Embed Size (px)
Citation preview
Te
ch
nik
Ne
ws
-
Ne
tz
we
rk
ma
ga
zin
11. Jahrgang
N
t h e m a d e s m o n a t s
07
G46392
D a s p r a x i s n a h e N e t z w e r k m a g a z i n
Juli 2001
BALANCE -AKTE
ContentSwitching
Leistungsanforderungenim e-Busines
PRAXIS
Security, Teil 2:Cisco Secure PIX
Ausgabe 07/2001
2
07
COMPU-SHACKElectronic GmbH,Ringstraße 56-58,56564 Neuwied
02631/983-002631/983-199TECHNEWS @COMPU-SHACK.COM
Heinz Bück
Ulf Wolfsgruber
monatlich 1 Heft
Bezug überCOMPU-SHACKElectronic GmbHAbonnementpreis:119,- DM + MwSt.
Heinz Bück,Jörg Marx
Anja Dorscheid
Wolanski GmbH,Bonn
Andrea Briel,
Görres-Druckerei,Koblenz
Marie-Luise Ringma
Reproduktionen aller Art ( Fotokopien, Mikrofilm,Erfassung durch Schrifterkennungsprogramme) - auchauszugsweise - nur mit schriftlicher Genehmigungdes Herausgebers.Wir möchten uns nachträglich bei all denen bedan-ken, die durch die freundliche Zusammenarbeit dasErscheinen dieser Zeitung ermöglicht haben.Als Informationsquelle dient uns auch das Internet.Wenn Sie speziell über Ihre Erfahrungen referierenmöchten, bieten wir Ihnen dies unter der Rubrik�Hotline� an.
Selbstverständlich kann COMPU-SHACK die einwand-freie Funktion der vorgestellten Patches und Tipsnicht garantieren und übernimmt keinerlei Haftungfür eventuell entstehende Schäden.
Herausgeber:
Telefon:Telefax:
Electronic Mail:
Redaktion:Hotline und Patches:
Verantwortlichfür den Inhalt:
Technische Leitung:
Erscheinungsweise:
Bezugsquelle:
Layout und Titelbild:
Druck:
Lektorat:
www.technik-news.de
� CS: Neue Education- und Production Websites 3
AKTUELL
NEWS
THEMA DES MONATS
HOTLINE
PRAXIS
SOLUTIONS
18
VORSCHAU� Info Channel 66� Messen, Roadshows, Termine 67
Patch-CD
� Education und Projekte 64
ContentSwitching
Leistungsanforderungen im e-Busines
UPGRDWZD.exfADM519F.exfNLSLSP6.exeSBCON1.exe4PENT.exeFZD2NAL1.exeFZD2NAL.exeZFD2TSFX.exeF2D2ZAPP.exeB1CSPJVM.exeN51_NIS1.exe
Die besonderen Leistungsanforderungen im e-Business stellen erhöhte Forderungen an dieSwitching Plattformen. Insbesondere ServiceProvider oder Firmen mit eigenem Web-Auftrittsind an ausgewogenen Content Switching-Lösun-gen interessiert, die die Verteilung von Loadskunstvoll in der Balance halten.
� 3COM: Bluetooth PC Card 4� 3COM: OfficeConnect Dual Speed Switches für Small Business 4� 3COM: Layer 2- und Layer 3 Switching SuperStack 3 5� Cisco: Neue 1000BaseT-Produkte erleichtern Migration zu Gigabit-Ethernet 6� Cisco: Catalyst 4224 Access Gateway Switch integriert Zweigstellen 7� Cisco: Modular Access Router 1751 mit Digital Voice und Virtual LAN 8� Cisco: VPN 3002 Hardware Client für Außenstellen und Heimbüros 9� Intel: Hersteller liefern erste Server und Workstations mit Itanium 10� Intel: Neue Generation von Xeon Prozessoren 10� Microsoft: Outlook 2002 mit Informationsmanagement 11� Netgear: 8-Port Kabel/DSL-Security Router für kleinere Netzwerke 11� Novell: Zentrale Administration in heterogenen Netzwerken 12� Novell: Effizientes Workstation-Management mit PXE 12� Novell: Web Clipping Applikation für mobilen Zugriff auf GroupWise 6 13� WatchGuard: SafeNet VPN-Technologie in der neuen Firebox 4500 14� Tobit: Neues Release von DvISE und InfoCenter erhältlich 14� HP: Procurve Switches 4108 GL 15� IBM: eServer xSeries Datacenter Lösung 15� Newsticker 16
� Empfohlene Novell und Microsoft Patches 32� Empfohlene BinTec und Tobit Patches 33� Empfohlene Veritas Patches 34� Neue Patches in der Übersicht: Novell, Tobit und BinTec 35� Neue Patches in der Übersicht: Veritas 36� Novell: DSTRACE und NDS Trace Event Monitor 39� Lucent Technologies, Teil 3:Trouble-Shooting mit Modem-Kommandos 42� Avaya, Teil 1: Integrierter Sprach- und Datenrouter im Überblick 46� Novell: Interessante Tips der Deutschen Netware FAQ 49
� Grundlagen Ethernet, Teil 5: Gigabit Ethernet und Half-Duplex-Mode 50� Security, Teil 2: Cisco Secure PIX 54� Encryption, Teil 3: IP Security Architektur 60
NWOVLY2.exeADMATTRS.exeBMAS3X01.exeZD23SCAN2.exeW2KSP2.exfIVC.dcc
Abo-Versand:
3
07
Ausgabe 07/2001
M
aA K T U E L L
A K
T U
E L
L
COMPU-SHACK
Frischer Wind im WebNeue Education- und Production Websites
Von Heinz Bück
Die Compu-Shack Solution präsentiert ihr Education Web mit neuen Funktionen, die den Informationsabruf und dasHandling deutlich verbessern. Kundenfreundliche Suchfunktionen listen die aktuellen Seminare nun auch sortiertnach Herstellern und Terminen. Last Minute Angebote auf einen Blick bringen Preisvorteile für Kurzentschlossene.Gleichzeit hat die Compu-Shack Production einen neue Webseite für ihre webserverbasierte Internet- und Netzwerk-kamera eyetelligent freigeschaltet.
Mit neuen Suchfunktionen hat dieCompu-Shack Solution ihre Educa-tion Webseiten für die Interessentenvon Netzwerkseminaren ausgestattet.Das aktuelle Kursangebot unterwww.education.compu-shack.de läßt sich nun auch nachSeminaren bestimmter Herstellerdurchforsten. Die Termine könnenjetzt nicht mehr nur einzeln, sondernzu jedem Thema im monatlichenÜberblick mit allen dazugehören-den Daten direkt eingesehen werden.Dies macht die Terminplanung über-sichtlicher, das Angebot transparen-ter. Zu jedem Seminarthema werdendie Angaben zum verfügbaren Platz-angebot in Realtime angezeigt, weildie laufenden Aktualisierungen undBuchungen sofort im Web wiederge-geben werden.
Abb. 1: Suchfunktionen machen dasaktuelle Kursangebot tranparenter
schüren, technische Daten und spezi-elle Informationen zu den vielseitigenAnwendungsgebieten Die Broschü-ren stehen als PDF Datei zur Verfü-gung und können online herunter-geladen werden.Bei der Embedded Web Produktfami-lie handelt es sich um kompakte, ei-genständige Systeme, die eine Viel-zahl der Internet Protokolle beherr-schen und weltweit über einen Stan-dard-Internet-Browser bedient wer-den können. Diese Webserver markie-ren einen neuen Entwicklungsbereichder Compu-Shack Production. Neuetechnologische Lösungen liegen beider Nutzung des Internet in Anwen-dungsbereichen, die bislang eher alsZukunftsszenerien erschienen. Inzwi-schen sind das fernbediente Haus, dieFernwartung oder die Prozeßvisuali-sierung durch den Einsatz von Em-bedded Webservern Wirklichkeit ge-worden. Sie eröffnen in den verschie-densten Anwendungsgebieten vielerFirmen ein neues Potential an Einsatz-möglichkeiten, die den Service oderdas tägliche Leben wesentlich verein-fachen werden.
Last Minute BereichIst ein Seminar ausgebucht, wird esentsprechend markiert, damit sich dieInteressenten für die verfügbarenAlternativtermine vormerken lassenkönnen. Preisvorteile auf einen Blickbringen für Kurzentschlossene die at-traktiven Last Minute Angebote. Daläßt sich oftmals kurz vor Seminar-beginn auf den letzten freien Plätzennoch bares Geld sparen.Schnäppchenjäger können dabei daskomplette Angebot in Neuwied, Mün-chen und Potsdam nutzen. Die Semi-nar-Suchmaschine ist auf der Haupt-seite aktiv. Sie erlaubt nun auch dasSuchen über eine zugehörige Kurs ID,wie sie zu den Seminarangeboten derverschiedenen Hersteller aufgeführtsind. Ausführlich werden die Zerti-fizierungswege für Novell, Microsoftoder Cisco beschreiben. Ein Wegwei-ser für die genaue Planung des indi-viduellen Werdeganges.
Production WebsiteGleichzeit hat die Compu-ShackProduction eine neue Webseite fürihre webserverbasierte Internet- undNetzwerkkamera eyetelligent frei-geschaltet. Unter www.eyetelligent.de erfahren die Besucher al-les über die Einsatzmöglichkeiten unddie dahinterliegende intelligenteembedded Webserver-Technologie.Denn die Internetkamera eyetelligentist die erste, die ohne eigenen PC aus-kommt. Interessenten finden Bro-
Ausgabe 07/2001
4
07
E
N E
W S
nN E W S 3COM
Bluetooth PC CardMit integrierter Faltantenne und
Connection Manager
Die 3Com Corporation hat die Verfügbarkeit ihrer ersten PC Card mit kabel-loser Bluetooth-Technologie bekanntgegeben. Als Partner in der BluetoothSpecial Interest Group hat 3Com maßgeblich bei der Standardisierung dieserTechnologie mitgewirkt und ist derzeit einer der ersten Anbieter von Produk-ten mit verbesserten Bluetooth 1.1 Spezifikationen.
Eine neue Wireless Bluetooth PCCard von 3Com ermöglicht mobilenAnwendern den sofortigen Austauschvon Informationen zwischen Blue-tooth-fähigen Notebooks, DesktopPCs, schnurlosen Telefonen und Han-dys. Gemäß ihrer Philosophie von“Radical Simplicity“ hat 3Com ihreWireless Bluetooth PC Card für diemühelose Bedienung mit einem spe-ziellen Bluetooth Software Connec-tion Manager und einem innovativenAntennen-Design ausgestattet. DieKompatibilität zum Vorgängerstan-dard 1.0 ist herstellerunabhängig ga-rantiert.
Wireless NetworkingIn Bluetooth und Wireless Fidelitynach 802.11b sieht 3Com die beideninnovativen Wireless-Networking-Technologien und treibt als führen-der Anbieter konsequent die gemein-same Entwicklung beider Systemevoran. Während Bluetooth Informa-tionen geringer Bandbreite in Formvon Paketen pulsartig überträgt, istWi-Fi für den Transfer permanenterDatenströme von Breitbandapplika-tionen im Internet- und Netzwerkum-feld geeignet. Die Architektur vonBluetooth ist der Übertragung klei-nerer Dateien von Notebooks, Mobil-telefonen und Handys vorbehalten,wo preiswertere und leistungsschwä-chere Kommunikationseinheiten mitdeutlich geringerem Energiebedarfzum Einsatz kommen. So gaben3Com und Hewlett-Packard bekannt,
dass die Wireless Bluetooth Lösungvon 3Com künftig in die NotebooksHP Omnibook und HP Pavilion inte-griert wird. Diese so entstehenden Lö-sungen werden mit dem von HP an-gekündigten Bluetooth Tintenstrahl-drucker HP Deskjet 995c kompatibelsein.
Radical SimplicityDie neue Wireless Bluetooth PC Cardwird serienmäßig mit dem BluetoothSoftware Connection Manager ausge-liefert. Er ist wie die entsprechendeFirmware per Flash Upgrade aktua-lisierbar. Mit der bedienungsfreund-lichen Software kann der Anwendersehr einfach die Vorteile mobiler Con-nectivity nutzen. Datenaustausch undAusdruck erfolgen per Drag-and-Drop. Die Erkennung anderer Blue-tooth-fähiger Geräte geschieht auto-matisch. Der Systemzugang ist durchdrei wählbare progressive Sicher-heitsstufen geschützt. Die WirelessBluetooth Typ II PC Card von 3Comist serienmäßig mit einer patentiertenXJACK Antenne ausgestattet. In aus-gefahrener Position verfügt sie über360 Grad-Abdeckung und trägt so zurEliminierung von Störungseinflüssenbei. Außer Betrieb wird sie einfachins Kartengehäuse eingeschoben.Doch einsatzbereit ist das Gerät auchin geschlossener Position. Der Betriebweiterer PC Cards im zweitenNotebook-Steckplatz wird nicht be-einträchtigt. Die Bluetooth PC Cardist seit Juni verfügbar.
3COM
Kabeltyp-ErkennungOfficeConnect Dual
Speed Switches für SmallBusiness
3Com hat die nächste Generation ih-rer OfficeConnect Dual SpeedSwitches vorgestellt. Ihre Vorteilewerden insbesondere von Kleinunter-nehmen ohne spezialisierte Technikergeschätzt werden. Denn sie könnenohne großen Konfigurationsaufwandin Betrieb genommen werden und eli-minieren automatisch die häufigstenVerkabelungsprobleme. Die NetworkTraffic-Priorisierung erlaubt die be-vorzugte Übertragung von Spracheund Video in Echtzeit.
DDie OfficeConnect Dual Speed Swit-ches verbinden hohe Zuverlässigkeitmit vorbildlicher Anwenderfreund-lichkeit. Ohne großen Konfigura-tionsaufwand können Kleinunter-nehmen ihre Computernetzwerke inBetrieb nehmen, denn die in der An-wendung einfachen und kostengün-stigen OfficeConnect Switches er-leichtern ihnen den Aufbau. DieOfficeConnect Dual Speed Switchesmit fünf und acht Ports erkennen denim Ethernet verwendeten Kabeltypautomatisch und stellen durch Anpas-sung an die jeweilige Situation eineVerbindung her. Die Erweiterung umneue Applikationen wie IntegratedVoice und Video Services sowieUpgrades zur Leistungssteigerungsind jederzeit möglich.
5
07
Ausgabe 07/2001
3COM
3 Super Stacks 3
Layer 2- und 3-Switching
Mit drei neuen leistungsstarken SuperStack 3 Switches rundet 3Com ihr Produktportfolio ab und setzt auch im Preis-/Leistungsverhältnis neue Maßstäbe. Die neuen Layer 2-und 3-Switches Modulsteckplätze bieten aufgrund ihrer Me-dien- und Technologievielfalt hohe Flexibilität bei der Netzwerkintegration. Fast alle Zusatzmodule sind als Ein- oderZweiportvariante erhältlich. Die drei neuen können über den kostenlos mitgelieferten 3Com Network Supervisor über-wacht und verwaltet werden, der Switch 4005 sogar über das Internet.
D
Voice readyDie OfficeConnect Dual SpeedSwitches mit fünf und acht Ports in-tegrieren sich ganz einfach in beste-hende Unternehmensnetzwerke undführen die erforderlichen Anpassun-gen eigenständig aus. Ein Vorteil derneuen 3Com Switch-Generation ist
die integrierte Network Traffic-Priori-sierung. Die Dual Speed Switchesvon 3Com sind voice ready und er-möglichen die Ethernet LAN-gestütz-te Netzwerktelefonie. Die Priorisie-rungstechnik gewährleistet, daßVoice- und Videoanwendungen be-vorzugt verarbeitet werden und effek-tiv im Netzwerk laufen. Dieses Fea-
ture basiert auf dem 802.1p Standardund erfordert keine weitere Konfigu-ration. Damit wird sichergestellt, daßin immer komplexer werdenden Sy-stemen auch unter Belastung eineHochgeschwindig-keitsverbindungweiter gewährleistet ist. DieOfficeConnect Dual Speed Switchessind ab sofort erhältlich.
Der neue SuperStack Switch 4300bietet mit 48 seiner 10/100 Autosen-sing Ports eine kostengünstige Netz-werklösung mit einer hohen Port-dichte. Der Switch 4300 bietet zweifreie Moduleinschübe, mit denen biszu vier Gigabit Uplinks über Kupferoder Glasfaser möglich sind. DerSuperStack 3 Switch 4300 unterstütztSpanning Tree, Link Aggregation so-wie Advanced Power-System undbringt non-blocking Wire Speed aufallen 48 Ports. Die leistungsfähige 24Gigabit Backplane verarbeitet bis zu13 Millionen Pakete pro Sekunde.
StackableMit dem 3Com SuperStack 3 Switch4400 können bis zu acht leistungsstar-ke 10/100-Einheiten für Ethernet-Switching zu einem Stack zusammen-gefaßt werden, so daß bis zu 200 Portsüber eine IP-Adresse verwaltet wer-den können. Jede Einheit ist mit zwei
Uplinkmodulen bestückt, wobei daseine für das Stacking, das andere fürdie Medienmodule genutzt werdenkann. Alle gängigen Medienmodulesind als Single-Port-Version erhältlichund bieten dadurch eine ideale undkostengünstige Anbindung zumBackbone. Die 24 /100 Voll-Halb-duplex Ports mit Autonegation bietenautomatisches Trunking im gesamtenStack sowie Resilient Links. Mit ei-ner Datenübertragungsrate von 6,6Millionen Paketen pro Sekunde arbei-tet der Switch 4400 an allen Ports mitvoller Kabelgeschwindigkeit.
MultimediaDer Dritte im Bunde, der SuperStack3 Switch 4005 liefert Layer-3-Hoch-leistungs-Switching mit anspruchs-vollen Features in einem robusten,modularen 14-Slot-Chassis. Er bietetMultimediaunterstützung mit Layer-2 bis Layer-3 Switching-Funktionen
wie Prioritätssteuerung pro Port und802.1p-basierte Klassifikation undToS (Type of Service). Aufgrund derFlexibilität dieses modularen Swit-ches, der von 8 auf 96 Fast-Ethernet-Ports und von 1 auf 24 Gigabit-Ether-net-Hochleistungs-Ports skalierbarist, besteht Spielraum, wenn das Netz-werk ständig wächst. Der Switch un-terstützt Layer 3 Switching mit einerGesamtkapazität von 24 Gbps undeiner Datendurchsatzrate von bis zu18Mpps. Das 14-slot Chassis arbei-tet mit passiver Back-plane-Technikund kann mit redundanten SwitchingFabrics und Netzteilen ausgestattetwerden. Zusätzlich können alle Mo-dule im laufenden Betrieb ausge-tauscht werden. Nach der Online-Re-gistrierung der Produkte stehen Kun-den weitere kostenlose Support-dienstleistungen seitens 3Com zurVerfügung. Dazu gehören Telefon-support, Hardwareaustausch undSoftwareupdates.
Ausgabe 07/2001
6
07
C
N E
W S
nN E W SCISCO
Gigabit-Ethernet-Portfolio erweitertNeue 1000BaseT-Produkte erleichtern Migration zu Gigabit-Ethernet
Cisco Systems stellt eine Lösung vor, die mittelständischen Unternehmen und Konzernen den Übergang zu intelligen-ten Gigabit Ethernet Netzwerken erleichtert. Um die Akzeptanz von Gigabit Ethernet im Unternehmens-Backbone, aufder Verteilerebene und in Serverfarmen zu steigern, hat Cisco ein Marketingabkommen mit Intel geschlossen. Dieneuen Produkte sind Teil von Cisco AVVID (Architecture for Voice, Video and Integrated Data), einer Architektur fürintelligente Netzwerkinfrastrukturen für E-Business.
Cisco ergänzt die Produktpalette fürGigabit Ethernet um neue 1000BaseT-Produkte. Der Cisco Catalyst3550-12T ist der erste stapelbareMultilayer-Gigabit-Ethernet-Aggre-gation-Switch, der die Netzwerk-Ad-ministration mit Intelligent NetworkServices von Cisco IOS (InternetOperating System) optimiert. DieCisco Catalyst 2950 Reihe besteht ausvier Wirespeed-Fast-Ethernet-Desktop-Switches mit fester Konfigu-ration und 10/100/1000Ba-seTUplinks mit erweiterten Features zuQuality-of-Service (QoS), Multi-cast-Management und Sicherheit. Die 24-Port 10/100/1000BaseT Line Card fürdie Cisco Catalyst 4000 Reihe bieteteine der höchsten Portdichten amMarkt und ermöglicht den modularenInvestitionsschutz bei der Desktop-und Server-Connectivity. Der Cisco1000BaseT Gigabit Interface Conver-ter (GBIC) schließlich bietet Voll-duplex-Connectivity mit GigabitEthernet zu Highend-Workstationsund zwischen Verteilerschränken.
Erhöhte EffizienzUnternehmen migrieren ihre Netze zuGigabit Ethernet mit 1000 Mbpsmeist aufgrund der schlecht vorher-sehbaren Entwicklung des Datenver-kehrs in den Unternehmensnetzwer-ken. Dieser ergibt sich aus Internet-Traffic, dezentralen Standorten fürCampus-Server und der zunehmen-den Nutzung von Multicast-Applika-tionen. Mit Gigabit Ethernet könnenIT-Anwender die Geschwindigkeit
und Performance ihres Netzwerkesverzehnfachen und die Produktivitätdeutlich steigern. Die neuen Produk-te und Entwürfe zum Netzwerkdesignvon Cisco bringen diese Vorteile nunauch für die Netzwerke mittelständi-scher Unternehmen und den Netz-werk-Zugangsbereich von größerenUnternehmen. Mit der neuen 1000BaseT Switching-Lösung von Ciscomigrieren die Anwender von flachenNetzwerken mit eingeschränkterBandbreite zu robusten Umgebungenmit intelligenten Diensten.
Gigabit UpgradeBeim Upgrade auf Gigabit Ethernetlassen sich die vorhandenen Verkabe-lungen, Betriebssysteme, Protokolle,Desktop-Applikationen sowie die
Strategien und Tools zum Netzwerk-management weiter nutzen. Cisco istdazu eine Partnerschaft mit Intel ein-gegangen. Mit dem Know-how vonCisco im Gigabit Ethernet Switchingund der führenden Position von Intelbei den Netzwerkadaptern verfügendie beiden Unternehmen über eineKomplettlösung für Gigabit Ethernet.Mittelständische und große Unterneh-men können damit die neuen 1000BaseT Switching-Produkte von Ciscomit den Adaptern der Reihe PRO/1000 von Intel integrieren. Die bei-den Unternehmen werden Kombina-tionspakete mit Switches von Ciscound den Netzwerkadaptern von Intelanbieten.Ein umfangreiches Portfolio an Ser-vices und Support begleiten die Giga-bit Optimierung.
7
07
Ausgabe 07/2001
D
CISCO
Single-Box Sprach-Daten-LösungCatalyst 4224 Access Gateway Switch integriert Zweigstellen
Mit dem Catalyst 4224 Access Gateway Switch stellt Cisco eine integrierte Plattform für die Anbindung von Nieder-lassungen an das AVVID-Netzwerk des Hauptsitzes vor. Der Catalyst 4224 bietet eine Komplettlösung mit 24 10/100geswitchten “Inline Power Ethernet Ports”, einem integrierten Gateway mit Telefonie-Redundanz-Funktion für dieÜbertragung von Daten, Sprache und Video.
Der Catalyst 4224 unterstützt dieVoice und WAN Interface-Card derCisco 1600, 1700, 2600 und 3600Serie. Somit stehen alle Möglichkei-ten für die Anbindung zum WAN oderInternet, zu analogen Geräten wieFax und Telefon oder zum öffentli-chen Sprachnetz bereit.In einem einzigen System mit einerChassis-Größe von zwei Rack-Ein-heiten, bietet Cisco eine kosten-effektive Lösung für die konvergen-te IP-Kommunikation und setzt neueMaßstäbe in puncto Total Cost ofOwnership.Mit dem Catalyst 4224 lassen sich dieAusgaben für Management und War-tung senken, da die Betreuung remoteerfolgt und kein Techniker vor Ort nö-
tig ist. Unternehmen profitieren vonder zentralen Call-Processing-Funk-tionalität des Cisco CallManager Ser-ver und der IP Voice- und Video-applikationen in Kombination mitdem Catalyst 4224. Alle User, auchin den Zweigstellen, greifen auf diegleichen, Voice-Data-Applikationenzu.
Security FeaturesDie Sicherheit beim Catalyst 4224wird durch das Cisco IOS FirewallFeature Set sowie einen im Gerät in-stallierten, Hardware-basierten En-cryption Accelerator für den Aufbauvon VPN gewährleistet. Zudem erhö-hen diese Features die Flexibilität und
Performance für zukünftige Voice-Virtual-Private-Network-Anwendun-gen. Survival Remote Site Telefonie(SRS) ist Bestandteil des Netzwerk-betriebssystems IOS von Cisco aufdem Catalyst 4224. Durch das Sim-ple Network Automated Provisioning(SNAP) von Cisco erkennt SRS au-tomatisch den Ausfall der WAN-Ver-bindung zur Zentrale und veranlaßtden Catalyst 4224, die notwendigeBackup-Redundanz für die IP-Tele-fone in dieser Niederlassung zur Ver-fügung zu stellen. Bei einer Störungbietet SRS eine Vielzahl von Telefon-funktionen wie Rufweiterleitung,Rufumleitung, ”Anruf halten”, Wahl-wiederholung, Kurzwahl, Nutzungmehrerer Telefonnummern auf einemCisco IP Phone und ”Nicht Stören”.
ReklassifizierungDie Grundkonfiguration der Gesamt-lösung wird zentral über den CiscoCallManager gesteuert. Die 24 Ports10/100 im Catalyst 4224 unterstützendie Stromversorgung über Ethernet,Class of Service (CoS) und port-basierte Priorisierung. Durch die port-basierte Reklassifizierung kann derSwitch CoS-Settings von markiertenPaketen pro Port ändern, um wichti-ge Sprach- oder Videodaten gegen-über dem regulären Datenverkehr zupriorisieren. Der Catalyst 4224 Acc-ess Gateway Switch inklusive achtintegrierter FXS Ports für den An-schluß von bestehenden analogenTelefonen oder Faxgeräten ist ab so-fort lieferbar.
Ausgabe 07/2001
8
07
G
CISCO
E-Business im MittelstandModular Access Router 1751 mit Digital Voice und Virtual LAN
Cisco Systems stellt mit dem 1751 Modular Access Router den bisher leistungsfähigsten Router der Cisco 1700erSerie vor. Er unterstützt Digital Voice und IEEE 802.1Q Virtual LAN-Funktionalitäten. Der Cisco 1751 verfügt übergroßzügig bemessenen Speicherplatz, der Multiservice-Funktionen wie Sprach-Daten-Integration sowie VPN- undSicherheitsfunktionalitäten wie Firewall und Intrusion Detection ermöglicht, ohne vorzeitig zusätzlichen Speicherhinzufügen zu müssen.
Gerade kleine und mittelständischeUnternehmen sowie Niederlassungenkönnen nun die Vorteile von eBusi-ness-Anwendungen kostengünstignutzen. Durch das modulare Designund die Ausstattung des Cisco 1751Routers mit zwei Steckplätzen fürVoice- beziehungsweise WAN-Inter-face-Cards (WIC/VIC) und einemSteckplatz für Voice-Interface-Cards,ist das System extrem flexibel undsomit für die unterschiedlichsten An-wendungsbereiche konfigurierbar. Dadie Cisco Router der Serien 2600 und3600 ebenfalls mit WICs und VICsausgestattet sind, ergibt sich ein In-vestitionsschutz bei der Migration aufdie größeren Plattformen. Da derCisco 1751 Router umfassende Kern-technologien unterstützt, bietet er eineflexible, integrierte Zugangslösungfür eBusiness-Implementierungen,Sprach-/Daten- und Faxintegrationsowie -Breitbandzugriff über ein
ADSL-Interface-Modul, und hält auchVPN und Sicherheitsmaßnahmen imBereich Firewall und Intru-sionDetection bereit.
Multiservice-NetzwerkDer Cisco 1751 Router eignet sichzum Aufbau eines Multiservice-Netz-werks, das analoge und digitaleSprachkommunikation unterstützt.Kunden können stufenweise denSprachverkehr herkömmlicher TK-Anlagen in eine einzige Infrastrukturintegrieren, die Daten, Sprache undVideo unterstützt. Dies kann ohne denAustausch der TK-Anlage geschehen.Durch die Digital-Voice-Funktion er-möglicht der 1751 Router Verbindun-gen mit den allgemein verbreitetenTypen von TK-Anlagen und dem öf-fentlichen Telefonnetz. So könnenverteilte Unternehmen integrierte An-wendungen sofort implementieren.
VLAN-UnterstützungMit dem Cisco 1751 Multiservice-Router bietet Cisco innerhalb der1700er Serie jetzt VLAN-Unterstüt-zung. Durch diese Funktion werdenKosten bei Erweiterungen, Umzugund Veränderungen reduziert. Zudemist ein optimiertes Netzwerkmana-gement und eine effizientere Nutzungvon Bandbreiten möglich. Auch Fle-xibilität, Performance und Sicherheitwerden gesteigert. Denn Netzwerk-administratoren können mit VLANsverschiedene User ungeachtet ihresStandortes zu einem logischen Netz-werk miteinander verbinden. Die Nut-zung von VLAN-fähigen Swit-chesund Routern verringert den Bedarf anteuren und aufwendigen Verkabelun-gen zur Erweiterung von LAN- Um-gebungen.
Intrusion DetectionDer Cisco 1751 Router integriert VPNund Firewall-Funktionen sowie einIntrusion Detection System (IDS).Unterstützt werden unter anderem In-dustriestandards wie Internet Proto-col Security (IPSec), Data EncryptionStandard (DES), 3DES und das Layer2 Tunneling Protocol (L2TP). Damitlassen sich mit dem Cisco 1751 si-chere VPN-Lösungen inklusive Da-tenschutz, Integrität und Authentizi-tät realisieren. Optional arbeitet der1751 Router mit einem Hardware-Verschlüsselungs-Modul und unter-stützt dann bis zu 100 simultane VPNTunnel mit E1-Geschwindigkeit.
N E
W S
nN E W S
9
07
Ausgabe 07/2001
D
CISCO
Universelle VPN-NetzeVPN 3002 Hardware Client für Außenstellen und Heimbüros
Mit dem VPN Client Frameworks hat Cisco Systems eine umfassende Strategie für universelle VPN-Netze vorgestellt.Unternehmen und Service Provider können damit ihre virtuellen privaten Netze einfacher administrieren sowie Ko-sten und Komplexität ihrer VPN-Umsetzungen senken. In diesem Zusammenhang ergänzte Cisco ihr VPN-Portfolioum den Cisco VPN 3002 Hardware Client, ein innovatives Gerät für die Anbindung von Außenstellen und Heimbüros.
ADSL und Dual EthernetCisco bietet für den Router 1751 einADSL-Interface-Modul an, um pro-fessionelle DSL-Anschlüsse für klei-ne und mittelständische Unternehmenbereitstellen zu können. Die CiscoDSL-Lösung bietet Funktionen wie
Quality-of-Service, Sicherheit, Zu-verlässigkeit und hohe Sprachqualität.DSL wird damit zur kosteneffizientenOption für den Internet-Zugang. Zu-sätzlich liefert Cisco ein 10BaseT-Ethernet-Modul, mit dem ein Inter-netzugang über Kabel- oder ADSL-
Modem möglich ist. Außerdem wirddamit die Einrichtung einer demili-tarisierten Zone im Netzwerk ermög-licht. Die Cisco 1751 und 1751-VMultiservice-Router wie auch dieADSL- und Ethernet-Module sind absofort lieferbar.
Der Cisco VPN 3002 Hardware Clientist ein Multiprotokoll-Concentrator,der Remote-Zugang und Site-to-SiteVPN-Dienste unter Nutzung vonIPSec unterstützt. Das VPN ClientFramework stellt eine Verbindungüber öffentliche Netze mit allenDesktop-, Laptop- und PDA-Clientswie auch mit den VPN-fähigenConcentratoren, Routern und Fire-walls von Cisco her. Die Push-Policy-Technologie des Framework verein-facht die zentrale Administration vonSicherheitsvorgaben und die Daten-übertragung über hoch skalierbareVPNs zu ausgelagerten Anwendern.Alle IPsec-fähigen VPN-Produktevon Cisco unterstützen das VPNClient Framework.
Client FrameworkAls erste Implementierung des uni-versellen Client Framework ist der-zeit die VPN Client Release 3.0 Soft-ware für die Concentrator der ReiheCisco VPN 3000 erhältlich. Imple-mentierungen weiterer Edge-Devicesfür Unternehmen und Service Provi-der folgen. Sie umfassen die Reihe derCisco PIX Firewalls, die VPN-fähi-gen Router der Reihen Cisco 7100und 7200, die Concentrator der Rei-he Cisco VPN 5000 und alle Modulemit VPN-Leistungsmerkmalen für dieRouter und Switches mit der SoftwareCisco IOS. Zur universellen Inter-operabilität unterstützt Cisco nebenMicrosoft Windows 85, 98, NT, 2000,CE, ME alle gängigen Betriebssyste-me, darunter MacOS für den Apple
Macintosh, Linux und Solaris vonSun, sowie den Palm Pilot durchmovianVPN von Certicom.
VPN 3002 Hardware ClientDer Cisco VPN 3002 HardwareClient bietet die Stabilität und Unab-hängigkeit einer Hardware-Plattformvereint mit den besten Features einesSoftware Client wie Skalierbarkeitund einfache Handhabung. Als sepa-rate Hardware arbeitet er mit allen Be-triebssystemen und beeinträchtigt da-bei nicht den Betrieb des PC. DieserHardware Client wurde insbesonde-re für Unternehmen entwickelt, in de-nen tausende Endanwender übergetunnelte Verbindungen von unter-schiedlichen Standorten oder Heim-büros auf das Unternehmensnetzwerkzugreifen. Der VPN 3002 Client ver-bindet unterschiedliche Endgeräte mitdem Hauptsitz eines Unternehmens,beispielsweise Workstations, Serverund Hubs, aber auch IP-Telefon-geräte, Registrierkassen und Drucker.Die Integration der Push-Policy-Technologie des einheitlichen VPN-Client sowie die zentrale Administra-tion und Konfiguration von Security-Vorgaben reduzieren die Kosten desAnwenders.
Ausgabe 07/2001
10
07
D
D
N E
W S
nN E W SI NTEL
Itanium Prozessorserienreif
Hersteller liefern erste Server und Workstations aus
Seit Juni sind die ersten Server und Workstations mit Itanium Prozessor liefer-bar. Intel zufolge werden rund 25 Computerhersteller mehr als 35 Modelleanbieten. Der Itanium Prozessor ist das erste Mitglied der 64-Bit Produktevon Intel und zielt auf den anspruchsvollen Marktbereich der Enterprise- undHochleistungs-Computer. Hunderte von Hardware-, Software- undApplikationsanbietern liefern Produkte für Itanium Systeme.
Das Explicitly Parallel InstructionComputing (EPIC) Design derItanium Architektur ermöglicht einenDurchbruch bei der Verarbeitung vonTerabytes an Daten, bei der Beschleu-nigung gesicherter Onlinekäufe undInternet-Transaktionen sowie der Ver-arbeitung komplexer Berechnungen.Die Eigenschaften des Prozessorsadressieren den wachsenden Bedarfnach Datenkommunikation, Daten-speicherung, Analysen und Sicher-heit. Sie bieten gleichzeitig Vorteilebei Leistung, Skalierbarkeit und Zu-verlässigkeit, zu bedeutend geringe-ren Kosten als proprietäre Angebote.Zu den Anwendungsbereichen gehö-ren große Datenbanken und Daten-recherche, sichere eCommerce-Transaktionen und Mechanical Com-puter-Aided Engineering sowie wis-senschaftliche Rechenaufgaben.
64-Bit SystemeVier Betriebssysteme unterstützenPlattformen mit Itanium Prozessor.Dazu gehören die Microsoft Betriebs-systeme Windows XP 64-Bit Editionfür Workstations und die 64-BitWindows Advanced Server LimitedEdition 2002 für Server, die Unix-Systeme von Hewlett Packard HP-UX11i v1.5 und IBM AIX-5L sowieLinux. Caldera International, RedHat, SuSE Linux und Turbolinux be-absichtigen, 64-Bit Versionen desLinux Betriebssystems anzubieten.
Itanium-Systeme bieten erstklassigeLeistung und Zuverlässigkeit durchzahlreiche Innovationen beim Prozes-sor und seiner Architektur. Laut un-abhängiger Testergebnisse können siegegenüber proprietären RISC-Syste-men eine bis zu 12-fache Geschwin-digkeitssteigerung bei gesichertenOnline-Transaktionen bieten.
Führende LeistungSie profitieren von der 64-BitAdressierbarkeit und der Fähigkeitvon EPIC, mehrere Berechnungengleichzeitig auszuführen. Auf dieseWeise beschleunigt der Itanium Pro-zessor Datenabfragen und Transaktio-nen bei bis zu 16 Terabyte an Daten.Die Gleitkomma-Recheneinheit desItanium Prozessors ermöglichtindustrieweit führende Leistung beikomplexen Berechnungen, wie sie imData-Mining, bei wissenschaftlichenund technischen Aufgaben sowie beiMCAE Lösungen zum Einsatz kom-men. Die Itanium Architektur be-inhaltet einzigartige Eigenschaftenbezüglich der Zuverlässigkeit durchihre Enhanced Machine Check Archi-tektur, die zusammen mit Error-Cor-recting Code (ECC) und einer Pari-tätsüberprüfung Fehler erkennen, kor-rigieren und protokollieren kann.Itanium Prozessoren verfügen je nachAusführung über 2 beziehungsweise4 MByte L3 Cache mit Taktfrequen-zen von 800 und 733 MHz.
