Oft im Schatten anderer Internetworking-Komponenten wie Hubs, Router und Bridges sind Konzentratoren das eigentliche Rueckgrat eines zeitgemaessen Netzwerk-Managements. Falk Birkner und Joerg Deibert untermauern ihre These, indem sie zeigen, was heutige Mehrkanal-Konzentratoren im Netz zu leisten vermoegen.
Sucht man nach den Urspruengen heutiger LANs, muss man weit in die 70er Jahre zurueckgehen. Damals begannen die Arbeiten bei Xerox am sogenannten "Open System Office of the Future", die im September 1980 zur Veroeffentlichung des "Ethernet Blue Book 1" der Firmen Xerox, Intel und Digital Equipment (DEC) fuehrten. Gleichzeitig entwickelte man bei Willemjin ein Steuerungsprinzip, das heute gemeinhin als Grundlage der 1985 von IBM vorgestellten Token-Ring- Topologie angesehen wird. Die Einfuehrung von DECs DNA (Digital Network Architecture) mit der Einbeziehung von Ethernet, der zunehmenden Verbreitung von Unix-Rechnern auf Basis von TCP/IP- Implementierungen und nicht zuletzt das Aufkommen von Softwareloesungen wie Banyan Vines und Novell Netware sorgten fuer ein explosionsartiges Wachstum im PC-LAN-Bereich.
Die physikalische Vernetzung via Ethernet wurde in den fruehen 80er Jahren ueberwiegend mit Hilfe koaxialer Kabel, 10Base-5-Kabel (Thick-Ethernet) fuer das Backbone beziehungsweise 10Base-2-Kabel (Thin-Ethernet) fuer sogenannte Subnetze realisiert.
Busverbindungen blieben auf Dauer unzulaenglich
Die Ethernet-typischen Restriktionen bedeuteten jedoch immer auch Handicaps hinsichtlich der Verkabelung (Laenge der Segmente, Anzahl der Stationen pro Segment etc.), die bis dato mit Internetworking- Komponenten wie Repeatern, Multiport-Repeatern, Bridges und Routern umgangen werden konnten. Die traditionellen Busverbindungen reichten auf Dauer jedoch nicht aus, um den steigenden Anfor- derungen der Anwender - sprich: redundante Verbindungen, kostenguenstigere Verkabelungsoptionen sowie Abhoersicherheit gerecht zu werden.
Nicht zuletzt aus diesem Grund kamen immer mehr Hersteller mit Lichtwellenleiter-Komponenten (zur galvanischen Trennung) sowie geschirmten beziehungsweise ungeschirmten gedrillten Leitungen (Shielded beziehungsweise Unshielded Twisted Pair) fuer sternfoermige Verkabelungen auf den Markt. Im Token-Ring-Bereich konnten damit zunaechst Ringtopologien mittels Ringleitungsverteilern gebildet werden, die den Anschluss von acht Endgeraeten an sogenannte "lobe ports" ermoeglichten. Bei den Ringleitungsverteilern handelt es sich um passive Komponenten, die ueber keine eigene Stromversorgung verfuegen. Die Restriktionen in puncto Token-Ring-Verkabelung sind uebrigens bei weitem nicht so eng gefasst wie bei Ethernet. So koennen ueber 30 Ringleitungsverteiler zu einem Gesamtnetz verbunden werden. Die Grenzwerte fuer maximale Entfernungen werden - aehnlich wie im Ethernet - durch den Einsatz von Glasfaser, Repeatern und Bridges erweitert.
Anfang der 80er Jahre begann man - bedingt durch die sowohl bei Ethernet als auch bei Token Ring nach wie vor vorhandenen systemimmanenten Beschraenkungen in puncto Uebertragungsgeschwindigkeit - neue Ueberlegungen hinsichtlich lokaler Hochgeschwindigkeitsnetze anzustellen. Dies war letztlich die Geburtsstunde von FDDI. Zunaechst als Hochgeschwindigkeitsverbindung zwischen Mainframes sowie zwischen Mainframes und deren Plattenspeicher konzipiert, stand FDDI sehr bald jedoch im Mittelpunkt ganz anderer Anwendungsszenarien - naemlich als Backbone fuer die LAN-Protokolle Ethernet und Token Ring; wobei auch hier ein Token-Ring-aehnliches Steuerungsprinzip als Protokoll diente, wenn auch mit einer Uebertragungsrate von 100 Mbit/s.
