Repeater, Bridge, Router

Um die Längenbeschränkung eines Ethernet-Segmentes aufzuheben, verwendet man Repeater. Ein lokaler Repeater verbindet zwei Segmente, die maximal 100 m Abstand haben dürfen, er ist mit je einem Transceiver an jedes Segment angeschlossen. Ein Remote-Repeater ist ein Repeater-Paar, das durch einen max. 1000 m langen Lichtwellenleiter verbunden ist. In jedem Netz dürfen höchstens vier Repeater vorhanden sein, man erreicht so eine Gesamtlänge von 2500 m. Ein Remote Repeater-Paar zählt dabei wie ein lokaler Repeater. An den Lichtwellenleiter können keine Ethernet-Stationen angeschlossen werden.

Multiport-Repeater

Der Multiport-Repeater bietet die Möglichkeit, mehrere (typischerweise bis zu acht) Cheapernet-Segmente zusammenzuführen und über einen Transceiveranschluß mit dem Standard-Ethernet zu verbinden. Bei zwei oder mehr anzuschließenden Cheapernet-Segmenten ist die Lösung kostengünstiger als der Einsatz von Standard-Repeatern.

Hub

Analog dem Multiport-Repeater besteht die Funktion eines Hub darin, mehrere Twisted-Pair-Kabelsegmente über einen Transceiveranschluß mit dem Ethernet zu verbinden. Der Begriff "Hub" steht für fast alle Verstärkerkomponenten, die eine sternförmige Vernetzung ermöglichen. Hubs haben immer mehrere Ports zum Anschluß von mehreren Rechnern. Bei Twisted-Pair-Verkabelung ist meinst einer der Ports als "Uplink" schaltbar, d. h. es werden wie im 4. Kapitel beschrieben die Leitungen gekreuzt. Auf diese Weise lassen sich die Hubs kaskadieren. Typisch sind Hubs mit 4, 8, 12, 16, 24 und 32 Ports.
Stackable Multiport Repeater lassen sich über spezielle Ports zu einem grossen Repeaterstack verbinden. Bei der Verbindung der Repeater muss man zwischen zwei Methoden unterscheiden. Bei der ersten Methode werden die Repeater über ThinWire-Kabel verbunden, da sie als Backbone-Anschluss standardmässig über einen 10BASE2-Anschluss verfügen. In diesem Fall zählt jeder Repeater als ein Repeater im Sinne der Repeaterregel (siehe weiter unten). Vorteil dieser Lösung ist, dass die Repeater räumlich nicht unmittelbar beieinander stehen müssen. Bei der zweiten Methode werden die Repeater über spezielle Busports und in der Regel sehr kurze Buskabel verbunden. Vorteil dieser herstellerspezifischen Kaskadierung ist, dass alle so verbundenen Repeater als ein Repeater bezüglich der Repeaterregel zählen.

Repeaterregel

Die Anzahl der hintereinanderschaltbaren Repeater bei 10Base5 und 10Base2 ist jedoch limitiert (Addition von Laufzeiten, Phasenverschiebungen, usw.). Ein Remote-Repeater-Paar (10Base5, 10Base2) mit einer Punkt-zu-Punkt-Verbindung zwischen beiden Hälften wird als ein Repeater betrachtet. Weiterhin gilt: Es dürfen nicht mehr als fünf (5) Kabelsegmente verbunden werden. Zur Verbindung werden vier (4) Repeater benötigt und nur drei (3) der Segmente dürfen Rechner angeschlossen haben.

Lichtwellenleiter (10BaseF, FOIRL) und Sternkoppler

Zur Verbindung von Gebäuden werden oft Lichtwellenleiter (LWL) verwendet. Außerdem können mit ihnen in Gebäuden längere Entfernungen als mit Koaxkabeln überbrückt werden. Lichtleiter können wie TwistedPair auch im Ethernet-Verkehr nur für Punkt-zu-Punkt-Verbindungen eingesetzt werden. Lichtleiter werden zwischen Bridges, Switches und/oder Repeatern, einem Repeater und einer einzelnen Station mit Transceiver oder zwischen zwei Stationen mit Transceivern verwendet.
Als Industriestandard für Lichtleiterprodukte hatte sich ursprünglich FOIRL (Fiber Optic InterrepeaterLink) durchgesetzt. Inzwischen wurde FOIRL vom offiziellen IEEE 802.3 10BASE-FL-Standard abgelöst, daher sollte man heute nur noch 10BASE-FL konforme Geräte einsetzen. An einem FOIRL-Segment kann ein FOIRL-kompatibles Gerät mit einem 10BASE-FL-Transceiver gemischt werden. In diesem Fall gelten jedoch die strengeren FOIRL-Regeln. Normalerweise ist das eingesetzte LWL-Kabel ein Multimode- (MMF-) Kabel mit ST- oder SC-Steckern. Die maximale Länge des Kabels ist 2000 m beim Einsatz von 10BASE-FL-Komponenten, 1000 m bei FOIRL.
Sternkoppler können als Verstärker betrachtet werden, jedes Datenpaket, das von einem angeschlossenem Segment stammt, wird in alle anderen Segmente verbreitet, einschließlich Kollisionen und fehlerhafter Pakete.
An einen Sternkoppler können Koax- oder Cheapernet-Segmente angeschlossen werden. Zudem gibt es direkte Transceiver-Anschlüsse und mittlerweile auch Anschlüsse für Twisted-Pair-Kabelsegmente.

