von Redaktion IT-A…
Lesezeit
2 Minuten
Seite 2 - Priorisierung des Netzverkehrs auf den OSI-Schichten 2 und 3 (3)
Die Sprach- oder Video-Endpunkte sind in der Regel in der Lage, die entsprechenden Paketkennzeichnungen durchzuführen. Hierzu müssen Sie die Endgeräte entsprechend den im Netzwerk festgelegten QoS-Regeln konfigurieren. Die Kommunikationsendpunkte sind der richtige Ort, um die Pakete für die priorisierte Verarbeitung im Netzwerk zu markieren, weil der Endpunkt bei der Ausführung von Anwendungen die individuellen Anforderungen kennt.
Dieser kann bereits vor der Übermittlung auf das Netz zwischen Paketen unterscheiden, die eine bevorzugte Behandlung (beispielsweise Sprach- oder Video-Streams) benötigen und solchen Datenströmen, die mit einer niedrigeren Serviceklasse (beispielsweise Signalisierungspakete) auskommen. Somit scheint der logische Punkt zur Konfiguration der Serviceanforderungen für Verkehrsströme auf den Endpunkten im Netzwerk zu liegen.
Unzureichende Konfiguration schafft QoS-Probleme
In der Praxis kann das Netzwerk weder den veralteten Endgeräte/Applikationen noch den Konfigurationen der Endgeräte-Administratoren vertrauen. Auf der Paketebene ist das Netzwerk nicht in der Lage, zwischen einem VoIP-Telefonat, einem PC mit aktiviertem Softphone oder einem falsch konfigurierten PC (der eine höhere QoS-Klasse nutzt) zu unterscheiden. Außerdem arbeiten in vielen Unternehmen die Administratoren der Endgeräte (PCs und Server) nur unzureichend zusammen. Das Netzwerk-Team trifft daher seine eigenen Entscheidungen, welche Endgeräte von diesen als vertrauenswürdig in Sachen QoS bewertet werden.
In vielen QoS-Implementierungen wird die QoS-Kennzeichnung aus Sicherheitsgründen vom Netzwerk vorgenommen. In Abhängigkeit von der Komplexität der Anwendung verfügt das Netzwerk jedoch nicht über hinreichende Kenntnisse zur Umsetzung der für den Betrieb der Anwendung notwendigen Details. Daher werden bei vielen QoS-Anforderungen Kompromisse eingegangen. Für die zeit- und qualitätsgerechte Vermittlung von Videokonferenzen behilft sich das Netzwerk-Team oft mit Access Control List (ACL).
Diese identifizieren die Videokonferenz-Endpunkte anhand ihrer statischen IP-Adressen und markieren den gesamten Verkehrsstrom des betreffenden Endpunkts mit einer hohen Prioritätskennzeichnung. Diese Strategie funktioniert in kleineren Netzwerken zufriedenstellend, aber weist gewisse Defizite bei der Skalierung und der Verwaltung auf. Außerdem werden auf den betroffenen Endgeräten alle Datenströme hoch priorisiert und nicht die Echtzeitströme.
Priorisierung auf Basis der empfangenen Datenpakete
Die beschriebenen ACLs sind ein Beispiel für eine solche Vertrauensgrenze, wobei das Vertrauen auf der IP-Adresse des Endpunkts beruht. Ein weiterer Lösungsansatz besteht darin, die Endpunkte so zu konfigurieren, dass diese die hoch zu priorisierenden Datenströme in einem relativ engen UDP-Port-Bereich übermitteln. Der über diese UDP-Ports gesendete Verkehr wird anschließend über das Netzwerk mit der eingestellten Priorität geschickt. Ein kombinierter Lösungsansatz priorisiert die Datenströme sowohl anhand der IP-Adresse/Subnetzadresse und des UDP-Port-Bereichs.
