Net-Design

Transcription

Net-Design

Enterasys Networks – Design Guide
I
INHALTSVERZEICHNIS
1
EINLEITUNG..................................................................... 1
2
ZIELGRUPPE.................................................................... 2
3
TECHNOLOGIE ................................................................ 3
3.1
3.2
3.3
3.4
ETHERNET...........................................................................................................3
3.1.1
Das Paketformat.........................................................................................3
3.1.2
Der Schritt zu 100 MBit/s.............................................................................8
3.1.3
Der Schritt von 100 auf 1000 MBit/s........................................................... 11
3.1.4
Von 1000 auf 10.000 MBit/s ...................................................................... 13
3.1.5
Fazit
............................................................................................. 13
10-GIGABIT -ETHERNET - DIE LÖSUNG FÜR UNTERNEHMENSNETZWERKE .................. 13
3.2.1
Warum 10-Gigabit Ethernet für Unternehmensnetzwerke? .......................... 14
3.2.2
Die wesentlichen Merkmale des 10-Gigabit Ethernet Standards .................. 16
3.2.3
Treiber von 10-Gigabit-Ethernet................................................................. 18
AUTO NEGOTIATION............................................................................................ 24
3.3.1
Einschränkungen bei Auto-Negotiation....................................................... 25
3.3.2
Was bedeutet „Auto Negotiation“ – Begriffsabgrenzung.............................. 25
3.3.3
Warum funktioniert Auto Negotiation – Definitionen & Standards ................. 26
3.3.4
Was passiert beim Auto Negotiation – Prozess ........................................... 28
3.3.5
Was ist bei der Einstellung von Netzwerkkomponenten zu beachten............ 28
3.3.6
Kontrolle und Diagnose............................................................................. 30
3.3.7
Literatur zu Auto Negotiation ..................................................................... 32
SWITCHINGTECHNOLOGIE.................................................................................... 33
II
3.5
4
Cut Through Switch .................................................................................. 33
3.4.2
Store & Forward Switch............................................................................. 34
ENTERASYS NETWORKS SWITCHLÖSUNGEN........................................................... 34
LAYER 2 PROTOKOLLE ................................................ 36
4.1
SPANNING TREE................................................................................................. 36
4.2
VIRTUAL LOCAL AREA NETWORKS (VLAN) ............................................................ 37
4.3
4.4
5
3.4.1
RAPID SPANNING TREE NACH IEEE 802.1 W ......................................................... 38
4.3.1
Overview of RSTP..................................................................................... 38
4.3.2
Overview of protocol changes ................................................................... 39
4.3.3
Port Role Assignments .............................................................................. 39
4.3.4
RSTP BPDU format................................................................................... 40
4.3.5
RSTP / STP interoperation......................................................................... 47
MULTIPLE SPANNING TREE (MST) NACH 802.1S .................................................... 48
4.4.1
MST Conformance Requirements .............................................................. 48
4.4.2
SST and MST Regions .............................................................................. 49
4.4.3
Interoperability between SST and MST....................................................... 51
4.4.4
The Common Spanning Tree ..................................................................... 51
4.4.5
Internal Sub-Tree Protocol (ISTP) and MST Protocol................................... 52
4.4.6
ISTP BPDU (I-BPDU)................................................................................. 52
4.4.7
Summary
............................................................................................. 53
LAYER 3 KOMMUNIKATION......................................... 54
III
5.1
IP ADRESSIERUNG ............................................................................................. 54
5.2
ROUTER ............................................................................................................ 55
5.3
ROUTIN- PROTOKOLLE ....................................................................................... 59
6
MULTICAST.................................................................... 60
6.1
VORBEMERKUNGEN ZUR ERLÄUTERUNG VON MULTICASTS ...................................... 60
6.2
GRUNDLAGEN.................................................................................................... 60
7
6.2.1
Adressierung von Daten ............................................................................ 61
6.2.2
Multicast-Adresse..................................................................................... 61
6.2.3
Dynamische An- /Abmeldung. ................................................................... 62
6.2.4
Multicast-Routing-Protokolle ..................................................................... 62
6.2.5
Distance Vector Multicast Routing Protocol (DVMRP) ................................. 63
6.2.6
Multicast OSPF (MOSPF) .......................................................................... 63
6.2.7
Protocol Independent Multicast (PIM)......................................................... 63
6.2.8
PIM Dense Mode ...................................................................................... 64
6.2.9
PIM Sparse Mod-eine neue Idee................................................................ 64
LAYER 3 PROTOKOLLE ................................................ 65
7.1
OSPF............................................................................................................... 65
IV
7.2
8
7.1.1
RFCs
............................................................................................. 65
7.1.2
Funktionsweise......................................................................................... 65
7.1.3
Das Areakonzept ...................................................................................... 66
7.1.4
Metrik
7.1.5
OSPF Router Classification ....................................................................... 67
7.1.6
Virtual Links ............................................................................................. 68
7.1.7
Spezielle Areas ......................................................................................... 69
7.1.8
LSA – Link State Advertisements ............................................................... 70
7.1.9
Designated Router .................................................................................... 71
7.1.10
Infos und Links: ........................................................................................ 71
............................................................................................. 66
VRRP VIRTUAL ROUTER REDUNDANCY PROTOCOL................................................ 71
7.2.1
Grundlagen ............................................................................................. 71
7.2.2
Designbeispiele für Enterasys Expedition Router ........................................ 72
7.2.3
Hochverfügbarkeit mit symmetrischem Loadbalancing ............................... 73
7.2.4
Hochverfügbarkeit für mehrere Sub-Netze und „neuen“ virtuellen Adressen. 74
7.2.5
Tipps und Tricks ....................................................................................... 74
UPN UND IEEE 802.1X................................................... 76
8.1
AUSGANGSSITUATION ......................................................................................... 76
8.2
BESCHREIBUNG DES AUFBAUS............................................................................. 77
8.3
EINSTELLUNGEN IN WINDOWS 2000 ADVANCED SERVER ......................................... 78
8.3.1
Konfiguration des Routing and Remote Access Service (RRAS) für die
Unterstützung der benötigten uthentisierungsmethoden ............................. 78
8.3.2
Konfiguration des Internet Authentication Service (IAS) für die Zuweisung
unterschiedlicher Rollen ............................................................................ 81
V
8.4
8.5
9
EINSTELLUNGEN NETSIGHT POLICY MANAGER ....................................................... 88
8.4.1
Rollenzuweisung....................................................................................... 88
8.4.2
Servicezuweisung ..................................................................................... 89
8.4.3
Authentisierung......................................................................................... 92
8.4.4
WEB-Logon ............................................................................................. 94
8.4.5
IEEE 802.1X ............................................................................................. 95
8.4.6
Definition von Virtuellen LANs (VLANs)....................................................... 96
BENUTZER INNERHALB EINES USER PERSONALIZED NETWORK................................. 98
SICHERHEIT................................................................. 101
9.1
9.2
EINE GANZHEITLICHE SICHERHEITSSTRUKTUR FÜR DAS UNTERNEHMENSNETZWERK . 101
9.1.1
Unsere Informationstechnik (IT) funktioniert, aber ist sie auch sicher?........ 102
9.1.2
Sicherheit spielt die Hauptrolle ................................................................ 102
9.1.3
Wer ist PETE?......................................................................................... 104
9.1.4
Einführung von Secure Harbour TM ............................................................ 104
9.1.5
Secure Harbour TM ................................................................................... 105
9.1.6
Welche Enterasys-Produkte beinhalten Secure Harbour TM?....................... 105
9.1.7
Secure Harbour TM – ein „ganzheitlicher Ansatz“ für die Netzwerksicherheit 106
DRAGON ......................................................................................................... 107
9.2.1
Nutzen eines Intrusion Detection Systems................................................ 107
9.2.2
Unternehmensweite Abläufe.................................................................... 107
9.2.3
IDS – Intrusion Detection System............................................................. 108
9.2.4
Sicherheit als dynamischer Prozess ......................................................... 108
9.2.5
Implementierung ..................................................................................... 110
9.2.6
Der Hostsensor....................................................................................... 110
9.2.7
Der Netzwerksensor................................................................................ 111
9.2.8
Auswertung und Korrelation .................................................................... 112
VI
9.2.9
10
Fazit
........................................................................................... 112
VOICE OVER IP – EINE GESAMTPLANUNG .............. 113
10.1
EINLEITUNG ..................................................................................................... 113
10.2
GRUNDSÄTZLICHE DESIGNKRITERIEN FÜR KONVERGENTE NETZE............................ 113
10.2.1
Verfügbarkeit.......................................................................................... 114
10.2.2
Wirtschaftlichkeit, Managebarkeit ............................................................ 114
10.2.3
Sicherheit
10.2.4
Konvergenzfähigkeit................................................................................ 114
10.2.5
Die LAN Infrastruktur............................................................................... 115
10.2.6
Logisches Konzept (IP Adressen, Vlan und QoS Definition) ....................... 115
10.2.7
IP- und Vlan Zuweisung........................................................................... 115
10.2.8
QoS Definition – Traffic Management: ...................................................... 117
10.2.9
Gesamtkonzept Beschreibung................................................................. 118
........................................................................................... 114
10.2.10 Standort Hemsbach................................................................................ 119
11
WIRELESS LAN ............................................................ 132
11.1
WESHALB WIRELESS TECHNOLOGIEN EINSETZEN? ............................................... 132
11.2
WELCHE MÄRKTE WERDEN MIT WLAN ADRESSIERT ?........................................... 132
11.3
WAS WIRD ALS WLAN BEZEICHNET ?.................................................................. 132
11.4
SICHERHEIT..................................................................................................... 135
VII
11.5
MANAGEMENT DER ACCESS POINTS................................................................... 136
11.6
AUSLEUCHTUNG .............................................................................................. 136
12
WIDE AREA NETWOK (WAN) ...................................... 137
12.1
13
WAN VERBINDUNGSARTEN ............................................................................... 137
12.1.1
Paketvermittelnde Verbindung ................................................................. 137
12.1.2
Leitungsvermittelnde Verbindung............................................................. 138
NETZWERKMANAGEMENT MIT NETSIGHT ATLAS 142
13.1
ÜBERWACHUNG UND VERWALTUNG VON NETZWERKEN ......................................... 142
13.2
PERFORMANCE -MANAGEMENT .......................................................................... 142
13.3
KONFIGURATIONS-MANAGEMENT....................................................................... 142
13.4
ACCOUNTING-MANAGEMENT ............................................................................. 143
13.5
FEHLER-MANAGEMENT ..................................................................................... 143
13.6
SICHERHEITS-MANAGEMENT ............................................................................. 143
13.7
IT IN WETTBEWERBSVORTEILE UMSETZEN - NETZWERKMANAGEMENT
MIT NET SIGHT
ATLAS VON ENTERASYS NETWORKS.............................................. 143
13.7.1
NetSight Atlas Console – Device- und System-Management..................... 144
13.7.2
NetSight Policy Manager - Rollenbasiertes System-Management für
VIII
Unternehmen.......................................................................................... 146
13.7.3
Netsight Atlas ACL Manager – zentrales Verwalten von komplexen
Zugangskontrollen .................................................................................. 147
13.7.4
Netsight Atlas Inventory Manager – Inventarisierung der vorhandenen
Infrastruktur ........................................................................................... 148
14
VIRTUAL PRIVATE NETWORK (VPN) ......................... 150
14.1
15
ÜBERBLICK ÜBER IPSEC ................................................................................... 150
14.1.1
Was ist IPSec?........................................................................................ 150
14.1.2
IPSec Pakete, Header und Modi .............................................................. 151
14.1.3
Security Association (SA)......................................................................... 153
14.1.4
Internet Key Exchange (IKE)..................................................................... 153
DESIGNS....................................................................... 156
15.1
NETZWERKDESIGN BASICS ................................................................................ 156
15.1.1
Der Layer 2 ........................................................................................... 156
15.1.2
Der Layer 3 ........................................................................................... 156
15.1.3
Das klassische Layer 2 Netzwerk............................................................. 156
15.1.4
Das klassische Layer 3 Netzwerk............................................................. 156
15.1.5
Die Kombination von Layer 2 und 3 Netzwerken....................................... 157
15.1.6
Erweitere Möglichkeit von Layer 2 und 3 Netzwerken................................ 157
15.1.7
Layer2/3 Netzwerke basierent auf Spanning Tree ..................................... 158
15.1.8
Layer2/3 Netzwerke one-for-one VLAN Konfiguration ............................... 159
15.1.9
Layer2/3 Netzwerke one-in-middle VLAN Konfiguration............................ 160
15.1.10 Layer2/3 Netzwerke mit all-in-one Vlan Konfiguration................................ 161
IX
15.2
16
BEISPIEL XSR UND VPN ................................................................................... 162
15.2.1
Die Ausgaben der VPN-relevanten SHOW-Befehle ................................... 174
15.2.2
Anzeige der aktiven Tunnel...................................................................... 175
15.2.3
Beispiel Site to Site VPN unter Nutzung von XSR´s über ISDN................... 175
15.2.4
Wireless LAN Beispiel Punkt-zu-Punkt-Konfiguration................................ 179
15.2.5
Wireless-LAN Beispiel Punkt-zu-Punkt Konfiguration mit VPN................... 179
15.2.6
Wireless-LAN Beispiel Punkt-zu-Multipunkt Konfiguration......................... 180
15.2.7
Wireless LAN Beispiel Punkt zu Multipunkt Konfiguration mit VPN............. 182
AUSBLICK .................................................................... 183
Wir bitten um Ihr Verständnis, dass einige Passagen in diesem Guide im englischen
Original belassen wurden. Eine wörtliche Übersetzung würde den technischen
Sachverhalt nicht mehr klar darstellen können.
X
1 Einleitung
Seit einiger Zeit bietet Enterasys Networks seinen Partnern, Consultants und Kunden den
„Solution Guide“ als ein deutschsprachiges Informationsmedium an. Dieser wird nicht nur zur
Informationsgewinnung, sondern häufig auch als ein Instrument zur Planung von modernen
Datennetzwerken genutzt. Aus dieser Erkenntnis heraus wurde die Idee geboren, einen
speziellen „Design Guide“ zu erstellen, der tiefer in die Materie eintaucht und dessen erste
Ausgabe Sie nun in Händen halten.
Der Schwerpunkt dieses neuen Guides liegt bei Design und Planungsaspekten. Dabei wurde
großen Wert darauf gelegt, die Lösungen standardbasierend vorzustellen und den Mehrwert, der
durch eine intelligente Kombination dieser Standards entsteht, zu erläutern.
Der Aufbau des Guides gliedert sich zunächst in die Beschreibungen verschiedener Technologien und Standards und mündet schließlich in den Designbeispielen. Zu Beginn des Guides
werden Grundkenntnisse von Datennetzwerken ausgeführt (Ethernet Frame, Ethernet, Fast
Ethernet, Gigabit Ethernet, 10 Gigabit Ethernet). Es erfolgt anschließend ein Überblick über die
wichtigsten Protokolle, die bei den im letzten Teil des Guides dargestellten Designs Verwendung
finden.
Bei den Designs wurde – wie bereits erwähnt – Wert auf die Standardkonformität der Beispiele
(Layouts) geachtet, so dass eine Umsetzung in Vertikalmärkten (z.B. Gesundheitswesen,
Energieversorgung oder Bildung) leicht möglich ist.
Der vorgelegte Guide ist ein „lebendes“ Dokument und wird regelmäßig erweitert, ergänzt und
den aktuellen Entwicklungen (HW + SW) angepasst werden. Über Feedback würden wir uns
freuen. Bitte informieren Sie hierzu Ihren lokalen Enterasys Presales Ansprechpartner.
Viel Spaß und Erfolg beim Lesen wünscht Ihnen
Ihr Enterasys Technik Team
1
2 Zielgruppe
Der Design Guide soll dem Leser, der mit der Planung und Realisierung von Datennetzen betraut
ist, als Grundstock für die Projektierung dienen. Durch seine komprimierte Form – sozusagen
„kurz und bündig“ – kann er als Nachschlagewerk sowohl für die für die Planung wesentlichen
Rahmenparameter als auch bei konkreten Umsetzungen von Designs verwendet werden.
Natürlich wird manches Detail bei der Umsetzung in einem aktuellen Projekt unterschiedlich sein.
Um Sie auch an dieser Stelle unterstützen zu können, möchten wir Sie bitten, entweder mit den
Enterasys Partnern oder direkt mit uns Kontakt aufzunehmen.
2
3 Technologie
3.1
3.1.1
ETHERNET
DAS PAKETFORMAT
Beim Ethernet handelt es sich um ein so genanntes paketvermittelndes Netzwerk. Dies bedeutet,
dass die zu übertragenden Daten in kleinere Einheiten aufgeteilt werden, die man als Pakete
(Packets) oder Rahmen (Frames) bezeichnet. Dabei sucht sich jedes Paket autonom seinen Weg
durch das Netzwerk. Auf der Empfängerseite werden die einzelnen Teilsendungen dann wieder
zusammengefügt.
Das ursprüngliche Ethernet war ein logischer Bus, auch dann, wenn es physisch nicht als Bus
implementiert war. Das bedeutet, dass eine sendende Netzwerkstation von allen
Netzwerkteilnehmern gehört wird. Der Ethernet-Controller der Empfangsstation entscheidet auf
Grund der Zieladresse (MAC-Adresse), welche Nachrichten für ihn bestimmt sind. Alle anderen
Nachrichten werden ignoriert.
3.1.1.1
Typen von Ethernet Paketen
Abbildung 1: Ethernet Typen
3
Die Länge der einzelnen Abschnitte wird in Tabelle 1 beschrieben.
Ethernet-Paket
Komponente
Bytes
Anmerkungen
Präambel
7
101010...101010,
Taktsynchronisation
Rahmenbegrenzer
1
10101011
dient
der
Ab hier eigentliches Datenpaket und
Kollisionserkennung
Zieladresse
6
MAC-Adresse
Quelladresse
6
MAC-Adresse
Datenlänge
2
Daten
0
1500
Padding
0 - 46
„Füllmaterial“, damit das Datenpaket 64
Byte lang wird.
Prüfsumme FCS
4
Anhand der Prüfsumme kann der
Empfänger erkennen, ob das Paket
korrekt angekommen ist.
Tabelle 1: Ethernet Packet
3.1.1.2
CSMA/CD als Grundlage von Ethernet
Abbildung 2: CSMA/CD Ablaufdiagramm
4
Das Ethernet-Protokoll basiert auf den Teilkomponenten Multiple Access, Carrier Sense und
Collision Detection:
Multiple Access (MA): Alle Ethernet-Stationen greifen unabhängig voneinander auf das
gemeinsame Übertragungsmedium (shared medium) zu.
Carrier Sense (CS): Wenn eine Ethernet-Station senden will, so prüft sie zuerst, ob gerade
eine andere Kommunikation läuft. Ist das Medium besetzt, so wartet die Station bis zum Ende
der Übertragung und eine zusätzliche Zeitspanne von 9,6µs. Ist das Medium frei, so beginnt die
Station sofort zu senden.
Collision Detection (CD): Während des Sendens beobachtet die sendende Station das
Medium, um mögliche Kollisionen mit anderen Sendestationen zu erkennen. Wenn sie während
des Sendevorganges keine Störung erkennt, die auf eine Kollision mit einem anderen Paket
zurückgeführt werden kann, gilt das Paket als erfolgreich versendet.
Wenn die Sendestation eine Kollision erkennt bricht diese ihre Übertragung ab und sendet ein
"Jamming" Signal (101010... = AAAAAAAA), wartet eine Zeit von 9,6µs zzgl. einer zufälligen
Zeitspanne, die von der Anzahl der bisherigen Fehlversuche für dieses Paket abhängt (Binary
Backoff) und unternimmt dann einen erneuten Sendeversuch an den Bus.
Dieses Verfahren funktioniert aber nur dann zuverlässig, wenn die sendende Station die Kollision
entdecken kann, bevor die Übertragung des Paketes abgeschlossen ist. Dabei ist zu
berücksichtigen, dass die Ausbreitung von Signalen auf Leitungen mit endlicher Geschwindigkeit
geschieht. Für einen erfolgreichen Einsatz des CSMA/CD-Protokolls muss die doppelte
maximale Laufzeit zwischen zwei Stationen kürzer sein als die Übertragungsdauer der kürzesten
zulässigen Pakete. Ausgehend von der Tatsache, dass die minimale Paketlänge eines EthernetPakets 64 Byte (= 512 Bits) beträgt, muss also sichergestellt sein, dass die maximale
Signallaufzeit (Round Trip Delay - RTD) 512 "Bitzeiten" nicht übersteigt. Bei einer Datenrate von
10 Mbit/s dauert die Übertragung eines Bit 100 ns, so dass das RTD kleiner als 51,2 µs sein
muss.
3.1.1.3
Erlaubte Verzögerungszeiten
Gemäß den Ethernet-Vorgaben dürfen die verschiedenen aktiven und passiven Komponenten
Verzögerungszeiten verursachen. Die folgende Tabelle zeigt Beispiele für 10MBit Ethernet:
10 MBit/s
Komponente
Bit-Zeit
Controller Senderichtung
3
Controller Empfangsrichtung
7
Transceiver-Kabel (2m)
0,25
5
Transceiver Senderichtung
3
Transceiver Empfangsrichtung
5
Repeater
8
Inter-Repeater Link
25
1 Bit-Zeit = 100ns
Tabelle 2: Ethernet Bit-Zeit
3.1.1.4
Späte Kollisionen
Um zu bestimmen, ob eine Verbindung zwischen zwei Stationen den RTD-Bedingungen genügt,
sind die Bitzeiten aller beteiligten Komponenten zu addieren. Die Summe darf nicht größer sein
als die minimale Paketlänge in Bit (512). Ist diese Bedingung nicht erfüllt und treten Kollisionen
erst nach den 512 Bit-Zeiten auf, spricht man von so genannten Late Collisions. Diese können
von den Ethernet-Controllern nicht erkannt werden, weil sie das Paket vermeintlich schon
komplett gesendet haben, bevor die Störung auf dem Medium erkannt wurde.
Dennoch wird das Netzwerk im Allgemeinen funktionieren, da die Protokolle der höheren
Schichten diese verlorenen Pakete meist erneut anfordern, wie dies beispielsweise bei TCP der
Fall ist. Wenn beim nächsten Sendeversuch keine Kollision mit der zu weit entfernten Station
auftritt, kann das Paket doch noch erfolgreich übertragen werden. Allerdings wird die
Leistungsfähigkeit des Netzwerks wesentlich beeinträchtigt, da immer mehr Bandbreite für
Retransmissionen von Datenpaketen genutzt wird.
3.1.1.5
MAC-Adressen
Um sicherzustellen, dass keine identischen Adressen in einem Netzwerk auftreten, werden die
Ethernet-Adressen (auch als MAC-Adressen bezeichnet) von den Herstellern fest in der
Hardware kodiert. Die Verteilung erfolgt dabei nach dem folgenden Schlüssel:
MAC-Adresse
Bits
Anmerkungen
47
1, wenn es sich bei der Zieladresse um eine Gruppenadresse
für Multi- oder Broadcasts handelt. Sonst 0.
46
0, wenn es sich um eine global verwaltete Adresse handelt
(nach IEEE). 1, wenn es sich um eine lokal verwaltete Adresse
handelt (für private Netze)
45 - 24
Hersteller-Identifikation. Wird durch die IEEE vergeben.
23 - 0
Adapter-Identifikation. Wird durch den Hersteller vergeben.
Tabelle 3: Ethernet Packet Bit-Positionen
6
Die meisten Ethernet-Controller können auch Pakete empfangen und an die höheren Schichten
weitergeben, die nicht für sie bestimmt sind. Man bezeichnet diese Betriebsart als "Promiscuous
Mode". Dieser Modus stellt ein wesentliches Sicherheitsrisiko dar, da er die Realisierung von so
genannten Netzwerk-Sniffern erlaubt, die den gesamten Verkehr auf einem Netzwerk
beobachten können.
3.1.1.6
Vom Koax-Bus zum Twisted-Pair-Stern
Ursprünglich sah die Ethernet-Spezifikation Koaxialkabel als Übertragungsmedium vor.
Je nach Qualität der Kabel wurden dabei Thick Coax (10Base-5) und Thin Coax (10Base-2)
unterschieden. Letzteres wird auf Grund der geringen Kosten auch als Cheapernet bezeichnet.
Bei der Nutzung eines Koaxialkabels sind drei Punkte hervorzuheben:
•
Es handelt sich auch in der Implementierung um einen physischen Bus, an den die
Stationen angehängt werden. Hierzu dienen T-Stücke, die in das Kabel eingesetzt
werden (so genannte Vampirstecker).
•
Für eine Kollisionserkennung muss die sendende Station den Zustand auf dem Kabel
überprüfen. Stimmen die dort vorliegenden Pegel nicht mit den gesendeten Signalen
überein, wird dies als Kollision erkannt.
•
In diesem Zusammenhang ist auch wichtig, dass die Kabelenden mit angepassten
Widerständen abgeschlossen werden, um Reflexionen zu vermeiden, die unter
Umständen als Kollisionen erkannt würden.
Koaxialkabel weisen jedoch eine Reihe von Nachteilen auf. So müssen beispielsweise für den
Einbau weiterer Stationen Kabel aufgetrennt werden, wodurch für eine gewisse Zeit keine
Übertragung möglich ist. Deshalb wurde der Standard 1990 im Rahmen des 10Base-T für den
Einsatz von Twisted-Pair-Kabeln erweitert.
3.1.1.7
Twisted-Pair
Die Nutzung von Twisted-Pair-Kabeln stellt in einigen wichtigen Punkten eine Abkehr von den
ursprünglichen Mechanismen dar:
•
In den Koaxialkabeln werden Sendekanal (Transmit - Tx) und Empfangskanal (Receive
- Rx) voneinander getrennt und jeweils auf einem Leitungspaar übertragen.
•
Eine Kollision wird erkannt, wenn während des Sendens auf dem Tx-Leitungspaar
Pakete auf dem Rx-Leitungspaar empfangen werden.
•
Wenn zwei Teilnehmer unmittelbar miteinander kommunizieren wollen (Point-to-PointVerbindung), dann muss der Sendekanal der einen Station mit dem Empfangskanal
der anderen Station verbunden werden. Dies erfolgt mit einem so genannten
gekreuzten Kabel (Crossover-Kabel).
•
Wenn mehr als zwei Teilnehmer miteinander kommunizieren wollen, dann wird ein Hub
als zentrale Station benötigt. Dieser gibt die Signale, die er auf dem Rx-Leitungspaar
eines Ports empfangen hat, im einfachsten Fall an allen anderen Ports auf dem TxLeitungspaar wieder aus. Damit kann jede Station, die an diesen Hub angeschlossen
ist, die Pakete auf ihrem Rx-Kanal empfangen.
Wichtig dabei ist jedoch, dass der Hub die Pakete nicht auf den Port der sendenden Station
zurückschickt. In diesem Fall würde die sendende Station Aktivität auf dem Empfangskanal
detektieren, die dann als Kollision gedeutet würde.
Allerdings erlaubt diese Trennung der Kanäle auch den Betrieb in einem Vollduplex-Modus, der
1997 in dem ergänzenden Standard 802.3x verabschiedet wurde. Dieser Modus basiert im
7
Wesentlichen darauf, dass es erlaubt ist, sowohl auf dem Sende- als auch auf dem
Empfangskanal zu übertragen und die Kollisionserkennung zu deaktivieren.
3.1.1.8
Glasfaser für längere Strecken bzw. einen Backbone
Nachteilig an der Übertragung sowohl über Koaxialkabel als auch über Twisted-Pair-Kabel ist
die limitierte Reichweite. Beim Twisted-Pair-Kabel ist das elektrische Signal nach etwa 100 m so
weit abgeschwächt, dass es durch einen Repeater wieder aufgefrischt werden muss. Bei den
Koaxialkabeln sind Reichweiten von 500 m bei 100Base-5 (die Zahl 5 entspricht 500 m) und von
185 m bei 10Base-2 (die Zahl 2 steht für ein aufgerundetes 1,85) erreichbar. Je mehr Repeater
jedoch eingesetzt werden, desto größer werden die Verzögerungszeiten und es kommt zu
späten Kollisionen.
Dementsprechend eignen sich Kupferkabel nicht für den Einsatz als Backbone zur Verbindung
verschiedener Gebäude auf einem Campus. Aus diesem Grund wurden zwei weitere Standards
aufgenommen, die die Übertragung von optischen Signalen über Glasfaserverbindungen
beschreiben. Auf diese Weise lässt sich ohne Repeater eine Entfernung von 2 km überbrücken.
Von den insgesamt drei verabschiedeten Standards hat sich in der Praxis nur der 10Base-FL
durchgesetzt. Dabei ist auch wieder zu bedenken, dass Glasfaserleitungen sinnvoll nur in Punktzu-Punkt-Verbindungen eingesetzt werden können. Auch 10Base-FL steht also für eine
Sternstruktur.
3.1.2
DER SCHRITT ZU 100 MBIT /S
100 MBit/s
Komponente
Bit-Zeit
Class I Repeater
140
Class II Repeater
92
Endgerät
50
Cat3-Twisted Pair (1m)
1,14
1,112
Glasfaserkabel (1m)
1
1 Bit-Zeit = 10ns
Tabelle 4: Fast Ethernet Bit Zeit
Parameter
10Mbit/s Ethernet
100Mbit/s
Ethernet
Slot time
512 bit times
512 bit times
Interframe gap
96 bit times
96 bit times
Attempt limit
16
16
8
Fast
Backoff limit
10
10
Jam Size
32 bits
32 bits
Max Frame Size
1518 bytes
1518 bytes
Min Frame Size
64 bytes (512 bits)
64 bytes (512 bits)
Address Size
48 bits
48 bits
Bit Time
.1 µsec
.01 µsec
Collision domain
51.2 µsec (round trip)
5.12 µsec
Tabelle 5: Vergleich Ethernet-Fast Ethernet
Mit dem Einsatz von immer leistungsfähigeren Arbeitsplatzrechnern stieg der Bedarf nach
Bandbreite in den neunziger Jahren zusehends. Aus diesem Grund wurde 1995 der auch als
Fast Ethernet bezeichnete Standard 100Base-T mit einer Datenrate von 100 MBit/s verabschiedet. Folgende Aspekte verdienen hier besondere Beachtung:
•
•
•
Das erlaubte Round Trip Delay ließen die Entwickler mit 512 Bitzeiten unverändert. Da
aber wegen der höheren Datenrate eine Bitzeit nur noch 10ns entspricht, ist dem
Zeitbudget eine höhere Aufmerksamkeit zu widmen. Während ein Signal bei 10 MBit/s
in einer Bitzeit (100ns) auf dem Kabel etwa acht Meter zurücklegt, so schafft es bei
100 MBit/s auf einem Cat-5-Kabel in einer Bitzeit (10ns) weniger als einen Meter.
Ähnlich verschärfen sich auch die Anforderungen an die aktiven Komponenten (siehe
auch "Erlaubte Verzögerungszeiten").
Koaxialkabel kommen auf Grund ihrer unzureichenden elektrischen Eigens chaften
nicht mehr zum Einsatz. Aber auch die Übertragung über Twisted-Pair stellt besondere
Herausforderungen an die Übertragungsmechanismen. Dabei wurden mit 100Base-Tx,
100Base-T2 und 100Base-T4 drei alternative Technologien standardisiert. Dabei setzt
der Einsatz von 100Base-Tx Twisted-Pair-Kabel nach der Kategorie Cat-5 voraus, die
eine Übertragungsfrequenz von 100 MHz erlauben.
Damit Fast-Ethernet auch für die alten Cat-3-Kabel (Grenzfrequenz 16 MHz) noch
realisierbar ist, wurden die Standards 100Base-T4 und 100Base-T2 verabschiedet.
Beide haben sich in der Praxis zwar nicht durchgesetzt, sind aber dennoch von
Interesse, da die dort implementierten Mechanismen, mit denen 100 Mbit/s über Kabel
mit
16
MHz
Grenzfrequenz
übertragen
werden,
bei
der
nächsten
Geschwindigkeitssteigerung im 1000Base-T Anwendung finden.
3.1.2.1
100Base-Tx
Die Annahme, dass über eine Cat-5-Verkabelung mit einer 100 MHz Grenzfrequenz automatisch
eine Datenrate von 100 MBit/s übertragen werden kann, ist falsch. Folgende Besonderheiten
sind hier zu beachten:
•
Beim Empfang der Signale muss sich der Empfänger auf den Datenstrom
synchronisieren. Lange Phasen identischer Signale sind bei der Übertragung im
9
•
•
•
3.1.2.2
Basisband problematisch, weil keine Signalflanken auftreten, mit deren Hilfe der
Sender sich wieder neu synchronisieren könnte. Dieses Problem wurde bei den 10
MBit/s-Standards durch die Manchester-Kodierung umgangen. In der ersten Phase
wird das Datenbit gesendet, wobei ein Flankenwechsel eine logische 1 bedeutet. Die
zweite Phase sorgt für die Taktung, indem auf jeden Fall ein Flankenwechsel
stattfindet, wodurch sichergestellt wird, dass in jeder Phase mindestens ein
Pegelwechsel vorliegt. Als Nachteil muss jedoch eine Verdoppelung der Frequenz in
Kauf genommen werden.
Da die Frequenzverdoppelung für 100 MBit/s nicht mehr in Frage kommt, kodiert man
den Bitstrom in einem 4B5B-Muster. Dabei werden die Muster so gewählt, dass
innerhalb jedes 4 beziehungsweise 5 Bit langen Blocks mindestens ein Signalwechsel
auftritt. Somit wird der Bitstrom lediglich um 25 Prozent verlängert und es ergibt sich
eine Datenrate von 125 MBit/s.
Da eine Frequenz von 125 MHz größer ist als eine Frequenz von 100 MHz, wird das
Signal auf drei Signalpegeln übertragen (MLT-3: Multi-Level Transmission mit -1, 0
und 1). Somit lassen sich mehrere Bits pro Symbol übertragen und die
Übertragungsfrequenz reduzieren.
Die Basisfrequenz der Idle-Bitfolge reduziert sich hierdurch von 125 MHz auf ein
Viertel und liegt nun bei 31,25 MHz. Durch ein Verwürfeln des kodierten Datenstroms
(Scrambling) muss nun noch eine Aufteilung des Frequenzspektrums erfolgen. Damit
sollen das Leistungsspektrum der abgestrahlten Signale aufgespreizt und die
Vorgaben zur elektromagnetischen Verträglichkeit erfüllt werden.
-T4 und 100Base-T2
Der 100Base-Tx-Standard ist dahingehend verschwenderisch, dass er nur zwei der vier in einem
Twisted-Pair-Kabel vorhandenen Leitungspaare nutzt. Auf diese Weise wird auch ISDNTelefonie über das gleiche Kabel ermöglicht. Da diese Praxis jedoch nur selten anzutreffen ist,
schlägt der 100Base-T4-Standard vor, alle vier Leitungspaare zu verwenden. Dabei läuft der
Datenstrom über drei Leitungspaare, wodurch sich die Signalrate auf 33 MHz reduziert. Das
vierte Leitungspaar wird zur Kollisionsdetektierung eingesetzt. Eine weitere Reduktion der
Signalrate wird beim 100Base-T4 wiederum durch Kodierungsverfahren erreicht. Bei 100BaseT4 kann die Übertragung zu einem Zeitpunkt nur in eine Richtung erfolgen, ein VollduplexBetrieb ist nicht möglich.
3.1.2.3
100Base-T2
Auch der 100Base-T2-Standard beschreibt ein Verfahren, um die 100 MBit/s des Fast Ethernet
über ein Cat-3-Kabel zu übermitteln. Dabei sollte die Übertragung aber nur über zwei
Leitungspaare erfolgen, um die anderen beiden Leitungen weiterhin für die Sprachtelephonie
freizuhalten. Um diese Aufgabe zu lösen, wurde die Pulse Amplituden Modulation (PAM)
entwickelt. Das beim 100Base-T2 verwendete PAM5x5 nutzt fünf verschiedene Pegel (-2, -1, 0,
+1, +2).
Besonders interessant ist dabei, dass beide Leitungspaare vollduplex übertragen können. Dies
wird durch den Einsatz von so genannten Hybrid-Transceivern ermöglicht. Diese weisen zwei
Funktionalitäten auf:
•
In Senderichtung werden das Signal in Senderichtung und das Signal in
Empfangsrichtung auf der Leitung überlagert.
10
•
Auf der Empfangsseite muss das gesendete Signal von dem resultierenden Signal
subtrahiert werden, um das Signal in Empfangsrichtung zu erhalten. Dabei müssen
jedoch die auf der Leitung reflektierten Anteile des gesendeten Signals mit Hilfe einer
Echokompensation (Echo Cancellation) ebenfalls berücksichtigt werden.
Damit stellt dieser spezielle Vollduplex-Modus in gewisser Weise eine interessante Evolution in
der Ethernet-Historie dar.
•
Für die Koaxialkabel muss ein Transceiver zum Einsatz kommen. Dieser muss beim
Senden gleichzeitig die Pegel auf dem Kabel überprüfen, ob sie mit dem gesendeten
Signal übereinstimmen. Weichen diese zu sehr von den gesendeten Signalen ab, wird
dies als Kollision erkannt.
•
Bei der Übertragung mit Twisted-Pair-Kabeln bei 10Base-T werden Sende- und
Empfangskanal getrennt.
•
Nun werden beim 100Base-T2 auch bei der Übertragung im Twisted-Pair-Kabel die
Empfangs- und Sendekanäle wieder gemeinsam genutzt, um die geforderte Datenrate
bei verfügbarer Bandbreite zu erreichen.
3.1.3
DER SCHRITT VON 100 AUF 1000 MBIT /S
1000 MBit/s
Komponente
Bit-Zeit
Repeater
976
Endgerät
432
11,12
Glasfaserkabel (1m)
10,1
1000BaseCX-Kabel (1m)
10,1
1 Bit-Zeit = 1ns
Tabelle 6: Giga Ethernet Bit-Zeit
Parameter
10Mbit/s
Ethernet
100Mbit/s
Fast Ethernet
1000Mbit/s
Gigabit
Ethernet
Slot time
512 bit times
512 bit times
512 Byte times
Interframe gap
96 bit times
96 bit times
96 bit times
Attempt limit
16
16
16
Backoff limit
10
10
10
Jam Size
32 bits
32 bits
32 bits
11
Max
Size
Frame
1518 bytes
1518 bytes
1518 bytes
Min Frame Size
64
bytes
(512 bits)
64 bytes (512
bits)
512 bytes (4096
bits)
Address Size
48 bits
48 bits
48 bits
Bit Time
.1 µsec
.01 µsec
.001 µsec.
Collision
domain
51.2
µsec
(round trip)
5.12 µsec
4.096 µsec
Tabelle 7: Vergleich Ethernet, Fast Ethernet, Gigaethernet
Die Übertragung nach 1000Base-X (IEEE802.3z) baut auf den bestehenden Modulationsverfahren auf und erreicht die höhere Datenrate im Wesentlichen durch die Erhöhung der
Übertragungsfrequenz.
Dagegen hat man bei der Übertragung nach 1000Base-T (IEEE802.3ab) von der unmittelbaren
Skalierung der 100Base-TX-Technologie Abschied genommen. Bei 1000Base-T werden mehrere
Verfahren kombiniert, um die Datenrate über ein Cat-5-Kabel auch bei Entfernungen jenseits von
100 m zu erreichen. Dabei sind die zentralen Verfahren den bereits bestehenden 100Base-T2
und 100Base-T4-Standards entlehnt.
3.1.3.1
1000Base-X
1000Base-X nutzt ein 8B10B-Modulationsverfahren, das dem 4B5B-Verfahren aus dem
100Base-X verwandt ist. Dabei wird ein Byte mit acht Bit auf ein Wort mit zehn Bit kodiert, so
dass sich die Datenrate auf 1250 MBit/s erhöht. 1000Base-X lässt sich über verschiedene
Glasfasern oder über ein bis zu 25 Meter langes 150W-Twinax-Kabel übertragen.
3.1.3.2
1000Base-TX
Die Steigerung der Datenrate von 100 auf 1000 MBit/s bei 1000Base-TX lässt sich in fünf
Schritten erklären. Die Reihenfolge der Schritte ist dabei willkürlich gewählt.
1. Ausgehend von der Übertragung über ein Leitungspaar bei 100Base-Tx wird nun wie bei
100Base-T4 über alle vier Leitungspaare übertragen. Auf dieses Weise erhöht sich die
Datenrate auf 400 MBit/s.
2. Verzichtet man auf die 4B5B-Kodierung, so steigt die Datenrate bei konstanter
Übertragungsfrequenz auf 500 MBit/s.
3. Setzt man das PAM5x5 aus dem 100Base-T2 ein, so erreicht man eine Verdoppelung der
Datenrate auf 1000 MBit/s, wobei wiederum die Übertragungsfrequenz unverändert bleibt.
Dabei ist jedoch eine Verringerung des Signal-Rausch-Abstands um 6 dB durch den jeweils
verringerten Signalhub zu verzeichnen, der nun durch eine zusätzliche Fehlerkorrektur
ausgeglichen werden muss.
4. Bei der Trellis-basierten Fehlerkorrektur griff man auf eine Faltungskodierung zurück, wie sie
insbesondere im Bereich des digitalen Mobilfunks, aber auch bei der Sprach- und
12
Mustererkennung bereits seit langem verbreitet ist. Diese Fehlerkorrektur stellt die einzige
wirklich neue Komponente im 1000Base-T-Standard dar.
5. Gleichzeitige Übertragung in beide Richtungen über ein Leitungspaar wie bei 100Base-T2.
Damit erreicht man 1000 MBit/s im Vollduplex-Modus.
3.1.4
VON 1000 AUF 10.000 MBIT /S
Schon bevor 1000Base-T endgültig in trockenen Tüchern war, bildete sich im März 1999 eine
weitere Arbeitsgruppe innerhalb der IEEE802.3 Higher Speed Study Group (HSSG). Diese hat mit
IEEE802.3ae einen Standard für Datenraten von 10 GBit/s erstellt.
Es sollen bewährte Eigenschaften des LAN-Ethernets weiter fortgeführt werden. Insbesondere
sollen das Rahmenformat und die unmittelbare Einpassung in die 802.x-Architektur die einfache
Bündelung von langsameren Ethernet-Rahmen auf der höheren Geschwindigkeitsstufe und die
unmittelbare Übernahme der bestehenden Techniken zur Verkehrssteuerung erlauben.
Außerdem soll die Spezifikation eine kostengünstige Implementierung mit zwei- bis dreifachem
Kostenaufwand im Vergleich zum Gigabit-Ethernet erlauben.
Zum anderen zeigt die Zielrichtung des 10 GBit/s-Ethernet aber deutlich in Richtung der
Metropolitan Area Networks (MAN). Insbesondere werden nur noch Punkt-zu-PunktVerbindungen in Vollduplex-Modus unterstützt. Besondere Bedeutung erlangen dabei auch die
für das Ethernet neuen Entfernungskategorien im Bereich von 50 Kilometer. Darüber hinaus
sehen die gegenwärtigen Entwürfe die unmittelbare Anpassung an bestehende MAN-Strukturen
vor, die auf der Basis von SONET/SDH implementiert sind. (siehe auch unter 10GEA,
http://www.10gigabit-ethernet.com/) gegründet. Mitlerweile ist der Standard zu 10Gigaetherne
verabschiedet.
3.1.5
FAZIT
Mit der kostengünstigen Verfügbarkeit der verschiedenen Geschwindigkeitsstufen von 10 MBit/s
bis zu 10 GBit/s könnte es dem Ethernet-Standard gelingen, endgültig zum vorherrschenden
Netzwerk-Protokoll zu werden. Dies gilt im Bereich der lokalen Netze sowohl für die
Bürokommunikation als auch in zunehmendem Maße für die Netze in der industriellen
Automation. Mittelfristig kann sich Ethernet auch für regionale Netze (MAN) etablieren, da ein
durchgehender Standard ohne Protokollumsetzungen einfacher und kostengünstiger ist als eine
Vielzahl verschiedener Systeme.
Der Traum einer homogenen Netzwerklandschaft ist somit nicht ausgeträumt, allerdings unter
einem anderen Vorzeichen, als ihn sich die Entwickler des verbindungsorientierten und zu
aufwändigen ATM erhofft haben.