Bridge

Eine Bridge trennt zwei Ethernet-LANs physikalisch, Störungen wie z. B. Kollisionen und fehlerhafte Pakete gelangen nicht über die Bridge hinaus. Die Bridge ist protokolltransparent, d. h. sie überträgt alle auf dem Ethernet laufenden Protokolle. Die beiden beteiligten Netze erscheinen also für eine Station wie ein einziges Netz. Durch den Einsatz einer Bridge können die Längenbeschränkungen des Ethernets überwunden werden. Die Bridge arbeitet mit derselben Übertragungsrate, wie die beteiligten Netze. Die Anzahl der hintereinandergeschalteten Bridges ist auf 7 begrenzt (IEEE 802.1). Normalerweise wird man aber nicht mehr als vier Bridges hintereinanderschalten.

Jede lokale Bridge ist über Transceiver an zwei Ethernet-LANs angeschlossen (Es gibt auch Bridges, die mehrere LANs verbinden können). Die Bridge erstellt für jedes LAN eine Tabelle der Adressen aller Stationen, die Datenpakete aussenden. Ist die Zieladresse eines Paketes in dem LAN, in dem es von der Bridge empfangen wurde, wird es ignoriert. Ist es nicht darin, wird es in das andere LAN gesendet. Es werden somit nur solche Pakete übertragen, die an die jeweils andere Seite adressiert sind. Broadcasts und Multicasts werden immer übertragen. Je nach Typ der Bridge können auch extra Filter gesetzt werden, um etwa den Zugang mancher Stationen zu verhindern oder nur bestimmte Protokolle zuzulassen. Eine Bridge arbeitet auf der Ebene 2 des OSI-Schichtenmodells.
Die Bridge empfängt von beiden Netzsegmenten, mit denen sie wie jede normale Station verbunden ist, alle Blöcke und analysiert die Absender- und Empfängeradressen. Steht die Absenderadresse nicht in der brückeninternen Adresstabelle, so wird sie vermerkt. Die Bridge lernt und speichert so die Information, auf welcher Seite der Bridge der Rechner mit dieser Adresse angeschlossen ist. Ist die Empfängeradresse bekannt und der Empfänger auf derselben Seite wie der Absender, so verwirft die Bridge das Paket (filtert es). Ist der Empfänger auf der anderen Seite oder nicht in der Tabelle, wird das Paket weitergeschickt. Die intelligente Bridge lernt so selbständig, welche Pakete weitergeschickt werden müssen und welche nicht. Bei managebaren Bridges können zusätzliche Adress-Filter gesetzt werden, die regeln an welche Adressen die Bridge Informationen immer weiterschicken muss oder nie weiterschicken darf.
Bridges können Ethernet-Segmente auch über synchrone Standleitungen, Satellitenverbindungen, Funkverbindungen, öffentliche Paketvermittlungsnetze und schnelle Lichtleiternetze (z.B. FDDI) verbinden. In der Regel müssen solche Bridges immer paarweise eingesetzt werden.

Bridges sind komplette, relativ leistungsfähige Rechner mit Speicher und mindestens zwei Netzwerkanschlüssen. Sie sind unabhängig von höheren Protokollen (funktionieren also z.B. mit TCP/IP, DECnet, IPX, LAT, MOP etc. gleichzeitig) und erfordern bei normalem Einsatz keine zusätzliche Software oder Programmierung. Nach Außen bildet ein mittels Bridge erweitertes LAN weiterhin eine Einheit, welches eine eindeutige Adressierung bedingt. Eine Bridge interpretiert die MAC-Adressen der Datenpackete. Weitere Features einer Bridge sind:

• Ausfallsicherheit
  Störungen gelangen von der einen Seite einer Bridge nicht auf die andere Seite. Sie werden auch in diesem Sinne zum Trennen von sog. Kollisions-Domainen eingesetzt.
• Datensicherheit
  Informationen, die zwischen Knoten auf einer Seite der Bridge ausgetauscht werden, können nicht auf der anderen Seite der Bridge abgehört werden.
• Durchsatzsteigerung
  In den durch Bridges getrennten Netzsegmenten können jeweils unterschiedliche Daten-Blöcke gleichzeitig transferiert werden. Hierdurch wird die Netzperformance erhöht. Allerdings erzeugen Brücken dadurch, dass sie die Blöcke zwischenspeichern eine zusätzliche Verzögerung und können deswegen bei kaum ausgelasteten Netzen die Performance sogar verschlechtern.
• Vermeidung von Netzwerkschleifen
  Eine Bridge unterstützt den sog. Spanning Tree Algorithmus, wodurch es möglich ist, auch Schleifen- oder Ring-Konfigurationen (= redundante Verbindungen) im Netz zu erlauben. Die Bridges im Netz kommunizieren miteinander, im Gegensatz zu "dummen" Repeatern oder Hubs, und stellen über den Algorithmus sicher, dass bei mehreren redundanten Verbindungen immer nur eine gerade aktiv ist.

