Das Magazin für Netze, Daten- und Telekommunikation
Transcription
Das Magazin für Netze, Daten- und Telekommunikation
DM 14,- ÖS 110,- Sfr. 14,- Nr. 7, Juli 2000 7 Das Magazin für Netze, Daten- und Telekommunikation www.lanline.de Backup-Lösungen Vier Bandlaufwerke im Vergleichstest mit Marktübersicht Backup-Software für Netze Das Magazin für Netze, Daten- und Telekommunikation Juli 2000 Juli 2000 Backup-Lösungen/Remote Access Im Test: Networker 5.7 Unix-Klassiker für Windows 2000 Im Test: E-Mail-Server für Windows NT Web-Mail und List-Server inklusive Coole Trends von heißen Messen Networld + Interop und Internet World Schwerpunkt: Remote Access Fünf ISDN-Router im Vergleichstest 07 4 398039 714002 B 30673 ISSN 0942-4172 EDITORIAL 148. AUSGABE Rainer Huttenloher Chefredakteur SELBSTDISZIPLIN IST GEFRAGT Mit “Melissa” und “I-Love-You” liegen die ersten “Beben” zwar hinter uns, doch weitere Erschütterungen kündigen sich bereits an – die Virengefahr aus dem Internet bedroht nach wie vor die Informationsgesellschaft. Ein Beispiel für die nächste Runde ist der I-Love-YouAbkömmling “I-Worm.timofonica”, der SMS-Nachrichten auf Handys schickt. Dieser Wurm ist in der Lage, ganze SMSbasierende Alarmierungssysteme aus den Angeln zu heben. Denn die gängigen Chipkarten speichern maximal 14 SMSNachrichten (siehe dazu auch www.dignatz.de/spotlight/ opinion/i-worm.timofonica_001.html). Sendet dieser Wurm beispielsweise 50 SMS-Nachrichten auf ein Handy, ist erst einmal Löschen angesagt. Die wichtige Alarmierungsmeldung – nach Murphys Gesetz an Stelle 51 in dieser Reihe – kann erst zugestellt werden, wenn die vorherigen Messages “konsumiert” sind. Die Aufrufe vieler selbst ernannter Top-Experten der Branche klingen unisono: Die mangelhafte Qualität der Betriebssysteme sowie die Monokultur in Sachen Software-Ausstattung auf dem Desktop sind die Schuldigen. Doch ich glaube, damit machen wir uns alle die Sache etwas zu leicht. Sicher, die gängigen Betriebssysteme und “Viren-Implementierungssprachen” wie der Windows Scripting Host machen es den bösen Buben im Netz sehr einfach: Der Zugriff auf elementare Funktionen über ein Makro in einem Mail-Attachment sowie das problemlose Nachbauen eines derartigen Virus verschärfen die Lage ungemein. Diese Fakten sind allerdings nicht neu! Bekannt ist auch, dass die Waffen gegen die Viren erst entwickelt werden können, wenn ein Virus aufgetreten ist. Daher bleibt nur ein Ausweg: Die Netzwerkverantwortlichen müssen einerseits alles technisch Machbare tun, um das Unternehmensnetzwerk abzusichern: Firewalls sind eben nicht nur zu installieren, sondern auch zu überwachen; Antiviren-Software ist auf dem neuesten Stand zu halten; Backups der wichtigen Unternehmensdaten sind an sicherer Stelle aufzubewahren. Doch andererseits brauchen die Anwender klare Vorgaben, mit deren Hilfe sich große Schäden vermeiden lassen. Unternehmensweite Sicherheits-Policies – die bis zu den Anwendern reichen – müssen der Sorglosigkeit der Benutzer vorbeugen. Rainer Huttenloher (rhh@lanline.awi.de) www.lanline.de LANline 7/2000 3 INHALT Mit 60.000 Besuchern und 850 Ausstellern avancierte die Networld + Interop in Las Vegas zur größten Messe ihrer Art (Seite 8) Gigabit Ethernet über LWL: Nicht jede Faser eignet sich................18 Interview mit Bernd Werner, Mentor Technologies: E-Lerning wird publik........................22 Nokias drahtlose Infrastruktur: Mobiler Rundumschlag......................24 Marktmeldungen.................................26 Acris AG eröffnet VoIP-Zentrum: “Das Ende des Telefonnetzes”...........27 Kommentar: Mit Sicherheit unerwünscht...............27 netzPRODUKTE/SERVICES Im Test: Videum Stream Engine: Es gewinnt das bewegte Bild.............28 Im Test: Ipswitch Imail 6.0: E-MailServer mit Web-Schnittstelle.............30 Im Test: Aloha Bobs PC-Relocator 1.2b: Alles oder nichts.................................62 LANline Tipps & Tricks....................64 fokusTELEKOMMUNIKATION Voice over DSL: Das Ende von ISDN..........................138 Unified Messaging mit ISDN: Standardtechnologie als Basis..........141 Fax-Leser-Service.............................153 Impressum.........................................154 DM 14,- ÖS 110,- Das Magazin für Netze, Daten- und Telekommunikation www.lanline.de Backup-Lösungen Vier Bandlaufwerke im Vergleichstest Im Test: Networker 5.7 Unix-Klassiker für Windows 2000 mit Marktübersicht Backup-Software für Netze Im Test: E-Mail-Server für Windows NT Web-Mail und List-Server inklusive Coole Trends von heißen Messen Networld + Interop und Internet World Schwerpunkt: Remote Access Fünf ISDN-Router im Vergleichstest 07 4 398039 714002 B 30673 NETWORLD + INTEROP 2000 LAS VEGAS IM TEST:IPSWITCH IMAIL 6.0 E-Mail-Server mit Web-Schnittstelle Ein Geschäftsbetrieb ohne E-Mail ist heute kaum noch denkbar. Entsprechend vielfältig ist die Auswahl an E-Mail-Servern, die sich um Empfang und Versand von elektronischer Post kümmern. Eine sehr funktionen und ist weitgehend konfigurierbar. N Ipswitch unterstützt sowohl POP3, IMAP4 als auch Web-Mail. Dabei verwendet die Software einen eigenen, integrierten Web-Server, wodurch sie nicht von einem anderen Web-Server (wie beispielsweise dem Microsoft IIS oder Apache) abhängig ist. Um eine hohe Datensicherheit bei der Web-Mail-Abfrage zu 30 L AN line 7/2000 ISSN 0942-4172 netzMARKT netzPRODUKTE/SERVICES eben traditionellen E-Mail-Systemen, die POP3 (Post Office Protocol, Version 3) zum Abholen und SMTP (Simple Mail Transfer Protocol) zum Senden von E-Mails verwenden, wird heute von Anwendern zunehmend die Funktion Web-Mail verlangt. Hierbei muss auf den Clients keine Mail-Software installiert sein – ein Browser genügt, um elektronisch Post über das World Wide Web zu lesen. Zudem gewinnt der POP3-Nachfolger IMAP4 an Bedeutung, wenn auch nur langsam. Während POP3-E-Mails vom Mail-Server abholt und sie dort löscht, belässt IMAP4 die Nachrichten auf dem Server und kann dort sogar Mail-Ordner einrichten. Der Vorteil des neueren Protokolls: Der Benutzer kann von jedem IMAP4Client aus auf seine Post zugreifen, da sie nur dort vorgehalten wird. POP3 hingegen besitzt den Vorteil, dass der Benutzer auch ohne Netzwerkverbindung zum Server seine zuvor empfangenen E-Mails offline lesen kann. Sfr. 14,- Nr. 7, Juli 2000 Produkt-News....................................144 gewährleisten, kann der Administrator die Verbindung zwischen Browser und Mail-Server verschlüsseln. Imail verwendet dabei das weit verbreitete SSL(Secure Socket Layer)-Verfahren, optio- on verschlüsselt, während POP3 standardmäßig sowohl den Benutzernamen als auch das Kennwort und Mail-Inhalte unverschlüsselt überträgt. Per APOP lässt sich zumindest das Kennwort verschlüsseln. Imail 6 verfügt über alle gebräuchlichen Funktionen, beispielsweise eine frei definierbare Abwesenheitsnotiz und die Weiterleitung von Mails für bestimmte Benutzer an eine andere Adresse. Zudem lassen sich für eingehende Nachrichten Regeln festlegen, welche die Post in bestimmte Postfächer oder Ordner sortieren. So könnten beispielsweise alle E-Mails, die bestimmte Worte enthalten, an einen Hilfsadministrator gesendet werden. Ebenfalls zum guten Ton eines Mail-Servers gehören zahlreiche Relay-Optionen, die Unterstützung von ESMTP-Empfangsbestätigungen, von ETRN (Extended Turn, zum Abholen von Mails über SMTP), Alias-Na- Der Administrator kann für jeden Benutzer zahlreiche Optionen festlegen FUNKTIONEN Der Imail-Server von L AN line 7/2000 Inserentenverzeichnis........................152 Für eine höhere Verfügbarkeit: Aus einem Kupfer-Port vier LWL-Leitungen..................................71 flexible Lösung stellt Ipswitch mit dem Imail-Server 6.0 vor. 6 Com-Navigator..................................147 netzLÖSUNGEN Das Hochgeschwindigkeitsnetz der TU Dresden: Im Dienste der Wissenschaft..............68 Die Software für Windows NT bietet weit mehr als die üblichen Grund- Public-Key-Infrastrukturen: PKI-Anwendungen integrieren..........54 Seminarführer....................................145 Vorschau............................................154 Produkt-News.....................................34 netzTECHNIK Load-Balancing-Architekturen: Antriebssysteme für Web-Switches...48 RUBRIKEN Editorial.................................................3 Das Magazin für Netze, Daten- und Telekommunikation Internet World Berlin 2000: Fest im Sattel.......................................14 netzTOOLBOX Im Test: Storage Central: Harddisk-Management für Windows 2000....................................58 Juli 2000 netzMARKT Networld + Interop 2000 Las Vegas: Netzwerk-Show im 15. Jahr.................8 ISDN-SOHO-Router werden immer billiger und einfacher zu konfigurieren. Fünf Geräte standen im Vergleichstest. (Seite 122) nal mit Echtheitsbestätigung von Server und Client. Damit diese ohne lästige Rückfragen des Browsers abläuft, muss der Administrator ein SSL-Zertifikat bei einer von den Browsern anerkannten Certificate-Authority wie Thawte oder Verisign mieten. IMAP4 ist per Definiti- men und die Beschränkung der Größe von Postfächern – in Bezug auf die Anzahl der Mails sowie auf die Gesamtgröße. An fremde Mail-Server gerichtete Post kann Imail durch ein zentrales Gateway senden. Als Schutz gegen SpamNachrichten kann der Administrator zu- www.lanline.de Netzwerk-Show im 15. Jahr Knapp 60.000 Besucher und rund 850 Aussteller machten die diesjährige Networld + Interop in Las Vegas zur größten Veranstaltung ihrer Art. Zu den klassischen Themen Netzwerke, Internet und Telekommunikation führten etablierte Hersteller und innovative Start-ups ihre neuen Produkte dem Fachpublikum vor. WRQ (www.wrq.com) stellte mit Netmotion 1.0 eine neue Management-Lösung für mobile Endgeräte in FunkLANs vor. Um ein größeres Gebäude vollständig für den 30 er seine Verbindung zum LAN und muss sich bei Wiedereintritt in das versorgte Gebiet erneut am Netzwerk anmelden und seine gewünschten Applikationen Heiß und windig wie in fast jedem Jahr: Die N+I in Las Vegas besuchten rund 60.000 Netzwerkspezialisten. drahtlosen LAN-Zugang abzudecken, müssen Unternehmen in der Regel mehrere Funkzellen installieren. Verlässt ein mobiler Benutzer den abgedeckten Bereich, verliert 8 L AN line 7/2000 starten. Beim Einsatz überlappender Funkzellen kann der versorgte Bereich zwar vergrößert werden, doch müssen alle Access-Points im gleichen Subnetz liegen. Denn das Roaming zwischen verschiedenen Funkzellen setzt die selbe IP-Adresse beim mobilen Client voraus. WRQs Netmotion besteht aus einer kostenlosen ClientSoftware für Windows 95 und 98, die auf dem mobilen Endgerät installiert wird. Versionen für Windows 2000 und CE sollen noch dieses Jahr folgen. Auf einem NT-Server läuft die Netmotion-ServerSoftware. Mobile Benutzer verbinden sich beim ersten Kontakt mit dem Funk-LAN zunächst mit dem NetmotionServer, der sich dem stationären LAN gegenüber wie eine feste Arbeitsstation verhält. Verliert ein mobiler Anwender den Kontakt mit dem Funknetz, cacht Netmotion alle aus dem LAN an den Client gesendete Datenpakete, bis der Benutzer wieder Kontakt mit dem Funk-Netz hergestellt hat. Die AccessPoints können dabei auch verschiedenen IP-Subnetzen zugeordnet sein. Die Lizenzierung beginnt bei 125 Dollar pro gleichzeitiger Verbindung zum Netmotion-Server. In der N+I Startup-City demonstrierte Netscaler (www. netscaler.com) das RackMount-Device “Webscaler” zur besseren Auslastung von Web-Servern. Webscaler ist ein Connection-Proxy für Web-Server- und CacheCluster. Er sammelt die TCP/IP-Request aller anfragenden Clients und konsolidiert diese. Die zum Patent angemeldete “Web Transaction Management”-Technologie (WTM) übernimmt dann den Verbindungsaufbau zum gewünschten Web-Server und multiplext mehrere ClientVerbindungen über eine Ser- ver-Session. Dies entlastet die Server vom Auf- und Abbau zahlreicher Verbindungen und stellt die freigewordenen Ressourcen dem Übermitteln von Web-Seiten zur Verfügung. Da die Client-Verbindungen bereits am Webscaler terminiert werden, schützt das Gerät gleichzeitig vor Denialof-Service-Angriffen durch HTTP-Requests, die lediglich eine TCP-Verbindung initiieren. Laut Hersteller erhöht das Produkt die Antwortzeit von Web-Servern sowie die Zahl von gleichzeitigen Nutzern pro Server um bis zu 100 Prozent. Das Gerät verwaltet 36.700 Verbindungsaufbauten pro Sekunde, was ungefähr der Arbeitsgeschwindigkeit einer Fast-Ethernet-Karte entspricht. Gleichzeitig managt der Webscaler 300.000 aktive Verbindungen. Für 20.000 Dollar können Unternehmen und ISPs ihre WebServer entlasten. Eine Java-basierende Webto-Host-Lösung zeigte der israelische Start-up Anota (www.anota.com). Der “Webifier” ist ein Java-Applet, das auf einem beliebigen WebServer installiert wird. WebServer und Host müssen dabei nicht derselbe Rechner sein. Um auf eine Host-Anwendung zugreifen zu können, muss der Benutzer lediglich einmal ein kleines Applet von dem Web-Server laden. Webifier lädt dann selbst alle benötigten Klassen auf den lokalen Client und speichert diese dort mit einem eigenen Cache-Algorithmus. Auf Wunsch verschlüsselt die Software alle Daten einer Session mittels SSL. Unterstützt der Host selbst keine www.lanline.de 8 www.lanline.de INHALT SCHWERPUNKT: BACKUP-LÖSUNGEN Netzwerkweites Backup: Streamer parallel betreiben.................................................74 Im Test: Vier Laufwerke unter NT 4 und Backup Exec 7.3: Nur drei kamen durch.........................................................80 Im Test: Networker 5.7 für NT und Windows 2000: Backup-Lösung für große Netzwerke................................84 Backup und Recovery über IP-Verbindungen: Komprimiert und verschlüsselt..........................................88 Im Test: Tapeware 6.2 für Linux: Eineiige Zwillinge..............................................................92 Im Test: Veritas Backup Exec 8.5 für Netware: Linux im Auge des Agenten..............................................94 Sicherung der NDS E-Directory: Nur ganz sicher ist auch sicher...........................................96 Mit Standard-Unix-Kommandos: Unix-Backup ohne Client-Software.................................100 DVD-RAM als Backup-Technologie: Im Konzert der Speichertechnologien.............................102 Marktübersicht: Backup-Software für Netzwerke..........106 Anbieterübersicht..............................................................107 SCHWERPUNKT: REMOTE ACCESS Chancen und Risiken: Remote Access in der Praxis............................................108 Im Test: Ken-DSL: ISDN und ADSL für kleine Windows-Netze..................114 Always On/Dynamic ISDN: Standleitung im D-Kanal..................................................118 Im Test: Fünf SOHO-ISDN-Router: Mit Plug & Play ins Internet............................................ 122 Marktübersicht: SOHO-ISDN-Router.............................132 Anbieterübersicht..............................................................136 SCHWERPUNKT: REMOTE ACCESS REMOTE ACCESS IN DER PRAXIS CHANCEN UND RISIKEN www.lanline.de REMOTE ACCESS 108 Einerseits ermöglicht das Internet heute den kostengünstigen Zugriff auf das eigenen Firmennetz. Andererseits können auch nicht autorisierte Personen leichter in angeschlossene Netze eindringen. Dieser Beitrag stellt neben den typischer Einwahlszenarien deshalb auch Risiken und Lösungsvorschläge für Remote-Access-Lösungen dar. Den Abschluss bilden Managementaspekte zur einfachen Verwaltung dieser Lösungsansätze. 108 L AN line 7/2000 www.lanline.de L AN line 7/2000 7 netzMARKT NETWORLD + INTEROP 2000 LAS VEGAS Netzwerk-Show im 15. Jahr Knapp 60.000 Besucher und rund 850 Aussteller machten die diesjährige Networld + Interop in Las Vegas zur größten Veranstaltung ihrer Art. Zu den klassischen Themen Netzwerke, Internet und Telekommunikation führten etablierte Hersteller und innovative Start-ups ihre neuen Produkte dem Fachpublikum vor. WRQ (www.wrq.com) stellte mit Netmotion 1.0 eine neue Management-Lösung für mobile Endgeräte in FunkLANs vor. Um ein größeres Gebäude vollständig für den er seine Verbindung zum LAN und muss sich bei Wiedereintritt in das versorgte Gebiet erneut am Netzwerk anmelden und seine gewünschten Applikationen Heiß und windig wie in fast jedem Jahr: Die N+I in Las Vegas besuchten rund 60.000 Netzwerkspezialisten. drahtlosen LAN-Zugang abzudecken, müssen Unternehmen in der Regel mehrere Funkzellen installieren. Verlässt ein mobiler Benutzer den abgedeckten Bereich, verliert 8 L AN line 7/2000 starten. Beim Einsatz überlappender Funkzellen kann der versorgte Bereich zwar vergrößert werden, doch müssen alle Access-Points im gleichen Subnetz liegen. Denn das Roaming zwischen verschiedenen Funkzellen setzt die selbe IP-Adresse beim mobilen Client voraus. WRQs Netmotion besteht aus einer kostenlosen ClientSoftware für Windows 95 und 98, die auf dem mobilen Endgerät installiert wird. Versionen für Windows 2000 und CE sollen noch dieses Jahr folgen. Auf einem NT-Server läuft die Netmotion-ServerSoftware. Mobile Benutzer verbinden sich beim ersten Kontakt mit dem Funk-LAN zunächst mit dem NetmotionServer, der sich dem stationären LAN gegenüber wie eine feste Arbeitsstation verhält. Verliert ein mobiler Anwender den Kontakt mit dem Funknetz, cacht Netmotion alle aus dem LAN an den Client gesendete Datenpakete, bis der Benutzer wieder Kontakt mit dem Funk-Netz hergestellt hat. Die AccessPoints können dabei auch verschiedenen IP-Subnetzen zugeordnet sein. Die Lizenzierung beginnt bei 125 Dollar pro gleichzeitiger Verbindung zum Netmotion-Server. In der N+I Startup-City demonstrierte Netscaler (www. netscaler.com) das RackMount-Device “Webscaler” zur besseren Auslastung von Web-Servern. Webscaler ist ein Connection-Proxy für Web-Server- und CacheCluster. Er sammelt die TCP/IP-Request aller anfragenden Clients und konsolidiert diese. Die zum Patent angemeldete “Web Transaction Management”-Technologie (WTM) übernimmt dann den Verbindungsaufbau zum gewünschten Web-Server und multiplext mehrere ClientVerbindungen über eine Ser- ver-Session. Dies entlastet die Server vom Auf- und Abbau zahlreicher Verbindungen und stellt die freigewordenen Ressourcen dem Übermitteln von Web-Seiten zur Verfügung. Da die Client-Verbindungen bereits am Webscaler terminiert werden, schützt das Gerät gleichzeitig vor Denialof-Service-Angriffen durch HTTP-Requests, die lediglich eine TCP-Verbindung initiieren. Laut Hersteller reduziert das Produkt die Antwortzeit von Web-Servern und erhöht die Zahl von gleichzeitigen Nutzern pro Server um bis zu 100 Prozent. Das Gerät verwaltet 36.700 Verbindungsaufbauten pro Sekunde, was ungefähr der Arbeitsgeschwindigkeit einer Fast-Ethernet-Karte entspricht. Gleichzeitig verwaltet der Webscaler 300.000 aktive Verbindungen. Für 20.000 Dollar können Unternehmen und ISPs ihre WebServer entlasten. Eine Java-basierende Webto-Host-Lösung zeigte der israelische Start-up Anota (www.anota.com). Der “Webifier” ist ein Java-Applet, das auf einem beliebigen WebServer installiert wird. WebServer und Host müssen dabei nicht derselbe Rechner sein. Um auf eine Host-Anwendung zugreifen zu können, muss der Benutzer lediglich einmal ein kleines Applet von dem Web-Server laden. Webifier lädt dann selbst alle benötigten Klassen auf den lokalen Client und speichert diese dort mit einem eigenen Cache-Algorithmus. Auf Wunsch verschlüsselt die Software alle Daten einer Session mittels SSL. Unterstützt der Host selbst keine www.lanline.de netzMARKT SSL-Verschlüsselung, so hat Anota den Windows-NTbasierenden Security-Server im Programm, der zwischen Host und Client geschaltet wird. Ebenfalls auf Java setzt Binary Research mit dem Remote-Control-Tool “Remo- schlüsselung der Übertragung. Da die Software auf eigene Clients verzichtet, ist die Lizenzierung rein Server-basiert und kostet 99 Dollar pro Host. Packeteer (www.packeteer.com) stellte auf der N+I drei neue Modelle der Band- Blick von der Empore auf das Foyer: An den Novell Connecting Points kann jeder Teilnehmer E-Mails checken oder im Web surfen. tely Anywhere” (www.binary research.net). Die Software läuft als Dienst unter Windows 9x, NT und 2000 und ermöglicht die Fernwartung dieser Rechner mit einem beliebigen Java-fähigen Webbrowser. Über das URL des zu kontrollierenden Rechners ruft der Administrator über den Port 2000 ein JavaApplet auf, das neben der klassischen Tastatur- und Maus-Steuerung mit Bildschirmspiegelung auch die Verwaltung von Diensten und Treibern, Dateien und Benutzern erlaubt. Um auch über das Internet eine sichere Fernwartung zu ermöglichen, unterstützt Remotely Anywhere SSL zur Ver- 10 L AN line 7/2000 breiten-Management-Appliance Packetshaper vor. Da die Produkte von vielen Kunden zur Überwachung von Anwendungsleistungen und Service-Level-Monitoring eingesetzt werden, gibt es die Modelle jetzt mit der “MonitorOnly”-Software zum Einstiegspreis von 3000 Dollar. Die Bandbreitenkontrolle kann bei Bedarf mit einem Software-Key freigeschaltet werden. Die 1500er-Serie unterstützt Bandbreitenkontrolle bis 2 MBit/s. Das Modell 2500 für 10 MBit/s gibt es ab 6000 Dollar während das Top-Gerät 4500 ab 11.000 Dollar zu haben ist und Daten bis zu 45 MBit/s in Form bringt. Um die schnelle und sichere Verteilung von “frischem” Content auf weltweit verteilte Web-Server kümmert sich der Contentmover von Webmanage (www.webmanage. com). Die Software ermöglicht dem Administrator die Definition von Content-Paketen über eine lokale Konsolen-Software. Der “StagingServer” übernimmt dann die zeitgesteuerte automatische Verteilung, Replikation und Synchronisation der neuen Webseiten auf den Zielservern. Dort installierte Agenten melden ein erfolgreiches Update zurück an die Konsole. Konsole, Content-Mover für den Staging-Server und Agenten gibt es für Red Hat Linux, Solaris, Windows NT und 2000. Die Agenten unterstützen Web-Server von Apache, Microsoft und Netscape. Die “Network-Security-Appliance” Rapidstream 6000 stellte das gleichnamige Unternehmen (www.rapidstream. com) vor. In dem zwei Höheneinheiten großen Gerät verbirgt sich eine Stateful-Inspection-Firewall, die einen Durchsatz von 200 MBit/s im Full-Duplex-Betrieb sowie 180 MBit/s bei VPN-Verbindungen mit 3DES erreichen soll. Das knapp 15.000 Dollar teure Gerät ermöglicht laut Hersteller während einem Denial-of-Service-Angriff mehr als 90 Prozent aller berechtigten Nutzer den Zugriff auf die E-Commerce-Server. Mittels eines Software-Upgrades für rund 2000 Dollar lässt sich der Rapidstream auch als LoadBalancer einsetzen. Die Appliance verfügt über drei FastEthernet- sowie zwei HighAvailability-Ports und unter- stützt 64.000 simultane Sessions sowie 8000 IPSec-Tunnel. Netscout (www.netscout. com) präsentierte mit dem Ngenius-System eine systemweite Performance-Management-Lösung für die Echtzeitüberwachung und Kontrolle des Front- und BackOffice-Netzwerks von E-Business-Infrastrukturen. Das komplette Ngenius-System besteht aus Server, Performance- und Traffic-Monitor sowie der neuen Probe. Ngenius soll einen vollständigen Überblick über die gesamte Infrastruktur liefern. Den Systemverwaltern steht eine Auswahl an Leistungsanalysen zur Verfügung wie beispielsweise das Überwachen der Internet-Aktivitäten, des Website-Antwortverhaltens oder das Aufdecken externer Attacken, bis hin zur Isolation von Problemen im BackOffice, etwa verringerte Netzwerk- oder Server-Leistungen. Kernelement des Systems ist der skalierbare NgeniusNetzwerk-Management-Server, der Zugriff auf sämtliche E-Business-PerformanceManagement-Lösungen von Netscout bietet. Der Server verfügt über eine Web-basierende Benutzerschnittstelle und erfasst Echtzeit- und anwendungsspezifische Daten aus den Überwachungskomponenten (Probes). Darüber hinaus sind standardisierte Out-of-the-Box-Konfigurationseinstellungen vorhanden. Der Ngenius PeformanceMonitor liefert detaillierte Informationen über URL-Datenvolumen, Reaktionszeiten und Verbindungsaufbau. Mittels Warnmeldungen und Fehlerstatistiken werden Webmaster und Netzwerk-Mana- www.lanline.de netzMARKT ger auf potentielle Leistungseinbußen des Datenflusses hingewiesen. Die Echtzeitalarmfunktion soll eine schnelle Identifizierung von Leistungsproblemen und die anschließende Weiterleitung zum Traffic Monitor zur vertiefenden Analyse ermöglichen. Dieser dient zur Identifikation und Behebung von Netzwerkproblemen sowie zur Durchführung detailgenauer Analysen. Eine sinnvolle Funktion des Systems ist der integrierte Überblick über aktuelle und historische Daten. Anhand dieser Informationen lassen sich Schwachstellen im Datenverkehr erfassen, und der Administrator kann feststellen, ob es sich um ein ungewöhnliches oder gängiges Problem handelt. Zur Problembehebung stehen des weiteren Funktionen zum Erstellen individueller Netzwerkansichten zur Verfügung, wodurch Vergleichsanalysen in unterschiedlichen Teilen des Netzwerks durchgeführt werden können. Als Grundlage des Ngenius-Systems liefert die Probe Informationen zu URL-Datenvolumen, Reaktionszeiten, Fehlerstatistiken und Verbindungsaufbau. Die Überwachungskomponente soll somit eine gezielte Kontrolle des Datenflusses auf der Website in mehreren getrennt arbeitenden Netzwerksegmenten und im gesamten Unternehmensnetz ermöglichen. Die Preise für das NgeniusSystem beginnen bei rund 25.000 Dollar (inklusive Ngenius Server, Traffic- und Performance-Monitor). Der Preis für die Probe beginnt bei knapp 20.000 Dollar. 12 L AN line 7/2000 Marconi (www.marconi. com) demonstrierte eine ganze Palette neuer oder erweiterter Produkte unter dem Motto “Intelligent Broadband Networking”. Dazu zählt unter anderem die Fiber-to-theCurb-(FTTC-)Access-Plattform Discs MX, die um ADSL-Funktionalität erweitert wurde. Laut Marconi ist Discs MX die einzige zur Zeit verfügbare Lösung, die Broadcast analog/digital-Video, ATM/ADSL-Traffic und Carrier-Class-Voice simultan über eine einzige FTTC-Plattform übertragen kann. Discs MX unterstützt HighspeedADSL-Internet-Zugriff via ATM-Transport und ist kompatibel zu Standard-ADSLModems und ATM-Netzwerk-Interfaces. Discs MX unterstützt darüber hinaus G.lite und Full-Rate-ADSL mit bis zu 6 MBit/s downstream und 1,5 MBit/s upstream. Das FTTC-System ist zudem interoperabel mit Switches von Nortel (DMS100), Lucent (5ESS), AG Communications (GTD5) und Siemens (EWSD) sowie allen SONET-Multiplexern, die DS1 unterstützen und kompatibel zur DSX-1-Spezifikation sind. Des weiteren zeigte Marconi mit Sphericall eine auf Windows NT basierende (TAPI-2.1-Support) VoIPover-ATM-Lösung, die Quality of Service bietet. Die Netzwerk-PBX-Alternative besteht aus vier Komponenten: Der NT-Server-Software, die Call-Control und Application-Services zur Verfügung stellt, dem Phonehub für IPbeziehungsweise Phoneport für ATM-Desktops, der analoge Standard-Desktop-Tele- fone anschließt, dem “ClientGUI”, der eigentlichen Anwender-Applikation sowie dem Cohub, der Sphericall an eine existierende Nebenstellenanlage oder das Telefonnetz anschließt. Ein einziges Sphericall-System soll zur Zeit auf bis zu 5000 Anschlüsse skalierbar sein und Mitte des Jahres 15.000 An- einer Steckdose als auch an eine Datenleitung entfällt dadurch. Zudem ermöglicht die Power-over-LAN-Technik den Einsatz einer zentralen unterbrechungsfreien Stromversorgung zum Backup für alle Systeme des gesamten Netzes. Eine typische Konfiguration besteht aus einem Power- Der elektrische Rasierer am Hub: Die Power-over-LAN-Technik von Powerdsine machts möglich. wender – je nach Ausbaustufe – unterstützen. Die Redaktion konnte sich auf dem Messestand von der ausgezeichneten Sprachqualität überzeugen. Dass Strom auch aus der Ethernet-Dose kommen kann demonstrierten Powerdsine (www.powerdsine.com) und als Lizenznehmer Siemens Information and Communication Networks (www.siemens.com/ic/networks/index_ d.htm) jeweils auf ihren Messeständen. Die Power-overLAN-Technik von Powerdsine überträgt zusätzlich zu den Daten auch Strom über ein Standard-LAN-Kabel. Der Anschluss beispielsweise eines IP-Telefons sowohl an over-LAN-Hub (eigentlich ein Patch-Panel), der zwischen Switch und IP-basierendem Netz auf der LANSeite angeschlossen wird. Über die Ethernet-Verkabelung speist der Hub unterschiedliche elektrische Geräte mit Leitungsstrom. Dazu zählen unter anderem IP-Telefone, Web-Kameras, drahtlose LAN-Access-Points sowie Sicherheitskontrolleinrichtungen in Gebäuden oder Sicherheitssensoren. Das System umfasst des weiteren ein Software-Management-Tool, das die Notstromversorgung auf alle Ethernet-Terminals verteilt. (Georg von der Howen, Marco Wagner) www.lanline.de netzMARKT INTERNET WORLD BERLIN 2000 Fest im Sattel Die Fachmesse Internet World in Berlin kann dieses Jahr wohl klar als Erfolg verbucht werden. 45.000 Besucher streiften laut Veranstalter während der drei Messetage im Mai durch die Hallen – ein Besucherzuwachs gegenüber dem Vorjahr von über 100 Prozent. Die Zahl der Aussteller wuchs von 300 auf über 550. Mehr als 1500 Teilnehmer besuchten den gleichzeitig veranstalteten Kongress. Mit der Internet World scheint es Berlin nun endlich gelungen zu sein, eine Messe aus dem IT-Bereich erfolgreich zu etablieren. Einige Versuche in früheren Jahren – etwa mit der Netzwerkmesse Networks – waren kläglich gescheitert. Die Aussteller der Internet World waren von der Resonanz beim Publikum insgesamt sehr angetan. Veranstalter Communic hebt besonders die Qualität der Fachbesucher hervor, die nach ersten eigenen Analysen deutlich über derjenigen anderer klassischer Computermessen gelegen habe. Jeder vierte Besucher war demnach Geschäftsführer, mehr als 55 Prozent hätten in der Besucherbefragung angegeben, in ihrem Unternehmen alleinverantwortlich über Investitionen zu entscheiden. Die Top-Themen der Veranstaltung waren E-Commerce in allen Schattierungen – insbesondere Shop-Lösungen, Unified Messaging über das Internet, mobile (Internet-)Services mit 14 L AN line 7/2000 SMS und WAP – das alles “gewürzt” mit einer bunten und zum Teil recht “scharfen” Palette an Internet-Angeboten für Endanwender. Anbieter für den Business- und ConsumerMarkt präsentierten sich auf der Internet World völlig durchmischt, ein Punkt, den insbesondere einige Fachbesucher an der Veranstaltung bemäkelten. Vielleicht sollte der Veranstalter erwägen, die Aussteller im nächsten Jahr entsprechend in den Hallen zu gruppieren. Die nächste Internet World Berlin soll übrigens vom 15. bis zum 17. Mai 2001 stattfinden. Im Folgenden haben wir einige Highlights zusammengestellt, die wir auf unserem Rundgang entdeckt haben. So hatte etwa die koreanische Internet-Firma Las 21 mit ihrer Suchmaschine Wakano Premiere im deutschsprachigen Raum. Es handelt sich dabei um eine Meta-Suchmaschine, die mehr als 1000 andere Suchmaschinen abfragt und die Er- gebnisse automatisch nach Sachgebieten klassifiziert und jeweils nach Relevanz sortiert. Die deutsche Site ist unter www.wakano.de anklickbar. Die Berliner Internet-Startup-Firma Space2go.com nutzte das Heimspiel für die Präsentation eines “Personal Mobile Office Centers”. Das neuartige Bürozentrum im Internet erlaubt die Aufbewahrung eigener Dokumente, Adressen, Aufgabenlisten, Termine, Tabellen, Bilder, Videoclips, Programme, MP3Musikstücke und sonstiger persönlicher Daten in einem eigens dafür reservierten “Cyber Office”. Der Platz hierfür beträgt 25 MByte. Der Zugriff auf die Informationen ist per PC, Notebook, WAP-Handy und Palm-Organizer möglich. Dadurch kann man unterwegs jederzeit die persönlichen Daten erreichen, um eine Telefonnummer oder Adresse nachzuschlagen oder im Terminkalender zu blättern. Wichtig: Man kann die Daten am WAP-Handy nicht nur ablesen, sondern auch bearbeiten. Für den Nachrichtenempfang steht eine Web-Mail-Funktion mit mehreren Postfächern (zum Beispiel Privates und Geschäftliches) bereit. In allen Fällen gilt: Eine Änderung an den persönlichen Daten, die man mit einem Gerät (PC, Organizer, Handy) durchführt, steht sofort übergreifend zur Verfügung. Die Nutzung des “Personal Mobile Office Center” ist kostenfrei. Wer den Service in Anspruch nehmen will, meldet sich unter www.space2go.de an. Über den kostenfreien Web- und WAP-Dienst “Mobile Office” hinaus bietet Space2go für Firmenkunden den Professional-Service Space2go-Pro an. Für eine Monatspauschale von zwölf Mark erhalten Pro-Nutzer den sechsfachen Speicherplatz zur Ablage persönlicher Daten, insgesamt also 150 MByte. Der Anwender kann nicht nur von allen Geräten auf die Daten zugreifen und damit arbeiten, sondern der Dienst sorgt bei Bedarf für die automatische Synchronisation von Dateien. So lässt sich am PC oder Server festlegen, welche Informationen im “Platz zum Mitnehmen” (= “space to go”) gehalten werden sollen. Wird die entsprechende Datei geändert, sorgt der Pro-Dienst selbstständig für das Überspielen in den Cyberspace. Darüber hinaus können Pro-Anwender ohne Aufpreis einen Backup-Service in Anspruch nehmen. Auf der Entwicklungsagenda steht die Integration mit Fax- und Voice-Mail-Funktionen und die Teamarbeit mit Dateien über das Internet. Der amerikanische E-Commerce-Spezialist Mercantec bringt die neue Version 5.1 von Softcart auf den Markt – eine komplette Out-of-the-Box-Lösung für den Aufbau und die Pflege von Online-Shops speziell für kleine bis mittelständische Unternehmen. Die wichtigsten neuen Features der in www.lanline.de netzMARKT Berlin gezeigten E-Commerce-Software sind die Berechnung nationaler Mehrwertsteuersätze, nationale Schreibweisen, eine mehrsprachige Verschlüsselungs-Software für Shop-Updates und Währungsumrechnung. Eine neue Version ihres Web-Shops zeigte in Berlin auch die Münchner Hybris. bei der Untergliederung des Warenkatalogs bringt die Möglichkeit, Verknüpfungen zu einem Produkt oder einer Produktkategorie anzulegen und Produkte in mehreren Kategorien zu präsentieren. Neu eingebaut wurde auch die Möglichkeit, eine Seite mit den Top-Sellern automatisiert zusammenstellen zu lassen. Die Internet World 2000 in Berlin war auch ein Forum für Verlage, die ihren Content präsentierten. Hier etwa der Stand des AWi-Verlags, dessen Internet-Content unter anderem auch die LANline umfasst. Die Software Webpizza richtet sich auch im Release 2.0 an kleine und mittlere Unternehmen. In der neuen Version lässt sich über die Kundenprofile festlegen, welche Seiten ein Besucher im Shop zu sehen bekommt. Damit können verschiedenen Kundengruppen unterschiedliche Inhalte als auch unterschiedliche Seitenlayouts präsentiert werden. Auch unterschiedliche Preise in Abhängigkeit von der Kundenkategorie lassen sich realisieren. Alternativ lassen sich auch geschlossene Bereiche – etwa für Reseller – einrichten, auf die nur Besucher Zugang erhalten, die über ein entsprechendes Login-Passwort verfügen. Eine höhere Flexibilität 16 L AN line 7/2000 Ein weiterer Anbieter von Shop-Systemen auf der Internet-World war Internolix mit seiner Professional Line. Das Unternehmen reklamiert für sich, mit den Small-, Mediumund Large-Business-OnlineShops der Professional Line Internet-Shop-Systeme von der Idee über die Konzeptionierung bis hin zu marktreifen Produkten ausschließlich als Standard-Software zu realisieren. Dabei galten nach eigenen Aussagen technologische Unabhängigkeit von Hardwareund Software-Plattformen, leichte Bedienung und Verwaltung sowie die modulare Ausbaufähigkeit als oberste Design-Kriterien. Die Vorteile dieser Produktphilosophie für den Anwender seien vergleichsweise niedrige Kosten in Anschaffung und Betrieb der Online-Shops, kurze Einführungszeiten und Investitionsschutz. Jfax.de trat in Berlin als professioneller Unified Messaging Service (UMS) auf. Jfax vereint die Kommunikationsmedien Sprache, Fax und EMail an der vorhandenen Standard-E-Mail-Adresse des Anwenders. Der Dienst Personal Telecom umfasst eine Telefonnummer in einer oder mehreren von derzeit weltweit rund hundert Städten (in Deutschland derzeit neun) des globalen Jfax-Netzes. Diese persönliche Nummer ersetzt sowohl Anrufbeantworter als auch Fax. Wo immer sich der Nutzer aufhält – für seine Kunden und Geschäftspartner ist er rund um die Uhr unter seiner Jfax-Nummer erreichbar, im Idealfall zum Ortstarif. Der UMS wandelt eingehende Anrufe und Faxe in Dateien um und sendet diese umgehend an den angegebenen E-Mail-Account des Anwenders (kann auch eine beliebige Web-Mail-Adresse etwa von Hotmail, GMX oder Web.de sein). Weitere Features wie E-Mail-to-Fax, Free SMS, Benachrichtigung über eingegangene Mails per SMS runden das Jfax-Angebot ab. Für den Fall, dass einmal keine Möglichkeit bestehen sollte, eingehende E-Mails am Computer zu sichten, bietet der Service “E-Mail by Phone” die Möglichkeit, diese über eine 0800-Nummer per Telefon abzufragen. E-Mails werden in Sprache verwandelt und vorgelesen – die Antwort lässt sich direkt per Sprache aufdiktieren. Mannesmann Arcor war neben der Deutschen Telekom, die ihre T-Telesec Protection Services für Sicherheit im Internet zeigte und der TelenorTochter Nextra, die sich jetzt als Telekommunikations- und Internet-Service-Provider auf dem deutschen Markt positionieren will, aus der Riege der TK-Gesellschaften in Berlin vertreten. Als erstes Unternehmen startet Arcor in Deutschland eine DSL-Flatrate – das Highspeed-Internet zum Pauschalpreis von 49 Mark. Mit dem neuen Angebot verdoppelt Arcor für seine FlatrateKunden die Geschwindigkeit. Voraussetzung ist ein PowerAnschluss von Arcor für 89,90 Mark. Zum neuen Power-Anschluss gehört neben der schnellen Datenverbindung mit 128 kBit/s auch der ISDNKomfortanschluss. Zusätzlich zu den beiden Sprachkanälen über ISDN verfügt der neue Anschluss damit über einen High-Speed-Datenkanal auf DSL-Basis. Der Hochgeschwindigkeitsanschluss soll künftig auch höhere Übertragungsraten bis in den MegabitBereich erlauben. Bis Jahresende plant Arcor, hundert Städte mit DSL-Technologie anzubinden. (Stefan Mutschler) Internet-Adressen der genannten Anbieter: www.wakano.de www.space2go.de www.mercantec.com www.hybris.de www.internolix.com www.jfax.de www.arcor.net www.dtag.de www.nextra.de Die Homepage der Internet World Berlin finden Sie unter: www.internetworld-messe.de www.lanline.de netzMARKT GIGABIT ETHERNET ÜBER LWL Nicht jede Faser eignet sich Mitte Mai fand in Wiesbaden die Computer- und Telekommunikationsmesse CT-Netze statt. Neben einer sehr überschaubaren Ausstellung organisierte der Veranstalter Netcomm auch einen Kongress zu unterschiedlichen Netzwerkthemen. Am ersten Tag stand die Verkabelung im Mittelpunkt. Und zum Abschluss der Vorträge diskutierten die Redner des Tages mit der Redaktion LANline über das Thema “Glasfaserverkabelung für Gigabit Ethernet”. Leider waren sowohl die Messe als auch die Vorträge nur spärlich besucht, sodass die Diskussion in einem sehr familiären Kreis stattfand, was den Inhalten allerdings nicht abträglich war. An der Gesprächsrunde nahmen teil: Manfred Patzke von Dätwyler, Lothar Melchers von 3M, Thomas Schmidt von Leoni Kabel sowie Gerd Filthaut von Alcatel Cabling Solutions und Robert Rohde von Tyco Electronics AMP. Somit sind alle Teilnehmer Vertreter von Herstellern. Und viele von ihnen traten noch vor ein, zwei Jahren im Markt mit dem Statement auf, dass, wer auf Glasfaser setze, auf jeden Fall auf der sicheren Seite sei und für die nächsten 20 Jahre in Sachen Bandbreiten nichts zu befürchten habe. Doch mit der Einführung von Gigabit Ethernet änderte sich das schlagartig. Will ein Anwender zum Beispiel eine 400 18 L AN line 7/2000 Meter lange verlegte 62,5µm-Glasfaserverbindung bei 850 nm Wellenlänge für Gigabit Ethernet nutzen, so ist es ganz und gar nicht sicher, dass sich diese Verbindung auch dafür eignet. Laut Thomas Schmidt von Leoni lässt sich das heute auch nur herausfinden, indem der Anwender an den Enden die entsprechenden aktiven Gigabit-Ethernet- Komponenten anschließt und prüft, ob die Übertragung funktioniert oder nicht. Ein feldtaugliches Messequipment für Vor-Ort-Messungen gäbe es bisher nicht. Aus dem Publikum kam hier der Einwurf, dass ein Messgerätehersteller derzeit überlegt, ein Feldtestgerät dafür zu entwickeln. Der Hersteller soll angeblich derzeit die Marktchancen dafür sondieren. Lothar Melchers von 3M gibt einem solchen Tester sehr gute Marktchancen, sofern dieser nicht viel mehr als ein üblicher Handtester kosten wird. Doch egal, ob messbar oder nicht: Die bisherigen Einschätzungen über die Lebensdauer von Glasfasernetzen gelten nicht mehr – zumindest für Multimode-Fasern. Bei Singlemode-Fasern sieht das nach Einschätzung von Thomas Schmidt allerdings anders aus: “Wer SinglemodeFasern installiert hat, muss sich nach wie vor keine Gedanken über Bandbreitenreserven und Gigabit-EthernetTauglichkeit machen.” Gerd Filthaut von Alcatel wirft Gerd Filthaut, links im Bild, ist Direktor und Leiter des Competence Centers Active Fiber Components bei Alcatel Cabling Solutions Europe. Robert Rohde, rechts im Bild, leitet das Marketing in Europa, dem Mittleren Osten und Afrika (EMEA) des Geschäftsbereichs Netconnect Solutions von Tyco Electronics AMP. außerdem ein, dass “die gleiche Strecke mit einer 50-µmFaser sehr wahrscheinlich funktionieren würde, da sie die Längenrestriktionen von IEEE 802.3 einhalten würde”. Und in Deutschland gäbe es sowieso kaum Unternehmen, die 62,5-µm-Fasern einsetzen. Darauf konterte Thomas Schmidt: “Das macht aber grundsätzlich keinen Unterschied. Denn die meisten verlegten Multimode-Fasern haben aus fertigungstechnischen Gründen einen ungleichmäßigen Brechungsindexverlauf, der sich durch einen abrupten Abfall der Brechzahl (dip) im Zentrum des optischen Faserkerns ausprägt. Da sie bisher mit kostengünstigen LEDs betrieben wurden, gab es damit keine Probleme, weil hier der gesamte Faserkern ausgeleuchtet wird. Gigabit Ethernet dagegen arbeitet mit Lasern. Diese regen ausschließlich die zentrumsnahen Moden der Faser an, und deshalb kommt es bei den herkömmlichen Multimode-Fasern zu Laufzeitunterschieden.” Manfred Patzke von Dätwyler ergänzt diese Ausführung: “IEEE 802.3 berücksichtigt diesen Effekt mit Längenrestriktionen für die verschiedenen Faserarten. Diese Längenrestriktionen geben die Distanzen an, die mit einer gängigen Faser der angegebenen Güte mindestens überbrückbar sein sollen.” Tatsächlich aber sei es möglich, dass qualitativ schlechte Fasern sich auch bei geringeren Distanzen schon nicht für Gigabit Ethernet eignen, und qualitativ hochwertige Fasern mit gleichmäßigem Brechungsindexverlauf kön- www.lanline.de netzMARKT nen sich für weitaus größere Distanzen eignen. Sollte sich herausstellen, dass eine verlegte Faser sich nicht für Gigabit Ethernet eignet, gibt es laut Robert Rohde von Tyco Electronics AMP ein externes, nicht zur fest installierten Verkabelung gehörendes Hilfsmittel: das modenkonditionierte Patch-Kabel. Hier regt eine SinglemodeFaser nicht das Zentrum, sondern den Randbereich des Faserkerns einer MultimodeFaser an. Denn in diesem Bereich ist der Brechungsindexverlauf in der Regel wesentlich gleichmäßiger als im Zentrum. Aufgrund des speziellen Versatzspleißes in diesen Patch-Kabeln ist die Nachrüstung jedoch teuer. Darauf entgegnete Lothar Melchers von 3M: “Die Kunden, die auf Volition gesetzt haben, können auf jeden Fall ihre Verkabelung für Gigabit Ethernet nutzen. Wir garantieren, dass Gigabit Ethernet darüber läuft, sofern die Längenrestriktionen eingehalten werden. Denn entscheidend für die Übertragung ist die eingesetzte Faser, und da setzen wir ganz auf den Hersteller Corning mit www.lanline.de Manfred Patzke, links im Bild, leitet das Trainings-Center von Dätwyler Kabel + Systeme. Thomas Schmidt, rechts im Bild, ist Senior-Produktmanager Datenleitungen bei Leoni Kabel. seinen Qualitätsstandards.” Bisher sei es bei den Anwendern kaum bekannt, dass es im Grunde nur eine Hand voll Faserhersteller gäbe und dass die zahlreichen Kabelhersteller diese Fasern lediglich zu Kabeln weiterverarbeiten und dann vermarkten würden. Doch für die übertragungstechnischen Eigenschaften seien allein die Fasern verantwortlich. Deshalb gelte diese Garantie auch nur für das Volition-System und nicht für andere Verkabelungslösungen, die mit dem VF-45Steckverbinder von 3M arbei- ten. Denn auch der Stecker beeinflusse die Übertragungsqualität kaum. Auch Leoni reagierte auf Gigabit Ethernet. So erhalten die Kunden von diesem Hersteller mittlerweile nur noch LWL-Kabel, dessen Fasern auf Gigabit Ethernet getestet wurden. Laut Thomas Schmidt arbeiten Telekommunikationsverbände und Normungsgremien wie TIA und ISO/IEC derzeit an Einkopplungskriterien von Laserquellen und an neuen Bandbreitenmessungen. Demnach existiert bislang ein Entwurf zu einem Messverfahren, das die Anregung mit Lasern simuliert. Entsprechend diesem Entwurf der FOTP 204 regt ein Laser eine spezielle Vorlauffaser mit genau festgelegten Parametern an. Der Kerndurchmesser die- Kern-/Manteldurchmesser Optische Bandbreite 1000Base-SX Distanz Optische Bandbreite 1000Base-LX Distanz 62,5/125 µm 160 MHz*km 220 m 500 MHz*km 550 m 200 MHz*km 275 m 50/125 µm 400 MHz*km 500 m 400 MHz*km 550 m 500 MHz*km 550 m 500 MHz*km 550 m Die Längenrestriktionen für Gigabit Ethernet laut IEEE 802.3 L AN line 7/2000 19 netzMARKT ser Faser beträgt 23,5 µm und die numerische Apertur 0,208 (Anmerkung der Redaktion: Die numerische Apertur errechnet sich aus der Brechzahl mal dem Sinus des halben Öffnungswinkels des eintretenden Lichtbündels). Somit unterscheiden sich die einzelnen Faserqualitäten bei Leoni zusätzlich zu den gewohnten Parametern wie Dämpfung und Bandbreite auch durch die minimal garantierten Übertragungslängen für Gigabit Ethernet. Dabei können die Forderungen von IEEE bei weitem übertroffen werden. Ganz ähnlich gehen auch Dätwyler und Alcatel vor. Manfred Patzke geht sogar soweit, dass er davon ausgeht, dass alle bereits verlegten Fasern aus dem Hause Dätwyler GigabitEthernet-tauglich sind, weil das Unternehmen von jeher größten Wert auf Faserqualität gelegt hat. Alcatel hat laut Gerd Filthaut schon seit Jahren Singlemode-Fasern bis in den Office-Bereich eingesetzt. Damals sei der Hersteller dafür kritisiert worden, dass er WAN-Techniken im LAN einsetzt. Doch jetzt seien diese Kunden dankbar dafür, dass sie sich keine Gedanken darüber machen müssen, ob Anwendungen wie Gigabit Ethernet funktionieren oder nicht. Mittlerweile hat Alcatel auch als Partner von 3M bereits große Fiber-to-theOffice-Projekte realisiert. Die Collapsed-Backbone-Struktur in Kombination mit dem 3M-System erlaube eine LWL-Verkabelung mit MiniHubs zum Preis von einer Kategorie-6-Verkabelung. 