IT-GSHB 2000 - Auswahl einer geeigneten Backbone-Technologie

M 5.60 Auswahl einer geeigneten Backbone-Technologie

Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement

Verantwortlich für Umsetzung: Leiter IT, Administrator

Die Auswahl des Netzprotokolls im Backbone-Bereich ist ein entscheidender Faktor für den Schutz der Verfügbarkeit der Anwendungen in einem lokalen Netz, da das gewählte Protokoll die Performance des Netzes und die zur Verfügung stehenden Bandbreiten wesentlich beeinflußt. Falls die zugrundeliegende Verkabelung ohne die Festlegung auf bestimmte Dienste (z. B. proprietäre Lösungen) geplant wurde (siehe G 2.45 Konzeptionelle Schwächen des Netzes), ist prinzipiell ein Wechsel der Backbone-Technologie problemlos möglich. Dennoch verursacht dies im allgemeinen nicht unerheblichen organisatorischen, personellen und finanziellen Aufwand.

Eine generelle Empfehlung, unter IT-Sicherheitsgesichtspunkten eine bestimmte Backbone-Technologie auszuwählen, kann nicht gegeben werden, da viele individuelle Aspekte betrachtet werden müssen. Nachfolgend werden daher die Vor- und Nachteile der wichtigsten Netzzugangsprotokolle aufgeführt.

Es gibt die vier Basis-Technologien Ethernet, Token-Ring, FDDI und ATM, die sich wie folgt darstellen:

Ethernet

Die Ethernet-Technologie wird im IEEE 802.3 Standard beschrieben und basiert auf dem CSMA/CD-Zugriffsverfahren (Carrier Sense Multiple Access / Collision Detection). Bei diesem Verfahren greifen alle Endgeräte gleichberechtigt auf das Übertragungsmedium zu, obwohl es jeweils nur exklusiv durch ein Endgerät genutzt werden kann. Sobald ein Endgerät Daten übertragen möchte, prüft es zunächst, ob das Medium für die Benutzung zur Verfügung steht (Carrier Sense). Ist dies der Fall, beginnt es mit der Datenübertragung. Geschieht dies durch mehrere Endgeräte gleichzeitig (Multiple Access), kommt es zu einer Kollision, die von den betroffenen Endgeräten erkannt wird (Collision Detection) und zu einer erneuten Prüfung des Mediums mit anschließender Wiederholung der Übertragung führt.

CSMA/CD ist ein stochastisches Verfahren und kann deshalb keine dedizierten Bandbreiten zusichern. Aus diesem Grund ist es beispielsweise für Multimedia-Anwendungen weniger geeignet, die eine feste Bandbreite benötigen. Auf Ethernet-basierten Netzen kann somit im allgemeinen keine bestimmte Betriebsgüte (Quality of Service - QoS) zugesichert werden. Für Gigabit-Ethernet ist ein Analogon zur QoS vorgesehen.

Es gibt drei verschiedene Varianten des Ethernet, die sich prinzipiell nur in der unterstützten Übertragungsrate unterscheiden:

Standard Ethernet
Standard Ethernet ist der schon lange im Einsatz befindliche Standard und der Vorläufer der beiden anderen Varianten. Es ist durch eine Übertragungsrate von 10 Mbit/s gekennzeichnet. Damit ist es für die meisten lokalen Netze als Backbone-Technologie ungeeignet, da es bei steigender Netzlast sehr schnell zu einer Vielzahl an Kollisionen kommt und dadurch der erzielbare Durchsatz immer mehr abnimmt.
Fast Ethernet
Aufgrund der steigenden Anzahl vernetzter Rechner und der damit verbundenen Netzlast wurde eine Weiterentwicklung des Standard Ethernet zwingend notwendig, um den gestiegenen Bedürfnissen Rechnung zu tragen. Dies führte zur Entwicklung des Fast Ethernet mit einer Übertragungsrate von 100 Mbit/s. Dies reicht zur Zeit für die meisten Netze im Backbone-Bereich aus und hat außerdem den Vorteil, daß die bereits etablierte Technologie (CSMA/CD) weiter verwendet werden kann. Es müssen allerdings im allgemeinen die aktiven Netzkomponenten ausgetauscht bzw. angepaßt werden, und auch die Verkabelung ist auf eine Eignung für Fast Ethernet zu prüfen.
Gigabit Ethernet
Da die Einführung von Fast Ethernet sehr erfolgreich verlief, wurde die Forderung nach einer noch schnelleren Backbone-Technologie basierend auf Ethernet laut. Dies führte zur Gründung der Gigabit-Ethernet-Allianz (GEA) mit mehreren namhaften Herstellern, die eine Übertragungsrate von 1 Gbit/s erreichen wollen. Die Standardisierungsphase in Zusammenarbeit mit der IEEE befindet sich zur Zeit kurz vor dem Abschluß. Der neue Standard soll dann auch über eine Protokollerweiterung (Resource Reservation Protocol, RSVP) für zeitkritische Übertragungen (z. B. im Multimediabereich) dedizierte Bandbreiten über Gigabit-Ethernet zur Verfügung stellen. Damit wird versucht, zu ATM analoge Eigenschaften wie Quality of Service (QoS) bereitzustellen. Da der endgültige Standard aber noch nicht verabschiedet ist, wird momentan von dieser Variante abgeraten, um den Einsatz einer eventuell unvollständigen Implementation zu vermeiden.

