HOCHGESCHWINDIGKEITSNETZE, TEIL I (2 SWS)
Werbung
HOCHGESCHWINDIGKEITSNETZE, TEIL I (2 SWS) Inhalt 1. AUFBAUSTRUKTUR VON NETZEN .................................................................. 3 1.1. Das Übertragungsverfahren Ethernet ...................................................... 3 1.2. Funktionsweise von Netzwerkkomponenten........................................... 3 1.2.1. Medienwandler............................................................................... 3 1.2.2. Multiport-Repeater (Hubs, Sternkoppler)................................... 4 1.2.3. Brücken ........................................................................................... 4 1.2.4. Layer-2-Frame-Switches .............................................................. 4 1.2.5. Layer-3 Frame-Switches und VLANs ......................................... 7 1.2.6. Router .............................................................................................. 8 1.2.7. Übungen zu Collision- und Broadcast-Domains....................... 9 1.3. Switches - Eigenschaften und Funktionen ............................................ 11 1.3.1. Switching-Prinzipien .................................................................... 12 1.3.2. Funktionen im Überlastungsfall ................................................. 16 1.3.3. Virtual LAN (VLAN) ..................................................................... 17 1.3.4. Spanning Tree Protocol (STP) .................................................. 22 1.3.5. Quality of Service (QoS)............................................................. 24 1.3.6. Simple Network Management Protocol (SNMP) .................... 25 1.3.7. Power over Ethernet (PoE) ........................................................ 26 1.4. Standards und Normen ............................................................................ 27 1.5. Netzwerktopologie und Strukturierte Gebäudeverkabelung ............... 33 1.5.1. Primärverkabelung, Gebietsnetz............................................... 35 1.5.2. Sekundärverkabelung, Steigbereich ........................................ 37 1.5.3. Tertiärverkabelung, Anschlussbereich ..................................... 38 1.5.4. Wahl der Übertragungsgeschwindigkeiten .............................. 40 1.5.5. Infrastrukturmaßnahmen für Verteilerräume ........................... 41 1.5.6. IP-Schutzklassen ......................................................................... 43 1.6. Übertragungsmedien beim Ethernet ...................................................... 46 1.6.1. Kupferkabel .................................................................................. 46 1.4.1.1 Abschirmvarianten ......................................................... 46 1 1.4.1.2 Verlegungsvorschriften für Kabel ................................ 49 1.4.1.3 Anschlusstechnik beim Kupferkabel ........................... 49 1.4.1.4 Farbcodes für die „Twisted Pair“- Verkabelung ........ 51 1.4.1.5 Ethernet-Kabel................................................................ 54 1.4.1.6 Erdung von Datendosen ............................................... 56 1.6.2. Lichtwellenleiter-Kabel (LWL) .................................................... 57 1.4.2.1 LWL-Kabeltypen und Aufbaustruktur......................... 57 1.4.2.2 Fiber Optic Connectors ................................................. 59 1.7. Zertifizierung von Netzwerkverbindungen ............................................. 61 1.7.1. Ziele ............................................................................................... 61 1.7.2. Normen ......................................................................................... 61 1.7.3. Testparameter .............................................................................. 61 1.7.4. Messabläufe ................................................................................. 61 1.7.5. Protokollierung der Messergebnisse (Bsp. Linkware) ........... 61 1.8. Beispiele von Netzwerkkonfigurationen ................................................. 62 1.8.1. Konfiguration A ............................................................................ 62 1.8.2. Konfiguration B ............................................................................ 63 1.8.3. Konfiguration C - Öffentliche und Private Adressen .............. 64 1.8.4. Konfiguration D - Einsatz von Firewallsystemen .................... 64 1.8.5. Konfiguration E - Industrienetze ................................................ 65 1.8.6. ÜBUNG: Entwurf einer Netzwerktopologie ............................. 68 Document History Version Date Author(s) email address Changes and other notes 14.10.2013 [email protected] Einfügen Switch-Kapitel 15.10.2013 [email protected] VLAN- und STP-Kapitel eingefügt 2 1. AUFBAUSTRUKTUR VON NETZEN 1.1. Das Übertragungsverfahren Ethernet Das Ethernet-Protokoll (IEEE 802.3xx) hat sich in den letzten Jahren zum Standardprotokoll im LAN-Bereich entwickelt. Ein Überblick über die möglichen Übertragungsgeschwindigkeiten und Medien liefert die untenstehende Tabelle. Der Nachteil des ursprünglichen Ethernet-Standards war das CSMA/CD-Zugriffsverfahren. Hierdurch ist die Netzausdehnung eingeschränkt und wegen der Kollisionen ist nur ein Teil der physikalischen Übertragungsgeschwindigkeit nutzbar. Mit dem Einsatz von Switches und Vollduplex-Strecken entfallen Kollisionen und der Switch regelt den Netzzugriff; das CSMA/CD-Protokoll mit seinen Nachteilen entfällt. Norm Bezeichnung Übertragungsgeschwindigkeit, Medium Länge IEEE 802.3 10/100 Base TX 10/100 Mbit/s Twisted Pair 2 DA Kat. 5 100 m 100 Base FX 100 Mbit/s LWL 50/125 µm (62,5/125 µm) IEEE 802.3z IEEE 802.3ae 2 km * 1.000 Base 1 Gbit/s 1000BaseSX ** 1000BaseLX 1000BaseTX LWL 50/125 µ (850 nm) Gradientenindexfasern 50/125 µm (1310 nm) 2-500 m 2-550 m Einmodenfasern 9/125 µm 10 km über Kupfer (4 Doppeladern): Twisted Pair (seit 9/99 standardisiert) 100 m 10GBase- 10 Gbit/s im LAN-Bereich (Gradientenindexfasern) (Einmodenfasern) im WAN-Bereich (Einmodenfasern) * Bei Vollduplexübertragung ** Wellenlänge: S: Short (850 nm); L: Long (1310 nm); E: Extra Long (1550 nm) 300 m 2 km 40 km Bild: IEEE 802.3 Übertragungstechniken Für Gigabit-Ethernet sind im IEEE-802.z-Standard auch 62,5-µm-Fasern zugelassen. Vorhandene Fasern sind daher nicht auszutauschen. Zu beachten ist bei Verwendung von 1000BaseSX über die 62.5-µm-Faser die geringere maximale Leitungslänge von 220m, bei 1000BaseLX sind ebenfalls Längen von 550 m möglich. 1.2. Funktionsweise von Netzwerkkomponenten 1.2.1. Medienwandler 3 Medienwandler werden eingesetzt für den Wechsel des Übertragungsmediums, beispielsweise für die Umsetzung von Twisted-Pair auf LWL oder von LWL-Mehrmodenfasern auf LWL-Einmodenfasern. Teilweise werden als Medienwandler Ethernet-Repeater angeboten, oft handelt es sich jedoch, vor allem bei optischen Wandlern um protokollunabhängige Geräte, die z.B. sowohl 100BaseFX, FDDI oder ATM übertragen können. 1.2.2. Multiport-Repeater (Hubs, Sternkoppler) Bei Repeatern handelt es sich um Komponenten, die auf der Bitübertragungsschicht arbeiten und die elektrische oder optische Signale aufbereiten. Mit Repeatern kann auch ein Medienwechsel, z.B. von Twisted-Pair auf LWL vorgenommen werden. Die Übertragungsgeschwindigkeit wird hierbei nicht verändert. Da Repeater nur auf der Schicht 1 (Bitübertragungsschicht) arbeiten und bei Ethernet mit zunehmender Übertragungsgeschwindigkeit durch das CSMA/CD-Protokoll die maximale Netzgröße immer kleiner wird, haben diese früheren Standardsysteme an Bedeutung verloren. 1.2.3. Brücken Brücken arbeiten auf der Ebene 2 des OSI-Schichtenmodels und dienen zur Lasttrennung bzw. zur Kopplung von Netzen unterschiedlicher Übertragungsgeschwindigkeit. In Funk-LANs sind oft Brücken integriert für den Übergang vom LAN (10/100 Mbit/s) zur Funkstrecke (1,2 oder 10 Mbit/s). Layer-2-Switches sind die Nachfolgekomponenten der Bridges. Funktional entsprechen Layer-2-Switches den Brücken, besitzen jedoch eine höhere Anzahl Ports und sind mit deutlich höherer Übertragungsleistung ausgestattet. 