Aus Sicherheitsgründen, und um trotzdem eine gewisse Konsistenz in der Adressenvergabe zu wahren, wurden jedoch einige Bereiche des Adressraumes speziell für diesen Zweck reserviert. Nur wer IP-Adressen aus diesem Bereich auswählt, kann sicher sein, bei einer Anbindung an das Internet keine Einschränkungen hinnehmen zu müssen. Die reservierten Bereiche sind im RFC1597 festgelegt: Netzwerk Prefix 10.0.0.0 - 10.255.255.255 10/8 172.16.0.0 - 172.31.255.255 172.16/12 192.168.0.0 - 192.168.255.255 192.168/16 Tabelle 12: IP-Adressen nach RFC 1597 Aus der Überlegung heraus, wie groß das eigene Netz werden soll kann somit ein geeigneter Bereich ausgewählt werden. Werden mehrere dieser IP-Netze eingesetzt, und soll eine Kommunikation zwischen diesen IP-Netzen möglich sein, ist der Einsatz eines Routers notwendig. 5.2 ROUTER Zunächst zum Begriff selber: Was ist IP Routing? Was ist ein Router? Hier ist eine Definition: IP Routing ist der Prozess, über den ein System mit unterschiedlichen Netzwerkanbindungen entscheidet, welche Verbindung ein empfangenes IP-Datagramm weitergeleitet werden soll. Während im lokalen IP-Netz die Kommunikation zwischen den Endsystemen auf MAC-Adressen basiert, findet die Entscheidung über die Wegewahl, IP-Netz übergreifend, aufgrund der IPAdressen statt. Die Netzwerkkomponenten, die diese Funktion übernehmen, heißen Router. Router zwischen Subnetzen sind Mitglied beider Netze; sie besitzen also mehrere Netzwerkschnittstellen mit unterschiedlichen IP-Adressen. Allgemein bezeichnet Routing das Verfahren der Ermittlung des Weges, den ein Paket vom Quell- zum Zielrechner zurückzulegen hat. Routing-Entscheidungen werden einzig anhand von Netzwerkadressen getroffen, indem die Netzwerkmaske auf die eigene IP-Adresse angewendet wird. Jeder Rechner im gesamten lokalen Netzwerk kennt sowohl seine eigene Adresse als auch die Subnetzmaske. Um herauszufinden, ob der Empfänger eines Datenpakets sich im selben Subnetz befindet, muss der Rechner sowohl seine eigene IP-Adresse als auch die des Adressaten bitweise mit der Subnetzmaske UND-Verknüpfen. Im lokalen Netzwerk sind damit die Regeln der Routenfindung für die einzelnen Rechner sehr einfach: • Ist das Zielnetzwerk gleich dem eigenen Netzwerk, so werden die Daten direkt an den Empfänger gesendet. 55 Enterasys Networks – Design Guide • Ist das Zielnetzwerk nicht das eigene Netzwerk, so werden die Daten an ein Router des lokalen Netzwerks gesendet. Es ist nun Aufgabe dieses Routers, das Datenpaket weiter zu vermitteln. Computer 150.150.1.10 255.255.0.0 150.150.1.1 255.255.0.0 Router 150.151.1.1 255.255.0.0 150.151.1.30 255.255.0.0 Computer Abbildung 23: Aufbau einer IP-Verbindung Ein bitweise UND-Verknüpfung der • Ziel-MAC-Adresse 150.151.1.30 • und der SUBNET-Maske 255.255.0.0 • ergibt die Zielnetzwerknr. 150.151.0.0 Eine bitweise UND-Verknüpfung der • Quell-MAC-Adresse 150.150.1.10 • und der SUBNET-Maske 255.255.0.0 • ergibt die Quellnetzwerknr. 150.150.0.0 Station A vergleicht die Netzwerknummern und erkennt, dass sich die Stationen nicht in einem IP-Netz befinden. Station A startet mit dem Durchsuchen seiner Routingtabelle. Befindet sich die MAC-Adresse vom Router in der ARP-Tabelle von Station A, wird die Verbindung aufgebaut, ansonsten muss die MAC-Adresse über einen ARP-Request aufgelöst werden. Um nun ein IP- 56 Enterasys Networks – Design Guide Paket vermitteln zu können, muss ein Rechner die Hardwareadresse des Netzwerksystems kennen, an das das Paket als nächstes zu senden ist. Bis ein Paket seinen Bestimmungsort erreicht, durchläuft es mitunter zahlreiche Router. In jedem dieser Router muss entschieden werden, wohin das Datenpaket im nächsten Schritt zu senden ist. Für die Adressermittlung wurden folgende Vorgehensweisen definiert: • Umsetzung von IP- in Hardwareadressen mittels dynamischer Tabellen, die regelmäßig aktualisiert werden. Dazu wird das ARP, Adress Resolution Protocol, verwandt. Ein Rechner, der ein IP-Paket senden möchte, schaut als erstes in seiner ARP-Tabelle nach, ob ein zugehöriger Eintrag (Paar aus IP- und MAC-Adresse) existiert. Wenn ja, verwendet er die gespeicherte Hardwareadresse bereits. Wenn nein, kommt das Address Resolution Protocol zum Zuge. Der Rechner sendet nun einen Broadcast (eine Nachricht, die gleichzeitig an mehrere Rechner eines zumeist lokalen Netzwerkes geht) aus, mit der Bitte, dass der Rechner, zu dem die IP-Adresse gehört, seine Hardwareadresse übermitteln möge. Genau jener Rechner sendet darauf hin eine Antwort. Erst jetzt kann der Rechner das IP-Paket zu seinem nächsten Bestimmungsort schicken. A A 150.150.1.10 255.255.0.0 150.150.2.20 255.255.0.0 Host B Host A Station A findet die Ziel MAC-Adresse nicht in seiner ARP-Tabelle Station A lernt die MAC- und IP-Adressen und ergänzt seine ARP-Tabelle Station A sendet ARP-Request für 150.150.2.20 als Broadcast in das Netz Station B sendet ARP-Reply mit seiner MACAdresse zurück an Station A Station B überprüft die MAC- und IP-Adressen des ARP-Requests und erneuert evtl. seine ARP-Tabelle Abbildung 24: Ablauf des ARP-Protokolls Die soeben ermittelte Hardwareadresse bekommt ihren Platz in der ARP-Tabelle, um im Falle einer späteren Übermittlung sofort den Adressaten parat zu haben. Befindet sich das Zielsystem in einem anderen IP-Subnetz, wird die Adresszuordnung zwischen dem sendenden System und dem Router ermittelt. 57 Enterasys Networks – Design Guide IP-Adresse MAC-Adresse 150.150.1.1 00-00-c0-ab-12-a2 150.150.1.2. 00-00-bc-12-ad-7a 150.15.02.10 00-80-ab-fe-12-34 150.150.2.10 00-00-c0-12-ab-cf Tabelle 13: Beispiel einer ARP-Tabelle Die ARP-Tabelle ist allerdings in ihrer Kapazität beschränkt, somit werden ältere Einträge zyklisch entfernt (meist nach 10 Minuten des Nichtgebrauchs). Das Verfahren hat den Vorteil, dass die Tabelle auch auf Veränderungen im Netz reagiert, weil bspw. die IP-Adresse einem anderen Rechner zugewiesen wurde. Bei einer routerübergreifenden Kommunikation wird das eigentliche Datagramm verändert. Der Router ersetzt die Source-MAC-Adresse und die Destination-MAC-Adresse durch seine eigene MAC-Adresse bzw. durch die MAC-Adresse des nächsten Zielsystems (dies kann sowohl das Zielsystem selber als auch der nächste Router sein). Der IP-Adressen-Teil des Datagrammes bleibt dabei während der gesamten Kommunikation unberührt. Wie dieser Ablauf aussehen kann, sehen Sie in der folgenden Abbildung. A Computer R Router B Computer Abbildung 25: Veränderung des Datagrammes durch einen Router Eine weitere Aufgabe eines Routers ist die Fehlerbegrenzung. Router leisten eine Fehlerbegrenzung nicht nur auf Ebene 2, sondern auch auf der Netzwerkebene. Fehlerpakete beschränken sich dadurch auf das Subnetz ihres Entstehens und werden nicht über das ganze Netz verbreitet. Teilweise generieren Router Fehlermeldungen mit dem Grund des Nicht- 58 Enterasys Networks – Design Guide transports. Router begrenzen den lokalen Verkehr. Schickt eine Station ein Paket an eine Station des gleichen Subnetzes, transportiert der Router dieses Paket nicht in andere Subnetze. Router realisieren durch die Implementierung verschiedener Protokolle auch komplexe Wegwahlverfahren, die zur Optimierung nach verschiedenen Kriterien eingesetzt werden können. Dies ist wohl das wichtigste Unterscheidungsmerkmal zu Bridges/Switches. Grundsätzlich gibt es zwei Protokollelemente, die für die Kommunikation auf Ebene 3 zu unterscheiden sind: und 5.3 • Das routbare Protokoll, hier IP welches das Paketformat und die Adressierung sowie die Kommunikation zwischen Endsystemen vorgibt, • das Routingprotokoll (Router-Router-Protokoll), welches zwischen Routern abläuft und den dynamischen Aufbau der Wegwahltabellen ermöglicht (z.B. RIP). ROUTING- PROTOKOLLE Große Netzwerke mit mehreren Subnetzwerken und somit auch mehreren integrierten Routern können auch im lokalen Netz den Aufwand des Einrichtens eines Routing-Protokolls rechtfertigen. Notwendig werden dynamische Routingverfahren, wenn unterschiedliche Wege zu ein und demselben Ziel existieren. Auch hier könnte eine statische Route Pakete stets über ein und denselben Router leiten, jedoch würde ein solches Konzept nicht auf Änderungen im Netz (z.B. Ausfall eines Routers) reagieren können und dem Sinn mehrerer Routen zuwider laufen. Routing Protokolle sind Protokolle, die zwischen Routern ablaufen. Dadurch wird der dynamische Aufbau von Routingtabellen ermöglicht. Typische, standardisierte und damit herstellerunabhängige Routingprotokolle sind RIP V1, RIP V2, OSPF und BGP-4. 59 Enterasys Networks – Design Guide 6 Multicast 6.1 VORBEMERKUNGEN ZUR ERLÄUTERUNG VON MULTICASTS Ein Autoradio wird eingeschaltet. Der Lieblingssender ist on Air. Der Zuhörer genießt die Sendung. Die Fahrt wird kurzweilig. Zuhause vor dem Computer. Surfen im weiten Rund des WWW ist angesagt. Zuerst auf die Homepage des Lieblingssenders, um das Webradio einzuschalten. Aus den Computerlautsprechern klingt die Stimme des Moderators. Jetzt macht das Surfen doppelt so viel Spaß. Zwei unterschiedliche Übertragungsvorgänge mit dem gleichem Ziel: Radiohören. Ein Sender und sehr viele Empfänger. Aus Sicht der Datentechnik treffen hier aber zwei Welten aufeinander. • • • 6.2 Bei der On Air Übertragung werden elektromagnetische Wellen an einer Antenne abgestrahlt. Die Räumliche Ausbreitung ist von der Sendeleistung abhängig. Die Anzahl der Zuhörer ist unbegrenzt. Der Zuhörer kann jederzeit den Sender wählen, in laufende Sendung hineinhören oder abschalten. Bei der Datenübertragung durchs Web werden die Daten von einem Server oder einer Serverfarm aus an viele Empfänger übermittelt. Es gibt keine Limitierung der räumlichen Ausbreitung. Jeder, der an das WWW angeschlossen ist, kann den Sender empfangen. Die Stimme kommt in Frankfurt, Rio oder Tokio mit der gleichen Qualität an. Die Leistungsfähigkeit der Server und der Router des WWW wird hierbei nicht bis an die Grenzen beansprucht. Dies ist durch Multicasting möglich. GRUNDLAGEN Die Datenübertragung beim Multicast basiert auf drei Säulen: • • • Adressierung der Daten Dynamische An-/Abmeldung an einer Session Routing der Multicast Pakete In diesem Kapitel werden die Strukturen der Layer 2 und Layer 3 des OSI Modells betrachtet. Protokolle, die auf dem Layer 3 aufbauen, werden nicht diskutiert. In der Datentechnik findet der Datenaustausch aufgrund der eindeutigen Adressierung statt. Es gibt immer eine Source (Sender) und eine Destination (Ziel) Adresse. Source- und DestinationAdressen sind eindeutig auf Layer 2 (MAC Layer) und Layer 3 (IP Layer) des OSI Referenz Modells. Switche leiten die Pakete aufgrund der MAC-Zieladresse (Layer 2), Router leiten die Pakete aufgrund der IP-Zieladresse auf Layer 3. 60 Enterasys Networks – Design Guide 6.2.1 ADRESSIERUNG VON DATEN Es gibt drei Arten, Daten zwischen aktiven Endgeräten zu übertragen: • Broadcast: Einer erreicht alle. Broadcast ist eine Adressierung, bei der alle aktiven Komponenten einer Domäne angesprochen werden. Eine Domäne ist z.B. ein IPSubnetz. Broadcast hat auf Layer 2 die Zieldresse FF:FF:FF:FF:FF:FF • Unicast: Nur wir beide miteinander. Wenn zwei aktive Komponenten miteinander kommunizieren, findet der Datenaustausch nur zwischen diesen beiden Endgeräten statt. Sowohl die MAC- als auch die IP-Adresse sind bekannt. Andere Komponenten der Domäne werden bei der Unicast-basierten Kommunikation nicht einbezogen, weil der Switch die Pakete nur zwischen den beiden Teilnehmen weiterleitet. • Multicast: Einer erreicht viele. Wie beim Radio, Onlinediensten oder Börsen-Ticker erreicht ein Sender viele Empfänger. In der Datentechnik wird diese Kommunikation durch das Multicastverfahren realisiert. 6.2.2 MULTICAST -ADRESSE Alle Multicastadressen haben als Ziel eine IP-Adresse der Klasse D. Die Länge der IP-Adresse beträgt 32 Bit (4 Byte). Die ersten drei Bits haben den Wert 1. Der Adressbereich erstreckt sich von 224.0.0.0 bis 239.255.255.255. Die Adressen zwischen 224.0.0.0 und 224.0.0.255 sind reserviert um z.B. OSPF-Hallo-Frames zu adressieren. Die Multicastadressen sind intern nicht strukturiert, d.h. sie verfügen über keine Subnetzmaske. Eine klassische Multicastadresse ist z.B. 224.11.0.5. Die Layer-2-Adresse ist 48 Bit (6 Byte) lange. Die ersten drei Bytes spezifizieren den Hersteller der Netzwerkkomponente und die restlichen Bytes bestimmen die eindeutige Hostadresse. Enterasys Networks hat als Hersteller z.B. die MAC Adresse ist 00-00-1d. Das IEEE-Komitee vergab den Multicast-Adressen mit 01-00-5E einen festen „Organizationally Unique Identifier“ (OUI). Damit sind die ersten 24 Bits (3 Bytes) der Layer-2-Adresse eindeutig definiert. Das 25-te Bit ist reserviert und steht immer auf 0. Damit bleiben die restlichen 23 Bits für das Mapping der IP-Adresse übrig (32 Bits). Der Layer-2-Adressbereich erstreckt sich von 01:00:5e:00:00:00 bis 01:00:5e:7f:ff:ff. Die IP-Multicast-Adressen (Layer 3) werden auf MAC-Adressen (Layer 2) abgebildet. Eine exakte Zuordnung ist nicht möglich. Es werden die ersten fünf Bits der Gruppenkennung einer IPMulticast-Adresse ignoriert und nur die folgenden 23 Bit berücksichtigt. Fehlleitung von Multicast-Paketen durch MAC-Adresse Die Folge ist, dass unterschiedliche Class-D-Adressen eine gemeinsame Multicast-MACAdresse verwenden. Endsysteme können deshalb Multicast-Pakete empfangen, die eigentlich nicht für sie bestimmt sind, i.e. wenn sich ihre IP-Multicast-Adressen nur in den wegfallenden fünf Bit unterscheiden. Diese Multicast-Pakete passieren die Verbindungsschicht (Layer 2), werden jedoch auf der Netzwerkschicht (Layer 3) verworfen, weil keine Anwendung die IPMulticast-Adresse angefordert hat oder verarbeiten kann (UDP Port). Der ganze Vorgang geht jedoch auf Kosten der Rechenleistung. 61 Enterasys Networks – Design Guide Beispiel: Die IP Adresse 224.11.0.5 (Layer 3) soll auf MAC-Adresse (Layer 2) abgebildet werden: MAC Adresse 01-00-5e-0b-00-05 Damit werden folgende MC IP Adressen auf die gleiche MAC-Adresse abgebildet: 224.11. 0.5 225.11.0.5 226.11.0.5 227.11.0.5 228.11.0.5 229.11.0.5 230.11.0.5 231.11.0.5 232.11.0.5 233.11.0.5 234.11.0.5 235.11.0.5 236.11.0.5 237.11.0.5 238.11.0.5 239.11.0.5 224.139. 0.5 225.139.0.5 226.139.0.5227.139.0.5 228.139.0.5 229.139.0.5 230.139.0.5 231.139.0.5232.139.0.5 233.139.0.5 234.139.0.5 235.139.0.5 236.139.0.5 237.139.0.5238.139.0.5 239.139.0.5 6.2.3 DYNAMISCHE AN- /A BMELDUNG . Der Radiohörer kann jederzeit den Sender wählen, in laufende Sendungen hineinhören oder abschalten In der Sprache der Datentechnik heißt das, dass ein Host (Endstation) einer Multicastgruppe jederzeit beitreten oder diese verlassen können muss. Der An- bzw. Abmeldevorgang zwischen Host, Switch und Router wird über IGMP (Internet Group Membership Protokoll) realisiert. In der IGMP Version 1 wurde folgendes definiert: Ein Multicast-Router sendet regelmäßig an die Hosts Anfragen (Host Membership Query), ob diese einer Multicastgruppe angehören. Gehört ein Host einer Multicastgruppe an, sendet er dem Router eine Antwort zu (Host-Membership-Report), aus der hervorgeht, welcher Multicastgruppe der Host angehört. Falls ein Host einer Gruppe angehören will, muss er nicht auf eine Anfrage des Routers warten, sondern er sendet einen Host-Membership-Report an den lokalen Router. IGMP V2 ergänzt IGMP V1 um die dynamische Abmeldung aus einer Session. Wenn ein Host eine Multicast-Session verlassen will, sendet er eine Leave-Group-Message an den lokalen Router. Der Router überprüft, ob es noch andere Mitglieder dieser Multicast-Gruppe gibt. Sind keine weiteren Mitglieder vorhanden, wird durch den lokalen Router kein Multicast-Packet weitergeleitet. 6.2.4 MULTICAST -ROUTING -PROTOKOLLE Für ein effizientes Weiterleiten des Multicast-Traffic müssen die Router einen Multicast-Baum aufbauen. Ein Multicast-Routing-Protokoll hat die Aufgabe, eine MC-Baum zwischen den Routern aufzubauen. Durch ein MC-Baum wird der Pfad zwischen Sender zum Empfänger eindeutig bestimmt. Es muss sichergestellt werden, dass keine Loops entstehen und jeder Hosts sich dynamisch an- und abmelden kann. Es gibt zwei Möglichkeiten, einen MC Baum aufzubauen: • Source Based Tree: Ist der kürzeste Weg vom Sender zum Empfänger. Vertreter des Source-Base-Tree-Verfahrens sind Distance Vector Multicast Routing Protokoll (DVMRP), Multicast Open Shortest Path First (MOSPF) und Protocol Independent Multicast Dense Mode (PIM-DM). Für jeden Multicast-Sender wir ein MC Baum 62 Enterasys Networks – Design Guide aufgebaut. Bei DVMRP und MOSPF wird davon ausgegangen, dass sich überall Gruppenmitglieder befinden und den Multicast-Baum am Anfang überall MC-Pakete liefert, die dann schrittweise durch Pruning reduziert werden. • Shared Base Tree: Shared Trees benutzen Rendezvous Points (RP). Sender und Empfänger müssen sich an den RP anmelden. Es wird ein einziger MC-Baum aufgebaut. Der Baum wird nur zwischen den Gruppenmitgliedern aufgebaut. Das Protokoll Independent Multicast Sparse Dense Mode (PIM-SM) arbeitet nach dem Shared Based Tree Verfahren. 6.2.5 DISTANCE VECTOR MULTICAST ROUTING PROTOCOL (DVMRP) Das Multicastprotokoll DVMRP wurde auf der Basis des Distanz-Vektor-Algorithmus entwickelt und ist eine Erweiterung von RIP (Routing Information Protokoll). DVMRP ermittelt den kürzesten Weg zwischen Empfänger und Sender. Der Berechnungsursprung ist der Empfänger. Bei der Verwendung von DVRMP muss zusätzlich noch RIP (für Unicast-Routing) implementiert sein. DVMRP arbeitet nach dem „flood and prune protocol“ Prinzip. Pruning (pruning = beschneiden): Der Sender schickt Daten an die Multicastgruppe 232.11.0.5. Die Pakete werden an alle Router weitergeleitet (flooding). Die Router fragen per IGMP, ob sich in Usersegmenten Mitglieder der Multicastgruppe befinden. Sind keine zugehörigen Gruppenteilnehmer vorhanden, sendet der Router an den Nachbar eine Prune-Nachricht im Multicast-Baum zurück. Grafting: Die Anmeldung an einen Multicast-Gruppe wird über den Grafting-Mechanismus realisiert. Ein User sendet eine IGMP-Nachricht an den lokalen Router. Dieser sendet eine GraftNachricht zum den Nachbar Routern. Der MC-Baum wird erweitert. 6.2.6 MULTICAST OSPF (MOSPF) Das MOSPF (Multicast Open Shortest Path First) ist eine Erweiterung von OSPF. Grundlage bildet Link State Routing. Jeder Router kennt die lokalen Nachbarn und die komplette IP Infrastruktur. Über die Topologie des Netzes wird der kürzeste Pfad vom Sender zu der Multicastgruppe berechnen. Für jedes Paar (Sender/Gruppe) wird ein eigener MC-Baum berechnet. Die Vorteile eines Link-State-Algorithmus im Vergleich zum Distanz-Vektor Algorithmus liegen in der schnelleren Konvergenz des Verfahrens. Dafür muss jedoch die Gruppenmitgliedschaft durch das gesamte Netz gesendet werden. Aus diesem Grund ist MOSPF nur für das Routing in autonomen Systemen von begrenzter Größe geeignet. 6.2.7 PROTOCOL INDEPENDENT MULTICAST (PIM) PIM realisiert zwei verschiedene Routing-Strategien. Der PIM Dense-Mode basiert auf Flooding und Pruning, beim PIM Sparse-Mode soll das Fluten im gesamten Netzwerk vermieden werden. 63 Enterasys Networks – Design Guide 6.2.8 PIM DENSE MODE Wie der Begriff dense schon sagt, geht man davon aus, dass die Multicast-Gruppen-Mitglieder dicht verteilt im Netzwerk sind. Es steht ausreichend Bandbreite zur Verfügung. DM wurde entwickelt unter der Annahme, dass alle Netzwerke Multicast-Gruppen besitzen. Beim DM wird der Aufbau und Erhalt eines MC-Baums durch regelmäßiges Fluten realisiert, um jedes Subnetz im Netzwerk zu erreichen. Will ein Sender eine Sitzung anmelden, sendet er ein Multicast-Frame an den lokalen Router. Dieser leitet die Pakete auf allen Interfaces weiter, außer auf dem, wo es ankam. Damit erhalten alle Router dieses. Wenn nun ein Multicast Router ein solches Paket erhält, fragt er per IGMP in den Usersegmenten, ob es Mitglieder dieser Multicast-Gruppe gibt. Falls nicht wird er das Subnetz „prunen“. Gehört der Router selber nicht zum MC-Baum, geht er in den prune Status. 6.2.9 PIM SPARSE MOD-EINE NEUE IDEE. Beim PIM-SM wird die Annahme gemacht, dass es keine Teilnehmer einer bestimmten Multicast-Gruppe gibt. Auf das „flood and prune“ Prinzip wird verzichtet. In PIM-SM existieren ausgewählte Router als so genannte Rendezvous Points (RP), bei denen sich die Teilnehmer zuerst anmelden müssen, bevor sie Multicast-Pakete einer bestimmten Gruppe erhalten. Die MC Sender müssen sich ebenfalls am RP anmelden. Ein PIM-SM-Netz kann aus einem oder mehreren RPs bestehen, welche dann auch für verschiedene MulticastGruppen zuständig sind. PIM-SM realisiert Shared Trees. Diese sind über einen RP miteinander verbunden. Beim Shared Tree schicken die Sender ihre Pakete an den RP. Dieser hat die Informationen, wer die Multicast-Pakete empfangen will und leitet diese weiter. Ab einem gewissen Schwellenwert kann der RP den Shared Tree in einen Source-Based Tree umwandeln. Das heißt, dass der Verkehr nicht mehr über den RP läuft, sondern zwischen Sender und Empfängern direkt übermittelt wird. PIM SM bringt wesentliche Verbesserungen gegenüber dem „floot and prune“ Verfahren. Es basiert nicht auf dem Fluten von Multicast-Paketen, sondern auf einem expliziten Anmeldeverfahren. Es kombiniert die Möglichkeiten des Source-Based Tree (kürzester Pfad von Sender zu Empfänger) und des Shared Tree (nur Router im Pfad, die Teilnehmer haben) und geht effizienter mit Bandbreite um. 64 Enterasys Networks – Design Guide 7 Layer 3 Protokolle 7.1 OSPF Der Begriff OSPF steht für „Open Shortest Path First“ und stellt neben RIP (siehe Kapitel RIP) eine weitere Methode zur dynamischen Erstellung einer Routingtabelle bei Routern dar. Der Begriff OSPF setzt sich aus “Open” (da die Spezifikationen öffentlich zugänglich sind) bzw. SPF (basierend auf Dijkstra’s „Shortest Path First“- Algorithmen) zusammen. OSPF ist ein IGP (Interior Gateway Protocol). und wurde 1980 von der „working group of the IETF“ entwickelt. IGPs nennt man Routing Protokolle innerhalb eines AS (Autonomen Systems). Ein AS kennzeichnet eine Gruppe von Netzwerken und Routern, die von einer lokalen Administration verwaltet werden. 7.1.1 RFCS • Der OSPF Algorithmus bzw. verwandte Themen sind in folgenden RFCs beschrieben: • RFC 2328: Open Shortes Path First (OSPF) V2 Protocol • ältere Versionen: RFC 1131, RFC 1247, RFC 1583, RFC 2178 • RFC 1584: Multicast Extensions to OSPF • RFC 1850: OSPF Version 2 Management Information Base • RFC 2740: OSPF for IPv6 • RFC 1812: Requirements for IPv4 Routers 7.1.2 FUNKTIONSWEISE Im Gegensatz zu dem Distance-Vector-Protokoll RIP ist OSPF ein Link-State-Protokoll. Bei einem Link-State-Protokoll haben die Router eine globale Sicht der Topologie und wissen – mit gewissen Einschränkungen - über alle Router bzw. alle Links zwischen den Routern Bescheid. Alle Router verfügen somit über eine Topologiedatenbank ihrer Umgebung. In dieser Topologiedatenbank sind die Router und deren Verbindungen untereinander gespeichert. Die Verbindungen weisen zudem konfigurierbare Kosten auf. Anhand der Topologiedatenbank wird nun der beste Weg in das Zielnetz mit Hilfe der Dijkstra SPFs (Shortest Path First) Algorithmen berechnet. Im Fehlerfall kann rasch ein Ersatzweg berechnet werden (es sind ja alle alternativen Wege bekannt). Der Informationsaustausch zwischen den Routern erfolgt über Link State Advertisements (LSAs). Jeder Router überwacht periodisch seine lokalen Links und gibt Topologieänderungen („Link up“ und „Link down“) mittels solcher LSAs weiter. Die Änderungen werden so dem gesamten Netz bekannt gegeben. Die Topologiedatenbanken der einzelnen Router werden entsprechend des Inhalts der LSAs beibehalten bzw. angepasst. OSPF bietet gegenüber RIP einige entscheidende Verbesserungen (wie schnellere Reaktion auf Veränderung im Netz) und ist daher bei neueren Netzen i.A. das Routing-Protokoll der Wahl. 65 Enterasys Networks – Design Guide OSPF bietet ferner Authentifizierung von routing updates und nutzt IP-Multicasts beim Versenden bzw. Empfangen der updates. Eines der Design-Ziele von OSPF war außerdem, ein rasches Reagieren bei Topologieänderungen zu gewährleisten, ohne dabei zu viel Protokolloverhead zu erzeugen. 