INTEL
NetBurstLeistung
Neue Generation vonXeon Prozessoren
Intel stellt die nächste Generation ih-rer Xeon Prozessoren vor. Sie basie-ren auf der NetBurst Architektur undsind mit Taktfrequenzen bis 1,7 GHzab sofort verfügbar. Sie adressierenden Markt leistungsfähiger Dual-prozessor-Workstations. Je nach An-wendung erzielen auf Xeon basieren-de Workstations zwischen 30 und 90Prozent Leistungsgewinn.
Die Intel Xeon Prozessoren mit 1,7GHz sowie mit 1,5 und 1,4 GHz sindab sofort erhältlich. Viele Herstellerbieten bereits Workstations auf Basisder neuen Intel Xeon Prozessoren an,etliche haben schon mit der Ausliefe-rung begonnen. Die Dual- und Mul-tiprozessor-Server mit Intel XeonProzessoren erwartet Intel für diezweite Jahreshälfte. Die Multiprozes-sorfähigkeit bietet einen zusätzlichenLeistungsschub. Die Intel NetBurstMikroarchitektur und der Intel 860Chipsatz bieten hohe Rechenleistungfür Video- und Audioberechnungensowie für neueste Internet-Technolo-gien und 3D-Grafik. Der Intel 860Chipsatz bietet Dual-Channel-RD-RAM-Unterstützung als Ergänzungzum 400 MHz Systembus des IntelXeon Prozessors, der eine Über-tragungsrate von bis zu 3,2 Gigabytepro Sekunde ermöglicht. Xeon Pro-zessoren verfügen über 256 KByteLevel 2 Advanced Transfer Cache underfüllt damit bei Workstations undServern die Anforderungen anSkalierbarkeit, Verfügbarkeit und ein-facher Verwaltung. Höhere Takt-frequenzen und größere Cache-Kon-figurationen bieten auch in Zukunftmehr Spielraum für Grafik oder re-chen- und I/O-intensive Aufgaben.
11
07
Ausgabe 07/2001
MICROSOFT
Neue AusblickeOutlook 2002 mit
Informationsmanagement
Outlook 2002 verheißt den Microsoft Benutzern neue Er-fahrungen in den Bereichen Kommunikation und Infor-mationsmanagement. Die Nutzung von E-Mails, Aufga-ben, Kontakten und Terminen soll einfacher und intuiti-ver erfolgen. Speziell in Kombination mit Exchange 2000bietet es neben erweiterten Such- und KalenderfunktionenVerbesserungen beim Fernzugriff auf E-Mails und per-sönliche Informationen.
NETGEAR
Gegen Hacker-attacken
8-Port Kabel/DSL-Security Router fürkleinere Netzwerke
Netgear gab die Verfügbarkeit eines neuen Kabel/DSLSecurity Routers bekannt. Der RO3180 ergänzt die Pro-duktfamilie von Internet-Gateways für Kleinbetriebe undbietet Schutz gegen Hackerattacken. Der 8-Port-Switchbietet neben den Leistungsmerkmalen des preisgekröntenWeb Safe Routers RP114 ein Zusatzpaket von Sicherheits-merkmalen für kleinere Business-Netzwerke.
Netgears Kabel/DSL Security Router RO318 bietet zu-sätzliche Sicherheit für das Netz-werk und besitzt neben demKabel/DSL Ethernet-Port acht 10/100MBit/s-Ports für denAnschluß von PCs undGeräten in einem klei-nen LAN. Besondere Merkmale, die bei gängigenNAT-Routern nicht zu finden sind, sind Stateful PacketInspection (SPI), statische Inhaltsfilterung mit Aufzeich-nung sowie die Protokollierung und Benachrichtigungenper E-Mail. Die SPI-Technologie wehrt Denial-of-Service-Attacken und schädliche Datenpakete ab. NAT und VPN-Durchgriff werden als grundlegende Sicherheitsmerkmalezur Abwehr von Attacken aus dem Internet unterstützt.Mehrere Filterfunktionen für Web-Inhalte ermöglichenden Administratoren das Einrichten von Zugangs-kontrollverfahren auf der Basis von Uhrzeit, Wochentag,Web-Adressen oder Stichworten in Web-Adressen.
OOutlook 2002, der in sämtlichen Suiten von Office XPenthaltene E-Mail-Client von Microsoft, verfügt über neueSuch- und Indexfunktionen, die die Integration sämtlicherin der Exchange Umgebung gespeicherten Informationenunterstützen. Benutzer können zielgenau Nachrichten, Da-teien, Kontakte, Aufgaben, Kalendereinträge oder gemein-sam bearbeitete Teamdokumente suchen und indizieren.Die E-Mail-Verwaltung wird durch den kombinierten Ein-satz von Outlook 2002 und Exchange 2000 erleichtert.Die Software schlägt automatisch die Verwendung einesAssistenten vor, der die Benutzer unter anderem beimFestlegen der Mailboxgröße, dem Suchen nach zu löschen-den Dokumenten oder der automatischen Archivierungvon Nachrichten zur Seite steht. Falls Benutzer über dieKalenderfunktion von Outlook erhaltene Einladungennicht annehmen können, haben sie nun die Möglichkeit,alternative Termine vorzuschlagen.
SynchronisationIn Gruppenzeitplänen können sie sich über die Terminealler beteiligten Mitarbeiter und Kollegen informieren,bevor sie die Einladungen für das neue Meeting verschik-ken. Selbst über Verbindungen mit geringer Übertragungs-rate erfolgt die Synchronisation lokal gespeicherter Da-ten nun schneller und effizienter. Benutzer, die über lang-same Verbindungen auf den Exchange-Server ihres Un-ternehmens zugreifen, können in Outlook 2002 die auto-matische Synchronisierung beim Beginn einer Online-Sit-zung deaktivieren. Die Integration mit den Instant-Messaging-Diensten von Exchange 2000 stellt eine Er-weiterung der Leistungseigenschaften dar. Microsoft Kun-den, die Lösungen aus der Produktfamilie Exchange 2000einsetzen, erhalten das neue Outlook 2002 automatischals Bestandteil des Exchange 2000 Service Pack 1, daszur Mitte des Jahres veröffentlicht werden sollte.www.microsoft.com/exchange
ZugangskontrolleRegelmäßige Aktivitätsprotokolle und sofortige Benach-richtigungen per E-Mail melden den Netzadministratorenjegliche Verstöße gegen Zugriffsbeschränkungen sowieversuchte Hackerattacken. Der RO318 unterstützt eineMaster User-Zugriffsfunktion, die dem Administrator vol-len Zugang zum Web erlaubt, während sie alle anderenPCs im Netzwerk beschränkt. Das Netzwerk kann inner-halb von wenigen Minuten eingerichtet und in Betriebgenommen werden und ermöglicht bis zu 253 Nutzernden sofortigen Zugriff auf eine schnelle Internetverbin-dung. Der Kabel/DSL Security Router RO318 unterstütztalle gängigen Client-Systeme, darunter Windows, Mac-intosh, Linux und Unix.
Ausgabe 07/2001
12
07
NOVELL
Account ManagementZentrale Administration in heterogenen Netzwerken
Novell hat Account Management 2.1 auf den Markt gebracht. Diese leistungs-fähige und flexible Software versetzt Unternehmen in die Lage, unterschiedli-che Betriebssysteme zu einem einheitlichen Netz zusammenzufassen. Die Ver-waltung von Netzwerkdiensten wird deutlich vereinfacht, die Kosten für dieAdministration in heterogenen Netzwerken unter Windows NT und 2000,NetWare, Linux und Solaris deutlich reduziert.
N
D
N E
W S
nN E W S
Novell Account Mana-gement 2.1 basiert aufdem NDS eDirectoryund wurde auf die indi-viduellen eBusiness-Strategien der Unterneh-men, die ihre Geschäfts-aktivitäten auf das Inter-net ausdehnen, abge-stimmt. So können dieseUnternehmen ihre Netz-werke für Kunden, Geschäftspartnerund Lieferanten öffnen und gemäßder Novell One Net Vision wie einNetz betreiben. Die Software verein-heitlicht die unterschiedlichen Ver-zeichnisse und Netzwerkplattfor-men, unter NetWare, Windows, Linuxund Solaris und ermöglicht es, Win-dows 2000 in heterogene Netzwerkezu integrieren, um die Sicherheit undSkalierbarkeit von NDS eDirectoryzu nutzen. Novell NDS eDirectoryunterstützt Windows 2000 nativ. Da-durch sind Kunden mit Windows2000-Umgebungen in ihren heteroge-nen Netzen nicht gezwungen, mitActive Directory zu arbeiten, um An-wender, Gruppen und Ressourcen imNetzwerk zu verwalten.
Single Sign-onDas Novell Account Managementbietet dem User einen schnelleren undnoch sichereren Single Sign-on-Zu-griff auf Windows 2000-basierendeSysteme und Anwendungen. Mit nureinem einzigen Passwort kann derAnwender von überall Daten, Infor-
mationen und Applika-tionen, für die er Zu-griffsrechte besitzt, ab-rufen und verwenden.Damit wird sowohl dieDatensicherheit imUnternehmen erhöht,als auch ein großerKostenfaktor, der ausvergessenen oder fal-schen Passwörtern re-
sultiert, im Help Desk reduziert.
eBusiness-ProzesseNeben einem verbesserten Prozeß-management zwischen Kunden, Mit-arbeitern und Lieferanten bietet dasNDS eDirectory auf der Ebene derInternet Infrastruktur-Technologieeinen geringeren Aufwand bei derNetzwerkverwaltung bei reduziertenHardwarekosten, einen schnellerenZugriff auf Daten und Informationenüber einen sicheren Netzwerkzugangsowie eine größere Fehlertoleranz.NDS eDirectory unterstützt alle wich-tigen Internetstandards und Zugriffs-protokolle und verfügt über eineSkalierbarkeit, die es für den Einsatzim Internet prädestiniert: in Tests in-tegrierte es über eine Milliarde Ob-jekte in einem einzigen NDS Baum.Lizenzen für Novell Account Mana-gement können über die Fachhan-delspartner erworben werden. Kun-den, die bereits Account Managementeinsetzen und zusätzliche Windows2000 Unterstützung wünschen, erhal-ten ein kostenloses Upgrade.
NOVELL
PXE inZENworks
Effizientes Workstation-Management
Novell lizenziert die PXE Technolo-gie von PreWorX und wird dasPreeboot eXecution Environment alsErgänzung zur nächsten Version vonNovell ZENworks for Desktops ver-treiben. PXE ist ein Standard-protokoll, das auf eine INTEL-Initia-tive zurückgeht. Es ermöglicht, einenArbeitsplatzrechner direkt über dasNetzwerk zu starten, und ein Pro-gramm auszuführen, noch bevor dasBetriebssystem des Rechners hoch-gefahren ist.
Durch die neue PXE Technologiekönnen Administratoren mit ZEN-works for Desktops zukünftig Rech-ner während des gesamten Lebens-zyklus über das Netzwerk admini-strieren, ohne direkt Hand anzulegen.Techniker müssen nicht länger vorOrt ein Betriebssystem auf den Rech-ner aufspielen. Durch die Integrati-on von PXE in ZENworks forDesktops entsteht eine Komplettlö-sung für das Management von Ar-beitsplatzrechnern. Denn damit kön-nen Standard-PCs über ZENworksfor Desktops eine Verbindung zumNetzwerk aufbauen, noch bevor dasBetriebssystem startet. Hierdurch istes möglich, auf eine WorkstationImages einer unternehmensweit stan-dardisierten Betriebssysteminstalla-tion aufzuspielen, ohne vorher ir-gendwelche Software auf dem PC zuinstallieren.
PXE IntegrationZENworks for Desktops läuft aufServern unter NetWare, Windows NTund Windows 2000 und hilft, platt-
13
07
Ausgabe 07/2001
M
NOVELL
Mit Palm auf GroupWiseWeb Clipping Applikation für mobilen Zugriff auf
GroupWise 6
Novell bietet für GroupWise seit Juni eine Palm OS Web Clipping Applikationan, mit der die Anwender über Palm Handheld-Computer einen Echtzeit-Zu-griff auf ihre GroupWise 6 Anwendungen erhalten. Zusätzliche Partnerlösungenvon Pumatech und Syclo bieten drahtlose und drahtgebundeneSynchronisationsfunktionen, die Online- und Offline-Zugriffe auf die Mailbox,den Kalender und die Aufgabenliste von GroupWise 6 ermöglichen.
Mit der Palm OS Web Clipping Ap-plikation können GroupWise 6 An-wender jetzt überall Zugriff auf ihreInformationen erhalten und mobil mitihren Partnern zusammenarbeiten.Die Unternehmenslösung im Komm-unikations- und Groupware-Bereichunterstützt nativ die Palm Web Clip-ping Software. Palm-Nutzer erhaltendamit einen einfachen und sicherenZugriff auf die umfangreichen Funk-tionen von GroupWise, auf E-Mailund Kalender, Terminsuche und Auf-gabenmanagement. Novell Group-Wise 6 unterstützt neben den Palm OSGeräten weitere Mobiltelefone undPDAs, den Windows CE/Pocket PCRechner, WAP-Geräte oder US-ame-rikanische RIM-Pager.
SynchronisationZwischen Palm OS und GroupWisebestehen Synchronisationsmöglich-
keiten über Mobilfunk und Desktop.Mit Pumatech Intellisync 4.0 sindGroupWise Anwender in der Lage,Nachrichten, Adressen, Kalenderein-träge und Aufgaben zwischen ihremPalm und ihrem PC abzugleichen. ZurSynchronisation über Mobilfunk undDesktop bietet Syclo SIM 4.0 unter-nehmensübergreifende Synchroni-sationsmöglichkeiten und ermöglichtes Administratoren, die Synchronisa-tion zentral zu verwalten und zu steu-ern. Gleichzeitig können Besitzer ei-nes Palmgerätes ihren Handheld überjede Docking-Station oder eine Mo-bilfunkverbindung mit GroupWisesynchronisieren.
Clipping ApplikationDie GroupWise 6 Mobilfunktionenwurden für den internationalen Ein-satz konzipiert und stehen in folgen-den Sprachen zur Verfügung: Dä-nisch, Deutsch, Englisch, Finnisch,Französisch, Italienisch, Niederlän-disch, Norwegisch, Portugiesisch,Spanisch und Schwedisch. WeitereSprachen werden im zweiten Halb-jahr 2001 folgen. Die Palm OS WebClipping Applikation ist fürGroupWise 6 Kunden kostenlos undkann ab Juni unter www.novell.com/download heruntergeladenwerden. Informationen zu Intellisync4.0 und Syclo SIM finden Sie imInternet unter www.syclo.com undwww.pumatech.com.
formübergreifend wie in einem ein-zigen homogenen Netz zu arbeiten.Dieses vereinfachte Management re-duziert die Kosten, die beispielswei-se mit der Einführung neuer Desk-top-Betriebssysteme wie Windows2000 verbunden sind. Die Verbin-dung aus ZENworks for Desktopsund der PXE Technologie bringt eineReihe zusätzlicher Vorteile mit sich.Auf der Workstation muß dazu kei-ne Novell Software installiert sein,um ein Image aufzuspielen. Wenn inNovell NDS eDirectory eine ImagingTask definiert wurde, wird der Ar-beitsplatzrechner über das Netzwerkzuerst in Linux gebootet, um danndas Image aufzuspielen. Der Rech-ner wird nur unter Linux gebootet,wenn eine Imaging Task definiertworden ist. Die Registrierung derneuen Workstation und die Vertei-lung des Betriebssystems erfolgenvollautomatisch. Hierzu werden dievorhandenen ZENworks ImagingRegeln verwendet.
PXE ManagementAuch auf Rechnern, die nicht PXE-kompatibel sind, kann das PXE Ma-nagement eingesetzt werden. EinPXE Enabler auf Diskette oder Fest-platte sorgt auch auf diesen Worksta-tions für die notwendige PXE-Kom-patibilität. In Kombination mit ZEN-works for Servers erhalten Kundenmit ZENworks for Desktops eine re-gelbasierte Managementlösung fürihr gesamtes Netzwerk. Administra-toren können Softwarepakete oderDesktop-Images automatisch erstel-len und sie einmal zentral auf einemServer bereitstellen. Die automati-sche Softwareverteilung von ZEN-works - die Tiered Electronic Distri-bution (TED) - verteilt diese Inhalteselbständig auf Desktop-Rechner imgesamten Unternehmen sowie aufServer unter NetWare, Windows NTund Windows 2000. Die PXE Funk-tion wird als Add-on zur nächstenVersion von ZENworks for Desktopsangeboten, Informationen unterwww.no vell.com/products/zenworks.
Ausgabe 07/2001
14
07
DD
WATCHGUARD
Firebox IIISafeNet VPN-Technologie in der neuen Firebox 4500
WatchGuard Technologies präsentiert ihre neue Reihe Firebox III, bestehendaus der Firebox 2500 und 4500. Mit dem Hardwarebeschleuniger CryptPCI241 wurde modernste VPN Technologie von SafeNet in die neue Firebox 4500integriert. Sie bietet gestiegene Performance im VPN/3DES Datendurchsatzvon bis zu 100 Mbps und adressiert in dieser Kombination Service Providerund sicherheitsbewußte Unternehmen mit dezentraler Struktur, die ein höch-stes Maß an Verschlüsselungsfunktionalität mit umfassenden Management-Tools erwarten.
Die neue Produktlinie Firebox III ver-einigt Sicherheit mit Leistungsfähig-keit und hoher Benutzerfreundlich-keit. Während der VPN/3DES Daten-durchsatz bei der Firebox 2500 be-reits 55 Mbps beträgt, erreicht dieneue Firebox 4500 sogar 100 Mbps.WatchGuard kooperiert dabei mitSafeNet, einem profilierten Herstel-ler der VPN-Technologie SecureIPTM. In der Kombination mit SafeNets Hardwarebeschleunigung CryptPCI 241 bietet die neue Firebox 4500eine gesteigerte Performance bei der3DES Verschlüsselung bis zu 100Mbit pro Sekunde. Mit diesem erhöh-ten Datendurchsatz erfüllt die Firebox4500 insbesondere die gestiegenenAnforderungen von Internet ServiceProvidern und größeren Unternehmenmit vielen Niederlassungen. Die Fire-box III Familie ergänzt Watch-GuardsSecurity Appliances für kleine undmittlere Netzwerke um Sicherheits-lösungen für komplexe VPN-Umge-bungen.
Security AppliancesDie WatchGuard Firebox III Systemebeinhalten die Firebox Appliance,Firewalls, VPN-Schutz, Management
Software sowie LiveSecurity Ser-vices. Die Verwaltungsfunktionen er-möglichen das zentralisierte Manage-ment von Hunderten VPN-Usern, in-tuitiv per Drag-and-Drop. Die tech-nischen Spezifikationen erlauben diemaximale Anbindung und Verwal-tung von 5000 Verbindungen. Diehohe Performance ist auf die Bedürf-nisse von internetgestützten Daten-zentren, Service Providern sowie Un-ternehmen mit mehreren Standortenoder eigenen Niederlassungen ausge-richtet.
Virtual Private NetworkDie spezifischen Sicherheitsproblemeder Internet-Kommunikation mit ver-streuten Niederlassungen erfordern inhohem Maße performante VPN-Lö-sungen. Diese Verbindungen werdenbei der Firebox III durch “Route-through VPN” in ihrer Performancemaximiert.Bestehende Tunnel werden für denAufbau weiterer Verbindungen aus-gebaut, anstatt für jede Firebox eineneigenen einzurichten. Die Konfigura-tion erfolgt mit dem WatchGuardVPN Manager per Point-and-Clickam Bildschirm.
TOBIT
VerbessertNeues Release von
DvISE und InfoCentererhältlich
Tobit Software hat eine verbesserteProgrammversion ihrer Messaging-Produkte herausgebracht. Die neuenModule von DvISE und InfoCentersind nicht als kostenpflichtiges Up-date, sondern gemäß ihrer Strategieeines aktiven Investitionsschutzes alsfrei verfügbares Service Pack für alleregistrierten Anwender verfügbar.
N E
W S
nN E W S
Das neue Service Pack 1 für DvISE6.6 ist ausnahmslos für alle DvISE-basierten Produkte verwendbar, na-mentlich FaxWare, MailWare, David,David One und David Professional.Die Produkte erhalten nach Einspie-len des Service Packs zahlreiche neueFunktionen, viele Detailverbesse-rungen und einige Korrekturen vonkleineren Fehlern. Die Veränderun-gen betreffen sowohl die Server-versionen für Novell NetWare, Micro-soft Windows NT und 2000 sowieauch das InfoCenter, Tobit’s univer-sellen Client. Serverseitig wurde dieSystemleistung und Stabilität inAusnahmesituationen erheblich ver-bessert. Die Benutzerbeschränkungwurde beim Einsatz von Connectorenvon 1.000 auf jetzt 5.000 User proServer verfünffacht. Weitere Modifi-kationen betreffen die vollkommeneÜberarbeitung des integrierten News-Servers, die Ausweitung der MessageTracking Services für SMS, den neu-en Connector zu Microsoft Exchange2000 sowie die automatische Integra-tion in den Terminal Server Client.Registrierte Anwender können dasUpdate über die Website des AhauserHerstellers kostenlos downloaden.Alle seit Anfang Juni 2001 ausgelie-ferten Produkte basieren bereits aufdieser neuesten Version.www.tobit.com/germany/service.
15
07
Ausgabe 07/2001
D
M
IBM
Kompromißlos zuverlässig
eServer xSeries Datacenter Lösung
IBM präsentiert ihre eServer xSeries Lösung fürWindows 2000 Datacenter Server. Das Paket bestehtaus einem IBM x370 Server, der optimalen Hardware-Plattform für das leistungsstarke Microsoft Betriebssy-stem, sowie optionalen Services und Supportleistungennebst Testtools zur Sicherung des laufenden Betriebes.
Mit der neuen xSeries Lösung für Datacenter Serverwill IBM kompromißlose Zuverlässigkeit bereit stel-len, eine Grundvoraussetzung für den Einsatz in mo-dernen, unternehmenskritischen Umgebungen. Dazusteht der leistungsstarke, Rack-optimierte x370 Serverin 1- bis 4-Node-Cluster-Konfigurationen zur Verfü-gung, ausgestattet mit einem durchsatzstarken und be-sonders betriebssicheren Speicher-Subsystem in FibreChannel-Technologie. IBM bietet dazu Support und Ser-vice, inklusive telefonischen Supports rund um die Uhr,sieben Tage die Woche, selbst an Sonn- und Feierta-gen. Mit Windows 2000 Datacenter bietet das Server-betriebs-system in seiner neuesten Version mehrSkalierbarkeit als alle bisherigen Microsoft Betriebs-systeme.
HochverfügbarkeitDer x370 beeindruckt mit seinen technischen Daten.Für höchste Verfügbarkeit sorgen bis zu 8 Prozessorenmit jeweils 700 oder 900 MHz Taktfrequenz, bis zu 32GB Arbeitsspeicher, integrierte ServeRAID Technik undFibre Channel Speichersysteme. Dank der IBM X-Ar-chitektur stehen dem Server Diagnosewerkzeuge zurVerfügung, die Probleme aufspüren, bevor diese denlaufenden Betrieb stören. Hinzu kommen durchdachteFunktionen wie HotSwap-Unterstützung für diverseKomponenten, inklusive I/O. Die Zuverlässigkeit die-ser Lösung läßt sich allerdings nicht nur mit den ausge-zeichneten Attributen der einzelnen Komponenten er-klären, jede Kundenbestellung wird mit Hilfe von micro-softzertifizierter Komponenten implementiert. Ständi-ge Tests mit Software von Fremdanbietern sorgt zusätz-lich dafür, daß deren Produkte reibungslos in der starkbeanspruchten Datacenter-Umgebung arbeiten. DieSysteme werden mit vorinstallierter Software angebo-ten, können aber auch vor Ort installiert werden.
HEWLETT PACKARD
High PerformanceProcurve Switches 4108 GL
Der verwaltete modulare 10/100/1000-T High Perfor-mance Switch HP Procurve 4108 GL-Bundle bietet imLayer 2 eine einzigartig hohe Portdichte und Medien-flexibilität. Das Chassis ist mit 72 Halb/-Vollduplex und10/100-Autosensing Anschlüssen, einem Transceiver Mo-dul für Uplinks und 4 freien Modulsteckplätzen versehen.
Die neue modulare High Performance Switch-Serie HPProcurve 4108GL bietet hohe Portdichte zur Entlastungder Backplane. Zu ihren besonderen Leistungsmerkma-len gehört neben der Unterstützung von 30 anschluß-basierenden VLANs ein Port-Trunking, mit dem bis zu 6Trunks mit jeweils 4 Anschlüssen über die verschiedenen Module hinweg möglich sind.
ModularDamit wird die Switch-Serie dem erhöhten Leistungsbe-darf von Unternehmen gerecht. Der Procurve 4108GL istein modularer Switch mit acht freien Modulsteckplätzen.Die Datendurchsatzrate beträgt 36,6 Gbps. Als 4108GLBundle gibt es diesen High Performance Switch mit 72autosensing 10/100Base-TX Ports, einem Transceiver-Modul mit 3 Anschlüssen für Uplinks sowie mit vier frei-en Modulsteckplätzen.Er bietet einen Gesamtdurchsatz von bis zu 72 MillionenPaketen in der Sekunde. Durch seine modulare Bauweiseerlaubt er eien flexibles Netzwerkdesign mit verschieden-sten 10/100/1000Base-X Anschlüssen für Kupfer oderGlasfaser, wobei bis zu 192 autosensing 10/100-Ports oder48 Gigabit-Anschlüsse realisiert werden können. EineReihe von Modulen und Transceivern steht zur Vefügung.Path-Technologie ermöglicht Wire Speed-Switching in-nerhalb eines jeden Moduls.
Ausgabe 07/2001
16
07
nN
E W
S
TickerTicker
N E W S
Always-on
IPv6 Integration
Cisco Systems integriert die Internet Protocol Version6 (IPv6) in die neueste Version der Cisco IOS Software.Cisco reagiert damit auf die Zunahme derinternetfähigen Endgeräte und der “always-on” Internet-Zugänge. Für die neuen Internet-Anwendungen bietetIPv6 eine integrierte Plug-and-Play Auto-Konfigurati-on, verbesserte Mobilität und Ende-zu-Ende-Sicherheit.Während sich viele Anbieter auf das drahtlose oder dasoptische Internet spezialisiert haben, bindet Cisco ver-schiedene Technologien in das Internet ein. Die Inte-gration von IPv6 in die IOS Software unterstützt neueAnwendungsbereiche und behält die Kompatibilität mitbestehenden Internet-Services bei. Kunden Partner kön-nen die neue Version bedarfsgerecht einführen. Ciscobietet die IPv6-Lösung mit der IOS Software Version12.2(1)T für die folgenden Geräte an: Router der Seri-en Cisco 800, 1400, 1600, 1700, 2500, 2600, 3600, 4500und 4700, für Cisco AS5300 und AS5400 UniversalAccess Server sowie für die Router der Serien Cisco7100, 7200 und 7500. Feldversuche mit den Routernder Serien Cisco 7600 und 12000 laufen derzeit. Unter-stützung für diese Geräte wird in der zweiten Jahres-hälfte mit weiteren Versionen derCisco IOS Software verfügbar sein.
Einstellungs-Sache
Abkündigung im Consumer-Markt
3Com stellt die Kabel- und DSL-Produkte für Consumerein. Aufgrund des Preisverfalls im Consumer-Marktkonzentriere sich 3Com auf Unternehmen und ServiceProvider und damit auf Netzwerklösungen, die Spitzen-technologie repräsentiere. Deshalb gab 3Com jüngst dieAbkündigung ihrer Kabel- und DSL-Modemserie fürConsumer bekannt. Sie betrifft jedoch nicht das Geschäftmit DSL-Routern und -Modems für Business-Anwen-dungen. Diese Produkte, die auf die Bereiche SmallBusiness und Enterprise ausgerichtet sind, bleiben zen-traler Bestandteil der Unternehmensstrategie. Im De-zember 2000 hatte 3Com ein Restrukturierungspro-gramm gestartet, um das Unternehmen in die Profitabi-lität zurückzuführen und auf Wachstum auszurichten,und angekündigt, Produktlinien mit fehlendem Wachs-tumspotential oder unterdurchschnittlichen Gewinnmar-gen abzukündigen. Aufgrund einer Übersättigung desMarktes mit Consumer Kabel- und DSL-Modems, stellt
3Com deren Produktion jetzt ein und konzentriert sichauf Technologien und Märkte, die besseren ShareholderValue bieten. Bestehende Bestellungen und Garantie-ansprüche von Kunden werden jedoch weiter berück-sichtigt.
Kabel los
Wireless Produkte
Mit preiswerten Wireless Produkten stellt Netgear jetztauch eine neue WLAN-Produktlinie vor. Sie umfaßtWireless-Access-Points als Brücke zwischen dem lo-kalen Netztwerk und den Funk-Clients sowie Wireless-PC-Cards für Notebooks und Personal Computer. Siesind als 16 Bit PCMCIA bzw. 32 Bit CardBus-kompati-bel bzw. als PCI- Adapter für Desktop-PCs erhältlich.Die Wireless Adapter sind für Computer mit MicrosoftWindows 95B, 98, 2000, NT oder Millennium Editionentwickelt und bieten aufgrund der Autosensing-Funk-tion einen maximalen Durchsatz von 11 Mbps. Durchden Anschluß mehrerer Access-Points Modell ME102mit einem verdrahteten Ethernet-Backbone kann dieReichweite des Funknetzes ausgedehnt werden.
Switching
Erweiterte Produktpalette
Mit dem BayStack 420-24T bringt Nortel Networks ei-nen neuen leistungsfähigen Layer 2 Switch auf denMarkt. Das kaskadierbare Gerät wurde als LAN-Switchfür kleine und mittlere Unternehmen oder Zweignie-derlassungen großer Firmen konzipiert. Die neuenBayStacks 420 stellen für die Anbindung von Servernund Power-Usern einen GBIC-Port zur Verfügung, indem ein Gigabit Fiber Modul für die Verbindung überLWL-Strecken eingeschoben werden kann. Die Skalier-barkeit des BayStack 420 ermöglicht es, das Netzwerkzu erweitern, denn durch einfaches Kaskadieren von biszu 8 Geräten bringt es der BayStack 420 auf maximal192 Ports im Stapel. Ein Kaskadeanschluß ist bereitsintegriert. Das Management über das Web Interfacemacht die Konfiguration des BayStack 420 einfach. DerSwitch kann auch über Java Device Manager wie überOptivity verwaltet werden. Ein wesentlicher Bestand-teil stellt das abgestimmte Zusammenspiel zwischen denBayStack-Komponenten und den Routing-Switches derPassport-Serie 8000, 1200 oder 1150 dar.
17
07
Ausgabe 07/2001
Highspeed
Switches for Workgroups
Ihre Palette von Fast- und Gigabit Ethernet Switcheshat die Compu-Shack Production mit dem Gigaline1008um ein klassisches Einstiegsgerät mit Gigabit Uplinkerweitert. Der GIGALine 1008 ist ein ausgeklügelter,preiswerter 10/100-Switch mit 1000BaseT HighspeedUplink, der mögliche Engpässe zu Servern oderSwitches beseitigt. Er ist damit besonders für denWorkgroupbereich geeignet, denn mit acht seiner 10/100Base-TX Ports und dem 1000Base-T Port beseitigtdieser Switch Bandbreitenprobleme in Arbeitsgruppen.Seit der Gigabit Ethernet Standard Kupferkabel derKategory 5 bei einer Entfernung bis 100 m vorsieht,setzen sich die Gigabit Ethernet Produkte am Marktdurch, da für 1000 Mbps unter Erhalt der RJ45 Front-End Technologie keinerlei Neu-Investitionen in dieKabelinfrastruktur anfallen. Der GIGALine 1008 ist alsStore- and Forward-Switch voll- und halbduplex-fähig,hat einen Speicher von 512 KB und einen Paketdurch-satz bei 1000 Mbps von 1,488 Millionen Paketen proSekunde. Der Gigabit Port ist auto-MDI-X fähig underkennt automatisch, ob er mit 10 oder 100 Mbit ange-sprochen wird. Das Gerät ist als Tischgerät einsetzbar,besitzt aber auch einen 19”-Einbausatz. Die Compu-Shack Production verfügt über alle notwendigenNetzwerkadapter, die für Gigabit Ethernet als 32- bzw.64-Bit Karten lieferbar sind.
IP-Telefonie
Portfolio erweitert
Cisco Systems erweitert ihr Portfolio für die IP-Telefonieum vier neue Software-Produkte. Die ApplikationenCisco Personal Assistant, Cisco Unity 2.46 UnifiedMessaging, Cisco IP Integrated Contact Distribution undCisco IP Phone Productivity Service sind die neuenKomponenten der Cisco AVVID-Architektur. Mit denLösungen für die Sprach-Daten-Integration können Un-ternehmen eine intelligente Netzwerkstruktur für ihreInternet-basierten Geschäftsprozesse aufbauen. Die neu-en Applikationen basieren auf dem Cisco CentralisedCallProcessing Modell. Durch die Zentralisierung derServices entfallen die Anschaffung und eigenerAdministrationsaufwand für die Zweigstellen. Alle neu-en Applikationen sind für den Cisco MCS 7835-1000-und Cisco MCS 7825-800 Media Convergence Serververfügbar.
Exchange
Messaging Connection
Tobit Software hat die Verfügbarkeit eines neuenConnectors für Microsoft Exchange 2000 bekannt ge-geben. Er ist Bestandteil der DvISE 6.6 Produktfamilieund erweitert alle Exchange 2000 Anwendungen um zu-sätzliche Kommunikationsdienste. Mit dem neuenConnector bietet Tobit für Exchange 5.5 und Exchange2000 Server eine Erweiterung der Kommunikationsdien-ste um Fax- Voice- und SMS-Funktionen. Der Connectorbildet dabei die Schnittstelle zwischen Microsoft Ex-change 2000 und den Messaging Systemen David 6.6,David Professional und FaxWare. Er ermöglicht denEmpfang und Versand verschiedenster Nachrichten. Dasneue Gateway zeichne sich insbesondere durch einfa-che Installation in Exchange 2000 aus. Durch ein eige-nes Formular für den Fax-Versand, das über einen Tobit-Button leicht erreichbar ist, läßt sich der Faxversand di-rekt in Outlook vornehmen. Auch werden die persönli-chen Kontakte in Outlook unterstützt. Der serverbasierteTobit Rendering Agent wandelt Dateianhänge automa-tisch in Faxdokumente um und versendet sie als zusätz-liche Seiten.
Professionelle
Für CAD und CAM
ELSA erweitert ihre Grafikkarten-Serie um die Synergy2000. Sie kommt als Standardlösung für professionelleGrafik-Anwendungen in den Bereichen Konstruktion,Animation und Visualisierung auf den Markt. Basierendauf dem neuen Grafikprozessor Quadro2 EX vonNVIDIA bietet sie ausgezeichnete Grafikperformancebei 2D- und 3D-Anwendungen und garantiert profes-sionellen Anwendern hohe Stabilität zu einem außerge-wöhnlich guten Preis-Leistungs-Verhältnis. Ausgestat-tet mit 32 MB SDRAM-Videospeicher und einemRAMDAC von 350 MHz entfaltet ELSA´s neues AGP-2x/4x-Grafikboard seine große Stärke beim Einsatz an-spruchsvoller Grafikanwendungen. Die maximale Auf-lösung liegt bei 2048 mal 1536 Pixeln in 3D-True-Co-lor. Die Synergy 2000 bietet mit 20 Millionen Dreiek-ken, über 350 Millionen Pixeln und einer Speicher-bandbreite von 2,7 GB pro Sekunde bislang unerreich-te Werte in ihrer Preisklasse. Im Lieferumfang befin-den sich Applikationstreiber für AutoCAD oder 3D Stu-dio MAX/VIZ Anwendungen. DirectX und Linux(XFree86) werden ebenfalls unterstützt.
Ausgabe 07/2001
18
07
t h e m a d e s m o n a t s
D
BALANCE -AKTE
Die besonderenLeistungsanfor-derungen im e-Business stellenerhöhte Forde-rungen an dieSwitching Platt-formen. Insbe-sondere ServiceProvider oderFirmen mit eige-nem Web-Auftrittsind an ausgewo-genen ContentSwitching-Lö-sungen interes-siert, die die Ver-teilung von Loa-ds kunstvoll inder Balancehalten.
