docDas Magazin für Netze, Daten- und Telekommunikation
download 
Report Transcription
Das Magazin für Netze, Daten- und Telekommunikation
Ab Seite 251: Großer Stellenmarkt DM 14,- ÖS 110,- Sfr. 14,- Nr. 12, Dezember 2000 12 Das Magazin für Netze, Daten- und Telekommunikation www.lanline.de LANline auf der Exponet: Halle 6.1, Lichtharfe 52 Storage Area Networks Virtuelle Speicherverwaltung Fibre Channel im Detail mit Marktübersicht Fibre-Channel-Switches Das Magazin für Netze, Daten- und Telekommunikation Dezember 2000 Dezember 2000 Storage Area Networks/Virtual Private Networks Network Attached Storage Im Test: Drive Image Version 4 System Image auf CD-R/RW sichern Passive ISDNSternverkabelung Die Kriterien und die Grenzen Schwerpunkt: Virtual Private Networks Marktübersicht Verschlüsselungs-Software 1 2 4 398039 714002 B 30673 ISSN 0942-4172 EDITORIAL 155. AUSGABE Rainer Huttenloher Chefredakteur DER KREISLAUF: LUFT – GELD – LUFT Die Kenngrößen für den Bereich Informationstechnik und Telekommunikation (ITK) zeigen es deutlich: Diese Branche boomt. Glaubt man dem Zahlenmaterial der Auguren, wird die deutsche ITK-Branche heuer erstmals einen Umsatz von einer Billion Mark erzielen. Auch auf der Systems in München zog sich die positive Einschätzung wie ein roter Faden durch die Prognosen vieler Aussteller. Doch alle stehen derzeit vor einem massiven Problem: Der Mangel an Spezialisten im Bereich ITK stellt dieses Marktpotential in Frage. Insgesamt gesehen werden sich Umsätze nicht realisieren lassen, da qualifiziertes Personal fehlt, und aus Sicht der einzelnen Unternehmen werden die Personalkosten steigen, da Unternehmen nur mit teuren “Abwerbeaktionen” ihr Mitarbeiterbudget auffüllen können. Nun ist dieser “Experten-Engpass” an sich nichts Neues. Bereits im letztem Jahr waren erste Mahner zu hören, die dieses Szenario vorzeichneten. Viele Appelle richteten sich zum einen an Unternehmen, möglichst viele Fachkräfte auszubilden. Zum anderen schob man diese Aufgabe unserer Regierung zu – es besteht immerhin die Möglichkeit, sich als “Macher” zu präsentieren. Doch was in der Zwischenzeit geschehen ist, verdient das Prädikat “beschämend”. Die eine Seite brachte die dümmliche Parole “Kinder statt Inder” ins Gespräch. Die andere präsentierte eine “Greencard-Initiative”, die in der Realität eine satte Bauchlandung fabrizierte – Erfolg gleich Null. Dafür verdonnerte man die Telekommunikationsfirmen erst mal zu “freiwilligen Abgaben”. Jede Menge Milliarden galt es abzuschöpfen, als es zur Versteigerung der UMTS-Lizenzen kam: Aus Luft wurde “bare Münze”! Und mit dem unerwartet hohen Geldsegen kommen sofort wieder die alten Begehrlichkeiten auf den Tisch: Lobbyisten reklamieren Teile der UMTS-Milliarden für ihre Klientel. Marode Staatsbetriebe verlangen nach weiteren Finanzspritzen, weil – ach du Schreck – völlig unerwartet neue Risiken aufgetreten sind. Doch ich bin mir sicher, dass diese Finanzen wieder verpuffen – somit wird das Geld wieder zu Luft, und der Kreislauf schließt sich. Für mich riecht das stark nach einem abgekarteten Spiel. Wenn man eine aufstrebende Branche derart stark bereits am Anfang belastet, sollte man Rahmenbedingungen schaffen, die dieser Branche weiterhelfen. Für den kurzfristigen Bedarf an Fachleuten bleibt nur der Zugriff auf externe Ressourcen. Doch mittel- und vor allem langfristig muss der Staat dafür sorgen, dass wir die notwendigen Fachleute selbst hervorbringen können. Eine massive Änderung unserer Bildungspolitik mit einer deutlich besseren Förderung der von der Industrie benötigten Studiengänge wäre eine weitaus bessere Investition in die Zukunft. Doch hier müsste man alte Zöpfe endlich abschneiden – wer wird sich an diese Aufgabe wagen? Was bleibt, ist die Hoffnung auf einen radikalen aber sinnvollen Umschwung. (rhh@lanline.awi.de) www.lanline.de LANline 12/2000 3 INHALT netzTECHNIK Mit Standards Schritt für Schritt ans Ziel: Sichere Pfade zur IP-Telefonie..........78 netzMARKT Internet im Mittelpunkt: Lotusphere Europe 2000......................8 Interview mit Hans-Ulrich Roos: Kategorie 6/Klasse E setzt sich durch..14 Passive ISDN-Sternverkabelung: Untersuchung zeigt Kriterien und Grenzen...............................................88 Durchblick auf allen Ebenen: Panorama einer Netzlandschaft..........20 Kommerzielles Peering: Der Meta-Backbone des Internets......94 Marktmeldungen.................................22 Neuausrichtung bei ATI: IP als das Maß aller Dinge.................24 DHCP und Windows 2000, Teil 2: Automatische Konfiguration..............98 Siemens ICN: Stärker Richtung IP Mit neuer Strategie zur Dominanz.....30 Buchbesprechungen..........................104 Marktmeldungen, Fortsetzung...........31 Exponet 2000 in Köln: Netzwerktrends im Überblick............36 Messeführer Exponet..........................38 netzTOOLBOX Im Test: Drive Image, Version 4: Systemkopie auf Compact Disk.......106 netzPRODUKTE/SERVICES Vom Mainframe bis zur Internet-Appliance: Die Server-Familie wächst................. 44 RUBRIKEN Editorial.................................................3 Stellenmarkt......................................251 Seminarführer....................................259 Performance im Web: Schnell ist nie schnell genug............110 Com-Navigator..................................261 Im Test: Print Queue Manager 1.0: Komfortable Verwaltung von Druckaufträgen.................................117 Fax-Leser-Service.............................267 Im Test: Opalis Rendevous Version 1.6: Automatischer File-Transfer in LAN/WAN...................................120 Exchange 2000 Server in drei Varianten: Blöcke der Dot-Net-Strategie.............48 Der Optiview-Analyzer bietet laut Hersteller Fluke für geswitchte Netze neben der Protokollanalyse mit Paketerfassung, Dekodierung und Kontexterkennungsfilter auch Netzwerkstatistik, Fehlererkennung und Kabeltests Inserentenverzeichnis........................266 Impressum.........................................268 Vorschau............................................268 Ab Seite 251: Großer Stellenmarkt LANline Tipps & Tricks..................124 DM 14,- ÖS 110,- Sfr. 14,- Nr. 12, Dezember 2000 Im Test: Adaptecs USB-Xchange SCSI-Controller mit USB-Anschluss............................ 52 Das Magazin für Netze, Daten- und Telekommunikation www.lanline.de LANline auf der Exponet: Halle 6.1, Lichtharfe 52 Storage Area Networks Virtuelle Speicherverwaltung Fibre Channel im Detail netzLÖSUNGEN Serie: Netzwerkdienstleister (Teil 2): Produkt-News..................................... 60 Infrastrukturen aus einer Hand Systemkopie auf Compact Disc Drive Image von Powerquest sichert ganze Festplattenpartitionen in Image-Dateien, sodass sich ein System schnell wieder herstellen lässt. Einsatzzwecke sind einerseits die Datensicherung und andererseits die Installation von “frischen” Systemen in großen Stückzahlen. Die Version 4 kann jetzt Image-Dateien direkt auf CD-Rs und CD-RWs brennen. Zudem prüft die Software die Integrität von Images, kann Images auf NTFSDateisystemen ablegen und enthält einen verbesserten Image-Editor. as Funktionsprinzip von Drive Image ist so einfach wie effizient: Die Software kopiert eine ganze Partition einer Festplatte Sektor für Sektor in eine so genannte Image-Datei. Da Drive Image den vollen und exklusiven Zugriff auf die zu sichernde Partition benötigt, läuft das Programm unter DOS oder dem Kommandozeilenmodus von Windows 9x. Daraus folgt, dass das Programm die Image-Datei nur auf einem Datenträger ablegen kann, den das darunter liegende Betriebssystem D unterstützt – also FAT (unter DOS) oder FAT/FAT32 (unter Windows 9x). Die neue Version 4 kann zusätzlich Images auf NTFS-Dateisystemen ablegen. Bei der Wiederherstellung eines Images wird die Datei zurück auf die ursprüngliche oder eine andere Partition kopiert. Diese Art der Datensicherung ist so gründlich, dass nach der Wiederherstellung sowohl der BootSektor als auch die Fragmentierung der Festplatte dem Originalzustand entsprechen. Übersichtlich zeigt Drive Image bei allen Aktionen die Partitionen des lokalen Rechners grafisch sowie in einer Liste an 106 L AN line 12/2000 EINSATZBEREICHE Die Software lässt sich beispielsweise hervorragend in Testumgebungen einsetzen, die zur Evaluierung eines neuen Produkts eine “frische” Betriebssystemumgebung voraussetzen. Dabei werden Betriebssysteme direkt nach ihrer Installation “eingefroren” und anschließend mit Drive Image auf CD gesichert. Nach Abschluss eines Tests kann Drive Image die Abbilder jederzeit wieder “auftauen” und eine saubere Umgebung für den nächsten Test herstellen. Zur Datensicherung von Servern ist Drive Image allerdings nur bedingt geeignet, da die Software eine Partition nicht im laufenden Betrieb in eine Image-Datei kopieren kann. Neben der Datensicherung lässt sich die Software zur Masseninstallation von betriebsfertigen Systemen nutzen. So kann der Administrator oder ein VAR (Value Adding Reseller) ein Image eines Betriebssystems inklusive Applikationen auf zahlreiche Arbeitsstationen mit identischer Hardware überspielen und sich somit die individuelle Installation jedes einzelnen Rechners ersparen. Zudem kann Drive Image auch Partitionen direkt auf eine andere Platte kopieren. Das ist zum Beispiel nützlich, wenn eine kleine Systemplatte durch eine größere ersetzt werden soll. 106 PASSIVE ISDN-STERNVERKABELUNG www.lanline.de Im Test: Drive Image Version 4 System Image auf CD-R/RW sichern Untersuchung zeigt Kriterien und Grenzen Bisher sind für Verkabelungskonfigurationen an der ISDN-Teilnehmerschnittstelle S0 nur der kurze und erweiterte passive Bus oder Punkt-zuPunkt-Verbindungen standardisiert. Das sind aber nicht die einzigen Möglichkeiten, um ISDN-Teilnehmerendgeräte passiv an Netzabschlussgeräte (NTBA) anzuschließen. Der folgende Artikel zeigt die Ergebnisse von theoretischen und praktischen Untersuchungen an S0-Sternkonfigurationen mit bis zu acht Zweigen für gängige Installationskabel. Die Untersuchungen ergaben, dass die Installationsempfehlungen für S0-Netze durchaus entsprechend erweitert werden könnten. mmer mehr Installateure und Anwender fragen nach einer passiven Sternverkabelung am S0-Punkt, da dies je nach den lokalen Bedingungen beim Endteilnehmer günstiger sein kann als der (standardisierte) passive Bus. Bild 1 zeigt die drei standardisierten Grundtypen für eine passive ISDN-Verkabelung. Die unterste Struktur des erweiterten passiven Busses ist als Sonderfall standardisiert. Dabei bilden mehrere kurze Teilnehmerleitungen ein Strahlenbüschel am Ende einer Punkt-Punkt-Verbindung (Näheres in den Normen [1] und [2]). Wer Anleitungen und Empfehlungen für eine S0-Sternverkabelung sucht, findet diese beim North-American-ISDN-User-Forum in dem Dokument NIUF 444-97 und in der nationalen Richtlinie der niederländischen KPN – allerdings ohne theoretische Grundlagen oder Erprobungsergebnisse. Im Oktober 1999 veröffentlichte Cenelec einen Vorschlag zur Ergänzung der EN 50098-1, der die dort standardisierten Buskonfigurationen durch eine Sternkonfiguration ergänzt ([3]). Auch hier sind weder physikalische Herleitung noch Empfehlungen oder entsprechende Quellenangaben zu finden. Erwähnt sei auch, dass seit einiger Zeit aktive Sternkoppler (ISDN-Hubs) für die S0Schnittstelle angeboten werden ([6], [7], I 88 L AN line 12/2000 Schwerpunkt: Virtual Private Networks Marktübersicht Verschlüsselungs-Software 12 4 398039 714002 B 30673 ISSN 0942-4172 L AN line 12/2000 [8]), die sich bei den maximalen Zweiglängen am genormten S0-Bus orientieren, jedoch einen deutlichen Mehraufwand darstellen. Der Koppler wird entweder direkt am S0-Port des NTBA angeschlossen oder ist in eine Klein-TK-Anlage integriert. PHYSIKALISCHE ANFORDERUNGEN AN STERNKONFIGURATION Eine Herlei- tung der physikalischen Anforderungen an eine Sternkonfiguration kann auf den bereits vorhandenen und bekannten Fall des kurzen passiven Busses aufsetzen, wobei es wegen der praktisch auftretenden Kabelvielfalt und der Vielschichtigkeit der Phänomene kaum möglich ist, eine allgemeingültige Berechnungsformel anzugeben. Ähnlich wie beim passiven S0-Bus oder den Uko-seitigen Amtskabeln wird man anhand von untersuchten Fallbeispielen für typische Kabelkonfigurationen Forderungen aufstellen, die – versehen mit einem Sicherheitszuschlag – einen Kreis um die unendliche Vielfalt der denkbaren Anwendungsfälle schlagen ([4] und [5]). Während sich die Abschätzungen bei den bisherigen S0-Installationen auf die Einhaltung der begrenzten Laufzeit (kurzer Bus) oder die zulässige Signaldämpfung (Punkt-Punkt-Verbindung) zurückführen lassen, treten im Fall der Sternkonfiguration die Pulsverzerrungen in den Vordergrund, die durch Reflexionen an den nicht angepassten Kabelenden entstehen. Hinzu kommt der Wunsch eines jeden Bild 1. Die drei Grundtypen für eine passive ISDN-Verkabelung www.lanline.de SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS FLEXIBEL UND DENNOCH 88 194 PRODUKTIV VIRTUAL PRIVATE NETWORKS FÜR UNTERNEHMEN Ein virtuelles privates Netzwerk (VPN) verbindet verschiedene Netzwerke über nicht vertrauenswürdige oder öffentliche Netze so, dass es für die Anwender und die Anwendungen in den einzelnen Netzen den Anschein eines einzigen Netzwerks macht. Beim Einrichten einer solchen Lösung sind allerdings etliche Aspekte wie zum Beispiel Sicherheit , Abrechnungsmethoden und leichte Bedienarbeit zu berücksichtigen. 194 6 Passive ISDNSternverkabelung Die Kriterien und die Grenzen netzTECHNIK ARBEITSWEISE Da nicht jedes System ei- ne Festplattenpartition mit ausreichend Platz für eine Image-Datei bietet, reduziert die Software die Größe der Dateien auf mehrere Arten. So kopiert Drive Image bei den Dateisystemen FAT, FAT32, NTFS und Linux Ext2 nur die belegten Sektoren. Das ebenfalls von Powerquest erhältliche Server Image beherrscht dieses Verfahren auch für Netware-Volumes. Zudem kann die Software Images in zwei Stufen komprimieren, um Platz zu sparen. Für das Sichern von Image-Dateien auf Wechseldatenträgern kann der Administrator festlegen, dass die Image-Datei aus mehreren Teilen bestimmter Größe bestehen soll (ähnlich wie es beispielsweise bei ZIP- und RAR-Archiven möglich ist). Zum Schutz vor fremdem Zugriff lassen sich ImageDateien mit einem Kennwort versehen, das bei der Wiederherstellung angegeben werden muss. Da unkomprimierte Images alle mit Marktübersicht Fibre-Channel-Switches VIRTUAL PRIVATE NETWORKS IM TEST: DRIVE IMAGE, VERSION 4 128 Dezember 2000 netzTOOLBOX Network Attached Storage Das Magazin für Netze, Daten- und Telekommunikation Global Traffic Delivery durch GPS: Die absolute Garantie dank “GPS”....56 L AN line 12/2000 www.lanline.de www.lanline.de INHALT SCHWERPUNKT: STORAGE AREA NETWORKS Die Zukunft der Speicherverwaltung: Allianzen und Philosophien.............................................132 Nach zehn Jahren rapide aufwärts: Fibre Channel – ein Spätzünder.......................................140 The Fibre Channel Event: Europäische FC-Konferenz in London............................150 Effizientes Management: Virtualisierung macht SANs offener...............................154 Integrierte Speicherlösungen: Technologische Betrachtung von SANs..........................158 Optimale SAN-Connectivity: FC-Directoren oder FC-Switches?...................................164 Vernetzte FC-Switches: FC-Fabrics für unternehmensweite SANs.......................168 SAN und NAS gemeinsam stark: Rezentralisierung der C/S-Landschaften.........................178 Open Storage Networking: Fokussierung auf NAS und SAN reicht nicht.................184 SAN-Management-Software: SANsymphony – das virtuelle SAN................................188 Anbieterübersicht: Fibre-Channel-Switches...................191 Marktübersicht: Fibre-Channel-Switches........................192 SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS Virtual Private Networks für Unternehmen: Flexibel und dennoch produktiv......................................194 IP-VPNs: Ein neuer Markt entsteht: Multiprotocol Label Switching........................................202 Virtual Private Networks (VPNs) und IPSec: Private Daten routen.........................................................206 Anlegen und Administrieren von VPNs: Management des Datenaustausches.................................210 Das Ende der proprietären Protokolle: Sicher durch den Tunnel..................................................218 VPN-Abrechnungssystem für Großkunden: Durchblick statt Dschungel..............................................222 Marktübersicht: Verschlüsselungs-Software...................224 Anbieterübersicht: Verschlüsselungs-Software..............230 fokusE-COMMERCE Content-Management-Systeme: Anforderungen und Kriterien...........................................232 JSP, Servlets und XML: Architekturen für Anwendungen.....................................238 Object-Broker für E-Commerce: Komponenten im Wettstreit.............................................244 www.lanline.de L AN line 12/2000 7 netzMARKT INTERNET IM MITTELPUNKT Lotusphere Europe 2000 Vom 25. bis 29. September präsentierte Lotus zusammen mit seinen Business-Partnern Neuheiten, Strategien und Aussichten in Berlin. Rund 3600 Fachbesucher informierten sich über neue DominoFunktionen und Lotus-Produkte wie das ASP-Solution-Pack und das kommende Wissensportal ”K-Station“. Generell lagen Portale ganz massiv im Trend. Die Eröffnungsveranstaltung ließ Zweifel darüber aufkommen, ob man sich denn wirklich in der Bundeshauptstadt oder nicht doch jenseits des ”Weißwurstäquators“ auf dem Oktoberfest befindet: Da trat tatsächlich der neue Präsident und CEO von Lotus Development, Al Zolar, als ”Bierdimpfel in Lederhosen“ auf. Die beabsichtigte Message kam auf jeden Fall herüber: Auch Bierbrauereien werden zukünftig mit Hilfe von Lotus-Produkten ganz selbstverständlich im Sinne des ”ECommerce“ ihre Geschäfte im ”biermarket.net“ abwickeln. Zusammenarbeit über das Netz ist gefragt: ”Work As One!“. Abgesehen von Unterhaltungseinlagen bot Lotus aber auch interessante Entwicklungen. Ganz in alter Tradition der kleinen Versionsschritte an zweiter Kommastelle mit großen Funktionssprüngen kündigte Lotus das neue ”five-o-five“ von Domino und Notes an. Entgegen alter Gewohnheiten muss auf den 8 L AN line 12/2000 bunten Strauß interessanter Neuerungen jedoch nicht erst lange gewartet werden: Angekündigt war die Verfügbarkeit zwar erst ”innerhalb der nächsten 30 Tage“, jedoch konnten bereits während der Lotusphere die ersten Downloads über http://www.notes. net/qmrdown.nsf für alle unterstützten Betriebssystemplattformen, darunter auch Linux, anlaufen. Selbst die in Berlin anwesenden Iris-Entwickler zeigten sich von solcher Termintreue sichtlich überrascht. Zu den Highlights des ”Quarterly Maintenance Release“ zählen der Domino Network File Store (”DNFS“), standardmäßige Integration der Domino Offline Services (”DOLS“) und das darauf aufbauende ”iNotes for Microsoft Outlook“, sowie entwicklerorientierte Erweiterungen wie die Domino Collaboration Objects (einfache Nutzung der Domino-Dienste via Visual Basic, VBA oder Active Server Pages), der neue Lotus Connector für OLE/DB zur direkte- ren Anbindung von Microsofts SQL-Server und Unterstützung für ein Single SignOn in Verbindung mit IBMs Websphere-Application-Server ab Version 3.5. Der Domino Network File Store 1.0 öffnet Notes-Datenbanken erstmals für den einfachen Zugriff per Dateisystem. Dazu emuliert ein DominoServer-Task einen eigenständigen SMB-Server (Server Message Block), auf den beliebige SMB-Clients wie Microsofts Netzwerk-Clients aber auch entsprechende Clients unter Linux oder anderen Betriebssystemen wie auf einen normalen Fileserver zugreifen können. Vorbereitete Notes-Datenbanken erscheinen als Unterverzeichnis einer speziellen Freigabe des virtuellen Fileservers. Jede sichtbare Datei entspricht einem Attachment innerhalb eines Notes-Dokuments. Ordner innerhalb der Notes-Datenbank erscheinen als korrespondierende Dateiverzeichnisse. Mit dieser neuen Datenschnittstelle kann Domino R5 nun auch mit einer ähnlichen Funktionalität glänzen, wie sie das ”Web-Storage-System“ von Microsoft Exchange 2000 bietet. Allerdings erlaubt DNFS nicht wie Exchanges Web Store den vollständigen und einfachen dateiorientierten Zugriff auf sämtliche Mails und andere Dokumente im Information Store, sondern beschränkt sich auf die Dokumentenanhänge in speziell dafür gestalteten Datenbanken. Den genauen Praxisnutzen müssen daher erst zukünftige Anwendungsdesigns unter Beweis stellen. Auf jeden Fall kann bereits die erste Version von DNFS auch ”offline“ in Kombination mit dem Notes Desktop eingesetzt werden, solange dieser unter NT betrieben wird. Wer die Möglichkeiten von DNFS selbst unter die Lupe nehmen möchte, muss sich allerdings entweder bis zur nächsten offiziellen Domino-Distribution auf CD gedulden oder Zugang zur Lotus-Partner-Zone besitzen: Unverständlicher Weise ist DNFS nicht Bestandteil der QMR-Download-Dateien. Die Domino-Offline-Services sind zwar bereits seit Ende letzten Jahres als kostenloser Bild 1. iNotes alias ”Shimmer“ heißt der neue Browser-basierte Offlinefähige Client zu Domino www.lanline.de netzMARKT Zusatzdienst für Domino R5 offiziell verfügbar und damit nicht mehr ganz brandneu, doch treten sie erst mit der Integration in den Standardlieferumfang von Domino 5.05 und als technischer Grundpfeiler von ”iNotes“ ins Rampenlicht. Lotus verteilt seine neue Client-Strategie auf drei tragende Säulen, die sich jeweils für unterschiedliche Anwendungssituationen empfehlen: Das klassische ”Notes“ als komfortabel integrierte Anwendung für Windows und MacOS, ”iNotes“ als Offline-fähiger Client in Verbindung mit Web-Browser oder Microsoft Outlook und schließlich ”Mobile Notes“ für die mobile Nutzung von Domino-Diensten zur Zusammenarbeit aber auch der Sametime-basierten Echtzeitkommunikation über WAPfähige Handys oder Handhelds wie zum Beispiel Palms und Pocket-PCs. Die Domino-Offline-Services erlauben als einzige Lösung am Markt komplexe interaktive Web-Anwendungen für die Offline-Nutzung zu entwickeln. Lotus demonstriert das damit entstehende Potenzial neuer Einsatzfelder für Browser-basierte Anwendungen bereits seit geraumer Zeit sehr anschaulich mit Lotus Quickplace. Möglich macht das Kunststück der Web-Anwendungen ohne Online-Verbindung zu einem Web-Server die zentrale Client-Komponente ”Lotus iNotes Sync Manager“ für Windows 9x/NT/2000. Über Active-X-Mechanismen dynamisch, wenn auch je nach Server-Anbindung etwas langatmig durch seine zirka 19 MByte Umfang installiert, 10 L AN line 12/2000 stellt der iNotes Sync Manager als Front-end einerseits einen lokalen HTTP-Server mit Domino-Anwendungslogik und andererseits einen MAPIProvider mit Kompatibilität zu Microsoft Outlook 98/ 2000 als Schnittstelle zur Verfügung. Auf der Back-end-Seite verrichten die Kronjuwelen von Lotus ihren Dienst: Die bei der Verzicht der Entwickler auf verschiedene Java-Applets. Auch die Ausschmückung von Mails mit Formatierungen über den Java-basierten Editor von Web-Mail ist nun endlich für den zeitlosen Benutzer optional. Wer Domino lediglich als reinen Messaging-Server mit persönlicher Kalender- und Aufgabenver- Bild 2. K-Station wird nach den Vorstellungen von Lotus das neue Webbasierte Portal zum Wissen im Unternehmen Replikation von Notes-Datenbanken zwischen DominoServer und iNotes Client über das Notes RPC-Protokoll unter Berücksichtigung der gewohnten Sicherheitsarchitektur inklusive der sicheren Benutzerauthentifizierung via lokal vorliegender Notes-ID. Unter Domino 5.05 profitiert als erstes die neue erweiterte Mail-Schablone von DOLS. Mails, Kalendereinträge, Aufgaben und Kontakte lassen sich nach erstmaliger Replikation auf den lokalen Arbeitsplatz auch offline bequem per Web-Mail bearbeiten. Für ein verbessertes Antwortverhalten gegenüber den Vorgängerversionen sorgt da- waltung nutzen will und dafür lieber Microsofts Outlook 98 oder 2000 vorzieht, kann auch dieser Neigung durch den erstmalig bereitgestellten MAPI-Provider nachgehen. Outlook agiert in diesem Fall einfach als alternativer Client zum Web-Browser. Erste Tests im LANline-Lab wiesen jedoch auf die eine oder andere Inkompatibilität hin, die vor einem ernsthaften Einsatz abgeklärt werden sollten. Den eigentlichen iNotesClient ”Shimmer“ gab es aber auch auf der Lotusphere erst als Pre-Beta mit noch nicht vollständigem Funktionsumfang zu bestaunen. Shimmer soll im Laufe des nächsten Jahres den Komfort bei der Nutzung der Domino-Dienste via Web-Browser mit Hilfe eines völlig neuen Designs nochmals deutlich steigern und baut dazu verstärkt auf DHTML. Selbst die bekannte Welcome-Page von Notes ist als persönliches Portal implementiert. Shimmer-Beta ist mittlerweile öffentlich über http://www.notes.net/inotes webaccesswelcome.nsf verfügbar. Bereits letzes Jahr war auf der Lotusphere der allgemeine Trend bei Lotus zu einer Image-Korrektur vom Anbieter proprietärer Unternehmenslösungen hin zur Internet-Company nur zu deutlich zu spüren. So verwundert es nicht, dass auch das Trendthema ”ApplicationService-Provider“ auf der Tagesordnung stand. Lotus will engagiert diese Zielgruppe mit dem neuen ”Lotus ASP Solution Pack“ ansprechen. Das Solution Pack soll ASPs eine Plattform zur Entwicklung Web-basierter Dienste geben. Dazu geben die Chefköche zunächst einmal bekannte und bewährte Zutaten in den Angebotstopf: Den Domino-ApplicationServer zur Bereitstellung von Web-Mail und der Web-basierten Anwendungsentwicklung, Lotus Quickplace 2.0 für die teamorientierte Zusammenarbeit und schließlich Sametime für die Echtzeitkommunikation mittels Chat, Whiteboard, ApplicationSharing und Audio-/VideoÜbertragung (neu mit der während der Lotusphere angekündigten Version 2.0). Die alles verbindende Schlüsselposition im ASP Solution Pack nimmt jedoch das neue www.lanline.de netzMARKT Lotus-Hosting-ManagementSystem 2.0 (LHMS) als Nachfolger von Instant!Host ein. Als Middleware zu den Anwendungs-Servern (Domino, IBM Websphere, Quickplace) stellt LHMS die notwendigen Dienste zur Verwaltung und Distribution von ASP-Anwendungen bereit. So dient beispielsweise der ”Community Workspace“ als Anwender-Portal zu den individuell zusammengestellten und angepassten Anwendungen für einen ASP-Kunden. Ebenso kann der ASP die jeweilige Benutzerverwaltung an einen Community-Manager delegieren. LHMS bietet über sein SDK Schnittstellen zu Abrechnungssystemen wie sie für das Geschäftsmodell eines ASPs unerlässlich sind. Insgesamt nimmt LHMS damit zusammen mit integrierten Distributionsschemata für LHMS-konforme Anwendungen für ASPs die Rolle ein, die zum Beispiel Windows als rahmengebende Anwendungsumgebung für den Desktop spielt. Lotus selbst führt zusammen mit seinem ASP-Angebot auch ein neues Abrechnungsmodell ein: monatliche Nutzungsgebühren pro Benutzer und Anwendung. Erste Bekenntnisse zu seinem ASP-Angebot konnte Lotus in Berlin zum Beispiel von der Telecom Italia und Siemens Business System verkünden. Das ASP Solution Pack ist bereits unter NT und AIX verfügbar. Unterstützung für Solaris und AS/400 soll noch bis Ende des Jahres folgen. Interessierte Entwickler finden das LHMS 2.0 SDK unter http:// www.lotus.com/asp. 12 L AN line 12/2000 DAS WISSENSPORTAL: KSTATION Nachdem Lotus letztes Jahr in Berlin die Arbeit an einer Knowledge-Management-Suite unter dem Code-Namen ”Raven“ verkündete, konnten nun ein Jahr später erste Früchte geerntet werden, wenn auch nur fast: Die Fertigstellung vom ersten der beiden RavenBausteine ”K-station“ wird wohl noch bis November dauern. Lotus bezeichnet KStation unter anderem als Bild 3. Präsident und CEO Al Zollar kam auf der Lotusphere auch in Lederhosen beim Publikum gut an ”Stand-alone Portal Server“, der derzeit noch ausschließlich über den Microsoft Internet Explorer 5 und unter direkter Server-Verbindung (kein Offline-Betrieb) genutzt werden kann und auf Basis von Windows NT/2000 läuft. Unabhängig von der bereitgestellten Funktionalität ist bereits die Positionierung als ”Stand-alone“-Produkt interessant: Offensichtlich soll Knowledge-Management nicht unter zwingender Voraussetzung einer Lotus-Domino-Umgebung geschehen, sondern ebenso in Microsoft- und anderen Welten – Hauptsache die KM-Dienste tragen das Lotus-Label. Nichts destotrotz schlägt natürlich auch im Kern von K-Station ein Domino-Herz. Wie bereits bei Quickplace und Sametime, für die dasselbe gilt, wird dies bei Installation und Browserbasierter Administration kaum bis zur Oberfläche durchscheinen. Alle drei Produkte (Quickplace ab Version 2.0) nutzen übrigens auf Wunsch zur Benutzerauthentifizierung gegen ein externes Verzeichnis LDAP. Damit steht einer Integration mit Microsoft Active Directory, Novell E-Directory oder anderen LDAP-konformen Verzeichnisdiensten nichts im Wege. Der zweite interessante Punkt an K-Station ohne Blick auf die Funktionalität ist die Abhängigkeit vom Internet Explorer. Trotz Internet-Orientierung und Bekenntnis zu offenen Standards macht auch Lotus kaum einen Hehl daraus, dass sich letztlich das bessere Produkt durchsetzt, auch wenn Microsoft nicht zu den engsten Lotus-Freunden zählt. Wer hätte das vor noch wenigen Jahren zur Blütezeit von Netscape für möglich gehalten? Nach dem persönlichen Web-Portal von ”Shimmer“ und dem ”Community Workplace“ als ASP-Portal soll K-Station als Portal zum ”Unternehmenswissen“ dienen. Dazu werden Fenster zu ”Places“ (Orte der Zusammenarbeit wie ”Quickplaces“), ”People“ (der direkte Draht via Sametime-Kernfunktionalität) und ”Things“ (Dokumentbibliotheken und andere Anwendungen) in thematischen Gruppen arran- giert. Die gesamte Verwaltung von K-Station erfolgt DHTML-gestützt via WebBrowser. Das ”KnowledgeBackend“ zum Wissensportal, der ”Raven Discovery Server“ soll noch im ersten Quartal 2001 folgen. Auch dieses Jahr wurden in einer gelungenen Galaveranstaltung die Beacon Awards an Lotus Business Partner verteilt. Drei der begehrten europäischen Auszeichnungen blieben gleich im Land: das EMEA Business Partner Achievement ging an PC-Ware Information Technologies AG in Leipzig, als Entwickler der besten Messaging-Solution wurde die Cedros GmbH aus Siegburg ausgezeichnet und für seine Nichtkommerziellen Aktivitäten im humanitären Bereich (”Best Philanthropic Solution“) erhielt die What’s Up AG aus München den ”Oskar“ der Lotus-Branche. Das zu erfolgreichen Internet-Aktivitäten nicht nur die richtige Technologie, sondern auch organisatorische Kompetenzen gehören, bewies Lotus leider nur als Negativbeispiel bei der Publikation der Unterlagen zu den vielfältigen technischen Sitzungen in Berlin: Ganze vier Wochen brauchte man, bis die ersten, noch spärlich gesäten PDFDokumente den Weg auf die Website von Lotus fanden. Offensichtlich beherzt man selbst noch nicht ganz das Credo der Veranstaltung ”Work As One“. (Peter Meuser/rhh) Peter Meuser (mailto: pmeuser@lanlab.de) ist selbstständiger IT-Consultant in München und Mitglied des LANline-Labs. www.lanline.de netzMARKT INTERVIEW MIT HANS-ULRICH ROOS: Kat 6/Class E setzt sich durch Aus berufenem Munde werden Systemintegratoren und Netzwerkverantwortliche auf dem diesjährigen Systimax Kongress 2000 am 30. November im Arabella-Sheraton-Congress-Hotel Frankfurt/Main erfahren, wie sich der “Lucent Spin-off” Avaya die Zukunft der Gebäudeverkabelung und die eigene Positionierung im heiß umkämpften Verkabelungsmarkt vorstellt. Wir unterhielten uns vorab mit dem Keynote-Speaker Hans-Ulrich Roos, welche Standardisierungstrends im Verkabelungsbereich aktuell auszumachen sind. Hans-Ulrich Roos ist Mitarbeiter der Forschungs- und Entwicklungsabteilung der Lucent Spin-off Avaya Communication und weltweit für die Koordinierung der Standardisierungsaktivitäten im Inhouse-Verkabelungsbereich zuständig. LANLINE: Vorab gefragt: Was ist aus den Bell Labs nach der Ausgliederung von Avaya geworden? HANS-ULRICH ROOS: Der Bell-Labs-Bereich, der für Connectivity-Lösungen zuständig war, ist komplett aus Lucent ausgegliedert und in die Avaya Labs, nach wie vor mit Sitz in Holmdale, zugeordnet worden. LANLINE: Mit welcher konkreten Aufgabenstellung sind Sie heute bei Avaya tätig? HANS-ULRICH ROOS: Auch an meiner Funktion hat sich nichts geändert. Ich bin nach wie vor – früher bei Lucent, heute bei Avaya – für die Standardisierungsaktivitäten im Gebäudeverkabelungs- 14 L AN line 12/2000 bereich zuständig. Von der Produktseite her sprechen wir über die Systimax-Produktpalette, die sich auf die Gebäudeverkabelung fokussiert und nichts mit dem Carrier-Bereich zu tun hat. Zu meiner aktuellen Funktion innerhalb der Avaya Labs: Ich koordiniere weltweit innerhalb unserer Firma die Aktivitäten im Bereich der Gebäudekommunikationsverkabelungsstandards und arbeite außerhalb in den nationalen und internationalen Standardisierungsgremien mit. LANLINE: Sie sind einer der Keynote-Speaker auf dem “Systimax Structured Connectivity”-Kongress in Frankfurt – worüber werden Sie sprechen? HANS-ULRICH ROOS: Mein Beitrag wird hauptsächlich die aktuellen Standardisierungstrends im Verkabelungsbereich aufzeigen. Ich möchte den Kongressteilnehmern verständlich machen, warum wir neue Standards benötigen, wie diese Standards erarbeitet werden und was aktuell an neuen Standards im Entstehen ist. Mir geht es in diesem Beitrag weniger um technische Details sondern mehr um das Aufzeigen genereller Trends und ihrer Auswirkungen auf das Verkabelungsgeschäft. LANLINE: Bislang spielte die Frage nach der richtigen Verkabelungslösung bei der Realisierung von Kommunikationslösungen für die Entscheider keine zentrale Rolle – wird sich daran in der Zukunft etwas verändern? HANS-ULRICH ROOS: Wer heute in der Verantwortung steht, in einem Unternehmen oder einer Behörde eine neue Infrastruktur aufzubauen, ist gut beraten, sich an den Standards zu orientieren. Der passive Bereich der Infrastruktur, die Verkabelung, ist die Grundlage, auf der alle aktiven Komponenten aufbauen und über die sie miteinander kommunizieren. Nur standardisierte Verkabelungsstrukturen können dies sicherstellen. Bei den heutigen Anforderungen an die Unternehmen, ihr Verkabelungsnetz zur allumfassenden Kommunikationsplattform für komplexe BusinessProzesse auszubauen, sollte die Frage nach der richtigen, zukunftsweisenden Verkabelungstechnologie eigentlich Chefsache sein. Denn alle folgenden Unternehmensstrategien beispielsweise im E-Com- merce- oder E-Business-Bereich basieren nun einmal physikalisch auf der Verkabelungsinfrastruktur. Und erfahrungsgemäß hat die Verkabelung die längste Nutzungsdauer von allen Networking-Komponenten. Investoren erwarten heute von den Kabellieferanten eine 10- bis 15-jährige Funktionsgarantie. Wir geben zum Beispiel auf unser Kategorie-6kompatibles Verkabelungssystem Systimax-Gigaspeed 20 Jahre Garantie. LANLINE: Welchen Einfluss übt konkret E-Commerce auf die Verkabelungsnachfrage aus? HANS-ULRICH ROOS: ECommerce ist zunächst einmal eine Applikation, angesiedelt in der Schicht 7 des Kommunikationsmodells. Sprechen wir über die Verkabelung, meinen wir die Schichten 0 beziehungsweise 1. Das scheint weit weg zu sein von dem, was oben geschieht. Trotzdem hat die Applikation wesentlichen Einfluss auf die Anforderungen in den unteren Ebenen. E-Commerce wird sehr hohe Datenmengen verursachen. Jetzt wird nicht mehr über Telefon oder Fax bestellt, sondern online über das Internet. Es wird über Internet die Ware geordert, ihre Auslieferung verfolgt und die gesamte Abrechnung abgewickelt. Der Kommunikationsfluss steigt nicht nur nach außen zum Kunden, sondern auch intern zwischen den Abteilungen, die mit der Entwicklung, Bereitstellung und Auslieferung der Ware in finanzieller, logistischer und kaufmännischer Hinsicht zu tun haben. Diesen Anforderungen muss eine Verkabelung heute und in den nächsten Jahren gewachsen sein. Heute sprechen www.lanline.de netzMARKT wir von High-speed-Verkabelungssystemen, wenn wir über Vernetzung sprechen. Diese Systeme sind sehr komplexe Lösungen, deren Interconnectivity-Qualität dringend durch Standards geregelt sein muss, weil ansonsten niemand für Interoperabilität zwischen den aktiven Komponenten garantieren kann. Genau darauf sind die Unternehmen aber angewiesen, wenn sie für ihre Applikationen beispielsweise im E-Commerce-Bereich eine Hochverfügbarkeit rund um die Uhr an 365 Tagen im Jahr garantieren sollen. LANLINE: Im Verkabelungsbereich stehen neue Standards vor der Tür – was bedeutet dies für Unternehmen wie Avaya in ihren Entwicklungsaufwendungen? HANS-ULRICH ROOS: Es kostet Hunderte von Millionen Dollar, eine neue Anwendung entsprechend neuer Standards zu entwickeln und zum Laufen zu bringen. Besitzen diese hochkomplexen Aktivkomponenten Marktreife, muss in sehr kurzer Zeit eine breite Käuferschicht erreicht werden, weil sonst der Return of Invest in weite Ferne rückt. Dies gelingt nur, wenn auf bestehende Infrastrukturen aufgebaut werden kann. Momentan ist der vorherrschende Verkabelungsstandard die Kategorie5/1995-Norm. Es gibt im Markt bereits Kategorie-5eInstallationen, die den neuen Kategorie-5/Klasse D der zweiten Ausgabe des Verkabelungsstandards entsprechen, der im nächsten Jahr herauskommt. Eine Kategorie 6/Klasse-E-Norm wird ebenfalls in dieser Ausgabe definitiv standardisiert und steht 16 L AN line 12/2000 quasi in den Startlöchern. Diese neuen Verbindungsklassen werden von den Applikationsentwicklern im Moment noch nicht genutzt, aber dies ist nur noch eine Frage der Zeit, denn die neuen Standardklassen bieten eine deutlich höhere Übertragungssicherheit. LANLINE: Gehen die neuen Standards am tatsächlichen Bedarf nicht weit vorbei? HANS-ULRICH ROOS: Bei der Verarbeitungsgeschwindigkeit im PC-Bereich sehe ich noch kein Ende der technologischen Entwicklung. Allerdings können PCs für sich isoliert arbeiten. Sprechen wir über die Anbindung an Netzwerke wie das Internet, dann ist der Datendurchsatz abhängig davon, wie es in dem ProxyServer des Service-Providers aussieht. Die Beschränkung liegt hier eindeutig im WANBereich. Im lokalen Netzwerk werden deutlich höhere Verarbeitungsgeschwindigkeiten gefordert, um die internen Applikationen im CAD-Bereich, bei der Abfrage großer, verteilter Datenbanken oder der Übertragung großer Files an das Maximum ihrer Leistungsgrenzen zu treiben. Im Innenbereich reden wir tatsächlich bereits heute über High-speedApplikationen, für die die Verkabelung heute und morgen nicht der Flaschenhals sein darf. LANLINE: Bei Kategorie 6 sieht die Norm eine Bandbreite von 250 MHz vor – wird hier nicht dennoch weit über das Ziel hinausgeschossen? HANS-ULRICH aus. Allerdings bietet eine Kategorie-6-Verkabelung schon heute deutlich mehr Sicherheit, sodass die High-speed-Applikationen in meinem Netzwerk ordentlich laufen und Störungen von außen einen geringfügigeren Einfluss auf die ganze Kommunikation ausüben können. Es gibt zudem konkrete ROOS: Wenn ich mir die heute aktuellen Applikationen betrachte, reicht sicherlich eine saubere Kategorie-5e-Verkabelung te von 250 MHz bei Kategorie 6/Klasse E bietet mehr Sicherheit für die Leistungsgrenzen des lokalen Netzwerks als Kategorie 5e. Nehmen wir zudem die Dämpfung als Maß aller Dinge, dann kommen wir auf eine wirklich nutzbare Bandbreite bei Kategorie 6 von 180 MHz. Ich sehe Kategorie 6/Klasse E für die nächsten zehn Jahre als den anerkannten Industriestandard. LANLINE: Kategorie 7 geht sogar von 600 MHz aus – bietet dies nicht noch mehr Zukunftssicherheit? HANS-ULRICH Hans-Ulrich Roos, Standardisierungsexperte bei Avaya: ”In der Verkabelung wird sich Kategorie 6/Klasse E definitiv durchsetzen“. Ansätze, einen so genannten 1000Base-TX- Ethernet-Standard für Kategorie 6/Klasse E zu kreieren, der bereits im letzten Entwurfsstadium steht. Er ist von der TIA-41.5 erarbeitet worden, weil IEEE 802.3 hier kein Interesse gezeigt hat. Hier ist man bereits auf den nächsten Stand, auf 10-GigabitEthernet, gesprungen, der dann praktisch ein Glasfaserstandard sein wird. Hier wird es meines Erachtens keinen entsprechenden Standard für Kupferkabel mehr geben, da wir damit bereits die physikalischen Grenzen des Kupfers überschritten haben. Somit macht es keinen Sinn, höhere Kategorien und Klassen als Kategorie 6/Klasse E zu verwenden. Fakt ist, die Bandbrei- ROOS: Das Problem dieser Kategorie ist, dass der Nutzer zwar für 600 MHz die teure Schirmung zu bezahlen hat, aber nur einen recht geringen Anteil der Bandbreite wirklich nutzen kann. Bei zirka 30 db Dämpfung steht real nur zirka 210 MHz Bandbreite zur Verfügung. Das ist sicherlich nicht als Durchbruch zu bezeichnen. Der Vorschlag einer Kategorie-7-Norm geht eindeutig von den geschirmten Kabelherstellern aus den deutschsprachigen Ländern aus und wurde nicht aufgrund eines konkreten Bedarfskriteriums der Anwendungshersteller getrieben. Ich messe diesem Vorstoß keine echten Überlebenschancen am Markt bei, da der weltweite Erfolg dieser Klasse bis heute nicht eingetreten ist, obwohl eine deutsche Vornorm seit vier Jahren vorhanden ist. Kategorie 6 wird bei Neuinstallationen immer mehr Kategorie5- und Kategorie-5e-Lösungen im Markt ablösen, als letzten, vernünftigen und brauchbaren Standard für Kupferkabel. Hier sind die Preisunterschiede so gering, dass sich letztlich Kategorie 6 über das günstigere www.lanline.de netzMARKT Preis-Leistungs-Verhältnis am Markt durchsetzen wird. Das zur Zeit weltweit meistverkaufte Verkabelungssystem, Systimax Gigaspeed 1071, ist ein Kategorie-6-Produkt, aus unserem Haus. Die folgenden Hochgeschwindigkeitsanwendungen über 1,2 GBit/s werden sich auf Glasfaser beziehen. LANLINE: Mit dem Kabel alleine lässt sich keine Verkabelung aufbauen – wie sieht es bei den Stecksystemen aus? HANS-ULRICH ROOS: Stecksysteme müssen optimal auf das Kabel abgestimmt sein, um keine Probleme von den Rückflussdämpfungen her zu bekommen. Bei der kommenden Generation von Highspeed-Verkabelungssystemen kann ich nur dringend von Mix-and-Match-Systemen abraten, bei denen Stecker und Kabel von unterschiedlichen Herstellern kommen. Das war schon bei Kategorie 5 teilweise problematisch, bei Kategorie 6 mit Gigabit-EthernetÜbertragungsgeschwindigkeit sollten beide Komponenten aus einer Hand kommen. Nur so kann sich der Benutzer auf umfassende Anwendungsund Funktionsgarantien verlassen. Bei einer Mix-andMatch-Verkabelung könnten hier Verantwortungsprobleme entstehen. LANLINE: Welchen Verkabelungsstandard sollte ein Bauherr heute wählen, wenn es um eine Neuverkabelung geht? HANS-ULRICH ROOS: Ich empfehle aus Gründen des besseren Preis-Leistungs-Verhältnisses ein Kategorie-6Verkabelungssystem, bei dem alle Komponenten aus einer Hand kommen. Der Bauherr sollte sich zudem folgendes vor Augen führen: Die Verka- 18 belung macht heute rund zwei Prozent seiner gesamten Netzinfrastrukturkosten aus. Der finanzielle Vorteil eines Kategorie-5-Systems gegenüber einer Kategorie-6-Verkabelung liegt nur noch im Pfennigbereich. Hier sollte der Sicherheitsaspekt einer Kategorie-6-Lösung im Vordergrund stehen, was die Unterstützung zukünftiger High-speed-Applikationen betrifft... L AN line 12/2000 ”Die Stecksysteme müssen optimal auf das Kabel abgestimmt sein“, verdeutlicht Hans-Ulrich Roos LANLINE: ...warum dann nicht gleich auf “Fiber to the Desk” umschwenken? HANS-ULRICH ROOS: Möglich wäre es sicherlich. Aber hier muss entsprechend des konkreten Anforderungsprofils genau nachgerechnet werden. Die erhöhten Kosten liegen hier weniger auf der Verkabelungsseite, noch sind im Prinzip die aktiven Netzwerkkomponenten für ein Glasfasernetzwerk deutlich teurer. Zum anderen stellt sich die Frage, was mit der Telefonie gemacht werden soll. Will ich Telefon auch über Ethernet betreiben? Dann bräuchte ich einen Konverter etc., etc.. Wenn ich die Telefonie mit einbinden will in meine strukturierte Gebäudeverkabelung, so wie sie auch angedacht ist, dann gilt immer noch: im tertiären Bereich Kupfer, in der Steigzone für die Telefonie Kupfer und für die Datenübertragung Fiber. LANLINE: Wann kommen die neuen Standards für Kupfer 7? HANS-ULRICH ROOS: Kategorie 6 und Kategorie 7 werden im Verlauf des kommenden Jahres verabschiedet. Nach meiner Einschätzung wird es eher der Herbst sein. Zur konkreten Situation: Die IS 11802 Version 2 ist als CD Committee Draft for Enquiry vor kurzem rausgeschickt worden. Im Moment kann man noch in einem Zeitraum von sechs Monaten, die Ende Januar 2001 ablaufen, technische, generelle und “editorielle” Kommentare abgeben. In der nächsten Phase wird es eine deutlich kürzere Abstimmungsphase geben, in der dann überwiegend nur noch “editorielle” Änderungswünsche berücksichtigt werden. Im dritten Quartal des Jahres könnten dann die neuen Kabelstandards in der europäischen Norm EN 150 173, Ausgabe, 2001, und der internationalen Version ISO/IEC 11801, Ausgabe 2001, verabschiedet werden. Beide Dokumente sind komplett neu redigiert worden und technisch völlig kompatibel, sogar zu den TIA/EIA-Ausgaben. Die Inhalte sind zum Teil unterschiedlich, weil man zum Beispiel in Europa an entsprechende EU-Richtlinien gebunden ist. Es wird somit eine europäische und eine internationale Kategorie-6-Kabelnorm geben. Für mich hat Kategorie 6/Klasse E die deutlich besseren Chancen, sich am Markt als der Industriestandard für hausinterne Gebäudeverkabelung für die nächsten zehn Jahre durchzusetzen. Alles, was nach Kategorie 6 an Standards für Hausverkabelung kommt, hat mit Kupfer nichts mehr zu tun. Hier sehe ich auch die physikalischen Grenzen im Wesentlichen ausgereizt. LANLINE: Erwarten Sie noch Änderungen an der Kategorie 6 Norm? HANS-ULRICH ROOS: Nein. LANLINE: Wann kommt der Kategorie-7-Standard? HANS-ULRICH ROOS: Zur gleichen Zeit wie die anderen neuen Kabelstandards, wobei bei Kategorie 7 die Stecksystemnorm noch nicht eindeutig definiert ist. Es gibt zwei Stecksystemvorschläge, die wohl beide auch standardisiert werden. Fraglich ist, welcher der beiden Entwürfe letztlich das Rennen machen wird. Der RJ45-kompatible Steckervorschlag wird wohl eher rausfallen, weil hier die wichtigsten Fragen noch nicht beantwortet sind. Im Prinzip können noch bis Ende des Jahres entsprechende Verbesserungen nachgereicht werden. In der Februar-Sitzung 2001 des ISO/IECJTC1-SC25-WG1-Standardisierungsgremiums in Nizza werden diese Vorschläge dann besprochen und eine definitive Entscheidung getroffen. Ich rechne mit einem Zuschlag für das nicht mit RJ45 kompatible Stecksystem. Offene Frage der Kategorie 7 müssen bis dann auch gelöst sein. LANLINE: Vielen Dank für das Gespräch. (Christian Zillich/rhh) www.lanline.de netzMARKT DURCHBLICK AUF ALLEN EBENEN Panorama einer Netzlandschaft Mit dem Optiview-Integrated-Network-Analyzer bringt Fluke Networks sicher mehr als einfach nur ein neues Produkt. Die Integration von Funktionen wie Datenverkehrsanalyse, RMON2-Probe, Datenpaket-Dekodierung, Fernsteuerung über Web und aktive Fehlererkennung in einem kleinen, portablen Gerät schafft eine neue Spezies integrierter Analyse-Werkzeuge. Das Manko in der heutigen Netzwerkanalyse besteht in drei schwerwiegenden Mängeln: – Ingenieure erhalten zu viele Daten und zu wenig Reaktionen, – fest installierte Lösungen sind nur begrenzt einsetzbar und – der Netzwerkmanager gewinnt mit jeder Lösung nur einen teilweisen Überblick. So beschreibt es Peter Iten, European-Marketing-Manager für den Bereich Network-Test bei Fluke Networks anlässlich der Vorstellung des Optiview-Integrated-Network-Analyzer in München. In den klassischen Netzwerkstrukturen seien die bisherigen ProtokollAnalyzer für die Netzwerkanalyse ausreichend gewesen – die Switch-Technologie hätte den Standard-Protokoll-Analysator jedoch vollkommen ineffizient gemacht. “Es folgte die Einführung von Elementmanagern, 20 L AN line 12/2000 RMON-Probes und anderen Insellösungen. Daraus ergab sich, dass die Benutzer verstärkt mit Produkten konfrontiert wurden, die nicht so leicht zu integrieren waren, nur einen teilweisen Überblick gaben und unter Umständen für weniger erfahrene Kräfte unverständlich wa- ren”, argumentiert Iten. “In vielen Fällen hielten die Benutzer nach teuren, schwer zu implementierenden Netzwerkverwaltungssystemen Ausschau, um die einzelnen Komponenten miteinander zu verbinden. Dies führte jedoch nur in begrenztem Maße zum Erfolg”. Diese Situation sei für Fluke Networks, seit Mai dieses Jahres übrigens eine eigene Division bei Fluke, Anlass gewesen, über eine “neue Sicht auf das Netz” nachzudenken. Herausgekommen ist nun ein Gerät, das im Grunde vier bislang meist getrennte Funktionsblöcke in seiner grafischen Oberfläche integriert: Protokollanalyse mit Paketdatenerfassung, Dekodierung und Kontexterkennungsfilter, die Funktionen üblicher Handgeräte mit Netzwerkstatistik, Fehlererkennung und Kabeltests, der PC als Networking Tool mit Telnet, Terminal-Emulation, MIB-Browser und Web- Vielseitige Sicht aus einem einzigen Gerät: Der Optiview-Analyzer versteht sich als erster Vertreter einer neuen Spezies integrierter Analysewerkzeuge Browser sowie die Datenzentrale des Netzwerkmanagement-Systems mit RMON/RMON II (Auslastung, Kollisionen, IP-Adressen, Protokoll-Infos etc.) und Web-Fernsteuerung. “Optiviews Integration von aktiven, passiven und bis auf Bit-Ebene reichenden Analysefunktionen gibt einen Überblick, der mit einem herkömmlichen Protokollanalysator nicht erzielbar ist”, so Matthew Hebb, ehemaliger Vice President und General Manager der Sniffer Business Unit bei Network General (heute Vice President für Forschung und Entwicklung bei Concur Technologies). Der Optiview-Analyzer ist eine integrierte Lösung, die verschiedenste Datenquellen wie etwa SNMPAgenten, RMON2-Probes, Web-Schnittstellen und Telnet anzapft beziehungsweise nutzt. Der sich öffnende Blick auf das Netzwerk hat es in sich: Protokollanalyse auf allen sieben Schichten des ISO-Modells, die aktive Fehlererkennung, SNMPGeräteanalyse, RMON2-Datenverkehrsanalyse und eine Analyse auf physikalischer Ebene. Sofort nach dem Einschalten sammelt Optiview Daten aus einer Vielzahl von internen und externen Quellen und zeigt die Ergebnisse der Netzwerktests gleichzeitig auf dem Display. Dieses Display ist ein berührungssensitiver Farbbildschirm mit grafischer Benutzeroberfläche. Dieselbe Benutzerschnittstelle soll sich laut Fluke auch präsentieren, wenn man mit Hilfe eines StandardWeb-Browsers von einem www.lanline.de netzMARKT PC aus auf den Optiview zugreift. Die Echtzeitüberwachung und Fehleranalyse über einen PC sollen die Anschaffung des Optiview besonders rentabel machen: Bis zu sieben Benutzer können so gleichzeitig mit einem einzigen Gerät arbeiten. Das Optiview ist für den mobilen Einsatz konzipiert – über eine stationäre Version für den 19-Zoll-Schrank denkt man derzeit bei Fluke noch nach. “Fest installierte Lösungen sind für bestimmte Situationen zwar ideal, ihre Implementierung ist an bestimmten Standorten allerdings oftmals zu teuer, es sei denn, wir sprechen von wichtigen Hochgeschwindigkeitsverbindungen wie den Backbones”, so Mark Mullins, Private-NetworksMarketing-Manager bei Fluke Networks. “Oftmals benötigen die Netzwerktechniker allerdings die visuelle Darstellung wie sie RMONProbes beziehungsweise Analyzer an anderen Standorten innerhalb des Netzwerks liefern.” NETWORK INSPECTOR FÜR DOKUMENTIERUNG Inte- griert im Optiview ist der Fluke Network Inspector. Er ist für die Dokumentierung des gesamten Netzwerks mit Fehleranalysen und zeitlichen Darstellungen verantwortlich. Der Network Inspector ermittelt Daten aus SNMP/RMON-Devices (einschließlich dem Optiview selbst) zur Trendanalyse. Bei ernsten Problem im Netz kann sich der Anwender des Optiview durch die Benachrichtigungsfunktion des Network Inspectors auto- 22 L AN line 12/2000 Internationalisierung erweitert Radware positioniert sich neu kennung, 7-Layer-Statistik und Netzwerk-Fehleranalyse mit SNMP kostet 16.900 Euro, Optiview Pro mit intelligenten Programmfiltern, Protokollerfassung und -dekodierung, RMON2 und 100Base-FX-Schnittstelle ist für 20.300 Euro zu haben und Optiview Pro Gigabit mit denselben Funktionen wie die Standard- und ProAusführungen aber zusätzlich mit einer EinzelportGigabit-Ethernet-Schnittstelle (GBIC) – bislang übrigens ausschließlich mit Glasfaseranschluss, Kupfer soll im ersten Quartal 2001 folgen – geht für 31.100 Euro über den Ladentisch. (Stefan Mutschler) Mit Matthias Frey als CAPIPromoter will die CAPI-Association ihre internationale Präsenz ausbauen. Ziel ist es, die Common-ISDN-API (CAPI) außerhalb Deutschlands als Schnittstellenstandard für die Entwicklung leistungsfähiger ISDN-Applikationen stärker zu etablieren. In den “traditionellen” ISDN-Ländern Westeuropas hat sich die CAPI schon lange als Standard zur Programmierung “ISDN-fähiger” Anwendungen etabliert. Derzeit gibt es kaum eine Anwendung für ISDN, die nicht auf CAPI basiert. Mit dem steigenden internationalen Interesse an ISDN möchte die CAPI-Association nun CAPI als Schlüssel-Technologie sowohl für Kommunikationstechnik-Anbieter als auch für Hersteller von Anwendungs-Software und Systemintegratoren der wachsenden ISDN-Industrie bekannt machen. Um dieses Ziel zu erreichen, wird die CAPI-Association nun mit Matthias Frey durch einen erfahrenen Telekommunikationsexperten unterstützt. In einem ersten Schritt ist eine Recherche von Märkten geplant, die gerade neue Netze aufbauen (Fernost, Südamerika, etc.) und den Einsatz von ISDN planen – womit die Grundlage für den Einsatz von CAPI geschaffen ist. Der nächste Schritt ist die Kontaktaufnahme mit Unternehmen, Institutionen und Organisationen in diesen Ländern, denen die Vorteile der CAPI-Schnittstelle als Mittel zur Markterschließung näher gebracht werden sollen. (sm) Der israelische Anbieter von Intelligent-Traffic-Management-(ITM-)Lösungen Radware sah Anlass für eine Kurskorrektur, verbunden mit einer Image-Politur. “Unglaublich vielfältige Ressourcen sind nur einen Mausklick entfernt und fordern täglich die Loyalität der Online-Kunden für das Internet-Geschäft. Die Beziehung zwischen Service-Providern und ihren Kunden sind ein wichtiger Schlüssel zum Erfolg in der vernetzten Welt”, so Christian Sauer, General Manager bei Radware in Deutschland. “Unsere Kunden müssen sich trotz Netzwerkunsicherheiten durch Ausfälle, Engpässe und Sicherheitslücken auf dem Markt behaupten. Für sie ist wichtig, dass der Endkunde bekommt was er will – zur rechten Zeit, in kürzester Zeit, zu jeder Zeit.” Vor diesem Hintergrund hat sich Radware nun zur Aufgabe gemacht, seine Kunden zu unterstützen, IP-Services besser, schneller und zuverlässiger als bisher zu liefern. Dazu will Radware Service-Providern und Unternehmen die nötigen Werkzeuge in die Hand geben. Erstes Produkt dafür ist der neue Application-Switch, der auf Hochverfügbarkeit, Fehlertoleranz und Redundanz zur Optimierung von IP-Traffic getrimmt sein soll. Im Zuge der Weiterentwicklung des Unternehmens präsentiert sich Radware auch optisch in einem neuen Outfit. (sm) Info: Fluke Deutschland Tel.: 0561/9594-0 www.flukenetworks.com Info: CAPI-Association e.V. Tel.: 089/32151-863 Web: www.capi.org Info: Radware Tel.: 089/93086-230 Web: www.radware.de matisch eine E-Mail zusenden lassen. In Verbindung mit Microsoft Visio soll der Network Inspector außerdem das komplette Netzsegment grafisch darstellen. Fluke bietet Optiview in drei Ausführungen an: Das Optiview-Standardmodell mit automatischer Fehlerer- Peter Iten, European Marketing Manager bei Fluke Networks: ”Die Switch-Technologie erfordert neue Analyse-Tools.” www.lanline.de netzMARKT NEUAUSRICHTUNG BEI ATI IP als das Maß aller Dinge Eine Änderung seiner Strategie hat sich der Transceiver- und Medienkonverter-Spezialist Allied Telesyn (ATI) verschrieben: Das Unternehmen will Bild 2. An der Schnittstelle zwischen “LAN und Sonet/SDH” reduziert ein Flaschenhals die Übertragungsbandbreite sich als “Network Systems Company” positionieren und dadurch sowohl im IP-Bereich als auch im Breitband-Telekommunikationsmarkt eine Rolle spielen. Dabei kommen mit DSLAMs und die DTM Leitungs- und Paketvermittlungs-Technologien der nächsten Generation zum Einsatz, um die zentralen Glasfaser-Übertragungsstrecken der Service-Provider-Netze mit Firmen-LANs und Breitbandnetzen für den privaten Bereich zu koppeln. Simply connecting the IP World – so lautet die Devise hinter der Neuorientierung als “IP-Company” von Allied Telesyn. Diese Marschrichtung erläuterte der President und CEO von Allied Telesyn, Dr. Francesco Stramezzi, auf einer Pressekonferenz in München. “Wir machen zwar immer noch zirka 30 Prozent unseres Umsatzes mit Transceivern und Medienkonvertern, doch der Bereich Switches legt massiv zu. Allein in Europa” – so zitiert Stramezzi das Marktforschungsunternehmens Dell Oro – “handelt es sich dabei in diesem Jahr um ein Gesamtvolumen bei den Layer-3-Switches von 1400 Millionen Dollar.” Große Chancen sieht Stramezzi bei den Lösungen für 24 L AN line 12/2000 Breitband-Netzzugänge. Hier habe bei Allied Telesyn bereits die Auslieferung der auf Ethernet basierenden Lösungen begonnen. Das Kon- zept des Unternehmens nutzt mit Ethernet und IP die beiden dominierenden Netzwerktechnologien und kombiniert diese mit Switching-, Routing- und Medienkonverter-Produkten. Damit lassen sich hochwertige IPDienste auf Service-Provider-, Metropolitan- und Regionalnetzwerken einrichten. Die Schlüsselrolle der Neuorientierung spielen dabei die Layer-3-Switches der Rapier-Familie und die DSLAM- und DTM-Switching-Lösungen zur Zu- Bild 1. Den Bereich der Metropolitan Area Networks kennzeichnet ein explosionsartig steigender Bandbreitenbedarf (Quelle: RHK Oktober 1999) sammenfassung von Breitbanddiensten und zur Integration in traditionelle Sonet/SDH-Netzwerke. Die von Allied Telesyn favorisierten Breitbandlösungen basieren auf der xDSLund DTM-Leitungsvermittlungs-Technologie und lassen den Aufbau echtzeitfähiger Netzwerke zu, da ein Pufferungsprinzip – wie es beispielsweise bei ATM notwendig ist – entfällt. Weil der Anwender die benötigte Bandbreite selbst festlegen kann und er deshalb nicht an die vorgegebene Priorität eines Pakets gebunden ist, ergibt sich ein weiterer Vorteil von DTM. Als Resultat verspricht der Chief Technology Officer von Allied Telesyn, Dick Wilson, einen höheren Durchsatz für den heutigen Breitbandbereich, in dem 80 Prozent der Applikationen höchste Priorität verlangen. Außerdem hat die xDSL-Lösung den Vorteil, nicht unbedingt auf ein ATM-Netz angewiesen zu sein. “Die Konvergenz beider Segmente des Telekommunikationsmarkts, nämlich Sprach- und Datenübertragung, wird durch den förm- www.lanline.de netzMARKT lich explodierenden Bandbreitenbedarf von Großunternehmen, Klein- und Mittelbetrieben sowie priva- Die Ethernet-Switches für Layer 2 und 3 sowie die modularen Router von Allied Telesyn fassen bei- Bild 3. Dick Wilson, der CTO von Allied Telsyn: “der Einsatz von xDSL und DTM führt zu einem höheren Durchsatz für den heutigen Breitbandbereich, in dem mittlerweile bereits 80 Prozent der Applikationen die höchste Priorität verlangen.” ten Anwendern vorangetrieben”, meint Andreas Beierer, der bei Allied Telesyn als Marketingdirektor für Zentral- und Osteuropa verantwortlich zeichnet. Generell teilt Dick Wilson heutige Netzwerklösungen in drei Kommunikationsebenen auf: – Die Zugangsebene umfasst Netzwerkkomponenten, die den Desktop mit einem Verteilerknoten verbinden. Die Lösungen für diesen Bereich beinhalten eine Reihe von Netzwerkadaptern und Medienkonvertern einschließlich DSL-Konverter, Hubs und Layer-2-Switches sowie einfache Access-Router für ISDN oder “Leased Line”. – Der Verteilerbereich gewährleistet die Verbindung mit dem WAN durch Verknüpfung der Netzwerkelemente für den direkten Zugriff – eine Art virtueller Speicher für alle Kommunikationsdienste. 26 L AN line 12/2000 spielsweise die vielen dezentralen Datenkanäle (-Leitungen) zu einem gemeinsamen Backbone zusammen. – Die Transportebene verbindet Netzwerkknoten, entlastet die Verteiler und vervollständigt die Verbindung. Die Hauptaufgabe lautet hier: eine effiziente Handhabung der Datenübertragung. Der Datenstrom muss an bestimmten Punkten für den Transport aufgeteilt werden können. Dieser Bereich wird meist mit einer Ringtopologie wie Sonet implementiert. Die Technologien DTM (Dynamic Synchronous Transfer Mode) und WDM (Wave Division Multiplexing), ergänzt durch Konverter für WAN-Verbindungen, unterstützen dieses zentrale Netzwerk. Das Netzwerk kann Entfernungen innerhalb einer Stadt in einem Metropolitan Area Network (MAN) abdecken. Mehrere ringförmige Transportebenen, die miteinander verknüpft werden, können den Transport landes- oder weltweit ausdehnen. Mit der Vorstellung seiner Rapier-Familie meistert Allied Telesyn den Einstieg in den Markt für leistungsfähige Layer-3-StandaloneSwitches. Bestückt mit ASIC-Technologie, nutzt diese Familie von FastEthernet-Layer-3-Switches auch das Know-how von Allied Telesyn auf dem RouterSektor zur Realisierung einer blockierungsfreien und mit Wire-Speed arbeitenden IPSwitching-Lösung. Diese verfügt über optionale Gigabit-Uplinks und direkte WAN-Anbindungen und wird mit einem Einstiegspreis von 6000 Mark zu einem regelrechten Kampfpreis angeboten. Zu den Funktionen des “Rapier 24” gehört beispielsweise neben einer Ausstattung mit 24 10/100Base-TX-Ports und zwei frontseitigen Einschubmöglichkeiten für optionale Gigabit-Ethernet-Uplinks eine Management-Datenverkehrs-Priorisierung gemäß 802.1p, 802.1Q-VLAN-Tagging und IP-RIP/OSPF-Routing. Alle diese Funktionen stehen in einem blockierungsfreien Switch zur Verfügung. Moderne Routing-Protokolle wie IPX, Appletalk, IGMP/ DVMRP, PIM und RSVP sind optional verfügbar. Zu den künftigen für die Einführung im ersten Quartal 2001 vorgesehenen Modellen werden reine GigabitEthernet-Switches für Kupfer und Glasfaser gehören. Sämtliche Modelle werden auch für eine Versorgungsspannung von -48 V DC angeboten werden, um für die Bild 4. Dr. Francesco Stramezzi, President und CEO von Allied Telesyn: “Simply connecting the IP World – so lautet unsere Devise für die Neuorientierung als IP-Company.” Andreas Beierer ist überzeugt, dass Allied Telesyn damit dem “Massenmarkt” den Zugang zum bislang eher “elitären” Layer-3Switching ebnet. gemeinsamen Einrichtungen von Telefongesellschaften und Internet Service-Providern (ISP) gerüstet zu sein. (Rainer Huttenloher) www.lanline.de netzMARKT SIEMENS ICN: STÄRKER RICHTUNG IP Mit neuer Strategie zur Dominanz Der Siemens-Bereich Information Communication Networks (ICN) legt in Sachen IP-Kommunikation noch einmal einen Zahn zu. Ein neues Strategieprogramm soll unter anderem das Portfolio stärken – wo nötig aber auch bereinigen. Die “ICN4P” genannte Strategie sieht vor, in zwei Schwerpunktgebieten – Internet-basierte Konvergenzlösungen sowie Breitbandzugangstechnologien – mit gezielten Verstärkungen die führende Rolle im Weltmarkt zu erobern. Die Ablösung von klassischen Telefonielösungen durch IP-basierte Systeme – bei Siemens etwa durch den Übergang von EWSD-Anlagen hin zu “Surpass” (Netzbetreiber) beziehungsweise von Hicom-Anlagen hin zu “Highpath” (Unternehmensnetze) repräsentiert – soll offenbar noch schneller vorangetrieben werden als bisher. Roland Koch, Vorsitzender des Bereichsvorstands von ICN, betont: “Der Ausbau unserer IP-Geschäfte ist ein wesentlicher Faktor für den Erfolg der Mobile Business-Strategie des Konzerns.” Nach seinen Worten hätten IPGeschäfte im gerade zu Ende gehenden ICN-Geschäftsjahr bereits rund 20 Prozent des Umsatzes ausgemacht, im kommenden Geschäftsjahr sollen es schon über 30 Prozent werden. Um seine Position im IPMarkt auszubauen, will ICN sein Produkt- und Lösungsportfolio künftig stärker fokussieren. Außerdem will sich 30 L AN line 12/2000 ICN verstärkt in drei Wachstumsgebieten engagieren: das Geschäft mit Internet-Routern “Der Ausbau unserer IP-Geschäfte ist ein wesentlicher Faktor für den Erfolg der Mobile-BusinessStrategie des Konzerns.” Roland Koch, Vorsitzender des Bereichsvorstands von ICN (bei Unisphere Networks), die optischen Transportnetze sowie das Integrations- und Lösungsgeschäft mit Netzbetreiber- und Enterprise-Kunden. Neben eigenen Anstrengungen sollen dabei nach den Worten Kochs verstärkt auch Akquisitionen eine wichtige Rolle spielen. Letzteres hebt die in den USA ansässige SiemensTochter Unisphere Networks in eine Schlüsselposition: Sie soll Siemens nämlich die Möglichkeit eröffnen, Aktien als Akquisitionswährung zu nutzen. Vor kurzem hatte Unisphere als eines der ersten Beispiele dafür seine Absicht kund getan, das US-Unternehmen Broadsoft zu übernehmen. Unisphere arbeitet neben der klassischen Router-Technik auch an “Soft-Switch”-Produkten, die künftig einen wesentlichen Teil künftiger IPNetze ausmachen sollen. “Damit ist Unisphere ein wichtiger Teil unseres Schwerpunktgebiets der Internet-basierten Konvergenzlösungen”, so Koch. All diese Maßnahmen sind laut Koch Teil eines umfassenden ICN-Strategieprogramms zur Stärkung des Portfolios und zur Steigerung der Profitabilität. “ICN4P” stehe für “Portfolio + Personal + Prozesse = Profitabilität” – eine Formel, die nicht zuletzt die Mitarbeiter als wesentliche Erfolgsgaranten fördern, die internen und externen Geschäftsprozesse optimieren und damit die Profitabilität des umsatzstärksten Siemens-Bereichs weiter steigern soll. “Das Programm wird mit sofortiger Wirkung unsere strategische Ausrichtung bestimmen und – ähnlich wie das Zehn-Punkte-Programm des Gesamtkonzerns – straff geführt und konsequent in seiner Wirkung verfolgt”, betont Koch. Erste Maßnahmen der Portfoliofokussierung seien bereits eingeleitet, zum Beispiel die Integration der Aktivitäten des bisherigen Geschäftsgebiets “Information and Broadband” in bestehende Abteilungen sowie die Neupositionierung von ATM-Produkten. So wurde die Entwicklung eigenständiger großer ATM-Switches eingestellt – diese gibt es inzwischen nur noch im Rahmen des SurpassProgramms. Bei den mittleren ATM-Switches besteht übrigens nach wie vor die Kooperation mit Newbridge. Außerdem wurden zum Oktober dieses Jahres alle ICN-Aktivitäten im Bereich Breitbandzugang im neugegründeten Geschäftsgebiet “Access Solutions” gebündelt. Hier will man in den nächsten drei Jahren einen Platz unter den drei weltweit führenden Unternehmen einnehmen. Im Rahmen des ICN4P-Programms beteiligt sich Siemens auch am US-Unternehmen Quintus Corporation. Dieses zählt nach Einschätzung von Siemens zu den marktführenden Anbietern von ContactCenter-Software für elektronisches Customer-Relationship Management (eCRM). Siemens investiert hier 72 Millionen Dollar und erhält dafür rund acht Millionen Aktien von Quintus. Siemens wird damit voraussichtlich 19,9 Prozent der Anteile von Quintus halten und außerdem einen Sitz im Board of Directors einnehmen. “Mit diesem Aktionsprogramm wollen wir unseren Erfolgskurs beschleunigen und weiterhin ein überproportionales Wachstum bei Marktanteilen und Ertrag sicherstellen”, so Koch. (Stefan Mutschler) Info: Siemens Tel.: 089/722-0 Web: www.siemens.com/ic/networks www.lanline.de netzMARKT Tedas und Valuesoft Das bis dato zur ProdactaGruppe gehörende Unternehmen Valuesoft geht in den Besitz von Tedas über. Laut einer entsprechenden Vereinbarung übernimmt Tedas rückwirkend zum 01. Juli 2000 sämtliche Anteile an der Valuesoft GmbH. Tedas sieht in dem damit vollzogenen Einstieg in den Router-Markt einen Schritt von großer strategischer Bedeutung, speziell was die internationale Position im Bereich IP-Telefonie-Lösungen betrifft. Komplexere IP-Telefonie-Installationen seien künftig sowohl im Unternehmens- als auch im Internet-Service-Provider-Markt praktisch nur mehr mit entsprechend intelligenten Routern zu verwirklichen. Valuesoft, deren Geschichte auf die 1978 gegründete Hösch-Tochter Mps-Software zurückgeht, bringt hier aus ihrem Geschäft mit Kommunikationslösungen für ISDN- und IP-Netzwerke sowohl Hardware- als auch Software-Know-how mit. Aufbauend auf den ISDN- und DSLRoutern der Gateland-Serie von Valuesoft will Tedas gemeinsam mit den Valuesoft-Ingenieuren Konzepte und neue Produkte entwickeln, die sich vor allem durch ein besonders gutes Preis-Leistungs-Verhältnis auszeichnen sollen. Durch die Akquisition sieht sich Tedas im Stande, künftig sehr schnell leistungsstarke Produkte zu entwickeln. Zudem entstünden zusätzliche Kapazitäten im Bereich Pre-Sales und Support, welche die Marktposition von Tedas noch einmal stärken sollen. Die 30 Mitarbeiter von Valuesoft bilden nach den Plänen ihres neuen www.lanline.de Arbeitgebers in ihren Räumen in Kirchheim bei München künftig den fünften Standort der Firma Tedas – nach Marburg, Landsberg, San José und Dortmund. (sm) Info: Tedas Tel.: Freecall 0800/4020303 Web: www.tedas.com Initiative für drahtlosen Internet-Zugang BT Cellnet, Dell, France Telecom, Fujitsu Siemens Computers, HP, Intel, Motorola, Siemens Mobile, Sonera und Toshiba haben die Gründung der Mobile Data Initiative Next Generation (MDI-ng) bekannt gegeben, um in Zukunft den drahtlosen Zugang zum Internet/Intranet so einfach und alltäglich wie über das Festnetz zu ermöglichen. Die MDI-ng will die bestehenden technischen und wirtschaftlichen Hindernisse benennen und überwinden, die derzeit den drahtlosen Zugriff auf das Internet beschränken. Die Initiative soll vor allem die “Verständigung” (Interoperabilität) zwischen verschiedenen Geräten fördern sowie die Kompatibilität von Lösungen, die Skalierbarkeit von Applikationen zwischen Geräten, die Sicherheit, Zuverlässigkeit und Benutzerfreundlichkeit vorantreiben. Außerdem beschäftigt sich MDI-ng mit dem drahtlosen Zugang über verschiedene tragbare Geräte auf drahtlose Telefonsysteme; ein weiterer Schwerpunkt liegt auf komplementären drahtlosen Technologien wie Bluetooth und Wireless LAN. Ziel ist die schnelle Entwicklung drahtloser Internet-Lösungen für professionelle und private Nutzer. Die neue Initiative findet auch Unter- L AN line 12/2000 31 netzMARKT PERSONALKARUSSELL stützung durch die GSM Association, die die Interaktion zwischen Anbietern, Applikationsentwicklern und Betreibern als wichtigen Bestandteil für die Bereitstellung des mobilen Informationszeitalters sieht, ausgehend von GSM-basierenden Diensten. Technologisch will sich die MDI-ngInitiative auf Packet Switched Wireless Networks konzentrieren, also auf die Übertragung von Daten in Paketen und nicht über Sprachkanäle. Dies ist für GPRS (General Packet Radio Service) sowie die so genannten 3G-Technologien relevant, die GPRS in Europa nachfolgen sollen. Derzeit sind im International Telecommunication Standard 2000 (IMT2000) durch die ITU (International Telecommunications Union) eine Reihe von 3GStandards definiert, zum Beispiel UMTS (Universal Mobile Telecommunications System), die Kombination aus WCDMA (Wide-band CodeDivision Multiple Access) und TD-CDMA (Time-Division Code-Division Multiple Access), EDGE (Enhanced Data GSM Environment) und CDMA2000, die alle Paketüber- DR. KURT KINZIUS, bis Ende Juli 2000 Mitglied des Vorstandes der MANNESMANN A G, hat den Vorstandsvorsitz des Application Service Providers EINSTEINET in München übernommen. Nach dem weitgehenden Abschluss des Integrationsprozesses zwischen MANNESMANN und VODAFONE reizt den 43-Jährigen eine neue Herausforderung. Als Vorsitzender des Vorstandes der EINSTEINET AG will er im jungen Zukunftsmarkt für Application Service Providing in Deutschland und Europa ein neues Unternehmen aufbauen. (sm) Mit sofortiger Wirkung ist GUY M. CAMPBELL zum Chief Executive Officer des Telekommunikationsunternehmens ANDREW CORPORATION ernannt worden. Er folgt FLOYD ENGLISH nach, der inzwischen Chairman of the Board ist. CAMPBELL trat dem Unternehmen im Februar 1999 bei – bereits ein Jahr später war er President. (sm) KARL-HEINZ WARUM, bisher Managing Director Central Europe bei CITRIX SYSTEMS, wurde mit sofortiger Wirkung zum Geschäftsführer des Unternehmens ernannt. WARUM übernimmt die Position des Geschäftsführers von MICHAEL WENDL, der weiterhin als Vice President für die Vertriebsregion EMEA (Europe, Middle East, Africa) zuständig ist. CITRIX SYSTEMS mit Hauptsitz in Fort Lauderdale, Florida (USA), ist ein Anbieter von Application-Server-Software und Basis-Technologien für Application Service Provider (ASP). (sm) WERNER SITTINGER hat bei der DÄTWYLER KABEL+ SYSTEME die Position des Produktmanagers für Verkabelungssys- teme in LWL- und Kupfertechnik übernommen. Als Delegierter in den europäischen und internationalen Normgremien Cenelec und ISO/IEC gilt er als Kenner des Markts und Experte für die Verkabelungsstandardisierung. In seiner neuen Funktion will er auch bei der Entwicklung von Anschlusstechnik mitwirken. (sm) 32 L AN line 12/2000 tragung mit höheren Bandbreiten bieten. Die MDI-ng will die Arbeit der Mobile Data Initiative (MDI) fortsetzen und erweitern, die 1996 von Intel, Ericsson, IBM, Toshiba, Nokia und weiteren Unternehmen gegründet wurde. MDI beschäftigte sich primär mit dem mobilen Computing unter Verwendung drahtloser Telefonsysteme, allerdings beschränkt auf GSM-900- und 1800MHz-Technologien sowie das amerikanische PCS 1900 MHz. (sm) Info: Intel Tel.: 089/99143-0 Web: www.intel.com Switching: Compaq kooperiert Ericsson und die Compaq Computer Corporation wollen gemeinsam Switching-Systeme für das Ericsson AXE-basierte Wireless- und WirelineNetzwerk entwickeln und produzieren. So sollen die neuen Verteilerknoten für Telefonnetzwerke künftig aus einem Compaq Alphaserver mit Tru64-Unix-Technologie bestehen. Durch die Verwendung dieser standardbasierenden, skalierbaren Technologie in seinen zukünftigen AXE-Netzwerk-Switches will Ericsson rasch auf die Bedürfnisse des Markts reagieren und die Kapazitäten Hand in Hand mit der Nachfrage steigern können. “Dieses Abkommen stellt einen wichtigen Meilenstein in der Entwicklung unserer Zusammenarbeit dar. Ericsson und Compaq treffen sich am Schnittpunkt der zwei wichtigsten Trends in der Telekommunikation: dem Wachstum standardbasierender Technologie und der starken Nachfrage bei der Mobilkommunikation”, so Bill Heil, Vice President und General Manager bei der Compaq-Business-Critical-ServerGroup: Das neue Vertragswerk, welches zunächst auf vier Jahre angelegt ist, ergänzt eine bereits bestehende Zusammenarbeit zwischen den beiden Unternehmen. Wichtigstes Element auf Seiten der Ericsson-Switches ist deren Konformität mit der CompactPCI-Architektur (cPCI) von Compaq. Die cPCI-Plattformen von Compaq basieren auf Alpha-Technologie und sind als integrierte Systeme, komplett mit Sekundärspeicher und kommunikationsspezifischen Komponenten, erhältlich. Die Compaq cPCI-Produkte werden weltweit durch Compaq Services supportet. (sm) Info: Compaq Computer Tel.: 0180/3221221 Web: www.compaq.de Amdahl positioniert Mainframes neu Die Amdahl Corporation positioniert sich neu im ServerMarkt: Entsprechend einer neuen Strategie setzt das Unternehmen künftig verstärkt auf Open-Systems-Server. Der Grund dafür: Auch Amdahl musste nun eingestehen, dass Unternehmen schon seit einigen Jahren immer mehr in offene Systemplattformen wie Unix und Windows NT investieren – besonders wenn es um E-Business- und Internet-Anwendungen geht – während der S/390-Markt seit Jahren rückläufig ist. Amdahl ist nun zum Handeln entschlossen. Zwar sollen die derzeitigen auf 31Bit-Architektur basierenden www.lanline.de PERSONALKARUSSELL netzMARKT Ab sofort übernimmt DIRK SCHUMA die Position des Geschäftsführers bei dem Anbieter für CD- und DVD-Technologien SMART STORAGE in Köln. Der 32-Jährige ist für die Erschließung neuer Märkte und Kanäle sowie für das Wachstum der europäischen Büros verantworlich. Außerdem soll er die Marktposition in Europa mit neuen, technologisch hoch entwickelten Produkten ausbauen und fördern. Den Schwerpunkt seines neuen Tätigkeitsbereichs sieht SCHUMA in der Kooperationen mit etablierten Systemhäusern und Software-Herstellern. (sm) JÜRGEN PFITZNER ist neuer Managing Director und European Executive Vice President, Sales and Marketing, von RAPID LINK COMMUNICATIONS. In dieser Funktion zeichnet er für die europäische Business-to-Business-Strategie, einem wichtigen Teil der neuen weltweiten Geschäftsstrategie von RAPID LINK, verantwortlich. PFITZNER leitet von der europäischen Zentrale in Deutschland aus die gesamten Marketing- und Vertriebsaktivitäten in Deutschland und der Tschechischen Republik. Darüber hinaus will der TK-Spezialist die RAPID-LINK-Niederlassungen in weiteren EU-Staaten aufbauen. (sm) IAN WHITING, ehemaliger Director der COMPAQ STORAGE PRODUCTS DIVISION, ist ab sofort neuer Vice President Sales für Europa, den Mittleren Osten und Afrika bei DICA TECHNOLOGIES. Der multinationale Spezialist für Internet-Sicherheit setzt ihn am Firmenhauptsitz in Berlin ein. WHITING kommt im Zuge des geplanten IPO (Initial Public Offering) zu DICA. Im August diesen Jahres fusionierte DICA mit EQUIINET, einem britischen Hersteller von Internet-Server-Appliances. (sm) S/390-Server-Familien Millennium 2000A, 2000C und 2000E sowie die Baureihe Omniflex bis 31. März 2002 weiter produziert und vertrieben werden, die Entwicklung neuer S/390-Systeme mit 64-Bit-Architektur ist jedoch von der Planung gestrichen. Stattdessen besinnt man sich auf sein UnixKnow-how, das über die letzten 20 Jahre hinweg im eigenen Hause aufgebaut wurde. Die Unix-Kompetenz von Amdahl gründet sich auch auf der 1993 begonnenen Diversifizierung: Seitdem vertreibt die hundertprozentige Fujitsu-Tochter große Unix-Server von Sun Microsystems. Die Herausfor- 34 L AN line 12/2000 derung hier: Übertragung des Verfügbarkeits- und Zuverlässigkeitsniveaus von Mainframes in die Open-SystemsWelt. “Der Markt hat sich verändert”, so Stefan Maierhofer, Leiter der Technology Division bei Amdahl Central Europe. “Unternehmen entwickeln kaum noch proprietäre Anwendungen. Heute prägen heterogene, Web-basierte Umgebungen die IT-Systemlandschaft der Unternehmen. Open-Systems-Server müssen für unternehmenskritische Anwendungen den Zuverlässigkeitsgrad von Mainframes erreichen – denn es ist absolut notwendig, dass Anwendungen von Dritt- anbietern und E-Business-Applikationen einwandfrei und rund um die Uhr funktionieren. (sm) Info: Amdahl Deutschland Tel.: 089/49058-0Web: www.amdahl.de Über Nacht zum globalen ISP Der globale Internet-Roaming-Service-Provider Gric hat nun auch in Deutschland eine Niederlassung eröffnet. Durch die Produkte und Dienste von Gric öffnet sich im Prinzip für jeden ISP die Chance, sofort zum weltweiten Anbieter von Internet-Services zu werden. Über die Mitgliedschaft im “Gric-Alliance-Network”, in dem zur Zeit rund 400 Service-Provider aus 160 Ländern vereint sind (zum Beispiel Belgacom, Cable & Wireless, CIX, Germany Net, Mediaways, Nacamar, Teledanmark, Telekom Austria, Deutsche Telekom mit T-Interconnect und World Online), kann er seiner Kundschaft überall, wo mindestens eines der Mitglieder der Allianz einen Einwahlpunkt unterhält, Wählverbindungen zum Ortstarif anbieten. Mit jedem neuen Mitglied steigt also die Attraktivität. Gric hat für dieses System des gegenseitigen Nutzens zum einen eine AbrechnungsSoftware entwickelt, die es jedem Allianz-Mitglied erlaubt, die Inanspruchnahme seiner Infrastruktur durch ein anderes Mitglied diesem in Rechnung zu stellen, zum anderen bietet Gric mit seiner Convergent Services Platform (CSP) eine einheitliche ManagementSoftware, über die jeder Provider sein Internet-Dienstportfolio einrichtet und verwaltet. Zu den Internet-Services, die Gric zur Zeit unterstützt, zählen der weltweite Internet-Fernzugriff sowie VoIP-Dienste wie Phone-to-Phone, PC-to-Phone und Prepaid-VoIP. (sm) Info: Cric Communications Tel.: 08444/91411 Web: www.gric.com Inktomi, Portal, Redback und Sun Die vier Unternehmen aus den Bereichen Internet-Infrastruktur und Internet-Software haben bereits ein Komplettpaket geschnürt, mit dem Anbieter von Breitbanddiensten neue lukrative Dienste wie Videoon-Demand, Live-StreamingMedia und die Vermietung von Software-Applikationen durch einfaches Plug-and-Play einrichten können sollen. Die Lösung erlaubt den Providern, Inhalte teilnehmernah vorzuhalten und zu liefern, die Nutzung der Inhalte zu managen und zu verfolgen, die Teilnehmerkonten zu verwalten und an die Teilnehmer den bereitgestellten Diensten entsprechende Rechnungen automatisch zu verschicken. Das Paket umfasst die Cache- und Inhaltevertriebsprodukte von Inktomi sowie die Plattform für Teilnehmerverwaltung und Rechnungsstellung von Portal Software, die auf Sun-Servern mit Solaris-Betriebssystem und dem Subscriber Management System (SMS) von Redback laufen. (sm) Info: Inktomi Tel.: +1-650/653-4699 Web: www.inktomi.com Redback Networks Tel.: +44-1189834455 Web: www.redback.com Portal Software Tel.: +1-408/572-2409 Web: www.portal.com Sun Microsystems Tel.: +1-650/786-4705 Web: www.sun.com www.lanline.de netzMARKT EXPONET 2000 IN KÖLN Netzwerktrends im Überblick Wer sich schnell einen Überblick über die aktuellen Netzwerktrends verschaffen möchte, hat mit dem Besuch der Exponet 2000 eine gute Gelegenheit dazu. Sie findet vom 21. bis 23. November statt und diesmal erstmals auf dem Kölner Messegelände. Neben zahlreichen Fachvorträgen findet der Besucher an den Ständen der rund 330 Aussteller insbesondere Informationen zu den Themen Verkabelung, Sprach-/Datenintegration und alles rund um das Modethema E-Commerce. Wer sich über Infrastrukturen für E-Commerce-Anwendungen schlau machen will, findet zum Beispiel in der speziell für dieses Thema ausgewiesenen Halle 3.1 Anbieter von E-Commerce-Lösungen und Internet-Dienstleister sowie zum Beispiel den Content-Management-Anbieter 4Content. Sein Mitbewerber Pansite ist allerdings in Halle 2.2. Twinwave, ein Spezialist für das Outsourcing von Intranet- und Extranet-Dienstleistungen wie beispielsweise VPNs, befindet sich dagegen in Halle 1.2. Das heißt, durchgängig ist das Konzept der Themenhalle nicht. Bei den Herstellern der aktiven Komponenten steht die Konvergenz im Vordergrund. So zeigt Cisco auf seinem Stand in der Lichtharfe in Halle 6 als Messe-Highlight Anwendungen für die AvvidArchitektur zur Sprach-, Daten- und Videointegration. 