1.2.4. Layer-2-Frame-Switches Ein Switch stellt die Weiterentwicklung eines Hubs dar. Switche verteilen die Daten in einem Netzwerk selektiv. Die Informationspakete werden nur an den Port weitergeleitet, an dem das Ziel angeschlossen ist, das im Paket adressiert ist. So erhöht sich die Bandbreite des Netzwerksegments und das Paketaufkommen wird verringert. Switche werden anhand der Layer der einzelnen OSI-Schichten kategorisiert. Je höher diese Schicht angesiedelt ist, desto leistungsintensiver gestaltet sich die Weiterleitung, desto mehr Rechenkapazität benötigt der Switch. Professionelle Versionen bieten vielfältige Möglichkeiten den Datenfluss zu überwachen und zu leiten. Von der Funktion her sind Frame-Switches im Wesentlichen Brücken, allerdings mit mehr als zwei Ports. Wie Brücken arbeiten sie mit kompletten Datenpaketen (Ethernet-, Token Ring, FDDI-Frames) auf der Vermittlungsschicht (Layer 2. Link Layer). Sie werden zur Lasttrennung und damit zur Durchsatzsteigerung im Netz eingesetzt. Datenpakete werden nicht mehr, wie es den zugrunde liegenden LAN-Protokollen entspricht, an alle Teilnehmer im Netz per Broadcast verteilt, sondern zielgerichtet nur in das Segment bzw. an den Port gesendet, in dem sich der Empfänger (PC, Drucker etc.) befindet. Durch die notwendige Zwischenspeicherung des kompletten Datenpaketes (Frame) ergibt sich bei dem hier beschriebenen „Store and Forward“-Verfahren eine in manchen Fällen unerwünschte zeitliche Verzögerung. 4 Source Address Table (SAT) – Learning Mode Empfängt der Switch ein Frame nach dem Einschalten, speichert er die MAC-Adresse des Senders und die zugehörige Schnittstelle in der sog. „Source Address Table“ (SAT). Wird die Zieladresse in der SAT gefunden, so befindet sich der Empfänger im Segment, das an der zugehörigen Ethernet-Interface (Port) angeschlossen ist. Das Frame wird dann an diesen Port weitergeleitet. Sind Empfangs- und Zielsegment identisch, muss das Frame nicht weitergeleitet werden, da die Kommunikation ohne Switch im Segment selbst stattfinden kann. Falls die Zieladresse (noch) nicht in der SAT ist, muss das Frame an alle anderen Schnittstellen weitergeleitet werden. In einem IPv4-Netz wird der SAT-Eintrag meist bereits während der sowieso nötigen ARP-Adressenanfragen vorgenommen. Zunächst wird aus der ARP-Adressenanfrage eine Zuordnung der Absender-MAC-Adresse möglich, aus dem Antwortframe erhält man dann die Empfänger-MAC-Adresse. Da es sich bei den ARP-Anfragen um Broadcasts handelt und die Antworten immer an bereits erlernte MAC-Adressen gehen, wird kein unnötiger Verkehr erzeugt. Wichtig: Broadcast-Adressen werden niemals in die SAT eingetragen und daher stets an alle Segmente weitergeleitet. Frames an Multicast-Adressen werden von einfachen Geräten wie Broadcasts verarbeitet. Höher entwickelte Switches beherrschen häufig den Umgang mit Multicasts und senden Multicast-Frames dann nur an die registrierten Multicast-Adress-Empfänger. Store-and-Foreward-Verfahren – Forwarding Mode Das Store-and-Forward Verfahren bezeichnet eine Fehlerkontrolle innerhalb des Switches. Ein eintreffendes Informationspaket wird nicht im selben Moment weitergeleitet. Es wird zwischengepuffert und analysiert. Dies stellt zwar eine Zeitverzögerung im Vergleich zur sofortigen Weiterleitung dar, ist allerdings eine effektivere Methode, da fehlerhafte Pakete aussortiert und direkt neu angefragt werden können. Beim Store-and-Foreward-Verfahren werden die Frames erst nach einer Fehlerprüfung weitergeleitet. Defekte Rahmen werden erkannt und zwecks Minimierung der Netzlast direkt am Switch verworfen. Nachteilig zu bewerten sind die in Abhängigkeit der Framelänge unterschiedlich hohen Latenzzeiten. Werden Ports mit unterschiedlichen Übertragungsraten eingesetzt, muss das Store-andForeward-Verfahren angewendet werden. Aufgrund seiner Flexibilität ist dieses Verfahren am verbreitetsten. Für zeitkritische Anwendungen wie z. B. Video- oder Sprachübertragung im LAN, kann auf das sogenannte „Cut Through“-Verfahren ausgewichen werden, bei dem die Datenpakete sofort nach Erkennen der Zieladresse weitergeleitet werden. Dies geschieht allerdings auf Kosten der Fehlerbegrenzung, da so auch fehlerhafte Frames in andere Netzsegmente weitergeleitet werden. Cut-Through-Verfahren – Forwarding Mode 5 Beim Cut-Through-Verfahren (auch als On-The-Fly-Verfahren bezeichnet) werden eingehende Frames auf Quell- und Zieladresse im MAC-Frame hin untersucht. Unmittelbar danach wird die notwendige Verbindung geschaltet und der Rest des Frames wird ohne Überprüfung durch den Switch weitergeleitet. Ist der Zielport des Switches bereits durch eine andere Verbindung blockiert bzw. überlastet, wird der Frame bis zur Verfügbarkeit des Ports zwischengespeichert, was zu erhöhten Latenzzeiten führt. Mischformen und automatisches Umschalten zwischen beiden Verfahren sind bei einigen Geräten zu finden. Die Umschaltung geschieht entweder per Konfiguration durch Software oder automatisch anhand der CRC-Fehlerzahl. Wird eine vorgegebene Anzahl von fehlerhaften Paketen überschritten, schaltet der Switch automatisch von "CutThrough" auf "Store-and-Forward" mit erweiterter Fehlerprüfung um. Neben der Basisfunktionalität, wie die Lasttrennung aufgrund der MAC-Adresse im Datenpaket, bieten viele Switche zusätzlich höherwertige Funktionen, so dass anstelle von Repeatern heute Switches eingesetzt werden. Frame Switche arbeiten auf dem Link Layer (Ebene 2, Datensicherungsschicht), sind somit völlig transparent für die höheren Protokolle, d. h. ohne besondere Vorkehrungen können in den nur mit Frame Switches strukturierten Netzen unterschiedliche Protokolle wie TCP/IP, NetBios, AppleTalk parallel verwendet werden. Bei Verwendung von Layer-2-Protokollen können Komponenten unterschiedlicher Hersteller problemlos zusammengeschaltet werden. Frame-Switches können, und das ist eines der Haupteinsatzgebiete von Low-End-Geräten, durch die oben beschriebene „Store and Forward“-Technik, LAN-Segmente mit gleichem MAC-Protokoll, aber unterschiedlicher Übertragungsgeschwindigkeit, miteinander verbinden. Bekanntestes Beispiel dafür sind Ethernet/Fast-Ethernet/GigabitEthernet(10/100/1000 Mbit/s) Switches, die es in allen Port-Kombinationen gibt. Damit lassen sich kleinere Backbones aufbauen und schnelle Serveranbindungen realisieren. Am flexibelsten sind Switche mit Autosensing/Autonegotiation (NWay) Ports, welche die Geschwindigkeit der angeschlossenen Geräte erkennen und sich automatisch darauf einstellen. Neben der Geschwindigkeit wird auch noch der Übertragungsmodus, Volloder Halbduplex, automatisch erkannt und eingestellt. Die im folgenden Abschnitt beschriebenen VLANs (Virtual LANs) lassen sich teilweise auch mit Layer-2-Switches realisieren, für den Übergang zwischen den VLANs werden jedoch Router oder Layer-3-Switches benötigt. Übung: Gegeben sind zwei Switches, die drei LANs verbinden sollen. Die Netzwerkkomponenten werden eingeschaltet. Es findet jetzt die Kommunikation statt, wie in der nächsten Tabelle dargestellt. Angegeben sind jeweils der Sender und der Empfänger eines Rahmens. Die Switche senden nun je nach Lernstatus den Rahmen an die verschiedenen Ausgabeports weiter. Geben Sie zu jeder Sendung in Form von Kreuzchen (X) an, zu welchem Port die Übertragung erfolgt. 6 Host A B Host AA BB HUB A HUB B Port 1 Switch A Port 1 Port 2 Switch B Port 2 Port 3 HUB C Host X Y Bild: Switched LAN Sender 1.2.5. L a y e r 3 F r a m e S w Empfänger A B AA B X A Y BB BB AA B X AA B AA B Switch A Switch A Switch A Switch B Switch B Port 1 Port 2 Port 3 Port 1 Port 2 7 itches und VLANs Layer-3 Frame-Switches sind Netzwerkkomponenten, die den wesentlichen Vorteil der Frame Switches (Geschwindigkeit), mit dem der Router (Möglichkeit der Subnetz- bzw. Broadcastdomainbildung), in einem Gerät kombinieren. Layer 3 Switches erlauben eine viel weitergehende Netzstrukturierung als Layer-2-Switches und auch der Router mit der Subnetzbildung. Gängige Strukturierungsmöglichkeiten sind Gruppierungen nach MAC-(Ebene 2) Adressen, nach Protokolladressen oder auch die Zusammenfassung mehrerer Switchports zu einer Broadcastdomain, kurz VLAN (IEEE 802.1Q) genannt. Layer-3 Switches sind von den meisten Herstellern nur für IP-Protokolle erhältlich und es wird nur ein Teil der Funktionalität eines Routers geboten. Mit IEEE 802.1Q existiert ein Standard, der die herstellerübergreifende Realisierung von VLANs ermöglicht. Alle Hersteller haben jedoch eigene Erweiterungen implementiert, so dass eine über 802.1Q hinausgehende Kompatibilität nicht gewährleistet ist . Einer der wesentlichen Vorteile von diesen VLANs ist, dass all diese Gruppierungen räumlich nicht mehr an die physikalische Netzinfrastruktur (Topologie) wie bei den Routern gebunden sind. Die logische Netzstruktur kann sich deshalb an den organisatorischen (und somit an den auftretenden Datenströmen, Sicherheitsbelangen u.v.a.m.) orientieren und muss nicht den physikalischen Gegebenheiten angepasst werden. Man spricht vom virtuellen LAN, weil es kein in sich