20 L AN line 7/2000 Lothar Melchers, links im Bild, ist Account-Executive für das VolitionSystem bei 3M Deutschland “Immer noch denken viele Anwender, dass eine Collapsed-Backbone-Struktur nicht normkonform ist”, wirft Lothar Melchers ein, “weil die angegebenen Verkabelungsstrecken nicht eingehalten sind”. “Das ist aber ein Irrglaube!” pflichtet ihm Manfred Patzke bei. “ISO/IEC 11801 hat die Link-Längen von 90 und 10 Metern auf der Etage auch aus wirtschaftlichen Erwägungen eingeführt, damit bei Umzügen und Erweiterungen nicht 300 Meter lange Verbindungen vom Zentralverteiler bis zum Arbeitsplatz geöffnet und anschließend wieder geschlossen werden müssen, wobei natürlich auch die Brandabschottungen zu beachten sind. In der Norm ist zum Beispiel an keiner Stelle erwähnt, dass die Etagenverteiler aktive Komponenten enthalten müssen.” Gerd Filthaut ergänzt: “Und tatsächlich legt ja auch niemand komplette Leitungen vom Zentralverteiler zum Arbeitsplatz. In der Regel arbeitet der Planer mit Spleißverteilern im Etagenbereich, die nicht als aktive Verbindungspunkte erscheinen.” Und damit sind wir beim Thema Verbindungstechnik. Laut Manfred Patzke müssen diese nur die optischen und mechanischen Vorgaben nach Norm einhalten. Im LWL-Bereich ist die keramische Ferrule das Kernstück der meisten Steckverbinder, und diese soll lediglich dazu dienen, dass die Fasern definiert aufeinander zugeführt werden, sodass sie das Licht mit möglichst wenig Reflexion weiterübertragen. Insofern spiele neben der Genauigkeit der Stecker vorwiegend die Qualität der verwendeten Faser eine Rolle für die Übertragungsqualität. Der Anwender sieht sich aber trotzdem einem unüberschaubaren Markt von normierten und unnormierten Steckverbindern gegenüber. Laut Manfred Patzke sind nur die LWL-Stecker im Arbeitsplatzbereich normiert. Das soll es dem Anwender erleichtern, Geräte austauschen zu können, ohne großartig auf die Anschlusstechnik achten zu müssen. Derzeit ist hierfür der SC-Duplex normiert. Überall anders könne der Anwender einsetzen, was er für richtig hält. Lothar Melchers stimmt zu: “Das ist eine reine Geschmacksfrage und hat etwas mit dem Preis, den Abmessungen und den persönlichen Vorlieben zu tun.” Gerd Filthaut weiter: “Manche Kunden sind schon begeistert von den Staubschutzklappen an den MT-RJ- und VF-45-Steckverbindern.” Lothar Melchers machte außerdem die Erfahrung, dass verschiedene Zielgruppen unterschiedlich entscheiden. So würde ein Installateur vor allem auf die Installationsfreundlichkeit achten, viele Anwender sind an der Langlebigkeit oder dem Preis interessiert, und der Planer hat vor allem die Kosten im Auge. Da kurze Installationszeiten die Gesamtkosten senken, kommen die verschiedenen Vorlieben am Ende wieder zusammen. Robert Rohde bemerkt hierzu: “Zudem arbeiten die verschiedenen SmallForm-Factor-Stecker mit ganz unterschiedlichen Ferrulenund Anschlusstechniken für die Fasern. Sehr viel unterschiedlicher als bei dem MT-RJ von AMP und beim VF-45 von 3M kann es zum Beispiel gar nicht sein. Hier haben die Anwender objektive technische Unterscheidungsmerkmale als Entscheidungsgrundlage.” FAZIT Dem Anwender bleibt somit nichts anderes übrig, als sich durch die verschiedenen Herstellerangebote durchzuarbeiten. Ausschlaggebend ist am Ende die Qualität der Faser. Und auf die sollte der Anwender oder Planer künftig besonders achten, wenn er High-Speed-Anwendungen wie Gigabit Ethernet in Betracht zieht. (Doris Behrendt) www.lanline.de netzMARKT INTERVIEW MENTOR TECHNOLOGIES E-Learning wird publik Bis zu 500.000 IT-Experten fehlen in Deutschland, mutmaßen Arbeitsmarktexperten. In der Tat sei der Markt so gut wie leer gefegt, beklagen einhellig Unternehmen, die per Anzeige qualifiziertes Fachpersonal suchen. Selbst ausbilden, heißt deswegen immer öfters die Devise. Doch hier ergeben sich Probleme – wer lässt schon gerne den “Auszubildenden” an die laufende Netzwerkkonzeption? Die Diskussion um die “Greencard” will nicht abreißen. Außer der Integration ausländischer Experten aber eignet sich vor allem das Ausschöpfen des “Binnen-Potenzials”. Dazu ist es allerdings notwendig, dass Firmen sich ihre Spezialisten selbst ausbilden. Doch auch auf diesem Weg tun sich Hindernisse auf. Es fehlt oftmals an flexiblen Möglichkeiten für die ITAuszubildenden, ihr erlerntes Wissen in praktischen Übungen zu erproben. “Never touch a running system” heißt die goldene Regel der ITBranche, wodurch nicht selten die Mitarbeiter von praktischen Lernübungen ausgeschlossen werden. Denn nur fürs Üben halten die wenigsten Unternehmen teures Equipment vor. Für zukünftige Cisco Engineers zeichnet sich nun aber ein Silberstreif am Horizont in Form von V-Lab der Firma Mentor Technologies ab. Diese Firma bietet den Zugang auf die 22 L AN line 7/2000 vollständige Cisco-Systemumgebung über das Internet — für zirka 70 Euro pro Übungsstunde. Mit dem Geschäftsführer der in Frankfurt/Main angesiedelten deutschen Niederlassung des amerikanischen Systemhauses Mentor Technologies, Bernd Werner, unterhielt sich LANline über Chancen von ELearning im Cisco-Umfeld und darüber hinaus. LANLINE: Mentor Technologies tritt neu im deutschen Markt an – mit welchem Produktportfolio? BERND WERNER: Mentor Technologies hat seinen Hauptsitz in den USA, beschäftigt zur Zeit rund 250 Mitarbeiter und hat sich mit Unterstützung des Unternehmens Cisco auf die Entwicklung einer Internet-basierenden Lösung fokussiert, die den Zugang zu einem real existierenden, bestens ausgestatteten Übungslabor für Cisco Engineers bietet. Wir kön- nen mit V-Lab Unternehmen einen Service offerieren, der Engpässe in der High-LevelAusbildung von Cisco Engineers beseitigen hilft. LANLINE: Was konkret ist das besondere an V-Lab? BERND WERNER: Buchstäblich jeder kann es nutzen und es übrigens unter www.mentorlabs.com auch für eine Trainingseinheit sofort ausprobieren. Das Besondere an diesem neuen Angebot ist, dass es hier gelungen ist, ein durchdachtes E-Learning-Konzept unter Einbindung der Internet-Technologien für eine klar umrissene Zielgruppe zu einem vermarktungsreifen Produkt weiterzuentwickeln. Die Gründer von Mentor Technologies haben darauf gesetzt, dass Cisco seine weltweit führende Position im Connectivity-Bereich halten und ausbauen kann. Bernd Werner, Geschäftsführer von Mentor Technologies Deutschland: “Unser V-Lab-Angebot für Cisco Engineers wird das E-Learning auch in Deutschland publik machen!” Dies ist in der Zwischenzeit geschehen. Damit besteht im Markt ein erhebliches Nachfragevolumen nach Cisco-basiertem Know-how. Der Eng- pass liegt eindeutig im Ausbildungsbereich und hier insbesondere im Zugriff auf ITEquipment für Übungszwecke. Im Ergebnis ist die Ausbildung oft zu theoretisch, oder das soeben erworbene Wissen wird dadurch entwertet, dass bereits die nächste Generation von IT-Komponenten Einzug in die Unternehmen hält. Das Wissen hinkt hinterher, weil in vielen Unternehmen ein kontinuierlicher Zugang zu modernstem IT-Equipment nur für Ausbildungszwecke aus Kostengründen nicht vorstellbar ist. LANLINE: Was umfasst das Angebot V-Lab genau? BERND WERNER: Um VLab zu realisieren, musste Experten-Know-how auf ganz unterschiedlichen Gebieten integriert werden. Remote Access und Internet-Technologien, tiefes Produktwissen der Cisco-Technologien und umfassende Kenntnisse der Zertifizierungsanforderungen des Marktführers sind die wichtigsten Bausteine für VLab. Dazu kommt eine besondere Nähe unseres Unternehmens zu Cisco, das sich darin ausdrückt, dass wir von Cisco zu den empfohlenen Ausbildungspartnern gezählt werden, uns regelmäßig über zukünftige Entwicklungen mit dem Marktführer austauschen können und zu einem sehr frühen Zeitpunkt auf allerneueste Produkte zugreifen und diese in unserer V-LabProgramm integrieren können. Im Ergebnis bietet V-Lab ein auf die Zertifizierungsprogramme und Know-how-Level der Auszubildenden genau abstimmbares Lern- und Übungsprogramm, das den www.lanline.de netzMARKT Auszubildenden individuell dort abholt, wo er mit seinem Wissen heute steht. LANLINE: An welche Zielgruppen richtet Mentor seine Angebote? BERND WERNER: Wir sprechen heute in erster Linie große Unternehmen an wie beispielsweise Unternehmen der Telecom-, Banken-, Versicherungs- oder Automobilbranche, die überdurchschnittlich hohen standortübergreifenden Kommunikationsbedarf haben, auf CiscoEquipment in ihrer IT-Umgebung setzen und deshalb einen klar ausgeprägten Bedarf nach bestens geschultem Personal für die Hochverfügbarkeit ihrer kritischen IT-Ressourcen haben. Mit diesen Unternehmen schließen wir Rahmenabkommen ab, die die Nutzung von V-Lab für Hunderte oder Tausende ihrer Mitarbeiter ermöglichen. Diese sehr flexibel handhabbaren Abkommen bieten den Unternehmen den großen Vorteil, die Verteilung der V-Lab Kapazitäten in eigener Regie vornehmen zu können. Darüber hinaus bieten wir Unternehmen, deren Ausbildungsbedarf noch größere V-LabKapazitäten erfordern oder die nur eine interne Lösung vor den firmeninternen Firewall-Grenzen akzeptieren wollen, die Option an, ein komplettes Cisco Labor bei uns für einen definierten Zeitraum zu leasen. Konzeption, Beschaffung, Aufbau, Implementierung und Wartung liegt alles auf unserer Seite. In jedem Fall erhalten die verantwortlichen Ausbildungsleiter eine umfassende Dokumentation über die erzielten Fortschritte der V-Lab-Nutzer, so www.lanline.de dass an Hand von objektiven Know-how Profilen in Einzelgesprächen nach weiteren Optimierungspotentialen gesucht werden kann. LANLINE: Wird V-Lab nicht zu einer “Killerapplikation” für die herkömmlichen Trainingcenter? BERND WERNER: Das Schöne an V-Lab ist: wir müssen niemanden verdrängen, um erfolgreich zu sein. Im Gegenteil – wir können uns sehr gut Vertriebspartnerschaften mit herkömmlichen Trainingcentern vorstellen, die ihre große Stärke und Marktbedeutung aus der Vermittlung des theoretischen Wissens schöpfen. V-Lab stellt eine Ergänzung zu diesem Angebot dar und kann durchaus zur Stärkung der Wettbewerbssituation eines Trainingscenters beitragen. Andererseits richtet sich das Angebot von V-Lab auch an Unternehmen, die ihren Mitarbeitern eine laufende Erneuerung der einmal erworbenen Fähigkeiten ermöglichen möchten – auf Stundenbasis, parallel zum Arbeitsalltag und wenn gewollt auch von zuhause aus. LANLINE: Ist Cisco der einzige Hersteller, den V-Lab unterstützt? BERND WERNER: Heute und mittelfristig ja, aber selbstverständlich eignet sich das hier erworbene Knowhow auch für die Unterstützung anderer Plattformen und nicht nur für die IT-Branche. Der Markt ist wirklich gigantisch, vorausgesetzt, man beherrscht die Technik und das E-Commerce-Handling. LANLINE: Vielen Dank für das Gespräch. (Christian Zillich/rhh) L AN line 7/2000 23 netzMARKT NOKIAS DRAHTLOSE INFRASTRUKTUR Mobiler Rundumschlag Der finnische Telekommunikationsriese Nokia lüftete jetzt erstmals ein wenig das Tuch über mobile Infrastruktur-Technologien, die das Unternehmen über die nächsten zwei Jahre auf den Markt bringen will. Dabei geht es beispielsweise um TETRA IP-Services, GPRS und UMTS, aber auch um bislang weniger populäre Entwicklungen wie neue wireless LANs, mit denen speziell GSM-Mobilfunknetzbetreiber ihr Portfolio um Highspeed-InternetZugang erweitern können. Der bahnbrechende Erfolg, den das 20 Milliarden-DollarUnternehmen Nokia (Umsatz 1999) mit seinen Mobiltelefonen in den letzten mehr als zehn Jahren verbuchen konnte, blieb den immer etwas im Schatten dieses Glanzes operierenden Abteilungen für Netzwerk- und TK-/InternetInfrastrukturen bislang versagt. Gleichwohl gibt es auch in diesen Bereichen spannende Entwicklungen, die, bedingt durch die schmalere Zielgruppe (Infrastruktur-Provider und Unternehmen) vermarktet werden. Einer dieser Kandidaten, von denen sich Nokia ab 2001 ein gutes Geschäft verspricht, ist eine drahtlose Netzwerklösung als Zugangstechnologie. Mit dem neuen WirelessLAN-Konzept für GSM-Mobilfunknetzbetreiber bietet Nokia die Möglichkeit, das eigene Angebot an GSM-Sprachdiensten um den Highspeed-Internet-Zugang zu erweitern. Ein 24 L AN line 7/2000 besonderer Clou dieser Lösung sei die Möglichkeit einer GSM-basierten SIM-Authentifizierung und Abrechnung, und somit des weltweiten Roamings für mobile WirelessLAN-Anwender. “Nokia ermöglicht es dem Mobilfunknetzbetreiber, sichere Highspeed-Datendienste anzubieten und damit beispielsweise in Unternehmen und Verwaltungen, Flughäfen und Hotels maßgeschneiderte Internetund Intranet-Zugänge mit Durchsatzraten von bis zu 11 MBit/s anzubieten,” erklärte Pekka Soini, Vice President, System Development, Radio Access Systems, Nokia Networks. Das Wireless-LANKonzept für Mobilfunknetzbetreiber ist als Ergänzung zu den GSM-Office- und GSM-Intranet-Office-SprachtelefonieLösungen um eine HighspeedData-Lösung gedacht. Der “kleine Bruder” dieser Technologie, eine WLANLösung für Inhouse-Netze nach 802.11-Standard, wird bereits angeboten. Diese ist Basis eines Dienstes, mit dem kürzlich das Berliner Hotel Inter-Continental Aufsehen erregt hat: Wireless-LAN als Service für Geschäftsreisende. Damit können Gäste des Hotels auf ihren eigenen Laptops bis zu 50 Mal schneller im Internet surfen als über herkömmliche Einwählleitungen. Bei ihrer Ankunft erhalten Hotelgäste auf Anfrage ei- Die Kandidaten für eine UMTS-Lizenz in Deutschland Die Regulierungsbehörde für Telekommunikation und Post hat elf Bewerber zur Teilnahme an der Versteigerung der Lizenzen zur dritten Mobilfunkgeneration zugelassen. Es sind dies: – Auditorium Investments Germany S.A.R.L. – Debitel Multimedia GmbH – Detemobil Deutsche Telekom Mobilnet GmbH – E-Plus Mobilfunk GmbH – Group 3 G – Mannesmann Mobilfunk GmbH – Mobilcom Multimedia GmbH – Talkline Management und Finance Holding GmbH – Viag Interkom GmbH & Co. – Vivendi Telecom International – Worldcom Wireless Deutschland GmbH Der Antrag der Nets AG musste abgelehnt werden. Er erfüllte die Anforderungen der Zulassungsvoraussetzungen aus dem Telekommunikationsgesetz nicht. Die Versteigerung beginnt am 31. Juli 2000 um 10.00 Uhr im Gebäude der Regulierungsbehörde in Mainz. ne Wireless-LAN-Karte für ihren Laptop, mit der sie auf das Netzwerk zugreifen. UMTS ODER “3G” Die Nach- folgetechnologie von GSM – hierzulande meist UMTS, in vielen Ländern oft nur noch “3G” für “Dritte Mobilfunkgeneration” genannt – war dieser Tage vor allem wegen der Lizenzversteigerung im Gespräch (s. Kasten). Wer immer den Zuschlag bekommt, braucht eine 3G-Infrastruktur, und Nokia bietet dazu die Architektur für ein komplett IPbasierendes 3G-Kernnetz an. Dieses All-IP-Kernnetz soll auf IPv6-Basis mit allen gängigen Mobilfunk- und Datennetzstandards kompatibel sein und ein Ende-zu-Ende-Netzwerk für den Multimediamobilfunk der 3. Generation bieten. Nokia hat sich zum Ziel gesetzt, im Jahr 2002 als Erster die Implementierung einer All-IP-Kernnetzlösung durchzuführen. IPv6 stellt genug InternetAdressraum zur Verfügung, um praktisch jedem elektronischen Gerät auf der Welt eine Internet-Adresse zuweisen zu können. Da das neue Protokoll darüber hinaus allen Anforderungen an Netzwerksicherheit, Mobilität und QoS gerecht wird, sieht Nokia in IPv6 einen wesentlichen Baustein für die kommende mobile Informationsgesellschaft. Die Spezifikation des IPv6-Protokolls obliegt der IETF (Internet Engineering Task Force), die unter anderem von Nokia mitgeleitet wird. Nokia ist außerdem aktives Mitglied des weltweiten IPv6-Forums, einem Konsortium führender Industrieunternehmen, das den neuen Internet-Standard vorantreiben und seine Interoperabilität si- www.lanline.de netzMARKT chern will. Anlässlich des World Telecommunications Congress und des IPv6-Forums (Internet-Protokoll, Version 6) in Birmingham/Großbritannien hat Nokia Anfang Mai ein komplettes Ende-zuEnde-System auf Basis des neuen IPv6 vorgestellt, das im laufenden Betrieb sowohl dynamisches Quality-of-Service wie auch Multicasting auf Netzwerkebene unterstützt. Die Multicasting-Funktionalität des neuen Internet-Protokolls wurde live, im Rahmen einer Videokonferenz-Applikation gezeigt. Und erst unlängst hatte Nokia sein IP-RAN-Konzept (Radio Access Network) vorgestellt – zusammen mit dem AllIP-Kernnetz bildet dieses IPbasierende Funkzugangsnetz nun ein komplettes, durchgängig IP-basierendes Mobilfunknetz für allgegenwärtig verfügbare 3G-Dienste. Zudem hat das Unternehmen jüngst eine Plattform zur Gestaltung und Ausführung von 3G-Diensten angekündigt. Damit sollen die Netzbetreiber in der Lage sein, selbst neue Dienste zu gestalten. Um die Einführung neuer Anwendungen zu vereinfachen, wurde die Plattform mit offenen APIs (Application Programming Interfaces) ausgestattet, welche es dem Netzwerk eines Netzbetreibers erlaubt, mit Applikations-Servern zu kommunizieren, die von Service- und Content-Providern betrieben werden. Die Nokia-3G-Service-Creation-and-Execution-Plattform basiert auf der Open Service Architecture (OSA), die vom 3GPP standardisiert wurde. Es bietet Interoperabilität zwischen verschiedenen Netzele- www.lanline.de menten und Protokollen und somit die Möglichkeit, 3G, WAP und IP-Zugang in einem einzigen Dienst bereitzustellen. Durch die offenen Schnittstellen soll das System über die nötige Flexiblität und Skalierbarkeit verfügen, um den gegenwärtigen und zukünftigen Kapazitätsanforderungen gerecht zu werden. Die Dienstplattform von Nokia ermöglicht es dem Netzbetreiber, Dienste auf Basis der gängigen JavaAnwendungsentwicklungsTools zu entwickeln, wodurch die Implementierungskosten deutlich gesenkt werden können und die Markteinführung beschleunigt werden kann. Während 3G noch in der Phase der Feldtests ist, beginnt die Kasse bei der GSM-Erweiterungstechnologie GPRS bereits zu klingeln. Etwa 40 GPRS-Kernnetzlösungen einschließlich des Nokia SGSN (Serving GPRS Support Node), Nokia GGSN (Gateway GPRS Support Node) und des Nokia Charging Gateway will der finnische Konzern seit August 1999 bereits ausgeliefert haben – an Netzbetreiber in Europa, den USA, Asien und China. “Nachdem nun die Technologie bereitsteht, möchten wir die Anbieter dazu ermutigen, neue schnelle und atemberaubende Dienste zu entwickeln”, so Ari Lehtoranta, Vice President Systems Integration bei Nokia Networks. Nokia arbeite in dieser Angelegenheit mit über 500 WAPEntwicklungspartnern, führenden Content-Anbietern und den weltbesten Systemintegratoren zusammen. (Stefan Mutschler) Info: Nokia Networks Tel.: 0211/9412-0 Web: www.nokia.de L AN line 7/2000 25 netzMARKT 3Com Air-Connect “Wi-Fi”-zertifiziert PERSONALKARUSSELL 3Com hat als Newcomer im Bereich der drahtlosen Netze für ihre Air-ConnectProduktfamilie die Wi-FiZertifizierung erhalten. Diese Auszeichnung wird von der Wireless Ethernet Compatibility Alliance (WECA) an Produkte vergeben, die vollständig mit dem IEEE 802.11bStandard übereinstimmen und dadurch einen problemlosen gemeinsamen Betrieb mit Produkten von Drittanbietern sicherstellen. Die AirConnect-Produktfamilie – erlaubt den Aufbau von drahtlosen Netzwerken (WLANs) mit Übertragungsraten von bis zu 11 MBit/s. Ein zentraler Access-Point dient dabei als Brücke zum herkömmlichen Netzwerk und übernimmt die Steuerungs- und Übertragungsfunktionen für bis zu 63 angebundene Clients. Dabei stehen Air Connect PC-Cards für die drahtlose Anbindung von Laptops oder PCI-Karten für Desktop-PCs zur Verfügung. (sm) Info: 3Com Tel.: 0180/5671530 Web: www.3com.de Cisco präsentiert Wireless-LAN-Lösung Nach der Übernahme des amerikanischen WLAN-Herstellers Aironet im Oktober letzten Jahres kommt nun auch der Netzwerkriese Cisco mit einem Portfolio für drahtlose Netze auf den Markt. Die Aironet 340-Serie mit Übertragungsgeschwindigkeiten von 11 MBit/s eigne sich für Unternehmen aller Größenordnungen, von kleinen und mittelständischen bis hin zu Großunternehmen. Mit der Aironet-Serie will Cisco seine New-World-Strategie zur Realisierung von Wireless-Lösungen auf der Grundlage offener Standards für mobile BERNT HOEGBERG hat Anfang Juni den Geschäftsführer der ERICSSON GMBH in Düsseldorf, KARL ALSMAR, abgelöst. KARL ALSMAR wird von London aus den Bereich CEEMA, Central and Eastern Europe, Middle East and Africa, leiten. In der ERICSSON GMBH arbeiten etwa 2300 Mitarbeiter, davon rund 1200 bei der Forschungs- und Entwicklungstochter ERICSSON EUROLAB DEUTSCHLAND GMBH (sm) Für den neuen E-Video Application Server hat Picturetel einen eigenen Geschäftsbereich gegründet Business-Anwendungen weiter ausbauen. Die Management-Funktionen der Aironet 340-Serie unterstützen SNMP, Telnet und das Netzmanagment mittels Web-Browser und lassen sich mit vorhandenen LAN-Management-Infrastrukturen kombinieren, unter anderem mit Ciscoworks 2000. Um den Sicherheitsanforderungen von Geschäftskunden Rechnung zu tragen, verwenden die Client-Adapter der Aironet 340-Serie die Hardware-gestützte WEP (Wired Equivalent Privacy)Verschlüsselung der Datenpakete gemäß IEEE 802.11. (sm) Info: Cisco Tel.: 0811/5543-182 Web: http://www.cisco.com/warp/public/146/kits/aironet/index.htm Die EMC CORPORATION hat drei langjährige Manager zu Senior Vice Presidents ernannt: PAUL T. DACIER ist Senior Vice President und General Counsel, DAVID A. DONATELLI leitet den Geschäftsbereich New Business Development als Senior Vice President und WILLIAM J. TEUBER ist neuer Senior Vice President und Chief Financial Officer. Alle drei Senior Vice Presidents berichten direkt an MICHAEL C. RUETTGERS. (sm) Picturetel forciert Video-Streaming MIKE ZAFIROVSKI wird neuer President des Personal Communications Sector der MOTOROLA INC. Er löst JAMES A. NORLING ab, der in den Ruhestand geht. ZAFIROVSKI kommt von GENERAL ELECTRIC CO. und soll in seiner neuen Position bei MOTOROLA für die geschäftlichen Tätigkeiten für Mobiltelefone, Pager und Freizeitfunkgeräte verantwortlich zeichnen. Mit einem Umsatz von 11,9 Milliarden US-Dollar im Geschäftsjahr 1999 ist der Personal Communications Sector der größte Geschäftsbereich von MOTOROLA. (sm) Picturetel gründet einen separaten Unternehmensbereich “Videostreaming” und stellt innerhalb dieses Bereichs eine Lösung vor, mit der Unternehmen über das Internet und Intranet Schulungen, Konferen- zen, Ansprachen oder Besprechungen an eine beliebig große Anzahl von Zuschauern live ausstrahlen können. Möglich macht diese Form der globalen Information der neue E-Video Application Server. Dabei handelt es sich um eine komplette Lösung für die Erstellung, Ausstrahlung (Streaming) und das Management von VideoSequenzen über das Internet und Intranet. Der Empfänger benötigt dazu kein Videokonferenzsystem, sondern nur einen PC mit Webbrowser. Parallel zum Videobild des Vortragenden können Präsentationen in einem separaten Fenster synchron gezeigt werden. Zusätzlich gibt es ein interaktives Chat-Fenster, über das schriftliche Fragen an den Vortragenden gerichtet werden können. Als erster europäischer Kunde hat die Ixos Software AG, München, E-Video getestet und implementiert. Erster Distributor für das System in Deutschland ist Märtens Systemelektronik, Hannover. (sm) Info: Picturetel Tel.: 089 / 211871-0 www.picturetel.de www.lanline.de 26 L AN line 7/2000 netzMARKT ACRIS AG ERÖFFNET VOIP-ZENTRUM “Das Ende des Telefonnetzes” Telefonieren und Internet-Dienste aus einer Hand und über ein einziges Netz – das kündigte das Berliner Start-Up-Unternehmen Acris Communications Anfang Juni bei der Eröffnung des “ersten VoIPZentrums in Europa” an. Außerdem würden erstmals herkömmliches Telefonieren und neue Mehrwertdienste auf Basis des Internets integriert. Gemeinsam mit dem Siemens-Geschäftsbereich Information and Communication Networks (ICN) in München hat Acris eine Technologie entwickelt, die Sprachkommunikation in ISDN-Qualität, Datenübertragung und die Bereitstellung von Mehrwertdiensten über ein einziges IPNetzwerk ermöglicht. In Berlin kündigte Acris-Mitgründer und Vorstandschef Sven Hege bereits “das Ende des herkömmlichen Telefonnetzes” an. Mit dem System, über das praktisch Internet-Datenströme in die von den Sprach-Carriern genutzte Technik umgewandelt werden, will der Newcomer unter anderem Telefongesellschaften und Kabelnetzbetreiber sowie wachstumsstarke Unternehmen als Kunden gewinnen. So könnten beispielsweise Kabelnetzbetreiber auf einen Schlag TelefonCarrier werden und neben TVund Rundfunkdiensten auch Internet- und Sprachdienste aus einer Hand liefern. Die Telefonkosten – so Hege – ließen sich mit der neuen www.lanline.de Technologie teilweise um bis zu 90 Prozent senken, da aus jedem Telefonat – egal wohin – sozusagen ein Stadtgespräch werde. “Hier entsteht ein neuer Carrier mit einem innovativen Focus”, freute sich Ivan-Rahim Khan, Bereichsleiter für Sales Promotion Neue Carrier bei Siemens ICN, bei der Eröffnung des VoIP-Centers. Das künftige virtuelle europäische Netzwerk von Acris sei auch für Unternehmen interessant, die mehrere Niederlassungen haben. Möglich sei zudem eine völlig neue Nutzung des Internets, beispielsweise für die Verbreitung von Business TV-Sendungen. “Wir bewegen uns derzeit in einer Nische und haben einen Technologievorsprung von etwa zwölf Monaten vor der Konkurrenz”, sagte der Acris-Chef. Das Unternehmen wolle führender VoIPAnbieter in Europa werden und dort in den kommenden zwei Jahren flächendeckend vertreten sein. (Sebastian Nitz/sm) Mit Sicherheit unerwünscht An dieser Stelle hätte ein Bericht über die diesjährige Partnerkonferenz von RSA-Security in Malaga erscheinen können. Daraus wird jedoch wegen der sehr seltsamen Informationspolitik dieses Unternehmens nichts. Ich befand mich etwas früher vor Ort als die meisten anderen Journalisten und dachte mir, ich hätte Zeit und Gelegenheit, über die eigentliche Pressekonferenz hinaus auch noch technische Informationen auf den Kongreßvorträgen sammeln zu können. Nachdem ich mir die Eröffnungsveranstaltung angesehen hatte, beschloß ich, mich in der entsprechenden Fachveranstaltung genauer über den ACE-Server zu informieren. Der Vortrag war vielleicht fünf Minuten alt, als die Tür aufging und jemand nachfragte, ob hier “Presse” anwesend sei. Als ich mich meldete, wurde ich gebeten, den Raum sofort zu verlassen. Hier stellen sich meherere Fragen: Wieso lädt ein Unternehmen Journalisten zu einem Kongreß ein und verweigert ihnen dann die Teilnahme an den wichtigen Veranstaltungen? Kann es eine Firma wie RSA-Security, die doch schließlich zu den Marktführern im Bereich Netzwerk-Sicherheit gehört, überhaupt verantworten, auf diese Art und Weise mit der Öffentlichkeit umzugehen? Schließlich steht und fällt der Erfolg eines solchen Unternehmens mit dem Vertrauen, das die Kunden in seine Produkte haben, beziehungsweise mit der Gewissheit der Kunden, dass diese Produkte nicht missbraucht werden. Was könnte die Geschäftsleitung von RSASecurity überhaut für einen Grund haben, die Öffentlichkeit von Fachvorträgen auszuschliessen. Und schliesslich: Wie haben die eigentlich so schnell gemerkt, dass sich in diesem speziellen Vortrag ein Journalist “eingeschlichen” hatte? Es ist wohl besser, in Zukunft im Hinterkopf zu behalten, dass nicht nur die technische Qualität von Produkten wichtig ist, sondern auch noch andere Faktoren. (Götz Güttich) L AN line 7/2000 27 netzPRODUKTE/SERVICES IM TEST: VIDEUM STREAM ENGINE Es gewinnt das bewegte Bild Bei der Videum Stream Engine ist Windows NT 4.0 Workstation mit Service-Pack 5 als Betriebssystem und eine Auswahl an Diagnose- und Capture-Programmen für die Videum-Karten vorinstalliert. Zudem befindet sich auch eine Vollversion des Real-Producer G2 und des Microsoft-Media-Encoders auf diesem System. Beim Streaming-Versuch funktionieren die Videum-AV-Karten tadellos mit allen getesteten RealPlayer-Versionen (5.0, G2, 7.0). uf Audio- und Videodigitalisierungskarten hat sich Winnov spezialisiert. Das Unternehmen bietet mit der auf den hauseigenen “Videum AV”-PCIKarten basierenden Winnov Videum Stream Engine ein Multiprozessorsystem, das speziell auf Live-Videostreams ausgelegt ist. Bis zu vier Videum-AV PCIKarten können parallel betrieben werden. Im Test war die Rack-Version, neben der eine portable Maschine mit integriertem TFT-Bildschirm angeboten wird. Dieses System wird für einen Komplettpreis von zirka 14.000 Mark angeboten. Die Rack-Lösung zeichnet sich schon auf den ersten Blick durch eine ausgesprochen robuste Bauweise aus. 26 Kilo schwer und sieben Zoll hoch, ist sie tatsächlich nur für den stationären Betrieb geeignet. Im Innern arbeiten zwei Pentium III (500/600 MHz) mit 128 MByte Speicher, die im Testbetrieb mit Video-Encodern durchaus genug waren. Eine 100-MBit/s-Netzwerkkarte sowie ein Fritz!-Card-ISDN-Adapter stellen die Verbindung zur Außenwelt her. Letzterer erscheint reichlich sinnlos, denn wer Streams anbieten will, die sich über ISDN übertragen lassen, braucht wohl kaum vier Videokarten in einem Dualprozessorsystem. In der portablen Version mag eine ISDN-Karte durchaus Sinn machen, in der Rack-Version belegt sie einen Steckplatz, sodass mit den vier Videum-AV-Karten, der Netzwerkkarte, einem Soundblaster und einer ATI 3D-Rage-ProGrafikkarte kein freier Steckplatz übrig bleibt. CD-ROMund Diskettenlaufwerk sind zusammen mit dem Power-Schalter hinter einer abschließbaren Frontplatte eingebaut. Dort Bild 1. Die Rack-Version der Videum Stream Engine wurde getestet befindet sich auch A ein mit KB-LK beschrifteter Knopf, mit dem wohl das Keyboard abgeschaltet werden soll. Da sich somit alle Eingabemöglichkeiten hinter einer abschließbaren Tür befinden, könnte die Videum Stream Engine völlig von unautorisierter Eingabe getrennt werden – wäre jener KB-LK-Schalter mit dem Motherboard verbunden. Ein Blick in das Innere der Maschine zeigte jedoch nur ein lose herumliegendes Kabel, und eine passende Gegenstelle auf dem Motherboard war auch nicht zu finden. Neben diesem Ärgernis fällt auch die fehlende Beschriftung der Rückseite bei der Ersteinrichtung negativ auf. Weder sind die Videokarten nummeriert, noch sind Maus- und Tastatur-PS/2-Anschluss beschriftet. Sonst gestaltet sich das Gerät robust und durchaus solide. Der große Lüfter mit bequem austauschbarem Luftfilter sorgt allerdings für einen Geräuschpegel, der den Betrieb des Geräts außerhalb eines Server-Raums recht unangenehm macht. Lange Kamerakabel sind also notwendig. Die Videokarten bieten drei Videoeingänge: – Winnov-Farbvideokamera, – S-Video und – Standardvideokamera. Audiodaten werden über 3,5-mm-Klinkenstecker eingespeist. Dies ist zwar Standard für Videokarten, aber gerade mit der Zielsetzung, eine professionelle Maschine zum Video-Streaming bereitzustellen, wären Cinch- oder XLR-Anschlüsse, vielleicht über ein Spezialanschlusskabel, wie im Audiobereich durch E-Magics Audiowerk 8 schon lange praktiziert, schon angenehm gewesen. In der Praxis kommt es dann oft dazu, dass der Ton über XLR und einer abenteuerlichen Kette von Adaptern in die Karte gespeist wird, der Alptraum jedes Tontechnikers. (Anmerkung der Redaktion: Seit dem 1. Juni ist ein XLR-Anschluss standardmäßig implementiert). Vorinstalliert ist Windows NT 4.0 Workstation mit Service-Pack 5 als Betriebssystem und eine Auswahl an Diagnose- und Capture-Programmen für die Videum-Karten. Vorinstalliert sind angenehmerweise auch eine Vollversion des www.lanline.de 28 L AN line 7/2000 netzPRODUKTE/SERVICES RealProducer G2 und des Microsoft-Media-Encoders. Ansonsten ist die Installation relativ nackt und enthält beispielsweise noch den Internet-Explorer 2.0 als einzigen Web-Browser. Beim Streaming-Versuch funktionieren die Videum-AV-Karten tadellos mit allen und im Gegensatz zu den meisten Videokarten – durch den eigenen Audioeingang der Videum AV-Video-Encoderkarte möglich. Um mehrere Streams gleichzeitig zu encodieren, muss das jeweilige Encoder-Programm mehrmals gestartet werden. Der Real-Player unter- Bild 2. Um mehrere Streams gleichzeitig zu encodieren, muss das Encoder-Programm mehrmals gestartet werden getesteten Real-Player-Versionen (5.0, G2, 7.0) zusammen. Dennoch fällt schnell auf, dass die Stärke der Winnov nicht im Streamen einer einzigen Videoquelle zu suchen sein darf. Letztendlich bietet die Maschine unwesentlich mehr Möglichkeiten als sie ein handelsüblicher Pentium-IIIbasierender PC mit einer halbwegs anständigen Videokarte auch offeriert – zu dem Preis, den alleine die vier Videum-AVKarten kosten. Die Auslastung eines Pentium-III-Systems mit 450 MHz mit Osprey100-Karte liegt beim Streaming eines Real-Encoder-G2-Sure-Streams in 160 mal 120 Pixel bei etwa 50 Prozent. Die Winnov Videum Stream Engine wird dadurch zwar nur zu 20 Prozent belastet, aber bei einem einzelnen Stream fällt dies nicht weiter ins Gewicht. Interessant wird es natürlich bei mehreren Streams. Dies wird natürlich erst – www.lanline.de stützt multiple Karten ab der G2-Version, Version 5.0 kann nur auf die erste installierte Karte zugreifen. Leider ist weder der Real-Producer noch der WindowsMedia-Encoder in der Lage, tatsächlich alle vier Streams unter einer einzigen Oberfläche zu verwalten. Da natürlich bei bereits laufenden Encodierungen auch die GUI langsamer wird, ist das Starten von vier Streams in vier Encodern nicht eben komfortabel, aber es funktioniert zufriedenstellend. Beim Encodieren mehrerer Streams zeigt sich die Hardware der Winnov Videum Stream Engine als durchweg gut dimensioniert, allerdings nur für die heute aktuellen Ansprüche. Zwei SureStreams in 28k, 56k und 150k in 320 mal 200 Pixel und Audio verkraftet das Gerät gerade noch; die Auslastung bei zwei 56k-Streams in 320 mal 200 Pixeln liegt bei 70 Prozent. Für vier volle Streams in mehr als dem oft beklagten Briefmarkenformat ist auch die Winnov Videum Stream Engine dagegen nicht schnell genug. Dies ist für heutige Anforderungen wohl kaum ein Manko, und der Flaschenhals bleibt wie stets das Netzwerk zum Player des Endkunden. Ob allerdings die Winnov Videum Stream Engine eine gute Investition in zukünftige aus schnelleren Netzwerken resultierende Anforderungen ist, ist angesichts der Hardware-Entwicklung zu bezweifeln. Für heutige Anforderungen zeigt sich das Gerät bestens gerüstet: Vier Sure Streams mit je 28k, 56k und 150k in 160 mal 120 Pixel Größe und Audio bringen die Maschinenauslastung auf 95 Prozent. Unter diesem Aspekt betrachtet bietet die Winnov eine stabile und robuste Lösung für briefmarkengroße Streams. Aufgrund des Gewichts und der Lautstärke des Lüfters ist die vorliegende Rack-Version wohl nur für den stationären Einsatz zum Beispiel in Kongresszentren tauglich. Ob die bei größeren Streams besonders in vierfacher Auflage doch auch schnell an ihre Grenzen gebrachte Winnov Videum Stream Engine eine lohnende Investition in die Zukunft darstellt, scheint fraglich. Mit steigenden Durchsatzmöglichkeiten wird sich auch die Qualität und Auflösung der Streams verbessern, und wohl auch über die Maße hinaus, die das Gerät von Winnov momentan bewältigen kann. Ob heute allerdings Live-Videostreams eine derart lohnenswerte Sache sind, dass sich die Anschaffung eines Rack-Systems mit der Dimensionierung der Winnov Videum Stream Engine lohnt, hängt wohl von den Anwendungsgebieten ab. Für die meisten Anwendungen, die lediglich Repräsentationszwecke erfüllen, wird das System aber zweifelsohne überdimensioniert sein. (Moritz Hammer/rhh) Weitere Informationen: Winnov Tel.: 0 82 43/9 00 84 Web: www.winnov.de/ L AN line 7/2000 29 netzPRODUKTE/SERVICES IM TEST:IPSWITCH IMAIL 6.0 E-Mail-Server mit Web-Schnittstelle Ein Geschäftsbetrieb ohne E-Mail ist heute kaum noch denkbar. Entsprechend vielfältig ist die Auswahl an E-Mail-Servern, die sich um Empfang und Versand von elektronischer Post kümmern. Eine sehr flexible Lösung stellt Ipswitch mit dem Imail-Server 6.0 vor. Die Software für Windows NT bietet weit mehr als die üblichen Grundfunktionen und ist weitgehend konfigurierbar. eben traditionellen E-Mail-Systemen, die POP3 (Post Office Protocol, Version 3) zum Abholen und SMTP (Simple Mail Transfer Protocol) zum Senden von E-Mails verwenden, wird heute von Anwendern zunehmend die Funktion Web-Mail verlangt. Hierbei muss auf den Clients keine Mail-Software installiert sein – ein Browser genügt, um elektronisch Post über das World Wide Web zu lesen. Zudem gewinnt der POP3-Nachfolger IMAP4 an Bedeutung, wenn auch nur langsam. Während POP3-E-Mails vom Mail-Server abholt und sie dort löscht, belässt IMAP4 die Nachrichten auf dem Server und kann dort sogar Mail-Ordner einrichten. Der Vorteil des neueren Protokolls: Der Benutzer kann von jedem IMAP4Client aus auf seine Post zugreifen, da sie nur dort vorgehalten wird. POP3 hingegen besitzt den Vorteil, dass der Benutzer auch ohne Netzwerkverbindung zum Server seine zuvor empfangenen E-Mails offline lesen kann. N gewährleisten, kann der Administrator die Verbindung zwischen Browser und Mail-Server verschlüsseln. Imail verwendet dabei das weit verbreitete SSL(Secure Socket Layer)-Verfahren, optio- on verschlüsselt, während POP3 standardmäßig sowohl den Benutzernamen als auch das Kennwort und Mail-Inhalte unverschlüsselt überträgt. Per APOP lässt sich zumindest das Kennwort verschlüsseln. Imail 6 verfügt über alle gebräuchlichen Funktionen, beispielsweise eine frei definierbare Abwesenheitsnotiz und die Weiterleitung von Mails für bestimmte Benutzer an eine andere Adresse. Zudem lassen sich für eingehende Nachrichten Regeln festlegen, welche die Post in bestimmte Postfächer oder Ordner sortieren. So könnten beispielsweise alle E-Mails, die bestimmte Worte enthalten, an einen Hilfsadministrator gesendet werden. Ebenfalls zum guten Ton eines Mail-Servers gehören zahlreiche Relay-Optionen, die Unterstützung von ESMTP-Empfangsbestätigungen, von ETRN (Extended Turn, zum Abholen von Mails über SMTP), Alias-Na- Der Administrator kann für jeden Benutzer zahlreiche Optionen festlegen FUNKTIONEN Der Imail-Server von Ipswitch unterstützt sowohl POP3, IMAP4 als auch Web-Mail. Dabei verwendet die Software einen eigenen, integrierten Web-Server, wodurch sie nicht von einem anderen Web-Server (wie beispielsweise dem Microsoft IIS oder Apache) abhängig ist. Um eine hohe Datensicherheit bei der Web-Mail-Abfrage zu 30 L AN line 7/2000 nal mit Echtheitsbestätigung von Server und Client. Damit diese ohne lästige Rückfragen des Browsers abläuft, muss der Administrator ein SSL-Zertifikat bei einer von den Browsern anerkannten Certificate-Authority wie Thawte oder Verisign mieten. IMAP4 ist per Definiti- men und die Beschränkung der Größe von Postfächern – in Bezug auf die Anzahl der Mails sowie auf die Gesamtgröße. An fremde Mail-Server gerichtete Post kann Imail durch ein zentrales Gateway senden. Als Schutz gegen SpamNachrichten kann der Administrator zu- www.lanline.de netzPRODUKTE/SERVICES dem Mails von bestimmten Domains blockieren. DISKUSSIONEN Für E-Mail-basierende Diskussionsgruppen enthält Imail umfangreiche List-Server-Funktionen. Im einfachsten Fall ist eine Diskussion offen und kann von jedem Mails erhalten, selbst von Nicht-Mitgliedern. Am gebräuchlichsten ist die Konfiguration, in der nur Mitglieder an der Diskussion teilnehmen dürfen. Bei Bedarf kann der Administrator die Verwendung der Liste noch stärker einschränken und eine beliebige Person zum Moderator machen. Wer dann an die Liste schreiben möchte, muss die betreffende Mail an den Moderator senden, der sie prüft und gegebenenfalls an die Liste weiterleitet. Ebenfalls der Sicherheit dient die Option, Mitgliedschaften einzuschränken. Normalerweise kann jeder Benutzer Mitglied einer Liste werden, indem er eine entsprechende Mail an eine spezielle Verwaltungsadresse schickt. Alternativ kann der Administrator festlegen, dass nur er bestimmt, wer in die Liste aufgenommen wird. Für besonders intensiv genutzte Listen eignet sich die Digest-Option. Statt jede eingehende Mail sofort an alle Mitglieder einer Liste weiterzuleiten, sammelt der MailServer alle eingehenden Nachrichten und verschickt regelmäßig – zum Beispiel wöchentlich – an jeden Benutzer eine einzige Mail mit dem Inhalt aller Diskussionsbeiträge des entsprechenden Zeitraums. So werden Mitarbeiter nicht ständig während ihrer Arbeit gestört, wenn alle paar Minuten jemand einen Diskussionsbeitrag absendet. Wie oft Imail Digests versenden, ist frei konfigurierbar. Viele Administrationen wählen den täglichen oder wöchentlichen Versand, Imail kennt aber auch die Optionen 14-täglich, monatlich, alle n Tage und manuell. Einen guten Kompromiss zwischen Netzwerkbelastung und Festplattennutzung bietet die pfiffige Option, Digests immer zu versenden, wenn die gesammelten Mails eine bestimmte Größe an Kilobyte übersteigen. BENUTZERVERWALTUNG Die Benut- zer des Mail-Systems kann Imail gleich www.lanline.de aus drei Quellen beziehen. Im einfachsten Falle arbeitet das System vollständig autonom und der Administrator erstellt alle Mail-Benutzer per Hand. Diese Methode eignet sich vor allem für Netzwerke, in denen nur wenige Benutzer den E-Mail-Dienst verwenden sollen und diese keine NT-Benutzerkonten besitzen. Die zweite Alternative ist die Kopplung mit einer Datenbank, auf die Imail über ODBC zugreift. Dieses Verfahren ist besonders bei einer großen Menge von Benutzern sinnvoll, die keinen Zugriff auf das lokale Netzwerk benötigen. Schließlich kann der Administrator die NT-Integration wählen. In diesem Fall kann jedem lokal oder in der Domäne existierenden Benutzer Zugriff auf das Mail-System gewährt werden. Einzelne Benutzer lassen sich deaktivieren, so dass nicht zwangsweise jeder NTAnwender auch Post empfangen und versenden darf. Leider erkennt die Software keine Benutzer von anderen (vertrauten) Domänen als gültige Benutzer an. In Umgebungen mit mehreren NTDomänen lässt sich der Mail-Server daher nur teilweise integrieren. Umgekehrt stellen mehrere Internet-Domains kein Problem für Imail dar. Dank virtuellen Hosts können die einzelnen Domains sogar Benutzer mit identischen Namen besitzen. Es ist sogar möglich, dass ein virtueller Host eine eigene Benutzerdatenbank verwendet, während ein anderer auf die NT-Benutzerkonten zugreift. Um die Leistungsfähigkeit der Software zu erhöhen, lässt sie sich im PeerModus auf mehreren Servern gleichzeitig verwenden. Laut Hersteller schafft ein Dual-Pentium mit 120 MHz rund 250.000 Mails pro Tag. Obwohl die Software eigentlich ein E-Mail-Server ist, kann sie Nachrichten auch an andere Dienste wie Pager, Beeper und per SMS auf Mobiltelefone senden. Die Konfiguration dieser Übermittlungsarten übernimmt ein einfacher Assistent. Die nachträgliche Änderung dieser Parameter hingegen ist äußerst unkomfortabel und nicht ohne einen Blick in das Handbuch möglich. Optional bietet Ipswitch ein Mail-to-Fax-Gateway an. L AN line 7/2000 31 netzPRODUKTE/SERVICES MANAGEMENT Über Mail-bezogene Funktionen hinaus bietet die ServerSoftware zahlreiche weitere Protokolle. So arbeitet Imail als LDAP-Server, sodass entsprechende Clients bestimmte Daten über die Mail-Benutzer erfahren können – so weit der Administrator dies sen. Insgesamt prüft der Monitor die Dienste SMTP, POP3, IMAP4, Whois, Finger, Password, Syslog, LDAP, WWW, FTP, Telnet, DNS, NNTP sowie den lokalen Festplattenplatz. Auch der von Ipswitch separat angebotene FTPServer lässt sich überwachen. Der eben- Das Web-Interface ist etwas zu bunt und unübersichtlich geraten, lässt sich jedoch nach Belieben anpassen zulässt. Auch der integrierte Finger-Server kann Auskunft über Benutzer geben. Dazu muss der Administrator für jeden Benutzer eine Plan-Datei erstellen. Will der Systemverwalter keine entsprechenden Daten zur Verfügung stellen, kann er den Finger-Dienst deaktivieren und so wertvollen Platz im Hauptspeicher sparen. Auch der Whois-Server gibt Daten über Benutzer preis, solange der Administrator diesen Dienst nicht abschaltet. Über den Passwort-Server können ältere Clients Benutzerkennwörter ändern. Ergänzt wird Imail vom Überwachungsdienst (Monitor Service), der die Aktivität anderer Dienste überwacht. Dabei kann der Administrator wählen, ob der Watchdog Imail-eigene Dienste auf dem lokalen System oder Dienste auf einem fremden Host überwachen soll. Fällt ein lokal überwachter Dienst aus, versucht der Watchdog, ihn neu zu starten. Gelingt dies nicht, schickt er eine E-Mail an den Administrator oder eine Nachricht an einen Pager. Der Netzwerkverwalter erhält eine zweite Benachrichtigung, wenn ein ausgefallener Dienst wieder aktiv ist. Die Benachrichtigung kennt Profile, in denen sich bestimmte Uhrzeiten (aber leider keine Wochentage) eintragen las- 32 L AN line 7/2000 falls als eigenes Produkt von Ipswitch angebotene Watchdog “What’s Up” lässt sich in das Überwachungskonzept integrieren. Sämtliche Dienste protokollieren ihre Aktivität standardmäßig in eigenen Log-Dateien. Alternativ können sie die Protokolldaten an das NT-Ereignisprotokoll oder an einen (im Unix-Umfeld gebräuchlichen) Syslog-Server senden. Noch leistungsfähiger sind die zahlreichen Kommandozeilenwerkzeuge, mit denen sich Benutzer und Aliase in großen Mengen einrichten lassen. Für die alltäglichen Wartungsarbeiten eignet sich das Web-Interface oder das Iradmin-Tool. Beide erfordern keinen physischen Zugang zum Server. BETRIEB Im Test arbeitet die Software einwandfrei und ohne Störungen. Lediglich einige Details passen nicht in das sonst gute Gesamtbild. So kann ein Fehler im POP3-Protokoll E-Mail-Clients verwirren. Zudem fehlen einige Buttons in der Web-Oberfläche – offenbar kopiert das Setup-Programm einige Dateien in ein falsches Verzeichnis. Gar nicht gefallen hat die Web-Oberfläche, die sehr unübersichtlich wirkt. Immerhin kann der Administrator sie ganz nach Belieben anpassen und seinen Wünschen entsprechend gestalten – er muss sich dazu jedoch ein paar Tage Zeit nehmen und zahlreiche HTMLSeiten bearbeiten. Dabei kann er zum Beispiel das Unternehmenslogo in das Webinterface integrieren. Schön ist das ausführliche und gut geschriebene Handbuch, auch wenn es leider nur auf englisch vorliegt. FAZIT Ipswitch bietet mit Imail einen ADMINISTRATION Für die Administ- ration stehen dem Systemverwalter zahlreiche Möglichkeiten zur Verfügung. Am einfachsten in der Bedienung und gleichzeitig am mächtigsten ist das mitgelieferte Admin-Tool, welches lokal auf dem Mail-Server ausgeführt werden muss. Es wirkt ein wenig schlicht, ist aber übersichtlich und bietet alle notwendigen Funktionen. Der Systemverwalter kann damit zum Beispiel sämtliche Dienste steuern, die Protokolldateien einsehen und einen Blick auf die Warteschlange der ausgehenden Mails werfen. Auf Wunsch lassen sich Optionen für mehrere Benutzer gleichzeitig festlegen, was beispielsweise nützlich ist, wenn eine bestimmte Benutzergruppe eine identische Beschränkung der Mailbox-Größe erhalten soll. leistungsfähigen Mail-Server für Windows NT an, der zahlreiche Konfigurationsoptionen bietet und dennoch relativ leicht zu administrieren ist. Gefallen hat die Möglichkeit, das Web-Interface weitestgehend anzupassen. Auf der Wunschliste steht noch ein deutsches Handbuch. Für bis zu 250 Benutzer verlangt der Hersteller 1700 Mark, unbegrenzt viele Anwender dürfen für 2600 Mark E-Mails versenden. Die Mail-toFax-Option schlägt mit 350 Mark zu Buche. (Andreas Roeschies/gh) Info: Ipswitch/PSP Net Tel.: 0 64 30/22 33 Web: www.ipswitch.com/Products/ IMail_Server/index.html www.lanline.de netzPRODUKTE/SERVICES INHALT PRODUKT-NEWS AKTIVE KOMPONENTEN Aktive Komponenten: 34 Bridges, Router, Hubs, Switches, Gateways, NICs, WLANs Endgeräte: 36 Server, Workstations, NCs, Laptops, PDAs, Drucker, Printserver, Scanner Speichersysteme: 36 RAID, Backup-Hardware/Software, Speichersubsysteme, Festplatten, optische Speicher, SANs Schutz/Sicherheit: 38 Firewalls, Virenschutz, KryptoProdukte, Authentisierungssysteme, PKI-Lösungen, USVs, Redundanzlösungen Internet/Intranet: 40 Server und Clients für Internetbasierte Dienste, Web-Server, Browser, E-Commerce, E-Business, Shop-Lösungen, HTML/XML-Editoren Messaging: 40 E-Mail, X.400, Fax-Lösungen, Verzeichnisdienste, Unified Messaging, EDI Host-Anbindung: 42 Terminalemulationen, Web-to-Host Management: 42 NOS, System- und Netzwerkmanagement, DBMS, Remote-Control-Software, Dokumentenmanagement, CRM Messtechnik: 44 Kabeltester, Protokoll-Analyzer, ISDN-ATM-Tester Verkabelung: 44 Kabel-(systeme), Stecker, Dosen, Schränke, Mediakonverter, Monitorzusammenschalter, Mobilar für Server-Räume Einschubmodule für GLS-1605 Zwei neue Einschubmodule zur Erhöhung der Port-Dichte der GLS-1605- und GLS402-Switches hat Richard Hirschmann im Angebot. Die Module eignen sich für Fast- Ethernet-Uplinks im Backbone-Bereich sowie für den Anschluss von Server-Farmen und den Einsatz von datenintensiven Anwendungen. Das Fast-Ethernet-Modul 100ELMM12 verfügt über zwölf 100Base-FX-Anschlüsse in MT-RJ-Ausführung für Das Fast-Ethernet-Modul 100ELMM12 für den Gigabit-Ethernet-LANSwitch GLS verfügt über zwölf Glasfaseranschlüsse für Datenübertragungen bis zu 2000 Meter 34 L AN line 7/2000 Multimode-Glasfaserleitungen. Zwölf 10/100Base-TXAnschlüsse bietet das FastEthernet-Modul 100ELTP12. Alle Ports sind autosensing und können wahlweise in Halb- oder Vollduplex betrieben werden. Die Einschubmodule lassen sich im laufenden Betrieb installieren und austauschen. Für das Glasfasermodul verlangt Hirschmann rund 15.600 Mark, das Kupfer-Pendant schlägt mit rund 9800 Mark zu Buche. (gh) Info: Richard Hirschmann Tel.: 07127/14-0 Web: www.hirschmann.de/deutsch/ bereiche/nwt/nwt.html E-Mail: info@nt.hirschmann.de Fast-Ethernet-Switch für UTP und Fiber Milan Technology, eine Division von Digi International, stellt die beiden neuen unmanaged Fast-EthernetSwitches S3130ST und S3130SC vor. Beide Geräte verfügen über je sieben 10/100-Base-TX-UTP-Ports sowie über einen 100-BaseFX-Port für einen GlasfaserUplink. Im Vollduplex-Modus bieten die Switches Benutzern eine Bandbreite von 200 MBit/s. Der FX-Port überträgt Daten über Entfernungen von bis zu zwei Kilometern. Daher eignen sich die Switches auch zur Verbindung von verschiedenen Gebäuden. Jedes Gerät speichert 1000 MAC-Adressen, die es automatisch erkennt und somit eine manuelle Konfiguration durch den Administrator überflüssig macht. Der S3130ST verfügt über einen ST-Steckverbin- der am Glasfaser-Port, der S3130SC unterstützt SCStecker. Beide Switches kosten je rund 960 Mark. (gh) Info: Milan Tel.: 0231/9747-0 Web: 216.122.116.99/switches/desktop/fethernet_fiber.html E-Mail: intl-sales@milan.com Ethernet-Switch für Voice over IP Den Einsatz des Omnistack6024 Fast-Ethernet-Switches empfiehlt Alcatel in konvergenten Netzen, die Sprache, Video und Daten simultan übertragen. Dazu stattet der Hersteller den Switch mit IEEE-802.1p-Funktionalität aus, mit der Administratoren bestimmten Verkehrsarten Priorität einräumen können. Der Omnistack unterstützt zudem VLANs nach IEEE 802.1Q und ermöglich somit eine Segmentierung des Netzes auf Layer 2. VLAN- und QoS-Funktionen lassen sich kombinieren, um bestimmten Segmenten innerhalb eines Unternehmens Vorrang zu gewähren. Der Omnistack 6024 ist standardmäßig mit 24 Ports ausgestattet und lässt sich auf 96 Ports erweitern. Jedes System kann zudem auf 100Base-FX sowie 1000Base-SX und -LX aufgerüstet werden. Administratoren verwalten das Gerät über SNMP, RMON-Support liefert Informationen über den Netzwerkverkehr. Der Switch ist ab sofort verfügbar und ab rund 4300 Mark zu haben. (gh) Info: Alcatel Tel.: 0180/2313537 Web: www.alcatel.de/telecom/bsd/ data/o_stack.htm www.lanline.de netzPRODUKTE/SERVICES ENDGERÄTE Thin Client mit Embedded NT Unter der Bezeichnung Winterm 8360SE Wincat hat Wyse einen Thin Client auf den Markt gebracht, bei dem sich 32-Bit-Windows-Applikationen direkt in das Terminal integrieren lassen. Über das Betriebssystem Windows NT 4.0 Embedded werden PC-Funktionalitäten sowie Treiber und Peripherie-Unterstützung bereitgestellt, integriert ist auch ein lokaler Web-Browser (Internet Explorer 5.0). Das lokal bootende Winterm 8360 Wincat bietet 64 MByte Flash-RAM, 64 MByte RAM, 10/100Base-TFast-Ethernet, zwei serielle, einen parallelen sowie einen USB-Port und unterstützt eine Monitorauflösung von 1280 x 1280 Bildpunkten. Der Thin Client lässt sich unter zahlreichen Server-Umgebungen einsetzen: So bietet er 15 Terminal-Emulationen sowie Unterstützung für das Remote Desktop Protocol von Microsoft und ICA von Citrix Systems. Das System eignet sich nach Angaben des Herstellers auch für Windows 2000 und Citrix Metaframe für Windows 2000. Winterm 8360SE SPEICHERSYSTEME Wincat ist zum Preis von 2160 Mark erhältlich. (pf) Info: Wyse Technology GmbH Tel.: 089/46 00 99-0 Web: www.wyse.com/winterm Multifunktionaler Netzwerkdrucker Als Nachfolgemodell des EPL-2700 präsentiert Epson den multifunktionalen Netzwerkdrucker EPL-N2750. Er ist serienmäßig mit einer 100Base-TX-Ethernet-Karte, einem 166-MHz-RISC-Prozessor, 16 MByte Arbeitsspeicher (erweiterbar auf 256 MByte), einem Parallel-Port sowie einer 500-Blatt-Universalkassette und einem 250Blatt-Mehrzweckpapiereinzug ausgerüstet. Die Druckgeschwindigkeit des EPL-N2750 beträgt 27 Seiten pro Minute, die Duckauflösung physikalisch 600 und interpoliert 1200 dpi (Microgray- und Kantenglättungsverfahren Biritech). Die Preise liegen bei 4400 Mark beziehungsweise 4890 Mark (mit Adobe Postscript 3). (pf) Info: Epson Deutschland GmbH Tel.: 0180/523 41 50 Web: www.epson.de LANline 7/2000, P15/6 (sm) Der Epson EPL-N2750 kommt auf einen Durchsatz von 27 Seiten pro Minute 36 L AN line 7/2000 30 Jahre haltbar: TrueWORM-Speicher Plasmon gibt die Verfügbarkeit der 8000-Serie, der vierten Generation von optischen 12-Zoll-TrueWORM-Laufwerken, -Datenträgern und Jukeboxen, in Europa bekannt. Die Serie wird als Komplettlösung inklusive Datenträger, Laufwerke, Jukeboxen sowie Vor-Ort-Third-Party-Wartungsservice angeboten. Mit einer Online-Speicherkapazität von 30 GByte pro Disk bietet die 8000-Serie mehr als die doppelte Kapazität gegenwärtiger 12-Zoll-Versionen. Sie verfügt über eine SCSI-II(Fast/Wide-) Schnittstelle und unterstützt 6,0 MByte/s. Im Gegensatz zu den ersten drei Generationen, die das traditionelle WORM-Aufzeichnungsverfahren (Write Once, Read Many) eingesetzt haben, verwendet die neue Serie die Phase-Change-Write-Once-Technologie zur Datenspeicherung. Sie vergrößert die Disk-Kapazität und beschleunigt den Datenverifikationsprozess für die Laufwerke. In der 8000-Serie werden 12-Zoll-Glasmedien eingesetzt. Dadurch soll sichergestellt sein, dass die archivierten Daten für einen Zeitraum von über 30 Jahren geschützt und unveränderbar gespeichert sind. Die 8000Laufwerke sind in RapidChangern sowie Jukeboxen erhältlich, wobei die Jukeboxen mit 22 bis 141 Datenträgern und mit bis zu fünf Laufwerken bestückt werden können. Ihre Speicherkapazitäten reichen bis zu 4,2 Terabyte. Die Preise beginnen bei 30.000 Dollar für die Laufwerke und liegen je nach Konfiguration zwischen 126.000 und 263.000 Dollar für die Jukeboxen. Info: Plasmon Data Limited Tel.: 089/3246390 Web: www.plasmon.co.uk DLT-1-basiertes Tape-Backup Mit dem DLT1-Stand-AloneBandspeichersubsystem sowie dem DLT1-basierten Loaderxpress ergänzt Overland Data seine Einstiegslösungen. Die Bandspeichergeräte sind rückwärts kompatibel zu DLT4000 und damit für Unternehmen geeignet, die ihre Storage-Ausstattung preiswert erweitern möchten. Overlands DLT1Tape-Subsystem fasst native Datenvolumen bis zu 40 Gigabyte bei einer Transferrate von 3 MByte/s. Komprimiert ergibt das eine Speicherleistung von 80 Gigabyte und eine Übertragungsgeschwindigkeit von 6 MByte/s. Vergleichbare DDSLösungen bieten in der Regel nur eine Kapazität von 20 Gigabyte bei 2,4 MByte/s. Der DLT1-basierte Loaderxpress bietet mit bis zu zehn integrierten Bändern eine Speicherkapazität bis zu 400 Gigabyte. Loaderxpress wird von Software-Herstellern wie Veritas Software, Computer Associates und Legato auf allen gängigen Plattformen wie Windows NT, Sun Solaris, IBM AIX, HP-UX, Linux und Novell NetWare unterstützt. Das Tape-System kostet 3940 Mark, der DLT1-basierte Loaderxpress ist in der Grundkonfiguration ab 9990 Mark verfügbar. (sm) Info: Overland Data Tel.: 089/94490212 Web: www.overlanddata.com www.lanline.de netzPRODUKTE/SERVICES SCHUTZ/SICHERHEIT Firewall, IDS und VPN Programmstart verboten rät ein- und ausgehenden UDP- und ICMP-Verkehr und lässt beispielsweise nur dann eine ICMP-Echo-Reply in das WAN hinaus, wenn aus dem internen Netz ein gültiger ICMP-Echo-Request gestartet wurde. Auch gegen Angriffe, die lediglich TCPSessions initiieren aber nicht fortführen, kann der Appswitch schützen. In diesem Fall nimmt zunächst das Gerät die TCP-Connection-Requests entgegen, die an einen bestimmten Server gerichtet sind. Ist eine Verbindung gültig, reicht der Appswitch diese an den Server weiter. Andernfalls weist er die Verbindung ab. Zudem kann das Gerät alle SYN-Requests, die nicht innerhalb eines definierten Zeitraums von einem ACK des Source-Hosts gefolgt werden, durch eine RST-Nachricht an den anfragenden Rechner zurücksetzen. Von Toplayers Appswitch 2000 gibt es drei Versionen, die ab einem Listenpreis von knapp 14.000 Dollar erhältlich sind. Weitere Versionen mit einer höheren PortDichte und Gigabit-EthernetUnterstützung sind noch für dieses Jahr geplant. (gh) Eine Personal Firewall, Intrusion Detection System (IDS) sowie eine Virtual-Private-Network-Lösung für PCs und Laptops möchte Network Associates PGPDesktop-Security 7.0 sein. Laut Hersteller prüft die Firewall-Komponente den gesamten Netzverkehr von und zu dem individuellen Computer und schützt vor unautorisiertem Netzzugang. Das Intrusion-Detection-System basiert auf NAIs CybercopLösung und soll SYNund Ping-Floods, SmurfAttacken und Trojaner wie Back-Orifice abwehren. PGPDesktop-Security