Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

14.05.1999 - 

Policy-based Networking: Hype oder Realität?

Regeln sollen Daten die Vorfahrt im Netz sichern

MÜNCHEN (ave) - In Netzwerkkreisen macht ein neues Schlagwort die Runde: "Policy-based Networking" soll Administratoren durch die Option, feste Regeln für bestimmte Übertragungen zu definieren und zu überwachen, die Verwaltung ihrer lokalen Netze erleichtern. Zumindest theoretisch. In der Praxis hat das Verfahren vor allem in heterogenen Umgebungen noch mit einigen Problemen zu kämpfen.

Datenstaus im Unternehmensnetz - der Alptraum eines jeden Administrators. Nicht einmal die wichtigsten Übertragungen werden abgeschlossen, denn das Netz kann sie in der Menge der Datenströme nicht erkennen. Was beim digitalen Verkehr derzeit noch nicht möglich ist, kann auf der Straße fast tagtäglich beobachtet werden. Busse kommen selbst im stärksten Verkehr gut voran, weil spezielle Fahrspuren und Ampeln ihnen die Vorfahrt geben, Einsatzfahrzeuge von Polizei oder Feuerwehr brausen mit Blaulicht und Martinshorn im Eiltempo zu ihrem Einsatzort.

Glaubt man den Versprechungen der Hersteller, soll dies über das regelbasierte Management auch in Firmennetzen zur Realität werden: Geschäftskritische Anwendungen erhalten gegenüber anderen Applikationen mehr Bandbreite beziehungsweise Vorfahrt im Netz. So soll sich sicherstellen lassen, daß die Datenübertragung einer Enterprise-Resource-Planning- (ERP-)Anwendung oder finanzielle Transaktionen nicht durch im Web surfende Mitarbeiter oder per Mail-Attachment im Netz kursierende Pamela-Anderson-Bilder gestört werden. Router oder Switches unterscheiden dann bei Bandbreitenengpässen beispielsweise zwischen gewöhnlichen E-Mail-Informationen und SAP-Datenströmen, die Priorität unternehmenskritischer Applikationen soll so gewährleistet sein.

Chris Sanders, Berater für International Network Services (INS), weiß um die Sorgen der Netz-Manager: "So lange das Netz läuft und genügend Bandbreite vorhanden ist, ist alles in Ordnung. Treten jedoch Engpässe auf, gibt es ein Problem. In einer solchen Situation wünscht sich jeder Administrator, den unternehmenskritischen Anwendungen Priorität einräumen zu können." Seiner Meinung nach könnte dies durch Policy-based Management zur Realität werden: "Regelbasiertes Verwalten von Netzen gibt dem Administrator mehr Möglichkeiten zur Kontrolle und Priorisierung des Datenverkehrs." Er sieht das Verfahren als "eine wertvolle Erweiterung" für Unternehmensnetze, die allerdings über zusätzliche Komplexität erkauft werden muß. "Die Umsetzung ist eine Herausforderung für Administratoren", warnt Sanders.

Dazu gehört, eine Liste von Netzprivilegien zu erstellen. Diese legen beispielsweise fest, welcher Mitarbeiter oder welche Anwendung das Netz wann wie stark auslasten darf oder welche Bandbreite mindestens beziehungsweise höchstens dafür bereitsteht. Zudem könnten die Netz-Manager zum Beispiel Sicherheitsparameter aufstellen. Das gesamte Regelwerk wird dann von einer zentralen Einheit auf im Netz vorhandene Komponenten (beispielsweise Router, Switches oder Remote-Access-Server) verteilt, die diese Bestimmungen ausführen sollen.

Alternativ hierzu könnten Netzregeln zentral in Verzeichnissen, etwa den Novell Directory Services (NDS) oder Microsofts Active Directory Services (ADS), vorgehalten werden. Aktive Netzkomponenten fragen die aktuellen Regeln für den Netzverkehr dann bei diesen Instanzen ab.

Um jedoch solche Policies aufstellen zu können, müssen Administratoren in der Lage sein, ihre Applikations-Datenströme zu klassifizieren, außerdem die verschiedenen Datenpakete je nach Wichtigkeit zu markieren und ihnen bestimmte Diensteklassen zuzuweisen. Hier liegt das eigentliche Dilemma: Die mittlerweile die lokalen Netze dominierende Protokollfamilie Transport Control Protocol/Internet Protocol (TCP/ IP) erlaubt derzeit weder das Reservieren von Bandbreite noch das Verwalten von Übertragungsgeschwindigkeiten zwischen Sender und Empfänger. Ohne Quality of Service (QoS) ist aber auch das Definieren von Policies hinfällig.