Content SwitchingLeistungsanforderungen im e-Busines
Von Detlev Reimann
19
07
Ausgabe 07/2001
Im Mittelpunkt des Designs von lei-stungsfähigen technischen Lösungenfür ein modernes e-Business steht dasContent Switching. Als eine relativkomplexe Technologie bietet es eineReihe von Möglichkeiten, effizienteund sichere Strukturen zu schaffenund zu betreiben. Wir werden dieBegriffe klären, die Zusammenhän-ge darstellen und im Überblick einenVergleich zu Layer 2 und Layer 3Switches durchführen. Wir sagen Ih-nen, was es alles zu beachten gilt, undbeschäftigen uns vor allem auch mitdem konzeptionellen Ansatz für einesolide Lösung mit Content Switches.Am Beispiel von Load Balancing fürFirewall Rechner wird demonstriert,wie contentbasierende Switchesgrundsätzlich eingesetzt werden kön-nen. Wir werden sehen, wie sich dieVerteilung von Loads konzeptionelldurch alle Ebenen eines Infrastruktur-designs hindurchzieht. Aus der Erfah-rung der Compu-Shack Projekt-beratung wollen wir Ihnen auch diewesentlichen Gesichtspunkte einerkomplexen Infrastrukturplanung auf-zeigen, Lösungsideen nennen und dieprinzipielle Vorgehensweise für sol-che Projekte besprechen.
che Strukturen zu nutzen. Denn einebesondere Anforderung im Daten-transfer ist, daß neben den leitungs-vermittelten Transport (circuitswitched links) auch Vermittlungenauf der Basis von Dateninformationenerfolgen (packet switching, frameswitching).
BridgesIn der Dateninfrastruktur haben sichaus Bridges und Routern Switch-Ge-räte mit unterschiedlichsten Funktio-nen und Leistungsparametern entwik-kelt. Aus Multiport-Bridges entstan-den Layer-2-Switches, die in der Lagesind, außer Store-and-Forward auchCut-and-Through bzw. FragmentfreeForwarding zu nutzen. Entscheidendist, daß sich die Wegeentscheidung(Routing) sehr Hardware-nahimplementieren ließ: Gelernt wird dieSource-MAC-Adresse, entschiedenwird nach der Destination-MAC-Adresse.Nebenbei angemerkt gibt es bei denBegriffen Switching und Routing ofteine Begriffsverwirrung. DasSwitching wird mit dem Switch ver-bunden und das Routing mit demRouter. Soweit auch logisch. DerSwitch bzw. der Switching Hub wur-de lange Zeit als Gerät eingeordnet,welches auf dem Layer 2 des OSIReferenzmodells angesiedelt ist. DasMarketing der Hersteller ist darannicht ganz unschuldig. Genauso ist esdem Hub ergangen, der mehr oderweniger auf die Funktion eines Multi-port-Repeaters reduziert wurde. EinHub ist ganz wertneutral einfach einSternverteiler, welcher physikalischoder auch wesentlich öfter ”nur” lo-gisch in der Mitte von zusammenlau-fenden Kommunikationsverbindun-gen steht, beispielsweise in Hub-Spoke-Topologien im WAN-Umfeld.
RouterEin Switch leitet die Pakete weiter(Switch-Funktion) nachdem eine
Wegeentscheidung getroffen wurde(Routing-Funktion). Das geschah bis-her im allgemeinen Verständnis aufLayer 2. Ein Router hat eine ver-gleichbare Funktion. Nur wurde die-sem der Layer 3 als Ebene zugeord-net. Das Switching definiert die Wei-terverarbeitung der Datenpakete in-nerhalb des Gerätes. Begriffe wie FastSwitching, Process Switching, SiliconSwitching usw. kennt der eine oderandere Leser aus der ”Cisco-Welt”.Aufgrund komplexerer Informatio-nen auf dem Layer 3 für eine Wege-wahl von Paketen ist die Funktion zurErmittlung des Weges unter Umstän-den relativ aufwendig. Aus diesemGrund laufen auf Routern bei Bedarfsehr rechenintensive Prozesse ab. BeiLeitungsgeschwindigkeiten von 2oder 34 Mbps ist die ursprünglicheAufgabe des Routings sicher keinProblem für einen Router. An seineLeistungsgrenzen kommt dieses Ge-rät allerdings schon, wenn ihm Daten-komprimierung, Verschlüsselung,Authentifizierung, Datenpriorisie-rung, Tagging und vielleicht auchnoch Firewall-Funktionen zusätzlichaufgebürdet werden.
Layer 3 SwitchSieht man von den zuletzt genanntenAufgaben eines Netzwerkgerätes ab,lassen sich originäre Layer 3 Funk-tionen in einem Layer 3 Switch inte-grieren. Diese Komponenten sind ih-rer Grundfunktion nach den Routernsehr ähnlich. Die Wegentscheidung istallerdings in Hardware implementiert.Die Application-Specific IntegratedCircuits, die sogenannten ASICs, ha-ben die Aufgabe, auf der Ebene desInterfaces bereits eingehende Paketezu qualifizieren und anhand vonzwischengespeicherten Informatio-nen der Routing Table die Paketeweiterzuleiten. Aufgrund der Imple-mentierung der Grundfunktionen indie Hardware - zum Auslesen desRoute Cache und zum Forwardingzum Ausgangsinterface - arbeiten die
LeistungsschübeDie Steigerung der Leistung innerhalbeiner Netzwerkinfrastruktur findetihre Lösungsansätze in der Verbesse-rung der Funktionalität und der Ver-fügbarkeit von Diensten. Im e-Busi-ness sind Firmen mit eigenem Web-Auftritt und Service Provider an ent-sprechend hochwertigen technischenLösungen interessiert.Die offensichtlichsten Leistungs-schübe gab es durch die Innovatio-nen der Switch-Technologie. Bekanntaus der Telefonie, wo entsprechendeTechniken innerhalb von Bruchteileneiner Sekunden Verbindungen her-stellen oder Redundanzen schalten,lag der Schluß sehr nahe, auch imBereich der Datenübertragung ähnli-
Ausgabe 07/2001
20
07
t h e m a d e s m o n a t s
Geräte nahezu mit Leitungs-geschwindigkeit. Es gibt bereits Ge-räte, die mit Gigabit Ethernet Portsausgerüstet sind. Der Vorteil ist, daßsolche Geräte relativ viele Interfacesgegenüber einem vergleichbarenRouter haben. Der Aufbau von LAN-Infrastrukturen mit notwendigenLayer 3 Funktionen ist somit ohneweiteres möglich. In der Regel sinddie angebotenen Layer 3 Switches aufdie Ethernet-Technologie beschränkt.Router spielen da vor allem ihre Stär-ken aus, wo es um differenziertePolicies geht und verschiedenartigste(WAN-) Schnittstellen benötigt wer-den.
EngpässeNeuerdings erlebt man, daß in Aus-schreibungen die Forderung nach(Layer 2) Switches einfach durchLayer 3 Switches ersetzt wird. Derpauschale Einsatz dieser Geräte istjedoch kaum sinnvoll und auch nichtkostengünstig, denn ohne Einschät-zung der zukünftigen Entwicklungdes Unternehmens bzw. der Behördebleibt der Investitionsschutz auf derStrecke. Etwas zu kurz greift aucheine Entscheidung, mit Layer 3Switches die Segmentierung desNetzwerkes durchzuführen, um dieAnzahl der Broadcast Domains zuerhöhen. Broadcasts sollten besserdort reduziert werden, wo sie entste-hen.Viele Unternehmen setzen Microsoft-Betriebssysteme ein. Da stellt sich dieFrage, ob es nicht bessere Lösungengibt, als WINS im Netzwerk zu be-treiben. Warum muß auf den Clientsein Serverservice laufen? Printserverkönnen auch direkt unter IP betriebenwerden. Printer Announcements viaBroadcast lassen sich so vermeiden.Seit Jahren gibt es funktionierendeDirectory Services, mit denen sichDienste im Netzwerk konfigurierenund lokalisieren lassen.Der Ansatz mit den Layer 3 Switcheskönnte sogar kontraproduktiv sein,
wenn benötigte Funktionalitäten un-zureichend definiert wurden und spä-ter dann doch Voice-over-IP oderVideostreaming im e-Learning ge-nutzt werden sollen.
ReaktionszeitenStellen Sie sich vor, Sie besuchen eineWebseite über eine ADSL-Verbin-dung, beispielsweise T-DSL. DasCache-System, das Ihre Anfrage be-antwortet, ist mit 155 Mbps ange-schlossen. Es ist für dieses Systemüberhaupt kein Problem, Ihnen diepaar Daten inklusive demBegrüßungsvideo zu senden. Späte-stens der lokale ADSL-Zugang stelltin dieser Kommunikation das Nadel-öhr dar. Ein Teil der Informationenmuß entsprechend der Session neuangefordert werden. Viele der Anbin-dungen an das Internet erfolgen nichtüber derart schnelle Zugänge. 34 oder64 Kbps sind keine Seltenheit. Durchsolche Übertragungswiederholungenergeben sich erhöhte Übertragungs-volumen, die dann auf andere Daten-übertragungen zurückwirken, und soweiter und so fort. Insgesamt ergibtsich eine riesige Datenmenge, die imInternet regelrecht vernichtet wird.Ursache dafür ist unter anderem, daßMechanismen zur sitzungsbezogenenAushandlung der Übertragungsgüte,Flow Control oder Traffic Shaping imInternet nicht oder kaum existieren.Service Provider versuchen, durchQuality-of-Service-Technologien wieDifferentiated Services (DiffServ)und Multiprotocol Label Switching(MPLS) erste Qualitätsansprüche zurealisieren.
Differentiated ServicesDiffServ benutzt das TOS-Feld im IPHeader. Die ursprüngliche Nutzungdes Feldes ist im RFC791, 1122 und1349 definiert. Die ersten 3 Bits desFeldes (0-2) sind die sogenanntenPrecedence-Bits und können zurPriorisierung genutzt werden.
DiffServ ist in den RFC2474 und2475 beschrieben. Das TOS-Feldwird jetzt anders interpretiert. Die er-sten 6 Bits (0-5) dienen der Priorisie-rung, 2 Bits sind Reserve. Im RFC2474 werden die 6 Bits als Differenti-ated Services CodePoint (DSCP) be-zeichnet. Die ersten 3 Bits darin sinddie Class Selector CodePoints. Überdiesen Weg ist DiffServ im Bedarfs-fall abwärtskompatibel zu denPrecedence-Bits. Ziel der Nutzungsolcher Indikatoren ist, demNetzwerkgerät eine Entscheidungs-grundlage zu geben, welche Daten zuwelchem Datenstrom mit welcherEigenschaft gehören.
MPLSDas Multiprotocol Label Switching,beschrieben im RFC 3031, erweitertin gewisser Weise die Möglichkeitvon DiffServ. Vor dem Eintritt in einebestimmte Netzwerkinfrastrukturwird vor dem IP-Header am Edge-Device eine zusätzliche Information,ein Label mit 32 Bits, eingebracht.Die ersten 20 Bits sind das eigentli-che Label mit dem ein bestimmterDatenkanal fixiert wird. Danach fol-gen 3 Bits, in die das Edge-Device dieersten 3 Bits des ToS-Feldes (ClassSelector CodePoints) übertragenkann. Somit kann jedes Netzwerk-gerät innerhalb dieser Infrastrukturden Datenkanal und die geforderteQualität des Datenstromes ermittelnund Weiterleitungsentscheidungentreffen. Nachfolgende Daten wie IP-Adressen im IP-Header sind an die-ser Stelle uninteressant. Dies alles läßtsich nun auf Layer 2 abbilden.Sicherlich läßt sich zum ThemaQuality of Service mehr berichten,doch kommen wir zurück zum The-ma Content Switching.
AkzeptanzBezüglich des Nutzerverhaltens imWeb gibt es verschiedene Untersu-chungen. Es wird davon ausgegan-
21
07
Ausgabe 07/2001
gen, daß etwa ein Drittel der warten-den Surfer im Falle von alternativenAngeboten nicht wieder auf die lang-same Site zurückkommen. Bei Reak-tionszeiten von 7 Sekunden und mehrist die Akzeptanz der Anwender beieinem Besuch auf einer Web-Site na-hezu Null.Viele Auftritte im Web sind mit gesi-cherten Transaktionen verbunden.Doch Verschlüsselung, Identitäts-prüfung und ähnliches kosten Zeit.Auch hier muß eine Lösung gefun-den werden, die die Transaktionenausreichend sichert und trotzdemschnell genug ist. Schließlich brauchtein Webportal nicht auch noch einvirtuelles Kassenhäuschen, vor demdie Schlange der Wartenden sich ab-wendet, weil sie glaubt, einfach nichtweiterzukommen.
Neue WegeDie Betreiber von Web-basierendenAngeboten suchen Alternativen. EinAnsatz ist, die angebotenen Serviceserreichbarer zu machen, durch eineangemessene Verfügbarkeit sowieentsprechend hohe Bandbreiten - unddabei sogar mögliche Mehrfach-übertragungen einkalkulierend. DenDatenstau im Netz der Netze wird einService Provider nicht unterbindenkönnen. Er kann jedoch dafür sorgen,daß die Ressourcen in seinem Verant-wortungsbereich ausreichen und ef-fizient eingesetzt werden.
DatenzentrenAufgrund der Nutzung von Internet-Technologien gehen Firmen dazuüber, Web-basierende Datenzentreneinzusetzen. Der Vergleich mit denMainframes liegt auf der Hand, es fin-det eine gewissen Konzentration derDaten statt. Die Clients sind relativeinfach, ein Web-Browser besorgtden Zugang zu den Anwendungen.Thin-Clients sind im Gespräch. Den-noch gibt es Unterschiede. Bei dengroßen Rechnersystemen lag die
Content Services-Switch 11050
Kompakte Hochleistung für kleinere Web-Sites
Der Cisco CSS 11050 Content Services-Switch ist eine kompakteHochleistungslösung für kleine Web-Sites und Points-of-Presence (PoPs).Die Web Network Services-Software von Cisco ermöglicht Anwendungs-Serviceprovidern, Web-Inhaltprovidern und im E-Commerce tätigen Un-ternehmen den Aufbau von globalen Netzwerken, die für E-Commerce-Transaktionen und die Web-Inhaltszustellung optimiert sind. Dank desInhalt-Switching können Unternehmen mit maximaler Kontrolle die Ver-fügbarkeit ihrer Web-Sites sicherstellen und Web-Site-Ressourcen ohneBeeinträchtigung der Leistung absichern und zuweisen sowie Zustellungs-dienste für Audio- und Video-Streaming über das Internet einführen.
Web-DatenverkehrDer Cisco CSS 11050 unterstützt eine Flußweiterleitung mit Leitungs-geschwindigkeit zwischen einem Client und Web-Server auf Grundlageder vollständigen URL des angeforderten Inhalts sowie Benutzer-Cookiesund umfassende Informationen über die Ressourcenüberprüfung. Konzi-piert für Web-Datenverkehr kombiniert eine einzige Plattform die zentra-lisierte Verarbeitungs- und Speicherressourcen für ein auf Richtlinien ge-stütztes Fluß-Setup mit verteilten Netzwerkprozessoren. Die ContentPolicy-Engine besteht aus einem Hochgeschwindigkeits-RISC-Prozessor,128 MB Speicher und 5 Gbps Durchsatz und liefert eine Priorisierung proFluß, die auf Hunderten von benutzerdefinierten Richtlinien beruht. Ver-teilte Flußweiterleitungs-Engines bieten programmierbare Netzwerk-prozessoren pro Port, so daß Web-Site-Operatoren den Inhalt in einerlokalen oder verteilten Webfarm flexibel und kostensparend verteilen kön-nen, indem sie die Nutzung von Server, Cache und Netzwerkressourcenfür spezifische Kunden maximieren. Auf einer verteilten Web-Site führendie Cisco-Switches der CSS 11000-Serie eine umfassende Ressourcen-überprüfung durch, bevor sie die Benutzeranforderungen an die Stellemit der besten Antwortzeit und niedrigsten Belastung routen.
Weitere Features im Überblick� Sicherheit auf Standortniveau und Schutz vor Denial-of-Service-Attacksbei Leitungsgeschwindigkeit
� Firewall-Lastenausgleich für skalierbare Sicherheit der Backend-Datenbanken und -Anwendungen
� bis zu 400-prozentige Verbesserungder Web-Cache-Effizienz für transpa-rente, Proxy- und Reverse-Proxy-Kon-figurationen
� acht Vollduplex-Fast Ethernet- und einoptionaler Gigabit Ethernet-Port
� unterstützt alle TCP- und UDP-basier-ten Web-Protokolle
� NAT mit Leitungsgeschwindigkeitintegriertes IP-Routing
� Optimierung für HTTP, FTP und Medien-Streaming
� Service Level Agreements
Ausgabe 07/2001
22
07
t h e m a d e s m o n a t s
Abb. 1: Prinzipieller Aufbau eines webbasierenden Datenzentrums
Steuerung des Netzwerks, das Traffic-management etwa oder die Zugriffs-kontrolle, zentral bzw. bei den FrontEnd Processors (FEPs). In einer Web-basierenden Arbeitsumgebung jedochlaufen eine Reihe von Prozessen de-zentral ab. Die Datenzentren sind un-tereinander verknüpft. Der Zugriffkann zeitlich und räumlich unabhän-gig erfolgen. Daraus ergeben sichAnforderungen wie:• dezentrale Zugriffssteuerung• Authentifizierung, Autorisierung,Accounting,
• Verfügbarkeitsmanagement,• Einführung und Überwachung vonServicevereinbarungen (SLAs) übereine dezentrale Infrastruktur
Somit gehören zu DatenzentrenRouter, Cache-, Proxy- und Billing-Systeme, Load-Balancer, Bandbrei-tenmanager und Firewall-Lösungen.Die Abbildung 1 zeigt das grundle-gende Szenario einer solchenBetriebsumgebung.
Lastverteilung ?Vor etwa zwei Jahre fragte die Com-puter Reseller News an, wie hoch dieVerkaufszahlen für Load-Balancing-Systeme sind und wie sich der Marktbisher dazu entwickelt hat. Auch hierBegriffsverwirrung, ähnlich wie beiSwitching und Routing. Doch für de-diziertes Load Balancing - jenseitsvon reinen Marketingkreationen - gabund gibt es bereits eine Reihe vonSystemen, Technologien und Proto-kollen, die wirklich Loads verteilenund Redundanzen herstellen: CiscosFastEtherChannel, parallele Verbin-dungen zwischen OSPF-Routern,Multilink PPP, Multiprozessor-Syste-me mit ”richtigem” Betriebssystem,um nur einige Beispiele zu nennen.Außerdem gab es Installationen mitHunderten von Linux-Rechnern, diesich bestimmte Aufgaben teilten. Esist also eine Frage der (OSI-)Ebene,über die bei Lastverteilung gespro-chen werden soll. Wo und unter wel-chen Umständen wird sie benötigt?
Abb. 2: Sessionaufbau über ein Layer 4 Device
Die Anfrage von CRN mußte unbe-stimmt bleiben, da nicht klar war,worüber berichtet werden sollte. Essei denn, man will allein aufgrund desMarketings ihrer Hersteller verschie-dene Geräte als Load Balancer defi-nieren bzw. klassifizieren. Doch be-zugnehmend auf die obige Problem-stellung geht es um folgende techni-schen Lösungsbereiche:• Cache Redirection• Firewall Load Balancing• VPN Load Balancing• Service Load Balancing(local, global)
• SSL Handling• Bandwith Management
Und eines der wichtigen Schlagwortein diesem Zusammenhang ist:Content Switching.
InhalteDas Switching von Datenströmenaufgrund und nach Maßgabe ihrerInhalte hat viele Bezeichnungen. EinBegriff wie ”inhaltsintelligentes”Switchen klingt eher gekünstelt alsintelligent, scheint einiges zu verspre-chen und meint woanders: ContentSwitching, Layer 4 Switching, Web-Switching, Session Switching (Layer5 Switching) oder sogar Layer 7Switching. Der Phantasie ist keine
23
07
Ausgabe 07/2001
Grenze gesetzt, der Teufel steckt imDetail. Eine Entscheidung zur Wei-terleitung eines Datenpaketes zu ei-nem bestimmten Ziel anhand einerPort-Information ist schon etwas an-deres als das Forwarden aufgrund ei-ner URL oder der Anforderung einerSecurity-Funktion. Das nachfolgen-de Beispiel soll den Unterschied zwi-schen Layer 4 und Layer 7 Funktio-nen etwas deutlicher machen.
Layer 4Klassisch ist die Verbindungs-aufnahme für eine TCP-Session. Wiesieht dieser Vorgang über einNetzwerkgerät im Layer 4 aus? DieAbbildung 2 zeigt die Verbindungs-aufnahme durch einen Client (erstesTCP-Paket mit SYN-Flag). Die An-forderung erreicht den Switch. DerSwitch terminiert diese Anforderungund stellt seinerseits eine Verbin-dungsanforderung an den Server. Die-ser bestätigt die Verbindungsauf-nahme mit einem Antwortpaket(SYN, ACK). Der Switch seinerseitsprüft, ob die Antwort zur Verbin-dungsanforderung des Clients gehört.Wenn dem so ist, wird das Antwort-paket direkt zum Client weitergelei-tet. Während dieser Zeit wartet derServer auf eine Bestätigung vomClient, also eine halboffene Verbin-dung. Der Client bestätigt normaler-weise das Serverpaket, wenn es kei-ne SYN-Flood-Attacke ist. DerSwitch prüft wiederum die Zugehö-rigkeit zur Verbindung und leitet dasPaket weiter. Danach können in deraufgebauten TCP-Session die Datenfließen.
Layer 7Der Aufbau und die Verwaltung ei-ner Verbindung über ein Layer 7 Ge-rät ist wesentlich aufwendiger. ZurVeranschaulichung dienen die Abbil-dungen 3 und 4. Ein Client initiierteine Arbeitssitzung. Die kompletteSession wird auf dem L7-Device ter-
Content Services-Switch 11800
Für große Web-Sites und Web-Hosting-Strukturen
Der Cisco CSS 11800 Content Services-Switch ist eine hochleistungsfähige,einbaurahmengestützte Switching-Lösung für große Web-Sites mit hohemDatenverkehr und Web-Hosting-Infrastrukturen. Er optimiert in globalenNetzwerken komplexe E-Commerce-Transaktionen und die Content-Zu-stellung mit einer regelbasierten Flußweiterleitung bei Leitungs-geschwindigkeit zwischen Client und Web-Server. Die Content Policy-Engine der CSS Plattform 11800 verfügt über vier Hochgeschwindigkeits-RISC-Prozessoren, 512 MB Speicher und 20 Gbps Durchsatz und für einePriorisierung pro Fluß, die auf Tausenden von benutzerdefinierten Richtli-nien beruht. Verteilte Flußweiterleitungs-Engines besitzen bis zu 16Netzwerkprozessoren auf Portebene mit bis zu 128 MB Speicher für eineWeb-Inhaltszustellung.
DienstbereitstellungMithilfe des umfassenden URL- und Cookie-basierten Switching in der CiscoWeb NS-Software können Netzwerkmanager kunden- oder inhalts-spezifische Dienstbereitstellungsverträge entwerfen, bevorzugten Kundendie besten Dienste anbieten und Inhaltszustellungsdienste für Audio- undVideo-Streaming, Fernunterricht oder Audio- und Videosendungen überInternet einführen. Die Unterstützung für �sticky� Verbindungen, die auf IP-Adresse, Secure Socket Layer- (SSL)-Sitzungs-ID und Cookies basieren,gewährleistet Zuverlässigkeit und Sicherheit für E-Commerce-Transaktio-nen. Die Cisco-Technologie zur Inhaltsreplizierung ermöglicht eine dyna-mische Erweiterung der Standortkapazität als Reaktion auf eine plötzlichegroße Zunahme des Interesses an �heißem� Inhalt oder auf stoßzeit-bedingten Datenverkehr, der Server überschwemmen kann.
LastenausgleichDie Switches der CSS 11000-Serie gewährleisten hohe Sicherheitsstufenohne Beeinträchtigung der Standortleistung und bieten eine Pro-Fluß-Fil-terung der Inhaltsanforderungen, in einer beliebigen Kombination gefiltertnach Quelladresse, Zieladresse, Protokoll, Typ oder Inhalts-URL. Die in-telligente Flußüberprüfung verhindert allgemeine Denial-of-Service-Angriffewie Synchronisations-Floods, Ping-Floods und �Smurfs�. NAT mit Leitungs-geschwindigkeit schützt Server-IP-Adressen. Zur Backend-Systemsicher-heit leiten die Cisco-Switches den Datenverkehr über mehrere Router, SSL-Verschlüsselungs-Hardware und Sicherheitsserver mit Firewall-Lastenaus-gleich.
Zusätzliche Features� 64 Vollduplex-100BASE-TX-Ports,bis zu 48100BASE-TX-Ports mit 16 100BASE-FX-Ports,bis zu 32 Gigabit Ethernet-Schnittstellen odereine Kombination von Schnittstellen
Modulspezifikationen:� 8 RJ-45-100BASE-TX-Ports� 6 RJ-45-10/100BASE-TX-Ports und 2 SC-Duplex-100BASE FX-Ports� bis zu 4 Vollduplex-1000BASE-SX-Portsmit 8 MB Flow-Cache
� bis zu 4 Vollduplex-1000BASE-SX-Ports mit 16 MB
Ausgabe 07/2001
24
07
t h e m a d e s m o n a t s
miniert. Die Daten werden solangeauf dem Gerät gepuffert, bis eine klareEntscheidung bezüglich des Ziel-systems, des Load Balancings und derSicherheit getroffen werden kann.Danach baut das L7-Gerät die Verbin-dung zu den Zielsystemen, beispiels-weise eine Serverfarm, auf. Paketemit den SYN-, ACK-Flags werdenanfangs nicht übertragen. DieSessions sind zunächst unabhängigvoneinander. Erst nachdem auf bei-den Seiten erfolgreich Verbindungenetabliert wurden, verspleißt das Ge-rät die Verbindungen miteinander(vgl. Abb. 5). Es existiert somit überdie gesamte Laufzeit keine wirklichdurchgängige Verbindung zwischenClient und Service.
Content SwitchingDer Einfachheit halber wird im wei-teren jede Auswertung von Informa-tionen und die daraus resultierendeWegentscheidung über die Layer 3Adresse hinaus als Content-Switchingbezeichnet. Entscheidend ist, daß in-nerhalb der Devices eine vielschich-tige Intelligenz implementiert seinmuß, um solche Funktionalitäten ab-zubilden. Aus Leistungsgründen soll-ten die zentralen Funktionen Hard-ware-nah abgebildet sein. Die Erwar-tung ist klar: Jedes - und wirklich je-des - eingehende Paket, egal auf wel-chem Interface, muß nach frei defi-nierbaren Regeln qualifiziert und wei-tergeleitet oder auch verworfen wer-den, und zwar in Leitungsgeschwin-digkeit! Geräte mit einer CPU habenangesichts der steigenden Datenratenkeine Chance. Im Backbone desInternets sind mittlerweile Bandbrei-ten im Gigabit-Bereich verfügbar.Terabit-Verbindungen sind bereitsdenkbar und die modernen Glasfaser-kabel lassen mittels WavelenghtMultiplexing Bandbreiten im Petabit-Bereich zu. Doch Bandbreite kostet,ihre sinnvolle Nutzung ist daher einwirtschaftliches Erfordernis. Reintechnisch geht es darum, eine inhalts-
bezogene Optimierung des Datenver-kehrs zu den IT-Ressourcen wie Fire-walls, Server, Storage usw. zu ge-währleisten.
Virtuelle ServerDer Content Switch bildet zum An-wender hin einen virtuellen Server ab.Dahinter verbergen sich bedarfs-abhängig Einzelserver oder ServerCluster. Der Switch erhält den An-wenderrequest und leitet diesen aneinen der realen Server weiter. Dabeioptimiert der Switch die Reaktions-zeit, indem er die Last auf die Serverinnerhalb der Serverfarm verteilt, diesolche Anforderungen erfüllen kön-nen. Am sinnvollsten ist natürlich eineMessung der Reaktionszeit aus derSicht des Anwenders. Es macht rela-tiv wenig Sinn, die Anfragen nur hin-sichtlich ihres Loads auf die Serverzu verteilen. Mitunter sind auch An-forderungen dabei, die die Ressour-cen eines einzelnen Systems stark be-anspruchen. Ein Content Switch solltedamit umgehen können und nachfol-gende Anfragen nicht mehr auf die-sen Server adressieren, solange dieanderen Systeme performanter ant-worten, obwohl diese rein statistischim Augenblick wesentlich mehrRequests je Zeiteinheit verarbeiten.
LeistungsdatenDer Vorteil dieser Vorgehensweise be-steht darin, aus der ”Anwendersicht”die zentralen Möglichkeiten für dasVerfügbarkeitsmanagement zu nut-zen. Der Content Switch kann denÜbertragungsweg zu den Servernüberwachen. Eventuell lassen sich dieAngaben wie CPU-Last, E/A-Vorgän-ge u.ä. durch Host-basierende Agen-ten ergänzen (korrelieren). Bei lang-fristiger Datenerfassung sind somitaussagekräftige Tendenzen auszuma-chen, auf die langfristige Zuverlässig-keitsplanungen aufsetzen. Solche sta-tistischen Leistungsdaten könntensein:
• Hits je Sekunde• globale Anwendungsreaktionszeit(Delay zwischen Request undResponse)
• Server-bezogene Reaktionszeiten• URL- bzw. anwendungsbezogeneHit-Häufigkeiten
Eines muß jedoch klar sein, es machtkeinen Sinn, alles auf einmal zu pro-tokollieren oder den Switch als Sin-gle Point of Failure zu konzipieren.Die Switch-Lösung selbst darf dieVerfügbarkeit der Services auf keinenFall beeinträchtigen.Das Server Load Balancing erfolgt fürden Anwender völlig transparent. DieAdressen der realen Server sind demNutzer unbekannt. Die virtuelleAdresse wird auf dem Content Switchterminiert. Es findet also eine Net-work Address Translation (NAT) statt.Mögliche Angriffe auf die Servicesaus dem Web erfolgen zunächst ge-gen den Switch und nicht gegen dierealen Server. An dieser Stelle lassensich Abwehrmaßnahmen organisie-ren.
SessionverwaltungEine besondere Herausforderung füreinen Content Switch ist es, Datensitzungsbezogen zu verwalten. Insbe-sondere bei verteilten Anwendungenist der ordnungsgemäße Aufbau einerArbeitssitzung, deren Verlauf und de-ren korrekte Terminierung zu prüfen.Wohlgemerkt, es geht um ein paarInformationen mehr als um die bloßeVerwaltung einer TCP-Session. Dasganze sollte sehr anwendungsnahsein. Je nach Anwendung können einund mehrere TCP-Verbindungen er-öffnet werden oder auch wechseln. In-nerhalb einer Session werden auchunterschiedliche Statements in einemganz konkreten Kontext genutzt, umDaten anzufordern, zu übergebenoder zu manipulieren.Im Interesse von Load Balancing undFehlertoleranz ist eine intelligenteVerwaltung der Informationen erfor-derlich. Eine Session wird durch den
25
07
Ausgabe 07/2001
Switch hergestellt und anschließendfür jede zu verteilende Anwendungder jeweilige Inhalt abgerufen undstateful verifiziert. “Stateful” bedeu-tet, daß jederzeit der Status einerKommunikation bekannt ist. Dazuwerden innerhalb des Speichers(RAM) des Netzwerkgerätes Tabel-len für jede Kommunikation aufge-baut, in der der Flow einer Sessionprotokolliert wird. Dazu gehörenZiel- und Quelladresse, Portadresse,TCP-Se-quence-Nummer, TCP-Flags, anwendungsspezifische Infor-mationen. An den Initiator einer Ses-sion geht dann das Ergebnis zurück.Eine Arbeitssitzung muß für ein in-telligentes Con-tent-Management desSwit-ches als Gesamtinteraktion zwi-schen einem Anwender und dem Ser-vice definiert sein. Erst in diesemRahmen kann der Switch die erfor-derlichen Anwen-dungstransaktionenüberwachen und abschließen bzw. imFehlerfall ohne Ausfall der Sessionvon einem anderen Gerät überneh-men. Welche Sessions sind denkbar?
UDP-SessionsEin UDP-Datagramm ist verbin-dungslos. UDP-Sessions gibt es nor-malerweise nicht. Größere Daten-ströme werden durch IP fragmentiert.Nur Absender und Empfänger kön-nen ”eigentlich” etwas mit diesen Pa-keten anfangen. Gehen Daten verlo-ren, ist die Anwendung verantwort-lich, die fehlende Information neu an-zufordern. Die Intelligenz des Swit-ches sollte nun diese verbindungs-losen, aber zusammengehörigenPäckchen korrekt behandeln und da-für sorgen, daß die Datagramme im-mer den richtigen Server erreichen.Noch besser ist, der Switch würde dieDaten praktisch ”im vorauseilendenGehorsam” an ein Cachesystem wei-terleiten. Das Serversystem hat dannu.U. mit dieser Arbeitssitzung schonnichts mehr zu tun und kümmert sichbereits um andere Anfragen, währendder Content Switch den Client mit den
Abb. 3 und 4: Session-Aufbau über Layer 7 Device
Abb. 5: Zusammenführen der beiden Verbindungen (Spleißen)
Ausgabe 07/2001
26
07
t h e m a d e s m o n a t s
Cachedaten versorgt. Das betrifftauch die nachfolgend beschriebenenSessions.
TCP-SessionsDiese Sitzungen haben einen korrek-ten Beginn. Möglicherweise abgebro-chene Verbindungen können zurück-gesetzt und neu initiiert werden. Vie-le Web-basierende Anwendungenbenutzen einen Standard-Port zurAushandlung der Session-Informatio-nen, z.B. dynamische Ports. Um einesolche Anwendung erfolgreich zuunterstützen, muß der Content Switchden Datenstrom analysieren, um dienachfolgenden zugehörigen Verbin-dungen zu ermitteln.
Persistente SessionsEine persistente Session ist eine Ver-bindung, die zwar etabliert ist, jedochkeine Daten aktiv austauscht. Prak-tisch entstehen dadurch mehrere TCP-Sessions zu einem Ziel, die hinterein-ander und gleichzeitig geöffnet wer-den können. Sie gehören zur gleichenArbeitssitzung des Anwenders, z.B.der HTTP-Aufruf einer Formular-seite. Die Abbildung 6 zeigt, daß fürden Aufruf einer Webseite - virtuelleIP-Adresse 47.249.32.64 mit TCP-Port 80 - fünf gleichzeitige TCP-Sessions aufgebaut und verwaltetwerden. Im gleichen Bild ist auch zusehen, daß z.B. Telnet (TCP-Port 23)sehr gut mit einer Session zurechtkommt. An dem Beispiel wird dieAnforderung an einen Content Switchdeutlich. Er muß persistente Sessionserkennen und die entsprechendeServerzuordnung vornehmen.
SSL-SessionsSessions mit dem Secure SocketLayer stellen eine besondere Heraus-forderung dar. Mit ihnen werdenTransaktionen für e-Commerce-An-wendungen verschlüsselt. Da ein di-rekter Zugang zu den Daten im
Abb. 6: Fünf gleichzeitige HTTP-Verbindungen zur virtuellen IP-Adresse 47.249.32.64
Datenstrom nicht mehr möglich ist,muß die Zuordnung der Verbindun-gen im Sinne der Lastverteilung an-hand der Session-ID erfolgen. DerRechenaufwand ist für den ContentSwitch entsprechend hoch, um diegesamte Aushandlung der SSL-Ver-bindung zu verfolgen.
Kombinierte SessionsDer Anwender kann zur Durchfüh-rung seiner Aktionen verschiedeneVerbindungen gleichzeitig benutzen.Zum Beispiel wird der Kauf vonWertpapieren über das Internet mit-tels SSL-Verbindungen vollzogen.Die Auswahl des Wertpapiers, dieErmittlung der korrekten WKN unddie Einsicht in die Ausgabe- undHandelsdaten des Wertpapiers kannüber persistente Sessions parallel er-folgen. Alles erfolgt für einen Anwen-der transparent. Ein zwischen-geschalteter Content Switch muß dieabhängigen Sessions zuordnen kön-nen.
LösungenContent Switching basiert prinzipiellauf dem Potential, Session-Inhalte mithöchster Geschwindigkeit zu analy-sieren. Oft taucht in diesem Zusam-menhang der Begriff “Web-intelligent
policy redirection” auf. Daraus erge-ben sich einige interessante Lösungs-möglichkeiten.
URL-orientiertEin Content Switch könnte denDatenstrom dahingehend auswerten,daß eine URL-basierende Steuerungdes Datenverkehrs möglich ist. ZumAnwender hin ist nur eine offizielleIP-Adresse erforderlich. Aus demContent heraus ist der Switch in derLage, bestimmte Inhalte auf verschie-dene Server zu leiten, die für die je-weiligen Aufgaben optimiert sind:GIF-Server, ASP-Server, CGI-Server,Stream-Server usw. Diese Variante istinsbesondere dann sinnvoll, wenn esgelingt, zwischen statischen und dy-namischen Web-Inhalten zu differen-zieren. Die statischen Informationenkommen von der schnellen Cache-Farm. Die dynamischen Inhalte wer-den an dedizierte Zielsysteme gelei-tet. Eine solche Vorgehensweise er-leichtert die Skalierbarkeit der Syste-me dahingehend, daß Serversystemeje nach Leistungsanforderungen lei-stungsmäßig ”entzerrt” werden kön-nen, ohne die HTML- und anderenScripts wesentlich zu ändern. DieWeb-Site wächst technisch mit, eineÄnderung des Web-Designs aus die-sen Wachstumsgründen ist kaum not-
27
07
Ausgabe 07/2001
wendig. Das soll jedoch kein Freibrieffür mangelnde Optimierungen desgesamten Web-Auftritts sein.