36 L AN line 12/2000 Auch Wireless-LANs und das Sicherheitskonzept Ciscosafe sollen dort wichtige Themen sein. Neben Cisco stellen auch die Deutsche Telekom (in Halle 5.1), 3Com und Nortel Networks (beide ebenfalls in der Lichtharfe) sowie die Cabletron-Tochter Enterasys und Avaya (beide in Halle 3.2) das Thema Sprach-/Datenintegration und Voice over IP in den Mittelpunkt. Auch Eicon Technology (in Halle 2.2) stürzt sich auf Voice over IP und Mobile Computing. Syskonnect Schneider & Koch zeigt in Halle 5.1 einen schnellen Gigabit-Ethernet-Adapter mit Kupferschnittstelle (RJ45) und Siemens (in Halle 3.2) zeigt mit der Kommunikationsplattform Hipath eine mobile E-Business-Lösung mit passender Sicherheitslösung dazu. Ähnlich wie bei den Anbietern von aktiven Komponenten sind auch die passiven Komponenten über alle Hallen verteilt. Dieser Bereich ist ja der traditionelle Kern der Exponet und damit umfassend vertreten. Die meisten Anbieter zeigen Kupfer- und Glasfaserlösungen für Gigabit Ethernet, viele Hersteller von Kupferkabeln warten mit einem 1200-MHz-Kabel auf sowie mit einer MultimediaHeimverkabelungslösung. Auch Klasse-E-/Kategorie-6Verkabelungen sind im Trend. Kerpen beispielsweise stellt in der Lichtharfe von Halle 6 und 7 aus. Dort findet man auch Corning, Krone und die Schrankhersteller Rittal, Schroff und Quante. Die anderen Schrankhersteller wie Apranorm, APW Electronics (ehemals Vero) und Schäfer sind dagegen in Halle 5.1. Und dort befindet sich auch Diamond mit dem neuen F-7000- Steckverbinder für Glasfasernetze und Huber & Suhner mit seinen Highend-Glasfaserlösungen sowie der Dätwyler-Stand. Alcatel ist in Halle 2.2 und tritt dort erstmals als Nexans Deutschland auf. Der Konzern bündelte seine Unternehmensbereiche, die mit Verkabelung zu tun haben (Energie-, Daten- und Telekommunikationskabel sowie der Drahtbereich), in eine selbstständige AG mit rund 18.500 Mitarbeitern und einem geschätzten Jahresumsatz von 4,6 Milliarden Euro. Zu den Produkt-Highlights von Nexans zählen ein zertifiziertes Klasse-E-Verkabelungssystem sowie der für die Normierung der künftigen Kategorie 7 diskutierte Steckverbinder GG45. Acome zeigt ebenfalls in Halle 2.2 spezielle LWLAußen- und -Bändchenkabel. Und in Halle 3.2 präsentiert sich der Kabelhersteller NK Networks erstmals unter dem neuen Namen Draka Multimedia Cable. In dieser Halle befindet sich auch der Stand von Reichle & DeMassari. Die Messgerätehersteller Fluke (in Halle 3.2) und Microtest (in Halle 2.2) zeigen beide die neue Version ihrer 300-MHz-Kabeltester. TTC und Wavetek Wandel Goltermann (Lichtharfe in Halle 6 und 7) werden sich zur Exponet gemeinsam präsentieren und wahrscheinlich schon offiziell unter dem Namen Acterna. Als Highlight gilt hier der WAN-Analyzer Cycloneframe IP Optimizer für Paket- und IP-Daten in Frame-Relay-, HDLC- und PPP-Netzen. Auch Agilent (in Halle 5.1) und die Distributoren Macrotron und TGSTelonic (beide ebenfalls in Halle 5.1) und Magellan Netzwerke (in Halle 3.2) sind mit einem Stand vertreten. Der nachstehende Messeführer soll die individuelle Planung des Messerundgangs erleichtern. Näheres zum umfangreichen Vortragsprogramm und zu den einzelnen Ausstellern lassen sich der Exponet-Website entnehmen. (Doris Behrendt) Info: DC Congresse + Fachmessen Tel.: 01805/356456 Web: www.exponet.de www.lanline.de netzMARKT Messeführer: Exponet 2000 Firma 3Com GmbH 3M Deutschland GmbH 4Content - The Content Broker AG 4D Deutschland Aba Technology GmbH ABC - WebSiteLease AG Abovenet Deutschland GmbH Acome Acotec GmbH ADA - Das SystemHaus GmbH ADC Telecommunications GmbH Adlon Datenverarbeitung GmbH Adolphs GmbH + Co. KG ADS System AG Agilent Technologies Albert Ackermann GmbH & Co.KG Alcatel Kabel AG & Co. Alcatel SEL AG Algol Deutschland GmbH Allied Telesyn International GmbH Almatec AG Amadee AG Amprobe Test Measurement GmbH AMS Technologies GmbH Apra Norm Elektromechanik GmbH Aprisma Management Technologies APW Electronics GmbH Aqueduct Arosoft Network GmbH Asap-Com GmbH Astra-Marketing GmbH AT&T Global Network Services Autonomy Systems Ltd. Avaya Deutschland GmbH AWI Verlag Aktuelles Wissen Azlan GmbH BATM Advanced Communications GmbH BDG Business Development Group Belden Wire & Cable B.V. Beusen Solutions GmbH Billiton internet services GmbH Bintec Communications AG Bitstone GmbH Bluetail AB Böhm Kabeltechnik GmbH BOV Aktiengesellschaft BPS Netbase AG Brain Force Software GmbH Brain Force System & Software Brainworks Computer GmbH BTR Vertriebs-GmbH Bull GmbH Bürodata GmbH Business 2.0 C.Com AG Career Company GmbH CBL GmbH CCM Consult GmbH Cedion GmbH Ch. Beha GmbH Cimco Werkzeugfabrik Cisco GmbH CMP /WEKA Verlag Halle 6/7 5.1 3.1 8.2 3.1 1.2 3.2 2.2 3.1 5.1 2.2 5.1 3.2 1.2 5.1 6/7 2.2 6/7 2.2 6/7 3.2 8.2 3.2 5.1 5.1 3.2 5.1 3.1 5.1 3.2 1.2 1.2 8.2 3.2 6/7 5.1 3.2 2.2 5.1 3.1 3.2 5.1 8.2 3.1 2.2 1.2 3.1 3.1 1.2 3.1 3.2 6/7 2.2 3.1 2.2 3.1 5.1 2.2 3.1 2.2 2.2 6/7 3.2 Stand Lichtharfe 43 Highway East 71 M 47 D 09 M 25 A 12 Highway East 45 H 07 N 11 Highway West 72 D 09 Highway West 72 Highway East 41 Highway 18 A 05 Lichtharfe 55 Central Highway 28 Lichtharfe 8 E 03 Lichtharfe 27 L 06 Highway 95 L 14 A 06 Highway East 92 Highway West 62 B 04 O 28 A 12 L 14 A Highway West 08 Highway West 16 B 07 Highway West 66 Lichtharfe 53 Highway East 77 Highway East 41 H 12 A 03 M 31 L 05 Highway West 78 B 08 M 07 F 03 A 21 O 13 P 01 Highway West 11 M 37 Highway East 39 Lichtharfe 15 D 07 P 36 Central Highway 40 P 01 B 05 Central Highway 23 N 09 F 03 F 03 Lichtharfe 36 K 03 Firma Coax Partners Deutschland GmbH Cobinet GmbH Com.Point oHG Comco GmbH Comcon AG Communication Ware IT-Services AG Compulan Europe Vertriebs GmbH Computerwoche Verlag Comsys Communication Systems GmbH Concord Communications Europe Connection Technology Systems Inc. Contens Software GmbH Deutschland Conwave GmbH Conzen-Lappcom GmbH CoreMedia AG Corning Cable Systems C-Partner Software GmbH CUseeme Networks Cyberotic Media AG Cycos AG D+S Online AG Dafür GmbH Datacore Software GmbH Dätwyler Kabel+Systeme GmbH Defem System AB Dehn + Söhne GmbH + Co. KG Deltacom Ges.f.Datenkommunikat.mbH DeTe Immobilien Detecon GmbH DeTeWe AG & Co. Deutsche Post E-Commerce Services Deutsche Telekom AG Diamond GmbH Discon, DeTeWe Informationss. GmbH D-Link Deutschland GmbH Draka Multimedia Cable Drykom GmbH E.Bootis gmbh Eckmann Datent.Netzw.Telindus GmbH Eco - Electronic Commerce Forum e.V Ecom Internet Technology GmbH EFB-Elektronik GmbH EFB-Elektronik M. Stechmann GmbH EFB-Elektronik Nord GmbH EFB-Soncom GmbH Eicon Technology EKU Kabel & Systeme GmbH & Co. KG Element 5 AG Enterasys Networks/Cabletron Entrada Kommunikations GmbH Ergotron Deutschland GmbH Erico GmbH ES 2000 Errichter Software GmbH ESN Eurodebit Systems GmbH Eurodis Enatechnik Electron.GmbH Euromicron GmbH Euro-Tools GmbH Evidian GmbH Exfo Electro-Optical-Engineering Exody E-Business Intelligence GmbH Extreme Networks B.V. Fibercore Jena GmbH Halle 2.2 3.1 3.1 8.2 3.1 8.2 5.1 3.1 1.2 2.2 3.1 3.1 8.2 5.1 3.1 6/7 3.2 1.2 3.1 2.2 8.2 5.1 1.2 5.1 3.1 3.2 2.2 5.1 3.1 6/7 1.2 5.1 5.1 6/7 5.1 3.2 2.2 3.1 5.1 8.2 3.1 2.2 2.2 2.2 2.2 2.2 3.2 3.1 3.2 1.2 3.1 2.2 3.1 3.2 3.1 5.1 3.2 3.1 6/7 5.1 8.2 2.2 5.1 Stand E 06 P 06 M 16 A 12 M 17 Highway 87 A 14 N 15 Highway 20 Highway West 03 P 28 P 23 B 07 Highway West 80 M 47 Lichtharfe 16 Highway East 53 A 07 O 35 Highway 30 Highway 93 A 08 A 08 Highway East 79 P 19 L 15 D 04 Highway East 90 P 01 Lichtharfe 5 B 13 Highway East 90 Highway East 82 Lichtharfe 5 Highway West 74 Highway East 47 H 05 O 19 Highway West 68 Highway 104 O 32 Central Highway 31 Central Highway 31 Central Highway 31 Central Highway 31 Central Highway 30 Central Highway 38 N 05 Highway West 62 Highway West 10 O 15 F 03 P 32 L 03 O 35 A 04 L 10 M 04 Lichtharfe 15 A 05 D 13 Central Highway 19 B 09 CMT Communications GmbH 3.2 Highway East 41 Fibercraft Opt. Systemtechnik GmbH 5.1 Highway East 82 38 LANline 12/2000 www.lanline.de netzMARKT Firma Fiberlan GmbH Financial Times Deutschland GmbH Fluke Deutschland GmbH FNT - Facility Network Technology Focon GmbH Fomsys Ges. für Fibertechnik mbH Foundry Networks framfab Gebauer & Griller Kabelwerke GmbH Geneon Media Solutions GmbH Genua mbH GHMT GmbH Gira Giersiepen GmbH & Co. KG GISMO mbH Global Crossing Goc Ges. f. optische Communication Going Public Media AG Gordion Network Consulting GmbH Grau Data Storage AG Guntermann & Drunck GmbH GWJ Elektronik GmbH Hellermann Tyton GmbH Hewlett-Packard GmbH Horizont, Verlagsgr. Dt. Fachverlag Hotel Reservation Service Huber + Suhner GmbH Human-Energy-Consulting AG Hyperion Solutions Deutschland GmbH I.T.M. AG I4 Network Europe I-Bus/Phoenix GmbH I-Center Elektrogroßhandel GmbH & Co ID-Pro AG IIEF GmbH Incas AG Infraserv GmbH & Co. Knapsack KG Insight a Division of Memec GmbH Interest Verlag GmbH Ision Internet AG Isis Multimedia Net GmbH&Co KG ISR Information Products i.G. AG Iweco Werbe GmbH IWT Magazin Verlags GmbH Jungmann GmbH Objekt & Design Kaffee Partner AG Karlsruher Versicherung Kerpen Special GmbH & Co. KG Kess DV-Beratung GmbH KKF.Net AG Knürr AG KPNQwest Germany GmbH Krone GmbH L & M GmbH Lampertz GmbH & Co. KG Landis GmbH Lang & Schwarz Gate GmbH LAN-Technik GmbH Laser 2000 GmbH Leoni AG Level (3) Communications GmbH Lightwave Communications GmbH LLynch Meta Medien GmbH LMC-LAN Management Consulting GmbH Locate in Scotland LSI Logic Storage Systems GmbH Lucent Technologies LWP GmbH www.lanline.de Halle 2.2 3.1 3.2 3.2 3.1 5.1 2.2 3.1 3.2 1.2 2.2 1.2 3.2 2.2 2.2 2.2 3.1 2.2 3.2 1.2 5.1 2.2 6/7 3.1 3.1 5.1 1.2 8.2 1.2 3.1 3.1 2.2 2.2 3.2 2.2 3.1 2.2 1.2 3.2 3.2 3.1 3.1 Stand G 09 O 26 L 16 Highway East 47 M 49 Highway West 80 Central Highway 15 P 01 L 07 A 17 E 08 A 25 L 11 G 07 Central Highway 26 G 07 P 32 Central Highway 23 Highway East 53 A 11 Highway West 80 H 18 Lichtharfe 11 O 05 P 10 Highway West 80 A 19 Highway 98 D 10 P 18 P 04 D 15 Central Highway 23 K 07 G 13 O 30 D 06 A 23 Highway East 46 Highway East 35 P 01 O 28 5.1 3.1 3.1 6/7 6/7 3.2 6/7 3.2 6/7 2.2 6/7 3.2 3.1 2.2 5.1 5.1 3.1 2.2 8.2 2.2 3.1 1.2 6/7 3.1 Highway West 68 M 03 P 30 Lichtharfe 23 Lichtharfe 15 K 09 Lichtharfe 39 Highway East 51 Lichtharfe 35 H 06 Lichtharfe 29 K 11 N 03 Highway East 42 Highway West 80 Highway East 69 P 01 H 04 B 02 Central Highway 29 M 39 A 08 Lichtharfe 03 P 12 ▼ MESSEFÜHRER EXPONET LANline 12/2000 39 netzMARKT MESSEFÜHRER EXPONET Firma Macrotron Systems GmbH Madge Networks GmbH Magellan Netzwerke GmbH Mannesmann Arcor AG & Co. Mannesmann Telecommerce Marconi Communications GmbH Media Secure Consult GmbH Mediascape Communications AG Medienhaus-Verlag Mentor Technologies GmbH Methode Fibre Optics Europe Metropolitan Express Train GmbH Microsens GmbH & Co. KG Microtest GmbH MMS Communication AG Mobilcom E-Business GmbH Moomax GmbH MSD Computersysteme GmbH MSG at.Net GmbH Mulder-Hardenberg GmbH Multi-RAK Nadis GmbH Nedstat GmbH Net Investor Verlag GmbH Netcor Vertriebs GmbH Netopic GmbH Netsiren Ltd. Nettraffic Internet Perform. GmbH Network Associates Networks Unlimited AG Next Page, LC Nicos AG NK Networks & Services GmbH Nortel Networks Dtl. GmbH NTT Advanced Technology Corporate N-TV Nachrichtenfernsehen GmbH&CoKG Oki Systems GmbH Omnitron Griese GmbH Optel GmbH Orgavision Software Otra Deutschland Technik Support Pandacom GmbH Panduit Ltd. Pansite GmbH PCS AG PDV-Systeme GmbH Pedion Medicalnet Pennwell Corporation Phoenix Contact Pinacl Communication Systems Ltd. Pironet AG Plan.Net Polytec GmbH Propress Verlagsgesellschaft mbH Pyramid Computer Systeme GmbH QS Communications AG Quante AG Quante Netzwerke GmbH Radiodetektion GmbH Ortungstechnik Ratiodata IT-Lösungen & Services Reichle & De-Massari GmbH RIT Technologies Ltd. Rittal-Werk GmbH & Co. KG S.E.S.A. AG Schäfer Gehäusesysteme GmbH Schorisch Energy GmbH Schroff GmbH 40 LANline 12/2000 Halle 5.1 3.2 3.2 3.2 2.2 6/7 3.2 2.2 3.1 8.2 1.2 5.1 2.2 2.2 3.1 3.1 3.1 3.1 2.2 3.2 5.1 3.1 3.1 2.2 5.1 3.1 3.1 3.1 3.2 3.1 3.1 3.2 6/7 5.1 3.1 5.1 3.1 3.1 2.2 2.2 5.1 5.1 2.2 3.1 1.2 3.1 1.2 3.2 2.2 8.2 8.2 3.1 Stand A 05 Highway East 41 J 02 Highway East 35 Central Highway 24 Lichtharfe 31 Highway East 53 D 03 O 36 D 15 Central Highway 13 ..45 Highway West 76 H 08 D 05 M 27 M 20 P 33 P 20 Central Highway 25 Highway East 53 A 10 M 35 M 18 D 08 Highway West 80 O 17 O 11 M 10 Highway East 53 N 09 M 06 Highway East 47 Lichtharfe 4 A 06 P 32 B 03 M 43 M 43 Central Highway 29 Central Highway 17 Highway East 73 A 07 E 04 M 15 C 16 P 01 A 27 L 12 E 05 Highway 89 Highway 100 M 12 2.2 3.2 6/7 6/7 3.2 3.1 3.2 2.2 6/7 8.2 5.1 2.2 6/7 Central Highway 27 Highway East 55 Lichtharfe 40 Lichtharfe 40 L 14 O 28 Highway East 50 Central Highway 36 Lichtharfe 28 Highway 91 B 06 D 15 Lichtharfe 47 www.lanline.de netzMARKT MESSEFÜHRER EXPONET Firma Scientific Computers GmbH Seicom Communication Systems GmbH Serviceplan Werbeagent. Dritte Unit SFG mbH Siemens AG Siemens AG Sitara Networks GmbH Snaz Deutschland Softech Telecom GmbH Solsoft Sony Deutschland GmbH Sophos GmbH Speech Design GmbH Spin GmbH STL Systemtechnik & Logistik Sunrise Telecoming Swyx Communications AG Sycor AG Syskonnect Schneider & Koch GmbH Talkline Infodienste GmbH Tecon Technology & Consulting GmbH Tedas AG Telba Telefonbau Louis Schwabe KG Telegärtner Karl Gärtner GmbH Telem GmbH Telesafe Deutschland TELSA S.R.L. Tenovis GmbH TGS-Telonic GmbH The ATM Forum The Box Communications GmbH TKM GmbH T-Mobile Tolkiehn & Partner T-Online International AG Transition Networks Trend Communications GmbH Trius AG TV1.DE - Der Internet Sender Twinwave Intra-/Internet Serv.GmbH Tyco Electronics AMP GmbH Ulrich Brecher Kommunik.Technik Uni Electro Fachgroßh. GmbH&Co.KG Uni-X Software AG Verlag Heinz Heise Via Net.Works Deutschland GmbH Halle 3.2 1.2 8.2 2.2 3.2 6/7 2.2 3.1 8.2 3.1 1.2 1.2 3.1 3.2 5.1 5.1 1.2 8.2 5.1 3.2 8.2 3.1 5.1 5.1 1.2 2.2 3.2 6/7 5.1 3.2 3.1 2.2 5.1 5.1 5.1 1.2 5.1 2.2 3.2 1.2 3.2 2.2 5.1 5.1 3.1 3.1 Stand K 05 Highway 12 Highway 100 Central Highway 23 Highway West 62 Lichtharfe 12 (+16) Central Highway 33 P 37 C 06 M 29 Highway East 07 A 15 P 40 L 13 Highway West 70 A 05 C 14 C 09 Highway East 71 Highway East 53 D 06 N 11 Highway East 75 Highway West 83 B 08 E 10 L 04 Lichtharfe 32 Highway East 84 L 08 M 05 Central Highway 36 Highway East 90 A 16 Highway East 90 Highway West 15 Highway East 84 Highway 30 L 09 Highway West 06 Highway East 54 Central Highway 36 B 06 Highway 72 O 11 P 21 Vidsoft GmbH 3.2 Highway East 53 Vipcom GmbH 2.2 Central Highway 30 Vision Technologie AG 3.1 M 14 Vitec GmbH 3.1 P 22 VNU Busin.Public. Deutschland GmbH 3.1 P 14 Vogtländisches Kabelwerk GmbH 5.1 B 07 VV Computer Vertriebs GmbH 3.1 O 30 Wavetek Wandel Goltermann GmbH 6/7 Lichtharfe 33 Web2CAD AG 8.2 D 07 Webvision GmbH 3.1 M 13 WGD Datentechnik AG 2.2 Highway 36 Wilhelm Rutenbeck GmbH & Co. 2.2 F 03 Wind River Systems GmbH 8.2 A 11 Winstar Communications GmbH 2.2 F 08 Winterheller Software GmbH 8.2 A 16 World Online GmbH 1.2 B 05 Xtend Zindler Datentechnik GmbH 3.2 3.1 L 05 P 34 VWD Vereinigte Wirtschaftsdienste www.lanline.de LANline 12/2000 41 netzPRODUKTE/SERVICES VOM MAINFRAME BIS ZUR INTERNET-APPLIANCE Die Server-Familie wächst Mit der Server-Reihe Z-Series900 stellt IBM die ersten Mainframes vor, die von Grund auf für die Bedürfnisse des E-Business ausgelegt sind. Sie wurden entwickelt, um die “praktisch nicht vorhersagbaren” Rechenlasten im E-Business-Zeitalter verarbeiten zu können. Mehrere tausend kleinerer Server können damit durch ein einziges System der Z900-Reihe ersetzt werden. Zusammen mit diesen Geräten debütiert auch ein 64-Bit-Betriebssystem namens “z/OS“ sowie modifizierte Software-Preismodelle. ie nächste Generation von Servern hat IBM mit der E-Server-Familie vorgestellt. Sie bieten laut Hersteller die Zuverlässigkeit und Skalierbarkeit von Mainframes, unterstützen offene Standards für die Entwicklung neuer Anwendungen umfassend und lassen sich in Sachen Kapazität flexibel anpassen. Zur Familie gehören die: – Z-Series: Transaktions-Server für die Verarbeitung unternehmenskritischer Daten, – P-Series: Unix-basierende Server, – I-Series: integrierte UnternehmensServer für Unternehmen mittlerer Größenordnung sowie die – X-Series: Intel-basierte Server mit Hochverfügbarkeits-Technologien, die vom Mainframe stammen. Die gesamte Server-Produktlinie verfügt über Eigenschaften des MainframeComputings. Dazu gehört zum einen die “Capacity Advantage“. Im Rahmen von “Capacity Upgrade on Demand“ (Cuod)Angeboten kann zusätzliche Server-Kapazität mit minimaler Unterbrechungszeit hinzugeschaltet werden. Ein vertikales “Cuod“ erlaubt die Hinzuschaltung zusätzlicher, bereits eingebauter Prozessoren in einem System. Das horizontale Cuod bietet die Möglichkeit, weitere beim Kunden vorinstallierte Server in D 44 L AN line 12/2000 Betrieb zu nehmen, sobald dafür Bedarf besteht. Ein anderer Aspekt aus der Mainframe-Welt kommt mit der logischen Partitionierung (LPAR) ins Spiel. Dabei handelt es sich um die Möglichkeit zur Einrichtung logischer Partitionen in Maschinen der Z-Series und der I-Series, die aber in Zukunft auch für Server der P- und der X-Series verfügbar sein wird. Das Hochverfügbarkeits-Clustering wurde ebenfalls ursprünglich für IBMMainframes entwickelt und spielt nun in die anderen Produktbereiche hinein. Des Weiteren werden entsprechende Technologien wie etwa der “Remote I/O-Support“ (bislang für die Z-Series, die I-Series und die P-Series) für die gesamte Server-Familie zur Verfügung stehen. Zu den Features für mehr Zuverlässigkeit und Fehlertoleranz gehören speziell selbstumschaltende, redundante Komponenten, ebenso wie die im laufenden Betrieb auswechselbaren Komponenten. Speziell für den Bereich der X-Series präsentiert IBM gleich fünf verschiedene “Appliance-Server“. Ihr bevorzugtes Einsatzbereich sind laut Hersteller Internet- und Web-Hosting-Anwendungen. Aufgrund ihrer Vorkonfiguration sollen die Server (auf Basis von Linux oder Windows-2000-Server) innerhalb weniger Minuten in einem Netzwerk betriebsbereit sein. IM FOKUS: E-BUSINESS Mit der Reihe “Z-Series900“ hat man bei IBM erstmals Mainframes voll für den Einsatz im E-Business konzipiert. Damit sollen die nicht vorhersagbaren Belastungsspitzen in E-Business-Anwendungen bewältigt werden. Laut IBM lassen sich damit mehrere tausend kleinerer Server durch ein einziges System der z900-Reihe ersetzen. Im Bereich der Software kommt mit dem z/OS ein 64-Bit-Betriebssystem auf der “Z-Series900“ zum Einsatz. Zudem werden die Software-Kosten künftig aufgrund des tatsächlichen Bedarfs ermittelt und nicht mehr anhand der gesamten Systemkapazität berechnet. Insgesamt bietet die Neugestaltung der Software-Lizenzkosten den Anwendern wesentlich mehr Flexibilität, da insbesondere in E-Business-Umgebungen der Nutzungsbedarf stark schwankt. Die zSeries900 wird ab Mitte Dezember 2000 verfügbar sein. Die z900-Server mit dem Betriebssystem z/OS sind darauf ausgelegt, mit Hochgeschwindigkeitsleitungen an Netzwerke und Speichersysteme angebunden zu werden. Sie lassen sich zudem flexibel aufrüsten, um auch unvorhersagbare Schwankungen der Rechenlast abfangen zu können und insbesondere im Rechnerverbund weitestgehend ausfallsicher zu sein. Dabei können die z900-Server selbst aufgrund benutzerdefinierter Vorgaben in Erfahrung bringen, was die einzelnen Anwendungen benötigen. Sie reagieren selbstständig auf eventuelle Veränderungen. Darüber hinaus ist der z900 in der Lage, sich selbst zu reparieren. Der Server beobachtet sich kontinuierlich selbst, erkennt und behebt Fehler selbstständig, und ermöglicht so den reibungslosen Betrieb der Anwendungsprogramme. Die Fähigkeit, tausende virtueller Server in einer einzigen Maschine laufen zu lassen, macht den z900 zur einer interessanten Plattform für E-Business-Anwen- www.lanline.de netzPRODUKTE/SERVICES dungen und -Aufgaben, beispielsweise bei der Bereitstellung von Software via Internet (ASP – Application Service Providing), bei Internet-Service-Providern und Hosting-Unternehmen. Speziell diese Art von Unternehmen müssen die Rechenlasten einer großen Zahl von Kunden separat abarbeiten und verwalten. Bisher waren dafür eine Vielzahl von Servern und große Investitionen in Gebäude und Infrastruktur notwendig. Ab sofort kann ein einziger z900-Server diese Jobs übernehmen. 0,64 cm3 enthält 35 Chips, die auf 101 Schichten keramischen Glases montiert sind und durch 4226 I/O-Pins mit insgesamt rund einem Kilometer Kabel verbunden sind. Das Modul nutzt die IBMKupfertechnologie zur Herstellung von Halbleitern und enthält 2,5 Milliarden Transistoren. Entworfen von IBMs Chip-Entwicklern, bietet diese Technologie Vorteile in Sachen Leistung, Stromverbrauch und Zuverlässigkeit. sprechender Performance auch eine maximale Entfernung und die gemeinsame Nutzung von NetzwerkSpeichereinheiten. Hinzu kommen Ficon-Direktoren für die Anbindung des “Shark“-Enterprise Storage-Servers. – Verbesserungen des Angebots “Capacity on Demand“, mit dem sich ein z900 im laufenden Betrieb ohne Unterbrechung von einem auf die ma- REVOLUTION BEI DEN SOFTWARELIZENZEN Die z900-Reihe stellt auch eine Revolution bei der Berechnung von Software-Lizenzkosten dar: Der z900 ermöglicht eine bedarfsbezogene Ermittlung. Die neue Preisgestaltung bei Mainframe-Software bringt damit mehr Transparenz in die Kostenkalkulation bei Mainframes, und wird von Unternehmen wie BMC, Candle, Computer Associates, Compuware und Software AG sowie anderen ISVs unterstützt. Große CRM- und ERP-Anbieter wie Siebel, Peoplesoft und SAP haben bereits ihre Unterstützung der z900Plattform mit wichtigen E-CommerceAnwendungen angekündigt. Darüber hinaus werden weitere große E-Business-Software-Unternehmen die z900 unterstützen, darunter Lawson, IMI, Temenos und Trilogy. Im Rahmen der IBM-Unterstützung des unabhängigen Betriebssystems Linux werden künftig tausende von Linux-Anwendungen auf z900-Rechnern laufen können. Gleichzeitig wird die Plattform damit auch für Entwickler zugänglich, die nur wenig Mainframe-Kenntnisse mitbringen. Die Unternehmen Rogue Wave Software und Rational Software sind unter den Software-Anbietern, die bereits spezifischen Linux-Produktsupport für den z900 angekündigt haben. Das Herz des z900 ist das MultichipModul (MCM), das laut IBM weltweit die derzeit höchste Packungsdichte und die am weitesten entwickelte Halbleitertechnologie bietet. Das Modul mit den Abmessungen 12,7 mal 12,7 mal 46 L AN line 12/2000 Nicht für den Einsatz auf dem Schreibtisch gedacht sind die Server der z900-Reihe Quelle: IBM Neue Dimensionen bietet der z900 auch hinsichtlich Rechenkapazität und Sicherheit: – Mehr als 2500 MIPS (Million Instructions per Second) und bis zu 16 Prozessoren. Im Rechnerverbund kann der z900 bis zu neun Milliarden Transaktionen pro Tag durchführen, das entspricht rund 300 Millionen Transaktionen pro Tag für einen einzelnen Server. – 24 GByte/s I/O-Bandbreite – das Vorgängermodell bot nur 8 GByte/s. Die Bandbreite wurde insbesondere für Anwendungen mit hohem Bedarf an I/O-Bandbreite verdreifacht, um die wachsende Menge an Transaktionen und Anfragen im Internet-Zeitalter überhaupt bewältigen zu können. – Weiterentwicklungen der Ficon-Verbindungstechnik ermöglichen bei ent- ximal mögliche Zahl von 16 Prozessoren aufrüsten lässt. – 2000 SSL (Secure Sockets Layer-) Transaktionen pro Sekunde. SSLTransaktionen sind insbesondere für E-Business-Transaktionen von entscheidender Bedeutung, da sie unter anderem sichere Bestell- und Bezahlvorgänge im Internet ermöglichen. – Die Hyper-Socket-Technologie bietet TCP/IP-Verbindungen in Hochgeschwindigkeit zwischen den virtuellen Servern innerhalb eines z900, wodurch praktisch ein Netzwerk innerhalb eines einzigen Servers entsteht. (Rainer Huttenloher) Info: IBM Tel.: 01803/313233 Web: www.ibm.com/server www.lanline.de netzPRODUKTE/SERVICES EXCHANGE 2000 SERVER IN DREI VARIANTEN Blöcke der Dot-Net-Strategie In drei Varianten kommt der Exchange 2000 Server auf den Markt. Die Basisversion “Exchange 2000 Server” eignet sich vor allem für kleine und mittelständische Unternehmen. Der “Exchange 2000 Enterprise Server” soll für größere Firmen passen, die gehobene Ansprüche in puncto skalierbare Kommunikations- und Arbeitsgruppenfunktionen stellen. Und der “Exchange 2000 Conferencing Server” bildet eine Lösung, in der Videoconferencing, Datenversand und computer-gestützte Telefonie integriert sind. in verbreitetes Charakteristikum moderner Unternehmen ist die massive Abhängigkeit von der Kommunikationsplattform. Das war ein Grund für den sehr breit gefassten Betatest, den Microsoft bei Exchange 2000 durchgeführt hat: Allein in Deutschland wurden 6000 “technische Betatests” durchgeführt. Auf einer Pressekonferenz gab der Deutschland-Chef von Microsoft, Richard Roy (Bild 1), den Startschuss für den Exchange 2000 Server und den SQL 2000 Server. Somit steht die endgültige Version von Exchange 2000 bereit zur Auslieferung. Damit hat das Unternehmen weitere Mosaiksteine für seine “DotNet-Strategie” (Bild 2) fertiggestellt. Mit diesem Produkt erweitert Microsoft den Ansatz deutlich, der in den Vorgängerversionen mit Produkten wie Lotus Domino/Notes oder Novell Groupwise um Marktanteile kämpfte. Die Vision bezieht sich dabei auf den “Knowledge Worker”, der seine Informationen überall dort benötigt, wo er sich jeweils befindet. Mit dem “Web-Storage-System” will das Unternehmen diese Vision adressieren. Generell zielt Microsoft darauf ab, die Schranken bei der Zusammenarbeit aufzuheben. Das Web-Storage-System kombiniert die Merkmale und Funktionen des Dateisystems, des Webs und eines Servers für die Zusammenarbeit (Collaboration- E 48 L AN line 12/2000 Server) über einen einzigen Standort, der es ermöglicht, Informationen zu speichern, zu verwalten und darauf zuzugreifen sowie Anwendungen zu erstellen und auszuführen. Er richtet eine Plattform für die Informationsverwaltung ein, die konsistente Suche und Datenkategorisierung umfasst. Dazu integriert es Informationsquellen, indem das “Web-Storage-System”, ein einziges Repository zum Verwalten von E-MailNachrichten, Dokumenten, Web-Seiten und anderen Ressourcen innerhalb ein und derselben Infrastruktur zur Verfügung Bild 1. Den Startschuss für zwei “krass korrekte” (Originalton Stefan & Erkan) Bausteine zur Dot-Net-Strategie gab Richard Roy, der Deutschland-Chef von Microsoft, mit der Vorstellung von Exchange 2000 Server und SQL 2000 Server. stellt. So stehen Offline-Zugriff, RemoteClient-Zugriff sowie die Unterstützung für eine Reihe von APIs zur Verfügung. Darüber hinaus dient das “Web-Storage-System” als Plattform für vereinheitlichtes Messaging, bei dem Knowledge Worker auf persönliche Daten (wie Kalender und Kontakte), sowie E-Mail- und Voice-MailNachrichten zugreifen können. Generell benötigt eine unternehmensbasierte Anwendung drei Schlüsseldienste: – Dateisystemdienste: Damit werden mit Client-Anwendungen wie Office-Dokumente gelesen und geschrieben und Streaming-Daten für Audio und Video gespeichert. Dazu zählt auch ein Datenmodell, das sowohl hierarchische Zusammenstellungen (Ordner) als auch heterogene Zusammenstellungen (Ordner, die beliebige Dateitypen akzeptieren) unterstützt. – Datenbankdienste: Sie sind notwendig für Abfragen, die komplexer sind als diejenigen, die innerhalb des Dateisystems ausgeführt werden. Atomare Aktualisierungen ermöglichen in diesem Zusammenhang den Anwendungen etwa das Anzeigen einer für Benutzer konsistenten Ansicht, wenn die Aktualisierungen mehr als ein Element im “Web-Storage-System” umfassen. – Zusammenarbeitsdienste: sie eignen sich für die Unterstützung von Nachrichtenübermittlung, Kontakten und Kalendern sowie für die Gruppen- und Echtzeitzusammenarbeit. Das Web-Storage-System führt verschiedene Funktionen ein, mit denen ITAdministratoren die Betriebskosten senken und die Produktivität der Benutzer steigern können. Die wichtigste dieser Funktionen ist die Fähigkeit, auf alle Elemente im “Web-Storage-System” über das Protokoll HTTP zugreifen zu können. Mit allen Ordnern und Elementen ist ein eindeutiger, von den Benutzern lesbarer URL verknüpft. Unter Verwendung geläufiger Web-Server müssen Entwickler die HTTP-Anforderung für den Zugriff auf Dateien oder Datensätze aktivieren. Das “Web-StorageSystem” ist standardmäßig so konfiguriert, dass eine automatische Integration mit www.lanline.de netzPRODUKTE/SERVICES Web-Servern erfolgt. Das bedeutet, dass Entwickler keine einzige Codezeile schreiben müssen, um die einzelnen “Web-Storage-System”-Objekte und -Ordner für den Zugriff über einen URL einzurichten. Darüber hinaus kann auf das “Web-StorageSystem” über das “Distributed Authoring and Versioning” (WebDAV), eine Zusammenstellung von HTTP-Erweiterungen, zugegriffen werden. Neben dem Bereitstellen eines Zugriffs über HTTP und WebDAV dient das “Web-Storage-System” als XML-Speicher. Dank der Unterstützung von XML ist es in der Lage, Inhalte im Internet-Standardformat anzuzeigen. Dadurch können IT-Administratoren den Entwicklern, die die im “Web-Storage-System” enthaltene Informationen abfragen und bearbeiten müssen, Datenzugriffsdienste schneller zur Verfügung stellen. Durch die in das “Web-Storage-System” integrierte HTML-Unterstützung können Administratoren den Benutzern einen Web-Zugriff anbieten. Zudem offeriert das System eine automatische HTML-3.2-Ansicht von Objektordnern, indem eine grafische Ansicht eines Ordnern mit Dokumenten unter Verwendung von Eigenschaften aufbereitet wird, die von jedem Ordnerelement befördert werden. Die Vorstellung, aus welchen Bestandteilen sich eine E-Mail-Nachricht zusammensetzt, ändert sich zusehends. Mittlerweile kann eine E-Mail-Nachricht aus einem einfachen Kurztext bis hin zu einer Nachricht mit überaus großen Audio- und Videokomponenten bestehen. Diese Multimediadateien haben die Möglichkeiten der Nachrichtenübermittlung und Zusammenarbeit für zahlreiche Benutzer erweitert, stellen jedoch an das Messaging-System erhöhte Anforderungen. Die Speicherfunktion für Streaming-Dateien des “Web-Storage -Systems” nimmt sich dieser Entwicklung an und ermöglicht so das Speichern sehr großer Nachrichten und Anlagen sowie das Speichern von Multimediadateien. Die Clients können über die Streaming-Datei-Schnittstellen sehr schnell auf Multimediadateien zugreifen, wodurch die Leistungsfähigkeit und Skalierbarkeit eines Systems gesteigert www.lanline.de wird. Das “Web-Storage-System” aktiviert ferner die Streaming-Medienfunktion von Powerpoint 2000, die dank der Powerpoint-Folien als eine Netshow-Datei gespeichert werden können. Der StreamingSpeicher sichert die Integrität der Daten und verringert die Anzahl der erforderlichen Dateikonvertierungen. Da Administratoren mit Hilfe des “WebStorage-Systems” die Unterstützung von Streaming-Medien direkt im System bereitstellen können, entspricht die Verwaltung von Streaming-Ressourcen der Verwaltung beliebiger anderer Typen von Inhalten. INTEGRIERTE KONTEXTINDIZIERUNG UND -SUCHE Dank der “Web-Storage- System”-Technologie können Administratoren die Datenspeicherung auf mehrere physische Datenbanken verteilen. Dieser Ansatz birgt mehrere Vorteile: Wenn mehrere Datenbanken zum Einsatz kommen, um die Größe der einzelnen Datenbanken gering zu halten, kann das “Web-StorageSystem” virtuell wachsen, während Risiken eingeschränkt und die Granularität der Steuerung beibehalten werden. Mit Hilfe mehrerer Datenbanken kann die Sicherungs- und Wiederherstellungszeit verkürzt werden, um das Einhalten von Vereinbarungen auf Dienstebene sicherzustellen. Die Server-Kapazität wird nur durch die Größe des verfügbaren HardwareSpeichers eingeschränkt. Sie können die virtuelle Speicherkapazität des StorageSystems erhöhen, indem Sie die Daten auf mehrere Datenbanken verteilen und den Benutzern dennoch eine einheitliche Oberfläche präsentieren. Auf der Datenbankebene unterstützt das “Web-Storage-System” die Transaktionsprotokollierung. Es verwendet WriteAhead-Transaktionsprotokolle, um die Datenintegrität mittels Redundanzen sicherzustellen und die Sicherheit von Transaktionen zu gewährleisten. Transaktionen, für die die Übergabe erfolgt ist wie etwa das Speichern eines Elements in einem Ordner, werden sicher auf die Datenträger geschrieben. Vorübergehende Unterbrechungen wie ein Stromausfall führen nicht zu Datenverlusten, da die L AN line 12/2000 49 netzPRODUKTE/SERVICES Transaktionsprotokolle zum Wiederherstellen der Daten in den Datenbankdateien verwendet werden können. Auf der Ordnerebene unterstützt das “Web-Storage-System” die Datenreplikation, damit bei Ausfall eines Servers Replikate der Daten auf anderen Servern im tung von Windows 2000 vertraut sind, wird die Verwaltung und Unterstützung des “Web-Storage-Systems” einfach vorkommen, da viele Konzepte identisch sind. Das “Web-Storage-System” ist dabei mit den Sicherheits- und Dateisysteminfrastrukturen von Windows 2000 integriert Bild 2. Zu den Dot-Net-Enterprise-Servern zählen SQL 2000 und Exchange 2000 Unternehmen vorhanden sein können. Darüber hinaus bietet die Ordner-Replikatverwaltung den Administratoren die Möglichkeit, die Belastung durch den Anwendungszugriff gleichmäßig zu verteilen. Durch die Unterstützung mehrerer Datenbanken wird die Zuverlässigkeit im “Web-Storage-System” weiter erhöht. Die Nutzung mehrerer Datenbanken bewirkt, dass ein Ausfall einer Datenbank nur geringe Auswirkungen auf die Gesamtausfallzeit eines größeren Systems hat. Die ausgefallene Datenbank kann wiederhergestellt werden, während die anderen Datenbanken angemeldet und in Betrieb bleiben. Das “Web-Storage-System” lässt sich in einer Windows-2000-Umgebung optimal verwalten. Es kann auf die Konfigurationsinformationen aus dem Active Directory zurückgreifen und unterstützt die von den Windows-2000-Zugriffssteuerungslisten aktivierten Sicherheitseinstellungen. Administratoren, die bereits mit der Verwal- 50 L AN line 12/2000 und kann mit Hilfe von Active Directory und der Microsoft Management Console (MMC) verwaltet werden. SPEZIELLE LÖSUNG FÜR ASP Für ASPs bietet Microsoft eine besondere Erweiterung von Exchange 2000 an: das “Exchange 2000 Hosting Pack”. Es enthält eine Reihe von Bereitstellungsdiensten, die das Management gehosteter Exchange-Server verbessern. Die Dienste übernehmen die automatische Registrierung von Benutzern oder bieten ASP-Kunden die Möglichkeit, über das Web Anwendungen selbstständig bereitzustellen und zu verwalten. Außerdem können Systemressourcen optimal organisiert und zielgenau auf Anwender verteilt werden, wobei erweiterte SicherheitsFeatures vor unbefugten Zugriffen schützen. Der erheblich erweiterte Leistungsumfang hat zur Folge, dass Microsoft erstmals in der Geschichte von Exchange Server seine Preise erhöht. Dafür können Kunden jedoch auf eine deutlich gesteigerte Anzahl von Support-Mitarbeitern bauen: Eine Vervielfachung um das Zwei- bis Vierfache ist laut Aussagen von Microsoft angestrebt. Der Preis für Exchange 2000 Server Enterprise Edition inklusive 25 Client-AccessLizenzen wird künftig schätzungsweise zwischen 15.000 Mark und 16.800 Markt liegen (Paketprodukt inklusive Datenträger und Handbuch inklusive Mehrwertsteuer), das Update wird zwischen 7500 Mark und 8500 Mark kosten. Allerdings beruhen diese Angaben nur auf Schätzungen, da der Fachhandel die Preise selbstständig festlegt. Im Gegensatz zur Vorversion ist bei Exchange 2000 auch das Update der “Client Access License” kostenpflichtig. Ansonsten gilt in Sachen Lizenzierung das gleiche Server/CAL-Modell wie bei Exchange 5.5, Windows 2000 Server und Windows 2000 Advanced Server. Wie in der Vergangenheit benötigt jeder authentifizierte Zugriff auf E-Mail oder weitere Groupware- und Messaging-Services, der von einem PC oder einem anderen Gerät aus durchgeführt wird, eine eigene Zugriffslizenz. Die Exchange 2000 CAL wiederum berechtigt den Benutzer, auf alle drei Produkte aus der Exchange-2000Server-Familie zuzugreifen. SONDERAKTIONEN FÜR ”SME“ Für klei- ne und mittelständische Unternehmen (Small and Medium Enterprises, SME) hat Microsoft in diesem Herbst das Internetund Kommunikationspaket 2000 geschnürt. Es besteht aus Windows 2000 Server inklusive Service Pack 1 und Exchange 2000 Server mit je fünf Client-AccessLizenzen, dem Proxy Server 2.0 und weiteren wichtigen Tools, die einen Umstieg auf neueste Netzwerk-, Internet- und Kommunikationslösungen ermöglichen. Das Komplettpaket kostet 2549 Mark (unverbindliche Preisempfehlung) – dieses Angebot gilt vom 01. Oktober bis zum 31. Dezember 2000. (Rainer Huttenloher) Info: Microsoft Tel.: 089/31760 Web: www.microsoft.com www.lanline.de netzPRODUKTE/SERVICES ADAPTEC USB-XCHANGE IM TEST SCSI-Controller mit USB-Anschluss Wegen des günstigeren Preises sind die meisten Arbeitsplatzrechner mit IDE- statt SCSI-Geräten ausgestattet. Dadurch entfällt nicht nur der teure SCSI-Controller, auch IDE-Festplatten sind deutlich preiswerter als ihre SCSI-Pendants. Allerdings ist IDE nicht so flexibel wie SCSI. So lassen sich beispielsweise keine externen Geräte anschließen. Einen Ausweg bietet SCSI-Spezialist Adaptec nun mit dem USB-Xchange. Dabei handelt es sich um einen SCSI-Controller für den USB-Port. inen Geschwindigkeitsrausch darf man freilich nicht erwarten, schließlich übermittelt der UniversalSerial-Bus die Daten mit maximal 1,5 MByte/s. Da bereits ältere FAST-SCSIPlatten 10 MByte/s auf dem Bus schaffen, ist USB-Xchange zum dauerhaften Nutzen von Festplatten oder anderen schnellen Geräten zu leistungsschwach. Vielmehr soll sich der kleine Controller eignen, um hin und wieder ein CD- E Laufwerk, einen CD-Brenner oder einen Scanner anzuschließen. Das Gerät ist dabei angenehm klein, denn es findet am SCSI-Ende des Kabels im 50-poligen HD-Stecker Platz. Äußerlich ähnelt es dem USB-Connect, welches Adaptec bereits Mitte 1999 vorgestellt, aber letztendlich doch nicht auf den Markt gebracht hat. Einen Adapter für 25-polige Anschlüsse legt Adaptec bei, für die älteren (und immer noch verbreiteten) Da der Controller vollständig in einen SCSI-Stecker passt, ist er sehr mobil. Eine Leuchtdiode gibt an, dass er Daten überträgt. 52 L AN line 12/2000 www.lanline.de netzPRODUKTE/SERVICES Centronics-Buchsen leider nicht. Strom bezieht der Controller wahlweise aus der Terminierungsversorgung des SCSI-Busses oder von der USBSchnittstelle. Steht beides nicht zur Verfügung, muss der Benutzer ein externes Netzteil kaufen und anschließen. Im Test erweist sich die Installation als unproblematisch. Das Setup kopiert die Treiber reibungslos auf den Mac oder Windows-PC. Auf den AppleRechnern sollte MacOS 9.0.4 installiert sein. Ältere Versionen haben Probleme mit dem seriellen Bus (wenn ein USBGerät zu häufig aus- und wieder eingestöpselt wird, kann ein interner Zähler überlaufen). Die Windows-Variante erfordert Windows 95B mit USB-Zusatz, 98, ME oder 2000. Windows 95A, NT und die 16-Bit-Varianten des Betriebssystems kennen den USB nicht und können daher mit dem Controller nichts anfangen. Auf Windows-Rechnern ist die Installation besonders einfach. Das Betriebssystem fragt nach dem Anstöpseln des Controllers nach den Treibern. Der Benutzer muss lediglich angeben, dass sich die Treiber auf einer CD befinden, der Rest geschieht automatisch und die angeschlossenen SCSI-Geräte sind ohne Neustart des Systems nutzbar. Optionen und Einstellungen kennt die Treiber-Software nicht; der Controller ist grundsätzlich terminiert und die SCSIID 7 ist fest eingestellt. Ein kleines Symbol in der Tray-Bar von Windows signalisiert die Datenübertragung. Über dieses Symbol lässt sich der Adapter auch deaktivieren, sodass der Benutzer ihn gefahrlos vom Rechner entfernen kann. Nur geringfügig mehr Arbeit hat der Benutzer am Mac zu erledigen. Hier muss er den Installer von der CD aufrufen und nach dem Abschluss des Setups den Rechner neu starten. Neben dem Treiber richtet der Installer auf dem Mac zwei neue Kontrollfelder ein: SCSI-Probe und USB-Xchange-Switcher. SCSI-Probe dient vornehmlich zum Abfragen des SCSI-Busses (was auch mit dem Apple-System-Profiler möglich ist), aber auch zum Mounten 54 L AN line 12/2000 von angeschlossenen Festplatten. Mit dem USB-Xchange-Switcher kann der Benutzer auswählen, ob der SCSI-Controller für Massenspeicher (etwa MOund ZIP-Laufwerke, Festplatten) oder für “andere Geräte“ (Scanner, Drucker, CD-Brenner etc.) genutzt werden soll. Beispielsweise erscheint ein DVDBrenner im Massenspeichermodus als CD-Laufwerk und kann keine Silberlin- von Rohlingen mit vierfacher Geschwindigkeit (600 KByte/s) erfolgreich war. Angesichts der ohnehin nicht allzu hohen Geschwindigkeit auf dem USB ist es schade, dass Adaptec nicht einmal diese ausnutzt. Ebenfalls eine im Handbuch erwähnte Einschränkung bezieht sich auf die Anzahl der angeschlossenen SCSI-Geräte; so unterstützt USB-Xchange unter MacOS und Windows 2000 momentan maximal ein Gerät. Da der Controller nicht für Server gedacht ist, dürfte die Benutzung von den sieben theoretischen Geräten zwar nicht realistisch sein, aber zwei oder drei Geräte (beispielsweise CDBrenner und Bandlaufwerk) einzusetzen, wäre durchaus nicht praxisfremd. FAZIT Seinem Anspruch – ein flexibler Wie ein gewöhnlicher SCSI-Controller klinkt sich USB-Xchange in ein Windows-System ein ge beschreiben. Leider ist nach jedem Umschalten ein Neustart des Systems erforderlich. Im Test ergaben sich keine Probleme. So erkennt der Mac sowohl HFS- als auch PC-formatierte Dateisysteme auf Festplatten und weder beim Schreiben noch beim Lesen treten Schwierigkeiten auf. Ebenso einfach klappte der Zugriff auf ein CD-Laufwerk. Ebenfalls einwandfrei funktioniert USB-Xchange auf Windows-Systemen. Weder Festplatten, CD-Laufwerke noch CD-Brenner stellten Hürden dar. Auch Geräte mit mehreren LUNs (Logical Unit Numbers) wie CD-Wechsler, kann USB-Xchange korrekt ansprechen. Etwas schwach ist allerdings die Performance. Von den über USB erreichbaren 1500 KByte/s ist der Controller weit entfernt, er schafft gerade einmal 700 KByte/s, also rund die Hälfte des theoretischen Maximums. Dieser Wert ist auch im Handbuch angegeben. Entsprechend klappt es nicht, CDs mit achtfacher Geschwindigkeit (1200 KByte/s) zu brennen, während das Beschreiben Controller für den vorübergehenden Einsatz zu sein – wird USB-Xchange weitgehend gerecht. Mit dem Adaptec-Controller ist es möglich, “mal eben“ ein SCSI-Gerät an einen Windows-Rechner oder Mac zu hängen; Unternehmen können auf lokale CD-Laufwerke in Ihren Arbeitsstationen verzichten und zur Software-Installation ein tragbares CD-ROM mit SCSI-Anschluss verwenden. Auch für den mobilen Einsatz eines CD-Brenners oder eines Scanners ist USB-Xchange geeignet. Allerdings ist zu beachten, dass nicht alle Betriebssysteme USB unterstützen (wozu auch DOS gehört, sodass die Betriebssystem-Installation nicht über diesen Controller möglich ist). Für Streamer ohne variable Bandgeschwindigkeit ist USB-Xchange zu langsam, da diese Laufwerke nur im Verschleiß fördernden Backhitching-Betrieb arbeiten können. Die Beschränkung auf nur ein SCSI-Gerät unter MacOS und Windows 2000 ist zwar ärgerlich, aber kein echtes Manko. Wünschenswert wäre ein Adapter für den Centronics-Anschluss im Lieferumfang. USB-Xchange kostet zirka 80 Dollar. (Andreas Roeschies/mw) Info: Adaptec Tel.: 089/4564060 Web:www.adaptec.com www.lanline.de netzPRODUKTE/SERVICES GLOBAL TRAFFIC DELIVERY DURCH ”GPS“ Die absolute Garantie dank ”GPS“ Mit dem “Hydra Global Positioning System” (Hydra GPS) präsentiert Hydraweb ein Internet-Verkehrssystem im Backbone des Internets, mit dem sich die “Site-Performance” und Web-Transaktionen garantieren lassen. Mit dieser Art des Global Traffic Delivery will man Kosten für fehlgeschlagene Web-Transaktionen verhindern, die sich allein in diesem Jahr auf bis zu 17,2 Milliarden Dollar belaufen sollen. ie heutige Problematik des WebVerkehrs zeigt sich immer dann, wenn ein Anwender versucht, auf eine Site zuzugreifen und dabei mit dem “no page/slow page”-Syndrom konfrontiert wird. Nach einer Studie von Jupiter Communications sind bei 75 Prozent der Sites mit hohem Verkehrsaufkommen Beschwerden aufgrund der langsamen Sei- D tenzustellung von den Benutzern eingegangen; bei 42 Prozent dieser Websites beschwerten sich die Anwender, weil die Seiten nicht geladen werden konnten. Die Studie berichtet auch, dass sich 24 Prozent der Benutzer nach einem Site-Ausfall an andere Dienstleister wenden. Gegenwärtig haben sich die Kunden von Service-Providern quasi eine Versiche- Bild 1. Die Hydra Constellation und die Hydra Probe kommen in einer hierarchischen Architektur zum Einsatz 56 L AN line 12/2000 rungspolice gekauft, indem sie Verträge mit mehreren ISPs unterzeichnen und eigene Service-Level-Agreements abschließen. Damit reduziert sich das Risiko eines Ausfalls. Mit der Vorstellung des Hydra GPS wird laut Hersteller eine neue Generation im Bereich des Global Traffic Delivery eingeläutet. Dieses System eignet sich um Site-Ausfälle zu senken und wird zu einer Reduzierung der nicht eingehaltenen Serviceverträge zwischen ISPs, Hosting-Firmen und Web-Portalen führen. Bei dieser Technologie geht es erstmalig darum, dass der Verkehr vom Backbone des Internets gemanagt wird, womit ein effizientes und letztendlich auch einfach zu bedienendes Zustellungssystem im Web selbst geschaffen wird. Dabei wird der Grundgedanke des Load Balancing erweitert, denn hierbei handelt es sich nicht um eine endgültige Antwort, sondern nur um ein vorläufiges Aufrechterhalten des Verkehrsmanagements im WWW. Das prinzipielle Problem besteht darin, dass im “Inneren des Internets” keine Intelligenz agiert. Mit diesem neuartigen Ansatz soll nun ein Internet entstehen, bei dem der Verkehr wie bei einem Luftverkehrskontrollsystem global gelenkt wird. Das lokale Load Balancing wird in diesem Kontext auch weiterhin erforderlich sein, aber eben nur zu dem Zweck, für den es ursprünglich vorgesehen war – für die lokale Verkehrszustellung. Dazu müssen globale Verkehrszustellungssysteme wie eben das Hydra GPS Hand in Hand mit den vorhandenen lokalen Managementsystemen arbeiten. Um diese Aufgaben zu bewältigen, besteht Hydra GPS aus zwei Geräten, der Hydra Constellation und der Hydra Probe. Eine oder mehrere Hydra Probes (sie belegen eine Höheneinheit im Rack) residieren bei den Content-Servern einer Website. Angeschlossen sind sie über ihre beiden 10/100-MBit/s-EthernetSchnittstellen. Die Hydra Constellations befinden sich typischerweise bei einem POP (Point of Presence). Denn diese Systeme sollen möglichst nahe an der Stelle sein, an der der eigentliche Verkehr – sprich der Re- www.lanline.de netzPRODUKTE/SERVICES quest der Anwender – auftritt. Kommt nun ein Request in traditioneller Art und Weise – sprich von einem Browser aus – in das Netzwerk, dann wird bereits an dieser Stelle die Anfrage an das GPS-System weitergereicht. Das wählt dann den besten Ziel-Server für diesen Request aus – basierend auf Informationen über die zu integrieren, um weitere Dienstleistungen anzubieten, wie zum Beispiel Webcasting und Videostreaming auf Abruf. Außerdem können Provider jetzt mit Unternehmen wie Akamai konkurrieren, die eine Vielzahl von Web-Diensten anbieten, die entsprechende Technologie aber weder vertreiben noch verpachten. Zudem offe- Im typischen Rack-Formfaktor belegen die Hydra-GPS-Systeme nur eine Höheneinheit schnellste Route durch das Netzwerk, das beste Antwortverhalten einer Applikation sowie den Zustand einer kompletten Site. Dadurch ergibt sich eine Art von “ErsterKlasse-Netzwerk”, das logisch über das übrige Netzwerk gelegt wird. Anders ausgedrückt beginnt der eigentliche Routing-Vorgang bereits an den Enden des Netzwerks und nicht erst im ServerZentrum. Dazu wird das Hydra GPS bereits im Netzwerk eines Service-Providers installiert. Von hier aus steht es über einen eigenen “Kanal” in ständigem Kontakt mit der Website, auf der beispielsweise das E-Commerce-Angebot “gehostet” wird. Das Hydra GPS verfügt dabei über einen eigenen Informationskanal zu allen Anwendungen und Servern und bestimmt so den augenblicklichen Zustand von Netzwerk, Server und Anwendungs-Software. Aufgrund dieser Informationen ist ein Unternehmen generell in der Lage, die Routing-Entscheidung auf Basis von noch mehr Informationen – etwa die Belastung auf dem Netzwerk – vorzunehmen. Damit lässt sich die komplette Transaktion beschleunigen. Mit diesem Ansatz sind Network Service-Provider (NSPs) und Web-Hosting-Firmen in der Lage, Site- und Service-Ausfallraten zu senken. Und ISPs wird es ermöglicht, diese Technologie als Plattform zu nutzen und beispielsweise das Caching www.lanline.de riert Hydra GPS – laut Hersteller – im Gegensatz zu Akamai eine Infrastrukturlösung, die nicht allein auf statischen, sondern auch auf dynamischen Content ausgelegt ist. MIT RADIUS INS NETZ Mit Hydra Radius stellt Hydraweb ein weiteres neues Produkt vor, das auf der Systems präsentiert wurde. Es handelt sich dabei um die erste Radius-Lastenausgleichs-Lösung (Remote Authentication Dial In User Service) auf dem Markt. Sie wurde in Verbindung mit den Navis-Radius-Server-Produkten von Lucent Technologies entwickelt und ermöglicht Providern von Einwahlknoten, Breitband- und mobilen Datendienstleistungen Zugangsnetze mit verbesserter Verfügbarkeit und Skalierbarkeit anzubieten. Das Tool reduziert den Radius-Paketverlust und die Anzahl der erforderlichen Übertragungswiederholungen, optimiert die Server-Leistung, verbessert die Fehlertoleranz und vereinfacht die routinemäßige Wartung der Server. Hydra Radius ist sofort verfügbar und für einen Preis ab 12.000 Dollar erhältlich. (Rainer Huttenloher) Info: Hydraweb Tel.: 06150/181516 Web: www.hydraweb.com netzPRODUKTE/SERVICES INHALT PRODUKT-NEWS SPEICHERSYSTEME Speichersysteme: 60 RAID, Backup-Hardware/Software, Speichersubsysteme, Festplatten, optische Speicher, SANs Aktive Komponenten: 64 Bridges, Router, Hubs, Switches, Gateways, NICs, WLANs Management: 65 NOS, System- und Netzwerkmanagement, DBMS, Remote-Control-Software, Dokumentenmanagement, CRM Schutz/Sicherheit: 68 Firewalls, Virenschutz, KryptoProdukte, Authentisierungssysteme, PKI-Lösungen, USVs, Redundanzlösungen Endgeräte: 70 Server, Workstations, NCs, Laptops, PDAs, Drucker, Printserver, Scanner Verkabelung: 71 Kabel-(systeme), Stecker, Dosen, Schränke, Mediakonverter, Monitorzusammenschalter, Mobilar für Server-Räume Messtechnik: 72 Kabeltester, Protokoll-Analyzer, ISDN-ATM-Tester Internet/Intranet: 73 Server und Clients für Internetbasierte Dienste, Web-Server, Browser, E-Commerce, E-Business, Shop-Lösungen, HTML/XML-Editoren Messaging: 74 E-Mail, X.400, Faxlösungen, Verzeichnisdienste, Unified Messaging, EDI Host-Anbindung: 74 Terminalemulationen, Web-to-Host Telekommunikation: 76 ISDN, WAN, DSL-Techniken, Breitbandübertragung, VoIP Super-DLTLaufwerke ausgeliefert Die DLT und Storage Systems Group der Quantum Corporation hat mit der Auslieferung der ersten Super-DLTtape-Bandspeicherlaufwerke begonnen. In diesen Tagen gehen die Geräte der neuen Generation zunächst an Bandbibliothekhersteller wie Advanced Digital Information Corporation (ADIC), Overland Data, Quantum ATL und Storagetek. Im Zusammenhang mit Quantums Customer Engagement Program (CEP) erhielt auch die Compaq Computer Corporation Super DLTtape-Geräte für ausgewählte Kunden – eine Initiative, die sowohl OEM als auch Bibliothekspartner in den Produktzyklus von der Entwicklung bis zur Auslieferung 60 L AN line 12/2000 einbezieht. Die Super-DLTtape-Technologie bietet Abwärtskompatibilität mit der existierenden DLTtape-Produktfamilie und Benchmark DLT1. Wie vorhergehende Generationen von DLTtapeGeräten, soll Super-DLTtape alle führenden Systeme und Plattformen wie Unix, Linux, Netware, Windows NT, Windows 2000 und MacOS unterstützen. Nach Beginn der ersten Auslieferung der SuperDLTtapes mit einer Kapazität von 110 GByte und einer Transferrate von 11 MByte/s für den Midrange-Bereich wird Quantum weitere Standards für Bandspeicherung mit der Super-DLTtape-Familie setzen. (rhh) Info: Quantum Peripherals Tel.: 0041 22-9297626 Web: www.dlttape.com/super M4 Data mit LTO-Library Eine skalierbare Bibliothek für einen Speicherbedarf von bis zu 50 TByte präsentiert M4 Data mit seiner Magfile-Familie, bei der erstmals die LTOTechnologie (Linear Tape Open) zum Einsatz kommt. LTO wurde von IBM, HP und Seagate entwickelt. Es handelt sich dabei um ein offenes Format. Gegenüber anderen Aufzeichnungstechniken erlaubt das wesentlich kleinere und robustere Magnetband ein schnelleres Backup der Daten. Mit Magfile-LTO bietet M4 Data Speicherlösungen, die von der Desktop- und 19-Zoll- von Backup-Datensätzen durchgewechselt werden können. Darüber hinaus ist jedes Modul mit einem separaten Reinigungsband ausgestattet, sodass für die Cleaning-Funktion kein Speicherplatz vergeudet wird. Die Speicherkapazität der von M4 Data eingesetzten LTO-Ultrium-Kassette beträgt 100 GByte unkomprimiert bei einer Transferrate von 10 bis 20 MByte/s. Dies ermöglicht eine komprimierte Durchsatzrate von mehr als 100 GByte pro Stunde und Laufwerk. Das erweiterbare Magfile-LTO-Modul umfasst 24 Kassettenplätze und kann mit einem oder zwei LTO Laufwerken bis zu 2,4 TByte Die LTO-Technologie hält Einzug in die Magfile-Familie Einbauversion, bis hin zur kompletten Enterprise-Lösung maßgeschneidert werden können. Das schnelle Verarbeiten großer Datenmengen in Verbindung mit einfacher Bedienbarkeit erlauben es, alle 24 LTO-Cartridges des Magfile innerhalb weniger Sekunden auszuwechseln. Die Trennung der Datenbestände nach Eingabe- und Ausgabebereichen wird durch Dual-Magazine ermöglicht, während gleichzeitig verschiedene Generationen unkomprimierten Speicherplatz bereitstellen. Bis zu zehn Magfile-Module lassen sich mittels “Maglink” im selben Gehäuse zu einem MagstakLibrary-System zusammenschließen. Der Maximalausbau umfasst 250 Kassettenplätze mit einer Speicherkapazität von 50 TByte komprimiert und bis zu 20 LTO-Laufwerken. (rhh) Info: M4 Data Tel.: 06222/92280 Web: www.m4data.de www.lanline.de netzPRODUKTE/SERVICES SPEICHERSYSTEME Bandbibliothek mit AIT-3-Laufwerken Eine Verdoppelung der Kapazität und der Performance seiner AIT-Lösung “Library Pro” hat Overland Data angekündigt. Dazu stattet der Spezialist für automatisierte Bandspeicherlösungen seine AIT-basierte Tape Library mit den AIT-3-Laufwerken von Sony aus. Die Bandbibliothek kann auf bis zu neun Module aufgerüstet werden und fasst bis zu 20 AIT-3-Cartridges pro Modul. Das ergibt eine maximale native Speicherkapazität von 18 TByte und bis zu 47 TByte bei einer Komprimierung der Daten. Der maximale Durchsatz liegt bei 713 GByte/h (native Daten) und bis zu 1,85 TByte komprimierte Daten. Die Libray Pro eignet sich darüber hinaus für den platzsparenden Einsatz in Racks: Je nach gewünschter Konfiguration und StorageKapazität erreicht sie lediglich eine Höhe von 4 bis 36 U. Die dritte Generation von Sonys Advanced-Intelligent-TapeFormat speichert 100 GByte unkomprimierte Daten bei einer Übertragungsgeschwindigkeit zwischen 11 MByte/s (native). AIT-3-Laufwerke sind rückwärts kompatibel zu AIT1- und AIT-2-Datenträgern und liegen im Standard-5,25Zoll-Format vor. Die Library Pro ist in Overland Datas Garantieprogramm GUTS eingebunden, das Anwendern eine Laufzeitleistung von 99 Prozent und eine Datenwiederherstellung von 100 Prozent über drei Jahre ab Kaufdatum zusichert. (rhh) 80 GByte via Firewire Mit der “1394 External Storage-Lösung” bringt Maxtor ein externes Laufwerk auf den Markt, das mit dem Hochleistungs-IEEE-1394-Interface ausgestattet ist. Dank der IEEE-1394-Schnittstelle, (auch als Firewire oder i.LINK bezeichnet), können Anwender ihr System mit bis zu 80 GByte zusätzlichen Speicher für Backup-Aufgaben ausstatten. Zudem ist diese Lösung HotSwap-fähig und hat eine Datentransferrate bis zu 400 MByte/s. Es stehen Kapazitä- ten von 40 oder 80 GByte zur Verfügung. Für das 40-GByteModell liegt der empfohlene Einzelhandelspreis bei 799 Mark, für das 80-GByte-Modell bei 1199 Mark. (rhh) Info: Maxtor Tel.: 089 / 962419 Web: www.maxtor.com Info: Overland Data Tel.: 089 94490212 Web: www.overlanddata.com www.lanline.de L AN line 12/2000 61 netzPRODUKTE/SERVICES SPEICHERSYSTEME Datensicherung über das NDMP Eine Datensicherung über das plattformunabhängige Network Data Management Protocol, kurz NDMP, bieten Network Appliance und Syncsort mit dem Tool Backup Express. Diese Backup- und RestoreSoftware wird die Filer “F840c” und “F840” sowie das Betriebssystem “Data Ontap 6.0” von Network Appliance unterstützen. Durch Filer-toServer-Backup via NDMP können Daten von den FilerSystemen direkt auf ServerAttached-Tape-Libraries übertragen werden. Ein dynamisches Tape-Drive-Sharing ermöglicht zwischen Filern und Servern eine Auslastung der Backup-Hardware. Backup Express unterstützt eine Vielzahl an Möglichkeiten des Backups von Filern wie etwa das “3-Wege-Backup”: Damit können Anwender die Daten eines Filers auf einem Bandspeichergerät sichern, das an einen weiteren Filer angeschlossen ist. Die Belastung von Bandbreite und Appliances lässt sich so an individuelle Anforderungen anpassen. Laufwerke in Tape Libraries können gleichzeitig von den Filern und von Servern unter Unix, Windows NT und Netware genutzt werden. Über die SAN-Resource-Sharing-Option von Backup Express, kurz SRS, ist das dynamische TapeDrive-Sharing sogar in Storage Area Networks mit mehreren Filern und Backup-ExpressDevice-Servern möglich. Auch die Umstellung der Datensicherung von StorageNetzwerken mit dynamisch zugeordneten Bandspeichergeräten zu Backup-Konfiguratio- 62 L AN line 12/2000 nen mit direkt an die NetappFiler angeschlossenen Libraries wird durch die Kombination der Netapp-Lösungen und Backup Express vereinfacht. (rhh) Info: Network Appliance Tel.: 0800 / 2638277 Web: www.netapp.com MCE mit LTO-Ultrium Ab sofort hat MCE die Linear-Tape-Open-Laufwerke und -Tapes (nach der Ultrium-Version) im Programm. Diese Technologie kommt in IBMs Netzwerk- und SAN-Servern, “Komprimierte Kapazitäten” von bis zu 200 GByte schaffen die LTO-Bandlaufwerke NAS- und SAS-Speichern sowie Bandlaufwerken und Libraries zum Einsatz. Ein LTObasierendes Tape bietet Kapazitäten von bis zu 200 GByte komprimiert und eine Datentransferrate von bis zu 30 MByte/s. Die Bandspeicherprodukte sind skalierbar bis 248 TByte unkomprimiert (bei der Ultra Scalable Tape Library SL 7500). LTO-Ultrium eignet sich besonders für Me- www.lanline.de netzPRODUKTE/SERVICES SPEICHERSYSTEME dien- oder E-Business-Unternehmen, die bessere Verfahren suchen, um große Datenmengen wie etwa digitales Filmund Videomaterial zu archivieren. Mit dieser Technologie können sie die Suche und Wiedergabe von entsprechendem Material problemlos automatisieren. Bei der Verwendung in automatischen Tape-Libraries reduziert LTO Ultrium den komplexen Prozess des Bandwechsels auf wenige Sekunden. Die LTO-Ultrium-Produkte entstammen einer Initiative von IBM, Hewlett-Packard und Seagate, die zum Ziel hat, ein offenes IndustrieStandardformat für digitale Tapes zu schaffen. Die LTO-Ultrium-Laufwerke und -Tapes werden für AS/400-, Unix- und Windows-2000/NT-Nutzer unter dem IBM-Markenzeichen vermarktet und über OEMs vertrieben. (rhh) Info: MCE Computer Peripherie Tel.: 089/60807444 Web: www.mce.de Tapestor DAT 240-Bundle Mit dem Tapestor DAT 240 präsentiert Seagate die jüngste Erweiterung seiner preisgekrönten DDS-Produktlinie (Data Digital Storage). Dieses Bundle basiert auf DDS-4Technologie und besteht aus dem Scorpion 240, einem DDS-4 Autoloader sowie der Veritas-Backup-Exec-Server Solution-Software für Windows NT/2000 und Netware. Darüber hinaus sind im Lieferumfang enthalten: DDS-4Bänder, ein Magazin für sechs Kassetten, eine Reinigungskassette, Software-Utilities www.lanline.de und eine einfache Anleitung in mehreren Sprachen. Das Scorpion 240 kann bei einer 2:1Komprimierung bis zu 240 GByte Daten speichern. Zudem ist das Gerät kompatibel zu allen DDS-1-90-MeterBändern sowie zu DDS-2-, DDS-3- und DDS-4-Bändern. Eine Ausnahme bilden nur die DDS-1-60-Meter-Bänder. Die Utility- und Backup-Software erkennt fast volle oder defekte Bänder und wechselt automatisch zum nächsten Datenband. Der Scorpion-240-Autoloader hat weitere Neuerungen: optimierte Schreib-/Leseköpfe, eine Saphir-Reinigungsklinge und eine Reinigungsrolle in einer versiegelten Kammer. Das Bandlaufwerk hat Datentransferraten von bis zu 5,5 MByte/s, und das mit einer durchschnittlichen Dateizugriffszeit von 15 Sekunden – unabhängig vom Band, auf der die Daten gespeichert sind. Der Scorpion 240 verfügt des Weiteren über einen Bedienungsknopf, mit dem der Operator die Bänder manuell durchladen kann. Ein vierzeiliges LC-Display informiert den Anwender über den aktuellen Stand der Arbeitsabläufe – beispielsweise den Laufwerksstatus oder die Bandposition sowie Lade-/ Entlade-Operation und eventuelle Eingabefehler. Anwender können diese Informationen in Englisch, Französisch, Deutsch oder Spanisch abrufen. Das LED-Display kann darüber hinaus für horizontales und vertikales Lesen eingestellt werden. Die Tapestor DAT-240-Bundle-Lösung wird mit einer dreijährigen Garantie ausgeliefert. (rhh) Info: Seagate Technology Tel.: 0033 1 41861000 Web: www.seagate.com L AN line 12/2000 63 netzPRODUKTE/SERVICES AKTIVE KOMPONENTEN Bandbreitenmanagement für MANs Mit Ironware 7.1 stellt Foundry die aktuelle Version seiner Software für die Layer3-Switches der Big-Iron-Familie vor, die sich durch die “Global-Ethernet”-(GLEN-) Technologie und ein Bandbreitenmanagement auszeichnet. GLEN ermöglicht Metropolitan/Wide-Area-NetworkService-Providern, die BigIron-Switches einsetzen, ihr Serviceangebot durch Virtual Private Networking (VPN) und optimierte MAN-Dienste wie Multi-Tenant-Ethernet und Virtual Co-Location zu erweitern. Dazu unterstützt Ironware 7.1 folgende merkmale: Global Ethernet, bis zu 16 Millionen Super-Aggregated VLANs für VPN-basierte MANs, Services für feste/adaptive Bandbreitenzuweisung und Rate Limiting, neue Funktionen zum Schutz gegen “Denial of Service”Angriffe, erweiterte 4096 Wire-Speed Access Control Lists (ACLs), Network Address Translation (NAT), ein verbessertes VRR (Virtual Router Redundancy) Protokoll, dynamische Trunk- 64 L AN line 12/2000 “Global Ethernet” erlaubt VLANSicherheit Group-Kontrolle, Sicherheitsfunktionen (wie zum Beispiel eine VLAN-basierte Zugriffskontrolle, Autorisierungs- und Accounting-Support für Radius und Tacacs+, RSA-Authentifizierung für Secure Shell sowie Secure Copy Support). Über die Technologie Global Ethernet stehen native BreitbandEthernet-Lösungen in LANs, MANs, regionalen und globalen Netzwerken bereit. GLEN basiert auf der “Layer 2 PoS”(Packet over SONET) Implementierung, die die Vorteile von Ethernet und Sonet verbindet. Mit dieser Technologie können Provider sichere VPN-Services in einer bestehenden Sonet-Infrastruktur anbieten. Serviceanbieter können mit Hilfe der Rate-Limiting- und Rate-ShapingFunktionalität bedarfsabhängig Bandbreite von 256 kBit/s bis 10 GBit/s bereitstellen. QoS-Merkmale wie Paketklassifizierung und -priorisierung, Priority Mapping und Priority Enforcement sichern die Servicequalität und gewährleisten die schnelle, zuverlässige Weiterleitung von Datenpaketen mit hoher Priorität in der gesamten GlobalEthernet-Infrastruktur. Foundry-Kunden mit laufendem Service- oder Supportvertrag können Ironware 7.1 ab sofort kostenlos von der FoundryWebsite herunterladen. (rhh) Info: Foundry Networks Tel.: 089/3742920 Web: www.foundrynet.com Alles in einem Die Funktionen Traffic Redirection, Bandbreitenmanagement, Applikationsschutz und “Applikation Health Monitoring” hat Radware in eine einzige Plattform integriert: Die Syn-Apps-Architektur ist für die gesamte Radware-Produktpalette an Application-Switches verfügbar und kombiniert all diese Punkte in einer ASICbasierenden Switch-Plattform. Syn-Apps eliminiert Netzwerkunsicherheiten und bietet dem Anwender einen kontinuierlichen und sicheren Service. Mit der Integration all dieser Funktionalitäten in einer ITM-Lösung erweitert Radware erstmals die Bedeutung von Internet-Traffic-Management. Zu den Komponenten der SynApps-Architektur zählt das “Applikation Health Monitoring”. Dabei garantiert SynApps mit einer integrierten Funktionsüberwachung dem Benutzer ausfallsichere Dienste physikalischer und logischer Applikationsressourcen. Bei Server-Problemen werden Benutzer an alternative Ressourcen im lokalen oder globalen Netzwerk umgeleitet. Das Health Monitoring von SynApps beinhaltet Tools, die alle IP-Protokolle, Standard-Server-Agents sowie Web-Transaktionen und Inhaltsverifizierung überprüfen. (rhh) Info: Radware Tel.: 089/93086230 Web: www.radware.com www.lanline.de netzPRODUKTE/SERVICES MANAGEMENT Winternal-Toolsuite Die exklusiven Vertriebsrechte für die Winternals Advanced-Software-Tools hat Prosoft Software für Deutschland, Österreich und die Schweiz übernommen. Die Winternal-Tools gliedern sich in die Bereiche “Backup & Repair” (schnelle Fehlererkennung und Fehlerbeseitigung), “File-System-Tools” (FAT, FAT32, NTFS) und “System-Monitoring-Tools” (Analyse und Änderungen bei TCP/IP, Registry und Dateisystem). (rhh) Management von Exchange 2000 Seine Management-Software “bv-Control” hat Bindview für Microsoft Exchange optimiert. Eine Reihe neuer Funktionen sorgt für eine bessere Speicherausnutzung und für einen ausgewogenen Message-Verkehr. Einzelne oder mehrere Postfächer können mittels einfachem Drag and Drop zwischen Standorten, Servern und Containern verschoben werden. Zusätzlich verstärkt “bv-Control für Microsoft Exchange 1.5” die Verfügbarkeit und Performance von Exchange-Servern durch Skripts für Monitoring und Alerting auf Internet Information Server sowie von Antwort- und Verbindungszeiten. Die Management-Software vereinfacht Policies für die Exchange-Konfiguration und Info: Prosoft Software Tel.: 08171/4050 Web: www.prosoft.de Exchange-Option für TNG Unicenter Mit “Unicenter TNG Microsoft Exchange Option 2.0” gewährleistet CA eine höhere Verfügbarkeit für diese Microsoft-Plattform. Dazu verfügt die CA-Software über Funktionen sowohl für die erweiterte Performance-Überwachung als auch für ein zentralisiertes Berichtswesen. Mit Hilfe der Neugents lassen sich eine Vielzahl von Parametern analysieren und mögliche Problemkreise in ExchangeUmgebungen proaktiv erkennen. Eine weitere Funktionalität ist die vereinfachte Verwaltung von ClusterUmgebungen auf Basis von Windows 2000 und Windows NT durch Unicenter TNG. (rhh) Info: CA Computer Associates Tel.: 06151/9490 Web: www.cai.com/offices/germany www.lanline.de L AN line 12/2000 65 netzPRODUKTE/SERVICES MANAGEMENT identifiziert Regeln für die EMail-Speicherung und andere unternehmensspezifische Richtlinien. Zudem analysiert die Software Exchange Transaction Logs, womit sich die Server-Auslastung über eine Vielzahl von Standorten verteilen lässt. Ein effizienteres Exchange-Management wird zudem realisiert durch eine schnellere Ausführung der Anfragen sowie die Bereitstellung einer Web-Konsolen-Schnittstelle, über die Anfragen ausgeführt, Ergebnisse aufgezeigt und Warnsignale erhalten werden können. (rhh) Info: Bindview Tel.: 06102/4375-13 Web: www.bindview.de Management von Remote-Systemen Mit Remoteware 4.0 präsentiert Excellenet die aktuelle Version seiner Remote-Systems-Management-Lösung. Damit sind IT-Manager in der Lage, PCs und POS-(Point-ofSale-)Geräte an entfernten Standorten kontrollieren und warten. Da die Kommunikation über TCP/IP gegenüber asynchronen Verbindungen an Bedeutung zunimmt, bietet Version 4.0 zusätzliche Funktionen für das Bandbreitenmanagement in TCP/IP-Umgebungen. So lassen sich IP-Ports “segmentieren”, das heißt ITManager haben die Möglichkeit, IP-Ports zu gruppieren und bestimmten Clients oder Session-Typen Gruppen zuzuweisen. Damit lässt sich sicherstellen, dass allen Remote-Systemen die notwendige Bandbreite zur Verfügung steht und die Zahl der erfolglosen Ver- 66 L AN line 12/2000 Installation und Inventarisierung von Software unterstützt Remotware 4.0 bindungen reduziert wird. Zudem sind einzelnen IP-Ports Prioritäten zuweisbar. Damit können Administratoren Ports für wichtige Sessions reservieren und sicher sein, dass dafür immer genügend Bandbreite zur Verfügung steht. Zudem wurde bei Remoteware 4.0 die Kommunikation über langsame Verbindungen verbessert. So haben Administratoren die Möglichkeit, Software-Pakete oder Dateien in Segmente aufzuteilen, diese Segmente auf mehrere Übertragungen verteilt an Client-Systeme zu senden und das Paket oder die Datei automatisch zu reorganisieren, sobald alle Segmente angekommen sind. Für den Administrator hat das den Vorteil, dass er die Dauer der Kommunikations-Sessions kontrollieren kann. Remoteware 4.0 verfügt außerdem über Erweiterungen, um Betriebssystemplattformen wie Windows 2000 zu unterstützen. Der Support von Active Directory, Network Load Balancing, Intellimirror und Kerberos-Security ist dabei gegeben. Zudem unterstützt Remoteware 4.0 den Windows Installer und die Inventory Scan Engine. Der Remoteware-4.0-Server läuft un- ter Microsoft Windows 95/98/NT und Windows 2000 und ist direkt über Xcellenet erhältlich. Der Preis für den Remoteware-Server beginnt bei 16.000 Mark. (rhh) Info: Xcellenet Tel.: 0209/1672791 Web: www.xcellenet.com Zentraler Zugriff auf Server Den zentralen Zugriff auf bis zu 256 Server eines Rechenzentrums erlauben die neuen Administrations-Systeme der Marke Cybex. Die Modelle 416 und 424 der Autoview-Familie wurden entwickelt, um die zentrale Steuerung kompletter Rechenzentren von zwei entfernten Arbeitsplätzen zu ermöglichen. Im Einzelbetrieb können so 16 beziehungs- weise 24 Server (bei Kaskadierung mehrerer Geräte bis zu 256 PS/2-, Sun- oder USBkompatible PC) verwaltet werden. Die Modelle der Autoview-400-Serie stellte Avocent Deutschland erstmalig auf der diesjährigen Systems vor. Die beiden jüngsten Server-Managementlösungen aus dem Hause Avocent bieten mehr Flexibilität im Rechenzentrum. Möglich ist nicht nur der Zugriff direkt am Server-Rack, sondern auch von einem Büro weitab vom Standort der Rechner. Mit den beiden Managementlösungen schreitet Cybex der Entwicklung in Deutschlands Rechenzentren voran: Reichte noch vor einem Jahr ein Achtfachumschalter aus, um alle PCs in einem 19-ZollRack zu verwalten, finden nun schon 24 Server Platz in einem dieser Schränke. Dieser Trend wird von Autoview aufgegriffen: Hier ermöglicht ein Gerät mit einer Höhe von nur 45 Millimetern die zentrale Administration von 24 Servern und spart somit die Anschaffungskosten von 24 Monitoren, 24 Mäusen und 24 Tastaturen. Mit Entwicklung der Modelle 416 und 424 stehen Lösungen nun in Versionen mit 8, 16 und 24 Ports sowie als PS/2 oder Multiplattform-Lösung zur Verfügung. (rhh) Info: Avocent/Cybex Tel.: 05204/913481 Web: www.cybex.com Die zentrale Steuerung kompletter Rechenzentren von entfernten Arbeitsplätzen aus bietet die Autoview-Familie www.lanline.de netzPRODUKTE/SERVICES MANAGEMENT W2K und Active Directory verwalten Die Version 4.0 von “bv-Admin für Windows 2000” hat Bindview vorgestellt. Diese Version arbeitet mit einer Web-basierten Benutzeroberfläche, die als erste ihrer Art speziell auf die für Windows 2000, Active Directory und Windows NT erforderlichen Managementanforderungen angepasst ist. Simultan lassen sich auch andere Umgebungen warten. Berechtigte Administratoren können Managementaufgaben ausführen, indem sie unabhängig von einem bestimmten Rechner über einen Web-Browser auf die Konsole zugreifen. Zudem verfügt die Version 4.0 über eine dynamische, rollenbasierte Administration, volle Unterstützung für Active Directory und SQLServer sowie Administration über “Managed Collections”. Durch das Migrationsmanagement von Windows NT, Netware und Exchange 5.5 von einer Konsole aus ermöglicht die Lösung von Bindview den Einsatz von Windows 2000 und Active Directory in weltweit agierenden Unternehmen. Durch die Unterstützung von SQL Server skaliert diese Software bis zu tausenden von Anwendern und Gruppen. Die Management-Software erlaubt zudem eine individuelle Sicht auf das Netzwerk, sodass der Administrator nur die Details sieht, die er verwalten kann. Dadurch wird die Produktivität gesteigert und die Komplexität des Managements eines heterogenen Netzwerks reduziert. Neben der kompletten Unterstützung von Active Directory bietet “bv-Admin für Windows 2000” eine modellbildende www.lanline.de Funktion, die die Active-Desktop-Hierarchie in einer Windows-NT-4.0-Umgebung planen hilft. Diese Modellbildung reduziert das Risiko der Migration und ermöglicht einen effizienten und kosteneffektiven Migrationspfad. Zudem wurden Automation und Scripting durch Verwendung der Windows-2000-Infrastruktur, einschließlich ADSI, COM, XML und anderer .NET-Technologien von Microsoft, verbessert. Das Management über eine einzige Konsole gibt Netzwerkadministratoren die Kontrolle über die Windows NT-, Windows 2000- und Active-Directory-Umgebungen und die Möglichkeit des gleichzeitigen Managements von Netzwerkinformationen. (rhh) Info: Bindview Tel.: 06102/4375-13 Web: www.bindview.de L AN line 12/2000 67 netzPRODUKTE/SERVICES SCHUTZ/SICHERHEIT Black Box gegen Einbrecher Linogate erweitert die Firewall seiner Internet-Appliance Defendo um Funktionen zur Intrusion Detection. Das zwischen LAN und Internet arbeitende Gerät will damit böswillige Aktionen potenzieller Eindringlinge identifizieren und abwehren. Neben Stateful-Packet-Filtering und Virus-Scanning soll die Appliance nun auch Schutz vor Port-Scans, Denial-of-Service-Attacken, Buffer-Overflow-Angriffen und bekannten Hacker-Tools bieten. Zu diesem Zweck untersucht Defendo eingehende Pakete auf unerwünschte Inhalte und meldet sich beim Administrator per E-Mail, wenn verdächtige Aktionen bemerkt wurden. Auch ausgehende E-Mails untersucht das Gerät, um beispielsweise die ungewollte Verbreitung von trojanischen Pferden zu verhindern. Im Notfall fährt sich Defendo automatisch herunter und trennt damit den Zugang zum Internet. Die Internet Appliance läuft unter Linux und kann mit einem beliebigen Web-Browser administriert werden. Neben einer Firewall arbeiten in dem Gerät zudem ein Web-, E-Mail, DHCP-, DNS- und FTP-Server. Defendo small für bis zu 20 Anwender kostet 2780 Mark, in der Medium-Version für 50 Nutzer sind 3980 Mark fällig. Ohne 68 L AN line 12/2000 Die Internet-Appliance Defendo verfügt nun über Funktionen zur Intrusion Detection User-Limitierung schlägt Defendo mit 7900 Mark zu Buche. (gh) Info: Linogate Tel.: 0821/2596-330 Web: www.defendo.net E-Mail: scholz@linogate.com Sandkasten fürs Netzwerk Sandbox Security macht ihre Desktop-Firewall Secure4u 5.0 netzwerkfähig. Zudem stattet der Hersteller das Produkt mit einem Learning-Mode, Content-Filtering-Funktionen so- wie erweitertem Auditing und Logging aus. Der Secure4uClient überwacht auf Arbeitsstationen unter Windows 95 bis 2000 die Zugriffe von Applikationen auf lokale Ressourcen und auf das Internet und unterbindet diese, sofern eine entsprechende Sicherheitsrichtlinie von dem Administrator definiert wurde. Die gleichen Mechanismen greifen auch bei der lokalen Ausführung von aktivem Content wie Active-X-Controls, Java-Applets, Javascript und Visual-Basic-Script, der in Web-Seiten enthalten sein kann. Der Learning-Mode er- möglicht es dem Administrator, Systemzugriffe einer Applikation während und nach deren Installation zu protokollieren. Anschließend kann er in einer Sicherheitsrichtlinie festlegen, welche dieser Aktionen das entsprechende Programm auf den Arbeitsstationen ausführen darf. Zur Administration klinkt sich die Software in die Microsoft-ManagementKonsole ein. Die Verteilung der Clients erfolgt per Microsoft-SMS, alternativ kann das Programm auch über Zenworks, Intels LAN-Deskmanager oder Netinstall im Netzwerk verteilt werden. Beim Starten des Clients auf den Arbeitsstationen holen sich diese von einem freigegeben Share im Netzwerk die aktuellen Sicherheitseinstellungen ab und wenden diese auf den lokalen Rechner an. Erweitertes Content-Filtering verhindert den Zugriff auf unerwünschte Web-Seiten. Zudem kann die Software E-Mails auf vordefinierte Begriffe hin untersuchen und gegebenenfalls den Versand verhindern. Die AlertFunktion informiert den Administrator bei unautorisierten Zugriffen von Clients auf Netzwerkressourcen. Secure4u Enterprise Edition ist ab sofort in Deutsch verfügbar. Der Preis beginnt ab 156 Mark pro Benutzer. (gh) Info: Sandbox Security Tel.: 089/80070-0 Web: www.sandboxsecurity.com www.lanline.de netzPRODUKTE/SERVICES SCHUTZ/SICHERHEIT Sensible Dateien schützen Die Software Safeguard Privatecrypt von Utimaco verschlüsselt Dateien nach dem neuen Advanced-EncryptionStandard (AES) mit dem Rijndael-Algorithmus. AES ist als Sieger eines Technologiewettbewerbs des amerikanischen National Institute of Standards and Technology (NIST) hervorgegangen und soll den seit 1970 genutzten Data Encryption Standard (DES) ablösen. Der von Privatecrypt verwendete Schlüssel wird durch ein Passwort erzeugt, das der Anwender eingibt. Die Software kann zudem selbstextrahierende Dateien generieren. Zum Auspacken muss der Benutzer lediglich das richtige Passwort eingeben. Privatecrypt läuft unter den 32-Bit-Versionen von Windows und ist für Privatanwender kostenlos auf der Homepage von Utimaco erhältlich. Für Unternehmen kostet die Software knapp 57 Mark. (gh) kurzen Zwischenstop in einem speziellen Rechenzentrum ein. Dort werden sie gefiltert, überprüft, gereinigt und anschließend weitergeleitet. Laut Allasso dauert der gesamte Vorgang maximal 15 Sekunden und ist für den Benutzer nicht wahrnehmbar. Voraussetzung für die Nutzung des Dienstes ist ein auf SMTP