Router- und Switchentwurf

Aktualisiert: 17. Mrz 2004

Download des

Router- und Switchentwurf

Auf dieser Seite
ModulübersichtModulübersicht
ZielsetzungZielsetzung
BetrifftBetrifft
Verwendung dieses ModulsVerwendung dieses Moduls
EntwurfsrichtlinienEntwurfsrichtlinien
GerätedefinitionenGerätedefinitionen
KlassenKlassen
SwitchklassenSwitchklassen
Klasse 1 - Unveränderbare preisgünstige SwitchesKlasse 1 - Unveränderbare preisgünstige Switches
Klasse 2 - Flexible preisgünstige SwitchesKlasse 2 - Flexible preisgünstige Switches
Klasse 3 - Switches der mittleren PreisklasseKlasse 3 - Switches der mittleren Preisklasse
Klasse 4 - High-End-SwitchesKlasse 4 - High-End-Switches
RouterRouter
RouterklassenRouterklassen
Klasse 1 - SoftwarerouterKlasse 1 - Softwarerouter
Klasse 2 - Unveränderbare preisgünstige RouterKlasse 2 - Unveränderbare preisgünstige Router
Klasse 3 - Flexible preisgünstige RouterKlasse 3 - Flexible preisgünstige Router
Klasse 4 - Router der mittleren PreisklasseKlasse 4 - Router der mittleren Preisklasse
Klasse 5 - High-End-RouterKlasse 5 - High-End-Router
Klasse 6 - ISP-RouterKlasse 6 - ISP-Router
SicherheitSicherheit
Sicherheitsgesichtspunkte für RouterSicherheitsgesichtspunkte für Router
Sicherheitsgesichtspunkte für SwitchesSicherheitsgesichtspunkte für Switches
Schnappschuss eines sicheren NetzwerksSchnappschuss eines sicheren Netzwerks
ZusammenfassungZusammenfassung
Zusätzliche InformationenZusätzliche Informationen

Modulübersicht

In diesem Modul werden die Methoden für das Auswählen von Switches und Routern beschrieben. Es werden die in diesen Geräten verfügbaren Features vorgestellt, und Sie werden bei der Bestimmung erforderlicher Features unterstützt. Switches und Router werden in Klassen unterteilt, die nach typischen Features unterschieden werden. Mithilfe dieser Klassen sollten Sie die für Ihr Unternehmen erforderlichen Typen von Switches und Routern bestimmen können. Es stehen viele Typen von Switches und Routern zur Verfügung. Da sie häufig über ähnliche Features zu verfügen scheinen, kann sich die richtige Auswahl als schwierig erweisen. In diesem Modul werden die wichtigsten Features beschrieben, und Sie erfahren, wie diese Ihre Anforderungen erfüllen. Darüber hinaus wird die Sicherheit von Switches und Routern vorgestellt und beschrieben, wie Sie die Sicherheit der Router- und Switchkonfiguration gewährleisten.

Zum SeitenanfangZum Seitenanfang

Zielsetzung

Unterstützung bei der Auswahl der entsprechenden Switches und Router für die Organisation.

Bestimmen der wichtigsten Sicherheitsaspekte für Router und Switches.

Sichern der Router- und Switchkonfigurationen.

Zum SeitenanfangZum Seitenanfang

Betrifft

Die Informationen in diesem Modul gelten für folgende Technologien:

Ethernet-Switches

Ethernet- und Internetprotokoll (IP)-Switches

Zum SeitenanfangZum Seitenanfang

Verwendung dieses Moduls

Dieses Modul hilft Ihnen beim Auswählen der entsprechenden Switches und Router für Ihr Unternehmen. Es enthält eine Checkliste mit erforderlichen Features in Switches und Routern und beschreibt die Arbeitsweise jedes Features. Sie können mit dieser Checkliste die für Sie erforderlichen Features bestimmen. Anschließend werden die Switches und Router in Gruppen unterteilt, basierend auf den Features, die jede Gruppe aufweist. Die Anforderungen eines Unternehmens werden nicht von einem einzelnen Switch oder Router erfüllt. Durch Vergleichen der Anforderungen mit den Klassen, können Sie das beste Produkt für jeden Standort bestimmen.

Zum SeitenanfangZum Seitenanfang

Entwurfsrichtlinien

Dieser Abschnitt beschreibt die Anforderungen für Router und Switches im Unternehmensnetzwerk, die Gerätetypen, die diese Anforderungen erfüllen können, und die für den Einsatz verfügbaren Optionen. Router und Switches sind zwei kritische Komponenten im Netzwerk, und die richtige Auswahl dieser wichtigen Geräte gewährleistet, dass das Netzwerk schnelle und zuverlässige Dienste liefert und an die sich schnell ändernden Anforderungen angepasst werden kann.

Entwurfseingaben

Beim Implementieren von Switches und Routern sind die folgenden Angaben erforderlich:

Netzwerkarchitektur

Routingprotokolle

Verfügbarkeit

Netzwerkarchitektur

Entwerfen Sie Ihr Netzwerk, bevor Sie bestimmen, welche Klassen von Routern und Switches benötigt werden. Entwerfen Sie wo diese Geräte in Beziehung zueinander positioniert werden und welche Funktionalität erforderlich ist. Die folgenden Informationen über den Netzwerkentwurf sind erforderlich, bevor Sie die Router- und Switchklassen auswählen:

1.

Wie viele Geräte befinden sich zurzeit im Netzwerk, wie viele benötigen momentan Verbindungen, und welche voraussichtliche Erweiterung ist zukünftig zu erwarten?

2.

Welche Geräte müssen mit welchen anderen Geräten kommunizieren?

3.

Welche Bandbreite ist zwischen den verschiedenen miteinander kommunizierenden Geräten erforderlich?

4.

Wo ist Switching (im Vergleich zu Routing) im Netzwerkentwurf erforderlich?

5.

Sind virtuelle lokale Netzwerke (VLANs) erforderlich und in welcher Anzahl, welche Hosts befinden sich auf welchem VLAN, und wird Routing zwischen den VLANs ausgeführt?

6.

Welches ist die akzeptable Wartezeit?

Netzwerkdesign

Für die Vielzahl vorhandener Organisationsstrukturen kommen viele Netzwerkarchitekturen in Betracht. Jedoch können zwei gängige Modelle als Grundlage für Ihren Entwurf verwendet werden. Die mehrschichtige Switchingarchitektur, die vielleicht in Ihrem Hauptsitz eingesetzt werden kann, und die Architektur für kleinere Zweigstellen.

Abbildung 1 enthält ein Beispiel einer mehrschichtigen Architektur, die in der Regel verwendet wird, wenn eine öffentliche Websiteschicht und eine Back-End-Datenbankschicht vorhanden sind. Beginnend bei der öffentlich zugänglichen Seite des Netzwerks ist das erste Segment einwärts ein Grenznetzwerk mit einem Grenzrouter, der an das Internet grenzt und erste Firewallfunktionen bietet. Dem Router folgt ein Switch, der den Router mit einer Perimeterfirewall verbindet, bei der es sich um eine robustere Firewall handelt. Die Perimeterfirewall wiederum ist über einen Switch mit den Webservern im Perimeternetzwerk verbunden, die Webserver sind über einen weiteren Switch mit einer internen Firewall verbunden. Die interne Firewall ist dann mithilfe eines Switches mit den internen Servern und Benutzercomputern in dem Back-End-Netzwerk verbunden. Diese Abbildung zeigt einen logischen Entwurf, physisch kann es sich jedoch bei allen Switches um einzelne VLANs auf demselben Switch handeln. Als Grenzswitch sollte ein separates Gerät eingesetzt werden, da sich dieser in einer weniger sicheren Zone befindet. Der Back-End-Switch kann sich aus mehreren Switches zusammensetzen, je nachdem, ob Sie einen einzelnen Switch oder mehrere kleine Switches bevorzugen.

Mehrschichtige Switchingarchitektur

Abbildung 1
Mehrschichtige Switchingarchitektur

In Abbildung 2 wird eine Architektur für die Verwendung in einer kleinen Zweigstelle dargestellt. Diese besteht aus drei Netzwerkgeräten: aus einem Modem, einem Router und einem Switch. Diese Geräte können je nach Netzwerkverbindung in zwei Geräten oder in einem einzelnen Gerät vereint werden. Kostengünstige Router enthalten häufig einen Ethernet-Switch und eine Firewallfunktion, während für eine Breitbandverbindung im Router auch ein Modem integriert werden kann.

Architektur für kleine Zweigstellen

Abbildung 2
Architektur für kleine Zweigstellen

Routingprotokolle

Beim Entwerfen des Netzwerks muss eine wichtige Entscheidung darüber getroffen werden, welche Routingprotokolle für den Austausch von Routinginformationen verwendet werden. Router benötigen Routingtabellen, um anzugeben, wie Zielnetzwerke erreicht werden. Routingtabellen können manuell als statische Routen konfiguriert werden, diese sind jedoch nur für kleine Netzwerke geeignet. Alternativ können Routingprotokolle verwendet werden, wobei die Routingtabelle automatisch durch Durchsuchen von anderen Netzwerken erstellt wird. Wenn eine Verbindung fehlschlägt, wird die fehlgeschlagene Verbindung automatisch aus der Routingtabelle entfernt. Dadurch kennt der Router immer die beste aktive Route zu einem Zielnetzwerk.

In der folgenden Aufzählung werden die beiden primären in einem Netzwerk verwendeten Standard-Routingprotokolle (RIP und OSPF) beschrieben sowie ein spezielles Protokoll, BGP.

Routinginformationsprotokoll (RIP)
Das Routinginformationsprotokoll (RIP) wurde für den Austausch von Routinginformationen in einem kleinen bis mittleren Internetzwerk entworfen und steht in einer Vielzahl von Routern zur Verfügung.

Der größte Vorteil des RIP-Protokolls ist seine einfache Konfiguration. Es hat jedoch auch verschiedene Nachteile: Es kann nicht in umfangreichen Netzwerken eingesetzt werden, es verursacht erheblichen Netzwerkverkehr und reagiert langsam auf Netzwerkfehler (Konvergenzzeit). Aus diesen Gründen wird es in der Regel nur für kleine lokale Netzwerke (LANs) empfohlen.

Kürzesten Weg zuerst öffnen (Open Shortest Path First, OSPF)
OSPF ist ein Standard-Routingprotokoll, das sehr effizient ist und sich besonders für weitflächige Netzwerke eignet. Die Vorteile des OSPF sind, dass es eine sehr geringe Netzwerkauslastung verursacht, auch in sehr umfangreichen Internetzwerken, und schnell auf Verbindungsfehler reagiert. Die Hauptnachteile des OSPF sind die Komplexität und die schwierigere Konfiguration und Administration.

Die meisten Unternehmensnetzwerke verwenden heute das OSPF als Routingprotokoll, da es effizienter als das RIP-Protokoll ist. Es ist in der Regel für mittlere bis große Router und in einigen Fällen auch für kleinere Router verfügbar.

Border Gateway Protocol (BGP)
Das BGP ist ein äußeres Gatewayroutingprotokoll, das bei internetverbundenen Routern verwendet wird, um sowohl Routingverfügbarkeit als auch Lastenausgleichsfunktionen zur Verfügung zu stellen. Im Allgemeinen ist das BGP nur bei großen Routern verfügbar, und Sie sollten die Konfiguration mit Ihrem Internetdienstanbieter (Internet Service Provider, ISP) absprechen.

Verfügbarkeit

In einem Netzwerk ist eine hohe Verfügbarkeit erforderlich, je umfangreicher das Netzwerk ist, desto höher ist die erforderliche Verfügbarkeit. Router und Switches können auf verschiedene Weise konfiguriert und aufgestellt werden, damit diese Verfügbarkeitsanforderungen erfüllt werden. Diese umfassen doppelte Komponenten, wie zum Beispiel die Netzteile in den Netzwerkgeräten, und die Verdopplung der Geräte selbst. Die zweite Methode verteuert das Ganze, ergibt jedoch eine absolut ausfallsichere Lösung.

Zum SeitenanfangZum Seitenanfang

Gerätedefinitionen

In diesem Abschnitt werden die folgenden Typen von Netzwerkgeräten definiert:

Switches

Router

Diese Geräte befinden sich im Kern des Netzwerks und verbinden alle Segmente des lokalen Netzwerks (LAN) und des WAN miteinander.

Switches

Switches werden verwendet, um physische Segmente eines Netzwerks miteinander zu verbinden, damit der Datenfluss zwischen diesen Segmenten möglich ist. Switches arbeiten auf der Schicht 2 des OSI-Modells und steuern den Verkehr anhand der Adresse der Schicht 2, zum Beispiel der Ethernet-MAC-Adresse. Einige Switches bieten darüber hinaus zusätzliche Funktionen, wie zum Beispiel VLANs und Switching in Schicht 3.

Switches konfigurieren sich automatisch selbst. Sie überwachen den Verkehr auf jedem Ethernet-Port und ermitteln, mit welchem Port jedes angeschlossene Gerät verbunden ist. Der Switch leitet den Verkehr dann direkt an den Zielport. Wenn keine zusätzlichen Features aktiviert werden müssen, erfordert der Switch keine Konfiguration, was ein großer Vorteil beim Installieren eines Netzwerks ist. Der Switchingprozess wird in der Hardware mit Leitungsgeschwindigkeit ohne Zugriffswartezeit ausgeführt.

Ursprünglich wurden über Switches Segmente mit mehreren Geräten verbunden, als jedoch die Preise für Switches fielen, wurde häufig an jedem Port ein einzelnes Gerät angeschlossen. Dies wird als "vermitteltes" Ethernet im Gegensatz zum "gemeinsam genutzten" Ethernet bezeichnet. Mit nur einem aktiven Gerät pro Port können keine Kollisionen auftreten, wodurch die Netzwerkleistung verbessert wird und die Geräte im Vollduplexmodus laufen können, um einen höheren Datendurchsatz zu erzielen.

