Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

Gefahren lauern bei Design, Vergabe und Verwaltung

Gut geplante IP-Adressen helfen aus dem Chaos

21.08.1998

IT-Manager entdecken ihre Liebe zu der Protokollfamilie TCP/IP. Analysten wie die International Data Corp. (IDC) bestätigen diesen Trend. Sie prophezeien beispielsweise, daß der weltweite Marktanteil von Client-Betriebssystemen auf IP-Basis bis zum Jahr 2001 auf über 90 Prozent steigen wird.

Anwender wechseln nicht ohne Grund auf das durch das Internet zu Ruhm gekommene Protokoll. Sie sehen in TCP/IP unter anderem ein Mittel, um den administrativen Aufwand zu reduzieren, den die historisch bedingte Vielzahl an Protokollen im Unternehmensnetz mit sich bringt. So lassen sich beispielsweise Systems-Network-Architecture-(SNA-)Daten getunnelt, also in TCP/IP-Pakete verpackt, über IP-Netze übertragen. Auf diese Weise kann das Protokoll helfen, proprietäre Welten zu integrieren. Statt wie bisher viele verschiedene Protokolle einrichten und verwalten zu müssen, sparen Administratoren, die lediglich auf IP setzen, Zeit und letztlich Geld.

Die Implementierung ist aber keineswegs trivial. Nicht zu unterschätzen sind etwa die Themen Adreßdesign, -vergabe und -verwaltung. Oliver Flüs, Berater bei Comconsult Beratung und Planung in Aachen, geht noch weiter: "Zwischen Adreß- und Netzplanung darf heute nicht mehr getrennt werden." Daher ist es hilfreich, wenn die Planer des physikalischen und des logischen Netzes Hand in Hand arbeiten. Nur so lassen sich später zusätzlicher Administrationsaufwand und damit Mehrkosten vermeiden.

"Die Struktur von IP-Adreßräumen lehnt sich eng an die physikalischen Gegebenheiten an", erklärt Andreas Meder, Berater für Netzkonzeption bei Comconsult. Bestimmte Hilfsmittel erlauben Administratoren, die unter IPv4 üblichen, relativ starren Netzklassen (siehe Kasten "IP-Adreßstruktur") flexibler zu gestalten. So sind im Unternehmen vorhandene und doch recht große Adreßräume von Netzen der Kategorie A (rund 16 Millionen Geräteadressen) oder B (rund 65000 IP-Kennungen) über die Bildung von Subnets logisch zu untergliedern. Dies hat einen klaren Vorteil: Die Administration des Netzes wird so übersichtlicher.

Über logische Subnets können die realen physikalischen Gegebenheiten nachgebildet werden. Dies hilft bei einem späteren Auftreten von Problemen, Fehlerquellen mittels Protokollanalyse schneller zu isolieren. Zudem sind Subnets sinnvoll, um unnötige Übertragungen zu verhindern. Broadcasts, beispielsweise die Suche eines Clients nach einem DHCP-Server (DHCP = Dynamic Host Configuration Protocol), gehen dann nur noch an die zu einem Subnet gehörenden Rechner, aber nicht über dessen Grenzen hinaus und halten so den Verkehr im Rahmen.

Die Bildung eines Subnet erfolgt unter IP über sogenannte Subnet-Masken. Es handelt sich dabei um 32 Bit lange Strings, die in Verbindung mit der eigentlichen IP-Adresse eines Gerätes festlegen, zu welchem Subnet es gehört.

Jedes IP-Subnet entspricht letztlich immer einem Netzsegment, das durch einen Router vom Rest der Welt abgetrennt ist. Meder empfiehlt Kunden, eine möglichst überschaubare Struktur zu finden, die auch später noch nachvollziehbar ist. Sein Tip: Subnets einheitlich groß gestalten und bei der Vergabe der Endgeräteadressen innerhalb der Subnets möglichst eine einheitliche Systematik befolgen.

Designfehler vererben sich weiter

Generell sollte jeder Anwender bei der Vergabe der IP-Adressen darauf achten, sich möglichst viele Optionen für die Zukunft offenzuhalten. Dies gilt unter anderem im Hinblick auf eine eventuell vorzunehmende Umstellung auf IPv6, die nächste Generation des Internet Protocol. Die zur Zeit noch im Einsatz befindlichen IPv4-Adressen werden bei einem Umstieg zu einem Bestandteil der 128 Bit langen IPv6-Adressen, einmal gemachte Designfehler vererben sich somit zu einem bestimmten Grad weiter. Angesichts dieser Tatsache tröstet es wenig, daß ein zwingender Umstieg auf die neue Protokollversion für Unternehmen frühestens in fünf Jahren zu erwarten ist.