Die Industrie arbeitet zwar mit den Verfahren Resource Reservation Protocol (RSVP) und 802.1P an entsprechenden Standards, bislang ist das Zuweisen von Dienstequalitäten jedoch noch nicht einheitlich geregelt. INS-Mann Sanders erläutert: "In IP-Netzen nutzen die meisten Hersteller das Feld "Type of Service (TOS)" im Kopf des IP-Datenpaketes, um Dienstequalitäten anzugeben. Allerdings kann es dadurch Probleme geben, daß Geräte verschiedener Hersteller den dort angebenen Wert unterschiedlich interpretieren." Außerdem stellt beispielsweise RSVP von sich aus keine Mechanismen bereit, um zwischen bestimmten Datenübertragungen zu unterscheiden. Bei diesem Verfahren fordern Applikationen Bandbreite nach dem Prinzip "Wer zuerst kommt, mahlt zuerst" an. Dabei ist es durchaus möglich, daß ein Download aus dem Internet die Bandbreite für die Mitarbeiter aus der Finanzbuchhaltung blockiert.

Trotz aller Versprechungen der Hersteller zeigen sich die Analysten noch skeptisch gegenüber dem Policy-based Networking. Mike McConnell, Director Enterprise Management und LAN Programs bei Infonetics Research in San Jose, ist zudem der Ansicht, daß Anwender momentan vor allem mit der Lösung akuter Probleme im Netz beschäftigt sind und gar keine Zeit haben, sich mit der Festlegung und Implementierung von Regeln im Unternehmen zu befassen. Andere argumentieren, das regelbasierte Management sei von einem löblichen Konzept zu einem nahezu bedeutungslosen Schlagwort degeneriert. Einige Branchenkenner finden das Verfahren zwar vom theoretischen Ansatz her gut, sehen aber erhebliche Probleme bei der praktischen Umzusetzung. Eine wesentliche Stolperfalle stelle etwa die mangelhafte Interoperabilität von Lösungen verschiedener Hersteller dar.

Wie so oft neigen diese auch in puncto Policy Networking dazu, ihr eigenes Süppchen zu kochen. Hersteller wie Extreme Networks nutzen proprietäre beziehungsweise nur zum Teil standardkonforme Verfahren, um Regeln zu definieren und durchzusetzen. Extreme Networks'' "Enterprise Policy System" verspricht Datenverkehr klassifizieren und Bandbreiten zuweisen zu können. Todd Holley, Product Manager bei den Kaliforniern, räumt jedoch ein, daß dies zur Zeit nur "mit ausgewählten Cisco- und Xedia-Routern" sowie den Komponenten aus eigener Herstellung reibungslos funktioniert.

Die Internet Engineering Task Force (IETF) hat das Problem der mangelnden Interoperabilität erkannt und widmet sich ihm in einer speziellen Arbeitsgruppe. Ziel ist die Definition eines Frameworks, das die Darstellung, das Verwalten und Teilen von Netzregeln und die in ihnen enthaltenen Informationen "auf herstellerunabhängige, interoperable und skalierbare Art und Weise" festlegt.

Nach der Vorstellung der IETF sollen Regeln innerhalb einer bestimmten Domäne von einem dafür gesondert abgestellten Policy-Server kontrolliert werden, der sich wiederum auf einen Verzeichnisdienst stützt. Dieser muß über das Lightweight Directory Access Protocol (LDAP) zugänglich sein.

Organisatorische Auswirkungen

Alternativ sollen Policies auch in anderer Form, etwa über relationale Datenbanken, vorgehalten werden können. Zusätzlich plant die IETF-Arbeitsgruppe die Definition einer Policy Definition Language (PDL), mittels derer sich Netzregeln herstellerübergreifend festlegen lassen sollen.

Doch nicht nur die Technik stellt einen Stolperstein dar. Ein weiteres Problem liegt darin, daß das Festlegen von Regeln im Netz auch unternehmenspolitische Bedeutungen hat. Netzprofi Sanders warnt: "Schon die Entscheidung, wer die Regeln festlegt, kann ein Problem darstellen. Machen dies die Leute aus dem Marketing oder dem Vertrieb?" Auch die Frage, welche Abteilung mehr Anrecht auf Bandbreite hat, kann wahre Grabenkämpfe entfachen. Welcher Mitarbeiter wird seine Datenübertragungen freiwillig als weniger wichtig als die anderer einstufen? Hier ist wahres Fingerspitzengefühl gefragt, um Konflikte zu vermeiden. Grundsätzlich empfiehlt es sich, zunächst einmal allen Anwendungen beziehungsweise Mitarbeitern die gleiche Priorität zuzuweisen. Sollen bestimmte Übertragungen später bevorzugt behandelt werden, ist dieser Ausgangswert entsprechend zu erhöhen. Andere Datenströme müssen dann zurückgestuft werden.

Um sinnlosen Ausgaben vorzubeugen, sollten Unternehmen ihre Netze auf alle Fälle zunächst einmal einem Leistungs-Check unterziehen. Tom Nolle, President von Cimi Corp. empfiehlt Administratoren zudem, festzustellen, welche Mindestanforderungen an Bandbreite die im Unternehmen benutzten Anwendungen überhaupt stellen, um problemlos zu funktionieren. Hier liegt nach Meinung des Analysten noch einiges im argen: Von insgesamt 119 von Nolle befragten Unternehmen hatten lediglich fünf bereits entsprechende Untersuchungen angestellt. Dabei können diese Maßnahmen bares Geld sparen: Zeigen sie, daß das Netz über genügend Reserven verfügt, können Unternehmen auf die Einführung eines kostspieligen regelbasierten Management-Systems verzichten.