Der Netzwerkverkehr umfasst Broadcastmeldungen, die für jeden Port kopiert werden müssen. Dies hat in großen Netzwerken eine signifikante Auswirkung. Da die meisten Benutzer mit einer begrenzten Gruppe von Servern kommunizieren möchten, könnte der Broadcastdatenverkehr nur innerhalb dieser Gruppe gesendet werden. Eine Möglichkeit zum Reduzieren des Broadcastdatenverkehrs ist die Bereitstellung von einem Switch für jede Gruppe und diese Switches dann mithilfe eines Routers miteinander zu verbinden, da ein Router keine Broadcastmeldungen überträgt. Eine weitere Möglichkeit ist das Verwenden von VLANs in Verbindung mit dem Switch. Ein VLAN ist eine Gruppe von Geräten, die so konfiguriert wurden, dass sie so kommunizieren, als ob sie an die gleiche Leitung angeschlossen sind. In Wirklichkeit befinden sich diese in verschiedenen physischen LAN-Segmenten. Ein Broadcastmeldung von einem Mitglied des VLAN wird nur an die anderen Mitglieder des gleichen VLAN weitergeleitet, wodurch die Ausbreitung von Broadcastdatenverkehr reduziert wird.

Router

Router arbeiten auf der Schicht 3 des OSI-Modells. Sie leiten Verkehr zwischen zwei verschiedenen IP-Netzwerken weiter, bei denen es sich sowohl um LANs als auch um WANs handeln kann. Der Routingprozess basiert auf dem Überprüfen des Ziel-IP-Adresse der eingehenden Daten und dem Senden der Daten anhand einer Routingtabelle über einen Ausgangsport. Routingtabellen können manuell mithilfe von Routingprotokollen konfiguriert oder durchsucht werden. Im Gegensatz zu Switches erfordern Router jedoch immer eine gewisse Konfiguration.

Große Switches können ebenfalls einen Router enthalten, der sich in der Regel auf einer Zusatzkarte befindet. Dies wird häufig als Switching der Schicht 3 bezeichnet, entspricht jedoch von den Funktionen her dem Routing.

Zum SeitenanfangZum Seitenanfang

Klassen

Router und Switches wurden in Klassen unterteilt, um die verschiedenen Ebenen der verfügbaren Geräte und der zur Verfügung stehenden Features anzugeben. Wenn ein Router oder ein Switch einer bestimmten Klasse zugeordnet werden kann, unterstützt dieser alle Features dieser Klasse von Geräten.

Verschiedene Kernfeatures bilden die allgemeinen Router- und Switchklassen. Neben der Aktualisierungsmöglichkeit, der Flexibilität und der Ausfallsicherheit ist besonders die Verarbeitungsleistung eines Routers oder Switches ein wichtiges Kriterium. Preisgünstige Switches und -Router wurden in der Regel für eine bestimmte Aufgabe entwickelt und verfügen aus Kostengründen über begrenzte Erweiterungsmöglichkeiten. Je weiter Sie in den Klassen nach oben gehen, stehen neben mehr Leistung auch mehr Erweiterungsmöglichkeiten zur Verfügung. Die obersten Klassen bieten darüber hinaus auch eine höhere Ausfallsicherheit.

Beim Auswählen des richtigen Routers oder Switches können die vielen Behauptungen der einzelnen Hersteller, sie hätten die meisten, schnellsten und günstigsten Features, verwirrend sein. Um die Produkte zu bewerten, müssen Sie zwischen den Features und dem Nutzen unterscheiden. Ein Feature eines Produkts ist nur von Nutzen, wenn Sie dieses verwenden können. So ist zum Beispiel die Möglichkeit eines Glasfaserkabelanschlusses im Gegensatz zum Anschluss eines Kupferkabels in großen Rechenzentren von Nutzen, in denen ein Switch mit einem anderen verbunden wird. Diese Eigenschaft ist jedoch in einem kleinen Büro mit nur einem Switch nicht von Nutzen.

Vor der Auswahl eines Switches oder Routers sollte jedoch das Netzwerk entworfen werden. Anschließend sollten die für diesen Entwurf am besten geeigneten Geräte festgelegt werden. Vermutlich eignen sich mehrere Entwürfe, weshalb die verschiedenen Architekturen verglichen werden sollten. Während die Anschaffungskosten ein wichtiges Kriterium sind, sollten auch die laufenden Kosten bedacht werden, da ein kostengünstiges Gerät hohe Betriebskosten aufweisen kann.

Bei einer großen Organisation ist eine wichtige Entwurfsentscheidung, ob am zentralen Standort mehrere Switches oder wenige sehr leistungsfähige Switches verwendet werden. Der bevorzugte Entwurf verfügt über wenige leistungsfähige Switches. Dies hängt jedoch zum Teil von der physischen Raumaufteilung der Büros des zentralen Standorts ab. Viele kleine Switches können zu Verwaltungsproblemen führen, während größere Switches VLANs erfordern und aufwändiger zu konfigurieren sind.

Allgemeine Features von Switches und Routern

Switches und Router weisen die folgenden allgemeinen Features auf. Jedes Feature wird beschrieben und bewertet. Überprüfen Sie beim Lesen der Aufzählung, ob jedes Feature für Ihre Organisation relevant ist. So verfügen zum Beispiel viele Unternehmen über einen großen Hauptsitz und mehrere kleine Zweigstellen. Der Hauptsitz erfordert wahrscheinlich Features wie Ausfallsicherheit und Skalierbarkeit, während geringe Kosten eher bei den kleinen, jedoch zahlreichen Büros von Bedeutung sind.

In dieser Aufzählung werden wünschenswerte Features aufgeführt, die sowohl Switches als auch Router aufweisen. Der Aufzählung folgen einzelne Features, die entweder ein Switch oder ein Router aufweist.

Skalierbarkeit
Die Erweiterung der Anzahl der Ethernet-Ports ist in der Regel sehr nützlich, besonders an großen Standorten, wo die Zahl der Benutzer und Server zunehmen kann. Sie möchten sicherlich keinen Switch installieren, der für zukünftige Erweiterungen nicht geeignet ist, da dieser eines Tages entfernt oder durch einen anderen Switch ersetzt werden muss. Switches verfügen entweder beziehungsweise sind:

über eine unveränderbare Konfiguration mit einer festgelegten Anzahl von Ethernet-Ports.

flexibel, so dass zur Erweiterung der Portdichte zusätzliche Karten hinzugefügt werden können.

vollständig erweiterbar, in der Regel basierend auf einem leeren Gehäuse und leichter Erweiterbarkeit.

Erweiterungsmöglichkeiten in Routern sind ebenfalls wünschenswert, jedoch ist die Bedarf an Erweiterungen nicht so hoch wie bei Switches. In Routern ändern sich häufig die WAN-Verbindungen, entweder weil die WAN-Technologie zum Beispiel von ISDN zu ADSL geändert wird, oder weil zusätzliche WAN-Verbindungen implementiert werden.

Während Erweiterungsmöglichkeiten immer wünschenswert sind, ist dies ein Kostenfaktor, und für Zweigstellen kann ein Switch oder Router mit unveränderbarer Konfiguration das effektivste Produkt darstellen.

Hochgeschwindigkeits-Ethernet-Unterstützung
Die Standardgeschwindigkeit des heutigen Ethernets ist 100 Mbit/s, im Gegensatz zu ursprünglichen 10 Mbit/s. Die Kosten von Ethernet im Gigabitbereich fallen drastisch, jedoch ist die Verwendung auf Server und Backboneverbindungen zwischen Switches beschränkt, da Computerkarten immer noch teuer sind. Das Ethernet mit 10 Gbit/s ist auch schon verfügbar und wird bei fallenden Kosten wahrscheinlich das Ethernet im Gigabitbereich für die meisten wichtigen Backboneverbindungen ersetzen. Alle Switches und Router sollten das 100 Mbit/s Ethernet unterstützen. Höhere Geschwindigkeiten werden in der Regel nur von Modellen im mittleren oder hohen Bereich unterstützt.

Ausfallsicherheit
Was passiert, wenn eine Komponente des Switches oder Routers ausfällt? Fällt die ganze Einheit aus, oder weist der Switch oder Router eine redundante Konstruktion auf, so dass dieser in Betrieb bleibt? Switches und Router der oberen Ebene verfügen häufig über doppelte Komponenten, wie zum Beispiel Netzteile, Engines und Switchstrukturen. Auf diese Weise beeinträchtigt ein Fehler nicht den Betrieb. Bei einem großen Gerät mit vielen Verbindungen ist dies ein sehr wichtiges Feature. Bei einem kleineren Switch oder Router, zum Beispiel in einem kleinen Zweigstellenbüro, sind diese zusätzlich Kosten häufig nicht gerechtfertigt. Können alternativ zwei Switches oder Router parallel ausgeführt werden? Während der eine in Betrieb ist, befindet sich der andere im Standbymodus, und übernimmt die Funktion, wenn das erste Gerät ausfällt. Ist ein Mechanismus verfügbar, der dieses Umschalten automatisch ausführt?

Verwaltungsmöglichkeiten
Switches nehmen den Betrieb auf, ohne daß die Konfiguration erforderlich ist. Sie erkennen die Netzwerktopologie durch Überwachen der Ethernet-Datenpaketübertragung und durch Ableiten der Portpositionen von jedem Gerät. Alle Switches führen diese Funktion aus. Für weitere Konfigurations- und Überwachungszwecke ist jedoch Zugriff auf den Switch erforderlich. Switches des unteren Bereichs verfügen über keine Konfigurationsoptionen. Mit steigendem Featureumfang ist jedoch eine Konfiguration erforderlich, um diese Features bestmöglich zu nutzen.

Router erfordern immer eine Konfiguration, um die IP-Adressen sowie die zu verwendende Methode für das Generieren von Routingtabellen zu definieren.

Für das Konfigurieren und Verwalten der Geräte ist der Remotezugriff über das Netzwerk erforderlich. Dadurch können die Verwaltungskosten erheblich reduziert werden, da die Geräte nicht mehr aufgesucht werden müssen, um Probleme zu beheben. Zusätzlich können die Geräte durch eine Netzwerkverwaltungssoftware überwacht werden, die Fehler automatisch erfasst und meldet.

Voice-over-IP (VoIP)
VoIP bietet die Möglichkeit, Sprache über das lokale Ethernetnetzwerk und eventuell über das WAN zu übertragen. Die unmittelbaren Vorteile sind die Reduzierung der Verkabelung, da die Sprache sich das Ethernet-Kabel zusammen mit den Daten teilt, anstatt ein eigenes Telefonnetz zu verwenden. Die zukünftigen Vorteile liegen in der steigenden Flexibilität beim Positionieren von Personal und Ausrüstung. Die ursprüngliche Nebenstellenanlage wird in der Regel durch eine IP-Nebenstellenanlage ersetzt. Diese basiert auf einer Standardcomputerplattform, anstatt auf spezieller Hardware.

In einer Datenzentrale mit einem vorhandenen Telefonnetz, ist VoIP in der nächsten Zeit häufig nicht notwendig. Es kann jedoch zukünftig erforderlich sein, wenn die Organisation wächst oder die Geschäftsanforderungen sich entwickeln. Switches und Router, die für die Handhabung von VoIP geeignet sind, sollten zwei Features aufweisen:

Unterstützung des Standards IEEE 802.1p, Quality of Service (QoS)
Dieser Standard ermöglicht dem Switch das Priorisieren des Verkehrs nach Daten und Sprache, so dass die Sprache vor den Daten gesendet wird.

Unterstützung des Standards IEEE 802.3af (Inline-Netzteil für IP-Telefone)
Dieser Standard ermöglicht dem Switch, ein Niederspannungsnetzteil über das UTP-Kabel der Ethernet-Kategorie 5 bereitzustellen, um IP-Telefone zu betreiben.

Sicherheit
Die Sicherheit wird zunehmend zu einer wichtigen Anforderung in allen Netzwerkkomponenten. Das Implementieren von Sicherheit wird weiter unten in diesem Abschnitt detaillierter behandelt, jedoch sollten Switches und Router unter Berücksichtigung der Sicherheit bewertet werden, um herauszufinden, ob spezielle Features vorhanden sind, die das Implementieren von Sicherheit vereinfachen.

Es sind zwei Sicherheitsbereiche involviert. Der erste Bereich sind Sicherheitsverletzungen, die vom Netzwerk ausgeführt werden, und die das Gerät unterbinden kann. Der zweite Bereich beinhaltet Sicherheitsverletzungen, die auf das Gerät selbst zielen. Die erste Kategorie kann sich am Gerät orientieren und das Gerät selbst mit einschließen. Verfügt das Gerät (hauptsächlich Router) über eine Firewallfunktion? Die zweite Kategorie sind Attacken, die Zugriff auf die Konfiguration des Geräts beabsichtigen. Können, um Letzteres zu verhindern, zusätzliche Kontrollen implementiert werden, die den Konfigurationszugriff beschränken?

Kostengünstige Switches können in der Regel nicht konfiguriert werden und verfügen über keine IP-Adressen. Daher sind sie relativ geschützt vor netzwerkinternen Attacken. Große Switches und Router verfügen in der Regel über ausgeklügelte Zugriffssteuerungsmechanismen, und können ebenfalls konfiguriert werden, um Verletzungen zu beschränken. Switches und Router der mittleren Klasse sind wahrscheinlich die am wenigsten geschützten Geräte. Wenn jedoch ein gutes Firewallsystem verwendet wird, können externe Eindringungen vermieden werden.

Unterstützt das Gerät VLANs zum Verbessern der Sicherheit, indem der Benutzerzugriff auf zugehörige Server eingeschränkt wird?

Support
Der Support des Herstellers ist in einem umfangreichen Netzwerk sehr wichtig. Im Allgemeinen ist der Support davon abhängig, was Sie bezahlen. Bei kostengünstigen Geräten steht in der Regel nur E-Mail-Support zur Verfügung, ohne eine garantierte Antwortzeit. Je teurer ein Gerät ist, desto komplexer ist es wahrscheinlich auch, so dass Sie unter Umständen einen Supportvertrag benötigen. Durch Erwerben aller Switches und Router von dem gleichen Hersteller werden Probleme zwischen den Geräten reduziert, die auftreten können, wenn jeder Hersteller den anderen für auftretende Schwierigkeiten verantwortlich macht.