Die beschriebenen Probleme halten sich noch in Grenzen, solange ein Unternehmen keinen Internet-Zugang hat. Besteht aber die Notwendigkeit der Anbindung an das weltweite Datennetz, tauchen neue Gefahren auf: In diesem Fall müssen Administratoren neben nichtöffentlichen Adressen auch offiziell registrierte IP-Kennungen vergeben. Diese verwaltet das Internet Network Information Center (Inter-NIC), hierzulande vertreten durch die deutsche Dependance DE-NIC in Karlsruhe. Die Organisation stellt sicher, daß offizielle IP-Kennungen weltweit nicht mehr als einmal vergeben werden.

Administratoren sollten möglichst vermeiden, den Adreßraum für das Unternehmensnetz aus mehreren Adreßblöcken aufzubauen. Berater Meder weiß aber aus Erfahrung, daß beispielsweise eine bei der Planung des Netzes nicht berücksichtigte Erweiterung eines Firmennetzes dies notwendig machen kann. "Rein technisch ist so etwas durchaus in den Griff zu bekommen", erzählt er, warnt gleichzeitig aber davor, daß Administratoren sich mit nachträglichen "Krückenlösungen" ihre Arbeit unnötig schwer machen. Auch hier gilt: Rechtzeitige Planung erleichtert die Arbeit.

Der Berater nennt aber auch weitere Probleme, die der Umstieg auf IPv6 bergen kann. "Eine zerstückelte Adreßstruktur wird unter IPv6 dazu führen, daß die zwischen den eigenen Blöcken liegenden Adressen über Hilfsmittel ausgegrenzt werden müssen." Geschieht dies nicht, werden unweigerlich alle möglichen Datenpakete auch an Endgeräte geschickt, die gar nicht zum Unternehmen gehören. Er empfiehlt daher, immer einen möglichst zusammenhängenden IP-Adreßblock zu reservieren.

Probleme mit einem zerstückelten Adreßraum gibt es bei der Universität Würzburg nicht. Laut Matthias Reichling, Verantwortlicher für IP-Adressen im Rechenzentrum der Hochschule, hat die Uni ein Netz der Klasse B, das mit der Möglichkeit der Adressierung von etwa 65 000 Endgeräten ausreichend Adreßraum zur Verfügung stellt. Außerdem, so der IT-Experte, habe man das Netzwerk durch Subnetting so unterteilt, daß die logische Struktur des Netzes widergespiegelt werde.

Einige der Probleme bei der Vergabe von IP-Adressen können durch eine dynamische Vergabe von IP-Adressen mit Hilfe des Verfahrens DHCP abgefedert werden. Dabei bekommen Netzknoten jeweils beim Anmelden im Netz eine IP-Adresse zugewiesen. Der Einsatz von DHCP empfiehlt sich unter anderem dann, wenn nicht genug Adressen im Unternehmen vorhanden sind, um jedem Rechner eine eigene Kennung zuzuweisen. Die Technik läßt sich außerdem benutzen, wenn bestimmte Knoten nicht ständig an das Netz angeschlossen sind, das Zuweisen einer permanenten IP-Kennung also nicht lohnt. Schließlich eignet sich DHCP auch dazu, bei Fernzugriffen auf Unternehmensressourcen die Vergabe von IP-Adressen an die remoten Clients relativ unproblematisch zu erledigen. Die Universität Würzburg greift beispielsweise auf das Verfahren zurück, um Mitarbeitern den Wählzugang zum IP-Netz zu ermöglichen.

Anwender sollten dabei aber beachten, daß pro Subnetz ein DHCP-Server eingerichtet werden muß, von dem die Clients ihre IP-Adressen beziehen. Je nach Netzstruktur erfordert das einige Investitionen. Zudem hat das Verfahren auch Nachteile: Da einzelne Geräte keine permanente Kennung besitzen, dauert es bei Auftreten eines Problemes logischerweise länger, bis eine spezielle Fehlerquelle (beispielsweise ein ständig Broadcasts sendender Client) gefunden ist. Außerdem lassen sich bei laufend wechselnden IP-Adressen bestimmte Verfahren wie statisches Routing nicht einsetzen.

Planungshilfen

-Wie viele IP-Adressen werden benötigt (jetzt/später)?

-Wie viele Standorte sind abzudecken?

-Welche IP-Adreßklasse braucht das Unternehmen?

-Lassen sich nichtöffentliche IP-Adressen nutzen?

-Sind logische Subnetze erforderlich?

-Wie viele können in absehbarer Zeit notwendig werden?

-Welche Struktur ist zu wählen?

-Welche Subnetzmasken brauche ich?

-Wie viele verschiedene Subnetzmasken werden benötigt?

-Ist eine dynamische IP-Adreßvergabe (zum Beispiel für mobile Arbeiter) sinnvoll?