baut automatisch eine sichere VPN-Verbindung zu jedem Netzwerkgerät auf, das VPN-fähig ist. Laut Hersteller werden hier “führende” VPN-Gateway-Lösungen unterstützt. Lokale Daten wie E-Mails, ganze Festplatten oder einzelne Dateien verschlüsselt die Software auf Wunsch des Anwenders. Beim Aufbau einer PKI-Infrastruktur unterstützt das Programm PGP-Keys und X.509v3-Zertifikate. Administratoren wird die zentrale Konfigurations-Software “PGP Enterprise Administrator” freuen, die auch über eine automatische UpdateFunktion verfügt. PGPDesktop-Security soll im dritten Quartal verfügbar sein. Ein Preis stand zu Redaktionsschluss noch nicht fest. (gh) Info: Toplayer Networks Tel.: 001/508/870-1300 ext. 170 Web: www.toplayer.com/ products/products.shtml E-Mail: info@toplayer.com Info: Network Associates Tel.: 089/3707-1530 Web: www.pgp.com/international/ germany/ E-Mail: info@nai.com Appsense des gleichnamigen Herstellers ist eine Software zur Kontrolle von Anwendungen und ausführbaren Dateien in WindowsNetzwerken. Das Programm verhindert die Ausführung unterwünschter oder unbekannter Programme und kann somit Skript-Viren wie den I-Love-You-Virus abwehren. Auch Software wie die “Moorhuhnjagd” kann der Administrator auf den Arbeitsplätzen seiner Mitarbeiter lahm legen. Versucht ein Anwender, ein gesperrtes Programm zu starten, erhält er in einem Popup-Fenster eine Warnmeldung. Hierbei hat der Netzverwalter die Möglichkeit, entweder die Ausführung unbekannter Anwendungen verhindern, oder detailliert festzulegen, wer welche Dateien von welchen Verzeichnissen oder Netzwerklaufwerken aus wann ausführen darf. Die Beschränkungen lassen sich auf alle Anwender, definierte Gruppen oder einzelne Benutzer anwenden. Appsense wird zunächst auf einem zentralen Server installiert, von dem aus die Clients ihre Komponenten herunterladen können. Insbesondere eignet sich die Software für Terminal-Server-Umgebungen, wo unerwünschte Software das komplette System beeinträchtigen kann. Appsense läuft auf allen Win32-Plattformen und kostet für 15 Benutzer und einen Server 6000 Mark. (gh) Die Appswitches von Toplayer Networks schützen unter anderem Server vor DDoS-Attacken Switch mit DDoS-Schutz Der Appswitch 2000 von Top Layer Networks ist ein Layer-7-Switch, der spezifische Applikationen und Transaktionstypen voneinander unterscheiden kann. Er verfügt über 14 10/100-Nonblocking-Ethernet-Ports und kommt hinter WAN-Routern in der demilitarisieren Zone, zwischen dem Schaltschrank und dem Backbone-Switch oder vor einer Serverfarm zum Einsatz. Da das Gerät nicht nur einzelne Pakete, sondern den gesamten Verkehrsfluss nach Anwendung und Benutzer-ID analysiert und klassifiziert, kann es neben Bandbreiten-Management, Application-Balancing, Abrechnung des Netzverkehrs nach Nutzern und Anwendungen und regelbasiertem Routing auch als Abwehrmaßnahme gegen DDoS-Attacken (Distrituted Denial of Service) eingesetzt werden. Dabei stellt der Appswitch unter anderem sicher, dass in ICMP-, UDPund TCP-Paketen ungenutzte Felder keine Daten enthalten, die auf diesem Weg in das Unternehmensnetz eingeschleust werden könnten. Weiterhin analysiert das Ge- 38 L AN line 7/2000 Info: Appsense/GTS-Gral Tel.: 06154/637-100 Web: www.gtsgral.de/produkte/ E-Mail: info@gtsgral.de www.lanline.de netzPRODUKTE/SERVICES INTERNET/INTRANET Internet-Server für SMEs Eine Komplettlösung für die Internet-Anbindung kleiner und mittlerer Unternehmen (SME) will Dicas neuer WAN-Guard sein. Das Gerät ermöglicht bis zu 150 loka- MESSAGING Persönlicher Webshop Die Münchner SoftwareSchmiede Hybris stellt die Version 2.0 ihrer Shop-Lösung Webpiazza vor. Online-Händler können nun über Kundenprofile festlegen, welche Seiten ein bestimmter Besucher zu se- Dicas WAN-Guard ermöglicht kleinen Unternehmen den InternetZugang und stellt HTTP-, FTP- und E-Mail-Dienste zur Verfügung len Benutzern den Internetzugang über ISDN, Modem, Standleitung oder xDSL, verfügt über eine integrierte Firewall und stellt intern und extern E-Mail-Dienste (SMTP, POP3, IMAP4) sowie einen Web- und FTPServer zur Verfügung. Über den ebenfalls integrierten DHCP-Server erhalten alle Benutzer ihre IP-Adresse, der eigene DNS-Server löst URLs in IP-Adressen auf. Zudem lässt sich die Appliance als lokaler File- und Print-Server nutzen. Zur Administration des knapp 4900 Mark teuren Geräts genügt ein beliebiger Webbrowser. (gh) hen bekommt. Zudem ermöglicht das neue Release die persönliche Begrüßung der Kunden mit einer personalisierten Startseite. Je nach Kundenkategorie kann der Händler unterschiedliche Preise festlegen. So erhalten beispielsweise Wiederverkäufer andere Konditionen als Endkunden. Alternativ lassen sich auch geschlossene Bereiche einrichten, zu denen nur Besucher mit Passwort Zugang erhalten. Wer gerne nach dem Herdentrieb einkauft, wird die neue Top-Seller-Liste zu schätzen wissen. Um auch international agieren zu können, unterstützt die Version 2.0 nun mehrere Sprachen. Das neue Release ist ab sofort verfügbar. (gh) Info: Dica Technologie Tel.: 030/20353-300 Web: www.dica.de E-Mail: info@dica.de Info: Hybris Tel.: 089/306697-0 Web: hybris.de/hybris.php3? Status=3&Sprache=Deutsch 40 L AN line 7/2000 Messaging-Server für SMS und Scall In der neuen Version 2.2 bietet der SMS-Server Amberstar von Open Planet jetzt zusätzlich Unterstützung für Scall. Damit lassen sich Textbausteine oder manuelle Nachrichten auch an Pager versenden. Server-seitig basiert Amberstar auf Java und lässt sich nach Angaben des Herstellers unter Windows, Linux, Solaris und anderen Betriebssystemen installieren. Weitgehende Plattformunabhängigkeit ist auch Client-seitig gegeben: Es wird lediglich ein Internet-Browser (zum Beispiel ab Netscape 3.0) benötigt. SMS- und ScallNachrichten lassen sich aber auch über eine Spool-Datei aus Anwendungen heraus versenden. Der Preis für die ServerLizenz von Amberstar beträgt 990 Mark, Client-Lizenzen kosten 185 Mark pro Arbeitsplatz. (pf) Info: Open Planet Solutions AG Tel.: 08104/802-0 Web: www.openplanet.de Messaging-Server auf Java-Basis Mit der neuen Version 2000.1 des Internet-Messaging-Servers Sonicmq verspricht Hersteller Progress Software höhere Performance (30 Prozent schnellere Übertragung von Punkt-zu-PunktMessages), umfangreichere Plattformunterstützung sowie einen höheren Grad an Sicherheit. Insbesondere will die neue Version den wachsenden Skalierbarkeitsanforderungen im Business-to-Business- und E-Commerce-Bereich gerecht werden. Das Produkt läuft auf JVMs ab Version 1.1.8 und ist für Windows NT, Sun Solaris und Linux zertifiziert. Sonicmq basiert auf den JMSSpezifikationen (Java Message Service) von Sun (J2EE). Die Small Business Edition des Produkts kostet 1000 Dollar, die Enterprise Edition 3000 Dollar; kostenlos steht die Developer Edition im Internet zum Download bereit. (pf) Info: Progress Software GmbH Tel.: 0221/935 79-0 Web: www.sonicmq.com Mail-Plattform für Windows 2000 Die Internet-Mail-Plattform Sendmail für NT unterstützt ab der neuen Version 3.0.2 auch Windows 2000. Das Produkt von Sendmail, Inc. ist nach Angaben des Herstellers für kleine Unternehmen sowie kleine bis mittelgroße ISPs konzipiert, die eine komplette Mail-Routing- und Mail-Hosting-Lösung benötigen, zugleich aber auf das Umfeld Windows-spezifischer Standard-Verwaltungs-Tools und -leistungen Wert legen. Sendmail für NT und Windows 2000 beinhaltet den Sendmail-MTA (Message Transfer Agent), einen Message Store sowie einen POP3Server. Das Produkt wird nach Angaben des deutschen Büros mit einem kommerziellen Service- und Support-Angebot sowie einer deutschen 24/7-Telefon-Hotline unterstützt. Die Lizenz für einen einzelnen Server einschließlich 50 User-Mailboxen kostet 1298 Mark. (pf) Info: Sendmail GmbH Tel.: 089/57 959-0 Web: www.sendmail.com, www.softline.de www.lanline.de netzPRODUKTE/SERVICES MANAGEMENT Policy-Management für E-Business Mit zahlreichen Verbesserungen sowie der Integration mit HP Openview wartet die neue Version 4.0 des PolicyManagementprogramms Solsoft NP auf. Sie soll das Design, die Verteilung und die Wartung von Zugangs-Policies im gesamten Netzwerk beschleunigen. Von zentraler Stelle aus sollen sich so über verschiedene Netzwerke hinweg die Sicherheits-Policies von Geräten wie Router, Firewalls oder Layer-3-Switches visuell erstellen, entwickeln, einsetzen und überprüfen lassen. Der Hersteller spricht von einer Zeitersparnis von bis zu 90 Prozent. Solsoft NP 4.0 läuft auf allen gängigen Betriebssystemen wie Windows 95, 98 und NT, Sun Solaris, AIX, HP-UX, Linux sowie Unix-Derivaten von Berkeley (BSD). Die Kosten für eine NP-Konfiguration mit zehn Schnittstellen liegen bei zirka 13.500 Mark. (pf) Info: Solsoft Europe Tel.: 0033/147/15 55 85 Web: www.solsoft.com Sicherheit unter Kontrolle F-Secure Plus for Tivoli Enterprise heiß ein neues Modul für die Workstation Suite von F-Secure. Es bietet nach Angaben des Herstellers die Möglichkeit, F-Secure-Produkte über die System- und Netzwerkmanagementumgebung von Tivoli zu konfigurieren, zu kontrollieren und zu beobachten. Der finnische 42 L AN line 7/2000 HOST-ANBINDUNG Hersteller kann hierzu auf die “Tivoli-Ready-Zertifizierung” verweisen, die er jetzt für folgende Produkte erhalten hat: F-Secure Anti-Virus, F-Secure Filecrypto, F-Secure VPN+, und F-Secure Distributed Firewall. Der Basispreis von F-Secure Plus for Tivoli Enterprise beträgt 5000 Dollar bei einem Minimum von 500 Anwendern, jede zusätzliche Anwenderlizenz kostet 6 Dollar. (pf) Info: F-Secure Corporation GmbH Tel.: 089/242 18-0 Web: www.f-secure.com Visio 2000 Enterprise auf Deutsch Die “Komplettlösung für automatisierte IT-Entwicklung und -Dokumentation” (Microsoft), Visio 2000 Enterprise, ist ab sofort auch in einer deutschen Version verfügbar. Das Produkt wird dabei zugleich mit dem Service Release 1 ausgeliefert, das die Software dem Erscheinungsbild der Office-Familie des Herstellers anpasst. Visio 2000 Enterprise bietet automatisierte Werkzeuge für den Entwurf, die Dokumentation und die Entwicklung von ITSystemen. Mit der Auto-Discovery-Technologie lassen sich in Verbindung mit 14.000 detailgetreuen Netzwerkgeräte-Shapes automatisch Diagramme für LANs und WANs erstellen. Der Preis von Visio 2000 Enterprise liegt bei 1983 Mark, das Update kostet 1293 Mark. (pf) Info: Microsoft GmbH Tel.: 089/31 76-0 Web: www.microsoft.com/germany/ office/visio WRQ Web-to-Host Reflection 4.0 WRQ hat die neue Version von Reflection for the Web und Reflection for the Web, Professional Edition vorgestellt. Im Release 4.0 bringt die Software IBM-, HP-, Unixund Open-VMS-Anwendern erweiterte Funktionalität in Verbindung mit der Geschwindigkeit und dem geringen Speicherbedarf eines Thin Clients. Zudem enthalten sind erweiterte Tools für die Umwandlung von IBM-Mainframe- und AS/400-Green-Screens mit einem Web-Interface. Das Java-basierende Reflection for the Web ist plattformunabhängig. Mit der 3812Printer-Emulation lassen sich an einer AS/400 verbesserte Druckaufträge formatieren und skalieren und sowohl auf lokalen Druckern als auch auf Netzwerkdruckern ausführen. Verbindungen zu Host Print Transform und Nicht-HPTGeräten werden unterstützt und vereinfachen das AS/400Printing. Zusätzliche Unterstützung für den Loggingund Kontroll-Modus beim Drucken steht den VT-Emulations-Anwendern zur Verfügung. Ebenfalls neu in der Version 4.0 ist der Support für den Datenbanktransfer in IBM-5250-Terminal-Sitzungen. Zusätzlich können bei Bedarf ASCII-Daten empfangen und gesendet werden. Der Makrorekorder automatisiert Routineaufgaben. Die Preise für die neue Reflection-Software liegen bei einer 20-UserLizenz bei 300 Mark pro Platz (wenn tatsächlich nur 20 Stationen zugreifen können), beziehungsweise 520 Mark pro Station (wenn gleichzeitig bis zu 20 User aus einer beliebigen Zahl von Anwendern zugreifen können). (sm) Info: WRQ Software Tel.: 02102/4965-0 Web: www.wrq.com Attachmate Webto-Host: E-Vantage Attachmate bringt mit EVantage Enterprise Access Objects eine Host-Connectivity-Lösung, die es erlaubt, Informationen aus Host-Systemen in Echtzeit in kundenspezifische Applikationen oder Standard-Front-Office-Anwendungen zu integrieren. Aktuelle Veränderungen auf Mainframe-, Midrange- oder AS/400-Systemen fließen damit unmittelbar in aktuelle EBusiness-Lösungen ein. EVantage Enterprise Objects besteht aus einer Reihe Client-basierter COM-Objekte und ActiveX-Controls, die eine direkte bidirektionale Verbindung mit Mainframe-, Midrange oder AS/400-Systemen realisieren. Für den Host-Zugriff werden die Objekte über COM-kompatible StandardEntwicklungssprachen aufgerufen. Die Objekte stellen dann die Verbindung her und greifen auf die jeweils angesprochenen Host-Bildschirme zu. Darüber hinaus erledigen die Objekte die Übertragung der Daten zwischen Front-Office-Anwendung und Host-Applikation. Eine Desktop-Lizenz von Attachmates-E-Vantage Enterprise Access Objects kostet 700 Mark. (sm) Info: Attachmate International Tel.: 089/99351-203 Web: www.attachmate.de www.lanline.de netzPRODUKTE/SERVICES MESSTECHNIK VERKABELUNG Mobilfunkzellen überprüfen Dritte Version des DSP-4000 Mit dem Handmessgerät Lite 3000 von GN Nettest kann der Anwender den Signalisierungs- und Übertragungsbereich einer Mobilfunkzelle überprüfen. Während der Messung wird ein Gespräch in einer Zelle aufgebaut, wobei die Pegelverhältnisse zwischen -50 und -80 dBm liegen sollten. Dies lässt sich über die Antenne des Test-Handys einstellen; dabei soll es auch möglich sein, direkt neben der Verstärkereinheit (BTS: Base Transceiver Station) zu testen. Den Signalling Time Slot stellt der Anwender auf dem D-Kanal der zu messenden BTS ein. Bei Wirknetzstationen zeigt das Gerät die Signalisierungen aller Gespräche an, die über diesen LAPD-Kanal laufen (LAPD: Link Access Procedure D-Kanal). Um auf das Testgespräch zu triggern, lassen sich verschiedene Filter einstellen. Mit dem Terminal Endpoint Indentifier hat der Anwender zum Beispiel die Möglichkeit, über den logischen Kanal der BTS die Adresse des Transceivers (TRX) zu erhalten, über den das Testgespräch läuft. Zusätzlich ist für das Lite 3000 ein GSM-Software-Paket erhältlich, so dass der Installateur oder Wartungstechniker auch die Transceiver-Mounted-Amplifier-Funktion und deren Verstärkung in einer Mobilfunkzelle überprüfen kann. Das Gerät kostet mit der GSM-Software rund 15.500 Mark. (db) Der Kabeltester DSP-4000 von Fluke bietet mit der Software-Version 3.0 Diagnosemöglichkeiten wie Utilizing High Definition Time Domain Crosstalk (HDTDX) und High Definition Time Domain Reflectometry (HDTDR). Mit diesen Funktionen soll das Gerät in besonders kurzer Zeit die Auslöser für Nebensprechen und Rückflussdämpfung lokalisieren können. Die Software wertet hierzu die gesamte Übertragungsstrecke aus, so dass sowohl das Nebensprechen am nahen als auch am entfernten Ende erfasst wird. Die Ergebnisse der HDTDR-Messung soll das Gerät interpretieren und benutzerfreundlich aufbereiten. Auch Probleme mit Anschlüssen, Kabeln oder Adaptern findet das Gerät und zeigt sie grafisch an. Der DSP- Info: GN Nettest Tel.: 089/998901-0 Web: www.gnnettest.com 44 L AN line 7/2000 400 arbeitet bis 350 MHz und unterstützt alle Messfunktionen, die die Normungsgremien gerade für Verkabelungen höher Klasse D/Kategorie 5 entwickeln. Wer bereits einen DSP-4000 besitzt, kann sich die neue Software kostenfrei von der Fluke-Website herunterladen. (db) Info: Fluke Tel.: 0561/9594-0 Web: www.fluke.de Konvertermodule unterstützen WDM Für seine Fiber-Driver-Medienkonverter entwickelte Nbase-Xyplex Konvertermodule, die Gigabit Ethernet über lange Distanzen übertragen können. Das sogenannte Coarse-Wave-Division-Multiplexing verteilt die Übertragung auf vier Wellenlängen- Das Fiber-Driver-Chassis mit vier neuen Konvertermodule Quelle: Nbase-Xyplex kanäle. Zudem soll die integrierte Lasertechnik TX- und RX-Signale kombiniert über eine Faser übertragen können. Insgesamt umfasst die FiberDriver-Familie mehr als 150 verschiedene Module, die nahezu jedes Kommunikationsprotokoll abdecken und sowohl Konvertierungen von Kupfer auf Glasfaser als auch von Mulitmode- auf Singlemode-Fasern ermöglichen sollen. Das Basis-Chassis gibt es mit einem, zwei, vier oder 16 Slots. Die Preise bewegen sich zwischen 300 und 30.000 Mark. (db) Info: Nbase-Xyplex Tel.: 06074/4994-0 Web: www.nbase-xyplex.de 15 Minuten Funktion im Brandfall Die Lichtwellenleiterkabel der Reihe Optoversal von Dätwyler sollen im Brandfall bis zu einer Viertelstunde lang eine Datenübertragung garantieren können. Das ergaben laut Hersteller Tests der Bundesanstalt für Materialprüfung in Braunschweig (iBMB). Der Längs- und Querwasserschutz dieser Kabel besteht aus Quellvlies und -garnen. Die Kabel eignen sich sowohl für die Primärverkabelung als auch für den Einsatz in Gebäuden, hier vor allem für Rechenzentren und andere sensible Bereiche. Die Kabel können mit verschieden Fasertypen ausgestattet werden und sind in den Aufbauten 1x4, 1x8, 1x12 und nx12 bis zu 144 Fasern lieferbar. (db) Info: Dätwyler Kabel + Systeme Tel.: 08165/950125 Web.: www.daetwyler.de www.lanline.de netzTECHNIK LOAD-BALANCING-ARCHITEKTUREN Antriebssysteme für Web-Switches Stark frequentierte Web-Sites laufen schon lange nicht mehr auf einem einzelnen Server. Bei großen Web-Hostern sorgen Web-Switches für die gleichmäßige Verteilung der Anfragen aus dem Internet auf einzelne Maschinen einer Server-Farm. Die am Markt verfügbaren Load-Balancer unterscheiden sich dabei nicht nur in ihrem Funktionsumfang. Auch die eingesetzte Architektur hat Einfluss auf Skalierbarkeit und Performance. mmer mehr Internet-Nutzer fordern neue und komplexe Anwendungen: Aktuelle Börseninformationen per WebTV, Electronic-Shopping und elektronischer Handel im Business-to-Business- I Bei populären Websites verarbeiten inzwischen eine Vielzahl von Servern, oft in Server-Farmen zusammengeschlossen, die Anfragen der Benutzer. Für deren Verteilung kommen Load-Balan- Web-Switches mit einer zentralen Architektur eignen sich für Websites, die wenig Datenverkehr verarbeiten und nur ein einfaches Traffic-Management gewährleisten müssen Bereich verlangen nach Klassifizierung des Verkehrs, mehr Bandbreite und effizienter Auslastung der Netzwerkressourcen. Hinzu kommt, dass auch die eigentliche Infrastruktur im Web umfangreicher wird. So bedienen nur noch bei kleinen bis mittelgroßen Web-Präsenzen einzelne Server die Anfragen aus dem Web. 48 L AN line 7/2000 cing-Systeme – so genannte Web-Switches – zum Einsatz. ANFORDERUNGEN Die Geräte müssen heute jedoch nicht nur Request auf wenig ausgelastete Server verteilen, sondern zunehmend zwischen Verkehrsklassen, Anwendungen und Inhalten un- terscheiden. Web-Switches sollen also Session-basierendes Traffic-Management beherrschen, wobei die Definition von “Session” je nach Applikation variiert. Hierfür analysiert das Gerät Informationen in den IP-Paketen, die den Protokollschichten 4 bis 7 des OSI-Models zugeordnet sind. Die Klassifizierung von Web-Sessions ist dabei weitaus komplexer als das reine Untersuchen von Datenpaketen nach Layer-4Port-Nummern innerhalb der Protokolle TCP oder UDP. HTTP 1.1 ermöglicht beispielsweise die Abwicklung von Transaktionen über eine einzige TCPVerbindung. Zudem halten viele Websites spezifische Daten auf speziellen Servern vor. So liegen zum Beispiel Grafiken auf einem Server, der für schnellen Durchsatz optimiert ist, während CGISkripte auf einer rechenstarken Maschine untergebracht sind. Um die Benutzeranforderungen dann an den Server weiterzuleiten, der einerseits am besten verfügbar ist und auch wirklich die angeforderte Information vorhält, muss der Web-Switch die URL in jedem HTTPRequest prüfen. Ohne intelligentes Web-Switching müsste in diesem Fall jeder Server den gesamten Inhalt der ganzen Website spiegeln. Das entspricht mit Sicherheit nicht einer optimalen Nutzung vorhandener Ressourcen. Hinzu kommen weitere Anforderungen wie die Unterstützung von “persistent connections”. Ein klassisches Beispiel hierfür sind E-Commerce-Anwendungen. Würde hier die Verbindung während des Einkaufs nicht über ein und denselben Server abgewickelt, dann wäre beispielsweise beim Wechsel auf einen anderen Server plötzlich der Warenkorb des Benutzers leer. Denn die vom Benutzer ausgewählten Artikel werden in der Regel nicht mittels Cookies auf dem lokalen PC, sondern auf dem WebServer des Anbieters gespeichert. Am Anfang des Internet-Zeitalters war es noch relativ leicht, eine Persistenz zu gewährleisten. Denn eine Quell-IPAdresse konnte immer genau einem bestimmten Client zugeordnet werden. www.lanline.de netzTECHNIK Der Einsatz von Proxies und Application-Level-Firewalls macht die Situation heute komplexer. Web-Switches benötigen deshalb genauere Angaben, um eine direkte Relation oder Verbindung zwischen einem Client und dem dazugehörigen Server herzustellen. Hierfür analysieren die Geräte Informationen, die im Inhalt der Session eingebettet sind. Das sind zum Beispiel Identifier für Secure-Socket-Layer (SSL), Cookies oder URLs. Eine weitere Anforderung an WebSwitches ist die Gewährleistung von QoS (Quality of Service) auf der Content-Seite. Denn die Geräte bilden eine Art Sammelpunkt für eine Vielzahl von Servern, die alle mit dem Internet verbunden sind und unterschiedliche Applikationen hosten. QoS-Funktionalität ist daher für Internet-Service-Provider (ISPs) besonders wichtig: Denn Geschäftskunden benötigen eine garantierte Bandbreite für ihre Transaktionen und wollen diese nicht mit Privatkunden teilen, die gerade eine große Videodatei laden. Für effizientes Bandbreitenmanagement muss das Gerät also entweder auf einer leistungsfähigen Hardware basieren, die mehrere 100.000 Datenströme mit unterschiedlichen Switching-Regeln verarbeiten kann. Oder der Switch verfügt über parallele Prozessoren, die Bandbreitenmanagement für mehrere 100 Server unterstützen und so den Verkehr schnell abarbeiten. Da der Web-Switch in der Regel als Server-Front-End im Netzwerk eingesetzt wird, sollte das Produkt auch Sicherheitsfunktionen bieten, um die dahinter liegenden Systeme vor unerlaubten Zugriffen und Attacken zu schützen. Natürlich übernehmen in der Regel WAN-Router und Firewalls diese Aufgaben. Allerdings ist die Leistungsfähigkeit dieser Geräte bei umfassenden Filterfunktionen und gleichzeitig hohem Datenvolumen begrenzt. Web-Switches können also beim Filtern des Verkehrs Router und Firewalls entlasten. Die Funktionalitäten hierfür sind DesignBestandteil der “Control-Plane” im Switch, die im Vergleich zu her- www.lanline.de kömmlichen Layer-2/3-Switches komplexer ausgelegt ist. Denn diese Aufgaben erfordern nicht nur mehr CPU-Leistung als bei üblichem Layer-2/3-Switching, sie werden auch häufiger durchgeführt. Kommt zum Beispiel ein neuer Frame am Port des Switches an, entscheidet zunächst die “Forwarding-Plane”, ob dieser Frame Bestandteil einer bestehenden oder einer neuen Session ist. Die Informationen dafür liegen in einer Tabelle mit sämtlichen Statusinforma- Web-Switches auf leistungsfähigen Prozessoren basieren. ARCHITEKTUREN Bisher gibt es drei verschiedene Designansätze für diese Geräte. Bei einem zentralisierten System erfolgen Forwarding und Control über eine zentrale CPU. Diese Architektur ist klassisch für herkömmliche Layer-2/3Switches, denen später zusätzliche Session-Processing-Funktionalitäten hinzugefügt wurden. Die Datenpakete der Forwarding-Plane können zwar auf die ein- Eine verteilte Architektur eignet sich für Websites, bei denen eine hohe Geschwindigkeit und kurze Latenzzeiten gefordert sind tionen aller aktiven Verbindungen und geben Auskunft darüber, wie mit dem Frame zu verfahren ist. Sind keine Informationen für diese spezielle Connection vorhanden, geht der Frame weiter an die Control-Plane. Dort wird eine Forwarding-Entscheidung getroffen, und der Frame geht zurück über die Forwarding-Plane an seinen Zielort. Kommt ein Datenstrom am Port an, der bereits analysiert wurde, schickt die Forwarding-Plane die Pakete direkt an die Zieladresse. Die Control-Plane wird dabei nicht konsultiert. Die Aufgaben, die auf Ebene der Control-Plane durchgeführt werden, sind sehr komplex. Deshalb sollte die Architektur eines zelnen Ports verteilt werden. Pakete, die Session-Processing benötigen, müssen jedoch zunächst durch die zentrale CPU laufen, da dort NAT (Network Address Translation) und TCP-Connection-Splicing stattfindet. Erst danach werden die Daten zur Forwarding-Plane weitergeleitet. Diese Lösung eignet sich besonders für Topologien wie WAN-Links, bei denen der Verkehr hauptsächlich über einen einzigen Port hereinkommt. Prozessorleistung und Speicher stehen dann einem Port zur Verfügung. Bei hohem Datenaufkommen – oder wenn die Pakete auf mehreren Ports eintreffen – ist dieses Modell nicht flexibel genug. Denn das komplette Session-Processing L AN line 7/2000 49 netzTECHNIK und auch einfaches Forwarding muss dann durch die zentrale CPU gehen. Eine zentrale Architektur ist also eher für Websites gedacht, die wenig Datenverkehr verarbeiten und ein einfaches Traffic-Management gewährleisten müssen. Eine verteilte Pro-Port-ProcessingArchitektur ist quasi das Extrem zum zentralisierten Ansatz. Bei diesem Design steht jedem Port eine eigene Control- und Forwarding-Plane zur Verfü- hohes Datenaufkommen zu verarbeiten. Darüber hinaus kann jeder Port nur auf seinen lokalen Speicher zugreifen. Das heißt, dass ungenutzte Ressourcen nicht geteilt werden und Entscheidungen über die Verfahrensweise von Paketen nur lokal getroffen werden können. Eine weitere Variante ist das zweistufige Hybrid-Design. Diese Architektur ist eine Kombination aus zentraler und verteilter Architektur. Das gesamte Forwarding-Ports ab, die die zentrale CPU gleichzeitig unterstützen muss sowie von der Leistung der Control-Pro- Glossar CONTROL-PLANE: Steuerungsebene eines Web-Switches, in der die eigentlichen Switching-Entscheidungen getroffen werden CONTENT-PARSING: Die Auswertung des Inhalts einer Webanfrage FORWARDING-PLANE: Die Ebene eines Web-Switches, die sich mit dem Weiterleiten der Datenpakete befasst PERSISTENT CONNECTIONS: Aufeinanderfolgende TCP-Sessions eines Clients werden gleich behandelt, also auf den gleichen Server weitergeleitet SESSION-SPLICING: Hybridarchitekturen vereinen den zentralisierten und verteilten Ansatz in einem Modell gung. Die Ports können allerdings untereinander keine Ressourcen austauschen oder gemeinsam nutzen. Datenverkehr wird schnell verarbeitet, da alle Funktionen direkt am Eingangs-Port erledigt werden. Das System bietet ein hohes Maß an Performance, denn der Abstand zwischen Forwarding- und Control-Plane ist quasi gleich Null. Damit ist diese Architektur besonders sinnvoll, wenn hohe Geschwindigkeit und kurze Latenzzeiten gefordert sind. Auch in Umgebungen, bei denen ein hoher Datenverkehr über mehrere Ports eintrifft, bietet sich die verteilte ProPort-Architektur an. Es gibt allerdings auch einige Einschränkungen: So sind die Kosten pro Port relativ hoch, da jeder Port separat mit ausreichend Speicher ausgestattet wird, um auch ein 50 L AN line 7/2000 Control-Plane-Processing findet hier in einer zentralen CPU statt. Für Forwarding-Funktionen hat jeder Port eine eigene Plane. Damit stehen die Informationen der Control-Plane allgemein allen Ports zur Verfügung. Zudem wickeln diese Web-Switches alle Forwarding-Funktionen ab, ohne auf die zentrale CPU zuzugreifen. Einige Ausführungen dieses Designs unterscheiden zusätzlich zwischen Layer-4- und Layer-7-Forwarding. Die Plane ist dabei aufgeteilt: Layer-4-Session-Forwarding wie einfaches NAT oder TCPPort-Translation erfolgt direkt an den einzelnen Ports. TCP-Connection-Splicing und andere Layer-7-ForwardingFeatures verarbeitet die zentralen CPU. Die Effizienz von Hybridarchitekturen hängt maßgeblich von der Anzahl der Bevor ein Client eine Web-Anfrage stellen kann, baut er eine TCP-Verbindung zum Server auf. Da der Web-Switch noch nicht den Inhalt der Anfrage kennt und somit noch nicht weiß, an welchen Server er die Anfrage weiterleiten kann, muss er diese terminieren und speichern, bis die eigentliche Anfrage (HTTP-GETRequest) vom Client gesendet wird. Der Switch öffnet daraufhin eine TCP-Verbindung zum entsprechenden Server und verschmilzt dann beide Verbindungen (Client-Switch und Switch-Server). Der Client merkt hierbei nicht, dass sich ein Web-Switch zwischen ihm und dem Server befindet. STATEFUL CONNECTION: Jede TCP-Verbindung ist stateful. Das heißt, sie hat zu jedem Zeitpunkt einen definierten Status (Aufbau – Offen – Abbau) cessing-Engine. Dieses Modell verursacht zudem ein höheres Kommunikationsaufkommen im Switch selbst, was zu einer erhöhten Belastung der Gesamtstruktur des Geräts führen kann. Alternativ ist ein so genannter Out-ofBand-Link zwischen Forwarding- und Control-Plane erforderlich. Um festzustellen, ob diese Architektur geeignet ist, www.lanline.de netzTECHNIK sollte der Administrator hier die “Distanz” zwischen Forwarding- und Control-Plane beachten. Meist lässt sich sie sich ermitteln, indem der “Abstand” zwischen den beiden Planes und die Geschwindigkeit des Übertragungsmediums für die Kommunikation untereinander in Relation gesetzt werden. Darüber hinaus ist es sinnvoll, die Leistung des verkehr. Aber nicht jeder Prozessor ist dem gesamten Traffic ausgesetzt. Erreicht ein Datenpaket einen Port, so wendet der Eingangs-Port einen Algorithmus auf die Quell-IP-Adresse an, der dann einen einzelnen Prozessor pro Port als dedizierten Prozessor für diese Anfrage auswählt. Alle Pakete einer bestimmten Quell-IP-Adresse werden da- Die Virtual-Matrix-Architektur verteilt Anfragen, die an einem beliebigen Port eingehen, auf weniger belastete Prozessoren anderer Ports Prozessors, das geschätzte Verkehrsaufkommen sowie die Komplexität der Processing-Funktionen zu prüfen. Eine weitere Switching-Architektur – wie die “Virtual Matrix Architecture” von Alteon Websystems – ermöglicht jedem Port den gemeinsamen Zugriff auf alle Ressourcen des Web-Switches. Dieser Ansatz vereint die Flexibilität einer zentralen Speicherarchitektur mit der Geschwindigkeit einer verteilten Prozessorarchitektur. Bisher basierten beispielsweise die Geräte von Alteon auf einer verteilten Prozessorarchitektur mit einem Netzwerk-ASIC pro Port, der von zwei RISC-Prozessoren unterstützt wird. Da Forwarding- und Control-Plane in einem einzigen ASIC eingebunden sind, ist der “Abstand” der beiden quasi Null. Das macht diese Architektur bereits sehr schnell. Durch eine Erweiterung der Firmware steht jetzt die Leistung aller Prozessoren und des gesamten Speichers dynamisch allen Ports zur Verfügung. Die Prozessoren teilen sich zwar weiterhin den Daten- 52 L AN line 7/2000 bei immer nur von demselben Prozessor bearbeitet. Der ausgewählte Prozessor überprüft anschließend seine lokale Session-Tabelle und trifft eine Forwarding-Entscheidung wie beispielsweise Content-Parsing, Auswahl eines Servers, Metering der Bandbreitenauslastung, NAT oder TCP-Connection-Splicing. Die benötigte Latenzzeit, um dieses Vorgehen durchzuführen, liegt zwischen 50 und 60 Mikrosekunden pro Datenpaket von 64 Byte. Der ausgehende Datenverkehr nutzt die gleiche Routine. So sieht der dedizierte Prozessor praktisch den Verkehr in beide Richtungen und kann Informationen, über den Status der Anfragen im lokalen Speicher halten. Damit sind diese Daten bei einem erneuten Request schneller zugänglich. Bestimmte Informationen beispielsweise für Packet-Filtering, Content-Parsing-Rules oder andere allgemeine Daten für den Entscheidungsprozess müssen jedem Prozessor zur Verfügung stehen. Deshalb hält jeder Port die Zugangskontrollliste für alle Eingangs-Ports im lokalen Speicher. Das erlaubt ein unterschiedliches Traffic-Filtering pro Port. Der ausgewählte dedizierte Port bearbeitet Session-Processing und Layer-3-Switching, während alle Switching-Funktionalitäten im Layer 2 direkt am Eingangs-Port abgewickelt werden. Die Architektur verarbeitet auch persistente Verbindungen mit unterschiedlichen Quell-IP-Adressen wie zum Beispiel von Anfragen, die über Proxies oder Firewalls kommen. Dazu speichert ein Prozessor – meist der am Uplink-Port – eine globale Statustabelle für alle persistenten Sessions. Die vorgestellten Architekturen unterscheiden sich wesentlich, und jede eignet sich für unterschiedliche Anforderungen. Vor dem Kauf sollten Administratoren daher den konkreten Bedarf für ihr Unternehmen genau prüfen, die in Betracht kommenden Geräte und die zugrundeliegende Technik verstehen und die verschiedenen Angebote sorgfältig vergleichen. (Roland Hamann/gh) Roland Hamann ist Sales-Manager für Alteon Websystems in Deutschland. So erreichen Sie die Redaktion: Doris Behrendt 089/45616-226 db@lanline.awi.de Dr. Götz Güttich 089/45616-111 gg@lanline.awi.de Georg von der Howen 089/45616-255 gh@lanline.awi.de Rainer Huttenloher 089/45616-132 rhh@lanline.awi.de Stefan Mutschler 089/45616-103 sm@lanline.awi.de Kurt Pfeiler 089/45616-295 pf@lanline.awi.de Marco Wagner 089/45616-105 mw@lanline.awi.de Fax: 089/45616-200 www.lanline.de netzTECHNIK PUBLIC-KEY-INFRASTRUKTUREN PKI-Anwendungen integrieren Eine PKI-Umgebung besteht grundsätzlich aus folgenden drei Komponenten: einer Instanz, die die Zertifikate ausstellt (CA, Certification Authority), einem Distributionssystem, mit dem der öffentliche Zugriff auf die ausgestellten Zertifikate gewährleistet wird. Wichtigster Bestandteil des Distributionssystems ist ein Verzeichnis (LDAP oder X.500), in dem die CA die ausgestellten Zertifikate hinterlegt. Die dritte Komponente sind PKI-fähige Applikationen, in denen die Zertifikate benutzt werden können. ie derzeit wohl wichtigsten Anwendungen im PKI-Bereich sind die Verschlüsselung und Signatur von EMails, die Authentifizierung und Verschlüsselung im VPN-Bereich sowie die Authentifizierung und Verschlüsselung für Web-Anwendungen. In allen drei genannten Bereichen ist auch die Integration von Smart-Cards möglich. Hierbei wird der private Schlüssel in einem geschützten Speicherbereich auf der SmartCard abgelegt, der nicht von außen her ausgelesen kann. Es ist lediglich möglich, dem Krypto-Chip auf der Karte Daten zu schicken, der diese dann mit dem privaten Schlüssel signiert beziehungsweise entschlüsselt. Die Karte selbst ist durch eine PIN gesichert, die vor der Benutzung eingegeben werden muss. An dieser Stelle verfügen die Smart-Cards über einen ähnlichen Sicherheitsmechanismus wie beispielsweise die Karten für Mobiltelefone, durch den die Karte sich nach drei falschen PIN-Eingaben selbst sperrt. Danach kann sie nur noch durch einen deutlich längeren Unlock-Code (im Mobilfunkbereich auch Super-PIN genannt) wieder entsperrt werden. Dieser Schutzmechanismus bringt einen deutlichen Vorteil gegenüber dem Ablegen des privaten Schlüssels in einer D 54 L AN line 7/2000 passwortgeschützten Datei, da diese durch einen Brute-Force-Angriff auf das Passwort geknackt werden kann. Die Integration der Smart-Cards in die Anwendungen erfolgt mit einer standardisierten Schnittstelle – PKCS11. PKCS steht für Public-Key-Cryptography-Standard und ist eine Serie von Standards, die von der Firma RSA entwickelt und gewartet werden. Der PKCS-Standard Nummer 11 definiert eine API, mit der eine Anwendung die kryptografischen Funktionen einer Smart-Card nutzen kann. Für diese API liefern die SmartCard-Hersteller eine Implementierung in Form einer Bibliothek mit, die dann in die Anwendung, etwa dem Netscape Navigator, eingebunden werden kann. Das Interessante hierbei ist, dass dasselbe Schlüsselpaar und Zertifikat auf der Smart-Card in verschiedenen Anwendungen benutzt werden kann, beispielsweise im Mail-Client zur Signatur von E-Mails und im Web-Browser zur Authentifizierung. Über die reine Kryptofunktionalität hinaus bieten einige Kartenprodukte auch noch weitere Features, zum Beispiel das Speichern von Benutzer-/PasswortKombinationen im geschützten Speicherbereich oder auch die Generierung von Einmal-Passwörtern zur Authentifizierung. PKI-ANWENDUNGEN FÜR SICHERE E-MAIL In diesem Bereich erfüllen siche- re Mail-Clients insbesondere zwei Aufgaben: Die Verschlüsselung und die Signatur von Nachrichten. Diese Funktionalität ist ansatzweise bereits in gängigen MailClients wie Microsoft Outlook oder Netscape vorhanden. Leistungsfähiger sind aber spezielle Plug-ins, die die Verschlüs- Bild 1. Verwendung von Zertifikaten www.lanline.de netzTECHNIK selung und Signatur übernehmen. Solche Plug-ins sind etwa für Outlook oder auch Lotus Notes verfügbar und meistens auch in der Lage, über PKCS11 auf eine SmartCard zuzugreifen, um Daten signieren oder verschlüsseln zu lassen. Weitere Aufgaben eines solchen Plugins sind die Validierung der Zertifikate der Absender. Hierzu können Produkte – als Gateway-zu-Gateway-Verschlüsselung zwischen einem Router und einer Firewall, – zwischen einem VPN-Client und einer Firewall. Die Beantragung und der Import von Zertifikaten erfolgt entweder über Online-Protokolle oder dateigestützt. Für das Zertifikats-Handling seiner Router Bild 2. IPSec im VPN-Umfeld wie Mailsecure von Baltimore auch auf einen LDAP-Server zugreifen, um die Zertifikate abzurufen. PKI-ANWENDUNGEN IM VPN-BEREICH IPSec ist momentan das Protokoll zur sicheren Datenübertragung auf IP-Basis. Als Bindeglied zwischen den Themen PKI und VPN, da die Verschlüsselung mit IPSEC unter anderem auch mit PublicKey-Verfahren und Zertifikaten erfolgen kann. Eine Firewall oder eine Software auf einem VPN-Client, die IPSEC mit Public-Key-Verfahren einsetzt, ist somit auch eine PKI-fähige Anwendung. Bild 2 zeigt Beispiele, wie IPSec unter Verwendung von Zertifikaten zwischen verschiedenen Endpunkten im VPN-Bereich eingesetzt werden kann: – als Gateway-zu-Gateway-Verschlüsselung zwischen zwei Firewalls, www.lanline.de hat Cisco ein proprietäres Protokoll namens CEP (Cisco-Enrollment-Protokoll) entwickelt. CEP gestattet es einem Router, über ein entsprechendes Gateway bei der CA ein Zertifikat für das Schlüsselpaar des Routers online zu beantragen und abzuholen. Client-seitig ist es auch im VPN-Bereich möglich, mit Smart-Cards zu arbeiten. So bietet Checkpoint Securemote die Möglichkeit, das für die IPSec-Verbindung benötigte Zertifikat von einer Smart-Card auszulesen. Über die Verschlüsselung und Authentifizierung hinaus können Benutzerzertifikate in der Firewall auch für die Autorisierung verwendet werden. Die Grundlage hierfür ist der Distinguished Name im Zertifikat, der die Identität des Benutzers repräsentiert. Es ist möglich, Benutzergruppen mit solchen Distinguished Na- mes anzulegen, die dann in Firewall-Regeln angegeben werden können. Die Speicherung dieser Gruppen erfolgt in einem LDAP-Server, in dem auch die Zertifikate als Attribute der Benutzerobjekte abgelegt sind. ANWENDUNGEN IM WEB-BEREICH Auch im Web-Bereich wird mit dem SSL/TLS-Protokoll eine Verschlüsselungstechnik benutzt, die auf Public-KeyVerfahren und Zertifikaten beruht. Die Verschlüsselung erfolgt hier zwischen Browser und Web-Server, wobei heute in den meisten Fällen nur der Web-Server ein Zertifikat besitzt, mit dem er sich gegenüber dem Benutzer authentifiziert. Darüber hinaus bietet SSL aber auch die Möglichkeit der Client-Authentifizierung, das heißt, dass auch der Client dem Server ein Zertifikat vorlegen muss. Das Benutzerzertifikat wird meist in einer Passwort-geschützten Datei auf der Festplatte gespeichert. Beim Netscape Navigator besteht auch die Möglichkeit, es auf einer Smart-Card abzulegen. Hierzu kann man im Browser ein PKCS11Modul des Kartenherstellers registrieren. Besucht man eine Website, die eine Client-Authentifzierung verlangt, öffnet der Browser ein Fenster und fordert den Benutzer zur Auswahl eines Zertifikats auf (prinzipiell kann ein Benutzer mehrere Schlüsselpaare mit den zugehörigen Zertifikaten, zum Beispiel von verschiedenen CAs, haben). Das selektierte Zertifikat wird anschließend zum Web-Server geschickt, der dann entscheidet, ob er das Zertifikat akzeptiert. Zusätzlich kann der Web-Server das Zertifikat gegen eine ACL (Access Control List) prüfen, um festzustellen, ob der Benutzer auf die angeforderte Seite zugreifen darf. In den Einträgen der ACL können hier wiederum Benutzer und Gruppen aus einem LDAP-Server angegeben werden. Wie auch im VPN-Bereich hat das Client-Zertifikat hier zwei Funktionen: – Authentifizierung (gegenüber dem Web-Server), – Autorisierung (für den Zugriff auf die angeforderten Seiten). L AN line 7/2000 55 netzTECHNIK Derselbe LDAP-Server lässt sich hier auch von einer Firewall zum Benutzerund Gruppenmanagement verwenden. Gerade in diesem Beispiel zeigen sich die großen Vorteile eines LDAP-Directorys: die zentrale Pflege und mehrfache Verwendbarkeit von Benutzereinträgen. In es auch möglich sein, im Handy ein Schlüsselpaar samt Zertifikat für den Benutzer zu speichern, damit sich dieser auch gegenüber dem Server authentifizieren kann. Eine weitere interessante Entwicklung sind die so genannten Attributzertifikate. Bild 3. Vorteile eines LDAP-Directorys: zentrale Pflege und mehrfache Verwendbarkeit von Benutzereinträgen diesem Fall wird der LDAP-Server von drei Seiten genutzt: – Die CA publiziert die Zertifikate. – Die Firewall und der Web-Server nutzen den LDAP-Server für Benutzerund Gruppenmanagement und die Autorisierung für Zugriffe. ZUKÜNFTIGE PKI-EINSATZGEBIETE Gegenwärtig sind zwei weitere Anwendungsfelder für PKI-Technologie mit einem enormen Potential in der Entwicklung: WAP und Attributzertifikate. Im Rahmen von WAP kann ein zu SSL völlig analoger Verschlüsselungs- und Authentifizierungsmechanismus namens WTLS (Wireless Transport Layer Security) eingesetzt werden. Heute verfügbare Mobiltelefone wie etwa das Nokia 7110 sind bereits in der Lage, ein CAZertifikat zur Authentifizierung des WAP-Servers zu speichern. Künftig wird 56 L AN line 7/2000 Attributzertifikate dienen dazu, Rollen und Berechtigungen für Benutzer zu definieren. Prinzipiell lässt sich diese Funktion auch mit den bisher bekannten X.509-Zertifikaten erfüllen, was aber unter anderem aus folgenden Gründen problematisch ist: Die Funktionen der CA und die Vergabe der Berechtigungen werden vermischt, was aus organisatorischen Gründen oft unerwünscht ist. X.509-Zertifikate sind üblicherweise recht langlebig (Monate bis Jahre). Oft ist es aber wünschenswert, eine Berechtigung nur für einen kurzen Zeitraum zu erteilen (etwa, um einem Servicetechniker vorübergehend Zugriff auf das interne Netz zu gewähren). Der Ansatz der Attributzertifikate besteht darin, dass neben dem X.509-Zertifikat (in diesem Zusammenhang auch Identitätszertifikat genannt) weitere Zertifikate ausgestellt werden, die nur die Identität, also den Distinguished Name sowie eine oder mehrere Berechtigungen beziehungsweise Rollen enthalten. Das Identitätszertifikat dient hier nur als Echtheitsbeweis für die Identität, das heißt, dass derjenige, der das Zertifikat vorlegt, auch derjenige ist, der im Distinguished Name steht. Anhand des Distinguished Name wird dann die Verknüpfung zu den Attributzertifikaten hergestellt, die die eigentlichen Berechtigungen enthalten. Durch diese Entkopplung von Identitäts- und Berechtigungsnachweis kann man sich der oben angeführten Probleme entledigen. Beim Zugriff auf eine mit Attributzertifikaten geschützte Ressource präsentiert der Benutzer zunächst sein X.509Zertifikat. Nachdem die Authentifizierung erfolgt ist, wird Server-seitig der Distinguished Name aus dem X.509-Zertifikat ausgelesen und in einem LDAPServer nachgeschaut, ob für diesen Namen ein Attributzertifikat existiert, das den Zugriff auf die angeforderte Ressource erlaubt. Eine Ressource könnte hier eine Web-Seite oder ein Rechner sein, prinzipiell ist aber auch ein physikalischer Zugangschutz mit Smart-Cards denkbar, zum Beispiel ein an Attributzertifikate gekoppelter Türöffner. Auch wenn letzteres Beispiel heute noch Zukunftsmusik ist, zeigt es doch das enorme Potenzial, das in dieser Entwicklung steckt: Public-Key-Infrastrukturen werden künftig nicht nur zur Verschlüsselung von Daten dienen, sondern integraler Bestandteil für die gesamte Sicherheitsinfrastruktur eines Unternehmens werden. (Stefan Middendorf/mw) Stefan Middendorf ist Diplominformatiker und bei Integralis Centaur schwerpunktmäßig mit dem Einsatz von Java für sicherheitskritische Applikationen befasst. Er studierte an der Universität Heidelberg (Medizinische Informatik) und an der ETH Zürich. Er ist außerdem Autor des Buchs “Java-Programmierhandbuch und Referenz”. www.lanline.de netzTOOLBOX STORAGE CENTRAL IM TEST Harddisk-Management für Windows 2000 Obwohl Windows NT Server schon seit Jahren auf dem Markt ist, gab es bis zur Version 4.0 keine Möglichkeit, den Plattenplatz für Benutzer einzuschränken. Mit Windows 2000 hat sich das zwar geändert, aber besonders umfangreich sind die entsprechenden Funktionen immer noch nicht. Wer Beschränkungen nicht nur für ganze Datenträger festlegen möchte, ist daher auch mit Windows 2000 auf ein Zusatzprogramm angewiesen, wie etwa Storage Central von Wquinn. indows 2000 kann lediglich den Platz begrenzen, den Anwender auf logischen Datenträgern verwenden dürfen und zwar ausschließlich auf NTFS-Partitionen, die für diese Funk- W für bestimmte Dateien festlegen. Und zwar sowohl benutzerunabhängig als auch für bestimmte Anwender und Gruppen. So lässt sich beispielsweise einstellen, dass das Verzeichnis Übersichtlich zeigt die Hauptansicht alle überwachten Objekte (oberes Teilfenster), ihren Zustand (unteres Teilfenster) und die Eigenschaften einer Überwachung (Vordergrund) an tion neu formatiert werden müssen. Viel weiter geht Storage Central. Die Software kann Beschränkungen nicht nur für ganze Datenträger, sondern auch für einzelne Verzeichnisse und sogar 58 L AN line 7/2000 F:\Temp maximal 100 MByte fassen und jeder Benutzer höchstens 10 MByte belegen darf. Gleichzeitig könnte der Administrator die für Benutzer nutzbare Kapazität des gesamten 9-GByte- Laufwerks F: auf 8 GByte beschränken, beispielsweise damit eine zusätzlich eingesetzte Defragmentierungs-Software effizient arbeitet. Wie wichtig die Begrenzung des Plattenplatzes ist, zeigt ein Fehler von Windows NT, den Microsoft in Windows 2000 leider nicht behoben hat: Stößt das Betriebssystem an die Grenze der Plattenkapazität – wenn es beispielsweise die Auslagerungsdatei vergrößern will – stürzt es ab. Das Problem lässt sich nur beheben, indem der Administrator der Auslagerungsdatei eine feste Größe zuweist. Dazu klickt er mit der rechten Maustaste auf das Symbol “Arbeitsplatz”, wählt aus dem Kontextmenü “Eigenschaften” und dann die Registerkarte “Leistungsmerkmale” aus, um anschließend auf “Ändern“ zu klicken. Nun kann er bei jeder Partition für die “Anfangsgröße“ und die “Maximale Größe“ denselben Wert festlegen. Die wichtigste Komponente von Storage Central ist Quota Advisor. Überschreitet ein Benutzer den Plattenplatz, den er verwenden darf, unterbricht diese Anwendung sofort den Kopier- oder Speichervorgang und sendet dem Anwender eine entsprechende Warnmeldung auf den Bildschirm (Benutzer von Windows 95/98 müssen Winpopup ausführen, um die Meldung empfangen zu können). Alternativ kann der Administrator festlegen, dass die Software einen begonnenen Kopiervorgang nicht unterbrechen soll, auch wenn der Benutzer dadurch mehr Platz auf dem Server verbraucht, als er eigentlich darf. Die eigentliche Grenze für die Ausnutzung gibt der Administrator wahlweise in Byte, KByte, MByte, prozentual der Kapazität oder prozentual der momentanen Auslastung an. Ebenso lässt sich eine Art “Dispositionskredit“ einrichten, womit gemeint ist, um wie viele Byte/KByte/MByte der Anwender sein Limit überschreiten darf. Eine weitere Option hebt die Grenze auf, sodass Quota Advisor Benutzer zwar warnt, wenn sie ihr Limit erreichen, aber nicht daran hindert, weitere Daten auf der Festplatte abzulegen. Besonders für Ad- www.lanline.de netzTOOLBOX ministratoren kann es sinnvoll sein, sie von der benutzerunabhängigen Grenze (“Absolute Quota“) auszuschließen; so könnten Administratoren beispielsweise 50 MByte auf F:\Daten ablegen, während der Systemverwalter als benutzerunabhängige Gesamtgrenze für dieses Verzeichnis 10 MByte definiert hat. Der Bequemlichkeit dienen Vorlagen und der Lernmodus. Bei den Vorlagen (einige sind bereits bei der Installation vordefiniert, weitere kann der Administrator selbst erstellen) handelt es sich um einen Satz sämtlicher Optionen für ein überwachtes Objekt, also eine Partition oder ein Verzeichnis. Diese Vorlagen lassen sich mit nur wenigen Mausklicks auf bestehende Überwachungsobjekte übertragen. Besonders pfiffig sind transparente Objekte, die keine bestehenden Optionen überschreiben. Der Lernmodus erstellt automatisch neue Überwachungsobjekte für neue Benutzer oder Verzeichnisse. Wenn der Lernmodus für Benutzer aktiv ist und ein Benutzer, für den kein Überwachungsobjekt besteht, Daten auf dem betreffenden Laufwerk ablegt, erstellt Quota Advisor automatisch eine entsprechende Überwachung, basierend auf einer Vorlage, die ein Administrator zuvor definiert hat. Entsprechend erstellt die Software im VerzeichnisLernmodus automatisch Überwachungen für neu angelegte Ordner. Ein großer Vorteil der Software ist die Echtzeitprüfung mit der so genannten Filtertechnologie. Statt nur regelmäßig den Füllzustand der Festplatten abzufragen, prüft die Software schon vor dem Schreiben von Daten, ob es den angeforderten Speicherplatz gewähren soll. Dadurch verhindert die Anwendung effizient, dass Benutzer mehr Plattenplatz verwenden als sie dürfen. Allerdings hat die Echtzeitprüfung auch einen Nachteil: Sie reduziert die Systemleistung beim Schreiben von Daten auf den Server. Nach Herstellerangaben schreibt ein Windows NT-Server mit Quota Advisor Daten etwa fünf Prozent langsamer als ohne die Software. www.lanline.de Neben der Einschränkung des Plattenplatzes kann die Software Warnungen versenden und Berichte erstellen, wenn bestimmte Belegungsgrenzen über- oder unterschritten werden. Dem Administrator stehen dafür maximal fünf Warnstufen zur Verfügung, die jeweils einen eigenen Satz zahlreicher Optionen kennen. Die wichtigste Einstellung jeder Warnstufe ist der prozentuale Anteil der erlaubten Kapazitätsausnutzung, also beispielsweise 90 Prozent von erlaubten 100 MByte. Je nach Bedarf löst Disk Advisor die Warnung auf, wenn die eingestellte Grenze “von unten“ oder “von oben“ erreicht wird. Beispielsweise informiert das Programm den Administrator bei entsprechender Konfiguration, wenn die Auslastung unter 90 Prozent sinkt. In der Praxis dürften Warnungen beim Erreichen einer Kapazitätsauslatung “von unten“ weit häufiger der Fall sein. Löst Quota Advisor eine Warnstufe aus, erzeugt die Software bei entsprechender Einstellung eine frei konfigurierbare Nachricht. Mit Hilfe von Makros lassen sich durch den Administrator zahlreiche Werte in die Nachricht aufnehmen, beispielsweise der Namen der Datei, die der Benutzer geschrieben hat und mit der er die Schwelle erreicht hat. Die Nachricht selbst kann Quota Advisor an den verursachenden Benutzer senden, in das Ereignisprotokoll eines beliebigen Computers eintragen (mit einstellbaren Schweregrad), per SNMP-Trap senden und per Mail verschicken (an einen Microsoft-Exchange- oder einen SMTP-Server). Die Software ist darüber hinaus in der Lage, zusätzlich ein frei definierbares Programm auszuführen. Im einfachsten Fall trägt der Administrator Net send Administratorname in das entsprechende Feld ein, damit die Software ihm eine detaillierte Nachricht sendet. Will der Systemverwalter, dass Quota Advisor mehrere Programme aufruft, kann er eine Stapelverarbeitungsdatei angeben. Einfache Berichte ergänzen die Optionen für eine Warnschwelle. So schreibt Quota Advisor auf Wunsch Angaben über veraltete Da- L AN line 7/2000 59 netzTOOLBOX teien (seit mindestens einem Jahr nicht verändert), die Auslastung eines Verzeichnisses, Dateiduplikate, Dateien ab 2 MByte Größe, in den vergangenen 30 Tagen gelesene Dateien, innerhalb des vergangenen Tages erstellte Dateien, eine