Cookies befragenDer Content Switch könnte die Ar-beitssitzungen auch hinsichtlich vonCookies untersuchen. Das ist sehrrechenintensiv. Diese Daten wärendann Grundlage für weitere Weiter-leitungs- und Ausführungsentschei-dungen. So könnten angemeldeteBenutzer unter einer gleichen URLzusätzliche Informationen und einenwesentlich performanteren Zugriffbekommen. Anhand der Cookies wer-den die Anfragen an ein anderes, lei-stungsfähigeres Cluster-System gelei-tet. Man kann sich so ein Content-Switch-System (weil sehr wahr-scheinlich aus mehreren Geräten be-stehend) als eine Art Hochleistungs-Generic-Proxy vorstellen.
Vereinfachte StrukturTendenziell besteht auch die Chance,die Hardware-technischen Lösungenetwas zu entfrachten. Der Zugang zueinem Web-Center erfolgt unter Um-ständen über redundante L2- und L3-Geräte. Zu den Verteil- und Fehler-korrekturmechanismen im Layer 2kommen dabei noch einmal geeigne-te Layer 3 Funktionen, die sich jedochinsgesamt nicht gegenseitig behin-dern dürfen. Eventuell sollen zusätz-lich QoS-Mechanismen wie 801.2poder IP TOS greifen. Bei Bedarf wer-den außerdem entsprechende Redun-danzen durch Standortverteilungenbenötigt, hier ist Redundanz wahr-scheinlich wörtlich als ”Überfluß” zuverstehen. Zur Vereinfachung der In-frastruktur müssen Content SwitchesEntscheidungen bis Layer 7 inLeitungsgeschwindigkeit treffen, eineentsprechende Anzahl von Ports ha-ben und auch (Teil-) Vermaschungenzulassen. Erst unter diesen Bedingun-gen werden sie die anderen vorge-schalteten Geräte ersetzen.
X-Pedition ER-16, 2000 und 8000
Zukunftstechnologien für Unternehmen und Service Provider
Durch das professionelle Switching des Layer 4-Anwendungsflusses wirddie Funktionalität der X-Pedition-Familie von Enterasys Networks weitüber die Grenzen traditioneller Router ausgedehnt, durch eine genaueKontrolle des Netzwerkverkehrs mit höchster Sicherheit, Abrechnung aufAnschlußbasis und umfassendem Dienstniveau auf der Anwendungsebe-ne, ohne Leistungseinbußen. Um Non Blocking Routing und Load Sharingmit Wire Speed bis Gigabit Ethernet - und in Zukunft sogar 10 Gigabit -umzusetzen, werden alle Funktion in Hardware realisiert. Sie sind in dieFirmware aller X-Pedition Produkte integriert, auf den LAN- wie auf denWAN-Schnittstellen. Die mit den Enterasys Networks aufgebaute Infra-struktur kann redundant ausgelegt werden. Dazu stehen u.a. die stan-dardisierten Verfahren BGP4, OSPF und VRRP zur Verfügung. LoadSharing Network Address Translation (LSNAT) bildet bei der X-PeditionFamilie von Enterasys Networks die Basis für Content Switching undServer Load Balancing.
Load Sharing Network Address TranslationLSNAT nach RFC2391 ist die Technologie, um die Leistungsfähigkeit,Verfügbarkeit, Wartungsfreundlichkeit und Sicherheit in Netzwerken mas-siv zu steigern. Sie ermöglicht es, IP-Adressen und Portnummern in Vir-tuelle IP-Adressen und Portnummern (VIP) zu übersetzen, die wiederumauf einem oder mehreren Servern gemappt werden. Wird die VIP durcheinen X-Pedition Content Switch als Zieladresse erkannt, so wird sie un-ter Verwendung eines einstellbaren Algorithmus wie Round Robin,Weighted Round Robin oder Least Loaded in eine reale IP-Adresse über-setzt. Die flexible Steuerung und angepaßte Filterung der Verkehrsströ-me erfolgt durch eine einfache Definition von Regeln bzw. Verkehrs-beziehungen für hochkomplexe Funktionalitäten, sei es durch Einstellenmehrerer VIPs, die Zuordnung von VIPs und Port-Nummern zu Server-gruppen, die sich auch überlappen können, oder das Abweisen von nichterlaubten IPs oder Portnummern.
Load Sharing und WEB Cache RedirectionDas von Enterasys Networks eingesetzte Verfahren erlaubt Load Sharingfür beliebige Protokolle (http, https, dns, ftp, etc.), sowie das für ISPs undUnternehmen immer wichtiger werdende WEB Cache Redirection undApplication Content Verification. Ankommende Paketewerden zuerst transparent an einen Proxy-/DNS-Serverweitergeleitet, der überprüft, ob ein Zugriff überhaupt er-laubt ist. Das bereits integriertes Accounting(Netflow v5), das mit Standard Billing Sy-stemen wie CflowD von Caida problem-los zusammenarbeitet, zeigt die in dieZukunft gerichtete Sichtweise vonEnterasys Networks.
Informationen und technische Details un-ter: www.enterasys.com/de/availability
Ausgabe 07/2001
28
07
t h e m a d e s m o n a t s
Load BalancingContent Switches sind potentiell inder Lage, Load Balancing für Syste-me im Netzwerk wie Firewalls,Router, Server oder VPN-Konzen-tratoren zu übernehmen. So ist esdenkbar, daß ein vorgeschaltetesContent Switch System den Datenver-kehr über mehrere aktive Firewall-Systeme verteilt. Das Ganze ist tat-sächlich transparent und aus der Sichtdes Anwenders optimiert. DerContent Switch verteilt die Requestshinsichtlich der realen Antwortzeitender nachgeschalteten Systeme.Router bzw. Firewall-Rechner wer-den oft in der Praxis im Fail-over-Modus (oder auch Hot-Standby) be-trieben, um möglichen Ausfällen ei-nes Gerätes dadurch zu entgehen, daßein zweites die Funktion übernimmt.Warum soll das zweite System erst imFehlerfall eingreifen? Mit ContentSwitching lassen sich redundant vor-handene Geräte auch gleichzeitig nut-zen. Der Vorteil der Ausfallsicherheitläßt sich nun durch die parallele Nut-zung und Lastverteilung ergänzen. Obdas wirtschaftlicher und nicht nur einrein technischer Vorteil ist, hängt vomkonkreten Anwendungsfall ab. Aufalle Fälle läßt sich eine bestehendeFail-over-Lösung mittels ContentSwitches erweitern und somit ein zu-künftiger Migrationspfad für die be-darfsgerechte Entwicklung der Infra-struktur öffnen. (Wir werden weiterhinten an einem Beispiel des LoadBalancing für ein Firewall-Systemkonzeptionell auf die Erweiterung ei-ner Firewall-Lösung eingehen) .
BandbreitenkontrolleWenn schon der Datenstrom bis zurSchicht 7 analysiert wird, dann las-sen sich auch Kriterien finden, umNutzungsrichtlinien zu definieren.Aufgrund der Fülle der Informatio-nen sind diese Regeln sicher differen-zierter aufzusetzen. So könnte derDatenstrom bis hin zur Bandbreiten-
Abb. 8: Lösungsvorschlag für Firewall Load Balancing mit Content Switches
Abb. 7: Positionierung eines Firewall Rechners
kontrolle für bestimmte Anwendun-gen reguliert werden. Für jede Web-Site in einer Web-Farm sind soPolicies möglich, die die einzelnenAnwendungen eventuell unterschied-lich behandeln. Bei Lastverhaltenwerden über Schwellwerte weitereRegeln aktiviert, um gegebenenfallsdie Leistung für alle Nutzer allmäh-lich zu senken und Paketverluste zuvermeiden.
AngriffsabwehrContent Switching bietet aber aucheinige interessante Möglichkeiten, an
die man nicht sogleich denkt, bei-spielsweise zur Abwehr von Denial-of-Service-Attacken. Dabei wird ver-sucht, Datenoperationen durch Über-lastung oder Unterbrechung derServerzugänge zu unterbinden. DerContent Switch hat schon aufgrundseiner Kapazitätsreserven die Mög-lichkeit, Überlastungen hinauszuzö-gern. Ein Angreifer muß also schonwesentlich mehr Aufwand treiben.Ein intelligentes Regelwerk könntedurch SchwellwertbegrenzungenTCP-SYN-Angriffe oder auch mas-senhafte SSL-Anforderungen unter-binden. Beispielsweise könnte man
29
07
Ausgabe 07/2001
die Dauer von embryonischen (halb-offenen) Sessions stark reduzieren,statt den TCP-Defaultwert zu benut-zen.Am schwierigsten sind Angriffe ab-zuwehren, die die Ressourcen über-lasten, etwa durch massenhafte legi-time Anforderungen an den Servicezu einem bestimmten Zeitpunkt.Durch Globales Server LoadBalancing lassen sich die Ressourcenauf verschiedene physikalische Sitesverteilen und nutzen. Es wird einMuskelspiel zwischen Angreifer undAbwehr.Empfehlenswert sind auch solcheFestlegungen, daß nur ganz bestimm-te, wirklich notwendige Dienste überden Switch erreichbar sind. Unnöti-ge Dienste auf den Serversystemensollten sowieso deaktiviert sein. Da-mit bleibt das Gesamtsystem über-schaubar. Im Falle, daß ein Serverdoch einmal kompromittiert ist, müs-sen Policies greifen, die den Daten-transfer und die Zugriffe der Syste-me untereinander weitestgehend un-terbinden bzw. auf das notwendigeMaß beschränken. Somit sindStellvertreterangriffe eingeschränkt.Das Thema läßt sich sicherlich wei-ter vertiefen. Doch sollten wir fest-halten, daß der Content Switch, ob-schon er keine Firewall-Lösung erset-zen kann, dennoch die Gesamtheitvon organisatorischen und techni-schen Maßnahmen zum Schutz derprivaten Infrastruktur und Serviceswirksam ergänzt.
Balance-AktFirewall
Sehen wir uns ein Beispiel für LoadBalancing in einem Firewall-Sy-stem einmal genauer an.Firewall Rechner werden imDatenpfad installiert. Der gesam-te Datenstrom zwischen Public undPrivate Network muß durch das Sy-stem hindurch. Der Ausfall eines Ge-
Die Filter auf dem ”öffentlichen”Switch für die Lastverteilung für denZugang auf die geschützten Serverüber die Firewall Rechner hinwegnutzen Adressen, die auf dem ”priva-ten” Switch terminiert sind. Das sinddie IP-Adressen der Ports des ”priva-ten” Switches, die über und mit denFirewalls verbunden sind. Umgekehrtgilt gleiches. Für den ”privaten”Switch sind alle Sessions nach externauf den Ports des ”öffentlichen”Switches und den zugehörigen IP-Adressen terminiert, die zu denFirewall-Rechnern zeigen.
RegelwerkSoweit die gerätetechnische Seite derPlanung. Der schwierigere Teil stecktin der Intelligenz des Regelwerks undim zugehörigen Adreßplan. Daß fürjeden Port auf dem einen ContentSwitch, der an eine Firewall ange-schlossen ist, eine statische Routezum zugehörigen Port des gegenüber-
rätes läßt sich mit einer Hot-Standby-bzw. Fail-Over-Lösung sogar statefulabfangen. Die Abbildung 7 zeigt denprinzipiellen Aufbau dieser Konstel-lation. Im Redesign des Beispiels inAbbildung 8 wurde ein ContentSwitch im öffentlichen Netzwerk vor-gesehen. Neben der Möglichkeit,Datenströme ab Layer 4 zu verarbei-ten, ist das Gerät sehr wohl in derLage, den Status einer Session zuüberwachen und aufrecht zu erhalten.Um Ausfälle zu vermeiden, sind ent-weder Geräte-Redundanzen oder ent-sprechende Maßnahmen im Switchzu planen. Die konkrete Variante istherstellerabhängig.
VorkehrungenDie Policies für den eingehenden IP-Datenstrom sind auf dem Switch aufder öffentlichen Seite konfiguriert. Erstellt zum öffentlichen Netzwerk hindie virtuellen Adressen zur Verfü-gung. Der Switch selbst ist von au-ßen nicht zugänglich. Im privatenNetzwerk ist ebenfalls ein SwitchSystem geplant. Es stellt das LoadBalancing zum und vom internenNetzwerk sicher. Zusätzlich kann die-ser Switch, sofern die Kapazitätenausreichend sind, das Load Balancingbzw. das Ausfallszenariofür die Serverfarm abbil-den.
Ausgabe 07/2001
30
07
t h e m a d e s m o n a t s
liegenden Content Switch geplantund später eingetragen werden muß,ist gewiß verständlich.Folgende Parameter beeinflussen dasRegelwerk:• interne private Adressen• externe öffentliche Adressen• bereitgestellte Dienste• Kommunikationsabläufe derDienste
• tatsächliches Lastverhalten derFirewall-Systeme (Durchsatz,Delay, Anzahl der Sessions etc.)
• konfigurierte Regeln auf denFirewall-Systemen
• mögliche Funktionen, die sich aufdie Content Switches auslagern las-sen
• zusätzliche NAT-Funktionen derFirewall-Systeme
• IP-VPN-TerminierungWeiterhin müssen Überwachungs-funktionen und Meßwerte gefundenwerden, um das System zu monitoren.Erfahrungsgemäß ist das Bestandteileines Betriebskonzeptes. Währenddes Betriebes ändern sich wahr-scheinlich die Verhältnisse im Netz-werk, dann müssen Werte angepaßtund Tendenzen erkannt werden. Einevorgesehene Testphase kann besten-falls die technische Funktion bestäti-gen, doch erst im täglichen Betriebwird sich das gesamte Konzept be-weisen müssen.
Grenzen überwindenMit dem Hinweis auf Leistungsgren-zen ist durchaus keine negative Be-schreibung von Verhältnissen verbun-den, sondern gerade die Herausfor-derung, systemimmanente Grenzenweiter hinauszuschieben oder zu be-seitigen. Die Leistungsgrenzen einerLösung im Content Switching habenverschiedene Ursachen.Vier wesentliche Faktoren sind:• das Design der Gesamtlösung• das technisches Design eines Her-stellers und die Auswahl geeigneterGeräte
• die Implementierung der Lösung,ihre Konfiguration und Überprüfungder Technik
• der Betrieb der Umgebung, Ausbildung des Personal und das Betriebs-konzept
GesamtlösungIm Design der Gesamtlösung sind vorallem die Anforderungen des Betrei-bers entscheidend. Dabei geht es imersten Schritt nicht um die Prüfungder technischen Machbarkeit, die istzunächst sekundär. Ausgehend vonden Gegebenheiten sollten zunächstalle Ideen ausformuliert werden, diedie geschäftlichen Anstrengungen desUnternehmens am besten unterstüt-zen. Erst danach kommen technischeLösungsansätze und Budget-Anfor-derungen ins Spiel. Daher ist es einganz wichtiger Design-Grundsatz, dieModularität und die Skalierbarkeit derLösung zu gewährleisten. Somit kanndas ganze System technisch und auchkostenseitig kontrolliert wachsen.Wichtige Fragestellungen für die Be-stimmung Ihrer konkreten Zielstel-lungen einer geplanten Lösung könn-ten sein: Wozu dient der Auftritt bzw.der Zugang im Internet oder imIntranet, und welche Dienste werdenmit welcher Qualität angeboten? Wosoll der Service angeboten werden(regionale Nähe zu Kunden) ? Wel-ches Volumen wird erwartet, welcheBandbreite und welche Requests proSekunde? Und welche Delays sindnoch akzeptabel?Sie sollten sich im klaren sein, wel-che Systeme kritisch für das Service-angebot sind, und was das gegenwär-tige Konzept zur Minimierung vonAusfällen leistet.Sind verschlüsselte Zugriffe erforder-lich? In welchem Umfang müssendazu die Qualitätsparameter über-wacht werden?Ist die Verbesserung der Gesamtlei-stung vordergründig oder sollenBandbreitenkosten reduziert bzw.optimiert werden?
TechnikDas technische Design der Geräte istvon Produkt zu Produkt unterschied-lich. Das beginnt bei der Hardwareund reicht bis zu ihren implementier-ten Funktionen. Es ist denkbar, daßeine sinnvolle und verfügbare Funk-tion nicht mehr praxisrelevant ist, weilihre Nutzung zum Beispiel ausPerfomance-Gründen für die Gesamt-lösung eine Gefährdung darstellt,etwa die Nutzung exzessiver Proto-kollfunktionen.
Nachfolgende Funktionen könntenrelevant sein:• originäres Content Switching fürCache-, Server- Router- undFirewall-Loadbalancing, für Web-intelligent Policy Redirection, fürMonitoring des Datenstromes• Routing des Anwenders auf diekorrekte Site nach folgenden Krite-rien: beste Verfügbarkeit, beste Per-formance, beste Zuverlässigkeit, re-gionale Nähe zum Benutzer, Aus-wertung der URL und der Cookies• Unterscheidung nach dem Inhalt:statische Inhalte, Streaming Media(Voice, Video), Content Refresh, dy-namische Daten (z.B. aus Datenban-ken)• Plattform für personalisierten Zu-gang durch den Anwender: Home-pages der Anwender, Portalsteue-rung, Content Filtering und Custo-mizing• Steuerung der Netzwerke durchPriorisierung der Datenströme oderauch über alternative Wege/Netze• Content Distribution System bzw.Network (CDS/CDN): Verteilungdes Content mit Accounting-, Moni-toring-, Troubleshooting-Funktio-nen und Service Provisioning
Welche der genannten Funktionen,in welcher Ausprägung verfügbarist, hängt sehr stark vom Herstellerund der Positionierung seiner Gerä-te ab.
31
07
Ausgabe 07/2001
ImplementierungDie Implementierung einer Lösung istnicht nur eine Frage des Know-hows,sondern verlangt zudem sehr viel kon-krete Produkt- und Protokoll-kenntnisse. In der Praxis ist es wün-schenswert, wenn dieses Wissenschon in der Designphase im An-schluß einer begründeten Idee nutz-bar gemacht würde. Entscheidend istdie Projektierung der Implementie-rung. Der grundlegende Ablauf einesProjektes soll hier nicht diskutiertwerden, da sich dieser von anderenProjektabläufen prinzipiell nicht un-terscheidet. Bedeutend ist eine zuver-lässige Beratung.Tests zur Auswahl der Produkte(”Teststellungen”) und Pilotphasenwerden oft überbewertet. Zwar ist das“Anfassen” der Produkte sicherlichwichtig, es geht ja letztlich auch dar-um, die Technologie wirklich zu ”be-greifen”, doch muß eines klar sein:Tests werden unter keinen Umstän-den den konkreten Betrieb oder rea-les Lastverhalten abbilden. Sie wer-den mit einer hohen Wahrscheinlich-keit typische Fälle berücksichtigen.Die Höhe der Wahrscheinlichkeit istin der Konzeptionsphase begründet.Darin eingeschlossen ist auch die Ri-sikoanalyse.
BetriebAngesichts der vielfältigen Funktio-nen und der zentralen Stelle einerUnternehmenslösung im e-Com-merce, ist ein Betriebskonzept erfor-derlich. Es berücksichtigt beispiels-weise das Monitoring, Incident-,Change-, Problemmanagement unddie eigentlichen Regelgrößen.Das ist relativ komplex, obwohl einKonzept nur die scheinbar einfacheFrage beantworten soll: Was passiert,wenn ...? Dabei ist eine entsprechen-de Qualifizierung des Personals vonzentraler Bedeutung. Erfahrungsge-mäß wird diese im Projektbudget ver-nachlässigt oder zu gering dimensio-
niert. Auch hier steht eine einzige undscheinbar einfache Frage im Hinter-grund: Wer paßt das Regelwerk densich verändernden Bedingungen an?
t-onlineFazit
E-Commerce stellt an die technischeInfrastruktur und deren Betrieb einganze Reihe neuer Anforderungen.Wenn Wissensmanagement immermehr eine zentrale Position in derFührung von Unternehmen einnimmt,die Kommunikation mit den Partnernund die Kenntnis über den Mitbewerbeine so hohe Bedeutung für die Ak-tionen im Markt bekommen, so ist derschnelle, sichere und zuverlässigeZugriff auf die Informationen einewichtige Basis für den Erfolg.Content Switching als hochperfor-mantes und intelligentes Verarbeitenvon Datenströmen ist eine Technolo-gie, die diesen Weg zum Erfolg un-terstützen kann. Content Switchingbietet gute Möglichkeiten, Netzwer-ke aufzurüsten, um sie performanter,verfügbarer, zuverlässiger und ska-lierbarer zu machen.Für Service Provider und Firmen mitmehreren Sites ist vor allem das Glo-bale Load Balancing von Server-systemen eine interessante Lösung,insbesondere dann, wenn manDifferenzierungsmerkmale zum Mit-bewerb sucht.
Ausgabe 07/2001
32
07
H O
T L
I N E
hH O T L I N E
PatchesPatches
Empfohlene Microsoft-Patches
Stand: 12. Juni 2001
Technik-News Patch-CD Juli 2001Empfohlene Novell-Patches
NetWareNW v5.1 NLSLSP6.exe DS7E.exf ODSB.exe IPGSN10A.exe Tools/Docs4PENT.exe NW51INST.exe DS8F.exe OS5PT2A.exe IPX660.exe ADMN519F.exeAFNWCGI1.exe NW51SP2A.exe DSBROWSE.exe PREDS8A.exe LANDRV.exe CFGRD6B.exeB1CSPJVM.exe NW51UPD1.exe FP3023A.exe PREEDIRD.exe LDAP103A.exe CONFG9.exeCOMX218.exe NW5NWIP.exe FP3023S.exe SCMDFLT.exe LONGNAM.exe COPYNLM3.exeDLTTAPE.exe NWFTPD1.exe I20DRV5.exe TIMESYNC.exe MIXMOD6.exf CRON5.exeDS7E.exf NWOVLY1.exe IDEATA5A.exe VRPNW5A.exe NAT10.exe DSDIAG1.exeDS8F.exe NWOVLY2.exe MBCMNUP1.exe NW v4.2 NDPS10P2.exe ETBOX7.exeDSBROWSE.exe NWPA5.exe NAT10.exe DS411T.exe NLSLSP6.exe HIGHUTIL1.exeFP3023A.exe OS5PT2A.exe NDP2XP6.exe GROUPFIX.exe NW4SP9.exe LOADDLL1.exeFP3023S.exe PKISNMAS.exe NDPS20P1.exe IPG4201.exe NWPAUP1A.exe NCCUTIL5.exeIDEATA5A.exe PREDS8A.exe NDPSFT1A.exe IPGSN10A.exe NWTAPE1.exe NLSDLL.exeINSTP5X.exe PREEDIRD.exe NJCL5A.exe LONGNAM.exe ODI33G.exe ONSITB8.exeMBCMNUP1.exe SBCON1.exe NLSLSP6.exe NLSLSP6.exe ODIWAN1.exe SCHCMP2.exeN51_NIS1.exe SCMDFLT.exe NSSNW5A.exe NW4SP9.exe OS4PT1.exe STUFKEY5.exeNAT10.exe NW v5.0 NW5MCALC.exe OS4PT1.exe RAD102.exe TABND2.exeNDP2XP6.exe AFNWCGI1.exe NW5NWIP.exe TSANDS.exe RADATR.exe TBACK3.exeNDPSFT1A.exe C112BRJ.exe NW5PSERV.exe NW v4.11 SCMDA.exe TBOX7.exeNESN51B.exe C112CRJ.exe NW5SP6A.exe ATMDRV04.exf SPXS03A.exe TCOPY2.exeNIPT1.exe CERTSRV.exe NW5TCP.exe DS411Texe STRTL8.exe TRPMON.exeNJCL5A.exe COMX218.exe NWPA5.exe HSTDEV.exe TSANDS.exe UPGRDWZD.exeDLTTAPE.exe NWSSO.exe I2ODRV4.exe VRP411a.exe ZFSDBPB.exe
NetWare Utilities Server Protocol Updates5.X/4.x Utils NW Mac 3.12 NW Mac 4.10 DHCP SER. 2.0 NLSP-NW 3.12 NFS 2.341DSVU2.exe ATK307.exe MACPT3C.exe CSATPXY2.exe IPX660.exe NFS205.exeC1_FULL.exe ATOK31.exf NWMAC.exe DHCP21R.exe NLSP-NW 4.10 UXP205.exeNLSTY2K.exe MPR 3.1 NW/IP2.2 IPX660.exe TCP/IPNTPRINT.exe MPR31B.exf NIP199.exe TCPN06.exe
Client Kits ZENworks ClientsDOS/WIN32 Mac IPX ZEN for Networks ZENworks v2.0 ZEN v2.0 for Server WIN NT eng.ADM32.exe CLT511.bin ZFN101.exe FZD2NAL.exe ZFS2SP1.exe WNT478E.exeDW271DE.exe MCLUBD3.bin ZEN for Desktops v3.0 FZD2NAL1.exe NT47PT3.exeTCP32K.exe MZFD3SP1.exe FZD2ZAPP.exe WIN 95/98 eng.
FZD3SCAN2.exe ZFD2PT3B.exe W9X33E.exeZFD3SITE.exe ZFD2SP1.exe WIN NT dt. WIN95/98 dt.ZFD3SP1.exe ZFD2TSFX.exe WNT48G.exe W9533G.exeZISCLR.exe ZSPDEU.exe
Miscellaneous UpdatesManageWise v2.5/2.6 NW SAA 3.0 GroupWise 5.5 Bordermanager 3.5 BMSAMP1.exe NDS for NT v2.01MW26SP3.exe LANCHK.exe CCMLN2.exe ADMATTRS.exe BMTCPE4.exe DUPRID.exeMW26TRD1.exe SAA30020.exe EXCHNT2.exe BM35ADM4.exe BMVPN3Y.exe NDS4NTP1.exeMWINOC1K.exe NW SAA 4.0 G554MLT.exe BM35C11.exe PXYAUTH.exe NDS4NTU2.exeMWINOC2Kexe NW4SAA.exe G55ESP2M.exe BM35EP1.exe RADATR3A.exe eDirecrotry 8.xMWNMAUPD.exe SAA40020.exe GW55SP4.exe BM35EP1A.exe VPN35E.exe C1UNX85A.exeMWNXP26.exe SAA4PT1.exe GWE2MLFX.exe BM35SP2.exe WEBLSP1.exe DSMENU1.zManageWise v2.7 MSMPCU.exe BM3CP3.exe Cluster Services MWUNXPFIX.exeMW27SP1.exe R553AMLT.exe BM3SS02.exe CVSBIND.exe NDSUNIX2.exeMWNMAUPD.exe WINNTWMS.exe BM3XC01.exe NWCSSP1.exe
WINNTWMS.exe BMAS3X01.exe NWCSUPD1.exe
Deutsche UpdatesWindows 95 Windows 98 Windows NT 4.0 Windows 2000 Exchange 5.0 Exchange 5.5D35907.exe O98SECU.exe ID4SETUP.exe ENPACK_WIN2000ADMIN_GER.exe SP1_500I.exe SP4_550G.exeID4SETUP.exe Y2KW982G.exe SP6I386G.exe OUT2KSEC.exe SP1S500I.exeMSDUNBD.exe W2KSP2.exfW95SP1_G.zipW95Y2KD.exe
Englische UpdatesWindows 95 Windows 98 Windows NT 4.0 Windows 2000 Exchange 5.0 Exchange 5.5IE4SETUP.exe Y2KW98_2.exe IE4USP.exe ENPACK_WIN2000ADMIN_EN.exe SP2_500I.exe SP4_550E.exeIE4USP.exe IE 5.01 IESETUP.exe W2KSP2.exe SP2S500I.exe Exchange 2000MSDUN13D.exe IE5SETUP.exe MPRI386.exe Q278523ENGI.exeW95PLUSD.exe Q268465.exe PPTPFIXI.exeW95SP1.exe RRASFIXI.exeW95Y2K.exe SP6I386.exf
33
07
Ausgabe 07/2001
Empfohlene Tobit Updates und Patches
Empfohlene BinTec Updates und Patches
Bintec Router SoftwareBingo! Brick XS/Office Brick XM Brick XL/XL2
BGO521.bg BRK512.xs BRK511.xm BRK521.xl
BRK521xs2 BRK521.xm2 Vicas!
Bingo! Plus/Professional BRK511P7.XS2 Brick X.21 VIC494.vc
BGO494.bgp Brick XMP BRK495.x21 Netracer
BRK521.XP NR494P1.zip
BrickWare u. Configuration Wizard XCentric X4000 X1000/1200
BW521.exe XC521.xcm B5106P10.x4a B5301.x1x
NLMDISK.zip MODULE14.xcm
Tobit Produkte für NovellTimeLAN Novell DAVID 6.0 IHS_NT.exe DAVID 6.5 David 6.6
TIMELAN.exe D6SP1NM.exe KEDV326.exe D65SP1NW.exe DVGRAB.nlm
Faxware 5.11 für Netware SB 4.2 DIGITLD.zip MCSCANNW.zip D66NW.exe DVVSCA10.exe
DAVID4.nlm DV4EXSP2.exe PLMSYN10.exe DVVSCA10.exe IVC.dcc
Faxware 5.11 für Netware SB 5.0 DVVSCA10.exe REPORTER.exe PM_NW.zip POSTMAN.nlm
DAVID5.nlm WEBACCNW.exe
Tobit Produkte für MicrosoftTobit ServTime Win 98 DAVID 60 für NT DAVID 6.5 für NTl Tools David 6.6 NT/2000
SETUPW98.exe D6SP1NT.exe D65SP1NT.exe DCNSETUP.exe DV_WIN.zip
DVC3PD.dll D66NT.exe DVEXTINF.exe DVGRAB.exe
Tobit TimeLAN für NT DVVSCA10.exe DV4EXSP2.exe DVZMSD.exe DVVSCA10.exe
SETUPNT.exe IHS_NT.exe MAPI32.dll 0.exe KLICKTEL.zip IVC.dcc
KEDV326.exe SENDMAIL.exe WEBACCNT.exe
Tobit ServTime für NT PLMSYN10.exe
SERVTIME.exe
rot seit unserer letzten Veröffentlichung neuhinzugekommen
grün nur noch auf der Technik News Service-CD
blau aus Platzgründen nicht mehr auf der CDgelb auf der letzten Service CDpink auf der beiliegenden Novell Sonder-CD
Kleine Novell Server Tips
Wo ist der Streamer?
Wenn Sie einen Streamer eingebaut und korrekt verka-belt haben und Ihr Backup-Programm ihn trotzdem nichtsieht, ist meistens NWTAPE.CDM oder SCSI2TP.CDMgeladen. Diese verhindern ein Erkennen des Streamersdurch ARCserve, BackupExec und alle anderen Backup-Programme, die auf das ASPI Interface aufbauen.Benennen Sie beide Treiber auf der DOS-Partition desServers um, weil sie sonst automatisch geladen wer-den, sobald ein Streamer vom HAM-Treiber erkanntwird.Falls Sie mit der HAM-Treiberarchitektur arbeiten,
sollten Sie zusätzlich NWASPI.CDM laden, damit das ASPI-Interface, das bei DSK-Treibern automatisch vorhandenwar, genutzt werden kann.Sie können NWPA auch mit dem Parameter /naload star-ten, dann werden keine CDM-Module automatisch nach-geladen. (siehe TID 2951606).Falls sich der Streamer jetzt immer noch nicht anspre-chen läßt, könnte es sich auch um Probleme mit denLUNs handeln. Versuchen Sie hinter dem SCSI-Treiberden Schalter LUN_EN ABLE=FF zu setzen.
Ausgabe 07/2001
34
07
H O
T L
I N E
hH O T L I N E
PatchesPatches
Empfohlene Veritas Updates und Patches
Backup Exec Version 8.5 Für Windows NT und Windows 2000InstallationBNT85SBSFIX_236351.EXE 10.05.01 SBS Seriennummer Fix für BE 8.5 Revision 3572 rc9 (HF23)BNT85I02_235855.EXE 17.04.01 Backup Exec Version 8.5 Build 3572 rc9 deutschBNT85I03_235770.EXE 17.04.01 Backup Exec Version 8.5 Build 3572 rc9 englischRAIDIRECTOR_233163.EXE 14.12.00 RAIDirector Evaluation Version (NLS)
PatchesBNT85SYSFIX_236381.EXE 10.05.01 8.5 3572 rc9, HF22 System State, Exch. restore, Device ErrorBNT85SSOFIX_236423.EXE 08.05.01 8.5 3572 rc9 HF18 SSO Umgebung Drive OfflineMEDIAFIX_234341.EXE 06.02.01 Behebt Fehler �Unrec. Media� für Ver. 8.5 Build 3571(NLS)POST3571_232826.EXE 10.11.00 Hotfix für Remote Intelligent Desaster RecoveryOFOFIX.EXE 21.02.01 Open File Option Patch behebt Blue Screen und Initialisierungsprobleme.
TreiberBNT85IDRV29_236293.EXE 02.05.01 Gerätetreiber R. 20010415 / Autoloader Rel. 29 (dt./engl.)
AgentenNWAA191_236656.EXE 17.05.01 NetWare Remote Agent v191 (engl.) behebt Fehler �Acess Denied�NLS_AGNT_236717.TAR 16.05.01 Unix Agent v5.01 Rel.5030 (dt/engl) behebt Hard Link / NIS ProblemAG9X021_234221.EXE 30.01.01 Windows 9X Agent Version 5.021 (NLS)AGORACLE_232754.EXE 14.12.00 Oracle Agent Version 5.010 (NLS)AGOS203.EXE 19.05.00 OS/2 Agent Version 3.203 (NLS)AGWIN31.EXE 19.05.00 Win 3.1X Agent (NLS)AGDOS.EXE 19.05.00 DOS Agent Version 3.015 (NLS)AGMAC500.EXE 10.05.00 Mac Agent Version 5.00 (NLS)
UtilitesBENTTOOL_232477.EXE 17.01.01 Diagnostik Utilities für Windows und NetWare
Backup Exec Version 8.5 Für Novell NetWareInstallationB85P00_235814.EXE 12.04.01 Backup Exec für NetWare, Version 8.5.191 (NLS).EXECV25_231291.EXE 29.08.00 ExecView Version 2.5 mit Pure IP Unterstützung (NLS)
PatchesBESRVR_2_232776.EXE 07.11.00 BESRVR.NLM V.3.21,behebt Tape Rotation Prob. (engl.)
TreiberB850DV12_237018.EXE 17.05.01 Gerätetreiber Version 9901N023 (engl)NWASPI_232264.EXE 16.10.00 NWASPI.CDM Update Version 3.20 und Version 3.21
AgentenNLS_AGNT_236717.TAR 16.05.01 Unix Agent v5.01 Rel.5030 (dt/engl) behebt Hard Link / NIS ProblemBEORANW_236814.EXE 21.04.01 Oracle Agent neueste Version (engl)WINNTAGT_230560.EXE 28.07.00 Windows NT Version 5.003 (engl.)WINNTAGT.EXE 19.05.00 Windows NT Agent Version 3.201 (NLS)AG9X019.EXE 1.08.00 Windows 9x Agent Version 5.019 (NLS)OS2AGENT.EXE 19.05.00 OS/2 Agent Version 3.204 (engl.)MACAGENT.EXE 19.05.00 Macintosh Agent Version 4.07 (NLS)DOSAGENT.EXE 10.05.00 DOS Agent Version 3.015 (NLS)BEORANW.EXE 08.06.00 Oracle Agent (engl.)BEWINUPD.EXE 19.05.00 Windows Client (engl.)
UtilitiesALLTOOLS_235507.EXE 29.03.01 Diagnostik Tools für Fehlersuche in NetWare UmgebungBENTTOOL_232477.EXE 17.01.01 Diagnostik Utilitys für Windows und NetWare
Nur die neusten NW undNT Versionen, nur IntelCPU�s (kein Alpha), nurenglisch und deutschwenn vorhanden.
35
07
Ausgabe 07/2001
Novell Updates und Patches neu herausgekommen
Neue Patches in der Übersicht
UPGRDWZD.exf 20763 KBDie Novell Upgrade Wizard Versi-on 3.1 dient dazu, ein Update vonNetWare 3.x und 4.x Servern auf dieNetWare 5 über eine Workstationdurchzuführen. In dieser Datei fin-den Sie die aktuelle Version3.1.1100.1, in der einige Fehler derälteren Version 3.1 behoben wurden.Wichtig ist, daß diese Version nurmit den Client Versionen 3.3 fürWindows 98 und 4.8 für WindowsNT und 2000 eingesetzt werden darf.
ADM519F.exf 3291 KBBeim Novell NetWare Administra-tor in der Version 5.19F wurden dieFehler C++ Runtime Error oderdll is missing or corruptbeim Starten des NWadmin beho-ben, wenn zu viele SNAPINS instal-liert waren, oder wenn zu viele TLS(Thread Local Storage) auf der Sta-tion geladen waren.
NLSLSP6.exe 16952 KBDas Novell Licensing Service Up-date (NLS) in der Version 5.02 fürNetWare 4.11, 4.2, 5.0 und 5.1 istaktueller als das in den Service Pack6A für NetWare 5.0 und 2A fürNetWare 5.1 enthaltene.
SBCON1.exe 376 KBMittels dieses Patches läßt sich derUsername und das Password in denVerzeichnissen SYS:\QUEUES\xxxxxxxx.QDR\xxxxxxx.Q beiVerwendung von SBCon verschlüs-seln.
4PENT.exe 308 KBUpdate für die Novell NetWare 5.1bei Verwendung eines Intel Pentium4 Prozessors.
