Datenströme
Mit Layer- 4- Switching lassen sich regelbasierte Netze realisieren. Welche Möglichkeiten bieten diese Funktionen, und wie kann aus den neuen Techniken das richtige Netzdesign abgeleitet werden? Durch die Notwendigkeit einer garantierten Bandbreite beispielsweise zur Übertragung von Videos und Sprache sowie durch die erhöhten Sicherheitsfunktionen haben sich Datennetze zu komplexen Systemen entwickelt. Die Intranets, Extranets, Internets und lokalen Workgroups erfordern die dynamische Anpassung der Verkehrsströme an die jeweiligen Anforderungen der Nutzer. Nach der Einführung von Layer- 3- Switches (Routing- Switches) werden jetzt die Switches um eine Funktion auf der Schicht 4 (Transportschicht) des OSI- Modells erweitert. Diese Produkte bezeichnet man als Layer- 4- Switches.
Zum Verständnis des Layer-4-Switching muß die Funktion des OSI-Layer 4 durchleuchtet werden. Der Transport-Layer ist für die Ende-zu-Ende-Kommunikation zwischen zwei Netzkomponenten verantwortlich. Auf dieser Schicht sind die Transportprotokolle angesiedelt. Zu den bekanntesten Schicht-4-Protokollen gehören das Transmission-Control-Protokoll (TCP) und das User-Datagram-Protokoll (UDP). Zur Aufteilung der seriellen Datenströme der unteren Schichten auf die spezifischen Anwendungen dienen die Sockets. Ein Socket ist ein virtueller Port, über den die Schicht 4 mit der jeweiligen Anwendung kommuniziert. Diese Portnummern werden somit in den TCP- und UDP-Headern zur eindeutigen Kennzeichnung der TCP/IP-Applikationen im IP-Paket benutzt. Zu den Applikationsprotokollen gehören typische IP-Dienste wie HTTP, SMTP, Telnet oder FTP. Anhand dieser Informationen leitet das Endsystem die Daten des IP-Pakets an die zugehörigen höheren Schichten weiter. Die Kombination von Portnummer und der zugehörigen IP-Adresse des Clients bildet einen Socket.
Well-known-Ports im Überblick
Dienst |
Portnummer |
Protokoll |
| FTP Data |
20 |
TCP |
| FTP |
21 |
TCP |
| Telnet |
23 |
TCP |
| SMTP |
25 |
TCP |
| DNS |
53 |
UDP |
| BootP-Server |
67 |
UDP |
| BootP-Client |
68 |
UDP |
| TFTP |
69 |
UDP |
| POP3 |
110 |
TCP |
| RPC (NFS) |
111 |
UDP |
| exec |
512 |
UDP |
| printer |
515 |
TCP |
| uucp |
540 |
UDP |
| rfile |
750 |
TCP |
In der TCP/IP-Welt sind die Portnummern nach Gruppen kategorisiert.
Die Portnummern 1 bis 255 werden als Well-known-Ports bezeichnet. In dieser Gruppe sind
sämtliche Standardanwendungen der TCP/IP-Protokolle zusammengefaßt. Der IP-Dienst zur
Übermittlung von E-Mails (SMTP) kommuniziert auf der Seite des Mailservers immer mit dem
Well-known-Port 25. Der Filetransfer (FTP) benutzt zwei Well-known-Ports (Port 21 zur
Steuerung des Transfers und Port 20 zur Übermittlung der Daten). Für spezielle Unix-Anwendungen
sind die Portnummern von 256 bis 1024 reserviert. Die Ports oberhalb 1024 stehen für
proprietäre Anwendungen bereit. Während beim Layer-2- oder Layer-3-Switching entweder die MAC-Adresse oder die Source-Destination-IP-Adresse
für das Forwarding benutzt wird, fällt ein Layer-4-Switch seine Forwarding-Entscheidungen
zusätzlich mit Hilfe von Portnummern. Somit leitet er ein Datenpaket anhand folgender
Kriterien weiter:
-
Destination-IP-Adresse (IP-Adresse des Empfängers)
-
Destination-Port (Zielport des Empfängers)
-
Source-IP-Adresse (IP-Adresse des Senders)
-
Source-Port (Zielport des Senders)
Ein Layer-4-Switch ist also in der Lage, bei Routing-Entscheidungen
aufgrund der Applikation eine selbsttätige Priorisierung der Pakete vorzunehmen.
|
Layer-4-Switching in der Praxis |
|
|
Mit Hilfe von Layer-4-Switches ist es möglich, für bestimmte
Applikationen individuelle Forwarding-Entscheidungen zu definieren. Beispielsweise lassen
sich kritischen Client/Server-Applikationen (SAP R/3, Datenbankzugriffe, Voice over IP)
eigene Forwarding-Regeln zuweisen. Ein solches Paket wird von einem Port des Layer-4-Switches
empfangen und anhand dieser Regeln zum Zielrechner übertragen. Durch die individuelle
Festlegung von Service-Leveln lassen sich die ankommenden Datenströme trennen und mit
Prioritäten versehen. Das Abarbeiten von Routing-Filtern auf Basis von Layer-4-Informationen gehört zwar
auch zu den Standardfunktionen von traditionellen Routern und Layer-3-Switches. Bei Layer-4-Switches
werden die Filterfunktionen jedoch in Hardware-Chips (Asics) realisiert. Dies beschleunigt
die Filtergeschwindigkeit erheblich, und das Packet-Filtering arbeitet annähernd mit der
maximalen Übertragungsgeschwindigkeit des Mediums (zum Beispiel Ethernet, Fast Ethernet,
Gigabit Ethernet). Ein Filter besteht aus einer oder mehreren Sequenzen, innerhalb derer zu prüfende
Kriterien und auszuführende Handlungen spezifiziert werden. Wenn die Filterkriterien
erfüllt sind, kann eine zuvor vom Nutzer festgelegte Aktion ausgeführt werden. Im
gegenteiligen Fall (fehlende Übereinstimmung) kann eine alternative Handlung erfolgen.