7.1.3 DAS AREAKONZEPT Innerhalb eines AS kann die gesamte OSPF-Domain in mehrere Areas geteilt werden. Die Topologiedatenbank der einzelnen Router enthält nur die Topologie der Area, in der sich der Router befindet. Topologiedatenbanken von Routern, welche sich in derselben Area befinden, sollten demnach identisch sein. Jede Area wird durch eine ID (im IP-Adressenformat) gekennzeichnet Möglich sind: 0.0.0.1 bis 255.255.255.255. Diese ID kann frei gewählt werden und ist unabhängig von den IP-Adressen. Die Anzahl der Router innerhalb einer Area ist von verschiedenen Faktoren abhängig (Router-Spezifikationen, Grad der Vermaschung u.s.w), als Richtwert kann ein Maximum von 50 Routern pro Area gewählt werden. Eine OSPF Domain kann aus nur einer Area aufgebaut werden oder mehrere Areas beinhalten. OSPF Areas müssen dabei über eine spezielle Area, die so genannte Backbone Area (Area-ID 0.0.0.0) miteinander verbunden werden. In der Backbone Area sind keine Benutzer bzw. Server erlaubt. Demnach müssen OSPF-Domains mit mehr als einer Area eine Backbone Area beinhalten. Abbildung 26: Area-Konzept 7.1.4 METRIK Die Ermittlung des besten Pfades basiert auf Kosten, die die einzelnen Teilstrecken verursachen. Die Kosten sind von der Bandbreite der jeweiligen Links abhängig und werden in einem dafür vorgesehenen Feld definiert; das Limit beträgt 65,535. 66 Enterasys Networks – Design Guide 7.1.5 OSPF ROUTER CLASSIFICATION In einer OSPF –Domain wird zwischen 4 verschiedenen Router Typen unterschieden • Internal Router: Ein Internal Router besitzt alle Interfaces in derselben AreaArea Border Router (ABR): Area Border Routers sind Router, die an mehrere Areas angeschlossen sind und somit den Datentransport zwischen diesen Areas übernehmen können. Ein ABR besitzt eine Topologiedatenbank je Area. OSPF Areas müssen dabei in der Regel immer über die Backbone Area miteinander verbunden werden. Ein ABR ist demnach i.A. immer auch an die Backbone Area angeschlossen. Jeder Area Border Router fasst die Topologie der angeschlossenen Areas zusammen und gibt das Ergebnis an die jeweils andere Area weiter. Ebenso werden die Routen jeder Area in die jeweils andere Area wie externe Routen bekannt gegeben. • Autonomous System Boundary Router (ASBR) : Ein Autonomous System Boundary Router stellt Verbindungen zu anderen Autonomen Systemen (AS) her, Pfade werden dabei etwa über BGP oder mittels statischer Konfiguration importiert (OSPF-ASE Routen). Ein ASBR kann ein Internal Router (Backbone oder andere Area) oder ein ABR sein. • Backbone Router: Ein Backbone Router hat zumindest ein Interface in der Backbone Area. Auch Area Border Routers sind somit Backbone Routers. 67 Enterasys Networks – Design Guide Abbildung 27: Router Classification 7.1.6 VIRTUAL LINKS OSPF Router müssen i.A. alle Interfaces in einer Area besitzen oder ein Interface in der Backbone Area haben. Werden Areas definiert, die keine direkte Verbindung (über einen ABR) zum Backbone besitzen, kann man diese Verbindung lediglich durch einen „Kunstgriff“ – über einen so genannten Virtual Link – herstellen. Dabei wird durch einen Tunnel über eine Transit Area (die dazwischen liegende Area) eine Verbindung zum ABR und somit zum Backbone Area hergestellt. Die Technologie der Virtual Links dient in erster Linie dazu Verbindungen während etwaiger Umstellungen herzustellen. Da durch den Einsatz von Virtual Links ein single point of failure entsteht, sollten Virtual Links lediglich zur temporären Verbindungsherstellung verwendet werden. 68 Enterasys Networks – Design Guide Abbildung 28: Virtual Link 7.1.7 SPEZIELLE AREAS Um die Speicheranforderungen kleinerer Router einer Area gering zu halten wurden spezielle Areas entwickelt: • Stub Area: Ein Router in einer Stub Area kennt zwar immer noch alle Routen der gesamten OSPFDomain, die Routen von anderen Autonomen Systemen sind ihm jedoch unbekannt (für alle OSPF-ASE Routen bekommt er vom ABR eine Default.Route). Der Weg zu oder aus einer Stub Area erfolgt immer über einen der ABRs. Stub Areas dürfen keinen ASBR beherbergen (Ausnahme: Not So Stubby Area). Stub Areas müssen zumindest einen ABR beinhalten, wenn mehrere ABRs bestehen, kann es zu nicht optimalen Routing Pfaden kommen. Virtual Links sind in einer Stub Area nicht erlaubt. • Totally Stubby Area: Eine Sonderform der Stub Area ist die Totally Stubby Area. Ein Router in einer Totally Stuby Area kennt nur noch die Routen innerhalb seiner Area. Um auch Routen in anderen Areas oder in anderen Autonomen Systemen zu erreichen erhält er vom ABR eine Default Route. 69 Enterasys Networks – Design Guide • Not So Stubby Area (NSSA): Auch Not So Stubby Areas sind eine Sonderform der Stub Areas. Im Gegensatz zur Stub Area darf eine NSSA jedoch einen ASBR beinhalten. Von diesem bekommt es die Routen für das entsprechende AS und gibt diese auch an den Backbone weiter. Für andere Autonome Systeme erhält das NSSA vom ABR wiederum eine Default Route. Abbildung 29: Unterschiedliche Areas 7.1.8 LSA – LINK STATE ADVERTISEMENTS Der Informationsaustausch zwischen den Routern erfolgt über Link State Advertisements (LSAs). Dabei werden zwischen verschiedenen Typen unterschieden: • Hello Packets (LSA Packet Type 1): Wird ein OSPF-Router gestartet sendet er an allen OSPF Interfaces Hello Packets aus. Dazu verwendet er als Destinationsadresse die 70 Enterasys Networks – Design Guide Multicast Adresse 224.0.0.5. Die anderen OSPF Router antworten mit Hello Response Packets, womit eine bidirektionale Kommunikation zwischen zwei Nachbar Routern aufgebaut ist. • Database Descriptions (LSA Packet Type 2): Hier geben die Router durch Senden von Database Descriptions ihre jeweiligen Topologie Datenbanken bekannt. • Link State Requests (LSA Packet Type 3), Link State Updates (LSA Packet Type 4): Die Router senden dann solange Link State Requests bzw. Link State Updates bis ihre Topologiedatenbanken übereinstimmen. Danach gelten die Router als „adjacent“ (auch „full“). • Link State Acknowledgement (LSA Packet Type 5): Jedes LSA Packet wird durch ein Link State Acknowledgement Packet quittiert, es können auch mehrere LSA Packets mittels eines Acknowledgements quittiert werden. 7.1.9 DESIGNATED ROUTER Im Allgemeinen sind die Router über Punkt-zu-Punkt Links miteinander verbunden. Ist dies jedoch nicht der Fall, wie zum Beispiel im LAN oder bei X.25, so würden unnötig viele Adjacencies bzw. Nachbarschaften entstehen. Deshalb wird über die Hello LSAs pro Segment je ein Designated Router bzw. für einen etwaigen Ausfall dieses Routers ein Backup-Router bestimmt. Der Designated Router unterhält in seinem Segment über virtuelle Punkt-zu-Punkt Links alle Nachbarschaften. 7.1.10 INFOS UND LINKS: http://www.ietf.org/html.charters/ospf-charter.html http://www.ietf.org/html.charters/mospf-charter.html http://www.ietf.org/rfc/rfc2328.txt 7.2 7.2.1 VRRP VIRTUAL ROUTER REDUNDANCY PROTOCOL GRUNDLAGEN Im Juni 1997 wurde die IETF-Arbeitsgruppe Virtual Router Redundancy Protocol (VRRP) ins Leben gerufen. Ziel der Arbeitsgruppe war es, ein Protokoll zu definieren, mit dem mehrere Router zu einem virtuellen Router zusammengefasst werden können, der unter einer virtuellen IP-Adresse angesprochen werden kann. Dabei sollte dieser Mechanismus sowohl für IPv4 als auch für IPv6 bereitgestellt werden können. Die Notwendigkeit hierfür liegt in der Konfiguration von Endgeräten begründet. Endknoten werden meist mit statischen Adressen für das Default Gateway bzw. Routing-Tabellen konfiguriert. Das führt zu einem Single Point of Failure da eine dynamische Konfiguration nur schwer oder gar nicht möglich ist. Dies trifft auch für die Konfiguration mittels DHCP zu. 71 Enterasys Networks – Design Guide VRRP ermöglicht es, mehrere Router (Layer 3 Switches) über ein- und dieselbe IP-Adresse anzusprechen. Die Vermittlung und Weiterleitung der Pakete wird dabei natürlich nur von einem System vorgenommen, dem so genannten Master. Alle anderen Router werden im regulären Betrieb als Backup-Systeme genutzt und sind zunächst inaktiv. Im ersten Arbeitsschritt legt das Protokoll dabei jeweils Master- und Backup-System fest. Wird dabei mit einer virtuellen IPAdresse gearbeitet, so wird zunächst verglichen, ob die virtuelle IP-Adresse mit der IP-Adresse eines VRRP-Routers übereinstimmt. Ist dies der Fall, so wird der Router mit dieser IP-Adresse zum Master. Für den Fall, dass keiner der VRRP-Router mit der virtuellen IP-Adresse konfiguriert wurde, wird als Entscheidungskriterium die VRRP-Priorität herangezogen. Weisen mehrere Geräte die gleiche Priorität auf, so wird der Router mit der höheren IP-Adresse der Master. Im Fehlerfall übernimmt das Backup-System sowohl die virtuelle IP-Adresse als auch die zugehörige MAC-Adresse. Für die Endgeräte ist dieser Vorgang daher sowohl auf Layer 2 als auch auf Layer 3 transparent. Eine Master-Neuwahl für eine VRID erfolgt, wenn ein bisheriger Master bekannt gibt, diese Rolle aufzugeben, oder falls die Backup-Router erkennen, dass dieser nicht mehr wie gefordert die Bekanntgabe-Pakete innerhalb einer durch die von diesem zuletzt verwendeten „Advertisement Interval” festgelegten Zeit versandt hat. Damit diese Bekanntgabe-Pakete im Normalfall den Backup-Router erreichen, ist sicherzustellen, dass zwischen den beteiligten VRRP-Interfaces eine Layer-2-Verbindung existiert. Einzig der Master reagiert auf ARP-Anfragen an die virtuelle Adresse; diese virtuelle Adresse ist innerhalb des IEEE 803-Standardformates für MAC-Adressen definiert als 00-00-5E-00-01 gefolgt von der VRID; die Adresse entstammt dem IANA-OUI. Die maximale Anzahl von unterschiedlichen VRIDs ist auf 255 beschränkt. 7.2.2 DESIGNBEISPIELE FÜR ENTERASYS EXPEDITION ROUTER Netz 172.16.1.0/24 Netz 172.16.2.0/24 L2 BB-1 B S 0 A X S 1 E - SSR G -SX21 0-2 B S 0 A X S 1 E - SSR G -SX21 0-2 B S 0 A X S 1 E - SSR G -SX21 0-2 B S 0 A X S 1 E - CONTROLMODULE SSR-8 BB-2 SSR G -SX21 0-2 SSR H -TX22 0-8 B 0 1A T S X E /0 1- SSR H -TX22 0-8 B 0 1A T S X E /0 1- SSR G -SX21 0-2 B S 0 A X S 1 E - SSR G -SX21 0-2 SSR G -SX21 0-2 B S 0 A X S 1 E - L3 CONTROLMODULE SSR-8 Abbildung 30: Design mit Expition Router 72 SSR G -SX21 0-2 B S 0 A X S 1 E - B S 0 A X S 1 E - SSR H -TX22 0-8 B 0 1A T S X E /0 1- SSR H -TX22 0-8 B 0 1A T S X E /0 1- Enterasys Networks – Design Guide 7.2.2.1 Hochverfügbarkeit ohne Loadbalancing Ein Client befindet sich im Subnetz 172.16.1.0/24 mit der IP-Adresse 172.16.1.100/24 und dem Default Gateway 172.16.1.1. In der nachfolgenden Konfigurationbeispielen wird BB-1 zum Master, BB-2 zum Backup-Router für diesen Client. Alle Clients benutzen das gleiche Default Gateway. 7.2.2.2 BB-1 config system set name BB-1 interface create ip IP.1 address-netmask 172.16.1.1/24 port gi.1.1 interface create ip IP.2 address-netmask 172.16.2.1/24 port gi.1.2 … … ip-redundancy create vrrp 1 interface IP.1 ip-redundancy associate vrrp 1 interface IP.1 address 172.16.1.1/24 ip-redundancy start vrrp 1 interface IP.1 7.2.2.3 BB-2 config system set name BB-2 interface create ip IP.1 address-netmask 172.16.1.2/24 port gi.1.1 interface create ip IP.2 address-netmask 172.16.2.2/24 port gi.1.2 … … ip-redundancy create vrrp 1 interface IP.1 ip-redundancy associate vrrp 1 interface IP.1 address 172.16.1.1/24 ip-redundancy start vrrp 1 interface IP.1 7.2.3 HOCHVERFÜGBARKEIT MIT SYMMETRISCHEM LOADBALANCING Client A befindet sich im Subnetz 172.16.1.0/24 mit der IP-Adresse 172.16.1.100/24 und dem Default Gateway 172.16.1.1. Client B hat die IP-Addresse 172.16.1.200 mit dem Default Gateway 172.16.1.2. Es erfolgt eine Lastverteilung da verschiedene Default Gateways benutzt werden, die sich gegenseitig durch VRRP absichern. D.h. für Client A ist BB-1 der Master und BB-2 der Backup; für Client B ist BB-2 der Master und BB-1 der Backup. Dies ist insbesondere für schmalbandige Anbindungen der Router an die Layer-2-Hardware interessant. 7.2.3.1 BB-1 config ip-redundancy create vrrp 1 interface IP.1 ip-redundancy create vrrp 2 interface IP.1 ip-redundancy associate vrrp 1 interface IP.1 address 172.16.1.1/24 ip-redundancy associate vrrp 2 interface IP.1 address 172.16.1.2/24 ip-redundancy start vrrp 1 interface IP.1 ip-redundancy start vrrp 2 interface IP.1 7.2.3.2 BB-2 config ip-redundancy create vrrp 1 interface IP.1 73 Enterasys Networks – Design Guide ip-redundancy create vrrp 2 interface IP.1 ip-redundancy associate vrrp 1 interface IP.1 address 172.16.1.1/24 ip-redundancy associate vrrp 2 interface IP.1 address 172.16.1.2/24 ip-redundancy start vrrp 1 interface IP.1 ip-redundancy start vrrp 2 interface IP.1 7.2.4 HOCHVERFÜGBARKEIT FÜR MEHRERE SUB-NETZE UND „NEUEN“ VIRTUELLEN ADRESSEN Für bestimmte Umgebungen kann es notwendig werden, dass die virtuellen IP-Adressen nicht identisch mit den „realen“ IP-Adressen der Router sind. In diesem Fall konfiguriert man als virtuelle Adresse eine „neue“, bisher nicht vorkommende Adresse. Diese Adresse wird dann als Default Gateway für die Clients benutzt. Die Priorität legt dann fest, wer Master oder Backup wird. Im Beispiel wird BB-1 Master für das Interface IP.1/Backup für IP.2 und BB-2 Master für das IP.2/Backup für IP.1. 7.2.4.1 BB-1 config ip-redundancy create vrrp 1 interface IP.1 ip-redundancy create vrrp 1 interface IP.2 ip-redundancy associate vrrp 1 interface IP.1 address 172.16.1.3/24 ip-redundancy associate vrrp 1 interface IP.2 address 172.16.2.3/24 ip-redundancy set vrrp 1 interface IP.1 priority 250 ip-redundancy set vrrp 1 interface IP.2 priority 100 ip-redundancy start vrrp 1 interface IP.1 ip-redundancy start vrrp 1 interface IP.2 7.2.4.2 BB-2 config ip-redundancy create vrrp 1 interface IP.1 ip-redundancy create vrrp 1 interface IP.2 ip-redundancy associate vrrp 1 interface IP.1 address 172.16.1.3/24 ip-redundancy associate vrrp 1 interface IP.2 address 172.16.2.3/24 ip-redundancy set vrrp 1 interface IP.1 priority 100 ip-redundancy set vrrp 1 interface IP.2 priority 250 ip-redundancy start vrrp 1 interface IP.1 ip-redundancy start vrrp 1 interface IP.2 7.2.5 TIPPS UND TRICKS Im Umfeld der Cabletron/Enterasys Secure-Fast-VLAN-Technologie muss eine VRRPKonfiguration immer gemäß Kapitel 7.2.4 durchgeführt werden. Es ist per Default nicht möglich eine virtuelle IP-Adresse per ICMP (ping) zu erreichen. Dies trifft im Wesentlichen dann zu, wenn der Router gemäß 7.2.4 konfiguriert ist oder der Backup-Router in den Master-Zustand gegangen ist. Sollte dies doch gewünscht werden muss es dediziert erlaubt werden. BB-1 config ip-redundancy set vrrpID interface xxx icmp-response 74 Enterasys Networks – Design Guide Im Umfeld von VRRP Designs ist es empfohlen, die Funktion des icmp-redirects auf den Routern nicht zu erlauben. Grund dafür ist, dass icmp-redirect dafür sorgen kann, dass Clients mit anderen „Default Routen“ arbeiten als durch ein VRRP-Design erwünscht. D.h. ein Client bekommt durch „icmp-redirect“ einen „besseren“ Weg z.B. über den Backup-Router zugewiesen. Da icmp-redirect grundsätzlich nur mit den realen Adressen der Router umgeht und diese in die lokalen Routingtabellen der Clients einträgt, wird das System von virtuellen Adressen außer Kraft gesetzt. Im o.g. Fall führt ein Ausfall des Backup-Routers zum totalen Kommunikationsausfall des Clients. In einer Default-VRRP-Konfiguration wird bei Ausfall des Masters der Backup-Router dessen Funktion übernehmen. Wird der Master wieder „online“ übernimmt er wieder seine Funktion als Master. In bestimmten Fällen kann es vorkommen, dass auf Grund fehlerhafter Hardware oder Leitungen dieser Zustand ständig wechselt und damit das Gesamtsystem sehr instabil wird. Um dies zu vermeiden, gibt es die Möglichkeit den so genannten Preempt-mode auszuschalten. D.h. wird der Backup-Router „aktiviert“ und zum Master, bleibt er solange Master bis er selbst ausfällt oder neu gestartet wird. Dies sollte man z.B. in ATM/VRRP-Umgebungen benutzen. 75 Enterasys Networks – Design Guide 8 UPN und IEEE 802.1X Mit dem neuen Standard IEEE 802.1X besteht die Möglichkeit, Anwender bereits vor der Teilnahme am Unternehmensnetzwerk zu authentisieren. Dies geschieht auf Basis der einzelnen Ports von Netzwerkgeräten, die diesen Standard unterstützen. Darüber hinaus ist es wünschenswert, Benutzern mit unterschiedlichen Aufgabenfeldern auch unterschiedliche Dienstleistungen zur Verfügung zu stellen. Kann man dies auf die Person bezogen adaptieren, muss man nicht – wie bisher üblich – alle benötigten Dienste für aller Benutzer zwischen Client- und Server-Netzen freigeben. Das stellt eine erhebliche Verbesserung der unternehmensweiten Netzwerksicherheit dar und bietet gleichzeitig die benötigte Flexibilität. Ein Datenerfasser erhält damit eben nur Zugriff auf die Server mit den Diensten, die er für seine Erfassertätigkeit benötigt. Treten an diesem Client Probleme auf und ein Administrator meldet sich daran an, so stehen diesem die für die administrativen Tätigkeiten definierten Zugriffe auf das Server-Netz zur Verfügung. Diese Funktionalität stellt eine erweiterte Implementierung auf Basis des IEEE 802.1X Standards durch Enterasys Networks dar: User Personalized Network (UPN). 8.1 AUSGANGSSITUATION In diesem Beispiel soll eine Abteilung eines Unternehmens drei unterschiedliche Aufgabenfelder umfassen: • • • Datenerfasser: Arbeitet mit der Frontend-Software SAPGui auf einem SAP R/3 Server und erfasst dort Unternehmensdaten Server-Administrator: Pflegt und wartet einen oder mehrere Server Administrator: Zeichnet sich für die Gesamt-IT-Infrastruktur verantwortlich Im Unternehmen findet sich die in Abbildung 31 dargestellte IT-Landschaft: Die Clients und die Server sind durch den Enterasys-Switch verbunden. Dabei gibt es zwei grundsätzliche Möglichkeiten: Jeder Client und jeder Server ist auf dem zentralen Switch angeschlossen, oder aber die Clients oder die Server sind vorher durch eine Netzwerkkomponente zusammengefasst worden und dieses Gerät ist an den Enterasys-Switch angeschlossen. Für Betrachtungen auf Grundlage des IEEE 802.1X Standards ist das ein 76 Enterasys Networks – Design Guide erheblicher Unterschied, da bei der Freischaltung des Ports automatisch alle dahinter liegenden Geräte für den entsprechenden Zugang mit freigeschaltet sind. Für die Betrachtungen des User Personalized Networks stellte dies kein Unterschied dar, da die Freischaltung für die freigegebenen Dienste auch an MAC-Adressen festgemacht werden können. User Personalized Network - Schematische Darstellung Netsight Policy Manager Client SAP R/3-Server Client Enterasys Switch Client SAP R/3-Server Client-Netz Server-Netz Abbildung 31: UPN-Schema 8.2 BESCHREIBUNG DES AUFBAUS Grundlage dieses Papiers ist eine erfolgreiche UPN-Teststellung in einem heterogenen Windows-/SAP-Netzwerk. Alle hier dargestellten Ergebnisse können aber problemlos für ein existierendes Netzwerk adaptiert werden. Der hier exemplarisch beschriebene Aufbau besteht aus folgenden Komponenten: Komponente W2K Windows Advanced Server: 2000 Server, IP-Adressen Dienste 192.168.10.1 DNS DHCP: Scope 192.168.10.0/24 77 Enterasys Networks – Design Guide konfiguriert als Domain Controller einer nativen ADS Struktur RRAS: Voraussetzung für IAS IAS: RADIUS-Server Netsight Atlas Policy Manager SAP-Server: Windows 2000 Advanced Server, konfiguriert als Member Server im ADS-Baum 192.168.10.111 2x WindowsXP Clients: Windows XP Professional, konfiguiert als Standalone Workstation 192.168.10.110 192.168.10.112 SAP R/3 4.6C IDES Tabelle 14: UPN Komponenten Die Geräte sind verbunden über einen Enterasys Switch (Matrix E7) mit der IP-Adresse 192.168.10.50 8.3 EINSTELLUNGEN IN WINDOWS 2000 ADVANCED SERVER 8.3.1 KONFIGURATION DES ROUTING AND REMOTE ACCESS SERVICE (RRAS) FÜR DIE UNTERSTÜTZUNG DER BENÖTIGTEN AUTHENTISIERUNGSMETHODEN Der RRAS Dienst muss unter Windows 2000 konfiguriert werden, damit die benötigten Authentisierungsmethoden CHAP und eventuell PAP im nachfolgend beschriebenen Internet Authentication Service bekannt sind. Abbildung 32: IAS Status Der Service muss dazu installiert und gestartet sein. 78 Enterasys Networks – Design Guide Abbildung 33: IAS Konfiguration Im Kontext-Menü des Servers (hier: NEU) finden sich die Eigenschaften (Properties). Abbildung 34: Propertieswindows beim IAS 79 Enterasys Networks – Design Guide Im Security-Tab können die Authentisierungs-Methoden (Authentication Methods) eingestellt werden. Abbildung 35: Authentisierungsmethode Für diesen Test wurde sowohl PAP als auch CHAP zusätzlich zu den Standardwerten von Microsoft (MS-CHAP, MS-CHAP v2) hinzugefügt. 80 Enterasys Networks – Design Guide 8.3.2 KONFIGURATION DES INTERNET AUTHENTICATION SERVICE (IAS) FÜR DIE ZUWEISUNG UNTERSCHIEDLICHER ROLLEN Abbildung 36: IAS-Rollendefinition Der Service muss dazu installiert und gestartet sein. Im Kontext-Menü wird ein neuer Client angelegt. Abbildung 37: Rollendefinition, Eigenschaften 81 Enterasys Networks – Design Guide Die Bezeichnung des Gerätes ist unerheblich, die Referenzierung erfolgt über die Adresse (DNS oder IP). Zwischen RADIUS Server und RADIUS-Client wird ein Passwort vereinbart, das beide in der jeweiligen Konfiguration eintragen müssen. Abbildung 38: Rollendefinition, Ausprägungen Drei Policies wurden exemplarisch angelegt, die in aufsteigender Reihenfolge mehr Berechtigungen beinhalten sollen: • SAP_USER_Policy: Zugriff auf den SAP R/3-Server mit SAP DIAG Protokoll (3200/TCP) • SAP_Admin_Policy: Zugriff auf SAP R/3-Server auf IP-Basis, dadurch Wartung am R/3-Server z.B. via Terminal Services möglich • Admin_Policy: Zugriff auf alle Server ohne netzwerk-technische Beschränkung 82 Enterasys Networks – Design Guide Abbildung 39: Rollendefinition, Zuordnung Die Zuordnung der Policies zu den Benutzern erfolgt über die Matching Condition WindowsGroups matches „SECLAB\SAP_USER“. In der Gruppe „SECLAB\SAP_USER“ sind alle berechtigten SAP-User eingetragen (s.u. ADS-User). Im Profil dieser Policy finden sich folgende Einstellungen: 83 Enterasys Networks – Design Guide Abbildung 40: Rollendefinition, Filter-ID Das Frame-Protocol und der Service-Type sind Standard-Werte, die nicht verändert wurden. Um vom Enterasys-Switch die entsprechende Rolle, die im Netsight Policy -Manager definiert wurde, zu erhalten, muss die Filter-Id definiert werden. Diese Variable erhält folgenden Wert: Enterasys:version=1:mgmt=su:policy=SAP_USER 84 Enterasys Networks – Design Guide Abbildung 41: Rollendefinition, Attributinformation 85 Enterasys Networks – Design Guide Abbildung 42: Rollendefinition, Attribut Information Die Zuordnung policy=SAP_USER findet sich im Netsight Policy-Manager wieder und bestimmt somit die zur Verfügung gestellten Netzwerk-Resourcen. Weitere Policies werden nach dem gleichen Muster konfiguriert. Die in einer Organisational Unit (IEEE 802.1X) zusammengefassten Gruppen und Benutzer zeigt der nachfolgende Screenshot Active Directory Users and Computers (ADS-User). 86 Enterasys Networks – Design Guide Abbildung 43: Aktiv Directory Darstellung 87 Enterasys Networks – Design Guide Die endgültige Zuordnung der Netsight Policy wird also differenziert über die Gruppenzugehörigkeit und der im IAS definierten Policies. Da der Benutzer SAP_USER01 in der Gruppe „SECLAB\SAP_USER“ enthalten ist, wird ihm beim Anmelden am Switch vom IAS die Filter-ID „Enterasys:version=1:mgmt=su:policy=SAP_USER“ mitgegeben, die wiederum den Switch veranlasst, die für diese Filter-ID im Netsight Policy Manager definierten Netzdienste zuzulassen bzw. die nicht erlaubten Dienste zu unterbinden. 