Weitere Kenndaten einer Bridge sind die Größe der Adresstabelle, die Filterrate, und die Transferrate. Die Größe der Adresstabelle gibt an, wie viele Adressen (Knoten) insgesamt in der Bridge gespeichert werden können. Die Filterrate gibt an, wie viele Pakete pro Sekunde (packets per second, pps) eine Bridge maximal empfangen kann. Bei voller Last und minimaler Paketlänge können in einem Ethernet-Segment theoretisch bis zu 14.880 Pakete pro Sekunde auftreten. Auf beiden Ports hat eine 2-Port-Bridge also insgesamt maximal 29.760 Pakete pro Sekunde zu filtern. Alle modernen Bridges erreichen diese theoretisch möglichen Maximalwerte. Die Transferrate gibt an, wie viel Pakete pro Sekunde die Bridge auf die andere Seite weiterleiten kann. Der Maximalwert ist hier 14.880 pps, da bei dieser Transferrate beide Segmente voll ausgelastet sind.

Spanning Tree - Algorithmus

Der Algorithmus ist ebenfalls in IEEE 802.10 spezifiziert. Er wird eingesetzt um bei Verknüpfungen von Netzwerken redundante Pfade (sog. Loops) durch einen deterministischen logischen Pfad im Netz zu ersetzen. Im folgenden Beispiel sind verschiedene LANs durch Bridges miteinander verknüpft, die im Bild durch Pfeile repräsentiert werden.

Alle Bridge-Links gemeinsam würden redundante Pfade im Netz ermöglichen, was endlos kreisende Pakete zur Folge hätte. Mit dem "Spanning Tree"-Algorithmus wird einer der möglichen logischen Pfade im Netz ausgewählt, der keine Schleifen enthält. Das Ergebnis wird durch die blauen Pfeile dargestellt die eine baumartige Struktur bilden. Im Extremfall kann hierdurch eine Bridge sogar ganz aus dem Netzverkehr herausfallen.

Die Bridges kommunizieren untereinander mit Hilfe der sog. Bridge Protocol Data Units (BPDU). Jede Bridge benötigt eine gewisse Grundkonfiguration, um den Algorithmus einsetzen zu können:

• Bridge: Eindeutige Bridge-ID.
• Port: Eindeutige Port-ID.
• Port: Relative Port-Priorität.
• Port: "Kostenfaktor" für jeden Port (je höher die Netzwerk-Performance im angeschlossenen LAN, desto geringer die Kosten).

In Abhängigkeit dieser Parameter wird der logische Baum folgendermaßen automatisch von allen Bridges zusammen aufgespannt:

1. Auswahl der Root-Bridge
   Die Root-Bridge ist die Bridge mit der kleinsten Bridge-ID. Haben zwei Bridges dieselbe ID, so wird diejenige mit der kleinsten MAC-Adresse ausgewählt.
2. Auswahl eines Root-Ports pro Bridge
   Mit Außnahme der Root-Bridge, wird bei jeder Bridge einer der Ports als Root-Port festgelegt. Dieser Port wird mit Hilfe der geringsten "Wegkosten" zur Root-Bridge ermittelt.
3. Zuordnung einer Bridge pro LAN
   Diese Zuordnung ist entscheident, da sonst Schleifen entstehen.
• Im Falle daß nur eine Bridge an ein bestimmtes LAN angebunden ist, ist die Wahl einfach: jener Port, welcher zu diesem LAN gehöhrt, wird ihm auch global zugeordnet.
• Haben mehrere Bridges einen direkten Zugang zu einem LAN, wird diejenige ausgewählt, welche betreffend der Wegkosten zur Root-Bridge am günstigsten ist.