Quellen zum Kapitel Ethernet: Internet http://www.tecchannel.de
3.2
10-GIGABIT-ETHERNET - DIE LÖSUNG FÜR UNTERNEHMENSNETZWERKE
In den Anfangszeiten der Netzwerktechnik galt ein Unternehmensnetzwerk als Luxus, der auf
den geschäftlichen Erfolg oder Misserfolg absolut keinen Einfluss hatte. Diese frühen Netzwerke
boten in eingeschränktem Maße Zugriff auf Unternehmensdaten und ermöglichten den
Informationsaustausch im Unternehmen. Auf dieses Netzwerk hatten häufig nur wenige
Mitarbeiter Zugriff. Zu den Anwendungen zählte häufig ein E-Mail-Programm für die
Kommunikation zwischen Mitarbeitern mit Netzwerkzugriff. Es war nicht untypisch, dass die
13
meisten Mitarbeiter gar keinen Netzzugang hatten, so dass die Kommunikation meist auf
herkömmliche Weise (Telefon, Sitzungen) erfolgte. Manchmal wurde das Netzwerk dazu benutzt,
um im Rahmen eines Projekts Dateien auszutauschen oder auf eine Datenbank zuzugreifen.
Dieser Informationsaus tausch galt jedoch lediglich als praktisch, nicht als geschäftskritisch. Nur
ausgewählte Mitarbeiter erhielten aufgrund ihrer Arbeit oder Stellung Zugriff auf das
Unternehmensnetzwerk. Die Zusammenarbeit beschränkte sich daher generell meist auf das,
was man im Rahmen von Telefonaten und Treffen erreichen konnte. Allein die Bereitstellung
einheitlicher und aktueller Informationen zur Verwirklichung geschäftlicher Ziele erforderte einen
beträchtlichen Koordinationsaufwand.
Generelle Aspekte des Unternehmensnetzwerks haben sich seither nicht geändert. Das
Unternehmensnetzwerk von heute ist vor allem dazu da, dass Mitarbeiter Zugriff auf Informationen erhalten, diese austauschen und miteinander kommunizieren können. Die
Unternehmen haben jedoch heute eine völlig andere Auffassung der Netzwerkfunktion. Das
Netzwerk gilt als unverzichtbares und kritisches Werkzeug zur Erreichung der geschäftlichen
Ziele des Unternehmens. Viele erfolgreiche Organisationen sehen ihr Netzwerk als Möglichkeit
an, einen Vorsprung vor dem Wettbewerb zu erzielen, indem Produkte rascher eingeführt
werden, die Effizienz gesteigert wird und das Unternehmen fähige Mitarbeiter anziehen und auch
halten kann.
Manche der früher als Luxus geltenden Netzwerk-Tools sind heute eine Selbstverständlichkeit
im Geschäftsleben. Viele Mitarbeiter kommunizieren per E-Mail, ob ins angrenzende Büro oder
auf einen anderen Kontinent. Auch das Internet wird zur Erreichung geschäftlicher Ziele
eingesetzt. Es erleichtert den Zugang zu potentiellen Kunden, branchenspezifischer Forschung,
Analystenberichten oder anderen Daten. Viele Unternehmen nutzen verstärkt die Funktion des
Instant Messaging anstelle von Telefonaten oder E-Mails, oder für den Online-Austausch mit
Kollegen, die an einem anderen Ort arbeiten. Das moderne Unternehmen verlässt sich
zunehmend auf Datenbanken mit gemeinsamen Informationen.
Heute sieht man aber nicht nur die Funktion eines Unternehmensnetzwerks anders als früher,
sondern auch die Ziele eines Unternehmens werden durch völlig neue Netzwerk-Methoden und
Technologien erreicht. Informationen sind nicht mehr zentral gespeichert. Organisationen sind
vielmehr weit verstreut, und auch Ressourcen werden nicht mehr an einem Ort
zusammengefasst. Menschen, Daten und Rechnerleistung sind eigenständig verteilt und werden
über ein Netzwerk miteinander verknüpft. Streaming Video, Voice over IP, E-Commerce, virtuelle
Schulungen und andere Anwendungen sind neue Werkzeuge für geschäftliche Zielsetzungen.
Unternehmen benötigen daher Netzwerke, mit denen neue Formen der Inhaltssuche und neue
Wege der Informationsbereitstellung möglich sind. Zur Erfüllung geschäftlicher Bedürfnisse muss
das Unternehmen Menschen, Anwendungen und Inhalte verbinden und die dafür notwendige
Bandbreite bereitstellen. Die Entwicklung von 10-Gigabit Ethernet Lösungen ist eine wesentliche
Voraussetzung für die Bewältigung dieser Herausforderungen.
3.2.1
WARUM 10-GIGABIT ETHERNET FÜR UNTERNEHMENSNETZWERKE?
In den 30 Jahren, in denen es das Ethernet gibt, hat es sich weiterentwickelt und an die
Bedürfnisse der Datenpaketübermittlung angepasst. Das Ethernet ist so weit verbreitet, dass
praktisch der gesamte Internet-Datenverkehr heute an einem Ethernet-Anschluss beginnt oder
endet. Die 10-Gigabit Ethernet Alliance (10GEA) weist sogar darauf hin, dass Ethernet heute
14
mehr als 90 % der installierten LAN-Knoten in Unternehmensnetzwerken ausmacht und sogar
über 95 % der neu installierten Knoten stellt.
Zum Status des Ethernets als De-facto-Standard für Unternehmensnetzwerke haben mehrere
Faktoren beigetragen. Darunter fallen die einfache Installation, die Skalierbarkeit, die
Wartungsfreundlichkeit und die vergleichsweise geringen Kosten für die Implementierung. Die
per
Ethernet
übermittelte
Datenmenge
ist
ebenso
gewachsen
wie
die
Übermittlungsgeschwindigkeiten. Deshalb wurde das Ethernet auch weiterentwickelt und an
höhere Geschwindigkeiten und größere Nachfrage angepasst.
Die Erfindung des Ethernets wurde zumindest teilweise von der Notwendigkeit getrieben,
zahlreiche Rechner in einem Gebäude zu verknüpfen und die gemeinsame Nutzung von
Druckern zu erlauben. In den Anfängen konnte man über Ethernet mit Geschwindigkeiten bis 10
Megabit pro Sekunde (Mbit/s) Daten übertragen. Später gab es das Fast Ethernet mit
Übertragungsgeschwindigkeiten bis 100 Mbit/s; so konnten auch bandbreitenintensive
Anwendungen wie Streaming eingesetzt werden. Seit 1998 gibt es einen Standard, der
Übermittlungsgeschwindigkeiten von einem Gigabit pro Sekunde (Gbit/s) erlaubt. Dieser
Standard (der auch als Gigabit Ethernet IEEE 802.3z bekannt ist) wird sowohl in Unternehmensnetzwerken als auch in öffentlichen Netzen bereits eingesetzt. Es gibt eine fast einstimmige
Meinung über Ethernet-Technologien:
•
•
•
Einer Umfrage der Intel Corporation zufolge werden mindestens 75 % aller neuen LAN
Clients mit 100 Mbit/s Fast Ethernet Verbindungen eingerichtet. Cahners In-Stat
prognostizierte, dass bereits 2001 mehr als 90 % aller geschalteten Ports Fast
Ethernet Ports sind.
Die Dell’Oro Group schätzt, dass es 2002 etwa 160 Mio. Ports mit 100 Mbit/s Fast
Ethernet geben wird.
Ebenfalls von der Dell’Oro Group stammt die Prognose, dass es 2002 etwa 18 Mio.
Ports Gigabit Ethernet geben wird, und dass sich diese Zahl bis 2004 auf mehr als 32
Millionen fast verdoppeln wird.
Je mehr Bandbreite am Arbeitsplatz zur Verfügung steht, desto mehr Anwendungen sind parallel
möglich. So haben zum Beispiel wissenschaftliche Institute die Möglichkeit, an Großprojekten
gemeinsam zu arbeiten. Krankenhäuser können remote auf Patientendaten und -bilder an
anderen Orten zugreifen. Anwender können an gemeinsamen Projekten teilnehmen.
Unternehmen können hochwertige Modelle und Simulation nutzen, und jeder hat Zugriff auf
wichtige Daten aus aller Welt, in Echtzeit und hoher Qualität, ohne die sonst üblichen
Zeitverzögerungen.
Dabei wird aber deutlich, dass der Bedarf an Bandbreite in dem Maße steigt, wie am Arbeits platz bandbreitenintensive Anwendungen laufen und dass es immer mehr Anwendungen gibt,
die Bandbreite benötigen. Zudem wollen immer mehr Anwender Zugriff auf Informationen haben.
So waren die Manager von Unternehmensnetzwerken gezwungen, Technologien einzusetzen,
die mit diesen Geschwindigkeiten Schritt halten können. In manchen Fällen muss die Bandbreite
an den Arbeitsplatz gebracht werden. In anderen Fällen wird mehr Bandbreite im Backbone
benötigt, um den Datenverkehr vieler Anwender mit bandbreitenintensiven Anwendungen zu
bedienen oder einen leistungsstarken und möglichst verzögerungsfreien Zugriff auf gezielte
Ressourcen weltweit zu ermöglichen.
15
Um die Nachfrage nach mehr Bandbreite erfüllen zu können, entwickelte die 802.3ae Task Force
des IEEE einen Ethernet-Standard, mit dem Geschwindigkeiten von bis zu 10 Gigabit pro
Sekunde möglich sein sollen. Im Juni 2002 wurde die erste Version von 10-Gigabit-Ethernet
verabschiedet.
Mehrere Faktoren haben die Entwicklung vorangetrieben, darunter der Einsatz verteilter
Rechnermodelle, die Verbreitung bandbreitenintensiver Anwendungen und höhere
Verarbeitungsgeschwindigkeiten am Arbeitsplatz.
3.2.2
DIE WESENTLICHEN MERKMALE DES 10-GIGABIT ETHERNET STANDARDS
Der neue 10-Gigabit Ethernet Standard beinhaltet Funktionen, die sich von früheren EthernetVersionen grundlegend unterscheiden. Der wichtigste ist vielleicht, dass 10-Gigabit Ethernet nur
über Lichtwellenleiter und nur im Vollduplexbetrieb funktioniert, während frühere EthernetVersionen auch auf Kupferleiter und den Halbduplexbetrieb eingerichtet waren. Dadurch entfällt
das in früheren Ethernet-Versionen verwendete CSMA/CD-Protokoll zur Kollisionsverhinderung,
was den Betrieb vereinfacht. Allerdings ist 10-Gigabit Ethernet noch immer Ethernet mit den
bewährten Merkmalen wie beispielsweise dem Ethernet-Paketformat und ist auch mit früheren
Ethernet-Technologien kompatibel.
Durch die erwähnten Funktionen bietet das 10-Gigabit Ethernet einige wesentliche Vorteile:
•
Der Vollduplexbetrieb bedeutet eine Vereinfachung, weil die für frühere EthernetVersionen erforderlichen Protokolle zur Kollisionserkennung und –verhinderung
entfallen.
•
Der reine Lichtwellenleiterbetrieb bedeutet, dass 10-Gigabit Ethernet sicherer und
hochwertiger ist und dass Netzwerkkomponenten auch über größere Entfernungen
flexibel miteinander verbunden werden können
•
10-Gigabit Ethernet ist aber nicht nur zehnmal schneller als das bisherige Ethernet,
sondern hat auch eine maximale Reichweite von 40 Kilometern.
•
Es bleibt eine Form des Ethernets, so dass existierende Infrastrukturen eingebunden
werden können. Die Kommunikation über 10-Gigabit Ethernet ist mit bestehenden
Ethernet-Spezifikationen voll kompatibel
•
Es erfolgt die Bandbreitenskalierung durch den Einsatz von „intelligenten“ Diensten
wie Quality of Service (QoS), Policy -Based Networking, Sicherheitsfunktionen oder
Möglichkeiten zur Lastverteilung.
Der 10-Gigabit Ethernet Standard kann auch mit anderen Netzwerktechnologien, beispielsweise
dem Synchronous Optical Network (SONET), zusammenarbeiten. Dank einer speziellen
Bitübertragungsschicht (PHY) kann das 10-Gigabit Ethernet auch mit bestehenden SONETZugangsgeräten wie beispielsweise Add/Drop Multiplexern eingesetzt werden. Die Kompatibilität
mit den SONET-Zugangsgeräten sorgt gleichzeitig für mehr Flexibilität beim Netzwerkaufbau
und erlaubt die Konfiguration von MAN/WAN mit bestehenden SONET-Netzen zur Verbindung
entfernter Ethernet LAN.
Prinzipiell wurden folgende Standards definiert:
16
Abbildung 3: 10-Gigabit Ethernet Standards
Grundsatz der IEEE 802.3ae Task Force ist die Erfüllung von fünf Kriterien, die zur Akzeptanz
des Standards führen:
•
Breite Unterstützung durch führende Anbieter und Anwendungen am Markt
•
Kompatibilität zu bestehenden Ethernet-Protokollstandards sowie den Protokollen
Open Systems Interconnectivity (OSI) und Simple Network Management Protocol
(SNMP)
•
Deutliche Unterscheidung von anderen Ethernet-Standards, um damit eine
eigenständige Lösung statt als Alternative zu sein
•
Nachweis der technischen Machbarkeit
•
Wirtschaftlichkeit für Kunden und Erfüllung von erwarteter Leistungssteigerung zu
annehmbaren Gesamtkosten
Es ist davon auszugehen, dass Dank dieser fünf Kriterien der 10-Gigabit-Standard einfach und
kostengünstig in der Implementierung sein wird und den unterschiedlichsten Kundengruppen
eine individuelle Lösung bieten kann. Die 802.3ae Task Force und die 10GEA, die die Ziele der
Task Force unterstützt und in erheblichem Maße zu ihrer Zielerreichung beiträgt, haben bereits
deutliche Fortschritte bei der Sicherstellung dieser fünf Kriterien gemacht. Neben Enterasys sind
über 100 Netzwerkinfrastrukturanbieter bereits Mitglied in der 10GEA und arbeiten aktiv in der
Task Force mit. Diese Unternehmen tauschen sich insbesondere darüber aus, wie Kompatibilität
und Support auch für unterschiedliche Anwendungen und LAN-, MAN- sowie WAN-Kunden
gewährleistet werden können. Die Task Force stellt sicher, dass auch 10-Gigabit Ethernet eine
Ethernet-Technologie bleibt und mit bestehender Ethernet-Technologie kompatibel ist.
Auf der letzten Supercom im Juni 2002 in Atlanta haben neben Enterasys noch 23 andere
Netzwerk-Hersteller einen Interoperabilitätsnachweis erbracht. Über Glasfaser-Leitungen wurde
ein 10-Gigabit-Ethernet Netzwerk aufgebaut und eine verteilte Kommunikation nachgestellt.
Wie bereits erwähnt, können bestehende Ethernet-Komponenten in eine neue 10-Gigabit
Ethernet-Lösung eingebunden werden. Außerdem hat die Dell’Oro Group errechnet, dass ein
Port im 10-Gigabit Ethernet anfangs ungefähr das 8,3-Fache eines Gigabit Ethernet Ports kosten
17
wird. Das bedeutet interessanterweise, dass eine zehnmal höhere Leistung nur gut achtmal so
teuer sein wird.
Es ist davon auszugehen, dass Kunden im LAN, MAN und WAN schon bald die höhere
Bandbreite nutzen werden. Analystenmeinungen unterstreichen dies:
Dell´Oro
10 Gigabit Ethernet Port Shipments (000's)
750
800
700
600
500
340
400
300
110
200
10
100
30
0
2002
2003
2004
2005
2006
Abbildung 4: Erwartetes Port-Shipment
•
•
•
•
Die Dell’Oro Group erwartetet für 2006 das Shipment für 750.000 10-Gigabit-Ethernet
Ports weltweit.
Die Dell’Oro Group und Gartner Dataquest prognostizieren bereits für 2004 ein
Marktvolumen für 10-Gigabit Ethernet von gut US$ 3,5 Mrd.
Die Dell’Oro Group geht weiterhin davon aus, dass bereits 2004 etwa 17 % aller
Ethernet-Switches die 10-Gigabit Ethernet Technik nutzen werden.
Der Branchenanalyst IDC schätzt, dass es 2004 mehr als 4 Millionen 10-Gigabit
Ethernet Ports geben wird.
3.2.3
TREIBER VON 10-GIGABIT -ETHERNET
Mehrere Faktoren haben die Entwicklung des 10-Gigabit Ethernet für den Bereich
Unternehmensnetzwerke vorangetrieben, darunter Modelle zum „Distributed Computing“, die
stark wachsende Verbreitung bandbreitenintensiver Anwendungen und die höhere
Verarbeitungsgeschwindigkeiten am Arbeitsplatz. Im Folgenden werden diese kurz beschrieben.
3.2.3.1
Distributed Computing
Noch vor wenigen Jahren war ein Unternehmensnetzwerk eine stark zentralisierte Angelegenheit.
Menschen, Daten und Rechner wurden vor Ort lokal verknüpft, ohne die Einbindung anderer
Lokationen. In der Regel hatte der Anwender nur Zugriff auf die Ressourcen, die sich im gleichen
18
Gebäude oder auf dem gleichen Campus befanden. Selten hatten einzelne Anwender überhaupt
Zugriff auf die Ressourcen anderer Betriebsstätten. Ein Vertriebsmitarbeiter oder eine
Führungskraft hatte nicht die Möglichkeit, von außerhalb auf die in seinem Büro gespeicherten
Informationen oder Dateien zuzugreifen.
Seit einiger Zeit setzt man jedoch verstärkt auf so genanntes „Distributed Computing“. Hierbei
handelt es sich um verteilte Rechnermodelle, die nicht mehr auf zentral zusammengefasste
Ressourcen setzen. Heute kann man aus der ganzen Welt auf die gleichen Informationen und
Anwendungen zugreifen. Interessanterweise sind manche Informationen oft gar nicht auf dem
Rechner gespeichert, auf den man zugreift.
Mobilität ist eines der wichtigsten Themen in der heutigen Gesellschaft. Mittlerweile kann der
Anwender auch auf Reisen bestimmte Daten abrufen, seine E-Mails lesen, oder Präsentationen
und andere Dateien nutzen, für die er die Zugangsberechtigung hat. Da die Ressourcen nicht
mehr zentral zusammengefasst sind, müssen Menschen, Daten und Rechnerleistung über
Datennetze verknüpft werden. Die alten Hürden mussten abgeschafft werden. Früher war es gar
nicht so einfach, von „remote“ auf firmeninterne Ressourcen zuzugreifen. Zum einem war die
Leitungsqualität häufig wesentlich schlechter als bei einem lokalen Zugriff. Der
Vertriebsmitarbeiter beispielsweise konnte zwar beim Kunden seine Präsentation abrufen. Dabei
kam es aber aufgrund von Bandbreitenbeschränkungen zu deutlich schlechterer Qualität. Zudem
gab es meist erhebliche Zeitverzögerungen zwischen der Datenabfrage und dem Empfang der
Daten.
Damit der Angestellte die Zielsetzung des Unternehmens umsetzen kann, muss das Unternehmen gleichbleibend hohe Zugriffsgüte und einen einheitlichen Kenntnisstand seiner
Mitarbeiter gewährleisten. Die Kunst dabei ist es aber, die Systeme nicht unnötig doppelt
bereitzuhalten. Mit anderen Worten: es sollte gewährleistet sein, dass ohne Ressourcenduplizierung für die einfache und schnelle Verknüpfung von Menschen, Speichermedien,
Rechnerleistung und Anwendungen der weit verstreuten Betriebsstätten gesorgt wird.
Außerdem darf der räumliche Abstand nicht dazu führen, dass Daten nur mit Zeitverzögerung
oder in schlechterer Qualität abgerufen werden können. Das 10-Gigabit Ethernet stellt
zusätzliche Bandbreite bereit und erlaubt es dem Unternehmen, ein verteiltes Rechnermodell
einzuführen. Die höhere Bandbreite des 10-Gigabit Ethernet ermöglicht den Datenverkehr mit
größerer Geschwindigkeit und geringerer Verzögerung. Dadurch wird der Zugriff auf
Anwendungen und Informationen erleichtert, auch wenn diese weit entfernt gespeichert sind.
Geringe Verzögerungen und besserer Zugriff können die Produktivität und die Leistungsfähigkeit
steigern und den Kenntnisstand aller Mitarbeiter verbessern. Dadurch lassen sich wiederum
Wettbewerbsvorteile schaffen. Der Anwender kann auch von außerhalb praktisch ohne
Verzögerung auf Informationen im Netz zugreifen. Ein Anwender nutzt die verfügbaren
Ressourcen vielleicht öfter und lieber, wenn der Zugriff in hoher Güte und ohne nennenswerte
Verzögerung erfolgt. Es ist davon auszugehen, dass er es als nützlich empfindet und seltener
frustriert ist.
Außerdem lässt der 10-Gigabit Ethernet Standard den Zugriff im Unternehmensnetzwerk über
Singlemode-Glasfaser bis 40 km Entfernung zu (zum Vergleich: mit Gigabit Ethernet waren
maximal 5 km Entfernung möglich). Beispielsweise ist ein Universitätscampus in der Regel nicht
unbedingt eine Ansammlung von Gebäuden auf dem gleichen Gelände, sondern kann sich über
eine ganze Stadt verteilen oder sogar bis in die Nachbarstadt reichen. Wenn im Backbone 10Gigabit Ethernet implementiert wird, können verteilte Rechnertechnologien eingesetzt werden,
19
um den reibungslosen Betrieb der Universität zu vereinfachen. Beispielsweise wird der Einsatz
von Rechenzentren und Storage Area Networks (SAN) einfacher, weil man auf die gespeicherten
Daten bzw. Anwendungen mit erheblich geringerer Verzögerung zugreifen kann. Auch SANAnwendungen wie Not- oder Backup-Dienste lassen sich effektiver nutzen, weil man erheblich
weniger Zeit braucht, um Daten zu sichern oder einzuspielen.
10-Gigabit Ethernet bietet jedem Unternehmen neue Möglichkeiten der Ressourcenverteilung je
nach den speziellen Bedürfnissen und Gegebenheiten. Gleichzeitig bleibt die ursprüngliche
Verknüpfungsfunktion für Menschen, Daten und Rechner erhalten.
3.2.3.2
Bandbreitenintensive Anwendungen
Der Bedarf an höheren Bandbreiten wird auch durch die Zunahme bandbreitenintensiver
Anwendungen geschürt. Nicht alle Organisationen verwenden Programme, die Hochgeschwindigkeitsverbindungen über Fast Ethernet hinaus benötigen. Viele Organisationen
können jedoch von höheren Übertragungsgeschwindigkeiten profitieren. Forschungsinstitute
oder Krankenhäuser beispielsweise nutzen verstärkt Anwendungen, die sehr hohe Bandbreiten
benötigen. Echtzeitmodelle oder Simulationen wissenschaftlicher Anwendungen sind Beispiele
solcher Programme, die schon allein aufgrund der Datenmengen und der Anzahl benötigter
Rechenoperationen so bandbreitenintensiv sind.
Auch Krankenhäuser können zusätzliche Bandbreite für Anwendungen wie zum Beispiel
„Medical Imaging“ nutzen. Damit Forschung oder Diagnose erleichtert werden können, müssen
solche Bilder in der erforderlichen Qualität betrachtet und in Echtzeit ausgetauscht werden
können. Deshalb darf die Bandbreite praktisch überhaupt nicht mehr eingeschränkt werden.
Häufig stößt eine Organisation aufgrund solcher Anwendungen an die Grenzen ihres Netzwerks,
selbst wenn Gigabit Ethernet Links eingebunden sind. Für die Übertragung riesiger
Datenmengen in hoher Qualität braucht man Bandbreite, denn nur so lassen sich die Daten ohne
nennenswerte Verzögerung zur Verfügung stellen. Gerade hier bietet 10-Gigabit Ethernet mit der
zehnfachen Kapazität Abhilfe. Forschungseinrichtungen und Krankenhäuser profitieren von
solchen Verbindungen. Das 10-Gigabit Ethernet erleichtert den Einsatz der oben beschriebenen
bandbreitenintensiver Forschungsprogramme oder bildgebender Verfahren, und es stellt weitere
Funktionen bereit. So kann das 10-Gigabit Ethernet beispielsweise zur Datensicherung der
riesigen
Mengen
von
Forschungsergebnissen
genutzt
werden.
Ohne
die
Übertragungsgeschwindigkeit des 10-Gigabit Ethernet wäre dies mit der aktuellen Technik
schwerlich machbar.
3.2.3.3
Höhere Verarbeitungsgeschwindigkeit am Arbeitsplatz
Manche Unternehmen nutzen zwar bandbreitenintensive Anwendungen, benötigen aber nicht
die riesigen Bandbreiten, die eine Forschungseinrichtung oder ein Krankenhaus braucht.
Verschiedene Anwendungen sollen den Kenntnisstand von Mitarbeitern, Partnern und Kunden
verbessern helfen. Konferenzschaltungen für Sprach- oder Bildübertragung sollen die
gemeinsame Arbeit an Projekten unabhängig vom Standort erleichtern. Viele Unternehmen
stellen ihren Partnern und Kunden E-Commerce-Funktionen zur Verfügung. MultimediaAnwendungen erwecken Produkte, Lösungen und Projekte zum Leben und helfen Mitarbeitern,
20
Partnern und Kunden dabei, sich ein Bild zu machen. Interaktive gemeinsame Schulungen oder
die virtuelle Zusammenarbeit vermitteln Mitarbeitern neue Kenntnisse und Erfahrungen, steigern
ihre Produktivität und stellen für Partner oder Kunden Informationen bereit.
Damit diese und andere Anwendungen wie gewünscht implementiert werden können, muss die
Organisation dem Anwender den leistungsstarken und möglichst verzögerungsfreien Zugriff
ermöglichen. Anwendungen wie Multimedia-Präsentationen, Online-Schulungen oder die
virtuelle Zusammenarbeit haben einen höheren Bandbreitenbedarf, weil erheblich mehr Daten
übermittelt werden müssen als beispielsweise in einer E-Mail. Diese Anwendungen benötigen
mehr Bandbreite als früher, aber nicht unbedingt die riesigen Bandbreiten, die beispielsweise ein
Forschungsinstitut benötigt.
Um die virtuelle Zusammenarbeit über Streaming-Video und Sprachübertragung zwischen
Mitarbeiten auf der ganzen Welt zu ermöglichen, muss die erforderliche Bandbreite am
Arbeitsplatz bereitgestellt werden, damit die elektronische Zusammenarbeit auch den
gewünschten Nutzen bringt. Ohne Bandbreite am Arbeitsplatz kann eine solche Zusammenarbeit unproduktiv sein. Funktioniert das Streaming nicht reibungslos, werden die benötigten
Informationen eventuell nicht bereitgestellt. Entstehende große Zeitverzögerungen führen dazu,
dass der Anwender entnervt aufgibt.
Außerdem neigen Unternehmen dazu, für das aufgewendete Geld die größtmögliche Bandbreite
zu erwerben, auch wenn die Kapazität nicht unmittelbar gebraucht wird. Die Preise für Gigabit
Ethernet Ports werden rasch sinken, so dass immer mehr Arbeitsplätze über die notwendigen
Bandbreiten verfügen werden. Die oben genannten Zahlen von Dell`Oro bestätigen dies
eindrucksvoll.
Unternehmen werden wachsen, sie werden am Arbeitsplatz mehr Bandbreite zur Verfügung
stellen, und immer mehr Anwender werden die Netzwerk-Ressourcen zur Zusammenarbeit
nutzen. Dadurch ergibt sich ein steigender Bandbreitenbedarf im Netzwerk-Backbone. Gartner
Dataquest geht davon aus, dass der Datenverkehr im Unternehmensnetz weiterhin um ca. 3060 % pro Jahr wachsen wird. Neue Anwendungen wie IP-Telefonieren, Audio- oder VideoKonferenzen in Echtzeit und die virtuelle Zusammenarbeit über Multimedia-Anwendungen setzen
sich immer mehr durch. Ohne entsprechende Steigerung der Backbone-Kapazität kann sich im
Netzwerk-Backbone schnell ein Datenstau bilden.
Denn genau dann ist die hohe Bandbreite am Arbeitsplatz gar nicht mehr so nützlich, denn die
Übertragungsgeschwindigkeiten hängen nicht nur vom Arbeitsplatz, sondern auch vom
Netzwerk-Core ab. Wird auch für den Netzwerk-Backbone 10-Gigabit Ethernet eingesetzt,
können Leitungen gebündelt werden, so dass über den Netzwerk-Backbone ohne Verzögerung
oder Datenverlust auch mehrere Übertragungen von 10/100/1000-Ethernet-Daten parallel laufen
können. Diese geringere Verzögerung und höhere LAN-Leistung bietet dem Anwender
verbesserten Zugriff auf Informationen und Anwendungen, so dass die gesamten NetzwerkRessourcen produktiver genutzt werden können.
21
3.2.3.4
Enterasys’ Strategie für 10-Gigabit Ethernet
Enterasys ist führendes Mitglied der 10-Gigabit Ethernet Alliance (10GEA). Die Entwicklungen im
Bereich 10-Gigabit Ethernet Technologie fasst Enterasys im Rahmen der so genannten UTOPIAStrategie zusammen. UTOPIA steht für „Unlocking the Optical Internet Application“ und nutzt die
derzeitigen Entwicklungen in der Lichtwellenleitertechnik, um Unternehmensnetze (LANs) zu
MANs und WANs zu erweitern.
In der Vergangenheit hat man verstärkt in den Ausbau von Lichtwellenleitertechnik investiert.
Solche Netzwerke dienten in den letzten zehn Jahren vor allem der Sprachübertragung. Heute
werden sie angesichts des Bandbreitenbedarfs auch für die Datenübermittlung genutzt. Die
Aufrüstung stellt für den Datenverkehr mehr Bandbreite zur Verfügung. Das so genannte
optische Internet steckt jedoch noch in den Kinderschuhen. Die Menge und Qualität der über
optische Netze verschickten Daten sind nach wie vor begrenzt.
Man kann aber davon ausgehen, dass mit in den optischen Netzen die Bandbreite fast
unbegrenzt ist. Daher muss also die Schnittstelle zwischen dem LAN und dem optischen
Internet so verbessert werden, dass Unternehmen die zusätzliche Bandbreite nutzen können.
Außerdem müssen die Möglichkeiten der verteilten Bereitstellung und Speicherung von Inhalten
besser genutzt werden.
Im Rahmen dieser Vision hat Enterasys mehrere Produkte entwickelt, die sich für 10-Gigabit
Ethernet skalieren lassen, darunter den Matrix E1 Optical Access Switch, den Matrix E7
Multilayer Switch und den X-Pedition ER16 Switch Router. Das Backplane-Design dieser
Produkte ist so ausgelegt, dass die Aufrüstung auf Technologien wie beispielsweise 10-Gigabit
Ethernet bereits vorgesehen ist. Man kann also stets durch den Anschluss neuer Module auf die
neueste Technik aufrüsten. Der Einsatz von 10-Gigabit Ethernet Modulen macht diese Produkte
zu echten Core-Routern mit 10-Gigabit Ethernet Geschwindigkeiten. Dabei werden Merkmale
wie QoS zur Datenpriorisierung, granulare Bandbreiten-Kontrolle oder modernste
Sicherheitsfunktionen erst möglich. In Abbildung 5 ist der grundsätzliche Aufbau eines 10Gigabit Ethernet Netzwerkes dargestellt.
22
Abbildung 5: Campus Design
Heute sieht man die Funktion eines Unternehmensnetzwerks anders als früher, und auch die
Ziele eines Unternehmens werden durch völlig neue Netzwerk-Methoden und Technologien
erreicht. Organisationen und Ressourcen sind oft sehr weit verstreut. Menschen, Informationen
und Rechnerleistung sind häufig verteilt, und Ressourcen werden über ein Netzwerk miteinander
verknüpft. Streaming Video, Voice over IP, E-Commerce, virtuelle Schulungen und andere
Computeranwendungen sind neue Werkzeuge um die Zielsetzungen des Unternehmens zu
erreichen. Organisationen und ihre Netzwerke gehen zu verteilten Rechnermodellen über.
Netzwerke müssen immer mehr Informationen und bandbreitenintensive Anwendungen
transportieren. Daher benötigen Unternehmen Netze, mit denen auch neue Formen der
Inhaltssuche und neue Wege der Informationsbereitstellung möglich sind. Die Entwicklung von
10-Gigabit Ethernet Lösungen ist wesentlicher Bestandteil eines solchen Netzwerks, um einer
größerer Zahl von Anwender den Zugriff auf Informationen zu ermöglichen. Im Rahmen der
UTOPIA-Strategie bietet Enterasys 10-Gigabit Ethernet Produkte an, die den aktuellen
Anforderungen optimal entsprechen und bietet damit Unternehmenskunden eine skalierbare
Lösung.
23
Im nächsten Kapitel verlassen wir das Thema Übertragungsgeschwindigkeit und wenden uns an
einzelen Parametern innerhalb der Ethernet-Technologie.
3.3
AUTO NEGOTIATION
Der Einsatz von zwei unterschiedlichen Geschwindigkeitsstufen wirft die Frage nach der
Kompatibilität auf. Auf Grund der ähnlichen Vorgaben lassen sich Baugruppen entwerfen, die in
der Lage sind, wahlweise mit 10 oder mit 100 MBit/s zu kommunizieren. Wünschenswert ist
dabei auch, dass automatisch die größtmögliche Geschwindigkeit genutzt wird. Zu diesem
Zweck wurde im Rahmen des Fast-Ethernet-Standards das so genannte Auto-NegotiationProtocol (ANP) festgelegt, das auf dem von National Semiconductor entwickelten Nway Protokoll basiert. ANP bezieht sich auf Verbindungssegmente zwischen zwei
Kommunikationsteilnehmern. Es wird unmittelbar bei der Initialisierung der Verbindung
aufgerufen und verwendet ein dediziertes Signalsystem. Dieses basiert auf den Normal Link
Pulses (NLP), die 10Base-T zur Kontrolle der Verbindung regelmäßig versendet.
ANP sendet Signalfolgen mit 33 Fast Link Pulses (FLP), deren Timing genau den NLPs entspricht.
Damit können 10Base-T-Stationen ohne ANP umgehen, denn sie erkennen diese Signale als
NLP. Unterstützt eine Station aber das ANP, so kann es aus den 16 geradzahligen FPLs das 16
Bit Link Code Word auswerten, das Informationen über die unterstützten Geschwindigkeiten und
Modi enthält. Anhand einer Prioritätenfolge werden dann Geschwindigkeit und Modus
ausgewählt.
Auto-Negotiation Datenwort
Bedeutung
0-4
Bei Ethernet immer 10000. Damit kann der Standard auch auf
andere Übertragungssysteme erweitert werden.
5
unterstützt 10Base-T
6
unterstützt 10Base-T Full Duplex
7
unterstützt 100Base-TX
8
unterstützt 100Base-TX Full Duplex
9
unterstützt 100Base-T4
10
unterstützt Datenflusskontrolle
11
reserviert
12
reserviert
13
Fehlerindikator
14
ACK - Quittierung eines ANP-Datenpakets
15
NP (Next Page). Es folgen weitere
herstellerspezifischen Informationen
24
Datenpakete
mit
Tabelle 8: Autonegotiation Datenwort
3.3.1
EINSCHRÄNKUNGEN BEI AUTO-NEGOTIATION
Bei 10 und 100 MBit/s ist Auto-Negotiation optional, bei 100Base ist es nur für Twisted-Pair
gültig. Auf Grund verschiedener Wellenlängen ist bei den optischen Links ohnehin keine
Interoperabilität möglich. Für Gigabit-Ethernet ist ANP verpflichtend vorgeschrieben.
Wenn ein Gerät nicht auf die FLPs antwortet, greift die so genannte Parallel Detection, die den
Übertragungsstandard anhand der Signalform und der Kodierung erkennt. Dabei wird allerdings
standardmäßig der Halbduplexbetrieb ausgewählt. Dies führt dann zu Problemen, wenn das
andere Gerät manuell auf Vollduplexbetrieb eingestellt wurde.
ANP bietet die Möglichkeit, zusätzliche Informationen auf weiteren Seiten (Next Page) zu
übermitteln. Auf diese Weise können auch die Gigabit-Standards in das ANP einbezogen werden.
Problematisch erscheint allerdings, dass diese Möglichkeit von einigen Herstellern dazu genutzt
wird, herstellerspezifische Informationen zu übertragen. Aus diesem Grund vertragen sich
verschiedene Herstellerpaarungen bei der Abwicklung des ANP nicht. In diesen Fällen muss
dann meist manuell konfiguriert werden.
3.3.2
WAS BEDEUTET „AUTO NEGOTIATION“ – BEGRIFFSABGRENZUNG
Auto Negotiation ist ein aktiver Prozess, der von beiden beteiligten Geräten unterstützt und beim
Aufbau der physikalischen Verbindung ausgeführt werden muss, damit eine definierte
Verbindung zustande kommt. „Definierte Verbindung“ bedeutet in diesem Zusammenhang, dass
die zu verwendende Geschwindigkeit und der Duplex-Modus von beiden beteiligten Geräten mit
eindeutigem Ergebnis ausgehandelt (engl. negotiation = Verhandlung) wird.
Wichtig: Dies setzt eine Punkt-zu-Punkt–Verbindung voraus, funktioniert also nur in Switched
Ethernet–Umgebungen!
3.3.2.1
Abgrenzung des Begriffs „Auto Negotiation“ von Auto-Sense / Auto-Sensing
und Auto-Detect / Auto-Detection
Beide Begriffe sind nicht im IEEE 802.3 Standard definiert. Generell soll mit diesen Ausdrücken
dargestellt werden, dass die jeweilige Komponente die Fähigkeit besitzt, sich an einen oder
mehrere Parameter der Umgebung, in der sie eingesetzt wird, selbsttätig, also ohne
Benutzereingriff, anzupassen. Die Begriffe sind austauschbar und können weder bestimmten
Funktionen, noch Herstellern, noch Komponententypen eindeutig zugeordnet werden.
Auto-Sensing oder Auto-Detect beschreibt meist das selbsttätige Erkennen eines benutzten
Anschlusses: Es handelt sich hierbei in erster Linie um Netzwerkkarten, die (meist) nur mit einer
einzigen Geschwindigkeit arbeiten (z.B. 10 MBit/s), die aber nicht nur einen, sondern zwei oder
mehr physikalische Anschlüsse besitzen, z.B. RJ-45 und/oder BNC und/oder AUI AutoSensing/- Detection bedeutet in diesem Zusammenhang, dass der jeweils verwendete
Anschluss nicht über Steckbrücken (Jumper), DIP-Schalter oder ein Konfigurationsprogramm
festgelegt wird, sondern dass die Karte selbsttätig erkennt, welcher der physikalischen
Anschlüsse ein Signal erhält – einfacher gesagt, an welchem Port das Kabel angesteckt ist. Dies
ist ein passiver (einseitiger) Vorgang, und er funktioniert unabhängig davon, ob die Karte an ein
25
Shared Medium (Hub oder BNC-Busverkabelung) oder an einen Switch angeschlossen wird.
Dieser Mechanismus ist nicht auf Ethernet beschränkt; auch bei TokenRing -Karten, die z.B. RJ45 und AUI-Anschluß besitzen, kann er implementiert sein.
Autonegotiation bezeichnet die selbsttätige Erkennung und Anpassung an die von der
Gegenseite vorgegebene Geschwindigkeit (und nur die!). Das Verfahren, soweit es sich um
Ethernet-Komponenten handelt, ist immer Halbduplex. Auch dies ist ein einseitiger, passiver
Vorgang.
In diesem Zusammenhang besagt Auto-Detect/Auto-Sensing also lediglich, dass das jeweilige
Gerät in der Lage ist, mit unterschiedlichen Geschwindigkeiten zu arbeiten. Im Ethernet-Bereich
(Achtung: nur Shared Medium!) können dies 10/100 MBit Netzwerkkarten oder 10/100 MBit
Dual-Speed Hubs sein. Im TokenRing-Umfeld können dies Netzwerkkarten und aktive
Komponenten sein, die sowohl mit 4 als auch 16 MBit/s arbeiten. Gelegentlich verbirgt sich
sogar normgerechte Auto Negotiation nach IEEE 802.3 dahinter!
3.3.2.2
Fazit
Für eine reibungslose Zusammenarbeit, besonders wenn Produkte verschiedener Hersteller zum
Einsatz kommen, ist also unbedingt auf die dokumentierte Konformität zum Standard (IEEE
802.3 Compliance) zu achten.
3.3.3
WARUM FUNKTIONIERT AUTO NEGOTIATION – DEFINITIONEN & STANDARDS
Die Vorstellung der Nway Auto-Negotiation durch National Semiconductor erfolgte 1994 und
führte zur Festlegung im Fast-Ethernet-Standard (IEEE 802.3u). Hier wurde die Einführung des
Reconciliation Layer auf dem Physical Layer definiert (Stichwort: Fast Link Pulse).
Die Sicherung der Abwärtskompatibilität zu Geräten, auf denen Auto Negotiation nicht
implementiert (oder abgeschaltet) ist, wird durch die Parallel-Detection-Funktion gewährleistet:
Die zeitliche Abfolge der FLP-Sequenzen eines Auto-Negotiation-fähigen Geräts ermöglicht einer
reinen 10BaseT-Gegenstelle, diese als Link Integrity Pulses zu erkennen und eine Verbindung
mit 10 MBit/s korrekt aufzubauen.
Handelt es sich beim Kommunikationspartner dagegen um ein 100BaseT-Gerät ohne AutoNegotiation-Unterstützung, werden die von ihm nach dem Start und in Zeiten ohne
Datenübertragung ausgesandten Idle-Signale von der Autoneg-fähigen Komponente als solche
erkannt und die Verbindungsgeschwindigkeit auf 100 MBit/s eingestellt. Die AutonegKomponente sendet in diesem Fall keine FLPs mehr aus, sondern ebenfalls Idle-Signale.
Achtung: Im Fast Ethernet- Bereich ist Auto Negotiation ist nur für diejenigen Varianten definiert,
die auf Basis von Twisted Pair Kabel arbeiten, also 10BaseT, 100BaseTx, und 100BaseT4, aber
nicht für den Einsatz auf Lichtwellenleiter (100BaseFX).
Gigabit-Ethernet über Glasfaser (1000Base SX und 1000BaseLX) ist ein Sonderfall:
Hierfür gibt es einen IEEE-Standard zur Auto Negotiation über ein ähnliches Verfahren, mit dem
allerdings nur der verwendete Duplex-Modus und das Flow-Control–Verfahren ausgehandelt
werden, aber NICHT die Geschwindigkeit.
26
Für die manuelle Konfiguration von Geräten, die die Auto-Negotiation–Funktion Typ 1000BaseX
unterstützen, schlägt der Standard eine besondere Handhabung vor. Danach soll bei
Festeinstellungen die Auto Negotiation nicht deaktiviert werden, sondern das Autoneg-Signal
soll nur noch die gewünschten Verbindungsparameter als „Advertised Abilities“ übertragen.
Hierzu ein Zitat aus dem 802.3–Standardtext:
„ 37.1.4.4 User Configuration with Auto-Negotiation
Rather than disabling Auto-Negotiation, the following behavior is suggested in order to improve
interoperability with other Auto-Negotiation devices. When a device is configured for one
specific mode of operation (e.g.1000BASE-X Full Duplex), it is recommended to continue using
Auto-Negotiation but only advertise the specifically selected ability or abilities. This can be done
by the Management agent only setting the bits in the advertisement registers that correspond to
the selected abilities.”
Davon wird im Kapitel Sonderfälle nochmals die Rede sein.
Auto Negotiation ist nur definiert für Komponenten, die 10/100 MBit/s oder 10/100/1000 MBit/s
– fähig sind1.
Ein Fast Link Pulse Burst besteht aus insgesamt 33 Pulsen.
FLP, Fast Link Pulse burst: Botschafter des Auto Negotiation – Prozesses; Der Aufbau, die Funktionen werden
durch ein Zitat aus dem Standard erläutert:
„The basic mechanism to achieve Auto-Negotiation is to pass information encapsulated within a burst of closely
spaced link integrity test pulses that individually meet the 10BASE-T Transmitter Waveform for Link Test Pulse. This
burst of pulses is referred to as a Fast Link Pulse (FLP) Burst. Each device capable of Auto-Negotiation issues FLP
Bursts at power up, on command from Management, or due to user interaction. The FLP Burst consists of a series of
link integrity test pulses that form an alternating clock/data sequence. Extraction of the data bits from the FLP Burst
yields a Link Code Word that identifies the operational modes supported by the remote device, as well as some
information used for the Auto-Negotiation function’s handshake mechanism.