FZD2NAL.exe 293 KBDieses Update behebt ein Problemdes NAL Explorers von ZENWorksVersion 2.0, bei dem der NAL Ex-plorer nicht in Sub-Folders suchenkonnte.
FZD2NAL.exe 121 KBDieses Update behebt ein Problemin der ZENWorks Version 2.0, daßdie NAL.exe sporadisch dieNALINIT.ini ignorierte.
ZFD2TSFX.exe 293 KBDieser Patch behebt zwei Problemedes NAL Explorers der ZENWorksVersion 2.0 und des Microsoft Ter-minal Servers. Es gab Probleme mitder Übermittlung von DesktopIcons, wenn mehr als eine Sessiongeöffnet wurde. Zudem wurden An-wendungen, die mit NAL verteiltwurden, mit einem falschen Iconangezeigt.
FZD2ZAPP.exe 250 KBIn diesem Update finden Sie ein Da-tei mit dem Namen ZENAPP32.dll, welche in der ZENWorks Ver-sion 2.0 behebt, daß %USERNAME%und %USERPROFILE% Variablenvom NAL nicht korrekt ausgewertetwurden.
B1CSPJVM.exe 36264 KBUpdate der Java Virtuel Machine(JVM) Version 1.2.2_006 für dieNetWare 5.1.
Tobit Updates und Patches neu herausgekommen
N51_NIS1.exe 2407 KBPatch Set für die Novell Java VirtuelMachine Version 1.22 für dieNetWare 5.1.
NWOVLY2.exe 16902 KBIn diesem Patch finden Sie eine An-leitung, wie man eine CD erstellt, dieparallel die Netware 5.1 und das Ser-vice Pack 2A installiert.
ADMATTRS.exe 130 KBLogin Policy Objekt (LPO-Objekt)Attribute Creation Tool für dasADM.nlm des Novell Border-manager 3.5 bzw. 3.6.
BMAS3X01.exe 227 KBIn diesem Update finden Sie die ak-tuelle Version des RADIUS.nlm fürBordermanager 3.5 und 3.6.
ZD3SCAN2.exe 442 KBDiese aktualiliserten Scanner Filesdes Inventory Modules für NovellZENWorks 3.0 for Desktops unter-stützen die aktuellen Prozessorenund die herstellerspezifischen AssetInformation des DMI. Zusätzlichwird ein Fehler beim Auslesen derWorkstation MAC-Adresse beho-ben, es wurde 000000000000ausgegeben.
IVR.dcc 332 KBDieses Download enthält eine über-arbeitete Version des DvISE IVRScripts, das als Standard-Script fürden Phone Access verwendet wird.Diese Version enthält folgende An-passungen und Korrekturen:Archive-Zugriff über NumericIDist korrigiert. Der Wechsel in das zu-gehörige Benutzerarchive über dieAngabe der Numeric ID funktionier-
te nicht korrekt. Schreibweise desMonatsnamens Mai korrigiert. Zuvorpasste sie nicht zu dem verwendetenDFML-Formular (May - Mai), was zueiner Fehlermeldung führte. Überar-beitete Funktion zum Vorlesen vonOCR Text, z.B. aus empfangenenFaxen.Achtung: Für den Einsatz diesesScripts ist eine DvISE Installation derVersion 6.6 erforderlich.
BinTec Updates und Patches neu herausgekommenXC521.xcm 1108 KBAktuelle Boot Image Version 5.2.1für die Bintec XCentric.
MODULE14.xcm 196 KBFirmware Logic Version 1.4 für dieBintec XCentric.
Ausgabe 07/2001
36
07
Veritas Updates und Patches neu herausgekommen
Backup Exec Version 8.5Für Windows NT und Windows 2000
BNT85I02_235855.EXE (deutsch)BNT85I03_235770.EXE (englisch)In diesen Dateien ist in Deutsch und Englisch die aktu-elle Backup Exec Version für Windows NT 8.5 Build3572 rc9. Sie kann auf Windows NT 4.0 mit ServicePack 4 oder Windows 2000 installiert werden. In ihr ent-halten sind verschiedene Optionen, die Sie entwederwährend der Installation oder auch nachträglich instal-lieren können. Beachten Sie, daß für die Optionen mit *eine Seriennummer bei der Installation nötig ist.Folgende Komponenten sind enthalten: Tape DeviceDrivers - Release 20010207, Online Dokumentation,Unix Agent v5.027, MAC Agent v5.0, Windows 95/98Agent v5.021, Shared Storage Option*, Open File Opti-on*, Autoloader Module* (Release 28) für Autoloadermit mehreren Bandlaufwerken, Intelligent DisasterRecovery*, Agent Accelerator für Windows NT*, Agentfor Microsoft SQL Server*, Agent für Microsoft Ex-change Server*, NetWare Agent*, NT Oracle Agent*v5.010, Backup Exec R/3 Agent*, IBM ADSM Opti-on*, Lotus Notes/Domino Agent*.Windows 2000:Unter Windows 2000 wird das Sichern des System Stateunterstützt, welches folgende Komponenten enthält:Active Directory Services, Boot und System Files,COM+ Class Registration Datenbank, Registry,SYSVOL, Cluster Datenbank, Certificate Services Da-tenbank, Volume Mount Points, Single Instance Storage,Disk Quota Daten, Encrypted File System, RemoteStorage Daten, Sparse Files, Removable Storage Daten,Content Indexing Server, Object Ids, Terminal ServicesLicensing, Windows Management InstrumentationRepository.
Um entfernte Windows 2000 Server und Arbeits-stationen komplett zu schützen ist es notwendig denBackup Exec Agent Accelerator auf den entferntenMaschinen installiert und laufen zu haben, und zwarbeim Sichern und beim Wiederherstellen, das au-ßerdem von einem Windows 2000 Backup Serverdurchgeführt werden muß.
IDR für W2KBei der Intelligent Disaster Recovery Option wurde dasWiederherstellen von Windows 2000 Maschinen hinzu-gefügt. Dabei ist es notwendig, die Partitionen zu defi-nieren, außerdem muß der Microsoft Produkt-Schlüsseleingegeben werden, um den Intelligent DisasterRecovery Prozeß abzuschließen.
Microsoft Cluster Server:Mit diesem Release wird die Aktive / Passive Unterstüt-zung für Microsoft Cluster Server hinzugefügt.Wenn Backup Exec auf einer Node des Clusters läuftund diese Node ausfällt startet Backup Exec auf der an-deren Node. Die Aufträge die gerade aktiv waren wer-den dann auf der anderen Node neu gestartet.
NWAA191_236656.EXE (engl.)Das NetWare Remote Agent Update (BEREMOTE.NLMv191 engl.) verhindert die Fehlermeldung AccessDenied beim Sichern eines NetWare Servers. Es stellteinen Workaround für ein kürzlich berichtetes Problemmit dem SMDR.NLM dar, das einen Fehlerinsufficient privilege, der von Backup Execfür Windows NT/2000 als access denied übersetztwird. Das neue BEREMOTE.NLM unterdrückt diese fal-sche Fehlerausgabe. Um es einzusetzen, stoppen Sie mitBESTOP an der Server-Konsole Ihren Remote Agent fürNetWare. Benennen Sie die DateiendnungenSYS:\BKUPEXEC \NLMS \BEREMOTE.NLM undSYS:\BKUPEXEC \BEREMOTE.RES um, zum Bei-spiel in *.ORG. Kopieren Sie die in diesem Update vor-handenen Dateien in die entsprechenden Verzeichnisseund starten Sie den Remote Agent mit BESTART dannwieder.Dieser Patch kann für Backup Exec für Windows NT/2000 Version 8.5 und SBS 8.5 eingesetzt werden, derNetWare Remote Agent auf NetWare 3.x, 4.11, 4.11SB,4.2, 4.2SB, 5.0, 5.1 und 5SB. Vom Windows Betriebs-system wird unter 2000 Server/Advanced und DatacenterServer die Version 5.00.2195 vorausgesetzt, unter NTmuß es Version 4.0 mit SP5 oder SP6 sein.
NLS_AGNT_236717.TAR (deu/engl)Der aktuelle Unix Agent in der Version 5.01 Revision5030 behebt die Fehler beim Sichern und Wiederher-stellen von “hard links” sowie die Probleme in einer NIS+Umgebung. Bevor Sie ihn in einem System installieren,welches einen Netzwerk Namendienst verwendet (z.B.NIS) muß die Datei \etc\services modifiziert wer-den. Sie benötigen dazu Root Privilegien. Fügen Sie dieZeile grfs 6101/tcp # Backup Exec Agentein und sichern Sie die Datei. Geben Sie anschließenddie Kommandos cd\var\yp und makeservices.byname ein, um die Änderungen in derNIS Map zu propagieren.Der Agent läßt sich auf folgenden Backup Exec Versio-nen einsetzten: Backup Exec für Windows NT / 2000:6.11, 7.0, 7.01, 7.2, 7.3, 8.0, 8.5; Backup Exec fürNetWare: 7.11d, 7.5, 8.0, 8.5.Backup Exec für Windows NT v7.x Single Server Editi-on kann keine Unix Rechner sichern, wenn der UnixAgent nicht schon in der Version 6.x eingeschaltet warH
O T
L I N
E
hH O T L I N E
PatchesPatches
37
07
Ausgabe 07/2001
Veritas Updates und Patches neu herausgekommen
und dann auf die Version 7.x Single Server upgedatetwurde. Die Backup Exec für Windows NT Small Busi-ness Server unterstützt keine Agenten. Backup Exec fürWindows NT v7.x und 8.x in der Enterprise oder Multi-Server Edition unterstützt den Einsatz des Unix Agents.Er kann auf vielen Unix Versionen eingesetzt werden,wurde jedoch nur auf folgenden Plattformen getestet:X86 Versionen:SCO UNIXWare 1.x,2.01,7.x; SCO UNIX 3.x,4.x; SCOOpen Server r.5 v5.0.0; Solaris 2.3, 2.4, 2.5, 2.6, 2.7/7.0,2.8/8.0; SunOS 4.1x, 5.3, 5.4; Interactive 3.2; LINUXRed Hat 5.1, 5.2, 6.0, 6.1, 6.2; LINUX S.u.S.E. 6.02,6.1, 6.2, 6.3; LINUX Mandrake 6.0, 6.1, 6.2, 7.0; LINUXCaldera 1.3, 2.0, 2.2, 2.3; TurboLinux 4.0.Sparc Versionen: Solaris 2.3, 2.4, 2.5, 2.6, 2.7/7.0, 2.8/8.0; SunOS/Solaris4.1x.HP Versionen:HPUX 9.05+, 10.01, 10.10RS6000/PowerPC Versionen:AIX 3.2.5, 4.1
BNT85SBSFIX_236351.EXE (dt./engl)Dieser Patch (Hotfix 23)ist nur auf einer Backup Execfür Windows NT v8.5 Build 3572 rc9 einzusetzen, dieauf einem Windows Small Business Server 2000, 4.0 oder4.5 läuft. Beim Upgrade von Backup Exec SmallBussiness Server Edition der Version 7.3 auf Version 8.5gibt es beim Eintragen der Seriennummer unter Umstän-den den Fehler: Unable to detect a previouslyinstalled version of Backup Exec whichautomatically approves this upgrade...Für die Installation müssen Sie die in diesem Patch ent-haltene Datei ISECRETS.DLL in das Installations-verzeichnis kopieren (vorher von CD in das Temp-Ver-zeichnis kopieren), welches die Setup.exe enthält.Anschließend können Sie Setup starten und die Serien-nummer wird akzeptiert. Dieser Hotfix trägt die Num-mer 23. Der neueste Hotfix muß der Numerierung nachzuletzt eingespielt werden!
BNT85SYSFIX_236381.EXE (deu/eng) (Hotfix 22)Dieser Patch ist ausschließlich für die Backup Exec Ver-sion 8.5 Build 3572 rc9 auf Windows NT / 2000. Beach-ten Sie, daß Sie beim Entpacken dieses Hotfixes den Pa-rameter �d mit angeben müssen, damit die Unterver-zeichnisse mit erstellt werden. Es werden drei verschiedeProbleme behoben. Zum ersten Fehlermeldungen bezüg-lich übersprungener Objekte oder Access Denied Mel-dungen beim Sichern des System States. Dieses tritt ge-nerell auf Servern mit laufendem Exchange 2000 auf,der Patch sollte aber auch auf Windows 2000 Systemeneingespielt werden.Das zweite Problem trat beim Wiederherstellen vonMicrosoft Exchange Servern auf. Dort wird jetzt verhin-
dert, daß im Logfile eine Meldung wie folgt erscheint:It apears that �Exchange� is in acluster... wobei Backup Exec fälschlicherweisedavon ausging, daß Exchange auf einem Cluster läuft.Das dritte Problem, welches durch den Einsatz diesesHotfixes behoben wird, ist die Fehlermeldung: Adevice � specific error occured. Sie tratbeim Sichern von entfernten Servern auf, wenn diesekeine administrative Freigabe besitzen.Zum Installieren dieses Hotfixes stoppen Sie die BackupExec Dienste, benennen Sie die Dateien BEDSNT5.DLLund BECLASS.DLL um. Sie sind standardmäßig in Pro-gramme \Veritas \Backup Exec \NT abge-legt. Kopieren Sie die neuen Dateien aus dem passen-den Sprachverzeichnis auf Ihren Server. Starten Sie dieBackup Exec Dienste wieder.Die Backup Exec Versionen 8.5 Build 3572 rc9 und derEinsatz dieses Hotfixes kann auf folgenden WindowsSystemen zum Einsatz kommen: Windows 2000Proffessional, Server, Advanced Server, Datacenter Ser-ver mit der Version 5.00.2195, Windows NT 4.0 Serverund 4.0 Arbeitsstation und Windows NT Alpha 4.0 Sy-stemen.
BNT85SSOFIX_236423.EXE (deu/eng)Dieser Patch (Hotfix 18)ist ausschließlich für die BackupExec Version 8.5 Build 3572 rc9 auf Windows NT / 2000.Beachten Sie, daß Sie beim Entpacken dieses Hotfixesden Parameter �d mit angeben müssen, damit die Un-terverzeichnisse mit erstellt werden.In einer aktiven SSO-Umgebung (Shared Storage Opti-on) konnte es vorkommen, daß Bandlaufwerke plötz-lich offline gingen und Jobs beim Laden des Mediumshängenblieben, wenn mehrere Jobs auf einmal laufen.Dies ging solange, bis die Dienste auf dem SSO Daten-bank Server neu gestartet wurden. Nach Einsatz diesesHotfixes ist das Problem behoben. Zum Installieren die-ses Hotfixes stoppen Sie die Backup Exec Dienste undkopieren Sie die Datei PVLSVR.EXE aus dieser Datei,nach vorherigem Sichern der Originaldatei, in dasBackup Exec NT Verzeichnis auf Ihrem Server.
BNT85IDRV29_236293.EXE (deu/engl)Mit dem neuen Gerätetreiber Release 20010415 und demAutoloader Release 29 für Backup Exec Version 8.5 wer-den folgende neue Bandgeräte unterstützt: TandbergSLR7 SLR7 QIC, Storage Tek T9940A T9940A Half-inch. Mit dem neuen Autoloaderrelease werden jetzt auchPlasmon 102 und 10.1 FTA/IBM Ultrium-TD1 Half-inchAutoloader (Librarys) unterstützt.Bänder die mit Hardwarekompression des Band-laufwerkes beschrieben werden, können eventuell nichtvon Bandlaufwerken anderer Hersteller gelesen werden.Wenn Sie verschiedene Bandlaufwerke im Einsatz ha-ben, die Hardwarekompression bieten, und die Bänder
Ausgabe 07/2001
38
07
auf verschiedenen Laufwerken zum Einsatz kommen,sollten Sie darauf achten, entweder die Software-kompression des Sicherungsprogramm zu verwenden,oder gar keine Kompression. Wenn die Hardware-kompression im ersten Satz auf dem Band verwendetwurde, wird sie auch bei allen Untersätzen auf diesemBand verwendet. Es sollte also vermieden werden, aufeinem Band Soft- und Hardware-Kompression gemischtzu verwenden. Softwarekompression und keine Kom-pression auf einem Band ist dagegen eher akzeptabel.Noch ein Hinweis zu Spectra Logic SPECTRA 4000,5000, 9000 und 1000 Tape Library. Die AutoloaderTouch Pads (Bedienfelder) dieser Tape Librarys wer-den nicht ausgeschaltet, während Backup Exec arbeitetDieses ermöglicht es, die Bänder im Magazin zu bewe-gen, welches Backup Exec mit Hardware Error quitiert.Die einzige Funktionalität, die ausgeschaltet wird, istdas Bewegen der Bänder vom Slot zu der Zugangstür.Übrigens können Adaptec 154x Controller, die älter alsRev. E sind, den Autoloader zum Absturz bringen.
Backup Exec Version 8.5Für Novell NetWare
B85P00_235814.EXE (deutsch/englisch)Hierbei handelt es sich um die aktuelle Backup Execfür NetWare Version 8.5.191. Die in Ihr enthaltenenKomponenten haben folgenden Versionen: BEMGR -8.5.4110.2, BESRVR - 8.5.4112.9, Treiber - 9901N023,NLM Client - 8.5.4106, Windows Client - 8.5.4113.190,Windows NT Agent - 5.004, Windows 95 Agent - 5.022,OS2 Agent - 5.000, DOS Agent - 5.000, MAC Agent -5.00, Unix Agent - 5.027.Zur Installation entpacken Sie die Datei in ein temporä-res Verzeichnis auf dem Server und rufen dann auf derKonsole das BEINSTL.nlm auf, z.B mit LoadSYS:\TEMP\BEINSTL.
NLS_AGNT_236717.TAR (deu/engl/)Siehe Beschreibung unter Windows.
BEORANW_236814.EXE (englisch)Dieser aktuelle Oracle Agent für NetWare sollte nur Ver-bindung mit der Version 8.5 für NetWare eingesetzt wer-den. Die Installation erfolgt über eine Arbeitsstation, dieeine Verbindung zum Oracle Server hat. Bevor derOracle-Agent auf den Server geladen werden kann, mußeine Konfigurationsdatei erstellt werden. Diese kann mitdem im Lieferumfang enthaltenen Dienstprogramm zurKonfiguration des Oracle-Agents erstellt und bearbeitetwerden. Führen Sie das Dienstprogramm während derInstallation aus, oder führen Sie das ProgrammBENWOCFG.EXE vom Verzeichnis SYS:\BKUPEXECaus.
Bei der Installation von Oracle müssen Sie darauf ach-ten, daß die Datenbankdateien als Freigegeben mar-kiert sind, damit die Sicherung und Rücksicherung ord-nungsgemäß funktioniert. Benutzen Sie dazu die vonNovell bereitgestellten Dienstprogramme FLAG.EXEoder FILER.EXE. Um das Konfigurationsprogrammeinsetzen zu können, muß die Client 32-Software vonNovell auf Ihrer Windows 95/98- oder NT-Arbeitsstationinstalliert sein.Bekannte Probleme:Die Schaltflächen Durchsuchen im Dialogfeld zumHinzufügen der SID des Oracle-Agent-Konfigurations-dienstprogramms funktionieren nicht ordnungsgemäß.Sie können jedoch das Verzeichnis für die archivierteLog-Datei und die Sicherungsdatei manuell eingeben.Beim Fehlschlagen der Online-Rücksicherung werdenTablespaces von Oracle 7.3.4 nicht automatisch freige-geben, nachdem sie offline geschaltet wurden. Das be-deutet, daß die Rücksicherung aufgrund eines Fehlersbeim Öffnen der Tablespace-Datei scheitern kann, wennSie Backup Exec zum Rücksichern einsetzen, währenddiese online geschaltet ist. In diesem Fall sollten Sie fol-genden Lösungsvorschlag befolgen:Schalten Sie die Tablespaces manuell offline, und zwarmit dem Befehl ALTER TABLESPACE<Tablespace-Name> OFFLINE IMMEDIATE;.Warten Sie drei bis fünf Minuten, bis Oracle den Handlezum Tablespace freigegeben hat. Führen Sie den Rück-sicherungsauftrag aus. Stellen Sie den Tablespace mitdem Befehl ALTER DATABASE RECOVERAUTOMATIC TABLESPACE <Tablespace-Name>;wieder her. Schalten Sie danach den Tablespace mit demBefehl ALTER TABLESPACE <Tablespace-Name>ONLINE; wieder online. Beachten Sie, daß es sich hier-bei bis auf die drei- bis fünfminütige Verzögerung umdieselben Befehle handelt, die von Backup Exec einge-setzt werden.
B850DV12_237018.EXE (englisch)Die folgenden Bandgeräte werden mit diesem DeviceTreiber Update jetzt zusätzlich unterstützt: HP SureStoreUtrium 215, StorageTek T9940A, ATL M1500, IBM3581, M4 Data MagFile Library, NEC DL010 DLT AL ,PLASMON 10.1 LTO Library , Sony TSL-A400C undTandberg SLR7. Voraussetzung für den Einsatz diesesTreiber Updates sind die jeweils neuesten Build-Ständeder verschiedenen Versionen von Backup Exec. Diesesind für die Version 8.5 Build 191, für Version 8.0 Build300 und für die Version 7.5 Build M123. Ältere Build-Stände sind nicht komplett kompatibel zu diesem Up-date.
H O
T L
I N E
hH O T L I N E
PatchesPatches
39
07
Ausgabe 07/2001
Veritas Updates und Patches neu herausgekommen
D
NOVELL
InternaDSTRACE und NDS Trace Event Monitor
Von Jörg Marx
Seit der NetWare 4.x ist DSTRACE als wirkungsvolles Tool bekannt, um mit SET-Kommandos an der Server-Konsolebestimmte NDS-Prozesse mit zu verfolgen bzw. zu protokollieren. In der NetWare 5.x wurden die Funktionen erweitert.Mit DSTRACE - zum NDS Trace Event Monitor umbenannt - lassen sich nun umfangreiche Diagnosen der NDS her-ausfiltern, Synchronisations-, Prozeß- und alle Arten von Fehlermeldungen. Wir zeigen Ihnen wie Sie mit diesen Inter-na am besten umgehen, und welche Optionen Ihnen geboten werden.
Das DSTRACE Tool verwenden Sie vorrangig zumMonitoring der Statusmeldungen aller NDS-Prozesse undzum Anzeigen aller NDS-Fehlermeldungen und derenmöglichen Ursachen. Achten Sie darauf, daß IhreDSTRACE-Version immer zur DS-Version paßt. Norma-lerweise wird beim Aufspielen eines Support Packs so-wohl die DS-Version wie auch die DSTRACE-Versionaktualisiert.
KommandosUnter NetWare 5 können Sie sich jetzt alle verfügbarenDSTRACE-Kommandos zur Aktivierung an der Konsoleanzeigen lassen. Mit HELP DSTRACE erhalten Sie einListing der Optionen mit Beispielen (vgl. Abb1). Um mitDSTRACE zu arbeiten müssen Sie es erst einmal aktivie-ren. Hierzu bietet NetWare 5.x die in Tabelle 1 aufgeführ-ten Befehle. Bevor Sie jedoch irgendeine Partitions-operation durchführen, sollten Sie immer einen sogenann-ten Health Check durchführen. Dieser beinhaltet folgen-de Schritte:- Zeitsynchronisation (DSTRACE)- Partition Continuity (NDS-Manager)- NDS Synchronisation (DSTRACE)Dabei sollten Sie auf die Zeilen All Processed Yes
achten, da diese anzeigen, daß die entsprechende Opera-tion abgeschlossen wurde. Das muß für jede Partition inder NDS gleichermaßen erfolgen, bevor Sie Änderungenvornehmen.
Diagnose-KommandosNachdem wir DSTRACE aktiviert haben, müssen wirspezifizieren, was uns DSTRACE an Informationen lie-fern soll. Das Kommando DSTRACE SCREEN zeigt Ih-nen auf dem Server einen entsprechenden Bildschirm (vgl.Abb. 2) mit allen Diagnose-Kommandos, die DSTRACEin NetWare 5.x bereitstellt, an.Die verfügbaren Befehle teilen wir in drei Kategorien ein:die Basic-Funktionen, die Debug-Meldungen und dieBackground-Prozesse. Diagnosebefehle werden immermit einem führenden + aktiviert. Der einfachste Weg, umsich mit dem DSTRACE Bildschirm vertraut zu machen,ist der, es einfach auszuprobieren und aus den Meldun-gen zu lernen. Eine kleines Beispiel:set dstrace set dstrace = +(Diagnosebefehl)set dstrace = screen onset dstrace = file onJetzt zeigt Ihnen DSTRACE alle Informationen diesesServers zum angegebenen Diagnose Befehl.
Tabelle 1
set dstrace = on aktiviert DSTRACE auf dem entsprechenden Serverset dstrace = off deaktiviert DSTRACE auf dem entsprechenden Serverset dstrace = file schreibt den DSTRACE-Bildschirm in eine Dateiset dstrace = screen schreibt das DSTRACE nur auf den aktuellen Server Screenset dstrace = inline zeigt Inline-Meldungenset dstrace = journal zeigt Events in einem Background Threadset dstrace = FMAX = (Größe) legt die maximale Größe des DSTRTACE-Files festset dstrace = FNAME = (Name) legt den Namen des DSTRTACE-Files fest
Tabelle 1: DSTRACE Optionen
Ausgabe 07/2001
40
07
Basic FunctionsDie Basis-Funktionen dienen dazu, den aktuellen Statusder NDS auf einem Server anzuzeigen und bestimmteSynchronisationsprozesse anzustoßen. Die in Tabelle 2aufgeführten Kommandos werden hierzu bereitgestellt.
Debug-MeldungenWenn DSTRACE aktiviert ist, werden Ihnen bestimmte,per Default voreingestellte Informationen angezeigt. Be-nötigen Sie jedoch gezielte Informationen, so müssen SieFilter für die Debug-Meldungen definieren. DSTRACEDebug-Meldungen werden mit einem Plus + eingeschal-tet und mit einem Minus - wieder abgeschaltet. Das siehtdann - z.B. bei den Synchronisationsmeldungen - fol-gendermaßen aus:SET DSTRACE = +syncSET DSTRACE = -syncUm Ihnen die Arbeit jedoch ein wenig zu erleichtern, gibtes den Parameter SET DSTRTACE = A81164B91, derdie wichtigsten Informationen gleich auf einen Blick wie-dergibt. Diese werden z.B. auch für den Novell Tech-Sup-port benötigt.
Verfügbare KommandosAUDIT aktiviert das DSTRACE Auditing auf dem Ser-ver. Das ist oft der erste Ansatz, um weitere Debuggingszu aktivieren, wenn im Audit Fehler auftauchen. AUTHENJeder Server muß sich über die sogennate VclientConnection an einem anderen Server authentisieren. Hier-mit können Sie diesen Prozeß anzeigen lassen. BACKLINK(BLINK) zeigt alle Operationen bezüglich der externenReferenzen und Backlink Prozessen. Es wird geprüft, obes sich noch um existierende NDS-Objekte handelt odernicht. DSAGENT (DAS) zeigt Client-Anfrage und dieentsprechende Antwort. EMU zeigt Informationen bezüg-lich der Bindery Emulation des ServersERRET zeigt NDSFehlermeldungen an, die dann über http://support. novell.de ausgewertet werden können. ERRORS (ERR, E)zeigtalle Fehlermeldungen, um welchen Fehler es sich han-delt, und wo er herkommt. FRAGGER (FRAG)zeigt alle
Abb. 1 : DSTRACE Option List
Tabelle 2set dstrace = on startet den Bildschirm mit Standard-Trace-Meldungenset dstrace = off stoppt den Bildschirm wiederset dstrace = all startet den Bildschirm mit allen Trace-Meldungenset dstrace = agent startet den Bildschirm mit folgenden Prozessen: BACKLINK,
DSAGENT, JANITOR, RESNAME und VCLIENTset dstrace = debug aktiviert alle wichtigen DEBUG-Meldungen: BACKLINK, ERRORS, EMU,
FRAGGER, INIT, INSPECTOR, JANITOR, LIMBER, MISC, PART, RECMAN,REPAIR, SCHEMA, SKULKER, STREAMS und VCLIENT.
set dstrace = nodebug schaltet alle DEBUG-Meldungen wieder ab
Tabelle 2: Kommandos der Basis-Funktionen
Fragger Debug Meldungen. Der Fragger Prozess istverantowrtlich für das Unterbrechen und Wiederaufbau-en von DS NCP Paketen. IN zeigt allen eingehendenSynchronisations-Verkehr an. INIT zeigt die Initialisie-rung bzw. das Öffnen des lokalen Name Service an.INSPECTOR (I) zeigt Meldungen bezüglich desInspector Prozesses. Dieser verifiziert alle lokalen DSName Services und die Objekt Integrität. Er ist ein Teildes Janitor Prozesses.Hinweis: Wenn hier Fehler auftauchen, sollten Sie einDSREPAIR laufen lassen. Wichtig ist, daß nicht alle an-gezeigten Meldungen aktuell sind , daher müssen Sie hierin der Lage sein, die Meldungen korrekt zu deuten.
JANITOR(J)zeigt alle Meldungen bezüglich des JanitorProzesses. Dieser kontrolliert alle Operationen, die Ob-jekte löschen. LIMBER zeigt alle Meldungen bezüglichdes Limber Prozesses. Dieser verifiziert die Connectivitybezüglich der Servernamen, Adressen und Replicas. Eben-falls ist er verantwortlich, geänderte Servernamen oder -Adressen im System korrekt zu hinterlegen. LOCKING(LOCKS)ändert alle Meldungen bezüglich der NameServer Locking Informationen. MERGE wird zur Zeit nochnicht verwendet, MIN ebenfalls nicht. MISC zeigt alleMiscellaneous Informationen an. PART zeigt alle Mel-dungen bezüglich der Partitionsinformationen.
H O
T L
I N E
hH O T L I N E
41
07
Ausgabe 07/2001
Tabelle 3*. entlädt das DS.NLM und lädt es erneut. Es werden die Module aus dem Verzeichnis SYS:\SYSTEM
genommen. Mit Hilfe dieses Parameter laßt sich auf sehr einfache Weise ein NDS Update auf einem Server durchführen.
*B aktiviert den Backlink-Prozeß, dieser ist sehr netzwerkintensiv!B hiermit können Sie das Backlink-Prozeß-Zeitintervall verändern, der Default ist 1500 Minuten, einstellbar
zwischen 2 und 10080 Minuten*D bricht das Kommando Send all Updates oder auch *I direkt ab. Das kann wichtig werden, wenn eine
solche Operation nicht abgeschlossen werden kann*F aktiviert den Flatcleaner-Prozeß, der ein Teil des Janitor-Prozesses ist und löscht alle Objekte, die zum
Löschen markiert wurden!F zum Einstellen bzw. Ändern des Zeitintervalls im Flatcleaner-Prozeß. Der Default Wert liegt bei 240 Minu-
ten, er muß lediglich größer als 2 Minuten sein, nach oben gibt es keine Grenze.*G zeigt an, wenn ein Server zu viele Anfragen bearbeiten muß*H aktiviert den Heartbeat-Prozeß, damit werden sofort alle Timestamps mit allen Servern ausgetauscht!H verändert das Zeitintervalldes Heartbeat-Prozesses, der Default des Heartbeat ist 30 Minuten*I (root Entry ID)sendet von der angegebenen Partition eine Kopie aller Objekte zu allen anderen
Partitionen. Hierbei handelt es sich um den selben Parameter wie im DSREPAIR mit Send all Objects.!I einstellen des Heartbeat-Schema-Intervalls, der Default liegt bei 30 Minuten!J einstellen des Janitor-Prozesses, der Default liegt bei 2 Minuten, einstellbar ist der Wert zwischen 1
und 10080 Minuten*L startet den Limber-Prozeßs, der die Servernamen, -Adressen und die Verbindungen der Replicas
untereinander prüft*M definiert die maximalen Größe des Trace Files in Byte, der Bereich liegt zwischen 10.000 und
10.000.000 Bytes*R setzt das TTF-File zurück, das unter SYS:\SYSTEM\DSTRACE.dbg zu finden ist, und hat die gleiche Wir-
kung wie das SET-Kommando NDS TRACE FILE LENGHT SET TO ZERO*P zeigt alle Tuning-Parameter und ihre Default-Einstellungen*S führt den Skulker-Prozeß aus, der prüft, ob Replicas auf dem Server sich synchronisieren müßten*SS Führt eine sofortige Schema Synchronisation durch!T ändert das Intervall des Server UP Threshold, wann ein Server-Status geprüft werden soll*U aktiviert den Prozeß, der den Server-Status prüft!V zeigt alle Restricted Versions der DS. Ist die Liste leer, gibt es keine DS, die Restrictions enthält.!W ändert die IPX Requests in Process (RIP) Delay. Der Wert definiert die Zeit, bis ein IPX Time Out veran-
laßt, ein Paket neu zu versenden. Default: 15 Ticks, einstellbar zwischen 1 und 2000.!X ändert die Anzahl der IPX Retries für die DS Server-Server-Kommnunikation. Wird der Retry Count er-
reicht, kommt der NDS Fehler �625. Der Default von 3 ist einstellbar zwischen 1 und 50.
Tabelle 3: Background-Parameter
Hinweis: Sehr sinnvoll um zu kontrollieren, ob Partitions-operationen abgeschlossen wurden oder nicht abgeschlos-sen werden können.RECMAN zeigt alle Meldungen bezüglich der Name BaseTransactions, z. B. Neuaufbau bzw. Verifizieren der inter-nen Hash Tabelle. REPAIR wird zur Zeit nicht verwen-det. RESNAME (RN) zeigt Meldungen bezüglich derResolve Name Anfragen (Tree Walking), SAP bezüglichdes Service Advertising Protocol, wenn der Tree Namemittels SAP propagiert wird. SCHEMA zeigt alle Meldun-gen, die das NDS-Schema betreffen, ob Änderungen oderSynchronisation SKULKER (SYNC, S) ein sehr infor-mativer und hilfreicher Parameter, um Synchronisations-prozesse zwischen Partitionen auf unterschiedlichenServern mitzuschneiden. STREAMS zeigt alle Meldun-gen bezüglich der Stream Attribute Informationen.TIMEVECTOR (TV) zeigt die Meldungen zuSynchronisationsprozessen bezüglich der Timestampszwischen den Replicas. VCLIENT (VC zeigt die ausge-
henden Server-Verbindungen, die zum Austausch derNDS-Informationen nötig sind, sogenannte Virtual ClientConnections der Server.
Background-ProzesseNeben den Debug-Parametern, die Ihnen eine Vielzahl anInformationen zur NDS liefern, gibt es weitere bezüglichverschiedener Background Prozesse. Hiermit lassen sicheinige Operationen direkt anstoßen, ohne auf den entspre-chenden Zeitschwellwert zu warten. Die Kommandos wer-den mit einem Stern * vor dem Parameter aktiviert, zumBeispiel: SET DSTRTACE = *H.Weiterhin gibt es Werte, die den Status, das Timing oderdie Kontrolle für einen Background Prozeß verändern kön-nen. Diese werden mit einem Ausrufezeichen ! vor demParameter gesetzt, zum Beispiel: SET DSTRACE = !H15 , mit einem Wert in Minuten. Tabelle 3 erläutert dieBackground Parameter, die zur Verfügung stehen.
Ausgabe 07/2001
42
07
D
H O
T L
I N E
hH O T L I N EL UCENT TECHNOLOGIES
Max 6000TipsTeil 3: Trouble-Shooting mit Modem-Kommandos
Von Hardy Schlink
Im letzten Beitrag haben wir uns mit dem PPP-Protokoll und seinen Sublayers auseinandergesetzt. Wir konnten an-hand eines PPP-Traces sehen, wie ein ordnungsgemäßer Verbindungsaufbau zwischen zwei Kommunikationspartnernaussieht, und wo es zu Problemen kommen kann. Doch auch die Fehlersuche im Zusammenhang mit der Modemein-wahl soll nicht zu kurz kommen, aus diesem Grund beinhaltet dieser Beitrag die wichtigsten Befehle zur Fehler-diagnose im Zusammenhang mit der analogen Einwahl von Remote-PC´s.
Der Befehl MdbStr modifiziert das Default ModemAT Command des Routers, welches sowohl bei der Ein-wahl als auch bei ausgehenden Modemverbindungen be-nutzt wird, um die Aushandlung der Verbindungs-parameter zu ermöglichen. In älteren Softwareversionenwar es bisher nicht möglich, das AT-Kommando zu än-dern und hiermit auf unterschiedliche Gegebenheiten an-zupassen.Zusätzlich zu diesem Befehl in der Diagnosesession ha-ben Sie im Hauptmenü des Routers die Möglichkeit, eini-ge wenige Parameter im Menü Ethernet / ModConfig/ TServe Options zu ändern, als da wären: V42/MNP, Max Baud und MDM Trn Lvl.
MdbStrDas Kommando MdbStr erlaubt es, den Initialisierungs-string wieder auf seine Defaultwerte zurückzusetzen. DerModemchip, der in der Max6000 seinen Dienst verrich-tet, ist in der Lage, AT-Kommandos bis zur maximalenLänge von 56 Charaktern zu verarbeiten. Um alle mögli-chen Funktionalitäten zu unterstützen, wird jedes AT-Kom-mando in zwei separaten Strings gesendet, wobei man dieOption hat, einen oder beide Strings zu modifizieren. Diebeiden Default-Strings des WAN Access-Switch Max 6000lauten: AT&F0&C1V0W1X4 und AT%C3\N3S2=255S95=44S91=10+MS=11,1,300,33600A.
