M 5.60 Auswahl einer geeigneten Backbone-Technologie
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator, Leiter IT
Die Auswahl des Netzprotokolls im Backbone-Bereich ist ein entscheidender Faktor für den Schutz der Verfügbarkeit der Anwendungen in einem lokalen Netz, da das gewählte Protokoll die Performance des Netzes und die zur Verfügung stehenden Bandbreiten wesentlich beeinflusst. Falls die zugrunde liegende Verkabelung ohne die Festlegung auf bestimmte Dienste (z. B. proprietäre Lösungen) geplant wurde (siehe G 2.45 Konzeptionelle Schwächen des Netzes ), ist prinzipiell ein Wechsel der Backbone-Technologie problemlos möglich. Dennoch verursacht dies im Allgemeinen nicht unerheblichen organisatorischen, personellen und finanziellen Aufwand.
Eine generelle Empfehlung, unter Sicherheitsgesichtspunkten eine bestimmte Backbone-Technologie auszuwählen, kann nicht gegeben werden, da viele individuelle Aspekte betrachtet werden müssen. Nachfolgend werden daher die Vor- und Nachteile der wichtigsten Netzzugangsprotokolle aufgeführt.
Es gibt die vier Basis-Technologien Ethernet, Token-Ring, FDDI und ATM , die sich wie folgt darstellen:
Ethernet
Die Ethernet-Technologie wird im Institute of Electrical and Electronics Engineers (IEEE) 802.3 Standard beschrieben und basiert auf dem CSMA/CD -Zugriffsverfahren (Carrier Sense Multiple Access / Collision Detection). Bei diesem Verfahren greifen alle Endgeräte gleichberechtigt auf das Übertragungsmedium zu, obwohl es jeweils nur exklusiv durch ein Endgerät genutzt werden kann. Sobald ein Endgerät Daten übertragen möchte, prüft es zunächst, ob das Medium für die Benutzung zur Verfügung steht (Carrier Sense). Ist dies der Fall, beginnt es mit der Datenübertragung. Geschieht dies durch mehrere Endgeräte gleichzeitig (Multiple Access), kommt es zu einer Kollision, die von den betroffenen Endgeräten erkannt wird (Collision Detection) und zu einer erneuten Prüfung des Mediums mit anschließender Wiederholung der Übertragung führt.
CSMA/CD ist ein stochastisches Verfahren und kann deshalb keine dedizierten Bandbreiten zusichern. Aus diesem Grund ist es beispielsweise für Multimedia-Anwendungen weniger geeignet, die eine feste Bandbreite benötigen. Auf Ethernet-basierten Netzen kann somit im Allgemeinen keine bestimmte Betriebsgüte (Quality of Service - QoS) zugesichert werden. Für Gigabit-Ethernet ist ein Analogon zur QoS vorgesehen.
Es gibt vier verschiedene Varianten des Ethernet, die sich prinzipiell in der unterstützten Übertragungsrate und in den Anforderungen an der Kabelinfrastruktur und den aktiven Netzkomponenten unterscheiden:
- Standard Ethernet
Standard Ethernet ist der schon lange im Einsatz befindliche Standard und der Vorläufer der anderen Varianten.
Es ist durch eine Übertragungsrate von 10 Mbit/s gekennzeichnet. Für Standard Ethernet wird entweder eine Twisted-Pair-Verkabelung (mindestens CAT -3) mit aktiven Vermittlungseinheiten, wie Hubs oder Switches, eine busförmige BNC-Verkabelung, eine Verkabelung mit AUI-Schnittstelle oder Lichtwellenleiter vorausgesetzt. Reine Standard Ethernet-Hardware wird aber nur noch von wenigen Anbietern unterstützt. Aktuelle Geräte ermöglichen einen höheren Datendurchsatz bei den gleichen Anschaffungskosten, aber aus Gründen der Abwärtskompatibilität kann die Übertragungsrate auf 10 MBit/s beschränkt werden. In der Praxis sollte nur noch in Ausnahmefällen reine Standard-Ethernet-Hardware beschafft werden. Wenn alle beteiligten Geräte aktuellere Ethernet-Varianten unterstützen, sollte ein schnelleres Verfahren, wie Fast Ethernet, eingesetzt werden. - Fast Ethernet
Aufgrund der steigenden Anzahl vernetzter Rechner und der damit verbundenen Netzlast wurde eine Weiterentwicklung des Standard Ethernet zwingend notwendig, um den gestiegenen Bedürfnissen Rechnung zu tragen. Dies führte zur Entwicklung des Fast Ethernet mit einer Übertragungsrate von 100 Mbit/s. Dies reicht zurzeit für die meisten lokale Netze aus und hat außerdem den Vorteil, dass die bereits etablierte Technologie (CSMA/CD) weiter verwendet werden kann. Auf Grund des geringen Preises sollte für den Anschluss der Endgeräte am Access-Switch mindestens Fast Ethernet eingesetzt werden. - Gigabit Ethernet
Da die Einführung von Fast Ethernet sehr erfolgreich verlief, wurde die Forderung nach einer noch schnelleren Backbone-Technologie basierend auf Ethernet laut. Dies führte zur Gründung der Gigabit-Ethernet-Allianz (GEA) mit mehreren namhaften Herstellern, die eine Übertragungsrate von 1 Gbit/s erreichen wollen. Auf Grund der fallenden Anschaffungspreise wird Gigabit Ethernet immer öfters für den Anschluss von den Endgeräten am Access-Switch eingesetzt. Wird Kupfer als Übertragungsmedium gewählt, sollten mindestens CAT-5-Kabel verwendet werden. Da dies auch oft bei Fast Ethernet eingesetzt wird, könnte von einer bestehenden Kabelinfrastruktur auf Gigabit Ethernet gewechselt werden. - 10 Gigabit Ethernet
Die nächste Generation der Ethernet-Varianten ist 10 Gigabit Ethernet (10 Gbit/s). 10 Gigabit Ethernet ermöglicht den Informationsaustausch über acht verschiedenen Medientypen. Neben Kupferkabel (mindestens CAT-6, besser CAT-7) können sieben Glasfaserarten genutzt werden. Auf Grund des hohen Preises und der geringen Verbreitung bietet sich der Einsatz von 10 Gigabit Ethernet nur im Backbone-Bereich an.