Zusammenfassung oder über die nach Anwender aufgelistete Verwendung der Partition. Wem diese einfachen Berichte nicht genügen, kann die Komponente Disk Advisor installieren und mit ihr einen Bericht konfigurieren, den Quota Advisor erstellt, sobald eine Warnschwelle erreicht wird. Eine separate Anwendung ist Disk Advisor mit 19 vorgefertigten Berichten, zum Beispiel über Dateien, die seit ihrer letzten Änderungen nicht mit einem Backup-Programm gesichert wurden, unzureichend geschützte Dateien, Dateien mit ungültigem Besitzer oder die 20 ältesten Dateien. Jeder Bericht lässt sich als Textdatei, im HTML-Format, als Dbase/Foxpro-Datenbanktabelle und als Texttabelle ausgeben, bei der die Werte durch Kommata voneinander getrennt sind (zum Beispiel für den Import in Excel). Zusätzlich kann Disk Advisor die Berichte per Mail an einen Microsoft-Exchange- oder SMTP-Server verschicken. Für den Zeitpunkt, zu dem ein Bericht erstellt wird, kennt die Software drei Möglichkeiten: manuell, zeitgesteuert oder wenn Quota Advsior eine Warnschwelle bezüglich der Kapazität erreicht. Über Filter schränkt der Administrator bei Bedarf die Berichte ein, sodass sie beispielsweise nur Dateien bestimmter Benutzer enthalten. Neben den vorgefertigten Berichten kann er eigene Berichte erstellen, indem er zahlreiche Kriterien und Reihenfolgen festlegt. Die dritte Komponente, Disk Watcher, ist eine abgespeckte Version von Quota Advisor. Als wichtigste Option fehlt der “Light-Version“ die Möglichkeit, Plattenplatz tatsächlich einzuschränken. Die Hauptaufgabe des Disk Watchers besteht darin, den Füllzustand von ganzen Partitionen (aber nicht von einzelnen Verzeichnissen) zu beobachten. Damit ist dieser Bestandteil für Ser- 60 L AN line 7/2000 ver-Festplatten gedacht, auf die Anwender keinen direkten Zugriff haben, beispielsweise Platten, auf denen ein System Mail- oder News-Daten speichert. Der Administrator kann maximal drei Warnstufen definieren, deren Aktionen denen des Quota Advisors gleichen. Auch das in Quota Advisor enthaltene Überwachungsprogramm, welches den Auslastungszustand aller oder bestimmter Überwachungsobjekte anzeigt, kennt Disk Watcher. dienung ist einfach, erfordert wegen der Vielzahl der Optionen aber ein bis zwei Tage Einarbeitungszeit. Gefallen hat die netzwerkweite Verwaltung und die Möglichkeit, alle Ereigniseinträge zentral auf einem Server zu sammeln. So hat der Administrator ständig den Zustand aller überwachten Festplatten und Verzeichnisse im Überblick. Nicht zufriedenstellend ist hingegen Disk Watcher. Die angepasste Installation richtet die erforderlichen Dienste nicht korrekt ein (im Ge- Der NT-Nachrichtendienst warnt Benutzer und Administratoren mit frei definierbaren Meldungen, wenn bestimmte Grenzen überschritten werden Praktisch ist die netzwerkweite Verwaltung aller Quota-Advisor/DiskWatcher-Computer von einem zentralen Standort aus. So kann der Administrator auf seiner Arbeitsstation das Verwaltungsprogramm installieren und die Begrenzungen und Warnoptionen aller Server konfigurieren, auf denen sich Quota Advisor oder Disk Watcher befinden. In die Microsoft Management Console ist das Verwaltungs-Tool leider nicht integriert. Neben den drei Programmen mit grafischer Oberfläche liefert Wquinn Kommandozeilenwerkzeuge mit. Setowner legt den Besitzer von Dateien und Verzeichnissen fest. Das kann sinnvoll sein, wenn ein Administrator für einen Benutzer Dateien im Netzwerk ablegt und Quota Manager diese Dateien dem Benutzer zuschreiben soll. Setquota verändert, löscht und legt Begrenzungen fest, während Showquota Begrenzungen anzeigt. Diese beiden Werkzeuge sind nur in der EnterpriseVersion enthalten. Im Test arbeiten sowohl Quota Advisor als auch Disk Advisor problemlos. Sowohl die Installation als auch der Betrieb geben keinen Anlass zur Klage. Die Be- gensatz zur Express-Installation) und einige Funktionen arbeiten nicht, beispielsweise die Berichterstellung. Ebenfalls nicht korrekt arbeitet die Deinstall-Routine. So ist es im Test nicht möglich, Quota Advisor zu entfernen und anschließend Disk Watcher zu installieren. FAZIT Wquinn bietet mit Storage Central eine durchdachte Lösung zur Speicherverwaltung an, die die Funktionen von Windows 2000 spartanisch erscheinen lässt und auch für größere Umgebungen geeignet ist. Für den Microsoft Cluster Server bietet Wquinn eine eigene Version an. Die Probleme mit Disk Watcher und der Deinstallation muss der Hersteller aber noch in den Griff bekommen. Storage Central Enterprise Server kostet bei Abnahme von 25 bis 49 Lizenzen zirka 1340 Mark je Lizenz. (Andreas Roeschies/mw) Info: Wquinn Software Web: www.wquinn.com Vertrieb: IBV Informatik Tel.: 07621/409260 Web: www.ibvinfo.com www.lanline.de netzTOOLBOX ALOHA BOBS PC-RELOCATOR 1.2B IM TEST Alles oder nichts Beim Ersatz eines Windows-Rechners durch ein neueres Modell ist es nicht mit dem Rechnerkauf getan, denn der Benutzer muss die Daten des alten Systems auf das neue kopieren, alle verwendeten Anwendungen neu installieren sowie die gewünschten Einstellungen im Betriebssystem und an den Programmen erneut vornehmen. Dabei können leicht ein bis zwei Tage vergehen. Die Software PC-Relocator will diese Zeit auf wenige Stunden reduzieren – ist ein Netzwerk vorhanden, sollen sogar ein paar Minuten genügen. azu kopiert die Software alle Dateien, Anwendungen und Einstellungen (INI-Dateien und Registrierungswerte) vom alten auf das neue System, wahlweise über ein TCP/IP-Netzwerk oder ein Parallelkabel, das der Box-Version des Programms beiliegt. Um mögliche Probleme mit Laufwerksbuchstaben zu umgehen, kopiert PC-Relocator grundsätzlich alle lokalen Festplattenpartitionen unter Beibehaltung des Laufwerksbuchstabens auf das Zielsystem. Der Anwender hat dabei selbst darauf zu achten, dass auf den einzelnen Partitionen genügend Speicherplatz frei ist, was aufwändig sein kann, wenn die Festplatte des Quellrechners in mehrere Partitionen eingeteilt ist. Sollte die Software feststellen, dass der freie Speicherplatz auf auch nur einem Laufwerk nicht ausreicht, weigert es sich, Daten zu übertragen. Einzelne Daten oder ganze Anwendungen auf ein Laufwerk mit einem anderen Buchstaben zu verschieben, ist nicht möglich. Ebenso kann der Anwender leider nicht auswählen, welche Partitionen auf das Zielsystem kopiert werden sollen. PC-Relocator stellt den Benutzer vor die Tatsache “alles oder nichts“. Für den ersten Teil des Tests wird als Quellrechner ein Windows-95B-System (installiert auf C:\WIN95) verwendet. Darauf sind rund zehn Büroanwendun- D 62 L AN line 7/2000 gen, ein funktionierendes DFÜ-Netzwerk zur Einwahl ins Internet über ein externes Modem (das auch am neuen System verwendet werden soll) sowie stalliert werden muss. Sie startet direkt von der Programmdiskette. Da die Software auf beiden Rechnern gestartet werden muss, liegen der Schachtel zwei Disketten bei. Sie sind zwar mit Diskette 1 und Diskette 2 beschriftet, aber dennoch identisch. Auch die Bedienung gibt keinen Anlass zur Klage. Die Software fragt lediglich, ob der Rechner das Quell- oder das Zielsystem darstellt. Auf dem Zielrechner muss der Benutzer noch angeben, ob das Quellsystem über ein paralleles Kabel oder via TCP/IP erreichbar ist; in diesem Fall fordert die Software zur Eingabe der IP-Adresse auf. Im Test ließ sich aber auch der Windows-Rechnername angeben. Sodann startet die Überprüfung der zu übertragenen Daten. Sie dauert im Test rund eine Minute (über ein TCP/IPNetzwerk mit 100 MBit/s). Erst anschließend meldet PC-Relocator, dass der Transfer nicht möglich ist, weil auf dem Laufwerk D: des Zielrechners nicht genügend Platz frei war. Da der Inhalt dieser Partition nicht übertragen werden Beim Kopieren gibt PC-Relocator an, wie lange die Übertragung bereits andauert und wann sie voraussichtlich beendet sein wird das Plus!-Paket von Windows 95 installiert. Der Zielrechner besitzt lediglich ein “blankes” Windows 98 (zweite Version, auf C:\WINDOWS eingerichtet). Der Aufruf von PC-Relocator gestaltet sich äußerst einfach, da die Software nicht in- sollte, griffen wir zu einem Trick: Mit fdisk von Linux haben wir vorübergehend die Kennung der Partition geändert, sodass Windows – und damit auch PCRelocator – sie nicht mehr erkannte, wodurch nur noch C: übrig blieb. www.lanline.de netzTOOLBOX Nach erneuter Prüfung ließ sich die Übertragung der Dateien und Registrierungswerte starten. Nach nur wenigen Minuten war der Datentransfer beendet, und das Zielsystem musste neu gestartet werden. Anschließend zeigte sich dort das gewohnte Bild mit dem Hintergrund, dem Bildschirmschoner und den Farben des alten Systems. Leider brachte Windows auch zwei Fehlermeldungen auf den Bildschirm: Zum einen beschwerte sich das Kontrollfeld der Matrox-Grafikkarte, dass es keine Matrox-Karte finden kann. Kein Wunder, denn das neue System besitzt eine Grafikkarte eines anderen Herstellers. Zum anderen meldete die Software “Second Chance”, dass sie einen erforderlichen Treiber nicht finden könne. Nach dem Wegklicken der Meldungen arbeitete das System problemlos, abgesehen davon, dass Second Chance nicht mehr in Hintergrund wachte. Fast alle Anwendungen, darunter die DTP-Software Adobe Framemaker 5.5 und Microsofts Excel 95 ließen sich ohne Neuinstallation ausführen und behielten ihre Einstellungen bei. Den auf dem neuen Computer bereits mit dem Betriebssystem installierten Internet Explorer 5 hatte PC-Relocator korrekt erkannt und beibehalten, statt ihn mit der älteren Version (3.0) des 95er Systems zu überschreiben. Probleme gab es aber mit der Software Virtual CD-ROM 2.0. Diese behauptete bei einem Aufruf, dass Einstellungen in ihr geändert wurden und ein Systemstart vonnöten sei. Doch auch nach einem Neustart des Rechners erschien diese Meldung. Das DFÜ-Netzwerk funktionierte nicht auf Anhieb. Zwar erkannte der neue Rechner die Einstellungen zur Einwahl, aber die Einrichtung des DFÜ-Adapters in der NetzwerkSystemsteuerung sowie des Modems fehlte. Ohne Probleme verlief hingegen (etwas unerwartet) die Übernahme des Plus!-Pakets samt der Desktop-Motive in der Systemsteuerung. Eine genauere Untersuchung der Festplatte ergab, dass PC-Relocator einfach alle Dateien vom alten System auf das neue kopiert hatte, auch wenn dies nicht für alle Dateien erforderlich war. So zeigte der Windows-Explorer einen vollstän- www.lanline.de digen Baum unter C:\WIN95 an – dem Windows-Installationspfad des Quellcomputers. Somit existierte auf dem neuen Computer ein vollständiges und brach liegendes Windows 95. Bei den heutigen Festplattenkapazitäten ist dies zwar kein ernstes Problem, aber dennoch eine unnötige Verschwendung. Im zweiten Teil des Tests wurde ein ähnliches Quellsystem verwendet, allerdings mit Windows 98 (Erste Version, auf C:\WINDOWS installiert). Das Zielsystem war dasselbe “frisch“ eingerichtete Windows 98, zweite Version. Trotz diesmal identischer Windows-Installationspfade unterschied sich das Ergebnis nicht vom ersten Teil des Tests. Wiederum beanstandete das Matrox-Programm die fehlende Grafikkarte und sowohl Virtual CD-ROM als auch Second Chance stellten den Dienst ein. Der dritte Testabschnitt prüfte die Übertragung mit dem Parallelkabel. Abgesehen von einer erheblich längeren Übertragungszeit ergaben sich keine Unterschiede zur Übertragung in einem bestehenden TCP/IPNetzwerk. FAZIT PC-Relocator kann nicht über- zeugen. Zwar lassen sich die WindowsKonfiguration sowie Anwendungen samt ihrer Einstellungen übertragen, aber einige Programme funktionieren auf dem Zielsystem nicht, und das DFÜ-Netzwerk kopiert die Software nur teilweise auf das Zielsystem. Damit ist der Erfolg des Einsatzes von PC-Relocator ungewiss. Wer diese Software einsetzen will, sollte sich daher beim Hersteller die Kompatibilität mit allen installierten Anwendungen zusichern lassen – ein kaum praktikabler Weg. Aloha Bobs PC-Relocator kostet in der deutschen Box-Version mit Kabel 148 Mark. Der Preis für die Download-Variante beträgt 98 Mark. (Andreas Roeschies/mw) Info: Eisenworld, Eisen & Partner Tel.: 001/305816-9164 Tel.: 0700/25642262 Web: www.alohabob.com/intl_de/index.html L AN line 7/2000 63 netzTOOLBOX & Tipps Tricks WINDOWS NT SERVER ALS BDC IN DOMÄNE EINBINDEN In der Rubrik Tipps & Tricks veröffentlicht LANline regelmäßig interessante Fragen und Antworten im Umfeld der wichtigsten Betriebssysteme und Kommunikationslösungen. Neue Treiber und Patches inklusive Bezugsquellen findet der Anwender hier ebenso wie pfiffige Tipps und Tricks. PATCH FÜR SCHWERE SICHERHEITSLÜCKE DER GAUNTLET-FIREWALL VON NAI Ende Mai wurde eine schwere Sicherheitslücke in der Software-Firewall Gauntlet von Network Associates auf der Website http://www.securityfocus.com/news/40 gemeldet. Wenn die Filter-Software Cyber Patrol zusätzlich zur Gauntlet-Firewall-Software installiert wurde, ist es möglich, sich remote Zugang als Root zu verschaffen. Das Problem liegt in einem Buffer Overflow der VerbindungsSoftware zwischen Gauntlet und dem Cyber-Patrol-Programm. Zusätzlich akzeptiert das System irrtümlicherweise auch Verbindungen von der Außenwelt. Ein Patch steht unter ftp://ftp.tis.com/gauntlet/patches/5.5/cyber.patch für folgende Versionen zur Verfügung und sollte unbedingt installiert werden: Für Gauntlet 4.1-Anwender steht unter http://www.tis.com/support/cyberadvisory.html ein Workaround zur Verfügung. Quellen: www.securityfocus.com/news/40 www.tis.com/support/cyberadvisory.html Genua Security News Letter, www.genua.de (mw) 64 L AN line 7/2000 Nach dem Neustart wird angezeigt, dass sich der Windows NT Server nicht in der Domäne befindet. Bei der Anmeldung kann die Domäne nicht angegeben werden. Ich kann mich lediglich lokal am Server anmelden. Was mache ich falsch? Damit ein Server die Funktion des Backup-Domänen-Controllers (BDC) übernehmen kann, muss er als solcher installiert worden sein. Wurde der Server als alleinstehender Server eingerichtet, lässt sich dies nachträglich nicht mehr ändern, und Sie müssen erneut installieren. Sie können allerdings einen alleinstehenden Server zur Domäne hinzufügen, indem Sie (analog zu den Windows-NTWorkstations) ein Computerkonto in der Domäne erzeugen. Danach können Sie bei der Anmeldung auch die Domäne auswählen. (Computer 2000 Deutschland GmbH/mw) ZUSAMMENSETZUNG VON IP-FRAGMENTEN Microsoft hat einen Patch für alle Windows-Systeme herausgegeben, der einen Fehler bei der Zusammensetzung fragmentierter IP-Pakete behebt. Indem eine große Zahl identischer fragmentierter IP-Pakete an einen Windows-95/98/NT/2000-Rechner geschickt wird, kann erreicht werden, dass der Rechner für die Zeitdauer dieser Attacke seine normale Arbeit einstellt. Die CPU-Last steigt dabei auf 100 Prozent an, was zur Folge hat, dass sowohl auf Applikations- wie auch auf Netzwerkebene keine Anfragen mehr bearbeitet werden können. Für Windows-9x-Systeme ist derzeit nur ein Patch für die EN-US-Version verfügbar. Als Workaround – bis der internationale Patch zur Verfügung steht – empfiehlt es sich, soweit möglich, fragmentierte IP-Pakete an Ihren Routern abzufangen. Für folgende Versionen sind Patches verfügbar: – Windows 95: http://download.microsoft.com/download/win95/update/ 8070/w95/EN-US/259728USA5.EXE – Windows 98: http://download.microsoft.com/download/win98/update/ 8070/w98/EN-US/259728USA8.EXE – Windows NT 4.0 Workstation, Server and Server Enterprise Edition: http://www.microsoft.com/Downloads/Release.asp?Release ID=20829 – Windows NT 4.0 Server, Terminal Server Edition: http://www.microsoft.com/Downloads/Release.asp?Release ID=20830 www.lanline.de netzTOOLBOX & Tipps Tricks – Windows 2000 Professional, Server and Advanced Server: http://www.microsoft.com/Downloads/Release.asp?Release ID=20827 Links: http://www.microsoft.com/technet/security/bulletin/fq00-029. asp Quelle: Genua Security News Letter, http://www.genua.de (mw) PROBLEME MIT DER E-MAIL-WEITERLEITUNG UNTER OUTLOOK Die E-Mails eines Anwenders sollen an eine Kollegin weitergeleitet werden. Nun wurde auf einem PC unter dessen Benutzerkennung eine E-Mail-Weiterleitung eingerichtet (im Post-Office-Assistenten und Abwesenheitsassistenten Regeln definiert), damit dessen E-Mails in das Postoffice der Sekretärin geschickt werden. Dies funktioniert aber nicht. Bei der Übernahme eines Postfachs werden alle Ordner angezeigt, für die Sie Berechtigungen erhalten haben. Sie können dieses Postfach wie Ihr eigenes verwalten. So lässt sich ein anderes Postfach übernehmen: In Outlook wählen Sie aus dem Menü “Extras” den Befehl “Dienste, Microsoft Exchange Server”, klicken Sie auf die Schaltfläche “Eigenschaften, Weitere Optionen, Hinzufügen”, und geben sie das Postfach ein, das Sie zusätzlich öffnen möchten. Um einem anderen Anwender die Möglichkeit zu gewähren einen Ihrer Ordner zu öffnen, müssen Sie ihm für diesen Ordner eine Berechtigung erteilen. Im Ordnerdialog “Eigenschaften”, kann Personen auf der Registerkarte “Berechtigungen” der Zugriff auf Ihre Ordner gewährt werden, ohne die Berechtigung zum Senden “im Auftrag von” zu erhalten. Stellvertretungen können Elemente in Ihrem Auftrag senden. (Computer 2000 Deutschland GmbH/mw) “VBS.FIREBURN”: NEUER SPRACHUNABHÄNGIGER VIRUS Zur Zeit versucht sich eine weitere Variante des E-MailWurms “ILOVEYOU” über Outlook zu verbreiten. Meldungen befallener Systeme aus Österreich und der Bundesrepublik lie- 66 L AN line 7/2000 gen bereits vor. Nach der vorliegenden Analyse des Virenlabors der H+BEDV Datentechnik arbeitet der Wurm mehrsprachig. Je nach installierter Sprachversion von Windows wird der Anwender bereits in seiner Landessprache aufgefordert, ein Bild mit einem eindeutig erotischen Inhalt zu öffnen. In Wirklichkeit aber startet ein VB-Script und führt seine Infektionsroutine aus. Der Wurm verschickt sich anschließend an alle Einträge im Adressbuch von Outlook. Dabei erstellt er nicht wie alle seine Vorgänger für jede Person eine eigene E-Mail, sondern er trägt alle Kontakte in eine einzige E-Mail als “Blind Carbon Copy” (BCC) ein. Die Schadensroutine wird jeweils am 20. Juni eines jeden Jahres aktiv. Der PC wird dauerhaft lahm gelegt, indem Maus und Tastatur deaktiviert werden. Ohne Neuinstallation von Windows ist ein Weiterarbeiten nicht mehr möglich. Ein Update von Antivir steht über die Website www.antivir.de registrierten Kunden zum Download zur Verfügung. Damit können infizierte E-Mails identifiziert und vor einem Ausbruch unschädlich gemacht werden. Im Rahmen der “Offensive gegen Viren” ist auch die Antivir Personal-Edition aktualisiert worden. Sie steht privaten Anwendern zum nicht kommerziellen Einsatz auf dem eigens eingerichteten Server www.free-av.de kostenfrei zur Verfügung. Weitere und ausführliche technische Informationen finden Sie auf der Internet-Seite: http://www.antivir.de/deutsch/ news/2000/fireburn.htm Quelle: H+BEDV Datentechnik (mw) BEI SUSE LINUX: SICHERHEITSRISIKO DURCH DAS PAKET AAA_BASE In dem Basispaket aaa_base, das mit jeder Suse-Distribution installiert wird, wurden zwei Sicherheitslücken entdeckt: – Der Cron Job /etc/cron.daily/aaa_base prüft täglich die Verzeichnisse /tmp und /var/tmp, wobei veraltete Dateien gelöscht werden können. Haben Sie diese Verzeichnisreinigung konfiguriert, so kann prinzipiell jeder Benutzer alle Dateien und Verzeichnisse löschen. – Einige Accounts haben als Home-Verzeichnis /tmp, wie etwa nobody, wwwrun, games und firewall. Legt nun ein Angreifer eine “.” Datei (beispielsweise “.profile”) in diesem Verzeichnis an, so könnte diese Datei unter Umständen durch “su -nobody” zum Tragen kommen und die User-ID kompromittieren. Dieses Problem könnte auch auf anderen Unix-Systemen vorhanden sein. Installieren Sie die entsprechenden Patches von Suses Webpage: http://www.suse.de/de/support/download/updates/index.html Quelle: http://www.leu.de/security/ (R2R Research to Rise Informations- und Kommunikations AG/mw) www.lanline.de netzLÖSUNGEN DAS HOCHGESCHWINDIGKEITSNETZ DER TU DRESDEN Im Dienste der Wissenschaft Von einer technischen Ausstattung wie sie die TU Dresden vorzuweisen hat, können viele Universitäten nur träumen. Ein Hochgeschwindigkeitsnetz auf Glasfaserbasis erschließt mittlerweile nicht nur den engeren Campus, sondern verbindet Universitätsstandorte in der ganzen Stadt und außerhalb. Realisiert wurde das Großvorhaben in Zusammenarbeit mit der Deutschen Telekom und ihrer Tochter Deteline. ammeln Sie Auslandserfahrung in Dresden!” wirbt ein Flyer der Technischen Universität Dresden (TUD) um Studiosi in spe aus den Altländern. Einiges spricht dafür, diesem Ruf zu folgen. Seit die TU Dresden im Jahr 1993 wieder zur Volluniversität wurde, bietet die “Alma mater dresdensis” nach eigenen Angaben “die größte Vielfalt an Studienfächern in Deutschland” an. 25.000 Ingenieur-, Natur- und Geisteswissenschaftler werden an S Das ultramoderne Hörsaalzentrum der TU Dresden ist mit Fiber-to-the-Desk ausgestattet, um die notwendige Bandbreite für mulimediale Anwendungen zu gewährleisten 68 L AN line 7/2000 14 Fakultäten ausgebildet. Lehrenden wie Studierenden steht dabei eine überdurchschnittlich gute technische Infrastruktur zur Verfügung. Mittlerweile sind sämtliche Fakultäten an das Hochgeschwindigkeits-Glasfasernetz der Uni angebunden. Die komplette Vernetzung aller universitären Einrichtungen war ein Mammutprojekt, das seit 1992 in mehreren Etappen durchgeführt wurde. Aufbauend auf einem “Campusnetz” entstand ein MAN (Metropolitan Area Network), das heute alle weit über die Stadt verstreuten Unigebäude verbindet. Einen wirklich zusammenhängenden Campus gibt es nicht, allerdings ein Universitäts-”Kerngelände” in der Dresdener Südstadt, das bereits Anfang des Jahrhunderts entstand. Im Gegensatz zum ehemaligen Hauptgebäude am Bismarckplatz, das während der Luftangriffe auf Dresden völlig zerstört wurde, konnten die Gebäude in der Südstadt nach dem Krieg wieder instand gesetzt werden. Dieses Kerngelände umfasst heute einen großen Teil der universitären Einrichtungen, unter anderem auch das zentrale Rechenzentrum. Doch viele einzelne Institute liegen nicht auf dem Campus, sondern verteilen sich auf verschiedene Standorte überall in der Stadt. Auch das Studentenwerk, Teile der Bibliothek und die Standorte der Uniklinik liegen außerhalb des Kerngeländes. Absoluter Außenposten ist die Fachrichtung Forstwissenschaften im 15 Kilometer entfernten Städtchen Tharandt. EIN PROJEKT WIRD BEANTRAGT Bevor auch nur daran gedacht werden konnte, die Außenstandorte anzubinden, musste zunächst auf dem Campus selbst eine Infrastruktur geschaffen werden. Erste Planungen für ein solches Vorhaben gab es bereits im Jahr 1987. “Wir haben 1991 die Förderung eines Campus-Netzes nach dem HBFG (Hochschulbauförderungsgesetz) beantragt”, erzählt Wolfgang Wünsch, ITKoordinator der TU Dresden. “Danach dauerte es etwa ein Jahr, bis wir die Genehmigung hatten. Als Gesamtbudget waren neun Millionen Mark angesetzt.” Das Budget konnte jedoch nicht auf einmal ausgeschöpft werden, sondern musste sinnvoll über mehrere Jahre verteilt werden. Somit gliederte sich das gesamte HBFG-Vorhaben in zwei Teilbauabschnitte, denen vier Nachträge angefügt wurden. Jetzt, acht Jahre nach Antragstellung, ist die TUD bei der Realisierung des vierten Nachtrags angekommen. Mit dem Universitäts-Rechenzentrum als Ausgangspunkt, untergebracht im so genannten Zeuner-Bau auf dem Kerngelände der Südvorstadt, wurde das Netz etappenweise aufgebaut. Der erste Teilabschnitt des ATM-Backbones konnte im Juni 1994 in Betrieb genommen werden. Nicht alle Teilprojekte waren dabei durch HBFG-Mittel abgedeckt; vieles musste aus eigenen Geldern finanziert werden. Die Anbindung der Hauptbibliothek an das Netz beispielsweise, eigentlich erst für den vierten Nachtrag vorgesehen, schien den Verantwortlichen zu wichtig, als dass man jahrelang damit warten wollte. Als Interimslösung schafften die Verantwortlichen bereits 1994 eine Laserkanone an, um die Bibliothek schnell und ohne aufwendige Bauarbeiten an das Rechenzentrum anzubinden. 1997 wurde diese Laserverbindung durch eine angemietete Glasfaserstrecke im Netz der Deutschen Telekom ersetzt. Die Laserkanone findet heute ihren optimalen Einsatz auf dem Gelände der Forstwissenschaftler in Tharandt. Die Gebäude werden dort durch einen Fluss getrennt, was ohnehin den Einsatz von Laser oder Funk verlangt hätte. “Laser war hier nicht nur die kostengünstigere Variante”, so Wolfgang Wünsch, “sie www.lanline.de netzLÖSUNGEN ist im Gegensatz zu einer Funkverbindung auch abhörsicher.” Die gesamte Campus-Verbindung realisierten die IT-Verantwortlichen der TUD selbst – ohne die Unterstützung eines externen Dienstleisters. Die Erweiterung des ATM-Backbones zu einem MAN unter Anbindung der zahlreichen externen Standorte – im HBFG-Antrag nicht enthalten – wurde 1995 ausgeschrieben. Im Frühjahr Wolfgang Wünsch, Abteilungsleiter Netze und Kommunikationsdienste an der TU Dresden: “Bereits 1991 haben wir die Förderung eines Campusnetzes nach HBFG beantragt.” 1996 erging dann der Auftrag an die Niederlassung der Deutschen Telekom in Dresden, ein lokales Testbed auf der Basis von ATM-Technologie für Teleanwendungen einzurichten. Volker Wiedenbeck, Großkundenmanager der Telekom und Projektverantwortlicher, erinnert sich: “Das Projekt betraf fast das gesamte Stadtgebiet. Wir haben ein teilweise völlig neues Netz von LWDV (Lichtwellenleiterdirektverbindungen) auf der Grundlage von Dark-Fiber-Strecken errichtet und der TU Dresden in Teilabschnitten übergeben. Beinahe wöchentlich trafen wir uns vor allem mit Dr. Heinke und Herrn Wünsch vom Universitäts-Rechenzentrum. Ohne diese enge und gute Zusammenarbeit wäre es nicht möglich gewesen, das Projekt so effizient durchzuführen.” Nach einer gemeinsamen Piloterprobung der ATM-Technologie beteiligte sich die Deutsche Telekom 1997 auch an der darauf folgenden externen Ausschreibung der aktiven Netzkomponenten und ihrer Implementierung. Sie erhielt den Zuschlag, da die Telekom-Tochter www.lanline.de Deteline das günstigste und inhaltlich umfassendste Angebot vorlegen konnte. Für die Ausschreibung hatten die TUFachleute gründlich vorgearbeitet. “Die Spezifikation des Netzes war bereits vorgegeben. Dadurch war der kreative Anteil für uns relativ gering”, bedauert Frank Schönhoff, von Deteline-Seite für das Projekt verantwortlich. “Wir haben selten mit Kunden zu tun, die selbst ein so großes Fachwissen mitbringen.” Als aktive Hardware kamen Geräte von Cisco, Bay Networks und Fore Systems zur Anwendung. Die Zukunftssicherheit des Netzes war den Verantwortlichen dabei ein wichtiges Anliegen. Neben dem Powerhub 7000 sollte auch der mächtigere, jedoch noch marktneue Powerhub 8000 von Fore eingesetzt werden. Sämtliche gelieferte Hardware, insgesamt immerhin zehn Hubs und drei Switches, baute Deteline vorab vollständig im Rechenzentrum der TUD in einer Testumgebung auf. “Üblich ist häufig nur eine exemplarische Teststellung”, so Frank Schönhoff. “Hier waren allerdings recht umfangreiche Konfigurationen vorzunehmen, da das Netz eine außergewöhnlich starke Vermaschung aufweisen sollte.” Jeder Hub sollte nach dem Prinzip “any to any” mit jedem anderen über eine logische Festverbindung im ATM verbunden sein. Das gesamte Netzwerk – das CampusNetz sowie das Hochgeschwindigkeitsnetz zu den Außenstandorten – wird aus Sicherheitsgründen ausschließlich über das TCP/IP-Protokoll betrieben. Um alle Einzelverbindungen nachweisen und stärkere Kontrolle über das Netz behalten zu kön- Deteline Deteline, Deutsche Telekom Kommunikationsnetze GmbH, ist eine hundertprozentige Tochter der Deutschen Telekom AG mit Hauptsitz in Berlin. Innerhalb des Konzerns ist Deteline für die Planung und Realisierung des Produkts T-LAN der Deutschen Telekom verantwortlich. Mit 600 Mitarbeitern an 16 Standorten bietet das ISO-9000-zertifizierte Unternehmen in Zusammenarbeit mit der Telekom LAN-Lösungen für Unternehmen jeder Größenordnung. L AN line 7/2000 69 netzLÖSUNGEN Überblick über das Datenkommunikationsnetz der TU Dresden nen, wurde auf automatisierte Verbindungen verzichtet und stattdessen ein dedizierter PVC (Permanent Virtual Circuit) geschaltet. Dafür erfolgt in jedem Gerät ein eigener Eintrag. Wenn sich eine Teilverbindung ändert, müssen die Einträge in fast allen Geräten aktualisiert werden. “Die Alternative wäre LAN-Emulation gewesen”, sagt Wolfgang Wünsch. “Aber dann hätten wir Abstriche bei der Netzwerksicherheit machen müssen. Heute überlegen wir dagegen, ob wir nun doch auf LAN-Emulation umsteigen. Die aktuell verfügbare Version 3.0, verbunden mit einigen herstellerproprietären Erweiterungen, genügt auch höheren Sicherheitsansprüchen. Damit könnten wir das Netzwerk vollständig zentral und noch dynamischer administrieren.” Nicht zuletzt im Hinblick auf die Vielzahl an Konfigurationen erwies sich der umfangreiche Testaufbau als sinnvoll. Denn der Powerhub 8000 von Fore Systems, der zum Zeitpunkt des Projektbeginns noch gar nicht auf dem deutschen Markt lieferbar und per Sonderabsprache bei Fore bestellt worden war, stellte die Netzwerker vor Probleme. “Ein Routing- 70 L AN line 7/2000 Protokoll war noch in einigen Details fehlerhaft implementiert”, erzählt Frank Schönhoff von Deteline. “Der Hersteller hat uns allerdings bei der Fehlerbeseitigung sehr unterstützt. Wir pflegen enge Partnerschaften mit den Herstellern, sodass wir für unsere Kunden auch in komplizierten Fällen die bestmögliche Betreuung garantieren können. Doch immerhin hatten wir durch diese Komplikation zeitweise bis zu fünf Leute in das Projekt eingebunden.” Doch Wolfgang Wünsch winkt ab: “Ich möchte das Problem gar nicht so aufbauschen. Wir haben es ja schließlich in den Griff bekommen. Und die Zusammenarbeit mit Deteline klappte hervorragend.” Noch während die Fehlerbeseitigung lief, wurde das Netzwerk bereits in der Fläche aufgebaut. Als Zwischenlösung kamen überall Powerhubs 7000 zum Einsatz, die Fore als Ersatz für die noch nicht funktionsfähigen 8000er zur Verfügung gestellt hatte. Mitte des Jahres 1998 war schließlich die Software der 8000er Hubs den Anforderungen des Dresdner Netzwerks entsprechend eingerichtet, sodass die Geräte ersetzt werden konnten. Die verbleibenden 7000er wurden gleichfalls an den neuen Software-Standard angepasst. Mit der Erweiterung des Netzes sind zum derzeitigen Zeitpunkt vierzig Gebäude zu einem Hochgeschwindigkeitsdatennetz (HDN) verbunden. 80 Kilometer Glasfaserkabel mussten für diesen Backbone neu verlegt werden. Das Netz umfasst insgesamt 132 Gebäude und versorgt 6000 Rechner. Zwei Universitätsgebäude, der große Barkhausen-Bau und das neu gebaute Hörsaalzentrum, das auch ein audiovisuelles Medienzentrum beherbergt, wurden mit Glasfaser bis zum Arbeitsplatz ausgestattet. Zudem sind zahlreiche Dresdener Studentenwohnheime in das Hochschulnetz eingebunden. Zwei davon verfügen sogar über einen ATM-Knoten, also über eine Verbindung mit der Außenwelt über stolze 155 MBit/s. Die zirka 800 hier wohnenden Studierenden haben das Privileg eines 10-MBit/s-Zugang zum Internet. Zudem wird die Deutsche Telekom, die kürzlich die Ausschreibung des DFN-Vereins (Verein zur Förderung eines deutschen Forschungsnetzes e.V.) zur Einrichtung eines Gigabit-Wissenschaftsnetzes gewann, auch an der TU Dresden einen 622-MBit/s-Kernknotenzugang aufbauen. Damit wird die Infrastruktur der TU Dresden Teil des modernsten Wissenschaftsnetzes der Welt. (Katharina Granzin/pf) Weitere Informationen: Deteline Web: www.deteline.de Technische Universität Dresden Web: www.tu-dresden.de, www.tu-dresden. de/urz/Dienste/Datenkommunikationsnetz/ datenkommunikationsnetz.html www.lanline.de netzLÖSUNGEN FÜR EINE HÖHERE VERFÜGBARKEIT Aus einem Kupfer-Port vier LWL-Leitungen Das Hauptaugenmerk des Netzwerkadministrators liegt theoretisch in der Optimierung der Abläufe und des Netzes; zudem sollte er genügend Zeit für die Betreuung der Anwender im Netz haben (User Help Desk). Doch in der Realität sind die meisten Administratoren hauptsächlich damit beschäftigt, die Netzwerk-Hardware und das Kabelnetz zu warten und Fehlersuche zu betreiben. Es gibt jedoch durchaus Möglichkeiten, diesen Wartungsaufwand klein zu halten. dministratoren beklagen sich durchweg, dass sie mehr als 65 Prozent der täglichen Arbeitszeit damit verbringen, das physikalische Netz in Ordnung zu bringen und auch zu halten. Fehlerursachen sind häufig Netzwerkkarten, Rangierkabel, oft aber auch zentrale Baugruppen, die den Dienst versagen. Da die zeitlichen Ressourcen eines Administrators auf 24 x 7 = 168 mögliche Stunden pro Woche begrenzt sind, nehmen viele von ihnen die Hilfe von Herstellern in Anspruch. Jedoch bringen auch Wartungs- und Serviceverträge meist keine schnelle Abhilfe. Oft findet der Netzwerker in der Eile die HotlineTelefonnummer nicht, es ist ständig besetzt, oder er wird ewig weiterverbunden, bis er endlich einen technisch versierten Ansprechpartner in der Leitung hat. Das alles kostet wertvolle Zeit. Und Unternehmen, die ihr Geld mit oder über das Netzwerk verdienen, können sich das in der Regel nicht leisten. Zumal – so Aussagen von Netzwerkbetreibern – teilweise Netzwerke mit Vertraglichkeiten dieser Art innerhalb von zwei bis fünf Jahren Betrieb – oder Nichtbetrieb – ein zweites Mal bezahlt werden. Die beste Lösung wäre, wenn diese Fehler erst gar nicht auftreten; und sollte es doch zu Ausfällen kommen, sollte ein Tool zum Beispiel ausgefallene oder feh- A www.lanline.de lerhafte Ports automatisch deaktivieren und die Verbindung auf einen anderen Port umleiten können. AKTIVE KOMPONENTEN FÜR DIE JUSTIZ Die Abteilung Kommunikations- und Informationstechnik des Staatlichen Bild1. Wandlung von einem UTP-Port in drei oder sechs LWL-Anschlüsse Bauamts Düsseldorf I berät und plant Netze der Nordrhein-Westfälischen Landesverwaltung, wie zum Beispiel die der obersten Landesbehörden. Seit 1997 läuft dort das Projekt “Netzwerk Justiz 2003”; bis zu diesem Jahr soll die komplette Vernetzung inklusive der Versorgungsleitungen bei der ordentlichen Gerichtsbarkeit und den Staatsanwaltschaften erneuert werden. Die Abteilung Kommunikations- und Informationstechnik sorgte dabei für die zentrale Auswahl und Beschaffung der aktiven Komponenten. Das bedeutet für 260 Dienststellen rund 26.000 Ports. Ein wichtiger Aspekt war dabei eine hohe Verfügbarkeit und Zuverlässigkeit der Komponenten. Bei der Suche nach den geeigneten Komponenten fiel eine Hardware-Lösung die “Sharing Unit für Switched Interfaces“ oder kurz “Susi” von Dafür im hessischen Mühltal – etwas aus dem Rahmen. REDUNDANTE SWITCH-PORTS Dieses System setzt die zentralen Ports von LAN-Switches (UTP) in jeweils drei bis sechs Lichtwellenleiteranschlüsse (LWLPorts) um (Bild 1). Damit können Strecken ohne Zwischenverstärkung überbrückt werden, die länger als 100 Meter sind, und Server-Leistungen sind bedarfsgerecht aufteilbar. Hierfür benötigt der Anwender zudem kein Fachwissen in den Bereichen VLAN, Forwarding Priority, Layer-3- oder 4-Switching sowie “Application Switching“. Denn die Aufteilung in Arbeitsgruppen erfolgt nicht über die Konfigurierung des Switches, sondern allein durch manuelles Rangieren (Bild 2). Die Susi-Chassis werden im zentralen Verteilerraum installiert und bieten auf drei Höheneinheiten Platz für acht Baugruppen des Systems mit jeweils sechs LWL-Anschlüssen (ST- oder SC-Duplex). Das sind insgesamt 48 LWL-Ports. Alle Baugruppen in einem Chassis sind über einen vom Hersteller speziell dafür entwickelten Bus miteinander verbunden, und jeder optische Port verfügt über SwitchingEigenschaften. Ungewohnt scheint, dass ein UTP-Port drei oder sechs LWL-Ports speist, was zu Engpässen führen könnte. L AN line 7/2000 71 netzLÖSUNGEN Das System wirkt hier aber nicht als Flaschenhals, sondern als vorgelagerter Backbone, das heißt, es steuert durch die verwendete ASIC-Technik die Anfragen der Nutzer an die Server über den Backbone-Switch hinweg. Die interne Speicher- und Pakettransporttechnik ist laut Hersteller verwandt zur ATM-Technik und lässt das System förmlich “auf die Pakete der PCs“ warten: Das System nimmt alle eingehenden LWL-Pakete an, “inventarisiert” sie im Store-and-Forward-Modus nach der Zeit der Ankunft. Und nach der daraus resultierenden Rei- ursprüngliche 48er Arbeitsgruppe in eine mit 12 Ports und eine mit 36 Ports aufgeteilt. VERFÜGBARKEIT DURCH REDUNDANZ Mit dem System spart der Anwen- der nicht nur Switches ein, er erhöht zudem seine Netzverfügbarkeit. So hat es sich bei Netzen mit 100 Teilnehmern und mehr bewährt, zwei Backbone-Switches redundant zu installieren, und die einzelnen UTP-Ports abwechselnd auf die SusiSysteme zu verteilen (Bild 3). Diese Verschaltung bewirkt, dass bei Ausfall eines Switches der Betrieb für die Teilnehmer unbemerkt weitergeht, wenn vielleicht auch mit vermindertem Durchsatz. Das System schaltet laut Hersteller innerhalb weniger Millisekunden um, und dabei spielt es keine Rolle, ob sechs oder mehr Teilnehmer und damit mehrere Baugruppen davon beBild 2. Aufteilung der Teilnehmer in mehrere unabhängige Arbeitstroffen sind. Der gruppen Spanning-Tree-Algorithmus (STA) ist henfolge werden die Pakete – wenn dafür bekannt, sich hier deutlich mehr die Frame-Check-Sequenz (FCS) in Zeit zu lassen, um ein Pfadumrechnung Ordnung ist – an die Zieladresse weiter- von “primär“ auf “sekundär“ für vielgeleitet. Ansonsten werden sie verwor- leicht 400 User durchzuführen. fen. Hat der Netzwerkverantwortliche den Da jeder Switch-Port auf sechs LWL- defekten Backbone-Switch bei laufendem Ports aufgeteilt wird, reduziert sich der Be- Netzwerkbetrieb wieder instand gesetzt, darf an teurer Netzwerk-Hardware erheb- schaltet das System automatisch auf die urlich. sprünglich verdrahteten Micro-LANs um. Der Anwender kann analog zu dieser Switch-Lösung eine ähnliche Redundanz ARBEITSGRUPPEN EINRICHTEN Arbeitsgruppen richtet der Administrator bei Servern herstellen. Hierzu schließt er mit diesem System durch Rangieren neben dem Haupt-Server einen redunein: Legt er beispielsweise einen UTP- danten Backup-Server an das System an. Port des übergeordneten Backbone- Sollte dann der Haupt-Server einmal ausSwitches auf die erste Baugruppe, so fallen, schaltet das System automatisch bildet sich automatisch ein Micro-LAN auf den Backup-Server um. Diese Remit 48 LWL-Ports. Legt er einen zwei- dundanz ermöglicht eine Verfügbarkeit ten Port des Switches zum Beispiel auf von annähernd 100 Prozent. Und das ist die dritte Baugruppe, so wird hier die heutzutage mit herkömmlicher Technik 72 L AN line 7/2000 nur durch 60 bis 80 Prozent mehr Investitionsvolumen möglich. Damit sichergestellt ist, dass auch das Susi-System nicht ausfällt, hat der Hersteller es mit zwei Netzteilen ausgestattet, wobei jedes automatisch bei Ausfall des anderen Netzteils dauerhaft die gesamte Stromversorgung für das Chassis sicherstellt. Die Kommunikations- und Informationstechnikabteilung des Bauamts Düsseldorf I testete im Vorfeld die Geräte und war vor allem von deren hoher Verfügbarkeit und Zuverlässigkeit überzeugt. Mittlerweile setzt das Land Nordrhein-Westfalen Susi bei rund 30.000 Ports ein und hat seit 1997 nur ganz minimale Ausfälle im Promillebereich, das heißt, es sind seither höchstens zwischen zehn und zwanzig solcher Geräte ausgefallen. KOSTENBETRACHTUNG Da kein Netz- werkbetreiber eine Investition nur für ein einziges Jahr betrachtet, sondern die Betriebskosten für Zeiträume von drei, fünf oder zehn Jahren hochrechnen muss, kann er mit dem Einsatz dieser Technologie wesentliche Einsparungen erzielen. Das beginnt bei der Erstinvestition, den Migrationskosten, betrifft aber auch die Wartungsund Servicekosten sowie die Aufwendungen für Vereinbarungen über zugesicherte Reaktionszeiten und nicht zuletzt die Energieverbrauchskosten “Netz“ und die damit direkt verbundenen Klimatisierungskosten sowie Netzstillstand- und Netzausfallkosten. Das Einsparpotential bei der Systemstellfläche (Schränke, Räume und Ähnliches) liegt zum Beispiel bei 75 Prozent. Anwender- und Erfahrungsberichten zufolge lässt sich das Einsparpotential auf mindestens 1200 Mark pro User und Jahr beziffern. Das System steht für Ethernet, Fast Ethernet und Token Ring zur Verfügung (10Base-FL, 100Base-FX und Token Ring Fiber Draft 23 und höher). Zudem lässt sich die Hardware stets auf dem gleichen technischen Stand halten. So lassen sich zum Beispiel auch Systeme aus dem Jahr 1997 noch auf das Hardware-Release 2000 aufrüsten. www.lanline.de netzLÖSUNGEN Durch die Bauform und den modularen Aufbau sind verschiedene Bestückungen pro Einschub möglich. Neben dem klassischen Glasfaserstandard für Fast Ethernet (100Base-FX) kann der Anwender ein Basismodul auch mit Ethernet (10BaseFL) bestücken. Somit hat er zum Beispiel die Möglichkeit, drei LWLPorts Ethernet und drei LWL-Ports Fast Ethernet auf der gleichen Basis- Bild 3. Installation zur Vermeidung von Ausfällen im Backbone karte zu betreiben. Die bisher beschaffte Hardware (z.B. 10-MBit/s- Umstellung auf schnellere UmgebunEthernet-Adapter) kann er beibehal- gen überschaubar gehalten und auf ten und diese an Susi anschließen, oh- das Nötige reduziert werden. ne sämtliche Rechner mit neuen Netzwerkkarten auf einen Schlag ausstat- VORTEILE FÜR DEN ADMINISTRATOR ten zu müssen. Durch diese kosten- Die beschriebenen technischen Stärken sparende und “weiche“ Migration des Systems bringen für den Netzwerkkönnen die Investitionskosten für die verantwortlichen einige praktische Ver- www.lanline.de besserungen mit sich. Kehrt er zum Beispiel von einer Reise zurück, könnte es zum Beispiel vorkommen, dass das SNMP-Management des Systems anzeigt, dass zwei von sechs LAN-Switches in den vergangenen Tagen ausgefallen sind. Da die Anschlüsse automatisch weitergeleitet wurden, nahmen es die Anwender gar nicht zur Kenntnis. Selbst wenn Teile der Netzwerk-Hardware Freitag nachmittags ausfallen sollten, reicht es aus, wenn das Serviceteam diese Schaden erst im Laufe der nächsten Woche behebt. Und schließlich spart die DV-Abteilung einiges an Ausgaben für ServiceDienste. Diese Gelder können für andere wichtige Investitionen genutzt werden. DAS FAZIT Die überlebenswichtige und nicht wegzudenkende Ebene der Administration in großen Netzwerken wird durch diese Technik in die Lage versetzt, sich den wesentlichen Inhalten ihres Arbeitsalltags zu widmen. Damit wird ein Glasfasernetz nicht nur bezahlbar, sondern bringt tagtäglich Einsparungen im Administrationsaufwand. (Siegfried Bettermann/db) Der Autor leitet die Abteilung Informations- und Kommunikationstechnik des Staatlichen Bauamts Düsseldorf I. L AN line 7/2000 73 SCHWERPUNKT: BACKUP-LÖSUNGEN STREAMER PARALLEL BETREIBEN NETZWERKWEITES BACKUP BACKUP-LÖSUNGEEN Der Datenbestand in mehr oder minder großen Netzwerken steigt kontinuierlich und die Unternehmen räumen der Datensicherung einen immer höheren Stellenwert ein. Wie aber lässt sich mit welchem Aufwand eine risikominimierende Datensicherung durchführen? Was ist derzeit noch “mit eigenen Bordmitteln” zu erreichen, ohne gleich in neue, teure Technologien wie beispielsweise SAN investieren zu müssen? 74 L AN line 7/2000 www.lanline.de SCHWERPUNKT: BACKUP-LÖSUNGEN War die Nutzung der EDV noch bis in die 70er Jahre hinein weitestgehend einem kleinen Kreis von Anwendern vorbehalten (Militär, Großunternehmen, Forschung), trat in den 80ern der PC seinen Siegeszug an. Die Verbreitung des PCs führte über dessen zunächst vorwiegend lokale Vernetzung (Local Area Network, LAN) im Laufe der Zeit zu einer Form der Datenverarbeitung, die einen allumfassend durchdringenden www.lanline.de EDV-Einsatz mit sich brachte. Durch einheitliche Standards wurde das Internet möglich und damit weitete sich auch die Fähigkeit der Anwender aus, Informationen beliebiger Art weltweit auszutauschen. Voraussetzung für diese Entwicklung war eine ständig steigende Leistungsfähigkeit der für die Endkunden erschwinglichen Hardware. Noch Ende der 70er Jahre kostete ein vier KByte großer Ringkernspeicher ohne weiteres den Jahresetat des Fachbereichs einer Universität, heute dagegen sind mehrere GByte für wenige hundert Mark zu erhalten. Wurde noch zu Beginn der 80er ein PC mit 4,77 MHz getaktet, ist derzeit schon die GHz-Grenze durchbrochen. Die jeweils plausibel klingenden physikalischen Grenzen spornen den Erfindungsreichtum zur Entwicklung von immer leistungsfähigeren Systemen an. Paralleles Arbeiten innerhalb der Mikroelektronik, das Zusammenschalten mehrerer Prozessoren oder auch von ganzen Servern und den auf ihnen verteilten Datenbanken ermöglichen eine ganze Palette von Leistungssteigerungen. Die Medaille hat jedoch eine Kehrseite: Die Unternehmen wurden immer abhängiger von der Verfügbarkeit ihrer Daten und so ist es verständlich, dass für den Grossteil der kommerziellen Benutzer der Schutz und die Sicherheit des Datenbestands existenzielle Bedeutung hat. Neben dem in diesem Zusammenhang nicht zu beziffernden Schaden für die Unternehmen durch unbefugten Zugang zu ihren Daten (Spionage) aufgrund fehlenden Datenschutzes, droht einem Unternehmen durch fehlende Datensicherung große Gefahr. Schon aufgrund einer mehr oder weniger unzureichenden BackupStrategie kann ein entsprechend variabler Schaden aufgrund des Umfangs der verlorenen Daten entstehen. Hier spricht man zum einen von Horizontalverlusten, das heisst, gesicherte Daten stehen nur bis zu einem bestimmten Zeitpunkt in der Vergangenheit zur Verfügung, zum anderen steht der Begriff Vertikalverlust für das Fehlen ganzer Datenteilmengen. Um diesen, sich graduell unterschiedlich auswirkenden Schäden aufgrund mangelnder Datensicherung vorzubeugen, sollte ein Unternehmen zwei Forderungen an seine Datensicherheitsstrategie stellen: – Zu beliebigen Zeitpunkten existiert auf einem separaten Medium ein genaues Duplikat des Datenbestands. – Die Zeit zur netzwerkweiten Wiederbereitstellung dieser Daten nach einem Ausfall konvergiert gegen Null. L AN line 7/2000 75 SCHWERPUNKT: BACKUP-LÖSUNGEN Es ist klar, dass diese Forderungen einen Idealzustand darstellen, der sich, zumindest im Moment, noch nicht verwirklichen lässt. Dennoch stellt diese Maxime eine gute Richtlinie für eine optimale Datensicherung dar. Dedizierte Hochverfügbarkeitssysteme kommen dieser Forderung schon jetzt sehr nahe, jedoch kosten sie viel Geld und bestehen aus durch die Anwendung klar vorgegebenen Lösungen. Folglich stellen sie bislang eher eine Ausnahme dar und bieten daher keinen Maßstab für eine kommerzielle Verbreitung. Kommerziell verbreitet sind stattdessen zur Zeit Unternehmensnetze (Enterprise Networks) mit einem oder mehreren Servern. Das Prinzip ist in beiden Fällen identisch, die einzelnen Arbeitsplatzrechner greifen über das Netz auf zentrale Daten oder Dienste zu. Eine höhere Anzahl der Server soll im wesentlichen für eine Leistungssteigerung sorgen, indem für einzelne zentrale Dienste eigene Maschinen vorgesehen werden (Datenbank-Server, Kommuni- Arrays neben der Vergrößerung des Speichervolumens durch den Einsatz von RAID auch eine gewisse Ausfallsicherheit erreichen lässt (RAID 1 oder 5). Insgesamt ist es in der Zwischenzeit einfacher geworden, ein bestehendes Netz den sich offenbar ständig steigenden Anforderungen anzupassen. Nach aktuellen Schätzungen der IDC steigt das Datenaufkommen in Netzwerken um zirka 40 Prozent pro Jahr. Hierfür muss zunächst unabhängig von der Frage der Datensicherheit die Bereitstellung des Primärspeichers gewährleistet werden. Damit entstehen bei dieser Entwicklungstendenz Netze, die aus mehreren Servern bestehen, welche neben den eigentlichen Diensten sehr große Speichervolumina zur Verfügung stellen. Daraus ergeben sich Engpässe: Teilt man einen Server in seine beiden prinzipiellen Bestandteile Prozessor und Speicher auf, so ist einerseits bei einem Defekt des Prozessors der Zugang zum intakten Speicher nicht mehr möglich, andererseits kann der eigentlich intakte In einem “klassischen Netz” sind die Daten dezentral verteilt kations-Server, Backup-Server oder ähnliches), sobald die Leistungsfähigkeit einer Maschine nicht mehr ausreicht. Unabhängig von der Anzahl wird jeder Server meist großzügig dimensioniert. Die Leistungsfähigkeit eines Servers hängt im wesentlichen von der Prozessorzahl und dem verfügbaren Arbeitsspeicher ab. Das Speichervolumen reicht von einfachen Festplatten aus dem Entry-LevelBereich bis hin zu aufwendigen Disk Arrays, wobei sich beim Einsatz von Disk 76 L AN line 7/2000 Prozessor bei einem Ausfall des Speichers nicht mehr ordnungsgemäß arbeiten. Es sind also beim Ausfall von nur einer Komponente eines Servers bis zur Wiederherstellung des Systems beide Teile lahmgelegt. Außerdem vergeht trotz der immer höheren Übertragungsraten im Netz immer mehr Zeit für den Datentransport, weil die Datenmengen noch stärker wachsen und so die Netzwerke zunehmend belasten. Zur Lösung dieser Problematik haben sich 1993 die Firmen Hewlett-Packard, IBM und Sun Microsystems zur FibreChannel-Initiative (FCSI) zusammengeschlossen. Der Zweck war, einen neuen Standard für leistungsfähige I/O-Verbindungen zu entwickeln, der auch mehr Flexibilität bei den Konfigurationsmöglichkeiten bietet. Über diesen Fibre Channel lassen sich elektronische Geräte an ein gemeinsames High-Performance-Netzwerk anschließen, das SAN (Storage Area Network) oder auch “Fabric” im Fibre-ChannelJargon genannt wird. Dieses entlastet den für die Verbindung der Server kritischsten Teil des Netzes. Zusätzlich stellt ein SAN mit einer Übertragungsrate von 100 MByte/s einen überaus leistungsfähigen Zugriff auf die Speicher zur Verfügung. Dazu kommt noch ein qualitativer Vorteil, denn die Einheit eines Servers in Prozessor und Speicher wird aufgebrochen. Das ermöglicht eine größere Flexibilität hinsichtlich unterschiedlichster Anforderungen. Ein Netzwerk lässt sich beispielsweise in unabhängige ausfallsichere Speichersubsysteme aufteilen, denen ein Pool von Prozessorsystemen gegenübersteht (Clustering). Das beschränkt den Verlust auf die tatsächlich ausgefallene Komponente. Der Einsatz eines SAN hat allerdings höhere Kosten für I/O-Systeme zur Folge, als für herkömmliche SCSI-Systeme. Außerdem kommt erschwerend hinzu, dass der Standardisierungsprozess bei weitem noch nicht abgeschlossen ist. Unabhängig von der Beschaffenheit (ein oder mehrere Server, mit oder ohne SAN) dieser mehr oder minder großen und leistungsfähigen heterogenen Netzwerke sind die Daten zu sichern, damit sie bei Totalausfall eines Systems nicht verloren gehen, sondern wieder rekonstruiert werden können. Für diesen Prozess steht in der Regel ein Backup-Window (Zeitspanne fürs Durchführen einer Datensicherung) zur Verfügung, das normalerweise nicht vergrößert werden kann, da das Netz zu anderen Zeiten im Produktiveinsatz ist. www.lanline.de SCHWERPUNKT: BACKUP-LÖSUNGEN Prinzipiell gibt es zwei Arten der Datensicherung: zentral und dezentral. Bei einer dezentralen Sicherung erhält jeder Server im Netzwerk ein eigenes Backupmedium, auf das dann die Daten mit Hilfe entsprechender Backup-Software lokal gesichert werden. Mit zunehmender Anzahl von Servern steigen bei dieser Lösung Aufwand und Kosten. Die zentrale Datensicherung arbeitet im Gegensatz dazu mit einem dedizierten Backup-Server, der die zu sichernden Daten über das Netz bezieht und auf sein Backupmedium schreibt. Hier ist noch zu unterscheiden, ob der Backup-Server die Daten zunächst lokal ablegt und anschließend sichert, oder ob er aufgrund zu geringen lokalen Speichers gezwungen ist, die über das Netzwerk erhaltenen Daten unverzüglich zum Backup-Medium weiterzuleiten. Im ersten Fall ergibt sich der Vorteil, dass die Daten als Duplikat online zur Verfügung stehen. Bei der Differenzierung von zentraler oder dezentraler Datensicherung geht es nicht nur um den Ort der Daten, sondern vor allem um das zentrale Management der Datensicherung. Durch den Anschluß von Tape-Libraries am Backup-Server lässt sich ein großer Automatisierungsgrad erreichen. Die wichtigsten Faktoren für die Auswahl einer Tape-Library sind der Speicherbedarf, der Datendurchsatz (Anzahl der Laufwerke und Datenübertragungsrate) und der gewünschte Automatisierungsgrad durch Vorhalten