BORIS JAKUBASCHK & ROLAND MOOS - MyFritzpoct5i36suhgcw9b.myfritz.net/netz/zusatz/Linux-Kurs/Netzwerk_Guide_10.pdfi BORIS JAKUBASCHK & ROLAND MOOS Netzwerkguide.de Boris Jakubaschk

BORIS JAKUBASCHK & ROLAND MOOS

Netzwerkguide.de

Version

1

i

B O R I S J A K U B A S C H K & R O L A N D M O O S

Netzwerkguide.de

Boris Jakubaschk & Roland Moos

Version 1.02, Stand: 17. November 2004 (ersetzt Version 1.0 vom 16.10.2004)

Redaktion und Bearbeitung:Roland Moos • Aachener Straße 28a • D-52134 Herzogenrath

Email: [email protected] Mobiltelefon +49 (0) 1 71 / 4 75 94 27

www.netzwerkguide.dewww.rmtc.de/netzwerke

© 2 0 0 4 – W W W . N E T Z W E R K G U I D E . D E

Boris Jakubaschk & Roland Moos ii

Hinweise

Dieses Dokument einschließlich aller seiner Teile wurde im Privaten von den beiden Autoren Boris Jakubaschk und Roland Moos erstellt, ist aber trotzdem urheberrechtlich geschützt. Alle Rechte, auch die der Übersetzung, stehen ausschließlich den beiden Autoren zu. Kein Teil dieses Dokuments darf in irgendeiner Form (Druck, Fotokopie, Mikrofilm oder einem anderen Verfahren) ohne vorherige schriftliche Genehmigung der Autoren reproduziert oder unter Verwendung elektronischer Systeme verarbeitet, vervielfältigt oder verbreitet werden. Dieses Dokument wird unter www.rmtc.de bzw. www.netzwerkguide.dekostenlos zum Download angeboten und wurde von den Autoren für die Lehre erstellt und an Schulen eingesetzt. Die Autoren möchten die Ausbildung unterstützen. Wegen der Dateigröße erfolgte ein PDF-Konvertierung in einem Web-freundlichen Format. Gegen eine Aufwandsentschädigung von 6 Euro kann bei der Redaktion eine personifizierte und in guter Qualität druckbare Version per Email bezogen werden. Eine Nutzung im Sinne der nicht-kommerziellen und persönlichen Weiterbildung im privaten Bereich ist gewünscht, pauschal erlaubt und das Ziel dieses Dokuments. Jede Verwendung darüber hinaus bedarf der schriftlichen Zustimmung der Autoren (z.B. Einsatz und Weitergabe als Ausbildungsunterlage, Vertrieb, elektronische oder fotomechanische Bearbeitung, systematische Verbreitung oder Auswertung usw.) Die Autoren sind mit größter Sorgfalt vorgegangen, ein fehlerfreies Dokument zu erstellen. Eine Haftung für Fehler, evtl. Unvollständigkeit oder Auslassungen oder Fehlinterpretationen des Inhalts bei der Anwendung wird von den Autoren nicht übernommen. Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbe-zeichnungen usw. in diesem Dokument berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutzgesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürfen. Sofern Stellen oder Passagen aus diesem Dokument zitiert werden, so bitten wir um einen Verweis auf dieses Dokument als Quelle.


Boris Jakubaschk & Roland Moos 1

Autor: Boris Jakubaschk

Dipl.-Ing. Boris Jakubaschk ist 1968 geboren und hat bis 1995 an der Universität in Stuttgart Elektrotechnik studiert. Seither arbeitet er in Karlsruhe bei der Firma i&M Infokom in der Systemadministration und Softwareentwicklung. Seine Schwerpunkte liegen dort mittlerweile in der Erstellung von Online-Applikationen für Intranet und Internet.

Privat sammelt Herr Jakubaschk seit 1995 Home Computer (HC) und seit 1996 hat er dazu auch eine eigene Homepage (www.homecomputermuseum.de) entwickelt. 1999 fing er dann an, sich ein wenig mit Zahlensysteme, Rechenverfahren und Rechenmaschinen zu beschäftigen. Zusammen mit den Büro-Computern, die er während seiner Sammelleidenschaft erworben hat, kam Herr Jakubaschk so an das Material für ein weiteres Projekt: die Computer-Geschichte (www.computergeschichte.de).