Produktbereich und Herstellerrealisierbarkeit
Für jede Klasse von Switches und Routern finden sich Hersteller, die das beste Gerät für diese Klasse bieten. Sie sind jedoch unter Umständen nicht in der Lage, Geräte in den anderen Klassen zur Verfügung zu stellen. Im Bereich der kleinen Büros finden sich zum Beispiel viele Hersteller mit guten Produkten zu wettbewerbsfähigen Preisen. Die meisten dieser Hersteller produzieren jedoch keine Produkte, die für den Einsatz in Großunternehmen in Frage kommen. Da viele Hersteller unter starkem Wettbewerbsdruck stehen und möglicherweise zur Geschäftsaufgabe gezwungen werden, sollten auch die Beständigkeit des Herstellers sowie der Service beachtet werden, den der Hersteller bei Problemen bietet.

Kosten
Zwangsläufig sind die Erwerbskosten der ausschlaggebende Faktor bei der Geräteauswahl, jedoch sollten die laufenden Kosten ebenfalls mit eingeschlossen werden. Switches werden häufig auf der Grundlage ihres Preises pro Port klassifiziert. Dies wird berechnet, indem die Gesamtkosten des Switches durch die Anzahl der Ethernet-Ports geteilt wird, um die einzelnen Kosten von jedem Port zu erhalten. Diese Berechnung sollte nur verwendet werden, um Switches derselben Klasse zu vergleichen, da so die zusätzlichen Features höherer Klassen nicht berücksichtigt werden. So haben beispielsweise einfache Switches den besten Preis pro Port, jedoch auch die wenigsten Features. Router können nicht mit der gleichen Methode zum Kostenvergleich differenziert werden. Sie sollten jedoch anhand der Routingleistung und -Flexibilität verglichen werden. Sie können unter Umständen dazu verleitet werden, eine Auswahl aufgrund des wettbewerbsfähigsten Preises in jeder Klasse zu treffen. Es müssen jedoch auch die Betriebs- und Wartungskosten berücksichtigt werden, wie zum Beispiel die Kosten für Personalsschulungen in den verschiedenen Methoden der Gerätekonfiguration für jeden Hersteller.

Leistung
Das Beurteilen der Verarbeitungsgeschwindigkeit oder Leistung eines Routers oder Switches ist komplexer als die Beurteilung eines Computers, bei dem die Leistung der CPU als Anhaltspunkt verwendet werden kann. Ein Router oder Switch basiert in der Regel auf herstellereigener Hardware und bietet keine genauen Angaben über die Gesamtleistung, obwohl eine CPU vorhanden ist. Die Leistung eines Switches wird sowohl durch die Anzahl von Bit pro Sekunde (Bit/s) als auch durch die Anzahl der Pakete pro Sekunde (pps) bestimmt, während die Leistung eines Routers in der Regel nur durch die Anzahl der Pakete pro Sekunde bestimmt wird. Die Hersteller von Routern und Switches geben die Leistung ihrer Geräte häufig nicht an. Darüber hinaus ist kein Standard für das Messen der Leistung vorhanden, was einen direkten Vergleich erschwert. Die Hersteller von kleinen Routern geben darüber hinaus auch nicht die Leistungsdiagramme an.

Switchspezifische Features

In diesem Abschnitt werden die für Switches spezifischen Features vorgestellt.

Spanning-Tree-Protokoll
Das Spanning-Tree-Protokoll wird zur Berechnung des besten Pfads zwischen Switches verwendet, wenn mehrere Switches und mehrere Pfade über das Netzwerk zur Verfügung stehen. Dies ist notwendig, um ein gleichzeitiges Senden der Daten über mehrere Pfade zu verhindern, was eine Duplikation der Daten hervorrufen würde. In einem großen Netzwerk ist es wichtig, dass dieses Protokoll von den Switches unterstützt wird, jedoch ist dieses Protokoll in kleinen Switches häufig nicht verfügbar.

VLAN-Unterstützung
VLANs werden zur Segmentierung von Netzwerken in Gruppen von Computern mit ähnlichen Kommunikationsanforderungen verwendet, wodurch der Netzwerkverkehr reduziert wird. Sie können in Netzwerken jeder Größe eingesetzt werden, sind jedoch besonders in Netzwerken hilfreich, in denen wenige sehr große Switches installiert sind. Kostengünstige Switches unterstützen häufig keine VLANs. In einem kleinen Netzwerk ist das unbedeutend, in großen Netzwerken ist eine VLAN-Unterstützung jedoch wichtig.

Uplink-Verbindungsmöglichkeit
Uplink-Verbindungen werden verwendet, um Switches im Netzwerk miteinander zu verbinden. Während alle Switches über gewöhnliche Ethernet-Verbindungen verbunden werden können, unterstützen Switches in höheren Klassen Verbindungen mit höheren Geschwindigkeiten, indem sie Bündelprotokolle verwenden, die für Switch-zu-Switch-Verbindungen bestimmt sind.

Konsolidierung
Das Vereinen anderer Funktionen in dem Switch kann die Kosten senken und die Verwaltungsmöglichkeiten erhöhen. So können zum Beispiel kostengünstige Switches, die für kleine Zweigstellen bestimmt sind, ebenfalls einen Router und eine Firewall enthalten, und vielleicht sogar ein Breitbandmodem. Neben dem Reduzieren der Kosten vereinfacht dieses auch die Verwaltungsmöglichkeiten, da nur eine physische Einheit vorhanden ist. High-End-Switches können ebenfalls ein Routermodul beinhalten, das als Switching der Schicht 3 bezeichnet wird, sowie weitere Funktionen, wie zum Beispiel Lastausgleich und eine Firewall. Wie bereits erwähnt, verbessert dies die Verwaltungsmöglichkeiten des Netzwerks. Diese Konsolidierung sollte gut überlegt sein, da sie durch einen Totalausfall des Geräts alle vereinten Dienste lahm legen eine Reduzierung der Ausfallsicherheit nach sich ziehen könnte.

Zum SeitenanfangZum Seitenanfang

Switchklassen

In diesem Abschnitt wird eine Reihe von Switchklassen definiert. Die Klassen überlappen, weshalb ein bestimmtes Modell eines Herstellers aufgrund von Aktualisierungsoptionen mehreren Klassen angehören kann, oder zwei verschiedene Modelle dieses Herstellers derselben Klasse angehören können. Folgende Switchklassen werden in diesem Abschnitt behandelt:

Klasse 1 - Unveränderbare preisgünstige Switches

Klasse 2 - Flexible preisgünstige Switches

Klasse 3 - Switches der mittleren Preisklasse

Klasse 4 - High-End-Switches

Zum SeitenanfangZum Seitenanfang

Klasse 1 - Unveränderbare preisgünstige Switches

Preisgünstige Switches verfügen über begrenzte Features und Erweiterungsmöglichkeiten und über keine Fehlertoleranz. Diese Switchklasse wurde für eine festgelegte Ethernet-Portnummer (in der Regel zwischen 4 und 24) entwickelt. Die eingeschränkte Leistung ist in der Regel im Hinblick auf die Verbindungsbeschränkungen ausreichend.

Die Switches dieser Klasse sind kostengünstig, jedoch fehlen Aktualisierungsmöglichkeit und Flexibilität. Die Ethernet-Verbindungsmöglichkeit ist in die Hardware integriert und die Features des Geräts (zum Beispiel die Anzahl der Ports) können nicht an veränderliche Anforderungen angepasst werden. Preisgünstige Switches wurden für den eigenständigen Betrieb entwickelt, ohne den Verkehr mit anderen Switches koordinieren zu müssen. Sie unterstützen möglicherweise keine Features, wie zum Beispiel Spanning-Tree-Protokoll, Remoteverwaltung, Hochgeschwindigkeits-Uplink-Verbindungen und VLANs. Uplink-Verbindungen mit anderen Switches werden in der Regel mit der Ethernet-Standardgeschwindigkeit unter Verwendung eines speziellen Ports oder eines Ethernet-Crossoverkabels unterstützt. Die Switchfunktion kann auch mit einem Router kombiniert werden.

Diese Switches sind in der Regel auf die Verwendung in kleinen Büros, Zweigstellen von großen Organisationen und auf Heimanwender zugeschnitten. Die fehlenden Verwaltungsmöglichkeiten haben wahrscheinlich keine Auswirkungen auf kleine Unternehmen oder private Benutzer. Bei der Verwendung in Zweigstellen eines Unternehmens kann sich dies jedoch als ausschlaggebender Nachteil herausstellen. Die Tabelle 1 fasst die Switchfeatures der Klasse 1 zusammen.

Tabelle 1: Klasse 1 - Unveränderbare preisgünstige Switches

Allgemeine Features

Keine Konfiguration erforderlich oder verfügbar

Keine Erweiterungsmöglichkeit

Wahrscheinlich keine Unterstützung für das Spanning-Tree-Protokoll

Keine VLAN-Unterstützung

Keine Remote-Verwaltung

Beschränkte Herstellerunterstützung

Keine VoIP-Unterstützung

Niedrige Kosten

Vorteile

Die Vorteile von unveränderbaren preisgünstige Switches umfassen:

Erschwinglichkeit:
Diese Geräte sind aufgrund ihres physischen Aufbaus und ihrer Features sowie der vielen konkurrierenden Hersteller in der Regel kostengünstig. Wenn die Defizite für die Verwendung unerheblich sind, bieten Sie das beste Preis-/Leistungsverhältnis unter allen Switchklassen in Bezug auf den Preis pro Port.

Einfache Konfiguration:
Diese Geräte verfügen in der Regel über keine Konfigurationsoptionen und sind sehr einfach zu installieren. Der Switch ermittelt seine Umgebung und konfiguriert sich selbst. Der Fehlen der Konfigurationsoptionen ist ein Vorteil, wenn der Switch an einem Remotestandort installiert ist, weil auf diese Weise ein Eingriff nicht möglich ist.

Nachteile

Die Nachteile von unveränderbaren preisgünstige Switches umfassen:

Nicht erweiterbar:
Als Folge des kostengünstigen Aufbaus können diese Geräte in der Regel nicht erweitert werden, wenn zusätzliche Ethernet-Ports erforderlich sind.

Keine Konfiguration und Verwaltungsmöglichkeit:
Diese Geräte verfügen über keine konfigurierbaren Optionen und über kein Konfigurationsprogramm, um eine Remoteverwaltung oder -überwachung zu aktivieren. In der Regel werden diese Geräte an kleinen Remotestandorten ohne technischen Support installiert, wodurch die fehlenden Überwachungsmöglichkeiten einen schwerwiegenden Mangel darstellen können. Als eine weitere Folge der fehlenden Konfigurationsmöglichkeiten unterstützt der Switch nicht das Spanning-Tree-Protokoll oder VLANs, wodurch diese Switchklasse nicht als bevorzugte Wahl für ein großes und zentrales Unternehmensnetzwerk angesehen werden kann.

Eingeschränkter Support:
Der Support für diese Klasse ist in der Regel eingeschränkt und wird über Websites, FAQs und E-Mail-Kontakte ohne Servicegarantie zur Verfügung gestellt. Der Konkurrenzkampf ist hart. Die Lebensdauer eines Produkts ist sehr kurz, und die Modelle werden häufig ersetzt, während sich gleichzeitig der Support für veraltete Modelle verschlechtert. Die Gewährleistung beschränkt sich auf den Ersatz, der nicht garantiert in einem festgelegten Zeitraum geleistet wird. Wenn das Gerät nach der Gewährleistungszeit ausfällt, kann es nicht kosteneffektiv repariert werden. Der Supportumfang kann aufgrund der einfachen Konstruktion des Geräts und der Kosteneinsparungen beim Erwerb unter Umständen als angemessen angesehen werden.

Zum SeitenanfangZum Seitenanfang

Klasse 2 - Flexible preisgünstige Switches

Flexible preisgünstige Switches verfügen über ähnliche Fähigkeiten wie die unveränderbaren preisgünstigen Switches, jedoch ist die Hardware erweiterbar, um Änderungen in den Anforderungen zu unterstützen. In der Regel ermöglichen diese Switches eine Erweiterung der Anzahl der Ethernet-Ports (mit mehr Ports als ein unveränderbarer Switch), bieten flexiblere Uplink-Verbindungsfunktionen (häufig Ethernet im Gigabitbereich) und unterstützen das Spanning-Tree-Protokoll. Normalerweise bieten sie einen höheren Durchsatz von Ethernetverkehr als unveränderbare Switches, da sie eine größere Anzahl von Ports unterstützen müssen. Sie sind außerdem teurer als unveränderbare preisgünstige Switches, da sie erweiterbar sind und häufig über Remoteverwaltungsmöglichkeiten und VLAN-Unterstützung verfügen. Stapelbare, unveränderbare Konfigurationsswitches können der gleichen Klasse zugeordnet werden. Sie bieten die gleichen technischen Features, unterstützen jedoch die Erweiterung durch Stapeln von neuen Switches auf vorhandene Switches, die über einen Hochgeschwindigkeitsbus verbunden werden, so dass sie als ein einzelner Switch agieren. Beachten Sie, dass für die Bezeichnung "Stapelbar" keine einheitlich Definition vorhanden ist. Bei einigen Herstellern bedeutet dies, dass ein Switch physisch auf einem anderen Switch positioniert werden kann. Für diese Klasse wird davon ausgegangen, dass beide Switches mit einem Hochgeschwindigkeitsbus verbunden sind und als einzelner Switch verwaltet werden.

Flexible preisgünstige Switches können dort verwendet werden, wo Erweiterungen erwartet werden, oder wo ein unveränderbarer preisgünstiger Switch nicht genügend Ports bietet. Die Einsatzbereiche umfassen Stockwerke von Gebäuden, Abteilungen, Remotezweigstellen oder den Einzeleinsatz in kleinen Organisationen. Die Anschaffungskosten sind höher als bei den unveränderbaren preisgünstigen Switches, auf lange Sicht können Erweiterungen jedoch vorgenommen werden, ohne dass der Switch ersetzt werden muss. Da flexible preisgünstige Switches in der Regel über mehr Verbindungsmöglichkeiten als unveränderbare preisgünstige Switches verfügen, können sie in größeren Büros eingesetzt werden. Die Tabelle 2 fasst die Switchfunktionen der Klasse 2 zusammen.

