MÜNCHEN: Die grundsätzlichen funktionalen Anforderungen an das Netzwerk-Management erklärt Matthias Hein* in seinem Artikel. Die Aufgabe eines Netzwerkadministrators ist, den Fluß der Daten im Netz ähnlich wie in einem Verkehrsleitsystem zu lenken.Schlagworte wie Downsizing oder Rightsizing dominieren die Diskussionen um die moderne Rechnerkultur. Die zentralen EDV-Dienste werden aus Kostengründen in kleinere Einheiten aufgebrochen und durch dezentrale Client- Server-Lösungen mit verteilten Applikationen ersetzt. Eng abgegrenzte und funktional eindimensionale Applikationen werden von offenen, integrations- und netzfähigen Anwendungen abgelöst.
Auf den unteren Ebenen des Netzwerks erfordert dies den Einsatz von Standards und von offenen, herstellerübergreifenden Schnittstellen und Protokollen. Die daraus resultierende Flexibilität verlangt von den selbst organisierten Unternehmenseinheiten - aber auch von den Händlern, die diese Netzwerke installieren und betreuen - eine nie dagewesene Kompetenz und Verantwortung.
Für die einzelnen Fachabteilungen stellt die neue Kommunikationsstruktur auch neue Anforderungen an die Sicherheit und die Verwaltung der Systeme. Um ein Datennetz den sich ständig ändernden Anforderungen anpassen zu können und diese Anpassungen ohne größeren Zeitverzug umzusetzen, bedarf es einer Managementfunktion, mit der die entsprechenden Parameter simuliert werden können.
Je stärker sich die Anforderungen für ein Netzwerk ändern, um so wichtiger ist die frühzeitige Simulation des angestrebten Ziels. Durch ein umfassendes Managementsystem sind der Netzbetreiber und der Händler darüber hinaus in der Lage, rechtzeitig die richtigen Maßnahmen gegen potentielle Probleme im Betrieb zu ergreifen und die Reibungsflächen und die daraus resultierenden Kosten zu minimieren.
Die in den Managementsystemen integrierten Werkzeuge ermöglichen das gezielte Sammeln von Informationen und die Kontrolle aller Netzwerkkomponenten. Diese Tools wurden von der Internationalen Standard Organisation (ISO) in Form von Objekten und Attributen festgelegt. Im Open Systems Interconnect (OSI)-Modell definiert die ISO für das Netzwerk-Management fünf voneinander unabhängige Funktionsbereiche:
- Konfigurations-Management
- Performance-Management
- Fehler-Management
- Accounting-Management
- Security-Management .
Die sehr theoretischen Management-Definitionen der ISO können bis zu einem gewissen Grade anhand eines Verkehrsleitsystems verdeutlicht werden.
Konfigurations-Management
Eine Network-Management-Station muß in der Lage sein, die Konfigurationen der am Netz angeschlossenen Geräte zu überwachen und die jeweiligen Daten in einer Systemdatenbank ablegen zu können. Dadurch ist der Netzwerk-Administrator in der Lage, alle Geräte zu kontrollieren und alle Veränderungen im Netzwerk zu registrieren. Dies entspricht weitgehend einem kontinuierlich aktualisierten Straßenplan, der auch temporäre Zustände wie beispielsweise Baustellen berücksichtigt.
Performance- und Fehler-Management
Ebenso wie ein Straßennetz besitzt auch ein Datennetz gut ausgebaute Hauptstrecken, aber auch potentielle Engpässe wie beispielsweise Brükken, über die der gesamte Autoverkehr zwischen zwei Stadtteilen läuft. In den Hauptverkehrszeiten kann der Verkehr diese Brücken vollständig auslasten, und selbst in verkehrsarmen Zeiten können hier auch geringe Störungen zu erheblichen Behinderungen führen.
In einem Datennetz (LAN und WAN) verhalten sich die Verkehrsströme sehr ähnlich. Werden zu viele Daten übertragen, so kann es zu langen Wartezeiten kommen. Diese Wartezeiten können zu einem erneuten Senden der Daten führen, was die Strecke noch mehr belastet und im Endeffekt zum Kollaps oder zumindest zur erheblichen Verringerung des Datendurchsatzes im Netz führt. Eine Behinderung (zum Beispiel defekter Repeater oder ein schlechtes Kabel/ Stecker) führt dazu, daß ganze Netzzweige nicht mehr benutzt werden können. Bevor solche Fehler auftreten, sollte das Netzwerk-Management ähnlich einem Verkehrsleitsystem in der Lage sein, durch gezielte Messungen alle notwendigen Informationen zu besorgen, um einem Zusammenbruch des Systems (auch in Teilbereichen) zu verhindern.
Das Performance-Management erbringt diese Leistungen durch Sammeln der aktuellen Leistungs- und Fehlerraten in den einzelnen Netzbereichen. Diese Daten können in Form von Statistiken aufbereitet werden. Durch die enge Verzahnung des Performance- mit dem Fehler-Management können für alle Parameter bestimmte Schwellenwerte definiert werden. Bei einer Überschreitung oder Unterschreitung eines Wertes wird automatisch eine Fehlermeldung auslöst.