Token-Ring
Die Token-Ring-Technologie wird im IEEE 802.5 Standard beschrieben und basiert auf dem Token-Passing-Verfahren. Dabei wird ein spezielles, im Ring kreisendes Datenpaket (das "Token") verwendet, um festzulegen, welches Endgerät das Übertragungsmedium benutzen darf.
Erhält ein Endgerät das Token, belegt es das Medium und gibt das Token an das nächste Endgerät weiter. Hiermit ist gewährleistet, dass das Medium immer nur durch ein einziges Endgerät belegt wird.
Bei diesem deterministischen Verfahren kann es im Gegensatz zu Ethernet nicht dazu kommen, dass einzelne Endgeräte bei hoher Netzbelastung unbestimmt lange warten müssen, bis sie senden können. Token-Ring bietet dagegen eine fest bestimmbare maximale Wartezeit.
Ein Token-Ring-Netz ist meistens als physikalischer Doppelring ausgeführt, wodurch sich die Verfügbarkeit des Netzes merklich erhöht, da bei einem Ausfall einer Station oder der Unterbrechung eines Ringes die fehlerhafte Stelle durch die Nutzung des zweiten Ringes überbrückt werden kann. Die Übertragungsrate von Token-Ring kann 4 oder 16 Mbit/s betragen, so dass mittlerweile auch hier von einem Einsatz als Backbone-Technologie für die meisten lokalen Netze abgeraten wird. Die zur Verfügung stehende Bandbreite ist zu gering. Mitte September 1997 wurde eine "High Speed Token Ring Alliance" (HSTR) von mehreren namhaften Herstellern gegründet mit dem Ziel, Übertragungsraten von 100 Mbit/s und später 1 Gbit/s zu erreichen. Dazu soll bis Mitte 1998 der IEEE 802.5 Standard erweitert werden. Da sich diese Varianten noch in der Entwicklung befinden, kann ein Einsatz zum jetzigen Zeitpunkt nicht befürwortet werden.
FDDI
Der FDDI (Fiber Distributed Data Interface) Standard wurde 1989 vom ANSI definiert und basiert wie Token-Ring auf dem Token-Passing-Verfahren. Allerdings kommt hier zusätzlich die Technik des Early-Token-Release zum Einsatz, bei der das Token direkt nach dem letzten Datenpaket an das nächste Endgerät weitergegeben wird. Dadurch werden die Leerlaufzeiten im Ring reduziert und es kann eine höhere Bandbreite erreicht werden.
FDDI nutzt Lichtwellenleiter als Übertragungsmedium mit einer Übertragungsrate von 100 Mbit/s. Durch seinen hohen Durchsatz ist es ideal für den Einsatz im Backbone-Bereich. Weitere Vorteile sind die Fehlertoleranz aufgrund der Doppelring-Topologie und die elektromagnetische Unempfindlichkeit durch die Verwendung von Lichtwellenleitern. Im Gegensatz zu Ethernet ist FDDI auch für laufzeitabhängige Multimedia-Anwendungen geeignet, da es eine maximale Verzögerungszeit garantieren kann.
Werden beide Ringe zur Übertragung genutzt, ist sogar eine Übertragungsrate von 200 Mbit/s erreichbar, allerdings entfällt dann der Vorteil der höheren Fehlertoleranz, da beim Ausfall eines Ringes nicht mehr automatisch auf den anderen Ring ausgewichen werden kann.
FDDI-Komponenten sind jedoch teurer als Ethernet-Komponenten vergleichbarer Funktion, so dass der erzielbare Nutzen durch den Einsatz von FDDI immer den entstehenden Kosten gegenübergestellt werden muss.