Im Frühjahr 2001 schließlich begann Herr Jakubaschk mit einer Vorlesung im Studiengang Wirtschaftsinformatik über Kommunikationssysteme an der Berufsakademie Karlsruhe. Sein Skript ist wiederum in eine entsprechende Homepage (www.netzwerkguide.de) eingeflossen, an der inhaltlich Herr Moos seit Mitte 2003 maßgeblich mitwirkt.



Autor: Roland Moos

Dipl.-Ing. (FH) Roland Moos ist ebenfalls 1968 geboren und hat bis Januar 1994 Elektrotechnik mit Fachrichtung Nachrichtentechnik an der Fachhochschule in Dieburg bei Darmstadt studiert. Vor seinem Studium hat er eine Lehre als Fernmeldehandwerker bei der damaligen Deutschen Bundespost erfolgreich abgeschlossen.

Beruflich folgten Stationen bei Eunetcom (heute Equant), Danet Consult, Siemens und ComConsult Akademie, bei denen er als Network Engineer, Senior Berater und Senior Trainer tätig war. Zuletzt selbständig.

Herr Moos doziert an den Berufsakademien Mannheim und Mosbach „Kommunikations- und Netztechnik I“ über 2 Semester sowie „Netzwerkmanagement“ und betreut dort Studien- und Diplomarbeiten.

Privat beschäftigt sich Herr Moos – zusammen mit seinen Kindern – mit dem RC Auto-Modellsport und macht etwas (Live-)Musik.

Den Einstieg in die Webprogrammierung fand Herr Moos Mitte 2001. Seit dem entstanden verschiedene Projekte, zuletzt zum Thema Netzwerke (www.rmtc.de/netzwerke).



Inhaltsverzeichnis

Vorwort_____________________________________________________ 9

Einführung_________________________________________________ 11 Was ist ein Kommunikationssystem? _______________________________ 11

Grundlagen_________________________________________________ 14 Aufgaben von Kommunikationsnetzen ______________________________ 14

Datenverbund ________________________________________________________ 14 Funktionsverbund_____________________________________________________ 15 Verfügbarkeitsverbund_________________________________________________ 15 Leistungsverbund _____________________________________________________ 15 Lastverbund _________________________________________________________ 16

Dienstgüte in Kommunikationsnetzen_______________________________ 16 Quality of Service ____________________________________________________ 16 Class of Service ______________________________________________________ 17 Kriterien für die Dienstgüte _____________________________________________ 18 Maßnahmen zur Verbesserung der Dienstgüte_______________________________ 20

Standardisierung von Kommunikationsnetzen _______________________ 21 ISO / IEC ___________________________________________________________ 23 ITU (früher CCITT) ___________________________________________________ 23 ANSI ______________________________________________________________ 24 IETF _______________________________________________________________ 24 Sonstige ____________________________________________________________ 25

Übertragung von Informationen ___________________________________ 25 Digitalisierung _______________________________________________________ 26 Komprimierung ______________________________________________________ 32 Kodierung___________________________________________________________ 33 Paketisierung ________________________________________________________ 38 Wegesuche / Wegewahl ________________________________________________ 40 Elektrische Signale____________________________________________________ 42

OSI-Referenzmodell _____________________________________________ 43 Datennetze (Übertragungsprotokolle)____________________________ 49

Ethernet nach IEEE 802.3 ________________________________________ 51 Variante 10 Base 2 (Koaxialkabel) _______________________________________ 52 Variante 10/100 Base T ________________________________________________ 54 Varianten für Glasfaser ________________________________________________ 56 Variante „Highspeed“ (10 Gigabit) _______________________________________ 57 Medienzugriff bei Ethernet mittels CSMA/CD-Verfahren _____________________ 59 Paketaufbau _________________________________________________________ 61 Transceiver & Hubs ___________________________________________________ 62 Bridges & Switches ___________________________________________________ 63 Spanning Tree Algorithmus: ____________________________________________ 66

