Directory Enabled Networks bieten noch zu wenig

DEN-Anwender liefern sich dem Willen der Hersteller aus

24.03.2000
MÜNCHEN - E-Business, Voice over IP und viele andere: Fast jede Anwendung fordert mittlerweile ihr exklusives Stück vom Bandbreitenkuchen. Entsprechende Verkehrsregeln im Netz sollen die Directory Enabled Networks (DEN) definieren. Hadi Stiel* zeigt, wie Herstelleranspruch und Produktrealität auseinander klaffen.

Die Tage des alten Netz-Managements, in denen es nur darum ging, den Betriebszustand von Geräten wie Routern, Bridges etc. zu kontrollieren, sind gezählt. Neue Anwendungen wie E-Commerce, Voice over IP, E-Mail-Versand und andere erfordern mehr als nur eine funktionierende Netzinfrastruktur. Sie verlangen Regeln, die ihnen Bandbreite im Netz zusichern, also die Quality of Services (QoS) garantieren. Zudem sind unter anderem Sicherheitsregeln zur Zugriffskontrolle erforderlich oder Mechanismen, die den Verkehr der jeweiligen Anwendung durch die Firewall schleusen.

Neue Anforderungen, die zwar auch mit den alten Tools zu realisieren wären. Allerdings mit einem entsprechenden Mehraufwand für die Administratoren, da sie jedes Gerät einzeln zu verwalten hätten. An diesem Punkt setzt die Idee der Directory Enabled Networks an: Die Verkehrsregeln für das Netz, gewonnen aus den Verzeichnisinformationen der einzelnen Anwendungen, werden einmal in einem Directory gespeichert und von dort auf die einzelnen Netzkomponenten geladen. Allerdings berücksichtigen die derzeitigen DEN-Lösungen lediglich den Aspekt der QoS. Sicherheitsregeln zur Zugriffskontrolle, Mechanismen zur Firewall-Konfiguration etc. folgen, so die Hersteller, später. Mit von der Partie sind Firmen wie Cisco Systems, Nortel Networks, 3Com, Cabletron und Fore sowie IBM, Lucent Technologies, Xylan und die Kooperation HP/Intel, um nur die wichtigsten Netzwerkhersteller zu nennen.

Soweit die Theorie und die Marketing-Trommeln der Hersteller. Kritische Stimmen warnen nämlich, dass DEN falsch aufgezogen sei und zahlreiche Lücken und Mängel aufweise. Sollten die Anwender das ähnlich bewerten, wäre die Zukunft von DEN bereits vorbei, bevor sich die Lösung überhaupt richtig am Markt etabliert hat.

Das Konzept, QoS- und Sicherheitsregeln direkt aus den installierten Verzeichnissen, genauer gesagt aus den dort hinterlegten Benutzerprofilen, auf die Netzkomponenten, Switch-Systeme und Router zu laden, ist auf den ersten Blick schlüssig. "Doch was nutzt ein grundsätzlich richtiges Konzept, wenn die Hersteller ihre Strategie komplett falsch aufgehängt haben?", kritisiert Walter Gora, Geschäftsführer der Management- und Technologieberatung Gora, Hecken & Partner in Sulzbach bei Frankfurt am Main, die Schieflage der aktuellen DEN-Architekturen.

Gora hält vor allem den Herstelleransatz für falsch, sich vorrangig auf die Bewerkstelligung von QoS für zeitkritische Kommunikationsströme zu konzentrieren. "Der reale Ablauf aus Sicht der Geschäftsprozesse ist ein ganz anderer", argumentiert der Berater. In seinen Augen sind erst die Benutzer zuverlässig zu identifizieren und zu autorisieren. Im zweiten Schritt könne dann die Festlegung der entsprechenden Dienstgüten erfolgen.