basierender Mailserver. Nach der Anmeldung zu E-Scan erhält der Kunde ein Welcome-Paket, in dem die neuen Einstellung für den eigenen Mailserver sowie Anweisungen für den InternetService-Provider beschrieben sind. Über die E-Scan-Homepage kann der Kunde dann sei- ne E-Mail-Sicherheitsrichtlinien gemäß der Unternehmenspolitik konfigurieren. Die einmalige Einrichtungsgebühr für E-Scan beträgt 3200 Mark. Für 100 Nutzer werden weiterhin 7700 Mark pro Jahr fällig. (gh) Info: Allasso Tel.: 089/450660-0 Web: www.allasso.de Info: Utimaco Safeware Tel.: 06171/917-0 Web: www.privatecrypt.de/de/ E-Mail: contact@privatecrypt.com E-Mail-Sicherheit zur Miete Allasso bietet ab sofort über seine Reseller den ManagedSecurity-Service E-Scan an. Der Dienst ermöglicht das Auslagern des gesamten Prozesses der E-Mail-Sicherheitsprüfung an einen externen Service-Provider. Bei Nutzung des Dienstes legen ein- und ausgehende E-Mails auf ihrem Weg zum Empfänger einen www.lanline.de L AN line 12/2000 69 netzPRODUKTE/SERVICES ENDGERÄTE Wartungsfreundlicher Desktop Speziell für den Einsatz in Netzwerken jeder Größe ist der Desktop-PC Optiplex GX150 von Dell gedacht. Dem Administrator kommt das Gerät durch den fast vollständigen Verzicht auf Schrauben im neu entwickelten Optiframe Small-Desktop-Chassis entgegen. Im Inneren des horizontal wie vertikal aufstellbaren Rechners arbeitet Intels 815E-Chipsatz in Kombination mit einem Celeron- oder Pentium-IIIProzessor. Auf dem Motherboard integrierte der Herstel- Der Optiplex GX150 von Dell integriert Grafik-, Sound- und Netzwerkkarte auf dem Motherboard ler einen AGP-Controller, optional kann eine AGP-Grafikkarte auf dem 4xAGPSteckplatz nachgerüstet werden. Den Anschluss an das Firmennetz übernimmt die ebenfalls integrierte 3ComFast-Etherlink-10/100-Netzwerkkarte mit Wake-up-OnLAN-Unterstützung. Die Einstiegskonfiguration mit PIII-800, 64 MByte PC133SDRAM, 10 GByte ATA100-Festplatte, CD-ROM und 17-Zoll-Monitor kostet 70 L AN line 12/2000 2610 Mark. Zum Einführungspreis von knapp 2000 Mark stattet Dell den GX150 bis zum 30. November mit PIII-800, 128 MByte RAM, 20-GB-Festplatte und Nvidia TNT2-4x-AGP-Grafikkarte aus. (gh) Info: Dell Tel.: 01805/224465 Web: www.dell.de Notebook mit Fingerspitzengefühl Ein integrierter Fingerabdrucksensor soll das neue Spitzenmodell der Travelmate-730-Serie von Acer sicherer machen. In Kombination mit dem Sensor ermöglichen die Windows-Programme VBX und Whoisit die Einrichtung von unterschiedlichen Nutzerprofilen mit differenzierten Zugriffsberechtigungen. Eine Kryptofunktion der Software verschlüsselt wichtige Daten auf der Festplatte, die nur identifizierten Nutzern zugänglich gemacht werden. Der Travelmate 739TLV ist mit einem Intel-Pentium-IIIProzessor mit 850 MHz Taktfrequenz, 128 MByte Arbeitsspeicher, 15-ZollTFT-Bildschirm, DVDLaufwerk sowie einer 56KModemund EthernetSchnittstelle ausgestattet. Für rund 11.200 Mark gibt es das Notebook inklusive Windows 2000 Professional. Big-Brother-Freunde werden die Variante mit Windows 98 und Webcam zum selben Preis vorziehen. (gh) Info: Acer Tel.: 0800/22449999 Web: www.acer.de www.lanline.de netzPRODUKTE/SERVICES VERKABELUNG Kategorie-6-Komponenten von Hirose Kompakter Seriell/ Ethernet-Konverter Der japanische Hersteller Hirose stellt mit der TM21Serie Kategorie-6-Anschlusskomponenten auf den Markt, mit denen die Anforderungen der künftigen Klasse E eingehalten werden können. Dabei sollen die NEXT-Werte (NEXT: Nahnebensprechen) weit über den Vorgaben des Standardentwurfs ISO/IEC 11801 liegen. Laut Hirose soll die zugehörige Buchse NEXT-Werte bis 50 dB erzielen. Die Komponenten nehmen Verlege- und Rangierkabel auf und besitzen neue einund zweiteilige Knickschutztüllen für Kabel bis 6,6 Millimeter Durchmesser. Die Reihe auch ein “Guide Plate” für 1,1-mm-Litzen verfügbar sein. (db) Der Single-Port-Konverter MDS-10 von Equinox leitet Daten von seriellen Schnittstellen mit DB25-Anschlusstechnik in ein Ethernet-Netz (10Base-T). Die maximale Datenrate soll bei 115 kBaud liegen, zudem soll der Adapter modemkompatibel sein. Laut Distributor Communiports unterstützt das Gerät TCP/IP, Telnet, SNMP, TFTP und http und arbeitet unter Windows NT 4.0, Windows 2000 sowie Linux. Communiports bietet den MDS-10 für unter 900 Mark an. (db) Info: Hirose Tel.: 0711/4560021 Web: www. Hirose.de Info: Communiports Tel.: 08142/47284-0 Web: www.communiports.de www.lanline.de Die Kategorie-6-Komponenten der TM21-Serie von Hirose TM21-Komponenten kosten im Schnitt etwa doppelt so viel wie die Kategorie-5+Komponenten des Herstellers und sind ab sofort erhältlich. Und ab Dezember soll für die L AN line 12/2000 71 netzPRODUKTE/SERVICES MESSTECHNIK Qualitätssicherung an X.21-Schnittstellen Aurora X.21 von Trend Communications ist ein Zusatzgerät für die ISDN-Tester Aurora Duett und Aurora Sonata des Herstellers. Damit hat der Anwender die Möglichkeit, Bitfehlerratentests nach G.703 (2048 kBit/s ungerahmt) und nach G.704 (1920 und 1984 kBit/s gerahmt) auf Bit-transparenten Standleitungen durchzuführen. Außerdem lassen sich damit laut Hersteller X.21-Endgeräte auf ihre Funktionsfähigkeit hin überprüfen. Auch Funktionstests von E1/X.21Adaptern sind damit möglich. Das Gerät erkennt automatisch die Bandbreite und Takt- satz. Trend Communications bietet das Zusatzgerät bis zur Jahreswende noch zum Einführungspreis von rund 3000 Mark an. (db) Info: Trend Communications Tel.: 089/323009-30 Web: www.trendcomms.com Portabler ProtokollAnalyzer für TK-Netze Das Nethawk-System von Rohde & Schwarz eignet sich für die Protokollanalyse und für Simulationen in Telekommunikationsnetzen. Das System soll tragbar sein und sich aus verschiedenen Einsteckkarten und Software-Tools zusammenset- Expertensystem für ISDN-Analyzer Für seine ISDN-Protokollanalysatoren WatchS0/I (mit 128 KByte RAM), WatchS0/ II (512 KByte RAM) und Watch S2M entwickelte Onsoft das Analyse-SoftwarePaket Pcwatchcom. In diese Software integriert der Hersteller jetzt einen Teil seines Expertensystems mit den bekanntesten ISDN-Fehlerquellen. Tritt bei einer Messung eines dieser Fehlermuster auf, löst die Software eine frei definierbare Aktion aus, sendet zum Beispiel eine SMS-Nachricht an das Handy des Administrators. Zudem erfährt der Anwender vor Ort über das Expertensystem, welche Ursachen diese Störung haben könnte. Die ISDN-Analyzer kosten mit der Analyse-Software zwischen 900 und 3000 Mark. Das Expertensystem ist zur Zeit allerdings nur als Vorabversion erhältlich und soll zur CeBIT 2001 marktreif sein. (db) Info: Onsoft Tel.: 030/390408-0 Web: www.onsoft.de Front- und Rückansicht des Aurora X.21 von Trend Communications Internet-Nutzer an Breitbandnetzen quelle (intern/extern) der angeschlossenen Festverbindung und zeigt sie über LEDs an. Außerdem passt es den Takt an den angeschlossenen Aurora-Tester an. Versorgt wird das Zusatzgerät über den angeschlossenen Tester. Die Aurora-X.21-Geräte sind so groß wie eine CD-Box und eignen sich für den Feldein- Telcos und Service-Provider können sich mit individuellen Parametern an einem Panel beteiligen, das das Verhalten von Internet-Usern untersucht, die über einen Breitbandanschluss verfügen. Damit ist ADSL, Kabel-TV oder Glasfaser gemeint. Netvalue ließ sich für dieses Umfrage-Panel von Emnid entsprechende Internet-User 72 L AN line 12/2000 zen. Es ist für die Entwicklung, Abnahme und Überwachung von Telekommunikationseinrichtungen konzipiert und unterstützt Übertragungstechniken wie GSM, GPRS, DECT, ISDN und W-CDMA. (db) Info: Rohde & Schwarz Tel.: 089/4129-0 Web: www.rohde-schwarz.com auswählen, die sich bereit erklärt haben, eine MonitoringSoftware bei sich am Rechner installieren zu lassen. Über diese Software sammelt Netvalue bei diesen Nutzern die Daten über ihr Verhalten im Internet, wie oft sie beispielsweise EMails versenden oder empfangen, ob und welche Newsgroups oder Chatrooms sie besuchen oder wie oft sie Software vom Web herunterladen oder Audio- oder Video-Streaming einsetzen. Der Indikator “Globale Nutzung” gibt zum Beispiel Aufschluss darüber, welche Websites ein User wie lange besucht und wie groß die Datenmengen sind, die dabei übertragen werden. Außerdem kann Netvalue die Anwender nach verschiedenen Untergruppen sortieren. So ist es zum Beispiel auch möglich, das Verhalten von ADSL-Nutzern mit Anwendern mit herkömmlichem Web-Anschluss zu vergleichen. Die Netz- und Diensteanbieter sollen über diesen “My Broadband Panel” neue Dienste vor dem offiziellen Launch auf Funktion, Inhalt und Effizienz der Netze testen können. Außerdem lassen sich auf der Grundlage des UserVerhaltens neue Produkte und Dienste entwickeln oder WebInhalte oder Partnerstrategien anpassen. Auch die Plattformkonfiguration und die Qualität der Dienste kann der Netzbetreiber darüber optimieren. Die Preise für individuelle Abfragen in diesem “My Broadband Panel” richten sich nach der Anzahl der abgefragten Teilnehmer und nach Art und Anzahl der überwachten Dienste. (db) Info: Netvalue Tel.: 06196/9202-108 Web: www.netvalue.com www.lanline.de netzPRODUKTE/SERVICES INTERNET/INTRANET Web-Filter für Unternehmen Das ursprünglich von Siemens-Mitarbeitern entwickelte Freeware-Tool Webwasher zur Filterung von Werbe-Bannern auf Web-Seiten wird erwachsen. Mit der Enterprise Edition (EE) möchte die ausgegründete Webwasher AG jetzt auch Unternehmen umfassenden Schutz vor Sicherheitsrisiken und unterwünschtem Datenmüll bieten. Webwasher EE arbeitet als Proxy-Server unter Windows NT 4.0, Windows 2000, Solaris und Linux. Zu den Funktionen gehören Filter nach Objektgrößen, Filter nach URLs und Zeichenketten, Popup-Filter, Objektfilter für Bil- www.lanline.de der, Applets, Plug-ins, Scripts, Animationen (GIF, Shockwave, Flash), Negativ- und Positiv-Selektion von Filterkriterien, Zugriffskontrolle für unterwünschte Web-Seiten sowie Cookie- und Webbug-Filter. Die Administration erfolgt über ein Web-Interface. An Optionen bietet der Webwasher eine OPSEC-Schnittstelle, Firewall-1-Integration, ICAPServer, Netcache-Integration, Squid-Ankopplung sowie eine internationale und deutsche URL-Filterliste. Das Produkt ist ab Dezember verfügbar. Preise nennt der Hersteller auf Anfrage. (gh) Info: Webwasher.com Tel.: 05251/50054-0 Web: www.webwasher.com CMS für Windows-Plattform Die Version 3.0 des auf der Microsoft COM-Technologie (Component Object Model) basierenden Content-Management-Systems Schematext kündigt der Nürnberger Hersteller Schema an. Die Software ist in der 3-Tier-Architektur realisiert und besteht aus einer Datenbank, einem ApplicationServer sowie den Clients. Über COM/DCOM können Unternehmen alle Applikationen in das CMS integrieren, die ebenfalls auf der COM-Architektur basieren. Ebenso lässt sich das System mit allen COMfähigen Programmiersprachen wie Visual Basic, Javascript, Perlscript, C++ oder Delphi ansprechen und erweitern. Dynamische Web-Seiten generiert Schematext über einen Web-Server mit COMSchnittstelle wie den Internet Information- Server oder Apache mit PHP4. Schematext produziert neben Web-Seiten auch technische Dokumentationen und Online-Hilfen. Die Einzelplatzversion ist ab 4800 Mark erhältlich. Die Client-/ Server-Variante mit entsprechenden Verwaltungsmechanismen schlägt mit 49.900 Mark für den Server und 23.000 Mark für den Client zu Buche. (gh) Info: Schema Tel.: 0911/586861-0 Web: www.schema.de L AN line 12/2000 73 netzPRODUKTE/SERVICES MESSAGING UND HOST-ANBINDUNG Mobiles Mail-System Mit Skyfile hat Shamrock ein Mail-System auf den Markt gebracht, das in einem LAN oder auch mobil via GSM, Inmarsat, Modem sowie ISDN eingesetzt werden kann. Skyfile wurde zunächst in Zusammenarbeit mit Detesat für Inmarsat-Verbindungen entwickelt, um einen möglichst effizienten Transfer von E-Mails über Satellitenstrecken zu gewährleisten. Dazu nutzt die Client-/Server-basierende Windows-Software eine Online-Kompression und kann Daten in beiden Richtungen gleichzeitig übertragen. Auch ein Wiederaufsetzen innerhalb einer Datei nach Verbindungsabbrüchen ist möglich. In der Satelliten-Erdfunkstelle Raisting hat die Detesat hierzu ein POP3/SMTP-Gateway installiert, das unter anderem Anwendern auf Schiffen oder in entlegenen Gebieten den MailAustausch erlaubt. Shamrock bietet jetzt auch für GSM-, Modem- und ISDNNutzer ein Gateway an, das für bis zu drei Anwender kostenlos aus dem Internet unter www.shamrock.de heruntergeladen werden kann. Versionen für zehn oder 100 Benutzer kosten 440 beziehungsweise 1760 Mark. Über die GatewaySoftware ist eine zentrale Anbindung über einen beliebigen Internet-Provider via POP3/ SMTP möglich. Skyfile unterstützt auch so genannte Softmodems, also virtuelle Modemteiber für Kabel- oder Infrarotverbindungen von GSM-Handys oder für PCMCIA-Adapter. Die MailSoftware soll dank Kompression, bidirektionalem Transfer und dem Verzicht auf Base64- 74 L AN line 12/2000 Codierung von Binärdaten die Übertragungsgebühren um 50 Prozent oder mehr senken. Auch als Mail-Lösung innerhalb eines LANs kann Skyfile fungieren. Die Oberfläche entspricht weitgehend gewohnten Mail-Programmen und erlaubt zusätzlich auch das Senden von SMS-Nachrichten und Telefaxen. (mw) Info: Shamrock Software Tel.: 01387/5882 Web: www.shamrock.de UMS für den Mittelstand Trius hat zur Systems eine UMS-Lösung (Unified Messaging System) für mittelständische Unternehmen vorgestellt. Trius UMS 2000 fasst die Dienste Voice, Fax, SMS, EMail und TTS (Text to Speech) unter der Outlook-Oberfläche zusammen. Die UMS-Lösung wird in verschiedenen Ausbaustufen mit Erweiterungslizenzen von 5 bis 50 Benutzern angeboten. Den Einstieg ermöglicht das 5-User-Basispaket zum Preis von 3468 Mark inklusive der ISDN-Karte Eicon Diva Server BRI. Das System lässt sich in 5, 10 und 20-er Schritten bis zu einer maximalen Anwenderzahl von 50 erweitern. Der Gesamtpreis des voll ausgestatteten Systems mit 50 Benutzern beträgt 9948 Mark. Das Trius-UMS-System arbeitet mit dem ExchangeServer zusammen und integriert neue Eigenschaften und Dienste. So werden etwa Sprachnachrichten aufgezeichnet, die bei Bedarf über ein beliebiges Telefon oder Outlook abgehört oder weitergeleitet werden können. Des Weiteren erkennt das UMS-System auch die Dringlichkeit von Nachrichten und reagiert beispielsweise auf eine wichtige E-Mail mit einer SMS-Info auf das Handy. (mw) User-Windows via Citrix Metaframe oder Windows Terminal Server. Alle drei genannten Alternativen sorgen für eine zentrale Installation und Ressourcenverwaltung. (mw) Info: Trius Tel.: 06175/9377-0 Web: www.trius.de Info: Esker Enterprising Connections Tel.: 0201/82157-0 Web: www.esker.de E-Mail: info@esker.de Komplettpaket für Host-Zugriff Esker bietet mit der neuen Version 11 der ConnectivitySoftware Tun Plus ab sofort PC-to-Host-, Web-to-Hostund Multi-User-Windows-Zugriff in einer einzigen Lösung. Neue Lizenzierungsoptionen ermöglichen es Unternehmen, Tun Plus für jede einzelne oder eine Kombination aller Technologien einzusetzen, diese zentral zu verwalten und bei Bedarf zentral upzugraden. Tun Plus unterstützt in der Version 11 zudem Windows 2000. Die Software umfasst unter anderem mehr als 30 verschiedene Emulationstypen, die den Zugriff auf IBM-Mainframes, AS/400, HP, DEC sowie auf Server, die unter SCO-, Linux und anderen Unix-Versionen gestatten. Des Weiteren ermöglicht die Software den Zugriff auf Datenbanken wie Oracle, Informix, DB2, Sybase, Progress und C-ISAM. Mit den “Customization Tools” kann der Administrator Terminaloder Datenansichten überarbeiten und so für eine Host-Applikation ein Front-end im Windows-Stil erzeugen. Die Funktionen für Emulation, Datenbank und Netzwerk stehen unabhängig von der gewählten Zugriffsmethode zur Verfügung: PC, Web oder Multi- Hostexplorer 7.0 Hummingbird hat die Version 7.0 des Hostexplorers präsentiert. Schlüsselmerkmale der Host-Access-Software sind das neue ActiveX-Interface und die uneingeschränkte Unterstützung für Windows 2000 sowie Microsoft Windows Installer (MSI). Mit Hostexplorer können PC-Anwender über TN3270E,TN5250E-, VT420- und Telnet-Applikationen auf Hostbasierende Daten (IBM-Mainframe, -AS/400, Linux- und Unix-Systeme) zugreifen. Zu den Funktionen der Software zählen Jconfig, ein Java-basierendes FernkonfigurationsTool, ActiveX/COM-, OHIOAPI-Unterstützung, WinHLLAPI/EHLLAPI-Support, Host- und FTP-Profile im Windows Explorer sowie GUILPR-Unterstützung. Neue Features sind unter anderem die uneingeschränkte COM-Kompatibilität, die IBM-3151-Terminalemulation, ein verbessertes Tastatur-Mapping sowie die 5250-Datenübertragung. In der Version 7.0 wurden alle Host-Zugriffsprodukte von Hummingbird in verschiedenen Sprachen lokalisiert. (mw) Info: Hummingbird Tel.: 089/747308-0 Web: www.hummingbird.com www.lanline.de netzPRODUKTE/SERVICES TELEKOMMUNIKATION ISDN-Speed mit Windows CE Die schnelle Datenübertragung via ISDN steht ab sofort allen Anwendern von Endgeräten offen, die Windows CE als Betriebssystem verwenden. Damit ist es den Besitzern von Minicomputern, Palms oder PDAs (Personal Digital Assistants) ab sofort möglich, ihre Datenübertragung per ISDN zu optimieren. Das betrifft zum einen den Datendurchsatz, der durch die Bündelung zweier ISDN-BKanäle bis zu 128 kBit/s erreicht, zum anderen auch die Nutzung der im ISDN verfügbaren Leistungsmerkmale. Basis für die neue Lösung ist die neue Xircom Compactcard ISDN, eine aktive Karte, die durch eigene Rechnerleistung die Arbeitsbelastung des Prozessors im Endgerät verringert und so die Performance erhöht. Informationen über den jeweiligen Status von Karte und Gerät erhält der Nutzer auf einen Blick via LED-Anzeige. Durch die Nutzung des AT-Befehlsatzes ist die Compactcard ISDN kompatibel zu StandardKommunikations-Software auf der Basis von Pocket PC, Windows 95/98, Windows NT 4.0 und Windows 2000. Die Karte unterstützt den CAPI 2.0 Standard, die ISDND-Kanal-Protokolle DSS1 Euro-ISDN (Europa), die in den USA gebräuchlichen Protokolle National ISDN-1 und -2 sowie AT&T ESS-5 und das japanische NTT-INS-Net. Außerdem laufen auf der Compactcard ISDN folgende ISDN-B-Kanal-Protokolle: HDLC PPP, ML-PPP, V.110, V.120, X.75, T70NL und 76 L AN line 12/2000 T90NL. Damit ist die Karte weltweit praktisch in jedem ISDN-Netz einsetzbar. (sm) Info: Komsa Solutions Tel.: 03722/713-202 Web: www.komsa-solutions.com Routing-Lösungen für Carrier und ISPs Von Juniper Networks gibt es ab eine Reihe neuer IP-Router-Lösungen für ISPs und Carrier, die ihre Bandbreiten am Netzwerk-Edge (an der Schnittstelle zum Anwender) schnell ausbauen wollen. Zu den Produkten gehören zwei neue Plattformen der M-Reihe (M5, M10), die für Umgebungen mit wenig Platz entwickelt wurden, eine neue Reihe von dedizierten Schnittstellen für T1/E1 und Channelized DS-3 zum Highspeed-Access sowie neue Zugangsfunktionen der Junos 4.1 Internet-Software. Die M5 und M10 InternetBackbone-Router sind die ersten Plattformen von Juniper mit Leitungsgeschwindigkeit (T1/E1 bis OC-48/STM-16). Sie sollen mehr als die zehnfache Übertragungs- und Routing-Kapazität herkömmlicher Router bieten, die heute zum dedizierten Access eingesetzt werden – dabei aber nur etwa ein Viertel soviel Strom und Fläche benötigen. Um ihr Geschäft zu vergrößern, benötigen die Service-Provider schnelle und intelligente Netzwerke. Alle M5- und M10Router werden serienmäßig mit dem IPII-ASIC (Internet Processor II) ausgeliefert, der komplexe Services wie das Paketfiltern für mehr Sicherheit oder das Sampling zur Verdeutlichung von Verkehrsmustern erlaubt. Junos 4.1 bietet als jüngstes Release zum ersten Mal auch Rate-Limiting pro VLAN und Sub-Interface, womit Provider den Betriebsaufwand deutlich senken konnen. So lässt sich damit etwa die Verfügbarkeit der Bandbreite pro Teilnehmer automatisch anpassen. Die neuen M5 und M10 Router sind jeweils drei Höheneinheiten (13,3 Zentimeter) hoch. Der M5-Router verfügt über vier Interface-Slots, der M10 über acht Slots. Die Grundkonfiguration des Systems kostet 25.000 Dollar (M5-Router) beziehungsweise 40.000 Dollar (M10-Router), während die Preise der Schnittstellen bei 10.000 Dollar beginnen. (sm) Info: Juniper Networks Tel: +44-1372-824262 Web: www.juniper.net Power am Edge-Router bei geringem Energie- und Platzbedarf: Juniper M10 VoIP-Modul für Load-Balancer Radware bringt eine neus Voice-Over-Internet-Protocol-(VoIP-)Modul auf den Markt, das als Software-Modul in der Radware-TrafficManagement-Lösung WebServer-Director integriert wird. Das neue Modul unterstützt das H.323-Standardprotokoll. Mit Hilfe eines speziellen Algorithmus können große, stark beanspruchte H.323 Server-Farmen mit nur einer virtuellen IP-Adresse betrieben werden. Je mehr VoIP-Applikationen laufen, umso schwieriger wird es laut Radware normalerweise für ISPs, ihre Load-BalancingKomponenten auf Unterstützung dieser Dienste aufzurüsten. Das VoIP-Modul des israelischen Herstellers synchronisiert mehrfache UDP- und TCP-Verbindungen, die vom H.323-Protokoll generiert werden und verteilt sie auf mehrere Server. Aufgrund seiner Routing-Fähigkeiten leitet das VoIP-Modul Sprachverkehr zu jeder beliebigen lokalen oder remote verbundenen H.323-Einheit. Das globale Load-Balancing leitet Benutzeranfragen zur am nächsten gelegenen H.323-Einheit um, was für hohe Geschwindigkeit und gute Qualität des VoIP Services sorgen soll. Das VoIP-Modul bearbeitet nach Angaben von Radware bis zu 100.000 Anrufe gleichzeitig und eigne sich daher für Firmen jeder Größe, ob Unternehmen, Service-Provider oder Telekommunikationsanbieter. (sm) Info: Radware Tel.: 089/93086-230 Web: www.radware.com www.lanline.de netzPRODUKTE/SERVICES TELEKOMMUNIKATION Automatische Anrufverteilung Als Erweiterung zum Ositron CTI-3.0-Server erlaubt ein neues ACD-Modul (Automatic Call Distribution) die regelgesteuerte Verteilung eingehender Anrufe und die automatisierte Abarbeitung von Rufnummernlisten, lastverteilt in Gruppen. Basierend auf der Standardschnittstelle TAPI 2.1 ist das Ositron-ACD-Modul unabhängig von der eingesetzten Hardware. Die Identifizierung der eingehenden Calls erfolgt über die Auswertung zum Beispiel von Vorwahlnummern, Postleitzahlen und Firmennamen. Anrufe mit unbekannter Caller-ID werden automatisch an einen Regieplatz vermittelt, damit der Anrufer dort persönlich erfasst werden kann. Das ACD-Modul lässt sich über ODBC an Datenbanken anbinden. Die Integration in Ositron CTI 3.0 Server erfolgt über ein TCP/IP-LAN. Auf diese Weise lassen sich Telefonmerkmale wie Parken, Verbinden, Konferenzschaltung, Kurzwahltasten, Anrufererkennung, Namenwahl etc. nutzen. Das ACD-Modul arbeitet laut Ositron mit anderen www.lanline.de TAPI-MAPI-Windows-Applikationen zusammen. Vordefinierte “Power-Dialer”-Listen lassen sich in Gruppen abtelefonieren. Die Nachbearbeitungszeit ist dabei frei konfigurierbar. Neben den ACD-Funktionen stehen dem Anwender die Features des CTI-3.0-Servers wie netzwerkweite Besetzlampenfelder, Net-Sending, Datenbankschnittstellen und die Integrationsmöglichkeiten durch die CTI-COM-Schnittstelle zur Verfügung. (sm) Info: Ositron Kommunikationstechnik Tel.: 0241/94698-42 Web: www.ositron.de Breitband-Access für TV-Kabelnetze Terayon Communication Systems bringt ein neues Endto-End Breitband-Access-System für den europäischen Standard Eurodocsis (Data-overCable-Service-Interface-Specification). Europäische Kabelfernsehbetreiber werden damit in die Lage versetzt, ihren Teilnehmern einen HighspeedZugang zum Internet und andere Breitband-Services anzubieten. Das Eurodocsis-System Swyxware jetzt mit Call-Routing-Manager besteht aus den Kabelmodems vom Typ Terajet 320, die beim Teilnehmer zum Einsatz kommen und den Access-Plattformen Broadbandedge 2000 oder Broadbandedge 2800, die im Headend des Kabelnetzbetreibers installiert werden. Bei den Terayon-BroadbandedgeSystemen handelt es sich um modulare und skalierbare Gehäuseplattformen, welche die Merkmale eines Eurodocsis Cable-Modem-Termination-Systems (CMTS) mit den Funktionen eines IP-Switch/ Routers vereinen. (sm) Swyx hat die IP-Telefonielösung Swyxware nun in der Version 2.0 vorgestellt. Das Highlight bildet ein integrierter Call-Routing-Manager. Mit diesem Feature werden Anrufe individuell von der Telefonanlage bearbeitet. Der Anwender kann damit eine auf den Anrufer zugeschnittene Weiterleitung einrichten. Der Regelassistent von Swyxware erlaubt verschiedene Verfahrensweisen für eingehende Anrufe zu definieren. Personen beziehungsweise Rufnummern lassen sich verschiedene Klingeltöne zuordnen. Bei einem eingehenden Gespräch erkennt das System anhand der gesendeten Telefonnummer den Anrufer und setzt die vorher definierte Vorgehensweise mit entsprechender Ansage auf der Sprach-Box um. Durch die zugeordneten Klingeltöne erkennt der Teilnehmer zum Beispiel, ob es sich um interne oder externe Gespräche handelt. (sm) Info: Terayon Communication Systems Tel.: 0032-2/3528783 Web: www.terayon.com. Info: Swyx Communications Tel.: 0231/4777-360 Web: www.swyx.com Das Terajet-320-Kabelmodem gehört zur Eurodocsis End-to-End Breitband-Access-Lösung L AN line 12/2000 77 netzTECHNIK MIT STANDARDS SCHRITT FÜR SCHRITT ANS ZIEL Sichere Pfade zur IP-Telefonie Kosten sparen und computerunterstützte TK-Anwendungen nutzen – das sind die Versprechungen der Voice-over-IP-Technologie. Die Installation einer unternehmensweiten IP-Konvergenz-Plattform, über die neben den Daten auch Faxe, Sprache, Videos und Multimediakommunikation übertragen wird, ist jedoch noch ein sehr komplexes und auch schwieriges Unterfangen. Aus einer ganz anderen Perspektive nähern sich ISPs und Telcos dem Thema: Ihnen öffnet die Sprachübertragung über IP-Netze völlig neue Perspektiven. Ob in Unternehmen oder bei TK-Providern, der Startschuss ist längst gefallen – und wer sich auf neus Terrain begibt, der sollte vor allem auf eines achten: Standards. uch wenn Alternativen zu Voiceover-IP (VoIP) wie zum Beispiel Voice over Frame Relay oder Voice over ATM durchaus (noch) attraktiv sind, arbeiten Carrier und Internet-Service-Provider mit Hochdruck an der Einführung IPbasierender Sprachdienste. Der Grund: A sociates, dass bis zum Jahr 2002 über neun Milliarden Dollar mit Telefonaten über IP-Netzwerke umgesetzt werden. IDC geht davon aus, dass mit “WebTalk” im Jahr 2004 bereits 16,5 Milliarden Dollar verdient werden. Heute ist dieses Geschäft praktisch noch nicht vor- Wichtig für eine IP-Infrastruktur, die neben Daten auch Echtzeitanwendungen transportieren soll, sind zentrale und dezentrale Konfigurationsmöglichkeiten Mit VoIP können sie zu Billigtarifen Fern- und Auslandsgespräche anbieten und trotzdem gutes Geld verdienen. So erwarten die Analysten von Killen & As- 78 L AN line 12/2000 handen. Von diesem erwarteten Boom profitieren nicht zuletzt auch die entsprechenden Hersteller, glaubt Frost & Sullivan. Danach werden VoIP-Produkte im Jahr 2004 einen Markt von 2,4 Milliarden Dollar repräsentieren, nachdem es in diesem Jahr noch bescheidene 380 Millionen Dollar werden sollen. FRAGEN ZUR QUALITÄT Für eine hohe Qualität der Sprache sind im Internet wie bei der klassischen Telefonie die folgenden Faktoren verantwortlich: geringe Laufzeit in der Verbindung von Endgerät zu Endgerät, das Vermeiden störender Echos, die durchgängige Signalisierung zur Steuerung der Sprachkommunikation und die Synchronisierung der beiden kommunizierenden Endgeräte. Während man all das in der herkömmlichen Telefonie heute bestens im Griff hat, gibt es dabei mit VoIP noch einiges zu verbessern. Der Grund liegt auf der Hand: Es gibt keine fest geschaltete Leitung zwischen den Gesprächsteilnehmern mehr, sondern die Endgeräte sind nur noch “virtuell” miteinander verbunden, weil die dazwischen liegenden Übertragungswege mehrfach genutzt werden. Das leitungsvermittelte, verbindungsorientierte Konzept im klassischen Telefonnetz – auf Basis des TDM-Übertragungsverfahrens (Time Division Multiplexing) – schaltet eine Leitung beziehungsweise einen Kanal exklusiv zwischen Sender und Empfänger. Somit werden genau definierte Netzressourcen für die Übertragung reserviert und vom Netz bereitgestellt, unabhängig davon, ob wirklich Nutzdaten übertragen werden oder nicht. Dieser Umgang mit dem Netz scheint verschwenderisch, sichert jedoch die inzwischen gewohnte Qualität und Zuverlässigkeit der Telefonie. Dabei sind drei Phasen wichtig, die über eine begleitende Signalisierung gesteuert werden: Der Verbindungsauf- und -abbau sowie die eigentliche Informationsübertragung, in der das Netz entweder eine garantierte Qualität für den Transport von zeitkritischer Information bietet oder die Verbindung ablehnt, wenn keine Ressourcen zur Verfügung stehen. Letztendlich liegt die technische Herausforderung für die hochwertige Realisierung von VoIP darin, den leitungsvermittelten und verbindungsorientierten www.lanline.de netzTECHNIK Wer bereits über getrennte Kommunikationsinfrastrukturen verfügt, für den bietet sich ein Dreiphasenkonzept zum Übergang auf eine integrierte IP-Lösung an Sprachdienst mit der gewohnten Qualität und den vertrauten Leistungsmerkmalen über paketvermittelte IP-Netze abzubilden. Schwierig wird das nicht nur deshalb, weil das IP-Transportprotokoll verbindungslos arbeitet. Erschwerend kommen die heterogene Struktur des Internets www.lanline.de und das fehlende zentrale Netzmanagement hinzu. Qualitätsmindernd wirken sich außerdem unterschiedliche Paketgrößen sowie die starken Schwankungen bezüglich der Auslastung des Netzes aus. Wichtig für die Qualität ist auch die effiziente Übertragung von Steuer- und Signalisierungsinformationen, für die man sich im Telefonnetz sogar einen separaten Steuerkanal leistet. Dazu wird ein geeignetes Signalisierungsprotokoll benötigt wie es beispielsweise der von der International Telecommunications Union (ITU) verabschiedete Standard für Videokonferenzen im LAN H.323 bereitstellt, gemeinsam mit ergänzenden Modulen wie H.450 für Zusatzdienste und H.235 für Sicherheitsaspekte. Da dieses Protokoll jedoch ursprünglich nur für die Durchführung von Videokonferenzen entwickelt wurde, fehlen noch manche spezifischen Verfahren für die Telefonie. Diese sollen künftig mit dem zusätzlichen SIP-Standard (Session Initiation Protocol), einem Vorschlag für die Signalisierung von der Internet Engineering Task Force (IETF), besser bedient werden können. Damit diese Standards für den Carrier- (SIP) und Enterprise-Bereich (H.323) sich möglichst nahtlos L AN line 12/2000 79 netzTECHNIK zusammenfügen, wird im Rahmen des ETSI-Projekts “Telecommunications and Internet Protocol Harmonization over Networks” (Tiphon) die Harmonisierung von H.323 mit dem SIP-Standard angestrebt. Mit ähnlichem Ziel wurden kürzlich mit “Inow” (Interoperability Now) und “Ahit” ce Exchange – manchmal auch als CTX bezeichnet: Die private Telefonanlage wird durch die Vermittlungsstelle des Netzbetreibers ersetzt) erlaubt. Die SIPKonformität wird dabei durch die Integration des SIP-Protokoll-Stacks von Mediatrix Telecom erzielt, einem kanadischen Verbesserungen durch IPv6 Neben einer höheren Codec- und Router-Performance bietet auch das Internet-Protokoll selbst eine Reihe von Ansatzpunkten, um den Sprachpaketdurchsatz zu verbessern. Denn die Entwicklung bleibt auch bei IP nicht stehen, das zusammen mit dem zugehörigen Transport Communication Protocol TCP in der heutigen Version 4 bereits auf das Jahr 1981 zurückgeht. Auf der Robustheit und Effizienz der für die Netzsteuerung und Datenübermittlung verwendeten Kommunikationsprotokolle, aber auch auf der allgemeinen Akzeptanz durch die Hersteller basieren auch Erfolg und Ausbreitung des Internets. Jetzt stößt aber auch IP selbst offenkundig an Grenzen. Deshalb wurde der erweiterte IP-Standard “IP Version 6” definiert. Ergänzend hinzu kommen eine Reihe weiterer Protokolle (zum Beispiel 802.1p, 802.1Q oder das Resource Reservation Protocol RSVP), die Sprachpaketen eine höhere Übertragungspriorität einräumen als Datenpaketen. Damit werden nicht nur Delays und Latency reduziert, sondern es sollen auch vollständige Paketverluste verhindert werden. So wird unter anderem durch spezielle Mechanismen die Annäherung an die Echtzeitanforderungen angestrebt. Ein Beispiel ist das “Real Time Transport Protocol” (RTP), das den Verkehr mit kontinuierlichem Informationsfluss an das Paketübermittlungsverfahren anpassen soll. RTP versieht die Sprachpakete mit einer fortlaufenden Sequenznummer, wodurch der Verlust einzelner Pakete erkannt wird. Ferner fügt RTP einen Zeitstempel hinzu, der es ermöglicht, dass Sprachpakete, die zu lange im Netz unterwegs waren, beim Empfänger unterdrückt werden – also nicht durch ihr verspätetes Eintreffen zu einer weiteren Störung führen. Allerdings geht RTP zu Lasten des Overhead, denn es werden zusätzlich 16 Byte Information pro IP-Paket mitgeschickt. Einzelne Netzwerkbereiche können schon heute auf IPv6 umgestellt werden, auch wenn die Produkte noch rar sind. Müssen die IPv6-Pakete Strecken durchlaufen, auf denen IPv4 im Einsatz ist, können sie in IPv4 eingepackt werden (Tunneling). Rechner lassen sich auch im so genannten Dual-Stack-Modus aufsetzen, sodass sie beide Protokolle verarbeiten. Neuerdings wird die Tunneling-Variante durch die Entwicklung von 6to4 – einem neuen Protokoll, an dem die IETF zur Zeit arbeitet – weiter optimiert. Zu beachten ist jedoch, dass beim Übergang zu IPv6 eine ganze Reihe anderer Protokolle, die im weitesten Sinne zur TCP/IP-Protokoll-Familie gehören, ebenfalls angepasst werden müssen. Dazu gehören Routing-Protokolle wie etwa OSPF (Open Shortest Path First), EIGRP (Enhanced Interior Gateway-Routing-Protocol) und DNS (Domain Name System). Letzteres muss mit IPv6 in der Lage sein, sowohl 32-Bit- als auch 128-Bit-IP-Adressen zu verwalten. (Applications on Harmonized Interoperable IP Telephony) zwei weitere Aktivitäten ins Leben gerufen. Für ein reibungsloses Zusammenspiel aller an der IP-Telefonie beteiligten Komponenten ist also die Einhaltung von Standards eine Grundvoraussetzung. Bei Siemens beispielsweise gibt es mit dem Optipoint 100 Advance ein SIP-Telefon, das die direkte Verbindung zu einem IP-Centrex-Dienst (Central Offi- 80 L AN line 12/2000 Lieferanten von Low-Density-IP-Gateways und Terminaladaptern. KOMPRIMIERUNG BRINGT NICHT NUR VORTEILE Die Sprachqualität in ei- nem Netz unterliegt aber auch grundsätzlichen Einflussgrößen. Technisch gesehen sind hier im Wesentlichen drei Faktoren relevant, die sich zum Teil auch untereinander beeinflussen: – Sprachcodierung und -kompression (Codec) im Endgerät, – Paketverzögerungen/Laufzeitunterschiede (Packet Delays, Latency oder Jitter) und – Paketverluste bei der Sprachübertragung (vor allem durch “zu später” Zustellung). Bei der Konfiguration eines IP-Netzes für Telefonieanwendungen sind diese Faktoren so zu berücksichtigen, dass über den gesamten Übertragungsweg möglichst geringe Einbußen resultieren. Dabei sollten nicht nur alle Komponenten für sich isoliert optimiert werden, sondern auch ihr Zusammenspiel. FORTSCHRITTE BEI DEN CODECS Wohl die wichtigsten Fortschritte in der paketierten Übertragung von Sprache sind in den letzten drei Jahren auf der Seite der Codecs erzielt worden, die mit Hilfe spezieller Algorithmen das Sprachsignal abtasten und komprimiert in Datenpakete stecken. Neben der klassischen PCM-Codierung nach dem ITU-Standard G.711 mit 64 kBit/s werden heute unterschiedliche Norm-Kompressionsverfahren verwendet, die je nach Algorithmus Datenraten zwischen 5,3 und 32 kBit/s benötigen. Sie komprimieren die Sprache dazu um bis zu Faktor 10 und unterdrücken Gesprächspausen (Silence Suppression). Dabei bieten die Codec-Typen je nach Standard folgende Eigenschaften: – G.723: benötigt mit 5,3 bis 6,3 kBit/s die geringste Bandbreite, verursacht aber sehr hohes Delay (67,5 Millisekunden); – G.728: verursacht ein sehr geringes Delay (1,25 Millisekunden), braucht aber mit 16 kBit/s relativ hohe BitRaten; – G.729: ein Kompromiss mit mittlerem Delay (25 Millisekunden) und 8 kBit/s; – G.729A: gleiche Werte wie G.729, braucht jedoch deutlich weniger Prozessorleistung. Komprimierung kostet Zeit, die den Vorteil des geringeren Bandbreitenbedarfs wieder zunichte machen kann. Denn die Qualität der Sprachübertragung wird auch durch die Paketverzögerung www.lanline.de netzTECHNIK wesentlich beeinträchtigt. Erschwerend kommt hinzu, dass der Faktor “Delay” nicht nur innerhalb des Codec auftritt, sondern sich über mehrere Komponenten auf der gesamten Übertragungsstrecke summiert. So entstehen Verzögerungen durch die Verarbeitungszeit der Pakete, ihre Zwischenspeicherung und ihre Weiterleitung auch etwa in den H.323Endgeräten, in den Routern des Netzes und im Gateway (soweit es sich nicht um einen reinen IP-Anruf handelt). Durch werden und bei Verlust wiederholt werden können (“Store and Forward”). Dieses Verfahren ist aber für die IPSprachübertragung nicht geeignet. Ein Paket muss innerhalb eines bestimmten zeitlichen Rahmens ankommen, damit der Algorithmus der Rückwandlung der Sprachdatenpakete in analoge Sprachsignale (im empfangenden H.323-Telefon oder Router) richtig arbeitet: Kommt ein Paket “zu spät”, so ist es für den Codec unbrauchbar und gilt als verloren. Beispiel für die Struktur einer Kommunikationslösung zwischen Zentrale und Außenstellen, die sowohl über klassische Telefongesellschaften als auch neue IP-Carrier läuft entsprechende Dimensionierung von Durchsatzleistungen und ein effizientes Speicherkonzept lässt sich dieses Problem bei internen Netzen meist in den Griff bekommen. Schwieriger als im firmeneigenen Netz ist die Situation bei der Übertragung über das “öffentliche” Internet, denn die problematischste Quelle von Delays und Paketverlusten ist und bleibt dieses IP-Netz selbst. Es lassen sich zwar Bandbreiten für bestimmte Applikationen reservieren, die aber bei Überlastung des Netzes wieder abgegeben werden müssen. Sogar Paketverluste, bedingt durch Übertragungsstörungen oder Router-Überlastungen, sind nie vollständig auszuschließen. Bei der Übertragung von Daten wird dieses Problem dadurch entschärft, dass gesendete Pakete zwischengespeichert 82 L AN line 12/2000 Das klingt allerdings dramatischer als es ist, denn das menschliche Ohr nimmt bei geringen Paketverlusten kaum eine Einbuße der Sprachqualität wahr; Messungen haben ergeben, das Paketverluste von bis zu fünf Prozent in der Regel “überhört” werden. Nach dem Standard G.114 der ITU für Sprachübertragung wird daher eine “Zielqualität” (weniger als fünf Prozent Paketverluste, kleiner als 200 Millisekunden Delays) definiert, die zu erreichen als eines der wichtigsten Ziele der VoIPTechnologie gilt. Zudem können mit modernen Transformationsverfahren im Endgerät die Störungen durch fehlende IP-Pakete minimiert werden. Heute liegt die Ende-zu-Ende-Verzögerung im Internet zwischen 140 und 1720 Millisekunden. Selbst bei optimalen Bedingungen treten Verzögerungen von etwa 100 Millisekunden auf. Das liegt auch daran, dass das Internet nicht über ausreichend Bandbreitenreserven verfügt. Seit Mitte 1998 hat jedoch ein Trend eingesetzt, der in zwei bis drei Jahren IP-Backbones mit Bandbreite “im Überfluss” verspricht: Auf den Weitverkehrsverbindungen kommen neue Glasfaserstrecken zum Einsatz, welche die Kapazitäten um den Faktor 1000 bis 10.000 erweitern. Entsprechende Ringe zur Verschaltung der europäischen Metropolen sind im Aufbau und gehen teilweise schon in Betrieb. Damit wird den IP-Sprachverbindungen, die mit G.729 jeweils nur eine sehr kleine Bandbreite von 8 kBit/s benötigen, diese Bandbreite gewissermaßen garantiert. Noch allerdings fehlt diese Kapazität, und auch deshalb liegt das Haupteinsatzfeld der IP-Telefonie im ersten Schritt im LAN-Bereich sowie im Intranet oder VPN des Unternehmens. Diese befinden sich unter der Kontrolle eines Netzadministrators, der über geeignete Maßnahmen die gewünschte Qualität sicherstellen kann. Dies ist aber nur möglich, wenn die Infrastruktur auch die erforderlichen Werkzeuge und Verfahren zur Gewährleistung von Dienstgüte, Zuverlässigkeit, Verfügbarkeit, Management und Gebührenabrechnung bereitstellt. BAUSTEINE FÜR DIE IP-TELEFONIE IM LAN Innovative Hersteller arbeiten mit Hochdruck daran, für die Telefonie über IP die bislang vertrauten Leistungsmerkmale bereitzustellen. Zum Aufbau einer solchen Infrastruktur für IP-Telefonie werden grundsätzlich drei neue Bausteine erforderlich: das Endgerät, ein IPCommunication-Server (auch Soft-PBX genannt) sowie ein IP-Gateway. Hinzu kommt noch die Funktion des Gatekeepers, die je nach Situation im Communication-Server oder im IP-Gateway realisiert sein kann. – Ein Soft-Client mit IP-Adresse: Als Endgerät kommt sowohl ein IP-Telefon oder eine Software auf dem PC (Soft-Client) in Betracht. Das IP-Telefon unterscheidet sich vom klassischen Telefon vor allem durch die Schnittstelle: Statt einer a/b- oder ISDN- www.lanline.de netzTECHNIK Schnittstelle verfügt es über ein 10/100BaseT-Interface zum LAN. Auch telefonintern laufen andere Protokolle ab: Bei einem ISDN-Telefon Q.931 oder Euro-ISDN, bei einem LAN-Telefon (meist) TCP/IP und H.323. Darüber hinaus realisiert das IP-Telefon zum Teil auch schon die Sprachkompression (G.723, G.729). Intern adressiert wird es nicht per Telefonnummer, sondern durch die IPAdresse. – Das Herz – der IP-CommunicationServer: Der IP-Communication-Server ersetzt oder ergänzt die herkömmliche Telefonanlage (PBX), wobei moderne Telefonanlagen auch selbst zum IPServer aufgerüstet werden können. Siemens bietet zum Beispiel für IP-vernetzte Hicom-150-H-Systeme das IPPaket Hipath Allserve 150 an, eine Windows-Applikation, welche die Merkmale einer Hicom 150 E über das IP-Netz bereitstellt. Als H.323-Standard-basierte IP-KommunikationsServer auf Basis von Microsoft Windows NT gesellt Siemens im Rahmen einer kürzlich vorgestellten neuen IPProduktfamilie die Server Hipath 5500 und 5300 dazu. Solche IP-Communication-Server, die mittlerweile von etablierten Herstellern und innovativen Startup-Companies erhältlich sind, steuern wie die klassische Telefonanlage alle Verbindungsanforderungen und Vermittlungsprozesse, so zum Beispiel das gezielte Umleiten von Rufen bei “besetzt” oder “nicht erreichbar”, aber auch Konferenzschaltungen oder Musikeinspielungen und die Gebührenabrechnung. Da alle Verbindungsanforderungen vom Communication-Server bearbeitet werden, führt er auch die statistischen Informationen über die Auslastung der Verbindungswege, den Zustand aller aktuellen Verbindungen und hält den Status aller registrierten Teilnehmer. Die eigentlichen Sprachdaten werden allerdings direkt zwischen den Telefonen ausgetauscht und nur in Ausnahmefällen – wie zum Beispiel bei einer Telefonkonferenz – über den Server geleitet. 84 L AN line 12/2000 – Das H.323-Duo: Gateway und Gatekeeper: Nicht zu unterschätzen ist die Bedeutung der dritten Komponente: Ein IP-Gateway ist notwendig, um die Verbindung zwischen dem IP-Netz und dem öffentlichen Telefonnetz zu schaffen oder standortübergreifende Installationen zu realisieren. Zentraler Baustein eines Gateways sind handelsübliche ISDN-Karten (CAPI 2.0) mit BRI- oder PRI-Schnittstellen. Durch eine entsprechende Protokollerweite- mit dem Gateway die Funktionen eines Gatekeepers erfüllen. Das Manko: Noch sind alle Gatekeeper herstellerspezifisch implementiert, weil in H.323 zahlreiche Funktionen bisher nicht definiert sind. Dazu zählen beispielsweise die Kommunikation von Gatekeeper zu Gatekeeper und zwischen Gatekeeper und Gateway. Speziell die Zuverlässigkeit von Gateway- und Gatekeeper-Funktionen bereitet oft Probleme. Dies bezieht sich sowohl auf die Ausfallsicherheit der Hard- IP-Telefone wie hier das Hinet LP 5100 von Siemens lassen sich äußerlich gestalten wie klassische Nebenstellen. Der Unterschied liegt in den Schnittstellen und den internen Protokollen. rung stellt das Gateway auch die Verbindung zu einer bestehenden TK-Anlage her. Somit ist gewährleistet, dass der IP-Communication-Server nicht nur als Ersatz, sondern auch als Ergänzung zu bestehenden TK-Installationen genutzt werden kann. Im Sinne des Investitionsschutzes ist diese Eigenschaft essenziell. Die vielleicht wichtigste Funktion eines IP-Gateways (oder auch Communication-Servers) realisiert der Gatekeeper oder Call-Manager. Er setzt die H.323-Funktionalität in die Praxis um. Zu seinen grundsätzlichen Aufgaben zählen: – Übersetzung der IP-Adresse in Telefonnummer und umgekehrt, – die Zugangssteuerung unter Berücksichtigung der momentanen Netzauslastung (Erlang), – die Verwaltung der LAN-Bandbreite. Jeder IP-Server muss in Verbindung ware (Dauerbetrieb) als auch auf Software-Schwächen – beides in der PCTechnologie nur allzu häufig. Abhilfe schafft neben der Auswahl von Geräten in robuster Bauweise der Einsatz redundanter Komponenten für Stromversorgung, Plattenlaufwerke oder auch CPUs. Ein ausgefeiltes Clustering- und BackupKonzept in Verbindung mit einem automatischen Wiederanlauf des Servers sind ebenfalls geeignet, die Probleme auszubügeln, verschlingen aber in der Regel beträchtliche Geldsummen. LAN-TELEFONIE RUFT NACH SWITCHING Bei den installierten LAN-Kom- ponenten sollte es sich um Ethernet- beziehungsweise Token-Ring-Switches handeln, da die Verwendung zusammen mit Shared-Hubs die Sprachqualität hörbar mindern könnte. Dabei kommt der VoIPTechnik zugute, dass im LAN zunehmend www.lanline.de netzTECHNIK die alten 10-MBit/s-Ethernets durch 100 MBit/s- und demnächst 1-GBit/s-Ethernets ersetzt werden (beziehungsweise High-speed-Token-Ring oder ATM zum Einsatz kommen). Weiterhin sind die Netze durch Switches in der Regel bereits stark strukturiert, so dass nur selten mehr als 50 Endgeräte in einem Segment angeschlossen sind, die sich dann bei gleichzeitiger Kommunikation die Bandbreite teilen müssten. Geht man von einer Maximallast von zehn Prozent der verfügbaren Bandbreite aus, die nach Ansicht von Experten auch bei gleichzeitigem Datenverkehr den Sprachpaketen noch “verzögerungsfreien” Transport garantieren würde, so könnte ein 10-MBit/s-Ethernet maximal 100 Sprachverbindungen (Voll-Duplex, G.723.1) oder 25 Verbindungen nach G.711 in “CDQualität” parallel zum sonstigen Datenverkehr transportieren. Das typische Nutzenverhältnis liegt bei sechs bis acht angeschlossenen Telefonen zu einem aktiven Telefon. Das heißt, dass dann die 25 gleichzeitigen Sprachverbindungen im Ethernet für bis zu 150 angeschlossene Telefone ausreichen würden, also mehr, als Endgeräte in einem Ethernet-Segment angeschlossen sind. Die neuen, zwischen 100 MBit/sund 1 GBit/s schnellen LAN-Technologien wie Fast- und Gigabit Ethernet, High-speed-Token-Ring oder ATM könnten entsprechend mehr Telefone pro Segment verkraften. Allerdings sind die meisten der heute konkret verfügbaren IP-Systeme nur für Teilnehmerzahlen zwischen 100 und 200 konzipiert. Siemens will demnächst mit Hipath 5500 einen IP-Server auf den Markt bringen, der im ersten Schritt bis zu 500 und zukünftig mehrere tausend Anwender auf verteilten Servern unterstützen soll. Um die Laufzeiten innerhalb des Netzes gering zu halten, sollten die Switches im Ethernet unbedingt die Priorisierung von Datenströmen ermöglichen und zudem nach dem “Cut-through”-Verfahren arbeiten. Das häufig verwendete “Storeand-forward”-Verfahren ist aufgrund der unkalkulierbaren Verzögerungen im Switch für VoIP ungeeignet. 86 L AN line 12/2000 SCHWIERIGKEIT: BEWEGLICHES ZIEL Neben diesen technischen Detailproblemen, die sich aller Voraussicht nach schon bald befriedigend lösen lassen, gilt heute das Hauptaugenmerk der Frage: Werden die Netze auf IP-Basis alle anderen herkömmlichen Netze – das Telefonnetz eingeschlossen – ersetzen? Eine abschließende Antwort gibt es nicht, aber die wirtschaftliche Vernunft wird nach praktikablen Wegen suchen, die Investitionen in die vorhandene Infrastruktur auszuschöpfen. dardkonforme Produkte eingesetzt werden. Erst Standardkonformität stellt Austauschbarkeit, Erweiterbarkeit, Interoperabilität und Zukunftssicherheit der darin verwendeten Bausteine sicher. Nur dann wird sich die Investition in eine IP-Infrastruktur auszahlen. Denn auch wenn das Kostenargument zur Zeit sehr dafür spricht: Alle lupenreinen Kostenkalkulationen können sich durch Tarifänderungen der Carrier schnell als Milchmädchenrechnungen erweisen. Angesichts der rasant Das Problem: ausreichende Dienstgüte (Quality of Service) Auf Basis der aktuellen IP-Erweiterungen gibt es im Wesentlichen drei besondere Vorkehrungen, über die sich auch in einer VoIP-Implementierung definierte Service-Levels anbieten lassen, die in der Regel in einem Service-Level-Agreement (SLA) festgelegt werden: – Bereitstellung von ausreichend Bandbreite wie es im LAN- und Intranet-Bereich durchaus möglich ist, – Priorisierung des Verkehrs auf unterschiedlichen Ebenen (zum Beispiel IEEE 802.p und 802.q, IETF Diffserv) und – explizite Reservierungen (zum Beispiel das Resource Reservation Protocol RSVP). Die Vereinbarung von Service-Levels funktioniert jedoch nur dann, wenn sich die sensiblen Daten klassifizieren lassen, etwa mit Hilfe der Differentiated-Services (Diffserv) oder IEEE 802.1p. Außerdem sind Methoden zur Priorisierung von Sprachinformationen notwendig. Für Leitungen mit niedriger Bandbreite bietet sich beispielsweise eine Kombination von “Priority Queuing” für Sprachinformationen und “Weighted Fair Queuing” (WFQ) oder “Class-based Weighted Fair Queuing” (CBWFQ) für Daten an. Um die Bandbreite bestmöglich zu nutzen, sollten zudem Kompressionsverfahren eingesetzt werden. Doch selbst die neuen Protokolle wie RSVP können letztlich keine “echte” Dienstgüte garantieren wie sie für hochwertige Echtzeitanwendungen mit Blick auf Verfügbarkeit, Fehlerraten oder Verzögerungszeiten erforderlich wäre. Das liegt daran, dass die verwendeten Protokolle der Schicht 2 diese Dienstgüte nicht liefern können, beispielsweise alle EthernetVarianten bis hin zum Gigabit-Ethernet (CSMA/CD). Hier haben andere Technologien wie Token-Passing oder ATM Vorteile. Zudem bringt das RSVP-Verfahren eine Reihe von Nachteilen mit sich, vor allem einen Performance-Verlust, da es für jede Verbindung vom Netz angefordert werden muss. Unklar ist, wie das Netz reagiert, wenn viele Teilnehmer gleichzeitig das Protokoll einsetzen, denn das Netz kann die angeforderten Ressourcen verweigern oder sie während einer bestehenden Verbindung zurückfordern. Ein weiteres Manko: Alle Router auf einem Verbindungspfad müssen das neue Protokoll RSVP “verstehen”. Zeigten beispielsweise anfangs vor allem Firmen Interesse an VoIP-Lösungen, die entfernte Standorte miteinander koppeln wollten, weil für den Zugang zum Internet nur die Ortsgebühr zu zahlen ist, hat sich das bereits wieder geändert. Beim Hürdenlauf auf dem Weg zur LAN-Telefonie ist daher damit zu rechnen, dass sich unterwegs das Ziel ändert. Daher ist beim Aufbau der IP-Infrastruktur Flexibilität das oberste Gebot. Diese Flexibilität lässt sich nur dann erreichen, wenn konsequent stan- fallenden Telefongebühren scheint es ratsam, den Blick mehr auf den Nutzen der VoIP-Technologie zu richten denn auf “nackte” Kostenvorteile, um nicht am Ende des Hürdenlaufs irgendwo anzukommen, wohin man gar nicht mehr wollte. (Ruth Watzke, Siemens AG/sm) Die Autorin ist Mitarbeiterin im Geschäftsbereich Information and Communication Networks der Siemens AG, Abteilung Marketing. www.lanline.de netzTECHNIK PASSIVE ISDN-STERNVERKABELUNG Untersuchung zeigt Kriterien und Grenzen Bisher sind für Verkabelungskonfigurationen an der ISDN-Teilnehmerschnittstelle S0 nur der kurze und erweiterte passive Bus oder Punkt-zuPunkt-Verbindungen standardisiert. Das sind aber nicht die einzigen Möglichkeiten, um ISDN-Teilnehmerendgeräte passiv an Netzabschlussgeräte (NTBA) anzuschließen. Der folgende Artikel zeigt die Ergebnisse von theoretischen und praktischen Untersuchungen an S0-Sternkonfigurationen mit bis zu acht Zweigen für gängige Installationskabel. Die Untersuchungen ergaben, dass die Installationsempfehlungen für S0-Netze durchaus entsprechend erweitert werden könnten. mmer mehr Installateure und Anwender fragen nach einer passiven Sternverkabelung am S0-Punkt, da dies je nach den lokalen Bedingungen beim Endteilnehmer günstiger sein kann als der (standardisierte) passive Bus. Bild 1 zeigt die drei standardisierten Grundtypen für eine passive ISDN-Verkabelung. Die unterste Struktur des erweiterten passiven Busses ist als Sonderfall standardisiert. Dabei bilden mehrere kurze Teilnehmerleitungen ein Strahlenbüschel am Ende einer Punkt-Punkt-Verbindung (Näheres in den Normen [1] und [2]). Wer Anleitungen und Empfehlungen für eine S0-Sternverkabelung sucht, findet diese beim North-American-ISDN-User-Forum in dem Dokument NIUF 444-97 und in der nationalen Richtlinie der niederländischen KPN – allerdings ohne theoretische Grundlagen oder Erprobungsergebnisse. Im Oktober 1999 veröffentlichte Cenelec einen Vorschlag zur Ergänzung der EN 50098-1, der die dort standardisierten Buskonfigurationen durch eine Sternkonfiguration ergänzt ([3]). Auch hier sind weder physikalische Herleitung noch Empfehlungen oder entsprechende Quellenangaben zu finden. Erwähnt sei auch, dass seit einiger Zeit aktive Sternkoppler (ISDN-Hubs) für die S0Schnittstelle angeboten werden ([6], [7], I 88 L AN line 12/2000 [8]), die sich bei den maximalen Zweiglängen am genormten S0-Bus orientieren, jedoch einen deutlichen Mehraufwand darstellen. Der Koppler wird entweder direkt am S0-Port des NTBA angeschlossen oder ist in eine Klein-TK-Anlage integriert. PHYSIKALISCHE ANFORDERUNGEN AN STERNKONFIGURATION Eine Herlei- tung der physikalischen Anforderungen an eine Sternkonfiguration kann auf den bereits vorhandenen und bekannten Fall des kurzen passiven Busses aufsetzen, wobei es wegen der praktisch auftretenden Kabelvielfalt und der Vielschichtigkeit der Phänomene kaum möglich ist, eine allgemeingültige Berechnungsformel anzugeben. Ähnlich wie beim passiven S0-Bus oder den Uko-seitigen Amtskabeln wird man anhand von untersuchten Fallbeispielen für typische Kabelkonfigurationen Forderungen aufstellen, die – versehen mit einem Sicherheitszuschlag – einen Kreis um die unendliche Vielfalt der denkbaren Anwendungsfälle schlagen ([4] und [5]). Während sich die Abschätzungen bei den bisherigen S0-Installationen auf die Einhaltung der begrenzten Laufzeit (kurzer Bus) oder die zulässige Signaldämpfung (Punkt-Punkt-Verbindung) zurückführen lassen, treten im Fall der Sternkonfiguration die Pulsverzerrungen in den Vordergrund, die durch Reflexionen an den nicht angepassten Kabelenden entstehen. Hinzu kommt der Wunsch eines jeden Bild 1. Die drei Grundtypen für eine passive ISDN-Verkabelung www.lanline.de netzTECHNIK Netzbetreibers, die Elemente der bisherigen S0-Installation weiterverwenden zu können. Aus diesem Grunde wurde für die vorliegenden Untersuchungen als Abschlusswiderstand TR (termination resistor) nur ein Wert von 100 Ohm (in Ausnahmen 50 Ohm) betrachtet. DAS UNTERSUCHUNGSKONZEPT Das Instrumentarium zur Untersuchung von möglichst vielen und unterschiedlichen Fallbeispielen der Sternkonfiguration um- trieb des NTBA (Network Termination Basic Access = Basisband-Netzabschlussgerät) im Busmodus. Damit laufen alle Prozeduren des Verbindungsaufbaus und der D-Kanal-Zugriffssteuerung durch die Teilnehmer (TE: Terminal Equipment), Vergabe von TEI, MSN, B-Kanälen und Ähnliches mehr so ab, als läge ein Bus mit bis zu acht Teilnehmern vor. Die Leitungsdämpfung bleibt vergleichsweise gering, und das System ist verzerrungsbegrenzt. Tests – zu unterscheiden, ob nur eine Sprechverbindung aufgebaut werden kann oder ob auch Daten fehlerfrei über die B-Kanäle übertragbar sind. 4. Kabeltypen: In Anlehnung an die bereits bestehenden Empfehlungen ([1], [2] und [5]) verwendeten die Untersuchungsingenieure, um einen Worst-Case-Fall zu simulieren, zunächst S0-Kabel mit 120 nF/km Kapazität und für die messtechnischen Untersuchungen die für ISDN-Zulassungsmessungen üblichen Kabelnachbildungen mit 120 nF/km. 5. Die vereinfachte Nachbildung der Sende- und Empfangsschnittstelle des S0Schaltkreises im TE oder im NTBA erfolgt auf Basis der Lösungen von PEB 2081 und PEB 2085 (Firma Infineon). BERECHNUNG VON IMPULSVERLÄUFEN Bild 2. Der Messaufbau für einen Sechsfachstern fasste zum einen eine theoretische Berechnung von Impulsverläufen mit einem geeigneten Analyseprogramm inklusive der Entwicklung von Modellen für wesentliche Komponenten. Um die theoretischen Berechnungen zu untermauern, arbeiteten die Ingenieure mit einem Messaufbau, der aus bis zu acht Zweigen mit variabler Länge für Sprach- und Datenverkehr bestand. Zunächst ermittelten sie jedoch die wichtigsten Einflussgrößen und Szenarien für den Stör- und Ausfallmechanismus, um zu möglichst einfachen und beherrschbaren Verhältnissen zu gelangen. Daraus ergaben sich für die Untersuchungen folgende Grundsätze: 1. Die Sternleitungen werden als Sonderfall des passiven S0-Busses aufgefasst, das heisst, unterhalb der vorgeschriebenen Laufzeitschranken (round trip delay) von rund zwei Mikrosekunden mit Be- 90 L AN line 12/2000 2.Ausfallkriterien: Bei Simulationen entscheidet das Augendiagramm eines speziellen Pulsmusters auf der S0-Empfängerseite. Bei praktischen Messungen entscheidet die Bitfehlerrate bei pseudostatistisch belegtem B-Kanal oder ein Schicht-1-Ausfall. 3. Kritische Szenarien zur Ausfallbewertung: Störung der Schicht-1-Pulse und Rahmen beim Verbindungsaufbau (Aktivierungsprozedur). Dabei müssen beide S0-Signalrichtungen betrachtet werden sowie die Tatsache, dass zunächst alle TEs parallel antworten, wenn ein Ruf von der Amtsseite kommt. Störung einer bereits bestehenden Verbindung TE-NTBA, wenn eine weitere unabhängige Verbindung über den zweiten B-Kanal aufgebaut werden soll. Dabei ist – zumindest bei praktischen Die Ingenieure setzten für die Simulation das Software-Paket Pspice Orcad V 9.1 ein und berechneten über eine Transientenanalyse den Pulsverlauf am Empfängereingang (TE-seitig und NTBA-seitig). Sie berücksichtigten dabei zum einen beide Signalrichtungen, die jeweiligen Signalverzögerungen des Zweigs (Laufzeiten) sowie die unterschiedlichen Abtastfenster bei TE und NTBA. Eine große Rolle spielt auch das gewählte Pspice-Modell für die verlustbehaftete Leitung im relevanten Frequenzbereich unter 500 kHz. Für die Praxis ist wichtig, dass sich die Kabelmodelle auf die im Bereich der deutschen und auch europäischen TK-Netzbetreiber tatsächlich eingesetzten Fernmeldeschalt- und Installationskabel beziehen. Sie sollten also der EN 50098/Anhang B entsprechen sowie der DTAG-Richtlinie 1 TR5 mit Daten nach DIN VDE 815 oder 813. Auf dieser Basis analysierten die Prüfingenieure theoretisch Sternstrukturen mit zwei, drei, vier, sechs und acht Zweigen, wobei sie die Zweiglängen und Abschlussbedingungen jeweils variierten (100 Ohm on/off). Als Rückkopplung aus den parallel durchgeführten praktischen Messungen wurden speziell die empirisch ermittelten Grenzfälle der gerade noch fehlerfreien Datenübertragung simuliert. Es stellte sich heraus, dass Rechnung und Messung im Wesentlichen überein- www.lanline.de netzTECHNIK stimmen. Insbesondere liefert die Simulation Hinweise zur zweckmäßigen Anschaltung von 100-Ohm-Abschlüssen. Beispielsweise erlaubt ein Stern mit drei Zweigen und jeweils 150 Meter Länge, bei dem NTBA und ein TE nicht abgeschlossen sind und die beiden verbleibenden TEs mit 100 Ohm beschaltet sind, keine sichere Impulserkennung. Die Situation verbessert jedoch sich wesentlich, wenn der Sternpunkt zusätzlich abgeschlossen wird (im NTBA ohnehin vorhanden). Bezüglich weiterer Details und Beispiele sei auf den ausführlichen technischen Bericht ([9]) verwiesen. DIE MESSUNGEN Eine Verkabelung mit einem Sechsfachstern wurde für diese Untersuchungen wie in Bild 2 dargestellt aufgebaut. Die Sternkonfigurationen mit einer anderen Anzahl von Zweigen und Längenkombinationen sehen ganz ähnlich aus. Die Ingenieure legten dabei großen Wert darauf, als Leitungssimulatoren (LNB) Geräte zu verwenden, die auch für ISDN-Abnahmemessungen zugelassen sind und dass der Verbindungsauf- und abbau über eine reale digitale Vermittlungsstelle erfolgt. Die Tests zielten insbesondere auf Sonderfälle in der Praxis ab, wie: – Störungen, die Auftreten, wenn vom TK-Netz aus eine Verbindung aufgebaut wird (auf den Ruf der Amtsseite antworten zunächst alle TE gleichzeitig während der Aktivierungsphase und vermischen sich am Sternpunkt) sowie Störungen bei einem Ruf vom Stern ins Netz. – Wahlversuch über den zweiten B-Kanal während einer bereits bestehenden Verbindung über den ersten B-Kanal oder während einer bestehenden Datenverbindung mit Bit-Fehlern in nur einer Übertragungsrichtung oder wenn zwar eine Sprechverbindung möglich ist, aber keine Datenverbindung oder diese stark gestört ist. Mit dem Messaufbau gemäß Bild 2 war gerade noch ein fehlerfreier Betrieb möglich, wenn zwei Zweige 80 Meter lang und TE-seitig abgeschlossen waren und die restlichen vier Zweige 40 Meter lang und 92 L AN line 12/2000 nicht abgeschlossen waren. Verlängerte man die 40-Meter-Stücke auf 60 Meter, konnte keine Verbindung mehr hergestellt werden. Dieser Grenzfall bestätigte sich auch in der Simulation (Einzelheiten siehe [9]). Sollten allgemeine Installationsrichtlinien für solche Sternstrukturen erstellt werden, müssen diese zu derartigen Grenzfällen genügend Sicherheitsabstand enthalten. Denn neben den betrachteten Einflüssen können auch Beeinträchtigungen des Signal-Rausch-Abstands am Entscheiderpunkt (Störungseinkopplung auf die ungeschirmten S0-Adern, Sendepegeltoleranzen, Jitter, Kabeltoleranzen und Ähnliches wie in [1] und [2] beschrieben) auftreten. ZUSAMMENFASSUNG Die Aufstellung einer Dimensionierungsregel für zulässige S0-Sternkonfigurationen ist wegen der vielen Einflussgrößen und Fehlerquellen bei der Berechnung kaum möglich. Bei kurzen Leitungen unter 10 bis 30 Metern nähert man sich dem bereits genormten erweiterten passiven Busses. Bei längeren Leitungen – immer unterhalb der Laufzeitbegrenzung für Busbetrieb – offerieren die Vorschläge zur Ergänzung der EN 50098 die griffige Regel einer Begrenzung der Summenlänge aller Zweige und jeder Einzellänge des Sterns. Die Verzerrungen hängen jedoch stark von den Abschlussbedingungen der Zweige ab, sodass es ratsam erscheint, im Sinne größerer Sicherheitsabstände oder Zweiglängen wenigstens für einen teilweisen Abschluss an den TEs zu sorgen (zumal S0-Anschlussdosen mit 100-Ohm-Widerständen seit langem gängige Praxis sind). Die Simulationen und Hardware-Tests ergaben, dass eine S0Sternkonfiguration im Worst Case des hochkapazitiven S0-Kabels und mit Sicherheitszuschlägen wie folgt eingegrenzt werden kann: 1. Das NTBA arbeitet im starren TaktRegime (Modus “kurzer passiver Bus”). 2. Das NTBA oder der Sternpunkt sollte mit 100 Ohm (Sender und Empfänger) abgeschlossen sein, wenn die Sternkonfiguration mehr als vier Zweige enthält. Ein genereller Abschluss des Sternpunkts bei einer beliebigen Anzahl von Zweigen schadet nicht (Praxis bei Deutscher Telekom). 3. Ein Stern sollte nicht mehr als acht Zweige besitzen. 4. Der einzelne Zweig sollte unter 100 bis 120 Meter lang sein, und die Summe aller Zweiglängen sollte nicht über 250 bis 280 Meter gehen. 5. TE-Abschlüsse 100 Ohm: Anzahl der Zweige maximal sechs: Mindestens zwei TEs und höchstens vier TEs sollten abgeschlossen sein. Anzahl der Zweige maximal acht: drei bis vier TEs sollten mit 100 Ohm abgeschlossen sein. 6. Die Variante generell offener Zweigleitungen an den TE-Seiten bei 50-OhmAbschluss am NTBA (NIUF 440-96) ist nicht empfehlenswert (anwendbar für kürzere Zweiglängen und bei weniger als sechs Zweigen). Wird höherwertiges Installationskabel mit geringerem Kapazitätsbelag eingesetzt, können bei gleichen Abschlussbedingungen auch größere Längen zugelassen werden (z.B. 24-AWG-Kabel mit 52 nF/km: Einzelzweige maximal 150 bis 170 Meter, Gesamtlänge maximal 400 bis 450 Meter). (Dr.-Ing. Lothar Steinhäuser/db) Der Autor ist Entwicklungsingenieur für ISDN-Netzabschlussgeräte und -schnittstellen im Bereich ICN der Siemens AG in Greifswald. Er ist über lothar.steinhaeu ser@icn.siemens.de erreichbar. Literatur: [1] Standard ITU-T I.430 (11/95) [2] Standard ETS 300 012-1 (11/96) [3] Standard DIN EN 50 098-1; Proposed amendment to EN 50 098-1:1998, CLC/TC215/Sec)77; October 1999, Project 13251 [4] Technical Report ETR 080 (11/96) [5] DTAG-Richtlinie 1 TR 5 (2/99) [6] ISDN über Sternverkabelungen, LANline V/1999, S. 64-67 [7] Preiswerte ISDN-Verkabelung, LANline 4/2000, S. 53 [8] Drahtlose Datennetze, Funkschau 9/2000, S. 33 [9] Passive Sternkonfiguration am ISDN-S0-Interface. Technischer Bericht Siemens AG, Bereich ICN WN AN E13 www.lanline.de netzTECHNIK KOMMERZIELLES PEERING Der Meta-Backbone des Internets Der amerikanische Startup Internap will das Internet schneller machen – allerdings nicht für jedermann, sondern nur für Unternehmen und deren Kunden, die Internap als Service-Provider nutzen. Die Engpässe im globalen Datenverkehr sieht das Unternehmen dabei in den PeeringPoints der Backbone-Provider. Alternative private Austauschpunkte mit Anschluss an die wichtigsten kommerziellen Backbones sollen eine Ausweichroute für zahlende Kunden bieten. nfangs war das Internet ein mehr oder weniger homogenes Netzwerk, das hauptsächlich von Behörden und Universitäten für den Austausch von Daten genutzt wurde. Durch die zunehmende Nutzung des Netzes, seine wachsende Popularität und Kommerzialisierung sowie Öffnung nach außen fingen Telekommunika- A bundenen Netzen, in denen der Großteil der Daten über rund ein Dutzend große Backbones läuft. Die Kapazitäten innerhalb der Backbones sind heute durch Technologien wie DWDM in der Regel so großzügig bemessen, dass Carrier innerhalb ihrer eigenen Netze problemlos Service-Level-Agreements für garantierte Punkt-zu- Die Flaschenhälse im öffentlichen Internet-Verkehr sind die öffentlichen und privaten Peering-Points der Backbone-Provider (Quelle: Internap) tionsunternehmen an, eigene Netzwerke – auch Backbones genannt – zu installieren und die existierende Infrastruktur zu erweitern. Was also ursprünglich ein einziges Netzwerk war, entwickelte sich bis zum heutigen Tag zu einer globalen Ansammlung von hunderten miteinander ver- 94 L AN line 12/2000 Punkt-Bandbreite anbieten können. Doch wird kein ISP seinen Kunden eine bestimmten Datendurchsatz von seinem Netz zu einem Ziel in einem anderen Netz versprechen. Denn während die zusätzlichen Backbones mehr Bandbreite für den Daten- transport zur Verfügung stellten, wurden die Austauschpunkte zwischen den Netzen mehr und mehr zum Flaschenhals. Um diese “Verstopfungen” zu umgehen, richteten weltweit kommerzielle Internet-Provider zentrale Datenaustauschpunkte ein, an denen der nationale oder regionale Datenverkehr von einem Provider-Netz zum anderen übergeben wird. Als Betreibergesellschaften der Peering-Points fungieren dabei in der Regel gemeinsam betriebene, nicht gewinnorientierte Organisationen. Neben schnelleren Paketlaufzeiten, die Internet-Nutzer erfreuen, profitieren auch die Internet-Service-Provider selbst von diesem Arrangement. Denn die Mitgliedschaft in einem “Peering-Verein” macht zahlreiche bilaterale Verträge zwischen den diversen Providern überflüssig. HEISSE KARTOFFEL Das Prinzip des gemeinnützigen Datenaustausches sollte eigentlich die Probleme der Datenengpässe im Internet lösen. Doch genau in den Peering-Points sieht das amerikanische Startup-Unternehmen Internap den Schwachpunkt des “Systems Internet” und gleichzeitig die Grundlage für ihr Geschäftsmodell. Die Argumentation ist dabei weniger technischer Art, sondern liegt in der Wirtschaftlichkeit des Systems: So hätten Backbone-Provider kein ökonomisches Interesse daran, den optimalen Pfad zwischen Sender und Empfänger eines Datenpakets zu finden und die Pakete entsprechend zu routen. Denn da sich die großen Backbone-Provider nicht gegenseitig für den Zugang zu den Netzwerken entlöhnten, stamme der Verkehr auf jedem Backbone zum Großteil von nicht-zahlenden Kunden. Um nun Kosten für den Ausbau des eigenen Backbones zu sparen, hätten die Backbone-Provider ein finanzielles Interesse daran, die Datenpakete aus anderen Netzen so schnell wie möglich wieder loszuwerden. Entsprechend versuchten nun die Provider, die fremden Pakete am nächstmöglichen Peering-Punkt wieder loszuwerden. Diese Art von Routing bezeichnet Internap auch als “Hot Potato Routing”. Als Folge erhöht sich für die Pakete die Zahl der Hops zwischen Sender und Empfänger, was eine höhere Latenz- www.lanline.de netzTECHNIK zeit zur Folge hat. Zudem entsteht an den Peering-Points durch zu geringe Kapazitäten Datenverlust. Zwar kann TCP verlorene Pakete erneut anfordern, doch bereits ein Prozent Datenverlust bei der Übertragung einer Datei verdoppelt laut Internap deren Download-Zeit. Ein weiteres ökonomisches Hindernis sind laut Internap die Peering-Points selbst. Denn durch den ständig wachsenden Internet-Verkehr “verstopfen” die Peering-Points zunehmend und die Backbone-Provider hätten keine finanziellen Interessen, die Kapazität dieser Peering-Points zu erhöhen. INTERNAP-ANSATZ Die Internap-Alternative zum gemeinnützigen Peering heißt “Selbermachen”. Statt den Datenaustausch Peering-Organisationen zu überlassen, errichtete Internap in den wichtigsten Städten der USA so genannte P-NAPs (Private-Network Access Points). Dort laufen die größten internationalen Backbones zusammen, sodass Internap nach eigenen Angaben rund 95 Prozent der globalen Internet-Adressen direkt erreichen kann. Die direkten Backbone-Verbindungen in den P-NAPs sind unter anderem OC3- und DS3-Verbindungen zu Uunet, Sprint, Cable & Wireless, GTE, Digex, Psinet, AT&T, Verio und Mindspring. Dabei handelt es sich weder um freie öffentliche Peerings noch um privaten Datenaustausch. Stattdessen entrichtet Internap an jeden der angeschlossenen Backbone-Provider eine Gebühr für TransitTCP/IP-Connectivity. Die Aggregation der wichtigsten Backbones ist dabei nur eine der Grundlagen für Internaps Geschäftsmodell. Den eigentlichen Mehrwert für die Kunden ist die eigene patentierte Route-ManagementTechnologie namens Assimilator. Denn sie erweitert das BGP-Routing-Protokoll (RFC 1771) um die Berücksichtigung von Latenzzeiten als Faktor für die RoutingEntscheidung, statt wie BGP die Pakete alleine nach der Erreichbarkeit eines Hosts zu routen. Assimilator läuft auf Linux-Servern und besteht aus drei Komponenten: Der “Scrutinizer” sammelt zunächst Daten über den aktuellen Durchsatz der einzelnen Backbones. Dabei lädt das Tool regelmä- www.lanline.de Durch die Verbindung der P-NAPs mit den wichtigsten Backbones will Internap 95 Prozent der Internet-Nutzer direkt erreichen (Quelle: Internap) ßig die komplette globale Routing-Tabelle der einzelnen Backbone-Provider herunter. Dadurch erhält der Assimilator genaue Informationen darüber, wo eine bestimmte IP-Adresse beheimatet ist und zu welchem ISP sie gehört. Diese Daten gibt der Scrutinizer an den “Cogitator” weiter. Diese Komponente analysiert die verfügbaren Routen, wählt den optimalen Pfad für Verbindungen zu den Internap-Kunden aus und informiert das Internap-NOC (Network Operation Center) über Störungen in einzelnen Backbones. Der “Actualizer” schließlich programmiert die vom Cogitator ermittelten Routen in die Route-Server der P-NAPs. KOMMERZ Wie anfangs erwähnt, ist Internaps ökonomische Kritik am PeeringModell gleichzeitig Geschäftsgrundlage des eigenen Angebots. Daher stehen die P-NAPs auch nicht der Allgemeinheit, sondern nur zahlenden Internap-Kunden zur Verfügung. Dies sind einerseits Unternehmen wie Amazon.com oder The Motley Fool, die ihre Server in den InternapFacilities unterstellen (Server Collocation). Zudem hat Internap Standleitungen von T1 (1,54 MBit/s) bis OC3 (155 MBit/s, Packet over SONET) im Angebot. Collocation-Kunden profitieren dabei von dem optimierten Routing der Pakete vom eigenen Server zum Internet-Surfer, was aus Sicht des Server-Besuchers zu einem schnelleren Seitenaufbau führt. Andererseits erhöhen die Internap-Kunden die Erreichbarkeit ihrer Server, da bei Störungen in einem Backbones die Pakete auf einen anderen Backbone umgeleitet werden. Darunter leidet zwar die Antwortzeit, doch ist eine langsame Verbindung besser als gar keine. Um zu sehen, welchen Weg Pakete zu einem bestimmten Ziel nehmen, bietet Traceroute.org (www.traceroute. org) eine weltweite Übersicht Web-basierender Traceroute-Server. Während Internap in den USA bereits gut vertreten ist, sieht es in Europa noch etwas “dünn” aus. Der Schritt über den Teich soll jedoch noch im Jahr 2000 vollzogen werden. In Zusammenarbeit mit dem europäischen Partner Cityreach will Internap P-NAPs in London und Amsterdam eröffnen. Zudem ist die Errichtung eines europäischen NOCs in der Nähe von Amsterdam geplant. (Georg von der Howen) Info: Internap Tel.: 001/206 441-8800 Web: www.internap.com L AN line 12/2000 95 netzTECHNIK DHCP UND WINDOWS 2000 SERVER, TEIL 2 Automatische Konfiguration Die IETF (Internet Engineering Task Force) hat das Dynamic Host Configuration Protocol (DHCP) im Rahmen seiner “Requests for Comments” (RFCs) definiert. Bereits unter Windows NT unterstützt Microsoft diesen Standard. Doch bei Windows 2000 Server wurde der DHCP-Server erweitert. ie Version des DHCP-Servers, der bei Windows 2000 Server zum Einsatz kommt, offeriert einige Verbesserungen. Zu den wichtigsten, die auch bereits im ersten Teil dieses Beitrags (siehe LANline 11/2000, ab Seite 80) besprochen wurden, gehören: – die Integration von DHCP mit dem DNS, – die optimierte Überwachung und verbessertes Reporting (Statistik) in Bezug auf die DHCP-Server, – zusätzliche DHCP-Optionen (herstellerspezifische wie auch die “Class-IDOption”), – ein verbesserter DHCP-Manager sowie – die Zuteilung von Multicast-Adressen. D Bei der Zuweisung von MulticastAdressen handelt es sich um eine neuere Art der Adressierung in einem TCP/IPNetzwerk. Sie wird ebenfalls von der IETF standardisiert und findet in den Bereichen Verwendung, wo es um die Übertragung von einem “Sender” zu einer festgelegten Gruppe von “Empfängern” geht. Dabei handelt es sich um eine Punkt-zu-Mehrpunkt-Übertragung. Hierbei gibt es einen Unterschied zu den Broadcast-Übertragungen, die sich an alle Systeme in einem Subnetz richten. Denn das Multicasting richtet sich nur an eine Gruppe von Systemen. Als weitere neu hinzugekommene Aspekte des DHCP von Windows 2000 Server sollen die Punkte: Bild 1. Der Ausgangspunkt für die Installation des DHCP-Dienstes auf dem Server zeigt sich sehr übersichtlich 98 L AN line 12/2000 – automatische Konfiguration der Clients, – Erkennen von weiteren sich unkooperativ verhaltenden DHCP-Servern und – Zusammenarbeit mit dem ClusteringAnsatz von Windows 2000 in dieser Ausgabe vorgestellt werden. Eine Verbesserung kommt mit der automatischen Konfiguration von IPAdresse und Subnetzmaske eines Clients ins Spiel, wenn der Client in einem kleinen Netzwerk gestartet wird, in dem kein Zugriff auf einen DHCP-Server möglich ist. Wird ein Microsoft-TCP/IP-Client installiert und bezieht er seine Informationen über die Protokollkonfiguration dynamisch von einem DHCP-Server, wird der DHCP-Client bei jedem Start des Systems aktiv. Der DHCP-Client-Dienst folgt dann einem zweistufigen Prozess, um den Client entsprechend zu konfigurieren. Zunächst versucht er einen DHCP-Server zu finden und von ihm die Konfigurationsinformationen zu erhalten. Klappt das nicht, so konfiguriert sich der Client (wenn er auf einer Windows2000-Plattform zum Einsatz kommt) selbst mit einer “zufällig” erzeugten IPAdresse im Subnetzbereich 169.254.0.0. Dieser Bereich wurde von Microsoft beim NIC (Network Information Center) für die automatische IP-Konfiguration reserviert, sodass gewährleistet ist, dass solche Adressen im Internet nicht vorkommen. Bild 2. Wie nicht anders zu erwarten, hilft bei der Bereichsangabe für den DHCP-Service ein entsprechender Assistent www.lanline.de netzTECHNIK Danach sendet der Client einen “Ping” auf diese Adresse und stellt so letztendlich sicher, dass keine IP-Adresse im Netzwerk doppelt vergeben ist. Im anderen Fall hat ein DHCP-Client bereits eine Lease von einem DHCP-Server bekommen. Wenn nun der Client versucht, diese Zeitdauer für die Gültigkeit der Lease zu verlängern, und dabei keine Verbindung mit dem DHCP-Server mehr bekommt, dann versucht er einen Ping DHCP-Server auf einem Netzwerkgerät ihre Dienste verrichten, ohne dass der Administrator dies bewusst und unbedingt haben will. Ein typisches Beispiel für eine derartige Konstellation ist ein DHCP-Server, der so angelegt ist, dass er in einem kleinen Segment IP-Adressen vergibt. Falls diese Adressen “unglücklich” gewählt wurden, kann es durchaus vorkommen, dass auch andere Clients als die im kleinen Subnetz ihre Adressen von dieSichere Netzwerke mit Windows 2000 sem DHCP-Server anfordern. Dazu Diese Artikelreihe stammt muss allerdings der zum überwiegenden Teil aus “DHCP Relay dem Buch Agent” installiert sein, denn nur so “Sichere Netzwerke mit Windows 2000” können Clients aus anderen Subnetzen (ISBN 3-8272-2014-9) des von diesem DHCPVerlags Markt & Technik. Server ihre Adressen beziehen, und Wir danken für die freundliche Genehmigung, diese Teile der DHCP-Server veröffentlichen zu dürfen. muss zufällig auch gerade einen Adressbereich aus dem Subnetz des Relay Agents besitzen. In diesem Fall auf das Default-Gateway (das in der Le- ist Ärger in Form von Adresskonflikten ase eingetragen ist) abzusetzen. Ist dieser vorprogrammiert, der sich zudem nur Versuch von Erfolg gekrönt, geht der sehr schwer eingrenzen lässt. Denn meist Client davon aus, dass er sich nicht an ei- wurde der “private DHCP-Server” von ner anderen Stelle im Netzwerk befindet jemand anderem eingerichtet, als demjeund nimmt die vergebene Lease. An- nigen, der für den Betrieb der “übergeschließend versucht der Client erneut zur ordneten” DHCP-Server verantwortlich “Halbzeit”, die Lease wieder zu verlän- zeichnet. Generell sollte man derartige Problegern. Schlug aber der Ping zum Default- me durch gute “voraussehende” PlaGateway fehl, geht der Client davon aus, nung gar nicht erst entstehen lassen. Dadass er sich in einem anderem Teil des her die Devise – mehr schon eine golNetzwerks befindet, auf dem sich kein dene Regel – man möge doch möglichst DHCP-Server befindet und konfiguriert wenige DHCP-Server in seinem Netzsich selbst neu. Allerdings versucht der werk einsetzen. Zufälligkeiten dürfen DHCP-Client dann alle fünf Minuten, beim Netzwerkdesign nicht Tür und Tor geöffnet werden. Im konkreten Fall einen DHCP-Server zu lokalisieren. Ein anderer wichtiger Punkt ist die heißt das, man muss den Kreis derer Kooperation mit zusätzlichen DHCP- massiv einschränken, die Arbeiten wie Servern, die in einem Netzwerk instal- das Installieren von DHCP-Servern in liert sind. Dabei kann es sich durchaus einzelnen Segmenten durchführen dürum “Wildwuchs” handeln, wenn etwa fen. www.lanline.de L AN line 12/2000 99 netzTECHNIK Die DHCP-Server-Version von Win- DHCP-Server seinen Dienst aufnimmt, dows 2000 Server kann mit diesen überprüft er mit Hilfe eines DHCPINProblemfällen umgehen und eventuelle FORM-Datenpakets zuerst, ob er im Adressierungskonflikte ausräumen. AD in der Liste steht. Ist das der Fall, Denn es gibt Hilfsmittel, mit denen fährt er den DHCP-Server-Dienst hoch. sich nicht zulässige DHCP-Server in Alle fünf Minuten sendet er neue einem Netzwerk aufspüren lassen – be- DHCPINFORM-Pakete, um seine Besonders komfortabel sind sie allerdings rechtigungen zu prüfen. Außerdem ernicht (ein Windows-2000-DHCP-Ser- kennt er so, ob auch noch andere Verver sendet alle fünf Minuten einen zeichnisdienste aktiv sind und prüft DHCPINFORM-Broadcast aus). Zudem auch dort seine Berechtigung ab. ist eine weitere Kontrolle hinzugekommen: Früher war quasi jeder Administrator in der Lage, einen DHCPServer installieren und verwalten zu können. In der aktuellen Version aber muss er erst über eine “Autorisierungshürde” kommen, ehe er sich dieser Aufgabe widmen darf. Unter Windows 2000 haben nur Mit- Bild 3. Die Optionen für das DHCP können gleich bei der ersten Instalglieder der Gruppe lation angegeben oder auch später hinzugefügt werden Organisations-Admins das Recht, diese Aufgaben zu übernehmen. Sie können Findet der neue DHCP-Server einen aber – so lautet die Devise unter Win- Verzeichnisdienst und stellt er dann fest, dows 2000 – diese Rechte auch an ande- dass er nicht auf der Liste der autorisierre Gruppen vergeben. ten DHCP-Server steht, nimmt er an, dass Falls ein Netzwerkdesign auf dem Ac- er auch nicht berechtigt ist und reagiert tive Directory (AD) basiert, kann dies auch dann auf keine Anfragen von hierbei wertvolle Dienste leisten, ist es Clients. doch für die Rechtevergabe zuständig. Im Anders verhält sich die Sache, wenn AD werden nun Einträge geführt, in de- ein DHCP-Server kein Server in einer nen die zugelassenen DHCP-Server ver- Domäne ist. Als ein Mitglied in einer zeichnet sind. Wenn ein DHCP-Server in Arbeitsgruppe wird der folgende Weg einem AD-basierten Netzwerk seine Ar- eingeschlagen: Der Server sendet eine beit aufnimmt, kann nun über das AD sei- Broadcast-Nachricht (DHCPINFORM) ne Berechtigung geprüft werden. in das Netzwerk. Jeder andere Server im Daraufhin kann ein Organisations-Ad- Netzwerk, der diese Nachricht bemin reagieren und den neuen Server kommt, antwortet mit einem Acknowentweder berechtigen oder aber die ent- ledgement (die DHCPACK-Nachricht) sprechende Berechtigung nicht erteilen. und teilt dem Anfrager mit, zu welcher Die Liste mit den autorisierten DHCP- Domäne er selbst gehört. Wenn dadurch Servern lässt sich mit dem DHCP-Snap- ein DHCP-Server einer Arbeitsgruppe in der MMC im AD erzeugen. Wenn ein einen DHCP-Server als Mitglied einer 100 L AN line 12/2000 Domäne erkennt, geht der DHCP-Server in der Arbeitsgruppe davon aus, dass er für diese Domäne nicht autorisiert ist und beantwortet folglich auch keine DHCP-Anfragen aus diesem Bereich. Erkennt ein zu einer Arbeitsgruppe gehöriger DHCP-Server einen anderen Server in der Arbeitsgruppe, ignoriert er ihn. Somit können mehrere Server innerhalb einer Arbeitsgruppe aktiv sein – solange nur kein Verzeichnisdienst existiert. Ist ein DHCP-Server in einer Arbeitsgruppe am Laufen, untersucht er dennoch alle fünf Minuten, ob nicht ein weiterer DHCP-Server dazugekommen ist. Ist dieser Fall eingetreten – etwa weil ein autorisierter DHCPServer einer Domäne später gestartet wurde – stellt der DHCP-Server der Arbeitsgruppe seine Aktivität ein. INTEGRATION IN DAS CLUSTERING Zu- vor war bereits die Rede davon, dass zu einem DHCP-Server auch ein Backup-System gehört, das nach einiger “Handarbeit” durch den Administrator dessen Aufgaben übernehmen kann, wenn der DHCP-Server ausfällt. Damit hat der Administrator zwar eine höhere Ausfallsicherheit für diesen wichtigen Dienst seines Netzwerks erreicht, doch geht das auf Kosten der Verwaltungsarbeit. Hier bringt das Clustering von Windows 2000 seine Vorteile ins Spiel. Sie lauten: – höhere Ausfallsicherheit, – weniger Wartungsaufwand sowie – bessere Skalierbarkeit. Durch das “Windows-Clustering” ist es möglich, einen abgestürzten Server zu erkennen und seine Anwendungen oder Dienste schnell auf dem noch aktiven Server wieder anlaufen zu lassen. Die Benutzer bemerken diesen Übergang höchstens mit einer vorübergehenden Pause des Dienstes. Zudem steht es einem Administrator frei, ausgehend von der Belastung der einzelnen Komponenten in einem Cluster die Last innerhalb des Verbunds zu verteilen. Dies hilft bei einer manuellen Lastverteilung sowie beim Aktualisieren eines www.lanline.de netzTECHNIK Servers, wenn die anderen Mitglieder seine Arbeit in der Zwischenzeit übernehmen sollen. Für den DHCP-Server von Windows 2000 bedeutet dies, dass er sozusagen auf einem virtuellen System – also dem Cluster – installiert wird. Stoppt ein Knoten im Cluster seine Arbeit, übernehmen die verbliebenen aktiven den DHCP-Service – einschließlich aller wichtigen Informationen wie beispielsweise den Namensraum. Für den Client hat dies keine Änderungen zur Folge, er sieht wie bisher nur die IP-Adresse des geclusterten DHCP-Servers. Allerdings trübt ein Wermutstropfen diese rosigen Aussichten: Das Clustering ist erst ab der vergleichsweise teuren AdvancedServer-Version von Windows 2000 verfügbar. sein kann. Als nächste Aktion ist aus dem Hauptmenü unter “Vorgang” der Punkt “Server hinzufügen” anzugeben. Darauf erscheint ein Auswahldialog, um zu klären, auf welchen Server DHCP installiert werden soll. Hier ist die Option “Dieser Server” anzugeben und der Name des Systems einzugeben. Nachdem der erste Server mit DHCP installiert ist, muss mit dem Bereichserstellungsassistenten der Adressbereich festgelegt werden. Dazu ist der KONFIGURATION DES DHCP-SERVERS UNTER WINDOWS 2000 Nachdem die technischen Hintergründe weitestgehend erklärt sind, geht es nun an die Konfiguration des DHCP-Servers. In der üblichen Assistenten-Vorgehensweise hilft das System dem Administrator dabei. Hier eignet sich beispielsweise der für viele Aufgaben vorgesehene Assistent “Windows 2000 Server konfigurieren”. Wird hier der Punkt Netzwerk angeklickt, stehen vier untergeordnete Möglichkeiten durch diesen Assistenten offen: – DHCP, – DNS, – Remote-Zugang und – Routing. Ein Klick auf die Option DHCP startet die Seite mit den Informationen zum DHCP. Zuerst stehen zwei Möglichkeiten offen: das Installieren und das Verwalten von DHCP. Logischerweise ist hier Installieren anzuklicken. Damit öffnet das System den DHCP-Manager. Bild 1 zeigt das entsprechende Fenster. Der DHCP-Manager zeigt an, dass der Status für den Server “nicht autorisiert” beträgt. Dies ist auch sinnvoll, da der DHCP-Dienst noch nicht installiert und somit auch noch nicht in der entsprechenden Liste im AD eingetragen 102 L AN line 12/2000 Bild 4. Es stehen eine Vielzahl von Optionen für den DHCP-Server zur Verfügung DHCP-Manager zu starten. Ein Klick mit der rechten Maustaste auf das Symbol für den Server in der Konsolenstruktur und danach auf den Punkt “Neuer Bereich” erfüllt diese Aktion. Auch hier hilft einem ein Assistent, der “Bereichserstellungs-Assistent” auf den richtigen Weg (Bild 2). Zuerst ist ein Name für den IP-Adressenbereich anzugeben. Dann folgt die erste vom DHCP-Server zu vergebende IP-Adresse (im Beispiel die 194.168. 