geschlossenes, auf einer gemeinsamen physikalischen Infrastruktur aufbauendes LAN mehr gibt, aber trotzdem die wesentlichen Eigenschaften und Vorteile eines herkömmlichen LANs erhalten bleiben. Wie oben erwähnt, arbeiten alle gängigen Netzwerkprotokolle mit Broadcasts, diese werden in einem VLAN über die Grenzen einzelner physikalischer Netzwerksegmente verteilt (daher die Unabhängigkeit von der physikalischen Netzwerkstruktur), bleiben aber innerhalb der wie auch immer definierten VLAN-Gruppe (Port, Adresse...). Das führt zu einer wesentlichen Reduzierung des Bandbreitenbedarfs, steigert die Sicherheit und begrenzt die Auswirkung von (Konfigurations-) Fehlern; bedeutet auf der Gegenseite erhöhten Aufwand bei der Konfiguration. Zwischen einzelnen VLANs muss der Netzwerkverkehr weiterhin geroutet werden. Diese Funktion wird durch den Layer-3-Switch oder durch die Router ausgeführt. Auch wenn Switches (auf absehbare Zeit) die Router nicht komplett ablösen werden, geht die Tendenz eindeutig in Richtung des verstärkten Einsatzes der Switching-Technik, während die Routing-Funktionalität an den Rand des LANs gedrängt wird. 1.2.6. Router Mit Bridges und Layer-2-Switches lassen sich Netzwerke mit gleichem MAC-Protokoll aufbauen, also z. B. Ethernet- oder Token Ring Netze. Übergänge von einer Netzwerktechnologie in eine andere sind mit diesen Komponenten typischerweise nicht möglich. Mit Routern können diese Systemgrenzen überwunden werden, Voraussetzung ist allerdings ein einheitliches Protokoll auf OSI-Schicht-3 (Netzwerkebene), z. B. IP oder IPX. Einsatzgebiete von Routern: 8 • Die Anbindung des lokalen Netzes an Weitverkehrsnetze • Netzübergänge (z.B. Ethernet auf Token Ring) • Strukturierung von Netzen durch IP-Subnetzbildung. Hier werden jedoch heute in der Regel Layer-3-Switches eingesetzt. Durch das Bilden von Broadcastdomains kann die Netzlast reduziert werden. In großen Netzen wird durch diese Broadcasts, ein erheblicher Teil der Bandbreite belegt. Broadcasts sind Nachrichten, die nicht an einen bestimmten Teilnehmer (Knoten, Rechner...) im Netz gerichtet sind, sondern an alle. Nachteilig dabei ist, dass diese Art der Subnetzbildung abhängig von der physikalischen Infrastruktur, d. h. der Topologie der Verkabelung, ist, denn die Subnetze sind an die Routerports gebunden. Einen Ausweg aus dieser starren Zuordnung bieten VLANs. • Sicherheitsaspekte, Abschottung von Netzen, Firewallfunktionalitäten Wegen des umfangreichen Funktionsspektrums und weil viele Aufgaben nur in Software erledigt werden können, sind Router im Allgemeinen langsam und teuer. Ausnahmen bilden hier Hochleistungsrouter, die das IP-Forwarding mit Hilfe von speziellen Netzwerkprozessoren erledigen; nachteilig ist hier der sehr hohe Preis. 1.2.7. Übungen zu Collision- und Broadcast-Domains Geben Sie bitte die Anzahl der Collision- und der Broadcast-Domains im jeweiligen Netzwerk an: 1. Übung 2. Übung 9 3. Übung 4. Übung 10 1.3. Switches - Eigenschaften und Funktionen Ein Switch stellt die Weiterentwicklung eines Hubs dar. Switche verteilen die Daten in einem Netzwerk selektiv. Die Informationspakete werden nur an den Port weitergeleitet, an dem das Ziel angeschlossen ist, das im Paket adressiert ist. So erhöht sich die Bandbreite des Netzwerksegments und das Paketaufkommen wird verringert. Switche werden anhand der Unterstützung der einzelnen OSI-Schichten kategorisiert der Layer. Je höher diese Schicht angesiedelt ist, desto leistungsintensiver gestaltet sich die Weiterleitung, desto mehr Rechenkapazität benötigt der Switch. Professionelle Versionen bieten vielfältige Möglichkeiten den Datenfluss zu überwachen und zu leiten. Bild: Innenleben eines Cisco Switches der 1900er Serie 11 1.3.1. Switching-Prinzipien Der Mechanismus, der in einem Switch verwendet wird nennt sich Switching. In diesem Vorgang wird das eingehende Ethernet-Frame analysiert. Die MAC-Adressen von Sender und Empfänger werden in der MAC-Tabelle (FDB, Forwarding Database) gespeichert. So können die Datenpakete schneller an den Switch-Port, an dem der Empfänger hängt, weitergeleitet werden. Da eine Station an einen anderen Switch-Port umziehen kann, werden alte Einträge in der MAC-Tabelle regelmäßig gelöscht (AgeingMechanismus). Bild: Aufbau eines Ethernet-Datenframes (OSI-Layer 2) Die Verarbeitungszeit eines Switches wird als Latenz bezeichnet. Die Dauer hängt vom verwendeten Switching-Verfahren ab. Unterschieden wird - Cut-Through, - Store-and-Forward, - Adaptive-Cut-Through und - FragmentFree-Cut-Through. Neben der reinen Verarbeitungsgeschwindigkeit des Switching-Verfahrens ist auch die Leistungsfähigkeit der Backplane für die Latenz der Ethernet-Frames verantwortlich. Wird ein Switch verwendet, der für alle Ports in Summe nicht genug Bandbreite zu Verfügung hat, müssen die Frames oft zwischengespeichert werden. Die Übertragungsleistung wird in Frames pro Sekunde bzw. Packets per Second (PPS) angegeben. Kann ein Switch alle Ports ständig mit der höchsten Datenrate bedienen, wird von “non-blocking” oder auch von der “Wire-Speed”-Fähigkeit gesprochen. 12 Cut-Through Der Switch analysiert bereits die Ethernet-Frames, bevor sie vollständig eingetroffen sind. Hat er die Ziel-Adresse identifiziert wird das Frame schon am Ziel-Port ausgegeben. Die Latenz, die Verzögerungszeit zwischen Empfangen und Weiterleiten eines Frames ist äußerst gering. Das Cut-Through-Verfahren verzichtet auf die vollständige Analyse der Frames, wobei fehlerhafte oder beschädigte Frames unerkannt bleiben und ungehindert weitergeleitet werden. Obwohl dieses Verfahren sehr schnell ist, kann es auch zu einer Belastung des Netzwerkes führen, weil defekte Ethernet-Frames nochmals übertragen werden müssen. Store-and-Forward Der Switch nimmt stets das gesamte Frame in Empfang und speichert es in einem Puffer. Erst danach wird das Frame analysiert. Dazu wird geprüft, ob das Frame die richtige Struktur (nach IEEE 802.1d) hat. Außerdem wird die Richtigkeit der CRCPrüfsumme (nach IEEE 802.3) getestet. Erst danach wird die Ziel-MAC-Adresse ausgelesen und überprüft. Befindet sich die Adresse in der MAC-Tabelle wird das Frame an den gespeicherten Port ausgegeben. Wenn sich die Adresse nicht in der MAC-Tabelle befindet, wird das Frame an allen Ports weitergeleitet (Broadcast). Grundsätzlich benötigt das Store-and-Forward-Verfahren mehr Zeit, bis ein Frame weitergeleitet ist. Die genaue Analyse eines Frames reduziert jedoch die Netzbelastung durch fehlerhafte Frames. Bei unterschiedlich schnellen Netzwerk-Stationen (10 MB/s, 100Mbit/s, 1 GB/s, 10 GB/s) werden die Frames durch die Zwischenspeicherung vermittelt. Folgendes Ablaufdiagramm verdeutlicht die Vorgehensweise des Store-and-ForwardVerfahrens: 13 Bild: Ablaufdiagramm zum Store-and-Forward-Verfahren Adaptive-Cut-Through Je nach Implementierung gibt es Unterschiede bei diesem Switching-Verfahren. In jedem Fall wird auf eine Kombination aus Cut-Through und Store-and-Forward gesetzt. Im einen Fall werden die Frames mit Cut-Through weitergeleitet, aber anhand der Prüfsumme (CRC) geprüft. Wird eine bestimmte Fehlerrate überschritten, wird automatisch auf Store-and-Forward umgeschaltet. Geht die Fehlerrate wieder zurück, wird auf Cut-Through zurückgeschaltet. Mit diesem Verfahren wird in teuren Switches eine Optimierung des Datenverkehrs zwischen Schnelligkeit und Fehlerfreiheit hergestellt. Unterschiedliche Datenraten kann dieses Switching-Verfahren nicht berücksichtigen. Die Switches unterstützen nur eine Art der Datenrate (10 Mbit/s,100 Mbit/s, 1 GBit/s). Eine anderen Art von Adaptive-Cut-Through entscheidet anhand der Länge des Frames welches Verfahren angewand wird. Ist keine Apassung der Datenrate nötig, werden Frames mit einer Länge über 512 Byte per Cut-Through weitergeleitet. Kürzere Frames werden vor der Weiterleitung mit Store-and-Forward analysiert. Mit diesem SwitchingVerfahren optimiert man die Latenz anhand der Länge von Frames. 