8.4 EINSTELLUNGEN NETSIGHT POLICY MANAGER Zur Verwaltung der Regeln und Rollen wird der Netsight Policy Manager benutzt. 8.4.1 ROLLENZUWEISUNG Generell wurden drei verschiedene Rollen für Benutzer definiert: • • • Admin: Diesem Benutzer ist voller Zugriff auf alle Netzwerk-Ressourcen gewährt. SAP_Admin: Diesem Benutzer ist voller Zugriff auf den SAP-Server gewährt. Kein Zugriff auf andere Ressourcen möglich. SAP_USER: Diesem Benutzer ist ausschließlich das Launchen des SAP GUIs erlaubt, andere Dienste werden vollkommen gesperrt. Hierzu wurden im Policy Manager diese drei Rollen definiert: Abbildung 44: Policy Manager, Rollendefinition Die Rolle „Admin“ wird in das Default-VLAN gelegt, in dem auch alle Netzwerk-Ressourcen liegen. Die Rollen SAP_Admin und SAP_USER werden in das Discard VLAN gelegt. Damit ist ein Zugriff auf andere Ressourcen (beispielsweise auf das Active Directory im Default VLAN) nicht möglich. 88 Enterasys Networks – Design Guide 8.4.2 SERVICEZUWEISUNG Um den Benutzern der Gruppe SAP_Admin und SAP_USER bestimmte Rechte zuweisen zu können, müssen bestimmte Regeln (Services) definiert werden. Hierzu muss kurz beschrieben werden, wie die Multi-Layer-Frame-Classification von Enterasys funktioniert. Enterasys Switch-Komponenten sind in der Lage, die Datenpaket nicht nur auf dem Layer-2 auszuwerten, sondern auch in die höheren Layer 3 und 4 zu schauen, und die Datenpakete entsprechend zu klassifizieren. Ist eine Klassifizierung vorgenommen, können bestimmte Aktionen vorgenommen werden. Dazu zählen zum Beispiel das Zuordnen in VLAN oder die Priorisierung der Datenpakete. Weitere Informationen zur Multi-Layer-Frame-Classification können unter www.enterasys.com nachgelesen werden. Grundsätzlich wird in der getesteten Umgebung mit DHCP gearbeitet. Daher muss für die beiden Benutzergruppen zuerst dieser Dienst freigeschaltet werden, damit die Benutzer eine gültige IPAdresse bekommen. Abbildung 45: Policymanager, Servicedefinition Hierzu werden die Layer-4-Ports UDP 68 (Bootpc) und UDP 67 (Bootps) freigeschaltet. Das gilt sowohl für UDP=67/68 als Ziel-Port im Layer 4 als auch für UDP=67/68 als Quell-Port im Layer 4, was als bilateral Kommunikationbeziehung bezeichnet. Pakete, die dieses Muster vorweisen, werden dann automatisch in das Default-VLAN gelegt, in dem sich auch der DHCP-Server befindet. Als nächster Dienst wird ARP definiert: Abbildung 46: Policymanager, Servicedetails 89 Enterasys Networks – Design Guide ARP ist im Layer 2 als Ethertype 806 definiert. Hierzu wird wieder ein Zuordnung in das Default VLAN getroffen. Um jetzt den SAP_Admin und SAP_USER Benutzern die Möglichkeit zu geben, eine IP-Adresse zu bekommen und eine Adress-Auflösung mittels ARP zumachen, müssen die beiden definierten Dienste auch den Rollen zugewiesen werden. Abbildung 47: Rollendefinition und Servicezuweisung Der Unterschied zwischen diesen beiden Benutzergruppen liegt in dem Zugriff auf die SAPApplikation bzw. SAP-Server. SAP_Admin Benutzer haben vollen Zugriff auf den SAP-Server. Dies wird mit einer Regel SAPServer erreicht. Abbildung 48: Rollendefinition, Details 1 90 Enterasys Networks – Design Guide Hierzu wird der Zugang zu dem SAP-Server mit der IP-Adresse 192.168.10.111 erlaubt, indem man auf dem Layer 3 die IP-Kommunikation von und zu dieser IP-Adresse (Bilateral) erlaubt und die Datenpakete in das Default-VLAN legt. Dies kann mit jedem beliebigen Server machen, also auch die Administration von Datenbanken, File- und Applikations-Server kann hiermit gesteuert werden. Will man aber nur das Öffnen des SAP-GUIs auf diesem Server erlauben, wird die SAP-DIAGPort-Nummer klassifiziert. Abbildung 49: Rollendefinition, Details 2 Für diese Art der Kommunikation ist nur eine unidirektionale Verbindung notwendig. Der TCPPort 3200 ist für das Öffnen der SAP-Oberfläche notwendig. Dazu wird auf dem Layer 4 der TCP-Port 3200 als Ziel-Port klassifiziert und in das Default-VLAN gelegt. Benutzer aus der SAP_USER Gruppe können jetzt problemlos die SAP-Oberfläche starten, haben aber keinen Zugriff auf den SAP-Server an sich. Das wurde durch einen Ping-Service simuliert: Abbildung 50: Rollendefinition, Details 3 ICMP-Verkehr wird auf dem Layer 3 als IP Protocol Type klassifiziert und in das Default VLAN gelegt. Durch Zuweisen dieses PING-Service auf den Benutzer SAP-Admin kann ein Ping auf SAP-Server = 192.168. 10.111 erfolgen, durch Löschen der Regel von der Rolle SAP_Admin bricht der Ping ab. 91 Enterasys Networks – Design Guide Als zusätzlicher Dienst wurde noch Telnet definiert, um bestimmte Test durchführen zu können. Dazu wurde TCP-Port 23 als bilaterale Kommunikation in das DEFAULT VLAN klassifiziert. Abbildung 51: Rollendefinition, Details 4 8.4.3 AUTHENTISIERUNG Die Zuweisung der Benutzer zu den entsprechenden Rollen geschieht während des Anmeldens an das Netzwerk. Hierzu gibt es die Varianten des WEB -Logon oder Authentisierung mittels IEEE 802.1X mit EAP-MD5 oder EAP-TLS. Der Benutzer gibt entweder sein Benutzernamen und sein Passwort über eine Web-Page ein (WEB-Logon) oder mittels EAP-MD5 Password Hashing. Die einfache Art ist EAP-TLS, das Zertifikate zur Authentisierung nutzt. Abbildung 52: 802.1X Kommunikation Generell muss daher ein Switch in der Lage sein, die Benutzeranfrage zu erkennen und sie an einen RADIUS-Server weiterzuleiten, bevor der Benutzer Zugang zum Netzwerk bekommt. Enterasys Networks Switches sind in der Lage, dies per Port zu tun. Abbildung 52 beschreibt den prinzipiellen Ablauf der Authentisierung. 92 Enterasys Networks – Design Guide Es besteht die Möglichkeit, die Authentisierung „Active“ zu schalten und dem Benutzer per Default keinen Access zu erlauben (Unauthentication Behavior = Discard). Mit der Einstellung Default Role kann man einem Benutzer beispielsweise minimale Dienste wie DHCP oder ARP erlauben, den vollen Zugang bekommt der Benutzer aber erst nach erfolgreicher Authentisierung. In der Test-Umgebung wurden die Ports 1-10 in der herkömmlichen Switch-Einstellung (Authentication Behavior = Inactive) betrieben. Alle Server sind mit diesen Ports verbunden und damit gleichzeitig im Default-VLAN. Ports 11-24 wurden um Modus „Authentication Behavior = Active“ und „Unauthentication Behavior = Discard“ betrieben. Damit sind Benutzer an diesen Ports gezwungen, sich anzumelden, bevor sie Zugang zum Netzwerk bekommen. Abbildung 53: Portdetails Der Switch muss wissen, wer als Authentisierungserver dient. In unserem Testaufbau ist das der Microsoft Internet Authentication Service auf dem Windows 2000 Server, der als RADIUS-Server dient. Hierzu wird auf dem Switch eine entsprechende Konfiguration vorgenommen. Vorher wird die Art der Authentisierung generell aktiviert. 93 Enterasys Networks – Design Guide 8.4.4 WEB-LOGON Hierzu besitzt der Enterasys Switch einen integrierten WEB-Server, der konfiguriert werden muss. Man kann eine bestimmte URL bestimmen, in unserem Fall http://sec. Ein Web Page Banner kann auch frei gewählt werden. Abbildung 54: Web-Logon Screen Als nächster Schritt wird die RADIUS-Konfiguration durchgeführt. Hierzu muss zuerst das Authentisierungsprotokoll (PAP oder CHAP) ausgewählt werden. Danach wird der RADIUS-Server mit IP-Adresse (192.168.10.1), Port (1645) und Shared Secret eingetragen und der Switch als RADIUS-Client aktiviert (Enable). 94 Enterasys Networks – Design Guide Abbildung 55: Policymanager, Radiusdefinition 8.4.5 IEEE 802.1X Das standardisierte Verfahren zur Benutzerauthentisierung auf Switch-Port-Ebene ist IEEE 802.1X, das auch als EAPoL bezeichnet wird. EAP steht für Extensible Authentication Protocol ist eine Erweiterung innerhalb des PPP-Standards und spezifiziert die Methode zur Authentisierung. Enterasys unterstützt derzeit zwei Varianten, EAP-MD5 und EAP-TLS. Bei EAPMD5 wird eine Benutzername/Passwort-Kombination benutzt. EAP-TLS setzt auf Zertifikate, die von einer Certification Authority vergeben werden. Zur Nutzung von 802.1X muss man innerhalb des Policy Managers wählen, in welchem Modus der Switch betrieben werden soll. Dazu wird pro Switch als Authentication Type der Modus 802.1X gewählt. Abbildung 56: Wahl der Authentifizierungsmethode 95 Enterasys Networks – Design Guide Die Einstellungen zum Verhalten der Authentifizierung können wieder pro Port vorgenommen werden. Nach erfolgreichem Authentifizierungsprozess erscheint im Policy Manager der Benutzer. Im „Role“-Fenster können alle Benutzer einer Rolle gesucht und angezeigt werden. Im Folgenden sind für die Rolle SAP_Admin und SAP-User die Anzeigen dargestellt. Abbildung 57: Portinformation, Details 1 Abbildung 58: Portinformation, Details 2 8.4.6 DEFINITION VON VIRTUELLEN LANS (VLANS) Die unter dem Bereich Services definierten Dienste werden in entsprechende Virtuelle LANs (VLANs) gelegt. Prinzipiell benötigen wir in diesem Test nur zwei VLANs, das DEFAULT VLAN und das DISCARD VLAN. Im DEFAULT VLAN liegen alle Netzwerk-Ressourcen wie SAP-Server, DHCP-Server, Windows 2000 Server mit Active Directory und Internet Authentication Service (IAS) und der Netsight Policy Manager. Alle Komponenten innerhalb dieses DEFAULT VLAN können sich problemlos sehen und untereinander kommunizieren. Wird ein Datenpaket wie unter dem Kapitel Service beschrieben entsprechend klassifiziert und in das DEFAULT VLAN gelegt, kann es ebenfalls mit den Ressourcen kommunizieren. Damit sind intelligente Dienste erst möglich. Man kann es vergleichen mit einem Eimer, in dem alle Ressourcen sich befinden und die Datenpakete einzeln durch Vorselektieren hinzugeworfen werden. Um das Konfigurieren zu vereinfachen, wird der Button „Dynamic Egress Enabled“ aktiviert. Damit werden die VLAN-IDs auch automatisch in die Egress Forwarding Liste im Switch eingetragen. 96 Enterasys Networks – Design Guide Abbildung 59: VLAN Information 1 Das so genannte DISCARD VLAN kann man als schwarzes Loch bezeichnen. Benutzer aus diesem VLAN können prinzipiell mit keinem anderen Benutzer kommunizieren. Auch innerhalb des VLANs ist keine Kommunikation möglich. Dazu wird der Button „Dynamic Egress Enabled“ nicht aktiviert. 97 Enterasys Networks – Design Guide Abbildung 60: VLAN Information 2 8.5 BENUTZER INNERHALB EINES USER PERSONALIZED NETWORK Nachdem all die oben beschriebenen Einstellungen vorgenommen wurden, kann sich ein Benutzer, der der Gruppe SAP_USER zugewiesen ist, nach erfolgreicher Authentisierung am Enterasys Switch den SAPGui starten und auf den SAP-Server zugreifen. 98 Enterasys Networks – Design Guide Abbildung 61: SAP Anmeldung Nach erfolgreicher Anmeldung am SAP R/3-System kann der Benutzer entsprechend seiner SAP-Berechtigung arbeiten. 99 Enterasys Networks – Design Guide Abbildung 62: SAP Access Es stehen für den Benutzer der Gruppe SAP_USER keine weiteren Dienste zur Verfügung, die er auf dem SAP Server nutzen könnte. Somit sind nur Zugriffe über das SAP eigene DIAG-Protokoll (hier 3200/tcp) möglich. Der Dienst Telnet kann aber problemlos von dem SAP_Admin genutzt werden, um auf den SAPServer zugreifen zu können. Die Dienste können jedem Benutzer über den Netsight Atlas Policy Manager jederzeit dynamisch zugewiesen werden. Das ermöglicht ein enormes Maß an Flexibilität und verringert die Betriebskosten. 100 Enterasys Networks – Design Guide 9 Sicherheit 9.1 EINE GANZHEITLICHE SICHERHEITSSTRUKTUR FÜR DAS UNTERNEHMENSNETZWERK Unternehmensweite Netzwerke befinden sich ständig in der Weiterentwicklung. Anfänglich diente das Netzwerk einigen wenigen Mitarbeitern in einem Büro zur gemeinsamen Nutzung von Druckern und Dateien oder zur Verbindung einiger weniger Großrechner. Heute haben Netzwerke den Stellenwert einer unternehmenskritischen globalen Infrastruktur und sind im modernen Geschäftsleben mindestens genauso wichtig wie das traditionelle Telefonnetz. "Beim Netzwerk geht es nicht mehr nur um Bits, Bytes und E-Mails. Das Netzwerk ist am Aufbau, Erhalt und der Förderung des Vertrauens von Geschäftsbeziehungen beteiligt. Das Netzwerk ist das Geschäft an sich." (Quelle: IDC) 1999 wartete die Marktdynamik mit der größten Herausforderung in der Geschichte der Informationstechnik (IT) auf: dem drohenden Jahr-2000-Problem. Zum Glück erwiesen sich viele Befürchtungen als unbegründet. Es kam zu keinen größeren finanziellen oder geschäftlichen Verlusten. Aber das Jahr-2000-Problem hatte eine noch interessantere Entwicklung zur Folge: es steigerte die Transparenz der Informations- und Netzwerktechnik in Unternehmen auf ein bislang beispielloses Maß – weltweit erkennt nun jeder Firmenchef und jeder Vorstand, wie wichtig es für das geschäftliche Interesse eines Unternehmens ist, die richtigen Investitionen in die Informationstechnik zu tätigen. Das Jahr-2000-Problem veranlasste die IT-Leiter und Betreiber von Unternehmensnetzwerken, sich näher mit Infrastruktur-Redundanz zu befassen, um größtmögliche Verfügbarkeit und Verlässlichkeit zu gewährleisten. Im Laufe des Jahres 1999 wurden IT-Leiter eindringlich auf die Instabilität ihres Unternehmensgeschäftes bei einem auch noch so kurzen Ausfall ihres ITInfrastruktur hingewiesen. Erstmals in der Geschichte der Informationstechnologie investierte man Milliarden von Dollar in „IT-Sicherheit“, d.h. in die Integration eines sehr hohen Standards an Zuverlässigkeit und Redundanz von Systemen, PCs und Servern über Anwendungen bis hin zur Netzwerkinfrastruktur für den Ernstfall im Jahr 2000. „Eine Festigung der Netzwerkinfrastruktur ist ganz entscheidend für das Vertrauen in unternehmenskritische Anwendungen.“ (Quelle: IDC, Plugging the Holes in eCommerce: The Market for Intrusion Detection and Vulnerability Assessment Software, 1999-2003", Juli 1999.) 101 Enterasys Networks – Design Guide 9.1.1 UNSERE INFORMATIONSTECHNIK (IT) FUNKTIONIERT , ABER IST SIE AUCH SICHER? Am 1. Januar 2000 wachte nahezu jeder IT-Leiter auf, atmete erleichtert auf, dass sich die Welt noch drehte, und stellte zufrieden fest, dass sich alle Investitionen in System -Upgrades bezahlt gemacht hatten. Die Investition in das Jahr-2000-Problem hatte zwar die Antwort auf die Frage der Zuverlässigkeit gebracht, warf aber neue Fragen zur Sicherheit der IT-Infrastruktur auf. Firmenchefs waren zufrieden mit der hohen Zuverlässigkeit und Widerstandsfähigkeit ihrer Systeme gegen physikalisches Versagen, doch der gestiegene Stellenwert der IT-Kosten und das Bewusstsein, dass ihre Unternehmen auf IT angewiesen waren, lenkte ihre Aufmerksamkeit auf die Sicherheit ihrer Systeme und der Daten, die über sie gespeichert und übertragen wurden. Das Jahr 2000-Problem zwang die Unternehmen nicht in die Knie, sondern war nie mehr als nur eine potenzielle Bedrohung. Hacker und Computervandalismus sind jedoch ein echtes, wohlbekanntes Problem, das immer mehr um sich greift. Tatsächlich büßten viele USInternetprovider und E-Commerce-Betreiber unmittelbar nach Beginn des Jahres 2000 Millionen von Dollar durch Angriffe aus dem Internet ein. Was im Internet geschehen kann, könnte genauso leicht und statistisch gesehen sogar mit noch größerer Wahrscheinlichkeit innerhalb eines Unternehmens passieren. Nicht vorstellbar, welche Auswirkungen wohl ein größerer Netzwerkausfall am 21. Dezember 2000 für einen Einzelhändler hätte, der vom E-Business abhängig ist. Ein derartiger Fehler würde den Umsatz beträchtlich reduzieren, könnte aber aus vielerlei Gründen auftreten. Es stellt sich also die Frage, welche Konsequenzen für ein Unternehmen entstünden, dessen PCs wegen der Eliminierung eines Virus einen ganzen Tag lang nicht einsatzbereit sind. Auf den privaten Bereich übertragen, sollte man sich einmal überlegen, wie abges chnitten von der Außenwelt man sich fühlen würde, wenn man seine E-Mail nur einen einzigen Tag lang nicht lesen könnte. Ergebnisse einer Umfrage zu Computerkriminalität und Sicherheit in Organisationen aus dem Jahr 2000 (Quelle: The Computer Security Institute, 22. März 2000): • • • 90 % der Befragten entdeckten Verstöße gegen die Computersicherheit innerhalb der letzten 12 Monate 70 % berichteten über schwerwiegende Verletzungen der Computersicherheit, z.B. Diebstahl urheberrechtlicher Informationen, Finanzbetrug, externe Systemeingriffe, DoS (Denial of Service) -Übergriffe 74 % gaben finanzielle Einbußen in Zusammenhang mit Verstößen gegen die Computersicherheit an 9.1.2 SICHERHEIT SPIELT DIE HAUPTROLLE Die sich im Umbruch befindliche Dynamik computerbezogener Aktivitäten innerhalb von Unternehmen wirft die Frage nach Sicherheit auf. Der enorme Anstieg von IT-Strukturen in den 90er Jahren und die jüngste, sprunghafte Entstehung E-Business-zentrierter Unternehmenskulturen haben viele Firmen für neue Sicherheitsverstöße von innen und außen anfällig gemacht. Immer mehr Angestellte kommen derzeit täglich mit den verschiedensten IT -Ressourcen in Berührung. Die starke Zunahme von „vernetztem“ Personal lässt die mögliche Bedrohung der ITInfrastruktur exponentiell ansteigen. Das E-Business hat die Grenzen des Unternehmensnetzwerks verwischt. Es ist heute kaum noch festzustellen, was und wer sich im Inneren befindet und was außerhalb des physikalischen Unternehmensnetzwerks liegt. Die elektronische Kommunikation geht weit über die einfache E- 102 Enterasys Networks – Design Guide Mail von Firma zu Firma hinaus. Sie umfasst nun die gesamte Supply Chain einer Organisation. Es müssen Regeln definiert werden, wer zu der Liste der zugangsberechtigten User gehört und wer von ihr ausgenommen ist. Noch wichtiger in diesem Zusammenhang ist, dass Informationen ein geschäftlicher Aktivposten geworden sind. Das, was man über seine Kunden, über seine Produkte und Supply Chain und seine Lieferanten weiß, ist der Inbegriff des Geschäftserfolgs. Laut Angaben der Network Assurance Security Group entstanden 1998 Verluste in Höhe von über 100 Millionen Dollar durch Computerkriminalität, Betrug und Malicious (böswillige) Codes. Obwohl die meisten Netzwerke über irgendeinen Schutz gegen Übergriffe aus dem Internet verfügen, sind Angriffe aus dem Intranet nach Angaben der Meta-Gruppe für etwa 70% der Computerabstürze verantwortlich. Laut IDC machen Netzwerkkomplexität und die nicht endende Flut an Software-Upgrades und -Patches viele Netzwerke anfällig für unerlaubte Zugriffe. Der Schaden (und die Kosten) durch Computervandalismus wie z.B. durch den Love Bug E-Mail-Virus oder durch DDoS (Distributed Denial of Service)-Übergriffe Ende 1999 und Anfang 2000 sind unermesslich sowohl im Hinblick auf den Datenverlust als auch unter dem Aspekt verloren gegangener Produktivität. Die Netzwerkkonfiguration kann versehentlich oder mutwillig durch die Installation, fehlerhaften Netzwerkzubehörs oder durch absichtliche Änderung der Konfiguration der rechtmäßigen Netzwerkausstattung mittels SNMP-Dienst (Simple Network Management Protocol) geändert werden. 103 Enterasys Networks – Design Guide 9.1.3 WER IST PETE? Nach Angaben der Meta Gruppe zufolge ist die Wahrscheinlichkeit für Unternehmen mit Intranetvernetzten Usern Opfer eines Übergriffs innerhalb ihrer eigenen Grenzen zu werden, doppelt so hoch wie für Übergriffe über das Internet durch externe Teilnehmer. Diese Statistik stellt genau die Grundsätze in Frage, nach denen Unternehmen ihre bestehenden Sicherheitsmaßnahmen seit 10 Jahren entwerfen. Die Bedrohung aus den eigenen Reihen ist, auch wenn es viele Firmenchefs und IT-Leiter überraschen mag, statistisch gesehen eigentlich am logischsten. Enterasys Networks ist auf der Suche nach einer Lösung bei Sicherheitsverstößen immer wieder auf den so genannten PETE gestoßen. PETE ist der Potential Employee Threat to Enterprise (potentielle Bedrohung des Unternehmens durch einen Angestellten). Mit anderen Worten: PETE macht 70% der möglichen Bedrohungen aus, mit denen viele Unternehmen heutzutage konfrontiert sind. PETE arbeitet wahrscheinlich in Ihrer Firma. Aber warum stellen PETEs eine so große Bedrohung dar? PETE ist mit dem Intranet verbunden. PETE ist Arbeitstag um Arbeitstag an die gesamte IT-Struktur des Unternehmens angeschlossen. PETE missbraucht oder greift Ressourcen mittels einer Hochgeschwindigkeitsverbindung von 10 oder 100 Mbit/s an. PETE verfügt von zu Hause, vom Hotelzimmer oder sogar vom Zulieferbetrieb aus über einen Zugang zu dem IT-Infrastruktur. PETE wird von 99 % aller derzeitigen Sicherheitssysteme nicht unschädlich gemacht. PETE braucht die Internet Firewall-Systeme nicht zu passieren. PETE beschädigt möglicherweise ohne Absicht IT-Ressourcen. PETE betreibt möglicherweise nur falschen Gebrauch des Intranet oder verursacht Schaden durch Virusempfang. Einzelpersonen, die dem PETE-Profil entsprechen, machen nur einen sehr kleinen Prozentsatz der vernetzten Angestellten aus und sind zum Glück dünn gesät. Aber nach Meinung von Industrieanalysten verursachten genau diese konkrete Umsatzeinbußen und zwingen zu Erweiterungen der Sicherheitsinfrastruktur in Höhe von vielen Milliarden Dollar. 9.1.4 EINFÜHRUNG VON SECURE HARBOURTM Es ist also zukünftig essentiell, dass Firmen ihre Sicherheitseinschätzungen bezüglich Übergriffen aus dem Intranet überdenken und bei gleichzeitiger Wachsamkeit gegenüber dem Internet eine ganzheitliche Sicherheitsstruktur schaffen und umsetzen. Abbildung 63: Secure Harbour Schichten Enterasys Networks stellt mit Secure Harbour TM ist ein Modell vor, das genau dies umsetzt. Hierzu werden viele verschiedene Ressourcen platziert, um die Netzwerkkommunikationsstruktur innerhalb eines Unternehmens unabhängig von Ort oder Art des Zugriffsmediums zu schützen. Secure Harbour TM konzentriert sich auf die Gewährleistung von Sicherheit für das Intranet durch Vorbeugung, Ermittlung, Schadensbeurteilung und Korrektur. Secure Harbour TM setzt seinen 104 Enterasys Networks – Design Guide Schwerpunkt vor allem auf ganzheitliche Sicherheit für das Intranet und liefert ein umfassendes Paket an Sicherheitsstandards, die auf Unternehmensebene durchführbar und den spezifischen Anforderungen eines Unternehmens angepasst sind. Entworfen nach dem einzigartigen AAA (Authentification, Authentisation und Accounting)-Modell bietet Secure Harbour TM von Enterasys messbare Sicherheitsvorteile auf allen Gebieten der Intranet-Implementierung. 9.1.5 SECURE HARBOURTM Secure Harbour TM ist ein Modell,dass die kombinierte Methodik aus den klassischen AAAServices zur Echtheitsprüfung, Zugangsberechtigung und Accounting stärkt, das Lösungen gegen Intranet-Angriffe aufzeigt, welches sich jeder Geschäftsform oder Infrastruktureinrichtung anzupassen vermag, das mit jeder Firmengröße oder Datenverkehrslast skalierbar ist. Secure Harbour TM hebt sich ab von traditionellen Punkt-zu-Produkt-Lösungen und erfüllt die Anforderungen von Unternehmenskunden aufgrund seiner AAA-Struktur durch eine Implementierungsmethodik. Diese besteht aus: • • • • modernsten integrierten "in-the-box" Sicherheitsfunktionalitäten bei bestehenden Produkten "All-inclusive open architecture" zur Integration existierender Produkte mit Sicherheitsfunktionalitäten "Designed-for-the-job"- aufgabengerechten Sicherheitsprodukten wie z.B. Hostund Netzwerk-Intrusion-Detection-, Firewall- und VPN-Systemen "Click-to-Secure"-Konzept für ein in sich stimmiges Lösungsmodell, das Produkten, Funktionen und Eigenschaften gerecht wird Produkte, die sich in das Secure Harbour Modell einfügen, sind in die gesamte Sicherheits infrastruktur des Unternehmens einbindbar. 