Switch

Der Switch ist wie Hub oder Repeater ein Gerät des Osi-Layers 2, d. h. er kann LANs mit verschiedenen physikalischen Eigenschaften verbinden, z. B. Koax- und Twisted-Pair-Netzwerke. Allerdings müssen, ebenso wie bei der Bridge, alle Protokolle höherer Ebenen 3 bis 7 identisch sein!. Ein Switch ist somit protokolltransparent. Er wird oft auch als Multi-Port-Bridge bezeichnet, da dieser ähnliche Eigenschaften wie eine Bridge aufweist. Jeder Port eines Switch bildet ein eigenes Netzsegment. Jedem dieser Segmente steht die gesamte Netzwerk-Bandbreite zu Verfügung. Dadurch erhöht ein Switch nicht nur - wie die Bridge - die Netzwerk-Performance im Gesamtnetz, sondern auch in jedem einzelnen Segment. Der Switch untersucht jedes durchlaufende Paket auf die MAC-Adresse des Zielsegmentes und kann es direkt dorthin weiterleiten. Der große Vorteil eines Switches liegt nun in der Fähigkeit seine Ports direkt miteinander verschalten zu können, d. h. dedizierte Verbindungen aufzubauen.
Was ist nun der Unterschied zwischen einem Switch und einer Multiport-Bridge? Bei den Produkten der meisten Hersteller gibt es keinen. Switch klingt nach Tempo und Leistung, deswegen haben viele Hersteller ihre Multiport Bridges Switches genannt. Der Begriff Switch fuer Multiport Bridges wurde von der Firma Kalpana (inzwischen von Cisco aufgekauft) kreiert, da deren Produkte nicht der IEEE-Spezifikation einer Bridge entsprachen, konnte Kalpana die Produkte nicht Bridges nennen und hat den Namen Switch gewählt. Kalpana war nun sehr erfolgreich mit dem Marketing ihrer Switches. Deswegen haben andere Hersteller ihre Bridges auch Switch, Switch mit Bridge-Eigenschaften oder Bridging Switch genannt. Switches brechen die Ethernet-Busstruktur in eine Bus-/Sternstruktur auf. Teilsegmente mit Busstruktur werden sternförmig über je einen Port des Switch gekoppelt. Zwischen den einzelnen Ports können Pakete mit maximaler Ethernet-Geschwindigkeit übertragen werden. Wesentlich ist die Fähigkeit von Switches, mehrere Übertragungen zwischen unterschiedlichen Segmenten gleichzeitig durchzuführen. Dadurch erhöht sich die Bandbreite des gesamten Netzes entsprechend. Die volle Leistungsfähigkeit von Switches kann nur dann genutzt werden, wenn eine geeignete Netzwerktopologie vorhanden ist bzw. geschaffen werden kann. Die Datenlast sollte nach Möglichkeit gleichmäßig über die Ports verteilt werden. Systeme, die viele Daten übertragen, müssen unter Umständen an einen eigenen Switch Port angeschlossen werden. Dies bezeichnet man dann als Private Ethernet. Außerdem sollte man versuchen, Systeme die viel miteinander kommunizieren, an einen gemeinsamen Port des Switches anzuschließen, um so die Datenmengen, die mehr als ein Segment durchlaufen müssen, zu reduzieren.

Allgemein haben sich in der Switch-Technologie zwei Gruppen herauskristallisiert:

• Cut-Through bzw. On The Fly
  Der Ethernet Switch wartet im Gegensatz zu normalen Bridges nicht, bis er das vollständige Paket gelesen hat, sondern er überträgt das ankommende Paket nach Empfang der 6-Byte-Destination-Adresse. Da nicht das gesamte Paket bearbeitet werden muss, tritt eine Zeitverzögerung von nur etwa 40 Mikrosekunden ein. Sollte das Zielsegment bei der Übertragung gerade belegt sein, speichert der Ethernet Switch das Paket entsprechend zwischen. Bei den Switches werden, im Gegensatz zu Bridges, mit Ausnahme von short frames (Pakete, die kleiner als die minimal zulässigen 64 Bytes sind), fehlerhafte Pakete auch auf das andere Segment übertragen. Grund hierfür ist, dass die CRC-Prüfung (Cyclic Redundancy Check) erst bei vollständig gelesenem Paket durchgeführt werden kann. Solange der Prozentsatz von fehlerhaften Paketen im Netz gering ist, entstehen keine Probleme. Sobald aber (z.B. aufgrund eines Konfigurationsfehlers, fehlerhafter Hardware oder extrem hoher Netzlast bei gleichzeitig langen Segmenten mit mehreren Repeatern) der Prozentsatz der Kollisionen steigt, können Switches auch dazu führen, dass die Leistung des Gesamtnetzes deutlich sinkt. Cut-Through-Switching bietet dann einen Vorteil, wenn man sehr geringe Verzögerungen bei der Übertragung zwischen einzelnen Knoten benötigt. Diese Technologie sollte also eingesetzt werden, wenn es darum geht, in relativ kleinen Netzen eine große Anzahl Daten zwischen wenigen Knoten zu übertragen.
• Store-and-Forward
  Die Switches dieser Kategorie untersuchen im Gegensatz zu den vorher erwähnten das gesamte Datenpaket. Dazu werden die Pakete kurz zwischengespeichert, auf ihre Korrektheit und Gültigkeit überprüft und anschließend verworfen oder weitergeleitet. Einerseits hat dies den Nachteil der größeren Verzögerung beim Weiterschicken des Paketes, andererseits werden keinerlei fehlerhafte Pakete auf das andere Segment übertragen. Diese Lösung ist bei größeren Netzen mit vielen Knoten und Kommunikationsbeziehungen besser, weil nicht einzelne fehlerhafte Segmente durch Kollisionen das ganze Netz belasten können. Bei diesen Anwendungen ist die Gesamttransferrate entscheidend, die Verzögerung wirkt sich hier kaum aus.