To maintain interoperability with existing 10BASE-T devices, the function also supports the reception of 10BASE-T
compliant link integrity test pulses. 10BASE-T link pulse activity is referred to as the Normal Link Pulse (NLP)
sequence and is defined in 14.2.1.1. A device that fails to respond to the FLP Burst sequence by returning only the
NLP sequence is treated as a 10BASE-T compatible device.“
1
27
Abbildung 6: Basisverschlüsselung
Beginnend mit einem Clock Pulse werden im Wechsel mit insgesamt 17 Clock Pulses 16 Data
Pulses gesendet. Die 16 Datenpulse bilden zusammen das Base Link Code Word oder auch
Base Page. Den Aufbau dieser base page zeigt die Abbildung 6
3.3.4
WAS PASSIERT BEIM AUTO NEGOTIATION – PROZESS
Das beiderseitige wiederholte Aussenden von FLPs (Fast Link Puls bursts; kompatibel zu den
NLPs, den Normal Link Pulses des Standard 10 MBit/s Ethernets) leitet den Prozeß ein. Der
Auswertung der empfangenen FLPs folgt die Bestätigung der von der Gegenstelle signalisierten
Parameter (Geschwindigkeit und Duplex-Modus). Der Verbindungsaufbau wird auf der höchsten,
beiderseits realiserbaren Ebene etabliert, deren Prioritäten im Standard vorgegen sind
(Auflistung von der höchsten zur niedrigsten):
1
2
3
4
5
6
7
8
9
1000BASE-T full duplex
1000BASE-T
100BASE-T2 full duplex
100BASE-TX full duplex
100BASE-T2
100BASE-T4
100BASE-TX
10BASE-T full duplex
10BASE-T
3.3.5
WAS IST BEI DER EINSTELLUNG VON NETZWERKKOMPONENTEN ZU BEACHTEN
An dieser Stelle werden einige Betrachtungen zum realen Einsatz von Autonegotiation angestellt.
3.3.5.1
Hardware- und Softwarevoraussetzungen:
Soll die Funktion Auto Negotiation in einem Netzwerk genutzt werden, müssen alle beteiligten
Komponenten, sowie deren zugehörige Treiber, Firmware, Betriebssystemanpassung usw. diese
Funktion nach Standard unterstützen.
28
Zu beachten ist hier die mögliche Vielfalt der Komponenten: Switches, Router, Netzwerkkarten
(gesteckt oder on board) in Servern und Arbeitsplatzrechnern, interne oder externe Printserver.
3.3.5.2
Konzeptionelle Voraussetzungen
Um die einwandfreie Funktion von Auto Negotiation zu gewährleisten, müssen die Einstellungen
auf beiden Seiten der jeweiligen Verbindung identisch sein. Die meisten Fehler und
Performanceverluste entstehen durch folgendes weit verbreitetes Missverständnis:
Auto Negotiation wird verstanden als einseitige passive “Anpassung” einer Komponente an die
Vorgaben der Gegenseite, egal wie diese eingestellt ist.
Dabei gibt es zwei Denkansätze; der erste konzentriert sich mehr auf die Verwaltung der
Netzwerkseite:
•
•
zur vermeintlichen Arbeitserleichterung wird die „bekannte/kontrollierbare” Seite der
Verbindung fest eingestellt (in der Regel sind dies Switch-Ports)
die unbekannten/ verschiedenen/ wechselnden „Enden” (z.B. Netzwerkkarten von
PCs, Druckern) werden auf Auto Negotiation belassen, „damit sie sich selbst
anpassen können”.
Ebenfalls verbreitet ist der umgekehrte Gedankengang, der mehr die Verwaltung der Endgeräte
fokussiert:
•
•
Endgeräte werden fest eingestellt, teils deswegen, weil dies vom jeweiligen EndgeräteHersteller für bestimmte Produkte so empfohlen bzw. vorgeschrieben wird, teils auch,
weil sie leichter zugänglich sind.
Switch-Ports bleiben auf Auto Negotiation („dann muß man nicht dauernd ins
Rechenzentrum”).
Was passiert nun bei diesen Mischeinstellungen?
•
Die Komponente mit aktiver Auto Negotiation erhält keine Antwort auf die von ihr ausgesandten FLPs. Die Komponente erkennt (meist) anhand der Taktung der
elektrischen Signale die Geschwindigkeit der Gegenstelle, aber, wegen der fehlenden
Informationen aus den FLPs, nicht den Duplex-Modus.
•
Um konform zum Ethernet-Standard (shared Medium!) zu bleiben und Kollisionen zu
vermeiden, wird die Komponente mit aktiver Auto Negotiation ausschließlich im
Halbduplex Modus kommunizieren.
„Worst Case“
Gerät A ist fest auf 100 MBit/s, Vollduplex eingestellt
Gerät B ist auf Auto Negotiation eingestellt
Ergebnis:
Die Auto Negotiation stellt Gerät B auf 100 MBit/s Halbduplex ein und erwartet ab sofort, dass
„Ruhe auf der Empfangsleitung“ herrscht, während sie sendet. Jedes während des
Sendebetriebes auf der Empfangsleitung eintreffende Signal wird als Kollision bewertet.
29
Da aber das fest auf Vollduplex eingestellte Gerät A gleichzeitig sendet und empfängt (und kein
Kollisionsverhalten kennt), wird die Gegenseite regelmäßig wegen „zu vieler Kollisionen“ die
Kommunikation unterbrechen.
Effekt:
Der Datendurchsatz wird nicht nur wesentlich schlechter als bei Vollduplex, sondern
wahrscheinlich sogar noch geringer als bei einer beiderseits korrekt eingestellter HalbduplexVerbindung ausfallen.
3.3.5.3
Sonderfälle der Festeinstellung
Manche Hersteller implementieren bei Fast-Ethernet-Geräten (z.B. bei manchen Netzwerkkarten
des Herstellers HP) die „Festeeinstellung“ von Geschwindigkeit und Duplex-Modus in
besonderer Weise. Hierbei wird die Auto Negotiation nicht abgeschaltet, sondern die in den
FLPs als „Advertised Abilities“ übermittelten Möglichkeiten werden auf eine einzige
Geschwindigkeit und einen einzigen Duplex-Modus reduziert.
Ergebnis:
Trifft eine solche Komponente im „Festeinstellungs-Modus“ auf eine Gegenstelle, die
„offiziell“ Auto Negotiation aktiv hat, werden beide Seiten eine Verbindung aufbauen, die
tatsächlich den gewünschten Parametern hinsichtlich Geschwindigkeit und Duplex-Modus
entspricht,
•
denn beide Seiten senden und empfangen FLPs
•
der Auto-Negotiation–Prozess (tatsächlich auf beiden Seiten aktiv) kann erfolgreich
eine Verbindung mit definiertem Status aufbauen
Zu beachten:
Da diese Implementierung selbst beim selben Hersteller von Baureihe zu Baureihe nicht
vorausgesetzt werden kann, ist das Verhalten der jeweiligen Komponente immer im Einzelfall zu
prüfen!
3.3.6
KONTROLLE UND DIAGNOSE
Einstellungs- oder Funktionsfehler der Auto Negotiation können mit herkömmlichen
Protokollanalyse-Tools (Sniffer, NetXray, etc.) nicht festgestellt werden! Die Signale des Auto
Negotiation–Prozesses dürfen laut Standard nicht in die höheren Schichten gelangen:
„Devices that support multiple modes of operation may advertise this fact using this function.
The actual transfer of information of ability is observable only at the MDI or on the medium.
Auto-Negotiation signaling does not occur across either the AUI or MII.“
Man benötigt also Hilfsmittel, die Informationen aus dem Physical Layer auswerten können.
30
MDI = MEDIUM DEPENDENT INTERFACE
MI = MEDIA INDEIPENDENT INTERFACE
AUTONEG = AUTO-NEGOTIATION
PCS = PHYSICAL CODING SUBLAYER
PMA = PHYSICAL MEDIUM ATTACHMENT
PHY = PHYSICAL LAYER DEVICE
PMD = PHYSICAL MEDIUM DEPENDENT
*
MII is optional fpr 10 Mb/s DTEs and for 100 Mb/s systems and is not specified for 1 Mb/s systems
** PMD is specified for 100BASE-X only: 100BASE-T4 does not use this layer
*** AUTONEG communicates with the PMA sublayer through the PMA service interface messages PMA_LINK request and
PMA_LINK indicate.
Location of Auto-Negotiation function within the ISO/IEC OSI reference model
Abbildung 7: Einbindung von Autonegotiation
Abbildung 8: Beispiel Autoneg Konfiguration
Eines der dazu geeigneten Werkzeuge wäre z.B. das „NetTool Inline ®“ des Herstellers FLUKE.
Es wird in die Verbindung zweier Geräte eingeschleift. Die Beobachtung der Parameter „Advrtsd
/ Actual Speed“ bzw. „Advrtsd / Actual Duplex“ erlaubt Rückschlüsse auf die Einstellungen der
Endpunkte und das korrekte (oder fehlerhafte) Zustandekommen der Verbindung. Ein
31
mitgeliefertes Hilfsprogramm ermöglicht das Abspeichern der Bildschirmanzeige des Gerätes
auf einen PC.
Beispiele:
Auch der Netsight Element Manager von Enterasys Networks liefert gute Hinweise darauf, ob
Auto Negotiation aktiv ist oder ob um es sich um eine „echte“ Festeinstellung handelt. Nachdem
die Komponente erkannt und in die Datenbank eingebunden wurde, öffnet man die
Geräteansicht, wählt den betreffenden Port aus und öffnet darauf die Ansicht „Ethernet
Configuration“.
Abbildung 9: Autonegdarstellung in Netsight Atlas
3.3.7
LITERATUR ZU AUTO NEGOTIATION
[1] Part 3: Carrier sense multiple access with collision detection (CSMA/CD) access method and
physical layer specifications, IEEE Std. 802.3, 2000 Edition; http://www.IEEE.org
[2] Geschwindigkeitskontrolle (Die Auto Negotiation bei Fast Ethernet), Jörg Rech in c’t 4/99
32
3.4
SWITCHINGTECHNOLOGIE
Klassische Hub-Systeme wurden zum Bottleneck in den Netzen, nur eine Station konnte zu
einem Zeitpunkt senden.
Bei einem Hub mit 10Mbit/s und 128 Ports (typischer Abteilungshub) reduziert sich theoretisch
die zur Verfügung stehende Bandbreite pro Port auf: 10 Mbit/s dividiert durch 128 = 78 kbit/s!
Switches können die Netzperformance deutlich erhöhen. Je nach Technologie haben SwitchingSysteme eine Backplane (Systembus zur Verbindung der Einzelmodule) mit einer wesentlich
höheren Bandbreite, außerdem können mehrere Stationen gleichzeitig senden.
Switches sind im Prinzip Multiport-Bridges, die die Pakete hardwarebasierend und nicht per
Software wie Bridges vermitteln.
Man unterscheidet Layer-2-, Layer-3- und Layer-4-Switches (selten Layer-7-Switch).
Ein Layer-2-Switch arbeitet auf der Basis der MAC-Standards, die MAC-Frames werden
interpretiert und die Transportentscheidung anhand der MAC-Informationen getroffen. Je Port
steht einmal die volle LAN-Kapazität zur Verfügung. Wird ein Segment angebunden, so teilt sich
die Port-Kapazität für Pakete, die an einen anderen Port weitergeleitet werden müssen, auf alle
angebundenen Stationen auf. Stationen in diesem Segment kommunizieren direkt miteinander.
Das zugrunde liegende Prinzip des „Switching“ entspricht der herkömmlichen Vermittlung
analoger Telefonate.
Jeder Eingang ist zeitgleich auf einen beliebigen Ausgang schaltbar, die Kopplung wird für
begrenzte Zeit „durchgeschaltet“. Wie bei einem Telefongespräch wird nach Feststellung der
MAC-Adressen (Telefonnummer) ein Sender-Empfänger-Adresspaar für die Dauer einer
Kommunikationsverbindung zusammengeschaltet und danach wieder getrennt. Bei modernen
LAN-Switches ist die Hardware dabei auf einige weniges ASICs geschrumpft.
Durch die schnelle Verarbeitungstechnik ergibt sich eine sehr kurze Verweildauer der Pakete im
Switch. LAN-Switches lassen sich grob in zwei Klassen unterteilen:
•
•
Cut Trough Switch
Store & Forward Switch
3.4.1
CUT THROUGH SWITCH
Wie der Name schon andeutet, sind Cut Through Switchs (CT) auf eine extrem schnelle
Durchleitung, sprich kurze Latenzzeit, ausgelegt. Sie puffern ein ankommendes Paket bis zum
Empfang der MAC-Zieladresse und leiten es nach Auswertung der Zieladresse gemäß der
Adresstabelle schnellstmöglich an den Ausgangsport weiter, an dem die Station mit der
zugehörigen Adresse liegt. Zur optimalen Unterstützung der CT-Technik haben sich zwei
Architekturen entwickelt, ein Hardware-Matrix-Switch (Cross Bar) und eine Cell Backplane.
Beide Architekturen verwenden zur Implementierung der Switching-Logik ASICs.
Sobald ein Matrix-Switch die Zieladresse decodiert und den entsprechenden Ausgangsport
zugeordnet hat, schaltet er den Eingangsport auf den Ausgangsport durch und leitet das Paket
unmittelbar weiter. Ist der Ausgangsport schon belegt, wird das Paket im Eingangspuffer des
Eingangsport geparkt, sofern noch freier Puffer vorhanden ist. Ist dies nicht der Fall, wird das
Paket verworfen. Die Matrix-Architektur ist sehr gut für Unicast-Verkehr geeignet, kann aber zu
Blockierungen führen. Probleme treten bei dieser Architektur auch mit Broadcast/Multicasts auf.
Da immer nur eine Verbindung zwischen zwei Ports durchgeschaltet wird und kein zentral
33
zugreifbarer Paketpuffer vorhanden ist, muss die Weiterleitung eines Broadcast an alle Ports,
mittels aufeinander folgenden Durchschaltungen des Eingangsports, auf alle anderen Ports
seriell durchgeführt werden. Das Paket wird explizit vervielfältigt und mehrfach durch den Switch
transportiert. Leistungseinbußen können auftreten.
Cell Backplanes erzeugen die Illusion eines Matrix-Switch durch einen Hochkapazitäts Backplane, der die Eingangsports in derselben Zeit abarbeiten kann wie eine Matrixschaltung.
Die Backplane-Kapazität ist so dimensioniert, dass sie erheblich größer ist als die
Summenkapazität aller Switch-Ports. Die Backplane kann im Zeitmultiplexmodus (TDM, Time
Division Multiplexing) arbeiten und vermeidet dadurch eine Blockierung der Eingänge.
Paketpufferung erfolgt hier über den Ausgangspuffer. Die einzelnen Switch-Module sind an den
Zellbus angebunden. Sobald ein Paket ankommt, wird es in Zellen segmentiert, mit einem
Header versehen, der den Ausgangsport angibt, über den Bus an den Ausgangsport oder den
zentralen Paketpuffer weitergeleitet, reassembliert und gepuffert, bis der Ausgangsport frei ist.
Durch die Aufteilung in kleine Zellen fester Größe können Pakete, die an verschiedenen
Eingangsports anliegen, quasi parallel abgearbeitet werden (analog verschiedener Tasks beim
Round Robin). Jeder Eingang schickt im TDM-Verfahren jeweils eine Zelle auf den Bus. Dadurch
kann ein langes Paket den Bus nicht mehr unverhältnismäßig lange blockieren.
3.4.2
STORE & FORWARD SWITCH
Ein Store & Forward Switch (SF) puffert erst das ankommende Paket (analog Bridge), dann
können Fehlererkennung und andere Paketbearbeitungsmechanismen (z.B. Filter) angewandt
werden.
Sie arbeiten aufgrund des Einsatzes von Backplanes mit hoher Kapazität und ASIC-Technik
trotzdem schneller als Multiport-Bridges. Bei Produkten, die die SF-Funktionalität implementiert
haben, wird nicht nur die 6-Byte-Ziel-Adresse gelesen, sondern das ganze Paket wird einer
kompletten Fehlerprüfung unterzogen und erst dann weiter übertragen, wenn es vollständig und
richtig empfangen wurde. SF bietet außerdem den Vorteil, dass keinerlei fehlerhafte Pakete auf
das andere Segment übertragen werden. Diese Lösung ist bei größeren Netzen mit vielen
Knoten und Kommunikationsbeziehungen besser, weil nicht einzelne fehlerhafte Segmente
durch Kollisionen das ganze Netz belasten.
Soll zwischen verschiedenen MAC-Verfahren oder verschiedenen Geschwindigkeiten geswitcht
werden, so geht dies nur über eine SF, da CTs weder eine Paketumformung (Translation) noch
eine Geschwindigkeitsanpassung durchführen können.
3.5
ENTERASYS NETWORKS SWITCHLÖSUNGEN
Ein zentraler Geschäftsvorteil in der heutigen Internet-basierten Wirtschaft ist, Usern jederzeit
und überall unternehmenskritische Inhalte bereitstellen zu können – ob E-Mail, Web Content
oder SAP-, Distance-Learning-, VoIP-Applikationen etc. Dieser Anforderung trägt Enterasys
Networks mit seinen Produkten und Lösungen Rechnung. Daher bieten wir auf unseren HighEnd Switchen eine Vielzahl standartkonformer Lösungen an wie zum Beispiel:
34
IEEE 802.1s Per VLAN Spanning Tree
IEEE 802.1w Rapid Spanning Tree
IEEE 802.1X User Authentifizierung (User
MAC Address Port Locking
Datenpriorisierung bis auf Layer 4
TOS Rewrite
Personalized Network)
Die Switche Matrix E1 WS und GWS ermöglichen hochleistungsfähiges Switching und Routing
zu einem exzellenten Preis-Leistungs-Verhältnis bei der Größe eines Workgroup-Switches.
Die Matrix E1 Workgroup Switches und Gigabit Workgroup Switches bieten umfangreiche Layer2/3/4 Funktionen. Dazu gehören Multilayer Frame Classification und Rate Limiting für die
Bereitstellung von Quality-of-Service für Unternehmensnetzwerke. Darüber hinaus unterstützen
die Produkte Wire Speed IP-Routing sowie redundante Stromversorgungen und dies ohne
Mehrkosten. Durch 16-Port 10/100 Module, 8-Port 100Base-FX Module sowie Gigabit-EthernetModule mit Glasfaser oder Kupfer ist eine einzigartige Skalierbarkeit gewährleistet.
Der Matrix E1 Workgroup Switch (WS) (1H582-51) hat 48 feste 10/100 Ports und drei flexible,
modulare Einschübe für 10/100, 100Base-FX oder Gigabit Ethernet-Module.
Der Matrix E1 Gigabit Workgroup Switch (GWS) (1G582-09) verfügt über sechs feste Gigabit
Ethernet Ports und drei flexible Einschübe für 10/100, 100Base-FX oder Gigabit-EthernetModule.
35
4 Layer 2 Protokolle
4.1
SPANNING TREE
In gebridgten bzw. geswitchten Ethernet-Netzwerken ist wegen des Kommunikationsverhaltens
dafür zu sorgen, dass keine Leitungs- bzw. Daten-Schleifen entstehen. Über diese könnten
ansonsten Datagramme kreisen und somit zum einen die Performance des Netzes herabsetzen
und zu anderen jegliche Kommunikation unmöglich machen, da Ethernet-Pakete
„unzustellbar“ werden.
Um dieses „Paketkreisen“ zu unterbinden, wurde der Spanning Tree IEEE 802.1 D Algorithmus
in Switches implementiert.
A
“A” transmits a frame to “B”
B1’s SAT
1
A
1
B2’s SAT
1
1
2
B
B
2
2
2
A
B
Abbildung 10: Spanning Tree; Frametransfer
Wenn mehrere Wege existieren, sucht Spanning Tree einen eindeutigen Weg und schaltet die
anderen ab. Fällt dieser Weg aus, so wird auf den redundanten Weg zurückgegriffen. Der Name
des Protokolls beruht darauf, dass ein physikalisch existierendes Netz immer logisch so „aufgespannt“ wird, dass sich eine Baumstruktur ergibt, die wiederum „schleifenfrei“ ist.
Als Berechnungsparameter werden Entfernungen, Kapazitäten und so genannte Wege/
Pfadkosten herangezogen:
Der Switch (die Brücke) mit der niedrigsten Bridge ID wird zur „Root Bridge“. Haben zwei
Switches die gleiche Bridge ID wird diejenige zur Root Bridge, die die niedrigste MAC Adresse
hat. Bei allen anderen Switches in der Architektur wird der Port mit den geringsten
„Pfadkosten“ zur Root Bridge als so genannter „Root-Port“ festgelegt. Die Kommunikation, die
zur Ermittlung dieser Parameter erfolgt, wird durch die so genannten BPDUs realisiert; das sind
Datenpakete, die von den Switches/Brücken selbständig in regelmäßigen Abständen versendet
36
werden. Diejenigen Ports, die auf Grund des Algorithmus abgeschaltet werden befinden sich im
„Blocking Mode“. Dieser „geblockte“ Port kann, sobald der als primärer Leitungsweg definierte
Pfad nicht mehr existiert, die Dienste übernehmen. Als „Randbedingung“ einer Umschaltung
(eines Respans) wird das Ausbleiben oben genannter BPDUs herangezogen.
4.2
VIRTUAL LOCAL AREA NETWORKS (VLAN)
Im Kapitel Ethernet ist der Begriff einer Collision und Broadcast Domain erläutert worden. Um
eine Broadcaststeuerung auf einem physikalischen Ethernet (Broadcastcontainer) zuzulassen,
bedarf es logischer Strukturen und Einheiten, den VLANs. Diese eignen sich, um beispielsweise
Arbeitgruppen, die an einem geswitchten LAN angebunden sind, logisch voneinander zu trennen
(Broadcastkanalisierung). Zur Einrichtung von VLANs wird der Ethernetframe um die
Zuordnungs-Information erweitert, dem VLAN-Tag. Zudem wird ein jeder Userport durch
Konfiguration eines Switches im Zugangsbereich einem VLAN zugeordnet. Die zum Backbone
gerichteten Uplink-Ports fassen alle an einem Switch konfigurierten VLANs zusammen und
transportieren über den „VLAN Trunk Port“ alle bekannten VLANs zu benachbarten Switchen, so
dass eine logische „VLAN Backbone Struktur“ entsteht. Durch diesen „Trick“ lassen sich bereits
in der Schicht 2 logische Gruppen bilden, ohne dass es einer entsprechend gearteten IP
Adressstruktur bedarf.
Es gibt verschiedene Parameter, die zu einer VLAN Zuordnung führen können:
•
•
•
Port basierende VLANs (hier wird der Userport fest einem VLAN zugeordnet)
Protokoll Based VLANs (das genutzte Protokoll, beispielsweise IP oder Apple Talk
definiert die VLAN-Zuordnung)
MAC-Based VLANs (die physikalische Adresse definiert das VLAN)
37
Abbildung 11: VLANs, Quelle: www.netzmafia.de
4.3
RAPID SPANNING TREE NACH IEEE 802.1 W
Als Rapid Spanning Tree wird die logische Funktion innerhalb eines Spanning-Tree-Netzes
bezeichnet, die den „Respann“ Fall (den Fehlerfall) durch entsprechende Berechnungen und
Speicherung der Ergebnisse dieser Berechnungen vorbestimmt. Es werden Tabellen innerhalb
der Switche angelegt, die für einen Fehlerfall die Redundanzwege kennen.
(Anm. Red.: Der nachfolgende Text liegt leider noch nicht in Deutsch vor, das Kapitel erschien
aber so wichtig, dass hier das englische Original aufgenommen wurde)
4.3.1
OVERVIEW OF RSTP
RSTP was developed to significantly improve costly re-span time of STP. In a stable topology,
small change in STP network can introduce extended down time due to STP timers being used
to synchronize Port State transitioning. Timers are used in STP to put Ports in Port State of
Forwarding once spanning tree information has been distributed throughout the network in order
38
to avoid loops in a network. For example, when a primary link is pulled in a two-switch network
connected with a primary link and a backup link, the backup link does not restore a physical
connection until Max Age expiry. Furthermore, the backup port does not go into Forwarding Port
State until additional MaxAge + 2*ForwardDelay time elapses. This delay is unnecessary in
transitioning the backup link from Blocking to Forwarding. In RSTP mode, Bridge would
immediately recognize that its old Root Port is down and would use an alternate port as a new
Root Port, transitioning this new Root Port into Forwarding Port State immediately after its old
Root Port has been put into Blocking State. The entire process would happen on hardware level
speed restoring physical connectivity between two Bridges virtually instantaneously. In addition,
a mechanism exists for a two ports connected on a point-to-point link that allows transitioning of
a Designated Port to Port State of Forwarding by exchanging two BPDUs. Faster port
transitioning into Port State of Forwarding means less overall down time since data frames are
transmitted out only through ports that are in Forwarding Port State.
4.3.2
OVERVIEW OF PROTOCOL CHANGES
Rapid Spanning Tree Algorithm and Protocol (RSTP) have been based on Spanning Tree
Algorithm and Protocol (STP). Any Bridged network would result in identical active topology
independent of protocol being used. That is, a network running STP and identical network
running RSTP, would produce same spanning tree. The difference lies in the algorithm used to
achieve this topology. RSTP was developed by making changes to STP in the following areas
(IEEE 802.1w D6, section F.2.1):
4.3.3
PORT ROLE ASSIGNMENTS
Port Roles have been introduced in STP, but their usage has not been utilized in transitioning a
port to Port State of Forwarding. RSTP utilizes Port Roles in order to faster transition ports into
Forwarding State. STP assigns one of the following Port Roles to each Bridge Port: Root Port,
Designated Port, Alternate Port, or Backup Port. There’s an additional Disabled Port role
indicating that a bridge will not participate in Spanning Tree.
Root Port - a port connecting the Bridge to the Root Bridge through another Bridge (port
connecting to upstream Bridges)
Designated Port – a port connecting to downstream Bridges
Alternate Port – a port that potentially could be the Root Port if the Root Port went down (port
connecting the Bridge upstream but has inferior information to Root Port’s information)
Backup Port – a backup port for the path provided by a Designated Port in the downstream
direction. Backup ports exist when there are two or more connections from a given LAN.
Disabled Port – port having no role within the operation of Spanning Tree.
39
Port Role
Port State
Designate
d
Discarding
Root Port
Legend
Learning
Forwardin
g
Discarding
Learning
Alternate
Forwardin
g
Discarding
Learning
Backup
Forwardin
g
Discarding
Learning
Disabled
Forwardin
g
Disabled
Abbildung 12: Port roles example
Port Role assignment is done by Port Roles Selection state machine anytime port’s Message
Age expires or whenever ‘better’ BPDU is received.
4.3.4
RSTP BPDU FORMAT
The BPDU formats used in 802.1D have been designed to easily allow extensions to the protocol.
Since RSTP is a protocol extension to STP by IEEE requirements, RSTP Bridges must be able to
process STP BPDU. Thus, RSTP BPDU will encapsulate everything that STP BPDU contains
with some additions. Changes were made in BPDU in order to incorporate Port Role information
as well as handshake flags necessary to transition Designated Port into Forwarding. The Bridge
Group Address of RSTP BPDU is 01-80-C2-00-00-00, which is identical to the STP Bridge
Group Address. (See appendix XXXXXX for complete layout of RSTP BPDU):
The Protocol Version Identifier will take vale 0x02 to reflect that it’s a RTSP BPDU.
The Flag field will utilize all bits as follows (notice bits 1&8 usage is unchanged):
40
Bit
Interpretation
1
TC flag
2
Propose flag
3
Port Role bit 1
4
Port Role bit 2
5
Learning
6
Forwarding
7
Agree flag
8
TCN flag
Tabelle 9: BPDU Packet Bit Definition
Additional BPDU field added at the end, the Version 1 length will take value 0x00, which
indicates that there is no Version 1 protocol information resent.
4.3.4.1
Changing Port States
The part that a Bridge port plays in the active topology (topology consisted of all Bridges
connected by links that are Forwarding on both ends) is determined by Port State. The Port
State of the Bridge controls the operation of Forwarding and Learning Process. RSTP state
machines guarantee that once re-span is over, all Designated Ports and Root Port will be in Port
State of Forwarding and all Alternate and Backup Ports will be in Port State of Discarding. When
configuration information is being propagated RSTP state machines can select a Port State of
Discarding or Learning for Root Ports or Designated Port. While in Port State of Discarding,
additions are not made to the BAF and data frames are not forwarded. While in Learning Port
State, BAF is updated in the anticipation that current information will be confirmed, however,
data frames are not forwarded. In Port State of Forwarding, additions are made to the BAF and
data frames are transmitted. Figure 2 shows how RSTP’s Port State relates to STP’s Port State.
STP Port State
RSTP Port State
Active Topology (port Role)
Disabled
Discarding
Excluded ( Disabled )
Blocking
Discarding
Excluded
Backup )
Listening
Discarding
Included ( Root, Designated)
Learning
Learning
Forwarding
Forwarding
Tabelle 10: RSTP and STP valid Port States
41
(
Alternate,
As was mentioned before, what allows RSTP Bridges to re-span ‘rapidly’ is their ability to
transition their ports into Port State of Forwarding almost immediately under certain conditions
by utilizing Port Roles. STP Bridges do not have much choice in transitioning their ports. STP
Bridges must follow Forward Delay timer in order to transition ports. RSTP Bridge, in addition to
timer based transitioning, can transition a port into Port State of Forwarding if any of the
following apply (IEEE 802.1w D7, section 17.9):
The Port Role has been Root Port or Designated Port for long enough for spanning tree
information to propagate throughout the topology and no contradictory information has been
received from other Bridges.
The Port is now a Root Port and any Ports on the Bridge that have been Root Ports so recently
that spanning tree information might not have reached all Bridges in the network, or have been
contradicted if necessary, are not and will not be put in a Port State of Forwarding until that time
has elapsed (Root Port transitioning rapidly to Forwarding).
The Port is a Designated Port and attaches to a LAN that has at most one other Bridge attached
(point-to-point connection), and that Bridge’s Port Role assignments are consistent with this
Bridge and their Port States are known not to be Forwarding if they attached to LANs that
connect to Bridges whose Port Roles are not consistent with that Bridge (Designated Port
transitioning rapidly to Forwarding).
The Port is a Designated Bridge and attaches to a LAN that is known to have no other Bridge
Ports attached
Rule a) uses Forward Delay time as basis for port transitioning. It’s the only condition that ports
can transition into Port State of Forwarding in STP. This will be the worst case behavior for
RSTP Bridge, which will happen when it’s connected to STP Bridge. If a Bridge Port is elected
Designate Port, its fdWhile timer, which controls timer based port transitioning, will be set to
Forward Delay time defined by the Root Bridge. The Designated Port will attempt to go into
Forwarding State first by means of handshake. If no ‘go ahead’ is received from opposite port, it
cannot immediately go into Forwarding state. Instead it will revert to fdWhile timer to transition
into Port State of Learning. Upon entering Port State of Learning, it will reset its fdWhile timer
back to Forward Delay so that next transition will take worst case Forward Delay time. Upon
fdWhile timer expiry, Designated Port will transition into Port State of Forwarding.
Rule b) says that if an Alternate Port receives ‘better’ information than current Root Port then
after Port Role Selection state machine chooses Alternate Port as new Root Port, the new Root
Port can transition to state of Forwarding immediately after the old Root Port is put in Blocking
State.
42
Abbildung 13: Root Port transitioning rule.
In the initial setup of figure 3, Port 4 of Bridge B is the Root Port and Port 3 of Bridge B is an
Alternate Port. Let’s assume that Port Path cost of Port 4 of Bridge B has been changed so that
it no longer should be the Root Port for the Bridge. Once Bridge B detects that Port 3 receives
‘better’ BPDUs, it will notify Port Role Selection state machine to recalculate Port Roles based
on the best information received. Port Role Selection state machine will assign Port 4 Port Role
of Alternate and Port 3 Port Role of Root Port, which will in turn immediately set Port 4 into
Blocking. Rule b) states that at this point Port 3 can enter Forwarding State without introducing a
loop into the network.
Rule c) allows Designated Port that’s not in Forwarding State to transition to Port State of
Forwarding after explicit handshake between the Designated Port and port that it’s connected to.
Example of such transition is depicted in Figure XXX. This scenario would occur if a port after
Port Role Selection was assigned Port Role of Designated (as we know Designated Ports have
Port States of Forwarding in a stable topology) and was not in the Forwarding State. This port
would immediately request the connected Bridge to allow it to transition to Port State of
Forwarding by means of handshake as follows:
43
Abbildung 14: Designated Port that is currently not in Forwarding State sets its Propose flag of
RSTP BPDU and transmits it out.
Abbildung 15: RSTP BPDU is received on the other side and is compared to determine if it is
‘better’ (determined is a same manner as in STP) than the one that would be transmitted out by
the receiving BPDU. If determined ‘better’, Port Role Selection State machine will reassign Port
Roles.
44
Since this is a ‘better’ BPDU, the receiving port will be assigned Port Role of Root Port or an
Alternate Port.
If selected Alternate Port, the port will not reply to the message, and will be put into Blocking.
Alternate Port does not need to reply to the request since this path will not be part of active
topology, therefore, there’s no gain in having the Designated Port transition rapidly. The
Designated Port will default to Forward Delay timer in transitioning between Port States.
If selected Root Port, all Designated Ports on the Bridge will revert to Discarding Port State.
Once all Designated Port are in Discarding, the Root Port will send a reply with Agree flag set
True and Port Role set to Root Port.
Abbildung 16: Upon reception of ‘go ahead’ (Agree flag set and Port Role of Root Port in the
received RSTP BPDU) from Root Port, Designated port will transition to Port State of Forwarding
immediately.
The Designated Ports that has been put into Discarding can now use same handshake
mechanism in order to transition into Port State of Forwarding.
Rule d) refers to a port that is not connected to any Bridges.
4.3.4.2
Topology Changes
Topology Change detection was changed in RSTP by realizing that the only way loop can be
introduced in the network is by having port go in Port State of Forwarding. Therefore, topology
change is detected only when RSTP Bridge port goes into Port State of Forwarding. Upon
detection of topology change, Bridge notifies other RSTP Bridges by sending RSTP BPDU with
TC flag set to TRUE. Unlike in STP, topology change information is send out through the Root
Port and Designated Ports. By doing so, TCN are propagated much faster throughout the
45
network. TCN are sent to RTST Bridges for period of 2*HelloTime every HelloTime. Unlike in STP,
there is no explicit acknowledgment send by the recipient of a TCN between RSTP Bridges (TCA
flag never gets set in RTSP BPDU). Upon reception of TCN, Bridge will analyze it and forward it
upstream through its Root Port and downstream through it Designated Ports. TCN is never sent
back on the same Designated Port that it was received on.
Topology changes must be detected in order to flush what’s known as Filtering Database (BAF)
that contains users addresses (entries) learned on that Bridge. This database allows for learned
conversations to take place between end-users. If topology change in the network structure
takes place, BAF entries could be no longer valid and therefore need to be removed. In STP TC
flag in the Flag field of BPDU was used in order to indicate the need to flush (remove) entries
form BAF. This flag would be set by the Root Bridge upon reception of Topology Change
Notification BPDU (TCN). In STP Topology Change Notification was send by the Bridge that has
detected change in the topology. TCN was send up to the Root Bridge through the Root Port
only, and intermediate Bridge would forward the TCN farther upstream without analyzing it. The
Root Bridge upon reception of TCN in turn would set TC flag in the BPDU causing every Bridge
to set their BAF age time to Forward Delay defined by the Root Bridge. The BAF would remain
set to Forward Delay time until MaxAge + Forward Delay time has passed, thus, ensuring that
old entries in the BAF would get flushed. This mechanism is no longer valid in RSTP due to rapid
port transitioning. BAF flushing process will also make use of TCNs, but a Bridge will never
change its BAF age time value since re-span time will be no longer timer-value defined. Instead,
upon reception of a TCN, Bridge will clear (flush BAF) all the entries learned on all port except
the one that TCN was received on. Once the Bridge flushes the BAF, TCN will be forwarded
through the Root Port and Designated Ports (except the Designated Port that received TCN).
Also, when Port Role of a port is no longer Designated or Root Port, entries learned on that port
must also be cleared. Figures XXX and XXX illustrate TCN propagation mechanism and BAF
flushing mechanism.
Abbildung 17: Address flushing / TCN sending scheme.
Bridges A and C notice link A-C failure and remove entries learned on ports indicated by red
triangle. At the same time Bridge C elects new Root Port and sends out a TCN to B. Upon
reception of TCN, B flushes entries learned on other ports and sends TCN up through Root Port
46
to R and down through Designated Port to A (TCN never gets send back the same Port it came
in on)
Abbildung 18: Address flushing / TCN sending scheme.
Bridge A ignores the TCN from B since it was received on Blocking Port. Bridge R once it
receives the TCN, flushes addresses on all other ports (marked with red triangle) and forward the
TCN down its Designated Ports to A and D.
4.3.5
RSTP / STP INTEROPERATION
Protocol Version Identifier was defined in the 802.1D BPDU so that extensions to the protocol
could easily be made. The idea was to be able to sustain communication between Bridges
transmitting different Protocol Version Identifiers. To allow for such communication, succeeding
version of the protocol were to contain all parameter defined in preceding versions. For example,
a version 0 implementation interpret a version 2 BPDU as if it was a version BPDU, ignoring any
parameter and flag not defined in Version 0. A version 2 implementation interprets a version 0
BPDU, and does not attempt to look for version 2 parameter or flag values. Unfortunately, there
are implementations of 802.1D (Cabletron) in the field that will discard BPDUs that do not carry
protocol version 0, or that carry flags that have not been specified in protocol version 0. It has
therefore been necessary to allow version 2 Bridges to detect version 0 Bridges on its Ports in
order to allow for proper interworking between RSTP Bridges (version 2) and STP Bridges
(version 0). RSTP Bridge Ports will transmit both BPDU versions depending on the situation. On
ports where no TCN or Configuration BPDUs (version 0) have been received, only RSTP BPDUs
are used. On Ports where Configuration or TCN BPDUs have been detected, Configuration and
TCN are sending, and RSTP BPDUs are not used. STP Bridge connecting to RSTP Port will not
see any difference since it will receive BPDUs as specified by STP. RSTP Bridge’s Designated
Port connecting to STP Bridge can no longer use handshake to transition to Port State of
47
Forwarding, and will obey Forward Delay timer in successive Port State transitions. RSTP
Bridge’s Root Port connecting to STP Bridge can still use rapid Root Port transitioning as
described by Section 2.5.
When new RTSP Bridge is added to a LAN, it will start sending a version 2 BPDU. For the initial
3 second period it will accept and process any BPDU format, but reception of version 0 BPDUs
will not cause it to change the BPDU format it will use. If all other Bridges attached to the LAN
are RSTP Bridges they will see version 2 BPDU and will send RSTP BPDU (version 2 BPDU)
themselves. However, if a version 0 Bridge is present, it may persist in sending version 0 BPDUs
after the initial 3 second period any version 0 BPDU received after the initial 3-second period will
cause that Bridge Port to transmit STP BPDUs. Port will continue transmitting STP BPDUs for
next 3 seconds. If after the next 3 seconds port receives RSTP BPDU, it will begin transmitting
RSTP BPDUs for 3 seconds. If at the end of that 3-second period STP BPDU is received, port
will transmit STP BPDUs and the process gets repeated. This mechanism is necessary in order
to detect if attached Bridge has changed from RSTP to STP or from STP to RSTP. It may seem
like RSTP Port will toggle between sending STP BPDUs and RSTP BPDUs every 3 seconds if
that port is connected through a repeater to both STP Bridge and RSTP Bridge. However, that
will not happen since leaf Bridges do not talk to Designated Bridges unless topology changes
are detected. Once RSTP Bridge Port determines what BPDU to send, it will continue sending
them out through that Port until topology changes is detected.
4.4
MULTIPLE SPANNING TREE (MST) NACH 802.1S
Mit Per VLAN Spanning Tree wird eine Spanning Tree Struktur bezeichnet, die einem jeden
VLAN einen eigenen Spanning Tree zuordnet bzw. zugrunde legt. (Anm. Red.: Der nachfolgende
Text liegt leider noch nicht in Deutsch vor, das Kapitel erschien aber so wichtig, dass hier das
englische Original aufgenommen wurde).
4.4.1
MST CONFORMANCE REQUIREMENTS
As of this writing (802.1s Draft 9), a bridge that supports 802.1s MST must:
•
Support the rapid spanning tree protocol (802.1w).
•
Support a stated maximum number, maxSupportedSTs, of Multiple Spanning Tree
Instances (MSTIs), where maxSupportedSTs is a least two.
•
Support a maximum number of FIDs, maxSupportedFIDs, which is at least as large as
maxSupportedSTs.
•
Support the ability to associate each FID to a spanning tree
•
Support the transmission and reception of MST Region Configuration Information.
•
For each port support a stated number of sets of port information, where the number
of sets is greater than or equal to the number of active spanning trees.
•
For each port be capable of supporting all instances of the Spanning Tree Protocol.
•
Use the bridge group address as specified in 8.14.3 of 802.1s Draft 9 (01-80-c2-0000-00).
•
Support the default parameters for Bridge Forward Delay and Bridge Priority
parameters
48
•
•
•
•
Support the operation of GVRP in maxSupportedSTs spanning-tree contexts
Support the VLAN bridge management functions for the bridge protocol entity for
maxSupportedSTs spanning tree instances, independently.
Support, in particular, management of the bridge priority parameters and of the port
priority and path cost parameters for every port, independently for each of
maxSupportedSTs spanning trees.
Support the Vlan Management functions for maxSupportedSTs spanning tree contexts.
- These requirements may change by the time 802.1s is ratified –
4.4.2
SST AND MST REGIONS
The overall MST environment in a given bridged LAN can be considered as being composed of
two kinds of regions:
SST Regions - consists of a set of SST bridges interconnected by individual LANs without
intervening MST bridges
MST Regions - consists of a set of MST bridges interconnected by individual LANs without
intervening SST bridges
Because the assignment of VLANs to spanning tree instances is critical to the prevention of
forwarding loops, all of the MST bridges in a given MST region MUST have identical MST Region
Configurations. MST Region Configuration is a set of configuration information that assigns
VLANs to Spanning Tree Groups (STGs) and is consistent throughout a MST Region. MST
bridges with different MST Region Configurations are considered to be in different MST Regions.
For adjacent bridges to ensure that they are part of the same MST Region, the I-BPDU allows an
MST Configuration Identifier to be exchanged between adjacent bridges. The MST Configuration
Identifier is a digest of a bridge’s VID to STCI mappings for all possible VID values.
SST and MST Regions can be arbitrarily interconnected and there may be any number of links
interconnecting a given pair of Regions. The following is an example of several interconnected
regions (Figure 5). However the configuration that is considered most likely to be widely
applicable to MST environments consists of a single MST Region acting as a backbone for
several SST regions (Figure 6).
49
Abbildung 19: Several interconnected Regions, SST and MST.
Abbildung 20: Most common expected configuration; Several SST Regions connected to a
single MST Region backbone.
50
4.4.3
INTEROPERABILITY BETWEEN SST AND MST
A virtual bridged LAN may consist of a number of MST and SST Regions. Interoperability
between MST and SST Regions is addressed by the fact that, to the SST Regions the virtual
bridged LAN appears to consist of a single spanning tree where each MST Region appears in
many respects to be a single bridge.
To the spanning tree protocol running in SST Regions an MST Region mimics the behavior of a
single SST "pseudo-bridge" bridge in the following respects:
The same value for the Root Identifier and Root Path Cost is sent in the BPDUs of all ports at the
edge of the MST Region.
Data frames entering the "pseudo-bridge" on any port can reach any other port of the "pseudobridge" along paths entirely contained within the MST Region.
Data transmitted on one port at the edge of a MST Region will not be re-admitted into another
port at the edge of the MST Region, thus avoiding data loops. Therefore if an SST Region is
connected to an MST Region at two or more points, then the MST Region ensures that either the
Common Spanning Tree partitions the SST Region or that the appropriate ports at the edge of
the MST Region are blocked.
The MST Region fails to mimic the behavior of a single SST bridge in the following respects:
The BPDUs transmitted by ports at the edge of the MST Region can specify different values for
the Bridge Identifier and thus different values for the Port Identifier.
The management functions of the MST Region's bridges are entirely independent. Therefore, if
the MST Region Configuration of one or more bridges in an MST Region changes, the MST
Region partitions into two or more MST Regions through the operation of the Internal Sub-Tree
Protocol (ISTP).
4.4.4
THE COMMON SPANNING TREE
To the SST bridges, the combination of SST bridges and MST Regions constitute a single
Common Spanning Tree (CST). However, since the MST Regions mimic single bridges, the
paths taken by data frames internal to the MST Region are of no concern to the SST bridges.
Therefore, within a MST Region data frames can flow among MST bridges along multiple paths
belonging to multiple active topologies. The following is an example of the Common Spanning
Tree.
51
Abbildung 21: SST and MST Regions in the Common Spanning Tree. As we can see here, the
MST Regions appear as single bridges to the Common Spanning Tree.