Wenn Sie die Strings des AT-Kommandos modifizie-ren, so beeinflussen Sie hiermit auch die Funktions-weise der Modems des Routers. Aus diesem Grundmuß der Befehl MdbStr mit äußerster Vorsicht an diegegebene Situation angepaßt werden.
mando mdbstr 1 AT&F0&C1V1W1 ein. Analog hierzuwird der zweite Teil des AT-Command String durch diefolgende Eingabe modifiziert: mdbstr 2 AT%C3\N3S2=255S95=44S91=10+MS=11,1,300,14400A.Sollten Sie nach den Änderungen feststellen, daß dieModems des Routers nicht nach Ihren Vorstellungen ar-beiten, so besteht durch das Ausführen des folgendenBefehls die Möglichkeit, die Modemchips wieder auf ihreDefaultwerte zurückzusetzen: mdbstr 0
ModemDiagDer Befehl ModemDiag listet Diagnostic Informationenüber jedes Modem auf, wenn der Modem Call beendetwurde. Bei diesem Kommando handelt es sich wie so oftschon um ein sogenanntes Toggle, das durch jeden Auf-ruf die entsprechende Funktion ein- bzw. ausschaltet. Istder Befehl ModemDiag enabled, so wird nach jedem Endeeines Modem-Call ein AT&V1 ausgeführt und die Ausga-be anschließend auf dem Bildschirm angezeigt (vgl. Ta-belle 1).
Die Syntax lautet: mdbstr [0] [1] [2] [AT command
string]. Um den ersten String des Modems zu ändern ge-ben Sie an der Console der Diagnosesession das Kom-
MAX> modemdiagTERMINATION REASON LINK DISCONNECTLAST TX data rate 26400 BPSHIGHEST TX data rate 26400 BPSLAST RX data rate 24000 BPSHIGHEST RX data rate 24000 BPSError correction PROTOCOL LAPMData COMPRESSION V42BisLine QUALITY 032Receive LEVEL 017Highest SPX Receive State 67Highest SPX Transmit State 67TERMINATION REASON LINK DISCONNECTLAST TX data rate 28800 BPSHIGHEST TX data rate 31200 BPSLAST RX data rate 28800 BPSHIGHEST RX data rate 28800 BPSError correction PROTOCOL LAPMData COMPRESSION V42BisLine QUALITY 032Receive LEVEL 017Highest SPX Receive State 85
Highest SPX Transmit State 87
43
07
Ausgabe 07/2001
Tabelle1
Variable: Beschreibung:TERMINATION REASON - die Gegenstelle hat den Call beendet.LINK DISCONNECTLOCAL REQUEST der Router initiiert einen Disconnect wegen geringer LeitungsqualitätCARRIER LOSSGSTN CLEARDOWNNO ERROR CORRECTIONINCOMPATIBLE PROTOCOLEXCESSIVE RETRANSMISSIONSDTR LOSSINACTIVITY TIMEOUTINCOMPATIBLE SPEEDSBREAK DISCONNECTKEY ABORT Global Switched Telephonenetwork (GSTN) initiiert den DisconnectLAST TX data rate letzte Datenrate, mit der das Modem der Max gesendet hatHIGHEST TX data rate höchste Datenrate, mit der das Modem der Max gesendet hatLAST RX data rate letzte Datenrate, die vom Modem der Max empfangen wurdeHIGHEST RX data rate höchste Datenrate, die vom Modem der Max empfangen wurdeError correction PROTOCOL ausgehandeltes Error Correction Protocol.Data COMPRESSION ausgehandeltes Data Compression Protocol.Line QUALITY jedes Modem sendet sogenannte Probes, um über die Qualität der
Leitung- und Verbindung entscheiden zu können. Die Variable Line Quality kann Werte zwischen 0 und 128 anzeigen, wobei gilt: Je niedriger der Wert, desto besser ist die Leitungsqualität.
Tabelle 1: Beschreibung der einzelnen Variablen des Kommandos ModemDiag
MDialoutDas Kommando MDialout zeigt Messages an, die sichauf ausgehende Modemverbindungen beziehen. Sie kön-nen diesen Befehl in Verbindung mit dem KommandoModemDrvState verwenden, um detaillierte Informa-tionen über ausgehende Modem-Calls zu erhalten. DerToggle MDialout bewirkt das Ein- oder Ausschaltender Ausgabe auf dem Bildschirm. Im folgenden Beispielversucht ein Modem des Routers einen ausgehenden Mo-dem-Call zu initiieren und erhält dabei keinen Dialtone.MAX> mdialoutMDIALOUT-2/4: CURR state=Await_Off_Hook, NEWevent=Event_Off_HookMDIALOUT-2/4: connected to DSP!MDIALOUT-2/4: rqst tone (14) via channelIndex 0MDIALOUT-2/4: tone generation started.MDIALOUT-2/4: CURR state=Await_Dial_Tone, NEWevent=Event_Dialtone_OnMDIALOUT-2/4: decode timer started.MDIALOUT-2/4: NEW state=Await_1st_DigitMDIALOUT-2/4: enabling tone search, channelindex=0, timeslot=0MDIALOUT-2/4: NEW state=Await_1st_DigitMDIALOUT-2/4: CURR state=Await_1st_Digit, NEWevent=Event_On_HookMDIALOUT-2/4: stopping decode timer.MDIALOUT-2/4: rqst tone (15) via channelIndex 0MDIALOUT-2/4: disabling tone search, channelindex=0MDIALOUT-2/4: disconnected from DSP.MDIALOUT-2/4: NEW state=Await_Off_HookMDIALOUT-2/4: CURR state=Await_Off_Hook, NEWevent=Event_Close_Rqst
MDIALOUT-?/?: NEW state= <DELETED>
ModemDrvDumpMit Hilfe des Befehls erhält der Administrator derMax6000 die Möglichkeit, sich Informationen vom Sta-tus jedes Modems anzeigen zu lassen. Die folgende Nach-richt MODEMDRV-3/0: Unexp Open/Rcode/Rlsd/TimOut=[0,0,0,0]bezieht sich auf Modem 0, es istdas erste Modem der Modem-Card, die in Slot 3 derMax6000 installiert wurde. Die Nummern in den eckigenKlammern zeigen die Anzahl der Calls mit unerwartetenEreignissen:unexpected open requestsunexpected Rcode eventsunexpected release eventsunexpected timeouts
ModemDrvStateDer Befehl ModemDrvState zeigt uns die Kommuni-kation zum und vom Modem-Treiber der Max 6000 anund ermöglicht hiermit, festzustellen, welche Buffer bis-her allokiert und welche AT-Kommandos benutzt wurden,um die entsprechenden Modemverbindungen aufzubau-en. Weiterhin ist durch den Output des Kommandos zusehen, ob der Router Daten in einem Format empfangenhat, das er nicht verstehen kann. Sollte die Qualität derLeitungsverbindung schlecht sein, so wird der Modem-Treiber der Max trotzdem versuchen, die eingehendenDaten vom Modem zu bearbeiten, was aber nicht immergelingt. Ausgeführt wird der Toggle-Befehl einfach durchdie Eingabe von modemdrvstate an der Console des
Ausgabe 07/2001
44
07
H O
T L
I N E
hH O T L I N ERouters. Die Beendigung der Ausgabe wird erreicht, in-dem man den Befehl einfach nochmals eingibt. Tabelle 2zeigt eine Liste der Ergebniscodes und deren Bedeutung.
Tabelle 2Code Bedeutung0 OK1 CONNECT (300 bps)2 RING3 NO CARRIER4 ERROR5 CONNECT 12006 NO DIALTONE7 BUSY8 NO ANSWER9 CONNECT 060010 CONNECT 240011 CONNECT 480012 CONNECT 960013 CONNECT 720014 CONNECT 1200015 CONNECT 1440016 CONNECT 1920017 CONNECT 3840018 CONNECT 5760022 CONNECT 1200/75 (Models with v.23 support only)23 CONNECT 75/1200 (Models with v.23 support only24 DELAYED25 CONNECT 1440032 BLACKLISTED33 FAX34 FCERROR35 DATA40 CARRIER 30043 CONNECT 16800 (V.34 ONLY)44 CARRIER 1200/75 (Models with v.23 support only)45 CARRIER 75/1200 (Models with v.23 support only)46 CARRIER 120047 CARRIER 240048 CARRIER 480049 CARRIER 720050 CARRIER 960051 CARRIER 1200052 CARRIER 1440066 COMPRESSION: CLASS 5 (MNP 5)67 COMPRESSION: V.42BIS (BTLZ)69 COMPRESSION: NONE70 PROTOCOL: NONE77 PROTOCOL: LAP-M (V.42)80 PROTOCOL: ALT (MNP)81 PROTOCOL: ALT - CELLULAR (MNP 10) +FC +FCERROR85 CONNECT 19200 (V.34 ONLY)91 CONNECT 21600 (V.34 ONLY)99 CONNECT 24000 (V.34 ONLY)103 CONNECT 26400 (V.34 ONLY)107 CONNECT 28800 (V.34 ONLY)151 CONNECT 31200 (V.34 ONLY)155* CONNECT 33600 (V.34 ONLY)
Tabelle 2: Ergebniscodes und deren Bedeutung
MODEMDRV-3/1: _processTimeout/DIAL_STR2MODEMDRV: Answer String, Part 2 - AT&C1V0W1X4MODEMDRV-3/1: _hdlcBufSentFnc: buffer = 2E12EAE0,status = SENTMODEMDRV-3/1: _hdlcBufRcvdFnc: data=2E13C038,len=2,parseState[n,v]=[0,0], status= RCVDMODEMDRV-3/1: data = 0MODEMDRV-3/1: _processTimeout/DIAL_STR3MODEMDRV: Answer String, Part 3 -AT%C3\N3S2=255S95=44S91=10+MS=11,1,300,33600A
Sobald die Connection zwischen den beteiligtenKommunikationspartnern ausgehandelt wurde, tau-schen die beiden Modems eine Serie von numeri-schen Ergebniscodes aus. Mit Hilfe des oben genann-ten Kommandos sind Sie in der Lage, sich diese Co-des anzusehen und zu entschlüsseln. Bei dem Er-gebnis handelt es sich unter anderem um die Anzei-ge der ausgehandelten Geschwindigkeit, Error-Correction und Kompressionsprotokolle.
Am BeispielDas folgende Beispiel zeigt einen eingehenden Modem-Call bis zum erfolgreichen Verbindungsaufbau und dieentsprechende Sequenz zur Beendigung einer Modem-verbindung.
MAX> modemdrvstateMODEMDRV debug display is ON
Modem 1 der Modem-Card in Slot 3 wurde angewiesen,den eingehenden Modem-Call zu beantworten
MODEMDRV-3/1: modemOpen modemHandle B04E3898,hdlcHandleB026809C, orig 0
Das Modem ist betriebsbereit und damit verfügbar, umden eingehenden Call zu beantworten
MODEMDRV-3/1: _processOpen/IDLE
Die beiden nächsten Zeilen zeigen den ersten vom Max-Modem gesendeten String. Die zweite Zeile zeigt hierbei,daß es notwendig ist, einen Buffer zu allokieren, um dasKommando auf die WAN-Schnittstelle zu senden.
MODEMDRV: Answer String, Part 1 - AT&F0E0MODEMDRV-3/1: _hdlcBufSentFnc: buffer = 2E12EAE0,status = SENT
Es wurden Buffers für die vom WAN empfangenen Da-ten zugewiesen.
MODEMDRV-3/1: _hdlcBufRcvdFnc: data=2E13ADF0,len=8,parseState[n,v]=[0,0], status= RCVDMODEMDRV-3/1: _hdlcBufRcvdFnc: data=2E13BA20,len=5,parseState[n,v]=[0,0], status= RCVD
Das Modem der Max empfängt ein OK vom rufendenModem.
MODEMDRV-3/1: data =OK
Der gleiche Prozeß wird für String 2 und 3 wiederholt.
45
07
Ausgabe 07/2001
Nun werden die Ergebniscodes übertragen, um Aussagenüber die Charakteristik der Verbindung treffen zu kön-nen. Der Max-Router sendet den Ergebniscode 52 aus(Carrier 14400) und das Modem des Routers empfängtdie gleiche Geschwindigkeit vom rufenden Modem.
MODEMDRV-3/1: _hdlcBufSentFnc: buffer = 2E12EAE0,status = SENTMODEMDRV-3/1: data = 5MODEMDRV-3/1: _hdlcBufRcvdFnc: data=2E13ADF0,len=2, pars-eState[n,v]=[5,0], status= RCVDMODEMDRV-3/1: data = 2MODEMDRV-3/1: decode= 52
Die Ergebniscodes 77 und 67 zeigen an, daß die V.42Error-Correction und die V.42bis Compression erfolgreichausgehandelt wurden.
MODEMDRV-3/1: _hdlcBufRcvdFnc: data=2E13B408,len=1,parseState[n,v]=[2,0], status= RCVDMODEMDRV-3/1: data = 7MODEMDRV-3/1: _hdlcBufRcvdFnc: data=2E13BA20,len=8,parseState[n,v]=[5,0], status= RCVD19DEMDRV-3/1: data = 7MODEMDRV-3/1: decode= 77MODEMDRV-3/1: decode= 67
An diesem Punkt hat der Modem-Call den Status up er-reicht, d.h. der Modem-Treiber der Max hat seine Aufga-be erfüllt. Von hier aus wird der Call an die Ethernet-Ressourcen übergeben.
MODEMDRV-3/1: _processRcodeEvent/AWAITING RLSD,mType=5, RLSD=0MODEMDRV-3/1: _processRlsdChange/AWAITING RLSD = 1
Nachfolgend sehen wir die normale Sequenz für einenModem-Call der von einem der beiden Modems beendetwurde (cleared). Modem 5 der Modem-Card in Slot 7wurde vom vorherigen Call befreit und reinitialisiert.Damit besteht erneute Verfügbarkeit für den nächstenModem-Call.
MODEMDRV-7/5: modemClose modemHandle B04E6F38MODEMDRV-7/5: _closeConnection:ONLINE, event=3MODEMDRV-7/5: _processTimeout/INIT
FazitIm Laufe der Artikelserie haben wir die wichtigstenDiagnosemöglichkeiten des WAN-Access-Switch Max6000 und deren Anwendung kennengelernt. Da es sichbei der Max 6000 um einen Access-Switch mit sehr um-fangreichen Funktionen und Features handelt, konntenwir zwar nur einen ersten Einblick geben, doch solltenSie damit die meisten Fehler, die bei einem Verbindungs-aufbau entstehen können, lokalisieren und beheben kön-nen. Die Erläuterung aller Diagnosebefehle hätte den Rah-men einer solchen Serie gesprengt.Sollten Sie daher Probleme haben, die sich mit den erläu-terten Optionen nicht lösen lassen, so lassen wir Sie aberdamit nicht im Stich.Der technische Support der Compu-Shack Solution bieteteine Vielzahl an Möglichkeiten, um Ihre Probleme in denGriff zu bekommen, angefangen vom telefonischen Sup-port bis zu Fehlerbehebung und Workshops vor Ort.Weitere Informationen erhalten Sie unter:www.technik. compu-shack.com oder telefonischunter 02631/ 983-988.
Kleine Novell Server Tips
Hang-Down
Wenn die Server Console eines Servers - bei NetWare4.11 (bzw. neuer) oder NetWare 5 - nach dem Entladeneines NLMs hängt, kann man den Server eventuell trotz-dem herunterfahren, indem man gleichzeitig CTRL -ALT - ESC drückt (vgl. Abb. ). Wenn der Server nichtkomplett abgestürzt ist, erscheint eine Frage, ob manden Server herunterfahren möchte. Mit Yes kann manden Server down fahren.Bei Netware 5.x läßt sich an dieser Stelle sogar eineweitere Kommandozeile öffnen, in der man weitere Be-fehle absetzen kann, und die man dann mit BYE wiederverläßt. Diese gleichzeitige Tastenkombination CTRL -ALT - ESC funktioniert bei NetWare 4.x aber nur, wennder deutsche Tastaturtreiber LOAD KEYB GERMANY nichtgeladen ist. Dieser läßt sich natürlich im Nachhinein beieinem hängenden System nicht mehr deaktivieren.
Weiterhin gibt es auch die Möglichkeit, einfach dasINSTALL.NLM bzw. NWCONFIG.NLM geladen zu haben,denn eigentlich kommt es beim harten Ausschalten desServers ja hauptsächlich auf das saubere Dismountender Volumes an.Das ist mit einem dieser beiden Programme eventuellnoch machbar, falls die Tastatur noch reagiert, und funk-tioniert auch mit NetWare 3.x.
STRG-ALT-ESC erzeugt ein Notfall-Menü
Ausgabe 07/2001
46
07
D
H O
T L
I N E
hH O T L I N EAVAYA
Argent Branch CTITeil 1: Integrierter Sprach- und Datenrouter im Überblick
Von Armin Schmuck
Avaya - vormals Lucent - bietet mit Argent Branch einen leistungsfähigen Sprach-Datenrouter, der mit der neuenVersion 2.2 interessante Features für die Computer Telefonie Integration bereitstellt. Wir wollen Ihnen das Gerät ineiner kleinen Serie vorstellen. Wir werden Ihnen einen Überblick über den Aufbau, die Funktionen und Leistungs-merkmale von Router und TK- Anlage geben, die gängigen Funktionen im Detail aufzeigen, die PC-Applikationenerläutern und wertvolle Tips zur Konfiguration geben.
Die aktuelle Firmware-Version derArgent Branch ist die 2.2. Die nach-folgend aufgelisteten Funktionen undBeschreibungen beziehen sich aufdiese Version der Firmware. Bei even-tuellen Updates der Anlage ist daraufzu achten, daß alle verwendeten Mo-dule eine eigene Firmware besitzenund dementsprechend alle Moduleaktualisiert werden müssen. Dies gehtjedoch mit Hilfe eines Assistentenrecht komfortabel über den ArgentBranch Manager.
LeistungsmerkmaleArgent Branch kombiniert die moder-nen Leistungsmerkmale von Routerund Remote Access Server mit kom-fortablen Funktionen einer TK-Anla-ge, mit 8 bis maximal 180 Anschlüs-sen für Telefone, Faxgeräte oder Mo-dems, 16 bis 160 ISDN-B-Kanäle undmaximal zwei ISDN- Modulen(PRI30 und/oder BRI8).
TK-AnlageDie Telefonmerkmale umfassen diekomplette Verbindungsbearbeitungwie Halten, Umleiten, Parken, Anneh-men und Umlegen von Anrufen, be-inhalten Rufsperre, Bitte-nicht-stö-ren-Modi, persönliche und system-weite Kurzwahl sowie Quota. DurchPOTS - für Plain Old oder ordinaryTelephone System - können Telefo-nie-Features auf kostengünstige ana-
loge Standardtelefone ausgedehntwerden, z.B. die Anruferanzeige aufTelefonen, die CLIP unterstützen.Über Argent Branch kommunizierenSystemtelefone Index 2010/2030/2050 mit DT Modulen ebenso wieDefinity 6400 Telefone mit DPC16Modulen. Auch ist der Einsatz vonISDN- Telefonen über Argent S
0 mög-
lich. Neben Sammelgruppen - auchmit Ruftonunterscheidung für Grup-pen und Rotationsmodus - oder Über-laufgruppen stehen weitere komfor-table Funktionen zur Verfügung:Leitungsgruppen, Wartemusik undTüröffnerrelais, ISDN-Durchwahl,MSN und Subadressierung, Rufunter-scheidung, Nachtschaltung und Kon-
ferenzschaltung, aber auch Least CostRouting, ACD und Telefonunter-stützung beim Hot-Desking.
Routing und RASArgent Branch vereint mit neuenFirmware-Version 2.2 die Router-Zugangssoftware und Remote AccessServer Software mit RAS-Callback.Argent Branch besitzt einen integrier-ten 8 Port Dualspeed 10/100 BaseTHub und einen WAN Port mit X21und bietet optional 3-Port WAN Mo-dule für maximal 30 ISDN-Daten-kanäle. Unterstützt werden PPP,MultiLink, PPP,V.120,V110,BACPund Hardware-Kompression. Stan-
47
07
Ausgabe 07/2001
dards sind CCP, Stac und MPPC, PAPund CHAP Authentifizierungssicher-heit, aber auch Firewall, DHCP undNAT (FW 2.1). Als Protokoll dienenIP, TCP, IPCP und H323 Gatekeeper,H225, H245, RTP und RTCP. für denInternet-Anschluß gibt es dynamischeIP-Adressierung und LDAP-Unter-stützung. Optional sind ein V.90 Mo-dem - auch mit zwei Ports - und einSprach-Kompressions-Modul für 5 ,10 oder 20 gleichzeitige Voice overIP Anrufe erhältlich.
Sprache und DatenDie dynamische Verwendung vonISDN-Leitungen für die Sprach-Datenkonvergenz erlaubt dieRufnummernanzeige mit Namen imDisplay und am PC und die Einblen-dung des Anrufstatus in der PC-An-wendung, einschließlich Voice-Mail-Weiterleitung an Microsoft E-Mail(Outlook/Exchange) und MAPI. DieIntegration von Dritthersteller-Soft-ware erfolgt über Microsoft TAPI. Alsmitgelieferte PC-Anwendungenerleichert der Alchemy Manager dieKonfiguration und Firmware Up-dates, Phone Manager light erweitertdie Telefonfunktionen auf dem PC,um etwa den Anrufstatus oder denAnlagenstatus bei aktiven Verbindun-gen und nicht angenommenen Anru-fen einzusehen, die TAPI-Service-Provider-Schnittstelle oder das Ruf-protokoll zu kontrollieren. Die Voice-Mail-Leistungsmerkmale umfassenAnrufbeantworterfunktion für indivi-duelle Nutzer, Sammelgruppen undvirtuelle Nutzer. Sicherheit bestehtdurch PIN-Codes. Die Voice MailBox ist lokal und remote abzufragen.Neben Ansagen für Warteschlangenund Sammelgruppen können auchindividuelle Grußansagen hinterlegtwerden. Es gibt eine automatischeCLI-Erkennung. Die Anlage nutzt einH323 Voice over IP Gateway und IP-Telefony über Microsoft NetMeeting.
PC-AnwendungenEinige interessante PC Anwendungensind optional, beispielsweise PhoneManager Pro oder Voicemail Pro miterweiterten Eigenschaften wie Auto
Attendant über mehrere Ebenen undWeiterleitungsoptionen. Es läuft alsDienst auf Windows NT4 oderWindows 2000 Server. Die WindowsOperator Console (WOC) hilft demOperator, mehrere Anrufe oder War-teschlangen effizient zu verteilen. DerCall Logger dient dazu, dieVerbindungsdaten zu protokollieren.Die Funktionen der mitgeliefertenund optionalen Software wollen wirIhnen in der nächsten Ausgabe aus-führlich beschreiben und die Unter-schiede darlegen. In Abbildung 1 se-hen Sie den Argent Branch Manager,das Programm für die Konfigurationder Anlage, der Ausschnitt zeigt aufder linken Seite die auszuwählendenKonfigurationsbereiche, Details wer-den auf der rechten Seite angezeigt.Sie sehen einen Teil der verfügbarenKurzwahlen, mit deren Hilfe sich viel-fältige Konfigurationsaufgaben be-wältigen lassen. Im nächsten Teil wer-den wir einige Beispiele dazu brin-gen.
für die Zukunft weitergehende Optio-nen offen halten zu können. Die ver-schieden Module und Ausbaustufender Anlage möchten wir Ihnen im ein-zelnen aufzeigen.
BasisgerätDas Grundgerät, die Argent Branch,ist wie folgt aufgebaut. Auf der Vor-derseite sind links die LEDs der sechsmöglichen Erweiterungsmodule an-gebracht. Sie zeigen, ob ein Modulkorrekt mit der Argent Branch ver-bunden ist. Dann folgen acht LEDs,die den ISDN-Status anzeigen, sowieeine LED für den WAN-Anschluß.Auf der rechten Seite befinden sichdie acht 10/100 MBit Ethernet-An-schlüsse, links von diesen gibt es eineLAN-Kollision-LED, an jedemEthernet Anschluß eine Link-LEDsowie eine LAN-Aktivitäts-LED. Inder Mitte befindet sich noch die Ge-räte-Status-LED. Für den achtenLAN-Anschluß ist ein Daisy-Chain-Schalter vorhanden, der es Ihnen er-möglicht, auch mit einem geradenUTP-Kabel die Argent Branch an ei-nen Switch oder Hub anzuschließen.Auf der Rückseite befinden sich diesechs Anschlüsse für dieErweiterungsmodule sowie für denWAN Port, den DTE Anschluß, denAnschluß für das mitgelieferte Netz-
Abb. 1: Argent Branch Manager.
ModularitätAufgrund des vollständig modularenAufbaus ist die Argent Branch indi-viduell ausbaufähig, um sich den ak-tuellen Kommunikationsanforder-ungen eines Büros anzupassen und
Ausgabe 07/2001
48
07
teil, eine Audio-Eingangsbuchse (CD-Player), ein Anschluß für externeSteuereinheit sowie zwei Steckplätzefür die ISDN-Basisanschlüsse bzw.Primärmultiplexanschlüsse (S
2M).
ErweiterungsmoduleDie Anlage, wie alle anderen Moduleauch, ist 19-Zoll-fähig und kann soaufgebaut werden, daß entweder 16,30, 38, oder 60 B-Kanäle für gleich-zeitiges Telefonieren zur Verfügungstehen. Dieses ist abhängig von deneingebauten ISDN-Basisanschlüssenbzw. Primärmultiplexanschlüssen. Esstehen insgesamt zwei Steckplätze fürdiese Module zu Verfügung. Ein Mo-dul für ISDN-Basisanschlüsse bestehtaus einem Einschub mit vier RJ-45-Buchsen, an denen je ein NTBA an-geschlossen werden kann, also fürmaximal 8 B-Kanäle. Ein Modul füreinen ISDN-Primärmultiplexanschlußhat eine RJ-45-Buchse, über die es anden NTPM angeschlossen wird undüber dessen Kabel dann 30 B-Kanälelaufen. Die Argent Branch 0808 ist mit2 Modulen für Basisanschlüsse aus-gerüstet, die 3000 mit einem und die3030 mit zwei Primärmultiplexan-schluß-Modulen.Es ist möglich, ein Vierfach-Basisan-schluß- oder ein Primärmultiplex-modul nachträglich selbst einzubau-en und so aus einer Argent Branch3000 eine Argent Branch 3008 zumachen, oder durch Einbau einesweiteren Primärmultiplexmoduleseine Argent 3030 zu erhalten. Wie Sieanhand der verwendeten Bezeichnungsehen können, spiegelt die Nummerimmer die Anzahl der vorhandenen B-Kanäle wieder. Optional wird bei Be-darf in das Grundgehäuse auch dasArgent Modem2 und/oder einKompressionsmodul für 5, 10 oder 20gleichzeitige Voice-over-IP-Gesprä-che eingebaut.
und ein Argent Phone 16 für analogeTelefone und Faxgeräte, ein ArgentS
0 Modul für ISDN-Telefone, zwei
Argent DT 16 Module für System-telefone mit Besetztlampenfeld fürZentrale. Nur der Vollständigkeit hal-ber sei hier der 16 Port 10/100 MBitAutosensing Hub erwähnt, doch derEinsatz dieses Modules wird in denmeisten Fällen nicht zweckmäßigsein.
Argent PhoneAn das Modul Argent Phone (8/16/30) werden die analogen Telefonesowie Faxgeräte oder Modems ange-schlossen. Es gibt dieses Modul mit8, 16 oder 30 Anschlüssen. Mit sechsArgent Phone 30 können Sie die ma-ximale Teilnehmerzahl von 180 errei-chen.
Argent S0Mit den Argent S
0 Modulen 8 oder
16 haben Sie die Möglichkeit, ISDN-Endgeräte wie Telefone, PC-Kartenund Bildschirmtelefone anzuschlie-ßen. Die B-Kanäle der einzelnen An-schlüsse laufen bei Verwendung überden Primärmultiplexanschluß oderdie Basisanschlüsse. Das heißt, Sieschließen das Argent S
0-Modul nicht
direkt an einen NTBA oder NTPM,sondern über einen Erweiterungsan-schluß an die Argent Branch an. Es
werden Punkt-zu-Punkt- und Punkt-zu-Mehrpunkt-Verbindungen unter-stützt. Beachten Sie, daß die S
0 Bus-
se, die intern durch die Argent S0 zur
Verfügung gestellt werden, die mei-sten, jedoch nicht alle länder-spezifischen Funktionen unterstützen.
Argent DT und DCPMit den Argent DT (16) Modulenkönnen Sie als Systemtelefone dieModelle 2010/2030/2050 sowie dasHardware-Besetztlampenfeld 20DSeinsetzen. Es können maximal vierDSS/BLF (Direct Station Select /Busy Lamp Field) angeschlossenwerden. Das DSS/BLF belegt einenAnschluß an dem Argent DT 16, esmuß der nächste des ihm zugeordne-ten Telefons sein. Mit dem ModulArgent DCP 16 werden die DefinityTelefone 6400 unterstützt.
Argent WANDas Argent WAN 3 Modul bietet dreiweitere WAN-Schnittstellen, je nachverwendetem Kabel (optional) kön-nen Sie die Schnittstellen X.21, V35und V24 benutzen.Das WAN3-Modul wird über 10-Mbit-Ethernet an die Argent Branchangeschlossen und nicht über dieErweiterungsanschlüsse. Die je nachSchnittstelle verwendeten Anschluß-kabel sind optional.
Ethernet Technologien, Protokolle undDienste für die Computer-Vernetzung.
Jörg Rech / Jürgen Kuri, ISBN 3-88229-186-9
Ethernet, die heutzutage am häufigsten eingesetzteNetzwerktechnik im LAN, verlangt den Administratorendurch die Vielfalt der Standards und der technischen Aus-führungen ein breites Detailwissen ab.Jörg Rech, den Technik News Lesern seit Jahren alskompetenter Fachautor bekannt, wendet sich zusam-men mit Jürgen Kuri in diesem Buch sowohl an Profisals auch an Einsteiger und stellt die informations- undelektrotechnischen Grundlagen leicht verständlich dar.Der Band liefert wertvolle Hinweise für die Planung, dieFehleranalyse und die Optimierung für Ethernet-LANs,vermittelt alle notwendigen Kenntnisse und stellt die Hilfs-mittel vor. Er erscheint im Heinz Heise Verlag.H
O T
L I N
E
hH O T L I N E
Argent-SerieEs können insgesamt sechs Erweite-rungsmodule an die Argent Branchangeschlossen werden, je nach denAnsprüchen entsprechend gemischt,zum Beispiel zwei Argent Phone 30
49
07
Ausgabe 07/2001
Die Texte zu den angesproche-nen TIDs (technical informationdocuments) und weitere eng-lischsprachige Informationen zuFehlern und Fragen finden Sie inder Novell Knowledge Base: http://support .novel l .com/search/kb_index.htm.
D
NOVELL
FAQs und FactsInteressante Tips der Deutschen Netware FAQ
Von Stefan Braunstein
Die Deutsche Netware FAQ bietet seit Jahren interessante Tips und eine große Toolsammlung rund um Novell NetWare.Stefan Braunstein, der Verwalter der Deutschen Netware FAQ und der Netzwerk-Utility-Sammlung NetwareFiles, lie-fert Technik- News-Leserinnen und -Lesern eine monatliche Serie seiner Tips und Tricks zu NetWare und zu verwand-ten Themen.
Die Deutsche Netware FAQ mit ih-ren wertvollen Tips zu NovellNetWare gibt es auf www.nwfaq.de, die große Toolsammlung zumThema unter www.netwarefiles.de. Dort finden Sie alle Tools,die hier besprochen werde, und vieleandere mehr. Einen direkten Linkhaben Sie auch über Technik Newsonline unter www.technik-news.de.
Login Script einbindenOft ist es erwünscht, neben dem Sy-stem Login Script - bzw. ab Netware4.x neben dem Container Login Script- weitere Login Script Befehle einzu-binden, wenngleich die das LoginScript sehr groß und unübersichtlichmachen. Deshalb wird das oft überdas User Login Script zu behebenversucht, weil sich Login Scripts an-sonsten eigentlich nicht verschach-teln. Dies wiederum erfordert dannaber meist das Editieren aller UserLogin Scripte.Sie können sich damit behelfen, eineASCII-Datei mit den gewünschtenLogin Script Befehlen über INCLUDE[path]<file name> innerhalbdes normalen Login Scripts einzubin-den. Seit der NW 4.x kann man aberauch die Login Scripte von Profilenoder allen anderen NDS-Objekten,die die Eigenschaft loginscriptbesitzen (O, OU, User...), einbinden.Hierzu lautet der Befehl : INCLUDE<objektname>[.<context>].Voraussetzung dabei ist, daß das aus-
führende Objekt zumindest das Lese-recht auf diese Eigenschaft hat.ASCII-Dateien haben den Vorteil, daßsie nicht in SYS:_NETWARE ver-wahrt werden, und sich daher auchmit normalen Texteditoren bearbeitenlassen. Allerdings besteht hier beimehreren Servern der Nachteil, daßsie nicht automatisch über die NDSrepliziert werden.
User Home DirectoryWenn Sie gewohnt sind, ein UserHome Directory über die Login ScriptVariable login_name zu mappen,werden Sie bereits festgestellt haben,daß diese Variablen keine langen Da-teinamen zuläßt, bzw. den Namennach dem achten Buchstaben einfachabschneidet und dann versucht, einnicht existentes Verzeichnis zumappen. Beispiel: MAP x:=vol1:user\%login_name. Wenn Sieaber nun bei Netware 4.x oder 5.x statt%login_name die Variable %CNbzw. %home_directory verwen-
den, können Sie auch Benutzernamenmit mehr als acht Buchstaben benut-zen und auch automatisch mappen.Das home_directory muß natür-lich beim Anlegen des Benutzers de-finiert worden sein. Auch wenn Siemit den Login-Namen zum späterenAuslesen innerhalb einer Batchdateioder aus einem Anwendungspro-gramm heraus mit set xy=login_name ablegen, werden wiedermehr als acht Buchstaben unterstützt.
Sie erreichen den Autor Stefan Braun-stein über: www.braunstein.de.
Ausgabe 07/2001
50
07
D
P R
A X
I SpP R A X I S
GrundlagenGrundlagen
GRUNDLAGEN
EthernetTeil 5: Gigabit Ethernet und Half-Duplex-Mode
Von Hardy Schlink
Wir haben die Spielregeln beim kollisionsbehafteten Wettlauf der Stationen um Senderechte im 10- und 100-MbpsEthernet kennengelernt. Nun wollen wir uns mit Gigabit Ethernet und dem Half-Duplex-Mode beschäftigen. Der Haupt-unterschied bei 1000 Mbps liegt im Prinzip in der Anwendung der Slot-Time, die für Gigabit Ethernet modifiziertwurde, um den speziellen Anforderungen an das Timing, die durch die hohe Datenübertragungsgeschwindigkeit her-vorgerufen werden, gerecht zu werden.
Der Gigabit-Ethernet-Half-Duplex-Mode benutzt die gleichen grundle-genden Mechanismen des CSMA/CD-Protokolls, wie es aus auch in den10- und 100 MBit/s Ethernet-Varian-ten zum Einsatz kommt. Lediglich dieSlot-Time mußte für Gigabit Ethernetmodifiziert wurde, um der hohenDatenübertragungsgeschwindigkeitdes Systems zu genügen.
Half-Duplex-ModeDie ersten Komponenten des Gigabit-Ethernet-Systems wurden ausschließ-lich zur Benutzung des Full-Duplex-Modus entwickelt, bei dem, wie be-reits erwähnt, das CSMA/CD-Proto-koll nicht angewendet wird. Nichtsdesto trotz wurde vom IEEE der Half-Duplex-Mode unter Einbeziehungdes CSMA/CD-Protokolls spezifi-ziert, um sicherzustellen, daß Giga-bit Ethernet den entsprechenden An-forderungen entspricht und in denIEEE 802.3 Standard integriert wer-den konnte. Die wichtigste Aufgabeder Ingenieure bestand also darin, denGigabit-Ethernet-Standard für Half-Duplex-Mode so zu entwickeln, daßauch der Aufbau eines Ethernet-Netz-werkes mit einer zumutbaren Gesamt-länge möglich wird. Dabei wird diemaximale Kabellänge, die zwischenzwei Stationen bestehen darf, durchdie verwendete Slot Time bestimmt,die einen wesentlichen Bestandteildes CSMA/CD-Protokolls darstellt.