der entsprechenden Anzahl von Bändern. Ein Netzwerk mit SAN bietet sehr gute Voraussetzungen für den zentralen Datensicherungsprozess. Hier steht eine hohe Performance für die Datensicherung über das SAN zur Verfügung ohne das LAN zu belasten. In einem LAN ohne SAN lässt sich bis zu einem gewissen Grad ebenfalls der Vorteil einer zentralen Datensicherung erreichen, wenn die für diesen Prozess benötigten Komponenten entsprechend leistungsfähig ausgelegt werden. Zum Einhalten des Backup-Windows muss der Backbone die zu sichernden Daten innerhalb der vorgeschriebenen 78 L AN line 7/2000 Zeit zum Backup-Server transportieren. Bei Übertragungsraten, wie sie bei Ethernet, Fast-Ethernet und GigabitEthernet üblich sind, lassen sich praktisch etwa zwei, 20 beziehungsweise 200 GByte pro Stunde übertragen. Multiport-Netzwerkkarten auf 100MBit/s-Ethernet-Basis ermöglichen den range-Laufwerks mit einer Übertragungsrate von 12 MByte/s (Exabyte, Mammoth2,8-mm-Technik, Kapazität komprimiert bis zu 150 GByte) lässt sich die Anzahl parallel zu betreibender Bandlaufwerke auf ein Minimum reduzieren. Maximal laufen bei der Exabyte-Lösung zehn Laufwerke parallel in einer Tape-Library, was Ein SAN ermöglicht als zentrale Datenquelle Backups ohne das LAN zu belasten parallelen Zugriff auf den Backup-Server, was beispielsweise bei einem Anschluß von vier Servern zu einem Datentransfer von annähernd 28 MByte/s (entspricht 100 GByte/h) führt. Dieser Wert wird voraussichtlich in Kürze durch die Verfügbarkeit schnellerer Netzwerkmedien (Gigabit Ethernet) nach oben korrigiert werden. Dabei ist jedoch eine Konfiguration zu implementieren, die für den eigentlichen Nutzdatenverkehr über das LAN genug Ressourcen frei lässt. Optimal wäre in diesem Zusammenhang eine Sicherung zu einer Zeit ohne Nutzdatenverkehr, zum Beispiel nachts. Um die Daten auf das Band zu schreiben, sind mehrere Bandlaufwerke parallel in einer Tape-Library zu betreiben. Die üblichen Übertragungsraten der Bandlaufwerke des Midrange-Bereichs reichen von etwa einem bis zu zwölf MByte/s. Beim Einsatz des derzeit schnellsten Mid- eine Transferrate von 120 MByte/s ergibt. Das sind mehr als fünf GByte/min beziehungsweise 422 GByte/h. Zum Erreichen dieser Werte müssen Netz- und Streamer-Hardware wirklich parallel betrieben werden. Diese Technik unterstützt beispielsweise die NetzwerkBackup-Software Arkeia über die sogenannte Multi-Flow-Technology. Die auf den einzelnen Servern installierten Client-Agenten dieser Software nehmen außerdem eine Komprimierung der Daten vor dem Transport über das Netzwerk vor. Damit lassen sich Backupgeschwindigkeiten erzielen, die häufig die Übertragungsrate des Netzwerks übersteigen. (Michael Lemke/gg) Info: Comnet Datensysteme GmbH Tel.: Tel.: 030/21 75 66 60 Web: http://www.cnd.de www.lanline.de SCHWERPUNKT: BACKUP-LÖSUNGEN VIER LAUFWERKE UNTER NT 4 UND BACKUP EXEC 7.3 Nur Drei kamen durch Vier neue Vertreter der Gattung Bandlaufwerk mussten in der gewohnten Backup-Testumgebung ihr Können unter Beweis stellen. Dabei zählten das Mammoth 2 (nun als endgültige Version), das ADR 50 (mit LVD-SCSI), das DLT 1 sowie das SLR 100 zu den Kandidaten. as Debüt der Technologie “Linear Tape Open” auf der letztjährigen Comdex hat noch nicht zu lieferfähigen Produkten geführt. Deswegen konnten zu diesem Vergleichstest – Ende des Test Anfang Juni 2000 – noch keine LTOLaufwerke getestet werden. Diesmal bestand das Testumfeld aus dem Serienmodell des Mammoth 2 von Exabyte, dem DLT 1 von Benchmark Tape Systems sowie dem SLR 100 von Tandberg und dem ADR 50 von Onstream. Im Testumfeld (genaue Konfiguration siehe Kasten) mussten alle Laufwerke zeigen, wie im täglichen Betrieb die Sicherungsaufgabe unter Backup Exec 7.3 (Build-Version 2575) für Windows NT D 4.0 gelöst wurde. In diesem Netzwerk waren zwei Server über ein 10/100MBit/s-Ethernet (via Switching Hub LSW 10/100-8H von Buffalo) verbunden. Als Datenbestände fungierten zum einen mehrere Videoclips (insgesamt 16,5 GByte), die zuvor über die Miro-DV300Platine von der digitalen Kamera (Sony DCR-TRV9E) auf die beiden Festplattenlaufwerke des Servers Ceylon (an dem jeweils die zu testenden Bandlaufwerke angeschlossen waren) gespielt wurden. Weitere Daten (insgesamt 0,5 GByte) waren auf dem Server Assam1 abgelegt. Dabei handelte es sich hauptsächlich um JPG- und GIF-Bilddateien, wie sie heute im Internet übertragen werden. Bild 1. Eine komprimierte Kapazität von 100 GByte (Kompression 2:1) zeichnet das SLR-100-Laufwerk aus Quelle: Tandberg 80 L AN line 7/2000 Bereits im letzten Vergleichstest ragte Exabytes Vorserienmodell Mammoth 2 aus dem Testfeld hervor. Damals (siehe Ausgabe 2/2000 der LANline, ab Seite 130) residierte auf dem Laufwerk allerdings eine noch nicht endgültige Firmware-Version, weswegen es auch damals zu einem “Aussetzer” beim Verify-Lauf kam. Exabyte verspricht bei diesen Laufwerken eine Kapazität von 60 GByte und eine Transferrate von 12 MByte/s (alle Angaben native, also unkomprimiert). Dabei handelt es sich um eine Weiterentwicklung der Mammoth-Tape-Technologie (siehe dazu die Website www.mammoth tape.com). Als wesentliche Neuerung kommt bei der neuen Generation die Integration der Elektronik in den ScannerKöpfen zum Einsatz. Die Anzahl der Lese/Schreibköpfe wurde von zwei auf vier erhöht. Zudem sorgt ein adaptiver Datenpuffer für einen konstanten Datenfluss von der Datenquelle zum Band. Das kompakte Laufwerk (5,25-Zoll-Formfaktor mit halber Bauhöhe) eignet sich laut Exabyte auch sehr gut für den Einsatz in entsprechenden Libraries. Außerdem ist die Abwärtskompatibilität zu den Exabyte-8-mm-Medien garantiert. Dieses Gerät verdiente sich schon in der Vorserienversion die Bestnoten beim Datentransfer. Zum diesmaligen Test konnte Exabyte aber ein Exemplar aus der Serienfertigung für den Test bereitstellen. Im Test – bei identischer Aufgabenstellung – konnte das Laufwerk erneut seine Überlegenheit beweisen. Die Übertragungsrate wurde weiter verbessert und der Verify-Lauf fehlerfrei absolviert. Als zweites Testgerät musste das Laufwerk “DLT 1” von Benchmark Tape Systems seine Stärken zeigen. Der Hersteller verfolgt hier ein interessantes Konzept: “DLT zum DDS-Preis” lautet das Marketing-Motto. Der Vorteil dieses Ansatzes zeigt sich in der Kompatibilität zu DLT, denn das Laufwerk wird vom Betriebssystem als DLT erkannt und auch die Firmware auf dem Gerät beim Booten stellt sich als “Quantum DLT 7000” vor. Benchmark Tape Systems verspricht zudem, dass das Laufwerk DLT-4000-Bänder (Kassetten vom Typ DLTape IV) lesen kann. Die unkompri- www.lanline.de SCHWERPUNKT: BACKUP-LÖSUNGEN Laufwerk Benchmark Tape Systems DLT 1 Exabyte Mammoth 2 Onstream ADR 50 Tandberg SLR 100 gesicherte MByte Zeitdauer in Minuten Transferrate (Schreiben plus Verify) MByte/min 18.000 220 81,8 18.000 63 285,7 leider noch keine Backup Exec Ergebnisse möglich 18.000 129 139,5 Tabelle mit den Ergebnissen der Bandlaufwerke, gesicherte Daten insgesamt: 18.000 MByte (der Komplettjob beeinhaltet auch den Verify-Lauf) mierten (native) Kapazitäts- und Datentransferangaben für das DLT 1 lauten: 40 GByte und 3 MByte/s. Das Testsystem – ein externes Gerät mit LVD-SCSI-Anschluss – kam mit einer vollständigen Ausrüstung: externes SCSIKabel, externer SCSI-Terminator, Netzkabel, eine Bandkassette (DLTape IV) und Dokumentation – allerdings fehlt zusätzliche Software mit Treibern und weiterführender Dokumentation. Die Preisempfehlung für dieses Paket beträgt in den USA knapp 1700 Dollar – erfüllt somit die Herausforderung “DDS-Preislage”. Die Installation des externen DLT-1Laufwerks verlief auf der Hardware-Seite vollkommen problemlos. Beim Erkennen durch das Betriebssystem meldete NT, dass ein DLT-7000-Laufwerk gefunden wurde. Nach dem Installieren des entsprechenden Treibers von der Betriebssystem-CD-ROM und dem obligatorischen Neustart des Systems war das Gerät sowohl vom NT-eigenen BackupProgramm als auch von Backup Exec 7.3 sofort ansprechbar und die Testläufe verliefen reibungslos. Bei der Sicherung von Volume C: des PDC erzielte das System im Test fast den selben Datendurchsatz wie das Mammoth-2-Laufwerk. Scheinbar wirkt sich der Overhead durch das Netzwerk als eine massive Bremse aus. Denn schon beim Sichern des Systemlaufwerks auf dem Backup-Server lag Mammoth 2 um 50 Prozent über dem DLT 1. Und bei den großen Datenmengen – in Form der Videoclips – auf den lokalen Laufwerken E: und F: war das Mammoth 2 um den Faktor 3,7 bis 4,2 besser. Auch den indirekten Vergleich www.lanline.de mit den – weitaus teureren – DLT-7000und dem DLT-8000-Laufwerken verliert das DLT 1. In einer gleichen Testumgebung – mit einem entsprechenden Datenbestand – liegt das DLT 1 eher im Bereich eines AIT-1-Laufwerks. Eine Transferrate von 140 MByte/min (wie das DLT 8000) oder 132 MByte/min (wie das DLT 7000) ließen sich in diesem Testumfeld nicht erzielen. Hier ließ sich nur ein Wert von knapp über 80 MByte/min erreichen. NT-Domäne TIME4TEA Als nächster Neuling startete das SLR100. Es markiert derzeit das obere Ende der SLR-Familie. Mit dem SLR 100 von Tandberg verspricht der Hersteller eine Verbesserung um 150 Prozent beim Datentransfer und die doppelte Kapazität – verglichen mit dem Vorgängermodell SLR 50. Das SLR schafft 50 GByte (native) sowie eine Transferrate von 5 MByte/s, so der Hersteller. Damit zielt das Laufwerk in den Bereich der kleineren und mittleren Server im NT-, Unix- oder Netware-Umfeld. Der Lieferumfang des externen SLR 100 waren neben dem Laufwerk das SCSI-Kabel (LVD-SCSI) plus externer SCSI-Terminator und Stromkabel noch Bandkassetten sowie Dokumentation. Treiber waren auf Diskette beigelegt – allerdings nur für Netware. Auf einer CDROM war eine Version Arcserve IT für NT und für Netware mit dabei. Doch Treiber für Windows NT sowie entsprechende Software für Backup Exec auf NT befand sich nicht im Testpaket. Über die (NTN WS) OOLONG BuffaloSwitching Hub SW 10/100-8H 10/100 MBit/s Ethernet CEYLON (NT4-Server mit Backup-Laufwerk) ASSAM1 (NT4-Server, PDC) Bild 2. Der Testaufbau für den Vergleich der Bandlaufwerke L AN line 7/2000 81 SCHWERPUNKT: BACKUP-LÖSUNGEN Aufbau des Vergleichstests Bandlaufwerke In einem Testaufbau – eine Windows-NT-Domäne mit zwei Servern – mussten die Testkandidaten ihre Fähigkeiten unter Beweis stellen. Der Primary Domain Controller (ASSAM1) und der Server mit den Backup-Laufwerken CEYLON waren über einen 10/100MBit/s-Switch von Buffalo gekoppelt (es fand während des Backup-Laufes kein Arbeiten statt, weder über das Netzwerk noch lokal auf einem der Server). Der Grossteil der Daten lag auf dem Backup-Server CEYLON – insgesamt 16,5 GByte waren hier hauptsächlich als Video-Clips abgelegt. Als Backup-Software kam Backup Exec 7.3 für Windows NT (BuildVersion 2575) zum Einsatz. Die einzelnen Server waren alle mit Windows NT 4.0 Server (Servicepack 4) ausgestattet, als Dateisystem war auf allen Volumes NTFS konfiguriert. Die Hardware-Details der zwei Server lauten wie folgt: ASSAM1: Asus-Mainboard KN-97, Pentium II/266 MHz, 96 MByte DRAM (66 MHz DIMM), SCSI-Controller Initio-9100UW, Harddisk Seagate ST34555W, SVEC-Ethernetkarte (10/100 MBit/s, DEC-Chipsatz), CD-ROM-Laufwerk Toshiba XM-5701TA, zu sichernde Daten: 0,4 GByte CEYLON: Asus-Mainboard P3C-F, Pentium III/700 MHz (Coppermine), 128 MByte DRAM (100 MHz), zwei SCSI-Controller: ein Adaptec 3950U2W mit zwei U2W-Kanälen sowie ein Adaptec 2940U2W, Harddisk Seagate ST39173LC und ST31840LW, CD-ROMLaufwerk Toshiba XM-6602B, SVEC-Ethernetkarte (10/100 MBit/s, Realtek-Chip), zu sichernde Daten: 16,5 GByte (das getestete Bandlaufwerk war jeweils als einziges SCSILaufwerk auf einem SCSI-Kanal angeschlossen). Website von Tandberg waren dann jedoch SLR-100-Treiber für NT 4.0 und sogar für Windows 2000 verfügbar. Nach der Installation der Treiber für Windows NT 4 bereitete allerdings die Backup-Software Probleme. Es waren zwar – rot markiert – die zuvor getesteten und nun nicht mehr angeschlossenen Laufwerke mit der Kennung “offline” im Gerätemanagementfenster eingetragen. Doch Backup Exec weigerte sich strikt, das SLR-100Laufwerk als geeignetes Gerät anzuerkennen. Sämtliche Versuche, aus Backup Exec das Gerät anzusprechen, scheiterten. Über die NT-eigene Bandsicherung war allerdings der Zugriff auf das SLR 100 möglich. Abhilfe schaffte hier nur ein Trick – der Tipp stammt vom kompetenten Tandberg-Support. Der Administrator muß erst alle “offline”-Laufwerke unter Backup Exec löschen. Nach einem Neustart von NT und dem anschließenden Aufruf von Backup Exec fand sich das SLR-100-Laufwerk dann wie von “Geisterhand” eingetragen, und der BackupLauf wurde ohne Probleme absolviert. Als Transferrate im Test schaffte das Gerät fast 140 MByte/min. Das vierte Laufwerk im Bunde, das ADR 50 von Onstream, war das einzige 82 L AN line 7/2000 für den Einbau in den Backup-Server. Für die Hardware-Installation lagen auch alle notwendigen Teile bei, ein internes SCSI-Kabel (LVD) wie auch der passende SCSI-Terminator. Der Hardware-Einbau bereitete keine Probleme. Positiv anzumerken ist auch bei diesem Laufwerk, dass der Hersteller die Kritik am Vorgänger (SC 50) aufgegriffen hat: Nun nimmt das Gerät die komplette Bandkassette auf, die Kassette ragt nicht mehr wie beim SC 50 zur Hälfte aus dem Schacht heraus. Im nativen Modus schafft das Laufwerk 25 GByte, die Transferrate liegt laut Hersteller bei 2 MByte/s (ebenfalls native). Als Preisvorstellung nennt der Hersteller zirka 2140 Mark (plus Mwst.). Leider hatte der Hersteller außer der Dokumentation für den Hardware-Einbau sowie einem Reviewer Guide keinerlei Software beigelegt. Auch hier musste der Zugriff über die Website von Onstream die notwendigen Treiber liefern. Auch hier waren Treiber für NT 4.0 und Windows 2000 verfügbar – allerdings beide nur in einer Betaversion. Die Installation dieses Treibers führte mehrmals zu einem kompletten Systemabsturz. Beim fünften Versuch ließ sich der Treiber erst installieren. Nach der Unterstützung von Backup Exec 7.3 suchte der Tester leider vergebens. Auch im Reviewer Guide war nur der Hinweis zu lesen: “Certification in progress”. Damit war auch hier ein Testen nach der traditionellen Vorgehensweise nicht möglich. Als Ausweg stand lediglich die entsprechende Sicherung mit den “NTBordmitteln” zur Wahl. Doch fairerweise wurden hier keine Ergebnisse ermittelt, dies wird einem späteren Test vorbehalten sein, bei dem dann die endgültige Treiberversion zum Einsatz kommen sollte. FAZIT: Das obere Ende der Leistungs- fähigkeit im Midrange-Markt ist dem Mammoth 2 zuzuordnen. Es bleibt abzuwarten, ob die LTO-Laufwerke hier mithalten können. Das DLT 1 ist eine sehr günstige Alternative und besticht durch die weitgehende Kompatibilität zur DLT-Familie. Die Transferraten – verglichen mit dem Preis – bewegen sich in einem vernünftigen Rahmen. Das SLR-100 schafft zwar nur etwa die Hälfte der Übertragungsrate des Mammoth2. Doch zielt das Laufwerk ja auch in einen anderen Markt. Generell bleibt damit die SLR-Technik konkurrenzfähig – die Freunde der SLRKassetten und der linearen Aufzeichnungstechnik werden dieses Ergebnis sicher wohlwollend zur Kenntnis nehmen. Das ADR-Lauferk kann aus Performance-Sicht leider noch nicht endgültig beurteilt werden. Hier muss erst die Unterstützung für Backup Exec 7.3 auf Windows NT verfügbar werden. Vielleicht ist das ja schon in der nächsten Ausgabe der LANline möglich. (Rainer Huttenloher) Weitere Informationen: Benchmark Tape Systems Web: www.benchmarktape.com Exabyte Web: www.exabyte.com Onstream Web: www.onstream.com Tandberg Web: www.tandberg.com Veritas Web: www.veritas.com www.lanline.de SCHWERPUNKT: BACKUP-LÖSUNGEN IM TEST: NETWORKER 5.7 FÜR WINDOWS NT/2000 Backup-Lösung für große Netzwerke Einen guten Ruf besitzt die Backup-Lösung Networker von Legato im Unix-Umfeld. Mit dem Erscheinen von Windows 2000 bietet Legato die Software auch für dieses Betriebssystem an. Außerdem gibt es eine NTVariante der Networker-Version 5.7. Networker offeriert viele Merkmale, die in größeren Umgebungen erforderlich sind, so das Gruppieren von Clients, mehrere Zeitpläne für unterschiedliche Clients, Disk Staging und flexible Benachrichtigungen für Administratoren. Eine parallele Verarbeitung an mehreren Stellen erhöht die Leistung. ie grundlegende Funktionsweise des Networkers stimmt mit den meisten Konkurrenzprodukten überein. So arbeitet die Software streng nach dem Client-/Server-Prinzip. Die Hauptarbeit übernehmen Backup-Server, indem sie das System verwalten, einen Index der gesicherten und archivierten Dateien führen und die Hardware (Laufwerke und Wechsler) bedienen. Die Client-Software ist zur Sicherung von Computern (sowohl Arbeitsstationen als auch Server) erforderlich. Daher richtet das Setup auf dem Sicherungs-Server auch gleich einen Backup-Client ein – ansonsten könnte der Server sich nicht selbst sichern. Außerdem kann der Systemverwalter sogenannte Storage Nodes verwenden; das sind abgespeckte Server, die lediglich die Backup-Hardware bedienen, aber keinerlei Verwaltungsarbeiten durchführen. Storage Nodes entlasten den BackupServer und bieten damit besonders in Umgebungen mit einem hohen BackupVolumen eine interessante Alternative. Damit das Netzwerk nicht unnötig belastet wird, senden Backup-Clients zu sichernde Daten direkt an Storage Nodes, statt erst über den Sicherungs-Server zu gehen. Die Bedienung ist trotz des Funktionsumfangs dank einer übersichtlichen D 84 L AN line 7/2000 Oberfläche nicht zu kompliziert. Hat man das Konzept erst einmal verstanden, bereitet die Administration keine Probleme. Bei Legato Networker gibt es nicht, wie bei einigen Konkurrenzprodukten, Backup-Aufträge, welche alle zur Datensicherung erforderliche Angaben enthalten. Statt dessen konfiguriert der Administrator zunächst Zeitpläne, Clients, Client-Gruppen, Laufwerksoptionen und so weiter völlig unabhängig voneinander. Anschließend verbindet er diese Elemente, indem er beispielsweise Clients einen der zuvor konfigurierten Zeitpläne zuweist. Die einzelnen Elemente nennt Legato Ressourcen und die Eigenschaften der Ressourcen heißen Attribute. Die Administrationsoberfläche stellt die Ressourcen in einer einfachen Struktur dar, ähnlich wie der Windows-Explorer die Ordner des Dateisystems. Die wichtigsten Ressourcentypen sind BandPools, Client-Gruppen und Zeitpläne (Schedules). Da jeder Ressourcentyp bereits bei der Installation von Networker vorgefertigte Elemente enthält, läßt sich ein einfaches Backup-System schnell einrichten. Eine effektive und angepasste Datensicherung kommt natürlich nicht ohne kundenspezifische Ressourcen aus, die der Administrator daher erstellen sollte. Einen eigenen Ressourcentyp stellt das Server-Setup dar. Hier stellt der Administrator Eigenschaften ein, die für den gesamten Server gelten, wie die maximale Anzahl gleichzeitiger Sicherungssitzungen, ob manuelle Sicherungen von Clients aus erlaubt sein sollen, ob Benut- Das Admin-Werkzeug verwaltet alle Networker-Server unter NT, Unix und Novell Netware www.lanline.de SCHWERPUNKT: BACKUP-LÖSUNGEN zer sehen können, welche Dateien anderer Benutzer gesichert wurden und wer den Server administriert. Die Namen der Administratoren des Servers (standardmäßig die NT-Gruppe Administratoren) speichert Networker aber auch in allen anderen Ressourcen, sodass sich die Verwaltung des Backup-Systems sehr fein abstimmen lässt. Ebenfalls als eigener Ressourcentyp erscheint die Registrierung der Software. Potenzielle Kunden können Networker 30 Tage lang testen und sich dann entscheiden, ob sie das Produkt kaufen wollen. Eine Neuinstallation ist beim Kauf nicht erforderlich; die Eingabe des Registrierungsschlüssels genügt. Nach dem Ablauf des Testzeitraums sichert Legato zwar keine Daten mehr, spielt aber Backups unbegrenzt lange zurück. RESSOURCENTYPUS CLIENTS Einer der wichtigsten Ressourcentypen sind Clients. Hier kann der Administrator sämtliche Backup-Clients in einer (unter Umständen sehr langen) Liste sehen und für einzelne Clients diverse Eigenschaften einstellen, zum Beispiel welchen Schedule-Plan der jeweilige Client verwenden soll. Auch die “Browse Policy” wird hier festgelegt; dabei handelt es sich um den Zeitraum, wie lange Networker über die gesicherten Dateien des Clients Buch führt. Läuft der Zeitraum ab, werden die Daten aus dem sogenannten Index entfernt, um Festplattenplatz auf dem Server zu sparen. Erst wenn die “Retention Policy” abläuft, darf Networker die Daten vom Sicherungsmedium löschen. Zudem kann der Systemoperator hier eine “Directive” einstellen. Sie sagt aus, welche Daten wie zu sichern sind. Beispielsweise lässt sich eine Directive anlegen, welche die CacheVerzeichnisse von Browsern ausschließt und die Komprimierung bestimmter Verzeichnisse festlegt. Anschließend kann der Administrator diese Directive einzelnen Clients zuweisen. Standardmäßig sichert Networker seine Clients vollständig. Auch die Priorität eines Clients innerhalb seiner Client-Gruppe läßt sich festlegen. Damit wird definiert, dass be- www.lanline.de stimmte Clients innerhalb ihrer Gruppe zuerst zu sichern sind. Client-Gruppen stellen einen weiteren häufig konfigurierten Ressourcentyp dar. Der Administrator kann beliebig viele Gruppen erstellen und Clients per Drag-and-Drop aus dem Client-Ressour- erhalten sollen und ob der Pool nur bestimmte Speicherlaufwerke verwendet. An der Hardware arbeiten die beiden Ressourcentypen Autochangers und Devices. Sie ermöglichen es, direkt mit Speicherlaufwerken oder Libraries zu arbeiten, beispielsweise um einem neuen Der Zustand von Bandlaufwerken läßt sich interaktiv steuern cencontainer in eine (oder mehrere) Gruppen seiner Wahl verschieben. Ebenso ist er in der Lage, Clients zwischen den Gruppen zu bewegen. Die wichtigsten Eigenschaften einer Gruppe sind die Uhrzeit der Datensicherung für diese Gruppe und ob Networker Datensicherungen automatisch zu dieser Uhrzeit durchführen soll. An welchen Tagen dies geschieht, gibt die bereits erwähnte Auswahl des Zeitplans bei den einzelnen Clients an. Weiterhin kann der Admin in den Gruppeneigeschaften eintragen, wie oft die Software versucht, eine Sicherung des Clients zu wiederholen, falls der erste Versuch nicht erfolgreich war. Auch der Timeout-Wert wird hier eingestellt. Ist ein Client eine bestimmte Zeit nicht erreichbar, bricht Networker den Versuch ab, die Daten dieses Clients zu sichern. BACKUP-MEDIEN IN GRUPPEN EINGETEILT Neben den Clients sind auch Backup-Medien in Gruppen eingeteilt, den sogenannten Pools. Für jeden Pool kann der Systemverwalter einstellen, welches Label neue Medien dieses Pools Band eine Kennung (Label) zu verpassen, ein eingelegtes Band zu aktivieren (mounten) oder um es auszuwerfen. Angenehmerweise greift Networker für NT/2000 auf diejenigen Bandlaufwerkstreiber zu, welche der Laufwerkshersteller für NT/2000 geschrieben hat. Da sich Networker bei der Datensicherung das zu beschreibende Band nach bestimmten Kriterien selbst auswählt, muss der Administrator zum Beginn jeder Datensicherung mit einem Einzellaufwerk das von der Software angeforderte Tape einlegen und mit diesem Menüpunkt aktivieren. Diese lästige Aufgabe lässt sich nur durch eine Library umgehen, sodass die regelmäßige Datensicherung von Networker mit einem Einzellaufwerk nicht sinnvoll erscheint. Zum Wiederherstellen von Daten kann ein einzelnes Bandlaufwerk aber nützlich sein: Beispielsweise wenn Daten von Bändern zurückgespielt werden sollen, die sich nicht mehr in einer Library befinden. Um das Backup-Zeitfenster zu verkürzen, ermöglicht Legato Networker das sogenannte “Disk Staging”. Dabei wird L AN line 7/2000 85 SCHWERPUNKT: BACKUP-LÖSUNGEN auf dem Server ein beliebiges Verzeichnis einer lokalen Festplatte als virtuelles Bandlaufwerk (File Type Device) eingerichtet. Da Festplatten viel schneller sind als Bandlaufwerke, beschleunigt dieser Vorgang die Sicherung enorm, sofern das Netzwerk die Daten schneller von Clients rungssätze auf ein zweites Band. Dabei sind zwei Bandlaufwerke obligatorisch. Der Administrator kann das Cloning für Client-Gruppen einstellen oder manuell durchführen. Neben der hohen Datensicherheit beschleunigt das Cloning die Wiederherstellung von Daten: Aus Per- Im Überwachungsfenster zeigt der Server alle Vorgänge an holen kann, als das Bandlaufwerk sie auf dem Band speichert. Das Disk Staging bringt auch dann etwas, wenn das Netzwerk langsamer als das Bandlaufwerk ist, denn es eliminiert das gefürchtete und verschleißfördernde “Backhitching”, bei dem das Bandlaufwerk wegen des immer wieder unterbrochenen Datenstroms ständig anhalten, ein Stück zurückspulen und neu ansetzen muss. Besonders linearaufzeichnende Laufwerke (zum Beispiel DLT und QIC) sind davon betroffen. Um die Datensicherheit zu gewährleisten, werden nach dem festplattenbasierten Backup die Daten auf ein gewöhnliches Bandlaufwerk verschoben. Nachteil des Disk Staging ist eine geringere Datensicherheit, da Networker eine Festplatte als temporäres Speichermedium verwendet. Wer das Disk Staging einsetzen möchte, sollte also auf ein RAID-Set zurückgreifen. Außerdem bedeutet das Disk Staging eine längere Server-Belastung als ein gewöhnliches Backup. Der Datensicherheit dient das Cloning. Es kopiert einzelne oder mehrere Siche- 86 L AN line 7/2000 formance-Gründen sichert Networker normalerweise mehrere so genannte “Save Sets” im Multiplex-Verfahren auf ein Band. Dabei erhält der Server von mehreren Clients gleichzeitig Daten, die er abwechselnd auf das Band schreibt. Die Daten der Clients werden also “ineinander verwoben”.Je mehr Save Sets gleichzeitig gesichert sind, desto länger dauert das Wiederherstellen eines Clients, denn dabei muss die Software ja nur die Daten dieses Clients lesen und die anderen Daten auf dem Band ignorieren. Ein “geklontes” Band enthält die einzelnen Save Sets aber immer als ganze Einheit, sodass Client-Daten schnell wiederhergestellt sind. Um die Belastung der Clients und des Netzwerks durch das Backup zu verringern, lassen sich Consolidated Backups durchführen. Dabei sichert der Server nur die Daten, die sich seit der letzten vollständigen Sicherung geändert haben. Anschließend – und darin liegt der Trick – kopiert er dieses inkrementelle Backup mit dem letzten vollständigen Backup zusammen, um eine aktuelle vollständige Sicherung zu besitzen – ohne alle Daten des Clients erneut über das Netzwerk zu übertragen. Diese Form der Sicherung bedeutet allerdings eine lange Belastung des Backup-Servers und erfordert drei Bandlaufwerke. Im Test ergaben sich keine Probleme. Die Installation verlief reibungslos und auch die Zusammenarbeit mit den Bandlaufwerken (Ecrix VXA-1 und Tandberg MLR 3) funktionierte einwandfrei. Ein DDS3-Laufwerk von Hewlett-Packard erlag während der Testphase leider einem frühen Tod. Die Konfiguration des Servers bedeutet keine Schwierigkeiten, denn in Problemfällen steht neben der gewöhnlichen Online-Hilfe eine “Field Help” zur Verfügung, welche die Bedeutungen einzelner Optionen kurz und bündig erklärt. Der Druck auf F1 brachte allerdings eine Fehlermeldung. Die Konfiguration eines Backup-Clients unter Netware hingegen war nicht so einfach; erst nach mehreren Anläufen mit der technischen Unterstützung konnte Networker auf den Novell-Server zugreifen. Nicht gefallen hat, dass die Uhrzeit für eine Sicherung in der Client-Gruppe, der Zeitplan hingegen bei den einzelnen Clients eingestellt wird. Dies bietet zwar eine Flexibilität, kann aber leicht verwirren. Hier sollte sich Legato etwas einfallen lassen. Leider fehlen dem Produkt jedwede Möglichkeiten, Berichte zu erstellen. An dieser Stelle sollte sich der Hersteller eine Scheibe bei der Konkurrenz abschneiden. FAZIT Legato bietet mit dem Networker 5.7 für NT/2000 eine flexible und leistungsfähige Lösung zur Datensicherung. Insgesamt kann das Produkt überzeugen, auch wenn die fehlenden Berichte schmerzen. Wünschenswert wäre ein deutsches Handbuch. (Andreas Roeschies/gg) Info: Produktname: Networker Tel.: 089/94 49 40 - 0 Fax: 089/94 49 40 - 50 Web: www.iqproducts.de www.lanline.de SCHWERPUNKT: BACKUP-LÖSUNGEN BACKUP UND RECOVERY ÜBER IP-VERBINDUNGEN Komprimiert und verschlüsselt Eine vollautomatische Sicherung der Dateien von mobilen Clients auf einen über IP angeschlossenen Windows-NT-4-Server ermöglicht die Software Rapid Recall. Der Zugang erfolgt dabei über Direkteinwahl, Intranet- oder Internet-Zugang zum Firmennetz. ackup- und Datensicherungssysteme gehören heute ebenso zum StandardSicherheitskonzept komplexer IT-Strukturen wie Firewalls zum Internet-Zugang oder USVs für die Ausfallsicherheit. Doch in Client-/Server- und RemoteUmgebungen, in denen teilweise Tausende von vor Ort arbeitenden und nicht vernetzten Notebooks und PC-Clients die Daten sammeln und verarbeiten, stehen Unternehmen und Anwender vor der Frage der Sicherung dieser wertvollen Daten. Nach einer Studie der Strategic Research Corp. von 1998 werden 74 Prozent der Anwenderdaten nicht gesichert. Das heißt, die gängigen Sicherungskonzepte gewährleisten bei Client-/ServerNetzwerken mit PCs und Notebooks als Clients nur die Sicherung eines Bruchteils der Daten des Unternehmens. Dies gilt für Vertriebsstrukturen mit zentralem Server und Notebooks im Außendienst sowie für Unternehmen mit einer zentralen IT-Plattform und dezentralen LANs und Clients. Alarmierend ist auch ein Bericht der PC PRO Reliability & Service Awards 1999, demzufolge durchschnittlich 23 Prozent der DesktopPCs und 27 Prozent der mobilen PCs innerhalb der ersten zwei Jahre einen Defekt aufweisen. Die Unternehmen sind sich der Problematik durchaus bewusst, die Frage ist nur, sollen Anwender wie Vertriebsleute, der IT-Administrator oder ein übergeordnetes Management die Verantwor- B 88 L AN line 7/2000 Software zentral alle kritischen Daten im Unternehmensverbund sichern. Er muss sich nicht auf die Disziplin der Anwender verlassen und kann ihnen darüber hinaus durch Disaster-Recovery-Funktionen ständig schnelle Hilfe anbieten. Der Zugang erfolgt dabei über Direkteinwahl, Intranet- oder Internet-Zugang zum Firmennetz. Damit wird endlich das Datensicherheitskonzept vieler Unternehmen “rund”. Die Topologie dieses Backup-Systems sieht vor, dass auf einem dezidierten NTServer 4.0 die Metadaten für die einzelnen Accounts verwaltet werden. Dabei handelt es sich bei einem Account um einen Computer, ein Notebook oder einen Desktop-Rechner. Auf jedem Client befindet sich ein Agent, der Aktionen auslösen kann, die an ein Ereignis gekoppelt sind. Dieses Ereignis kann der Beginn eines Backup-Zeitraums sein, den der Administrator vorgegeben hat, wie beispielsweise eine bestimmte Uhrzeit beziehungsweise ein bestimmter Zeitraum, zu dem ein Backup initiiert wird oder dass das Backup erfolgen soll, sobald eine IP-Verbindung (über LAN, RAS oder das Internet) besteht. Vor der Übertragung stellt der Backup-Agent fest, ob die Datei bereits auf dem Server vorhan- tung für die Sicherung der Daten übernehmen und wie kann ein entsprechendes Konzept realisiert werden? Bisher gestaltete es sich sehr schwierig, die Daten der Remote-Notebooks zentral mitzusichern. In die Sicherungskonzepte für Desktops werden derzeit bestenfalls noch Programme miteinbezogen, die auf File-Level im LAN-Bereich noch zuverlässig Backups veranlassen. Der Anwender war mit der Verpflichtung zur Datensicherung in der Regel sich selbst überlassen. Sogar in großen Unternehmen mit komplexen IT-Netzwerken, die sich strikt an ihr Datensicherungsund Backup-Konzept halten, sind oft die Clients und mobilen Benutzer mit ihren lokalen Dateien und speziellen Anwendungen die Schwachstelle. Mit der Softwarebasierten Lösung Rapid Recall ist es nun möglich, automatisch und mit einem vertretbaren Zeitaufwand ein Backup auszuführen und dies auch mit Clients an weit entfernten Standorten. Dabei kann der IT-Administrator mit dieser Bild 1. Die Architektur von Rapid Recall www.lanline.de SCHWERPUNKT: BACKUP-LÖSUNGEN den ist. Dann werden nur die Veränderungen in den Blöcken, also die Deltas, komprimiert übertragen. Dabei liegt die Komprimierung in der Praxis im Bereich 10:1. Der Agent des Clients wird vom ITAdministrator konfiguriert. Ihm steht auf dem Server ein sogenanntes BackupKonfigurations-Tool zur Erstellung der Setup-Datei zur Verfügung. Diese Datei enthält alle für einzelne oder eine Gruppe von Computern relevanten Backup-Informationen. Hier ist beispielsweise festgelegt, was gesichert wird, also die gesamte Festplatte oder nur eine Partition, und wann gesichert wird, per Scheduling oder bei einem bestimmten Ereignis. Konfiguriert werden hier auch FirewallEinstellungen und die IP-Adresse. Für die Übertragung zum Server wird eine TCP/IP-Verbindung genutzt. Die konfigurierte Setup-Datei wird dann per EMail, per “Hands Free Installation”, also www.lanline.de ohne Zutun des Anwenders oder über Diskette an die einzelnen Clients verteilt. Der Anwender kann an diesen Einstellungen nur das ändern, was der Administrator als editierbar definiert hat. Auf dem Backup-Server werden die Anwenderdaten verschlüsselt und komprimiert abgelegt. Dabei übernimmt eine hierarchische Speicherplatzverwaltung (Hierarchical Storage Management – HSM) die Verteilung und Sicherung der Archiv-Sets zwischen dem Festplattenspeicher und der Tape Library. Die Server-Software des Backup-Servers tauscht Informationen mit dem Agenten auf dem Client aus und sichert die Daten. Sie ermöglicht die Skalierbarkeit für mehrere tausend Anwender und hält die Daten rund um die Uhr für die Anwender bereit. Die Server-Software besteht aus drei Komponenten, dem Server Control Panel, dem Backup Config Tool und dem AOK-Browser. Das Server Control Panel zeigt jederzeit den Zustand des RapidRecall-Servers an. Das Backup Config Tool wird zur Grundkonfiguration und der Herstellung des Agents verwendet. Der AOK-Browser ist eine HTML-basierende Verwaltungskonsole, über die Account-Informationen angezeigt, Organisationsänderungen vorgenommen und die „Knowledge Base“ abgefragt werden können. Er ermöglicht sowohl die genaue Überwachung als auch ein ausführliches Berichtswesen. In den meisten Unternehmen ist das Netzwerk durch die zunehmenden Remote-Anwendungen bereits stark belastet. Darüber hinaus ist gerade die Netzwerkbandbreite eine knappe Ressource. Es ist deshalb wichtig, dass ein effizientes Backup-System auch für niedrige Bandbreiten konzipiert ist. Die “Delta Block”-Technologie, die “Send Once”Technik, eine effiziente Komprimierung und die Möglichkeit zu intelligentem Ti- L AN line 7/2000 89 SCHWERPUNKT: BACKUP-LÖSUNGEN ming können zusätzlich für eine Minimierung des Backupvolumens und -aufwands sorgen. Die Architektur der Software bietet darüber hinaus die technischen Voraussetzungen für eine geringe Netzwerkbelastung. Bei Rapid Recall wird die gesamte Festplatte eines jeden Notebooks vor der Aushändigung an den Anwender einmal Administrator identifiziert und beseitigt werden musste. Normalerweise muss bei einem Backup immer die komplette Datei gesichert werden. Das gilt auch dann, wenn der Anwender nur eine kleine Änderung an einer Datei vorgenommen hat. Durch die “Delta Block”-Technologie wird bei Änderung einer Datei nur die Änderung Bild 2. Die Aktionen von Rapid Recall lassen sich in Point & Click-Manier starten im LAN auf dem Backup-Server gesichert. Dabei vermeidet die Funktion “Send Once” Redundanzen und somit Platzprobleme auf dem Server. Denn diese Technologie sorgt grundsätzlich dafür, dass jede Datei nur ein einziges Mal auf dem Backup-Server im LAN oder über Remote Access abgelegt werden muss. Dabei werden die Daten auf Block-Level auf Unterschiede geprüft. Beispielsweise werden Dateien der Form *.dll, die für alle Notebooks genau identisch sind und praktisch nie geändert werden, nur einmal abgespeichert. Trotzdem haben alle Notebooks diese Dateien in ihrem Backup-Account zur Verfügung. Dieses Konzept wird auf alle zu sichernden Dateien angewandt. Alle statischen Daten, und dies sind oft mehr als 90 Prozent des Inhalts der Festplatte, liegen nur einmal auf dem Backup-Server. Damit verhindert man automatisch jede Art von Redundanz, die sonst durch den IT- 90 L AN line 7/2000 selbst (Block-Level) gesichert. “Delta Block” sorgt so für eine Reduzierung des zu übertragenden Datenvolumens um bis zu 95 Prozent (etwa bei einer Powerpoint-95-Datei). Ein Anwender entdeckt beispielsweise bei seiner Arbeit in seiner Powerpoint-Datei “xxy” einen Rechtschreibfehler. Korrigiert er diesen Fehler, so war es bisher so, dass diese Datei beim nächsten Backup komplett, bestenfalls komprimiert mitgesichert wurde. Der Rückgriff auf die “Delta Block”Technologie führt zu einer Prüfung, auf welche Blöcke der Datei sich das Einfügen eines Buchstabens ausgewirkt hat. Und genau diese betroffenen Blöcke werden dann komprimiert und anschließend verschlüsselt als ein Delta zur OriginalDatei Powerpoint “xxy” gesichert. Da also bei der täglichen Sicherung bei bereits vorhandenen Dateien höchstens nur Deltas übertragen werden, liegt der zeitliche Aufwand für das Backup in der Größen- ordnung von wenigen, in der Regel 5 bis 7 Minuten. Pro Originaldatei eines Benutzers werden vom Backup-Server bis zu 30 Delta-Sicherungsversionen verwaltet. Die Funktion Point-in-Time-Repair erlaubt dem Anwender eine schnelle Wiederherstellung des Systems, wenn die Client-Festplatte ersetzt werden musste oder Fehler durch Neukonfiguration- und -installation aufgetreten sind. Durch Rückkehr zur letzten als “gut” bekannten Systemkonfiguration bekommt der Anwender ein fehlerfreies System zurück, ohne dass ein Eingreifen der IT-Abteilung nötig ist. Der Agent auf dem ClientRechner führt die Analyse der zur Wiederherstellung benötigten Dateien für den Anwender durch (zum Beispiel DLL-, INI-, Gerätetreiber- und RegistryDateien). Die Wiederherstellung erfolgt korrekt und schnell, weil nur die vom Rapid-Recall-Agent angegebene Auswahl geladen wird. Der Anwender kann auch selbst einzelne Dateiversionen aus der Liste verfügbarer Backups wählen, die wiederhergestellt werden sollen (etwa bei der Wiederherstellung von Dokument- und Anwenderdaten). Das gesamte System kann jederzeit in einen beliebigen Sicherungszustand der Vergangenheit zurückgesetzt werden. Außerdem ist Rapid Recall in der Lage, zwei gespiegelte Backup-Server gleichzeitig zu verwalten. Wenn Daten auf dem primären Server ankommen, werden diese simultan zum gespiegelten Server gesendet. In dem Moment, in dem der Backup-Client die Backup-Sitzung beendet, überprüft das System, ob tatsächlich jeweils eine Kopie auf den beiden gespiegelten Servern vorhanden ist. Für das Ontrack-Backup-System sind ein Server mit NT 4.0, ein Pentium-IIProzessor mit mindestens 350 MHz und mindestens 128 MByte Hauptspeicher sowie eine Microsoft-SQL-Server-Lizenz 7.0, ein Internet Information Server sowie Internet Explorer 4.01 erforderlich. (Peter Böhret/rhh) Weitere Informationen: Ontrack Data Recovery GmbH Web: www.ontrack.com/rapidrecall www.lanline.de SCHWERPUNKT: BACKUP-LÖSUNGEN TAPEWARE 6.2 FÜR LINUX IM TEST Eineiige Zwillinge Mit der Version 6.2 bringt Yosemite Technologies nun auch eine LinuxVariante der Backup-Software Tapeware auf den Markt, die nicht nur das gleiche Dateiformat verwendet wie die Windows- und Netware-Ausgaben, sondern auch das gleiche Look-and-Feel mitbringt. T apeware für Linux ließ sich mit dem zum Lieferumfang gehörenden, textbasierten Installationstool problemlos auf unserem Testrechner (siehe hierzu auch Kasten) installieren. Danach befindet sich nicht nur die Administrations-Software auf dem Rechner, Tapeware wird jetzt auch bei jedem Systemstart mit aufgerufen und versieht seinen Dienst im Hintergrund, was beispielsweise für zeitgesteuerte Backups sehr wichtig ist. Nach dem ersten Aufruf der TapewareAdministration, die übrigens auf den KDE als grafische Benutzeroberfläche angewiesen ist, stellten wir fest, dass die Software das Backup-Laufwerk bereits korrekt erkannt hatte, weitere nachträgliche Konfigurationsarbeiten waren nicht erforderlich. Nach der Definition der Speichermanagement-Zone konnten wir sofort mit den Backup-Jobs beginnen. Zum Erstellen und Verwalten der Jobs stellt Tapeware einen Assistenten zur Verfügung, der die wichtigsten Anwendungsbereiche abdeckt, für speziellere Aufgaben hat der Anwender die Möglichkeit, “traditionell” über Registrierkarten zu arbeiten. Die Jobverwaltung, die über Ordner erfolgt, ist simpel und transparent, das Anlegen von Backups sowie das Zurückspielen bestimmter Dateien macht keine Schwierigkeiten. Der Status des jeweiligen Backup-Jobs wird bei Bedarf in einem separaten Fenster angezeigt, damit erhält der Anwender unter anderem Informationen über die verbleibende Zeit Das Statusfenster informiert über den Zustand der aktuellen Jobs 92 L AN line 7/2000 und den aktuellen Datendurchsatz. Tapeware erhebt jedoch den Anspruch, mehr zu sein als ein reines Backup-Tool: Die Software dient zum Management der Datensicherheit in Netzwerken. Beim Verwalten von Dateien im LAN ist Sicherheit einer der wichtigsten Aspekte. Deshalb wurde darauf auch bei Tapeware ein besonderes Augenmerk gelegt. Die so genannte Speichermanagementdatenbank der Software verhindert, dass nicht autorisierte Benutzer mit Ob- Testumgebung: AMD K6/266 mit 128 MByte RAM, Adaptec-2940-SCSI-Controller, IBMDCAS-34330-HDD sowie einem SeagateAIT-Bandlaufwerk. Als Betriebssystem kam Redhat Linux 6.2 zum Einsatz. jekten arbeiten können, für die sie keine Zugriffsberechtigungen besitzen. Der Tapeware-Administrator kann dabei verschiedenen Benutzern unterschiedliche Rechte einrichten, damit die Datensicherheit gewährleistet wird, ohne dass die Produktivität darunter leidet. Die Software kennt, ähnlich wie die meisten Systeme dieser Art, Benutzer und Gruppen. Einzelne Anwender erhalten entweder als Benutzer oder als Gruppenmitglied Berechtigungen für ein Objekt. Der Tapeware-Administrator kann zum Beispiel einzelnen Benutzern, einer ganzen Gruppe oder sowohl Benutzern als auch Gruppen die Berechtigung zum Lesen von Dateien auf einem bestimmten Band gewähren. Einzelne Anwender können dabei Mitglieder mehrerer Gruppen sein. Die Rechte, die sich den Objekten zuweisen lassen sind: Supervisor, Zugriff, Erstellen, Ändern, Löschen, Lesen und Schreiben. “Supervisor” ist die umfassendste Berechtigung. Sie stattet den Benutzer mit drei bestimmten Fähigkeiten aus. Erstens besitzt er automatisch alle anderen sechs Berechtigungen für das Objekt, zweitens erhält er automatisch gültige Berechtigungen für alle Objekte in der Speichermanagementdatenbank, www.lanline.de SCHWERPUNKT: BACKUP-LÖSUNGEN die sich unter “seinem” Objekt befinden und drittens kann ihm keine der sieben Berechtigungen für irgendein Objekt in der Speichermanagementdatenbank, das sich unter diesem Objekt befindet, verwehrt werden. Ein Benutzer mit der Berechtigung “Zugriff” ist in der Lage, anderen Benutzern und Gruppen Berechtigungen für das dazugehörige Objekt zu gewähren. Will ein Anwender beispielsweise Berechtigungen für ein von ihm erstelltes Band vergeben, muss er die Berechtigung Zugriff für dieses Band besitzen. Mit der “Erstellen”-Berechtigung kann ein Benutzer ein neues Objekt anlegen. Das gilt beispielsweise, wenn jemand einen neuen Job innerhalb eines Ordners definieren möchte. Das Recht zum Ändern dient zum Ändern von Namen und Speicherort eines Objekts sowie der im Eigenschaftenfenster festgelegten Faktoren. Löschen, Lesen und Schreiben steuern schließlich den Benutzerzugriff auf Objekte (wie Bänder, Geräte und Dateien), die gelesen, gelöscht oder beschrieben werden. Diese Berechtigungen sind erforderlich, um Sicherungs-, Wiederherstellungs- und Überprüfungsjobs durchzuführen. Diese Rechte, die sich flexibel an Anwender und Gruppen vergeben lassen, sollten ausreichen, um die Datensicherheit auch in größeren Netzwerkumgebungen zu gewährleisten. Tapeware 6.2 bringt umfangreiche Funktionen zum Schutz der Daten mit Um die Aufgaben des Netzwerkadministrators weiter zu vereinfachen, verfügt Tapeware über umfangreiche Automatisierungsmöglichkeiten. Damit lässt sich nicht nur der Backup-Typ (komplett, inkrementell, etc.) im voraus festlegen, sondern auch der Zeitpunkt beziehungsweise die Häufigkeit des Backups definieren. Zum Beispiel ist es mit Tapeware möglich, einen Job so zu definieren, dass unter der Woche jeweils inkrementelle Backups durchge- Flexibel sind die Automatisierungsfunktionen von Tapeware www.lanline.de führt werden und am Wochen- beziehungsweise Monatsende eine komplette Sicherung. Außerdem kann der Administrator auch benutzerdefinierte Zeitpläne entsprechend seiner speziellen Sicherungsanforderungen erstellen. Ein Beispiel für diesen Anwendungsbereich: Ein wöchentlicher Sicherungsjob wurde nicht wie geplant ausgeführt. Eine vollständige Datenrekonstruktion lässt sich aber nur dann garantieren, wenn dieser Job abgeschlossen ist. Daher sollte er sobald wie möglich ausgeführt werden. Um das zu realisieren, bietet Tapeware die Funktion, den wöchentlichen Sicherungstermin vom Wochenende auf einen Arbeitstag zu verlegen. Um die Administratoren automatisch zu verständigen, ob Jobs erfolgreich abgearbeitet wurden oder nicht, bietet der Hersteller darüber hinaus optional eine E-Mail-Funktion. Mit Tapeware 6.2 steht den Anwendern jetzt auch unter Linux eine BackupSoftware zur Verfügung, die praktisch alle Anforderungen aus dem professionellen Bereich abdeckt. Für die Administratoren heterogener Netze ist es sicher ein Vorteil, dass das Look-and-Feel der Software auf allen Plattformen identisch bleibt. (Götz Güttich) L AN line 7/2000 93 SCHWERPUNKT: BACKUP-LÖSUNGEN IM TEST: VERITAS BACKUP EXEC 8.5 FÜR NETWARE Linux im Auge des Agenten Backup Exec für Netware hat eine neue Versionsnummer bekommen und zeigt solide Datensicherung sowie auch einige Neuerungen, die vor allem Administratoren freuen werden, die in einer heterogenen Umgebung Linux-Rechner im Netware-Netz betreuen müssen. ei Veritas Backup Exec handelt es sich um eine der gebräuchlichen Backup-Lösungen auf der Netware Plattform. Diese Software konkurriert im wesentlichen mit Arcserve von Computer B schön, macht es auf der anderen Seite allerdings für den Hersteller auch schwer, mit bemerkenswerten Neuerungen aufzuwarten, die das Hochzählen von Versionsnummern rechtfertigen könnten. Bild 1. Backup Exec setzt auf Novells SMS auf und kann NDS-Objekte ohne Probleme sichern und wiederherstellen Associates International, dem Networker von Legato, Novanet von Novastor und Tapeware von Yosemite – wobei das Novanet-Angebot weitgehend identisch mit Tapeware ist. Mittlerweile hat Backup Exec eine lange Geschichte hinter sich, in der sich das Produkt zu einer stabilen und vielseitigen Backup-Lösung entwickelt hat. Das ist 94 L AN line 7/2000 Mit Backup Exec versucht der Hersteller seit langem, die Arcserve-Kundschaft zum Wechsel zu bewegen. In der Version 8.5 hat Veritas deshalb noch einmal die Möglichkeit verbessert, von Arcserve beschriebene Bänder zu lesen. Das funktioniert wunderbar für SMS-Datenströme, nicht ganz so gut für das native Arcserve-It-Format und versagt völlig bei Arcserve-It-Backups von NDS, NT-Registry und Backups von MS Exchange und MS SQL. Allerdings würde das Arcserve It Tape Read Feature bei einem Produktwechsel ohnehin nur als Notnagel dienen, und dafür reicht es vollkommen aus. Als neue Errungenschaften von Backup Exec werden propagiert: – Feiertagskalender, – Intelligent Disaster Recovery, – Quick Check, – Tape Mirror, – Linux Unterstützung sowie die – Open File Option. Im Feiertagskalender können die Tage eingetragen werden, in denen das PlanerModul von Backup Exec offline geschaltet wird. Das ist dann von Vorteil, wenn am Feiertag kein Systembetreuer für denBandwechsel zu Verfügung steht. Bisher begrüßte der Planer den Systembetreuer nach Feiertagen mit einem erheblichen Auftragsstau. Das Intelligent Disaster Recovery (IDR) ist in Version 8.5 verbessert und restauriert den Server von Diskette, CD oder einem boot-fähigen Band. Das LANlab ist sich nach wie vor nicht sicher, welche Zielgruppe mit Intelligent Disaster Recovery angesprochen werden soll. Das Erstellen des Mediensatzes für Intelligent Disaster Recovery ist vergleichsweise kompliziert. Wenn aber der Administrator über die entsprechenden Kenntnisse verfügt, kennt er auch adäquate Mittel und Wege, um den zerstörten Server mit den ganz normalen Backup-Restore-Methoden wieder herzustellen. Zusätzlich ist zu bedenken, dass eine verteilte Server-Umgebung und eine partitionierte NDS definitiv zu komplex sind, um dort ohne weitere Planung eine Restauration vom IDR-Medium vorzunehmen. Quick Check bezeichnet eine automatische, on-the-fly Datenüberprüfung während des Backup. Das stellt sicher, dass die Daten richtig auf das Band geschrieben werden. Eine gute Idee, weil viele Netzwerkadministratoren dazu neigen, den Verifikationslauf nach der Si- www.lanline.de SCHWERPUNKT: BACKUP-LÖSUNGEN cherung auszulassen, weil die Zeit dringend für das Backup benötigt wird. In Version 8.5 gibt es auch die Möglichkeit zwei Bänder gleichzeitig anzulegen. Tape Mirror erleichtert Archivierungsaufgaben, wenn Bänder an zwei Orten aufgehoben werden sollen. Backup Exec 8.5 hat die schon immer breite Agenten-Palette um Linux erweitert und unterstützt jetzt auch Redhat-Linux, Suse-Linux, Mandrake sowie Caldera-Linux. Auch OS/2 und Macintosh werden von Backup Exec 8.5 – wie bereits in der Vorgängerversion – unterstützt. Die Open-File-Option von Backup Exec ist im Vergleich zum Open File Manager von St. Bernard Software nach wie vor schwach. Sie funktioniert zwar, aber der organisatorische und technische Aufwand, der betrieben werden muss, ist unverhältnismäßig groß. Die Forderung von 30 bis 50 Prozent freiem Plattenplatz auf dem größten Datenträger für einwand- freies Funktionieren ist in der Realität kaum zu gewährleisten. Backup Exec 8.5 positoniert die OpenFile-Option als elegante Möglichkeit, Novells Groupwise-Daten zu sichern, doch das ist weit übertrieben. Die OpenFile-Option sichert einfach einen Snapshot aller Groupwise-Datenbanken, der auch nur als Ganzes wieder rückgesichert werden kann. Es ist nicht möglich, zum Beispiel eine versehentlich gelöschte Mail eines bestimmten Benutzers wieder rückzusichern. Von Novell hört man allerdings, dass das kurz vor der Vollendung stehen soll. Damit hätten diese Sorgen ein Ende. Das Benutzerhandbuch von Veritas Backup Exec 8.5 ist nach wie vor umfangreich und nicht sehr übersichtlich. Positiv zu vermerken ist, dass auf zehn Seiten beschrieben wird, wie der Administrator vor dem Backup sicherstellt, dass die NDS gesund ist. Eine flexible Autoloader-Unterstützung, “Shared Storage” und Sicherung von Oracle-Datenbanken müssen als Optionen zusätzlich gekauft werden. Zumindest die Autoloader-Option sollte Veritas in das Basispaket aufnehmen. Bei den heute anfallenden Datenmengen und Datenstrukturen kommt man ohne Autoloader nicht mehr gut zurecht. (Werner Degenhardt/rhh) Weitere Informationen: Backup Exec Web: www.veritas.com Arcserve Web: www.cai.com Networker Web: www.legato.com Novanet Web: www.novastor.com Tapeware Web: www.tapeware.com Online www.lanline.de Volltextarchiv Marktübersichten Das Volltextarchiv mit Hunderten von Artikeln aus allen AWiZeitschriften liefert Ihnen im Handumdrehen maßgeschneidertes Profi-Wissen. Über 100 Markt- und Anbieterübersichten schaffen Durchblick im Produktangebot und helfen bei Ihrer Investitionsplanung. LANline Spezial Tips & Tricks Das Wichtigste zu den heißen Themen der Netzwerk-Branche – von der Redaktion der LANline speziell aufbereitet. Hier finden Sie garantiert keine Tips zu Winword – dafür aber jede Menge zu Netware, Windows NT, ISDN und anderen Netzwerk- und Kommunikationsthemen. verlag münchen wir informieren spezialisten. www.lanline.de L AN line 7/2000 95 SCHWERPUNKT: BACKUP-LÖSUNGEN SICHERUNG DES NDS E-DIRECTORY Nur ganz sicher ist auch sicher genug Beim NDS E-Directory handelt es sich um eine komplexe verteilte Datenbank, die sich durch ihre Robustheit fast unverletzlich gibt. Wenn das Unglück allerdings eintritt, muss der