4.4.5
INTERNAL SUB-TREE PROTOCOL (ISTP) AND MST PROTOCOL
In a MST environment there are two protocols that are used for communication between bridges.
There are three distinct scenarios where these protocols are used.
MST bridges communicate with SST bridges in adjacent SST Regions to maintain the CST,
which is the basis for data connectivity across the whole virtual bridged LAN.
MST bridges communicate with adjacent MST bridges, in order to establish the boundaries of
the MST Region(s), and in order to exchange the information that allows an MST Region to
calculate the Internal Spanning Tree (IST).
MST bridges communicate with adjacent MST bridges that are members of the same MST
Region, to establish the connectivity of the MSTIs that are required in order to support the MST
Region Configuration.
The first two scenarios are supported by the ISTP and the third is supported by the MSTP.
4.4.6
ISTP BPDU (I-BPDU)
To calculate the forwarding path within a MST Region, the ISTP uses ISTP BPDUs. This BPDU is
an extension to the version 2 RST BPDU, defined in IEEE P802.1w Clause 9. The additions to
the RST BPDU are as follows:
Octets 37-38: Version 3 Length - a value taken to represent an unsigned binary numeral equal
to the length in octets of the following four parameters.
Octets 39-46: IST Master Identifier - the bridge identifier of the IST Master
Octets 47-50: IST Master Path Cost - the Path Cost to the IST Master within the IST
52
Octets 51-74: MST Configuration Identifier - An identifier of a MST Region Configuration,
which is a mapping of VLANs to STGs.
Octets 75 +: MSTP Record List - Contains one or more MSTP records, each of which carry
spanning tree protocol parameters specific to an MSTI supported within the MST Region.(this
field may be absent).
4.4.7
SUMMARY
As we can see from this introduction to 802.1s, there are advantages and disadvantages to
having MST configured within your network.
The advantages are:
Load Sharing – with bandwidth always at a premium it would be a big advantage to have all ISLs
forwarding for at least one VLAN.
Quick Fail over – as a result of 802.1s being built on 802.1w, network respans in a MST Region
will take approximately one second.
High Availability – The combination of load sharing and quick fail over will help to decrease the
amount of downtime as a result of a failure in the network.
The disadvantages are:
There is only one big disadvantage and it is Complexity. This is a very complex functionality, as
a result it will make configuration and debugging very difficult if you have tools to help you and
almost impossible if you don’t have tools.
53
5 Layer 3 Kommunikation
5.1
IP ADRESSIERUNG
Durch die Nutzung von Netzwerkadressen kann eine neue Art der Netzwerkstruktur realisiert
werden. Im Gegensatz zur topologisch „flachen“ Welt der MAC-Adressen lassen sich die
Subnetze hierarchisch gliedern.
Ein Internet Protokoll Netzwerk (IP-Netzwerk) besteht aus einer fortlaufenden Sequenz von IPAdressen. Alle Adressen innerhalb eines solchen Netzwerkes haben einige Ziffern mit den
anderen gemeinsam. Dieser übereinstimmende Teil wird als „Netzwerk-Anteil“ bezeichnet, die
verbleibenden Ziffern bilden den Host-Anteil (Rechner-Teil). Die Anzahl an Bits die bei allen
Adressen im Netz gleich ist, bezeichnet man als Netzwerkmaske. Hier ein Beispiel:
IP-Adresse
150.150.1.10
Netzwerkmaske
255.255.0.0
Netzwerk-Anteil
150.150
Host-Anteil
1.10
Netzwerkadresse
150.150.0.0
Tabelle 11: IP-Adressierung
Jede Adresse, die bitweise mit der Netzmaske durch ein logisches UND verknüpft wird, ergibt
somit die Adresse des Netzwerkes, zu der sie gehört.
In einer recht frühen Phase der Entwicklung des IP Protokolls wurden einige Netze des
Adressraumes zu so genannten Klassen zusammengefasst. Diese Klassen stellen die
Standardgrößen für ein Netzwerk dar, die Aufteilung wurde wie folgt definiert:
Abbildung 22: Einteilung des IP-Adressbereiches in Klassen
54
Wer den Aufbeu eines lokalen IP-Netzes plant, kann im Prinzip seine Adressen völlig frei aus wählen. Aus Sicherheitsgründen, und um trotzdem eine gewisse Konsistenz in der Adressenvergabe zu wahren, wurden jedoch einige Bereiche des Adressraumes speziell für diesen Zweck
reserviert. Nur wer IP-Adressen aus diesem Bereich auswählt, kann sicher sein, bei einer
Anbindung an das Internet keine Einschränkungen hinnehmen zu müssen. Die reservierten
Bereiche sind im RFC1597 festgelegt:
Netzwerk
Prefix
10.0.0.0 - 10.255.255.255
10/8
172.16.0.0 - 172.31.255.255
172.16/12
192.168.0.0 - 192.168.255.255
192.168/16
Tabelle 12: IP-Adressen nach RFC 1597
Aus der Überlegung heraus, wie groß das eigene Netz werden soll kann somit ein geeigneter
Bereich ausgewählt werden. Werden mehrere dieser IP-Netze eingesetzt, und soll eine
Kommunikation zwischen diesen IP-Netzen möglich sein, ist der Einsatz eines Routers
notwendig.
5.2
ROUTER
Zunächst zum Begriff selber: Was ist IP Routing? Was ist ein Router?
Hier ist eine Definition: IP Routing ist der Prozess, über den ein System mit unterschiedlichen
Netzwerkanbindungen entscheidet, welche Verbindung ein empfangenes IP-Datagramm weitergeleitet werden soll.
Während im lokalen IP-Netz die Kommunikation zwischen den Endsystemen auf MAC-Adressen
basiert, findet die Entscheidung über die Wegewahl, IP-Netz übergreifend, aufgrund der IPAdressen statt. Die Netzwerkkomponenten, die diese Funktion übernehmen, heißen Router.
Router zwischen Subnetzen sind Mitglied beider Netze; sie besitzen also mehrere
Netzwerkschnittstellen mit unterschiedlichen IP-Adressen.
Allgemein bezeichnet Routing das Verfahren der Ermittlung des Weges, den ein Paket vom
Quell- zum Zielrechner zurückzulegen hat. Routing-Entscheidungen werden einzig anhand von
Netzwerkadressen getroffen, indem die Netzwerkmaske auf die eigene IP-Adresse angewendet
wird. Jeder Rechner im gesamten lokalen Netzwerk kennt sowohl seine eigene Adresse als auch
die Subnetzmaske. Um herauszufinden, ob der Empfänger eines Datenpakets sich im selben
Subnetz befindet, muss der Rechner sowohl seine eigene IP-Adresse als auch die des
Adressaten bitweise mit der Subnetzmaske UND-Verknüpfen. Im lokalen Netzwerk sind damit
die Regeln der Routenfindung für die einzelnen Rechner sehr einfach:
•
Ist das Zielnetzwerk gleich dem eigenen Netzwerk, so werden die Daten direkt an den
Empfänger gesendet.
55
•
Ist das Zielnetzwerk nicht das eigene Netzwerk, so werden die Daten an ein Router
des lokalen Netzwerks gesendet. Es ist nun Aufgabe dieses Routers, das Datenpaket
weiter zu vermitteln.
Computer
150.150.1.10
255.255.0.0
150.150.1.1
255.255.0.0
Router
150.151.1.1
255.255.0.0
150.151.1.30
255.255.0.0
Computer
Abbildung 23: Aufbau einer IP-Verbindung
Ein bitweise UND-Verknüpfung der
•
Ziel-MAC-Adresse 150.151.1.30
•
und der SUBNET-Maske 255.255.0.0
•
ergibt die Zielnetzwerknr.
150.151.0.0
Eine bitweise UND-Verknüpfung der
•
Quell-MAC-Adresse 150.150.1.10
•
und der SUBNET-Maske 255.255.0.0
•
ergibt die Quellnetzwerknr. 150.150.0.0
Station A vergleicht die Netzwerknummern und erkennt, dass sich die Stationen nicht in einem
IP-Netz befinden. Station A startet mit dem Durchsuchen seiner Routingtabelle. Befindet sich die
MAC-Adresse vom Router in der ARP-Tabelle von Station A, wird die Verbindung aufgebaut,
ansonsten muss die MAC-Adresse über einen ARP-Request aufgelöst werden. Um nun ein IP-
56
Paket vermitteln zu können, muss ein Rechner die Hardwareadresse des Netzwerksystems
kennen, an das das Paket als nächstes zu senden ist. Bis ein Paket seinen Bestimmungsort
erreicht, durchläuft es mitunter zahlreiche Router. In jedem dieser Router muss entschieden
werden, wohin das Datenpaket im nächsten Schritt zu senden ist.
Für die Adressermittlung wurden folgende Vorgehensweisen definiert:
•
Umsetzung von IP- in Hardwareadressen mittels dynamischer Tabellen, die
regelmäßig aktualisiert werden. Dazu wird das ARP, Adress Resolution Protocol,
verwandt.
Ein Rechner, der ein IP-Paket senden möchte, schaut als erstes in seiner ARP-Tabelle nach, ob
ein zugehöriger Eintrag (Paar aus IP- und MAC-Adresse) existiert. Wenn ja, verwendet er die
gespeicherte Hardwareadresse bereits. Wenn nein, kommt das Address Resolution Protocol
zum Zuge. Der Rechner sendet nun einen Broadcast (eine Nachricht, die gleichzeitig an mehrere
Rechner eines zumeist lokalen Netzwerkes geht) aus, mit der Bitte, dass der Rechner, zu dem
die IP-Adresse gehört, seine Hardwareadresse übermitteln möge. Genau jener Rechner sendet
darauf hin eine Antwort. Erst jetzt kann der Rechner das IP-Paket zu seinem nächsten
Bestimmungsort schicken.
A
A
150.150.1.10
255.255.0.0
150.150.2.20
255.255.0.0
Host B
Host A
Station A findet die Ziel
MAC-Adresse nicht in
seiner ARP-Tabelle
Station A lernt die
MAC- und IP-Adressen
und ergänzt seine
ARP-Tabelle
Station A sendet
ARP-Request für 150.150.2.20
als Broadcast in das Netz
Station B sendet
ARP-Reply mit seiner MACAdresse zurück an Station A
Station B überprüft die
MAC- und IP-Adressen
des ARP-Requests
und erneuert evtl.
seine ARP-Tabelle
Abbildung 24: Ablauf des ARP-Protokolls
Die soeben ermittelte Hardwareadresse bekommt ihren Platz in der ARP-Tabelle, um im Falle
einer späteren Übermittlung sofort den Adressaten parat zu haben. Befindet sich das Zielsystem
in einem anderen IP-Subnetz, wird die Adresszuordnung zwischen dem sendenden System und
dem Router ermittelt.
57
IP-Adresse
MAC-Adresse
150.150.1.1
00-00-c0-ab-12-a2
150.150.1.2.
00-00-bc-12-ad-7a
150.15.02.10
00-80-ab-fe-12-34
150.150.2.10
00-00-c0-12-ab-cf
Tabelle 13: Beispiel einer ARP-Tabelle
Die ARP-Tabelle ist allerdings in ihrer Kapazität beschränkt, somit werden ältere Einträge
zyklisch entfernt (meist nach 10 Minuten des Nichtgebrauchs). Das Verfahren hat den Vorteil,
dass die Tabelle auch auf Veränderungen im Netz reagiert, weil bspw. die IP-Adresse einem
anderen Rechner zugewiesen wurde.
Bei einer routerübergreifenden Kommunikation wird das eigentliche Datagramm verändert. Der
Router ersetzt die Source-MAC-Adresse und die Destination-MAC-Adresse durch seine eigene
MAC-Adresse bzw. durch die MAC-Adresse des nächsten Zielsystems (dies kann sowohl das
Zielsystem selber als auch der nächste Router sein). Der IP-Adressen-Teil des Datagrammes
bleibt dabei während der gesamten Kommunikation unberührt. Wie dieser Ablauf aussehen kann,
sehen Sie in der folgenden Abbildung.
A
Computer
R
Router
B
Computer
Abbildung 25: Veränderung des Datagrammes durch einen Router
Eine weitere Aufgabe eines Routers ist die Fehlerbegrenzung. Router leisten eine Fehlerbegrenzung nicht nur auf Ebene 2, sondern auch auf der Netzwerkebene. Fehlerpakete
beschränken sich dadurch auf das Subnetz ihres Entstehens und werden nicht über das ganze
Netz verbreitet. Teilweise generieren Router Fehlermeldungen mit dem Grund des Nicht-
58
transports. Router begrenzen den lokalen Verkehr. Schickt eine Station ein Paket an eine Station
des gleichen Subnetzes, transportiert der Router dieses Paket nicht in andere Subnetze.
Router realisieren durch die Implementierung verschiedener Protokolle auch komplexe
Wegwahlverfahren, die zur Optimierung nach verschiedenen Kriterien eingesetzt werden können.
Dies ist wohl das wichtigste Unterscheidungsmerkmal zu Bridges/Switches. Grundsätzlich gibt
es zwei Protokollelemente, die für die Kommunikation auf Ebene 3 zu unterscheiden sind:
und
5.3
•
Das routbare Protokoll, hier IP welches das Paketformat und die Adressierung sowie
die Kommunikation zwischen Endsystemen vorgibt,
•
das Routingprotokoll (Router-Router-Protokoll), welches zwischen Routern abläuft
und den dynamischen Aufbau der Wegwahltabellen ermöglicht (z.B. RIP).
ROUTING- PROTOKOLLE
Große Netzwerke mit mehreren Subnetzwerken und somit auch mehreren integrierten Routern
können auch im lokalen Netz den Aufwand des Einrichtens eines Routing-Protokolls
rechtfertigen. Notwendig werden dynamische Routingverfahren, wenn unterschiedliche Wege zu
ein und demselben Ziel existieren. Auch hier könnte eine statische Route Pakete stets über ein
und denselben Router leiten, jedoch würde ein solches Konzept nicht auf Änderungen im Netz
(z.B. Ausfall eines Routers) reagieren können und dem Sinn mehrerer Routen zuwider laufen.
Routing Protokolle sind Protokolle, die zwischen Routern ablaufen. Dadurch wird der
dynamische Aufbau von Routingtabellen ermöglicht.
Typische, standardisierte und damit herstellerunabhängige Routingprotokolle sind RIP V1, RIP
V2, OSPF und BGP-4.
59
6 Multicast
6.1
VORBEMERKUNGEN ZUR ERLÄUTERUNG VON MULTICASTS
Ein Autoradio wird eingeschaltet. Der Lieblingssender ist on Air. Der Zuhörer genießt die
Sendung. Die Fahrt wird kurzweilig.
Zuhause vor dem Computer. Surfen im weiten Rund des WWW ist angesagt. Zuerst auf die
Homepage des Lieblingssenders, um das Webradio einzuschalten. Aus den Computerlautsprechern klingt die Stimme des Moderators. Jetzt macht das Surfen doppelt so viel Spaß.
Zwei unterschiedliche Übertragungsvorgänge mit dem gleichem Ziel: Radiohören. Ein Sender
und sehr viele Empfänger. Aus Sicht der Datentechnik treffen hier aber zwei Welten aufeinander.
•
•
•
6.2
Bei der On Air Übertragung werden elektromagnetische Wellen an einer Antenne
abgestrahlt. Die Räumliche Ausbreitung ist von der Sendeleistung abhängig. Die
Anzahl der Zuhörer ist unbegrenzt. Der Zuhörer kann jederzeit den Sender wählen, in
laufende Sendung hineinhören oder abschalten.
Bei der Datenübertragung durchs Web werden die Daten von einem Server oder einer
Serverfarm aus an viele Empfänger übermittelt. Es gibt keine Limitierung der
räumlichen Ausbreitung. Jeder, der an das WWW angeschlossen ist, kann den Sender
empfangen. Die Stimme kommt in Frankfurt, Rio oder Tokio mit der gleichen Qualität
an. Die Leistungsfähigkeit der Server und der Router des WWW wird hierbei nicht bis
an die Grenzen beansprucht. Dies ist durch Multicasting möglich.
GRUNDLAGEN
Die Datenübertragung beim Multicast basiert auf drei Säulen:
•
•
•
Adressierung der Daten
Dynamische An-/Abmeldung an einer Session
Routing der Multicast Pakete
In diesem Kapitel werden die Strukturen der Layer 2 und Layer 3 des OSI Modells betrachtet.
Protokolle, die auf dem Layer 3 aufbauen, werden nicht diskutiert.
In der Datentechnik findet der Datenaustausch aufgrund der eindeutigen Adressierung statt. Es
gibt immer eine Source (Sender) und eine Destination (Ziel) Adresse. Source- und DestinationAdressen sind eindeutig auf Layer 2 (MAC Layer) und Layer 3 (IP Layer) des OSI Referenz
Modells. Switche leiten die Pakete aufgrund der MAC-Zieladresse (Layer 2), Router leiten die
Pakete aufgrund der IP-Zieladresse auf Layer 3.
60
6.2.1
ADRESSIERUNG VON DATEN
Es gibt drei Arten, Daten zwischen aktiven Endgeräten zu übertragen:
•
Broadcast: Einer erreicht alle. Broadcast ist eine Adressierung, bei der alle aktiven
Komponenten einer Domäne angesprochen werden. Eine Domäne ist z.B. ein IPSubnetz. Broadcast hat auf Layer 2 die Zieldresse FF:FF:FF:FF:FF:FF
•
Unicast: Nur wir beide miteinander. Wenn zwei aktive Komponenten miteinander kommunizieren, findet der Datenaustausch nur zwischen diesen beiden Endgeräten statt.
Sowohl die MAC- als auch die IP-Adresse sind bekannt. Andere Komponenten der
Domäne werden bei der Unicast-basierten Kommunikation nicht einbezogen, weil der
Switch die Pakete nur zwischen den beiden Teilnehmen weiterleitet.
•
Multicast: Einer erreicht viele. Wie beim Radio, Onlinediensten oder Börsen-Ticker
erreicht ein Sender viele Empfänger. In der Datentechnik wird diese Kommunikation
durch das Multicastverfahren realisiert.
6.2.2
MULTICAST -ADRESSE
Alle Multicastadressen haben als Ziel eine IP-Adresse der Klasse D. Die Länge der IP-Adresse
beträgt 32 Bit (4 Byte). Die ersten drei Bits haben den Wert 1. Der Adressbereich erstreckt sich
von 224.0.0.0 bis 239.255.255.255. Die Adressen zwischen 224.0.0.0 und 224.0.0.255 sind
reserviert um z.B. OSPF-Hallo-Frames zu adressieren. Die Multicastadressen sind intern nicht
strukturiert, d.h. sie verfügen über keine Subnetzmaske. Eine klassische Multicastadresse ist z.B.
224.11.0.5.
Die Layer-2-Adresse ist 48 Bit (6 Byte) lange. Die ersten drei Bytes spezifizieren den Hersteller
der Netzwerkkomponente und die restlichen Bytes bestimmen die eindeutige Hostadresse.
Enterasys Networks hat als Hersteller z.B. die MAC Adresse ist 00-00-1d.
Das IEEE-Komitee vergab den Multicast-Adressen mit 01-00-5E einen festen „Organizationally
Unique Identifier“ (OUI). Damit sind die ersten 24 Bits (3 Bytes) der Layer-2-Adresse eindeutig
definiert. Das 25-te Bit ist reserviert und steht immer auf 0. Damit bleiben die restlichen 23 Bits
für das Mapping der IP-Adresse übrig (32 Bits).
Der Layer-2-Adressbereich erstreckt sich von 01:00:5e:00:00:00 bis 01:00:5e:7f:ff:ff.
Die IP-Multicast-Adressen (Layer 3) werden auf MAC-Adressen (Layer 2) abgebildet. Eine exakte
Zuordnung ist nicht möglich. Es werden die ersten fünf Bits der Gruppenkennung einer IPMulticast-Adresse ignoriert und nur die folgenden 23 Bit berücksichtigt.
Fehlleitung von Multicast-Paketen durch MAC-Adresse
Die Folge ist, dass unterschiedliche Class-D-Adressen eine gemeinsame Multicast-MACAdresse verwenden. Endsysteme können deshalb Multicast-Pakete empfangen, die eigentlich
nicht für sie bestimmt sind, i.e. wenn sich ihre IP-Multicast-Adressen nur in den wegfallenden
fünf Bit unterscheiden. Diese Multicast-Pakete passieren die Verbindungsschicht (Layer 2),
werden jedoch auf der Netzwerkschicht (Layer 3) verworfen, weil keine Anwendung die IPMulticast-Adresse angefordert hat oder verarbeiten kann (UDP Port). Der ganze Vorgang geht
jedoch auf Kosten der Rechenleistung.
61
Beispiel:
Die IP Adresse 224.11.0.5 (Layer 3) soll auf MAC-Adresse (Layer 2) abgebildet werden:
MAC Adresse 01-00-5e-0b-00-05
Damit werden folgende MC IP Adressen auf die gleiche MAC-Adresse abgebildet:
224.11. 0.5 225.11.0.5 226.11.0.5 227.11.0.5 228.11.0.5 229.11.0.5
230.11.0.5 231.11.0.5 232.11.0.5 233.11.0.5 234.11.0.5 235.11.0.5
236.11.0.5 237.11.0.5 238.11.0.5 239.11.0.5
224.139. 0.5
225.139.0.5
226.139.0.5227.139.0.5 228.139.0.5 229.139.0.5
230.139.0.5 231.139.0.5232.139.0.5 233.139.0.5 234.139.0.5 235.139.0.5
236.139.0.5 237.139.0.5238.139.0.5 239.139.0.5
6.2.3
DYNAMISCHE AN- /A BMELDUNG .
Der Radiohörer kann jederzeit den Sender wählen, in laufende Sendungen hineinhören oder
abschalten In der Sprache der Datentechnik heißt das, dass ein Host (Endstation) einer
Multicastgruppe jederzeit beitreten oder diese verlassen können muss. Der An- bzw. Abmeldevorgang zwischen Host, Switch und Router wird über IGMP (Internet Group Membership
Protokoll) realisiert.
In der IGMP Version 1 wurde folgendes definiert:
Ein Multicast-Router sendet regelmäßig an die Hosts Anfragen (Host Membership Query), ob
diese einer Multicastgruppe angehören. Gehört ein Host einer Multicastgruppe an, sendet er
dem Router eine Antwort zu (Host-Membership-Report), aus der hervorgeht, welcher
Multicastgruppe der Host angehört. Falls ein Host einer Gruppe angehören will, muss er nicht
auf eine Anfrage des Routers warten, sondern er sendet einen Host-Membership-Report an den
lokalen Router.
IGMP V2 ergänzt IGMP V1 um die dynamische Abmeldung aus einer Session. Wenn ein Host
eine Multicast-Session verlassen will, sendet er eine Leave-Group-Message an den lokalen
Router. Der Router überprüft, ob es noch andere Mitglieder dieser Multicast-Gruppe gibt. Sind
keine weiteren Mitglieder vorhanden, wird durch den lokalen Router kein Multicast-Packet
weitergeleitet.
6.2.4
MULTICAST -ROUTING -PROTOKOLLE
Für ein effizientes Weiterleiten des Multicast-Traffic müssen die Router einen Multicast-Baum
aufbauen. Ein Multicast-Routing-Protokoll hat die Aufgabe, eine MC-Baum zwischen den
Routern aufzubauen. Durch ein MC-Baum wird der Pfad zwischen Sender zum Empfänger
eindeutig bestimmt. Es muss sichergestellt werden, dass keine Loops entstehen und jeder Hosts
sich dynamisch an- und abmelden kann.
Es gibt zwei Möglichkeiten, einen MC Baum aufzubauen:
•
Source Based Tree: Ist der kürzeste Weg vom Sender zum Empfänger. Vertreter des
Source-Base-Tree-Verfahrens sind Distance Vector Multicast Routing Protokoll
(DVMRP), Multicast Open Shortest Path First (MOSPF) und Protocol Independent
Multicast Dense Mode (PIM-DM). Für jeden Multicast-Sender wir ein MC Baum
62
aufgebaut. Bei DVMRP und MOSPF wird davon ausgegangen, dass sich überall
Gruppenmitglieder befinden und den Multicast-Baum am Anfang überall MC-Pakete
liefert, die dann schrittweise durch Pruning reduziert werden.
•
Shared Base Tree: Shared Trees benutzen Rendezvous Points (RP). Sender und
Empfänger müssen sich an den RP anmelden. Es wird ein einziger MC-Baum
aufgebaut. Der Baum wird nur zwischen den Gruppenmitgliedern aufgebaut.
Das Protokoll Independent Multicast Sparse Dense Mode (PIM-SM) arbeitet nach dem Shared
Based Tree Verfahren.
6.2.5
DISTANCE VECTOR MULTICAST ROUTING PROTOCOL (DVMRP)
Das Multicastprotokoll DVMRP wurde auf der Basis des Distanz-Vektor-Algorithmus entwickelt
und ist eine Erweiterung von RIP (Routing Information Protokoll). DVMRP ermittelt den kürzesten
Weg zwischen Empfänger und Sender. Der Berechnungsursprung ist der Empfänger. Bei der
Verwendung von DVRMP muss zusätzlich noch RIP (für Unicast-Routing) implementiert sein.
DVMRP arbeitet nach dem „flood and prune protocol“ Prinzip.
Pruning (pruning = beschneiden): Der Sender schickt Daten an die Multicastgruppe 232.11.0.5.
Die Pakete werden an alle Router weitergeleitet (flooding). Die Router fragen per IGMP, ob sich
in Usersegmenten Mitglieder der Multicastgruppe befinden. Sind keine zugehörigen
Gruppenteilnehmer vorhanden, sendet der Router an den Nachbar eine Prune-Nachricht im
Multicast-Baum zurück.
Grafting: Die Anmeldung an einen Multicast-Gruppe wird über den Grafting-Mechanismus
realisiert. Ein User sendet eine IGMP-Nachricht an den lokalen Router. Dieser sendet eine GraftNachricht zum den Nachbar Routern. Der MC-Baum wird erweitert.
6.2.6
MULTICAST OSPF (MOSPF)
Das MOSPF (Multicast Open Shortest Path First) ist eine Erweiterung von OSPF. Grundlage
bildet Link State Routing. Jeder Router kennt die lokalen Nachbarn und die komplette IP
Infrastruktur. Über die Topologie des Netzes wird der kürzeste Pfad vom Sender zu der
Multicastgruppe berechnen. Für jedes Paar (Sender/Gruppe) wird ein eigener MC-Baum
berechnet.
Die Vorteile eines Link-State-Algorithmus im Vergleich zum Distanz-Vektor Algorithmus liegen in
der schnelleren Konvergenz des Verfahrens. Dafür muss jedoch die Gruppenmitgliedschaft
durch das gesamte Netz gesendet werden. Aus diesem Grund ist MOSPF nur für das Routing in
autonomen Systemen von begrenzter Größe geeignet.
6.2.7
PROTOCOL INDEPENDENT MULTICAST (PIM)
PIM realisiert zwei verschiedene Routing-Strategien. Der PIM Dense-Mode basiert auf Flooding
und Pruning, beim PIM Sparse-Mode soll das Fluten im gesamten Netzwerk vermieden werden.
63
6.2.8
PIM DENSE MODE
Wie der Begriff dense schon sagt, geht man davon aus, dass die Multicast-Gruppen-Mitglieder
dicht verteilt im Netzwerk sind. Es steht ausreichend Bandbreite zur Verfügung. DM wurde
entwickelt unter der Annahme, dass alle Netzwerke Multicast-Gruppen besitzen. Beim DM wird
der Aufbau und Erhalt eines MC-Baums durch regelmäßiges Fluten realisiert, um jedes Subnetz
im Netzwerk zu erreichen.
Will ein Sender eine Sitzung anmelden, sendet er ein Multicast-Frame an den lokalen Router.
Dieser leitet die Pakete auf allen Interfaces weiter, außer auf dem, wo es ankam. Damit erhalten
alle Router dieses. Wenn nun ein Multicast Router ein solches Paket erhält, fragt er per IGMP in
den Usersegmenten, ob es Mitglieder dieser Multicast-Gruppe gibt. Falls nicht wird er das
Subnetz „prunen“. Gehört der Router selber nicht zum MC-Baum, geht er in den prune Status.
6.2.9
PIM SPARSE MOD-EINE NEUE IDEE.
Beim PIM-SM wird die Annahme gemacht, dass es keine Teilnehmer einer bestimmten
Multicast-Gruppe gibt. Auf das „flood and prune“ Prinzip wird verzichtet.
In PIM-SM existieren ausgewählte Router als so genannte Rendezvous Points (RP), bei denen
sich die Teilnehmer zuerst anmelden müssen, bevor sie Multicast-Pakete einer bestimmten
Gruppe erhalten. Die MC Sender müssen sich ebenfalls am RP anmelden. Ein PIM-SM-Netz
kann aus einem oder mehreren RPs bestehen, welche dann auch für verschiedene MulticastGruppen zuständig sind.
PIM-SM realisiert Shared Trees. Diese sind über einen RP miteinander verbunden. Beim Shared
Tree schicken die Sender ihre Pakete an den RP. Dieser hat die Informationen, wer die
Multicast-Pakete empfangen will und leitet diese weiter.
Ab einem gewissen Schwellenwert kann der RP den Shared Tree in einen Source-Based Tree
umwandeln. Das heißt, dass der Verkehr nicht mehr über den RP läuft, sondern zwischen
Sender und Empfängern direkt übermittelt wird.
PIM SM bringt wesentliche Verbesserungen gegenüber dem „floot and prune“ Verfahren. Es
basiert nicht auf dem Fluten von Multicast-Paketen, sondern auf einem expliziten
Anmeldeverfahren. Es kombiniert die Möglichkeiten des Source-Based Tree (kürzester Pfad von
Sender zu Empfänger) und des Shared Tree (nur Router im Pfad, die Teilnehmer haben) und geht
effizienter mit Bandbreite um.
64
7 Layer 3 Protokolle
7.1
OSPF
Der Begriff OSPF steht für „Open Shortest Path First“ und stellt neben RIP (siehe Kapitel RIP)
eine weitere Methode zur dynamischen Erstellung einer Routingtabelle bei Routern dar. Der
Begriff OSPF setzt sich aus “Open” (da die Spezifikationen öffentlich zugänglich sind) bzw. SPF
(basierend auf Dijkstra’s „Shortest Path First“- Algorithmen) zusammen. OSPF ist ein IGP
(Interior Gateway Protocol). und wurde 1980 von der „working group of the IETF“ entwickelt.
IGPs nennt man Routing Protokolle innerhalb eines AS (Autonomen Systems). Ein AS
kennzeichnet eine Gruppe von Netzwerken und Routern, die von einer lokalen Administration
verwaltet werden.
7.1.1
RFCS
•
Der OSPF Algorithmus bzw. verwandte Themen sind in folgenden RFCs beschrieben:
•
RFC 2328: Open Shortes Path First (OSPF) V2 Protocol
•
ältere Versionen: RFC 1131, RFC 1247, RFC 1583, RFC 2178
•
RFC 1584: Multicast Extensions to OSPF
•
RFC 1850: OSPF Version 2 Management Information Base
•
RFC 2740: OSPF for IPv6
•
RFC 1812: Requirements for IPv4 Routers
7.1.2
FUNKTIONSWEISE
Im Gegensatz zu dem Distance-Vector-Protokoll RIP ist OSPF ein Link-State-Protokoll. Bei
einem Link-State-Protokoll haben die Router eine globale Sicht der Topologie und wissen – mit
gewissen Einschränkungen - über alle Router bzw. alle Links zwischen den Routern Bescheid.
Alle Router verfügen somit über eine Topologiedatenbank ihrer Umgebung. In dieser
Topologiedatenbank sind die Router und deren Verbindungen untereinander gespeichert. Die
Verbindungen weisen zudem konfigurierbare Kosten auf.
Anhand der Topologiedatenbank wird nun der beste Weg in das Zielnetz mit Hilfe der Dijkstra
SPFs (Shortest Path First) Algorithmen berechnet. Im Fehlerfall kann rasch ein Ersatzweg
berechnet werden (es sind ja alle alternativen Wege bekannt).
Der Informationsaustausch zwischen den Routern erfolgt über Link State Advertisements (LSAs).
Jeder Router überwacht periodisch seine lokalen Links und gibt Topologieänderungen („Link
up“ und „Link down“) mittels solcher LSAs weiter. Die Änderungen werden so dem gesamten
Netz bekannt gegeben. Die Topologiedatenbanken der einzelnen Router werden entsprechend
des Inhalts der LSAs beibehalten bzw. angepasst.
OSPF bietet gegenüber RIP einige entscheidende Verbesserungen (wie schnellere Reaktion auf
Veränderung im Netz) und ist daher bei neueren Netzen i.A. das Routing-Protokoll der Wahl.
65
OSPF bietet ferner Authentifizierung von routing updates und nutzt IP-Multicasts beim
Versenden bzw. Empfangen der updates. Eines der Design-Ziele von OSPF war außerdem, ein
rasches Reagieren bei Topologieänderungen zu gewährleisten, ohne dabei zu viel Protokolloverhead zu erzeugen.
7.1.3
DAS AREAKONZEPT
Innerhalb eines AS kann die gesamte OSPF-Domain in mehrere Areas geteilt werden. Die
Topologiedatenbank der einzelnen Router enthält nur die Topologie der Area, in der sich der
Router befindet. Topologiedatenbanken von Routern, welche sich in derselben Area befinden,
sollten demnach identisch sein. Jede Area wird durch eine ID (im IP-Adressenformat)
gekennzeichnet Möglich sind: 0.0.0.1 bis 255.255.255.255. Diese ID kann frei gewählt werden
und ist unabhängig von den IP-Adressen. Die Anzahl der Router innerhalb einer Area ist von
verschiedenen Faktoren abhängig (Router-Spezifikationen, Grad der Vermaschung u.s.w), als
Richtwert kann ein Maximum von 50 Routern pro Area gewählt werden.
Eine OSPF Domain kann aus nur einer Area aufgebaut werden oder mehrere Areas beinhalten.
OSPF Areas müssen dabei über eine spezielle Area, die so genannte Backbone Area (Area-ID
0.0.0.0) miteinander verbunden werden. In der Backbone Area sind keine Benutzer bzw. Server
erlaubt. Demnach müssen OSPF-Domains mit mehr als einer Area eine Backbone Area
beinhalten.
Abbildung 26: Area-Konzept
7.1.4
METRIK
Die Ermittlung des besten Pfades basiert auf Kosten, die die einzelnen Teilstrecken verursachen.
Die Kosten sind von der Bandbreite der jeweiligen Links abhängig und werden in einem dafür
vorgesehenen Feld definiert; das Limit beträgt 65,535.
66
7.1.5
OSPF ROUTER CLASSIFICATION
In einer OSPF –Domain wird zwischen 4 verschiedenen Router Typen unterschieden
•
Internal Router:
Ein Internal Router besitzt alle Interfaces in derselben AreaArea Border Router (ABR):
Area Border Routers sind Router, die an mehrere Areas angeschlossen sind und somit
den Datentransport zwischen diesen Areas übernehmen können. Ein ABR besitzt eine
Topologiedatenbank je Area. OSPF Areas müssen dabei in der Regel immer über die
Backbone Area miteinander verbunden werden. Ein ABR ist demnach i.A. immer auch
an die Backbone Area angeschlossen. Jeder Area Border Router fasst die Topologie
der angeschlossenen Areas zusammen und gibt das Ergebnis an die jeweils andere
Area weiter. Ebenso werden die Routen jeder Area in die jeweils andere Area wie
externe Routen bekannt gegeben.
•
Autonomous System Boundary Router (ASBR) :
Ein Autonomous System Boundary Router stellt Verbindungen zu anderen Autonomen
Systemen (AS) her, Pfade werden dabei etwa über BGP oder mittels statischer
Konfiguration importiert (OSPF-ASE Routen). Ein ASBR kann ein Internal Router
(Backbone oder andere Area) oder ein ABR sein.
•
Backbone Router:
Ein Backbone Router hat zumindest ein Interface in der Backbone Area. Auch Area
Border Routers sind somit Backbone Routers.
67
Abbildung 27: Router Classification
7.1.6
VIRTUAL LINKS
OSPF Router müssen i.A. alle Interfaces in einer Area besitzen oder ein Interface in der
Backbone Area haben. Werden Areas definiert, die keine direkte Verbindung (über einen ABR)
zum Backbone besitzen, kann man diese Verbindung lediglich durch einen „Kunstgriff“ – über
einen so genannten Virtual Link – herstellen. Dabei wird durch einen Tunnel über eine Transit
Area (die dazwischen liegende Area) eine Verbindung zum ABR und somit zum Backbone Area
hergestellt.
Die Technologie der Virtual Links dient in erster Linie dazu Verbindungen während etwaiger
Umstellungen herzustellen. Da durch den Einsatz von Virtual Links ein single point of failure
entsteht, sollten Virtual Links lediglich zur temporären Verbindungsherstellung verwendet werden.
68
Abbildung 28: Virtual Link
7.1.7
SPEZIELLE AREAS
Um die Speicheranforderungen kleinerer Router einer Area gering zu halten wurden spezielle
Areas entwickelt:
•
Stub Area:
Ein Router in einer Stub Area kennt zwar immer noch alle Routen der gesamten OSPFDomain, die Routen von anderen Autonomen Systemen sind ihm jedoch unbekannt
(für alle OSPF-ASE Routen bekommt er vom ABR eine Default.Route). Der Weg zu
oder aus einer Stub Area erfolgt immer über einen der ABRs. Stub Areas dürfen keinen
ASBR beherbergen (Ausnahme: Not So Stubby Area). Stub Areas müssen zumindest
einen ABR beinhalten, wenn mehrere ABRs bestehen, kann es zu nicht optimalen
Routing Pfaden kommen. Virtual Links sind in einer Stub Area nicht erlaubt.
•
Totally Stubby Area:
Eine Sonderform der Stub Area ist die Totally Stubby Area. Ein Router in einer Totally
Stuby Area kennt nur noch die Routen innerhalb seiner Area. Um auch Routen in
anderen Areas oder in anderen Autonomen Systemen zu erreichen erhält er vom ABR
eine Default Route.
69
•
Not So Stubby Area (NSSA):
Auch Not So Stubby Areas sind eine Sonderform der Stub Areas. Im Gegensatz zur
Stub Area darf eine NSSA jedoch einen ASBR beinhalten. Von diesem bekommt es die
Routen für das entsprechende AS und gibt diese auch an den Backbone weiter. Für
andere Autonome Systeme erhält das NSSA vom ABR wiederum eine Default Route.
Abbildung 29: Unterschiedliche Areas
7.1.8
LSA – LINK STATE ADVERTISEMENTS
Der Informationsaustausch zwischen den Routern erfolgt über Link State Advertisements (LSAs).
Dabei werden zwischen verschiedenen Typen unterschieden:
•
Hello Packets (LSA Packet Type 1): Wird ein OSPF-Router gestartet sendet er an allen
OSPF Interfaces Hello Packets aus. Dazu verwendet er als Destinationsadresse die
70
Multicast Adresse 224.0.0.5. Die anderen OSPF Router antworten mit Hello Response
Packets, womit eine bidirektionale Kommunikation zwischen zwei Nachbar Routern
aufgebaut ist.
•
Database Descriptions (LSA Packet Type 2): Hier geben die Router durch Senden von
Database Descriptions ihre jeweiligen Topologie Datenbanken bekannt.
•
Link State Requests (LSA Packet Type 3), Link State Updates (LSA Packet Type 4):
Die Router senden dann solange Link State Requests bzw. Link State Updates bis ihre
Topologiedatenbanken
übereinstimmen.
Danach
gelten
die
Router
als
„adjacent“ (auch „full“).
•
Link State Acknowledgement (LSA Packet Type 5): Jedes LSA Packet wird durch ein
Link State Acknowledgement Packet quittiert, es können auch mehrere LSA Packets
mittels eines Acknowledgements quittiert werden.
7.1.9
DESIGNATED ROUTER
Im Allgemeinen sind die Router über Punkt-zu-Punkt Links miteinander verbunden. Ist dies
jedoch nicht der Fall, wie zum Beispiel im LAN oder bei X.25, so würden unnötig viele
Adjacencies bzw. Nachbarschaften entstehen. Deshalb wird über die Hello LSAs pro Segment je
ein Designated Router bzw. für einen etwaigen Ausfall dieses Routers ein Backup-Router
bestimmt. Der Designated Router unterhält in seinem Segment über virtuelle Punkt-zu-Punkt
Links alle Nachbarschaften.
7.1.10
INFOS UND LINKS:
http://www.ietf.org/html.charters/ospf-charter.html
http://www.ietf.org/html.charters/mospf-charter.html
http://www.ietf.org/rfc/rfc2328.txt
7.2
7.2.1
VRRP VIRTUAL ROUTER REDUNDANCY PROTOCOL
GRUNDLAGEN
Im Juni 1997 wurde die IETF-Arbeitsgruppe Virtual Router Redundancy Protocol (VRRP) ins
Leben gerufen. Ziel der Arbeitsgruppe war es, ein Protokoll zu definieren, mit dem mehrere
Router zu einem virtuellen Router zusammengefasst werden können, der unter einer virtuellen
IP-Adresse angesprochen werden kann. Dabei sollte dieser Mechanismus sowohl für IPv4 als
auch für IPv6 bereitgestellt werden können.
Die Notwendigkeit hierfür liegt in der Konfiguration von Endgeräten begründet. Endknoten
werden meist mit statischen Adressen für das Default Gateway bzw. Routing-Tabellen
konfiguriert. Das führt zu einem Single Point of Failure da eine dynamische Konfiguration nur
schwer oder gar nicht möglich ist. Dies trifft auch für die Konfiguration mittels DHCP zu.
71
VRRP ermöglicht es, mehrere Router (Layer 3 Switches) über ein- und dieselbe IP-Adresse
anzusprechen. Die Vermittlung und Weiterleitung der Pakete wird dabei natürlich nur von einem
System vorgenommen, dem so genannten Master. Alle anderen Router werden im regulären
Betrieb als Backup-Systeme genutzt und sind zunächst inaktiv. Im ersten Arbeitsschritt legt das
Protokoll dabei jeweils Master- und Backup-System fest. Wird dabei mit einer virtuellen IPAdresse gearbeitet, so wird zunächst verglichen, ob die virtuelle IP-Adresse mit der IP-Adresse
eines VRRP-Routers übereinstimmt. Ist dies der Fall, so wird der Router mit dieser IP-Adresse
zum Master. Für den Fall, dass keiner der VRRP-Router mit der virtuellen IP-Adresse konfiguriert
wurde, wird als Entscheidungskriterium die VRRP-Priorität herangezogen. Weisen mehrere
Geräte die gleiche Priorität auf, so wird der Router mit der höheren IP-Adresse der Master. Im
Fehlerfall übernimmt das Backup-System sowohl die virtuelle IP-Adresse als auch die
zugehörige MAC-Adresse. Für die Endgeräte ist dieser Vorgang daher sowohl auf Layer 2 als
auch auf Layer 3 transparent.
Eine Master-Neuwahl für eine VRID erfolgt, wenn ein bisheriger Master bekannt gibt, diese Rolle
aufzugeben, oder falls die Backup-Router erkennen, dass dieser nicht mehr wie gefordert die
Bekanntgabe-Pakete innerhalb einer durch die von diesem zuletzt verwendeten „Advertisement
Interval” festgelegten Zeit versandt hat. Damit diese Bekanntgabe-Pakete im Normalfall den
Backup-Router erreichen, ist sicherzustellen, dass zwischen den beteiligten VRRP-Interfaces
eine Layer-2-Verbindung existiert.
Einzig der Master reagiert auf ARP-Anfragen an die virtuelle Adresse; diese virtuelle Adresse ist
innerhalb des IEEE 803-Standardformates für MAC-Adressen definiert als 00-00-5E-00-01
gefolgt von der VRID; die Adresse entstammt dem IANA-OUI. Die maximale Anzahl von
unterschiedlichen VRIDs ist auf 255 beschränkt.