Die Netze wuchsen also rasch, wenn auch leider oft unkontrolliert - und damit wuchsen gleichzeitig auch die Probleme. Die Folge: Es wurden verantwortliche Netzadministratoren gesucht, und es entstand ein voellig neues Berufsbild - das des Netz-Managers. Allerdings erschwerten die unkontrolliert gewachsenen Strukturen sowie die meist "passiven" Netzkomponenten ein zentrales Management. Zudem waren entsprechende Softwareloesungen nicht am Markt verfuegbar oder erst in der Entwicklungsphase.
Ende der 80er Jahre tauchten dann - mehr oder weniger als eine logische Konsequenz - erstmals sogenannte Netzwerk-Konzentratoren im Markt auf. Diese meist modular konzipierten Internetworking- Komponenten waren in der Lage, verschiedene Uebertragungsmedien in einer Box zu koppeln, verfuegten ueber eine eigene Stromversorgung und erleichterten dadurch ganz wesentlich den strukturierten Aufbau sowie die Verkabelung eines LANs.
Passive Netzkomponenten erschwerten Administration
So weit zur Geschichte. Heute werden bereits die zweite beziehungsweise dritte Generation dieser Netzwerk-Konzentratoren angeboten. Deren Standardeigenschaften sind in erster Linie die Mehrkanal- oder Multinetzfaehigkeit, also die Moeglichkeit, aus einer Bandbreite von Kanaelen unterschiedliche oder gleichartige Netze zu bilden (beispielsweise mehrere Ethernet-, Token Ring- und FDDI-Netze oder eine Mischung daraus), gepaart mit einer sogenannten Multimediafaehigkeit, die es dem Anwender erlaubt, aus einem weiten Spektrum von Uebertragungsmedien (Glasfaser, Koaxialkabel, Twisted Pair und andere) auszuwaehlen und den Konzentrator damit bestuecken.
Hinzu kommen Features wie modularer Aufbau - der Konzentrator verfuegt ueber Steckplaetze, die individuell mit verschiedensten Modulen bestueckt werden koennen (wie zum Beispiel Glasfaser-Module, Transceiver-Module, Bridges und Router) - sowie Administrierbarkeit. Dies wird ueber ein dediziertes Management- Modul realisiert, sprich: mit integriertem Management-Agenten, in der Regel SNMP-basiert, der die Verwaltung des Konzentrators uebernimmt und Befehle von einem zentralen Management-System ausfuehrt sowie Ereignisse an dieses Management-System weitergibt.
Der Systembus heutiger Konzentratoren ist bei einigen Herstellern so ausgelegt, dass bis zu drei unabhaengige Ethernet-, sieben Token- Ring- oder vier FDDI-Topologien unterstuetzt werden. Sollen mehrere unterschiedliche Protokolle gleichzeitig in einem System gefahren werden, reduziert sich diese Zahl, eine Modifikation am Bus beziehungsweise Controller ist jedoch nicht erforderlich. Fuer alle drei genannten Protokolle steht dem Anwender meist eine Vielzahl von Modulen fuer die heute gebraeuchlichen Uebertragungsmedien zur Verfuegung. Zusaetzlich dazu werden integrierte Internetworking- Komponenten wie Router und Bridges sowie Module fuer asynchrone Verbindungen angeboten. Letztere verfuegen ueblicherweise sowohl ueber LED-Indikatoren zur Statusanzeige als auch ueber Dip-Switches fuer die manuelle Konfiguration.
Management-Module fuer den Systemadministrator
Durch den Einsatz solcher protokollspezifischer Management-Module wird die Arbeit eines Systemadministrators in der Regel erheblich erleichtert. Ist etwa ein Terminal an die auf einem Management- Modul vorhandene RS-232-Schnittstelle angeschlossen ("Out-of-band- Management"), koennen die Hubs sowie alle spezifischen Einschubkarten durch ein zeichenorientiertes Command-line- Interface ohne grafische Unterstuetzung angesprochen werden. Darueber gestatten, wenn man so will, integrierte SNMP-Agenten den Zugang zur naechsten "Komfortstufe" in Sachen Management, naemlich die Kontrolle des Konzentrators ueber ein zentrales Netzmanagement- System ("Inband-Management").