9.1.6 WELCHE ENTERASYS-PRODUKTE BEINHALTEN SECURE HARBOURTM? Ein Secure Harbour TM-Produkt ist speziell konzipiert, um in erster Linie Sicherheitsfunktionen wahrzunehmen. Enterasys verfügt über einige Produkte in diesem Bereich. Dazu gehören Intrusion Detection Systeme, VPN-Systeme und Firewall-Syteme. Aber auch Funktionalitäten auf den entsprechenden Hardware-Komponenten wie Rate Limiting, Traffic- und Content-Filtering zählen ebenfalls zu den Bestandteilen von SecureHarbour TM. Abbildung 64: Secure Harbour Modell 105 Enterasys Networks – Design Guide Auch Sicherheitsserviceleistungen gehören selbstverständlich ebenfalls zu der SecureHarbour TM-Architektur. Diese Serviceleistungen bestehen aus Sicherheitsgutachten, Sicherheitsimplementierung, Sicherheitsüberwachung und anderen sicherheitsbezogenen Dienstleistungen. Abgerundet wird die komplette Architektur durch intelligente Management-Applikation, ohne die eine sinnvolle Implementierung und Überwachung dieser Sicherheitsmechanismen nicht vorstellbar wäre. 9.1.7 SECURE HARBOURTM – EIN „GANZHEITLICHER ANSATZ“ FÜR DIE NETZWERKSICHERHEIT Enterasys Networks startet mit SecureHarbour TM eine „ganzheitliche“ Sicherheitsstrategie. Es ist eminent wichtig, dass Sicherheit in die Kernnetzwerkinfrastruktur schnell integriert werden muss und nicht erst im Nachhinein punktuell hinzugefügt werden sollte. Obwohl sie von entscheidender Bedeutung sind, reichen „punktuelle“ Sicherheitslösungen durch beispielsweise Firewalls nicht aus. Sicherheit beginnt bei jedem einzelnen Port innerhalb eines Intranets und nicht nur am LAN-WAN Schnittpunkt. Secure HarbourTM bietet somit dem Kunden folgende Vorteile: • • • • • • • Verbesserte Infrastrukturverfügbarkeit durch Ausschluss von unerwünschtem oder potentiell destabilisierendem Netzverkehr und Eindringen von Viren unter Ausschaltung fehlerhafter Komponenten Verbesserte Überwachung der Sicherheit durch modernsten NetzwerkkontrollFunktionen und neueste Funktionen für die Netzwerküberwachung Methoden zu Schadensbeurteilung bei einen Eindringen in das Netzwerk und Unterstützung bei der Vorbeugung gegen künftige Einbrüche Verbesserung der Netzwerksicherheit durch Anwendung einheitlicher Echtheitsprüfungs- und Zugangsberechtigungsmechanismen (z.B. 802.1x) Engmaschige Kontrolle des Datenverkehrs möglichst nahe an der Netzwerkverbindungsstelle zur Reduzierung der möglichen Destabilisierung der Infrastruktur oder zur Verringerung der Möglichkeit von Sicherheitsverletzungen "Abhärtung" der Infrastrukturkomponenten und somit Herabsetzung der Anfälligkeit für unerlaubte Zugriffe unter Anwendung von Technologien wie z.B. VLANs und neuester Überprüfungstechnologien wie SNMPv3 Anwendung modernster Technologien für die Netzwerküberprüfung, um unerlaubte Zugriffe rechtzeitig zu erkennen und den Schaden durch einen unerlaubten Zugriff zu vermindern. Einsatz modernster Datenschutztechnologien wie z.B. Verschlüsselung und Echtheitsprüfung pro Paket. Damit sind Daten vor Beschädigung geschützt, wenn sie zweifelhafte Infrastrukturen durchlaufen Enterasys Networks garantiert einen hohen Qualitätsstandard seiner zentralen Infrastruktur-Produkte. Die Basis dafür sind umfangreiche Features, die die Kontrolle potenziell schädlichen Datenverkehrs ermöglichen oder spezifische Protokolle und Zugriffe vom äußersten Rand des Netzwerkgefüges mit Hilfe vielfältiger Mechanismen verhindern. Darüber hinaus sind die einzelnen Sicherheitsprodukte in das Secure Harbour TM Modell integriert und nicht nur aufgesetzt. Dadurch steht dem Aufbau einer sicheren IT-Infrastruktur nichts mehr im Wege. 106 Enterasys Networks – Design Guide 9.2 9.2.1 DRAGON NUTZEN EINES INTRUSION DETECTION SYSTEMS “Warum sollte in ein IDS investiert werden? Ein Angriff ist bis dato noch nicht verzeichnet worden!“ Woher kommt das Wissen um die Unversehrtheit des eigenen Netzes? Ein erfahrener Angreifer wird sich in das Datennetz seines „Opfers“ hinein und hinaus bewegen, Daten kopieren, Dienste unerlaubt nutzen. Gerade der Vorgang des Kopierens ist ein stiller Vorgang und somit nicht zu erkennen. Bevor ein Angreifer soweit ist, dass Daten unerlaubt eingesehen werden können, sind viele kleine Schritte notwendig. Dabei ziehen wir kurz den Vergleich zu einem Einbrecher, der ein Haus observiert: Wann verlassen die Besitzer ihr Haus? Ist es unbewacht? Welche Türen sind offen oder nur schwach gesichert? Gibt es offene Fenster? Liegen die gewünschten Daten vor, kann der Einbruch beginnen. Dabei ist es wichtig, keine Spuren zu hinterlassen. Keine Fingerabdrücke, keine Fußabdrücke. Kein Lärm. Gegebenfalls können Schlüssel entwendet werden, damit bei einem erneuten Einbruch die Kellertür benutzt werden kann. Zurück zu den Intrusion Detection Systemen (IDS). Diese hochgradig spezialisierten Systeme sind dafür gebaut, Angriffe gegen Netzwerke und ihre Komponenten zu erkennen. Ein IDS erkennt die Vorbereitungen (Rütteln an verschlossenen Türen) und den Angriff selber (Einsteigen durch ein offenes Fenster). Durch die ausgefeilten Sicherungsfunktionen dienen die Daten des IDS als Beweismaterial. IDS-Systeme dienen somit als Alarmanlagen eines Netzwerkes. Der Betreiber des IDS erkennt frühzeitig den Angreifer. Durch den Zeitvorsprung können weitere Sicherheitsmaßnahmen aktiviert werden (Fenster schließen), ohne den Angreifer vorzuwarnen. Ein IDS arbeitet im Hintergrund, unerkennbar für einen Angreifer. 9.2.2 UNTERNEHMENSWEITE ABLÄUFE Einen Angriff zu erkennen heißt nicht, dass automatisch die richtigen Schritte unternommen werden. Hier ist ein definiertes Vorgehen von absoluter Notwendigkeit. Dabei spielt es keine Rolle, ob der Schadensfall durch beabsichtigte Angriffe oder z.B. Katastrophen hervorgerufen wurde. Eine gute Grundlage bieten die Ausarbeitungen zum Incidenthandling des Department of Energy (US). Da gerade Strom eine der wichtigsten Ressourcen bildet, wurde dort sehr schnell der Nutzen eines definierten Vorgehens erkannt und festgelegt. 107 Enterasys Networks – Design Guide Unterschieden wird beim Department of Energy zwischen einem Einbruch und einem Ereignis. Ein Einbruch liegt immer dann vor, wenn Schaden eintritt oder beabsichtigt ist. Ein Ereignis ergibt sich immer aus einem Kontext. So ist ein Administrator-Login in jedem Fall ein Ereignis. Ob es auch ein Einbruch ist, muss erst noch festgestellt werden. Einbrüche erkennen und Ereignisse auswerten, das ist die Aufgabe eines Intrusion Detection Systems. Von der Qualität eines solchen Systems hängt es ab, wie sicher Entscheidungen über weitere Vorgehensweisen getroffen werden können. 9.2.3 IDS – INTRUSION DETECTION SYSTEM Ein IDS ermöglicht weitreichende Einblicke in beliebige Netzwerkaktivitäten. Dabei werden Netzwerkereignisse genauso wie Angriffe erkannt. Das IDS fungiert somit als „Alarmstation“: • • • • Erkennung von versuchten Angriffen Feststellen, ob ein Angriff erfolgreich war Abschätzung des Schadens Aufzeigen von aktuellen Sicherheitslücken Ist ein IDS System aktiviert, so helfen Verhaltensregeln den Schaden zu minimieren oder im besten Fall abzuwenden. Gerade im akuten Schadensfall können zu schnelle und nicht angepasste Entscheidungen und deren Umsetzung später extrem kostenintensiv sein. Als Beispiel sei ein erfolgreicher Login eines Angreifers auf einer zentralen Produktionsmaschine genannt. Wird die Maschine vom Netz genommen um diese zu schützen, so kommt die Produktion zum Stillstand. Weiterhin können sehr kostenintensive Wideranlaufprozesse erforderlich werden. Wird zu spät eingegriffen, kann der Angreifer seine Spuren verwischen und entstandener Schaden ist nicht mehr nachvollziehbar und kann somit nicht wieder korrigiert werden. 9.2.4 SICHERHEIT ALS DYNAMISCHER PROZESS Der Prozess Sicherheit kann in 6 Schritte unterteilt werden: • • • • • • Vorbereitung Erkennung Aktion/Containment Löschen Wiederherstellen Lernen aus der Vergangenheit 9.2.4.1 Vorbereitung Zur optimalen Vorbereitung gehört ein umfangreicher Notfallplan. • Welche Informationen werden benötigt und wie können diese gewonnen werden? • Welche Personen sind zu involvieren? • Wie sind die Informationen zu hinterlegen und zu sichern? 108 Enterasys Networks – Design Guide • Wer darf z.B. die Stilllegung einer Produktionsmaschine veranlassen? Eine der Herausforderungen ist es, später beweisen zu können wer „was, wann und warum“ gemacht hat. Detaillierte Notizen sind dabei unabdingbar. Im Falle eines Falles müssen Maschinen vollständig wiederhergestellt werden. Welche Konzepte für mögliche Ausfälle stehen zur Verfügung? Funktionierende Backupprozeduren helfen die Ausfallzeiten entsprechend zu minimieren. Wird ein Einbruch erkannt, beginnt die hierfür definierte Prozedur. Eine Reihe von Ereignissen welche einzeln betrachtet keinen Angriff darstellen, können in Summe ebenfalls als Einbruch zu werten sein. Neben der strikten Einhaltung der definierten Prozeduren gilt es, nur die nötigsten Personen zu involvieren. Ein Angreifer aus dem eigenen Netz wird somit nicht frühzeitig vorgewarnt. 9.2.4.2 Aktion/ Containment Die benötigten Daten über einen erkannten Angriff liegen vor und nun gilt es, weiteren Schaden zu minimieren. Der erste Gedanke, die angegriffene Maschine vom Netz zu nehmen, ist nicht immer sinnvoll oder praktikabel: • • • bestimmte Viren veranlassen das Löschen der Festplatte, sobald der Rechner keinen Netzwerkanschluss mehr hat bei Angriffen auf Produktionsmaschinen kann der entstehende Schaden geringer sein, wenn die Maschine nicht vom Netz genommen wird bei Angriffen auf eine Arbeitsstation eines Benutzers ist es sinnvoll nicht mehr an der Maschine zu arbeiten, damit nicht wichtige Daten verloren gehen Die Qualität der zu treffenden Entscheidungen hängt von der Qualität der gesammelten Daten ab. Je eindeutiger diese sind, desto leichter fallen schwerwiegende Entscheidungen. Ein gutes IDS mit weitreichenden Analyse- und Logging Funktionen ist dabei ein unentbehrlicher Helfer. 9.2.4.3 Löschen/Wiederherstellen Unauthorsierten Code (veränderte Programme) zu entfernen ist eine schwere Aufgabe. Bei heutigen Systemen mit mehreren Gigabyte Plattenspeicher, sind unzählige Möglichkeiten vorhanden, um Daten und Programme zu verstecken. Als Beispiel seien hier Rootkits genannt. Diese verändern das Betriebssystem, den Kernel und seine Dienstprogramme soweit, dass es unmöglich ist, eine solche Maschine ohne weiteres zu überprüfen. Selbst Programmen wie ein Taskmanager bzw. ps ist dann nicht mehr zu trauen. Eine der Grundlagen für erfolgreiches Löschen sind die Informationen, wie der Angriff stattgefunden hat und von welcher Maschine er gestartet wurde. Somit können vielfältige Gegenmaßnahmen ergriffen werden, wie • • • • • Patch Aufspielen Accesslisten ändern DNS Namen ändern Wechsel des Betriebssystems IP-Adresse ändern 109 Enterasys Networks – Design Guide Gerade wenn ein Backup eingespielt wird, ist dieses Backup sehr sorgfältig zu überprüfen und die rückgesicherten Daten sind wieder auf den neuesten Stand zu bringen. Es gibt viele Fälle, in denen ein Angreifer eine Maschine, die per Backup wiederhergestellt wurde, sofort wieder erfolgreich angegriffen hat. 9.2.4.4 Lernen aus der Vergangenheit Das gilt für alle Personen, die mit Security zu tun haben. Alle durchgeführten Schritte sollten in einem Protokoll festgehalten und ausreichend dokumentiert werden. „Konfigurationsänderungen, Patches oder Backups“ dienen als Grundlage für weitere Gespräche, in denen die Schritte für eine weitere Erhöhung der Sicherheit behandelt werden. Risikoabschätzung, Kostenaufwand und Nutzen sind für das Management die entsprechende Entscheidungsgrundlage. Als eine Grundlage für die nötigen Schritte im Falle eines Angriffes dient das nachfolgende Diagramm. In diesem Ablauf- / Entscheidungsdiagramm wird übersichtlich dargestellt, wie mit einem Angriff umgegangen wird. Von der eindeutigen Identifizierung des Angriffes, über die Auswirkungen und die letztendliche Beseitigung von möglichen Schäden und Spuren. 9.2.5 IMPLEMENTIERUNG In den ersten Abschnitten dieses Artikels wurde auf den Nutzen eines IDS eingegangen. Doch wie ist ein IDS zu implementieren, um detaillierte Informationen zu gewinnen? Die Stärke des Intrusion Detection Systems „Enterasys Dragon“ liegt in seiner Fähigkeit, unterschiedlichste Informationsquellen zu nutzen und die gewonnenen Security-relevanten Informationen zielgerecht zu extrahieren. Als Quellen eignen sich unterschiedlichste Logfiles von den im Netzwerk vorhandenen Systemen und Geräten, wie zum Beispiel • • • • • • • • • 9.2.6 Zugangskontrollsysteme Mailserver DNS Server Webserver Zentrale Server wie BS2000, SUN Cluster Logfiles eigener Applikationen (Kassenanwendungen, Buchungssysteme, …) Router Firewalls u.v.a DER HOSTSENSOR Um die Logfiles analysieren zu können, wird der Dragon Hostsensor eingesetzt. Dieser überwacht alle relevanten Dateien eines Systems und kann auf einem oder mehreren zentralen „Masterlog Servern“ eingesetzt werden. Hier können zum Beispiel die Meldungen von Enterasys- oder Cisco- Routern überprüft und Ereignisse ausgewertet werden. Der Dragon Hostsensor kann ebenfalls auf zu schützenden Hosts genutzt werden. Neben Servern so auch auf einem PC aus der Personalabteilung. Dort erkennt der Hostsensor, wenn die Registry verändert wurde. Wird ein neuer User lokal hinzugefügt wird entsprechend Alarm geschlagen. Es 110 Enterasys Networks – Design Guide gibt unzählige Programme, die es einem Angreifer ermöglichen, einen Rechner fernzusteuern. Solche unauthorisierte Zugriffe werden sofort erkannt und gemeldet. Als Beispiel für die Logfileauswertung sei hier der Nimda-Wurm genannt, der folgende Spur auf einem Webserver hinterlässt: GET/msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../ innt/system32/cmd.exe?/c+dir HTTP/1.0" 404 265 "-" "-" Enterasys Networks stellt von Haus aus über 1500 Signaturen zur Verfügung. So ist ein schnelles und effizientes Rollout der Hostsensoren ermöglicht. Eigene Signaturen können jederzeit in wenigen Minuten über das Webinterface erstellt werden. Der Zugang zum Webinterface ist mit einem Passwort gesichert und erfolgt verschlüsselt mit SSL. Eine weitere Anwendung der Hostsensoren liegt in der Möglichkeit, die Logfiles von Firewalls und Routern zu korrelieren. Damit werden nicht nur erfolgreiche Angriffe erkannt, sondern auch versuchte Angriffe, die von der Firewall oder dem Router geblockt wurden. 9.2.7 DER NETZWERKSENSOR Als wesentliche Quelle für Informationen über Angriffe dient ein Netzwerksensor. Bei Dragon Sensor handelt es sich um ein netzwerkbasiertes, High-Speed Intrusion-Detection-System (NIDS). Dieses System beobachtet den Netzwerk-Verkehr in Echtzeit, um Attacken oder gefährliche Inhalte zu analysieren, bevor diese ihr Ziel erreichen. Dragon Sensor analysiert den Netzwerk-Verkehr auf Protokoll- und Anwendungsebene. Im Gegensatz zu den meisten anderen NIDS, arbeitet Dragon Sensor nicht nur signaturbasiert. Der Dragon selbst ist in der Lage, Anomalien zu erkennen, für die in der wissensbasierten Datenbank keine entsprechende Signatur hintergelegt ist. Wird eine Signatur oder Anomalie erkannt, löst Dragon Sensor einen Alarm aus und übermittelt alle relevanten Daten des Angriffs (Folgepakete incl. Payload) an den Security Information Manager. Der Security Information Manager dient dem Reporting und der Analyse. Mit der zunehmenden Verbreitung von Intrusion-Detection-Systemen arbeiten Hacker natürlich an Methoden, um diese zu umgehen. Dragon Sensor ist so konzipiert, dass die Funktionsfähigkeit weder durch IP-Fragmentierung, TCP/UDP Stream Deassembly-Methoden wie RPC, HTTP und DNS noch durch erweiterte Protokoll-Verschlüsselungstechniken eingeschränkt wird. Dazu gehören auch die Polymorphic Overflow-Technologien des Security Researches K2. Die Stärke der Polymorphic Overflow-Technologien liegen darin, einen Angriff so verschieden zu kodieren, um somit ein signaturgestütztes IDS zu umgehen. Dragon hat Plugins, die solche Kodierungen erkennen und ist somit für die unverschlüsselten Protokolle immun gegen die Angriffs-Techniken des Security-Researchers K2. Netzsensoren werden an wichtigen Datenpfaden innerhalb des Unternehmens implementiert. Dazu gehören wie im nächsten Bild unten exemplarisch gezeigt, alle Verbindungen, die einen externen Zugang zum eigenen Netz ermöglichen. Selbst getrennte Wege oder andere Redundanzmechanismen sind für ein IDS kein Hemmnis. Ein Netzsensor wird darüber hinaus in unternehmenskritische Zonen platziert, wie z.B. Personalabteilung, Entwicklung und Finanzabteilung. 111 Enterasys Networks – Design Guide Dragon Hostsensor Verarbeitet Syslog Meldungen von Router und Firewall, SNMP-Traps von beliebigen Devices Internet Dragon Netzsensor Überwacht den Datenpfad auf beliebige Angriffe Security Information Manager Hier werden die Daten der Host- und Netzsensoren korreliert und aufbereitet Der Hostsensor wird zusätzlich auf unternehmenskritische n Servern eingesetzt Abbildung 65: IDS Überwachungspunkte 9.2.8 AUSWERTUNG UND KORRELATION Aus einer Flut von Daten extrahiert das IDS Ereignisse und bereitet diese grafisch auf. Ob es sich um einen eindeutigen Angriff (z.B. Nimda-Virus) handelt oder ob die Kombination von Ereignissen einen Angriff ergibt, das IDS wird durch vordefinierte Mechanismen einen Alarm auslösen. Integration in zentrale Managementtools wie Tivoli Risc-Manager, Aprisma Spectrum oder HP Openview ist durch das Senden von Alarm-Traps gegeben. Dies wird in dem Security Information Manager (SIM) konfiguriert. Der SIM bereitet die Daten auf, fasst Ereignisse zusammen und sendet diese an das Analyse-Tool um Einbrüche sicher zu erkennen. Die Konfiguration der Sensoren geschieht über den Policymanager. Der Policy verwaltet Updates, Signaturen und Einstellung der im Netz verteilten Host- und Netzsensoren. 9.2.9 FAZIT Die Technologie des IDS ermöglicht das zielgenaue Erkennen von Angriffen. Das IDS verschafft dem Betreiber einen strategischen Zeitvorteil, der dazu genutzt wird, weitere Sicherungsmaßnahmen einzuleiten. Bei einem erfolgreichen Angriff dienen die gesammelten Daten als Beweisgrundlage. 112 Enterasys Networks – Design Guide 10 Voice over IP – eine Gesamtplanung Die IP-Infrastruktur von konvergenten Netzen muss folgenden Anforderungen entsprechen: • • • • Verfügbarkeit Wirtschaftlichkeit, Managebarkeit Sicherheit Konvergenzfähigkeit Die Enterasys Networks Strategie für solche Konvergenten Netze heisst EFFECT: ENTERPRISE FRAMEWORK FOR EVOLUTIONARY CONVERGENCE TECHNOLOGY 10.1 EINLEITUNG Die Ausschreibung für das Unternehmen NoFear hat die Schaffung einer Plattform für alle Kommunikationsdienste und deren Integration in den Workflow des Unternehmens zum Ziel. Enterasys Networks versteht unter einer ganzheitlichen Lösung nicht nur technische, sondern vor allem wirtschaftliche und organisatorische Gesichtspunkte. Die Lösung besteht zu Einen aus der HiPath-Konvergenzarchitektur von Siemens, zum Anderen wird die darunterliegende IP-Infrastruktur durch das Partnerunternehmen Enterasys Networks realisiert. 10.2 GRUNDSÄTZLICHE DESIGNKRITERIEN FÜR KONVERGENTE NETZE Die IP Infrastruktur wurde einem grundlegenden Neu-Design unterworfen, um mehrere Aspekte der Anforderungen von NoFear zu entsprechen: • • • • Verfügbarkeit Wirtschaftlichkeit, Managebarkeit Sicherheit Konvergenzfähigkeit 113 Enterasys Networks – Design Guide 10.2.1 VERFÜGBARKEIT Man muss sich beim Einsatz von VoIP zur Erstellung eines konvergenten Netzes bewusst sein, dass die zuvor vorhandene Systemredundanz von IP Datennetz und TDM Sprachnetz aufgegeben wird. Das Unternehmen wird damit abhängig von der IP Infrastruktur – dies muss sich in der Lösung jeglicher Fragestellung widerfinden. Mathematisch gesehen (zur Berechnung der Gesamtverfügbarkeit) geht man dabei von einer Parallel- zu einer Reihenschaltung über, in der das schwächste Glied die Gesamtverfügbarkeit bestimmt. 10.2.2 WIRTSCHAFTLICHKEIT , MANAGEBARKEIT Bei der Größe von NoFear macht eine Multivendor-Umgebung in Bezug auf eine Kosten/Nutzen Analyse wenig Sinn, der vorhandene Hersteller kann die WAN Infrastruktur nicht stellen, die LAN Infrastruktur hätte sowieso geändert werden müssen Komponenten, die keine automatische Konfiguration unterstützen, die das Umzugsmanagement erleichtert (vgl. Kapitel 10.2.10.9) sollten nicht zum Einsatz kommen. Beide Aspekte tragen erheblich zur Senkung der operativen Kosten bei, die den Löwenanteil eines Investments in die IP Infrastruktur darstellen. 10.2.3 SICHERHEIT Die Sicherheit einer IP Infrastruktur geht direkt in die Verfügbarkeit derselben ein – d.h. Argumente für Verfügbarkeit gelten auch hier. Die neu installierten Komponenten haben den Vorteil, dass sie eine standardbasierte Benutzerauthentisierung ermöglichen, die neben der zentralen Benutzerverwaltung (die auch für die WAN/VPN Lösung genutzt werden kann) auch eine zentrale Verwaltung und Verteilung von Benutzerprofilen ermöglicht. Auch hier ist wiederum auf den Abschnitt User Personalized Network zu verweisen. 10.2.4 KONVERGENZFÄHIGKEIT Diese Eigenschaft bezieht auf die Bereitstellung folgender Eigenschaften durch die IP Infrastruktur, die zur Realisierung einer sicheren Konvergenzinfrastruktur unerlässlich sind: • • • • • Bandbreitenlimitierung (Rate Limit, Rate Shaping) Warteschlangenabarbeitung (Queuing) Paketklassifizierung (Layer 4 packet classification, DSCP classification) Speichermanagement (Buffer Management) Automatische Konfiguration der o.g. Parameter Enterasys Networks stellt nicht nur die „Quality of Service“ Funktionen zur Verfügung, sondern kann diese auch automatisch durch das Netzwerk konfigurieren lassen, was wiederum eine erhebliche Kostenersparnis im operativen Bereich darstellt – siehe auch User Personalized Network. 114 Enterasys Networks – Design Guide Alle zuvor genannten Aspekte treffen sowohl die für internen Standorte von NoFear als auch für die Messehalle zu. 10.2.5 10.2.5.1 DIE LAN INFRASTRUKTUR Gesamtkonzept Sowohl die LAN- als auch die WAN-Infrastruktur genügen den zuvor erwähnten Kriterien. Im Folgenden soll die eingesetzte Hardware und auch das Netzdesign der LAN Infrastruktur näher erläutert werden. Die logische Infrastruktur wird im Kapitel User Personalized Network detaillierter beschrieben. Das Gesamtkonzept des Netzdesigns der aktiven Komponenten des Unternehmens NoFear stellt sich wie folgt dar: Abbildung 66: Gesamtlösung, Beispieldesign 10.2.6 LOGISCHES KONZEPT (IP ADRESSEN, VLAN UND QOS DEFINITION) Neben dem physikalischen Design spielt die logische Strukturierung des Netzes eine zentrale Rolle. Zur Vereinfachung wurde dies in 2 Blöcke unterteilt 1. IP- und VLAN-Zuweisung 2. QoS Definition – Traffic Management 10.2.7 IP- UND VLAN ZUWEISUNG Aus Gründen der Vereinfachung des Managements und der Sicherheit wird auf die Bildung übergreifender VLANs verzichtet. Jede Etage stellt ein IP Subnetz dar – Daten- und VoiceSysteme befinden sich im gleichen Subnetz (siehe auch QoS Definition – Traffic Management). Jede Etage wird im Backbone per VRRP redundant geroutet – zwischen den Backbone Komponenten kommt OSPF zum Einsatz. Die Etagen sind ebenfalls per Rapid Spanning Tree nach 802.1w angeschaltet. 