Token Ring_____________________________________________________ 67 Übertragungsmedium__________________________________________________ 68 Netzwerktopologie ____________________________________________________ 69 Medienzugriffsverfahren _______________________________________________ 71 Paketaufbau _________________________________________________________ 72

Wireless LAN___________________________________________________ 74 Übertragungsverfahren bei IEEE 802.11b __________________________________ 75 Probleme bei WLANs nach IEEE ________________________________________ 77



Medienzugriffsverfahren _______________________________________________ 78 Paketaufbau bei WLANs _______________________________________________ 79

X.25___________________________________________________________ 81 Frame Relay____________________________________________________ 83 ATM (Asynchronous Transfer Mode)_______________________________ 84

ATM Funktionsprinzip_________________________________________________ 84 ATM Zellenaufbau____________________________________________________ 85 ATM Verbindungsaufbau ______________________________________________ 86 ATM Netzwerkkopplung mit anderen Netzen _______________________________ 87

Das Internet ____________________________________________________ 88 Sonstiges_______________________________________________________ 89

Sprachnetze ________________________________________________ 91 Telegrafie / Außenkabel __________________________________________ 91 Telefonie_______________________________________________________ 92 ISDN (Integrated Services Digital Network) _________________________ 94 Telefonanlagen (PABX) __________________________________________ 97 PPP-Protokoll __________________________________________________ 98

Mobilfunk-Netze_____________________________________________ 99 Historie________________________________________________________ 99 GSM-Einführung ______________________________________________ 101 GSM-Komponenten ____________________________________________ 102

Die Vermittlungsstelle: _______________________________________________ 102 Die Basisstation-Controller:____________________________________________ 103 Die Basisstation:_____________________________________________________ 103

GSM-Funktionsweise ___________________________________________ 104 Anmeldung am Netz und Sicherheit: _____________________________________ 104 Verbindungsaufbau: __________________________________________________ 105 Übertragungscodierung _______________________________________________ 105

GSM-Funkverbindung __________________________________________ 106 HSCSD, GPRS und Edge ________________________________________ 107

HSCSD____________________________________________________________ 107 GPRS _____________________________________________________________ 108 Edge ______________________________________________________________ 109 Was wofür? ________________________________________________________ 109

UMTS ________________________________________________________ 110 Lizenzen, Frequenzen und Telefonnummern _______________________________ 110 Netzstruktur:________________________________________________________ 111 Übertragungstechnik: _________________________________________________ 112

Weitere Mobilfunksysteme_______________________________________ 113 Bündelfunk / TETRA_________________________________________________ 113 Satellitensysteme ____________________________________________________ 113

Netzwerk- und Transportprotokolle ____________________________ 115 IP (Internet Protocol) _________________________________________________ 115 IPv6 ______________________________________________________________ 133 VPN (Virtual Private Network) _________________________________________ 136 TCP ______________________________________________________________ 137 UDP ______________________________________________________________ 141 Zusammenwirken der OSI-Schichten 1 bis 4_______________________________ 142



Anwendungen und Anwendungsprotokolle ______________________ 144 Verzeichnisse _______________________________________________________ 145 Telnet und FTP______________________________________________________ 148 HTTP _____________________________________________________________ 153 Email _____________________________________________________________ 158 Sicherheit im Netzwerk _______________________________________________ 162 Netzwerkmanagement ________________________________________________ 169

Netzwerk-Betriebssysteme (UNIX vs. Windows)___________________ 174 Philosophie____________________________________________________ 174 Benutzerverwaltung ____________________________________________ 176 Grafische Bedienoberflächen (GUI) _______________________________ 179 Datenbanken __________________________________________________ 181 Druckdienste __________________________________________________ 182 Internetdienste_________________________________________________ 183 Nutzung als Desktop-Betriebssystem ______________________________ 184 Administration_________________________________________________ 185