Jenseits des ProjektalltagsGora ist nicht der einzige Unternehmensberater, der mit dem DEN-Lager und seinem aktuellen Lösungsansatz hart ins Gericht geht. So sieht etwa Eberhard Kurz, Consultant bei Arthur D. Little in Wiesbaden, mit den neuen Herstellerstrategien die komplette Beratungs- und Realisierungspraxis bei Projekten auf den Kopf gestellt. Für ihn greift die Fokussierung auf die QoS zu kurz und geht am DV-Alltag in den Unternehmen vorbei. "Um die expandierenden Intranets und Extranets, dazu das aufkommende E-Commerce-Geschäft, in den Griff zu bekommen, ist in den Unternehmen im ersten Schritt eine Zentralisierung der Benutzeradministration gefragt", berichtet der Consultant aus seiner Praxis. Dazu müssten alle für die Geschäftsabläufe wichtigen Verzeichnisdienste integriert werden. Erst danach, in einem zweiten Schritt, lassen sich dann, wie der Wiesbadener argumentiert, Konzepte wie Single Sign-on, Sicherheitswerkzeuge wie Verschlüsselung und Firewall implementieren.

"Kein Unternehmen mit diesem Anforderungsprofil vor Augen hat ein Interesse daran, mit QoS zu beginnen, um dann auf den nächsten DEN-Schritt zu warten", richtet Kurz seine Kritik an die Adresse der DEN-Protagonisten. Die Anwender warnt er zudem vor der Gefahr, heute mit DEN eine unvollständige Lösung zu kaufen, die sich später womöglich als inkompatibel entpuppt.

Neben der falschen Aufhängung von DEN beklagen Branchenkenner funktionale Lücken innerhalb des Architekturgebäudes. Stein des Anstoßes ist dabei die mangelnde Verzeichnisintegration. Um wirklich mit Hilfe der Benutzerprofile Verkehrsregeln für das Netz aufzustellen, müsse DEN die Informationen der verschiedenen Directories verstehen und nutzen. Ein Aspekt, der vor allem für größere Unternehmen, die zahlreiche Verzeichnisse im Einsatz haben, von Bedeutung ist. "Viele Hersteller propagieren in diesem Zusammenhang das Lightweight Directory Access Protocol LDAP als Allheilmittel, um auf die Directory-Informationen zuzugreifen", moniert Lutz Peichert, Berater bei der Meta Group Deutschland in München. Laut Peichert fehlen LDAP aber hierzu entscheidende Funktionen. Denn bei LDAP gemäß dem Standard der IETF (Internet Engineering Task Force) sei weder definiert, wie die unterschiedlichen Verzeichnisdienste zu betreiben sind, noch verfüge der Service über Synchronisations- beziehungsweise Replikationsmechanismen.

Entsprechende Integrationsansätze bieten etwa die Hersteller von Sicherheitsinfrastrukturen wie Bullsoft, Computer Associates, Tivoli oder BMC. Zu diesen Anbietern haben die Netzwerkhersteller noch nicht einmal Kontakt aufgenommen, obwohl sie eigentlich ihre DEN-Architekturen strategisch unterhalb dieser Plattformen ansiedeln müssten. Ihr Integrations-Elan, so der Vorwurf der DEN-Kritiker, erschöpft sich derzeit in einer Zusammenarbeit mit Microsoft als Anbieter des Verzeichnisdienstes Active Directory, in zweiter Instanz werden noch Novell mit den Novell Directory Servcies (NDS) und vielleicht Netscape unterstützt. Damit liegt eine weitere Integrationsmöglichkeit brach: Statt aus den einzelnen Verzeichnissen die Informationen für die Verkehrsregeln zu gewinnen, könnte DEN auch auf die Meta-Directories zugreifen, in denen Daten wie Zugriffsberechtigungen etc. bereits gesammelt werden.