Administrator gut vorbereitet sein, sonst ist der Schaden ebenso komplex, wie weit verteilt. us NDS für Netware ist mit “E-Directory” und der “E-Directory Corporate Edition” eine ungemein robuste verteilte Datenbank geworden, die auf mehreren Rechnerplattformen läuft. NDS E-Directory ist für viele Unternehmensnetze ein wichtiges Stück Infrastruktur geworden und ist auf dem Weg, dieselbe Rolle auch für viele Unternehmungen im Internet zu übernehmen. Von wichtigen Daten hat man jederzeit eine Kopie, sagt die Theorie. Die Erfahrungen des technischen Supports mit der Praxis sprechen allerdings eine deutliche Sprache: Es gibt viel zu selten eine Sicherungskopie von kritischen Daten und noch seltener, wenn es sich bei den kritischen Daten um NDS oder NDS E-Directory handelt. Die besonders problematische Situati- A Bild 1. Die “3-Replica-Regel” macht technischen Totalausfall von NDS E-Directory so gut wie unmöglich 96 L AN line 7/2000 on von NDS E-Directory hat ihren Grund in zwei Eigenschaften des Directory Service: – NDS E-Directory ist gegenüber technischen Fehlern überaus nachsichtig und – NDS E-Directory ist eine verteilte, lose konsistente Datenbank. NDS E-Directory nicht mehr zu reparieren ist. Denkbare Situationen sind, in der Reihenfolge zunehmender Wahrscheinlichkeit: – Feuer oder Flut vernichten alle Server mit allen Replikas einer NDS E-Directory Installation. – NDS E-Directory ist in einer SingleServer-Umgebung installiert und fällt einem Server-Crash zum Opfer. – Eine schwerwiegende Fehlfunktion von NDS E-Directory (Software-Problem, Administrationsfehler) führt dazu, dass die Datenbank nicht mehr operabel ist. – Die Reparatur von Replikationsfehlern wird durch einen zusätzlichen ServerAusfall oder Plattencrash verhindert. Die Replikas einer Partition werden dadurch unbrauchbar. – Objekte des NDS E-Directory werden durch einen Bedienungsfehler eines Verwalters versehentlich gelöscht. Bild 2. Die Storage Management Software ist eine modulare Client-/Server-Anwendung Viele Benutzer wissen, dass durch die Replikation von NDS E-Directory über mehrere Server technischer Totalschaden durch Ausfall von Hardware in der Praxis nicht vorkommt. Wird eine Replika durch einen “Plattenschaden” vernichtet, repliziert sie sich von selbst wieder, sobald der Server wieder in der alten Konfiguration am Netz ist. Das führt dazu, dass sich Benutzer von NDS E-Directory in der Regel über alle Maßen sicher fühlen, da die NDS selbst für ihre Sicherheit sorgt. Dieses Gefühl der Sicherheit ist leider trügerisch, da es Situationen gibt, in denen Gegen Hardware-Fehler kann man sich durch Maßnahmen der Ausfallsicherheit (RAID, Stand-By-Server) relativ gut schützen. Replikationsfehler lassen sich durch eine “proaktive” Wartung von NDS E-Directory weitgehend verhindern. Werkzeuge dafür werden von Bindview, Blue Lance und vor allem Netpro angeboten. Gegen multiple Hardwarefehler und Bedienungsfehler von Administratoren hilft letzten Endes wirklich nur ein funktionierendes Backup der NDS. Die Natur von NDS E-Directory führt allerdings dazu, dass ein normales File- www.lanline.de SCHWERPUNKT: BACKUP-LÖSUNGEN Backup bei der NDS wenig hilft. NDS E-Directory ist eine lose konsistente Datenbank, die in der Regel physikalisch über viele Server verteilt ist. Sichert man im Rahmen der normalen Datensicherung die NDS E-Directory-Dateien, die auf einem Server abgelegt sind, enthält die Datensicherung nur die NDS-Partitionen, deren Replika auf eben diesem Server liegt. Außerdem sichert eine einfache “Datei für Datei”-Sicherung der NDS nur die Daten, nicht aber die Beziehungen zwischen den Objekten und Partitionen. Die einzige Möglichkeit, NDS E-Directory wirklich sicher zu sichern, ist die Benutzung von Novells Storage Management Software (SMS) oder eines entsprechenden Backup-Programms, das auf SMS aufsetzt (siehe Kasten SMS). Richtig gut schlafen kann der Netzwerkadministrator aber auch dann nur, wenn er einige wichtige Richtlinien beherzigt: Bild 3. Für einen sicheren Start ins Backup mit SMS stellt Novell eine einfache Schnittstelle zur Verfügung – Es gibt mindestens drei Replikas jeder NDS-E-Directory Partition. Das Restaurieren einer Replika aus den noch existierenden Kopien ist immer der beste Weg. – Es ist sichergestellt, dass NDS E-Directory vollkommen gesund ist, bevor die Sicherung durchgeführt wird. Dafür verwendet man am besten “DS Expert” und “DS Analyzer” von Netpro. – Alle Weitverkehrsverbindungen (WAN-Links) sind zum Zeitpunkt des NDS-Backup operativ und stür- Gezielte Werbung = Erfolg mit der meistverbreiteten Netzwerk- und Kommunikations-Zeitschrift in Deutschland laut IVW I/2000 62.389 Exemplare der Monat für Monat Informationen zu LAN-, WAN- und Telekommunikation LANline berichtet über aktive Netzkomponenten (LAN-Karten, Router, Switches etc.), WAN- und Telekommunikationsprodukte und -services, Sicherheitsstrategien und -lösungen, VPNs, Software für den Netzbetrieb, (Betriebssysteme, Netz-Management etc.), Netzrechner (Server NCs etc.), Speichersysteme, Hard- und Software für Messaging und Collaboration (Internet-Komponenten, Web-Server, E-Mail, Groupware etc.), Host-Connectivity, e-commerce, Messtechnik sowie Verkabelung/Zubehör. Ausführliche Tests von Netzwerk- und Kommunikationsprodukten dienen als praxisgerechte Entscheidungshilfen. Ihr Anzeigenteam freut sich auf Ihren Anruf! Anne Kathrin Latsch 089/4 56 16-102 la@lanline.awi.de Fax: 089/4 56 16-250 www.lanline.de Susanne Ney 089/4 56 16-106 sn@lanline.awi.de Karin Ratte 089/4 56 16-104 kr@lanline.awi.de www.lanline.de L AN line 7/2000 97 SCHWERPUNKT: BACKUP-LÖSUNGEN Literaturhinweise Storage Management Software (SMS) developer.novell.com/research/index.htm Novell hat vor einigen Jahren festgestellt, dass ein zuverlässiges Backup ein zentrales Merkmal eines Netzwerkbetriebssystems ist und Abhängigkeit von Drittherstellern in diesem Bereich nicht die optimale Situation darstellt. Da die vom Betriebssystem verwendeten Dateistrukturen niemand besser kennt, als der Hersteller des Betriebssystems selbst, ist es eine gute Idee Software anzubieten, die den transparenten Zugriff auf Dateistrukturen erlaubt. Novells SMS besteht aus fünf Komponenten: – Storage Device Driver zum Zugriff auf das Datensicherungsgerät, – Storage Management Data Requester (SMDR) für die Kommunikation zwischen SME und TSA. SMDR ist im Wesentlichen ein Satz von APIs mit dem ein SME auf Daten zugreifen kann. – Target Service Agents (TSA) machen die eigentliche Backup- und Restore Arbeit. Es gibt TSAs für die NDS (TSANDS), das Netware Dateisystem (zum Beispiel TSA500), die DOS-Partition (TSADOSP), Macintosh, Windows, OS/2, Groupwise und demnächst auch Oracle. – Storage Management Engine (SME), die für die eigentlichen Backup- und Restore-Operationen verantwortlich ist. Fairbanks, Michael; Neff, Ken, “Backing Up and Restoring Novell Directory Services in NetWare 4.11”, Novell Appnotes, October 1996 Moulay, Phillip, “A Disaster Recovery Strategy for Mixed NetWare 4/5 Environments”, Novell Appnotes, September 1999 Taylor, Justin J., “NDS eDirectory Design, Implementation, and Maintenance Guidelines”, Novell Appnotes, May 2000 zen während des gesamten BackupLaufs auch nicht ab. – Das Backup-Programm ist SMS-kompatibel und im Labor für die lokalen Verhältnisse gut ausgetestet. – Die lokale Installation von NDS E-Directory mit ihren Partitionen und Replikas ist sauber dokumentiert. Wer diese Checkliste noch nicht abgearbeitet hat, sollte sehr bald damit beginnen. NDS E-Directory enthält unternehmenskritische Informationen und Katastrophen kommen vor. Backup von NDS E-Directory ist eine Sache, die Rücksicherung die andere. Es ist im Falle eines teilweisen oder völligen Verlusts der NDS nicht damit getan, NDS E-Directory einfach rückzusichern. Zwei Regeln müssen unbedingt beherzigt werden: – Immer die NDS vor dem Dateisystem rücksichern. – Die NDS nie im Zuge der Rücksicherung restrukturieren. NDS-Objekte müssen vor dem Dateisystem rückgesichert werden. Das liegt daran, dass NDS die Informationen nach den “Distinguished Names” behandelt, das Dateisystem auf einem Server aber “Object Ids” verwendet. Die Beziehung zwischen NDS-Objekten und Objekten des Dateisystems wird bei der Rücksi- 98 L AN line 7/2000 Es ist eine ganze Reihe von SMS kompatiblen Storage Management Engines (SME) auf dem Markt, wie zum Beispiel Veritas Backup Exec, CAI Arcserve IT und Legato Networker. Novastors Novanet (Tapeware) benutzt ein eigenes NLM, das mit TSANDS weitgehend kompatibel sein soll, aber nur Full Backup und Restore erlaubt. Novell hat selbst zwei SMEs im Angebot, SBCON (für die Netware Konsole) und NWBACK32 für Windows/Windows NT. Beide SMEs erfüllen ihren Zweck sind aber kein Ersatz für ein ausgewachsenes Backup-System. TSANDS ist bei jeder Implementation von NDS E-Directory mit dabei. NDS E-Directory auf Windows, Sun Solaris und Linux kann also ebenso gesichert werden, wie NDS E-Directory auf der Netware-Plattform. (Werner Degenhardt/rhh) cherung durch das TSA wieder hergestellt. Es ist manchmal verführerisch, die Inhalte eines Containers vom Band in einen anderen Container rückzusichern. Das ist möglich, aber die Abhängigkeiten zwischen den einzelnen Objekten sind in der Praxis unüberschaubar komplex und man kann erheblichen Schaden anrichten, wenn man die Situation nicht vollkommen im Griff hat. Selbst wenn eine Situation in der Hektik entgleist, gibt es noch Hilfe. “Detroubler” von Future Gate ist eine spezialisierte NDS-Backup-RestoreLösung, die verspricht, auch in verfahrenen Situationen wieder zu einer funktionierenden NDS zu kommen. Insgesamt ist Backup und Restore von NDS E-Directory ein komplexes Thema, das der Netzwerkadministrator nicht auf die leichte Schulter nehmen darf. Sichere Backup-Strategien sind in Novells Application Notes (siehe Kasten mit den Literaturangaben) beschrieben. Man kann nur raten, die Literatur zu studieren und die entsprechenden Hinweise im lokalen Labor mit der lokal benutzten BackupSoftware zu testen. (Werner Degenhardt/rhh) Weitere Informationen: DS Expert DS Analyzer Web: www.netpro.com bv-Admin Nosadmin Web: www.bindview.com LT Auditor Web: www.bluelance.com Detroubler Web: www.future-gate.de Legato Networker Web: www.legato.com Backup Exec for Netware Web: www.veritas.com Arcserve IT for Netware Web: www.cai.com Novanet 8 Web: www.novastor.com www.lanline.de SCHWERPUNKT: BACKUP-LÖSUNGEN BACKUP MIT STANDARD UNIX-KOMMANDOS Unix-Backup ohne Client-Software Eine umfassende Disaster-Recovery-Strategie wird heute für Unternehmen mit höchsten Verfügbarkeitsansprüchen an Applikationen und Daten zunehmend zur Überlebensfrage. Die im Folgenden vorgestellte Backup-Management-Lösung unterstützt eine Datenwiederherstellung selbst im Falle der Nichtverfügbarkeit des Backup-Servers. ie meisten Backup-Lösungen schreiben Ihre Daten in einem proprietären Format – und häufig gemultiplext – auf Band. Im Falle eines Crashs des Backup-Servers muss die BackupSoftware gefunden, neu installiert und eventuell noch neu lizenziert werden, bevor sich die Bänder wieder lesen lassen. Unter Umständen ist sogar eine voll funktionsfähige Datei-Index-Datenbank für ein erfolgreiches Recovery erforderlich. Somit steht nur ein singulärer Zugriffspfad auf die unternehmenskritischen Daten zur Verfügung. Ein dediziertes Backup-ManagementWerkzeug hingegen arbeitet mit Standard Unix-Kommandos, um Daten zu sichern und wiederherzustellen. Die Daten werden in so einem Fall von der Management-Software im Ansi-Standard-Format auf Band geschrieben. Im Notfall – etwa nach dem Totalausfall einer Systemplatte des Backup-Servers – kann der Administrator unternehmenskritische Daten sehr schnell wieder herstellen, ohne die Management-Software neu zu installieren beziehungsweise zu lizenzieren. Im Mittelpunkt der Produkt-Philosophie steht folglich ein unter allen Umständen schnelles und zuverlässiges Recovery, wodurch die “Business Continuance” gewährleistet wird. Im Falle der Nichtverfügbarkeit der Backup-Applikation oder einer Datei-Index-Korruption lassen sich die Daten problemlos über D 100 L AN line 7/2000 Standard-Befehle des jeweiligen Betriebssystems zurückspielen. Falls erforderlich, können zudem ausgefallene Server in entfernten Rechenzentren repliziert werden. Das Band im ANSI-Format enthält: – Volume Label, – SHAR-File sowie – mehrere Backup-Images. Die Header-Files enthalten Informationen über das folgende Backup-Image während Trailer-Files Status-Informationen über das vorangehende Image umfassen. Das Shell Archive (SHAR)-File enthält unter anderem ein Utility, um das Inhaltsverzeichnis der Backup-Images auf einem beliebigen Sicherungsband zu erstellen. PLATTFORM-UNABHÄNGIGKEIT Eine bestehende heterogene Unix-Netzwerk wird dabei voll unterstützt. Damit entfällt das Investieren von Budget und Arbeitszeit in Installation und Wartung der Client-Software. Darüber hinaus unterstützt die Lösung eine Sicherung auf mehrere lokal angeschlossene Backup-Geräte bei zentral vorgehaltener Datei-Index- und Tape-Datenbank. Backup-Geräte können an Servern unter AuspexOS, Sun Solaris, HP-UX, IBM AIX, SGI IRIX sowie Windows NT, EMC Celerra und Network Appliance Ontap betrieben werden. Als Backup-Clients sind Server sämtlicher Unix-Derivate zulässig. Über die soeben erwähnten Betriebssysteme hinaus werden als Clients unter anderem UnixPlattformen von Tru64 Unix, Cray Research, SCO, Sequent sowie Linux-Systeme unterstützt. Als einzige Voraussetzung muss der Unix-Rechner “Remote Shell”-Zugriffe erlauben und eine native oder Third-Party Backup-Utility besitzen, welche auf den “Standard Output” schreibt. UMFASSENDE SKALIERBARKEIT Ein Unternehmen benötigt die Planungssicherheit, bei Bedarf dem Netzwerk so viele Server und Speichereinheiten wie erforderlich hinzufügen zu können. Erfüllt die eingesetzte Backup-Software nicht die Unternehmensanforderungen bezüglich Skalierbarkeit, so ist entweder eine andere Backup-Lösung zu wählen (samt allen hiermit verbundenen Migrationsproblemen), oder aber es müssen zusätzliche Backup-Server mit der bestehenden Software installiert werden (was eine Administration mehrerer Management-Stationen erfordert). solche Backup-Management-Lösung erfordert keine Software auf Client-Seite. Damit ist nur eine einzige Kopie auf dem Backup-Server erforderlich. Eine Lizenzierung erfolgt rein “Media Server”-bezogen, also auf dem Server, an den das Backup-Gerät angeschlossen ist. Deshalb werden beim Einbinden zusätzlicher Backup-Clients keine neuen Softwarelizenzen erforderlich. Die Integration neuer Betriebssysteme in das Daten im ANSI-Format auf Band www.lanline.de SCHWERPUNKT: BACKUP-LÖSUNGEN Eine Backup-Management-Lösung wie Bud-Tool unterstützt die Einbindung einer unbegrenzten Zahl von Client-Rechnern und sichert über eine einzige Management-Station TBytes an Daten. Jede Datensicherungs-Software umfasst eine Datei-Index-Datenbank, die detaillierte Informationen über Inhalt und Speicherort der Daten auf den Bandmedien enthält. Die Applikation implementiert außerdem einen äußerst kompakten Datei-Katalog, welcher typischerweise nur 1/20 der Größe der Datei-Kataloge des Mitbewerbs beansprucht. Somit ist der Datei-Katalog in der Lage, mehr als eine Milliarde gesicherte Dateien zu verwalten. Angesichts des enormen Wachstums der Datenmenge bietet diese Backup-Management-Software also eine zukunftssichere Lösung. PROJEKTBEISPIEL Folgende Referenz- Installation soll die Leistungsfähigkeit der beschriebenen Backup-ManagmentSoftware veranschaulichen. Die Backup-Management-Lösung unterstützt die verteilte Datensicherung bei zentralem Management in heterogenenen Unix-Umgebungen. Sämtliche BackupClients werden unter Einsatz ihrer nativen Kommandos (dump, tar, cpio, ...) www.lanline.de Verteilte Datensicherung zentral verwaltet gesichert. Aus Performance-Gründen sind die beiden Bandlaufwerke der Tape Library verschiedenen “Media Servern” zugeordnet. In der vorliegender Installation besitzt die Datei-Index-Datenbank eine Größe von 1,4 GByte. Verfügt eine Tape Library über mehrere Laufwerke, so können diese mit unterschiedlichen Servern verbunden werden. Somit erreicht man eine gute Entkopplung zwischen Backup-Datenstrom und Backup-Management-Informationen. Bei der eingesetzten Backup-Management-Software handelt es sich um BudTool Version 4.6.1 aus dem Portfolio des Datensicherungs-Experten Legato Systems. (Martin Schönauer/gg) Weitere Informationen: Bdata Systems GmbH Web: www.bdata.de L AN line 7/2000 101 SCHWERPUNKT: BACKUP-LÖSUNGEN DVD-RAM ALS BACKUP-TECHNOLOGIE Im Konzert der Speichertechnologien An der DVD-RAM scheiden sich die Geister. Die einen sehen in ihr eine ernstzunehmende Konkurrenz zu magneto-optischen Medien (MO) und prophezeien ihr sogar im Umfeld der kommerziellen Datenverarbeitung rosige Aussichten. Andere wiederum halten gerade das für gänzlich ausgeschlossen. Mittlerweile aber mehren sich die Anbieter, die interessante Lösungen auf Basis von DVD-RAM anbieten. ie DVD-RAM macht sich für die Datenaufzeichnung die PhaseChange-Technologie zu Nutze, die in ähnlicher Form, allerdings mit der Einschränkung der einmaligen Beschreibbarkeit (“Write Once”), auch bei CD-R und DVD-R angewendet wird. Das erste mehrfach beschreibbare Format auf der Grundlage dieser Technologie war die CD-RW, die mittlerweile eine recht große Verbreitung vorweisen kann. Der Bereich der kommerziellen Datenverarbeitung ist der CD-RW bisher dennoch verschlossen geblieben. Doch gilt es zunächst festzuhalten, dass die DVDRAM letztendlich eine Weiterentwicklung des CD-RW-Standards verkörpert. Das bei der DVD-RAM verwendete Phase-Change-Medium besitzt die Ei- D genschaft, durch Einwirkung eines Laserstrahls vom kristallinen in den amorphen beziehungsweise vom amorphen in den kristallinen Zustand versetzt zu werden. Dies macht man sich zu Nutze, um Informationen digital zu codieren (0 oder 1). Die unterschiedliche Reflektivität, welche die Schicht je nach dem jeweils geltenden Zustand aufweist, ermöglichst es, die solchermaßen codierte Information mit Hilfe eines wesentlich schwächeren Laserstrahls wieder auszulesen. Das optische Design des Schreibkopfes in einem DVD-RAM-Laufwerk ist relativ einfach und hat große Ähnlichkeit mit dem von CD-R- und DVD-R-Laufwerken. Durch die Adaption anderer Lasertypen mit kürzeren Wellenlängen wird es möglich sein, in näherer Zukunft deutlich höhere Aufzeichnungsdichten zu erzielen. Das Verfahren, mit dessen Hilfe bei der DVD-RAM die Schicht für die Aufzeichnung von Daten aufgetragen wird, die sogenannte Sputter-Technik, ist aufwendiger als dasjenige, das bei CD-R-/DVD-RMedien angewendet wird (Spin-Coating). Die DVD-RAM erfüllt dadurch zwar höhere Anforderungen an die physikalischen Eigenschaften der Beschichtung, kann aber bis auf weiteres preislich nicht mit der CD-R konkurrieren. Mittlerweile existiert die zweite Generation von DVD-RAM-Medien mit einer Kapazität von 4,7 GByte Daten. Die entsprechenden Laufwerke werden „abwärtskompatibel“ sein, also auch DVD-RAMMedien mit 2,6 GByte Kapazität lesen und beschreiben können. Für DVD-RAM-Medien werden mindestens 100.000 Schreib-Zyklen bei einer Fehlerrate von weniger als 10-12 spezifiziert. Das sogenannte Defect Management der DVD-RAM sorgt dafür, dass als defekt erkannte Blöcke für den Benutzer transparent ersetzt werden. Insgesamt stehen 12.800 Ersatzsektoren und 6.112 Ersatzblocks zur Verfügung. Erfahrungsgemäß wird nur ein Bruchteil dessen genutzt, die Reserven sind demnach sehr hoch ausgelegt. Die in Simulationen ermittelte Lebensdauer von DVDRAM-Medien wird bei Temperaturen von maximal 30 °C mit mindestens 35 Jahren angegeben (laut dem Hersteller TDK). Die Charakteristika der verschiedenen Speichertechnologien ergeben spezifische Rollen, die ein Speichermedium übernehmen kann 102 L AN line 7/2000 www.lanline.de SCHWERPUNKT: BACKUP-LÖSUNGEN Jahr Kategorie Produkt Standardisierung 1989 Write once CD-R Orange Book Part II 1996 Rewritable CD-RW Orange Book Part III 1997 Rewritable DVD-RAM 2.6 RAM Version 1.0 1999 Rewritable DVD-RAM 4.7 RAM Version 2.0 Tabelle 1. Standardisierung der Phase-Change-Technologie Die treibende Kraft für die Weiterentwicklung der DVD ist die Videoindustrie. Es geht im wesentlichen um die Erhöhung von Kapazität und Schreibgeschwindigkeit. Derzeit geht man davon aus, dass man im Jahr 2004 mit Hilfe von blauen Lasern ausreichend Speicherkapazität für die Aufzeichnung von Filmen in HDTV-Technik (etwa 18 bis 22 GByte auf einer Plattenseite) bei einer Schreibgeschwindigkeit von ungefähr 5 MByte/s erreichen wird. Die DVD-RAM weist eine Reihe grundlegender Eigenschaften auf, die ihren Einsatz im Umfeld der kommerziellen Datenverarbeitung möglich erscheinen lassen: Sie gestattet transparente Schreib-/Lesevorgänge, die Adressierung mittels Dateisystem, bietet eine hohe Speicherkapazität und genügt hohen Sicherheitsanforderungen. In zwei Punkten wird sie der Festplatte allerdings nicht das Wasser reichen können: Mit 80 bis 150 ms gegenüber etwa 8 ms bei Festplatten ist deren Zugriffsgeschwindigkeit deutlich geringer. Bei der Schreibgeschwindigkeit stehen 1,3 MByte/s bei einem 4,7-GByte-Laufwerk etwa 8 bis 15 MByte/s bei der Festplatte gegenüber. Der Festplatte droht demnach von der DVD-RAM keine Gefahr. Die MO hingegen dürfte es in Zukunft schwer haben. Lediglich im Hinblick auf die Zugriffsgeschwindigkeit muss die DVD-RAM ihr noch den Vortritt lassen (zirka 30 ms bei der MO), bei alle anderen wichtigen Parametern hat die DVDRAM gleichgezogen oder bereits die Nase vorn. Zieht man nun noch ins Kalkül, dass die MO-Technologie bereits ziem- lich ausgereizt ist, die DVD-RAM hingegen noch enormes Entwicklungspotential birgt, dürfte es lediglich eine Frage der Zeit sein, bis die MO-Marktanteile in nennenswertem Umfang an die DVDRAM abgegeben wird. Sinnvolle Anwendungen für die DVDRAM lassen sich im Bereich Backup, im Bereich Secondary Storage und im Zusammenhang mit dem Konzept des Network Attached Storage (NAS) ausmachen. So lässt sich mit Hilfe der DVDRAM ein zentrales Client-Backup zu vertretbaren Kosten realisieren. Da unter einem Dateisystem gesichert wird, können die Daten vom Client ohne zeitrau- Ausgangszustand Zwischenzustand Endzustand Schmelztemperatur amorph = amorph oder niedrige Reflektivität kristallin Kristallisations- kristallin = temperatur hohe Reflektivität Tabelle 2. Durch thermische Einwirkung können winzige Punkte auf der Oberfläche zwischen zwei physikalischen Zuständen hin- und hergeschaltet werden benden Restaurierungsprozess, wie er bei Tape-Medien erforderlich wäre, wieder gelesen werden. Auf Basis von MO-Medien wäre dies zwar technisch auch möglich. Die Kosten würden sich allerdings nach heutigem Stand auf mehr als das Doppelte belaufen. Und die Schere wird wegen der unausweichlichen Preissenkungen im DVD-RAM-Bereich künftig noch weiter auseinandergehen. Bei der Nutzung DVD-RAM-basierender Systeme als Sekundärspeicher geht Unterschiedliche Spurbreiten: 0,615 nm (4,7) und 0,74 nm (2,6) Minimal-Länge der „Recording“-Marke: 0,42 nm (4,7) und 0,61 nm (2,6) Tabelle 3. Durch eine geringere Spurbreite und eine Verkürzung der sogenannten RecordingMarken konnte die Speicherkapazität von zunächst 2,6 GByte auf 4,7 GByte erhöht werden 104 L AN line 7/2000 es um die Verdrängung seltener benötigter Daten von Festplatten auf erheblich günstigere Datenträger. Wiederum ist der Zugriff völlig transparent, da Daten unter einem Dateisystem ausgelagert werden. Nutzt man das auch bei der DVD-RAM mögliche systemgesteuerte “Write Once”, so erübrigt sich sogar ein Backup. Die E-Mail-Archivierung wäre eine weitere denkbare Anwendung. Hier richtet sich der Client wie bei der Festplatte den entsprechenden Pfad im E-Mail-System ein und hat nun ein zeitlich nahezu unbegrenztes E-Mail-Archiv. Dieses Archiv ist für den Client transparent in das EMail-System eingebunden. Natürlich eignen sich DVD-RAM-basierende Systeme grundsätzlich für alle Anwendungen, in denen man bisher schon optische Speicher, nämlich CD, einsetzt. Dazu gehören vor allem Archivierungs- und Dokumenten-Management-Systeme oder etwa große Recherche-Datenbanken, wie sie beispielweise im Patentwesen oder im Rechtswesen zum Einsatz kommen. Hat man sich erst einmal von dem Vorurteil gelöst, dass die DVD kein tauglicher Datenträger für Anwendungen im Umfeld der kommerziellen DV ist, weil ihr Ursprung in der Unterhaltungselektronik liegt, eröffnen sich unzählige praktikable und sinnvolle Einsatzmöglichkeiten für DVD-RAM-basierende Speichersysteme. Die Fakten sprechen eindeutig für die DVD-RAM. Bleibt abzuwarten ob die Fakten letztendlich auch obsiegen. (Horst Schellong/rhh) Horst Schellong ist Entwicklungsleiter und Mitglied der erweiterten Geschäftsleitung bei NSM Storage. www.lanline.de LANline 7/2000 Hersteller Produktname ● ● ● Adic/Live Vault Corp. Live Vault ATL/Quantum LANvault 200 Bei Corp. Ultra Bac Beta Systems Beta 52 Network Storage Software Manager Computer Associates Arcserve Cristie PC-Box Dantz Development Retrospect Server Backup Ectix Corp. VXA-1 Hicomp Hiback/Hibars Incom/Point Stor-Easy Knox Software Arkeia 4.2 Legato Systems Budtool 4.6.1 Networker Backup-Clients/Agents für Adminis- Rotatrations- tionsKonsolen schema Features Datenformate zusätzliche Features Medien und Formate Kopie von Medien Netware 3.x Netware 4.x Netware 5 NT 3.51 NT 4.x Windows 2000 Unix Linux sonstige Netware-Server 5 Netware-Server 3.x Netware-Server 4.x NW 4.x mit NDSUnterstützung Windows 95/98 Linux NT 3.51 NT 4.x Macintosh Windows 2000 Unix sonstige und Datenbanken Backup-Server-Konsole Client-Konsole zentrales Management mehrerer Backup-Server Großvater-Vater-Sohn Türme von Hanoi Milestone freies Schema Datenbank für Fileund Tape-Tracking Anzeige der Datei-Historie User-Backup/ Restore möglich Server-Dateien Client-Dateien Crash-Recovery Recovery Disks Image oder Object-Backup Tape to Tape Tape to Optical sonstige Kopien Grooming Archivieren Migrieren HSM proprietär SIDF MTF sonstige QIC DDS (4 mm) 8 mm DLT LTO Magneto-Optisch Autoloader-Unterstützung AIT sonstige Backup-Server (Betriebssystem) ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● Nova Star Corp. Nova Net 8 ● ● ● ● ● ● Ontrack Rapid Recall ● ● Ringdale Optica Storage Server ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● Live Vault ● ● ● ● ● ● ● ● ● ● Powersync 4.5-S ● ● ● ● Live Vault Corp. ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● Linkpro ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● Apollo SEP Elektronik SEP Sesam 2000 Sopra Packcenter Sun Microsystems Solstice Backup 5.51 Syncsort Backup Express www.lanline.de St. Bernard Software Open File Manager Tivoli TSM 3.7 Ultera Systems Striper 3 Veritas Backup Exec VTS-Datensysteme ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● Y-Files ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● Netbackup ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● SCHWERPUNKT: BACKUP-LÖSUNGEN 106 Marktübersicht: Backup-Software für Netzwerke SCHWERPUNKT: BACKUP-LÖSUNGEN Anbieter: Backup-Software für Netzwerke Hersteller/Anbieter Adic/Live Vault Corp. Telefon 0841/98108065 Produkt Live Vault Preis in DM 3300 Hersteller/Anbieter Telefon Linkpro 001/949/833-3322 Powersync 4.5-S ATL/Quantum/Incom 0228/97977-50 LANvault 200 k. A. Live Vault Corp./Commusys 06131/9416-46 Ultrabac ab 300 Beta 52 Network 25000 Nova Star Corp. 001/805/579-6700 Nova Net 8 k. A. Ontrack 07031/644-0 Rapid Recall 11090 Ringdale/Commusys 06131/941646 Optica Storage Ser- k. A. SEP Elektronik 08020/180-0 SEP Sesam 2000 k. A. Sopra Software 069/244508-00 Packcenter k. A. Sun Microsystems 089/46008-406 Solstice Backup 5.51 k. A. Backup Express Bei Corp./Boss & Lindemann 07304/96989-81 Beta Systems Software 030/39926-0 Manager Computer Associates 089/6274-110 Arcserve 865-2062 Euro Computer Associates/INW 040/639188-0 Computer Associates/ 0841/95329-22 Arcserve k. A. Arcserve k. A. 1Value.com Produkt Live Vault Preis in DM 430 $ 4300 $ ver Apollo Computer Associates/TIM 0611/2709-51 Arcserve k. A. Syncsort 02102/9546-0 Cristie Electronics 05251/1366-0 PC-Box k. A. St. Bernard Software 001/858/676-2277 Open File Manager 649 $ Dantz Development 001/925/253-3000 Retrospect Server 1400 Tivoli/Mainstor 06028/4055-0 1701-23350 Ultera Systems 001/408/528-9952 Striper 3 k. A. Veritas/Comnet 030/21756660 Backup Exec k. A. Veritas/EDV-Beratung 0511/972980 Backup Exec 2100 02153/733-729 Backup Exec 1350-4300 Backup TSM 3.7 k. A. Ectix Corp. 001/303/245-9626 VXA-1 k. A. Hicomp/Tim 0611/2709-51 Hiback/Hibars k. A. Incom/Point 0228/97977-50 Stor-Easy k. A. Knox Software/Comnet 030/21756660 Arkeia 4.2 ab 763 Legato Systems/BData 089/607-29576 Budtool 4.6.1 k. A. 02845/294-0 Networker 3000 Veritas/Qunix 0711/7796-550 Netbackup k. A. k. A. Veritas/Tim 0611/2709-51 Backup Exec k. A. Netbackup k. A. Y-Files 790 Systems Legato Systems/Mandata Legato Systems/SEP Elek- 08020/180-0 Networker Schulze Veritas/Raab Karcher Elektronik tronik Legato Systems/Tim www.lanline.de 0611/2709-51 Networker k. A. VTS-Datensysteme 040/656936-32 LANline 7/2000 107 SCHWERPUNKT: REMOTE ACCESS REMOTE ACCESS IN DER PRAXIS CHANCEN UND RISIKEN REMOTE ACCESS Einerseits ermöglicht das Internet heute den kostengünstigen Zugriff auf das eigenen Firmennetz. Andererseits können auch nicht autorisierte Personen leichter in angeschlossene Netze eindringen. Dieser Beitrag stellt neben den typischer Einwahlszenarien deshalb auch Risiken und Lösungsvorschläge für Remote-Access-Lösungen dar. Den Abschluss bilden Managementaspekte zur einfachen Verwaltung dieser Lösungsansätze. 108 L AN line 7/2000 www.lanline.de SCHWERPUNKT: REMOTE ACCESS Der entscheidende Punkt, warum das Internet für die Einwahl in das Firmennetz interessant ist, sind letztendlich Kostenersparnisse. Dazu ein kleines Beispiel: Ein großer Industriekonzern besitzt zahlreiche Außendienstmitarbeiter, die zum Teil auch international tätig sind. Die Einwahl in das Firmennetz könnte über öffentliche ISDNoder analoge Netze erfolgen, wobei internationale Verbindungsgebühren ent- stehen. An dieser Stelle gibt es zwei Alternativen: Entweder es existiert ein internationales Firmennetz, das den mobilen Mitarbeitern die Einwahl zu nationalen Tarifen ermöglicht. Oder die Außendienstmitarbeiter nutzen das Internet, um sich über eine gebührenfreie Zugangsnummer oder zumindest zu lokalen Verbindungsgebühren eines Service-Providers in das Firmennetz einzuwählen. Doch nicht immer ist die Einwahl über das Internet notwendig und sinnvoll. Hierzu ein anderes Beispiel: Ein mittelgroßes Unternehmen möchte einem Teil seiner Mitarbeiter auch den Zugang zum Unternehmensnetz von zu Hause aus ermöglichen. Alle betroffenen Mitarbeiter wohnen im unmittelbaren Einzugsgebiet des Unternehmens, so dass hier nur lokale Verbindungsgebühren anfallen. Eine Einwahl über das Internet würde in diesem Fall zusätzliche Geräteanschaffungen für VPNs (Virtual Private Network) Gateways beziehungsweise VPN-fähige Router notwendig machen. Zudem müsste die Benutzerverwaltung um VPNtypische Konfigurationen erweitert werden. Es würden neben den lokalen Einwahlkosten also zusätzliche Kosten für die Nutzung des Internets anfallen. Zudem würde der effektive Datendurchsatz durch die notwendige Einführung von Verschlüsselungssoftware ebenfalls sinken. Auch eine Kombination aus beiden Beispielen ist denkbar, wobei es sich in den meisten Fällen um Übergangslösungen auf dem Weg zu einer vollständigen Remote-Access-Lösung über das Internet handeln wird. Eine Zugangskonfiguration, die beide Fallbeispiele abdeckt und damit den Weg für eine sanfte Migration zur kostensenkenden Internetnutzung eröffnet, zeigt das Bild 1. Der Grundsatz lautet also: Nutze das Internet für eine kostengünstige Erweiterung des firmeneigenen Intranets, wenn es Sinn macht. SICHERHEIT Hat eine Kostenanalyse ergeben, dass die Nutzung des Internets für Remote-Zugänge effizienter ist, dann steht als nächstes die Frage nach der Sicherheit im Vordergrund, da man über das Internet per se keine “geschützten” Datenübertragungen garantieren kann. Eine Möglichkeit, dem entgegenzutreten ist die Nutzung von VPNs. Leider besteht immer noch viel Verwirrung, was ein VPN ist und wie sich Spezifikationen wie PPTP, IPsec, L2TP und PKI einordnen lassen. Sind sie zueinander komplementär oder stehen sie in Konkurrenz zueinander? Nachfolgend werden deshalb Vor- und Nachteile der Nutzung dieser www.lanline.de L AN line 7/2000 109 SCHWERPUNKT: REMOTE ACCESS Spezifikationen diskutiert, indem sie in Beziehung zu weiteren Netzanforderungen speziell im Remote-Access-Bereich gesetzt werden. VIRTUELLE PRIVATE NETZE Ein VPN ist ein privates Netzwerk, das auf Basis einer öffentlichen Netzinfrastruktur gebildet wird. Dies kann das öffentliche ISDN-Netz, aber auch das Internet selbst sein, auf welches wiederum unter Zuhilfenahme des öffentlichen Telefonnetzes zugriffen wird. Bildlich gesprochen ist ein VPN ein Netz von Tunneln (Röhren), die unter Nutzung der Verbindungswege des Internets ein virtuelles Firmennetz bilden. Die Tunnelendpunkte markieren Bild 1. RAS- und VPN-Szenario den jeweiligen Übergang vom Intranet in das Internet. Der Übergang kann über einen VPN-fähigen Router, ein VPN-Gateway oder über einen PC mit VPN-fähiger Remote-Access-Software realisiert werden. Der Begriff des Tunnels ist gewissermaßen ein Kunstbegriff, der sich daraus ableitet, dass Dateneinheiten, nachdem sie in (IP-)Datenpakete “eingepackt” und verschlüsselt wurden, über eine öffentliche Netzinfrastruktur übertragen werden. Eine erste technische Realisierung erfolgte mit dem Point-toPoint-Tunneling-Protocol (PPTP), welches eine Art Erweiterung des Point-toPoint-Protocols (PPP) ist. Im Rahmen der IETF wurde dann das Layer-2-Tunneling-Protocol (L2TP) entwickelt, welches auf Eigenschaften des PPTP und des herstellerspezifischen Layer-2-Forwarding-Protocols (L2F) aufbaut. 110 L AN line 7/2000 PPTP UND L2TP Sowohl PPTP als auch L2TP sind Layer-2-Tunneling-Protokolle. Das bedeutet, dass in der Payload eines Pakets verschiedenste Layer-3-Protokolle über eine IP-Infrastruktur übertragen werden können. So lassen sich beispielsweise auch Unternehmensinseln, die ausschließlich auf Novell-Netzwerken mit ihrer IPX/SPX-Protokollsuite basieren, über das Internet miteinander verbinden. Das Internet wird in diesem Fall als reines Transportnetz genutzt. Die oft angeführte “geschützte Verbindung” auf Basis von Layer-2Tunneling-Protokollen existiert de facto nicht, da die Dateninhalte unverschlüsselt in der Payload übertragen werden und auch die verwendeten Methoden zur Nutzer-Authentisierung den heutigen Anforderungen nicht mehr genügen. Um Datenbestände geschützt über öffentliche Netze übertragen zu können, wurden verschiedene Spezifi(Quelle: Acotec) kationen entwickelt, die unter der Abkürzung IPsec zusammengefasst werden. Folgende Funktionen deckt IPsec ab: 1. Die Verschlüsselung des Dateninhalts während der Datenübertragung. 2. Die Gewährleistung, dass während der Paketübertragung dessen Dateninhalt nicht verändert wurde. 3. Dass sowohl der Sender als auch der Empfänger diejenigen sind, für die sie sich ausgeben. 4. Die Vermeidung, dass Datenpakete aufgezeichnet und zu einem späteren Zeitpunkt “zur Verbreitung einer Falschmeldung” wieder abgespielt werden können. Für diese Zwecke entwickelte man jeweils eigene Paket-Header, den Authentication-Header (AH) und den Encapsulating-Header (ESP). Im Rahmen der Verwendung der IPsec-Protokoll-Suite wird auch von Layer-3-Tunneling-Protokollen gesprochen, da IPsec auf Ebene 3 des OSIReferenzmodells angesiedelt ist. Hinsichtlich der Nutzung von IPsec unterscheidet man dabei zwischen dem Transport-Mode und dem Tunnel-Mode. Während beim Transport-Mode der AH und/oder der ESP-Header unmittelbar dem IP-Header folgen, wird beim Tunnel-Mode der AH und/oder der ESP-Header dem eigentlichen IP-Header vorangestellt und zusätzlich noch einmal in ein IP-Paket verpackt. Damit entsteht dann ein “inneres” IPAdresspaar und ein “äußeres” IP-Adresspaar, welche die Tunnelendpunkte beschreiben (siehe Bild 2). Die Entscheidung, ob die Übertragung auf Basis des Transport-Mode oder des Tunnel-Mode erfolgen soll, leitet sich aus dem Netzkonzept ab. Am Beispiel des Remote Access soll das verdeutlicht werden: Soll ein geschützter VPN-Tunnel auf Basis von IPsec über das Internet zu einem Firmennetz aufgebaut werden, so existieren zwei grundlegende Möglichkeiten, den Tunnel zu initiieren und den Tunnel zu terminieren – also Anfang und Ende eines VPN Tunnels festzulegen: 1. Der Tunnel wird unmittelbar im PC des Außendienstmitarbeiters initiiert und erst im VPN-Gateway beziehungsweise VPN-fähigen Router der Firmenzentrale terminiert. 2. Der Tunnel wird erst am PoP (Point of Presence) des Service-Providers – also am Einwahlknoten – initiiert und erst nachdem das öffentlich zugängliche Internet “überwunden” wurde wieder terminiert. Im ersten Fall bedeutet das, dass die Netzinfrastruktur des Service-Providers ausschließlich für Transportfunktionen genutzt wird. Alle sicherheitsrelevanten Einstellungen am PC des Außendienstmitarbeiters – also des VPN-Clients – als auch die Infrastruktur innerhalb der Firmenzentrale – der VPN-Server – werden durch das eigene Firmenpersonal verwaltet. Ein derartiges Netzkonzept hat den Vorteil, dass alle Sicherheitsmerkmale nur der Firma selbst bekannt sind, führt aber gleichzeitig zu einem erhöhten Aufwand bei der Verwaltung der firmeninternen Sicherheitsstrukturen. In www.lanline.de SCHWERPUNKT: REMOTE ACCESS einem solchen Fall würde der TransportMode zum Aufbau einer geschützten VPN-Verbindung zum Einsatz kommen. Im zweiten Fall liegt der Vorteil darin, dass die bereits bestehende Infrastruktur beibehalten werden kann. Am PC des Außendienstmitarbeiters sind keine zusätzlichen VPN-Client-Funktionen zu installieren und auch der Einsatz von VPN-fähigen Routern oder VPN-Gateways in der Firmenzentrale könnte entfallen. Die Verantwortung, die Daten sicher über das öffentlich zugängliche In- www.lanline.de ternet zu übertragen, obliegt hier dem Service-Provider. Dabei wird unterstellt, dass die Übertragung über das Telefonnetz bis zum PoP bereits geschützt erfolgt. Für den Anwender bedeutet das, dass er sich um die VPN-Verbindungen nicht kümmern muss. Für ihn ist hier kein zusätzlicher Verwaltungsaufwand notwendig. Da die ungeschützten IPPakete erst beim Service-Provider im PoP verpackt werden, um sie anschließend – noch bevor sie ihren Bestimmungsort erreicht haben – wieder auszu- packen, käme in einem solchen Fall der Tunnel-Mode zum Einsatz. Auch Kombinationen und Modifikationen beider Fälle sind denkbar. Am Ende entscheidet immer das konkrete Netzkonzept und verschiedene administrative Vorgaben, für welches Modell man sich entscheidet. LAYER 2 ODER LAYER 3 Die Frage, ob Layer-2-Tunnel-Protokolle oder Layer3-Tunnel-Protokolle zur Überwindung des Internets zur Anwendung kommen L AN line 7/2000 111 SCHWERPUNKT: REMOTE ACCESS müssen, sollte nach folgenden Hauptkriterien entschieden werden: Sollen Dateninhalte “geschützt” über das Internet übertragen werden, so ist IPsec die richtige Wahl. Geht es ausschließlich darum, das Internet als Transportnetz für Protokolle zu verwenden, die nicht auf IP basieren, so ist der Einsatz von Layer-2Tunneling-Protokollen notwendig. Sollen die Daten während der Übertragung zusätzlich geschützt übertragen werden, so lassen sich beide Ansätze kombinieren, so dass im Ergebnis ein multiprotokollfähiges und durch IPsec geschütztes VPN entsteht, welches das Internet als Transportnetz nutzt. MANAGEMENT Steht nun fest, wie die Einwahl erfolgt und welche Sicherheitsanforderungen wie abgedeckt werden sollen, bleibt die Frage: Wie kann man die Lösungen in eine bereits bestehende IT-Umgebung integrieren? Für den Remote-Zugang sind hier zwei grundlegende Fälle zu betrachten: 1. Es erfolgt nur die Verwaltung der Remote-Zugänge inklusive der Nutzerverwaltung. Ein Security-Management, wie es für IPsec-basierende Netze zusätzlich notwendig wäre, ist nicht erforderlich beziehungsweise wird durch einen Service-Provider abgedeckt. 2. Die Remote-Zugänge sowie die Nutzerverwaltung und das Security-Management für IPsec-basierende Netze erfolgt durch das Unternehmen selbst. Da der erste Fall durch den zweiten Fall abgedeckt ist, soll nachfolgend ausschließlich der zweite Fall betrachtet werden. Ist in einem Remote-AccessUmfeld der Einsatz von IPsec geplant, so ist für Funktionen wie der Authentifizierung der beteiligten Kommunikationsinstanzen (VPN-Gateway, VPN-fähiger Router) und für die anschließende Verschlüsselung der Datenströme eine Verteilung von Schlüsseln notwendig, die jeweils nur den beteiligten Kommunikationsinstanzen bekannt sind. Im einfachsten Fall könnte das geschehen, indem die jeweils beteiligten Kommunikationsinstanzen diese so austauschen, dass keine weitere Instanz davon Kenntnis er- 112 L AN line 7/2000 hält. Für eine große Anzahl kommunizierender Instanzen skaliert diese Methode jedoch nicht. Würde eine neue Instanz hinzukommen, so müsste sie mit jeder bereits existierenden Instanz ihre Schlüssel austauschen. Besser ist es, eine neutrale Instanz einzuführen, die alle Schlüssel verwaltet und auf Abruf geschützt zur Verfügung steht. Das setzt voraus, dass alle beteiligten Kommuni- Bild 2. Transport- versus Tunnel-Mode kationsinstanzen dieser neutralen Instanz auch vertrauen. Technisch gesprochen handelt es sich bei einer derartigen Instanz um eine Certificate-Authority (CA), die im Rahmen einer Public-KeyInfrastruktur (PKI) spezifiziert wurde und für die dynamische Schlüsselverwaltung und -verteilung verantwortlich ist. Sowohl für die Authentifizierung als auch für die Verschlüsselung existieren zahlreiche Algorithmen und Standards, auf die jedoch nicht weiter eingegangen werden soll. Verschiedene Hersteller bieten dafür unterschiedliche Lösungen an, die aber nicht zwingend interoperabel sein müssen. Hier empfiehlt es sich, genauere Untersuchungen anzustellen. Hat man sich für eine Herstellerlösung entschieden, dann gibt es weitere Fragen zu beantworten: Wie kann die Software automatisch auf entfernten PCs installiert werden? Wie kann man eine zentrale Nutzerverwaltung sowohl für VPNs als auch für konventionelle RAS-Umgebungen unter einem Managementsystem integrieren? Immer häufiger wird man auch mit heterogenen Netzwerkumgebungen konfrontiert. Damit stellt sich die Frage nach einer herstellerübergreifenden Remote-Access-Managementlösung, die auf Standardschnittstellen basiert. Zeitgemäß ist auch die Nutzung eines regelbasierten Nutzermanagements, welches von Haus aus bereits wichtige Sicherheitsmerkmale auch unter Einbeziehung von zeitlichen Randbedingungen zur Verfügung stellt. Hinzu kommen Funktionen wie beispielsweise Accounting und Billing – sowohl für einzelne Nutzer als auch für Nutzergruppen. Bevor sich jedoch ein Nutzer über ISDN oder über das Internet (VPN) in ein Firmennetz einwählen kann, müssen diverse Einstellungen vorgenommen und VPN-SoftwareKomponenten auf seinem PC installiert werden. Auch dafür bietet sich eine herstellerübergreifende Lösung wie beispielsweise der Remote-Client-Manager von Acotec an, mit dessen Hilfe der Netzwerkadministrator den Remote-Access-Client für eine spezielle Nutzergruppe vorkonfigurieren und anschließend automatisch installieren kann. Idealerweise sollte die vorkonfigurierte Zugangssoftware über eine Web-Oberfläche im Intranet zur Verfügung stehen. Für einen Außendienstmitarbeiter bleiben dabei alle Einstellungen – beginnend mit den aktuellen Einwahlnummern bis zu IPsec spezifischen Einstellungen – transparent. (Olaf Riebe/gh) Dr. Olaf Riebe ist Director Product Manager bei Acotec in Berlin. www.lanline.de SCHWERPUNKT: REMOTE ACCESS IM TEST: KEN-DSL ISDN und ADSL für kleine Windows-Netze Ken-DSL von AVM ist ein DSL-Software-Router, der kleine Netzwerke über den T-DSL-Dienst der Deutschen Telekom mit dem Internet verbindet. Neben der reinen Internet-Anbindung stellt das Produkt allen Benutzern im LAN zudem CAPI-basierende ISDN-Dienste zur Verfügung. LANline hat sich das Produkt näher angesehen. er die Anschaffung einer T-DSLRouters wegen der noch relativ hohen Investitionskosten scheut, sein kleines Netzwerk jedoch schnell über den T-DSL-Dienst der Telekom an das Internet anbinden möchte, dem bietet AVM seit kurzem mit Ken-DSL ein geldbeutelschonendes Produkt an. Neben der reinen Internet-Verbindung über T-DSL und ISDN stellt Ken-DSL Anwendern im Netzwerk noch eine Reihe weiterer Dienste zur Verfügung, die in einem Produkt für 645 Mark zunächst nicht zu vermuten sind. So sind in Ken neben einem vollständigen E-Mail-Server Dienste wie DHCP-Server, Proxy-Server sowie eine netzwerkweite Unterstützung von ISDNAnwendungen integriert. Die Voraussetzungen für den Einsatz von Ken auf dem heimischen oder firmeninternen Rechner sind gering: Ein PC mit 166-MHz-Pentium-Prozessor, 32 MByte Arbeitsspeicher, eine Netzwerkkarte sowie eine ISDN-Karte mit CAPI2.0-Schnittstelle reichen aus. Als unter- W stützte Betriebsysteme nennt der Hersteller Windows 98, NT 4.0 sowie Windows 2000. Die Installation des Software-Pakets verlief im Test nach Eingabe der Lizenznummer ohne Probleme. Einzig den notwendigen Neustart des Systems erzwingt das Installationsprogramm unter Windows 2000 nicht, sondern überlässt diesen obligatorischen Vorgang dem Anwender. Nach dem Reboot des Betriebssystems fragt anschließend ein Assistent die notwendigen Verbindungsdaten ab. Wurden diese korrekt vom Benutzer eingegeben, nimmt Ken-DSL seinen Betrieb auf. Lediglich beim DHCP-Server musste unter Windows 2000 noch ein manueller Eingriff vorgenommen werden, bis auch dieser Service startete. Die von dem Software-Paket voreingestellten Internet-Verbindungen beschränken sich nicht nur auf T-Online über TDSL/ISDN. Ken unterstützt auch DSLConnects zu anderen Anbietern sowie ISDN-Verbindungen zu den verschie- Testumgebung Im Test kam jeweils ein System mit Windows 2000 Professional (englische Version) und Windows 98 SE (deutsche Version) als Ken-DSL-Server zum Einsatz. Die Test-Server verfügten über: 128 MByte Arbeitsspeicher, Pentium II 300 MHz, 3Com-TX905b-Netzwerkkarte, AVM PCI-Fritzcard-ISDN-Controller. Als Clients arbeiteten im LAN jeweils ein Cobalt Raq 3q (Linux 2.2.12), Pentium III 500 MHz (Windows NT 4.0), Laptop mit Pentium II 300 MHz (Windows 98). Alle Systeme waren über einen 10/100-MBit/s-Switch von Bay Networks miteinander verbunden. Ken-DSL lag in der Version 1.04.30 vor. 114 L AN line 7/2000 densten Internet-Providern. Für den Test stand allerdings der Internet-Zugang via DSL im Vordergrund. Nachdem der Anwender den Aufbau der ersten DSL-Verbindung überprüft hat, kann er die weiteren Dienste über eine übersichtliche Oberfläche konfigurieren. Darunter fällt unter anderem der in Ken integrierte E-Mail-Dienst. Über diesen Service ist es den Anwendern im Netz möglich, eine automatisierte und kostensparende E-Mail-Kommunikation aufzubauen. Hierzu erhält jeder Netzwerkbenutzer vom Administrator zunächst ein eigenes internes E-Mail-Konto, das über beliebige POP3-Clients abgefragt werden kann. In diese Postfächer Ken-DSL trägt unter Windows 2000 zusätzlich einen PPPoE-Treiber in den Netzwerkeinstellungen ein verteilt Ken eingehende E-Mails, die er wiederum von externen POP3-Accounts abholt. Hierbei unterstützt Ken sogar verschiedene E-Mail-Server, sodass ein Unternehmen nicht auf einen einzigen E-Mail-Provider festgelegt ist. Der Administrator kann Ken mitteilen, wann und wie oft der E-Mail-Server eine Verbindung zum Internet aufbaut, um elektronische Post zu senden und abzurufen. Zudem unterstützt das Produkt den netzwerkinternen Versand von E-Mails, der keine externe Internet-Verbindung auslöst. Ken-DSL hilft dem Administrator zudem bei der Installation der Ken-DSL- www.lanline.de SCHWERPUNKT: REMOTE ACCESS Clients, indem die Software Microsofts Outlook Express auf den einzelnen Arbeitsplätzen im Netz automatisch für den Einsatz von Ken konfiguriert. ADMINISTRATION Auch bei der Netzwerkverwaltung wird dem Administrator einiges geboten. Der in Ken-DSL integrierte DHCP-Server erleichtert das Management der LAN-internen IP-Adressen, die Ken auf Anfrage automatisch an die Clients im Netzwerk verteilt. Auch die Konfiguration von Ken, die festlegt, durch welche Dienste beziehungsweise wie lange und wie oft eine Internet-Verbindung aufgebaut werden darf, kann der Benutzer sehr einfach einstellen. Die AVM-Software unterstützt den Administrator zudem durch eingebaute Protokoll- und Filterfunktionen. So protokolliert die Software auf Wunsch alle Zugriffe auf die in KenDSL arbeitenden HTTP-, FTP-, NNTPund SOCKS-Proxy-Server. Den Zugriff auf unerwünschte Web-Server kann der Administrator einfach sperren. Alle Diagnose- und Protokolldaten lassen sich komfortabel über ein Web-Interface von jedem internen Netzwerkrechner aufrufen. Nur bei fehlerhaften T-Online-Zugangsdaten, sprich Benutzerkennung oder Passwort, versagte die Protokollierung im Test. In diesem Fall erschienen im Protokoll lediglich Meldungen über Probleme mit dem DSL-Modem und Zeitüberschreitungen. Kostenlose T-DSL-Lösung für Windows 98/2000 Neben der Ken-DSL-Software-Lösung von AVM sowie der von der Deutschen Telekom mitgelieferten Winpoet-Software gibt es speziell für Windows 98 Second Edition und 2000 eine weitere – jedoch kostenlose – Lösung. Mit dem PPPoETreiber (PPP over Ethernet) des Berliners Robert Schlabbach kann der Administrator ebenfalls ein kleines Netzwerk über T-DSL mit dem Internet verbinden. Jedoch sollte beim Benutzer zur Installation dieses Treibers schon einiges Technikverständnis vorhanden sein. Weitere Informationen zu dem Treiber gibt es unter http://user.cs. tu-berlin.de/~normanb/. 