Fachartikel

Priorisierung des Netzverkehrs auf den OSI-Schichten 2 und 3 (3)

Virtuelle LANs – kurz VLANs – bieten die einfachste Methode zur Steuerung der Datenströme im Netzwerk. Dabei muss jedoch beachtet werden, dass es sich bei diesem Ansatz mehr um ein Sicherheitskonzept handelt als um eine Verbesserung der Dienstqualität. Aus diesem Grund wird dieses Konzept in der Regel mit anderen Bandbreitenmanagement-Mechanismen kombiniert, etwa der Priorisierung auf den Schichten 2 und 3. Im dritten Teil der Workshopserie gehen wir darauf ein, welche Fehler beim Netzwerkdesign Sie hinsichtlich des QoS nicht machen sollten und wie eine Priorisierung auf Basis empfangener Datenpakete funktioniert.
Nicht zuletzt für Videokonferenzen ist ein überzeugendes QoS-Design von großer Bedeutung
Router-Typen einer DiffServ-Domäne
Die Prozessorganisation ist besonders im WAN-Umfeld (Ende-zu-Ende-Bereitstellung) der DiffServ-Definitionen wichtig. Da mehrere Prozessbeteiligte involviert sind, ist eine formalisierte Ausgestaltung von Handlungsabläufen unabdingbar. Ohne eine Prozessorganisation muss ständig mit der Gefahr gerechnet werden, dass durch unangemessene oder falsche Maßnahmen die QoS einer Netzinfrastruktur empfindlich leidet.

Innerhalb einer Diffserv-Domäne kommen den Routern unterschiedliche Bedeutungen zu, deshalb werden diese nach deren Funktionalität bezeichnet:

  • Der Leaf-Router ist der Verbindungspunkt des ISP zum Teilnehmer. Der Leaf-Router markiert die Pakete nach den vorgegebenen Profile-Kriterien.
  • Die Router, die keine Grenzpunkte der DS-Domäne darstellen, werden als Interior-Router (auch Interior Node oder Core-Router) bezeichnet. Die Aufgabe dieser Router ist die Weiterleitung der Pakete nach gegebenen PHBs.
  • Die Router, die die Grenzpunkte eines Netzwerkes darstellen, werden als Egress Edge-Router (outgoing) und Ingress Edge-Router (incoming) bezeichnet. Egress Edge-Router haben die Aufgabe, den ausgehenden Verkehr an das vorgegebene Verkehrsprofil anzupassen, zum Beispiel Shaping. Ingress Edge-Router markieren und klassifizieren die eingehenden Pakete.
Zwischen Egress und Ingress Edge-Router werden die Traffic Conditioning Agreements wirksam. Diese Abkommen werden zwischen den Netzbetreibern ausgehandelt und sollen die Übernahmen der Service Level Agreements (SLAs) garantieren. SLAs werden zwischen Nutzer und Service Provider ausgehandelt und enthalten Information über die Leistungen des Service Providers, etwa garantierte Bandbreiten und Berechtigungen der Nutzer oder maximale Datenrate (Peak Bit Rate). Innerhalb des Internets erfolgt der Transport auch über die Netzgrenzen der Provider hinaus. Um die SLAs über diese Netzgrenzen zu erhalten, werden Traffic Conditioning Agreements (TCAs) abgeschlossen. Dieses sind Abkommen zwischen den Service Providern.


Bild 1: Aufbau einer Diffserv-Domäne mit Leaf-, Interior- und Edge-Routern

Traffic Conditioning Agreements
Die Grundlage der TCAs ist der Standard RFC 2475, der eine Regel zur Bestimmung des "in or out of Profile" eines Paketes bereitstellt. Die Überwachung der TCAs wird innerhalb der Router einer DS-Domäne implementiert. Vorzugweise genügt eine Implementierung innerhalb der Egress/Ingress Edge-Router. Die vier Elemente des Traffic Conditioning sind:

  • Klassifizierung (Classifier)
  • Messen (Metering)
  • Markierung (Marking)
  • Verkehrsanpassung (Shaping/Dropping)
Die Unterscheidung von Paketen mit und ohne Profile verdeutlicht die Notwendigkeit, nur Datenströme zu erfassen, die den Parametern der Service Level Agreements oder den Traffic Conditioning Agreements entsprechen. Pakete, denen kein Verkehrsprofil zugeordnet ist, werden verworfen oder nach Best Effort übertragen. Die Administration innerhalb einer DS-Domäne wird von einem Bandwidth Brokern übernommen. Dieser hat folgende Aufgaben:

  • Kontrolle der Ressourcen innerhalb einer DS-Domäne
  • Administration der Reservierungsanforderungen in Abhängigkeit des TCA und der momentanen Netzbelastung
  • Konfiguration der Engress/Ingress Edge Routers (Boundary Nodes)
  • Policy-Anwendung
QoS Trust Boundaries
Die Definition und die Klassifikation der Grenzen des Vertrauens ist eine Schlüsselkomponente jedes QoS-Designs. Anhand der Klassifikation werden die Pakete so gekennzeichnet, dass der Netzwerk-Kern weiß, wie er mit den empfangenen Paketen umzugehen hat. Bestimmte Bits im IP-Header definieren dabei, in welcher Weiterleitungsklasse die Pakete zu erfolgen haben. Diese Bits übernehmen dabei die gleiche Funktion wie der Prioritätsaufkleber auf einer Postsendung. Handelt es sich bei einem Paket beispielsweise um ein Sprach- oder Video-Conferencing-Paket, muss der Prioritätsaufkleber so konstruiert sein, dass eine Vorzugsbehandlung des Pakets in jedem Router auf dem Weg zwischen Absender und Empfänger vorgenommen wird.



                                                Seite 1 von 2                     Nächste Seite>>


21.10.2013/Mathias Hein, Benjamin Kolbe und Prof. Dr. Bernhard Stütz/jp/ln

Nachrichten

SD-WAN für Fahrzeugflotten [19.02.2018]

Cradlepoint bietet sein SD-WAN ab sofort in unterschiedlichen As-a-Service-Modellen an. Der Anbieter von Cloud-basierten 4G-LTE-Netzwerklösungen startete zunächst mit einem Lösungspaket für Filialen. Nun folgt mit dem 'NetCloud Solution Package für den mobilen Einsatz' ein Angebot für mobile, flottenbasierte Organisationen wie Rettungsdienste oder Transportunternehmen. [mehr]

Private IoT-Devices in Unternehmen [1.02.2018]

Ein erster Rückblick auf die Neuheiten der letzten CES (Consumer Electronics Show) zeigt, dass die Annehmlichkeiten des Internets der Dinge für das tägliche Leben immer häufiger sichtbar werden - von Schrittzählern bis hin zu intelligenten Haarbürsten. Während viele Konsumenten die Vorzüge dieser Geräte schätzen, sind sich nicht alle der Sicherheitsrisiken bewusst, insbesondere, wenn IoT-Geräte in Firmennetzwerken mit den Benutzern ein- und ausgehen. [mehr]

Tipps & Tools

WLAN-Controller von Cisco mit PRTG monitoren [21.12.2017]

In vielen Unternehmen kommen im drahtlosen Netzwerk unter anderem WLAN-Controller von Cisco zum Einsatz. Wer außerdem den PRTG Network Monitor zur Netzwerküberwachung nutzt, hat das Problem, dass es keine fertigen Sensoren für die Cisco-Controller gibt und das Aufsetzen eigener Sensoren anhand der Cisco-MIBs nicht gerade trivial ist. Es existiert jedoch eine einfachere Möglichkeit, Cisco-Appliances mit PRTG zu überwachen. [mehr]

Vorschau Dezember 2017: Infrastruktur physisch & virtuell [27.11.2017]

Die IT-Infrastruktur bildet das technische Fundament jedes modernen Unternehmens. In der Dezember-Ausgabe widmet sich IT-Administrator deshalb der physischen wie auch virtuellen Infrastruktur. So lesen Sie, wie Sie mit openDCIM 4.5 Ihre IT-Umgebung verwalten und Netzwerke in Citrix-Xen-Umgebungen aufbauen. Ebenso erfahren Sie, welche Vorgaben das BSI in Sachen IT-Sicherheit für kritische Infrastrukturen macht und wie Sie Windows Server 2016 zuverlässig mit IPv6 betreiben. Nicht zuletzt beleuchten wir Kabelstandards von heute und morgen. In den Produkttests zeigt der VPN-Router Endian 4i Edge, wie sich Maschinen sicher vernetzen lassen. [mehr]

Buchbesprechung

Software Defined Networking

von Konstantin Agouros

Anzeigen