Der Solution Guide 2013-2014 als PDF zum

Transcrição

Enterasys Networks – Solution Guide 2013/2014
SOLUTION GUIDE 2013/2014
1
Inhaltsverzeichnis
Vorwort .................................................................................................................. 7
Hinweis für alle Leser ............................................................................................................ 8
Wir über uns ........................................................................................................................... 9
Weitere Informationen.........................................................................................................10
Die OneFabric™ Lösung von Enterasys .............................................................. 11
Die OneFabric Architektur .................................................................................................. 12
Kapitel 1 – Grundlagen Netzwerk & Security..................................................... 13
Authentisierung als Maßnahme zum Schutz des Netzwerks .......................................... 15
Authentifizierungsmethoden — der technische Ansatz.................................................... 15
Policy Enforcement ..............................................................................................................21
RFC 3580—Der kleinste gemeinsame Nenner? .............................................................21
Policies.............................................................................................................................. 22
MUA+P (Multi User Authentication and Policy) ...............................................................24
Sicherer Gastzugang mit Default Policies ...................................................................... 25
RFC 3580 und Distribution Layer Security .................................................................... 26
Port Protection ..................................................................................................................27
Policy Enforcement in der Praxis .................................................................................... 28
Konvergenz der Netze – Quality of Service und Verfügbarkeit ....................................... 30
QoS (Quality of Service) im Netzwerk ............................................................................. 30
Power over Ethernet ........................................................................................................ 40
Redundanz ....................................................................................................................... 42
IPv6 ................................................................................................................................... 54
SNMP (Simple Network Management Protocol) ............................................................ 58
MPLS (Multi Protocol Label Switching) .......................................................................... 59
Software Defined Networking (SDN) .............................................................................. 66
Die Enterasys SDN-Lösung ............................................................................................. 73
Kapitel 2 - OneFabric Edge ................................................................................. 75
Enterasys A/B/C-Serie ....................................................................................................... 75
2
Enterasys A4 ..................................................................................................................... 76
Technische Eigenschaften .............................................................................................. 78
Redundante Stromversorgung – Equipment Spezifikationen ...................................... 80
Bestellinformationen ........................................................................................................81
Enterasys A4—Features, Standards und Protokolle .......................................................81
Unterstützte Funktionalitäten ......................................................................................... 83
Enterasys B5/C5.............................................................................................................. 84
Enterasys C5/B5—Features, Standards und Protokolle ................................................87
Technische Eigenschaften ...............................................................................................91
Redundante Power Supply Equipment Spezifikationen.............................................. 101
Bestellinformationen ..................................................................................................... 102
Enterasys D-Serie ............................................................................................................. 104
Unterstützte Funktionalitäten ....................................................................................... 105
Enterasys G-Serie ............................................................................................................. 107
Unterstützte Funktionalitäten ....................................................................................... 108
Enterasys K-Serie.............................................................................................................. 111
Standards und Protokolle .............................................................................................. 118
Spezifikationen .............................................................................................................. 121
Enterprise Mobility ............................................................................................................ 123
WLAN High Density & Performance Best Practise ...................................................... 124
Sicherung von WLAN Netzen ........................................................................................ 129
Voice over WLAN – QoS & Security............................................................................... 130
Lokation-Tracking in WLAN Netzen ............................................................................... 134
802.11n & 802.11ac - Next Generation WLAN Standard .......................................... 135
Enterasys IdentiFi WLAN .................................................................................................. 139
Enterasys IdentiFi WLAN Access Points ....................................................................... 140
IdentiFi 3705 Indoor Access Points.............................................................................. 141
3
IdentiFi 3710 & 3715 Indoor APs ................................................................................. 145
IdentiFi 3765 & 3767 Industry / Outdoor APs ............................................................. 153
Enterasys IdentiFi WLAN Controller .............................................................................. 159
Enterasys IdentiFi Radar ............................................................................................... 159
Enterasys IdentiFi Wireless Management (WM) ......................................................... 160
Enterasys IdentiFi Wireless Antennen .......................................................................... 161
Kapitel 3 - OneFabric Data Center.................................................................... 165
Applikationsverfügbarkeit als Technologietreiber .......................................................... 165
Die Komponenten von Enterasys OneFabric Data Center ............................................. 166
Virtualisierung ................................................................................................................ 168
Data Center Bridging ..................................................................................................... 169
Virtual Switch Bonding ...................................................................................................171
Fabric Core Mesh—Layer 2 ............................................................................................ 172
Fabric Core Mesh—Layer 3 ............................................................................................ 175
Applikationsawareness ................................................................................................. 178
Zusammenfassung ........................................................................................................ 179
Physikalische Designs im Data Center............................................................................ 179
2-Tier oder 3-Tier Design? ............................................................................................. 179
End-of-Row versus Top-of-Rack..................................................................................... 180
Überbuchung im Design ................................................................................................ 182
Logische Designs im Data Center ................................................................................... 184
Protokolldesign der Server-Edge/Access-Switches ..................................................... 184
Protokolldesign der Core-Switches ............................................................................... 185
Virtuelle Welten................................................................................................................. 187
Enterasys S-Serie .............................................................................................................. 192
I/O Module Spezifizierung............................................................................................. 198
4
Features, Standards, Protokolle ................................................................................... 200
Maße der Chassis der S-Serie ...................................................................................... 204
Enterasys 7100 Serie ....................................................................................................... 209
Standards und Protokolle .............................................................................................. 210
Bestellnummern ............................................................................................................ 214
Kapitel 4 - OneFabric Security .......................................................................... 215
Detect and Locate ............................................................................................................ 215
Angriffe .............................................................................................................................. 215
IDS Erkennungstechnologien........................................................................................... 219
Hostbasierte Erkennung versus netzwerkbasierte Erkennung ..................................... 221
Host Intrusion Detection/Prevention (HIDS/HIPS)......................................................... 221
Network IDS/IPS ............................................................................................................... 224
IDS versus IPS versus DIPS ............................................................................................. 225
Enterasys Intrusion Defense ......................................................................................... 226
System Information and Event Management ................................................................. 232
Enterasys Security Information & Event Manager (SIEM) .......................................... 238
SIEM – Appliances ......................................................................................................... 242
Respond and Remediate.................................................................................................. 244
Assisted Remediation mit ToS-Rewrite......................................................................... 245
Proactive Prevention / NAC .............................................................................................. 246
Definition von NAC ......................................................................................................... 246
Der Prozess NAC ............................................................................................................ 246
Lösungsansätze ............................................................................................................. 247
Enterasys Network Access Control / Identity & Access Management ....................... 257
Bring Your Own Device (BYOD)......................................................................................... 267
OneFabric Connect ........................................................................................................... 270
Kapitel 5 - OneFabric Control Center ................................................................ 275
Die NetSight Komponenten ............................................................................................. 277
5
Console (CN) .................................................................................................................. 277
Policy Management (PM) .............................................................................................. 279
Automated Security Management (ASM) ..................................................................... 280
Inventory Management (IM) .......................................................................................... 281
OneView .......................................................................................................................... 282
Wireless Management (WM)......................................................................................... 289
Lizenzierung von Enterasys OneFabric Control Center und NetSight ........................... 289
MDM – Mobile Device Management .............................................................................. 291
OneFabric Connect API ..................................................................................................... 293
Kapitel 6 - SMB Switching ................................................................................ 297
Enterasys 800-Serie ......................................................................................................... 297
Unterstützte Funktionen ................................................................................................ 299
Bestellnummern ............................................................................................................ 306
Kapitel 7 - Dienstleistungen ............................................................................. 307
Enterasys SupportNet: Wartungslösungen..................................................................... 307
Schulungs- und Zertifizierungskonzept........................................................................... 310
Weitere Informationen ...................................................................................... 314
Literaturhinweise .............................................................................................................. 314
Social Media...................................................................................................................... 314
Downloads – DMS ............................................................................................................ 314
Enterasys Knowledgebase ............................................................................................... 315
Enterasys GTAC ................................................................................................................. 315
6
Vorwort
Sehr geehrte Leserin, sehr geehrter Leser,
Wie auch im letzten Jahr steht dieser Solution Guide unter dem Motto unserer
„OneFabric― Architektur und präsentiert Ihnen neue Trends, Technologien und Produkte.
OneFabric hat im letzten Jahr mit „IdentiFi― und „IdentiFi Adapt― einen nicht
unwesentlichen Zuwachs bekommen – unsere neue WLAN Produktlinie, auf welche wir
in dieser Ausgabe näher eingehen werden. Aber dies war nicht die einzige Neuerung, die
die letzten Monate mit sich brachten: von Mobile IAM, unserer BYOD-Lösung über
OneFabric Connect SDN (Software Defined Networking) bis hin zu OneFabric Data Center
mit den neuesten Produkten und Lösungen für das Rechenzentrum und eine komplette
Erneuerung der S-Series Produktfamilie. All diese Themen werden natürlich in dieser
Ausgabe des Solution Guides ausführlich behandelt.
Wenn Sie ein eifriger Leser unserer letzten Solution Guides waren, wird Ihnen sicherlich
die überarbeitete Gliederung auffallen: Diese folgt nun unserer OneFabric Architektur
und behandelt die einzelnen Komponenten als eigenständige Kapitel. Details zu den
Produkten wie Spezifikationen oder Bestellnummern finden Sie wie gewohnt am Ende
des jeweiligen Abschnitts.
Wir wünschen wir Ihnen in altbekannter Manier ein informatives Lesevergnügen!
Ihr Enterasys Team
7
Hinweis für alle Leser
Das Lösungsportfolio von Enterasys Networks wird kontinuierlich weiter entwickelt,
deshalb kann es jederzeit zu Änderungen des bestehenden Lösungsportfolio kommen.
Die aktuellsten Informationen finden Sie auf der Enterasys Networks Homepage unter
www.enterasys.com.
Für ein persönliches Gespräch stehen wir Ihnen in unseren Niederlassungen jederzeit
gerne zur Verfügung:
 Frankfurt am Main
+49 (0)69 47860-0
 Berlin
+49 (0)30 39979-5
 Leipzig
+49 (0)341 52028-12
 Zürich
+41 (0)44 308-3943
Einen vollständigen Überblick über alle Büros und Kontake weltweit finden Sie unter:
www.enterasys.com/corporate/locations/
Informationsstand: 30.06.2013
8
Wir über uns
Kurzprofil
Enterasys Networks, ein Tochterunternehmen von Siemens Enterprise Communications,
gehört zu den am schnellsten wachsenden Unternehmen im Netzwerkbereich. Das
Portfolio umfasst patentierte drahtgebundene und drahtlose Lösungen für NetzwerkInfrastrukturen sowie für die IT-Sicherheit und das -Management. Enterasys OneFabric
gilt als erste fabric-basierte Netzwerklösung und schafft Transparenz und Kontrolle über
virtuelle Server bis hin zu mobilen Endgeräten für Cloud Computing und Data CenterUmgebungen. Enterasys stellt seinen Kunden durchgängig leistungsfähige Netzwerke
und erweiterte Sicherheit für geschäftskritische Applikationen vom Data Center bis zum
Endanwender bereit – alles aus einer zentralen Konsole heraus.
Seit dem 01. Oktober 2008 ist Enterasys Teil des Joint Ventures Siemens Enterprise
Communications Group unter der Führung von The Gores Group. Das Joint Venture ist
ein Anbieter von Hardware, Software und Services für sichere, service-orientierte
Netzwerke, die auf der Basis von Standards Open Communications ermöglichen.
Enterasys hat seinen Hauptsitz in Salem, NH, USA, und betreut den globalen
Kundenstamm über
Niederlassungen in mehreren Ländern. Das Unternehmen
beschäftigt weltweit mehr als 1.000 Mitarbeiter. Weitere Informationen zu finden Sie
unter www.enterasys.com
Innovative Technologie
Unsere Netzwerkinfrastruktur-, Management- und Netzwerksichheitslösungen bieten
einen einzigartigen Level an Automatisierung, Flexibilität, Transparenz und Kontrolle im
Netz, die Ihre IT-Effizienz und Nutzer-produktivität verbessern.
Sichere Netzwerke sind die Grundlage für eine flexible Infrastruktur und ein
Servicemodell: Benutzer, Systeme, Applikationen, Event Management, automatisierte
Kontrolle und die Möglichkeit aktiv auf Ereignisse antworten zu können. Eine flexible
Infrastruktur stellt einen authentifizierten Zugang an allen Punkten zur Verfügung, an
denen ein Zugriff auf Ressourcen erfolgt, und verringert mit einer dynamischen
Autorisierung die Angriffsfläche für Denial of Service Attacken. Zusätzlich sichert eine
flexible und zuverlässige Infrastruktur die Verfügbarkeit von Applikationen und sichert
für geschäftkritische Anwendungen die entsprechenden Bandbreiten.
9
Weitere Informationen
Unser Management Team
Chris Crowell
Enterasys President & CEO
Edward Semerjibashian
SVP & Managing Director CEE, ME, Russia/CIS &
APAC
Pressekontakte
Markus Nispel
Chief Technology Strategist
Marco Mautone
Marketing Manager CEE
Solmsstraße 83
60486 Frankfurt am Main
Telefon: +49 69 47860 0
Fax: +49 69 47860 109
10
Die OneFabric™ Lösung von Enterasys
Unified Computing hat - sowohl als Management-Modell als auch als
Rechenzentrumstopologie - Auswirkungen auf den traditionellen Netzwerkmarkt.
Virtualisierung ist mittlerweile zu einer etablierten Technologie geworden und hat für
eine Zentralisierung der Ressourcen im Rechenzentrum gesorgt. Folgerichtig steigen die
Speicheranforderungen an die EDV und somit die Dichte an Ports, die Bandbreite und
natürlich vor allem die Kosten des Managements. Wesentlich dabei ist, dass die
Einheitslösung der Mainframe-Ära durch das Bedürfnis ersetzt wurde, hochqualifizierten
Nutzern verschiedene Anwendungen mit vielen Funktionen schnell zur Verfügung zu
stellen. Das bedeutet, dass ein gut funktionierendes Rechenzentrum nicht mehr
ausreicht, um die Anforderungen des täglichen Geschäfts abzudecken – stattdessen
muss der Fokus darauf liegen, Anwendungen durchgehend zur Verfügung zu stellen,
End-to-End Application Delivery ist hier das Schlagwort.
OneFabric™ von Enterasys ist eine innovative Architektur, die Einfachheit, Skalierbarkeit
und Kontrolle für komplexe IT Infrastrukturen bietet. Mit OneFabric kann das Netzwerk
zusammen mit den Unternehmensanforderungen wachsen, ohne die Hochverfügbarkeit
oder die geringen Latenzeiten negativ zu beeinträchtigen. Durch Verankerung von
Informationen in allen Bereichen des Netzwerks liefert OneFabric eine nutzerbasierte
Policy Kontrolle – Durchsatzbeschränkungen, Priorisierung und Filterung auf
Anwendungsebene basierend auf der Identität des Nutzers, der Anwendung oder des
Geräts.
OneFabric zentralisiert die Visibilität und Kontrolle des gesamten Netzwerkes durch die
Erstellung einer einzigen Netzwerkumgebung. Diese zentralisierte Visibilität ermöglicht
die Zusammenarbeit der verschiedenen IT-Abteilungen, was wiederum kostspielige
Fehler und Fehlplanungen der Ressourcen verhindert, die typischerweise im operativen
Arbeitsablauf entstehen. Eingebettete, automatisierte Eigenschaften verbessern die
Bereitstellung der Anwendungen für dynamische IT-Umgebungen indem sie Cloud,
Virtualisierung, Server-/Storagekonsolidierung und die sogenannte ―Consumerization of
IT‖ wirksam nutzen. Die einst schwierige Aufgabe des Provisioning und De-Provisioning
von Servern und Netzwerkinfrastrukturen wird mit OneFabric vereinfacht: Lokal
festgelegt und global duruchgeführt bedeutet eine signifikante Skalierung, verbesserte
Effizienz sowie zuverlässigere und erfolgreiche Application Delivery.
11
Die OneFabric Architektur
 Management und Control – OneFabric Control Center: Einheitliche, SDN
basierende Management Suite für jede Netzwerkinfrastruktur
 OneFabric Core / Data Center: Leistungsfähige und -starke Router für große,
verteilte Netzwerke sowie Anforderungen nach hoher Geschwindigkeit und
Bandbreite
 OneFabric Edge: Offener und sicherer Zugang für kabelgebundene und kabellose
Geräte
 OneFabric Security: Lösungen für Security-Herausforderungen im
Unternehmensnetzwerk
12
Kapitel 1 – Grundlagen Netzwerk & Security
Sicherheit gehört heute zu den wichtigsten Anforderungen an Netzwerke, denn sie
werden zunehmend zur universellen Plattform für Kommunikation und
Geschäftsprozesse in Unternehmen, mithin zur kritischen Ressource. Demzufolge
können digitale Angriffe und digitale Spionage betroffenen Firmen nachhaltig schaden.
Mit der Einführung der auf Standard IEEE 802.1x aufbauenden Secure Networks™
Strategie, die Enterasys mittlerweile seit Jahren erfolgreich verfolgt, hat Enterasys ein
neues Sicherheitszeitalter für Netzwerke eingeläutet und setzt bis heute Maßstäbe.
Gartner betrachtet Enterasys deswegen als Technologieführer im Bereich
Netzwerksicherheit
Eine sichere, holistische IT-Infrastruktur besteht aus fünf Säulen:





gesicherter Netzzugang (Access Control)
Authentifizierung als Netzwerkschutz
Festlegung von Nutzungsregeln und ihre Durchsetzung (Policy Enforcement)
standardbasierte Konvergenz und Hochverfügbarkeit
Software-Defined Networking
Für alle fünf Säulen bietet Enterasys eigene Produkte an. Sie sollen helfen, die Kernziele
des Secure Networking zu erreichen:
 Zugangsbeschränkung auf authentifizierte Nutzer
 präventive Angriffsverhinderung
13
 Reaktion auf Angriffe auf User-, nicht nur auf Gerätebasis
 Absicherung von Netzwerken unterschiedlicher Hersteller
 Bereitstellung von Compliance-Hilfsmitteln
Einige Worte zum erstgenannten Punkt: Ein wesentliches Ziel von Secure Networks™
besteht darin, Unbefugte von Ressourcen fernzuhalten. Sicherheitslevel und
Zugriffsniveau der User werden dabei in Abhängigkeit zum Sicherheitslevel des
benutzten Geräts definiert. Greifen authentifizierte oder nicht authentifizierte Anwender
auf Ressourcen im Netzwerk zu, werden diese Angriffe durch verschiedene Technologien
erkannt, verifiziert und verhindert. Nach der Abwehr des Angriffs wird der Angreifer aus
dem Netzwerk verbannt oder er bekommt neue, eingeschränkte Zugriffsrechte. Ein
umfassendes Technologiespektrum garantiert maximale Sicherheit. So können auch
Angriffe auf sehr komplexe und neuere Technologien (wie Voice over IP) erkannt und
verhindert werden.
In der Praxis gilt es, die verschiedenen Lösungselemente in ein durchgängiges Konzept
zu integrieren und die einzelnen Umsetzungsschritte für Implementierung und Betrieb
festzulegen. Dabei reicht die Frage nach der Realisierbarkeit der möglicherweise
einsetzbaren Schutzmaßnahmen weit über Features und Algorithmen hinaus. Denn
nicht alles, was technisch möglich ist, ist auch praktikabel.
Sicherheit und freie Kommunikation sind auf den ersten Blick Antagonisten.
Sicherheitsregeln, die Anwender unzumutbare Prozeduren auferlegten (mehrfache
Anmeldung, geringe Flexibilität), hemmen die Produktivität des Unternehmens und
werden dauerhaft nicht akzeptiert.
Doch den Befürchtungen, Netzwerksicherheit sei aufwändig, unangemessen kompliziert
oder gefährde gar den kontinuierlichen Betrieb einer IT Infrastruktur, kann man durch
geeignete Ansätze begegnen. In der Praxis hat sich gezeigt, dass der zusätzliche,
administrative Aufwand einer sicherheitsbasierten Netzwerklösung durch Werkzeuge
kompensierbar ist, die Transparenz und ein möglichst einfach zu handhabendes
Management garantieren.
Im Gegensatz zur Administration einzelner Netzwerkkomponenten bieten
datenbankbasierte Management- Systeme, wie Enterasys sie verwendet, Templates und
Policies, mit denen eine flächendeckende Anpassung des Netzes an sich ändernde
Anforderungen rationell möglich ist. Die folgenden Abschnitte beschreiben die
Grundzüge der fünf Säulen der Secure Networks™-Strategie und erklären, welche
Beiträge die verschiedenen Komponenten beim Aufbau einer ganzheitlichen SecurityInfrastruktur leisten.
14
Authentisierung als Maßnahme zum Schutz des Netzwerks
Authentisierung war in Netzwerken immer wichtig. Umso mehr gilt dies angesichts der
Flut immer neuer mobiler Endgeräte. Denn durch eine größere Auswahl innovativer
Mobilsysteme, Spachdienste, Facility Management sowie, die Integration industrieller
Produktionsanlagen in übergreifende Netzwerke, ist mit einer Verdopplung der
Endgeräte im Netz zu rechnen.
Die Systeme lassen sich nur teilweise mit bewährten Sicherheitsmechanismen, wie
Personal Firewalls, Virenscannern und einem gehärteten Betriebssystem ausstatten.
Monolithische Komponenten wie IP-Telefone, Webcams und Industriesteuerungen,
liegen ebenso außerhalb des administrativen Zugriffs wie die Notebooks externer
Mitarbeiter und Studenten.
Medizinische Geräte, Analyse- und bildgebende Systeme (Röntgen und MRT) unterliegen
eigenen Sicherheitsrichtlinien. Die Modifikation ihres Betriebssystems durch geeignete
Sicherheitsupdates erfordert in der Regel eine Neukalibrierung und Rezertifizierung des
Systems und lässt sich deshalb in der Praxis kaum zeitnah ausführen. Derart
heterogene Endgerätelandschaften sind ein zunehmend unkontrollierbarer Risikofaktor
fürs das Unternehmen.
Zudem standen bisher bei Sicherheitsbetrachtungen meist externe Verbindungen, etwa
zum WAN oder Internet, im Mittelpunkt. Die Übergabepunkte zu diesen Netzen mit
Firewalls, Virenschutz und Content-Filtern auszurüsten, gehört mittlerweile zum üblichen
Standard.
Ganzheitlich betrachtet, müssen allerdings interne Angriffe in die Risikobetrachtung
einbezogen und entsprechende Maßnahmen ergriffen werden. Hier helfen intelligente
Komponenten und Lösungen, die das Netzwerk als unternehmenskritischen
Produktionsfaktor auch gegen Bedrohungen aus dem Unternehmen selbst heraus
schützen.
Authentifizierungsmethoden — der technische Ansatz
Mit Access Control haben nur zugelassene Endgeräte aller Art genehmigten Umfang
Zugriff aufs Netzwerk. Anwender an Endgeräten können sich unabhängig von deren
Betriebssystem interaktiv authentifizieren. Viele Switche und die meisten
Betriebssysteme für PCs und Workstations unterstützen heutzutage den
Authentifizierungsstandard IEEE 802.1x.
Allerdings erfordert ein ganzheitlicher Lösungsansatz, dass lückenlos alle Endgeräte im
15
Netz erkannt werden. Dies ist nur möglich, wenn auch alternative
Authentisierungsmethoden zur Verfügung stehen. Dieser Ansatz soll hier detailliert
beleuchtet werden.
IEEE 802.1x im Detail
IEEE 802.1x liefert ein komplettes Authentifizierungs-Framework für die portbasierende
Zugriffskontrolle.
Das Modell umfasst folgende funktionale Rollen:
 Supplicant ist das Endgerät, das einen Netzwerkzugang anfordert.
 Authenticator ist das Gerät, das einen Supplicanten authentifiziert und den
Netzwerkzugang sperrt oder freigibt.
 Authentication Server ist das Gerät, das den Authentifizierungsdienst im
Hintergrund (zum Beispiel RADIUS, Remote Access Dial In User IdentiFication
System) bereitstellt
Insbesondere weil WLANs (Wireless LANs) eine sicheren Zugangs– und
Verschlüsselungsmechanismus (802.11i und WiFi WPA (Wireless Protected Access) )
brauchten, hat sich IEEE 802.1x im WLAN durchgesetzt und wird nun immer öfter auch
in herkömmlichen Netzwerken verwendet.
Dabei nutzt 802.1x bestehende Protokolle wie EAP (Extensible Authentication Protocol)
und RADUIS, die empfohlen, aber nicht vorgeschrieben sind. 802.1x arbeitet mit
Ethernet, Token Ring und IEEE 802.11 zusammen.
Im Standard sind vielfältige Authentifizierungsmechanismen wie Zertifikate, Smart
Cards, One-Time-Passwörter oder biometrische Verfahren vorgesehen. EAP garantiert
Flexibilität. Das Protokoll erlaubt in der von Microsoft favorisierten Variante für RAS VPN
(Remote Access Virtual Private Networks) innerhalb von IPSec/L2TP (IPSecurity, Layer 2
Tunneling Protocol) die einheitliche Authentifizierung eines Nutzers über LAN-, WLANund WAN-Infrastrukturen.
16
Die eigentliche Authentifizierung erfolgt durch die Weiterleitung der EAP-Pakete mittels
EAP-RADIUS (RFC 2869) an einen RADIUS-Server. Dieser kann wiederum je nach
Hersteller Schnittstellen zu Verzeichnisdiensten wie ADS (Active Directory Service) von
Microsoft oder Novell‗s NDS über LDAP (Lightweight Directory Access Proptocol) oder
XML sowie Plug-Ins für die Integration von Secure-ID-Cards haben.
Je nach Anforderung und Applikation sind viele EAP-Protokolle geeignet (siehe Tabelle).
Client Server
Dynamisches
Authentisierung Key
Management
MD5
Klartextübertragung von User
Daten; nur selten genutzt
Nein
Nein
PEAP
Einbindung von MS-CHAPv2
Ja
Ja
Ja
Ja
Aufbau eines verschlüsselten,
Ja
authentisierten Tunnels
zwischen Sender und Empfänger
Ja
EAP-TLS Zertifikatsbasiertes Verfahren,
benötigt PKI
EAPTTLS
NAC (Network Access Control) lässt sich also in der Praxis mit bestehenden
Authentisierungsinstanzen flächendeckend und benutzerfreundlich realisieren.
Protokolle für die Übertragung von Verschlüsselungsdaten
MD5
Weil die Übertragung unverschlüsselter Authentifizierungsdaten unsicher ist, wird die
ursprüngliche Methode MD5 heute nur noch in Ausnahmefällen genutzt.
PEAP (Protected Extensible Authentication Protocol)
Diese gebräuchlichere Microsoft-Variante besitzt im Grunde die schon vorhandenen EAPTTLS (Tunneled Transport Layer Security Protocol). Auch hier benötigt der
Authentifizierungsserver ein Zertifikat und es wird zuerst die Verschlüsselung aufgebaut,
bevor eine IdentiFizierung mit User Name/Passwort stattfindet
EAP-TLS
EAP-TLS (RFC 2716) bietet starke kryptografische Authentifizierungsmethoden des
Clients gegenüber dem Netzwerk. Client und Anmeldeserver präsentieren sich
17
gegenseitig kryptografische Zertifikate, um ihre Identität wechselseitig zu beglaubigen.
Voraussetzung dafür ist eine PKI (Public Key Infrastructure), die mit dem Directory
verbunden ist. Die entsprechenden Zertifikate müssen auf dem Client verfügbar sein
und werden in der Regel auf einer Smart Card gespeichert. Zusammen mit einer
mehrstelligen PIN-Nummer ist das die optimale Sicherheitslösung.
EAP-TTLS (Tunneled TLS)
EAP-TTLS wurde unter anderem von Funk Software und Certicom aus TLS entwickelt. Der
Tunneling-Mechanismus ähnelt einem mit SSL (Secure Socket Layer) verschlüsselten
Webserver. Anders als bei EAP-TLS braucht nur der Anmeldeserver ein eindeutiges,
digitales Zertifikat, das der Client beim Verbindungsaufbau überprüft.
Web Authentifizierung
Auf Endgeräte externer Mitarbeiter (Gäste, Service Personal, Studenten) können
Administratoren nicht zugreifen und sie beispielsweise so konfigurieren, dass eine
sichere Authentifizierung möglich ist.
MAC Authentication
Eine
Herausforderung
sind
Endgeräte
ohne
standardbasierte
Authentisierungsfunktionen, zum Beispiel Drucker, IP Telefone und Industrieanlagen.
Authentifizierungsmethoden, die MAC (Media Access Layer)-Adressen verwenden und
die automatische Endgeräteklassifizierung durch Protokolle wie CEP (Convergent
Endpoint Detection) und LLDP-MED (Link Layer Discovery Protocol-Media Endpoint
Discovery) sind grundsätzlich eine schwächere Sicherheitsbarriere, da sie sich mit
verhältnismäßig einfachen Mitteln kompromittieren lassen.
Deshalb reicht es nicht, nur zu entscheiden, ob ein Endgerät zugreifen darf oder nicht.
Vielmehr müssen differenziertere Mechanismen her.
Die Kombination von
Authentisierung und Zugangsregeln (Access Policies) gewährt individuell eingeschränkte
Zugangsrechte.
Beispielsweise kann man so den Netzzugriff eines Druckers, der sich über eine MACAdresse authentifiziert, auf die Kommunikation mit dem zugewiesenen Printserver
beschränken. Versucht jemand mit Hilfe dieser MAC-Adresse einen Angriff, ist dessen
Erfolg deutlich eingeschränkt.
CEP (Convergent Endpoint Detection)
Mit Telefonerkennung (Phone Detection) erkennt das Netzwerkmanagement
automatisch ans Netz angeschlossene IP-Telefone und setzt passende Parameter für
18
Quality of Service. Zum Beispiel kann dessen Datenverkehr via IEEE 802.1p
gekennzeichnet und damit höher priorisiert werden als anderer Datenverkehr.
LLDP (Link Layer Discovery Protocol ,IEEE 802.1ab)
Wenn Netzkomponenten sich gegenseitig über ihre Identität und Eigenschaften
austauschen, optimiert das ihr Zusammenspiel und ermöglicht die Visualisierung von
Layer-2-Verbindungen in grafischen Netzwerk-Management-Tools.
Die verwendeten proprietären Discovery Protokolle (CDP, EDP) waren aber nur
eingeschränkt
interoperabel.
Deshalb
ratifizierte
die
IEEE
2005
das
herstellerunabhängige Link Layer Discovery Protokoll (IEEE 802.1ab). Unterstützen die
Netzwerkkomponenten
durchgängig
LLDP
lässt
sich
komplette
Layer-2Netzwerktopologie komplett rekonstruieren und neue Netzwerkkomponenten werden
automatisch erkannt.
LLDP ist einfach erweiterbar. Ein Beispiel hierfür ist LLDP-MED. Dieses Protokoll erkennt
automatisch Netzwerkeinstellungen von Endgeräten wie VLAN Priorität oder DiffServWerte. Dies erleichtert die Integration spezieller Endgerätetypen, beispielsweise von IP
Telefonen.
Außerdem
helfen LLDP-Informationen, Secure-NetworksTM-Policies
automatisch zuzuordnen.
Multiuser Authentication
Als Mitautor der IEEE 802.1x-Standards und Wegbereiter sicherer LANs hat Enterasys
Networks sehr bald auch bereits existierende Produkte nachträglich mit den
erforderlichen Funktionen ausgerüstet.
Diese Strategie reicht zurück bis zur zweiten Generation der Cabletron SmartSwitchKomponenten aus dem Jahr 1998, welche über die notwendigen Authentisierungsmöglichkeiten verfügen
In gewachsenen, heterogenen Netzwerken haben meist nicht alle Access-Komponenten
Authentifizierungsfeatures. Die Enterasys-S-Serie löst dieses Problem durch eine
integrierte Multiuser-Authentifizierung. Damit können sich auf den Uplinks Tausende
User individuell authentifizieren.
19
Bekannte Topologien, aber auch neuartige Fiber-to-the-Office-Konzepte mit simplen
Kanal-Switches im Zugangsbereich des Netzes, sind so flächendeckend realisierbar.
Dabei ist zu berücksichtigen, dass die „simplen― Access-Switches die bei der IEEE802.1x Anmeldung verwendeten EAPoL (EAP on LAN)-Pakete weiterleiten müssen (EAPPassthrough). Alle Enterasys SecureStack-Systeme unterstützen diese Funktion. Bei
älteren Komponenten ist sicherzustellen, dass EAP-Passthrough ebenfalls möglich ist.
Manchmal muss man dafür das Spanning-Tree-Protokoll ausschalten oder ähnliche
Konfigurationsänderungen vornehmen.
Multi-Method-Authentication
Die Enterasys S-Serie kann mehrere User gleichzeitig auf einem Port authentifizieren
und jedem eine eigene Policy zuweisen. Außerdem ist es möglich, verschiedene
Authentifizierungsmethoden gleichzeitig auf demselben Port zu betreiben.
Normalerweise geht man davon aus, dass jedes Gerät/jeder Anwender sich nur einmal
authentifiziert; also der stationäre Anwender an seinem PC über IEEE 802.1x , der Gast
mit seinem Laptop über PWA (Port Web Authentication), der Drucker basierend auf MACAuthentication.
Aber was passiert, wenn der PC gleichzeitig über IEEE 802.1x und MAC-Authentication
angemeldet ist und sich die Profile der Authentifizierungsmechanismen widersprechen?
Abgesehen davon, dass dann das Security Design und die Zugangsregeln überarbeitet
werden sollten, hat Enterasys dieses Problem im Griff.
Die Anmeldung läuft über so genannte Authentication Sessions. Hat ein Anwender
mehrere dieser Sessions offen, so wird nur eine wirklich genutzt. Bis zu drei Sessions
gleichzeitig sind möglich, denn ein User kann über IEEE 802.1x, PWA oder MACAuthentifizierung angemeldet sein. Die Authentifizierungsmethoden werden nach
Prioritätsregeln angewandt. Die vorgegebenen Prioritäten sehen folgendermaßen aus:
1.
2.
3.
4.
IEEE 802.1x
Port Web Authentication
MAC Authentication
CEP (Convergent Endpoint Detection)
Kommen wir auf unser Beispiel zurück: Ein User hat sich über 802.1x authentifiziert,
aber basierend auf seiner MAC-Adresse läuft auch MAC-Authentication im Hintergrund,
da beide Methoden auf dem Port aktiviert sind. Da die 802.1x-Session höhere Priorität
hat als die MAC-Session, wird diese angewandt und dem Anwender die entsprechende
Rolle zugewiesen.
20
MACSec IEEE 802.1ae
Der MACSec Standard, der am 8. Juni 2006 verabschiedet wurde, sichert in der IEEE802-Welt die Integrität jedes übertragenen Datenpakets und dessen Authentizität.
Außerdem dient MACSec zur Abwehr von „Lauschangriffen― auf die transportierten
Daten. Hierbei übernimmt MACSec, implementiert zwischen Endsystemen und dem
nächsten Switch oder seltener zwischen Switchen, die „Hop-by-Hop―-Verschlüsselung,
Authentifizierung und Integritätsprüfung. Der ergänzende Standard für das notwendige
Schlüsselmanagement (IEEE 802.1af) ist noch nicht verabschiedet .
Die Hersteller von MAC-Phy‗s versprechen sich von IEEE 802.1af mehr Geschäft, da
komplexe Chips mit integrierter Verschlüsselung teurer angeboten werden können.
Allerdings erwarten viele Fachleute, dass diese Lösung erst dann breit angewendet wird,
wenn die Preise solcher Chips vergleichbar mit bestehenden MAC Phy‘s sind.
Die potentiellen Anwendungsbereiche von MACSec in Kombination mit IEEE 802.1af
sind vielfältig. Dazu gehören die sichere Trennung von Kunden, die sich in der gleichen
Layer-2-Domain eines Serviceproviders bewegen (Ethernet First Mile, etc.), die Sicherung
von Metronetzen, die Unternehmen verbinden, erweiterte Sicherheitsfeatures für IEEE802.1x-Unternehmensinstallationen mit Verschlüsselung und Integritätswahrung
zwischen Endgerät und Switch (vergleichbar mit WLANs unter IEEE 802.11) sowie die
Garantie, dass nur vertrauenswürdige Geräte ins Netz eingelassen werden.
Policy Enforcement
Die eindeutige Authentifizierung eines Geräts oder Benutzers ist eine wichtige
Komponente der Access Control. Ist sie gelungen, müssen den nun eindeutig erkannten
Geräten/Benutzern Regelwerke zugewiesen werden, die alle Zugriffsrechte und Zugänge
eindeutig
definieren
und
kontrollieren.
Schon
die
unterschiedlichen
Authentifizierungsmöglichkeiten zeigen, dass die Technologie hier ein sehr
differenziertes Vorgehen erlauben muss. Der Administrator darf Rechte und Zugang nur
genau in dem Umfang einräumen, in dem individuellen Nutzern oder Endgeräten
Vertrauen entgegengebracht wird.
RFC 3580—Der kleinste gemeinsame Nenner?
Oft wird aus dem Authentisierungsergebnis eine VLAN-Zuweisung (RFC 3580) abgeleitet.
Doch dies birgt zahlreiche Unzulänglichkeiten. So widerspricht es bereits dem
allgemeinen Trend zu gerouteten Segmenten, den gesamten Campus mit
weitverzweigten Layer-2-Segmenten auszurüsten.
Werden Anwender oder Anwendergruppen mit VLANs assoziiert, entsteht in der Praxis
21
mindestens eine umfangreiche Gruppe von Standard-Usern. Vor ihnen ist zwar der
Netzwerkkern durch entsprechende Zugangskontrolllisten geschützt, sie können aber
untereinander unbegrenzt kommunizieren.
Wurde eines der Endsysteme dieser Nutzergruppe durch Schadsoftware kompromittiert,
kann sich der Schädling in der gesamten Gruppe verbreiten. Deshalb sollte man bereits
am ersten Access-Port entscheiden, welche Informationen überhaupt in das Netzwerk
eingespeist werden dürfen.
Policies
Verteilte Zugriffsinformationen mit Bordmitteln zu pflegen, ist für jeden Administrator
eine kaum zu bewältigende Herausforderung. Enterasys stellte mit dem NetSight Policy
Manager schon 2001 ein Werkzeug dafür vor. Damit lassen sich komplexe Regelwerke,
unterstützt von einer dreistufigen Hierarchie, baukastenförmig erstellen und verbreiten.
Policies—Hierarchisches Regelwerkzeug
Die oberste Ebene dieser Hierarchie ergibt sich aus der Rolle, die ein Benutzer in der
Struktur des Unternehmens spielt. Da diese Rolle bereits anhand der User-ManagementRegeln der zentralen Betriebssystemplattform erkennbar ist, liegt es nahe, schon bei der
Authentifizierung auf diese Informationen zuzugreifen.
Unterhalb dieser Ebene sind Services definiert, die grob beschreiben, was der Benutzer
tun darf und was nicht. Sie setzen sich aus einzelnen Regeln zusammen, die den
Datenverkehr zunächst nach Kriterien der Layer 2, 3 und 4 klassifizieren.
Passt eine Regel, wird eine zugewiesene Aktion ausgeführt:
 Access Control — Zugriffe zulassen oder verwerfen
 Kennzeichnen des Frames mit einer definierten VLAN-ID
 Veränderung von Parametern zur Servicequalität (QoS)
22
 Begrenzung der Bandbreite (Rate Limiting, pro Port, Applikations-Flow, Protokoll,
Nutzer—IP oder MAC)
Mit dem Policy Manager kann man ein derartiges Konstrukt aus Rollen und Regeln
zusammenstellen und per SNMP (Simple Network Management Protocol) an alle
Netzwerkkomponenten verbreiten. Dass Zugriffsinformationen im gesamten Access/Distributionsbereich verfügbar sind, garantiert hierbei Skalierbarkeit.
Granularität der Secure Networks™ Policies
Die Stärke des Policy Enforcement bei Secure Networks™ liegt in der Kombination von
Authentisierung, Klassifizierung und Kontrolle (siehe Grafik oben). Damit kann man
vielfältigen Bedrohungen entgegentreten.
23
Einige Beispiele:
Risiko
Lösungen
Illegitime DHCP-Server tauchen
Eine Deny Regel auf SourcePort
immer wieder in LANs auf und stören TCP69 verhindert dies
den Betrieb durch Zuweisung eigener
IP Adresse
Port Scanner versuchen das Netz
auszuspähen
Das Blockieren des ICMP Protokolls
für Standardbenutzer unterbindet
Scan Versuche
Rogue Access Points schaffen offene Auch ein AP muss sich via 802.1x
WLAN Zugänge
authentifizieren bevor er am
Netzverkehr teilnimmt
Priorisierte Protokolle sind anfällig für Die Kombination aus Priorisierung
Packet Flooding
und Rate Limiting schützt das Netz
Nicht alle IT Komponenten lassen
einen Schutz der Management Ports
zu
Layer 4 Regeln filtern Dienste, wie
Telnet und SSH, sofern der Benutzer
keine Administratorenrolle spielt
Würmer verbreiten sich exzessiv in
lokalen Netzen
Für zahlreiche Attacken bietet der
Policy Manager vorgefertigte
Filterregeln an
MUA+P (Multi User Authentication and Policy)
Die bisher Authentifizierungs-Kommunikationskette wird bei MUA+P um die
Managementfunktion erweitert, mit deren Hilfe der Administrator Rollen und Regeln
verteilt.
Kombination von Access Control und Policy Enforcement
24
Dabei meldet das zentrale Verzeichnis neben der positiven Authentisierungsbestätigung
auch die Gruppenmitgliedschaften des Benutzers an den RADIUS-Server zurück. Mit
einfachen Filterregeln ermittelt der RADIUS-Server die relevante Gruppe. Anhand ihres
Namens weist der Switch jedem Port die richtige Policy zu.
Die Authentisierungsmethode wird also lediglich um eine Filter-ID erweitert. Alle anderen
Funktionen führt die verteilte Netzwerkarchitektur selbsttätig aus. Das an sich sehr
schlanke Standard-RADIUS-Protokoll wird damit zur Grundlage einer hochskalierbaren
Gesamtlösung.
Im Kontext heterogener Netze, in denen nicht alle Access-Komponenten Policies
unterstützen, müssen sich oft mehrere Benutzer, wie oben beschrieben, an demselben
Port der nachgeschalteten Verteilungsschicht des Netzwerks authentifizieren. Mit den
flexiblen Enterasys-Switches der S-Serie lässt sich die benutzerabhängige Policy an die
jeweils involvierte MAC-Adresse koppeln.
Die folgende Grafik verdeutlicht das Konzept der beschriebenen Distribution Layer
Security. Ihre Vorteile sind:
 Integration Tausender unterschiedlicher Benutzer,
 Vielfältige Authentifizierungsmethoden (802.1x, MAC, PWA, CEP…),
 mehrere unterschiedlicher Regelsets (Policies) am selben Uplink-Port.
Multiuser-Authentifizierung
Sicherer Gastzugang mit Default Policies
Mitarbeiter von Unternehmen werden zusehends mobil. Gleichzeitig wollen Sie von
überall auf Ihre im zentralen Firmenserver gespeicherten Informationen zugreifen, im
Web recherchieren oder auf andere Weise an der IT-Infrastruktur des jeweiligen
25
Aufenthaltsortes partizipieren. Gastzugänge für die mobilen Endgeräte
von
Praktikanten, Besuchern, Wartungstechnikern oder auch Mitarbeitern spielen daher in
Unternehmensnetzen eine immer wichtigere Rolle. Netzwerke müssen diese
kontinuierlich steigenden Mobilitätsanforderungen unterstützen. Der Administrator muss
einen heiklen Balanceakt bewältigen. Einerseits soll er diesen Bedarf befriedigen, ohne
andererseits die Sicherheitsrichtlinien des Unternehmens zu kompromittieren.
Einige der Gäste, besonders solche, die regelmäßig im Unternehmen sind, lassen sich in
der Organisation registrieren und technisch mittels Web Authentication und einer
restriktiven Policy in das Sicherheitskonzept einbinden. Für die oft vielen sporadisch
anwesenden Besucher ist das zu viel Aufwand. Eine einfache Lösung muss her, die ohne
Eingriff des Administrators funktioniert.
Der Schlüssel hierzu ist die Default Policy. Sie gestattet einem nicht authentifizerten
Benutzer nur minimalen Zugriff auf die Netzwerkinfrastruktur. Zu einer solchen
„Grundversorgung― gehören beispielsweise der Zugriff auf VPN-, HTTP-, DHCP– und DNSServices sowie der Zugang zum Web-Proxy des Unternehmens. Eine Begrenzung der
nutzbaren Bandbreite verhindert exzessiven Gebrauch. Der Gast erhält also an jedem
freigegebenen Port Basisdienste, bleibt aber von den internen Ressourcen der ITInfrastruktur ausgeschlossen.
Aber vordefinierte Regelwerke (Default Policies) eignen sich auch für andere Szenarien.
Die Softwareverteilung etwa findet meist nach Büroschluss statt. Mit einer Regel lässt
sich sicherstellen, dass der Server zwecks Update auch dann auf ein Gerät zugreifen
kann, wenn der Anwender abgemeldet ist.
Default Policies machen also ein sicheres Netzwerk so flexibel, dass sich
Spezialaufgaben erfüllen lassen, ohne die Sicherheit durch manuelle Konfiguration von
Ausnahmen und Lücken zu kompromittieren.
RFC 3580 und Distribution Layer Security
Besonders bei kostengünstigen Switches werden Anwender gemäß RFC 3580 meist fest
einem VLAN zugeordnet. RFC 3580 ergänzt die Authentisierungsantwort des RADIUSServers um eine VLAN-ID, anhand derer der Switch dem User Port ein entsprechendes
VLAN zuweist. Im Folgenden wird dargestellt, wie man solche Umgebungen in Secure
Networks™ integriert.
26
Enhanced Policy mit RFC 3580
In dem abgebildeten Beispiel agiert der Distribution Layer Switch nicht als
Authentifizierungsinstanz, sondern weist den eingehenden Frames anhand der VLAN-ID
ein entsprechendes Regelset zu. Damit können nur solche Clients unkontrolliert
miteinander kommunizieren, die am selben Access-Switch und im selben VLAN arbeiten.
Auch die Abbildung von VLAN-Zuordnungen auf Rollenbeschreibungen erfolgt zentral im
Policy Manager und lässt sich flächendeckend an alle Switche kommunizieren.
Port Protection
Im Gegensatz zum Policy Enforcement direkt am Zugangsport bleibt bei allen Szenarien,
bei denen Sicherheitsmechanismen auf der Verteilebene realisiert werden, ein
Restrisiko. Denn die Zugangskontrolle findet erst in einer nachgelagerten Instanz statt.
Port Protection oder Private VLAN, erlauben den Datenaustausch ausschließlich in
Richtung definierter (Uplink-)-Ports. Also fließt die gesamte Kommunikation des Switches
direkt in die Verteilebene, wo die Zugriffsregeln zugewiesen werden. So kommt es nicht
zu unkontrolliertem Verkehr innerhalb des Switches oder VLANs.
27
Policy Enforcement in der Praxis
Auf den ersten Blick wirkt eine Netzwerkarchitektur mit Distribution Layer Security
hochkomplex und kaum zu handhaben. Daher sollte man LANs nur schrittweise in
abgestuften Phasen in sichere Netzwerke überführen. Die Phasen können je nach der
individuellen Situation variieren. Es folgt ein Beispiel für dieses Vorgehen:
Schritt 1 – Bestandsaufnahme und Situationsanalyse
Die Bestandsaufnahme ist grundlegend für alle weiteren Überlegungen. Sie sollte
folgende Fragen klären:
 Welche Komponenten sind im Netz aktiv, welche Funktionen und Eigenschaften
sind verfügbar?
 Welche Verkehrsbeziehungen bestehen zwischen Endgeräten und Servern?
 Welche Dienste werden genutzt? Welche sollten fallweise restriktiv behandelt
werden?
 Welche Authentifizierungsmethoden können/müssen eingesetzt werden? Welche
Methoden unterstützen die Betriebssystemplattformen der Endgeräte?
Schritt 2 - Management
Die Einrichtung des Netzwerkmanagements verdient besondere Aufmerksamkeit. Die
Auswertung von SNMP-Traps und Syslog-Meldungen ist wichtig, um den NetzBetriebszustand transparent darzustellen. Wurde nämlich Redundanz implementiert,
zeigen sich einzelne Ausfälle nicht mehr als Betriebsstörungen. Umso wichtiger ist es,
Teilausfälle zu erkennen, damit die Gesamtverfügbarkeit der Infrastruktur erhalten
bleibt. Zudem erfordern immer mehr intelligente Funktionen in Netzwerkkomponenten
auch mehr Kontrolle als einfaches Port-Management.
Die Enterasys NetSight Console wertet Meldungen aktiver Komponenten intelligent aus.
Gleichzeitig erledigt sie Managementaufgaben flächendeckend und geräteübergreifend.
So verbrauchen Administratoren nur wenig Zeit und Energie für wiederkehrende
Routineaufgaben und können Funktionsstörungen jederzeit gezielt lokalisieren. Die
Integration des Policy Managers in die NetSight-Installation ist der erste Schritt zu einem
sicheren Netzwerk.
Schritt 3 – Statische Regeln
Verschiedene Rahmenbedingungen verzögern die flächendeckende Einführung von
Authentifizierungsmethoden. Als Vorstufe lässt sich ein statischer Schutz errichten, der
ohne jede Authentifizierung auskommt. Dafür werden den Zugangsports einige wenige
Regeln als Standardvorgabe zugewiesen.
28
An sich ist es sehr attraktiv, mit dem Policy Manager Sicherheit an den Zugangsports zu
schaffen – gerade in kleinen und mittleren Netzen als Zwischenstufe einer Migration.
Diese statische Lösung ist jedoch nur wenig flexibel. Jeder Umzug von Endgeräten
erfordert eine Prüfung der dem Port zugewiesenen Policy.
Schritt 4 - Authentifizierung
Dieser Schritt erfordert einen Blick über den Netzwerktellerrand hinaus. Möglicherweise
wurde in Verbindung mit der zentralen Benutzerverwaltung einer VPN- oder WLANLösung ein RADIUS-Dienst ins Netz integriert.
Nun gilt es im RADIUS-Server ein Filterwerk aufzubauen. das die Gruppenzugehörigkeit
eines Users auf Betriebssystemebene auf einen entsprechenden Policy String (Filter ID)
destilliert. Dem folgt die Autorisierung der Access Switches als registrierte RADIUSClients.
Das Aktivieren der Authentifizierungsfunktion auf den Switchen ist ein wesentlicher
Migrationsschritt. Der Zugang zum Netz hängt nun nicht mehr nur von einer
physikalischen
Verbindung,
sondern
zahlreichen
weiteren
Faktoren
ab:
Endgerätekonfiguration, Switch-Einstellung, RADIUS, Directory.
Damit diese Kommunikationskette risiko- und störungsfrei funktioniert, ist eine
Pilotphase sinnvoll. Dabei wird jedem Port zunächst eine liberale Default-Policy
zugeordnet, die Anwenderaktivitäten im Netz nicht einschränkt. Ein authentifizierter User
erhält lediglich eine neue Rolle mit den gleichen Rechten. Nun kann der Administrator
risikofrei prüfen, ob die Authentifizierungsmechanismen auch unter Volllast greifen. Ist
diese Prüfung abgeschlossen, können die vorbereiteten Regelwerke aktiviert werden.
Schritt 5 – Nächste Schritte
Die Integration von Authentisierungsverfahren und Regelwerken im Access-Bereich ist
ein großer Schritt hin zu flächendeckender Netzwerksicherheit. Doch das Enterasys
Secure-Networks™-Portfolio hat weit mehr zu bieten. Die Fähigkeit, Protokolle und
Dienste auf den Layern 2, 3 und 4 flächendeckend zu kontrollieren, bildet eine solide
Basis für Präventivmaßnahmen.
Der nächste Schritt besteht darin, Missbrauch und Attacken auf der Content-Ebene oder
aufgrund von anomalem Verhalten zu erkennen und darauf zu reagieren, (siehe
Abschnitt „Detecte and Locate―). Neben der Sicherheitsüberprüfung des Benutzers stellt
sich auch die Frage, ob das Endgerät vertrauenswürdig ist. Das Kapitel „Prävention statt
Abwehr― beleuchtet Techniken, mit denen sich PCs, Laptops, Telefone und Embedded
Devices in ein erweitertes Sicherheitskonzept einbinden lassen.
29
Rückblickend hat es sich bewährt, bei Migrationen auf Secure Networks™ zunächst vor
Ort einen kundenspezifischen Workshop durchzuführen, in dem Grundlagen vermittelt,
einzelne Schritte festgelegt und Konfigurationen vorab erstellt werden können.
Enterasys Networks bietet für alle Schritte, angefangen von der Erstellung eines
Pflichtenheftes über die Planung, Implementierung und bis zur Einweisung
professionelle Unterstützung an.
Konvergenz der Netze – Quality of Service und Verfügbarkeit
Enterasys Networks hat schon immer darauf geachtet, sich so eng wie möglich an
bestehenden Standards anzulehnen und neue Standards voranzutreiben. Einige
wichtige Standards werden im Folgenden beschrieben.
QoS (Quality of Service) im Netzwerk
Um QoS in heutigen Netzwerken zu verwenden, müssen DiffServ-Qualitätsklassen
eingeführt werden. Dazu später mehr. Durch leistungsfähige Switches und Router, die
die entsprechenden Standards unterstützen, sind so die Verzögerungszeiten innerhalb
eines Netzwerks optimierbar. Die Sprachpakete erhalten auf der gesamten Strecke eine
höhere Übermittlungspriorität als beispielsweise der tägliche Mail-Verkehr. Die
Schwierigkeit besteht darin, Sprachdaten zu erkennen, um sie gegenüber den restlichen
Daten zu priorisieren.
Die Servicequalität eines Netzwerks wird als Kombination aus Verzögerungszeit,
Bandbreite und Zuverlässigkeit bewertet. Wichtig sind folgende Parameter:
 Verzögerungszeit
o Ende-zu-Ende oder Hin- und Rückweg (Round-Trip-Verzögerung)
o Varianz der Verzögerungszeit (Jitter)
o Echtzeit-Möglichkeiten
 Bandbreite
o Peak Data Rate (PDR), Spitzenübertragungsrate
o Sustained Data Rate (SDR), durchschnittliche Übertragungsrate
o Minimum Data Rate (MDR), minimale Übertragungsrate
 Zuverlässigkeit
o Verfügbarkeit in Prozent, Uptime
o Mean Time Between Failures / Mean Time To Repair (MTBF/MTTR), mittlere
fehlerfreie Laufzeit und mittlere Reparaturdauer
o Fehlerrate und Paketverlustrate
30
Die eigentliche Schwierigkeit besteht nun darin, die neuen VoIP-Dienste ausreichend
zuverlässig bereitzustellen. Nur mit einem Ende-zu-Ende-Ansatz ist das in der ITInfrastruktur möglich. Effektives Bandbreitenmanagement und eine definierte
Servicequalität lassen sich mit IntServ und DiffServ umsetzen.
Integrated Services (IntServ)
Die standardisierte Methode Integrated Services (IntServ) basiert auf der Reservierung
bestimmter Ressourcen, etwa mit dem RSVP (Resource Reservation Protocol). Hierzu
werden bestimmte Bandbreiten für einen Datenstrom (Flow) auf der gesamten Strecke
reserviert. Jedes Element in der Übertragungskette muss RSVP verstehen und die
Bandbreiten für die entsprechenden Flows reservieren. Hier liegt auch die wichtigste
Schwachstelle von RSVP: Meist versteht nicht jeder Router in der Kette RSVP - schon gar
nicht im Internet. Weiterhin muss jeder Router diese Informationen dynamisch vorhalten
und als so genannte Soft States ablegen. Das kann bei vielen Flows sehr
prozessorintensiv sein.
Die Zugriffskontrolle für die Netzwerkressourcen ist eine weitere Herausforderung. Für
RSVP braucht man einen zentralen Policy Server. 1999 entstand die IETF Policy
Framework Working Group. Die Resource Admission Policy Working Group der IETF
kümmerte sich um die Standardisierung von COPS (Common Open Policy Server). COPS
arbeitet mit einer IntServ/RSVP (Integrated Services / Resource Reservation Protocol)Umgebung zusammen. Die Kommunikation zwischen PDP (Policy Decision Point) und
PEP (Policy Enforcement Point) übermittelt RSVP-/RESV-Anfragen und lässt sie zu. Das
Konzept skaliert aber wie RSVP leider nicht ausreichend für große Netzwerke, daher gibt
es nur wenige COPS Implementierungen.
Policy Based Networking mit COPS
31
Insgesamt hat sich der Integrated-Services-Ansatz nicht durchsetzen können.
Stattdessen wird meist DiffServ verwendet.
Differentiated Services
Differentiated Services (DiffServ) setzen auf OSI-Layer 3 auf. Für DiffServ wird das ToS
(Type of Service)- Feld im IP-Header genutzt. Im Gegensatz zu IntServ braucht DiffServ
keine Ende-zu-Ende-Signalisierung der Datenflows. Die einzelnen Datenpakete werden
zunächst klassifiziert und anschließend entsprechend ihrer Prioritäten über das
Netzwerk transportiert. Damit ist es möglich, zwischen bestimmten Dienstklassen (Class
of Service, CoS) innerhalb einer DiffServ-Domäne zu differenzieren, um den
unterschiedlichen Anforderungen der verschiedenen Applikationen gerecht zu werden.
Die Netzwerkkomponenten klassifizieren das Datenpaket und leiten es dann priorisiert
weiter. Diese Form der Weiterleitung wird als Per-Hop Forwarding Behavior (PHB)
bezeichnet. PHB beschreibt generell die Zuteilung bestimmter Bandbreiten- und
Speicherressourcen
sowie
die
angeforderten
Verkehrscharakteristika
wie
Verzögerungszeit oder Paketverluste. Damit ist eine Differenzierung in verschiedene
Dienstklassen möglich.
DiffServ-Feld
Als Unterscheidungsmerkmal zwischen den verschiedenen PHB-Weiterleitungsklassen
dient der DiffServ Codepoint (DSCP). Er besteht aus den ersten sechs Bit im IPv4-ToSFeld. In RFC 2474 wurde das ToS-Feld im IPv4-Header in DS (DiffServ)-Feld umbenannt.
Damit sind maximal 64 Prioritätsklassen möglich.
32
Zur Zeit sind folgende DSCP-Werte definiert; die anderen sind noch reserviert oder
stehen für experimentelle Zwecke zur Verfügung.
DSCP
Binary
Default
Decimal
DSCP
Binary
Decimal
000000 0
AF31
011010 26
CS1
001000 8
AF32
011100 28
AF11
001010 10
AF33
011110 30
AF12
001100 12
CS4
100000 32
AF13
001110 14
AF41
100010 34
CS2
010000 16
AF42
100100 36
AF21
010010 18
AF43
100110 38
AF22
010100 20
CS5
101000 40
AF23
010110 22
EF
101110 46
CS3
011000 24
CS6
110000 48
CS7
111000 56
Die Default Klasse ist für nicht speziell klassifizierten Traffic und entspricht damit der IP
Precedence 0.
33
Per Hop
Behaviour
(PHB)
Diffserv Code Point (DSCP)
Default
000000
Assured
Forwarding
Expedited
Forwarding
IP
Precedence
0
Low Drop Medium High Drop
Probability Drop
Probability
Probability
Class 1 AF11
001010
AF12
001100
AF13
001110
1
Class 2 AF21
010010
AF22
010100
AF23
010110
2
Class 3 AF31
011010
AF32
011100
AF33
011110
3
Class 4 AF41
100010
AF42
100100
AF43
100110
4
EF101110
5
Die Class Selector (CS) Code Points sind rückwärtskompatibel zu anderen IPPrecedence-Werten.
Expedited Forwarding (EF, RFC 2598) stellt als Klasse geringe Latenzzeiten, wenig Jitter,
möglichst keinen Paketverlust und garantierte Bandbreite zur Verfügung.
Assured Forwarding (AF, RFC 2597) hat viele Klassen, um den Datenverkehr zu
differenzieren und das PHB mit verschiedenen Paketverlustwahrscheinlichkeiten zu
definieren.
Explicit Congestion Notification (ECN)
Die Grundidee hinter der Explicit Congestion Notification ist, dass eine
Netzwerkkomponente, die ECN unterstützt, bei Überlast im Netzwerk Pakete nicht
verwirft, sondern stattdessen weiterleitet.
Die Bits 6 und 7 des DSCP-Feldes bilden das so genannte ECN-Feld (spezifiziert in RFC
3168). Es realisiert Flusskontrolle im IP-Protokoll, wie man sie beispielsweise im WANProtokoll Frame Relay mit FECN und BECN-Bits (Forward/Backward Explicit Congestion
34
Notification) kennt.
Die ECN-Bits sind folgendermaßen definiert:
 Bit 6: ECN-Capable Transport (ECT) Bit
 Bit 7: Congestion Experienced (CE) Bit
Dabei wurde beschlossen, dass nicht nur der binäre Wert 10 (als Kombination von Bit 6
und Bit 7), sondern auch die Kombination 01 ausdrückt, dass ECN unterstützt wird. Es
ergibt sich also folgende Bedeutung:
ECT BIT
CE BIT
Bedeutung
0
0
Not-ECT (Not ECN-Capable Transport)
0
1
ECT(1) (ECN-Capable Transport - 1)
1
0
ECT(0) (ECN-Capable Transport - 0)
1
1
CE (Congestion Experienced)
Leitet nun ein Gerät bei Überlast Pakete weiter, werden diese Pakete mit dem CE Wert
markiert, sofern sie schon vorher als ECT gekennzeichnet sind. Diese Information wird
dann an den TCP-Stack weitergegeben, der daraufhin die Fenstergröße in seinem
Acknowledge-Paket heruntersetzt. Das veranlasst den Sender, die versandte
Datenmenge zu reduzieren.
Zwar ist dieses Konzept gut, dennoch scheint es fraglich, ob es in absehbarer Zeit im
Internet genutzt wird. Denn wer auf seinem Rechner bei Überlast ECN einschaltet und so
sein eigenes Datenvolumen reduziert, macht nur mehr Platz für alle anderen, die ECN
nicht nutzen. Deren Pakete haben jetzt freie Fahrt.
Ganz anders ist die Situation in einem Firmennetz, wo man mit regelbasiert durchsetzen
kann, dass alle ECN nutzen. Dort garantiert ECN bei Engpässen, insbesondere im WAN,
eine vernünftige Flusskontrolle.
IP Precedence
Das ToS (Type of Service)-Feld im IPv4 Header ist zwar mittlerweile als DS Feld für die
DSCP-Werte umdefiniert, die IP-Precedence Bits in ihrer herkömmlichen Bedeutung
werden aber immer noch oft als Alternative zu DSCP genutzt. Die ursprüngliche
Definition des ToS-Felds (Länge: 1 Byte = 8 Bits) sieht folgendermaßen aus:
35
TOS Feld
Mit den drei IP Precedence-Bits kann man dem IP-Paket einen Prioritätswert zwischen 0
und 7 zuweisen:








000 (0) - Routine
001 (1) - Priority
010 (2) - Immediate
011 (3) - Flash
100 (4) - Flash Override
101 (5) - Critical
110 (6) - Internetwork Control
111 (7) - Network Control
Die beiden höchsten Prioritäten sind für Netzwerk-Traffic reserviert. So schicken zum
Beispiel Routingprotokolle ihre Nachrichten meist mit der IP Precedence 6 (Internetwork
Control). Verzögerungssensitive Daten wie Sprache werden im Allgemeinen mit der IPPrecedence 5 versandt. Während der Standardwert für normale Daten die IP
Precedence 0 ist, kann man mit den verbleibenden Werten von 1-4 den Datenverkehr
weiter differenzieren und priorisieren.
Die weiteren Bits des ToS-Feldes sollten eigentlich Verzögerung, Durchsatz, die
angestrebte Zuverlässigkeit und Kosteninformationen routen. Das letzte Bit war immer
noch ungenutzt und musste deswegen auf 0 gesetzt sein (MBZ Must Be Zero).
Routingprotokolle wie OSPF unterstützen zwar laut Definition die Auswertung der ToSBits, allerdings gibt es keine Implementierungen, die dies auch wirklich tun.
Bei der Wahl der bisher definierten DSCP-Werte hat man Wert auf
Rückwärtskompatibilität gelegt. So wird zum Beispiel VoIP-Traffic mit Expedited
Forwarding EF = 101110 versandt, die ersten drei Bits entsprechen also dem IP
Precedence Wert 5.
Betrachtet man andere Lösungen, um die Servicequalität festzulegen, beispielsweise
IEEE 802.1p für Ethernet oder die Experimental Bits für MPLS (Multiprotocol Laben
Switching), finden sich auch hier drei Bits, um Prioritäten darzustellen. Nutzt man diese
36
QoS-Verfahren, so werden im Allgemeinen die drei IP-Precedence-Bits in die
entsprechenden Felder für IEEE 802.1p oder MPLS kopiert.
Die Servicequalität mit IP-Precedence-Werten zu definieren, ist also trotz der neueren
Technik mit DSCP-Werten noch aktuell und wird es in absehbarer Zeit auch bleiben. Die
Produkte von Enterasys Networks unterstützen beide Varianten.
Priorisierung nach IEEE 802.1p
Der Standard IEEE 802.1p ist ein weiterer Ansatz zur Verbesserung der Servicequalität.
802.1p veranlasst, dass bestimmte Datenpakete auf dem Netzwerk priorisiert
übertragen werden. Man versieht die Datenpakete mit einer Markierung, die
entsprechend dem Ende-zu-Ende-Ansatz von jedem Glied der Kette erkannt und
entsprechend priorisiert übertragen wird. Beispiele für diesen Ansatz sind IEEE 802.1p
und Differentiated Service (DiffServ). IEEE 802.1p erweitert IEEE 802.1d: Ein
Markierungssegment (Tag) wird in das Datenpaket eingeschoben. Es ist zwei Byte lang
und ermöglicht die Prioritätenvergabe durch drei Bits (entsprechend acht
Prioritätsklassen) und die Bildung von Virtuellen LANs (VLANs) nach IEEE 802.1q, was
der Priorisierung von Daten auch auf Layer 2 entspricht.
IEEE 802.1p-Tag
Queuing-Verfahren
Mit DSCP, IP Precedence und IEEE 802.1p lassen sich Paketen durch Markierungen
bestimmte Servicequalitäten zuweisen. Damit der gewählte Service tatsächlich ablaufen
kann, braucht man dedizierte Verfahren zum Aufbau und zur Abarbeitung von
Warteschlangen (Queuing-Verfahren). Enterasys-Geräte unterstützen verschiedene
Queuing-Methoden wie Strict, Hybrid oder Weighted Round Robin. Dabei existieren für
37
jeden Port mehrere in Hardware realisierte Queues. Während kleinere Geräte meist vier
fest verdrahtete Queues pro Port haben, bietet die N-Serie bis zu 16 pro Port, abhängig
vom Modultyp.
Fifo Queuing
Am einfachsten ist das Fifo (First in, first out)-Queuing: Die Pakete werden in der
Reihenfolge auf einen Ausgangsport weitergeleitet, in der sie ihm zugeordnet wurden.
Dieses Verfahren ist als Vorgabe auf allen Ports aktiv geschaltet und gilt auch für alle
Subqueues bei den komplexeren Queuing-Methoden.
Strict Priority Queuing
Beim streng prioritätsgesteuerten (Strict Priority) Queuing werden den verschiedenen
Subqueues Prioritäten zugeordnet und diese dann streng entsprechend dieser Priorität
abgearbeitet. Solange in den Queues der höchsten Priorität Pakete auf Weiterleitung
warten, werden diese weitergeleitet. Erst wenn diese Queues geleert sind, wird die
Queue mit der nächstniedrigeren Priorität bearbeitet.
So verlassen die Pakete mit der höchsten Priorität das Gerät mit minimaler Verzögerung.
Daher wird Strict Priority Queuing gerne für VoIP-Pakete genutzt. Allerdings muss man
bei Planung der Priorisierung und Klassifizierung der Pakete sehr vorsichtig sein. Werden
zu viele Pakete unangebracht hoch priorisiert, werden Datenströme der unteren
Prioritätsklassen nicht mehr weitergeleitet, da die höher eingestuften Pakete die
vorhandenen Kapazitäten vollständig verbrauchen.
38
Weighted Round Robin Queuing
Weighted Round Robin Queuing
Beim Weighted-Round-Robin-Queuing werden die verschiedenen Queues abwechselnd
bedient. Um den Traffic aber unterschiedlich gewichten zu können, erhält jede Queue
einen bestimmten Prozentsatz der vorhandenen Kapazität, also ein „Gewicht― (Weight).
Durch eine höhere Gewichtung (einen höheren Prozentsatz) bekommen Pakete der
zugehörigen Queue also einen besseren Service. Gleichzeitig ist gewährleistet, dass
jeder Queue eine gewisse Bandbreite zusteht.
Hybrid Queuing
Hybrid Queuing
Hybrid Queuing ist eine Mischung von Priority- und Weighted-Round-Robin-Queuing. Es
vereinigt Vorteile beider Verfahren. Dabei wird einem Weighted-Round-Robin-Queuing
39
eine Priority-Queue vorgelagert. Letztere wird im Allgemeinen für VoIP-Pakete oder
vergleichbaren zeitsensiblen Traffic genutzt. Da die entsprechenden Pakete
normalerweise wenig Bandbreite benötigen, ist die Gefahr, dass der übrige Traffic
verhungert, gering. VoIP Pakete werden aber bevorzugt behandelt, um kurze
Latenzzeiten zu garantieren. Der übrige Traffic erhält gemäß dem Weighted-RoundRobin-Verfahren die ihm zugestandene Bandbreite.
Rate Limiting und Rate Shaping
Manchmal ist es auch nötig, die von bestimmtem Verkehrsarten genutzte Bandbreite zu
begrenzen. Dies ist durch strikte Bandbreitenbegrenzung (Rate Limiting) oder das
weniger strikte Rate Shaping möglich. Rate Limiting lässt sich für ankommende (Inbound
Rate Limiting) oder ausgehende (Outbound Rate Limiting) Pakete festlegen. Dabei
werden Pakete, welche die konfigurierte Rate überschreiten, verworfen. Beim Rate
Shaping versucht man, den Bandbreitenverbrauch innerhalb der vorgegebenen Rate zu
halten, indem man Pakete zwischenspeichert. Das Verfahren ist daher nur für
ausgehenden Traffic sinnvoll.
Zur Konfiguration von QoS auf Enterasys-Komponenten finden Sie weitergehende
Informationen unter
http://secure.enterasys.com/support/manuals/hardware/QoS.pdf
Power over Ethernet
In konvergenten Netzen müssen mehr und neuartige Geräte mit Strom versorgt werden,
zum Beispiel IP-Telefone. Verwendet man PoE (Power over Ethernet) muss keine
zusätzliche Stromversorgung zu den Endgeräten verlegt werden, was deren Installation
vereinfacht. Bei IP-Telefonen erspart man den Endanwendern so, dass gleich zwei Kabel
des Telefons (Strom und Daten) auf dem Schreibtisch liegen, wobei das Stromkabel
meist noch ein externes Netzteil enthält. Ansonsten ist PoE vor allem für Wireless APs
(Access Points), Kartenlesegeräte oder Kameras interessant. Es gibt aktuell 2 Standards
.af und .at
Der Standard IEEE 802.3af ergänzt 802.3 und beschreibt die Stromversorgung mit
Gleichstrom über 10-, 100- und 1000Base-T-Twisted Pair-Verkabelung. Dabei sind auf
jedem Port ausgangsseitig maximal 15,4 Watt Leistung bei einer Spannung bis zu 48
Volt verfügbar, wobei sich die Verbraucher auch mit geringerem Maximalverbrauch
anmelden können, wenn die optionalen Klassen 1 (max. 4 W) oder 2 (max. 7,0 W)
unterstützt werden. Unter Berücksichtigung der Verlustleistung auf den Leitungen darf
das Endgerät dann eingangsseitig maximal 12,95 W respektive 3,84 W bei Klasse 1 und
6,49 W bei Klasse 2 verbrauchen. Der gelieferte Strom wird dabei auf jedem der Ports
40
ständig überwacht, so dass das Strom einspeisende Gerät (Power Sourcing Equipment,
PSE), also der Switch, entscheiden kann, ob ein neu hinzugekommener Port überhaupt
noch mit Strom versorgt werden darf. Ist die insgesamt verfügbare Leistung des
Switches überschritten, wird ein neuer Port nicht mit Strom versorgt und damit eine
Überlastung verhindert. Die Überwachung der PoE-spezifischen Porteigenschaften
mittels SNMP (Simple Network Management Protocol) wurde durch die IETF in RFC 2665
standardisiert.
IEEE 802.3af-fähige Geräte müssen diverse Anforderungen erfüllen. Die wichtigsten
beziehen sich auf die Kompatibilität zwischen PoE- und nicht PoE-fähigen Geräten.
Schließlich darf beim Anschluss eines nicht PoE-fähigen Geräts an einen PoE-fähigen
Switch kein Gerät durch eine Überspannung beschädigt werden. Weiterhin muss PoE
über die vorhandene (drahtgebundene) Ethernetverkabelung möglich sein (Cat3, Cat5,
Cat5e und Cat6). Offiziell bezeichnet der Standard die stromeinspeisenden Geräte als
PSE (Power Sourcing Equipment).
Um PoE mit PoE-fähigen und nicht PoE-fähigen Switchen einsetzen zu können, sind zwei
Methoden der Stromeinspeisung vorgesehen: durch den Switch direkt oder über
sogenannte Midspan-Geräte, die in das Kabel zwischen Switch und Verbraucher
eingeschleift werden.
Es gibt zwei Gründe warum man die Kombination aus Switch und Midspan-Gerät statt
PoE-fähiger Switches einsetzt: Alte Switches unterstützen den Standard erstens noch
nicht. Und zweitens lohnt es sich manchmal aufgrund nur weniger nötiger PoE-Ports
nicht, alle Switches mit PoE auszustatten.
PoE kann Strom über die Datenleitungen und über die bei Ethernet/Fast Ethernet
ungenutzten Adernpaare 4,5 und 7,8 übertagen. Bei Gigabit Ethernet erfolgt die
Einspeisung immer über Leitungspaare, die auch für die Datenübertragung genutzt
werden.
PoE-fähige Switches
41
Diverse Geräte von Enterasys können als PSE arbeiten: Bei der S-Serie versorgt ein 48Port-10/100Base-TX-Board mit externem Powershelf die PoE-Geräte. Beim N5
übernehmen vier integrierte, modulare 1200-Watt-PoE-Netzteile diese Aufgabe. Die
gesamte A/B/C-Serie ist ebenfalls als PoE-Variante erhältlich.
Mehr Power – IEEE 802.3at
IEEE 802.3at ist ein Standard zur Weiterentwicklung von Power over Ethernet. Ziel der
auch als PoE+ bezeichneten Initiative ist es, über die vier Adern eines Kabels, das
zumindest den Spezifikationen von Ethernet-Kategorie-5 (Cat5) entspricht, bis zu 56
Watt Leistung zu übertragen. 56VDC, 30W
Damit kann man Geräte mit höherem Leistungsbedarf wie IEEE 802.11n APs direkt über
ein Kabel mit Strom versorgen.
Verfügbarkeit im Netz
Heute ist Business ohne IT und Netzwerkinfrastruktur kaum noch denkbar.
Dementsprechend wichtig ist es, dass das Netzwerk, die darauf laufenden Services und
die Endgeräte permanent zur Verfügung stehen. Um das zu realisieren, sollte man vor
allem auf Standards setzen.
Redundanz
Unter hoher Verfügbarkeit versteht man, dass die über das Netzwerk operierenden
Dienste wie VoIP, SAP, etc. weitgehend unbeeinflusst von Ausfällen oder
Umstrukturierungen im Netzwerk bleiben. Dafür müssen die einzelnen Schichten der
Netzwerkkommunikation einzeln betrachtet und gesichert werden.
Für die eigentliche Sicherung gibt es zwei grundlegende Ansätze: erstens die zu
sichernde Komponente so stabil wie möglich zu machen und zweitens Redundanz (zum
Beispiel in Form eines zweiten Gerätes) aufzubauen. Das Zweitgerät oder die
Ersatzverbindung realisieren im Notfall alle Funktionen der ausgefallenen Komponente.
Im Folgenden werden die einzelnen Netzwerkschichten zusammen mit den verfügbaren
Redundanzen vorgestellt.
Layer1 – physikalische Redundanzen
Die physikalische Schicht besteht aus der Hardware der grundlegenden Komponenten:
etwa redundante Stromversorgungung durch mehrere Netzteile, verbunden mit
verschiedenen Versorgungspfaden. Zur Layer-1-Sicherheit gehört auch, dass die
Standorte der Netzwerkkomponenten physikalisch zum Beispiel durch Türsicherungen
abgesichert werden – was nutzt die sicherste Firewall, wenn sie öffentlich zugänglich in
42
einem nicht abgeschlossenen Rack im Lager steht?
Datenübertragungsschicht
Auf der Datenübertragungsschicht oder Layer 2 gibt es in Abhängigkeit von der
eingesetzten Technologie verschiedene Verfahren, Redundanzen herzustellen - In der
Regel durch zusätzliche Leitungen beziehungsweise physikalische Übertragungswege in
einem Layer-2-Netzwerk (Broadcast Domain). Bei Ethernet ermöglichte der SpanningTree-Algorithmus diese Redundanz, später kamen Weiterentwicklungen wie Rapid
Spanning Tree und Spanning Forest dazu, um schnellere Konvergenz im Fehlerfall und
die Verwaltung von Spanning Trees in einer VLAN-Umgebung möglich zu machen.
Link Aggregation IEEE 802.3ad
Mehrere physikalische Links zwischen zwei Switches dienen oft nur der Redundanz.
Dann kann man eine Redundant-Port-Lösung auf Layer 1 oder Spanning Tree als
Protokoll auf Layer 2 einsetzen, um Endlosschleifen (Loops) und damit BroadcastStürme zu verhindern.
Link Aggregation
Eine bessere und gerne genutzte Möglichkeit besteht darin, die physikalischen Links zu
einem logischen Link zu bündeln und so gleichzeitig Redundanz herzustellen und die
Bandbreite zu erhöhen. Enterasys bot diese Technik früher unter der Bezeichnung
Smarttrunk mit dem proprietären Huntgroup-Protokoll an, heute unterstützen alle neuen
Enterasys-Switches den Standard IEEE 802.3ad - Link Aggregation. Es ist zwar möglich,
Bündel physikalischer Links statisch zu einem virtuellen Link zu bündeln. Besser ist es
aber, ein Kontrollprotokoll zu nutzen. Denn damit lässt sich prüfen, ob die dazugehörigen
Links auch sauber laufen und die Switches an beiden Enden der Verbindung dieselben
Ports ins virtuelle Link integrieren.
43
Aktuelle Switches, die nach dem Standard IEEE 802.3ad arbeiten, kommunizieren über
LACP (Link Aggregation Control Protocol). Dabei entstehen virtuelle Links, die als LAG
(Link Aggregation Group), bezeichnet werden. Alle Links auf demselben virtuellen LAGPort müssen gleich konfiguriert sein und Full Duplex (also in Hin- und Rückrichtung) die
gleiche Geschwindigkeit unterstützen. Der Switch behandelt dann den virtuellen LAGPort bei der Konfiguration wie einen ganz normalen physikalischen Port. Der LAG-Port
kann also zum Beispiel einem VLAN angehören oder als IEEE 802.1q-Trunk definiert
werden.
In einem Chassis-basierten System und einem Stack aus mehreren Switches lässt sich
ein LAG-Port aus Ports verschiedener Module bilden. Das erhöht die Ausfallsicherheit,
denn selbst falls ein ganzes Board ausfällt, bleiben die beiden Chassis-basierten
Switches verbunden.
Der Standard IEEE 802.3ad sorgt für Interoperabilität zwischen verschiedenen
Herstellern. Zusätzlich sind Switches von Enterasys Networks standardmäßig so
vorkonfiguriert, dass sie automatisch eine LAG-Port Gruppe bilden, wenn sie mit einer
entsprechenden Gegenstelle verbunden werden. Sollte es aber nötig sein, einen
Enterasys-Switch mit einer Gegenstelle zu verbinden, die kein LACP unterstützt, kann
man den LAG-Port auch statisch konfigurieren. Man verzichtet dann zwar auf das
Kontrollprotokoll, das vor Fehlern und Netzproblemen durch Fehlkonfiguration schützt,
kann aber trotzdem die Vorteile eines virtuellen, gebündelten Links nutzen.
Der Datenverkehr lässt sich mit verschiedenen Methoden auf die physikalischen Links
verteilen, etwa durch ein einfaches Round-Robin-Verfahren oder basierend auf den MACoder IP-Adressen der Pakete. Meist sorgt die Analyse von Absender- und Ziel-IP für eine
ausgewogene Verteilung auf die physikalischen Links. Diese Methode ist daher auch auf
der S-Serie voreingestellt.
IEEE 802.3ad und Spanning Tree schließen sich natürlich nicht aus. Während IEEE
802.3ad Link Aggregation immer zwischen zwei direkt miteinander verbundenen
Switches läuft, kann und sollte man weiterhin Spanning Tree nutzen, um Loops im
gesamten geswitchten Layer-2-Netz zu verhindern. Spanning Tree betrachtet dann bei
der Berechnung des „Verbindungsbaumes― den logischen LAG-Port statt der zugehörigen
physikalischen Ports. Auch die Kosten für diesen virtuellen LAG-Port entsprechen dabei
der Summe der Bandbreiten aller zugehörigen physikalischen Ports.
Spanning Tree IEEE 802.1d
Der Spanning-Tree-Algorithmus verhindert Loops auf der Datenübertragungsschicht.
Denn Broadcasts können in einem Ethernet-Netzwerk mit redundanten Pfaden
44
unendlich lang kreisen. Dadurch verringern sie die verfügbare Bandbreite immer weiter,
bis kein normaler Datenverkehr mehr möglich ist.
Um Loops zu verhindern, tauschen die Netzwerkkomponenten (Switches) eines Layer-2Netzwerks untereinander Nachrichten aus, die sich vom normalen Datenverkehr
unterscheiden. Anhand dieser Nachrichten wird dann eine der Komponenten zur Wurzel
der Spanning-Tree-Baumstruktur. Alle anderen Komponenten gliedern sich in diese
Struktur ein. Pfade, die nicht innerhalb der Baumstruktur liegen (also redundante Pfade)
werden dabei ausgeschaltet.
Kommt ein neuer Switch oder Link hinzu oder fällt ein Switch aus, wird diese
Baumstruktur neu berechnet. Solange sie nicht vollständig aufgebaut ist, leiten die
Switche nur solche Nachrichten weiter, die für den Aufbau der Baumstruktur relevant
sind. Solange die Struktur also nicht vollständig ist, bleibt der normale Datenverkehr im
Netzwerk unterbrochen. Die Neuberechnung der Baumstruktur dauert typischerweise
bis zu 60 Sekunden.
Zur Konfiguration von Spanning Tree auf Enterasys-Komponenten finden Sie weitere
Informationen unter: http://secure.enterasys.com/support/manuals/hardware/STP.pdf
Rapid Spanning Tree IEEE 802.1w
IEEE 802.1d wurde entwickelt, als es noch ausreichte, wenn sich das Netz nach einem
Ausfall in etwa einer Minute erholte. Heutzutage sind solche Ausfallzeiten nicht mehr
akzeptabel. Um schnellere Konvergenzzeiten zu ermöglichen, wurde Spanning Tree zum
Rapid Spanning Tree Protocol (RSTP) weiterentwickelt. Prinzipiell wird dabei die
Baumstruktur wie bei STP berechnet. Die Nachrichten, welche die Switches
austauschen, enthalten aber mehr Informationen. Außerdem wurde die Verarbeitung der
Nachrichten verbessert.
Die wichtigste Neuerung im IEEE 802.1w-Standard (RSTP) besteht darin, einen Port
schneller in den Forwarding-Modus zu bringen, in dem normale Datenpakete
ausgetauscht werden. Bei STP werden die Ports erst dann aktiviert, wenn der gesamte
Baum konvergiert ist. Der neue Standard aktiviert Ports früher. Um das zu erreichen,
können Endnutzerports als so genannte Edge Ports konfiguriert werden. Diese Edge
Ports aktivieren sich sofort, wenn der Port angesprochen wird. Die entsprechende
Konfigurationsoption heißt adminedge=true. Außerdem können auch Ports in der
Infrastruktur bei Fehlern schneller auf einen alternativen Port in Richtung des RootKnotens umschalten, da die RSTP-Switches aktiv Rückmeldungen austauschen. In
entsprechend konfigurierten Netzwerken sinkt so die Zeit, bis die Baumstruktur nach
Fehlern wieder funktioniert, auf wenige hundert Millisekunden.
45
VLANs gemäß IEEE 802.1q
Mit VLANs kann man die vielen physikalischen Ports eines Switches logisch in
Portgruppen unterteilen, die getrennte Broadcast Domains bilden. Der Standard IEEE
802.1q beschreibt, wie man Daten, die zu einer bestimmten logisch separierten
Portgruppe gehören, eindeutig kennzeichnet und sie so markiert an einen anderen
Switch transportiert. Der Link, über den diese markierten Pakete transportiert werden,
heißt Trunk. Am Ziel werden die Daten wieder den einzelnen Gruppen zugeordnet und,
falls die Gruppen auf diesem Switch ebenfalls existieren, zu den entsprechenden Ports
geschickt. So lässt sich eine logische Struktur von Broadcast Domains über eine
physikalisch vorgegebene Struktur untereinander verkabelter Switches legen. Dadurch
können die Mitarbeiter einer Abteilung mit ihren Rechnern derselben Broadcast Domain
zugeordnet werden, obwohl die Abteilung auf verschiedene Gebäude verteilt ist.
Multiple Spanning Trees IEEE 802.1s
MST (Multiple Spanning Trees) ergänzt den VLAN-Standard IEEE 802.1q um schnelle
Konvergenz und Lastverteilung in einer VLAN-Umgebung. RSTP (IEEE 802.1w) wurde
erweitert, um mehrere Spanning Trees zu unterstützen.
Mit MST kann man mehrere Spanning-Tree-Instanzen über Trunks hinweg aufbauen.
Dabei können in Gruppen zusammengefasste VLANs einzelnen Spanning-Tree-Instanzen
zugeordnet werden. Die Topologien der Instanzen sind dabei unabhängig voneinander.
Dafür werden die Spanning-Tree-Parameter wie Root-Priorität etc. für jede Instanz
angepasst. So verteilt man die Verkehrslast für unterschiedliche-VLAN Gruppen über
redundante Layer-2-Wege. MST benutzt dabei MSTP (Multiple Spanning Tree Protocol,
IEEE 802.1s), eine modifizierte Variante von RSTP.
Netzwerkschicht
Auf der Netzwerkschicht entsteht Redundanz hauptsächlich durch intelligente
Routingprotokolle wie OSPF (Open Shortest Path First, RFC 2328) und die bessere
Erreichbarkeit des Default-Gateways mit VRRP (Virtual Router Redundancy Protocol).
Dafür müssen schon auf der Netzwerkebene verschiedene Wege zum selben Ziel
vorhanden sein.
Shortest Path Bridging
Shortest Path Bridging (SPB) ist eine Computernetzwerktechnologie, welche die
Konfiguration und den Betrieb von Netzwerken stark vereinfacht. SPB reduziert
Bedienungsfehler durch seinen „Zero-touch-Core― Ansatz und ermöglicht optimale
Bandbreitenausnutzung und Lastverteilung via „Shortest-path― und „Multi-path―-Routing.
46
Shortest Path Bridging (IEEE 802.1aq) wurde als Ersatz für die älteren Spanning Tree
Protokolle (IEEE 802.1D STP, IEEE 802.1w RSTP, IEEE 802.1s MSTP) entwickelt, welche
Verkehr auf alle bis auf einen Netzwerkpfad blockieren. Im Gegensatz dazu ermöglicht
IEEE 802.1aq (Shortest Path Bridging SPB) alle Pfade aktiv zu nutzen und unterstützt
viel größere und flexiblere Layer-2 Topologien. Es hat eine kürzere Konvergenzzeit und
verfügt über volle Unterstützung der Netzwerkvirtualisierung durch den Einsatz einer
Service ID im SPB Netz anstelle von VLAN Ids.
Stark vereinfacht lässt sich Shortest Path Bridging dadurch darstellen, dass jeder Switch
in der SPB Domäne den Spanning Tree zu allen anderen Knoten berechnet. Da alle
Knoten via IS-IS permanent Daten zur Topologie austauschen, können auch während
des Betriebs neue Knoten der Domäne hinzugefügt werden. Von den speziellen
Topologiebäumen eines jeden Switches abgesehen, wird ebenfalls noch der sogenannte
Common Internal Spanning Tree (CIST) berechnet. Der CIST ist im Grunde nichts anderes
als der „normale― Spanning Tree, der die Abwärtskompatibilität zu älteren Switches ohne
SPB Unterstützung gewährleistet und darüber hinaus auch im Notbetrieb zur Verfügung
steht, falls es Probleme mit der SPB Konfiguration geben sollte.
Jeder Switch verfügt so über eine Liste aller potentiellen Ziele im Netz und über welche
Pfade die Daten zu versenden sind. Mit diesen Informationen kann jeder Switch dann
einen Reverse-Path Forwarding Check durchführen und somit verhindern, dass ein Loop
entsteht. Die Gewissheit, über welchen Weg die Daten gesendet werden, erlaubt auch
die vollständige Kompatibilität zu den etablierten IEEE Standards – insbesondere der
OAM Suite.
Wie auch bei SPT, bietet SPB die Möglichkeit zur Gewichtung der einzelnen
Verbindungen. Als Besonderheit gilt hier jedoch, dass Verbindungen mit gleichen Kosten
nicht einfach abgeschaltet werden, sondern via Equal-Cost Multi-Path ein Möglichkeit zur
Lastverteilung über symmetrische Hin- und Rückrouten besteht. Obwohl SPBM ganze 16
47
Standard Algorithmen zur Lastverteilung spezifiziert, bietet SPBV leider nur einen an.
Enterasys bietet hier jedoch auch die Möglichkeit einen weiteren propietären
Algorithmus um die Lastverteilung über zusätzliche Verbindungen realisieren zu können.
Um all dies nutzen zu können, muss also SPB irgendwie ankommende Daten markieren
können und mit einer Service ID versehen. Im Grunde genommen nicht unähnlich zum
Label Tagging in MPLS. SPBV benutzt hierfür das VLAN Tag und SPBM eine MAC-in-MAC
Enkapsulierung.
Dabei ist zu beachten, dass SPBV kein Q-in-Q verwendet, sondern VLAN Translation.
Damit werden ankommende Frames am Rand der SPB Domäne entsprechend dem Ziel
und des VLANs mit einer Service-ID versehen, die das bestehende VLAN überschreibt.
Wenn die Daten dann die Domäne verlassen, so wird das VLAN Tag wieder „zurück―
getauscht und kann zugestellt werden.
Da SPBV das VLAN Tag zur Identifikation der Service ID benutzt, die wiederrum für jeden
Switch eindeutig einen Verbindungsbaum zu allen anderen Switches darstellt, lässt sich
somit als Faustregel die Anzahl benötigter VLAN Ids ermitteln: (Anzahl Switches x Anzahl
Basis VLANs) + Anzahl Basis VLANs
Die Basis VLANs müssen zum Schluss noch einmal drauf gerechnet werden, da ja der
STP-kompatible CIST zwischen den Switches über das jeweilige Basis VLAN abgebildet
ist. Damit ist auch schnell klar, dass SPBV Domänen eher für Bereiche mit einer
überschaubaren Anzahl Switches und VLANs gedacht ist. Letztendlich ist es auch ein
48
Protokoll zur Vermaschung einer grossen Layer2 Domäne. Wem dies nicht reichen sollte,
der wird mit SPBM feststellen, dass das Limit von 4096 möglichen Service IDs deutlich
auf 16 Millionen angehoben wurde und damit durchaus auch für den Access Bereich
interessant werden wird.
Open Shortest Path First
OSPF (RFC 2328) ist ein hierarchisch aufgebautes Link-State-Routingprotokoll und
derzeit der de-facto-Standard bei Interior-Gateway-Protokollen, also Protokollen, mit
denen Informationen innerhalb einer Organisation ausgetauscht werden. BGP (Border
Gateway Protokoll) dagegen routet als Exterior-Gateway-Protokoll Daten zwischen
autonomen Systemen, also über die Organisationsgrenzen hinaus.
Distance-Vector-Protokolle wie RIP (Routing Information Protocol, inzwischen in Version 2
verfügbar, RFC 2453), sind dafür wegen ihrer schlechten Konvergenzzeiten mittlerweile
meist ungeeignet. Denn Ausfallzeiten bis zu mehreren Minuten sind in heutigen
Netzwerken nicht mehr tolerierbar.
Link-State-Protokolle arbeiten eventgesteuert. Informationen über Topologieänderungen
werden sofort im gesamten Netz verteilt. Die gesamte Netztopologie ist hier in einer
Datenbank gespeichert und alle Router kennen sie. Deswegen können die Router sofort
auf Events reagieren und berechnen dann mögliche Ersatzwege. Das führt bei LinkState-Protokollen zu Konvergenzzeiten im Sekundenbereich. Außerdem schonen LinkState-Protokolle, verglichen mit Distance-Vector-Protokollen die Netzwerkressourcen, weil
die periodische Verbreitung der gesamten Routinginformationen im gesamten Netz
entfällt.
Der hierarchische Ansatz von OSPF macht dieses Routingprotokoll skalierbar. Es eignet
sich daher auch für sehr große Netze. Die Hierarchie ist zweistufig: An ein zentrales
Backbone-Area sind alle anderen Areas direkt angebunden. Verfahren wie Route
Summarization (die Zusammenfassung der zwischen zwei Routern übertragenen
Informationen, um die Verarbeitungslast der Router zu verringern) und das Definieren
von Areas als Stub Area oder NSSA (Not-So-Stubby Area, RFC 3101) minimieren die
Auswirkungen von Topologieänderungen auf das gesamte Netz.
49
OSPF-Area-Konzept
OSPF, ein offenes Protokoll, das von allen Herstellern unterstützt wird, ist derzeit der
Standard für das Routing innerhalb des eigenen Netzwerks. OSPF schafft Kompatibilität
zwischen allen Komponenten. Die schnellen Konvergenzzeiten, die OSPF als Link-StateProtokoll besitzt, sind für heutige Netze unverzichtbar.
Der hierarchische Ansatz unterstützt die OSPF-Implementierung in Netzwerken jeder
Größe. Netze mit OSPF-Routing sind mit dem entsprechenden Netzwerk- und
Adressdesign einfach zu erweitern. Als modernes Routingprotokoll unterstützt OSPF
natürlich VLSM (Variable Length Subnet Mask) und ermöglicht so Optimierungsverfahren
wie Route Summarization.
Wegen seiner Allgegenwart wurde OSPF als Routingprotokoll für den IPv4-Nachfolger
IPv6 spezifiziert (RFC 2740) und wird deshalb auch in Zukunft nicht aus den Netzwerken
wegzudenken sein.
Equal Cost Multi Path (ECMP)
Ein Paket kann in einem gerouteten Netzwerk über unterschiedliche, gleichwertige Pfade
ans Ziel gelangen. Bei ―Equal Cost Multi Path‖ werden diese Pfade gleichzeitig zur
Lastverteilung genutzt. Redundanz gewährleistet das jedoch nicht. Dafür muss das
darunterliegende Routingprotokoll sorgen. Bei Verwendung von ECMP wählt der Router,
an dem sich der Pfad gabelt, unterschiedliche Folgestationen (next-hops) für die Pakete.
Idealerweise sollten sich die Pakete gleichmäßig auf die beiden gewählten Pfade
verteilen. Das wäre mit paketeweisem Aufteilen am einfachsten zu realisieren. Dies ist
aber in der Regel nicht sinnvoll, da dieses Verfahren unterschiedliche Laufzeiten und
Paketreihenfolgen verursachen kann. Meist wird daher versucht, die Pakete flowbasiert
aufzuteilen: Pakete, die dieselbe Absender-IP und Ziel-IP oder zusätzlich noch dieselbe
Portadresse haben (Absender-IP+Port/Ziel-IP+Port) gehören zum selben Flow und
nehmen den gleichen Weg.
50
Prinzipiell läuft ECMP in jedem gerouteten Netzwerk. In der Regel beschränken die
Routingprotokolle jeweils in ihrer individuellen Metrik, wie viele Pfade gleicher Qualität
möglich sind.
VRRP (Virtual Router Redundancy Protocol)
VRRP (RFC 2338) sorgt für redundante Auslegung des Default-Gateways. Router nutzen
untereinander Routing-Protokolle, um die aktuellsten Routing-Informationen
auszutauschen. So erfahren sie bei einem Ausfall von Ersatzwegen und nutzen sie dann.
Bei sehr vielen Endclients wird dagegen eine statische Router-Adresse als DefaultGateway eingetragen. Was geschieht mit ihren Datenpaketen, wenn der Router ausfällt?
Selbst wenn es einen Ersatzweg gibt, können die Clients diesen wegen des statischen
Eintrags nicht nutzen.
VRRP-Konzept
VRRP behebt dieses Problem durch einen virtuellen Router, dessen IP-Adresse als
Default-Gateway auf den Hosts konfiguriert wird.
Die physikalischen, redundanten Router kommunizieren dann über VRRP und handeln
aus, wer die Routing-Aufgabe des Default-Gateways übernimmt. Der gewählte Router
wird als Master bezeichnet, weitere redundante Router sind Backup-Router. VRRP
erkennt jeden Ausfall des Master und der Backup-Router übernimmt dessen Aufgabe,
ohne dass die Clients das merken. Um Probleme bezüglich der ARP (Address Resolution
Protocol)-Einträge zu vermeiden, nutzt der virtuelle Router eine für VRRP reservierte MAC
Adresse.
Emulation eines virtuellen Routers
51
Durch VRRP ist die statische Konfiguration des Default-Gateways auf den Clients kein
Single Point of Failure mehr.
Normalbetrieb
VRRP-Redirection im Fehlerfall
Die Konfiguration zweier virtueller Router ermöglicht Lastverteilung zwischen den
redundanten Geräten. Man nutzt dazu zwei virtuelle IP-Adressen, für die jeweils einer der
Router die Master-Funktion übernimmt. Für die jeweils andere IP-Adresse ist dieser
virtuelle Router der Backup-Router. Zusätzlich wird an den Clients eine der beiden IPAdressen der virtuellen Router als Default-Gateway konfiguriert. Eine gleichmäßige
Verteilung lässt sich zum Beispiel mit dem DHCP (Dynamic Host Configuration Protocol)
erreichen. Damit sind beide virtuellen Router Default-Gateway. Dieser Ansatz kombiniert
Lastverteilung mit Redundanz. Weitere Informationen finden Sie in RFC 2338.
Server Load Balancing
In aktuellen Netzwerkdesigns sorgen meist Protokolle wie VRRP und OSPF bereits für
Redundanz. Das gilt allerdings oft nicht für den Anschluss der Server. Um hier
Redundanz zu schaffen, braucht man eine zusätzliche Lösung, die eine
Netzwerkkomponente bereitstellen muss.
Das Konzept, Server redundant auszulegen, bezeichnet man als SLB (Server Load
Balancing) oder LSNAT (Load Sharing Network Address Translation, RFC 2391). Das
sorgt für Ausfallsicherheit und mehr Leistung.
Enterasys-Produkte verwenden LSNAT. Die Geräte reagieren hierbei auf Anfragen an
einen virtuellen Server und setzen diese Anfragen entsprechend in Abhängigkeit vom
angesprochenen Layer-4-Port auf reelle Serveradressen um. Zwischen den
physikalischen Servern werden dann die Anfragen mit einem vom Administrator
ausgewählten Algorithmus, etwa Round-Robin, Weighted Round-Robin oder Least
Weighted Load First, verteilt. Parallel dazu überprüft das System die Verfügbarkeit der
Server und verteilt Anfragen beim Ausfall eines Servers auf die verbleibenden
Serversysteme.
52
Verwendung von LSNAT
Das sorgt für hohe Ausfallsicherheit. Das virtuelle Serversystem skaliert sehr gut, da
man beliebig viele Server hinzufügen kann. Die Server müssen allerdings auf eine
einheitliche Datenstruktur zugreifen, die das Betriebssystem der Server unterstützen
muss.
Kombiniert mit den weiter oben beschriebenen Redundanzverfahren, lässt sich so
folgendes Szenario realisieren:
Szenario für Business Continuity Services
In dieser Grafik ist der Zugang des Hosts zum Netz via VRRP redundant ausgelegt;
außerdem werden die Anfragen am Ziel, das heißt am Server, per LSNAT verteilt. Wegen
des Multi Path Support von OSPF können alle redundanten Wege genutzt werden. Bei
einem Defekt sorgt OSPF für sehr kurze Ausfallzeiten. Zwischen den Switchen werden
802.3ad-Trunks gebildet, die mehr Bandbreite liefern und die Redundanz erhöhen.
53
IPv6
Das Internet hat sich in den vergangenen Jahren aus einem reinen Datennetzwerk zu
einer
Multi-Service-Plattform
entwickelt.
Dies
bringt
auch
neuartige
Kommunikationsbeziehungen mit sich, zum Beispiel Peer-to-Peer (P2P)-Vernetzung für
Multimedia-Übertragungen oder die Datenversendung über mobile, kabellose Netze.
Der Adressraum des jetzigen Internetprotokolls (IPv4) ist höchst unterschiedlich verteilt.
So besitzt etwa das Massachusetts Institute of Technology (MIT) in Cambridge/USA ein
Netz, in dem sich mit rund 16 Millionen Rechnern mehr Adressen ansprechen lassen als
in ganz China. Doch im Web sind gerade 90.000 vom MIT verwendete Adressen zu
IdentiFizieren. Bei linearer Fortschreibung der Vergabepraxis für die restlichen IPAdressen sind daher Engpässe in wenigen Jahren vorgezeichnet. Zudem steigt die Zahl
der Endgeräte exponentiell, so dass der begrenzte Adressraum von IPv4 nicht mehr
ausreicht, alle zu versorgen.
IPv6 nutzt 128-Bit-Adressen und bietet damit viermal so viel Adressraum wie IPv4. Das
bedeutet, dass IPv6 unvorstellbare 665.570.793.348.866.943.898.599 Adressen pro
Quadratmeter Erdfläche bereitstellt. IPv6 dürfte daher in Zukunft die alte Protokollbasis
IPv4 in immer mehr Netzen ersetzen. Durch IPv6 lassen sich ganz neue, flexiblere
Strukturen zur Verbindung der Knotenpunkte untereinander realisieren. Mit IPv4 werden
auch Network Address Transalation (NAT) und CIDR (Classless Inter Domain Routing)
verschwinden.
Zusätzlich ist wie bei jeder anderen Technologie auch die Sicherheitsfrage zu
beantworten. Während IPv4 ursprünglich nur zum einfachen Datenaustausch entwickelt
wurde, besitzt IPv6 von Anfang an Sicherheitsfunktionen, die heute unverzichtbar sind.
Im Folgenden werden sie näher beschrieben.
Sicherheitsfunktionen unter IPv6
IPv6 wurde 1994 als Standard verabschiedet. Es besitzt die Grundfunktionen von IPv4,
bietet aber zukunftssichere Neuerungen, um den gestiegenen Anforderungen gerecht zu
werden. Eine nähere Betrachtung von IPv6 zeigt die grundsätzlichen
sicherheitsbezogenen Vorteile dieses Protokolls.
Erweiterter Adressraum im IPv6-Datagrammformat
Prinzipiell besteht ein IPv6-Datagramm aus dem Basis-Header, gefolgt von optionalen
Zusatzheadern und den Nutzdaten.
54
Allgemeine Form eines IPv6-Datengramms
Der IPv6-Basis-Header ist doppelt so groß wie der IPv4-Header, enthält aber weniger
Felder als dieser. Die Adressgröße für die Quell- und Zieladresse wurde von bisher 32
auf nunmehr 128 Bit erweitert.
IPv6 Basis-Header
Erweiterungsheader
Die wichtigste Neuerung von IPv6 besteht in dem erweiterten Header. Er soll eine
effiziente Datenübertragung und Protokollerweiterungen ermöglichen. Der Basis-Header
enthält nur Felder, die unbedingt für die Übermittlung eines Datagramms notwendig
sind. Erfordert die Übertragung weitere Optionen, können diese im Erweiterungsheader
angegeben werden. Einige IPv6-Merkmale des Protokolls werden nur gezielt eingesetzt,
etwa die Fragmentierung von Datagrammen. Im IPv4-Basisheader sind
Fragmentierungsfelder vorhanden, obwohl viele IPv4-Datagramme nicht fragmentiert
werden müssen. IPv6 gliedert diese in einen Erweiterungsheader aus, der nur dann
verwendet wird, wenn das Datagramm fragmentiert werden muss. Dies ist bei IPv6
höchst selten, da hier in der Regel mittels Path MTU (Maximum Transmission Unit)
Discovery (RFC 1981) die maximale Paketgröße via ICMPv6 (Internet Control Message
Protocol) ausgehandelt wird. Daher sollte IPv6-Fragmentierung nur genutzt werden,
wenn Anwendungen ihre Paketgrößen nicht individuell anpassen können.
Vorteilhaft ist, dass Erweiterungsheader neue Funktionen in das Protokoll integrieren. Es
genügt, für das Feld „Next Header― einen neuen Typ und ein neues Header-Format zu
definieren. Bei IPv4 müsste hierzu der Header vollständig geändert werden. Derzeit sind
sechs optionale Erweiterungsheader definiert. Werden mehrere Erweiterungsheader
verwendet, sind sie in einer festen Reihenfolge anzugeben.
55
IPv6-Erweiterungsheader nach RFC 2460, 2402 und 2406:
Header
Beschreibung
Ipv& Basis Header
Zwingend erfoderlicher IPv6 Basis
Header
Optionen für Teilstrecken
Verschiedene Informationen für
Router
(Hop-by-Hop Options Header)
Optionen für Ziele
(Destination Options Header)
Routing
(Routing Header)
Fragmentierung
Zusätzliche Informationen für das
Ziel
Definition einer vollständigen oder
teilweisen Route
(Fragment Header)
Verwaltung von
Datengrammfragmenten
Authenfizierung
Echtzeitsüberprüfung des Senders
(Authentication Header)
Verschlüsselte
Sicherheitsdaten
Informationen über den
verschlüsselten Inhalt
(Encapsulating Securtiy Payload
Header)
Optionen für Ziele
(Destination Options Header)
Header der höheren Schichten
(Upper Layer Header)
Zusätzliche Informationen für das
Ziel (für Optionen, die nur vom
endgültigen Ziel des Pakets
verarbeitet werden müssen)
Header der höheren
Protokollschichten (TCP, UDP,...)
In Bezug auf die Sicherheit sind zwei Erweiterungsheader interessant, die für
Datenintegrität sorgen.
Authentisierung
Mit Hilfe des Authentication Headers lässt sich die Echtheit eines Paketes prüfen. Er
garantiert auch, dass Daten bei der Übertragung unverändert bleiben. Eine
Sequenznummer schützt den Empfänger eines Pakets vor Angriffen durch wiederholtes
56
Senden desselben Pakets. Der Authentication Header (AH) liefert dabei dieselbe
Sicherheit wie IPv4 zusammen mit IPSec. Bei der Authentisierung unterscheidet man
zwei Verfahren: den Transport- und den Tunnelmodus.
Verschlüsselte Sicherheitsdaten
Der ESP (Encapsulating Security Payload)-Header verschlüsselt vertrauliche Daten und
garantiert ihre Unversehrtheit. Außerdem schützt ESP wirksam vor sogenannten DataReplay-Attacken. Wie bei der Authentisierung unterscheidet man bei der Verschlüsselung
zwischen Transport- und Tunnelmodus.
Der Transportmodus wird bei der Kommunikation zwischen zwei Rechnern verwendet.
Normalerweise kennen sich die Rechner hier nicht oder besitzen keine gültigen
Schlüssel für eine Verbindung. Daher müssen beide Rechner bei einem Trust Center
einen One-Session-Key anfordern, der nur für eine begrenzte Zeit gilt. Der IP-Header
selbst bleibt beim Transportmodus unverschlüsselt. Deshalb besteht die Gefahr, dass
Hacker Informationen darüber erhalten können, wohin ein Rechner Verbindungen
aufbaut und wann er wie viele Daten sendet.
Um zwei Firmennetze über öffentliche Leitungen zu verbinden, bietet sich daher der
Tunnelmodus an. Hier ist von außen ausschließlich sichtbar, dass die beiden Router
kommunizieren, darüber hinaus aber keinerlei weitere Informationen.
Wird bei einer kompletten Übertragung der Authentifizierungs-Header genutzt, können
IPv6-fähige Firewalls sogar die höheren Schichten im Datenpaket überprüfen und somit
Pakete sperren oder freischalten.
ICMPv6
ICMPv6 gehört zur IPv6 Protocol Suite. Es dient zur Autokonfiguration unter IPv6. Hier
erhalten die Clients automatisch eine IPv6-Adresse. Auch die Entdeckung benachbarter
Stationen läuft über einen bestimmten ICMPv6-Nachrichtentyp. Viele Firewalls filtern
allerdings die ICMP-Messages oder blocken sie komplett. Unter IPv6 müssen aber
bestimmte Nachrichtentypen unbedingt zugelassen werden. Daher ist es nötig, bei der
Implementierung von IPv6 den Firewalls erhöhte Aufmerksamkeit zu widmen.
Zudem dürfen keine unerlaubten ICMP-Messages vom Zugangspunkt zur Infrastruktur
geschickt werden. DHCP- und DNS-Server stecken im Inneren des Netzes und sind
meistens bekannt. Daher können diese Pakettypen am Zugangspunkt ausgefiltert
werden. Enterasys tut dies mit der Secure Networks™ Architektur.
57
IP bleibt IP
IPv6 und IPv4 sind reine Transportprotokolle. Angriffe auf höheren Ebenen,
beispielsweise Buffer Overflow oder Angriffe auf Web-Applikationen, sind bei beiden IPVarianten möglich. Daher braucht man unbedingt zusätzliche Sicherheitsmaßnahmen
wie IKE (Internet Key Exchange) aus der IPSec-Protokollsuite oder IEEE 802.1x. Damit
lassen sich Attacken wie Flooding (Überflutung mit großen Verkehrsmengen, um einen
Zusammenbruch der empfangenden Infrastruktur auszulösen) und Man-in-the-Middle
(hier schleicht sich der Angreifer unerkannt in die Kommunikation zwischen zwei
Partnern ein, hört mit oder greift selbst ins Kommunikationsgeschehen ein) verhindern
und im Netz befindliche, nicht zugelassene Geräte (Rogue Devices) erkennen und
entfernen.
SNMP (Simple Network Management Protocol)
SNMP ist das Standard-Netzwerkmanagementprotokoll, um die Konfiguration und
Leistungsinformationen entfernter Netzwerkkomponenten auszulesen. SNMPv1 wurde
1988 veröffentlicht und wird noch heute von den meisten am Markt erhältlichen
Netzwerkmanagementsystemen verwendet.
Ursprünglich wurde SNMPv1 vor allem entwickelt, um die Ressourcen der Rechner zu
schonen.
Daher
verwendete
SNMP
zunächst
einen
minderwertigen
Authentifizierungsmechanismus zur Sicherung der Kommunikation: ein einfaches
Klartextpasswort, den Community-String. Ergänzend verwendet man auch heute noch
oft auf IP-Adressen basierende Zugangslisten, um den Zugriff für SNMPv1 zu regeln. Da
SNMP auf dem verbindungslosen UDP (User Datagram Protocol) aufbaut, ist dies
ebenfalls eine Sicherheitslücke: Weil man keinen Handshake für den Aufbau der
Verbindung braucht, muss die Absenderadresse des IP-Pakets nicht stimmen.
Mit SNMPv2 wurden einige neue Methoden in das Protokoll integriert, auch die
Sicherheitsproblematik lässt sich durch mehrere Ansätze in den Griff bekommen.
Allerdings hat sich bisher keiner von ihnen durchgesetzt.
Weil
die
sichere
Kommunikation
zwischen
Managementstation
und
Netzwerkkomponenten immer wichtiger wird, bietet die aktuelle Version des Protokolls,
SNMPv3, Authentifizerung, Verschlüsselung und Zugriffskontrolle und damit ein
komplettes Portfolio von Sicherheitsfunktionen.
SNMPv3 (RFC 2571-2575) definiert verschiedene Sicherheitsmodelle. VACM (View
Based Access Control Model) ergänzt die nutzerbasierte Zugriffskontrolle durch die
Definition von Views. Die Nutzer erhalten dadurch nur Zugriff auf Teilbereiche der MIB
58
(Management Information Base). Fast alle Geräte von Enterasys Networks und alle
Komponenten der Enterasys NMS Suite unterstützen SNMPv3.
MPLS (Multi Protocol Label Switching)
MPLS wurde in den 90er Jahren entwickelt und standardisiert. Die Technologie sollte
den Routing- beziehungsweise Forwarding-Prozess durch die Fokussierung auf das
sogenannte Label beschleunigen. Damit muss ein Router nicht mehr den gesamten IPHeader lesen, um eine Routing-Entscheidung zu treffen – er muss nur noch das dem IPHeader vorangestellte Label auswerten. Dies half insbesondere den Service Providern,
das schnelle Wachstum ihrer Netze zu bewältigen. Durch neue Hardwaregenerationen
und NPU(Network Processor Units)-basierte Router tritt inzwischen dieser Vorteil von
MPLS in den Hintergrund.
Das Protokoll ist vielseitig nutzbar. Zu den häufigen Anwendungen gehören:
Layer-2- oder Layer-3-VPNs
Mit VPN-Services können Service Provider oder Betreiber eines öffentlichen Netzes das
Äquivalent dedizierter Private-Network-Services für mehrere Kunden über ein
gemeinsames Netz bereitstellen. Dabei bleibt der Datenverkehr der verschiedenen
Kunden strikt getrennt. Die verschiedenen Ansätze, VPN-Services mit MPLS
einzurichten, lassen sich allesamt als Switched Services (Layer 2) oder Routed Services
(Layer 3) einstufen. Auch viele Betreiber von Campusnetzen ziehen heute MPLS in
Betracht, weil sie ihren Nutzern gern dieselben Funktionen wie in Service-ProviderNetzen bieten möchten.
Traffic Engineering (MPLS-TE)
Traffic Engineering ist die häufigste Anwendung für MPLS in Service-ProviderNetzwerken. Das Protokoll wird vor allem in großen, komplexen WANs, etwa nationalen
oder globalen Infrastrukturen verwendet. Es hilft, die teuren Langstrecken-Links besser
auszunutzen und die Datenströme in diesen Netzwerken besser zu überwachen.
MPLS arbeitet auf einer Netzwerkschicht, die zwischen dem traditionell definierten Layer
2 (Data Link Layer) und dem Layer 3 (Netzwerk-Layer) liegt. Diese Schicht wird oft als
„Layer 2.5― bezeichnet. MPLS bezeichnet man deswegen auch als Layer 2,5.
MPLS-Header Layer 2.5 mit Bottom- und Top-Label
59
In Unternehmensnetzen ist MPLS eher eine Ausnahme. Unternehmen nutzen oft MPLSNetzwerke von Service Providern, um entfernte Lokationen anzubinden. Normalerweise
ist die MPLS-Infrastruktur völlig transparent für das Unternehmensnetzwerk. Der
Datenverkehr des Unternehmens wird in seinem ursprünglichen Format, also ohne
MPLS-Labels, an den Router des Service Providers geschickt. Der Service Provider
versieht die Daten mit Labels oder entfernt sie. Das Unternehmensnetzwerk kennt den
Aufbau der MPLS-Infrastruktur des Service Providers nicht.
Ein VPN-Service kann dadurch aufgewertet werden, dass man die VPN-Serviceschicht
auf Layer 3 von der darunter liegenden Transportschicht trennt. In diesem Modell
„kennen― die Edge Router der Service Provider die VPNs. Die Core-Router der Provider
stellen Transportdienste für den VPN-Traffic bereit, ohne die VPNs selbst erkennen zu
müssen. Die Transportschicht versorgt den VPN-Servicelayer mit Konnektivität. Er bietet
dem VPN-Verkehr Hochverfügbarkeit durch die Unterstützung mehrerer Transportpfade
(Multi-Pathing) und Redundanz. Die Enterasys S-Serie bietet unterschiedliche VPNFunktionen auf Layer 3, die teils schon verfügbar sind, zum Teil später hinzukommen.
Die folgenden Abschnitte beschreiben die aktuelle und zukünftige Technologie.
Übersicht über Virtual Routing and Forwarding (VRF)
Auch wenn sich ein Campus-VPN mit MPLS aufbauen lässt, ist es einfacher, dazu Virtual
Routing und Forwarding zu nutzen (VRF). Mit VRF unterhält ein physikalischer Router
mehrere getrennte Routing-Domains mit separaten Routing-Tabellen und –Prozessen.
Typischerweise wird diese Funktion von PE (Provider Edge)-Routern in MPLS-Netzen von
Service Providern genutzt. In den Routing Domains laufen alle bekannten und beim
Kunden bereits implementierten IP-Routing-Applikationen. Beispiele sind OSPF, BGP
oder RIP. Dafür müssen diese Protokolle und Technologien nicht ins Provider-Netz
integriert werden.
Mit dieser Technologie ist es möglich, unterschiedliche Server im Rechenzentrum sicher
voneinander zu trennen, indem man sie in getrennten Routing Domains platziert.
Zwischen separaten Gruppen gibt es keine gemeinsamen Verbindungen, obwohl nur ein
Set physikalischer Router und gemeinsame Managementschnittstellen genutzt werden.
Medizinische und industrielle Applikationen lassen sich so vom Rest des Netzwerks
separieren. Man kann ihnen dedizierte Netzwerkressourcen zuweisen, was Sicherheit
gewährleistet und sensible Anwendungen vor unbefugten Zugriffen schützt.
Mit VRF lassen sich Campus-LAN-Anwendungen, die sich nur für eine bestimmte
Netzwerkgröße eignen, ohne neue, aufwändige Protokolle oder Architekturen (zum
Beispiel MPLS, RSVP, LDP, iBGP, etc.) in das LAN integrieren. Dafür brauchen
60
Netzwerkarchitekten und Administrationspersonal nur wenig zusätzliches Training. Neue
Management- oder Diagnosetools sind nicht erforderlich. Alle bekannten Protokolle,
etwa OSPF und RIP, funktionieren unverändert innerhalb ihrer jeweiligen Routing
Domains und sind mit den bisherigen Protokollanalysatoren analysierbar. Appliances
müssen nicht erweitert werden, um MPLS-Protokolle bearbeiten zu können.
VRF kann im Netzwerk auf der gesamten Verbindung (Ende zu Ende) eingesetzt werden,
aber auch gemeinsam mit GRE (Generic Routing Encapsulation Protocol)-Tunneling oder
MPLS-Labels. Nutzt VRF kein MPLS, bezeichnet man es als VRF-lite oder Multi-VRF
Customer Edge. Diese Varianten sind eine Art „Leichtversion― von MPLS, da es hier
beispielsweise keine Label-Verteilung gibt.
VRF-Trennung innerhalb des Routers
VRF-Support bei der S-Serie
Die Enterasys S-Serie unterstützt Ende-zu-Ende-VRF, VRF over IPv4 und IPv6 GRETunneling.
Im Ende-zu-Ende Modell gehört jede geroutete Schnittstelle zu einem VRF und muss
manuell auf allen Routern konfiguriert werden, die am VRF teilnehmen. Das kann
ermüdend und umständlich zu managen sein. Eine typische Faustregel ist, dass ein
61
Ende-zu-Ende-VRF am besten für Netzwerke mit weniger als vier Router-Hops von
Netzwerkrand zu Netzwerkrand passt.
VRF im Core-Router
Damit VPN-Services auf Layer 3 leichter aufgesetzt und skaliert werden können, sollte
man VRF-Instanzen nur auf solchen Routern einrichten, die VRF für Edge Services
unterstützen sollen. Die Konfiguration der Core-Router beim Service Provider vereinfacht
sich, wenn VRFs zwischen PE-Routern über GRE-Tunnel unterstützt werden. Denn die
Core-Router müssen dann diese VRFs nicht selbst erkennen. Für jeden VRF auf einem
PE-Router wird allen anderen VRF-Instanzen auf PE-Routern im Netzwerk ein GRE-Tunnel
vorgehalten. Dadurch braucht man weniger VRF-Instanzen in jedem Core-Router und die
Infrastruktur für das IP-Core-Routing vereinfacht sich.
VRF over GRE
Sowohl Ende-zu-Ende-VRF als auch VRF over GRE-Tunnel sind sichere, dedizierte
Routing-Ressourcen für kritische Applikationen und bieten eine einfache Lösung für
Campus-LAN-Applikationen mit limitierter Netzwerkgröße, ohne eine neue
Netzwerktechnologie wie MPLS, einzuführen.
62
MPLS - Details
Eine MPLS-Architektur, die auf einem PPVPN (Provider Provisioned VPN)-Modell basiert,
nutzt spezifische Knotentypen auf jeder Netzwerkschicht
 P—Provider Core Knoten— steckt im Netzwerkkern und trifft MPLS-ForwardingEntscheidungen anhand der Informationen auf den MPLS-Labels. Die RoutingInfrastruktur des Kunden kennt der Core-Router nicht.
 PE—Provider Edge Knoten— bildet die Schnittstelle zwischen dem Provider-CoreKnoten und dem CE (Customer Edge). Fügt den Daten MPLS-Label hinzu, sobald
sie ins Provider-Netzwerk fließen und entfernt die Labels wieder, bevor der Traffic
ins CE einläuft.
 CE—Customer Edge— Gerät am Netzwerkrand des Kunden, das die MPLSInfrastruktur nicht kennt. CE-Geräte versenden und empfangen keinen Traffic mit
MPLS Labels.
MPLS-Netzwerkübersicht
Verschiedene VPN-Modelle sind in einer solchen Architektur einsetzbar:
 Virtual Private Router Networks (VPRN, z.B. RFC 4364 oder RFC 4023), für den
Aufbau gerouteter virtueller Layer-3-Netzwerke.
 Virtual Leased Line Services (VLL, RFC 2764), bilden Point-to-Point-Links nach.
 Virtual Private LAN Service (VPLS)/Transparent LAN Service, bildet ein Bridged LAN
auf Layer-2 nach.
MPLS und VPN
RFC 4364 und RFC 4023 beschreiben, wie IP-VPNs durch VRF, MP-BGP und MPLS
unterstützt werden. In diesem Zusammenhang gleicht ein VRF einem VPN. Die Daten
tragen MPLS-Label, um die VPNs zu IdentiFizieren, und Routen werden per BGP verteilt.
BGP isoliert den Datenverkehr und versieht ihn mit einem passenden MPLS-Label, um
63
das VRF zu bestimmen. Das MPLS wird anschließend entweder in ein anderes MPLSLabel oder einen IP- oder GRE-Tunnel-Header (MPLS-in-IP-GRE) verpackt und
anschließend über den Backbone an den richtigen Edge-Router getunnelt. Folglich
müssen die Backbone-Core-Router die VPN-Routen jedes VRF nicht kennen.
P-Router ohne VRF-Wissen
MPLS-VPN-Unterstützung bei der Enterasys S-Serie
Die S-Serie wird MPLS-Funktionen für Unternehmenskunden bieten, die es erlauben,
MPLS in mehreren Phasen zu implementieren.
Phase 1
MPLS-BGP-VPNs / GRE (RFC 4023) – Immer mehr Layer-3-VPN-Domains und PE-Knoten
können es sehr komplex machen, einen separaten GRE-Tunnel für jedes VRF zu
konfigurieren. Um die Skalierbarkeit über die IP-Core-Infrastruktur zu verbessern, lässt
sich MPLS auf der Netzwerkschicht des VPN-Service, Layer-3, einführen. Wie in RFC
4023 definiert, kann man mit MPLS mehrere jeweils mit einem Label versehene VRFInstanzen über einen einzigen GRE-Tunnel führen, und zwar unabhängig davon, wie viele
VRFs zwischen zwei PE-Routern bestehen. iBGP vereinfacht dabei den Austausch von
VPN-Routinginformationen und verringert die Anzahl der IGP (Interior Gateway Protocol)Routing-Instanzen, wie zum Beispiel OSPF oder RIP, die den Core über GRE-Tunnel
durchqueren müssen. Eine einzige iBGP-Peering-Instanz vereinfacht, verglichen mit VRF
over GRE, Konfiguration und Management der PE-Router. Letzteres braucht einen GRETunnel für jeden gemeinsamen VRF zwischen zwei PE-Routern.
64
MPLS over GRE
Phase 2
MPLS-BGP-L3-VPNs /dynamischer Transport — In sehr großen VPN-Architekturen ist das
GRE-Tunneling zwischen vielen PE-Routern oft sehr komplex und schwierig zu managen.
Um die Skalierungsfähigikeiten zu verbessern, könnte man als nächstes eine dynamisch
provisionierte Infrastruktur nutzen, in der Transportdienste für L3 VPN-Services nicht
manuell konfiguriert werden müssen. Es gibt alternative Transporttechnologien, die für
diesen Zweck genutzt werden können.
MPLS Core Transport—RFC 4364 definiert die Architektur für BGP/MPLS-IP-VPNs. Ein
MPLS-fähiger Core stellt hier LSP (Label Switched Path)-Tunnel zwischen PE-Routern
dynamisch bereit. Sobald neue PE-Router oder neue VPN-Instanzen hinzugefügt werden,
hält die dynamische Anzeige der MPLS Infrastruktur die Vermaschung der LSP Tunnel
vor, über welche die MPLS IP VPNs Services transportiert werden. IP-VPN-Services
gemäß RFC 4364 werden gewöhnlich in großen Service-Provider-Netzwerken eingesetzt,
die bereits eine MPLS-fähige Core-Infrastruktur nutzen.
MPLS L3-BGP-VPN gemäß RFC 4364
Shortest Path Bridging Transport— Der noch relativ neue Standard IEEE 802.1aq (SPB,
Shortest Path Bridging) definiert einen dynamisch bereitgestellten Transportservice, der
65
auch sehr große Strukturen ermöglicht. SPB, eine Ethernet-Erweiterung —zielt auf
Anwendung in rapide wachsenden Rechenzentren und Core-Netzwerkapplikationen. Da
SPB auf Ethernet basiert, hoch skalierbar und dynamisch ist, Multi-Path und
Hochverfügbarkeits-Fähigkeiten bietet, ist das Verfahren ein idealer Kandidat für
unternehmenstaugliche VPN-Transportservices über einen mit MPLS-BGP ausgerüsteten
Layer 3. SPB verwendet BEB (Backbone Edge Bridges) und BCB (Backbone Core
Bridges). In diesem Modell werden BEBs und der PE zu einem einzigen Switch/Router
zusammengefasst. SPB ermöglicht grundsätzlich transparente LAN-Services mit
mehreren Endpunkten (Multi-Point) ohne die zusätzliche Komplexität von VPLS. Der
Vorteil des Aufbaus unternehmenstauglicher VPN Services auf Layer 3 mittels SPB liegt
in ihrer auf Ethernet-Technologien wurzelnden Architektur, denn Ethernet ist den meisten
Administratoren von Firmen-LANs bestens vertraut.
MPLS over SPB
Mit MPLS lassen sich VRF(Lite)-Netze in großen Unternehmensinfrastrukturen einfacher
aufbauen. Die Enterasys-S-Serie mit ihrer auf ASICs aufbauenden CoreFlow2-Architektur
wird MPLS zusammen mit SPB unterstützen. Die Umsetzung der Technologie in den
Geräten wird in mehreren Phasen und jeweils per Software-Update realisiert. Auch durch
diese Funktionen wird die S-Serie zu einer erstklassigen Switch/Router-Lösung für
Rechenzentrum, Core, Aggregationsebene und Edge in der OneFabric-Architektur.
Software Defined Networking (SDN)
In virtualisierten Infrastrukturen werden Netzwerke immer wichtiger. Nachdem dem
Zeitalter des Mainframes, der Client/Server-Architekturen und des Internet Computing
werden virtuelle Applikationen nun in privaten und öffentlichen Clouds gehostet. Damit
sind sie für mobile Nutzer und Geräte von überall erreichbar. Netzwerke sind in solchen
Infrastrukturen eine kritische Komponente. Verteilte Architekturen aus Switches, Routern
und anderen Geräten sollen skalieren und verlässlich verfügbar sein. Mit der Zeit wuchs
66
die Komplexität dieser Infrastrukturen und es wurde immer schwieriger, neue Ende-zuEnde-Services und Applikationen ohne Betriebsunterbrechungen und kosteneffizient
bereitzustellen. Das Kerngeschäft verlangt jedoch agilere und flexiblere IT-Services.
Diese Herausforderung zu bewältigen, treibt Innovationen voran und unterscheidet
erfolgreiche Hersteller wie Enterasys von den übrigen.
Das Konzept, mit dem die neuen Aufgaben gelöst werden, heißt SDN (Software Defined
Networking). Die SDN-Idee stammt aus den frühen 90er Jahren. Damals entwickelte
Cabletron den Prototyp eines Secure VNS (Virtual Network Service). Er führte zur
SecureFast-Lösung und wurde von Ipsilon als GSMP (General Switch Management
Protocol) umgesetzt. In Serviceprovider-Netzen wurde und wird der Ansatz bisher durch
die IMS (IP Multimedia Systems)-Architektur und in Voice-TDM (Time Division
Multiplexing)-Netzwerken mittels des IN (Intelligent Network)-Konzepts implementiert.
SDN ermöglicht es, in Netzwerken gleichzeitig Sicherheit, Virtualisierung, Managebarkeit,
Mobilität und Agilität zu realisieren. Eine SDN-Infrastruktur stellt neue Services und
Anwendungen so schnell und verlässlich bereit, wie es dynamische Infrastrukturen
verlangen. Im Allgemeinen ist in SDNs die Daten- von der Kontrollebene getrennt.
Dienste werden im Netzwerk kollektiv über Schnittstellen/APIs (Application Programming
Interfaces), bereitgestellt. Netzwerkgeräte werden eher durch externe, zentrale Systeme
konfiguriert als durch solche, die im Netz verteilt sind. Neben Unternehmensnetzen
eignet sich SDN auch für Multi-Tenancy-Infrastrukturen und die Servervirtualisierung in
den Infrastrukturen der Großrechenzentren von Cloud Service Providern.
Es gibt derzeit keine verbindliche Definition einer SDN-Architektur. Vielmehr koexistieren
heute verschiedene Herangehensweisen. Jeder Kunde muss deshalb heute im Detail
prüfen, welches SDN-Konzept am besten zu seinen individuellen Anforderungen passt.
Enterasys bettet SDN Konzepte als Teil der OneFabric Architektur in
Unternehmensnetzwerke ein.
Trennung von Kontroll– und Datenebene in einem SDN
Der vielleicht umstrittenste Teil der SDN-Architektur betrifft den Grad der Zentralisierung
bei der Steuerung des Netzwerks. Die Kernfragen lauten: „Wieviel Kontrolle kann man
zentralisieren? Wie effizient können Netzwerkkomponenten sein, ohne ein hoch
performantes Kontrollebenen-Subsystem zu benötigen?“ Das Schlüsselargument für
SDN-Architekturen und –protokolle liegt in einer bisher unerreichbaren Senkung der
Kapitalkosten durch SDN. Denn die Kosten des Host-Komplexes in heutigen AccessSwitch-Architekturen sind, verglichen mit den Kosten des kompletten Systemdesigns,
fast unerheblich. Erfahrungen haben zwar gezeigt, dass sich die Netzwerkarchitektur
67
durch eine Zentralisierung der Kontrollebenen vereinfachen lässt. Allerdings skalieren
diese Architekturen in der Praxis nicht ausreichend. Dies trifft vor allem auf moderne IP
Netze zu, die immer mehr Knoten und Endsysteme integrieren. Auch die Zahl der
Datenströme (Flows), die von einem zentralisierten System verwaltet werden müssen,
wächst ständig. Enterasys glaubt daher an einen hybriden SDN-Ansatz mit einer
verteilten und einer zentralisierten Kontrollebene. Nur so kann man den
Implementierungs- und Wartungsaufwand in IP-Netzen optimieren, ausreichend
Kontrolle ausüben und mit den stark wachsenden Infrastrukturen und dem
Verkehrsaufkommen in IP-Netzwerken Schritt halten.
SDN-Überblick
Sehr feingranular definierte Datenströme, welche, wie es aus Sicherheitsgründen
unumgänglich ist, die Applikationsebene einschließen, überfluten jedes zentralisierte
System mit Millionen von Flows. Jeder Flow muss aufgesetzt oder bei Link/GeräteAusfällen in großen Unternehmens– oder Service-Provider-Netzen umprogrammiert
werden. Werden dagegen nur einfache Steuermechanismen (wie ein „Pfad― zwischen
Ressourcengruppen, z.B. Server Subnet) benötigt, ist ein zentralisierter Ansatz
realistisch.
68
Anzahl neuer Flows pro Client
Die oben genannten Zahlen zeigen, wie viele neue Flows pro Client typischerweise
anfallen. Laufen virtualisierte Maschinen auf Servern, sind es zehn- bis hundertmal
mehr. Das bedeutet für ein Rechenzentrum mit 1000 Servern dauerhaft 100.000 bis
einer Million neuer Flows pro Sekunde, wobei die Flows im gesamten Netzwerk definiert
sein müssen. Das Flaggschiff unter den Flow-basierten Switches mit CoreFlow2Technologie von Enterasys bearbeitet schon heute bis zu 64 Millionen simultane
Flows - bald werden es bis zu 96 Millionen Flows sein.
Müssen Verbindungen nach einem Ausfall neu geroutet werden (Rerouting) oder stört
ein anderes Ereignis den Datenverkehr, etwa ein Wurmausbruch oder ein Netzwerkscan,
kann die Flow-Rate drastisch nach oben gehen. Eine verteilte Kontrollebene mit
Instanzen lokal an jedem Switch bewältigt solche Flow-Massen effektiver als ein
zentralisiertes System.
Um immer mit Leitungsgeschwindigkeit arbeiten zu können, darf die Verzögerung im
Switch bei einer Leitungsgeschwindigkeit von 10Git/s eine Nanosekunde nicht
überschreiten. Der Verzug, der bei zentralisierten Flow-Setup-Entscheidungen in Echtzeit
entsteht, wird deshalb häufig nicht akzeptabel sein. In diesem Fall wäre nur das Preprovisioning von groben Pfadbeschreibungen (Coarse Flows oder „Pfade―) möglich.
Eine praktikablere Alternative für den Einsatz in großem Stil, die trotzdem granulare
Kontrolle ermöglicht, ist der Hybridansatz, wie ihn Enterasys anbietet. Dabei spielen
lokale und zentrale Kontrollebenen zusammen. Sie sind gemeinsam verantwortlich für
das Topologiemanagement, die Netzwerkvirtualisierung, Ausfallsicherung, das Lernen
der Adressen und dafür, neue Flows mit den für sie vorgesehenen Regeln zu versorgen.
Nur ausgesuchte Flows werden zur zentralisierten Kontrollebene geschickt, um weitere
Inspektions– und Policy-Entscheidugungsprozesse zu durchlaufen. Die Resultate
wandern zurück an die nachgelagerten Ebenen und modifizieren bereits aufgesetzte
Flows.
69
Schnittstellen und APIs für ein SDN
SDNs können heute etablierte APIs wie CLI, SNMP, RADIUS, NETCONF, XML, XMPP zu
ihrem Vorteil nutzen. Inzwischen werden neue APIs wie OpenFlow oder OpenStack und
andere entwickelt. Doch sie sind noch nicht ausgereift und deshalb manchmal
unpassend für Unternehmensnetzwerke und Data Center. Eine Standardisierung über
mehrere Hersteller fehlt bislang, es gibt noch keine einzige Wahl-API aller Hersteller. Es
folgt eine Übersicht der in SDNs nutzbaren APIs mit ihren Vor- und Nachteilen.
CLI (Command Line Interface)
Jeder Hersteller hat seine eigene CLI-Implementierung. Meistens existieren mehrere
unterschiedliche CLIs innerhalb eines Herstellerportfolios. Es gibt kostspielige
Management-/Provisioning-Tools, die mit mehreren Herstellerimplementierungen zu
arbeiten versuchen. Sie eignen sich nur für große Service Provider.
SNMP
Hier sind die Herausforderungen mit CLI vergleichbar. Zudem nutzen viele Hersteller
SNMP nur fürs Monitoring, aber nicht zur Konfiguration und Provisionierung. Enterasys
dagegen verwendet einheitlich bei allen Switches, Routern und Wireless Access Points
im Portfolio SNMP für das Policy Provisioning. Mit Enterasys OneFabric Control Center
lassen sich Policies via SNMP3 nahtlos über alle Layer und Technologien einer
Enterasys-Infrastruktur von einem einzigen, zentralen Kontrollpunkt aus verteilen.
RADIUS
Als Teil der Standardisierung von Attributen für Network Access Control (RFC 3580) dient
dieses Protokoll unter anderem der dynamischen Regelverteilung an Systeme mehrerer
Hersteller. Es hat sich in verschiedenen großen, heterogenen Installationen bewährt.
Auch Enterasys OneFabric Control Center erledigt in derart heterogenen Installationen
diese Aufgabe. Allerdings reichen seine Provisionsfähigkeiten über die grundlegende
VLAN-Policies hinaus, sofern die zu steuernden Netzwerkkomponenten wie Switches,
Access Points oder Remote Access VPN-Gateways weitergehende Regeln wie ACLs und
andere unterstützen. Das Network Access Control Management von Enterasys OneFabric
Control Center abstrahiert gerätespezifische Mechanismen zur Durchsetzung von Regeln
und vereinheitlicht das dynamische Policy-Provisioning und -Management. Eine typische
Lösung für Network Access Control stellt vor allem Netzwerkdienste am Rand der
Infrastruktur bereit. Deshalb sollten andere Netzschichten statisch im Netz vorgehalten
werden. Die fürs Edge definierten Regeln, beispielsweise RADIUS Snooping oder
Bandbreitenmanagement, lassen sich durch geeignete Switches auch auf die
70
Verteilschicht ausdehnen. So nutzen die Geräte der Enterasys S- und K-Serie die PolicyZuweisung am Edge, um feinere granulare Policies für das Endsystem auch auf dem
Distribution Layer durchzusetzen.
NETCONF (Network Configuration Protocol)
Dieses Protokolll (RFC 6241) ist vor allem für Router-Implementierungen vorgesehen und
wird von Enterprise-Produkten unterstützt. Momentan eignet es sich nur für Router
Provisioning in Service-Provider-Netzen oder ähnlichen Infrastrukturen.
XMPP (Extensible Messaging and Presence Protocol)
RFC 6120 wurde entwickelt, um strukturierte, aber riesige Datenmengen zwischen zwei
oder mehr Netzinstanzen in echtzeitähnlichen Geschwindigkeiten auszutauschen. Es
zielt auf Applikationen rund um das Presence Management, kann aber auch für andere
Lösungen genutzt werden.
XML / SOAP (Extensible Markup Language / Simple Object Access Protocol)
NETCONF, XMPP und SOAP nutzen dieses Protokoll als Wrapper/Encoder für ihre
Nachrichtenübertragung. SOAP ist ein „leichtes― Protokoll zum Informationsaustausch in
dezentralisierten, verteilten Umgebungen. Da SOAP applikationsdefinierte Datenarten
unterstützt, kann man es verwenden, um Daten bei der Regelverteilung auszutauschen.
So arbeitet die Verbindung XMP/SOAP-basiert, über die Enterasys OneFabric Control
Center Regelsätze für virtuelle Maschinen in physikalischen und virtuellen
Infrastrukturen (vSwitch) an Managementlösungen für virtualisierte Umgebungen wie
VMware vCenter und Citrix XEN Center (mit Nutzung von Microsoft SCVMM Powershell)
liefert,.
OpenFlow
Dieses Protokoll öffnet normalerweise den Zugriff auf die Forwarding-Ebene. Software
auf einer getrennten Kontrollebene darf über OpenFlow-Controller die Pfade für PaketFlows durch das Netz festlegen. Diese Trennung von Steuerung und Weiterleitung
bedeutet faktisch eine Virtualisierung der Netzinfrastruktur. Sie erlaubt potentiell eine
anspruchsvollere Verkehrssteuerung als ACLs und Routing-Protokolle. OpenFlow wird
hauptsächlich auf einem sicheren Kanal zwischen Switch und Controller eingesetzt.
IF-MAP (Interface for Metadata Access Point)
Die Trusted Computing Group hat mit Trusted Network Connect (TNC) eine offene
Architektur entwickelt und Protokolle zusammengestellt, die hochgradige
Interoperabilität bei gleichzeitig erhöhter Datensicherheit ermöglichen. Außerdem
71
schützt dieses Konzept die betriebliche Integrität der Geräte am IP Netz. Die IF-MAPProtokolle sorgen für sichere, offene und flexible Kommunikation und gestatten es,
Daten zwischen gesicherten Applikationen, Geräten und Systemen zu teilen.
OpenStacks
Ziel von OpenStacks ist eine allgegenwärtige Open-Source Cloud-Computing-Plattform
für öffentliche und private Clouds. Konzerne, Service Provider, Reseller, kleine und
mittlere Betriebe und globale Data Center, die große Cloud Netze für öffentliche oder
private Clouds einsetzen wollen, sind potentielle Nutzer dieser Technologie.
SDN für Netzwerkautomatisierung und Virtualisierung nutzen
SDN in Unternehmensnetzen erlaubt Netzwerkvirtualisierung und automatische
Konfiguration im gesamten Netzwerk/Fabric. So können neue Services und Endsysteme
schnell eingesetzt werden und die Betriebskosten werden minimiert. Neu entstehende
Protokolle wie OpenFlow haben speziell diesen Aspekt im Blick. Doch das angestrebte
Ziel ist schon heute realisierbar, indem man die Vorteile existierender und in
fortgeschrittenen Standardisierungsphasen befindlicher Topologieprotokolle, SPB, VLANs
und VRF/MPLS mit SDN Architekturen kombiniert, um neuen Geräten und Applikationen
Netzwerkressourcen dynamisch bereits am Edge bereitzustellen.
Beispiel Netzwerkvirtualisierung
72
Die Enterasys SDN-Lösung
Die Enterasys OneFabric Architektur mit dem OneFabric Control Center nutzt die Vorteile
des SDN Konzepts. Allerdings wird die Kontrolle an andere IT Systeme delegiert,
beispielsweise an Lösungen für das VM-/Cloud-Management, Tools für das Provisioning
und das DHCP/DNS-Management oder andere Werkzeuge, die Endsysteme im Netz
managen—von mobilen Geräten über VoIP bis zum IP-Videomanagement. Kunden
können mit statischem Policy Provisioning beginnen und SNMP3 auf allen
Netzwerkschichten verwenden. In einer zweiten Phase können sie am Netzwerkrand
dynamisch Policies bereitstellen und dabei von der Authentifizierung oder IdentiFizierung
der Anwender und Endsystemen profitieren. Schließlich können sie den Netzbetrieb und
die Bereitstellung von Regeln, Services und Anwendungen mit Hilfe bestehender ITSysteme automatisieren. Der Core arbeitet dabei normalerweise statisch und bietet
virtualisierte Netzwerkdienste.
In Zukunft wird die direkte und dynamische Flowsteuerung möglich. Denn die HybridArchitektur von Enterasys erlaubt es, auch die Vorteile von SDN-Protokollen wie
OpenFlow zu nutzen.
Typische Anwendungen für SDN sind Lokalisierungsdienste und das Provisionieren in
konvergenten Netzen. Aus Sicherheitsgründen (Notfall-Antwort) und für das
Gerätemanagement brauchen VoIP-Administratoren detaillierte Informationen über
jedes IP-Telefon und andere SIP (Session Initiation Protocol)-fähige Endpunkte am Netz.
Dazu gehört die Telefonnummer des Geräts, IdentiFikationsinformationen wie die MACAdresse des Telefons, auf dem Gerät/Endpunkt laufende Software mit
Versionsbezeichnung sowie alle Konfigurationstemplates, etwa Kurzwahlzuweisungen,
die dem Endgerät zugewiesen wurden. Dazu kommen detaillierte Informationen zum
Standort: angeschlossener Switch und Port, der IP-Adresse des Switches und Ports,
Sicherheitsstatus des Telefons und zugewiesene Netzwerkregeln des Endgeräts.
Diese Informationen wurden lange für jeden Endpunkt am Netz manuell ins System
eingeführt und gewartet. Das verursacht hohen Aufwand, erhöht die Betriebskosten und
skaliert schlecht. Gerade standortbezogene Informationen auf Dauer genau zu halten,
ist fast unmöglich. Umzüge führen in solchen Installationen häufig dazu, dass diese
Daten nicht mehr stimmen. Das liegt daran, dass der VoIP (Voice over IP)-Controller zwar
MAC-Adresse, Telefonnummer, Gerätetyp, Software und Softwareversion aller
registrierten Telefone automatisch lernt, nicht jedoch Informationen zum Standort.
Anders ist es, wenn man OneFabric Control Center in eine VoIP-Infrastruktur von
Siemens integriert. Diese Kombination bietet automatisierte Lokalisierungsdienste für
VoIP-Telefone. Zugriffskontrolle und Lokalisierungsdienste erkennen ein IP-Telefon,
73
sobald es sich zum ersten Mal mit dem Netz verbindet. Telefon und Telefonnummer
werden automatisch den detaillierten Standortinformationen zugewiesen. Das betrifft
den Switch (oder Wireless Controller), den Port (oder die SSID an WLAN Access Points),
an den das Telefon angeschlossen ist, die IP Adresse des Switches/Wireless Controllers,
die Lokalisierung von Switch und Port, die Port ELIN (Emergency Location Information
Number), den Sicherheitsstatus des Telefons, die dem Telefon zugewiesenen
Netzwerkregeln und seinen momentanen Status. Die automatische Zuweisung reduziert
die administrativen und betrieblichen Kosten, da die Informationen nicht manuell in eine
Datenbank eingegeben werden müssen und sich bei Umzügen automatisch
aktualisieren.
Besonders kritisch ist das, wenn es im Notfall darum geht, ein Telefon schnell zu
lokalisieren. Sobald ein IP Telefon erkannt und autorisisert wurde, kann dem gesamten
Traffic des Telefons die VoIP-Policy-Rolle zugewiesen werden. Dieser Regelsatz hat zwei
Elemente: Das Sicherheitselement schützt den VoIP Server vor Attacken, indem nur
autorisierte IP-Telefone VoIP-Protokollpakete zum Server schicken dürfen. Das QoSElement markiert und priorisiert alle vom Telefon kommenden Pakete, um
Verzögerungen im Netz zu minimieren und die Sprachqualität zu verbessern. Dadurch
bleibt die hohe Sprachqualität auch bei mehr Verkehr im Netz erhalten.
Die Enterasys OneFabric Architektur nutzt SDN-Architekturkomponenten, um das
gesamte Netz von einem zentralen Punkt aus durchschau- und kontrollierbar zu
machen. Durch diese zentralisierte Transparenz können Infrastruktur- und ApplikationsTeams kooperieren. Das senkt die Kosten und verringert das Auftreten von Fehlern im
typischen
Netzwerkbetrieb.
Die
einst
komplexe
Aufgabe,
Server
und
Netzwerkinfrastruktur zu provisionieren und deprovisionieren, wird radikal vereinfacht:
Regeln werden lokal definiert und auch in sehr großen Netzen flächendeckend
durchgesetzt, die Betriebseffizienz steigt und Applikationen lassen sich verlässlich
bereitstellen.
74
Kapitel 2 - OneFabric Edge
Enterasys A/B/C-Serie
Die A/B/C-Switchserie besteht aus kostengünstigen Switches mit Routing- und Secure
Networks™-Unterstützung. Die Geräte kommen im Accessbereich in der 10/100
Ethernet-Variante und im Server-Bereich in der 10/100/1000 Ethernet Variante mit
10Gbit Uplink zum Einsatz.
Die Buchstaben A/B/C kennzeichnen drei unterschiedliche Varianten. Gestapelt in
Stacks, sind sie einfach zu verwalten und bieten gleichzeitig hohe Portdichte: Pro Switch
sind bis zu 48 Enduser-Ports und 4 Uplink-Ports möglich. Stacks können aus maximal
acht verbundenen Switches bestehen, pro Stack ergeben sich so bis zu 384 EnduserPorts. In einem Stack lassen sich nur Modelle einer Serie kombinieren (A, B oder C).Eine
Closed-Loop-Lösung mit bidirektionalen Switchverbindungen sorgt in Switch-Stacks für
Hochverfügbarkeit. Dabei wird bei Ausfall eines Switch innerhalb des Stacks der Ring
(Closed Loop) dynamisch geschlossen und so ein Single Point of Failure beim Stacken
vermieden.
Alle Switches sind auch in einer PoE-Variante (Power over Ethernet) erhältlich und durch
die Kennung P am Ende der Bestellnummer gekennzeichnet. Die PoE-Switches erkennen
adaptiv den Stromverbrauch der angeschlossenen Geräte. Dadurch wird die verfügbare
Leistung optimal verteilt. Alle Module nutzen dieselben Netzteile, die auf Wunsch auch
redundant lieferbar sind.
Wichtig für Switches in Netzen mit Distribution Layer Security ist die Unterstützung von
EAP-Forwarding. So ist auch bei Nutzung von Spanning Tree eine zentrale IEEE 802.1x
Authentifizierung über den Switch möglich. Neben 802.1x werden auch MAC, Web und
CEP Authentifizierung unterstützt. Da die Switche diese Authentifizierungsarten auch
gleichzeitig an einem Port unterstützen, entfällt eine statische Konfiguration nach
Gerätetypen. Dadurch wird eine hohe Mobilität in einer konvergenten Infrastruktur
gewährleistet. Zusätzlich lässt sich die Kommunikation zwischen den Access Ports so
weit einschränken, dass nur noch Access- und Uplink Ports Daten austauschen können.
Das schafft optimale Sicherheit auch bei einer nachgelagerter Authentifizierung z.B.
über die Uplinks der Enterasys S-Serie. .
Lebenslange Garantie
Kunden können Switches aus der A/B/C-Serie bis zu 30 Tage nach dem Eingang der
Ware bei Enterasys registrieren lassen. Dadurch erhalten sie eine lebenslange Garantie
75
(Lifetime Warranty, LW) für die fehlerfreie Funktion der Switche bis mindestens fünf
Jahre nach der Einstellung des Produktes bei Enterasys Networks.
Die Garantie umfasst kostenlose Firmware-Bugfixes und die Bereitstellung von
Ersatzgeräten nach vorhergehender Beratung durch das GTAC.
Mehr Informationen dazu unter:
http://www.enterasys.com/company/literature/enterasys-lw-ds.pdf
Enterasys A4
Enterasys A4 ist ein leistungsstarker, schneller Ethernet-Edge-Switch mit einer SwitchingKapazität von 12,8 Gbps. Das Gerät hat bis zu 24 100Base-FX-Ethernet-Ports und 4
Gigabit-Ethernet-Uplink-Ports.
Der
Switch
arbeitet
auch
im
Stack
mit
Leitungsgeschwindigkeit, ist skalierbar und eignet sich besonders für
brandbreitenintensive und verzögerungssensitive Applikationen. Er unterstützt 8.000
MAC Adressen. Damit passt der A4 besonders gut in Umgebungen, die Support für
100Base-FX-Ethernet-Ports mit Gigabit-Uplinks benötigen. Der A4 bietet Multi-LayerPaketklassifizierung und Prioritätsqueuing für unterschiedliche Dienste. Bis zu acht A4Switches lassen als Stack zu einem virtuellen Switch verbinden, der 102,4 Gbps
Kapazität bietet und bis zu 192 100Base-FX-Ethernet-Ports sowie 16 Gigabit-EthernetUplink-Ports zur Verfügung stellt.
Durch robuste QoS- Eigenschaften eignet sich der A4 besonders für integrierte
Multimedia-Netzwerke mit VoIP und Video sowie datenintensive Anwendungen. Das
Gerät hat pro Port acht in Hardware realisierte Prioritätsqueues, die Services mit
maximal sechs unterschiedlichen Dringlichkeitsstufen unterstützen. In Verbindung mit
seiner blockierungsfreien Layer-2-Switching-Architektur stellt der intelligente QueuingMechanismus des A4 sicher, dass geschäftskritische Anwendungen vorrangigen Zugriff
auf Netzwerkresourcen erhalten. Der Switch garantiert durch seine Authentifizierungsund Sicherheits-Features auf Port- oder User-Ebene ein sicheres Netzwerk. Pro Port ist
ein Endgerät oder ein Nutzer anschließbar, die Authentifizierung erfolgt via IEEE 802.1x
oder MAC Adresse.
Enterasys A4 - Zuverlässigkeit und Verfügbarkeit
Redundanz und Fehlerschutz, Grundvoraussetzungen für ein zuverlässiges Netz,
realisiert der A4-Switch durch automatisierte Fehler- und Recoveryleistungen. Strom
bekommt der A4 durch eine integrierte Stromversorgung, optional ist auch eine externe
Stromversorgung möglich, die für Redundanz sorgt. Werden bis zu acht der A4-Switches
zu einem Stack verbunden, entsteht ein virtueller Switch mit einer einzigen IP-Adresse,
76
der mit redundantem Management verwaltet werden kann. Das Closed-Loop-Stacking
des A4 nutzt bidirektionale Switchverbindungen, damit auch bei Fehlern auf der
physikalischen Ebene der Switches die Verbindungen im virtuellen Switch erhalten
bleiben. Bis zu acht Ethernet Ports lassen sich in einer Multi-Link-Aggregation Gruppe
(LAG) zusammenfassen. Der A4 unterstützt mehrere LAGs, die über mehrere A4s
innerhalb eines Stacks verteilt sein dürfen. Das verhindert Unterbrechungen der
Datenkommunikation aufgrund von Fehlern auf Switchlevel.
Enterasys A4 - Investitionsschutz
Der A4 ist ein kosteneffektiver, stapelbarer Switch mit breitgefächertem Featureset für
Netze von heute und morgen. Für alle Switche der A-Serie übernimmt Enterasys ohne
Zusatzkosten eine lebenslange Garantie. Zum Garantieumfang gehören Vorabaustausch
der Hardware, Firmware-Upgrades und Telefonsupport.
A4 Stack 8F8T 24FX
77
Technische Eigenschaften
A4h124-24
A4h124-24P
A4h124-48
A4h124-48P
A4h254-8F8T
A4h124-24FX
9.5 Mpps /
76.2 Mpps
9.5 Mpps /
76.2 Mpps
13.1 Mpps /
104.8 Mpps
13.1 Mpps /
104.8 Mpps
8.3 Mpps /
66.7 Mpps
9.5 Mpps /
76.2 Mpps
12.8 Gbps (9.5
Mpps) /
102.4 Gbps
(76.2 Mpps)
4.0 Gbps (2.98
Mpps)/32.0
Gbps (23.8
Mpps)
No dedicated
stacking on A4;
Up to two
Gigabit uplinks
can be used
for stacking or
uplinks
12.8 Gbps (9.5
Mpps) /
102.4 Gbps
(76.2 Mpps)
12.8 Gbps (9.5
Mpps) /
102.4 Gbps
(76.2 Mpps)
4.0 Gbps (2.98
Mpps)/32.0
Gbps (23.8
Mpps)
No dedicated
stacking on A4;
up to two
Gigabit uplinks
can be used
for stacking or
uplinks
12.8 Gbps (9.5
Mpps) /
102.4 Gbps
(76.2 Mpps)
17.6 Gbps
(13.1 Mpps) /
140.8 Gbps
(104.8 Mpps)
4.0 Gbps (2.98
Mpps)/32.0
Gbps (23.8
Mpps)
No dedicated
stacking on A4;
up to two
Gigabit uplinks
can be used
for stacking or
uplinks
17.6 Gbps
(13.1 Mpps) /
140.8 Gbps
(104.8 Mpps)
17.6 Gbps
(13.1 Mpps) /
140.8 Gbps
(104.8 Mpps)
4.0 Gbps (2.98
Mpps)/32.0
Gbps (23.8
Mpps)
No dedicated
stacking on A4;
up to two
Gigabit uplinks
can be used
for stacking or
uplinks
17.6 Gbps
(13.1 Mpps) /
140.8 Gbps
(104.8 Mpps)
11.2 Gbps (8.3
Mpps) / 89.6
Gbps (66.7
Mpps)
4.0 Gbps (2.98
Mpps)/32.0
Gbps (23.8
Mpps)
No dedicated
stacking ports
on the A4;
10/100/1000
can be used
for stacking or
uplinks
12.8 Gbps (9.5
Mpps) / 102.4
Gbps (76.2
Mpps)
4.0 Gbps (2.98
Mpps)/32.0
Gbps (23.8
Mpps)
No dedicated
stacking ports
on the A4;
10/100/1000
can be used
for stacking or
uplinks
N/A
Yes
N/A
Yes
N/A
N/A
N/A
370 watts per
switch with up
to 15.4 watts
per port
Per-port switch
power monitor:
•
Enable/disable
• Priority
safety
• Overload &
short circuit
protection
N/A
415 watts per
switch with up
to 15.4 watts
per port
Per-port switch
power monitor:
•
Enable/disable
• Priority
safety
• Overload &
short circuit
protection
N/A
N/A
H: 4.4 cm
(1.73‖)
W: 44.1 cm
(17.36‖)
D: 36.85 cm
(14.51‖)
5.50 kg (12.13
lb)
286,587 hours
H: 4.4 cm
(1.73‖)
W: 44.1 cm
(17.36‖)
D: 36.85 cm
(14.51‖)
4.59 kg (10.12
lb)
323,946 hours
H: 4.4 cm
(1.73‖)
W: 44.1 cm
(17.36‖)
D: 36.85 cm
(14.51‖)
6.00 kg (13.23
lb)
232,259 hours
H: 4.4 cm
(1.73‖)
W: 44 cm
(17.32‖)
D: 36.5 cm
(14.37‖)
4.78 kg (10.50
lb)
388,498 hours
H: 4.4 cm
(1.73‖)
W: 44 cm
(17.32‖)
D: 36.5 cm
(14.37‖)
4.85 kg (10.69
lb)
388,135 hours
Performance
Throughput
Capacity wirespeed Mpps
(switch /
stack)
Switching
Capacity
(switch /
stack)
Stacking
Capacity
(switch /
stack)
Aggregate
Throughput
Capacity
(switch /
stack)
PoE Specifications
802.3af
Interoperable
System Power
Physical Specifications
Dimensions
(H x W x D)
Net Weight
MTBF
H: 4.4 cm
(1.73‖)
W: 44.1 cm
(17.36‖)
D: 20.7 cm
(8.15‖)
2.58 kg (5.69
lb)
408,618 hours
78
Physical Ports
• (24) 10/100
auto-sensing,
autonegotiating
MDI/MDI-X
RJ45 ports
• (2) SFP ports
• (2) Gigabit
stacking/uplin
k Rj45 ports
• (1) DB9
console port
• (1) RPS port
• (24) 10/100
PoE (.af) autosensing, autonegotiating
MDI/MDI-X
RJ45 ports
• (2) SFP ports
• (2) Gigabit
stacking/uplin
k Rj45 ports
• (1) DB9
console port
• (1) RPS port
• (48) 10/100
auto-sensing,
autonegotiating
MDI/MDI-X
RJ45 ports
• (2) SFP ports
• (2) Gigabit
stacking/uplin
k Rj45 ports
• (1) DB9
console port
• (1) RPS port
• (48) 10/100
PoE (.af) autosensing, autonegotiating
MDI/MDI-X
RJ45 ports
• (2) SFP ports
• (2) Gigabit
stacking/uplin
k Rj45 ports
• (1) DB9
console port
• (1) RPS port
• (8)
10/100BASE-T
RJ45 ports
• (8) 100BaseFX MT-RJ ports
• (2) Gigabit
Ethernet SFP
ports
• (2)
10/100/1000
stacking/uplin
k RJ45 ports
• (1) DB9
console port
• (1) RPS port
• (24)
100Base-FX
MTRJ fiber
optic ports
• (2) mini-GBIC
ports
• (2)
10/100/1000
stacking/uplin
k RJ45 ports
• (1) DB9
console port
• (1) RPS port
Power Requirements
Normal Input
Voltage
Input
Frequency
Input Current
100 – 240 VAC
100 – 240 VAC
100 – 240 VAC
100 – 240 VAC
100 – 240 VAC
100 – 240 VAC
50 – 60 Hz
50 – 60 Hz
50 – 60 Hz
50 – 60 Hz
50 – 60 Hz
50 – 60 Hz
1.0 A Max
5 A Max
1.0 A Max
5 A Max
1.0 A Max
1.0 A Max
Power
Consumption
Temperature
31 watts
63 watts
47 watts
73 watts
47 watts
66 watts
IEC 6-2-1
Standard
Operating
Temperature
IEC 6-2-14
Non-Operating
Temperature
Heat
Dissipation
humidity
0° to 50° C
(32° to 122°
F)
0° to 50° C
(32° to 122°
F)
0° to 50° C
(32° to 122°
F)
0° to 50° C
(32° to 122°
F)
0° to 50°C
(32° to 122°
F)
0° to 50°C
(32° to 122°
F)
-40° to 70° C
(-40° to 158°
F)
105 BTUs/Hr
-40° to 70° C
(-40° to 158°
F)
215 BTUs/Hr
-40° to 70° C
(-40° to 158°
F)
161 BTUs/Hr
-40° to 70° C
(-40° to 158°
F)
249 BTUs/Hr
-40° to 70°C
(-40° to 158°
F)
161 BTUs/Hr
-40° to 70°C
(-40° to 158°
F)
224 BTUs/Hr
Operating
Humidity
Vibration
5% - 95% noncondensing
IEC 68-2-6,
IEC68-2-36
IEC 68-2-6,
IEC68-2-36
IEC 68-2-6,
IEC68-2-36
IEC 68-2-6,
IEC68-2-36
IEC 68-2-6,
IEC68-2-36
IEC 68-2-6,
IEC68-2-36
IEC 68-2-29
IEC 68-2-29
IEC 68-2-29
IEC 68-2-29
IEC 68-2-29
IEC 68-2-29
IEC 68-2-32
IEC 68-2-32
IEC 68-2-32
IEC 68-2-32
IEC 68-2-32
IEC 68-2-32
41.5 dB when
50.0 dB
the fan runs
Agency and Regulatory Standard Specifications
47.0 dB
50.0 dB
50.0 dB
51.5 dB
Safety
UL 60950-1,
CSA 22.1
60950, EN
60950-1, and
IEC 60950-1
UL 60950-1,
CSA 22.1
60950, EN
60950-1, and
IEC 60950-1
UL 60950-1,
CSA 22.1
60950, EN
60950-1, and
IEC 60950-1
UL 60950-1,
CSA 22.1
60950, EN
60950-1, and
IEC 60950-1
Shock
drop
Acoustics
UL 60950-1,
CSA 22.1
60950, EN
60950-1, and
IEC 60950-1
UL 60950-1,
CSA 22.1
60950, EN
60950-1, and
IEC 60950-1
79
EMC
Environmenta
l
FCC Part 15
(Class A), ICES003 (Class A),
BSMI, VCCI
V-3, AS/NZS
CISPR 22
(Class A), EN
55022 (Class
A), EN 55024,
EN 61000-3-2,
and
EN 61000-3-3
2002/95/EC
(RoHS
Directive),
2002/96/EC
(WEEE
Directive)
FCC Part 15
BSMI, VCCI
V-3, AS/NZS
CISPR 22
(Class A), EN
55022 (Class
A), EN 55024,
EN 61000-3-2,
and
EN 61000-3-3
2002/95/EC
(RoHS
Directive),
2002/96/EC
(WEEE
Directive)
FCC Part 15
BSMI, VCCI
V-3, AS/NZS
CISPR 22
(Class A), EN
55022 (Class
A), EN 55024,
EN 61000-3-2,
and
EN 61000-3-3
2002/95/EC
(RoHS
Directive),
2002/96/EC
(WEEE
Directive)
FCC Part 15
BSMI, VCCI
V-3, AS/NZS
CISPR 22
(Class A), EN
55022 (Class
A), EN 55024,
EN 61000-3-2,
and
EN 61000-3-3
2002/95/EC
(RoHS
Directive),
2002/96/EC
(WEEE
Directive)
FCC Part 15
BSMI, VCCI V3, AS/NZS
CISPR 22
(Class A), EN
55022 (Class
A), EN 55024,
EN 61000-32, and EN
61000-3-3
2002/95/EC
(RoHS
Directive),
2002/96/EC
(WEEE
Directive)
FCC Part 15
BSMI, VCCI V3, AS/NZS
CISPR 22
(Class A), EN
55022 (Class
A), EN 55024,
EN 61000-32, and EN
61000-3-3
2002/95/EC
(RoHS
Directive),
2002/96/EC
(WEEE
Directive)
Redundante Stromversorgung – Equipment Spezifikationen
STK-RPS-150CH2 Power
Shelf
STK-RPS-150CH8 Power
Shelf
STK-RPS-150PS Power
Supply
Power Supply Slots
2
8
-
Dimensionen
H: 5,5 cmB: 44 cmT: 18
cm
H: 22,26 cmB: 44 cmT:
26,4 cm
H: 19,6 cmB: 5,2 cmT:
25,7 cm
Gewicht
0,95 kg
5,27 kg
1,75 kg
MTBF
-
-
300.000 Std.
Betriebstemperatur
-
-
0° bis 50°
Lagertemperatur
-
-
-30° bis 73°
Feuchtigkeit
-
-
10%-90%
Stromversorgung
-
-
50-60 Hz, 100-240 VAC
Maximum Ausgangsleistung
-
Stetig 150 W
80
Bestellinformationen
Part Number
description
A4 Switches
A4H124-24
A4H124-24P
A4H124-48
A4H124-48P
A4H124-24FX
A4H254-8F8T
24 x 10/100, (2) SFP Ports, (2) 10/100/1000 stacking/uplink RJ45 ports, Ext
RPS
24 x 10/100 PoE (.af), (2) SFP Ports, (2) 10/100/1000 stacking/uplink RJ45
ports, Ext RPS
48 x 10/100, (2) SFP Ports, (2) 10/100/1000 stacking/uplink RJ45 ports, Ext
RPS
48 x 10/100 PoE (.af), (2) SFP Ports, (2) 10/100/1000 stacking/uplink RJ45
ports, Ext RPS
24 x 100Base-FX, (2) SFP Ports, (2) 10/100/1000 stacking/uplink RJ45 ports,
Ext RPS
8 x 100Base-FX plus 8 x 10/100, (2) SFP ports, (2) 10/100/1000
stacking/uplink RJ45 ports, Ext RPS
Cables
SSCON-CAB
Spare DB9 Console Cable
Redundant Power Supplies
STK-RPS-150CH2
2-slot modular power supply shelf (power supply STK-RPS-150PS sold separately)
STK-RPS-150CH8
STK-RPS-150PS
150W Non-PoE redundant power supply
STK-RPS-500PS
500W redundant PoE power supply
Enterasys A4—Features, Standards und Protokolle
Switching Services
Full/half duplex auto-sense support on all ports
IEEE 802.1D – MAC Bridges
IGMP Snooping v1/v2/v3
IEEE 802.1s – Multiple Spanning Trees
Jumbo Frame support (9,216 bytes)
IEEE 802.1t – 802.1D Maintenance
Loop Protection
IEEE 802.1w – Rapid Spanning Tree Reconvergence
One-to-One and Many-to-One Port Mirroring
IEEE 802.3ab – GE over Twisted Pair
Port Description
IEEE 802.3ad – Link Aggregation
Protected Ports
IEEE 802.3i – 10Base-T
Per-Port Broadcast Suppression
IEEE 802.3u – 100Base-T, 100Base-FX
Spanning Tree Backup Root
IEEE 802.3z – GE over Fiber
STP Pass Thru
Security
RADIUS Client
IEEE 802.1x Port Authentication
Secured Shell (SSHv2)
MAC-based Port Authentication
Secured Socket Layer (SSL)
Password Protection (encryption)
81
MIB Support
RFC 2620 – RADIUS Accounting Client MIB
Enterasys Entity MIB
RFC 2668 – Managed Object Definitions for 802.3
MAUs
Enterasys VLAN Authorization MIB
RFC 2674 – P-BRIDGE-MIB
IEEE 802.1X MIB – Port Access
RFC 2674 – QBRIDGE-MIB VLAN Bridge MIB
IEEE 802.3ad MIB – LAG MIB
RFC 2737 – Entity MIB (physical branch only)
RFC 826 – ARP and ARP Redirect
RFC 2819 – RMON-MIB
RFC 951 – BOOTP
RFC 2863 – IF-MIB
RFC 1213 – MIB/MIB II
RFC 2933 – IGMP MIB
RFC 1493 – BRIDGE-MIB
RFC 3289 – DiffServ MIB
RFC 1643 – Ethernet-like MIB
RFC 3413 – SNMP v3 Applications MIB
RFC 2131 – DHCP Client
RFC 2233 – IF-MIB
RFC 3414 – SNMP v3 User-based Security Module
(USM) MIB
RFC 2271 – SNMP Framework MIB
RFC 3415 – View-based Access Control
RFC 2618 – RADIUS Authentication Client MIB
Model for SNMP
RFC 3580 – IEEE 802.1X Remote Authentication
Dial In User Service (RADIUS) Usage Guidelines
RFC 3584 – SNMP Community MIB
VLAN Support
IEEE 802.1v – Protocol-based VLANs
Generic Attribute Registration Protocol (GARP)
IEEE 802.3ac – VLAN Tagging Extensions
Generic VLAN Registration Protocol (GVRP)
Port-based VLAN (private port/private VLAN)
IEEE 802.1p – Traffic classification
Tagged-based VLAN
IEEE 802.1q – VLAN Tagging
VLAN Marking of Mirror Traffic
Management
RFC 854 – Telnet
Alias Port Naming
RFC 1157 – SNMP
Command Line Interface (CLI)
RFC 1901 – Community-based SNMPv2
Configuration Upload/Download
Editable Text-based Configuration File
RFC 3413 – SNMP Applications MIB
FTP/TFTP Client
RFC 3414 – SNMP User-based Security
Multi-configuration File Support
Module (USM) MIB
NMS Automated Security Manager
Module (USM) MIB
NMS Console
NMS Inventory Manager
Model for SNMP
NMS Policy Manager
RMON (Stats, History, Alarms, Events)
Node/Alias Table
Simple Network Time Protocol (SNTP)
82
SSH
Text-based Configuration Upload/Download
Syslog
Web-based Management
Telnet
Webview via SSL Interface
Quality of Service
IP Protocol
6 User Addressable Priority Queues per Port
Queuing Control – Strict and Weighted Round Robin
802.3x Flow Control
Source/Destination IP Address
IP DSCP – Differentiated Services Code Point
Source/Destination MAC Address
IP Precedence
Unterstützte Funktionalitäten
MAC Address Table Size
Embedded Services
8,000
Ingress Rate Limiting
VLANs
IP TOS Rewrite
4,096 VLAN IDs
Layer 2/3/4 Classification
1,024 VLAN Entries per Stack
Multi-layer Packet Processing
83
Enterasys B5/C5
Enterasys B5 ist ein leistungsstarker Gigabit-Ethernet-Edge-Switch mit einer Kapazität
von 188 Gbps. Er arbeitet mit Leitungsgeschwindigkeit und unterstützt 16000 MACAdressen. Das Gerät eignet sich besonders für bandbreitenintensive und
verzögerungssensitive Applikationen. Damit ist der B5 erste Wahl für Umgebungen, in
denen es auf komplettes, mehrschichtiges Switching, Support für eine hohe Dichte an
10/100/1000-Ethernet-Ports und schnelles statisches Routing ankommt. Zusätzlich
zum mehrschichtigen Switching bietet der B5 auch grundlegende RoutingEigenschaften, in Form von RIP, statisches IPv4-Routing und IPv6-Management-Support.
Das Gerät unterstützt bis zu 48 10/100/1000Mbps-Ethernet-Ports und 4x Gigabit- bzw.
Optional 2x 10-Gigabit-Ethernet-Uplink-Ports.
Auch im Stack, der bis zu acht B5 (mit je 24 und 48 Ports, auch gemischt) umfassen
darf, arbeitet der Switch mit Leitungsgeschwindigkeit. Der Stack ergibt einen virtuellen
Switch, der maximal 1,5 Tbps Kapazität und bis zu 384 10/100/1000.Mbps-EthernetPorts sowie 32 Gigabit-Ethernet- oder 16 10-Gigabit-Ethernet-Uplink-Ports zur Verfügung
stellt. Das leistungsfähige rollenbasierte Managementkonzept ermöglicht Hunderte
individueller Policys. Diese gestatten eine sehr detaillierte Definition des
Netzwerkzugangs und der Nutzungsrechte für die verschiedenen Nutzer und
Applikationen im Netzwerk. Dadurch lässt sich die Nutzung der Netzwerkressourcen
genau an Geschäftszielen und Prioritäten ausrichten.
Enterasys C5 ist ein leistungsstarker Gigabit-Ethernet-Switch mit gegenüber dem Modell
B5 erhöhter Switching-Kapazität von 264 Gbps.. Diese Switching Serie verfügt über alle
bereits genannte B5-Features. Zusätzlich bietet der Switch einen erweiterten
Funktionsumfang für dynamischen Routing und eine höhere Skalierbarkeit im Bereich
der Authentifizierung und Authorisierung. Die maximale Stackgröße (acht Switches)
ergibt hier einen virtuellen Switch mit maximal 2,11 Tbps Kapazität.
84
Enterasys B5/C5 – QoS
Robuste QoS (Quality of Service)-Eigenschaften empfehlen die Switchmodelle B5 und C5
für integrierte Multimedia-Netzwerke mit VoIP und Video sowie alle datenintensiven
Anwendungen. Das leistungsfähige Policy-Management des B5/C5 ermöglicht die
Zusammenarbeit zwischen den an die anspruchsvollen Anwendungen angepassten
Paketklassifizierungsmechanismen auf den Schichten 2/3/4 und den acht in Hardware
realisierten Prioritätsqueues an jedem Ethernet Port. Dadurch sind differenzierte
Services mit maximal acht unterschiedlichen Prioritätsklassen möglich. In Verbindung
mit seiner blockierungsfreien Layer-2-Switching- und Layer-3-Routingarchitektur stellt der
intelligente Queuing-Mechanismus sicher, dass zeitkritische Anwendungen vorrangig auf
die Netzwerkressourcen zugreifen dürfen.
Die Authentifizierungs- und Sicherheitsfeatures des C5/B5 schützen das Netzwerk vor
Angriffen von innen und außen. Die rollenbasierenden Sicherheitsmechanismen lassen
sich pro Port oder pro Anwender definieren. So sollte ein Gast andere
Zugriffsmöglichkeiten als ein Angestellter haben. Mit Hilfe des NetSight Policy Manager
oder über das Command-Line-Interface können Netzwerkadministratoren für operative
Gruppen (Leiter, Angestellter, Gast, Geschäftsführung…) im Unternehmen individuelle
Rollen oder Profile definieren. Dabei können mehrere Benutzer oder Geräte gleichzeitig
pro Port über IEEE 802.1X, MAC-Adresse oder Web-Authentifizierung Netzzugang
erhalten. Ihnen wird dann eine definierte operative Rolle zugewiesen. Netzwerkprozesse
lassen sich leicht so zuschneiden, dass sie die Geschäftsanforderungen optimal
unterstützen. Jede definierte Rolle erhält individualisierten Zugriff zu den NetzwerkServices und –Anwendungen.
Die Geräte der C/B-Serie beiten bei nur einerHöheneinheit (1U) im Rack eine hohe PortDichte. Sie entsprechen den gestiegen Anforderungen in Sachen Energieffizienz und
Umweltfreundlichkeit. Erhöht sich zum Beispiel die Port-Dichte innerhalb eines
gegebenen Rack-Zwischenraums, verringert der C5/B5 die Kühlanforderungen. Das
niedertourigeaktive Gebläse verfügt über eine extreme Toleranz gegenüber hohen
Umgebungstemperaturen und sorgt somit für einen geringen Stromverbrauch des
C5/B5. Ihre hochskalierbare Architektur und die lebenslange Garantie machen die
C5/B5-Switches zu einer zukunftsfähigen Investition in eine sichere, funktionsreiche und
kosteneffektive Netzwerkinfrastruktur.
Enterasys B5/C5 - Zuverlässigkeit und Verfügbarkeit
Die C5 und B5 Switche verfügenüber eine integrierte Stromversorgung als primäre
Stromquelle. Optional ist eine zweite externe Stromversorgung erhältlich. Zusätzlich zur
85
Standard-Version des C5/B5 gibt es auch eine PoE-Version für Netzwerkgeräte mit
externer Stromversorgung wie Wireless Access Points, VoIP-Telefone und
Netzwerkkameras. Diese ist für Modelle der B-Serie als redundante Stromversorgung
ausgelegt. Für die Modelle der C-5 Serie erhöht die redundante Stromversorgung im
Normalbetrieb zusätzlich die mögliche Liestungsabgabe für PoE-Ports.
Enterasys B5/C5 - Investitionsschutz
Der C5/B5 ist ein kosteneffektiver, stapelbarer Switch mit umfassendem, breit
gespanntem Featureset. Kunden können ihr Netzwerk vergrößern und weiterentwickeln,
wobei ihre Investitionen in die C5/B5-Switches geschützt ist. Denn die vorhandene
Infrastruktur lässt sich umstandslos durch zusätzliche C5's/B5‘s erweitern. Werden
mehrere C5's/B5‘s zu Stacks verbunden, nutzt jeder Switch im Stack nur die
Eigenschaften, die alle Switches im Stack unterstützen, um Kompatibilität
sicherzustellen.
Der C5/B5 unterstützt Hunderte individueller Policys, die fein differenzierte
Netzwerkzugangsleistungen für jede Rolle ermöglichen. Das passt die Verteilung der
Netzwerkressourcen an Geschäftsziele und Prioritäten an.
86
Enterasys B5/C5—Features, Standards und Protokolle
MAC Address Table Size
VLANs
32,000
4,094 VLAN IDs
1,024 VLAN Entries per Stack
Switching Services Protocols
Host CPU Protection – Broadcast/ Multicast/
IEEE 802.1AB – LLDP
Unknown Unicast Suppression
ANSI/TIA-1057 – LLDP-MED
IEEE 802.1D – MAC Bridges
STP Pass Thru
IEEE 802.1s – Multiple Spanning Trees
IEEE 802.3ae – 10 Gigabit Ethernet (fiber)
IEEE 802.3af – PoE
IEEE 802.1w – Rapid Spanning Tree Reconvergence
IEEE 802.3at – High Power PoE (up to 30W per port)
IEEE 802.3 – Ethernet
IEEE 802.3ab – GE over Twisted Pair
IEEE 802.3ad – Link Aggregation
IEEE 802.3ae – 10 Gigabit Ethernet (fiber)
IEEE 802.3af – PoE
IEEE 802.3at – High Power PoE (up to 30W per port)
Loop Protection
Port Description
Protected Ports
Selectable LAG Configuration Ready (6 x 8, 12 x 4,
24 x 2)
Host CPU Protection – Broadcast/ Multicast/
Loop Protection
Unknown Unicast Suppression
Port Description
STP Pass Thru
Protected Ports
Selectable LAG Configuration Ready (6 x 8, 12 x 4,
24 x 2)
87
VLAN Support
Protocol-based VLANs with Enterasys Policy
Generic Attribute Registration Protocol (GARP)
IEEE 802.3ac – VLAN Tagging Extensions
Port-based VLAN (private port/private VLAN)
IEEE 802.1p – Traffic classification
Tagged-based VLAN
IEEE 802.1Q – VLAN Tagging
VLAN Marking of Mirror Traffic
Security
Multi-user Authentication
ARP Spoof Protection
Password Protection (encryption)
DHCP Spoof Protection
Secure Networks Policy
IEEE 802.1X Port Authentication
Secured Shell (SSHv2)
MAC-based Port Authentication
Secured Socket Layer (SSL)
RADIUS Accounting for network access
User and IP Phone Authentication
RADIUS Client
Web-based Port Authentication
RFC 3580 – IEEE 802.1X RADIUS Usage Guidelines
IPv4 Routing
RFC 1519 Classless Inter-Domain Routing
Standard Access Control List (ACLs)
RFC 1724 – RIPv2 MIB Extension
Extended ACLs
RFC 2236 – IGMPv2
VLAN-based ACLs
RFC 2328 – OSPF version 2
ARP & ARP Redirect
RFC 2338 – IP Redundancy VRRP
DVMRP
RFC 2362 – PIM-SM
IP Helper Address
RFC 2453 – RIP v2
RFC 826 – Ethernet ARP
RFC 3046 – DHCP/BootP Relay
RFC 1058 – RIP v1
RFC 3376 – IGMPv3
RFC 1256 – ICMP Router Discovery Messages
RFC 3768 – VRRP – Virtual Router Redundancy
Protocol Static Routes
88
IPv6 Routing
RFC 2740 – OSPFv3
RFC 1981 – Path MTU for IPv6
RFC 2893 – Transition Mechanisms for IPv6 Hosts
+ Routers (6 over 4 configured)
RFC 2373 – IPv6 Addressing
RFC 3315 – DHCPv6 (stateless + relay)
RFC 2460 – IPv6 Protocol Specification
RFC 3484 – Default Address Selection for IPv6
RFC 2461 – Neighbor Discovery
RFC 3493 – Basic Socket Interface for IPv6
RFC 2462 – Stateless Autoconfiguration
RFC 3513 – Addressing Architecture for IPv6
RFC 2463 – ICMPv6
RFC 3542 – Advanced Sockets API for
RFC 2464 – IPv6 over Ethernet
RFC 3587 – IPv6 Global Unicast Address Format
RFC 2473 – Generic Packet Tunneling in IPv6
RFC 3736 – Stateless DHCPv6
Dual IPv4/IPv6 TCP/IP Stack
RFC 2711 – IPv6 Router Alert
MIB Support
RFC 2466 – ICMPv6 MIB
Enterasys Entity MIB
Enterasys Policy MIB
RFC 2618 – RADIUS Authentication Client MIB
Enterasys VLAN Authorization MIB
RFC 2620 – RADIUS Accounting Client MIB
ANSI/TIA-1057 – LLDP-MED MIB
RFC 2668 – Managed Object Definitions
IEEE 802.1AB – LLDP MIB
for 802.3 MAUs
IEEE 802.1X MIB – Port Access
RFC 2674 – P-BRIDGE-MIB
IEEE 802.3ad MIB – LAG MIB
RFC 2674 – QBRIDGE-MIB VLAN Bridge MIB
RFC 2737 – Entity MIB (physical branch only)
RFC 951, RFC 1542 – DHCP/
BOOTP Relay
RFC 2787 – VRRP-MIB
RFC 2819 – RMON-MIB
RFC 1493 – BRIDGE-MIB
RFC 1643 – Ethernet-like MIB
RFC 2934 – PIM MIB for IPv4
RFC 1724 – RIPv2 MIB Extension
RFC 3413 – SNMP v3 Applications MIB
RFC 1850 – OSPF MIB
RFC 3414 – SNMP v3 User-based
RFC 2096 – IP Forwarding Table MIB
Security Module (USM) MIB
RFC 2131, RFC 3046 – DHCPClient/Relay
RFC 3584 – SNMP Community MIB
RFC 2233 – IF-MIB
RFC 3621 – Power over Ethernet MIB
RFC 2465 – IPv6 MIB
89
Quality of Service
Layer 2/3/4 Classification
8 Priority Queues per Port
Multi-layer Packet Processing
802.3x Flow Control
Queuing Control – Strict and Weighted
Class of Service (CoS)
Round Robin
Ingress Rate Limiting
Source/Destination IP Address
IP ToS/DSCP Marking/Remarking
Source/Destination MAC Address
IP Precedence
Dynamic and Static MAC Locking
IP Precedence
EAP Pass-Thru
IP Protocol
RFC 2474 Definition of Differentiated Services Field
Management
RFC 1321 – The MD5 Message-Digest Algorithm
Alias Port Naming
RFC 1901 – Community-based SNMPv2
Command Line Interface (CLI)
RFC 2030 Simple Network Time Protocol (SNTP)
Configuration Upload/Download
Dual IPv4/IPv6 Management Support
RFC 3176 – sFlow
RFC 3413 – SNMPV3 Applications
TFTP Client
RFC 3414 –User-based Security
Module (USM) for SNMPv3
NMS Console
Model for SNMP
RFC 3826 – Advanced Encryption
NMS Policy Manager
Standard (AES) for SNMP
Node/Alias Table
RMON (Stats, History, Alarms, Events,
RFC 768 – UDP
Filters, Packet Capture)
RFC 783 – TFTP
Secure Copy (SCP)
RFC 791—IP
Secure FTP (SFTP)
RFC 792 – ICMP
Simple Network Management Protocol (SNMP)
RFC 793 – TCP
SSHv2
RFC 826 – ARP
RFC 3164 – The BSD Syslog Protocol
RFC 854 – Telnet
TACACS+ support
RFC 951 – BootP
Authentication,
Authorization
and
Web-based Management, Webview
Interface
RFC 1157 – SNMP
90
Auditing
via SSL
Technische Eigenschaften
B5G124-24
B5G124-24P2
B5G124-48
B5G124-48P2
Throughput
(switch / stack)
Switching Capacity
(switch / stack)
35.7 Mpps /
285.7 Mpps
35.7 Mpps /
285.7 Mpps
71.4 Mpps /
571.4 Mpps
71.4 Mpps /
571.4 Mpps
48 Gbps (35.7
Mpps)/
384 Gbps (285.7
Mpps)
48 Gbps (35.7
Mpps)/
384 Gbps (285.7
Mpps)
96 Gbps (71.4
Mpps)/
768 Gbps (571.4
Mpps)
96 Gbps (71.4
Mpps)/
768 Gbps (571.4
Mpps)
Stacking Capacity
(switch / stack)
48 Gbps (35.7
Mpps)/
384 Gbps (285.7
Mpps)
48 Gbps (35.7
Mpps)/
384 Gbps (285.7
Mpps)
48 Gbps (35.7
Mpps)/
384 Gbps (285.7
Mpps)
48 Gbps (35.7
Mpps)/
384 Gbps (285.7
Mpps)
Aggregate
Throughput
Capacity
(switch / stack)
96 Gbps (71.4
Mpps)/
768 Gbps (571.4
Mpps)
96 Gbps (71.4
Mpps)/
768 Gbps (571.4
Mpps)
144 Gbps (107.1
Mpps)/
1,152 Gbps
(857.1 Mpps)
144 Gbps (107.1
Mpps)/
1,152 Gbps
(857.1 Mpps)
N/A
Yes
N/A
Yes
N/A
Yes
N/A
Yes
N/A
375 watts per
switch with up to
30 watts per port
Per-port switch
power monitor:
• Enable/disable
• Priority safety
• Overload &
short circuit
protection
N/A
375 watts per
switch with up to
30 watts per port
Per-port switch
power monitor:
• Enable/disable
• Priority safety
• Overload &
short circuit
protection
H: 4.4 cm (1.73‖)
H: 4.4 cm (1.73‖)
H: 4.4 cm (1.73‖)
H: 4.4 cm (1.73‖)
W: 44.1 cm
(17.36‖)
W: 44.1 cm
(17.36‖)
W: 44.1 cm
(17.36‖)
W: 44.1 cm
(17.36‖)
D: 36.85 cm
(14.51‖)
D: 36.85 cm
(14.51‖)
D: 36.85 cm
(14.51‖)
D: 36.85 cm
(14.51‖)
4.92 kg (10.85
lb)
394,679 hours
6.10 kg (13.45 lb)
5.31 kg (11.70
lb)
308,359 hours
6.49 kg (14.30 lb)
Performance
PoE Specifications
802.3af
Interoperable
802.3at
Interoperable
System Power
Dimensions (H x W
x D)
Net Weight
MTBF
345,093 hours
91
260,806 hours
Physical Ports
• (24)
10/100/1000
autosensing,
auto-negotiating
MDI/MDI-X RJ45
ports
• (4) Combo SFP
ports
• (2) dedicated
stacking ports
• (1) DB9
console port
• (1) RPS
connector
• (24)
10/100/1000
PoE
(.af + .at) autosensing, autonegotiating
MDI/MDI-X RJ45
ports
• (4) Combo SFP
ports
• (2) dedicated
stacking ports
• (1) DB9 console
port
• (1) RPS
connector
• (48)
10/100/1000
autosensing,
auto-negotiating
MDI/MDI-X RJ45
ports
• (4) Combo SFP
ports
• (2) dedicated
stacking ports
• (1) DB9
console port
• (1) RPS
connector
• (48)
10/100/1000
PoE
MDI/MDI-X RJ45
ports
• (4) Combo SFP
ports
• (2) dedicated
stacking ports
• (1) DB9 console
port
• (1) RPS
connector
Normal Input
Voltage
Input Frequency
100 - 240 VAC
100 - 240 VAC
100 - 240 VAC
100 - 240 VAC
50 – 60 Hz
50 – 60 Hz
50 – 60 Hz
50 – 60 Hz
Input Current
2 A Max
7.5 A Max
2 A Max
7.5 A Max
Power
Consumption
Temperature
48 watts
93 watts
76 watts
125 watts
IEC 6-2-1
Standard Operating
Temperature
IEC 6-2-14
Non-Operating
Temperature
Heat Dissipation
0° to 50° C
(32° to 122° F)
0° to 50° C
(32° to 122° F)
0° to 50° C
(32° to 122° F)
0° to 50° C
(32° to 122° F)
-40° to 70° C
(-40° to 158° F)
-40° to 70° C
(-40° to 158° F)
-40° to 70° C
(-40° to 158° F)
-40° to 70° C
(-40° to 158° F)
164 BTUs/Hr
318 BTUs/Hr
258 BTUs/Hr
427 BTUs/Hr
IEC 68-2-6,
IEC68-2-36
IEC 68-2-6, IEC682-36
IEC 68-2-6,
IEC68-2-36
IEC 68-2-6, IEC682-36
IEC 68-2-29
IEC 68-2-29
IEC 68-2-29
IEC 68-2-29
IEC 68-2-32
IEC 68-2-32
IEC 68-2-32
IEC 68-2-32
Operating
10,000 ft (3,048
m)
10,000 ft (3,048
m)
10,000 ft (3,048
m)
10,000 ft (3,048
m)
Non-operating
15,000 ft (4,572
m)
15,000 ft (4,572
m)
15,000 ft (4,572
m)
15,000 ft (4,572
m)
45.5 dB
44.5 dB
Power Requirements
humidity
Operating Humidity
Vibration
Shock
drop
Altitude
Acoustics
Front of switch
44.5 dB
45 dB
(normal operation)
92
Safety
UL 60950-1, CSA
22.1
60950, EN
60950-1, and
IEC 60950-1
UL 60950-1, CSA
22.1
60950, EN
60950-1, and
IEC 60950-1
UL 60950-1, CSA
22.1
60950, EN
60950-1, and
IEC 60950-1
UL 60950-1, CSA
22.1
60950, EN
60950-1, and
IEC 60950-1
EMC
FCC Part 15
BSMI, VCCI
V-3, AS/NZS
CISPR 22 (Class
A), EN 55022
(Class A), EN
55024, EN
61000-3-2, and
EN 61000-3-3
2002/95/EC
(RoHS Directive),
FCC Part 15 (Class
A), ICES- 003
(Class A), BSMI,
VCCI
V-3, AS/NZS
CISPR 22 (Class
A), EN 55022
(Class A), EN
55024, EN
61000-3-2, and
EN 61000-3-3
2002/95/EC
(RoHS Directive),
FCC Part 15
BSMI, VCCI
V-3, AS/NZS
CISPR 22 (Class
A), EN 55022
(Class A), EN
55024, EN
61000-3-2, and
EN 61000-3-3
2002/95/EC
(RoHS Directive),
FCC Part 15 (Class
A), ICES- 003
(Class A), BSMI,
VCCI
V-3, AS/NZS
CISPR 22 (Class
A), EN 55022
(Class A), EN
55024, EN
61000-3-2, and
EN 61000-3-3
2002/95/EC
(RoHS Directive),
2002/96/EC
(WEEE Directive),
2002/96/EC
(WEEE Directive),
2002/96/EC
(WEEE Directive),
2002/96/EC
(WEEE Directive),
Ministry of
Information Order
Ministry of
Information Order
Ministry of
Information Order
Ministry of
Information Order
#39 (China
RoHS)
#39 (China RoHS)
#39 (China
RoHS)
#39 (China RoHS)
B5K125-24
B5K125-24P2
B5K125-48
B5K125-48P2
Throughput
(switch / stack)
Switching Capacity
(switch / stack)
65.5 Mpps /
523.8 Mpps
65.5 Mpps /
523.8 Mpps
101.2 Mpps /
809.5 Mpps
101.2 Mpps /
809.5 Mpps
88 Gbps (65.5
Mpps)/
704 Gbps (523.8
Mpps)
88 Gbps (65.5
Mpps)/
704 Gbps (523.8
Mpps)
136 Gbps (101.2
Mpps)/
1,088 Gbps
(809.5 Mpps)
136 Gbps (101.2
Mpps)/
1,088 Gbps
(809.5 Mpps)
Stacking Capacity
(switch / stack)
48 Gbps (35.7
Mpps)/
384 Gbps (285.7
Mpps)
48 Gbps (35.7
Mpps)/
384 Gbps (285.7
Mpps)
48 Gbps (35.7
Mpps)/
384 Gbps (285.7
Mpps)
48 Gbps (35.7
Mpps)/
384 Gbps (285.7
Mpps)
Aggregate
Throughput
Capacity
(switch / stack)
136 Gbps (101.2
Mpps)/
1,088 Gbps
(809.5 Mpps)
136 Gbps (101.2
Mpps)/
1,088 Gbps
(809.5 Mpps)
184 Gbps (136.9
Mpps)/
1,472 Gbps
(1,095.2 Mpps)
184 Gbps (136.9
Mpps)/
1,472 Gbps
(1,095.2 Mpps)
N/A
Yes
N/A
Yes
N/A
Yes
N/A
Yes
Environmental
Performance
PoE Specifications
802.3af
Interoperable
802.3at
Interoperable
93
System Power
N/A
375 watts per
switch with up to
30 watts per port
Per-port switch
power monitor:
• Enable/disable
• Priority safety
• Overload &
short circuit
protection
N/A
375 watts per
switch with up to
30 watts per port
Per-port switch
power monitor:
• Enable/disable
• Priority safety
• Overload &
short circuit
protection
H: 4.4 cm (1.73‖)
H: 4.4 cm (1.73‖)
H: 4.4 cm (1.73‖)
H: 4.4 cm (1.73‖)
W: 44.1 cm
(17.36‖)
W: 44.1 cm
(17.36‖)
W: 44.1 cm
(17.36‖)
W: 44.1 cm
(17.36‖)
D: 36.85 cm
(14.51‖)
D: 36.85 cm
(14.51‖)
D: 36.85 cm
(14.51‖)
D: 36.85 cm
(14.51‖)
4.92 kg (10.85
lb)
374,029 hours
6.10 kg (13.45 lb)
5.31 kg (11.70
lb)
297,808 hours
6.49 kg (14.30 lb)
• (24)
10/100/1000
autosensing,
auto-negotiating
MDI/MDI-X RJ45
ports
• (2) Combo SFP
ports
• (2) 10GE ports
• (2) dedicated
stacking ports
• (1) DB9
console port
• (1) RPS
connector
•
(24)10/100/1000
PoE
MDI/MDI-X RJ45
ports
• (2) Combo SFP
ports
• (2) 10GE ports
• (2) dedicated
stacking ports
• (1) DB9 console
port
• (1) RPS
connector
• (48)
10/100/1000
autosensing,
auto-negotiating
MDI/MDI-X RJ45
ports
• (2) Combo SFP
ports
• (2) 10GE ports
• (2) dedicated
stacking ports
• (1) DB9
console port
• (1) RPS
connector
•
(48)10/100/1000
PoE
MDI/MDI-X RJ45
ports
• (2) Combo SFP
ports
• (2) 10GE ports
• (2) dedicated
stacking ports
• (1) DB9 console
port
• (1) RPS
connector
Normal Input
Voltage
Input Frequency
100 - 240 VAC
100 - 240 VAC
100 - 240 VAC
100 - 240 VAC
50 – 60 Hz
50 – 60 Hz
50 – 60 Hz
50 – 60 Hz
Input Current
2 A Max
7.5 A Max
2 A Max
7.5 A Max
Power
Consumption
Temperature
59 watts
98 watts
94 watts
125 watts
IEC 6-2-1
Standard Operating
Temperature
IEC 6-2-14
Non-Operating
Temperature
Heat Dissipation
0° to 50° C
(32° to 122° F)
0° to 50° C
(32° to 122° F)
0° to 50° C
(32° to 122° F)
0° to 50° C
(32° to 122° F)
-40° to 70° C
(-40° to 158° F)
-40° to 70° C
(-40° to 158° F)
-40° to 70° C
(-40° to 158° F)
-40° to 70° C
(-40° to 158° F)
200 BTUs/Hr
335 BTUs/Hr
321 BTUs/Hr
427 BTUs/Hr
Dimensions (H x W
x D)
Net Weight
MTBF
Physical Ports
328,905 hours
252,940 hours
Power Requirements
humidity
Operating Humidity
94
Vibration
IEC 68-2-6,
IEC68-2-36
IEC 68-2-6, IEC682-36
IEC 68-2-6,
IEC68-2-36
IEC 68-2-6, IEC682-36
IEC 68-2-29
IEC 68-2-29
IEC 68-2-29
IEC 68-2-29
IEC 68-2-32
IEC 68-2-32
IEC 68-2-32
IEC 68-2-32
Front of switch
(normal operation)
Altitude
45.5 dB
45 dB
46 dB
45.5 dB
Operating
10,000 ft (3,048
m)
10,000 ft (3,048
m)
10,000 ft (3,048
m)
10,000 ft (3,048
m)
Non-operating
15,000 ft (4,572
m)
15,000 ft (4,572
m)
15,000 ft (4,572
m)
15,000 ft (4,572
m)
Shock
drop
Acoustics
Safety
UL 60950-1, CSA
22.1
60950, EN
60950-1, and
IEC 60950-1
UL 60950-1, CSA
22.1
60950, EN
60950-1, and
IEC 60950-1
UL 60950-1, CSA
22.1
60950, EN
60950-1, and
IEC 60950-1
UL 60950-1, CSA
22.1
60950, EN
60950-1, and
IEC 60950-1
EMC
FCC Part 15
BSMI, VCCI
V-3, AS/NZS
CISPR 22 (Class
A), EN 55022
(Class A), EN
55024, EN
61000-3-2, and
EN 61000-3-3
2002/95/EC
(RoHS Directive),
FCC Part 15 (Class
A), ICES- 003
(Class A), BSMI,
VCCI
V-3, AS/NZS
CISPR 22 (Class
A), EN 55022
(Class A), EN
55024, EN
61000-3-2, and
EN 61000-3-3
2002/95/EC
(RoHS Directive),
FCC Part 15
BSMI, VCCI
V-3, AS/NZS
CISPR 22 (Class
A), EN 55022
(Class A), EN
55024, EN
61000-3-2, and
EN 61000-3-3
2002/95/EC
(RoHS Directive),
FCC Part 15 (Class
A), ICES- 003
(Class A), BSMI,
VCCI
V-3, AS/NZS
CISPR 22 (Class
A), EN 55022
(Class A), EN
55024, EN
61000-3-2, and
EN 61000-3-3
2002/95/EC
(RoHS Directive),
2002/96/EC
(WEEE Directive),
2002/96/EC
(WEEE Directive),
2002/96/EC
(WEEE Directive),
2002/96/EC
(WEEE Directive),
Ministry of
Information Order
Ministry of
Information Order
Ministry of
Information Order
Ministry of
Information Order
#39 (China
RoHS)
#39 (China RoHS)
#39 (China
RoHS)
#39 (China RoHS)
Environmental
95
C5G124-24
C5G124-24P2
C5G124-48
C5G124-48P2
Throughput
(switch / stack)
Switching Capacity
(switch / stack)
35.7 Mpps /
285.7 Mpps
35.7 Mpps /
285.7 Mpps
71.4 Mpps /
571.4 Mpps
71.4 Mpps /
571.4 Mpps
48 Gbps (35.7
Mpps) /
384 Gbps (285.7
Mpps)
48 Gbps (35.7
Mpps) /
384 Gbps (285.7
Mpps)
96 Gbps (71.4
Mpps) /
768 Gbps (571.4
Mpps)
96 Gbps (71.4
Mpps) /
768 Gbps (571.4
Mpps)
Stacking Capacity
(switch / stack)
128 Gbps (95.2
Mpps) /
1,024 Gbps
(761.8 Mpps)
128 Gbps (95.2
Mpps) /
1,024 Gbps
(761.8 Mpps)
128 Gbps (95.2
Mpps) /
1,024 Gbps
(761.8 Mpps)
128 Gbps (95.2
Mpps) /
1,024 Gbps
(761.8 Mpps)
Aggregate
Throughput
Capacity
(switch / stack)
176 Gbps (130.9
Mpps) /
1,408 Gbps
(1,047.5 Mpps)
176 Gbps (130.9
Mpps) /
1,408 Gbps
(1,047.5 Mpps)
224 Gbps (166.6
Mpps) /
1,792 Gbps
(1,333.2 Mpps)
224 Gbps (166.6
Mpps) /
1,792 Gbps
(1,333.2 Mpps)
N/A
Yes
N/A
Yes
N/A
Yes
N/A
Yes
N/A
850 watts per
switch with up to
30 watts per port
Per-port switch
power monitor:
• Enable/disable
• Priority safety
• Overload &
short circuit
protection
N/A
850 watts per
switch with up to
30 watts per port
Per-port switch
power monitor:
• Enable/disable
• Priority safety
• Overload &
short circuit
protection
H: 4.4 cm (1.73‖)
H: 4.4 cm (1.73‖)
H: 4.4 cm (1.73‖)
H: 4.4 cm (1.73‖)
W: 44.1 cm
(17.36‖)
W: 44.1 cm
(17.36‖)
W: 44.1 cm
(17.36‖)
W: 44.1 cm
(17.36‖)
D: 36.85 cm
(14.51‖)
D: 36.85 cm
(14.51‖)
D: 36.85 cm
(14.51‖)
D: 36.85 cm
(14.51‖)
Net Weight
5.03 kg (11.10 lb)
6.21 kg (13.70 lb)
5.42 kg (11.95 lb)
6.60 kg (14.55 lb)
MTBF
395,557 hours
289,425 hours
311,897 hours
229,532 hours
Performance
PoE Specifications
802.3af
Interoperable
802.3at
Interoperable
System Power
Dimensions (H x W
x D)
96
Physical Ports
• (24)
10/100/1000
autosensing,
auto-negotiating
MDI/MDI-X RJ45
ports
• (4) Combo SFP
ports
• (2) dedicated
stacking ports
• (1) DB9 console
port
• (1) RPS port
• (24)
10/100/1000
PoE
(.af+.at) autosensing,
auto-negotiating
MDI/MDI-X RJ45
ports
• (4) Combo SFP
ports
• (2) dedicated
stacking ports
• (1) DB9 console
port
• (1) RPS port
• (48)
10/100/1000
autosensing,
auto-negotiating
MDI/MDI-X RJ45
ports
• (4) Combo SFP
ports
• (2) dedicated
stacking ports
• (1) DB9 console
port
• (1) RPS port
• (48)
10/100/1000
PoE
(.af+.at) autosensing,
auto-negotiating
MDI/MDI-X RJ45
ports
• (4) Combo SFP
ports
• (2) dedicated
stacking ports
• (1) DB9 console
port
• (1) RPS port
Normal Input
Voltage
Input Frequency
100 - 240 VAC
100 - 240 VAC
100 - 240 VAC
100 - 240 VAC
50 – 60 Hz
50 – 60 Hz
50 – 60 Hz
50 – 60 Hz
Input Current
2 A Max
12 A Max
2 A Max
12 A Max
Power Consumption
65 watts
125 watts
101 watts
150 watts
0° to 50° C
(32° to 122° F)
0° to 50° C
(32° to 122° F)
0° to 50° C
(32° to 122° F)
0° to 50° C
(32° to 122° F)
-40° to 70° C
(-40° to 158° F)
-40° to 70° C
(-40° to 158° F)
-40° to 70° C
(-40° to 158° F)
-40° to 70° C
(-40° to 158° F)
222 BTUs/Hr
428 BTUs/Hr
345 BTUs/Hr
513 BTUs/Hr
IEC 68-2-6,
IEC68-2-36
IEC 68-2-6,
IEC68-2-36
IEC 68-2-6,
IEC68-2-36
IEC 68-2-6,
IEC68-2-36
IEC 68-2-29
IEC 68-2-29
IEC 68-2-29
IEC 68-2-29
IEC 68-2-32
IEC 68-2-32
IEC 68-2-32
IEC 68-2-32
Front of switch
(normal operation)
Altitude
44 dB
45.5 dB
46 dB
45.5 dB
Operating
10,000 ft (3,048
m)
10,000 ft (3,048
m)
10,000 ft (3,048
m)
10,000 ft (3,048
m)
Non-operating
15,000 ft (4,572
m)
15,000 ft (4,572
m)
15,000 ft (4,572
m)
15,000 ft (4,572
m)
Power Requirements
Temperature
IEC 6-2-1
Standard Operating
Temperature
IEC 6-2-14
Non-Operating
Temperature
Heat Dissipation
humidity
Operating Humidity
Vibration
Shock
drop
Acoustics
97
Safety
UL 60950-1, CSA
22.1
60950, EN
60950-1, and
IEC 60950-1
UL 60950-1, CSA
22.1
60950, EN
60950-1, and
IEC 60950-1
UL 60950-1, CSA
22.1
60950, EN
60950-1, and
IEC 60950-1
UL 60950-1, CSA
22.1
60950, EN
60950-1, and
IEC 60950-1
EMC
FCC Part 15
BSMI, VCCI
V-3, AS/NZS
CISPR 22 (Class
A), EN 55022
(Class A), EN
55024, EN
61000-3-2, and
EN 61000-3-3
2002/95/EC
(RoHS Directive),
FCC Part 15
BSMI, VCCI
V-3, AS/NZS
CISPR 22 (Class
A), EN 55022
(Class A), EN
55024, EN
61000-3-2, and
EN 61000-3-3
2002/95/EC
(RoHS Directive),
FCC Part 15
BSMI, VCCI
V-3, AS/NZS
CISPR 22 (Class
A), EN 55022
(Class A), EN
55024, EN
61000-3-2, and
EN 61000-3-3
2002/95/EC
(RoHS Directive),
FCC Part 15
BSMI, VCCI
V-3, AS/NZS
CISPR 22 (Class
A), EN 55022
(Class A), EN
55024, EN
61000-3-2, and
EN 61000-3-3
2002/95/EC
(RoHS Directive),
2002/96/EC
(WEEE Directive),
2002/96/EC
(WEEE Directive),
2002/96/EC
(WEEE Directive),
2002/96/EC
(WEEE Directive),
Ministry of
Information Order
Ministry of
Information Order
Ministry of
Information Order
Ministry of
Information Order
#39 (China RoHS)
#39 (China RoHS)
#39 (China RoHS)
#39 (China RoHS)
C5K125-24P2
C5K125-48
C5K125-48P2
C5K175-24
Throughput
Capacity wire-speed
Mpps (switch /
stack)
Switching Capacity
(switch / stack)
65.5 Mpps /
523.8
Mpps
101.2 Mpps /
809.5
Mpps
101.2 Mpps /
809.5
Mpps
65.5 Mpps /
523.8
Mpps
88 Gbps (65.5
Mpps) /
704 Gbps (523.8
Mpps)
128 Gbps (95.2
Mpps) /
1,024 Gbps
(761.8
Mpps)
216 Gbps (160.7
Mpps) /
1,728 Gbps
(1,285.6
Mpps)
136 Gbps (101.2
Mpps) /
1,088 Gbps
(809.5
Mpps)
128 Gbps (95.2
Mpps) /
1,024 Gbps
(761.8
Mpps)
264 Gbps (196.4
Mpps) /
2,112 Gbps
(1,571.3
Mpps)
88 Gbps (65.5
Mpps) /
704 Gbps (523.8
Mpps)
Stacking Capacity
(switch / stack)
136 Gbps (101.2
Mpps) /
1,088 Gbps
(809.5
Mpps)
128 Gbps (95.2
Mpps) /
1,024 Gbps
(761.8
Mpps)
264 Gbps (196.4
Mpps) /
2,112 Gbps
(1,571.3
Mpps)
Yes
N/A
Yes
N/A
Yes
N/A
Yes
N/A
Environmental
Performance
Aggregate
Throughput
Capacity
(switch / stack)
128 Gbps (95.2
Mpps) /
1,024 Gbps
(761.8
Mpps)
216 Gbps (160.7
Mpps) /
1,728 Gbps
(1,285.6
Mpps)
PoE Specifications
802.3af
Interoperable
802.3at
Interoperable
98
System Power
850 watts per
switch with up to
30 watts per port
Per-port switch
power monitor:
• Enable/disable
• Priority safety
• Overload &
short circuit
protection
N/A
850 watts per
switch with up to
30 watts per port
Per-port switch
power monitor:
• Enable/disable
• Priority safety
• Overload &
short circuit
protection
N/A
Dimensions
H: 4.4 cm (1.73‖)
H: 4.4 cm (1.73‖)
H: 4.4 cm (1.73‖)
H: 4.4 cm (1.73‖)
(H x W x D)
W: 44.1 cm
(17.36‖)
W: 44.1 cm
(17.36‖)
W: 44.1 cm
(17.36‖)
W: 44.1 cm
(17.36‖)
D: 36.85 cm
(14.51‖)
D: 36.85 cm
(14.51‖)
D: 36.85 cm
(14.51‖)
D: 36.85 cm
(14.51‖)
Net Weight
6.10 kg (13.45 lb)
5.31 kg (11.70 lb)
6.49 kg (14.30 lb)
4.97 kg (10.95 lb)
MTBF
273,083 hours
284,345 hours
213,965 hours
395,839 hours
Physical Ports
• (24)
10/100/1000
PoE (.af + .at)
auto-sensing,
auto- negotiating
MDI/ MDI-X RJ45
ports
• (2) Combo SFP
ports
• (2) SFP+ ports
• (2) dedicated
stacking ports
• DB9 console
port
• (1) RPS port
• (48)
10/100/1000
auto-sensing,
auto- negotiating
MDI/ MDI-X RJ45
ports
• (2) Combo SFP
ports
• (2) SFP+ ports
• (2) dedicated
stacking ports
• (1) DB9 console
port
• (1) RPS port
• (48)
10/100/1000
PoE (.af + .at)
auto-sensing,
auto- negotiating
MDI/ MDI-X RJ45
ports
• (2) Combo SFP
ports
• (2) SFP+ ports
• (2) dedicated
stacking ports
• (1) DB9 console
port
• (1) RPS port
• (24) SFP
• (2) SFP+ ports
• (2) dedicated
stacking ports
• (1) DB9 console
port
• (1) RPS port
Normal Input
Voltage
Input Frequency
100 - 240 VAC
100 - 240 VAC
100 - 240 VAC
100 - 240 VAC
50 – 60 Hz
50 – 60 Hz
50 – 60 Hz
50 – 60 Hz
Input Current
12 A Max
2 A Max
12 A Max
2 A Max
Power Consumption
130 watts
120 watts
165 watts
69 watts
0° to 50° C
(32° to 122° F)
0° to 50° C
(32° to 122° F)
0° to 50° C
(32° to 122° F)
0° to 50° C
(32° to 122° F)
-40° to 70° C
(-40° to 158° F)
-40° to 70° C
(-40° to 158° F)
-40° to 70° C
(-40° to 158° F)
-40° to 70° C
(-40° to 158° F)
445 BTUs/Hr
408 BTUs/Hr
565 BTUs/Hr
234 BTUs/Hr
IEC 68-2-6,
IEC682-36
IEC 68-2-6,
IEC682-36
IEC 68-2-6,
IEC682-36
IEC 68-2-6,
IEC682-36
Power Requirements
Temperature
IEC 6-2-1
Standard Operating
Temperature
IEC 6-2-14
Non-Operating
Temperature
Heat Dissipation
humidity
Operating Humidity
Vibration
99
Shock
IEC 68-2-29
IEC 68-2-29
IEC 68-2-29
IEC 68-2-29
IEC 68-2-32
IEC 68-2-32
IEC 68-2-32
IEC 68-2-32
Front of switch
(normal operation)
Altitude
45.5 dB
47 dB
46 dB
46 dB
Operating
10,000 ft (3,048
m)
10,000 ft (3,048
m)
10,000 ft (3,048
m)
10,000 ft (3,048
m)
Non-operating
15,000 ft (4,572
m)
15,000 ft (4,572
m)
15,000 ft (4,572
m)
15,000 ft (4,572
m)
drop
Acoustics
Safety
UL 60950-1, CSA
22.1
60950, EN
60950-1,
and IEC 60950-1
UL 60950-1, CSA
22.1
60950, EN
60950-1,
and IEC 60950-1
UL 60950-1, CSA
22.1
60950, EN
60950-1,
and IEC 60950-1
UL 60950-1, CSA
22.1
60950, EN
60950-1,
and IEC 60950-1
EMC
FCC Part 15
BSMI, VCCI V-3,
AS/NZS CISPR 22
(Class A), EN
55022 (Class A),
EN
55024, EN
61000-3-2,
and EN 61000-33
2002/95/EC
(RoHS
Directive),
2002/96/ EC
(WEEE Directive),
Ministry of
Information
Order #39 (China
RoHS)
FCC Part 15
BSMI, VCCI V-3,
AS/ NZS CISPR
22 (Class A), EN
55022 (Class A),
EN 55024, EN
61000-3-2, and
EN
61000-3-3
FCC Part 15
BSMI, VCCI V-3,
AS/ NZS CISPR
22 (Class A), EN
55022 (Class A),
EN 55024, EN
61000-3-2, and
EN
61000-3-3
FCC Part 15
BSMI, VCCI V-3,
AS/ NZS CISPR
22 (Class A), EN
55022 (Class A),
EN 55024, EN
61000-3-2, and
EN
61000-3-3
2002/95/EC
(RoHS
Directive),
2002/96/ EC
(WEEE Directive),
Ministry of
Information
Order #39 (China
RoHS)
2002/95/EC
(RoHS
Directive),
2002/96/ EC
(WEEE Directive),
Ministry of
Information
Order #39 (China
RoHS)
2002/95/EC
(RoHS
Directive),
2002/96/ EC
(WEEE Directive),
Ministry of
Information
Order #39 (China
RoHS)
Environmental
100
Redundante Power Supply Equipment Spezifikationen
STK-RPS-1005CH3 Power Shelf
(6.06‖) x 34.0 cm (13.39‖)
Power Supply Slots: 3
Net Weight (Unit Only): 2.1 kg (4.63 lb)
Dimensions (H x W x D)*: 5.5 cm (2.2‖) x 44.0 cm
(17.3‖) x 35.1 cm (13.8‖)
Gross Weight (Packaged Unit): 3.53 kg (7.77 lb)
MTBF: 800,000 hours
Weight: 0.95 kg (2.09 lbs)
Operating Temperature: 0° C to 50° C (32° F to
122° F)
Storage Temperature: -40° C to 70° C (-40° F to
158° F)
(17.3‖) x 18.0 cm (7.0‖)
Operating Relative Humidity: 5% to 95%
AC Input Frequency Range: 50-60 Hz
AC Input Voltage Range: 100 - 240 VAC
Maximum Output Power: 1005 W continuous
Dimensions (H x W x D)*: 22.26 cm (8.77‖) x 44.0
cm (17.3‖) x 26.4 cm (10.4‖)
(17.3‖) x 18.0 cm (7.0‖)
STK-RPS-150PS Power Supply
Dimensions (H x W x D): 19.6 cm (7.7‖) x 5.2 cm
(2.04‖) x 25.7 cm (10.1‖)
Net Weight (Unit Only): 1.75 kg (3.85 lbs)
Gross Weight (Packaged Unit): 3.20 kg (7.04 lbs)
Dimensions (H x W x D)*: 22.26 cm (8.77‖) x 44.0
cm (17.3‖) x26.4 cm (10.4‖)
MTBF: 300,000 hours
122° F)
164° F)
Dimensions (H x W x D): 19.6 cm (7.7‖) x 5.2 cm
(2.04‖) x 25.7 cm (10.1‖)
AC Input Frequency Range: 50 – 60 Hz
AC Input Voltage Range: 100 – 240 VAC
MTBF: 300,000 hours
122° F)
101
164° F)
MTBF: 589,644 hours at 25° C (77° F)
122° F)
164° F)
(17.5‖) x 16.5 cm (6.5‖)
*Note: dimensions include integrated rack mount
ears
Part Number
description
B5 Switches
B5G124-24
B5G124-24P2
B5G124-48
B5G124-48P2
B5K125-24
B5K125-24P2
B5K125-48
B5K125-48P2
(24) 10/100/1000 RJ45 ports, (4) combo SFP ports, (2) dedicated high-speed
stacking ports and external RPS connector. Total active ports per switch: (24)
Gigabit ports
(24) 10/100/1000 PoE (.at + .af) RJ45 ports, (4) combo SFP ports, (2) dedicated
high-speed stacking ports and external RPS connector. Total active ports per
switch: (24) Gigabit ports
Gigabit ports
(24) 10/100/1000 RJ45 ports, (2) combo SFP ports, (2) 10GE ports, (2) dedicated
switch: (24) Gigabit ports + (2) 10GE ports
(24) 10/100/1000 PoE (.at + .af) RJ45 ports, (2) combo SFP ports, (2) 10GE
ports, (2) dedicated high-speed stacking ports and external RPS connector. Total
active ports per switch: (24) Gigabit ports + (2) 10GE ports
(48) 10/100/1000 RJ45 ports, (2) combo SFP ports, (2) 10GE ports, (2) dedicated
switch: (48) Gigabit ports + (2) 10GE ports
(48) 10/100/1000 PoE (.at + .af) RJ45 ports, (2) combo SFP ports, (2) 10GE
ports, (2) dedicated high-speed stacking ports and external RPS connector. Total
active ports per switch: (48) Gigabit ports + (2) 10GE ports
Cables
STK-CAB-SHORT
Stacking cable for connecting adjacent B5/C5 switches (30cm)
STK-CAB-LONG
Stacking cable for connecting top switch to bottom switch in a B5 or C5 stack (1m)
STK-CAB-2M
Stacking cable for B5/C5 models (2m)
STK-CAB-5M
SSCON-CAB
102
Redundant Power
Supplies
STK-RPS-150CH2
STK-RPS-150CH8
STK-RPS-150PS
150W Non-PoE redundant power supply
STK-RPS-500PS
500W 802.3at PoE redundant power supply
Part Number
description
C5 Switches
C5G124-24
C5G124-24P2
C5G124-48
C5G124-48P2
C5K125-24
C5K125-24P2
C5K125-48
C5K125-48P2
C5K175-24
Optional Software
Licenses
C5L3-LIC
Gigabit ports
Gigabit ports
high-speed dedicated stacking ports and external RPS connector. Total active ports
per switch: (48) Gigabit ports
(24) 10/100/1000 RJ45 ports, (2) combo SFP ports, (2) SFP+, (2) dedicated highspeed stacking ports and external RPS connector. Total active ports per switch:
(24) Gigabit ports + (2) 1GE or 10GE SFP+ ports
(24) 10/100/1000 PoE (.at + .af) RJ45 ports, (2) combo SFP ports, (2) SFP+, (2)
dedicated high-speed stacking ports and external RPS connector. Total active ports
per switch: (24) Gigabit ports + (2) 1GE or 10GE SFP+ ports
(48) 10/100/1000 RJ45 ports, (2) combo SFP ports, (2) SFP+, (2) dedicated highspeed stacking ports and external RPS connector. Total active ports per switch:
(48) Gigabit ports + (2) 1GE or 10GE SFP+ ports
(48) 10/100/1000 PoE (.at + .af) RJ45 ports, (2) combo SFP ports, (2) SFP+, (2)
dedicated high-speed stacking ports and external RPS connector. Total active ports
per switch: (48) Gigabit ports + (2) 1GE or 10GE SFP+ ports
(24) SFP, (2) SFP+ ports, (2) dedicated high-speed stacking ports and external RPS
connector. Total active ports per switch: (24) SFP, (2) 1GE or 10GE SFP+ ports
C5 advanced IPv4 (OSPF, PIM-SM, DVMRP and VRRP) and IPv6 routing licensing
(OSPF) (per switch)
Cables
STK-CAB-SHORT
Stacking cable for connecting adjacent B5/C5 switches (30cm)
STK-CAB-LONG
Stacking cable for connecting top switch to bottom switch in a B5 or C5 stack (1m)
STK-CAB-2M
STK-CAB-5M
SSCON-CAB
Redundant Power
Supplies
STK-RPS-1005CH3
STK-RPS-1005PS
3-slot modular power supply chassis (power supply STK-RPS-1005PS sold
separately)
1005W 802.3at PoE redundant power supply with load-balancing support
STK-RPS-150CH2
STK-RPS-150CH8
STK-RPS-150PS
150W non-PoE redundant power supply
103
Enterasys D-Serie
Die D-Serie ist eine miniaturisierte Variante der B-Serie für Konferenz- oder
Verteilerräume ohne Klimatisierung. Die Geräte lassen sich bei Temperaturen bis zu 40°
Celsius lüfterlos betreiben, mit Lüfter bis 60° Celsius. Sie unterstützen aller Secure
Networks™-Features.
Das Modell D2 hat 12 Kupfer-Gigabit-Ethernet-Ports und zwei Gigabit-SFP (Small Form
Factor Pluggable)-Ports. 12 Gigabit-Ports dürfen gleichzeitig aktiv sein. Eine Variante
unterstützt PoE. Optional sorgt eine zweite Stromversorgung für Redundanz. Primäre und
optionale Zweit-Stromversorgung sind bei beiden Varianten (mit und ohne PoE) extern.
Die Stromversorgungen lassen sich über zwei redundante Anschlüsse bei laufendem
Betrieb auswechseln.
Die Switche der Serie sind vielfältig montierbar. Es gibt Montagekits für die
Wandbefestigung, die Anbringung unter einem Schreibtisch, für Schulungsräume sind
auch abschließbare Metallcontainer lieferbar. Für den Einsatz im Rack bietet Enterasys
ein Kit zur Installation zweier D2s nebeneinander an.
Die D-Serie unterstützt analog zur B-Serie mit einer optionalen Policy-Lizenz alle
SecureNetworks™ Features.
D2G124-12
12 X 10/100/1000 FIXED CONFIG L2 SWITCH & POWER BRICK
D2G124-12P
12 X 10/100/1000 FIXED POE L2 SWITCH & POWER BRICK
Optionen
D2-PWR
SECURESWITCH D2 EXTERNAL POWER BRICK
D2-PWR-POE
EXTERNAL POE POWER BRICK FOR D2 SWITCHES
D2-RMT
SECURESWITCH D2 RACK MOUNT KIT
D2-TBL-MNT
SECURESWITCH D2 UNDER TABLE MOUNT KIT
D2-WALL-MNT
WALL MOUNT FOR SECURESWITCH D2
104
Policy Erweiterung
D2POL-LIC
POLICY LICENSE FOR D2 SWITCHES
D2POL-LIC25
25 PACK OF D2POL-LIC POLICY LICENSES
D2POL-LIC50
50 PACK OF D2POL-LIC POLICY LICENSES
Layer 2 Unterstützung
Many-to-One
Mirroring
IEEE 802.1d — Spanning Tree
Port
Mirroring,
One-to-One
Port Description
IEEE 802.1t — 802.1d Maintenance
IEEE 802.1p— Traffic Management/Mapping to 6 of
8 hardware queues
Spanning Tree Backup Route
IEEE 802.1q — Virtual LANs w/ Port based VLANs
STP Pass Thru
IEEE 802.1s — Multiple Spanning Tree
RFC 1213 — MIB II
IEEE 802.1v — Protocol-based VLANs
RFC 1493 — Bridge MIB
IEEE 802.1w — Rapid Spanning Tree Reconvergence
RFC 1643 — Ethernet-like MIB
IEEE 802.1x — Port-based Authentication
RFC 2233 — Interfaces Group MIB using SMI v2
IEEE 802.3 — 10 Base-T
RFC 2618 — RADIUS Authentication Client MIB
IEEE 802.3ab — 1000 Base-T
RFC 2620 — RADIUS Accounting MIB
IEEE 802.3ac — VLAN Tagging
RFC 2674 — VLAN MIB
IEEE 802.3ad — Link Aggregation
RFC 2737 — Entity MIB version 2
IEEE 802.3u — 100 Base-T
RFC 2819 — RMON Groups 1, 2, 3 & 9
IEEE 802.3x — Flow Control
IEEE 802.1x MIB (IEEE 802.1-pae-MIB)
Private Port (Private VLAN)
IEEE 802.3ad MIB (IEEE 802.3-ad-MIB)
Authentisierung
RADIUS Client
MAC Authentication
RADIUS Accounting for MAC Authentication
Web Authentication (PWA)
EAP Pass Through
802.1x Authentication
Dynamic and Static Mac Locking
RFC 3580— Dynamic VLAN Assignment
QoS
802.3x Flow Control
Strict or weighted Round Robin
64 kbps increment granularity
8 Hardware Queues/Port
105
Port
Management
NMS Console
Alias Port Naming
NMS Policy Manager
Node/Alias Table
RFC 854 — Telnet
RFC 1157 — SNMP
WebView, SSL Interface to WebView
RFC 1901 — Community-based SNMP v2
Telnet with SSH
RFC 2271 — SNMP Framework MIB
RADIUS Control to Management Interface
RFC 3413 — SNMP v3 Applications
RMON (4 Groups: History, Statistics, Alarms and
Events)
RFC 3414 — User-based Security Model for SNMP
v3
RFC 3415 — View-based Access Control Model for
SNMP
Kapazitäten
Main memory: 256 MB
Address Table Size – 8k MAC Addresses
Flash memory: 32 MB
1024 VLANs supported
PoE – (D2G124-12P):
bei unter 40°C können insgesamt 100W PoE
Leistung beliebig
VLAN Spanning Tree (802.1S) — 4 Instances
Supported
auf die Ports verteilt werden. Für jedes °C über
40°C sinkt die
802.3ad Link Aggregation:
PoE-Leistung um 2,16W
8 ports per trunk group, 6 groups supported
Spezifikationen
Temperaturgrenzwerte: -40°C bis 70 °C (-40 °F bis
158°F)
Maße H/B/T:
Zulässige Feuchtigkeit: 5 bis 95% non-condensing
4,6 cm (1.6") x 20,95 cm (8.25") x 21,59 cm (8,5")
Stromaufnahme:
Gewicht:
D2G124-12: 100-240V AC, 50-60Hz, 2,0A, 30W
D2G124-12: 1,66kg (3.65lb)
D2G124-12P: 100-240V AC, 50-60Hz, 3,2A, 130W
D2G124-12P: 1,82kg (4,02lb)
Wärmeabgabe:
Betriebstemp.:
D2G124-12: 102,39 (BTU/H)
D2G124-12: 0°C bis 60 °C (32 °F bis 140 °F)
D2G124-12P: 443,69 (BTU/H)
D2G124-12P: 0°C bis 50 °C (32 °F bis 122 °F)
Unterstützte Standards
CE/FCC Class A/VCCI/C-Tick/BSMI
Standard Safety: UL/CB/LVD
Stoßfestigkeit: ISTA 2A, ASTM D5276
Electromagnetic compatibility:
106
Enterasys G-Serie
Die G-Serie verbindet die kompakte Größe und das Preis/Leistungsverhältnis eines
stapelbaren Switch mit der Modularität eines chassisbasierten Systems. Die Geräte
unterstützen QoS-Priorisierung und alle Sicherheitsanforderungen konvergenter Voice-,
Video- und Datennetze.
DieseSwitchlinie unterstützt die Multiuser-Authentifizierung für bis zu acht Benutzer pro
Port. Hinsichtlich des Policy-Management sind die Switches doppelt so leistungsfähig
wie das Modell C5.
Ein großer Mehrwert aus Kundensicht ist die bemerkenswerte Flexibilität des Geräts.
Der G3 bietet bis zu 96 kupferbasierende Gigabit-Ethernet-Ports – mit PoE oder als SFP.
Bis zu 12 10-Gigabit-Ethernet Ports können über XFP bereitgestellt werden. Ein weiteres
Alleinstellungsmerkmal ist, dass sich PoE auf den 24x10/100/1000baseT-Modulen
nachrüsten lässt. Die Module sind bereits im Auslieferzustand PoE-enabled. Die Funktion
wird realisiert, indem man eine optionale, kostengünstige PoE-Card auf das Modul
steckt. So bietet der G3 den Kunden maximalen Investitionsschutz: Werden später VoIPEndgeräte oder WLAN-APs mit PoE-Stromversorgung ins Netz integriert, braucht man
keine neuen Switches. Die PoE-Leistungsabgabe, richtet sich nach der
Leistungsfähigkeit der installierten, modularen Stromversorgungen (400 oder 1200
Watt).
Chassis
Das modulare Chassis wird in drei Basisvarianten ausgeliefert. Alle haben drei freie
Erweiterungsslots für die unten genannten Module. Das C3G124-24-Chassis und die
G3G-24TX-Module sind mit der G3G-POE-Option auf PoE aufrüstbar. Das Chassis wird
ohne Stromversorgung ausgeliefert. Sie muss zusätzlich geordert werden.
G3G124-24
24TX SWITCH + 3 EXPANSION SLOTS - ORDER POWER SUPPLY
SEPARATELY
G3G124-24P
24TX POE SWITCH + 3 EXPANSION SLOTS - ORDER POWER SUPPLY
SEPARATELY
G3G170-24
24 SFP SWITCH + 3 EXPANSION SLOTS - ORDER POWER SUPPLY
SEPARATELY
107
G3-PWR
G3 POWER SUPPLY - NON-POE
G3-PWR-POE
G3 POWER SUPPLY - POE
Module
Für 24 Ports 10/100/1000 Mbps mit PoE-Unterstützung kombiniert man das Modul
G3G-24TX und die Erweiterung G3G-POE.
G3G-24SFP
G3 I/O CARD - 24 SFP PORTS
G3G-24TX
G3 I/O CARD - 24 TX & 2 SFP COMBO PORTS
G3K-2XFP
G3 I/O CARD - DUAL 10GB XFP PORTS
G3K-4XFP
G3 I/O CARD - QUAD 10GB XFP PORTS
Optionen
G3G-POE
G3 POE OPTION CARD FOR 24 PORTS
Softwareoptionen
G3L3-LIC
G3 ADV. ROUTING LICENSE PIM, OSPF, VRRP
G3IPV6-LIC
G3 IPV6 ROUTING LICENSE
G3G124-24
G3G124-24P
G3G170-24
G3-PWR
G3-PWR-POE
G3G-24SFP
G3G-24TX
G3K-2XFP
G3K-4XFP
G3G-POE
G3L3-LIC
G3IPV6-LIC
24TX SWITCH + 3 EXPANSION SLOTS - ORDER POWER SUPPLY
SEPARATELY
24TX POE SWITCH + 3 EXPANSION SLOTS - ORDER POWER SUPPLY
SEPARATELY
24 SFP SWITCH + 3 EXPANSION SLOTS - ORDER POWER SUPPLY
SEPARATELY
G3 POWER SUPPLY - NON-POE
G3 POWER SUPPLY - POE
G3 I/O CARD - 24 SFP PORTS
G3 I/O CARD - 24 TX & 2 SFP COMBO PORTS
G3 I/O CARD - DUAL 10GB XFP PORTS
G3 I/O CARD - QUAD 10GB XFP PORTS
G3 POE OPTION CARD FOR 24 PORTS
G3 ADV. ROUTING LICENSE PIM, OSPF, VRRP
G3 IPV6 ROUTING LICENSE
108
Layer 2 Unterstützung
IEEE 802.1w — Rapid Spanning Tree Reconvergence
IEEE 802.1d — Spanning Tree
IEEE 802.1x — Port-based Authentication
IEEE 802.1t — 802.1d Maintenance
IEEE 802.3 — 10 Base-T
IEEE 802.1p— Traffic Management/Mapping to 6 of
8 hardware queues
IEEE 802.3ab — 1000 Base-T
IEEE 802.3ac — VLAN Tagging
IEEE 802.1q — Virtual LANs w/ Port based VLANs
IEEE 802.3ad — Link Aggregation
IEEE 802.1s — Multiple Spanning Tree
IEEE 802.3u — 100 Base-T
IEEE 802.1v — Protocol-based VLANs
IEEE 802.3x — Flow Control
RFC 1643 — Ethernet-like MIB
Private Port (Private VLAN)
RFC 2233 — Interfaces Group MIB using SMI v2
Many-to-One
Mirroring
Port
Mirroring,
One-to-One
Port
RFC 2618 — RADIUS Authentication Client MIB
RFC 2620 — RADIUS Accounting MIB
Port Description
RFC 2674 — VLAN MIB
RFC 2737 — Entity MIB version 2
Spanning Tree Backup Route
RFC 2819 — RMON Groups 1, 2, 3 & 9
STP Pass Thru
IEEE 802.1x MIB (IEEE 802.1-pae-MIB)
RFC 1213 — MIB II
IEEE 802.3ad MIB (IEEE802.3-ad-MIB)
RFC 1493 — Bridge MIB
Authentisierung
RADIUS Client,
Authentication
MAC Authentication
Radius
Accounting
EAP Pass Through
Web Authentication (PWA)
Dynamic and Static Mac Locking
802.1x Authentication
Multiuserauthentication mit bis zu 8 Usern
RFC 3580— Dynamic VLAN Assignment
QoS
802.3x Flow Control
Strict or weighted Round Robin
64 kbps increment granularity
109
for
MAC
Management
NMS Console
Alias Port Naming
NMS Policy Manager
Node/Alias Table
RFC 854 — Telnet
RFC 1157 — SNMP
WebView, SSL Interface to WebView
RFC 1901 — Community-based SNMP v2
Telnet with SSH
RFC 2271 — SNMP Framework MIB
RADIUS Control to Management Interface
RFC 3413 — SNMP v3 Applications
RMON (4 Groups: History, Statistics, Alarms and
Events)
RFC 3414 — User-based Security Model for SNMP
v3
RFC 3415 — View-based Access Control Model for
SNMP
Kapazitäten
802.3ad Link Aggregation:
Address Table Size – 32k MAC Addresses
8 ports per trunk group, 6 groups supported
1024 VLANs supported
Main memory: 256 MB
Flash memory: 32 MB
VLAN Spanning Tree (802.1s) — 4 Instances
Supported
Spezifikationen
Zulässige Feuchtigkeit: 5 bis 95% non-condensing
Maße H/B/T: 8,8 cm x 44,1 cm x 48,1 cm
Stromaufnahme:
Gewicht:
100-240V AC, 50-60Hz, 0.7-1.8A, 92.18-130W
G3G124-24: 9,598kg
Wärmeabgabe:
G3G124-24P: 9,662kg
G3G124-24: 429,66 BTU/H
G3G170-24: 9,866kg
G3G124-24P: 443,3 BTU/H
Betriebstemp.: 0 °C bis 50 °C
G3G170-24: 214,3 BTU/H
Temperaturgrenzwerte: -40°C bis 70 °C (-40 °F bis
158°F)
Unterstützte Standards
CE/FCC Class A/VCCI/C-Tick/BSMI
Standard Safety: UL/CB/LVD
Stoßfestigkeit: ISTA 2A, ASTM D5276
Electromagnetic compatibility:
110
Enterasys K-Serie
Die K-Serie ist eine neue, sehr kosteneffiziente, flowbasierte, modulare SwitchingLösung. Sie automatisiert Netzwerke weitgehend und senkt daher die Betriebskosten.
Die K-Serie macht das Nutzer-, Service- und Applikationsverhalten im Detail
durchschaubar und ermöglicht so genaue Kontrolle und Steuerung. Dadurch lassen sich
Schlüsseltechnologien wie Unified Communications und kritische Betriebsapplikationen
wie CRM und SAP optimieren. Ihre funktionsvielfalt empfiehlt die Systeme Enterasys K6
und K10 als extrem kosteneffiziente, hochdichte Netzwerk-Edge-Access-Switches.
Enterasys K-Serie Switche sind in den folgenden Ausführungen verfügbar:
 6-Slot-Chassis mit maximal 144 Triple-Speed Edge-Ports und vier 10Gb-Uplinks
 10-Slot-Chassis mit maximal 216 Triple Speed Edge Ports und acht 10Gb-Uplinks
Die K-Serie unterstützt bis zu 12 10Gb-Uplinks, davon vier auf den Fabric Cards und zwei
10Gb I/O-Module.
Die Switches entscheiden, wohin Daten weitergeleitet werden. Sicherheitspolicies und rollen setzen sie mit Leitungsgeschwindigkeit durch. Datenverkehr wird klassifiziert und
priorisiert. Alle Ein-/Ausgabemodule bieten höchste Servicequalität für kritische
Applikationen wie Sprache und HD-Video, sogar in Zeiten hoher NetzwerkVerkehrbelastung. Gleichzeitig verhindern sie DoS (Denial-of-Service)-Attacken und
Malware-Übertragungen.
Die K-Serie implementiert eine hochleistungsfähige flowbasierte Switching-Architektur,
mit der sich individuelle Nutzer und Applikationskonversationen intelligent managen
lassen. Die Geräte können weit mehr als reines Switching, das hauptsächlich VLANs,
ACLs und Ports zur Implementierung rollenbasierter Zugangskontrolle umfasst.
NutzerIdentiFikation und Rollenkonzepte gewährleisten, dass jeder einzelne Anwender
auf seine betriebskritischen Applikationen zugreifen kann, egal von wo aus er sich mit
dem Netzwerk verbindet. Die K-Serie inspiziert Pakete im Detail und ermöglicht die
Definition umfangreicher Regelwerke. Dadurch lassen sich Sicherheitsbedrohungen
intelligent aufspüren. Das System reagiert dann automatisch auf entsprechende
Bedrohungen. Die Zuverlässigkeit und die Qualität der Nutzererfahrung steigen.
Ein wichtiges Merkmal der K-Serie ist ihre Fähigkeit, NetFlow-Daten mit
Leitungsgeschwindigkeit zu sammeln. Das bedeutet absolute Transparenz hinsichtlich
der Nutzung der Netzwerkressourcen durch Anwender und Applikationen. Die EnterpriseSwitche der Enterasys K- und S-Serie sind die einzigen, die Multi-User, Multi-Method111
Authentisierung auf jedem Port unterstützen. Das ist absolut essenziell, wenn Geräte wie
IP Telefone, Computer, Drucker, Kopierer, Sicherheitskameras, Barcodeleser und
virtuelle Maschinen an das Netzwerk angeschlossen werden.
K-Serie K6
K-Serie K10
Hardwarebasierte, hochverfügbare Funktionen
Die K-Serie enthält viele Standard-Hochverfügbarkeits-Funktionen, die in Hardware
implementiert sind. Daher eignet sie sich für betriebskritische Umgebungen, die
ununterbrochen (24/7) verfügbar sein müssen.
Im Einzelnen sichern folgende Funktionen und Eigenschaften der K-Serie die
Hochverfügbarkeit:




passive Chassis-Backplane,
bewegliche Lüfterschächte mit mehreren Kühlungslüftern,
bewegliche Stromversorgungen mit Lastverteilung,
mehrere Wechselstromzuführungen für Stromredundanz.
Verteilte, flowbasierte Architektur
Für feinkörnige Transparenz und Verkehrsmanagement ohne Leistungseinbußen
verwendet die Enterasys K-Serie eine verteilte, flowbasierte Architektur. Sie garantiert,
dass die ersten Pakete eines Datenstroms zwischen zwei Endpunkten durch die
Multilayer-Klassifizierungsmaschine in den I/O- und den I/O-Fabric-Modulen des
Switches verarbeitet werden. Sie IdentiFizieren die Rolle des Absenders, bestimmen die
anzuwendenden Regelsätze, prüfen die Pakete und definieren die Maßnahme zur
Weiterleitung Nachdem ein Datenstrom indentifiziert wurde, handhaben die EnterasysASICs die nachfolgenden Pakete dieses Flows automatisch und ohne weitere
Verarbeitung. Die Enterasys K-Serie kann damit jeden Datenstrom sehr detailliert auf der
gesamten Transportstrecke steuern und überwachen.
112
Multi-User / Method Authentifizierung und Policy
Mit Authentifizierung verwalten Unternehmen den Netzwerkzugang und machen Nutzer
und Geräte mobil. Authentifizierung schafft Überblick darüber, wer oder was mit dem
Netzwerk verbunden ist und vermittelt jederzeit Wissen darüber, wo sich diese
Verbindung befindet. Die Module der Enterasys K-Serie unterstützen nebeneinander
vielfältige Authentifizierungsmethoden. Dazu gehören:
 802.1x-Authentifizierung,
 MAC-Authentifizierung, für die IdentiFizierung der Geräte am Netz über die MACAdresse,
 webbasierte Authentifizierung, (PWA, Port Web Authentifizierung). Dabei stellt der
Browser Nutzername und Password bereit.
 CEP (Convergence End Point): Mehrere VoIP-Telefone unterschiedlicher Lieferanten
werden IdentiFiziert und authentifiziert. Das erhöht die Flexibilität von
Unternehmen, die Zugangskontroll-mechanismen in ihrer Infrastruktur
implementieren möchten.
Weiterhin unterstützt die K-Serie Multiuser Authentifizierung. Damit lassen sich mehrere
Nutzer und Geräte an denselben physikalischen Port anbinden, trotzdem kann man
jeden Anwender und jedes Gerät individuell mit einer Multi-Method Option (802.1x, MAC,
PWA oder CEP) authentifizieren. Der Hauptvorteil des Verfahrens liegt in der
Autorisierung mehrerer Nutzer, entweder durch dynamische Policies oder VLANZuweisung an jeden authentifizierten Nutzer. Derartige dynamische Policies bezeichnet
man als Multiuser Policy. Multiuser-Portfähigkeiten lassen sich bei der K-Serie pro Port,
pro I/O Modul und pro Multi-Slot System festlegen.
Multiuser Authentifizierung und Policy können Sicherheitsdienste auf Nutzer anwenden,
die über ungemanagte Geräte, Switche/Router anderer Hersteller, VPN-Konzentratoren
oder WLAN-Access-Points am Edge mit dem Netzwerk verbunden sind. Authentifizierung
bietet Sicherheit, Priorität und Bandbreitenkontrolle bei gleichzeitigem Schutz
bestehender Netzwerkinvestitionen. Die K-Serie unterstützt bis zu acht Nutzer pro Port.
Dynamische, flowbasierte Paketklassifizierung
Ein weiteres, im Konkurrenzumfeld einzigartiges Feature der K-Serie ist die
nutzerbasierte Multilayer Paketklassifizierung/Servicequalität. Da in den heutigen
Infrastrukturen viele Netzwerkanwendungen eingesetzt werden, reicht eine traditionelle
Multilayer-Paketklassifizierung nicht mehr, um den zeitgemäßen Transport
betriebskritischer Applikationen zu garantieren. Bei der K-Serie ordnet die nutzerbasierte
Multilayer-Paketklassifizierung Datenströme nach Pakettyp, Nutzerrolle im Netzwerk und
113
nutzerspezifischer Policy. So lassen sich Pakete basierend auf eindeutigen
Zuordnungen, wie „All User―, „User Groups― und „Individual User―, klassifizieren.
Netzwerkvertraulichkeit, Integrität und Verfügbarkeit kann man so besser sicherstellen
und managen.
Netzwerktransparenz durch sehr genaue NetFlow Daten
NetFlow stellt auf den Switchports der K-Serie Netzwerk-Performance-Management und
Sicherheitsfunktionen bereit, ohne die Switching- und Routing-Performance zu
verringern, und das ohne den Zukauf teurer Tochterkarten für jedes Modul. Enterasys
NetFlow überwacht, anders als typische statistische Stichprobentechniken oder
restriktive applikationsbasierte Implementierungen, jedes Paket in jedem Datenstrom.
Durch dieses nicht gesamplete Echtzeit-NetFlow-Monitoring ist stets genau bekannt,
welcher Verkehr genau durchs Netz fließt. Taucht etwas Ungewöhnliches auf, erfasst
NetFlow es und man kann sofort einschreiten. Zusätzlich kann man NetFlow für
Kapazitätsplanungen nutzten. Netzwerkmanager überwachen und verstehen damit
Verkehrsflüsse und –volumen im Netzwerk und sehen, wo das Netzwerk rekonfiguriert
oder erweitert werden muss. Dass die Administratoren Upgrades genau planen können,
spart Zeit und Geld.
Feature-Zusammenfassung
 Multilayer Paketklassifizierung: Kenntnis der Datenströme und ihre genaue
Steuerung für zielgenaue Bereitstellung kritischer Applikationen an spezifische
Nutzer
o Nutzer-, Port- und Geräteebene (Paketklassifizierung auf Layer 2 bis 4)
o QoS-Mapping für priorisierte Warteschlangen (Queues) (802.1p & IP ToS
(Type of Service)/DSCP (Differentiated Services Code Point) für bis zu acht
Queues pro Port
o Mechanismen für den Aufbau mehrerer gleichzeitiger Queues (SPQ (Strict
priority Queing), WFQ (Weighted Fair Queuing), WRR (Weighted Round Robin
Queuing) und Hybrid)
o Granulares QoS/Rate Limiting
o VLAN für Policy Mapping
 Switching/VLAN Services – bietet hohe Performance Konnektivität, Aggregation
und schnelle Recovery-Services
o Umfangreiche Industriestandard-Compliance (IEEE und IETF)
o Inbound- und Outbound-Bandbreitenkontrolle per Flow
o VLAN-Serviceunterstützung
114
o Link Aggregation (IEEE 802.3ad)
o Multiple Spanning Trees (IEEE 802.1s)
o Schnelle Rekonfiguration von Spanning Trees (IEEE 802.1w)
o Provider Bridges (IEEE 802.1ad), Q-in-Q Ready
o Flow Setup Throttling
 Verteiltes IP Routing – bietet dynamische Verkehrsoptimierung, Broadcast
Eindämmung und effizientere Netzwerkausfallsicherheit
o Zu den Standard-Routing-Features gehören statische Routen, RIPv1/ RIPv2,
Ipv4 und Multicast Routing Unterstützung (DVMRP, IGMP v1/v2/v3), Policybasiertes Routing und Route Maps, VRRP
o Zu den lizenzierten Routing-Features gehören OSFP v1/v2, PIM-SM und Ipv6
o Erweiterte ACLs
 Sicherheit (Nutzer, Netzwerk und Management)
o Nutzersicherheit
 Authentifizierung (802.1x, MAC, PWA+ und CEP), MAC (statisch und
dynamisch) Port Locking
 Multiuser Authentifizierung / Policies
o Netzwerksicherheit
 ACLs – einfache und erweiterte
 Policy-basierte Sicherheitsservices (Beispiel: Spoofing, nicht
unterstützter Protokollzugang, Intrusion Prevention, DoS-AttackenLimitierung)
 Management-Sicherheit
o Sicherer Zugang zur K-Serie via SSH, SSL, SNMP v3
 Management, Kontrolle und Analyse – bietet modernisierte Werkzeuge, um
Netzwerkverfügbarkeit und -zustand zu bewahren
o Konfiguration
 Industriestandard CLI und Web-Management Unterstützung
 Multiple Firmware-Images mit editierbaren Konfigurationsdateien
o Netzwerkanalyse
 SNMP v1/v2/v3, RMON (9 Gruppen) und SMON (RFC 2613) VLAN und
Stats
 Port/VLAN Spiegelung (1-to-1, 1-to-many, many-to-many)
 Nicht gesampleter NetFlow auf jedem Port ohne Einfluss auf System
Switching- und Routing-Performance
115
o Automatisiertes Set-Up und Rekonfiguration
 Ersatz-I/O Module übernehmen automatisch die Konfiguration von
ausfallenden Modulen
Viele zusätzliche Funktionen und Eigenschaften der K-Serie – einige Beispiele
 NetFlow
–
für
Echtzeit-Transparenz,
Applikationsprofiling
und
Kapazitätsplanungen
 LLDP-MED (Link Layer Discovery Protocol für Medien-Endpunkt- Geräte) verbessert VoIP-Umgebungen
 Flow Setup Throttling (FST) –effektive Vorbelegung und Schutz vor DoS Attacken
 Web Cache Redirect – erhöht WAN- und Internet-Bandbreiteneffizienz
 Node & Alias Location – verfolgt Nutzer- und Gerätelokation automatisch und
verbessert die Produktivität des Netzwerkmanagement und die Fehlerisolation
 Port Protection Suite – bewahrt Netzwerkverfügbarkeit durch Sicherung eines
guten Verhaltens von Protokollen und Endgeräten
 Flex-Edge-Technologie –erweitertes Bandbreitenmanagement und -zuweisung für
anfragende Access / Edge Geräte
Jedes Gerät der K-Serie bietet hohe Netzwerkperformance, Management- und
Sicherheitsfeatures via NetFlow, ohne die Switching- oder Routingleistung zu
beeinflussen. Auch teure Tochterkarten für jedes Blade sind unnötig. Die K-Serie verfolgt
jedes Paket in jedem Datenstrom – im Gegensatz zu den statistischen
Stichprobentechniken des Mitbewerbs. Das liegt an den maßgeschneiderten EnterasysASICs, die NetFlow-Statistiken für jedes Paket in jedem Flow sammeln, ohne dass die
Leistung sinkt.
Flow Setup Throttling (FST) ist eine Funktion für vorbeugende Aktionen gegen Zero-Dayund Denial of Service (DoS)-Attacken, bevor sie das Netzwerk beeinträchtigen können.
FST bekämpft die Auswirkungen solcher Angriffe, indem die Funktion direkt die Zahl
neuer oder existierender Datenströme an jedem individuellen Switchport begrenzt. Sie
kontrolliert, wie viele Flows eintreffen und misst, wann die maximal erwünschte FlowZahl erreicht ist.
Im Netzwerkbetrieb kostet es viel Zeit, ein Gerät zu lokalisieren oder herauszufinden, wo
genau ein Nutzer angebunden ist. Dies ist besonders wichtig, wenn man auf
Sicherheitsverletzungen reagiert. Die Module der Enterasys K-Serie lesen den
Netzverkehr komplett mit, sobald Pakete den Switch passieren und verfolgen dabei
automatisch auch die Standortinformationen von Nutzern und Geräten. Mit diesen
Informationen, etwa der MAC-Adresse einer Station oder dem Layer-3-Alias (IP Adresse,
116
IPX Adresse, etc.) wird dann die Node/Alias-Tabelle bestückt. Die Managementtools der
Enterasys NMS Suite nutzen dann diese Informationen, um schnell die Switch- und PortNummer jeder IP Adresse zu ermitteln und bei einer Sicherheitslücke Maßnahmen
gegen dieses Gerät zu ergreifen. Diese Node- und Alias-Funktionalität bietet derzeit nur
Enterasys und hilft, Probleme statt in Stunden innerhalb von Minuten genau zu orten.
Für Organisationen, die UC (Unified Communications) einsetzen wollen, bietet die KSerie Policy-basierte Automation. Die Systeme unterstützen mehrere standardbasierte
Erkennungsmethoden, inklusive LLDP-MED, SIP (Session initiation Protocol) und H.323,
um UC-Dienste für IP Telefone aller großen Hersteller automatisch zu erkennen und
bereitzustellen. IP-Clients werden durch die Switche der K-Serie ohne
Administrationsaufwand mobil. Zieht ein IP Telefon um oder wählt sich andernorts ins
Unternehmensnetzwerk ein, wandern alle VoIP-, Sicherheits- und Prioritätseinstellungen
automatisch mit. Dasselbe gilt für Ergänzungen und Änderungen des Netzes.
Ports lassen sich mit den Geräten der K-Serie vielfältig und umfassend schützen. Zu den
Portschutzfunktionen gehören zum Beispiel SPANguard und MACLock. SPANguard
erkennt unautorisierte Bridges im Netz, MACLock weist einer MAC Adresse einen
spezifischen Port zu, auf andere Ports hat sie keinen Zugriff. Weitere Möglichkeiten sind
Link Flap, Broadcast-Unterdrückung und Spanning-Tree-Loop-Schutz, alles Funktionen
zur Verhinderung von Fehlkonfigurationen und Protokollfehlern.
Die Flex-Edge-Technologie der Enterasys K-Serie klassifiziert Datenströme mit
Leitungsgeschwindigkeit für alle Zugangsports. Dabei erhalten Steuer- und
Überwachungsdaten sowie hochpriorisierter Verkehr garantiert Vorrang vor anderen
Datenströmen. Die diesbezüglichen Regeln werden in einer übergreifenden Policy
(Enterasys Policy Overlay) festgelegt. Außerdem kann auch jedem authentifizierten
Nutzer an jedem Port, den der Adminsitrator dafür bestimmt, priorisierte Bandbreite
zugewiesen werden. Flex-Edge Technologie ist ideal für den Einsatz in Schaltschränken
und Verteilerpunkten, die oft veraltet sind. Das kann zu Netzwerkengpässen führen, die
wiederum in Topologieänderungen und zufälligen Paketausschüssen resultieren können.
Flex Edge verhindert solche Störungen.
117
Standards und Protokolle
Switching/VLAN Services
802.3ad Link Aggregation
802.3ae Gigabit Ethernet
802.3u Fast Ethernet
802.3x Flow Control
802.3ab Gigabit Ethernet (copper)
IP Multicast (IGMP support v1, v2, v3, per-VLAN
querier offload)
802.3z Gigabit Ethernet (fiber)
802.3ae 10 Gigabit Ethernet (fiber)
Jumbo Packet with MTU Discovery Support for
Gigabit
802.1Q VLANs
Link Flap Detection
802.1D MAC Bridges
Provider Bridges (IEEE 802.1ad) Ready
Dynamic
Egress
Configuration)
802.1w Rapid re-convergence of Spanning Tree
802.S1ab LLDP-MED
(Automated
VLAN
Port
802.1s Multiple Spanning Tree
Standard IP Routing Features
RFC 1746 OSPF Interactions
RFC 1812 General Routing
RFC 1765 OSPF Database Overflow
RFC 792 ICMP
RFC 2154 OSPF with Digital Signatures (Password &
MD5)
RFC 826 ARP
OSPF with Multipath Support
RFC 1027 Proxy ARP
OSPF Passive Interfaces
Static Routes
IPv6 Routing Protocol Ready
RFC 1723 RIPv2 with Equal Cost Multipath Load
Balancing
Extended ACLs
RFC 1812 RIP Requirements
Policy-based Routing
RFC 1519 CIDR
RFC 1112 IGMP
RFC 2338 Virtual Router Redundancy Protocol
(VRRP)
RFC 2236 IGMPv2
RFC 3376 IGMPv3
Standard ACLs
DVMRP v3-10
DHCP Server RFC 1541/ Relay RFC 2131
RFC 1583/RFC 2328 OSPFv2
RFC 2361 Protocol Independent Multicast - Sparse
Mode
RFC 1587 OSPFv2 NSSA
RFC 4601 PIM SM
118
Network Security and Policy Management
RFC 3580 IEEE 802.1 RADIUS Usage Guidelines,
with VLAN to Policy Mapping
802.1X Port-based Authentication
Worm Prevention (Flow Set-Up Throttling)
Web-based Authentication
Broadcast Suppression
MAC-based Authentication
ARP Storm Prevention
Convergence Endpoint Discovery with Dynamic
Policy Mapping
MAC-to-Port Locking
(Siemens HFA, Cisco VoIP, H.323, and SIP)
Multiple
Authentication
Simultaneously
Types
per
Span Guard (Spanning Tree Protection)
Port
Behavioral Anomaly Detection/Flow Collector (nonsampled Netflow)
Multiple Authenticated users per Port with unique
policies per user/End System (VLAN association
independent)
Static Multicast Group Provisioning
IETF and IEEE MIB Support
RFC 2276 SNMP-Community MIB
RFC 1156/1213 & RFC 2011 IP-MIB
RFC 2613 SMON MIB
RFC 1493 Bridge MIB
RFC 2674 802.1p/Q MIB
RFC 1659 RS-232 MIB
RFC 2737 Entity MIB
RFC 1724 RIPv2 MIB
RFC 2787 VRRP MIB
RFC 1850 OSPF MIB
RFC 2819 RMON MIB (Groups 1-9)
RFC 2578 SNMPv2 SMI
RFC 3273 HC RMON MIB
RFC 2579 SNMPv2-TC
RFC 2863 IF MIB
RFC 3417 SNMPv2-TM
RFC 2864 IF Inverted Stack MIB
RFC 3418 SNMPv2 MIB
RFC 2922 Physical Topology MIB
RFC 2012 TCP MIB
RFC 3291 INET Address MIB
RFC 2013 UDP MIB
RFC 3621 Power Ethernet MIB
RFC 2096 IP Forwarding Table MIB
RFC 3415 SNMP View Based ACM MIB
RFC 3411 SNMP Framework MIB
RFC 3635 EtherLike MIB
RFC 3412 SNMP-MPD MIB
RFC 3636 MAU MIB
RFC 3413 SNMPv3 Applications
IEEE 8023 LAG MIB
RFC 3414 SNMP User-Based SM
RSTP MIB
MIB
USM Target Tag MIB
U Bridge MIB
SNMP-REARCH MIB
Draft-ietf-idmr-dvmrp-v3-10 MIB
IANA-address-family-numbers MIB
Draft-ietf-pim-sm-v2-new-09 MIB
IEEE 802.1PAE MIB
Multicast Group, Sender and Receiver Policy Control
119
Management, Control and Analysis
Cabletron Discovery Protocol
SNMP v1/v2c/v3
Cisco Discovery Protocol v1/v2
Web-based Management Interface
Syslog
Industry Common Command Line Interface
FTP Client
Multiple Software Image Support with Revision Roll
Back
Netflow version 5 and version 9
RFC 2865 RADIUS
RFC 2866 RADIUS Accounting
COM Port Boot Prom and Image Download via
ZMODEM
TACACS+ for Management Access Control
Telnet Server and Client
Management VLAN
Secure Shell (SSHv2) Server and Client
4 Many to-One-port, One-to-Many Ports, VLAN Mirror
Sessions
Private MIBs
Enterasys-MAC-locking MIB
Ct-broadcast MIB
Enterasys-convergence-endpoint MIB
Ctron-CDP MIB
Enterasys-notification-authorization MIB
Ctron-Chassis MIB
Enterasys-netfow MIB
Ctron-igmp MIB
Enterasys-license-key MIB
Ctron-q-bridge-mib-ext MIB
Enterasys-aaa-policy MIB
Ctron-rate-policying MIB
Enterasys-class-of-service MIB
Ctron-tx-queue-arbitration MIB
Enterasys-multi-auth MIB
Ctron-alias MIB
Enterasys-mac-authentication MIB
Cisco-TC MIB
Enterasys-pwa MIB
Cisco-CDP MIB
Enterasys-upn-tc MIB
Cisco-netflow MIB
Enterasys-policy-profile MIB
Enterasys-configuration-management MIB
Class of Service
8 Transmit Queues per Port
Packet Count or Bandwidth based Rate Limiters
(Bandwidth Thresholds between 64 Kbps and 4
Gbps)
802.1D Priority-to-Transmit Queue Mapping
Enterasys Network Management Suite (NMS)
NMS Console
NMS Policy Manager
NMS NAC Manager
Weighted Fair Queuing with Shaping
120
Spezifikationen
K6
K10
Switching Fabric Bandwidth
280 Gbps
440 Gbps
Switching Throughput
Address Table Size
190 Mpps (Measured in 64-byte
packets)
packets)
32,000 MAC Addresses
packets)
packets)
32,000 MAC Addresses
VLANs Supported
4,096
4,096
Transmit Queues
11
11
Classification Rules
8,196/chassis
8,196/chassis
Packet Buffering
3.0GB
4.5GB
H: 22.15 cm (8.719‖)
H: 31.02 cm cm (12.219‖)
W: 44.70 cm (17.60‖)
W: 44.70 cm (17.60‖‖)
D: 35.546 cm (14‖)
D: 35.546 cm (14‖)
5U
7U
1Gb DRAM
32 MB flash memory
1Gb DRAM
32 MB flash memory
Operating Temperature
+5 °C to +40 °C (41 °F to 104 °F)
+5 °C to +40 °C (41 °F to 104 °F)
Storage Temperature
-30 °C to +73 °C (-22 °F to 164 °F)
Operating Humidity
5% to 90% relative humidity, noncondensing
100 to 125 VAC, 12 A or 200 to 250
VAC, 7.6 A; 50 to 60 Hz
(Max per power supply)
-30 °C to +73 °C (-22 °F to 164
°F)
5% to 90% relative humidity, noncondensing
100 to 125 VAC, 12 A or 200 to
250 VAC, 7.6 A; 50 to 60 Hz
(Max per power supply)
• Automated or manual PoE power
distribution
• Per-port enable/disable, power
level, priority safety, overload, and
short-circuit protection
• System power monitor
• PoE Power:
400W per power supply (100 to 125
VAC) 2400W Max. 800W per power
supply at (200 to 250 VAC) 4800W
Max.
• IEEE 802.3af
• IEEE 802.3at
• Automated or manual PoE power
distribution
• Per-port enable/disable, power
level, priority safety, overload, and
short-circuit protection
• System power monitor
• PoE Power:
400W per power supply (100 to
125 VAC) 2400W Max. 800W per
power supply at (200 to 250 VAC)
4800W Max
• IEEE 802.3af
• IEEE 802.3at
UL 60950-1, FDA 21 CFR 1040.10
and 1040.11, CAN/CSA
C22.2 No.60950-1, EN 60950-1, EN
60825-1, EN 60825-2,
IEC 60950-1, 2006/95/EC (Low
Voltage Directive)
FCC 47 CFR Part 15 (Class A), ICES003 (Class A), EN 55022 (Class A),
EN 55024, EN 61000-3-2, EN
61000-3-3, AS/NZ CISPR-22 (Class
UL 60950-1, FDA 21 CFR 1040.10
and 1040.11, CAN/CSA
C22.2 No.60950-1, EN 60950-1,
EN 60825-1, EN 60825-2,
IEC 60950-1, 2006/95/EC (Low
Voltage Directive)
FCC 47 CFR Part 15 (Class A), ICES003 (Class A), EN 55022 (Class A),
EN 55024, EN 61000-3-2, EN
61000-3-3, AS/NZ CISPR-22 (Class
Performance/Capacity
Routing Throughput
Chassis Dimensions (H x W x D)
Host Memory and Flash
Environmental Specifications
Power Requirements
Power over Ethernet Specifications
System Power
Standards Compliance
Agency and Standard Specifications
Safety
Electromagnetic Compatibility
121
Environmental
A). VCCI V-3. CNS 13438 (BSMI),
2004/108/EC (EMC Directive)
2002/95/EC (RoHS Directive),
2002/96/EC (WEEE Directive),
Ministry of Information Order #39
(China RoHS)
A). VCCI V-3. CNS 13438 (BSMI),
2002/95/EC (RoHS Directive),
2002/96/EC (WEEE Directive),
Ministry of Information Order #39
(China RoHS)
Part Number
description
K6 Chassis
K6-Chassis
K-Series 6 Slot Chassis and Fan Tray
K6-FAN
K6 Fan Tray - Spare
K6-MID-KIT
K6 Mid-Mount Kit
K10 Chassis
K10-Chassis
K-Series 10 Slot Chassis and Fan Tray
K10-FAN
K10 Fan Tray - Spare
K10-MID-KIT
K10 Mid-Mount Kit
Part Number
description
Power Supplies and Accessories
K-AC-PS
K-Series Power Supply, 15A, 100-240VAC input, (600W system, 400/800W POE)
K-POE-4BAY
K-Series External 4 Bay Power Shelf
K-POE-4BAY-RAIL
Mounting Kit for K-POE-4BAY
K-POE-CBL-2M
K-Series PoE Power to K Chassis Cable - 2M
I/O Fabric Modules
KK2008-0204-F2
K10 Management/Fabric Module (4) 10GB via SFP+
KK2008-0204-F2G
K10 Management/Fabric Module (4) 10GB via SFP+(TAA Compliant)
KK2008-0204-F1
K6 Management/Fabric Module (4) 10GB via SFP+
KK2008-0204-F1G
K6 Management/Fabric Module (4) 10GB via SFP+(TAA Compliant)
I/O Modules
KT2006-0224
K-Series (24) Port 10/100/1000 802.3at RJ45 PoE IOM
KT2006-0224-G
K-Series (24) Port 10/100/1000 802.3at RJ45 PoE IOM (TAA Compliant)
KT2010-0224
K-Series (24) Port 10/100/1000 802.3at Mini-RJ21 PoE IOM
KT2010-0224-G
K-Series (24) Port 10/100/1000 802.3at Mini-RJ21 PoE IOM (TAA Compliant)
KG2001-0224
K-Series (24) Port 1Gb SFP IOM
KG2001-0224-G
K-Series (24) Port 1Gb SFP IOM (TAA Compliant)
KK2008-0204
K-Series (4) Port 10Gb SFP+ IOM
Licenses
K-EOS-L3
Advanced Routing License (OSPF, VRF, PIM-SM)
K-EOS-PPC
K-Series Per Port User Capacity License Upgrade
122
Enterprise Mobility
Wireless LAN ermöglicht Unternehmen erhohte Flexibilitat (zum Beispiel mobile Büros,
schnelle Anbindung neuer Bereiche), aber auch Kostensenkung durch
Prozessintegration (zum Beispiel Scanner im Logistikbereich), direkte Dokumentation
auf digitaler Ebene, mobile Visite im Bereich Gesundheitswesen, Lokation-Tracking zum
Auffinden von mobilen Gutern und Personen). Oft wird auch die Bereitstellung von
Gastzugangen über Wireless LAN realisiert. Insbesondere die Trends in Unternehmen,
zum Einen bestehende DECT Systeme durch VoIP over Wireless LAN (WLAN) zu ersetzen
als auch zum anderen die Anforderung neuer Multifunktionssysteme (insbesondere
SmartPhones, PDAs) mit GSM/GPRS, UMTS, Bluetooth und WLAN Schnittstellen gerecht
zu werden und ein kostenoptimiertes Roaming anzubieten (ein Mitarbeiter, der heute mit
dem GSM Handy im eigenen Unternehmen telefoniert, wird in Zukunft direkt ins WLAN
seines Unternehmens eingebucht und telefoniert dann über VoIP - „kostenlos―) sind hier
die wesentlichen Faktoren.
Viele der oben genannten Technologien und Mehrwerte wurden erst durch die WLAN
Switching Architektur vollwertig und praktikabel umsetzbar. Hierbei wird die bei der
„Thick-AP―-Architektur vorhandene verteilte Intelligenz je Access Point in eine zusätzliche
Komponente, dem so genannten WLAN Controller zentralisiert. Die Access Points selbst
werden in so genannte „Thin-APs― umgewandelt und fungieren nur noch als „intelligente
Antennen―. Dadurch wird eine skalierbare, flexible und zukunftssichere WLAN Umgebung
geschaffen, die Hunderte von WLAN Switchen und Tausende von APs umfassen kann.
Als oberste Hierarchieebene wird meist auch noch ein WLAN Management System
eingesetzt, das zentral über WLAN Grenzen hinweg Planungs-, Konfigurations-,
Monitoring- und Alarmierungsdienste zur Verfügung stellt.
Typische Funktionen einer WLAN Switching Lösung sind z.B.:
•
•
•
•
Automatische Kanalwahl
Automatische Regelung der Sendeleistung
Loadbalancing zwischen den APs
Verarbeiten von Gebäude/ Geländeplanen, um die Funkausbreitung/ Clients/
RFID-Tags/ Fremd-APs visuell darzustellen
• Verkürztes, subnetübergreifendes Roaming
• Automatisiertes Erkennen, Lokalisieren und Bekampfen von Fremd-APs und
Clients
• Zentralisierte Planung, Deployment, Reporting & Alarmierung
123
Durch die IdentiFi Adapt Architektur bleibt ein grosser Anteil der Intelligenz in den APs
erhalten. Dies ermöglicht dezentrales Traffic-Forwarding direkt am AP mit allen nötigen
Paramentern wie z.B QoS, Ratelimit, ACLs us.w. und eliminiert dadurch den Flaschenhals
am Controller. Weiterhin kann der AP auch ohne Controller weiter den Service in der Luft
bereitstellen.
WLAN High Density & Performance Best Practise
Um den gestiegenen Anforderungen hinsichtlich Client-Dichte und Leistung in heutigen
modernen WLAN-Netzen Rechnung zu tragen, beinhaltet unsere Lösung eine Vielzahl
von Funktionen, um diese Herausforderungen effizient und einfach zu lösen:
Load Balancing & Bandsteering
Load Balancing verteilt Clients über eine definierte Anzahl von Radios um
sicherzustellen, dass ein einziger Radio-oder Kanal nicht überlastet wird, während
andere ungenutzt bleiben. Vorraussetzung ist, dass sich die APs gegenseitig in der Luft
sehen. Typischerweise wird dieses Feature in grossen Besprechungsräumen,
Bibliotheken oder Hörsälen eingesetzt.
Band-Steering erkennt, ob ein Client das 5 Ghz-Band unterstützt und steuert diesen
dann gezielt auf dieses Radio. Vorraussetzung hierfür ist, dass die WLAN Ausleuchtung
auch für das 5 Ghz-Band sichergestellt ist, da es sonst für diese Clients zu
Verbindungsabbrüchen kommen kann.
Beide Funktionen kombiniert maximieren die Effizienz und den Durchsatz des
Gesamtsystems.
124
Single SSID Design
Die Vielzahl an Applikationen und Endsystemen in heutigen WLAN-Netzen kann nicht
mehr durch zusätzliche SSIDs Domänen umgesetzt werden. Durch die Möglichkeit
userbezogene Policies mit allen, per User nötigen Parametern (VLAN, ACL, Topoligie,
Ratelimit,QoS) zu vergeben, wird dies beim Single SSID Design innerhalb der SSID
gelöst. Dadurch ergeben sich folgende Vorteile:
• Per User Topologie,QoS, Ratelimit und ACL
o weniger SSIDs nötig – einfachere Konfiguration der Clients
o einfacheres Durchsetzen von Security-Policies, da weniger SSIDs zu
schützen sind
o Bessere Performance in der Luft – da weniger Beacons
Besonders durch das minimieren der Becaons steigt die Performance in der Luft
erheblich:
Prinzipschaubild:
Airtime Fairness
Obwohl die Anzahl der installierten 11n-APs stetig steigt, findet man auf der Client-Seite
fast ausschließlich Umgebungen in denen 11n- und 11a/b/g-Clients auf die gleiche
Infrastruktur zugreifen. Durch den bestehenden Zugangsmechnanismus wird jeden
Client, unabhänig von der Geschwindigkeit mit der er verbunden ist, erlaubt, die gleiche
Anzahl an Paketen zu versenden. Bei gemischten Clientzugangstechnologien (11n vs
.11a/b/g) führt dies dazu, dass z.B. ein 11b Client den Kanal erheblich länger belegt als
125
ein 11n Client. In der Summe wird dadurch der Gesamtdurchsatz der Funkzelle erheblich
vermindert. Dieses Verhalten wird als Packet Fairness bezeichnet.
Durch Ändern dieses Verhaltens von Packet Fairness auf Airtime Fairness, bei dem
jedem Client die gleiche Sendezeit eingeräumt wird, wird der Gesamtdurchsatz der
Funkzelle gesteigert.
Client Mix
11a @ 6 Mbps
11a @ 24 Mbps
11n HT20 @ 104 Mbps
11n HT40 @ 240 Mbps
Total Throughput
Effective Bandwith (Mbps)
Packet
Airtime
Fairness
Fairness
4.5
1.5
4.5
6
4.5
26
4.5
60
18.0
93.5
Ratelimit & QoS
Da sich die in einer Funkzelle eingeloggten Clients die Bandbreite & Sendezeit dieser
Zelle teilen, ist es höchst effizient mit Ratelimits & QoS den Zugriff auf die Zelle je nach
Nutzer (z.B Gäste vs. internen Clients) zu steuern. Dadurch ist es möglich, die limitierte
Kapazität nutzer- & applikationsbezogen effizient zu verteilen.
Erhöhen der Minimum-Basic-Rate:
Management- sowie Multicast-Frames werden mit der geringst möglichen
Geschwindigkeit übertragen, damit sichergestellt wird, dass der Traffic auch von allen
Clients erreicht wird. Bei entsprechender Ausleuchtung kann diese erhöht werden und
so die Gesamtleistung des Systems verbessert werden
Performance-Tuning für Multicast-Verkehr:
Die gestiegene Nutzung von Video-over-WLAN & Zero-Config-Protokollen wie Bonjour,
UpnP und LLMNR führt zu einen erheblich größeren Anteil an Multicast-Traffic innerhalb
eines WLANs. Da Multicast-Traffic immer mit der Minimum-Basic-Rate versendet wird,
kann dies zu erheblichen Performance-Engpässen führen. Daher wird folgender Umgang
mit Multicast-Traffic empfohlen:
 Multicast-Filterung @ AP
Verbieten von Multicast-Verkehr via ACL, wenn dieser nicht benötigt wird
 Multicast zu Unicast Umwandlung
Dieses Feature wandelt Multicasttraffic in Unicasts um. Diese werden dann mit
der vollen Performance der Clientverbindung versendet.
126
 Proxy ARP @ AP
Der AP beantwortet ARP-Anfragen direkt und leitet diese nicht an die
Funkschnittstelle weiter
 Anpassbare Multicast Senderate
Der AP erkennt, welcher Client innerhalb seiner Funkzelle mit der geringsten
Geschwindigkeit verbunden ist und sendet den Multicast mit dieser
Verbindungsgeschwindigkeit, auch wenn die Minimum-Basic-Rate niedriger liegt.
Best Practise AP36XX/AP37XX Radio Konfiguration:
Um die optimale Performance unserer 11n-APs zu gewährleisten empfehlen wir folgende
Konfiguration:
Radio 1