Abbildungsverzeichnis

Abbildung 1: Prinzip eines Load-Balancer .......................................................................... 16 Abbildung 2: Analoges Signal .............................................................................................. 27 Abbildung 3: Zeitdiskretes Signal (PAM, Pulse Amplitude Modulation) ............................. 27 Abbildung 4: Zeit- und wertdiskretes Signal (PCM, Pulse Code Modulation)..................... 28 Abbildung 5: Analog / Digital - Wandlung........................................................................... 28 Abbildung 6: Digital / Analog – Wandlung.......................................................................... 29 Abbildung 7: Digitalisierung von Bildern (Beispiel ccd) ..................................................... 29 Abbildung 8: Prinzip eines D/A-Wandlers ........................................................................... 30 Abbildung 9: Beispiel einer 4 Bit D/A - Wandlung............................................................... 31 Abbildung 10: Analog / Digital - Wandler ........................................................................... 31 Abbildung 11: ASCII Code ................................................................................................... 35 Abbildung 12: Coderaum ..................................................................................................... 37 Abbildung 13: Manchester-Code (1) .................................................................................... 38 Abbildung 14: Manchester-Code (2) .................................................................................... 38 Abbildung 15: Prinzip der Paket-orientierten Übertragung (hier: Paketierung)................. 40 Abbildung 16: "Bei-Spiel“ 1 zu elektrischen Signalen ......................................................... 42 Abbildung 17: "Bei-Spiel“ 2 zu elektrischen Signalen ......................................................... 42 Abbildung 18: "Bei-Spiel“ 3 zu elektrischen Signalen ......................................................... 43 Abbildung 19: Elektrische Übertragung / Netzwerkkarte (NIC) .......................................... 43 Abbildung 20: Prinzip der Schichtung an einem Beispiel (OSI-Referenzmodell) ................ 44 Abbildung 21: OSI-7-Schichtenmodell ................................................................................. 45 Abbildung 22: Prinzip der Schichtung ................................................................................. 46 Abbildung 23: Systeme aus Sicht von OSI............................................................................ 48 Abbildung 24: Übertragungsnetze in Bezug auf das OSI-Referenzmodell ........................... 50 Abbildung 25: Übersicht zu 10 Base 2 ................................................................................. 52 Abbildung 26: BNC-Verkabelung für 10 Base 2 .................................................................. 53 Abbildung 27: Grundmerkmale aller Twisted Pair (TP) Ethernet Varianten ...................... 55 Abbildung 28: Sternverkabelung mit Hubs........................................................................... 55 Abbildung 29: Patchfeld einer strukturierten Gebäudeverkabelung.................................... 56 Abbildung 30: Glasfaser-Varianten (1)................................................................................ 57 Abbildung 31: Glasfaser-Varianten in ihren Merkmalen..................................................... 57 Abbildung 32: 10 Gigabit-Varianten (1) .............................................................................. 59 Abbildung 33: 10 Gigabit Merkmale.................................................................................... 59 Abbildung 34: Ethernet Frame nach Ethernet Version 2 ..................................................... 61 Abbildung 35: Ethernet Frame nach IEEE 802.3................................................................. 61 Abbildung 36: Bild eines Transceiver .................................................................................. 63 Abbildung 37: Multiport-Repeater (Hub)............................................................................. 63 Abbildung 38: Switch an einem Beispiel .............................................................................. 64 Abbildung 39: Netzbeispiel 1................................................................................................ 65 Abbildung 40: Netzbeispiel 2................................................................................................ 65 Abbildung 41: Netzbeispiel 3................................................................................................ 66 Abbildung 42: Spanning Tree (1) ......................................................................................... 66 Abbildung 43: Spanning Tree (2) ......................................................................................... 67 Abbildung 44: Der Token Ring Stecker ................................................................................ 68 Abbildung 45: IBM 8228 Multiunit Attachment Station (Ringleitungsverteiler, RLV)......... 69 Abbildung 46: Backup bei Token Ring (1)............................................................................ 70 Abbildung 47: MAU bei Token Ring .................................................................................... 70 Abbildung 48: Backup bei Token Ring (2)............................................................................ 71 Abbildung 49: Token Ring mit Backbone-Struktur............................................................... 71 Abbildung 50: „Token“ beim Token Ring ............................................................................ 72 Abbildung 51: Token Ring Frame ........................................................................................ 73 Abbildung 52: Übertragungsraten nach IEEE 802.11b ....................................................... 76 Abbildung 53: Medienzugriff mit CSMA/CA bzw. Kollisionsvermeidung in WLANs ........... 78 Abbildung 54: WLAN-Frame................................................................................................ 79 Abbildung 55: WLAN Paket (Frame Control Bytes) ............................................................ 80 Abbildung 56: WLAN Frame Control Bytes (1) ................................................................... 80 Abbildung 57: WLAN Frame Control Bytes (2) ................................................................... 80