Aus Sicht der heute verfügbaren Rechner- und Netzverwaltungssysteme ist es immer noch unabdingbar, dass die Netzadministratoren die Priorisierung auf Basis der empfangenen Datenpakete vornehmen. Entspricht die durch das Endgerät für den Datenstrom vorgenommene Klassifizierung, dann bleibt die vorgegebene Priorisierungsmarkierung erhalten. Alle anderen Datenströme werden entweder ummarkiert oder mit einer geringen Priorität übermittelt. Dadurch wird verhindert, dass Pakete fälschlicherweise als Echtzeit-Anwendungen markiert werden, nur weil diese von einem Telefon- oder Video-Endpunkt verschickt werden.
Moderne Telefonie-Lösungen verfügen heute über integrierte Authentifizierungsmechanismen. Diese werden dazu benutzt, das Gerät während des Anschaltvorgangs im Netzwerk zu erkennen. Einige Geräte verfügen auch über die Fähigkeit, sich automatisch zu konfigurieren und das zugeordnete VLAN beziehungsweise die korrekte Paketmarkierung für das genutzte Netzwerk einzustellen. Dies vereinfacht die Netzwerkadministration und verhindert, dass Geräte einen unerlaubten Zugriff auf hoch priorisierte Verkehrsklassen erhalten. Die verfügbaren Video-Conferencing-Systeme hinken in diesem Punkt noch den Telefonie-Lösungen hinterher. Es ist jedoch nur eine Frage der Zeit, bis diese Funktionen durch den steigenden Einsatz von Videokonferenzsystemen auch in diesem Bereich zum Standard werden.
Die Video- und Audio-Lösungen im Desktop-Bereich stellen erhebliche Anforderungen an die Echtzeitübermittlung der Daten und benötigen daher eine individuell abgestimmte Priorisierung im Netzwerk. Da die PCs individuell konfigurierbar sind, lassen sich diese leicht in Sachen Priorisierung manipulieren. Somit sind dem grundsätzlichen Vertrauen gegenüber diesen Geräten enge Grenzen gesetzt. Die Hersteller und Standardisierungsgremien sind daher gefordert, praxisnahe Lösungen zu entwickeln, die den Netzadministratoren die Arbeit erleichtern und für einen ungestörten Betrieb sorgen.
Mathias Hein, Benjamin Kolbe und Prof. Dr. Bernhard Stütz/jp/ln
Dieser kann bereits vor der Übermittlung auf das Netz zwischen Paketen unterscheiden, die eine bevorzugte Behandlung (beispielsweise Sprach- oder Video-Streams) benötigen und solchen Datenströmen, die mit einer niedrigeren Serviceklasse (beispielsweise Signalisierungspakete) auskommen. Somit scheint der logische Punkt zur Konfiguration der Serviceanforderungen für Verkehrsströme auf den Endpunkten im Netzwerk zu liegen.
Unzureichende Konfiguration schafft QoS-Probleme
In der Praxis kann das Netzwerk weder den veralteten Endgeräte/Applikationen noch den Konfigurationen der Endgeräte-Administratoren vertrauen. Auf der Paketebene ist das Netzwerk nicht in der Lage, zwischen einem VoIP-Telefonat, einem PC mit aktiviertem Softphone oder einem falsch konfigurierten PC (der eine höhere QoS-Klasse nutzt) zu unterscheiden. Außerdem arbeiten in vielen Unternehmen die Administratoren der Endgeräte (PCs und Server) nur unzureichend zusammen. Das Netzwerk-Team trifft daher seine eigenen Entscheidungen, welche Endgeräte von diesen als vertrauenswürdig in Sachen QoS bewertet werden.
In vielen QoS-Implementierungen wird die QoS-Kennzeichnung aus Sicherheitsgründen vom Netzwerk vorgenommen. In Abhängigkeit von der Komplexität der Anwendung verfügt das Netzwerk jedoch nicht über hinreichende Kenntnisse zur Umsetzung der für den Betrieb der Anwendung notwendigen Details. Daher werden bei vielen QoS-Anforderungen Kompromisse eingegangen. Für die zeit- und qualitätsgerechte Vermittlung von Videokonferenzen behilft sich das Netzwerk-Team oft mit Access Control List (ACL).