102.010) und anschließend die letzte des Bereichs (die 194.168.102.099). Die zugehörige Subnetzmaske erzeugt das System aus den bisherigen Angaben selbst – ein Überschreiben des Werts ist aber möglich. Anschließend ergibt sich noch die Möglichkeit, innerhalb dieses Bereichs bestimmte Unterbereiche an IP-Adressen von der Ver- gabe auszuschließen. Ein gutes Netzwerkdesign wird dies allerdings nicht benötigen, doch bei einer bestehenden Infrastruktur kann diese Option von großem Nutzen sein. Als nächster Schritt ist noch die Zeitdauer für eine “Lease” anzugeben. Die Voreinstellung beträgt acht Tage – man sollte sich diesen Wert genau überlegen. Kommen viele mobile Systeme oder schlanke Clients zum Einsatz, sollte ein kürzerer Wert in Betracht gezogen werden. Doch die Faustregel lautet: Je länger die Lease-Dauer, umso mehr Performance bleibt übrig, weil weniger Verwaltungsaufwand zu leisten ist und weil weniger Verkehr auf dem Netzwerk auftritt. Andererseits kann eine zu großzügige Festlegung der Lease zu Problemen mit den verfügbaren IPAdressen im Bereich führen. Daher sind speziell in komplexen Designs Kompromisse angesagt. Im nächsten Schritt werden vom Assistenten die Optionen für das DHCP festgelegt. Danach beendet der Bereichserstellungs-Assistent seine Dienste. Sollen die DHCP-Optionen später konfiguriert werden, ist im DHCP-Manager auf das Verzeichnis “Server-Optionen” zu klicken und dann über die rechte Maustaste das Kontextmenü aufzurufen. Hier lautet der erste Punkt “Optionen konfigurieren”. Das System zeigt hier eine Vielzahl von unterschiedlichen Optionen – unterteilt nach “Allgemein” und “Erweitert” (Bild 4). Nachdem die für das Netzwerk zutreffenden Optionen festgelegt sind (wichtig sind hierbei noch die Herstellerklassen-Optionen, die Windows2000-Optionen enthalten zum Beispiel noch die Option 001, mit der die “NetBIOS over TCP/IP”-Schnittstelle deaktiviert wird), werden mit “OK” die Einstellungen bestätigt. Ein Klick mit der rechten Maustaste in der Konsolenstruktur auf den neuen Bereich und ein anschließendes “Aktivieren” führt diese Änderungen dann auch am DHCP-Server endgültig durch. (Rainer Huttenloher/mw) www.lanline.de netzTECHNIK BUCHBESPRECHUNGEN WINDOWS 2000 DNS Wer Windows 2000 zur Seele seines Netzwerks machen will – oder muss – der hat einige Aktionen zu erledigen, die die Infrastruktur seines Netzwerkdesigns betreffen. Die gesamten Vorteile von Windows 2000 stehen erst dann zur Verfügung, wenn das Active Directory zum Einsatz kommt. Denn damit lassen sich die netzwerkweiten Ressourcen zentral verwalten und der Zugriff auf sie sicher abwickeln. Ein wesentlicher Aspekt in diesem Zusammenhang ist der Einsatz von TCP/IP als Netzwerkprotokoll und des Domain-Name-Systems (DNS) als ”Namensdienst“, der die Abbildung von verständlichen Namen in IP-Adressen abwickelt. Im Lieferumfang von Windows 2000 Server, Windows 2000 Advanced Server und Windows 2000 Datacenter Server ist eine Microsoft-eigene Variante des DNS enthalten. Hierbei setzt Microsoft auf eine selbstständige Implementierung, die sich an die neueren Vorgaben seitens der Internet Engineering Task Force (IETF) mit deren Standards (RFC, Request for Comments, genannt) hält. Eine detail- Autoren: Roger Abell, Herman Knief, Andrew Daniels und Jeffrey Graham New Riders ISBN 0-7357-0973-4 US-Preis: 39,99 Dollar 104 L AN line 12/2000 lierte Beschreibung von Microsofts DNS wie es bei Windows 2000 mitgeliefert wird, bekommt der Leser bei dem Werk ”Windows 2000 DNS“ in die Hand. Dieses zirka 450 Seiten starke englischsprachige Buch befasst sich im ersten Teil mit den allgemeingültigen Prinzipien des Domain- Name-Systems. Hier bekommt der Leser alle wichtigen Begriffe und Details vermittelt. Die Kapitel in diesem Umfeld greifen auf, wie DNS arbeitet, welche Arten von DNSServer-Typen existieren, wie sich die Domain-Information zusammensetzt, wie Abfragen an die DNS-Server abgesetzt werden und wie die Zusammenarbeit mit Internet-Service-Providern in diesem Zusammenhang funktioniert. Der zweite Teil des Buchs dreht sich dann in erster Linie um die DNS-Server selbst. Breiten Raum räumen die Autoren hierbei dem ”Dynamischen DNS“ und dem Active Directory (AD) ein, das mit Windows 2000 zum Einsatz kommt. Vor allem die Integration des DNS in das AD – mit all ihren Konsequenzen – wird hier vorgestellt. Des Weiteren kommt die Kooperation mit den BINDbasierenden DNS-Servern zur Sprache. Dazu erörtert das Werk die Kommunikation zwischen den Name-Servern, bespricht die Migration auf das DNS von Windows 2000 und zeigt zudem, wie ein BIND-basierendes DNS auf WindowsSystemen arbeitet kann. Danach – so sind sich die Autoren sicher – kann sich der Leser daran wagen, seinen DNS-Server auszuwählen und zu konfigurieren. Wichtige Kriterien sind hier die Anzahl der einzusetzenden DNS-Server, die Wahl, wie viele Zonen und/oder Domänen man einsetzen soll und ob das AD für den speziellen Fall auch große Vorteile offeriert. Danach geht es an den Aspekt der Sicherheitsproblematik, der durch den Einsatz eines dynamischen DNS durchaus schwer wiegen kann. Das folgende Kapitel dreht sich dann um die Konfiguration des DNS-Servers von Windows 2000. Bei dieser Aufgabe unterstützt einen zwar ein Assistent von Windows 2000, doch die Hilfestellung im Buch erweist sich als überaus nützlich. Hier wird jede notwendige Entscheidung kommentiert und ausführlich erläutert, welche Auswirkungen die jeweiligen Angaben nach sich ziehen. Der dritte große Teil des Werks befasst sich danach mit dem Betrieb des DNS von Windows 2000. Hier treten alle Hilfsmittel auf den Plan, mit denen der Administrator das weite Feld der Problembehebung bearbeiten kann. Zudem spendieren die Autoren aus der täglichen Praxis einige wertvolle Tipps. Die abschließenden Kapitel beinhalten die Themen ”Konfiguration eines Windows-Clients“, ”Einbinden der DHCP-Dienste“, ”Namensauflösung mit WINS“ sowie den Bereich ”NetBIOS“. Quasi als Abrundung zeigt der Anhang des Buchs die LMHOSTS- und HOSTSDateien, die zum Thema DNS gehörigen RFCs, das Registrieren der Adressen im Internet (ist nur für die USA sinnvoll) sowie Beispiele für die Auflösung von DNS-Anfragen. Mit einem kurzen Abriss über die Zukunft des IP – das IPv6 – und dem Thema ”Multihomed Windows Server“ schließt das Buch. Mit diesem Werk bekommt der Leser alles Wissenswerte in die Hand gegeben, das er für die Installation und den Betrieb von ”Windows 2000 DNS“ benötigt. Daher trifft das Buch für diese Aufgabenstellung bestens zu. Die Bewertung: Für Profis sehr empfehlenswert. INTERCONNECTING CISCO NETWORK DEVICES Die Angaben über den Marktanteil an Switching- und Routing-Produkten schwanken zwar in ihren Absolutwerten, doch selbst die größten Skeptiker sind sich einig: Sagt man Internet, meint man Cisco – zumindest was die Netzwerkinfrastruktur anbelangt. Wie schon bei den Netzwerkbetriebssystemen auf Servern oder Workstations, hat dieser Hersteller auch Schulungsreihen wie CCNA (Cisco Certified Network Associate) oder CCIE (Cisco Certified Internetwork Expert) aufgelegt. Wer diese Ausbildung absolviert und die einschlä- www.lanline.de netzTECHNIK BUCHBESPRECHUNGEN Hrsg. Steve McQuerry Verlag M&T/Cisco Press ISBN 3-8272-5799-9 Preis: 129,– Mark gigen Tests bestanden hat, der darf sich dann mit der Bezeichnung ”Cisco Certified Network Irgendwas“ schmücken. Neben den üblichen Workshops/Lehrgängen benötigt der Interessent aber auch noch vernünftiges Material, das mittlerweile von Cisco Press/Markt und Technik in Buchform – und das auch in Deutsch – vorliegt. So trägt der Titel ”Interconnecting Cisco Network Devices“ auch in der Unterzeile den Hinweis, dass er ”das offizielle Kursbuch für die CCNA-Zertifizierung mit der Prüfungsnummer 640507“ darstellt. Damit ist der Verwandtschaftsgrad schon abgesteckt. Aufbauend auf dem gleichnamigen weltweit gültigen Examen demonstriert dieser Lehrband wie sich Cisco-Switches und -Router in Multiprotokollnetzwerken konfigurieren lassen. Das Thema ”Interconnecting Cisco Network Devices“ wurde aus anderen Kursen wie ”Introduction to Cisco Router Configuration“, ”Cisco Routers and LAN Switches“ und ”Cisco LAN Switch Configuration“ entwickelt. Cisco selbst empfiehlt diesen Stoff als Grundkurs für die Vorbereitung zum Certified Cisco Network Associate. Das Buch bringt dem Leser Informatio- www.lanline.de nen über die Installation, die Konfiguration sowie die Fehlersuche bei den einschlägigen Cisco-Produkten. Der Leser wird durch fünf Teilabschnitte geführt: – Cisco-basierende Netzwerke; darunter Fallen Aspekte wie Montage, Verkabelung, Inbetriebnahme, Konfiguration und Verwaltung der Geräte, – Verbindung von Catalyst-Switches; hier werden die grundlegenden Switching-Mechanismen wie auch die VLAN-Konfiguration besprochen, – Verbindung mit Cisco-Routern, hier kommen Punkte wie TCP/IP, IP-Routing, Traffic-Management aber auch die IPX-Konfiguration zur Sprache, – Erweiterungen des Netzwerks durch WAN-Schnittstellen; wichtige Aspekte in diesem Kontext sind Punktzu-Punkt-Verbindungen, ISDN und Frame-Relay-Verbindungen. Weitere Kapitel greifen das eher seltenere Protokoll Appletalk auf. Zudem kommt auch die Konfiguration sowie das Arbeiten mit der Cisco-700-Serie nicht zu kurz. Nach jedem Kapitel kann der Leser seinen Wissenstand überprüfen. Dazu braucht er lediglich die Testfrage beantworten. Die Auflösung der einzelnen Prüfungen finden sich dann im Anhang. An diesem Buch hat vor allem der Praxisbezug sehr gut gefallen. Wie schon aus dem Titel ersichtlich ist, dreht sich alles um die Cisco-Produkte. Doch dazu bekommt man auch sehr gutes Know-how vermittelt. Ideal für die Arbeit mit diesem Buch wäre natürlich eine Konstellation, bei der man die verschiedenen dargestellten Aktivitäten gleich in die Praxis umsetzen kann. Doch in der Regel arbeitet das CiscoEquipment in einer Firma immer im Produktivbetrieb, so dass ein ”Ausprobieren“ und ein ”Lernen durch Fehlermachen“ nicht angeraten erscheint. Aber Gott sei Dank gibt es ja mittlerweile auch Firmen, die über das Internet Zugriff auf eine Cisco-Testumgebung bekommen kann. Das Buch selbst verdient auf alle Fälle die Wertung: sehr empfehlenswert. (Robert Runge/rhh) LANline 12/2000 105 netzTOOLBOX IM TEST: DRIVE IMAGE, VERSION 4 Systemkopie auf Compact Disc Drive Image von Powerquest sichert ganze Festplattenpartitionen in Image-Dateien, sodass sich ein System schnell wieder herstellen lässt. Einsatzzwecke sind einerseits die Datensicherung und andererseits die Installation von “frischen” Systemen in großen Stückzahlen. Die Version 4 kann jetzt Image-Dateien direkt auf CD-Rs und CD-RWs brennen. Zudem prüft die Software die Integrität von Images, kann Images auf NTFSDateisystemen ablegen und enthält einen verbesserten Image-Editor. as Funktionsprinzip von Drive Image ist so einfach wie effizient: Die Software kopiert eine ganze Partition einer Festplatte Sektor für Sektor in eine so genannte Image-Datei. Da Drive Image den vollen und exklusiven Zugriff auf die zu sichernde Partition benötigt, läuft das Programm unter DOS oder dem Kommandozeilenmodus von Windows 9x. Daraus folgt, dass das Programm die Image-Datei nur auf einem Datenträger ablegen kann, den das darunter liegende Betriebssystem D unterstützt – also FAT (unter DOS) oder FAT/FAT32 (unter Windows 9x). Die neue Version 4 kann zusätzlich Images auf NTFS-Dateisystemen ablegen. Bei der Wiederherstellung eines Images wird die Datei zurück auf die ursprüngliche oder eine andere Partition kopiert. Diese Art der Datensicherung ist so gründlich, dass nach der Wiederherstellung sowohl der BootSektor als auch die Fragmentierung der Festplatte dem Originalzustand entsprechen. Übersichtlich zeigt Drive Image bei allen Aktionen die Partitionen des lokalen Rechners grafisch sowie in einer Liste an 106 L AN line 12/2000 EINSATZBEREICHE Die Software lässt sich beispielsweise hervorragend in Testumgebungen einsetzen, die zur Evaluierung eines neuen Produkts eine “frische” Betriebssystemumgebung voraussetzen. Dabei werden Betriebssysteme direkt nach ihrer Installation “eingefroren” und anschließend mit Drive Image auf CD gesichert. Nach Abschluss eines Tests kann Drive Image die Abbilder jederzeit wieder “auftauen” und eine saubere Umgebung für den nächsten Test herstellen. Zur Datensicherung von Servern ist Drive Image allerdings nur bedingt geeignet, da die Software eine Partition nicht im laufenden Betrieb in eine Image-Datei kopieren kann. Neben der Datensicherung lässt sich die Software zur Masseninstallation von betriebsfertigen Systemen nutzen. So kann der Administrator oder ein VAR (Value Adding Reseller) ein Image eines Betriebssystems inklusive Applikationen auf zahlreiche Arbeitsstationen mit identischer Hardware überspielen und sich somit die individuelle Installation jedes einzelnen Rechners ersparen. Zudem kann Drive Image auch Partitionen direkt auf eine andere Platte kopieren. Das ist zum Beispiel nützlich, wenn eine kleine Systemplatte durch eine größere ersetzt werden soll. ARBEITSWEISE Da nicht jedes System eine Festplattenpartition mit ausreichend Platz für eine Image-Datei bietet, reduziert die Software die Größe der Dateien auf mehrere Arten. So kopiert Drive Image bei den Dateisystemen FAT, FAT32, NTFS und Linux Ext2 nur die belegten Sektoren. Das ebenfalls von Powerquest erhältliche Server Image beherrscht dieses Verfahren auch für Netware-Volumes. Zudem kann die Software Images in zwei Stufen komprimieren, um Platz zu sparen. Für das Sichern von Image-Dateien auf Wechseldatenträgern kann der Administrator festlegen, dass die Image-Datei aus mehreren Teilen bestimmter Größe bestehen soll (ähnlich wie es beispielsweise bei ZIP- und RAR-Archiven möglich ist). Zum Schutz vor fremdem Zugriff lassen sich ImageDateien mit einem Kennwort versehen, das bei der Wiederherstellung angegeben werden muss. Da unkomprimierte Images alle www.lanline.de netzTOOLBOX Dateien im Klartext enthalten, schützt das Kennwort allerdings nicht davor, dass jemand die Dateiinhalte betrachtet. Die wohl wichtigste Neuerung der Version 4 ist die Fähigkeit, Images direkt auf CD-Rs und CD-RWs zu brennen, und zwar maximal mit vierfacher Geschwindigkeit. Somit entfällt der Umweg über eine Festplatte oder die noch unbequemeren Wechselmedien, wenn Images ohnehin auf CD archiviert werden sollen. Allerdings kann Drive Image nur auf Brenner am SCSI- oder IDE-Bus zugreifen. Brenner, die über andere Schnittstellen wie USB, Firewire, Parallel-Port und PCMCIA angeschlossen sind, kann die Software nicht ansprechen. Zudem muss der Brenner den so genannten Multi Media Command Set Version 2 (MMC-2) verstehen. INSTALLATION Obwohl die Software letztendlich nur unter DOS oder der Kommandozeilenversion von Windows 9x www.lanline.de läuft, lässt sie sich unter allen WindowsVersionen installieren. Bei der Ausführung unter Windows 9x wechselt das Betriebssystem zunächst in den DOS-Modus. Bei NT Workstation und Windows 2000 Professional startet das System neu, um Drive Image direkt beim Systemstart aufzurufen. Dazu wird das System vorübergehend unter dem freien Caldera DOS gestartet. Beim nächsten Neustart bootet das System dann wieder in NT oder 2000. Auch Windows ME kennt – im Gegensatz zu seinem Vorgänger Windows 98 – keinen DOSModus. Hier wird Drive Image wie bei NT/2000 beim nächsten Neustart aufgerufen, allerdings im Kommandozeilenmodus von Windows ME. Damit kann Drive Image nur unter Windows 9x und ME Images auf FAT32-Laufwerken ablegen. Alternativ lassen sich mit der Software zwei Disketten erstellen, von denen Drive Image startet. Die erste Diskette ist eine Boot-Diskette und enthält Treiber für eini- ge SCSI-Controller von Adaptec, für Iomega-Laufwerke (ZIP und JAZ) und für einige MO-Laufwerke mit SCSI- und ATAPI-Schnittstelle. Will der Benutzer einen anderen Controller oder andere Laufwerke verwenden, muss er die Disketten per Hand anpassen. Wenn der Anwender diese Disketten unter NT/2000 erstellt, erhalten sie wiederum Caldera DOS als Betriebssystem, ansonsten Windows 9x oder Windows ME. Da die Disketten universell verwendbar sind, bieten unter 9x/ME erstellte Disketten die größte Flexibilität, weil diese Betriebssysteme auch FAT32 unterstützen. Nicht installieren lässt sich Drive Image auf NT/2000-Servern – hier will Powerquest offenbar das teurere und etwas leistungsfähigere Server Image verkaufen. Neben der Imaging-Lösung installiert das Setup-Programm die Windows-Anwendung “Drive Image File Editor”. Sie dient zum Bearbeiten und Verändern von L AN line 12/2000 107 netzTOOLBOX Image-Dateien. Der Editor kann eine bestehende Image-Datei in eine neue kopieren und dabei beispielsweise die Komprimierung verändern oder die Datei in mehrere kleine aufteilen, damit sie auf Wechselmedien Platz finden. Auch den umgekehrten Weg – also das Zusammenfassen einer mehrteiligen Image-Datei zu einer großen – kann der Administrator beschreiten. Zudem hat der Systemverwalter die Möglichkeit, Image-Dateien nachträglich mit einem Kennwort zu versehen. Besonders praktisch ist die Funktion, einzelne Dateien aus einem Image wieder herzustellen. So kann der Administrator schnell Sinnvoll kann dies sein, um Fehler – wie etwa einen falschen Partitionstyp – zu beheben. Andere nützliche Funktionen sind direkt in Drive Image integriert. Beispielsweise lassen sich Partitionen “verstecken”, wobei lediglich der Partitionstyp geändert wird. Dadurch erkennen Betriebssysteme auf den entsprechenden Partitionen keine gültigen Dateisysteme. Somit lassen sich einzelne Partitionen schnell und unkompliziert vor Änderungen schützen. Ebenfalls auf der Installations-CD von Drive Image 4 befindet sich der bisher separat erhältliche Datakeeper, der unabhängig von Drive Image installiert wer- Der Datakeeper überwacht Verzeichnisse und kann alle Änderungen an Dateien rückgängig machen einen Blick in einer Konfigurationsdatei werfen, ohne das gesamte Image in eine freie oder nicht benötigte Partition kopieren zu müssen. Neu im Image-Editor ist eine Testfunktion, welche die Integrität einer ImageDatei überprüft. Neben Drive Image kopiert das SetupProgramm den Partitionstabelleneditor auf die Festplatte. Allerdings fehlt eine entsprechende Verknüpfung in der Programmgruppe, sodass der Editor nur denjenigen Benutzern zur Verfügung steht, die von der Existenz dieser Anwendung wissen. Mit dem Editor können versierte Administratoren die Partitionstabellen der Festplatten direkt und “roh” bearbeiten. 108 L AN line 12/2000 den kann. Diese Software protokolliert jede Dateiänderung in überwachten Verzeichnissen, sodass der Benutzer diese Änderungen mit einigen Mausklicks rückgängig machen kann. Ändert der Benutzer eine Datei mehrfach, kann er später jede Version dieser Datei wiederherstellen, die er zuvor mit der entsprechenden Anwendung gesichert hat. Auch gelöschte Dateien lassen sich zurückholen. Weil Datakeeper Sicherungsdaten auch auf Wechselmedien ablegen kann, eignet sich die Software sogar zu einem gewissen Grad als Backup-Ersatz. Mit Bandlaufwerken kann das Programm allerdings nichts anfangen. TEST Der Test von Drive Image hinterließ insgesamt einen gemischten Eindruck. Einige Funktionen bereiteten keine Probleme, andere arbeiteten nicht auf allen Testrechnern einwandfrei. Die Grundfunktionen beherrschte Drive Image auf allen Systemen ohne Ausfälle. Weder beim Erstellen noch beim Wiederherstellen von Images gab es Schwierigkeiten, und auch die Direktkopie zwischen zwei Festplatten funktionierte einwandfrei. Beim Schreiben von Images auf NTFS-Laufwerken hingegen beschädigte die Software auf einem der drei Testrechner die NTFS-Partition, auf die Drive Image das Image schrieb. Anschließend musste die Partition mit CHKDSK repariert werden – wobei NT/2000 die Image-Datei als defekt erkannte und löschte. Dieses Problems trat auf einer NTFS4- und einer NTFS5-Partition auf, während Drive Image problemlos Images auf zwei andere NTFS4-Partitionen derselben Festplatte schreiben konnte. Probleme gab es auch mit den gebrannten CDs. Während das Brennen reibungslos funktionierte, war die CD in einem der Testrechner nicht korrekt lesbar (die Image-Datei ist nicht sichtbar). Die anderen drei Systeme konnten die Datei aber einwandfrei anzeigen und lesen. Praktischerweise kann der Administrator von der gebrannten CD direkt booten und Drive Image ausführen. Dies klappte im Test nur auf einem von zwei Systemen, deren Hardware von CDs booten kann. Zwar startete die Software dort automatisch, konnte aber die Image-Datei nicht auf der CD finden. Keine Probleme gab es im Test mit dem Drive-Image-File-Editor. Gefallen hat, dass sich Image-Dateien nachträglich in mehrere Teile aufteilen und wieder zusammenfügen lassen. Auch die nachträgliche Änderung der Komprimierung ist nützlich. Allerdings benötigte der Editor bei allen Änderungen neben der ImageDatei so viel freie Festplattenkapazität wie die zu bearbeitende Datei groß ist. Ebenfalls reibungslos funktionierte der Datakeeper, der überraschenderweise die Systemleistung bei alltäglichen Arbeiten nur minimal beeinflusst. Gefallen hat auch das deutschsprachige Handbuch, das alle grundlegenden Schrit- www.lanline.de netzTOOLBOX Mit dem Partitionstabelleneditor können versierte Benutzer bestimmte Probleme “per Hand” reparieren te so erklärt, dass auch Anfänger die Software bedienen können. Weiter hinten liegende Kapitel bieten Informationen über das Anpassen der Boot-Disketten, Datakeeper und wie beispielsweise Image-Da- www.lanline.de teien des Konkurrenzprodukts Norton Ghost in das Format von Drive Image konvertiert werden können. Powerquest führt mit der aktuellen Version 4 von Drive Image mehrere interes- sante Verbesserungen ein, von denen vor allem die Möglichkeiten hervorstechen, Images direkt auf CDs zu brennen und auf NTFS-Laufwerken abzulegen. Auch andere Detailverbesserungen der rund 130 Mark teuren Software sind nützlich, der Datakeeper ist ebenfalls ein interessantes Tool. Die im Test aufgetretenen Probleme muss Powerquest aber unbedingt noch beheben. Auf der Wunschliste für die nächste Version steht vor allem die Möglichkeit, beim Erstellen von Images bestimmte Dateien (etwa die Windows-NT/2000-Auslagerungsdatei) oder sogar ganze Verzeichnisse auszuschließen. Zudem wäre es praktisch, von der Installations-CD zu booten. (Andreas Roeschies/gh) Info: Powerquest Tel.: 089/374092-0 Web: Web: www.powerquest.com/de/ driveimage/index.html L AN line 12/2000 109 netzTOOLBOX PERFORMANCE IM WEB Schnell ist nie schnell genug Die Performance von Websites gehört noch immer zu den kritischen Punkten des Internets und wird zu einem wichtigen Wettbewerbsfaktor Die Keynote Agents messen die Performance von beliebigen Websites im E-Business. Erst mit differenzierten Messmethoden lassen sich die Gründe für eine schwache Performance ermitteln. u gewissen Zeiten wird es im Web richtig hektisch. So liefen die WebServer der Direkt-Banken wegen der Zuteilung von T-Online- und Infineon-Aktien heiß, und die Napster-Server verzeichneten in der heißen Phase des Verfahrens gegen den Musik-Broker einen fünffach höheren Traffic. In solchen Zeiten entscheidet sich aber oft der weitere Geschäftserfolg eines Unternehmens: Wer sich wegen überlasteter Server um seine Glücksaktien gebracht sieht, wird eventuell zur nächsten Bank weiter klicken, und einem Musikanbieter, der nicht erreichbar ist, wird niemand eine Träne nachweinen. Die Performance von Websites gehört daher mehr denn je zu den kritischen Punkten des Internets. Zwar wurden die dafür relevanten Systeme und Infrastrukturen in Z Übersichtlich werden die Latenzzeiten dargestellt 110 L AN line 12/2000 den letzten Jahren massiv ausgebaut, aber sowohl das explosionsartige Wachstum dieses universellen Mediums als auch sein verstärkter Einsatz in Bereichen, für die seine Technologie ursprünglich gar nicht gedacht war – beispielsweise E-Commerce – haben dazu geführt, dass sich die WebNutzer nach wie vor mit Performance-Problemen konfrontiert sehen. Für die Anbieter im Web sind derartige Probleme längst nicht mehr nur eine Frage des Prestiges. Die wenigsten WebNutzer sind bereit, sich mit einer schwachen Web-Performance abzufinden; ist eine Website nicht gleich verfügbar, klickt der Web-Surfer einfach weiter. Gerade im boomenden E-Commerce wird die Web-Performance damit zu einem gewichtigen Wettbewerbsfaktor. Kunden und Interessenten müssen nicht nur durch das Warenangebot und seine Präsentation im Web gewonnen und gehalten werden, sondern zusätzlich noch durch eine hohe Verfügbarkeit der Informationen, also durch Performance. Was jedoch die Ursachen für eine geringe Performance sind, ist für die Anbieter oft nicht feststellbar. Die Ursachen können sowohl in den eigenen Websites bestehen als auch außerhalb des Web-Servers, beispielsweise in den Backbone-Netzen oder den Verbindungspunkten zwischen ihnen. Viele Anbieter kontrollieren die Performance ihrer Website nur intern und klammern dadurch eine Vielzahl möglicher Schwachstellen von vornherein aus. Eine sinnvolle Schwachstellenanalyse lässt sich jedoch nur über einen Blick von außen auf die Website durchführen. Dies ist der Ansatzpunkt der unabhängigen Messung von Web-Performance wie sie beispielsweise Keynote Systems betreibt. Das Unternehmen unterhält auf allen bedeutenden Backbone-Netzen – weltweit an über 50 Standorten – Messeinrichtungen (Agents). Diese Agents – insgesamt über 500 – messen die Performance von beliebigen Websites aus Sicht eines Außenstehenden, sind also nicht durch unternehmensinterne Faktoren, etwa einen schnellen, direkten Zugang zum Web-Server, verfälscht. Die Keynote-Agents erlauben es dem Betreiber einer Website, die gleiche Sichtweise wie ein Endanwender im Web einzunehmen. Die Agents sind geografisch und netztopologisch so verteilt, dass sie auch Probleme aufspüren können, von denen Anbieter unter normalen Umständen nichts erfahren würden. www.lanline.de netzTOOLBOX MESSMETHODEN Die Agents bilden die Der Traceroute-Befehl liefert den Weg über die verschiedenen Router im Internet und gibt die Verzögerungszeiten an Keynote bietet einen Reihe differenzierter Messmethoden, mit denen sich die Web-Performance analysieren lässt. Durch einen Vergleich der Ergebnisse können Fehlerursachen eingegrenzt und Gegenmaßnahmen eingeleitet werden. Die Performance-Messung erfolgt in mehreren Schritten: – Durchführung der Messung (7 mal 24 Stunden), die Daten werden minütlich (Perspective) oder nach Abschluss der Messung (die anderen Agenten) an den Proxy-Server übergeben, – Identifikation des Agenten und Übergabe der Messwerte an die Keynote-Datenbank, – Speicherung der Messwerte für sechs Wochen mit dreifacher Spiegelung für Störfälle, – Abruf der Messwerte aus der Datenbank, per E-Mail täglich oder im 15-Minuten-Takt für Alarmmeldungen, – Anwenderdefinierte Anzeige der Messwerte. Die Agents dienen sowohl geografisch als auch topologisch als Proxy für die Online-Anwender. Daher gibt es in größeren Ballungsgebieten wie New York, Chicago, Los Angeles und San Francisco mehrere Agents; außerdem ist, um die Netzwerke, mit denen die Endanwender angebunden sind, genau zu repräsentieren, die größte Zahl der Agents über Uunet, Sprint und Cable&Wireless mit dem Internet verbunden. In Deutschland werden derzeit in allen wichtigen Backbones und an allen zen- 112 L AN line 12/2000 tralen Knotenpunkten Agents platziert. Sie repräsentieren die wichtigen deutschen Internet-Service-Provider wie Cable&Wireless/ECRC, Deutsche Telekom, DPN, Mediaways, Uunet, Ision und Xlink. Die Messergebnisse werden fast in Echtzeit an die Keynote Datenbank in San Mateo weitergeleitet. Falls die Agents aufgrund von Netzproblemen nicht in der Lage sein sollten, eine Messung weiterzuleiten, so wird diese lokal gespeichert, bis ei- Grundlage der Dienste von Keynote Perspective. Sie laufen auf Windows-NT-Systemen und sind weltweit bei regionalen Netzwerk-Providern – ISP, BackboneProvidern oder Web-Hosting-Unternehmen – platziert. Die Agents messen in regelmäßigen Abständen eine Liste von ZielURLs. Dabei werden zwei Arten von Messungen durchgeführt: Benchmark-Pageoder Full-Page-Messung. Die Benchmark-Page-Messung besteht aus dem Download einer einzelnen Datei, wobei keine der auf der Seite enthaltenen Abbildungen heruntergeladen wird. Die Full-Page-Messung besteht aus dem Download der HTML-Page einschließlich aller integrierten Abbildungen. Da die Benchmark-Page-Messung vom Design der Web-Seiten unabhängig ist, lassen sich durch einen Vergleich beider Messungen eine Reihe von Problemen schon im ersten Schritt eingrenzen. Jede Messung besteht aus einem HTTP-GETRequest aus einer Seite oder einem anderen Objekt auf einem Web-Server. Die Messung beginnt mit Absetzen des GETRequests und endet nach dem He- Messung von URLs Um ein möglichst genaues Bild zu erhalten, werden von Keynote verschiedene URLs gemessen und die normale Performance einer jeden einzelnen bestimmt. Eine Liste der zu messenden URLs umfasst: – eine URL für jeden Server oder jede Server-Farm, – eine URL, gemessen über ihre IP-Adresse anstelle ihres DNS-Namens, – eine URL einer anderen Website auf dem Netz des Backbone-Providers, die geografisch in der Nähe der eigenen liegt – eine oder zwei der Websites von Mitbewerbern, – eine URL einer Testdatei, die nie ihre Größe ändert. ne Verbindung zur Datenbank wieder möglich ist. Bei Benchmark-Pages kann jede festgelegte Datei, einschließlich GIFs, heruntergeladen werden. Normalerweise wird eine HTML-Datei als Zielobjekt verwendet. Verwendet man beide Arten des Downloads, erhält man Informationen, die zur Diagnose von Netzwerk- oder HTMLContent-Problemen herangezogen werden können. runterladen der Seite. Die Agents verfolgen verschiedene Komponenten der Download-Zeit zusätzlich zur RoundTrip-Time. Keynote Perspective erlaubt die genaue Eingrenzung von Problemursachen. Dabei lassen sich fünf Arten unterscheiden: – das Internet, – der Netzwerk Provider, – die Verbindung zum Internet, www.lanline.de netzTOOLBOX – der Web-Server, – der Inhalt der Website. Der globale und einzelne Einfluss der fünf Bereiche wird diagnostiziert, indem ein Download entweder der Standardseite (index.html) oder einer Full-Page durchgeführt wird. Eine Benchmark-Messung erlaubt noch einen Fokus auf die Infrastrukturaspekte (die ersten vier Bereiche) unter Verwendung einer Testdatei mit festgelegter Größe, sodass alle auftretenden Performance-Veränderungen das Ergebnis von Netzwerk- oder Server-Fluktuationen sind. Der erste Schritt bei der Behebung von Performance-Problemen liegt darin, sicherzustellen, dass ein Web-Server und seine Anbindung an das Internet ordnungsgemäß arbeiten. Beide Aspekte unterliegen der Kontrolle des Betreibers und haben einen großen Einfluss auf die Performance. Um nach DNS-Problemen zu suchen, muss die Performance sowohl über den DNS-Namen als auch über die IP-Adresse gemessen werden. Man kann beispielsweise dieselbe URL auf unterschiedliche Weise messen: http://205.216.163.160/index.html http://www.keynote.com/index.html Der einzige Unterschied der Performance-Kurven dieser beiden URLs sollte in der DNS-Lookup-Time liegen. Werden beide URLs auf einer Metrokurve angezeigt, so wird sichergestellt, dass eine ähnliche Anzahl von Datenpunkten für jeden URL in jeder Stadt angegeben wird. Fehlende Datenpunkte weisen dann auf DNS-Fehler hin. Mangelhaft konfigurierte DNS-Server können auch eine Verschlechterung der gesamten Download-Zeit der Startseite einer Website verursachen. Routing-Fehlfunktionen treten auf, wenn Router im Internet keine Entscheidung treffen können, über welche Wege ein Datenpaket gesendet werden soll. Liegt eine Routing-Fehlfunktion vor, so ist die Website für eine bestimmte Zeitdauer nicht zugänglich. Bei der PerformanceMessung der Site führt dies dazu, dass allgemein weniger Datenpunkte vorliegen und von dem Agent, der von der RouterFehlfunktion betroffen ist, gar keine. Es lässt sich überprüfen, ob Router-Fehlfunk- 114 L AN line 12/2000 tionen weiterhin auftreten, indem man von den Agents aus, die weniger Daten liefern, eine Traceroute zu einer Website vornimmt. Keynote bietet Traceroute-Gateways über jeden Agent an, um es zu ermöglichen, die Route zwischen dem Agent und einer Site zu überprüfen. Backbone-Probleme treten auf, wenn eines der vielen Einzelnetze, aus denen sich das Internet zusammensetzt, ein internes Problem hat. In diesen Fällen weisen die Keynote Agents, die an den betroffenen Backbones angebunden sind, eine schlechtere Performance auf. Man kann diese Probleme genauer untersuchen, indem man eine Backbone-Kurve erstellt und dann in Keynotes Online-Agent-Liste überprüft, an welchem Backbone sie jeweils angebunden sind. Verbindungsknoten sind die Datenaustauschpunkte zwischen Netzwerken, oft überlastet und manchmal nicht optimal festgelegt. Entsprechende Verbindungsprobleme schlagen sich in der Performance einer Website nieder, indem eine eingrenzbare Untergruppe von Agents eine schlechte Performance aufweist. Zur genaueren Lokalisierung von Verbindungsproblemen muss eine Traceroute durchgeführt werden. Traceroutes zwischen einer Website und den Agents, die an den schlechtesten funktionierenden Backbones angebunden sind, können zeigen, ob alle Routen einen gemeinsamen Verbindungsknoten aufweisen. Da Routing meist asymmetrisch verläuft, muss eine Traceroute nicht nur zu der vom Agent untersuchten Website, sondern auch in umgekehrter Richtung von dieser zum Agent durchgeführt werden. Es gibt öffentliche und private Verbindungspunkte, die beide überlastet sein können. Dies führt bei allen, die über sie verbunden sind, zu schlechten Antwortzeiten. Traceroutes können auf solche Probleme hinweisen, sowohl durch einen öffentlichen als auch einen privaten Verbindungspunkt. Zeigen verschiedene Standorte schlechte Antwortzeiten und geht eine Traceroute zu jedem dieser Standorte durch denselben Verbindungspunkt, dann ist dieser Verbindungspunkt eine potenzielle Ursache des Problems. Die Basis aller Messungen – Ping und Traceroute Fast alle Systeme, die an das Internet angeschlossen sind, verfügen über die beiden Diagnoseprogramme Ping und Tracert (für Traceroute). Mit Ping (Syntax “ping www.host name.de” oder “ping IP-Adresse”) lässt sich feststellen, ob ein Host “am Leben ist”. Der Traceroute-Befehl liefert den Weg über die verschiedenen Router im Internet und gibt die Verzögerungszeiten an. Auch hier kann sowohl der Domain-Name wie auch die Adresse eingegeben werden. Mit diesem Dienstprogramm sind komplexe Analysen möglich. Einmal wird die Anzahl der Übergänge (Router) angezeigt, die das Datenpaket bis zum Ziel passieren muss. Zu den Übergängen – im Fachjargon Hops genannt – wird die Verzögerungszeit in Millisekunden angegeben. Diese bestimmt sich durch Qualität der Hardware (welcher Durchsatz kann ohne Latenzzeiten verarbeitet werden) und durch die Gesamtbelastung der Geräte. Größere Verzögerungen bei mehreren zusammenhängenden Hops zeigen Problemzonen in einzelnen Teilnetzen an. Zur komfortableren Auswertung lassen sich Traceroutes auch grafisch darstellen. Bekannteste Vertreter sind Neotrace von Neoworx (www.neo worx.com) und Visualroute von Datametrix Systems (www.visualroute.com). ISP-PROBLEME Ein Problem, das oft am einfachsten zu diagnostizieren ist, betrifft den lokalen ISP, bei dem der Keynote Agent lokalisiert ist. Dieses Problem ist eindeutig, weil nur ein Ballungsgebiet oder ein Agent eine schlechte Performance aufweist, während alle anderen Standorte normale Antwortzeiten messen. So ist beispielsweise einer von Keynotes Agents in New York City über Uunet ans Internet angebunden. Wäre dieser Agent derjenige mit einer schlechten Antwortzeit, würde man einen einzelnen Balken mit einem ungewöhnlich hohen Wert im Metrodiagramm erkennen. Diese Art von Problemen beeinflusst die geringste Anzahl von Benutzern, da nur diejenigen davon betroffen sind, die beispielsweise in New York City über Uunet angebunden sind beziehungsweise die über denselben Uunet-ISP ins Internet gehen wie Keynote. (Dr. Rainer Doh/mw) www.lanline.de netzTOOLBOX PRINT QUEUE MANAGER 1.0 IM TEST Komfortable Verwaltung von Druckaufträgen Nur wenige Optionen kennt Windows NT für Druckerfreigaben: Administratoren können Drucker freigeben, ihre Priorität festlegen und einige Aspekte bezüglich der Warteschlange einstellen. Hier setzt die Software Print Queue Manager an, die Aufträge zwischen Druckern verschieben, eine automatische und variable Lastverteilung bieten und Drucker für die Verwaltung gruppieren kann. ie Oberfläche der Software ähnelt dem Windows-Explorer. In der linken Fensterhälfte stehen die Drucker, während der rechte Teil des Fensters die Druckaufträge anzeigt, die sich in der Warteschlange des ausgewählten Druckers befinden. Im Gegensatz zum Explorer stellt D der Administrator, welche Drucker in welche Ordner kommen. Dabei kann jeder Drucker durchaus Mitglied mehrerer logischer Ordner sein. Dadurch lassen sich beispielsweise sowohl die organisatorische als auch die geografische Struktur des Unternehmens parallel abbilden. Komple- nierende (oder nicht eingeschaltete) Drucker rot dar. Auch für Drucker und Ordner mit besonders vielen Druckaufträgen sind bestimmte Farben wählbar. Zudem kann der Administrator die Sortierreihenfolge innerhalb der Ordner bestimmen, beispielsweise nach der Anzahl der Jobs in den jeweiligen Warteschlangen, dem Druckerzustand oder dem Druckernamen. Klickt der Administrator mit der Maus auf einen Drucker oder Ordner, erscheinen im rechten Teilfenster alle Druckaufträge in der Warteschlange des Druckers (beziehungsweise in den Warteschlangen aller Drucker des ausgewählten Ordners). Auch für dieses Teilfenster lässt sich die Sortierung angeben. Mit diesen Optionen hat der Administrator ständig den Zustand aller wichtigen Drucker im Auge – ohne herumklicken zu müssen. Neben der benutzerdefinierten Darstellung mit den selbst erstellten Ordnern kann das linke Teilfenster die Drucker netzwerkorientiert darstellen. Die Struktur ähnelt dem Auswahlfenster beim Verbinden zu einem Netzwerkdrucker in Windows NT, ist aber übersichtlicher. Wie in der Netzwerkumgebung lassen sich einzelne Druck-Server oder ganze Domänen aufund zuklappen. Schließlich kann der Administrator die Liste der Drucker ganz wegschalten, um mehr Platz für die Darstellung der Liste mit den Druckaufträgen zu erhalten. AUTOMATED-PRINTER-MANAGEMENT Die linke Fensterhälfte des Admin-Tools zeigt alle Drucker in einer übersichtlichen Baumstruktur an, während der rechte Teil alle Jobs des gewählten Ordners oder Druckers anzeigt der Print Queue Manager keine tatsächlich existierende Struktur dar, sodass der Administrator die Ordner nach eigenen Maßstäben erstellen kann. Beispielsweise lassen sich Abteilungen (Einkauf, Verkauf, Buchhaltung usw.), Gebäude oder NT-Domänen als Ordner anlegen. Standardmäßig erstellt Print Queue Manager einen Ordner “local Printers“ mit allen lokal installierten Druckern. In der zweiten Phase bestimmt www.lanline.de xe Strukturen lassen sich allerdings nicht widerspiegeln, weil die Software nur eine Verschachtelungsebene beherrscht. Im Vergleich zur flachen Struktur der Windows-NT-Druckerverwaltung stellt diese Darstellung des Programms dennoch eine deutliche Verbesserung dar. Für eine zusätzliche Übersicht sorgen mehrere Darstellungsoptionen. So stellt das Fenster standardmäßig nicht funktio- So wie sich im Windows-Explorer Dateien von einem Verzeichnis in ein anderes verschieben oder kopieren lassen, kann der Administrator mit dem PrintQueue-Manager Druckaufträge von einem Drucker an einen anderen verschieben oder kopieren – sofern die Drucker denselben Treiber verwenden. Zudem erlaubt es die Oberfläche, Druckaufträge an mehrere Drucker gleichzeitig zu kopieren (Print Broadcasting). Diese und weitere Aufgaben lassen sich über das so genannte Automated-Printer-Management (APM) automatisieren. Dabei legt der Administrator eine Aktion fest, welche die Software grundsätzlich oder unter bestimmten Bedingungen für neu eingehen- L AN line 12/2000 117 netzTOOLBOX de Jobs eines Druckers ausführt. Das bereits erwähnte Print Broadcasting kann besonders dann nützlich sein, wenn bestimmte Unternehmensmeldungen in allen Abteilungen ausgedruckt werden sollen oder beispielsweise gedruckte Briefe parallel auf einem zweiten Drucker ausgegeben werden sollen. Als weiteren Einsatzzweck nennt das Handbuch Dokumente, die in großen Mengen gedruckt werden sollen; durch die parallele Verwendung mehrerer Drucker wird die Ausgabe erheblich beschleunigt. Andere Funktionen des APM sind das Verschieben oder Kopieren eingehender Druckaufträge an ein anderes Ausgabegerät. Auf Wunsch lassen sich auch neue Aufträge anhalten oder löschen. Zu möglichen Bedingungen für die Aktion zählen Druckerfehler, die gegenwärtige Anzahl der Jobs in der Warteschlange und die Größe der Summe aller Druckaufträge in Bytes. So besteht die Möglichkeit, dass der Administrator beispielsweise alle neuen Druckaufträge an ein zweites Ausgabegerät verschiebt, wenn bereits zehn Jobs in der Warteschlange sind oder der Drucker einen Fehler (etwa Papierstau) meldet. Außerdem kann der Administrator beispielsweise beim zweiten Drucker einstellen, dass Dokumente auf einen dritten Drucker verschoben werden sollen, wenn der zweite Drucker bereits mehr als fünf Aufträge zu bearbeiten hat. Auf diese Weise lässt sich eine Lastverteilung einrichten, die deutlich effektiver als die Drucker-Pools von NT ist. Allerdings funktioniert dies nur, wenn alle betroffenen Drucker denselben Treiber verwenden. Praktisch: Beim automatischen Verschieben von Druckaufträgen arbeitet der Print Queue Manager nicht still vor sich hin, sondern benachrichtigt den Benutzer, an welchen Drucker sein Job umgeleitet wurde – damit der Anwender auch weiß, an welchem Ausgabegerät er seinen Ausdruck findet. Dabei sendet die Software eine benutzerdefinierte Nachricht an den Benutzer (Windows 3.x/9x/ME muss Winpopup ausführen, um die eingehende Nachricht anzeigen zu können). Zudem kann die Software 118 L AN line 12/2000 auf Wunsch den Administrator informieren und zwar ebenfalls per Textnachricht und/oder per SNMP (Simple Network Management Protocol). THEORIE UND PRAXIS Im Test kann der Print Queue Manager zunächst nicht überzeugen. Problematisch ist die Installation der kostenlos über das Internet erhältlichen Demo-Version (auf 30 Tage beschränkt). Das selbstentpackende Archiv legt ein temporäres Verzeichnis an, aus dem eigentlich die Software installiert werden sollte. Allerdings verweisen NT einen Spool-Fehler. Ebenfalls nicht erfolgreich ist das APM-gesteuerte Verschieben/Kopieren von Jobs. Einzig die übersichtliche Darstellung der Druckerzustände klappt reibungslos. Abhilfe bringt erst die Installation des Print Queue Managers unter der amerikanischen Version von Windows NT 4.0. Dann arbeiten fast alle Funktionen einwandfrei, lediglich das Kopieren von Druckaufträgen an andere Drucker über das (Kontext)-Menü ruft eine Fehlermeldung hervor; per Drag-and-Drop gibt es hingegen keine Schwierigkeiten, Druckaufträge an andere Drucker zu kopieren oder zu verschieben. Nicht ganz fehlerfrei sind die frei definierbaren Nachrichten, welche die Software Benutzern sendet, wenn sie einen Druckauftrag über das Automated Printer Management verschiebt, kopiert, anhält oder löscht: Lange Nachrichten werden abgeschnitten, bei zu kurzen Nachrichten sieht der Benutzer dieselbe Meldung zusätzlich auf englisch. FAZIT Intrust Software bietet mit dem Auch die netzwerkorientierte Ansicht der Drucker beherrscht das Programm die Verknüpfungen nicht auf das beim Setup eingerichtete Programmverzeichnis, sondern auf den temporären Ordner. Einen Ausweg bietet das manuelle Entpacken des Archivs, denn dabei entsteht ein Verzeichnis, aus dem sich die Software einwandfrei einrichten lässt. Damit sind aber nicht alle Hürden bewältigt. In der Verwaltungs-Software treten diverse Fehler auf. So lassen sich Aufträge nicht an andere Drucker verschieben oder kopieren (es erscheint eine wenig hilfreiche Fehlermeldung) und beim Ausblenden der Ordnerstruktur oder beim Aufrufen des APM-Assistenten stürzt die Oberfläche gelegentlich ab. Auch das automatische Anhalten oder Löschen von neuen Druckaufträgen klappt nicht; hier meldet Print Queue Manager 1.0 ein leistungsfähiges Werkzeug zur Druckerverwaltung an. Praktisch ist die übersichtliche und benutzerdefinierte Sicht auf alle Drucker im Netzwerk, die über Windows-NTServer angesprochen werden; so behält der Administrator besonders in großen Netzwerken die Übersicht. Die im Test aufgetretenen Mängel sind kein echtes Manko; ein Problem ist es hingegen, dass die Software nur mit der englischen Version von Windows NT 4.0 funktioniert. Der Print-Queue-Manager-Service kostet für 50 bis 99 Lizenzen jeweils 720 Dollar. Die Client-Lizenzen schlagen in der gleichen Staffelung mit jeweils 180 Dollar zu Buche. Eine 30-Tage-Version lässt sich kostenlos aus dem Internet herunterladen. (Andreas Roeschies/mw) Info: Hersteller: Intrust Software Vertrieb: Software Shelf International Tel.: 001/727-445-1920 Web: www.printqueuemanager.com E-Mail: info@softwareshelf.com www.lanline.de netzTOOLBOX IM TEST: OPALIS RENDEZVOUS VERSION 1.6 Automatischer FTP-Transfer mit Windows NT Automatischer FileTransfer in LAN/WAN Obwohl das Kopieren von Dateien über lokale Netzwerke und DFÜ-Verbindungen zu den grundlegenden Funktionen von Windows NT gehört, lassen sich entsprechende Aufgaben nur schlecht automatisieren. An dieser Stelle setzt Rendezvous von Opalis an. Die Software automatisiert das Kopieren von Dateien, erlaubt die Definition von flexiblen Mit einer einfachen Textdatei sowie einer Option des FTP-Clients von Windows lassen sich Datenübertragungen automatisieren Bedingungen für den Dateitransfer und beherrscht diverse Übertragungsprotokolle. endezvous von Opalis hat sich zur Aufgabe gemacht, Dateien über LAN, WAN und Internet zu verteilen. Die Software läuft unter Windows 95/98, NT und 2000 und verfügt über Funktionen zur Replikation, Übertragung, Archivierung und Spiegelung von Dateien und Datenbankeinträgen. Zahlreiche Konfigurationsmöglichkeiten sollen dabei dem Administrator eine flexible Automatisierung dieser Vorgänge ermöglichen. Die wichtigsten Verfahren, um Dateien zwischen verschiedenen Rechnern in Windows-Netzwerken zu kopieren, sind einfache NT-Dateikopien. Für den FileTransfer über das Internet spielt hingegen FTP eine dominante Rolle. Beide Verfah- R 120 L AN line 12/2000 ren unterstützt Rendezvous, für den Datenaustausch zwischen Datenbanken setzt die Software auf ODBC. Der Vorteil beim Einsatz dieser Protokolle ist, dass der Administrator die Software nur auf einem der an der Übertragung beteiligten Rechner installieren muss. Dank der Verwendung offener Standards ist Rendezvous zumindest auf einer Seite nicht auf Windows NT beschränkt. Denn der Übertragungsmodus “Dateikopien” funktioniert mit jedem SMB-Server wie beispielsweise OS/2, Samba Unix/Linux/Netware und dem IBM-LAN-Manager. Bei FTP-Übertragungen muss das entfernte System einen FTP-Server ausführen, der jedoch für praktisch jedes Betriebssystem erhältlich Windows NT unterstützt von Haus aus die automatische Datenübertragung zu FTPServern. Der Administrator schreibt hierbei einfach alle Befehle, die er normalerweise an der FTP-Kommandozeile eingibt, in eine Datei. Anschließend ruft er den in NT enthaltenen FTP-Client mit der Option s:Dateiname auf (Abbildung). Auch das Anwählen einer DFÜ-Verbindung über die Kommandozeile ist möglich. Hierzu dient der Befehl RASDIAL, der als Parameter neben dem Namen des DFÜ-Telefonbucheintrags auch einen Benutzernamen samt Kennwort und Telefonnummer akzeptiert. Der Befehl RASDIAL /? gibt eine kurze Hilfe zu dessen Verwendung aus. Die Kombination von RASDIAL und der FTP-Automatisierungen in Batch-Dateien erlaubt – zusammen mit dem Windows-Scheduler – beispielsweise regelmäßige Dateiübertragungen ins (oder aus dem) Internet. www.lanline.de netzTOOLBOX ist. Befindet sich Rendezvous auf beiden Systemen, kann das Programm zusätzlich ein eigenes proprietäres Protokoll (RDV) verwenden. FUNKTIONSWEISE Die Konfiguration von Rendezvous basiert auf so genannten Flows. Dabei handelt es sich um Datenströme zwischen zwei oder mehr Computern. Jedem Flow kann der Administrator zahlreiche Optionen zuordnen. Zu den wichtigsten Einstellungen gehören eine Übertragungsrichtung, die Bedingungen für den Transfer, die Art der zu kopierenden Daten, das zu verwendende Protokoll und wie der Zielcomputer zu erreichen ist. Auf der grafischen Oberfläche der Software findet der Benutzer hierzu die Registerkarten “When”, “What” und “Where”. Die Bedingung (“When”), die einen Transfer auslöst, kennt zahlreiche Varianten: Im einfachsten Falle fordert der Benutzer die Übertragung manuell an. Natürlich beherrscht die Software auch die zeitgesteuerte Kopie, also beispielsweise alle 25 Minuten oder täglich zu einer bestimmten Uhrzeit. Weiterhin kann Rendezvous die Übertragung immer dann starten, wenn eine Datei im Quellverzeichnis geändert wurde oder die Gesamtgröße des Verzeichnisses eine bestimmte Grenze überschreitet. Diese Optionen sind jedoch nur wählbar, wenn es sich um einen Flow mit ausgehender Übertragungsrichtung handelt. Um unnötig viele Übertragungen (die bei RAS-Verbindungen bares Geld kosten) zu vermeiden, lässt sich außerdem der Zeitraum angeben, in dem der Flow aktiv sein soll. Hier kann der Administrator sowohl einen Zeitraum (beispielsweise 8 bis 16 Uhr) als auch einzelne Wochentage angeben. Die Konfiguration der Eingangs- und Ausgangsverzeichnisse ist prinzipiell einfach, kann aber dennoch verwirren. Denn bei Flows mit ausgehender Übertragungsrichtung gibt der Administrator auf der Registerkarte “What” das Quell- und auf der Registerkarte “Where” das Zielverzeichnis an. Bei Flows mit eingehender Übertragungsrichtung ist der Inhalt der beiden Registerkarten vertauscht. www.lanline.de Das Protokoll liefert Informationen über ausgeführte Aufträge Zur Definition eines Flow gibt der Systemverwalter auf dem Rendezvous-Rechner zunächst einen beliebigen lokalen Ordner an. Bei ausgehenden Flows muss er zusätzlich festlegen, ob Unterverzeichnisse mit zu übertragen sind. Zudem kann er Dateifilter bestimmen, um beispielsweise ausschließlich *.txt, *.doc und *.xls-Dateien zu übertragen. Mehr als ein Verzeichnis lässt sich nicht angeben, so- dass mehrere Flows erforderlich sind, falls mehr als ein Verzeichnis übertragen werden soll. Bei Dateikopien mit ausgehender Richtung akzeptiert Rendezvous als Ziel nur direkt einen Freigabenamen – der Administrator kann als Ziel nicht ein Verzeichnis innerhalb einer Freigabe angeben. Ähnlich wie das Kopieren von Dateien funktioniert der Zugriff auf FTP-Server. Auch hier kann Rendezvous sowohl Dateien schreiben als auch abholen – je nach Übertragungsrichtung des Flows. Sowohl für Dateikopien als auch für FTP-Übertragungen muss der Systemverwalter dabei angeben, ob eine direkte Verbindung zum Zielcomputer besteht oder ob diese über das DFÜ-Netzwerk hergestellt werden soll. In diesem Fall muss der Administrator zusätzlich den Namen der DFÜ-Verbindung, den Benutzernamen sowie Anmeldekennwort und -domäne eintragen. System – sofern dort ebenfalls Rendezvous installiert ist – ein beliebiger Flow auslösen. Zudem kann der Dienst einen Task in der ebenfalls von Opalis erhältlichen Automatisierungssoftware Robot (siehe Test in LANline 3/99, Seite 46) aufrufen. Alternativ versendet Rendezvous einen Bericht über die Ausführung des OPTIONEN Wenn ein Transfer erfolgreich verläuft, erfolglos ist oder einfach nichts zu tun hat (weil keine Dateien zu kopieren sind), kann das System bestimmte Aktionen anstoßen. So lässt sich auf dem lokalen Server oder auf dem Remote- L AN line 12/2000 121 netzTOOLBOX Flows per SMTP als E-Mail. Leider ist für jedes Ergebnis (erfolgreicher Transfer, fehlgeschlagene Übertragung und nicht erfolgte Kopie) jeweils nur eine Aktion auswählbar. Als weitere Option kann der Administrator festlegen, wie Rendezvous verfahren soll, wenn Zieldateien bereits existieren: versionen übertragen hat. Schließlich lässt sich bei Dateikopien ein Benutzername und ein Kennwort für die Anmeldung am fremden Rechner angeben. Standardmäßig verwendet Opalis Rendezvous das Konto, unter dem der Dienst ausgeführt wird. Für die FTP-Übertragung kennt die Software zusätzliche Optionen, die zu bestimmten Zeitpunkten benutzerdefinierte Befehle auf dem FTP-Server ausführen. So lassen sich beispielsweise auf bestimmten Servern die Dateizugriffsmasken verändern. Dazu kommen einstellbare Regeln für Dateinamenkonvertierungen und die Wahl des Übertragungsmodus (Binär/ASCII). Bei der Übertragung mit dem proprietären RDV-Protokoll können die Daten auf Wunsch verschlüsselt sowie komprimiert werden. Etwas anders sieht es bei Flows mit Übersichtlich zeigt die Benutzeroberfläche alle konfigurierten DatenODBC-Transfer aus. übertragungen mit ihren wichtigsten Optionen an. Die Optionen lassen Hier muss der Admisich über mehrere Registerkarten einstellen. nistrator die Namen beider ODBC-QuelWahlweise erhält die Quelldatei auf dem len, die Benutzernamen sowie die zugehöZielsystem einen neuen Namen, über- rigen Kennwörter sowie die Namen der schreibt die vorhandene Datei oder die Da- Tabellen und Spalten beider Datenbanken tei wird gar nicht erst kopiert. Auch für das angeben. Fortgeschrittene Optionen Dateidatum gibt es mehrere Möglichkei- schränken die übertragenen Zeilen ein und ten. So kann der Rendezvous-Dienst das führen vor der Übertragung ODBC-Abfraoriginale Datum beibehalten oder den Zeit- gen durch. Neben den zahlreichen Einstellungen punkt des Transfers verwenden. Im Quellsystem gelöschte Dateien können bei Be- der einzelnen Flows besitzt die Softdarf auf dem Zielrechner ebenfalls ge- ware auch mehrere globale Optionen. löscht werden, statt des Kopierens können Sie betreffen unter anderem die Aufbedie Quelldateien zum Ziel verschoben wer- wahrungsdauer von Protokolldateien, den. Zudem ist der Dienst in der Lage, ei- wo diese abgelegt werden sollen, an ne Kopie aller übertragenen Dateien in ei- welche E-Mail-Adresse Warnungen zu nem speziellen Archivordner anzulegen. senden sind und ob der Dienst täglich Dadurch kann der Administrator jederzeit Berichte drucken und/oder per E-Mail sehen, wann die Software welche Datei- versenden soll. RDV-Optionen legen 122 L AN line 12/2000 fest, ob und wie eingehende Verbindungen mit dem eigenen Protokoll ablaufen sollen. TEST Im Test traten keine störenden Fehler auf. Lediglich bei der Übertragung über das FTP-Protokoll kopierte Rendezvous entgegen der Konfiguration auch leere Verzeichnisse auf das Zielsystem. Ansonsten überträgt die Software reibungslos Dateien über Dateikopien, FTPServer sowie mit dem eigenen Protokoll, welches als einziges Dateien verschlüsseln und komprimieren kann. Auch das gute Handbuch kann überzeugen, selbst wenn es ein wenig dünn geraten ist. An einigen Stellen wären zusätzliche Informationen nützlich. Verwirrend kann sein, dass der Inhalt und die Art der Registerkarten je nach den gewählten Optionen variiert. Zwar folgt dieses Verfahren einer strengen und letztendlich auch nachvollziehbaren Logik. Aber sie senkt auch den Wiedererkennungswert der Registerkarten und erschwert Administratoren möglicherweise unnötig den Einstieg in die Konfiguration. FAZIT Opalis bietet mit Rendezvous eine flexible Lösung, die fast allen üblichen Anforderungen für automatisierte Dateiübertragungen gerecht wird. Besonders Administratoren, die regelmäßig bestimmte Dateien oder Verzeichnisse zwischen mehreren Rechnern übertragen müssen, werden die Software zu schätzen wissen. Für rund 1380 Mark ist das Programm in Deutschland bei B.T. Trading erhältlich. Wer nur ein oder zwei Verbindungen benötigt, kann alternativ zu Rendezvous Batch-Dateien per Hand erstellen (siehe Kasten), die allerdings weniger flexibel sind und einiges an Handarbeit erfordern. (Andreas Roeschies/gh) Info: Opalis Tel.: 0031 79/3462910 Web: www.opalis.com E-Mail: info@opalis.com B.T. Trading Tel.: 01804/848613 Web:www.bt-trading.com www.lanline.de netzTOOLBOX & Tipps Tricks In der Rubrik Tipps & Tricks veröffentlicht LANline regelmäßig interessante Fragen und Antworten im Umfeld der wichtigsten Betriebssysteme und Kommunikationslösungen. Neue Treiber und Patches inklusive Bezugsquellen findet der Anwender hier ebenso wie pfiffige Tipps und Tricks. NOVELL-FTP-SERVER-PROBLEME Von einer Windows-NT-Station aus sollen nachts mit einem beliebigen FTP-Client Dateien automatisiert auf einen anderen Server kopiert werden. Wenn auf dem Ziel die Datei schon existiert, soll sie nicht überschrieben, sondern die zu kopierende an die bestehende angehängt werden. Mit dem Befehl APPEND war das bisher beispielsweise mit Suse-Linux möglich, auf einem Novell-Netware-5.1 FTP-Server funktioniert das nicht. Wenn die Datei auf dem Ziel noch nicht da ist, passiert gar nichts, sie wird auch nicht angelegt. Gibt es stattdessen ein anderes Kommando? Installieren Sie mindestens Service-Pack 1 auf den Netware5.1-Server. Dieses Service-Pack enthält ein Update des NWFT PD.NLM und behebt das Problem. (Computer 2000 Deutschland GmbH/mw) Application, treten keine Probleme auf. Wird aus einem Subnet über einen Router zugegriffen, klappt dies nicht, da der Server nicht erreichbar ist. Fehlermeldung: “List of Server not currently available.” Auf dem Router muss der Port 1494 für TCP-ICA sowie UDP-ICA freigegeben werden. (Computer 2000 Deutschland GmbH/mw) REGISTRY-EINTRAG FÜR NUMLOCK UNTER NT 4.0 ÄNDERN Die Numlock-Taste soll bei der Standardinstallation aktiviert sein. Wie lautet der entsprechende Registry-Eintrag? Um die Numlock-Funktion einzuschalten, bevor sich ein Anwender einloggt, müssen Sie folgende Schrite durchführen: 1. Sie starten den Registry Editor (Regedt32.exe). 2. Dann wechseln Sie zu HKEY_USERS\Default\ControlPanel\Keyboard. 3. Ändern Sie den Wert für InitialKeyboardIndicators von 0 nach 2. (Computer 2000 Deutschland GmbH/mw) DEFEKTES NT-DRUCKERSUBSYSTEM Bei der Installation eines Druckers (lokal oder auch im Netz) unter Windows NT 4.0 mit Service-Pack 5 mit Admin-Rechten erscheint als letzte Meldung folgendes: Assistent für die Druckerinstallation: “Der Vorgang konnte nicht abgeschlossen werden. Die Druckverarbeitung ist unbekannt.” VERTRAUENSSTELLUNG UNTER WINDOWS NT 4.0 Im Einsatz ist Windows NT Server 4.0 mit Service-Pack 5 in Englisch. Folgendes Problem mit der Vertrauensstellung tritt auf: Sie funktioniert, wenn ich am primärem Domänen-Controller (PDC) in einer der lokalen Gruppen die globalen Gruppen der anderen Domäne einfüge. Wenn dies am Backup-Domänen-Controller durchgeführt werden, funktioniert es nicht, und die folgende Fehlermeldung erscheint: “Unable to browse the selected domain, because of the following error: the list of server for this workgroup is currently not available”. Der BDC ist ein Terminal-Server in ”Englisch“. Im Netz befindet sich noch ein anderes Subnet, das an demselben Switch wie der PDC hängt. Wenn aus dem Subnet auf den PDC zugegriffen werden soll und dann auf die Published 124 L AN line 12/2000 Es liegt in der Regel ein defektes Druckersubsystem vor. Sie sollten eine Reparatur (RDISK) oder Neuinstallation durchführen. In diesem Fall befanden sich im %systemroot%\system32\ spool\printers-Verzeichnis korrupte Druckjobs. Nach dem Löschen der Dateien (bei deaktiviertem Spooler-Dienst) war das Problem behoben. (Computer 2000 Deutschland GmbH/mw) NETWARE-NDPS-BROKER STARTET NICHT In unserem Netware-5.0-Netz (mit Service-Pack 5, Single-Server-Umgebung) startet der NDPS-Broker nicht mehr, seitdem IPX vom Server entfernt wurde. Fehler: “Broker-2.007: The broker received error -5 while logging onto the network. Access to the network was denied. Verify that the broker object name and password are correct and try the task again.” www.lanline.de netzTOOLBOX & Tipps Tricks Von weltweiten Niederlassungen.... zum globalen Netz Zunächst sollten Sie in die Datei HOSTS den Server-Namen mit der IP-Adresse eintragen. (Dabei hatte sich herausgestellt, dass der Server umbenannt wurde.) In der HOSTS-Datei wurde der neue Server-Name eingetragen, und der Broker ließ sich wieder laden. Das Drucken funktionierte auch wieder problemlos. (Computer 2000 Deutschland GmbH/mw) UNSERE SERVICELEISTUNGEN: Wir liefern Ihnen ein betriebsbereites Komplettpaket zur Realisierung Ihres VPN aus einer Hand. Durch die Webasto – Gruppe sind wir in 25 Ländern vertreten. Dabei können Sie sich aus unserer Dienstleistungspalette ein auf Ihre Bedürfnisse individuell abgestimmtes Paket schnüren lassen. • • • • • • • Consulting und Projektierung von individuellen VPN Lösungen Implementierung Ihres VPN Systems Schulung Ihrer IT Administratoren Outsourcing der Wartung in Voll- und Teilzeitmodell Vertrieb von VPN Hard- und Software (auch Finanzierung & Leasing) Zeitlich begrenzte Bereitstellung von VPN Lösungen weitere Serviceleistungen auf Anfrage Wir zeigen´s Ihnen: Überzeugen Sie sich unverbindlich aus erster Hand von der Qualität unserer Dienstleistung. Vereinbaren Sie einen Termin und besuchen Sie uns in unserer Stockdorfer Unternehmenszentrale. Lassen Sie sich VPN live in unserer Produktivumgebung vorführen. Webasto Informationssysteme GmbH Kraillinger Strasse 5 – D-82131 Stockdorf Telefon: +49 (0) 89-8 57 94 – 491 Fax; +49 (0) 89 – 857 94 – 313 Internet: www.webasto-it.de E-Mail. win-info@webasto.de 126 L AN line 12/2000 DAVID-ARCHIVÜBERNAHME AUF ANDEREN SERVER Wir nutzen zwei Netware-4.11-Server in einer NDS. David soll nun “umziehen”, also nicht mehr auf dem bisherigen der beiden Server laufen, sondern auf dem zweiten. Wie gelingt am einfachsten die Archivübernahme, sodass die Anwender wieder auf ihre alten Nachrichten Zugriff haben? Da beide Server ja in einer gemeinsamen NDS stehen, sollte die User-Archivstruktur gleich bleiben, da die User ja dieselben NDS-Objekte sind wie zuvor. Wenn David für einen User ein Archiv anlegt, verwendet sie Software die Bindery-ID des Users, und dies unabhängig davon, ob es sich um David 5.2 oder um David 6 handelt. Dies bedeutet aber Folgendes: Die Bindery-ID ist ausschließlich Server-bezogen, unterscheidet sich also von Server zu Server, auch wenn alle Server in einer NDS hängen. Dies ist leicht auszutesten, indem Sie sich auf mehreren Servern in einer NDS als Bindery-User anmelden (eventuell sollten Sie hierzu einen neuen Test-User in der NDS generieren), also etwa in der DOS-Box Folgendes eingeben: “LOGIN SERVER_1/TESTUSER /B” beziehungsweise “LOGIN SERVER_2/TESTUSER /B” Unter SYS:MAIL wird daraufhin für diesen User ein Verzeichnis mit seiner Bindery-ID angelegt, und dieses ist von Server zu Server unterschiedlich. Legt man diesen User nun noch auf dem David-Server unter David an, so erhält dieser unter Vol:DAVID\ARCHIVE\USER ein Verzeichnis mit der Bindery-ID, die der im Mail-Verzeichnis auf diesem Server entspricht. Ein David-User auf einem anderen Server würde also einen anderen Archivpfad erhalten. Deshalb gestaltet sich die Archivübernahme nicht so einfach. Anmerkung: Bei sehr vielen NDS-Usern kann es durchaus vorkommen, dass ein User eine Bindery-ID eines anderen Users auf einem anderen Server erhält, sodass dieser User bei einer einfachen Datenübernahme es eventuell dennoch schafft, auf Archivdateien zuzugreifen, allerdings nicht auf seine eigenen. Das nächste Problem sind die Dateien ARCHIVE.DIR und ARCHVIE.DAT, die man in jedem Archiv findet: www.lanline.de netzTOOLBOX In den Dateien ARCHIVE.DIR sind alle Directories innerhalb eines Archivs hinterlegt, und zwar mit Server-Namen und Pfad (also zum Beispiel unterhalb eines User-Archivs die Verzeichnisse IN und OUT etc.) In den Dateien ARCHIVE.DAT wiederum werden nun die einzelnen Nachrichtendateien mitprotokolliert, wiederum mit Server-Namen und Pfad. Ein Grund, warum Nachrichten in einem Archiv nicht erscheinen, wenn die Nachrichtendateien einfach in das entsprechende Archiv per Explorer kopiert werden, besteht darin, dass diese Nachrichten nicht in die ARCHIVE.DAT eingetragen werden. Die ARCHIVE.DAT durchsucht nicht das Verzeichnis daraufhin, ob neue Dateien vorliegen; die Einträge in die ARCHIVE.DAT geschehen also nicht von dieser Datei aus, sondern von den anderen Mechanismen: Eingerichtete Verteilung, Verschieben/Kopieren der Nachrichten über das Front-end, Ein- und Ausgang der Nachrichten über den Service Layer etc. Alle diese Gründe lassen nur mehr zwei Möglichkeiten der Archivübernahme zu. Beiden gemeinsam ist, dass auf dem neuen Server ebenfalls schon David installiert sein muss; dies entweder gleich als Update auf David 6 oder mit derselben Version. 