FDDI kann auch auf Kupferkabeln betrieben werden und wird dann CDDI (Copper Distributed Data Interface) genannt.
ATM
ATM steht als Abkürzung für Asynchronous Transfer Mode. Hinter diesem Begriff verbirgt sich ein Übertragungsverfahren, das sich sehr gut für den Einsatz im Backbone-Bereich eines Netzes eignet und dort auch Echtzeit-Dienste bereitstellen kann.
Bei ATM werden alle Arten von Informationen in Paketen mit fester Länge befördert, die als Zellen bezeichnet werden. Dabei kann es sich um beliebige Daten, wie z. B. auch Audio- und Video-Daten handeln. Durch die einheitliche Länge der Pakete wird es ermöglicht, dass die ATM-Switches die Verarbeitung der Zellen fast vollständig durch Hardware-Komponenten durchführen und somit einen höheren Durchsatz erreichen können. Dadurch entsteht eine kalkulierbare Verzögerung bei der Übertragung beliebigerInformationen, so dass für einzelne Anwendungen garantierte Bandbreiten vergeben werden können. Damit ist ATM eine gut geeignete Technologie für Multimedia-Anwendungen, da ein berechenbares Echtzeitverhalten und damit Quality of Service (QoS) garantiert werden kann. Dies bedeutet, dass jedem angeschlossenen Gerät statisch oder dynamisch die benötigte Bandbreite zugeordnet werden kann.
Die Übertragung selbst beruht auf dem Prinzip der virtuellen Verbindungen. Dabei werden keine festen Kanäle zwischen den beteiligten Endgeräten geschaltet, vielmehr werden die Zellen erst zum Zeitpunkt ihrer Erzeugung über einen vorher festgelegten Weg durch das Netz transportiert. Die so erreichbaren Übertragungsraten liegen typischerweise bei 25 MBit/s, 155 MBit/s oder 622 MBit/s.
ATM-Komponenten sind allerdings derzeit noch sehr teuer, so dass eine Integration mit den im lokalen Netz bereits vorhandenen Komponenten anderer Technologien aus Gründen des Investitionsschutzes angestrebt werden sollte. ATM unterstützt jedoch keine Broadcasts oder die Benutzung von MAC-Adressen, was jedoch Voraussetzung für die Nutzung der meisten Protokollstapel wie TCP/IP oder SPX/IPX ist. Dazu existieren drei verschiedene Lösungsansätze:
- Classical IP-over-ATM (CIP)
Für die Verwendung von IP über ATM wurde RFC 1577 (Classical IP-over-ATM) entwickelt, welches Endgeräten mit TCP/IP-Protokollstapel erlaubt, ATM als Transportmedium zu nutzen. - LAN Emulation (LANE)
Hier werden auf Schicht 2 des OSI-Modells alle relevanten LAN-Technologien für die Clients emuliert, für die sich ATM dann z. B. als Ethernet oder Token-Ring-Netz darstellt. Damit wird eine Kommunikation zwischen konventionellem LAN und ATM möglich. - Multiprotocol-over-ATM (MPOA)
MPOA ist prinzipiell eine Weiterentwicklung des klassischen ATM und LANE. Im Gegensatz zu LANE arbeitet MPOA auf der Schicht 3 des OSI-Modells und benutzt LANE zur Übertragung auf der Schicht 2.
MPOA implementiert also sowohl Bridging (Schicht 2) als auch Routing (Schicht 3) und kann somit ein voll geroutetes ATM-Netz konfigurieren. Gleichzeitig bleiben jedoch alle Vorteile der ATM-Technologie, wie z. B. die garantierten Bandbreiten für bestimmte Anwendungen, erhalten.
Weiterhin ist zu beachten, dass zur Zeit zwischen ATM-Komponenten verschiedener Hersteller keine Kompatibilität bzw. Interoperabilität garantiert ist. Dies ist daher im Einzelfall nachzuprüfen.
Eine allgemeine Empfehlung zur Auswahl einer Backbone-Technologie kann, wie bereits eingangs erwähnt, nicht gegeben werden. Hier spielen neben Sicherheitsanforderungen auch Kriterien zur Zukunftssicherheit, Wirtschaftlichkeit, Skalierbarkeit und Integration vorhandener Komponenten eine Rolle. Je nach ausgewähltem Protokoll können nur bestimmte Kabeltypen eingesetzt werden (z. B. LWL für FDDI), die wiederum durch bestimmte Längenrestriktionen eingeschränkt sind (siehe auch M 5.2 Auswahl einer geeigneten Netz-Topologie ).
Prüffragen:
- Sind die Anforderungen an den Backbone-Bereich des lokalen Netzes in Bezug auf Verfügbarkeit, Bandbreite und Performance definiert und dokumentiert?
- Erfolgte die Auswahl geeigneter Backbone-Technologie auf Basis der festgestellten Anforderungen?