Auf diese Weise können mögliche Engpässe und große Belastungen rechtzeitig erkannt und Gegenmaßnahmen getroffen werden, bevor es zum Zusammenbruch des Netzes kommt. Die drei wichtigsten Funktionen des Performance-Managements sollten regelmäßig, am besten permanent, durchführt werden.
- Sammeln der Daten und Auswertung (Aufbereitung) der gesammelten Daten in Form von Statistiken
- Das Monitoring, bei dem bestimmte Kommunikationsvorgänge analysiert werden
- Das Simulieren, bei dem bestimmten Ereignisse provoziert werden.
Das Fehler-Management ermöglicht die automatische Analyse des gesamten Datenverkehrs (Datendurchsatz und Fehlerrate) und schreibt die erfaßten Werte in die System-Datenbank. Nach Bedarf müssen Alarmmeldungen auf der Network-Management-Station erzeugt werden. Beispielsweise kann die Anzeige von Alarmen oder Fehlern durch eine Farbcodierung realisiert werden. Die Alarme mit allen zugehörigen Daten sollten in einer Datenbank abgelegt werden können. Diese integrierte Datenbank bietet weitere Möglichkeiten zur Fehlerbehandlung durch nutzerspezifische Reports. Die Reports werden vom Administrator zu bestimmten Fehlern erstellt und können Hinweise auf Fehlerursachen und bestimmte Vorgehensweisen zur Fehlerbehebung enthalten.
Accounting-Management
Das Accounting-Management soll dem Betreiber eines Datennetzes Werkzeuge in die Hand geben, eine Tarifierung für die Netzwerkbenut-
zung durch das Erfassen benutzerbezogener Daten vorzunehmen. Am einfachsten kann dies mit einer nutzungsbezogenen Autobahngebühr verglichen werden. Ein ideales System, das dies wirklich im Detail ermöglicht, läßt sich jedoch in den offenen Netzwerken von heute noch nicht realisieren.
Machbar ist jedoch ein Quasi-Accounting durch Einführung einer konstanten Anschlußgebühr sowie Umlegung der laufenden Betriebskosten auf alle Netzteilnehmer - vergleichbar mit einer Vignettenlösung bei der Autobahngebühr. Dieses Modell birgt natürlich einige Härten, da für eine DOS-Station (Single User) die gleichen monatlichen/jährlichen Kosten berechnet werden wie für ein Multiuser-System. Näher am Ideal bewegt sich das adressenbezogene Accounting mit einem Abrechnungsmodus auf Basis der Hardware- (Layer 2) beziehungsweise Netzadressen (Layer 3). Dazu wird im Managementsystem ein geeignetes Verfahren auf der Schicht 2 beziehungsweise Schicht 3 benötigt.
Security-Management
Das Netzwerk-Management sollte den Zugang zum Datennetz und den Zugriff auf die Ressourcen und Services überwachen. Dazu bedarf es gewisser Überwachungsmechanismen und Regeln, wie zum Beispiel Paßwörter oder Zugangsberechtigungen. Vergleichbar wäre dies mit Einschränkungen im Straßenverkehr, bei denen zu bestimmten Zeiten oder an bestimmten Orten nur besonders autorisierte Fahrzeuge oder Fahrer unterwegs sein dürfen - möglicherweise auch nur zu ganz bestimmten Zielen (Anliegerstraßen, Beschränkung auf Kat-Fahrzeuge bei Smog-gefahr, Militärgelände etc.).
Das Security-Management ermöglicht dem Netzbetreiber, seine Netzwerkressourcen wie folgt zu schützen:
- Zugriffsschutz auf Rechner und andere Endgeräte auf Benutzerebene
- Benachrichtigung des Netzwerk-Management-Systems bei dem Versuch, unberechtigt auf geschützte Ressourcen zurückzugreifen.
Da diese Funktionen auf allen Ressourcen im Netzwerk integriert werden müssen, sollten folgende Funktionen implementiert werden:
- Ein Mechanismus zur eindeutigen Identifizierung sicherheitsrelevanter Netzressourcen
- Fest definierte Zugriffspunkte auf die geschützten Ressourcen
- Sicherheitsmechanismen für diese Funktionen, ein Management-Protokoll, welches die Verwaltung der zu schützenden Netzressourcen ermöglicht.
Eine Vielzahl dieser Mechanismen steht bereits heute zur Verfügung. Eine Benutzung der Security-Management-Möglichkeiten hat sich jedoch im breiten Maß bis heute nicht durchgesetzt. Zwar hat praktisch jedes Unternehmen Teilbereiche eines Sicherheitskonzeptes realisiert, doch die Erfahrung und - bei besonders spektakulären Fällen - die Schlagzeilen zeigen, daß hier noch Nachholbedarf besteht. Dies liegt allerdings weniger daran, daß Managementsysteme heute nicht die erforderlichen Tools böten, sondern eher an einem noch immer eingeschränkten Bewußtsein für die Sicherheitsproblematik.
Über den Autor:
Matthias Hein, Marketing Manager der Bay Networks Deutschland GmbH in Wiesbaden, hat unter anderem auch Bücher über SNMP und Netzwerkausschreibung verfaßt.