Melden Sie sich hier an, um auf Kommentare und die Whitepaper-Datenbank zugreifen zu können.

Kein Log-In? Dann jetzt kostenlos registrieren.

Falls Sie Ihr Passwort vergessen haben, können Sie es hier per E-Mail anfordern.

Der Zugang zur Reseller Only!-Community ist registrierten Fachhändlern, Systemhäusern und Dienstleistern vorbehalten.

Registrieren Sie sich hier, um Zugang zu diesem Bereich zu beantragen. Die Freigabe Ihres Zugangs erfolgt nach Prüfung Ihrer Anmeldung durch die Redaktion.

10.09.1999 - 

Layer-4- und Layer-7-Funktionalität

Switching wird intelligenter, aber auch komplexer

MÜNCHEN (jha) - Die neuesten Switches reichen über die Funktionalität der Netzwerkschicht hinaus. Informationen der Layer 4 und 7 - also der Applikationsebene - werden herangezogen, um Sicherheit und Effizienz eines Netzes zu erhöhen. Der Preis für die Anwender, die diese proprietären, weil nur ansatzweise standardisierten Möglichkeiten nutzen wollen: ein erheblicher Konfigurationsaufwand.

Das Prinzip sämtlicher neuer Entwicklungen im Switching-Markt lautet für Behooz Moayeri, Mitglied der Geschäftsleitung bei der Comconsult Beratung und Planung GmbH, Aachen, kurz: "Mehr Intelligenz in die Switches." Die Hersteller präsentieren ihre Neuerungen etwas differenzierter: Sie haben Bezeichnungen wie Web-, Multilayer-, Layer-Independent und High-Level-Switching kreiert. Gemeint ist damit aber immer die Interpretation der Schichten 2 bis 7 der Datenpakete auf ihrem Weg durch das Netz.

Dabei greifen die Anbieter der Gegenwart sehr weit voraus, denn bislang haben sich nur Switches mit Layer-2-Funktionalität in den Unternehmensnetzen etabliert. Geräte, die die Ebene 3 des Schichtenmodells zur Wegefindung heranziehen, halten erst seit etwa einem Jahr Einzug in die Kommunikationswege. "IP-Switches ermöglichen vor allem schnelles Routing", nennt Moayeri die am häufigsten von Anwendern nachgefragte Funktion dieser Geräte.

Weitere Möglichkeiten wie das Erkennen von Datenflüssen oder die Einrichtung virtueller LANs lassen die in den Unternehmen für den Netzbetrieb zuständigen Experten meistens links liegen. Zu komplex ist die Einrichtung. "Die Hersteller preisen ihre Geräte zwar nach dem Motto an ,Wir können alles´, doch in der Realität sind diese Mechanismen bedeutungslos", weiß Moayeri.

Angesichts der Scheu der Anwender vor der aufwendigen Konfiguration ihrer Netzkomponenten mutet es ein wenig weltfremd an, wenn die Hersteller in ihren neuesten Switch-Generationen die Verarbeitung weiterer Ebenen des OSI-Modells implementieren. "Je höher die Schichten, die in einem Switch ausgewertet werden, desto differenzierter und komplexer wird der Konfigurationsaufwand", meint Christian Aust. Vor allem das Layer-7-Switching kritisiert der Senior Consultant bei der Pecos GmbH, Hamburg. Während sich die Ebene-3-Geräte auf Protokolle beschränken, die bestimmte Netzsegmente oder Endgeräte adressieren, arbeiten die neueren Switches mit Port-Kennungen (Layer 4) und mit Anwendungs-Schnittstellen (Layer 7). "Dort müssen sehr viel präzisere Vorgaben erstellt und Änderungen ständig nachkonfiguriert werden", erklärt der Experte den Mehraufwand bei der Konfiguration der jüngsten Switch-Generation.

Ein Beispiel aus dem Layer-4-Switching untermauert sein Urteil. Diese Geräte erkennen Applikationen anhand ihrer Port-Nummer im TCP-Header und können den Datenverkehr mit diesem Wissen steuern. Ändert sich aufgrund organisatorischer Umstrukturierung der Stellenwert und somit die Priorität einer Anwendung, muß dies in allen Switches nachgebildet werden.

Ein Mann aus der Praxis unterstreicht die kritische Einstellung zu Switches mit ausgefallener Funktionalität. "Das ist zum Großteil Marketing", geht Michael Diederich, System-Administrator bei der Fraunhofer-Gesellschaft IAO, Stuttgart, mit den Herstellern der Komponenten hart ins Gericht. Wenig sinnvoll, so seine Einschätzung, ist es, Pakete in einem Switch auf der Ebene 7 zu interpretieren. Allenfalls den Funktionen von Layer-4-Switches vermag er noch einige bemerkenswerte Verbesserungen abzugewinnen: "Bei zentralen Diensten kann es sinnvoll sein, Pakete mit definierten Port-Nummern herauszufiltern." Beispiele sind das File Transfer Protocol (FTP), Mail- oder Web-Applikationen. "Bei vielen anderen sehe ich keine Vorteile." Zurückhaltung ist auch deshalb geboten, weil kaum ein Verfahren standardisiert ist. Schon auf der Ebene 3 hapert es mit der Interoperabilität. Dort reserviert das IP-Kopffeld 3 Bit für die Vergabe von Prioritäten (Type of Service = TOS). Ansätze, wie diese Merkmale vergeben werden, definiert der bereits 1981 entstandene Standard 802.2p des Institute of Electrical and Electronics Engineers (IEEE). Uneinigkeit herrscht jedoch darüber, wie mit diesen Regelungen zu verfahren ist.