Radio Mode: a/n
Channel Width: 40MHz
Guard Interval: Short
ATPC: Enabled
Max Power: 20 dBm
Min Power: 0dBm
Protection Mode: Disabled
40MHz Protection Mode: None
Aggregate MSDUs: Disabled
Aggregate MPDUs: Enabled (Disabled for Voice)
ADDBA Support: Enabled (Disabled for Voice)
127
Zusätzlich bei AP37xx:
 Enable LDPC
 Enable STBC
 Enable TXBF
Radio 2










Radio Mode: b/g/n (b ausschalten, wenn keine 11b Devices mehr vorhanden)
Channel Width: 20MHz
ATPC: Enabled
Max Tx Power: 20 dBm
Min Tx Power: 0 dBm
Protection Mode: Disabled
40MHz Protection Mode: None
Aggregate MSDUs: Disabled
Aggregate MPDUs: Enabled (Disabled for Voice)
ADDBA Support: Enabled (Disabled for Voice)
Zusätzlich wenn Abdeckung gegeben:
 Erhöhen der min. Basic-Rate(1Mbps, 2Mbps, wenn möglich auch 5,5 Mbps)
 Ausschalten 802.11b
 Ausschalten von niedrigen 802.11g min. Basic-Rates (6Mbps)
Zusätzlich bei AP37xx:
 Enable LDPC
 Enable STBC
 Enable TXBF
VNS Configuration
Global Settings->Wireless QoS->Flexible Client Access
 Fairness Policy: 100% Airtime
WLAN Services->Privacy
 ―None‖, ―WPA v.2‖ oder ―WPA-PSK v.2‖
WLAN Services->QoS
 WMM: Enabled
 Flexible Client Access: Enabled
128
Sicherung von WLAN Netzen
Zur Sicherung der Luftschnittstelle wurde ursprünglich der Sicherheitsstandard Wired
Equivalent Privacy (WEP) eingeführt. Dieser erwies sich jedoch schon nach kurzer Zeit
als lückenhaft, denn durch das Aufzeichnen und Analysieren der Kommunikation ist es
möglich, den Netzwerkschlüssel zu ermitteln und somit die „Privacy― zu
kompromittieren. Der eigentliche Standard (IEEE 802.11i) zur Sicherung von WLANs war
zu diesem Zeitpunkt noch in Arbeit, daher etablierte sich WPA als Zwischenlösung. Hier
wurden durch diverse Hilfsmittel wie dynamische Schlüssel, bessere Authentifizierung insbesondere durch Berücksichtigung von RADIUS Authentifizierung - eine höhere
Sicherheit gewährleistet, welche noch nicht kompromittiert wurde.
Das Thema Sicherheit im Wireless LAN ist nach langer Diskussion nun final gelöst: Der
Standard 802.11i (auch WPA2 genannt) ist verabschiedet und bietet für alle
existierenden Sicherheitslücken innerhalb der 802.11 Familie eine adäquate Lösung.
Die Authentifizierung via 802.1x (Port Based Authentication) und dessen gängige
Methoden EAP-TLS, PEAP und EAPTTLS (zertifikats- und passwortbasiert) stellen neben
der eigentlichen Authentifizierung die Basis fur das Key Management dar. Die
Verschlüsselung ist 128-Bit AES (Advanced Encryption Standard) -basiert. Die Integrität
von Daten und Header wird durch CCM (CCM = Counter Mode Encryption mit CBC-MAC)
gewährleistet. Replay Attacks werden durch ein IV (Initialization Vector) Sequencing mit
48 Bit IV verhindert. Ein weiterer Punkt zur Sicherung von WLAN Netzen ist der Umgang
mit Fremd-APs/Clients sowie 802.11-fremden Störungen, wie z.B defekten Mikrowellen
oder DECT-Stationen, die das gesamte RF-Spektrum stören können. Hierzu scannen die
APs automatisch nach anderen Geräten, die im selben RF-Band arbeiten. Dadurch
werden fremde Sender sowie natürlich die APs, die zum eigenen System gehören,
erkannt. Alle fremden Sender stellen potentielle Rogues dar. Hierbei ist eine
automatische Unterscheidung zwischen „Interfering AP―, „Rogues― und „Ad-hoc Clients―
wichtig.
Ein interfering AP wird auf der RF-Schnittstelle von den APs gesehen. Dieser hat jedoch
keine Verbindung über die LAN Schnittstelle ins eigene Netz und stellt daher nur eine
Störung auf der Funkseite dar. Meist sind dies Netze in benachbarten Gebäuden oder
interne, unabhängige WLANs. Ein Rogue hingegen hat auch eine Verbindung über die
LAN Schnittstelle ins eigene Netz und stellt damit ein erhöhtes Sicherheitsrisiko dar, da
sich über diesen AP auch fremde Clients in das interne Netz einloggen können. Ad-hoc
Clients kommunizieren direkt miteinander ohne Verbindung zum eigentlichen Netzwerk.
Dies stellt ähnlich wie die interfering APs kein direktes Sicherheitsrisiko dar, allerdings
werden sie als Störung auf der Funkseite erkannt.
129
Diese Unterscheidung wird automatisch vom den Systemen vorgenommen und
kategorisiert. Weiterhin stellen die Systeme Möglichkeiten zur Verfügung, um
Gegenmaßnahmen zu ergreifen, die verhindern, dass sich WLAN Clients mit einem
Rogue AP verbinden. Hierbei gibt sich das WLAN Switching System als Rogue AP aus und
sendet sogenannte disassociation frames zu den am eigentlichen Rogue AP
eingeloggten Clients. Diese verlieren dadurch die Verbindung und es kann keine saubere
Kommunikation mehr aufgebaut werden. Zusätzlich können alle Arten von FremdAPs/Clients mit Hilfe von Gebäudeplanen lokalisiert werden.
Voice over WLAN – QoS & Security
Die Zugriffsmethode für WLANs basiert derzeit meist noch auf CSMA/CA (Carrier Sense
Multiple Access with Collision Avoidance). Damit können keine QoS Merkmale geliefert
werden.
Der IEEE 802.11e Standard beschreibt einige Erweiterungen, um diese Merkmale in
einer WLAN Umgebung zu ermöglichen. Einige Unterfunktionen dieses Wireless
Standards werden als WiFi Multimedia (WMM) vermarktet.
WMM eignet sich vor allem für Video- und Sprachübertragungen. Für den Kanalzugriff
(Medium Access Control - MAC) sind in IEEE 802.11 zwei Verfahren spezifiziert worden:
Die Distributed Coordination Function (DCF) ist ein verteilter, zufallsgesteuerter
Zugriffsmechanismus (Carrier Sense Multiple Access with Collision Avoidance, kurz:
CSMA/CA), der einen Best-Effort-Dienst liefert. Die Point Coordination Function (PCF) ist
ein zentral gesteuerter Mechanismus, bei dem die beteiligten Stationen in regelmäßigen
Abständen durch einen Master (typischerweise ein Access Point) per Polling ein
Senderecht erhalten. Auf diese Weise kann für die beteiligten Stationen eine gewisse
Bandbreite zugesichert werden. Die Implementierung der DCF ist in IEEE 802.11
zwingend vorgeschrieben, die Realisierung der PCF ist jedoch nur als optional
klassifiziert. Daher wundert es nicht, dass in allen bekannten Implementierungen
lediglich die DCF umgesetzt wurde. Da DCF zufallsgesteuert in einem Shared Medium,
wie Wireless LAN, arbeitet, ist bei dieser Technik jedoch keine Bandbreitengarantie
möglich – die Latenzzeit kann stark schwanken (Jitter), was für VoIP sehr negative
Auswirkungen auf die Sprachqualität hat.
130
Komponenten einer VoWLAN-Lösung
Aus den oben genannten Gründen verwenden die meisten VoWLAN-Phone Hersteller
eine Kombination aus standardbasierten und propritären Mechanismen, um ein
schnelles Hand-Over von AP zu AP zu ermöglichen. Das Ziel dieses Roamingvorganges
ist es ein für den Enduser nicht merkbares Wechseln der Funkzelle zu ermöglichen. Bei
den heute am meisten verwendeten Codecs G.711 und G.729 beträgt die maximal zu
akzeptierende Roamingzeit ca. 50ms.
Class
Applications
Traffic
Latency Delay
Packet Loss
Sensitivity
Background
FTP
Bidirectional/Asymetric
Unbounded
Low
Email
Variable Pkts
<5-10s
Web
Tolerable
Telnet
Variable Pkts
<1s
Video Gaming
Tolerable
Variable Pkts
<100ms
Unidirectional
Bounded
Cable TV
Large Pkts / Multicast
<5s
IP TV
Unidirectional
Bounded
Large Pkts / Multicast
<1s
Interactive
Fast Interactive
Non-RT Streaming VOD
RT Streaming
131
Low
High
Low
High
Conversational
VoIP
Birdirectional
Strict & Low
Video Phone
Small Pkts
<50ms
High
(VoIP, Gaming)
Internet Game
Large Pkts
(Video Phone)
Als Roaming-Vorbereitung eines VoWLAN-Clients ist es nötig, dass dieser die APs in
seinem Sendebereich kennt. Um dies umzusetzen, senden die Clients Probe-Requests.
Manche VoWLAN-Clients können so konfiguriert werden, dass nur bestimmte Kanäle
(1,6,11) gescannt werden oder es werden spezielle Elemente in den AP Becons
verwendet, um die Scangeschwindigkeit zu verbessern. Ebenso können manche
Endgeräte so eingestellt werden, dass sie das Scannen erst bei Erreichen eines
bestimmten Schwellenwerts beginnen. Dieser liegt meist bei -65 bis -70dBm. Diese
Funktionen verbessern die Akkulaufzeiten und sorgen für ein schnelleres Roaming. Eine
der größten Hürden in Bezug auf schnelles Roaming beim Ausrollen von VoWLANLösungen sind die Verschlüsselungstechniken. Das beste Roamingverhalten wird bei
unverschlüsseltem Verkehr oder mit WEP mit unter 8ms erreicht. Dieser Wert umfasst
die Zeitspanne vom letzten erfolgreich gesendeten Paket auf dem alten AP bis zu dem
ersten erfolgreich gesendeten Paket auf dem neuen AP.
Durch die Einführung von 802.11i wurde die Sicherheit in WLAN-Netzen drastisch
erhöht, speziell auf 802.1x-basierende Implementierungen, aber allerdings auf Kosten
eines schnellen Roamingvorgangs. Durch die Einbeziehung eines RADIUS Servers bei
diesem Standard innerhalb jedes Authentifizierungsvorgangs werden die Roamingzeiten
auf 50-200ms erhöht.
Selbst unter besten Voraussetzungen mit einem lokalen, nicht unter Last stehenden
RADIUS Server, werden sehr schnell die gewünschten 50ms überschritten. Dies wird
durch den Einsatz von WPA-PSK umgangen. Beide dazugehörigen Standards, WPA-PSK
und WPA2-PSK, erreichen fast ein ähnliches Sicherheitsniveau wie die 802.1xImplementierung, jedoch ohne Einbeziehung einer RADIUS Abfrage. Zusätzlich zu den
einfachen Verfahren ohne Verschlüsselung oder WEP wird jedoch bei jedem
Roamingvorgang die Erzeugung von Keys vorgenommen. Dieser Vorgang führt zu einer
Verzögerung von weniger als 7ms bei WPA-PAS und 5ms bei WPA2-PSK. Dies führt in der
Summe zu Gesamtroamingzeiten von 13-15ms. Das ist eine erhebliche Verbesserung
gegenüber Verfahren die einen RADIUS Server ansprechen.
Allerdings ergeben sich durch den Einsatz von WPA-PSK auch einige Nachteile. So ist
132
diese Technologie, wie alle Preshared-Key-Technologien, anfällig gegenüber
Wörterbuchattacken sobald ein einfacher Verschlüsselungskey gewählt wurde. Weiterhin
ist das Ändern des Keys auf den Endgeräten meist mit einem Konfigurationsaufwand auf
jedem Endgerät verbunden. Diese Punkte treffen für eine auf RADIUS Abfrage
basierende Technologie nicht zu. Um die zusätzlich benötigten schnellen
Roamingvorgänge umsetzen zu können, die bei VoWLAN benötigt werden, wurden zwei
neue Technologien entwickelt: OKC und Pre-Authentication.
Opportunistic Key Caching (OKC) verteilt den Key, den ein WLAN-Phone bei der ersten
RADIUS Abfrage (für gewöhnlich beim Einschalten) erhält, auf alle APs, die den Service
beinhalten. Bei einem Roamingvorgang ist es nun nicht mehr nötig den RADIUS Server
abzufragen, da sich der passende PMK bereits auf den APs befindet. Dadurch ergeben
sich Roamingzeiten wie bei der PSK-Variante mit den Security-Vorteilen einer RADIUS
Infrastruktur. Allerdings wird das Sicherheitsniveau einer vollen 802.11i
Implementierung nicht erreicht, da der gleiche PMK auf alle APs verteilt und für die
Authentifizierung und Verschlüsselung benutzt wird. 802.11i fordert jeweils einen neuen
PMK per Session pro AP. Zur Zeit gibt es noch wenige Endgeräte die OKC unterstützen.
Pre-Authentication ist eine Lösung, die eine volle RADIUS Abfrage an jedem AP benutzt.
Dieser Vorgang, der mithilfe des Roamings stattfindet, ist erheblich zeitsparender. Mit
Pre-Authentication führt das Endgerät eine vollwertige RADIUS basierende
Authentifizierung beim erstmaligen Verbinden mit einem AP durch. Danach scannt das
Endgerät nach jedem AP in der Umgebung mit der selben ESSID (aber anderen BSSID)
und nutzt seine existierende Verbindung zur Infrastruktur, um eine vollwertige RADIUS
Authentifizierung an den umgebenden APs durchzuführen, bevor der Roamingvorgang
stattfindet. Der PMK wird sowohl von dem AP als auch Endgerät für eine spätere
Benutzung vorgehalten. Bei einem Roamingvorgang wird über diesen Key ein Sessionkey
je AP generiert. Der Zeitaufwand hierfür ist vergleichbar mit dem bei WPA-PAK. PreAuthentication ist anfällig gegenüber Infrastrukturen mit hoher AP-Dichte und sehr
mobilen Endgeräten. Dies kann zu Situationen führen, bei denen ein Roamingvorgang
stattfindet bevor die Pre-Authentication durchgeführt wurde. Die Technologie gilt als
sicherer als OKC, ist aber erst auf wenigen Endgeräten verfügbar. Beim Siemens WL2
Handset werden beispielsweise beide Funktionen unterstützt.
Load Balancing in VoWLAN-Umgebungen wird durch eine von mehreren Call Admission
Control (CAC) Funktionen erreicht. Enterasys WLAN benutzt hierzu TSPEC, wobei ein
Endgerät eine Traffic-SPECification (TSPEC) erstellt und diese an den AP sendet. Dieser
reserviert die angekündigte Menge an Up- und Down-Stream Bandbreite. Die
Implementierung erlaubt es Limits für neue und bestehende Roaming-Verbindungen zu
133
setzen. Weiterhin können Bandbreitenreservierungen in unabhängigen Klassen gemacht
werden, in denen z.B. Voice eine höhere Priorität bekommt als Video. Die
Implementierung beim Enterasys WLAN geht sogar soweit, dass spezielle Aktionen
definiert werden können sobald die angekündigte Up- und Down-Stream Bandbreite
überschritten wird, dies geschieht auf einer per SSID-Basis.
Lokation-Tracking in WLAN Netzen
Eine weitere Technologie, die erst durch WLAN Switching ermöglicht wurde, sind
Location Based Services. Mit Hilfe dieser Technologie können Geräte geortet werden, die
eine WLAN Karte besitzen (Notebooks, VoIP WLAN Phones) sowie dedizierte Location
Tags, in denen z.B. Panic-Buttons und Bewegungssensoren integriert sind. Diese können
an wichtigen Gütern, z.B. mobilen Infusionspumpen im Krankenhausbereich oder an
Staplern in der Logistik, befestigt werden. Durch die lokationsbezogenen Daten kann
sehr einfach eine Prozessoptimierung durchgeführt werden wie z.B standortabhänige
Disponierung von Staplern im Logistikbereich.
Für die Ortung selbst werden verschiedene Technologien eingesetzt:
Anwesenheit
 Ein Tag sendet z.B alle 2 Minuten oder sobald er bewegt wird ein Signal. So wird
sichergestellt, dass immer die aktuelle Lokation angezeigt wird.
Echtzeit
 Ein Client/Tag wird gezielt vom User/System abgefragt und die aktuelle Lokation
zurückgemeldet.
Lokationsbezogen
 Ein Tag wird bei Passieren einer bestimmten Lokation über einen so genannten
Exiter gezwungen, seine Lokation an das System zu melden.
Weiterhin gibt es verschiedene Ortungsmethoden:
AP Connection und RSSI-Wert
• Die bekannte AP Lokation sowie der RSSI-Wert des Client ergibt eine
Abstandsabschätzung
• Der Client befindet sich auf der RSSI-Kontour
• RF-Hindernisse haben Einfluss auf die RSSI-Kontour
• Zur Lokationsbestimmung wird die Client Sendestärke verwendet
Trilateration
134
o Bekannte AP Lokationen und Client RSSI-Werte ermöglichen Distanzangaben
o Ab einer Anzahl von 3 Distanzwerten (APs) kann die Lokation sauber bestimmt
werden
o RF-Hindernisse können die Qualität der Werte beeinflussen
o Folgende Faktoren können die Werte verbessern
 Anzahl der Aps, die den Client sehen
 Geometrie der Aps
 Qualität des RF-Models des Gebäudeplans
Serverbasierendes Pattern Matching
 Der von mehreren APs gesehene RSSI-Pattern eines Clients kreiert einen
eindeutigen „Fingerabdruck―
 Hat ein weiterer Client den selben RSSI-Pattern, ist er an der gleichen Lokation
 Client Sendestärke ist nicht relevant
 kein RF-Model des Gebäudes notwendig
802.11n & 802.11ac - Next Generation WLAN Standard
Mit der Einführung des 11n-Standards, der 2008 verabschiedet wurde, haben einige
signifikante Änderungen und Verbesserungen in der WLAN Technologie Einzug gehalten.
Aus technischer Sicht sind dies 3 Hauptkomponenten:
Multiple Input Multiple Output (MIMO) Technologie
Bei 11a/b/g wurde bisher die gesamte Datenmenge über eine Antenne gesendet und
empfangen. Mit der MIMO Technologie wird der Datenstrom über einen Splitter auf
mehrere Sende-/Empfangsantennen (2 oder mehr Stück je nach Produkt) aufgeteilt.
Die Anordnung der Antennen auf den WLAN Karten ist so gestaltet, dass die Ausbreitung
des Funksignals räumlich versetzt erfolgt und es so zu keinen gegenseitigen Störungen
bei der Übertragung kommt. Während die bisherigen Technologien teilweise Probleme
mit Reflexionen hatten, nutzt MIMO diese bewusst und erreicht dadurch einen erhöhten
Durchsatz sowie auch eine robustere Kommunikation.
Kanalbündelung
Der einfachste Weg, um den Durchsatz in einem WLAN Netz zu erhöhen, ist die
Verdopplung des genutzten Frequenzbandes. 11n nutzt dies um 2 benachbarte 20 MhzKanäle zusammen zu fassen. Diese Technologie ist am effektivsten im 5 Ghz
Bandbereich in dem 19, überlappungsfrei 20 Mhz-Kanäle zu Verfügung stehen. Im 2,4
Ghz-Bereich ist diese Technik weniger effektiv, da bereits mit der alten Technologie nur 3
überlappungsfreie Kanäle verfügbar sind. Durch Kanalbündelung wird dies auf einen
135
Kanal vermindert, was einen praktikablen Einsatz ausschließt.
Packet Aggregierung
Bei konventionellen WLAN Techniken ist der Overhead, um ein Datenpaket zu
übermitteln fix, egal wie groß das Paket selbst ist. Bei 11n werden mehrere
Nutzdatenpakete zu einem einzigen Sende-Frame zusammengefügt. Dadurch können
mehrere Pakete mit den Overhead-Kosten eines Einzigen gesendet werden. Die
Effektivität dieser Technologie ist je nach Anwendung verschieden. Besonders groß ist
der Vorteil z.B bei großen Filetransfers, wobei aber z.B. Echtzeitanwendungen wie Voice
oder Video davon nicht profitieren.
Vorteile durch 802.11n
Erhöhte Kapazität
Bei 11n wird die Kapazität einer WLAN Zelle von 14-22 Mbps bei 11a/g auf 100-200
Mbps erhöht. Verteilt auf mehrere User pro Zelle sind damit Geschwindigkeiten von bis
zu 100 Mbps pro User möglich, was sich in der Praxis in einer größeren Bandbreite für
mehr User zeigen wird.
Erhöhte Reichweite
Durch die MIMO Technologie und das bewusste Arbeiten mit Reflexionen durch die
räumlich versetzte Funkausbreitung der Funkwellen wird die Reichweite je AP erhöht.
Dies wird auch dazu führen, dass die Datenrate mit steigendem Abstand vom AP zum
Client langsamer fällt als bei den bisherigen Technologien und somit eine größere
Abdeckung mit weniger APs erreicht wird.
Höhere Verfügbarkeit / Robustheit
Bei den bisherigen Technologien kann die Performance eines WLAN Clients schon bei
kleinsten Bewegungen oder Änderungen an der Umgebung (Schließen einer Tür,
geänderter Einrichtung) stark beeinträchtigt werden. Dieses Problem wird durch Einsatz
von unterschiedlichen Antennen entschärft. Fast jedes WLAN Gerät hat 2 Antennen,
wobei immer nur die aktiv ist, die das beste Signal bekommt. Durch die MIMO
Technologie sind bei 11n immer 2-3 Antennen gleichzeitig aktiv, die dadurch die
Robustheit und Verfügbarkeit erhöhen.
Design
Durch die Abwärtskompatibilität von 802.11n mit a/b/g wird auch die Performance in
einer 11n-Funkzelle auf die Geschwindigkeit der bisherigen Technologien verringert. Der
größte Teil der bisherigen WLAN Clients arbeitet im 2,4 Ghz-Bereich. Durch die
136
Einschränkung bei der Kanalbündelung in diesem Frequenzband und einer oft
geforderten Unterstützung der bisherigen WLAN Clients, wird im 2,4 Ghz-Bereich
zukünftig 11n sehr oft in einem Kompatibilitätsmodus betrieben werden. Im 5 GhzBereich hingegen wird der Vorteil durch Kanalbündlung voll ausgespielt und die neue
Technik in einem 11n-only Modus gesetzt werden, wodurch die oben genannten Vorzüge
voll zum Zuge kommen. Abwandlungen dieses Designs können je nach Anforderungen
und Randbedingungen auftreten, so z.B. wenn man komplett neue WLAN Netze (Access
Points & Clients unterstützen 11n) aufgebaut (Greenfield) oder wenn ein komplett
unabhängiges 11n-Netz zu einem bestehenden 802.11a/b/g Netz aufgebaut wird
(Overlay).
802.11ac - Einführung
Mit 802.11ac ist das nächste Enterprise WLAN Protokoll bereits kurz vor der
Verabschiedung. Dies wird final für Ende 2013 erwartet. Mit 802.11ac halten neue
Technologien Einzug, die bei 11n noch nicht berücksichtigt wurden:
 Höhere Datenraten: Potential für Gigabit-und Multi-Gigabit-Geschwindigkeiten - im
Vergleich zu maximal 450Mbps mit 11n (per Funk)
 Breitere Kanäle: bis 80MHz und 160MHz - im Vergleich zu 20MHz und 40MHz bei
11n. Dies führt dazu das 11ac effektiv nur im 5Ghz Band beutzt werden kann da
im 2,4 Ghz Bereich nicht genügend überlappungsfreie Kanäle zur Verfügung
stehen.
 Zusätzliche Spatial Streams: Bis zu 8 insgesamt (theoretisch) - bei 11n bis 4
insgesamt (kein Anbieter hat mehr als 3 Spatial Streams in Produkten umgesetzt)
 Multi-User MIMO: Fähigkeit, mehrere Stationen tx / rx auf dem gleichen Kanal zur
gleichen Zeit zu bedienen - im Vergleich zu max. einer Station unterstützt bei 11n.
Dies ist eine der vielversprechensten Technologieneuerungen innerhalb von 11ac,
bringt allerdings auch eine erhebliche Komplexität in der technischen Umsetzung
mit sich, so dass die erste Generation von 11ac Produkten diese Funktion noch
137
nicht unterstützen wird.
 Höhere Modulationsverfahren: 256-QAM – im Vergleich max 64-QAM mit 11n
Ein weitere Hauptvorteil wird durch den bis zu 40% gesunkenen Energieverbrauch
erwartet. Dies ermöglicht längere Batterielaufzeiten, für allem im Smartphone Bereich,
mit gleichzeitig steigender Geschwindigkeit.
Ausblick & Empfehlung:
Erste WLAN Client-Karten mit 11ac werden Anfang 2013 erwartet. Enterasys wird bis
Ende 2013 erste 802.11ac Access Points vorstellen. Die heute lieferbaren WLANController sind bereits durch die Möglichkeit des flexiblen Handlings des Client-Traffics
auf 11ac vorbereitet. Bei heutigen Planungen empfehlen wird das 5 Ghz Band mit zu
berücksichtigen um zukünftig einfach, ohne weitere Planungsschritte, auf 11ac
migrieren zu können. Die neuen 11ac WLAN-Clients werden abwärtskompatibel zu 11n
sein, so dass ein sanfter Übergang sichergestellt ist. In Summe werden die First
Generation 11ac-Produkte die o.g. Neuerungen gegenüber 11n nur teilweise bereits
umgesetzt haben. So werden Features wie Multi User MIMO oder die 256QAM Codierung
noch nicht zu finden sein. Weiterhin werden maximal 3 Spatial-Streams unterstützt, so
dass der Vorteil zu 11n zunächst noch überschaubar bleibt.
138
Enterasys IdentiFi WLAN
Enterasys IdentiFi WLAN ist eine zentrale Infrastruktur, um mobile Anwendungen
einfach, sicher und mit hoher Verfügbarkeit kosteneffizient betreiben zu können. Neue
Anwendungen lassen sich damit ohne zusätzliche Investitionen in die Infrastruktur
integrieren. Wegen der hohen Intelligenz des Systems kann man viele unterschiedliche
Anwendungen auf der WLAN-Infrastruktur betreiben. Dabei steht jeder Anwendung die
nötige Bandbreite und Dienstgüte zur Verfügung. Es folgen die Hauptkomponenten der
Lösung, die dann ausführlich beschrieben werden:
139
Individuelle WLAN-Topologien, –Designs und –Parameter für die sehr unterschiedlichen
komplexen Anforderungen der einzelnen Kunden an Verfügbarkeit, Sicherheit,
Verkehrsoptimierung und Dienstgüte heutiger Netze sind mit Enterasys IdentiFi WLAN
möglich. Dieses wird durch die VNS (Virtual Network Service)-Architektur erreicht, die
von allen IdentiFi WLAN-APs (Access Points) unterstützt wird. Die Lösung ist vollständig
in das bestehende Enterasys-Portfolio integriert, so dass man die EnterasysKomponenten einheitlich verwalten kann. Die IdentiFi-WLAN-Komponenten lassen sich
direkt oder via OneFabric Control Center administrieren. Auch eine Anwendung für den
Gastzugang inklusive Captive Portal und Accountverwaltung läuft auf den Controllern.
Eine einheitliche Gästelösung für LAN und WLAN kann man gleichwertig über NAC
(Network Access Control) realisieren. Reporting- und Dashboard-Funktionen übernimmt
OneView innerhalb der OneFabric Control Centers.
Enterasys IdentiFi WLAN Access Points
Durch die IdentiFi Adapt Architektur sind die APs trotz vorhandener Controller relativ
intelligent. Deshalb können sie Datenverkehr dezentral direkt am AP mit allen nötigen
Parametern wie QoS, Ratelimit oder ACLs per User weiterleiten. Das eliminiert ein
Nadelöhr am Controller. Die semiautonomen APs können auch ohne Controller arbeiten.
Das AP-Portfolio teilt sich in drei Haupgruppen:
140
IdentiFi 3705 Indoor Access Points
AP3705i ist ein funktionsreicher 802.11abgn Access Point. Er nutzt die neueste
Advanced-11n-Funktechnologie. Speziell entwickelt, um sich harmonisch in Büroräume,
Klassenzimmer, oder Hotel-Umgebungen einzufügen, eignet sich AP3705i besonders
gut, um sichere 11abgn-Konnektivität in hochdichten Umgebungen bereitzustellen.
Das Modell 3705i wird mit den fortschrittlichsten, derzeit erhältlichen, 11nEigenschaften geliefert. Dazu gehören dynamisches Funk-Management, Beamforming,
Spektrumanalyse mit Störungserkennung und Klassifizierung, selbsttätige Reparatur
und AP-Vermaschung sowie rollenbasierte Authentifizierung und Autorisierung. Unter
Volllast verbraucht das Gerät maximal 9 Watt. Enterasys liefert den AP mit lebenslanger
Garantie (Enterasys Lifetime Warrenty). Da die internen Antennen alle möglichen
Ausbreitungsrichtungen der Funkwellen abdecken, kann das Gerät auch an Wänden
oder Decken – ohne zusätzliche Montageeinrichtungen auch an abgehängten Decken –
angebracht werden.
AP 3705
Für massive Decken oder Wände gibt es das WS-MB3705-01 Montagekit. Es ist
kompatibel zu den alten Halterungen der Enterasys AP2610/20 und 3610/20 Serien, so
dass man keine neuen Bohrungen braucht:
141
Spezifikationen
Product Features
3705i
General
High performance enterprise class AP
Yes
Number of radios
2
MIMO implementation for high performance 11n throughputs
Number of spatial streams
2x2
2
Maximum throughput per radio / total
300Mbps / 600Mbps
Wired performance in packets per second (pps)
40,000 pps
Number of SSIDs per radio / total
8 / 16
Simultaneous users per radio / total
127 / 254
Mode of operation
Semi-Autonomous
Plug and play operation/zero touch deployment
Yes
AP and the controller run the same firmware versions
Yes
Security and Standards
WPA, WPA2 (AES), 802.11i,
802.1x, IPSec, IKEv2, PKCS
#10, X509 DER / PKCS #12
Multiple operating modes
Clients serving access points
Yes
Intelligent thin AP
Bridging data traffic at AP and/or at controller simultaneously
Simultaneous RF monitoring and client services
Encryption, Security, QoS and
RF management done on AP
Yes
Yes
Integrated in-channel WIDS
V8.21
Integrated in-channel WIPS
V8.21
Integrated remote access point
Yes
Integrated RF spectrum analysis and fingerprinting
V8.21
Integrated self-forming and self-healing meshing
Yes
Hybrid operation
Perform security scanning and serve clients on same radio
Yes
Perform security scanning and spectrum analysis on same radio
V8.21
Perform spectrum analysis and serve clients on same radio
V8.21
Radio characteristics
Max transmit power (dBm)
Radio 1 (5GHz)
23 dBm
Radio 2 (2.4GHz)
23 dBm
Receive sensitivity (dBm)
See table below
Max Antenna gain (dBi)
Radio 1 (5GHz)
3 dBi
Radio 2 (2.4GHz)
3 dBi
Adaptive Radio Management
Dynamic Channel Control
Efficient use of the spectrum with a multi-channel architecture
802.11h: DFS & TPC support
(ETSI)
Yes
Automatic transmit power and channel control
Yes
Self-healing with coverage gap detection
Yes
Band Steering with multiple steering modes
Yes
142
Spectrum load balancing of clients
Yes
Airtime fairness
Yes
Performance protection in congested RF environments
Yes
Mitigates co-channel interference with coordinated access
Yes
Mitigate adjacent channel interference with optimized receive sensitivity
Yes
Efficient reuse of channels at shorter intervals
Yes
Mitigates non 802.11 inference without dedicated radios
V8.21
QoS for Applications
Quality of Service (WMM, 802.11e)
Yes
Call Admission Control (TSPEC)
Yes
Power Save (U-APSD)
Yes
Fast secure roaming and handover between APs
Yes
Pre-Authentication (Pre-Auth)
Yes
Opportunistic Key Caching (OKC)
Yes
Multicast Rate Control
Yes
Support voice, video and data using the same SSID
Yes
Prioritize voice over data for both tagged and untagged traffic
Yes
Rate limiting (rule and user-based)
Yes
Rule and Role based QoS processing
Yes
Wireless Services
Media Access Protocol
CSMA/CA with ACK
Data Rates
802.11a: 6, 9, 12, 18, 24, 36,
48, 54 Mbps
802.11b: 1, 2, 5.5, 11 Mbps
802.11g: 1, 2, 5.5, 6, 9, 11,
12, 18, 24, 36, 48, 54 Mbps
802.11n: See 802.11n
Performance table below
802.11a/n:
• 5.15 to 5.25 GHz (FCC / IC /
ETSI)
• 5.25 to 5.35 GHz (FCC / IC /
ETSI)
• 5.47 to 5.725 GHz (FCC / IC
/ ETSI)
• 5.725 to 5.850 GHz (FCC /
IC)
802.11b/g/n:
• 2.400 to 2.4835 GHz (FCC /
IC / ETSI)
802.11a: OFDM
802.11b: DSSS
802.11g: DSSS and OFDM
802.11n: BPSK, QPSK,
16QAM, 64QAM with OFDM
802.11n High-throughput (HT)
support: HT 20/40 802.11n
Packet aggregation: A-MPDU, AMSDU 802.11n Advanced
Features: LDCP, STBC and
TxBF
Frequency Bands
Wireless Modulation
Interfaces
# 10/100/1000 Base-T Ethernet autosensing link
1
Console port for the ease of installation and management
143
Yes
Mounting
Tool-less drop ceiling rail (9/16, 15/16, 1.5") installation
Yes
Integrated/built-in drop ceiling rail clips
Yes
Environmental
Plenum rated Operating:
Temperature 0º C to +50º C
(+32º F to +122º F) Humidity
0%-95%, (noncondensing)
Storage:
Temperature -5º C to +50º C
(+23º F to +122º F)
Transportation:
Temperature -40º C to +70º C
(-40º F to +158º F)
•FCC CFR 47 Part 15, Class B
•ICES-003 Class B
•FCC Subpart C 15.247
•FCC Subpart E 15.407
•RSS-210
•EN 301 893
•EN 300 328
•EN 301 489 1 & 17
•EN / UL 60601-1-2
•EN 50385
•EN 55011 (CISPR 11) Class B
Group 1 ISM
•EN 55022 (CISPR 22)
•AS/NZS3548 (CISPR22)
International (including China)
•IEC 60950-1
•IEC 60825
Europe
•EN 60950-1
•EN 60825
USA / Canada / Mexico
(NAFTA)
•UL 60950-1
•CSA 22.2 No.60950-1-03
•UL 2043 (Plenum rating)
Australia
•AS/NZS 60950.1
Compliance
Mechanical
Dimension (Outer Diameter x Height)
6.625‖ OD, 1.75‖ Height
(168.275mm OD, 44.45mm
Height)
24.692 oz (700 g)
Weight
Maximum Power Consumption
9W
Warranty
Lifetime
144
Part Number
Description
Access Point
WS-AP3705i
Dual Radio 802.11a/b/g/n, 2x2:2, indoor access point with four internal
antenna array (integrated clips for flushed rail drop ceiling mounting)
Accessories (Optional)
WS-MB3705-01
Secure wall mounting bracket for AP3705
WS-MB3705-02
Protruded drop ceiling mounting bracket for AP3705
Mid-Span PoE Devices (Optional)
PD-3501G-ENT
Single port, 1 Gigabit 802.3af PoE Midspan
IdentiFi 3710 & 3715 Indoor APs
Der AP371X ist ein Hochleistungs-802.11abgn-AP für den Innenraum. Er eignet sich
speziell für sehr dichte Installationen, in denen auch breitbandige Video- und
verzögerungssensitive Sprachanwendungen übertragen werden. Das Modell AP371Xi
lässt sich durch sein integriertes Antennenfeldes von sechs Antennen einfach
installieren. Der AP371Xe verfügt über sechs RP-SMA Antennenanschlüsse fürs 2.4GHzund 5GHz-Band. Die Access Points können nach 802.3af über Ethernet mit Strom
versorgt werden. Die AP371X-Serie unterstützt alle neuen Advanced-11n Wi-FiTechnologien:
dynamisches
Funkmanagement,
Spektrumanalyse
mit
Störungsklassifizierung und -vermeidung, Selbstheilung und Vermaschung sowie Rollenbasierte Authentifizierung und Autorisierung. Die 3x3:3 AP- Platform verfügt über eine
max. Performance von 900Mbps über die WLAN- und bis zu 75.000 Pakete pro Sekunde
über die LAN-Schnitstelle. Umfassende Antennenoptionen sorgen für flexible
Einsatzmöglichkeiten des AP371Xe.
Der AP3715 ist baugleich mit dem AP3710 und hat die gleichen Eigenschaften.
Zusätzlich hat er aber eine zweite Ethernet-Schnittstelle für eine redundante Anbindung
an den Access-Switch-Bereich. Die AP371X-Serie besitzt die gleichen Wandhalterungen
wie die AP2610/20- und AP3610/20-Serie, so dass der Monatgeaufwand bei
Migrationen auf die neue Technologie minimiert wird.
AP 3710i / 3710e / 3715
145
Spezifikationen
Product features
AP3710i/e
General
Yes
Number of radios
2
MIMO implementation for high performance 11n
throughputs
3x3
3
Maximum Throughput Per Radio / Total
450Mbps / 900Mbps
75,000 pps
Number of SSIDs supported per radio / total
8 / 16
127 / 254
Mode of operation
Semi-autonomous
Plug and play operation/Zero touch deployment
Yes
WPA, WPA2 (AES), 802.11i, 802.1x, IPSec, IKEv2,
PKCS #10, X509 DER / PKCS #12
Yes
Intelligent thin AP
Encryption, Security, QoS and RF management
done on AP
Yes
Bridging data traffic at AP and/or at controller
simultaneously
Yes
In-channel WIDS
Yes
In-channel WIPS
Yes
Remote access point
Yes
RF spectrum analysis and fingerprinting
Yes
Self-forming and self-healing meshing
Yes
Hybrid operation
Security scanning and serve clients on same radio
Yes
Security scanning and spectrum analysis on same radio
Yes
Spectrum analysis and serve clients on same radio
Yes
Max transmit power
Radio 1 (5GHz)
23 dBm
23 dBm
Radio 2 (2.4GHz)
Max antenna gain (integrated antenna)
Radio 1 (5GHz)
3 dBi (AP3710i)
Radio 2 (2.4GHz)
3 dBi (AP3710i)
802.11h: DFS & TPC support (ETSI)
Efficient use of the spectrum with a multi-channel
architecture
Yes
Yes
Band steering with multiple steering modes
Yes
Yes
146
Yes
Airtime fairness
Yes
Yes
Yes
Mitigates adjacent channel interference with optimized
receive sensitivity
Yes
Yes
Yes
Yes
Yes
Power Save (U-APSD)
Yes
Yes
Yes
Yes
Yes
Prioritize voice over data for both tagged and untagged
traffic
Yes
Rule and role based QoS processing
Yes
Yes
Multicast to Unicast Conversion
Yes
Adaptable rate multicast
Yes
Power save mode optimization for multicast
Yes
Wireless Services
CSMA/CA with ACK
Data Rates
802.11a: 6, 9, 12, 18, 24, 36, 48, 54 Mbps
802.11b: 1, 2, 5.5, 11 Mbps
802.11g: 1, 2, 5.5, 6, 9, 11, 12, 18, 24, 36, 48, 54
Mbps
802.11n: See 802.11n Performance table below
Frequency Bands
802.11a/n:
• 5.15 to 5.25 GHz (FCC / IC / ETSI)
• 5.25 to 5.35 GHz (FCC / IC / ETSI)
• 5.47 to 5.725 GHz (FCC / IC / ETSI)
• 5.725 to 5.850 GHz (FCC / IC)
802.11b/g/n:
• 2.400 to 2.4835 GHz (FCC / IC / ETSI)
Wireless Modulation
802.11a: OFDM
802.11b: DSSS
802.11n: BPSK, QPSK, 16QAM, 64QAM with OFDM
802.11n High-throughput (HT) support: HT 20/40
802.11n Packet aggregation: A-MPDU, A-MSDU
802.11n Advanced Features: LDCP, STBC and TxBF
Interfaces
# 10/100/1000 Base T Ethernet autosensing link
1
147
Yes
Mounting
Wall mounting bracket
Yes
Drop-ceiling mounting bracket
Optional
Environmental
Plenum rated (EN/UL 2043)
Operating:
Temperature 0º C to +50º C (+32º F to +122º F)
Humidity 0%-95% (noncondensing)
Storage:
Transportation:
Temperature 40º C to +70º C (40º F to +158º F)
Compliance
•ICES-003 Class B
•RSS-210
•EN 301 893
•EN 300 328
•EN 301 489 1 & 17
•EN 50385
•EN 55011 (CISPR 11) Class B Group 1 ISM
•EN 55022 (CISPR 22)
•IEC 60950-1
•IEC 60825
Europe
•EN 60950-1
•EN 60825
USA / Canada / Mexico (NAFTA)
•UL 60950-1
•CSA 22.2 No.60950-1-03
Australia
•AS/NZS 60950.1
Mechanical
Dimensions (W x H x L)
(7.39‖ x 1.50‖ x 7.89‖) – AP3710i
(9.44‖ x 1.50‖ x 7.89‖) – AP3710e
810g – AP3710i
910g – AP3710e
12.8W
Lifetime
Weight
Max power consumption
Warranty
148
Product features
AP3715i/e
General
Yes
Number of radios
2
throughputs
3x3
3
450Mbps / 900Mbps
60,000 pps
8 / 16
127 / 254
Simultaneous Voice calls (802.11b, G711, R>80)
12 or greater
Mode of operation
Semi-autonomous
Yes
WPA, WPA2 (AES), 802.11i, 802.1x, IPSec, IKEv2,
PKCS #10, X509 DER / PKCS #12
Yes
Intelligent thin AP
Encryption, Security, QoS and RF management
done on AP
Distributed and centralized data paths within same SSID
Yes
Application based distributed and centralized data paths
within same session
Yes
In-channel WIDS
Yes
In-channel WIPS
Yes
Dedicated multi-channel WIDS (Guardian mode)
Yes
Dedicated multi-channel WIPS (Guardian mode)
Yes
Dedicated multi-channel RF spectrum analysis and
fingerprinting
Locates devices and threats via RF triangulation
Yes
Yes
Remote access point
Yes
Hardware-based, end-to-end data and control plane
encryption
Private and public cloud deployments
Yes
Yes
Yes
Yes
Hybrid operation
Yes
Yes
Yes
Multi-channel dedicated security scanning and spectrum
analysis
Yes
Max transmit power
Radio 1 (5GHz)
23 dBm
Radio 2 (2.4GHz)
23 dBm
Max antenna gain (integrated antenna)
Radio 1 (5GHz)
5 dBi
Radio 2 (2.4GHz)
5 dBi
149
802.11h: DFS & TPC support (ETSI)
architecture
Yes
Yes
Yes
Yes
Airtime fairness
Yes
Yes
Mitigates co-channel interference with coordinated
access
receive sensitivity
Yes
Mitigates non 802.11 interference without dedicated
radios
Yes
Yes
Yes
Power Save (U-APSD)
Yes
Yes
Yes
Yes
Bonjour/LLMNR/UPnP identification, containment and
control
Supports voice, video and data using the same SSID
Yes
Prioritizes voice over data for both tagged and untagged
traffic
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Multicast to unicast Conversion
Yes
Yes
Power save mode optimization for multicast
Yes
Wireless Services
CSMA/CA with ACK
Data Rates
802.11a: 6, 9, 12, 18, 24, 36, 48, 54 Mbps
802.11b: 1, 2, 5.5, 11 Mbps
802.11g: 1, 2, 5.5, 6, 9, 11, 12, 18, 24, 36, 48, 54
Mbps
802.11n: See 802.11n Performance table below
Frequency Bands
802.11a/n:
• 5.15 to 5.25 GHz (FCC / IC / ETSI)
• 5.25 to 5.35 GHz (FCC / IC / ETSI)
• 5.47 to 5.725 GHz (FCC / IC / ETSI)
• 5.725 to 5.850 GHz (FCC / IC)
802.11b/g/n:
• 2.400 to 2.4835 GHz (FCC / IC / ETSI)
150
Wireless Modulation
802.11a: OFDM
802.11b: DSSS
802.11n: BPSK, QPSK, 16QAM, 64QAM with OFDM
802.11n High-throughput (HT) support: HT 20/40
802.11n Packet aggregation: A-MPDU, A-MSDU
802.11n Advanced Features: LDCP, STBC and TxBF
Interfaces
# 10/100/1000 Base T Ethernet autosensing link
2
Yes
Mounting
Wall mounting bracket
Yes
Drop-ceiling mounting bracket
Yes
Environmental
Plenum rated (EN/UL 2043)
Operating:
Humidity 0% - 95% (noncondensing)
Storage:
Transportation:
Temperature 40º C to +70º C (40º F to +158º F)
Compliance
•ICES-003 Class B
•RSS-210
•EN 301 893
•EN 300 328
•EN 301 489 1 & 17
•EN 50385
•EN 55011 (CISPR 11) Class B Group 1 ISM
•EN 55022 (CISPR 22)
•EN 60601-1-2
•IEC 60950-1
•IEC 60825
Europe
•EN 60950-1
•EN 60825
USA / Canada / Mexico (NAFTA)
•UL 60950-1
•CSA 22.2 No.60950-1-03
Australia
•AS/NZS 60950.1
Mechanical
Dimensions (W x H x L)
6.56‖ x 1.34‖ x 6.56‖ (3715i)
7.12‖ x 1.34‖ x 6.56‖ (3715e)
Weight
Max power consumption
567g
12.8W
Warranty
Lifetime
151
Part Number
Description
Access Points
WS-AP3710i
Dual Radio 802.11a/b/g/n, 3x3:3, indoor access point with six internal
antenna array
WS-AP3710e
Dual Radio 802.11a/b/g/n, 3x3:3, indoor access point with six reverse
polarity SMA connectors for external antennas (antennas must be
ordered separately)
Antennas (Required for AP3710e)
WS-AI-DT04360
Indoor, 2.4GHz / 5GHz, Triple-feed, 3/4 dBi, Omni, Ceiling
WS-AI-DT05120
Indoor, 2.4GHz / 5GHz, Triple-feed, 5 dBi, 120 deg, Sector
WS-AI-DX02360
Indoor, 2.4GHz / 5GHz, Six-feed, 2 dBi, 360, Omni, Ceiling
WS-MB3700-01
Drop ceiling mounting bracket for 3700 Series (not compatible with
AP3705i)
PD-3501G-ENT
Part Number
Description
Access Points
WS-AP3715i
WS-AP3715e
Dual Radio 802.11a/b/g/n, 3x3:3, indoor access point with six internal
antenna array and redundant E/N data ports
Dual Radio 802.11a/b/g/n, 3x3:3, indoor access point with six reverse
polarity SMA connectors for external antennas and redundant E/N data
ports (antennas must be
ordered separately)
Antennas (Required for AP3715e)
WS-ANT-2DIP-3
2.4GHz Indoor Dipole Antenna for 3715e only (3 pack)
WS-ANT-5DIP-3
5GHz Indoor Dipole Antenna for 3715e only (3 pack)
WS-AI-DT04360
Indoor, 2.4GHz / 5GHz, Triple-feed, 3/4 dBi, Omni, Ceiling
WS-AI-DT05120
Indoor, 2.4GHz / 5GHz, Triple-feed, 5 dBi, 120 deg, Sector
WS-AI-DX02360
Indoor, 2.4GHz / 5GHz, Six-feed, 2 dBi, Omni, Ceiling
WS-AI-DX10055
Indoor, 2.4GHz / 5GHz, Six-feed, 10 dBi, 55 deg, Sector
WS-AI-DX07025
Indoor, 2.4GHz / 5GHz, Six-feed, 7 dBi, 25 deg, Sector
WS-PS3X12-AU
12V External Power Supply for 3715 Indoor Access Points - Australia
WS-PS3X12-BR
12V External Power Supply for 3715 Indoor Access Points - Brasil
WS-PS3X12-CN
12V External Power Supply for 3715 Indoor Access Points - China
WS-PS3X12-EU
12V External Power Supply for 3715 Indoor Access Points - EU (not for
UK)
12V External Power Supply for 3715 Indoor Access Points - Americas
(not for Brazil)
12V External Power Supply for 3715 Indoor Access Points - United
Kingdom
WS-PS3X12-NAM
WS-PS3X12-UK
PD-3501G-ENT
152
IdentiFi 3765 & 3767 Industry / Outdoor APs
Zur AP376X-Serie gehören industrietaugliche Hochleistungs-802.11abgn Outdoor APs.
Sie stellen die drahtlose Mobilität in Außenbereichen und Umgebungen mit
Witterungseinflüssen wie Lagerhallen, Minen, Fabriken und Stadien bereit. Der AP3765i
wird standardmäßig mit einem integrierten Antennenfeld mit sechs Antennen geliefert.
Die AP3765e und AP3767e sind mit Anschlüssen für externe Antennen ausgestattet. Sie
verfügen über sechs RP (Reverse Polarity)-SMA-Anschlüsse, getrennt für 2.4GHz- und
5GHz. Die APs werden via 802.3at PoE (Power over Ethernet) oder ein optionales
externes industrietaugliches Netzteil mit Strom versorgt.
Auch die AP376X-Serie unterstützt alle neuen Advanced-11n Wi-Fi-Technologien:
dynamisches Funkmanagement, Spektrumanalyse mit Störungsklassifizierung und vermeidung, Selbstreparatur und Vermaschung sowie rollenbasierte Authentifizierung
und Autorisierung. Die 3x3:3 AP-Plattform verfügt über eine maximale Performance von
bis zu 900 Mbps über die WLAN- und bis zu 60.000 Pakete pro Sekunde über die LANSchnittstelle. Umfassende Antennenoptionen sorgen für flexible Einsatzmöglichkeiten
der AP3765e und AP3767e.
Der AP3767e integriert zudem einen Zwei-Port-SFP (Small Form Factor pluggable)-Switch
und kann direkt mit Glasfaser angefahren werden. Mehrere APs lassen sich in Reihe
schalten.
AP 3765
153
Spezifikationen
Product Features
AP3765i/e
AP3767e
Yes
Yes
2
2
3x3
3x3
3
3
General
Number of radios
throughputs
450Mbps / 900Mbps
60,000 pps
Mode of operation
8 / 16
8 / 16
127 / 254
127 / 254
Semi-autonomous
Simultaneous Voice calls (802.11b, G711, R>80)
450Mbps /
900Mbps
60,000 pps
Semi-autonomous
12 or greater
12 or greater
Yes
Yes
WPA, WPA2 (AES),
802.11i, 802.1x, IPSec,
IKEv2, PKCS #10, X509
DER /
PKCS #12
WPA, WPA2 (AES),
802.11i, 802.1x,
IPSec, IKEv2, PKCS
#10, X509 DER /
PKCS #12
Yes
Yes
Intelligent thin AP
Encryption, Security,
QoS and RF
management done on
AP
Yes
Bridging data traffic at AP and/or at controller
simultaneously
Encryption, Security,
QoS and RF
management done
on AP
Yes
Yes
Yes
In-channel WIDS
Yes
Yes
In-channel WIPS
Yes
Yes
Remote access point
Yes
Yes
RF spectrum analysis and fingerprinting
Yes
Yes
Ready for locating devices and threats via RF triangulation
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Hybrid operation
Max transmit power
Radio 1 (5GHz)
23 dBm (AP3765e)
23 dBm
Radio 2 (2.4GHz)
23 dBm (AP3765e)
23 dBm
Max antenna gain (integrated
antenna)
Radio 1 (5GHz)
3 dBi (AP3765i)
NA
Radio 2 (2.4GHz)
3 dBi (AP3765i)
NA
154
802.11h: DFS & TPC
support (ETSI)
Yes
architecture
802.11h: DFS & TPC
support (ETSI)
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Airtime fairness
Yes
Yes
Yes
Yes
Yes
Yes
receive sensitivity
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Power Save (U-APSD)
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Yes
Prioritize voice over data for both tagged and untagged
traffic
Yes
Yes
Yes
Yes
Yes
Yes
Multicast to Unicast Conversion
Yes
Yes
Yes
Yes
Power save mode optimization for
multicast
Wireless Services
Yes
Yes
CSMA/CA with ACK
CSMA/CA with ACK
Data Rates
802.11a: 6, 9, 12, 18,
24, 36, 48, 54
Mbps
802.11a: 6, 9, 12,
18, 24, 36, 48, 54
Mbps
802.11b: 1, 2, 5.5, 11
Mbps
802.11g: 1, 2, 5.5, 6,
9, 11, 12, 18, 24,
36, 48, 54 Mbps
802.11b: 1, 2, 5.5,
11 Mbps
802.11g: 1, 2, 5.5,
6, 9, 11, 12, 18, 24,
36, 48, 54 Mbps
802.11n: See 802.11n
Performance
table below
802.11n: See
802.11n
Performance
table below
802.11a/n:
• 5.15 to 5.25 GHz
(FCC / IC / ETSI)
• 5.25 to 5.35 GHz
(FCC / IC / ETSI)
• 5.47 to 5.725 GHz
802.11a/n:
• 5.15 to 5.25 GHz
(FCC / IC / ETSI)
• 5.25 to 5.35 GHz
(FCC / IC / ETSI)
• 5.47 to 5.725 GHz
Frequency Bands
155
Wireless Modulation
(FCC / IC / ETSI)
• 5.725 to 5.850 GHz
(FCC / IC)
802.11b/g/n:
• 2.400 to 2.4835 GHz
(FCC / IC / ETSI)
802.11a: OFDM
802.11b: DSSS
802.11g: DSSS and
OFDM
802.11n: BPSK, QPSK,
16QAM,
64QAM with OFDM
802.11n Highthroughput (HT)
support: HT 20/40
802.11n Packet
aggregation: A-MPDU,
A-MSDU
802.11n Advanced
features: LDPC and
STBC
(FCC / IC / ETSI)
• 5.725 to 5.850
GHz (FCC / IC)
802.11b/g/n:
• 2.400 to 2.4835
GHz (FCC / IC / ETSI)
802.11a: OFDM
802.11b: DSSS
802.11g: DSSS and
OFDM
802.11n: BPSK,
QPSK, 16QAM,
64QAM with OFDM
802.11n Highthroughput (HT)
support: HT 20/40
802.11n Packet
aggregation: AMPDU, A-MSDU
802.11n Advanced
features: LDPC and
STBC
1 x 10/100/1000 E/N
2 x SFP GE
Yes
Yes
Yes
Yes
Optional
Optional
Optional
•FCC CFR 47 Part 15,
Class B
•ICES-003 Class B
•FCC Subpart C
15.247
•RSS-210
•EN 301 893
•EN 300 328
•EN 301 489 1 & 17
•EN 50385
•EN 55011 (CISPR 11)
Class B Group 1 ISM
•EN 55022 (CISPR 22)
•AS/NZS3548
(CISPR22)
International (including
China)
•IEC 60950-1
•IEC 60825
Europe
•EN 60950-1
•EN 60825
USA / Canada / Mexico
(NAFTA)
•UL 60950-1
•CSA 22.2 No.609501-03
Australia
•AS/NZS 60950.1
Optional
•FCC CFR 47 Part
15, Class B
•ICES-003 Class B
•FCC Subpart C
15.247
•FCC Subpart E
15.407
•RSS-210
•EN 301 893
•EN 300 328
•EN 301 489 1 &
17
•EN 50385
•EN 55011 (CISPR
11) Class B Group 1
ISM
•EN 55022 (CISPR
22)
•AS/NZS3548
(CISPR22)
International
(including China)
•IEC 60950-1
•IEC 60825
Europe
•EN 60950-1
•EN 60825
USA / Canada /
Mexico (NAFTA)
•UL 60950-1
•CSA 22.2
Interfaces
Wired Interfaces
Mounting
Direct wall mount
Removable wall mounting bracket
Pole mounting bracket
Compliance
156
No.60950-1-03
Australia
•AS/NZS 60950.1
Mechanical
Dimension
Weight
Power consumption
Warranty
(W x H x D) 9.9‖ x 9.9‖ x
2.8‖
(251 mm x 251 mm x
72 mm)
Without optional PS
adapter: 79.1 oz
(2241 g)
(W x H x D) 9.9‖ x
9.9‖ x 2.8‖
(251 mm x 251 mm
x 72 mm)
Without optional PS
adapter: 79.1 oz
(2241 g)
With optional AC PS
adapter: 85.8 oz
(2433 g)
With optional AC PS
adapter: 85.8 oz
(2433 g)
15.6W Max / 15W
Typical with 2 radios
1 Year
15.6W Max / 15W
Typical with 2 radios
1 Year
Bestellinformationen:
Part Number
Description
Access Points
WS-AP3765i
WS-AP3765e
WS-AP3767e
Dual Radio 802.11a/b/g/n, 3x3:3, industrial outdoor access point
with six internal antenna array
Dual Radio 802.11a/b/g/n, 3x3:3, industrial outdoor access point
with six reverse polarity SMA connectors for external antennas
(requires antennas to be ordered separately)
Dual Radio 802.11a/b/g/n, 3x3:3 with redundant SFP E/N ports,
industrial outdoor access point with six reverse polarity SMA
connectors for external antennas (requires
antennas and external power adapter to be ordered separately)
WS-MB376X-01
Wall and pole mounting kit for AP376X
WS-PS376X-MR
Outdoor power supply for AP376X
MGBICs (for AP3767e only)
I-MGBIC-GLX
I-MGBIC-LC03
I-MGBIC-GSX
Industrial grade, -40°C to +60°C, 1 Gb, 1000Base-LX, MM - 550 M,
SM - 10 KM, 1310 nm Long Wave Length, LC SFP
Industrial grade, -40°C to +60°C, 1 Gb, 1000Base-LX, MM, 1310 nm
Long Wave Length, 2Km w/62.5 MMF, 1 Km w/50 MMF, LC SFP
Industrial grade, -40°C to +60°C, 1 Gb, 1000BASE-SX, IEEE 802.3
MM, 850 nm Short Wave Length, 220/550 m, LC SFP
Antennas
WS-AO-DT05120-1
WS-AIO-2S18018
WS-AO-2S10360
WS-AO-5S10360
WS-AO-DS05360
WS-AO-5D16060
WS-AO-5D23009
Outdoor, 2.3-2.7/4.9-6.1 GHz, Triple-feed, 5 dBi, 120 deg, sector with
reverse polarity type-N plug connector
Indoor/Outdoor, 2.3-2.5 GHz, 18 dBi, 18 deg, panel antenna with
reverse polarity type- N jack connector
Outdoor, 2.4 GHz, 10dBi, Omni baton with reverse polarity type-N jack
connector - FCC Domain Only
Outdoor, 5.7-5.8 GHz, 10dBi, Omni baton with reverse polarity type-N
jack connector - FCC Domain Only
Outdoor, 2.4-2.5/5.15-5.875 GHz, 5 dBi, Omni baton antenna with
reverse polarity type-N jack connector
Outdoor, 5.15-5.875 GHz, Dual-polarization 16 dBi, 60 deg, sector
antenna with reverse polarity type-N jack connector – FCC Domain
Outdoor, 5.15-5.875 GHz, Dual-polarization, 23 dBi, 9 deg, panel
antenna with reverse polarity type-N jack connector
157
WS-AO-DX13025
Outdoor, 2.4-2.5/5.15-5.875 GHz, Six-feed, 12/11 dBi, 27/30 deg,
panel with reverse polarity type-N plug connector
Cables
WS-CAB-PT20P
WS-CAB-L200C20
20 inch pigtail with reverse polarity type-N plug used to connect AP to
lightning protector or directly to an antenna
20 inch pigtail with reverse polarity type-N jack used to connect AP to
the LMR cables
Dual-band lightning protector with reverse polarity type-N jack on both
ends
20 foot LMR200 cable with reverse polarity type-N plugs on both ends
WS-CAB-L400C06
WS-CAB-L400C50
WS-CAB-L400C75
WS-CAB-L600C25
WS-CAB-L600C50
WS-CAB-PT20J
WS-CAB-LPM
158
Enterasys IdentiFi WLAN Controller
Zur Zeit umfasst das Portfolio drei Modelle mit gleicher Funktionalität. Sie unterscheiden
sich lediglich in der Hardware und in der Anzahl der unterstützen APs. Eine Besonderheit
der Controller ist der Hochverfügbarkeitsmodus. Damit können angeschlossene APs
ohne Reboot von einem Primär- zu einem Backup-Controller wechseln. So lässt sich
beispielsweise eine hochverfügbare VoWLAN-Umgebung aufbauen, in der es selbst dann
zu keiner Gesprächsunterbrechung kommt, wenn ein Controller ausfallen sollte.
Zusätzlichen Lizenzen für den Backup-Controller sind dafür unnötig. Durch das FitDesign der APs können sie mit dem richtigen WLAN-Design auch bei vollständigem
Ausfall der Controller weiterhin einen WLAN-Service anbieten, der selbst beim Reboot
des AP zusätzlich zu einem Ausfall der Controller funktioniert.
Mitgeliefert wird der Enterasys-Assistent für die Konfiguration der WLAN-Infrastruktur
Zusätzlich zu den Controllern und Lizenzen für die gewünschte Menge an APs braucht
man für jeden Controller einen „Regulatory Domain Key―, um die gesetzlichen
Bestimmungen hinsichtlich Leistung und Kanalwahl einzuhalten. In Europa ist dies „WSCTLREG8P-ROW―, beim virtuellen Controller „WS-V2110-8-ROW―.
Enterasys IdentiFi Radar
Mit der neuen AP37XX-Serie sind auch erweiterte Spektrumanalyse, Funkmanagement
und Funktionen für Eindringschutz und –vorbeugung (IDS & IPS) verfügbar. So kann die
Lösung proaktiv auf Änderungen im Funkspektrum und Angriffe reagieren. Das steigert
Verfügbarkeit und Security der Gesamtlösung.
159
Zu IdentiFi™ Radar gehören folgende Komponenten:
 IdentiFi Radar RF Security: Alle IdentiFi ™ 3700-APs unterstützen WIPS/WIDS
(Wireless IDS/IPS). Die 3705 und 3710 Access Points bieten kanalintegrierte
IDS&IPS auf allen Kanälen, die der AP gerade für den WLAN-Service nutzt, ohne
die Versorgung der Clients dadurch zu stören oder zu unterbrechen. Der 3710/15
Access Point kann darüber hinaus mit Hilfe der Guardian Funktion in einen Sensor
umgewandelt werden. Dieser sichert dann gleichzeitig alle Kanäle und Bänder.
 IdentiFi Radar RF Fingerprinting: Alle IdentiFi ™ 3700-APs unterstützen
hardwarebasiertes Spektrum Fingerprinting. Das bedeutet, dass Funkrauschen
oder Störungen von anderen Funksystemen, wie etwa Mikrowellen, Bluetoothoder Video-Brücken erkannt und IdentiFiziert wird. Sobald die APs eine Interferenz
detektieren, verschiebt das Controller-System den AP manuell oder automatisiert
auf einen störungsfreien Kanal. Das sichert den Clients permanent hohe
Empfangsqualität.
 IdentiFi Funk-Management: Dynamisches Radio Management (DRM) arbeitet
unabhängig auf jedem Funkmodul. Es passt Kanal- und Sendeleistungsparameter
automatisch und dynamisch der Funkumgebung an, um den Empfang zu
optimieren. DRM ist unabhängig von der Radar-Lizensierung auf allen APs
verfügbar.
 IdentiFi ™ Radar Reporting: Radar Reporting wird auf den Controllern konfiguriert.
Überwachung und Berichte (Reporting & Monitoring) sind via Controller oder
OneView möglich.
Bestellinformationen IdentiFi ™ Radar:
Enterasys IdentiFi Wireless Management (WM)
siehe OneFabric Controlcenter (Netsight)
160
Enterasys IdentiFi Wireless Antennen
Antennenmodelle:
161
Bei den Antennen ist zu beachten, ob sie für die Zuständigkeitsbereiche der FCC
(Federal Communications Commission) (USA) und ETSI (European Telecommunications
Standards Institute ) (Europa) zertifiziert sind. Diese Information findet sich in den APDatenblättern.
162
Montage des Antennensystems
AP3620/ AP3640/ AP3710e Installationsübersicht:
Beim AP3710e sind im Gegensatz zu der unten gezeigten Darstellung die beiden
Funkmodule auf jeweils einem getrennten Antennen-Drilling geführt. Dies ist beider
Antennenauswahl zu berücksichtigen. Ansonsten gibt es die gleichen Montage- /
Anschluss-Optionen wie unten gezeigt.
163
AP3620/ AP3640/ AP3710e Installationskomponenten:
1. Antennenanschluss (Reverse Polarity Type-N Jack)
2. Antennenkabel von Antenne zu Blitzschutz (Reverse Polarity Type- N plugs on both
ends)
Je nach Kabellänge und Qualität eignen sich folgende Kabel:






WS-CAB-L200C20
WS-CAB-L400C06
WS-CAB-L400C50
WS-CAB-L400C75
WS-CAB-L600C25
WS-CAB-L600C50
LXXX gibt die Qualität an. CXX gibt die Länge in Fuß an.
3. Blitzschutz (Reverse Polarity Type-N jacks on both ends) - WS-CAB-LPM
4. Erdung Blitzschutz
5. Antennenkabel von Blitzschutz zu AP-Pigtail (Reverse Polarity Type- N plugs on both
ends). Je nach Kabellänge und Qualität eignen sich folgende Kabel:






WS-CAB-L200C20
WS-CAB-L400C06
WS-CAB-L400C50
WS-CAB-L400C75
WS-CAB-L600C25
WS-CAB-L600C50
LXXX gibt die Qualität an. CXX gibt die Länge in Fuß an.
6a. AP Pigtail (Reverse Polarity SMA plug to Reverse Polarity Type-N jack) WS-CAB-PT20J
6b. AP Pigtail (Reverse Polarity SMA plug to Reverse Polarity Type-N plug) WS-CAB-PT20P
7. AP Pigtail wird an den externen Antennenanschluss des APs angeschlossen
8. Access Point AP3620/3710e/15e
9. Widerstand für nicht benutzte Antennenanschlüsse WS-CAB-RPSMATERM
10. Anschluss zum Switch
164
Kapitel 3 - OneFabric Data Center
Die Infrastruktur für das Rechenzentrum der Zukunft
Applikationsverfügbarkeit als Technologietreiber
Mit der Rezentralisierung der Anwendungen im Rechenzentrum und der gleichzeitigen
Mobilisierung der Mitarbeiter haben sich die Anforderungen an Rechenzentren geändert.
Unternehmen konzentrieren sich heute auf die Erhöhung der Geschäftsmobilität. Dafür
ist das Data Center ein Schlüsselfaktor, dem man viel Aufmerksamkeit widmen muss.
Heute bestimmen die Anforderungen an die Applikationsverfügbarkeit, wie
Anwendungen in Rechenzentren gehostet werden. Bis dahin war es ein langer Weg, in
dessen Verlauf sich die meisten Komponenten des Rechenzentrums geändert haben:
Server, Storage und Netzwerk Infrastruktur.
Der übergreifende Trend heißt dabei Virtualisierung. Der erste und sehr wichtige Schritt
hin zu einer Evolution des Rechenzentrums war die Servervirtualisierung. Sie versprach
Kostensenkungen bei Infrastruktur und Betriebsmitteln, Skalierbarkeit, Flexibilität, mehr
Redundanz und schnelleres Recovery nach Störungen,.
Um die möglichen Vorteile der Virtualisierung voll auszuschöpfen, müssen nicht nur
Server, sondern auch die übrigen RZ-Komponenten, beispielsweise die
Netzwerkinfrastruktur, weiter entwickelt werden. Tatsächlich haben sich die
Vernetzungstechniken im Rechenzentrum deshalb ebenfalls verändert. Sie wurden
zunächst redundant ausgestaltet. Inzwischen kann man eine skalierbare Fabric in und
zwischen Rechenzentren aufbauen.
Drei Trends werden die nächste Generation der Data-Center-Netzwerke prägen:
 Virtualisierungsinitiativen werden auf allen RZ-Ebenen selbstverständlich.
 Die Zahl der Netzwerkebenen sinkt, die Leistung steigt.
 Daten- und Storage-Netze werden vereinigt.
Zukunftsfähige Netzwerkkomponenten müssen alle drei Trends möglichst optimal
unterstützen.
Virtualisierung hat die Anforderungen ans RZ-Netz dramatisch geändert. Von
Rechenzentrums-Anbietern, die moderne, hoch virtualisierte und dynamische ITInfrastrukturen betreiben, wird heute ein Maximum an Skalierbarkeit und Perfomance
bei kosteneffizientem und belastbarem Infrastrukturbetrieb verlangt. Denn die
überkommenen, hoch segmentierten Data-Center-Netzwerke unterstützten die
165
Schlüsselvorteile der Virtualisierungstechnologie, zum Beispiel Dynamic Virtual Machine
Provisioning (vMotion/XenMotion), nicht.
Der heute übliche Wegfall von Netzwerkebenen löst das ursprüngliche
Flexibilitätsproblem, bedeutet aber neue Herausforderungen beim Design. Ob den
Unternehmen die durch Virtualisierung mögliche Verringerung von Emissions- und
Betriebskostensowie Ausfallzeiten in vollem Umfang zugutekommen wird, hängt sehr
von der Architektur der nächsten Rechenzentrumsgeneration ab: Nur bei weniger
Schichten im Rechenzentrum werden auch die Kapitalinvestitionen und Betriebskosten
sinken. Denn dann braucht man weniger Equipment, was CAPEX (Kapitalausgaben) und
OPEX (Betriebsausgaben) verringert. Gleichzeitig steigern kürzere Latenzzeiten auch die
Leistung der Anwendungen. Einerseits steigt also die Bandbreite, andererseits verringern
weniger Geräte die Topologiekomplexität.
Die kommende SAN-Konvergenz stellt Netzwerke im Datenzentrum vor völlig neue
Aufgaben und Gesichtspunkte. Das Thema wird heiß debattiert. Neue Standards wurden
je nach SAN-Technologie gerade verabschiedet oder befinden sich in der Ratifizierung.
Das wichtigste Argument für Konvergenzkonzepte ist im Allgemeinen die Konsolidierung
der Infrastruktur: Datenverkehr und Speicher teilen sich dieselbe Infrastruktur und
nutzen eine gemeinsame Schnittstelle auf dem Server, was den Ressourcenaufwand
verringert. Die erste konvergente SAN-Technologie war iSCSI, derzeit steht Fibre Channel
over Ethernet (FCoE) im Mittelpunkt des Interesses.
Dieses Kapitel beschreibt mit der Enterasys OneFabric Data Center Architektur ein
Konzept für RZ-Netze der Zukunft, bei dem alle drei aufgeführten Trends berücksichtigt
werden.
Die Komponenten von Enterasys OneFabric Data Center
Mit der Architektur von Enterasys One Fabric Data Center können Kunden heutige
Datenzentrums-Netzwerke problemlos in ein einheitliche Fabric migrieren, die alle drei
oben genannten Schlüsselanforderungen an die Rechenzentrumsnetze der Zukunft
erfüllt.
166
OneFabric Data Center im Zeitablauf
Die Architektur setzt sich aus folgenden Hauptkomponenten und –merkmalen
zusammen:
 Virtualisierung/Managementautomatisierung:
Wenn virtuelle Server (neu) aufgesetzt werden, garantiert OneFabric Data Center
Transparenz und höchstmögliche Automatisierung aller Managementaufgaben
 Data Center Bridging
Die Architektur unterstützt effizient I/O und SAN Konvergenz in der Data Center
Fabric.
 Virtual Switching - VSB (Virtual Switch Bonding):
VSB erhöht die verfügbare Bandbreite und ermöglicht eine redundante
ausfallsichere Anbindung von Servern und Blade-Center-Switches
 Fabric Core Meshing – Shortest Path Bridging, Fabric Routing
Fabric Core Meshing aggregiert die gesamte Kapazität im Kern der Data Center
Fabric und leitet Daten immer über den kürzesten Pfad an ihr Ziel, so dass es dort
nur sehr geringe Verzögerungen gibt.
 Data Center Interconnect
Erweiterung der Fabric auf mehrere Data Center – aktive Data Center, Disaster
Recovery, Cloud Bursting
 Applikationsawareness
Die Architektur bietet Applikationstransparenz und –kontrolle in der Data Center
Fabric.
167
Virtualisierung
Virtualisierung ist der größte Entwicklungsschritt den Rechenzentrumstechnologien in
den vergangenen zehn Jahren vollzogen haben. Durch Server- und StorageVirtualisierung lassen sich Services heute schnell ändern. Diese Dynamik führt zu neuen
Anforderungen an das Netzwerk im Rechenzentrum. Wenn sich Anwender, Endgeräte
und Applikationen bewegen oder verändern, ändern sich entsprechend schnell auch
Netzwerkkonfigurationen, da Server/VMs zu den physikalischen Maschinen hinzugefügt
oder zwischen ihnen bewegt werden.
Um Netzwerkdienste in Echtzeit innerhalb einer virtualisierten Umgebung bereitzustellen
und die Kluft zwischen virtueller Maschine und Netzwerk zu überbrücken, hat Enterasys
DCM (Data Center Manager) im OneFabric Control Center integriert. DCM ist eine
leistungsstarke SDN-Lösung. Sie macht das laufende Geschehen in der gesamten Data
Center Fabric einschließlich Netzwerkinfrastruktur, Server, Speicher und Anwendungen
im physischen und virtuellen Umfeld durchschaubar und ermöglicht es, diese Elemente
zu steuern und zu überwachen. Ihr Management wird weitgehend automatisiert.
Um Enterasys DCM zu nutzen, braucht man keine spezielle Software oder Applikation
auf dem Hypervisor oder den virtuellen Maschinen. Die Lösung verbindet sich direkt mit
dem nativen Hypervisor und dem Hypervisor Management System. Die Steuerung und
Überwachung physischer und virtueller Server beeinflusst die Server oder das
Betriebssystem nicht. Unternehmen können individuell den Server- oder HypervisorHersteller frei wählen und müssen sich nicht an einen Hersteller binden. DCM
unterstützt alle wichtigen Virtualisierungsplattformen, darunter Citrix XENServer und
XENDesktop, Microsoft Hyper-V und VMware vSphere, ESX, vCenter und VMware View.
Enterasys DCM integriert sich in existierende Workflow- und Lifecycle-Tools. So überblickt
der Administrator jederzeit virtuelle und physikalische Anlagen und kann physikalische
und virtuelle Netzwerke für virtuelle Maschinen automatisch konfigurieren. Die APIs der
jeweiligen Hersteller ersetzen arbeitsaufwändige Installationen auf dem Hypervisor.
Außerdem veröffentlicht Enterasys APIs für die automatisierte Inventarerkennung und
Kontrolle der Hypervisor-Switch-Konfiguration sowie das Management der
physikalischen Netzwerkkonfiguration.
168
Schon heute lässt sich mit DCM und Fabric Routing dieselbe Funktionalität realisieren.
Letzeres erlaubt sogar den Einsatz von PVLAN (Private Virtual LAN)-Konfigurationen auf
VMware vSphere Distributed Virtual Switches, um den Datenverkehr zwischen einzelnen
virtuellen Maschinen umzuleiten.
Dabei routet der physikalische Switch außerhalb der ESX Servers gleichzeitig als
„normaler― End-of-Row/Top-of-Rack Switch und zwischen den PVLANs. Dadurch kann
man den Datenstrom zwischen zwei VMs analysieren, regulieren und (z.B. via NetFlow)
exportieren. Mit Enterasys Data Center Manager lassen sich diese Systeme zentral und
transparent konfigurieren. Alle Daten im Netz werden so einfach sicht- und damit
kontrollier- und steuerbar.
Data Center Bridging
Langfristig sollen durch Ethernet als Transportschicht einer ―konvergierten‖ Data- und
Storage-Lösung die Gesamtkosten (TCO, Total Cost of Ownership) sinken. StorageVernetzung wird in der Zukunft auf einer einheitlichen konvergierten Netzwerk
Infrastruktur basieren – mit neuen Protokollen und neuer Hardware. Mit dem Ansatz
vonEnterasys kann man schon heute einfach und sehr effizient iSCSI-SAN- oder NFSNAS (Network Attached Storage)-Umgebungen aufbauen, optimieren und sichern. Damit
Storage-Daten entsprechend schnell angesprochen und geliefert werden, erkennt,
klassifiziert und priorisiert Enterasys hierbei automatisch den IP-SAN-Traffic.
Die IEEE Data Center Bridging (DCB) Task Force, eine Arbeitsgruppe des IEEE 802.1Standardisierungsgremiums, arbeitet an einer Standardsuite, die Ethernet zur
universellen Transportschicht für Server- und Speicherdatenverkehr im Rechenzentrum
169
macht. Besonders wichtig wird dabei Fiber Channel over Ethernet (FCoE) sein. Mit DCB
lässt sich ein verlässlicheres, auf Ethernet-Technologie basiertes Netzwerk aufbauen. Es
liefert Daten nicht mehr ―best effort‖, sondern arbeitet verlustfrei (lossless). Engpässe
auf Netzwerkschicht 2 handhabt ein solches Netz effizienter als ein traditionelles TCPbasiertes Netz. Dazu kommen Mechanismen zur Kontrolle der einzelnen Datenströme
(Flows). Auch wenn traditionelle Storage-Protokolle wie iSCSI und NFS vom DCB
profitieren werden, sind sie nicht darauf angewiesen. FCoE dagegen verlangt
verlustfreien Betrieb, der sich in einer Multi-Hop Switch-Umgebung nur mit DCB
realisieren lässt.
DCB baut hauptsächlich auf drei IEEE Spezifikationen auf:
 IEEE 802.1Qaz – ETS &DCBX – Bandbreitenzuweisung an Hauptverkehrsklassen
(Priority Groups) plus DCB Management Protokoll
 IEEE 802.1Qbb – Priority PAUSE – Wahlweiser Verkehr auf dem Link durch Priority
Group PAUSIEREN (dabei werden Pause-Frames an einen Sender geschickt, der so
lange keine Daten mehr verschickt und damit die Verbindung entlastet)
 IEEE 802.1Qau – Dynamische Engpassbenachrichtigung
DCB und verschiedene Storage Technologien
Enterasys plant, diesen Standard in zwei Phasen auf den wichtigsten Data-CenterPlattformen über Software und Hardware-Upgrades zu implementieren.
Eine vollständige FCoE-SAN-Konvergenz auf Netzwerken mit DCB wird wohl erst in
einigen Jahren umgesetzt werden. IP-SAN-Konvergenz ist allerdings schon heute
verfügbar. Zunächst (Phase 1) werden die Ein-/Ausgabeaktivitäten des Servers mit der
Ethernet Data Fabric konsolidiert. In der zweiten Phase fließt das SAN komplett oder
170
selektiv in die vorhandene Fabric ein.
Die erste Phase reduziert hauptsächlich die Serverkosten, da keine dedizierten HBAs
(Host Bus Adapter) mehr nötig sind. Dies spart Server-Energiekosten und verringert den
Platzbedarf. Außerdem erleichtert es den Betrieb und spart weitere Kosten, da man
weniger Kabelverbindungen zum Server braucht. Auch Switch-Ports werden weniger
benötigt. In der zweiten Phase braucht man in der kompletten Fabric weniger
Netzwerkgeräte, dafür aber ausgereifte Standards. Deshalb wird es wohl mehrere Jahre
beanspruchen, bis dieses Design der Mainstream in Rechenzentren ist.
Virtual Switch Bonding
Virtual Switch Bonding stattet Data-Center-Architekten beim Data Center Switching mit
neuen Werkzeugen aus. Sie erhöhen die Applikationsverfügbarkeit, senken die
Antwortzeiten verbessern und vereinfachen die Edge-Netzwerktopologie. Virtuelles
Switching gewinnt in Rechenzentren Akzeptanz. Denn damit sind elastische
Serververbindungen möglich, die früher eine manuelle Konfiguration der Server
voraussetzten. Heute sehen Server beim virtuellen Switching in ToR (Top of-Rack)Designs zwei physikalische Switche als ein einziges System. Das ermöglicht:
 Automatische Link-Aggregation physikalischer Switche und Server
 Vermaschung von L2-Netzwerk-Uplinks zur Data-Center-Aggregationsebene und
den Core-Switches
 Non-Stop-Weiterleitung von Applikationsverkehr, falls eines der Geräte ausfällt.
Flexible Server Verbindung
171
Enterasys VSB (Virtual Switch Bonding) löst alle drei Aufgaben. VSB führt physikalische
Switche zu einem einzigen, logischen Switch zusammen, um die verfügbare Bandbreite
zu erhöhen, und vermascht aktiv Server und Switches im Rechenzentrum. Das ChassisSystem der Enterasys S-Serie implementiert dabei ein virtuelles Chassis. Erstmals wurde
dieses Konzept wurde in der Enterasys-N-Serie umgesetzt. So lassen sich Anwendungen
und Dienste in Echtzeit bereitstellen. Die Netzwerkinfrastruktur ist einfacher zu
administrieren.
VSB wird in verschiedenen Chassis der wichtigsten Data-Center-Plattformen, etwa der SSerie, als Software-Option verfügbar sein, damit man das Chassis über traditionelle 10Gund zukünftig 40G/100G-Ethernet-Links ans Datenzentrums-Netz anschließen kann.
Enterasys VSB bietet außerdem:
 automatisierte, Host-spezifische Netzwerk-/Sicherheitsprofile per Virtual Host und
Port
 maximale Verfügbarkeit und Ausfalltoleranz
 eine etablierte Technologie mit mehr als drei Millionen Switch- und Routerports im
Einsatz
 die langfristig verfügbare, bewährte Code Basis des Enterasys perating System
Fabric Core Mesh—Layer 2
Die Anforderungen geschäftskritischer Applikationen verlangen Flexibilität und
Performance im gesamten Netzwerk, nicht nur auf einer bestimmten Schicht. Für neue
Data-Center-Technologien wie Server-Virtualisierung und FCoE sind mehr als bisher
„flache― Layer-2-Netztopologien gefragt. Denn es soll in dem oft hochskalierbaren
Dreischichtsystem aus Darstellungsebene, Applikation und Datenbankservern heute
jeder immer mit jedem kommunizieren können. Das erfordert eine blockierungsfreie,
hochleistungsfähige Netzwerkinfrastruktur mit geringer Latenz.
In den vergangenen Jahren entstanden Netzwerke mit aktiven und passiven Links. Zwar
sicherte das ausreichende Redundanz, allerdings kam es bei Änderungen der
Netztopologie häufig zu Dienstausfällen, bis im gesamten Netz die neue logische
Konfiguration wieder stimmte. Heute werden viele logische Netztopologien mit Hilfe von
Standards wie IEEE 802.1Q-2005 MSTP (Multiple Spanning Tree Protocol) konfiguriert,
die mehrere Topologien ermöglichen, so dass alle vorhandenen Links bestmöglich
genutzt werden. Das entspricht der Best-Practice-Empfehlung für heutige
Netzwerkinfrastrukturen in Rechenzentren. Mehr diesbezügliche Informationen und Best
Practices finden Sie hier: http://www.enterasys.com/solutions/DataCenter.aspx.
172
Während MSTP erlaubt alle Links überhaupt zu nutzen, werden nicht alle Links
gleich stark ausgelastet. Das liegt daran, dass die Segmentierung immer noch
aktive/redundante Links innerhalb jeder VLAN-Gruppe erlaubt. Netzwerke der nächsten
Generation müssen Aktiv/Aktiv-Konfigurationen mit folgenden Eigenschaften
unterstützen:
 Sie muss Ausfälle so behandeln, dass nur direkt betroffener Verkehr bei der
Wiederherstellung beeinflusst wird
 Alle verfügbaren physikalischen Verbindungen solen ohne Bandbreitenverlust
ausgenutzt werden
 Verbindungen werden nach Ausfall schnell wieder hergestellt
 Broadcast- und Multicast-Verbindungen müssen besonders schnell wieder
herstellbar sein
Zwei konkurrierende Standards für mehr Flexibilität in zukünftigen Data-Center-LANs
stehen Planern zur Auswahl:
 Shortest Path Bridging (SPB) – IEEE 802.1aq work group
 Transparent Interconnect of Lots of Links (TRILL) – IETF TRILL work group
Beide vereinfachen die Netzwerktopologie im Rechenzentrum und vermaschen aktiv
Edge und Core in Rechenzentrumsnetzen.
Enterasys besitzt viele Patente im Bereich Netzwerk-Fabrics. 1996 stellte Enterasys das
erste auf Layer 2 vermaschte Ethernet-Netzwerk der Industrie vor, eine aktive
Vermaschung auf Basis eines intelligenten Router-Protokolls unter der Bezeichnung
SecureFast. Als VLSP (VLAN Link State Protocol) diente dabei OSPF (Open Shortest Path
First), um die Erreichbarkeit von MAC-Adressen zwischen Netzelementen auszutauschen
IETF TRILL und IEEE SPB nutzen IS-IS (Intermediate System to Intermediate System
Protocol) als Routing-Protokoll, um ähnliche Ziele zu erreichen. Das IEEE hat sich offiziell
dazu bekannt, alle existierenden und neuen IEEE Standards (besonders die IEEE Data
Center Bridging Protokolle, aber auch die bestehenden Managementprotokolle, Ethernet
IEEE 802.1ag (OAM), etc.) via IEEE SPB zu unterstützen. IEEE SPB nutzt MAC in-MACEncapsulation (IEEE 802.1ah). Dabei wird ein MAC-Header in einen weiteren MACHeader verpackt. Dieser Header gehört zum Provider Backbone Bridging Standard.
Insgesamt bezeichnet man dieses Vorgehen als SPB-M-Implementierung. TRILL erlaubt
verschiedene Pfade (Equal Cost Multipathing) und nutzt selbst ebenfalls verschiedene
Pfade für Unicast und Broad-/Multicast.
Das verläuft nicht immer reibungslos, da es bei manchen IEEE-Protokollen, die auf
173
dieselben Pfade zugreifen, zu Problemen mit TRILL kommt. Und natürlich können
verschiedene Pfade mit unterschiedlichen Latenzen auch unvollständige
Paketlieferungen verursachen, zum Beispiel, wenn Unknown Unicast Flooding in Unicast
umkonfiguriert wird. Mit SPB wird der Rahmen eines Datenpakets nicht mehr durch die
MAC-in-MAC-Encapsulation verändert und für jeglichen Verkehr zwischen einer
bestimmten Quelle und einem Ziel wird nur ein Pfad genutzt.
Enterasys OneFabric Data Center wird anfangs IEEE SPB anwendenSPB wird per
Software-Upgrade auf den wichtigsten Data-Center-Plattformen verfügbar sein und damit
CoreFlow2-Technologie realisieren.
SPB baut auf bestehende Layer-2-LANs im Rechenzentrum, die MSTP nutzen, auf und ist
deswegen voll dialogfähig, was die Netzwerkflexibilität erhöht. Existierende
Infrastrukturen lassen sich mit wenig oder keinen Unterbrechungen auf den IEEEStandard migrieren. SPB bringt folgende Vorteile:
 Plug and Play:
Beim aktiven Vermaschen muss man kaum oder gar nicht konfigurieren.
 Weniger Sprünge (Hops):
Sind alle Links in der Fabric aktiv, nimmt der Verkehr immer den kürzesten Weg.
Die Latenz zwischen Applikationen sinkt
 Höher aggregierte Kapazität:
Werden alle Links genutzt und keine blockiert, steigt die Kapazität der Fabric.
 Skalierbarkeit:
Tausende Switche sind innerhalb einer einzigen Domain möglich.
 Flexibilität
Verbindungen, auch für Broad- und Multicasts, lassen sich nach Ausfällen schnell
wieder herstellen. Ein Ausfall beeinträchtigt nur den direkt betroffenen Verkehr,
nicht direkt betroffener Verkehr läuft einfach weiter.
Shortest Path Bridging Domain
174
Besonders für größere Data Center Fabrics mit komplexen, ortsübergreifenden
Topologien wird SPB zukünftig ein Schlüsselelement, um die Vorteile von Virtualisierung
und Konvergenz voll zu nutzen. Kleinere Netzwerke brauchen diese Funktion
möglicherweise nicht. Da Server und Switches mehr leisten, sinkt die Zahl der der
Knoten im Datenzentrum dramatisch. Mittelgroße und kleine Infrastrukturen können
dann auf komplexe Topologien verzichten.
Fabric Core Mesh—Layer 3
Fabric Routing
In der konvergierten Data Center Fabric ist traditionelles Layer-3-Routing häufig
problematisch. Denn Servervirtualisierung und FCoE brauchen große und „flache― Layer2-Netzwerke, um zu funktionieren und ihr volles Potential zu realisieren. Aber wenn
Server auf Subnetze (Server Subnets) verteilt sind, erfolgt die Kommunikation zwischen
ihnen mittels Routing. Das führt in Netzen, in denen nur SPB oder RSTP (Rapid Spanning
Tree Protocol)/MSTP implementiert sind, zu Engpässen an den Routerschnittstellen, die
sich in herkömmlichen Designs am Edge der Data Center Fabric befinden. Auch
traditionelles VRRP (Virtual Router Redundancy Protocol) erlaubt nur ein einziges aktives
Default-Gateway auf Layer 3 und schafft damit einen Engpass. Für die Lastverteilung
sind solche Konzepte ineffizient und erhöhen die Latenz im Netzwerk. Fabric Routing
realisiert verteiltes Routing in Switchen und Routern, die SPB und RSTP/MSTP
integrieren. Insgesamt lassen sich so maximaler Durchsatz, niedrigste Latenz und
optimierte Datenströme, wie es heute verlangt wird, in der Data Center Fabric
realisieren.
Zum Verständnis: Im Netzwerk unterscheidet man die Verkehrsrichtungen Nord-Süd und
Ost-West. Unter Nord-Süd-Verkehr versteht man die Kommunikation zwischen Clients in
der Peripherie, etwa in einer Filiale, und dem Rechenzentrum, wo die verwendeten
Applikationen gehostet werden, oder umgekehrt. Ost-West-Traffic bezeichnet den
Datenverkehr zwischen den Servern innerhalb einer Data Center Fabric.
Enterasys Fabric Routing ist primär auf geroutetem Ost-West-Traffic ausgerichtet, baut
auf das bekannte VRRP auf und ist damit dialogfähig. Administratoren können ihr
vorhandenes Wissen nutzen, um Netze optimal zu implementieren. Fabric Routing als
Komponente der OneFabric-Architektur ist auch im Campus LAN mit Mehrwert
anwendbar.
175
Traffic Flows ohne Fabric Routing
Im obrigen Bild routet der VRRP-Master den Datenverkehr zwischen den Servern in den
VLANs 1 und 2 für jedes VLAN/Subnet am Edge der Fabric. In der dargestellten,
typischen Installation sind die Server virtualisiert und innerhalb der Fabric mobil. Ein
optimaler Pfad oder Ort für die Router lässt sich deshalb nicht festlegen — also werden
die Geräte irgendwo im Randbereich des Netzes angeschlossen. Das verdreifacht in
diesem Beispiel die Latenz (6 gegenüber 2 Hops), erhöht unnötig die Brandbreiten an
fünf zusätzlichen Fabric-Links und begrenzt die aggregierte Routingleistung zwischen
zwei VLANs in der Fabric auf einen einzigen Link.
Fabric Routing erweitert VRRP und ist vollständig mit existierenden VRRP-Routern
kompatibel. Das VRRP-Auswahlverfahren und das VRRP-Protokoll bleiben unverändert.
Beim Fabric Routing per VRRP-Router-ID kann der Enterasys Switch/Router den
sogenannten „Active-Backup― übernehmen. Dabei sammelt der Switch/Router jeden
Frame, der für diese VRRP-MAC-Adresse bestimmt ist. Dazu gehören Frames in ARP
(Address Resolution Protocol)-Antworten vom VRRP Master an die Endsysteme und
solche, die für deren Gateway-Adresse oder ein anderes Ziel (falls Proxy-ARP genutzt
wird) im spezifischen Subnet bestimmt sind. Fabric Routing bietet in der Data Center
Fabric zusammen mit SPB dieselbe Effizienz beim Datenfluss (Shortest Path) auf Layer-2
und Layer 3. Wird die Technologie innerhalb einer RSTP/MSTP-Domain genutzt, optimiert
das, verglichen mit einer traditionellen VRRP-Konfiguration, die Datenströme.
176
Fabric-Routing-Konfiguration mit multiplen VLANs und VRRP IDs
Data Center Interconnect - Host Routing
Fabric Routing optimiert den Ost-West-Traffic innerhalb eines verteilten Datenzentrums
zwischen virtuellen, mobilen Servern. Doch es gibt ein weiteres Problem: Baut ein
externer Client eine Verbindung zu einem Server auf, wird diese Verbindung in aller
Regel über jenen Router geleitet, der als letzter Traffic von oder zu dem entsprechenden
Ziel gesehen hat. Ist der Server in der Zwischenzeit umgezogen, erfahren dies die Router
auf den höheren Netzwerkebenen zu spät; der Datentransport macht also Umwege,
erleidet Verzögerungen oder bricht gar zusammen.
Host Routing verhindert das präventiv, indem eine Host-Route mitgeteilt wird, sobald ein
Router den Umzug eines Servers erkennt. Damit ist sichergestellt, dass alle eingehenden
Datenverbindungen verzögerungsfrei direkt an das richtige Data Center fließen. Das
entlastet die Verbindungen zwischen den Datenzentren. Dabei reicht es schon aus, dass
einer der Access Switches ein Paket sieht um eine OSPF LSA an das Default Gateway zu
senden, die als Host Route vor der Netz Route Vorrang hat.
Zieht nun ein Server um, so erkennt der angeschlossene Switch die IP Adresse und
schickt ebenfalls eine LSA an das Default Gateway. In dieser kurzen Phase wird zwar
177
nicht der optimale Pfad zum Ziel gewährleistet, allerdings dauert diese nur an bis der
veraltete Routing Eintrag wieder verworfen wurde.
Um Host Routing sicher einsetzen zu können, muss hierfür Dynamic ARP Inspection und
IP Source Guard auf den Access Switches aktiviert sein. Ansonsten könnte eine
Fehlkonfiguration oder jemand mit schlechten Absichten IP Adressen spoofen und damit
die Routing Topologie stören.
Applikationsawareness
Die meisten heute eingesetzten Netzinfrastrukturkomponenten liefern keine Daten für
die Applikationssteuerung und –überwachung. Netzwerke werden typischerweise so
implementiert, das alle Services und Applikationen die gleiche Priorität haben, Üblich
sind auch sehr rudimentäre Priorisierungsschemata. Durch verbreitete Virtualisierung,
SOA-Architekturen, Cloud Computing und weitergehende Netzwerkkonvergenz entspricht
dieses typische Szenario den heutigen Anforderungen nicht mehr. Dies betrifft AccessNetzwerke und Data Center Fabrics. Es ist inzwischen in jedem Bereich des Netzwerks
kritisch, Applikationen exakt zu IdentiFizieren, zu steuern und zu überwachen, damit sie
wie gewünscht verfügbar sind. Dafür reicht es nicht, den Verkehr auf der
Transportschicht zu kontrollieren.
Enterasys CoreFlow2-Technologie bietet IT Administratoren mehr Einblick in kritische
Betriebsapplikationen. Sie können diese Anwendungen genauer kontrollieren, um die
Dienstgüte zu erreichen, die das Geschäft erfordert. Zu den neuartigen Anwendungen,
die CoreFlow2 auf vielen Bereichen ermöglicht, gehören:
 SAN: Zugangskontrolle für iSCSI-Ziele mit Granularität für den Initiator und
Kontrolle der Bandbreitennutzung für jedes iSCSI-Ziel
 IP Voice & Video: QoS und Zugangskontrolle für RTP (Real-Time Transport
Protocol)-Mediastreams und Kontrolldaten
 Cloud: rollenbasierte Zugangskontrolle für Cloud Dienste wie salesforce.com
Bandbreitenüberwachung für bestimmte Seiten wie youtube.com
178
In einer kommenden Version wird Enterasys NetSight die nativen, rohen NetFlowAufzeichnungen der
mit CoreFlow2 gesteuerten Geräte aggregieren, um die
Applikationsebene im gesamten Netz durchschaubar zu machen. Ausgewählte
Enterasys-Produkte werden auch im ganzen Netz verteilte Sonden unterstützen, welche
die Antwortzeit von Anwendungen messen. So können IT-Administratoren das
Anwendungsverhalten im Netz besser überwachen. Sie können so die vereinbarten SLAs
(Service Level Agreements) einhalten, die Verfügbarkeit der Applikationen erhöhen und
Fehler schneller finden und beheben.
Zusammenfassung
Data-Center-LANs entwickeln sich stetig weiter. Was gestern funktionierte, kann morgen
schon antiquiert sein. Geschäftliche Anforderungen zwingen die IT, Anwendungen auf
neue Weise bereitzustellen. In Edge-Computing-Modellen wandern Applikationen vom
Netzwerkrand auf virtuelle Desktops im Rechenzentrum. Gleichzeitig entwickeln sich
Rechenzentren zu Lieferanten von privaten, hybrid Could-Services und auch die
Integration öffentlich verfügbarer Cloud-Services beginnt bereits. Daten- und
Speichernetze konvergieren durch IP-SANs.
Länger wird es dauern, bis sich auch FCoE durchgesetzt hat. Denn es benötigt
Schlüsseltechnologien wie DCB, die noch nicht weitflächig verfügbar sind. Mit offenen
Standards hat Enterasys bereits heute eine Data-Center-Fabric-Lösung im Angebot. Sie
verbessert die Leistung der Anwendungen und erhöht die geschäftliche Mobilität. Denn
die Implementierung von virtuellem Switching erhöht die Flexibilität in Rechenzentren
und wird sich durch vermaschte Technologien in der gesamten Fabric verbreiten.
Enterasys wird hierfür IEEE SPB (Shortest Path Bridging) unterstützen, das schon bald
zur Verfügung stehen sollte. Kunden, die Data-Center-Fabric-Architekturen aufbauen
wollen, wählen daher mit Enterasys einen zukunftssicheren Ansatz.
Physikalische Designs im Data Center
Zwei Grundsatzentscheidungen bestimmen heute das Design von Rechenzentren:
 Die Zahl der Infrastrukturebenen (2-Tier- oder 3-Tier-Architektur)
 Die Switching-Topologie zur Anbindung der Server: In jeder Rackreihe (End of Row)
oder in jedem Rack (Top-of-Rack, ToR)
2-Tier oder 3-Tier Design?
Vereinfacht gesagt, geht es dabei um die Frage, ob das Data Center einen eigenen CoreSwitch inklusive Routing-Instanz bekommt oder ob es bei Aggregations- und AccessSwitches für die Server bleibt.
179
Data Center 2-Tier Design
Data Center 3-Tier Design
Tier 2 vs Tier 3
Jeder der beiden Ansätze hat spezifische Vor- und Nachteile:
Ein 2-Tier-Data-Center bietet meist geringere Latenzzeiten, eine kleinere
Überbuchungsrate und die Komponenten lassen sich insgesamt einfacher konfigurieren.
Weil weniger Geräte vorhanden sind, wird auch weniger Strom verbraucht, was sich
positiv auf die Betriebskosten auswirkt. Nachteilig ist die schlechtere Skalierbarkeit, falls
alle Ports der Aggregationsswitche bereits benutzt werden. Die anfangs einfache
Verwaltung kann nach Erweiterungen durch neue Switches wieder komplexer werden.
Die hierarchische Struktur eines 3-Tier-Data-Center-Designs ist später sehr gut
erweiterbar. Die Aggregations-Uplinks lassen sich weiter konsolidieren, was, wenn später
neue Paare hinzugefügt werden, den Aufwand verringert. Die gesteigerte Flexibilität
durch die zusätzliche Ebene erhöht jedoch die Verzögerungszeit des Netzwerks. Zudem
verbraucht die zusätzlich nötige Hardware mehr Strom und Platz im Data Center. Die
Konsolidierung der Uplinks führt zu mehr Überbuchung von Ports und Bandbreite.
Oft dürfte deshalb ein 2-Tier-Design die bessere Wahl sein. Das „flache― Netz ist
wesentlich leistungsfähiger und entspricht auch den Ansprüchen zukünftiger StorageTechnologien. Ein 3-Tier-Design bietet sich eigentlich nur für sehr große oder in
absehbarer Zeit sehr schnell wachsende Rechenzentren an.
End-of-Row versus Top-of-Rack
Die beiden Möglichkeiten zur Anbindung der Access Switches und Server, EoR und ToR,
haben ebenfalls individuelle Vor- und Nachteile. Bei EoR-Installationen übernimmt ein
Access Switch (Paar) die Anbindung einer ganzen Reihe von Serverracks.
180
End-of-Row Design
 Vorteile des EoR-Designs:
o Server können überall platziert werden und somit Hitzestaus besser
vermeiden.
o Ports werden besser genutzt als bei ToR-Designs.
o EoR spart Platz in Racks, bei Strom und Kühlung und verringert die
Kapitalkosten.
o Der Managementaufwand sinkt durch weniger Switche.
o Die vorhandene Backplane senkt die Überbuchungsrate.
o Chassis-Switche haben üblicherweise mehr Features und skalieren besser.
o Weniger Switch Hops und bedingen geringere Latenz.
 Nachteile des EoR-Designs:
o Mit der Länge der Rack-Reihe steigt die Komplexität der Verkabelung.
Im Gegensatz dazu steht das Top-of-Rack (ToR) Design. Es sieht einen Switch (oder zwei
physikalische Switche, die logisch zu einem virtuellen Switch zusammengefasst sind) pro
Rack vor. Dieser Switch konsolidiert die Verkabelung auf Rack-Ebene vor den
Aggregationsswitchen und erleichtert somit die Kabelführung – jedoch auf Kosten
längerer Verzögerungszeiten. Zudem bleiben häufig Ports ungenutzt.
181
Top-of-Rack Design
 Vorteile des ToR-Designs:
o Vereinfachte Implementierung von Komponenten im Rack.
o Verkabelung ist vermeintlich einfacher und billiger.
 Nachteile des ToR-Designs:
o Wechselt die Zahl der Server im Rack, wechselt auch die Zahl der aktiven
Switchports, das Sachkapital (Switches) wird nicht ausgenutzt.
o Die Zahl ungenutzter Ports ist höher als beim EoR-Szenario.
o Strom- und Kühlungsanforderungen sind höher als beim EoR-Szenario.
o Bei einem Technologieupdate wird immer ein 1-RU (Rack Unit)-ToR-Switch
ausgetauscht.
o ToR verschlechtert tendenziell die Skalierbarkeit, insbesondere durch
Überbuchung der Uplinks und zusätzliche Switch-Hops, welche die Latenz
erhöhen.
Überbuchung im Design
Die Überbuchung der vorhandenen Ressourcen ist im Access-Bereich üblich und
bewährt. Allerdings unterliegt dieser Ansatz im Rechenzentrum vollkommen anderen
Voraussetzungen. Virtualisierungslösungen stellen dieses Prinzip in den Mittelpunkt,
damit die vorhandene Hardware möglichst vollständig ausgelastet wird. Dies führt
allerdings unweigerlich dazu, dass die Server verglichen mit traditionellen
Infrastrukturen nun wesentlich mehr Daten über jede Schnittstelle übertragen. Um
trotzdem den Anforderungen gerecht zu werden, muss das Rechenzentrums-Netzwerk
das kompensieren und zudem die Dynamik einer sich ständig wandelnden Infrastruktur
mit „wandernden― Servern tragen können.
182
Client – Application - Database
Prinzipiell gibt es drei Funktionsebenen im Data Center: Präsentations-/Web-Server,
Anwendungsserver und Datenbankserver. Jede dieser Ebenen hat seine eigenen
Verkehrsmuster, verlangt eine andere Übertragungsqualität und stellt spezielle
Sicherheitsanforderungen. An sich liegt darin keine ungewöhnliche Anforderung. Neu ist
jedoch der Umgang mit den durch Virtualisierung mobilisierten Servern. Zwar kann man
Ressourcen nach wie vor manuell statisch zuordnen, das verspielt allerdings den
größten Vorteil der Servervirtualisierung und verschlechtert daher erheblich deren
Rentabilität.
Deshalb sollte man schon bei der Planung eine möglichst geringe Überbuchungsrate auf
Down- und Upstream-Links vorsehen und auch den möglichen Ausfall von Links
berücksichtigen.
Komplexer wird die Lage durch die Konsolidierung von Daten- und Speichernetz in einer
Infrastruktur. Speichernetze erzeugen auf dem Netz sehr viel Last. Sie brauchen
spezielle Zeitfenster, in denen die Daten zugestellt werden. Die Parallelisierung von
Datenströmen in solchen Netzen führt zu sogenannten „Bursts―, die besonders bei zu
großer Überbuchungsrate problematisch sind. Dabei werden große Datenmengen von
verschiedenen Stellen im Netz aus versandt und müssen teils gleichzeitig am Ziel
ankommen. Um den Puffer am Switch nicht zu überlasten (das bezeichnet man als
„Incast Problem―), sollte neben geringen Überbuchungsraten auch darauf geachtet
werden, dass die eingesetzten Switche genug Speicherkapazität haben und das
Netzwerk solche „Bursts― abfangen kann. Wenn nicht, können durchaus ganze
Transaktionen verloren gehen und die Leistung des Netzes kann dramatisch einbrechen.
183
Logische Designs im Data Center
Ist die richtige Hardware gefunden, fehlt noch ein übergreifendes logisches Design. Auch
hier gibt es bereits mehrere Technologievarianten. Weitere kommen bald auf den Markt
oder sind in der Entwicklung. Wie bei der Hardware ist es sinnvoll, die Bereiche Core und
Edge/Access zu unterscheiden.
Protokolldesign der Server-Edge/Access-Switches
Im Außenbereich des Netzes (Edge) sind maßgeblich zwei komplementär wirkende
Technologien im Einsatz – MSTP und VSB.
RSTP und MSTP
MSTP (IEEE 802.1s) ist eine Weiterentwicklung des aus dem Ethernet-Bereich
bekannten RSTP (RSTP IEEE 802.1w). Neben einer schnellen Umschaltzeit bietet MSTP
den Vorteil, die Last effektiv über mehrere Spanning-Tree-Instanzen für einzelne VLANGruppen zu verteilen.
Obwohl MSTP schon etwas länger verfügbar ist, belegen Tests akzeptable
Umschaltzeiten von durchschnittlich 0,4 Sekunden. Damit eignet sich MSTP als
standardisiertes Protokoll auch heute noch für die Vernetzung im Data Center.
Virtual Switch Bonding
Bei der direkten Serveranbindung verwendet man mit VSB eine aktuellere Technologie,
Hierbei werden mehrere physikalische Switche zu einer logischen Einheit
zusammengefasst, die als separater Netzwerkknoten konfiguriert wird. Wichtige Vorteile
sind erhöhte Redundanz und die Möglichkeit, Link Aggregation Groups (LAG IEEE
802.3ad) über mehrere physikalische Switches aufzubauen.
Gleichzeitig behält Enterasys VSB bekannte und bewährte Funktionen bei. Beides wird
184
auf den Switches der S-Serie mit der CoreFlow2 Technologie gemeinsam angeboten. Zu
den Funktionen gehören:




Automatische Link-Aggregation über mehrere, physikalische Switches.
Vermaschte L2- Anbindung an die Aggregations-/Core Switches im Netzwerk.
Unterbrechungsfreier Transport von Applikationsdaten.
Automatisch zugewiesene ―Host-spezifische‖ Netz-/Sicherheitsprofile für jeden
virtuellen Host (pro Port bei Einsatz von CoreFlow2-Produkten).
 Unterstützt bei Einsatz von CoreFlow2-Produkten Tausende virtueller Hosts pro
System.
Protokolldesign der Core-Switches
Die Protokollauswahl für den Core-Bereich sollte sich an den heute üblichen und
zukünftigen Standards orientieren. Dabei ist es sinnvoll, schon heute einen späteren
Wechsel zu neuen Protokollarchitekturen zu bedenken, so dass dabei kein teures
komplettes Redesign nötig wird.
Data-Center-Core-Design heute
Im Kernbereich des Rechenzentrumsnetzes werden heute oft analog zum Edge-Bereich
MSTP und RSTP eingesetzt. Die Reife der Protokolle und das existierende Know-how der
Administratoren spielen bei dieser Entscheidung eine wichtige Rolle. Wichtig ist auch die
Kompatibilität der Standards mit den existierenden, nicht selten heterogenen Produkten.
Standardbasierende Lösungen senken die Betriebskosten (OpEx, Operational Expenses).
185
Sie liegen, beispielsweise durch geringeren Traniningsaufwand, meist wesentlich
niedriger als bei proprietären Lösungen. Besonders wenn Rechenzentren schnell
wachsen oder lange Redesign-Zyklen haben, sollte man auf standardbasierte Lösungen
und Protokolle achten, damit man auch zukünftig frei und flexibel Hardware auswählen
kann.
Das Core-Design des Data Center der Zukunft
Heute stehen einige neue Standards vor der Verabschiedung, welche die Vermaschung
und Konvergenz von Storage- und Datennetzen optimieren. Technologien wie FCoE
(Fibre-Channel over Ethernet) müssen in großräumigen Layer-2-Netzen besonders
geringe Latenz aufweisen. Die Netze müssen außerdem flexibel skalierbar,
blockierungsfrei und sehr leistungsstark sein, da die Kommunikation jedes
Netzelements mit jedem anderen höchste Ansprüche stellt.
Next-Generation-Netzwerke müssen daher eine Aktiv-Aktiv-Konfiguration mit folgenden
Eigenschaften unterstützen:
 Eingrenzung von Fehlern, damit nur direkt betroffener Traffic bei der
Wiederherstellung verzögert wird
 Schnelle Wiederherstellung von Unicast-, Broadcast- und MulticastKommunikation.
 Ausnutzung
der
kompletten
physikalischen
Infrastruktur
ohne
Bandbreitenverluste. Verzögerung und Hops zwischen Servern werden minimiert.
 Schnelles Umschalten bei Verbindungsabbrüchen.
Enterasys-Switches bewältigen diese Aufgaben mit SPB und DCB (Data Center Bridging).
Segmentierung von Load-Sharing im Layer-3-Core
Gerade größere Campusnetze sollten sich in verschiedene Bereiche, etwa Abteilungen,
Kunden oder Unternehmen, aufteilen lassen. Für Layer-3-Redundanz verwendet man
meist die Protokolle OSPF (Open Shortest Path First)-ECMP (Equal-cost Multi-path
Routing) oder VRRP (Virtual Router Redundancy Protocol). VRRP hat besonders im Data
Center den Nachteil, dass bestehende Links für einen eventuellen Ausfall reserviert
werden und nicht aktiv an der Datenübertragung teilnehmen. OSPF-ECMP hingegen
bietet ebenfalls Redundanz für den Datenpfad, erlaubt aber auch die gleichzeitige aktive
Nutzung aller Verbindungen, um die Last zu verteilen.
Um das Rechenzentrums-Netz zu segmentieren, wird überraschend häufig auf MPLS
(Multi-Protocol Label Switching) verwiesen, obwohl diese Konfiguration für ein
Rechenzentrum sehr schnell zu komplex werden kann. Stattdessen kann man VRF
186
(Virtual Routing and Forwarding) verwenden, um mehrere getrennte Routing-Domänen
zu schaffen. Das vereinfacht eine Installation besonders im Non-Provider-Bereich
erheblich. VRF ermöglicht die Konfiguration mehrerer virtueller Routing-Instanzen
innerhalb eines physischen Routers. Wie bei einer Implementierung mit MPLS entstehen
dabei dedizierte Segmente für kritische Applikationen und Netzbereiche, die
Konfiguration ist aber erheblich einfacher.
Virtuelle Welten
Welches Netzwerkdesign wird einem Data Center im ständigen Wandel gerecht?
Enterasys bietet Lösungen für zwei Szenarien: Server- und Desktop-Virtualisierung.
Servervirtualisierung
Anhand virtueller Server lässt sich die Vielseitigkeit von NAC (Network Access Control)Integrationen zeigen. Immer mehr Netzwerke beherbergen Cluster und virtuelle Server,
weil die dynamische Umverteilung der Software auf die Hardware optimale Auslastung
und Flexibilität garantiert. Doch sind die Netzwerke meist nicht flexibel genug und
Konfigurationen (z.B. Priorisierung von Daten) müssen manuell angepasst werden.
Falls virtuelle Systeme automatisch „umziehen― – etwa bei einem Hardwareausfall –
kompliziert das die Situation. Damit auch das Netzwerk bei Drag-and-Drop-Migrationen
mithalten kann, lokalisiert NAC die Server und vereinfacht es so, Rekonfigurationen im
Netzwerk zu automatisieren.
187
Weitere technische und organisatorische Probleme gibt es in Umgebungen mit virtuellen
Switches. So lassen sich die Zuständigkeitsbereiche von System- und
Netzwerkadministratoren schwer voneinander abgrenzen.
Aktuelle Virtualisierungssoftware kann mittlerweile einen kompletten Switch auf einem
Host abbilden (oder gar auf mehreren Hosts als Distributed Virtual Switch). Dazu
gehören wichtige Einstellungen für die Datacenter-Plattform und das
Unternehmensnetzwerk. So muss der Administrator VLANs erstellen, routen,
protokollieren und analysieren, um so für sichere Kommunikation zwischen virtuellen
Maschinen zu sorgen.
Enterasys behebt mit NetSight Data Center Manager diese Probleme. Dieses offene
Framework synchronisiert Informationen zwischen NAC und Virtualisierungssoftware. Die
aktuelle Version unterstützt VMWare vSphere, Citrix XenCenter und Microsoft Hyper-V.Im
einfachsten Fall werden dadurch Detailinformationen zu einer virtuellen Maschine in der
Endsystemübersicht des NAC Managers (Name der VM, UUID, ...etc.) oder NAC/LocationDaten innerhalb der Virtualisierungssoftware angezeigt. Dies erleichtert die
IdentiFikation virtueller Maschinen im Netz und hilft dabei, Fehler schnell zu lokalisieren.
Darüber hinaus lassen sich beide Seiten – Switchports und virtuelle Maschinen automatisch konfigurieren. So erlaubt der Datacenter Manager den Aufbau von NACEndsystemgruppen als (Distributed) Virtual-Switch-Portgroups, Dabei können auch
erweiterte Parameter wie VLAN-IDs oder Port Modes (isolated, community, promiscious)
eingestellt werden. Die Information darüber, welche VM an eine bestimmte Portgroup
angeschlossen ist, dient zur Zuordnung der VMs zu einer NAC-Endsystemgruppe. Dabei
kann das System so eingestellt werden, dass der Administrator solche Zuordnungen
bestätigen muss, bevor sie wirksam werden, um unabsichtliche Fehlkonfigurationen zu
vermeiden.
188
So lassen sich die genannten Probleme elegant lösen. Der Netzwerkadministrator
erstellt innerhalb des NAC Managers die Regeln und Gruppen für VMs, wählt die VLANs
aus und bestimmt, oder ob der Datenverkehr zwischen den Hosts zunächst über einen
physikalischen Switch fließt (z.B. um Flowdaten zu analysieren).
Der Systemadministrator schließt seine VM lediglich an eine bereits vorkonfigurierte
Portgroup an und muss sich nicht mehr um die Konfiguration des
Unternehmensnetzwerks kümmern. Beide Seiten sehen innerhalb ihrer Tools ständig,
welche virtuelle Maschine an welchem physikalischen Switch angeschlossen ist und
welche Zugangspolicy ihr zugewiesen wurde. Auch die bewährten NAC-Mechanismen für
die Prüfung und Reparatur virtueller Maschinen stehen weiter zur Verfügung. Obwohl
NAC eigentlich Endsysteme kontrolliert und nicht Server, kann diese Funktionalität hier
dennoch sinnvoll sein, um eine adaptive Netzwerkumgebung in virtualisierten RZBereichen bereitzustellen.
Desktop Virtualisierung
Auf den ersten Blick unterscheiden sich virtuelle Server und Desktops kaum. Groß sind
ihre Differenzen allerdings hinsichtlich der Sicherheit beim Netzwerkzugang. Mittlerweile
haben wir uns daran gewöhnt, dass Desktop-Systeme sich im Netzwerk authentisieren
und sogar unterschiedliche Zugriffsprofile erhalten. Im Access-Bereich ist das relativ
einfach, da Clients in der Regel an genau einen physikalischen Port angeschlossen
werden und somit eindeutig klar ist, wie die Client-Daten durchs Netzwerk fließen.
189
Bei der Desktop-Virtualisierung greifen jedoch Thin Clients aufs Netz zu. Dazu gehören
auch Tablet PCs oder gar Telefone. Die meisten Client-Datenpfade werden auf einige
wenige Serverports konsolidiert. Doch es ist extrem schwierig, dort zu unterscheiden,
welche Pakete von welchem Benutzer stammen. Traditionelle Verfahren wie NAC sind
hier unmodifiziert nicht ohne Weiteres einsetzbar– umso weniger, je dynamischer sich
die Virtual-Desktop-Umgebung verhält. Das Ziel von Virtual-Desktop-Implementierungen
ist meist die spontane, automatische Provisionierung von Client-Desktops. Dabei wird
der virtuelle Desktop bei Verbindungsaufbau aus einer Vorlage erzeugt. Differenzierte
Zugangsprofile sind im Rechenzentrum noch wichtiger als im Access-Bereich, da Clients
hier direkt im „Herzen― des Netzwerks agieren. Sicherheitsverletzungen sind hier sehr
riskant.
Enterasys Data Center Manager eignet sich für den Einsatz mit den die wichtigsten
Desktop-Virtualisierungslösungen am Markt. DCM erkennt die Zuordnung zwischen
Virtual Desktop und entfernten Benutzern und kommuniziert sie an Enterasys-NAC.
Dank der bei der Enterasys S-Serie realisierten Multiuser Authentication erkennt NAC die
einzelnen Flows im Rechenzentrum leicht und ordnet ihnen entsprechend passende
Zugangsprofile zu.
Enterasys DCM Virtual Desktop Integration im Überblick:
 Clients verbinden sich durch sichere, verschlüsselte Tunnel mit dem Virtual
Desktop im Data Center. Alle Benutzer haben in der Regel vom Virtual Desktop aus
vollen Zugriff auf das Rechenzentrumsnetz.
 Die Netzwerkinfrastruktur kann den Zugriff automatisch nutzer- und
desktopspezifisch einschränken. Dazu gehört auch, das Verhalten von Benutzern
und Virtual Desktops in der Data Center Infrastruktur für Reports und
Troubleshooting zu beobachten.
190
 Die Zuordnung von Benutzern zu VDs (Virtual Desktops) ist am Citrix XDDC (Desktp
Delivery Controller) verfügbar.
 Vmware VMView 4.5 unterstützt mit PCoIP (PC over IP) User Authentisierung. Im
Rechenzentrum wird dazu 802.1x verwendet.
 Enterasys DCM ermittelt VM-Daten und-Informationen über Remote User und stellt
sie dem Enterasys-NAC zur Verfügung
 Enterasys NAC und die Multiuser Authentication der S-Serie IdentiFizieren Flows
von Tausenden Benutzern und weisen einzelnen physikalischen Ports individuelle
Sicherheitsprofile zu
191
Enterasys S-Serie
Die S-Serie ist die Highend-Produktlinie. Sie vereinigt die Funktionen Switching, Routing
und Security und eignet sich für den Einsatz auf allen Ebenen des LANs, ob Datacenter,
Core oder Access.
Die Serie umfasst drei Standalone-Systeme und fünf Chassis-Typen mit 1,3,4,6 und 8
Slots. Die Geräte haben eine verteilte Architektur bei einer Backplane-Kapazität von über
6 Terabit/s. Ihr Durchsatz beträgt 80/160/320 Gbit/s pro Slot. Damit ist die S-Serie
hochskalierbar und daher eine zukunftssichere Investition. Die externe Kommunikation
läuft heute über 10/40-Gigabit-Ethernet, in Zukunft wird auch 100-Gigabit-Ethernet
unterstützt.
Alle Systeme der S-Serie auf einen Blick:
SSA 130 SSA150 SSA180
S1
S3
S4
S6
S8
Chassis-Slots
-
-
-
1
3
4
6
8
Switching-Kapazität Gesamtsystem
(Gbps)
40
120
120
160 360
2560 2560
2560
Switching-Durchsatz Gesamtsystem 30
(Mpps)
90
90
120 360
480
960
Gesamte Backplane-Kapazität
(Gbps)
-
-
240 480
3000 4500
6000
10/100/1000BASE-TX Class 3 PoE 48
Ports pro System (maximal)
48
48
72
180
288
432
576
1000BASE-X SFP (MGBIC) Ports Pro System (maximal)
48
48
72
180
288
432
576
10GBASE-X SFP+ Ports pro System
(maximal)
4
4
16
96
64
96
128
-
4
720
(no PoE)
Die S-Serie ist eine Weiterentwicklung der N-Serie. Neben den mit identischer Software
realisierten Funktionen der N-Serie stehen weitere Funktionen wie MPLS, Ipv6 und
Applikationsklassifizierung in Hardware. Die aktuelle Generation der S-Module stellt in
einem S8-Chassis eine Gesamtkapazität von 2,56 Tbps und 1920 Mpps zur Verfügung.
Damit lassen sich bis zu 576 Gigabit-Ethernet- oder 128 10-Gigabit-Ethernets-Ports via
SFP+ realisieren. Weitere Portdichtenerhöhungen werden folgen. Alle 10/100/1000192
Module unterstützen High Power PoE+ (IEEE 802.3at), dafür benötigt man aber
entsprechende zusätzliche Stromversorgungen.
SSA
S1
S3
S4
S6
S8
Architektur
Mit den Chassis der Enterasys-S-Serie lassen sich (Switch-)Fabric-basierte und Fabriclose Architekturen realisieren. Die S4- und S8-Chassis sind für den Fabric-basierten
Aufbau geeignet. Sie vernetzen Ein-/Ausgabemodule und die Fabric-Komponenten durch
mehrere Hochgeschwindigkeitsverbindungen. Das Chassismodell S3 ermöglicht keine
Fabric-Architekturen und ist für den Access-Bereich optimiert. Um eine Fabric zu
realisieren, braucht man in einem S4- oder S8-Chassis mindestens ein I/O-Fabric-Modul.
Für den vollen Systemdurchsatz sind jedoch zwei I/O-Fabric-Module nötig, die sich die
Verkehrslast teilen. Damit werden dann Switching mit bis zu 2560 Gbps und
193
Hochverfügbarkeitsfunktionen realisiert. Im S6- und S8-Chassis ist zur Steigerung der
Gesamtverfügbarkeit und für mehr Redundanz sogar der Einsatz einer dritten I/O Fabric
möglich.
Die I/O-Mocule der Enterasys S-Serie sind hochleistungsfähige, voll ausgestattete
Switches im einem verteilten Switchsystem mit Management- und Routing Funktionen.
Letztere werden vom jeweiligen On-Board-Prozessorsystem übernommen. Die
Prozessoren bilden zusammen mit den flowbasierten nTERA ASICs ein sehr flexibles,
skalierbares und hochleistungsfähiges Gesamtsystem mit wesentlich höherer
Prozessorleistung als vergleichbare Systeme.
I/O-Fabric und I/O-Module gibt es mit vielfältigen Schnittstellen und Portdichten, um alle
möglichen Netzwerkdesigns optimal abzubilden - von 10/100/1000BASE-TX,
1000BASE-X SFP, bis zu 10G BASE-X SFP+. Die SFP+-Ports können auch SFPs
aufnehmen, die SFP-Ports auch 100FX-SFPs. Alle Triple-Speed-I/O-Kupfermodule
unterstützen PoE. Viele Ein-/Ausgabemodules haben ein oder zwei Optionsmodule. Sie
erhöhen die Konfigurationsflexibilität im Bereich Media und Portdichte, was Designs
vereinfacht und kostengünstiger macht.
Enterasys CoreFlow2
Die CoreFlow2-Technologie von Enterasys liefert Schlüsselfunktionen für die
Flusssteuerung von Applikationsdaten und für die Datenzugriffskontrolle. Die auf ASICs
basierende Technologie wurde über die letzten 15 Jahre stetig weiterentwickelt. Das
patentierte ASIC-Design kann bis zu 64 Millionen Flows pro System verarbeiten. Der
flexibel programmierbare ASIC arbeitet in Leitungsgeschwindigkeit. Er klassifiziert die
Datenströme auf den Netzwerkschichten 2 bis 7, macht sie fürs Management sichtbar
und kontrolliert den Applikationsfluss. Derzeit definieren statische NMS-Policies die
Datenflusssteuerung zwischen Layer 2 und Layer 4. Wie sich ein Netzwerk mit EnterasysPolicies klassisch weiterentwickeln könnte, zeigt die Grafik unten. Setzt man NAC
(Network Access Control) und Policies gemeinsam ein, lassen sich in einem LAN
Endsystemen und Servern anhand ihrer IdentiFikation (802.1x, MAC etc.) dynamisch
Kommunikationsregeln zuordnen und durchsetzen.
194
Mögliche Anwendungsszenarien für die von CoreFlow2 gebotenen Policies (Beispiele):
 iSCSI
o Zugriffskontrolle nur für iSCSI-Initiatoren
o Überwachung der Netzwerkbandbreite pro iSCSI-Target
 RTP
o Spezifizierte Zugriffssteuerung anhand von Audio und Video Codec
 Zukünftige Features auf Basis von http (Hypertext Transport Protocol)
o Zugriffskontrolle für Cloud-Services wie z.B. www.salesforce.com
o Bandbreitenüberwachung bei Cloud-Services www.youtube.com
Der flexibel programmierbare CoreFlow2-ASIC steckt in den Data-Center-, Distributionund Core-Router-Fabric-Einschüben der Geräte der S-Serie. Er erkennt nicht nur die
Datenströme der Anwendungen. Zukünftige Funktionen und Standards lassen sich als
Software-Upgrade auf dem Switch einspielen. Es folgt eine unvollständige Liste
derjenigen neuen Standards, die Enterasys so in Zukunft unterstützen will:
Access/Edge I/O-Module
Diese Module sind für den Einsatz im Zugangsbereich der Anwender und in der
Peripherie optimiert. Durch die Flex-Edge-Technologie der Access/Edge-I/O-Module
können bandbreitenhungrige Workstations selektiv auf nicht überbuchte Datendienste
zugreifen. Auch sensitive Daten lassen sich so stets sicher übertragen. Die I/O-Module
unterstützen bei der Authentifizierung und Policy-Zuweisung bis zu 512 Nutzer pro Modul
und 8 authentifizierte Nutzer pro Port. Bei den Modulen für den Core/DistributionBereich sind es bis zu 1.024 User/Devices pro Modul, Restriktion pro Port gibt es hier
nicht. Muss ein Access Modul mehr Nutzer versorgen, ist es mit der Upgrade-Lizenz (SEOS-PPC) auf die gleichen Limits wie die Core/Distribution Module erweiterbar. Alle
Triple-Speed-I/O-Module der S-Serie unterstützen PoE als Standard. Dafür sind zusätzlich
nur entsprechende PoE-Stromversorgungen ins Chassis einzubauen. Die Access Module
haben begrenzte Routing-Funktionen und unterstützen nicht *BGPv4, *IS-IS für IPv4 &
IPv6, *VRF, NAT , LSNAT und TWCB. Ein Upgrade auf VRF mittels einer Advanced-RoutingLizenz (S-EOS-L3-ACCESS) ist möglich..
Distribution-, Core- und Data-Center-I/O-Module
Zu den I/O-Modulen der S-Serie gehören Distribution-, Core- und Data-Center-I/O Module
für Netzwerkcore und Rechenzentrum, also die Bereiche mit höchsten Anforderungen,
wo ständig hohe Datenraten zu bewältigen sind. Gigabit- und 10-Gigabit-EthernetModule sorgen für höchstmögliche Netzwerkleistung. Sie verarbeiten und leiten die
195
Datenströme
mit
Leitungsgeschwindigkeit
weiter,
bieten
erweiterte
Verkehrsmanagementfunktionen und extrem große Paketpuffer. Dazu kommt höchste
Flexibilität hinsichtlich der Anschlussmedien und Upgrade-Möglichkeiten für weitere
Core-Routingprotokolle
High Availability Upgrade (HAU)
Die HAU (High Availability Firmware Upgrade)-Funktion der S-Serie bietet ein FirmwareUpdate der Chassis der S-Serie oder S-Serie VSB über einen Rolling-UpdateMechanismus. Anders als beim Standard-Update, bei dem gleichzeitig alle
Softwaremodule eines Chassis-Systems neu gestartet und dabei die neue Software
geladen wird, läuft der Prozess hier schrittweise ab: Die Module booten nacheinander
vom Chassis vordefinierte Gruppen neu, die neue Software wird so nach und nach
geladen. Das hat den Vorteil, dass nicht automatisch alle Datenverbindungen deaktiviert
und alle am Chassis aktivierten Services unterbrochen werden. Vielmehr bearbeitet ein
Großteil des Chassis weiterhin ohne Einschränkungen aktiv Netzwerkdaten.
Unterbrechungen gibt es nur bei Chassis-Elementen, die gerade neu gestartet werden
und dabei eine neue Software laden.
High Availability Firmware Upgrade
In der gelieferten Grundkonfiguration gibt es für jeden Systemslot der S-Serie eine
separate Gruppe. Beim Update eines S4-Chassis mit maximal vier Modulen, die
sequenziell neu gestartet werden, sind also höchstens ebenso viele Modul-Neustarts
nötig, um die gesamte neue Software zu aktivieren .
196
Der Administrator kann die vordefinierten Gruppen der einzelnen Slots manuell neu
ordnen, um die Update-Sequenz zu beschleunigen. So lassen sich zwei oder, in einem
VSB-System, alle Systemslots eines Chassis in einer Gruppe zusammenfassen. Das
Neustarten der Gruppen - also der Slots – lässt sich zusätzlich um einen vordefinierten
Zeitraum verzögern, so dass der Administrator die neu gestarteten Systemkomponenten
kontrollieren und das Update, wenn nötig, auch manuell stoppen kann. Hierzu muss
man nur den Update-Delay verändern. Der High-Availability-Update-Prozess eignet sich
auch für Downgrades, so dass Geräte flexibel um Funktionen erweitert oder abgespeckt
werden können.
Die Software erkennt automatisch, ob ein HAU-Update von Version A nach Version A.xx
möglich ist. Die HAU-Funktion steht im Moment nur für Minor Release Changes und
Release Patches, nicht für Major Release Changes verfügbar. Das ändert sich allerdings
mit den kommenden Softwareversionen.
VSB System High Availability Firmware Upgrade
197
I/O Module Spezifizierung
S130 Class Modules
S140 I/O Modules
Wiring Closet, Distribution Layer,
Small Network Core
ST4106-0248 SG4101-0248
Distribution Layer, Server Aggregation, Data Center Core,
Enterprise
ST2206-0848 SG2201SK2008SK20090848
0832
0824
Used in
S3/S4/S6/S8
Chassis
S3/S4/S6/S8
Chassis
Port Type
RJ45
Part
Number
Port
Quantity
Port Speed
S3/S4/S6/S8
Chassis
SFP
48
48
10/100/1000
Mbps
802.3af,
802.3at
1, (Type1)
1000 Mbps
Module I/O
Throughput
I/O
Switching
Capacity
PoE
Support
Option
Module
Slots
RJ45
SFP
48
Used in
S3/S4/S6/S8
Chassis
SFP+
10GBase-T
32
24
10 Gbps
10 Gbps
1000 Mbps
1, (Type1)
30 Mpps
30 Mpps
120 Mpps
120 Mpps
120 Mpps
120 Mpps
40 Gbps
40 Gbps
160 Gbps
160 Gbps
160 Gbps
160 Gbps
-
Distribution Layer, Server Aggregation, Data Center
Core, Enterprise
SK8008SK8009-1224
SL8013-1206
1224
S4/S6/S8
Chassis
Port Type
SFP+
Port
Quantity
24
Port Speed
48
S3/S4/S6/S8
Chassis
10/100/1000
Mbps
802.3af,
802.3at
2, (Type 2)
S180 I/O Modules
Part
Number
S3/S4/S6/S8
Chassis
10 Gbps
S4/S6/S8
Chassis
S4/S6/S8
Chassis
10GBase-T
QFSP+
24
10 Gbps
6
40 Gbps
PoE
Support
-
-
-
Option
Module
Slots
-
-
-
Module I/O
Throughput
240 Mpps
240 Mpps
240 Mpps
I/O
Switching
Capacity
320 Gbps
320 Gbps
320 Gbps
198
2, (Type 2)
-
-
-
-
S130 Class Fabric Modules
Wiring Closet, Distribution Layer, Small
Network Core
Part
ST4106ST8206Number
0248-F6
0848-F8
Used in
SG82010848-F8
SK80081224-F8
SK80091224-F8
SL80131206-F8
S1/S4/S6/S8
Chassis
S1/S4/S6/S8
Chassis
S1/S4/S6/S8
Chassis
S1/S4/S6/S8
Chassis
S1/S4/S6/S8
Chassis
S1/S4/S6/S8
Chassis
RJ45
RJ45
SFP
SFP+
48
48
10/100/1000
Mbps
10/100/1000
Mbps
PoE
Support
802.3af,
802.3at
802.3af,
802.3at
Option
Module
Slots
Module I/O
Throughput
I/O
Switching
Capacity
Fabric
Throughput (Single)
1, (Type 2)
2, (Type 2)
2, (Type 2)
45 Mpps
120 Mpps
120 Mpps
240 Mpps
240 Mpps
240 Mpps
60 Gbps
160 Gbps
160 Gbps
320 Gbps
320 Gbps
320 Gbps
960 Mpps
960 Mpps
960 Mpps
960 Mpps
960 Mpps
Port Type
Port
Quantity
Port Speed
480 Mpps
48
1000 Mbps
-
199
10GBase-T
24
24
10 Gbps
10 Gbps
QSFP+
6
40 Gbps
-
-
-
-
-
-
Features, Standards, Protokolle
802.3u Fast Ethernet
802.1aq (SPB) Shortest Path Bridging (Ready)
802.3an 10GBASE-T (copper)
802.1Q VLANs
802.1D MAC Bridges
802.1w Rapid re-convergence of Spanning Tree
802.1s Multiple Spanning Tree
802.1t – Path Cost Amendment to 802.1D
802.1AX-2008 / 802.3ad Link Aggregation
- up to 64 groups with up to 8 ports in a group
802.3ae Gigabit Ethernet
802.3x Flow Control
IP Multicast (IGMPv1,v2,v 3)
IGMP v1/v2/v3 Snooping and Querier
Jumbo Packet with MTU Discovery Support for
Gigabit (9216 bytes)
Link Flap Detection
Dynamic Egress (Automated VLAN Port
Configuration)
802 1ab LLDP-MED
- 802.1Qaz
ETS (Enhanced Transmission Selection)
DCBx (Data Center Bridge Exchange Protocol)
- 802.1Qbb PFC (Priority Flow Control)
- 802.1Qau Congestion Notification
802.3-2008 Clause 57 (Ethernet OAM – Link Layer
OAM)
MLD IPv6 Snooping and Querier
Virtual Switch Bonding (VSB)
IP Routing Features
Static Routes
Standard ACLs
OSPF with Multipath Support
OSPF Passive Interfaces
IPv6 Routing Protocol
Extended ACLs
Policy-based Routing
NAT Network Address Translation
TWCB Transparent Web Cache Redirect
VRF Virtual Routing and Forwarding (IPv6 and IPv4)
Border Gateway Routing Protocol - BGPv4
PIM Source Specific Multicast - PIM SSM
RFC 792 ICMP
RFC 826 ARP
RFC 1027 Proxy ARP
RFC 1112 IGMP
RFC 1195 Use of OSI IS-IS for Routing in TCP/IP
RFC 1265 BGP Protocol Analysis
RFC 1266 Experience with the BGP Protocol
RFC 1519 CIDR
DHCP Server RFC 1541/ Relay RFC 2131
RFC 1583/RFC 2328 OSPFv2
RFC 1587 OSPFv2 NSSA
RFC 1657 Managed Objects for BGP-4 using SMIv2
RFC 1723 RIPv2 with Equal Cost Multipath Load
Balancing
RFC 1765 OSPF Database Overflow
RFC 1771 A Border Gateway Protocol 4 (BGP-4)
RFC 1772 Application of BGP in the Internet
RFC 1773 Experience with the BGP-4 protocol
RFC 1774 BGP-4 Protocol Analysis
RFC 1812 General Routing/RIP Requirements
RFC 1853 IP in IP Tunneling
RFC 1886 DNS Extensions to support IP version 6
RFC 1924 A Compact Representation of IPv6
Addresses
RFC 1930 Guidelines for creation, selection, and
registration of an
Autonomous System (AS)
RFC 1966 BGP Route Reflection
RFC 1981 Path MTU Discovery for IPv6
RFC 1997 BGP Communities Attribute
RFC 1998 BGP Community Attribute in Multi-home
Routing
RFC 2003 IP Encapsulation within IP
RFC 2080 RIPng (IPv6 extensions)
RFC 2082 RIP-II MD5 Authentication
RFC 2113 IP Router Alert Option
RFC 2154 OSPF with Digital Signatures (Password &
MD5)
RFC 2236 IGMPv2
DVMRP v3-10
RFC 2260 Support for Multi-homed Multi-prov
RFC 2270 Dedicated AS for Sites Homed to one
Provider
RFC 2361 Protocol Independent Multicast - Sparse
Mode RFC2373
RFC 2373 Address notation compression
RFC2374 IPv6 Aggregatable Global Unicast Address
Format
RFC2375 IPv6 Multicast Address Assignments
RFC 2385 BGP TCP MD5 Signature Option
RFC 2391 Load Sharing Using Network Address
Translation(LSNAT)
200
RFC2401 Security Architecture for the Internet
Protocol
RFC2404 The Use of HMAC-SHA-1-96 within ESP
and AH
RFC2406 IP Encapsulating Security Payload (ESP)
RFC2407 Internet IP Security Domain of
Interpretation for ISAKMP
RFC2408 Internet Security Association and Key
Management Proto-col (ISAKMP)
RFC 2409 The Internet Key Exchange (IKE)
RFC 2439 BGP Route Flap Damping
RFC 2450 Proposed TLA and NLA Assignment Rule
RFC 2453 RIPv2
RFC 2460 IPv6 Specification
RFC 2461 Neighbor Discovery for IPv6
RFC 2462 IPv6 Stateless Address Auto-configuration
RFC 2463 ICMPv6
RFC 2464 Transmission of IPv6 over Ethernet
RFC 2473 Generic Packet Tunneling in IPv6
Specification
RFC 2474 Definition of DS Field in the IPv4/v6
Headers
RFC 2519 A Framework for Inter-Domain Route
Aggregation
RFC 2545 BGP Multiprotocol Extensions for IPv6
RFC 2547 BGP/MPLS VPNs (ab FW 8.21)
RFC 2553 BasiCSocket Interface Extensions for IPv6
RFC 2577 FTP Security Considerations
RFC 2581 TCP Congestion Control
RFC 2597 Assured Forwarding PHB Group
RFC 2685 Virtual Private Networks IdentiFier
RFC 2710 IPv6 Router Alert Option
RFC 2711 Multicast Listener Discovery (MLD) for
IPv6
RFC 2715 Interoperability Rules for Multicast
Routing Protocols
RFC 2740 OSPF for IPv6
RFC 4007 IPv6 Scoped Address Architecture
RFC 4023 Encapsulating MPLS in IP
RFC 4109 Algorithms for IKEv1
RFC 4191 Default Router Preferences and MoreSpecific Routes
RFC 4193 Unique Local IPv6 Unicast Addresses
RFC 4213 Basic Transition Mechanisms for IPv6
RFC 4222 Prioritized Treatment of OSPFv2 Packets
RFC 4264 BGP Wedgies
RFC 4265 Definition of Textual Conventions for
(VPN) Management
RFC 4271 A Border Gateway Protocol 4 (BGP-4)
RFC 4272 BGP Security Vulnerabilities Analysis
RFC 4273 Managed Objects for BGP-4 using SMIv2
RFC 4274 BGP-4 Protocol Analysis
RFC 4276 BGP-4 Implementation Report
RFC 4277 Experience with the BGP-4 protocol
RFC 4291 IP Version 6 Addressing Architecture
RFC 4294 IPv6 Node Requirements
RFC 4301 Security Architecture for IP
RFC 4302 IP Authentication Header
RFC 4303 IP Encapsulating Security Payload (ESP)
RFC 4305 Crypto Algorithm Requirements for ESP
and AH
RFC 4306 Internet Key Exchange (IKEv2) Protocol
RFC 4307 Cryptographic Algorithms for Use in IKEv2
RFC 4308 Cryptographic Suites for IPSec
RFC 4360 BGP Extended Communities Attribute
RFC 4364 BGP/MPLS IP VPNs (ab FW 8.21)
RFC 4365 Applicability Statement for BGP/MPLS IP
Virtual Private Networks (VPNs)
RFC 4384 BGP Communities for Data Collection
RFC 4443 ICMPv6 for IPv6
RFC 4456 BGP Route Reflection
RFC 4486 Subcodes for BGP Cease Notification
Message
RFC 4451 BGP MULTI_EXIT_DISC (MED)
Considerations
RFC 4541 MLD Snooping
RFC 4552 Authentication/Confidentiality for OSPFv3
RFC 4601 PIM-SM
RFC 4604 IGMPv3 & MLDv2 & Source-Specific
Multicast
RFC 4607 Source-Specific Multicast for IP
RFC 4608 PIM--SSM in 232/8
RFC 4610 Anycast-RP Using PIM
RFC 4611 Multicast Source Discovery Protocol
(MSDP) Deployment Scenarios
RFC 4632 Classless Inter-Domain Routing (CIDR)
RFC 4659 BGP-MPLS (VPN) Extension for IPv6 VPN
RFC 4724 Graceful Restart Mechanism for BGP
RFC 4760 Multiprotocol Extensions for BGP-4
RFC 4835 CryptoAlgorithm Requirements for ESP
and AH
RFC 4861 Neighbor Discovery for IPv6
RFC 4862 IPv6 Stateless Address Autoconfiguration
RFC 4884 Extended ICMP Multi-Part Messages
RFC 3562 Key Mgt Considerations for TCP MD5
Signature Opt
RFC 3567 IS-IS Cryptographic Authentication
RFC 3587 IPv6 Global Unicast Address Format
RFC 3590 RFC 3590 MLD Multicast Listener
Discovery
RFC 3595 Textual Conventions for IPv6 Flow Label
RFC3596 DNS Extensions to Support IP Version 6
RFC 3719 Recommendations for Interop Networks
using IS-IS
RFC 3768 VRRP
RFC 3769 Requirements for IPv6 Prefix Delegation
RFC 3787 Recommendations for Interop IS-IS IP
Networks
RFC 3810 MLDv2 for IPv6
RFC 3847 Restart signaling for IS-IS
RFC 3879 Deprecating Site Local Addresses
RFC 3956 Embedding the RP Address in IPv6
MCAST Address
201
RFC 4893 BGP Support for Four-octet AS Number
Space
RFC 5059 Bootstrap Router (BSR) Mechanism for
(PIM)
RFC 5065 Autonomous System Confederations for
BGP
RFC 5095 Deprecation of Type 0 Routing Headers in
IPv6
RFC 5186 IGMPv3/MLDv2/MCAST Routing Protocol
Interaction
RFC 5187 OSPFv3 Graceful Restart
RFC 5240 PIM Bootstrap Router MIB
RFC 5250 The OSPF Opaque LSA Option
RFC 5291 Outbound Route Filtering Capability for
BGP-4
RFC 5292 Address-Prefix-Outbound Route Filter for
BGP-4
RFC 5301 Dynamic Hostname Exchange
Mechanism for IS-IS
RFC 5302 Domain-wide Prefix Distribution with IS-IS
RFC 5303 3Way Handshake for IS-IS P2P
Adjacencies
RFC 5304 IS-IS Cryptographic Authentication
RFC 5306 Restart Signaling for IS-IS
RFC 5308 Routing IPv6 with IS-IS
RFC 5309 P2P operation over LAN in link-state
routing
RFC 5310 IS-IS Generic Cryptographic
Authentication
RFC 5340 OSPF for IPv6
RFC 5396 Textual Representation AS Numbers
RFC 5398 AS Number Reservation for
Documentation Use
RFC 5492 Capabilities Advertisement with BGP-4
RFC 5668 4-Octet AS Specific BGP Extended
Community
RFC 5798 Virtual Router Redundancy Protocol
(VRRP) Version 3
RFC 6164 Using 127-Bit IPv6 Prefixes on InterRouter Links
RFC 6296 IPv6-to-IPv6 Network Prefix Translation
RFC 6549 OSPFv2 Multi-Instance Extensions
Network Security and Policy Management
Web-based Authentication
Convergence Endpoint Discovery with Dynamic
Policy Mapping
(Siemens HFA, Cisco VoIP, H.323, and SIP)
Multiple Authentication Types per Port
Simultaneously
Multiple Authenticated users per Port with unique
policies per user/
End System (VLAN association independent)
RFC 3580 IEEE 802.1 RADIUS Usage Guidelines,
with VLAN to Policy Mapping
Worm Prevention (Flow Set-Up Throttling)
ARP Storm Prevention
MAC-to-Port Locking
Stateful Intrusion Detection System Load Balancing
Stateful Intrusion Prevention System and Firewall
Load Balancing
Behavioral Anomaly Detection/Flow Collector (nonsampled Netflow)
Static Multicast Group Provisioning
Multicast Group, Sender and Receiver Policy Control
Class of Service
Weighted Fair Queuing with Shaping
Up to 3,072 rate limiters for S130 Class products
and up to 12,288
rate limiters for S150 Class products
Packet Count or Bandwidth based Rate Limiters.
(Bandwidth
Thresholds between 8 Kbps and 4 Gbps)
Enterasys Network Management Suite (NMS)
NMS Console
NMS Policy Manager
NMS NAC Manage
202
Network Management
SNMP v1/v2c/v3
Web-based Management Interface
Industry Common Command Line Interface
Multiple Software Image Support with Revision Roll
Back
COM Port Boot Prom and Image Download via
ZMODEM
Telnet Server and Client
Secure Shell (SSHv2) Server and Client
Cabletron Discovery Protocol
Cisco Discovery Protocol v1/v2
Syslog
FTP Client
Netflow version 5 and version 9
RFC 2865 RADIUS
RFC 2866 RADIUS Accounting
TACACS+ for Management Access Control
Management VLAN
15 Many to-One-port, One-to-Many Ports, VLAN
Mirror Sessions
Standard MIB Support
RFC 1156/1213 & RFC 2011 IP-MIB
RFC 1493 Bridge MIB
RFC 1659 RS-232 MIB
RFC 1724 RIPv2 MIB
RFC 1850 OSPF MIB
RFC 2012 TCP MIB
RFC 2013 UDP MIB
RFC 2096 IP Forwarding Table MIB
RFC 2578 SNMPv2 SMI
RFC 2579 SNMPv2-TC
RFC 2613 SMON MIB
RFC 2618 RADIUS Client MIB
RFC 2620 RADIUS Accounting MIB
RFC 2674 802.1p/q MIB
RFC 2737 Entity MIB
RFC 2787 VRRP MIB
RFC 2863 IF MIB
RFC 3414 SNMP User-Based SM MIB
RFC 3417 SNMPv2-TM
RFC 3418 SNMPv2 MIB
RFC 3621 Power Ethernet MIB
RFC 3636 MAU MIB
RFC 4022 MIB for the Transmission Control Protocol
RFC 4022 MIB for the Transmission Control Protocol
(TCP)
RFC 4087 IP Tunnel MIB
RFC 4113 MIB for the User Datagram Protocol (UDP)
RFC 4292 IP Forwarding MIB
RFC 4293 MIB for Internet Protocol (IP)
RFC 4382 MPLS/BGP Layer 3 Virtual Private
Network (VPN) MIB
RFC 4444 MIB for IS-IS
RFC 4624 MSDP MIB
RFC 4560 DISMAN-PING-MIB
RFC 4560 DISMAN-TRACEROUTE-MIB
RFC 4560 DISMAN-NSLOOKUP-MIB
RFC 4750 OSPFv2 MIB
RFC 5060 PIM MIB
RFC 5240 PIM Bootstrap Router MIB
RFC 5643 OSPFv3 MIB
IEEE 8023 LAG MIB
RSTP MIB
USM Target Tag MIB
U Bridge MIB
Draft-ietf-idmr-dvmrp-v3-10 MIB
Draft-ietf-pim-sm-v2-new-09 MIB
SNMP-REARCH MIB
IEEE 802.1PAE MIB
Private MIB Support
Ct-broadcast MIB
Ctron-CDP MIB
Ctron-Chassis MIB
Ctron-igmp MIB
Ctron-q-bridge-mib-ext MIB
Ctron-rate-policying MIB
Ctron-tx-queue-arbitration MIB
Ctron-alias MIB
Cisco-TC MIB
Cisco-CDP MIB
Enterasys-configuration-management MIB
Enterasys-MAC-locking MIB
Enterasys-convergence-endpoint MIB
Enterasys-notification-authorization MIB
Enterasys-netfow MIB
Enterasys-license-key MIB
Enterasys-aaa-policy MIB
Enterasys-class-of-service MIB
Enterasys-multi-auth MIB
Enterasys-mac-authentication MIB
Enterasys-pwa MIB
Enterasys-upn-tc MIB
Enterasys-policy-profile MIB
203
Maße der Chassis der S-Serie:
 S8-Chassis: 63.96 cm x 44.70 cm x 47.32 cm(25.19‖ x 17.60‖ x 18.63‖), 14.5U
 S8-Chassis-POE4: 72.87 cm x 44.70 cm x 47.32 cm (28.69‖ x 17.60‖ x 18.63‖),
16.5U
17.5U
 S6-Chassis: 88.7 cm x 44.70 cm x 47.35 cm (34.92‖ x 17.59‖ x 18.64‖), 20U
22U
 S4-Chassis: 35.56 cm x 44.70 cm x 47.32 cm (14.00‖ x 17.60‖ x 18.63‖), 8U
10U
 S3-Chassis-A: 31.11 cm x 44.70 cm x 47.32 cm (12.25‖ x 17.60‖ x 18.63‖), 7U
 S3-Chassis-POE4: 37.46 cm x 44.70 cm x 47.32 cm (14.75‖ x 17.60‖ x 18.63‖), 9U
 S1-Chassis-A: 8.69cm x 44.88cm x 60.27cm (3.42‖ x 17.67‖ x 23.73‖), 2U
 SSA S130 and S150 (S-Series Stand Alone ): 4.44 cm x 44.70 cm x 59.43 cm
(1.75‖ x 17.60‖ x 23.40‖), 1U
 SSA S180 (S-Series Stand Alone ), 4.37cm x 44.73 cm x 57.30 cm (1.72‖ x 17.61‖
x 22.55‖),1U
Agency und Standard Spezifikationen
 Sicherheit: UL 60950-1, FDA 21 CFR 1040.10 and 1040.11, CAN/CSA C22.2 No.
60950-1, EN 60950-1, EN 60825-1, EN 60825-2, IEC 60950-1, 2006/95/EC
(Low Voltage Directive)
 Elektromagnetische Kompatibilität: FCC 47 CFR Part 15 (Class A), ICES- 003 (Class
A), EN 55022 (Class A), EN 55024, EN 61000-3-2, EN 61000-3-3, AS/NZ CISPR22 (Class A). VCCI V-3. CNS 13438 (BSMI), 2004/108/EC (EMC Directive)
Power over Ethernet (PoE) Spezifikationen
 IEEE 802.3af
 IEEE 802.3at
 Total PoE Power: 16.000 Watt @ 240vAC Input oder 8.000 Watt @ 120vAC Input (8
Bay PoE power shelf)
 Total PoE Power: 8.000 Watt @ 240vAC Input oder 4.000 Watt @ 120vAC Input (4
Bay PoE power shelf)
 Total PoE Power: 500 Watt (SSA Switch)
204
 Unterstützt Class 1 (4 W), Class 2 (7,5 W), Class 3 (15,4 W) und Class 4 PoE
Geräte
 Ein voll bestücktes S-Serie Multi-Slot Chassis kann ein Klasse 3 PoE Gerät auf
alles Ports gleichzeitig versorgen
 Ein S-Serie SSA Switch kann ein Klasse 3 PoE Gerät auf 32 Ports gleichzeitig
versorgen
 Automatisierte oder manuelle PoE Stromverteilung
 Pro-Port enable/disable, Power Level, Prior-Sicherheit, Überlastung und
Kurzschlussschutz
 Systemstromüberwachung
205
Chassis Modellinformationen:
Part Number
Description
S8 Chassis
S8-Chassis
S-Series S8 Chassis and fan trays (Power supplies ordered separately)
S8-Chassis-POE4
S8-POE-8BAY-UGK
S-Series S8 Chassis and fan trays with 4 bay PoE subsystem (System and PoE Power
supplies ordered separately)
S-Series S8 Chassis and fan trays with 8 bay PoE subsystem (System and PoE Power
S-Series 8 bay PoE upgrade kit for the S8 (PoE Power supplies ordered separately)
S8-POE-4BAY-UGK
S8-Midmount-Kit
S-Series S8 Chassis 19‖ midmount installation rack kit can be used with all S8 chassis
types
S8-Chassis-POE8
S6 Chassis
S6-Chassis
S6-Chassis-POE4
S6-Midmount-Kit
S6-FAN
S-Series S6 Chassis and fan trays. Front to back cooling. (Power supplies ordered
separately)
S-Series S6 Chassis and fan tray with 4 bay POE subsystem. Front to back cooling.
(System and POE power supplies ordered separately)
S-Series S6 Chassis 19‖ midmount installation rack kit, can be used with all S6 Chassis
types
S-Series Fan Tray (For use w/ S6)
S4 Chassis
S4-Chassis
S-Series S4 Chassis and fan tray (Power supplies added separately)
S4-Chassis-POE4
S-Series S4 Chassis and fan tray with 4 bay PoE subsystem (System and PoE Power
S4-POE-4BAY-UGK
S4-Midmount-Kit
S-Series S4 Chassis 19" midmount installation rack kit, can be used with all S4 Chassis
types
S3 Chassis
S3-Chassis-A
S-Series S3 Chassis and fan tray (Power supplies ordered separately)
S3-Chassis-POEA
S-Series S3 Chassis and Fan Tray with 4 bay PoE subsystem (System and PoE Power
S3-POE-4BAY-UGK
S3-Midmount-Kit
S-Series S3 Chassis 19" midmount installation rack kit, can be used with all S3 Chassis
types
S1-Chassis
S1-Chassis-A
S1-Mount-Kit
S1-FAN-A
S-Series S1 Chassis and fan tray. Compatible with Fabric Modules only. (SSA 1000W
Power supplies ordered separately)
S-Series S1 Chassis 19‖ accessory mounting kit. Supports midmount and rail kit
installation options for 2 and 4 post racks, can be used with the S1 chassis.
S1 Chassis fan tray, Spare (For use w/S1)
Power Supplies and Fans
S-AC-PS
S-DC-PS
S-Series AC power supply, 20A 100-240 VAC input (1200W/1600W) (For use
w/S3/S4/S6/S8)
S-Series AC power supply, 15A, 100-240 VAC input, (930W/1600W) (For use
w/S3/S4/S6/S8)
S-Series POE power supply, 20A, 100-240 VAC input, (1200/2000 W) (For Use in 4/8
Bay PoE power subsystems)
S-Series 48-60v DC Power Supply (For Use w/ S3/S4/S6/S8) (1200W)
S-FAN
S-Series Fan Tray (For use w/ S3/S4/S8)
S-AC-PS-15A
S-POE-PS
206
I/O und I/O Fabric Modulinformationen
Part Number
Description
S130 I/O Fabric Modules
ST4106-0348-F6
S-Series I/O-Fabric S130 Class Module, 1280Gpbs Load Sharing -48Ports
10/100/1000Base-TX via RJ45 with PoE (802.3at) and one Type2 option slot ( used in
S1/S4/S6/S8)
S130 I/O Modules
ST4106-0248
SG4101-0248
S-Series I/O S130 Class Module - 48 Ports 10/100/1000BASE-T via RJ45 with PoE
(802.3at) and one Type1 option slot (Used in S3/S4/S6/S8)
S-Series I/O S130 Class Module - 48 Ports 1000BASE-X ports via SFP and one Type1
option slot (Used in S3/S4/S6/S8)
S140 I/O Modules
ST2206-0848
SK2008-0832
S-Series S140 I/O Module - 48 Ports 10/100/1000BASE-TX via RJ45 with PoE (802.3at)
and two Type2 option slot (Used in S3/S4/S6/S8)
S-Series S140 I/O Module - 48 Ports 1000BASE-X ports via SFP and two Type2 option
slot (Used in S3/S4/S6/S8)
S-Series S140 Class I/O Module - 32 Ports 10GBASE-X via SFP+ (Used in S3/S4/S6/S8)
SK2009-0824
S-Series S140 Class I/O Module -24 Ports 10GBASE-T via RJ45 (Used in S3/S4/S6/S8)
SG2201-0848
S180 I/O Fabric Modules
SL8013-1206-F8
SK8008-1224-F8
SK8009-1224-F8
ST8206-0848-F8
SG8201-0848-F8
S-Series S180 Class I/O-Fabric Module, Load Sharing - 6 Ports 40GBASE-X Ethernet via
QSFP, 4 ports VSB via SFP+ (Used in S1/S4/S6/S8)
S-Series S180 Class I/O-Fabric Module, Load Sharing - 24 Ports 10GBASE-X via SFP+, 4
ports VSB via SFP+ (Used in S1/S4/S6/S8)
S-Series S180 Class I/O-Fabric Module, Load Sharing - 24 Ports 10GBASE-T via RJ45, 4
ports VSB via SFP+ (Used in S1/S4/S6/S8)
S-Series S180 Class I/O-Fabric Module, Load Sharing - 48 Ports 10/100/1000BASE-T
via RJ45 with PoE (802.3at) and two Type2 option slots (Used in S1/S4/S6/S8)
S-Series S180 Class I/O-Fabric Module, Load Sharing - 48 Ports 1000BASE-X via SFP
and two Type2 options slots (Used in S1/S4/S6/S8)
S180 I/O Modules
SL8013-1206
SK8008-1224
SK8009-1224
S-Series S180 Class I/O Module
- 6 Ports 40GBASE-X Ethernet via QSFP, VSB expansion slot (Used in S4/S6/S8)
-24 Ports 10GBASE-X via SFP+, VSB expansion slot (Used in S4/S6/S8)
-24 Ports 10GBASE-T via RJ45, VSB expansion slot (Used in S4/S6/S8)
Option Modules
SOK2208-0102
SOK2208-0104
SOK2208-0204
SOG2201-0112
SOT2206-0112
SOTK2268-0212
SOGK2218-0212
SOV3208-0202
S-Series Option Module (Type1) - 2 10GBASE-X Ethernet ports via SFP+ (Compatible with
Type1 & Type2 option slots)
Type1 & Type2 option slots)
Type2 option slots)
S-Series Option Module (Type1) - 12 1000BASE-X ports via SFP (Compatible with Type1
& Type2 option slots)
S-Series Option Module (Type1) - 12 Ports 10/100/1000BASE-TX via RJ45 with PoE
(802.3at) (Compatible with Type1 & Type2 option slots)
S-Series Option Module (Type2) - 10 Ports 10/100/1000BASE-T via RJ45 with PoE and
2 ports 10GBASE-X via SFP+ (Compatible with Type2 option slots)
S-Series Option Module (Type2) - 10 Ports 1000BASE-X via SFP and 2 ports 10GBASE-X
via SFP+ (Compatible with Type2 option slots)
S-Series Option Module (Type2)
- 2 port VSB Option Module (Compatible with Type2 option slots on S140/S180 modules
only)
Expansion Module
SOV3008-0404
S-Series VSB Expansion Module
- 4 port VSB Module (Compatible with S180 Class 10Gb/40Gb I/O modules only)
207
SSA & Lizenzmodellinformationen
Part Number
Description
SSA S130/S150 (S-Series Stand Alone)
SSA-T4068-0252
S-Series Stand Alone (SSA) - S130 Class - 48 Ports 10/100/1000BASE-T via RJ45 with
PoE (802.3at) and 4 10GBASE-X Ethernet ports via SFP+ (Power supplies not included Please order separately)
SSA-T1068-0652A
S-Series Stand Alone (SSA) - S150 Class - 48 Ports 10/100/1000BASE-T via RJ45 with
PoE (802.3at) and 4 10GBASE-X Ethernet ports via SFP+ (Power supplies not included Please order separately)
SSA-AC-PS-625W
S-Series Standalone (SSA S130 and S150 Class) - AC power supply, 15A, 100-240VAC
input, (625W)
SSA-AC-PS-1000W
S-Series Standalone (SSA S130 and S150 Class) and S1-Chassis - AC and POE power
supply, 15A, 110-240VAC input, (1000/1200W)
SSA-FAN-KIT
S-Series Stand Alone (SSA S130 and S150 Class) - Replacement fan assembly (Single
Fan)
SSA S180 (S-Series Stand Alone)
SSA-T8028-0652
SSA-G8018-0652
SSA-FB-MOUNTKIT
SSA-FB-AC-PS-A
SSA-FB-AC-PS-B
SSA-FB-FAN
S-Series S180 Class Standalone (SSA) - 48 Ports 10/100/1000BASE-T via RJ45 and 4
ports 10GBASE-X via SFP+, Front to Back cooling (Power supplies not included - Please
order separately)
S-Series S180 Class Standalone (SSA) - 48 Ports 1000BASE-X via SFP and 4 ports
10GBASE-X via SFP+, Front to Back cooling (Power supplies not included - Please order
separately)
Optional Rack Mount Kit for the SSA 'Front to Back' models.
S-Series Standalone (SSA Front to Back) - AC power supply, 15A, 100-240VAC input, I/O
side exhaust
S-Series Standalone (SSA Front to Back) - AC power supply, 15A, 100-240VAC input, I/O
side intake
S-Series Standalone (SSA Front to Back) - Spare fan tray assembly
Optional Licenses
S-EOS-L3-S130
S-EOS-PPC
S-EOS-VSB
S-Series Advanced Routing License (For use on S130 Class Modules) (Enables VRF,
BGP, Tunneling)
S-Series Per Port User Capacity License Upgrade (For use on S130 Class Modules)
SSA-EOS-VSB
S-Series Multi-slot Virtual Switch Bonding License Upgrade (For use on
S130/S140/S150 Class Modules)
S-Series SSA Virtual Switch Bonding License Upgrade (For use on SSA Only)
SSA-EOS-2XUSER
SSA180/SSA150 double user capacity license
S1-EOS-VSB
S-Series S1 Chassis Virtual Switch Bonding License Upgrade (For use on S1-Chassis-A
/S1-Chassis Only)
208
Enterasys 7100 Serie
Die Enterasys 7100er-Serie besteht aus Ethernet-Switches mit hoher Portdichte. Die
hochleistungsfähigen 10-Gigabit Ports sind auf den Bedarf in heutigen Data-CenterArchitekturen zugeschnitten. Die Geräte sind dafür gerüstet, Anwendungen mit hohen
Bandbreitenanforderungen und geringer Latenz zu unterstützen.
Die Switche bieten hochflexible Konnektivitätsoptionen. Verbindungen lassen sich über
SFP+-Module, Direct Attach Cables oder 10GBASE-T herstellen. Es gibt Varianten mit 24
und 48 Ports. 1-Gigabit, 10-Gigabit- und 40-Gigabit-Ports sind verfügbar.
Bis zu 64 10-Gigabit-Ethernet-Ports mit Leitungsgeschwindigkeit in einer Rackeinheit
nutzen den spärlichen Platz für Server und Storage in Data-Center-Anwendungen mit
Top-of-Rack-Design optimal aus. Dabei lässt sich der Luftstrom an die vorhandene
Kühlungsarchitektur anpassen.
Die 10G Switches der 7100er Serie gibt es in den folgenden Konfigurationen:




7148 – 48x ports 1/10Gb SFP+ mit 4x 10/40Gb QSFP+ ports
7124 – 24x ports 1/10Gb SFP+ mit 4x 10/40Gb QSFP+ ports
7148T – 48x ports 1/10GBASE-T mit 4x 10/40Gb QSFP+ ports
7124T – 24x ports 1/10GBASE-T mit 4x 10/40Gb QSFP+ ports
Alle Systeme unterstützen redundante, modulare Stromversorgungen, Lüftermodule und
Enterasys VSB (Virtual Switch Bonding) für den Einsatz in hochverfügbaren Umgebungen
und kritische Anwendungen.
Die 7100er Serie gehört zur Enterasys OneFabric Architektur. OneFabric unterstützt
Unternehmen dabei, einen unkomplizierten und einheitlichen Netzwerkzugang in immer
stärker virtualisierten Umgebungen zu realisieren. Die Switches bieten Durchblick und
209
Übersicht, während virtuelle Maschinen in Betrieb genommen werden und sich
innerhalb der Infrastruktur bewegen. DCB (Data Center Bridging) unterstützt die
Konvergenz zwischen LAN und Storage-Daten. Mit der höheren aggregierten Kapazität
können Data Center effektiv skalieren – ohne Kompromisse bei Latenz- und
Verfügbarkeitsanforderungen. Die Integration in das Management mit OneFabric
Control Center automatisiert viele Administrationsvorgänge. so wird im Detail bei
laufendem Betrieb durchschaubar, wie kritische Ressourcen des Rechenzentrums
funktionieren und die Ressourcen lassen sich steuern – vom Edge über den Core bis ins
Data Center. Bandbreiten und Prioritäten sind zentral bereitstellbar. Das garantiert eine
einheitliche, umfassende Netzwerkkonfiguration.
Standards und Protokolle
Loop Protect
802.3x Flow Control
Jumbo Packet (9216 bytes)
RFC 1191 Path MTU Discovery
802.3an 10GBASE-T (copper)
Link Flap Detection
802.3ba 40 Gigabit Ethernet
Dynamic Egress (Automated VLAN Port
802.1Q VLANs
Configuration)
802.1D MAC Bridges
IGMP v1/v2/v3
802.1w Rapid re-convergence of Spanning
IGMP snooping
Tree
IGMP querier
802.1s Multiple Spanning Tree - up to 16
IPv6 Multicast Listener Discovery (MLDv1/v2)
instances
MLD snooping
802.1t – Path Cost Amendment to 802.1D
MLD querier
802.1AX-2008 LACP
GARP VLAN Registration Protocol (GVRP)
- 802.3ad Link Aggregation
Multiple VLAN Registration Protocol (MVRP/
- up to 64 groups with up to 8 ports in a
MRP)
group
(DCBx )
802.1Qaz
- Application Priority
- Enhanced Transmission Selection (ETS )
802.1Qbb Priority Flow Control (PFC)
- Data Center Bridge Exchange Protocol
802,1Qau Congestion Notification (CN)
210
QoS
802.1p – Class of Service
Weighted Round Robin
Ingress rate limiting
Transmit queue shaping
ToS/DSCP Marking/Remarking
Security
(VLAN association independent)
RFC 3580 IEEE 802.1 RADIUS Usage
Port Web-based Authentication (PWA)
Guidelines, with VLAN to Policy Mapping
Enterasys dynamic policy
RADIUS snooping
Convergence Endpoint (CEP) Discovery with
MAC-to-Port Locking - static and dynamic
Dynamic Policy Mapping (Siemens HFA,
Cisco VoIP, H.323, and SIP)
Host CPU Denial of Service (DoS) protection
Multiple Authentication Types per Port
Simultaneously
MSCHAP RADIUS authentication
IPsec RADIUS connection
Multiple Authenticated users per Port with
802.1AE MACsec Hardware Capable
unique policies per user/End System
High Availability
High Availability Firmware Upgrade (HAU)
Virtual Switch Bonding (VSB) for up to two
Redundant hot swappable fan modules
systems
Redundant hot swappable power supplies
Enterasys Network Management
NMS Console
NMS NAC Manager
NMS Policy Manager
Data Center Manager (DCM)
Network Management
211
Standard MIB Support
RFC 1156/1213 & RFC 2011 IP-MIB
RFC 2863 IF MIB
RFC 1493 Bridge MIB
RFC 1659 RS-232 MIB
RFC 2578 SNMPv2 SMI
RFC 2579 SNMPv2-TC
RFC 3417 SNMPv2-TM
RFC 3418 SNMPv2 MIB
RFC 3636 MAU MIB
RFC 2012 TCP MIB
RFC 4022 MIB for the Transmission Control
RFC 2013 UDP MIB
Protocol (TCP)
RFC 4113 MIB for the User Datagram Protocol (UDP)
RFC 4293 MIB for Internet Protocol (IP)
IEEE 8023 LAG MIB
RFC 3414 SNMP User-Based SM MIB
RSTP MIB
USM Target Tag MIB
RFC 2613 SMON MIB
U Bridge MIB
RFC 2674 802.1p/q MIB
SNMP-REARCH MIB
RFC 2737 Entity MIB
IEEE 802.1PAE MIB
212
Spezifikationen
7148
7124
7148T
7124T
Switching Throughput Mpps
952 Mpps
595 Mpps
952 Mpps
595 Mpps
Switching Capacity
1.28 Tbps
800 Gbps
1.28 Tbps
800 Gbps
Max 10Gb Ethernet Ports
64
40
64
40
MAC Address Table
128K
128K
128K
128K
VLANs Supported
4,094
4,094
4,094
4,094
Packet Buffers
9MB
9MB
9MB
9MB
Dimensions (H x W x D), Rack
Units
1 Rack Unit high
4.37 cm H x
44.73cm W x
43.40cm D
1.72‖ H x 17.61‖
W x 17.086‖ D
1 Rack Unit high
4.37 cm H x
44.73cm W x
43.40cm D
1.72‖ H x 17.61‖
W x 17.086‖ D
1 Rack Unit high
4.37 cm H x
44.73cm W x
43.40cm D
1.72‖ H x 17.61‖
W x 17.086‖ D
1 Rack Unit high
4.37 cm H x
44.73cm W x
43.40cm D
1.72‖ H x 17.61‖
W x 17.086‖ D
Net Weight
7.12 kg (15.7 lb)
7.12 kg (15.7 lb)
7.12 kg (15.7 lb)
7.12 kg (15.7 lb)
Physical Ports
(48) 1Gb/10Gb
SFP+
ports
(4) 10Gb/40Gb
QSFP+ ports
(1) Console port
(1) Micro-USB port
(24) 1Gb/10Gb
SFP+
ports
(4) 10Gb/40Gb
QSFP+ ports
(1) Console port
(1) Micro-USB
port
(48) 1Gb/10Gb
10GBASE-T ports
(4) 10Gb/40Gb
QSFP+ ports
(1) Console port
(1) Micro-USB
port
(24) 1Gb/10Gb
10GBASE-T ports
(4) 10Gb/40Gb
QSFP+ ports
(1) Console port
(1) Micro-USB port
Power Supplies
Up to two load
sharing redundant
474 W power
supplies
Up to two load
sharing
redundant 474
W power supplies
Up to two load
sharing
redundant 474
W power supplies
Up to two load
sharing redundant
474 W power
supplies
Normal Input Voltage
100 - 240 VAC
100 - 240 VAC
100 - 240 VAC
100 - 240 VAC
Input Frequency
50 - 60 Hz
50 - 60 Hz
50 - 60 Hz
50 - 60 Hz
Max Power Consumption
174 W
138 W
318 W
206 W
Operating Temperature
5° to 40° C
(41° to 104° F)
5° to 40° C
(41° to 104° F)
5° to 40° C
(41° to 104° F)
5° to 40° C
(41° to 104° F)
Non-Operating Temperature
-30° to 73° C
(-22° to 164° F)
-30° to 73° C
(-22° to 164° F)
-30° to 73° C
(-22° to 164° F)
-30° to 73° C
(-22° to 164° F)
Operating Relative Humidity
5% to 95% (noncondensing)
Performance
Power
Environmental
Agency Specifications
Safety
Electromagnetic Compatibility
Environmental
UL 60950-1, FDA 21 CFR 1040.10 and 1040.11, CAN/CSA C22.2, No. 60950-1,
EN 60950-1, EN 60825-1,
EN 60825-2, IEC 60950-1, 2006/95/EC (Low Voltage Directive)
FCC 47 CFR Part 15 (Class A), ICES-003 (Class A), EN 55022 (Class A), EN
55024, EN 61000-3-2,
EN 61000-3-3, AS/NZ CISPR-22 (Class A). VCCI V-3. CNS 13438 (BSMI),
2002/95/EC (RoHS Directive), 2002/96/EC (WEEE Directive), Ministry of
Information Order #39 (China RoHS)
213
Bestellnummern
Part Number
Description
7100-Series Switches
71K11L4-48
71K11L4-24
71K91L4-48
71K91L4-24
7148, 48 ports 1/10Gb SFP+ with 4 10/40Gb QSFP+ ports, includes 2 reversible
fan modules and a two post rack mount kit. Power supplies ordered separately.
7124, 24 ports 1/10Gb SFP+ with 4 10/40Gb QSFP+ ports, includes 2 reversible
fan modules and a two post rack mount kit. Power supplies ordered separately.
7148T, 48 ports 1/10GBASE-T with 4 10/40Gb QSFP+ ports, includes 2 reversible
fan modules and a two post rack mount kit. Power supplies ordered separately.
7124T, 24 ports 1/10GBASE-T with 4 10/40Gb QSFP+ ports, includes 2 reversible
fan modules and a two post rack mount kit. Power supplies ordered separately.
Power Supplies
71A-PS-A
7100 Power Supply, 474W, 100-240VAC input, System I/O side air exhaust
71A-PS-B
7100 Power Supply, 474W, 100-240VAC input, System I/O side air intake
Spares and Accessories
71A-FAN
7100 Fan Module, Spare. Reversible air flow.
71A-RACK-U
7100 Universal rack mount kit for four post rack mount options
40Gb Transceivers and Direct Attach Cables
40GB-SR4-QSFP
40 Gb, 40GBASE-SR4, MM, 100 m OM3 / 150 m OM4, MPO QSFP+
40GB-LR4-QSFP
40 Gb, 40GBASE-LR4, SM, 10 km, LC QSFP+
40GB-C0.5-QSFP
40 Gb, Copper Direct Attach Cable with integrated QSPF+ transceivers, 0.5m
40GB-C01-QSFP
40 Gb, Copper Direct Attach Cable with integrated QSPF+ transceivers, 1m
40GB-C03-QSFP
40GB-C07-QSFP
40GB-F10-QSFP
40 Gb, Active Optical Direct Attach Cable with integrated QSPF+ transceivers, 10m
40GB-F20-QSFP
40 Gb, Active Optical Direct Attach Cable with integrated QSPF+ transceivers, 20m
10GB-4-C03-QSFP
10 Gb, Copper Direct Attach Fan Out Cable with 4 integrated SFP+ and 1 QSFP+
transceivers, 3m
QSFP+ to SFP+ Adapter, supports a single 10Gb Ethernet SFP+ transceiver in a
QSFP+ port (10GB-LRM-SFPP not supported)
MPO 8 parallel fiber connector to 4 x LC duplex connectors, OM3 multi-mode fiber
patch cord, 5m
QSFP-SFPP-ADPT
9380014-5M
214
Kapitel 4 - OneFabric Security
Detect and Locate
Secure Networks™ von Enterasys schützt die Unternehmenswerte durch einen
ganzheitlichen Ansatz. Dafür muss das Netzwerk Gefahren und Angriffe auf Ressourcen
im Netzwerk erkennen und Angreifer IdentiFizieren können. Bevor eine Organisation
Angriffen auf die IT Infrastruktur begegnen kann, ist es unabdingbar genau zu verstehen,
wie Attacken durchgeführt und wie man sie IdentiFizieren kann.
Angriffe
Grundsätzlich kann man dabei zwischen folgenden Angriffstypen unterscheiden:
 automatisierte Angriffe (Viren, Würmer, Trojaner),
 toolbasierte Angriffe,
 gezielte, intelligente, per Hand durchgeführte Angriffe
Automatisierte Angriffe
Manchmal schafft es eine Sicherheitslücke in die Nachrichten. Dann kann man davon
ausgehen, dass Angreifer mit Viren oder Würmern unzureichend geschützten IT Systeme
flächendeckend kompromittiert haben. Waren diese Sicherheitslücken bis zum Angriff
noch unbekannt oder existiert kein Patch dazu, spricht man häufig Zero-DayAttacken/Exploits, umgangssprachlich wird der Begriff auch manchmal in Day-ZeroAngriff/Exploit verfälscht.
Die Bezeichnung leitet sich von der kurzen Zeitspanne zwischen der Entdeckung einer
Sicherheitslücke und erfolgreichen Angriffen (zumeist eines Exploits) auf diese Lücke
her. Unabhängig davon, ob die Sicherheitslücke bekannt ist und ob ein Patch für diese
Sicherheitslücke existiert, folgt ein Schädlings-programm, das eine Sicherheitslücke
automatisiert ausnutzen will, meist einem bestimmten Schema:
 Netzwerkdiscovery und ZielIdentiFizierung (optional)
Bevor ein Wurm oder Virus seinen bösartigen Code an ein Zielsystem sendet,
überprüft der Schädling, ob das Zielsystem überhaupt angreifbar ist. Diese
Informationen erhält der Schädling mit verschiedenen Methoden – vom stupiden
Banner Grabbing bis zum intelligenten TCP-Fingerprint.
 Kompromittierung des Zielsystems
Nachdem das Ziel feststeht, wird der schadhafte Code übermittelt. Dies ist der
215
eigentliche Angriff. Da Angriffe sich meist auf viele unterschiedliche Systeme auf
unter Umständen unterschiedlichen Plattformen zielen, sind sie an sich meistens
sehr stupide und einfach zu erkennen.
 Weiterverbreitung
Ist es gelungen, das Zielsystem zu kompromittieren, versucht das Schadprogramm
sich weiter im Netzwerk zu verbreiten.
Um automatisierte Angriffe zu erkennen, eignen sich zwei Erkennungstechnologien,
solche, die Anomalien registrieren und solche, die Signaturen nutzen.
Toolbasierte Angriffe
Vor einigen Jahren setzte die Durchführung von stack- oder heapbasierten Angriffe noch
Programmierkenntnisse in C und Assembler voraus. Heutzutage gibt es eine Vielzahl von
zum Teil freien Frameworks, die das Ausführen eines Schadprogramms per Knopfdruck
ermöglichen.
Diese Frameworks laden bestimmte Angriffsmodule und bieten dem Angreifer die
Möglichkeit, die dynamischen Parameter eines Angriffs per GUI zu definieren. Dadurch
werden die Hürden zum erfolgreichen Durchführen eines Angriffs enorm gesenkt.
Zumeist erstellen diese Frameworks einen Exploit, der sich in die folgenden Unterteile
aufgliedern lässt:
 Socket Aufbau
Bevor der Angriffscode übermittelt werden kann, muss eine Netzwerkverbindung
zum Zielsystem aufgebaut werden.
 Shell Code / Angriffscode
Nachdem die Verbindung zum Zielsystem initialisiert worden ist, wird der
Angriffscode über den Socket verschickt. Da die Rücksprungadresse und das
Offset nicht bekannt sind, werden sehr viele verschiedene Rücksprungadressen
durchprobiert. Da bei diesen toolgesteuerten Angriffen oftmals auch die
verschiedenen Speichergrößen unbekannt sind, werden sehr viele NOPs über das
Netzwerk versendet – daraus resultiert ein großer Speicherbedarf für das NOPSledge.
 Informationsaufbereitung
Sobald der Angriffscode übermittelt wurde, werden die daraus resultierenden
Informationen (zum Beispiel der Inhalt bestimmter Dateien des Zielsystems) für
216
den User aufbereitet.
Obwohl diese Framework-Angriffe gezielt sind und sich somit von den automatisierten
Angriffen unterscheiden, sind ihre Angriffsschemata sehr offen. Nur das garantiert eine
sehr hohe Erfolgsquote. Framework-basierte Angriffe fallen unter anderem durch
folgende Merkmale auf:





große NOP-Bereiche,
Angriffscode wird oft übermittelt (da er die Rücksprungadresse enthält),
auffällige Offsets,
Standard-Shell-Code,
angegriffenes Programm wird unsauber beendet (kein exit(0) innerhalb des Shell
Codes).
Sie lassen sich am besten durch signaturbasierte Systeme erkennen.
Gezielte Angriffe
Ein gezielter Angriff zeichnet sich dadurch aus, dass der eigentliche Angriffscode sehr
schlank und sauber geschrieben ist und dass die Verbindungen und die Codesprünge
sauber geschlossen werden.
Die Rücksprungadresse wird oftmals durch einen ersten Vorabangriff geschätzt, so dass
der Angriffscode nicht zu oft über den Socket geschickt werden muss. Je nach zu
überschreibendem Puffer kann ein gezielter Angriff mit einem Shell Code von 179 Bytes
bis 380 Bytes Gesamtlänge liegen (je nach NOP-Slegde).
Angriffe der neuen Generation (wie Cross Site Scripting) sind zumeist sehr gezielt und
können innerhalb eines Paketes erfolgreich übermittelt werden. Aufgrund der
verschiedenen Evasionsmöglichkeiten, die sich dem Angreifer bieten, um seinen Angriff
zu verschleiern, stellen diese fokussierten Attacken die größte Herausforderung an
präventive Sicherheitssysteme dar.
Gezielte Angriffe lassen sich am besten durch die Kombination von signaturbasierten
Systemen und System Information Management Systemen erkennen.
Zur besseren Veranschaulichung wie Angriffe funktionieren, wie sie erkannt und
verhindert werden können, folgend die Beschreibung dreier bekannter und weit
verbreiteter Angriffsmuster.
Denial of Service
Denial of Service Attacken gelten oftmals als stupide Attacken von Angreifern, die nicht
217
in der Lage sind, ein System zu kompromittieren und es deshalb einfach „nur―
ausschalten wollen. In Wahrheit sind Denial of Service Attacken jedoch oftmals
„Vorboten― eines stack- oder heapbasierten Angriffs (Buffer Overflow Attacke zur
Übernahme des Dienstes) oder dienen dazu, die Netzwerkdienste, die ein
ausgeschalteter Service offeriert hat, zu übernehmen.
Beliebte Angriffsziele sind DHCP Server, die zumeist über Broadcasts angesprochen
werden und oftmals keinerlei Authentifizierung unterliegen. Schafft es ein Angreifer,
einen DHCP Server auszuschalten, kann er seinen Dienst übernehmen und in die
Netzwerkkonfiguration von Endsystemen eingreifen. Dies kann Einfluss auf die Access
Control Listen im Netzwerk und auf Update-Verhalten haben (bestimmte SicherheitsGateway-Systeme installieren Updates über NFS mounts, die sie vom DHCP Server
erhalten).
Buffer Overflow
Angriffe, die mit dem Überschreiben von Puffern zusammenhängen, sind für die meisten
erfolgreichen Angriffe verantwortlich. Die Tendenz geht jedoch von pufferbezogenen
Angriffen weg und hin zu Cross Site Scripting-bezogenen Angriffen. Im Folgenden sind
einige Gründe hierfür aufgeführt:
 Sichere Frameworks für Applikationserstellung und Code Access Security
 Stack Schutz von Betriebssystemen
 Stack Schutzmechanismen für Compiler
Um zu verstehen, wie diese Angriffe funktionieren und zu erkennen, warum diese stetig
an Bedeutung verlieren, ist es wichtig den Programmablauf auf dem „Stack― und dem
„Heap― zu verstehen. Dies würde jedoch den Rahmen dieses Kapitels sprengen.
Cross Site Scripting (XSS)
Cross Site Scripting Attacken gewinnen stetig an Bedeutung. Sie können zu massiven
Problemen führen (bis hin zur Kompromittierung des kompletten Systems), sind extrem
einfach für einen Angreifer zu finden und auszunutzen und oftmals sehr schwer zu
erkennen und zu verhindern.
XSS Angriffe sind zumeist im HTTP, XML und SOAP Bereich beheimatet und basieren auf
der Dynamik der Programmiersprache mit der bestimmte Dienste, die die genannten
Protokolle nutzen, geschrieben sind.
Um zu verstehen, wie Cross Site Scripting Attacken funktionieren, muss der Unterschied
zwischen Hochsprachen und Skriptsprachen verdeutlicht werden. Vereinfacht gesagt
218
wird ein Skript zeilenweise ausgeführt (vom Interpreter). Kommt es zu einem Fehler oder
einer falschen Anweisung endet das Skript in einer bestimmten Zeile. Ein in einer
Hochsprache (z.B. C) geschriebenes Programm wird vor Beginn der ersten Ausführung
kompiliert – grobe Fehler werden also schon bei der Erstellung des Programms erkannt.
Ferner ist es bei Skriptsprachen möglich, Codes während der Laufzeit einzubinden.
Durch Fehler innerhalb des dynamischen Codes ist der Angreifer in der Lage, den
eigenen Code in die Webapplikation einzuschleusen (Skript Code oder
Datenbanksteuerungsbefehle). Dies kann er zum Beispiel durch das Manipulieren
bestimmter URL Variablen erreichen, die zur Laufzeit Teil des ausführenden Codes
werden.
Eine genauere, intensive Betrachtung der verschiedenen Angriffsmuster wird im
Enterasys Networks Pre-Sales-Training vermittelt. Dort werden neben den hier genannten
Angriffsschemata auch man-in-the-middle Attacken und Protokollangriffe detailliert
behandelt
IDS Erkennungstechnologien
Intrusion Detection und Prevention Systeme sind in der Lage die beschriebenen
Angriffsschemata zu erkennen und entsprechend zu reagieren. Wie bereits einleitend
beschrieben,
gibt
es
für
die
verschiedenen
Angriffe
verschiedene
Erkennungstechnologien. Vorab kann also festgehalten werden, dass der bestmögliche
Schutz nur dann gegeben ist, wenn das eingesetzte IDS alle verfügbaren
Erkennungstechnologien vereint und somit in der Lage ist, die jeweils beste Technologie
zur Erkennung und Prävention einzusetzen.
Grundsätzlich kann unter folgenden Erkennungstechnologien unterschieden werden:
 Behavior Based Anomaly Detection
o Die Analyse von Verkehrsbeziehungen mittels Daten aus den
Netzwerkkomponenten, zum Beispiel via Netflow, Sflow, RMON mit
dedizierten Probes oder auch mittels komponentenspezifischer Traps
o Bei hostbasierten Systemen ist hierunter meist die Analyse der System Calls
zu verstehen, um „ungültige― Calls später heraus zu filtern oder die
Analyse
von CPU Last und Memory pro Applikation etc.
 Anomaly Detection
o Die Paketanalyse auf bestimmte Muster hin (bestimmte TCP Flag
Kombinationen gesetzt, etc.)
o Bei Host Sensoren kann man hierunter die Überwachung von Files auf dem
System verstehen („Logfiles werden nie kleiner― oder „/etc/passwd― wird
219
normalerweise nicht geändert)
 Protocol based – Protocol Conformance Analysis und Decoding
o Die Decodierung von Protokollen und Überprüfung der Konformität im
Hinblick auf Standards
 Signature based – Pattern Matching
o Die Analyse des Paketinhaltes in Hinblick auf verdächtige Kombinationen
(Verwendung von bekannten Exploits, Aufruf von ungültigen URLs, etc.)
o Bei Host Sensoren versteht man darunter zum Beispiel die Analyse von
Logdateien
Eine Behavior Based Anomaly Detection basiert darauf typische Verhaltensmuster im
Netzwerk, wie zum Beispiel die mittlere Anzahl von Flows pro Host oder den
durchschnittlichen Durchsatz zu messen und bei starken Abweichungen von diesen
Werten Alarm zu schlagen. Wichtig hierbei ist, dass es sich dabei nicht nur um das
Setzen und Messen von Schwellwerten handelt, sondern um komplexe Algorithmen, die
in der Lage sind, Systemverhalten zu erkennen, zu analysieren und normales Verhalten
in bestimmten Grenzen vorher zu sagen.
Bei der Anomaly Detection und der protokollbasierten Analyse werden "unmögliche"
Datenpakete wie falsch zusammengebaute TCP-Pakete oder fragmentierte IP-Pakete mit
nicht definierten Offsets erkannt. Außerdem werden die Sessions der einzelnen
Verbindungen wieder zusammengesetzt und diese nach Auffälligkeiten analysiert und
Abweichungen von definierten Netzwerk Policies (zum Beispiel, dass Mitarbeiter keine
Peer-to-Peer Programme wie Napster, Kazaa, etc. verwenden sollten) erkannt. Eine
signaturbasierte Lösung kann extrem präzisen Aufschluss über den Angriff geben, da die
gesamte Paketfolge (je nach Produkt) abgespeichert wird: Damit ist auch eine schnelle
Bewertung möglich, ob der Angriff erfolgreich war.
Dafür verwendet das IDS eine Datenbank, in der alle bekannten Signaturen von
Angriffen und Hackertechniken gespeichert sind (dabei handelt es sich um Binärabbilder
bestimmter, typischer Fragmente der durch Angriffstools oder Viren erzeugten
Datenpakete). Diese werden mit dem Datenteil der Pakete verglichen und so erkannt.
Mit signaturbasierten Systemen ist die Erkennung völlig unbekannter Angriffe jedoch
schwierig zu realisieren. Dies gelingt in den Fällen sehr gut, in denen bestimmte
(verschiedene) Angriffe einem bestimmten Muster folgen. Gut lässt sich dies anhand von
Buffer Overflow Angriffen verifizieren, die sich durch das Senden von Shell Code und
NOP-Sledges auszeichnen.
Zusammenfassend kann festgehalten werden, dass Intrusion Detection und Prevention
Systeme Datenpakete aufnehmen, Dateninhalte lesen und bestimmte Technologien
220
anwenden, um festzustellen, ob ein Paket oder ein Kommunikationsfluss integer ist oder
ob es sich um einen Angriff handelt. Zur Verifizierung eines erfolgreichen Angriffs
verwendet das IDS nicht nur das Angriffspaket oder die Angriffspakete. Es bezieht in
seine „Überlegung― auch die Antworten des angegriffenen Systems ein.
Hostbasierte Erkennung versus netzwerkbasierte Erkennung
Angriffserkennung kann, wie bereits beschrieben, auf dem Hostsystem oder im Netzwerk
stattfinden. Bevor auf die verschiedenen Technologien im Detail eingegangen wird,
werden im Folgenden einige Vor- und Nachteile der verschieden Systeme aufgeführt.
Vorteile hostbasierter Erkennung:
 Netzwerkstream wurde bereits vom TCP Stack des Betriebssystems
zusammengesetzt
 Verschlüsselungsproblematiken sind nicht vorhanden
 Komplettes Systemverhalten kann in die Bewertung eines Angriffs einbezogen
werden
Nachteile hostbasierter Erkennung:
 Großer Verwaltungsaufwand: Muss auf jedem Host installiert werden
 Verschiedene Betriebssysteme benötigen verschiedene Clients
 Betriebssystemänderungen können hostbasierte Erkennung beeinflussen
Vorteile netzwerkbasierter Erkennung:
 Änderungen am Betriebssystem des Ziels haben keinen Einfluss auf die
netzwerkbasierte Erkennung
 Geringerer Verwaltungsaufwand: Ein netzwerkbasiertes System kann eine Vielzahl
von Hosts überwachen
Nachteile netzwerkbasierter Erkennung:
 Verschlüsselter Datenverkehr kann zu Problemen bei der Angriffserkennung
führen
 Single Point of Failure
 Lokale Angriffe werden nicht erkannt
Host Intrusion Detection/Prevention (HIDS/HIPS)
Host Intrusion Detection / Prevention Systeme haben einen komplett anderen Aufbau
als netzwerkbasierte Systeme. Diese Systeme haben drei Hauptansatzpunkte:
221
 Kernel Schutz (System Call Hooking)
 Überwachung von Konfigurationsdateien und/oder der Registrierung
 Prüfung der Systemintegrität
Kernel Schutz
Obwohl dies dem Benutzer oftmals verborgen bleibt, sind Betriebssysteme in zwei
Bereiche aufgeteilt. Das Userland, in dem sich Applikationen, Benutzer, Programme und
Prozesse befinden und der Kernelspace, in dem das Betriebssystem und die
Betriebssystemroutinen beheimatet sind. Vereinfacht könnte man sagen, dass die
Schnittstelle zwischen Betriebssystem (das die Dateien und die Hardware exklusiv
verwaltet) und dem Userland die System Calls sind. Diese Calls werden von
Applikationen und Programmen genutzt, um Zugriff auf Betriebssystemressourcen zu
erhalten.
Ein HIDS/HIPS setzt sich jetzt als überwachende Instanz zwischen das Betriebssystem
(den Kernel Space) und der Welt der Applikationen und überwacht, ob die
ankommenden Anfragen valide sind oder ob es sich um Angriffe handelt. Diese
Überwachung kann sich durch mehrere Leistungsmerkmale bemerkbar machen:
 Verhindern des Ausführens von Code auf dem Stack
 Überschreiben von System Calls (Linux – LKM)
Überwachung von Konfigurationsdateien und Registrierung
Ein weiterer wichtiger Bestandteil eines HIDS/HIPS ist die Überwachung von
Systemkonfigurationsdateien
und
Systemregistern
(Windows)
bzw.
Kernel
Konfigurationen (Linux).
So kann das HIDS sichergehen, dass wichtige Systemapplikationen (Firewall,
Antivirenscanner, etc.) auf dem aktuellen Stand sind und noch laufen. Auch Trojaner und
andere Schadprogramme lassen sich dadurch sehr gut IdentiFizieren.
Prüfung der Systemintegrität
Die Systemintegrität ist eine sehr wichtige Aufgabe von Host Intrusion Detection/
Prevention Systemen. Dadurch kann sichergestellt werden, dass wichtige
Systemprogramme bzw. der Code wichtiger Systemprogramme nicht manipuliert wurde.
Das HIDS/HIPS bildet hierzu zu einem Zeitpunkt, an dem das zu überwachende
Systemtool noch integer ist, eine SHA-1 oder MD5 Checksumme des Binärcodes und
agiert sobald sich diese Checksumme ändern.
222
Systemintegrität—Kernel Schutz
Enterasys Networks bietet für viele unterschiedliche Betriebssysteme Hostsensoren an,
die didaktisch sehr einfach über den Enterasys EMS zu verwalten sind. Damit können
die in diesem Kapitel beschriebenen Features einfach und sicher realisiert werden.
Enterasys Host Intrusion Prevention Systeme beschränken sich dabei jedoch nicht nur
auf den hier beschriebenen Betriebssystem- und Systemapplikationsschutz. Für einige
businessrelevante Gebiete (wie Webserver [Internet Information Server und Apache])
gibt es eigene Application Intrusion Prevention Systeme, die für einen idealen Schutz der
entsprechenden Applikation sorgen.
Erweiterungsmöglichkeiten des HIDS
Im Bereich Host Intrusion Detection bietet Enterasys ein SDK (Software Development
Kit) an, das von Kunden, Partnern oder vom Enterasys Professional Services Team
genutzt werden kann, um zusätzliche Leistungsmerkmale in die Produkte zu integrieren.
Der Entwickler kann dabei auf die gesamte Bandbreite der integrierten
Leistungsmerkmale zurückgreifen und somit neue Features schnell und sicher
integrieren.
Das Design ist dabei so realisiert, dass es Entwicklern möglich ist, zusätzliche Features
über eine Programmiersprache ihrer Wahl (z.B. C oder C#) zu realisieren und diese dann
gegen eine von Enterasys bereitgestellte Bibliothek (Library) zu linken. Dadurch muss
sich der Entwickler nicht um die Kommunikation des neu erstellten Features mit der
Enterasys Enterprise Management Suite beschäftigen oder mit sicherheitsbezogenen
Themen wie Authentifizierung und Verschlüsselung – er kann sich voll und ganz auf die
Realisierung des neuen Features konzentrieren.
223
Enterasys stellt in diesem Zusammenhang umfangreiche Beispielprogramme,
Beispielerweiterungen und Hilfsdokumente zur Verfügung, so dass es dem Administrator
oder dem Entwickler schnell möglich ist, sich in die Thematik einzulesen und effizient zu
entwickeln.
Durch die neu geschaffene dot net Schnittstelle ist es nun auch möglich, alle
betriebssystembezogenen Sicherheitsmerkmale, die Microsoft in ihre Produkte
integriert, innerhalb der Enterasys Defense Suite zu nutzen.
Network IDS/IPS
Netzwerkbasierte Intrusion Detection und Prevention Systeme unterscheiden sich in
allen wesentlichen Punkten von hostbasierten Systemen. Ihr interner Aufbau kann
folgendermaßen beschrieben werden:
 Ereigniskomponente:
Sensoren oder der eigene Netzwerkstack nehmen Raw-Daten aus dem Netzwerk
auf und starten das so genannte Preprocessing, das dabei hilft, die Daten in ein
einheitliches Format zu bringen (dies hat den Vorteil, dass man dadurch in der
Lage ist, Signaturen in einem einheitlichen Format zu erstellen). Danach werden
diese vereinheitlichten Daten an die Analysekomponente weitergegeben.
 Analysekomponente:
An dieser Stelle werden die Daten, die von der Ereigniskomponente
gesammelt wurden, analysiert. Bei signaturbasierten Systemen wird der
Paketinhalt gegen die verschiedenen Paketinhalte der Signaturen kreiert.
Sobald eine Signatur anschlägt, wird ein Alarm ausgelöst. Dieser Alarm kann
lediglich ein Logfile oder Datenbankeintrag sein. Sollte es sich bei dem
entsprechenden Deployment um eine DIRS (Dynamic Intrusion Repsonse System)
Installation handeln, kann über ein Alarmtool auch eine Aktion (Ändern der Port
Policy) gestartet werden.
 Monitor und Darstellungskomponente:
Nachdem die Daten intern in einem bestimmten Format vorliegen (Angriffsart,
Angreifer, Ziel, Zeitinformationen, etc.) werden die Daten an dieser Stelle
verständlich (zumeist grafisch) für den Anwender / Administrator
aufbereitet.
Zusammenfassend kann gesagt werden, dass durch die Kombination netzwerk- und
hostbasierter Erkennung ein sehr hoher Schutzfaktor erreicht werden kann, der vor einer
224
Vielzahl verschiedener Angriffsszenarien schützt.
IDS versus IPS versus DIPS
Nachdem nun definiert wurde, wie präventive Sicherheitssysteme Angriffe erkennen
können, werden die Aktionen, die aus diesen Informationen getroffen werden können,
diskutiert.
Detection
Die Erkennung von Angriffen ist die Grundlage jeglicher präventiver
Sicherheitstechnologie (ob inline oder outline). Sollte keine proaktive
Sicherheitsimplementierung gewünscht sein, so kann man durch die Daten, die in
diesem Schritt gesammelt wurden, forensische Nachforschungen betreiben, Angriffe
zurückverfolgen, Beweise auswerten, Systemverhalten überwachen und dokumentieren,
Statistiken über die Sicherheitsentwicklungen erstellen und Datenquellen/Ressourcen
für Security Information and Event Management Systeme bereitstellen, die daraus SoXkonforme Reports erstellen können.
Prevention
Aktive Angriffsverhinderung geschieht zumeist inline. Die Geräte (NIPS) werden also
direkt in den Kommunikationsfluss integriert und entscheiden, ob ein Paket
weitergeleitet werden soll oder nicht. Intrusion Prevention ist ein sehr gutes Werkzeug,
um das Netzwerk und die darin befindlichen Komponenten aktiv vor Angriffen zu
schützen. Der Angreifer selbst bleibt davon jedoch unberührt und hat weiterhin Zugriff
auf die Ressourcen des Netzwerks. Seine Pakete werden lediglich dann verworfen, wenn
es sich dabei um schadhafte Pakete handelt.
Dynamic Response
Distributed IPS basiert auf Intrusion Detection und führt – basierend auf den
Ergebnissen des Intrusion Detection Systems – Aktionen im Netzwerk durch. Je nach
vorhandener Netzwerkinfrastruktur kann dies durch das Ändern einer Port Policy oder
durch das Verbannen eines Users aus einem bestimmten VLAN in ein Anderes
geschehen. Distributed IPS reagiert dabei auf bestimmte Ergebnisse. Wird ein Angriff
durch das Versenden eines einzelnen Paketes erfolgreich durchgeführt, wird das DIPS
diesen Angriff nicht verhindern. Es werden jedoch Aktionen gegen den Angreifer
gefahren, die verhindern, dass dieser weiterhin Schaden im Netzwerk anrichtet.
Auch hier kann zusammenfassend festgehalten werden, dass das größte
Schutzpotential durch die Kombination der verschiedenen Technologien realisiert
225
werden kann.
Dynamic Respone in Multivendor Networks
Enterasys Networks ist der führende Anbieter von Distributed-IPS-Systemen. Enterasys`
Systeme unterstützen sehr viele Fremdsysteme. So kann man nahezu jede
Netzwerkinfrastruktur durch die Kombination von IDS und Enterasys ASM (Automated
Security Manager) über Enterasys DIPS absichern.
Enterasys Intrusion Defense
Die Enterasys Intrusion Defense deckt die klassische Intrusion Detection und Prevention
Lösung ab. Dabei kommen Network und Host Intrusion Detection und Prevention
Systeme zum Einsatz. Alle Komponenten der Intrusion Defense können über eine
einheitliche Oberfläche, den Enterprise Management Server, verwaltet und konfiguriert
werden.
In der aktuellen Version wurde das Management erweitert und bietet nun die
automatische Erkennung von Sensoren, die Konfiguration von Zonen, einen Tuning
Wizard, komplexere Signaturoptionen via FlexFire Binary Signatures. Darüber hinaus
wurde das Reporting mit der Option erweitert direkt den Content hervorzuheben auf den
die Signatur angeschlagen hat.
226
Reporting Interface
Auf der Appliance Seite wird nun einheitlich auf Dell als Basissystem gesetzt, so dass im
gesamten Security Portfolio ein einheitliches Hardware Management möglich ist.
Enterprise Management Server
Der Enterprise Management Server (EMS) besteht aus einer Vielzahl von Komponenten.
Die Policy Management Tools unterstützen eine einfache, zentrale und
unternehmensweite Verwaltung und Überwachung der Enterasys Intrusion Defense
Komponenten. Dazu zählen unter anderem auch Assistenten, die die Einbindung neuer
Sensoren erleichtern und den Konfigurationsaufwand minimieren.
Das Alarmtool bietet eine zentrale Alarm- und Benachrichtigungsverwaltung. Die Security
Information Management Anwendungen ermöglichen das zentrale Überwachen,
Analysieren und Erstellen von Reports für alle Security Ereignisse mit einer Realtime,
Trending und Forensics Konsole.
227
EMS Frontend
Der Enterprise Management Server ist die Grundlage jeder Enterasys Intrusion Defense
Installation und wird zur Konfiguration und Verwaltung benötigt. Der Server ist als
eigenständige Appliance, als Software zur Installation auf eigener Hardware sowie als
integrierte Appliance (EMS+NIDS+HIDS) verfügbar. Eine Hochverfügbarkeit des Systems
kann einfach durch den Einsatz von mehreren EMS Servern gewährleistet werden,
welche während des Regelbetriebs permanent synchronisiert werden. Die EMS Client
Software ist für die Betriebssysteme Windows, Solaris und Linux verfügbar unter
http://www.enterasys.com
Enterasys IDS Komponenten
Eine Enterasys IDS Installation setzt sich aus einem EMS sowie Network und Host
Sensoren zusammen. Dabei stehen EMS und Netzwerksensor als Appliance oder reine
Software zur Verfügung. Für kleine Installationen gibt es hier auch eine Integrated
Appliance, welche in einem Gerät EMS und Netzwerksensor Funktionalität ermöglicht.
Alle Appliances sind in einer Hardware-only Variante erhältlich, in der Preisliste an der
Endung „H― in der Produktnummer erkennbar.
EMS Appliance
228
Die Produktnummern für die EMS Appliances beginnen in der Preisliste mit DEMA-xx, die
letzten beiden Stellen stehen für die Anzahl der verwalteten Systeme. Dabei ist zu
beachten, dass jede verwaltete Appliance als ein System zählt – eine EMS Appliance
und ein Netzwerksensor zählen z.B. als zwei Systeme.
Größe
Anzahl verwalteter Systeme
SE
2 (nur als Software, nicht als
Appliance verfügbar)
ME
25
LE
100
U
unbegrenzt
Die Enterasys Enterprise Management Server Appliances beinhalten die Hardware
(unabhängig von der Lizenz), die vorinstallierte EMS Software sowie die EMS Lizenz.
Ausserdem besteht die Möglichkeit die EMS Software auf einem eigenen Server oder als
virtuelle Appliance einzusetzen.
Netzwerk Sensor
Der Netzwerk Sensor stellt das klassische NIDS dar. NIDS (Network Intrusion Detection
Systeme) haben die Aufgabe Datenpakete innerhalb des Netzwerks zu untersuchen. Sie
arbeiten wie oben bei Intrusion Detection Systeme beschrieben. Durch die Einführung
der Host Intrusion Detection Systeme hat sich der Begriff NIDS für diese
"ursprünglichen" Intrusion Detection Systeme herausgebildet.
Der Network Sensor ist als Appliance, sowie als Software verfügbar. Die Artikelnummern
für die Appliances beginnen mit DNSA-<Bandbreite>-<HW>, wobei die Bandbreiten
unten erläutert werden, die HW entspricht entweder SX-Glas, oder TX-Kupfer. Die
Software Artikelnummern beginnen mit DSNSS7-<Bandbreite>.
Lizenz
Durchsatz
E
10 Mbit/s, (nur als Software verfügbar)
FE
100 Mbit/s
GE250
250 Mbit/s
229
GE500
500 Mbit/s
GIG
1 Gbit/s
MG
2,5 bis 6 Gbit/s (mittels Upgrade)
10GIG
10 Gbit/s
Enterasys Intrusion Prevention und Detection
Die IDP Appliances beinhalten die Hardware, die NIPS Lizenz sowie eine HIDS Lizenz (für
dieses System). Die Appliances sind außerdem mit Fail Safe Open NICs ausgerüstet,
dass heißt bei einem Stromausfall kann das IPS so konfiguriert werden, dass der
Datenverkehr durchgeschleift wird. Die Artikelnummern beginnen mit DIPA<Bandbreite>-(S/T)X; als Bandbreiten sind im Moment 100,250,500,1000 und 2500
(DIPA-MG) Megabit/s verfügbar.
IDS to IPS Upgrade
Die IDS Appliances können auf IPS aufgerüstet werden. Dafür ist eine neue, zusätzliche
Lizenz sowie für die Fail-Open Funktionalität eine andere Netzwerkkarte notwendig. Die
Artikelnummern beginnen mit DSIPS-<Bandbreite>-(S/T)X. Ausnahme hierzu ist das
Upgrade der DNSA-MG MultiGig Appliance zur DIPA-MG mit der Artikelnummer DIPS-MG.
Host Sensor und Web Server Intrusion Prevention
Der Host Sensor ist ein hostbasiertes Intrusion Prevention Werkzeug, das Web Attacken
abwehren kann und die heute gängigen Betriebssysteme in Echtzeit auf Missbrauch und
verdächtige Aktivitäten überwachen kann.
Host Sensoren in Form von Host Intrusion Detection Systeme (HIDS) verfügen in den
meisten Fällen über Komponenten, die Systemprotokolle untersuchen und
Benutzerprozesse überwachen. Fortschrittliche Systeme bieten auch die Möglichkeit
Viren und Trojaner Codes zu erkennen. Das Enterasys HIDS zeichnete sich dadurch aus,
dass es den bekannten NIMDA-Virus bereits bei seiner Verbreitung im September 2001
erkannte ohne ein Update der Signaturdatenbank durchführen zu müssen. HIDS sind
agentenbasiert, dass heißt es sollte auf jedem zu schützenden Server/PC oder auch auf
Firewalls separat installiert werden. Zu beachten ist, dass die IDS Lösung auch das
entsprechende Betriebssystem bzw. Firewall System unterstützen muss.
Der Host Sensor kann auch auf einem dedizierten Analysesystem dazu dienen Logs von
230
kommerziellen Firewalls, Routern, Switchen und anderen IDS Geräten auszuwerten. Die
Korrelation der Meldungen solcher Komponenten ist ein weiterer wichtiger Baustein der
EIP (DIPS).
Enterasys Host Sensor Software
Beinhaltet die Host Sensor Software Lizenz. Die Software ist für die Betriebssysteme
Windows, Linux, Solaris, HPUX und AIX auf https://dragon.enterasys.com verfügbar. Die
Host Sensoren stehen unter der Artikelnummer DSHSS7-(1/25/100/500)-LIC zur
Verfügung; die Zahl gibt dabei die verfügbaren Lizenzen an. Zusätzlich steht eine
WebIPS Lizenz als Add-on für den Hostsensor unter DSHSS7-WebIPS zur Verfügung.
Implementierungsmöglichkeiten von IDS im Netz
In heutigen, geswitchten Umgebungen ist ein IDS erst nach sorgfältiger Überlegung zu
platzieren. Strategische Knotenpunkte (Internetzugang, Partnerzugänge, Serverfarmen,
Domain Controller, Personalabteilung, etc.) sollten von einem IDS abgedeckt werden.
Mögliche Angreifer werden auf der Suche nach einem lohnenden Ziel von den Sensoren
frühzeitig erkannt.
Enterasys IDS Lizenzierung
Die Lizenzverwaltung für das IDS/IPS erfolgt über das Portal unter www.enterasys.com.
Dort kann ein Account angelegt werden über den auch Testlizenzen erstellt werden
können. Des Weiteren werden die nach dem Kauf eines Enterasys Produkts erhaltenen
Lizenznummern in diesem Portal aktiviert und an die Hostnamen der jeweiligen Systeme
gebunden.
Dabei werden auf Seiten des EMS die Anzahl der verwalteten Systeme, sowie für die
Sensoren, deren Funktion und Durchsatz lizenziert. Für den EMS sind die Varianten SE2, ME-25, LE-100, U-Unlimited verfügbar – 2 bedeutet hier die Verwaltung zweier
Systeme, wird also der EMS für das Reporting verwendet, zählt er hier auch als
verwaltetes Gerät. Somit kann nur EMS und ein Netzwerk Sensor verwaltet werden. Zu
beachten ist, dass die genutzten Funktionen auf einem Gerät hier nicht zählen, dass
heißt für den EMS zählt ein System, welches IDS, IPS und Host Sensor betreibt als ein
System.
Auf Seiten der Sensoren sind die Funktionalitäten IDS, IPS , Host IDS und WebIPS
verfügbar. Bei IDS bzw. IPS wird außerdem die verfügbare Bandbreite über die Lizenz
freigeschaltet. Die Funktionen werden jeweils an einen Hostnamen gebunden. Weitere
Informationen finden Sie unter http://www.enterasys.com/products/advanced-securityapps/dragon-intrusion-detection-protection.aspx.
231
System Information and Event Management
Unter SIEM (System Information and Event Management) oder SIM (System Information
Management) versteht man die hohe Kunst, alle vorhandenen Daten aufzunehmen, zu
korrelieren und daraus einen Rückschluss auf eine bestimmtes Ereignis zu treffen.
Einsatzmöglichkeiten für SIEM
Zur besseren Veranschaulichung kann die IST Situation und die SOLL Situation (bezogen
auf Security Information Management) vieler Unternehmen herangezogen werden:
Ist Situation: Eine Vielzahl von unterschiedlichen Systemen offeriert Dienste im
Netzwerk. Die entstehenden Logmessages werden in unterschiedlichen Formaten auf
unterschiedlichen Systemen gehalten und können sensible, wichtige Informationen
enthalten.
Soll Situation: Eine Vielzahl von bestehenden Systemen offeriert Dienste im Netzwerk.
Die entstehenden, unterschiedlich formatierten Logmessages werden zentral
ausgewertet. Die wichtigsten Daten werden in einem High Level Approach dem
entsprechenden Mitarbeiter aufbereitet. Aus verschiedenen Quellen werden in Realtime
sinnvolle Schlüsse gezogen (Korrelation). Im Vordergrund steht die Information und nicht
die Lognachricht.
Die Technologie
Technologisch wird die eben beschriebene SOLL Situation dadurch erreicht, dass alle
Events (ein Event ist eine einzelne Nachricht eines Systems innerhalb der IT
Infrastruktur; dies kann eine Lognachricht eines Syslog Servers sein, ein Alarm eines
Intrusion Detection Systems oder ein Flow Record eines Layer 2 / Layer 3 Systems) in
einer Datenbank gespeichert und korreliert werden. Aus dieser Korrelation wird ein
232
neuer Überevent generiert – der so genannte Offense. Ein Offense ist ein Alarm, der aus
verschiedenen Events generiert wurde. Je mehr Events zu einem Offense
zusammengefasst werden, desto höher ist die Data Reduction Rate. Das SIEM kann
dabei Lognachrichten oder auch Flow Daten von Netzwerkgeräten aufnehmen und diese
in Relation zueinander setzen. Durch die ganzheitliche Strategie von Secure Networks™
ist es im Umkehrschluss wiederum möglich, Aktionen basierend auf den Offenses im
Netzwerk zu starten.
Man könnte SIEM Systeme als technische, virtuelle CIOs im Netzwerk bezeichnen, die
alle erdenklichen Informationen aufnehmen und den Board of Directors (den
Administratoren) dann Anweisungen erteilen. Das Enterasys Security Information &
Event Management (SIEM) ist in der Lage, die vorhandenen Offenses einfach und klar
strukturiert darzustellen. Da das System auch für sehr große Infrastrukturen ausgelegt
ist, ist es mandantenfähig. Jeder Benutzer kann dabei selbst definieren, welche
Informationen er zu Beginn seiner Session sehen möchte. Das Enterasys SIEM ist dabei
wie eine Art Zwiebel aufgebaut. An der obersten Schicht befindet sich das Ergebnis, das
Endresultat, der gezogene Schluss basierend auf verschiedenen korrelierten Events
(Offense). Der Anwender ist jedoch in der Lage sich bis zur Kerninformation vor zu
arbeiten, in dem er (im übertragenen Sinne) Schale für Schale von der Zwiebel entfernt.
Was bringt Enterasys Security Management ...
... für die Finanzorganisation?
 Kosten werden eingespart
 Aufgaben können Mitarbeitern sinnvoll zugewiesen oder automatisiert
übernommen werden
 Die Kosten für die Analyse bzw. Aufbereitung der Daten sinkt signifikant
 Erhöhung des Return on Investments bei Software und Hardware
... für das operative Geschäft?
 Verbesserte Antwortzeiten bei Attacken
 Attacken, Hardware- und Softwarefehler werden besser erkannt. Dadurch können
bestimmte Fehlersituationen besser zugeordnet und Aktionen besser koordiniert
und geplant werden.
 Verbesserte, einfachere Übersicht über Security Events
 Signifikate Erhöhung der proaktiven und präventiven Sicherheit
 Auswirkungen bestimmter Aktionen können besser bewertet werden;
233
Auswirkungen besser berechnet werden.
... für das Business an sich?
 Erhöhung der Stabilität der IT Infrastruktur und damit bessere Verfügbarkeit der
Geschäftsprozesse
 Legal Compliance
 Befolgung aller Regularien
 Minimierung der Auswirkungen für Unbeteiligte
 Risiken werden minimiert. Risiken werden überhaupt erkannt!
Enterasys bietet mit SIEM das führende System, um die eben dargestellten
Leistungsmerkmale effizient abzubilden.
Korrelationsmöglichkeiten mit SIEM
Das Enterasys SIEM ist dabei ferner in der Lage, Ergebnisse von Vulnerability
Assessment Systemen (Sicherheitslücken-Scannern) in die Offense Bewertung
einzubeziehen. Ein intelligentes Framework macht Erweiterungen möglich, die eine
enorm hohe Skalierung auch bei extrem großen Netzwerken und extrem hohen
Datenaufkommen garantiert.
234
SIEM Übersicht
Enterasys bietet ferner durch die Kombination der hier aufgezeigten Systeme (HIDS,
NIDS, SIEM, NAC, etc.) die Möglichkeit auf vielfältige Gefahren mit der entsprechenden
Aktion zu reagieren. Gefahren können dabei auch proaktiv aus dem Netzwerk fern
gehalten werden. Ein wichtiger Bestandteil dieser Secure Network™ Strategie ist es,
dass dabei, wie bereits in diesem Kapitel über System Information und Event
Management zu erfahren, eine Vielzahl von Fremdherstellern einbezogen werden
können.
Schnittstellen zu externen Systemen
Eines der Ziele, die das SIEM verfolgt, ist, dem Administrator bei verifizierten,
schwerwiegenden Problemstellungen (Security Incident, Angriff, abfallende Verfügbarkeit
eines Dienstes, ausgefallener Server, etc.) darzustellen, um was es sich bei diesem
Vorfall genau handelt, wie kritisch dieser ist, was dadurch beeinflusst wird und wer
(welche Identität) dieses Problem verursacht hat.
Dabei offeriert das SIEM dem Administrator nicht nur die IP Adresse des Initiators,
sondern auch weiterführende identitybezogene Informationen (User Name, User Gruppe,
Switch Port, Switch IP Adresse, Name des Switches, Policy, MAC Adresse,
Authentifizierungsmethode und ob der Benutzer „nur― wired oder wireless online ist oder
mehrere Verbindungsmöglichkeiten nutzt (z.B. wired und wireless und zusätzlich VPN).
235
Asset-Informationen im SIEM
Der Administrator hat nun die Möglichkeit die integrierten Enterasys Schnittstellen zu
nutzen, um einen bestimmten Benutzer eine neue Policy zu zu weisen oder eine MAC
Adresse für eine bestimmte Zeit vom Netzwerk zu nehmen.
Gefahrenquellen mit SIEM direkt aus dem Netzwerk entfernen
Dabei kann die Lösung spielend erweitert werden, so dass zum Beispiel externe Skripte
aufgerufen werden, die als Parameter die IP Adresse eines Angreifers übergeben
bekommen. Die Erweiterungsmöglichkeiten, die sich dadurch ergeben, erweitern das
Spektrum, innerhalb dessen die Lösung ihren Mehrwert aufzeigen kann, enorm.
Interne Erweiterungsmöglichkeiten und Schnittstellen
Ein Security Information und Event Management System lebt davon, Events und Flows
von verschiedensten Systemen unterschiedlicher Hersteller zu lesen und diese Events zu
nutzen, um sie durch das Korrelieren mit anderen Events von anderen Herstellern zu
einer vernünftigen Aussage zu formen (Offense). Oftmals ist es so, dass in komplexen
Kundenumgebungen exotische Applikationen nicht bekannter und kaum verbreiteter
Hersteller implementiert wurden oder dass Kunden ihre eigenen Applikationen
entworfen haben, die per default von den gängigen SIEM Lösungen nicht unterstützt
werden.
Da diese Quellen sehr wertvolle Daten enthalten können, die einen spürbaren Mehrwert
während des Korrelationsprozesses darstellen könnten, bietet das SIEM einen sehr
236
einfachen und effektiven Weg an unbekannte Logfile Formate zu lesen und in die
Korrelation aufzunehmen.
Dabei muss der Administrator lediglich ein generisches / universales Device anlegen
und definieren, wie die Events von diesem System interpretiert werden sollen, welches
Protokoll zur Datenübertragung genutzt wird und was die Events von diesem System zu
bedeuten haben. Die folgenden Screenshots zeigen, wie dieser Prozess mit Hilfe der
Konfigurationsoberfläche innerhalb weniger Minuten realisiert werden kann.
Schritt 1:
SIEM - Sensor Devices
Anlegen eines neuen generischen Devices, damit Logfiles von diesem System
aufgenommen werden und entsprechend der Mustererkennung, die man selbst
anpassen kann, gelesen und ausgewertet werden.
237
Schritt 2:
SIEM-QidMapping
Zuordnen des Events, so dass SIEM „weiß―, in welche Kausalkette dieser Event gehört
und wie dieser Event innerhalb des Korrelationsverlaufs zu behandeln ist.
Enterasys Security Information & Event Manager (SIEM)
Der Security Information & Event Manager (SIEM) ermöglicht eine zentrale Übersicht
über alle Ereignisse und Flows und ist die zentrale Schlüsselkomponente, bei der alle
Meldungen zusammenlaufen.
Zentrales Event- und Flow-Management mit SIEM
238
Im SIEM erfolgt eine Normalisierung von Eventdaten, eine Eventkorrelation über
Produktgruppen hinweg sowie die Event Priorisierung/Roll-Up. False Positives können
durch diese umfassende Korrelation besser erkannt werden. Durch die vordefinierten
Importfilter für die meisten Eventformate ist eine einfache Darstellung des Security
Status möglich.
Mandantenfähige Übersicht mit dem SIEM-Dashboard
Einen Überblick der momentan unterstützen Ereignisquellen, Flowtypen sowie Vulnerability
Scanner
finden
Sie
unter:
http://www.enterasys.com/company/literature/Enterasys_SIEM_Supported_DSMs.pdf
Reporting
Der SIEM ermöglicht ein einfaches Zusammenstellen eigener Reports mit dem Report
Wizard. Damit ist das Erstellen von Executive Level Reports genauso einfach wie die
Erstellung technischer Reports für den laufenden Betrieb.
SIEM Reports
239
Selbstverständlich sind die Reports in offenen Formaten, unter anderem XML, HTML,
PDF und CSV exportierbar.
SIEM und Distributed IPS
Im Zusammenspiel mit dem Automated Security Manager kann direkt auf Vorfälle im
Netzwerk reagiert werden. So können betroffene Systeme mit einer Quarantäne belegt
werden.
DIPS mit ASM und SIEM
Asset Management
Über die Integration von Vulnerability Scannern wie z.B. Qualys und die Einbindung von
Authentisierungslogs oder NAC Events können Kontextdaten zu den Systemen im
Netzwerk gesammelt.
Kontextinformationen im Asset Manager
Damit werden die relevanten Daten zu einem Angreifer oder einem angegriffenen
System auf einen Blick sichtbar.
NBAD - verhaltensbasierte Netzwerkanomalie Erkennung
Hier wird das normale Verhalten eines Netzwerks analysiert. Durch statistische
Methoden werden dann Anomalien erkannt, indem nach bekannten Signaturen wie
Portscans oder plötzlichen Veränderungen und Abweichungen vom bisherigen Verhalten
gesucht wird. Dazu kann ein kurzfristiger Anstieg der Bandbreite oder der Anzahl der
Verbindungen zählen oder bisher nicht beobachtete Verbindungen. Damit können
240
insbesondere Day Zero Attacken erkannt werden.
Verarbeitung von Flows und Applikationserkennung mit QFlow
Um das Verhalten des Netzwerks zu untersuchen, werden die Flow Informationen der
Netzwerkkomponenten ausgewertet. Damit ist eine genaue Analyse des
Netzwerkverkehrs von Layer 2-4 (je nach Quelle – NetFlow/SFlow/JFlow) möglich.
Weiterhin können dedizierte Flow Sensoren eingesetzt werden, die eine Analyse bis auf
Layer 7 sowie das Mitschneiden von bis zu 64 Byte jeden Flows ermöglichen.
MSSP – Managed Security Service Provider
Besonders interessant ist der Einsatz des SIEM für Anbieter von Sicherheits- und
Reporting-Dienstleistungen. Durch die verteilte Architektur und den Einsatz dedizierter
Appliances zur lokalen Aufnahme und Verarbeitung von Flow- und Eventdaten können
unterschiedliche Kunden und Lokationen über einen zentralen SIEM ausgewertet
werden.
So besteht die Möglichkeit Reports gemäß Kundenanforderungen zu erstellen und damit
Mehrwerte der Sicherheitsdienstleistungen zu dokumentieren. Ebenso lässt sich der
Verwaltungsaufwand durch eine zentrales Security Operation Center erheblich
optimieren und die damit verbundenen Kosten auf ein Minimum reduzieren. Je nach
241
Kundenwunsch kann die Datenspeicherung sowohl zentral beim Service Provider
erfolgen als auch im eigenen Netzwerk verbleiben.
Ebenso sind Reports über die Netzauslastung, Applikationsnutzung und andere Daten,
die nicht zwingend mit der Netzwerksicherheit zu tun haben, möglich. Dies bietet sich
vor allem für Provider von Hosting Diensten oder ISPs an, die ihren Kunden sowohl
Sicherheits- als auch Netzwerkauswertungen anbieten möchten.
Die beliebig skalierbare Architektur ermöglicht Unternehmen darüber hinaus dynamisch
mit ihrem Kundenstamm zu wachsen und die Dienstleistungen transparent zu
kalkulieren.
SIEM – Appliances
Die Einstiegsappliance ist die DSIMBA7-GB. Sie ermöglicht alle Funktionalitäten der
DSCC in einem Gerät zu nutzen, inklusive eines Qflow Sensors. Darüber hinaus gibt es
für alle Grössenordnungen angepasste Starter Appliances, die jeweils per Software
License und/oder dedizierter Hardware erweitert werden können.
SIEM All-In-One und Enterprise Base Appliance
Die Enterasys SIEM All-In-One Appliances erleichtern kleinen und mittelständischen
Betrieben den Einstieg in die SIEM-Technologie. Sie eignen sich auch für alleinstehende
Anwendungen oder Abteilungen. Die Geräte bieten den vollen Funktionsumfang vom
Event Processing über Layer7 Flow-Collection und -Processing bis hin zum Offense
Management. Eine All-in-One Appliance bringt alle Funktionen für den sofortigen Einsatz
mit: Flow Collector, Event/Flow Anomaly Processor und Console Manager.
Für größere Netzwerke mit Skalierungsbedarf sind die Enterprise Base Appliances
vorgesehen. Sie lassen sich durch dedizierte Appliances erweitern und können
Events/Flows auf externen Instanzen durchführen oder Traffic lokal über einen
abgesetzten Flow Collector analysieren.
SIEM Flow Anomaly Processor
Ein SIEM Flow Anomaly Processor klassifiziert, analysiert und speichert Flowdaten. Er
242
bindet entweder externe Bereiche an, ohne Daten über teure WAN-Strecken zu
schleusen, oder verteilt die Last über mehrere Maschinen. Jeder SIEM Flow Anomaly
Processor verarbeitet unidirektional bis zu 1,2 Millionen Flows pro Minute.
SIEM Event Processor
Der SIEM Event Processor ergänzt die Funktionen des Flow Anomaly Processor. Er
verarbeitet, normalisiert und klassifiziert bis zu 10.000 Eventdaten pro Sekunde wie
zum Beispiel Syslog, SNMP, OPSEC, WMI und andere.
SIEM Combined Event/Flow Anomaly Processor
Ein Combined Event/Flow Anomaly Processor eignet sich besonders gut für kleinere
Aussenstellen. Er kann Event-, und Flowdaten bearbeiten. Maximal verarbeitet die
Appliance gleichzeitig 1000 Events pro Sekunde und 50.000 Flows pro Minute.
SIEM Network Behavioral Flow Sensor
Der Network Behavioral Flow Sensor ähnelt funktional einem Netzwerk Sniffer. Er
analysiert permanent den durchlaufenden Datenverkehr und verwendet dazu über die
normale Protokollerkennung hinaus auch Signaturen, um die übertragenen Daten zu
IdentiFizieren. Nach der ressourcenschonenden Aufbreitung der Daten werden sie meist
in kompakter Form an einen Flow Anomaly Processor zu weiteren Auswertung geschickt.
Das schont die Rechenleistung des Prozessors und minimiert den Analyseverkehr.
SIEM Virtual Flow Collector
Mit bis zu 10.000 Flows pro Minute lässt sich ein virtueller Flow Collector im Data
Center, in anderen virtualisierten Umgebungen oder kleineren Außenstellen ohne
eigenen
Prozessor
einsetzen.
Dadurch
muss
man
die
notwendige
Verarbeitungskapazität nicht mehr überprovisionieren.
SIEM Console Manager
Der SIEM Console Manager ist der „Kopf― der Architektur. Er liefert die grafische
Benutzeroberfläche, Management- und Reportingfunktionen. Damit ist er die zentrale
Anlaufstelle für die Administratoren. Die Daten aller Event und Flow Anomaly Processors
laufen hier zusammen.
243
Respond and Remediate
Unter Dynamic Reponse versteht man die Möglichkeit für das Netzwerk, autonom auf
auftretende Probleme zu reagieren. Dazu werden mehrere Komponenten kombiniert.
Intrusion Detection Systeme erkennen auftretenden Missbrauch oder Sicherheitslücken
und können mit Hilfe von Response Mechanismen direkt – als IPS oder in der Secure
Networks™ Architektur - mit dem ASM ins Geschehen eingreifen.
Die Remediation ermöglicht es, dem so in die Quarantäne versetzten Mitarbeiter
mitzuteilen, dass und warum er in der Quarantäne ist. Damit wird es auch möglich, eine
Anleitung zur Selbsthilfe zu geben und somit das Helpdesk zu entlasten.
Dynamic Response (wie bereits unter Detect and Locate beschrieben) kann aber auch
auf anderem Wege erreicht werden. So unterstützt zum Beispiel die S-Serie das so
genannte Flow Setup Throttling. Man kann (vor allem auf den User Ports) pro Port
Schwellwerte definieren, welche die maximale Anzahl von Flows in einer gewissen
Zeiteinheit definieren. Überschreitet der Rechner eines Users diesen Threshold, so ist
das normalerweise nie auf regulären Traffic zurückzuführen, sondern ein sicheres
Anzeichen für einen Virus oder eine sonstige Attacke. Je nach Konfiguration schickt der
Switch dann eine Nachricht an die Managementstation oder aber der entsprechende
Port wird sofort deaktiviert (und auch hier wird eine Nachricht an die
Managementstation geschickt).
Zum besseren Verständnis kann an dieser Stelle ein klassisches und weit verbreitetes
Szenario genutzt werden. Das hier beschriebene Beispiel wird durch den Einsatz der
folgenden Enterasys Networks Lösungen möglich:




Enterasys NAC
NetSight Console
NetSight Automated Security Manager
Enterasys IDS
Ein User authentifiziert sich in seinem Büro über 802.1x am Netzwerk. Bevor er jedoch
Zugriff auf die Ressourcen im Netzwerk erhält, wird eine Sicherheitsüberprüfung seines
Endsystems realisiert. Dort wird festgestellt, dass der User die in der Firmen Policy
vorgeschriebene Antivirensoftware deaktiviert hat. Der User erhält daraufhin lediglich
Zugriff auf eine von Enterasys Networks bereitgestellte Webseite, die ihm eine genaue
Beschreibung des Fehlers offeriert. Der User wird auf dieser Webseite daraufhin
gewiesen, dass er die Antivirensoftware wieder aktivieren muss, um Zugriff auf das
Netzwerk zu erhalten. Versucht der User interne oder externe Webseiten aufzurufen, so
wird er bei jedem Versuch wieder auf die von Enterasys Networks gelieferte Webseite
244
umgeleitet. Nachdem der User die Software wieder aktiviert hat, kann er über einfaches
Klicken eines Buttons auf der Webseite erneut Zugriff auf das Netzwerk verlangen.
Wichtig zu erwähnen ist hierbei, dass auf dem Endsystem des Users keine
Agentsoftware installiert ist. Die Einwahl erfolgte über Network Credentials des
Sicherheitslückenscanners.
Das Netzwerk und die beteiligten Systeme haben festgestellt, dass der User seine
Antivirensoftware wieder aktiviert hat und weisen ihm seine Rolle im Netzwerk zu. Nach
einiger Zeit startet der User einen Angriff auf einen internen Webserver. Diese Attacke
wird vom Enterasys Intrusion Detection System erkannt. Durch die automatische
Abstimmung des Enterasys IDS und des NetSight Automated Security Managers wird die
Rolle des Users geändert und sein Port in Quarantäne gesetzt. Der User erhält nun
lediglich Zugriff auf die von Enterasys Networks offerierte Webseite, die ihm mitteilt,
dass das Netzwerk den Angriff erkannt hat und sein System aus dem Netzwerk entfernt
wurde.
Assisted Remediation mit ToS-Rewrite
Eine Möglichkeit diese Remediation technisch zu realisieren besteht darin, alle Pakete
eines Endsystems, das sich in Quarantäne befindet bzw. per DIPS vom Netz getrennt
wurde, mit einem definierten DSCP (bzw. IP Precedence) Wert zu markieren.
Assisted Remediation mit Hilfe von ToS-Rewrite
So markierte Pakete werden dann im Netzwerk mit Hilfe einer Policy Route von den
Routern zu einem Remediation Webserver geroutet. Auf diesem läuft ein modifizierter
Proxy, der in der Lage ist, die Pakete an Zieladressen anderer Webserver entgegen zu
nehmen und mit einer Remediation Webseite zu antworten. Dies setzt natürlich voraus,
dass DHCP (falls verwendet) und DNS wie üblich gehandhabt werden oder der
Remediation Server ebenfalls auf diese antwortet.
245
Proactive Prevention / NAC
NAC (Network Access Control) bietet Kunden und Herstellern diverse Vorteile und
Möglichkeiten. Das Verfahren stellt aber hohe Ansprüche an die Struktur und
Organisation des Unternehmens, das eine NAC-Lösung einsetzen möchte.
Definition von NAC
Im Allgemeinen gilt NAC als benutzerfokussierte Technologie. NAC autorisiert ein
genutztes Endgerät und gewährt Zugriff auf Ressourcen. Dies geschieht auf Basis der
Authentiizierung der Benutzeridentität (oder/und Geräts) sowie sicherheitsrelevanten
Parametern
und
Einstellungen
des
Geräts,
die
mit
entsprechenden
Unternehmensvorgaben übereinstimmen müssen. Die Parameter werden mit einem so
genannten Pre-Connect-Assessment ermittelt, also vor Anschluss an die Infrastruktur.
Regelmäßig sollten spüter Überprüfungen im laufenden Betrieb erfolgen. Sie werden als
Post-Connect Assessment bezeichnet. Teilweise und je nach Kundenanforderung
verzichtet man in Implementierungen auch auf den einen oder anderen Baustein. Ein
Prozess, der die Compliance wiederherstellt, die sogenannte Remediation, gehört
ebenfalls zur Lösung. Die Verfahren gelten für alle Endgeräte und Nutzer am Netz, also
eigene Mitarbeiter, Partner, Gäste, Kunden, für typische Netzwerkkomponenten und
sonstige Geräte wie Drucker, Videokameras, etc.
NAC ist allerdings kein Allheilmittel für beliebige Sicherheitsprobleme. Fehlverhalten von
Nutzern und Angriffe auf Applikationsebene sind mit NAC kaum erkennbar, es sei denn,
man verwendet intensiv auch Post-Connect-Assessments.
Der Prozess NAC
Der
NAC-Prozess
lässt
sich
sehr
unterschiedlich
beschreiben.
Marktforschungsunternehmen Gartner nennt folgende Komponenten und Schritte:
Das
 Policy – die Erstellung einer Policy ist notwendig, um die
Konfigurationseinstellungen, die Zugriffsrechte und die Authentisierung sowie die
Korrektur und Quarantäneeinstellungen zu regeln
 Baseline – erkennt den Security Status bei bzw. vor Anschluss an die
Netzinfrastruktur
 Access Control – die Zuweisung von Zugriffsrechten aus dem Vergleich von Policy
und Baseline
 Mitigation – bei einer Diskrepanz und limitierten Zugriffsrechten (Quarantäne)
sollte hier eine vollautomatische Beseitigung der Probleme via Softwareverteilung,
Patch Management und Konfigurationsmanagement erfolgen
246
 Monitor – es muss laufend überprüft werden, ob der Anfangsstatus sich nicht
verändert
 Contain – falls dies doch geschieht, muss reaktiv eine erneute Quarantäne
erfolgen können
 Maintain – es muss eine laufende Anpassung und Optimierung erfolgen
Wie zuvor erwähnt, sind hier die Workflows und die Organisation eines Unternehmens
entsprechend anzupassen bzw. zu optimieren.
Lösungsansätze
Die großen Frameworks – das Endziel
Zunächst gestartet, um die Integrität eines Endsystems in Bezug auf Hardware- und
Softwarekonfiguration sicherzustellen (und damit einen Großteil bestehender Host IPS
und Personal Firewall Ansätze zu ersetzen), können diese Ansätze optimal durch
bestehende APIs auch zur Kommunikation des Security Status eines Endsystems in
einer NAC Umgebung genutzt werden. Die IETF teilt die Funktionen hier wie folgt ein:
NAC Funktionalitäten nach IETF
Der „Agent― auf dem Endsystem ist typischerweise mehrteilig – der Posture Collector
überprüft einzelne Einstellungen (je nach Hersteller des Kollektors) wie z.B. Patch Level,
Antivirus Status, Personal Firewall Einstellungen, etc. und gibt diese an den Client Broker
weiter, dessen API von verschiedenen Posture Kollektoren genutzt werden kann. Der
Client Broker wiederum gibt diese Information an den Network Access Requestor weiter,
der neben Authentifizierung auch den Security Status an die Serverseite leitet. Typisch
für einen Network Access Requestor sind 802.1x Supplicants oder IPSec Clients.
Beim Network Enforcement Point handelt es sich typischerweise um Switche, Router,
Access Points, Firewalls und IPS Systeme oder VPN Konzentratoren. Auf der Serverseite
werden die Komponenten der Client Seite widergespiegelt in Form der Network Access
Authority. Diese entspricht typischerweise einem RADIUS Server bzw. einem Policy
Server. Dieser steuert das Network Enforcement und den Server Broker (ein Stück
247
Middleware wie auch der Client Broker), der wiederum die verschiedenen Posture
Validatoren anspricht.
Für agentenbasierte Lösungen werden diese Methoden in den nächsten 2 bis 5 Jahren
wohl eine dominierende Position einnehmen.
Das Zusammenspiel in heterogenen Umgebungen
Auf der Desktopebene wird Microsoft mit dem NAP Agent wohl eine maßgebliche Rolle
spielen – in Bezug auf Sicherheit zieht Microsoft hier die Daumenschrauben stark
(vielleicht auch zu stark?) an. Die Akzeptanz der TNC Implementierungen wird in der nonMicrosoft Welt groß sein, für Microsoftbasierte Endsysteme bleibt dies abzuwarten. Eine
Integration der verschiedenen Systeme ist möglich auf der Serverseite – hier müssen
intelligente Network Access Authority Server erkennen, welche Clients installiert sind
(oder clientless gearbeitet wird) und auf dieser Basis muss eine Umleitung an den
entsprechenden (Network Access Authority) Server erfolgen. Enterasys geht mit
Enterasys NAC diesen Weg des intelligenten RADIUS Proxy und Brokers, der diese
Integration übernehmen kann. Auf dem Desktop muss sich der Kunde für jeweils einen
Agenten und eine Technologie entscheiden.
Enterasys NAC
Enterasys hat durch seine Secure Networks™ Architektur eine Basis für In- und Out-ofBand NAC Lösungen geschaffen. Dabei wird der NAC Prozess vollständig durch die
Secure Networks™ Architektur abgebildet. Allerdings ist selbstverständlich auch in
Drittherstellernetzen ohne Secure Networks™ Unterstützung der Einsatz der Enterasys
NAC Lösung unter Verwendung von Standards wie 802.1x Authentisierung und VLAN
Zuweisung (RFC 3580) möglich.
248



NAC Prozess


Erkennung und
Authentisierung durch Secure
Networks™ Authentication/
Multiuser Authentication (in
Drittherstellernetzen mit den
Authentication Features der
jeweiligen Switche – minimal
RFC 3580)
Assessment über das
integrierte Enterasys agent
based oder -less Assessment
oder über die offene
Assessment API auf
beliebigen Produkten
Authorization durch Secure
Networks™ Policys (L2, L4 +
QoS)
Remediation durch die oben
beschriebene Remediation
Technik oder im Inline Betrieb
In-band
Contain über die Integration
des ASM
Das Post-Connect Assessment kann hier im Monitorprozess durch die Integration der
Enterasys SIEM und IDP Lösung erfolgen. Da hier standardisierte Webservices
Schnittstellen zur Verfügung stellen, ist natürlich auch die Einbettung beliebiger und
eventuell schon vorhandener Sicherheitsdienste möglich. Die Enterasys NAC Lösung
ermöglicht die Umsetzung der unterschiedlichen NAC Modelle switchbased Out-of-Band
mit einer einheitlichen Managementoberfläche. Dabei kommen die Komponenten
Enterasys NAC Manager für den Out-of-Band Betrieb und das NAC Gateway zum Einsatz
– die genaue Zusammenstellung wird im Produktportfolio erläutert.
Die Enterasys S-Serie Switche erlauben zusammen mit der schon bestehenden Out-ofBand Lösung die Umsetzung von NAC im Datenstrom an wichtigen Übergabepunkten im
Netzwerk. Damit ist der NAC Prozess für jedes Endsystem, welches ans Netzwerk
angebunden wird, identisch – egal ob der Anschluss an das LAN, WLAN oder z.B. über
einen VPN Konzentrator von außen erfolgt.
Damit ist Enterasys der einzige Hersteller, der mit einer Architektur alle möglichen
hardwareorientierten NAC Lösungen abbilden kann.
249
NAC für Fortgeschrittene
Die NAC Lösung von Enterasys erlaubt nicht nur den klassischen NAC Ansatz sondern
stellt viele weitere Möglichkeiten für eine einfache Umsetzung der Zugangskontrolle zur
Verfügung. Im Zusammenhang mit einer NAC Lösung im Distribution Layer bei der am
eigentlichen Access Port noch ältere oder einfachere Komponenten eingesetzt werden
stellt sich oft die Frage, ob diese überhaupt 802.1x-fähig sind oder inwiefern eine vom
Access Switch durchgeführte 802.1x Authentisierung überhaupt genutzt werden kann,
wenn dieser nur die Zuordnung eines VLANs unterstützt.
Für den Fall, dass der Access Switch kein 802.1x unterstützt oder die Umsetzung von
802.1x im Unternehmen zu aufwändig wäre, bietet sich mit Kerberos Snooping eine
relativ einfach zu handhabende, aber auch sichere Lösung an. Dabei geht man davon
aus, dass die Endsysteme sich per Kerberos im Unternehmen anmelden, was z.B. bei
einer Microsoft Active Directory Umgebung der Fall ist sobald der jeweilige Rechner in
der Domäne Mitglied ist.
Die Kerberos Pakete werden dann zum NAC Gateway weitergeleitet und dort mitgelesen,
wobei Passwörter natürlich verschlüsselt übertragen werden. Benutzername,
Domänenzugehörigkeit und ob die Anmeldung erfolgreich war, lässt sich aber
herauslesen. Im Falle einer erfolgreichen Anmeldung ist dann klar, dass es sich um ein
Endsystem handelt, das zum Unternehmen gehört (wegen der erfolgreichen
Domänenanmeldung) sowie der Benutzername, welcher die Authentisierung
durchgeführt hat. Diese Informationen können dann direkt zur Autorisierung, dass heißt
der Rechtevergabe für den jeweiligen Benutzer dienen. Damit lassen sich die Vorteile
einer 802.1x Lösung ohne deren Implementierungsaufwand nutzen.
Kerberos Snooping
RADIUS Snooping
250
Ein netter Nebeneffekt beim Kerberos Snooping, auch ohne die Verwendung des
Benutzernamens zur Autorisierung, ist die Tatsache, dass die Benutzer hinter den
Endsystemen dem Netzwerkadministrator bekannt werden. Wird auf den Access
Switchen schon 802.1x eingesetzt, um die Endsysteme zu authentisieren, so können mit
RADIUS Snooping die Autorisierungs- bzw. Secure Networks™ Policyfeatures eines
Enterasys Switch im Distribution Layer genutzt werden.
Dabei liest der Enterasys Switch die RADIUS Pakete mit und wendet das für den Access
Switch zurückgegebene Regelwerk auf die MAC Adresse des in der RADIUS Session
angegebenen Endsystems an. Zur Benachrichtigung im Fehlerfall bzw. zur
Kommunikation mit dem Benutzer bei der Anmeldung dient in der Enterasys NAC Lösung
die Remediation. Dahinter verbirgt sich ein Captive Portal wie man es aus WLAN
HotSpots kennt. Darüber können dem Benutzer im Falle eines Netzwerkausschlusses
Informationen über die Gründe übermittelt werden bzw. über den Zugang zu einem
Patch Server die Möglichkeit zur Selbstheilung geboten werden.
Dies kann natürlich auch genutzt werden, um das Problem mit neuen Endsystemen oder
Gästen zu lösen. Hierbei werden die Webanfragen eines neuen Endsystems am
Netzwerk zu einer Webseite umgeleitet auf der das jeweilige System registriert werden
muss – dazu wird auf ein vorhandenes LDAP (z.B. Active Directory) zurückgegriffen.
Dabei werden die Daten des Benutzers des neuen Systems eingetragen; der
ausführende Mitarbeiter bestätigt mit seinem Domänenzugang die Gültigkeit dieser
Daten.
MAC Registration - Zugangskontrolle für Fremdsysteme
Somit ist für jedes Gerät am Netzwerk ein zuständiger Mitarbeiter eindeutig benennbar
und der Zugriff zum Netzwerk transparent. Selbstverständlich lässt sich hier die
251
maximale Anzahl von Geräten pro Benutzer konfigurieren, überhaupt ist diese Lösung
nahezu beliebig an Kundenwünsche anpassbar.
Assessment
Das Assessment dient der Überprüfung des Endsystems. So kann z.B. überprüft werden,
ob ein Virenscanner installiert ist, ob dieser aktuell ist und ob die Mindestanforderungen
an ein eingesetztes Betriebssystem eingehalten werde. Enterasys bietet hierbei eine
agentenbasierte sowie eine agentenlose Lösung an.
Health-Check Möglichkeiten mit Enterasys NAC
Über die weiter unten beschriebene Assessment API besteht die Möglichkeit zur
Integration von nahezu beliebigen weitere Assessment-Diensten.
Integrationsmöglichkeiten
Die Enterasys Network Access Control Lösung und die durch diese Produktlinie
offerierten Schnittstellen sind integraler Bestandteil der Enterasys Defense Suite. Damit
ist es möglich über SIEM sehr einfach und komfortabel auf die Features und
Leistungsmerkmale der Enterasys Network Access Control Lösung zuzugreifen.
Assessment API
Ein Bestandteil dieser Lösung ist die Möglichkeit Endsysteme, bevor diese Zugriff auf
Netzwerkressourcen erhalten, auf Sicherheitslücken zu überprüfen. Die in diese Lösung
integrierte Scanningtechnologie kann dabei agentenbasiert oder rein über das Netzwerk
arbeiten.
Für die Kommunikation der verschiedenen unterstützen Assessment Produkte aus dem
Hause Enterasys oder von Partnerunternehmen oder unterstützen 3rd Party Herstellern
wird ein von Enterasys entwickelter Protocolstack genutzt, der die Events der
Assessmentprodukte in Events, die durch die Enterasys NAC Lösung verstanden werden,
übersetzt und die Kommunikation zwischen den Devices absichert (Authentifizierung
252
und Verschlüsselung).
Oftmals ist es so, dass Kunden, die über den Einsatz von Network Access Control
Lösungen nachdenken, bereits Assessment und Patch Management Systeme im Einsatz
haben. Diese bereits implementierten und erprobten Lösungsbausteine müssen dann
Teil der Network Access Control Lösung werden. Da es schier unmöglich ist, alle auf dem
Markt vorhandenen Lösungen in diesem Bereich per Default zu unterstützen, offeriert
Enterasys eine eigene Assessment API (Application Programmers Interface), die es dem
Kunden ermöglicht, bereits vorhandene Lösungen zu integrieren. Dabei ist es wichtig zu
wissen, dass nicht nur die Events der bereits implementierten Systeme gelesen und
interpretiert werden, sondern auch die Steuerung der Scans durch die Enterasys NAC
Lösung erfolgt.
Wie beim SDK (Software Development Kit), das innerhalb der Enterasys Host Intrusion
Detection Lösung angeboten wird, kann der Entwickler / Administrator auch bei der NAC
API die Entwicklungssprache frei wählen. Die Libraries, gegen die der Code der
Assessment Engines dabei gelinkt werden muss, wird in JAVA zur Verfügung gestellt.
Durch das Bereitstellen einer aussagekräftigen und umfassenden Dokumentation mit
entsprechenden Beispielen ist die Integration neuer – noch nicht unterstützter –
Lösungen in die Enterasys Network Access Control Produktpalette effizient und einfach
realisierbar.
Web Services
Da die Enterasys Network Access Control Lösung viele Mehrwerte zur Erhöhung der
Gesamtsicherheit innerhalb eines Unternehmens beisteuern kann, werden die
Leistungsmerkmale der Lösung über gut dokumentierte Web Services auch anderen
Produkten und Herstellern zur Verfügung gestellt. Somit können die Features, die die
Enterasys NAC Lösungen abbilden können, auch von anderen Produkten genutzt werden
(zum Beispiel: neue Policy für eine Liste von Endsystemen). Zur Integration eigener
Applikationen muss hier der Enterasys Professional Service in Anspruch genommen
werden.
253
Notrufintegration von Enterasys NAC und VoIP-Management als SOA
Automated Security Manager
Für alle Enterasys Security Produkte (Enterasys Defense Suite und Enterasys Network
Access Control) bietet der Enterasys Automated Security Manager (ASM) Schnittstellen
und Features zur Ansteuerung und Konfiguration externer Devices (z.B. Router und
Switche) an. Durch die Flexibilität und die Erweiterungsfähigkeiten dieses Produkts
können Deployments, die mit Enterasys Produkten realisiert wurden, in nahezu allen
Unternehmensnetzwerken ihren herstellerunabhängigen Mehrwert ausspielen.
Auch der ASM ist dabei in der Lage durch benutzerdefinierte Erweiterungen, die auch
per Script übergeben werden können, seinen Leistungsumfang zu erhöhen und sich so
auf Kundenbedürfnisse optimal einstellen zu können.
VPN Integration
Die Integration von NAC in bestehende VPN Lösungen erhöht die Transparenz deren
Nutzung. Zusammen mit RADIUS Accounting lässt sich präzise nachverfolgen, wer zu
welchem Zeitpunkt im Netzwerk war.
Enterasys NAC bietet momentan out-of-band Unterstützung für die folgenden VPN
Lösungen: Enterasys XSR, Cisco ASA und Juniper SA. Die Unterstützung zusätzlicher VPN
Lösungen wird für zukünftige Versionen der NAC Lösung evaluiert. Die Integration dieser
Geräte passiert über RADIUS, allerdings wird die MAC Adresse des Endgerätes nicht
benötigt, da VPNs diese Information nicht abfragen.
254
Autorisierung
Die Autorisierung für VPN Geräte ist ausgegliedert, um Multi-Layer-Autorisierung zu
erlauben. Das erste Layer wird mit den RADIUS Response Attributen direkt auf dem VPN
angewandt. Da die meisten VPN Geräte das Resetten des Autorisierungslevel eines User
nicht dynamisch erlauben, ohne dass ein Re-Connecting zum VPN passiert, bietet
Enterasys ein optionales zweites Layer. Das zweite Layer ist eine S-Serie zwischen dem
internen Port des VPN und dem internen Netzwerk zu setzen. Dies erlaubt der NAC
Appliance die S-Serie zu nutzen, um mit IP-zu-Policy-Mapping einen granulareren,
sekundären Zugangskontrollmechanismus bereit zu stellen.
Technische Limits und Rahmenbedingungen
Die XSR und Cisco Integrationen stellen nahtlos alle NAC Fähigkeiten bereit. Die Juniper
Integration ist beschränkter: Da NAC die User IP Adresse nicht aktiv von Juniper Geräten
beschaffen kann, muss es sich auf die passive IP Beschaffung via RADIUS Accounting
verlassen. Erst dann kann dem User eine Policy zugewiesen werden. Eine weitere
Einschränkung ist, dass ein User auf einem Juniper Gerät nicht durch die NAC Appliance
aus dem Netzwerk verwiesen werden kann.
Profiling von Gerätetypen
Heutzutage müssen Netzwerkadministratoren eine große Vielfalt an Geräten in ihrem
wired und wireless Netzwerk verbinden, vorhalten, verwalten und sichern. Oft sind
Netzwerkbasisinformationen, wie MAC, IP, Host Name, etc., nicht ausreichend, um zu
entscheiden, welche Policy an welches Connecting Device vergeben wird. Es ist wichtig
zu wissen, welche Art von Gerät sich verbindet, um bessere „Netzwerk-Vorsorge―
betreiben zu können.
255
Enterasys NAC löst dieses Problem durch die automatische Erkennung von Gerätetypen
durch das Nutzen der folgenden Methoden:
Zusätzlich zu dem automatisch erstellten Inventar für alle Geräte, ihre Typen und
Lokationen im Netzwerk, bietet dieses Feature auch eine Lösung für andere, typische
User Fälle:
 Universitäten und Unternehmen:
o Alle Geräte können leicht IdentiFiziert werden, so dass zwischen Gast und
Mitarbeiter, Dozenten oder Studenten unterschieden werden kann. Policies
können angewendet werden, Bandbreite und Zugang basierend auf diesen
Informationen begrenzt werden.
o Enterasys NAC kann mobile Geräte, wie iPhones, iPads und Androids leicht
erkennen, so dass Netzwerkadministratoren Richtlinien für deren
Umsetzung je nach Bedarf implementieren können.
 Alle durch das Unternehmen genehmigte Systeme nutzen das selbe
Betriebssystem: Wenn ein User sich von einem System authentifiziert, das ein
anderes Betriebssystem nutzt, kann ihm beschränkter oder kein Zugriff auf
Netzwerkressourcen gegeben werden.
 Zugang beschränken, wenn ein Nutzer sich von einem potentiell unsicheren Gerät
ins Netz einloggt: Da die BYOD (Bring Your Own Device) Bewegung immer größer
wird, ermöglicht die Fähigkeit mobile Geräte automatisch zu erkennen und zu
IdentiFizieren es Unternehmen, zwischen Mitarbeiter-eigenen und CorporateGeräten zu unterscheiden und die entsprechenden Policies anzuwenden. Diese
Fähigkeit wird untenstehend im Detail beleuchtet.
256
Enterasys Network Access Control / Identity & Access Management
Mit Enterasys Network Access Control kann in allen Netzwerken ein wirksamer Schutz
des Netzwerkzugangs gewährleistet werden - unabhängig von dem gewählten Policy
Enforcement Point Typ. Ab der NetSight Version 4.3 wird die NAC Lösung auch unter dem
Namen Mobile Identity & Access Management (Mobile IAM) vertrieben. Dies soll deutlich
machen, dass NAC heute für unsere Kunden nicht nur eine Sicherheitslösung für
Zugangsschutz darstellt, sondern vielmehr auch ein Endgeräte- und Usermanagement
zur Verfügung stellt. Durch die live Inventarisierung aller am Netz angeschlossenen
Geräte und Benutzer bietet man dem Administrator und Help Desk ein Werkzeug, mit
dem operative (z.B. Troubleshooting) aber auch strategische (z.B. Netzplanung) Prozesse
deutlich effizienter gestaltet werden können. Desweiteren soll mit dem Zusatz „Mobile―
darauf verwiesen werden, dass sich unsere Lösung optimal dazu eignet, der BYOD
Herausforderung entgegen zu kommen. Mobile Endgeräte (ob firmeneigene oder
mitarbeitereigene Geräte) werden durch Mobile IAM sofort im WLAN erkannt,
authentisiert und autorisiert (oder in Quarantäne verschoben).
Für bestehende Enterasys Kunden werden die Secure Networks™ Features der
bestehenden Komponenten durch die Out-of- Band Lösung zu einer vollständigen NAC
Lösung aufgewertet. Dies ist natürlich auch in einem Drittherstellernetzwerk möglich,
sofern die verwendeten Komponenten Authentisierung (möglichst standardnah - IEEE
802.1x) sowie Autorisierung (RFC 3580) unterstützen.
Out-of-Band NAC
Gleichzeitig wurde ein Augenmerk auf die Unterstützung vieler neuer und innovativer
Features gelegt. So ist das im Lösungsportfolio beschriebene RADIUS und Kerberos
Snooping in die Lösung integriert und ermöglicht somit an zentraler Stelle, z.B. im
Distribution Layer, die Einführung von benutzerbezogener Authentisierung und
Autorisierung ohne die Hürde eines kompletten 802.1x Rollouts. In den folgenden
Abschnitten werden wir nun im Detail auf die einzelnen funktionalen Module der
Enterasys NAC Lösung eingehen.
257
Authentifizierung
Enterasys NAC unterstützt eine ganze Bandbreite von Authentifizierungs-mechanismen,
um eine möglichst umfassende Kompatibilität sicher zu stellen:










802.1x portbasierte Authentifizierung
EAP-TLS, PEAP, EAP-MD5, EAP-TNC, EAP-SIM oder EAP-TTLS via RADIUS Server
MAC-basierte Authentifizierung (via MAC Adresse durch RADIUS Server)
IP-basierte Authentifizierung (für Layer 3 Controller)
Webbasierte Authentifizierung
Lokaler Webserver und URL Redirect - Überprüfung durch RADIUS
Webbasierte MAC Registrierung (typischer Gastzugang)
Default Authentifizierungsrolle (Erfassung ohne Authentifizierung)
RADIUS Snooping
Kerberos Snooping
Das NAC Gateway agiert dabei als vollwertiger RADIUS Server oder RADIUS Proxy. Dies
wird durch weitere Optionen abgerundet, die unter anderem eine einfache Verwaltung
von Gästen im Netzwerk erlauben.
Im NAC Manager werden die Authentisierungsparameter vorgegeben. So kann bestimmt
werden, ob die Authentisierungsanfragen für MAC Authentisierungen lokal beantwortet
werden oder an den zentralen RADIUS Server weitergeleitet werden. Es können dabei
nicht nur mehrere AAA Konfigurationen mit unterschiedlichen RADIUS Servern angelegt
werden, sondern auch dedizierte LDAP Server angegeben werden. Die Unterscheidung,
welche Gruppe zu nehmen ist, kann nur auf den Access Switch bezogen sein oder aber
auch auf Teile der Benutzernamen mit Hilfe von Wildcards. So lässt sich immer
sicherstellen, dass der korrekte Server (egal, ob RADIUS oder LDAP) für die korrekte
Domäne und die aktive NAC Konfiguration verwendet wird.
Autorisierung
Um ein Maximum an Flexibilität zu erreichen, besteht mit der „Rule Matrix" die
Möglichkeit, Zugriffsrechte anhand einer Vielzahl von Parametern zu definieren.
Folgende Filterkriterien können einzeln oder in Kombination verwendet werden, um eine
258
erfolgreiche Umsetzung verschiedenster
Netzwerkzugang zu erzielen:






Unternehmensrichtlinien
direkt
am
Authentisierungsmethode (MAC, 802.1X EAP-TLS, 802.1X PEAP, PAP, CHAP, etc.)
Benutzergruppe (lokale Benutzerdatenbank, LDAP oder RADIUS Gruppen)
Gerätegruppe (Gruppen von MA Addressen, IP Adressen oder Hostnamen)
Gerätetyp (z.B. iPhone, Android, Blackberry, etc.)
Lokation (Switch, Switchport, Access Point, SSID)
Uhrzeit (z.B.: an Wochentagen von 08:00 – 18:00 Uhr)
Dies wird zusätzlich durch eine Erweiterung der Kommunikation mit Verzeichnisdiensten
ergänzt. So kann die NAC-Engine direkt Parameter via LDAP abfragen und die Ergebnisse
in das Regelwerk mit einbeziehen. Selbstverständlich ist dies für einzelne Domänen und
Switche separat konfigurierbar und erlaubt damit auch in komplexen Netzwerken eine
umfassende, zentrale Verwaltung.
Weitere Konfigurationsoptionen umfassen unter anderem auch die Ausgabe
benutzerdefinierter RADIUS Parameter und damit eine vollwertige RADIUS Server
Implementation. Der RADIUS Server auf dem NAC Gateway unterstützt ebenfalls RADIUS
Accounting und erleichtert damit die exakte Erkennung, wann ein Benutzer sich
259
abgemeldet hat. Diese Funktionalität legt auch gleichzeitig den Grundstein für Aktionen,
die beim Logout ausgeführt werden und für spätere Reporting Optionen.
In Kombination mit den der „Rule Matrix" können so unterschiedliche Mobility Zonen
eingerichtet werden, die ein dynamisches Management von drahtgebundenen und
drahtlosen Zugangspunkten innerhalb einer einheitlichen Konfigurationsoberfläche
ermöglichen. Der komplette Prozess läuft dabei völlig transparent für das Endsystem ab,
so dass der Benutzer selbst nicht mit zusätzlichen Konfigurationshürden belastet wird.
Ein Endsystem muss sich also nur anmelden und alles Weitere findet im Hintergrund
statt.
So können als mögliche Aktionen sowohl dynamische Policies (bei Enterasys
Infrastrukturen) gesetzt oder bei Drittherstellern VLAN IDs/Namen (RFC 3580) an den
Access Switch gesendet werden. Es sind aber auch beliebige RADIUS Attribute je nach
Switch Hersteller konfigurierbar (um ACLs und ähnliche Konfiguration zu aktivieren).
Web Portal
Das NAC Gateway bietet neben der RADIUS Funktionalität auch ein vollwertiges Web
Portal, welches für verschiedenste Anwendungsgebiete genutzt werden kann. Das Portal
dient primär zur Registrierung und Authentisierung von Gästen im LAN und WLAN
zugleich.
260
Hier können Gäste
 sich selbst registrieren
 über einen Sponsor des besuchten Unternehmensfreigeschaltet werden
 über Email oder SMS authentisiert werden
Desweiteren kann z.B. Empfangspersonal über dieses Portal auch Gästezugänge vorab
drucken und diese den Besuchern direkt aushändigen. Die derzeit sicherste Form des
Gastzugangs ist das automatisierte Versenden von Benutzerkennwörtern über SMS oder
Email, welche der Gast dann zur Anmeldung an einer mit 802.1X und WPA-2
abgesicherten SSID verwenden kann. Gastzugänge können und sollen auf einen
bestimmten Zeitraum beschränkt werden, um unnötige Sicherheitslücken und
Datenleichen zu vermeiden.
Auch BYOD-Geräte von Mitarbeitern, die unter Umständen
IEEE 802.1X nicht
unterstützen, lassen sich durch die Eingabe der Active Directory Credentials des
Mitarbeiters am Portal eigenständig freischalten.
261
Assessment
Die Enterasys NAC Lösung erlaubt die zentrale Konfiguration des Endsystem
Assessments über den NAC Manager.
Konfiguration des agenten-basierten Assessments:
262
Konfiguration des agenten-losen Asessments:
Zum Freischalten der Assessment Funktionalitäten in der Enterasys NAC Lösung wird
zusätzlich eine NAC-ASSESS-LIC pro NAC Appliance benötigt.
Durch eine Kombination der Secure Networks™ Distributed IPS Funktionalität und
Enterasys NAC kann Endsystemen der Zugang zum Netzwerk dauerhaft verwehrt
werden. Damit ist ein - nach Gartner unverzichtbarer Bestandteil von NAC möglich - ein
kombiniertes Pre- und Post-Connect Assessment der Endsysteme.
Damit ist auch eine der letzten Lücken geschlossen. Schließlich war es einem infizierten
Endnutzer bis jetzt möglich nach der Aktivierung der Quarantäne durch den ASM einfach
auf einen anderen Port zu wechseln. Durch die Integration des ASM mit dem NAC
Manager wird die MAC Adresse des Endsystems jetzt bei auffälligem Verhalten in eine
Blacklist aufgenommen, so dass dem Endsystem bei erneuter Authentisierung direkt der
Zugang zum Netzwerk verwehrt wird. Das Assessment wurde sowohl in einer
agentenbasierten als auch in einer agentenlosen Version von Enterasys in die NAC
Lösung integriert, das heißt ein Assessment ist auch ohne zusätzlichen Assessment
Server möglich. Selbstverständlich ist die Ankopplung externer Assessment Dienste
263
möglich. Dafür wurde eine komplett offene Assessment API geschaffen, die durch den
Enterasys Professional Service erweiterbar ist. Besonders deutlich zeigt sich die
Flexibilität des Assessments in Kombination mit anderen Verfahren, wie zum Beispiel mit
Microsoft NAP.
Um Microsoft NAP flächendeckend erfolgreich einzusetzen, ist auch eine entsprechende
Kompatibilität der Endsysteme zu dem Verfahren erforderlich. Dies lässt sich jedoch in
der Praxis so gut wie nie umsetzen und erschwert einen Rollout in Umgebungen
erheblich, die nicht überall NAP oder gar 802.1x kompatibel sind. So ist das Assessment
von Enterasys in der Lage zu erkennen, ob ein Client durch NAP geschützt wird oder ob
durch eigene Assessment Tests geprüft werden soll. Ebenso kann in Umgebungen ohne
802.1x-Kompatibilität beispielsweise Kerberos Snooping verwendet werden in
Kombination mit dynamischen LDAP Anfragen, um weitere Merkmale wie die
Gruppenzugehörigkeit mit in Betracht zu ziehen.
Dadurch wird eine flächendeckende, lückenlose und fortlaufende Sicherheit aller
Endsysteme gewährleistet, unabhängig von den spezifischen Assessment- und
Remediation-Möglichkeiten von nicht-kompatiblen Clients. Es ist davon auszugehen,
dass eine vollständige Migration zu den großen Assessment Frameworks wie NAP noch
einige Jahre in Anspruch nehmen wird. Gerade deshalb ist eine flexible Lösung, die eine
Migration je nach Bedarf erlaubt und unterstützt, der beste Investitionsschutz.
Reporting und Management
Die Enterasys NAC Lösung wird über NAC Manager verwaltet. Der NAC Manager ist auch
zentrale Sammelstelle für alle Informationen bezüglich neuer Endsysteme und
dedizierter Endsystemkonfigurationen. Im Betrieb liegt die gesamte Konfiguration
dezentral auf den jeweiligen NAC Gateways, der NAC Manager wird nur für
Konfigurationsänderungen und Reporting Funktionalitäten benötigt.
Das Reporting erfolgt über das webbasierte OneView. Hierbei bietet das neue Reporting
Dashboard eine transparente, zentrale Oberfläche, um jederzeit über den Zustand im
Netzwerk informiert zu werden.
264
OneView – Identity & Access Management Dashboard
Durch die separat zu verwaltende Oberfläche können so auch andere Abteilungen auf
diese Informationen zugreifen und nach Bedarf den aktuellen Status des Netzwerkes
einsehen, ohne konfigurationsändernde Berechtigungen zu erhalten. Besonders für den
Einsatz im Helpdesk bietet sich der Zugriff auf diese Daten an, da hier übersichtlich der
Status einzelner Endsysteme abgefragt und präsentiert werden kann. Dies beinhaltet
nicht
nur
Infrastrukturangaben
wie
den
Switchport
oder
eine
erfolgreiche/fehlgeschlagene
Authentifizierung,
sondern
auch
weitreichende
Detailinformationen aus dem Assessment, dem verwendeten Username oder gar dem
Betriebssystem. Damit wird die Suche nach Informationen bei der Fehlersuche erheblich
verkürzt und liefert einen immer aktuellen Netzwerkstatus zu jedem Endsystem.
265
Port View – Übersicht zu einem Endsystem
mit Interaktiven Grafikelementen
Port View – NAC Details eines Endsystems
266
Einfache Änderung der Autorisierung eines Endsystems
durch den Help Desk mit einem Klick
Bring Your Own Device (BYOD)
Ständig kommen neue mobile Geräte auf den Markt. Ihre Preise fallen, ihre
Prozessorleistung steigt und sie konkurrieren bereits mit modernen Laptops und PCs.
Die neuen Mobilsysteme erhöhen Flexibilität und Produktivität. Kritische Applikationen
und Daten liegen sozusagen „auf der Hand― - weltweit und jederzeit zugänglich. Viele
sehen darin einen Wendepunkt in der Geschichte der traditionellen IT. In jedem Fall
bedeutet die explosionsartige Verbreitung dieser Geräte erhebliche Herausforderungen
bei der sicheren Verwaltung des Unternehmensnetzes. Derzeit hinkt die UnternehmensIT diesen Trends hinterher. Denn jedes mobile Gerät bedeutet ein neues
Sicherheitsrisiko für das Unternehmensnetz.
Administratoren kennen die Risiken traditioneller Endsysteme wie Laptops und
Desktops. Diese Geräte können nur selten eine separate Datenverbindung herstellen,
die etablierte physikalische Netzwerkkontrollen und Policies aushebelt. Androids,
iPhones, Windows Mobile Devices, Blackberries und verschiedene Tablets allerdings, die
im Zug des BYOD (Bring Your Own Device)-Trends in die Unternehmensnetze einziehen,
haben unter Umständen gleichzeitig 3G- oder WiFi-Verbindungen zu ungesicherten
Netzwerken wie dem Internet und zu Unternehmensnetzen.
Ohne agentenbasierte Mobile Device Management (MDM)-Lösung erfährt der
Administrator kaum Details zum mobilen Gerät und seinem Verhalten im Netz. Er weiß
weder, ob es „gesund― noch wie sicher es ist. Doch selbst MDM-Produkte sind keine
perfekte Lösung. Denn viele MDM-Lösungen erkennen nicht, wie ein Gerät und der
267
darauf geladene MDM-Agent mit dem Managementsystem kommunizieren, sie wissen
also beispielsweise nicht, wo das Gerät ans Netz angebunden ist, ob also beispielsweise
ein Telefon direkt am Unternehmensnetz hängt oder nicht. Vielmehr befassen sie sich
vor allem mit dem offenen Kanal zwischen dem Managementsystem und dem
betreffenden Gerät.
Außerdem verwalten MDM-Lösungen nur Geräte, auf die ein Softwareagent geladen
wurde - andere auch dann nicht, wenn sie sich mit dem Netz verbinden wie in BYOD
(Bring Your Own Device)-Umgebungen üblich: Bei BYOD gewähren Organisationen den
mobilen Geräte ihrer Mitarbeiter oder von Dritten Zugriff auf das Firmennetz. Das ist
eine ernste Herausforderung für Netzwerksicherheit, Anwendungen und Daten.
Die ganzheitliche Herangehensweise von Enterasys NAC bewältigt diese
Herausforderung. Das System erkennt, authentifiziert und bewertet die Sicherheit
individueller Mobilsysteme ganz oder teilweise durch die Integration mit bestimmten
MDM-Lösungen.
Auf Basis der Bewertung werden den Geräten unabhängig von der Mobilstrategie des
Anwenderunternehmens intelligente Policies zugewiesen. Die NAC-Funktionen im Detail:
 Mobile Device IdentiFication: Enterasys NAC IdentiFiziert mobile Geräte, so dass
gerätespezifische Richtlinien entwickelt und zugewiesen werden können.
Administratoren in Organisationen, die ein BYOD-Konzept umsetzen, IdentiFizieren
so mit oder ohne MDM-Lösung schneller unbekannte oder verbotene Geräte und
können gerätespezifische Policies erstellen und zuweisen.
 Mobile Device Authentication: Enterasys NAC authentifiziert mobile Geräte am
Netzwerkzugangspunkt und leitet möglicherweise unbekannte oder unsichere
Geräte an das eigene interne (oder externe) Captive Portal um. So lässt sich BYOD
realisieren, ohne die Sicherheit im Netz zu gefährden.
 Mobile Device Assessment: Die Integrierte interne Assessment-Engine von
Enterasys NAC, ist in der Lage mit bestimmten MDM-Lösungen zu kooperieren.
Das steigert Übersicht und Kontrolle hinsichtlich am Netz befindlicher Mobilgeräte.
MDM-Lösungen
arbeiten
Geräte-zentrisch,
wobei
Mobilgeräte
sehr
unterschiedliche Funktionen bieten. Das bedeutet Sicherheitsherausforderungen,
die sich durch die Integration mit Enterasys NAC bewältigen lassen. Denn so
„weiß― das NAC, ob das Gerät verwaltet wird und kennt Status und Sicherheit des
Geräts am Netzzugang. Administratoren können auf diese Weise bekannten
Geräten mit einem durchs MDM-System festgestellten zweifelhaften Gesundheitsoder Sicherheitsstatus den Zugriff verweigern.
268
NAC-Funktionen ermöglichen es einer Organisation, BYOD erfolgreich auch ohne MDMSystem zu implementieren, vor allem, wenn sie keine gemanagten mobilen Geräte
haben. Administratoren können durch die Kombination von Geräteprofilen und eine
Registrierung Geräte IdentiFizieren und bereitstellen, ohne in eine MDM-Lösung zu
investieren. Organisation, die mobile Endgeräte noch besser überwachen und bewerten
wollen, können das durch die Integration mit Enterasys MDM realisieren. Diese Lösung
erfasst neben der bloßen Existenz der Geräte auch ihre Gesundheit.
Mobile Devices und Virtual Desktop Infrastructure (VDI)
Bei der Betrachtung einer mobilen Geräte Strategie für die Organisation, gibt es noch
eine weitere Option, außerhalb dessen, was oben beschrieben wurde und bietet eine
einzigartige Daten- und Anwendungssicherheit. Das ist die Virtual Desktop Infrastructure
(VDI), von Anbietern wie Microsoft, Citrix und VMware zur Verfügung gestellt. In einem
solchen Szenario sind alle Daten und Anwendungen an einem zentralen Ort, auf welchen
das Gerät Remote über eine virtuelle Schnittstelle zugreift. In Kombination mit Enterasys
NAC verwendet, kann eine Organisation:
 Den Zugriff für mobile Endgeräte im Unternehmensnetzwerk auf VDI Nutzung
beschränken
 Nutzerbasierte Policies für die VDI-Session im Rechenzentrum durchsetzen
 Alle anderen Verkehr zu externen Ressourcen (zB ein Internet-Proxy) routen
Durch den Einsatz des NAC zusammen mit einer VDI-Lösung in dieser Weise wird
kritischer geschäftlicher Daten niemals auf dem mobilen Gerät gespeichert. Sie werden
immer innerhalb des Rechenzentrums bleiben, wo sie nur angesehen und mit VDITechnologie für Remote Zugriff geändert werden können. Andere Anwendungen können
nicht auf diese Daten zugreifen und wenn der Mitarbeiter das Unternehmenareal
269
verlässt, können die Daten nicht mitgenommen werden. Der Mitarbeiter kann andere
Anwendungen nutzen, um vollen Nutzen aus dem Funktionsumfang des Geräts zu
haben, ohne dabei die Sicherheitsrichtlinien des Unternehmens zu verletzen. All dies
wird unter Verwendung von leistungsstarken Enterasys Policies erreicht, die direkt am
Netzzugang des mobilen Geräts durchgesetzt werden—dem WLAN-AP. Natürlich ist diese
Lösung voll in die Enterasys NAC-Lösung integriert und bietet somit den vollen Umfang
an NAC-Funktionalitäten, wie zentrales End-System-Management, Gerätetyp Profiling,
Standortbestimmung, Gast-Zugang, etc.
OneFabric Connect
Mit OneFabric Connect bietet der NetSight Server die Möglichkeit, andere Management
Systeme, wie z.B. VoIP Systeme, Palo Alto, iBoss, Microsoft SCCM, eigene Datenbanken,
etc., mit NetSight zu integrieren. Die ermöglicht Vorteile im Betrieb und Troubleshooting
wenn z.B. erweiterte Geräteinformationen (z.B. Telefonnummer, Hardwaretyp,
Softwarestand, Kostenstelle, etc.) aus externen System oder Datenbank in NAC
importiert werden. Des Weiteren können Endgeräte durch solche Informationen auch
automatisiert in NAC in eine entsprechende Autorisierungsgruppe provisioniert werden,
um somit einen großen Rollout von NAC zu unterstützen, bzw. im täglichen Betrieb neu
beschaffte System automatisiert zu autorisieren oder veraltete/verlorene/gestohlene
Systeme automatisiert zu blocken.
Die folgende Grafik zeigt erweitere Endsystem-Informationen, die über OneFabric
Connect aus Microsoft System Center Configuration Manager und Palo Alto gewonnen
wurden.
Dazu bietet Enterasys heute schon bestehende Integrationen aber auch einen
Professional Service um individuelle Integrationen umzusetzen an. Zukünftig ist geplant,
unseren Kunden und Partnern ein dokumentiertes SDK (OneFabric Connect API) für die
XML/SOAP-basierte API von NetSight anzubieten.
270
Automated VoIP Deloyments
Beim Automated VoIP Deployment handelt es sich um die Verknüpfung der Daten des
Enterasys NAC und der Siemens DLS Server. Es handelt sich also um eine bidirektionale
Integration zwischen den Webservices beider Dienste, die sowohl Infrastrukturdaten an
den DLS und VoIP Endgeräte Informationen an den NAC Manager sendet.
SOA basierte Integration von NAC
und VoIP Device Management
Das Zusammenspiel aus NAC und VoIP Infrastruktur erlaubt neben dem NAC- typischen
Asset Tracking auch umfassendere Location Services, wie zum Beispiel einer
automatisierten Rufumleitung, je nach Standort. Auch können spezielle Konfigurationen
„location based" automatisiert an ein Telefon weitergegeben werden. Dies können
einfache Dinge wie eine Raumbezeichnung sein oder durchaus komplexe Stammdaten
in Abhängigkeit zur jeweiligen Autorisierung (je nach Leistungsumfang der Telefone).
Mehr unter http://www.enterasys.com/company/literature/auto-voip-deploy.pdf
271
Damit ist eine ähnliche Dynamik erreichbar, wie man sie schon von zentralen
Nutzerprofilen auf Desktop PCs her kennt und erlaubt eine optimale Nutzung der
gesamten Telefonie unter Einsatz von minimalem administrativem Aufwand.
Location und Status Tracking
Alle gewonnenen Informationen werden auf dem NAC Manager in einer zentralen,
offenen SQL Datenbank abgelegt und stehen somit über Standardschnittstellen zur
Verfügung. So können automatisierte Benachrichtigung über Zustandsänderungen per
eMail versendet oder weitere Systeme über Statuswechsel informiert werden. Die neue
„Notification
Engine"
unterstützt
dabei
mit
der
Einrichtung
von
Benachrichtigungsoptionen, Filtern und frei konfigurierbaren Nachrichteninhalten. Diese
Funktionalität ermöglicht die Automatisierung von Umzugsmeldungen im Netzwerk und
reduziert den administrativen und finanziellen Aufwand erheblich. Natürlich können
umgekehrt auch Konfigurationsdaten über einfache Schnittstellen erstellt oder geändert
und damit ebenfalls automatisierte Aktualisierungen der NAC Konfiguration durch
externe Systeme vorgenommen werden.
Da in der NetSight Datenbank für alle Endsysteme die Daten bei der Anmeldung
hinterlegt werden, kann somit jeder Benutzer im Netzwerk in Sekundenbruchteilen
lokalisiert werden. Diese Informationen dienen dem NMS Console Compass sowie dem
Automated Security Manager zum Suchen und können auch zur Realisierung einer E911
Notrufortung verwendet werden.
Identity und Access Management
Besonders deutlich wird das Zusammenspiel der vorliegenden Infrastrukturdaten in
Kombination mit offenen Schnittstellen zur Ein- und Ausgabe von Daten am Beispiel
einer IAM (Identity und Access Management) Integration. Hierbei werden sowohl
272
Infrastrukturdaten (beispielsweise ein Umzug in ein anderes Gebäude) an einen IAM
Server sofort weitergeleitet als auch Richtlinien (z.B. Stellenwechsel oder Kündigung
eines Mitarbeiters) vom IAM Server an die NAC Konfiguration weitergegeben.
Dies führt zu einer optimalen Verzahnung aus Richtlinienvergabe (IAM) und
Kontrollinstanz (NAC), die automatisiert und mit überschaubaren Betriebskosten bei der
Einhaltung von Betriebsprozessen unterstützt und ein Maximum an Sicherheit
gewährleistet.
Produkte und Lizenzen
Um eine NAC Lösung aufzubauen benötigt man in der Basis mindestens zwei
Komponenten: Das Enterasys NetSight Management und ein oder mehr NAC Appliances
(als auch NAC Gateways bezeichnet). Folgende Tabelle zeigt alle derzeit verfügbaren NAC
Produkte und Lizenzen:
Produkt / Lizenz
Beschreibung
NAC-A-20
Physische NAC Appliance (Hardware), unterstützt bis zu 3000
Endsysteme und die Möglichkeit, eine zusätzliche Assessment
Lizenz einzuspielen (siehe weiter unten)
NAC-V-20
Virtuelle NAC Appliance (für VMWare ESX(i) 4.0 und höher),
unterstützt bis zu 3000 Endsysteme und die Möglichkeit, eine
zusätzliche Assessment Lizenz einzuspielen (siehe weiter unten)
NAC-VB-20
Vier virtuelle NAC Appliances (für VMWare ESX(i) 4.0 und höher),
jede unterstützt bis zu 500 Endsysteme (2000 in Summe) und die
273
Möglichkeit, eine zusätzliche Assessment Lizenz pro virtueller
Maschine einzuspielen (siehe weiter unten)
NAC-ASSESS-LIC NAC Assessment Lizenz für eine virtuelle oder physische NAC
Appliance. Beinhaltet die Möglichkeit, sowohl agentenbasiertes,
als auch netzwerkbasiertes Assessment durchzuführen
MOBILE-IAM-APP Physische Identity & Access Management Appliance (Hardware),
unterstützt bis zu 3000 Endsysteme und die Möglichkeit, eine
zusätzliche Assessment Lizenz einzuspielen (siehe weiter oben)
und eine NetSight Lizenz für 5 Switche / WLAN Controller
MOBILE-IAM-VB
Virtuelle Identity & Access Management Appliance (für VMWare
ESX(i) 4.0 und höher), unterstützt bis zu 3000 Endsysteme und die
Möglichkeit, eine zusätzliche Assessment Lizenz einzuspielen
(siehe weiter oben) und eine NetSight Lizenz für 5 Switche / WLAN
Controller
IA-ES-12K
Enterprise Lizenz für das Managen von bis zu 12.000 Endsysteme.
Dazu wird eine entsprechende NetSight Advanced Lizenz benötigt
(NMS-ADV-XXX), die für NetSight 5.0 geplant ist. Hierbei kann der
Kunde so viele virtuelle NAC Appliances installieren, wie er
benötigt, solange er die Anzahl von 12.000 Endsysteme nicht
überschreitet. Bei Bedarf von mehr als 12.000 Endsystemen,
können auch mehrere dieser Lizenzen
Die Anzahl der benötigten NAC Appliances richtet sich nach der Anzahl der im Netz
vorhandenen Endsysteme (=MAC Adressen) und die Anforderungen an die Redundanz
dieser Lösung.
274
Kapitel 5 - OneFabric Control Center
OneFabric Control Center von Enterasys Networks ist eine End-to-End NetzwerkManagement und Control-Lösung auf SDN Basis, mit der Netzwerke effizienter und
effektiver administriert werden können. Dies trägt wesentlich zur Senkung der
Betriebskosten bei. Die zentrale Software Komponent ist Enterasys NetSight.
Enterasys NetSight—Zentrale Weboberfläche
Console:
 Zentrales Management für Konfiguration, Überwachung und Fehlersuche bzw. behebung im gesamten Netzwerks
 Bereitstellung einer Client-/Server-Architektur
 Realisierung eines verteilten Managements
 Basis für das Management der Secure Networks™ Lösungen
(hierzu existieren verschiedene Plug-In Anwendungen)
 Einheitliches Management und Überwachung der Wireless Infrastruktur mit dem
Wireless Manager
Policy Manager:
 Zentrales Management zur Administration der rollenbasierten Secure Networks™
Policys
 Support für QoS (Quality of Service)-Administration
275
Policy Control Console:
 Einfache Kontrolle der Zugriffsrechte für Endnutzer, z.B. zur gezielten Freigabe von
Ressourcen in Seminarräumen.
NAC Manager:
 Konfiguration von Enterasys Network Access Control.
 Detailierte Kontrollfunktion der Authentisierungs – und Autorisierungsprozesse
(Erfolg der Authentisierung/ Healthcheck…)
OneView:
 Web-basierende Reports,
 Netzwerkanalyse, Troubleshooting und Helpdesk-Werkzeuge
Automated Security Manager:
 Managementlösung für den dynamischen Schutz vor Gefahren wie Viren und
Attacken
 Kombiniert die Elemente von Enterprise Network Management und Intrusion
Defense
 Aktiviert bei erkannter Gefahr automatisiert Policys auf den
Netzwerkkomponenten
Inventory Manager:
 Mit einem Klick Hardware, Software und Konfigurationen aller Geräte sichern und
verwalten
 Überwachung und Archivierung der Netzwerkkonfiguration
 Netzwerkweite Firmwareupgrades sofort oder zu einem bestimmten Zeitpunkt
276
Die NetSight Komponenten
Console (CN)
Die NetSight Console ist das Herzstück des OneFabric Control Centers. Sie wurde
entwickelt, um den Workflow der Netzwerkadministratoren abzubilden. Die NetSight
Console bietet umfassende Managementunterstützung für sämtliche Komponenten und
Lösungen von Enterasys Networks und alle anderen SNMP-fähigen Geräte. Mit der
NetSight Console lassen sich viele Netzwerkaufgaben automatisieren, was in
unternehmenskritischen Umgebungen viel Zeit und Geld einspart. Die aktuellen und
geplanten Funktionen sorgen für bessere Netzwerk Performance und einfacheres
Troubleshooting. Integriert sind umfangreiche Überwachungsfunktionen, ein robustes
Alarm- und Event-Management, Netzwerk-Discovery, Gruppen- Element-Management
und ein Tool zur strategischen Planung von Investitionen in der Infrastruktur. Aufgaben
wie Subnet Discovery, Alarm Paging, TFTP (Trivial File Transfer Protocol)-Downloads,
System-Backups und vieles mehr werden automatisch durchgeführt. Um mehr
Unterstützung für Geräte von Drittanbietern zu realisieren, lassen sich mit der
Command-Scripts-Funktion eigene CLI Scripte (z.B. via SSH) erstellen und ausführen, in
denen verschiedene Werte aus NetSight wiederverwendet werden können. Auf diese
Weise kann der Administrator Geräte mit einem einfachen Mausklick in der grafischen
Benutzerschnittstelle umkonfigurieren oder deren Status abfragen, selbst wenn das via
SNMP nicht möglich ist.
Topology Manager und Topology Maps
Der Topology Manager erstellt automatisch Karten der Netztopologie (Topology Maps).
Der Administrator überblickt mit einem Klick die Netzwerkinfrastruktur. Er sieht die
einzelnen Layer-2- und Layer-3-Verbindungen der Komponenten untereinander.
Informationen über Linkgeschwindigkeit oder Link-Bündelungen sind einfach erkennbar.
Das vereinfacht es, die Ursachen für technische Einschränkungen von Anwendern zu
finden und die Ursachenbehebung beschleunigt sich enorm. Nach der Neuentwicklung
des Enterasys Wireless Managers integriert der Topology Manager nun auch
Informationen zur drahtlosen Infrastruktur, beispielsweise über Access-Points (APs),
Mobility Zones und die Controller-Verfügbarkeit. Dadurch sinken die Betriebskosten.
277
Darstellung der aktuellen Spanning Tree Topologie
Compass
Um technische Herausforderungen bearbeiten zu können, braucht der Administrato
(oder Supportdienstleister) Durchblick im Netzwerk und in den zur Verfügung stehenden
Diensten. Dafür sorgt die NetSight Console mit dem Compass Tool. Sie sucht Benutzer
und Geräte anhand des Benutzernamens, der IP- oder MAC-Adresse oder des
Hostnamens und zeigt alle verfügbaren Daten an. Innerhalb von Sekunden entsteht so
ein aktuelles Bild der Lage. Administratoren müssen keine umständlichen oder
chronisch veralteten Tabellen mehr konsultieren und pflegen.
NetSight Compass
Fragen folgender Art beantwortet das Compass Tool im Nu:
 Wo ist eine bestimmte IP-Adresse in meinem Netzwerk?
 Wo sind alle Teilnehmer eines IP-Subnetzes im Netzwerk?
278
 Welche Benutzer sind auf einem bestimmten Switch authentifiziert?
Die Erkennung funktioniert nicht nur bei Enterasys Komponenten, sondern auch mit
Geräten anderer Hersteller. Compass sucht die Informationen in bekannten MIB
(Management Information Base)-Variablen und -Tabellen.
Policy Management (PM)
Es ist das zentrale Element der rollenbasierten Administration. Kombiniert mit den
intelligenten Hardware Komponenten von Enterasys Networks verwaltet Enterasys Policy
Manager optimal die Benutzer und Endgeräte der IT-Infrastruktur. Neben den
Klassifizierungsregeln am Netzwerkzugang unterstützt der Enterasys Policy Manager
auch den Port Authentifizierungsstandard IEEE 802.1x, so dass insgesamt eine optimale
Sicherheitslösung für den Netzzugang entsteht.
Enterasys Policy Manager
Enterasys Policy Control Console
Über die Enterasys Policy Control Console (PCC) können normale Anwender das Potential
der Secure Networks™ Policies, eines rollenbasierten Regelwerks, nutzen. Mittels PCC
stellt die IT-Administration gezielt vorformulierte Regeln für Netzzugang und -nutzung
auch nicht-technischen Mitarbeitern in deren Arbeitsumgebung zur Verfügung. Sie
greifen auf diese Regeln und Einstellungen einfach über ein Webinterface zu.
279
Beispielsweise kann so ein Trainer oder Lehrer über die Webschnittstelle mit einem Klick
den Internet-Zugang für seine Schulungsteilnehmer ein- und ausschalten.
Da die Anwendung der Regeln und teilweise auch ihre Erstellung an geschulte Anwender
delegiertwerden kann, konzentrieren sich die IT-Abteilung auf wichtigere Aufgaben.
Einige davon, etwa die Zuweisung unterschiedlicher Autorisierungsgruppen und damit
Policies, sind heute bereits über OneView zu erledigen.
Automated Security Management (ASM)
Ein Security Monitoring System erkennt auffällige Aktivitäten in der Infrastruktur und
stellt sofort Informationen über die Sender-IP und die Art des Angriffs bereit. Um
schnellstmöglich zu reagieren, werden diese Informationen über SNMPv3 an den ASM
weitergeleitet. ASM erkennt unmittelbar, wo sich die auffällige IP Adresse gerade
befindet (z.B. Standort A, Gebäude B, Etage C, Verteiler D, Switch E, Port F).
Anschließend wird sofort die Policy auf dem entsprechenden Switchport geändert. Durch
eine solche Anpassung könnenbestimmte Dienste oder den gesamten Port gesperrt
werden (optional auch nur für einen bestimmten Zeitraum oder ab einem bestimmten
Zeitpunkt). Die Art des Angriffs bestimmt was genau geändert wird. Mit einer zeitlich
begrenzten Sperre lässt sich einfach prüfen, ob nach einer gewissen Zeitspanne die
Auffälligkeit wieder auftritt. Erst falls das geschieht, wird der Port komplett gesperrt. Eine
Sperre nimmt die betroffene IP Adresse, zusammen mit dem damit verbundenen
Endgerät, vom Netz. Andere Systeme können ungehindert weiter arbeiten. Die
Geschäftsabläufe bleiben unbeeinflusst. Außerdem gewinnt man Zeit, um den
befallenen Rechner zu überprüfen und gegebenenfalls zu immunisieren. Jede Aktion
lässt sich jederzeit über die so genannte „Undo Action" manuell wieder zurücknehmen.
Durch den Automated Security Manager (ASM) sind dynamische und automatisierte
Reaktionen auf kritische Events möglich. Es ist nicht mehr notwendig, einen Mitarbeiter
abzustellen, der ständig die IDS-Konsole überwacht und bei einem Angriff sofort
reagiert. Das Secure Network™ übernimmt diese Aufgabe vollkommen eigenständig
(oder nach Benutzerbestätigung, je nach gewünschtem Automatisierungslevel).
280
Enterasys Automated Security Manager
Inventory Management (IM)
Die komplette und exakte Inventarisierung aller Komponenten gehört heute zu den
großen Herausforderungen in Unternehmen. Dies gilt nicht nur für die IT, sondern für alle
Geschäftsbereiche. Mit Hilfe des Inventory Managers (IM) lassen sich Informationen
über IT-Komponente (Switche, Router, Wireless-Controller,...) schnell und einfach
katalogisieren.
Es können der Hardwaretyp und die jeweilige Seriennummer jeder IT-Komponente , die
eingesetzten
Firmware-Versionen,
die
Speicherausstattung
oder
aktuelle
Konfigurationen ausgelesen, zentral abgelegt und verwaltet werden. Ältere Firmware
Versionen werden automatisch aktualisiert, Konfigurationen regelmäßig zeitgesteuert
gespeichert und archiviert. Der Inventory Manager bietet die Möglichkeit, verschiedene
Versionen von Konfigurationen einer Komponente miteinander zu vergleichen.
Veränderungen oder neue Einträge werden hierbei farblich gekennzeichnet. Der
Enterasys Inventory Manager ermöglicht so ein effektives Change Management. Dies
vereinfacht die Verwaltung und senkt die Betriebskosten erheblich.
281
Enterasys Inventory Manager
OneView
NetSight OneView erweitert die Managementfunktionen von NetSight um Reporting,
Service -Dashboards, Troubleshooting - Tools und Monitoring. OneView arbeitet komplett
webbasierend und bietet dem Endanwender viele unterschiedliche Sichten auf die in
NetSight und dessen Modulen verfügbaren Daten.
OneView Dashboard
Im Folgenden werden die einzelnen Bereiche/Reiter von OneView und damit dessen
Funktionsumfang kurz beschrieben.
282
Reports
Im Reporting-Bereich bietet OneView Auswertungen basierend auf Echtzeitdaten und
Auswertungen der Daten der Geräte- Historie der überwachten Infrastruktur. Aus den
zusammenfassenden Ansichten und Reports kann in die einzelnen Events
hineingezoomt werden. Das umfassende Ad Hoc-Reporting von OneView übernimmt alle
verfügbaren Parameter in die Reportauswahl. Es stehen Reports zu Switches, Interfaces,
der Enterasys WLAN-Lösung, NAC, NetSight Server und NetFlow zur Verfügung. Bei
Bedarf kann der Administrator auch eigene Auswertungen (Customized Reports)
erstellen. Das Bild unten zeigt die Schnittstellenauslastung eines Core Interfaces über
den Zeitraum von zwei Wochen.
Custom Report – Interface Auslastung
Maps
Der Bereich Maps bildet die LAN und WLAN-Infrastruktur der jeweiligen Organisation auf
einer Weltkarte ab. Zusätzlich kann der Administrator eigene Gebäudepläne als Bilder
importieren, in denen er die Netzwerkkomponenten und WLAN-APs frei platzieren kann.
Die Gerätesymbole auf den Karten sind interaktiv – ein Klick direkt auf eines der
Symbole führt zur detaillierteren Ansicht aller verfügbaren Geräteinformationen. Sucht
man nach einem Gerät oder Benutzer, markiert das System in der Karte die
Komponente bzw. den AP, mit dem das gesuchte Element aktuell verbunden ist. Ab
Version 5.0 bietet NetSight über die Triangulation der Empfangsstärke eines Endsystems
von drei APs eine noch genauere Lokalisierung. Enthalten sind auch sogenannte „Heat
Maps― für die Analyse der WLAN-Ausleuchtung.
283
Standortbestimmung eines
WLAN Users über Triangulierung
Darstellung der Heat Map, die die WLANAbdeckung in einem Gebäudeteil zeigt
284
Search
Die Eingabemaske der Suchmaske ist einfach und benutzerfreundlich gestaltet. Ein
freies Textfeld ist der Einstieg zur umfassenden Suche. Über diese kann man intuitiv
nach Endgeräten (z.B. MAC-Adresse, IP, etc.), Benutzern, APs, Switches, etc. suchen. Die
Suchergebnisse werden grafisch aufbereitet und dargestellt.
Zentrale Suchfunktion zu allen Geräten, Benutzern etc.
Suchergebnis für einen Mitarbeiter mit Laptop
Auch die Grafiken, die als Suchergebnis entstehen, sind interaktiv. Mit ihnen lassen sich
effizient und einfach Geräte- und Benutzerinformationen anzeigen, Netzwerkstörungen
schnell lokalisieren und entsprechend zügig bearbeiten. Durch die Möglichkeit des
Administrators über OneView mit wenigen Mausklicks auf die wichtigsten Informationen
zu Geräten, Benutzern und Infrastruktur zugreifen zu können, steigt seine Effizienz
seiner Tätigkeiten und er hat mehr Zeit für Aufgaben außerhalb der täglichen Routine.
285
Devices
Dieser Bereich liefert eine umfassende Übersicht über die Netzwerkinfrastruktur. Hier
findet man Informationen zu den Switches, Routern, NAC-Appliances, etc. Je nach Art
des Gerätes sind weitere Detailinformationen zu den Interfaces, Alarmen, VLAN‘s, dem
System selbst, etc. abrufbar. Aus dem Devices-Bereich kann der Administrator direkt auf
FlexViews (Ansichten mit auf die aktuelle Aufgabe zugeschnittenen Einzelheiten)
zugreifen.
Alarme und Events
Hier laufen zentral alle Alarme zu Geräten und Systemen, Logs und Events zusammen.
Alarme zur Netzwerkinfrastruktur können aus vielen Quellen stammen und behandeln
viele Themen. Hierzu gehören SNMP-Traps, Syslog-Dateien von Switches,
Benachrichtigungen des Controllers über eine Bedrohung im WLAN, Meldungen über
Kommunikationsprobleme mit einem zu überwachenden Gerät, etc. Für jeden Alarm
werden verschiedene Parameter (zum Beispiel seine Kritikalität, seine Quelle, die
Meldung respektive ihren Inhalt, Uhrzeit, und so weiter) protokolliert.
Alarme kann der Administrator manuell quittieren, oder das System hebt diese
automatisch durch ein folgendes Event wieder auf. Die Funktion schreibt auch alle
internen Events und Audit-Meldungen der NetSight-Module mit und macht sie damit
auswertbar.
286
Identity and Access
Dieser Bereich enthält Informationen zu den am Netz angeschlossenen und
authentisierten Endgeräten und Benutzern. Basis der Anzeige sind die bei der
Authentisierung gewonnenen Daten der Network Access Control Lösung (NAC). Hier
finden sich hier zahlreiche Daten, die tägliche Arbeiten und eine langfristige Netzplanung
deutlich erleichtern. Das Datenmaterial reicht von einem globalen Überblick über alle im
Netz befindlichen Gerätetypen (z.B. Windows, iPhone, Android, etc.) bis hin zu sehr
detaillierten endgerätbezogenen Informationen für das Troubleshooting (z.B. MACAdresse, IP, angemeldeter User, Hostname, AP oder Switchport, an dem das Gerät
aktuell angeschlossen ist, etc.). Zu jedem Endgerät werden Anmeldedaten chronologisch
archiviert. Bei eingeschaltetem Assessment werden auch diese Daten archiviert und zur
Auswertung bereitgestellt.
Flows
Der Bereich „Flows― speichert alle verfügbaren NetFlow-Informationen. Der NetSightServer hat einen NetFlow Collector, der NetFlow v9-Informationen von Switches/Routern
287
empfangen kann und sie dem Administrator im Bereich Flows zur Auswertung und zum
Troubleshooting zur Verfügung stellt. Neben dem Dashboard mit zahlreichen Top-NAuswertungen zu Clients, Servern und Applikationen finden sich auch detaillierte FlowInformationen einzelner Verbindungen.
Wireless
Im „Wireless―-Bereich befindet sich ein mächtiges Analysetool rund um die Enterasys
Wireless Infrastruktur und die an sie angeschlossenen Clients. Unter anderem können
folgende Analysen/Daten angezeigt werden:





Anzahl Clients pro AP/Controller (aktuell und im Zeitverlauf),
Anzahl Clients pro SSID,
Top-APs nach Bandbreite,
Alarme, Auffälligkeiten und Bedrohungen (z.B. Rogue APs, Honeypots, etc.),
Übersicht aller APs mit Statusinformationen, Verfügbarkeit, Konfiguration, etc.
Such- und Sortierfunktionen strukturieren die Informationen nach persönlichen
Wünschen. Aus Übersichtsreports kann man per Mausklick auf detailreichere Ebenen
wechseln.
288
Wireless Management (WM)
Mit dem Wireless Manager komplettiert Enterasys seinen Ansatz eines ganzheitlichen
Netzwerkmanagements! Nun lassen sich LAN und WLAN durch eine einzige
Managementplattform administrieren. Der Wireless Manager hat vielfältige komfortable
Funktionen, um WLANs zentral über Template-basierende Bausteine effizienter und
effektiver zu konfigurieren. Das beugt Fehlkonfigurationen vor und senkt den
Administrationsaufwand für jede Einzelkomponente drastisch. Der Wireless Manager
fügt sich nahtlos in die etablierte Benutzer- und Rechtestruktur der NetSight
Management Suite ein. Für die Administration wird mit NetSight nur noch eine
Applikation gestartet, die alle Bereiche der LAN- und WLAN-Administration unter einer
einheitlichen Benutzeroberfläche integriert. Templates speichern unternehmensspezifische Standardeinstellungen wie Logging, Security, APs, Ländereinstellungen etc.
Sie sind dann nach Bedarf zur Konfiguration unterschiedlicher Netzkomponenten, etwa
Wireless Controller oder APs, verwendbar. Die Konfigurationen bereits eingerichteter
Controller können importiert und auf neue Controller übertragen werden.
Konfigurationsassistenten führen unkompliziert Schritt-für-Schritt durch die Diensteorientierte Wireless-Konfiguration. So werden Daten-, Sprach- und Gäste-WLANs schnell
und sicher konfiguriert.
Lizenzierung von OneFabric Control Center und NetSight
OneFabric Control Center wird in drei Ausstattungsstufen angeboten:
 NMS-BASE: Das Basispaket umfasst die NetSight Console (CN), Policy Manager
(PM), Inventory Manager (IM) und einige Basisfunktionen von OneView. Maximal
drei Benutzer können sich gleichzeitig am Management anmelden.
 NMS: Dieses Standardpaket umfasst die Module NMS-BASE plus Automated
Security Manager(ASM), Network Access & Control Manager(NAC) und OneView.
Bis zu 25 Benutzer können sich gleichzeitig anmelden.
 NMS-ADV: Dieses umfangreichste Paket enthält alle Module des NMS-Pakets.
Zusätzlich lassen sich zukünftige Application-Intelligence-Appliances und
erweiterte WLAN-Features in OneView nutzen (Heat Maps, Triangulation, etc.).
Außerdem kann man auf die Webservice-Schnittstelle von NetSight (OneFabric
SDK) zugreifen.
Die Lizenzpreise aller drei Pakete staffeln sich nach der Anzahl der verwalteten SNMP
Geräte (z.B. Switch, Wireless Controller, etc.) und APs. Für den in der NetSight-Console
enthaltenen Wireless Manager braucht man keine separaten Lizenzen für den Wireless
Controller. Berücksichtigt werden lediglich die vom Controller verwalteten Thin-APs.
289
Lizenz
Geräte AP‘s
Benutzer
Features / Module
10
100
3
CON, PM, IM
25
250
3
CON, PM, IM
50
500
3
CON, PM, IM
100
1000 3
CON, PM, IM
250
2500 3
CON, PM, IM
500
5000 3
CON, PM, IM
NMS-BASE-U
U
U
3
CON, PM, IM
NMS-5
5
50
25
CON, PM, IM, ASM, NAC, OneView
NMS-10
10
100
25
NMS-25
25
250
25
NMS-50
50
500
25
NMS-100
100
1000 25
NMS-250
250
2500 25
NMS-500
500
5000 25
NMS-U
U
U
25
25
CON, PM, IM, ASM, NAC, OneView, App Intel Mgmt,
Adv Wireless, OneFabric SDK
NMS-BASE10
NMS-BASE25
NMS-BASE50
NMS-BASE100
NMS-BASE250
NMS-BASE500
NMS-ADV-5
5
50
NMS-ADV-10
10
100
25
NMS-ADV-25
25
250
25
NMS-ADV-50
50
500
25
NMS-ADV100
100
1000 25
NMS-ADV250
250
2500 25
NMS-ADV500
500
5000 25
U
NMS-ADV-U
U
25
290
MDM – Mobile Device Management
Die Anforderungen an Verfügbarkeit, Bandbreite, Sicherheit und Zugangskontrolle der
WLAN Infrastruktur steigen rasant an. Das liegt an verschiedenen Faktoren. Zu den
wichtigsten gehören die explosionsartige Verbreitung mobiler Endgeräte
unterschiedlicher Hersteller mit verschiedenen Betriebssystemen, der große Bedarf an
persönlichen
und
berufsbezogenen
Applikationen
und
die
steigenden
Bandbreitenanforderungen durch Video, Voice und andere Daten.
Enterasys Mobile Identity and Access Management (Mobile IAM) verwendet einen
einzigartigen Ansatz, um dieser Herausforderung gerecht zu werden: die Integration
zwischen Enterasys IAM und einer MDM (Mobile Data Management)-Lösung. So erhält
IAM mehr Einblick in Zustand und Konfiguration der mobilen Endgeräte und erweitert
dadurch die Entscheidungsbasis für die Zuweisung von Netzwerkregeln (Policies).
Wie funktioniert eine MDM-Lösung?
Die meisten MDM-Lösungen nutzen derzeit eine Agenten-/Server-Architektur. Auf jedes
mobile Gerät wird eine Software (Agent) aufgespielt. Sie liest genaue Informationen zu
dem jeweiligen Gerät aus und leitet sie an einen zentralen Managementserver weiter. Zu
diesen Informationen gehören unter anderem:
 Betriebssystem,
 Gerätetyp,
 Telekommunikationsinformationen wie die IMEI (International Mobile Equipment
Identity), Telefonnummer, Netzbetreiber, etc.,
 Sicherheitszustand:
o Verschlüsselungsstatus,
o Wipe Status (wurde das Gerät gelöscht?),
 Jailbroken-Status,
 installierte Applikationen,
 GPS-Informationen,
 Sicherheitszustand der Unternehmensdaten auf dem Gerät,
 Inventarisierungsinformationen:
o Seriennummer,
o MAC-Adresse
Diese Daten werden für viele Unternehmen und Einrichtungen, die ein striktes
Management mobiler Geräte vorschreiben, etwa Regierungsbehörden oder
Krankenhäuser, immer wichtiger.
291
Was eine MDM Lösung nicht leistet
Trotz MDM-Lösung braucht man für ein sicheres Netz eine Netzwerkzugangskontrolle für
nicht ge-managte Gäste und unregistrierte Geräte, die sich mit dem eigenen WLAN
verbinden. Unerwünschte Geräte zu blockieren und Gastzugänge korrekt zu
unterstützen, indem Gäste und Gastgeräte registriert und authentifiziert werden, gehört
zu den zentralen Aufgaben der Mobile-IAM-Lösung. Die MDM-Lösung ergänzt Enterasys
NAC und übernimmt speziell die Verwaltung der gemanagten mobilen Endgeräte. Sie
kontrolliert aber nicht, welche Geräte überhaupt Zugriff auf das Unternehmensnetzwerk
erhalten und welche ausgeschlossen bleiben.
Beispielszenario-1:
Auf einem Gerät, das kompromittiert wurde, ist eine bösartige Applikation installiert. Das
MDM-Management Lösung kennzeichnet dieses Gerät als gefährlich, allerdings hat das
keinen Einfluss darauf, ob das Gerät ins Netz darf. Solange der Benutzer die WLANZugangsdaten kennt, kann er sich auch mit dem WLAN verbinden.
Beispielszenario-2:
Der Geschäftsführer eines Unternehmens greift mit
iPhone und WLAN auf
unternehmenskritische Daten zu. Diese Daten bleiben nach beendeter Verbindung unter
Umständen unverschlüsselt im Cache des iPhones. Sollte das iPhone verloren gehen
oder gestohlen werden und wird es nicht von einer MDM-Lösung kontrolliert, kann IAM
beim nächsten Verbindungsaufbau zum WLAN überprüfen, ob das Gerät im MDM
hinterlegt ist – falls nicht, kann IAM
a) den Netzzugang so lange einschränken, bis das Gerät registriert ist und unter der
Kontrolle der MDM-Lösung steht,
b) einen einfach zu bedienenden Zugang für die Registrierung bei der MDM-Lösung
realisieren
c) den Netzwerkzugang erlauben, sobald die MDM-Lösung festgestellt hat, dass das
Gerät verwaltet wird und seine Daten gesichert sind.
Warum MDM und IAM sich optimal ergänzen
MDM-Lösungen erfassen detailliert die Daten von Endgeräten und bestimmen genau,
welche Applikationen und Konfigurationen auf ihnen erlaubt sind. Sie können GerätePolicies jedoch nicht in Netzwerkzugangsregeln umsetzen.
292
Enterasys Mobile IAM nutzt die Geräteinformationen aus dem MDM, um die
Netzwerksicherheitsrichtlinien auf alle mobilen Geräte anzuwenden:
 Positive Regeln: Stuft MDM ein Gerät als sicher ein, gewährt IAM diesem Gerät
Netzwerkzugang. Andernfalls kann IAM das Gerät in eine Sicherheitszone
verschieben, in der es keinen Schaden anrichten kann.
 Negative Regeln: Ist ein Gerät dem MDM nicht bekannt, wird es als unsicher oder
als Gast eingestuft. Es wird auf eine Registrierungsseite in einer Sicherheitszone
umgeleitet.
Zusätzlich realisiert IAM eine globale Sicht des Netzwerks unabhängig vom
Betriebssystem über alle Endsysteme in LAN und WLAN hinweg. Der Administrator kann
somit jederzeit nachvollziehen, wer und was mit Netzwerk verbunden ist oder war und
welche Sicherheitsregeln jedem Gerät zugewiesen wurden.
OneFabric Connect API
Überblick
Enterasys OneFabric Connect ist eine Schnittstelle zur Anwendungsprogrammierung
(API), die eine einfache, offene, programmierbare und zentral verwaltete Methode zur
Implementierung von Software Defined Networking (SDN) für jedes Netzwerk bietet. Mit
der OneFabric Connect API können Geschäftsanwendungen direkt über das OneFabric
Control Center kontrolliert werden, das mithilfe von Netsight verwaltet wird. Das Resultat
ist eine vollständige SDN-Lösung mit folgenden Funktionen:
 Zentralisierte Verwaltung und Kontrolle des Netzwerks und von Systemen anderer
Hersteller über das OneFabric Control Center
 Programmierbarkeit der Virtualisierung und Anwendungsintegration mit OneFabric
Connect
 Offene XML/SOAP-basierte API, die über OneFabric Connect bereitgestellt wird
Mit der OneFabric Connect API können Unternehmen viele Systeme und Anwendungen
über das OneFabric Control Center und Netsight integrieren. Enterasys hat eine Reihe
vordefinierter Integrationen entwickelt, die eine programmatische Kontrolle von VM,
MDM, Webfilter- und Firewall-Systemen ermöglichen. Darüber hinaus besteht jederzeit
die Option für kundenspezifische Integrationen. Kunden können außerdem ihre eigenen
Integrationen einfach und problemlos über die offene, XML/SOAP-basierte API
entwickeln.
293
Anwendungen
Die Enterasys OneFabric Connect API erleichtert die Automatisierung einer breiten
Palette von Netzwerkfunktionen. Mithilfe der API können Nutzer:
 Richtlinien für physische und virtuelle Endsysteme überall im Netzwerk festlegen,
abfragen und/oder modifizieren
 Richtlinien für Nutzer im Netzwerk festlegen, erhalten und/oder modifizieren
 Richtlinien für Nutzer- und Endsystem-Anmeldungen im Netzwerk festlegen,
erhalten und/oder modifizieren
 Informationen über Nutzer und Endsysteme festlegen, erhalten und/oder
modifizieren, einschließlich Ort, Gerätetyp, Zeitstempel, Asset-Informationen,
Integrität und Sicherheitsstatus
 eine Liste aller Netzwerkgeräte anlegen und/oder erhalten
 neue Gastnutzer im Netzwerk anlegen
 auf Berichtsdaten zugreifen1
Diese Funktionen lassen sich für die Automatisierung oder Programmierung einer
beliebigen Anzahl von Vorgängen in der Anwendungsdomäne nutzen.
294
Dazu gehören:
 Geräteortung – erhalten Sie Port- oder AP-Verbindungspunkte von einem
Endsystem
 Bestandsverwaltung – erhalten Sie zusätzliche Informationen von einem
Endsystem (z. B. Serien- oder Telefonnummern)
 Virtualisierung und Orchestrierung – fügen Sie verwaltete Geräte hinzu, erstellen
Sie Netzzugangskonfigurationen, oder legen Sie Zugangskonfigurationen für ein
Endsystem fest (QoS, VLAN, BW, Filter usw.)
 Compliance – blockieren Sie bösartige Endsysteme oder wenden Sie spezifische
Richtlinien an
 Hospitality – fügen Sie Gastnutzer auf Basis einer bestehenden Richtlinie hinzu
Anwendungsfälle für die OneFabric Connect API
Support
Enterasys entwickelt nicht nur API-Integrationen auf Basis von Kundenspezifikationen,
sondern bietet darüber hinaus zusätzlichen Support für Entwickler, die mit der
OneFabric Connect API arbeiten. Die wichtigste dieser Supportressourcen ist OneFabric
Connect Central. Da OneFabric Connect eine bewährte, implementierte und vollständig
offene Plattform ist, wird sie von einer aktiven Entwickler-Community unterstützt. Diese
Community wird in OneFabric Connect Central gehostet, dem kostenlosen Online-Forum
von Enterasys für alle Fragen rund um OneFabric Connect. Durch ihren Beitritt können
Entwickler:




Beispielcodes herunterladen
mit Technikern und Partnern von Enterasys zusammenarbeiten
auf Handbücher und Dokumentationen zugreifen
ihre Herausforderungen mit anderen erfahrenen Enterasys-Kunden diskutieren
Für weitere Informationen schließen Sie sich OneFabric Connect Central unter
www.enterasys.com an. Weitere Ressourcen finden Sie auf www.enterasys.com, darunter
die OneFabric Connect SDN-Broschüre, die OneFabric-Nutzerhandbücher und das
295
OneFabric-Datenblatt. Kunden, die die OneFabric Connect API verwenden, können auch
von unserem preisgekrönten firmeneigenen Kundenservice profitieren, der mit einem
Net Promoter Score von 8.1 aufwarten kann.
Vorteile
 Neue Services, Innovation und Flexibilität – eine offene Northbound-API
ermöglicht Innovation bei Technologie-/Integrationspartnern und Kunden für ein
außergewöhnlich leistungsfähiges Netzwerk.
 Erstklassige Anwendererfahrung und Skalierbarkeit – das Netzwerk erkennt
Applikationen und Flows
und lässt sich an aktuelle und zukünftige
Anforderungen bedarfsgerecht anpassen.
 Einfache Handhabung – vollständig zentralisierte Verwaltung und Kontrolle aller
Geräte, Nutzer und Anwendungen über das komplette Netzwerk hinweg
 Verbesserte Orchestrierung und Effizienz – die Speicher-, Rechen- und
Netzwerkressourcen sind komplett aufeinander abgestimmt und erlauben so die
automatisierte Bereitstellung neuer Services.
 Netzwerkbasierte Business Intelligence und Kontrolle – erkennt nicht nur, welche
Geschäftsanwendungen von wem, wo und wann genutzt werden, sondern
ermöglicht auch die Optimierung und stärkere Auslastung des bestehenden
Netzwerks
Warum Enterasys SDN?




Patentierte, zentralisierte Architektur
Flow-basierte kundenspezifische ASICs, die Millionen von Flows unterstützen
Ausgereifte, bewährte und implementierte Lösung
Umfangreiche Liste von Partnern, die über die OneFabric Connect API integriert sind
296
Kapitel 6 - SMB Switching
Enterasys 800-Serie
Zuverlässig, kostengünstig, schnell
Die Enterasys-800-Serie besteht aus kostengünstigen, zuverlässigen und
funktionsreichen, mit wirespeed
arbeitenden Enterprise-Class-Switches mit den
Geschwindigkeiten 10/100 und 10/100/1000 MBit/s Ethernet.
Sie besteht aus zehn Modellen:
 10/100-MBit/s-Ethernet-Switches mit 24 oder 48-Ports, jeweils mit oder ohne POE
(Power over Ethernet)-Unterstützung
 10/100/1000-MBit/s-Ethernet-Switches mit 8, 24 und 48-Ports, jeweils mit oder
ohne PoE-Unterstützung.
Zu deren gemeinsamen Merkmalen gehören:
 L2-Switching mit Leitungsgeschwindigkeit und eingebautem statischem Routing
 PoE gemäß IEEE 802.3at, bietet bis zu 30 Watt Leistung an einem Port
 Die meisten Modelle ohne PoE arbeiten mit ausgeschalteten Ventilatoren (Quiet
Designs)
 Optional ist für alle Modelle eine redundante Stromversorgung erhältlich
 Die Enterasys Lifetime Warranty gilt für die gesamte Lebensdauer der Geräte.
Um den Managementaufwand zu verringern, lassen sich bis zu acht Switches als ein als
einziger virtueller Stack über eine IP-Adresse verwalten. Ein integriertes Netzteil dient als
primäre Energiequelle für alle Switches der Serie 800. Eine vollständig redundante
Stromversorgung lässt sich mit optional erhältlichen externen Stromversorgungen
aufbauen. Alle PoE-Switches unterstützen PoE gemäß IEEE 802.3at. Dabei stehen an
jedem Port bis zu 30 Watt zur Verfügung. Mit Dynamic Power Pooling kann die an einem
POE-Port nicht genutzte Leistung über einen zentralen Energieverteilungspool anderen
Ports bereitgestellt werden. Das bedeutet, dass die 24- und 48-Port-Modelle mit PoE bis
zu 375 Watt PoE-Leistung nutzen können. Endbenutzer können sich über IEEE 802.1X,
ihre MAC-Adresse oder das Web für die Nutzung der Systeme authentifizieren. Alle
Switches bieten als Standard Serviceklassen, Begrenzung der Datenrate
Zugangskontroll-Listen (Access Control Lists, ACLs).
Die meisten Modelle haben Ventilatoren. Nur der 10/100-MBit/s-Switch mit 24 Ports
kommt ohne Lüfter. Die Ventilatoren der meisten Modelle ohne PoE schalten sich aber
erst ein, wenn die Temperatur 36 ° C übersteigt.
297
Für die Verwaltung der Switches der Serie 800 gibt es drei Möglichkeiten: eine
Befehlszeile (Command Line Interface, CLI), ein Web-Interface oder die
Managementsoftware Enterasys NetSight.
Die Serie 800hat kommt mit einer lebenslangen Garantie. Sie umfasst die Lieferung
eines Ersatzgerät am nächsten Geschäftstag, ein Jahr telefonische Unterstützung,
Bugfixes, Firmware-Upgrades und Web-basierten Support bis fünf Jahre nachdem das
Gerät nicht mehr vertrieben wird.
298
Unterstützte Funktionen
Größe der MAC-Adresstabelle:
VLANs
16,000 Einträge (oder Zeilen?, bitte prüfen!)
4,094 VLAN IDs
Bis zu 4094 statische VLANs
Maximal 255 dynamische VLANs
Switching Services
IEEE 802.1AB – LLDP (Link Layer Discovery
Protocol)
IEEE 802.3z – GE (Gigabit Ethernet) über Glasfaser
ANSI/TIA-1057 – LLDP-MED (Link Layer Discovery
Protocol – End Point Devices)
IEEE 802.1D – MAC Bridging
Alle Ports erkennen Full/Half-Duplex automatisch
die Leitungsgeschwindigkeit (Auto-MDIX, Medium
Dependent Interface-X)
IEEE 802.1s – mehrere Spanning Trees
ERPS—Ethernet Ring Protection Switching
L2 Multicast Control
IEEE 802.1w – schnelles Spanning Tree
IGMP (Internet Group Management Prodocol)Snooping v1/v2/v3
IEEE 802.3 – Ethernet
MLD (Multicast Listener Discovery)-Snooping
IEEE 802.3ab – GE (Gigabit Ethernet) über Twisted
Pair
Unterstützung von Jumbo-Frames (12,288 Bytes)
IEEE 802.3ad – Link-Aggregation
Schutz vor Endlosschleifen
8 Ports pro Portgruppe
Port-Spiegelung (eins zu eins oder mit
Konsolidierung mehrerer Ports auf einen
gemeinsamen Spiegelport)
Bei 8-Port-Modellen 5 Gruppen, bei 24-PortModellen 14 Gruppen und bei 48-Port-Modellen 26
Gruppen.
Port-Beschreibung
IEEE 802.3af – PoE (Power over Ethernet)
Topologieschutz mit Root Guard
IEEE 802.3at – Hochleistungs-PoE (bis 30 Watt pro
Port)
STP (Spanning Tree Protocol)-Pass-Through-Modus
VLAN-Support:
IEEE 802.1q – VLAN Tagging/Trunking
GARP (Generic Attribute Registration Protocol)
Port-, MAC-, Protokoll- und Tag-basiertes VLAN
GVRP (Generic VLAN Registration Protocol)
Privates VLAN
IEEE 802.1p – Verkehrsklassifikation
VLAN-Trunking
299
Quality of Service
Mehrschichtige Paketverarbeitung mit ACLs (Access
Control Lists)
8 priorisierbare Warteschlangen je Port
Gemischte Warteschlangensteuerung – striktes und
gewichtetes Round-Robin-Verfahren
IEEE 802.3x Datenflusskontrolle
Serviceklassen (Class of Service, CoS)
Quell- und Ziel-MAC-Adresse, Quell- und Ziel-IPAdresse und TCP/UDP (Transmission Control
Protocol/User Datagram Protocol)-Portnummer mit
ACLs
Begrenzung der Datenrate, Bandbreitenkontrolle
Layer-2/3/4-Klassifizierung
Sicherheitsfeatures
Schutz vor dem Abhören von ARP (Address
Resolution Protocol) und DHCP (Dynamic Host
Configuration Protocol)
RFC 3580 – IEEE 802.1X RADIUS
Nutzungsrichtlinien
SSHv2 (Secured Shell Version 2)
EAP (Extensible Authentication Protocol) PassThrough
SSL (Secured Socket Layer)
Authentisierung mit Trusted Host
Schutz vor nicht vertrauenswürdigem L2-IP-Verkehr
durch IP Source Guard
IEEE 802.1X und MAC-basierte Port-Authentisierung
Vorbeugung gegen Denial of Service (DoS)- und
BPDU (Bridge Protocol Data Unit)-Angriffe
Optionale lokale Authentisierungsdatenbank
Authentisierung mehrerer Anwender je Port
RADIUS (Remote Authentication Dial-In User
Service)-Kontoführung des Netzwerkzugangs
Web-basierte Port-Authentisierung
Unterstützte MIBs (Management Information Base)
RFC 2674, RFC 4363 – 802.1p MIB
ANSI/TIA-1057 – LLDP-MED (Link Layer Discovery
Protocol – End Point Devices)- MIB-
RFC 2674 – QBRIDGE-MIB, VLAN-Bridg- MIB
RFC 2737 – Einheiten-MIB (nur physikalischer
Netzwerkzweig)
IEEE 802.1AB – LLDP ((Link Layer Discovery
Protocol)-MIB
RFC 2819 – RMON (Remote Monitoring)-MIB
IEEE 802.1X MIB – Portzugang
RFC 2863 – If (Interface)MIB
IEEE 802.3ad MIB – LAG (Link Aggregation Group)MIB
RFC 2925—Ping & Traceroute MIB
RFC 3413 – SNMP v3-Anwendungs-MIB
RFC 1493, RFC 4188 – Bridge-MIB
RFC 3414 – SNMP v3 anwenderbasierte Sicherheit
RFC 1643 – Ethernet-ähnliche MIB
Modul- (USM, User Based Security Model) MIB
RFC 2571-2576 – SNMP (Simple Network
Management)-Framework MIB
RFC 3415 – View-basiertes Zugangskontrollmodell
für SNMP
RFC 2618 – RADIUS-Authentisierungsclient-MIB
RFC 3584 – SNMP (Simple Network Management
Protocol)-Community-MIB
RFC 2620 – RADIUS-Kontoführungsclient-MIB
300
RFC 3636 MAU (Medium Attachment Units) MIB —
ersetzt RFC 2668
RFC 4113—MIB for UDP (User Datagram Protocol)
RFC 4022— MIB für TCP (Transmission Control
Protocol)
Management- und andere RFCs
Web-basiertes Management
CLI (Command Line Interface) mit vier
Zugangsebenen
SYSLOG für bis zu vier Server
Up- und Download der Konfigurationsdatei
Authentisierung, Autorisierung und Kontoführung
(AAA)-Management
Download der Firmware
RFC 768 – UDP
gleichzeitige Unterstützung von IPv4/IPv6Management
RFC 783 – TFTP
RFC 791 – IP
editierbare, textbasierte Konfigurationsdatei
RFC 792 – ICMP
TFTP (Trivial File Transfer Protocol)-Client
RFC 793 – TCP
Befehlsprotokollierung
Unterstützung mehrerer Dateikonfigurationen
RFC 854 – Telnet
LEDs für System-Stromversorgung und Port-Status
RFC 951, RFC 1542 – DHCP/BOOTP Relay
NMS (Network Management Server)-Konsole
RFC 1157 – SNMP
NMS Inventory-Manager
RFC 1901 – Community-basiertes SNMPv2
Kabeldiagnose
RFC 1981 – Pfad-MTU für IPv6
Traceroute
RFC 2030 – SNTP (Simple Network Time Protocol)
Netzwerk-Lastverteilung
RFC 2131, RFC 3046 – DHCP-Client/Relay
Betrieb, Verwaltung und Wartung (OAM(Unterstützung
RFC 2465 – IPv6 MIB
RMON (Remote Monitoring) (Statistik, Verlauf,
Alarme, Ereignisse)
RFC 3176 – sFlow
SNMP (Simple Network Management Protocol)
v1/v2c/v3
RFC 3413 – SNMP-Anwendungs-MIB
SSHv2 (Secured Shell Version 2)
RFC 3414 – SNMP nutzerbasierte Sicherheit
TACACS+ (Terminal Access Controller Access Control
System)-Authentisierung
Modul- (USM) MIB
RFC 3415 – Sichtbasierte Zugangskontrollmodell
für SNMP
301
Spezifikationen
08H20G4-24
08H20G4-24P
08H20G4-48
08H20G4-48P
08G20G2-08
Switching
Throughput
Mpps
Switching
Capacity
9.5 Mpps
9.5 Mpps
13.1 Mpps
13.1 Mpps
14.9 Mpps
12.8 Gbps
12.8 Gbps
17.6 Gbps
17.6 Gbps
20 Gbps
MAC Address
Table
16K
16K
16K
16K
16K
VLANs
Supported
255
255
255
255
255
802.3af
Interoperable
N/A
Yes
N/A
Yes
N/A
802.3at
Interoperable
System Power
N/A
Yes
N/A
Yes
N/A
N/A
375 watts per
switch— up to 30
watts per port Perport switch power
monitor:
• Enable/disable
• Priority safety
• Overload & short
circuit protection
N/A
375 watts per
switch -up to 30
watts per port
Per-port switch
power monitor:
• Enable/disable
• Priority safety
• Overload &
short circuit
protection
N/A
Performance
PoE Specifications
Dimensions (H
x W x D), Rack
Units
4.4 cm H x 44.1cm
W x 20.64cm D
1.73‖ H x 17.36‖
W x 8.125‖ D
1U
4.4 cm H x 44.1cm
W x 36.8cm D
1.73‖ H x 17.36‖ W
x 14.51‖ D
1U
4.4 cm H x 44.1cm
W x 36.8cm D
1.73‖ H x 17.36‖ W
x 14.51‖ D
1U
4.4 cm H x
44.1cm W x
36.8cm D
1.73‖ H x 17.36‖
W x 14.51‖ D
1U
4.06 cm H x
20.95cm W x
21.59cm D
‖Hx‖Wx‖D
1U
Net Weight
2.30 kg (5.10 lb)
5.40 kg (11.9 lb)
4.45 kg (9.80 lb)
6.09 kg (13.4 lb)
1.50 kg (3.30
lb)
MTBF
597,684 hours
272,651 hours
407,895 hours
219,440 hours
865,139 hours
302
Physical Ports
(24) 10/100 ports
(4) 1Gb SFP ports
(2) 10/100/1000
ports
(1) Console port
Max: 28 active
ports
(24) 10/100 PoE
ports
(4) 1Gb SFP ports
(2) 10/100/1000
ports
(1) Console port
Max: 28 active
ports
(48) 10/100 ports
(4) 1Gb SFP ports
(2) 10/100/1000
ports
(1) Console port
Max: 52 active
ports
(48) 10/100 PoE
ports
(4) 1Gb SFP
ports
(2)
10/100/1000
ports
(1) Console port
Max: 52 active
ports
(8)
10/100/1000
ports
(2) 1Gb SFP
ports
(1) Console port
Max: 10 active
ports
Power Supplies
1 Internal, 1
optional RPS
1 Internal, 1
optional RPS
1 Internal, 1
optional RPS
1 Internal, 1
optional RPS
1 Internal, 1
optional RPS
Normal Input
Voltage
100 - 240 VAC
100 - 240 VAC
100 - 240 VAC
100 - 240 VAC
100 - 240 VAC
Input Frequency
50 - 60 Hz
50 - 60 Hz
50 - 60 Hz
50 - 60 Hz
50 - 60 Hz
Input Current
0.5A max
7.65A max
0.8A max
7.65A max
0.4A max
Power
Consumption
19.8W
31.4 W
33.8 W
45.8W
15.9 W
Operating
Temperature
0° to 50° C
(32° to 122° F)
0° to 50° C
(32° to 122° F)
0° to 50° C
(32° to 122° F)
0° to 50° C
(32° to 122° F)
0° to 50° C
(32° to 122° F)
Non-Operating
Temperature
-40° to 70° C
(-40° to 158° F)
-40° to 70° C
(-40° to 158° F)
-40° to 70° C
(-40° to 158° F)
-40° to 70° C
(-40° to 158° F)
-40° to 70° C
(-40° to 158°
F)
Heat
Dissipation
66 BTUs/Hr
105 BTUs/Hr
114 BTUs/Hr
153 BTUs/Hr
47 BTUs/Hr
Operating
Relative
Humidity
5% to 95%
(noncondensing)
Acoustics
Fanless: 0dB
Fan Low Speed:
36dB Fan High
Speed: 49dB
Fan Off: 0dB Fan
On: 42dB
Fan Low Speed:
39dB Fan High
Speed: 49dB
Fan Off: 0dB
Fan On: 38dB
08G20G2-08P
08G20G4-24
08G20G4-24P
08G20G4-48
08G20G4-48P
14.9 Mpps
41.7 Mpps
41.7 Mpps
77.4 Mpps
77.4 Mpps
20 Gbps
56 Gbps
56 Gbps
104 Gbps
104 Gbps
16K
16K
16K
16K
16K
VLANs
255
Supported
PoE Specifications
255
255
255
255
802.3af
Interoperable
N/A
Yes
N/A
Yes
Power
Environmental
Performance
Switching
Throughput
Mpps
Switching
Capacity
MAC Address
Table
Yes
303
802.3at
Interoperable
System Power
Yes
N/A
Yes
N/A
Yes
104 watts per
switch with up to
30 watts per port
Per-port switch
power monitor:
• Enable/disable
• Priority safety
circuit protection
N/A
375 watts per
switch with up to
30 watts per port
Per-port switch
power monitor:
• Enable/disable
• Priority safety
circuit
protection
N/A
375 watts per
switch with up
to 30 watts per
port
Per-port switch
power monitor:
•
Enable/disable
• Priority safety
• Overload &
short
circuit
protection
Dimensions (H
x W x D), Rack
Units
4.06 cm H x
20.95cm W x
21.59cm D
‖Hx‖Wx‖D
1U
4.4 cm H x 44.1cm
W x 20.64cm D
1.73‖ H x 17.36‖ W
x 8.125‖ D
1U
4.4 cm H x 44.1cm
W x 36.8cm D
1.73‖ H x 17.36‖ W
x 14.51‖ D
1U
4.4 cm H x
44.1cm W x
36.8cm D
1.73‖ H x 17.36‖
W x 14.51‖ D
1U
4.4 cm H x
44.1cm W x
36.8cm D
1.73‖ H x
17.36‖ W x
14.51‖ D
1U
Net Weight
1.86 kg (4.10 lb)
2.35 kg (5.20 lb)
5.54 kg (12.2 lb)
4.50 kg (9.90 lb)
MTBF
536,628 hours
532,023 hours
275,199 hours
369,938 hours
6.14 kg (13.5
lb)
225,591 hours
Physical Ports
(8) 10/100/1000
ports
(2) 1Gb SFP ports
(1) Console port
Max: 10 active
ports
(24) 10/100/1000
ports
(4) 1Gb SFP ports
(1) Console port
Max: 28 active
ports
(24) 10/100/1000
PoE
ports
(4) 1Gb SFP ports
(1) Console port
Max: 28 active
ports
(48)
10/100/1000
ports
(4) 1Gb SFP
ports
(1) Console port
Max: 52 active
ports
(48)
10/100/1000
PoE
ports
(4) 1Gb SFP
ports
(1) Console port
Max: 52 active
ports
1 Internal, 1
optional RPS
100 - 240 VAC
1 Internal, 1
optional RPS
100 - 240 VAC
1 Internal, 1
optional RPS
100 - 240 VAC
1 Internal, 1
optional RPS
100 - 240 VAC
1 Internal, 1
optional RPS
100 - 240 VAC
50 - 60 Hz
50 - 60 Hz
50 - 60 Hz
50 - 60 Hz
50 - 60 Hz
Input Current
2.0A max
0.8A max
7.65A max
1.2A max
7.65A max
Power
Consumption
Environmental
23.3 W
30.0 W
36.4 W
56.1 W
63.1 W
Operating
Temperature
0° to 50° C
(32° to 122° F)
0° to 50° C
(32° to 122° F)
0° to 50° C
(32° to 122° F)
0° to 50° C
(32° to 122° F)
0° to 50° C
(32° to 122° F)
Power
Power Supplies
Normal Input
Voltage
Input Frequency
304
Non-Operating
Temperature
-40° to 70° C
(-40° to 158° F)
-40° to 70° C
(-40° to 158° F)
-40° to 70° C
(-40° to 158° F)
-40° to 70° C
(-40° to 158° F)
-40° to 70° C
(-40° to 158°
F)
215BTUs/Hr
Heat
Dissipation
80 BTUs/Hr
100 BTUs/Hr
124 BTUs/Hr
190 BTUs/Hr
Operating
Relative
Humidity
5% to 95%
(noncondensing)
Acoustics
Fan Low Speed:
38dB Fan High
Speed: 43dB
Fan Off: 0dB Fan
On: 44dB
Fan Low Speed:
38dB Fan High
Speed: 50dB
Fan Low Speed:
37dB Fan High
Speed: 42dB
Fan Low Speed:
38dB Fan High
Speed: 51dB
All Models
Agency Specifications
Vibration
IEC 68-2-6, IEC68-2-36
Shock
IEC 68-2-29
Drop
IEC 68-2-32
Altitude operating
Operational up to 2,000 m 6,561 feet
Safety
UL 60950-1, FDA 21 CFR 1040.10 and 1040.11, CAN/CSA C22.2, No. 60950-1, EN 60950-1, EN
60825-1,
EN 60825-2, IEC 60950-1, 2006/95/EC (Low Voltage Directive)
FCC 47 CFR Part 15 (Class A), ICES-003 (Class A), EN 55022 (Class A), EN 55024, EN 61000-3-2,
EN 61000-3-3, AS/NZ CISPR-22 (Class A). VCCI V-3. CNS 13438 (BSMI), 2004/108/EC (EMC Directive)
Electromagnetic
Compatibility
Environmental
2002/95/EC (RoHS Directive), 2002/96/EC (WEEE Directive), Ministry of Information Order #39 (China
RoHS)
305
Bestellnummern
Part Number
Description
800-Series 10/100 Switches
08H20G4-24
24 port 10/100 800-Series Layer 2 switch with Quad 1Gb uplinks
08H20G4-24P
24 port 10/100 PoE (802.3at) 800-Series Layer 2 switch with Quad 1Gb uplinks
08H20G4-48
48 port 10/100 800-Series Layer 2 switch with Quad 1Gb uplinks
08H20G4-48P
48 port 10/100 PoE (802.3at) 800-Series Layer 2 switch with Quad 1Gb uplinks
800-Series 10/100/1000 Switches
08G20G2-08
8 port 10/100/1000 800-Series Layer 2 switch with Dual 1Gb uplinks
08G20G2-08P
8 port 10/100/1000 PoE (802.3at) 800-Series Layer 2 switch with Dual 1Gb
uplinks
24 port 10/100/1000 800-Series Layer 2 switch with Quad 1Gb uplinks
08G20G4-24
08G20G4-24P
08G20G4-48
08G20G4-48P
24 port 10/100/1000 PoE (802.3at) 800-Series Layer 2 switch with Quad 1Gb
uplinks
48 port 10/100/1000 800-Series Layer 2 switch with Quad 1Gb uplinks
48 port 10/100/1000 PoE (802.3at) 800-Series Layer 2 switch with Quad 1Gb
uplinks
Optional Redundant Power Supplies
08A-RPS-24
Redundant Power Supply for 8 port non-PoE 800-Series switch
08A-RPS-130P
Redundant Power Supply for 8 port 802.3at PoE 800-Series switch
08A-RPS-150
Redundant Power Supply for 24 and 48 port non-PoE 800-Series switches (optional
shelf mounting listed below)
Redundant Power Supply for 24 and 48 port 802.3at PoE 800-Series switches
08A-RPS-500P
Accessories
08A-CON-CBL
Console Cable for 800-Series switch
Mounting Options for 8 Port Switches
D2-LOCKBOX
Metal Lockbox for D2/800-8 Ports
D2-RMT
Rack Mount Kit for D2/800-8 Ports
D2-TBL-MNT
Under Table Mount Kit for D2/800-8 Ports
D2-WALL-MNT
Wall Mount Kit for D2/800-8 Ports
Mounting Options for RPS Units
STK-RPS-150CH2
2-slot modular power supply shelf (power supply 08A-RPS-150 sold separately)
STK-RPS-150CH8
8-slot modular power supply shelf (power supply 08A-RPS-150 sold separately)
306
Kapitel 7 - Dienstleistungen
Unternehmensweite Netze sind für Unternehmen eine effektive und effiziente
Kommunikations- und Informationsbasis. Sie bilden sozusagen ihr Nervensystem.
Service, Support, und Training der IT-Mitarbeiter werden immer wichtiger, um Netzwerke
flexibel genug zu machen, damit sie sich den immer schneller verändernden
Anforderungen an Unternehmen schnell genug anpassen können. Ein Netzwerk kann
sehr schnell neue Funktionen anbieten, wenn Hard- und Softwareprodukte, Service und
Support, Training und Professional Services konzeptionell aufeinander abgestimmt sind.
Weil
immer
mehr
Funktionen,
kritische
Daten,
organisationsoder
kommunikationsrelevante Anwendungen aufs Netz verlagert werden oder übers Netz
arbeiten, ist dessen Verfügbarkeit fürs Funktionieren der Geschäftsabläufe essentiell.
Daher
zielen
sämtliche
administrativen
Aktivitäten
darauf,
optimale
Netzwerkverfügbarkeit sicherzustellen. Service, Support und Training spielen hierbei
eine Schlüsselrolle.
Dazu gehören auch Wartungskonzepte, die sich an den individuellen
Unternehmensanforderungen orientieren. Grundbausteine wie Telefonsupport,
Firmware-Upgrades oder ein Vorabaustausch sollten auf die gesamte Netzwerk- und
Security- Infrastruktur abgestimmt sein. So lässt sich sicherstellen, dass das Netz bei
Beeinträchtigungen in kürzester Zeit wiederfunktioniert.
Enterasys SupportNet: Wartungslösungen
Ihr Netzwerk läuft 24x7. Obwohl Ihre Support-Mitarbeiter es unterstützen, braucht Ihr
Team einen Gesprächspartner, wenn technische Fragen auftreten. SupportNet ergänzt
das firmeninterne Wissen über die Netzwerkressourcen durch tiefgehendes technisches
Produktwissen, wie es nur der Hersteller liefern kann. SupportNet bietet Support-Level
für jeden Bedarf - vom 24x7 Telefonsupport bis zu zwei Stunden Vor-Ort-Reaktionszeit.
Über SupportNet greifen Sie auf unsere Experten zu und bekommen tiefgehende
Troubleshooting-Informationen und Antworten auf Ihre technischen Fragen. Unsere
Experten beraten Sie bei einem kostenfreien Anruf oder wenn Sie unsere OnlineWebsupport-Portal besuchen. Erweitern Sie Ihre Gewährleistung durch diese
komfortable Supportoption von Enterasys Networks!
307
SupportNet - Leistungsumfang
 24x7 Telefonsupport: Unbegrenzter, jederzeitiger und kostenfreier Zugang zu
unserem vollständig internen Support Center
 Firmware Updates und Upgrades: Laden Sie online wertvolle Firmware-Updates
und -Upgrades von unserer Webseite.
 Software und Secure Network Appliance Support (SNA): Sofortiger Zugang zu
neuen
Releases
garantiert,
dass
Ihre
Applikationssoftware
und
Sicherheitsanwendungen immer auf dem neuestem Stand sind und mit
Hochleistung arbeiten.
 Web-Support: Nutzen Sie die Vorteile des 24x7-Web-Support, um allgemeine
Fragen mit Hilfe unserer Knowledgebase zu klären und in technischen
Dokumentationen zu recherchieren.
 Ersatzteile: Vorabaustausch defekter Produkte innerhalb einer vereinbarten
Zeitspanne (Lieferoption 2 Stunden/4 Stunden/gleicher Werktag/nächster
Werktag, auch als 7x24-Stunden-Servicelevel erhältlich) von global verteilten
Lägern aus.
 Techniker Vor Ort: Von Enterasys zertifizierte Techniker helfen, wenn nötig,
Netzwerkfehler zu diagnostizieren, die Logistik vor Ort zu managen und bei
technischen Eskalationen die Verbindung zu Produkt-Ingenieuren herzustellen.
Mögliche Servicelevels: nächster Werktag, gleicher Werktag, 2 Stunden oder 4
Stunden rund um die Uhr.
Vorteile von SupportNet
Unsere Kompetenz
 94% aller Anfragen werden von unserem Support Team beim ersten Kontakt
gelöst,
 97% Kundenzufriedenheit,
 100% internes Service Center.
Verbesserte Netzwerkverfügbarkeit und Produktivität
 SupportNet hilft Ihnen, die Auswirkungen eines ungeplanten Ausfalls zu
minimieren und die Mitarbeiterproduktivität zu erhöhen.
Verringerte Betriebskosten
 Wahrscheinlich übersteigen die Betriebskosten Ihrer Technikumgebung über den
Lebenszyklus der Produkte deren Einkaufspreis. SupportNet senkt die
Betriebskosten und sichert eine lange Lebensdauer des Netzes.
308
SupportNet Service Level
 *Service Level variieren je nach Standort. Mehr Information unter
www.enterasys.com/support
 ** Zu den SupportNet Services für die Secure Network Appliance (SNA) gehören
ein Abo für Software Releases und Updates von Signaturdateien.
(NBD= Next Business Day/nächster Werktag; SBD= Same Business Day/gleicher
Werktag)
Warum SupportNet?
Enterasys glaubt, dass anspruchsvoller Service und Support kritisch für die gesamte
Netzwerkverfügbarkeit sind. Deshalb komplettiert unser SupportNet-Portfolio mit seinen
innovativen und flexiblen Service- und Support-Angeboten Ihre Lösung. SupportNetKunden profitieren davon, dass 94% aller Anfragen schon beim Erstkontakt durch unser
komplett internes Support-Center-Team gelöst werden. Unsere Support-Center-Techniker
haben im Durchschnitt über 13 Jahre technische Erfahrung mit Enterasys-Lösungen
gesammelt. 97 % der SupportNet-Kunden sind mit unseren Services zufrieden.
Enterasys SupportNet bietet alle Support-Services, die Unternehmen in der
Nutzungsphase für hochverfügbare Netze und Services brauchen– online, vor Ort und
per Telefon.
309
Schulungs- und Zertifizierungskonzept
Umfassende technische Trainingsprogramme gewährleisten die Flexibilität, die
Netzwerke angesichts sich ständig ändernder Anforderungen an Unternehmen
brauchen. Damit das IT-Personal Netzwerke wie gewünscht planen, installieren,
konfigurieren und supporten kann, muss es entsprechende Trainings- und
Zertifizierungsmaßnahmen absolvieren. Das Trainingsprogramm von Enterasys orientiert
sich an praxisrelevanten Lernzielen. Wer Enterasys-Trainings besucht hat, ist mit
Technologien und allen wichtigen Verfahren des Infrastruktur-Designs, zum Beispiel mit
dem Management der Netzwerksicherheit und der Zugangs- und Nutzungsregeln,
bestens vertraut.
Zertifizierungsprogramm
Das mehrstufige Enterasys-Zertifizierungsprogramm ermöglicht nach erfolgreichem
Abschluss der entsprechenden technischen Zertifizierungstrainings die Qualifikation
zum
 Enterasys Certified Specialist – ECS
 Enterasys Certified Expert – ECE
 Enterasys Certified Architect – ECA
Specialist
Nach dem Trainingsbesuch und bestandener Prüfung kann ein Schulungsteilnehmer den
Zertifizierungstitel Specialist (Enterasys Certified Specialist – ECS) in einem oder
mehreren der folgenden, in sich abgeschlossenen Technologiebereiche/Themen
erlangen.












Switching Management
Routing
Wireless
NMS Wireless Advanced Services
Policy
SIEM
Advanced SIEM
NAC
IP
Ipv6
Advanced Routing
BYOD Done Right
310
 Datacenter Manager
Expert
Schulungsteilnehmer können den Zertifizierungstitel Expert (Enterasys Certified Expert –
ECE) für die folgenden Technologiegebiete erreichen:







Networking
Wireless Technologies
Network Security
Security Information Management
Switch Routing
Datacenter Manager
BYOD
Architect
Der Architect bildet die höchste technische Zertifizierungsstufe bei Enterasys (Enterasys
Certified Architect – ECA) und ist in der Kategorie Networking zu erreichen. Wie bei allen
Zertifizierungsstufen ist auch der ECA zwei Jahre lang gültig und muss dann erneuert
werden (inklusive der nötigen Expert-Zertifizierungen).
311
Zertifizierungen
Technische Zertifizierungstrainings von Enterasys sind modular konzipiert. Die einzelnen
Kurse ermöglichen praktische „Hands On―-Erfahrungen. Die Teilnehmer werden im
Detail mit den Enterasys-Lösungen vertraut gemacht, um sie planen, unterstützen und
optimieren zu können und so die Flexibilität und hohe Verfügbarkeit von Systemen und
Lösungen zu gewährleisten, die für reibungslose Geschäftsabläufe nötig sind. Im
Allgemeinen finden die entsprechenden Zertifizierungsprüfungen unmittelbar am Ende
des jeweiligen Kurses statt. Die Prüfungsgebühr ist in der Kursgebühr enthalten.
Nachprüfungen werden gesondert berechnet. Alle abgelegten und bestandenen
Zertifizierungen gelten zwei Jahre.
Schulungsstandorte
Zertifizierungsschulungen von Enterasys finden an vielen Orten auf der ganzen Welt
statt. Deutschsprachige Schulungen werden in den Schulungszentren in Frankfurt am
Main, Berlin, München oder Leipzig durchgeführt. So können sich Kunden das nötige
Wissen kostengünstig und flexible aneignen und Zertifizierungsprüfungen für die
unterschiedlichen Technologien und Lösungen ablegen. Eine Übersicht über alle Kurse
weltweit und den aktuellen Trainingsplan finden Sie auf unserer Trainings-Webseite:
http://www.enterasys.com/services-training/ClassSchedule.aspx
On-Site-Trainings
Die erfahrenen Trainer von Enterasys führen Zertifizierungstrainings auch am
Kundenstandort durch. Entsprechendes Equipment und Schulungsmaterial bringen sie
mit. Sollen sechs oder mehr Teilnehmer an einem Standort ausgebildet werden, ist das
Vor-Ort-Training eine Alternative. Selbstverständlich sind auch kundenspezifische
Trainings mit individuellen Inhalten und einer individuellen Trainingsdauer möglich.
Fragen hierzu beantworten Ihnen Ihre regionalen Ansprechpartner oder das
Trainingsteam in Frankfurt. Tel.: +49-69-47860-0 email: [email protected]
Enterasys Service-Units
Für maximale Flexibilität bietet Enterasys Servicegutscheine („Units―) zum Kauf an, die
jederzeit innerhalb eines Jahres für Professional-Services-Leistungen oder -Trainings
eingelöst werden können. Enterasys` einzigartige Secure Networks™-Lösungen bieten
Integrität, höchste Leistung und Sicherheit für Ihre Netzwerkinfrastruktur, Ressourcen
und Anwendungen. Enterasys Professional Services unterstützen Administratoren bei
der Implementierung und dem Betrieb einer Secure Networks™-Lösung. Das
beschleunigt deren Amortisation. Mit Enterasys Services Units reservieren und bezahlen
312
Sie im Voraus Professional-Services-Einsätze, die Sie nutzen können, wann immer Sie
sie brauchen. Enterasys Service Units eröffnen den Zugriff auf alle ProfessionalServices-Angebote. Weitere Informationen zu Enterasys Service Units erhalten Sie unter:
http://www.enterasys.com/services-training/enterasys service units.pdf
313
Weitere Informationen
Literaturhinweise
 www.enterasys.com
o Unsere Homepage in Englisch
 www.extranet.enterasys.com
o Unser Portal für Enterasys Partner und zentrale Dienste wie
Lizenzverwaltung
o Unsere Handbücher für die verschiedenen Produkte
o Unsere Downloadlibrary, unter der Sie Firmware & Release Notes finden
 www.enterasys.com/products/:
o Unsere Produktlinien
 http://www.onefabric.net/ConnectCentral/
o Unser SDN Community Portal
 www.10gea.com:
o 10 Gigabit Ethernet Alliance
 www.wi-fi.com:
o Wireless Fidelity
 www.grouper.ieee.org/groups:
o IEEE Standards Working Groups
 www.faqs.org
o Internet FAQ Archives
Social Media





iTUNES APP: My Enterasys für iPhone und iPad
TWITTER ACCOUNT: @Enterasys
FACEBOOK ACCOUNT: Enterasys
LINKEDIN ACCOUNT: Enterasys-Networks
ENTERASYS BLOG: blogs.enterasys.com
Downloads – DMS
o Firmware, Software, Release Notes
 www.enterasys.com/products/visibility-control/index.aspx
o Enterasys Network Management Suite
314
o Hardware & Software Manuals
 www.dragon.enterasys.com/
o SIEM und IDP downloads+manuals
INFO: Für das DMS (Download Management System) benötigt man ein Extranet Account
Enterasys Knowledgebase
Dies ist ein wertvolles Werkzeug, welches Zugriff auf häufig gestellte Fragen (FAQ),
Anleitungen, Release Notes und weitere Artikel mit Know-How Ratschlägen, Beispielkonfigurationen, Problemlösungen und hilfreichem Material bietet.Für eine Übsicht zum
Thema ―Best Practice for Enterasys Knowledgebase Searches‖, sehen Sie bitte auf
folgender URL nach: https://knowledgebaseenterasys.talismaonline.com/article.aspx?article=10104&p=1.
Ansonsten ist die Knowledgebase
enterasys.talismaonline.com/
erreichbar
über:
https://knowledgebase-
Enterasys GTAC
Support in Deutsch
 Montag - Freitag von 9:00 - 18:00 Uhr (MET)
Support in Englisch
 Montag - Sonntag ganztägig
Hotline Nummer für:




Deutschland: 0800 / 1014-164
Österreich: 0800 / 2927-74
Schweiz: 0800 / 5620-89
per Email: [email protected]
Einen Online RMA Antrag finden Sie unter: www.enterasys.com/support/rma.aspx
Das Online Case Management finden Sie unter: www.extranet.enterasys.com
315
Impressum
Herausgeber
Enterasys Networks Germany GmbH
Solmsstr. 83
60486 Frankfurt am Main
Tel: +49 (0)69/47860-0
Fax: +49 (0)69/47860-109
Überarbeitung
Markus Nispel
Daniel König-Schieber
Jochen Müdsam
Kurt Semba
Bastian Sprotte
Alexander Eichholz
Ralf Klockewitz
Markus Altmann
Fred Götz
Lars Güldenstein
Andreas Helling
Marco Mautone
316

Der Solution Guide 2013-2014 als PDF zum

Transcrição

Documentos relacionados

NETGEAR - Produktkatalog

HP ProCurve Switch Serie 2600

LCS-FS9116-C LCS-FS9124-C

Super 8

Zuerst im Widcomm Treiber !!! alle !!! ComPorts löschen, dazu das

Fünf Freunde - Staatliches Museum Ägyptischer Kunst

LCS-GS8116

4 Port FireWire PCI Schnittstellenkarte - Firewire

Datenblatt Alcatel-Lucent Enterprise OMNIPCX Office Rich

DFE-580TX Fast Ethernet Server PCI Adapter - D-Link