Tabelle 2: Klasse 2 - Flexible preisgünstige Switches

Allgemeine Features

Aktualisierungsmöglichkeit der Ethernet-Ports

Flexibilität der Uplink-Verbindungsports

Erweiterbar auf mehr Ethernet-Ports als ein Switch der Klasse 1

Spanning-Tree-Protokoll

Konfigurationsmöglichkeiten, Verwaltungsmöglichkeiten und Remotezugriff

Einfache VoIP-Unterstützung

VLAN-Unterstützung

Kosten - niedrig bis hoch

Vorteile

Die Vorteile von flexiblen preisgünstigen Switches umfassen:

Erschwinglichkeit:
Diese Geräte weisen höhere Kosten pro Port als ein Switch der Klasse 1 auf. Sie bieten jedoch bessere Verwaltungsfeatures und Erweiterungsmöglichkeiten und sind im Vergleich zu Switches höherer Klassen kostengünstiger.

Aktualisierungsmöglichkeit:
Diese Geräte weisen Methoden zum Erhöhen der Anzahl der Ethernet-Ports auf, entweder durch Hinzufügen zusätzlicher Ports zur Basiseinheit, oder durch Hinzufügen einer zusätzlichen Basiseinheit zur vorhandenen Einheit, indem diese direkt mit dem internen Bus verbunden wird. Der Uplink-Verbindungsport, der für die Verbindung mit anderen Switches verwendet wird, kann mit einer Vielzahl von Verbindungsmedien verwendet werden, einschließlich Ethernet im Gigabitbereich sowie Glasfaser- und Kupferverbindungen.

Konfigurierbarkeit:
Für diese Switches können das Spanning-Tree-Protokoll und VLANs konfiguriert werden. Diese Geräte eignen sich daher für die Verwendung in Unternehmensnetzwerken. Diese Switches unterstützen ebenfalls die Remoteverwaltung und -Überwachung.

Nachteile

Die Nachteile von flexiblen preisgünstigen Switches umfassen:

Unflexible Aktualisierungsmöglichkeit:
Diese Geräte bieten in der Regel nur eine begrenzte Erhöhung der Anzahl der Ethernet-Ports und begrenzte Änderungen der Features des Uplink-Verbindungsports. Das Hinzufügen einer anderen Stapeleinheit führt zu einer umfangreichen Erhöhung der Portanzahl, auch wenn nur wenige zusätzliche Ports erforderlich sind. In der Regel stehen keine Optionen für das Hinzufügen anderer Features zur Verfügung, wie zum Beispiel das Switching in Schicht 3.

VoIP-Unterstützung ist begrenzt:
Auch wenn VoIP momentan nicht erforderlich ist, kann die Verfügbarkeit wichtig werden, wenn eine Organisation ihr Telefonnetz aktualisiert hat.

Geringe oder eingeschränkte Ausfallsicherheit:
In der Regel weisen diese Switches nur eine geringe Ausfallsicherheit auf. Das einzige Ausfallsicherheitsfeature, falls verfügbar, ist ein redundantes Netzteil.

Zum SeitenanfangZum Seitenanfang

Klasse 3 - Switches der mittleren Preisklasse

Switches der mittleren Preisklasse bieten eine höhere Leistung sowie eine wesentlich höhere Portdichte und mehr Erweiterungsmöglichkeiten als Switches der Klasse 2. Sie weisen darüber hinaus eine höhere Ebene der Verwaltungsmöglichkeiten, Redundanz und Ausfallsicherheit auf. In der Regel umfassen diese Switches modulare Gehäuse anstatt feste Gehäuse mit einsteckbaren Portkarten. Es stehen häufig Gehäuse in verschiedenen Größen mit unterschiedlicher Anzahl von Steckplätzen zur Verfügung. Diese Switches umfassen normalerweise mehrere austauschbare, redundante Netzteile, während die Ausfallsicherheitsfeatures Protokolle enthalten, um das Umschalten zu einem alternativen Switch durchzuführen. Sie können ebenfalls ein zweites Modul zur Verfügung stellen. Dies ist die Prozessoreinheit des Switches, die die Funktionsfähigkeit im Falle des Ausfalls des ersten Switches gewährleistet.

Diese Switches können verwendet werden, um die Kernvermittlung in einem mittleren Unternehmen oder in größeren Zweigstellen zu übernehmen, oder um Abteilungen einer großen Organisation für den Anschluss an einen größeren Switch zusammenzufügen. Sie bieten eine hohe Flexibilität und Erweiterungsmöglichkeiten für WAN- und LAN-Verbindungen und verfügen in der Regel über einen langen Lebenszyklus, da sie auf zukünftige Technologien aktualisiert werden können. Die Tabelle 3 fasst die Switchfunktionen der Klasse 3 zusammen.

Tabelle 3: Klasse 3 - Switches der mittleren Preisklasse

Allgemeine Features

Chassis-Systemeinheit mit Chassis in unterschiedlichen Größen

Redundante Netzteile

Hohe Ethernet-Portdichte

Flexible Uplink-Verbindungsports

Konfigurationsmöglichkeiten, Verwaltungsmöglichkeiten und Remotezugriff

Spanning-Tree-Protokoll

VLAN-Unterstützung

VoIP-Unterstützung

Switching in Schicht 3

Redundante Netzteile

Redundantes Modul

Kosten - hoch

Vorteile

Die Vorteile von Switches der mittleren Preisklasse umfassen:

Kosteneffektivität:
Auch wenn der Preis der Basiseinheit eines Switches der mittleren Preisklasse höher als der Preis der preisgünstigen Switches ist, reduziert sich der Preis erheblich beim Erweitern der Portanzahl der Einheit. Dies gilt insbesondere für Modelle mit größerem Gehäuse.

Einfache Konfiguration:
Diese Geräte verfügen über komplexere Features, wie zum Beispiel VLANs, die konfiguriert werden müssen. Diese Switchklasse bietet neben der herkömmlichen Befehlszeilenmethode grundsätzlich eine browserbasierte Grafikoberfläche für die Konfiguration. Die gleichen Tools können auch verwendet werden, um die Aktivität remote zu verwalten und zu überwachen.

Verwaltung:
Diese Switchklasse bietet überlegene Features für Verwaltungsmöglichkeiten aufgrund verbesserter Softwaretools und speziell entworfener Hardwarefeatures.

Ausfallsicherheit:
Mit steigender Portkapazität bei dem Switch wird die Ausfallsicherheit wichtiger. Diese Klasse von Switches bietet ein optionales redundantes Netzteil und Modul.

Skalierbarkeit und langer Lebenszyklus:
Da diese Switches auf einem Chassis basieren, sind alle Verbindungsoptionen Steckkarten. Dadurch kann die Einheit einfach aktualisiert werden, wenn sich die Anforderungen ändern oder neue Technologien kostengünstiger werden. Auf diese Weise wird auch die Lebensdauer der Switches verlängert, wohingegen Switches der unteren Klassen möglicherweise ersetzt werden müssen.

Nachteile

Die Nachteile von Switches der mittleren Preisklasse umfassen:

Höhere Kosten:
Diese Geräte weisen höhere Grundkosten als die unteren Klassen auf, obwohl sie mit höherer Portdichte kosteneffektiver werden, insbesondere für die großen Chassis.

Komplexe Konfiguration:
Da diese Geräte über mehr Optionen verfügen, ist die Konfiguration komplexer, obwohl sie durch grafische Konfigurationstools unterstützt wird.

Zum SeitenanfangZum Seitenanfang

Klasse 4 - High-End-Switches

High-End-Switches bieten eine hohe Leistung, eine höhere Erweiterbarkeit, sehr hohe Fehlertoleranz und Möglichkeiten für die hohe Verfügbarkeit. Die Hardwarekonstruktion ist sehr flexibel und bietet mehrere Verbindungsoptionen zusammen mit weiteren Optionen, wie zum Beispiel mehrere Netzteile und Prozessoren, und weiteren Features, die das System sehr ausfallsicher machen.

Der Schwerpunkt liegt mehr auf Hochgeschwindigkeitsprotokollen, wie zum Beispiel ein asynchroner Übertragungsmodus (Asynchronous Transfer Mode, ATM) für die Verbindung zu anderen Netzwerkgeräten. Diese Switches bieten äußerste Flexibilität beim Unterstützen verschiedener Hardwaremedien, einschließlich Kupfer- und Glasfaserkabel, und verfügen über die Leistung, mehrere Ethernet-Verbindungen im Gigabitbereich zu betreiben. Diese Switchklasse kann auch ein Routermodul enthalten, wodurch die Switches auch als Router agieren können. Diese Fähigkeit ist besonders für das Verbinden von VLANs hilfreich. Die Tabelle 4 fasst die Switchfunktionen der Klasse 4 zusammen.

Tabelle 4: Klasse 4 - High-End-Switches

Allgemeine Features

Chassis-Systemeinheit

Redundante Netzteile

Hohe Ethernet-Portdichte

Flexible Uplink-Verbindungsports

Ethernetunterstützung mit 10 Gigabit

Konfigurationsmöglichkeiten, Verwaltungsmöglichkeiten und Remotezugriff

Spanning-Tree-Protokoll

VLAN-Unterstützung

VoIP-Unterstützung

Switching in Schicht 3

Switching in Schichten 4 bis 7

Sicherheitsfeatures

Redundante Netzteile

Redundantes Modul

Kosten - hoch

Vorteile

Die Vorteile von High-End-Switches umfassen:

Kosteneffektivität:
Wie schon die Switches der Klasse 3 weisen auch die Switches dieser Klasse einen hohen Preis für die Basiseinheit auf. Jedoch sinken die Kosten pro Port erheblich, wenn die Einheit erweitert und die Portdichte erhöht wird.

Verwaltung:
Genau wie die Switches der Klasse 3 bietet diese Switchklasse überlegene Features für Verwaltungsmöglichkeiten aufgrund verbesserter Softwaretools und speziell entworfener Hardwarefeatures.

Ausfallsicherheit:
Mit steigender Portkapazität wird die Ausfallsicherheit immer wichtiger. Diese Klasse der Switches bietet erweiterte Ausfallsicherheitsfeatures wie redundante und austauschbare Netzteile, redundante Module und eine redundante Switchstruktur.

Skalierbarkeit und langer Lebenszyklus:
Da diese Switches auf einem Chassis basieren, sind alle Verbindungsoptionen Steckkarten. Dadurch kann die Einheit einfach aktualisiert werden, wenn sich die Anforderungen ändern oder neue Technologien kostengünstiger werden. Auf diese Weise wird auch die Lebensdauer der Switches verlängert, anders als bei Switches der unteren Klassen, die möglicherweise ersetzt werden müssen.

Sicherheit:
Diese Switchklasse bietet in der Regel erweiterte Sicherheitsfeatures, um das Netzwerk vor Eindringungen zu schützen.

Switching in Schichten 3 bis 7:
Diese Klasse bietet das Switching in Schicht 3 (Routing) als Option. Die Klasse kann darüber hinaus andere erweiterte Features, wie zum Beispiel das Switching in Schichten 4 bis 7, den Lastausgleich und Firewalls, zur Verfügung stellen. Durch diese integrierten Dienste werden die Kosten im Vergleich zu externen Einheiten reduziert und die Leistung verbessert.

Nachteile

Die Nachteile von High-End-Switches umfassen:

Hohe Anschaffungskosten:
Die Anschaffungskosten dieser chassisbasierten Einheiten sind hoch, weil darin die Kosten für Komponenten wie Chassis, Modul und Netzteil enthalten sind. Der Preis pro Port ist besonders hoch, wenn das Chassis weniger Ports enthält. Der Preis pro Port sinkt jedoch, wenn die Portdichte erhöht wird.

Komplexe Konfiguration:
Durch die zusätzlichen Features steigt zwangsläufig die Komplexität beim Konfigurieren der Switches. Für das Konfigurieren der Switches dieser Klasse sind ausgebildete Techniker erforderlich.

Zum SeitenanfangZum Seitenanfang

Router

Für die Ausführung verschiedener Aufgaben im Netzwerk sind verschiedene Klassen von Routern erforderlich, wie zum Beispiel die Grenzrouter, die an das Internet grenzen, die internen Router, die VLANs verbinden, und die Router für kleine Büros.

Routerspezifische Features

In diesem Abschnitt werden die für Router spezifischen Features vorgestellt.

Routingprotokolle
Für Campusrouter sollten eine Reihe von Routingprotokolle zur Verfügung stehen und die Routerauswahl sollte in Übereinstimmung mit dem Netzwerkentwurf und der Routingprotokollauswahl vorgenommen werden. Die häufigsten Standardroutingprotokolle sind RIP und OSPF, wobei das RIP-Protokoll nicht für ein großes Netzwerk geeignet ist.

Bereich der WAN-Verbindungen und Protokolle
Welche Protokolle beabsichtigen Sie in Ihren WAN-Verbindungen zu verwenden und welche werden Sie in Zukunft verwenden? High-End-Router sollten ausgewählt werden, um eine Vielzahl von Hochgeschwindigkeitsverbindungen und Protokollen zu unterstützen, auch wenn Sie diese zurzeit nicht benötigen. Kleine Zweigstellen können DFÜ-, ISDN- oder Breitbandverbindungen enthalten, die von preisgünstigen Routern unterstützt werden sollten. Obwohl eine Breitbandverbindung die beste Auswahl für die aktuelle Struktur der Zweigstelle sein kann, ist diese nicht universell verfügbar und eine DFÜ- oder ISDN-Verbindung ist möglicherweise die einzige Lösung für entfernte Standorte.

Netzwerkadressübersetzung (Network Address Translation, NAT)
Die Netzwerkadressübersetzung wird in Routern eingesetzt, die an das Internet grenzen, um eine einzelne eindeutige Internetadresse in mehrere private Netzwerkadressen zu übersetzen. Dadurch können mehrere Geräte eine einzelne Internetadresse gemeinsam nutzen. Da auf die privaten Adressen nicht direkt von einem anderen Internetbenutzer zugegriffen werden kann, bildet dies eine Sicherheitsmaßnahme. Das Protokoll sollte für Router in einem kleinen Büro verfügbar sein, das über das Internet verbunden ist sowie an großen Standorten für den Grenzrouter.

Dynamic Host Configuration Protocol (DHCP)
DHCP wird verwendet, um Computern automatisch eine IP-Adresse zuzuweisen, so dass deren Adresse nicht manuell konfiguriert werden muss. Dies vereinfacht die Einrichtung des Computers, da dieser für die Verwendung von DHCP konfiguriert werden kann und beim Einschalten und Verbinden mit dem Netzwerk eine Adresse abruft. DHCP ist ebenfalls für Laptopcomputer hilfreich, die an verschiedenen Orten verwendet werden, da diese automatisch eine für den Standort geeignete IP-Adresse erhalten. An zentralen Standorten wird ein DHCP-Dienst auf einem Server unter Microsoft Windows 2000 oder Microsoft Windows Server 2003 ausgeführt, in kleinen Büros befindet sich jedoch unter Umständen kein Server, wodurch es erforderlich sein kann, dass der Router selbst DHCP-Adressen zuweist.