Kaum anders verhält es sich bei den Layer-4-Switches. Zwar hat die Internet Engineering Task Force (IETF) feste Port-Nummern vergeben, allerdings nicht für alle Anwendungen. Die Routing-Entscheidung treffen die Switches jeweils für sich, so daß die Weiterleitung prinzipiell auch in heterogenen Netzen funktioniert. Doch die Möglichkeiten dieser Geräte kommen erst dann richtig zum Tragen, wenn unternehmensweite Regeln vereinbart werden, wie zum Beispiel mit welcher Applikation zu verfahren ist. Idealerweise sollten demnach die Policies an einer zentralen Stelle definiert und automatisch an alle Switches im Netz verteilt werden.

Um dieses Verfahren auf eine einheitliche Basis zu stellen, arbeitet die IETF an dem Standard Common Open Policy Service (Cops), einem Verteilmechanismus für die Regeln. Er nutzt den Mechanismus zur Reservierung von Netzkapazität, das Resource Reservation Protocol (RSVP), sowie die Differentiated Services (Diffserv). Letzteres Verfahren ist eine Weiterentwicklung von RSVP, das die Informationen des TOS-Feldes zur Bandbreitenzuweisung nutzt. Cops beinhaltet darüber hinaus eine Art Management Information Base (MIB) für Regeln, die auf den Switches abgelegt wird, sowie eine zentrale Datenbank (kann ein handelsüblicher Verzeichnisdienst sein), wo Switching-Entscheidungen definiert und hinterlegt sind. Diese IETF-Norm ist erst im Entstehen, und auch "Diffserv ist ein halbfertiger Standard, von dem man nicht weiß, wie ihn die Hersteller gegenwärtig implementieren", erläutert Moayeri, "zur Zeit sind alle Verfahren zur Prioritätenvergabe proprietär."

Die herstellereigene Realisierung setzt sich bis in die Ebene 7 fort. Hier kommen ähnliche Hemmnisse zum Tragen wie beim Layer-4-Switching, jedoch in verschärfter Form. Nicht einmal ansatzweise entstehen für die Priorisierung und das Load-Balancing auf der höchsten Ebene Standards. Einheitliche Definitionen, wie mit den Informationen der Applikationsschicht zu verfahren ist, gibt es nicht. Auf der Ebene 7 können Switches beispielsweise erkennen, welche URL adressiert oder welche Datei angesprochen wird. Die Anfragen werden dann an den entsprechenden Server weitergeleitet und somit Load-Balancing-Funktionen implementiert. "Mit den Layer-7-Mechanismen lassen sich sehr feine Abstufungen der Informationsverteilung definieren", erklärt Aust, "das müssen sich die Anwender jedoch mit einem erhöhten Administrationsaufwand erkaufen." Der steigt sprunghaft an, wenn Switches unterschiedlicher Hersteller im Einsatz sind.

Die eingangs erwähnte Vielzahl der Bezeichnungen für das Switching auf höheren Ebenen spiegelt also lediglich die Menge der unterschiedlichen Umsetzungen wider. Was als Differenzierungsmerkmal für die Marketing-Broschüren entworfen wurde, entpuppt sich als unüberbrückbare Kluft in heterogenen Switching-Umgebungen. "Solange es keine Standards gibt, werden sich die Anwender nicht trauen, die Verfahren einzusetzen", sagt Comconsult-Manager Moayeri.

LAYER-4- BIS LAYER-7-SWITCHING

Die neueste Idee der Hersteller sind die Layer-7-Switches. Sie interpretieren die Applikationsschicht in den Datenpaketen und können anhand der darin enthaltenen Informationen beispielsweise erkennen, welche Web-Adressen oder Dateien angesprochen werden sollen. Damit lassen sich Datenströme sehr gezielt auf Server verteilen, womit auch schon ein typischer Einsatzort genannt wäre: Server-Farmen. Des weiteren können diese Switches den WAN-Routern vorgeschaltet werden, so daß sie den Datenverkehr für die langsame Übertragung durch das Weitverkehrsnetz vorbereiten.

Die Layer-4-Switches beschränken sich darauf, die Port-Nummern im TCP- und UDP-Header zu verarbeiten (TCP = Transmission Control Protocol, UDP = User Datagram Protocol). Diese Kennungen sind von der Internet Engineering Task Force (IETF) fest vergeben. So trägt das File Transfer Protocol (FTP) die Nummer 21, das Hypertext Transfer Protocol (HTTP) die Nummer 80 und das Simple Network Management Protocol (SNMP) die Nummer 161. Netzkomponenten mit Layer-4-Funktion können Applikationen je nach Priorität bevorzugt durch das Netz schleusen, so daß übertragungs- und geschäftskritische Daten verzögerungsfrei zum Ziel gelangen. Die Crux: Nicht alle Anwendungen haben feste Port-Nummern. Einige handeln diese vor jeder Übertragung neu aus. Außerdem verwenden Unternehmen beispielsweise spezielle Kennungen, um zwischen internen und externen HTTP-Transfers unterscheiden zu können. Im übrigen verarbeiten Router seit eh und je die Informationen der Ebene 4.

Layer-5- und Layer-6-Switches gibt es nicht und wird es voraussichtlich nicht geben. TCP/IP hat sich zum dominierenden Protokoll in den weltweiten Netzen entwickelt und wird seine Position, so die einhellige Meinung der Marktkenner, weiter ausbauen. Funktionen der Ebene 5 im ISO/OSI-Schichtenmodell finden sich zum Teil im TCP-Header wieder, werden also von Layer-4-Switches erledigt. Die Ebene 6 (Darstellungsschicht) enthält Informationen (beispielsweise die Art des Datensatzes), die für das Switching bedeutungslos sind.

Abb: Neue, intelligentere Switches beziehen auch die oberen Schichten des OSI-Modells ein. Quelle: CW