14 FragmentFree-Cut-Through Dieses Verfahren stammt von Cisco und geht von einem Erfahrungswert bei fehlerhaften Frames aus. Man hat festgestellt, dass Übertragungsfehler am häufigsten innerhalb der ersten 64 Byte eines Frames auftreten. Deshalb überprüft ein, mit FragmentFree-Cut-Through arbeitender, Switch die ersten 64 Byte auf Fehler. Ist es fehlerfrei wird das Frame per Cut-Through weiterverarbeitet. Ist wider Erwarten ein Fehler vorhanden wird das Frame verworfen. Berechnung der Latenzzeiten von Switching-Verfahren Die Verzögerung, die beim Weiterleiten von Ethernet-Frames entsteht, wird Latenz genannt. Bei Store-and-Forward ist das die Zeit, die zwischen dem Empfang des letzten Bit und der Ausgabe des ersten Bit verflossen ist. Die genaue Bezeichnung lautet Last In First Out (LIFO) Latency. Bei Cut-Through wird die Latenz zwischen dem ersten eingegangenen Bit und dem ersten ausgegebenen Bit gemessen. Die genaue Bezeichnung lautet “First In First Out (FIFO) Latency”. Wegen der unterschiedlichen Messverfahren ist ein direkter Vergleich anhand der Latenz zwischen Cut-Through und Store-and-Forward nicht möglich. Switching-Verfahren Messverfahren Latenz Cut-Through First In First Out (FIFO) ~ 35 µs Store-and-Forward Last In First Out (LIFO) ~ 18 µs Geht man bei einem Fast-Ethernet-Frame mit 512 Byte von etwa 41 µs Übertragungszeit aus, benötigt es mit Cut-Through etwa 76 µs, bis es weitergeleitet ist. Weil bei Store-and-Forward das Frame vollständig empfangen und dann wieder ausgegeben wird, muss zur Latenz die zweifache Framedauer addiert werden. Das selbe Fast-Ethernet-Frame benötigt mit Store-and-Forward etwa 100 µs. 15 Bild: Latenzzeiten im Vergleich 1.3.2. Funktionen im Überlastungsfall Müssen in einem geswitchten Netzwerk sehr viele Datenpakete auf einem einzigen Port weitergeleitet warden, z. B. beim Port-Mirroring, passiert es sehr schnell, dass die Eingangspuffer der anderen Ports voll laufen und sich das Verwerfen von Frames nicht mehr vermeiden last (discard packets). Für die Protokolle auf den höheren Schichten, wie z. B. TCP/IP ist das äußerst ungünstig, weil sich durch den Paketverlust die Übertragungsleistung des Übertragungssystems verschlechtert. TCP/IP ist dann gezwungen durch geeignete Maßnahmen, z. B. Paketverkleinerung, die Übertragungsqualität zu verbessern oder das Paket neu anzufordern (Retransmission). Zu Lasten der Übertragungsleistung, denn kleinere Pakete bedeuten einen größeren Anteil von Steuerungsdaten gegenüber dem reinen Nutzdaten. Flow-Control 16 Um den Worst-Case-Fall zu vermeiden, steht im Standard IEEE 802.3x das FlowControl zu Verfügung. Dieses Verfahren funktioniert grundsätzlich nur im Vollduplexmodus von Fast-Ethernet und Gigabit-Ethernet. Flow-Control komt zum Einsatz, wenn ein Puffer vor dem Überlaufen steht. Der Switch schickt dann dem angeschlossenen Gerät ein Pause-Frame. Dieses ist ein spezielles MAC-ControlFrame, welches als Multicast an die Adresse 01-80-C2-00-00-01 verschickt wird. Im Length/Typ-Feld des Frames steht der Wert “8808”. Back-Pressure Ist kein Vollduplex möglich, wird ein Verfahren namens “Back-Pressure” verwendet. Es simuliert Kollisionen. Dazu wird vor dem drohenden Überlauf ein JAM-Signal vom Switch gesendet. Das angeschlossene Gerät beendet daraufhin den Sendevorgang und wartet einige Zeit, bevor es erneut Frames sendet. Head-of-Line-Blocking Im Regelfall unterstützen alle Gigabit-Ethernet-Komponenten das „Flow-ControlVerfahren“. Bei Fast-Ethernet-Komponenten ist das nicht immer der Fall. Ob diese Funktion genutzt werden kann, wird während des Link-Aufbaus (nach dem Herstellen der Steckverbindung) mit der Auto-Negotation-Funktion ermittelt. Wenn nicht, bieten viele Switches die „Head-of-Line-Blocking“-Funktion. Sie prüft die Zieladresse und deren Port-Zuordnung. Ist der Ausgangspuffer des ermittelten Ports blockiert, wird das Frame verworfen, damit der Puffer des Eingangsports frei bleibt. 1.3.3. Virtual LAN (VLAN) Ein VLAN ist ein abgetrenntes virtuelles Netzwerk innerhalb eines physischen Netzwerks oder innerhalb des Internets. Unterschieden werden - portbasierte VLANs und neuere - paketbasierte VLANs, sog. Tagged-VLANs. Sie stellen eine erhebliche Erleichterung der Verwaltung eines Netzwerks dar. Zusätzlich bietet es noch vielfältige Sicherheitsaspekte. Statische VLANs (statisches, portbasiertes VLAN) Beim portbasierten VLAN werden die einzelnen Ports eines Switches einem VLAN zugeordnet! Dies ermöglichte eine Segmentierung eines Switches in mehrere logische Switches. Diese Methode heißt auch „portbasierte Mitgliedschaft“. Die Zuordnung eines Ports zu einem VLAN erfolgt durch statische VLAN-Konfiguration. Wenn ein Gerät ans Netzwerk angeschlossen wird, nimmt es automatisch am VLAN seines Ports teil. Wechselt der Benutzer die Ports, möchte aber im gleichen VLAN bleiben, muss der Administrator eine manuelle Zuweisung des neuen Ports zum gewünschten VLAN vornehmen. Dies bedeutet, dass alle Benutzer, die an den Port angeschlossen werden, Mitglieder desselben VLANs sind. An einen einzelnen Switch-Port sind entweder eine einzelne 17 Benutzer-Workstation oder ein Hub angeschlossen, der wiederum mit mehreren Workstations verbunden ist. Die Portkonfiguration ist statisch und kann nicht automatisch auf ein anderes VLAN umgeschaltet werden, ohne dass der Switch manuell neu konfiguriert werden muss. Bild: Statische VLANs Jedes VLAN befindet sich in einem separaten Subnetz. Der Router dient der Kommunikation zwischen den Subnetzen, er routet zwischen den einzelnen VLANs. Bild: Einsatz eines Routers zur Verbindung von VLANs 18 Dynamische VLANs Bei der dynamischen Implementierung eines VLANs wird die Zugehörigkeit eines Frames zu einem VLAN anhand bestimmter Inhalte des Frames getroffen. Da sich alle Inhalte von Frames praktisch beliebig manipulieren lassen, sollte in sicherheitsrelevanten Einsatzbereichen auf den Einsatz von dynamischen VLANs verzichtet werden. Dynamische VLANs stehen im Gegensatz zu den statischen VLANs. Die Zugehörigkeit kann beispielsweise auf der Basis der MAC- oder IP-Adressen geschehen, auf Basis der Protokoll-Typen (z. B. 0x809B Apple EtherTalk, 0x8137: Novell IPX, 0x0800: IPv4 oder 0x88AD: XiMeta LPX) oder auch auf Anwendungsebene nach den TCP-/UDP-Portnummern (Portnummer 53: DNS, 80: HTTP, 3128: Squid Proxy). In der Wirkung entspricht dies einer automatisierten Zuordnung eines Switchports zu einem VLAN. Die Zugehörigkeit kann sich also zum Beispiel auch aus dem Paket-Typ ableiten und so zum Beispiel ein IPX/SPX-Netzwerk von einem TCP/IP-Netzwerk trennen. Diese Technik ist heutzutage nicht mehr weit verbreitet, da TCP/IP in vielen Netzwerken alle anderen Protokolle abgelöst hat. Durch Dynamische VLANs kann zum Beispiel auch erreicht werden, dass ein mobiles Endgerät immer einem bestimmten VLAN angehört, unabhängig von der Netzwerkdose, an die es angeschlossen wird. Eine andere Möglichkeit besteht darin, einen bestimmten Teil des Datenverkehrs, zum Beispiel VoIP, aus Performance- oder Sicherheitsgründen (veraltet) in ein spezielles VLAN zu leiten. Dynamische VLANs entstehen durch den Einsatz von Softwarelösungen wie CiscoWorks. Mit Hilfe eines VLAN Management Policy Server (VMPS), einem Server für VLAN-Verwaltungsrichtlinien, können Switch-Ports VLANs dynamisch, basierend auf der MAC-Adresse des Gerätes zuweisen, das an den Port angeschlossen ist. Derzeit ermöglichen die Catalyst-Switches eine Mitgliedschaft in dynamischen VLANs nur basierend auf der MAC-Adresse des Endgerätes. Sobald ein Gerät dem Netzwerk hinzugefügt wird, fragt der Switch den VMPS automatisch die VLAN-Zugehörigkeit ab. 19 Bild: Einsatz eines VLAN Management Policy Server (VMPS) Tagged-VLAN In einem Tagged-VLAN wird der gesamte Verkehr im virtuellen Netz mit Packet Switching realisiert. Die Adressierung erfolgt im MAC-Adressbereich. 20 Bild: Ethernet-Datenblockformat Ethernet-II nach IEEE 802.3 mit 802.1Q VLAN-Tag Die Switches besitzen einen Art Lern-Algorithmus, was bedeutet, dass eine z.B. ein Host den physischen Standort einfach wechseln kann und dennoch Mitglied des virtuellen Netzes bleibt, ohne dass eine Neukonfiguration in der Endstation erforderlich wäre. Der Vorteil: es können ortsunabhängige Arbeitsgruppen geschaffen werden. Durch diese Konstruktion verbleibt der Verkehr innerhalb eines virtuellen Netzes. Broadcasts auf einem virtuellen Netz werden keinesfalls auf ein anderes virtuelles Netz weitergeleitet. Die paketbasierten tagged VLANs stehen im Unterschied zu den älteren markierungslosen, portbasierten VLANs. Der Ausdruck tagged leitet sich vom englischen Ausdruck material tags ab, Warenanhänger, mit denen Waren markiert werden. Es handelt sich also bei tagged VLANs um Netzwerke, die Netzwerkpakete verwenden, welche eine zusätzliche VLAN-Markierung tragen Ein Tagging in VLANs kommt auch dann zum Einsatz, wenn sich VLANs z. B. über mehrere Switches hinweg erstrecken, etwa über Trunk-Ports. Hier tragen die Frames eine Markierung, welche die Zugehörigkeit zum jeweiligen VLAN anzeigt. Durch die Tags werden VLAN-spezifische Informationen zum Frame hinzugefügt. Zu dieser Gattung gehören die VLANs nach IEEE 802.1q, Ciscos Inter-Switch Link Protocol (ISL) oder auch 3Coms VLT (Virtual LAN Trunk) Tagging. Damit die