Firewall
Router können ein Firewallfeature zur Verfügung stellen, was für jeden Router nützlich ist, der an das Internet grenzt, wie zum Beispiel ein Zweigstellenrouter oder ein Grenzrouter an größeren Standorten. Obwohl ein großer Router an großen Standorten ratsam ist, befindet sich der Grenzrouter außerhalb der Firewall und muss sich selbst schützen.

Virtuelles Routerredundanzprotokoll (Virtual Router Redundancy Protocol, VRRP)
An großen Standorten können zur Ausfallsicherheit doppelte Netzwerkgeräte installiert sein. Hierbei arbeitet ein Gerät als Hauptgerät, während sich die anderen Geräte im Standbymodus befinden und nur bei einem Ausfall des Hauptgeräts aktiviert werden. VRRP ist ein Protokoll, das in einer Verbindung zwischen den Routern ausgeführt wird, so dass jeder Router darüber informiert wird, wenn ein anderer Router in Betrieb ist. Wenn die Verbindung ausfällt kann das aktive Gerät reagieren.

Virtuelles privates Netzwerk (Virtual Private Network, VPN)
VPNs werden verwendet, um Datenschutz und Sicherheit für eine Verbindung über das Internet zu gewährleisten. Sie bieten eine private Leitung über einen öffentlichen Dienst. Diese Leitung wird hauptsächlich von einzelnen Benutzern, die eine Verbindung von zu Hause aus herstellen, oder kleinen Zweigstellen, die eine Verbindung mit einer zentralen Niederlassung herstellen, verwendet. Es stehen verschiedene Methoden für das Einrichten der VPN-Verbindung zur Verfügung, einschließlich des Startens des Prozesses am Clientcomputer. In diesem Fall ist dem Router die VPN-Verbindung nicht bekannt. Der Router kann jedoch auch mit direkten Router-zu-Router-VPN-Verbindungen konfiguriert werden, wodurch kein Benutzereingriff erforderlich ist. Dies kann in kleinen Zweigstellen erforderlich sein.

Zum SeitenanfangZum Seitenanfang

Routerklassen

Ähnlich wie bei Switchklassen wurden mehrere Klassen definiert, und die Produkte können je nach den verfügbaren Optionen in mehrere Klassen eingeordnet werden. Folgende Routerklassen werden in diesem Abschnitt behandelt:

Klasse 1 - Softwarerouter

Klasse 2 - Unveränderbare preisgünstige Router

Klasse 3 - Flexible preisgünstige Router

Klasse 4 - Router der mittleren Preisklasse

Klasse 5 - High-End-Router

Klasse 6 - ISP-Router

Zum SeitenanfangZum Seitenanfang

Klasse 1 - Softwarerouter

Softwarerouter sind Computersysteme mit einem Standardbetriebssystem auf dem Softwarefunktionen installiert sind, die Routingfunktionen zwischen einem LAN und einem WAN zur Verfügung stellen. Das Computersystem stellt die gewöhnlichen Computerfunktionen bereit, während die Routingfeatures im Hintergrund ausgeführt werden. In der Regel ermöglichen diese Router einer kleinen Anzahl von Computern einen gemeinsam genutzten Internetzugriff für private Benutzer oder kleine Unternehmen. Die Leistung dieser Router ist begrenzt, da die Routingfunktion eine Hintergrundaktivität und keine Hauptfunktion des Geräts ist. Die Leistung hängt ebenfalls von der Aktivität ab, die im Vordergrund ausgeführt wird. Die Ausfallsicherheit ist auf die des Computers begrenzt. Da der Computer häufig eine Arbeitsstation ist, hängt die Ausfallsicherheit besonders davon ab, dass der Benutzer diese nicht ausschaltet. Die Aktualisierungsmöglichkeiten und die Flexibilität sind niedrig, da die Software eine begrenzte Anzahl von WAN-Protokollen unterstützt. Ein Beispiel dieser Klasse von Softwareroutern ist die gemeinsam genutzte Internetverbindung (ICS), die in den Betriebssystemen Windows 98, ME, 2000, 2003 und XP zur Verfügung steht.

Softwarerouter sind für wenige lokale Benutzer und eine bei geringer Anforderung für den WAN-Zugriff empfehlenswert. Sie werden immer häufiger Umgebungen zu Hause verwendet, wenn eine Reihe von Benutzern Internetzugriff über eine einzelne Telefonleitung erfordern. Wenn die Verwendung steigt und die Fähigkeiten dieser Routinglösung erschöpft sind, kann ein entsprechender Hardwarerouter der nächsten Routerklasse installiert werden. Die Tabelle 5 fasst die Routerfunktionen der Klasse 1 zusammen.

Tabelle 5: Klasse 1 - Softwarerouter

Allgemeine Features

Nur Software

Einfache Konfiguration

Integrierte Netzwerkadressübersetzung (NAT)

Keine Routingprotokolle

Kostenlos im Betriebsystem integriert oder zu geringen Kosten erwerbbar

Vorteile

Die Vorteile von Softwareroutern umfassen:

Kostengünstig:
Diese Router erfordern keine zusätzliche Hardwareeinheiten außer einem Modem und sind entweder im Betriebsystem enthalten oder können zu niedrigen Kosten erworben werden. Die geringen Kosten sind der größte Vorteil, jedoch können Nachteile wie fehlende Features oder Leistung diesen Vorteil relativieren.

Einfache Konfiguration:
Die Konfiguration ist in der Regel auf das Einschalten dieser Routingfunktion beschränkt. Die Netzwerkadressübersetzung wird ebenfalls zusammen mit dem DHCP-Protokoll aktiviert, das dann jedem Computer im internen Netzwerk eine private Adresse zuweist.

Nachteile

Die Nachteile von Softwareroutern umfassen:

Inkonsistente Leistung:
Diese Routingfunktion beruht auf der Verarbeitungsleistung eines einzelnen Computers, der in der Regel auch andere Aufgaben gleichzeitig ausführt. Daher ist dessen Leistung begrenzt und variiert. Sie ist in erster Linie für gelegentlichen statt für dauerhaften Internetzugriff geeignet. Obwohl die Routingfunktion für einen eigenständigen Computer angemessen ist, verringert sich die Leistung, wenn mehrere Computer verbunden werden oder die Internetverwendung steigt.

Begrenzte Konfigurationsoptionen:
Da keine Routingprotokolle verfügbar sind, sind die Konfigurationsoptionen in der Regel unerheblich, es stehen nur grundlegende Firewallfeatures zur Verfügung.

Keine Ausfallsicherheit:
Die Ausfallsicherheit ist auf die des Computers beschränkt, auf dem die Routersoftware installiert ist. Dieser impliziert normalerweise überhaupt keine Ausfallsicherheit. Infolgedessen ist die Routingsoftware besonders anfällig für Benutzeraktionen, wie zum Beispiel das Herunterfahren des Computers.

Zum SeitenanfangZum Seitenanfang

Klasse 2 - Unveränderbare preisgünstige Router

Unveränderbare preisgünstige Router verfügen häufig über begrenzte Leistungsfeatures und Erweiterungsmöglichkeiten und über keine Fehlertoleranz. Diese Klasse der Router wurde entwickelt, um ein Ethernet-LAN zu einem WAN zu routen. Die WAN-Verbindungen sind in der Regel auf ein Einwahlmodem, ISDN, eine X25-Verbindung, Breitband oder ein Kabelmodem beschränkt. Der Router verfügt normalerweise über ein integriertes Hub oder einen integrierten Switch (was auch eine drahtlose Verbindung zu Computern beinhaltet, die mit Wireless-LAN-Karten ausgestattet sind) sowie eine einfache Firewallfähigkeit.

Die WAN-Verbindung ist in die Routerhardware integriert und kann nicht geändert werden, wenn sich die Benutzeranforderungen ändern. Die Router sind jedoch kostengünstig, und die fehlende Aktualisierungsmöglichkeit ist der Grund für den niedrigen Preis.

Diese Router verfügen über keine Ausfallsicherheitsfeatures, sie sind jedoch eigenständige Geräte und können die ganze Zeit eingeschaltet bleiben. Da diese Router kostengünstig sind, kann ein zweiter Router installiert werden, um Redundanz zu ermöglichen. Sie stellen nur eine begrenzte Anzahl von Routingprotokollen zur Verfügung, wie zum Beispiel RIP und OSPF. Sie verfügen jedoch über ein NAT-Feature, um mehrere interne Benutzer im LAN den Zugriff auf das Internet über eine einzelne Adresse zu ermöglichen.

Die Leistung ist begrenzt, aber höher als bei dem Gerät der Klasse 1, da die Hardware für die Routingfunktion entwickelt wurde und keine anderen Funktionen gleichzeitig ausgeführt werden.

Diese Klasse von Routern ist für kleine Büros, für Benutzer, die von zu Hause aus arbeiten und auf das Internet zugreifen, oder für kleine Zweigstellen geeignet, um sie mit größeren Büros in einer hierarchischen Netzwerkstruktur zu verbinden. In dieser Rolle wird ISDN sehr häufig eingesetzt, da die Verbindung nur aufgebaut wird, wenn eine Datenübertragung erforderlich ist. Dadurch wird die kostenintensive WAN-Verbindung effizient und kosteneffektiv verwendet. Mit den sinkenden Kosten dieser Routerklasse hielt diese Routingebene Einzug in Heimumgebungen. Die am weitesten verbreiteten Router in dieser Klasse sind auf ISDN- oder Breitbandinternetverbindungen beschränkt. Die Tabelle 6 fasst die Routerfunktionen der Klasse 2 zusammen.

Tabelle 6: Klasse 2 - Unveränderbare preisgünstige Router

Allgemeine Features

Eingeschränkte WAN-Protokolle

Keine Aktualisierungsmöglichkeit der Hardware

RIP-Routingprotokoll, möglicherweise OSPF

Eingeschränkte Leistung

In der Regel einfache Konfiguration

Keine Fehlertoleranz

Integrierter Switch oder integriertes Hub

Integrierte Firewall

Integrierte NAT beziehungsweise integriertes DHCP

Beschränkte Herstellerunterstützung

Kosten - niedrig

Vorteile

Die Vorteile von unveränderbaren preisgünstigen Routern umfassen:

Erschwinglichkeit:
Router in dieser Klasse sind kostengünstig, zum einen aufgrund der eingeschränkten Leistung und Funktionen, zum anderen aufgrund des großen Wettbewerbs in dieser Klasse. Da diese Router auch ein Hub oder einen Switch sowie eine Firewall enthalten können, bieten sie ein besonders gutes Preis-/ Leistungsverhältnis als kleine Netzwerkrouter.

Einfache Konfiguration:
Aufgrund des Wettbewerbs in dieser Klasse von Routern und der eingeschränkten Optionen ist die Konfiguration normalerweise einfach und wird über einen Browser und einer grafischen Oberfläche vorgenommen.

Bereich der WAN-Verbindung:
Während viele kostengünstige Router auf WAN-Verbindungen über ISDN oder ADSL begrenzt sind, verfügen andere Router in dieser Klasse über X25 und Frame-Relay, wenn auch zu höheren Preisen. Die WAN-Verbindung muss beim Erwerb des Routers ausgewählt werden und kann nicht geändert werden, wenn sich die Anforderungen ändern.

Integrierte Features:
Diese Router stellen NAT und DHCP zur Verfügung, um automatisch Adressen zu verbundenen Computern bereitzustellen. Optional können sie ein Hub oder einen Switch mit vier oder acht Ports zur Verfügung stellen und damit auch zusätzlich eine Basisfirewall. Integrierte drahtlose Switches werden immer beliebter.

Nachteile

Die Nachteile von unveränderbaren preisgünstigen Routern umfassen:

Begrenzte Aktualisierungsmöglichkeit:
Bei dieser Routerklasse kann die Hardware nicht aktualisiert werden, jedoch ist die Firmware aktualisierbar. Beim Erwerb können möglicherweise WAN-Verbindung, Anzahl der Ethernet-Ports und integrierte Switches ausgewählt werden. Diese Optionen können jedoch nach dem Erwerb nicht geändert werden. Aufgrund ihrer geringen Anschaffungskosten können diese Produkte jedoch einfach ersetzt werden, wenn sie zukünftige Anforderungen nicht erfüllen können.

Eingeschränkte Leistung:
Diese Router weisen eine eingeschränkte Leistung auf. Die Hersteller geben in der Regel die Durchsatzraten nicht an, aber diese Router sind je nach den Benutzeraktivitäten für ungefähr acht Benutzer geeignet.

Eingeschränkter Support:
Der Support für diese Klasse ist in der Regel eingeschränkt und wird über Websites, FAQs und E-Mail zur Verfügung gestellt, ohne dass ein garantierter Service gewährleistet ist. Es findet ein harter Konkurrenzkampf statt, der Lebenszyklus eines Produkts ist sehr kurz, und die Modelle werden häufig ersetzt, bei gleichzeitiger Verschlechterung des Supports für veraltete Modelle. Die Gewährleistung ist auf den Austausch begrenzt, der nicht garantiert in einer festgelegten Zeitspanne ausgeführt wird. Wenn das Gerät nach der Gewährleistungszeit ausfällt, kann es nicht kosteneffektiv repariert werden. Der Supportumfang kann aufgrund der einfachen Konstruktion des Geräts und der Kosteneinsparung beim Erwerb als angemessen angesehen werden.

Eingeschränkte Verwaltungsmöglichkeiten und Features:
Da die Router für einfache Netzwerke vorgesehen sind, weist diese Routerklasse eingeschränkte Verwaltungsmöglichkeiten auf. Dies ist ein Nachteil, wenn sie an Remotestandorten eines Unternehmensnetzwerks eingesetzt werden. Diese Router weisen außerdem eingeschränkte Routingoptionen auf und verfügen möglicherweise nicht über einige für Unternehmensbenutzer wichtige Features, wie zum Beispiel das OSPF-Routingprotokoll.

Keine Ausfallsicherheit:
Diese Klasse von Routern verfügt über keine Ausfallsicherheit.