Strategische Lücken klaffen noch an anderen Stellen in DEN. Ein Beispiel dafür ist das Bemühen der Hersteller, ihre Kunden weiterhin mit proprietären Verfahrensweisen und Funktionen zu binden, so, als ob es keine globale Kommunikation, keine unternehmensübergreifenden Extranets und kein expandierendes E-Commerce-Geschäft gebe. Entsprechend unterschiedlich sind die DEN-Lösungen der Hersteller ausgelegt. So unterscheiden sich ihre Ansätze bei der Positionierung der Policy-Server, die für die Vermittlung der Regeln an die Netzkomponenten zuständig sind.

Cisco, Cabletron, Lucent, Newbridge und HP/Intel sehen in einem abgesetzten Policy-Server das richtige architektonische Vermittlungsprinzip. Ähnlich geht auch Nortel Networks vor, allerdings bevorzugt man hier eine verteilte Policy-Server-Architektur. Alle anderen Hersteller haben die Policy-Server-Funktionalität kurzerhand in ihre Switch-Systeme und/oder Router platziert.

Problemzone Weitverkehrsnetz"Mit der unterschiedlichen Positionierung der Policy-Server differieren nicht nur die DEN-Architekturen der Hersteller", warnt Heiko Rössel, Geschäftsführer des Ingenieurbüros Röwaplan im schwäbischen Abtsgmünd, die Entscheider. "Sie wirkt sich zudem auf die Skalierbarkeit und Performance des Netzes aus sowie auf die Höhe der Investitionskosten." Außerdem trägt sie, sicher nicht unbeabsichtigt, zur Herstellerbindung bei.

Darüber hinaus gibt es gravierende Unterschiede bei den Netzkomponenten, welche die einzelnen DEN-Lösungen unterstützen. Entsprechend inkompatibel sind die verschiedenen Herstellerstrategien zueinander. Cisco und Nortel Networks fokussieren im Wesentlichen nur die Access-Systeme an der LAN-WAN-Schnittstelle. Fore und Newbridge beziehen auch die Abteilungs-Server in ihre DEN-Architektur ein. Cabletron und Xylan gehen bis zum Arbeitsgruppen-Switch. Nur 3Com, IBM, HP/Intel und Lucent schließen auch den Desktop im Sinne einer durchgehend garantierten QoS in ihre DEN-Philosophie mit ein. Für Manager Rössel ist genau dies unverzichtbar, um Dienstgüten zu erzielen, die diesen Namen verdienen. Er rät den Entscheidern sowieso, ihre LAN-Bandbreiten besser mit Technologien wie Fast Ethernet und Gigabit Ethernet aufzustocken. Denn dies sei effizienter, als sich beim aktuellen Stand der Entwicklung mit diffusen DEN-Architekturen zu beschäftigen, die nur in eine Herstellerabhängigkeit führen.

Eine Abhängigkeit, die das breite Arsenal an proprietären Funktionen, welche die QoS verfeinern sollen, noch erweitert. "Allein Cisco", warnt Mathias Hein, freier Berater in Tawern bei Trier, "bietet in dieser Kategorie Dutzende solcher Funktionen, so als gebe es nicht bereits genügend Priorisierungsverfahren." Hein denkt hier vor allem an Verfahren wie Ebene-4-Switching oder "IP Type of Service" und IEEE 802.1p. Auch er rät den Anwendern, den DEN-Offerten mit äußerster Reserviertheit zu begegnen.

Diese Reserviertheit ist auch aus einem anderen Grund angebracht: Eine Realisierung der DEN-Funktionen in den Infrastrukturen der Service-Provider und Carrier ist momentan nicht in Sicht. Diese letzte Etappe ihrer DEN-Strategien werden die Netzwerkhersteller erst im Verlauf des Jahres 2001 beginnen. Damit fehlt ihren Ansätzen bis auf weiteres das Bindeglied, um QoS- und Sicherheitsregeln über WAN-Strecken hinweg zu gewährleisten.

Abb.: Jeder Hersteller kocht bei der praktischen Realisierung von Directory Enabled Networks (DEN) sein eigenes Süppchen. Während Cabletron noch den Arbeitsgruppen-Switch unterstützt, setzten andere lediglich auf die WAN-Schnittstelle. Quelle: Cabletron