116 L AN line 7/2000 Die übersichtliche Benutzeroberfläche von Ken-DSL gibt dem Anwender laufend Informationen über den aktuellen Stand seiner Internet-Verbindung Durch die mitgelieferte Netzwerk-CAPI werden den Netzwerkbenutzern – neben dem reinen Internet-Zugang – noch weitere Dienste angeboten. So kann jeder Benutzer eines Windows-PCs alle Anwendungen, die auf der CAPI-2.0-Spezifikation basieren, an seinem Arbeitsplatz verwenden. Von jedem Windows-Rechner ist damit Online-Banking über ISDN genauso möglich wie das Versenden und Empfangen von Telefaxen. Einen Großteil dieser Funktionen deckt die mitgelieferte Software Fritz32 ab, die lizenzrechtlich von jedem Anwender im Netz eingesetzt werden darf. Gegenüber einzeln erworbener beziehungsweise ISDN-Controllern beigelegter Software hebt sich Ken-DSL durch die einheitliche Benutzer- und Administrationsoberfläche ab. Die gute Hilfefunktion innerhalb des Programms ergänzen die beiden mitgelieferten Handbücher. Sowohl Handbuch als auch Software sind in deutscher Sprache verfasst. Dem Software-Paket fügte der Hersteller auch die aktuellen Versionen von Microsofts und Netscapes Internet-Clients bei. Erwähnenswert ist schließlich der Verzicht auf eine Beschränkung der aktiven Benutzer. Beim Kauf eines Ken-Pakets sind unbegrenzte Clients sowie eine Server-Lizenz eingeschlossen. Die Software selber lief im dreiwöchigen Test ohne einen einzigen Absturz und bietet damit auch in einer kommerziellen Umgebung hinreichende Stabilität. Nur die DSL-Verbindung brach gelegentlich zusammen, was aber nicht AVM, sondern der Deutschen Telekom anzulasten ist. FAZIT Ken-DSL ist eine ausgereifte Software-Lösung für kleine Betriebe und an Komfort gewöhnte Heimanwender. Die Installation und Konfiguration verläuft schnell und in den meisten Fällen auch reibungslos. Die vielfältigen Dienste, eine einfache und schnelle Installation sowie die direkte Unterstützung der Kombination aus DSL und ISDN wie sie auch von der Telekom standardmäßig angeboten wird, rechtfertigt auf jeden Fall den Preis des Pakts gegenüber freier Software beziehungsweise reinen PPPoE-Lösungen. Insgesamt stellt sich Ken-DSL trotz seiner niedrigen Versionsnummer als ausgereiftes und stabiles Produkt dar und ist eine Empfehlung wert. (Thomas Rohde/gh) Info: AVM Tel.: 030/3 99 76-0 Web: www.avm.de/deutsch/products/ software/details/kendsl.htm www.lanline.de SCHWERPUNKT: REMOTE ACCESS ALWAYS ON/DYNAMIC ISDN Standleitung im D-Kanal Viele Anwender träumen von einer permanenten Verbindung ins Internet, so wie dies bei größeren Unternehmen mit Standleitungen schon lange die Regel ist. Auch Telearbeiter könnten durch eine günstige Festverbindung mit dem Internet per VPN ständig den Kontakt mit der Firmenzentrale halten. Mit dem in Kürze in Deutschland verfügbaren Verfahren “Always On/Dynamic ISDN (AO/DI)” scheint dieser Wunsch erfüllt. Folgender Beitrag beleuchtet die technischen Voraussetzungen und das Dienstangebot in Deutschland. er auch “D-Kanal-Standleitung” genannte Dienst AO/DI nutzt die bereits vorhandenen Möglichkeiten einer bestehenden ISDN-Infrastruktur und erweitert das Dienstspektrum um eine effiziente, flexible und ständig verfügbare Verbindung zwischen dem Teilnehmer und entsprechenden Datennetzen. Ergänzend zu den Datendiensten stellt AO/DI im Vergleich zur analogen Telefonie eine Reihe zusätzlicher Leistungsmerkmale für die Sprachkommunikation bereit. Obwohl die ISDN-Geschichte sehr stark von europäischen Einflüssen geprägt ist, wurde AO/DI von amerikanischen Gremien entwickelt. Mit der Cebit 2000 begann nun auch für Anwender in Deutschland – Weltmeister im ISDN-Markt mit rund 30 Prozent aller ISDN-Anschlüsse weltweit – das AO/DI-Zeitalter. D ENTSTEHUNG Die Entwicklung von AO/DI geht auf eine Initiative der Vendors’ ISDN Association (VIA) zurück, welche im September 1996 während der Networld + Interop in Atlanta ins Leben gerufen wurde. In einem Meeting mit Vertretern des National ISDN Councils (NIC) wurde beschlossen, bis Ende 1997 aus dem Konzept eine praktikable Anwendung zu entwickeln. Bereits im Februar 1997 waren die VIA-Mitglieder mit 118 L AN line 7/2000 der Technologie soweit, dass sie getestet werden konnte. Nynex, ein regionaler Netzwerkbetreiber in den USA und Mitglied im NIC, unterstützte eine Reihe erfolgreicher Demonstrationen dieser neuen Anwendung unter anderem während des Meetings des North-AmericanISDN-User’-Forums (NIUF) in Tampa, Florida im März. In einer gemeinsamen Presseerklärung stellten NIC und VIA die erkennbaren Vorteile von AO/DI heraus: Neben der Vereinfachung der Nutzung eines ISDN-Anschlusses ergeben sich Kosteneinsparungen für Endbenutzer, Internet-Service-Provider (ISPs) und Netzbetreiber. Nach Abschluss der grundsätzlichen Entwicklungsarbeiten für AO/DI erfolgte die praktische Vorführung der Technologie durch Hersteller und Service-Provider im Juni 1997 in San Diego im Rahmen eines weiteren NIUF-Meetings sowie der anschließenden Kongressmesse ISDN-World. Im Dezember 1997 erklärten eine Reihe von VIA-Mitgliedern, dass sie noch im Jahr 1998 AO/DI-Produkte anbieten werden. Im ersten Quartal gaben die Firmen Cisco Systems, ECI Telecom, Eicon Technology, ITK Telecommunications, Jetstream Communications, Telenetworks, Turnkey Solutions und Virtual Access ihre Produkte frei. Für die Produktbereitstellung im zweiten Quartal verpflichteten sich Adtran, Arescom, Ascend Communications und Shiva. Mitte November 1997 lieferte Eicon bereits die ersten Beta-Testprodukte der Diva-T/A-PC-Card aus, nachdem Bellsouth und Pacific Bell die Interoperabilität der Produkte festgestellt hatte. AO/DI ist also keine brandneue Technologie, doch wird sie für deutsche Anwender erst jetzt richtig interessant, da sie noch in diesem Jahr bundesweit verfügbar sein soll. Die Idee hinter AO/DI ist verblüffend einfach: Sie basiert darauf, die bereits in ISDN vorhandenen Technologien für die Leitungsund Paketvermittlung so zu kombinieren, dass daraus ohne Hardware-Änderungen in der gesamten Netzinfrastruktur und den Endgeräten ein neuer attraktiver Dienst für die Teilnehmer entsteht. AO/DI benutzt an einem ISDN-Basisanschluss mit S0Schnittstelle die paketvermittelte Datenübertragung nach X.25-Standard im ISDN-D-Kanal (X.31-Maximalintegration), um damit eine ständige (AlDie AO/DI-Technologie stützt sich auf drei bewährte Netzwerk-Infraways On) und strukturen FUNKTIONSWEISE www.lanline.de SCHWERPUNKT: REMOTE ACCESS gleichzeitig kostengünstige Verbindung zwischen dem Endkunden und dem Service-Provider herzustellen. Bei zusätzlichem Bandbreitenbedarf können Benutzer wahlweise einen oder beide B-Kanäle dynamisch zum D-Kanal hinzuschalten (Dynamic ISDN). Nach dem Einschalten eines mit ISDN-Karte oder Terminal-Adapter (TA) ausgestatteten PCs wird durch die Firmware im TA oder in der ISDN-Karte umgehend eine X.25-Verbindung im D-Kanal zum Service-Provider aufgebaut. Weil der ISDN-D-Kanal in der Regel nur zur Signalisierung verwendet wird, stehen hier bis zu 9600 Bit/s an Bandbreite zur Verfügung. Das Multilink-Protokoll und TCP/IP-Protokoll werden zur Übertragung im D-Kanal in X.25-Datenpakete eingekapselt. Die beiden Nutzkanäle werden mit dem Bandwidth-Allocation-Control-Protocol (BACP) immer dann aktiviert, wenn zusätzliche Bandbreite benötigt wird. Die B-Kanäle selbst benutzen das Multilink-Protokoll jedoch ohne Q.922 (ISDN data link layer specification for frame mode bearer services) und X.25Einkapselung. Während die B-Kanäle aktiv sind, wird der D-Kanal nicht benutzt, weil die langsame X.25-Technologie die gesamte Verbindung ausbrem- www.lanline.de sen würde. AO/DI stellt also nicht nur “Bandbreite nach Bedarf” bereit, sondern weist sowohl für den Kunden als auch für Dienstanbieter eine Reihe von Vorteilen auf: – AO/DI stellt dem Anwender drei voneinander unabhängige Kommunikationskanäle zur Verfügung, sodass selbst bei einer anderweitigen Nutzung der BKanäle für Telefonie, Fax oder gebündelte Datenübertragung immer noch EMail gesendet und empfangen werden, im Internet gesurft oder auf Informationen im Intranet über den D-Kanal zugegriffen werden kann. – Hohe Verfügbarkeit, Zuverlässigkeit, Fehlerkorrektur und garantierte Laufzeiten für die D-Kanal Kommunikation durch das X.25 Protokoll; – hohe Wirtschaftlichkeit des D-Kanals aufgrund der entfernungsunabhängigen und gegebenenfalls volumenorientierten Tarifierung; – zeitabhängige Verbindungsgebühren werden nur für die zugeschalteten BKanäle berechnet. – Der permanente Anschluss ans Internet oder Intranet verursacht geringe Kosten – obwohl “Always On”. – Die Bereitstellung der jeweils optimalen Bandbreite erfolgt für den Anwen- der vollkommen transparent und auf Wunsch auch ohne sein Zutun. – Simultane Kommunikation für die vielfältigen Sprach- und Datenanwendungen; – Unterstützung von multifunktionalen ISDN-Endgeräten sowie traditionellen analogen Endgeräten wie Fax oder Modem. ANGEBOTE IN DEUTSCHLAND Anfang Februar kündigte die Deutsche Telekom im Rahmen des jährlichen internationalen Pressekolloquiums “Deutschland geht online” in Berlin mit “T-ISDN-Active” einen Online-Dienst rund um die Uhr an. Bis Ende Mai 2000 lief in ausgewählten Teilen von Berlin und Hannover das Pilotprojekt mit jeweils etwa 500 Teilnehmern. Nach heutigem Planungsstand soll T-ISDN-Active ab dem 4. Quartal 2000 bundesweit zur Verfügung stehen. In der Monatspauschale von knapp zehn Mark des kommerziellen Pilotversuchs ist die Internet-Verbindung 24 Stunden permanent geschaltet. Über die Standby-Verbindung des DKanals können Benutzer kurze E-Mails oder kleine Dateien empfangen und versenden und werden bei einem E-MailEingang sofort informiert, sie chatten mit ihren Web-Freunden oder bekom- L AN line 7/2000 119 SCHWERPUNKT: REMOTE ACCESS Eigenschaft Modem ISDN Permanente IP-Verbindung Anpassbare Bandbreite Maximale Datenrate in kBit/s 53 Gleichzeitige Sprache und Daten ISDN m. AO/DI ADSL Kabelmodem ● ● ● ● ● 128 128 6.000 ● ● ● Symmetrische Datenübertragung ● ● ● Exklusive Bandbreitennutzung (keine Verteilung der Bandbreite auf mehrere Benutzer) ● ● ● ● Zuverlässigkeit sehr groß gut gut noch keine Erfahrung Verbindliche Standards ● ● ● ● Minimale Aufrüstung im Serverbereich ● ● ● 10.000 gut Vergleich der wichtigsten Eigenschaften von AO/DI mit konkurrierenden Zugangstechnologien men die aktuellsten Wunsch-News zum Beispiel per Ticker direkt auf den PCBildschirm – also eine echte Nutzung aller Internet-Dienste (WWW, FTP, SMTP) ohne Extrakosten bis zu einer Datenrate von maximal 4,8 kBit/s. Sollten die zu übertragenden Datenmengen über den D-Kanal eine größere Bandbreite benötigen, so werden die zwei verfügbaren B-Kanäle nach Bedarf einfach zu- und nach der Übertragung automatisch wieder abgeschaltet. Bei diesem kostenoptimierten Surfen werden dem Teilnehmer praktisch nur die tatsächlich beanspruchten Übertragungsleistungen auf den B-Kanälen wie gewohnt zeitabhängig berechnet. Die Aufschaltstrategie ist derzeit so dimensioniert, dass bei nur sehr kurzen Bandbreitenspitzen ganz im Sinne des Kunden ein B-Kanal-Aufbau vermieden wird. Eine B-Kanal-Verbindung wird erst dann aufgebaut, wenn über einen definierten Zeitraum eine bestimmte Auslastungsgrenze überschritten wird. Der Zeitraum liegt momentan bei drei Sekunden und die Auslastungsgrenze bei 3,8 kBit/s. Die Praxiserkenntnisse aus dem Pilotprojekt sollen in eine optimierte Dimensionierung beim Regelprodukt einfließen. Zur Nutzung von T-ISDN-Active benötigt der Anwender einen PC mit ISDN-Adapter (PC-Karte oder Terminal Adapter) sowie eine spezielle ClientSoftware, die bei der Beauftragung kostenlos bereitgestellt wird. Die Client- 120 L AN line 7/2000 Software steht zur Zeit für Windows 9x und NT ab der Version 4.0 zur Verfügung. Bereits vorhandene ISDN-Adapter können in der Regel weiter verwendet werden. Sie müssen jedoch eine CAPI2.0-Schnittstelle mit X.31-Unterstützung besitzen. Mit Hilfe der Software für TISDN-Active lässt sich festlegen, ob die B-Kanal-Zuschaltung automatisch oder erst nach expliziter Bestätigung erfolgt. Falls die gewohnte ISDN-Surfgeschwindigkeit genügt, kann die Zuschaltung des zweiten B-Kanals auch von vornherein ganz unterbunden werden. Damit auch bei einer Internet-Nutzung mit Kanalbündelung die telefonische Erreichbarkeit erhalten bleibt, sollte der ISDN-Adapter ferner die beiden ISDN-Dienstmerkmale “Umstecken am Bus (Parken)” und “Anrufumleitung in der Rufphase” unterstützen. Grundsätzlich ist die Nutzung aller T-Online-Komponenten mit T-ISDNActive geplant. Während der Pilotphase ist allerdings noch kein direkter Zugang zu T-Online-Classic möglich. Zudem ist während des Tests der Internet-Zugang nur über T-Online selbst möglich. Künftig wird die Deutsche Telekom eine diskriminierungsfreie Schnittstelle für ISPs anbieten, die ihren Kunden damit ebenfalls den Internet-Zugang per D-Kanal offerieren können. T-ISDN-Active unterscheidet sich dabei deutlich von limitierten Zusatzleistungen über den D-Kanal anderer Anbieter. Dazu zählen diverse Gratisangebote, welche den Eindruck erwecken, ein vollwertiges Äquivalent zu T-ISDN-Active zu sein. Beispiele dafür sind Sofortinformation über E-Mail-Eingänge oder Tickerdienste, die kostenlos über den D-Kanal eines ISDN-Anschlusses bereitgestellt werden. Eine interaktive Internet-Nutzung rund um die Uhr fehlt diesen Angeboten zumeist. So bietet Mannesmann Arcor seinen ISDN-Kunden seit Mitte März 2000 einen kostenlosen Informationsdienst namens Notifyer an. Kunden mit einem Arcor-Komplettanschluss, der bereits den Internet-Zugang Arcor-Online enthält, informiert die “Notifiyer”-Software via Laufband auf dem PC-Bildschirm über die Anzahl neu eingegangener E-Mails und aktuelle Tagesnachrichten. Kunden von ArcorISDN können sich für den kostenlosen Dienst freischalten lassen. Wer beruflich oder privat viel Zeit am PC verbringt, hält über den “Notifyer” dauerhaften Kontakt zum Internet. Schlagzeilen von TopNews sowie Politik-, Wirtschafts- und Finanzmeldungen der Agentur Dpa halten den PC-Nutzer ständig auf dem Laufenden. Interessiert sich ein Kunde näher für eine Meldung, klickt er einfach auf die Information und wird dann via ArcorOnline mit dem vollständigen Text auf der Portal-Seite von Arcor verbunden. (Gerhard Kafka/gh) Gerhard Kafka arbeitet als freier Journalist und Berater für Telekommunikation in Egling bei München www.lanline.de SCHWERPUNKT: REMOTE ACCESS osteten ISDN-Router für kleine Netzwerke vor einigen Jahren noch gut 2000 Mark, so gibt es heute bereits alltagstaugliche Geräte für weniger als ein Viertel des ursprünglichen Preises – Tendenz weiter fallend. Nachdem die Anschaffungskosten auf diesem Niveau eher eine Nebenrolle beim Auswahlprozess spielen dürften, müssen sich die Hersteller heute durch Funktionalität und einfache Installation voneinander absetzen. Daher lag in diesem Test der Schwerpunkt vor allem auf der Inbetriebnahme der Testgeräte. Einen integrierten DHCP-Server, Assistenten zur Konfiguration und eine übersichtliche Oberfläche für die Verwaltung sollte ein ISDN-Router heute schon mitbringen, um auch in kleinen Büros ohne hauptamtlichen Netzwerkadministrator für Internet-Lust statt Installations-Frust zu sorgen. Da ab LIGHTNING POCKET MULTICOM Das Testgerät des Schweizer Herstellers Lightning Instrumentation war das kleinste im Test und nimmt auf dem Schreibtisch ungefähr den Platz einer Zigarettenschachtel ein. Der Größe angemessen sind auch die Bedienelemente des Geräts: Auf der Rückseite findet der Benutzer drei Anschlüsse für Stromversorgung, LAN und ISDN. Die Front schmücken fünf Leuchtdioden, die Aufschluss über Betriebsbereitschaft, Verkehr auf der Ethernet-Schnittstelle und den Status der beiden B-Kanäle sowie des D-Kanals geben. Einen Einschalter sucht der Anwender vergeblich. Im Lieferumfang befinden sich neben dem Gerät ein relativ großes Netzteil sowie vier Kabel. Das serielle Kabel dient zur Konfiguration des Routers über ein Terminalprogramm oder die mitgelieferte KonfigurationsSoftware für Windows. Das LAN-Kabel verbindet den Router mit einem Hub oder Switch. Soll der Multicom direkt mit der Netzwerkkarte eines PCs verbunden werden, muss der Benutzer das gekreuzte LAN-Kabel verwenden. An der Länge der Strippen hat Lightning allerdings gespart. Offensichtlich geht der Hersteller davon aus, dass der Router nicht mehr als einen Meter vom PC beziehungsweise Hub entfernt ist. Die nächste ISDN-Dose darf dafür gut sechs Meter entfernt sein. Die Inbetriebnahme des Routers mit der Firmware Version 2.6 gestaltete sich sehr einfach. Nach einem manuellen Reset des Testgeräts auf die Factory-Defaults teilte der integrierte DHCP-Server unseren Testrechnern ihre neuen IPAdressen mit. Der DHCP-Server gibt sich dabei großzügig und reserviert das komplette Klasse-A-Netz 10.* für Clients im Netzwerk. Der erste Zugriff auf den Multicom kann dann mit einem beliebigen Browser erfolgen. Die HTML- Der Pocket Multicom von Lightning hat die Größe eine Zigarettenschachtel und eignet sich besonders für mobile Anwender Der Prestige 202 von Zyxel verfügte als einziges Gerät im Test über eine 100-MBit/s-LANSchnittstelle Die 760er-Serie von Cisco arbeitet nicht mit IOS, legt bei der Konfiguration jedoch großen Wert auf die Kommadozeile VERGLEICHSTEST: SOHO-ISDN-ROUTER Mit Plug & Play ins Internet ISDN-Router für den Anschluss von kleinen Netzen an das Internet werden nicht nur immer billiger. Auch versuchen die Hersteller, sich durch neue Funktionen sowie eine einfache Konfiguration voneinander abzuheben. Inwieweit dies gelingt, untersuchte LANline in einem Vergleichstest mit den entsprechenden Geräten von Lightning, Zyxel, Cisco, Ginko und Motorola. K 122 L AN line 7/2000 einer gewissen Zahl von Benutzern eine geteilte ISDN-Verbindung langsam wird, sollte zudem sowohl der Internet-Service-Provider (ISP) sowie der Router beim Kunden die Bündelung von mindestens zwei ISDN-Kanälen ermöglichen. Neben diesen Standard-Anforderungen, die alle Geräte im Test mehr oder weniger gut bewältigten, zeichneten sich die Testkandidaten durch individuelle Features aus, die teils Geschmacksache sind, teils wirklich innovative und sinnvolle Weiterentwicklung einer etablierten Produktgattung darstellen. www.lanline.de SCHWERPUNKT: REMOTE-ACCESS Oberfläche ist einfach und funktionell und reicht für die erste Testverbindung mit dem ISP aus. Aus dem Web-Frontend heraus kann der Administrator die Konfigurationsdatei des Routers ansehen und ändern, eine neue Konfiguration erstellen und heraufladen, eine Diagnose durchführen, das Boot-Log ansehen, UpgradeOptionen installieren und den Router neu starten. Die wahren Stärken des Pocket Multicoms erreicht der Benutzer jedoch nur, wenn er per Telnet auf das Gerät zugreift oder die mitgelieferte WindowsSoftware Easyconfig installiert. Die Kommandozeile erinnert stark an Ciscos IOS-Prompt, komfortabler ist auf alle Fälle das Windows-Tool. Dieses führt den Benutzer Schritt für Schritt durch die Konfiguration und erklärt – allerdings auf Englisch – die geforderten Eingaben. Zu den Highlights gehören auf alle Fälle die Sicherheitsfunktionen: Mittels IP-Filtering legt der Admininistrator beliebige TCP-, UDP- und ICMP-Filter für beliebige Quell- und Zieladressen fest und hat so die vollständige Kontrolle über im Internet erreichbare Dienste und Hosts. Network Address Translation (NAT) ist selbstverständlich integriert und aktiviert. Das PAT-Service-Mapping (Port Address Translation) ermöglicht zudem den externen Zugriff auf bestimmte Dienste im Intranet durch die NAT-Firewall hindurch. So kann beispielsweise die interne private IP-Adresse eines Webservers auf die bei der Einwahl dynamisch zugewiesene IP-Adresse des ISPs gemappt werden. Wer die dynamische Adresse kennt, kann dann aus dem Inter- Ginkos Office-Router ist für den Internetzugang via Ginko.net vorkonfiguriert www.lanline.de net heraus auf den internen Webserver dachten und ausgereiften Eindruck. Auch zugreifen. der Preis von 716 Mark ist angemessen. Der Test verlief über die Internet-Servi- Teuer hingegen ist die Verschlüsselungsce-Provider MSN und Callino problemlos. option: Sie schlägt mit 2200 Mark zu BuNach der Konfiguration des Routers baute che. Schön wäre noch eine deutsche Dodieser sofort eine Verbindung zum ISP auf und holte sich die Adressen der zuständigen DNS-Server ab. Per DHCP reichte der Multicom diese dann an die Arbeitsstationen weiter. Das standardmäßige DHCP-Lease ist mit zwölf Minuten etwas knapp bemessen (außer natürlich für Tests Der Multicom Easyconfig-Wizard hilft dem Benutzer bei der Inbetriebmit vielen verschie- nahme des Geräts denen ISPs). Über die Telnet-Konsole kann der Administra- kumentation sowie die Möglichkeit, eine tor diesen eher exotischeren Wert jedoch aktive Verbindung manuell zu beenden – verändern. Bei aktivierter Kanalbünde- dies geht zwar indirekt über den “Relung erfolgte die Zuschaltung und der Ab- boot”, ist aber sicher nicht der Weisheit bau des zweiten B-Kanals beim Callino- letzter Schluss. Eine virtuelle CAPI soAccount relativ schnell. Auf die zugrun- wie die Konfiguration mehrerer ISPs stedeliegenden Parameter kann der Benutzer hen zuletzt auf der Wunschliste. Denn jedoch keinen Einfluss nehmen, dies erle- momentan kann der Admininistrator nur digt ein “Bandwidth on demand alo- verschiedene ISPs für unterschiedliche grithm”. Problematisch kann das bei Pro- Subnetze festlegen – was bei der LANvidern sein, dies im 60-Sekunden-Takt LAN-Koppelung natürlich sinnvoll ist. oder länger abrechnen. Bei sekundengenauem Billing greift der Mechanismus Info: sehr gut. FAZIT Insgesamt machte der Pocket Lightning Instrumentation Tel.: 00 41/21/6 54 20 00 Web: www.lightning.ch/products/pocket.html Multicom von Lightning einen durch- Die Mailwatch-Funktion des Vanguard 70 spart Unternehmen Kosten beim E-Mail-Empfang ZYXEL PRESTIGE 202 Von Zyxel erreichte uns der ISDN-Router Prestige 202, der mit einer S0-Schnittstelle, einem 10/100-MBit/s-LAN-Interface sowie zwei a/b-Anschlüssen für analoge Telefone ausgestattet ist. Das formschöne Gehäuse ist etwas kleiner als ein A4-Blatt. LEDs auf der Frontseite informieren den Benutzer über LAN-Geschwindigkeit, Status der ISDN-Kanäle und Stromversorgung. Positiv fiel auch das umfangreiche Zubehör auf. So gehören neben einem normalen und einem Crossover-LAN-Kabel L AN line 7/2000 123 SCHWERPUNKT: REMOTE ACCESS (jeweils zwei Meter) ein drei Meter langes ISDN-Kabel, ein RJ11-Kabel zum Anschluss eines analogen Telefons sowie ein serielles Kabel samt Adapter von neun auf 25 Pins zum Lieferumfang. Ein dickes englischsprachiges Handbuch hilft dem Benutzer bei der Erstinstallation des Geräts. Kabel erhielten unsere Testrechner mittels “IPCONFIG /renew” eine neue IPAdresse vom im Router integrierten DHCP-Server. Standardmäßig gibt sich das Gerät die Adresse 192.168.1.1 und weist Clients im LAN Adressen aus dem selben Klasse-C-Subnetz ab der Nummer .33 zu. Die DHCP-Lease-Dauer des Zyxel-Routers beträgt standardmäßig drei Tage. Mittels des Windows-basierten “Internet-Zugriffsassistenten” gelang es innerhalb weniger Minuten, eine Verbindung zum Internet herzustellen. Die Eingabe von ISP-Rufnummer, Benutzername und Passwort reichten für die ersten Gehversuche aus. Wird die DNSAdresse dynamisch vom ISP vergeben, so teilt sich der RouDie Windows-Software des Prestige 202 verwirrt den Benutzer mit ter selbst den Clients einem Sprach-Mix und unsauberen Beschriftungen als zuständiger DNSServer mit und arbeiDie Firmware 2.40 des Testgeräts be- tet als DNS-Proxy. Wem die DNS-Server fand sich fast auf dem aktuellem Stand. seines ISPs bekannt sind, kann sie auch Aus dem Internet luden wir die neueste manuell eintragen. Mit Hilfe eines Tricks Version 2.41 in den Router, die jetzt auch hat der Administrator die Möglichkeit, eine virtuelle CAPI-Schnittstelle unter- mehrere ISPs zu konfigurieren. Hier ist stützt. Anders sah es bei der mitgeliefer- darauf zu achten, dass er als “Remote-IPten Installations-Software für Windows Address” für den ersten ISP die 0.0.0.0, für aus. Zur Konfiguration des Routers ste- den zweiten die 1.1.1.1 jeweils mit der hen dem Administrator zwei Möglichkei- Subnetzmaske 0.0.0.0 einträgt und als ten zur Verfügung: Über Telnet oder die WAN-Adresse ebenfalls die 0.0.0.0 verserielle Schnittstelle kann er das Gerät gibt. Die Windows-Software verweigert über ein zwar textbasiertes, aber relativ allerdings die Eingabe der 1.1.1.1 als Rebenutzerfreundliches Interface konfigu- mote-IP-Adresse. Hier muss der Routerrieren. Alternativ soll der “Prestige Net- Verwalter auf die Konsole zurückgreifen. work Commander” Windows-Benutzern Aktiv darf allerdings immer nur ein ISPeine grafisch ansprechendere Oberfläche Account sein. Zyxel empfiehlt, für verbieten. Die auf der CD enthaltene Version schiedene ISPs unterschiedliche Konfigu1.24 des Windows-Tools weigerte sich je- rationsdateien zu erstellen und diese per doch standhaft, Kontakt mit dem Prestige Skript via FTP bei Bedarf auf den Router aufzunehmen. Der Zugang über Telnet zu laden. Der Benutzername des integrierfunktionierte problemlos. Ein Update der ten FTP-Servers ist “p_” gefolgt von der Software auf die aktuelle Version 2.40 lös- Router-Nummer, in unserem Fall also te dieses Problem. Nach Anschluss der “p_202”. Die Konfigurationsdatei heißt 124 L AN line 7/2000 “rom-0”. Leider wird diese Vorgehensweise im deutschen Handbuch, das als PDFDatei auf der CD vorliegt, nicht erwähnt. Die Kanalbündelung beherrscht das Gerät auf vielfältige Weise. So kann eine Verbindung zum ISP automatisch mit zwei Kanälen aufgebaut werden (statisch), oder der Router schaltet je nach Bedarf den zweiten B-Kanal zu. Der Benutzer kann hier die Schwellwerte für Auf- und Abbau selbst definieren. Network Address Translation heißt bei Zyxel SUA (Single User Account), funktioniert aber wie bei den anderen Testgeräten. Mittels Konfiguration des SUA-Servers können Unternehmen von außen auf freigegebene Dienste im Intranet zugreifen. Optionale Paketfilter auf IP- und PortBasis ermöglichen die gezielte Sperrung von externen Servern und Diensten. Ein Highlight des Prestige 202 ist sicherlich die Net-CAPI genannte virtuelle CAPI-Schnittstelle, die allen Benutzern im LAN CAPI-basierende ISDN-Dienste wie Homebanking via T-Online, Filetransfer oder Fax zur Verfügung stellt. Die CAPI-Software für die Client-PCs kommt dabei von RVS-Com und funktionierte selbst unter Windows 2000 ohne Probleme. Über den Port 2578 kommuniziert die Software über das LAN mit dem Router. Mit Hilfe der Software Fritz von AVM gelang es im Test, Faxe zu verschicken, T-Online anzuwählen und sogar mittels Fritzfon über den PC zu telefonieren. FAZIT Prinzipiell macht der Prestige 202 einen guten Eindruck. Die Ausstattung des Geräts ist gut, die virtuelle CAPISchnittstelle konnte begeistern. Auch der Preis von 680 Mark geht in Ordnung. In Punkto Konfiguration bleibt allerdings noch viel Raum für Verbesserungen. So ist die Windows-Software sehr schlampig eingedeutscht, Felder auf den Bildschirmmasken sind oft abgeschnitten und veranlassen den Benutzer zu munteren Info: Zyxel Deutschland Tel.: 0 24 05/69 09-16 Web: www.zyxel.de/produkte/soho/ p202_index.htm www.lanline.de SCHWERPUNKT: REMOTE ACCESS Ratespielen. Dafür erlaubt die WindowsSoftware das manuelle Trennen eines oder aller B-Kanäle. Die erste Test-Falle schnappte bereits zu, als wir den Router anschlossen und via DHCP unsere Clients mit frischen IPAdressen versorgen wollten. Denn der CISCO 760 SERIES Vorbildlich verpackt 760er kann zwar als DHCP-Server arbeiund ausgestattet erreichte das Testgerät ten, standardmäßig ist diese Funktion jevon Cisco unser Testlabor. Neben einem doch deaktiviert. Der Quick-Start-Guide überdimensionalen Netzteil liefert der empfahl nach der Verkabelung den Start Hersteller bunte Anschlusskabel mit, die der Fast-Step-Utility. Nach dem Downpassenden Stecker auf der Rückseite des load der aktuellen deutschen Version 1.3 Geräts entsprechen den Farbcodierun- von Ciscos Website (Wie lädt man ein gen. Der Anschluss des ISDN-Kabels an Update aus dem Internet, wenn der Rouden LAN-Port kann hier nur noch farben- ter nicht funktioniert?), versuchte das blinden Administratoren passieren. Das Tool, eine LAN-Verbindung zum Router aufzubauen. Da der Test-Client inzwischen seinen alten DHCP-Lease verloren hatte, musste zunächst manuell eine IP-Adresse vergeben werden. In welchem Subnetz sich Ciscos Router standardmäßig einrichtet, verriet die Dokumentation leider nicht. Über die Der Cisco Monitor für Windows gibt detailliert Auskunft über den Status serielle Schnittstelle der Internet-Verbindung gelang schließlich der Erstkontakt mit Gerät selbst hat knapp DIN-A4-Größe dem Gerät. Nach Eingabe der ISP-Zuund ist mit einer Plexiglas-Front im gangsdaten testete der 760 unsere AngaImac-Design versehen. Die zwölf LEDs ben und gab für den Internet-Zugang grüblinken dadurch noch eindrucksvoller. nes Licht. Fast-Step verspricht dem BeEtwas gespart hat Cisco an der Länge des nutzer sogar, den eigenen Rechner für ISDN-Kabels: Zwei Meter ist etwas den Internet-Zugang zu konfigurieren. knapp bemessen. Dafür erhält der Käufer Eine Änderung an den IP-Eigenschaften die komplette RVS-Com-Suite in der Lite- des Windows-2000-Rechners war jedoch Version. Neben Fax, Anrufbeantwor- nicht feststellbar. Nach dem obligatorischen Neustart beter, Filetransfer- und Telefonie-Programm ist hier die virtuelle Netzwerk- grüßt der Cisco-Monitor den Benutzer CAPI auch schon drin. Energiesparer und versucht wiederum, den Router zu freuen sich über den Ein-/Aus-Schalter. kontaktieren. Immerhin erhält der BenutDer Hub-Node-Schalter ermöglicht den zer hier einen ersten Hinweis auf die IPdirekten Anschluss des Routers an einen Adresse des Geräts: Unter der Adresse PC über ein normales Netzwerkkabel. 192.168.0.1 war der Router jetzt im LAN Umfassend ist auch die mitgelieferte Do- erreichbar. Nach manueller Konfigurakumentation. Ein Quick-Start-Guide, ein tion der IP-Adressen, Subnetzmasken Handbuch sowie zwei CDs sollen dem und Default-Gateways der Clients gelang Administrator Antworten auf potentielle zum ersten Mal auch der Zugriff auf das Fragen liefern. Diese gibt es allerdings Internet. Um auch mit URLs surfen zu können, sollte der Administrator zudem genug. www.lanline.de L AN line 7/2000 125 SCHWERPUNKT: REMOTE ACCESS den DNS-Server des ISPs auf den Clients eintragen, da der Cisco 760 über keinen DNS-Proxy verfügt. Nur wer sich in die Tiefen der Kommandozeile herablässt, kann aus dem umfangreichen Funktionsvorrat des Routers schöpfen. Denn per Telnet oder über ein Terminal-Programm lassen sich so ziemlich alle denkbaren Parameter verändern. Doch IOS-Anhänger aufgepasst: Die 700er Serie von Cisco arbeitet mit einem anderen Betriebssystem. Die Aktivierung des DHCP-Servers gelang im Test mit fünf Befehlen. Das Kommando “help” gibt auf der Konsole alle Befehle mit der passenden Syntax aus. Die dynamische Kanalbündelung war standardmäßig sehr sensibel konfiguriert. Nach nur einer Sekunde mit mehr als 48 kBit/s Verkehr auf dem ersten B-Kanal schaltete der zweite Kanal zu. Dies ermöglicht zwar ein zügiges Surfen, kann bei ungünstiger Taktung jedoch schnell ins Geld gehen. Den Test der virtuellen CAPI meisterte der Router ohne Probleme. Telefonie, Daten und Fax funktionierten auch unter Windows 2000 reibungslos. für ein gelungenes Administrations-Tool von Cisco. Leider funktioniert diese Software jedoch nur mit Routern auf IOS-Basis – was uns im Test wehmütig an die 800er Serie denken ließ. Nach dem Öffnen der Verpackung überkommt den erfahrenen Tester zunächst ein Deja-vu. Der handliche Router im Postkartenformat erinnert äußerlich stark an die Lancom-Reihe von Elsa. Eine Nachfrage bei Ginko brachte zutage, dass das Gerät Hardware-seitig baugleich mit Elsas Lancom Office 1000 ist, jedoch mit einer eigenen Firmware arbeitet. So verzichtete Ginko auf die Unterstützung von IPX und konfigurierte den Router komplett für den Zugang zum eigenen Internet-Dienst Ginko.net vor. Sehr positiv fiel die Ausstattung des Geräts auf: Neben ausreichend dimensionierten Kabeln (ISDN: fünf Meter, LAN: drei Meter) überraschte neben der obligatorischen 10Base-T-Buchse ein 10Base-2Anschluss samt T-Stück. Weiterhin verfügt der Office-Router über einen Hub- GINKO-OFFICE-ROUTER FAZIT An der Funktionalität des Cisco 760 gibt es – bis auf den fehlenden DNSProxy – eigentlich nichts auszusetzen. Mit einem Listenpreis von knapp 500 Dollar liegt das Gerät am oberen Ende der Preisskala. Die Installationsroutinen bedürfen allerdings einer umfassenden Überarbeitung, sofern Cisco hier mit den anderen SOHO-Router-Herstellern konkurrieren möchte. Für kleine Büros oder Gelegenheitsadministratoren in Filialen ist das Gerät auf keinen Fall geeignet. Dass Cisco auch Software schreiben kann, zeigt der gelungene Router-Monitor, der den Benutzer umfassend über den aktuellen Verbindungsstand informiert und ihm die Möglichkeit gibt, einzelne Kanäle manuell zu trennen. Auch der Configmaker (siehe LANline 10/99, S. 218) ist ein Beispiel Info: Cisco Tel.: 018 03/6710 01 Web: www.cisco.com/univercd/cc/td/doc/ pcat/700.htm 126 L AN line 7/2000 Die Statusanzeige des Ginko-Office informiert den Benutzer über alles, was er schon immer über die aktuelle Internet-Verbindung wissen wollte Node-Schalter sowie einen Stromschalter. Zwar lässt sich das Gerät auch über eine serielle Schnittstelle konfigurieren, das passende Kabel ist allerdings nicht im Lieferumfang enthalten. Dies kann den Anwender vor ein Problem stellen, wenn er den Router nicht über das Netzwerk erreicht. Die beigelegte Kurzanleitung verheißt den im Test schnellsten Weg ins Internet: Router anschließen, einschalten und lossurfen. Dies setzt natürlich einige Dinge voraus: Zumindest die Rechner, über die auf das Internet zugegriffen werden soll, müssen ihre IP-Adresse dynamisch von dem DHCP-Server des Routers beziehen. Zudem muss natürlich ein Internet-Zugang im Router konfiguriert sein. Letzteres ist im Ginko-Office bereits der Fall. Jeder Käufer erhält automatisch zwei Stunden Internet über eine kostenlose 0800-Rufnummer. Der Blitzstart ins Internet funktionierte im Test fast wie versprochen. Der Windows-98-Rechner holte sich vom DHCP-Server seine IPAdresse ab, Default-Route und DNS ist die IP-Adresse des Routers – per Fabrikeinstellung 10.0.0.250. Unser Windows2000-Rechner hatte allerdings mit dem DHCP-Server Probleme. Nachdem trotz Firmware-Upgrade kein Kontakt gelang, versuchten wir es bei Ginko direkt. Die sofort erreichbare und sehr kompetente Hotline bestätigte das Problem. Man arbeite daran und werde demnächst vermutlich ein Firmware-Update zur Verfügung stellen. W2K-Anwender müssen ihren Rechner für den Zugriff auf den Router daher vorerst manuell konfigurieren. Das nur auf der CD mitgelieferte Handbuch im HTML-Format verrät zumindest die notwendige Vorgehensweise. Weitergehende Einstellungen erledigt der Administrator über das mitgelieferte Konfigurationsprogramm für Windows. Da der Router über keinen integrierten Webserver verfügt, bleibt Nicht-Windows-Benutzern nur der Zugang über Telnet. Auch die Konfigurations-Software erinnert stark an das Elsa-Pendant und ist ebenso einfach zu bedienen, sobald man das dahinterliegende Konzept www.lanline.de SCHWERPUNKT: REMOTE-ACCESS verstanden hat. So muss der Anwender bei einem neuen ISP zunächst das Kommunikations-Layer definieren, auf dem Funktionen wie Kanalbündelung und Datenkompression eingestellt werden. Anschließend definiert der Benutzer eine Gegenstelle, der er neben den Zugangsdaten ein Kommunikations-Layer zuweist. Diese Vorgehensweise ist einerseits sehr flexibel, andererseits etwas gewöhnungsbedürftig. Die Kanalbündelung meisterte Ginkos Office-Router ohne Probleme. Nach rund 30 Sekunden Volllast auf dem ersten BKanal schaltet der zweite automatisch zu. Der Benutzer hat zwar die Möglichkeit, den Short-Hold für beide B-Kanäle zu definieren, eine weitergehende Konfiguration der Schwellwerte gibt es jedoch nicht. Neben NAT unterstützt das Gerät auch die Bereitstellung von internen Diensten im Internet. In einer ServiceTabelle kann der Administrator Kombinationen aus interner IP-Adresse und Port freigeben. Die Netzwerk-CAPI verrichtete auch unter Windows 2000 bereitwillig ihren Dienst. Die mitgelieferte RVS-Com-Suite 1.54 in der Elsa-OEMVersion stellt die passende Software zur Verfügung. Paket-Filter lassen sich sowohl für interne als auch externe IPAdressen und Ports definieren. Der Standardwert für den DHCP-Lease beträgt 6000 Minuten und kann je nach Bedarf verändert werden. Für die CAPI-basierenden Telefonie- und Fax-Anwendungen verfügt der Router sogar über einen Least-Cost-Router, so dass bei entsprechender Pflege der Tabelle Anrufe immer zum günstigsten Tarif durchgeführt werden. Hervorragend ist auch der RouterMonitor, der in Echtzeit Auskunft über den Verbindungsstatus gibt. FAZIT Ginkos Office-Router ist in der Tat – bis auf die DHCP-Probleme mit Windows 2000 – ein Rundum-SorglosPaket. Der Erwerb des Geräts ist dabei nicht an einen Internet-Zugang über Ginko.net gekoppelt, sondern steht jedem Interessierten offen. Für knapp 800 Mark erhält man einen sehr gut ausgestatteten ISDN-Router für den Internet-Zugang, 128 L AN line 7/2000 SCHWERPUNKT: REMOTE ACCESS der in punkto Funktionsumfang keine Wünsche offen lässt. Schön wäre zwar ein gedrucktes Handbuch und ein serielles Kabel, doch lassen sich diese Einsparungen bei dem günstigen Preis noch am ehesten verschmerzen. Nach Redaktionsschluss erreichte uns vom Hersteller der Hinweis, dass es für das OHCPProblem einen ersten Workaround gebe. Wenn der Benutzer im KonfigurationsTool im Feld “lokale Domäne” einen beliebigen Wert eintrage, funktioniert DHCP auch unter Windows 2000. Info: Ginko Tel.: 02 41/44 10-441 Web: www.ginko-office.de/scripts/ go.dll?T=Router sen und trug sich selbst als zuständiger DNS-Server ein. Unter der URL “http://fast.start” gelangt der Benutzer mit einem Java-fähigen Webbrowser auf die Konfigurationsseiten des Geräts. Die Administration des Vanguard ist vollständig Web-basiert. Daher eignet sich der Router hervorragend für heterogene Netze, in denen Nicht-Windows-PCs zum Einsatz kommen. Der Nachteil des Verzichts auf plattformspezifische Software ist die fehlende Remote-CAPI. Die Web-Konfiguration ist sowohl optisch als auch praktisch gut gelungen. Der “Fast-Start-Wizard” fragt vom Benutzer alle notwendigen Daten für den InternetZugang ab und startet nach erfolgter Eingabe den Router neu. Ab dann steht dem Internet-Zugang über das Netzwerk nichts mehr im Weg. Um den Vanguard mit den anderen Testgeräten vergleichen zu können, sollte auch er mit der aktuellen Firmware ausgestattet werden. Der Menüpunkt “Update Software” versprach die automatische Installation einer neuen Version – falls vorhanden. Im Test führte der Link allerdings auf eine nicht mehr vorhandene Webseite. Der Menüpunkt “Support” bringt den Benutzer dafür auf eine Seite der Motorola-Website, die zwar über die Website-eigene Suchfunktion nicht gefunden wurde, jedoch die aktuelle Firmware zum manuellen Download bereithält. Auch die Regi- MOTOROLA VANGUARD 70 Mit “Instant-Access” betitelt Motorola die SOHO-Router der Vanguard-Reihe und möchte damit auf die unkomplizierte Installation hinweisen. Unser Testgerät, ein Vanguard 70, ist – neben der obligatorischen ISDN- und 10Base-T-Schnittstelle – mit zwei analogen a/b-Schnittstellen, einem 9poligen seriellen Interface sowie einem Hub-Node-Schalter ausgestattet. Einen Stromschalter hat sich Motorola gespart. Zudem zierte unser Testgerät eine V.36-Buchse, die für Festverbindungen gedacht ist. Dieser Anschluss ist jedoch erst im Vanguard 80 aktiviert. LAN- und ISDNKabel sind ausreichend dimensioniert, ein englisches Handbuch sowie ein Faltblatt für den schnellen Einstieg runden die Ausstattung ab. Die ersten Gehversuche gestalteten sich so einfach wie erhofft. Der DHCPServer erteilte allen Testrechnern im Der Vanguard 70 von Motorola lässt sich vollständig über das Web LAN ihre IP-Adres- administrieren www.lanline.de SCHWERPUNKT: REMOTE-ACCESS strierungsfunktion gibt sich nicht ganz konsequent. Zwar kann der Benutzer seine Daten in ein Web-Formular eintragen. Anschließend generiert der Router jedoch lediglich eine weitere Webseite und fordert den Anwender auf, diese auszudrucken und an Motorola zu faxen. Um die neue Software auf den Router zu spielen, muss der Administrator zunächst einen TFTP-Server in seinem Netz installieren und die Firmware-Images in dessen Download-Verzeichnis spielen. Anschließend muss er in einem Web-Formular auf dem Router die IPAdresse des TFTP-Servers sowie die Dateinamen der Firmware eintragen. Das Update selbst klappte problemlos. Leider liefert Motorola keinen TFTP-Server mit, verweist im Handbuch aber auf die Website der englischen Firma Walusoft (www.walusoft.co.uk), von der man eine 30-Tage-Testversion des TFTP-Servers herunterladen kann. Dieser “nervt” zwar mit unzähligen Wartebildschirmen, funktionierte aber auch unter Windows 2000 ohne Probleme. Für ISPs bietet Motorola zudem eine Activator-Software an. Beim ersten Einschalten eines Vanguard-Routers baut dieser dann automatisch eine Verbindung zu einer vorprogrammierten Rufnummer auf und lädt die aktuelle Firmware sowie benutzerspezifische Konfigurationsdaten herunter. Das Update auf die Firmware 7.3.51 lohnt sich auf alle Fälle. Neben zahlreichen Bugfixes und kleinen Verbesserungen kann der Benutzer bei den Parametern für die Kanalbündelung nun neben der Kanalauslastung auch eine Zeitangabe definieren. Interne Internet-Dienste können auch für externe Benutzer freigegeben werden, selbst wenn auf dem Router NAT aktiviert ist. Zudem unterstützt das Gerät AODI (Always On Dynamic ISDN). Diese Funktion konnte jedoch nicht getestet werden, da AODI zur Zeit in Deutschland noch nicht verfügbar ist. Ein im Test einzigartiges Feature ist die Mailwatch-Funktion des Vanguard 70, die seit der neuen Firmware allen Benutzern zur Verfügung steht. Sie ermöglicht dem Administrator die Definition von 130 L AN line 7/2000 Testumgebung Hardware: Celeron 466 mit Windows 2000 Professional und 100-MBit/s-Ethernetkarte Notebook Toshiba Portege mit Pentium II 300, Windows 98 und 100-MBit/s-Ethernet in der Docking-Einheit Fünf-Port-Hub 10/100-MBit/s autosensing Internet-Provider: Internet-by-Call von MSN (www.msn.de) und Callino (www.callino.de) Zeitfenstern, in denen der Router POP3Verbindungen von Clients in das Internet erlaubt. Damit verhindert das Gerät, dass viele POP3-Clients, die zu unterschiedlichen Zeiten ihr Postfach abfragen, die Verbindung zum Internet im schlimmsten Fall permanent offen halten. Ist Mailwatch aktiviert, antwortet der Router außerhalb des Zeitfensters auf POP3-Anfragen mit “Keine neuen Nachrichten vorhanden”. Stellt der Administrator seine E-Mail-Clients auf POP3-Polling im 60-Sekunden-Takt ein und definiert im Router ein Zeitfenster von fünf Minuten pro Stunde, dann erhalten alle Benutzer einmal stündlich ihre E-Mails. FAZIT Für heterogene Clients ist der Van- guard ein hervorragendes Gerät. Bis auf die fehlende virtuelle CAPI hat das Gerät alles, was man für den LAN-basierenden Internet-Zugang braucht. Mit einem Preis von 1400 Mark war der Router das teuerste Gerät im Test. Schade ist nur, dass Motorola das Gerät selbst eher stiefmütterlich behandelt. So fand sich auf der Website nach einigem Suchen zwar die aktuelle Firmware mit entsprechenden ReleaseNotes, das Online-Handbuch ist aber immer noch auf dem Stand der Vorversion. Auf die geniale Mailwatch-Funktion weist die Readme-Datei zwar hin, näheres soll der Benutzer jedoch in einem Whitepaper Info: Motorola Tel.: 06 11/36 11-0 Web: www1.motorola.de/home/ instant-access/ nachlesen, das wir auf der Website nicht gefunden haben. Motorola hat unsere Anregungen aufgenommen und hier Nachbesserung versprochen. ABSCHLIESSENDER VERGLEICH Jedes der getesteten Geräte zeigte im Test individuelle Stärken und Schwächen. Für den Einsatz in reinen Windows-Netzen gefiel uns der Ginko-Office-Router am besten. Sobald der Hersteller das DHCP-Problem mit Windows 2000 behoben hat, kann das Gerät für den Internet-Zugang sowie den Einsatz von CAPI-basierenden Anwendungen bedenkenlos empfohlen werden. Wer seinen Router auch von Nicht-Windows-PCs aus komfortabel administrieren möchte und auf CAPI-Programme ver- zichten kann, dem bleibt eigentlich nur der Griff zu Motorolas Vanguard, der zudem als einziger über die gebührensparende Mailwatch-Funktion verfügt. Kommandozeilen-Fetischisten werden an Ciscos 760er ihre Freude haben. Wer jedoch nicht viel Zeit für die Inbetriebnahme seines neuen Routers aufwenden möchte, sollte lieber die Finger von diesem Gerät lassen. Zyxel sollte die Konfigurations-Software des an sich nicht schlechten Geräts noch einmal überarbeiten. Funktionell gibt es an dem Router nichts auszusetzen. Lightnings Multicom beeindruckte durch seine geringe Größe und liegt bei der Funktionalität im Mittelfeld. Nicht getestet wurde jedoch die 128-Bit-Verschlüsselungs-Option bei LAN-zu-LAN-Verbindungen, die das Gerät gerade für mobile Benutzer beim Zugriff auf das Unternehmensnetz interessant machen kann. (Georg von der Howen) www.lanline.de Im Fokus: Web-Kennziffern Der moderne Weg zur Produktinformation Online http://www.lanline.de Volltextarchiv Das Internet entwickelt sich immer mehr zum unverzichtbaren Recherchemedium für EDV-Profis. Neben E-Mail ist die Suche nach aktuellen und detaillierten Produktinformationen mittlerweile einer der wichtigsten Einsatzbereiche des Internet. Unser neuer Web-Kennzifferndienst macht die gezielte Suche so komfortabel und schnell wie nie zuvor. Ihre Vorteile: Das Volltextarchiv mit Hunderten von Artikeln aus allen AWi-Zeitschriften liefert Ihnen im Handumdrehen maßgeschneidertes ProfiWissen. Marktübersichten ❶ Sie haben eine zentrale Anlaufstelle für Ihre Recherchen und sparen sich den zeitaufwendigen Ausflug über diverse Suchmaschinen und Web-Kataloge; ❷ Sie kontaktieren mit einer einzigen Anfrage beliebig viele Anbieter – eine gewaltige Zeitersparnis; ❸ Sie entscheiden, in welcher Form die Anbieter mit Ihnen in Kontakt treten sollen: per Post, per E-Mail, per Fax oder gar per Telefon; ❹ Sie können darauf vertrauen, daß Ihre Anfrage mit dem Siegel einer anerkannten Fachzeitschrift beim richtigen Ansprechpartner landet und nicht geradewegs im elektronischen Papierkorb; ❺ Sie sparen sich die Arbeit, in jedem Kontaktformular von neuem Ihre Daten einzugeben, denn unser Web-Kennzifferndienst merkt sich Ihre Daten; ❻ Sie erhalten eine persönliche Link-Liste, die einen hervorragenden Einstiegspunkt für eigene Recherchen im WWW darstellt. Online http://www.lanline.de Tips & Tricks Hier finden Sie garantiert keine Tips zu Winword – dafür aber jede Menge zu Netware, Windows NT, ISDN und anderen Netzwerk- und Kommunikationsthemen. Lexikon Lexikon Über 100 Markt- und Anbieterübersichten schaffen Durchblick im Produktangebot und helfen bei Ihrer Investitionsplanung. Stellenmarkt Und so funktionieren die Web-Kennziffern ❶ Zunächst wählen Sie aus, in welcher Ausgabe Sie recherchieren möchten. Dann kreuzen Sie eine oder mehrere Produktkategorien an. Alternativ können sie, falls Sie schon genau wissen, wofür Sie sich interessieren, direkt den Namen des Anbieters eingeben. Drücken Sie die Schaltfläche „Weiter“, um Ihre Abfrage zu starten. ❷ Das System stellt nun eine Liste aller Inserenten und redaktionellen Beiträge zusammen, die Ihren Suchkriterien entsprechen. Wenn die Firma eine eigene Web-Site besitzt, dann ist der Firmenname in der linken Spalte mit einem Hyperlink unterlegt. Wichtig für Ihre Info-Anforderung sind die letzten vier Spalten. Hier können Sie bei jeder Firma ankreuzen, ob Sie weitere Informationen per E-Mail, Post, Fax oder Telefon erhalten möchten. Selbstverständlich können Sie hier mehr als eine Firma ankreuzen. Auf diese Weise erstellen Sie ohne zusätzlichen Aufwand gleich mehrere Anfragen. Stellenmarkt Ein neuer Job gefällig? Hier haben Sie die Wahl zwischen mehreren tausend aktuellen Angeboten speziell für DV-Profis. Ein neuer Job gefällig? Hier haben Sie die Wahl zwischen mehreren tausend aktuellen Angeboten speziell für DV-Profis. LANline Spezial Das Wichtigste zu den heißen Themen der Netzwerk-Branche – von der Redaktion der LANline speziell aufbereitet. ❸ Bei der erstmaligen Benutzung drücken Sie jetzt einfach den „Weiter“-Button und gelangen damit zur Eingabemaske für Ihre Kontaktinformationen. Noch schneller geht es, wenn Sie das System schon einmal benutzt haben. Dann reicht die Eingabe Ihrer E-MailAdresse aus, und ihre Daten werden automatisch ergänzt. ❹ Wenn Sie jetzt „Weiter“ drücken, gelangen Sie auf eine Bestätigungsseite und das System generiert für jeden der von Ihnen angekreuzten Anbieter eine Anfrage, die per E-Mail an den zuständigen Ansprechpartner verschickt wird. Dieser setzt sich mit Ihnen auf dem von Ihnen gewünschten Weg in Verbindung. ❺ Auf der Bestätigungsseite finden Sie außerdem eine kleine OnlineUmfrage, deren Ergebnisse uns dabei helfen, Sie auch weiterhin mit den richtigen und wichtigen Informationen zu versorgen. Man muß nicht alles wissen – aber man sollte wissen, wo man nachschlagen kann. Für alle Begriffe rund um Netzwerk und Kommunikation werden Sie hier fündig. Man muß nicht alles wissen – aber man sollte wissen, wo man nachschlagen kann. Für alle Begriffe rund um Netzwerk und Kommunikation werden Sie hier fündig. Online-Shop Ihnen fehlt noch ein LANline Spezial, oder die AWi-Jahres-CD? Hier können Sie bequem online bestellen. Service Ein Abonnement gefällig? Sie wollen der Redaktion einmal richtig Ihre Meinung sagen? Sie sind auf der Suche nach einem spezialisierten Dienstleister in Ihrer Nähe? http://www.lanline.de ist auf jeden Fall die richtige Adresse. http://www.lanline.de/info verlag münchen wir informieren spezialisten. Artem AVM Bintec Communications Cisco Systems www.lanline.de Chase ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● 4 4 1 1 4 4 ● ● a. A. ● ● a. A. ● ● ● 0 ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● 1 1 1 1 1 1-2 1 1 1 1 1 1 1 1 4 1 2 1 1 1 1 1 ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● 2 2 2 2 2 2 2 Verschlüsselung Sicherheit Konfiguration TCP/IP IPX X.25 Bridging weiterer Protokolle Kanalbündelung dynamische Kanalbündelung Datenkompression Multilink-PPP DHCP-Server Least-Cost-Router Fax G3 DNS-Relay LAN-CAPI Firmware-Upgrade möglich Taschengeldkonto VPN-Aufbau möglich IP-Spoofing IPX-Spoofing RIP/SAP-Spoofing NAT PAP CHAP PPTP CLID Call-Back Access-Listen IP-Masquerading Paket-Filter IPSec DES 3DES IDEA MPPE andere serielle Schnittstelle via LAN Remote ISDN Dial-In PC-Software Browser Telnet SNMP Accounting-Funktion Real-Time Monitoring Zahl der a/b-Ports Features ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● Geroutete Protokolle ● 2 ● ● ● 2 ● 2 ● ● 4 ● ● 0 ● ● ● ● a. A. 1 4 4 1 1 1 ● ● ● ● 10Base-T 100Base-T Produktname Office Connect Router 1 Agfeo AR 80 1 AT-AR 130 1 AT-AR 140 AT-AR 300 1 AT-AR 300L 1 AT-AR 310 1 Onair Com Point ISDN 1 ISDN Access Server for Win 2000 16 ISDN Multiprotocol Router for 16 Windows Ken! 1 Ken! DSL 1 Netware Connect for ISDN 4 Netware Multiprotocol Router for 4 ISDN 3.1 Netways ISDN V. 4 for Win 95/98/ 1 NT/2000 Bianca/Brick 4 Bingo! 