Zum SeitenanfangZum Seitenanfang

Klasse 3 - Flexible preisgünstige Router

Flexible preisgünstige Router verfügen über ähnliche Fähigkeiten wie die unveränderbaren preisgünstigen Router, jedoch ist die Hardware erweiterbar, was eine Erweiterung bei sich ändernden Unternehmensanforderungen ermöglicht. Diese Router ermöglichen das Verwenden von unterschiedlichen Typen von WAN-Verbindungen oder mehreren WAN-Ports. Darüber hinaus können zusätzliche lokale Geräte angeschlossen werden, wenn integrierte Ethernet-Hubs oder Ethernet-Switches zur Verfügung stehen. Sie bieten normalerweise eine höhere Leistung als ein unveränderbarer Router, weil sie für die Unterstützung der maximalen Porterweiterung entwickelt wurden, ohne den Prozessor zu aktualisieren. Da die Router aktualisiert werden können, sind sie teurer als unveränderbare preisgünstige Router. Genau wie diese unveränderbaren preisgünstigen Router steht auch in den flexiblen Routern eine begrenzte Anzahl von Routingprotokollen zur Verfügung.

Diese Router werden am häufigsten in kleinen Büros oder Zweigstellen eingesetzt, bei denen von einer Erweiterung ausgegangen wird. Obwohl die Anschaffungskosten höher als bei unveränderbaren Routern sind, wird dies auf lange Sicht relativiert, weil zukünftige Erweiterungen durch Aktualisierungen und nicht durch Ersetzen des Routers realisiert werden können. Da die flexiblen preisgünstigen Router in der Regel über eine höhere Leistung verfügen als die unveränderbaren preisgünstigen Router, können sie in größeren Büros eingesetzt werden. Die Tabelle 7 fasst die Routerfunktionen der Klasse 3 zusammen.

Tabelle 7: Klasse 3 - Flexible preisgünstige Router

Allgemeine Features

Aktualisierbar

Zahlreiche WAN-Verbindungen

RIP- und OSPF-Routingprotokolle

VLAN-Unterstützung

VoIP-Unterstützung

Keine Fehlertoleranz

Integrierter Switch oder integriertes Hub

Integrierte Firewall

Integrierte NAT beziehungsweise integriertes DHCP

Kosten - niedrig bis hoch

Vorteile

Die Vorteile von flexiblen preisgünstigen Routern umfassen:

Erschwinglichkeit:
Obwohl sie teurer als Router der Klasse 2 sind, können diese Router immer noch als kostengünstig angesehen werden. Sie bieten mehr Features, höhere Leistung und Aktualisierungsmöglichkeiten, die den höheren Preis rechtfertigen.

Einfache Konfiguration:
Weil diese Router normalerweise in einfachen Netzwerken eingesetzt werden, verfügen sie über grafische Konfigurationstools. Sie können für komplexere Konfigurationen das Befehlszeilensystem verwenden.

Erweiterter Featureumfang:
Diese Router enthalten die erweiterten Features, wie zum Beispiel OSPF, VoIP, Firewall und NAT. Dadurch können sie als Komponenten in einem Unternehmensnetzwerk eingesetzt werden.

Aktualisierungsmöglichkeit:
Diese Routerklasse verfügt über viele WAN-Verbindungsoptionen, die aktualisiert werden können, wenn sich die Anforderungen nach dem Erwerb ändern. Der Speicher kann erweitert werden, um die Leistung zu verbessern, und das Betriebssystem kann aktualisiert werden, um zusätzliche Features zu implementieren.

Nachteile

Die Nachteile von flexiblen preisgünstigen Routern umfassen:

Eingeschränkte Leistung:
Obwohl die Hersteller die Leistung ihrer Router nicht angeben, weist diese Routerklasse Leistungseinschränkungen auf und ist daher abhängig von der Aktivität an diesen Standorten und vom WAN-Verkehr für kleine Büros oder Abteilungen geeignet.

Begrenzte Konfigurationsoptionen:
Obwohl die Router in dieser Klasse einen guten Featureumfang aufweisen, sind diese im Vergleich zu den Features von Routern in höheren Klassen immer noch begrenzt.

Geringe Skalierbarkeit:
WAN-Verbindungen können grundsätzlich aktualisiert werden (auch wenn die Anzahl begrenzt ist), jedoch kann die Anzahl der LAN-Ports nicht aktualisiert werden.

Keine Ausfallsicherheit:
Die Router dieser Klasse weisen geringe oder keine Ausfallsicherheit auf.

Zum SeitenanfangZum Seitenanfang

Klasse 4 - Router der mittleren Preisklasse

Router der mittleren Preisklasse bieten mehr Leistung und Erweiterungsmöglichkeiten der Hardware als Router der Klasse 3. Sie verfügen über mehrere LAN- und WAN-Ports mit schnelleren Ethernet-Verbindungen, einschließlich Ethernet im Gigabitbereich sowie Glasfaser- und Kupferverbindungen. Es stehen zusätzliche Protokolle zur Verfügung, insbesondere für Backboneverbindungen, um eine Verbindung zu anderen Netzwerkgeräten zu erstellen, wie zum Beispiel zu Routern und Switches und weniger zu einzelnen Computern. Diese Router werden in der Regel für Einwahlverbindungen von einzelnen Computern von Telearbeitern oder von kleinen Internetdienstanbietern unter Verwendung von analogen Modems oder ISDN verwendet. Sie unterstützen oft auch VoIP, das die gleichzeitige Übertragung von Sprache und Daten über die gleiche Verbindung ermöglicht.

Obwohl Router der mittleren Preisklasse eine eingeschränkte oder keine integrierte Hardwareausfallsicherheit bieten, steht eine alternative Ausfallsicherheitsmethode zur Verfügung, indem zwei Router (ein Hauptrouter und ein Standbyrouter) und Protokolle verwendet werden, um bei einem möglichen Ausfall einen schnellen Wechsel zu ermöglichen.

Die Router dieser Klasse können als Kernrouter in einem mittleren Unternehmen oder in größeren Zweigstellen verwendet werden, oder um Abteilungen einer großen Organisation für den Anschluss an einen größeren Router zusammenzufügen. Die Einwahlfunktion wird häufig von Telearbeitern verwendet, um eine Direktverbindung mit der Organisation herzustellen, ohne das Internet zu verwenden. Sie bieten eine große Flexibilität und Erweiterungsmöglichkeiten für WAN- und LAN-Verbindungen und verfügen in der Regel über einen langen Lebenszyklus, da sie auf zukünftige Technologien aktualisiert werden können. Die Tabelle 8 fasst die Routerfunktionen der Klasse 4 zusammen.

Tabelle 8: Klasse 4 - Router der mittleren Preisklasse

Allgemeine Features

Aktualisierbar

Zahlreiche WAN-Verbindungen

Leistung >40 Kbit/s

RIP- und OSPF-Routingprotokolle

VLAN-Unterstützung

VoIP-Unterstützung

Keine Fehlertoleranz

Integrierte Firewall

VRRP Ausfallsicherheitsprotokoll

Integrierte NAT beziehungsweise integriertes DHCP

VPN-Unterstützung

Kosten - niedrig bis hoch

Vorteile

Die Vorteile von Routern der mittleren Preisklassen umfassen:

Leistung:
Die Router dieser Klasse haben einen Durchsatz von mindestens 40 Kbit/s und können daher als Router mit mittlerer Leistung angesehen werden, die für große Zweigstellen oder mittlere Unternehmen geeignet sind.

Erweiterung und Skalierbarkeit:
Diese Routerklasse weist beachtliche Erweiterungsmöglichkeiten auf, es können die Anzahl der Ports erweitert viele verschiedene Verbindungstypen eingesetzt werden.

Vollständiger Featureumfang:
Diese Router verfügen in der Regel über einen vollständigen Featureumfang, einschließlich eines großen Bereichs von WAN-Verbindungen, Routingprotokollen, NAT, DHCP, Firewall, VLANs, VoIP und VPN.

Nachteile

Die Nachteile von Routern der mittleren Preisklassen umfassen:

Niedrige Ausfallsicherheit:
Diese Geräte enthalten normalerweise keine integrierte Ausfallsicherheit, obwohl Router im oberen Bereich der Klasse über redundante Netzteile verfügen können. Diese sollten jedoch redundante Routingprotokolle unterstützen, wie zum Beispiel VRRP, mit dem ein Standbyrouter Ausfallsicherheit bieten kann.

Niedrige Leistung und Skalierbarkeit:
Diese Geräte verfügen wahrscheinlich nicht über die Leistung und Verbindungen, um als Kernrouter eines großen Unternehmens eingesetzt zu werden.

Zum SeitenanfangZum Seitenanfang

Klasse 5 - High-End-Router

High-End-Router bieten eine hohe Leistung, eine höhere Erweiterung, eine sehr hohe Fehlertoleranz und viele Verfügbarkeitsmöglichkeiten. Die Hardwarekonstruktion ist sehr flexibel und bietet mehrere Verbindungsoptionen wie die Router der Klasse 4. Sie erhalten weitere Optionen wie zum Beispiel mehrere Netzteile und Prozessoren und weitere Features, die das System sehr ausfallsicher machen.

Der Schwerpunkt liegt mehr auf Hochgeschwindigkeitsprotokollen, wie zum Beispiel ATM und SONET, um Verbindungen zu anderen Netzwerken herzustellen und um große Datenmengen zwischen Standorten zu übertragen, während die kleineren Router und Switches für die Verbindungen der Arbeitsstationen verantwortlich sind. Diese Router sind sehr flexibel und unterstützen eine große Anzahl von WAN- und LAN-Protokollen sowie verschiedene Hardwaremedien, einschließlich Kupfer- und Glasfaserkabel. Die Tabelle 9 fasst die Routerfunktionen der Klasse 5 zusammen.

Tabelle 9: Klasse 5 - High-End-Router

Allgemeine Features

Chassisbasierende Einheiten

Zahlreiche WAN-Verbindungen

Leistung > 900 Kbit/s

RIP- und OSPF-Routingprotokolle

VLAN-Unterstützung

VoIP-Unterstützung

Redundantes Netzteil

Redundantes Modul

Integrierte Firewall

VRRP Ausfallsicherheitsprotokoll

Integrierte NAT beziehungsweise integriertes DHCP

VPN-Unterstützung

Kosten - hoch

Vorteile

Die Vorteile von High-End-Routern umfassen:

Leistung:
Die Router dieser Klasse haben einen Durchsatz von mindestens 900 Kbit/s, was wesentlicher höher als der entsprechende Durchsatz von Routern der Klasse 4 ist. Daher können sie als Router mit hoher Leistung bezeichnet werden und sind für den Einsatz als ein WAN-Gateway oder als ein Kernrouter für mittlere bis große Organisationen geeignet.

Erweiterung und Skalierbarkeit:
Da sie auf einem Chassis basieren, verfügen Router der Klasse 5 über beachtliche Erweiterungsmöglichkeiten, es können die Anzahl der Ports erweitert sowie zahlreiche Verbindungstypen eingesetzt werden.

Vollständiger Featureumfang:
Diese Router verfügen in der Regel über einen vollständigen Featureumfang, einschließlich eines großen Bereichs von WAN-Verbindungen, Routingprotokollen, NAT, DHCP, Firewall, VLANs, VoIP und VPN.

Ausfallsicherheit:
Dieses Gerät weist integrierte Ausfallsicherheitsoptionen auf, wie zum Beispiel redundante austauschbare Netzteile und redundante Module. Sie unterstützen darüber hinaus redundante Routingprotokolle, wie zum Beispiel VRRP. In diesem Fall wird der Hauptrouter von einem Standbyrouter überwacht, der im Falle eines Ausfalls den Betrieb übernehmen kann.

Nachteile

Die Nachteile von High-End-Routern sind ihre hohen Kosten. Da diese Geräte über umfangreiche Aktualisierungsmöglichkeiten und Ausfallsicherheitn verfügen, sind die Anschaffungskosten hoch. Der Preis pro Port sinkt jedoch mit der Erweiterung des Chassis.

Zum SeitenanfangZum Seitenanfang

Klasse 6 - ISP-Router

ISP-Router werden von Internetdienstanbietern (Internet Service Provider, ISP) zur Internet-Backboneverbindung eingesetzt. Sie können auch in einem Unternehmen für die höchste Leistung eingesetzt werden. Sie verfügen über eine sehr hohe Leistung, zusammen mit hoher Verfügbarkeit und Ausfallsicherheit, und können hunderte und tausende von Internetbenutzern unterstützen und mit dem Internetbackbone bei hohen Geschwindigkeiten verbinden. Die Tabelle 10 fasst die Routerfunktionen der Klasse 5 zusammen.

Tabelle 10: Klasse 6 - High-End-Router

Allgemeine Features

Chassisbasierende Einheiten

Zahlreiche WAN-Verbindungen

Zahlreiche LAN-Verbindungen

Leistung beträgt mehrere Millionen Pakete pro Sekunde

Umfassende Erweiterungsmöglichkeit

Redundante Netzteile

Redundante Module

Kosten - sehr hoch

Vorteile

Die Vorteile von ISP-Routern umfassen:

Hohe Leistung:
Die Router dieser Klasse wurden für sehr große Unternehmen, einen ISP-Backbone oder ähnliche Einsatzgebieten entwickelt. Sie verfügen über eine sehr hohe Leistung.

Skalierbarkeit:
Diese Router basieren auf einem Chassis und können umfassend aktualisiert werden. Ein Chassis verfügt normalerweise über bis zu 16 Steckplätze, wobei jeder mehrere Verbindungen aufnehmen kann.

Umfassende Anzahl von WAN- beziehungsweise LAN-Protokollen:
Die Router dieser Klasse unterstützen praktisch alle relevanten Protokolle, einschließlich mehrerer WAN-Protokolle mit sehr hohen Geschwindigkeiten, wie zum Beispiel OC 192.

Nachteile

Die Nachteile dieser Router sind die hohen Kosten und die potenziell komplexe Konfiguration.