Abbildung 58: Kommunikation bei WLANs im Extended Services Set (ESS) ....................... 81 Abbildung 59: Einwahl ins X.25-Netz .................................................................................. 82 Abbildung 60: Datex-P Access 300 der Deutschen Telekom AG (Quelle: www.telekom.de)83 Abbildung 61: ATM als Inhouse-Backbone.......................................................................... 85 Abbildung 62: Aufbau einer ATM-Zelle ............................................................................... 86 Abbildung 63: ATM-Vermittlungsprinzip ............................................................................. 86 Abbildung 64: CPCDS-Protocol Data Unit (PDU) ............................................................. 87 Abbildung 65: Struktur des Internets.................................................................................... 88 Abbildung 66: Morse-Alphabet ............................................................................................ 91 Abbildung 67: Elektrisches Schaltbild eines Telefons / erste Telefonie-Anwendung ........... 92 Abbildung 68: Handvermittlung der frühen Zeit .................................................................. 93 Abbildung 69: Farb-Kodierung des RJ-45 Steckers am NT ................................................. 96 Abbildung 70: IAE / RJ 45-PIN-Zuordnung......................................................................... 97 Abbildung 71: ISDN Bus-Verkabelung................................................................................. 97 Abbildung 72: Grundsätzliche Struktur eines GSM-Netzes................................................ 102 Abbildung 73: GSM (HLR, VLR)........................................................................................ 103 Abbildung 74: Übertragungssystem ................................................................................... 106 Abbildung 75: GSM-Kanäle ............................................................................................... 107 Abbildung 76: TDM-Frame................................................................................................ 107 Abbildung 77: UMTS Frequenzen in Deutschland............................................................. 110 Abbildung 78: UMTS Vorwahlen in Deutschland .............................................................. 111 Abbildung 79: UMTS Netzwerkstruktur ............................................................................. 112 Abbildung 80: IPv4-Paketaufbau (IP Datagramm)............................................................ 117 Abbildung 81: Screenshot von NeoTrace Express 3.25 "List" (29.9.2004) ........................ 118 Abbildung 82: Screenshot von NeoTrace Express 3.25 "MAP" (29.9.2004)...................... 118 Abbildung 83: MTU verschiedener Datennetze (Übertragungsprotokolle) ....................... 119 Abbildung 84: Ping www.rmtc.de -f -l 1465....................................................................... 120 Abbildung 85: Ping www.rmtc.de -f -l 1464....................................................................... 120 Abbildung 86: Maximum Transfer Unit (MTU) ................................................................. 121 Abbildung 87: IP-Adressklassen ........................................................................................ 121 Abbildung 88: Ändern von MAC-Adressen bei Windowssystemen..................................... 123 Abbildung 89: Einfaches Beispiel eines ARP-Cache.......................................................... 124 Abbildung 90: Funktion der Adressauflösung .................................................................... 126 Abbildung 91: Beispiel mit Klasse A Adressen und Subnetting.......................................... 127 Abbildung 92: Beispiel Klasse C Adressen und Subnetting................................................ 128 Abbildung 93: Netzbeispiel Routing ................................................................................... 128 Abbildung 94: Mögliche Parameter des Befehls "Ping" .................................................... 131 Abbildung 95: Beispiel Traceroute..................................................................................... 133 Abbildung 96: IPv6-Paket (Datagramm) ........................................................................... 134 Abbildung 97: Prioritätsklassen bei IPv6........................................................................... 135 Abbildung 98: Verschlüsselung von Datenpaketen ............................................................ 137 Abbildung 99: TCP-Paketaufbau (Segment) ...................................................................... 138 Abbildung 100: TCP Verbindungsaufbau .......................................................................... 140 Abbildung 101: UDP-Paket (Segment) .............................................................................. 142 Abbildung 102: Beispiel eine TCP Pakets (Vorgang Encapsulation) ................................ 142 Abbildung 103: Beispiel eines IP Pakets (Vorgang Encapsulation) .................................. 143 Abbildung 104: Beispiel eines Ethernet Pakets (Vorgang Encapsulation) ........................ 143 Abbildung 105: Demonstration einer Adressauflösung mittels Ping-Befehl ...................... 144 Abbildung 106: DNS-Hierarchie........................................................................................ 146 Abbildung 107: Aufbau eines DNS-Namens....................................................................... 146 Abbildung 108: Beispiel einer DNS-Abfrage zu www.microsoft.com ................................ 147 Abbildung 109: LDAP / Beispiel einer Datenbank............................................................. 147 Abbildung 110: Beispiel einer FTP-Anwendung (hier: WS_FTP95 LE)............................ 149 Abbildung 111: Textueller FTP-Client ............................................................................... 149 Abbildung 112: Die wichtigsten FTP-Befehle .................................................................... 150 Abbildung 113: FTP-Kommandos zur Übertragung .......................................................... 150 Abbildung 114: Terminal-Server........................................................................................ 153 Abbildung 115: Aufruf einer Webseite mittels Browser ..................................................... 154 Abbildung 116: Aufbau des HTTP-Request........................................................................ 155 Abbildung 117: HTTP-Parameterzeile............................................................................... 156 Abbildung 118: Aufbau eines HTTP-Reply ........................................................................ 156