1. Nachdem Sie in den Archiveigenschaften die Archivpfade der einzelnen User aufgeschrieben haben, können Sie die Nachrichten aus dem alten User-Archiv in das neue Archiv kopieren. Dies geht nicht im Front-end, da hier nur der eine Archivbaum zu sehen ist. Die Schwierigkeit bei dieser Methode ist die Anpassung der ARCHIVE.DIRs und ARCHIVE.DATs: Zum einen müssen über ARCUTIL.EXE alle diese Dateien durchsucht werden und mit der Find-and-ReplaceOption des ARCUTILs der alte Server-Name durch den neuen ersetzt werden. Danach müssten Sie die Pfade ersetzen, also jedesmal eine alte User-ID durch die neue ersetzen lassen. Abschließend müsste jede ARCHIVE.DAT neu kreiert werden, damit die schon in den Archiven liegenden Nachrichtendateien auch Aufnahme in die ARCHIVE.DAT finden, sodass dann die User wieder Zugriff auf die Nachrichten erhalten. Sinnvoller ist es, die Datenübernahme auf alle Fälle mit der zweiten Methode durchführen, dem MKINST: 2. Führen Sie im Zuge der Datenübernahme auch gleich ein Update auf David 6 durch, sollten Sie auf alle Fälle nicht mit dem alten MKINST.EXE arbeiten, sondern mit dem bei David 6 mitgelieferten MKINST32.EXE, da dies stabiler läuft. Wenn Sie eine David-6-CD zur Hand haben, können Sie natürlich auch bei einem David 5.2 nach 5.2 “Umzug” damit arbeiten. Das einfachste ist natürlich nach wie vor, man macht einen klaren Schnitt, druckt auf dem alten Server eventuell noch benötigte Nachrichten aus und installiert David auf dem neuen Server einfach neu, wobei die User dann nur mehr ihre neuen Nachrichten im Zugriff haben. (Computer 2000 Deutschland GmbH/mw) www.lanline.de L AN line 12/2000 127 netzLÖSUNGEN SERIE: NETZWERKDIENSTLEISTER (TEIL 2) Infrastrukturen aus einer Hand Vor allem bei kleinen Netzen kommen Netzwerkerweiterungen oder Modernisierungen komplett aus einer Hand. Hier rechnet es sich nicht, dass ein Planer eine Netzerweiterung plant und dafür über eine Ausschreibung ein Systemhaus sowie ein Installationsunternehmen beauftragt. So konzipiert und realisiert der Installateur oder ein Systemhaus allein die Erweiterung. Sie können sich zum Beispiel von ihrem Distributor für die Komponentenauswahl und Angebotserstellung technisch unterstützen lassen und dort aus einer Vielzahl von Produkten wählen. Es gibt jedoch Systemhäuser, die einen vollkommen anderen Weg gehen, nicht auf einen Großhändler zurückgreifen, sondern nur mit sehr ausgesuchten Komponenten und Techniken arbeiten und sogar eigene Produkte für ihre Lösungen entwickeln. as Gros der Installateure und Systemhäuser verfolgt einen anderen Ansatz. Sie holen sich bei komplexen Fragestellungen technische Unterstützung zum Beispiel von ihrem Großhändler. Denn immer mehr Elektrogroßhändler besitzen mittlerweile eine Netzwerkabteilung für Installateure aus der Datentechnik. Da dieser Bereich sehr bera- D tungsintensiv ist und viel Fachwissen erfordert, können die Distributoren dafür nicht einfach Fachverkäufer aus der Leuchtenabteilung einsetzen. Deshalb haben zum Beispiel die beiden Elektrogroßhändler Otra und Rexel spezielle Fachbereiche oder gar Tochterunternehmen gegründet, die mit entsprechend ausgebildetem Personal ausgestattet sind. Der Hersteller Draka Multimedia Cable (ehemals NK Networks) bietet zum Beispiel bei Otra Nord-Ost Verkabelungsseminare an 128 L AN line 12/2000 OTRA Bei Otra gibt es den Bereich Datennetzwerktechnik (DNT) bereits seit 1989. Und ähnlich wie sich bei den Elektroinstallateuren zunehmend Spezialisten für die Datentechnik herausgebildet haben, ist hier die DNT-Abteilung gewachsen. Der Großhändler begann seine Dienstleistungen für diesen Bereich mit einem Schulungskonzept für die Koaxkabel von Belden. Seitdem bietet er neben herstellerspezifischen Schulungen auch Einsteigerseminare für Kupfer- und LWL-Technik, LWLWorkshops und Überblickseminare zu aktiven Komponenten an. Der Schwerpunkt liegt dabei auf den passiven Komponenten. Mehrere Berater mit Informatik- und Installationsausbildung unterstützen Installateure gegebenenfalls bei der Planung von Netzwerken sowie bei der Angebotserstellung oder wenn Probleme mit aktiven Komponenten auftreten. Damit ist allerdings kein Produkt-Support gemeint, sondern es geht um auftretende Fragen im Projektablauf. Darüber hinaus bietet der Großhändler Schulungen für Kabeltester von Microtest und Wavetek Wandel Goltermann (demnächst Acterna) an. Dabei geht es um Abnahmemessungen, aber auch um Entscheidungskriterien für die Geräteauswahl. Der Installateur muss die Geräte aber nicht kaufen, sondern kann sie leasen oder sich für zum Beispiel eine Abnahmemessung ausleihen. Er erhält dann vor Ort eine Unterweisung für das Leihgerät. Sollten zum Beispiel bei einer Fehlerlokalisierung Probleme auftreten, bietet Otra Telefon-Support an. Das gilt für LAN-Tester, OTDRs (Optical Time Domain Reflectometer) sowie für Spleißgeräte. Gerade der Verleih von Messgeräten wird laut Thomas Daume, Produktmanager für die Bereiche Datennetzwerktechnik und Fernmelde- und Nachrichtentechnik bei Otra Nord-Ost, im Moment gern genutzt, da die Normierung für Highspeed-Datennetze noch nicht klar definiert ist. Otra Deutschland besteht aus neun Einzelgesellschaften mit regional etwas unterschiedlichen Schwerpunkten und www.lanline.de netzLÖSUNGEN Produktpaletten. Vor allem die Gesellschaften in Hannover (Otra Nord-Ost) und Mainz (DITHA Süd-West) gelten als die Vorreiter in Sachen Datentechnik, da sie den Bereich ins Leben gerufen haben. Darüber hinaus sind laut Daume zum Beispiel die süddeutschen Niederlassungen sehr stark in der Datentechnik. Doch Thomas Daume geht davon aus, dass sich die Produktpalet- grund ihrer technischen Eigenschaften und befindet sich derzeit in Zusammenarbeit mit Frauenhofer IAO und neun weiteren Elektro-Großhandelsgruppen in der Abstimmungsphase. Informationen darüber sind über www.otra.de oder über www.etim.de abrufbar. Derzeit sind dort 170.000 von Otra angebotene Artikel mit ihren Datenblättern gelistet, und der Anwender kann über Eigenschaften und Synonymsuche herstellerübergreifend nach für ihn passenden Komponenten suchen. Der Zugriff darauf ist über die Otra-Produkt-CDROM oder über das Otra-Online-Bestellsystem (www.otra.de) möglich. Das Fraunhofer Institut baut dieses System im Auftrag des Vereins ETIM Deutschland als Branchendatenbank für den gesamten Elektrogroßhandel aus. REXEL CONECTIS Beim Elektrogroß- Thomas Daume, Produktmanager für die Bereiche Datennetzwerktechnik sowie Fernmelde- und Nachrichtentechnik bei Otra NordOst: “Wir haben die Komponenten aller führenden Hersteller in diesen Bereichen im Programm.” ten zunehmend vereinheitlichen werden. Ein erster Schritt in diese Richtung sind der gemeinsame Produktkatalog und das Online-Bestellsystem. Ist eine Bestellung bis 18:00 Uhr eingegangen, erhält der Kunde die Produkte in der Regel schon am nächsten Tag auf seiner Baustelle, in manchen Fällen 48 Stunden nach Bestelleingang. Die Auslieferung erfolgt mit eigenem Fuhrpark. Damit ein Installateur oder Planer bei der Komponentenauswahl nicht in verschiedenen Herstellerkatalogen blättern muss, hat Otra eine herstellerunabhängige Artikeldatenbank auf Basis von ETIM (Elektrotechnisches Informationsmodell) eingerichtet. ETIM ermöglicht die Suche nach Produkten auf- www.lanline.de händler Rexel agiert die Tochtergesellschaft Conectis zum einen als Dienstleister in Sachen Fernmelde- und Datentechnik für das eigene Unternehmen und unterstützt zum anderen den Endkunden, also vor allem den Installateur, bei projektbezogenen Fragen. Conectis übernimmt die Produktauswahl und das Marketing für diesen Großhandelsbereich und sorgt dafür, dass diese verfügbar sind. Zu den wichtigsten Kunden zählen kleine Installationsbetriebe und große Elektroinstallateure mit eigener Netzwerkabteilung, aber auch Systemhäuser und Industriekunden wenden sich an den Großhändler. Das Gros der Produkte stammt aus dem passiven Bereich, doch Conectis erweitert zunehmend seine Produktpalette und sein Serviceangebot in Richtung aktive Komponenten. Denn immer mehr Installateure schließen auch gleich die aktiven Komponenten mit an. Das Conectis-Personal schult deshalb nicht nur die eigenen Angestellten in den Niederlassungen, sondern auch Installateure. Damit will Conectis-Geschäftsführer Bernd Richter gewährleisten, dass an allen Niederlassungen ein kompetenter Ansprechpartner für die Daten- und Kommunikationstechnik zur Verfügung steht. Rund L AN line 12/2000 129 netzLÖSUNGEN 80 Prozent der dreizehn Seminarthemen beschäftigen sich mit der passiven Netzwerkinfrastruktur (Kupfer, Glasfaser und zugehörige Messtechnik), der Rest Bernd Richter, Geschäftsführer von Rexel Conectis, sieht sein Unternehmen “nicht als Lowcost-Versender”, sondern gewährleistet zum Beispiel, “dass die angebotenen Komponenten der Klasse D und zum Teil auch der künftigen Klasse E normgerecht zusammenspielen”. Das erfolgt über Link-Zertifikate von Kabel- und Komponentenherstellern. behandelt aktive Komponenten. Technisch anspruchsvolle Seminare für den Endkunden halten die vier Trainer ab, die zentral bei Conectis in Hannover angestellt sind; die Standardtrainings führen in den regionalen Niederlassungen 13 ausgebildete Trainer durch, die auch individuell zusammengestellte Seminarpakete für Installateure anbieten können. Die Conectis-Trainer und -Berater verfügen alle über eine CCNESpezialisten-Ausbildung von Comconsult sowie über diverse Zertifizierungen wie beispielsweise für Voilition von 3M. Sie unterstützen Installateure bei grundlegenden Fragen der Netzwerkplanung oder Fragen, die in der Projektphase auftreten, helfen bei der Auswahl geeigneter Komponenten und können zum Beispiel bei Systemhäusern, die den passiven Bereich nicht als ihr Kerngeschäft ansehen, als kompetenter Part- 130 L AN line 12/2000 ner auftreten und bei der Realisierung der Projekte helfen. Das kann aber auch nur die Vermittlung eines Installateurs in der Nähe sein. Die Conectis-Mitarbeiter planen allerdings keine Netze und übernehmen auch keine Netzwerkwartung, um nicht in Konkurrenz zu ihren eigenen Kunden zu treten. Die Produkte reichen von passiven Komponenten und Messtechnik (hauptsächlich Fluke) über USVs bis hin zu aktiven Komponenten wie managebare Layer-3-Switches. Der Kunde kann sich bei den Conectis-Experten zum Beispiel über die fachgerechte Konfiguration der Komponenten informieren. Und auch Conectis verleiht Messgeräte. Darüber hinaus stellt der Großhändler für häufig auftretende Anforderungen speziell zusammengestellte und konfigurierte Produkt-Bundles zur Verfügung. Ein Beispiel dafür ist das Angebot für die Initiative “Schulen ans Netz”: Das dafür zusammengestellte Paket soll dafür sorgen, dass der Hauselektriker einer Schule nicht vollkommen hilflos vor dem Thema Datenvernetzung stehen muss. Damit selbst bei Hochleistungsnetzen Mix-and-Match-Lösungen möglich sind, gewährleistet der Eltrogroßhändler zudem, dass die angebotenen Produkte der Klasse D und zum Teil auch der künftigen Klasse E normgerecht zusammenspielen. Das erfolgt über LinkZertifikate von Kabel- und Komponentenherstellern (beispielsweise BTR, Ackermann und Quante). Denn Bernd Richter sieht sein Unternehmen “nicht als Low-cost-Versender, sondern gewährleistet Standzeiten von fünf bis zehn Jahren”. Das heißt, die Produkte müssen dem Stand der Technik entsprechen. Auch Conectis beliefert binnen 24 Stunden die Baustelle und bietet für Großprojekte einen Just-in-time-LieferService an. Bei den beiden beschriebenen Szenarien erhält ein Unternehmen zwar sein Netzwerk aus einer Hand, der Installateur oder das Systemhaus greift dabei allerdings auf die mehr oder weniger umfangreiche Unterstützung seines Großhändlers zurück. Das heißt, hier werden Wissenslücken über Produkte oder Techniken durch externe Hilfe aufgefüllt. WIRKLICH AUS EINER HAND Das Sys- temhaus Deltacom in Frechen geht einen komplett anderen Weg. Das 40Mann-Unternehmen entwickelt und produziert ein eigenes strukturiertes Verkabelungssystem nach der künftigen Klasse E, das sich auf spezielle Anforderungen einfach integrieren lässt. Das Systemhaus beschäftigt eigene Installateure, die auch Brandschutzmaßnahmen durchführen können. Die George Grella leitet zusammen mit Iris Kremp das Systemhaus Deltacom. George Grella achtet dabei darauf, dass möglichst viele Leistungen aus dem eigenen Hause kommen. Um das zu ermöglichen, beschränkt sich das Unternehmen mit 40 Angestellten laut Grella “auf die Infrastruktur-Hardware sowie auf ausgewählte Techniken und Hersteller”. Projektingenieure werden regelmäßig auf Schulungen geschickt, damit möglichst viel Know-how im eigenen Hause vorhanden ist und möglichst wenig nach außen vergeben werden muss. Damit das überhaupt realisierbar ist, beschränkt sich Deltacom laut Geschäftsführer George Grella auf die Infrastruktur-Hardware und zudem auf bestimmte Techniken und ausgewählte Hersteller. www.lanline.de netzLÖSUNGEN Die Serie Netzwerkdienstleister in der LANline Dieser Artikel ist der zweite Teil der LANline-Serie “Netzwerkdienstleister”. In Ausgabe 11/2000 erschien ab Seite 172 ein Beitrag über “Managed Services und Outtasking” von großen, international agierenden Dienstleistern. Die nächste Folge wird in Ausgabe 01/2000 erscheinen und sich mit dem Thema Dienstleistungen rund um IP-Telefonie beschäftigen. (Doris Behrendt) Zu den Hauptlieferanten zählen Extreme Networks, Cisco im Access-Bereich, Compaq für Server, Nbase-Xylex (Optiswitch-Produktserien) und Syskonnect mit redundanten GigabitEthernet-Adaptern sowie IRE (Sicherheitskonzepte für Internet-Infrastrukturen). Durch die ausgesuchte Produktpalette kann das Unternehmen laut George Grella fast alles ab Lager liefern. Außerdem beschränkt sich Deltacom auf TCP/IP, Ethernet und die Betriebssysteme Netware, Windows und Linux. ATM, Token Ring und FDDI sind bis auf Migrationsstrategien kein Thema. Ziel ist eine durchgängige, aufeinander abgestimmte Gigabit-Ethernet-Infrastruktur von der Verkabelung über das Backbone bis hin zu den Servern. Damit möchte Grella erreichten, dass “der schwächste Punkt immer die Festplatte ist, nie das Netzwerk”. Neben der Netzwerkplanung und -realisierung bietet das Systemhaus auch Troubleshooting, einen Rund-um-dieUhr-Notdienst und Fernüberwachung von Netzen an. Bevor neue Komponenten beim Kunden installiert werden, testen die Deltacom-Mitarbeiter diese im eigenen Testnetz und simulieren dabei möglichst realitätsnah den Betrieb beim Kunden, sodass unliebsame Überraschungen bei der Umstellung möglichst ausgeschlossen sind. Darüber hinaus finden regelmäßig Schulungen mit Zertifizierungen, zum eigenen Verkabelungssystem statt sowie herstellerunabhängige Schulungen zu den Netzwerkthemen, in denen das Systemhaus seit 1987 Erfahrungen gesammelt hat. Auch eigene Netzwerkerweiterungen führen bei Deltacom die Mitarbeiter selbst www.lanline.de durch. George Grella will, “dass möglichst viel selbst gemacht wird und so das Know-how immer auf dem aktuellen Stand bleibt und mit den aufkommenden Techniken mitwächst”. So entstand zum Beispiel auch die unternehmenseigene Website vollständig in Eigenregie. Damit ein Systemhaus, das gleichzeitig als Hersteller auftritt, diese Leistungen überhaupt bewältigen kann, teilt sich das Unternehmen in BusinessTeams für Vertrieb, Service, Projekte und Installation auf. Zielgruppe sind kleine, mittlere und Großunternehmen, die langfristig – laut Grella im Schritt sieben bis zehn Jahre – mit dem Systemhaus zusammenarbeitet. PRODUKTREIHEN Sowohl Deltacom als auch Rexel Conectics und Otra bieten eigene, preiswerte Produktreihen mit gelabelten Komponenten an. Deltacom hat neben dem selbstentwickelten und gefertigten Verkabelungssystem Euro DVS die managementfähige Gigabit-Produktserie Magnum mit aktiven Komponenten im Programm. Otra bietet unter dem Namen Topnet aufeinander abgestimmte passive Komponenten und Schränke an, und Rexel Conectics vertreibt unter dem Namen Gigamedia und LWL- und Kupferkomponenten. (Doris Behrendt) EIGENE Weitere Informationen: Otra Datennetzwerktechnik (DNT) Web: www.otra.de Rexel Conectis Web: www.conectis.de Deltacom Web: www.deltacom.de L AN line 12/2000 131 SCHWERPUNKT: STORAGE AREA NETWORKS ALLIANZEN UND PHILOSOPHIEN DIE ZUKUNFT DER SPEICHERVERWALTUNG STORAGE AREA NETWORKS Datenspeicherkapazitäten und deren Verwaltung sind plötzlich die wichtigsten Themen in größeren Unternehmen. Die benötigten Kapazitäten steigen um mehr als 100 Prozent jährlich, und die Verwaltung der Daten wird auf 40 Prozent der Gesamtkosten für das Speicherbudget geschätzt. Für die Lösung der Problematik gibt es vielfältige Angebote, wobei die jeweils eigene eines Anbieters die Beste sein soll. 132 L AN line 12/2000 www.lanline.de SCHWERPUNKT: STORAGE AREA NETWORKS Die drei Anschlusstechniken DASD, NAS und SAN bezeichnen durchaus zutreffend die physikalische Nähe zum Rechner/Server und logische Zuordnung der Speicherlaufwerke in einem vernetzten Computersystem. DASD Eine Direct Attached Storage Disk (DASD) ist ein direkt am Rechner/Server angeschlossenes Speicherlaufwerk und verwendet als Schnittstelle beispiels- weise ATA, SCSI oder IEEE 1394 (Firewire, I-Link). Die Laufwerke können Plug and play eingebunden sein und werden amerikanisch als JBOD (Just a Bunch Of Disks) bezeichnet. In größeren Systemen (bereits ab drei bis fünf Platten) sind die Laufwerke üblicherweise in einem RAID-Verbund integriert. Administrator, Betriebssystem und Rechner müssen die Laufwerke einzeln kennen, konfigurieren und im laufenden Betrieb alle Einzelaktionen auslösen. Zugriffe aus dem LAN werden gezielt über den zugehörigen Server unter dessen Kontrolle durchgeführt. Bisher rüsten Unternehmen bei steigendem Bedarf die einzelnen Server laufend auf. Dabei geht irgendwann die Übersicht verloren, Kapazitäten an einer Stelle liegen brach, an anderen Stellen kommt es zu Engpässen. Das führt dazu, dass Daten oft mehrmals im Unternehmen vorhanden sind. Das Management der vielen Daten ist heute schon teurer als der Anschaffungspreis für die benötigten Datenspeicher. NAS Ein Network Attached Storage Device (NAS oder NASD) ist technisch genau so angeschlossen wie eine DASD. In einem NASD-System hat der Server aber keine eigenständigen Aufgaben, daher der Name “Thin Server”. Er stellt nur über seine IP-Adresse den Netzzugang her und darüber den Zugang auf möglichst viel angeschlossenen Speicherplatz. Network Appliance hat ein neues Dateisystem DAFS (siehe LANline 11/2000) zur Beschleunigung des Dateizugriffs vorgeschlagen. Bei größeren NASD-Systemen und für das Backup mit Bandlaufwerken wird ein lokales SAN eingesetzt. Bei DASD und NASD erfolgt der gesamte Datenverkehr über das LAN. Große Datenströme bei CAD- oder Multimedia-Anwendungen blockieren den Netzverkehr sehr stark. Durch besonders große, vorgeschaltete Zwischenspeicher (Cache) soll dies gemildert werden. Diese glätten wohl die Spitzen, können aber, wie jeder Cache, die Bandbreite nicht erhöhen. SAN Das SAN ist ein eigenes Hochge- schwindigkeitsnetz “hinter” den Servern. Alle Laufwerke bilden zusammen einen großen Speicher, der von allen Servern bedient werden kann. Die Server haben keinen direkt angeschlossenen Speicher, sondern Netzkarten (hier HBAs genannt), mit denen sie über die SAN-Infrastruktur auf den gesamten Speicher zugreifen. Das (primäre) LAN wird von den großen Datenübertra- www.lanline.de L AN line 12/2000 133 SCHWERPUNKT: STORAGE AREA NETWORKS gungsmengen zwischen den Servern entlastet. Datensicherung (Backup) und Datenübertragung ist im Hintergrund (im SAN) auch bei laufendem Betrieb (im LAN) möglich, wodurch die zeitnahe Sicherung der Daten erst wieder möglich wird. Backup-Probleme sind bisher der wichtigste Grund für die Einführung eines SAN, und der Fibre Channel (FC) ist das passende Übertragungsmedium dafür. einige Firmen zu Allianzen und Konsortien zusammengeschlossen, um dem Kunden für das Tagesgeschäft wenigstens die notwendigen Insellösungen bieten zu können. SPEICHERVERWALTUNG IM SAN Ein SAN wird dann eingerichtet, wenn große Speichermengen und eine zeitnahe Datensicherung benötigt werden. Das bedingt dann den Einsatz von weitgehend automatisierten Speicherverwaltungssystemen. Diese ManagementSoftware wird also zuerst für SANs ent- SPEICHERVERWALTUNG Die Verwaltung von großen Datenmengen in einer heterogenen Umgebung ist heute das vorrangige Problem. Das ist keine Besonderheit des SANs, sondern der Daten- und Gerätemengen, ihrer Vielfalt und Inhomogenität. Wirklich große Speichermengen können nur über ein FC-gestütztes SAN aufgebaut werden, allein schon wegen der hohen Datenraten, die im SAN möglich sind. Daher kam das Managementproblem erstmals beim SAN-Betrieb zum Vorschein. Stabile Standards für die FC-Schnittstellen und Kanäle gibt es schon seit vielen Jahren. Für die Verwaltung der Die Platten- und Bandlaufwerke sind einem Server fest zugeordnet. riesigen Datenmen- Der Zugriff muss über den lokalen Server erfolgen. Quelle: Technology Consulting gen existieren aber noch keine Standards, sondern nur einige wenige Teile wickelt. Oft werden daher das SAN und davon. Die für den Betrieb eines SANs die dazugehörige Management-Softnotwendige Management-Software soll ware als eine Einheit gesehen. Das von der SNIA zur Normung bei den Nor- Speichernetz (SAN) wiederum wird fast mungsgremien angeregt oder selbst stan- ausschließlich mit FC-Infrastruktur bedardisiert werden. Bisher ging diese Ar- trieben. So ist es nicht verwunderlich, beit zu langsam voran. Daher haben sich dass der Eindruck entsteht, fehlende 134 L AN line 12/2000 FC-Standards wären die Ursache von Speichermanagement-Problemen. Die wichtigste Funktion eines SAN ist die zentrale Verwaltung von Datenspeichersystemen unterschiedlicher Hersteller. So können unternehmensweite Sicherheits- und Sicherungsstrategien reibungslos eingesetzt werden. Damit der Speicher zentral verwaltungsfähig wird, muss er zuerst konsolidiert werden. Die Management-Software versucht, alle Speichereinheiten im SAN zu finden und deren Parameter (Kapazität usw.) abzufragen. Dazu dient beispielsweise die Management Information Base (MIB), die von der Fibre Alliance für die SNIA bei der IETF zur Normung eingereicht wurde. Von Brocade und anderen Firmen wurden weitere Software-Hilfsmittel ebenfalls in die zuständigen Normungsgremien eingebracht. Ein SAN ist erst ab einer gewissen Speicherkapazität wirtschaftlich. Daher sollte möglichst der gesamte im Unternehmen oder Unternehmensbereich vorhandene Speicher in ein oder mehrere SAN(s) zusammengeführt werden. Die Teile eines Speichersystems müssen danach einwandfrei zusammenarbeiten und auch mit neuen Komponenten erweiterbar sein. Das ist besonders wichtig bei den heute üblichen dezentral vernetzten Systemen. In einem SAN können vorhandene Kapazitätsreserven ohne lokale Bindung genutzt werden. Hard- und Software sind in Leistung und Kapazität in weiten Grenzen skalierbar. Bis zum Vorliegen von Managementstandards sollten vorwiegend Produkte eingesetzt werden, die im Rahmen einer Allianz schon auf ihre Kompatibilität geprüft wurden. Der Idealzustand an Normung für die notwendige Interoperabilität und Verwaltungsfunktionen ist noch nicht erreicht. Zur Lösung der anstehenden Probleme haben sich daher einige Hersteller zusammengetan. Sie haben die Kompatibilität für ihre Produkte hergestellt und die dazu nötige Verwaltungs-Software auf der Basis vorhandener Datensicherungsprogramme weiterentwickelt. Leider haben dies mehrere Gruppen gleichzeitig und unabhängig voneinander getan www.lanline.de SCHWERPUNKT: STORAGE AREA NETWORKS und dadurch viele Insellösungen erzeugt. So gibt es derzeit mehr als 20 formal zusammenarbeitende Gruppen oder Allianzen und einige informelle Kompatibilitätslisten. ALLIANZEN Die Allianzen versuchen die dafür notwendige Interoperabilität zumindest für die Produkte der jeweiligen Allianzmitglieder herzustellen. Einige tun dies explizit als Vorleistung für die von der SNIA zu definierenden Standards. Die Allianzen kann man in Herstellerallianzen, Kompatibilitätsallianzen und neutrale Standardisierungsgremien einteilen. Für jede Art sind nachfolgend einige Beispiele aufgeführt. – Herstellerallianzen: ENSA, Fibre Alliance, Jiro, Legato Celestra, Veritas V3. – Kompatibilitätsallianzen: FCIA (SANmark), OSFI, Tachyon. – Standardisierungsgremien: ANSI, HPSS, IANA, IEEE SSSWG, IETF. steller von Fibre-Channel-Switches wie etwa Ancor, Brocade, Gadzoox, McData und Vixel in der OSFI zusammengeschlossen. Ein entsprechender Normvorschlag wurde dem FC-Komitee beim ANSI übergeben. Die OSFI will sich wieder auflösen, sobald die entsprechende Norm verabschiedet ist. GREMIEN Normen und Industriestan- dards wurden schon entwickelt als es noch keine Notwendigkeit für zentral verwaltete heterogene Speichersysteme gab. Diese Normen erfüllen Teile der Anforderungen für die Verwaltung eines SAN. Normen wie SCSI, RAID und chische Speicherverwaltung (HSM) wird im IEEE-Komitee SSSWG (P1244) definiert. Gremien mit nur beratender Funktion wie HPSS oder THIC diskutieren grundlegende Probleme, die von Firmen oder Gremien bei ihren Definitionen berücksichtigt werden. Einige der oben genannten Allianzen werden nachfolgend in alphabetischer Reihenfolge kurz vorgestellt. – ANSI: Die ANSI-Komitees T10 und T11 normieren SCSI, ATA, Fibre Channel und verwandte Standards. Weniger bekannt ist zum Beispiel die Norm “SCSI Enclosure Services” (SES) als Standard für die Auslegung HERSTELLERALLIANZEN Bei den Her- stellerallianzen ist meist ein größerer Hardware- oder Software-Anbieter die Keimzelle für eine Allianz. Beispiele sind EMC (Fibre Alliance), Legato (Celestra Consortium), Sun (Jiro) oder Veritas (V3 SAN Initiative). Im “SAN Solution Provider”-Programm von TIM in Wiesbaden sind mehr als fünfzehn meist mittelständische Händlern und Systemhäuser zusammengeschlossen. Diese Firmen sind keine Hersteller, sondern Systemhäuser, die mit Unterstützung ausgewählter Hersteller im Tagesgeschäft vor Ort beim Kunden konfigurieren, installieren und Service bieten. Für eine SANInstallation wird praktisch immer ein Systemhaus benötigt. Kein Hersteller kann alle benötigten Hard-, Soft- und Middleware-Komponenten oder die Integrationsleistung anbieten. KOMPATIBILITÄTSALLIANZEN Bei einigen Allianzen ist nur die Interoperabilität auf der Funktions- oder Geräteebene das Ziel. So haben sich die Her- 136 L AN line 12/2000 Im SAN sind alle Speicher von jedem Server aus zugänglich. Bei Fehlern oder Überlastung können Alternativwege gewählt sowie Speicherreserven direkt genutzt werden. Quelle: Technology Consulting Fibre Channel wurden in ANSI-Komitees erarbeitet. Sie bilden die Basis für die zu erwartenden SAN-Normen. Neben den ANSI-Komitees gibt es Industrievereinigungen, die ebenfalls die SAN-Standardisierung unterstützen. Die SCSITA fördert die Normierung und Verbreitung der SCSI-, RAID- und Gehäusetechnik. Die FCIA fördert die Verbreitung des Fibre Channel und seiner weiteren Normierung. Das IETF spezifiziert die MIBs, und die IANA vergibt Netzwerkadressen. Die hierar- von Überwachungs- und Steuereinrichtungen für Systeme mit hoher Verfügbarkeit. So werden etwa Ausfälle von Netzteilen, Kühlgebläsen oder Laufwerken in standardisierter Form über die Kommunikations-Infrastruktur an die Verwaltungseinheit (zum Beispiel aktuelle Operator-Konsole) gemeldet. – Celestra Consortium: Legato hat zusammen mit Firmen wie beispielsweise Adic, Clariion, Compaq, Emulex, Qlogic, Quantum, Storagetek und www.lanline.de SCHWERPUNKT: STORAGE AREA NETWORKS Sun ihre “Information Utility” als Celestra Architecture und als eine Vision für die Zukunft von SANs vorgestellt. – Enterprise Network Storage Architecture (ENSA): ENSA wurde von Compaq als ein all-umfassendes, interoperables, automatisches Speicherverwaltungssystem vorgestellt. Die neueste Entwicklung in diesem Konzept ist Versastor als derzeit einziges (virtuelles) Speichermanagementsystem, in dem auch Speichereinheiten von konkurrierenden Herstellern direkt zusammenarbeiten können. – FCIA (SANmark): Die FCIA fördert die Normierung und Verbreitung der Fibre-Channel-Technik. Die Interoperabilität wurde bisher bei so genannten Plugtests, meist an der Universität von New Hampshire (UNH), oder bei Interphase in Texas getestet. Diese Arbeit wurde unter dem Namen SANmark formalisiert. In Zukunft wird es dieses Logo an geprüften Produkten geben. Die UNH hat schon umfangreiche Erfahrungen mit Kompatibilitätsprüfungen für andere Netzwerktechniken gesammelt. – Fibre Alliance: Die Fibre Alliance unter Führung von EMC will die einheitliche Verwaltung von großen Mengen gespeicherter Daten in heterogenen Umgebungen über SNIA standardisieren. Damit die Verwaltungs-Software die Komponenten erkennen und parametrieren kann, wurde die dazu nötige MIB für SANs der IETF zur Standar- www.lanline.de – – – – disierung übergeben. EMC hat bereits heterogene Komplettlösungen aus Unix-, Windows NT- und MainframeKomponenten und ihren eigenen Speichersystemen im Einsatz bei Kunden. Die Fibre Alliance und EMC unterstützen die SNIA in besonderem Maße. IEEE SSSWG: In der Standardisierungsgruppe SSSWG (Storage System Standards Working Group) des IEEE wird das HSM-Konzept (IEEE P1244.1 bis 11) seit 1990 entwickelt. Kürzlich wurden vier Standards der Reihe IEEE 1244 verabschiedet. Einzelne Teile aus den P1244-Entwürfen werden in fast allen SAN-Anwendungen eingesetzt. IETF: Die IETF arbeitet seit 1986 als eine lose selbstorganisierte Gruppe von Fachleuten an der Entwicklung und Förderung von Internet-Spezifikationen. Verschiedene Allianzen haben MIBs zur Standardisierung bei der IETF eingereicht. Eine davon ist die von der Fibre Alliance eingereichte MIB für SANs. Open Standards Fabric Initiative (OSFI): Die Hersteller von FibreChannel-Switches (FC-SW) haben diese Initiative gestartet, um FC-Switches unterschiedlicher Hersteller auf SwitchEbene kompatibel zu machen. Ein Standardisierungsvorschlag für kompatible FC-Switches wurde an das ANSI-T11-Komitee übergeben. Tachyon Tested SAN Solutions: Bei Hewlett-Packard werden in einem be- sonderen Testlabor SAN-Produkte auf ihre Kompatibilität mit Tachyon-Chips von HP (jetzt Agilent) getestet. Tachyon ist seit einigen Jahren der Name für eine Familie von Treiber-Chips von HP für Fibre-Channel-Anwendungen. – THIC: Die THIC-Organisation ist ein Diskussionsforum über Speichertechnologien und -management in Anwendungen mit extrem hohem Speicherbedarf. Die ursprüngliche Bezeichnung “Tape Head Interface Committee” beschreibt nicht mehr die heutigen Aktivitäten. – Veritas V3 SAN Initiative: Veritas hat für die eigenen Software-Produkte wie L AN line 12/2000 137 SCHWERPUNKT: STORAGE AREA NETWORKS etwa Backup Exec und “Shared Storage Option” viele Hardware-Hersteller zertifiziert. Veritas unterstützt die SNIA besonders intensiv, und derzeit sind mehrere Veritas-Mitarbeiter an führenden Stellen in der SNIA tätig. SNIA – DIE ALLIANZ DER ALLIANZEN Die SNIA wurde Ende 1997 gegründet und versteht sich als zentrale Schaltstelle für die Normierung von Managementkomponenten im SAN. Schon bestehende Normen sollen übernommen werden. Die Normierung von fehlenden Komponenten wird in bestehenden Komitees angeregt und unterstützt. Wegen der hohen Mitgliederzahl von über 160 Unternehmen dauert es besonders lange, bis Entscheidungen fallen. In den USA sind rechtliche Probleme mit Lizenzen und Patenten bei der Standardisierung immer eine langwierige Angelegenheit. Daher haben einige der Allianzen die Standardisierung von Teilaspekten für die SNIA vorangetrieben. Die SNIA fördert auch die Zusammenarbeit mit anderen Industrievereinigungen. So haben zum Beispiel die SNIA und die DMTF eine enge Zusammenarbeit zur Lösung von großen Managementproblemen in IT-Organisationen beschlossen. NUTZEN UND EMPFEHLUNGEN FÜR DEN ANWENDER Das physikalische Zu- sammenschalten der Hardware mit einer Fibre-Channel-Infrastruktur ist kein großes Problem. Das unternehmensweite Management der gesamten Daten über viele Server hinweg ist die eigentliche Aufgabe eines SAN-Systems. Der Betrieb von heterogenen Systemen aus unterschiedlichen Rechner- und Betriebssystemplattformen, Dateiformaten, Controller-, Switch- und Speichermodulen sowie der Verwaltungs-Software von unterschiedlichen Herstellern muss in standardisierter Form möglich werden. Es wird angestrebt, dass die SNIA die dazu nötige Standardisierung organisiert. Wegen der noch nicht angeschlossenen Normung ist die laufende Anpassung an die sich entwickelnden Normen der SNIA und anderer Organisationen be- 138 L AN line 12/2000 Abkürzungen ANSI ATA CAD DAFS DASD DMTF ENSA FC FCA FCA-E FCIA FCLC FC-SW HBA HPSS HSM IANA IEEE IETF IP JBOD LAN MIB NAS NASD OSFI RAID SAN SCSI SCSITA SES SNIA SSSWG TCP THIC TCP WAN American National Standards Organisation Advanced Technology Attachment Computer-Aided Design Direct Access File System Direct Access Storage Drive Distributed Management Task Force Enterprise Network Storage Architecture Fibre Channel Fibre Channel Association (jetzt FCIA) FCA (FCIA) Europe Fibre Channel Industry Association Fibre Channel Loop Community (jetzt FCIA) Fibre Channel Switch Host-Bus-Adapter High-Performance-StorageSystem Hierarchical-StorageManagement Internet Address Networking Association Institute of Electrical and Electronics Engineers Internet Engineering Task Force Internet Protocol Just a Bunch Of Disks Local Area Network Management-Information-Base Network Attached Storage NAS Device Open Standards Fabric Initiative Redudndant Array of Independent Disks Storage Area Network Small-Computer-SystemInterface SCSI Trade Association SCSI Enclosure Services Storage Networking Industry Association Storage System Standards Working Group Transmission Control Protocol Tape Head Interface Committee Transmission Control Protocol Wide Area Network sonders wichtig. Die ständige Angleichung an den entstehenden Standard bietet die größte Freiheit bei der Produktauswahl. Die Speicherindustrie müsste aus der LAN-Geschichte gelernt haben, dass die langjährigen Akzeptanzschwierigkeiten Folge mangelnder Interoperabilität waren. Daher sollte der Anwender Firmen oder Konsortien aussuchen, die direkt und aktiv an der Standardisierung bei der SNIA mitarbeiten. Dazu gehören beispielsweise Brocade, Compaq, EMC, IBM, Legato, Seagate Technology, Storagetek und Veritas. Zusätzliche Anforderungen sind hohe Verfügbarkeit und Ausfallschutz, beispielsweise über Cluster-Systeme sowie skalierbare Leistung und Kapazität. Wichtig ist auch die hohe Übertragungsrate und große Entfernung zwischen (gespiegelten) Subsystemen über den Fibre Channel, damit Sicherheit und Datensicherung unter optimalen Bedingungen gewährleistet sind. Das Ziel ist der kontinuierliche Betrieb und schnelle Zugriff auf alle Daten im Unternehmen. Die Fibre-Channel-Organisation FCIA (Zusammenschluss von FCA und FCLC) und die SNIA wollen Standards für das Speichermanagement entwickeln oder fördern. Dazu wurde im Oktober 1999 eine Vereinbarung zwischen den Organisationen geschlossen. Bei der rasanten Zunahme der Speicherkapazitäten ist es falsch zu warten, bis ein Standard verabschiedet ist oder bis sich eine der Allianzen als Sieger herausstellen könnte. Die Speicherprobleme müssen jetzt unter Beachtung der genannten Kriterien (Migration zum offenen Standard) gelöst werden. Wer die Speicherkapazität nicht ständig dem Wachstum anpasst, gefährdet das Überleben seines Unternehmens, denn gespeicherte Daten sind heute das wichtigste Kapital. Die Firmen sollten jetzt in mehr und besser zugänglichen Speicher investieren, morgen ist die Nachrüstung zu teuer oder zu spät. Hersteller, die sich konform zu der Standardisierung der SNIA verhalten und die Migration dazu zusagen können, bieten die Gewähr für zukunftssichere Lösungen. AUSBLICK Der Fibre Channel ist die Ba- sis für die Konsolidierung und den Betrieb von unternehmensweiten Datennetzen mit SAN-Architektur. Der Fibre www.lanline.de SCHWERPUNKT: STORAGE AREA NETWORKS Channel mit seiner hohen Durchsatzleistung genügt auch erhöhten Sicherheitsanforderungen. Er sichert die Datenübertragung in Hardware und erlaubt es, die Daten zeitgleich in einem entfernten Speichersystem zu duplizieren. Die Komponenten für SANs sind heute vorhanden. Die Management-Software dazu in standardisierter Form fehlt zum großen Teil noch. Bis standardisierte Produkte verfügbar sind, muss der Anwender solche Lieferanten aussuchen, die jetzt schon passende Lösungen bieten und die den Übergang zum Standard mitmachen werden. NASDs (Network Attached Storage Devices) werden als problemlose Speichererweiterung (Thin Server mit IPAdresse) im LAN eingesetzt. Der Zugriff direkt über das primäre LAN gestaltet die Installation besonders einfach. Die niedrigen Übertragungsraten im EthernetLAN und die Blockade anderer Netzdienste durch die großen Datenmengen vom und zum Speicher begrenzen die Einsatzmöglichkeiten in ausgelasteten Systemen ganz erheblich. SAN und NASD sind für unterschiedliche Einsatzschwerpunkte konzipiert. Meistens werden beide in größeren Konfigurationen eingesetzt. Direkt angeschlossene Speicherlaufwerke sind nur in Einzel- oder Kleinsystemen oder für lokale Insellösungen sinnvoll. Versastor von Compaq kann allerdings auch DASD-Laufwerke in ein SAN integrieren. Zur Verbesserung der Aus- www.lanline.de fallsicherheit sollten sie wie in SAN und NASD-Systemen als RAID-Anordnungen betrieben werden. Fibre Channel über WAN und TCP/IP ist inzwischen auch als Produkt, zum Beispiel von CNT, verfügbar. So können SANs weltweit gekoppelt werden. Das Dateisystem DAFS von Network Appliance soll neben dem Einsatz in NASKonfigurationen auch in SAN-Systemen genutzt werden. MARKTZAHLEN Ende August 2000 hat Dataquest seine Voraussage für das Wachstum im Markt für Speichernetzwerke deutlich erhöht. Die jährliche Umsatz-Wachstumsrate von 87 Prozent zwischen 1998 und 2004 lässt in 2004 einen Umsatz von sieben Milliarden Dollar erwarten. Als Zwischenergebnis wurde der früher geschätzte Umsatz in 2003 von 3,5 Milliarden Dollar auf etwas mehr als fünf Milliarden Dollar angehoben. Der Markt für SAN-Produkte soll nach Meinung des Marktforschungsunternehmens Emf Associates bei einer Steigerungsrate von 56 Prozent/Jahr von etwa 5,5 Milliarden Dollar in 1999 auf mehr als 32 Milliarden Dollar in 2003 wachsen. Die Marktforscher von IDC schätzten für den europäischen Speichermarkt in 1999 einen Umsatz von 8,4 Milliarden Dollar und 11,8 Milliarden Dollar im Jahr 2002. Die Gartner Group hat vergleichsweise etwas höhere Zahlen mit 9,6 Milliarden Dollar in 1999 und 14,2 Milliarden Dollar in 2002 ebenfalls für den europäischen Speichermarkt. Die Zuwachsrate an Speicherkapazität beträgt nach Meinung der IDC derzeit 100 Prozent/Jahr. IDC erwartet ein Marktwachstum von 14,5 Prozent in diesem Jahr von 30 auf 34,3 Milliarden Dollar für “Disk Storage Hardware”Produkte. Nach einer von IBM beauftragten Marktuntersuchung durch IDG glauben 89 Prozent der befragten Unternehmen, dass mit der SAN-Technologie die Datenzunahme leichter verwaltet und die Expansion leichter bewältigt werden kann. Die Marktzahlen zeigen deutliche Unterschiede, weil die Erhebungsmethoden und das eingeschlossene Produktportfolio erheblich voneinander abweichen. Die einzige Gemeinsamkeit ist die sehr positive Einschätzung für das zukünftige Umsatzwachstum trotz fallender Produktpreise. (Hermann Strass/mw) Hermann Strass ist Berater für neue Technologien, insbesondere für Busarchitekturen, Massenspeicher und industrielle Netzwerke, Mitglied in nationalen und internationalen Normungsgremien, in der IEEE Computer Society sowie “Technical Coordinator” der VITA in Europa. Hermann Strass schreibt Bücher, Zeitschriftenartikel und organisiert Seminare. L AN line 12/2000 139 SCHWERPUNKT: STORAGE AREA NETWORKS NACH ZEHN JAHREN RAPIDE AUFWÄRTS Fibre Channel – ein Spätzünder Der technische Fortschritt, der rapide Zuwachs der Kapazitätsanforderungen durch das Internet und der Preisverfall bei Datenspeichern hat dazu geführt, dass die in Unternehmen installierten Kapazitäten explosionsartig zunehmen. Für den Transport dieser großen Datenmengen wird ein schnelles und besonders schnell reagierendes Übertragungsmedium benötigt. Mit dem Fibre Channel ist es möglich, die Datenmengen mit bis zu 2 GBit/s schnell zu übertragen und auch entfernt liegende Ausweichrechenzentren in Echtzeit mit gespiegelten Daten zu versorgen. ls vor etwas mehr als zehn Jahren die Standardisierung begann, hieß das Projekt noch “Fiber Channel” nach amerikanischer Rechtschreibung. Es war geplant, diesen Standard auch international über ISO/IEC zu normen. Daher wurde als Geste gegenüber den Europäern die englisch/französische Schreibweise Fibre Channel gewählt. Außerdem ist die Schreibweise Fibre (Netz/Kanal) beziehungsweise Fiber (optische Faser) heute die Unterscheidung zwischen der System- A technik (Fibre) und einem der Übertragungsmedien. Fibre Channel kann ja auch mit den gleichen Geschwindigkeiten über Kupferleitungen betrieben werden. Der Begriff Channel musste gewählt werden, weil zum Beispiel Fibre Net, was die Hauptanwendung von FC beschreibt, als Projektname bei ANSI nicht genehmigungsfähig war. Das Privileg der Netzentwicklung war für die IEEE-802-Gruppe reserviert. Das entsprechende IEEE-Normungsgremium ist vom ANSI dafür ak- Im FC-AL können bis zu 126 Geräte (Rechner, Plattenlaufwerke und andere) zusammengeschlossen werden. Werden die Verbindungsleitungen (Oval in der Zeichnung) in eine Box komprimiert, dann ist dies ein Hub. 140 L AN line 12/2000 kreditiert. Die Gründer und Befürworter des Fibre Channel wollten mit voller Absicht aber keine alten Zöpfe aus dem Ethernet-Standard übernehmen. Die Anforderungen an einen speicher-zentrischen Betrieb sind grundlegend anders als die eines LAN-Betriebs. Es war damals bereits klar, dass auch eine zu definierende Variante von Ethernet grundsätzlich nicht für den vernetzten Speicherbetrieb geeignet wäre. Es gibt natürlich heute Überschneidungen, die Anforderungen bleiben aber grundsätzlich unterschiedlich. Dieser Neuanfang auf der grünen Wiese war keine Veranstaltung von Akademikern, die üblicherweise an realen Produkten nicht interessiert sind und zehn Jahre damit verbringen, um sich am Ende zu entscheiden, dass eine andere Theorie doch viel interessanter wäre. Im FC-Gremium sind bis heute nur Praktiker tätig, die alle mit SCSI, ATA (IDE/EIDE) und Ethernet Erfahrung haben. Der FC wurde entwickelt, um für den vorgesehenen Zweck ein Optimum an Leistung und Qualität mit einem Minimum an Verwaltungsaufwand zu erreichen. Der Fibre Channel war von Anfang an eine Vermittlungstechnik (Switching Technology). Die Loop-Variant FC-AL mit einem gemeinsamen Ring-Bus (Shared Medium) kam erst einige Jahre später als Billig-Variante dazu, weil es bis dahin noch keinen Bedarf an der Leistung des FC gab. In den Anfangszeiten wurden das FCGremium belächelt, weil es Switching und zentrale Steuerung für die Zukunft plante. Jeder selbsternannte Fachmann wusste damals, dass verteilte Systeme (Decentralized Control) die richtige Architektur war. Domain und Name-Server wurden als absurd abgetan. Für die Definition der Steckverbinder sollte die EIA, ebenfalls ein von ANSI akkreditiertes Normungsgremium zuständig sein. Die geplanten Anforderungen von Steckverbindern für den Fibre Channel waren aber soweit jenseits des damaligen Erfahrungshorizonts der EIA-Experten, dass diese sich nach einigen gemeinsamen Sitzungen zurückzogen. Das Steckverbinderproblem tauchte vor etwa zwei Jahren auch bei der Normung von Gigabit Ether- www.lanline.de SCHWERPUNKT: STORAGE AREA NETWORKS schen ausgereift. Sie erfüllt die Anforderungen und kann zügig weiterentwickelt werden, weil kein historischer Ballast bei jedem Entwicklungsschritt zu neuen Kompromissen zwingt. Fibre-Channel-Normenübersicht (Auszug) net (GBE) auf. Erst eine Woche vor der Verabschiedung der Kupfervariante von GBE hatte man festgestellt, dass die gängigen RJ45-Steckverbinder bei diesen Datenraten schlichtweg nicht geeignet waren. Die Verabschiedung diese Teils der Norm wurde ausgesetzt. Nach etwa einem Jahr war dann das Problem gelöst. Es ist interessant, dass niemand im GBE-Gremium auf die Idee kam, bei den ANSI-Kollegen im FC-Gremium (ANSI/T11) vorbeizuschauen. Zu dem Zeitpunkt war der FC mit Gigabit-Übertragung bereits im praktischen Einsatz. Es gab auch bereits zwei Steckverbinder-Varianten für die Übertragung mit Kupferleitungen. Die GBE-Fraktion blieb aber bei einer verbesserten RJVariante. Es werden anstatt einmal 1 GBit/s viermal 250 MBit/s über vier Drahtpaare parallel übertragen. Beim FC wird ein Gigabit auf einem Drahtpaar übertragen. Aus heutiger Sicht war es ein Vorteil, dass der FC nicht gleich um Anerkennung ringen musste als er noch im Entwicklungsstatium war. Die Technik ist inzwi- www.lanline.de ZIELSETZUNG Der Fibre Channel (FC) ist nicht durch Zufall entstanden oder aus einer propritären Firmentechnik hervorgegangen. Er wurde nach klaren Zielen entwickelt. Für die preisgünstige Verbindung von Peripheriegeräten und Rechner (Server) wird der FC-AL (Arbitrated Loop) eingesetzt. Das ist ein Ring-Bus aus aneinandergeschalteten Punkt-zu-Punkt-Verbindungen. Diese Loops oder bei höheren Datenraten auch einzelne Geräte, können über Switches wie in einer Telefonvermittlung direkt miteinander über Punkt-zu-Punkt-Strecken verbunden werden. Das Medium ist also immer gleich. Es muss nur die entsprechende Protokollvariante für die unterschiedliche Verbindungsart genutzt werden. Mehrere Switches in einem größeren Verbund bilden ein “Fabric” (Gewebe) oder “Switched Fabric” (Vermittlung). Diese Technik ist nicht wirklich neu. Telefonvermittlungen nutzen diese Verbindungstechnik schon seit Jahrzehnten. Das waren bis vor kurzem analoge Switches und Vermittlungen. Inzwischen gibt es auch “Switched Ethernet”. Infiniband (früher NGIO, dann SIO) wird derzeit als ein Switched Fabric mit einfachem Protokoll für kurze Verbindungen zwischen Servern entwickelt. Zur Erprobung wurden anfangs Myrinet-Chips nach ANSI/VITA26-Norm eingesetzt. Rapid-IO von Motorola und Mercury, mit Unterstützung durch L AN line 12/2000 141 SCHWERPUNKT: STORAGE AREA NETWORKS Bei einem Switch wird je ein Eingang mit je einem Ausgang verbunden. Jede dieser Verbindungen hat die volle Bandbreite. Cisco, Lucent, Nortel und anderen Unternehmen, wird als Switched Fabric auf einer Steckkarte und zwischen diesen, entwickelt. Rapid-IO ist eine Weiterentwicklung der parallelen Switch-Technik Raceway (ANSI/VITA 5 & VITA 5.1). An Switched PCI wird ebenfalls gearbeitet. Ein PCI-Loop (Sebring-Ring) wird seit einigen Jahren entwickelt. Anfangs wurden die vermeintlich hohen Kosten der neuen Technik kritisiert. FCHBAs oder -Laufwerke kosten etwa gleich viel wie hochwertige Parallel-SCSI-Produkte mit symmetrischer Schnittstelle (differential SCSI). An einem HBA können bis zu 16 Laufwerke oder ein ganzes FCNetz bis zu zehn Kilometer entfernt angeschlossen werden. Bei Parallel-SCSI sind es 15 Laufwerke in bis zu zwölf beziehungsweise 25 Metern Entfernung. Die Anschaffungskosten werden unbedeutend, wenn die Kapazitäten so groß sind, dass eine Bandsicherung unmöglich wird oder jeder Server mit Bandlaufwerken oder -Roboterstationen ausgerüstet werden müsste. In diesem Fall muss ein SAN mit FC ein- gerichtet werden. Bei den Verwaltungskosten, die bei größeren Systemen etwa 40 Prozent der Gesamtkosten ausmachen, ist der Unterschied besonders schwerwiegend. In einem SAN kann ein Administrator etwa die siebenfache Datenmenge verwalten im Vergleich zu Einzel-Servern mit direkt angeschlossenen Laufwerken. Damit können bei entsprechend großer Konfiguration erhebliche Personalkosten eingespart werden. TECHNIK Die Fibre-Channel-Technik ist ähnlich simpel wie die Telefontechnik aufgebaut, mit der der FC vieles gemeinsam hat. Die Anschlusselektronik (Node) ist sehr einfach ausgelegt. Jeder kann mit jedem direkt durch Zieladressierung verbunden werden. Unbekannte Adressen lassen sich bei einer zentralen Stelle erfragen. Beim FC ist die Übertragungstechnik auf der Transportebene in Hardware ausgeführt und abgesichert. Auch bei Überlast werden keine Datenpakete verworfen, es müssen keine ellenlangen Stacks abgearbeitet werden. Darüber hinaus besteht kei- Datenübertragungsraten je nach Übertragungstechnik 142 L AN line 12/2000 www.lanline.de SCHWERPUNKT: STORAGE AREA NETWORKS Der Frame ist die kleinste transportierbare Einheit auf einer FC-Verbindung ne Gefahr, dass bei Überschreiten der Anzahl der Zwischenstationen (hop count) die Datenpakete verworfen werden. Die Geräte (Nodes) sind, abgesehen von einer einzelnen Punkt-zu-Punkt-Verbindung, in einem Loop (FC-AL) oder über Schalter (Switches) verbunden. Mehrere Switches bilden ein Netzgewebe (Fabric), wobei ähnlich wie beim Telefonnetz die Vermittlungstechnik im Netz und nicht in den Endgeräten enthalten ist. In einem FCAL können bis zu 126 beliebige Geräte miteinander verbunden werden. In einem Netzsegment sind es mehr als 16 Millionen. Loops können wie einzelne Teilnehmer an ein Netz (Fabric) angeschlossen werden. Der Fibre Channel hat kein eigenes Protokoll, in das der Anwender seine Daten umwandeln muss. Die Daten werden mit ihren vorhandenen Kanal- (etwa SCSI) oder Netzprotokollen (zum Beispiel IP) übertragen. So ist der FC keine Konkurrenz oder Ablösung für SCSI, denn das SCSIProtokoll wird weiterhin für den Datenaustausch mit dem Speicher genutzt. Das parallele Transportmedium des herkömmlichen SCSI wird jedoch beim FC durch ein serielles Transportmedium ersetzt. Die FC-Architektur ist sehr einfach in fünf Ebenen gegliedert. Auf der obersten Ebene befinden sich die Kanal-, Netz- oder Multimedia-Protokolle, die der Anwender für die Übertragung einsetzt. Auf der untersten Ebene sind die verschiedenen Übertragungsmedien (zum Beispiel Kupfer, Glasfaser) und Geschwindigkeitsstufen (von derzeit 0,133 GBit/s bis 2 GBit/s), mit denen übertragen wird. Die drei Ebenen dazwischen müssen nicht alle tatsächlich vorhanden sein. Sie dienen der funktionalen Aufteilung der internen Abläufe. Die untersten drei Ebenen werden zur physikalischen Ebene (FC-PH) zusammengefasst und in Hardware-Logik ausgeführt. www.lanline.de So wird mit kurzen Reaktionszeiten (Latency) schnell und effizient bis über 95 Prozent Nutzlast übertragen. Im Ethernet liegt die Nutzrate deutlich niedriger, mit etwa 30 Prozent beim Ethernet-Bus oder etwa 60 Prozent bei Switched Ethernet. Das kann tatsächlich so direkt verglichen werden, weil beispielsweise die GigabitEthernet-Chips vom Fibre Channel übernommen wurden. Die Ineffizienz liegt beim Ethernet also im internen Protokollaufwand. Mit dem seriellen Fibre Channel können mehr Geräte (über hundert (FC-AL) bis mehrere Millionen (FC-Switch) über längere Strecken (über dutzende Kilometer) verbunden werden als mit dem parallelen SCSI-Bus. In beiden Fällen wird das SCSI-Protokoll eingesetzt. Der Fibre Channel (FC) ist das wichtigste Verbindungselement in einem SAN. Der Fibre Channel verbindet die Datenspeicher in einer Netzstruktur direkt miteinander. Diese sind also nicht mehr einzeln an einen Server fest angeschlossen sondern eigenständige direkt adressierbare Elemente in einem FC-Netz. Im Regelfall ist ein FC-AL nicht tatsächlich ein Ring aus langen Kabeln. Der Ring ist in einer kleinen Box als so genannter Hub konzentriert. An den Anschlüssen (Ports) werden dann die Geräte sternförmig über Stichkabel angeschlossen. Diese Konzentration in einen Hub erleichtert die zentrale Steuerung und erlaubt das Entfernen oder Anschließen von Geräten bei laufendem Betrieb. Am Port sorgen elektronische Überbrückungsschaltungen dafür, dass der Loop immer geschlossen, also betriebsbereit bleibt. Aufgrund der Loop-Struktur müssen sich die Teilnehmer die verfügbare Bandbreite teilen. Inzwi- L AN line 12/2000 143 SCHWERPUNKT: STORAGE AREA NETWORKS Serielle Übertragungssysteme schen gibt es auch so genannte “managed” Hubs. Je nach Hersteller sind in einem managed Hub unterschiedliche Zusatzfunktion eingebaut. So kann etwa ein Loop in mehrere kleinere unterteilt werden. FC-Switches dienen der physikalischen Kreuzverbindung, wobei die angeschlossenen Teilnehmer über ihre Ports direkt miteinander verbunden werden. Sie müssen sich das Kabel und die Bandrate nicht teilen. Alle verbundenen Paare können mit voller Datenrate übertragen. Für ein größeres Netz (Fabric) benötigen die Switches dann noch zusätzliche Funktionen, damit die Adressierung der Geräte und die Lenkung der Datenströme organisiert werden können. Loops und Switched-Fabric-Anordnungen konfigurieren sich selbst in Bezug auf Topologie, Teilnehmerart (Node Type), Adressen und Fähigkeiten der Teilnehmer. Zu den allgemeinen Diensten im Fibre Channel auf Ebene FC-3 gehören ein Name- und ein Alias-Server, ein KeyServer für die Nachrichtenverschlüsselung und die Management-Dienste (zum Beispiel Zugriffsrechte). Ein einzelner geschlossener Loop wird “private” Loop genannt. Kann über einen Port ein weiterer Loop oder Switch erreicht werden, dann ist dies ein “public” Loop. Der physikalische Anschluss (Port am Node) ist immer gleich. Die Funktionalität als private oder public Loop-Port beziehungsweise Switch- oder Fabric-Switch-Port wird durch Protokollvarianten erzeugt. Das kann zum Beispiel ladbarer Micro-Code in der Firmware des Geräts sein. Die FC-Übertragungstechnik garantiert die Übertragung aller Datenblöcke selbst 144 L AN line 12/2000 bei hoher Netzbelastung, was auch quittiert werden kann. Daten werden nur in einer Menge übertragen, wenn der nächste Empfänger in der Lage ist, diese Datenmenge zu übernehmen. Des Weiteren kann mit mehreren Protokollen gleichzeitig übertragen werden. Dazu gehören derzeit SCSI, IP, HiPPI, SBCCS (ESCON), Audio Video Fast File Transfer, Real-Time Embedded Avionics und VI. Die Art und Qualität (QoS) der Übertragung (zum Beispiel mit oder ohne Quittung) wird in Klassen eingeteilt. Bisher sind sechs Klassen definiert. NORMUNG Der Fibre Channel, SCSI und viele andere Normen werden direkt von ANSI-Gremien entwickelt. Für den FC ist das T11-Komitee zuständig. Zunächst begann die FC-Normierung als Studienauftrag und dann als formale Normung. Nach über zehn Jahren öffentlicher Normung im ANSI (siehe Tabelle FC- Funktionsvielfalt wird in den zuständigen ANSI-Normungsgremien gearbeitet. Transferraten von 2 mal 1 und 2 mal 2 GBit/s sind heute üblich. Höhere Raten bis etwa 2 mal 12 GBit/s werden untersucht. Der Fibre Channel hat bewusst kein eigenes Protokoll auf den höheren Schichten. Dort werden bewährte Protokolle wie SCSI, IP oder andere eingesetzt (Investitionsschutz). Bei Speicheranwendungen wird das seit vielen Jahren fortentwickelte SCSI-Protokoll verwendet. Somit müssen in der Anwendung und bei den Treibern keine oder nur geringfügige Änderungen vorgenommen werden. Damit sind die Protokollstandards innerhalb der SCSI-Norm auch Bestandteil der FCNormung. Die FC-Normen sind kein Schnellschuss eines großen Unternehmens der von einem Gremium aus befreundeten Firmen abgenickt wird. Beim FC wie schon bei SCSI gibt es keine dominante Firma in der Normungsarbeit. Die Mitglieder der ANSI-Gremien T10 (SCSI), T11 (FC) und T13 (ATA) treffen sich jeden Monat für eine Woche an einem anderen Ort in den USA. Zu ihrer Normungsarbeit gehören auch noch SSA (eingestellt), IPI und andere. Die anstehenden Themen werden alternierend im Zweimonatsrhythmus behandelt. Im Regelfall kommen 30 bis 50 Personen von etwa 20 Firmen zu diesen Treffen. Der Hauptteil der Gremiumsmitglieder ist in Fibre-Channel – Technische Daten Normenübersicht) und nach etwa fünf Jahren beim Einsatz in Produkten ist der FC jetzt ein stabiles Standardprodukt. An der Weiterentwicklung für höhere Übertragungsraten und der Ausweitung der allen drei Gremien tätig. Für die einschlägigen Firmen ist die Normierung also ein signifikanter Kostenfaktor aus Arbeitszeit (einschließlich interner Vor- und Nacharbeit) und Reisekosten. Dies wird jedoch www.lanline.de SCHWERPUNKT: STORAGE AREA NETWORKS Infiniband Die hohen Geschwindigkeiten bei der Datenübertragung zwischen Rechnerknoten, Rechner und Peripherie können bald nicht mehr mit Parallelverbindungen bewältigt werden. Daher wird auch dafür in Zukunft serielle Verbindungstechnik eingesetzt. Infiniband (früher SIO, noch früher NGIO) ist ein Vorschlag von Intel und weiteren Firmen für eine serielle Übertragungstechnik über kurze Strecken. Infiniband (IB) ist eine spezielle Chip-Lösung mit Host- (HCA), Target- (TCA) sowie Switching-Chips und soll für diese begrenzte Anwendung optimiert werden. Infiniband ist also kein Bus oder Netz für universelle Anwendungen. Längerfristig wird Infiniband in Server-Anwendungen den PCI-Parallel-Bus ersetzen. In der ersten Generation werden Steckkarten mit Infiniband-Schnittstellen benutzt. Für den Masseneinsatz wird später die Infiniband-Funktion direkt in die Peripherie-Chips auf der Basisplatine (Motherboard) integriert. Die Architektur von Infiniband nutzt Techniken von vielen erprobten Verbindungssystemen, wie beispielsweise Fibre Channel, Firewire, IBM-Großrechner (Sysplex 390, ESCON), Myrinet, Servernet (Tandem/Compaq) und VI. Für die Machbarkeitsstudien wurden Myrinet-Chips (ANSI/VITA 26-1998) eingesetzt. Die IB-Spezifikation wird von einigen ausgewählten Firmen (Compaq, Dell, HP, IBM, Microsoft, Sun) unter Anleitung von Intel erstellt. Für Infiniband werden auch Steckkarten entwickelt, die zu keinem bisherigen mechanischen Kartenformat kompatibel sind. Die weltweit etablierte Infrastruktur an Entwicklungs- und Produktionseinrichtungen und Fachwissen wird dagegen nicht genutzt. Infiniband-Daten sollen mit 2,5 GBit/s seriell übertragen werden. Das entspricht etwa 250 MByte/s. Es können mehrere Einzelstrecken (vier oder zwölf) parallel betrieben werden, um höhere Datenraten zu erhalten. Als Übertragungsmedien sind Kupferdraht derzeit bis etwa 17 m oder Glasfaser bis etwa 100 m vorgesehen. Eine Ablösung von Fibre Channel als Verbindungstechnik für SANs ist nicht zu erwarten. Der Fibre Channel wurde für eine viel umfangreichere Funktionalität und für erheblich längere Übertragungsstrecken entwickelt. als strategische Investition gesehen. An jeder FC-Norm arbeiten ein oder mehrere Personen als Protokollführer und ANSIAufsichtsperson (Chairperson) sowie Texteditor, leider manchmal mit unterschiedlichen Hilfsmitteln (etwa Framework, Wordperfect, Winword) mit unterschiedlichen Zeichnungsformaten aus dem CAD- oder Desktop-Bereich und unter verschiedenen Betriebssystemen. Die Übernahme der FC-PH-Normen FC-0 bis FC-3 in ein einheitliches, elektronisches Format und die Konsolidierung zu einem einheitlichen FC-3-Dokument, an der der Autor auch zeitweise mitgearbeitet hat, hat als eigenständiges Projekt neben der Normungsarbeit mehr als ein Jahr gedauert. An einem verabschiedeten ANSI-Dokument darf es keine Veränderungen geben. Daher müssen vor allem Zeichnungen oft gescannt und als Bild wieder an die gleiche Stelle im Text eingefügt werden. Die DIN-Organisation verzichtet dankenswerterweise seit einigen Jahren auf die früher übliche Zwangsübersetzung in die deutsche Sprache, zumindest bei Nor- 146 L AN line 12/2000 men für die Datenverarbeitung und Telekommunikation, soweit sie nicht hier im Original entstanden sind. Heute genügt ein nationales Vorwort mit einer Übersetzung der formalen Schlüsselbegriffe. Auf der ISO/IEC-Ebene wird fast nur noch in Englisch dokumentiert (Englisch, Französisch und Russisch sind die Amtssprachen). Russland hat schon zu Sowjetzeiten auf die Veröffentlichung in russisch verzichtet. Frankreich verzichtet neuerdings häufiger auf die französische Übersetzung. Trotz all dieser Arbeit im Hintergrund sind beispielsweise die SCSI- und FCNormen auf ANSI-Ebene immer vor oder mit den entsprechenden Produkten verabschiedet worden. Das gilt inzwischen auch für die ATA/ATAPI-Normen. Die beim Aufbau von SANs vermeintlich fehlenden Normen betreffen weder jetzt noch in Zukunft die FC-Normierung sondern die Verwaltung der unternehmensweiten Daten. Die dazu noch nötigen Normen sollten von der SNIA kommen oder in den relevanten Gremien angestoßen werden. Dort gibt es tatsächlich noch große Lücken. MARKTZAHLEN IDC erwartet weltweit für “Disk-Storage-Hardware”-Produkte ein Marktwachstum von 14,5 Prozent im Jahr von 30 Milliarden Dollar in 1999 auf 34,3 Milliarden Dollar im Jahr 2000. Die Marktforscher von IDC prognostizierten für den europäischen Speichermarkt in 1999 einen Umsatz von 8,4 Milliarden Dollar und 11,8 Milliarden Dollar im Jahr 2002. Die Gartner Group schätzt den europäischen Speichermarkt etwas höher ein mit 9,6 Milliarden Dollar in 1999 und 14,2 Milliarden Dollar in 2002. Die Speichermengen nehmen nach allgemein üblichen Schätzungen mit 60 bis 100 Prozent im Jahr zu. Bei dem üblichen Preisverfall sind die Umsatzzuwächse entsprechend geringer. Die Infrastruktur, also vorwiegend Fibre Channel, müsste noch stärker zunehmen, da diese großen Serielle Übertragungstechniken im Vergleich www.lanline.de SCHWERPUNKT: STORAGE AREA NETWORKS Abkürzungen American National Standards Institute ATA Advanced Technology Attachment ATM Asynchronous Transfer Mode CAD Computer-Aided Design C A G R Compound Annual Growth Rate DIN Deutsche Industrie-Norm EIA Electronic Industries Association EIDE Enhanced IDE E S C O N Enterprise System Connection FC Fibre Channel F C - A L FC-Arbitrated Loop F C - P H FC-Physical F C - S W FC-Switch FCIA Fibre Channel Industry Association GBE Gigabit Ethernet HBA Host Bus Adapter HCA Host Channel Adapter IB InfiniBand IDE Integrated Drive Electronics IEC International Electrotechnical Commission IEEE Institute of Electrical and Electronics Engineers IP Internet Protocol IPI Intelligent Peripheral Interface ISO International Organisation for Standardisation LAN Local Area Network N G I O Next Generation I/O QoS Quality of Service SAN Storage Area Network SCSI Small Computer System Interface SIO System I/O SNIA Storage Networking Industry Association SSA Serial Storage Architecture TCA Target Channel Adapter USB Universal Serial Bus VI Virtual Interface VITA VMEbus International Trade Association ANSI Speichermengen nicht mehr mit herkömmlichen Methoden anschließbar sind. Nach der Jahresversammlung der FCIA Ende September 2000 hat Dataquest die Schätzungen für den jährlichen Umsatzzuwachs (CAGR) mit FC-Switches von bisher 250 Prozent auf 300 Prozent erhöht. Nach dieser neuen Schätzung sollen im Jahre 2004 etwa 10 Millionen SwitchPorts und fünf Millionen FC-Schnittstel- 148 L AN line 12/2000 lenkarten (HBAs) verkauft werden. Die Umsätze mit Switches werden in 2004 auf fünf Milliarden Dollar und mit HBAs auf etwa 1,8 Milliarden Dollar geschätzt. Mit dieser guten Nachricht von Dataquest stiegen noch am gleichen Tag die Aktienkurse der betroffenen Firmen in den USA deutlich an. WEITERENTWICKLUNG Die nötigen Nor- men oder Normentwürfe für ein breites Einsatzgebiet des Fibre Channel sind ver- des beim FC, die in dieser Form bei den Ethernet-Varianten nicht gefordert wird. Dabei existieren Unterschiede bezüglich der Anforderungen. Ethernet rechnet damit, dass eine höhere Schicht im Fehlerfall eine Wiederholung der Übertragung anfordert. Der FC liefert eine gesicherte Übertragung durch seine eingebauten Fehlererkennungs- und -korrekturmechanismen. Die FCIA, als Förderorganisation mit mehr als 150 Mitgliedern, koordiniert die Die fünf Funktionsebenen des Fibre Channel. FC-0 bis FC-2 bilden die physikalische Schicht FC-PH. fügbar, davon einige in dritter Ausgabe. Jetzt, da die Speichermengen überproportional zunehmen, wird die FC-Übertragungstechnik auch tatsächlich benötigt. Die wichtigste Anwendung ist die für den Aufbau von Speichernetzwerken (SANs). Fast alle SANs werden auf Basis des FC eingerichtet und größere Unternehmen werden bald kaum noch ohne SANs arbeiten können. Die Weiterentwicklung zu 4 GBit/s oder 10 GBit/s wird derzeit untersucht. Es besteht die Möglichkeit, die für GBE-10 in Zukunft benötigten Chips auch für FC-10 einzusetzen. Bei der 1-GBit/s-Version der Chips wurde das schon einmal getan. Dazu muss die Rückwärtskompatibilität untersucht werden. Ein weiterer Unterschied zwischen FC und GBE ist die gesicherte Übertragungstechnik mit CRC-Co- Weiterentwicklung der FC-Technik. Sie initiert Normvorhaben, wenn nötig und organisiert technische Untersuchungen und Kompatibilitätsprüfungen. Die Interoperabilität von FC-Produkten in einem heterogenen SAN soll zukünftig durch das SANmark-Logo dokumentiert werden. (Hermann Strass/mw) Hermann Strass ist Berater für neue Technologien, insbesondere für Busarchitekturen, Massenspeicher und industrielle Netzwerke, Mitglied in nationalen und internationalen Normungsgremien, in der IEEE Computer Society sowie “Technical Coordinator” der VITA in Europa. Hermann Strass schreibt Bücher, Zeitschriftenartikel und organisiert Seminare. www.lanline.de SCHWERPUNKT: STORAGE AREA NETWORKS THE FIBRE CHANNEL EVENT Europäische FCKonferenz in London Der Fibre Channel (FC) als Basis für die Infrastruktur von Speichernetzwerken (SANs) ist unumstritten. Durch die rasche Verbreitung der Speichernetzwerke steigt die Zahl der FC-Installationen um weit über 100 Prozent im Jahr. Mitte Oktober fand die diesjährige europäische FC-Konferenz mit Ausstellung in London statt. Vortragende waren die führenden Persönlichkeiten in diesem Industriesegment und eine große Zahl von Anwendern mit zum Teil sehr großen, heterogenen SAN-Installationen. Besonders interessant war auch die weltweit gleichzeitige Ankündigung von 10GFC (10 Gigabit Fibre Channel) am zweiten Tag der Konferenz. ie Konferenz und die so genannten Tutorials liefen parallel in verschiedenen Räumen. Die beiden Tutorial-Vortragsreihen wurden am zweiten Tag wiederholt, die Konferenzvorträge hingegen nicht. Paul Talbut der Chairman von FCA (Fibre Channel Association) Europe eröffnete die Konferenz. Dann gab es Vorträge von Marktforschern und Analysten sowie Berichte von Anwendern über den Einsatz des FC in SANs. Der zweite Tag D Messestand auf der FC-Konferenz in London 150 L AN line 12/2000 war der “USA-Tag” mit Vorträgen der Chairmen aus den Verbänden und Komitees und ebenfalls wieder mit Anwenderberichten. An beiden Tagen gab es auch Expertenrunden mit reger Publikumsbeteiligung zu Fragen des Einsatzes in der Praxis. Skip Jones, Chairman der FCIA (Fibre Channel Industry Association und Director of Planning and Technology bei Qlogic) berichtete über die Entwicklung des FC bis heute und über die Weiterentwicklung Quelle: Angel Business Communications (Roadmap). Die derzeitige Wachstumsrate beim FC beträgt nach Meinung von Skip Jones etwa 100 Prozent/Jahr. Bei einigen spezialisierten Firmen sind es bis zu 100 Prozent im Quartal. Inzwischen sind 85 Prozent der Installationen “live”-Anwendungen. Die FC-SANs laufen also nicht im Parallelbetrieb zur Erprobung, sondern sind voll im Einsatz für das Tagesgeschäft im 24-Stunden-Betrieb. Skip Jones erklärt die explosive Verbreitung der FC- und SANTechnik damit, dass die passende Technologie für den schnell wachsenden Markt zur richtigen Zeit zur Verfügung stand. NAS und SAN werden als sich ergänzende Techniken eingesetzt, nicht in Konkurrenz zueinander. Größere NAS-Installationen verwenden intern und für Backup ein SAN, das der Anwender auf dem LAN nicht wahrnimmt. Skip Jones wies auch darauf hin, dass es neben dem gerade angekündigten 10GFC eine 4GFC-Variante mit Kupferkabeltechnik vorwiegend für Anwendungen mit Festplatten geben wird. Die Datenraten der Festplattenlaufwerke sind allerdings noch sehr niedrig. Außerdem wäre die Glasfasertechnik für das Preisniveau bei Festplatten viel zu teuer. Beide Techniken sind zueinander kompatibel. Kumar Malavalli, Chairman des ANSIKomitees NCITS/T11 (Fibre Channel) und Mitbegründer und Vice President Technology von Brocade erläuterte die Unterschiede zwischen Ethernet und Fibre Channel. Die beiden Techniken sind für völlig verschiedene Anwendungsschwerpunkte entwickelt worden. Sie werden auch in Zukunft entsprechend eingesetzt und sich nicht gegenseitig ablösen. Der FC garantiert eine sichere Datenübertragung ohne großen Verwaltungsaufwand für große Datenmengen. So können mit dem FC bis zu 128 MByte an Daten ohne CPU-Belastung mit einem Paket übertragen werden. Dazu wird nur ein Interrupt benötigt. Im Ethernet können maximal 64 KByte in einem Paket übertragen werden. Im LAN werden eher sporadisch kleinere Mengen an Daten übertragen, daher die andere Optimierung beim Ethernet. Larry Krantz, Chairman im Board of Directors der SNIA (Storage Networking Industry Association) und Senior Technolo- www.lanline.de gist bei EMC erläuterte die Rolle der SNIA als Katalysator für die Entwicklung von Normen für die Speicherverwaltung. Die SNIA ist selbst kein Normungsgremium. Sie identifiziert die Lücken in der Standardisierung und fördert dann die Normierung. Die Zusammenarbeit mit anderen Normungsgremien wird ebenfalls gefördert, unter anderem durch die Übernahme oder Anpassung von bestehenden Normen aus anderen Gremien. Das sind beispielsweise SNMP, WBEM, CIM oder HTTP. Die Anwenderberichte kamen aus verschiedene Bereichen wie etwa Finanzinstitutionen, Medizindokumentation oder Internet-Anwendungsentwicklung. Sehr häufig war die mit herkömmlichen Methoden nicht mehr mögliche Datensicherung der Auslöser für den Einsatz eines SAN. Die Kostenreduktion durch Speicherkonsolidierung wirkt sich an mehreren Stellen aus. Überzählige Kapazitäten, die bisher fest an einen bestimmten Server gebunden waren, können jetzt unmittelbar genutzt werden. Durch die Konsolidierung wird die Anzahl der Dateiduplikate oder Mehrfachkopien fast ganz eliminiert. Das ergibt enorme Mengen an plötzlich frei werdenden Speicherkapazitäten, die nicht gekauft werden müssen. In manchen Unternehmen wird mehr als die Hälfte der Speicherkapazität für Mehrfachkopien und Dateileichen benötigt. Die Anwender berichten wenig über besondere technische Probleme beim physikalischen Aufbau der Speichernetze. Be- www.lanline.de L AN line 12/2000 151 SCHWERPUNKT: STORAGE AREA NETWORKS 10GFC Bob Sibley von Halifax, einem Finanzdienstleister, erläutert, warum mehrere SANs für die heterogene Umgebung aus OS/390, Unisys, NT, Unix und AS/400-Systemen mit 2,5 TByte Speicher eingerichtet wurden. Die Erweiterung auf 14 SANs zu je 84 Server ohne Änderung oder Ergänzung der Switch-Infrastruktur ist möglich. Quelle: Angel Business Communications Ltd klagt wird aber die große Vielfalt der heute noch notwendigen Bedienungs-Software. Fast für jedes Hardware-Produkt wird eine eigene Management-Software benötigt. Interessant war, dass in größeren Firmen die psychologischen Probleme am größten waren. Durch die Speicherkonsolidierung verkleinert sich der Herrschaftsbereich eines Managers. Er besitzt plötzlich kein Jahresbudget mehr für die Speichererweiterung in seiner Abteilung. Das wird dann zentral für das SAN erledigt. Zudem führt er auch nicht länger einen abteilungseigenen Speicher- oder Netzadministrator. Geschrumpftes Budget und geringere Mitarbeiterzahl bei den Abteilungsfürsten und die neuen Abgrenzungen in den Zuständigkeiten verhindern oft ganz oder für lange Zeit die Einführung beziehungsweise optimale Nutzung von FC-SANs. NORMUNG Im Zusammenhang mit SANs wird immer wieder die vermeintlich nicht vorhandene Normung beim Fibre Channel beklagt. In den Vorträgen insbesondere auch bei den Anwendern wurde dies nicht bestätigt. Die FC-Technik ist derzeit in über mehr als 20 ANSI-Normen für alle üblichen Anwendungen spezifiziert, zum Teil schon in der fünften Generation. Die fehlende Normung betrifft die Verwaltung großer Datenmengen in heterogenen, verteilten Datennetzen. Das wäre auch so, wenn eine andere Übertragungstechnik genutzt würde. In jüngster Zeit offenbarten 152 L AN line 12/2000 sich jedoch signifikante Fortschritte bei der Spezifikation von einheitlichen Methoden und Protokollen für die Verwaltung der Daten. PRODUKTE An den Ständen wurden be- kannte Produkte demonstiert. Es gab aus Anlass der Konferenz keine wirklichen Neuheiten. Die FCA Europe zeigte das verbandseigene mobile und sehr heterogene SAN. Diese SAN-Demoeinheit ist in zwei sehr großen Schränken für die verschiedenen Server, Hubs, Switches und Speichereinheiten untergebracht. Die Anlage ist in mehrere SANs mit Kupfer- und Glasfaserverbindungen in FC-Technik miteinander verbunden. Die FCA Europe wird diese beiden Schränke auch auf der CeBIT ausstellen. Fortschritte erkennen konnte der Besucher auch bei den neueren Verwaltungsprogrammen, die alle mehr oder weniger virtualisieren. Dazu gehören beispielsweise Sansymphony von Datacore oder Sanpoint von Veritas. Alle namhaften Firmen mit FC- oder SAN-Produkten waren selbst oder über ihre englischen Distributoren als Aussteller vertreten. (Hermann Strass/mw) Hinweis: Die nächste Konferenz “The Fibre Channel Event” wird vom 6. bis 7. Juni 2001 im MECC in Maastricht in den Niederlanden abgehalten. Weitere Informationen unter www.fibrechannelevent. com Auf der europäischen FC-Konferenz in London wurde am 18.10. 2000 weltweit gleichzeitig die 10-GBit/s-Version der Fibre-Channel-Technik angekündigt. Die Vorarbeiten dazu begannen im August 1999 im zuständigen ANSI-Komitee NCITS/T11. Weitere Einzelheiten dazu müssen in den nächsten Monaten noch spezifiziert werden. Das T11-Komitee tagt regelmäßig für eine Woche im Monat, wobei etwa ein bis drei Tage für die Fibre-Channel-Normierung reserviert sind. Wie heute üblich, wird der größte Teil der Arbeit jedoch über die E-Mail-Kommunikation erledigt. Die drei Industriegruppen für die Spezifizierung von FC, 10GBE (10 Gigabit Ethernet) und Infiniband werden die gleiche physikalische Technik einsetzen. Der Anwender muss also nur eine Kabelinfrastruktur installieren. 10GFC wird auch installierte “Dark Fiber”-Verbindungen nutzen können. Damit sind DWDM- oder Sonet/SDH-Strecken direkt verwendbar. Die neue Technik ist rückwärtskompatibel mit den 1-GBit/sund 2-GBit/s-Varianten des Fibre Channel, die heute im praktischen Einsatz sind. Die Vernetzungstechnik nach ISO/IEC 11801 wird ebenfalls unterstützt. Skip Jones, Chairman der FCIA, erläuterte auf der Konferenz in London, dass mit Produkten ab 2002 zu rechnen ist. Bis dahin sollte es mit den gegenwärtigen Datenraten beim Fibre Channel keine Probleme geben. Bei der 10GFC-Variante soll der zwölffache Datendurchsatz gegenüber einer 1-GBit-Variante erreicht werden. Beim Fibre Channel kann allgemein mit etwa 95 Prozent oder mehr an Nutzdatenrate gerechnet werden. Beim Fibre Channel ist die 1-GBit/sÜbertragung schon sehr weit verbreitet. Derzeit geht etwa zwei Drittel der Produktion an Gigabit-Chips (Transmitter, Receiver, Transceiver) in FC-Anwendungen und ein Drittel in GBE-Anwendungen. Das Komitee für die Normung von GBE (Gigabit Ethernet) hatte die damals bereits für den Fibre Channel verfügbaren Übertragungschips in die GBE-Spezifikation übernommen. GBE-Produkte nutzen also die Preisvorteile aus den großen Stückzahlen beim Fibre Channel. Die jetzt vorgestellte 10GFC-Technik und der derezeit in Arbeit befindliche Normentwurf für 10GBE werden gemeinsam spezifiziert. Die Unterschiede liegen dann wie jetzt auch, im Protokoll, nach dem die Daten übertragen werden. (Hermann Strass/mw) www.lanline.de SCHWERPUNKT: STORAGE AREA NETWORKS EFFIZIENTERES MANAGEMENT Virtualisierung macht SANs offener Die Vorteile eines SAN (Storage Area Network) sind unbestritten. Höhere Durchsatzraten, eine flexiblere Verkabelung mit größeren Reichweiten und eine erweiterte Adressierung mit der Fibre-Channel-Technologie sorgen dafür, dass immer mehr Speichersysteme unabhängig von den Servern installiert werden. esonders Backup-/Recovery-Applikationen schreien aufgrund der riesigen zu sichernden Datenmengen nach den Vorteilen der neuen SAN-Infrastruktur. Die LANfree-Backup-Datensicherung verlagert den Datenverkehr vom LAN ins SAN und beschleunigt den Sicherungsprozess deutlich beziehungsweise macht diesen weiterhin überhaupt noch möglich. Die Giga Group spricht bei LANfree Backup von der ersten “SAN-Killer Applikation”. Auch die Gartner Group stuft deshalb die Bedeutung von SANs mit Bandlaufwerken (Tape Drives) und Bandbibliotheken (Automated Tape Libraries) für Datensicherungen derzeit für Kunden höher ein als Disk-basierte SAN-Lösungen. B Trotz steigender Zahl von SAN-Projekten ist auch eine allgemeine Kritik nicht zu überhören. Sie besteht hauptsächlich darin, dass Managementwerkzeuge für den Einsatz in einer heterogenen Speicherinfrastruktur fehlen und ihre Entwicklung zu lange auf sich warten lässt. Einer der großen Vorteile des SAN ist die Senkung der Managementkosten in der Speicherumgebung. Dies lässt sich aber nur verwirklichen, wenn die Unternehmen in der Lage sind, mit intelligenten Techniken die gesamte heterogene Server- und Speicherlandschaft einzubinden und gleichzeitig einen einheitlichen Blick auf die Ressourcen zu gewinnen. Bei diesem Ziel spielt die neue zukunftsträchtige Technik der Virtualisierung die entscheidende Rolle. Mit Virtualisierung wird ein SAN flexibler, intelligenter und vor allem offener aufgebaut und verwaltet. Heutige SANs sind in der Tat vielfach homogen aufgebaut. Verschiedene Server, Applikationen und Speichersysteme setzen auf eigenen SAN- und Storage-Management-Werkzeugen auf, die untereinander nicht kompatibel sind und nicht die gleichen Ressourcen verwalten können. Jede SAN-Applikation nutzt ihren eigenen Storage-Pool. Weitere Management- und Kostenvorteile ergeben sich aber erst durch die Implementierung einer gemeinsam nutzbaren Speicherinfrastruktur. Der Kunde bräuchte anstelle von mehreren Disk oder Tape-Pools nur noch einen ver- walten und könnte durch weiteres Ressoucen-Sharing die Anzahl der benötigten Speichersysteme minimieren. Mit Hilfe von Enterprise-SAN-Lösungen, basierend auf virtuellen Techniken, können diese Vorteile nun erzielt werden. ENTERPRISE SAN UND VIRTUALISIERUNG Storagetek versteht unter Enterpri- se SAN eine hochleistungsfähige und intelligente Infrastruktur für Any-to-AnyVerbindungen zwischen heterogenen Servern, Applikationen und Disk- und TapeSpeichersystemen. Über die gleiche Infrastruktur werden sowohl Open-SystemsServer mit Fibre Channel als auch Mainframes mit Escon-Schnittstellen unterstützt. Virtualisierung ist eine Technik, die der Server-Applikation und der Storage-Management-Software einen logischen (virtuellen) Blick auf die Speicherressourcen im SAN ermöglicht. Dies ist die Grundlage für Offenheit, Skalierbarkeit und Verfügbarkeit. Die logischen oder virtuellen Laufwerke verweisen dynamisch auf physikalische (reale) Laufwerke und erlauben eine flexible Erweiterung der gesamten SAN-Umgebung. Das SAN wird erweitert, ohne dass die Server aufwändig umkonfiguriert werden. Intelligente Funktionen innerhalb der Virtual-SAN-Services kontrollieren den geordneten Zugriff auf die Ressourcen und garantieren ständig die Datenintegrität. SAN-MANAGEMENT 154 L AN line 12/2000 SAN-basierendes heterogenes Tape-Drive-Pooling www.lanline.de SCHWERPUNKT: STORAGE AREA NETWORKS Diese Technik ist nicht gänzlich neu, sondern wird schon seit Jahren im Mainframe-Bereich erfolgreich eingesetzt. Storagetek ist hier mit dem VSM (Virtual-Storage-Manager) und dem SVADisk-System (Shared Virtual Array) seit langem ein Vorreiter der virtuellen Technik. Nun steht diese Technik der Virtualisierung auch für das SAN-Management zur Verfügung. gert. Bei Störungen von Speichersystemen werden aufgrund des dynamischen Mappings den Servern automatisch andere Laufwerke aus dem Pool bereitgestellt. – Investitionsschutz: Virtuelle und physikalische Laufwerke können von unterschiedlichem Typ sein. Dies erlaubt die sinken die Administrations- und die Managementkosten des Storage Area Networks. Storagetek hat im November 1998 seine Vista-Architektur zum Aufbau von offenen, intelligenten und integrierten Speicherlösungen vorgestellt. Vista steht für Virtual Intelligent Storage Architecture VORTEILE DER VIRTUELLEN TECHNIK Die Vorteile der virtuellen Technik sollen anhand der nachfolgend beschriebenen Anwendung des heterogenen Tape-DrivePoolings über das SAN verdeutlicht werden. Hier sind unterschiedliche ServerGruppen mit jeweils eigenen Backupoder HSM-Applikationen mittels Fibre Channel über ein intelligentes Enterprise SAN-System an eine Tape-Library angeschlossen. Die Bandlaufwerke der Library sind nicht mehr länger dediziert den einzelnen Servern zugeordnet, sondern stehen allen zur Verfügung. Im intelligenten SAN-System werden den Server-Applikationen virtuelle Bandlaufwerke bereitgestellt, die dynamisch auf geeignete freie physikalische Laufwerke in der Tape-Library verweisen. Die Vorteile der virtuellen SAN-Lösung gegenüber den bisherigen Möglichkeiten umfasst auch die folgenden Punkte: – Speicherkonsolidierung und zentrales Management: Eine große Anzahl von heterogenen Servern mit verschiedenen Applikationen nutzt einen gemeinsamen Storage-Pool. Ein einfaches zentrales Management wird bereitgestellt. Der Kunde benötigt weniger Laufwerke als bei isolierten applikationsbezogenen Speicher-Pools und senkt die Kosten der Hardware-Investitionen. – Völlige Transparenz für Anwendungen: Die Lösung stellt sich für die Server und Applikationen völlig transparent dar. Keine Änderungen und Anpassungen der Server sind bei der Implementierung und bei einer nachträglichen Erweiterung der Speicherinfrastruktur mehr notwendig. – Steigerung der Ausfallsicherheit: Die Ausfallsicherheit wird erheblich gestei- 156 L AN line 12/2000 Die Vista-Architektur im Enterprise SAN gemeinsame Nutzung einer bevorzugten Speichertechnologie über das gesamte Unternehmen hinweg, auch wenn bestimmte Server hierfür überhaupt keine Treiber oder andere Software aufweisen. Die virtuellen Techniken ermöglichen über die EnterpriseSAN-Plattform auch die Integration und Unterstützung von Escon-Schnittstellen für Großrechner. Open-Systems-Server, die nicht über diese Zugriffsmethoden verfügen, sind somit in der Lage, dennoch diese Speicherressourcen zu nutzen. Umgekehrt erhalten Großrechner Zugriff auf über Fibre Channel angeschlossene Speichersysteme. Die Investitionen des Anwenders werden verstärkt und langfristig geschützt. Alle genannten Vorteile führen zu einem verbesserten und effizienteren Management im SAN. Die Flexibilität der SAN-Implementierung und die Skalierbarkeit der Infrastruktur steigen bei maximalem Investitionsschutz. Gleichzeitig und beschreibt gemäß den SNIA-Empfehlungen ein Sechsschichtenmodell zum Aufbau von offenen Speicherlösungen. Virtualisierung und Intelligenz sind die beiden wichtigsten Kernelemente und deshalb schon im Namen der Architektur Vista fest verankert. Die Intelligenz in Storageteks Vista-Architektur befindet sich im SAN. Hier garantiert die Virtualisierung die Offenheit für Server und Speichersysteme. Der Kunde wählt seine bevorzugten Komponenten zum Aufbau eines unternehmensweiten Speichernetzwerks. Er ist nun in der Lage, ein wirkliches Enterprise SAN über sein gesamtes Unternehmen zu implementieren. Die ersten Lösungen, basierend auf Virtualisierung, stehen zur Verfügung. Der sich rasant entwickelnde Speichermarkt wird weitere Anforderungen definieren und kurzfristig deren Verfügbarkeit fordern. (Frank Bunn/mw) Frank Bunn ist Product Marketing Manager für SAN-Lösungen bei Storagetek) www.lanline.de SCHWERPUNKT: STORAGE AREA NETWORKS INTEGRIERTE SPEICHERLÖSUNGEN Technologische Betrachtung von SANs Die zur Zeit alles beherrschende Strategie ist die Integration eines Netzwerkmodells in die Speicherumgebungen. Dieses ”Storage Area Network” (SAN) bildet die Grundlage für den Aufbau stabiler und skalierbarer Speicherumgebungen, die den Anforderungen an Verfügbarkeit und Performance heutiger Systemumgebungen entsprechen können. Als Standardtechnologie für die Realisierung der Verbindungen der Speichereinheiten soll Fibre Channel (FC) für die Kommunikation von Servern und Speichereinheiten bevorzugt optimiert werden. ür die Beschreibung der Konzepte und Möglichkeiten von Speichernetzwerken wird eine eigenständige Terminologie verwendet, die ursprünglich mehr Verwirrung als Klarheit erzeugte. Die Begriffe NAS (Network Attached Storage) und SAN (Storage Area Networks) sind als unterschiedliche Annäherungen an das Thema Speichernetzwerke zu betrachten. Mit NAS wird eine Technologie beschrieben, bei der integrierte Speichersysteme an ein Kommunikationsnetzwerk angeschlossen sind, zum Beispiel auf der TCP/IP-Protokollbasis. NAS-Produkte arbeiten als Server in einer Client-/Server-Beziehung und arbeiten Datei-I/O-Protokolle wie NFS ab, um den Datentransfer mit den Clients zu realisieren. Sie sind im Wesentlichen Disk-Arrays, die um ein Mikro-Kernel-Betriebssystem organisiert sind, das für Speicheroperationen und NetzwerkFilesystem-Emulationen optimiert ist. NAS-Komponenten werden direkt in das Netzwerk installiert, in der Regel “Plugand-Play”. Der Begriff SAN beschreibt eine Technologie, die den direkten Anschluss von Speichereinheiten an eine gemeinsame Netzwerkstruktur unterstützt. SAN-Produkte agieren nicht als Server. Sie verarbeiten primär Block-I/O-Protokolle wie SCSI für andere Systeme, beispielsweise F 158 L AN line 12/2000 zwischen Server und Speichereinheit. Der Begriff SAN impliziert ein dediziertes Netzwerk, das als I/O-Kanal zwischen Servern und Speichereinheiten dient. Ein SAN beschränkt sich allerdings nicht ausschließlich auf Block-I/O-Protokolle, sondern kann je nach Design auch dateiorientierte Speicherprodukte, zum Beispiel NAS-Produkte, beinhalten. Hersteller und Analysten sind sich darüber einig, dass die Entwicklung zum Open Storage Area Network ein nicht aufzuhaltender Trend im IT-Business ist. Am Ende des Entwicklungsprozesses werden SANs stehen, die Hochgeschwindigkeitsverbindungen zwischen allen Server-Plattformen, unabhängig vom jeweiligen Betriebssystem und allen Speicher-Ressourcen, realisieren können und als “Virtual Storage Pools” kontrollierten Zugriff auf Applikationen und Benutzerdaten erlauben. Der Einsatz von Fibre Channel bedeutet für das IT-Personal die Notwendigkeit, weiteres Know-how aufzubauen und erfordert zusätzliche oder neuartige Verkabelungsstrukturen sowie zusätzliche Netzwerkkomponenten. Darüber hinaus muss ein zweites Netzwerk – typischerweise Gigabit Ethernet – für das Out-of-BandManagement der Knoten eingerichtet werden. Fibre Channel bietet noch keine InBand-Management-Möglichkeiten, die für andere Netze und Verbindungsprotokolle ebenso zur Verfügung stehen. Auch wenn sich IT-Manager darum bemühen, die Vielfalt der eingesetzten Protokolle in ihren Infrastrukturen zu reduzieren, bleibt ihnen hier jedoch nichts anderes übrig als sich mit der neuen Technologie auseinander zusetzen. Um wirkungsvolle Speicher-Designs zu realisieren, muss man die Protokollstruktur verstehen und die wesentlichen Eigenschaften mit bestehenden LAN-Protokollen vergleichen können. Alle SAN-Netzwerkkomponenten lassen sich prinzipiell dazu verwenden, be- NAS-Komponenten werden direkt in das Netzwerk installiert www.lanline.de SCHWERPUNKT: STORAGE AREA NETWORKS kannte Netzwerkarchitekturen zu realisieren, von einfachsten lokalen Strukturen bis hin zu komplexen hierarchischen Designs. Die wesentlichen Eigenschaften von Storage-Netzwerken sind einerseits durch die zugrundeliegende Netzwerktechnologie und zum anderen durch die realisierten Speicherfunktionen beziehungsweise Applikationen bestimmt, beispielsweise Shared Storage, Datenspiegelung, Storage Pooling, Remote Storage, Backup, Disaster Recovery, Datenreplikation oder Daten-Volume-Management. Während Fibre Channel als potenzielles SAN-Netzwerkmedium entdeckt wurde, ist es eigentlich immer noch zu früh, Fibre Channel oder irgendein anderes Protokoll als De-facto-Standard zu bezeichnen. Fibre Channel, ein robustes serielles Interface mit einer nominellen Datentransferrate von 1 GBit/s, ist als ideales Verbindungselement für SAN erkoren worden. Obwohl Fibre Channel und SAN-Architekturen die www.lanline.de allgemeine Aufmerksamkeit nahezu zur gleichen Zeit auf sich zogen, sind beide Technologien weder synonym noch untrennbar. Tatsächlich kann im Prinzip jedes Netzwerk-Interface, das mit ausreichenden I/O-Transferraten arbeitet – von Gigabit Ethernet, ATM oder Sonet bis hin zu HIPPI – als adäquates Verbindungsmedium dienen. Zur Unterscheidung der wesentlichen Merkmale der verwendeten Netzwerktechnologie muss man sich vor Augen halten, dass sich die Anforderungen, die an Synergy Consult Synergy Consult, Wiesbaden, ist in der IT- und Telekommunikation beratend tätig. Der Fokus liegt auf der herstellerunabhängigen und kundenindividuellen Beratung. Weitere Informationen finden sich unter www.synergy-consult.de. Speichersysteme gestellt werden, von