7.2.2
DESIGNBEISPIELE FÜR ENTERASYS EXPEDITION ROUTER
Netz 172.16.1.0/24
Netz 172.16.2.0/24
L2
BB-1
B
S
0
A
X
S
1
E
-
SSR
G
-SX21
0-2
B
S
0
A
X
S
1
E
-
SSR
G
-SX21
0-2
B
S
0
A
X
S
1
E
-
SSR
G
-SX21
0-2
B
S
0
A
X
S
1
E
-
CONTROLMODULE
SSR-8
BB-2
SSR
G
-SX21
0-2
SSR
H
-TX22
0-8
B
0
1A
T
S
X
E
/0
1-
SSR
H
-TX22
0-8
B
0
1A
T
S
X
E
/0
1-
SSR
G
-SX21
0-2
B
S
0
A
X
S
1
E
-
SSR
G
-SX21
0-2
SSR
G
-SX21
0-2
B
S
0
A
X
S
1
E
-
L3
CONTROLMODULE
SSR-8
Abbildung 30: Design mit Expition Router
72
SSR
G
-SX21
0-2
B
S
0
A
X
S
1
E
-
B
S
0
A
X
S
1
E
-
SSR
H
-TX22
0-8
B
0
1A
T
S
X
E
/0
1-
SSR
H
-TX22
0-8
B
0
1A
T
S
X
E
/0
1-
7.2.2.1
Hochverfügbarkeit ohne Loadbalancing
Ein Client befindet sich im Subnetz 172.16.1.0/24 mit der IP-Adresse 172.16.1.100/24 und dem
Default Gateway 172.16.1.1. In der nachfolgenden Konfigurationbeispielen wird BB-1 zum
Master, BB-2 zum Backup-Router für diesen Client. Alle Clients benutzen das gleiche Default
Gateway.
7.2.2.2
BB-1 config
system set name BB-1
interface create ip IP.1 address-netmask 172.16.1.1/24 port gi.1.1
…
…
ip-redundancy create vrrp 1 interface IP.1
ip-redundancy associate vrrp 1 interface IP.1 address 172.16.1.1/24
ip-redundancy start vrrp 1 interface IP.1
7.2.2.3
BB-2 config
system set name BB-2
…
…
7.2.3
HOCHVERFÜGBARKEIT MIT SYMMETRISCHEM LOADBALANCING
Client A befindet sich im Subnetz 172.16.1.0/24 mit der IP-Adresse 172.16.1.100/24 und dem
Default Gateway 172.16.1.1. Client B hat die IP-Addresse 172.16.1.200 mit dem Default
Gateway 172.16.1.2. Es erfolgt eine Lastverteilung da verschiedene Default Gateways benutzt
werden, die sich gegenseitig durch VRRP absichern. D.h. für Client A ist BB-1 der Master und
BB-2 der Backup; für Client B ist BB-2 der Master und BB-1 der Backup. Dies ist insbesondere
für schmalbandige Anbindungen der Router an die Layer-2-Hardware interessant.
7.2.3.1
BB-1 config
7.2.3.2
BB-2 config
73
7.2.4
HOCHVERFÜGBARKEIT FÜR MEHRERE SUB-NETZE UND „NEUEN“ VIRTUELLEN
ADRESSEN
Für bestimmte Umgebungen kann es notwendig werden, dass die virtuellen IP-Adressen nicht
identisch mit den „realen“ IP-Adressen der Router sind. In diesem Fall konfiguriert man als
virtuelle Adresse eine „neue“, bisher nicht vorkommende Adresse. Diese Adresse wird dann als
Default Gateway für die Clients benutzt. Die Priorität legt dann fest, wer Master oder Backup
wird. Im Beispiel wird BB-1 Master für das Interface IP.1/Backup für IP.2 und BB-2 Master für
das IP.2/Backup für IP.1.
7.2.4.1
BB-1 config
ip-redundancy set vrrp 1 interface IP.1 priority 250
7.2.4.2
BB-2 config
7.2.5
TIPPS UND TRICKS
Im Umfeld der Cabletron/Enterasys Secure-Fast-VLAN-Technologie muss eine VRRPKonfiguration immer gemäß Kapitel 7.2.4 durchgeführt werden.
Es ist per Default nicht möglich eine virtuelle IP-Adresse per ICMP (ping) zu erreichen. Dies trifft
im Wesentlichen dann zu, wenn der Router gemäß 7.2.4 konfiguriert ist oder der Backup-Router
in den Master-Zustand gegangen ist.
Sollte dies doch gewünscht werden muss es dediziert erlaubt werden.
BB-1 config
ip-redundancy set vrrpID interface xxx icmp-response
74
Im Umfeld von VRRP Designs ist es empfohlen, die Funktion des icmp-redirects auf den
Routern nicht zu erlauben. Grund dafür ist, dass icmp-redirect dafür sorgen kann, dass Clients
mit anderen „Default Routen“ arbeiten als durch ein VRRP-Design erwünscht. D.h. ein Client
bekommt durch „icmp-redirect“ einen „besseren“ Weg z.B. über den Backup-Router
zugewiesen. Da icmp-redirect grundsätzlich nur mit den realen Adressen der Router umgeht und
diese in die lokalen Routingtabellen der Clients einträgt, wird das System von virtuellen Adressen
außer Kraft gesetzt. Im o.g. Fall führt ein Ausfall des Backup-Routers zum totalen
Kommunikationsausfall des Clients.
In einer Default-VRRP-Konfiguration wird bei Ausfall des Masters der Backup-Router dessen
Funktion übernehmen. Wird der Master wieder „online“ übernimmt er wieder seine Funktion als
Master. In bestimmten Fällen kann es vorkommen, dass auf Grund fehlerhafter Hardware oder
Leitungen dieser Zustand ständig wechselt und damit das Gesamtsystem sehr instabil wird. Um
dies zu vermeiden, gibt es die Möglichkeit den so genannten Preempt-mode auszuschalten.
D.h. wird der Backup-Router „aktiviert“ und zum Master, bleibt er solange Master bis er selbst
ausfällt oder neu gestartet wird. Dies sollte man z.B. in ATM/VRRP-Umgebungen benutzen.
75
8 UPN und IEEE 802.1X
Mit dem neuen Standard IEEE 802.1X besteht die Möglichkeit, Anwender bereits vor der
Teilnahme am Unternehmensnetzwerk zu authentisieren. Dies geschieht auf Basis der einzelnen
Ports von Netzwerkgeräten, die diesen Standard unterstützen.
Darüber hinaus ist es wünschenswert, Benutzern mit unterschiedlichen Aufgabenfeldern auch
unterschiedliche Dienstleistungen zur Verfügung zu stellen. Kann man dies auf die Person
bezogen adaptieren, muss man nicht – wie bisher üblich – alle benötigten Dienste für aller
Benutzer zwischen Client- und Server-Netzen freigeben. Das stellt eine erhebliche Verbesserung
der unternehmensweiten Netzwerksicherheit dar und bietet gleichzeitig die benötigte Flexibilität.
Ein Datenerfasser erhält damit eben nur Zugriff auf die Server mit den Diensten, die er für seine
Erfassertätigkeit benötigt. Treten an diesem Client Probleme auf und ein Administrator meldet
sich daran an, so stehen diesem die für die administrativen Tätigkeiten definierten Zugriffe auf
das Server-Netz zur Verfügung. Diese Funktionalität stellt eine erweiterte Implementierung auf
Basis des IEEE 802.1X Standards durch Enterasys Networks dar: User Personalized Network
(UPN).
8.1
AUSGANGSSITUATION
In diesem Beispiel soll eine Abteilung eines Unternehmens drei unterschiedliche Aufgabenfelder
umfassen:
•
•
•
Datenerfasser: Arbeitet mit der Frontend-Software SAPGui auf einem SAP R/3 Server
und erfasst dort Unternehmensdaten
Server-Administrator: Pflegt und wartet einen oder mehrere Server
Administrator: Zeichnet sich für die Gesamt-IT-Infrastruktur verantwortlich
Im Unternehmen findet sich die in Abbildung 31 dargestellte IT-Landschaft:
Die Clients und die Server sind durch den Enterasys-Switch verbunden. Dabei gibt es zwei
grundsätzliche Möglichkeiten: Jeder Client und jeder Server ist auf dem zentralen Switch
angeschlossen, oder aber die Clients oder die Server sind vorher durch eine Netzwerkkomponente zusammengefasst worden und dieses Gerät ist an den Enterasys-Switch
angeschlossen. Für Betrachtungen auf Grundlage des IEEE 802.1X Standards ist das ein
76
erheblicher Unterschied, da bei der Freischaltung des Ports automatisch alle dahinter liegenden
Geräte für den entsprechenden Zugang mit freigeschaltet sind. Für die Betrachtungen des User
Personalized Networks stellte dies kein Unterschied dar, da die Freischaltung für die
freigegebenen Dienste auch an MAC-Adressen festgemacht werden können.
User Personalized Network - Schematische Darstellung
Netsight
Policy Manager
Client
SAP R/3-Server
Client
Enterasys Switch
Client
SAP R/3-Server
Client-Netz
Server-Netz
Abbildung 31: UPN-Schema
8.2
BESCHREIBUNG DES AUFBAUS
Grundlage dieses Papiers ist eine erfolgreiche UPN-Teststellung in einem heterogenen
Windows-/SAP-Netzwerk. Alle hier dargestellten Ergebnisse können aber problemlos für ein
existierendes Netzwerk adaptiert werden. Der hier exemplarisch beschriebene Aufbau besteht
aus folgenden Komponenten:
Komponente
W2K
Windows
Advanced
Server:
2000
Server,
IP-Adressen
Dienste
192.168.10.1
DNS
DHCP:
Scope
192.168.10.0/24
77
konfiguriert
als
Domain
Controller
einer nativen ADS
Struktur
RRAS:
Voraussetzung
für IAS
IAS: RADIUS-Server
Netsight Atlas Policy
Manager
SAP-Server: Windows
2000
Advanced
Server,
konfiguriert
als Member Server im
ADS-Baum
192.168.10.111
2x
WindowsXP
Clients:
Windows
XP
Professional,
konfiguiert
als
Standalone
Workstation
192.168.10.110
192.168.10.112
SAP R/3 4.6C IDES
Tabelle 14: UPN Komponenten
Die Geräte sind verbunden über einen Enterasys Switch (Matrix E7) mit der IP-Adresse
192.168.10.50
8.3
EINSTELLUNGEN IN WINDOWS 2000 ADVANCED SERVER
8.3.1
KONFIGURATION DES ROUTING AND REMOTE ACCESS SERVICE (RRAS) FÜR DIE
UNTERSTÜTZUNG DER BENÖTIGTEN AUTHENTISIERUNGSMETHODEN
Der RRAS Dienst muss unter Windows 2000 konfiguriert werden, damit die benötigten
Authentisierungsmethoden CHAP und eventuell PAP im nachfolgend beschriebenen Internet
Authentication Service bekannt sind.
Abbildung 32: IAS Status
Der Service muss dazu installiert und gestartet sein.
78
Abbildung 33: IAS Konfiguration
Im Kontext-Menü des Servers (hier: NEU) finden sich die Eigenschaften (Properties).
Abbildung 34: Propertieswindows beim IAS
79
Im Security-Tab können die Authentisierungs-Methoden (Authentication Methods) eingestellt
werden.
Abbildung 35: Authentisierungsmethode
Für diesen Test wurde sowohl PAP als auch CHAP zusätzlich zu den Standardwerten von
Microsoft (MS-CHAP, MS-CHAP v2) hinzugefügt.
80
8.3.2
KONFIGURATION DES INTERNET AUTHENTICATION SERVICE (IAS) FÜR DIE ZUWEISUNG
UNTERSCHIEDLICHER ROLLEN
Abbildung 36: IAS-Rollendefinition
Der Service muss dazu installiert und gestartet sein. Im Kontext-Menü wird ein neuer Client
angelegt.
Abbildung 37: Rollendefinition, Eigenschaften
81
Die Bezeichnung des Gerätes ist unerheblich, die Referenzierung erfolgt über die Adresse (DNS
oder IP). Zwischen RADIUS Server und RADIUS-Client wird ein Passwort vereinbart, das beide
in der jeweiligen Konfiguration eintragen müssen.
Abbildung 38: Rollendefinition, Ausprägungen
Drei Policies wurden exemplarisch angelegt, die in aufsteigender Reihenfolge mehr
Berechtigungen beinhalten sollen:
•
SAP_USER_Policy: Zugriff auf den SAP R/3-Server mit SAP DIAG Protokoll
(3200/TCP)
•
SAP_Admin_Policy: Zugriff auf SAP R/3-Server auf IP-Basis, dadurch Wartung am
R/3-Server z.B. via Terminal Services möglich
•
Admin_Policy: Zugriff auf alle Server ohne netzwerk-technische Beschränkung
82
Abbildung 39: Rollendefinition, Zuordnung
Die Zuordnung der Policies zu den Benutzern erfolgt über die Matching Condition WindowsGroups matches „SECLAB\SAP_USER“. In der Gruppe „SECLAB\SAP_USER“ sind alle
berechtigten SAP-User eingetragen (s.u. ADS-User). Im Profil dieser Policy finden sich folgende
Einstellungen:
83
Abbildung 40: Rollendefinition, Filter-ID
Das Frame-Protocol und der Service-Type sind Standard-Werte, die nicht verändert wurden. Um
vom Enterasys-Switch die entsprechende Rolle, die im Netsight Policy -Manager definiert wurde,
zu erhalten, muss die Filter-Id definiert werden. Diese Variable erhält folgenden Wert:
Enterasys:version=1:mgmt=su:policy=SAP_USER
84
Abbildung 41: Rollendefinition, Attributinformation
85
Abbildung 42: Rollendefinition, Attribut Information
Die Zuordnung policy=SAP_USER findet sich im Netsight Policy-Manager wieder und bestimmt
somit die zur Verfügung gestellten Netzwerk-Resourcen. Weitere Policies werden nach dem
gleichen Muster konfiguriert.
Die in einer Organisational Unit (IEEE 802.1X) zusammengefassten Gruppen und Benutzer zeigt
der nachfolgende Screenshot Active Directory Users and Computers (ADS-User).
86
Abbildung 43: Aktiv Directory Darstellung
87
Die endgültige Zuordnung der Netsight Policy wird also differenziert über die Gruppenzugehörigkeit und der im IAS definierten Policies.
Da der Benutzer SAP_USER01 in der Gruppe „SECLAB\SAP_USER“ enthalten ist, wird ihm beim
Anmelden am Switch vom IAS die Filter-ID
„Enterasys:version=1:mgmt=su:policy=SAP_USER“
mitgegeben, die wiederum den Switch veranlasst, die für diese Filter-ID im Netsight Policy
Manager definierten Netzdienste zuzulassen bzw. die nicht erlaubten Dienste zu unterbinden.
8.4
EINSTELLUNGEN NETSIGHT POLICY MANAGER
Zur Verwaltung der Regeln und Rollen wird der Netsight Policy Manager benutzt.
8.4.1
ROLLENZUWEISUNG
Generell wurden drei verschiedene Rollen für Benutzer definiert:
•
•
•
Admin: Diesem Benutzer ist voller Zugriff auf alle Netzwerk-Ressourcen gewährt.
SAP_Admin: Diesem Benutzer ist voller Zugriff auf den SAP-Server gewährt. Kein
Zugriff auf andere Ressourcen möglich.
SAP_USER: Diesem Benutzer ist ausschließlich das Launchen des SAP GUIs erlaubt,
andere Dienste werden vollkommen gesperrt.
Hierzu wurden im Policy Manager diese drei Rollen definiert:
Abbildung 44: Policy Manager, Rollendefinition
Die Rolle „Admin“ wird in das Default-VLAN gelegt, in dem auch alle Netzwerk-Ressourcen
liegen.
Die Rollen SAP_Admin und SAP_USER werden in das Discard VLAN gelegt. Damit ist ein Zugriff
auf andere Ressourcen (beispielsweise auf das Active Directory im Default VLAN) nicht möglich.
88
8.4.2
SERVICEZUWEISUNG
Um den Benutzern der Gruppe SAP_Admin und SAP_USER bestimmte Rechte zuweisen zu
können, müssen bestimmte Regeln (Services) definiert werden.
Hierzu muss kurz beschrieben werden, wie die Multi-Layer-Frame-Classification von Enterasys
funktioniert. Enterasys Switch-Komponenten sind in der Lage, die Datenpaket nicht nur auf dem
Layer-2 auszuwerten, sondern auch in die höheren Layer 3 und 4 zu schauen, und die
Datenpakete entsprechend zu klassifizieren. Ist eine Klassifizierung vorgenommen, können
bestimmte Aktionen vorgenommen werden. Dazu zählen zum Beispiel das Zuordnen in VLAN
oder die Priorisierung der Datenpakete.
Weitere Informationen zur Multi-Layer-Frame-Classification können unter www.enterasys.com
nachgelesen werden.
Grundsätzlich wird in der getesteten Umgebung mit DHCP gearbeitet. Daher muss für die beiden
Benutzergruppen zuerst dieser Dienst freigeschaltet werden, damit die Benutzer eine gültige IPAdresse bekommen.
Abbildung 45: Policymanager, Servicedefinition
Hierzu werden die Layer-4-Ports UDP 68 (Bootpc) und UDP 67 (Bootps) freigeschaltet. Das gilt
sowohl für UDP=67/68 als Ziel-Port im Layer 4 als auch für UDP=67/68 als Quell-Port im Layer 4,
was als bilateral Kommunikationbeziehung bezeichnet. Pakete, die dieses Muster vorweisen,
werden dann automatisch in das Default-VLAN gelegt, in dem sich auch der DHCP-Server
befindet.
Als nächster Dienst wird ARP definiert:
Abbildung 46: Policymanager, Servicedetails
89
ARP ist im Layer 2 als Ethertype 806 definiert. Hierzu wird wieder ein Zuordnung in das Default
VLAN getroffen.
Um jetzt den SAP_Admin und SAP_USER Benutzern die Möglichkeit zu geben, eine IP-Adresse
zu bekommen und eine Adress-Auflösung mittels ARP zumachen, müssen die beiden definierten
Dienste auch den Rollen zugewiesen werden.
Abbildung 47: Rollendefinition und Servicezuweisung
Der Unterschied zwischen diesen beiden Benutzergruppen liegt in dem Zugriff auf die SAPApplikation bzw. SAP-Server.
SAP_Admin Benutzer haben vollen Zugriff auf den SAP-Server. Dies wird mit einer Regel SAPServer erreicht.
Abbildung 48: Rollendefinition, Details 1
90
Hierzu wird der Zugang zu dem SAP-Server mit der IP-Adresse 192.168.10.111 erlaubt, indem
man auf dem Layer 3 die IP-Kommunikation von und zu dieser IP-Adresse (Bilateral) erlaubt und
die Datenpakete in das Default-VLAN legt. Dies kann mit jedem beliebigen Server machen, also
auch die Administration von Datenbanken, File- und Applikations-Server kann hiermit gesteuert
werden.
Will man aber nur das Öffnen des SAP-GUIs auf diesem Server erlauben, wird die SAP-DIAGPort-Nummer klassifiziert.
Für diese Art der Kommunikation ist nur eine unidirektionale Verbindung notwendig. Der TCPPort 3200 ist für das Öffnen der SAP-Oberfläche notwendig. Dazu wird auf dem Layer 4 der
TCP-Port 3200 als Ziel-Port klassifiziert und in das Default-VLAN gelegt.
Benutzer aus der SAP_USER Gruppe können jetzt problemlos die SAP-Oberfläche starten,
haben aber keinen Zugriff auf den SAP-Server an sich.
Das wurde durch einen Ping-Service simuliert:
ICMP-Verkehr wird auf dem Layer 3 als IP Protocol Type klassifiziert und in das Default VLAN
gelegt. Durch Zuweisen dieses PING-Service auf den Benutzer SAP-Admin kann ein Ping auf
SAP-Server = 192.168. 10.111 erfolgen, durch Löschen der Regel von der Rolle SAP_Admin
bricht der Ping ab.
91
Als zusätzlicher Dienst wurde noch Telnet definiert, um bestimmte Test durchführen zu können.
Dazu wurde TCP-Port 23 als bilaterale Kommunikation in das DEFAULT VLAN klassifiziert.
8.4.3
AUTHENTISIERUNG
Die Zuweisung der Benutzer zu den entsprechenden Rollen geschieht während des Anmeldens
an das Netzwerk. Hierzu gibt es die Varianten des WEB -Logon oder Authentisierung mittels IEEE
802.1X mit EAP-MD5 oder EAP-TLS.
Der Benutzer gibt entweder sein Benutzernamen und sein Passwort über eine Web-Page ein
(WEB-Logon) oder mittels EAP-MD5 Password Hashing. Die einfache Art ist EAP-TLS, das
Zertifikate zur Authentisierung nutzt.
Abbildung 52: 802.1X Kommunikation
Generell muss daher ein Switch in der Lage sein, die Benutzeranfrage zu erkennen und sie an
einen RADIUS-Server weiterzuleiten, bevor der Benutzer Zugang zum Netzwerk bekommt.
Enterasys Networks Switches sind in der Lage, dies per Port zu tun. Abbildung 52 beschreibt
den prinzipiellen Ablauf der Authentisierung.
92
Es besteht die Möglichkeit, die Authentisierung „Active“ zu schalten und dem Benutzer per
Default keinen Access zu erlauben (Unauthentication Behavior = Discard). Mit der Einstellung
Default Role kann man einem Benutzer beispielsweise minimale Dienste wie DHCP oder ARP
erlauben, den vollen Zugang bekommt der Benutzer aber erst nach erfolgreicher Authentisierung.
In der Test-Umgebung wurden die Ports 1-10 in der herkömmlichen Switch-Einstellung
(Authentication Behavior = Inactive) betrieben. Alle Server sind mit diesen Ports verbunden und
damit gleichzeitig im Default-VLAN. Ports 11-24 wurden um Modus „Authentication Behavior =
Active“ und „Unauthentication Behavior = Discard“ betrieben. Damit sind Benutzer an diesen
Ports gezwungen, sich anzumelden, bevor sie Zugang zum Netzwerk bekommen.
Abbildung 53: Portdetails
Der Switch muss wissen, wer als Authentisierungserver dient. In unserem Testaufbau ist das der
Microsoft Internet Authentication Service auf dem Windows 2000 Server, der als RADIUS-Server
dient. Hierzu wird auf dem Switch eine entsprechende Konfiguration vorgenommen. Vorher wird
die Art der Authentisierung generell aktiviert.
93
8.4.4
WEB-LOGON
Hierzu besitzt der Enterasys Switch einen integrierten WEB-Server, der konfiguriert werden muss.
Man kann eine bestimmte URL bestimmen, in unserem Fall http://sec.
Ein Web Page Banner kann auch frei gewählt werden.
Abbildung 54: Web-Logon Screen
Als nächster Schritt wird die RADIUS-Konfiguration durchgeführt. Hierzu muss zuerst das
Authentisierungsprotokoll (PAP oder CHAP) ausgewählt werden.
Danach wird der RADIUS-Server mit IP-Adresse (192.168.10.1), Port (1645) und Shared Secret
eingetragen und der Switch als RADIUS-Client aktiviert (Enable).
94
Abbildung 55: Policymanager, Radiusdefinition
8.4.5
IEEE 802.1X
Das standardisierte Verfahren zur Benutzerauthentisierung auf Switch-Port-Ebene ist IEEE
802.1X, das auch als EAPoL bezeichnet wird. EAP steht für Extensible Authentication Protocol
ist eine Erweiterung innerhalb des PPP-Standards und spezifiziert die Methode zur
Authentisierung. Enterasys unterstützt derzeit zwei Varianten, EAP-MD5 und EAP-TLS. Bei EAPMD5 wird eine Benutzername/Passwort-Kombination benutzt. EAP-TLS setzt auf Zertifikate, die
von einer Certification Authority vergeben werden.
Zur Nutzung von 802.1X muss man innerhalb des Policy Managers wählen, in welchem Modus
der Switch betrieben werden soll. Dazu wird pro Switch als Authentication Type der Modus
802.1X gewählt.
Abbildung 56: Wahl der Authentifizierungsmethode
95
Die Einstellungen zum Verhalten der Authentifizierung können wieder pro Port vorgenommen
werden.
Nach erfolgreichem Authentifizierungsprozess erscheint im Policy Manager der Benutzer.
Im „Role“-Fenster können alle Benutzer einer Rolle gesucht und angezeigt werden.
Im Folgenden sind für die Rolle SAP_Admin und SAP-User die Anzeigen dargestellt.
Abbildung 57: Portinformation, Details 1
Abbildung 58: Portinformation, Details 2
8.4.6
DEFINITION VON VIRTUELLEN LANS (VLANS)
Die unter dem Bereich Services definierten Dienste werden in entsprechende Virtuelle LANs
(VLANs) gelegt. Prinzipiell benötigen wir in diesem Test nur zwei VLANs, das DEFAULT VLAN
und das DISCARD VLAN.
Im DEFAULT VLAN liegen alle Netzwerk-Ressourcen wie SAP-Server, DHCP-Server, Windows
2000 Server mit Active Directory und Internet Authentication Service (IAS) und der Netsight
Policy Manager. Alle Komponenten innerhalb dieses DEFAULT VLAN können sich problemlos
sehen und untereinander kommunizieren.
Wird ein Datenpaket wie unter dem Kapitel Service beschrieben entsprechend klassifiziert und in
das DEFAULT VLAN gelegt, kann es ebenfalls mit den Ressourcen kommunizieren. Damit sind
intelligente Dienste erst möglich. Man kann es vergleichen mit einem Eimer, in dem alle
Ressourcen sich befinden und die Datenpakete einzeln durch Vorselektieren hinzugeworfen
werden.
Um das Konfigurieren zu vereinfachen, wird der Button „Dynamic Egress Enabled“ aktiviert.
Damit werden die VLAN-IDs auch automatisch in die Egress Forwarding Liste im Switch
eingetragen.
96
Abbildung 59: VLAN Information 1
Das so genannte DISCARD VLAN kann man als schwarzes Loch bezeichnen. Benutzer aus
diesem VLAN können prinzipiell mit keinem anderen Benutzer kommunizieren. Auch innerhalb
des VLANs ist keine Kommunikation möglich.
Dazu wird der Button „Dynamic Egress Enabled“ nicht aktiviert.
97
Abbildung 60: VLAN Information 2
8.5
BENUTZER INNERHALB EINES USER PERSONALIZED
NETWORK
Nachdem all die oben beschriebenen Einstellungen vorgenommen wurden, kann sich ein
Benutzer, der der Gruppe SAP_USER zugewiesen ist, nach erfolgreicher Authentisierung am
Enterasys Switch den SAPGui starten und auf den SAP-Server zugreifen.
98
Abbildung 61: SAP Anmeldung
Nach erfolgreicher Anmeldung am SAP R/3-System kann der Benutzer entsprechend seiner
SAP-Berechtigung arbeiten.
99
Abbildung 62: SAP Access
Es stehen für den Benutzer der Gruppe SAP_USER keine weiteren Dienste zur Verfügung, die er
auf dem SAP Server nutzen könnte. Somit sind nur Zugriffe über das SAP eigene DIAG-Protokoll
(hier 3200/tcp) möglich.
Der Dienst Telnet kann aber problemlos von dem SAP_Admin genutzt werden, um auf den SAPServer zugreifen zu können.
Die Dienste können jedem Benutzer über den Netsight Atlas Policy Manager jederzeit dynamisch
zugewiesen werden. Das ermöglicht ein enormes Maß an Flexibilität und verringert die
Betriebskosten.
100
9 Sicherheit
9.1
EINE GANZHEITLICHE SICHERHEITSSTRUKTUR FÜR DAS
UNTERNEHMENSNETZWERK
Unternehmensweite Netzwerke befinden sich ständig in der Weiterentwicklung. Anfänglich
diente das Netzwerk einigen wenigen Mitarbeitern in einem Büro zur gemeinsamen Nutzung von
Druckern und Dateien oder zur Verbindung einiger weniger Großrechner. Heute haben
Netzwerke den Stellenwert einer unternehmenskritischen globalen Infrastruktur und sind im
modernen Geschäftsleben mindestens genauso wichtig wie das traditionelle Telefonnetz.
"Beim Netzwerk geht es nicht mehr nur um Bits, Bytes und
E-Mails. Das Netzwerk ist am Aufbau, Erhalt und der
Förderung des Vertrauens von Geschäftsbeziehungen
beteiligt. Das Netzwerk ist das Geschäft an sich." (Quelle: IDC)
1999 wartete die Marktdynamik mit der größten Herausforderung in der Geschichte der
Informationstechnik (IT) auf: dem drohenden Jahr-2000-Problem. Zum Glück erwiesen sich viele
Befürchtungen als unbegründet. Es kam zu keinen größeren finanziellen oder geschäftlichen
Verlusten. Aber das Jahr-2000-Problem hatte eine noch interessantere Entwicklung zur Folge: es
steigerte die Transparenz der Informations- und Netzwerktechnik in Unternehmen auf ein bislang
beispielloses Maß – weltweit erkennt nun jeder Firmenchef und jeder Vorstand, wie wichtig es für
das geschäftliche Interesse eines Unternehmens ist, die richtigen Investitionen in die
Informationstechnik zu tätigen.
Das Jahr-2000-Problem veranlasste die IT-Leiter und Betreiber von Unternehmensnetzwerken,
sich näher mit Infrastruktur-Redundanz zu befassen, um größtmögliche Verfügbarkeit und
Verlässlichkeit zu gewährleisten. Im Laufe des Jahres 1999 wurden IT-Leiter eindringlich auf die
Instabilität ihres Unternehmensgeschäftes bei einem auch noch so kurzen Ausfall ihres ITInfrastruktur hingewiesen. Erstmals in der Geschichte der Informationstechnologie investierte
man Milliarden von Dollar in „IT-Sicherheit“, d.h. in die Integration eines sehr hohen Standards
an Zuverlässigkeit und Redundanz von Systemen, PCs und Servern über Anwendungen bis hin
zur Netzwerkinfrastruktur für den Ernstfall im Jahr 2000.
„Eine Festigung der Netzwerkinfrastruktur ist ganz entscheidend für das Vertrauen in unternehmenskritische Anwendungen.“ (Quelle: IDC, Plugging the Holes in eCommerce: The Market
for Intrusion Detection and Vulnerability Assessment Software, 1999-2003", Juli 1999.)
101
9.1.1
UNSERE INFORMATIONSTECHNIK (IT) FUNKTIONIERT , ABER IST SIE AUCH SICHER?
Am 1. Januar 2000 wachte nahezu jeder IT-Leiter auf, atmete erleichtert auf, dass sich die Welt
noch drehte, und stellte zufrieden fest, dass sich alle Investitionen in System -Upgrades bezahlt
gemacht hatten. Die Investition in das Jahr-2000-Problem hatte zwar die Antwort auf die Frage
der Zuverlässigkeit gebracht, warf aber neue Fragen zur Sicherheit der IT-Infrastruktur auf.
Firmenchefs waren zufrieden mit der hohen Zuverlässigkeit und Widerstandsfähigkeit ihrer
Systeme gegen physikalisches Versagen, doch der gestiegene Stellenwert der IT-Kosten und
das Bewusstsein, dass ihre Unternehmen auf IT angewiesen waren, lenkte ihre Aufmerksamkeit
auf die Sicherheit ihrer Systeme und der Daten, die über sie gespeichert und übertragen wurden.
Das Jahr 2000-Problem zwang die Unternehmen nicht in die Knie, sondern war nie mehr als nur
eine potenzielle Bedrohung. Hacker und Computervandalismus sind jedoch ein echtes,
wohlbekanntes Problem, das immer mehr um sich greift. Tatsächlich büßten viele USInternetprovider und E-Commerce-Betreiber unmittelbar nach Beginn des Jahres 2000 Millionen
von Dollar durch Angriffe aus dem Internet ein. Was im Internet geschehen kann, könnte
genauso leicht und statistisch gesehen sogar mit noch größerer Wahrscheinlichkeit innerhalb
eines Unternehmens passieren.
Nicht vorstellbar, welche Auswirkungen wohl ein größerer Netzwerkausfall am 21. Dezember
2000 für einen Einzelhändler hätte, der vom E-Business abhängig ist. Ein derartiger Fehler würde
den Umsatz beträchtlich reduzieren, könnte aber aus vielerlei Gründen auftreten. Es stellt sich
also die Frage, welche Konsequenzen für ein Unternehmen entstünden, dessen PCs wegen der
Eliminierung eines Virus einen ganzen Tag lang nicht einsatzbereit sind.
Auf den privaten Bereich übertragen, sollte man sich einmal überlegen, wie abges chnitten von
der Außenwelt man sich fühlen würde, wenn man seine E-Mail nur einen einzigen Tag lang nicht
lesen könnte.
Ergebnisse einer Umfrage zu Computerkriminalität und Sicherheit in Organisationen aus dem
Jahr 2000 (Quelle: The Computer Security Institute, 22. März 2000):
•
•
•
90 % der Befragten entdeckten Verstöße gegen die Computersicherheit innerhalb der
letzten 12 Monate
70 % berichteten über schwerwiegende Verletzungen der Computersicherheit, z.B.
Diebstahl urheberrechtlicher Informationen, Finanzbetrug, externe Systemeingriffe,
DoS (Denial of Service) -Übergriffe
74 % gaben finanzielle Einbußen in Zusammenhang mit Verstößen gegen die
Computersicherheit an
9.1.2
SICHERHEIT SPIELT DIE HAUPTROLLE
Die sich im Umbruch befindliche Dynamik computerbezogener Aktivitäten innerhalb von
Unternehmen wirft die Frage nach Sicherheit auf. Der enorme Anstieg von IT-Strukturen in den
90er Jahren und die jüngste, sprunghafte Entstehung E-Business-zentrierter Unternehmenskulturen haben viele Firmen für neue Sicherheitsverstöße von innen und außen anfällig gemacht.
Immer mehr Angestellte kommen derzeit täglich mit den verschiedensten IT -Ressourcen in
Berührung. Die starke Zunahme von „vernetztem“ Personal lässt die mögliche Bedrohung der ITInfrastruktur exponentiell ansteigen.
Das E-Business hat die Grenzen des Unternehmensnetzwerks verwischt. Es ist heute kaum
noch festzustellen, was und wer sich im Inneren befindet und was außerhalb des physikalischen
Unternehmensnetzwerks liegt. Die elektronische Kommunikation geht weit über die einfache E-
102
Mail von Firma zu Firma hinaus. Sie umfasst nun die gesamte Supply Chain einer Organisation.
Es müssen Regeln definiert werden, wer zu der Liste der zugangsberechtigten User gehört und
wer von ihr ausgenommen ist.
Noch wichtiger in diesem Zusammenhang ist, dass Informationen ein geschäftlicher Aktivposten
geworden sind. Das, was man über seine Kunden, über seine Produkte und Supply Chain und
seine Lieferanten weiß, ist der Inbegriff des Geschäftserfolgs.
Laut Angaben der Network Assurance Security Group
entstanden 1998 Verluste in Höhe von über 100 Millionen
Dollar durch Computerkriminalität, Betrug und Malicious
(böswillige) Codes.
Obwohl die meisten Netzwerke über irgendeinen Schutz
gegen Übergriffe aus dem Internet verfügen, sind Angriffe
aus dem Intranet nach Angaben der Meta-Gruppe für etwa
70% der Computerabstürze verantwortlich.
Laut IDC machen Netzwerkkomplexität und die nicht
endende Flut an Software-Upgrades und -Patches viele
Netzwerke anfällig für unerlaubte Zugriffe.
Der Schaden (und die Kosten) durch Computervandalismus
wie z.B. durch den Love Bug E-Mail-Virus oder durch DDoS
(Distributed Denial of Service)-Übergriffe Ende 1999 und
Anfang 2000 sind unermesslich sowohl im Hinblick auf den
Datenverlust als auch unter dem Aspekt verloren
gegangener Produktivität.
Die Netzwerkkonfiguration kann versehentlich oder
mutwillig
durch
die
Installation,
fehlerhaften
Netzwerkzubehörs oder durch absichtliche Änderung der
Konfiguration der rechtmäßigen Netzwerkausstattung
mittels SNMP-Dienst (Simple Network Management
Protocol) geändert werden.
103
9.1.3
WER IST PETE?
Nach Angaben der Meta Gruppe zufolge ist die Wahrscheinlichkeit für Unternehmen mit Intranetvernetzten Usern Opfer eines Übergriffs innerhalb ihrer eigenen Grenzen zu werden, doppelt so
hoch wie für Übergriffe über das Internet durch externe Teilnehmer. Diese Statistik stellt genau
die Grundsätze in Frage, nach denen Unternehmen ihre bestehenden Sicherheitsmaßnahmen
seit 10 Jahren entwerfen. Die Bedrohung aus den eigenen Reihen ist, auch wenn es viele
Firmenchefs und IT-Leiter überraschen mag, statistisch gesehen eigentlich am logischsten.
Enterasys Networks ist auf der Suche nach einer Lösung bei Sicherheitsverstößen immer wieder
auf den so genannten PETE gestoßen. PETE ist der Potential Employee Threat to Enterprise
(potentielle Bedrohung des Unternehmens durch einen Angestellten). Mit anderen Worten: PETE
macht 70% der möglichen Bedrohungen aus, mit denen viele Unternehmen heutzutage
konfrontiert sind.
PETE arbeitet wahrscheinlich in Ihrer Firma. Aber warum stellen PETEs eine so große Bedrohung
dar?
PETE ist mit dem Intranet verbunden.
PETE ist Arbeitstag um Arbeitstag an die gesamte IT-Struktur des Unternehmens angeschlossen.
PETE missbraucht oder greift Ressourcen mittels einer Hochgeschwindigkeitsverbindung von 10
oder 100 Mbit/s an.
PETE verfügt von zu Hause, vom Hotelzimmer oder sogar vom Zulieferbetrieb aus über einen
Zugang zu dem IT-Infrastruktur.
PETE wird von 99 % aller derzeitigen Sicherheitssysteme nicht unschädlich gemacht.
PETE braucht die Internet Firewall-Systeme nicht zu passieren.
PETE beschädigt möglicherweise ohne Absicht IT-Ressourcen.
PETE betreibt möglicherweise nur falschen Gebrauch des Intranet oder verursacht Schaden
durch Virusempfang.
Einzelpersonen, die dem PETE-Profil entsprechen, machen nur einen sehr kleinen Prozentsatz
der vernetzten Angestellten aus und sind zum Glück dünn gesät. Aber nach Meinung von
Industrieanalysten verursachten genau diese konkrete Umsatzeinbußen und zwingen zu
Erweiterungen der Sicherheitsinfrastruktur in Höhe von vielen Milliarden Dollar.
9.1.4
EINFÜHRUNG VON SECURE HARBOURTM
Es ist also zukünftig essentiell, dass Firmen ihre Sicherheitseinschätzungen bezüglich
Übergriffen aus dem Intranet überdenken und bei gleichzeitiger Wachsamkeit gegenüber dem
Internet eine ganzheitliche Sicherheitsstruktur schaffen und umsetzen.
Abbildung 63: Secure Harbour Schichten
Enterasys Networks stellt mit Secure Harbour TM ist ein Modell vor, das genau dies umsetzt.
Hierzu
werden
viele
verschiedene
Ressourcen
platziert,
um
die
Netzwerkkommunikationsstruktur innerhalb eines Unternehmens unabhängig von Ort oder Art
des Zugriffsmediums zu schützen.
Secure Harbour TM konzentriert sich auf die Gewährleistung von Sicherheit für das Intranet durch
Vorbeugung, Ermittlung, Schadensbeurteilung und Korrektur. Secure Harbour TM setzt seinen
104
Schwerpunkt vor allem auf ganzheitliche Sicherheit für das Intranet und liefert ein umfassendes
Paket an Sicherheitsstandards, die auf Unternehmensebene durchführbar und den spezifischen
Anforderungen eines Unternehmens angepasst sind.
Entworfen nach dem einzigartigen AAA (Authentification, Authentisation und Accounting)-Modell
bietet Secure Harbour TM von Enterasys messbare Sicherheitsvorteile auf allen Gebieten der
Intranet-Implementierung.
9.1.5
SECURE HARBOURTM
Secure Harbour TM ist ein Modell,dass die kombinierte Methodik aus den klassischen AAAServices zur Echtheitsprüfung, Zugangsberechtigung und Accounting stärkt, das Lösungen
gegen Intranet-Angriffe aufzeigt, welches sich jeder Geschäftsform oder Infrastruktureinrichtung
anzupassen vermag, das mit jeder Firmengröße oder Datenverkehrslast skalierbar ist.
Secure Harbour TM hebt sich ab von traditionellen Punkt-zu-Produkt-Lösungen und erfüllt die
Anforderungen von Unternehmenskunden aufgrund seiner AAA-Struktur durch eine Implementierungsmethodik. Diese besteht aus:
•
•
•
•
modernsten integrierten "in-the-box" Sicherheitsfunktionalitäten bei bestehenden
Produkten
"All-inclusive open architecture" zur Integration existierender Produkte mit
Sicherheitsfunktionalitäten
"Designed-for-the-job"- aufgabengerechten Sicherheitsprodukten wie z.B. Hostund Netzwerk-Intrusion-Detection-, Firewall- und VPN-Systemen
"Click-to-Secure"-Konzept für ein in sich stimmiges Lösungsmodell, das Produkten,
Funktionen und Eigenschaften gerecht wird
Produkte, die sich in das Secure Harbour Modell einfügen, sind in die gesamte Sicherheits infrastruktur des Unternehmens einbindbar.
9.1.6
WELCHE ENTERASYS-PRODUKTE BEINHALTEN SECURE HARBOURTM?
Ein Secure Harbour TM-Produkt ist speziell konzipiert, um in erster Linie Sicherheitsfunktionen
wahrzunehmen. Enterasys verfügt über einige Produkte in diesem Bereich. Dazu gehören
Intrusion Detection Systeme, VPN-Systeme und Firewall-Syteme.
Aber auch Funktionalitäten auf den entsprechenden Hardware-Komponenten wie Rate Limiting,
Traffic- und Content-Filtering zählen ebenfalls zu den Bestandteilen von SecureHarbour TM.
Abbildung 64: Secure Harbour Modell
105
Auch
Sicherheitsserviceleistungen
gehören
selbstverständlich
ebenfalls
zu
der
SecureHarbour TM-Architektur. Diese Serviceleistungen bestehen aus Sicherheitsgutachten,
Sicherheitsimplementierung, Sicherheitsüberwachung und anderen sicherheitsbezogenen
Dienstleistungen.
Abgerundet wird die komplette Architektur durch intelligente Management-Applikation, ohne die
eine sinnvolle Implementierung und Überwachung dieser Sicherheitsmechanismen nicht
vorstellbar wäre.
9.1.7
SECURE HARBOURTM – EIN „GANZHEITLICHER ANSATZ“ FÜR DIE NETZWERKSICHERHEIT
Enterasys Networks startet mit SecureHarbour TM eine „ganzheitliche“ Sicherheitsstrategie. Es ist
eminent wichtig, dass Sicherheit in die Kernnetzwerkinfrastruktur schnell integriert werden muss
und nicht erst im Nachhinein punktuell hinzugefügt werden sollte. Obwohl sie von
entscheidender Bedeutung sind, reichen „punktuelle“ Sicherheitslösungen durch beispielsweise
Firewalls nicht aus. Sicherheit beginnt bei jedem einzelnen Port innerhalb eines Intranets und
nicht nur am LAN-WAN Schnittpunkt. Secure HarbourTM bietet somit dem Kunden folgende
Vorteile:
•
•
•
•
•
•
•
Verbesserte Infrastrukturverfügbarkeit durch Ausschluss von unerwünschtem oder
potentiell destabilisierendem Netzverkehr und Eindringen von Viren unter
Ausschaltung fehlerhafter Komponenten
Verbesserte Überwachung der Sicherheit durch modernsten NetzwerkkontrollFunktionen und neueste Funktionen für die Netzwerküberwachung
Methoden zu Schadensbeurteilung bei einen Eindringen in das Netzwerk und
Unterstützung bei der Vorbeugung gegen künftige Einbrüche
Verbesserung
der
Netzwerksicherheit
durch
Anwendung
einheitlicher
Echtheitsprüfungs- und Zugangsberechtigungsmechanismen (z.B. 802.1x)
Engmaschige
Kontrolle
des
Datenverkehrs
möglichst
nahe
an
der
Netzwerkverbindungsstelle zur Reduzierung der möglichen Destabilisierung der
Infrastruktur oder zur Verringerung der Möglichkeit von Sicherheitsverletzungen
"Abhärtung" der Infrastrukturkomponenten und somit Herabsetzung der Anfälligkeit für
unerlaubte Zugriffe unter Anwendung von Technologien wie z.B. VLANs und
neuester Überprüfungstechnologien wie SNMPv3
Anwendung modernster Technologien für die Netzwerküberprüfung, um unerlaubte
Zugriffe rechtzeitig zu erkennen und den Schaden durch einen unerlaubten Zugriff zu
vermindern.