Die Ansprueche eines Netzadministrators an die Hard- und Softwarekomponenten eines intelligenten Systemkonzentrators sind natuerlich im Laufe der Zeit erheblich gestiegen. Als wohl wichtigste Kriterien gelten in diesem Zusammenhang Redundanz beziehungsweise Fehlertoleranz - vor allem in Umgebungen, in denen eine extrem hohe Verfuegbarkeit des Netzes die zentrale Forderung schlechthin ist (Beispiel: Banken, Versicherungen, Fertigungsbetriebe, militaerische Einrichtungen). Als Standard gilt hier momentan die Moeglichkeit, Module waehrend des Betriebes auswechseln oder zusaetzlich implementieren zu koennen ("hot swap"), aber auch die Verfuegbarkeit einer Backup-Stromversorgung beim Ausfall des sogenannten Primaerbereiches.
Konzentratoren verfuegen deshalb oft ueber einen ausschliesslich passiven Systembus, um die Anfaelligkeit fuer Stoerungen zu verringern. Der Systembus wird ueber diversitaer auslegbare Controller-Module getaktet, was bedeutet, dass bei Ausfall des Primaer-Controllers eines der Sekundaer-Module dessen Funktion uebernimmt. Auch andere Module, beispielsweise die Management- Module, lassen sich heute mehrfach redundant konfigurieren, um auf diese Weise die Verfuegbarkeit eines Konzentrators zu steigern.
Die Redundanzanforderungen betreffen dabei nicht nur den Konzentrator. Wichtige Verbindungen, wie zum Beispiel ein Glasfaser-Backbone muessen doppelt ausfuehrbar sein. Einzelne Hersteller bieten im Ethernet-Bereich darueber hinaus die Moeglichkeit an, strategisch wichtige Stationen ueber Zweifachverkabelung (Glasfaser oder Twisted Pair) mit den entsprechenden Transceivern an das Netz anzuschliessen (vgl. Abbildung). Die redundanten Leitungen lassen sich auch ueber unterschiedliche Verkabelungssysteme (zum Beispiel Primaerverbindung Glasfaser, Sekundaerverbindung Twisted Pair) sowie unterschiedliche Konzentratoren (Backup-Konzentratoren) schalten. Die Umschaltung zwischen Primaer- und Sekundaer-Verbindung erfolgt dabei bei Glasfaserleitungen im Microsekunden-Bereich.
In Token-Ring-Umgebungen koennen fehlerhafte Verbindungen automatisch aus dem Ring herauskonfiguriert werden ("Ring wrapping"). Dabei werden zwischen den jeweiligen Token-Ring- Konzentratoren vier Glasfaserstraenge gelegt (Primaer- und Sekundaerleitungen), von denen im Fehlerfall zwei alle Transmit- und Receive-Daten transportieren koennen ("Main-Backup-Prinzip"). In FDDI-Netzen werden hingegen defekte Verbindungen durch einen sogenannten "Optical Bypass" umgangen.
Der Sicherheitsaspekt gewinnt also im Hinblick auf eine, mehr und mehr auch im Bereich unternehmenskritischer Applikationen zunehmende Vernetzung (Controlling, Finanz- und Personalwesen) zunehmend an Bedeutung. Der Zugang zu den Management-Modulen sollte daher ueber mehrere Ebenen hinweg passwortgeschuetzt sein.
Schutz der Ports vor unbefugtem Zugriff
Das automatische Ausloggen nach einer vorgebenen Zeit muss dabei ebenso selbstverstaendlich sein wie die Zuordnung verschiedener Passworte und Zugriffsprivilegien fuer die im Netz vorhandenen Management-Systeme. Darueber hinaus gilt es auch, einzelne Ports gegen unbefugten Zugriff zu schuetzen. Dies geschieht im Normalfall durch die Zuordnung einer MAC-Adresse zum jewei- ligen Port. Bei Aenderung der Adresse erfolgt entweder die Meldung an den Netzadministrator via SNMP oder die automatische Partitionierung (Abklemmen vom Netz) des betreffenden Ports.