Anforderungen an Client-/Server-Systeme grundlegend unterscheiden. Bei IP-Netzwerken, beispielsweise auf Ethernet, liegt die Kontrolle für gesicherte Kommunikationen in der Transportschicht auf einer Software-Ebene. Im Gegensatz dazu realisiert der “FC ANSI X3 physical and signaling Standard” die gesicherte Datenübertragung. In FC-Komponenten wie HostBus-Adapter – HBAs, Switches und Hubs wird der Verlust von Rahmen bei der Übertragung nicht toleriert. Im FC wird eine kontrollierte Umgebung für unterbrechungsfreien Datenzugriff realisiert, die auf Kontrollmechanismen wie Fehlererkennung optimiert ist und auf HardwareEbene und nicht durch höhere Protokollschichten wie beispielsweise in IP verwaltet werden. Die kleinsten Einheiten im FC sind Frames mit einer Größe von 2112 Byte. Es sind Hardware-basierende Vorkehrungen L AN line 12/2000 159 SCHWERPUNKT: STORAGE AREA NETWORKS Der Begriff SAN impliziert ein dediziertes Netzwerk, das als I/O-Kanal zwischen Servern und Speichereinheiten fungiert im FC-Standard enthalten, die es ermöglichen, bis zu 65536 Frames in einer Sequenz zu verknüpfen. Der Aspekt des Sequencing ermöglicht Blocktransfers bis zu 128 MByte/s. Sequenzen ähneln den Paketen im Netzwerk. Fehlererkennung und -behebung sind im FC Funktionen der Hardware beziehungsweise Firmware. An der Eignung des FC-Protokolls besteht kein wirklicher Zweifel. Betrachtet man allerdings die Trends in der Entwicklung der Speichertechnologie und vergleicht sie mit den Entwicklungen in der Technologie für Corporate Networks, bleibt die Frage, wieso ein neues Transportprotokoll eingeführt werden muss. So gibt es doch Lösungsmöglichkeiten auf der Basis vertrauter Ethernet/IP-Netzwerke. Es ist daher keine Überraschung, dass verschiedene Hersteller dabei sind, GigabitEthernet-basierende SAN-Unterstützung in ihren Switches zu implementieren. WER PLANT UND ADMINISTRIERT DAS SAN? Inzwischen hat sich das Thema SAN zu den meisten Verantwortlichen einen 160 L AN line 12/2000 Weg gebahnt, zumindest zu all jenen, die sich mit einer Speicherproblematik konfrontiert sehen. Dass noch Schwierigkeiten bestehen, die Technologie einzuordnen, zeigt sich interessanterweise auch bei der Zuweisung der Verantwortlichkeiten innerhalb größerer Organisationen. Ist SAN ein Netzwerkthema oder eine Aufgabe für die Server-Administration? Die Unsicherheit bei der Integration der Themen in bestehende Organisationsstrukturen zeigt, wie weit die angekündigte Technologie von ihrem selbstbestimmten Ziel, dem “Open SAN” noch entfernt ist und dass die strikte Trennung von Netzwerkern und Server-Administratoren als IT-Organisationsform nicht erst jetzt überdacht werden muss. Die Verwirklichung des Open SAN erfordert noch einige Arbeit. Die Storage Network Industry Association (SNIA) und viele Analysten rechnen mit einem Zeitraum von fünf bis zehn Jahren. Hier liegt das Dilemma heutiger IT-Manager. In vielen Unternehmen wächst das Datenvolumen jährlich um nahezu 100 Prozent. Her- kömmliche Verfahren der Speichererweiterung (Implementierung neuer Server mit angeschlossenen Speichereinheiten, Installation von Stand-alone RAID- oder JBOD-Einheiten [just a bunch of disks] etc.) stellen nur kurzfristige und teure Lösungen für das Speicherproblem dar. Darüber hinaus nimmt die Komplexität der Systemumgebung zu und erhöht die Gesamtkosten für die Verwaltung des Systems. Sicher gibt es viele Produkte auf dem heutigen Markt, die von ihren Herstellern als Storage Area Networks angeboten werden. Manche davon sind schlicht “shared arrays”, die zu SANs “umgestaltet” wurden, um aus der Popularität des SAN-Konzepts Kapital schlagen zu können. In anderen Fällen besitzen die Produkte einige SAN-ähnliche Eigenschaften, sind aber signifikant eingeschränkt: In so genannten homogenen SANs kann nur ein Betriebssystem eingesetzt werden, oder es können nur Komponenten bestimmter Hersteller verwendet werden, was letztendlich auf eine proprietäre SAN-Lösung hinausläuft. Wieder andere Hersteller nennen ihr Produkt “SAN-ready”, wenn man es an einen Fibre-Channel-Loop oder eine Switch-Fabric anschließen kann. SAN VERSUS NAS Die momentane Situa- tion stellt die verantwortlichen IT-Manager vor eine schwierige Entscheidung. Die Notwendigkeit die Kosten für die Datenverwaltung zu reduzieren und gleichzeitig höheren Anforderungen an Performanz und Management zu genügen, ist derzeit eines der dringendsten Probleme. Wie kann man heute den Speicheranforderungen gerecht werden, ohne auf teure Upgrades in der Zukunft aufzulaufen? Die Kunden sitzen in der Zwickmühle – sie müssen ihre speicherrelevanten Probleme ertragen und gleichzeitig darauf warten, dass sich das Potenzial der SAN-Technologie vollständig entfaltet hat. Diejenigen, die nicht warten können, sind gezwungen, heute verfügbare Lösungen einzukaufen und alle Nachteile einer nicht vollständig entwickelten Technologie in Kauf zu nehmen. Hierbei entsteht im Vorfeld der Entscheidungsphase Beratungsbe- www.lanline.de SCHWERPUNKT: STORAGE AREA NETWORKS darf, der den Anforderungen an die Marktund Entwicklungssituation gerecht werden muss. Ungeachtet des vorherrschenden Optimismus hinsichtlich der zukünftigen Entwicklung der Speichertechnologien müssen bestehende Probleme heute gelöst werden. Ein Weg, den manche gehen, besteht im Einsatz von Network-Attached-Storage-(NAS-)Lösungen. NAS-Produkte haben ihre technologischen Stärken genau dort, wo heutige SANs noch Schwächen zeigen – sie nutzen die Vorteile der Ethernet-Netze und können über In-Bound-Management mittels SNMP überwacht werden. Das Fehlen des In-Bound-Managements bei SANs wurde von der SNIA als entscheidender Aspekt im Ringen um die Akzeptanz der FibreChannel-Technologie benannt. NAS und SAN stellen auch unterschiedliche Ansätze hinsichtlich ihrer Netzwerkarchitektur dar. Strategisch baut NAS auf www.lanline.de ein dezentrales Speicherkonzept, während ein SAN ein zentralisierter Ansatz ist. NAS-Komponenten zeigen sich dann nachteilig, wenn der Zugriff auf die Speicher-Ressourcen über die lokalen Subnetzgrenzen hinweg erfolgt. Bei der Empfindlichkeit des I/O-Datenstroms gegenüber Latenzzeiten werden besondere QoS(Quality of Service-)Garantien benötigt, um NAS-Datentransfers in einer solchen Situation zu gewährleisten. Je größer die Zahl der I/O-Requests über die Netzgrenzen hinaus ist, desto mehr Bandbreite wird im produktiven LAN benötigt, was andere Applikationen einschränken kann. Dieses ist ein Aspekt, der von einem SAN überwunden wird. SAN-Lösungen limitieren den Einfluss der I/O-Operationen auf das LAN, da die Speicher-Ressourcen in einem separaten Netzwerk organisiert werden. NAS ist eine kurzfristige Lösung für bestimmte Speicherprobleme mit potenziell langfristigen Konsequenzen. Jeder, der NAS-Technologien einsetzt, richtet sich eine zunehmend dezentrale Infrastruktur seiner Speicher ein und erhöht damit die Kosten des Systemmanagements. Auf der anderen Seite zeigt NAS die Vorteile der Netzwerkspeicherlösungen auf, die bekannte Protokolle (IP etc.) einsetzt. Die nächsten Jahre werden sicherlich einige Mischungen unterschiedlicher Speicherkonfigurationen und -topologien in den IT-Infrastrukturen zeigen. Für jeden verantwortlichen Planer wird es darauf ankommen, eine Lösung seiner individuellen Speicheranforderungen zu erarbeiten, die im derzeitigen Entwicklungsstadium sowohl dem Bedarf entspricht als auch den zukünftigen Technologien die Möglichkeit zur Integration bietet. Die Herausforderung des Speichermanagements wird in erster Linie der Umgang mit der Vielfalt der Protokolle, der Verbindungen und der Schnittstellen für den Zugriff auf die Speicher-Ressourcen sein. Nicht je- L AN line 12/2000 161 SCHWERPUNKT: STORAGE AREA NETWORKS des Speicherproblem erfordert ein SAN, allerdings ist mit den SANs eine strategische Technologie verbunden, die es erlauben wird, Speicher-Ressourcen effizienter zu nutzen. Jede Entscheidung erfordert es heute, die notwendigen Schritte einzuleiten, die der strategischen Bedeutung der Technologie Rechnung tragen, und Komponenten und Konzepte zu wählen, die sich für die Verwendung eines zentral verwalteten SANs anbieten. In dieser Situation benötigen Entscheider Lösungen, die ren Speichernetzen steht derzeit oft der konkrete Bedarf an Backup-Lösungen und Hochverfügbarkeitssystemen. Das beschränkt sich keinesfalls auf die vielzitierten Bereiche Internet und E-Commerce. Die herkömmlichen Datensicherungsstrategien erfordern mit wachsenden Datenmengen einen immer höheren Aufwand. Wer es heute noch schafft, seine Datenbestände zu sichern, hält meistens bei der Frage nach dem Aufwand für die Systemwiederherstellung im Disaster-Fall die Fibre Channel über ein ATM-WAN zählt heute zu den State-of-the-art-Lösungen Speicherprodukte einsetzen, welche sowohl die bestehenden Probleme lösen als auch den kommenden Speicheranforderungen entsprechen können. Dabei müssen die Produkte die Flexibilität aufweisen, sich in die sich noch entwickelnden SAN-Architekturen eingliedern zu lassen, unabhängig davon, welches Netzwerkprotokoll sich letztlich durchsetzen wird. SAN-/NAS-DESIGNS Der derzeit unausgereifte Entwicklungsstand der SAN-Technologie führt dazu, dass Designs für Speicherlösungen im Wesentlichen von strategischen Aspekten bestimmt werden. Der Einstieg in diese Technologie wird hierbei vorrangig von den akuten Speicherproblemen gesteuert. Hinter den Anforderungen nach effizient verwaltbaren und skalierba- 162 L AN line 12/2000 Luft an. Für manches Disaster-RecoveryManagement kommen die angebotenen Lösungen fast schon zu spät. In vielen Fällen kann auf das Erreichen des Open SANs nicht gewartet werden. Damit hängen die notwendigen Designs heute noch von den spezifischen Problemen der einzelnen Systemumgebungen und strategischen Perspektiven ab. Interoperabilität versprechen Hersteller nur innerhalb ihrer eigenen Lösungen und die Kompatibilität zu künftigen Standards kann nicht garantiert werden. Somit werden Speicherlösungen in den kommenden Jahren nicht allein Mischungen aus NAS- und SAN-Produkten sein, sondern spezifische problem- und systemorientierte Designs aufweisen, die in Ermangelung allgemeiner Designrichtlinien immer proprietären Charakter haben wer- den. Neben den etablierten Playern wie EMC und Hitachi, IBM, HP, Compaq oder Dell sind auch Initiativen ins Leben gerufen worden von Herstellern wie Cisco, Foundry, Amdahl, Legato, Network Appliance und Veritas, die sich an der Entwicklung einer offenen Speichernetzarchitektur beteiligen. Nicht alle Gruppierungen ziehen erwartungsgemäß am selben Strang. Die OSN (Open Storage Networking) bietet alternative Wege zu EMCs Fibre Channel Alliance und Compaqs ENSA, oder der IBTA (Infiniband Trade Association) einem Zusammenschluss von Compaq, Dell, HP, IBM, Microsoft und Sun an. Für die OSN geht es beispielsweise um den Einsatz von bestehenden Standards aus dem GigabitEthernet-Umfeld zur Anbindung von Speicherkomponenten. Durch den Einsatz von Technologien wie Fibre Channel, Gigabit Ethernet, ATM und DWDM (Dense Wavelength Division Multiplexing) sollen integrale Lösungen für jedes Netzwerkdesign (LAN, MAN, WAN) geschaffen werden. Um das eigentliche Ziel zu erreichen, sind viele Aktivitäten zu erkennen, wodurch die Transparenz nicht unbedingt erhöht wird. Technologien für die Lösung bestehender Speicherprobleme sind verfügbar. Wie die Migrationswege zu den kommenden Standards zu definieren sind, hängt von den jeweils akzeptierten Lösungen ab. Beratungsunternehmen, die sich heute diesem Markt verschreiben, sind wie immer in solchen Situationen dann wertvolle Partner, wenn sie sich herstellerunabhängig und kompetent präsentieren und damit in der Lage sind, die notwendigen Designs an die schwierige Situation ihrer Kunden und deren strategische Ziele anzupassen. So kann man sich auch getrost der noch spärlichen Literatur zu diesem Thema widmen und Designvarianten studieren, um sich mit den allgemeinen Grundlagen zu beschäftigen – die eigentlichen Problemlösungen bleiben derzeit planungs- und beratungsintensiv. (Christoph Gossel, Senior Consultant und Thomas Kohl, Geschäftsführer Synergy Consult/mw) www.lanline.de SCHWERPUNKT: STORAGE AREA NETWORKS OPTIMALE SAN-CONNECTIVITY FC-Directoren oder FC-Switches? Die Vorteile eines SANs können erst mit dem Fibre Channel richtig genutzt werden. Für den Aufbau einer hochverfügbaren, skalierbaren SAN-Fabric auf Fibre-Channel-Basis gibt es zwei Möglichkeiten: Fibre Channel Directoren und Fibre Channel Switches. Directoren sind im Prinzip Switches mit hoher Port-Kapazität und umfangreichen Hochverfügbarkeits-Features wie sie beispielsweise auch für eine MainframeUmgebung gefordert werden (Fehlertoleranz, ohne Single Point of Failure). Die zweite Möglichkeit sind mehrere vermaschte, miteinander zu einer Fabric verbundene Switches. ie Entscheidung, welche Lösung im jeweiligen Fall die Beste ist, hängt ab von den finanziellen Risiken, die ein Ausfall verursachen kann, eventuellen Service Level Agreements (SLAs), der geforderten Skalierbarkeit und der Anzahl der erforderlichen Device-Anschlüsse. Die Skalierbarkeit ist entscheidend dafür, in wieweit die SAN Fabric unter Wahrung der bestehenden Investitionen erweitert werden kann. Fibre Channel Directoren können zur Zeit von acht auf bis zu 64 Ports ausgebaut werden und haben eine Latenzzeit von weniger als 0,6 µs. D Fibre Channel Switches hingegen gibt es derzeit nur in 8- und 16-Port-Konfigurationen. Um mit Switches dieselbe hohe Anzahl von hochverfügbaren, nonblocking Ports wie bei einem Director mit 64 Ports zu erzielen, müssen mindestens neun 16-Port-Switches miteinander verbunden werden, wobei jeweils acht Ports für die Verbindung (Inter Switch Link Ports, ISL) benötigt werden. Damit steht aber nicht die volle Bandbreite zwischen den Switches zur Verfügung. Um nun dieselbe geringe Latenzzeit und denselben Durchsatz zu erreichen, sind ins- Hochverfügbares SAN mit Fibre Channel Directoren 164 L AN line 12/2000 gesamt zwölf 16-Port-Switches erforderlich. Vier weitere Switches werden nämlich als Interconnect-Switches zwischen den anderen acht Switches benötigt. Bei bis zu 32 Ports gibt es hinsichtlich der Skalierbarkeit also keine großen Unterschiede zwischen Fibre Channel Switches und Directoren. Bei mehr als 32 Ports jedoch wird durch die steigende Anzahl der Switches das Management der Switches zunehmend komplizierter, während bei Fibre Channel Directoren auch mit steigender Port-Anzahl nur ein Gerät gemanagt werden muss. Die Komplexitätsbetrachtung ist wichtig, um den Arbeitsaufwand für Installation, Management und Troubleshooting im Vorfeld abwägen zu können. Angesichts des Fachkräftemangels darf dieser Aspekt keineswegs unterschätzt werden. Bei Fibre Channel Directoren muss nur ein einziges System installiert, konfiguriert und gemanagt werden. Selbst wenn mehrere Geräte miteinander zu einer Fabric verbunden werden, erscheint die gesamte Fabric wie ein einzelnes Gerät. Die Port-Anzahl kann ganz einfach durch Installation weiterer Port-Module bei laufendem Betrieb erhöht werden. Fibre Channel Switches können ebenfalls wie eine einzelne Fabric installiert, konfiguriert und gemanagt werden. Um jedoch dieselbe Port-Anzahl zu erreichen, ist eine erheblich höhere Anzahl von Geräten notwendig. Bei Switches ist es extrem wichtig, eine spätere Erweiterung bereits bei der Planung zu berücksichtigen, an- Hochverfügbares SAN mit Fibre Channel Switches www.lanline.de SCHWERPUNKT: STORAGE AREA NETWORKS dernfalls muss unter Umständen das gesamte System für eine Erweiterung heruntergefahren werden. Die Investitionskosten sind immer ein wichtiger Faktor. Dabei müssen nicht nur die Anschaffungskosten wie Kaufpreis und Installationskosten sondern insbesondere auch die laufenden Kosten für Wartung, Erweiterungen, Änderungen, Troubleshooting sowie die Personalkosten für diese laufenden Arbeiten betrachtet werden. Die Anschaffungskosten sind bei Switch Fabrics klar niedriger als bei Directoren. Bei den laufenden Investitionskosten und Personalkosten haben jedoch die Directoren die Nase vorn. Mit zunehmender Komplexität der Umgebung und wachsender Port-Anzahl steigt dieser Unterschied bei den laufenden Kosten zugunsten der Directoren überproportional an. Die Verbindungsqualität (Quality of Connection, QoC) wurde von der Strategic Research Corporation eingeführt, um zu bestimmen, wie die SAN-Topologie sowohl unter normalen als auch unter widrigen Bedingungen arbeitet und inwieweit die Bandbreite bei steigender Anzahl der Verbindungen skalierbar ist. Die QoC basiert auf der Quality of Service und überträgt praktisch deren Grundsätze analog auf die SAN-Netzwerkstruktur. Für die Bewertung der QoC werden neben den unterschiedlichen Architekturen, den möglichen Gründen für Ausfälle und Performance-Einbußen, vor allem die Verfügbarkeit der Verbindungen und die Skalierbarkeit der Bandbreite in Betracht gezogen. Die Verfügbarkeit der Verbindungen wird definiert als die Zeitdauer, in der eine Anwendung Zugriff auf Daten über das SAN pro Jahr hat und wird in Prozent angegeben. Zwischen allen Servern, die an einer bestimmten Anwendung und deren Datenspeicherung beteiligt sind, muss mindestens ein Pfad funktionieren. Die sogenannten Path-Minutes beschreiben die Auswirkungen, die ein Ausfall hat. Eine Path-Minute wird definiert als ein Portausfall von einer Minute, das heißt, wenn der Austausch und die Neukonfiguration eines defekten 16Port-Switches 75 Minuten dauert, betragen die Einbußen 1200 Path-Minutes (75 Minuten x 16 Ports). Die Skalierbarkeit der Band- 166 L AN line 12/2000 Feature Redundanz aller kritischen Komponenten mit automatischem Failover Austausch kritischer Komponenten bei laufendem Betrieb Laden von Codes und Upgrades ohne Betriebsunterbrechung und ohne System IPL Fehlerisolation auf Komponentenebene kein Fabric-Ausfall bei Ausfall eines Directors/Switches Phone-Home-, Email-Home-, PageHome-Funktionen bei Problemen konstante Latency zwischen Fabric Ports Ports FC Director FC Switch Fabric ja nur Stromversorgung und Lüfter ja ja nur Stromversorgung und Lüfter eingeschränkt ja nein ja ja ja ja ja nein 16 bis 128 8 bis 16 Definition von Fibre Channel Directoren und Fibre Channel Switches breite schließlich gibt an, in welchem Maße die Bandbreite gleichzeitig mit der Connectivity erhöht werden kann. Die QoC wird in fünf Stufen unterteilt: Failure Sensitive – keine Redundanz (Hubs), Failure Resilient mit teilweiser Redundanz (Hubs und Switches), Failure Resilient mit vollständiger Redundanz (Switches und Directoren), Failure Tolerant mit vollständiger Redundanz und fehlertoleranten Backplane-Anschlüssen (Directoren), Failure Tolerant mit vollständiger Redundanz und vollständiger Fehlertoleranz (Directoren). Wird eine QoC der Stufe 4 oder höher gefordert, gibt es keine Alternative zu Fibre Channel Directoren, weil Switched Fabrics die Path-Minute-Grenzen nicht einhalten können. Selbst unter idealen Bedingungen dauert es 60 Minuten, um einen defekten Switch auszutauschen. Dies entspricht 960 Path-Minutes für einen 16Port-Switch. Die maximal zulässige Anzahl für Stufe 4 beträgt jedoch nur 500 Path-Minutes. Für Stufe 5 sind sogar nur 50 Path-Minutes zulässig. Die geforderte hohe Verfügbarkeit können also nur Directoren gewährleisten. Bei der Planung der Connectivity von hochverfügbaren SANs muss überlegt werden, welches Speicherwachstum erwartet wird, inwieweit das SAN skalierbar sein soll, welche Verfügbarkeit und QoC gefordert wird und ob geringe Anschaffungskosten wichtiger als geringe laufende Kosten sind. Für Fibre Channel Directoren sollte man sich entscheiden, wenn: 1. eine Verfügbarkeit von 99,99 Prozent oder 99,999 Prozent gefordert wird, 2. Ausfallzeiten ein Risiko darstellen, 3. wenn eine Port-Anzahl von 32 oder mehr Ports benötigt wird, 4. ein SAN-Erweiterung auf mehr als 32 Ports zu erwarten ist, 5. das SAN sehr komplex ist, 6. wenig Personal zur Verfügung steht, 7. die Betriebskosten so gering wie möglich sein sollen. Dagegen sind Switch Fabrics dann die bessere Lösung, wenn: 1. Anschaffungskosten entscheidend sind, 2. Peformance-Einbußen akzeptabel sind, 3. eine Verfügbarkeit von 99,9 Prozent ausreicht, 4. auch in Zukunft weniger als 32 Ports benötigt werden, 5. das SAN eine einfache Struktur aufweist, und 6. der Switch-to-Switch-Verkehr geringer als die maximale Bandbreite ist. In jedem Fall müssen diese Aspekte bereits bei der Planung berücksichtigt werden, um später unnötige Mehrkosten und Betriebsunterbrechungen durch Aufrüstungen zu vermeiden. (Frank Albertz/mw) Frank Albertz ist Sales Consultant bei Inrange Technologies. www.lanline.de SCHWERPUNKT: STORAGE AREA NETWORKS VERNETZTE FC-SWITCHES FC-Fabrics für unternehmensweite SANs Große Fabrics sind das zentrale Element, um mit Hilfe von geswitchten Fibre Channel Storage Area Networks (SANs) unternehmensweite Skalierbarkeit und Flexibilität zu erreichen. Eine große Fabric – bestehend aus einem leistungsfähigen Netzwerk intelligenter SAN-Switches – ermöglicht eine “pay-as-you-grow“ – Strategie für den weiteren Ausbau der Storage-Area-Netzwerke. SANs, die nur auf sehr großen Switches basieren, stoßen bei der Anzahl der möglichen Funktionen schnell an ihre Grenzen. Große Fabrics zeichnen sich demgegenüber durch eine deutlich höhere Flexibilität aus. ei der Entwicklung und Implementierung eines großen Fabrics stehen weitaus mehr Wahlmöglichkeiten zur Verfügung – damit sind aber auch mehr Entscheidungen zu treffen. Mit am wichtigsten sind dabei – neben zahlreichen anderen Faktoren – Überlegungen zum zu erwartenden Umfang des Datenverkehrs, zum Unternehmenswachstum und zu den Redundanz-Levels. Die großen Vorteile dieser Technologie – Skalierbarkeit, Connectivity, Leistungsfähigkeit, Verwaltbarkeit und Sicherheit wiegen diesen Mehraufwand jedoch mehr als auf. Der Einsatz eines großen Fabrics macht die Neukonzeption sowie die bei einem nur auf einzelnen großen Switches basierendem SAN regelmäßig notwendigen Erweiterungen der SAN-Hardware überflüssig. Darüber hinaus bieten große Fabrics einen langfristigen Investitionsschutz – die Voraussetzung für ein kontinuierliches Unternehmenswachstum. B DIE GRENZEN VON SANS MIT GROSSEN SWITCHES SANs werden nicht nur bei Fortune-1000-Unternehmen immer beliebter. Aufgrund der schwer kalkulierbaren Wachstumsentwicklung und den ebenso unvorhersehbaren zukünftigen Anforderungen an die Online-Verwal- 168 L AN line 12/2000 tung und -Wartung der Datenbestände gewinnt die SAN-Technologie als robuste Infrastruktur für die Verbindung tausender Server mit hunderten von Speichergeräten stetig an Bedeutung: Große Unternehmen sind zunehmend auf ein Speichernetzwerk angewiesen, das bereits getätigte Investitionen in Tape- und Disk-Technologie schützt und gleichzeitig unternehmensweite Verwaltbarkeit, Sicherheit und Leistung garantiert. Darüber hinaus sind die Skalierbarkeit und Flexibilität der SANs bei den ständig wechselnden Anforderungen der schnell wachsenden Unternehmen ein Muss. Einige Anbieter versuchen, dieser Herausforderung mit großen Multi-PortSAN-Switches gerecht zu werden. Dies wird mit der Aussage begründet, für SANs sei ein “Big Switch“-Ansatz, der die zunehmende Anzahl von Servern und Speichergeräten mit Switch-Ports verbindet, vollkommen ausreichend. Ziel dieses Ansatzes ist es, unternehmensweite SANs durch eine Reduzierung der zu berücksichtigenden Einsatzprobleme zu vereinfachen. Das Big-Switch-Modell ist jedoch für die meisten Organisationen nicht die günstigste Strategie, da SANs, die ausschließlich auf großen Switches basieren, in vielen Bereichen Einschränkungen erfordern: – Der Umfang des SAN ist von vornherein begrenzt. Sobald die wachsenden Anforderungen mit der vorhandenen Anzahl von Switches nicht mehr erfüllt werden können, muss der große Switch entweder ersetzt oder mit weiteren Switches ergänzt werden. Meist erfordert dies die komplette Neugestaltung des SAN. – Die Connectivity-Optionen sind beschränkt, da nur Server- und Speichergerättypen eingesetzt werden können, die der jeweilige Switch unterstützt. – Die Gefahr von Leistungseinbußen durch Staus an den Ports oder Oversubscription ist hoch. Gleichzeitig stehen nur begrenzte Eingriffsmöglichkeiten zur Verfügung. – Die langfristige Kostenbilanz ist eher ungünstig. Umfangreiche Upgrades bei der Switching-Hardware und die Umgestaltung des SAN sind bei jedem Technologiewechsel oder steigenden Anforderungen notwendig. Durch diese Einschränkungen kann man das “Scaling at the Switch“ sicher nicht als den besten Ansatz für unternehmensweite SANs bezeichnen. Günstiger ist hier die Skalierung des gesamten Netzes selbst über ein großes Fabric mit mehreren Hochleistungs-Switches innerhalb eines Netzwerks. Die Implementierung von großen Fabrics ermöglicht den Aufbau einer nahtlosen Speicherinfrastruktur, die sich auch an zukünftige Anforderungen problemlos anpassen lässt. FABRIC NETWORKS UND GROSSE FABRIC-SANS Ein Fibre-Channel-Fabric ist ein Zusammenschluss von Point-toPoint-Verbindungen zwischen einzelnen Servern und Speichergeräten. Der Einsatz von Fibre-Channel-Switching-Hardware – wie beispielsweise der SilkwormProduktfamilie von Brocade – ermöglicht den Aufbau eines intelligenten Netzwerks, das einen effizienteren und leichter zu verwaltenden Datentransfer zwischen den Knotenpunkten ermöglicht. Aktuelle Installationen zeigen zahlreiche Vorteile, unter anderem: www.lanline.de SCHWERPUNKT: STORAGE AREA NETWORKS – Skalierbarkeit durch Vernetzung – in den meisten Fortune-1000-Umgebungen ist die Skalierbarkeit ein zentrales Ziel beim Einsatz von SANs, die tausende von Knoten miteinander verbinden und ein strukturiertes Wachstum ermöglichen sollen. Switched-FabricSANs sind mit Technologien wie Networking problemlos skalierbar. Mit der Networking-Technologie können hunderte von Switches vernetzt und so die Anzahl der für die Verbindung der Speichergeräte verfügbaren Ports beliebig erhöht werden. Zusätzlich zu der Flexibilität bei der Entwicklung und dem Aufbau kann das Hinzufügen von Switches die Gesamtbandbreite des Netzwerks deutlich erhöhen und stellt dadurch sicher, dass das SAN-Fabric durch die wachsenden Anforderungen des Unternehmens an die Speicherleistung nicht überlastet wird. – Intelligenz durch Zoning – Switched Fabric-SANs erlauben es, zahlreiche SAN-Managementfunktionen über die Switch-Hardware zu realisieren. Neben der logischen Zuordnung bei der Implementierung der Traffic-Management-Policy können die Switch-basierten Algorithmen auch bestimmte Fabric-Zonen definieren. Zoning ist die Basis für effizienten, Policy-basierten SAN-Zugang, Troubleshooting und Sicherheit. – Routing und Rerouting – Intelligentes Switching ermöglicht Routing-Fähigkeiten innerhalb des SAN-Fabric. Brocade erreicht intelligentes Routing über Routing-Algorithmen wie Fabric Shortest Path First (FSPF), das vom ANSI Fibre Channel Standards Commitee als SAN-Standard übernommen wurde. Darüber hinaus nutzen Brocade-Switches alle vorhandenen, gleichwertigen Routen zwischen einzelnen Switches und führen bei einem Verbindungsfehler automatisch ein Rerouting im Netzwerk durch. – Erhöhte Verfügbarkeit – SANs ermöglichen eine effiziente Datenspiegelung auf einer Peer-to-Peer-Basis über zugewiesene Ports innerhalb des Switches. Diese Spiegelfunktionen stören die 170 L AN line 12/2000 Leistungsfähigkeit der Anwendungen nicht, es ist im Gegenteil sogar eine Leistungssteigerung zu erwarten. Die Spiegelung trägt zu einer deutlich höheren Fehlertoleranz und Verfügbarkeit bei den SAN-basierten Daten bei. Durch die Kombination der Spiegelungsfunktionen mit den Switch-basierten Routing-Algorithmen (die den Verkehr um Pfadunterbrechungen innerhalb des Fabrics umleiten) entsteht ein widerstandsfähiges, sich selbst reparierendes hochverfügbares Netzwerk, das den Anforderungen auch anspruchsvollster Speicherumgebungen gerecht wird. Anzeige – Investitionsschutz: Switched-SANFabrics unterstützen bereits getätigte Investitionen in Speichergeräte sowie Speicherlösungen, die auf anderen Fibre-Channel-Topologien wie Fibre Channel Arbitrated Loop (FC-AL) und Point-to-Point basieren. Die Speicherinfrastruktur lässt sich via Switch Networking inkrementell erweitern – in einen Brocade-Fabric können bis zu 239 Switches integriert werden. Gute Erfahrungen mit Switched-FibreChannel-SAN-Fabrics ermutigen immer mehr Unternehmen zum Einsatz von Fabric-SAN-Architekturen. Wird eine solche Umgebung ganz neu implementiert, so entscheiden sich Unternehmen heute häufig dafür, ein unternehmensweites Switched-Fabric von vornherein als grundlegende Infrastruktur für die Vernetzung bestehender und zukünftiger Speicherlösungen einzusetzen. Daneben kann man beobachten, dass viele Unternehmen, die SANs bereits im kleineren Rahmen einsetzen, beispielsweise für einzelne Workgroups oder auf Abteilungsebene, inzwischen immer öfter ein Switched-Fabric-Backbone für die Verbindung vorhandener SAN-Inseln und anderer Legacy-Speicherlösungen installieren. Die Herausforderungen, denen diese beiden Gruppen gegenüberstehen, sind jedoch prinzipiell gleich: Beide benötigen eine unternehmensweite StorageBackbone-Architektur, die über die Leistungsfähigkeit, Skalierbarkeit, Servicefreundlichkeit und Verwaltbarkeit verfügt, auf die unternehmenskritische Anwendungen angewiesen sind. Wie oben bereits erwähnt, versuchen einige Anbieter, dieses Problem mit einem einzelnen, großen Multi-Port-Switch zu lösen. Auf den ersten Blick mag dieser Ansatz als einfache und sinnvolle Lösung erscheinen, da Switch-Fabric-Netzwerke, die auf Workgroup-Level zum Einsatz kommen, einfach imitiert werden. Die Grenzen dieser Architektur sind jedoch schnell erreicht. Brocade hat herausgefunden, dass mit einer Big-Fabric, der aus zahlreichen in einer vernetzten Architektur konfigurierten Switches besteht, ein weitaus robusterer und skalierbarerer Enterprise-SANBackbone realisiert werden kann. Bild 1 zeigt die gemeinsame Speicherkonsolidierung mehrerer Abteilungen. Doppelte Pfade zwischen Servern, Switches und Speichergeräten gewährleisten Hochverfügbarkeit und verbessern die Leistungsfähigkeit, indem sie die Anzahl der Übertragungsschritte zwischen Servern und jeder Speichereinheit auf maximal zwei Etappen reduzieren. Große Fabric-SANs erlauben den unternehmensweiten Einsatz der SANTechnologie und ermöglichen die gemeinsame Nutzung der Datenbestände in www.lanline.de SCHWERPUNKT: STORAGE AREA NETWORKS der gesamten Organisation, über das WAN und sogar über das Internet. Da große Fabric-SANs die Anforderungen an das Speichersystem kostengünstig und auf einem hohen Leistungsniveau erfüllen, lassen sich zahlreiche Lösungen realisieren, zum Beispiel: Zu Beginn der Planung für ein großes Fabric werden natürlich zuerst die spezifischen Anforderungen an die gemeinsame Datennutzung im Unternehmen festgelegt: Welche Geschäftsprozesse könnten vom gemeinsamen Zugriff auf die zur Zeit noch in geografisch oder organisato- Bild 1. Gemeinsame Speicherkonsolidierung mehrerer Abteilungen – LAN-free-HochgeschwindigkeitsBackup, das den Bestand der Daten im Fall von ungeplanten Unterbrechungen gewährleistet, – Server-unabhängiges Spiegeln von Plattenlaufwerken für höchste Fehlertoleranz, – schnelle und sichere Datenreplikation zur Unterstützung von Data-Warehousing und anderen Funktionen, – gemeinsames Nutzen von Daten durch mehrere Workstations oder Server für die Unterstützung von Enterprise-Applikationen und den gemeinsamen Zugriff auf Daten über Web-Server in E-Business-HostingUmgebungen, – Konsolidierung kleinerer SAN-Fabrics in einem einzigen großen Fabric. Viele Techniken, die bei der Planung eines LAN-Backbones verwendet werden, kommen auch bei der Entwicklung von Fabric-SANs zum Einsatz. Im Folgenden werden die Methoden im Einzelnen genauer beschrieben. www.lanline.de risch abgetrennten SAN-Inseln oder in anderen Speicherarchitekturen abgelegten Daten profitieren? Die Zielsetzung beim Data-Sharing lässt sich durch die Klärung der Art und des Umfangs der gemeinsamen Datennutzung genauer festlegen. Angaben darüber helfen bei der Definition des zu erwartenden Umfangs von Anfragen, die von nicht lokalen Nodes außerhalb des Insel-SANs gestellt werden. Die Analyse dieses Verhältnisses von lokalem und externem Node-Zugriff – zusammen mit Daten über das Verkehrsaufkommen im Insel-SAN – erlaubt eine Abschätzung der erforderlichen Bandbreite für das Big-Fabric. Dies wird bei allen über das Big-Fabric vernetzten Insel-SANs durchgeführt und ermöglicht so genaue Angaben über die Bandbreiteanforderungen des gesamten Fabrics. Die Zielsetzung ist im Einzelnen natürlich variabel, es sollten aber immer die Kriterien Skalierbarkeit, Connectivity, Leistungsfähigkeit, Verwaltbarkeit und L AN line 12/2000 171 SCHWERPUNKT: STORAGE AREA NETWORKS Sicherheit im Vordergrund stehen. Darüber hinaus gehört zu jeder einzelnen Zieldefinition ein auf bestimmten Kriterien basierendes Kontrollverfahren, mit dem die Einhaltung der Zielvorgaben überprüft werden kann. Zur Steigerung der Skalierbarkeit von Big-Fabric-SANs kommen drei kombinierte Techniken zum Einsatz: 1. Hinzufügen eines Switches mit höherer Port-Zahl (es kann auch ein Switch mit einer geringeren Zahl von Ports weiterverwendet werden, dabei muss aber ein weiterer Switch mit einer entsprechenden Anzahl von Ports ergänzend angeschlossen werden). 2. Bündelung mehrerer Ports auf einen physikalischen Port, 3. Vernetzen der Switches selbst innerhalb einer Layer-Architektur. DAS HINZUFÜGEN VON PORTS Das Hinzufügen weiterer Nodes in einem Netzwerk kann einfach über einen Switch mit weiteren Ports geschehen. Diese Technik kann aber schnell höchste Kosten verursachen, da immer dann, wenn die erforderliche Speicherkapazität steigt oder die Zugriffsanforderungen wachsen – und damit die Integration weiterer Nodes nötig wird – das komplette Switch-Equipment ausgetauscht werden muss. Daneben ist bei größeren Switches mit höheren Kosten pro Port zu rechnen, was auf lange Sicht die Gesamtkosten in die Höhe treibt. Große Switches erzeugen darüber hinaus höhere Vorabkosten, auch wenn nicht alle Funktionen von vornherein genutzt werden können. BÜNDELUNG VON PORTS Die zweite Technik, das Bündeln von Ports, kombiniert mehrere Kanäle zu einem einzigen Übertragungsmedium, und zwar durch die gleichzeitige Aktivierung mehrerer Einzelkanäle. In einem traditionellen LAN übernimmt die Bündelung häufig ein Hub, der es ermöglicht, mehrere vernetzte Nodes über eine einzige Verbindung an das Backbone-Netzwerk anzuschließen. Mit einer spezialisierten Software lassen sich die Bündel an ausgewählte Switch-Ports anfügen. Die Bün- 172 L AN line 12/2000 delung von Ports setzt eine sehr sorgfältige Planung voraus, da gebündelte Ports immer ein potenzieller Engpass sind und unerwünschte Verzögerungen im I/OVerkehr des Speichernetzwerks verursachen können. SWITCH-LAYERING Das dritte Verfah- ren, Switch-Layering (Networking), lagert den Bereich Skalierung aus der Hard- und Software eines bestimmten Switches aus. Diese Aufgaben übernimmt dann das Netzwerk-Design. Durch das Switch-Layering werden NoAnzeige des an kleinere Switches auf einem logischen Layer des Fabrics angeschlossen. Diese Switches werden dann mit einer zweiten Ebene oder einem zweiten Layer von Switches verbunden, die wiederum mit einer dritten Ebene verbunden sind usw. Das Switch-Layering verfügt unter anderem über folgende Vorteile: Die Bandbreite des Netzwerks steigt mit jedem neuen Switch. Kleinere, preisgünstigere Switches halten die Kosten je Port niedrig. Redundante Pfade erhöhen die Fehlertoleranz. Mehrere Switch-Layer und integrierte Redundanz zwischen den einzelnen Layern erlauben den Aufbau einer hochverfügbaren Konfiguration, die die Zuverlässigkeit von 24 mal 7-Opera- tionen sicherstellt. Diese Architektur verteilt den Netzwerkverkehr auf mehrere Switches, vergrößert die Bandbreite für mehrere ISLs und verringert die Anzahl potenzieller Engpässe. Darüber hinaus kann ein großer Teil des Netzwerkverkehrs auf den unteren Ebenen der vernetzten Switche abgewickelt werden, was wiederum zu geringeren Anforderungen an die Bandbreite auf den höheren Ebenen führt. Der Switch-Einsatz innerhalb einer Multiple-Layer SwitchArchitektur führt zu einem großen Spielraum bei der Entwicklung der Architektur. Das Zoning schafft das Äquivalent zu virtuellen Netzwerken zwischen den Geräten im vernetzten großen FabricSAN. Large Fabrics ermöglichen eine sichere Verwaltung von einem zentralen Punkt aus. Intelligente Switches spielen eine aktive Rolle bei der Überwachung des SAN-Status und beim Reporting von Ereignissen an den Administrator. Administratoren können Statusinformationen erfassen und proaktiv auf Ereignismeldungen der Switches reagieren, indem sie über eine Managementkonsole in praktisch jeden Bereich des SAN eingreifen können. Sind die Switches interoperabel, so steht SAN-Designern eine Kombination der oben genannten Techniken zur Verfügung. Ob mit oder ohne sehr großen Switches und Techniken zur Bündelung von Ports – Skalierbarkeit über verschiedene Layer zu ermöglichen, ist eine wichtige Funktionalität jedes großen Fabric-SAN-Designs. CONNECTIVITY Connectivity bezeichnet mehr als nur die physikalische “Verdrahtung“ von SAN-Geräten. Viel mehr bezieht sich der Begriff auch auf den Zugriff auf und den effektiven Transport von Daten im Netzwerk. Die Anforderungen an die Connectivity hängen davon ab, wie die Daten in einem Netzwerk geroutet werden. In einem traditionellen LAN gehört zum Routing die Interpretation der Informationen in den Datenpaket-Headern sowie das Weiterleiten von Paketen an die entsprechenden Ziel-Nodes. Wie LANs verfügen auch einige www.lanline.de SCHWERPUNKT: STORAGE AREA NETWORKS SAN-Fabric-Switch-Produkte inzwischen über integrierte Routing-Funktionen. Fabric Shortest Path First (FSPF) von Brocade ist ein Beispiel für einen Routing-Algorithmus, der die Anzahl der Einzelschritte beim Datenverkehr in einem möglicherweise sehr komplexen Fabric von in verschiedenen Layern organisierten Switches minimiert. Der Algorithmus ist auch in der Lage, Ausfälle von Switches und anderen SAN-Geräten (oder unterbrochenen Verbindungen) auszugleichen, indem er automatisch und effizient den Datenverkehr um das ausgefallene Gerät herumleitet. FSPF nutzt darüber hinaus redundante Verbindungen im Netzwerk, eine Fähigkeit, durch die Administratoren die Netzwerkleistung genau auf die Anforderungen abstimmen können. Diese Verbindungen stellen zusätzliche Pfade für eine größere Flexibilität zur Verfügung und erhöhen dadurch automatisch die Leistungsfähigkeit. Hochentwickelte SAN-Switches verfügen über Routing-Methoden, die die Anzahl der Übertragungssegmente erfassen und mittels kostenbasierter Algorithmen (Least-Cost) erweitert werden können. Least-Cost-Routing erlaubt Administratoren die Gewichtung bestimmter Pfade im Netzwerk, basierend auf den Kosten einer bestimmten Verbindung. Daneben lässt sich Least-Cost-Routing auch für die Realisierung eines möglichst hohen Gesamtdurchsatzes im Netzwerk einsetzen. www.lanline.de Ein vereinfachtes Beispiel eines erweiterten großen Fabric zeigt Bild 2. Hier wurde ein großes Fabric-SAN in einer Unternehmenszentrale über ein MAN erweitert, um auch entfernte Speichergeräte am Standort eines Disaster-Recovery arbeiten. In einer gemischten Umgebung mit 2-GBit/s- und 1-GBit/s-FibreChannels können Administratoren durch die Intelligenz der Least-Cost-RoutingProtokolle sicherstellen, dass das Datenaufkommen immer über den Pfad mit der Bild 2. Ein vereinfachtes Beispiel eines erweiterten großen Fabric Service-Providers integrieren zu können. Die Disk-Arrays des Disaster-Recovery Service-Providers spiegeln lokale DiskArrays, die zur Speicherinfrastruktur des Unternehmens gehören. Tritt ein Ausfall im lokalen Array auf, so übernimmt der entfernte Array die Abwicklung laufender Vorgänge. Least-Cost-Routing optimiert das Routing sowohl während normaler Abläufe, wo es für geringe Verzögerungszeiten sorgt, als auch bei Ausfällen von Geräten, wo es die Operabilität aufrecht erhält. Least-Cost-Routing wird besonders in Zusammenhang mit der zunehmenden Verbreitung des 2-GBit-Fibre-Channels eingesetzt, und zwar als Ergänzung der Standard-Fibre-Channels, die mit 1 GBit/s größten Bandbreite – statt wie im normalen Betrieb über den kürzesten Pfad übertragen wird. STEIGERUNG DER PERFORMANCE In- telligentes Routing ist eine Grundvoraussetzung für die Leistungsfähigkeit von Large-Fabrics. Dennoch gilt es, eine Reihe weiterer Faktoren zu berücksichtigen, um Engpässe zu vermeiden. Wie bereits ausgeführt, kann es prinzipiell überall im Netzwerk zu Staus kommen, wenn das Verhältnis zwischen Bandbreitenbedarf und Verfügbarkeit nicht ausgeglichen ist. Gebündelte Ports können beispielsweise Staus verursachen, wenn es zu einem beträchtlichen Aufkommen an Netzwerkverkehr zwischen Nodes an den zu- L AN line 12/2000 173 SCHWERPUNKT: STORAGE AREA NETWORKS sammengefassten Ports und anderen Nodes innerhalb des Fabrics kommt. Wenn der Bedarf an Bandbreite (der vom Datenaufkommen definiert wird) die verfügbare Bandbreite überschreitet (die wiederum von der Leistung des Ports abhängt), entsteht ein typischer Engpass. In einem SAN kann die gleiche Problematik durch “Oversubscription” entstehen, und zwar bei der Verbindung der einzelnen Switches. Als Beispiel seien zwei 16-Port-Switches genannt, die über vier Inter-Switch-Links (ISLs) miteinander verbunden sind: Jeder Switch verfügt über zwölf Ports, die für die Verbindung von Servern oder Speichergeräten eingesetzt werden können. Diese Konfiguration bezeichnet man wegen des potenziellen Engpasses, der sich entwickelt, sobald fünf oder mehr Ports auf Switch A mit fünf oder mehr Ports auf Switch B kommunizieren müssen, als “oversubscribed“. Nur vier ISLs sind nämlich gleichzeitig in der Lage, das Datenaufkommen zu bewältigen, wodurch manche Kommunikationsvorgänge zeitweise blockiert sein können. Oversubscription ist nicht notwendigerweise ein Problem, sofern sie auf der Grundlage logischer Annahmen zugelassen wird. In LANs ist Oversubscription sogar sehr häufig zu beobachten. Das Oversubscribing der Switch-Ports führt nicht unbedingt zu Leistungseinbußen, die mit dem Verkehrsaufkommen zusammenhängen, wenn man sicher davon ausgehen kann, dass der größte Teil des LAN-Verkehrs (80 Prozent) zwischen Geräten des gleichen LANs abgewickelt wird und nur ein kleiner Prozentsatz des Verkehrsaufkommens (20 Prozent) den Inter-LAN Backbone nutzt. Diese Erkenntnis wird allgemein als “80-zu-20“Regel bezeichnet. Ähnlich ist auch bei einem Large-Fabric oversubscribed-Switching in gewissen Grenzen tolerierbar, wenn auch nicht im selben Maß wie bei LANs. Geräte, die häufig miteinander kommunizieren, können mit Ports auf demselben Switch verbunden werden, während Geräte, die seltener miteinander in Kontakt treten, auf verteilten Switches platziert und in einer 174 L AN line 12/2000 Oversubscribed-Konfiguration verbunden werden können. Die Festlegung, wann Oversubscription zulässig ist, erfordert eine genaue Kenntnis des Datenflusses zwischen den einzelnen Speichergeräten: Meistens kommunizieren innerhalb des SANs die Server nicht miteinander, ebenso wenig die Speichergeräte, mit Ausnahme einiger spezialisierter Anwendungen. Im Normalfall kommunizieren also Server mit Speichergeräten. Es ist daher wichtig, die charakteristischen Merkmale des Verkehrs zwischen diesen Geräten zu kennen. Nur so kann die Leistung in großen FabricSystemen optimiert werden. MANAGEMENT Um die Leistung eines großen Fabric-SANs auch langfristig zu gewährleisten, müssen bei der Planung von Anfang an die Managementfunktionen genau festgelegt werden. Ein wichtiger Punkt dabei ist, wie Zustand und Status der Node-Geräte erfasst und an die SAN-Managementlösung weitergeleitet werden. Darüber hinaus muss auch in Betracht gezogen werden, welche Auswirkungen Ausfälle von einzelnen Geräten oder Serviceunterbrechungen auf das Fabric haben. Bei der Managementplanung für ein Large-Fabric-SAN sollten deshalb unter anderem folgende Fragen beantwortet werden: Können die Switches die Topologie des SAN automatisch identifizieren? Unterstützen die Switch-Produkte das Reporting an das Netzwerkmanagement über das Simple Network Management Protocol (SNMP)? Bietet der Switch-Hersteller ein API für die einfache Integration von High-Level-Funktionen in SAN-Managementapplikationen? Über den Zustand der Node-Geräte und des Netzwerkequipments hinaus müssen Zustand und Leistungsfähigkeit des Fabric selbst genau ermittelt werden. Zu den wichtigsten Fragen dabei gehören: Gewährleisten die SAN-Switches eine ausreichende Stabilität und Leistungsfähigkeit der Fabrics? Ist eine Segmentüberwachung des Betriebszustands in einzelnen Bereichen der Fabric möglich? Wie werden die gesammelten Daten über Geräte, das Netzwerk und den Zustand des Fabrics an die Mitarbeiter weitergegeben, die für die Verwaltung der großen Fabric-Infrastruktur verantwortlich sind? Ein wichtiger Grund für die Leistungsfähigkeit der SAN-Technologie ist die Fähigkeit zur effektiven Verwaltung der Speicherinfrastruktur (über eine Managementkonsole). Diese Umgebungen sollten alle Managementdaten integrieren und den verantwortlichen Mitarbeitern in verständlicher Form präsentieren. Manche Hersteller bieten eine Managementkonsole zusammen mit ihren Produkten an, während andere auf die Management-Software von Drittherstellern zurückgreifen. SICHERHEITSKRITERIEN Große Fabrics wurden entwickelt, um beim gemeinsamen Datenzugriff so viele Anwendungen und Benutzer wie möglich zu integrieren. Dem stehen die Anforderungen an die Sicherheit gegenüber, da zahlreiche sensible Daten zu berücksichtigen sind. Der Zugriff muss gewissenhaft kontrolliert werden, denn die Sicherheitsanforderungen bei großen Fabric-SANs sind hoch, dementsprechend leistungsfähig müssen die Sicherheitsfunktionen in einer solchen Architektur sein. Trotzdem darf das nicht auf Kosten der Skalierbarkeit gehen, damit beim Wachstum des SAN-Fabrics keine Einbußen auftreten. Um dem gerecht zu werden, entwickelte Brocade das Fabric-Zoning, eine Methode, bei der ein SAN unterteilt und der Zugriff über spezielle Switch-Policies geregelt wird. Spezielle Zoning-Bestimmungen in Kombination mit spezialisierten Security-Produkten zur Ver- und Entschlüsselung von Daten sowie die Kontrolle von Zugriffsrechten bilden zusammen eine umfassende Sicherheitslösung. Obwohl normalerweise die Systemanforderungen das Design von großen Fabric-SANs diktieren, ist das Wissen um potenzielle Grenzen bei der Planung von zentraler Bedeutung. Einschränkungen sind generell durch zwei Faktoren bestimmt: praktische Probleme (wie Zeit, www.lanline.de SCHWERPUNKT: STORAGE AREA NETWORKS Kosten, verfügbares Personal und Wissenslücken) und technologiebedingte Grenzen. Die praktischen Einschränkungen sind natürlich in jedem Unternehmen anders. Zu den technologischen Einschränkungen gehören Fragen der Hard- und Software-Interoperabilität sowie Kompatibilitätsprobleme zwischen nicht Fibre Channel-basierten Legacy-Speicherlösungen und den großen Fabric-SANs. Die erfolgreiche Implementierung einer großen Fabric-Strategie hängt maßgeblich vom Erkennen und Verstehen dieser und weiterer potenzieller Einschränkungen bei der Gestaltung eines großen Fabric-SANs ab. Dabei gleichen die Vorteile eines großen Fabric-SANs diese Einschränkungen bei weitem aus. Große FabricSANs bieten durch ihre Vorteile wie zentralisiertes Management, höhere Betriebseffizienz, höhere Leistung, effektivere Nutzung der Ressourcen, langfristigen Investitionsschutz und andere Kosteneinsparungen einen hohen Return-on-Investment. SCHRITTE BEI DER IMPLEMENTIERUNG Wie die Implementierung im Einzelnen abläuft, wird sehr stark von der Situation im jeweiligen Unternehmen beeinflusst und hängt unter anderem mit der Existenz (oder dem Fehlen) bereits bestehender SAN-Inseln zusammen. Manche Unternehmen bevorzugen es, beim Aufbau der Layer-Hierarchie eines großen Fabric-SANs “von ganz unten“ anzufangen – das bedeutet, dass zuerst Switched-SANs auf der Ebene einzelner Abteilungen und anschließend Switches auf regionaler Ebene aufgebaut werden, um schließlich diese Switches auf Backbone-Level zu integrieren. Der Vorteil dieses Ansatzes ist, dass auf dem jeweils nächsten Layer alle Informationen über den Verkehr im SAN und die Anforderungen an die Bandbreite verfügbar sind. Dieser Ansatz hat aber auch eine Schattenseite: mit jedem nachfolgenden Switch-Layer werden unter Umständen Neukonfigurationen der darunter liegenden Layer notwendig. 176 L AN line 12/2000 Die meisten erfahrenen SAN-Designer empfehlen deshalb, den BackboneLayer zuerst aufzubauen und die untergeordneten Layer danach hinzuzufügen. Bei diesem Ansatz “von oben nach unten“ können die Connectivity-Fähigkeiten des Fabrics zu Beginn des Projekts genau definiert werden. Dies Angaben bestimmen dann die Konfigurationen des SANs auf den darunter liegenden Layern. Sind bereits SAN-Inseln vorhanden, sollten der Implementierung des Fabrics zwei Schritte vorausgehen. Zuerst muss die Interoperabilität des lokalen SAN-Switch-Equipments mit dem Switch-Equipment auf den höheren Layern des Netzwerk-Fabrics sichergestellt sein. Zum zweiten sollten die SAN-Inseln umbenannt werden; das ist die Grundvoraussetzung für die Integration in das Large-Fabric-Zoning-Schema. TEST NACH JEDEM SCHRITT Ein Test nach jedem Implementierungsschritt – nach der Installation der Switches, der genauen Verfahrensdefinition für jeden Switch, der Verkabelung aller Geräte usw. garantiert eine langfristig stabile Fabric-Plattform. Ist die Fabric-Infrastruktur implementiert, sollte ein Betrieb unter Belastung stattfinden, um die grundlegenden Performance-Daten zu generieren. Diese Daten können anschließend analysiert und für die Entwicklung von Kontrollbereichen und die Festlegung von Fehler-Reporting und -Korrekturverfahren mit den Planungsvorgaben verglichen werden. Darüber hinaus müssen meist noch weitere Anpassungen des Fabric-SANs an die praktischen betrieblichen Anforderungen vorgenommen werden. Der tatsächliche Datenverkehr weicht erfahrungsgemäß von den Vorgaben ab, manchmal ist auch eine Anpassung einzelner Ports oder Routen notwendig. Ein weiterer Problembereich sind Performance-Merkmale einzelner Geräte, die von den Herstellerangaben – die ja Grundlage für die Planung waren – abweichen. Zahlreiche Faktoren spielen für das Fabric-SAN nach der Implementierung eine Rolle, aber fast alle Probleme können über geringe Veränderungen und Tuning-Maßnahmen schnell gelöst werden. Für die Leistungsoptimierung empfehlen sich Produkte wie beispielsweise Brocade Fabric Watch. Als robustes Fabric-Monitoring-Tool für mission critical SAN-Fabrics erlaubt Fabric Watch jedem Switch die kontinuierliche Überwachung des Netzwerks und der angeschlossenen Nodes nach potenziellen Fehlern – und das automatische Aufspüren potenzieller Probleme, bevor diese sich zu teuren Ausfällen entwickeln können. Fabric Watch ermöglicht Netzwerkmanagern darüber hinaus das Aufspüren zahlreicher Fabric- und Switch-Elemente, das Abrufen von Ereignismeldungen, wenn Switch- und Fabric-Elemente ihre Reichweite überschreiten und das schnelle Auffinden und Isolieren von Fehlerquellen. Des Weiteren erlaubt es Netzwerkmanagern die Optimierung der Gesamt-Performance des Fabrics und die einfache Integration von Fabric Watch in Enterprise-Systems-Managementlösungen mit einer einzigen Fabric Monitoring-Lösung auszukommen, anstatt viele verschiedene, herstellerspezifische Software-Lösungen parallel betreiben zu müssen. ZUSAMMENFASSUNG Unternehmen erkennen zunehmend die Möglichkeiten der SAN-Technologie und beginnen daher mit dem Aufbau immer komplexerer und trotzdem robusterer Netzwerke. Den zukünftigen Anforderungen wird man nicht allein durch die Erhöhung der Port-Dichte gerecht. Ebenso ist ein großes Fabric-Konzept, das ausschließlich auf Switches mit einer hohen Port-Anzahl basiert, nicht automatisch ein kosteneffektiver, investitionssicherer Ansatz für eine wachsende SAN-Infrastruktur. (Paul Trowbridge/mw) Paul Trowbridge ist Marketing Manager EMEA von Brocade Communications Systems. www.lanline.de SCHWERPUNKT: STORAGE AREA NETWORKS GEMEINSAM STARK: SAN UND NAS Rezentralisierung der C/S-Landschaften Drei Viertel aller Ausgaben für Computer-Hardware entfallen laut Dataquest auf den Enterprise-Storage-Markt. Mit den steigenden Datenmengen bleiben Themen wie Verfügbarkeit, Performance, einfache und kostengünstige Verwaltung pro GByte jedoch nach wie vor maßgebliche Faktoren für künftige Investitionen. Dabei erzwingt der technologische Fortschritt bei den Massenspeichern und deren Anbindung an die Server eine Überprüfung und Neuausrichtung der Speicherkonzeption. nalysen haben ergeben, dass noch immer mehr als 80 Prozent der Unternehmensdaten direkt auf Client-Systemen gehalten werden. Dabei geht es nicht nur um Festplatten- und Festplatten-Arrays: Auch große RAID-Subsysteme sind an diverse Client-Computer im LAN angeschlossen. Mit dieser Entwicklung steigt zwangsläufig die Komplexität des Storage-Managements. Das Ergebnis sind meist vielschichtige Verteilungen im LAN, häufig gepaart mit doppelter Datenhaltung und A aufwendiger “Free-Space“-Verwaltung. Kommen unterschiedliche Standorte, Netzwerkanbindungen und Client-Architekturen hinzu, entwickelt sich das Ganze zu einer tickenden Zeitbombe. Datenkonsolidierung und die Rezentralisierung der Speicherverwaltung stehen deshalb auf dem Plan. Diese lassen sich nur mit einer grundlegenden Veränderung der Architektur bewältigen. Eine neue Rolle wird den Massenspeichern zugedacht. Sie fungieren nicht mehr als klassische Peri- Die drei Technologien im Überblick: DAS, NAS und SAN 178 L AN line 12/2000 www.lanline.de SCHWERPUNKT: STORAGE AREA NETWORKS pherie, sondern sind fest in die Netzwerkumgebung integriert und betreiben aktiv Datenaustausch mit Servern und Clients. Um die Wette eifern hierbei zwei Technologien: Network Attached Storage (NAS) und Storage Area Network (SAN). Im Gegensatz zum herkömmlichen Direct Attached Storage (DAS) erlaubt das NAS-Modell Datenzugriffe auf ein FileSystem, das physikalisch nicht am Applikations-Server liegt, sondern auf einem entfernten Daten-Server, dem NAS-Device. Zwischen dem Daten-Server, Clients und Servern befindet sich ein LAN, über das die Datenanfragen der Clients oder Server transportiert werden. Diese I/OFunktionen, die das Betriebssystem normalerweise auf lokalem Speicherplatz ausführt, lassen sich durch standardisierte Netzwerkprotokolle wie Network File System (NFS) im Unix-Bereich und Common Internet File System (CIFS) im Windows-NT-Bereich auf ein LAN ausweiten. Gegenüber lokalem Speicher erreicht man so eine wesentlich höhere Flexibilität: Häufige, CPU-intensive File-System- und Storage-Operationen werden vom Clientoder Applikations-Server verbannt; die CPU kann sich ihren eigentlichen Aufgaben widmen. Ein weiterer Grund für die mittlerweile große Verbreitung von NAS ist die Performance der heutigen LANs. Lag bei DAS vor fünf Jahren die Datentransferrate mit Fast/Wide SCSI bei 20 MByte/s, so sind mit Gigabit Ethernet derzeit über 100 MByte/s möglich. Um die steigenden große Datenmengen nicht länger über LANs transportieren zu müssen, haben sich parallel dazu Initiativen zur Implementierung und Standardisierung von SANs gebildet. Ursprünglich im Mainframe-Umfeld zu Hause, wurde das SAN-Modell auf Client-/Server-Umgebungen übertragen und entsprechend erweitert. Während eine NAS-Lösung Storage direkt den LAN-Clients bereitstellt, bildet das SAN-Konzept ein weiteres Netzwerk zwischen Storage-Subsystemen und Servern. Im Gegensatz zum einzelnen DAS-Subsystem lassen sich die Daten so auf ein beliebiges Storage-Subsystem im SAN-Netzwerk-Verbund speichern. Das File-System und das Datenmanagement 180 L AN line 12/2000 obliegen dabei den an das SAN angeschlossenen Servern. Diese führen die I/OAnfragen der LAN-Clients direkt aus. Da so einfaches, aber effizientes StorageRessourcen-Management möglich ist, lassen sich die Speicherkosten gegenüber dem DAS-Modell um bis zu 40 Prozent reduzieren. Dementsprechend hoch bemessen Marktforscher den Run auf SAN. Marktvolumina von mehreren Milliarden Dollar werden derzeit prognostiziert. Was die Performance des Storage-Subsystems und dessen Anbindung an den Server anbelangt, schuf man 1981 als Anschlusstechnik die Bus- und Protokolltechnologie Small Computer System Interface ten lassen sich ohne Probleme etwa Festplatten unterschiedlicher SCSI-Modi gemeinsam an einem Ultra2-SCSI-Bus oder -Kanal betreiben. Schon deshalb hat sich SCSI sowohl bei NAS- als auch bei SANArchitekturen etabliert. Vor allem im Großrechnerbereich setzte man parallel dazu schon frühzeitig auf serielle High-speed-Datenkanäle. Dazu gehören unter anderem der seit 1991 von IBM entwickelte Escon-Bus, der Datenraten bis zu 117 MByte/s ermöglicht. Mit dem seriellen Versenden und Signalisieren von Daten lassen sich nämlich höhere Transferraten erzielen als mit vergleichbaren parallelen Bustechnologien. Somit Das NAS-Modell erlaubt Datenzugriffe auf ein File-System, das physikalisch nicht am Applikations-Server liegt, sondern auf einem entfernten Daten-Server, dem NAS-Device (SCSI). Der seit Oktober 1998 etablierte Ultra-3-SCSI-Modus, auch Ultra/160 genannt, erlaubt heute Transferraten bis zu 160 MByte/s. Mit dem Ultra/320-Modus (im Jahr 2001) beziehungsweise dem Ultra/640-Modus (im Jahr 2003) sind für die Jahre 2001 bis 2003 eine weitere Verdoppelung beziehungsweise Vervierfachung der Transferraten geplant. Wenn man bedenkt, dass sich durch RAID-Technologien parallele SCSI-Kanäle parallel mit Daten beschreiben lassen, gewinnt man zusätzliche Performance. Für die SCSI-Technologie spricht auch die Leistungssteigerung von einem Modus zum anderen, bei gleichzeitig gewährleisteter Abwärtskompatibilität. Mit anderen Wor- stand in den Grundzügen schon Anfang der 90er-Jahre eine Übertragungstechnik zur Verfügung, die als Basis für ein SANNetzwerk fungieren konnte. Als Technologie mit den größten Zuwachsraten hat sich jetzt allerdings die serielle Fibre-Channel-(FC-)Bus-Technologie durchgesetzt. 1993 hatten HP, IBM und Sun Microsystems die Fibre-Channel-Systems-Initiative gegründet, mit dem eigentlichen Ziel, einen standardisierten I/OInterconnect zu entwickeln. An FC-Netzwerke oder FC-Switched-Fabrics dachte damals noch niemand. Das breite Interesse der Industrie an der FC-Definition ließ allerdings schnell unterschiedliche Derivate des physikalischen Standards entstehen. www.lanline.de SCHWERPUNKT: STORAGE AREA NETWORKS Die für Storage-Subsysteme wichtigste Variante von 100 MByte/s Transferrate auf Basis von Optical Fiber mit bis zu zehn Kilometer Länge findet inzwischen am meisten Zuspruch. Der allgemeine Durchbruch kommt nicht von ungefähr. Neben guten Transferraten und einfacher Anbindung an die Storage-Subsysteme sprechen vor allem die gegenüber SCSI wesentlich längeren Distanzen für den Fibre Channel. Außerdem können FC-Switched-Fabrics enorme Ausmaße annehmen. Nach Angaben von Brocade erreichen die größten SAN-Netzwerke bis zu 60 Fibre-Channel-Switches und mehr als 600 FibreChannel-Ports. Wenn man bedenkt, dass sich Switches kaskadieren lassen, und an jeden Port eines Switches wiederum bis zu 126 FC-Endgeräte in einer Loop angeschlossen werden können, lässt sich unschwer erkennen, welche Storage-Kapazitäten damit möglich sind. Im Idealfall können alle an das FC-Netzwerk angeschlossenen Server auf jedes beliebige Storage-Subsystem zugreifen; sofern dies aus Sicherheitsgründen erlaubt ist. Häufiger sind jedoch Storage-Subsysteme von verschiedenen Anbietern im Einsatz, die sich aus Kompatibilitätsgründen nicht gemeinsam in einem FC-Verbund betreiben lassen. Das Gros der SAN-Umgebungen basiert daher auf der Hardware nur eines SAN-Storage-Anbieters und eines FCSwitch-Hersteller. Im Fachjargon bezeichnet man diese Architekturen als homogene SANs oder “SAN-Islands”. Vergleicht man NAS- und SAN-Systeme insgesamt, fällt zunächst auf, dass SAN-Architekturen auf ein abhängiges File-System verzichten. Die Storage-Subsysteme liegen als große unformatierte Speicher vor, die mit File-System-MetaDaten versehen sind oder als Raw-Devices betrieben werden. Da die Server-Hersteller unterschiedliche File-Systeme in ihre Betriebsysteme integriert haben, gilt es, einen Teil des Speichers dem jeweiligen Server zuzuordnen und mit den entsprechenden File-System-Informationen zu versehen. Ausnahmen bilden hier Datenbankanwendungen und Datenbank-Server, die ihre eigene “Organisation der Daten“ in den Raw-Device-Partitionen des Storage- 182 L AN line 12/2000 Subsystems vornehmen. Die DatenbankServer reservieren einmal zugewiesenen Speicher für Daten und Tabellen. Ohne die Daten in einem “fremden“ File-System suchen zu müssen, arbeiten sie so die ClientAnfragen mittels eigener interpretativer I/O-Sub-Routinen ab. Häufig werden im SAN zwischen Datenbank-Server und Storage-Subsystem große Datenvolumina bewegt und dann relativ geringe Datenmengen als Ergebnisse über das LAN an den Client weitergeleitet. Daher bietet sich ein SAN für großvolumige Datenbankund Data-Warehouse-Systeme an. Sieht man von Datenbankumgebungen ab, lassen sich bei hohem Transaktionsaufkommen sowohl mit NAS als auch SAN gleichberechtigte Storage-Architekturen darstellen. Anders ausgedrückt, lösen beide Architekturen mit unterschiedlichen Ansätzen die gleichen Datenhaltungsprobleme: das SAN in einem separaten Rechner-Storage-Verbund und NAS im lokalen Netzwerk. Anders als NAS bedeuten SAN-Installationen allerdings aufwendige neue Infrastrukturmaßnahmen. Die notwendigen Investitionen rechnen sich unserer Erfahrung nach erst dann, wenn es große interpretative Datenmengen zu bewegen gilt. Dies ist etwa bei großen SAPoder Oracle-Datenbanken der Fall. Für Daten-Sharing bei Flat Files sind die hoch spezialisierten, komplexen SAN-Server zu teuer, als dass sie das Daten-Sharing mit übernehmen sollten. Hier sind derzeit NAS-Server die erste Wahl. So ist es auch kein Wunder, dass das Thema NAS zur Zeit ähnliche Aufmerksamkeit erregt wie die Technologie der SANs. Das verwundert nicht. Im Grunde genommen ist das im NAS-System enthaltene Storage-Subsystem schon in sich eine “SAN-Insel“. Schließlich besitzen NAS-Storage-Subsysteme wie bei SAN-Storage-Subsystemen SCSI- oder FC-RAID-Controller, die mehrere parallele Kanäle auch parallel mit Daten versorgen können. Allerdings ist der NAS-Speicher aus Platz- und Installationsgründen direkt an die “Embedded Intelligenz“ des NAS-Geräts angeschlossen. Man könnte den Speicher durchaus über FC vom eigentlichen NAS-Server “entkoppeln“. Die Ähnlichkeit beider Archi- tekturen führt soweit, dass die NAS-Geräte die in das SAN integrierten Tape-Libraries zum “LAN-freien-Backup“ mit verwenden können. Schließt man eines oder mehrere Tape-Laufwerke via FC-Topologie an den NAS-Server an, lassen sich die NAS-Storage-Daten sogar über ein bestehendes SAN-Netzwerk sichern und auch restaurieren. Somit wird wie bei einem SAN das LAN nicht durch Backup- und Restore-Prozesse gestört. Auch die komplette Einbindung eines NAS-Geräts in ein SAN ist nach unserer Auffassung nur noch eine Frage der Zeit. Die Vision: Als intelligentes und hoch performantes Gateway verbindet ein NAS-Gerät die NAS-Eigenschaften mit denen eines SAN-Netzwerks. Die SAN-Daten lassen sich mittels eines NAS-Kopfes, der an das SAN angeschlossen ist, extrem schnell an die LAN-Klienten ausliefern. Schon heute sind, den Netzwerkprotokoll-Overhead mit eingerechnet, bis zu 90 MByte/s an Performance realistisch. Auch könnte man die bei NAS- und SAN-Servern üblichen Cluster- und Daten-Replikationsdienste ausnutzen. Lokale NAS-Daten lassen sich so im SAN replizieren und sichern, ohne dass die Anwender davon Notiz nehmen. Bis die Hersteller die komplette Einbindung von NAS in SAN allerdings vollziehen können, gilt es noch einige Hürden zu bewältigen. Zur Zeit verhindern die unvollständige SAN-Interoperabilität und noch nicht verabschiedete SAN-Standards eine weitere Verbreitung heterogener SANs. Laut Gartner Group werden derzeit hauptsächlich homogene SAN-Netzwerke realisiert; ein offenes SAN-File-System ist momentan nicht in Sicht. Und so wird es wohl in der nächsten Zeit bei einem Nebeneinander von NAS und SAN bleiben; beide Varianten kommen gemeinsam zum Einsatz, NAS für File-Systeme der Benutzerdaten und SAN als strategische Storage-Architektur für die Speicherverwaltung insgesamt. Allerdings bleibt die Frage, wann NAS und SAN tatsächlich konvergieren, unbeantwortet. (Andreas Priessnitz/mw) Der Autor ist Senior Systems Engineer bei Auspex Systems. www.lanline.de SCHWERPUNKT: STORAGE AREA NETWORKS OPEN STORAGE NETWORKING Fokussierung auf NAS und SAN reicht nicht Die eigentlichen informationsverarbeitenden Technologien treten zugunsten der informationsspeichernden in den Hintergrund. Wurden einst Data Storage Devices als Peripherie zu den eigentlichen Rechnern und Servern bezeichnet, so scheint sich heute der Trend umzukehren. Server werden – zumindest was das Investitionsvolumen anlangt – zur Peripherie neben den Datenspeichersystemen. er Trend, dass Datenspeicherungssysteme nicht mehr als reiner Satellit von Servern und Clients angesehen werden, lässt sich auch auf technologischer Ebene beobachten. Waren es über Jahrzehnte ausschließlich Direct Attached Storage Systeme, die Festplatten direkt mit den jeweiligen Server-Systemen verkabelten, sind es nun zwei Konzepte, die mit den Unzulänglichkeiten von Direct Attached Storage Devices aufräumen wollen, nämlich Network Attached Storage (NAS) und Storage Area Networks (SAN). Beide Konzepte sind angetreten mit dem Bestreben, bessere Skalierbarkeit, Erweiterbarkeit und Verfügbarkeit zu ermöglichen – und das bei zumindest gleichbleibender Performanz im Datendurchsatz. In den Diskussionen sind mitunter heftige Debatten entflammt, welches Konzept das bessere sei. Bei dem Vergleich beider Systeme auf technischer Ebene, gelangt man im Wesentlichen zu folgender Aussage: – SAN ist ein Technologiekonzept und meint Storage-Zugriff über Fibre Channel unter Verwendung von Encapsulated SCSI. – NAS ist ein Technologiekonzept und bedeutet Storage-Zugriff über TCP/IP unter Verwendung von Netzwerk-FileSystemen wie NFS, HTTP und Windows Networking. An dieser Stelle könnte die Diskussion geführt werden, dass Fibre Channel vermeintlich höheren Datendurchsatz erzielen D 184 L AN line 12/2000 kann als beispielsweise eine Ethernet-Infrastruktur. Wenn man sich allerdings die jüngsten Entwicklungen ansieht, bleibt festzustellen, dass sich durch GigabitTechnologien die Bandbreiten stark angenähert haben. Ansätze wie die 10Gb-Alliance wiederum sprechen ebenso wie die Kostenverhältnisse (sowohl für Hardware als auch im Sinne von Personalkosten für spezifisches Know-how) für die IP-basierende Infrastruktur. Dennoch scheint der Vergleich der beiden Ansätze nur aus dieser Richtung betrachtet noch ungenügend, weil nicht umfassend genug. Auch die wirtschaftliche Sichtweise bringt keine Klarheit, weil das SAN eine unternehmensrelevante Lösung ist: SAN verbindet Daten mit Servern. NAS ist eine unternehmensrelevante Lösung und verbindet Daten ebenfalls mit Servern. Die Unterscheidbarkeit, um die beiden Ansätze klar kategorisieren und damit auch bewerten zu können, ist also sowohl bei der üblichen technischen, als auch bei der wirtschaftlichen Betrachtungsweise nicht oder nur begrenzt gegeben. Auf der einen Seite ist es die Zugriffsart, die von Relevanz erscheint. Damit ist gemeint, ob die dem Storage vorgelagerten Rechnersysteme in der Lage sind, Daten auf direktem Wege in den Hauptspeicher zu laden, oder ob dies über eine intermediäre Zwischenschicht (konkreter: TCP/IP-Stacks) erfolgt. Die zweite relevante Dimension ist das Zugriffsprotokoll, das heißt, wird auf physische Datenblöcke zugegriffen oder werden logische Meta-Strukturen benötigt, also Files beziehungsweise File-Systeme. Wenn man diese beiden Dimensionen nun auf zwei Achsen aufträgt, ergibt sich folgendes Portfolio, das die vorherrschenden Technologien einordnerbar macht: An dieser Stelle mag es überraschend sein, dass ein SAN in der oberen linken Ecke erscheint und nicht in einer der Netzwerkspalten. Das ist dadurch zu be- SCSI over IP ist eher mit einem Direct-Attached-Storage-System oder mit einem SAN zu vergleichen als mit einem Fileserver oder einer NAS-Appliance. www.lanline.de SCHWERPUNKT: STORAGE AREA NETWORKS gründen, dass ein Storage Area Network sich zwar netzwerk-ähnlicher Infrastruktur für die Verkabelung der Storage Devices mit den Rechnersystemen bedient, allerdings der Zugriff auf Daten trotzdem auf direktem Wege erfolgt – also vom Storage Device direkt in den Hauptspeicher des zugreifenden Systems. Hingegen soll es SCSI over IP ermöglichen, Encapsulated SCSI auf Basis von IP-Infrastrukturen zu übertragen, was einen IP-Stack als intermediär zwingend notwendig macht. Wenn man dieses Portfolio nun näher betrachtet und in den vorherrschenden SAN/NAS-Diskussionen verbleibt, stellt sich die Frage ob SCSI over IP eher NAS- oder eher SANAnsätzen entspricht? Umgekehrt ist das in Entstehung begriffene Direct Access File System (DAFS), ein ebenso schwer zuzuweisendes Konzept. Denn DAFS steht für direkten Zugriff auf File-Ebene über Virtual-Interface-Architektur (nähere Details unter www.dafscollaborative.org). Auch hier bleibt die Frage offen, ob DAFS eher einem SAN oder einem NAS gleichkommt. Diese Unklarheiten zeigen auf, dass die reine Fokussierung auf NAS und SAN nicht ausreichend ist, um die Vorund Nachteile klar auszumachen. Die Stärken und Schwächen der unterschiedlichen Konzepte sind vielmehr nur zu sehen, wenn man beide Dimensionen (Zugriffsart, Zugriffsprotokoll) betrachtet und mit den im eigenen Unternehmen vorherrschenden Rahmenbedingungen (bestehende Infrastruktur, Investitionsschutz, vorhandenes Know-how etc.) in Einklang bringt. Wer versucht, innerhalb des Portfolios Verwandtschaften herauszuarbeiten, wird feststellen, dass es eher das Zugriffsprotokoll ist, das stärker wiegt. Denn SCSI over IP ist eher mit einem Direct-Attached-System beziehungsweise mit einem SAN zu vergleichen als mit einem klassischen Fileserver oder einer NAS-Appliance. Das heißt, dass eine Betrachtung der Vor- und Nachteile von File- versus Block-LevelZugriff vielversprechender erscheint, als eine Gegenüberstellung von NAS und SAN. Die Vorteile von File-Level-Zugriff sind im Wesentlichen folgende: – Multiprotocol Data Sharing: Nur unter Miteinbeziehen des File-Systems ist es 186 L AN line 12/2000 Grenzenloser Speicherbedarf Eine aktuelle Studie der “School of Information Management and Systems” an der Universität in Berkeley spricht von 250 MByte (= 262.144.000 Byte) je Erdenbürger an Daten, die weltweit pro Jahr an Print-, Film-, optischem und magnetischem Inhalt produziert würden. Ausgehend von dieser Studie ergäben das 1,5 Milliarden GByte an Datenspeicher per annum. Analysten wie Merrill Lynch, IDC und Forrester Research verweisen darauf, dass das durch die Entwicklungen der Informationsgesellschaft ausgelöste und durch das Internet, EBusiness-Konzepte und Netzwerkbildung beschleunigte Wachstum an elektronischen Daten weiter anhalten wird. Die Fortune 500-Unternehmen steigern demnach ihren Bedarf für DataStorage-Systeme (kurz DSS) jährlich um mindestens 100 Prozent . Dieser Trend wird nicht nur anhalten, sondern weiter zunehmen. Um dem Herr zu werden, geben IT-Abteilungen von Unternehmen in den nächsten fünf Jahren mehr als die Hälfte der Hardware-Investments für Datenspeichersysteme aus. möglich, echtes Daten-Sharing im heterogenen Umfeld (NFS, CIFS) zu offerieren. Denn woher soll ein Block-Device wissen, welche Blöcke zu einem File gehören, welcher Anwender darauf zugreifen darf oder welcher Benutzer gerade welche Datei in Bearbeitung hat? Echtes Daten-Sharing, also gleichzeitiger Schreib-/Lese-Zugriff, ist ohne intelligente Zwischenschicht auf Block-Ebene nicht möglich. – Data Management: Security, Quotas, Q-Trees: Die Abbildung von Zugriffsrechten (ACLs, uid/gid) erfolgt auf logischer und nicht auf physischer Ebene, also im Filesystem und nicht in der Blockund RAID-Geometrie. Das Wissen um Ownership, Größen von Files etc. wiederum ist die Grundlage für weitere Datenmanagement-Methoden wie Quotas und Q-Trees. – Data Movement: Vol Copy, Snap Mirror: Daten zu replizieren oder zu portieren kann naturgemäß auf Block- und auf File-Ebene erfolgen. Im Vordergrund der Betrachtung steht allerdings die Granulierbarkeit der Replikation. Die SnapMirror-Technologie ermöglicht es, inkrementelle Datenänderungen auch an weit entfernte Orte zu replizieren, um effiziente, asynchrone Datenspiegelung durchführen zu können. Dazu ist es allerdings notwendig, im Besitz des File-Systems zu sein. – Data Magic: Snapshot, Snaprestore: Die Filer ermöglichen es, bis zu 31 Versionen von File-Systemen im Zugriff zu halten, ohne die Daten zwingend doppelt speichern zu müssen. Das wird dadurch erreicht, dass beispielsweise Änderungen eines Blocks eines aus drei Blöcken bestehenden Files nur dazu führen, dass der geänderte Block gespeichert wird. Solche Overhead-reduzierenden und Verfügbarkeits-erhöhenden Technologien bedingen aber die Hoheit über das File-System. Die Vorteile von Block-Level-Zugriff sind dagegen primär folgende: – Storage Devices “sprechen” in Blöcken: Um mit Festplatten, Bandlaufwerken etc. auch tatsächlich kommunizieren zu können, muss in Blöcken “gesprochen” werden. Auch NAS-Appliances greifen letztendlich auf ihre Plattenbestände im Block-Mode zu. – Device-zu-Device-Kommunikation: Der direkte Datenaustausch zwischen Storage-Devices kann als Vorteil des BlockZugriffs angesehen werden. Daten-Backup, Tape-Library-Sharing etc. sind klare “Killer-Applikationen”, die zugunsten von Block-Level-Zugriff – und damit auch von SAN-Technologien sprechen. Jeder der einzelnen Ansätze hat seine Existenzberechtigung. Im sinnvollen Zusammenspiel kann der maximale Nutzen für den Anwender – und damit für das Unternehmen – erzielt werden. Solche integrierenden Gedanken sind es, die Network Appliance dazu veranlasst haben, die “Open Storage Networking”-Initiative mit ins Leben zu rufen. (Gunther Thiel/mw) Gunther Thiel ist bei Network Appliance als Marketing Manager für Central Europe zuständig www.lanline.de SCHWERPUNKT: STORAGE AREA NETWORKS SAN-MANAGEMENT-SOFTWARE SANsymphony – das virtuelle SAN Hardware und Treiber-Software für Speichernetzwerke sind seit einigen Jahren in genormter oder standardisierter Form verfügbar. Probleme bereitet allerdings das Management von großen Datenmengen in verteilten, heterogenen EDV-Systemen. Die Verwaltung der Dateien in heterogenen Systemen muss deshalb zentral organisiert werden. Diese Speicherkonsolidierung übernimmt die SAN-Management-Software SANsymphony von Datacore. weg aus dieser Problemsituation bieten SANs mit dem Fibre Channel als Übertragungsmedium. Dazu wird das Netz zweigeteilt, in einen primären LAN-Bereich, wie bisher für den Zugriff der Arbeitsstationen auf die Server, und in einen sekundären SAN-Bereich für den hochvolumigen Datentransfer zwischen den Speichereinheiten und den Servern. Jeder Bereich ist für die dort vorwiegende Betriebsart optimiert. So sind etwa Nutzlasten bei der Datenübertragung von mehr als 90 Prozent und Entfernungen von mehr als zehn Kilometer möglich. Damit diese Netztrennung und Lastverteilung problemlos vor allem in den üblichen heterogenen Installationen funktioniert, wird eine Verwaltungs-Software wie SANsymphony benötigt. ÜBERSICHT SANsymphony virtualisiert n gängigen Netzwerken wird der gesamte Datenverkehr über Ethernet unter dem TCP/IP-Protokoll abgewickelt. Bei großen Datentransfers, vielen Anwendern an Arbeitsstationen und geringer Übertragungsleistung gibt es massive Engpässe im betrieblichen Ablauf. Der Datenverkehr im “shared” Ethernet ist sehr ineffektiv bei typischerweise nur etwa 30 Prozent Nutzlast. Im “switched”-Betrieb kann die Auslastung etwa verdoppelt werden. Die Kabellängen sind begrenzt mit etwa 100 Meter I für Kupferleitungen und etwa 500 Meter bis zwei Kilometer für Glasfaserverbindungen. Als Ausweg wird üblicherweise das Netz in Subnetze für Arbeitsgruppen unterteilt. An den Übergängen zwischen den Subnetzen entstehen aber ebenfalls wieder Engpässe. Bei einem stark ausgelasteten Netz ist unter den hier beschriebenen Voraussetzungen keine vollständige Datensicherung mehr möglich, da meist sehr viel weniger als acht Stunden in der Nacht zur Verfügung stehen. Einen Aus- SANsymphony virtualisiert alle Speicherressourcen, damit unterschiedliche Rechnerplattformen und Betriebssysteme reibungslos zusammen arbeiten können 188 L AN line 12/2000 alle Speicherressourcen, damit unterschiedliche Rechnerplattformen und Betriebssysteme reibungslos zusammenarbeiten. Für die Datensicherung werden die zu sichernden Daten einem Backup-Server unter Veritas-, Legato- oder ArcserveBackup-Software zugeteilt. Mit dieser Methode ist “LAN-free”- oder “Server-less”Backup ohne weiteren Aufwand möglich. Darüber hinaus kann der Anwender auf “Knopfdruck” zusätzlichen Speicher einbinden (ohne Reboot) und auf entfernte Systeme zugreifen. Er wird von Verwaltungsaufgaben, wie beispielsweise dem Anlegen von Sicherungskopien, befreit. Durch die Verwaltungsvereinfachung kann der Speicheradministrator ein erheblich größeres Datenvolumen flexibel managen und den verschiedenen Applikationen und Anwendern zur Verfügung stellen. STRUKTUR Ein SAN besteht aus Speichereinheiten und Anwendungs-Servern sowie der dazwischen liegenden Infrastruktur aus HBAs (Host-Bus-Adapters), Kabeln, Hubs und Switches. Einige Server sind für besondere Aufgaben optimiert. Dazu gehören Backup-Server für die Datensicherung oder Datenspeicher-Server. SANsymphony läuft auf dafür konfigurierten Storage-Domain-Servern (SDS). Die Software erzeugt ein virtuelles SAN mit einem Storage-Domain-Server, das von zen- www.lanline.de SCHWERPUNKT: STORAGE AREA NETWORKS traler Stelle aus verwaltet wird. Die zentrale Bedienung kann auch über eine entfernt aufgestellte Management-Arbeitsstation über das LAN erfolgen. Ein oder mehrere SDS unter Windows NT übernehmen die Verwaltung von heterogenen Systemumgebungen (Unix/Linux, Windows NT usw.). Es können auch herkömmliche Ressourcen (Parallel-SCSI, RAIDs, JBODs etc.) eingebunden werden. In der Minimalausstattung (entry-level Server Edition) wird ein gemeinsamer Satz von Speicherlaufwerken von einem einzelnen StorageDomain-Server gesteuert. Mehrere Speichergruppen in einem einzigen SAN werden auch unterstützt. Die “SANsymphony Network Edition” wird für größere Netze und Speichergruppen mit mehreren SDS eingesetzt. Wie der Begriff “Suite” erkennen lässt, besteht SANsymphony aus einer Anzahl von Dienstleistungsmodulen wie beispielsweise SANcentral (zentrale Verwaltung), SANmapper (Konfiguration), SANadministrator (Zugriffsrechte), SANcache (Zugriffsbeschleunigung), TimeVantage (Augenblickskopie) und PCmirrors (Spiegelung). Andere Programme innerhalb der SANsymphony-Architektur sind: SANcentral Development, TimeVantage Snapshot und PCmirrors. Die SANsymphony-Software konsolidiert alle in einem System verfügbaren Speicher-Subsysteme von unterschiedlichen Herstellern in einen einzigen virtuellen Speicher (Shared Storage). Ein oder mehrere Storage-Domain-Server stellen diesen Gesamtspeicher in den benötigten Mengen den Anwendungen unter den verschiedenen Betriebssystemen (zum Beispiel Windows, Unix/Linux, Netware) zur 190 L AN line 12/2000 Verfügung. Die Server sind üblicherweise mit den Speichereinheiten und untereinander über Fibre-Channel-Verbindungen vernetzt. Es spielt keine Rolle, ob dies über Punkt-zu-Punkt-, Hub- oder Switch-Verbindungen geschieht. Datacore hat auch Dienstprogramme, um Speicher mit den älteren Schnittstellen ATA/EIDE, SCSI oder SSA nahtlos in ein FC-SAN einzubinden. Diese älteren Einheiten