Inzwischen sind Switching-Produkte (z.B. von 3Com, Cisco oder Allied Telesyn) am Markt, die beide Technologien unterstützen. Dies geschieht entweder per Konfiguration (Software) oder automatisch anhand der CRC-Fehler-Häufigkeit. Wird eine vorgegebene Anzahl von fehlerhaften Paketen überschritten, schaltet der Switch automatisch von "Cut Through" auf "Store and Forward" um.

Die Performance eines Netzes kann man auf Basis vorhandener Standalone-Switches erhöhen, indem zusätzliche Switches über die Ethernetports kaskadiert werden. Alle Switches erlauben die Kaskadierung über einen einzelnen Ethernet-Port mit einer maximalen Transferrate von 10 Mbit/s (bzw. 100 Mbit/s bei Fast Ethernet Switches). Kann man das Netz in Teilnetze unterteilen, zwischen denen diese Transferrate ausreicht, ist dies eine sinnvolle Lösung. Doch meistens ist das nicht der Fall. Die nächste und wohl beste Möglichkeit der Kopplung von Switches ist der Einsatz von Produkten, die den Anschluss an einen High Speed Backbone erlauben. Im Gegensatz zu kaskadierten Standalone-Switches können weitere Geräte an den Backbone gehängt werden, ohne dass Ports für die Switch-zu-Switch-Verbindung verloren gehen. Eine Backbone-Lösung ist nicht nur schneller und flexibler sondern für grosse Netze auch kostengünstiger. Man muss unterscheiden zwischen Lösungen, die eine herstellereigene Verbindung benutzen (proprietär) und solchen, die auf einen Standard wie Fast Ethernet, Gigabit Ethernet, FDDI oder ATM setzen.

Router

Router verbinden, im Gegensatz zu Bridges, in OSI-Schicht 3 auch Netze unterschiedlicher Topologien. Sie sind Dreh- und Angelpunkt in strukturiert aufgebauten LAN- und WAN-Netzen. Mit der Fähigkeit, unterschiedliche Netztypen sowie unterschiedliche Protokolle zu routen, ist eine optimale Verkehrslenkung und Netzauslastung möglich. Routing wird erst dann erforderlich, wenn Kommunikation zwischen Stationen in unterschiedlichen Subnetzen erfolgen soll. Sie sind nicht protokolltransparent, sondern müssen in der Lage sein, alle verwendeten Protokolle zu erkennen, da sie Informationsblöcke protokollspezifisch umsetzen.
Bevor der Router ein Paket an ein angeschlossenes LAN oder WAN weiterleitet, untersucht dieser die Adressangaben des Datenpakets, z. B. die IP-Adresse und leitet die Daten abhängig von seiner Routing-Tabelle weiter. Er arbeitet also nicht wie die Bridge oder dem Switch mit den Adressen der MAC-Ebene. Dieses hat den Vorteil, das ein Host nicht die MAC-Adresse des Empfängers wissen muss um diesem eine Nachricht zu übermitteln. Die Adresse der Netzwerk-Protokollebene, z. B. IP genügt. Dieses weiterleiten von Daten anhand einer Tabelle heißt Routen.

Durch die für das Routen notwendige Untersuchung des Datenpakets, erhöht sich die Verweilzeit der Daten im Router selbst (Latenzzeit). Die eigentliche Stärke von Routern liegt in ihrer Fähigkeit mittels Algorithmen (z. B. Load Balancing Algoritmus) den in der Regel bestmöglichen Weg für ein Datenpaket zum Empfanger aus seiner Routing-Tabelle zu wählen.
Um die Daten "routen" zu können, ist es notwendig, daß der Router alle angeschlossenen Netzwerkprotokolle versteht und diese auch die Fähigkeit des Routens unterstützen. Der Vorteil des Routers gegenüber der Bridge ist die logische Trennung und die Bildung von (Sub-)Netzen bei TCP/IP bzw. von Areas bei DECNET.
Weitere Features von Routern sind ihre Netzwerk-Management- und die Filter-Funktionen. Durch geeignet gewählte Routing-Einstellungen ist es möglich, die Netwerk-Performance je nach Anforderungen ans Netz zu verbessern. Die Filterfunktionen auf Netzwerk-Protokollebene sind ähnlich wie bei der Bridge. Router bieten aber eine generell höhere Isolation da sie z. B. Broadcasts in der Regel nicht weiterleiten. Außerdem können sie zusätzlich als "screening Router" verwendet werden, indem z. B. bestimmten IP-Adressen der Zugriff auf bestimmte Netzteile verwehrt wird. Aus den erwähnten Gründen sind Router in der Regel per Software konfigurierbar.