Die staendige Verfuegbarkeit von Echtzeit- und kumulierten statistischen Informationen ueber das gesamte Netz sind also zur fruehzeitigen und nach Moeglichkeit praeventiven Problemerkennung und -loesung unverzichtbar. Einzelne Management-Module ermoeglichen hier die jeweilige Zuordnung zu einem der benutzten Kanaele und die Beobachtung aller wichtigen Parameter bis auf Portebene. Dazu gehoeren unter anderem Informationen wie die Netzlast mit Zeitangabe, die Anzahl fehlerhafter Pakete sowie die Adresse des letzten fehlerhaften Pakets (last error address). Bei Ueberschreitung vordefinierter Schwellenwerte lassen sich so im zentralen Management-System Routinen implementieren, die ohne direktes Eingreifen des Systemadministrators ablaufen sowie entsprechende Massnahmen einleiten, etwa die Umkonfigurierung eines Moduls zu einem anderen Ethernet-Segment oder Token Ring.
Probleme treten im Netz oft auch bei der Erprobung neuer Hard- und Software auf. Um die mit den Tests involvierten Benutzer vom Netz "fernzuhalten", muessen ganze Module wie auch bestimmte Ports isoliert, das heisst ohne Verbindung zum Netz betrieben werden und so ein unabhaengiges Subnetz bilden - eine Methode uebrigens, die oft auch zur Fehlersuche im Netz angewendet wird. Zudem koennen auch unterschiedliche Versionsstaende von Firm- und Software in den aktiven Komponenten eines Netzes zu Irritationen bei Systemadministrator und Benutzer gleichermassen fuehren. Hier fuehrt - insbesondere bei grossen und weitverzweigten Netzen eine zentralisierte Aktualisierung der Netzsoftware von einem dedizierten Server aus - zu einer erheblichen Zeit- und Kostenersparnis.
Die Vielzahl an Informationen und Konfigurationsdetails innerhalb eines komplexen Netzes erfordert aber mehr und mehr auch deren Darstellung und Verarbeitung in grafischer Form. Hier ermoeglicht beispielsweise das "Ondemand Network Control System" (NCS) von Chipcom sowohl fuer Unix- als auch DOS-basierte Systeme unter einer X11- beziehungsweise DOS/Windows-Benutzeroberflaeche das Erstellen von netzrelevanten Grafiken und Echtzeitstatistiken sowie bis auf Portebene die grafische Konfiguration des Konzentrators im 2-D- Abbild.
In grossen unternehmensweiten Netzen, in denen viele aktive Komponenten verschiedener Hersteller zum Einsatz kommen, sind heute vielfach schon strategische Entscheidungen zugunsten "offener" Management-Loesungen getroffen worden. Bei diesen Systemem, etwa Suns "Net Manager", Digitals "Polycenter", IBMs "Netview" oder HPs "Openview", ist es unerlaesslich, die herstellerspezifischen Informationen zu integrieren. Dies ist auch das erklaerte Ziel der meisten NCS-Komponenten-Hersteller. Manche Systeme besitzen darueber hinaus eine offene Architektur, um zusaetzliche Applikationen von Softwareherstellern mit noch weiter spezialisierten Werkzeugen - beispielsweise den sogenannten "Remedys Health Providern" - zu integrieren.
Konzentratoren machen Netz-Management effektiver
Die Effizienz und Flexibilitaet eines den Anforderungen der 90er Jahre gemaessen Netz-Managements sind also von der Intelligenz und den Eigenschaften aktiver Komponenten wie Konzentratoren abhaengig. Diese befaehigen den Netzadministrator, Routineaufgaben wie die Erstellung von Redundanz- und Sicherheitskonzepten, Trouble- Shooting sowie Dokumentation weitgehend zu automatisieren und die fuer ihn wichtigen statistischen Daten des Netzes und aller Teilnehmer staendig (auch in grafischer Form) abrufen zu koennen. Die hier nicht behandelten Port-Switching-Techniken bieten, in Verbindung mit der Multiprotokoll- beziehungsweise Multimediafaehigkeit eines Mehrkanalkonzentrators eine sinnvolle und wirksame Moeglichkeit, den Netz-Manager zu entlasten, damit dieser sich seinen eigentlichen Aufgaben wie Tuning und Erweiterungsplanung widmen kann. Die zukuenftige Entwicklung intelligenter Netzwerkmanagement-Systeme laesst hier vor allem in puncto Designunterstuetzung sowie Selbstdiagnose und -heilung durchaus noch weitere Fortschritte erwarten.