Token-Ring

Die Token-Ring-Technologie wird im IEEE 802.5 Standard beschrieben und basiert auf dem Token-Passing-Verfahren. Dabei wird ein spezielles, im Ring kreisendes Datenpaket (das "Token") verwendet, um festzulegen, welches Endgerät das Übertragungsmedium benutzen darf. Erhält ein Endgerät das Token, belegt es das Medium und gibt das Token an das nächste Endgerät weiter. Hiermit ist gewährleistet, daß das Medium immer nur durch ein einziges Endgerät belegt wird.

Bei diesem deterministischen Verfahren kann es im Gegensatz zu Ethernet nicht dazu kommen, daß einzelne Endgeräte bei hoher Netzbelastung unbestimmt lange warten müssen, bis sie senden können. Token-Ring bietet dagegen eine fest bestimmbare maximale Wartezeit.

Ein Token-Ring-Netz ist meistens als physikalischer Doppelring ausgeführt, wodurch sich die Verfügbarkeit des Netzes merklich erhöht, da bei einem Ausfall einer Station oder der Unterbrechung eines Ringes die fehlerhafte Stelle durch die Nutzung des zweiten Ringes überbrückt werden kann.

Die Übertragungsrate von Token-Ring kann 4 oder 16 Mbit/s betragen, so daß mittlerweile auch hier von einem Einsatz als Backbone-Technologie für die meisten lokalen Netze abgeraten wird. Die zur Verfügung stehende Bandbreite ist zu gering. Mitte September 1997 wurde eine "High Speed Token Ring Alliance" (HSTR) von mehreren namhaften Herstellern gegründet mit dem Ziel, Übertragungsraten von 100 Mbit/s und später 1 Gbit/s zu erreichen. Dazu soll bis Mitte 1998 der IEEE 802.5 Standard erweitert werden. Da sich diese Varianten noch in der Entwicklung befinden, kann ein Einsatz zum jetzigen Zeitpunkt nicht befürwortet werden.

FDDI

Der FDDI (Fiber Distributed Data Interface) Standard wurde 1989 vom ANSI definiert und basiert wie Token-Ring auf dem Token-Passing-Verfahren. Allerdings kommt hier zusätzlich die Technik des Early-Token-Release zum Einsatz, bei der das Token direkt nach dem letzten Datenpaket an das nächste Endgerät weitergegeben wird. Dadurch werden die Leerlaufzeiten im Ring reduziert und es kann eine höhere Bandbreite erreicht werden.

FDDI nutzt Lichtwellenleiter als Übertragungsmedium mit einer Übertragungsrate von 100 Mbit/s. Durch seinen hohen Durchsatz ist es ideal für den Einsatz im Backbone-Bereich. Weitere Vorteile sind die Fehlertoleranz aufgrund der Doppelring-Topologie und die elektromagnetische Unempfindlichkeit durch die Verwendung von Lichtwellenleitern. Im Gegensatz zu Ethernet ist FDDI auch für laufzeitabhängige Multimedia-Anwendungen geeignet, da es eine maximale Verzögerungszeit garantieren kann.

Werden beide Ringe zur Übertragung genutzt, ist sogar eine Übertragungsrate von 200 Mbit/s erreichbar, allerdings entfällt dann der Vorteil der höheren Fehlertoleranz, da beim Ausfall eines Ringes nicht mehr automatisch auf den anderen Ring ausgewichen werden kann.

FDDI-Komponenten sind jedoch teurer als Ethernet-Komponenten vergleichbarer Funktion, so daß der erzielbare Nutzen durch den Einsatz von FDDI immer den entstehenden Kosten gegenübergestellt werden muß.

FDDI kann auch auf Kupferkabeln betrieben werden und wird dann CDDI (Copper Distributed Data Interface) genannt.