Einsatz modernster Datenschutztechnologien wie z.B. Verschlüsselung und Echtheitsprüfung
pro Paket. Damit sind Daten vor Beschädigung geschützt, wenn sie zweifelhafte Infrastrukturen
durchlaufen Enterasys Networks garantiert einen hohen Qualitätsstandard seiner zentralen
Infrastruktur-Produkte. Die Basis dafür sind umfangreiche Features, die die Kontrolle potenziell
schädlichen Datenverkehrs ermöglichen oder spezifische Protokolle und Zugriffe vom äußersten
Rand des Netzwerkgefüges mit Hilfe vielfältiger Mechanismen verhindern. Darüber hinaus sind
die einzelnen Sicherheitsprodukte in das Secure Harbour TM Modell integriert und nicht nur
aufgesetzt. Dadurch steht dem Aufbau einer sicheren IT-Infrastruktur nichts mehr im Wege.
106
9.2
9.2.1
DRAGON
NUTZEN EINES INTRUSION DETECTION SYSTEMS
“Warum sollte in ein IDS investiert werden? Ein Angriff ist bis dato noch nicht verzeichnet
worden!“
Woher kommt das Wissen um die Unversehrtheit des eigenen Netzes? Ein erfahrener Angreifer
wird sich in das Datennetz seines „Opfers“ hinein und hinaus bewegen, Daten kopieren, Dienste
unerlaubt nutzen. Gerade der Vorgang des Kopierens ist ein stiller Vorgang und somit nicht zu
erkennen.
Bevor ein Angreifer soweit ist, dass Daten unerlaubt eingesehen werden können, sind viele
kleine Schritte notwendig. Dabei ziehen wir kurz den Vergleich zu einem Einbrecher, der ein
Haus observiert:
Wann verlassen die Besitzer ihr Haus? Ist es unbewacht? Welche Türen sind offen oder nur
schwach gesichert? Gibt es offene Fenster?
Liegen die gewünschten Daten vor, kann der Einbruch beginnen. Dabei ist es wichtig, keine
Spuren zu hinterlassen. Keine Fingerabdrücke, keine Fußabdrücke. Kein Lärm.
Gegebenfalls können Schlüssel entwendet werden, damit bei einem erneuten Einbruch die
Kellertür benutzt werden kann.
Zurück zu den Intrusion Detection Systemen (IDS). Diese hochgradig spezialisierten Systeme
sind dafür gebaut, Angriffe gegen Netzwerke und ihre Komponenten zu erkennen. Ein IDS
erkennt die Vorbereitungen (Rütteln an verschlossenen Türen) und den Angriff selber (Einsteigen
durch ein offenes Fenster). Durch die ausgefeilten Sicherungsfunktionen dienen die Daten des
IDS als Beweismaterial.
IDS-Systeme dienen somit als Alarmanlagen eines Netzwerkes. Der Betreiber des IDS erkennt
frühzeitig den Angreifer. Durch den Zeitvorsprung können weitere Sicherheitsmaßnahmen
aktiviert werden (Fenster schließen), ohne den Angreifer vorzuwarnen. Ein IDS arbeitet im
Hintergrund, unerkennbar für einen Angreifer.
9.2.2
UNTERNEHMENSWEITE ABLÄUFE
Einen Angriff zu erkennen heißt nicht, dass automatisch die richtigen Schritte unternommen
werden. Hier ist ein definiertes Vorgehen von absoluter Notwendigkeit. Dabei spielt es keine
Rolle, ob der Schadensfall durch beabsichtigte Angriffe oder z.B. Katastrophen hervorgerufen
wurde. Eine gute Grundlage bieten die Ausarbeitungen zum Incidenthandling des Department of
Energy (US). Da gerade Strom eine der wichtigsten Ressourcen bildet, wurde dort sehr schnell
der Nutzen eines definierten Vorgehens erkannt und festgelegt.
107
Unterschieden wird beim Department of Energy zwischen einem Einbruch und einem Ereignis.
Ein Einbruch liegt immer dann vor, wenn Schaden eintritt oder beabsichtigt ist. Ein Ereignis
ergibt sich immer aus einem Kontext. So ist ein Administrator-Login in jedem Fall ein Ereignis.
Ob es auch ein Einbruch ist, muss erst noch festgestellt werden. Einbrüche erkennen und
Ereignisse auswerten, das ist die Aufgabe eines Intrusion Detection Systems. Von der Qualität
eines solchen Systems hängt es ab, wie sicher Entscheidungen über weitere Vorgehensweisen
getroffen werden können.
9.2.3
IDS – INTRUSION DETECTION SYSTEM
Ein IDS ermöglicht weitreichende Einblicke in beliebige Netzwerkaktivitäten. Dabei werden
Netzwerkereignisse genauso wie Angriffe erkannt. Das IDS fungiert somit als „Alarmstation“:
•
•
•
•
Erkennung von versuchten Angriffen
Feststellen, ob ein Angriff erfolgreich war
Abschätzung des Schadens
Aufzeigen von aktuellen Sicherheitslücken
Ist ein IDS System aktiviert, so helfen Verhaltensregeln den Schaden zu minimieren oder im
besten Fall abzuwenden.
Gerade im akuten Schadensfall können zu schnelle und nicht angepasste Entscheidungen und
deren Umsetzung später extrem kostenintensiv sein. Als Beispiel sei ein erfolgreicher Login
eines Angreifers auf einer zentralen Produktionsmaschine genannt. Wird die Maschine vom Netz
genommen um diese zu schützen, so kommt die Produktion zum Stillstand. Weiterhin können
sehr kostenintensive Wideranlaufprozesse erforderlich werden. Wird zu spät eingegriffen, kann
der Angreifer seine Spuren verwischen und entstandener Schaden ist nicht mehr nachvollziehbar
und kann somit nicht wieder korrigiert werden.
9.2.4
SICHERHEIT ALS DYNAMISCHER PROZESS
Der Prozess Sicherheit kann in 6 Schritte unterteilt werden:
•
•
•
•
•
•
Vorbereitung
Erkennung
Aktion/Containment
Löschen
Wiederherstellen
Lernen aus der Vergangenheit
9.2.4.1
Vorbereitung
Zur optimalen Vorbereitung gehört ein umfangreicher Notfallplan.
•
Welche Informationen werden benötigt und wie können diese gewonnen werden?
•
Welche Personen sind zu involvieren?
•
Wie sind die Informationen zu hinterlegen und zu sichern?
108
•
Wer darf z.B. die Stilllegung einer Produktionsmaschine veranlassen?
Eine der Herausforderungen ist es, später beweisen zu können wer „was, wann und
warum“ gemacht hat. Detaillierte Notizen sind dabei unabdingbar.
Im Falle eines Falles müssen Maschinen vollständig wiederhergestellt werden. Welche Konzepte
für mögliche Ausfälle stehen zur Verfügung? Funktionierende Backupprozeduren helfen die
Ausfallzeiten entsprechend zu minimieren.
Wird ein Einbruch erkannt, beginnt die hierfür definierte Prozedur. Eine Reihe von Ereignissen
welche einzeln betrachtet keinen Angriff darstellen, können in Summe ebenfalls als Einbruch zu
werten sein. Neben der strikten Einhaltung der definierten Prozeduren gilt es, nur die nötigsten
Personen zu involvieren. Ein Angreifer aus dem eigenen Netz wird somit nicht frühzeitig
vorgewarnt.
9.2.4.2
Aktion/ Containment
Die benötigten Daten über einen erkannten Angriff liegen vor und nun gilt es, weiteren Schaden
zu minimieren. Der erste Gedanke, die angegriffene Maschine vom Netz zu nehmen, ist nicht
immer sinnvoll oder praktikabel:
•
•
•
bestimmte Viren veranlassen das Löschen der Festplatte, sobald der Rechner keinen
Netzwerkanschluss mehr hat
bei Angriffen auf Produktionsmaschinen kann der entstehende Schaden geringer sein,
wenn die Maschine nicht vom Netz genommen wird
bei Angriffen auf eine Arbeitsstation eines Benutzers ist es sinnvoll nicht mehr an der
Maschine zu arbeiten, damit nicht wichtige Daten verloren gehen
Die Qualität der zu treffenden Entscheidungen hängt von der Qualität der gesammelten Daten ab.
Je eindeutiger diese sind, desto leichter fallen schwerwiegende Entscheidungen. Ein gutes IDS
mit weitreichenden Analyse- und Logging Funktionen ist dabei ein unentbehrlicher Helfer.
9.2.4.3
Löschen/Wiederherstellen
Unauthorsierten Code (veränderte Programme) zu entfernen ist eine schwere Aufgabe. Bei
heutigen Systemen mit mehreren Gigabyte Plattenspeicher, sind unzählige Möglichkeiten
vorhanden, um Daten und Programme zu verstecken. Als Beispiel seien hier Rootkits genannt.
Diese verändern das Betriebssystem, den Kernel und seine Dienstprogramme soweit, dass es
unmöglich ist, eine solche Maschine ohne weiteres zu überprüfen. Selbst Programmen wie ein
Taskmanager bzw. ps ist dann nicht mehr zu trauen. Eine der Grundlagen für erfolgreiches
Löschen sind die Informationen, wie der Angriff stattgefunden hat und von welcher Maschine er
gestartet wurde. Somit können vielfältige Gegenmaßnahmen ergriffen werden, wie
•
•
•
•
•
Patch Aufspielen
Accesslisten ändern
DNS Namen ändern
Wechsel des Betriebssystems
IP-Adresse ändern
109
Gerade wenn ein Backup eingespielt wird, ist dieses Backup sehr sorgfältig zu überprüfen und
die rückgesicherten Daten sind wieder auf den neuesten Stand zu bringen. Es gibt viele Fälle, in
denen ein Angreifer eine Maschine, die per Backup wiederhergestellt wurde, sofort wieder
erfolgreich angegriffen hat.
9.2.4.4
Lernen aus der Vergangenheit
Das gilt für alle Personen, die mit Security zu tun haben. Alle durchgeführten Schritte sollten in
einem Protokoll festgehalten und ausreichend dokumentiert werden. „Konfigurationsänderungen,
Patches oder Backups“ dienen als Grundlage für weitere Gespräche, in denen die Schritte für
eine weitere Erhöhung der Sicherheit behandelt werden. Risikoabschätzung, Kostenaufwand
und Nutzen sind für das Management die entsprechende Entscheidungsgrundlage.
Als eine Grundlage für die nötigen Schritte im Falle eines Angriffes dient das nachfolgende
Diagramm. In diesem Ablauf- / Entscheidungsdiagramm wird übersichtlich dargestellt, wie mit
einem Angriff umgegangen wird. Von der eindeutigen Identifizierung des Angriffes, über die
Auswirkungen und die letztendliche Beseitigung von möglichen Schäden und Spuren.
9.2.5
IMPLEMENTIERUNG
In den ersten Abschnitten dieses Artikels wurde auf den Nutzen eines IDS eingegangen. Doch
wie ist ein IDS zu implementieren, um detaillierte Informationen zu gewinnen? Die Stärke des
Intrusion Detection Systems „Enterasys Dragon“ liegt in seiner Fähigkeit, unterschiedlichste
Informationsquellen zu nutzen und die gewonnenen Security-relevanten Informationen
zielgerecht zu extrahieren. Als Quellen eignen sich unterschiedlichste Logfiles von den im
Netzwerk vorhandenen Systemen und Geräten, wie zum Beispiel
•
•
•
•
•
•
•
•
•
9.2.6
Zugangskontrollsysteme
Mailserver
DNS Server
Webserver
Zentrale Server wie BS2000, SUN Cluster
Logfiles eigener Applikationen (Kassenanwendungen, Buchungssysteme, …)
Router
Firewalls
u.v.a
DER HOSTSENSOR
Um die Logfiles analysieren zu können, wird der Dragon Hostsensor eingesetzt. Dieser
überwacht alle relevanten Dateien eines Systems und kann auf einem oder mehreren zentralen
„Masterlog Servern“ eingesetzt werden. Hier können zum Beispiel die Meldungen von
Enterasys- oder Cisco- Routern überprüft und Ereignisse ausgewertet werden. Der Dragon
Hostsensor kann ebenfalls auf zu schützenden Hosts genutzt werden. Neben Servern so auch
auf einem PC aus der Personalabteilung. Dort erkennt der Hostsensor, wenn die Registry
verändert wurde. Wird ein neuer User lokal hinzugefügt wird entsprechend Alarm geschlagen. Es
110
gibt unzählige Programme, die es einem Angreifer ermöglichen, einen Rechner fernzusteuern.
Solche unauthorisierte Zugriffe werden sofort erkannt und gemeldet.
Als Beispiel für die Logfileauswertung sei hier der Nimda-Wurm genannt, der folgende Spur auf
einem Webserver hinterlässt:
GET/msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../
innt/system32/cmd.exe?/c+dir HTTP/1.0" 404 265 "-" "-"
Enterasys Networks stellt von Haus aus über 1500 Signaturen zur Verfügung. So ist ein
schnelles und effizientes Rollout der Hostsensoren ermöglicht. Eigene Signaturen können
jederzeit in wenigen Minuten über das Webinterface erstellt werden. Der Zugang zum Webinterface ist mit einem Passwort gesichert und erfolgt verschlüsselt mit SSL.
Eine weitere Anwendung der Hostsensoren liegt in der Möglichkeit, die Logfiles von Firewalls
und Routern zu korrelieren. Damit werden nicht nur erfolgreiche Angriffe erkannt, sondern auch
versuchte Angriffe, die von der Firewall oder dem Router geblockt wurden.
9.2.7
DER NETZWERKSENSOR
Als wesentliche Quelle für Informationen über Angriffe dient ein Netzwerksensor. Bei Dragon
Sensor handelt es sich um ein netzwerkbasiertes, High-Speed Intrusion-Detection-System
(NIDS). Dieses System beobachtet den Netzwerk-Verkehr in Echtzeit, um Attacken oder
gefährliche Inhalte zu analysieren, bevor diese ihr Ziel erreichen. Dragon Sensor analysiert den
Netzwerk-Verkehr auf Protokoll- und Anwendungsebene. Im Gegensatz zu den meisten anderen
NIDS, arbeitet Dragon Sensor nicht nur signaturbasiert. Der Dragon selbst ist in der Lage,
Anomalien zu erkennen, für die in der wissensbasierten Datenbank keine entsprechende
Signatur hintergelegt ist. Wird eine Signatur oder Anomalie erkannt, löst Dragon Sensor einen
Alarm aus und übermittelt alle relevanten Daten des Angriffs (Folgepakete incl. Payload) an den
Security Information Manager. Der Security Information Manager dient dem Reporting und der
Analyse.
Mit der zunehmenden Verbreitung von Intrusion-Detection-Systemen arbeiten Hacker natürlich
an Methoden, um diese zu umgehen. Dragon Sensor ist so konzipiert, dass die Funktionsfähigkeit weder durch IP-Fragmentierung, TCP/UDP Stream Deassembly-Methoden wie RPC,
HTTP und DNS noch durch erweiterte Protokoll-Verschlüsselungstechniken eingeschränkt wird.
Dazu gehören auch die Polymorphic Overflow-Technologien des Security Researches K2. Die
Stärke der Polymorphic Overflow-Technologien liegen darin, einen Angriff so verschieden zu
kodieren, um somit ein signaturgestütztes IDS zu umgehen. Dragon hat Plugins, die solche
Kodierungen erkennen und ist somit für die unverschlüsselten Protokolle immun gegen die
Angriffs-Techniken des Security-Researchers K2.
Netzsensoren werden an wichtigen Datenpfaden innerhalb des Unternehmens implementiert.
Dazu gehören wie im nächsten Bild unten exemplarisch gezeigt, alle Verbindungen, die einen
externen Zugang zum eigenen Netz ermöglichen. Selbst getrennte Wege oder andere
Redundanzmechanismen sind für ein IDS kein Hemmnis. Ein Netzsensor wird darüber hinaus in
unternehmenskritische Zonen platziert, wie z.B. Personalabteilung, Entwicklung und
Finanzabteilung.
111
Dragon Hostsensor
Verarbeitet Syslog
Meldungen von
Router und Firewall,
SNMP-Traps von
beliebigen Devices
Internet
Dragon Netzsensor
Überwacht den
Datenpfad auf
beliebige Angriffe
Security Information
Manager
Hier werden die Daten der
Host- und Netzsensoren
korreliert und aufbereitet
Der Hostsensor wird
zusätzlich auf
unternehmenskritische
n Servern eingesetzt
Abbildung 65: IDS Überwachungspunkte
9.2.8
AUSWERTUNG UND KORRELATION
Aus einer Flut von Daten extrahiert das IDS Ereignisse und bereitet diese grafisch auf. Ob es sich
um einen eindeutigen Angriff (z.B. Nimda-Virus) handelt oder ob die Kombination von
Ereignissen einen Angriff ergibt, das IDS wird durch vordefinierte Mechanismen einen Alarm
auslösen. Integration in zentrale Managementtools wie Tivoli Risc-Manager, Aprisma Spectrum
oder HP Openview ist durch das Senden von Alarm-Traps gegeben. Dies wird in dem Security
Information Manager (SIM) konfiguriert. Der SIM bereitet die Daten auf, fasst Ereignisse
zusammen und sendet diese an das Analyse-Tool um Einbrüche sicher zu erkennen. Die
Konfiguration der Sensoren geschieht über den Policymanager. Der Policy verwaltet Updates,
Signaturen und Einstellung der im Netz verteilten Host- und Netzsensoren.
9.2.9
FAZIT
Die Technologie des IDS ermöglicht das zielgenaue Erkennen von Angriffen. Das IDS verschafft
dem Betreiber einen strategischen Zeitvorteil, der dazu genutzt wird, weitere
Sicherungsmaßnahmen einzuleiten. Bei einem erfolgreichen Angriff dienen die gesammelten
Daten als Beweisgrundlage.
112
10 Voice over IP – eine Gesamtplanung
Die IP-Infrastruktur von konvergenten Netzen muss folgenden Anforderungen entsprechen:
•
•
•
•
Verfügbarkeit
Wirtschaftlichkeit, Managebarkeit
Sicherheit
Konvergenzfähigkeit
Die Enterasys Networks Strategie für solche Konvergenten Netze heisst
EFFECT:
ENTERPRISE FRAMEWORK FOR EVOLUTIONARY CONVERGENCE TECHNOLOGY
10.1
EINLEITUNG
Die Ausschreibung für das Unternehmen NoFear hat die Schaffung einer Plattform für alle
Kommunikationsdienste und deren Integration in den Workflow des Unternehmens zum Ziel.
Enterasys Networks versteht unter einer ganzheitlichen Lösung nicht nur technische, sondern
vor allem wirtschaftliche und organisatorische Gesichtspunkte.
Die Lösung besteht zu Einen aus der HiPath-Konvergenzarchitektur von Siemens, zum Anderen
wird die darunterliegende IP-Infrastruktur durch das Partnerunternehmen Enterasys Networks
realisiert.
10.2
GRUNDSÄTZLICHE DESIGNKRITERIEN FÜR KONVERGENTE
NETZE
Die IP Infrastruktur wurde einem grundlegenden Neu-Design unterworfen, um mehrere Aspekte
der Anforderungen von NoFear zu entsprechen:
•
•
•
•
Verfügbarkeit
Wirtschaftlichkeit, Managebarkeit
Sicherheit
113
10.2.1
VERFÜGBARKEIT
Man muss sich beim Einsatz von VoIP zur Erstellung eines konvergenten Netzes bewusst sein,
dass die zuvor vorhandene Systemredundanz von IP Datennetz und TDM Sprachnetz aufgegeben wird. Das Unternehmen wird damit abhängig von der IP Infrastruktur – dies muss sich in
der Lösung jeglicher Fragestellung widerfinden. Mathematisch gesehen (zur Berechnung der
Gesamtverfügbarkeit) geht man dabei von einer Parallel- zu einer Reihenschaltung über, in der
das schwächste Glied die Gesamtverfügbarkeit bestimmt.
10.2.2
WIRTSCHAFTLICHKEIT , MANAGEBARKEIT
Bei der Größe von NoFear macht eine Multivendor-Umgebung in Bezug auf eine Kosten/Nutzen
Analyse wenig Sinn, der vorhandene Hersteller kann die WAN Infrastruktur nicht stellen, die LAN
Infrastruktur hätte sowieso geändert werden müssen
Komponenten, die keine automatische Konfiguration unterstützen, die das Umzugsmanagement
erleichtert (vgl. Kapitel 10.2.10.9) sollten nicht zum Einsatz kommen.
Beide Aspekte tragen erheblich zur Senkung der operativen Kosten bei, die den Löwenanteil
eines Investments in die IP Infrastruktur darstellen.
10.2.3
SICHERHEIT
Die Sicherheit einer IP Infrastruktur geht direkt in die Verfügbarkeit derselben ein – d.h.
Argumente für Verfügbarkeit gelten auch hier. Die neu installierten Komponenten haben den
Vorteil, dass sie eine standardbasierte Benutzerauthentisierung ermöglichen, die neben der
zentralen Benutzerverwaltung (die auch für die WAN/VPN Lösung genutzt werden kann) auch
eine zentrale Verwaltung und Verteilung von Benutzerprofilen ermöglicht. Auch hier ist wiederum
auf den Abschnitt User Personalized Network zu verweisen.
10.2.4
KONVERGENZFÄHIGKEIT
Diese Eigenschaft bezieht auf die Bereitstellung folgender Eigenschaften durch die IP Infrastruktur, die zur Realisierung einer sicheren Konvergenzinfrastruktur unerlässlich sind:
•
•
•
•
•
Bandbreitenlimitierung (Rate Limit, Rate Shaping)
Warteschlangenabarbeitung (Queuing)
Paketklassifizierung (Layer 4 packet classification, DSCP classification)
Speichermanagement (Buffer Management)
Automatische Konfiguration der o.g. Parameter
Enterasys Networks stellt nicht nur die „Quality of Service“ Funktionen zur Verfügung, sondern
kann diese auch automatisch durch das Netzwerk konfigurieren lassen, was wiederum eine
erhebliche Kostenersparnis im operativen Bereich darstellt – siehe auch User Personalized
Network.
114
Alle zuvor genannten Aspekte treffen sowohl die für internen Standorte von NoFear als auch für
die Messehalle zu.
10.2.5
10.2.5.1
DIE LAN INFRASTRUKTUR
Gesamtkonzept
Sowohl die LAN- als auch die WAN-Infrastruktur genügen den zuvor erwähnten Kriterien. Im
Folgenden soll die eingesetzte Hardware und auch das Netzdesign der LAN Infrastruktur näher
erläutert werden. Die logische Infrastruktur wird im Kapitel User Personalized Network
detaillierter beschrieben.
Das Gesamtkonzept des Netzdesigns der aktiven Komponenten des Unternehmens NoFear
stellt sich wie folgt dar:
Abbildung 66: Gesamtlösung, Beispieldesign
10.2.6
LOGISCHES KONZEPT (IP ADRESSEN, VLAN UND QOS DEFINITION)
Neben dem physikalischen Design spielt die logische Strukturierung des Netzes eine zentrale
Rolle. Zur Vereinfachung wurde dies in 2 Blöcke unterteilt
1. IP- und VLAN-Zuweisung
2. QoS Definition – Traffic Management
10.2.7
IP- UND VLAN ZUWEISUNG
Aus Gründen der Vereinfachung des Managements und der Sicherheit wird auf die Bildung
übergreifender VLANs verzichtet. Jede Etage stellt ein IP Subnetz dar – Daten- und VoiceSysteme befinden sich im gleichen Subnetz (siehe auch QoS Definition – Traffic Management).
Jede Etage wird im Backbone per VRRP redundant geroutet – zwischen den Backbone
Komponenten kommt OSPF zum Einsatz. Die Etagen sind ebenfalls per Rapid Spanning Tree
nach 802.1w angeschaltet.
115
Die administrativen Zugänge der aktiven Komponenten liegen im selben IP-Adressbereich, sind
jedoch durch Radius -Login geschützt bzw. werden durch SNMPv3 und SSHv2 weitere
Schutzmechanismen erfahren.
Die IP Zuweisung erfolgt über DHCP mittels eines privaten 172.20.0.0 Adressraumes:
Standort
Standort
Köngisbronn
Maßnahmen
Pro Etage 1 Subnetz mit 24 Bit Subnetzmaske
172.20.1.0/24…172.20.5.0/24
Für Backbone (Transfernetze) 1 Subnetz mit 24
Bit172.20.6.0/24
Für Servernetze 3 Subnetze mit 24 Bit
172.20.7.0/24…172.20.9.0/24
Reserve 6 Subnetze mit 24 Bit
172.20.10.0/24..172.20.15.0/24
Damit kann der Standort per Route Aggregation
mit 172.20.1.0/20 angefahren werden.
Standort
Hemsbach
Verwaltung:
172.20.17.0/24.172.20.22.0/24
Für Backbone (Transfernetze) 1 Subnetz mit 24 Bit
172.20.23.0/24.
172.20.24.0/24.172.20.26.0/24
172.20.27.0/24.172.20.31.0/24
Damit kann das Gebäude per Route Aggregation
Standort
Hemsbach
Messemanagement
172.20.32.0/24.172.20.35.0/24
Für Backbone (Transfernetze) 1 Subnetz mit 24 Bit
172.20.36.0/24.
172.20.37.0/24.172.20.39.0/24
172.20.40.0/24.172.20.45.0/24
116
Damit kann das Gebäude per Route Aggregation
Für die Remote Arbeitsplätze wird das Subnetz
72.20.46.0/23 mit 510 Hosts vorgesehen.
Für die Ausstellungshalle wird das Subnetz
172.20.48.0/22 mit 1024 Hosts vorgesehen.
Es können für weitere Anwendungen natürlich
Blöcke aus diesem 172er Netz zugewiesen werden.
Tabelle 15: Ip-Adressierung
10.2.8
QOS DEFINITION – TRAFFIC MANAGEMENT :
Generell kann dieses Thema in vier verschiedene Blöcke eingeteilt werden:
•
Paketclassification
•
Rate Limiting
•
Congestion Management
•
Queuing
•
Auch hier wird die Konfiguration durch die vereinfachte IP- und Vlan Struktur übersichtlicher:
•
Paketklassifikation: Es wird sowohl auf den Edgeswitches Matrix E1 als auch im Core
ausschließlich auf DiffServ Signalisierung gesetzt – dadurch gibt es ein Template für
alle Systeme. Für die PC Phones ist ausschließlich dieser Ansatz überhaupt umsetzbar.
•
•
•
•
•
Voice Signaling – DSCP 3 – Priority 7
Voice Traffic – DSCP 5 – Priority 5
Data Traffic – DSCP 0 – Priority 0
Alle weiteren Verkehrsarten fallen per Default in die Priority 0. Control Traffic
der aktiven Netzwerkkomponenten bekommt ebenfalls Priority 7.
Rate Limiting: Da bei DSCP Signalisierung die Endsysteme involviert sind (untrusted
Systeme) muss dafür gesorgt werden, das die entsprechenden Verkehrsklassen nicht
überlastet werden (z.B. FTP mit DSCP 3 gesendet wird) – daher werden auf den
Edgeswitches Matrix folgende Rate-Limit-Eintragungen vorgenommen:
•
•
DSCP 3 – Priority 7 – 1 Mbit/s
DSCP 5 – Priority 5 – 250 kbit/s
•
Broadcast Suppression – 200 pps per Port: Die Broadcast Suppression
sorgt dafür, das sich Broadcaststürme, die z.B. durch fehlerhafte
117
•
Datenendsysteme oder Datenloops im Netz erzeugt werden, nicht die im
gleichen Netz befindlichen Voice Systeme (IP Phones) beeinflussen. Bei
eingeschaltetem IGMP Snooping der Matrix E1 sollten Multicaststürme
ohnehin nicht auftreten.
Congestion Management: Hierbei werden die Default Settings der Systeme
verwendet.
Queueing: Folgendes Mapping erfolgt auf allen Endsystemen:
Matrix E1 –
Hybrid Queueing (Strict/WRR mix per Port) Prio 7 Queue 3 – Strict Queue
Prio 5 Queue 2 – Strict Queue
Prio 0 Queue 1 – WRR Queue
Xpedition – Strict Queueing
wie Matrix E1
Xpedition Security Router –
Hybrid (Priority/CBWFQ per Interface) prinzipiell wie E1, andere Queue Nummerierung, da 4+64
Queues pro Interface)
Eine detaillierte Zuweisung weitere Queues ist nur nach intensiver Analyse der vorhandenen
Applikationsinfrastruktur möglich. Die dynamische Zuweisung o.g. Profile wird im Abschnitt User
Personalized Network beschrieben.
10.2.9
GESAMTKONZEPT BESCHREIBUNG
Bei der Auswahl der Komponenten bei diesem Gesamtkonzept wurde aus technologischen und
wirtschaftlichen Gesichtspunkten sehr viel Wert darauf gelegt, dass hier eine möglichst
einheitliche Komponentenwahl in Anpassung der jeweiligen geforderten Aspekte der Aus schreibung getroffen wurde.
Sowohl auf allen Etagen als auch im Bereich der Messehalle würden die Matrix E1 Switchsyteme
installiert. Dies führt zu wesentlich reduzierten Kosten bei der Ersatzteilhaltung sowie der
Ausbildung des Service-Personals. Die verwendeten Switches Matrix E1 WS sind für den High
End Workgroup Bereich optimiert – und passen damit perfekt auf die Anforderungen eines
Etagenswitches in einer konvergenten Infrastruktur:
•
Layer 2-4 Paketklassifizierung, auch per DCSP
•
Bandbreitenlimitierung
•
Hybrid Queueing (kombiniert Weighted Fair Queueing mit Strict Queueing !)
•
Benutzer Authentisierung mittels 802.1x
•
Unterstützung dynamischer Konfiguration mittels User Personalized Network
•
Rapid Spanning Tree nach 802.1w
•
Redundante Stromversorgung
•
Volle Routing Funktion (OSPF, RIP, VRRP), findet in diesem Konzept jedoch keine
Anwendung
•
Standard Layer 2 Funktionen wie 802.1Q, GVRP etc.
•
Von 48 bis 96 10/100 Ports skalierbar
•
Modulare Uplink Slots
•
24 Gbit/s, 16 mio pps
118
Eine zusätzliche Redundanz wird durch die Verwendung mehrerer Matrix E1 pro Etage und die
Verteilung der Dosen auf diese Switches erreicht.
Jeder Etagenbereich wird zu einem separaten Subnetz zusammengefasst und von den CoreSystemen aus redundant per VRRP weitergeroutet.
Die automatische Konfiguration der Benutzerports durch das User Personalized Network macht
eine Mikrosegmentierung in Etagen möglich, ohne dabei die administrativen Kosten dabei zu
erhöhen, im Gegenteil: sie sinken sogar.
Die Mikrosegmentierung hat den Vorteil, dass man eine hohe Stabilität des Netzes erreicht –
Layer-2-Probleme werden lokal gehalten und können zusätzlich durch Funktionen wie Broadcast
Suppression kontrolliert werden – und sich damit nicht über das Netz fortpflanzen. Verfügbarkeit
steht wie schon erwähnt an erster Stelle.
Alle Matrix E1 werden von der Etage aus per Gigabit Ethernet an die Core-Systeme herangeführt.
Im Core-Bereich kommen die X-Pedition Router von Enterasys Networks zum Einsatz. Diese
Geräte sind als universelle LAN/WAN Core Systeme designed und bieten u.a. folgende
Funktionen:
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Layer 2-4 Paketklassifizierung, auch per DCSP
Bandbreitenlimitierung
Weighted Fair und Strict Queuing
Rapid Spanning Tree nach 802.1w
Redundante Stromversorgung
Redundante Switch Fabric
Redundante Controller Module
Volle Routing-Funktion BGP, OSPF, RIP, VRRP
Server Load Balancing
Web Cache Redirect
Policy Routing
Wire Speed Access Control
RMON1/RMON2 sowie Netflow v5
Standard Layer 2 Funktionen wie 802.1Q, GVRP etc.
Interface von 10/100/1000 Ethernet bis ATM/POS/FDDI/X.21
Sie stellen die zentrale Verbindung zu den Serverswitches (Matrix E1 GWS, die Gigabit Ethernet
over Copper Variante des Matrix E1), den Firewalls (angeschlossen an den ServerSwitches)
sowie den Etagenswitches dar.
Hohe Redundanz, maximale Routingperformance bei gleichzeitiger Bereitstellung von Diensten
wie Quality of Service, Accounting und Loadbalancing sind die Entscheidungskriterien für diese
Core Systeme.
10.2.10
10.2.10.1
STANDORT HEMSBACH
Hemsbach Verwaltung
Das Gebäude besteht aus 5 Stockwerken mit je 20 Büros. Für jeden der 40 Arbeitsplätze je
Stockwerk wurden 4 Daten- und 2 Telefonsteckdosen vorgesehen. Die Kat-6-Verkabelung ist an
einem Etagenverteiler auf Panels aufgelegt und durchgängig 8-adrig vorgenommen worden. Die
119
Telefonverkabelung müsste je Stockwerk auf einem rangierbaren Zwischenverteiler aufgelegt
sein.
Wir haben angenommen, dass sich im Kellergeschoss eine Hauptverteilung befindet. Dort sind
LWL-Fasern zu den einzelnen Etagen verlegt, wir sind von 8 Fasern zu jeder Etage ausgegangen.
Die vorhandene TK Anlage ist dort ebenfalls aufgelegt.
Nach der Berechnung der vorhandenen Infrastruktur können in diesem Gebäude pro Etage
maximal 160 Benutzer in das Netzwerk eingebunden werden.
Daraus ergibt sich folgende Konfiguration der jeweiligen Etagenswitche:
•
Pro Etage werden jeweils 2 Matrix E1 eingesetzt. Diese Systeme sind mit einem
redundanten Uplink in den Backbonebereich dieses Gebäudes über 1000BaseSX
verbunden. Weiterhin wurde aufgrund der Anforderung der Portdichte pro Etage in
jedes Gerät auf 80x 10/100 Ports aufgerüstet.
•
Im Backbone dieses Gebäudes befinden sich 2x XPedition 8000, welche die
ankommenden Gigabit-Leitungen aufnehmen und eine Ankopplung des
Messemangement-Gebäudes sowie der Firewalls (über den ServerSwitch) und
ServerSwitches erlauben. Die XPedition sind untereinander über Gigabit Trunks (2fach)
verbunden.
•
Der ServerSwitch (ggf. erweiterbar) ist ebenfalls ein Matrix E1 – jedoch die GWSVersion (anstatt 48x 10/100 Ports im Basissystem mit 6x 10/100/1000 Ports
ausgestattet – und mit den gleichen Uplink Optionen) und ist identisch an den
Backbone wie eine Etage angeschlossen.
Abbildung 67: Standort Hemsbach
120
10.2.10.2
Hemsbach Messemanagement
Das Gebäude besteht aus 3 Stockwerken mit je 25 Büros sowie einem Stockwerk mit 5 Büros
und einem Großraumbüro für das Call Center. Für jeden der Arbeitsplätze je Stockwerk wurden
4 Daten- und 2 Telefonsteckdosen vorgesehen. Die übrige Verkabelung dürfte ansonsten
weitgehend der in der Verwaltung entsprechen. Anstelle der TK-Anlage ist hier ein Telefonkabel
zur Verwaltung aufgelegt.
maximal 200 Benutzer in das Netzwerk eingebunden werden. Ausnahme ist hier das Callcenter
mit maximal 60 Nutzern. Die Konfiguration der Etagenswitche im Callcenter besteht hier aus 2x
Matrix E1 sowie jeweils einer redundanten Gigabit-Ethernet-Verbindung auf 1000BaseSX Basis.
Die Etagenswitches in den restlichen Etagen dieses Gebäudes wurden wie folgt bestückt: Pro
Etage werden jeweils 3x Matrix E1 eingesetzt – 2 davon jeweils auf 80x 10/100 Ports aufgerüstet,
alle mit einer redundanten Gigabit Ethernet Verbindung auf 1000BaseSX Basis ausgerüstet.
Die Gebäude-Core-Switches sind identisch mit dem Core des Verwaltungsgebäudes – und auch
mit diesem 1:1 verbunden, und untereinander ebenfalls mit 2 x 1000BaseSX getrunkt.
10.2.10.3
Hemsbach Messehalle
Die Austellungsplätze der Messehalle befinden sich im Wesentlichen auf einer Ebene mit den
Abmessungen 200 x 50 Meter. Die insgesamt 50 möglichen Ausstellungsplätze sind jeweils mit 8
Fasern LWL verkabelt. Das LWL-Netz ist sternförmig an einem Verteilerschrank im Kellergeschoss konzentriert.
Das Konzept der Messehalle unterteilt sich in zwei Bereiche.
1.
2.
Verkabelte Infrastruktur
WLAN Infrastruktur
Nach der Berechnung der vorhandenen Infrastruktur wird in diesem Gebäude aus oben
angeführten technischen und wirtschaftlichen Gründen folgende Konfiguration der jeweiligen
Ausstellungsflächen angeboten.
Diese Konfiguration bezieht sich auf alle 50 Ausstellerflächen.
Pro Ausstellerfläche werden jeweils 2x Enterasys Vertical Horizon Switches mit 8x 10/100 und 1x
100 FX angeboten. Jeweils ein Switch wird für die VoIP Endsysteme verwendet, der andere für
die Datenendsysteme. Zentral kommt ein Matrix E7 Switch zum Einsatz, der zur zentralen
Aggregierung für diese Ausstellerswitches und den WLAN Backbone dient sowie als Router
zwischen Messehalle und Internetzugang genutzt wird. Weiterhin kann pro Ausstellerplatz über
diesen Matrix E7 auch Gigabit Ethernet zur Verfügung gestellt werden – über die verbleibenden 4
Fasern pro Stand entspricht dies 2 Gbit/s pro Stand – full duplex.
Da die Einschübe jedes Matrix E7 vollkommen unabhängig voneinander arbeiten und die
Backplane vollkommen passiv ist, ist die Verwendung eines einzigen E7 für die Messekommunikation ausreichend.
121
Die Funktionen des Matrix entsprechenden dem Matrix E1, der schon als Etagen Switch zum
Einsatz gekommen ist – zusätzlich wird hier jetzt eine Routinglizenz zur Anbindung an zentrale
Dienste verwendet.
Für die VoIP Endsysteme stellt der Matrix E7 zentral die entsprechenden Bandbreiten zur
Verfügung und sorgt mit entsprechenden Rate Shaping dafür, dass keine Überlastsituationen
erzeugt werden können.
Für die Datenendsysteme wird zentral eine Authentisierung mittels Web Interface realisiert, um
jeden Ausstellerplatz separat freigeben zu können – siehe User Personalized Network.
10.2.10.4
WLAN Infrastruktur
Der zweite Teil dieses Konzeptes sieht ein Besucherinformationssystem vor. Das bedeutet, dass
Messebesuchern über ein getrenntes Netzwerk, via Wireless LAN mit dem Produkt RoamAbout
Access Point R2 von Enterasys Networks, ein zusätzlicher Service für Besucher und
ausstellende Unternehmen generiert wird.
Durch die Möglichkeit der Wireless-LAN-Komponenten erzielt das Messeunternehmen NoFear
eine hohe Flexibilität für eigene Mitarbeiter, für Aussteller und auch für die Besucher des MesseGeländes. NoFear kann auf nahezu alle Wünsche der Aussteller im Bereich der Daten und
Sprachkommunikation ohne großen Aufwand eingehen und stellt den Anspruch als führender
Veranstalter von High-Tech-Messen unter Beweis.
Die Wireless Access Points sind untereinander in Deckenhöhe verbunden, nach unten in den
Aussteller-Bereich ist jeweils eine zweite Funkzelle ausgeleuchtet. Die Zugriffskontrolle kann hier
ebenfalls über 802.1x erfolgen, ein sog. Guest Networking für Besucher ohne Authentisierung ist
ebenfalls möglich – siehe auch User Personalized Networking.
10.2.10.5
Königswinter Niederlassung
Das Gebäude soll insgesamt 225 Arbeitsplätze mit je 4x Daten- und 2x Telefonsteckdosen zur
Verfügung stellen. Wir haben hier eine ähnliche Struktur wie in der Verwaltung, verteilt auf 4
Etagen plus Kellergeschoss vorgesehen. Das Gebäude besteht aus 5 Stockwerken mit je 20
Büros. Für jeden der 40 Arbeitsplätze je Stockwerk wurden 4x Daten- und 2x Telefonsteckdosen
vorgesehen. Die Kat-6-Verkabelung ist sicherlich an einem Etagenverteiler auf Panels aufgelegt
und durchgängig 8-adrig vorgenommen worden. Wir haben angenommen, dass sich im
Kellergeschoss eine Hauptverteilung befindet. Dort sind LWL-Fasern zu den einzelnen Etagen
verlegt, wir sind von 8 Fasern zu jeder Etage ausgegangen. Die vorhandene TK-Anlage ist dort
ebenfalls aufgelegt.
maximal 160 Ports in das Netzwerk eingebunden werden. Ausnahme ist das Großraumbüro mit
maximal 100 Ports.
Die Etagenswitches in den Etagen dieses Gebäudes wurden wie folgt bestückt: Pro Etage
werden jeweils 2x Matrix E1 eingesetzt – jeweils auf 80x 10/100 Ports aufgerüstet, alle mit einer
redundanten Gigabit Ethernet Verbindung auf 1000BaseSX Basis ausgerüstet.
Der Core ist identisch mit dem des Verwaltungsgebäudes in Hemsbach.
Im Großraumbüro werden 2x Matrix E1 eingesetzt - jeweils mit einer redundanten Gigabit
Ethernet Verbindung auf 1000BaseSX Basis ausgerüstet.
122
10.2.10.6
WAN Infrastruktur
Bei der Auswahl und dem Design der WAN Infrastruktur wurde von Enterasys Networks der
Fokus auf folgenden Funktionen gelegt:
•
•
•
Sichere Übertragung durch VPN
Einheitliche Authentisierung für VPN/WAN, LAN und WLAN
Die VPN-Lösung von Enterasys unterstützt „State of the Art“ Verschlüsselungsmechanismen wie
3DES und AES. Diese ermöglichen eine sichere Verbindung auf der Basis der IPSec-Protokolls
zwischen zwei Routersystemen oder auf einem Software-Client und einem Router.
Enterasys Networks setzt in dieser Lösung stark auf standardbasierte Clients – unter Linux ist es
der FreeSWAN Client, unter Windows 2000 und Windows XP der vorhandene IPSec/L2TP Client,
die beide von dem eingesetzten Routersystem XPedition Security Router XSR-1805 terminiert
werden können.
Die einheitliche Authentisierung kann mittels SmartCard, Passwort oder TokenCard erfolgen –
die eingesetzte Technologie unterstützt jegliche Methoden. Die Verwendung des Protokolls EAP
(Extensible Authentication Protocol) innerhalb von IPSec/L2TP bei VPN Verbindungen sowie
EAPoL bei LAN- und WLAN-Verbindungen macht dies möglich – weitere Informationen sind im
Abschnitt User Personalized Network zu finden.
Insbesondere bei der WAN-Infrastruktur ist auf die Konvergenzfähigkeit zu achten, wenn diese
garantiert werden soll. Die verwendeten Produkte der XSR-Serie können dies realisieren. Zu
beachten ist jedoch, dass auch der verwendete Carrier dies tut – und die Schnittstellen sowie
die Qualitätsparameter und deren Erfassung beschrieben sind. Dies ist heute jedoch nur bei
dedizierten ISDN- und ATM-Verbindungen gegeben, bei IP-basierten WAN-Infrastrukturen ist
entweder keine Garantie gegeben oder man muss den Provider entsprechend detailliert
analysieren – dies muss dem Anwender bewusst sein.
Nichtsdestotrotz kann eine Anbindung von Heimarbeitsplätzen über Internet-Provider sinnvoll
und auf alle Fälle extrem kostengünstig sein.
Im folgende einige Funktionen des XSR, der im gesamten WAN Konzept eine zentrale Rolle
spielt:
•
•
•
Interfaces:
o
2 * 10/100 Ethernet
o
2 * PMC WAN Interface Karten mit jeweils
o
1,2,4 E1
o
2,4 X.21
o
2 ISDN PRI
o
1,2 ISDN BRI
Routing:
o
OSPF
o
RIP
VPN
o
Integrierter VPN Accelerator mit 100 Mbit/s 3DES, 50/200 Tunnel
o
Lokale Authentisierung
o
Radius Authentisierung
123
•
•
10.2.10.7
o
PKI Infrastruktur Unterstützung
o
IPSec, L2TP, PPTP Terminierung
ISDN
o
Q921/Q931 ISDN Protokoll
o
DOD – Dial on Demand
o
BOD – Bandwidth on Demand.
o
BRI und PRI Unterstützung Enterasys Software effort:
o
PPP Bandwidth allocation protocol (RFC 2125)
o
Demand RIP RFC support.
o
Quality of Service
Priority Queuing
o
Class based Weighted Fair Queuing
o
4 Priority, 64 Class based Queues pro Interface
Anbindungsszenarien
10.2.10.7.1 Stationäre Heimarbeiter über RAS
Wir gehen davon aus, dass zur Anbindung eines Teils der Heimarbeitsplätze öffentliche ISDNoder analoge Wählleitungen eingesetzt werden. Die Einwahl erfolgt bei ISDN Leitungen entweder
durch eine ISDN-Karte im PC oder einen ISDN-Router wie der XSR-1805.