werden an die Storage-Domain-Server angeschlossen und dem System als FC-Geräte präsentiert. Das gilt insbesondere für Bandlaufwerke mit SCSI-Schnittstelle, die somit keine der sonst üblichen SCSI-FC-Bridges benötigen. Der Gesamtspeicher kann den Anwendungen – entsprechend den Anforderungen – in beliebiger Größe unter verschiedenen Betriebssystemen passend zugeteilt werden. Neu hinzugefügte Speicher oder Speichergruppen (RAID, JBOD) können von unterschiedlicher Größe sein und von verschiedenen Herstellern stammen. Bei Zu- oder Abgang von Speichereinheiten sind weder eine Rekonfiguration noch ein Re-Boot nötig. Dateibereiche lassen sich auch, mit entsprechenden Rechten versehen, von mehreren Servern nutzen. Der berechtigte Administrator teilt unabhängig von physikalischen Aufteilungen den Speicher mit Mausklicks zu. Die zugewiesenen Bereiche können auch größer oder kleiner als einzelne Platten oder RAIDGruppen sein. Wird ein Computer ausgewechselt, dann muss das System nicht neu konfiguriert oder installiert werden. Beim Computertausch in einem von SANsym- phony verwalteten System ist dies ähnlich einfach wie ein Plattentausch. Die FCKanäle am SDS werden automatisch entdeckt. Die Caching-Technik von SANsymphony kann den Betrieb mit JBODs und Plattenarrays fast immer beschleunigen. Die SANcentral-Überwachungs-Software hilft bei der Optimierung durch die grafische Anzeige der Auslastung in Echtzeit. Der Durchsatz in einem einigermaßen optimal konfigurierten System ist in der Tabelle auf Seite 191 (Ergebnisse des Iometer-Tests von Intel) zu sehen. Die Leistung flacht auch bei großen Systemen nicht nennenswert ab. Mit einem Augenblicks-Schnappschuss (point-in-time snapshot) können logische Speicherbereiche ohne Zeitaufwand bei den Anwendungs-Servern abgebildet werden. Der Normalbetrieb läuft unbeeinflusst und unverzögert weiter. So können andere Server mit konsistenten Kopien arbeiten ohne immer komplette Systemumgebungen permanent mitführen zu müssen. Für die Datensicherung während des laufenden Betriebs ist diese Funktion unerlässlich, da sonst ein komplettes Backup bei Dauerbetrieb nicht möglich wäre. Leistung, Sicherheit und Kosten lassen sich als Quality of Service je nach Anforderung skalieren. So kann den Anwendungen mit hoher Leistungsanforderung der schnellste Speicher zugewiesen werden. Andere Anwendungen mit geringeren Anforderungen werden mit preisgünstigeren Rechnern, Speichereinheiten und Infrastruktur betrieben. Die Anpassung geschieht über die Zuweisung von logischen Speicherbereichen, ohne dass ein bestimmter Rechner ausgetauscht werden muss. Die Auswahl von CPUs, CacheGröße, Speicherleistung und Adapterkarten lässt sich flexibel an die Anforderungen anpassen. SANsymphony bietet verschiedene Möglichkeiten beim Ausfall von Komponenten, Übertragungswegen oder Rechnersystemen, den Betrieb unterbrechungsfrei und möglichst ohne grossen Leistungsverlust weiter zu führen. So kann etwa das Ereignisjournal überwacht werden und automatisch SNMP-Alarme auslösen. www.lanline.de SCHWERPUNKT: STORAGE AREA NETWORKS Diese lassen sich auch per E-Mail verschicken. Spiegelung, Schnappschüsse, Journal-gesteuerter Wiederanlauf, redundante I/O-Kanäle und weitere Funktionen sichern unternehmenswichtige Teile des Systems vor Ausfällen. Je nach Sicherheitsanforderung können RAID-Systeme mit hoher Redundanz und JBODs (Just a Bunch Of Disks) gemischt eingesetzt werden. Die Spiegelung von logischen Speicherbereichen kann auch über große Entfernungen im FC-Netz erfolgen. Das erledigen die SDS ohne Mithilfe durch die Anwendungs-Server. Der gesicherte Zugriff wird für das Gesamtsystem gewährleistet. Rechner, die bestimmte Zugriffs-Software nicht unterstützen, können trotzdem nicht auf fremde Dateien zugreifen. Die Redundanz in Systemen mit hoher Verfügbarkeit wird mit N+1-Konfigurationen erreicht, was preisgünstiger als die 2N-Technik (Spiegelung) ist. SPEZIFIKATIONEN Der Kern der SAN- symphony-Management-Software läuft auf Windows-NT-Servern, die wegen www.lanline.de ihrer speziellen Aufgaben auch SDS (Storage- Domain-Server) genannt werden. Wintel-Server mit zwei oder mehr Prozessoren (ab 200 MHz) mit mindes- HBA in Target Mode am SDS 1 x QLogic 2100 1 x QLogic 2200 8 x QLogic 2200 I/O/s 4500 7500 53000 tens 192 MByte Hauptspeicher (2 GByte maximal) und mindestens 64 MByte (1,5 GByte maximal) freiem Speicher werden benötigt. Windows-NT-4.0Server mit Service- Pack-5 oder höher kommt für den Betrieb eines SDS zum Einsatz. Der Anschluss an das FC-Netz erfolgt über die Host-Bus-Adapter (HBA) 21xx(A) oder 22xx(A) von Qlogic. Festplatten werden über jeden vom jeweiligen Rechner unterstützten FCoder SCSI-Host-Bus-Adapter mit PCISchnittstelle angeschlossen. EINSATZBEREICHE Neben Windows NT 4.0 und Windows 2000 werden auch Sun Solaris, HP/UX, IBM AIX, Netware 5.0 und Red Hat Linux unterstützt. Die üblichen SAN-Komponenten, wie zum Beispiel die meisten FC-Switches und FCHubs, lassen sich in einem SAN mit SANsymphony betreiben. Die nicht am Fibre Channel angeschlossenen Komponenten werden durch ein Hilfsprogramm als virtuelle FC-Geräte in SANsymphony eingebunden. Der aktuelle Stand der kompatiblen Hardware und Betriebssysteme kann über die Website von Datacore (www.da tacoresoftware.com) sowie von TIM (www.TIM.de) und den SAN Solution Providern (www.SAN-Solution-Provider. de) abgefragt werden. (Gerold Hahn//mw) Weitere Informationen: TIM Tel.: 0611/ 27 09 53 Web: www.tim.de Datacore Software Web: www.datacoresoftware.com L AN line 12/2000 191 SCHWERPUNKT: STORAGE AREA NETWORKS Anbieter: Fibre-Channel-Switches Brocade Communications Systems/Basis Brocade Communications Systems/Controlware Brocade Communications Systems/IQ products Dell Computer Gadzoox Networks Gadzoox Networks/ Advanced Unibyte Gadzoox Networks/ Netpoint regio Gadzoox Networks/CPI Telefon Produkt 001/503/639/6700 ACI-2048-F32-2 089/97007252 Silkworm 2010 Silkworm 2040 Silkworm 2050 Silkworm 2100 Silkworm 2210 Silkworm 2240 Silkworm 2250 Silkworm 2400 Silkworm 2800 089/358736-0 Silkworm-Familie Preis in DM ab 4995 $ a.A. a.A. a.A. a.A a.A a.A. a.A. a.A. a.A. a. A. 06074/8580-0 Silkworm-Familie a.A. 089/9449400 Silkworm-Familie a.A. 0180/5224035 089/92404120 07121/483-105 Powervault 51F Powervault 56F Capellix 2000 Capellix 2000 ab 20.205 ab 36.885 ab 3000 $ a.A. 0761/15263-0 Capellix 2000 a.A. 089/962441-60 Capellix 2000 C Capellix 2000 F Capellix 2000 G Capellix Capellix 3000 6859 13270 9150 a.A. ab 10.500 $ Gadzoox Networks/Qunix 0711/7796563 Gadzoox Networks 089/92404120 www.lanline.de Hersteller/Anbieter Gadzoox Networks/ Advanced Unibyte Gadzoox Networks/ Argus Computersysteme Gadzoox Networks/CPI Gadzoox Networks/ Netpoint regio Inrange Mcdata/Comparex Qlogic/Advanced Unibyte Telefon 07121/483-105 Produkt Capellix 3000 Preis in DM a.A. 0621/33817-22 Capellix 3000 18.000 089/962441-60 0761/15263-0 Capellix 3000 Capellix 3000 22.899 a.A. 089/427411-24 0621/4009-261 07121/483-105 SGI 089/46108180 Storage Tek/Netpoint regio Storage Tek/Mainstore Service + Distribution Vixel Corporation Vixel Corporation/ Netpoint regio Vixel Corporation Vixel Corporation/Mosaic Geva Vixel Corporation/ Netpoint regio Vixel Corporation Vixel Corporation/ 0761/152630 06028/4055-0 FCI 9000 ED5000 FC Director SANbox 8 SANbox 16 FC-Switch-8 FC-Switch-16 Switch 4108/4116 Switch 4108/4116 a.A. a.A. a.A. a.A. 38.240 69.930 a.A. a.A. 06056/901035 0761/15263-0 Vixel 7100 Vixel 7100 ab 6995 $ a.A. 06056/901035 02404/5500-0 Vixel 7200 Vixel 7200 11.995 $ a.A. 0761/15263-0 Vixel 7200 a.A. 06056/901035 0761/15263-0 Vixel 8100 Vixel 8100 8495 $ a.A. Netpoint regio ▼ Hersteller/Anbieter Apcon Brocade Communications Systems LANline 12/2000 191 SCHWERPUNKT: STORAGE AREA NETWORKS Marktübersicht: Fibre- ● ● ● ● Brocade Communi- Silkworm 2010 cations Systems Dell Computer ● andere ● ● 32 ● ● ● full-duplex full line-speed switching ACI-2048-F32-2 andere Media-Typen GBICs hot-plugable Short-wave Laser Long-wave Laser Kupfer Apcon andere F_Port FL_Port E_Port Stealth Port Produktname Port-Typen Anzahl Fibre Channel Ports Hersteller blocking Switch-Core non-blocking switched arbitrated loop point-to-point unterstützte Topologien Performance (MBit/s per Port) System 1062,5 ● ● ● 1024 ● ● +1 GBIC 1024 ● ● +1 GBIC 1024 ● ● Silkworm 2040 ● ● 8 ● ● ● Silkworm 2050 ● ● ● 8 ● ● ● Silkworm 2100 ● ● 8 ● ● 1024 ● ● Silkworm 2210 ● ● 16 ● ● 1024 ● ● Silkworm 2240 ● ● 16 ● ● ● 1024 ● ● Silkworm 2250 ● ● ● 16 ● ● ● ● 1024 ● ● Silkworm 2400 ● ● ● 8 ● ● ● ● 1024 ● ● Silkworm 2800 ● ● ● 16 ● ● ● ● 1024 ● ● Powervault 51F ● ● 8 ● ● ● ● ● ● ● ● 1062,5 ● ● Powervault 56F ● ● 16 ● ● ● ● ● ● ● ● 1062,5 ● ● ● ● ● bis 11 Capellix 2000 C ● ● ● ● Capellix 2000 F Capellix 2000 G Gadzoox Networks Capellix 2000 ● +1 GBIC ● ● ● ● ● ● 1024 ● 8 ● 1024 ● ● ● ● ● 8 ● 1024 ● ● ● ● ● 8-11 ● ● ● ● ● 1024 ● ● ● ● ● ● Sinisar 1024 ● ● ● ● ● ● ● 1024 ● ● bis 33 AL-Port ● ● ● Capellix 3000 ● ● ● ● bis 33 Inrange FCI 9000 ● ● ● ● 64 ● ● ● Mcdata ED5000 FC Director ● ● 32 ● Qlogic SANbox 8 ● ● ● ● 8 ● ● ● SANbox 16 ● ● ● ● 16 ● ● ● FC-Switch-8 ● ● ● ● 8 ● ● ● ● 1062,5 ● FC-Switch-16 ● ● ● ● 16 ● ● ● ● 1062,5 ● Switch 4108 ● ● ● ● 8 ● ● ● Autosensing ● ● ● ● ● 1062,5 ● Switch 4116 ● ● ● ● 16 ● ● ● Autosensing ● ● ● ● ● 1062,5 ● Vixel Corporation Vixel 7100 ● ● ● ● 8 ● ● ● ● Stealth Loop-3 ● ● 1062,5 ● ● Vixel 7200 ● ● ● ● 16 ● ● ● ● Stealth Loop-3 ● ● 1062,5 ● ● FC-Switch 7200 ● ● ● ● Fabric 16 ● ● ● ● ● ● ● ● ● 1062,5 ● Vixel 8100 ● ● ● ● 8 ● ● ● ● ● ● 1062,5 ● ● SGI Storage Tek 192 LANline 12/2000 TL-Port, SL-Port ● ● ● ● ● ● 1062,5 ● ● ● ● ● 1063 ● ● TL-Port, SL-Port ● ● 1062 ● ● TL-Port, SL-Port ● ● 1062 ● ● www.lanline.de SCHWERPUNKT: STORAGE AREA NETWORKS Channel-Switches architektur SNMP Telnet Web-basierend IETF FC Management MIB Fabric Element MIB Port-Control End-to-End Fabric Management Zoning Anzahl Frame Buffers per Port Maximum Frame Size (Byte) 32 8 <2 2 ● ● ● 2112 224 ● ● ● ● ● ● ● ● ● ● ● FSPF ● ● ● ● ● ● ● ● Fabric Watch ● ● ● ● 8 <2 2 ● ● ● 2112 224 ● ● ● ● ● ● ● ● ● ● ● FSPF ● ● ● ● ● ● ● ● Fabric Watch ● ● ● ● 8 <2 239 ● ● ● 2112 224 ● ● ● ● ● ● ● ● ● ● ● FSPF ● ● ● ● ● ● ● ● Fabric Watch ● ● ● ● sonstige andere ● In-band Ethernet 10/100 seriell Out-band anderer 10 FC-AL FC-AL-2 FC-FLA FC-GS-2 FC-FG FC-PH FC-PH 2 FC-PH 3 FC-PLDA FC-SW FC-IV 1,0625 Class 2 Class 3 Class F skalierbar bis (Anzahl Switches) ManagementZugriff Fabric-Latenzzeit (Mikrosekunden) unterstützte Fibre-Channel-Standards Switch-Bandbreite (GBit/s) Class of Service Management ● ● 8 <2 2 ● ● ● 2112 224 ● ● ● ● ● ● ● ● ● ● ● FSPF ● ● ● ● ● ● ● ● Fabric Watch ● ● ● ● 16 <2 2 ● ● ● 2112 448 ● ● ● ● ● ● ● ● ● ● ● FSPF ● ● ● ● ● ● ● ● Fabric Watch ● ● ● ● 16 <2 2 ● ● ● 2112 448 ● ● ● ● ● ● ● ● ● ● ● FSPF ● ● ● ● ● ● ● ● Fabric Watch ● ● ● ● 16 <2 239 ● ● ● 2112 448 ● ● ● ● ● ● ● ● ● ● ● FSPF ● ● ● ● ● ● ● ● Fabric Watch ● ● ● ● 8 <2 239 ● ● ● 2112 224 ● ● ● ● ● ● ● ● ● ● ● FSPF ● ● ● ● ● ● ● ● Fabric Watch ● ● ● ● 16 <2 239 ● ● ● 2112 448 ● ● ● ● ● ● ● ● ● ● ● FSPF ● ● ● ● ● ● ● ● Fabric Watch ● ● ● ● 8 <2 239 ● ● ● 2112 16 ● ● ● ● ● ● ● ● ● ● ● ● Powervault 51F Switch Manager 16 <2 12 239 ● ● ● 2112 16 ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● 2 ● ● ● ● ● ● ● ● FC-SW2 ● ● ● ● ● ● ● ● ● ● 12 <0,5 4 ● ● ● ● ● ● ● ● FCP ● ● ● ● ● ● ● 12 <0,5 4 ● ● ● ● ● ● ● ● FCP ● ● ● ● ● ● ● 12 <0,5 4 ● ● ● ● ● ● ● ● FPC ● ● ● ● ● ● ● 28 <0,5 4 ● ● ● ● ● ● ● FC-SW2, FC-P ● ● ● ● ● ● ● ● ● 2 ● ● ● ● ● ● ● ● FC-SW2 ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● FC-Tape, Fibre Channel 28 64 <0,6 ● 2048 ● ● ● ● ● ● ● ● ● TFTP, SES, GS3 ● ● ● ● ● EFC Management Software ● ● ● ● ● Element MIB, alle ANSIStandards 64 <2 36 ● ● ● ● ● ● ● 8 0,6 1-X ● ● 2148 8 ● ● ● ● ● ● ● ● ● ● ● FC-Tape ● ● ● ● ● ● ● ● ● 16 0,6 1-X ● ● 2148 8 ● ● ● ● ● ● ● ● ● ● ● FC-Tape ● ● ● ● ● ● ● ● ● 8 <2 239 ● ● ● 2112 28 ● ● ● ● ● ● ● ● ● ● ● IPFC ● ● ● 16 <2 239 ● ● ● 2112 28 ● ● ● ● ● ● ● ● ● ● ● IPFC ● ● ● 239 ● ● ● 2112 224 ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● 239 ● ● ● 2112 448 ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● Frontpanel ● ● ● ● ● ● 16 <2 239 ● ● 2112 32 ● ● ● ● ● ● ● ● ● ● FCP ● ● ● ● ● ● SAN Insite ● ● ● 32 <2 239 ● ● 2112 32 ● ● ● ● ● ● ● ● ● ● FCP ● ● ● ● ● ● SAN Insite ● ● ● 239 ● ● 2112 ● SAN Insite ● ● ● 239 ● ● 2112 ● SAN Insite ● 32 16 <3 www.lanline.de ● ● 32 ● ● ● ● ● ● ● ● ● ● FCP ● ● ● ● LANline 12/2000 ● 193 SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS FLEXIBEL UND DENNOCH PRODUKTIV VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS FÜR UNTERNEHMEN Ein virtuelles privates Netzwerk (VPN) verbindet verschiedene Netzwerke über nicht vertrauenswürdige oder öffentliche Netze so, dass es für die Anwender und die Anwendungen in den einzelnen Netzen den Anschein eines einzigen Netzwerks macht. Beim Einrichten einer solchen Lösung sind allerdings etliche Aspekte wie zum Beispiel Sicherheit , Abrechnungsmethoden und leichte Bedienarbeit zu berücksichtigen. 194 L AN line 12/2000 www.lanline.de SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS Das “virtuell” in Virtual Private Networks bedeutet, dass es nur den Anschein vermittelt, ein einziges Netz zu sein, in Wirklichkeit aber aus verschiedenen unabhängigen Netzen besteht. “Privat” heißt, dass die Kommunikation über nichtvertrauliche Netze geheim und über öffentliche Netze sicher geführt wird. Das “Netzwerk” besteht in diesem Zusammenhang aus einer Gruppe von Computern, die über Protokolle miteinander kommunizieren. Dabei können auch einzelne, separate Computer wie Heimarbeits-PCs oder die Laptops von mobilen Vertriebsmitarbeitern oder Technikern als separate Netzwerke angesehen werden, wenn sie in einem VPN zum Einsatz kommen. Bildlich gesprochen ist ein VPN ein Netz von Tunneln, die unter Nutzung der Verbindungswege wie zum Beispiel des Internets ein virtuelles Firmennetz bilden. Die Tunnelendpunkte markieren den je- weiligen Übergang vom LAN ins Internet. Dieser Übergang lässt sich über einen VPN-fähigen Router/Gateway realisieren. Auch wenn manche sagen, es gibt ja auch VPN-fähige Firewalls oder RAS-Server als Übergänge, stimmt das zwar von der Funktionalität her, aber letztlich sind sie neben ihrer Aufgabe als Firewall oder RAS-Server ebenfalls VPN-fähige Router. Der Begriff des Tunnels oder des Tunneling stellt nur einen Kunstbegriff für das Einpacken von Datenpaketen dar. Dabei erhalten die Pakete einen neuen IP-Header und werden gleichzeitig verschlüsselt, damit ein sicherer Transport der Informationen über öffentliche Netze zum Empfänger erfolgt. Auf der Empfangsseite entfernt das Gateway den zusätzlichen IP-Header, entschlüsselt das Datenpaket und leitet es an den Empfänger weiter. Liegt ein Endpunkt des Tunnels in einem Rechner, so spricht man von Client-zuLAN-Koppelung, liegen die Endpunkte in Security Gateways, handelt es sich um eine LAN-zu-LAN-Koppelung. ANWENDUNGSSZENARIEN MODERNER VPN-TECHNOLOGIE Die Entwicklung findet in großen Unternehmen heute nicht mehr nur an einem Standort statt. Entwickler müssen folglich von den verschiedensten Orten auf die R&D-Datenbanken und Entwicklungswerkzeuge zugreifen. Mobile Vertriebsmitarbeiter und Berater benötigen außerdem aktuelle Daten über Warenbestände und Produktionsdaten; sie müssen in der Lage sein, von unterwegs EMails abzurufen und Aufträge zu erteilen. Zudem verfolgen viele Unternehmen zur Zeit die Strategie, sich auf ihre Kernkompetenz auszurichten, um so dynamischere und anpassungsfähigere interne Strukturen zu erhalten. Das führt zum Outsourcing von nachgeordneten betriebsinternen Dienstleistungen. Da inzwischen Millionen von Organisationen mit dem Internet verbunden sind, verliert der Standort möglicher Geschäftspartner ständig an Bedeutung. Das Internet stellt verhältnismäßig gute Bedingungen für weltweite Outsourcing-Strategien her. In der Praxis funktioniert das aber nur über VPN-Lösungen, damit Partner außerhalb des Betriebs einen www.lanline.de L AN line 12/2000 195 SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS kontrollierten und sicheren Zugang zu den internen Netzwerkressourcen erhalten, die sie zum Erfüllen ihrer Aufgaben benötigen. Ähnliches gilt für den Zugang von Geschäftspartnern oder Kunden zu vorgegebenen Diensten und Daten. Das Netz ermöglicht bessere Dienstleistungen und eröffnet neue Geschäftsfelder. Moderne “Advanced-VPN-Technologie” kann die Rechte einzelner Anwender detailliert fest- ein Unternehmen gegen Angriffe zu schützen. Advanced-VPN-Technologie basiert auf starker Verschlüsselung und User-Authentisierung. Zur Zeit gilt bei asymmetrischer Verschlüsselung eine Schlüssellänge von 1024 Bit als stark, bei symmetrischer Verschlüsselung liegt der entsprechende Wert bei 128 Bit. Das Kompromittieren solcher Schlüssel kann bei der heutigen Rechnertechnik und den heutigen Ressourcen einige Jahrzehnte in Anspruch Bild 1. Weltweites Unternehmensnetz via VPN legen und bei Bedarf sogar zeitlich begrenzen. Es spricht aber auch ein wirtschaftlicher Aspekt für VPNs: Standleitungen und Ferngesprächsverbindungen sind nach wie vor teuer. Über ein VPN kommt für die Kommunikation das Internet zum Einsatz, auf das fast an jedem Ort der Welt verhältnismäßig kostengünstig zugegriffen werden kann, da nur Gebühren für die Verbindung mit dem nächsten InternetProvider anfallen. Der Preisvorteil hängt natürlich von den Entfernungen ab. Untersuchungen der Infonetics Research Inc. ergaben einen geschätzten Kostenvorteil von 20 bis 47 Prozent bei der Nutzung der VPN-Technologie im Gegensatz zu Wählleitungen. Bei Remote- und Heimarbeitsszenarien errechnete sich sogar ein Kostenvorteil von 60 bis 80 Prozent. Neben den hier aufgeführten Vorteilen und Einsatzbereichen stellt die Sicherheit nicht nur eine Anforderung an das VPN dar, sondern ist selbst eine Funktion, die für die Nutzung der VPN-Technologie spricht. Ein VPN lässt sich dazu einsetzen, 196 L AN line 12/2000 nehmen. VPN-Technologie lässt sich auch dazu nutzen, die Kommunikation über Wähl- oder Standleitungen absichern. Das bringt Vorteile, wenn etwa eine Organisation den Staaten oder Telefongesellschaften, durch deren Verantwortungsbereich ihre Kommunikation abläuft, misstraut. Zusätzlich zu der Absicherung der Kommunikation bietet die Advanced-VPNTechnologie auch User-Authentisierung und Zugangskontrolle mittels Public-KeyInfrastruktur (PKI) und Smartcard-Technologie. Advanced-VPN bringt also bei sorgfältiger Planung und Implementierung mit starker Verschlüsselung und sicherem Schlüsselmanagement mehr Sicherheit als herkömmliche Methoden. Eine Public-Key-Infrastruktur besteht aus einer Reihe von Sicherheitsdiensten, die in einem verteilten Computersystem den Einsatz der Public-Key-Kryptographie in Verbindung mit Zertifikaten ermöglichen. Die einzelnen Sicherheitsdienste einer PKI sind das Schlüsselmanagement (Schlüssel-Update, Schlüssel-Recovery), das Zertifikatsmanagement (Generierung von Zertifikaten und Revokationslisten) und das Policy-Management. Die Public-Key-Kryptographie erzeugt zwei verschiedene Schlüssel, einen privaten und einen öffentlichen. Der private Schlüssel muss sicher aufbewahrt und vor fremdem Zugriff geschützt werden, während der öffentliche Schlüssel jedem zur Verfügung steht. Der private Schlüssel lässt sich nicht vom öffentlichen ableiten. Eine mit dem privaten Schlüssel chiffrierte Nachricht, kann nur mit dem entsprechenden öffentlichen Schlüssel dechiffriert werden oder umgekehrt. Diese Technik kommt beispielsweise zur User-Authentisierung oder zum Erzeugen digitaler Signaturen zum Einsatz. Die Arbeit mit asymmetrischen Algorithmen ist sehr rechenintensiv und wird deshalb nur beim Aufbau einer sicheren Kommunikation und für die Übertragung des symmetrischen Schlüssels zum Verschlüsseln der Kommunikation verwendet. Ein digitales Zertifikat bildet das elektronische Äquivalent zu einem Personalausweis. Die wichtigste Aufgabe des Zertifikats liegt darin, den Usernamen unzweifelhaft und in standardisierter Form mit dem öffentlichen Schlüssel zu verbinden, um damit eine effiziente und sichere Verteilung der öffentlichen Schlüssel zu realisieren. Eine “Certificate Authority” (CA) generiert die Zertifikate und sichert die darin enthaltenen Daten über eine digitale Signatur. Zertifikate kommen mittlerweile weitläufig in Security-Lösungen zum Einsatz, wie etwa im sicheren E-MailVerkehr und eben auch in VPN-Lösungen. Bild 2 zeigt ein solches Zertifikat. Es kann den Public Key des Inhabers, den Namen des Inhabers, den Namen der CA, die Gültigkeitsperiode des Zertifikats, das Format des Zertifikats sowie weitere Attribute enthalten. Wichtig ist auf jeden Fall, dass das Zertifikat nur die Identität des Inhabers sicherstellt. Die UnternehmenssicherheitsPolicy hat festzulegen, welche Zugriffsrechte der jeweilige Zertifikatsinhaber letztendlich erhält. Die CA muss eine vertrauenswürdige Institution sein. Sie übernimmt die Verantwortung für das Administrieren der www.lanline.de SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS Bild 2. Prinzip eines digitalen Zertifikats Zertifikate, für das Erstellen der Sicherheits-Policy in Bezug auf die Zertifikate, für das sichere Verteilen des eigenen öffentlichen Schlüssels (Public-Key) an andere und für das Bereitstellen von Zertifikats-Revokationslisten (CRLs). Eine CA signiert die von ihr ausgestellten Zertifikate mit ihrem eigenen privaten Schlüssel. Personen, Anwendungen und Systeme, die Zertifikate nutzen, bestätigen deren Gültigkeit, in dem sie die Signatur des Zertifikats mit dem öffentlichen Schlüssel der CA verifizieren. CAs sind hierarchisch organisiert, das heißt, der Root-CA an der Spitze vertrauen alle. Sie zertifiziert dann die CAs unter sich und schafft somit für diese die Vertrauensgrundlage. Bild 3 zeigt das Generieren der Schlüssel und Zertifikate. Nach dem Erzeugen der Schlüssel wird in diesem Beispiel der private Schlüssel sicher an den Anwender “Bob” übertragen. Es wäre auch möglich, dass Bob die Schlüssel selbst generiert, das hängt letztlich von der Security-Policy der CA ab. Diese Policy legt ebenfalls fest, wie Bobs Identität überprüft wird, wenn er ein Zertifikat anfordert. Bobs Public Key landet sowohl in seinem Zertifikat, als auch in einem für jedermann öffentlich zugänglichen Directory. Wenn nun Anwenderin “Alice” oder die von ihr eingesetzte Applikation Bobs Zertifikat nutzen will, kann sie dieses von dem öffentlichen Verzeichnis herunterladen. 198 L AN line 12/2000 Sie hat dabei allerdings zu prüfen, ob das Zertifikat noch gültig ist. Um sicherzustellen, dass Bob und Alice mit der CA kommunizieren können, müssen sie Zugriff auf das Zertifikat der CA erhalten, welches den Public-Key der CA enthält. Als CA kommen beispielsweise Abteilungen innerhalb einer Organisation, Behörden oder “Trusted Third Parties” zum Einsatz. Zu den weltweit operierenden Third Party CAs gehören Verisign, Entrust, D-TRUST und TC-Trust-Center. Für Anwendungen, bei denen die User Mitglieder einer fest eingrenzbaren Gruppe sind, bringt der Aufbau einer internen PKI mit CA-Diensten wegen des geringeren Verwaltungsaufwands Vorteile. Zum Authentisieren vieler Anwender, die unter Umständen keine Beziehung mit dem Unternehmen haben, bietet im Gegensatz dazu eine öffentliche PKI den größeren Nutzen. Ein solches Szenario kommt beispielsweise zustande, wenn Kunden oder Subunternehmer in der Lage sind, auf Teile eines Unternehmensnetzes zuzugreifen. Der größte “Feind” der Systemsicherheit ist die Komplexität. Je komplexer das System wird, desto schwieriger lässt es sich absichern und verwalten. In komplexen Systemen mit umfassenden Konfigurationsmöglichkeiten besteht große Gefahr für menschliche Fehler und Pro- grammfehler, was letztendlich zu erheblichen Sicherheitsrisiken führt. Integriert ein Hersteller, wie zum Beispiel bei Windows 2000, Sicherheitskomponenten in Betriebssysteme, so wächst mit dem Grad der Komplexität und der Quantität des Programmcodes das Risikopotenzial, das aus Bugs und undokumentierten Features herrührt. Gleiches gilt, wenn Sicherheitslösungen in Anwendungen integriert werden, da die Sicherheit ein hohes Maß an Kompetenz erfordert. Deshalb lässt sich ein hoher Sicherheitsgrad besser erreichen, wenn die Systeme einfach aufgebaut, gut dokumentiert und unabhängig von den Anwendungen entworfen und implementiert sind. Den gleichen Anspruch sollte die Security Policy erfüllen. So gilt die Grundregel, dass kein Sicherheitssystem zum Einsatz kommen darf, wenn die Mitarbeiter die Sicherheits-Policy nicht verstehen oder die eingesetzten Lösungen zu komplex sind. VPN-Lösungen umfassen in der Regel die Nutzung unsicherer Netze für eine sichere Kommunikation. Um die damit verbundenen Risiken abzufedern, sind folgende Sicherheitsanforderungen zu erfüllen: Die “Authentisierung” vermeidet, dass jemand vorgibt ein anderer zu sein als er ist. Authentisierung ist ein wichtiger Bestandteil der IT-Sicherheit, die benötigt Bild 3. Der Umgang mit den Diensten einer CA www.lanline.de SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS wird bei der Zugangskontrolle, bei der Festlegung, wer Informationen erhalten oder verändern darf und wer die Kostenverantwortung trägt. Authentisierung steht ebenfalls am Anfang beim Aufbau eines sicheren Kommunikationstunnels. “Datenintegrität” verhindert die unerlaubte Änderung von Daten und Informationen. Sie wird durch das Verbinden von Einweg-Hashalgorithmen mit dem privaten Schlüssel erreicht. “Vertraulichkeit” macht unautorisierten Dritten das Lesen und die Interpretation des Inhalts von Daten unmöglich. Dazu kommt Kryptographie zum Einsatz. Die “Nicht-Bestreitbarkeit” von Kommunikation oder IT-Aktivitäten verhindert schließlich Fälle, in denen Personen oder Systeme den Versand oder Empfang einer Nachricht oder den Zugang auf bestimmte Netzwerkressourcen leugnen. Deshalb sollten die Logging-Daten bei Transaktionen in einem VPN-Server überwacht und www.lanline.de Bild 4. Blockdiagramm Crypto IP gesichert werden, um die Bestreitbarkeit von Zugriffen auf das Netz unmöglich zu machen. SICHERE PROTOKOLLE Im Wesentlichen bilden vier Protokolle die Basis für den Aufbau eines Internet-VPNs. Diese vier Protokolle lassen sich unterscheiden in Protokolle der Schicht 2 und 3 des OSI-Modells. SSL-basierte Verschlüsselung (wie HTTPS oder SSH) sind keine VPN-Protokolle, da mit ihnen Anwendungen sicher miteinander kommunizieren und nicht – wie für VPNs definiert – Netze. In der Schicht 2 ist zunächst das PPTP (Point to Point Tunneling Protocol) zu nennen, welches als eine Art Erweiterung des PPP (Point to Point Protocol) eine erste Re- L AN line 12/2000 199 SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS alisierung eines VPN-Tunnelings darstellt. Im Rahmen der IETF (Internet Engineering Task Force) wurde das L2TP (Layer 2 Tunneling Protocol) entwickelt, welches auf Eigenschaften des PPTP und des L2F (Layer 2 Forwarding Protocol der Firma Cisco) aufbaut. PPTP und L2TP können als Layer-2Protokolle verschiedenste Layer-3-Protokolle wie IP, IPX oder NetBEUI übertra- tuellste Algorithmen eingesetzt werden können. IPSec besteht nicht nur aus einem Protokoll, sondern umfasst mehrere Protokolle. So besitzt es neben Protokollen zur Verschlüsselung auch das IKE (Internet Key Exchange Protokoll) zur Verwaltung und zum Austausch von Schlüsselinformationen zwischen den Tunnel-Endpunkten. Diese Entwicklung führt vermutlich dazu, dass sich IP als dominantes Protokoll auch Bild 5. Typischer Einsatz eines VPNs mit mobilen Anwendern, Zweigstellen und Subuntenehmern gen. So lassen sich beispielsweise auch Unternehmensinseln, die ausschließlich auf Novells IPX/SPX basieren, über das Internet miteinander verbinden. Das Internet bildet in diesem Fall ein reines Transportnetz. Layer-2-Tunneling-Protokolle besitzen allerdings nicht alle Verschlüsselungsmechanismen und die verwendeten Methoden zur Anwenderauthentisierung genügen auch nicht mehr unbedingt heutigen Anforderungen. Mit der Entwicklung des bislang einzigen sicheren Layer-3-Protokolls IPSec steht erstmals ein standardisiertes Verfahren zur umfassenden Sicherheit für Authentisierung und Datenintegrität für das Internet bereit. Die IPSec-Spezifikationen wurden von der IETF inzwischen weltweit standardisiert. Das IPSec-Protokoll ist unabhängig von aktuellen Verschlüsselungsverfahren, was bedeutet, dass ständig ak- 200 L AN line 12/2000 in den Unternehmensnetzwerken durchsetzen wird, sodass sich das IPSec-Protokoll immer mehr zum Standard entwickelt. TRANSPARENZ DES SYSTEMS Ein VPN arbeitet also auf Ebene 2 beziehungsweise Ebene 3 des Protokoll-Stacks. Das hat im Vergleich zu Lösungen, die auf einem höheren Protokoll-Level agieren (wie zum Beispiel SSL) den Vorteil, dass es für die Anwendung transparent ist. Das bedeutet, dass Änderungen bei bestehenden Anwendungen entfallen und verschiedene Anwendungen ein und dieselbe Sicherheitslösung benutzen können. Darüber hinaus stellen Applikation und VPN eigenständige, getrennte Systeme dar. SMARTCARDS Im Rahmen der PKI be- steht auch die Möglichkeit, Smartcards einzusetzen. Dabei landet der private Schlüssel in einem geschützten Speicherbereich auf der Karte. Dieser Bereich lässt sich von außen nicht auslesen, es ist lediglich möglich, dem Krypto-Chip auf der Karte Daten zu schicken, die dieser dann mit dem privaten Schlüssel ver- oder entschlüsselt. Die Smartcard selbst wird durch eine PIN gesichert, die der Anwender vor der Benutzung eingeben muss, was durch die Bedingungen “Besitz” und “Wissen” ein doppeltes Sicherheitskonzept realisiert. Sicherheitsfunktionen in den Betriebssystemen der Smartcards bestimmen die Anzahl der Versuche bei der Eingabe einer falschen PIN. Die Karten bringen Vorteile gegenüber dem Ablegen des privaten Schlüssels in einer passwortgeschützten Datei, da bei der Dateilösung die Berechnungen mit dem Schlüssel auf dem Rechner ablaufen und deshalb ausgespäht werden könnten. Die Integration der Smartcards in die Anwendungen erfolgt über standardisierte Schnittstellen wie PKCS 11 oder bei neuesten Entwicklungen PKCS 15. So definiert PKCS 11 eine API, mit der eine Anwendung die kryptographischen Funktionen einer Smartcard nutzen kann. Bei PKCS 15 umfasst die Standardisierung auch die Speicherverfahren und Ablaufprozesse des Smartcard-Betriebssystems. Über reine Krypto-Funktionalitäten hinaus können die Smartcards auch weitere Features enthalten wie beispielsweise das Speichern der User-IDs oder der Passwörter. USER ACCESS CONTROL Die Kombination eines VPNs mit User Profiling ermöglicht das effiziente Einbinden von Kunden, Geschäftspartnern und Remote-Mitarbeitern in das eigene Unternehmensnetz. Der Zugriff auf Ressourcen des Unternehmensnetzwerks lässt sich über User-Profile für jede Gruppe individuell gestalten. Einem einzelnen User oder einer Gruppe von Usern können mit dieser Methode spezifische Ressourcen im Unternehmensnetz entsprechend ihren User-Rechten zugewiesen werden. Das Profiling basiert auf den empfangenen Zertifikaten und der Information der sie ausstellenden CA. Bild 4 stellt den Sec-Go-Crypto-IP-Server dar, der diese Advanced-VPN-Technologie repräsentiert. www.lanline.de SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS Beim Einsatz eines VPN-Servers gibt es immer zwei Verbindungen, eine von außen zum Server (Connection 1) und eine von innen zum Server (Connection 2). Das bedeutet, dass von außen nur der Crypto-IPServer sichtbar ist und alle Clients mit ihm kommunizieren. Der Crypto-IP-Server selbst übernimmt dann die Verbindung mit den eigentlichen Zielservern im Unternehmensnetzwerk. Das IPSec-Handling läuft über einen Interceptor zwischen der Ethernetkarte und der Netzwerkebene, also transparent für die Applikationen. Beide, sowohl die eingehenden als auch die herausgehenden Verbindungen lassen sich via IPSec verschlüsseln. In der Darstellung ist nur Connection 1 verschlüsselt. Um die Kommunikation von der eingehenden Verbindung, etwa von einem Client oder einem Gateway zum Crypto-IP-Server auszuführen, kommen so genannte “Listeners” zum Einsatz. Über “Services” wird die Kommunikation dann an die Ziel- www.lanline.de Server (wie Webserver, Oracle-Datenbanken oder Single-Sign-On-Server) weitergeleitet. Ein Service baut Verbindungen immer nur zu einer spezifischen IP-Adresse beziehungsweise einem Port auf. Beim Aufbau der Verbindungen vom Listener zu den Services helfen User-Profile, in denen die Zugriffsrechte von Usern oder UserGruppen definiert sind. Der Crypto IP Proxy erhält die Identität des Users, der die Remote-Kommunikation aufgebaut hat, von der IPSec-IKE-Ebene. Dabei können User-Profile und Zertifikatsverzeichnisse lokal wie auch remote erreichbar sein. So eine Lösung lässt sich in Anlehnung an die VPN-Basisfunktionalität auch als Application Layer Gateway bezeichnen. Der heutige VPN-Markt bietet sowohl standardisierte als auch proprietäre Lösungen. Die standardisierte Technologie weist im Vergleich zu proprietären Lösungen einige Vorteile auf: – Interoperabilität mit Lösungen anderer Anbieter, – keine Abhängigkeit vom Hersteller, – Preis nach Marktgesichtspunkten, – bekannte Technologie hilft, Schwachpunkte rechtzeitig zu erkennen. Proprietäre Lösungen können allerdings bei einigen Sicherheitsanwendungen durchaus sinnvoll sein, etwa kryptographische Lösungen im militärischen Bereich. Ihr Nachteil ist aber, dass sich der Kunde vom Verkäufer abhängig macht und dass Probleme bei der Kommunikation mit anderen Netzen auftreten. Deshalb sollten die Verantwortlichen bei Entscheidungen für den Einsatz von VPN-Technologie auf die Erfüllung der gängigen Standards wie IPSec, IKE, X.509v3, LDAP, PKIX und ähnliches achten. (Hermann Abels-Bruns/gg) Hermann Abels-Bruns ist Geschäftsführer von IT-SEC. L AN line 12/2000 201 SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS IP-VPNS: EIN NEUER MARKT ENTSTEHT Multiprotocol Label Switching Die meisten Applikationen nutzen das Internet Protocol (IP) als das Transportprotokoll im LAN. Dieser Trend weitet sich zunehmend auf VPNs aus. Eine IP-VPN-Umgebung verpackt die Daten aus einem LAN in IP-Pakete, versieht sie mit einem Header und routet sie dann in eine “Shared” Infrastruktur wie das Internet. etrachtet man die Anforderungen, die ein Unternehmen an eine WAN-Vernetzung stellt, so hat sich seit den Zeiten der Festverbindungen nicht viel verändert. Da die Kommunikation über das WAN eher zunimmt, das heißt immer mehr Daten die Standortgrenzen verlassen, kommt der sicheren, zuverlässigen und schnellen Vernetzung eine zentrale Bedeutung zu. Umfragen bei Unternehmenskunden über die Wichtigkeit von verschiedenen Aspekten eines VPNs haben eine Wertung ergeben, wie sie in Bild 1 gezeigt ist. Demzufolge ist die Performance, also die Geschwindigkeit und Antwortzeit von entscheidender Wichtigkeit, knapp gefolgt vom Sicherheitsas- B pekt. In diesem Zusammenhang fällt auch auf, dass der Preis nur eine relativ untergeordnete Bedeutung hat. VERSCHIEDENE METHODEN, EIN VPN ZU IMPLEMENTIEREN Technisch gese- hen gibt es zahlreiche Möglichkeiten, ein VPN oder auch ein IP-VPN zu implementieren. Wenn man den Begriff sehr weit fasst, ist auch eine Festverbindung, über die IP-Pakete versendet werden, ein IP-VPN. Der Nachteil dieser Vernetzung über Festverbindung ist, wie der Name schon ausdrückt, die “feste” Verbindung, was zum einen einen relativ hohen Festpreis und zum anderen wenig Flexibilität bezüglich Bandbreite, Nutzungsverhal- ten, Verkehrsbeziehungen und vor allem Ausfallsicherheit mit sich bringt. IP-VPNS AUF BASIS FRAME RELAY ODER ATM Neuere VPN-Konzepte nutzten statt der Standleitung Technologien der Paketvermittlung oder Zellvermittlung wie Frame Relay oder ATM. Auch hierüber wurden speziell in Varianten mit LAN-Connect mit einem Access-Router am Kundenstandort IP-Pakete von A nach B transportiert. Hierzu wurden die IP-Pakete in Frame-Relay-Rahmen oder ATM-Zellen eingepackt und versendet. Vorteil dieser Technologien ist es, dass sich vordefinierte Wege, so genannte Virtual Channels (VCs), durch das Netz schalten lassen. Die Verbindungen laufen also auf vorherbestimmten Wegen. Damit können die Verantwortlichen zum einen ServiceQualität in Form von Bandbreitenzusagen oder Laufzeitzusagen garantieren, zum anderen die Sicherheit der Verbindungen ähnlich einer Standleitung gewährleisten. IP-VPN ÜBER DAS INTERNET Eine ein- fache und weltweit verfügbare Methode ist die Vernetzung der Standorte über das Internet. Die Nutzung des Internets in dieser Form hat jedoch zwei Nachteile, weswegen die Unternehmenskunden diese Art von Vernetzung so nicht wünschen oder nur in bestimmten Fällen wählen. Zum einen fehlt die Sicherheit, zum anderen gibt es keinerlei Aussagen über die Verbindungsqualität. Für Abhilfe bei den Sicherheitsproblemen sorgen Authentifizierung, Verschlüsselung und Tunneling. Hier haben sich einige Standards etabliert, die von verschiedenen Herstellern unterstützt werden wie PPTP, L2TP oder IPSec. Die Vernetzung über das Internet, erweitert um Sicherheitsfunktionen wie IPSec, ist besonders für Netzwerkarchitekturen mit mobilen Mitarbeitern oder Teleworkern geeignet. IP-VPN ÜBER DIE PRIVATE IP-INFRASTRUKTUR Die weitaus verbreitetste Im- Bild 1. VPN-Leistungsmerkmale, die für Unternehmenskunden besonders wichtig sind 202 L AN line 12/2000 plementierung von IP-VPNs läuft heute mit Hilfe der privaten Infrastruktur eines www.lanline.de SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS Bild 2. Prinzip der IP-VPN-Architektur – Variante 1: die Intelligenz befindet sich am Kundenstandort Service-Providers. Der Unternehmenskunde ist hierbei ähnlich wie bei Frame Relay und ATM an den Backbone angeschlossen und versendet seine IP-Daten über dieses Netz. Der Vorteil dieser Infrastruktur liegt darin, dass sich die Zuverlässigkeit durch zusätzliche Sicherheitsmaßnahmen gewährleisten lässt und die Qualität des Netzwerks und der Übertragungen kontrolliert und gesteuert werden kann. In puncto Sicherheit bieten die ServiceProvider derzeit zwei grundsätzliche Methoden an, nämlich zum einen Intelligenz und Sicherheitsfunktionen am Kundenstandort und zum anderen Intelligenz und Sicherheitsfunktionen am Eingangspunkt zum WAN. Die erste Variante (Bild 2) realisiert alle Maßnahmen zur Gewährleistung der Sicherheit in einem Gerät am Kundenstandort. Dies umfasst Funktionen wie VPN-Gateways mit IPSec, Firewalls oder Routing. Damit entspricht dieser Ansatz einer Lösung mit Anschluss an das Internet. Für den Provider ergibt sich daraus der Vorteil, dass er sein Backbone-Netzwerk nicht erweitern oder aufrüsten muss und dadurch relativ niedrige Anafangsinvestitionen zu tätigen sind beziehungsweise Investments nur bei Anschaltung eines Kunden anfallen. Ein Vorteil für den Kunden ist, dass diese Lö- 204 L AN line 12/2000 sung an jedem Standort eingesetzt werden kann, egal, wo auf der Welt er an das Internet angebunden ist. Die Nachteile sind hauptsächlich auf der Seite des Providers zu sehen. Dieser muss die Geräte am Kundenstandort warten, was Updates und ähnliche Maßnahmen mit einschließt. Vor allem das Verwalten der VPNs mehrerer Kunden ist ein enormer administrativer Aufwand. Die zweite Variante (Bild 3) verlegt einige Funktionen und “Intelligenz” an den Access-Punkt des Netzes des Providers. Der Kunde verbindet sich dann über eine sichere Access-Leitung, beispielweise mit IPSec-Tunneln mit dem ProviderNetz. Die Vorteile dieser Lösung liegen vor allem auf der Seite des Betreibers, da er nun über zentralisierte Funktionen und Komponenten verfügt, die wesentlich einfacher zu installieren, zu warten und zu verwalten sind als die am Kundenstandort befindlichen Endgeräte. Auch die Umsetzung neuer Dienste oder Leistungsmerkmale ist durch Erweiterung der zentralen POPs wesentlich einfacher. Ein zusätzlicher Vorteil liegt in der besseren Skalierbarkeit der zentralen Komponenten, denn Ressourcen wie Prozessorkapazität, Router-Kapazität oder Speicherkapazität lassen sich auf mehrere Kunden verteilen. Dabei muss der Provider je- www.lanline.de SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS doch gleichzeitig gewährleisten, dass die einzelnen Kunden-VPNs gegeneinander abgesichert sind. Der Vorteil für den Endkunden liegt hauptsächlich im geringeren Umstellungsaufwand. Zusätzliche Vorteile werden erst durch den Provider umgesetzt, indem er die geringeren Kosten an den Endkunden weitergibt oder neue Dienste schneller und bedarfsgerechter implementierten kann. DIE ROLLE VON MPLS IN IP-NETZEN Multiprotocol Label Switching (MPLS) soll die Schwachstellen von IP-WANNetzwerken beseitigen. Dabei greift MPLS an verschiedenen Stellen an wie – Traffic Engineering, – Schaltung von Pfaden (LSPs), – Unterstützung von Qualitätsparametern, – Unterstützung von VPNs. Die MPLS-Technologie wurde entwickelt, um die Effizienz und Zuverlässig- Netzwerks abspielen. MPLS eignet sich speziell, um die IP-VPNs mit Quality-ofService-Parametern zu versehen. WELCHES IP-VPN IST DAS RICHTIGE? Der Trend geht voraussichtlich dahin, dass Verfügbarkeit und Austausch von Informationen zum entscheidenden Wettbewerbsfaktor für Unternehmen werden. Dabei greift die Kommunikation immer mehr in die internen Unternehmensprozesse ein wie zum Beispiel Online-Shopping oder Beschaffungslogistik. Somit wird sie zum integralen Bestandteil der Betriebsabläufe. Gleich, welche Variante ein Unternehmen für sein privates Netzwerk wählt, für die Entscheidung sind drei Fragen wichtig: – Erfüllt es die Geschwindigkeits- und Sicherheitsanforderungen? – Ist es flexibel genug, um den wachsenden Anforderungen gerecht zu werden? Bild 3. IP-VPN-Architektur – Variante 2: die VPn Intelligenz residiert im Netz des Service-Providers keit und damit die Wirtschaftlichkeit von IP-Netzen zu verbessern. MPLS definiert so genannte Labels und einen Signalisierungmechanismus, um diese Labels zuzuweisen, was einem Rufaufbau im Sprachnetz oder ATM-Netz sehr nahe kommt. Demnach ist MPLS dem ATMStandard sehr nahe, sodass beide Technologien in Zukunft nebeneinander bestehen werden und ein “Interworking” stattfinden wird. Die Implementierung von MPLS wird sich vornehmlich im Kern des Provider- www.lanline.de – Liefert es die Qualität, die erwartet wird? Ein VPN, das auf einer privaten IP-Infrastruktur kombiniert mit mobilen Einwahlnutzern aufsetzt, bietet eine wirtschaftliche Möglichkeit zum Aufbau eines Unternehmensnetzes, das für zukünftige Anforderungen und Anwendungen offen ist. (Frank Zwirner/gg) Frank Zwirner ist Product Manager bei Highway-One Germany. L AN line 12/2000 205 SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS VIRTUAL PRIVATE NETWORKS (VPN) UND IPSEC Private Daten routen VPNs sind eine Alternative zu Festverbindungen. Strukturell gibt es unterschiedliche Varianten zum Aufbau der Netze – per Switch oder Router. Bisher basieren VPNs meist auf überwiegend proprietären Lösungen. IPSec soll das ändern und den virtuellen privaten Netzen zum endgültigen Siegeszug verhelfen. estverbindungen gelten zwar als ziemlich sicher, sind aber bei längeren Strecken mit hohen Fixkosten verbunden. ISDN-Wählverbindungen schlagen ebenfalls mit hohen Kosten je nach Dauer und Distanz der Verbindung zu Buche. Für Unternehmen bieten sich hier VPNs an – sie bieten eine wirtschaftliche Alternative. Denn in einem virtuellen privaten Netz bezahlt der Kunde nur für die Anbindung zum nächsten POP (Point of Presence) des Providers. Da der Datenverkehr jedoch über das Internet oder ein öffentliches IP-Netz läuft, spielt der Faktor Sicherheit eine bedeutende Rolle. F arbeiten. Allerdings wird der Traffic bei Switch-basierten VPNs nicht unbedingt verschlüsselt. Oftmals kommt nur das für VPN übliche Tunneling-Verfahren zum Einsatz. Dabei werden die Datenpakete in ein zweites IP-Paket verpackt – sozusagen gekapselt. Das funktioniert in der Regel über das PPTP (Point-to-Point Tunneling Protocol). Es arbeitet auf ringe Verschlüsselung mit lediglich 40Bit langen Schlüsseln vorgenommen. Je nach Sicherheitsbedürfnis sollte ein Verfahren mit mindestens einem 85-BitSchlüssel gewählt werden. Im Prinzip gibt es also zwei Arten von VPNs: – VPN von Carriern und ISPs: Der Zusammenschluss der virtuellen privaten Netze erfolgt über den Backbone des Carriers; die Administration wird ebenfalls vom Carrier abgewickelt. Meist werden diese Netze mit Switches aufgebaut – das erleichtert in großen Netzwerken die Verwaltung und wirkt sich nicht negativ auf den Durchsatz aus. Diese VPNs sparen also Kosten, der Datenverkehr wird aber nicht unbedingt zusätzlich verschlüsselt. – Unternehmenseigenes VPN: Hierbei verwaltet der Administrator des Unternehmens das VPN selbst. Ausgehender Datenverkehr über den Service-Provider oder das Internet wird in der Regel verschlüsselt. Diese VPNs sind meist Router-basiert, da die Verschlüsselung hier ohne großen Mehraufwand und SWITCH ODER ROUTER ALS BASIS? VPNs lassen sich sowohl mit Switches als auch mit Routern realisieren. Als Faustregel gilt dabei: Switch-basierte VPNs eignen sich in erster Linie für sehr große Netzwerke von Carriern oder ISPs. Sie bringen den Vorteil, dass der Datenverkehr von mehreren IP-Adressen über lediglich einen Switch geleitet werden kann. Damit ist beispielsweise ein ISP in der Lage, zwei konkurrierenden Unternehmen gleichzeitig eine VPN-Lösung anzubieten. Die Daten laufen beide über denselben Switch, die Kunden bekommen davon nichts mit, und der Anbieter garantiert, dass das System die Daten der Kunden bei der Abwicklung nicht vermischt. Im Vergleich zu einem Routerbasierten VPN kann der Switch diese Separation der Dateninhalte schneller ver- 206 L AN line 12/2000 Die Geräte von Lightning bieten Verschlüsselung auf Link Level und auf IP Level. Letzteres eignet sich besonders für die Installation von S-VPNs (Secure Virtual Private Network) Layer 2 und nutzt zur Authentisierung PAP (Password Authentification Protocol) sowie CHAP (Challenge Handshake Protocol). Eine zusätzliche Verschlüsselung im Switch gibt es heutzutage nicht. Sie würde das Verfahren aufwändiger und langsamer machen. Anders sieht es bei Router-basierten VPNs aus. Hier kann der Prozessor im Router in der Regel die Verschlüsselung gleich mit verarbeiten. Oftmals wird standardmäßig jedoch nur eine relativ ge- komplizierte Konfigurationen vom Administrator selbst installiert und verwaltet werden kann. SICHERE ÜBERTRAGUNG DER DATEN Da die meisten VPNs Teile des Internets zur Übertragung der Daten nutzen, kommt der Verschlüsselung eine besondere Bedeutung zu. Öffentliche Netze sind schließlich nicht gerade für ihre Sicherheit bekannt. Die bisher vor allem eingesetzten proprietären VPN-Lösun- www.lanline.de SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS gen verwenden meist Verschlüsselungsalgorithmen wie DES (Data Encryption Standard – 40- und 56-Bit-Schlüssel) oder Triple DES (112- und 168-BitSchlüssel). Lightning bietet ebenfalls den IDEA (International Data Encryption Algorithm – 128-Bit-Schlüssel) an. Alle drei Verschlüsselungsverfahren unterscheiden sich in ihrer Struktur und der Länge der Schlüssel. DES und Triple DES wurden in den USA entwickelt. IDEA stammt aus der Schweiz und wird unter anderem von namhaften Organisationen wie der ISO (International Standards Organization) und der ITU (International Telecommunication Union) empfohlen. In Kombination mit IDEA setzt Lightning in seinen Lösungen ein automatisches Schlüsselverwaltungssystem mit Master Keys ein. Für jede Remote Site oder jeden IP-Empfangsbereich wird ein ganz bestimmter Master Key generiert. Für jede neue Verbindung generiert das System dann nach dem Zufallsprinzip einen Session Key. Dieser lässt sich nach einer bestimmten Zeit oder einer bestimmten übertragenen Datenmenge automatisch erneuern. Der Administrator kann ein Hochsicherheits-Passwort anlegen, um den Zugang zur Konfiguration des Routers zu schützen. IPSEC ALS UNIVERSELLER STANDARD IPSec wurde speziell dafür entwickelt, die Sicherheitslücke in IP-Netzen zu schließen. Es handelt sich dabei um einen Standard der IP Security Working Group, der dazu dienen soll, die Verbreitung von VPNs auch in heterogenen Netzwerken voranzutreiben und die Implementierung zu erleichtern. Im VPN-Bereich soll IPSec langfristig das Tunneling-Protokoll PPTP ablösen. Beim Einsatz von PPTP erfolgt die Verschlüsselung über RC4 oder DES. Die Schlüssellänge variiert dabei zwischen 40 und 112 Bit. In IPSec können Verschlüsselung (ESP) und Authentifizierung (AH) voneinander getrennt, wahlweise aber auch in ESP kombiniert werden. Die aktuellen Entwicklungen machen Multiprotokolle, die bei proprietären Lösungen zum Einsatz kommen, zuneh- 208 L AN line 12/2000 mend zugunsten von TCP/IP überflüssig. Damit steigt IPSec voraussichtlich zum wichtigsten Standard für zukünftige VPN-Installationen auf. Das bringt allerdings auch mehr Komplexität bei der Abwicklung der Datenübertragung und der Verwaltung mit sich. Die IPSec-Protocol-Suite besteht aus drei Elementen: – Authentication Header (AH): Dieser IP-Header enthält Informationen darüber, ob das Datenpaket während der Übertragung auf irgendeine Weise verändert wurde und ob die Absenderquelle identisch ist. – Encapsulation Security Payload (ESP): Verschlüsselt die Daten vor der Übertragung und schützt so vor fremden Zugriffen und Manipulationen. – Internet Key Exchange Protocol (IKE): Das ist sozusagen das Verhandlungsprotokoll. Es ermöglicht die Kommunikation zwischen zwei Seiten, um sich auf die Verwendung eines bestimmten Verschlüsselungsverfahrens wie DES oder Tripel DES zu einigen. Bisher unterstützt IPSec DES und Tripel DES als Verschlüsselungsalgorithmen sowie PKIs (Public Key Infrastructures). Um die Daten zu verschlüsseln, müssen beide Teilnehmer – Empfänger und Absender – miteinander kommunizieren und sich für ein einheitliches Verschlüsselungsverfahren entscheiden. Nur dann lassen sich die benötigten Schlüssel austauschen. Unterstützt die eingesetzte VPN-Lösung also nicht eines der beiden Verfahren, erfolgt auch keine Verschlüsselung. Dann wird der Datenverkehr nur getunnelt. Der Einsatz von PKIs macht die Verwaltung für den Administrator folglich komplizierter. Eine PKI-Umgebung besteht prinzipiell aus den drei Komponenten Certification Authority (CA) zur Ausstellung der Zertifikate, einem Distributionssystem für den Zugriff auf die ausgestellten Zertifikate sowie einem Verzeichnis im Distributionssystem, in dem die ausgestellten Zertifikate hinterlegt sind. Um eine PKI zu nutzen, muss der Administrator in jedem Gerät alle Schlüssel, Public Keys und zur Verfügung stehenden Zertifikate konfigurieren. In großen Netzwerken bedeutet das einen erheblichen Aufwand. Andererseits eignet sich IPSec gerade für sehr große Netzwerke, da diese zumeist eine stark heterogene Infrastruktur aufweisen und IPSec als fest definierter Standard in derartigen Umgebungen gut eingesetzt werden kann. Der wohl größte Nachteil von IPSec ist bisher, dass dieser Sicherheitsstandard nur für IP-Netze geeignet ist. FAZIT IPSec wird die Verbreitung von VPNs zunehmend vorantreiben. Einen richtigen Boom löst auch der zunehmende Einsatz breitbandiger Festverbindungen wie ADSL oder Kabelmodems aus. Wenn “Always-On-Lösungen” günstiger werden, besteht kein Bedarf mehr an dedizierten Festverbindungen. Dann werden sich immer mehr Menschen über öffentliche IP-Netze einwählen und diese Verbindung nicht nur als Zugang zum Internet, sondern auch zur Anbindung der Firmenniederlassungen an das Unternehmensnetz der Zentrale nutzen. Generell ist zunächst der konkrete Bedarf für eine VPN-Lösung zu definieren. Abgesehen von einer Entscheidung für ein Software-, Hardware- oder Firewall-basiertes VPN gilt es auch zu überlegen, ob eine OpenSource-Lösung oder ein proprietäres System zum Einsatz kommen soll. Etwaige Fehler lassen sich in der OpenSource-Variante wesentlich schneller und individueller lösen. Beim proprietären System hat in der Regel nur der Hersteller direkten Zugriff auf den Code. Für die Verschlüsselung der Daten sollte ein Algorithmus mit mindestens 85 Bit Schlüssellänge gewählt werden. Dies schützt relativ gut vor möglichen Angriffen auf die Daten. Darüber hinaus ist es vorteilhaft, wenn die Geräte nach der Installation über ein LED anzeigen, ob die Verschlüsselungsmechanismen auch wirklich angewendet werden. Bei vielen Geräten lässt sich dies optional ein- oder ausschalten. (Dr. Beat Brunner/gg) Dr. Beat Brunner ist Vorstand von Lightning www.lanline.de SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS ANLEGEN UND ADMINISTRIEREN VON VPNS Management des Datenaustausches Virtual Private Networks (VPNs) stellen eine wirtschaftliche Lösung zum Einbinden von Partnern und mobilen Mitarbeitern in das Unternehmensnetz dar, da sie den sicheren und kostengünstigen Transport von Daten über öffentliche Netze ermöglichen. Das Management von VPNs bringt jedoch etliche Schwierigkeiten mit sich, die der verantwortliche Administrator berücksichtigen muss. m weitesten verbreitet sind VPNs, die auf dem IP-Protokoll basieren (IP-VPN). Im Gegensatz zu traditionellen Datennetzwerken bieten IP-Netzwerke Kostenvorteile, haben eine durchgängige Infrastruktur und erhöhen, da dynamisch konfigurierbar, die Flexibilität. Allerdings eignen sich öffentliche IPNetzwerke nur bei Einsatz spezifischer Schutzmechanismen für den Austausch unternehmenskritischer Informationen. A (E-)BUSINESS AS USUAL? Bei der Aus- legung von IP-VPNs gilt es für Netzadministratoren, vor allem folgende fünf Punkte zu beachten: – Architektur: Stehen die Kosten oder die Sicherheitsanforderungen im Vordergrund? – Verfügbarkeit: Welche Verfügbarkeit ist gefordert, und welche Teile der Lösung sollten redundant ausgelegt werden? – Leistungsbedarf – Skalierbarkeit: Auf welchen Bedarf sollte die VPN-Anwendung ausgelegt werden? Wie schnell wächst der Leistungsbedarf? – Datensicherheit – Zugangskonzept, Verschlüsselung: Welche Eigenschaften sind erforderlich, um die Benutzerdaten vor unzulässigem Zugriff zu schützen, und welche Anforderungen werden an die Verschlüsselung vertraulicher Daten gestellt? 210 L AN line 12/2000 – Netzwerkmanagement, also Konfiguration, Fehlerbehebung und Benutzerverwaltung: Wie umfassend müssen die Verwaltungsfunktionen sein, und wie komfortabel lassen sie sich bedienen? Können die Verantwortlichen Komponenten verschiedener Hersteller gemeinsam verwalten? Auch wenn Architektur, Verfügbarkeit und Leistungsbedarf eine wichtige Rolle spielen, sind sie eher Standardthemen und lassen sich verhältnismäßig kurz abhandeln. Für die tägliche Arbeit spielen die Managementfunktionen die wichtigste Rolle, im sicheren Netzbetrieb sorgen die Sicherheitsmechanismen für Abhörsicherheit, Vertraulichkeit und Integrität der ausgetauschten Daten. DIE AUSWAHL GEEIGNETER SICHERHEITSMECHANISMEN FÜR IP-VPNS Da der Aufbau von VPNs zum Austausch von Informationen über das Internet Sicherheitsrisiken birgt, sind die Anforderungen an verwendete Übertragungssysteme und -protokolle verhältnismäßig hoch. Um Angriffspunkte für Hacker so minimal wie möglich zu halten, bietet sich anstelle zahlreicher über eine Infrastruktur vernetzter Komponenten wie Firewalls, Router, Kryptoboxen, Datenbanken und ähnlichem der Einsatz einer “All-in-one-Box”-Lösung an. Da die Implementierung von VPNs in unterschiedlichen Schichten des ProtokollStacks erfolgen kann, ist zu überprüfen, welche Tunnelprotokolle die einzelnen Produkte unterstützen. Von den speziell für die Schicht zwei entwickelten Protokollen setzte sich im Wesentlichen nur das Layer-2-Tunneling-Protocol (L2TP) durch, welches aus dem Point-to-Point-Tunneling-Protocol (PPTP) und dem Layer-2Forwarding-Protocol (L2F) entstanden ist. Als Standard für den Aufbau von IP-VPNs innerhalb der Schicht 3 konnte sich vielerorts das IPSec- Protokoll etablieren. Die Sicherheitsarchitektur setzt sich im Wesentlichen aus einem “Authentification Es sind Intranet-, Remote-Access- und Extranet-VPNs möglich www.lanline.de SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS Eine Lösung, die innerhalb des Unternehmens realisiert wird, bietet die höchste Datensicherheit darauf achten, dass in Home Offices eingesetzte Rechner sowie mobil genutzte Geräte mit einem VPN-Software-Client ausgestattet werden, der nicht nur die gängigen Plattformen (zum Beispiel Windows 2000- oder Linux-basierte Umgebungen), sondern vor allem IPSec über das SplitTunneling-Verfahren unterstützt. Auf diese Weise können Remote-Anwender gleichzeitig über einen Tunnel auf unternehmensweite Ressourcen zugreifen und über einen anderen im Internet surfen. Dies bietet zwei entscheidende Vorteile, nämlich die Abschottung der unternehmensweiten Ressourcen vor Hacker-Angriffen durch zwei getrennte Tunnel und die Verringerung der Remote-Access-Kosten, denn der Zugriff auf das Internet erfolgt direkt und nicht über den sicheren für die Kommunikation mit dem Unternehmen aufgebauten IPSec-Tunnel. NUR FÜR GELADENE GÄSTE IP-VPN- Header” zur Sicherstellung der Authentizität und Integrität der Daten und einer als “Encapsulated Security Payload” (ESP) bezeichneten Komponente, die der Verschlüsselung von IP-Paketen dient, zusammen. Da IPSec jedoch den Einsatz zahlreicher Verschlüsselungsalgorithmen oder Key-Exchange-Verfahren zulässt, sind die VPN-Produkte verschiedener Unternehmen nur bedingt kompatibel. Zum Realisieren einer leistungsstarken VPN-Lösung bietet es sich daher an, auf die Produkte eines einzigen Herstellers zu setzen. Dabei sollten die Verantwortlichen unbedingt Eine vom Service-Provider außerhalb des Unternehmens realisierte Lösung lässt sich einfacher Skalieren 212 L AN line 12/2000 Lösungen müssen weitreichende Authentifizierungsmechanismen zur Identifizierung von Remote-Anwendern bieten. Nur auf diesem Weg lässt sich ein unternehmenseigenes privates Netz vor unberechtigten Zugriffen schützen. In jedem Fall sollte das ausgewählte Produkt auf die Informationen standardbasierter interner oder externer LDAP- und Radius-Server zugreifen können. Bei LDAP handelt es sich um einen standardisierten Verzeichnisdienst, der die hierarchische Verwaltung von Informationen zum Beispiel zu Nutzergruppen oder einzelnen Anwendern inklusive der Zuweisung spezifischer Attribute (Filter, Services) in einer Datenbank übernimmt und zusätzlich die Suche nach diesen gestattet. Radius stellt eine standardbasierende AAA-Lösung (Authentication, Authorization, Accounting) zur Authentifizierung von Anwendern dar, die per Remote-Access-Verfahren auf die Unternehmensressourcen zugreifen möchten. In der Regel bietet es sich an, bei der Einwahl eines Nutzers zunächst die LDAP-Datenbank zu überprüfen. Sind in dem Verzeichnis keine entsprechenden Einträge auffindbar, wird die Anfrage an den Radius-Server weitergeleitet. Entscheidend ist, dass bei der www.lanline.de SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS Überprüfung die Angabe des Benutzernamens ausreicht und die entsprechenden IP-Adressen in Folge dynamisch zugewiesen werden. Dies vereinfacht die Administration erheblich. Die Zugriffsgenehmigung oder -Verweigerung erfolgt im Anschluss an die Identifizierung des Nutzers mittels gesetzter Filter. LEISTUNGSSTARKE VERSCHLÜSSELUNGSVERFAHREN Die Verschlüsselung spielt für die Datensicherheit während der Übertragung eine wichtige Rolle. Der Sender verwendet einen auf einem bestimmten Algorithmus basierenden Ver- Sind drei verschiedene Schlüssel in Reihe vor einen Klartextblock geschaltet, spricht man von “Triple DES”-Encryption, kurz 3DES. Da Sender und Empfänger bei diesen Verfahren den gleichen Schlüssel nutzen, muss der Sender ihn dem Empfänger übermitteln. Dies ist vor allem dann problematisch, wenn der Transport über ein öffentliches Netzwerk erfolgt. Eine Lösung dieses Problems liegt im Einsatz des Public-Key-Verfahrens. Bei diesem asymmetrischen Verschlüsselungsverfahren kommt ein Paar mathematisch verwandter Schlüssel zum Einsatz: Ein öffentlicher und ein vertraulicher kannt unter dem Begriff “Key Management”). Hierzu zählen auch digitale Zertifikate und Signaturen. ZERTIFIKATE NACH DEM STANDARD X.509 Ein digitales Zertifikat ist ein elektronisches Dokument, das den Anwendernamen an einen öffentlichen Schlüssel bindet. Es umfasst den eingetragenen Benutzernamen, den zugewiesenen öffentlichen Schlüssel (einschließlich der verwandten Algorithmen und Parameter), eine bescheinigte Seriennummer, einen Gültigkeitszeitraum und den Namen sowie die digitale Unterschrift (einschließlich der verwandten Algorithmen und Parameter) der ausstellenden Beglaubigungsstelle. VPN-Lösungen sollten digitale Zertifikate gemäß des Standards X.509 unterstützen. Diese werden in der Datenbank eines LDAP-Servers mit den jeweiligen Nutzeranwendungen gespeichert und erhöhen die Sicherheit bei der Authentifizierung von Remote-AccessTeilnehmern. DEN ÜBERBLICK BEHALTEN Bei der Simultaner Einsatz von zwei Zugriffspfaden über “Split Tunneling” schlüsselungscode, um Eingabedaten in unleserliche Ausgabedaten umzuwandeln. Diese ergeben nur für den Empfänger einen Sinn, der über den richtigen Dechiffrierschlüssel verfügt. Je länger der Schlüssel oder je komplexer der Algorithmus ist, desto schwieriger wird es auch, die Daten zu entziffern. Damit hierdurch der zentrale Prozessor nicht zu stark belastet wird, empfiehlt sich der Einsatz zusätzlicher Hardware-Encryptions-Karten. Die verfügbaren Mechanismen hängen maßgeblich vom unterstützten TunnelingProtocol ab. Beim Aufbau einer IPSec-basierten Verbindung wird für die Ver- und Entschlüsselung von Daten beispielsweise als Algorithmus der Data-EncryptionStandard (DES oder 3DES) genutzt. DES ist eine symmetrische Technik, die nur einen einzigen geheimen Schlüssel verwendet. Bei DES können ein oder mehrere 56Bit–Schlüssel zum Einsatz kommen, um einen 64-Bit-Klartextblock zu chiffrieren. 214 L AN line 12/2000 Schlüssel. Eine anerkannte Beglaubigungsstelle (Certificate Authority/CA) erzeugt für einen Anwender zwei Schlüssel, welche im gleichen Moment denselben Algorithmus nutzen. Der öffentliche Schlüssel des Anwenders ist frei zugänglich und in einem privaten Verzeichnis festgehalten, auf welches berechtigte Nutzer zugreifen können. Den vertraulichen Schlüssel kennt im Gegensatz dazu nur der jeweilige Anwender. Dieser Schlüssel wird niemals übertragen. Bei Nutzung dieses Verfahrens erscheint die Integration von VPN-Lösungen in eine “Public Key Infrastructure” (PKI) sinnvoll. Eine solche Umgebung umfasst verschiedene Protokolle, Dienste und Standards, die zur Unterstützung der Public-Key-Verschlüsselung erforderlich sind. PKI bietet Funktionen zum Generieren, Speichern, Verteilen und Verifizieren von Schlüsseln sowie für deren Widerruf, Ablehnung und Wiederherstellung (be- Auswahl von VPN-Lösungen stehen neben den unterstützten Sicherheitsverfahren auch die Managementfunktionalitäten im Mittelpunkt der Betrachtungen. Eine wichtige Hilfe ist die Verfügbarkeit einer Web-basierten grafischen Benutzeroberfläche (GUI) zum einfachen Installieren, Konfigurieren und Verwalten der VPN-Lösung. Ähnliche Bedeutung hat ein zentrales Verwaltungs-Tool für sämtliche verteilt eingesetzten VPN-Komponenten. Das schließt auch die Produkte weiterer Hersteller mit ein. Die Konfiguration sollte dabei über Standard-Web-Browser erfolgen. Ein weiteres wichtiges Feature ist die Unterstützung des “Role Based Management”-Verfahrens zum Erstellen von Profilen, einschließlich der Vergabe von Rechten und Privilegien für individuelle Anwender oder Nutzergruppen und zum Speichern der Informationen auf dem LDAP-Server. Um Problemen im Betrieb vorzubeugen, sollten Anwendungen zur Fehlerermittlung und -behebung bereit stehen. Dazu gehören unter anderem Ping, www.lanline.de SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS die Zahl der notwendigen allgemeingültigen IP-Adressen deutlich minimiert und so wertvollen IP-Adressraum zur Verfügung stellt. VERFÜGBARKEIT IST PFLICHT Die ge- Beispiel für die Bedienoberfläche eines Netzwerkmanagementsystems SNMP-Traps und Health-Check-Funktionen. Dazu kommt noch ein integriertes Berichtswesen, das die Verantwortlichen über die wesentlichen Vorgänge auf dem Laufenden hält. Damit das System die von den Anwendern abgewickelten Aktivitäten und deren Zugriffe auf die unternehmensweiten Ressourcen und Dienste genau nachverfolgen kann, muss es außerdem über Accounting-Funktionalitäten verfügen. Auf dieser Basis ist es möglich, Nutzungsgebühren zu berechnen, Maßnahmen zum Schutz der Ressourcen und Services zu treffen und die Leistung des gesamten Systems zu überwachen. Darüber hinaus sollte die VPN-Komponente in jedem Fall das “Network Ad- 216 L AN line 12/2000 dress Translation”-Verfahren (NAT) zum Umsetzen von IP-Adressen unterstützen. Dieser Mechanismus gewährleistet eine dynamische Verwaltung der IP-Adressen, vereinfacht die Adressierung und wirkt sich auf die Sicherheit bei der Übertragung von Daten aus. Denn er überprüft jedes eintreffende und jedes für den Versand vorgesehene Datenpaket vor der Adressübersetzung. Alle lokalen IP-Adressen lassen sich damit auf eine einzige oder einen kleinen Pool allgemeingültiger IP-Adressen abbilden. Genauso ist es möglich, die allgemeingültigen IP-Adressen auf eine kleine Anzahl lokaler IP-Adressen zu mappen, die wesentlich einfacher zu kontrollieren und zu überwachen sind. NAT bietet zudem auch den Vorteil, dass es forderte Leistung der VPN-Lösungen hängt vom jeweiligen Anwendungsbereich ab. Die Produkte der meisten Hersteller sind skalierbar aufgebaut und unterstützen je nach Kategorie den gleichzeitigen Aufbau von nur wenigen bis hin zu einigen tausend Tunnel-Verbindungen. Im Hinblick auf die Verfügbarkeit von VPN-Produkten ist in jedem Fall auf Redundanz zu achten – sowohl auf Hard- als auch auf Software-Seite. Eine VPN-Lösung sollte mit mindestens zwei Festplattenlaufwerken, Prozessoren und im laufenden Betrieb austauschbaren Stromversorgungen ausgestattet sein. Auch macht es oft Sinn, mindestens zwei identisch konfigurierte Lösungen zu betreiben. Dies gewährleistet, dass die Aufgaben des aktiven Geräts bei dessen Ausfall direkt von der bislang passiven Ersatzmaschine übernommen werden. In Bezug auf die Software empfehlen sich automatische Backup- und Wiederherstellungsfunktionen. Eine Möglichkeit zum weiteren Verbessern der Ausfallsicherheit besteht im Definieren von Policies. AUSBLICK Bislang nutzen überwiegend größere Unternehmen virtuelle private Netze. Doch die immensen Kosteneinsparungen, die sich durch den Einsatz von VPNs erzielen lassen, deuten darauf hin, dass sich diese Technik auch bei kleineren und mittelständischen Unternehmen mittelfristig durchsetzen wird. Die Hersteller von VPN-Produkten reagieren mit der Einführung entsprechender Lösungen, also Plug-and-Play-Produkten, die einfach zu installieren, zu konfigurieren und zu verwalten sind, auf diese Entwicklung. (Udo Kerst/gg) Udo Kerst ist Senior Manager Solutions Marketing bei Nortel-Dasa www.lanline.de SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS DAS ENDE DER PROPRIETÄREN PROTOKOLLE Sicher durch den Tunnel Theoretisch eignet sich das Internet in Verbindung mit TunnelingTechniken schon lange für die gesicherte Kommunikation zwischen zwei Endgeräten oder Netzen. Allerdings waren diese “Virtuellen Privaten Netze” bisher in der Praxis noch wenig zu finden. Mit IPSec könnte sich das ändern. Der mittlerweile auch von der Industrie adaptierte Standard bietet die besten Voraussetzungen, die Mankos der Vergangenheit aus dem Weg zu räumen. irtuelle Private Netze (VPNs) geraten zunehmend als kostengünstige Alternative zur Festverbindung ins Blickfeld der Unternehmen. Anstelle dedizierter Mietleitungen werden beim Virtuellen Privaten Netz die Kommunikationsverbindungen des Internets benutzt, V Lösungen eine Kostenersparnis von 20 bis 60 Prozent zur Folge hat. Darüber hinaus sind VPNs verglichen mit einer Mietleitung flexibler und ermöglichen auch das Anbinden externer Mitarbeiter, die über wechselnde Standorte auf das Netzwerk zugreifen. IPSec-Protokolle im Tunnel- und Transportmodus um Niederlassungen, Teleworker oder Partner ans interne LAN anzubinden – entweder von Endgerät zu Endgerät, von Endgerät zu Gateway oder von Gateway zu Gateway. Experten schätzen, dass der Einsatz von VPNs gegenüber klassischen 218 L AN line 12/2000 VPNs nutzen das Tunneling-Verfahren, um vertrauliche Daten sicher über öffentliche Netze zu transportieren. Die Methode an sich ist nicht neu. Doch vor allem die früheren Tunneling-Protokolle wie das Point-to-Poin-Tunneling-Proto- col (PPTP) haben ihre Schwachstellen. PPTP verwendet für die Authentisierung das Password Authentification Protocol (PAP) sowie das Challenge Handshake Protocol (CHAP) und verschlüsselt mittels RC4 und DES, wobei Schlüssel zwischen 40 und 128 Bit verwendet werden. Zudem waren es vor allem proprietäre Protokolle wie FWZ1 von Checkpoint oder das frühere CET von Cisco, mit denen sich VPN-Lösungen realisieren ließen – mit dem Nachteil, dass eine Kommunikation meist nur zwischen den Produkten des jeweiligen Herstellers möglich war. Kurzfristige verschlüsselte Verbindungen sind damit unmöglich, wenn nicht beide Partner zufällig die gleichen Produkte verwenden. Diese Mankos haben den VPNs bislang nicht gerade zu großer Verbreitung verholfen. Mit IP Security (IPSec) der ”IP Security Working Group“ ist ein großer Schritt nach vorne gelungen. Damit geht das Zeitalter der proprietären Protokolle vorüber. Viele Hersteller wie Checkpoint oder Cisco unterstützen den Standard und ermöglichen so den Aufbau heterogener VPNs. Auch auf europäischer Ebene gibt es bereits erste große IPSec-Projekte, etwa das European Network Exchange (ENX) in der Automobilindustrie. Einen Nachteil hat die vielgelobte Entwicklung allerdings: IPSec eignet sich nur für reine IP-Umgebungen. Die Möglichkeit von PPTP, auch andere Protokolle wie IPX oder NetBEUI direkt in einen IP-Mantel einzuschließen, bietet IPSec nicht. Dennoch ist davon auszugehen, dass IPSec langfristig PPTP ablösen wird, da es eine höhere Sicherheit realisiert und die Firmen ihre Netzwerkinfrastruktur immer mehr auf TCP/IP ausrichten. Zudem unterstützt IPSec neben IPv4 auch das kommende IPv6. Das gewährleistet den Schutz der Investitionen. Während das PPTP unterhalb der Transportschicht (TCP/IP, IPX/SPX, NetBEUI, also auf Layer 2) läuft, integriert sich IPSec auf der Netzwerkebene, also Layer 3. Darüber hinaus sind Authentifizierung und Verschlüsselung getrennt, beides kann aber muss nicht kombiniert werden. Es handelt sich hier um www.lanline.de SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS ein Paket von Protokollen, deren Implementierung entweder direkt in den IPStack oder auch zwischen IP-Stack und Netzwerktreiber erfolgt. Für den Benutzer ist der Transfer transparent – er erkennt nicht, ob der Datentransfer über ein VPN oder eine normale IP-Verbindung erfolgt. Im Zusammenhang mit VPNs wird IPSec vermutlich immer im Tunnelmodus betrieben, aber auch eine normale Transportverbindung ist möglich. Der Unterschied besteht darin, dass die Datagramme bei Ersterem komplett verschlüsselt und in ein neues Paket gepackt werden. Der zweite Weg verschlüsselt nur den Datenteil, also die Nutzlast. Der originäre IP-Header bleibt erhalten, es kommt nur ein zweiter IPSec-Header hinzu. Die Unterschiede liegen in der Praxis im Bandbreitenbedarf, da im Transportmodus wesentlich weniger Overhead über die Leitung geht. www.lanline.de Die Sicherheit von IPSec beruht auf den Sicherheitsprotokollen Authentication Header (AH) und Encapsulating Security Payload (ESP), die innerhalb des IP-Datagramms untergebracht sind. AH umfasst Integritäts- und Anti-ReplayMöglichkeiten. Die Basis dafür bilden Prüfsummen, etwa mit MD5-Hash-Algorithmen beziehungsweise dem stärkeren SHA-1. Sie berechnen sich zum einen über die Daten des Pakets, zum anderen über die Quell- und Zieladresse und sorgen so dafür, dass sich die Adressen auf dem Transport nicht mehr unbemerkt verändern lassen. Damit wird vor allem dem gefährlichen IP-Spoofing, also dem Vortäuschen falscher Adressen beziehungsweise Identitäten ein Riegel vorgeschoben. Hauptsächlich zur Verschlüsselung der Paketinhalte, also der Nutzdaten, dient ESP. Es bietet in der aktuellen Implementierung auch Anti-Replay-Dienste Security Association Database Einträge bestehen aus: Sequence Number Counter Sequence Counter Overflow Anti-Replay-Window AH Information ESP Information Gültigkeitsangabe der SA IPSec Protocol Mode MTU Pfad Einträge sind indiziert mit: Security Parameter Index (SPI) Ziel-IP-Adresse des äußeren Headers IPSec Protokoll (AH oder ESP) sowie den Selektoren aus der Security Policy Database und Integritätssicherheit. Aus diesem Grund empfehlen manche wie Bruce Schneider in dem Beitrag “Cryptographic evaluation of IPSec” (Bruce Schnei- L AN line 12/2000 219 SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS der/Niels Ferguson, Counterpane Internet Security Inc.), ganz auf AH zu verzichten. Die für die Anwendung der beiden Protokolle erforderlichen Verschlüsselungsalgorithmen und Schlüssel werden in so genannten Security Associations (SAs) zusammengefasst. IPSec ist dabei komplett unabhängig von bestimmten Ver- Behandlung eingehender Daten Bei ankommenden Daten ist der Prozess etwas komplizierter. Diese Pakete umfassen einen Security-Parameter-Index, der sich in der SA wiederfindet. IPSec wird diesen Informationen zufolge dann sozusagen “rückwärts” angewendet. Als zusätzliche Kontrollmaßnahme, ob das Paket richtig behandelt wurde, erfolgt zudem Behandlung ausgehender Daten 1. Zieladresse, IPSec-Protokoll und • Aufsuchen des ersten passenden SPI referenzieren einen Eintrag in SPD-Eintrags; der SAD; 2. Anwendung der IPSec-Prozeduren • Aufsuchen der Einträge in der laut SAD Eintrag und Protokollierung; Security Association Database 3. Aufsuchen des passenden SPDentsprechend des vorgefundenen Eintrags anhand der nun entschlüsSPD-Eintrags. Wird kein Eintrag selten Selektoren; gefunden, muss einer erzeugt werden 4. Überprüfen, ob die richtigen (IKE). IPSec-Prozeduren angewandt • Anwendung der IPSec-Prozeduren worden sind; entsprechend der SAD-Einträge Beispiel für eine Security Policy Database schlüsselungsalgorithmen. Möglich sind zum Beispiel Kombinationen aus Transforms wie – esp-des und esp-md5-hmac, – ah-sha-hmac und esp-des und esp-shahmac oder die ältere Variante, – ah-rfc1828 und esp-rfc1829. Jeder Endpunkt einer IPSec-Verbindung verfügt über eine solche SA, die dann pro Transaktion für beide Kommunikationspartner gilt und im Security-Parameter-Index eindeutig gekennzeichnet ist. Die Security Policy Database (SPD) verwaltet die Konfigurationen für ein- und ausgehende Daten getrennt. Jeder Eintrag enthält Informationen darüber, wie ein Paket behandelt werden soll. Es gibt drei Möglichkeiten: Entweder wird es verworfen oder mit oder ohne Anwendung von IPSec weitergeleitet. Bei ausgehenden Daten sucht das System automatisch in der SPD entsprechend der dort eingetragenen Selektoren wie IP-Adressen, Quell- und Ziel-Ports oder User-IDs. Die Security Policy Database verweist dann auf die SA. Existieren dort Einträge, kommt IPSec entsprechend zum Einsatz. Fehlen die Informationen, kommt Internet Key Exchange (IKE) zum Zug, auf das dieser Beitrag später noch eingeht. 