VLAN-Technik nach 802.1q auch für ältere Rechner und Systeme in einem Netz transparent bleibt, müssen Switches diese Tags bei Bedarf hinzufügen und auch wieder entfernen können. Bei portbasierten VLANs, also bei Paketen, die kein Tag besitzen, wird zum Weiterleiten eines Datenpakets über einen Trunk hinweg üblicherweise vor dem Einspeisen in den Trunk ein VLAN-Tag hinzugefügt, welches kennzeichnet, zu welchem VLAN das Paket gehört. Der Switch auf Empfängerseite muss dieses wieder entfernen. Bei tagged VLANs nach IEEE 802.1q hingegen werden die Pakete entweder vom Endgerät (z. B. Tagging-fähigem Server) oder vom Switch am Einspeiseport mit dem Tag versehen. Daher kann ein Switch ein Paket ohne jegliche Änderung in einen Trunk einspeisen. Empfängt ein Switch auf einem VLT-Port (Trunkport) ein Frame mit VLANTag nach IEEE 802.1q, kann auch dieser es unverändert weiterleiten. Lediglich der Switch am Empfangsport muss unterscheiden, ob er ein Tagging-fähiges Endgerät beliefert – dann muss das Frame unverändert bleiben – oder ob es sich um ein nicht Tagging-fähiges Endgerät handelt (welches zu dem aktuellen VLAN gehört) – dann muss das Tag entfernt werden. Hierzu muss die zugehörige VLAN-ID im Switch hinterlegt sein. Da nach IEEE 802.1q also alle Pakete mit VLAN-Tags markiert sind, müssen einem Trunk entweder alle VLAN-IDs, die er weiterleiten soll, hinterlegt werden, oder er ist zur Weiterleitung aller VLANs konfiguriert. Werden Pakete ohne Tag auf einem Trunk-Port empfangen, können diese je nach Konfiguration entweder einem Default-VLAN zugeordnet werden oder sie werden verworfen. Empfängt ein Switch auf einem seiner Ports z. B. von einem älteren Endgerät Pakete ohne VLAN-Tags, auch native Frames genannt, so muss er selbst für das Anbringen des Tags sorgen. Hierzu wird dem betreffenden Port entweder per Default oder per Management eine VLAN-ID zugeordnet. Analog muss der Switch, der das Paket ausliefert, verfahren, wenn das Zielsystem nicht mit Tags umgehen kann; das Tag muss entfernt werden. 21 Generell sollte man Sicherheit aber nicht mehr zu den Tagged-VLAN-Features zählen. Switches lassen sich kompromittieren und können folglich auch immer nur als unsicher eingestuft werden. Man kann aber auch direkt bei der Verkabelung ansetzen. Port Trunking Port Trunking beschreibt die Möglichkeit der Bandbreitenbündelung. Switche mit dieser Funktion können mehrere Ports zusammenfassen. Werden zwei Ports zusammengefasst, verhält sich die Verbindung wie ein Port mit doppelter Bandbreite. 1.3.4. Spanning Tree Protocol (STP) Das Spannbaumprotokoll (STP) ist ein wichtiges Feature bei Switchen. Das Netzwerk ist in einem Unternehmen ein integraler Bestandteil, oftmals werden Switche untereinander mehrfach verbunden und somit Redundanzen aufgebaut. Ohne das „Spanning Tree“-Protokoll würden diese Redundanzen einen Sturm von Datenpaketen verursachen, was zu Fehlfunktionen im Netzwerk führen kann. Das STP sorgt für eine Hierarchie innerhalb des Netzwerkes und erkennt automatische redundante Pfade. Weiterentwicklungen des Protokolls sind das „Rapid Spanning Tree“-Protocol (RSTP), was für eine deutliche Erhöhung der Geschwindigkeit sorgte und das Multiple Spanning Tree Protocol, welches auch Virtuelle Netzwerke mit einschließt. Ablaufschema beim Spanning Tree: 1. Power-Up aller Bridges 2. Bridges stellen all ihre Anschlüsse auf Blocked 3. Jede Bridge nimmt an, sie sei Root-Bridge und sendet BPDUs (Protocol Data Unit) aus 4. Bridge mit kleinster BridgeID wird zur Root-Bridge (ID: PrioFeld + Teil der MAC) 5. Aussenden von Konfigurations-BPDUs durch die Root-Bridge 6. Jede Bridge bestimmt einen Root-Port (Port mit kleinsten Pfadkosten zur Root-Bridge. Bei Ports mit gleichen Kosten gewinnt die kleinere PortID) 7. Bestimmen der Designated Bridge (LAN wählt die Designated-Bridge. Bridge mit Root-Port ins LAN mit den tiefsten Pfadkosten) 22 Bild: Ablaufschema beim Spanning Tree Die Hauptaufgabe des Spanning-Tree-Protokolls (STP) ist es, Datenschleifen auf der OSISchicht 2 zu verhindern. Es überwacht stetig das Netzwerk um alle Verbindungen zu finden um sicherzustellen, das keine Schleifen durch Ausfall von Verbindungen auftreten können. Dazu benutzt es den sog. Spanning-Tree-Algorithmus: Zunächst wird eine „Root-Bridge“ gewählt (oder Switch = Multi-Port-Bridge) und mit den niedrigsten Kosten versehen (Größe: 8Bytes: 2Bytes Kosten, 6Bytes Mac-Adresse), d.h. es wird der logische Ausgangspunkt für die Netzwerktopologie. 23 Danach wird ausgehend ein Abbild der Netzwerktopologie erstellt. Zuletzt werden dann Einträge über fehlerhafte oder zu Schleifen führende Verbindungen aus der Datenbank gelöscht. In einem mit STP laufenden Netzwerk, werden Frames nur auf den von STP ausgewählten Verbindungen weitergeleitet. Bild: Beispiel für STP in dem eine mögliche Schleife gelöscht wurde (rot) 1.3.5. Quality of Service (QoS) Unter QoS, auch Dienstgüte genannt, versteht man alle Verfahren, die den Datenfluss in LANs und WANs so beeinflussen, dass der Dienst mit einer festgelegten Qualität beim Empfänger ankommt. Es handelt sich also um die Charakterisierung eines Dienstes, der für den Nutzer unmittelbar „sichtbar“ ist und dessen Qualität er messen kann. Technisch handelt es sich um eine Parametrisierung von Protokollen zur Bestimmung des Übertragungsverhaltens für bestimmte Dienste. Für das QoS gibt es jedoch keine einheitliche Umsetzung! So verfolgen ITU, RFC oder die IOS verschiedene Ansätze zur Implementierung in das OSI Model. Gemeinsam ist ihnen aber die Prioritisierung verschiedener zeitkritischer Systeme (wie z. B. VoIP) 24 Beispiel: Die Implementierung des QoS der ITU (International Telecommunication Union) QoS bedeutet die Sortierung von Datenpaketen nach ihrer Wichtigkeit. Diese Technik ermöglicht einen reibungslosen Ablauf bei Echtzeitanwendung, wie es z. B. bei der VolP-Telefonie der Fall ist. Wenn ein Engpass in der Bandbreite besteht, wird die Priorisierung aktiv. So kann gewährleistet werden, dass die Qualität der Verbindung nicht leidet. Wenn beispielsweise gleichzeitig ein Download läuft, wird die Bandbreite des Downloads verkleinert, um genügend Bandbreite für die VoIP-Anwendung zur Verfügung zu stellen. 1.3.6. Simple Network Management Protocol (SNMP) Das Simple Network Management Protocol (SNMP) erlaubt ein zentrales Netzwerkmanagement für viele Netzwerkkomponenten. Es besteht dabei aus zwei Schlüsselkomponenten: dem SNMP-Management und dem SNMP-Agent. Das SNMP Management hat dabei die Aufgabe, Anfragen an Systeme zu stellen, welche einen SNMP-Agenten installiert haben. Die Aufgabe der SNMP-Agenten ist es, diese Anfragen entsprechend zu beantworten. SNMP verwaltete Netzwerke werden in der Regel der aus Sicherheitsgründen in sog. „Communities“ unterteilt. Es gibt, je nach Aufgabe des SNMP-Managements 3 Arten von Communities: - Monitoring: Beim Monitoring können Ereignisse aufgezeichnet und Netzwerkstatistiken gesammelt werden. - Controlling: Das Controlling unterstützt das Ändern von Geräteparametern und – variablen. 25 - Administrierung (Trap): Bei der Administrierung werden Informationen aufgezeichnet, die die Entwicklung des Netzwerk-Aufbaus beschreiben. SNMP-­‐Manager (NMS) Port 161 SNMP-­‐Request Linux Host SNMP-­‐Agent Port 161 SNMP-­‐Response Linux Host SNMP-­‐Agent Port 162 SNMP-­‐Trap SNMP-­‐Manager (NMS) Bild: Netzwerkmanagement über SNMP-Kommunikation Remote Monitoring (RMON) Im Gegensatz zu dem SNMP Standard, in dem jeweils immer nur eine Momentaufnahme des Status eines Switches gemacht wird, übernimmt ein Switch das protokollieren verschiedener Ereignisse. Diese Funktion hilft erheblich bei der Verwaltung und Analyse eines Netzwerks. Port Mirroring Einige professionelle Switches beherrschen die Technik der Port-Spiegelung. Bei dieser Funktion wird der komplette Datenverkehr eines Ports dupliziert und an einen anderen Port übertragen, an der in der Regel eine Analyse des Datenverkehrs stattfindet, z. B. mit Wireshark. Netzwerk-Administratoren schätzen dieses Feature, da so effektiv eine Analyse durchgeführt werden kann, ohne den Datenfluss im Netzwerk zu stören. 