115 Enterasys Networks – Design Guide Die administrativen Zugänge der aktiven Komponenten liegen im selben IP-Adressbereich, sind jedoch durch Radius -Login geschützt bzw. werden durch SNMPv3 und SSHv2 weitere Schutzmechanismen erfahren. Die IP Zuweisung erfolgt über DHCP mittels eines privaten 172.20.0.0 Adressraumes: Standort Standort Köngisbronn Maßnahmen Pro Etage 1 Subnetz mit 24 Bit Subnetzmaske 172.20.1.0/24…172.20.5.0/24 Für Backbone (Transfernetze) 1 Subnetz mit 24 Bit172.20.6.0/24 Für Servernetze 3 Subnetze mit 24 Bit 172.20.7.0/24…172.20.9.0/24 Reserve 6 Subnetze mit 24 Bit 172.20.10.0/24..172.20.15.0/24 Damit kann der Standort per Route Aggregation mit 172.20.1.0/20 angefahren werden. Standort Hemsbach Verwaltung: Pro Etage 1 Subnetz mit 24 Bit Subnetzmaske 172.20.17.0/24.172.20.22.0/24 Für Backbone (Transfernetze) 1 Subnetz mit 24 Bit 172.20.23.0/24. Für Servernetze 3 Subnetze mit 24 Bit 172.20.24.0/24.172.20.26.0/24 Reserve 5 Subnetze mit 24 Bit 172.20.27.0/24.172.20.31.0/24 Damit kann das Gebäude per Route Aggregation mit 172.20.17.0/20 angefahren werden. Standort Hemsbach Messemanagement Pro Etage 1 Subnetz mit 24 Bit Subnetzmaske 172.20.32.0/24.172.20.35.0/24 Für Backbone (Transfernetze) 1 Subnetz mit 24 Bit 172.20.36.0/24. Für Servernetze 3 Subnetze mit 24 Bit 172.20.37.0/24.172.20.39.0/24 Reserve 6 Subnetze mit 24 Bit 172.20.40.0/24.172.20.45.0/24 116 Enterasys Networks – Design Guide Damit kann das Gebäude per Route Aggregation mit 172.20.32.0/20 angefahren werden. Für die Remote Arbeitsplätze wird das Subnetz 72.20.46.0/23 mit 510 Hosts vorgesehen. Für die Ausstellungshalle wird das Subnetz 172.20.48.0/22 mit 1024 Hosts vorgesehen. Es können für weitere Anwendungen natürlich Blöcke aus diesem 172er Netz zugewiesen werden. Tabelle 15: Ip-Adressierung 10.2.8 QOS DEFINITION – TRAFFIC MANAGEMENT : Generell kann dieses Thema in vier verschiedene Blöcke eingeteilt werden: • Paketclassification • Rate Limiting • Congestion Management • Queuing • Auch hier wird die Konfiguration durch die vereinfachte IP- und Vlan Struktur übersichtlicher: • Paketklassifikation: Es wird sowohl auf den Edgeswitches Matrix E1 als auch im Core ausschließlich auf DiffServ Signalisierung gesetzt – dadurch gibt es ein Template für alle Systeme. Für die PC Phones ist ausschließlich dieser Ansatz überhaupt umsetzbar. • • • • • Voice Signaling – DSCP 3 – Priority 7 Voice Traffic – DSCP 5 – Priority 5 Data Traffic – DSCP 0 – Priority 0 Alle weiteren Verkehrsarten fallen per Default in die Priority 0. Control Traffic der aktiven Netzwerkkomponenten bekommt ebenfalls Priority 7. Rate Limiting: Da bei DSCP Signalisierung die Endsysteme involviert sind (untrusted Systeme) muss dafür gesorgt werden, das die entsprechenden Verkehrsklassen nicht überlastet werden (z.B. FTP mit DSCP 3 gesendet wird) – daher werden auf den Edgeswitches Matrix folgende Rate-Limit-Eintragungen vorgenommen: • • DSCP 3 – Priority 7 – 1 Mbit/s DSCP 5 – Priority 5 – 250 kbit/s • Broadcast Suppression – 200 pps per Port: Die Broadcast Suppression sorgt dafür, das sich Broadcaststürme, die z.B. durch fehlerhafte 117 Enterasys Networks – Design Guide • Datenendsysteme oder Datenloops im Netz erzeugt werden, nicht die im gleichen Netz befindlichen Voice Systeme (IP Phones) beeinflussen. Bei eingeschaltetem IGMP Snooping der Matrix E1 sollten Multicaststürme ohnehin nicht auftreten. Congestion Management: Hierbei werden die Default Settings der Systeme verwendet. Queueing: Folgendes Mapping erfolgt auf allen Endsystemen: Matrix E1 – Hybrid Queueing (Strict/WRR mix per Port) Prio 7 Queue 3 – Strict Queue Prio 5 Queue 2 – Strict Queue Prio 0 Queue 1 – WRR Queue Xpedition – Strict Queueing wie Matrix E1 Xpedition Security Router – Hybrid (Priority/CBWFQ per Interface) prinzipiell wie E1, andere Queue Nummerierung, da 4+64 Queues pro Interface) Eine detaillierte Zuweisung weitere Queues ist nur nach intensiver Analyse der vorhandenen Applikationsinfrastruktur möglich. Die dynamische Zuweisung o.g. Profile wird im Abschnitt User Personalized Network beschrieben. 10.2.9 GESAMTKONZEPT BESCHREIBUNG Bei der Auswahl der Komponenten bei diesem Gesamtkonzept wurde aus technologischen und wirtschaftlichen Gesichtspunkten sehr viel Wert darauf gelegt, dass hier eine möglichst einheitliche Komponentenwahl in Anpassung der jeweiligen geforderten Aspekte der Aus schreibung getroffen wurde. Sowohl auf allen Etagen als auch im Bereich der Messehalle würden die Matrix E1 Switchsyteme installiert. Dies führt zu wesentlich reduzierten Kosten bei der Ersatzteilhaltung sowie der Ausbildung des Service-Personals. Die verwendeten Switches Matrix E1 WS sind für den High End Workgroup Bereich optimiert – und passen damit perfekt auf die Anforderungen eines Etagenswitches in einer konvergenten Infrastruktur: • Layer 2-4 Paketklassifizierung, auch per DCSP • Bandbreitenlimitierung • Hybrid Queueing (kombiniert Weighted Fair Queueing mit Strict Queueing !) • Benutzer Authentisierung mittels 802.1x • Unterstützung dynamischer Konfiguration mittels User Personalized Network • Rapid Spanning Tree nach 802.1w • Redundante Stromversorgung • Volle Routing Funktion (OSPF, RIP, VRRP), findet in diesem Konzept jedoch keine Anwendung • Standard Layer 2 Funktionen wie 802.1Q, GVRP etc. • Von 48 bis 96 10/100 Ports skalierbar • Modulare Uplink Slots • 24 Gbit/s, 16 mio pps 118 Enterasys Networks – Design Guide Eine zusätzliche Redundanz wird durch die Verwendung mehrerer Matrix E1 pro Etage und die Verteilung der Dosen auf diese Switches erreicht. Jeder Etagenbereich wird zu einem separaten Subnetz zusammengefasst und von den CoreSystemen aus redundant per VRRP weitergeroutet. Die automatische Konfiguration der Benutzerports durch das User Personalized Network macht eine Mikrosegmentierung in Etagen möglich, ohne dabei die administrativen Kosten dabei zu erhöhen, im Gegenteil: sie sinken sogar. Die Mikrosegmentierung hat den Vorteil, dass man eine hohe Stabilität des Netzes erreicht – Layer-2-Probleme werden lokal gehalten und können zusätzlich durch Funktionen wie Broadcast Suppression kontrolliert werden – und sich damit nicht über das Netz fortpflanzen. Verfügbarkeit steht wie schon erwähnt an erster Stelle. Alle Matrix E1 werden von der Etage aus per Gigabit Ethernet an die Core-Systeme herangeführt. Im Core-Bereich kommen die X-Pedition Router von Enterasys Networks zum Einsatz. Diese Geräte sind als universelle LAN/WAN Core Systeme designed und bieten u.a. folgende Funktionen: • • • • • • • • • • • • • • • Layer 2-4 Paketklassifizierung, auch per DCSP Bandbreitenlimitierung Weighted Fair und Strict Queuing Rapid Spanning Tree nach 802.1w Redundante Stromversorgung Redundante Switch Fabric Redundante Controller Module Volle Routing-Funktion BGP, OSPF, RIP, VRRP Server Load Balancing Web Cache Redirect Policy Routing Wire Speed Access Control RMON1/RMON2 sowie Netflow v5 Standard Layer 2 Funktionen wie 802.1Q, GVRP etc. Interface von 10/100/1000 Ethernet bis ATM/POS/FDDI/X.21 Sie stellen die zentrale Verbindung zu den Serverswitches (Matrix E1 GWS, die Gigabit Ethernet over Copper Variante des Matrix E1), den Firewalls (angeschlossen an den ServerSwitches) sowie den Etagenswitches dar. Hohe Redundanz, maximale Routingperformance bei gleichzeitiger Bereitstellung von Diensten wie Quality of Service, Accounting und Loadbalancing sind die Entscheidungskriterien für diese Core Systeme. 10.2.10 10.2.10.1 STANDORT HEMSBACH Hemsbach Verwaltung Das Gebäude besteht aus 5 Stockwerken mit je 20 Büros. Für jeden der 40 Arbeitsplätze je Stockwerk wurden 4 Daten- und 2 Telefonsteckdosen vorgesehen. Die Kat-6-Verkabelung ist an einem Etagenverteiler auf Panels aufgelegt und durchgängig 8-adrig vorgenommen worden. Die 119 Enterasys Networks – Design Guide Telefonverkabelung müsste je Stockwerk auf einem rangierbaren Zwischenverteiler aufgelegt sein. Wir haben angenommen, dass sich im Kellergeschoss eine Hauptverteilung befindet. Dort sind LWL-Fasern zu den einzelnen Etagen verlegt, wir sind von 8 Fasern zu jeder Etage ausgegangen. Die vorhandene TK Anlage ist dort ebenfalls aufgelegt. Nach der Berechnung der vorhandenen Infrastruktur können in diesem Gebäude pro Etage maximal 160 Benutzer in das Netzwerk eingebunden werden. Daraus ergibt sich folgende Konfiguration der jeweiligen Etagenswitche: • Pro Etage werden jeweils 2 Matrix E1 eingesetzt. Diese Systeme sind mit einem redundanten Uplink in den Backbonebereich dieses Gebäudes über 1000BaseSX verbunden. Weiterhin wurde aufgrund der Anforderung der Portdichte pro Etage in jedes Gerät auf 80x 10/100 Ports aufgerüstet. • Im Backbone dieses Gebäudes befinden sich 2x XPedition 8000, welche die ankommenden Gigabit-Leitungen aufnehmen und eine Ankopplung des Messemangement-Gebäudes sowie der Firewalls (über den ServerSwitch) und ServerSwitches erlauben. Die XPedition sind untereinander über Gigabit Trunks (2fach) verbunden. • Der ServerSwitch (ggf. erweiterbar) ist ebenfalls ein Matrix E1 – jedoch die GWSVersion (anstatt 48x 10/100 Ports im Basissystem mit 6x 10/100/1000 Ports ausgestattet – und mit den gleichen Uplink Optionen) und ist identisch an den Backbone wie eine Etage angeschlossen. Abbildung 67: Standort Hemsbach 120 Enterasys Networks – Design Guide 10.2.10.2 Hemsbach Messemanagement Das Gebäude besteht aus 3 Stockwerken mit je 25 Büros sowie einem Stockwerk mit 5 Büros und einem Großraumbüro für das Call Center. Für jeden der Arbeitsplätze je Stockwerk wurden 4 Daten- und 2 Telefonsteckdosen vorgesehen. Die übrige Verkabelung dürfte ansonsten weitgehend der in der Verwaltung entsprechen. Anstelle der TK-Anlage ist hier ein Telefonkabel zur Verwaltung aufgelegt. Nach der Berechnung der vorhandenen Infrastruktur können in diesem Gebäude pro Etage maximal 200 Benutzer in das Netzwerk eingebunden werden. Ausnahme ist hier das Callcenter mit maximal 60 Nutzern. Die Konfiguration der Etagenswitche im Callcenter besteht hier aus 2x Matrix E1 sowie jeweils einer redundanten Gigabit-Ethernet-Verbindung auf 1000BaseSX Basis. Die Etagenswitches in den restlichen Etagen dieses Gebäudes wurden wie folgt bestückt: Pro Etage werden jeweils 3x Matrix E1 eingesetzt – 2 davon jeweils auf 80x 10/100 Ports aufgerüstet, alle mit einer redundanten Gigabit Ethernet Verbindung auf 1000BaseSX Basis ausgerüstet. Die Gebäude-Core-Switches sind identisch mit dem Core des Verwaltungsgebäudes – und auch mit diesem 1:1 verbunden, und untereinander ebenfalls mit 2 x 1000BaseSX getrunkt. 10.2.10.3 Hemsbach Messehalle Die Austellungsplätze der Messehalle befinden sich im Wesentlichen auf einer Ebene mit den Abmessungen 200 x 50 Meter. Die insgesamt 50 möglichen Ausstellungsplätze sind jeweils mit 8 Fasern LWL verkabelt. Das LWL-Netz ist sternförmig an einem Verteilerschrank im Kellergeschoss konzentriert. Das Konzept der Messehalle unterteilt sich in zwei Bereiche. 1. 2. Verkabelte Infrastruktur WLAN Infrastruktur Nach der Berechnung der vorhandenen Infrastruktur wird in diesem Gebäude aus oben angeführten technischen und wirtschaftlichen Gründen folgende Konfiguration der jeweiligen Ausstellungsflächen angeboten. Diese Konfiguration bezieht sich auf alle 50 Ausstellerflächen. Pro Ausstellerfläche werden jeweils 2x Enterasys Vertical Horizon Switches mit 8x 10/100 und 1x 100 FX angeboten. Jeweils ein Switch wird für die VoIP Endsysteme verwendet, der andere für die Datenendsysteme. Zentral kommt ein Matrix E7 Switch zum Einsatz, der zur zentralen Aggregierung für diese Ausstellerswitches und den WLAN Backbone dient sowie als Router zwischen Messehalle und Internetzugang genutzt wird. Weiterhin kann pro Ausstellerplatz über diesen Matrix E7 auch Gigabit Ethernet zur Verfügung gestellt werden – über die verbleibenden 4 Fasern pro Stand entspricht dies 2 Gbit/s pro Stand – full duplex. Da die Einschübe jedes Matrix E7 vollkommen unabhängig voneinander arbeiten und die Backplane vollkommen passiv ist, ist die Verwendung eines einzigen E7 für die Messekommunikation ausreichend. 121 Enterasys Networks – Design Guide Die Funktionen des Matrix entsprechenden dem Matrix E1, der schon als Etagen Switch zum Einsatz gekommen ist – zusätzlich wird hier jetzt eine Routinglizenz zur Anbindung an zentrale Dienste verwendet. Für die VoIP Endsysteme stellt der Matrix E7 zentral die entsprechenden Bandbreiten zur Verfügung und sorgt mit entsprechenden Rate Shaping dafür, dass keine Überlastsituationen erzeugt werden können. Für die Datenendsysteme wird zentral eine Authentisierung mittels Web Interface realisiert, um jeden Ausstellerplatz separat freigeben zu können – siehe User Personalized Network. 10.2.10.4 WLAN Infrastruktur Der zweite Teil dieses Konzeptes sieht ein Besucherinformationssystem vor. Das bedeutet, dass Messebesuchern über ein getrenntes Netzwerk, via Wireless LAN mit dem Produkt RoamAbout Access Point R2 von Enterasys Networks, ein zusätzlicher Service für Besucher und ausstellende Unternehmen generiert wird. Durch die Möglichkeit der Wireless-LAN-Komponenten erzielt das Messeunternehmen NoFear eine hohe Flexibilität für eigene Mitarbeiter, für Aussteller und auch für die Besucher des MesseGeländes. NoFear kann auf nahezu alle Wünsche der Aussteller im Bereich der Daten und Sprachkommunikation ohne großen Aufwand eingehen und stellt den Anspruch als führender Veranstalter von High-Tech-Messen unter Beweis. Die Wireless Access Points sind untereinander in Deckenhöhe verbunden, nach unten in den Aussteller-Bereich ist jeweils eine zweite Funkzelle ausgeleuchtet. Die Zugriffskontrolle kann hier ebenfalls über 802.1x erfolgen, ein sog. Guest Networking für Besucher ohne Authentisierung ist ebenfalls möglich – siehe auch User Personalized Networking. 10.2.10.5 Königswinter Niederlassung Das Gebäude soll insgesamt 225 Arbeitsplätze mit je 4x Daten- und 2x Telefonsteckdosen zur Verfügung stellen. Wir haben hier eine ähnliche Struktur wie in der Verwaltung, verteilt auf 4 Etagen plus Kellergeschoss vorgesehen. Das Gebäude besteht aus 5 Stockwerken mit je 20 Büros. Für jeden der 40 Arbeitsplätze je Stockwerk wurden 4x Daten- und 2x Telefonsteckdosen vorgesehen. Die Kat-6-Verkabelung ist sicherlich an einem Etagenverteiler auf Panels aufgelegt und durchgängig 8-adrig vorgenommen worden. Wir haben angenommen, dass sich im Kellergeschoss eine Hauptverteilung befindet. Dort sind LWL-Fasern zu den einzelnen Etagen verlegt, wir sind von 8 Fasern zu jeder Etage ausgegangen. Die vorhandene TK-Anlage ist dort ebenfalls aufgelegt. Nach der Berechnung der vorhandenen Infrastruktur können in diesem Gebäude pro Etage maximal 160 Ports in das Netzwerk eingebunden werden. Ausnahme ist das Großraumbüro mit maximal 100 Ports. Die Etagenswitches in den Etagen dieses Gebäudes wurden wie folgt bestückt: Pro Etage werden jeweils 2x Matrix E1 eingesetzt – jeweils auf 80x 10/100 Ports aufgerüstet, alle mit einer redundanten Gigabit Ethernet Verbindung auf 1000BaseSX Basis ausgerüstet. Der Core ist identisch mit dem des Verwaltungsgebäudes in Hemsbach. Im Großraumbüro werden 2x Matrix E1 eingesetzt - jeweils mit einer redundanten Gigabit Ethernet Verbindung auf 1000BaseSX Basis ausgerüstet. 122 Enterasys Networks – Design Guide 10.2.10.6 WAN Infrastruktur Bei der Auswahl und dem Design der WAN Infrastruktur wurde von Enterasys Networks der Fokus auf folgenden Funktionen gelegt: • • • Sichere Übertragung durch VPN Einheitliche Authentisierung für VPN/WAN, LAN und WLAN Konvergenzfähigkeit Die VPN-Lösung von Enterasys unterstützt „State of the Art“ Verschlüsselungsmechanismen wie 3DES und AES. Diese ermöglichen eine sichere Verbindung auf der Basis der IPSec-Protokolls zwischen zwei Routersystemen oder auf einem Software-Client und einem Router. Enterasys Networks setzt in dieser Lösung stark auf standardbasierte Clients – unter Linux ist es der FreeSWAN Client, unter Windows 2000 und Windows XP der vorhandene IPSec/L2TP Client, die beide von dem eingesetzten Routersystem XPedition Security Router XSR-1805 terminiert werden können. Die einheitliche Authentisierung kann mittels SmartCard, Passwort oder TokenCard erfolgen – die eingesetzte Technologie unterstützt jegliche Methoden. Die Verwendung des Protokolls EAP (Extensible Authentication Protocol) innerhalb von IPSec/L2TP bei VPN Verbindungen sowie EAPoL bei LAN- und WLAN-Verbindungen macht dies möglich – weitere Informationen sind im Abschnitt User Personalized Network zu finden. Insbesondere bei der WAN-Infrastruktur ist auf die Konvergenzfähigkeit zu achten, wenn diese garantiert werden soll. Die verwendeten Produkte der XSR-Serie können dies realisieren. Zu beachten ist jedoch, dass auch der verwendete Carrier dies tut – und die Schnittstellen sowie die Qualitätsparameter und deren Erfassung beschrieben sind. Dies ist heute jedoch nur bei dedizierten ISDN- und ATM-Verbindungen gegeben, bei IP-basierten WAN-Infrastrukturen ist entweder keine Garantie gegeben oder man muss den Provider entsprechend detailliert analysieren – dies muss dem Anwender bewusst sein. Nichtsdestotrotz kann eine Anbindung von Heimarbeitsplätzen über Internet-Provider sinnvoll und auf alle Fälle extrem kostengünstig sein. Im folgende einige Funktionen des XSR, der im gesamten WAN Konzept eine zentrale Rolle spielt: • • • Interfaces: o 2 * 10/100 Ethernet o 2 * PMC WAN Interface Karten mit jeweils o 1,2,4 E1 o 2,4 X.21 o 2 ISDN PRI o 1,2 ISDN BRI Routing: o OSPF o RIP VPN o Integrierter VPN Accelerator mit 100 Mbit/s 3DES, 50/200 Tunnel o Lokale Authentisierung o Radius Authentisierung 123 Enterasys Networks – Design Guide • • 10.2.10.7 o PKI Infrastruktur Unterstützung o IPSec, L2TP, PPTP Terminierung ISDN o Q921/Q931 ISDN Protokoll o DOD – Dial on Demand o BOD – Bandwidth on Demand. o BRI und PRI Unterstützung Enterasys Software effort: o PPP Bandwidth allocation protocol (RFC 2125) o Demand RIP RFC support. o Quality of Service Priority Queuing o Class based Weighted Fair Queuing o 4 Priority, 64 Class based Queues pro Interface Anbindungsszenarien 10.2.10.7.1 Stationäre Heimarbeiter über RAS Wir gehen davon aus, dass zur Anbindung eines Teils der Heimarbeitsplätze öffentliche ISDNoder analoge Wählleitungen eingesetzt werden. Die Einwahl erfolgt bei ISDN Leitungen entweder durch eine ISDN-Karte im PC oder einen ISDN-Router wie der XSR-1805. Bei dem Konzept mit PC kann der VPN-Client im Endsystem als zusätzliche Sicherheit eingesetzt werden, bei Verwendung des XSR-1805 kann die VPN-Funktion des Routers genutzt werden. Analog-RAS-Nutzer wählen sich immer über einen Provider ins Internet ein und bauen eine VPNVerbindung zur Zentrale auf. Das Konzept sieht daher in Hemsbach einen zentralen VPN-Gateway in Form eines XSR-1805 vor, über den sich auch ISDN-Benutzer einwählen können. 10.2.10.7.2 Stationäre Heimarbeiter über xDSL Hierbei sind verschiedene Szenarien möglich zur Anschaltung an das DSL-Modem über Enterasys Networks (ETS) Komponenten möglich: • • • • Anbindung des PC über Ethernet – Nutzung VPN Client Anbindung des PC über WLAN an ETS Roamabout R1 – Nutzung VPN Client Anbindung des PC und Phones über Ethernet an ETS ANG-1105 – Nutzung VPN im ANG Anbindung des PC und Phones über Ethernet an ETS XSR-1805 mit ISDN backup – Nutzung VPN im XSR Roamabout R1: Ein auf 802.11b basierter Router zur Anschaltung per PPPoE an DSL Dienste, sowie integrierte Ethernet Ports für lokale Drucker/Phones und WLAN für mobile Nutzer innerhalb des Hauses ANG 1105 (Aurorean Network Gatework): 124 Enterasys Networks – Design Guide Eine VPN Appliance für den SOHO Bereich mit 4 Ethernet Ports für lokale Nutzer und PPPoE für den Anschluss an ein DSL Modem. Integrierte VPN Funktion mit bis zu 3 Mbit/s 3DES XSR 1805 Router für Fialen bis zu 100 Mitarbeiter, aber auch für Heimarbeitsplätze aufgrund der Preisstruktur hervorragend geeignet. Integrierte VPN und Firewall Funktion – das gleiche Gerät, was auch in der Zentrale zu Einsatz kommt. Mit diesen Produkten ist eine flexible und kostengünstige Anbindung der Heimarbeitsplätze möglich. Abbildung 68: Anbindung externer Mitarbeiter 10.2.10.7.3 Mobile Teilnehmer mit wechselnden Standorten In den meisten Unternehmen gibt es Benutzer, die aufgrund ihrer Tätigkeit nicht nur im Büro, sondern überall erreichbar sein müssen. Wir haben daher im Konzept vorgesehen, dass solche Anwender ebenfalls die Mittel erhalten, die notwendig sind, um vollständig in die Infrastruktur integriert zu werden. Wir unterscheiden die folgenden Varianten, die selbstverständlich kombiniert eingesetzt werden können: • • • Mobile Anwender, die mittels Telefon (Mobiltelefon, beliebiges Telefon in unterschiedlichen Netzen) erreichbar sein möchten oder auf ihre Mailbox zugreifen wollen. Mobile Anwender, die mittels PC oder Handheld auf Non-VoiceKommunikationsdienste bzw. Datenbestände im Unternehmen zugreifen möchten. Mitarbeiter, die Arbeitsplätze im Büro, zu Hause und unterwegs (z.B. Hotel) nutzen möchten. 125 Enterasys Networks – Design Guide Die mobilen Nutzer werden ausschließlich über eine kostengünstige VPN-Lösung in das Unternehmensnetz integriert – die dazu nötige zentrale Infrastruktur in Form eine XPedition Security Routers wurde schon zuvor beschrieben. 10.2.10.8 WAN Anbindung – Gesamtlösung NoFear hat angegeben, dass zwischen Hemsbach und Königswinter eine 2 MBit/s VLAN Verbindung über einen ISP bereitgestellt wird. Die eingesetzten zentralen VPN fähigen Router XSR-1805, die in jeder Zentrale eingesetzt werden und dort die Heimarbeitsplätze terminieren, können ebenfalls zur Verbindung der Standorte untereinander genutzt werden. Die 30 Mbit/s 3DES sind für die sichere Verbindung mehr als ausreichend. Die externe Anbindung erfolgt in der DMZ, das interne Interface läuft auf einem neuen Interface der zweiten, internen Firewall auf. NoFear fordert ein ausgefeiltes Sicherheitskonzept. Bei der Planung sind wir von einem bestehenden Firewall-System in Hemsbach (Check-Point Firewall-1) ausgegangen. Die Switches innerhalb der DMZ sind ebenfalls aus der Serie Matrix E1, wie die vorhandenen Server-Switches (mit 10/100/1000 als Basisversion). Zusätzlich empfehlen wir NoFear die Implementierung einer PKI-Infrastruktur, die ein wichtiger Teil eines umfassenden Konzeptes für die Sicherheit und Verschlüsselung ist. Abbildung 69: WAN-Design, gesamt 126 Enterasys Networks – Design Guide 10.2.10.9 User Personalized Network, UPN Durch das oben beschriebene Re-design des Netzwerkes gewinnt NoFear die Fähigkeit, eine Sprach-Daten-Konvergenz durchzuführen. Beim Re-design des Netzes durch Enterasys wurde zudem ein großer Wert auf Verfügbarkeit, Wirtschaftlichkeit, Managebarkeit und Sicherheit gelegt. Um in der heutigen Zeit als Unternehmen erfolgreich zu sein, bedarf es zum einen der Senkung der operativen Kosten und zum anderen der Findung und Erweiterung neuer Geschäftsfelder. Daher empfiehlt Enterasys die Einführung eines User Personalized Networks (UPN), um diesen Anforderungen mit einer modernen IT-Infrastruktur gerecht zu werden. Im Folgenden wird beschrieben, wie ein UPN die Anforderungen der Ausschreibung erfüllt und wie NoFear mittels UPN neue Dienste bereitstellen und vermarkten kann. 10.2.10.9.1 Sicherheitssystem Ein wichtiger Teil der Ausschreibung ist das Sicherheitssystem. Die externen Benutzer des VoIPNetzes müssen mit Hilfe eines Sicherheitssystems identifiziert werden. Dazu bedarf es einer Lösung, die den Zugang zur Infrastruktur überwacht und sicherstellt, dass die Anforderungen an das VoIP-Netz nicht durch externe Benutzer und bandbreitenintensive Applikationen gestört werden. Dies ist nur möglich, wenn man den Benutzer erkennt, der das Netzwerk nutzen möchte. Daher braucht man einen universellen Authentisierungsmechanismus, um einen verteilten Zugangsmechanismus bereitzustellen. Genau dort setzt das User Personalized Network an. Der verteilte Zugangsmechanismus erfolgt über die Funktionalität des Standards IEEE 802.1X. Damit ist es möglich, dass sich jeder Benutzer vor Eintritt in die Netzwerklandschaft authentisieren muss. Dies erfolgt in der angebotenen Lösung von Enterasys mittels des Standards IEEE 802.1X. 10.2.10.9.2 Port based Authentication - IEEE 802.1X Das Institute of Electrical and Electronical Engineers (IEEE) hat einen Standard entwickelt, der den Benutzer identifiziert, bevor er überhaupt auf die Netzwerk-Ressourcen zugreifen kann. Der auch als „Port Based Network Access Control“ bezeichnete Standard IEEE 802.1X sorgt dafür, dass der Datenverkehr bereits am Zugangspunkt am Rande des Netzwerks kontrolliert wird. Das heißt, jeder einzelne Switch-Port kann entscheiden, ob der User die notwendigen Rechte besitzt, um den Port zu passieren. 