ATM

ATM steht als Abkürzung für Asynchronous Transfer Mode. Hinter diesem Begriff verbirgt sich ein Übertragungsverfahren, das sich sehr gut für den Einsatz im Backbone-Bereich eines Netzes eignet und dort auch Echtzeit-Dienste bereitstellen kann.

Bei ATM werden alle Arten von Informationen in Paketen mit fester Länge befördert, die als Zellen bezeichnet werden. Dabei kann es sich um beliebige Daten, wie z. B. auch Audio- und Video-Daten handeln. Durch die einheitliche Länge der Pakete wird es ermöglicht, daß die ATM-Switches die Verarbeitung der Zellen fast vollständig durch Hardware-Komponenten durchführen und somit einen höheren Durchsatz erreichen können. Dadurch entsteht eine kalkulierbare Verzögerung bei der Übertragung beliebiger Informationen, so daß für einzelne Anwendungen garantierte Bandbreiten vergeben werden können. Damit ist ATM eine gut geeignete Technologie für Multimedia-Anwendungen, da ein berechenbares Echtzeitverhalten und damit Quality of Service (QoS) garantiert werden kann. Dies bedeutet, daß jedem angeschlossenen Gerät statisch oder dynamisch die benötigte Bandbreite zugeordnet werden kann.

Die Übertragung selbst beruht auf dem Prinzip der virtuellen Verbindungen. Dabei werden keine festen Kanäle zwischen den beteiligten Endgeräten geschaltet, vielmehr werden die Zellen erst zum Zeitpunkt ihrer Erzeugung über einen vorher festgelegten Weg durch das Netz transportiert. Die so erreichbaren Übertragungsraten liegen typischerwiese bei 25 MBit/s, 155 MBit/s oder 622 MBit/s.

ATM-Komponenten sind allerdings derzeit noch sehr teuer, so daß eine Integration mit den im lokalen Netz bereits vorhandenen Komponenten anderer Technologien aus Gründen des Investitionsschutzes angestrebt werden sollte. ATM unterstützt jedoch keine Broadcasts oder die Benutzung von MAC-Adressen, was jedoch Voraussetzung für die Nutzung der meisten Protokollstapel wie TCP/IP oder SPX/IPX ist. Dazu existieren drei verschiedene Lösungsansätze:

Classical IP-over-ATM (CIP)
Für die Verwendung von IP über ATM wurde RFC 1577 (Classical IP-over-ATM) entwickelt, welches Endgeräten mit TCP/IP-Protokollstapel erlaubt, ATM als Transportmedium zu nutzen.
LAN Emulation (LANE)
Hier werden auf Schicht 2 des OSI-Modells alle relevanten LAN-Technologien für die Clients emuliert, für die sich ATM dann z. B. als Ethernet oder Token-Ring-Netz darstellt. Damit wird eine Kommunikation zwischen konventionellem LAN und ATM möglich.
Multiprotocol-over-ATM (MPOA)
MPOA ist prinzipiell eine Weiterentwicklung des klassischen ATM und LANE. Im Gegensatz zu LANE arbeitet MPOA auf der Schicht 3 des OSI-Modells und benutzt LANE zur Übertragung auf der Schicht 2. MPOA implementiert also sowohl Bridging (Schicht 2) als auch Routing (Schicht 3) und kann somit ein voll geroutetes ATM-Netz konfigurieren. Gleichzeitig bleiben jedoch alle Vorteile der ATM-Technologie, wie z. B. die garantierten Bandbreiten für bestimmte Anwendungen, erhalten.

Weiterhin ist zu beachten, daß z. Z. zwischen ATM-Komponenten verschiedener Hersteller keine Kompatibilität bzw. Interoperabilität garantiert ist. Dies ist daher im Einzelfall nachzuprüfen.

Eine allgemeine Empfehlung zur Auswahl einer Backbone-Technolgie kann, wie bereits eingangs erwähnt, nicht gegeben werden. Hier spielen neben Sicherheitsanforderungen auch Kriterien zur Zukunftssicherheit, Wirtschaftlichkeit, Skalierbarkeit und Integration vorhandener Komponenten eine Rolle.

Je nach ausgewähltem Protokoll können nur bestimmte Kabeltypen eingesetzt werden (z. B. LWL für FDDI), die wiederum durch bestimmte Längenrestriktionen eingeschränkt sind (siehe auch M 5.2 Auswahl einer geeigneten Netz-Topographie).

Ergänzende Kontrollfragen:

Wurden die Anforderungen an den Backbone-Bereich des lokalen Netzes in bezug auf Verfügbarkeit, Bandbreiten und Performance formuliert und dokumentiert?
Wurde eine Betrachtung aller relevanten Backbone-Technologien durchgeführt?