KabellängeRepeater, Transceiver und alle ande-ren Interfaces benötigen für ihreFunktion sogenannte Bit-Times. DieKombination dieser Geräte, die in ei-nem Netzwerk Anwendung finden,benötigen die Bit-Times, um Daten-Frames zu bearbeiten und Kollisionenzu erkennen. Die Signale benötigenschließlich nur eine ganz kurze Zeit,um über eine bestimmte Länge einesFiber-Optic- oder Kupferkabels über-tragen zu werden. In einem Gigabit-Ethernet-Netzwerk werden sie zehn-mal so schnell übertragen wie in ei-nem Fast-Ethernet-System, was dazuführt, daß die Bit-Time einem Zehn-tel der in einem Fast-Ethernet-Netz-werk verwendeten Zeit entspricht.Daraus ergeben sich ein verkürztes
Timing der Signalverbreitung undmaximale Parameter für die Kabel-länge in einem Half-Duplex Ethernet-Netzwerk. Ohne Modifikationen anden Timing-Parametern durchzufüh-ren, würde die maximale Ausdehnungeines Gigabit-Ethernet-Netzwerkesebenfalls einem Zehntel der Kabellän-ge des Fast-Ethernet-Systems ent-sprechen, und zwar ca. 20 Meter. Einsolche maximale Entfernung wärevielleicht noch für die Vernetzung vonServern innerhalb eines Raumes aus-reichend, für den Aufbau eines Netz-werkes, welches Gigabit Ethernet biszum Desktop führen soll, ist dies aberzuwenig. Desktop-Verbindungen sindin modernen Gigabit-Strukturen heut-zutage für eine Entfernung von ca.100 Metern ausgelegt, so daß die Ent-
51
07
Ausgabe 07/2001
fernung zwischen zwei Stationenohne weiteres auch 200 Meter betra-gen kann, wenn entsprechendesEquipment wie etwa ein Switch in dasNetzwerk eingebunden wurde. Umeine Entfernung von 200m im Half-Duplex-Mode unter Gigabit Ethernetbereitstellen zu können, war es not-wendig, das Round-Trip-Timing zuerhöhen, um längere Kabelstreckenüberwinden zu können.
Ausweg gesuchtMan hätte natürlich versuchen kön-nen, die internen Operationen derGeräte z.B. bei Repeatern - so zu be-schleunigen, daß man einige Bit-Zeitspart, die während des Durchflussesdes Signals durch einen Repeater be-nötigt wird.Doch war dies mit der Technologie,die während der Definition des Stan-dards zur Verfügung stand, nicht mög-lich. Eine andere Idee, Bit-Zeit zusparen, war, eine Verzögerung derSignale auf dem Medium zu versu-chen. Es stellte sich aber heraus, daßdie Zeit bei der Signalverbreitungnicht reduziert werden konnte, da sol-che Verzögerungen auch von derLichtgeschwindigkeit abhängig sind.Es wäre unwahrscheinlich schwergewesen.Ein Weg, um längere Kabelstreckenzu ermöglichen, wurde in der Spezi-fikation der minimalen Frame-Über-tragung gesucht. Denn wenn die mi-nimale Frame-Zeit erweitert würde,so würde das Ethernet-Signal auchlänger auf dem Kabel verweilen. Die-
ses wiederum führt zu einer Erweite-rung der Round-Trip Time des Sy-stems, und ermöglicht es, 200m überTwisted-Pair-Kabel zu unterstützen.Das große Problem an dieser Überle-gung war die Veränderung der mini-malen Frame-Länge, die zu einer In-kompatibilität mit den anderen Vari-anten des Ethernet führt, die ja wie-derum alle die gleiche Minimum-Frame-Size unterstützen.Die Lösung dieses Problems war es,in einem Gigabit-Ethernet-Netzwerkdie Zeit zu erweitern, die ein Framein einem Half-Duplex-System aktivsein konnte, ohne hierbei die minima-le Frame-Länge zu verändern. DieserMechanismus wird als Carrier Exten-sion bezeichnet (vgl. Abb. 1).
Extension BitsDas Frame-Signal, auch Carrier ge-nannt, wurde erweitert, indem soge-nannte Non-Data-Signals an denFrame angehangen wurden, die denNamen Extension Bits tragen. Diesewerden bei der Übertragung von kur-zen Frames verwendet, so daß dasFrame-Signal für ein Minimum von512 Bytes (4096 Bits) auf dem Me-dium verweilt. Die 512 Bytes oder4096 Bits bilden gleichzeitig die neueSlot Time, die im Gigabit Ethernetverwendet wird.Durch die Anwendung dieser neuenSlot Time wurde es möglich, längereKabeldistanzen zu nutzen, sie wirdaußerdem vom Collsion-Backoff-Al-gorithmus zur Kalkulation der Sende-wiederholung herangezogen.
Die Anwendung der Carrier Extensi-on Bits setzt voraus, daß das darunter-liegende Physical Signaling Systemin der Lage ist, die Non-Data-Sym-bole zu senden und zu empfangen.Die Signalisierung für alle Fiber-Optic- und Kupferkabel eines Giga-bit-Ethernet-Systems basieren auf ei-nem Signal Encoding Scheme, wel-ches Non-Data-Symbole zur Verfü-gung stellt, die wiederum die Carrier-Detection der Transceiver der einzel-nen Stationen aktivieren. Diese Im-plementierung macht es möglich,Non-Data-Symbols als Carrier Exten-sion Bits zu benutzen, ohne hierbeidie Extension-Bits mit reellen Frame-Daten zu verwechseln.
Carrier ExtensionDurch die Carrier Extension wird einminimaler Frame mit einer Größe von64 Bytes (512 Bit) in einem GigabitEthernet-Channel mit zusätzlichen448 Extension Bytes (3584 bits) aus-gesendet, was ein resultierendesCarrier-Signal mit einer Länge von512 Byte (4096 Bit) ergibt. JederFrame, der weniger als 4096 Bits langist, wird also in Abhängigkeit seinerGröße mit Extension-Bits aufgefüllt,bis er eine Länge von 4096 Bits er-reicht.Die Carrier Extension ist ein einfa-ches Mittel, um die maximale Aus-dehnung des Gigabit-Ethernet-Sy-stems zu erweitern, nachteilig wirktsich aber der Overhead aus, der ent-steht, wenn kurze Frames übertragenwerden. Normalerweise ist ein Framemit einem Datenanteil von 46 Byteinsgesamt 64 Byte lang (MinimalFrame Size). Durch die Carrier Ex-tension werden diesem Frame nun448 Bytes an Extension-Bits hinzu-gefügt, er erhält hiermit die Minimal-länge eines Gigabit-Ethernet-Frames(4096 Bits), was zu einer geringenEffizienz bei der Ausnutzung desÜbertragungskanals führt, wenngrößtenteils kurze Frames gesendetwerden. Die Optimierung des Daten-kanals hängt von der Übertragungunterschiedlicher Frame-Größen ab.Nimmt nämlich die Framesize zu, sowird automatisch die Anzahl der Ex-tension-Bits reduziert. Sollte der
Abb. 1: Gigabit Ethernet Carrier Extension
Ausgabe 07/2001
52
07
P R
A X
I SpP R A X I S
GrundlagenGrundlagen
Frame eine Größe von 512 Bytes odermehr haben, so wird in diesem Fallkein Overhead entstehen, da die Ver-wendung der Extension-Bits nichtnötig ist.Bei Gigabit Ethernet wird die Carrier-Extension jedoch nur in Netzwerkeneingesetzt, die im Half-Duplex-Modearbeiten, da hier das CSMA/CD-Pro-tokoll Anwendung findet. Beim Full-Duplex ist CSMA/CD immer deakti-viert, alle Belange bezüglich der SlotTime gelten hier nicht. Aus diesemGrund benötigt Gigabit Ethernet imFull-Duplex-Mode keine Carrier Ex-tension und arbeitet mit der gewohn-ten Effizienz.
Fame BurstingUm die Performance bei Übertragungvon Short Frames in einem Half-Du-plex-Kanal zu steigern, hat der Giga-bit-Ethernet-Standard ein weiteresFeature implementiert, das „FrameBursting“. Das Frame-Bursting ver-setzt eine Station in die Lage, mehrals einen Frame während einer beste-henden Übertragung abzusetzen, wasdie Effizienz des Systems gerade beider Übermittlung von Short Framessteigert. Die totale Länge eines FrameBursts ist auf 65536 Bit-Zeiten plusder Übertragung des Final -Framesbegrenzt, was zum Limit der maxi-malen Burst-Transmission-Time führt(vgl. Abb. 2) Die Arbeitsweise desFrame Busting geht folgendermaßenvonstatten. Der erste Frame der Über-tragung wird wie gewöhnlich initiiert,und je nach der Größe des Frames mitExtension-Bits aufgefüllt. Da eineKollision nur innerhalb der ersten SlotTime auftreten kann, wird sich die-ses auch nur auf den ersten gesende-ten Frame auswirken, er muß erneutversendet werden. Sollte der ersteFrame - einschließlich Extension-Bits- ohne Kollision fehlerfrei übertragenwerden können, so ist eine Station, dieFrame-Bursting unterstützt, befähigt,weitere Frames zu versenden, bis dasBurst-Limit von 65536 Bit-Zeiten er-reicht ist. In dieser Zeit können keineKollisionen vorkommen, und dieFrames, die innerhalb des Burst-Mo-dus versendet werden, benötigen kei-ne Extension Bits.
Special SymbolsUm das Frame Bursting anwenden zukönnen, muß eine Station dafür Sor-ge tragen, daß der Übertragungskanalwährend der Frame-Versendung nichtden Status Idle annehmen kann. Dennsollte dies eintreten, würden andereStationen versuchen, den Kanal zubelegen, was wiederum zu Kollisio-nen führt. Die Station, welche dasFrame Bursting angestoßen hat, hältden Kanal aktiv, indem sie SpecialSymbols sendet, die von den anderenStationen als Non-Data-Symbolewährend der Interframe-Gap-Zeit derFrames verstanden werden. DieserSachverhalt führt dazu, daß alle an-deren Stationen weiterhin den Kanalauf Aktivitäten hin überwachen(Carrier Sense) und ihrerseits keineDatenübertragung starten, was wie-derum die Station, die die erste Da-tenübertragung gestartet hat, dazubefähigt, ihre Frame-Burst-Übertra-gung fortzusetzen, ohne daß es hier-bei zu Kollisionen kommen kann.Frames, die innerhalb des Burst-Mo-dus versendet werden, benötigen kei-ne Extension Bits!
Gigabit-Ethernet-Standard
Ab 1998 enstanden die entsprechen-den IEEE-Standards zur Definition
des Gigabit Ethernet. Ziel war es, diemaximale Datenübertragungs-geschwindigkeit im Netzwerk gegen-über der Fast-Ethernet-Technologieum den Faktor 10 zu erhöhen. Zuerstwurden die Standards für Fiber-Optic-Verkabelungen definiert, die Spezifi-kationen für 1000 Mbps überTwisted-Pair-Kabel, die mindestensder Kategorie-5 entsprechen müssen,erfolgte anschließend. Dieser Stan-dard wurde im Jahre 2000 verabschie-det. Gigabit Ethernet wurde in ersterLinie konzipiert, um die Bandbreitein den Backbones zu erhöhen, diedurch das immer größer werdendeDatenaufkommen den Anforderun-gen nicht mehr gerecht werden konn-ten. Um die Bandbreite im Backbonenochmals erhöhen zu können, wurdeder Full-Duplex-Mode in die Spezi-fikationen mit einbezogen, denn mitseiner Hilfe sollte es möglich werden,die Bandbreite auf 2000 Mbps zu er-höhen, ohne hierfür zusätzliche Ko-sten tragen zu müssen.
Abb. 2: Gigabit Ethernet Frame Bursting
SignalisierungDie Signalisierungstechnologie, wel-che für den Fibre-Channel Standardund das Twisted-Pair Fast-EthernetMediensystem entwickelt wurde,wird zum Teil auch unter GigabitEthernet angewendet. Hierzu waren
53
07
Ausgabe 07/2001
aber einige Erweiterungen notwen-dig. Die Fiber-Optic Variante desGigabit-Ethernet basiert auf demBlock-Encoding, wie es ursprünglichfür den Fibre-Channel Standard ent-wickelt wurde. Er definiert die fünfOperation-Layer FC0 bis FC4. DieLayer FC0 und FC1 sind diejenigen,die vom Gigabit-Ethernet Standardadaptiert wurden. Hierbei definiertFC0 den Basic-Physical-Link, der dieMedien Interfaces einschließt, diewiederum mit verschiedenen Bitratenoperieren können. FC1 hingegen spe-zifiziert das Signal-Encoding- undDecoding wie auch die Error-Detection.
Signal-EncodingDas Signal-Encoding, wie es im1000Base-X Standard angewendetwird, wird als 8B/10B bezeichnet. Indiesem Encoding-System werden 8-Bit Daten in 10-Bit Code-Groups in-tegriert, um über das Medium über-tragen werden zu können. Durch das10-Bit Encoding-Verfahren wird esermöglicht, eintausendvierundzwan-zig 10-Bit Code-Groups zu versen-den. Hiervon sind 256 Code-Groupsfür die Versendung der 8-Bit Daten
über die entsprechende Verbindungverantwortlich, der andere Satz vonCode-Groups wird für spezielleControl-Character verwendet.
Code-GroupsDie Verfügbarkeit von 1024 10-BitCode-Groups ermöglicht es, ein spe-zielles Set von 256 Data Code-Groupsauszuwählen, die über genügendSignalübergänge verfügen, um eineadäquate Clock Recovery am Recei-ver, der am Ende des Links liegen-den Station, sicherzustellen. DieCode-Groups, die zur Versendung derDaten verwendet werden, stellen si-cher, daß die Anzahl von Einsen undNullen, die über einen gewissen Zeit-raum gesendet werden, ungefährgleich sind. Die speziellen Code-Groups werden unter anderem ver-wendet, um das Idle-Signal zu codie-ren, welches kontinuierlich ausgesen-det wird, wenn keine anderen Datenauf dem Medium vorhanden sind.Eine andere Aufgabe der speziellenCode-Groups ist das Senden derCarrier-Extension-Bits und das Defi-nieren des Starts eines Frames, genau-so wie das Anzeigen des Endes einesFrames.
PhysikalischDie Signalisierung auf der physikali-schen Verbindung, die zur Versen-dung der 10-Bit Code-Groups Ver-wendung findet, basiert auf NRZ,dem Non Return to Zero Line-Code.Hierbei handelt es sich um einen sim-plen Line-Signaling-Code, bei demeine logische Eins in einen High-Voltage-Level mündet, eine logischeNull hingegen durch einen Low-Voltage-Level repräsentiert wird.Um die 10-Bit Code-Groups über ei-nen NRZ Line-Code versenden zukönnen, wird für eine 1000 MbpsEthernetdatenrate eine 1.250 MBaudSignalrate benötigt.
1000Base-TDie Entwicklung des IEEE 1000Base-T Twisted-Pair Gigabit-EthernetStandards führte zur Implementie-rung eines weiteren Block-Encodingund Line-Signaling Verfahrens. Umdie Übertragung von 1000 Mbps überein Twisted-Pair Kabel der Katego-rie 5 realisieren zu können, mußtendie Ingenieure einige Klimmzügeveranstalten. Doch am Ende wurdeeine entsprechende Lösung gefunden.Der IEEE 1000Base-T Twisted-PairKabel Standard ist inzwischen verab-schiedet worden.
Die IEEE Standards für GigaBit Ethernet enstanden ab 1998. 1000Base-X stehtstellvertretend für Standards für verschiedene Medien. Zur Übertragung wird die8B/10B Block-Codierung verwendet, welche vom Fibre-Channel Netzwerkstandardder ANSI übernommen wurde. 1000Base-X untergliedert sich in die Substandards1000Base-SX, 1000Base-LX und 1000Base-CX.
IEEE 1000Base-SXDieser Standard definiert die Datenübertragung über Fiber-Optic Links. Das S stehtfür �short� und verweist auf die kurzen Wellenlängen, das X bedeutet eine von dreiVersionen, die alle die Implementierung des gleichen Block-Codierungsverfahrenaufweisen.
IEEE 1000Base-LXDas L indiziert eine Datenübertragung von 1000 Mbps über Fiber-Optic Kabel mitlängeren Wellenlängen.
IEEE 1000Base-CXDieser Gigabit Standard beschreibt die Übertragung über Short Copper Cable undbasiert auf dem Orginal Fibre-Channel Standard.
IEEE 1000Base-TIn dieser Spezifikation wird die Übertragung auf Twisted-Pair Kabel der Kategorie 5definiert. Sie basiert auf einem anderen Codierungsverfahren als die vorgenann-ten Varianten des GigaBit Ethernet Standards.
Gigabit Standards
Block-Encoding SchemaDas 1000Base-T System verwendetein Block-Encoding Schema, welchesden Namen 4D-PAM5 trägt.Hierbei werden die Daten über allevier Paare bzw. die acht Leitungen desTwisted-Pair Kabels übertragen. DasEncoding Verfahren übersetzt 8 BitDaten in vier Codesymbols (4D), diegleichzeitig übertragen werden müs-sen. Die Code Symbole werden un-ter Benutzung des PAM5 Signals - 5-Level Pulse Amplitude Modulated -versendet. Das 5-Level-Line-Signa-ling-System enthält ein Error-Correc-tion-Signal, um die Signal to NoiseRatio auf dem Kabel zu verbessern.
Ausgabe 07/2001
54
07
D
P R
A X
I SpP R A X I S
SECURITY
FirewallsTeil 2: Cisco Secure PIX
Von Jörg Marx
Nachdem wir uns mit dem Novell Bordermanager eine Software-Firewall angesehen haben, möchten wir Ihnen dies-mal eine Hardware-Lösung vorstellen. Die Cisco Secure PIX Firewall-Serie bietet umfassende Sicherheitsfunktionenin einer einfach zu installierenden integrierten Komponente mit Echtzeitbetriebssystem.
Doch mit der PIX 535 bietetCisco als erster Hersteller so-gar die Unterstützung fürGigabit Ethernet in einerHardware Firewall an. Sie ver-fügt über einen Klartextdurch-satz mit 1,0 Gbps, 500.000gleichzeitigen Verbindungen,7000 Verbindungen pro Se-kunde und 2000 gleichzeitigeVPN-Tunnelenden. Somitdürfte die 535 die wohlschnellste Firewall auf demMarkt sein.
NetzwerkkartenDank ihrer Flexibilität undSkalierbarkeit in Kombinationmit einer großen Auswahl anPlattformen und Funktions-merkmalen kann eine PIX diehohen Sicherheitsanforderun-gen erfüllen. Die Cisco SecurePIX Firewall-Serie unterstützt
eine große Anzahl an Netzwerk-schnittstellenkarten (NICs), um diebenötigte Plattformerweiterungs-fähigkeit bereitzustellen, ohne dabeidie Vorteile eines eingebetteten Sy-stems zu mindern. Zu den Standard-NICs gehören u.a. Einzel- oder 4-Port-10/100-Fast Ethernet-, 4/16-Token-Ring- und Dual-attached-Multimode-FDDI-Karten.
DHCP-UnterstützungDas Dynamic Host ConfigurationProtocol (DHCP) wird innerhalb derPIX Firewall unterstützt. Das DHCP
Die Cisco Secure PIXFirewall-Serie ermöglicht denrigorosen und vollständigenFirewall-Schutz eines internenNetzwerks vor der Außenwelt.Im Unterschied zu CPU-bela-stenden Vollzeit-Proxy-Ser-vern, die für jedes Datenpaketeinen umfangreichen Bearbei-tungsprozeß auf Anwendungs-ebene durchführen, benutzendie Cisco Secure PIX Fire-walls ein eigenes - nicht aufUNIX basierendes - sicheresEchtzeitbetriebssystem. Beider aktuellen Version 5.2 han-delt es sich also um ein dedi-ziertes Firewall-Betriebssy-stem. Die Version 6.0 ist zurZeit in der Beta-Testphase undwahrscheinlich im drittenQuartal freigegeben. Als inte-griertes Hard- und Software-Paket liefert eine Pix komplet-ten, verbindungsorientiertenFirewall-Schutz, IP Security (IPsec)und VPN-Fähigkeiten, mit denen Sieein internes Netzwerk kompromißlosvor der Außenwelt schützen können.Kompatibilität besteht zu CiscoSecure VPN Client, Version 1.1, oderCisco VPN 3000 Client, Version 2.5oder höher. Beide können mitWindows 95, 98 und NT-Version 4.0verwendet werden.
DurchsatzDie Cisco Serie bietet einen sehr ho-hen Sicherheitsstandard, Zuverlässig-keit und Leistung. Die PIX Firewallserlauben bis zu 256.000 simultaneVerbindungen, über 6500 Verbindun-gen pro Sekunde und einen Durch-satz von fast 170 Megabit pro Sekun-de. Dieses Leistungsniveau liegt be-reits deutlich höher als das von ande-
ren Firewalls in Ge-räteform oder sol-chen, die auf allge-meinen Betriebssy-stemen basieren.
55
07
Ausgabe 07/2001
ist eine Methode zur automatischenZuweisung einer TCP/IP-Adresse auseinem Adreß-Pool an einen anfor-dernden Client. Statische IP-Adressenbrauchen nicht mehr manuell zuge-wiesen zu werden. Die Implementie-rung von DHCP-Client- und -Server-funktionsmerkmalen in die PIX be-deutet eine merkliche Vereinfachungder Einführung in Breitbandumge-bungen mit Kabel- und digitalen Teil-nehmerleitungen wie der DigitalSubscriber Line (DSL), in denen diePflege von statischen IP-Adressenkostspielig und umständlich seinkann.
Websense-FilterDie PIX Firewall arbeitet gemeinsammit der Websense Enterprise-Soft-ware, um URLs aktiv zu filtern undso zu steuern, daß ausgewählte Web-Sites den Benutzern zugänglich sind.In der PIX Version 5.2 kann eineGruppen- und Benutzernamen-Authentisierung zwischen einem Hostund der Firewall aktiviert werden. DiePIX schlägt den Benutzernamen nach,der Websense-Server führt die URL-Filterung und Protokollierung desBenutzernamens durch.Mit der Version 4 des Websense-Pro-tokolls kann die PIX Firewall über dieURL-Filterung ausgehende URL-An-forderungen mit der auf demWebsense-Server definierten Richtli-nie überprüfen. Die Protokollierungdes Benutzernamens verfolgt Benut-zer, Gruppen und den Domänen-namen auf dem Websense-Server.Durch das Benutzernamen-Lookupkann die PIX Firewall die Tabelle fürdie Benutzerauthentisierung zur Zu-ordnung der IP-Adresse des Hostszum Benutzernamen verwenden.
Secure ShellBei der Fernkonfiguration einer PIXFirewall wird eine Telnet-Verbindungaufgebaut. Diese Methode gestattetedie höchste, von Telnet bereitgestell-te Sicherheit durch Verschlüsselungauf niedrigerer Schicht (z. B. IPsec)und Anwendungssicherheit durchAuthentisierung mit Benutzernameund Kennwort auf dem entfernten
Host. Die PIX unterstützt zusätzlichdie Version 1 von Secure Shell (SSH),eine Anwendung, die über einer zu-verlässigen Transportschicht, wieetwa TCP/IP abläuft, und starkeAuthentisierungs- und Verschlüsse-lungsfähigkeiten bereitstellt. SSH un-terstützt die Anmeldung an einen an-deren Computer über ein Netzwerk,führt Befehle entfernt aus und ver-schiebt Dateien von einem Host zumanderen.Mithilfe der PIX können bis zu fünfSSH-Clients gleichzeitig auf die PIXFirewall-Konsole zugreifen. Sie kön-nen bestimmte Hosts oder Netzwer-ke definieren, die zum Aufbau einerSSH-Verbindung zur PIX Firewallberechtigt sind, sowie festlegen, wielange eine Sitzung inaktiv ist, bevordie Verbindung unterbrochen wird.SSH ist nur mit einem Data Encryp-tion Standard (DES)- oder TripleDES-Aktivierungsschlüssel verfüg-bar. Er gehört zum Lieferumfang je-der PIX und muß lediglich einmalüber das Internet aktiviert werden.
ZertifizierungDie PIX Firewall unterstützt nicht nurServer der Entrust and VerisignCertification Authority (CA), sondernauch das UniCert Certificate Mana-gement System von Baltimore undden Microsoft Windows 2000Advanced Server. Eine CA ist eineDrittpartei, der explizit vertraut wird,Identitäten zu überprüfen und digita-le Zertifikate zu erstellen. Sie ist da-für verantwortlich, Anforderungennach digitalen Zertifikaten zu verwal-ten und Zertifikate an teilnehmendeIPsec-Netzwerk-Peers auszugeben.Diese Dienste stellen ein zentralisier-tes Schlüsselmanagement für die teil-nehmenden Peers bereit und verein-fachen die Verwaltung von IPsec-Netzwerkgeräten (Peers).
TCP InterceptMit der TCP-Abfangfunktion bietetdie PIX einen verstärkten Schutz fürSysteme, die für TCP SYN-Angriffeanfällig sind. Sobald die optionale,embryonale Verbindungsgrenze er-reicht ist, und bis die embryonische
Verbindungszahl unter diesenSchwellenwert fällt, wird jede für denbetroffenen Server bestimmte SYNabgefangen. Bei jeder SYN reagiertdie PIX Firewall für den Server miteinem leeren SYN/ACK-Segment.Sie behält relevante Statusinforma-tionen, verwirft das Paket und wartetauf die Client-Bestätigung. Bei Empfang der Bestätigung wirdeine Kopie des SYN-Segments desClients an den Server gesendet unddie Dreiweg-TCP-Quittung zwischender PIX Firewall und dem Server aus-geführt. Nur wenn diese Dreiweg-Quittung abgeschlossen ist, wird dieVerbindung wie normal wieder auf-genommen. Falls der Client zu kei-ner Zeit während der Verbindungs-phase reagiert, überträgt die PIXFirewall unter Verwendung exponen-tieller Back-offs das notwendige Seg-ment erneut.
Reverse PathWegen der potentiellen Gefahr des IP-Spoofing im IP-Protokoll müssen, woimmer möglich, Maßnahmen zur Ein-dämmung dieses Risikos unternom-men werden. Unicast Reverse PathForwarding (RPF) oder Gegenrouten-Lookups stellen unter gewissen Um-ständen eine gute Methode zum Ver-hindern einer solchen Manipulationdar. Unicast RPF ist eine Input-Funk-tion, die eingehende Pakete bei derAnkunft an einer Schnittstelle unter-sucht. In der Version 5.2 können Sieangeben, welche Schnittstellen voreinem IP-Spoofing-Angriff unter Ver-wendung der in RFC 2267 beschrie-benen Eingangs- und Ausgangs-filterung geschützt werden sollen.
Ein- und AusgangBei der Eingangsfilterung werden ein-gehende Pakete auf die Integrität derIP-Quelladresse überprüft. Falls daseingehende Paket keine Quelladressebesitzt, die durch eine Route darge-stellt wird, kann nicht festgestelltwerden, ob es auf dem bestmöglichenPfad zurück zum Ursprung einging.Dies ist oft der Fall, da Routingele-mente nicht für jedes Netzwerk Rou-ten aufrechterhalten können.
Ausgabe 07/2001
56
07
P R
A X
I SpP R A X I S
Bei der Ausgangsfilterung werdenPakete an Hosts außerhalb der gema-nagten Domäne daraufhin überprüft,ob sie IP-Quelladressen besitzen, diedurch Routen in der lokalen Routing-Tabelle des vorschreibenden Ele-ments verifiziert werden können.Falls ein abgehendes Paket nicht aufdem besten Rückweg zum Ursprungeingeht, wird es verworfen und derVorgang protokolliert. Die Ausgangs-filterung verhindert Angriffe seitensinterner Benutzer unter Verwendungvon IP-Quelladressen außerhalb derlokalen Domäne. Da bei den meistenAngriffen die Identität des angreifen-den Hosts mit Hilfe von IP-Spoofingverborgen wird, erleichtert die Aus-gangsfilterung das Aufspüren desAngriffursprungs. Die Ausgangsfilte-rung schreibt vor, daß IP-Quell-adres-sen aus einem gültigen Pool von Netz-werkadressen stammen. LokaleAdressen des vorschreibenden Ele-ments sind leicht aufzuspüren.
KonfigurationIm Normalfall wird die PIX mit einer Telnet- oder Hyperterminal-Verbin-dung konfiguriert. Es handelt sich hierbei um Kommandozeilen, die ein-zeln eingetragen werden müssen. Wer ein wenig die Cisco-IOS Konfigu-ration kennt, wird sich auf der PIX direkt wohlfühlen, einziger Unterschiedist, daß Sie keine Interface-spezifischen Konfigurationen haben, denn alleKommandos werden auf der Root ausgeführt. Hier eine kleine Beispiel-konfiguration für die PIX Version 5.2:
# Definition der Interfacenamen mit Security Levelnameif ethernet0 outside security0nameif ethernet1 inside security100nameif ethernet2 DMZ security10# Zugangspasswort der PIXenable password 2KFQnbNIdI.2KYOU encryptedpasswd 2KFQnbNIdI.2KYOU encryptedhostname pixfirewall# Context-Based Access Control Listenfixup protocol ftp 21fixup protocol http 80fixup protocol smtp 25fixup protocol h323 1720fixup protocol rsh 514fixup protocol sqlnet 1521# Definition der Logging Informationenno namesno pagerno logging timestampno logging consoleno logging monitorno logging bufferedlogging trap debugginglogging facility 20logging queue 512logging host inside 192.168.1.2logging host inside 10.1.11.7# Network Interface Configurationinterface ethernet0 10basetinterface ethernet1 10basetinterface ethernet2 automtu outside 1500mtu inside 1500mtu DMZ 1500ip address outside 10.1.1.88 255.255.255.0ip address inside 10.1.11.1 255.255.255.0ip address DMZ 127.0.0.1 255.255.255.255# Konfiguration für die Failover PIXno failoverfailover timeout 0:00:00failover ip address outside 0.0.0.0failover ip address inside 0.0.0.0failover ip address DMZ 0.0.0.0arp timeout 14400# Network Adress Translation Definitionenglobal (outside) 1 10.1.1.60-10.1.1.87nat (inside) 1 0.0.0.0 0.0.0.0 0 0#
Failover PollingDie verbindungsorientierte, konfi-gurierbare Failover-Option der PIXFirewall gewährleistet hohe Verfüg-barkeit und eliminiert einzelne Fehler-ursachen. Laufen zwei PIX Firewallsparallel, so erhält bei einem Ausfalldie zweite PIX Firewall automatischdie Sicherheitsoperationen transpa-rent aufrecht. Standardmäßig sendendie beiden Einheiten einander alle 15Sekunden Failover-Hallo-Pakete.Diese Daten liefern die Einheiten-identifikation primär oder sekundär,den Stromstatus der anderen Einheitund dienen als Verknüpfung bei ver-schiedenen Failover-Kommunikat-ionen zwischen den beiden Einheiten.Die Version 5.2 der PIX-Software läßtSie das Intervall zwischen Failover-Hallo-Paketen konfigurieren. DerMindestwert ist drei, der Höchstwert15 Sekunden. Bei einer schnellerenPolling-Zeit kann die PIX FirewallAusfälle erkennen und ein schnelle-res Failover auslösen. Dazu benöti-gen Sie eine zweite PIX in gleicherAusstattung. Sollte Sie dieses Featureinteressieren, geben Sie das beimKauf kund, damit man Ihnen ein ko-stengünstigeres Bundle anbietet.
57
07
Ausgabe 07/2001
conduit permit icmp any any# Abschalten des RIP Routingsno rip outside passiveno rip outside defaultno rip inside passiveno rip inside defaultno rip DMZ passiveno rip DMZ default# Definition der Default Routeroute outside 0.0.0.0 0.0.0.0 10.1.1.4 1timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp0:02:00timeout rpc 0:10:00 h323 0:05:00timeout uauth 0:05:00 absolute# Festlegung des Authentifizierungs Serversaaa-server TACACS+ protocol tacacs+aaa-server RADIUS protocol radiusno snmp-server locationno snmp-server contactsnmp-server community publicno snmp-server enable traps# Zugriff über Telnettelnet 192.168.1.2 255.255.255.255telnet 192.168.1.2 255.255.255.0telnet 10.1.11.4 255.255.255.255telnet timeout 5terminal width 80Cryptochecksum:0316b70b53115148cd78892a4751f711: end[OK]pixfirewall#
ZugriffslistenDie PIX Firewall akzeptiertBenutzergruppenattribute von einemRADIUS-Authentisierungsserver.Nachdem die PIX Firewall einen Be-nutzer authentisiert hat, kann sie nundas vom Authentisierungsserver zu-rückgegebene ACL-Attribut desCisco Secure Access Control Server(ACS) verwenden, um eine Zugriffs-liste für eine angegebene Benutzer-gruppe zu identifizieren. Beispiels-weise könnten Zugriffslisten für jedeAbteilung in einer Organisation - z.B.Verkauf, Marketing, Technik - vorlie-gen. Die PIX Firewall bietet dieselbeFunktionalität für TACACS+, um Be-ständigkeit zu gewährleisten. Für Ra-dius bzw. TACACS+ muß entwederder Cisco ACS-Server oder irgendeinanderer Radius-Server käuflich er-worben werden.Bei ICMP-Zugriffslisten über InternetControl Message Protocol kann diePIX den ICMP-Datenverkehr, der ander PIX endet, zulassen oder verwei-gern. Dies bedeutet im wesentlichen,
daß Sie ein Pinging an eine Schnitt-stelle aktivieren oder deaktivierenkönnen. Bei deaktiviertem Pingingkann die PIX Firewall fast gar nichtim Netzwerk entdeckt werden.
IP-FragmentierungDie Pix verfügt über Syslog-Meldun-gen, die darauf hinweisen, wenn IP-Fragmentierungsangriffe - sogenann-te Teardrops - erkannt werden. Dieseerscheinen, wenn ein IP-Fragment au-tomatisch verworfen wird, weil Paket-fragmente mit derselben IP-ID eintra-fen. Die PIX reagiert, wenn dieFirewall oder ein dahinter liegendesSystem einem IP-Fragmentierungs-angriff ausgesetzt ist, oder mehr Frag-mente legitim empfängt, als sie ver-arbeiten kann, weil ein Schwellenwertzur Verhinderung eines Fragmentan-griffs angegeben wurde. Oder es gehtein Fragment ein, das eine höhereGröße als die zugelassene Größe ei-nes IP-Pakets - also mehr als 65.535Byte - angibt.
H.323-ProtokolleDas von der Internet EngineeringTask Force (IETF) festgelegte Sessi-on Initiation Protocol (SIP) ermög-licht Anrufverarbeitungssitzungen,insbesondere Audiokonferenzen oderAnrufe zwischen zwei Parteien. SIParbeitet mit dem Session DescriptionProtocol (SDP), das die Anrufe vorder Anrufverarbeitung definiert. Mit-hilfe des SIP kann die Cisco SecurePIX Firewall Voice-over-IP (VoIP)und alle Proxy-Server unterstützen,die VoIP verwenden. SIP und SDPsind Teil der Version 2 der H.323-Protokollsuite, die die H.245- undH.225-Protokolle für die Anrufaus-handlung einschließt. Das SessionInitiation Protocol ist in der RFC2543, das Session Description Proto-col in RFC 2327 definiert.H.323 ist ein Suite von Protokollen,die von der International Telecom-munication Union (ITU) für Multime-dia-Konferenzen über lokale Netzedefiniert wurden. Die H.323 Version2 fügt der PIX Firewall die folgendeFunktionalität hinzu: Fast Connect-oder Fast Start-Vorgehensweise füreine schnellere Anrufeinrichtung, dasH.245-Tunneling für Ressourcener-haltung, Anrufsynchronisierung undgeringere Einrichtungszeit sowie An-rufumleitung.
AngriffserkennungDas Cisco Secure-Angriffserken-nungsystem bietet die für den Netz-werkbetrieb eines Großunternehmenserforderliche Benutzerfreundlichkeit,Skalierbarkeit, Leistung und Zuver-lässigkeit. Als dynamische Sicher-heitskomponente der durchgängigenCisco-Sicherheitsprodukte, die Fire-walls, Verschlüsselungs- und Authen-tifizierungsfunktionen enthält, kanndas Cisco Secure-Angriffserken-nungssystem - das Intrusion DetectionSystem (IDS) - sowohl in Internet, alsauch in Intranet-Umgebungen einge-setzt werden, um das gesamte Netz-werk einer Organisation zu schützen.Das Cisco Secure-IDS enthält zweiKomponenten: Sensor und Director.Die Cisco Secure IDS-Sensoren sindHochgeschwindigkeits-Netzwerk-
Ausgabe 07/2001
58
07
geräte, die Inhalt und Kontext einzel-ner Netzwerkpakete analysieren, umfestzustellen, ob sie autorisiert sind.Wird ein Eindringling festgestellt,beispielsweise ein SATAN-Angriff(System Administrators Tool forAnalyzing Networks) oder ein Ping-Sweep, oder sendet ein interner Mit-arbeiter ein Dokument nach außen,das ein unternehmenseigenes Code-wort enthält, so können Cisco SecureIDS-Sensoren den Mißbrauch inEchtzeit erkennen, einen Alarm aneine Cisco Secure IDS-Director-Ma-nagementkonsole zur geografischenAnzeige senden, und den Urheber ausdem Netzwerk entfernen. Beim IDShandelt es sich wiederum um ein Zu-satzprodukt, welches käuflich erwor-ben werden muß.
Tools für Cisco PIXDer Cisco Secure Policy Manager 2.2Cisco Secure Policy Manager ist einskalierbares, leistungsstarkes, regel-basiertes Sicherheitsmanagement-system für Cisco-Firewalls, InternetProtocol Security (IPsec), VPN-Rou-ter und IDS-Sensoren. Der SecureScanner - bisher unter der Bezeich-nung NetSonar bekannt - bietet um-fassende Möglichkeiten zur Ermitt-lung von Schwachstellen und zurKartierung des Netzwerks. Der Scan-ner automatisiert das proaktive Audi-ting des Sicherheitszustands einesNetzwerks, um Sicherheitsschwach-stellen aufzudecken und Sicherheits-richtlinien zu überprüfen. Darüberhinaus ermöglicht der Scanner demBenutzer das Messen der Sicherheit,Risikomanagement und die Beseiti-gung von Schwachstellen. Mit CiscoSecure Scanner brauchen Benutzerkeine Sicherheitsexperten mehr zusein, um über ausreichendes Sicher-heits-Know-how zu verfügen.