1.3.7. Power over Ethernet (PoE) 26 Diese Technik ermöglicht es Endgeräte, wie z.B. IP-Kameras oder VoIP-Telefone, allein über ein Netzwerkkabel zu betreiben. Bei normalem Netzbetrieb im 100Mbit Modus werden nur vier der acht Adern eine Netzwerkkabels genutzt. PoE nutzt diesen Umstand, um über die verbleibenden vier Adern eine Energieversorgung zu den einzelnen Endgeräten zu gewährleisten. Aufwändige Installationen von Stromversorgungskabeln entfallen. Der aktuelle Standard IEEE 802.3af unterscheidet zwischen Energieversorgern (Power Sourcing Equipment, PSE) und Endgeräten (Powered Devices, PD). Die Versorgungsspannung beträgt 48 V, die maximale Stromaufnahme der Endgeräte 350 mA. Das Besondere an diesem Standard ist der integrierte Schutz von Endgeräten, die kein PoE unterstützen. Würde normalerweise ein Kurzschluss zeigen, dass das Endgerät nicht PoE-fähig ist, erkennt ein PSE nach dem 802.3af Standard automatisch, ob es sich um ein PoE-Endgerät handelt und versorgt diesen ggfs. mit Energie. Um Schäden an nicht PoE fähigen Geräten zu vermeiden wurde das „Resistive Power Discovery“ Verfahren eingeführt. Hierbei legt der Energieversorger zunächst mehrfach einen nur minimalen Strom auf die Adern, welcher für das Gerät unschädlich ist. Er erkennt dabei, ob und wo der Energieverbraucher einen 25-kOhm-Abschlusswiderstand besitzt und damit PoE-fähig ist. Es gibt spezielle Splitter, die bei nicht PoE-kompatiblen Geräten eingesetzt werden und im Netzwerkkabel Daten und Energieversorgung wieder von einander trennen. Power over Ethernet (PoE) beschreibt eine Technik, die ähnlich wie bei USB, low-power Endgeräte (z.B. kleine Hubs, W-LAN Access-points) über das Netzwerkkabel mit Strom versorgen kann. 1.4. Standards und Normen IEC / ISO ISO / IEC 11801 1995, 2001 CENELEC EN 50173, 2002 ANSI TIA / EIA TIA / EIA 568A and B 1999 DIN 47.1000 Bild: Normen zur Verkabelung von Netzwerken Der wichtigste Standard ist der ISO/IEC 11801 Standard von 1995 / 2001, der nachfolgend eingehender betrachtet werden soll. 27 Bild: Internationale Verbindungen der Normierungsgremien Bild: Geltungsbereich der Normen Normenübersicht: Anwendungsneutrale Verkabelungssysteme nach ISO/IEC 11801 28 29 Bild: Standards und Normen im Bereich der Cu-Netze Beispiel: EN 50173-1:2002 In der Norm werden die Komponenten in entsprechenden Normen spezifiziert (Komponentenstandards) Beispiel: Kabelnormen EN 50288-X 30 Beispiel: Steckverbinder Normen EN 60603-7-X 31 Bild: Standards und Normen im Bereich der Verkabelung Bild: Unterschied zwischen Linkklassen und Kategorien. Klasse und Übertragungskapazitäten Klasse C: 16 Mhz -> Übertragungskapazität: 10 MBit 32 Klasse D: 100 Mhz -> Übertragungskapazität: 100 Mbit Klasse E: 250/500 Mhz -> Übertragungskapazität: 1 GB Klasse F: 600/1000 Mhz -> Übertragungskapazität: 10 GB Bild: Zukünftige Standards und Normen 1.5. Netzwerktopologie und Strukturierte Gebäudeverkabelung 33 SV - Standortverteiler GV - Gebäudeverteiler EV - Etagenverteiler Usr - Teilnehmeranschluss Bild: Physikalische Netzstruktur Bild: Physikalische Netzstruktur mit Sammelpunkt (Consolidaten Point) 34 Bild: Bestandteile und Bezeichnungen aus der Norm EN 50173-1 Bild: Universelles Verkabelungssystem Allgemein gilt: 1.5.1. § Sternförmige Verkabelung (Baum) § Unterschiedliche Techniken möglich (dienstneutrale Verkabelung), wie Ethernet 10/100/1000/10000 § Heute keine Neuverkabelungen mehr mit Cheapernet (BNC, 10Base2) und Yellow Cable (10Base5) Primärverkabelung, Gebietsnetz Das Primärnetz erstreckt sich über einzelne größere Grundstücke bzw. zusammenhängende Liegenschaften. Für das Datennetz kommen ausschließlich LWL-Kabel zur Gebäudeanbindung in Betracht. 35 Bild: Primärverkabelung (1) Bild: Primärverkabelung (2) Ausgehend von einem Standortverteiler SV werden die Gebäudeverteiler GV sternförmig angefahren. In der Regel werden SV und erster GV gemeinsam realisiert. Redundante Strukturen, vorzugsweise Ringstrukturen, sind möglich. Recommended Cables 100, 120, 150 ohm balanced copper cable 36 62.5µm /125µm multimode optical fibre -> Nordamerika (50µm /125µm multimode optical fibre -> Europa) 1.5.2. Sekundärverkabelung, Steigbereich In den Gebäuden werden größere Versorgungsbereiche durch Etagenverteiler EV erschlossen. Bild: Sekundär (Steigleitungen)- und Tertiärverkabelung (1) Bild: Sekundär (Steigleitungen)- und Tertiärverkabelung (2) 37 Es können mehrere Etagen an einem EV angeschlossen werden, bei großen oder langgestreckten Gebäuden können auch, aufgrund der Kabellängenrestriktionen von Ethernet, mehrere EV pro Etage notwendig werden. Die EV werden sternförmig durch LWL-Kabel mit dem GV verbunden. Recommended Cables 100 ohm balanced copper cable 62.5µm / 125µm multimode optical fibre (50µm/125µm multimode optical fibre -> Europa) 1.5.3. Tertiärverkabelung, Anschlussbereich Für den Anschluss der Endbenutzer werden hochwertige vierpaarige S/STP-Kabel mit 100 Ω Impedanz eingesetzt. Auch diese werden sternförmig, vom Etagenverteiler EV ausgehend, verlegt. Bild: Typische Tertiärbereichs- und Geräteanschlussverkabelung Recommended Cables 100 ohm balanced copper cable Die Realisierung aller geplanten Netze ist unter Einhaltung der Mindestkriterien nach Klasse D mit Kabeln des Aufbaus S/STP mindestens nach Kategorie 6 mit 4 Doppeladern durchzuführen. Mit der EN 50173A1 vom Juli 2000 wird im Tertiärbreich zusätzlich die folgende Unterscheidung eingeführt: • Installationsstrecke = Strecke zwischen Anschlussdose und Patchfeld, fest mit dem Gebäude verbunden (permanent links). • Übertragungsstrecke = die Installationsstrecke zuzüglich aller Patchkabel. 38 Für beide Strecken sind Übertragungsparameter definiert. Bei der Längenberechnung ist zu beachten, dass in die Länge der Übertragungsstrecke die Anschlusskabel einbezogen werden müssen. Für die Verteiler- und Teilnehmerseite wurden gemäß der Norm zusammen 10 m vorgesehen. Bei einer Gesamtlänge der Übertragungsstrecke von 100 m verbleiben für das Leitungsnetz 90m. In Einzelfällen (Großräume, Werkstätten usw.) kann es notwendig sein, dass die Anschlusskabellänge auf der Teilnehmerseite größer als 5 m wird. In diesem Fall ist die Länge der fest verlegten Leitung entsprechend zu reduzieren. Bild: Übertragungsstrecke und Installationsstrecke Aber: Tertiäre Verkabelungsmodelle 39 Bild: Tertiäres Verkabelungsmodell a) Durchverbindung - TA Bild: Tertiäre Verkabelungsmodell b) Rangierung - SP - TA In Ausnahmefällen dürfen einzelne Übertragungsstrecken länger als 100 m sein, wenn dadurch z. B. ein Verteilerraum eingespart wird. Es muss jedoch sichergestellt sein, dass die übrigen Anforderungen an eine Klasse D-Verbindung erfüllt sind, z. B. durch Messungen. Die Strecken für Datennetze nach EN 50173 sind in der folgenden Abbildung dargestellt. 1.5.4. Wahl der Übertragungsgeschwindigkeiten Aufgrund der Entwicklung von Endgeräten und Anwendungen sowie der Nutzungsdauern ist der Einsatz von Ethernet mit den unten angegebenen Übertragungsgeschwindigkeiten für einen Zeitraum von mindestens 5 Jahren ausreichend: Clients: 100 Mbit/s (Bürokommunikation) in Sonderfällen 1 Gbit/s Server: 100 Mbit/s - 1 Gbit/s Backbone: 100 Mbit/s - 10 Gbit/s 40 1.5.5. Infrastrukturmaßnahmen für Verteilerräume Sofern bei der Installierung in vorhandenen Gebäuden ausreichende Flächen für Verteilerräume nicht bereitgestellt werden können, sind verschließbare Verteilerschränke zu verwenden. Dabei ist die Lärmemission zu beachten. Die Schränke sollen auf Publikumsverkehr nicht zugänglichen Flächen untergebracht werden. Anforderungen an einen Verteilerraum: • Trockener Innenraum nach DIN VDE 0800 • Unterbringung möglichst nicht im Untergeschoss • Keine Installationen von Wasser- oder Heizungsrohren im IT-Verteilerraum, bereits vorhandene Leitungen sind abzuschotten • Brandschutz: -Falls im Gebäude eine Brandmeldeanlage mit automatischen Meldern installiert ist, ist der Verteilerraum auf diese aufzuschalten. • Sicherheit: (Bei geschlossenen Verteilerräumen) -Einbruchhemmende Tür -Panikschloss -kein oder neutrales Türschild -gesonderte Schließzylinderung • Bodenbelag: -Ableitwiderstand ≤ 108 Ω gemäß DIN 51 953 • EDV-Stromversorgung: -Ausreichende Anzahl von Stromkreisen aus dem IT-Versorgungsnetz für Server, Serverkonsolen, Technikschränke usw. • Allgemeine Stromversorgung: -Ausreichende Anzahl von Steckdosen für Werkzeuge und Geräte An die Ausführung und Aufstellung der zentralen DV-Verteiler sind folgende Anforderungen zu stellen: • In Verteilerräumen sind 19“-Schränke mit vorzugsweise 40-42 Höheneinheiten (HE) einzusetzen • temperaturgeregelte, wartungsfreie Lüfter (Begrenzung der Schrankinnentemperatur auf ca 35°C), hierzu ist ggf. eine Kühllastberechnung erforderlich • Bei Neuplanung sind ca. 25 % Platzreserve für Erweiterungen vorzusehen. • Erdung von Schrank und allen Einbauteilen nach VDE 0800 Teil 2. • Verwendung von USV-Systemen mit potentialfreien Kontakten und SNMP-Agenten zur Schranküberwachung (Temperatur, Überspannungsschutz, Niederspannung, Türkontakt etc.) und USV-Überwachung. 