Bei dem Konzept mit PC kann der VPN-Client im Endsystem als zusätzliche Sicherheit eingesetzt werden, bei Verwendung des XSR-1805 kann die VPN-Funktion des Routers genutzt
werden.
Analog-RAS-Nutzer wählen sich immer über einen Provider ins Internet ein und bauen eine VPNVerbindung zur Zentrale auf.
Das Konzept sieht daher in Hemsbach einen zentralen VPN-Gateway in Form eines XSR-1805
vor, über den sich auch ISDN-Benutzer einwählen können.
10.2.10.7.2 Stationäre Heimarbeiter über xDSL
Hierbei sind verschiedene Szenarien möglich zur Anschaltung an das DSL-Modem über
Enterasys Networks (ETS) Komponenten möglich:
•
•
•
•
Anbindung des PC über Ethernet – Nutzung VPN Client
Anbindung des PC über WLAN an ETS Roamabout R1 – Nutzung VPN Client
Anbindung des PC und Phones über Ethernet an ETS ANG-1105 – Nutzung VPN im
ANG
Anbindung des PC und Phones über Ethernet an ETS XSR-1805 mit ISDN backup –
Nutzung VPN im XSR
Roamabout R1:
Ein auf 802.11b basierter Router zur Anschaltung per PPPoE an DSL Dienste, sowie integrierte
Ethernet Ports für lokale Drucker/Phones und WLAN für mobile Nutzer innerhalb des Hauses
ANG 1105 (Aurorean Network Gatework):
124
Eine VPN Appliance für den SOHO Bereich mit 4 Ethernet Ports für lokale Nutzer und PPPoE für
den Anschluss an ein DSL Modem. Integrierte VPN Funktion mit bis zu 3 Mbit/s 3DES
XSR 1805
Router für Fialen bis zu 100 Mitarbeiter, aber auch für Heimarbeitsplätze aufgrund der
Preisstruktur hervorragend geeignet. Integrierte VPN und Firewall Funktion – das gleiche Gerät,
was auch in der Zentrale zu Einsatz kommt.
Mit diesen Produkten ist eine flexible und kostengünstige Anbindung der Heimarbeitsplätze
möglich.
Abbildung 68: Anbindung externer Mitarbeiter
10.2.10.7.3 Mobile Teilnehmer mit wechselnden Standorten
In den meisten Unternehmen gibt es Benutzer, die aufgrund ihrer Tätigkeit nicht nur im Büro,
sondern überall erreichbar sein müssen. Wir haben daher im Konzept vorgesehen, dass solche
Anwender ebenfalls die Mittel erhalten, die notwendig sind, um vollständig in die Infrastruktur
integriert zu werden. Wir unterscheiden die folgenden Varianten, die selbstverständlich
kombiniert eingesetzt werden können:
•
•
•
Mobile Anwender, die mittels Telefon (Mobiltelefon, beliebiges Telefon in unterschiedlichen Netzen) erreichbar sein möchten oder auf ihre Mailbox zugreifen wollen.
Mobile
Anwender,
die
mittels
PC
oder
Handheld
auf
Non-VoiceKommunikationsdienste bzw. Datenbestände im Unternehmen zugreifen möchten.
Mitarbeiter, die Arbeitsplätze im Büro, zu Hause und unterwegs (z.B. Hotel) nutzen
möchten.
125
Die mobilen Nutzer werden ausschließlich über eine kostengünstige VPN-Lösung in das
Unternehmensnetz integriert – die dazu nötige zentrale Infrastruktur in Form eine XPedition
Security Routers wurde schon zuvor beschrieben.
10.2.10.8
WAN Anbindung – Gesamtlösung
NoFear hat angegeben, dass zwischen Hemsbach und Königswinter eine 2 MBit/s VLAN
Verbindung über einen ISP bereitgestellt wird. Die eingesetzten zentralen VPN fähigen Router
XSR-1805, die in jeder Zentrale eingesetzt werden und dort die Heimarbeitsplätze terminieren,
können ebenfalls zur Verbindung der Standorte untereinander genutzt werden. Die 30 Mbit/s
3DES sind für die sichere Verbindung mehr als ausreichend. Die externe Anbindung erfolgt in der
DMZ, das interne Interface läuft auf einem neuen Interface der zweiten, internen Firewall auf.
NoFear fordert ein ausgefeiltes Sicherheitskonzept. Bei der Planung sind wir von einem
bestehenden Firewall-System in Hemsbach (Check-Point Firewall-1) ausgegangen.
Die Switches innerhalb der DMZ sind ebenfalls aus der Serie Matrix E1, wie die vorhandenen
Server-Switches (mit 10/100/1000 als Basisversion).
Zusätzlich empfehlen wir NoFear die Implementierung einer PKI-Infrastruktur, die ein wichtiger
Teil eines umfassenden Konzeptes für die Sicherheit und Verschlüsselung ist.
Abbildung 69: WAN-Design, gesamt
126
10.2.10.9
User Personalized Network, UPN
Durch das oben beschriebene Re-design des Netzwerkes gewinnt NoFear die Fähigkeit, eine
Sprach-Daten-Konvergenz durchzuführen. Beim Re-design des Netzes durch Enterasys wurde
zudem ein großer Wert auf Verfügbarkeit, Wirtschaftlichkeit, Managebarkeit und Sicherheit
gelegt.
Um in der heutigen Zeit als Unternehmen erfolgreich zu sein, bedarf es zum einen der Senkung
der operativen Kosten und zum anderen der Findung und Erweiterung neuer Geschäftsfelder.
Daher empfiehlt Enterasys die Einführung eines User Personalized Networks (UPN), um diesen
Anforderungen mit einer modernen IT-Infrastruktur gerecht zu werden.
Im Folgenden wird beschrieben, wie ein UPN die Anforderungen der Ausschreibung erfüllt und
wie NoFear mittels UPN neue Dienste bereitstellen und vermarkten kann.
10.2.10.9.1 Sicherheitssystem
Ein wichtiger Teil der Ausschreibung ist das Sicherheitssystem. Die externen Benutzer des VoIPNetzes müssen mit Hilfe eines Sicherheitssystems identifiziert werden. Dazu bedarf es einer
Lösung, die den Zugang zur Infrastruktur überwacht und sicherstellt, dass die Anforderungen an
das VoIP-Netz nicht durch externe Benutzer und bandbreitenintensive Applikationen gestört
werden. Dies ist nur möglich, wenn man den Benutzer erkennt, der das Netzwerk nutzen möchte.
Daher braucht man einen universellen Authentisierungsmechanismus, um einen verteilten
Zugangsmechanismus bereitzustellen.
Genau dort setzt das User Personalized Network an. Der verteilte Zugangsmechanismus erfolgt
über die Funktionalität des Standards IEEE 802.1X. Damit ist es möglich, dass sich jeder
Benutzer vor Eintritt in die Netzwerklandschaft authentisieren muss. Dies erfolgt in der
angebotenen Lösung von Enterasys mittels des Standards IEEE 802.1X.
10.2.10.9.2 Port based Authentication - IEEE 802.1X
Das Institute of Electrical and Electronical Engineers (IEEE) hat einen Standard entwickelt, der
den Benutzer identifiziert, bevor er überhaupt auf die Netzwerk-Ressourcen zugreifen kann. Der
auch als „Port Based Network Access Control“ bezeichnete Standard IEEE 802.1X sorgt dafür,
dass der Datenverkehr bereits am Zugangspunkt am Rande des Netzwerks kontrolliert wird. Das
heißt, jeder einzelne Switch-Port kann entscheiden, ob der User die notwendigen Rechte besitzt,
um den Port zu passieren. 802.1X hindert unautorisierte User am Zugriff auf das Netzwerk, auch
wenn das Zugangsgerät bereits an die Infrastruktur angebunden ist.
Im Rahmen der Authentifizierung mit 802.1X werden zwei unterschiedliche Zugangspunkte zum
LAN geschaffen, ein unkontrollierter Port und ein kontrollierter Port. Der unkontrollierte Port
erlaubt den Datenverkehr unabhängig davon, ob bereits eine Autorisierung erfolgt ist oder nicht.
Der kontrollierte Port hingegen erlaubt den unbeschränkten Datenaustausch erst nach erfolgter
Autorisierung. Bis zur erfolgreichen Authentifizierung kann der so genannte Supplicant über den
kontrollierten Port ausschließlich Daten senden, die für die Authentifizierung notwendig sind.
Diese Daten werden auch als EAPoL bezeichnet (Extensible Authentication Protocol over LAN).
Die Authentifizierung erfolgt primär unter Einsatz des Extensible Authentication Protocol (EAP).
EAP ist eine Erweiterung innerhalb des Point-to-Point-Protokolls (PPP), das für die
Kommunikation zwischen dem sog. Supplicant und dem sog. Authentication Server zuständig ist.
Neben 802.1X unterstützt EAP weitere Authentifizierungsmechanismen wie beispielsweise
Kerberos, Smart Cards, Public Key Encryption und One Time Passwort.
127
Der Authentifizierungsprozess wird in der Regel immer dann in Gang gesetzt, wenn der
Supplicant, d.h. der Client, auf den Port des Authenticator Systems zugreift. EAP fordert den
Benutzer auf, sich mit Benutzernamen und Passwort zu authentifizieren. Diese Informationen
werden zunächst an den Port bzw. den Switch weitergeleitet. Sobald der Switch diese Daten
empfangen hat, leitet er sie an den RADIUS-Server weiter, der in diesem Fall als Authentication
Server dient. Anhand der hinterlegten Benutzerprofile authentifiziert der RADIUS-Server den
User, d.h. er entscheidet, ob der User Zugriff auf die angefragten Services erhält oder nicht. In
einigen Fällen übernimmt der RADIUS-Server die Authentifizierung nicht selbst, sondern leitet
die Daten an eine weitere Authentifizierungseinheit weiter, beispielsweise an einen
Verzeichnisdienst (Directory) oder einen ACE-Server.
Im folgenden Bild ist der prinzipielle Auflauf zu sehen.
Abbildung 70: EAP Authentisierung
Im Falle einer nicht erfolgreichen Authentifizierung erhält der Switch eine entsprechende
Information, die dafür sorgt, dass der Port nicht aktiviert wird beziehungsweise das StandardSystemverhalten beibehält. In beiden Fällen erhält der Benutzer keinen Zugriff auf die
angefragten Services.
Wenn die Authentifizierung erfolgreich verläuft, wird die Erfolgsmeldung, die der RADIUS Server
an den Switch zurücksendet, mit der Funktionsbezeichnung „RADIUS/EAP Success“ versehen.
Der Switch schaltet danach sofort den entsprechenden Port für den uneingeschränkten
Datentransport frei.
IEEE 802.1X findet in der angebotenen Lösung von Enterasys nicht nur im LAN statt, sondern
wird auch für Wireless LAN und VPN genutzt. Es gibt Unterstützung von 802.1X mittlerweile für
alle Windows Clients ab Windows98 und für Linux, was für den Einsatz innerhalb von NoFear
komplett ausreichend ist.
Damit es ist möglich, den Anforderungen in der Ausschreibung bezüglich Benutzerauthentisierung gerecht zu werden.
10.2.10.9.3 Zentrale Benutzerverwaltung
Die zentrale Benutzerverwaltung spielt hier eine wichtige Rolle, da man den Benutzer einmal
anlegt und entsprechende Profile zentral vergibt. Zudem ermöglicht und vereinfacht die zentrale
128
Benutzerverwaltung mittels Directory die Einführung einer Public Key Infrastructure, PKI (z.B. mit
Siemens DirX Meta Directory)
10.2.10.9.4 Umzugsmanagement
Die Benutzerauthentisierung ist ein wichtiger Teil des User Personalized Networks. Nur wenn
man den Benutzer erkennt, kann man diesem auch entsprechend den Zugang zum Netzwerk
erlauben. Der Riesenvorteil von 802.1X ist die universelle Einsetzbarkeit. Der Benutzer kann sich
an jeder Stelle des Netzwerkes an einen Datendose anstecken und der Authentisierungsprozess
startet erneut. Das gilt für Wireless- als auch für Wired-Verbindungen.
Benutzer sind zudem für die Authentisierung nicht an den Arbeitsplatz oder an den Rechner
gebunden. Ist ein Benutzer-Account einmal zentral angelegt, werden diese Infos zur
Authentisierung genutzt. Eine Zugangsmethode, die den Benutzer auf Basis von MAC-Adressen
oder IP-Adressen festmacht und statisch auf bestimmte Switchports/Datendosen bindet, entfällt
komplett. Dadurch sinkt der Administrationsaufwand bei Umzügen und Änderungen (Tausch von
PC) durch die aufwendige Pflege von Tabellen und die operativen Kosten können gesenkt
werden.
10.2.10.9.5 Zentrale Verteilung von Profilen
Die Benutzer-Authentifizierung ist ein wichtiger Schritt, um Mitarbeitern in einem Unternehmen
bestimmte Sicherheitsregeln zuzuweisen. Am Ende des erfolgreichen Authentifizierungsprozesses kann jedem Benutzer entsprechend seiner Identität weiterhin bestimmte Regeln
zugewiesen werden. Auf Basis dieser Regeln erhält der User in einem Policy -basierten Netzwerk
Zugriff auf die entsprechenden Ressourcen. Auf diese Weise ist gewährleistet, dass einem
Mitarbeiter ausschließlich die Service-Level und Verhaltensprofile zur Verfügung gestellt werden,
die er für seine Tätigkeit benötigt.
Mit einem Policy-basierten Netzwerk ist ein Unternehmen in der Lage, den Zugang zum
Netzwerk zu kontrollieren, Informationen und Services bereitzustellen und gleichzeitig
vertrauliche Daten zu schützen. Das User Personalized Network (UPN) von Enterasys Networks
ist ein Policy -basiertes System, mit dem die Ressourcen innerhalb eines Netzwerks auf Basis
der Rolle des Anwenders zugewiesen werden.
Abbildung 71: UPN-Komponenten
129
Die Autorisierung und die Rollenzuweisung findet dabei an zwei Stellen statt: in der Benutzerund Referenzdatenbank sowie am Switch-Port, den der Benutzer zum Verbindungsaufbau nutzt.
Neben der 802.1X-basierten Identifizierung und Authentifizierung ermöglicht das User
Personalized Network die einfache Implementierung verschiedener Regeln an den
Zugangspunkten zum Netzwerk. Mit diesem Prozess wird sichergestellt, dass die User im User
Personalized Network einen sicheren Zugriff auf die entsprechenden Netzwerk-Ressourcen und
Service Levels erhalten.
10.2.10.9.6 Einführung von CoS/QoS für VoIP
Cos/Qos ist im Falle von NoFear extrem wichtig durch die Einführung von VoIP. Die VoIPDatenströme sind sehr zeitkritisch und erlauben keine Ausfallzeiten. Das Thema Hochverfügbarkeit und Sicherheit in der Datenübertragung ist daher ein sensibles Thema, das bei
einer VoIP-Einführung beachtet werden muss.
Mittels eines UPNs ist es aber möglich, die Datenströme entsprechend zu erkennen und mit
einer gewissen Priorität zu übertragen. Die Bereitstellung von CoS/QoS Diensten erfolgt sogar
dynamisch.
Da der Benutzer durch den Authentisierungsprozess bekannt ist, kann man diesem auch gezielt
an dem angeschlossenen Switch-Port den Dienst VoIP zuweisen.
Der Dienst VoIP besteht aus:
•
•
•
der Priorisierung der Datenpakete mit Hilfe der Klassifizierung
dem DSCP-Wert nach DiffServ und
einer Bandbreitenlimitierung aller anderen Applikationen, die über diesen Switchport
versendet werden.
Dadurch ist möglich, für VoIP eine hohe Prioritätsklasse einzuführen und auch Ende-zu-EndeQualität bereitzustellen. Dies wird näher im Abschnitt QoS/Traffic Management beschrieben.
Damit ist es möglich, auch zwischen verschiedenen Benutzergruppen zu unterscheiden.
Mitarbeiter im Call Center haben ganz andere Anforderungen an die Infrastruktur als Mitarbeiter
in der Verwaltung, die neben VoIP auch noch andere geschäftskritischen Applikationen nutzen.
Mit Hilfe von UPN ist es möglich, diesen Anforderungen individuell gerecht zu werden.
Die Definition der Rollen und Dienste erfolgt mittels der Applikation „Netsight Altas Policy
Manager“, die in Kapitel 8.4 nochmals näher beschrieben wurde.
10.2.10.9.7 Guest Networking
Das Konzept von UPN zieht sich prinzipiell über alle Lokationen. Dadurch ist es möglich,
unabhängig vom physikalischen Standort die entsprechenden Dienste zu nutzen.
In der Messehalle kann NoFear mit Hilfe von UPN auch ein so genanntes „Guest
Network“ anbieten.
Mittels dieser Zusatzleistung, die die Firma High Fair wiederum vermarkten kann, ist es möglich,
Messebesuchern oder akkredierten Journalisten einen prinzipiellen Netzzugang bereitzustellen,
um bestimmte Basisdienste wie Verschicken und Aufrufen von Email oder Webzugang
bereitzustellen.
130
Das Ganze läuft parallel über die Netzwerkinfrastruktur und abgeschottet von dem Rest des
Netzverkehrs. Dazu benötigt man nur einen entsprechenden „Guest Account“, der wiederum
zentral verwaltet wird. Diesem Guest Account werden dann die entsprechenden Basis-Dienste
wie Web oder Email freigeschaltet. Dazu wird wieder die Technologie VLAN-Klassifikation
genutzt. Alle Benutzer mit einem „Guest Account“ fallen erstmal in ein so genanntes Discard
VLAN, aus dem sie grundsätzlich keine Daten auf die Netzwerkinfrastruktur versenden können.
Nur durch Freischalten von Diensten wie ARP, DHCP, HTTP oder SMTP/POP3 können diese
genutzt werden.Die Verwaltung läuft ebenfalls wieder über den Netsight Atlas Policy Manager.
Aussteller in der Messehalle bekommen wiederum einen speziellen Account, der sie berechtigt,
nach erfolgter Authentisierung diverse Dienste in Anspruch zu nehmen. Auch hier ist es für
NoFear möglich, diese Dienste granular, gemäß des vorgegebenen Geschäftsmodells,
anzubieten.
Technisch unterstützen sowohl die angebotenen Matrix E1/E7/N3/N7 als auch RoamAbout R2
diese Funktionalität.
Es ist davon auszugehen, dass nicht alle Messebesucher oder auch Journalisten einen
entsprechenden Laptop mit 802.1X Unterstützung besitzen. Daher ist es möglich, auch über ein
so genanntes WEB -Logon eine Authentisierung bereitzustellen. Dazu wird einfach ein Browser
auf dem Laptop gestartet und eine bestimmte URL aufgerufen. Durch Eingabe einer gültigen
Benutzername/Passwort-Kombination kann der entsprechende Benutzer das Netzwerk nutzen.
10.2.10.10
Zusammenfassung (Executive Summary)
Die Informationen verbunden mit einem entsprechenden Informationsvorsprung sind nach wie
vor das wichtigste Gut eines Unternehmens. Es wird heute vorausgesetzt, dass jeder Mitarbeiter
in einem Unternehmen jederzeit auf alle Informationen zugreifen kann, die er für seine Arbeit
braucht. Wichtige Daten müssen vor Spionage und Manipulation geschützt werden. Daher sind
Zugangskontrollen ein wichtiger Bestandteil einer sicheren IT-Infrastruktur.
Mit Hilfe eines speziellen Zugangskontrollsystems wie dem 802.1X-Standard lassen sich
regelbasierte Verfahren aufbauen, die nicht nur festlegen, wer wann auf welche Systeme
zugreifen darf, sondern zusätzlich die Einhaltung dieser Regeln sicherstellen. Der 802.1XStandard ist in der Lage, auch aus anderen Security-Backends die erforderlichen
Authentifizierungs-Daten zu gewinnen, um Passwörter sowie Benutzerprofile und Benutzerrechte
zu kontrollieren.
Angesichts allzu leicht zugänglicher Geschäftssysteme lassen sich daher mit Hilfe spezieller
Zugangskontrollsysteme regelgestützte Verfahren aufbauen, die nicht nur festlegen, wer wann
Zugriff auf bestimmte Systeme hat und was er mit ihnen machen kann, sondern die Einhaltung
dieser Regeln auch automatisch sicherstellen. Diese Regeln können unternehmensweit erstellt,
verwaltet und verteilt werden. Auch eine Anpassung an die Sicherheitsanforderungen
bestimmter Anwendungen ist möglich.
Um den Anforderungen der Ausschreibung gerecht zu werden und neue Geschäftsfelder
aufzudecken, empfiehlt Enterasys die Einführung eines User Personalized Networks. Die drei
elementaren Bestandteile hierzu sind die einheitliche Benutzerauthentisierung mittels 802.1X,
eine Rollenvergabe für die Mitarbeiter angepasst an das entsprechende Geschäftsmodell und
eine intelligente, hoch-verfügbare und skalierbare Infrastruktur, die dies bereitstellen kann.
Enterasys Networks stellt mit dem angebotenen Netzwerk-Design ein solches System zur
Verfügung, mit dem NoFear heute schon ihre Geschäftsprozesse optimal auf die IT-Infrastruktur
anpassen kann.
131
11 Wireless LAN
11.1
WESHALB WIRELESS TECHNOLOGIEN EINSETZEN?
Wireless LAN schafft Connectivity in Bereichen, in denen bisher keine Datenkommunikation (aus
unterschiedlichen Gründen) möglich war, beispielsweise in denkmalgeschützten Bauten.
Das Hauptziel ist, Leerlaufzeiten aller Art zu minimieren und somit die Produktivität eines
Unternehmens zu steigern.
11.2
WELCHE MÄRKTE WERDEN MIT WLAN ADRESSIERT?
Wireless LAN Technologien schaffen Lösungen für folgende Märkte:
•
Denkmalgeschützte Bauten, wo nur begrenzte Verkabelungen durchführbar sind
•
Hotel und Gastronomie (Schnelle Bedienung mit PDA´s in Restaurants )
•
Gesundheitswesen (Lückenlose Patientenakte, Internet vom Krankenbett)
•
Automobilindustrie (Qualitätskontrolle)
•
Logistik und Lagerwesen
•
Büroumgebungen aller Art
•
Hotspots etc.
11.3
WAS WIRD ALS WLAN BEZEICHNET?
Heute bezeichnet man als ein Wireless LAN die gängigen Infrastrukturen, die in der Majorität auf
der 802.11b-Technologie basieren.
Diese Technologie arbeitet im freigegebenen ISM-Band bei ca. 2,4 GHz unter Verwendung des
so genannten DSSS-Verfahrens (Direct Sequence).
(Anmerkung: Frühere, ältere WLAN-Geräte arbeiteten bei 1-2 MBit/s nach dem FHSS (Frequency
Hopping Modus) und sind zu den oben genannten DHSS Technologien inkompatibel)
Innerhalb des zuvor genannten ISM Bandes stehen nach ETSI Regelung 13 Kanäle zur Nutzung
zur Verfügung. Bei der Positionierung von Access Points sind, um Interferenzen zu vermeiden,
Mindest-kanalabstände einzuplanen. Erfahrungswerte zeigen, dass ein Kanalabstand von 5–6
Kanälen empfehlenswert ist.
ETSI legt ferner eine maximale Sendeleistung von 100 mW oder 20 dBi fest (Vergleiche hierzu
auch ETSI EN 300328, u.a.).
Anmerkung: Dieser Maximalwert ist ebenfalls zu berücksichtigen, bei der Planung von WLAN
Netzen mit externen Antennen.
Die bei 802.11b bekannten (Brutto-) Übertragsbandbreiten sind 11; 5.5; 2 und 1 MBit/s.
132
Die modernen WLAN-Komponenten unterstützen den dynamischen „Autofallback-Modus“.
Hierbei erfolgt bei Änderung der Empfangsverhältnisse eine Änderung der Übertragsbandbreite.
Wird der Signal-Rausch-Abstand kleiner, verringert sich die Übertragungsbandbreite und
umgekehrt.
Als eine weitere Variante eines WLAN wird seit kurzer Zeit in verschiedenen Ländern eine
Lösung im Markt angeboten, die bei Frequenzen des 5-GHz-Bandes arbeitet (802.11a/h). Bisher
sind die Zulassungen für diese „neuen“ WLANs in den verschiedenen europäischen Ländern
unterschiedlich erteilt worden. Eine gesamteuropäische Regelung steht aus. Ebenfalls dürfen
Systeme der 5GHz Variante unter Einhaltung jeweiligen Randparameter in Deutschland als auch
Österreich betreiben werden.
Für den Betrieb sind aufgrund der höheren Frequenz andere Antennen als bei einem 802.11b
System erforderlich.
Abbildung 72: 802.11a/b Entfernungen
Quelle:
http://www.zdnet.de/mobile/artikel/techreport/mobile-business/mobilebusiness05_03-wc.html
Neben den beiden oben näher beschriebenen Verfahren 802.11 b und 802.11 a/h gibt es noch:
•
•
•
•
Bluetooth als ein WPAN = Wireless Personal Area Network (löst Connectivity Anforderungen im Nahbereich, quasi die “drahtlose USB Schnittstelle“),
802.11 g (endgültiger Standard steht aus, derzeit 3 Varianten im Draft)
Infrarot (z.B. Fernbedienungen zu TV-Geräten /Video)
HiperLan, eine weitere 5-GHz-Technologie – die sich zwischenzeitig auf dem Rückzug
befindet. Es liegen verschiedenen Gründe vor, die zur Einstellung der weiteren
Entwicklungen geführt haben. Dies ist, u.a.: HiperLan basierte auf ATM, was
Kompatibilitätsfragen aufwarf.
133
Einen Überblick gewähren die folgenden Abbildungen:
Abbildung 73: Wireless Technologien
Betriebsmodi
Im Umfeld von WLAN nach 802.11 b wird zwischen verschiedenen Betriebsmodi bzw.
Topologien unterschieden:
Ad Hoc Mode:
von WLAN-Client-Karte zu WLANClient-Karte (KEIN ! Access Point)
-
Workgroupmode oder auch
Clientmode (WLAN Clients, die unter
Nutzung von Access Points arbeiten):
zumeist im Innenbereich betrieben,
aber auch in Außenbereich einsetzbar
134
Point-to-Point-Mode (Von Gebäude
zu Gebäude):
zumeist im Außenbereich eingesetzt
Point-to-Multipoint-Mode (Von
Gebäude zu mehreren Gebäuden):
ebenfalls im Außenbereich eingesetzt,
ist ein Sonderfall des Point-to-PointModus.
(Anmerkung: Wird verschiedentlich mit
dem Client Mode verwechselt.
Erfordert einen
Softwarefreischaltungsschlüssel, der
separat bestellt werden muss)
Abbildung 74: WLAN Betriebsmodi
Die Besonderheit der Enterasys Networks WLAN Access Point Komponenten Roam About ist,
das alle drei oben beschriebenen Modi auf der Basis der Roam -About-Hardware betrieben
werden können. Das erleichtert Schulung und eventuelle Ersatzteilhaltung.
Erforderlich sind lediglich die Softwareeinstellungen (und die eventuell für den Multipoint Modus
erforderlichen Enabling Keys). Ein Access Point R2 kann bei entsprechender optionaler Karte
parallel zwei der obigen Modi bedienen (z.B. Point to Point (Karte in Slot 1) und Client Mode
(Karte in Slot 2 und Mezzanine Board)).
11.4
SICHERHEIT
Wireless LAN Lösungen sollten in ein Security Gesamtkonzept eingebunden werden.
Da sich Funkwellen beliebig ausbreiten können, müssen entsprechende „Zutrittskontrollen“ (Authentification) und Verschlüsselungsverfahren verwendet werden. Für die
Authentifizierungserfordernisse wird das 802.1X Protokoll eingesetzt. Da der User bei der
Authentifizierung bekannt wird, ist ein nutzerorientiertes Arbeiten am WLAN (wie auch im
geswitchten LAN) möglich. Diese Funktion wird auch „User Personalized Networking“ genannt
(vgl. Kapitel 8).
Basierend auf dem Verfahren nach 802.1 X bietet Enterasys Networks das „Rapid ReKeying“ als interoperables Sicherheitsfeature an. Der bei WLANs standardmäßig verwendete
WEP Key (welcher statisch und somit unsicher ist) wird dynamisiert, so dass ein Angriff auf das
WLAN erfolglos bleiben wird.
135
Als standardkonformes Sicherheitsfeature wird Wireless Protected Access (WPA) durch das WiFi
Komitee eingeführt (Enterasys Networks unterstützt mit einem Softwareupdate dieses neue
Feature). Eine weitere Security-Option ist VPN. Hierbei wird ein IPSec-VPN-Tunnel zwischen
einem WLAN-Client und einem „Tunnelterminator“, welcher sich im LAN hinter dem Access
Point befindet, aufgebaut.
11.5
MANAGEMENT DER ACCESS POINTS
Ein wichtiger Aspekt wird bei vielen WLANs zunächst nicht berücksichtigt. Es handelt sich um
die Fragestellung, wie Access Points gemanagt werden. Enterasys Networks bietet hier im
Standardpaket den Access Point Manager an, welcher den Access Points beigefügt ist.
Ein umfangreiches Management kann durch die Produktfamilie Netsight Atlas erzielt werden.
Es können Templates, sowie Policies eingestellt und konfiguriert werden.
Anzumerken ist, dass alle hier genannten Managementlösungen auf SNMP v3 setzen, was eine
kryptisierte Datenübermittlung der Managementdatenpakete sicherstellt.
11.6
AUSLEUCHTUNG
Neben den am Markt verfügbaren, meist sehr teueren und komplizierten Geräten, bietet
Enterasys Networks in den mitgelieferten Client Tools über eine Pegelmessfunktion, die für die
meisten Ausleuchtungen genügt. Es kann ein Log geschrieben werden, der eine gute
Auswertung
ermöglicht.
Antennenoptionen
Neben den im Enterasys Networks Portfolio angebotenen Antennen können unter Einhaltung der
ETSI-Regeln andere Antennen angeschlossen werden. Wir empfehlen die Antennen des
Herstellers Huber und Suhner. Im Innenbereich finden sich zumeist die Anwendungen des
Clientmodus Büro, Lagerhalle etc. Im Outdoorbereich müssen bei der Planung von AußenWLAN-Anlagen einige Randparameter berücksichtigt werden. Diese sind z.B. eine klare
Sichtverbindung zwischen den Endpunkten oder eine entsprechend freie Fresnelsche Zone, um
eine optimale Datenübertragung zu gewährleisten.
Abbildung 75: Fresnel Zone
Bei der Montage der Antennen sind die Koaxialkabelanschlüsse der Zuführungskabel im
Außenbereich mit geeigneten Abdichtungen zu versehen.
Ferner sind die Richtlinien der VDE o.ä. einzuhalten und die Antennenanlage sollte über einen
Blitzschutz verfügen.
136
12 Wide Area Netwok (WAN)
Im Gegensatz zum LAN wird mit dem Begriff WAN (Netzwerk auf globalem Gebiet,
Weitverkehrsnetz) ein Netzwerk bezeichnet, bei dem einzelne Einheiten in anderen Gebäuden
oder in anderen Städten oder Ländern installiert sind. Die Bestandteile eines WANs sind dabei in
der Regel auch weitaus größer bzw. anders geartet als die Komponenten eines LANs. So
werden zur Verbindung in andere Gebäude, Städte oder Länder spezielle Formen der
Datenübertragung – unter Zuhilfenahme der öffentlichen Kommunikationsnetze – eingesetzt (z. B.
Modems, ISDN). Beim WAN-Einsatz wird also grundsätzlich der „private“ Geltungsbereich eines
Unternehmens verlassen. Die Kontrolle über das System liegt somit nicht mehr bei demjenigen,
der das Netzwerk betreibt, sondern beim Anbieter der Übertragungsdienste (Provider). Die
Ausdehnung des WANs ist somit quasi unbeschränkt, geht also über Stadt- und Landesgrenzen
hinaus. Historisch gesehen fand zunächst die Datenkommunikation ausschließlich lokal statt und
es wurden Datenträger (Wechselplatten o.ä) per Boten zur Übermittlung der Daten über die
eigenen LAN Grenzen hinweg genutzt. Später kamen Systeme mit geringen Bandbreiten auf, die
eine technische Lösung schufen, die ersten WANs. Diese basierten auf so genannten Modems,
welche das Standardtelefonnetz zur Datenübermittlung nutzten.
Wichtig bei allen WAN-Systemen ist, das vertrauliche Daten über ein „öffentliches“ Netz
transportiert werden, wobei der Endnutzer sich vor einem unberechtigten Zugriff Dritter schützen
sollte (vgl. Kapitel 14)
12.1
WAN VERBINDUNGSARTEN
12.1.1
PAKETVERMITTELNDE VERBINDUNG
Die paketvermittelnde Verbindung ist eine WAN-Verbindung, bei der die an der Kommunikation
beteiligten Netzwerkgeräte eine quasi virtuelle Festverbindung nutzen. Die Verbindung besteht
im Gegensatz zum Circuit Switching darin, dass die Datenpakete nicht eine
„Exklusivleitung“ nutzen, sondern innerhalb eines Backbones transportiert werden (dem
Netzwerk eines Betreibers). Die verbreitesten Netzwerktypen dieser Art sind Frame Relay und
ATM.
Frame Relay ist ein paketvermitteltes Übertragungsmedium, wo für die Übertragung so genannte
Virtual Circuits konfiguriert bzw. genutzt werden. Es ist die Weiterentwicklung von X.25Netzwerken (Datex-P) und deutlich performanter als diese. Die Optimierung wurde beim
Protokoll Frame Relay durch die Integration „intelligenter Endgeräte“ und fehlerfreier
Verbindungswege vorgenommen. Die bei X.25 noch üblichen Sicherungs- und Flussmechanismen wurden deutlich reduziert. Frame Relay unterstützt so genannte permanente
virtuelle Verbindungen (PVCs). Jede virtuelle Verbindung erhält am Frame-Relay-Interface einen
Data Link Connection Identifier (DLCI).
Die Einteilung der DLCIs unterliegt verschiedenen Standards. Diese sind:
•
•
•
•
LMI Frame Relay Forum Implementation Agreement (IA)
FRF.1 ersetzt durch RF.1.1
Annex D ANSI T1.617
Annex A ITU Q.933 referenced in FRF.1.1
137
Die in diesen Standards definierten Einträge werden dafür genutzt, zu unterscheiden, ob es sich
um einen lokalen oder einen globalen DLCI handelt. Über eine physikalische Verbindung können
so mehrere virtuelle Verbindungen (logische Kanäle) realisiert werden. Das war auch bei X.25
möglich. Bei Frame Relay wird zwischen maximaler physikalischer Übertragungsrate (Access
Rate, AR) und Committed Information Rate (CIR) unterschieden. Die CIR bestimmt letztendlich
die durch den Netzanbieter garantierte Bandbreite des Anschlusses pro PVC. Die verbleibende
Bandbreite zwischen der CIR und der AR kann bei einer Kennzeichnung des Frames (DE Bit)
genutzt werden. Diese Frames können bei einer Überlast im Netz verworfen werden, wobei
zeitgleich eine Nachricht an die beiden Endpunkte der Verbindung gesendet wird.
12.1.2
LEITUNGSVERMITTELNDE VERBINDUNG
Bei der leitungsvermittelnden Verbindung wird zwischen den Kommunikationspartnern eine
„Exklusivleitung“ aufgebaut (vergleiche Telefongespräch). Diese physische Übertragungsstrecke
wird über ein das Netz eines Netzanbieters (z.B. Telekom) aufgebaut. Sie bleibt für den Zeitraum
der Kommunikation erhalten und wird im Allgemeinen nach der Übertragung wieder abgebaut.
Diese Technologie der leitungsvermittelnden Verbindung wird von dem weit verbreiteten ISDN
genutzt.
12.1.2.1
ISDN
ISDN steht für Integrated Services Digital Network und entstand aus der analogen Telefonwelt.
Daher stammt die heute im Einsatz befindliche Bandbreite von 64 kbit/s pro B-Kanal. Es wurde
bei der Entwicklung von ISDN ein Sprach-Signal zugrunde gelegt, welches im Allgemeinen eine
Bandbreite von 3,1 KHz hat und mit einer so genannten „Sampling Rate“ von 8 Khz abgetastet
wird. Es erfolgt eine Codierung in 8 Bit. Aus diesen Randparametern ergibt sich die BKanalbandbreite von 64 kBit. Neben den B-Kanälen verfügen ISDN-Anschlüsse über so
genannte D-Kanäle, die ursprünglich für die Übertragung von Steuer/Synchronisierungs- und
Verbindungsaufund
-abbauinformationen genutzt wurden. Hier gibt es zwischenzeitig einige Sonderanwendungen,
die ebenfalls eine Kommunikation innerhalb des D-Kanals zulassen (X.25 über D-Kanal zum
Beispiel).
12.1.3
ISDN S0
Der ISDN S0 Anschluss, umfasst zwei B-Kanäle und einen D-Kanal. Er wird auch als 2B+D,
Basisanschluss, oder aus dem Englischen BRI (Basic Rate Interface) bezeichnet. Der B-Kanal
hat eine Bandbreite von 64kbit/s, der D-Kanal 16kbit/s.
12.1.4
ISDN S2M, PRI
Als weitere Anschlussvariante wird seitens der Provider der „PrimärmultiplexAnschluss“ angeboten. Der ISDN-S2m-Anschluss, umfasst 1 D-Kanal von 64 kbit/s Bandbreite
und 30 B-Kanäle á 64 kbit/s (G.704). Im Englischen wird er auch als PRI (Primary Rate Interface)
bezeichnet. Zur Unterscheidung der angeschlossenen Endgeräte wurden folgende Verfahren
eingeführt:
•
EAZ (Endgeräteauswahlziffer bei ISDN nach 1TR 6) oder
•
MSN Multiple Subscriber Number Verfahren bei Euro ISDN mit dem Protokoll EDSS 1
im D-Kanal.
138
Folgende Randbedingungen gelten für ISDN:
•
Maximale Leitungslängen:
•
passiver Bus: 150m
•
erweiterter passiver Bus: 500m
•
Punkt zu Punkt: 1000m
•
Maximale Dosenanzahl:
•
Bus: 12
•
Punkt zu Punkt: 1
•
Maximale ISDN-Endgeräte: 8
12.1.4.1
ISDN Standleitungen
Neben „Wählleitungen“ werden bei ISDN auch bestimmte Typen von Standleitungen angeboten.
Verbindungsart
Bezeichnung
Steckerverbindung
Festverbindung
1 x 64 kbit/s
64S
RJ45 / NTBA
Festverbindung
2 x 64 kbit/s
64S2
RJ45 / NTBA
Festverbindung 1B und 1D
S01/TS01
RJ45 / NTBA
Festverbindung 2B und 1D
S02/TS02
RJ45 / NTBA
Festverbindung ANALOG
ANALOG
NT-FV
2Dr./4Dr.
Tabelle 16: Festverbindungen
Quelle: http://www.standleitungen.de/ger/fach/Bandbreiten-beiFestverbindungen.html
Als „Backup“ zu den Standleitungen oder auch zu Frame Relay gibt es die Möglichkeiten eines
Dial Up (Failover) innerhalb von ISDN Routern, das somit dauerhaft eine Kommunikation
zwischen den remoten Standorten sichergestellt ist.
Anmerkung:
Einige ISDN Geräte im Markt unterstützten ebenfalls Call Back Funktion, wo eine, im D-Kanal
übermittelte, oder zuvor festgelegte Rufnummer zurückgerufen werden kann. Diese Variante wird
oft zur Kostenzentralisierung genutzt.
139
European Hierarchy
Designator
Transmission
Rate
Number of
Voice Channels
E-0
64 Kbps
1
E-1
2.048 Mbit/s
30
E-2
8.448 Mbit/s
120
E-3
34.368 Mbit/s
480
E-4
139.268 Mbit/s
1920
E-5
565.148 Mbit/s
7680
Tabelle 17: PDH Struktur
Als E1 wird eine europäische Variante innerhalb der PDH (Plesiochrone Digitale Hierarchie)
Multiplex Struktur bezeichnet. Maximal ist hier eine Übertragung mit 2048 Mbit/s möglich. Es
erfolgt eine Aufteilung in 32 Timeslots (Kanäle) á 64 kbit/s. Diese Timeslots werden von 0 bis 31
nummeriert. Der Timeslot 0 wird typischerweise für eine Rahmensynchronisation und Alarme
genutzt (innerhalb des „framed mode“ nach G.704). Der Timeslot 16 wird für Signalisierungszwecke (Wahlinformation bei ISDN PRI z.B.) genutzt.
Bei Full Rate, Clear Channel E1 werden alle 32 Kanäle (2,048 Mbit/s) zur Datenübertragung
genutzt - (Eine Realisierung ist hier mit den Einschüben in den XSR realisierbar. Es sind die
"Fractional" NIM´s zu verwenden. Die Bezeichnung Fractional E1 verwendet, wenn eine Gruppe
von Kanälen zu EINEM logischen Interface gebündelt werden - die Raten gehen in 64-kbit/sSchritten (mit dem Fractional-NIM zu realisieren; n*64 kbit/s).
Diese Anwendung wird oft für Punkt-zu-Punkt Anbindungen, z.B. zu einem ISP, verwendet.
Schließlich werden bei Channelized E1 mehrere Gruppen von Kanälen zu MEHREREN (max. 30)
logischen Interfaces gebündelt - die Raten (=Anzahl der Kanäle) pro Gruppe sind konfigurierbar.
Realisierbar ist das mit dem Channelized-NIM für den XSR. Anwendungen sind typische Punktzu-Mehr-Punkt Lösungen, z.B. Anbindung mehrerer Außenstellen mit jeweils einer PPP
Verbindung, die „Telekom“ multiplext die Außenstellen auf die einer Channelized Verbindung
zusammen oder auch in Voice Umgebungen wichtig.
140
Verbindungsart
Bezeichnung
Steckerverbindung
Festverbindung
2
Mbit/s
Strukturiert
(1,984 Mbit/s)
E1 (G.703/G.704)
RJ 45
Festverbindung
2
Mbit/s Unstrukturiert
(2,048 Mbit/s)
E1 (G.703/G.704)
RJ 45
Tabelle 18: StandleitungenQuelle:
http://www.standleitungen.de/ger/fach/Bandbreiten-beiFestverbindungen.html
Größere Bandbreiten lassen sich mit anderen Interfaces und Schnittstellen bedienen.
Optical
Level
Electrical
Level
Line Rate
(Mbit/s)
Payload
Rate
(Mbit/s)
Overhead
Rate
(Mbit/s)
SDH
Equivalent
OC-1
STS-1
51.840
50.112
1.728
-
OC-3
STS-3
155.520
150.336
5.184
STM-1
OC-12
STS-12
622.080
601.344
20.736
STM-4
OC-48
STS-48
2.488.320
2.405.376
82.944
STM-16
OC192
STS-192
9.953.280
9.621.504
331.776
STM-64
OC768
STS-768
39.813.120
38.486.016
1.327.104
STM-256
Tabelle 19: SDH Struktur
141
13 Netzwerkmanagement mit Netsight Atlas
Netzwerke sind heute in jedem Unternehmen die Grundlage aller Geschäftsaktivitäten. Da fast
der gesamte Geschäftsbetrieb über die IT-Infrastruktur abgewickelt wird, sind auch alle damit
zusammenhängenden Informationen in diesem IT-System gespeichert. Zudem sind alle Benutzer
– unabhängig von ihrer Rolle im Unternehmen – in dieses Netzwerk eingebunden und stellen
eine große Herausforderung im Hinblick auf den Informationszugriff und die
Informationsbereitstellung dar. Auch zentralisierte Hochleistungsserver, unternehmensweite
Intranets, Extranets und bandbreitenintensive Anwendungen wie e-Learning oder Sprach/Datenintegration stellen Unternehmensnetzwerke vor neue Herausforderungen.
13.1
ÜBERWACHUNG UND VERWALTUNG VON NETZWERKEN
Bedingt durch die immer größer werdende Komplexität von Netzwerken sind
Netzwerkmanagement-Systeme von entscheidender Bedeutung für ein Unternehmen. Ein
Netzwerk ist heute als strategischer Unternehmenswert anzusehen, der dazu beiträgt, wichtige
Geschäftsziele zu erreichen und Wettbewerbsvorteile zu erzielen.