Performance werden höchsten An-sprüchen gerecht. Mit ihren Toolsvereinfacht Cisco die Installation undAdministration über eine Windows-Oberfläche. Mit dem IntrusionDetection System und dem SecureScanner sehen Sie gleich, wer ver-sucht, sich in Ihr System einzuwählen,können selbst die Sicherheit überprü-fen und gefundene Löcher direkt stop-fen. Da der Preis für diese komplettLösung relativ hoch ist, kommt die
LearnKey´sOffice 2000Edition
Computer Based Trainings als Gesamtausgabe
8 CDs mit Übungsbüchern für nur 249,- DM (inkl. MwSt)
Aus- und Weiterbildung gehören längst zu einer modernen Firmenkultur undsind unabdingbar für ein produktives Arbeiten im Unternehmen. Für die neuenMicrosoft Office 2000 Programme eröffnet die LearnKey Edition dazu einekomplette digitale Seminarreihe in multimedialer Darstellung. In mehr als 1500praxisnahen Beispielen erlernen die Anwender nicht nur die Grundlagen derOffice Anwendungen, sondern auch weitergehende professionelle Bearbeitungs-weisen in den Professional-Seminaren.
Office 2000 CBT-ReiheDie Computer Based Trainings der LearnKey-Reihe zu Office 2000 gibt es jetzt ineiner einmaligen Gesamtausgabe der erfolgreichen Lernprogramme für dieMicrosoft Office-Produkte. Das CBT-Paket aus acht CDs besteht aus digitalenSeminaren zu Word 2000 Basis und Professional, Excel Basis und Professional,Access 2000, PowerPoint 2000, Outlook 2000 und Windows �98.Eine effektivere und kostengünstigere Möglichkeit für die Einarbeitung neuerMitarbeiter oder die private Weiterbildung gibt es wohl kaum. Unter dem Motto�Auf den Punkt gebracht!� behandeln alle Titel ausschließlich Funktionen, die amhäufigsten in der Praxis benötigt werden.Sie bieten geballtes Know-how für die Arbeit mit Office 2000.
Alle Bücher im PDF Format
Selbst komplizierte Themen wie Datenbanken in Access 2000 oder die uner-schöpflichen Möglichkeiten von PowerPoint lassen sich nun per Video unabhän-gig und effektiv erlernen und führen schnell zu verwertbaren Ergebnissen, ob beiWord oder Excel, ob bei Windows 98 oder Outlook 2000. Die Anwender derLearn Key CBTs lernen interaktiv, unterhaltsam und kurzweilig, wann und woimmer Zeit und Gelegenheit ist. Auf jeder der insgesamt acht CDs der LearnKeyOffice 2000 Edition finden sich zusätzlich alle Inhalte nochmals als elektroni-sches Buch. Im gleichen Layout wie die gedruckte Version können sie über dasPDF Format auszugsweise die Inhalte ausdrucken und begleitend zum CBTeinsetzen.
Pix wohl eher in größeren Unterneh-men zum Einsatz, die großen Wert aufhöchste Sicherheit und hohe Perfor-mance legen. Und dort macht sie sichauch bezahlt. Nachteilig wirkt, daßdie beschriebenen Tools allesamt ko-stenpflichtig sind. Proxy-Dienste oderViren Scanner hingegen gehörennicht zu den Aufgaben der PIX, dasüberläßt Cisco anderen Systemen.
FazitDie PIX Firewall genügt selbst höch-sten Sicherheitsanforderungen. Sehrpositiv ist die Möglichkeit zu bewer-ten, daß sich das System redundantauslegen läßt. Auch die Anzahl dermöglichen parallelen Sessions und die
Quelle: Informationen zur Cisco PIX wurdenden Original Cisco Unterlagen entnommen.
P R
A X
I SpP R A X I S
59
07
Ausgabe 07/2001
AVM Anzeigeaus tn 04, seite53
Ausgabe 07/2001
60
07
P R
A X
I SpP R A X I S
U
ENCRYPTION
Schlüssel für die SicherheitTeil 3: IP Security Architektur
Von Patrick Fell
IPSec dient in erster Linie dem Schutz von IP-Paketen und der Abwehr von ungewollten Angriffen gegen Ihr Netz-werk. Wir werden uns damit einem Sicherheitsstandard für das Internet, Intranets oder Virtual Private Networkszuwenden, dessen Hauptaspekte auf der Benutzung von kryptographisch basierten Sicherheitsdiensten, Sicherheits-protokollen und der dynamischen Schlüsselverwaltung beruhen.
Um IPSec zu erläutern, wollen wirzunächst die Architektur etwas genau-er betrachten und uns ansehen, wiedie Komponenten von IPSec beimInternet Key Exchange zusammenfunktionieren. Die Implementierungvon IPSec unter Windows 2000 wirdein weiteres Thema werden.
müssen, benötigen keine Konfigura-tion für IPSec. Das macht die Benut-zung im Internet, in Intra- undExtranets, über VPN- oder Dial-Up-Verbindungen so interessant. Dem-nach steht der Integrierung in einemLAN (Client/Server oder Peer toPeer), in einem WAN (Router toRouter) oder über Remote Accessauch nichts im Wege. Der Grund fürdiese leichte Einbindung im Betriebs-system liegt in der Positionierung vonIPSec im Network-Layer des DoD-Modells (vgl. Abb. 1). Der Vorteil, esauf diese Art im OS einzubinden, be-steht darin, daß sich IPSec die Netz-werkdienste, z.B. Fragmentierung,Path Maximum Transmission Unit(PMTU) oder Benutzerkontexte(Sockets) zu Hilfe machen kann.Es gibt jedoch auch Lösungen, die
IPSec als eigenen Layer vorsieht. Die-se Variante nennt sich auch Bump inthe Stack, kurz BITS (vgl. Abbildung1). Jedoch entstehen Nachteile durcherhöhten Aufwand beim Durchlaufenund Auswerten des zusätzlichenLayers. Außerdem wird es um eini-ges schwieriger, Features wie das Bil-den von Routing-Tabellen und dasFragmentieren von Paketen, die nor-malerweise auf dem Network-Layerstattfinden, optimal zu unterstützen.BITS ist damit für Windows 2000gänzlich ungeeignet und wird hier nurder Vollständigkeit halber genannt.
ArchitekturEs müssen also nicht immer hoch-komplizierte Anwendungen überOSI-Layer 7 benutzt werden, um dasNetzwerk vor ungewollten Attackenzu schützen. Dies geht auch mit ei-nem Protokoll-Stapel, der bereits aufLayer 3 aktiv wird, der ziemlich ein-fach benutzt und in Ihr Betriebssy-stem integriert werden kann. Diekomplette IPSec Architektur ist soimplementiert, daß nur die entspre-chenden End-Systeme, die Daten mit-einander kommunizieren wollen, dieSicherheitsregeln kennen und für de-ren Anwendung ausgelegt sein müs-sen. Dabei werden an die Kommuni-kation bestimmte Kriterien, wie dieVertraulichkeit (Verschlüsselung), dieDatenintegrität, die Authentifizierung(Signierung), der Schutz vor Replay-Attacken und die Nichtabstreitung,Daten gesendet zu haben, gestellt.
Im Network-LayerAlle Computer und Netzwerk-komponenten, die nur die Daten vomSender zum Empfänger weiterleiten
ArchitekturSchauen wir uns die Architektur an-hand der Abbildung 2 etwas genaueran. Wir erkennen die zwei wichtig-
61
07
Ausgabe 07/2001
sten Komponenten der Architektur imEncapsulating Security Payload(ESP) und im Authentication Header(AH). Es ist eindeutig zu erkennen,daß AH für die Authentifizierung undESP gleichzeitig auch für die Ver-schlüsselung eingesetzt werden kann.Neben der Authentifizierung unter-stützen AH wie auch ESP die Integri-tät und die Anti-Replay-Fähigkeit fürdas ganze IP-Paket, also den IP-Header und den Datenanteil. BeideProtokolle können sowohl in Kom-bination als auch einzeln benutzt wer-den.
Authentication HeaderDer Authentication Header enthälteine Prüfsumme über die Nutzdatenund Teile des Headers. Die Prüf-summe wird dabei mit bekanntenHash-Funktionen gebildet, etwa SHAoder MD5, die mit einem symmetri-schen Schlüssel parametrisiert wer-den, dem Keyed Hash. Der so erzeug-te Message Authentication Code(MAC) schützt die Nutzdaten vorVerfälschung. Auch wichtige Header-Daten, insbesondere Quell- und Ziel-
Abb. 1: IPSec Stack Layering
adresse werden gesichert, so daß diebeliebten IP-Spoofing-Angriffe (vgl.Technik News 5/2001: IP-Spoofing)durch den bösen Mallory der Vergan-genheit angehören sollten. Einige Tei-le des Headers bleiben jedoch von derPrüfsummenbildung ausgeschlossen,da Felder, die unterwegs geändertwerden, die Prüfsumme ungültig ma-chen würden, etwa das Feld TTL oderdie Source-Routing-Option-Felder.
ESPEncapsulating Security Payload dient,wie schon erwähnt, primär der Ver-schlüsselung der Nutzdaten. Diesewird mit symmetrischen Verschlüsse-lungsverfahren wie DES, 3DES oderIDEA (vgl. Technik News 4/2001:Kryptografie im Klartext) realisiert.Daß auf Paketebene keine asymme-trischen Verfahren zum Einsatz kom-men, liegt am hohen Rechenaufwanddieser Algorithmen. Bei einem Netz-durchsatz von 100 Mbps und mehrkann auch die leistungsfähigste Work-station nicht für jedes Paket eine RSAVer- bzw. Entschlüsselung vorneh-men. Hardware-Implementierungenvon RSA kommen heute noch nichtüber ca. 1 Mbps. Die symmetrischenVerfahren weisen einige Nachteileauf. Symmetrische Schlüssel sindschlecht zu verteilen und können kei-ne Paketsignaturen erstellen, die anbeliebiger Stelleüberprüfbar sind.Ersteres Problemwird üblicherweisedurch Internet KeyExchange (sieheunten) gelöst.Die komplette Ar-chitektur be-schreibt im Prinzip,mit welchen Fähig-keiten Hostsystemeund Gateways/Router ausgestattetsein müssen, umüber IPSec mitein-ander kommunizie-ren zu können. Ei-nem Host wird z.B.auferlegt, die Datenüber ESP zu ver-schlüsseln und die
Abb. 2: IPSec Architecture
Datenintegrität entweder über ESPoder AH zu bewahren. Des weiterenverlangt das Hostsystem einen Schutzgegenüber der Wiederholung vonDatenübertra-gungsvorgängen. Dabeisoll vermieden werden, daß ein nicht-autorisierter Benutzer vom Schlagedes bösen Mallory Daten abfängt undsie evtl. in geänderter Fassung zumeigentlichen Empfänger wie dem ah-nungslosen Bob weiterschickt.
Internet SecurityWeitere Komponenten von IPsec sindInternet Key Exchange (IKE),ISAKMP/Oakley und bestimmteDatentransformationen. IKE erzeugtSchlüssel für IPSec-Protokolle, kanndarüber hinaus aber auch Schlüsselfür all diejenigen Protokolle erzeugen,die für einen Datenaustausch dieÜberprüfung der Integrität und eineVerschlüsselung durchführen müssen.Ein Beispiel ist OSPF.ISAKMP, das Internet Security Asso-ciation and Key Management Proto-col, benutzt die Oakley Schlüssel-bestimmungen, um jedes Paket ein-deutig zu identifizieren und sicherzu-stellen, daß es nicht noch einmal be-nutzt werden kann.Es geht wie gesagt dabei um denSchutz vor Replay-Attacken (vgl.Technik News 5/2001: Firewall-Ses-sion Replay). Datentransformationen
Ausgabe 07/2001
62
07
P R
A X
I SpP R A X I S
bestimmen, wie die Klartextdaten in-nerhalb eines Pakets verschlüsseltwerden, d.h. transformiert werden.
PoliciesEine weitere Komponente, die aller-dings noch nicht von IETF standar-disiert ist, ist die Policy oder auchRichtlinie. Sie bestimmt, ob zwei Sy-steme miteinander kommunizierenkönnen, ob sie dabei Transformatio-nen benutzen, und wenn ja welche.In den Richtlinien werden bestimmteFilter und Filteraktionen definiert, diebei der Konfiguration im Sende- undEmpfangssystem miteinander harmo-nieren müssen. Demnach könnennicht ordnungsgemäß konfiguriertePolicies durchaus dazu führen, daßzwei Systeme nicht in der Lage sind,miteinander zu kommunizieren, ob-wohl sie dazu bestimmt sind. Wirwerden später unter Windows 2000auf diese Policies genauer eingehen.
Internet KeyExchange
Da das IKE-Protokoll für das Ver-ständnis von IPSec sehr wichtig ist,wollen wir uns die Einzelheiten etwasgenauer anschauen. Bevor es über-haupt zu einem sicheren Datenaus-tausch zwischen Alice und Bob kom-men kann, muß zuerst eine Überein-stimmung in den zu verwendendenSchutzmechanismen und Aus-tauschverfahren existieren. DieserInformationsaustausch wird kurz mitSecurity Association (SA) bezeichnetund ist eine Kombination aus einemgemeinsam abgesprochenen Schlüs-sel, der Geltungsdauer des Schlüssels,dem zu verwendenden Sicherheits-protokoll, der Art der Daten-transformation bzw. -verschlüsselungund dem Security Parameter Index(SPI). Alle aufgezählten Komponen-ten dienen dazu, die Daten in einemgesicherten Zustand zu übertragen.Der SPI ist ein eindeutiger 32-Bit-lan-ger Identifier, der dazu benutzt wird,eine ganz bestimmte SA auf derEmpfängerseite zu vektorisieren undauch zu benutzen.
Security AssociationDer Prozeß der SA ist ein Einweg-prozeß, d.h. der Sender besitzt dieKonfiguration für eine SecurityAssociation, hier kurz SAout genannt,um alle ausgehenden Pakete über dieentsprechenden Komponenten zu si-chern. Die Empfangsstation muß eineSAin besitzen, die natürlich gleich mitaufgebaut sein muß. Diese SAs wer-den in der sogenannten SecurityAssociation DataBase (SADB) abge-speichert. AH und ESP verwendendabei eigene SADBs. Des weiterenmuß es einen Mechanismus geben,damit die Quelle eine entsprechendeSA identifizieren und das Ziel ent-scheiden kann, welche eigene SA esauf das erhaltene Paket anwendensoll. Die Quelle identifiziert ihre SAanhand eines Selectors. Dazu hat das
Ziel aber nicht die Möglichkeit, daTeile dieses Selectors sich auf demLayer 4 (Transport Layer) befindenund damit nicht zugänglich sind. Umdieses Problem der Identifizierungbeim Empfänger zu lösen, wird derSecurity Parameter Index mit jedemPaket vom Sender verschickt. Mitdem SPI wird der Empfänger aus sei-ner SADB die richtige anzuwenden-de SA herausfinden können. Um die-sen nicht ganz einfachen Vorgangkümmert sich IKE selbst. Alice undBob werden es wohl zudanken wissen. Der komplette Prozeßist in Abbildung 3 dargestellt.
VerbindungsaufbauDiese anfängliche Kommunikationkann in zwei Phasen unterteilt wer-den. Während der ersten Phase bau-
Abb. 3: IPSec Prozeß
63
07
Ausgabe 07/2001
en die beiden Computer eine ge-schützte, authentifizierte Verbindungmiteinander auf. Alle Daten, die nunfür die SA ausgetauscht werden müs-sen, sind natürlich verschlüsselt. Diefolgenden drei Schritte müssen wäh-rend dieser Phase durchlaufen wer-den: Policy-Verhandlung , DH-Über-tragung (Diffie Hellmann) undAuthentifizierung.Während der Policy-Verhandlungwerden der Verschlüsselungs-algorithmus (DES, 3DES), der Hash-Algorithmus (MD5 oder SHA), dieAuthentifizierungsmethode (Zertifi-kat, Pre-Shared Key oder Kerberosv5) und die DH-Gruppe festgelegt,die für die Übertragung der Schlüssel-materialien benutzt werden soll. Beider DH-Übertragung wird zu keinerZeit ein Schlüssel übertragen. Es wer-den einzig und allein Basisinforma-tionen zur Schlüsselerzeugung überdie DH-Gruppe verschickt. Nach die-sem Informationsaustausch wird vondem IKE-Dienst auf jedem Compu-ter der Master Key generiert, um denabschließenden Schritt zu sichern: dieAuthentifizierung. Die Computer ver-suchen dabei, die DH-Authentifizie-rung durchzuführen, ohne Erfolgkommt keine gesicherte Datenüber-tragung zustande. Der Master Keywird in Zusammenhang mit den imersten Schritt ausgehandelten Algo-rithmen zur Authentifizierung derbeteiligten Kommunikationspartnerverwendet. Die komplette Nutzlast(Payload), einschließlich Identifi-zierungstyp, Port und Protokoll wirdgehasht und mit dem Master-Key ver-schlüsselt.
VerhandlungenDie zweite Phase setzt sich ebenfallsaus 3 Schritten zusammen: Policy-Verhandlung, Auffrischung desSitzungsschlüsselmaterials und Wei-terleitung. Während der Policy-Ver-handlung tauschen die IPSec-PCs dieInformationen für einen gesichertenDatentransfer aus, das IPSec-Proto-koll (AH und/oder ESP), den Hash-Algorithmus für Integrität undAuthentifizierung sowie den Algo-rithmus für die Verschlüsselung derIP-Daten (DES, 3DES). Die Auffri-
schung und einmöglicher, erneu-ter Austausch desSitzungsschlüssel-materials erfolgtdurch IKE. Dannwerden die SAsund Schlüssel anden IPSec-Treibermit dem SecurityParameter IndexweitergeleitetWährend dieserzweiten Verhand-lung über gemein-same Policies unddie Schlüssel-materialien wirdzur Verschlüsse-lung des Datenver-kehrs die SA ausder ersten Phaseverwendet. Sowohlder verwendeteMaster Key alsauch der Sitzungs-schlüssel könnenoptional mit einerLebenszeit verse-hen werden. Läuftdiese Zeit aus,müssen alle betei-ligten Stationen ge-mäß ihren SAsneue Schlüssel er-zeugen. Diese weitere Schutzbarriereverwehrt es dem bösen Mallory, selbstbei einem kompromittierten MasterKey, den kompletten Datenverkehr zuentschlüsseln. Die Lebenszeit kanndabei auf Sekunden oder die schonübertragene Datenmenge festgesetztwerden (vgl. Abbildung 4 und 5).Diesen Vorgang nennt man auch dy-namisches Re-Keying.
Perfect Forward SecrecyWird unter den Einstellungen für denSitzungsschlüssel das PerfectForward Secrecy aktiviert, kümmertsich PFS um die Erneuerung durchden abermaligen Austausch vonSchlüsselmaterialien über DH. Eswird keine Re-Authentifizierungdurchgeführt. Bei Aktivierung desMaster-Key PFS wird eine Re-Authentifizierung durchgeführt, was
Abb. 4: Schlüsselaustausch
Abb. 5: Sitzungsschlüsseleinstellungen
zu einer komplett neuen Authenti-fizierung über IKE und zu einem er-höhten Overhead für alle DCs führt.D.h. für jede anstehende Phase 2 zurAuffrischung des Sitzungsschlüssel-materials muß eine neue Phase 1 zurInitial-Aushandlung vorgenommenwerden. Deshalb sollte diese Einstel-lung mit Vorsicht genossen werden.
Beim nächsten Mal wol-len wir uns um die un-terschiedl ichenModi des Tunne-ling kümmern,den Tunnel- undden Transportmodus vorstel-len, sowie dieIPSec Policy Struk-tur unter Windows 2000 und dasIPSec Troubleshootingbesprechen.
Ausgabe 07/2001
64
07
SOLUTION
Sommer Trainings Camp 2001Bis zu fünfzig Prozent Bonus im Netzwerk-Sommer-Hoch
Mit attraktiven Preisvorteilen bietet die Compu-Shack Solution in ihren Education Centern wieder ihr bewährtesSommer Trainings Camp an. Während dieser Sommeraktion vom 1. bis 30. September 2001 sind bei offiziellen Semi-naren bis zu fünfzig Prozent Bonus drin. Solche Preisvorteile und aktuelle Themen, wie sie die Novell IP-Seminare undDirXML Trainings bieten, machen Lust und Laune auf das Netzwerk-Sommer-Hoch.
D
S O
L U
T I O
N S
sS O L U T I O N S
Netzwerk-Know-how: Highlights im Juli und August 2001
Das Sommer-Trainings-Camp derCompu-Shack Education wird alljähr-lich in besonderem Maße zur berufli-chen Qualifizierung genutzt, denn esbietet Preisvorteile, die es in sich ha-ben. Vom 1.bis 30. September 2001gibt es zehn Prozent Nachlaß für alleEinzelseminare und fünfzehn Prozentauf alle Zertifizierungsprogramme,ob zum MCSE 2000 oder CNE 5.1.Wenn zwei Personen aus demselbenUnternehmen zum gleichen Seminar-termin erscheinen, sind für den zwei-ten Teilnehmer sogar 50 Prozent Ko-stenersparnis drin.
SommerpreisbeispielSo kostet die komplette MicrosoftMCSE-2000 Ausbildung statt21.600,- DM während der Sommer-aktion nur 18.360,- DM, das bringt3.240,- DM Ersparnis. Diese genann-ten Preisvorteile gelten für das gesam-te Trainingsangebot der Compu-Shack Education Center in Neuwied,München und Potsdam.
TCP/IP für PraktikerEin besonderes Highlight in diesemSommer stellt das neue 4-Tages Se-minar NV 606+SERV “Understan-ding, Configuring and Trouble-Shooting NetWare TCP/IP” dar. Die
Inhalte dieses Trainings ergeben sichin komprimierter Form aus den Kur-sen NV 606 und einem neuen IP Ser-vices Workshop, der ab Juli 2001 an-geboten wird. Er ist die praktischeAntwort auf den Kurs NV 606 “TCP/IP for Networking Professionals”, derreine Grundlagenkenntnisse vermit-telt.
IP-NetworkingWer Theorie und Praxis optimal ver-binden möchte, sollte dieses Seminarbesuchen. Nachdem die Teilnehmerdas theoretische Verständnis des TCP/IP Protokollstacks erworben haben,werden sie im praktischen Teil einIPX-Netzwerk mit Hilfe des Kompa-tibilitätsmodus auf IP migrieren. Sielernen Services wie DNS, DHCP,NAT sowie Certificate Server unterNetWare einzurichten. Zusätzlichwerden die Protokolle SLP und LDAPerläutert und Server mit unterschied-lichen Diensten als Web-, FTP- undNews-Server aufgesetzt und konfigu-riert.
Kursbezeichnung Kurs-Nr. Termin Ort Preis in DMNetWare 5.1 IP-Services Workshop NV IPSERV 26.-27.07.2001 München 2.290,-
19.-20.07.2001 NeuwiedUnderstanding, Configuring NV 606+SERV 09.-12.07.2001 München 3.790,-and Trouble-Shooting NetWare TCP/IP 21.-24.08.2001 NeuwiedDirXML Directory Integration NV 992 16.-20.07.2001 München 4.490,-Implementing and Managing Microsoft Exchange 2000 MS 1572 16.-20.07.2001 Neuwied 3.890,-
30.07.-03.08.2001 MünchenDesigning Microsoft Exchange 2000 for the Enterprise MS 1573 29.-31.08.2001 München 2.490,-Designing a Microsoft Windows 2000 Migration Strategy MS 2010 09.-10.07.2001 Neuwied 1.690,-
23.-24.07.2001 MünchenBuilding Cisco Multilayer Switching Networks Cis BCMSN 23.-27.07.2001 Frankfurt 5.490,-Cisco Internetwork Design Cis CID 27.-31.08.2001 Frankfurt 4.990,-Workstation Management with ZENworks for Desktops 3 VN 781 02.-06.07.2001 Potsdam 3.890,-Linux-Grundlagen für Administratoren Lin Grad 11.-13.07.2001 Potsdam 2.475,-
Alle genannten Preise verstehen sich zuzüglich der gesetzlichen Mehrwertsteuer.
Cool bleiben im Netzwerk-Sommer:Sommer Trainings Camp 2001
65
07
Ausgabe 07/2001
V
Inhalte:� der DNS/DHCP-Konfiguration� Service Location Protocol (SLP)� Network Adress Translation (NAT)� Installation des Novonyx Enterprise Servers
� Konfiguration des FTP-, News-,Multimedia- und Search-Servers
� Einführung in den Novell CertificateServer
� Lightweight Directory Access Protocol(LDAP)
� Migrating from IPX to IP� Trouble-Shooting für SLP, DNS, DHCP,NTP und andere
Die Schulungsunterlagen zu diesemTraining aus den Kursen NV 606 undNV IPSERV sind im Seminarpreisvon 3.790,- DM bereits enthalten.
Mit Sicherheit Geld sparenVPN-Lösungen sind eine sichere Sache
Sichere Internetverbindungen sind durch den Einsatz von Virtual PrivateNetworks (VPN) gewährleistet. Jedoch scheuen viele Betreiber diese Maß-nahme, da die Kosten auf den ersten Blick sehr hoch erscheinen. Doch beigenauerer Betrachtung sind VPNs nicht nur eine sinnvolle Investition in dieSicherheit des Netzwerkes, sondern eröffnen den Unternehmen meist aucherhebliche Sparpotentiale. Für wen lohnen sich VPN-Lösungen? Welche Al-ternativen gibt es? Das Projekt Team der Compu-Shack Solution gibt Unter-nehmen verläßliche Antworten.
VPNs ermöglichen eine sichere Über-tragung von Daten zwischen mehre-ren Standorten und Netzwerken. Da-bei sind die verschiedenen Standorteüber das Internet miteinander verbun-den und erscheinen für den Anwen-der wie ein geschlossenes, privatesNetzwerk. Nur die Kommunikations-partner, die zu diesem logischen Netzgehören, können miteinander Infor-mationen austauschen. Um die Si-cherheit der Daten zu gewährleisten,werden diese verschlüsselt und erstdann über ein offenes - und wie dasInternet ein unsicheres - Netzwerkvon einem Standort zum anderengeroutet. Doch welches ist die geeig-nete Lösung? Wie hoch sind die Ko-sten wirklich?
Optimale LösungDie Experten der Projektabteilung derCompu-Shack Solution beantwortendie entscheidenden Fragen zum The-ma Security. Um für Unternehmen diebestmögliche Lösung zu finden,nimmt das Projekt Team eine Netz-werk-Sicherheitsanalyse vor undprüft, wo die Angriffspunkte einesNetzes liegen. Anschließend wirdgemeinsam mit allen Beteiligten einAnforderungsprofil erstellt, in demfestgehalten wird, welche Verbindun-gen sie benötigen, wieviele Standor-te verbunden werden sollen, und wel-che Performance-Anfordungen ge-stellt werden. Auf dieser Grundlageentwickelt das Projekt Team angepaß-te Lösungsmöglichkeiten, die dasNetzwerk vor Angriffen von innenund außen optimal schützen.
PreissicherheitEine Kosten-Nutzen-Betrachtungzeigt auf, welche Kosten die Sicher-heitsmaßnahmen verursachen, aberauch wieviel dadurch eingespart wer-den kann, denn VPNs bieten auch einhohes Potential, laufende Kosten zusenken. So wird etwa im Vergleich zukonventionellen Netzkopplungen, wozwischen jedem einzelnen Standorteine direkte Verbindung nötig ist, fürjeden Standort nur eine Verbindungins Internet benötigt. Dadurch könnendurchaus die Kommunikations-, Ma-nagement- und Hardwarekosten er-heblich reduziert werden.
EinsparpotentialDas teilweise hohe Potential derVPNs, laufende Kosten zu senken,muß jedoch unternehmensbezogenkonkret ermittelt und überprüft wer-den, damit der Einsatz einer VPN-Lösung auch die erhofften Vorteilebringt. Denn dieses Sparpotentialkann nicht unbedingt in allen Fällenausgeschöpft werden. Auch dazu sa-gen die Experten der Projektabteilungden IT-Verantwortlichen, welche In-vestitionen wirklich lohnen, und wel-che Alternativen wirtschaftlicher sind,um mit Sicherheit Geld zu sparen.
Chancen nutzenBeratung erteilt das Projektteam derCompu-Shack Solution unter der Te-lefonnummer 02631/983-345. Infor-mationen erhalten Sie auch imInternet unter www.projekte.compu-shack.com.
DirXML DirectoryIntegration
In dem neuen Seminar NV 992 erhal-ten die Teilnehmer einen umfassen-den Überblick über das ProduktDirXML. Hier werden das Designeiner DirXML Lösung, die Installati-on und Konfiguration unterschiedli-cher Treiber bis hin zur Implementie-rung einer DirXML Lösung ausführ-lich vorgestellt. Der Seminarpreisbeträgt 4.490,- DM. Wer diesen oderden IP-Kurs im Rahmen der Sommer-aktion besuchen möchte, hat die Mög-lichkeit, neueste Trainingsangebotezu nutzen und gleichzeitig bares Geldzu sparen.Inhalte:� Beschreibung der Olle und Funktion vonDirXML
� Erstellen von DirXML Regeln undStylesheets
� Design einer Basic DirXML Solution� Installation und Konfiguration des Ex-change-, Netscape-, NDS- undPeopleSoft Treibers
� Implementierung einer Basic DirXMLSolution
Haben Sie Fragen zum Sommer Trai-nings Camp, zu Schulungen, Zerti-fizierungen und Terminen? Unter02631-983-317 berät Sie die Semi-narorganisation der Compu-ShackSolution gerne auch telefonisch. Wei-tere Informationen zu den hier vor-gestellten Kursen finden Sie auf derCompu-Shack Homepage unterw w w . s e m i n a r . c o m p u -shack.com.
Ausgabe 07/2001
66
07
U
V O
R S
C H
A U
vV O R S C H A U
D
WORKSHOPS
Novell AcademyFachhandelsinitiative im Network Channel
KompetenzIT Sales-Engineer
Um vorhandenes IT-Know-How zu erweitern, bietetCompu-Shack Vertriebsleuten, Verkäufern und Kunden-beratern in ihrem dreiteiligen Ausbildungsgang zum ITSales-Engineer sechs Wochen Ausbildungsprogramm, be-ginnend mit den Bronze-Grundlehrgängen, auf die die bei-den Folgestufen Silber und Gold aufbauen. In der neuenCompu-Shack Ausbildungsreihe zum IT Sales-Engineer stehen im Juli weitere Seminare an.Vom 2. bis 6. und vom 9. bis 13.7.2001 fin-den in Much bzw. Bad Breisig weitere Ver-triebs-Seminarwochen statt, vom 16. bis20.07. gibt es ebenfalls in Much einweiteres Technik-Seminar. Für Aus-künfte und Anmeldungen zu denLehrgängen ist Frau Gabi Grä-ser unter Tel. 0261 983-190 er-reichbar. Das ausführlicheAusbildungsprogrammkann als Broschüre perTelefon oder im Internetunter www.compu-shack.de angefor-dert werden.
Die Novell Academy ist ein Angebot vonCompu-Shack an ihre Fachhändler, daskostenlose, eintägige technische Präsen-tationen an verschiedenen Standorten inDeutschland beinhaltet. Diese spezielleReihe bietet hochwertige Lehrgänge derCompu-Shack eigenen Novell Autho-rized Education Center (NAEC), dietechnische Inhalte und solides Verkaufs-wissen für verschiedene Novell Produktevermitteln. Die Teilnehmer erhalten ei-nen erheblichen Wissensvorsprung fürdie Entwicklung Ihres Novell Geschäf-tes, für die Beratung von Novell Produk-ten wie auch beim Support für ihre Kun-
den. Die ersten Präsentationen dieser Rei-he mit den ThemenschwerpunkteneBusiness Foundation und NetMana-gement sind bereits angelaufen und wer-den im Juli fortgesetzt, am 2. und 3.7. so-wie am 4. und 5.7. im Compu-ShackEducation Center Potsdam, am 9. und10.07. bei der Bull GmbH in Langen.Über weitere Novell Academy Angebo-te, die in den nächsten Wochen folgenwerden, informiert das Business TeamSoftware bei Compu-Shack unter Tel.02631 / 983 454, per E-Mail an [email protected] oder imInternet unter www.compu-shack.de.
D
Legato SicherheitCO-Standby Server für Windows 2000
Der Legato Co-StandbyServer für Windows 2000 istdas Thema des High-Availability-Seminars am 3. Juli2001 im Compu-Shack Education Center in München.Netzwerksicherheit ist ein weites Feld. Daher bietetCompu-Shack ihren Kunden dazu die verschiedenstenWorkshop-Reihen an. Legato stellt dabei die Hoch-verfügbarkeitslösungen ihres Co-StandbyServer fürWindows 2000 in Theorie und Praxis vor. Referent istHerr Gerhard Beisheim von Legato. Die Teilnehmererwerben fundiertes Wissen über die neuen Ausfall-sicherheitslösungen. Was geschieht, wenn der E-Mail-Server ausfällt? Gibt es dann eine Weile keine Mailsmehr, oder übernimmt nicht besser ein Datenbank-Ser-ver automatisch dessen Aufgaben? Legato hat eine pra-xisbewährte Lösung. Der Co-StandbyServer sorgt da-für, daß außer dem Systemadministrator wirklich nie-mand einen solchen Ausfall bemerkt. Und auch für dasDesaster Recovery bietet er eine Lösung, die Backup,Daten-Replikation und Server-Clustering umfaßt. Wei-tere Informationen erteilt das Business Team ServerNetworking bei Compu-Shack unter Tel. 02631 / 983-455 oder im Internet unter www.compu-shack.de.
67
07
Ausgabe 07/2001
MESSEN, ROADSHOWS, SEMINARE
N 08
No 08/2001
Thema des Monats August
ONE-NET-WARE
NetWare 6Services für die Internet Society
Von Markus Wernecke
Ausgewählte Termine
Neue Novell CDs und Sales Guides ste-hen im Technik News Info Channel be-reit. Seit neuestem ist eine GroupWise6 Demo-CD verfügbar. Sie können die
02.07.2001 CS: Cisco Security Workshop SARp München02.- 03.07.2001 CS: Novell Academy Potsdam02.- 06.07.2001 IT Sales-Engineer Vertrieb Silber Much04.07.2001 CS: Legato High-Availability-Seminar München03.07.2001 CS: Cisco Security Workshop SARp Neuwied04.- 05.07.2001 CS: Novell Academy Potsdam09. -10.07.2001 CS: Novell Academy Langen09.- 13.07.2001 IT Sales-Engineer Technik Bronze Bad Breisig11.07.2001 CS: Cisco Security Workshop SARp Potsdam13.07.2001 CS und AVM WAN Connectivity Workshop: Remote Access (II) Potsdam16.- 20.07.2001 IT Sales-Engineer Technik Silber Much10.- 14.09.2001 IT Sales-Engineer Vertrieb Bronze Bremen08.- 12.10.2001 IT Sales-Engineer Technik Bronze Bremen15.- 19.10.2001 IT Sales-Engineer Vertrieb Bronze Potsdam15.-19.10.2001 Systems 2001 München05.- 09.11.2001 IT Sales-Engineer Technik Bronze Potsdam
Die NetWare Version 6.0 wird eine Menge neuerFunktionen und Produkte mit sich bringen. Weit-reichende Änderungen am Dateisystem ermögli-chen den lang ersehnten vollständigen Einsatz vonNSS und die Realisierung von virtuellen Volumes.Das Distributed Filesystem (DFS) wurde integriert.Wahlweise können die Arbeitsstationen nun so-gar ohne die Verwendung des Novell Clients be-trieben werden. Von NetWare 6 direkt unterstütztwerden Macintosh-, Unix- und Windows-Arbeits-stationen wie auch webbrowserbasierte Clients.Das internetbasierte Drucken via IPP wurde vollintegriert. Da NetWare 6 nun hundertprozentigmultiprozessorfähig ist, sagen wir Ihnen, welche
Module diese Funktionalität nutzen werden.Gleichzeitig sind neue Produkte enthalten, die wirIhnen vorstellen werden. Denn mit iFolder wird einData-Synchronisationtool für Secure-Mobile-User-Access mitgeliefert, das Sie kennenlernen sollten.Der Apache-Webserver, einer der meist verbrei-teten weltweit, gehört jetzt ebenfalls mit zum Lie-ferumfang. Und obendrein ist eine 2-Node Clu-ster-Lösung enthalten, mit der Novell eine erhöh-te Ausfallsicherheit gleich im Basispaket mitliefert.Der Cluster ermöglicht Load-Balancing und kannunter anderem auch via Web-Zugriff verwaltetwerden. Seien Sie also gespannt auf die neuenServices der NetWare 6 für die Internet Society.
Praxis:Content Switching:Enteraysy X-Pedition in der Praxis
Schlüssel für die Sicherheit, Teil 4:Tunneling, IPSec Policy Struktur unterWindows 2000 und IPSec Troubleshooting
Firewalls, Teil 3:WatchGurad Firebox III Firewall
Demos und Trials kostenlos unter www.technik-news.de bestellen.
Ausgabe 07/2001
68
07
ww.novell.com/corp/collateral/toolbox/vendor/
login: vendor
password: tools4u
neue novell anzeige ist bei görres