Zum SeitenanfangZum Seitenanfang

Sicherheit

Die Sicherheit ist beim Entwerfen eines Netzwerks sehr wichtig, um externe Eindringungen aus dem Internet und interne Eindringungen von Angestellten oder anderen Personen mit Zugriff auf das interne Netzwerk zu kontrollieren. Es müssen vier Hauptbereiche des Schutzes beachtet werden:

Eindringungen über den Switch oder Router kontrollieren

Eindringungen gegen den Switch oder Router kontrollieren

Administratorzugriff auf den Switch oder Router kontrollieren

Physischer Schutz der Router und Switches

Die Switches und Router übertragen Pakete über das Netzwerk und sind der erste Punkt, an dem Eindringungsversuche herausgefiltert werden sollten, gefolgt von der Firewall, die eine höhere Ebene des Filterns bietet. Das Filtern sollte auch Angriffe auf die Netzwerkgeräte selbst verhindern. Die meisten Switches und Router können neu konfiguriert werden. Daher müssen strikte Kontrollen aufgestellt werden, um den Verwaltungszugriff zu beschränken. Auf die meisten Router und Switches ermöglichen den "Hintertürzugriff", um die logische Sicherheit zu umgehen. Daher sollten diese Geräte eingesperrt werden, um Eindringungen zu verhindern.

Die meisten Router verfügen über bestimmte und bekannte Sicherheitslücken. Daher sollte die Website des Herstellers besucht werden, um Einzelheiten über die Sicherheitslücken und deren Beseitigung zu erfahren.

Zum SeitenanfangZum Seitenanfang

Sicherheitsgesichtspunkte für Router

Der Router ist die erste Verteidigungslinie und auch die erste Angriffslinie. Er führt das Paketrouting aus und kann auch konfiguriert werden, um das Weiterleiten der Pakettypen zu blockieren oder zu filtern, die als ungeschützt bekannt sind oder böswillig verwendet werden, wie zum Beispiel ICMP oder SNMP (Simple Network Management Protocol). Sie sollten den Router verwenden, um nicht autorisierten und unerwünschten Verkehr zwischen Netzwerken zu blockieren. Der Router selbst muss ebenfalls vor Neukonfiguration geschützt werden, indem sichere Verwaltungsschnittstellen verwendet werden und sichergestellt wird, das auf den Router die neuesten Softwarepatches und -Aktualisierungen angewendet wurden.

Wenn Sie den Router nicht steuern können, haben Sie wenig Möglichkeiten das Netzwerk zu schützen. Sie können sich lediglich an Ihren Internetdienstanbieter wenden, um zu erfahren, welche Verteidigungsmechanismen von diesem auf seine Router angewendet werden.

Bei den Überlegungen zur Routersicherheit sind die folgenden Konfigurationskategorien hilfreich:

Patches und Aktualisierungen

Protokolle

Verwaltungszugriff

Dienste

Überwachen und Protokollieren

Eindringungserkennung

Patches und Aktualisierungen

Melden Sie sich bei Warndiensten an, die vom Hersteller der Netzwerkhardware bereitgestellt werden, damit Sie sowohl in Bezug auf Sicherheitsprobleme als auch in Bezug auf Servicepatches auf dem neuesten Stand sind. Wenn Sicherheitslücken gefunden werden - und sie werden zwangsläufig gefunden - stellen serviceorieniterte Hersteller schnell Patches zur Verfügung, und kündigen diese Aktualisierungen per E-Mail und auf ihrer Website an. Testen Sie die Aktualisierungen immer, bevor Sie sie in einer Produktionsumgebung implementieren.

Protokolle

DoS-Attacken nutzen häufig den Vorteil von Sicherheitslücken auf Protokollebene, zum Beispiel durch Überschwemmen des Netzwerks. Um diese Art des Angriffs abzuwehren, sollten Sie folgendermaßen vorgehen:

Verwenden von Eingangs- und Ausgangsfilterung

Überprüfen des ICMP-Verkehrs aus dem internen Netzwerk

Blockieren der Verfolgungsroute

Kontrollieren des Broadcastdatenverkehrs

Blockieren von weiterem unnötigen Verkehr

Verwenden von Eingangs- und Ausgangsfilterung

Pakete mit kaschiertem Absender sind Hinweise auf Eindringungen, Angriffe und andere Aktivitäten durch einen sachkundigen Angreifer. Router routen Pakete anhand der Zieladresse und ignorieren normalerweise die Quelladresse, die nicht zwingend die Adresse des Autors von dem Paket sein muss. Eingehende Pakte mit einer internen Adresse können einen Eindringungsversuch darstellen und sollten keinen Zutritt zum Perimeternetzwerk erhalten. Richten Sie den Router so ein, dass ausgehende Pakete nur geroutet werden, wenn sie eine gültige interne IP-Adresse aufweisen. Das Überprüfen von ausgehenden Paketen schützt Sie nicht vor einer DoS-Attacke, aber es verhindert, dass solche Attacken ihren Ursprung in Ihrem Netzwerk haben. Wenn andere Netzwerke die gleiche Überprüfung von ausgehenden Paketen durchführen, kann Ihr Netzwerk vor DoS-Attacken geschützt werden.

Diese Art der Filterung ermöglicht auch das einfache Zurückverfolgen des Ursprungs zu seiner wahren Quelle, da der Angreifer eine gültige - und legal erreichbare - Quelladresse verwenden muss. Weitere Informationen finden Sie unter "Network Ingress Filtering: Defeating Denial of Service Attacks Which Employ IP Source Address Spoofing" (Englisch) unter http://www.rfc-editor.org/rfc/rfc2267.txt.

Überprüfen des ICMP-Verkehrs aus dem internen Netzwerk

ICMP ist ein länderunabhängiges Protokoll, das sich auf dem Internetprotokoll befindet und das Überprüfen von Hostverfügbarkeitsinformationen von einem Host zu einem anderen ermöglicht. Häufig verwendete ICMP-Meldungen werden in Tabelle 11 dargestellt.

Tabelle 11: Häufig verwendete ICMP-Meldungen

MeldungBeschreibung

Echoanfrage (Ping)

Bestimmt, ob ein IP-Knoten (ein Host oder ein Router) im Netzwerk verfügbar ist.

Echoantwort (Ping-Antwort)

Antwortet auf eine ICMP-Echoanfrage.

Ziel nicht erreichbar

Informiert den Host, dass ein Datagrammm nicht übermittelt werden kann.

Quelllöschung

Weist den Host an, die Datenrate mit der die Datagramme gesendet werden wegen Überlastung zu reduzieren.

Umleiten

Informiert den Host über eine bevorzugte Route.

Verstrichene Zeit

Gibt an, dass die Lebensdauer (time to live, TTL) eines Datagramms abgelaufen ist.

Durch Blockieren von ICMP-Verkehr am äußeren Perimeterrouter werden Sie vor Angriffen geschützt, wie zum Beispiel eine Ping-Flut und andere DoS-Attacken. Es bestehen andere ICMP-Sicherheitslücken, die das Blockieren dieses Protokolls rechtfertigen. Während die ICMP-Echoanfrage oder Ping für die Fehlerbehandlung verwendet werden kann, können diese auch verwendet werden, um Geräte im Netzwerk zu suchen und deren Architektur zuzuweisen. Daher sollten sie nicht grundlos verwendet werden. Ping kann auch für einen "Ping of Death"-DoS verwendet werden, so dass dies am besten blockiert wird.

Blockieren der Verfolgungsroute

Das Verfolgen einer Route ist ein Mittel zum Sammeln von Netzwerktopologieinformationen. Damit werden Geräte in der Route zu einem Zielsystem erkannt. Dies ist besonders nützlich, wenn Sie feststellen möchten, ob Ihre Daten über die optimalen Routen übertragen werden. Die Implementierung unterscheidet sich je nach Hersteller, einige verwenden einen Ping mit unterschiedlichen "Time-to-Live" (TTL)-Werten, während andere ein UDP-Datagramm verwenden. Das variable Anpingen kann durch Blockieren von ICMP-Meldungen gesteuert werden (wie oben beschrieben), während das UDP-Datagramm zum Blockieren eine Steuerungsliste (ACL) erfordert. Blockieren Sie Pakete dieses Typs, um zu verhindern, dass ein Angreifer Details über Ihr Netzwerk erfährt.

Kontrollieren des Broadcastdatenverkehrs

Dirigierter Broadcastdatenverkehr kann als Transportmittel für eine DoS-Attacke verwendet werden, und um Hosts in einem Netzwerk anzuzeigen. Durch Blockieren bestimmter Quelladressen verhindern Sie zum Beispiel, dass böswillige Echoanfragen eine Ping-Flut verursachen. Quelladressen, die gefiltert werden sollten, werden in Tabelle 12 dargestellt.

Tabelle 12: Quelladressen, die gefiltert werden sollten

QuelladresseBeschreibung

0.0.0.0/8

Ursprüngliche Broadcastmeldung

10.0.0.0/8

RFC 1918-Privates Netzwerk

127.0.0.0/8

Loopback

169.254.0.0/16

Verbinden lokaler Netzwerke(APIPA-Adressen)

172.16.0.0/12

RFC 1918-Privates Netzwerk

192.0.2.0/24

Testnetzwerk

192.168.0.0/16

RFC 1918-Privates Netzwerk

224.0.0.0/4

Klasse D-Gruppenadresse

240.0.0.0/5

Klasse E Reserviert

248.0.0.0/5

Nicht belegt

255.255.255.255/32

Broadcastmeldung

Blockieren von weiterem unnötigen Verkehr

Eingehender Datenverkehr aus dem Internet zum Grenzrouter kommt von unbekannten, nicht vertrauenswürdigen Benutzern, die Zugriff auf Ihre Webserver benötigen. Diese Benutzer greifen auf eine bestimmte Liste mit IP-Adressen und Portnummern zu. Ihr Zugriff kann auf nur diese Portnummer und IP-Adresse beschränkt werden. Mithilfe der Zugriffssteuerungslisten, die von den meisten Routern zur Verfügung gestellt werden, wird vom Grenzrouter nur Verkehr für die gewünschte Kombination von Adressen und Ports durchgelassen. Dabei wird davon ausgegangen, das alle anderen Adressen potenziell feindlich sind.

Hinweis:Die Portnummern in diesem Beispiel beziehen sich nicht auf Ports auf einem Switch, die die physischen Buchsen bilden, in die die Ethernetkabel eingesteckt werden. Dieses Beispiel bezieht sich auf das IP-Adressierungssystem, mit dem die IP-Adresse um eine TCP- oder UDP-Portnummer erweitert wird. Ein Webserver befindet sich häufig auf Port 80: Die vollständige Adresse des Webdienstes auf einem Server mit einer IP-Adresse von 192.168.0.1 lautet dann 192.168.0.1:80.

Cisco-Router und -Switches verwenden ein firmeneigenes Protokoll (Cisco Discovery Protocol, CDP) für das Ermitteln von Informationen über benachbarte Geräte, wie zum Beispiel Modellnummern und Versionsebene des Betriebssystems. Dies ist jedoch eine Sicherheitslücke, da ein böswilliger Benutzer die gleichen Informationen abrufen könnte. Daher sollte CDP auf jeden Fall für den Grenzrouter deaktiviert werden, und möglicherweise auch für die internen Router und Switches, je nachdem, ob sie für Verwaltungssoftware erforderlich sind.

Verwaltungszugriff

Von wo aus wird auf den Router für Administrationszwecke zugegriffen? Sie müssen festlegen, über welche Schnittstellen und Ports eine Administrationsverbindung ausgeführt werden darf, und von welchem Netzwerk oder Host aus die Verwaltung ausgeführt werden soll. Beschränken Sie den Zugriff auf diese bestimmten Positionen. Legen Sie für eine an das Internet grenzende Verwaltungsschnittstelle immer eine Verschlüsselung und Sicherheitsgegenmaßnahmen fest, um eine Übernahme zu verhindern. Zusätzliche Möglichkeiten:

Zuweisen von strengen Kennwortrichtlinien

Verwenden eines Zugriffssteuerungssystems für die Administration

Deaktivieren von nicht verwendeten Schnittstellen

Berücksichtigen von statischen Routen

Beenden einer webbasierten Konfiguration

Dienste

Überwachen und Protokollieren

Eindringungserkennung

Kontrollieren des physischen Zugriffs

Zuweisen von strengen Kennwortrichtlinien

Fügen Sie als Erstes ein Kennwort für den Administrator hinzu. In vielen Systemen wird nur eingedrungen, weil der Administrator kein Kennwort eingegeben hat. Zweitens, verwenden Sie komplexe Kennwörter. Eine Brute-Force-Software kann mehr als nur Wörterbuchangriffe ausführen und ist in der Lage, allgemeine Kennwörter zu ermitteln, bei denen ein Buchstabe durch eine Nummer ersetzt wurde. Wenn zum Beispiel "K4nnw0rt" als Kennwort verwendet wird, kann dieses geknackt werden. Verwenden Sie beim Erzeugen eines Kennworts immer eine Kombination aus Groß- und Kleinbuchstaben, Nummern und Symbolen. Möglicherweise ist SNMP für Verwaltungszwecke erforderlich. Auch wenn die Sicherheit von SNMP nicht streng ist, geben Sie beim Konfigurieren dieses Programms ein Kennwort ein. SNMP Version 3 bietet eine erheblich verbesserte Sicherheit.

Verwenden eines Zugriffssteuerungssystems für die Administration

Verwenden Sie, anstatt den Namenn des Administrators in die Konfiguration einzubetten, das AAB-System für die Authentifizierung des Administrators. Dieses kontrolliert seine Identität, seine Kompetenz und protokolliert seine Arbeitsschritte. AAB bedeutet:

Authentifizierung:
Das Identifizieren und Überprüfen eines Benutzers. Es können verschiedene Methoden für das Authentifizieren eines Benutzers verwendet werden, die Standardmethode beinhaltet eine Kombination von Benutzername und Kennwort.

Autorisierung:
Das Festlegen, was ein authentifizierter Benutzer ausführen und worauf er zugreifen kann.

Buchführung:
Das Protokollieren der vorgenommenen Änderungen an einem Dienst.

Das AAB-System greift auf eine Datenbank zu, die auf einem zentralen Server gespeichert ist, um den Administrator beim ersten Anmelden zu authentifizieren und die Arbeitsschritte während der Verbindungssitzung zu protokollieren. Ein großer Vorteil des AAB-Systems ist die Zentralisierung der Sicherheitsinformationen. Dadurch wird durch einmaliges Anmelden der Zugriff auf alle Netzwerkgeräte gesteuert, ohne dass auf jedem Gerät ein einzelner Anmeldungsvorgang eingerichtet werden muss.