Beispiel für drei IP-Netze mit Routern

Das folgende Netz besteht aus drei IP-Netzen, die über Router verbunden sind. Jeder Router hat zwei Netzwerk-Interfaces, die jeweils in zwei der Netze hängen. Es ist nicht unbedingt erforderlich, für jedes Netz eine eigenen Interface zu verwenden; über sogenannte 'virtuelle Interfaces' kann man mehrere Netze auf ein Hardwareinterface legen.

Die Routing-Tabellen dazu sehen so aus:

Grundlegende Komponenten von Routern

• LAN Interfaces
  Die meisten Router haben ein oder mehrere LAN-Interfaces, je nach Topologie für Token-Ring, Ethernet, 100BASE-T Fast Ethernet, FDDI oder auch ATM. Für den Anschluss entsprechender Medien sind entweder alternativ nutzbare Ports (z.B. Ethernet AUI, BNC, RJ45) vorhanden oder der Anschluss ist als Einschub realisiert und kann daher den Erfordernissen angepasst werden.
• WAN Interfaces
  WAN-Leitungen werden von unterschiedlichen Anbietern mit unterschiedlichen Geschwindigkeiten angeboten. Entsprechend variieren die Kosten und die Schnittstellen. Für kleinere Anbindungen (z.B. Workgroups) werden Verbindungen mit einer Übertragungsgeschwindigkeit von 64 Kbit/s empfohlen. Es gibt natürlich Applikationen, wo eine geringere Übertragungsrate ausreicht. Werden höhere Übertragungsraten benötigt, so bietet sich die in Europa übliche E1-Verbindung (im Prinzip ein ISDN Primärmultiplexanschluss) mit einer Übertragungsrate von 2048 kbit/s an. Router haben einen oder mehrere WAN-Ports, die entweder fest eingebaut sind oder bei modularen Modellen mit entsprechenden Schnittstellenmodulen aufgerüstet werden können. Übliche physikalische Schnittstellen für Synchronbetrieb sind RS449, V.35 und X.21, für asynchronen Betrieb das RS232-Interface. Für den Anschluss an ISDN wird die S0-Schnittstelle verwendet.

Brouter

Mittlerweile existieren Geräte, deren ausschließliche Funktion darin besteht, den Datenfransfer zwischen verschiedenen Netzsegmenten entweder mittels der Bridge- oder der Route-Funktion zu lenken, je nachdem ob das entsprechende Kommunikationsprotokoll routefähig ist oder nicht. Diese Geräte werden auch Brouter genannt. Sie sind zudem in der Lage, unterschiedliche Transpormedien zu bedienen; so können beispielsweise nicht nur Ethernetsegmente, sondern auch Token Ringe, X.25/HDLC-Strecken und in Zukunft auch FDDI-Ringe angeschlossen werden. Die Unterteilung eines großen Netzes durch Router verhindert auch die Ausbreitung des lokalen Datenverkehrs auf das gesamte Netz.

Layer-3-Switching

Layer-3-Switching ist eine neue Technologie. Sie kombiniert leistungsfähiges Switching (Layer 2) mit skalierbarem Routing (Layer 3). Herkömmliche Switches verwenden die MAC-Adresse der Ethernet-Frames zur Entscheidung, wohin die Frames transportiert werden sollen, während Router Datenpakete anhand von Routingtabellen und Accesslisten auf Layer-3-weitervermitteln. Router sind in vielen Installationen als reine LAN-to-LAN-Router im Einsatz, um Subnetze zu verbinden und die Nebeneffekte von rein geswitchten Netzen, wie z. B. Broadcast-Stürme, fehlendes Subnetting etc. zu verhindern. Router, die auf der Transportebene arbeiten, müssen jedes IP-Paket aus den Ethernet-Frames zusammenbauen und vielfältige Operationen an IP-Paketen durchführen. Dies führt zu einer Verzögerungszeit und, im Vergleich zu Switches, geringerem Datendurchsatz. In reinen IP-Netzen kann das Layer-3-Switching, auch "Fast IP" genannt, diese LAN-to-LAN-Router ersetzen. Der Layer-3-Switch liest beim ersten IP-Paket sämtliche Frames dieses Paketes, analysiert die Absender- und Empfänger-IP-Adressen und leitet das IP-Paket weiter. Alle nachfolgenden Frames dieses Stationspaars können daraufhin anhand der MAC-Adresse weitergeleitet werden. Der Layer-3-Switch behandelt IP-Pakete beim ersten Mal wie ein Router, nachfolgende Daten können auf Frame-Ebene geswitcht werden. Nicht-IP-Daten, wie z. B. IPX-Pakete, werden vom Layer-3-Switch auf Layer 2 geswitcht. Das Konzept des Layer-3-Switching bedingt eine Erweiterung des Ethernet-Frameformats und ist bisher nur proprietär implementiert. Die Erweiterung des Layer-3-Switching auf andere Layer-3-Protokolle wie z.B. IPX ist geplant. Es ist anzunehmen, dass die herstellerspezifischen Implementationen in einen gemeinsamen Standard münden.