Netzwerkmanagement umfasst eine Vielzahl verschiedener Tools, Anwendungen und Geräte für
die Überwachung und Verwaltung eines Netzes. Zu den zentralen Aufgaben des
Netzwerkmanagements gehört die Sammlung von Informationen über die Nutzung des Netzes,
die Erstellung von Berichten und Statistiken für die Planung, den Betrieb, den Ausfall, die
Wartung und die Konfiguration des Netzes sowie die Überwachung von Leistung, Ereignissen
und Fehlern. Die ISO hat fünf klassische Bereiche für das Netzwerkmanagement definiert:
Performance-Management, Konfigurations-Management, Accounting-Management, FehlerManagement und Sicherheits-Management.
13.2
PERFORMANCE-MANAGEMENT
Ziel des Performance-Managements ist es, die Netzwerk-Performance zu messen und die
Gesamtleistung auf einem akzeptablen Niveau zu halten. Durchsatzraten, Antwortzeiten und
Leitungsnutzung sind hierbei wichtige Variablen. Zunächst werden die Leistungsdaten nach
bestimmten Gesichtspunkten gesammelt und analysiert, ob sie sich im normalen Bereich
bewegen. Anschließend werden für jede Variable Grenzwerte festgelegt. Diese PerformanceVariablen werden kontinuierlich überwacht. Ist ein Grenzwert erreicht, wird eine entsprechende
Meldung erstellt und an das Netzwerkmanagement-System weitergeleitet, um
Gegenmaßnahmen einzuleiten.
13.3
KONFIGURATIONS-MANAGEMENT
Ziel des Konfigurations-Management ist es, die Daten der Netzwerk- und Systemkonfiguration
zu überwachen, so dass die Auswirkungen von Hard- und Software auf den Netzbetrieb verfolgt
und verwaltet werden können. Zu jedem Netzwerkgerät gibt es unterschiedliche Informationen.
Diese Informationen werden in einer Datenbank gespeichert, die bei Netzwerkproblemen nach
Hinweisen zur Problemlösung durchsucht werden kann.
142
13.4
ACCOUNTING-MANAGEMENT
Das Accounting-Management umfasst Tools zur ordnungsgemäßen Abwicklung der
Netzwerknutzung. Dazu gehören Zugangsverwaltung, Verbraucherkontrolle, Abrechnungshilfen
und Informationsdienste. Ziel ist es, die Netzwerk-Nutzung zu messen, um so die Belastung des
Netzes durch einzelne Anwender oder Gruppen zu regulieren. Durch die Aufteilung der
Ressourcen nach Kapazitäten lassen sich Netzwerk-Probleme erheblich reduzieren und eine
angemessene Verfügbarkeit für alle Benutzer realisieren. Wie beim Performance-Management
wird hier die Nutzung aller Netzwerk-Ressourcen gemessen und analysiert, um einen Einblick in
aktuelle Nutzungsmuster zu erhalten.
13.5
FEHLER-MANAGEMENT
Das Fehler-Management fasst alle Funktionen zusammen, die zur Fehlervorbeugung, -erkennung und -behebung im Netzwerk genutzt werden können. Zum FehlerManagement zählen in erster Linie das Erkennen von Symptomen und die Isolierung von
Problemen. Nach der Problembehebung wird die Lösung auf allen wichtigen Subsystemen
getestet. Zum Schluss werden der Fehler und die Lösung des Problems protokolliert.
13.6
SICHERHEITS-MANAGEMENT
Das Sicherheits -Management ist für die Zugangsberechtigung auf Netze, LAN-Segmente und
weitere Ressourcen verantwortlich. Dieser Bereich kontrolliert den Zugriff auf NetzwerkRessourcen entsprechend der lokalen Regeln, um Netzwerk-Angriffe oder den unerlaubten
Zugriff auf unternehmenskritische Informationen zu unterbinden. Mit Hilfe von Sicherheits Management-Subsystemen kann man beispielsweise einem Benutzer mit einem ungültigen
Passwort den Zugriff auf das Netzwerk verwehren.
Die Subsysteme des Sicherheits-Managements teilen das Netzwerk in autorisierte und nichtautorisierte Bereiche. Dies führt dazu, dass bestimmte Anwender nur auf bestimmte, für sie
autorisierte Bereiche zugreifen können. Neben der Möglichkeit, Netzwerk-Ressourcen
bestimmten Benutzergruppen zuzuordnen, kann der Zugang auf sensible Netzwerk-Ressourcen
kontrolliert werden. Bereits der Versuch eines unerlaubten Zugriffs wird protokolliert.
13.7
IT IN WETTBEWERBSVORTEILE UMSETZEN NETZWERKMANAGEMENT MIT NETSIGHT ATLAS VON
ENTERASYS NETWORKS
Beim Netzwerkmanagement geht es heute mehr als um die schlichte Verwaltung von Hardware;
vielmehr geht es um intelligente, so genannte „decision enabled“ Access Ports, die für eine
intelligente Verbindung sorgen. Die NetSight Atlas Management-Lösungen von Enterasys sorgen
für eine erweiterte Kontrolle und höhere Verfügbarkeit des Netzwerks. In Kombination mit den
intelligenten Access Ports der Switching-Produkte von Enterasys sind die NetSightAnwendungen in der Lage, Sicherheitsfunktionen schnell und einfach zu installieren und den
Datenverkehr im Netzwerk unterschiedlich zu priorisieren.
Die Zuteilung der Bandbreite ist eine wichtige Voraussetzung für den Aufbau einer effizienten
Business Kommunikations-Infrastruktur. Unternehmen, die beispielsweise ein konvergentes
Sprach-/Datennetz implementieren, können mit Hilfe von NetSight Atlas die Zuteilung der
143
Bandbreite regeln. Ein anderer wichtiger Aspekt ist die Datensicherheit. Durch die Layer-2/-3/-4Funktionalitäten der Switching- und Routing-Plattformen von Enterasys liefert NetSight Atlas
umfassende Sicherheit, sei es auf Seiten des Benutzers, des Gerätes, des Ports oder der
Anwendung.
13.7.1
NET SIGHT ATLAS CONSOLE – DEVICE- UND SYSTEM-MANAGEMENT
Die NetSight Atlas Console bietet umfassende Management-Unterstützung für intelligente
Netzwerk-Applikationen-Geräte sowie sämtliche SNMP MIB I- oder MIB II- Geräte. Mit der
NetSight Atlas Console lassen sich viele Netzwerk-Aufgaben automatisieren, was zu erheblichen
Zeit- und Kostenersparnissen in unternehmenskritischen Umgebungen führt.
Die modernen Funktionen sorgen für verbesserte Netzwerk-Performance und vereinfachtes
Trouble-Shooting. Dazu gehören auch umfangreiche Überwachungsfunktionen, robustes Alarmund Event-Management, Netzwerk-Discovery, Gruppen-Element-Management und integrierte
Planung. Tasks wie Subnet Discovery, Alarm Paging, TFTP Downloads, System Backups und
vieles mehr werden automatisch durchgeführt.
Eine wichtige Funktion ist das Alarm- und Event-Management. Zu dieser Funktionalität gehört
eine einfache Konfiguration von Log-Filter und Aktionen. Bei Überschreitung definierter Werte
wird ein Alarm ausgelöst, der es dem Administrator ermöglicht, rechtzeitig zu intervenieren und
Probleme im Vorfeld zu beheben.
Die NetSight Atlas Console ist eine intelligente Anwendung, mit der Anwendungen wie Tabellen
für die einfache schematische Darstellung von Statistiken in die Netzwerk-Bildschirmmaske
integriert werden können. Damit lassen sich Management-Informationen auch in andere
Anwendungen und Datenbanken transportieren. Durch RMON/RMON2-Unterstützung können
sämtliche Daten von allen Außenstellen gesammelt werden.
Die Netsight Atlas Console liefert zudem einen vollständigen Support zum standard-basierten
VLAN-Management nach IEEE 802.1Q. Mit dem Tool lassen sich 802.1Q Switches, Ports und
VLANs über eine einfach zu handhabende, grafische Benutzeroberfläche konfigurieren. Alle
administrativen 802.1Q Aufgaben können zentral erledigt werden. Mit Hilfe so genannter
Templates lassen sich alle VLAN-relevanten Daten einfach und schnell konfigurieren. Man kann
diese einmalig konfigurierten Templates auf verschiede Ports gleichzeitig legen, und spart sich
damit den Konfigurationsaufwand zur Einrichtung der VLANs. Dies senkt wiederum die
Betriebskosten enorm.
144
Abbildung 76: Atlas Console
Die NetSight Atlas Console stellt zudem eine grafische Abbildung des gesamten Unternehmens
dar, nicht nur einzelner Geräte. Anstatt jeden Switch oder Router einzeln zu betrachten und zu
konfigurieren, wird hier das Netzwerk als System betrachtet.
Mit der Funktionalität Flexview können zusätzlich kundenspezifische Informationen aus den
Komponenten ausgelesen werden. Damit ist Netsight Atlas Console in der Lage, auf alle
relevanten MIB-Variablen zuzugreifen und in Gegenzug auch zu setzen.
Zur Fehlerbehebung ist es enorm wichtig ein gewisses Maß an Transparenz über das Netzwerk
zu bekommen. Mit Hilfe des Compass Tools können Benutzer und Geräte anhand des
Benutzernamens, der IP- oder MAC-Adresse oder des Hostnamens gesucht und dargestellt
werden. Der Anwender bekommt innerhalb von Sekunden ein aktuelles Bild und muss keine
umständlichen und chronisch veralteten Tabellen pflegen.
Netsight Atlas Console bietet daher ein optimales Performance- und Fehlermanagement, das
aktuellen Anforderungen mehr als gerecht wird. Flexible Handhabung, übersichtliche graphische
Oberflächen und Platformunabhängigkeit durch Java-Programmierung machen Netsight Atlas
Console zu einem herausragenden Tool in der Netzwerk und Systemmanagement-Welt.
145
13.7.2
NET SIGHT POLICY MANAGER - ROLLENBASIERTES SYSTEM-MANAGEMENT FÜR
UNTERNEHMEN
Durch den Einsatz des NetSight Policy Managers sind Unternehmen in der Lage, Business- und
IT-Konzepte aufeinander abzustimmen. Die Kombination aus intelligenten HardwareKomponenten von Enterasys Networks zusammen mit dem Netsight Atlas Policy Manager
ermöglichen eine optimale Benutzerverwaltung innerhalb der IT-Infrastruktur. Dazu gehört neben
den Klassifizierungsregeln am Netzwerkzugang auch die Unterstützung des Port-Authentification
Standards IEEE 802.1X. Eine optimale Sicherheitslösung für den Zugang zum Netzwerk wird
dadurch bereitgestellt.
Der NetSight Atlas Policy Manager ist das zentrale Element der rollenbasierten Administration im
User Personalized Network von Enterasys, d.h. der Aufeinanderabstimmung von IT- und
Business-Konzepten.
Das Tool liefert zudem Funktionen wie Rate Limiting und QoS-Konfiguration, die von zentraler
Bedeutung für den Erfolg von E-Business Infrastrukturen sind. Dazu gehört auch die Aufteilung
in virtuelle Arbeitsgruppen vor dem Hintergrund unterschiedlicher Anforderungen: In der
Produktion hat SAP beispielsweise eine höhere Priorität als E-Mail.
Abbildung 77: Atlas Policy Manager
Zur optimalen Sicherheit lässt sich mit effektivem Management der Zugriff auf sensible
Informationen beschränken. Man kann beispielsweise einen Port schließen oder die Adresse
146
eines Users vom VLAN entfernen und ihm so den Zugriff verwehren. Auch das Sperren von
MAC-Adresse oder eine fixe Zuordnung MAC-Adresse pro Port kann eingerichtet werden. Mit
Hilfe eines Priority Classification Wizards lassen sich Priorisierungs- und Klassifizierungsregeln
erstellen, um den Netzwerkdatenverkehr unterschiedlich zu priorisieren.
Automatisierte Funktionen, die einfache Implementierung und Administration sorgen für Zeitund Kosteneinsparungen. Da der NetSight Atlas Policy Manager mit bestehenden Security Systemen zusammenarbeitet und keine zusätzlichen Authentification Server notwendig sind,
sind die Investitionen optimal geschützt. Jeder Anwender hat nur Zugriff auf die für ihn
notwendigen Services. Damit sind umfassende Kontrollen und Sicherheit gewährleistet, um ein
effektives Sicherheits- und Accountingmanagement zu gewährleisten.
13.7.3
NETSIGHT ATLAS ACL MANAGER – ZENTRALES VERWALTEN VON KOMPLEXEN
ZUGANGSKONTROLLEN
Neben dem Thema Zutrittskontrollen für Benutzer ist ein wichtiger Gesichtspunkt im Bereich
Security-Management die Verwaltung von Zugangskontrollen zwischen verschiedenen, verteilten
Unternehmensbereichen. In der Praxis werden verschieden IP-Subnetze über so genannte
Access Control Listen (ACL) voneinander abgeschottet. Auch bestimme Dienste oder
Applikationen können mit Hilfe solcher ACLs gesperrt oder gezielt zur Verfügung gestellt werden.
Mit dem Netsight Atlas ACL Manager können solche ACLs einfach und via grafischer Oberfläche
konfiguriert werden. Der Anwender bekommt dadurch einen Überblick über alle definierten ACLs
und zudem ein enormes Maß an Flexibilität beim Konfigurieren der ACLs.
Abbildung 78: Atlas ACL Manager
147
Die ACLs können beispielsweise vor der endgültigen Konfiguration nachgestellt und simuliert
werden. Das vermeidet Fehler und doppelte Einträge innerhalb der ACLs. Dies spart Zeit, senkt
die Betriebskosten und vermeidet kostspielige Ausfallzeiten.
Eine erhöhte Sicherheit ist gewährleistet durch verschiedene Benutzer-Level während der
Benutzer-Logins. Es wird damit erkannt und protokolliert, wann und durch wen bestimmte ACLs
geändert, gelöscht oder hinzugefügt wurden. Änderungen können damit einfach mit Hilfe des
Netsight Atlas ACL Manager nachvollzogen und auf Richtigkeit überprüft werden.
13.7.4
NETSIGHT ATLAS INVENTORY MANAGER – INVENTARISIERUNG DER VORHANDENEN
INFRASTRUKTUR
Eine große Herausforderung innerhalb eines Unternehmens ist die Inventarisierung der
vorhandenen Komponenten. Dies gilt nicht nur für die IT, sondern zieht sich über alle
Geschäftsbereiche hinweg.
Mit Hilfe des Netsight Atlas Inventory Managers lässt sich eine einfache und schnelle
Katalogisierung von IT-Informationen durchführen. Vorhandene Hardware und zugehörige
Seriennummer, eingesetzte Firmware-Versionen, eingebaute Speicherausstattung oder aktuelle
Konfigurationen können beispielsweise ausgelesen, zentral abgelegt und verwaltet werden.
Ältere Firmware-Versionen können automatisiert aktualisiert werden. Konfigurationen können
regelmäßig, zeitgesteuert gespeichert und archiviert werden.
Abbildung 79: Inventory Manager
Damit ermöglicht der Netsight Atlas Inventory Manager ein effektives Change Management, was
die Verwaltbarkeit vereinfacht und die Betriebskosten enorm senkt.
148
Die Sicherung der Geschäftsabläufe, verbunden mit der Senkung der Betriebskosten mit Hilfe
einer leistungsfähigen, hochverfügbaren IT-Infrastruktur ist der Schlüssel zum Erfolg für heutige
Unternehmen. Mit den Netsight Atlas Applikationen stellt Enterasys Networks leistungsfähige
Tools bereit, die eine erweiterte Kontrolle und eine erhöhte Verfügbarkeit des Netzwerks
gewährleisten. Innerhalb der SecureHarbour-Architektur spielt Netsight Atlas daher eine
herausragende Rolle.
149
14 Virtual Private Network (VPN)
14.1
14.1.1
ÜBERBLICK ÜBER IPSEC
WAS IST IPSEC?
IPSec ist ein Feature, das die Aufrechterhaltung von Vertraulichkeit, Integrität und Authentizität
von privaten Daten ermöglicht, die ein öffentliches Netz passieren. IPSec wurde als Standard
von der IETF (Internet Engineering Task Force) entwickelt und ist in den RFCs 2401-2411 und
2451 definiert. Im Gegensatz zu dem eher bekannten SSL (Secure Socket Layer) muss IPSec
nicht für jede Applikation einzeln aufgesetzt werden, da es seine Verschlüsselung und
Authentifizierung auf dem Network Layer macht und somit allen IP-Traffic behandelt. Zur
Verschlüsselung verwendet IPSec entweder DES (Data Encryption Standard) oder 3DES, wobei
DES jedoch heute nicht mehr als sicher gilt. Die Authentizität der Pakete wird mit HashAlgorithmen wie z.B. HMAC (Keyed- Hashing for Message Authentication) zusammen mit MD5
oder SHA (Secure Hash Algorithm) gewährleistet. IPSec besteht eigentlich aus zwei Teilen:
•
IP Security Protocol: dieses definiert, wie das Paket verschlüsselt werden soll, und
welche Informationen hinzugefügt werden, um Confidentiality, Integrity und
Authenticity zu garantieren.
•
Internet Key Exchange: IKE verhandelt die Details der Security Associations (SA)
zwischen den beiden Peers eines IPSec Tunnels und tauscht deren Key Material aus.
VPN
IPSEC
IKE
Phase1
Phase2
SA
[Security Association]
MM [main mode]
AM [aggressive mode]
QM
[Quick Mode]
Authentication [AAA]
Pre-Shared Key
MM [USER=IP]
AM [USER=Name]
CERT
RSA
PKI
Abbildung 80: VPN Hierarchie
150
Subnet info &
Encryption
„transforms/proposals“
14.1.2
IPSEC PAKETE, HEADER UND MODI
IPSec fügt einem verschlüsselten Paket noch ein oder zwei weitere Header hinzu, je nachdem
welche Services (Confidentiality, Integrity und Authenticity) gewünscht werden. Diese
zusätzlichen Header enthalten die für diese Service nötigen Informationen. Eingefügt werden sie
nach dem IP Header und vor dem Layer 4 Header, so stören sie nicht beim normalen Routing
Prozess.
•
•
Authentication Header (AH): er gewährleistet Integrity und Authenticity, jedoch nicht
Confidentiality und verwendet eine keyed-hash Funktion.
Encapsulating Security Payload (ESP): er gewährleistet sowohl Integrity und
Authenticity als auch Confidentiality.
AH und ESP können entweder einzeln oder auch gemeinsam verwendet werden, wobei einer
jedoch meistens genügt. Welcher Verschlüsselungsalgorithmus für den jeweiligen Header
gebraucht werden soll, ist vom Standart nicht vorgeschrieben. IPSec unterstützt die am meisten
gebräuchlichen wie MD5, SHA und DES. IPSec kennt zwei verschieden Modi, nämlich den
Transport und den Tunnel Mode. Im Transport Mode wird nur der IP Payload (d.h. die L4-L7
Daten) verschlüsselt und ein AH und/oder ESP Header angefügt. Dabei bleibt der ursprüngliche
IP Header intakt, was bedeutet, dass auch die ursprünglichen Source und Destination IP
Adressen erhalten bleiben. Der wohl größte Vorteil dieses Modes ist, dass er nur wenige
zusätzliche Bytes anbringt. Jedoch das Belassen des original IP Header ermöglicht immer noch
- wenn auch nur in beschränktem Masse- eine Traffic Analyse.
Abbildung 81: IPSec-Frame (AH)
151
Abbildung 82: IPSec-Frame (ESP)
Abbildung 83: Transport und Tunnel Mode
Der andere Mode ist der so genannte Tunnel Mode. Hierbei wird das ganze IP Datagramm (d.h.
IP-Payload inklusive original IP-Header) verschlüsselt, ein AH- und/oder ESP-Header angefügt
und ein neuer IP-Header gesetzt. Dieser enthält als neue Source-Adresse den Tunnel Peer, der
die Daten verschlüsselt, und als Destination Adresse den anderen Tunnel Peer, der sie wieder
entschlüsselt. Während beim Transport Mode das Endsystem (z.B. Workstation, Server etc.) die
Verschlüsselung selber machen muss, bleibt es im Tunnel-Mode davon völlig unberührt. Im
Tunnel-Mode ist auch nur eine minimale Traffic Analyse möglich, nämlich das Entdecken der
beiden Tunnel-Enden. Tunnel Peers sind meistens Router, können natürlich aber auch
Workstation etc. sein.
152
Abbildung 84: IP Packet im Transport und Tunnel Mode
14.1.3
SECURITY ASSOCIATION (SA)
Um erfolgreich eine IPSec-Verbindung zu erstellen, müssen sich die beiden Peers zuerst in
einigen Dingen einig werden. Dazu gehört, ob Encryption und/oder Integrity und Authenticity
vollzogen wird und welche Algorithmen verwendet werden. Außerdem müssen noch Shared
Session Keys ausgetauscht werden. Dies wird nun von der Security Association erledigt. Eine
SA ist eine Art Aufstellung der ausgehandelten Spezifikationen. Da eine SA unidirektional ist,
braucht es für jede IPSec-Verbindung zwei, eine von A nach B und eine von B nach A.
14.1.4
INTERNET KEY EXCHANGE (IKE)
IPSec erstellt jedoch selber keine SAs, sondern erwartet, dass diese bereits vorhanden sind.
Dieser Teil wird nun von IKE übernommen. Internet Key Exchange baut eine sichere,
authentifizierte Verbindung zwischen zwei Peers auf und erstellt eine SA. IKE unterstützt drei
verschiedene Authentifizierungsmethoden, die jeweils unterschiedlich sicher sind.
153
•
•
Pre-shared Keys: Hierbei haben beide Peers einen vorgegebenen Key. Daraus
berechnet dann jeder einen Hash und schickt diesen dem anderen. Wenn der selbst
berechnete und der erhaltene Hash übereinstimmen, gilt der Partner als authentifiziert.
Diese Methode ist nicht die sicherste.
Die anderen zwei Methoden, Public Key Cryptography und Digital Signature, sind
komplexer und daher auch sicherer. Die zu verwendende Methode wird über
unterschiedliche Modi von den beiden Peers ausgehandelt. Selbstverständlich muss
sie auf beiden Seiten gleich sein.
•
An dieser Stelle seien die Originalzitate zu den einzelen Modi angeführt.
14.1.4.1
Main Mode
An IKE session begins with the initiator sending a proposal or proposals to the responder. The
proposals define what encryption and authentication protocols are acceptable, how long keys
should remain active, and whether perfect forward secrecy should be enforced, for example.
Multiple proposals can be sent in one offering. The first exchange between nodes establishes
the basic security policy; the initiator proposes the encryption and authentication algorithms it is
willing to use. The responder chooses the appropriate proposal (we'll assume a proposal is
chosen) and sends it to the initiator. The next exchange passes Diffie-Hellman public keys and
other data. All further negotiation is encrypted within the IKE SA. The third exchange
authenticates the ISAKMP session. Once the IKE SA is established, IPSec negotiation (Quick
Mode) begins.
14.1.4.2
Aggressive Mode
Aggressive Mode squeezes the IKE SA negotiation into three packets, with all data required for
the SA passed by the initiator. The responder sends the proposal, key material and ID, and
authenticates the session in the next packet. The initiator replies by authenticating the session.
Negotiation is quicker, and the initiator and responder ID pass in the clear.
14.1.4.3
Quick Mode
IPSec negotiation, or Quick Mode, is similar to an Aggressive Mode IKE negotiation, except
negotiation must be protected within an IKE SA. Quick Mode negotiates the SA for the data
encryption and manages the key exchange for that IPSec SA.
154
Abbildung 85: IKE Modi
155
15 Designs
15.1
NETZWERKDESIGN BASICS
Das Design eines neuen Netzes unter Berücksichtigung der bereits vorhandenen Komponenten
Netzwerkdesign ist einer der grundlegenden Bestandteile für eine erfolgreiche Implementierung
einer IT-Infrastruktur. Basis für diese Designbetrachtungen ist die Festlegung, welche
Komponenten in welchen Schichten des ISO-OSI Modells arbeiten sollen (Layer 2 oder Layer 3).
Diese Betrachtungen werden in diesen folgenden Seiten analysiert und erklärt. Das Basis Wissen
über die eingesetzten Protokolle wird zum besseren Verständnis beitragen. Es werden die
Funktionen der Protokolle
•
Spanning Tree
•
Rapid Spanning Tree
•
Per Vlan Spanning Tree
•
VRRP
•
RIP Version 1/2
•
OSPF
benötigt. Auch Kenntnisse über Netzwerk-Komponenten wie Hubs, Switche und Router
vereinfachen die folgenden Betrachtungen.
15.1.1
DER LAYER 2
Datenkommunikation erfolgt über vordefinierte Parameter, die im OSI-Model beschrieben sind.
Das OSI-Model definiert auch die Funktion der bestehenden Layer oder (auch Ebenen genannt).
Layer 2 oder Ebene 2 definiert den reinen Mac-Address Layer. Hier werden Informationen
bereitgestellt, die zur Adressierung auf der untersten Schicht im OSI-Model notwendig sind. Der
Layer 2 ist für die Datenkommunikation über Switches und Hubs notwendig.
15.1.2
DER LAYER 3
Im OSI-Model ist der Layer 3 definiert als der Layer mit Adressierungs-Aufgaben auf einer
höheren Schicht. So ist die Adressierung für IP / IPX / Apple Talk etc. im Layer 3 definiert.
Zusätzlich ist der Layer 3 zu betrachten, wenn wir über Routing sprechen.
15.1.3
DAS KLASSISCHE LAYER 2 NETZWERK
Ein Netzwerk-Design ist abhängig von den zur Verfügung stehenden Netzwerk-Komponenten.
Dieses ist einer der Gründe, dass in der Vergangenheit, die kostengünstigste Netzwerk-Lösung
über Layer-2-Netzwerk Komponenten realisiert wurden. Diese Komponenten werden Hubs und
Switche genannt.
15.1.4
DAS KLASSISCHE LAYER 3 NETZWERK
In der Vergangenheit wurden die klassischen WAN-Netzwerke über ein Layer-3-Netzwerk
abgebildet. Hier mussten Netzwerk-Komponenten eingesetzt werden, die Routing-Funktionalitäten besitzen. Diese Komponenten haben die Datenverarbeitung über Software-Routing
durchgeführt. Diese Router waren zudem auch nicht die schnellsten Datenübertragungs-Geräte.
156
15.1.5
DIE KOMBINATION VON LAYER 2 UND 3 NETZWERKEN
Die Weiterentwicklung von Netzwerkkomponenten hat das Netzwerk bestimmend verändert. So
ist es möglich, eine Kombination von Layer-2 und -3-Netzwerken durchzuführen. Hierbei sind
Standard-Netzwerk-Protokolle verantwortlich für eine zugesicherte Verfügbarkeit.
Abbildung 86: Layermodell 2-3-2
15.1.6
ERWEITERE MÖGLICHKEIT VON LAYER 2 UND 3 NETZWERKEN
Durch eine erweitere Veränderung im Netzwerk ist es möglich zusätzliche Netzwerk Funktionen
zu nutzten. Hierbei ist eine zweite Layer 3 Schicht die klassische Lösung.
157
Abbildung 87: Layermodell 2-3-3-2
15.1.7
LAYER2/3 NETZWERKE BASIERENT AUF SPANNING TREE
Das Design von Layer-2-Netzwerken impliziert die Verwendung entsprechenden L2-Protokollen.
So ist es häufig notwendig das Spanning Tree Protokoll zu nutzen, um ein Daten Loop zu
verhindern. Hieraus resultiert, dass einige Verbindungen im Netzwerk nicht genutzt werden, da
diese im BLOCKING-Mode ist. Zusätzlich ist es notwendig zu wissen, dass bei Spanning Tree
802.1D die Umschaltzeiten mit minimal 30-45 Sekunden anzunehmen sind.
158
Abbildung 88: Lokale VLAN-Struktur STP
15.1.8
LAYER2/3 NETZWERKE ONE-FOR-ONE VLAN KONFIGURATION
Durch die Einteilung von VLANs ist es möglich, unterschiedliche Bereiche im Netzwerk zu bilden.
Diese Bereiche sind nicht abhängig voneinander. Jedes VLAN steht nur in einer Loakation zur
Verfügung. Über die Layer-3-Schicht werden diese VLANs verbunden. Vorteil dieser
Konfiguration ist, dass kein Spanning Tree notwendig wird, um einen Daten-Loop im Core zu
verhindern. Protokolle wie VRRP ermöglichen höhere Verfügbarkeit im Netzwerk.
159
Abbildung 89: Lokale VLAN-Struktur, ohne STP
15.1.9
LAYER2/3 NETZWERKE ONE-IN-MIDDLE VLAN KONFIGURATION
Durch die Einteilung von VLANs ist es möglich, unterschiedliche Bereiche im Netzwerk zu bilden.
Diese Bereiche sind nicht abhängig von einander. Zusätzlich ist nun ein weiters VLAN (Vlan5)
erstellt worden. Dieses steht in jeder Loakation zur Verfügung. Hierbei wird auch kein Spanning
Tree notwendig sein, um einen Daten-Loop zu verhindern. Das Vlan5 wird freie Services wie
Internet oder Drucker ansprechen. Vlan5 ist nicht doppelt am Core-Bereich angebunden.
Protokolle wie VRRP würden höhere Verfügbarkeit im Netzwerk ermögliche.
160
Abbildung 90: Übergreifende VLAN-Struktur ohne STP
15.1.10
LAYER2/3 NETZWERKE MIT ALL-IN-ONE VLAN KONFIGURATION
Durch die Einteilung in VLANs ist es möglich, unterschiedliche Bereiche im Netzwerk zu bilden.
Diese Bereiche sind nicht abhängig voneinander. Alle VLANs stehen in jeder Lokation zur
Verfügung. Hierbei wird auch Spanning Tree notwendig sein um einen Daten Loop zu verhindern.
Ein Per-Vlan-Spanning-Tree muss zusätzlich pro VLAN konfiguriert werden. Protokolle wie VRRP
ermöglichen höhere Verfügbarkeit im Netzwerk.
161
Abbildung 91: Übergreifende VLAN-Struktur STP
15.2
BEISPIEL XSR UND VPN
VPN-Verbindung zwischen Windows XP (oder 2000 SP2) und XSR-1805 (Anmerkung:
„MyVPN“ und „MyVPN_2“ sind, bis auf den Namen, identisch.). So sieht die fertige Verbindung
aus (am Beispiel der Verbindung „MyVPN“):
162
Abbildung 92: WindowsXP VPN Client Definition 1
163
164
Abbildung 96: WindowsXP VPN Client Statistik
165
Abbildung 97: WindowsXP VPN Client Übersicht
So wird die VPN-Verbindung erstellt (am Beispiel der Verbindung „MyVPN_2“):
Abbildung 98: WindowsXP VPN Client Installation 1
166
167
Wenn die Verbindung nur bei Bedarf hergestellt werden soll:
168
Hier wird die externe Adresse des VPN-Gateways eingetragen:
Dies sollte die normale Einstellung sein:
Fertig !
169
Ansicht der “Network Connections”:
Abbildung 106: WindowsXP VPN Client Information
170
Herstellen der Verbindung:
•
•
•
Rechter Mausklick auf die gewünschte VPN-Verbindung
„Connect“ anklicken
im folgenden Fenster den auf dem XSR vergebenen User name „XP.User1“ und
Password eingeben:
Abbildung 107: WindowsXP VPN Login
171
Konfiguration des XSR
XSR_MUC1#sh run
!!
! CLI version 1.2
! XSR-1805
! Software:
! Version 3.0.0.0, Built Oct 21 2002, 11:25:42
!
!
hostname XSR_MUC1
logging 0.0.0.0 debug
logging Console debug
logging Monitor debug
logging Buffered debug
logging SNMP debug
username admin privilege 15 "password is not displayed"
!
!
session-timeout console 35000
!
!
!
access-list 10 deny 10.10.10.0 0.0.0.255
access-list 10 permit any
!
access-list 172 permit ip any 172.20.0.0 0.0.255.255
!
!
!
crypto isakmp proposal nem-client
authentication pre-share
!
!
crypto isakmp peer 0.0.0.0 0.0.0.0
proposal nem-client
config-mode gateway
nat-traversal automatic
!
!
!
crypto ipsec transform-set all-esp esp-3des esp-md5-hmac
set pfs group1
set security-association lifetime kilobytes 100000
no set security-association lifetime seconds
!
!
172
crypto map ezipsec 20
set transform-set all-esp
match address 172
mode tunnel
!
crypto map ezipsec 10
set transform-set all-esp
match address 193
set peer 10.10.1.3
mode tunnel
!
!
interface FastEthernet1
description "trusted-LAN"
ip address 192.168.1.1 255.255.255.0
ip rip send version 2
ip rip receive version 2
no shutdown
!
crypto ezipsec
description "WAN-transport"
ip address 10.10.1.1 255.255.255.0
no shutdown
!
interface Vpn1 multi-point
ip multicast-redirect tunnel-endpoint
ip address 172.20.0.1 255.255.0.0
ip rip send version 2
ip rip receive version 2
!
!
ip route 192.168.3.0 255.255.255.0 172.20.0.3
!
!
ip local pool virtual_subnet 172.20.0.0 255.255.0.0
!
snmp-server disable
!
aaa group xp
dns server primary 0.0.0.0
dns server secondary 0.0.0.0
wins server primary 0.0.0.0
wins server secondary 0.0.0.0
ip pool virtual_subnet
pptp encrypt mppe 128
!
aaa group DEFAULT
173
!
aaa method pki
group DEFAULT
qtimeout 0
!
aaa method local
group xp
qtimeout 0
!
XSR_MUC1#
15.2.1
DIE AUSGABEN DER VPN-RELEVANTEN SHOW-BEFEHLE
XSR_MUC1#show aaa user
AAA User Stats:
User Name
Group IP Address
IP Mask
XP.User1
xp
172.20.0.99 255.255.255.0
1105two
DEFAULT172.20.0.2
255.255.255.0
1105three
DEFAULT172.20.0.3
255.255.255.255
XSR_MUC1#
XSR_MUC1#show crypto map
Crypto Map Table
Name Policy rule list
-------- ------------------------------ezipsec ezipsec.10;ezipsec.20
IPSec Policy Rule Table
Name
ACL
Disp
Mode
Bundle Gateway
Proposals
----------------- --------------ezipsec.20 172
Process Tunnel SPD
0.0.0.0
all-esp
ezipsec.10 193
Process Tunnel SPD
10.10.1.3 all-esp
XSR_MUC1#
XSR_MUC1#show crypto ipsec transform-set
Name
PFS
ESP
ESP-AH AH
IPCOMP
------------- ------*ez-esp-3des-sha-pfs
Modp768 3DES HMAC-SHA None
None
*ez-esp-3des-sha-no-pfs Disabled 3DES HMAC-SHA None
None
*ez-esp-3des-md5-pfs
Modp768 3DES HMAC-MD5 None
None
*ez-esp-3des-md5-no-pfs Disabled 3DES HMAC-MD5 None
None
*ez-esp-aes-sha-pfs
Modp768 AES
HMAC-SHA None
None
*ez-esp-aes-sha-no-pfS
Disabled AES
HMAC-SHA None
None
*ez-esp-aes-md5-pfs
Modp768 AES
HMAC-MD5 None
None
*ez-esp-aes-md5-no-pfs
Disabled AES
HMAC-MD5 None
None
all-esp
Modp768 3DES HMAC-MD5 None
None
XSR_MUC1#
XSR_MUC1#show crypto isakmp proposal
Name
Authentication Encrypt Integrity Group Lifetime
174
---*ez-ike-3des-sha-psk
*ez-ike-3des-md5-psk
*ez-ike-3des-sha-rsa
*ez-ike-3des-md5-rsa
nem-client
XSR_MUC1#
15.2.2
-------------- ------- --------- ----PreSharedKeys 3DES HMAC-SHA
Modp1024
PreSharedKeys 3DES HMAC-MD5
Modp1024
RSASignature 3DES HMAC-SHA
Modp1024
RSASignature 3DES HMAC-MD5
Modp1024
PreSharedKeys 3DES HMAC-SHA
Modp1024
-------28800
28800
28800
28800
28800
ANZEIGE DER AKTIVEN TUNNEL
XSR_MUC1#show tunnels
Tunnel MIB:
ID
Creation Time Proto Username Peer IP Packets In/Out
00000008
01/28/03, 11:21 PPTP XP.User1 172.20.0.99 000000552/0000000354
XSR_MUC1#
15.2.3
BEISPIEL SITE TO SITE VPN UNTER NUTZUNG VON XSR´S ÜBER ISDN
ISDNPRI
Rufnr
. 800
VPN1
1.1.1
.1/24
Sample Network:
VPN Point to Point via ISDN
ISDNBRI
RufNr
. 704
141.154.196.1/24
XSR1805
REMOT
E SITE
ISDN
XSR1805
CENTR
AL SITE
Abbildung 108: VPN via ISDN
Central-Site
! CLI version 1.2
! XSR-1805
! Software:
!
hostname test2
175
63.81.66.
1/24
logging 0.0.0.0 debug
logging Console debug
logging Monitor debug
logging Buffered debug
logging SNMP debug
!
controller e1 0/1/0
pri-group
isdn bchan-number-order ascending
no shutdown
dialer pool-member 1 priority 0
!
access-list 101 permit ip 63.81.66.0 0.0.0.255 141.154.196.0 0.0.0.255
!
access-list 110 permit ip any any
!
crypto isakmp proposal test
!
proposal test
config-mode gateway
!
crypto ipsec transform-set esp-3des-sha esp-3des esp-sha-hmac
no set security-association lifetime kilobytes
!
!
crypto map test 75
set transform-set esp-3des-sha
match address 101
set peer 1.1.1.2
mode tunnel
!
ip address 63.81.66.1 255.255.255.0
no shutdown
!
!
int Dialer0
crypto map test
dialer pool 1
encapsulation ppp
dialer idle-timeout 30
dialer-group 1
dialer map ip 1.1.1.2 704
ip address 1.1.1.1 255.255.255.0
no shutdown
176
!
ip route 141.154.196.0 255.255.255.0 1.1.1.2
!
dialer-list 1 protocol ip list 110
!
snmp-server disable
!
aaa group DEFAULT
!
aaa method pki
group DEFAULT
qtimeout 0
!
aaa method local
group DEFAULT
qtimeout 0
Remote Site
!!
! CLI version 1.2
! XSR-1805
! Software:
!
hostname test1
no logging 0.0.0.0
no logging Console
no logging Monitor
no logging Buffered
no logging SNMP
!
interface bri 2/0
isdn switch-type basic-net3
isdn calling-number 704
no shutdown
dialer pool-member 1 priority 100
!
!
!
access-list 110 permit esp any any
!
crypto isakmp proposal test1
177
!
!
proposal test1
config-mode gateway
!
!
crypto ipsec transform-set 3des esp-3des esp-sha-hmac
no set security-association lifetime kilobytes
!
!
crypto map test1 75
set transform-set 3des
match address 101
set peer 1.1.1.1
mode tunnel
!
!
ip address 141.154.196.1 255.255.255.0
no shutdown
!
!
int Dialer0
crypto map test1
dialer pool 1
encapsulation ppp
dialer remote-name zentrale
dialer idle-timeout 30
dialer-group 1
dialer map ip 1.1.1.1 800
ip address 1.1.1.2 255.255.255.0
ip mtu 1492
no shutdown
!
ip route 63.81.66.0 255.255.255.0 1.1.1.1
!
dialer-list 1 protocol ip list 110
!
snmp-server disable
!
aaa group DEFAULT
178
!
aaa method pki
group DEFAULT
qtimeout 0
!
aaa method local
group DEFAULT
qtimeout 0
15.2.4
WIRELESS LAN BEISPIEL PUNKT -ZU-PUNKT -KONFIGURATION
Abbildung 109: Building-Building Verbindung
Obige WLAN-Verbindung ist sicher durch WEP Keys und „Überkreuzeintragung“ der MACAdressen. Benötigte Komponenten:
•
2 x Roam About R2 (incl. Power Supply) RBTED-AB
•
2 x WLAN Karte CSILD-AB-128
•
2 x Pigtail CSIES-AB-PT50
•
2 x Blitzschutz CSIES-AB-LP
•
2 x Koaxkabel gewüschter Länge (hier ca 15m) CSIES-AB-C50
•
2 x Yagi 14dB Antenne CSIES-AB-Y14
•
2 x XSR 1805 XSR 1805
•
2 x VPN Option für XSR XSR-18XX-VPN
•
2 x 19 Zoll Montagesatz (optional) XSR-1805-RKMT
15.2.5
WIRELESS-LAN BEISPIEL PUNKT -ZU-PUNKT KONFIGURATION MIT VPN
Die WLAN-Anordnung mit VPN bietet zudem den Schutz eines IPSec VPNs und die Möglichkeit
einer Priorisierung.
179
Abbildung 110: Wireless mit VPN
Benötigte Komponenten:
•
•
•
•
•
•
•
2 x XSR 1805 XSR 1805
•
•
2 x 19 Zoll 19 Zoll Montagesatz (optional) XSR-1805-RKMT
15.2.6
WIRELESS-LAN BEISPIEL PUNKT -ZU-MULTIPUNKT KONFIGURATION
180
Abbildung 111: Point to Multipoint
•
•
Zentral
o
1 x Roam About Bundle RBTED-AB-M07
§
Inhalt: Eine in Europa verwendbare Roamabout Outdoor Point-toMultipoint Wireless Lösung (zentralteil) besteht aus (1) R2 access
point plus (1) European 11Mbs PCMCIA PC card (128 bit WEP)
plus (1) antennen pigtail, (1) Blitzschutz, Antennen cable und einer
7 dBi Omni antenna.
1 x RoamAbout Point to Multi Point Software License CSIPT-MP
o
Remotes
o
(Bis zu 6 Remote Stationen im Radius von ca 1,5 km um den zentralen
o
o
o
o
o
o
o
Access Point bei freier Sicht möglich; Hinweis: Eine genaue Beurteilung
kann nur durch eine Ortsbesichtigung des jeweiligen Planers einer WLAN
Anlage getroffen werden.)
pro Remote:
181
15.2.7
WIRELESS LAN BEISPIEL PUNKT ZU MULTIPUNKT KONFIGURATION MIT VPN
Abbildung 112: Point to Multipoint mit VPN
•
Zentral
o
1 x Roam About Bundle RBTED-AB-M07
o
Inhalt: Eine in Europa verwendbare Roamabout Outdoor Point-too
Multipoint Wireless Lösung (zentralteil) besteht aus
§
R2 access point plus (1) European 11Mbs PCMCIA PC card (128
bit
§
WEP) plus (1) antennen pigtail, (1) Blitzschutz, Antennen cable und
§
einer 7 dBi Omni antenna.
o
1 x RoamAbout Point to Multi Point Software License CSIPT-MP
o
1 x XSR 1805 XSR 1805
o
o
1 x 19 Zoll Montagesatz (optional) XSR-1805-RKMT
•
pro Remotes
o
(Bis zu 6 Remote Stationen im Radius von ca 1,5 km um den zentralen
Access Point bei freier Sicht möglich; Hinweis: Eine genaue Beurteilung
kann nur durch eine Ortsbesichtigung des jeweiligen Planers einer WLAN
Anlage getroffen werden.)
o
o
o
o
o
o
o
1 x XSR 1805 XSR 1805
o
o
1 x 19 Zoll 19 Zoll Montagesatz (optional) XSR-1805-RKMT
182
16 Ausblick
Die regelmäßige Adaption des vorliegenden Referenz- und Design-Guides an die Anforderungen
bei der Planung von Netzen wird naturgemäß zu weiteren Ausgaben führen. Mögliche
Ergänzungen werden nicht nur in Bereich der „Geschwindigkeitserhöhung“, sondern auch beim
zentralen Thema Sicherheit liegen. Speziell dieses Thema kann – wurde es schon während der
Planungsphase berücksichtigt – enorme Kosten sparen. Kosten, die im Nachgang entstehen,
weil neue Standards oder neue Gesetzeslagen eine Adaption notwendig machen.
Ein Netzwerkdesign, das nicht nur mit „Boxen, Portanzahlen und Durchsatzkapazität“ erstellt
wurde, kann fast immer auch auf Neuerungen umgestellt werden – und das meist auch sehr
kostengünstig. Eine Eigenschaft, die dann besonders zählt, wenn das Netz das Kernstück für die
Unternehmenskommunikation ist.
183
184
185

Net-Design

Transcription

Similar documents

Jahresbericht 2010 - Institut für Informatik - Hu

Inventario activo informático

Net-Solution-Guide (Enterasys)

Michael Mittelhaus Newsbox Ausgabe Sommer II-2013

VOX VERITAS Impressum