Es stehen zwei nicht firmeneigene AAB-Systeme zur Verfügung:

RADIUS (Remote Authentication Dial-in User Service)

Kerberos

Ein weiteres bekanntes AAB-System ist TACACS+. Dies ist jedoch ein spezielles System von Cisco, das nur den Zugriff auf Cisco Geräte steuert.

Deaktivieren von nicht verwendeten Schnittstellen

Auf dem Router sollten nur erforderliche Schnittstellen aktiviert werden. Eine nicht verwendete Schnittstelle wird nicht überwacht oder kontrolliert und wird wahrscheinlich nicht aktualisiert. Dadurch riskieren Sie unbekannte Angriffe auf diese Schnittstellen. In der Regel wird Telnet für den administrativen Zugriff verwendet. Schränken Sie daher die Anzahl der verfügbaren Telnet-Sitzungen ein, und verwenden Sie eine Zeitbegrenzung, um sicherzustellen, dass eine nicht verwendete Sitzung nach einer festgelegten Zeit beendet wird.

Berücksichtigen von statischen Routen

Statische Routen verhindern, dass speziell geformte Pakete die Routingtabellen in dem Router ändern. Ein Angreifer kann versuchen, Routen zu ändern, indem er eine Routingprotokollnachricht simuliert, um eine DoS-Attacke zu verursachen oder Anfragen an einen unzulässigen Server weiterzuleiten. Durch Verwenden von statischen Routen muss die Sicherheit einer administrativen Schnittstelle erst verletzt werden, um Routingänderungen vorzunehmen. Bedenken Sie jedoch, dass statische Routen statisch sind. Falls eine Verbindung fehlschlägt, schaltet der Router nicht automatisch auf eine alternative Route um. Darüber hinaus können statische Routen eine komplexe Konfiguration erfordern.

Beenden einer webbasierten Konfiguration

Stehen als optionale Methoden für den Konfigurationszugriff ein integrierter Webserver und der Befehlszeilenmodus zur Verfügung, deaktivieren Sie den Webdienst, da dieser möglicherweise anfällig für viele TCP/IP-Sicherheitslücken ist.

Dienste

In einem eingesetzten Router wird jeder offene Port einem Überwachungsdienst zugeordnet. Um die Angriffswahrscheinlichkeit zu reduzieren, sollten nicht benötigte Standarddienste beendet werden. Beispiele sindbootpsundFinger, die kaum benötigt werden. Sie sollten den Router zusätzlich prüfen, um die offenen Ports zu ermitteln.

Überwachen und Protokollieren

Die meisten Router verfügen über eine Protokollierungsfunktion und können alle Verweigerungsaktionen protokollieren, in denen auch Eindringungsversuche angezeigt werden. Moderne Router verfügen über eine Gruppe von Protokollierungsfeatures, die das Einrichten von Einschränkungen anhand der protokollierten Daten ermöglichen. Es sollte ein Überwachungsplan erstellt werden, um die Protokolle regelmäßig auf Hinweise für Eindringungen zu untersuchen.

Eindringungserkennung

Mit festgelegten Einschränkungen am Router für die Verhinderung von Angriffen sollte der Router erkennen, wann ein Angriff stattfindet und einen Systemadministrator über den Angriff benachrichtigen.

Angreifer erkennen mit der Zeit Ihre Sicherheitsprioritäten und versuchen diese zu umgehen. Eindringungserkennungssysteme (Intrusion Detection Systems, IDS) können anzeigen, wo der Angreifer versucht, Attacken durchzuführen.

Kontrollieren des physischen Zugriffs

Wie bereits erwähnt, sind die meisten Router ungeschützt, wenn ein Angreifer physisch auf das Gerät zugreifen kann, da die Geräte in der Regel den Zugriff über eine Hintertür ermöglichen, um die vorhandene Konfiguration zu löschen. Schließen Sie die Router daher in einem Raum mit eingeschränktem Zugriff ein.

Zum SeitenanfangZum Seitenanfang

Sicherheitsgesichtspunkte für Switches

Ähnlich wie ein Router muss auch der Switch selbst vor einer Neukonfiguration geschützt werden. Sie müssen sichere Administrationsschnittstellen verwenden und sicherstellen, dass die neuesten Softwarepatches und -Aktualisierungen angewendet wurden. Darüber hinaus müssen Sie den Administrationszugriff kontrollieren und physische Sicherheit gewährleisten.

Die Switchsicherheit wird im Vergleich zu Routern häufig übersehen, da Letztere den ersten Punkt der Verteidigung gegen das Internet bilden. Unter der folgenden Adresse kann jedoch ein nützliches Dokument gefunden werden (Englisch): http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns128/networking_solutions_white_paper09186a008014870f.shtml

In diesem Dokument werden einige bekannte Sicherheitslücken bei Switches und Möglichkeiten, diese zu beseitigen, vorgestellt.

Viele der für einen Router definierten Sicherheitskonzepte treffen gleichermaßen auf einen Switch zu, wie zum Beispiel die Steuerung des administrativen Zugriffs. Da der Switch nur Ethernet-Frames untersucht, und keine IP-Pakete, kann dieser keine IP-Eindringungen überwachen. Ein Switch befindet sich jedoch immer hinter einem Router mit Firewallfunktionen oder hinter einer Firewall, daher ist dies unwichtig.

Die folgenden Konfigurationskategorien helfen Ihnen, eine sichere Switchkonfiguration zu gewährleisten:

Patches und Aktualisierungen

VLANs

Verwenden eines Zugriffssteuerungssystems für die Administration

Deaktivieren von nicht verwendeten Ports

Dienste

Verschlüsselung

Patches und Aktualisierungen

Patches und Aktualisierungen müssen installiert und getestet werden, sobald sie verfügbar sind.

VLANs

Virtuelle LANs ermöglichen Ihnen das Trennen von Netzwerksegmenten und das Zuweisen von Zugriffssteuerungen basierend auf Sicherheitsregeln. Ein VLAN ohne Zugriffssteuerungslisten bietet eine erste Stufe der Sicherheit, indem der Zugriff auf die Mitglieder des gleichen VLAN begrenzt wird. Inter-VLAN-Verkehr ist in der Regel erforderlich. Dieser wird von einem Router ermöglicht, der den Verkehr zwischen den IP-Unternetzen routet. Die Steuerung erfolgt mittels Zugriffssteuerungslisten.

Die Zugriffssteuerungslisten zwischen VLANs schränken den Verkehr zwischen verschiedenen Segmenten des Netzwerks ein. Diese Filterung wird in der Regel über einen einfachen statischen Paketfilter erzielt, im Gegensatz zu der von vielen Firewalls durchgeführten Paketinspektion oder dem Proxyeinsatz.

Das Verwenden von Zugriffssteuerungslisten zwischen VLANs bietet auf einer Zwischenebene Schutz, indem interne Eindringungen aus dem Unternehmen blockiert werden. Eindringungen von außerhalb werden bereits durch das Grenznetzwerk blockiert. Neben Firewallfiltern können zusätzlich Zugriffssteuerungslisten von VLANs für eine weitere Sicherheitsschicht implementiert werden. Der Nachteil des Implementierens von Zugriffssteuerungslisten in den VLANs ist die mögliche Leistungsreduzierung und deren Bedarf an einer effizienten Konfiguration.

Verwenden eines Zugriffssteuerungssystems für die Verwaltung

Verwenden Sie zum Steuern des Verwaltungszugriffs auf den Switch die gleichen Methoden wie für einen Router.

Deaktivieren von nicht verwendeten Ports

Nicht verwendete Ethernet-Ports im Switch sollten deaktiviert werden, damit Angreifer keine Verbindung über nicht verwendete Ports herstellen können.

Dienste

Vergewissern Sie sich, dass alle nicht verwendeten Dienste deaktiviert sind. Stellen Sie außerdem sicher, dass das TFTP-Protokoll (Trivial File Transfer Protocol) deaktiviert ist, an das Internet angrenzende Administrationspunkte entfernt wurden und die Zugriffssteuerungslisten so konfiguriert sind, dass der administrative Zugriff eingeschränkt ist.

Verschlüsselung

Die nicht standardmäßig im Switch implementierte Verschlüsselung übertragener Daten stellt sicher, dass abgefangene Pakete unbrauchbar sind, wenn im selben geswitchten Segment ein Sniffer eingesetzt oder die Sicherheit des Switches verletzt und dadurch das Sniffing in allen Segmenten ermöglicht wird.

Zum SeitenanfangZum Seitenanfang

Schnappschuss eines sicheren Netzwerks

Die Tabelle 13 enthält einen Schnappschuss der Merkmale eines sicheren Netzwerks. Die Sicherheitseinstellungen wurden von Sicherheitsfachleuten und aus Praxisanwendungen zusammengefasst. Sie können den Schnappschuss als Referenz beim Bewerten Ihrer eigenen Lösung verwenden.

Tabelle 13: Schnappschuss eines sicheren Netzwerks

KomponenteMerkmal

Router

Patches und Aktualisierungen

Das Betriebssystem des Routers befindet sich mithilfe aktueller Software auf dem neuesten Stand.

Protokolle

Nicht verwendete Protokolle und Ports sind blockiert.
Eingangs- und Ausgangsfilterung ist implementiert.
Der ICMP-Verkehr wird aus dem internen Netzwerk überprüft.
Das Verfolgen der Route ist deaktiviert.
Dirigierter Broadcastdatenverkehr wird nicht weitergeleitet.
Große Pingpakete werden überprüft.
Routinginformationsprotokoll-Pakete werden, falls verwendet, am äußersten Router blockiert.
Statisches Routing wird verwendet.

Verwaltungszugriff

Eine strenge Richtlinie für das Administrationskennwort wird erzwungen.
Verwenden eines Zugriffssteuerungssystems für die Administration
Nicht verwendete Verwaltungsschnittstellen im Router sind deaktiviert.
Webbasierte Administration ist deaktiviert.

Dienste

Nicht verwendete Dienste sind deaktiviert (zum BeispielbootpsundFinger).

Überwachen und Protokollieren

Die Protokollierung ist für den gesamten verweigerten Verkehr aktiviert.
Die Protokolle werden zentral gespeichert und gesichert.
Die Überwachung der Protokolle auf ungewöhnliche Muster ist platziert.

Eindringungserkennung

Das Eindringungserkennungssystem ist bereit, um einen aktiven Angriff zu identifizieren und zu melden.

Physischer Zugriff

Physischer Zugriff wird eingeschränkt.

Switch

Patches und Aktualisierungen

Die neuesten Sicherheitspatches sind getestet und installiert oder die Gefährdung bekannter Schwachstellen reduziert.

VLANs

VLANs und Zugriffssteuerungslisten werden verwendet.

Nicht verwendete Ports werden deaktiviert.

Nicht verwendete Ethernet-Ports werden deaktiviert.

Dienste

Nicht verwendete Dienste sind deaktiviert.

Verschlüsselung

Geswitchter Datenverkehr wird verschlüsselt.

Sonstiges

Protokollierung synchronisieren

Alle Uhren in Geräten mit Protokollierungsfunktionen werden synchronisiert.

Verwaltungszugriff auf das Netzwerk

Kerberos oder RADIUS wird zur Authentifizierung von administrativen Benutzern verwendet.

Netzwerk-Zugriffssteuerungslisten

Das Netzwerk ist strukturiert, um das Platzieren von Zugriffssteuerungslisten auf Hosts und in Netzwerken zu ermöglichen.

Zum SeitenanfangZum Seitenanfang

Zusammenfassung

In diesem Modul wurden Informationen und Optionen zur Verfügung gestellt, um Netzwerkentwickler bei der Auswahl der Geräte zu unterstützen, die die Anforderungen der Architektur eines Unternehmensnetzwerks erfüllen. Dieses Modul hat einen Überblick über den Geräteentwurf in Bezug auf das Auswählen der entsprechenden Geräte vermittelt.

Der in diesem Modul definierte Entwurfsprozess umfasst die Auswahl der richtigen Geräteklasse, um die erforderliche Dienstqualität zu gewährleisten. Zusätzlich müssen die entsprechenden Optionen ausgewählt werden, um sicherzustellen, dass die Geräte von den Netzwerktechnikern des Unternehmens unterstützt und mit einer eventuell bereits vorhandenen Netzwerkverwaltungslösung verwaltet werden können. Das Ziel dieser Anleitung ist die Bereitstellung eines Satzes von Gerätespezifikationen, die in die Netzwerkarchitektur der Organisation passen, um das Entwerfen und Implementieren eines vollständigen Netzwerks zu ermöglichen.

Zum SeitenanfangZum Seitenanfang

Zusätzliche Informationen

Weitere Informationen zu Standards und Normen finden Sie unter folgenden Adressen:

Internetprotokollstandards des IETF (Internet Engineering Task Force), Request for Comments (RFCs), finden Sie unter http://www.ietf.org/rfc.html

Ethernetstandards des IEEE (Institute of Electrical and Electronics Engineers, Inc.) finden Sie unter http://standards.ieee.org/getieee802/

Zahlreiche Hersteller von Routern und Switches haben ihre Empfehlungen für das Sichern von Netzwerken veröffentlicht. Diese in der Regel zugänglichen Informationen beziehen sich auf alle Netzwerke (auch wenn keine Produkte des jeweiligen Anbieters verwendet werden). Weitere Informationen finden Sie unter den folgenden Links:

Cisco Systems veröffentlicht Informationen über SAFE Blueprint unter http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns128/networking_solutions_package.html

"Improving Security on Cisco Routers" finden Sie unter http://www.cisco.com/en/US/tech/tk648/tk361/technologies_tech_note09186a0080120f48.shtml

"Configuring Broadcast Suppression" finden Sie unter http://www.cisco.com/en/US/products/hw/switches/ps708/products_configuration_guide_chapter09186a00800eb778.html

"Cisco IOS Intrusion Detection System Software App Overview" finden Sie unter http://www.cisco.com/en/US/netsol/ns340/ns394/ns171/ns292/networking_solutions_white_paper09186a008010e5c8.shtml

"Configuring VLANs" unter http://www.cisco.com/en/US/products/hw/switches/ps663/products_configuration_guide_chapter09186a00800e47e1.html

"Network Ingress Filtering" finden Sie unter http://www.rfc-editor.org/rfc/rfc2267.txt


Zum SeitenanfangZum Seitenanfang