1 Bingo PC 3,5 Zoll 1 Bingo! Plus 1 Bingo Professional 1 Brick-X21 2 Brick-XM 4 Brick-XM-PPPoE 1 Brick-XS 1 Brick-XS Office 1 Netracer 1 X1000 1 X1200 1 X4000 1-4 C1803 2 Router 700 Serie 1 Router 800 Serie 1 Router 1600 1 Router 1720 2 Router 1750 2 Chase IOLink-Pro 100 1 Chase IOLink-Soho 100 1 Chase IOLink-Soho 130 1 Betrieb am Mehrgeräteanschluss Betrieb am Anlagenanschluss Unterstützt ISDN-Festverbindungen 10Base-T für DSL (PPPoE) X.21-Schnittstelle Zahl der ISDN-S0-Anschlüsse Hersteller 3Com Agfeo Allied Telesyn LAN-Schnittstellen Zahl der LAN-Schnittstellen LANline 7/2000 WAN-Schnittstellen ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● SCHWERPUNKT: REMOTE ACCESS 132 Marktübersicht: SOHO-ISDN-Router Data Serve Datus Decision Europe Eicon Elsa ▼ 2 2 4 1 1 8 1 2 2 1 ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● 1 8 1 1 1 2 2 4 2 2 1 ● ● ● ● ● ● ● ● ● ● ● ● ● 2 1 2 Geroutete Protokolle Features Verschlüsselung Sicherheit Konfiguration TCP/IP IPX X.25 Bridging weiterer Protokolle Kanalbündelung dynamische Kanalbündelung Datenkompression Multilink-PPP DHCP-Server Least-Cost-Router Fax G3 DNS-Relay LAN-CAPI Firmware-Upgrade möglich Taschengeldkonto VPN-Aufbau möglich IP-Spoofing IPX-Spoofing RIP/SAP-Spoofing NAT PAP CHAP PPTP CLID Call-Back Access-Listen IP-Masquerading Paket-Filter IPSec DES 3DES IDEA MPPE andere serielle Schnittstelle via LAN Remote ISDN Dial-In PC-Software Browser Telnet SNMP Accounting-Funktion Real-Time Monitoring Zahl der a/b-Ports 10Base-T 100Base-T Zahl der LAN-Schnittstellen Betrieb am Mehrgeräteanschluss Betrieb am Anlagenanschluss Unterstützt ISDN-Festverbindungen 10Base-T für DSL (PPPoE) X.21-Schnittstelle Produktname Modell 2 Modell 2/8 TP Modell 4 Modell 8 Connect 3000 Connect 3019 Meeting Point 500 XCell Diva ISDN LAN Modem DSL/10-Office DSL/25-Office Lancom 800 Office Zahl der ISDN-S0-Anschlüsse Hersteller Conware LAN-Schnittstellen ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● SCHWERPUNKT: REMOTE ACCESS www.lanline.de WAN-Schnittstellen LANline 7/2000 133 www.lanline.de 4 2 1 1 4 2 2 2 1 1 1 2 2 1 Geroutete Protokolle Features Sicherheit Verschlüsselung Konfiguration TCP/IP IPX X.25 Bridging weiterer Protokolle Kanalbündelung dynamische Kanalbündelung Datenkompression Multilink-PPP DHCP-Server Least-Cost-Router Fax G3 DNS-Relay LAN-CAPI Firmware-Upgrade möglich Taschengeldkonto VPN-Aufbau möglich IP-Spoofing IPX-Spoofing RIP/SAP-Spoofing NAT PAP CHAP PPTP CLID Call-Back Access-Listen IP-Masquerading Paket-Filter IPSec DES 3DES IDEA MPPE andere serielle Schnittstelle via LAN Remote ISDN Dial-In PC-Software Browser Telnet SNMP Accounting-Funktion Real-Time Monitoring Produktname Lancom 1000 1 ● ● 1 ● Lancom 1000 Office 1 ● ● ● 2 ● Lancom 1100 1 ● ● 1 ● Lancom 1100 Office 1 ● ● ● 1 ● Lancom 2000 Office 1 ● 1 ● Lancom 4000 Office 1 ● ● ● ● Lancom 4100 Office 4 ● ● ● 1 ● Ginko Ginko Office 1 ● ● 1 ● Richard Hirschmann Access R-02 1 ● ● 2 ● Hypercope Hyroute Conquest 3/Clt 1 ● ● ● ● ● ● IMK I-Link 4.0 Router 2 ● ● ● 4 ● ● I-Link 4.3 Router + 2a/b + Drucker 2 ● ● ● 4 ● I-Link 4.4 Router mit CAPI 2 ● ● ● 6 ● Lightning Multicom Backup IV 4 ● ● ● ● 1 ● Multicom Classic IV 2 ● ● ● ● 1 ● Multicom LAN Access Center 4-12 ● ● ● ● 1 ● Pocket Multicom 1 ● ● ● 1 ● Lucent Technologies Argent Office 8 8 ● ● Cyber Gear 1 6 ● Pipe 130 1 ● ● Pipeline 50 1 Pipeline 75 1 Pipeline 85 1 ● Superpipe 95 2 ● ● ● 1 ● ● Superpipe 155 2 ● ● ● 1 ● ● Motorola Vanguard 60, 70, 80 1 ● ● ● ● 1 ● Multi-Tech Systems Proxy Server ● ● ● NBase-Xyplex N3-RR-42 ● ● ● 1 ● Network 1000 ● ● ● ● NCP Engineering Narac Enterprise R2C 2 ● ● ● ● 1-2 ● ● Narac M 1 ● ● 1 ● ● Netgear RT 328 1 ● ● 1 ● RT 338 1 ● ● RH 348 1 ● ● 4 ● Netopia R310 ISDN Router 1 ● 4 ● R3100 ISDN Router 1 ● ● 8 ● ODS Networks Cryptowatch VPN Gateway 1 ● Perle Systems 833 IS RA-Server 4-8 ● ● 1 ● ● Smart Server 400e 2 ● ● ● 1 ● Specialix Linkstream 2000 1 ● ● ● 1 ● Pyramid Computer Ben Hur 1-4 ● ● ● 1-2 ● ● Rad Data Communications Web Ranger 2, V. 3 4 ● ● ● Shiva Access Port ID 1 ● ● 1 ● Stallion Epipe 2148 Dial up VPN Gateway 8 ● T.D.T. Transfer Data Test Alpha-Router 2 ● ● ● ● 2 ● ● Micro-Router 1 ● ● ● 1 ● Zahl der a/b-Ports 10Base-T 100Base-T Zahl der LAN-Schnittstellen Zahl der ISDN-S0-Anschlüsse Betrieb am Mehrgeräteanschluss Betrieb am Anlagenanschluss Unterstützt ISDN-Festverbindungen 10Base-T für DSL (PPPoE) X.21-Schnittstelle LANline 7/2000 Hersteller Elsa (Forts. v. S. 133) LAN-Schnittstellen ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● SCHWERPUNKT: REMOTE ACCESS 134 WAN-Schnittstellen 1 1 2 1 1 1 1 1 2 ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● 2 6 1 1 1 1 1 1 2 ● ● ● ● ● ● ● ● ● ● ● ● 2 2 2 2 2 Geroutete Protokolle Features Verschlüsselung Sicherheit Konfiguration TCP/IP IPX X.25 Bridging weiterer Protokolle Kanalbündelung dynamische Kanalbündelung Datenkompression Multilink-PPP DHCP-Server Least-Cost-Router Fax G3 DNS-Relay LAN-CAPI Firmware-Upgrade möglich Taschengeldkonto VPN-Aufbau möglich IP-Spoofing IPX-Spoofing RIP/SAP-Spoofing NAT PAP CHAP PPTP CLID Call-Back Access-Listen IP-Masquerading Paket-Filter IPSec DES 3DES IDEA MPPE andere serielle Schnittstelle via LAN Remote ISDN Dial-In PC-Software Browser Telnet SNMP Accounting-Funktion Real-Time Monitoring Zahl der a/b-Ports 10Base-T 100Base-T Zahl der LAN-Schnittstellen Betrieb am Mehrgeräteanschluss Betrieb am Anlagenanschluss Unterstützt ISDN-Festverbindungen 10Base-T für DSL (PPPoE) X.21-Schnittstelle Produktname Highlink TW-H6W1IR Gateland XC-352, XC-352 L Prestige 100 IH Prestige 128+ Prestige 128 IMH Prestige 201 Prestige 202 Prestige 480 Zahl der ISDN-S0-Anschlüsse Hersteller Terayon Trendware Valuesoft Xcell Zyxel LAN-Schnittstellen ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● ● SCHWERPUNKT: REMOTE ACCESS www.lanline.de WAN-Schnittstellen LANline7/2000 135 SCHWERPUNKT: REMOTE ACCESS Anbieter: SOHO-ISDN-Router Hersteller/Anbieter Telefon Produkt Preis in DM Hersteller/Anbieter 3Com/Bedea Berkenhoff & 06441/801138 Office Connect Rou- k. A. Extended Systems Drebes ter Bintec Communications/ Agfeo 030/6170054 Agfeo AR 80 1094 TLK Computer Allied Telesyn 00800/25543310 AT-AR 130 711 Bintec Communications AT-AR 140 827 AT-AR 300 1401 Bintec Communications/ AT-AR 300 L 1097 BSP.Network AT-AR 310 1801 Bintec Communications/ Artem 0731/1516-0 Onair Com Point ISDN ab 2300 AVM 030/39976-0 ISDN Access Server Produkt Preis in DM 089/45011-200 Brick-XS Office 2490 0911/9673-0 Netracer 2989 X1000 999 0941/92015-120 X1000 k. A. 089/45011-200 X 1000 1000 X 1200 1200 X 4000 2932 TLK Computer 720 for Win 2000 ISDN Multiprotocol Telefon 820 Router for Windows Cisco Systems 0811/5543-0 Router 700 Serie 499 $ Cisco Systems/OFM 06109/76493-0 Router 700 Serie k. A. Cisco Systems/SKM 089/431982-0 Router 700 Serie k. A. Ken! 400 Cisco Systems 0811/5543-0 Router 800 Serie 799 $ Ken! DSL 556 Cisco Systems/SKM 089/431982-0 Router 800 Serie k. A. Router 800 Serie 1697 Router 1600 1495 $ Router 1720 1185 $ Netware Connect for 1680 Cisco Systems/TLK Computer 089/45011-0 ISDN Cisco Systems 0811/5543-0 Netware Multiproto- 1580 col Router for ISDN Cisco Systems/TLK Computer 089/45011-0 Router 1720 2541 3.1 Cisco Systems 0811/5543-0 Router 1750 1495 $ Cisco Systems/TLK Computer 089/45011-0 C1803 3178 Chase/Perle Systems IOLink-Pro 100 1133 IOLink-Soho 100 495 IOLink-Soho 130 815 Modell 2 3735 Netways ISDN V.4 380 for Win 95/98/ 0211/4364419 NT/2000 Bintec Communications/ 0841/95329-22 Bianca/Brick k. A. 1Value.com Conware 0721/9495-0 Bintec Communications 0911/9673-0 Bingo! 997 Modell 2/8 TP 3735 Bintec Communications/ 0941/92015-120 Bingo! k. A. Modell 4 4485 Modell 8 5985 Connect 3000 1599 Connect 3019 1799 BSP.Network Bintec Communications/ 07032/9454-100 Bingo! 997 Data Serve 030/546040 Extended Systems Bintec Communications/ 089/45011-200 TLK Computer Bingo! 998 Datus 0241/16802-0 Meeting Point 500 1570 Bingo PC 3,5 Zoll 998 Decision Europe 06201/75437 Xcell 780 Eicon/Raab Karcher 02153/733637 Diva ISDN LAN Mo- 800 Elsa/TLK Computer 089/45011-0 Bintec Communications 0911/9673-0 Bingo! Plus 1389 Bintec Communications/ 0941/92015-120 Bingo! Plus k. A. BSP.Network Bintec Communications/ 07032/9454-100 Bingo! Plus dem 1389 Extended Systems Bintec Communications/ 089/45011-200 Bingo! Plus 1389 TLK Computer DSL/10-Office 1298 DSL/25-Office 3460 Lancom 800 Office 558 840 Elsa/Comnet 030/21756660 Lancom 1000 Elsa/TLK Computer 089/45011-200 Lancom 1000 Office 860 Bintec Communications 0911/9673-0 Bingo! Professional 1790 Elsa/Comnet 030/21756660 Lancom 1100 Bintec Communications/ 0941/92015-120 Bingo! Professional k. A. Elsa/TLK Computer 089/45011-200 Lancom 1100 Office 1119 Elsa/INW 040/639188-0 Lancom 2000 Office k. A. 07032/9454-100 Bingo! Professional 1790 Elsa/Raab Karcher 02153/733637 Lancom 2000 Office 690 Elsa/TLK Computer 089/45011-200 Lancom 2000 Office 679 BSP.Network Bintec Communications/ Extended Systems 1063 Lancom 4000 Office 1998 089/45011-200 Bingo! Professional 1790 Bintec Communications 0911/9673-0 Brick-X21 3949 Ginko 0241/4410-0 Ginko Office 799 Bintec Communications/ 089/45011-200 Brick-X21 3950 Richard Hirschmann 07127/141519 Access R-02 1848 Brick-XM 2250 Hypercope 0241/92829-81 Hyroute Conquest ab 999 Brick-XM-PPPoE 2494 Bintec Communications/ Lancom 4100 Office 4498 TLK Computer TLK Computer Bintec Communications 0911/9673-0 Brick-XS 1563 Bintec Communications/ 0941/92015-120 Brick-XS k. A. 3/Clt IMK/ICS 02181/29570 BSP.Network I-Link 4.0 Router 603 I-Link 4.3 Router + 741 2a/b + Drucker 07032/9454-100 Brick-XS 1563 089/45011-200 Brick-XS 1563 Bintec Communications 0911/9673-0 Brick-XS Office 2490 Multicom LAN Access 5400 Bintec Communications/ 07032/9454-100 Brick-XS Office 2490 Center Bintec Communications/ I-Link 4.4 Router mit 689 Extended Systems Bintec Communications/ CAPI TLK Computer 136 Lightning/TLK Computer 089/45011-0 Multicom Backup IV 7900 Multicom Classic IV LANline 7/2000 4840 www.lanline.de SCHWERPUNKT: REMOTE ACCESS Hersteller/Anbieter Telefon Lightning 0041/21/6542000 Pocket Multicom 716 Lightning/TLK Computer 089/45011-0 Pocket Multicom 2340 Lucent Technologies 0228/2431210 Argent Office k. A. Cyber Gear 840/2100 Pipeline 50 k. A. Lucent Technologies/ 0941/92015-120 Produkt Pipeline 50 Preis in DM Hersteller/Anbieter Netopia Telefon 089/89048-0 ODS Networks 089/327140-0 0228/2431210 Lucent Technologies/MMS 040/211105 Pipeline 50 800 Pipeline 75 k. A. Pipeline 75 k. A. 0228/2431210 Pipeline 85 k. A. Lucent Technologies/ 0941/92015-120 Pipeline 85 k. A. Lucent Technologies 0228/2431210 Pipe 130 k. A. Lucent Technologies/ 0941/92015-120 Superpipe 95 k. A. Superpipe 155 k. A. BSP.Network BSP.Network Perle Systems 0211/43644-39 833 IS RA-Server 6200 Specialix Linkstream ab 3260 Smart Server 400e 3260 Ben Hur 3440 Rad Data Communications 00972/3/6458121 Web Ranger 2, V. 3 4000 Shiva/Comnet 030/21756660 Access Port ID 1100 Stallion/Raab Karcher 02153/733637 EPipe 2148 Dial up 1800 VPN Gateway T.D.T. Transfer Data Test 08703/92900 Alpha-Router ab 998 Micro-Router k. A. k. A. Trendware 001/310/891-1100 TW-H6W1IR 339 Valuesoft 089/99120-0 Gateland k. A. XCell/Sphinx Computer 06201/75437 XC-352 1260 XC-352 L 1760 Prestige 100 IH 450 Narac Enterprise R2C k. A. Prestige 128+ 610 Narac M k. A. Prestige 128 IMH 930 RT328 609 Prestige 201 360 RT338 905 Prestige 202 510 RM348 709 Prestige 480 790 Multi-Tech Systems 0031/20/5745910 Proxy Server k. A. NBase-Xyplex 06074/4994-52 N3-RR-42 k. A. Network 1000 k. A. 089/3505-2059 0761/4514-721 00972/3/6458592 Highlink 0611/3611-932 0911/9968-0 Pyramid Computer Terayon Motorola www.lanline.de k. A. Gateway k. A. Lucent Technologies Netgear Cryptowatch VPN 2000 Lucent Technologies/Qunix 0711/7796-550 NCP Engineering Preis in DM 880 R3100 ISDN Router 1525 BSP.Network Lucent Technologies Produkt R310 ISDN Router Vanguard 60, 70, 80 ab 1200 Zyxel 02405/6909-0 LANline 7/2000 137 fokusTELEKOMMUNIKATION VOICE-OVER-DSL Das Ende von ISDN Die Tage von ISDN scheinen gezählt. Denn viele Telekommunikationsbetreiber setzen verstärkt auf den Ausbau der Access-Infrastruktur über das klassische Kupferkabel. Die Sprachübertragung über DSL-Verbindungen kann dort das ISDN bald überflüssig machen. Weltweit stehen wir heute an einem Scheideweg, an dem die in den Netzen transportierte Anzahl von Daten-Bits die der Sprach-Bits übersteigt. Was zunächst nach einfacher Statistik klingt, hat allerdings fatale Folgen für die Netzarchitektur der Betreiber. Bisher wurden Telekommunikationsnetze entwickelt, um Sprache zu transportieren und zu schalten. Die Daten wurden dabei in einem Sprachkanal übertragen, wie beispielsweise bei Modem- oder ISDN-Wählverbindungen. Die Hauptaufgabe neu gestalteter Netze besteht darin, Daten in Form von Paketen oder Zellen zu schalten. Digitalisierte Sprache ist ein Teil dieser transportierten Einheiten. Dies führte zu einer neuen Generation von Technologien. Die DSL-Technologie gilt dabei als die ideale Zugangstechnologie für diese neue Netzarchitektur. DSL DSL steht für “Digital Subscriber Line” und meint die digitale Übertragung von Informationen auf der Strecke 138 L AN line 7/2000 zwischen dem Endkunden und dem Netz des Betreibers. Das Medium für diesen Zugang ist die klassische Kupfer-Doppelader, die in der Regel in jedem Haushalt oder öffentlichem Gebäude verlegt ist. Die neuesten Varianten von DSL, sprich ADSL, SDSL und VDSL, erreichen Geschwindigkeiten von bis zu 51 MBit/s. Dabei ist die gute alte Kupferader immer die gleiche geblieben. Was hat sich also verändert, dass viel mehr Bits über die Kupferadern übertragen werden können? Hauptsächlich die Modulationsverfahren und die Intelligenz der Endgeräte bringen diesen Vorteil. Während für die Verfahren IDSL, ISDN, SDSL und HDSL der Leitungscode 2B1Q verwendet wird, setzt man bei ADSL und auch VDSL auf QAM (Quatratur Amplituden-/Phasenmodulation), CAP (Carrierless Amplituden-/Phasenmodulation) oder DMT (Discrete Multitone). DMT hat sich bereits als ADSL-Standard herauskristallisiert. All diese Verfahren erlauben die Übertragung von mehr Bits pro Frequenz und nutzen damit das limitierte Frequenzspektrum der Kupferader rationeller aus. Außerdem kommen an den Endpunkten Systeme zum Einsatz, die Hin- und Rückrichtung effizient trennen und auch Leitungsechos kompensieren, so dass eine simultane bidirektionale Übertragung auf der gleichen Frequenz stattfinden kann. DSL ist also weniger eine Revolution als vielmehr eine Evolution. Ein wesentlicher Unterschied der heutigen Netze liegt in einer höheren Übertragungskapazität auf physikalischer Ebene, welche die verschiedenen DSL-Varianten mit den weiterentwickelten Modulationsverfahren ermöglichen. Der entscheiden- eingesetzt. TDM kann als festes und starres Multiplexen von Zeitschlitzen verstanden werden. Bei den moderneren Varianten von DSL, hauptsächlich SDSL und ADSL, wird TDM durch einen flexibleren Paket- oder Zell-orientierten Transportmechanismus wie ATM oder FrameRelay ersetzt. Dadurch erreicht man eine wesentlich höhere Flexibilität im Anschlussbereich und kann die vorhandene Bandbreite effizienter für alle angebotenen Dienste nutzen. Paket-vermittelnde Netze sind letztendlich wesentlich besser geeignet, um burstartige Applikationen wie Internet oder E-Mail zu unterstützen. SPRACHE ÜBER DSL Wenn sich nun DSL anschickt, den Zugang zu Datennetzen im Sturm zu erobern, kommt Bandbreitenvergleich verschiedener Zugangstechnologien de Unterschied für die Veränderung der Netzarchitektur ist jedoch in der zweiten Netzebene zu finden – dem DataLink-Layer. Bei klassischen Netzen wurde hier TDM (Time Division Multiplexing) kein Carrier um das Thema Integration von Sprache auf der Leitung herum. Hierfür gibt es zwei grundsätzliche Ansätze: 1. Integration der Sprachkanäle auf derselben Kupfer- www.lanline.de fokusTELEKOMMUNIKATION Doppelader mittels passivem Splitter; 2. Integration der Sprachkanäle auf dem DSL-Datenstrom. Vor allem bei ADSL ist der erste Ansatz schon heute in einigen Systemen im Einsatz. Der passive Splitter ist auf die Kupferleitung aufgeschaltet und trennt die Sprachdaten von den anderen Daten mittels einer Frequenzweiche sowohl beim Teilnehmer als auch im Vermittlungsknoten. Dieses System ist relativ unflexibel und in der Anzahl der schaltbaren Sprachverbindungen auf eine oder zwei begrenzt. Im Standard für ADSL, der hauptsächlich in den USA vorangetrieben wurde, ist ISDN zudem nicht berücksichtigt worden. Es gibt daher verschiedene Varianten für ANSI und ETSI auf dem Markt. Der entsprechende ITU-Standard G.992.1 hat mehrere Anhänge, in denen die einzelnen Varianten definiert sind. Eleganter und vor allem wirtschaftlich sinnvoller ist die Integration der Sprache direkt in den DSL-Datenstrom. Hierbei wird nicht mit Filtern gearbeitet, sondern vielmehr die Sprache in Form von Datenpaketen innerhalb des DSL-Datenstromes transportiert. Über einen Gateway im Betreibernetz werden die Pakete dort an einen Sprachvermittlungsknoten weitergeleitet. Bei ADSL und SDSL hat sich hauptsächlich ATM als Protokoll für den Data-LinkLayer etabliert. ATM ist derzeit die einzige standardisierte Technologie, die die Anforderungen von Sprache in punkto Qualität und Verzöge- www.lanline.de rungszeit ausreichend berücksichtigt und auch garantieren kann. Um Sprache in ATMZellen zu verpacken, stehen im Prinzip zwei AdaptationLayer zur Verfügung: – AAL1 als Circuit Emulation Service (CES); – AAL2 für isochrone Übertragung mit variabler BitRate. In der Praxis setzt sich dabei zunehmend AAL2 durch. Die Hauptvorteile von AAL2 sind: – Eine dynamische Bandbreitenbelegung erfolgt nur, wenn Sprachverbindung benötigt wird – Das Mischen von verschiedenen Sprachströmen wie Fax, Modem und komprimierte Sprache ist möglich. – Sprachpausenunterdrückung: Bei Sprachpausen werden keine Pakete gesendet. AAL2 ist im ITU-Standard I.363.2 (Stand: September 1997) beschrieben und wurde 1999 durch den Standard I.366.2 ergänzt. Hierin werden hauptsächlich die Paketformate und die Paketierung der Zellen sowie Sprachkodierungsmechanismen klassifiziert. Diese Standards werden durch einen “ATMForum-Loop-EmulationService(LES)”-Standard ergänzt, der speziell die Signalisierungsmechanismen und den Transport der ISDN-DKanal-Signalisierung spezifiziert. Dieser Standard soll Ende Mai 2000 verabschiedet sein. Ebenfalls werden dort auch das Management von AAL2-Kanälen und das Inband-Management des IADs (Integrated Access Devices) spezifiziert. AAL2 erlaubt unter anderem die Komprimierung der Sprache zur weiteren Steigerung der Bandbreiteneffizienz. Verschiedene Komprimierungsalgorithmen erlauben die Reduzierung der Sprachkanäle auf 32 kBit/s (ADPCM) oder 16 kBit/s (G.728). Selbst wenn sich die Komprimierung noch steigern ließe, so ginge dies zu Lasten der Sprachqualität. GATEWAY ZUM SPRACHSWITCH Der Übergang von Sprach-vermittelten Netzen zu Datennetzen ist ein Evolutionsprozess. Deshalb werden beide Architekturen nebeneinander bestehen und über Schnittstellen miteinander kommunizieren. Ein wichtiger Teil der Lösung ist somit das Gateway, das die Schnittstelle zwischen der Dateninfrastruktur und dem Sprachvermittlungsnetz bildet. Das Gateway hat die Aufgabe, die Sprache aus dem ATM-Datenstrom auszupacken und sie über eine Schnittstelle mit V5.1- oder V5.2-Protokoll an den Sprachvermittlungsknoten zu übergeben. Mit dieser Lösung ist unter anderem sichergestellt, dass die gesamten Leistungsmerkmale des Sprachnetzes, die wir kennen und die sich über viele Jahre entwickelt haben, nach wie vor in vollem Umfang zur Verfügung stehen. Solche Leistungsmerkmale sind beispielsweise Anklopfen, Makeln, Konferenzschaltung oder Anrufweiterschaltung. Derzeitige DSL-Systeme mit VoDSL bieten Kundenterminals mit einer LANSchnittstelle und bis zu 16 analogen Sprachanschlüssen. Entsprechende Terminals mit ISDN-Anschlüssen fokusTELEKOMMUNIKATION oder noch mehr analogen Ports sind in Planung beziehungsweise in der Entwicklung. Mit dieser DSL- beziehungsweise VoDSL-Anwendung ist der Betreiber demnach in der Lage, seinen Kunden einen breitbandigen Datenzugang mit ADSL oder SDSL zu ermöglichen und Festverbindung geschaltet. DSL hingegen kann beides in einem bereitstellen: Sprachanschlüsse und schnellen Zugang für Daten und Internet auf nur einer einzigen Zugangsleitung. Der Businessplan von DSL rechnet sich damit wesentlich leichter und die Vermutung Bei Voice-over-DSL wird Sprache in Form von Datenpaketen innerhalb des DSL-Datenstromes transportiert. Über einen Gateway im Betreibernetz werden die Pakete dort an einen Sprachvermittlungsknoten weitergeleitet. gleichzeitig über dieselbe Leitung mehrere Sprachkanäle parallel zur Verfügung zu stellen. DSL eignet sich somit speziell für den Anschluss kleiner bis mittlerer Unternehmen mit wenigen Telefonanschlüssen – ein sehr lukrativer und vielversprechender Markt für alle Betreiber. Dieser Markt wurde bisher fast ausschließlich mit ISDN-Primärmultiplex-Anschlüssen bedient. Diese haben allerdings den Nachteil, dass die Datenübertragung nur über gewählte Verbindungen und zudem relativ unflexibel erfolgt. Für den Internetzugang wurde häufig ein zweiter Anschluss in Form einer 140 L AN line 7/2000 liegt folglich nahe, dass DSL einen extremen Aufschwung durch die Integration der Sprache speziell im BusinessUmfeld, aber auch bei den Privatkunden erleben wird. Nicht zuletzt die ständig steigende Internet-Nutzung spricht hierfür. So prognostiziert auch IDC, dass in Deutschland bis zum Jahre 2003 bis zu 2,5 Millionen DSL-Anschlüsse existieren und die Umsätze mit DSL-Services bei fast 1,2 Milliarden Dollar liegen werden. Da also in Zukunft die Daten in unseren Netzwerken überwiegen, ließe sich vermuten, dass die Endkunden in Zukunft für Ihren breitbandigen Zugang über DSL (zum Beispiel zum Internet) bezahlen werden und die Sprache als Gratiszugabe im Servicebündel enthalten sein wird. Eine Studie der Yankee Group in den USA hat jedoch ergeben, dass zirka 75 Prozent der Anwender einen Service kaufen würden, bei dem sie für Sprache bezahlen müssten und das Internet umsonst bekommen könnten. Nur 25 Prozent bevorzugen einen Service, bei dem Sprache umsonst und Daten kostenpflichtig sind. Dieses Ergebnis mag zunächst etwas erstaunen. Bei näherer Betrachtung der dahinterstehenden Psychologie aber lässt sich das Phänomen leicht erklären: Selbst wenn die Kunden jeden Monat über ihre Telefonrechnung klagen, so sind sie es schließlich gewöhnt, für Sprache zu bezahlen. Dagegen ist das Internet schon von Geburt an ein Medium gewesen, bei dem alles mehr oder weniger frei war: Kostenlose Browser, freie Software, keine Lizenzen. Selbst beim Zugang über eine Modem- oder ISDN-Wählverbindung war der Anteil der Telefonverbindung zuletzt höher als die Online-Gebühr des InternetProviders. Zusammenfassend lässt sich feststellen, dass Teilnehmer zwar mehr Bandbreite wollen, um angemessen im Internet surfen zu können, aber auf der anderen Seite nicht bereit sind, einen qualitativ schlechteren Sprachdienst in Kauf zu nehmen. Sprachqualität und Zuverlässigkeit der Sprachverbindung sind Servicemerkmale, auf welche die Kunden sehr sensibel reagieren. Zwar ist man es gewohnt, den PC neu zu starten, wie oft aber kommt es vor, dass man sein Telefon booten muss? Wie bisher sind die Kunden damit einverstanden, hierfür entsprechende Entgelte zu bezahlen. FAZIT DSL wird sich einen Weg in den Markt für kleine und mittlere Unternehmen bahnen und ISDN an dieser Stelle massiv zurückdrängen. Der Endkunde wird einen integrierten Anschluss für Daten und Sprache bekommen – mit mehr Flexibilität und einer wesentlich höheren Geschwindigkeit. Die Telefone und Telefonanlagen werden dieselben bleiben und nach wie vor für die Sprachdienste verwendet werden. Allerdings werden die gesamten Datenverbindungen wie Internet oder E-Mail direkt über DSL laufen und ISDN nicht mehr berühren. Die Netzbetreiber auf der anderen Seite sparen sich Kosten durch die Integration der Dienste auf einer Zugangsleitung. Diese Einsparungen können durch attraktive Preise direkt an die Endkunden weitergegeben werden. Als direkte Folge davon wird ISDN auf den Bereich Sprachtelefonie zurückgedrängt und muss sich vom Anspruch der Integration von Sprache und Daten verabschieden. (Frank Zwirner/gh) Frank Zwirner ist Sector Marketing Manager Carrier Central Europe bei Newbridge Networks in München und für den Ausbau des Bereiches Carrier sowie Marketing Communications verantwortlich. www.lanline.de fokusTELEKOMMUNIKATION UNIFIED MESSAGING MIT ISDN Standardtechnologie als Basis Unified Messaging lässt sich auf vielen Wegen realisieren. ISDN (Integrated Services Digital Network) eignet sich als Dienste-integrierendes Netz sehr gut für die einheitliche Übertragung von Sprache, Daten und Fax. Für ISDN gibt es das CAPI (Common ISDN Application Programming Interface) – eine Schnittstellendefinition, die sich zum Standard in diesem Bereich entwickelt hat. Dieses lichsten Preis- und Leistungsklassen zur Verfügung, sowohl für den preiswerten Einstieg als auch für große Unternehmenskonzepte. ISDN übermittelt Information in zwei unterschiedlichen Kanal-Typen: Der B-Kanal (Barrier Channel) dient als Nutzdaten-Kanal für die Übertragung, er ist also der Dienste-Kanal, auf dem bei offener Verbindung die Daten übertragen werden. Auf- und Abbau der Verbindung sowie das Übermitteln von Informationen für die Anmeldung bei der Gegenstelle übernimmt hingegen der D-Kanal (Data Channel), der Steuer-Kanal. Interface bildet alle Dienste ab und lässt sich somit universell und einheitlich einsetzen. Dieser Beitrag zeigt, was dabei zu beachten ist. Mit ISDN und CAPI stehen ein universelles Netz und ein vielseitiges API zur Verfügung. Damit können alle Möglichkeiten (Dienste) an einem Anschluss, mit einer Hardware und einem Standard genutzt und auch jederzeit erweitert werden. Hiervon profitiert der Anwender nicht nur dadurch, dass er mit Geräten und Software, die CAPI unterstützen, jederzeit offen ist für spätere Aufrüstung oder einen Wechsel zu einem anderen Anbieter. Da CAPI ein Standard ist, ergibt sich auch ein geringerer Aufwand für Installation, Konfiguration und Nutzung. ISDN erlaubt jedoch das Auslagern einzelner Dienste, wenn dies zum Beispiel aus Kostengründen sinnvoll erscheint. Für den Administrator heißt dies: Wer ISDN und CAPIkonforme Hardware einsetzt, www.lanline.de kann die Hardware jederzeit aufrüsten, weitere ISDN-Karten einbauen und mehrere Leitungen unterstützen. Die entsprechenden Anwender brauchen hier keine Kenntnisse, über welche Kommunikationsleitungen und welche ISDN-Hardware sie welche Nachrichten verschicken oder empfangen. Neue Dienste lassen sich einfach integrieren. Wer beispielsweise über ISDN nur Daten übertragen hat, ist ohne großen Aufwand in der Lage, ISDN auch zum Faxen zu nutzen. Weitere Hardware lässt sich einfach installieren wenn es erforderlich wird, die Kapazität zu erweitern. Darüber hinaus gewährleistet ISDN einen schnellen Verbindungsaufbau und die Übertragungsraten sind gut. CAPI-konforme ISDN-Hardware steht auf dem Markt in unterschied- TECHNISCHE AUSSTATTUNG ISDN bietet zwei Zugangsarten: S0 und S2M. S0, das Basic Rate ISDN, stellt zwei BKanäle mit je 64 kBit/s und einen D-Kanal mit 16 kBit/s zur Verfügung. S2M, Primary Rate ISDN, ermöglicht das Nutzen von 30 B-Kanälen mit 64 kBit/s und eines D-Kanals mit 64 kBit/s. In Europa ist dies als E1 standardisiert. Mit S2M T1, wie es beispielsweise in den USA verwendet wird, stehen nur 23 B-Kanäle zur Verfügung. Wer eine Unified-Messaging-Lösung einsetzt oder auch nur einzelne Dienste nutzt, muss zunächst entscheiden, wie viele Kanäle, also gleichzeitige Verbindungen nach außen, sinnvoll und notwendig sind, um das unternehmenseigene Kommunikationsvolumen abzudecken. Theoretisch kann man mit S0 und entsprechender Hardware 32 Kanäle realisieren. Ab 16 Kanälen bietet sich schon aus Kostengründen allerdings der S2M-Anschluss an. ANSCHLUSSARTEN FÜR UNIFIED MESSAGING: Grundsätzlich gibt es bei ISDN zwei Anschlussarten: PP (Punkt-zu-Punkt) und PMP (Punkt-zu-Mehrpunkt). Der PMP-Anschluss, auch Mehrgeräte-Anschluss genannt, stellt maximal zehn Rufnummern zur Verfügung und eignet sich damit vor allem für den SOHO-Bereich. Für den professionellen Einsatz eignet sich der Punktzu-Punkt-Anschluss, auch Anlagenanschluss genannt, besser. Diese Lösung schaltet an einem Bus Nummernkreise frei. So ein Nummernkreis stellt die Nummern für Uni- Überblick über die ISDN-Funktionsweise Quelle: Servonic L AN line 7/2000 141 fokusTELEKOMMUNIKATION fied Messaging zur Verfügung, die den einzelnen Teilnehmern zugeordnet werden. Häufiges Problem bei der Konzeption von ISDN-Anschlüssen, speziell hinter TKAnlagen, ist die sinnvolle Einteilung der Nummernkreise. Ideal wäre es beispielsweise, wenn jeder Teilnehmer sich seine Telefonnummer und seine Faxnummer leicht merken kann, weil die Nummern gleiche Endziffern haben. Wer die Nummernkreise im Unternehmen vergibt, könnte zum Beispiel für Telefonnummern immer die 1234-5xx verwenden und für Faxnummern immer die 123-6xx. Ein Teilnehmer mit der Nummer 1234-588 erhält dann als Faxnummer die 1234-688 aus dem Nummernkreis. Nummernkreise lassen sich auch durch “Zwischeneinschie- sich sind grundsätzlich sehr flexibel, das gilt allerdings nicht beim Einrichten der Dienste. Wer schon einmal versucht hat, eine Gegenstelle per Fax zu erreichen, die aufgrund falscher Konfiguration an der TK-Anlage nicht für Faxdienst, sondern als analoges Gerät für Telefonie eingerichtet war, weiß, dass ISDN nicht umsonst von jedem Gerät für die richtige Übermittlung eine Dienste-Kennung verlangt. Welche Dienste können überhaupt mit ISDN genutzt werden? Wie eingangs erwähnt bietet ISDN grundsätzlich alle Dienste unter einem Hut. Das gilt für Daten, Sprache und Fax. Das schließt auch RAS (Remote Access Service), IP-Routing und Videoconferencing ein. Außerdem lassen sich über ISDN ISDN für Unified Messaging am Beispiel Fax: Routing “hinter” der TKAnlage Quelle: Servonic ben” einer führenden Zahl erweitern, um mehrstellige Durchwahlen zu erhalten. Wichtig ist, dass entsprechend der Anzahl der zur Verfügung stehenden Nummern, jedem Teilnehmer die Nummern aus dem richtigen Nummernkreis zugeordnet werden. Die Nummernkreise an 142 L AN line 7/2000 auch SMS-Kurznachrichten übertragen. Die entsprechenden Informationen, welcher Dienst genutzt wird und wie die Anmeldung bei der Gegenstelle korrekt zu erfolgen hat, übermittelt der D-Kanal über die Info-Elemente BC (Barrier Compatibility) und HLC (High Layer Compatibility), die zusammen den benötigten Dienst spezifizieren. Während BC die Qualität der Übertragung und Datenrate bei der Gegenstelle anfordert, regelt HLC das Übertragungsverfahren. KOSTENAUSWERTUNGSFUNKTIONEN Für alle Dienste von ISDN gilt, dass bei der Übertragung genau die Informationen verfügbar sein müssen, die ein Unternehmen zur Kostenermittlung benötigt. Nicht nur, welcher Teilnehmer zum Beispiel ein Fax geschickt hat, sondern auch, wie lange die Übertragung dauert, wie viele Gebühreneinheiten diese Übertragung verbraucht hat und welcher Kostenstelle dieser Teilnehmer zugeordnet wurde. Dies gilt auch für Prozesse in ankommender Richtung: Die CAPI als Verständigungsgrundlage zwischen ISDN-Leitung, ISDN-Hardware und Unified-MessagingSoftware stellt alle für die Auswertung erforderlichen Informationen zur Verfügung. So lassen sich zum Beispiel jedem einzelnen Teilnehmer für alle von ihm versendeten Nachrichten die konkreten Gebührenhinweise am Arbeitsplatz mitteilen und der Administrator behält den Gesamtüberblick über alle von ihm verwalteten Teilnehmer. INBOUND ROUTING FÜR UNIFIED MESSAGING NUTZEN ISDN bietet Möglichkei- ten der Auswertung nicht nur im Sinne von Kosten. Wichtig ist ja gerade beim Server-Betrieb und Unified Messaging, dass die empfangenen Informationen genau bei dem Teil- nehmer landen, für den sie bestimmt sind und zwar ohne mühseliges Sichten und Weiterleiten. Wer auf ISDN setzt, hat hier eines der effektivsten und gleichzeitig einfachsten Routing-Verfahren zur Verfügung: Routing über Durchwahlnummer. Jeder Teilnehmer, der eine eigene Durchwahl aus dem Nummernkreis erhalten soll (das gilt übrigens auch für Teilnehmergruppen), bekommt eine Verknüpfung zwischen Messaging-System wie beispielsweise Microsoft Exchange Server und seiner Durchwahlnummer. Das System überprüft eine eingehende Nachricht dann nicht nur auf den entsprechenden Dienst hin, sondern es analysiert auch die Zielrufnummer. Darüber hinaus wird die Nachricht korrekt konvertiert beziehungsweise weitergegeben. Ist etwa die Durchwahlnummer -48 mit dem Teilnehmer Max Müller verknüpft, reicht die Unified-MessagingSoftware ein eingehendes Fax oder auch eine eingehende Anrufbeantworter-Nachricht direkt an den Arbeitsplatz von Max Müller weiter. Mit einer Unified-Messaging-Lösung wie zum Beispiel dem IXIServer, die sich in MessagingSysteme wie Exchange Server oder Notes/Domino integriert, ergibt sich Unified Messaging für jeden Teilnehmer. Auch über InboundRouting und über die Verknüpfung im Mail-System: Der Teilnehmer erhält in seinem Posteingang neben seinen E-Mails auch Faxe, Anrufbeantworter-Nachrichten und SMS-Kurznachrichten. Verfahren wie Routing über DTMF oder Routing über um- www.lanline.de fokusTELEKOMMUNIKATION leitende Nebenstelle sollten zwar an dieser Stelle erwähnt werden, in Deutschland gibt es aber im Normalfall keinen Grund, von dem zuverlässigen und einfachen Prinzip des Durchwahlnummern-Routing abzuweichen. Das kann höchstens sinnvoll sein, wenn, wie in einigen anderen Ländern, nicht genügend Rufnummern zur Verfügung stehen und deshalb auf Sonderformen des Inbound-Routing ausgewichen werden muss. Eine Besonderheit für das Routing gibt es auch bei der Übertragung von SMS-Kurznachrichten. Grundsätzlich kann jeder Teilnehmer an seinem Arbeitsplatz eine SMSNachricht verfassen und via ISDN zum Festnetz versenden. Das Absetzen von Kurznachrichten an mobile Empfänger, zum Beispiel ServiceTechniker vor Ort, erspart einem hier schon die lästige Fummelei mit der HandyTastatur. Regelbasiert lassen sich zudem automatisch Notfallnachrichten an eine bestimmte Handy-Nummer versenden zum Beispiel bei einem Service-Ausfall. SMS Allerdings bilden SMS-Kurznachrichten nicht nur in Empfangsrichtung einen Sonderfall, denn sie lassen sich nicht wie andere Nachrichten anhand der Durchwahl an den Arbeitsplatz durchrouten. Für die adressierte Nummer und den verwendeten Übertragungsweg gibt es keine Zielruf-Information, die ausgewertet werden kann. Gerade beim Versenden von SMSNachrichten sollten die Administratoren beachten, SONDERFALL www.lanline.de dass der Versand über das ISDN-Festnetz aus Kostenund auch aus Durchsatzgründen nur bei einem geringen Nachrichtenvolumen die günstigere Variante ist. Bei häufigerem Versand von SMSNachrichten bietet sich statt dessen die Verwendung eines GSM-Adapters an. Dieses zentrale “Handy” bietet meist eine wesentlich bessere Verfügbarkeit, da hier direkt im Mobilnetz gesendet wird und die Daten nicht wie beim Versand über ISDN zwischen Festnetz und Mobilnetz umgesetzt werden müssen. Die Umsetzung erfolgt beim jeweiligen Mobilfunkbetreiber in seinem SMS-Einwahlknoten. Auch die Kosten spielen hier eine Rolle: Während bei ISDN für jede Einwahl zirka zwei bis drei Gebühreneinheiten zu zwölf Pfennig anfallen, kostet bei Nutzung des Mobilfunknetzes über GSM-Adapter jede einzelne Nachricht je nach Mengenstaffel zum Beispiel nur noch drei Pfennig. Dann rechnen sich die Anschaffungskosten für das Gerät schon kurzfristig. Ein wesentlicher Faktor für den Einsatz eines GSMAdapters ist auch, dass über ISDN keine SMS-Kurznachrichten empfangen werden können. Wer also SMS-Empfang braucht, kommt um einen GSM-Adapter nicht herum. KOMMUNIKATIONS-HARDWARE AUSWÄHLEN Als Kommunikations-Hardware gibt es ISDN-Karten, Router sowie externe oder interne Geräte. Wichtig bei der Auswahl einer CAPI-ISDNHardware ist immer, dass nicht nur die CAPI für die Datenübertragung zur Verfügung steht, sondern auch alle Voraussetzungen für die genutzten Dienste gegeben lem für den Server-Betrieb. Eine Zwischenstufe zwischen aktiven und passiven Karten stellen die semi-aktiven Adapter dar, die mit einem DSP Unified Messaging: Sämtliche ein- und ausgehenden Nachrichten unter einer einheitlichen Oberfläche. Mit Unified Messaging stehen dem Benutzer alle Nachrichtenarten in übersichtlicher Form direkt an seinem Arbeitsplatz zur Verfügung. Er kann auf die Informationen auch mobil zugreifen. Das Ziel von Unified Messaging liegt in einer Vereinfachung und Beschleunigung der Kommunikationsprozesse. Damit sollen Zeit- und Kostenersparnisse im Unternehmen erreicht werden. Unified Messaging strukturiert dabei bestehende Systemumgebungen nicht komplett um, sondern ergänzt sie um fehlende Kommunikationsmöglichkeiten und vereinfacht die Zugriffsmöglichkeiten für die Teilnehmer. ISDN als Technik bietet sich für Unified Messaging an. Je mehr mit Standards gearbeitet wird und je einheitlicher die Dienste sind, um so weniger fallen Kosten sowie Installations-, Schulungs- und Administrationsaufwand an. sind. Wer Daten und Faxe übertragen möchte, muss auch ISDN-Hardware einsetzen, die den Dienst FaxGruppe 3 unterstützt. Da es sich bei den hier beschriebenen Unified-Messaging-Lösungen immer um Server-basierte Anwendungen handelt, gibt es eigentlich nur einen Punkt, den man in jedem Fall beachten sollte: Es existieren passive, aktive und semi-aktive ISDN-Karten. Passive scheiden für den Server-Betrieb grundsätzlich aus, da sie keine eigenen Prozessoren haben und damit den Prozessor des Server-Rechners zusätzlich belasten. Im Gegensatz dazu können aktive ISDN-Adapter, die eine eigene CPU haben, mit einem wesentlich größeren Datenansturm und Kommunikationsvolumen fertig werden und eignen sich damit vor al- (Digital Signal Processor) ausgestattet sind und ein gutes Preis-/Leistungsverhältnis für den “kleinen” Einstieg bieten. Mittlerweile ist die Palette der auf dem Markt verfügbaren CAPI-StandardHardware für die Dienste Daten, Fax und Sprache breit gestreut. Die meisten Hersteller bieten Komprimierverfahren und Fehlerkorrektur (ECM) an, ebenso wie DTMF-Unterstützung (Dual Tone Multi Frequency). Einen Überblick über verwendbare ISDNHardware oder auch GSMAdapter für Unified Messaging findet sich beispielsweise unter http://www.servonic.com/ger/products/isdn/ ifisdnhw.htm. (Karin Abrell/gg) Karin Abrell ist Leiterin Marketing/PR bei Servonic. L AN line 7/2000 143 fokusTELEKOMMUNIKATION Telefonadapter fürs Internet IP-Telefonie lässt sich jetzt auch mit klassischen AnalogTelefonen realisieren. Möglich wird dies mit EZ Connect Netphone von SMC, einen intelligenten Adapter, der das Telefon mit dem Ethernet verbindet. So lassen sich bestehende Internet-Verbindungen auch ohne PC oder Gateways für Voice over IP nutzen. Das H.323kompatible Gerät soll nach Angaben des Herstellers “gute Sprachqualität” liefern. Als Ge- Mit EZ Connect Netphone von SMC wird das Analog-Telefon Internet-fähig genstellen für kostenlose Telefonate eignen sich entsprechende Endgeräte im Internet, Rufe ins klassische Telefonnetz via IP lassen sich über einschlägige Service-Anbieter (zum Beispiel Net2phone) gegen entsprechende Gebühr ausrichten. Normales Telefonieren über ein vorhandenes Telefonnetz ist trotz des angeschlossenen Adapters wahlweise möglich; bei eingehenden Telefonanrufen während eines Internet-Telefonats kann nach einem entsprechenden Signalton auf das lokale Gespräch umgeschaltet werden. Zur Installation des Geräts (“Plug and Phone”) muß lediglich die IP-Adresse angegeben werden. EZ Connect Netphone soll sich nach Anga- 144 L AN line 7/2000 ben des Herstellers vor allem für Unternehmen mit bestehender Internet-Anbindung eignen, die einen hohen Anteil an Ferngesprächen, zum Beispiel mit Außenbüros, aufweisen. (pf) Info: SMC Networks GmbH Tel.: 089/92 861-0 Web: www.smc.de PRI over IP und umgekehrt ISDN over IP mit allen Informationen des D-Kanals – das bietet der PrimärmultiplexRouter und VoIP-Konverter LCR701 von Comtel. Das Gerät im handlichen Format von 245 x 50 x 178 mm verfügt über zwei S2M-(PRI-)Schnittstellen sowie einen 10/100Base-T-Port (Autosensing). Der Router setzt alle ISDN-Informationen mittels Tunneling in IP-Pakete um und reicht das ISDN-EDSS1-Protokoll auf 64 kBit/s ins Ethernet weiter. Da auch die D-Kanal-Informationen transparent weitergeleitet werden, bleiben alle Komfortfunktionen und Leistungsmerkmale über die LAN-Verbindung erhalten. Der LRC701 unterstützt aber auch den umgekehrten Weg vom LAN ins ISDN-Netz. Die Konfiguration des Geräts kann sowohl über die serielle Schnittstelle als auch per ISDN-Fernwartung (mit verschiedenen Sicherheitsfunktionen) erfolgen. Ein integrierter History-Speicher sorgt für das Logging von Gesprächsdaten. Die Integration von Backup-Batterien für Notrufsignale und die Speicherung der Informationen bei Stromausfall ist optional. Gleiches gilt für Least-Cost-Routing- (LCR-)Funktionalität. Der Preis des LCR701 beträgt 9500 Mark. (pf) Info: Comtel Electronic Systems GmbH Tel.: 06172/9551-0 Web: www.ces-germany.de Kostenloser ISDN-/ADSL-Router Einen kostenlosen SoftwareRouter für den SOHO-Bereich bietet Valuesoft zum Download (www.gateland. de) an. Das Produkt Free Virtual Gateland unterstützt als WAN-Verbindungen ISDN und ADSL und eignet sich somit für Kommunikationszugänge wie beispielsweise T-ISDN und TDSL. Damit lassen sich diese Zugänge nicht nur am Einzelplatzrechner nutzen, sondern auch im Netzverbund; über die integrierte Remote CAPI stehen unter ISDN auch CAPIFunktionalitäten auf den Client-Rechnern zur Verfügung. Der Software-Router für Windows 98/NT unterstützt den Internet-Zugang über eine eigene, geschlossene TCP/IP-, PPP- sowie PPPoE-Implementation und ist damit von eventuell vorhandenen Programmund Betriebssystemkomponenten unabhängig. Das Produkt bietet unter anderem NAT (Network Address Translation), einen DHCP-Server, verschiedene Protokolllierungen sowie einen Short-Hold-Mode. Für höhere Ansprüche führt derselbe Hersteller auch kostenpflichtige Soft- und Hardware-Lösungen aus diesen Bereich im Angebot. (pf) Info: Valuesoft GmbH Tel.: 089/99 120-0 Web: www.valuesoft.de, www.gateland.de ADSL-Router mit Wähl-Backup Mit der R6000-Serie hat Netopia drei ADSL-Router vorgestellt, die im dritten Quartal dieses Jahres auf den Markt kommen sollen. Zwei ModellVarianten bieten dabei zusätzliche integrierte Backup-Verbindungen über V.90-Modem(R6120) beziehungsweise ISDN-Wählverbindungen (R6131). Die Backup-Funktionalität soll einerseits Ausfallsicherheit für unternehmenskritische Anwendungen über das Internet bieten, andererseits gibt diese Funktionalität ISPs die Möglichkeit, neue Kunden sofort auf konventionellem Wege anzubinden; sobald der DSL-Anschluß verfügbar ist, wird automatisch auf die Hochgeschwindigkeitsverbindung umgeschaltet. Die ADSL-Router der R6000-Serie sind nach Angaben des Herstellers G.Lite- sowie G.dmt-kompatibel und unterstützen das PPPoE-Protokoll (Point to Point Protocol over Ethernet). Die Geräte bieten ferner VPN-Technologie, eine Firewall sowie einen integrierten Hub mit acht Ports. Die Backup-Funktionalität soll sich flexibel konfigurieren lassen, so dass die Umschaltung automatisch, manuell oder bei Bedarf aktiviert wird. ISP-seitig werden Routing-Protokolle wie OSPF oder IGRP unterstützt. Die Preise für die drei Router-Modelle betragen 1600 Mark (R6100) beziehungsweise 2110 Mark (R6120, R6131). (pf) Info: Netopia Europe Tel.: 0033/1/45 299 108 Web: www.netopia.com Distributor: Internet 2000 Web: www.internet2000.de www.lanline.de Informationen schnell per Inserenten Inserent Seite ADN Alteon AVM CA Computer Associates Canon Ciena Com2 COMCITY CommuSys Compaq Compu-Shack Computer Competence Computer Links CompuTrain Connect Controlware D.L.T. Dafür Dakota Danes Datus dc Europe Deutsche Telekom D-Link DV-Job.de DV-Markt.de edcom Eicon Technology 146 43 121 17 51 53 137 25 79 31 145 145 146 7 2 73 135 23 19 115 127 46/47 9 111 101 146 113 Kennz. 023 053 011 026 027 061 015 037 018 017 006 001 035 059 014 012 050 055 025 007 048 044 049 Inserent Seite Kennz. Fujitsu/Siemens Hewlett Packard Huber & Suhner Hypercope IBM IBM Infoline KKF.net Krone Lange LAN-Technik Lanworks LMC LAN Management M4 Data MAINSTOR Mannesmann Arcor Masterguard MegaByte/Procom MMS Communication Ontrack Data Recovery Overland Data Panduit Pentair Pyramid RADWARE Reichle & De-Massari Ringdale Seicom 35 39 146 133 11 61 119 57 4/5 27 59 145 63 103 83 105 91 77 125 95 21 37 65 67 15 13 87 3 019 021 058 008 030 052 028 005 016 029 031 045 038 046 041 036 054 042 013 020 032 033 010 009 039 004 Inserent Seite Kennz. Servonic S&N Sphinx Computer SyncSort Talkline The Bristol Group The Bristol Group TLK Transition Trefz & Partner Veritas VTS Xnet 139 145 135 41 156 69 145 117 89 146 99 107 45 062 060 022 003 034 051 040 043 047 024 Beilagen und Beihefter Interest Verlag Karl Ueberreuter Seicom Transtec Recherche im WEB Web: Sie suchen in unserer Online-Datenbank die für Sie interessanten Produkte. Dann entscheiden Sie, in welcher Form Sie kontaktiert werden möchten. Wir leiten Ihre Anfrage an den Ansprechpartner weiter, der Sie dann auf dem von Ihnen gewünschten Weg kontaktiert. Und so funktioniert LANline Info: Unter http://www.lanline.de/info Der Web-Kennzifferndienst LANline Info macht die gezielte Suche im WWW so komfortabel und schnell wie nie zuvor. Dieses Tool funktioniert im Prinzip wie das Leser-Info-Fax, das den LANline-Lesern ja seit Jahren vertraut ist, allerdings mit erheblich erweiterten Möglichkeiten und allen Vorteilen des World Wide wählen Sie zunächst aus, in welcher Ausgabe der LANline Sie recherchieren möchten. Dann wählen Sie eine oder mehrere Produktkategorien aus. Alternativ können sie, falls Sie schon genau wissen, wofür Sie sich interessieren, direkt den Namen des Anbieters eingeben. Zusätzlich steht Ihnen noch die Option “Alle Anzeigen und redaktionellen Beiträge” zur Verfügung. Drücken Sie die Schaltfläche “Weiter”, um Ihre Abfrage zu starten. Das System stellt nun eine Liste aller Inserenten und redaktionellen Beiträge zusammen, die Ihren Suchkriterien entsprechen. Wenn die Firma eine eigene Website besitzt, dann ist der Firmenname in der linken Spalte mit einem Hyperlink unterlegt. Damit kommen Sie direkt auf die Web-Seiten des Anbieters. Wichtig für Ihre Info-Anforderung sind die letzten vier Spalten. Hier können Sie bei jeder Firma ankreuzen, ob Sie weitere Informationen per EMail, Post, Fax oder Telefon erhalten möchten. Selbstverständlich können Sie hier mehr als eine Firma ankreuzen. Auf diese Weise können Sie ohne zusätzlichen Aufwand gleich mehrere Anfragen generieren. Bei der erstmaligen Benutzung von LANline Info drücken Sie jetzt einfach den “Weiter”Button und gelangen damit zur Eingabemaske für Ihre Kontaktinformationen. Noch schneller geht es, wenn Sie das System schon einmal benutzt haben. Dann reicht die Eingabe Ihrer EMail-Adresse aus, und ihre Daten werden automatisch ergänzt. Wenn Sie jetzt “Weiter” drücken, gelangen Sie auf eine Bestätigungsseite, und das System generiert für jeden der von Ihnen angekreuzten Anbieter eine Anfrage, die per E-Mail an den zuständigen Ansprechpartner verschickt wird. Dieser setzt sich mit Ihnen auf dem von Ihnen gewünschten Weg in Verbindung. Auf der Bestätigungsseite finden Sie außerdem eine kleine Online-Umfrage, deren Ergebnisse uns dabei helfen, die LANline auch weiterhin mit den richtigen und wichtigen Informationen für Sie zu füllen. (Frank-Martin Binder/rhh) Info-Fax oder Internet ▲ ● Tragen Sie die entsprechende Kennziffer unter www.lanline.de/info an der vorgesehenen Stelle ein und Sie gelangen direkt und ohne Umwege zu Ihren gewünschten Zusatzinformationen. ●Info-Fax # 023 ▲ ●Info-Fax ▲ Der moderne Weg zu detaillierten Informationsmaterial zu der in dieser Ausgabe veröffentlichten Anzeigen. www.lanline.de/info ▲ ● Selbstverständlich haben Sie nach wie vor die Möglichkeit, weitere Anzeigen-Produkt-Infos mit dem untenstehenden Faxformular abzurufen. Einfach ausfüllen und an die Fax-Nummer 08621/97 99 60 faxen. Zum schnellen Überblick haben wir alle inserierenden Firmen auf der gegenüberliegenden Seite aufgelistet. # 023 www.lanline.de/info An AWi-Verlag LANline-Leserservice Edith Winklmaier Herzog-Otto-Str. 42 83308 Trostberg ine l N L A 2000 7/ Meine Anschrift lautet: Ich möchte Informationsmaterial zu Anzeigen mit folgenden Kennziffern (siehe nebenstehende Übersicht): Firma Abteilung 1. 2. 3. 4. 5. 6. Vorname/Name Straße/Nummer PLZ/Ort 7. 8. 9. 10. 11. 12. Telefon Fax Meine Funktion: (bitte ankreuzen) ❑ Spezialist ❑ Gruppen-/Abteilungsleiter ❑ Einkauf ❑ Unternehmensleitung ❑ Mein Unternehmen beschäftigt: ❑ 1 bis 19 Mitarbeiter ❑ 100 bis 249 Mitarbeiter ❑ über 1000 Mitarbeiter ❑ 20 bis 49 Mitarbeiter ❑ 250 bis 499 Mitarbeiter Mein Unternehmen gehört zu folgender Branche: ❑ Elektroindustrie ❑ Maschinenbau ❑ Fahrzeughersteller und -zulieferer ❑ Chemisch pharmazeutische Industrie ❑ Transport- und Logistikbranche ❑ Geldinstitute/Bausparkassen ❑ Versicherungswesen ❑ Reise- und Touristikbranche ❑ Handel und Dienstleistungen ❑ Öffentliche Verwaltung ❑ Hochschulen und Forschungsinstitute ❑ Nahrungs- und Genußmittel ❑ 50 bis 99 Mitarbeiter ❑ 500 bis 999 Mitarbeiter Ich interessiere mich für folgende Computer- und Kommunikationssysteme: Betriebssysteme: Hardware: ❑ MS-DOS ❑ VMS/OpenVMS ❑ Windows ❑ OS/2 ❑ Windows NT ❑ Ultrix ❑ UNIX ❑ OSF/1 ❑ System 7 ❑ Windows 95 ❑ IBM ❑ DEC ❑ HP ❑ Sun ❑ Siemens ❑ Apple ❑ RISC-Systeme ❑ andere: Kommunikationssysteme/ -lösungen: ❑ DECnet ❑ Novell-NetWare ❑ Banyan Vines ❑ LAN Manager/LAN Server ❑ PC-Host-Verbindung ❑ Pathworks ❑ ISDN/WANs ❑ Windows NT Advanced Server ❑ andere: Damit Hersteller und Anbieter von Produkten, für die ich mich interessiere, meine Kennziffernanfragen so gezielt wie möglich beantworten können, bin ich damit einverstanden, daß diese Daten elektronisch gespeichert und weitergegeben werden. Ort, Datum Unterschrift VORSCHAU 8/2000 SCHWERPUNKT GROUPWARE UND WORKFLOW: Preview auf Microsoft Exchange 2000 ist ab dem 04.08.2000 am Kiosk erhältlich SCHWERPUNKT NETZWERKMANAGEMENT: DM 14,- ÖS 110,- Sfr. 14,- Der Web-Browser als Managementkonsole Nr. 8, August 2000 Das Magazin für Netze, Daten- und Telekommunikation www.lanline.de Groupware und Workflow Das Magazin für Netze, Daten- und Telekommunikation mit Marktübersicht Dokumentenmanagementsysteme netzLÖSUNGEN T-DSL-Praxis vom Antrag bis zum Betrieb netzTECHNIK Groupware und Workflow: Preview auf Microsoft Exchange 2000 Meta-DirectoryServices (2): Novell NDS E-Directory MARKTÜBERSICHTEN Dokumentenmanagementsysteme, Netzwerkmanagement-Software VORSCHAU auf kommende LANline-Schwerpunkte Netzwerkmanagement: Der Administrator zieht die Fäden im Hintergrund LANline Spezial Verkabelung ist ab dem 23.08.2000 am Kiosk erhältlich 154 L AN line 7/2000 Ausgabe Erscheint Schwerpunktthemen am Redaktionsschluss 09/2000 01.09. 2000 Das sichere Netz, Drahtlose Kommunikation 07.07. 2000 10/2000 22.09. 2000 High-Speed-LANs, Verkabelung 31.07. 2000 11/2000 30.10. 2000 Drucken im Netz, Dienstleister 11.09. 2000 Wenn Sie zu einem oder mehreren dieser Themen einen Beitrag schreiben möchten, rufen Sie uns einfach an: 089/456 16-101 IMPRESSUM HERAUSGEBER: Eduard Heilmayr (he) REDAKTION: Rainer Huttenloher (Chefredakteur, (rhh)), Stefan Mutschler (Chefredakteur, (sm)), Marco Wagner (stv. Chefredakteur, (mw)), Doris Behrendt (db), Dr. Götz Güttich (gg), Georg von der Howen (gh), Kurt Pfeiler (pf) AUTOREN DIESER AUSGABE: Karin Abrell, Siegfried Bettermann, Peter Böhret, Werner Degenhardt, Katharina Granzin, Roland Hamann, Moritz Hammer, Gerhard Kafka, Michael Lemke, Stefan Middendorf, Sebastian Nitz, Olaf Riebe, Thomas Rohde, Andreas Roeschies, Horst Schellong, Martin Schönauer, Christian Zillich, Frank Zwirner REDAKTIONSASSISTENZ: Edith Klaas, Tel.: 089/45616-101 REDAKTIONSANSCHRIFT: Bretonischer Ring 13, 85630 Grasbrunn, Fax: 089/45616-200, http://www.lanline.de LAYOUT, GRAFIK UND PRODUKTION: Carmen Voss, Tel.: 089/45616-212, Edmund Krause (Leitung) ANZEIGENDISPOSITION: Carmen Voss, Tel.: 089/45616-212 Sandra Pablitschko, Tel.: 089/45616-108 TITELBILD: Wolfgang Traub ANZEIGENVERKAUF: Anne Kathrin Latsch, Tel.: 089/45616-102 E-Mail: la@lanline.awi.de Susanne Ney, Tel.: 0 89/45616-106 E-Mail: sn@lanline.awi.de Karin Ratte, Tel.: 089/45616-104 E-Mail: kr@lanline.awi.de ANZEIGENVERKAUFSLEITUNG GESAMT-AWI-VERLAG Cornelia Jacobi, Tel.: 089/71940003 oder 089/45616-117 E-Mail: cj@awigl.awi.de ANZEIGENPREISE: Es gilt die Preisliste Nr. 12 vom 1.1.2000 ANZEIGENASSISTENZ: Davorka Esegovic, Tel.: 089/45616-156 ANZEIGENVERWALTUNG: Gabriele Fischböck, Tel.: 089/45616-262, Fax: 089/45616-100 ERSCHEINUNGSWEISE: monatlich, 12 Ausgaben/Jahr zuzüglich 4 Themenhefte ABONNEMENT-BESTELL-SERVICE: Vertriebs-Service LANline, Edith Winklmaier, Herzog-Otto-Str. 42, 83308 Trostberg, Tel.: 08621/645841, Fax 08621/62786 Zahlungsmöglichkeit für Abonnenten: Bayerische Vereinsbank München BLZ 700 202 70, Konto-Nr. 32 248 594 Postgiro München BLZ 700 100 80, Konto-Nr. 537 040-801 VERTRIEB EINZELHANDEL: MZV, Moderner Zeitschriften Vertrieb, Breslauer Str. 5, 85386 Eching BEZUGSPREISE: Jahresabonnement Inland: 148,– DM Ausland: 174,– DM (Luftpost auf Anfrage) Vorzugspreise DM 110,- (Inland), DM 121,80 (Ausland) für Studenten, Schüler, Auszubildende und Wehrpflichtige – nur gegen Vorlage eines Nachweises. Sollte die Zeitschrift aus Gründen, die nicht vom Herausgeber zu vertreten sind, nicht geliefert werden können, besteht kein Anspruch auf Nachlieferung oder Erstattung vorausbezahlter Bezugsgelder. SONDERDRUCKDIENST: Alle in dieser Ausgabe erschienenen Beiträge sind in Form von Sonderdrucken erhältlich. Kontakt: Edmund Krause, Tel.: 089/45616-240, Alfred Neudert, Tel. 089/45616-146, Fax: 089/45616-100 DRUCK: Konradin Druck GmbH, Kohlhammerstr. 1-15, 70771 Leinfelden Echterdingen URHEBERRECHT: Alle in der LANline erscheinenden Beiträge sind urheberrechtlich geschützt. Alle Rechte, auch Übersetzungen, vorbehalten. Reproduktionen, gleich welcher Art, nur mit schriftlicher Genehmigung des Herausgebers. Aus der Veröffentlichung kann nicht geschlossen werden, dass die beschriebenen Lösungen oder verwendeten Bezeichnungen frei von gewerblichem Schutzrecht sind. © 2000 AWi LANline Verlagsgesellschaft mbH MANUSKRIPTEINSENDUNGEN: Manuskripte werden gerne von der Redaktion angenommen. Mit der Einsendung von Manuskripten gibt der Verfasser die Zustimmung zum Abdruck. Kürzungen der Artikel bleiben vorbehalten. Für unverlangt eingesandte Manuskripte kann keine Haftung übernommen werden. VERLAG: AWi LANline Verlagsgesellschaft mbH Ein Unternehmen der AWi Aktuelles Wissen Verlagsgesellschaft mbH, Bretonischer Ring 13, 85630 Grasbrunn Web: http://www.awi.de Geschäftsführer: Eduard Heilmayr, Cornelia Jacobi ISSN 0942-4172 i v w Mitglied der Informationsgemeinschaft zur Feststellung der Verbreitung von Werbeträgern e.V. (IVW). Bad Godesberg Mitglied der Leseranalyse Computerpresse 1999 www.lanline.de