Diese identifizieren die Videokonferenz-Endpunkte anhand ihrer statischen IP-Adressen und markieren den gesamten Verkehrsstrom des betreffenden Endpunkts mit einer hohen Prioritätskennzeichnung. Diese Strategie funktioniert in kleineren Netzwerken zufriedenstellend, aber weist gewisse Defizite bei der Skalierung und der Verwaltung auf. Außerdem werden auf den betroffenen Endgeräten alle Datenströme hoch priorisiert und nicht die Echtzeitströme.
Priorisierung auf Basis der empfangenen Datenpakete
Die beschriebenen ACLs sind ein Beispiel für eine solche Vertrauensgrenze, wobei das Vertrauen auf der IP-Adresse des Endpunkts beruht. Ein weiterer Lösungsansatz besteht darin, die Endpunkte so zu konfigurieren, dass diese die hoch zu priorisierenden Datenströme in einem relativ engen UDP-Port-Bereich übermitteln. Der über diese UDP-Ports gesendete Verkehr wird anschließend über das Netzwerk mit der eingestellten Priorität geschickt. Ein kombinierter Lösungsansatz priorisiert die Datenströme sowohl anhand der IP-Adresse/Subnetzadresse und des UDP-Port-Bereichs.
Aus Sicht der heute verfügbaren Rechner- und Netzverwaltungssysteme ist es immer noch unabdingbar, dass die Netzadministratoren die Priorisierung auf Basis der empfangenen Datenpakete vornehmen. Entspricht die durch das Endgerät für den Datenstrom vorgenommene Klassifizierung, dann bleibt die vorgegebene Priorisierungsmarkierung erhalten. Alle anderen Datenströme werden entweder ummarkiert oder mit einer geringen Priorität übermittelt. Dadurch wird verhindert, dass Pakete fälschlicherweise als Echtzeit-Anwendungen markiert werden, nur weil diese von einem Telefon- oder Video-Endpunkt verschickt werden.
Moderne Telefonie-Lösungen verfügen heute über integrierte Authentifizierungsmechanismen. Diese werden dazu benutzt, das Gerät während des Anschaltvorgangs im Netzwerk zu erkennen. Einige Geräte verfügen auch über die Fähigkeit, sich automatisch zu konfigurieren und das zugeordnete VLAN beziehungsweise die korrekte Paketmarkierung für das genutzte Netzwerk einzustellen. Dies vereinfacht die Netzwerkadministration und verhindert, dass Geräte einen unerlaubten Zugriff auf hoch priorisierte Verkehrsklassen erhalten. Die verfügbaren Video-Conferencing-Systeme hinken in diesem Punkt noch den Telefonie-Lösungen hinterher. Es ist jedoch nur eine Frage der Zeit, bis diese Funktionen durch den steigenden Einsatz von Videokonferenzsystemen auch in diesem Bereich zum Standard werden.
Die Video- und Audio-Lösungen im Desktop-Bereich stellen erhebliche Anforderungen an die Echtzeitübermittlung der Daten und benötigen daher eine individuell abgestimmte Priorisierung im Netzwerk. Da die PCs individuell konfigurierbar sind, lassen sich diese leicht in Sachen Priorisierung manipulieren. Somit sind dem grundsätzlichen Vertrauen gegenüber diesen Geräten enge Grenzen gesetzt. Die Hersteller und Standardisierungsgremien sind daher gefordert, praxisnahe Lösungen zu entwickeln, die den Netzadministratoren die Arbeit erleichtern und für einen ungestörten Betrieb sorgen.
<<Vorherige Seite Seite 2 von 2
Mathias Hein, Benjamin Kolbe und Prof. Dr. Bernhard Stütz/jp/ln