Terminalserver

Ein Terminal-Server dient dazu, einem beliebigen Endgerät, sofern es eine serielle, asynchrone V.24 (RS 232 C)-Schnittstelle besitzt, die Verbindung zu einem Rechner herzustellen. Der Terminal-Server ist über einen Transceiver an das Ethernet angeschlossen und stellt dem Terminal-Benutzer eine Kommandoschnittstelle zur Verfügung, so daß er Verbindungen aufbauen, abbauen und Parameter (z.B. Echo) setzen kann. Ein Terminal kann meist mehrere Verbindungen haben und zwischen ihnen wechseln. Es gibt Terminal-Server für verschiedene Protokolle, z. B. für TCP/IP (Telnet) und DECnet (LAT) oder auch beides zugleich. Die meisten Terminal-Server haben acht Ports zum Anschluß von Endgeräten, sie können auch kaskadiert werden. Der Einsatz eines Terminal-Servers ist immer nötig, wenn es für das Endgerät keine Möglichkeit gibt, eine Ethernet-Karte einzubauen.

Gateway

Gateways können völlig unterschiedliche (heterogene) Netze miteinander koppeln. Sie stellen einen gemeinsamen (virtuellen) Knoten dar, der zu beiden Netzen gehört und den netzübergreifenden Datenverkehr abwickelt. Gateways werden einerseits für die LAN-WAN-Kopplung (oder die LAN-WAN-LAN-Kopplung) andererseits für den Übergang zwischen unterschiedlichen Diensten verwendet (z. B. das Absetzen von Fax-Nachrichten aus einem LAN).

Ein Gateway ist ein aktiver Netzknoten, der von beiden Seiten aus adressiert werden kann. Er kann nicht auch mehr als zwei Netze miteinander koppeln. Gateways behandeln auf beiden Seiten unterschiedliche Protokolle bis hinauf zur Schicht 7. Insbesondere ist das Routing über Netzgrenzen (korrekte Adressierung!) hinweg eine wichtige Aufgabe des Gateways. Man unterscheidet im wesentlichen zwei Typen:

• Medienkonvertierende Gateways (Translatoren), die bei gleichem Übertragungsverfahren die Verbindung zwischen unterschiedlichen Protokollen der unteren beiden Ebenen (bei unterschiedlichem Transportmedium) herstellen - also dort, wo ein Router nicht mehr ausreichen würde.
• Protokollkonvertierende Gateways, die unterschiedliche Protokolle der Ebenen 3 und 4 abwickeln und ineinander überführen.

Der Gateway unterstützt hauptsächlich zwei wichtige Dienste: Die Übermittlung aufeinanderfolgender Nachrichten zwischen Quelle und Ziel als unabhängige Einheit und das Etablieren einer logischen Verbindung zwischen Quelle und Ziel. Um auf die unterschiedlichen Anforderungen der Flußkontrolle der zu verbindenen Netze eingehen zu können, muß der Gateway gegebennfalls Daten zwischenspeichern. Ist eines der beteiligten Netze leistungsfähiger als das andere, muß der Gateway dies erkennen und das "schnellere" Netz bremsen. Arbeiten beide Netze mit unterschiedlichen Paketgrößen, müssen Datenpakete "umgepackt" werden. Dies kann ganz einfach dadurch geschehen, daß zu große Pakete in kleinere Pakete aufgespalten und an Ziel gegebenenfalls wieder zusammengesetzt werden.

Firewall-Rechner

Als Schutz vor Einbruchsversuchen in lokale Netze, die über einen Anschluß an öffentliche Netze verfügen (z. B. Internet, aber auch ISDN), haben sich Firewall-Rechner, kurz 'Firewalls' bewährt. Ähnlich der Zugbrücke einer Burg erlauben sie den Zugang nur an einer definierten Stelle. Damit läßt sich der Datenverkehr von und nach außen kontrollieren. Normalerweise sind zahlreiche Rechner des Unternehmens, die unter diversen Betriebssystemen laufen, direkt aus dem öffentlichen Netz erreichbar. Ein Firewall kanalisiert die Kommunikation, indem alle Daten von und nach außen über dieses System laufen müssen. Die Kanalisierung erhöht zudem die Chancen, einen Einbruchversuch anhand ausführlicher Protokoll-Dateien zu erkennen, da der Eindringling erst den Firewall passieren muß.
Ein Firewall kann aus einer einzelnen Maschine oder aus einer mehrstufigen Anordnung bestehen. Eine mehrstufige Anordnung ist vor allem dann sinnvoll, wenn man bestimmte Dienste der Öffentlichkeit zur Verfügung stellen will, etwa einen WWW- oder ftp-Server. Die entsprechenden Hosts können dann in einem Zwischennetz isoliert werden.