41 Bild: Bestückung eines DV-Verteiler, rechts Draufsicht 42 1.5.6. IP-Schutzklassen Schutz gegen Berührung und Eindringen von Wasser und Schmutz Bei vielen Anwendungen müssen elektronische Geräte unter erschwerten Umweltbedingungen über viele Jahre sicher arbeiten. Schmutz, Staub und Feuchtigkeit lassen sich selten fernhalten. Auch die Einflüsse von unsachgemäßen Berührungen durch Fremdkörper oder anderen Sachen lassen sich kaum vermeiden. Die IP-Schutzklassen legen fest, in welchem Umfang ein elektrisches Bauteil Umwelteinflüssen ausgesetzt werden kann ohne beschädigt zu werden oder ein Sicherheitsrisiko darzustellen. Die folgende Tabelle zeigt die verschiedenen IP-Schutzklassen: IP-Schutzarten (IP = International Protection) 43 Geräte, die nicht bei allen Umweltbedingungen eingesetzt werden dürfen, werden in sogenannte IP-Schutzarten (IP = Internationel Protection), auf deutsch Internationale Schutzarten eingeteilt und wie folgt gekennzeichnet. Die Bezeichnung folgt folgendem Schema: IP XXXX Die Buchstaben IP stehen für Schutzart und die XXXX werden wie folgt ersetzt: 1. Stelle: Berührungsschutz / Fremdkörperschutz 2. Stelle: Wasserschutz 3. Stelle: Zusätzlicher Berührungsschutz 4. Stelle: Ergänzende Buchstaben (wobei die 3. und 4. Stelle nicht unbedingt angegeben werden muss) Wenn für die Kennzeichnung die 1. oder 2. Stelle nicht von Bedeutung sind, so wird sie durch ein X ersetzt. Kennziffern für Berührungsschutz IP0X Weder Berührungsschutz, noch Fremdkörperschutz IP1X Handrückenschutz Schutz gegen Fremdkörper mit Durchmesser >50mm. IP 2X Fernhalten von Fingern Schutz gegen Fremdkörper >12mm Durchmesser IP 3X Schutz vor dem Berühren mit Werkzeugen (Prüfling: 12mm Durchmesser, 100mm Lang) Schutz gegen Fremdkörper mit Durchmesser >2,5mm IP 4X Fernhalten von Werkzeugen u.ä. Schutz gegen Fremdkörper >1mm Durchmesser IP 5X Vollständiger Berührungsschutz Schutz gegen schädliche Staubablagerungen im Innern IP 6X Vollständiger Berührungsschutz Schutz gegen Eindringen von Staub (staubdicht) Kennziffern für Wasserschutz IP X0 Nicht vor eindringendem Wasser geschützt IP X1 Geschützt gegen senkrecht fallendes Tropfwasser IP X2 Geschützt gegen schräg fallendes Tropfwasser (15° gegenüber der Senkrechten) 44 IP X3 Geschützt gegen Sprühwasser (bis 60° gegenüber der Senkrechten) IP X4 Geschützt gegen Sprühwasser IP X5 Geschützt gegen Strahlwasser (aus allen Richtungen) IP X6 Geschützt vor eindringendem Wasser bei vorübergehender Überflutung IP X7 Geschützt vor eindringendem Wasser beim Eintauchen IP X8 Geschützt vor eindringendem Wasser beim Eintauchen für unbestimmte Zeit IP X9 K Geschützt vor eindringendem Wasser aus jeder Richtung auch bei stark erhöhtem Druck gegen das Gehäuse. (Hochdruck-/Dampfstrahlreiniger, 80-100 bar) Kennbuchstaben für die 3. Stelle A Handrückenschutz oder Gegenständen mit Durchmesser >50mm B Fingerschutz gegen Finger mit Durchmesser >12mm und bis 80mm Länge C Werkzeugschutz gegen Werkzeug mit Durchmesser >2,5mm und bis 100mm Länge D Drahtschutz gegen Drähte mit Durchmesser >1mm und bis 100mm Länge Kennbuchstaben für die 4. Stelle H Hochspannungs-Betriebsmittel M Geprüft, wenn bewegliche Teile in Betrieb sind S Geprüft, wenn bewegliche Teile im Stillstand sind W Geprüft bei festgelegten Wetterbedingungen 45 1.6. Übertragungsmedien beim Ethernet Für den Aufbau von Kommunikationsnetzen gilt die Norm DIN EN 50173. In dieser Norm werden die technischen Spezifikationen der Übertragungsstrecken, Kabel und Stecker für IT-Leitungsnetze festgelegt. Diese europäische Norm wird ergänzt durch den im August 1996 erschienenen Entwurf der DIN 44312-5 und den Normvorschlag ISO IEC 11801-2000 vom Februar 2000. 1.6.1. Kupferkabel 1.4.1.1 Abschirmvarianten Die DIN EN 50173 beschreibt symmetrische Kabel (balanced copper cable) als Twisted Pair-Kabel oder als Sternvierer-Kabel (Quad) mit einer Impedanz von 100, 120 bzw. 150 Ohm bei 4 Kabelpaaren. Asymmetrische Koaxial-Kabel haben für die Errichtung strukturierter Netze keine Bedeutung mehr. Eventuell vorhandene Kabel bestehender Netze sind als Provisorium mit geeigneten Komponenten an das strukturierte Netz anzuschließen. Im Endausbau sind alle Netzbereiche strukturiert mit Twisted-Pair-Kabeln zu realisieren. Bild: Abschirmvarianten beim 2paarigen Twisted Pair - Kabel Abbrevation Meaning Comment UTP unshielded twisted pair twisted wirepairs, no shields FTP foiled twisted pair one shield around all tiswed pairs S-UTP screened unshielded twisted pair one screen around all twisted pairs 46 S-FTP screened foiled twisted pair one screen and one foile shield around all twisted pairs PiMF Paired in metal foile a foile shield around each twisted pair. One screen around all pairs. Bild: Abkürzungen und deren Bedeutung Beispiele Bild: Benennungsschema für Kupferkabel, nach ISO/IEC 11801:2002 In der obenstehenden Abbildung ist der Aufbau von Twisted-Pair-(TP)-Kabeln dargestellt. Der Buchstabe vor und hinter dem Schrägstrich gibt den Aufbau des Schirmes wieder. Für Übertragungsstrecken werden in der DIN EN 50173 vier unterschiedliche Übertragungsklassen von A bis D beschrieben; die o. a. Normentwürfe enthalten weitere Übertragungsklassen. 47 Entsprechend der Klasse für die Übertragungsstrecke werden für die Kabel- und Steckertechnik fünf Kategorien unterschieden, von denen nur die Kategorien 3 und 5 in den derzeit geltenden ISO/IEC- und EN-Normen zitiert werden. Die Kategorien 6 bzw. 7 wurden in den Normentwürfen E DIN 44312-5 bzw. ISO IEC 11801-A unterschiedlich definiert. Die Vorgaben der ISO 11801 werden in der nächsten Fassung der EN 50173 übernommen. Nachfolgend sind die Übertragungsklassen mit den vorgesehenen Einsatzgebieten sowie die Grenzwerte für Übertragungsstrecken und Kategorien dargestellt. Bild: Übertragungsklassen nach verschiedenen Normen Class of Application Class A Class B Class C Class D Class E Class F Frequency range 100 kHz 1 MHz 16 MHz 100 MHz 250 MHz 600MHz Max distance with Cat3 Cable (DIN 50173) 2000m 200m 100m - - - Max distance with Cat4 Cable (DIN 50173) 3000m 260m 150m - - - Max distance with Cat5e Cable (DIN 50173) 3000m 260m 160m 100m - - Max distance with Cat6 (ISO IEC 11801-A) Cat6 (E DIN 44312-5) 100m 100m - - - - Max distance with Cat7 (ISO IEC 11801-A) 3000m 290m 180m 120m - - Optical 62.5/125 and 50/125 µm optical fibre 2000m Singlemode optical fibre 3000m Bild: Längenbegrenzung nach DIN EN 50173 und versch. Normvorschlägen 48 Die Realisierung aller 100 Mbit/s Netze ist unter Einhaltung der Mindestkriterien nach Klasse D mit Kabeln des Aufbaus S/STP mindestens nach Kategorie 5 mit 4 Doppeladern durchzuführen. Für die Realisierung von 1 Gbit/s Netze sind Kabeln nach Kategorie 6 und höher zu verwenden. Tabelle: Gegenüberstellung der maximalen Übertragungsfrequenzen zu den Klassen (gemäß ISO/IEC 11801 Ed2.0 1.4.1.2 Verlegungsvorschriften für Kabel Bei Bauleitung und Abnahme sind die Verlegungsrichtlinien zu beachten; so gilt für TP-Kabel: • Kein Abknicken, kein Quetschen und kein Verdrehen der Kabel. • Zulässige Biegeradien (≥ 8 Ø Außendurchmesser) und maximale Zugkräfte nach Kabelspezifikation sind zu beachten. • Die Kabel sind im Verteilerschrank seitlich zu führen, um den rückseitigen Zugang zu Patchfeldern und Geräten zu ermöglichen. • Der Kabelschirm ist beidseitig aufzulegen. Auf einen großflächigen Anschluss des Schirms über dessen ganzen Umfang ist zu achten. Die Einzelschirmung der Aderpaare ist bis zu den Anschlusspunkten der Adern beizubehalten. 1.4.1.3 Anschlusstechnik beim Kupferkabel Der informationstechnische Anschluss (TA) nach DIN EN 50173 ist, trotz seiner elektrischen und mechanischen Mängel weiterhin mit dem RJ 45-Steckverbinder nach DIN EN 60603-7 zu realisieren. Die Anschlussdosen sind in geschirmter Ausführung mit Schrägauslass einzusetzen. 49 Bild: Anschlussdosen mit Schrägauslass Derzeit werden für alle gebräuchlichen Dienste mit Ausnahme von Gigabit Ethernet nur 2 Doppeladern (DA) benötigt. Die Verwendung von Switches sichert an Arbeitsplätzen mit 100-Mbit/s-Ethernet durch die Möglichkeit des „full duplex“-Betriebs eine ausreichende Übertragungsgeschwindigkeit. Gigabit-Ethernet Verbindungen werden zwischen den Switches und den Servern eingesetzt. Der Einsatz von Gigabit-Ethernet an den Arbeitsplätzen lässt keine vernünftige Aggregation der Übertragungsgeschwindigkeit zwischen Switches und Servern zu und ist daher nur in Ausnahmefällen sinnvoll. Da in der Praxis paargeschirmte Kabel mit 4 DA verlegt werden, ist die Möglichkeit des „cable sharing“, d. h. die Führung von zwei Diensten über ein Kabel zu nutzen. Um ein späteres Umklemmen von Kabeladern zu vermeiden, sind Dosensysteme zu verwenden, die cable sharing zu fest aufgelegten Adern gestatten. Die Verwendung eines modularen Dosensystems (z. B. AMP ACO-System, Dätwyler UniPatch, SIEMENS SMLSystem) mit Doppeldosen-Einsatz erlaubt hier eine Änderung der „Ader zu Pin“-Zuordnung über austauschbare Module. Bild: Pinzuordnung RJ 45 Diese Systeme erlauben auch bei fest aufgelegtem Installationskabel durch bloßes Auswechseln der modularen Doseneinsätze (Inserts) die unterschiedlichen Pinbelegungen der einzelnen Dienste herzustellen und gestatten damit die Verwendung von einheitlichen 1:1 Anschluss- und Rangierkabeln (Patchkabeln). 