802.1X hindert unautorisierte User am Zugriff auf das Netzwerk, auch wenn das Zugangsgerät bereits an die Infrastruktur angebunden ist. Im Rahmen der Authentifizierung mit 802.1X werden zwei unterschiedliche Zugangspunkte zum LAN geschaffen, ein unkontrollierter Port und ein kontrollierter Port. Der unkontrollierte Port erlaubt den Datenverkehr unabhängig davon, ob bereits eine Autorisierung erfolgt ist oder nicht. Der kontrollierte Port hingegen erlaubt den unbeschränkten Datenaustausch erst nach erfolgter Autorisierung. Bis zur erfolgreichen Authentifizierung kann der so genannte Supplicant über den kontrollierten Port ausschließlich Daten senden, die für die Authentifizierung notwendig sind. Diese Daten werden auch als EAPoL bezeichnet (Extensible Authentication Protocol over LAN). Die Authentifizierung erfolgt primär unter Einsatz des Extensible Authentication Protocol (EAP). EAP ist eine Erweiterung innerhalb des Point-to-Point-Protokolls (PPP), das für die Kommunikation zwischen dem sog. Supplicant und dem sog. Authentication Server zuständig ist. Neben 802.1X unterstützt EAP weitere Authentifizierungsmechanismen wie beispielsweise Kerberos, Smart Cards, Public Key Encryption und One Time Passwort. 127 Enterasys Networks – Design Guide Der Authentifizierungsprozess wird in der Regel immer dann in Gang gesetzt, wenn der Supplicant, d.h. der Client, auf den Port des Authenticator Systems zugreift. EAP fordert den Benutzer auf, sich mit Benutzernamen und Passwort zu authentifizieren. Diese Informationen werden zunächst an den Port bzw. den Switch weitergeleitet. Sobald der Switch diese Daten empfangen hat, leitet er sie an den RADIUS-Server weiter, der in diesem Fall als Authentication Server dient. Anhand der hinterlegten Benutzerprofile authentifiziert der RADIUS-Server den User, d.h. er entscheidet, ob der User Zugriff auf die angefragten Services erhält oder nicht. In einigen Fällen übernimmt der RADIUS-Server die Authentifizierung nicht selbst, sondern leitet die Daten an eine weitere Authentifizierungseinheit weiter, beispielsweise an einen Verzeichnisdienst (Directory) oder einen ACE-Server. Im folgenden Bild ist der prinzipielle Auflauf zu sehen. Abbildung 70: EAP Authentisierung Im Falle einer nicht erfolgreichen Authentifizierung erhält der Switch eine entsprechende Information, die dafür sorgt, dass der Port nicht aktiviert wird beziehungsweise das StandardSystemverhalten beibehält. In beiden Fällen erhält der Benutzer keinen Zugriff auf die angefragten Services. Wenn die Authentifizierung erfolgreich verläuft, wird die Erfolgsmeldung, die der RADIUS Server an den Switch zurücksendet, mit der Funktionsbezeichnung „RADIUS/EAP Success“ versehen. Der Switch schaltet danach sofort den entsprechenden Port für den uneingeschränkten Datentransport frei. IEEE 802.1X findet in der angebotenen Lösung von Enterasys nicht nur im LAN statt, sondern wird auch für Wireless LAN und VPN genutzt. Es gibt Unterstützung von 802.1X mittlerweile für alle Windows Clients ab Windows98 und für Linux, was für den Einsatz innerhalb von NoFear komplett ausreichend ist. Damit es ist möglich, den Anforderungen in der Ausschreibung bezüglich Benutzerauthentisierung gerecht zu werden. 10.2.10.9.3 Zentrale Benutzerverwaltung Die zentrale Benutzerverwaltung spielt hier eine wichtige Rolle, da man den Benutzer einmal anlegt und entsprechende Profile zentral vergibt. Zudem ermöglicht und vereinfacht die zentrale 128 Enterasys Networks – Design Guide Benutzerverwaltung mittels Directory die Einführung einer Public Key Infrastructure, PKI (z.B. mit Siemens DirX Meta Directory) 10.2.10.9.4 Umzugsmanagement Die Benutzerauthentisierung ist ein wichtiger Teil des User Personalized Networks. Nur wenn man den Benutzer erkennt, kann man diesem auch entsprechend den Zugang zum Netzwerk erlauben. Der Riesenvorteil von 802.1X ist die universelle Einsetzbarkeit. Der Benutzer kann sich an jeder Stelle des Netzwerkes an einen Datendose anstecken und der Authentisierungsprozess startet erneut. Das gilt für Wireless- als auch für Wired-Verbindungen. Benutzer sind zudem für die Authentisierung nicht an den Arbeitsplatz oder an den Rechner gebunden. Ist ein Benutzer-Account einmal zentral angelegt, werden diese Infos zur Authentisierung genutzt. Eine Zugangsmethode, die den Benutzer auf Basis von MAC-Adressen oder IP-Adressen festmacht und statisch auf bestimmte Switchports/Datendosen bindet, entfällt komplett. Dadurch sinkt der Administrationsaufwand bei Umzügen und Änderungen (Tausch von PC) durch die aufwendige Pflege von Tabellen und die operativen Kosten können gesenkt werden. 10.2.10.9.5 Zentrale Verteilung von Profilen Die Benutzer-Authentifizierung ist ein wichtiger Schritt, um Mitarbeitern in einem Unternehmen bestimmte Sicherheitsregeln zuzuweisen. Am Ende des erfolgreichen Authentifizierungsprozesses kann jedem Benutzer entsprechend seiner Identität weiterhin bestimmte Regeln zugewiesen werden. Auf Basis dieser Regeln erhält der User in einem Policy -basierten Netzwerk Zugriff auf die entsprechenden Ressourcen. Auf diese Weise ist gewährleistet, dass einem Mitarbeiter ausschließlich die Service-Level und Verhaltensprofile zur Verfügung gestellt werden, die er für seine Tätigkeit benötigt. Mit einem Policy-basierten Netzwerk ist ein Unternehmen in der Lage, den Zugang zum Netzwerk zu kontrollieren, Informationen und Services bereitzustellen und gleichzeitig vertrauliche Daten zu schützen. Das User Personalized Network (UPN) von Enterasys Networks ist ein Policy -basiertes System, mit dem die Ressourcen innerhalb eines Netzwerks auf Basis der Rolle des Anwenders zugewiesen werden. Abbildung 71: UPN-Komponenten 129 Enterasys Networks – Design Guide Die Autorisierung und die Rollenzuweisung findet dabei an zwei Stellen statt: in der Benutzerund Referenzdatenbank sowie am Switch-Port, den der Benutzer zum Verbindungsaufbau nutzt. Neben der 802.1X-basierten Identifizierung und Authentifizierung ermöglicht das User Personalized Network die einfache Implementierung verschiedener Regeln an den Zugangspunkten zum Netzwerk. Mit diesem Prozess wird sichergestellt, dass die User im User Personalized Network einen sicheren Zugriff auf die entsprechenden Netzwerk-Ressourcen und Service Levels erhalten. 10.2.10.9.6 Einführung von CoS/QoS für VoIP Cos/Qos ist im Falle von NoFear extrem wichtig durch die Einführung von VoIP. Die VoIPDatenströme sind sehr zeitkritisch und erlauben keine Ausfallzeiten. Das Thema Hochverfügbarkeit und Sicherheit in der Datenübertragung ist daher ein sensibles Thema, das bei einer VoIP-Einführung beachtet werden muss. Mittels eines UPNs ist es aber möglich, die Datenströme entsprechend zu erkennen und mit einer gewissen Priorität zu übertragen. Die Bereitstellung von CoS/QoS Diensten erfolgt sogar dynamisch. Da der Benutzer durch den Authentisierungsprozess bekannt ist, kann man diesem auch gezielt an dem angeschlossenen Switch-Port den Dienst VoIP zuweisen. Der Dienst VoIP besteht aus: • • • der Priorisierung der Datenpakete mit Hilfe der Klassifizierung dem DSCP-Wert nach DiffServ und einer Bandbreitenlimitierung aller anderen Applikationen, die über diesen Switchport versendet werden. Dadurch ist möglich, für VoIP eine hohe Prioritätsklasse einzuführen und auch Ende-zu-EndeQualität bereitzustellen. Dies wird näher im Abschnitt QoS/Traffic Management beschrieben. Damit ist es möglich, auch zwischen verschiedenen Benutzergruppen zu unterscheiden. Mitarbeiter im Call Center haben ganz andere Anforderungen an die Infrastruktur als Mitarbeiter in der Verwaltung, die neben VoIP auch noch andere geschäftskritischen Applikationen nutzen. Mit Hilfe von UPN ist es möglich, diesen Anforderungen individuell gerecht zu werden. Die Definition der Rollen und Dienste erfolgt mittels der Applikation „Netsight Altas Policy Manager“, die in Kapitel 8.4 nochmals näher beschrieben wurde. 10.2.10.9.7 Guest Networking Das Konzept von UPN zieht sich prinzipiell über alle Lokationen. Dadurch ist es möglich, unabhängig vom physikalischen Standort die entsprechenden Dienste zu nutzen. In der Messehalle kann NoFear mit Hilfe von UPN auch ein so genanntes „Guest Network“ anbieten. Mittels dieser Zusatzleistung, die die Firma High Fair wiederum vermarkten kann, ist es möglich, Messebesuchern oder akkredierten Journalisten einen prinzipiellen Netzzugang bereitzustellen, um bestimmte Basisdienste wie Verschicken und Aufrufen von Email oder Webzugang bereitzustellen. 130 Enterasys Networks – Design Guide Das Ganze läuft parallel über die Netzwerkinfrastruktur und abgeschottet von dem Rest des Netzverkehrs. Dazu benötigt man nur einen entsprechenden „Guest Account“, der wiederum zentral verwaltet wird. Diesem Guest Account werden dann die entsprechenden Basis-Dienste wie Web oder Email freigeschaltet. Dazu wird wieder die Technologie VLAN-Klassifikation genutzt. Alle Benutzer mit einem „Guest Account“ fallen erstmal in ein so genanntes Discard VLAN, aus dem sie grundsätzlich keine Daten auf die Netzwerkinfrastruktur versenden können. Nur durch Freischalten von Diensten wie ARP, DHCP, HTTP oder SMTP/POP3 können diese genutzt werden.Die Verwaltung läuft ebenfalls wieder über den Netsight Atlas Policy Manager. Aussteller in der Messehalle bekommen wiederum einen speziellen Account, der sie berechtigt, nach erfolgter Authentisierung diverse Dienste in Anspruch zu nehmen. Auch hier ist es für NoFear möglich, diese Dienste granular, gemäß des vorgegebenen Geschäftsmodells, anzubieten. Technisch unterstützen sowohl die angebotenen Matrix E1/E7/N3/N7 als auch RoamAbout R2 diese Funktionalität. Es ist davon auszugehen, dass nicht alle Messebesucher oder auch Journalisten einen entsprechenden Laptop mit 802.1X Unterstützung besitzen. Daher ist es möglich, auch über ein so genanntes WEB -Logon eine Authentisierung bereitzustellen. Dazu wird einfach ein Browser auf dem Laptop gestartet und eine bestimmte URL aufgerufen. Durch Eingabe einer gültigen Benutzername/Passwort-Kombination kann der entsprechende Benutzer das Netzwerk nutzen. 10.2.10.10 Zusammenfassung (Executive Summary) Die Informationen verbunden mit einem entsprechenden Informationsvorsprung sind nach wie vor das wichtigste Gut eines Unternehmens. Es wird heute vorausgesetzt, dass jeder Mitarbeiter in einem Unternehmen jederzeit auf alle Informationen zugreifen kann, die er für seine Arbeit braucht. Wichtige Daten müssen vor Spionage und Manipulation geschützt werden. Daher sind Zugangskontrollen ein wichtiger Bestandteil einer sicheren IT-Infrastruktur. Mit Hilfe eines speziellen Zugangskontrollsystems wie dem 802.1X-Standard lassen sich regelbasierte Verfahren aufbauen, die nicht nur festlegen, wer wann auf welche Systeme zugreifen darf, sondern zusätzlich die Einhaltung dieser Regeln sicherstellen. Der 802.1XStandard ist in der Lage, auch aus anderen Security-Backends die erforderlichen Authentifizierungs-Daten zu gewinnen, um Passwörter sowie Benutzerprofile und Benutzerrechte zu kontrollieren. Angesichts allzu leicht zugänglicher Geschäftssysteme lassen sich daher mit Hilfe spezieller Zugangskontrollsysteme regelgestützte Verfahren aufbauen, die nicht nur festlegen, wer wann Zugriff auf bestimmte Systeme hat und was er mit ihnen machen kann, sondern die Einhaltung dieser Regeln auch automatisch sicherstellen. Diese Regeln können unternehmensweit erstellt, verwaltet und verteilt werden. Auch eine Anpassung an die Sicherheitsanforderungen bestimmter Anwendungen ist möglich. Um den Anforderungen der Ausschreibung gerecht zu werden und neue Geschäftsfelder aufzudecken, empfiehlt Enterasys die Einführung eines User Personalized Networks. Die drei elementaren Bestandteile hierzu sind die einheitliche Benutzerauthentisierung mittels 802.1X, eine Rollenvergabe für die Mitarbeiter angepasst an das entsprechende Geschäftsmodell und eine intelligente, hoch-verfügbare und skalierbare Infrastruktur, die dies bereitstellen kann. Enterasys Networks stellt mit dem angebotenen Netzwerk-Design ein solches System zur Verfügung, mit dem NoFear heute schon ihre Geschäftsprozesse optimal auf die IT-Infrastruktur anpassen kann. 131 Enterasys Networks – Design Guide 11 Wireless LAN 11.1 WESHALB WIRELESS TECHNOLOGIEN EINSETZEN? Wireless LAN schafft Connectivity in Bereichen, in denen bisher keine Datenkommunikation (aus unterschiedlichen Gründen) möglich war, beispielsweise in denkmalgeschützten Bauten. Das Hauptziel ist, Leerlaufzeiten aller Art zu minimieren und somit die Produktivität eines Unternehmens zu steigern. 11.2 WELCHE MÄRKTE WERDEN MIT WLAN ADRESSIERT? Wireless LAN Technologien schaffen Lösungen für folgende Märkte: • Denkmalgeschützte Bauten, wo nur begrenzte Verkabelungen durchführbar sind • Hotel und Gastronomie (Schnelle Bedienung mit PDA´s in Restaurants ) • Gesundheitswesen (Lückenlose Patientenakte, Internet vom Krankenbett) • Automobilindustrie (Qualitätskontrolle) • Logistik und Lagerwesen • Büroumgebungen aller Art • Hotspots etc. 11.3 WAS WIRD ALS WLAN BEZEICHNET? Heute bezeichnet man als ein Wireless LAN die gängigen Infrastrukturen, die in der Majorität auf der 802.11b-Technologie basieren. Diese Technologie arbeitet im freigegebenen ISM-Band bei ca. 2,4 GHz unter Verwendung des so genannten DSSS-Verfahrens (Direct Sequence). (Anmerkung: Frühere, ältere WLAN-Geräte arbeiteten bei 1-2 MBit/s nach dem FHSS (Frequency Hopping Modus) und sind zu den oben genannten DHSS Technologien inkompatibel) Innerhalb des zuvor genannten ISM Bandes stehen nach ETSI Regelung 13 Kanäle zur Nutzung zur Verfügung. Bei der Positionierung von Access Points sind, um Interferenzen zu vermeiden, Mindest-kanalabstände einzuplanen. Erfahrungswerte zeigen, dass ein Kanalabstand von 5–6 Kanälen empfehlenswert ist. ETSI legt ferner eine maximale Sendeleistung von 100 mW oder 20 dBi fest (Vergleiche hierzu auch ETSI EN 300328, u.a.). Anmerkung: Dieser Maximalwert ist ebenfalls zu berücksichtigen, bei der Planung von WLAN Netzen mit externen Antennen. Die bei 802.11b bekannten (Brutto-) Übertragsbandbreiten sind 11; 5.5; 2 und 1 MBit/s. 132 Enterasys Networks – Design Guide Die modernen WLAN-Komponenten unterstützen den dynamischen „Autofallback-Modus“. Hierbei erfolgt bei Änderung der Empfangsverhältnisse eine Änderung der Übertragsbandbreite. Wird der Signal-Rausch-Abstand kleiner, verringert sich die Übertragungsbandbreite und umgekehrt. Als eine weitere Variante eines WLAN wird seit kurzer Zeit in verschiedenen Ländern eine Lösung im Markt angeboten, die bei Frequenzen des 5-GHz-Bandes arbeitet (802.11a/h). Bisher sind die Zulassungen für diese „neuen“ WLANs in den verschiedenen europäischen Ländern unterschiedlich erteilt worden. Eine gesamteuropäische Regelung steht aus. Ebenfalls dürfen Systeme der 5GHz Variante unter Einhaltung jeweiligen Randparameter in Deutschland als auch Österreich betreiben werden. Für den Betrieb sind aufgrund der höheren Frequenz andere Antennen als bei einem 802.11b System erforderlich. Abbildung 72: 802.11a/b Entfernungen Quelle: http://www.zdnet.de/mobile/artikel/techreport/mobile-business/mobilebusiness05_03-wc.html Neben den beiden oben näher beschriebenen Verfahren 802.11 b und 802.11 a/h gibt es noch: • • • • Bluetooth als ein WPAN = Wireless Personal Area Network (löst Connectivity Anforderungen im Nahbereich, quasi die “drahtlose USB Schnittstelle“), 802.11 g (endgültiger Standard steht aus, derzeit 3 Varianten im Draft) Infrarot (z.B. Fernbedienungen zu TV-Geräten /Video) HiperLan, eine weitere 5-GHz-Technologie – die sich zwischenzeitig auf dem Rückzug befindet. Es liegen verschiedenen Gründe vor, die zur Einstellung der weiteren Entwicklungen geführt haben. Dies ist, u.a.: HiperLan basierte auf ATM, was Kompatibilitätsfragen aufwarf. 133 Enterasys Networks – Design Guide Einen Überblick gewähren die folgenden Abbildungen: Abbildung 73: Wireless Technologien Betriebsmodi Im Umfeld von WLAN nach 802.11 b wird zwischen verschiedenen Betriebsmodi bzw. Topologien unterschieden: Ad Hoc Mode: von WLAN-Client-Karte zu WLANClient-Karte (KEIN ! Access Point) - Workgroupmode oder auch Clientmode (WLAN Clients, die unter Nutzung von Access Points arbeiten): zumeist im Innenbereich betrieben, aber auch in Außenbereich einsetzbar 134 Enterasys Networks – Design Guide Point-to-Point-Mode (Von Gebäude zu Gebäude): zumeist im Außenbereich eingesetzt Point-to-Multipoint-Mode (Von Gebäude zu mehreren Gebäuden): ebenfalls im Außenbereich eingesetzt, ist ein Sonderfall des Point-to-PointModus. (Anmerkung: Wird verschiedentlich mit dem Client Mode verwechselt. Erfordert einen Softwarefreischaltungsschlüssel, der separat bestellt werden muss) Abbildung 74: WLAN Betriebsmodi Die Besonderheit der Enterasys Networks WLAN Access Point Komponenten Roam About ist, das alle drei oben beschriebenen Modi auf der Basis der Roam -About-Hardware betrieben werden können. Das erleichtert Schulung und eventuelle Ersatzteilhaltung. Erforderlich sind lediglich die Softwareeinstellungen (und die eventuell für den Multipoint Modus erforderlichen Enabling Keys). Ein Access Point R2 kann bei entsprechender optionaler Karte parallel zwei der obigen Modi bedienen (z.B. Point to Point (Karte in Slot 1) und Client Mode (Karte in Slot 2 und Mezzanine Board)). 11.4 SICHERHEIT Wireless LAN Lösungen sollten in ein Security Gesamtkonzept eingebunden werden. Da sich Funkwellen beliebig ausbreiten können, müssen entsprechende „Zutrittskontrollen“ (Authentification) und Verschlüsselungsverfahren verwendet werden. Für die Authentifizierungserfordernisse wird das 802.1X Protokoll eingesetzt. Da der User bei der Authentifizierung bekannt wird, ist ein nutzerorientiertes Arbeiten am WLAN (wie auch im geswitchten LAN) möglich. Diese Funktion wird auch „User Personalized Networking“ genannt (vgl. Kapitel 8). Basierend auf dem Verfahren nach 802.1 X bietet Enterasys Networks das „Rapid ReKeying“ als interoperables Sicherheitsfeature an. Der bei WLANs standardmäßig verwendete WEP Key (welcher statisch und somit unsicher ist) wird dynamisiert, so dass ein Angriff auf das WLAN erfolglos bleiben wird. 135 Enterasys Networks – Design Guide Als standardkonformes Sicherheitsfeature wird Wireless Protected Access (WPA) durch das WiFi Komitee eingeführt (Enterasys Networks unterstützt mit einem Softwareupdate dieses neue Feature). Eine weitere Security-Option ist VPN. Hierbei wird ein IPSec-VPN-Tunnel zwischen einem WLAN-Client und einem „Tunnelterminator“, welcher sich im LAN hinter dem Access Point befindet, aufgebaut. 11.5 MANAGEMENT DER ACCESS POINTS Ein wichtiger Aspekt wird bei vielen WLANs zunächst nicht berücksichtigt. Es handelt sich um die Fragestellung, wie Access Points gemanagt werden. Enterasys Networks bietet hier im Standardpaket den Access Point Manager an, welcher den Access Points beigefügt ist. Ein umfangreiches Management kann durch die Produktfamilie Netsight Atlas erzielt werden. Es können Templates, sowie Policies eingestellt und konfiguriert werden. Anzumerken ist, dass alle hier genannten Managementlösungen auf SNMP v3 setzen, was eine kryptisierte Datenübermittlung der Managementdatenpakete sicherstellt. 11.6 AUSLEUCHTUNG Neben den am Markt verfügbaren, meist sehr teueren und komplizierten Geräten, bietet Enterasys Networks in den mitgelieferten Client Tools über eine Pegelmessfunktion, die für die meisten Ausleuchtungen genügt. Es kann ein Log geschrieben werden, der eine gute Auswertung ermöglicht. Antennenoptionen Neben den im Enterasys Networks Portfolio angebotenen Antennen können unter Einhaltung der ETSI-Regeln andere Antennen angeschlossen werden. Wir empfehlen die Antennen des Herstellers Huber und Suhner. Im Innenbereich finden sich zumeist die Anwendungen des Clientmodus Büro, Lagerhalle etc. Im Outdoorbereich müssen bei der Planung von AußenWLAN-Anlagen einige Randparameter berücksichtigt werden. Diese sind z.B. eine klare Sichtverbindung zwischen den Endpunkten oder eine entsprechend freie Fresnelsche Zone, um eine optimale Datenübertragung zu gewährleisten. Abbildung 75: Fresnel Zone Bei der Montage der Antennen sind die Koaxialkabelanschlüsse der Zuführungskabel im Außenbereich mit geeigneten Abdichtungen zu versehen. Ferner sind die Richtlinien der VDE o.ä. einzuhalten und die Antennenanlage sollte über einen Blitzschutz verfügen. 136 Enterasys Networks – Design Guide 12 Wide Area Netwok (WAN) Im Gegensatz zum LAN wird mit dem Begriff WAN (Netzwerk auf globalem Gebiet, Weitverkehrsnetz) ein Netzwerk bezeichnet, bei dem einzelne Einheiten in anderen Gebäuden oder in anderen Städten oder Ländern installiert sind. Die Bestandteile eines WANs sind dabei in der Regel auch weitaus größer bzw. anders geartet als die Komponenten eines LANs. So werden zur Verbindung in andere Gebäude, Städte oder Länder spezielle Formen der Datenübertragung – unter Zuhilfenahme der öffentlichen Kommunikationsnetze – eingesetzt (z. B. Modems, ISDN). Beim WAN-Einsatz wird also grundsätzlich der „private“ Geltungsbereich eines Unternehmens verlassen. Die Kontrolle über das System liegt somit nicht mehr bei demjenigen, der das Netzwerk betreibt, sondern beim Anbieter der Übertragungsdienste (Provider). Die Ausdehnung des WANs ist somit quasi unbeschränkt, geht also über Stadt- und Landesgrenzen hinaus. Historisch gesehen fand zunächst die Datenkommunikation ausschließlich lokal statt und es wurden Datenträger (Wechselplatten o.ä) per Boten zur Übermittlung der Daten über die eigenen LAN Grenzen hinweg genutzt. Später kamen Systeme mit geringen Bandbreiten auf, die eine technische Lösung schufen, die ersten WANs. Diese basierten auf so genannten Modems, welche das Standardtelefonnetz zur Datenübermittlung nutzten. Wichtig bei allen WAN-Systemen ist, das vertrauliche Daten über ein „öffentliches“ Netz transportiert werden, wobei der Endnutzer sich vor einem unberechtigten Zugriff Dritter schützen sollte (vgl. Kapitel 14) 12.1 WAN VERBINDUNGSARTEN 12.1.1 PAKETVERMITTELNDE VERBINDUNG Die paketvermittelnde Verbindung ist eine WAN-Verbindung, bei der die an der Kommunikation beteiligten Netzwerkgeräte eine quasi virtuelle Festverbindung nutzen. Die Verbindung besteht im Gegensatz zum Circuit Switching darin, dass die Datenpakete nicht eine „Exklusivleitung“ nutzen, sondern innerhalb eines Backbones transportiert werden (dem Netzwerk eines Betreibers). Die verbreitesten Netzwerktypen dieser Art sind Frame Relay und ATM. Frame Relay ist ein paketvermitteltes Übertragungsmedium, wo für die Übertragung so genannte Virtual Circuits konfiguriert bzw. genutzt werden. Es ist die Weiterentwicklung von X.25Netzwerken (Datex-P) und deutlich performanter als diese. Die Optimierung wurde beim Protokoll Frame Relay durch die Integration „intelligenter Endgeräte“ und fehlerfreier Verbindungswege vorgenommen. Die bei X.25 noch üblichen Sicherungs- und Flussmechanismen wurden deutlich reduziert. Frame Relay unterstützt so genannte permanente virtuelle Verbindungen (PVCs). Jede virtuelle Verbindung erhält am Frame-Relay-Interface einen Data Link Connection Identifier (DLCI). Die Einteilung der DLCIs unterliegt verschiedenen Standards. Diese sind: • • • • LMI Frame Relay Forum Implementation Agreement (IA) FRF.1 ersetzt durch RF.1.1 Annex D ANSI T1.617 Annex A ITU Q.933 referenced in FRF.1.1 137 Enterasys Networks – Design Guide Die in diesen Standards definierten Einträge werden dafür genutzt, zu unterscheiden, ob es sich um einen lokalen oder einen globalen DLCI handelt. Über eine physikalische Verbindung können so mehrere virtuelle Verbindungen (logische Kanäle) realisiert werden. Das war auch bei X.25 möglich. Bei Frame Relay wird zwischen maximaler physikalischer Übertragungsrate (Access Rate, AR) und Committed Information Rate (CIR) unterschieden. Die CIR bestimmt letztendlich die durch den Netzanbieter garantierte Bandbreite des Anschlusses pro PVC. Die verbleibende Bandbreite zwischen der CIR und der AR kann bei einer Kennzeichnung des Frames (DE Bit) genutzt werden. Diese Frames können bei einer Überlast im Netz verworfen werden, wobei zeitgleich eine Nachricht an die beiden Endpunkte der Verbindung gesendet wird. 12.1.2 LEITUNGSVERMITTELNDE VERBINDUNG Bei der leitungsvermittelnden Verbindung wird zwischen den Kommunikationspartnern eine „Exklusivleitung“ aufgebaut (vergleiche Telefongespräch). Diese physische Übertragungsstrecke wird über ein das Netz eines Netzanbieters (z.B. Telekom) aufgebaut. Sie bleibt für den Zeitraum der Kommunikation erhalten und wird im Allgemeinen nach der Übertragung wieder abgebaut. Diese Technologie der leitungsvermittelnden Verbindung wird von dem weit verbreiteten ISDN genutzt. 