Der Anschluß kann auf zwei Arten erfolgen. Die erste Möglichkeit ist das Einbinden ins lokale Netz. Der Router dieses Netzes wird so konfiguriert, daß alle Datenpakete nur an den Firewall weitergegeben werden, der auch als einziges System 'nach außen sichtbar' ist.

Die zweite Möglichkeit besteht darin, den Firewall mit zwei Netzwerk- Schnittstellen auszurüsten, so daß das interne und das externe Netz durch den Rechner getrennt werden. Der Firewall routet dann nur die erlaubten Datenpakete.

Zur Software-Konfiguration eines Firewall existieren zwei Grundstrategien:

• 'Es ist alles erlaubt, was nicht verboten ist'
  Dieser Ansatz schließt die Nutzung bestimmter Dienste (z. B. tftp, nfs) generell aus. Er ist benutzerfreundlich, da neue Dienste automatisch erlaubt sind, aber auch gefährlich, da der Administrator das Verhalten der Nutzer ständig beobachten und rechtzeitig Gegenmaßnahmen treffen muß.
• 'Es ist alles verboten, was nicht erlaubt ist'
  Diese Strategie könnte von den Nutzern als hinderlich angesehen werden, da diese neue Dienste erst umständlich beantragen müssen. Sie schützt aber auch vor Sicherheitslücken im Betriebssystem und in Anwendungsprogrammen, da sie den Zugriff auf unbekannte Ports unterbindet.

Es gibt drei Arten von Firewalls:

• Paketfilter überprüfen die Quell- und Zieladresse (IP-Adresse und TCP/UDP-Port) eines Pakets und entscheiden, ob es passieren darf oder nicht. Der Vorteil besteht in der Transparenz für den Anwender. Diese Transparenz ist aber zugleich von Nachteil: Paketfilter können nicht zwischen Nutzern und deren Rechten unterscheiden. Paketfilter sind im allgemeinen auf Routern angesiedelt und werden heute von den meisten Herstellern mitgeliefert. Intelligente Paketfilter analysieren zusätzlich den Inhalt der Pakete und erkennen auch die Zulässigkeit von Verbindungen, die einfache Paketfilter nicht erlauben würden (z. B. Datenverbindung bei ftp).
• Circuit Level Gateways sind mit Paketfiltern vergleichbar, arbeiten jedoch auf einer anderen Ebene des Protokollstacks. Verbindungen durch solch ein Gateway erscheinen einer entfernten Maschine, als bestünden sie mit dem Firewall-Host. Somit lassen sich Infomationen über geschützte Netzwerke verbergen.
• Application Gateways, auch 'Proxy' (Stellvertreter) genannt, stellen ein anderes Firewall-Konzept dar. Hierbei wird auf dem Firewall-Host für jede zulässige Anwendung ein eigenes Gateway-Programm installiert. Der Client muß sich dabei oftmals gegenüber dem Proxy-Programm authentifizieren. Dieser Proxy führt dann alle Aktionen im LAN stellvertretend für den Client aus. Damit lassen sich zum einen benutzerspezifische Zugangsprofile (welche Zeiten, welche Dienste, welche Rechner) erstellen, zum anderen kann man die Festlegung der zulässigen Verbindungen anwendungsbezogen vornehmen. Die daraus resultierenden separaten kleinen Regelsätze bleiben besser überschaubar als der komplexe Regelsatz eines Paketfilters. Application Gateways sind typische Vertreter der 'Verboten-was-nicht-erlaubt'-Strategie und als die sicherste, aber auch aufwendigste Lösung einzuschätzen.
  Da beim Proxy alle Zugriffe nach außen über eine Instanz laufen, kann man den Proxy gleichzeitig als Cache (Pufferspeicher) benutzen. Der Proxy speichert alle erhaltenen WWW-Seiten zwischen, so daß er bei einem erneuten Zugriff darauf - egal, ob vom selben oder einem anderen Anwender - keine Verbindung nach außen aufbauen muß.

Der Einsatz von Firewalls bietet sich auch innerhalb einer Organisation an, um Bereiche unterschiedlicher Sensitivität von einander abzugrenzen. Firewalls bieten jedoch niemals hundertprozentige Sicherheit! Sie schützen nicht vor dem Fehlverhalten eines authorisierten Anwenders und können, etwa durch eine zusätzliche Modem-Verbindung, umgangen werden.

Zum Inhaltsverzeichnis        Zur XINUX Homepage

Copyright © Prof. Jürgen Plate, Fachhochschule München