Dementsprechend wird der Datentransport zwischen einzelnen Kommunikationskomponenten
erlaubt oder unterbunden.
Aber auch das Eintreten spezieller Ereignisse registriert der Switch
auf Wunsch. Daher übernehmen Layer-4-Switches auch bestimmte Sicherheitsfunktionen. Sie
arbeiten zum Beispiel als Packet-Filter-Firewall oder kontrollieren den Datenverkehr nach
Source- und Destination-Adressen und Portnummern. Mit Hilfe der Layer-4-Switches läßt sich das Netz optimal auf die eingesetzten
Applikationen abstimmen. Durch die individuelle Konfiguration der Layer-4-Switches
definiert der Administrator im Netz die Anforderungen der Anwendungen. Anders als bei
reinen Layer-2- und Layer-3-Systemen werden hier die angeschlossenen Endgeräte und die
darauf eingesetzten Applikationen in die Transportentscheidung des Netzes einbezogen. Zum effizienten Einsatz dieser neuen Switching-Methode müssen die Geräte über
zusätzliche Filterfunktionen auf Basis von Asics verfügen. Reine Software-Lösungen
arbeiten zu langsam und verursachen hohe Performance-Verluste. Voraussetzung ist also,
daß ein Layer-4-Switch viele Filtereinträge identifizieren und speichern kann. Es muß
darauf geachtet werden, daß die Anzahl der Filter den möglichen Applikationsprotokollen
und Kommunikationsbeziehungen entspricht.
Die Automatisierung des Netzbetriebs und die regelbasierte Steuerung
der Datenflüsse im Netz machen es notwendig, eine Vielzahl von Parametern zu verwalten
und miteinander zu verknüpfen. Für den regelbasierten Netzbetrieb muß der Administrator
das Verhalten des Netzes beziehungsweise der einzelnen Layer-4-Switches festlegen. Hierzu
ist ein zentraler Policy-Dienst notwendig. Die im Netz definierten Verhaltensmuster und
Parameter werden in einer Datenbank zentral zusammengeführt und auf dem Policy-Server
verwaltet. Die hier festgelegten Regeln werden auf die jeweiligen Layer-4-Switches
übertragen. Auf diese Weise läßt sich der Datenverkehr von Endgerät zu Endgerät
direkt im Netz dynamisch steuern. Zum Austausch der Policy-Daten zwischen einem Policy-Client und einem Policy-Server
veröffentlichte das IETF (Internet Engeneering Task Force) das Policy-Protokoll unter dem
Namen Common Open Policy Service (Cops) als Internet-Draft. Das Cops-Protokoll ist die
Basis für den Austausch von Policy-Informationen zwischen einem Policy-Server (Policy
Decision Point, PDP) und den angeschlossenen Cops-Clients (Policy Enforcement Points,
PEPs). In den Policy-Clients (Router, Layer-3-Switches) muß zur Verkehrs- und
Bandbreitensteuerung das Reservation-Protokoll (RSVP) implementiert sein. Die aktuellen Regeln (Parameter und Attribute) für den Datenverkehr beziehungsweise
für die betreffende Session übermittelt der Policy-Server über eine TCP/IP-Verbindung
an den Policy Enforcement Point (PEP) in der betreffenden Netzwerkkomponente. Hier werden
die Parameter mit den Konfigurationen des Local Decision Points (LDP) verglichen und bei
Bedarf Änderungen (beispielsweise bei den Filtern oder Prioritäten vorgenommen.
In jeder Cops-Message identifizieren sich die Clients anhand einer
individuellen Client-Kennung. Der Kontext jedes Requests ist abhängig von der jeweiligen
Situation, die den Policy-Event auslöst. Um eine kontinuierliche Kommunikation zwischen
Cops-Client und Server zu garantieren, wird die Verbindung kontinuierlich mit Hilfe von
Keep-alive-Messages überprüft. Bei Übertragungs- oder Sessionfehlern muß der PEP
versuchen, von sich aus automatisch wieder die Verbindung zum PDP oder einer Backup-Komponente
aufzubauen. Nach dem Wiederaufbau der Verbindung synchronisieren sich sämtliche
Konfigurationen zwischen PEP und PDP erneut.
Fazit Mit Hilfe des Layer-4-Switchings definiert der Administrator die
Regeln des dynamischen Netzbetriebs. Erst durch die Integration und das Zusammenspiel von
Filterfunktionen und einem zentralen Filtermanagement kann ein modernes, flexibel
reagierendes Netzwerk aufgebaut und eine leistungsstarke Ende-zu-Ende-Lösung realisiert
werden. Bis eine komplette und umfassende Lösung in Form von Produkten zur Verfügung
steht, werden jedoch noch einige Monate vergehen. Daher ist es beim Kauf von Layer-4-Switches
wichtig, auf die Upgrade-Fähigkeit der Produkte besonderen Augenmerk zu legen.
|