220 L AN line 12/2000 ein Abgleich mit den in der Security Policy Database eingetragenen Informationen. Der Aufbau der Security Associations erfolgt entweder manuell, was sich in großen Umgebungen als wenig praktikabel erweist, oder automatisch mittels Internet Key Exchange (IKE). IKE ist aus ISAKMP/Oakley hervorgegangen und stellt den Rahmen für den Schlüsselaustausch und die Authentifizierung zwischen den Kommunikationspartnern sowie für das Erzeugen und Verwalten von SAs und Schlüsseln – es übernimmt also das Key-Management. Dieses legt fest, welcher Datenverkehr geschützt wird, welche Kommunikationspartner betroffen sind und welche Transforms zum Einsatz kommen. IKE verwirklicht sichere Übertragungen in zwei Phasen: Zunächst entweder Main Mode oder Aggressive Mode und dann Quick Mode. In einer der ersten Phasen vereinbaren beide Seiten, wie der Datenaustausch zum Aufbau der SAs verschlüsselt werden soll und authentisieren sich gegenseitig über eine digitale Signatur. Anschließend werden über diesen Kanal im IKE Quick Mode die endgültigen aber zeitlich beschränkten SAs für die eigentlichen Sicherheitsprotokolle wie IP- Sec auf den Endpunkten aufgebaut und der Security-Parameter Index generiert. Im Gegensatz zur manuellen SA-Konfiguration lassen sich bei IKE auch mehrere Transforms definieren. Die Authentifizierung erfolgt bei IPSec in der Regel über Pre-shared Keys (Manual IPSec) oder über Public-Key-Verfahren wie RSA, Diffie-Hellmann oder Ähnliches. Erstere nutzen bereits vorinstallierte, symmetrische Schlüssel als Basis zur Erzeugung eines Hash-Werts, der bei beiden Endgeräten beziehungsweise Gateways gleich sein muss. Die asymmetrische Public-Key-Verschlüsselung nutzt eine vom Initiator automatisch generierte Zufallszahl, die mit dem öffentlichen Schlüssel verschlüsselt und vom Kommunikationspartner mit dem privaten Schlüssel entschlüsselt werden muss. Der gleiche Prozess wird dann umgekehrt gestartet. Haben beide Seiten die Authentifizierung erfolgreich bestanden, kann die eigentliche Datenübertragung beginnen. IPSec stellt damit einen sicheren Rahmen für den Aufbau von VPNs bereit. Allerdings zeigt sich auch hier die Wichtigkeit eines Gesamtkonzepts. So muss immer eines beachtet werden: IPSec sichert die Daten nur auf der Übertragungsstrecke ab. Dies bedeutet, dass beim gentunnelten Datenverkehr auf Gateway-Basis die Strecke zwischen Gateway und Client eines zusätzlichen Schutzes bedarf. Ebenso müssen zur Sicherung der Daten auf den Gateways, Servern und Clients andere Verfahren wie Verschlüsselung auf Applikationsebene greifen. (Ralf Nemeyer/gg) Ralf Nemeyer ist Network Security Engineer bei Integralis www.lanline.de SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS VPN-ABRECHNUNGSSYSTEM FÜR GROSSKUNDEN Durchblick statt Dschungel Die Abrechnung von Internet-Diensten stellt viele Unternehmen vor Probleme. Der Grund: Internet-basierte Unternehmensnetze, so genannte IP-VPNs, verlangen eine besonders aufwändige Datenerfassung und -weiterverarbeitung. Nur mit Unterstützung spezieller Abrechnungssysteme lassen sich Kosten verursachergerecht zuordnen. irtuelle private Netze verbinden auf Basis der Internet-Technologie eine Unternehmenszentrale mit oft mehreren tausend Standorten sowie Home-Offices und mobilen Außendienstmitarbeitern. Die Deutsche Telekom stellt für diese homogene Plattform eine separate IP-VPNPlattform zur Verfügung, die sich modular an unterschiedliche Kundenwünsche anpassen lässt. Im Gegensatz zu Festverbindungen müssen Großkunden keine eigene Infrastruktur aufbauen, sondern zahlen nur für die angemietete Bandbreite. Neben die- V schen Telekom, bezeichnet diese Lösung als IESA Access Service (IESA = Intranet Extranet Service Area). Das Billing-Projekt startete bei einem großen deutschen Kunden mit rund 7000 Agenturen in Deutschland. In nur vier Monaten errichteten Teams der beiden Partner Dete-System und Telesens das Abrechnungssystem auf Basis der speziellen Anforderungen des Kunden. Die geschäftskritischen Kommunikationskosten wie Telefonie oder ISDN-Datenübertragung sollte die Zentrale abrech- Die Pre-Billing-Lösung “Billforce” ermittelt aus den Datensätzen den Teilnehmer, berechnet auf Basis des gültigen Tarifmodells die Kommunikationskosten und übergibt die Ergebnisse an ein Fakturierungssystem sen wirtschaftlichen Vorteilen verschaffen IP-VPNs allen Standorten direkten Zugang zu IP-basierten Kommunikationsdiensten wie Web oder E-Mail. Die Dete-System, die auf individuelle TK- und IT-Systemlösungen spezialisierte Tochter der Deut- 222 L AN line 12/2000 nen, die geschäftsunterstützenden Dienste wie Internet sollten die einzelnen Agenturen je nach Verbrauch tragen. Gefragt waren Rechnungen mit Einzelverbindungsnachweis, um bei Rückfragen der Agenturen jederzeit auf präzise Infor- mationen zugreifen zu können. Detaillierte Reports sollten zudem Auskunft über sämtliche Beträge und Verbrauchsdaten der Agenturen geben. MODULARER SOFTWARE-AUFBAU SORGT FÜR ZUKUNFTSSICHERHEIT Basis für das neue Abrechnungssystem ist die Billing-Lösung “Billforce” der Telesens AG. Die Grundstruktur dieser Applikation erlaubt es, auf Basis weniger Kernelemente unterschiedliche Produkte und Tarife zu definieren. Deshalb mussten die Projektverantwortlichen nur rund ein Drittel der Software individuell programmieren. Dazu trägt wesentlich die “Tarif Definition Language” (TDL) bei. Bei Tarifänderungen genügt es, in der Tarifstruktur einzelne Parameter neu zu definieren. Diese werden auf Wunsch automatisch an die darunter liegenden Tarifebenen “vererbt”. Gebührenmodelle lassen sich dadurch flexibel und ohne großen zeitlichen Aufwand gestalten. DATENERFASSUNG UND KUNDENWÜNSCHE Eine besondere technische Herausforderung für die Beteiligten war das Erfassen der IP-Daten. Das ist wesentlich komplexer als bei herkömmlichen PSTN-Netzen (Public Service Telephone Network). Werden die Verbindungs- und Ereignisdaten des Netzwerkes erfasst, sind zwar Informationen über den Netzwerk-Traffic vorhanden, die Daten lassen sich jedoch nicht dem einzelnen User zuordnen. Auch die Protokollierung des Netzzugangs-Servers hilft nur bedingt weiter. Denn dieser identifiziert meist nur die Rechner eindeutig, nicht jedoch die eingeloggten Anwender. Zudem sind viele verschiedene Datenquellen zusammenzufassen. Dazu gehören unter anderem Server-Logfiles sowie Router- und Firewall-Protokolle. Sind alle relevanten Daten gesammelt, liest sie ein Accounting-Tool und verdichtet sie zu Service Detail Records (SDRs). Im Anschluss daran werden diese dem Billing-System übermittelt, das als Client-/Server-Anwendung konzipiert ist. Es ermittelt den Teilnehmer und übernimmt seine Stammdaten aus einer www.lanline.de SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS laufend aktualisierten Datenbank. Billforce wendet das jeweils gültige Tarifmodell an, berechnet Entgelte und Rabatte und übergibt die Ergebnisse an das Fakturierungssystem. Das Produkt enthält dafür verschiedene Module wie ein Mediation Device, einen Tarifier sowie ein Output Center für die Übergabe der Rechnungsdaten. Ein externer Dienstleister kann so eine detaillierte Rechnung für die jeweilige Agentur sowie weitere Reports ausstellen. Über einen standardisierten Order-Entry-Prozess erlaubt Billforce es zudem, jederzeit neue Agenturen für den Kunden anzulegen oder vorhandene Daten zu ändern. Eine weitere Herausforderung des Projekts war die Integration in die bestehende Systemlandschaft. Das Thema Billing steht für die meisten Unternehmen in der Regel nicht an erster Stelle, und die Lösungen müssen deshalb oft nachträglich www.lanline.de installiert und mit den relevanten Systemelementen verknüpft werden. Um das Projekt pünktlich abzuschließen, war neben leistungsfähiger Software eine sorgfältige Planung wichtig. Die beiden Partner analysierten und interpretierten deshalb die Kundenanforderungen im Vorfeld sehr genau. WACHSTUMSMARKT IP-VPN FORDERT NEUE BILLING-LÖSUNGEN Nachdem schon neue Sicherheitsmechanismen für IP-VPNs einen enormen Wachstumsschub bedeuteten, erwarten Experten jetzt weiteres Wachstum. Der Grund: Neben Daten soll sich auch Sprache schnell und in ausreichender Qualität über das Internet übertragen lassen. Das ITMarktforschungsinstitut Infonetics prognostiziert eine jährliche Verdopplung der Ausgaben für IP-VPNs bis zum Jahr 2003. Dete-System und Telesens sehen in der neuen Lösung deshalb durchaus Potenzial. Für die Zukunft plant die Telekom-Tochter, die Billing-Lösung gemeinsam mit Telesens weiter zu standardisieren und als mandantenfähige Lösung am Markt anzubieten. Noch flexiblere Schnittstellen werden auch innerhalb anderer Kundenstrukturen Standardlösungen bieten und so Zusatzaufwand durch nachträgliche Änderungen vermeiden. Darüber hinaus strebt der Lösungsanbieter an, jederzeit neue höherwertige Dienste wie Unified Messaging, Videoconferencing oder E-CommerceApplikationen integrieren zu können. Denn als integrierte E-Business-Plattform sind den Anwendungsgebieten von IP-VPNs kaum Grenzen gesetzt. (Kerstin Bücker/gg) Kerstin Bücker ist freie Fachredakteurin für Telekommunikation. L AN line 12/2000 223 224 LANline 12/2000 Firewall VPN-Lösung PKI Mail-Verschlüsselung Dateiverschlüsselung Active Card Active Card Gold ● Algorithmic Research Aliroo All Secure Axent Private Wire Bintec www.lanline.de Borderware Celo Communications ● Privawall Magistrate VPN ● Raptor Firewall 6.5 ● Power VPN 6.5 ● X1000 ●● Bianca Brick X4000 ● IPsec VPN for Border● ware Firewall Borderware Firewall ● Server 6.1 Celocom VPN ● sonstige unterstützte Firewalls und VPNs Smarcardmgmt. ●● FW-1, VPN-1, Radius ●● ●● ● ● ●● ●● ●● ●● ●● ●● ● ●● ● ● ● ● ● ● ●● Betriebssysteme unterstützte Mail-Clients ● ● Outlook, Messenger, Groupwise, Entrust, Baltimore ●● ● ● ●● ●●● ●●●●● ● ●●● ● ● ●● ●●● ● ●● ●●● ● ● ● ● ●●●● ● ●●●●●●● ● ●● ● ●● Outlook ●●● ●●● ● ●● ●●● SMTP-Clients ●● ●● ●●● Windows 9x, ME Windows NT Windows 2000 Solaris HP-UX AIX Linux Netware Produktname Funktionen Standards DES 3DES DESX RC2 RC4 RC5 RC6 MD2 MD5 SHA-1 Blowfish MPPE IPSEC PPTP L2TP IP RIP v1 RIP v2 OSPF X9.30 X9.31 X9.32 X9.42 X9.56 X9.62 X9.63 Multiple Key Generation automatische Schlüsselerstellung Verschlüsselung v. Voice, Video Verschlüsselung v. Datenbanken Hersteller Protokolle Netscape 4.x MS-Internet-Explorer 5.x Algorithmen Produktart Borderware Firewall Server alle ●●● ● SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS Marktübersicht: Verschlüsselungs-Software k. A. Cisco Router VPN 3000 VPN 5000 Pix Firewall Colubris Networks CNI1000 Range of wireless Routers CA Computer E-Trust Suite Associates Conware Secuware VPN Client Cryptogram Cryptogram Folder CV Cryptovision CV Act Library CV Act S/Mail Cipher Cisco Systems ●● ●● ● ●● ▼ ●●● ● ●● ●● ●● ● ● ●● ●● HW Security Module ● ● ●● ●● ●● ●● Wireless LAN Router ●● ●● ● ●● SW-Bibliothek ● CV Act Webgate Danu Industries Terminet Free S/Wan Project Free S/Wan ●● ● ●● ● ● ● ●● ●● ● ●● ● ● ●● ●● ● ● ● ● ● ● ●●●● ●●● ●●●●●●● ●●●●●●●● ●●●●●●●● ● ●●● ●● ●● ●● ● ● ● ●●●●● ● ● ● ●●● ● ● ●● ●●● ● ● ●● ●●●● ●●●●● ● ●● ● integrierte VPN Client/Server, integrierte Firewall E-Trust Betriebssysteme unterstützte Mail-Clients alle alle Windows 9x, ME Windows NT Windows 2000 Solaris HP-UX AIX Linux Netware unterstützte Firewalls und VPNs ● ● ● ● Firewall-1 ● ● VPN-1 Cisco Pix, 3Com, Nortel, Cisco Router ●● ● Kommunikationsverschlüsselung-, Authentisierung ● Funktionen Netscape 4.x MS-Internet-Explorer 5.x sonstige Standards DES 3DES DESX RC2 RC4 RC5 RC6 MD2 MD5 SHA-1 Blowfish MPPE IPSEC PPTP L2TP IP RIP v1 RIP v2 OSPF X9.30 X9.31 X9.32 X9.42 X9.56 X9.62 X9.63 Multiple Key Generation automatische Schlüsselerstellung Verschlüsselung v. Voice, Video Verschlüsselung v. Datenbanken Produktname VPN-1 VPN-1 Securemote Firewall-1 Firewall-1-VPN Firewall VPN-Lösung PKI Mail-Verschlüsselung Dateiverschlüsselung Hersteller Checkpoint Protokolle ● ●●●● ●●●●●●● ● ●●●● ●● ●●● ●●●●●●● Microsoft, Lotus, Netscape etc. ●●●●●●●● ●●●●●● ●●● ●●● MS Outlook, Lotus Notes, ● ● ● Novell Groupwise ●● ●●● alle ●● Linux alle ● ● SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS www.lanline.de Algorithmen Produktart LANline 12/2000 225 226 LANline 12/2000 ●● ● ●● Secure Remote Access ● ● ● ●● ● ●● ●● ●● Datenstromverschlüsse- ● lung ●● ● ●● ● ● ● www.lanline.de Genua Glück & Kanja Software Group Technologies Genugate Pro Crypto Ex Security Suite Group Mail Crypt ●● Highway One Highway VPN ●●● HOB Electronic HOBLink Secure HOBCom VPN-1000 IP Dynamics Ire IT-Sec Safenet VPN IT-Sec Outlook IT-Sec Datasafe IT-Sec-CA ● ● ●●● ●●● ●●● ●●● ●●● ● ●●● ●●●● ● ● ● ● ●● ●● ●● ● ● ● ● ● ● ● unterstützte Firewalls und VPNs ● ● ● ● ● ● ● SDK ●● ●● Datenverschlüsselung ●●● ●● ●● ● ● ● ●●●● ● ● ● ●● ●● ● ● ● ● ● ● Genugate, Genucrypt ●● ● ● ● ● ● IPsec, Checkpoint Firewall-1, Cisco Pix, Nortel, Axent Raptor ●● ●● ● ● ● Checkpoint VPN-1, Firewall-1, Cisco VPN 3000 ● ●● unterstützte Mail-Clients ●● ●●●●●●● ●● ●● ●●●● ●● ● ●●●● F-Secure F-Secure alle ● ●● Betriebssysteme ●● Windows 9x, ME Windows NT Windows 2000 Solaris HP-UX AIX Linux Netware Funktionen Netscape 4.x MS-Internet-Explorer 5.x sonstige Standards DES 3DES DESX RC2 RC4 RC5 RC6 MD2 MD5 SHA-1 Blowfish MPPE IPSEC PPTP L2TP IP RIP v1 RIP v2 OSPF X9.30 X9.31 X9.32 X9.42 X9.56 X9.62 X9.63 Multiple Key Generation automatische Schlüsselerstellung Verschlüsselung v. Voice, Video Verschlüsselung v. Datenbanken Produktname Linuxwall Filecrypto SSH VPN+Server VPN+Client VPN+Gateway VPN + Fun Communications Transport/S Firewall VPN-Lösung PKI Mail-Verschlüsselung Dateiverschlüsselung Hersteller Fbit F-Secure Protokolle alle SMTP-, POP-Clients MS Outlook 97, 98, 2000, ● ● ● MS Exchange Client 4/5 Lotus Domino, MS Ex●●● ● change 2000 ●●●●●●●● ●●●●●●●● ●●●● MS Outlook ●●● ●●● ●●● ●● ● SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS Algorithmen Produktart LMF Lucent Managed Firewall Pipeline 50/75/85 MS Com Auto PGP Netasq Firewall Box F10-F100 Netscreen Netscreen 5/10/100/ 1000 Nokia IP-Series, Crypto Cluster Norman Data Access Control Defense Norman Privacy Norman Security Server Oeko SSH Radguard Radguard Cipro HQ Rohde & Schwarz Save DT Secgo Solutions Secgo Best Crypt Pro Secgo Crypto IP Secude Secude SDK Lucent Technologies Secude Filesafe ▼ ●●● ● ●● ●● ●●● ●● ●● ●● ●● ●● ● ● ●● ●● ● ●●● ●●● ●● ● ● ●● ●● ● ●● ● ● ● ● Kompriemierung ● ● ● ● Kompriemierung ●●●● ● ●● ●● ●● ● Windows 9x, ME Windows NT Windows 2000 Solaris HP-UX AIX Linux Netware unterstützte Firewalls und VPNs Betriebssysteme unterstützte Mail-Clients ● ● Netscape Mail, Outlook ● ● ● ● 98 und 2000 ●● ●●● ●●● ●●● ●● ●● ●●● ● ● ● ●●● ●●● ● ● ● ●●● ● ●● ●● ●● ●●● ● ●●● ● ●● ●● ●●● ● ●●● ● ●●●●●●● ●●● ●●● ●●● ● ● alle PKI end 2000 ●● ●● ● Funktionen Netscape 4.x MS-Internet-Explorer 5.x sonstige Standards DES 3DES DESX RC2 RC4 RC5 RC6 MD2 MD5 SHA-1 Blowfish MPPE IPSEC PPTP L2TP IP RIP v1 RIP v2 OSPF X9.30 X9.31 X9.32 X9.42 X9.56 X9.62 X9.63 Multiple Key Generation automatische Schlüsselerstellung Verschlüsselung v. Voice, Video Verschlüsselung v. Datenbanken Produktname Kobil Smart Key Firewall VPN-Lösung PKI Mail-Verschlüsselung Dateiverschlüsselung Hersteller Kobil Systems Protokolle ●●● Checkpoint FW-1, Nokia Crypto Cluster ● ● ● ●● ●● ●● ● ● ●● ●● ●● ● ● ●●● ● Outlook Outlook Outlook IPsec ● ● alle alle ● ●●● ●●● ●●● ● Lotus Notes 4.5.1-4.6.x ● ● ● ●● ●●● ● ● ● Netscape, Outlook, Out- ● ● ● ● ● ● ● look Express ●●● SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS www.lanline.de Algorithmen Produktart LANline 12/2000 227 228 LANline 12/2000 Secude Smart 2 you www.lanline.de Secude CSP Secude Net Security STP Secude Net Security Server Secude Cryptoki Secure Computing Sidewinder Security Server Safeword Plus Sidewinder Siemens Transon Sonic Sys Sonic Wall Tedas Virtual Gateland Gateland ● ●● ●● ●● ● ● ●● ●● ●● ●● ●● ●●●●●● ●●●●● ●● ●● transaktionsbasierte ● ● ● ● Signaturerstellung zertifikatbasierte An- ● ● ● ● meldung über Smartcard am NT-System ●● ●● ●● transportorientierte ●● ●● Sicherheitslösung transportorientierte ●● ●● Sicherheitslösung ● ●●●●● ●● ●● ●● ●● ●● HW-Router LAN-Capi ● ● ●● ●●● ●●● ●●● ●● ●● ● ● ● ● ●●● ●● ● ● ●●● ●● ● ● ●●● ●● ●● ● ● ●● ●● ● ●● unterstützte Firewalls und VPNs ● Betriebssysteme Windows 9x, ME Windows NT Windows 2000 Solaris HP-UX AIX Linux Netware Funktionen Netscape 4.x MS-Internet-Explorer 5.x sonstige ● ● ● Signaturen ● ERP-Security ● Standards DES 3DES DESX RC2 RC4 RC5 RC6 MD2 MD5 SHA-1 Blowfish MPPE IPSEC PPTP L2TP IP RIP v1 RIP v2 OSPF X9.30 X9.31 X9.32 X9.42 X9.56 X9.62 X9.63 Multiple Key Generation automatische Schlüsselerstellung Verschlüsselung v. Voice, Video Verschlüsselung v. Datenbanken Produktname Secude Authentemail Secude für R/3 Secude CA-Management Secude Transfair Firewall VPN-Lösung PKI Mail-Verschlüsselung Dateiverschlüsselung Hersteller Secude (Forts. v. S. 227) Protokolle ●● ●●●●●●● ●●●● ●●● ●● ●●● unterstützte Mail-Clients ● ● Netscape, Outlook ●● ● Outlook, Outlook Express ● ● ● ●●● ●●● ●●● ●● ●● ●● ● ● ● ● ● ● ● ●● ●● ●● ●●●● ● Sidewinder ●● IPsec proprietäre Firewall/VPN proprietäre Firewall/VPN ● ●●● ●●● ● ●● ●●● ●●● ●● ● SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS Algorithmen Produktart Tenfour Sweden Thunderstore Trispen Technologies UtimacoSoftware Viasec LAN Crypt Consus-Server Watch Guard Westernacher Fire Box II W.Linux-Firewall ● unterstützte Mail-Clients ● ●●● ● ● ●● ● ● ●● ● ● ● ●●● Windows 9x, ME Windows NT Windows 2000 Solaris HP-UX AIX Linux Netware unterstützte Firewalls und VPNs Betriebssysteme ●●● ● ● ● ●● ● ● ●● TCP/IP Firewall-1 ● MAPI MAPI ●●● ●● ●●● ●●● ●●● ● ● ●● ● ●● ●● ● ●● ● ●● ●● ● ● ● ●●● ●● ●● Funktionen Netscape 4.x MS-Internet-Explorer 5.x Produktname sonstige Secureware Filecrypt ●● ●● Mail Secureware Filecrypt ● ●● File Telecrypt Data ● ● ● ● ATM-Verschlüsselung ● Tenfour TFS-SM ●●●●● ●● S-Cryptor ● On-the-fly-encryption X-Tra Secure ● ● On-the-fly-encryption ● ● S-Mail ● IP Granite ●● ●● Safeguard Sign & Crypt 2.10 Safeguard Sign & Crypt 3.0 Outlook Safeguard Sign & Crypt 3.0 for Lotus Notes Safeguard PICI Safeguard Easy Standards DES 3DES DESX RC2 RC4 RC5 RC6 MD2 MD5 SHA-1 Blowfish MPPE IPSEC PPTP L2TP IP RIP v1 RIP v2 OSPF X9.30 X9.31 X9.32 X9.42 X9.56 X9.62 X9.63 Multiple Key Generation automatische Schlüsselerstellung Verschlüsselung v. Voice, Video Verschlüsselung v. Datenbanken Firewall VPN-Lösung PKI Mail-Verschlüsselung Dateiverschlüsselung Hersteller Telecrypt Protokolle ● ●● Festplattenverschlüsselung internes Zertifikatsmgmt., Server ● ● ● ●● ●● ●● ●● ● ●● ● ● ●● ● ●●● ●● ● ●● ●● ●●● ● ●●● ● alle FW, Consus-eigenes VPN alle über SMTP ●●● ●● Linux-Firewall, Cisco Pix Exchange, Notes ●●● ● SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS www.lanline.de Algorithmen Produktart LANline 12/2000 229 SCHWERPUNKT: VIRTUAL PRIVATE NETWORKS Anbieter: Verschlüsselungs-Software Hersteller/Anbieter Activecard/R2R Research to Rise Algorithmic Research All Secure All Secure/Recomp Aliroo/The Bristol Group Axent/Brain Force Software Axent/Entrada Telefon 08032/9899-0 Produkt Activecard Gold Preis in DM 254 06023/948560 06201/90450 02664/9953-43 06103/2055300 089/317004-0 05251/14560 Bintec Communications/ Bintec Communications/ BSP.Network Borderware Technologies/ Entrada Borderware Technologies/ Recomp Celo Communications Checkpoint Software/ Riedlbauer Checkpoint Software/ IQproducts Checkpoint Software/ R2R Research to Rise Checkpoint Software/ The Bristol Group Cipher 089/44229-0 0941/92015-0 Private Wire Magistrate VPN Magistrate VPN Privawall Raptor Firewall Raptor Firewall Power VPN 6.5 Bianca Brick X4000 X1000 k. A. 4890 k. A. k. A. 3550 k. A. k. A. k. A. ab 835 k. A. 08032/9899-0 Borderware Firewall Server 6.1 IPsec VPN for Borderware Firewall Celocom VPN VPN-1 Firewall-1 VPN-1/Secure Remote Firewall-1-VPN 06103/2055300 VPN-1 k. A. 04061/135383 k. A. Cisco Systems/Ace 07121/9758-0 390520000 $ ab 1500 ab 9000 ab 9000 ab 4000 1495 $ Colubris Networks CA Computer Associates Conware Cryptogram/Onlinestore Cryptovision Danu Industries/Brain Force Software Free S/Wan Project/ Riedlbauer F-Secure F-Secure/Ace F-Secure F-Secure/Ace F-Secure/Centracon F-Secure F-Secure/Entrada F-Secure/Recomp Fbit/Frank Bernhard Fun Communications Genua Glück & Kanja Group Technologies Highway One HOB Electronic IP Dynamics Ire/Deltacom IT-Sec Kobil Systems 230 05251/14560 02664/9953-43 06192/959-102 02151/554810 089/944940-0 Cisco Router VPN 3000 VPN 5000 Pix Firewall 001/450/680-1661 CNI1000 Range of Wireless LAN Routers 089/9961-9110 E-Trust Suite 0721/9495-0 Secuware VPN Client 06074/810490 Cryptogram Folder 0209/167-2450 CV Act Library CV Act S/Mail CV Act Webgate 089/317004-0 Terminet 02151/554810 089/24218425 07121/9758-0 089/24218425 07121/9758-0 02171/7203-0 089/24218425 05251/1456-0 02664/9953-43 Free S/Wan Filecrypto Filecrypto VPN+ VPN+ VPN+ SSH Filecrypto VPN+Server VPN+Client VPN+Gateway 069/90478980 Linuxwall 0721/964480 Transport/S 089/991950-0 Genugate Pro 069/800706-0 Crypto Ex Security Suite 0721/4901-118 Group Mail Crypt 089/13064-269 Highway VPN 0911/9666271 HOBLink Secure HOBCom 001/408/369-6900 VPN-1000 02234/96603-0 Safenet VPN 02161/6897-0 IT-Sec Outlook IT-Sec Datasafe IT-Sec-CA 0611/5802-416 Kobil Smart Key LANline 12/2000 ab 968 Hersteller/Anbieter Lucent Technologies/ BSP.Network Telefon 0941/92015-0 MS Com Netasq Netscreen/BSP.Network 040/25490054 02234/6037-0 0941/92015-0 Nokia/Netstuff 06172/9258191 Norman Data Defense 0212/267180 Norman Data Defense/IAP 040/306803-0 Norman Data Defense/IBV 07621/409230 Oeko/Müller & Brandt 02261/979364 k. A. ab 2000 ab 5000 k. A. Radguard/Entrada Red Creek/PSP Net Rohde & Schwarz Secgo Solutions/Intermedia 05251/14560 06430/2234 030/65884-237 02203/182374 ab 2400 Secgo Solutions/IT-Sec Secude 02161/6897-0 06151/8289743 k. A. 290 230 19167 244 19558 k. A. ab 139 244 k. A. 244 ab 250 k. A. 244 k. A. ab 1164 ab 1164 ab 4871 3579 k. A. ab 22000 ab 98 4700 k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. ab 99 Secure Computing/Recomp 02664/9953-43 Secure Computing/Thales 040/251522-0 Siemens 09131/7-44223 Sonic Sys/R2R Research to 08032/9899-0 Rise Tedas 06421/4099-0 Telecrypt Telecrypt/Conware Tenfour Sweden/Semco Thunderstore Trispen Technologies/ The Bristol Group Utimaco Software Produkt LMF Lucent Managed Firewall Pipeline 50/75/85 Auto PGP Firewall Box F10-F100 Netscreen 5/10/ 100/1000 IP Series Crypto Cluster Norman Security Server Access Control Norman Privacy Access Control SSH Kame GPG Radguard Ciplo HQ k. A. Save DT Secgo Best Crypt Pro Secgo Crypto IP Secgo Crypto IP Secude SDK Secude Filesafe Secude Authentemail Secude für R/3 Secude CA-Management Secude Transfair Secude Smart 2 you Secude CSP Secude Net Security STP Secude Net Security Server Secude Cryptoki Sidewinder Security Server Safeword Plus Sidewinder Transon Sonic Wall Preis in DM 29000 ab 845 80 4495 ab 1141 ab 1500 $ k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. ab 1725 117 k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. k. A. ab 7662 6525 5745 k. A. ab 2800 Virtual Gateland Gateland 02203/9128751 Telecrypt Data 0721/9495-0 Secuware Filecrypt Mail Secuware Filecrypt File 06122/77000 Tenfour TFS-SM 0031/497/383505 S-Crypto X-Tra Secure S-Mail 06103/2055300 IP Granite 257 ab 1290 k. A. 260 06171/917-210 Safeguard Sign & Crypt 2.10 Safeguard Sign & Crypt 3.0 for Outlook Safeguard Sign & Crypt 3.0 for Lotus Notes Safeguard PICI Safeguard Easy LAN Crypt Consus-Server Fire Box II k. A. W. Linux-Firewall k. A. Viasec/Interchip 089/92098-0 Watch Guard/R2R Research 08032/9899-0 to Rise Westernacher 0721/9772-125 250 ab 1900 k. A. k. A. k. A. k. A. k. A. k. A. 69041 k. A. k. A. k. A. ab 11500 www.lanline.de fokusE-COMMERCE CONTENT-MANAGEMENT-SYSTEME Anforderungen und Kriterien Content-Management-Systeme (CMS) sind in der Lage, komplexe dynamische Inhalte zu erzeugen, bereitzustellen und zu verwalten. Sie gelten deshalb als Grundlage für professionelle Web-Auftritte. Ein durchdachtes Konzept können aber auch sie nicht ersetzen. Folgende Überlegungen und Beispiele sollen zeigen, welche Schritte und Prüfungen in der Praxis notwendig sind, um das richtige CMS erfolgreich zu installieren und zu betreiben. Grundsätzlich gibt es bei Web-Content-ManagementSystemen zwei Blickwinkel auf den Content: Dies ist zum einen die Sicht des ContentCreators (oder auch Providers) und zum anderen die des Content-Consumer. Beide arbeiten mit Content, haben aber andere, individuelle Anforderungen. Zwischen beiden Parteien steht – quasi als Vermittler – das Content-ManagementSystem (CMS). Es muss sowohl dem Content-Creator als auch dem Content-Consumer spezifische Möglichkeiten anbieten, um eine individuelle Nutzenmaximierung zu gewährleisten. Stellt man einen Autor innerhalb eines CMS- und Workflow-basierten Redaktionssystems und den Betrachter der fertigen redaktionellen NewsSeiten gegenüber, ist die Rollenverteilung (Wer pflegt hier Content ein, und wer betrachtet ihn?) noch klar. Diese beginnt aber spätestens bei einem Dis- 232 L AN line 12/2000 kussionsforum zu verschwimmen. Denn hier ist eine klare Trennung von Creator und Consumer nicht mehr möglich, da beide Parteien Inhalte wie beispielsweise Fragen und Antworten einpflegen. Diese Erkenntnis fordert eine genaue Planung und Einordnung der technischen Möglichkeiten und Anforderungen. Kommt jetzt noch Dynamik ins Spiel – also das Erzeugen zeit- und zustandsabhängigen Contents – müssen exakte und gut greifbare Kriterien definierbar sein, um die Klarheit der Rollenverteilung zu wahren. breite von Möglichkeiten ab. Ob darunter verstanden wird, dass das Aussehen einzelner Web-Seiten sich von Zeit zu Zeit ändert oder ob es andere Bedingungen gibt, die zu unterschiedlicher Darstellung der gleichen Seite führen, spielt für die Auswahl des Systems eine entscheidende Rolle. Viele Systeme verabschieden sich sogar gänzlich von dem Konzept der Seite als Inhaltscontainer, indem sie den Inhalt nicht innerhalb von Seiten ablegen, sondern ihn davon trennen. Dadurch wird die Seite zu einer Art Ansicht, unter der je nach Kriterium (das können zum Beispiel Benutzergruppenzugehörigkeit, Standort, Sprache, Betrachtungszeitpunkt oder ähnliches sein) unterschiedliche Inhalte zu sehen sind. Auch die Präferenzen des Betrachters – ob er sie nun explizit angegeben hat (etwa bei einer Benutzerregistrierung) – oder ob sie implizit aus der Beobachtung seines bisherigen Verhaltens abgeleitet werden können (Customer Tracking), spielen eine große Rolle. ENTSCHEIDUNGSKRITERIEN Bei der rein statischen Anlage einer Website (zum Beispiel als Verzeichnisbaum auf der Festplatte des Web-Servers) ändert sich eine Seite zwischen zwei Aufrufen nur dann, wenn jemand die HTML-Datei bearbeitet hat. Da innerhalb einer HTML-Seite aber Struktur (HTML-Tags) und Inhalt vermischt sind, ist es für einen reinen Content-Creator wie etwa einen Redakteur oder einen anderen Autor schwierig und DYNAMIK Gerade um dynami- schen Inhalt ins Web zu bringen, existieren die verschiedensten Ansätze. Was dabei gute und schlechte Ansätze sind, entscheidet sich nach den zu erreichenden Zielen und Anforderungen, die ganz unterschiedlich ausfallen können. Schon das Wort “dynamisch” deckt eine ganze Band- Über das JDBC-API unterstützen Java-basierende CMS alle gängigen Datenbanken www.lanline.de fokusE-COMMERCE unter Umständen sehr zeitaufwändig, zwischen den Inhalten und der Struktur der Seite zu unterscheiden. Kleinere Änderungen können schnell zu einem ungewollten Aussehen der Seite führen oder aber sehr lange dauern, wenn der Content-Creator die Feinheiten von HTML nicht ausreichend kennt. Noch komplizierter wird es, wenn etwa Client- oder Serverseitig Javascript oder eine andere Skriptsprache in die WebSeiten eingebunden ist. Schon für relativ einfache Anforderungen ist daher zusätzlich zum Content-Creator ein Programmierer mit entsprechender Erfahrung erforderlich. Wer mit einer statischen Website mit sporadischen Änderungen leben kann und keine interaktiven Anforderungen hat, braucht kein CMS. Wenn aber durch das Betreiben und die permanente Anpassung des Web-Auftritts laufende Kosten entstehen, dann rechnet sich dessen Einsatz schon sehr bald. Ein CMS muss aus diesen Gründen in der Lage sein, den Inhalt der Web-Präsenz strikt von ihrer Struktur zu trennen. Ist dies gegeben, dann muss das System – auf der Grundlage des gleichen Contents – verschiedene Präsentationsformen unterstützen. Dies sollte neben HTML und WML (WAP) auch XML für den B2B-Datenaustausch sein. Optimal ist es natürlich, wenn die Wahl der Präsentationsform völlig frei ist. Dann können mit dem gleichen Content unterschiedliche Dokumente generiert werden. Das kann je nach Bedarf etwa ein PDF-Dokument sein oder auch eine WAP-Seite für Handys. 234 L AN line 12/2000 Notwendige Funktionen eines CMS – Mit einer frei definierbaren Kategorisierung lässt sich Content beliebig und sinnvoll gruppieren. – Volltextsuche über alle Texte. Wenn eine Kategorisierung möglich ist, dann auch die Kombination verschiedener Kriterien (beantwortet Fragen wie “Welcher Forumsbeitrag im Forum ‘A’ enthält den Text ‘X’ aber nicht den Text ‘Y’). Diese Funktionen müssen die Rechte des jeweiligen Benutzers berücksichtigen. Das heißt, ein Benutzer darf nur denjenigen Content sehen, an dem er entsprechende Rechte hat. – Eine rollenbasierte Benutzerverwaltung dient unter anderem dazu, die Zugriffsrechte auf Content und Seiten (im Sinne von Struktur, welche den Content ins Bild setzt) zu steuern. Durch die Rollenbasierung wird der Pflegeaufwand minimiert. – Multi-Domain-Unterstützung: Unterstützung mehrerer Domänen, unter denen Struktur und Content geteilt werden können (aber nicht müssen). So ist es beispielsweise möglich, Intranetund Web-Auftritt mit nur einer Content-Basis zu realisieren oder mehrere Marktplätze mit einem einzigen System zu verwalten. – Eine Template-Engine, die eine Mehrfachverwendung nicht nur des Contents, sondern auch von Strukturelementen erlaubt. Erst diese gewährleistet die effiziente Anpassung einer Website an sich ändernde Layout-Anforderungen. – Unterstützung von Mehrsprachigkeit (auch fremde Zeichensätze wie beispielsweise chinesisch, arabisch). Hier ist zu beachten, dass der Content auch entsprechend darstellbar ist und nicht lediglich gespeichert werden kann. – Automatische Präsentation von XML in einer beliebigen Präsentationsform (HTML, WAP, PDF etc.). Dies ist etwa via XSL-T zu realisieren. – Frei definierbare Metadaten für sämtliche Objekte im System (zum Beispiel Benutzer und Content) befreien von dem Zwang der zweckfremden Verwendung eines bereits bestehenden Metadatensystems. – Strukturierungsmöglichkeiten für Content und Seiten. – Ablage und Produktion beliebiger Daten (Bilder, Animationen, Sound, Texte, Archive ...). – Ad-Server-Funktionalität für Links (etwa für Banner und kostenpflichtige Inhalte). – Weitere integrierte Kommunikations- und Interaktionskomponenten wie Forum, Chat, Voting, Guestbook oder Bannerverwaltung. – Beliebige Erweiterbarkeit durch eine ihrerseits erweiterbare Programmier- beziehungsweise Skriptsprache. – Anbindung beliebiger Fremdsysteme durch dokumentierte Standard-APIs. Auch Datenbanken fallen unter diesen Punkt. – Plattform- und Datenbankunabhängigkeit. – Skalierbarkeit: auch durch die Möglichkeit, ein gewachsenes System möglichst einfach auf andere Plattformen zu übertragen und bei Bedarf zu verteilen, statt dort komplett neu aufzusetzen (Up- und Rightsizing). Gibt es für den Content (oder bestimmte Contents) einen Freigabe-Workflow, dann sollte das Content-Management-System auch die- sen abbilden können. Andernfalls ist er außerhalb des CMS zu realisieren, mit der Notwendigkeit, Schnittstellen zwischen dem eingesetzten Workflow-System und dem Content-Management-System zu nutzen und zu konfigurieren. Je nachdem, wie viele CMS-fremde Zusatzsysteme zu einer Gesamtlösung zusammengebunden werden sollen, erhöhen sich Kosten und Integrationsaufwand. Deshalb ist abzuwägen, wie stark integriert die Lösung schon von sich aus sein soll, welche Funktionalitäten sie also von Haus aus mitbringt. Features wie eine frei definierbare Kategorisierung, Volltextsuche, rollenbasierte Benutzerverwaltung, MultiDomain-Unterstützung für komplexe Web-Auftritte und Marktplätze sollten genauso zum Funktionsumfang eines CMS gehören wie Mehrsprachigkeit und Interaktions- und Kommunikationskomponenten. Ein ganz wichtiges Kriterium ist außerdem die Plattformunabhängigkeit. Hinzu kommen noch einige weitere Funktionen, die samt ihrem Nutzen in der nebenstehenden Tabelle aufgeführt sind. TECHNISCHE RAHMENBEDINGUNGEN Durch die An- forderung der Plattformunabhängigkeit drängt sich als Basistechnologie ein System auf, das komplett in Java implementiert ist. Auch hinsichtlich der Forderung, datenbankunabhängig zu sein, hält Java mit dem JDBC-API eine Möglichkeit parat, diese Anforderung zu erfüllen. Daneben gibt es unzählige Java-APIs, mit denen sich viele Fremdsysteme anbinden lassen (zum Beispiel über das Java Naming and Directory Interface). Da Java mit dem Servlet-API auf der Server-Seite auch noch ein www.lanline.de fokusE-COMMERCE ausgezeichnetes Instrument zur Realisierung von ServerProzessen in Verbindung mit Webservern anzubieten hat, erscheint es als die Grundlage eines CMS schlechthin – wären da nicht die überholten Unkenrufe bezüglich der schlechten Performance-Werte. Überholt deshalb, weil Java zwar noch eine relativ junge Sprache ist, die sich in letzter Zeit jedoch mächtig entwickelt hat. Kritikpunkte bezüglich Geschwindigkeit, Stabilität und Einsetzbarkeit, die noch für frühere Versionen von Suns JDK (Java Development Kit) richtig waren, sind mittlerweile für die aktuelle Version 1.3 schlichtweg falsch. Damit ist die angeblich unzureichende Leistungsfähigkeit von Java nicht mehr als ein Mythos. Wer noch diesen Behauptungen anhängt, verschließt sich dem aktuellen Stand der Technik und einer ausgereiften Technologie. Die folgende Anforderungsliste soll den technologischen Rahmenbedingungen ein konkretes Gesicht verleihen: – Unterstützung kommerzieller Hochleistungsdatenbanken (zum Beispiel Oracle 8i) für den Einsatz in High-endUmgebungen. – Für günstige Installationen oder den Testbetrieb sollten leistungsfähige Open-Source-Datenbanken (beispielsweise Interbase 6.0) ebenso unterstützt werden. – Das CMS sollte prinzipiell auf allen Web-Servern laufen, jedoch mindestens mit Apache (Open-Source) und dem Microsoft-IIS. – Die Software (Server ebenso wie Clients) muss die Systemverfügbarkeit auf Windows, Linux, Solaris und www.lanline.de weiteren Unix-Derivaten sicherstellen. – Die Programmierung des Systems sollte über das Internet möglich sein. – Als Programmiersprache bieten sich Java oder auf Java basierende Sprachen an. Außerdem sollte eine beliebige Erweiterbarkeit über Ja- va-Klassen, Java-Beans und die Enterprise-Java-Beans (EJB) gegeben sein. SCHLÜSSEL ZUM ERFOLG Welche enorme Bedeutung die Umsetzung der beschriebenen Anforderungen – sowohl technologisch als auch monetär – für den reibungslo- sen Betrieb eines CMS hat, lässt sich am besten an einem zwar konstruierten, aber dennoch praxisrelevanten Beispiel zeigen: Ein deutsches Unternehmen plant als Schritt in das E-Business die Schaffung einer Plattform für den Handel mit mechanischen Teilen. An das Sys- L AN line 12/2000 235 fokusE-COMMERCE tem werden weltweit über 2500 Lieferanten und Händler angeschlossen, die zunächst die Verfügbarkeit von Ersatzteilen und die entsprechende Logistik planen und umsetzen. Da man die Planzahlen für Hits und Umsätze schnell übertrifft, ist schon kurz nach Einführung des Extranet-Portals klar, dass die Site ein Erfolg werden wird. Um das Angebot noch attraktiver zu gestalten, wird deshalb ein weiterer kommerzieller Bereich eingerichtet, der auch für das Internet geöffnet wird. Innerhalb dieses Bereichs können die Besucher der Site von den Händlern des eigentlichen Extranets gebrauchte Werkzeugmaschinen ersteigern und bestimmte Teile zu äußerst günstigen Konditionen beziehen. Für einige Händler ist der Erfolg so gewaltig, dass sie sogar mit dem Portal-Betreiber die Anmietung von Werbeplätzen für Banner vereinbaren und zusätzlich ein entgeltliches Forum für die technische Betreuung der Website-Besucher anbieten. Die Verrechnung der Provisionen für den Portal-Betreiber und die angeschlossenen Händler erfolgt automatisch im System. Bereits nach kurzer Zeit wird die geplante Zahl von 150.000 Hits deutlich übertroffen: Sie beläuft sich auf über eine Million – bei stattlichen 15.000 Kunden. So liest sich eine SuccessStory im Internet – mit dem richtigen Werkzeug zielstrebig umgesetzt. Dass das auch anders ausgehen kann, sieht man erst, wenn man das Gesamtprojekt kritisch analysiert und hinter die Kulissen schaut: Ein solches System muss nämlich, da es weltweit zum Einsatz kommt, Content mehrerer 236 L AN line 12/2000 Sprachen problemlos verwalten und produzieren können. Das Extranet setzt auf einem System auf, das Benutzergruppen verwalten und gewisse logistische Anforderungen in Workflows verarbeiten kann. Eine integrierte Shop-Lösung stiegen ist (als Kenngröße seien die 1.000.000 Hits genannt). Dies wiederum bedeutet für das CMS die Portierung etwa von einem WindowsNT-System mit SQL-Server 7.0 auf eine Sun-EnterpriseMaschine mit Sun Solaris V7 Bei plattformunabhängigen CMS können Redakteure und Administratoren mit einem Web-Browser über das Internet auf das CMS zugreifen mit verschiedenen Währungen und Steuersätzen muss entweder anbindbar oder selbst erstellbar sein. Bei der Menge der angestrebten Transaktionen ist zudem zu erwarten, dass eine Schnittstelle zu einem ERP-System notwendig wurde. Ist von “schnell übertroffenen Planzahlen und Umsätzen” die Rede, kann man außerdem davon ausgehen, dass der Traffic schnell ange- und einem Oracle-8i-Enterprise-RDBMS (etwa mittels XML-Export und -Import). Das Öffnen eines Teilangebots für das Internet erhöht den Verkehr auf der Site zusätzlich, was die Verwendung der identischen Datenbasis erforderlich macht. Weiterhin wurde das Angebot selbst um mehrere entgeltliche Foren erweitert. Der Betreiber muss also die Möglichkeit haben, Banner und deren Schaltungen innerhalb von Kampagnen zu organisieren und gegenüber seinen Kunden abzurechnen. FAZIT Man könnte diese Auf- listung beliebig fortsetzen. Ihr Beispiel zeigt aber zumindest, welche zentrale Bedeutung dem CMS zukommt und welche “kleinen Fallstricke” in der Erfüllung oder Nicht-Erfüllung bestimmter Features lauern. Auch hier kann bei Expansion im E-Commerce aus Weisheit “kleine Ursache, große Wirkung” eine teure Erkenntnis werden. Umso wichtiger ist die Erfüllung der Hauptanforderungen an ein Content-Management-System: Soft- und -Hardware-technische Unabhängigkeit für Server und Clients, dokumentierte offene Schnittstellen, integrierte Kommunikations- und Interaktionskomponenten und die Abbildbarkeit von Prozessen. Die Beantwortung der Frage, ob ein proprietäres, systemgebundenes redaktionelles System für alle Zeiten genügt oder ob es besser ist, gleich auf eine Plattform zu setzen, deren Wachstum, Individualität und Leistungsfähigkeit man zumindest mitbestimmen kann, hängt letztlich von der gewählten E-Business-Strategie ab. Tatsache aber ist, dass sich Anforderungen und Prozesse im E-Commerce mit atemberaubender Geschwindigkeit entwickeln. Und wer nicht flexibel ist, verbaut sich die damit verbundenen Chancen selbst und verschenkt bares Geld – auch das ist eine Tatsache. (Alf Leue/gh) Alfred Leue ist Geschäftsführer von Bouncy Bytes Software. www.lanline.de fokusE-COMMERCE JSP, SERVLETS UND XML Architektur für Anwendungen Während Java auf dem Client der Durchbruch noch nicht so recht gelang, erfreut sich die plattformunabhängige Programmiersprache auf der ServerSeite wachsender Beliebtheit. Denn die Kombination aus Java-Servlets, Java-Server-Pages (JSP) und XML eignet sich hervorragend als Architektur für flexible, skalierbare und vom Betriebssystem unabhängige E-Commerce-Anwendungen. Es gibt in der Praxis die verschiedensten Möglichkeiten, E-Commerce-Anwendungen zu strukturieren. Viele Hersteller entwickeln in diesem Umfeld proprietäre Anwendungen, die vor der Benutzung zunächst einmal auf den ClientRechnern installiert werden müssen und meist an ein bestimmtes Betriebssystem gebunden sind. Im Gegensatz dazu stehen die so genannten “Thin-Client”-Lösungen, die in den allermeisten Fällen auf der Nutzung der bestehenden Web-Infrastruktur basieren. Mit anderen Worten: Die Benutzerschnittstelle auf den Client-Rechnern stellt ein gängiger Web-Browser zur Verfügung. Die Anwendungsdaten werden vom Server, der die gesamte Anwendungslogik bereitstellt, in HTML oder XML kodiert und per HTTP an den Client geschickt. Der Server generiert diese dynamischen Web-Seiten aus den in Datenbanken gehaltenen Anwendungsdaten und aus Benutzer- 238 L AN line 12/2000 wünschen. Ein Beispiel: Ein Online-Buchhändler bietet seinen Kunden zunächst ein in HTML kodiertes Suchformular. Nach Auswertung der Stichworte, die der Kunde angegeben hat, kontaktiert der Server eine Datenbank und erhält von dieser eine Reihe von Buchtiteln, die zu den Stichworten passen. Diese werden nun in HTML umgesetzt und an den Web-Browser des Clients geschickt, der die Seite als Antwort auf das Abschicken eines Formulars im Fenster darstellt. Diese heute am häufigsten eingesetzte Architektur Web-basierter E-Com- Bild 1. 3-Tier-Architektur mit Servlets merce-Anwendungen wird auch als “3-Tier-Architektur” bezeichnet. Bild 1 stellt diese Variante grafisch dar. Jeder der drei Bereiche übernimmt dabei unterschiedliche Aufgaben. Tier 1 stellt die webbasierte Benutzerschnittstelle dar. Hier gibt der Benutzer seine Anfragen ein und erhält die Antworten der Anwendung. Tier 2 ist das Kernstück, denn dort ist die ganze Anwendungslogik untergebracht. Tier 3 schließlich ist für die Datenhaltung zuständig und wird über SQL angesprochen. Für die Umsetzung von Tier 2, die sich im Wesentlichen auf die Erstellung eines Anwendungsprogramms konzentriert, gibt es heute eine Vielzahl von Möglichkeiten. Bekannte Techniken für die Erzeugung dynamischer Web-Seiten, die heute auch für E-Commerce im Einsatz sind, sind CGI-Skripte in Perl, PHP3 oder Microsofts Active Server Pages (ASP). In diesem Artikel betrachten wir eine spezielle Variante dieser 3-Tier-Architektur, in der Tier 2 durch die so genannte JavaServlets realisiert wird. Die Servlet-Technologie ist eine logische Weiterentwicklung und Kombination zweier schon länger existierender Ansätze zur Erzeugung dynamischer Web-Seiten: CGI-Programme und den Java-Applets. CGI (Common Gateway Interface) ist wie schon erwähnt eine Server-seitige Technik, während Applets kleine JavaProgramme sind, die im Browser des Clients ausgeführt werden. Servlets sind ebenfalls eine Server-seitige Technologie, aber sie werden nicht in Perl, sondern in Java geschrieben. Ein einzelnes Servlet ist ein üblicherweise relativ kleines Programm, das vom Benutzer wie ein CGI-Skript aufgerufen und dann mit den entsprechenden Parametern ausgeführt wird. Man kann sich das wie die Ausführung eines Applets in einer Java Virtual Machine vorstellen, nur, dass eben sämtliche Aktivitäten auf dem Server stattfinden. Wie Bild 1 verdeutlicht, benötigt man für eine Servlet-basierte Lösung eine Servlet-Erweiterung für den Web-Server, praktisch eine virtuelle Java-Maschine auf dem Server. Einige Web-Server wie etwa der Iplanet-Server unterstützen von Haus aus Servlets. Für die Web-Server von der Apache Group, Microsoft, Zeus, Netscape und O’Reilly bietet Allaire mit Jrun Erweiterungen an. Auf einem Web-Server mit Servlet-Unterstützung definiert der Administrator zunächst ein spezielles virtuelles Verzeichnis, für das alle HTTP-Anfragen an die Servlet-Engine weitergegeben werden. Üblicherweise ist dies das “/servlet” Directory. Wird beispielsweise der GET Aufruf “http://www.mybookshop.de/ servlet/Search?titel=potter” von einem HTML-Formular auf einer Suchseite empfangen, lädt die Java-Virtual-Machine (JVM) auf dem Web-Server die Java-Klasse Search.class. Denn Servlets sind gewöhnli- www.lanline.de fokusE-COMMERCE che Klassen, die von einer generischen Basisklasse abgeleitet sind und somit ein bestimmtes API (Application Programming Interface) implementieren. Dieses API umfasst Methoden zur Initialisierung des Servlets sowie zur Bearbeitung von GET- und POST-Anfragen. Die Formularparameter kapselt der Servlet-Engine in dem so genannten RequestObjekt. Dies nimmt dem Servlet-Entwickler die Aufgabe ab, die Formulareingaben selbst aus der übergebenen Zeichen- SQL-Anfrage eingebaut und an die zentrale Datenbank geschickt. Es ist aber auch problemlos möglich, andere Server zum Beispiel mittels Corba oder TCP-Sockets anzusprechen. Gerade für die Abbuchung eines Kaufpreises per Kreditkarte werden üblicherweise spezielle Server wie der Microsoft-Commerce-Server oder der IBM-Websphere-Payment-Manager verwendet, die wiederum die Transaktionsabwicklung mit den Servern von Banken übernehmen. Bild 2. Typische Funktionalität eines Servlets: Die Formularparameter werden in eine SQL-Anfrage eingesetzt, und die Ergebnistabelle wird als HTML-Seite formatiert. kette fischen zu müssen. Die für die Entwicklung von Servlets benötigten Klassen der Pakete javax.servlet und javax.servlet. http sind in einer JAR-Datei zusammengefasst [1]. Liegt diese im CLASSPATH, kann jeder Java Compiler zur Entwicklung von Servlets verwendet werden. Um die Benutzeranfrage schließlich zu bearbeiten, wird in der Java VM ein neuer Thread auf der Methode doGet gestartet. Dies ist der Punkt, an dem die Kontrolle von der Servlet-Engine an das eigentliche Java-Programm übergeben wird. Mit den Eingaben aus dem HTML-Formular kann nun das Servlet beliebige Funktionalität ausführen. Typischerweise werden die übergebenen Parameter in eine 240 L AN line 12/2000 Neben der Abwicklung der Business-Logik ist auch die Kodierung der Ergebnisse – zum Beispiel in HTML – Aufgabe des Servlets. Dazu wird dem Servlet neben dem Request-Objekt ein weiteres Objekt übergeben: das Response Objekt. Dieses Objekt hat im Wesentlichen zwei Aufgaben. Zum einen kann der Entwickler angeben, ob HTML, XML oder WML vom Servlet erzeugt werden soll. Es ist also auch möglich, statt WebBrowser WAP-fähige Handys zu bedienen. Zum anderen kann die Ergebnisseite durch simple Print-Befehle Zeile für Zeile erzeugt werden. Die Servlet-Engine sorgt nun wiederum dafür, dass die dynamisch erzeugte Seite an den Client, also den Browser oder www.lanline.de fokusE-COMMERCE das Handy, weitergeleitet wird. Etwas komplizierter ist es, die Funktionalität eines Einkaufswagens zu implementieren. Denn hier müssen die benutzerspezifischen Daten in einer Session, also über mehrere Seitenaufrufe hinweg, gesammelt werden und jederzeit zur Verfügung stehen. Dies ist nicht einfach, da sich ja zu einem gegebenen Zeitpunkt hunderte von Benutzern auf der Website tummeln können. Zum Glück nimmt die Servlet-Engine dem Entwickler dieses Problem ab. Greift der Benutzer zum ersten Mal auf die Web-Applikation zu, wird im Browser ein Cookie mit einer eindeutigen Identifikation gesetzt. Bei weiteren Anfragen kann der Benutzer somit erkannt werden. Jedem Benutzer ist weiterhin ein Speicherplatz – der so genannte Session Kontext – zugeordnet. Das Servlet kann den Bereich des momentan aktiven Benutzers von der Servlet-Engine anfordern und beispielsweise die Information eines Buchs dort ablegen. Empfängt die Servlet-Engine innerhalb von 15 Minuten keine weiteren Anfragen, wird die Session automatisch gelöscht. Java Server Pages sind eine neue, auf Servlets aufbauende Technologie von Sun [2]. Prinzipiell funktionieren Java Server Pages genau wie Servlets. Der entscheidende Unterschied besteht jedoch im Verhältnis von Java und HTML beziehungsweise XML. Servlets sind normale Java-Klassen, die den dynamischen Web-Inhalt mit Print-Anweisungen ausgeben. Java Server Pages hingegen sehen fast wie ein gewöhnliches HTML-Dokument aus. Dynamische Seitenkomponenten, wie zum www.lanline.de Beispiel das Ergebnis einer Suchanfrage, fehlen jedoch. Stattdessen findet man, abgegrenzt durch die Tags <% und %> Java-Programmzeilen, die wie im Servlet die dynamischen Seitenteile generieren. Wer mit den Web-Technologien vertraut ist, erkennt, dass sich ein Servlet zu JSP in etwa so wie ISAPI zu ASP verhält. Ruft ein Benutzer eine JSPDatei in seinem Web-Browser auf, wird sie automatisch auf dem Server in ein Servlet übersetzt. Dies geschieht, indem alle Zeichen, die sich nicht zwischen <% und %> befinden, in Print-Methodenaufrufe gepackt werden. Dieses aus der JSP-Datei generierte Servlet wird automatisch compiliert, im Arbeitsverzeichnis des Web-Servers gespeichert und dann wie jedes andere Servlet ausgeführt. Dies bedeutet natürlich auch, dass mit JSP Variablen definiert und andere komplexe Java-Klassen aufgerufen werden können. Der Vorteil von JSP ist, dass die statischen Seitenteile mit jedem HTML-Editor wie zum Beispiel Frontpage oder Composer bearbeitet werden können. Mit Servlets ist hierzu immer eine Änderung im JavaProgramm und ein erneutes Kompilieren erforderlich. Andererseits sind JSP-Programme oft recht unübersichtlich. Es bleibt letztendlich dem persönlichen Geschmack überlassen, ob Servlets oder JSP verwendet werden. Als Daumenregel gilt hierbei, komplexe Applikationslogik mit Servlets zu implementieren und JSP für Standardaufgaben wie Log-in oder Suche zu verwenden. Ein großes Plus für die Akzeptanz von Servlets und JSP ist die Tatsache, dass der Apa- L AN line 12/2000 241 fokusE-COMMERCE che-Web-Server, der inzwischen einen Marktanteil von über 60 Prozent besitzt [3], diese Technologien unterstützt. Die Jserv-Servlet-Engine erweitert den Apache-Server um die Unterstützung der Version 2.0 der Servlet-API [4]. Wer auf JSP zurückgreifen will, sollte hingegen Tomcat verwenden [5]. Diese Servlet-Engine unterstützt Version 2.2 der Servlet-API sowie Version 1.1 von JSP. Wie bei Perl oder PHP werden zwar auch Servlets interpretiert. Trotzdem kann sich die Performance sehen lassen, da für eine Anfrage kein eigener Prozess, sondern nur ein Thread in der Java-VM gestartet wird. Es gibt wohl kaum eine Applikation im Internet, die hinter den Kulissen ohne eine Datenbank auskommt. Online-Buchgeschäfte, die Fahrplanauskunft der Bahn oder Web-Seiten mit den aktuellen Aktienkursen sind Beispiele für datenbankgestützte Web-Anwendungen. Servlets, die Internet-Seiten dynamisch basierend auf Informationen aus einer Datenbank generieren, verschaffen dem Kunden einen direkten Draht zum zentralen Informationssystem. Auch für den Betreiber der Web-Seite ist diese Technik eine enorme Erleichterung. Das sonst notwendige häufige Aktualisieren statischer Seiten mit den neuen Informationen entfällt, da die Daten ohne Redundanzen nur noch in der Datenbank gespeichert sind. Moderne Datenbank-Server erlauben effizientes Speichern und Lesen der Daten, bieten sicheren Mehrbenutzerbetrieb, sichern die Konsistenz der Informationen und gewährleisten die Sicherheit der Daten durch ausgeklü- 242 L AN line 12/2000 gelte Logging- und BackupVerfahren. Die Java-DatabaseConnectivity-Schnittstelle (JDBC) erlaubt es einem beliebigen Java-Programm – also auch Servlets – SQL-Anfragen an beliebige Datenbanken zu schicken. In E-Commerce-Anwendungen finden sich Informationen über Kunden, Pro- mit diesem Attribut. Bei dieser Flut an Marketinginformation ist es nicht einfach einzuordnen, was XML eigentlich tut und wie es sich zu anderen Technologien verhält. Dabei ist XML im Grunde eine sehr einfache Sache. Denn die eXtended Markup Language erlaubt es, ein Dokument in Tei- Bild 3. Eine HTTP-Anfrage erzeugt dynamisch ein XML-Dokument, in dem die nackten Daten enthalten sind. Diese können von Programmen wie einem Preisvergleich-Agenten verarbeitet werden. Mit Hilfe von verschiedenen Stylesheets, die das Layout festlegen, können die Daten dann auch auf verschiedenen Geräten angezeigt werden. dukte und Bestellungen. Zwischen den Daten und benutzerfreundlichen Formularen befinden sich dann Servlets, die Produktlisten aus der Datenbank als HTML-Tabellen formatieren oder die Daten des HTMLFormulars für Neukunden in der Datenbank ablegen. “XML-Unterstützung” ist heute zu einem wichtigen Verkaufsfaktor geworden. Datenbanken, Middleware, Browser und Web-Design-Werkzeuge schmücken sich inzwischen le zu zerlegen und diesen Namen zu geben. Bild 3 zeigt ein XML-Dokument, das ein zum Verkauf angebotenes Buch beschreibt. Die Tags erinnern stark an HTML, jedoch können die Namen der Tags frei gewählt werden. Es ergibt sich eine hierarchische Struktur, in der klar festgelegt ist, welche Zeichen des Dokuments die ISBN darstellen und welche zum Buchtitel gehören. XMLDokumente können wie in diesem Fall von einer Web-Appli- kation dynamisch generiert oder mit einem beliebigen Editor erstellt werden. XML ist eine sehr grundlegende Technologie, die zwar auf das Internet zugeschnitten ist, jedoch für alle möglichen Anwendungen geeignet ist. So werden inzwischen viele Konfigurationsdateien als XML Datei abgelegt. Anhand eines virtuellen Buchgeschäfts soll nun gezeigt werden, wie diese einfache Idee von Nutzen sein kann: Sucht man beispielsweise auf der Web-Seite von Amazon. com nach einem Buch, bekommt man eine HTML-Seite mit dem Buchtitel, dem Preis, den Autoren und weiteren Informationen geliefert. Im Browser sieht diese Seite sehr schön und übersichtlich aus. Lässt man sich jedoch den Quelltext anzeigen, wird man mit einem Wust von HTMLTags konfrontiert. Will man nun aber die relevanten Informationen von einem Programm auslesen lassen, um beispielsweise automatisch die Angebote verschiedener Anbieter zu vergleichen, ist dies nur mit enormem Aufwand möglich. Auch wenn Amazons Website WAP-fähig gemacht werden sollte, wäre eine völlige Neuentwicklung nötig. Genau an dieser Stelle setzt XML an: Das Buchangebot wird in zwei Teile geteilt, und die eigentlichen Daten werden in XML codiert. Diese klare Struktur enthält keinerlei Layoutinformationen und ist somit für Programme wie einen PreisvergleichAgenten wesentlich leichter zu verarbeiten. Das Layout wird hierbei in einer separaten eXtensible Stylesheet Language (XSL) Datei gespeichert. Für jedes Darstellungsmedium gibt www.lanline.de fokusE-COMMERCE ein eigenes Stylesheet an, wie das jeweilige Angebot formatiert werden soll. Um eine WAP-/WML Unterstützung zu realisieren, muss also lediglich ein für die kleinen Displays angepasstes Stylesheet neu geschrieben werden. Die gesamte Applikationslogik, die das XML-Dokument aus der Datenbank dynamisch generiert, kann weiter verwendet werden. Natürlich stellt sich die Frage, ob die XML-Elementnamen “buch”, “isbn”, “titel” und “waehrung” willkürlich gewählt wurden oder nicht. Denn um das enorme Potential von XML voll auszuschöpfen, ist es natürlich sinnvoll, dass sich die Teilnehmer eines Systems auf ein Vokabular und eine Dokumentstruktur einigen. Diese www.lanline.de Referenzen: [1] Servlet Specifikation: http://java.sun.com/products/servlet/ [2] JSP Specifikation: http://java.sun.com/products/jsp/ [3] The Netcraft Web Server Survey: http://www.netcraft.com/ survey/ [4] The Apache JServ Project: http://java.apache.org/jserv/ [5] Jakarta Tomcat: http://jakarta.apache.org/tomcat/ Informationen können in einer so genannten Document Type Definition (DTD) festgelegt werden. Man kann zum Beispiel festlegen, dass Buchangebote die genannten Elemente enthalten müssen, optional aber auch noch die Namen der Autoren enthalten können. Die DTD ist somit eine wichtige Basis für den Austausch von Dokumenten und garantiert eine problemlose Weiterverarbeitung. Momentan wird in fast allen Brachen versucht, Standards zum Beispiel für Immobilien oder Patente festzulegen. Für Java und etliche andere Programmiersprachen sind inzwischen eine Fülle von XMLWerkzeugen erhältlich. Das Kernstück ist hierbei immer der XML-Parser, der ein XML-Dokument in eine hierarchische Datenstruktur zerlegt und diese dem Anwendungsprogramm übergibt. Java-Servlets und XML sind Technologien, die eine schnelle, skalierbare und flexible Verwirklichung einer E-Commerce Lösung ermöglichen. Servlets und JDBC lassen den Produktkatalog schnell und problemlos im Web erscheinen. Java Server Pages präsentieren die Ergebnisse dem Web-Browser. XML bietet interessante Perspektiven für die Zukunft. Vielleicht ermöglichen es bald branchenspezifische DTDs kleinen Firmen, ihre Produkte in Sekundenschnelle weltweit anzubieten. (Andreas Eberhart, Stefan Fischer/gh) Die Autoren arbeiten an der International University School of Information Technology in Bruchsal. L AN line 12/2000 243 fokusE-COMMERCE OBJEKT-BROKER FÜR E-COMMERCE Komponenten im Wettstreit Moderne Anwendungen wie Online-Shops sind modular aus Komponenten aufgebaut, die sinnvoll miteinander kommunizieren müssen. Dafür sind so genannte Komponenten-Broker oder Software-Busse erforderlich, deren wesentliche Vertreter DCOM und Corba sind. Dieser Beitrag erläutert die Funktionsweise der beiden Modelle und stellt ihre Möglichkeiten anhand von zwei Beispielen vor. DCOM (Distributed Component Object Model, vormals OLE – Object Linking and Embedding), ist ein Microsoft-eigener SoftwareBus zur Verknüpfung von Anwendungen und Software-Komponenten im lokalen Netzwerk. Dieses Konzept dehnte Microsoft mit der Einführung von ActiveX auf das Internet aus. DCOM ist ein durchgängiges Komponentenmodell für die Windows-Plattform. Unab- 244 L AN line 12/2000 hängig davon, ob Serveroder Client-Anwendungen realisiert werden sollen, stellt COM ein mächtiges und einheitliches Programmier- und Komponentenmodell zur Verfügung, das von jeder Programmiersprache aus verwendet werden kann. Die Wiederverwendung von Komponenten und Quellcode wird dadurch sehr einfach. Denn schon das Betriebssystem selbst verfügt über sehr viele Dienste, wel- che die Entwicklung von Anwendungen erleichtern. Dabei zeigen sich schnell die Vorteile eines durchgängigen Komponentenmodells. So lassen sich beispielsweise XML-Daten sehr bequem über das XML-DOM-Document-Objekt bearbeiten. Diese Komponente lässt sich sowohl aus HTML oder ASP (Active Server Pages) mit einer Skriptsprache ansprechen, als auch aus einer COM-Komponente, die in einer Hochsprache wie Visual Basic oder Visual C++ geschrieben wurde. Zusätzlich zu den COMKomponenten des Betriebssystems lassen sich unter der Windows-Plattform auch Komponenten aus Anwendungsprogrammen nutzen – beispielsweise dem neuen Office 2000, das aus über 600 COM-Komponenten besteht. Im betriebswirtschaftlichen Bereich stehen R/3Komponenten über den SAP-DCOM-ComponentConnector zur Verfügung. Somit können Entwickler zusätzlich zu den bisher eher technischen Komponenten nun erstmals auch auf extrem leistungsfähige betriebswirtschaftliche COM-Komponenten zurückgreifen. Der DCOM-Component-Connector erstellt COM-Wrapper für SAP-BAPIs (Business Application Interfaces). Diese COM-Komponenten kapseln die Funktionalität der BAPIs und stellen diese über das COM-Interface anderen Anwendungen zur Verfügung. Diese COM-Komponenten werden im Microsoft-Transaction-Server (MTS) verwaltet. Somit steht die volle Funktionalität allen Programmiersprachen und Anwendungen auf der Windows-Plattform zur Verfügung. Selbst das WindowsRechtesystem kann verwendet werden, um die Zugriffsrechte auf diese Komponenten zu verwalten. Funktionale Erweiterungen und eine Integration in Windows-Anwendungen erfolgen dann über die COM-Schnittstellen. NICHT NUR FÜR WINDOWS-PLATTFORMEN Mi- crosoft will sich mit DCOM allerdings nicht nur auf Windows beschränken, sondern www.lanline.de fokusE-COMMERCE auch die unternehmensweite Informationsverarbeitung erobern. Bereits 1995 ging die Darmstädter Software AG mit Microsoft eine Zusammenarbeit ein, um DCOM auf Unix und Großrechner-Betriebssysteme wie MVS zu portieren. Im September 1997 wurde die erste kommerzielle DCOM-Version für das Unix-Betriebssystem Solaris freigegeben, im Oktober 1997 folgte Digital Unix, DCOM auf MVS wurde Anfang 1998 implementiert. Die Portierung von DCOM auf Unix oder MVS birgt in der tatsächlichen Implementierung nach Einschätzung von unabhängigen SoftwareSpezialisten einige Tücken, denn ein großer Teil des NTBetriebssystems wurde mit portiert, um diese Komponenten zum Laufen zu bringen. Die Ankopplung der Active-X-Technologie an das darunter liegende Betriebssystem und die Programmierschnittstelle scheint hierbei sehr eng zu sein. Ob dieser Weg richtig ist, quasi komplette virtuelle NT-Maschinen auf die verschiedenen Plattformen mit zu portieren, ist allerdings zu hinterfragen. NEUE FEATURES MIT COM+ COM+ erweitert das Komponentenmodell COM/ DCOM in Windows 2000 um zahlreiche neue Dienste, die in Richtung verteilte Systeme und Internet zielen. Hier ist zunächst der so genannte Kontext zu nennen. Darunter versteht Microsoft eine Menge von zur Laufzeit benötigten und verwendeten www.lanline.de Eigenschaften für ein oder mehrere Objekte. Beim Erzeugen eines Objekts wird automatisch ein zugehöriges Kontextobjekt instantiiert. Das Kontextobjekt schiebt sich bildlich gesprochen während eines Methodenauf- ler Daten zu gewährleisten. Dieser Transaktionsmonitor entspricht dem früheren MTS und beherrscht das 2-Commit-Protokoll für verteilte Transaktionen. Eine weitere wichtige Neuerung ist die asynchrone Kommunikation Der Kern von DCOM ist das Component-Object-Model, dessen Mechanismen Objekte verwalten, während der Service-Control-Manager zwischen Server- und Client-Objekten vermittelt Quelle: Microsoft rufs zwischen den Client und dem eigentlichen COM+Objekt. Diese Vorgehensweise bezeichnet man auch als Interception, die sich in jedem Winkel der COM+-Programmierung unter Windows 2000 wiederfindet. Informationen über die Eigenschaften einer Komponente findet COM+ im COM+-Katalog, einer auf schnelle Leseoperationen optimierten Datenbank für KomponentenMetadaten. Objekt-Pooling hält hierbei mehrere Objektinstanzen im Speicher, damit sie ohne zeitraubende Instantiierung sofort für Anwendungen bereit stehen. Die Anzahl der zu poolenden Objekte lässt sich über die Management-Console einstellen. COM+ ist nun auch mit einem Transaktionsmonitor ausgestattet, um einen konsistenten Zustand al- im Sinne von MessageQueuing, welche dem Entwickler die Details asynchronen Messagings abnimmt. Und mit Publish/Subscribe wurde ein neues Konzept zur Verwaltung von Ereignissen implementiert. Ist DCOM quasi mit Windows NT gleichzusetzen, gilt CorCORBA FÜR UNIX ba (Common Object Request Broker Architecture) als Gegenpol bei Unix. Handelt es sich bei DCOM um ein proprietäres Protokoll, so ist Corba das Ergebnis einer langjährigen Standardisierung durch die OMG (Object Management Group), einem Zusammenschluss von rund 700 Unternehmen. Seit 1989 spezifiziert die OMG einen offenen Software-Bus für die Kommunikation von Komponenten beziehungsweise Objekten in heterogenen Umgebungen – Corba implementiert einen solchen Software-Bus oder Object-Request-Broker (ORB). Client-Anwendungen können darüber mit entfernten Komponenten kommunizieren und Operationen sowohl statisch als auch dynamisch aufrufen. Im Jahr 1992 verabschiedete die OMG die CorbaSpezifikation 1.0 und 1994 die Version 2.0, welche bereits ein Protokoll für die Interoperabilität von ORBs enthielt, das Internet InterORB-Protocol (IIOP). IIOP läuft auf dem Internet-Protokoll TCP/IP und erfordert keine spezielle Konfigura- L AN line 12/2000 245 fokusECOMMERCE tion. Corba-2.0-kompatible Komponenten sind aufgrund des IIOP interoperabel. Zentrale Aufgabe von Corba ist die Übermittlung von Methodenaufrufen im Netz. Das Rückgrat des CorbaORB bietet modulare Dienste auf Systemebene, welche den ORB ergänzen und quasi Bausteine für Anwendungen darstellen. Solche gemeinsamen Objektservices beinhalten unter anderem einen “Naming Service”, der es Objekten ermöglicht, sich durch ihre Namen zu finden. Mit dem “Event Service” können Objekte einen Ereigniskanal abonnieren und spezifische Ereignisse gemeldet bekommen. Der “Transaction Service” definiert transaktionales Verhalten und koordiniert 2Phase-Commits zwischen Objekten. Der “Security Service” schließlich sorgt für die Authentifizierung und Autorisierung von Nutzern sowie Verschlüsselung von sensitiven Daten. 246 L AN line 12/2000 Corba-kompatible Komponenten verfügen über eine definierte Schnittstelle, über die die gesamte Kommunikation abläuft. Änderungen in der Implementierung einer Komponente berühren andere nicht, solange die Schnittstelle nicht verändert wird. vestitionen in vorhandene Anwendungen. JAVA Unter Java ist die “Remote Method Invocation (RMI)” der standardmäßige Ansatz zur Kommunikation verteilter Objekte. RMI ist seit dem Java-Development- Der Kern der Corba-Spezifikation ist der Object-Request-Broker (ORB). Die Interface Definition Language beschreibt die Schnittstellen der Objekte. Quelle:OMG Eine Legacy-Anwendung beispielsweise kann in einen C++- oder Java-Wrapper gekapselt werden, der dann die Schnittstelle zum LegacyCode definiert und die Anwendung Corba-kompatibel macht. Corba-Komponenten sind somit Plug-and-Play-fähig und schützen auch die In- Kit (JDK) Version 1.1 integraler Teil des Standards und wurde ab der Version 1.2 erheblich erweitert. Auch die Browser von Microsoft und Netscape verstehen RMI. Server-Objekte laufen in einer eigenen virtuellen JavaMaschine, die Verbindung zwischen Client und Server erfolgt über die RM-Registry, einem einfachen Namensdienst. RMI läuft auch über Corba/IIOP, denn Corba ist Bestandteil der Java-2Enterprise-Edition (J2EE) von Sun. Die Vorteile dieser Kombination sind laut Ralph Galantine, Senior Product Manager bei Sun “die Interoperabilität durch Corba mit vielen unterstützten Plattformen und Programmiersprachen sowie die große Anzahl von implementierten Diensten, die zu einer neuen Klasse von Portable-Remote-Objects führen,” also zu portablen entfernten Objekten. ERWEITERUNGEN IN CORBA 3.0 In der kommenden Corba-Version 3.0 wird das Komponentenmodell um ein “Container Environment”, die Integration mit “Enterprise Java Beans (EJBs)” sowie einem Format für die Distribution erweitert. EJBs repräsentieren das Enterprise Framework des Java-Kom- www.lanline.de fokusE-COMMERCE ponentenmodells (Java Beans) für Server-seitige Entwicklungen auf Basis einer Multi-Tier- und verteilten Objektarchitektur. Das Modell ist sowohl für kleine als auch umfangreiche Geschäftsanwendungen mit hohen Transaktionsvolumina geeignet und unterstützt von Haus aus Web-basierte Anwendungen. EJBs sind schon heute der Industriestandard für die Entwicklung Serverseitigen Java-Anwendungen, und die Gartner Group schätzt, dass im Jahr 2001 über 35 Prozent aller neuen Anwendungen mit Hilfe von EJBs gebaut werden. Mit dem Distributionsformat soll die Basis für einen Handel mit Komponenten gelegt werden. Der CorbaContainer erlaubt Persistenz, Transaktionen und Sicherheit. Diese Funktionen sind vorgefertigt und bieten einen höheren Abstraktionsgrad als die Corba-Dienste. Enterprise-Java-Beans können als Corba-Komponenten eingesetzt und in einem Container installiert werden. CorbaKomponenten allerdings können, gegenüber EJBs, in unterschiedlichen Sprachen codiert sein und unterstützen auch unterschiedliche Schnittstellen. Zudem erlaubt Corba 3.0 asynchrones Messaging. Nach mehr als zehn Jahren kooperativer Zusammenarbeit in der OMG ist die Corba-Infrastruktur damit vollständig. Und zwischen den zwei Welten COM von Microsoft und Corba wurde von der OMG ein “Interworking Architecture Model” entworfen, das einen Übergang ermöglicht. www.lanline.de COM UND CORBA FÜR ECOMMERCE Komponenten- basierte Shop-Lösungen sind heute der Stand der Technik, und beide vorgestellten Komponenten-Broker sind hier etabliert: So ist der Commerce-Server von Microsoft in der Version 3.0 ein Internet-Server, mit dem sich leistungsfähige und kostengünstige Commerce-Lö- rückgängig gemacht werden können. Komponenten sind für drei allgemeine Bereiche verfügbar: Dienstprogramme, Bestellungs-Pipeline und Commerce-InterchangePipeline. Dienstprogramm-Komponenten sind für die Interaktionen zwischen den ASPDateien und den Daten in der Site-Datenbank zuständig. Der Microsoft Site Server Commerce Edition (SSCE) in einer typischen Konfiguration mit dem SQL-Server Quelle: Microsoft sungen im B2B- und im B2C-Umfeld erstellen lassen. Dafür gibt es eine Sammlung von COM-Objekten, Tools, Assistenten und Beispielseiten. Zudem kann die Plattform mit Software von rund 50 unabhängigen Herstellern erweitert werden, beispielsweise durch spezielle Abrechnungs-, Zahlungs- und Buchhaltungssysteme. Diese Komponenten erleichtern und automatisieren viele Aufgaben, die sonst manuell ausgeführt werden müssten, um eine arbeitsfähige kommerzielle Site über Active-Server-Pages (ASP) zu erstellen. Alle Commerce-Server-Komponenten unterstützen den MicrosoftTransaction-Server, sodass auch fehlgeschlagene Operationen, die aus mehreren Schritten bestehen, wieder Sie führen die Umwandlung und Überprüfung von Datentypen durch, generieren Fehlermeldungen, erleichtern die administrativen Aufgaben und speichern Informationen aus Auftragsformularen der aktuellen Sitzung. Die Komponenten der Bestellungs-Pipeline verwalten die mit einer Bestellung verknüpften Daten in den jeweiligen Phasen der Auftragsbearbeitung. Die CommerceInterchange-Pipeline (CIP) ermöglicht den Austausch von Geschäftsdatenobjekten (Einkaufsbestellungen, Quittungen, Versandanzeigen) zwischen Handelspartnern. Die Übertragungs-Pipeline übernimmt die Zuordnung, die digitale Signierung, die Verschlüsselung, den Transport des Objekts und überwacht die Übertragung. Die Empfangs-Pipeline führt L AN line 12/2000 247 fokusE-COMMERCE den umgekehrten Prozess durch, denn sie empfängt, entschlüsselt und überprüft die digitale Signatur, die Zuordnung und die Überwachungen. Dieser Prozess ist transportunabhängig und unterstützt HTTP, DCOM und S/MIME über SMTP. Die neue E-CommerceLösung Enfinity von Intershop hingegen basiert auf modernsten Software-Konzepten wie dem Java-Enterprise-Model, Corba, LDAP und XML. Die Preise für diese hochskalierbare Highend-Lösung liegen je nach Ausstattung zwischen 150.000 und mehr als 300.000 Dollar pro Lizenz. Namhafte Solution Provider, darunter Pricewaterhouse Coopers, Debis IT Services, KPMG, Unisys, Keane, Infopark, JBA, Nvision, Pixelpark, Intouch, und Nuforia setzen Enfinity zur Entwicklung kundenspezifischer ECommerce-Lösungen ein. Enfinity verfügt über eine Komponenten-basierte Architektur, die projektbezogen zusammengestellt werden kann. Die einzelnen Komponenten werden durch einen neuartigen so genannten Pipeline-Manager zu einem kompletten E-CommerceGeschäftsprozess zusammengesetzt. Dadurch verringert sich nicht nur die Implementierungsdauer für komplexe E-Commerce-Anwendungen, sondern diese Architektur ermöglicht ebenfalls stark erweiterte Verkaufsfunktionalitäten, spontane Marketingaktionen, transparente Transaktionen zwischen allen E-Commercetreibenden Firmen sowie WAP-Unterstützung. 248 L AN line 12/2000 Enfinity wurde von Grund auf als skalierbare MultiPlattform entwickelt. Jede Komponente der Architektur ist duplizierbar, um die Redundanz und erforderliche Skalierbarkeit zu erzielen. Eingebaute Sicherungsme- Diensten bei Einkäufern, anderen Verkäufern und Computern im vernetzten Markt. Dieser Server verwaltet Produktdaten und Bilder und die Darstellung von Produktkategorien und -hierarchien am Bildschirm. Der Transactivi- Komponentenbasierte Architektur der E-Commerce-Lösung Enfinity Quelle: Intershop chanismen sorgen für größtmögliche Daten- und Transaktionssicherheit. Aufbauend auf einer intuitiven grafischen Benutzerführung, wird Enfinity über das Management-Center bedient und verwaltet. Mit dem internen Visual-Pipeline-Manager lassen sich Pipelines einsehen, modifizieren und bei Bedarf neu erstellen. Alternativ kann man auch den gesamten Workflow der E-CommerceApplikation ändern. Die nächste Ebene besteht aus dem Transactivity-Server sowie dem Katalog-Server, dem Kernstück von Enfinity. Der Katalog-Server erlaubt die rasche und komfortable Erstellung von elektronischen Katalogen und die Auslagerung von ty-Server hingegen verwaltet Transaktionsdienste für eine Vielzahl verschiedener Geschäftsprozesse, für die es wiederum eine Reihe passender Komponenten gibt. Die Transaction-Engine steuert ihrerseits eine Vielzahl von Kundentransaktionen, die im Laufe eines Geschäftsverhältnisses anfallen. Die kontrollierte Abwicklung der Geschäftslogik erfolgt durch sichere Pipelets, welche die Geschäftsprozesse steuern. Dazu gehören der Warenkorb, die Preiskalkulation, Kundenanmeldung, Kontoverlauf, Kundenpflege, Verkaufspromotionen, Berechnung der Versandkosten, Rechnungslegung- und verwaltung, Versandabwicklung sowie statistische Auswertungen. Der Intelligent-Merchandiser schließlich steuert viele eingebaute Features von Enfinity, die es ermöglichen, die Vorteile von intelligentem Merchandising zu nutzen. Dazu gehören Kundenprofile, Quervermarktung, Produktvergleiche, Einkaufslisten, Verkaufsaktionen, intelligente Warenkörbe und detaillierte Reports. Eines der wesentlichen Merkmale von Enfinity ist der modulare Ausbau durch Software-Komponenten (Cartridges). Intershop bietet über 50 von unabhängigen Software-Herstellern entwickelte Applikationen an, die von der Inhaltsverwaltung über Personalisierung und elektronischer Bezahlung bis hin zur Anbindung von Kundenverwaltungssystemen reichen. Die Kommunikation zwischen den Prozessen in Enfinity läuft im Wesentlichen über HTTP und dem Internet-Inter-ORB-Protocol IIOP von Corba. Im Gegensatz zu HTTP unterstützt IIOP persistente Verbindungen und den Austausch von komplexen Objekten. IIOP dient vorwiegend für die Kommunikation zwischen Back-Office-Services und dem Management-Center. Der Control-Service kommuniziert auch per IIOP mit dem Back-Office, mit den Storefront-Services und dem Management-Center. Sollte wegen einer Firewall eine IIOP-Kommunikation nicht sinnvoll sein, verwendet Enfinity HTTP-Tunnelling. In diesem Falle werden CorbaDaten in HTTP-Requests verpackt. (Achim Scharf/gh) www.lanline.de Informationen schnell per Inserenten Inserent 1st Data 3M Deutschland Aagon Acterna ADN Akademie f. Netzwerksicherheit Alcatel IND Allied Telesyn Andante APC APW ArtStor AT+C AT+C AVM B&T-Tele-Dat BATM BinTec Brocade BTR Telecom CA Computer Associates Canon CCM Consult CE Infosys Celo Communications CITRIX CMT CompuShack ComputerLinks Comuter Competence Concert Connect Consultix Content Technologies CyberGuard Dafür Dakota Datakom Dätwyler dc congresse D-Link Drahtex DraKa Norsk Kabel DSM DV-Markt E. Lehmann Ecrix edcom EEH Eicon Technology Diehl Elomech Seite 243 65 217 25 260 260 23 37 161 89 67 155 64 68 157 121 107 123 149 225 21 163 247 204 203 260 109 49 259 259 45 7 235 113 207 70 40 91 57 239 9 39 111 141 250 120 187 260 73 81 41 Kennz. 129 039 118 015 014 021 089 055 040 086 038 041 087 068 062 069 083 122 013 090 133 111 110 063 028 026 006 127 065 113 043 023 056 033 115 007 022 064 078 134 067 105 047 051 024 Inserent Enterasys Ericsson Euromicron Executive Software Fluke FOP Foundry Networks Gentner GeNUA GoC HIROSE ELECTRIC HIROSE ELECTRIC Hirschmann Huber + Suhner IBM IBM Inrange Intrusion.com Intrusion.com IP-School IT Protect Job-Today Junge Kerpenwerk Konradin Verlag Krone LAN-Technik LANworks LEONI Martin Networks Materna Materna mediapps Microtest Minicom MMS Modular Computer Multimatic mvk netzwerktechnik NBase Xyplex NBase Xyplex NETASQ NetSupport NK Networks NK Networks Novell Novell NPI Online 2000 Online Computer Orgavision Overland Data Seite 33 55 244 47 15 69 119 240 224 173 103 169 229 260 28/29 51 153 137 139 260 142 250 70 11 249 4/5 99 259 270 131 87 165 269 127 205 201 159 228 245 170 172 197 223 85 213 175 177 35 233 147 77 17 Kennz. 019 032 130 027 010 042 066 061 121 097 060 093 126 017 029 085 076 077 079 135 044 008 136 005 058 003 074 054 091 002 072 112 109 088 125 131 094 096 107 120 053 116 098 099 020 136 082 049 011 Inserent Seite Pan Dacom 2 Panduit 62 Panduit 63 Pentair 125 Psion Dacom 93 Pyramid 167 QSC 135 Quante 79 Quantum 181 R2R Research to Rise 227 Radware 19 Raritan 199 realTech 129 Red Shepherd Translations143 Reichle & De-Massari 13 Right Vision 101 S&N 259 Schäfer Gehäusesysteme 183 Schindler 219 Seicom 3 Seicom 145 Sitara Networks 27 Swyx 71 Symantec 42/43 Tekelec Airtronic 189 Telegärtner 260 Teles 215 TGS Telonic 61 The Bristol Group 209 TIM 52/53 TIM 178/179 topmedia 171 Toshiba 58/59 Trefz & Partner 70 Trefz & Partner 259 Trend Micro 151 Tyco 241 Veeco Instruments 83 Veritas 185 Webasto 126 Winternals 31 X.net 2000 226 Xnet 75 Beilagen, Beihefter und Postkarten AWi Marcus Evans RIT Technologies Seicom Communications Kennz. 001 036 037 070 057 092 075 050 102 124 012 108 073 080 009 059 103 119 004 081 016 046 025 106 117 035 114 030 100 095 034 045 084 128 052 104 071 018 123 048 Info-Fax oder Internet ▲ ● Tragen Sie die entsprechende Kennziffer unter www.lanline.de/info an der vorgesehenen Stelle ein und Sie gelangen direkt und ohne Umwege zu Ihren gewünschten Zusatzinformationen. ●Info-Fax # 023 ▲ ●Info-Fax ▲ Der moderne Weg zu detaillierten Informationsmaterial zu der in dieser Ausgabe veröffentlichten Anzeigen. www.lanline.de/info ▲ ● Selbstverständlich haben Sie nach wie vor die Möglichkeit, weitere Anzeigen-Produkt-Infos mit dem untenstehenden Faxformular abzurufen. Einfach ausfüllen und an die Fax-Nummer 08621/97 99 60 faxen. Zum schnellen Überblick haben wir alle inserierenden Firmen auf der gegenüberliegenden Seite aufgelistet. # 023 www.lanline.de/info An AWi-Verlag LANline-Leserservice Edith Winklmaier Herzog-Otto-Str. 42 83308 Trostberg ine l N 0 L A /200 12 Meine Anschrift lautet: Ich möchte Informationsmaterial zu Anzeigen mit folgenden Kennziffern (siehe nebenstehende Übersicht): Firma Abteilung 1. 2. 3. 4. 5. 6. Vorname/Name Straße/Nummer PLZ/Ort 7. 8. 9. 10. 11. 12. Telefon Fax Meine Funktion: (bitte ankreuzen) ❑ Spezialist ❑ Gruppen-/Abteilungsleiter ❑ Einkauf ❑ Unternehmensleitung ❑ Mein Unternehmen beschäftigt: ❑ 1 bis 19 Mitarbeiter ❑ 100 bis 249 Mitarbeiter ❑ über 1000 Mitarbeiter ❑ 20 bis 49 Mitarbeiter ❑ 250 bis 499 Mitarbeiter Mein Unternehmen gehört zu folgender Branche: ❑ Elektroindustrie ❑ Maschinenbau ❑ Fahrzeughersteller und -zulieferer ❑ Chemisch pharmazeutische Industrie ❑ Transport- und Logistikbranche ❑ Geldinstitute/Bausparkassen ❑ Versicherungswesen ❑ Reise- und Touristikbranche ❑ Handel und Dienstleistungen ❑ Öffentliche Verwaltung ❑ Hochschulen und Forschungsinstitute ❑ Nahrungs- und Genußmittel ❑ 50 bis 99 Mitarbeiter ❑ 500 bis 999 Mitarbeiter Ich interessiere mich für folgende Computer- und Kommunikationssysteme: Betriebssysteme: Hardware: ❑ MS-DOS ❑ VMS/OpenVMS ❑ Windows ❑ OS/2 ❑ Windows NT ❑ Ultrix ❑ UNIX ❑ OSF/1 ❑ System 7 ❑ Windows 95 ❑ IBM ❑ DEC ❑ HP ❑ Sun ❑ Siemens ❑ Apple ❑ RISC-Systeme ❑ andere: Kommunikationssysteme/ -lösungen: ❑ DECnet ❑ Novell-NetWare ❑ Banyan Vines ❑ LAN Manager/LAN Server ❑ PC-Host-Verbindung ❑ Pathworks ❑ ISDN/WANs ❑ Windows NT Advanced Server ❑ andere: Damit Hersteller und Anbieter von Produkten, für die ich mich interessiere, meine Kennziffernanfragen so gezielt wie möglich beantworten können, bin ich damit einverstanden, daß diese Daten elektronisch gespeichert und weitergegeben werden. Ort, Datum Unterschrift VORSCHAU 1/2001 ist ab dem 27.12.2000 am Kiosk erhältlich SCHWERPUNKT MOBILE COMPUTING: Domino- und ExchangeDaten auf PDAs SCHWERPUNKT WAN-ANSCHLUSS: Optische High-Speed-Netze netzPRODUKTE Vergleichstest Bandbibliotheken DM 14,- ÖS 110,- Sfr. 14,- Nr. 1, Januar 2001 Das Magazin für Netze, Daten- und Telekommunikation netzLÖSUNGEN www.lanline.de Mobile Computing Das Magazin für Netze, Daten- und Telekommunikation mit Marktübersicht PCMCIA-Kombikarten Serie Netzwerkdienstleister (III) focusE-COMMERCE WebswitchingTechnologien MARKTÜBERSICHTEN Mobile Computing: Domino- und Exchange-Daten auf PDAs PCMCIA-Kombikarten, WAN-Switches VORSCHAU auf kommende LANline-Schwerpunkte Ausgabe Erscheint Schwerpunktthemen am Sonder- 05.01. heft 2000 LANline Spezial: Administration 02/2001 12.02. 2001 LAN-Switches, Router, 21.12. Hubs, 2000 Massenspeicher 03/2001 12.03. 2001 Verkabelung, Server- u. Clusterlösungen Sonder- 22.03. heft 2001 WAN-Anschluss: Backbone-Technologie der Zukunft 268 L AN line 12/2000 Redaktionsschluss LANline Spezial: CeBIT 03.11. 2000 18.01. 2001 31.01. 2001 Wenn Sie zu einem oder mehreren dieser Themen einen Beitrag schreiben möchten, rufen Sie uns einfach an: 089/456 16-101 IMPRESSUM HERAUSGEBER: Eduard Heilmayr (he) REDAKTION: Rainer Huttenloher (Chefredakteur, (rhh)), Stefan Mutschler (Chefredakteur, (sm)), Marco Wagner (stv. Chefredakteur, (mw)), Doris Behrendt (db), Dr. Götz Güttich (gg), Georg von der Howen (gh), Kurt Pfeiler (pf) AUTOREN DIESER AUSGABE: Hermann Abels-Bruns, Frank Albertz, Dr. Beat Brunner, Kerstin Bücker, Frank Bunn, Dr. Rainer Doh, Andreas Eberhart, Stefan Fischer, Christoph Gossel, Gerold Hahn, Udo Kerst, Thomas Kohl, Alf Leue, Peter Meuser, Ralf Nemeyer, Andreas Priessnitz, Andreas Roeschies, Robert Runge, Achim Scharf, Dr.-Ing. Lothar Steinhäuser, Hermann Strass, Gunther Thiel, Paul Trowbridge, Ruth Watzke, Christian Zillich, Frank Zwirner REDAKTIONSASSISTENZ: Edit Klaas, Tel.: 089/45616-101 REDAKTIONSANSCHRIFT: Bretonischer Ring 13, 85630 Grasbrunn, Fax: 089/45616-200, http://www.lanline.de LAYOUT, GRAFIK UND PRODUKTION: Hans Fischer/Carmen Voss, Tel.: 089/45616-212, Edmund Krause (Leitung) ANZEIGENDISPOSITION: Carmen Voss, Tel.: 089/45616-212 Sandra Pablitschko, Tel.: 089/45616-108 TITELBILD: Wolfgang Traub ANZEIGENVERKAUF: Anne Kathrin Latsch, Tel.: 089/45616-102 E-Mail: la@lanline.awi.de Susanne Ney, Tel.: 0 89/45616-106 E-Mail: sn@lanline.awi.de Karin Ratte, Tel.: 089/45616-104 E-Mail: kr@lanline.awi.de ANZEIGENVERKAUFSLEITUNG GESAMT-AWI-VERLAG Cornelia Jacobi, Tel.: 089/71940003 oder 089/45616-117 E-Mail: cj@awigl.awi.de ANZEIGENPREISE: Es gilt die Preisliste Nr. 12 vom 1.1.2000 ANZEIGENASSISTENZ: Davorka Esegovic, Tel.: 089/45616-156 ANZEIGENVERWALTUNG: Gabriele Fischböck, Tel.: 089/45616-262, Fax: 089/45616-100 ERSCHEINUNGSWEISE: monatlich, 12 Ausgaben/Jahr zuzüglich 4 Themenhefte ABONNEMENT-BESTELL-SERVICE: Vertriebs-Service LANline, Edith Winklmaier, Herzog-Otto-Str. 42, 83308 Trostberg, Tel.: 08621/645841, Fax 08621/62786 Zahlungsmöglichkeit für Abonnenten: Bayerische Vereinsbank München BLZ 700 202 70, Konto-Nr. 32 248 594 Postgiro München BLZ 700 100 80, Konto-Nr. 537 040-801 VERTRIEB EINZELHANDEL: MZV, Moderner Zeitschriften Vertrieb, Breslauer Str. 5, 85386 Eching BEZUGSPREISE: Jahresabonnement Inland: 148,– DM Ausland: 174,– DM (Luftpost auf Anfrage) Vorzugspreise DM 110,- (Inland), DM 121,80 (Ausland) für Studenten, Schüler, Auszubildende und Wehrpflichtige – nur gegen Vorlage eines Nachweises. Sollte die Zeitschrift aus Gründen, die nicht vom Herausgeber zu vertreten sind, nicht geliefert werden können, besteht kein Anspruch auf Nachlieferung oder Erstattung vorausbezahlter Bezugsgelder. SONDERDRUCKDIENST: Alle in dieser Ausgabe erschienenen Beiträge sind in Form von Sonderdrucken erhältlich. Kontakt: Edmund Krause, Tel.: 089/45616-240, Alfred Neudert, Tel. 089/45616-146, Fax: 089/45616-100 DRUCK: Konradin Druck GmbH, Kohlhammerstr. 1-15, 70771 Leinfelden Echterdingen URHEBERRECHT: Alle in der LANline erscheinenden Beiträge sind urheberrechtlich geschützt. Alle Rechte, auch Übersetzungen, vorbehalten. Reproduktionen, gleich welcher Art, nur mit schriftlicher Genehmigung des Herausgebers. Aus der Veröffentlichung kann nicht geschlossen werden, dass die beschriebenen Lösungen oder verwendeten Bezeichnungen frei von gewerblichem Schutzrecht sind. © 2000 AWi LANline Verlagsgesellschaft mbH MANUSKRIPTEINSENDUNGEN: Manuskripte werden gerne von der Redaktion angenommen. Mit der Einsendung von Manuskripten gibt der Verfasser die Zustimmung zum Abdruck. Kürzungen der Artikel bleiben vorbehalten. Für unverlangt eingesandte Manuskripte kann keine Haftung übernommen werden. VERLAG: AWi LANline Verlagsgesellschaft mbH Ein Unternehmen der AWi Aktuelles Wissen Verlagsgesellschaft mbH, Bretonischer Ring 13, 85630 Grasbrunn Web: http://www.awi.de Geschäftsführer: Eduard Heilmayr, Cornelia Jacobi ISSN 0942-4172 i v w Mitglied der Informationsgemeinschaft zur Feststellung der Verbreitung von Werbeträgern e.V. (IVW). Bad Godesberg Mitglied der Leseranalyse Computerpresse 1999 www.lanline.de