12.1.2.1 ISDN ISDN steht für Integrated Services Digital Network und entstand aus der analogen Telefonwelt. Daher stammt die heute im Einsatz befindliche Bandbreite von 64 kbit/s pro B-Kanal. Es wurde bei der Entwicklung von ISDN ein Sprach-Signal zugrunde gelegt, welches im Allgemeinen eine Bandbreite von 3,1 KHz hat und mit einer so genannten „Sampling Rate“ von 8 Khz abgetastet wird. Es erfolgt eine Codierung in 8 Bit. Aus diesen Randparametern ergibt sich die BKanalbandbreite von 64 kBit. Neben den B-Kanälen verfügen ISDN-Anschlüsse über so genannte D-Kanäle, die ursprünglich für die Übertragung von Steuer/Synchronisierungs- und Verbindungsaufund -abbauinformationen genutzt wurden. Hier gibt es zwischenzeitig einige Sonderanwendungen, die ebenfalls eine Kommunikation innerhalb des D-Kanals zulassen (X.25 über D-Kanal zum Beispiel). 12.1.3 ISDN S0 Der ISDN S0 Anschluss, umfasst zwei B-Kanäle und einen D-Kanal. Er wird auch als 2B+D, Basisanschluss, oder aus dem Englischen BRI (Basic Rate Interface) bezeichnet. Der B-Kanal hat eine Bandbreite von 64kbit/s, der D-Kanal 16kbit/s. 12.1.4 ISDN S2M, PRI Als weitere Anschlussvariante wird seitens der Provider der „PrimärmultiplexAnschluss“ angeboten. Der ISDN-S2m-Anschluss, umfasst 1 D-Kanal von 64 kbit/s Bandbreite und 30 B-Kanäle á 64 kbit/s (G.704). Im Englischen wird er auch als PRI (Primary Rate Interface) bezeichnet. Zur Unterscheidung der angeschlossenen Endgeräte wurden folgende Verfahren eingeführt: • EAZ (Endgeräteauswahlziffer bei ISDN nach 1TR 6) oder • MSN Multiple Subscriber Number Verfahren bei Euro ISDN mit dem Protokoll EDSS 1 im D-Kanal. 138 Enterasys Networks – Design Guide Folgende Randbedingungen gelten für ISDN: • Maximale Leitungslängen: • passiver Bus: 150m • erweiterter passiver Bus: 500m • Punkt zu Punkt: 1000m • Maximale Dosenanzahl: • Bus: 12 • Punkt zu Punkt: 1 • Maximale ISDN-Endgeräte: 8 12.1.4.1 ISDN Standleitungen Neben „Wählleitungen“ werden bei ISDN auch bestimmte Typen von Standleitungen angeboten. Verbindungsart Bezeichnung Steckerverbindung Festverbindung 1 x 64 kbit/s 64S RJ45 / NTBA Festverbindung 2 x 64 kbit/s 64S2 RJ45 / NTBA Festverbindung 1B und 1D S01/TS01 RJ45 / NTBA Festverbindung 2B und 1D S02/TS02 RJ45 / NTBA Festverbindung ANALOG ANALOG NT-FV 2Dr./4Dr. Tabelle 16: Festverbindungen Quelle: http://www.standleitungen.de/ger/fach/Bandbreiten-beiFestverbindungen.html Als „Backup“ zu den Standleitungen oder auch zu Frame Relay gibt es die Möglichkeiten eines Dial Up (Failover) innerhalb von ISDN Routern, das somit dauerhaft eine Kommunikation zwischen den remoten Standorten sichergestellt ist. Anmerkung: Einige ISDN Geräte im Markt unterstützten ebenfalls Call Back Funktion, wo eine, im D-Kanal übermittelte, oder zuvor festgelegte Rufnummer zurückgerufen werden kann. Diese Variante wird oft zur Kostenzentralisierung genutzt. 139 Enterasys Networks – Design Guide European Hierarchy Designator Transmission Rate Number of Voice Channels E-0 64 Kbps 1 E-1 2.048 Mbit/s 30 E-2 8.448 Mbit/s 120 E-3 34.368 Mbit/s 480 E-4 139.268 Mbit/s 1920 E-5 565.148 Mbit/s 7680 Tabelle 17: PDH Struktur Als E1 wird eine europäische Variante innerhalb der PDH (Plesiochrone Digitale Hierarchie) Multiplex Struktur bezeichnet. Maximal ist hier eine Übertragung mit 2048 Mbit/s möglich. Es erfolgt eine Aufteilung in 32 Timeslots (Kanäle) á 64 kbit/s. Diese Timeslots werden von 0 bis 31 nummeriert. Der Timeslot 0 wird typischerweise für eine Rahmensynchronisation und Alarme genutzt (innerhalb des „framed mode“ nach G.704). Der Timeslot 16 wird für Signalisierungszwecke (Wahlinformation bei ISDN PRI z.B.) genutzt. Bei Full Rate, Clear Channel E1 werden alle 32 Kanäle (2,048 Mbit/s) zur Datenübertragung genutzt - (Eine Realisierung ist hier mit den Einschüben in den XSR realisierbar. Es sind die "Fractional" NIM´s zu verwenden. Die Bezeichnung Fractional E1 verwendet, wenn eine Gruppe von Kanälen zu EINEM logischen Interface gebündelt werden - die Raten gehen in 64-kbit/sSchritten (mit dem Fractional-NIM zu realisieren; n*64 kbit/s). Diese Anwendung wird oft für Punkt-zu-Punkt Anbindungen, z.B. zu einem ISP, verwendet. Schließlich werden bei Channelized E1 mehrere Gruppen von Kanälen zu MEHREREN (max. 30) logischen Interfaces gebündelt - die Raten (=Anzahl der Kanäle) pro Gruppe sind konfigurierbar. Realisierbar ist das mit dem Channelized-NIM für den XSR. Anwendungen sind typische Punktzu-Mehr-Punkt Lösungen, z.B. Anbindung mehrerer Außenstellen mit jeweils einer PPP Verbindung, die „Telekom“ multiplext die Außenstellen auf die einer Channelized Verbindung zusammen oder auch in Voice Umgebungen wichtig. 140 Enterasys Networks – Design Guide Verbindungsart Bezeichnung Steckerverbindung Festverbindung 2 Mbit/s Strukturiert (1,984 Mbit/s) E1 (G.703/G.704) RJ 45 Festverbindung 2 Mbit/s Unstrukturiert (2,048 Mbit/s) E1 (G.703/G.704) RJ 45 Tabelle 18: StandleitungenQuelle: http://www.standleitungen.de/ger/fach/Bandbreiten-beiFestverbindungen.html Größere Bandbreiten lassen sich mit anderen Interfaces und Schnittstellen bedienen. Optical Level Electrical Level Line Rate (Mbit/s) Payload Rate (Mbit/s) Overhead Rate (Mbit/s) SDH Equivalent OC-1 STS-1 51.840 50.112 1.728 - OC-3 STS-3 155.520 150.336 5.184 STM-1 OC-12 STS-12 622.080 601.344 20.736 STM-4 OC-48 STS-48 2.488.320 2.405.376 82.944 STM-16 OC192 STS-192 9.953.280 9.621.504 331.776 STM-64 OC768 STS-768 39.813.120 38.486.016 1.327.104 STM-256 Tabelle 19: SDH Struktur 141 Enterasys Networks – Design Guide 13 Netzwerkmanagement mit Netsight Atlas Netzwerke sind heute in jedem Unternehmen die Grundlage aller Geschäftsaktivitäten. Da fast der gesamte Geschäftsbetrieb über die IT-Infrastruktur abgewickelt wird, sind auch alle damit zusammenhängenden Informationen in diesem IT-System gespeichert. Zudem sind alle Benutzer – unabhängig von ihrer Rolle im Unternehmen – in dieses Netzwerk eingebunden und stellen eine große Herausforderung im Hinblick auf den Informationszugriff und die Informationsbereitstellung dar. Auch zentralisierte Hochleistungsserver, unternehmensweite Intranets, Extranets und bandbreitenintensive Anwendungen wie e-Learning oder Sprach/Datenintegration stellen Unternehmensnetzwerke vor neue Herausforderungen. 13.1 ÜBERWACHUNG UND VERWALTUNG VON NETZWERKEN Bedingt durch die immer größer werdende Komplexität von Netzwerken sind Netzwerkmanagement-Systeme von entscheidender Bedeutung für ein Unternehmen. Ein Netzwerk ist heute als strategischer Unternehmenswert anzusehen, der dazu beiträgt, wichtige Geschäftsziele zu erreichen und Wettbewerbsvorteile zu erzielen. Netzwerkmanagement umfasst eine Vielzahl verschiedener Tools, Anwendungen und Geräte für die Überwachung und Verwaltung eines Netzes. Zu den zentralen Aufgaben des Netzwerkmanagements gehört die Sammlung von Informationen über die Nutzung des Netzes, die Erstellung von Berichten und Statistiken für die Planung, den Betrieb, den Ausfall, die Wartung und die Konfiguration des Netzes sowie die Überwachung von Leistung, Ereignissen und Fehlern. Die ISO hat fünf klassische Bereiche für das Netzwerkmanagement definiert: Performance-Management, Konfigurations-Management, Accounting-Management, FehlerManagement und Sicherheits-Management. 13.2 PERFORMANCE-MANAGEMENT Ziel des Performance-Managements ist es, die Netzwerk-Performance zu messen und die Gesamtleistung auf einem akzeptablen Niveau zu halten. Durchsatzraten, Antwortzeiten und Leitungsnutzung sind hierbei wichtige Variablen. Zunächst werden die Leistungsdaten nach bestimmten Gesichtspunkten gesammelt und analysiert, ob sie sich im normalen Bereich bewegen. Anschließend werden für jede Variable Grenzwerte festgelegt. Diese PerformanceVariablen werden kontinuierlich überwacht. Ist ein Grenzwert erreicht, wird eine entsprechende Meldung erstellt und an das Netzwerkmanagement-System weitergeleitet, um Gegenmaßnahmen einzuleiten. 13.3 KONFIGURATIONS-MANAGEMENT Ziel des Konfigurations-Management ist es, die Daten der Netzwerk- und Systemkonfiguration zu überwachen, so dass die Auswirkungen von Hard- und Software auf den Netzbetrieb verfolgt und verwaltet werden können. Zu jedem Netzwerkgerät gibt es unterschiedliche Informationen. Diese Informationen werden in einer Datenbank gespeichert, die bei Netzwerkproblemen nach Hinweisen zur Problemlösung durchsucht werden kann. 142 Enterasys Networks – Design Guide 13.4 ACCOUNTING-MANAGEMENT Das Accounting-Management umfasst Tools zur ordnungsgemäßen Abwicklung der Netzwerknutzung. Dazu gehören Zugangsverwaltung, Verbraucherkontrolle, Abrechnungshilfen und Informationsdienste. Ziel ist es, die Netzwerk-Nutzung zu messen, um so die Belastung des Netzes durch einzelne Anwender oder Gruppen zu regulieren. Durch die Aufteilung der Ressourcen nach Kapazitäten lassen sich Netzwerk-Probleme erheblich reduzieren und eine angemessene Verfügbarkeit für alle Benutzer realisieren. Wie beim Performance-Management wird hier die Nutzung aller Netzwerk-Ressourcen gemessen und analysiert, um einen Einblick in aktuelle Nutzungsmuster zu erhalten. 13.5 FEHLER-MANAGEMENT Das Fehler-Management fasst alle Funktionen zusammen, die zur Fehlervorbeugung, -erkennung und -behebung im Netzwerk genutzt werden können. Zum FehlerManagement zählen in erster Linie das Erkennen von Symptomen und die Isolierung von Problemen. Nach der Problembehebung wird die Lösung auf allen wichtigen Subsystemen getestet. Zum Schluss werden der Fehler und die Lösung des Problems protokolliert. 13.6 SICHERHEITS-MANAGEMENT Das Sicherheits -Management ist für die Zugangsberechtigung auf Netze, LAN-Segmente und weitere Ressourcen verantwortlich. Dieser Bereich kontrolliert den Zugriff auf NetzwerkRessourcen entsprechend der lokalen Regeln, um Netzwerk-Angriffe oder den unerlaubten Zugriff auf unternehmenskritische Informationen zu unterbinden. Mit Hilfe von Sicherheits Management-Subsystemen kann man beispielsweise einem Benutzer mit einem ungültigen Passwort den Zugriff auf das Netzwerk verwehren. Die Subsysteme des Sicherheits-Managements teilen das Netzwerk in autorisierte und nichtautorisierte Bereiche. Dies führt dazu, dass bestimmte Anwender nur auf bestimmte, für sie autorisierte Bereiche zugreifen können. Neben der Möglichkeit, Netzwerk-Ressourcen bestimmten Benutzergruppen zuzuordnen, kann der Zugang auf sensible Netzwerk-Ressourcen kontrolliert werden. Bereits der Versuch eines unerlaubten Zugriffs wird protokolliert. 13.7 IT IN WETTBEWERBSVORTEILE UMSETZEN NETZWERKMANAGEMENT MIT NETSIGHT ATLAS VON ENTERASYS NETWORKS Beim Netzwerkmanagement geht es heute mehr als um die schlichte Verwaltung von Hardware; vielmehr geht es um intelligente, so genannte „decision enabled“ Access Ports, die für eine intelligente Verbindung sorgen. Die NetSight Atlas Management-Lösungen von Enterasys sorgen für eine erweiterte Kontrolle und höhere Verfügbarkeit des Netzwerks. In Kombination mit den intelligenten Access Ports der Switching-Produkte von Enterasys sind die NetSightAnwendungen in der Lage, Sicherheitsfunktionen schnell und einfach zu installieren und den Datenverkehr im Netzwerk unterschiedlich zu priorisieren. Die Zuteilung der Bandbreite ist eine wichtige Voraussetzung für den Aufbau einer effizienten Business Kommunikations-Infrastruktur. Unternehmen, die beispielsweise ein konvergentes Sprach-/Datennetz implementieren, können mit Hilfe von NetSight Atlas die Zuteilung der 143 Enterasys Networks – Design Guide Bandbreite regeln. Ein anderer wichtiger Aspekt ist die Datensicherheit. Durch die Layer-2/-3/-4Funktionalitäten der Switching- und Routing-Plattformen von Enterasys liefert NetSight Atlas umfassende Sicherheit, sei es auf Seiten des Benutzers, des Gerätes, des Ports oder der Anwendung. 13.7.1 NET SIGHT ATLAS CONSOLE – DEVICE- UND SYSTEM-MANAGEMENT Die NetSight Atlas Console bietet umfassende Management-Unterstützung für intelligente Netzwerk-Applikationen-Geräte sowie sämtliche SNMP MIB I- oder MIB II- Geräte. Mit der NetSight Atlas Console lassen sich viele Netzwerk-Aufgaben automatisieren, was zu erheblichen Zeit- und Kostenersparnissen in unternehmenskritischen Umgebungen führt. Die modernen Funktionen sorgen für verbesserte Netzwerk-Performance und vereinfachtes Trouble-Shooting. Dazu gehören auch umfangreiche Überwachungsfunktionen, robustes Alarmund Event-Management, Netzwerk-Discovery, Gruppen-Element-Management und integrierte Planung. Tasks wie Subnet Discovery, Alarm Paging, TFTP Downloads, System Backups und vieles mehr werden automatisch durchgeführt. Eine wichtige Funktion ist das Alarm- und Event-Management. Zu dieser Funktionalität gehört eine einfache Konfiguration von Log-Filter und Aktionen. Bei Überschreitung definierter Werte wird ein Alarm ausgelöst, der es dem Administrator ermöglicht, rechtzeitig zu intervenieren und Probleme im Vorfeld zu beheben. Die NetSight Atlas Console ist eine intelligente Anwendung, mit der Anwendungen wie Tabellen für die einfache schematische Darstellung von Statistiken in die Netzwerk-Bildschirmmaske integriert werden können. Damit lassen sich Management-Informationen auch in andere Anwendungen und Datenbanken transportieren. Durch RMON/RMON2-Unterstützung können sämtliche Daten von allen Außenstellen gesammelt werden. Die Netsight Atlas Console liefert zudem einen vollständigen Support zum standard-basierten VLAN-Management nach IEEE 802.1Q. Mit dem Tool lassen sich 802.1Q Switches, Ports und VLANs über eine einfach zu handhabende, grafische Benutzeroberfläche konfigurieren. Alle administrativen 802.1Q Aufgaben können zentral erledigt werden. Mit Hilfe so genannter Templates lassen sich alle VLAN-relevanten Daten einfach und schnell konfigurieren. Man kann diese einmalig konfigurierten Templates auf verschiede Ports gleichzeitig legen, und spart sich damit den Konfigurationsaufwand zur Einrichtung der VLANs. Dies senkt wiederum die Betriebskosten enorm. 144 Enterasys Networks – Design Guide Abbildung 76: Atlas Console Die NetSight Atlas Console stellt zudem eine grafische Abbildung des gesamten Unternehmens dar, nicht nur einzelner Geräte. Anstatt jeden Switch oder Router einzeln zu betrachten und zu konfigurieren, wird hier das Netzwerk als System betrachtet. Mit der Funktionalität Flexview können zusätzlich kundenspezifische Informationen aus den Komponenten ausgelesen werden. Damit ist Netsight Atlas Console in der Lage, auf alle relevanten MIB-Variablen zuzugreifen und in Gegenzug auch zu setzen. Zur Fehlerbehebung ist es enorm wichtig ein gewisses Maß an Transparenz über das Netzwerk zu bekommen. Mit Hilfe des Compass Tools können Benutzer und Geräte anhand des Benutzernamens, der IP- oder MAC-Adresse oder des Hostnamens gesucht und dargestellt werden. Der Anwender bekommt innerhalb von Sekunden ein aktuelles Bild und muss keine umständlichen und chronisch veralteten Tabellen pflegen. Netsight Atlas Console bietet daher ein optimales Performance- und Fehlermanagement, das aktuellen Anforderungen mehr als gerecht wird. Flexible Handhabung, übersichtliche graphische Oberflächen und Platformunabhängigkeit durch Java-Programmierung machen Netsight Atlas Console zu einem herausragenden Tool in der Netzwerk und Systemmanagement-Welt. 145 Enterasys Networks – Design Guide 13.7.2 NET SIGHT POLICY MANAGER - ROLLENBASIERTES SYSTEM-MANAGEMENT FÜR UNTERNEHMEN Durch den Einsatz des NetSight Policy Managers sind Unternehmen in der Lage, Business- und IT-Konzepte aufeinander abzustimmen. Die Kombination aus intelligenten HardwareKomponenten von Enterasys Networks zusammen mit dem Netsight Atlas Policy Manager ermöglichen eine optimale Benutzerverwaltung innerhalb der IT-Infrastruktur. Dazu gehört neben den Klassifizierungsregeln am Netzwerkzugang auch die Unterstützung des Port-Authentification Standards IEEE 802.1X. Eine optimale Sicherheitslösung für den Zugang zum Netzwerk wird dadurch bereitgestellt. Der NetSight Atlas Policy Manager ist das zentrale Element der rollenbasierten Administration im User Personalized Network von Enterasys, d.h. der Aufeinanderabstimmung von IT- und Business-Konzepten. Das Tool liefert zudem Funktionen wie Rate Limiting und QoS-Konfiguration, die von zentraler Bedeutung für den Erfolg von E-Business Infrastrukturen sind. Dazu gehört auch die Aufteilung in virtuelle Arbeitsgruppen vor dem Hintergrund unterschiedlicher Anforderungen: In der Produktion hat SAP beispielsweise eine höhere Priorität als E-Mail. Abbildung 77: Atlas Policy Manager Zur optimalen Sicherheit lässt sich mit effektivem Management der Zugriff auf sensible Informationen beschränken. Man kann beispielsweise einen Port schließen oder die Adresse 146 Enterasys Networks – Design Guide eines Users vom VLAN entfernen und ihm so den Zugriff verwehren. Auch das Sperren von MAC-Adresse oder eine fixe Zuordnung MAC-Adresse pro Port kann eingerichtet werden. Mit Hilfe eines Priority Classification Wizards lassen sich Priorisierungs- und Klassifizierungsregeln erstellen, um den Netzwerkdatenverkehr unterschiedlich zu priorisieren. Automatisierte Funktionen, die einfache Implementierung und Administration sorgen für Zeitund Kosteneinsparungen. Da der NetSight Atlas Policy Manager mit bestehenden Security Systemen zusammenarbeitet und keine zusätzlichen Authentification Server notwendig sind, sind die Investitionen optimal geschützt. Jeder Anwender hat nur Zugriff auf die für ihn notwendigen Services. Damit sind umfassende Kontrollen und Sicherheit gewährleistet, um ein effektives Sicherheits- und Accountingmanagement zu gewährleisten. 13.7.3 NETSIGHT ATLAS ACL MANAGER – ZENTRALES VERWALTEN VON KOMPLEXEN ZUGANGSKONTROLLEN Neben dem Thema Zutrittskontrollen für Benutzer ist ein wichtiger Gesichtspunkt im Bereich Security-Management die Verwaltung von Zugangskontrollen zwischen verschiedenen, verteilten Unternehmensbereichen. In der Praxis werden verschieden IP-Subnetze über so genannte Access Control Listen (ACL) voneinander abgeschottet. Auch bestimme Dienste oder Applikationen können mit Hilfe solcher ACLs gesperrt oder gezielt zur Verfügung gestellt werden. Mit dem Netsight Atlas ACL Manager können solche ACLs einfach und via grafischer Oberfläche konfiguriert werden. Der Anwender bekommt dadurch einen Überblick über alle definierten ACLs und zudem ein enormes Maß an Flexibilität beim Konfigurieren der ACLs. Abbildung 78: Atlas ACL Manager 147 Enterasys Networks – Design Guide Die ACLs können beispielsweise vor der endgültigen Konfiguration nachgestellt und simuliert werden. Das vermeidet Fehler und doppelte Einträge innerhalb der ACLs. Dies spart Zeit, senkt die Betriebskosten und vermeidet kostspielige Ausfallzeiten. Eine erhöhte Sicherheit ist gewährleistet durch verschiedene Benutzer-Level während der Benutzer-Logins. Es wird damit erkannt und protokolliert, wann und durch wen bestimmte ACLs geändert, gelöscht oder hinzugefügt wurden. Änderungen können damit einfach mit Hilfe des Netsight Atlas ACL Manager nachvollzogen und auf Richtigkeit überprüft werden. 13.7.4 NETSIGHT ATLAS INVENTORY MANAGER – INVENTARISIERUNG DER VORHANDENEN INFRASTRUKTUR Eine große Herausforderung innerhalb eines Unternehmens ist die Inventarisierung der vorhandenen Komponenten. Dies gilt nicht nur für die IT, sondern zieht sich über alle Geschäftsbereiche hinweg. Mit Hilfe des Netsight Atlas Inventory Managers lässt sich eine einfache und schnelle Katalogisierung von IT-Informationen durchführen. Vorhandene Hardware und zugehörige Seriennummer, eingesetzte Firmware-Versionen, eingebaute Speicherausstattung oder aktuelle Konfigurationen können beispielsweise ausgelesen, zentral abgelegt und verwaltet werden. Ältere Firmware-Versionen können automatisiert aktualisiert werden. Konfigurationen können regelmäßig, zeitgesteuert gespeichert und archiviert werden. Abbildung 79: Inventory Manager Damit ermöglicht der Netsight Atlas Inventory Manager ein effektives Change Management, was die Verwaltbarkeit vereinfacht und die Betriebskosten enorm senkt. 148 Enterasys Networks – Design Guide Die Sicherung der Geschäftsabläufe, verbunden mit der Senkung der Betriebskosten mit Hilfe einer leistungsfähigen, hochverfügbaren IT-Infrastruktur ist der Schlüssel zum Erfolg für heutige Unternehmen. Mit den Netsight Atlas Applikationen stellt Enterasys Networks leistungsfähige Tools bereit, die eine erweiterte Kontrolle und eine erhöhte Verfügbarkeit des Netzwerks gewährleisten. Innerhalb der SecureHarbour-Architektur spielt Netsight Atlas daher eine herausragende Rolle. 