50 1.4.1.4 Farbcodes für die „Twisted Pair“- Verkabelung Wire pair Pins EIA/TIA IEC DIN 47.100 1 4/5 blue/white white/blue white/brown 2 3/6 white/orange red/orange green/yellow 3 1/2 white/green black/grey grey/cyan 4 7/8 white/brown yellow/brown blue/red Bild: Farbcodes für TP-Verkabelung Signal Pin Color TX+ 1 white/green TX- 2 green RX+ 3 white/orange 4 blue 5 white/blue 51 RX- 6 orange 7 white/brown 8 brown Bild: z. B. Ethernet Connector PinOut 52 Bild: Beschaltung RJ-45 Normstecker Cat. 3 bis 6(6a) nach IEC 60603-7-x 53 Bild: Beschaltung GG-45 und Tera Normstecker Cat. 7 (IEC 60603-7-7 bzw. IEC/PAS 61076-3-104/Ed.1) 1.4.1.5 Ethernet-Kabel Bild: Kupferkabel Kerpen Megaline 8 Kabelspezifikation, Beispiele: • Primary, secondary, tertiary • Category 5 acc. to EN 50173, EN 50173 "2nd edition", ISO/IEC 11801, ISO/IEC 11801 "2nd edition", EN 50167, EN 50169 • Category 6 and Category 7 acc. to ISO/IEC 11801 "2nd edition", EN 50173 "2nd edition" and prEN 50288-4-1, August 2000 • IEEE 802.3 10 BASE T Ethernet • IEEE 802.3u 100 BASE T Fast Ethernet • IEEE 802.3ab 1000 BASE T Gigabit Ethernet • IEEE 802.5 Token Ring • IEEE 802.12 100VG-AnyLAN • FDDI on copper, ISDN, B-ISDN, ATM, DQDB, Video Kabeltypen 54 55 1.4.1.6 Erdung von Datendosen 56 1.6.2. Lichtwellenleiter-Kabel (LWL) Bei neuen Anlagen sind LWL-Kabel im Tertiärbereich entsprechend DIN EN 50173 mit Duplex-SC-Steckverbindern abzuschließen; es wird die Verwendung vorkonfektionierter Verbinder (Pigtails) mit thermischen Spleißen empfohlen. Vorhandene Anlagen mit STSteckern können entsprechend erweitert werden. 1.4.2.1 LWL-Kabeltypen und Aufbaustruktur Fasertyp Fenster BLP / Dispersion Dämpfung MULTIMODE Gradientenindex 50/125 µm (oder 62,5/125 µm) 850 nm (200) 500 MHz/km < (3,5) 2,4 dB/km 1300 nm (500) 800 MHz/km < (1,0) 0,7 dB/km 1310 nm 3,5 ps/(nm*km < (1,0) 0,4 dB/km 1550 nm 18 ps/(nm*km)) < (1,0) 0,25 dB/km SINGLEMODE Einmoden 9/125 µm Bild: Kabelparameter LWL-Kabel (Werte der EN 50173 in Klammern) 57 Bild: Struktur des Glasfaserkabels 58 Bild: Aufbaustruktur von LWL-Kabeln 1.4.2.2 Fiber Optic Connectors 59 Bild: LWL-Steckerausführungen Bild: ST CONNECTOR Bild: SC CONNECTOR 60 Bild: LSA-Connector 1.7. Zertifizierung von Netzwerkverbindungen 1.7.1. Ziele 1.7.2. Normen 1.7.3. Testparameter 1.7.4. Messabläufe 1.7.5. Protokollierung der Messergebnisse (Bsp. Linkware) 61 1.8. Beispiele von Netzwerkkonfigurationen 1.8.1. Konfiguration A In der nachstehenden Grafik ist ein Beispielnetz für ein mittelgroßes Büronetz mit 50100 Mitarbeitern dargestellt. Typischerweise ist hier nur ein Verteilerstandort vorhanden, in dem alle Tertiärkabel des Gebäudes aufgelegt sind. Im Beispiel wird mit stapelbaren Layer-2-Switches ein Stack mit der notwendigen Portanzahl aufgebaut und Server und Clients über 10/100-Mbit/s-Ethernet an diesen Stack angeschlossen. Die Switches innerhalb des Stacks sollten mit mindestens 1 Gbit/s verbunden sein. Bei entsprechenden Anwendungen kann die Anbindung der Server auch mit Gigabit-Ethernet erfolgen. Internet Bild: Büronetz mit max. 100 Arbeitsplätzen in einem kleinen Gebäude mit einem zentralen Verteiler Besondere Vorkehrungen bei Geräte- oder Serverausfall wurden nicht getroffen. Bei Ausfall eines Switches sind die daran angeschlossenen Endgeräte oder Server nicht mehr erreichbar. 62 Für den Ausfall einer Komponente sollten auf den anderen so viele Ports frei sein, dass die Server und die wichtigsten Endgeräte an eine andere Komponente angeschlossen und die Ausfallzeit gering gehalten werden kann. Diese Lösung ist für Anwendungen, bei denen keine permanente Serveranbindung vorausgesetzt wird, z.B. für Textverarbeitung oder Tabellenkalkulation ausreichend. 1.8.2. Konfiguration B Sind wie untenstehend dargestellt, mehrere Gebäude einzubeziehen, wird in jedem Verteiler ein Stack mit 10/100-Mbit/s-Layer2-Ethernet-Switches aufgebaut. Diese Stacks werden über Gigabit-Ethernet-LWL-Strecken mit dem zentralen Verteiler verbunden. Die Anbindung abgesetzter Gebäude kann auch ggf. über Richtfunk- oder xDSL-Strecken erfolgen. Bei Client-Server-Applikationen sind unter Umständen Server im abgesetzten Gebäude notwendig, da unter Umständen bei xDSL-Strecken die Übertragungsgeschwindigkeit nicht ausreicht und die Antwortzeiten der Clients hoch sind. Mit zusätzlichen Servern in den abgesetzten Gebäuden werden nur die Daten zwischen den Servern über die Strecke ausgetauscht. Die Zugriffe der Anwender erfolgen direkt auf den lokalen Server und die Antwortzeiten sind niedrig. Internet Bild: Büronetz mit mehreren Gebäuden an einem Standort 63 Bei großen Anforderungen an die Ausfallsicherheit eines Netzes können Netze redundant aufgebaut werden. Die untenstehend dargestellten Verfahren sind bedarfsgerecht und sinnvoll auszuwählen beziehungsweise zu kombinieren. • Redundante Anbindung der Server • Redundante Ausbildung der zentralen Netzwerkkomponenten • Redundante Anbindung von Gebäude- oder Etagenverteilern (Wegeredundanz) 1.8.3. Konfiguration C - Öffentliche und Private Adressen Verwendung privater IP-Adressen in Netzwerken ohne Einsatz von Network Address Table (NAT). 1.8.4. Konfiguration D - Einsatz von Firewallsystemen Bei besonderen Sicherheitsanforderungen, die über das lokale Büronetz hinaus gehen, oder bei Kopplung des LAN an das Internet, können zusätzliche Firewallsysteme sinvoll sein. In der untenstehenden Abbildung ist der Einsatz eines Firewallsystems am Beispiel eines Bürnetzes mit Anbindung an das Internet dargestellt. 64 Bild: Firewall-Systeme Zum Schutz gegen Angriffe aus dem Internet dient Firewallsystem 1. Alle Daten vom oder zum Internet laufen über diese Firewall. Direkt dahinter befinden sich die für die Öffentlichkeit zugänglichen WWW-Server. Abteilung 1 und Abteilung 2 sind über die Firewalls 2a und 2b sowohl vom öffentlich zugänglichen Bereich, als auch gegeneinander abgeschottet. 1.8.5. Konfiguration E - Industrienetze Zukünftige Eigenschaften von Industrienetzwerken: • Full Duplex • Fast Ethernet Switching (Collision Elimination) • Controlled Physical Port Switching (VLAN) 65 • • Supervision of Packet Size (Priority) Implementation of Priority (IEEE802.1p/Q) Bild: Industrienetzwerk mit Wegeredundanz zwischen den zentralen Switchen 66 Bild: Industrienetzwerk mit Ring-Redunanz Bild: Industrienetzwerk mit Komponenten- und Wegeredundanz 67 1.8.6. ÜBUNG: Entwurf einer Netzwerktopologie Planen Sie für das nachstehende Produktionsunternehmen eine Bedarfsverkabelung nach den Prinzipien der Strukturierten Gebäudeverkabelung. Alle Büros und die Fertigungsbereiche (mit x gekennzeichnet) benötigen einen Netzwerkzugang. Bild: Gebäudeanordnung des Unternehmens Aufgaben a) Wo setzen Sie welche Netzwerkkomponenten ein? b) Wo verlegen Sie Kupferkabel und wo verlegen Sie LWL? c) Fertigen Sie bitte für Ihre Planung eine Zeichnung an. 68 A B Untergeschoss Heizung, Keller Erdgeschoss Kantine D Erdgeschoss 2x Büro 4x Fertigungslinie B 8x Fertigungslinie C 12x Fertigungslinie C 12x Fertigungslinie B 8x Büro 8x 1. Obergeschoss Einkauf 24x Erdgeschoss Fertigungslinie A 8x Fertigungslinie C 4x Verkauf 24x 2. Obergeschoss Fertigungslinie C 4x 1. Obergeschoss Marketing 24x Fertigungslinie A 8x Fertigungslinie B 8x Fertigungslinie C 12x Fertigungslinie C 12x Fertigungslinie B 8x 3. Obergeschoss Marketing 12x Büro 8x Fertigungslinie C 4x Fertigungslinie C 4x C 2. Obergeschoss Erdgeschoss Fertigungslinie A 8x Fertigungslinie B 8x Fertigungslinie C 12x Fertigungslinie C 12x Fertigungslinie C 4x Fertigungslinie C 4x WAN-Anschluss zum ISP Büro 8x Fertigungslinie A 8x Fertigungslinie B 8x Fertigungslinie C 12x Fertigungslinie C 12x Fertigungslinie B 8x Büro 8x Fertigungslinie C 4x Fertigungslinie C 4x 1. Obergeschoss Fertigungslinie A 8x Fertigungslinie C 12x Fertigungslinie B 8x Büro 8x Fertigungslinie C 4x Fertigungslinie C 12x Fertigungslinie C 4x Bild: Abteilungsstruktur Themenspeicher: -Logisches Netzwerkdesign: Access, Distribution, Core-Section -Server-Anordnung in Enterprise Application Networks 69