149 Enterasys Networks – Design Guide 14 Virtual Private Network (VPN) 14.1 14.1.1 ÜBERBLICK ÜBER IPSEC WAS IST IPSEC? IPSec ist ein Feature, das die Aufrechterhaltung von Vertraulichkeit, Integrität und Authentizität von privaten Daten ermöglicht, die ein öffentliches Netz passieren. IPSec wurde als Standard von der IETF (Internet Engineering Task Force) entwickelt und ist in den RFCs 2401-2411 und 2451 definiert. Im Gegensatz zu dem eher bekannten SSL (Secure Socket Layer) muss IPSec nicht für jede Applikation einzeln aufgesetzt werden, da es seine Verschlüsselung und Authentifizierung auf dem Network Layer macht und somit allen IP-Traffic behandelt. Zur Verschlüsselung verwendet IPSec entweder DES (Data Encryption Standard) oder 3DES, wobei DES jedoch heute nicht mehr als sicher gilt. Die Authentizität der Pakete wird mit HashAlgorithmen wie z.B. HMAC (Keyed- Hashing for Message Authentication) zusammen mit MD5 oder SHA (Secure Hash Algorithm) gewährleistet. IPSec besteht eigentlich aus zwei Teilen: • IP Security Protocol: dieses definiert, wie das Paket verschlüsselt werden soll, und welche Informationen hinzugefügt werden, um Confidentiality, Integrity und Authenticity zu garantieren. • Internet Key Exchange: IKE verhandelt die Details der Security Associations (SA) zwischen den beiden Peers eines IPSec Tunnels und tauscht deren Key Material aus. VPN IPSEC IKE Phase1 Phase2 SA [Security Association] MM [main mode] AM [aggressive mode] QM [Quick Mode] Authentication [AAA] Pre-Shared Key MM [USER=IP] AM [USER=Name] CERT RSA PKI Abbildung 80: VPN Hierarchie 150 Subnet info & Encryption „transforms/proposals“ Enterasys Networks – Design Guide 14.1.2 IPSEC PAKETE, HEADER UND MODI IPSec fügt einem verschlüsselten Paket noch ein oder zwei weitere Header hinzu, je nachdem welche Services (Confidentiality, Integrity und Authenticity) gewünscht werden. Diese zusätzlichen Header enthalten die für diese Service nötigen Informationen. Eingefügt werden sie nach dem IP Header und vor dem Layer 4 Header, so stören sie nicht beim normalen Routing Prozess. • • Authentication Header (AH): er gewährleistet Integrity und Authenticity, jedoch nicht Confidentiality und verwendet eine keyed-hash Funktion. Encapsulating Security Payload (ESP): er gewährleistet sowohl Integrity und Authenticity als auch Confidentiality. AH und ESP können entweder einzeln oder auch gemeinsam verwendet werden, wobei einer jedoch meistens genügt. Welcher Verschlüsselungsalgorithmus für den jeweiligen Header gebraucht werden soll, ist vom Standart nicht vorgeschrieben. IPSec unterstützt die am meisten gebräuchlichen wie MD5, SHA und DES. IPSec kennt zwei verschieden Modi, nämlich den Transport und den Tunnel Mode. Im Transport Mode wird nur der IP Payload (d.h. die L4-L7 Daten) verschlüsselt und ein AH und/oder ESP Header angefügt. Dabei bleibt der ursprüngliche IP Header intakt, was bedeutet, dass auch die ursprünglichen Source und Destination IP Adressen erhalten bleiben. Der wohl größte Vorteil dieses Modes ist, dass er nur wenige zusätzliche Bytes anbringt. Jedoch das Belassen des original IP Header ermöglicht immer noch - wenn auch nur in beschränktem Masse- eine Traffic Analyse. Abbildung 81: IPSec-Frame (AH) 151 Enterasys Networks – Design Guide Abbildung 82: IPSec-Frame (ESP) Abbildung 83: Transport und Tunnel Mode Der andere Mode ist der so genannte Tunnel Mode. Hierbei wird das ganze IP Datagramm (d.h. IP-Payload inklusive original IP-Header) verschlüsselt, ein AH- und/oder ESP-Header angefügt und ein neuer IP-Header gesetzt. Dieser enthält als neue Source-Adresse den Tunnel Peer, der die Daten verschlüsselt, und als Destination Adresse den anderen Tunnel Peer, der sie wieder entschlüsselt. Während beim Transport Mode das Endsystem (z.B. Workstation, Server etc.) die Verschlüsselung selber machen muss, bleibt es im Tunnel-Mode davon völlig unberührt. Im Tunnel-Mode ist auch nur eine minimale Traffic Analyse möglich, nämlich das Entdecken der beiden Tunnel-Enden. Tunnel Peers sind meistens Router, können natürlich aber auch Workstation etc. sein. 152 Enterasys Networks – Design Guide Abbildung 84: IP Packet im Transport und Tunnel Mode 14.1.3 SECURITY ASSOCIATION (SA) Um erfolgreich eine IPSec-Verbindung zu erstellen, müssen sich die beiden Peers zuerst in einigen Dingen einig werden. Dazu gehört, ob Encryption und/oder Integrity und Authenticity vollzogen wird und welche Algorithmen verwendet werden. Außerdem müssen noch Shared Session Keys ausgetauscht werden. Dies wird nun von der Security Association erledigt. Eine SA ist eine Art Aufstellung der ausgehandelten Spezifikationen. Da eine SA unidirektional ist, braucht es für jede IPSec-Verbindung zwei, eine von A nach B und eine von B nach A. 14.1.4 INTERNET KEY EXCHANGE (IKE) IPSec erstellt jedoch selber keine SAs, sondern erwartet, dass diese bereits vorhanden sind. Dieser Teil wird nun von IKE übernommen. Internet Key Exchange baut eine sichere, authentifizierte Verbindung zwischen zwei Peers auf und erstellt eine SA. IKE unterstützt drei verschiedene Authentifizierungsmethoden, die jeweils unterschiedlich sicher sind. 153 Enterasys Networks – Design Guide • • Pre-shared Keys: Hierbei haben beide Peers einen vorgegebenen Key. Daraus berechnet dann jeder einen Hash und schickt diesen dem anderen. Wenn der selbst berechnete und der erhaltene Hash übereinstimmen, gilt der Partner als authentifiziert. Diese Methode ist nicht die sicherste. Die anderen zwei Methoden, Public Key Cryptography und Digital Signature, sind komplexer und daher auch sicherer. Die zu verwendende Methode wird über unterschiedliche Modi von den beiden Peers ausgehandelt. Selbstverständlich muss sie auf beiden Seiten gleich sein. • An dieser Stelle seien die Originalzitate zu den einzelen Modi angeführt. 14.1.4.1 Main Mode An IKE session begins with the initiator sending a proposal or proposals to the responder. The proposals define what encryption and authentication protocols are acceptable, how long keys should remain active, and whether perfect forward secrecy should be enforced, for example. Multiple proposals can be sent in one offering. The first exchange between nodes establishes the basic security policy; the initiator proposes the encryption and authentication algorithms it is willing to use. The responder chooses the appropriate proposal (we'll assume a proposal is chosen) and sends it to the initiator. The next exchange passes Diffie-Hellman public keys and other data. All further negotiation is encrypted within the IKE SA. The third exchange authenticates the ISAKMP session. Once the IKE SA is established, IPSec negotiation (Quick Mode) begins. 14.1.4.2 Aggressive Mode Aggressive Mode squeezes the IKE SA negotiation into three packets, with all data required for the SA passed by the initiator. The responder sends the proposal, key material and ID, and authenticates the session in the next packet. The initiator replies by authenticating the session. Negotiation is quicker, and the initiator and responder ID pass in the clear. 14.1.4.3 Quick Mode IPSec negotiation, or Quick Mode, is similar to an Aggressive Mode IKE negotiation, except negotiation must be protected within an IKE SA. Quick Mode negotiates the SA for the data encryption and manages the key exchange for that IPSec SA. 154 Enterasys Networks – Design Guide Abbildung 85: IKE Modi 155 Enterasys Networks – Design Guide 15 Designs 15.1 NETZWERKDESIGN BASICS Das Design eines neuen Netzes unter Berücksichtigung der bereits vorhandenen Komponenten Netzwerkdesign ist einer der grundlegenden Bestandteile für eine erfolgreiche Implementierung einer IT-Infrastruktur. Basis für diese Designbetrachtungen ist die Festlegung, welche Komponenten in welchen Schichten des ISO-OSI Modells arbeiten sollen (Layer 2 oder Layer 3). Diese Betrachtungen werden in diesen folgenden Seiten analysiert und erklärt. Das Basis Wissen über die eingesetzten Protokolle wird zum besseren Verständnis beitragen. Es werden die Funktionen der Protokolle • Spanning Tree • Rapid Spanning Tree • Per Vlan Spanning Tree • VRRP • RIP Version 1/2 • OSPF benötigt. Auch Kenntnisse über Netzwerk-Komponenten wie Hubs, Switche und Router vereinfachen die folgenden Betrachtungen. 15.1.1 DER LAYER 2 Datenkommunikation erfolgt über vordefinierte Parameter, die im OSI-Model beschrieben sind. Das OSI-Model definiert auch die Funktion der bestehenden Layer oder (auch Ebenen genannt). Layer 2 oder Ebene 2 definiert den reinen Mac-Address Layer. Hier werden Informationen bereitgestellt, die zur Adressierung auf der untersten Schicht im OSI-Model notwendig sind. Der Layer 2 ist für die Datenkommunikation über Switches und Hubs notwendig. 15.1.2 DER LAYER 3 Im OSI-Model ist der Layer 3 definiert als der Layer mit Adressierungs-Aufgaben auf einer höheren Schicht. So ist die Adressierung für IP / IPX / Apple Talk etc. im Layer 3 definiert. Zusätzlich ist der Layer 3 zu betrachten, wenn wir über Routing sprechen. 15.1.3 DAS KLASSISCHE LAYER 2 NETZWERK Ein Netzwerk-Design ist abhängig von den zur Verfügung stehenden Netzwerk-Komponenten. Dieses ist einer der Gründe, dass in der Vergangenheit, die kostengünstigste Netzwerk-Lösung über Layer-2-Netzwerk Komponenten realisiert wurden. Diese Komponenten werden Hubs und Switche genannt. 15.1.4 DAS KLASSISCHE LAYER 3 NETZWERK In der Vergangenheit wurden die klassischen WAN-Netzwerke über ein Layer-3-Netzwerk abgebildet. Hier mussten Netzwerk-Komponenten eingesetzt werden, die Routing-Funktionalitäten besitzen. Diese Komponenten haben die Datenverarbeitung über Software-Routing durchgeführt. Diese Router waren zudem auch nicht die schnellsten Datenübertragungs-Geräte. 156 Enterasys Networks – Design Guide 15.1.5 DIE KOMBINATION VON LAYER 2 UND 3 NETZWERKEN Die Weiterentwicklung von Netzwerkkomponenten hat das Netzwerk bestimmend verändert. So ist es möglich, eine Kombination von Layer-2 und -3-Netzwerken durchzuführen. Hierbei sind Standard-Netzwerk-Protokolle verantwortlich für eine zugesicherte Verfügbarkeit. Abbildung 86: Layermodell 2-3-2 15.1.6 ERWEITERE MÖGLICHKEIT VON LAYER 2 UND 3 NETZWERKEN Durch eine erweitere Veränderung im Netzwerk ist es möglich zusätzliche Netzwerk Funktionen zu nutzten. Hierbei ist eine zweite Layer 3 Schicht die klassische Lösung. 157 Enterasys Networks – Design Guide Abbildung 87: Layermodell 2-3-3-2 15.1.7 LAYER2/3 NETZWERKE BASIERENT AUF SPANNING TREE Das Design von Layer-2-Netzwerken impliziert die Verwendung entsprechenden L2-Protokollen. So ist es häufig notwendig das Spanning Tree Protokoll zu nutzen, um ein Daten Loop zu verhindern. Hieraus resultiert, dass einige Verbindungen im Netzwerk nicht genutzt werden, da diese im BLOCKING-Mode ist. Zusätzlich ist es notwendig zu wissen, dass bei Spanning Tree 802.1D die Umschaltzeiten mit minimal 30-45 Sekunden anzunehmen sind. 158 Enterasys Networks – Design Guide Abbildung 88: Lokale VLAN-Struktur STP 15.1.8 LAYER2/3 NETZWERKE ONE-FOR-ONE VLAN KONFIGURATION Durch die Einteilung von VLANs ist es möglich, unterschiedliche Bereiche im Netzwerk zu bilden. Diese Bereiche sind nicht abhängig voneinander. Jedes VLAN steht nur in einer Loakation zur Verfügung. Über die Layer-3-Schicht werden diese VLANs verbunden. Vorteil dieser Konfiguration ist, dass kein Spanning Tree notwendig wird, um einen Daten-Loop im Core zu verhindern. Protokolle wie VRRP ermöglichen höhere Verfügbarkeit im Netzwerk. 159 Enterasys Networks – Design Guide Abbildung 89: Lokale VLAN-Struktur, ohne STP 15.1.9 LAYER2/3 NETZWERKE ONE-IN-MIDDLE VLAN KONFIGURATION Durch die Einteilung von VLANs ist es möglich, unterschiedliche Bereiche im Netzwerk zu bilden. Diese Bereiche sind nicht abhängig von einander. Zusätzlich ist nun ein weiters VLAN (Vlan5) erstellt worden. Dieses steht in jeder Loakation zur Verfügung. Hierbei wird auch kein Spanning Tree notwendig sein, um einen Daten-Loop zu verhindern. Das Vlan5 wird freie Services wie Internet oder Drucker ansprechen. Vlan5 ist nicht doppelt am Core-Bereich angebunden. Protokolle wie VRRP würden höhere Verfügbarkeit im Netzwerk ermögliche. 160 Enterasys Networks – Design Guide Abbildung 90: Übergreifende VLAN-Struktur ohne STP 15.1.10 LAYER2/3 NETZWERKE MIT ALL-IN-ONE VLAN KONFIGURATION Durch die Einteilung in VLANs ist es möglich, unterschiedliche Bereiche im Netzwerk zu bilden. Diese Bereiche sind nicht abhängig voneinander. Alle VLANs stehen in jeder Lokation zur Verfügung. Hierbei wird auch Spanning Tree notwendig sein um einen Daten Loop zu verhindern. Ein Per-Vlan-Spanning-Tree muss zusätzlich pro VLAN konfiguriert werden. Protokolle wie VRRP ermöglichen höhere Verfügbarkeit im Netzwerk. 161 Enterasys Networks – Design Guide Abbildung 91: Übergreifende VLAN-Struktur STP 15.2 BEISPIEL XSR UND VPN VPN-Verbindung zwischen Windows XP (oder 2000 SP2) und XSR-1805 (Anmerkung: „MyVPN“ und „MyVPN_2“ sind, bis auf den Namen, identisch.). So sieht die fertige Verbindung aus (am Beispiel der Verbindung „MyVPN“): 162 Enterasys Networks – Design Guide Abbildung 92: WindowsXP VPN Client Definition 1 Abbildung 93: WindowsXP VPN Client Definition 2 163 Enterasys Networks – Design Guide Abbildung 94: WindowsXP VPN Client Definition 3 Abbildung 95: WindowsXP VPN Client Definition 4 164 Enterasys Networks – Design Guide Abbildung 96: WindowsXP VPN Client Statistik 165 Enterasys Networks – Design Guide Abbildung 97: WindowsXP VPN Client Übersicht So wird die VPN-Verbindung erstellt (am Beispiel der Verbindung „MyVPN_2“): Abbildung 98: WindowsXP VPN Client Installation 1 166 Enterasys Networks – Design Guide Abbildung 99: WindowsXP VPN Client Installation 2 Abbildung 100: WindowsXP VPN Client Installation 3 167 Enterasys Networks – Design Guide Abbildung 101: WindowsXP VPN Client Installation 4 Wenn die Verbindung nur bei Bedarf hergestellt werden soll: Abbildung 102: WindowsXP VPN Client Installation 5 168 Enterasys Networks – Design Guide Hier wird die externe Adresse des VPN-Gateways eingetragen: Abbildung 103: WindowsXP VPN Client Installation 6 Dies sollte die normale Einstellung sein: Abbildung 104: WindowsXP VPN Client Installation 7 Fertig ! 169 Enterasys Networks – Design Guide Abbildung 105: WindowsXP VPN Client Installation 8 Ansicht der “Network Connections”: Abbildung 106: WindowsXP VPN Client Information 170 Enterasys Networks – Design Guide Herstellen der Verbindung: • • • Rechter Mausklick auf die gewünschte VPN-Verbindung „Connect“ anklicken im folgenden Fenster den auf dem XSR vergebenen User name „XP.User1“ und Password eingeben: Abbildung 107: WindowsXP VPN Login 171 Enterasys Networks – Design Guide Konfiguration des XSR XSR_MUC1#sh run !! ! CLI version 1.2 ! XSR-1805 ! Software: ! Version 3.0.0.0, Built Oct 21 2002, 11:25:42 ! ! hostname XSR_MUC1 logging 0.0.0.0 debug logging Console debug logging Monitor debug logging Buffered debug logging SNMP debug username admin privilege 15 "password is not displayed" ! ! session-timeout console 35000 ! ! ! access-list 10 deny 10.10.10.0 0.0.0.255 access-list 10 permit any ! access-list 172 permit ip any 172.20.0.0 0.0.255.255 ! access-list 192 permit ip any 192.168.2.0 0.0.0.255 ! access-list 193 permit ip any 192.168.3.0 0.0.0.255 ! crypto isakmp proposal nem-client authentication pre-share ! ! crypto isakmp peer 0.0.0.0 0.0.0.0 proposal nem-client config-mode gateway nat-traversal automatic ! ! ! crypto ipsec transform-set all-esp esp-3des esp-md5-hmac set pfs group1 set security-association lifetime kilobytes 100000 no set security-association lifetime seconds ! ! 172 Enterasys Networks – Design Guide crypto map ezipsec 20 set transform-set all-esp match address 172 mode tunnel ! crypto map ezipsec 10 set transform-set all-esp match address 193 set peer 10.10.1.3 mode tunnel ! ! interface FastEthernet1 description "trusted-LAN" ip address 192.168.1.1 255.255.255.0 ip rip send version 2 ip rip receive version 2 no shutdown ! interface FastEthernet2 crypto ezipsec description "WAN-transport" ip address 10.10.1.1 255.255.255.0 no shutdown ! interface Vpn1 multi-point ip multicast-redirect tunnel-endpoint ip address 172.20.0.1 255.255.0.0 ip rip send version 2 ip rip receive version 2 ! ! ip route 192.168.3.0 255.255.255.0 172.20.0.3 ! ! ip local pool virtual_subnet 172.20.0.0 255.255.0.0 ! snmp-server disable ! aaa group xp dns server primary 0.0.0.0 dns server secondary 0.0.0.0 wins server primary 0.0.0.0 wins server secondary 0.0.0.0 ip pool virtual_subnet pptp encrypt mppe 128 ! aaa group DEFAULT dns server primary 0.0.0.0 173 Enterasys Networks – Design Guide dns server secondary 0.0.0.0 wins server primary 0.0.0.0 wins server secondary 0.0.0.0 pptp encrypt mppe 128 ! aaa method pki group DEFAULT qtimeout 0 ! aaa method local group xp qtimeout 0 ! XSR_MUC1# 15.2.1 DIE AUSGABEN DER VPN-RELEVANTEN SHOW-BEFEHLE XSR_MUC1#show aaa user AAA User Stats: User Name Group IP Address IP Mask XP.User1 xp 172.20.0.99 255.255.255.0 1105two DEFAULT172.20.0.2 255.255.255.0 1105three DEFAULT172.20.0.3 255.255.255.255 XSR_MUC1# XSR_MUC1#show crypto map Crypto Map Table Name Policy rule list -------- ------------------------------ezipsec ezipsec.10;ezipsec.20 IPSec Policy Rule Table Name ACL Disp Mode Bundle Gateway Proposals ----------------- --------------ezipsec.20 172 Process Tunnel SPD 0.0.0.0 all-esp ezipsec.10 193 Process Tunnel SPD 10.10.1.3 all-esp XSR_MUC1# XSR_MUC1#show crypto ipsec transform-set Name PFS ESP ESP-AH AH IPCOMP ------------- ------*ez-esp-3des-sha-pfs Modp768 3DES HMAC-SHA None None *ez-esp-3des-sha-no-pfs Disabled 3DES HMAC-SHA None None *ez-esp-3des-md5-pfs Modp768 3DES HMAC-MD5 None None *ez-esp-3des-md5-no-pfs Disabled 3DES HMAC-MD5 None None *ez-esp-aes-sha-pfs Modp768 AES HMAC-SHA None None *ez-esp-aes-sha-no-pfS Disabled AES HMAC-SHA None None *ez-esp-aes-md5-pfs Modp768 AES HMAC-MD5 None None *ez-esp-aes-md5-no-pfs Disabled AES HMAC-MD5 None None all-esp Modp768 3DES HMAC-MD5 None None XSR_MUC1# XSR_MUC1#show crypto isakmp proposal Name Authentication Encrypt Integrity Group Lifetime 174 Enterasys Networks – Design Guide ---*ez-ike-3des-sha-psk *ez-ike-3des-md5-psk *ez-ike-3des-sha-rsa *ez-ike-3des-md5-rsa nem-client XSR_MUC1# 15.2.2 -------------- ------- --------- ----PreSharedKeys 3DES HMAC-SHA Modp1024 PreSharedKeys 3DES HMAC-MD5 Modp1024 RSASignature 3DES HMAC-SHA Modp1024 RSASignature 3DES HMAC-MD5 Modp1024 PreSharedKeys 3DES HMAC-SHA Modp1024 -------28800 28800 28800 28800 28800 ANZEIGE DER AKTIVEN TUNNEL XSR_MUC1#show tunnels Tunnel MIB: ID Creation Time Proto Username Peer IP Packets In/Out 00000008 01/28/03, 11:21 PPTP XP.User1 172.20.0.99 000000552/0000000354 XSR_MUC1# 15.2.3 BEISPIEL SITE TO SITE VPN UNTER NUTZUNG VON XSR´S ÜBER ISDN ISDNPRI Rufnr . 800 VPN1 1.1.1 .1/24 Sample Network: VPN Point to Point via ISDN ISDNBRI RufNr . 704 141.154.196.1/24 XSR1805 REMOT E SITE ISDN XSR1805 CENTR AL SITE Abbildung 108: VPN via ISDN Central-Site ! CLI version 1.2 ! XSR-1805 ! Software: ! Version 3.0.0.0, Built Oct 21 2002, 11:25:42 ! hostname test2 175 63.81.66. 1/24 Enterasys Networks – Design Guide logging 0.0.0.0 debug logging Console debug logging Monitor debug logging Buffered debug logging SNMP debug ! controller e1 0/1/0 pri-group isdn bchan-number-order ascending no shutdown dialer pool-member 1 priority 0 ! access-list 101 permit ip 63.81.66.0 0.0.0.255 141.154.196.0 0.0.0.255 ! access-list 110 permit ip any any ! crypto isakmp proposal test authentication pre-share ! crypto isakmp peer 0.0.0.0 0.0.0.0 proposal test config-mode gateway ! crypto ipsec transform-set esp-3des-sha esp-3des esp-sha-hmac no set security-association lifetime kilobytes no set security-association lifetime seconds ! ! crypto map test 75 set transform-set esp-3des-sha match address 101 set peer 1.1.1.2 mode tunnel ! interface FastEthernet1 ip address 63.81.66.1 255.255.255.0 no shutdown ! interface FastEthernet2 ! int Dialer0 crypto map test dialer pool 1 encapsulation ppp dialer idle-timeout 30 dialer-group 1 dialer map ip 1.1.1.2 704 ip address 1.1.1.1 255.255.255.0 no shutdown 176 Enterasys Networks – Design Guide ! ip route 141.154.196.0 255.255.255.0 1.1.1.2 ! dialer-list 1 protocol ip list 110 ! snmp-server disable ! aaa group DEFAULT dns server primary 0.0.0.0 dns server secondary 0.0.0.0 wins server primary 0.0.0.0 wins server secondary 0.0.0.0 pptp encrypt mppe 128 ! aaa method pki group DEFAULT qtimeout 0 ! aaa method local group DEFAULT qtimeout 0 Remote Site !! ! CLI version 1.2 ! XSR-1805 ! Software: ! Version 3.0.0.0, Built Oct 21 2002, 11:25:42 ! hostname test1 no logging 0.0.0.0 no logging Console no logging Monitor no logging Buffered no logging SNMP ! interface bri 2/0 isdn switch-type basic-net3 isdn calling-number 704 no shutdown dialer pool-member 1 priority 100 ! ! access-list 101 permit ip 141.154.196.0 0.0.0.255 63.81.66.0 0.0.0.255 ! access-list 110 permit ip 141.154.196.0 0.0.0.255 63.81.66.0 0.0.0.255 access-list 110 permit esp any any ! crypto isakmp proposal test1 authentication pre-share 177 Enterasys Networks – Design Guide ! ! crypto isakmp peer 0.0.0.0 0.0.0.0 proposal test1 config-mode gateway ! ! crypto ipsec transform-set 3des esp-3des esp-sha-hmac no set security-association lifetime kilobytes no set security-association lifetime seconds ! ! crypto map test1 75 set transform-set 3des match address 101 set peer 1.1.1.1 mode tunnel ! ! interface FastEthernet1 ip address 141.154.196.1 255.255.255.0 no shutdown ! interface FastEthernet2 ! int Dialer0 crypto map test1 dialer pool 1 encapsulation ppp dialer remote-name zentrale dialer idle-timeout 30 dialer-group 1 dialer map ip 1.1.1.1 800 ip address 1.1.1.2 255.255.255.0 ip mtu 1492 no shutdown ! ip route 63.81.66.0 255.255.255.0 1.1.1.1 ! dialer-list 1 protocol ip list 110 ! snmp-server disable ! aaa group DEFAULT dns server primary 0.0.0.0 dns server secondary 0.0.0.0 wins server primary 0.0.0.0 wins server secondary 0.0.0.0 pptp encrypt mppe 128 178 Enterasys Networks – Design Guide ! aaa method pki group DEFAULT qtimeout 0 ! aaa method local group DEFAULT qtimeout 0 15.2.4 WIRELESS LAN BEISPIEL PUNKT -ZU-PUNKT -KONFIGURATION Abbildung 109: Building-Building Verbindung Obige WLAN-Verbindung ist sicher durch WEP Keys und „Überkreuzeintragung“ der MACAdressen. Benötigte Komponenten: • 2 x Roam About R2 (incl. Power Supply) RBTED-AB • 2 x WLAN Karte CSILD-AB-128 • 2 x Pigtail CSIES-AB-PT50 • 2 x Blitzschutz CSIES-AB-LP • 2 x Koaxkabel gewüschter Länge (hier ca 15m) CSIES-AB-C50 • 2 x Yagi 14dB Antenne CSIES-AB-Y14 • 2 x XSR 1805 XSR 1805 • 2 x VPN Option für XSR XSR-18XX-VPN • 2 x 19 Zoll Montagesatz (optional) XSR-1805-RKMT 15.2.5 WIRELESS-LAN BEISPIEL PUNKT -ZU-PUNKT KONFIGURATION MIT VPN Die WLAN-Anordnung mit VPN bietet zudem den Schutz eines IPSec VPNs und die Möglichkeit einer Priorisierung. 179 Enterasys Networks – Design Guide Abbildung 110: Wireless mit VPN Benötigte Komponenten: • 2 x Roam About R2 (incl. Power Supply) RBTED-AB • 2 x WLAN Karte CSILD-AB-128 • 2 x Pigtail CSIES-AB-PT50 • 2 x Blitzschutz CSIES-AB-LP • 2 x Koaxkabel gewüschter Länge (hier ca 15m) CSIES-AB-C50 • 2 x Yagi 14dB Antenne CSIES-AB-Y14 • 2 x XSR 1805 XSR 1805 • 2 x VPN Option für XSR XSR-18XX-VPN • 2 x 19 Zoll 19 Zoll Montagesatz (optional) XSR-1805-RKMT 15.2.6 WIRELESS-LAN BEISPIEL PUNKT -ZU-MULTIPUNKT KONFIGURATION 180 Enterasys Networks – Design Guide Abbildung 111: Point to Multipoint Benötigte Komponenten: • • Zentral o 1 x Roam About Bundle RBTED-AB-M07 § Inhalt: Eine in Europa verwendbare Roamabout Outdoor Point-toMultipoint Wireless Lösung (zentralteil) besteht aus (1) R2 access point plus (1) European 11Mbs PCMCIA PC card (128 bit WEP) plus (1) antennen pigtail, (1) Blitzschutz, Antennen cable und einer 7 dBi Omni antenna. 1 x RoamAbout Point to Multi Point Software License CSIPT-MP o Remotes o (Bis zu 6 Remote Stationen im Radius von ca 1,5 km um den zentralen o o o o o o o Access Point bei freier Sicht möglich; Hinweis: Eine genaue Beurteilung kann nur durch eine Ortsbesichtigung des jeweiligen Planers einer WLAN Anlage getroffen werden.) pro Remote: 1 x Roam About R2 (incl. Power Supply) RBTED-AB 1 x WLAN Karte CSILD-AB-128 1 x Pigtail CSIES-AB-PT50 1 x Blitzschutz CSIES-AB-LP 1 x Koaxkabel gewüschter Länge (hier ca 15m) CSIES-AB-C50 1 x Yagi 14dB Antenne CSIES-AB-Y14 181 Enterasys Networks – Design Guide 15.2.7 WIRELESS LAN BEISPIEL PUNKT ZU MULTIPUNKT KONFIGURATION MIT VPN Abbildung 112: Point to Multipoint mit VPN Benötigte Komponenten: • Zentral o 1 x Roam About Bundle RBTED-AB-M07 o Inhalt: Eine in Europa verwendbare Roamabout Outdoor Point-too Multipoint Wireless Lösung (zentralteil) besteht aus § R2 access point plus (1) European 11Mbs PCMCIA PC card (128 bit § WEP) plus (1) antennen pigtail, (1) Blitzschutz, Antennen cable und § einer 7 dBi Omni antenna. o 1 x RoamAbout Point to Multi Point Software License CSIPT-MP o 1 x XSR 1805 XSR 1805 o 1 x VPN Option für XSR XSR-18XX-VPN o 1 x 19 Zoll Montagesatz (optional) XSR-1805-RKMT • pro Remotes o (Bis zu 6 Remote Stationen im Radius von ca 1,5 km um den zentralen Access Point bei freier Sicht möglich; Hinweis: Eine genaue Beurteilung kann nur durch eine Ortsbesichtigung des jeweiligen Planers einer WLAN Anlage getroffen werden.) o 1 x Roam About R2 (incl. Power Supply) RBTED-AB o 1 x WLAN Karte CSILD-AB-128 o 1 x Pigtail CSIES-AB-PT50 o 1 x Blitzschutz CSIES-AB-LP o 1 x Koaxkabel gewüschter Länge (hier ca 15m) CSIES-AB-C50 o 1 x Yagi 14dB Antenne CSIES-AB-Y14 o 1 x XSR 1805 XSR 1805 o 1 x VPN Option für XSR XSR-18XX-VPN o 1 x 19 Zoll 19 Zoll Montagesatz (optional) XSR-1805-RKMT 182 Enterasys Networks – Design Guide 16 Ausblick Die regelmäßige Adaption des vorliegenden Referenz- und Design-Guides an die Anforderungen bei der Planung von Netzen wird naturgemäß zu weiteren Ausgaben führen. Mögliche Ergänzungen werden nicht nur in Bereich der „Geschwindigkeitserhöhung“, sondern auch beim zentralen Thema Sicherheit liegen. Speziell dieses Thema kann – wurde es schon während der Planungsphase berücksichtigt – enorme Kosten sparen. Kosten, die im Nachgang entstehen, weil neue Standards oder neue Gesetzeslagen eine Adaption notwendig machen. Ein Netzwerkdesign, das nicht nur mit „Boxen, Portanzahlen und Durchsatzkapazität“ erstellt wurde, kann fast immer auch auf Neuerungen umgestellt werden – und das meist auch sehr kostengünstig. Eine Eigenschaft, die dann besonders zählt, wenn das Netz das Kernstück für die Unternehmenskommunikation ist. 183 Enterasys Networks – Design Guide 184 Enterasys Networks – Design Guide 185