Abbildung 119: HTTP-Rückmeldungen.............................................................................. 157 Abbildung 120: Email-Versand und -abfrage .................................................................... 159 Abbildung 121: Firewall (Konzept).................................................................................... 163 Abbildung 122: NAT (Paket von innen nach außen) .......................................................... 164 Abbildung 123: NAT (Pakete von außen nach innen) ........................................................ 164 Abbildung 124: Firewall / Proxy-Server ............................................................................ 165 Abbildung 125: Namensgebung / MIB-Registrierungsbaum.............................................. 171 Abbildung 126: MIB-2 Variablen....................................................................................... 172 Abbildung 127: Aufbau des NMP Pakets ........................................................................... 172 Abbildung 128: SNMP Requests......................................................................................... 173 Abbildung 129: Windows NT Domänenkonzept ................................................................. 176 Abbildung 130: UNIX Network Information Service (NIS) ................................................ 177 Abbildung 131: Laufwerke freigeben bei Windows............................................................ 178 Abbildung 132: Laufwerke freigeben bei UNIX ................................................................. 179 Abbildung 133: UNIX X Server .......................................................................................... 180 Abbildung 134: Datenbankanwendung (1)......................................................................... 181 Abbildung 135: Datenbankanwendung (2)......................................................................... 181 Abbildung 136: Datenbankanwendung (3)......................................................................... 182



Vorwort Längst hat sich unsere Gesellschaft von einer Agrar-, über Industrie- in eine Informations- und Dienstleistungsgesellschaft gewandelt. Dabei spielen alle Arten von Informationen in unserem Geschäfts- wie auch Privatleben eine zentrale Rolle, ob beispielsweise zur Steuerung von Produktionsprozessen in der Fertigung, zur Reisebuchung über das Internet im privaten Bereich oder einfach nur zur Entscheidungsfindung im Geschäftsleben. Die Information ist in unserer heutigen Gesellschaft sogar zu einem weiteren Produktionsfaktor geworden.

Der Austausch und damit die Notwendigkeit der Übertragung von Informationen – gleich ob in Form von Sprache, Text, Bild oder Video – hat in unserem Alltag deshalb ebenso einen festen Platz erhalten. Man bezeichnet dies allgemein mit dem Begriff „Telekommunikation“ (TK). Dabei werden in heutigen Telekommunikationsnetzen Informationen ausschließlich in digitaler bzw. digitalisierter Form letztlich über Leitungen (elektrisch oder optisch) oder über Funk (elektromagnetisch) übertragen, so dass diesbezügliche Grundlagenkenntnisse für viele Berufsgruppen (Techniker, Ingenieure, Informatiker usw.) heute unerlässlich sind.

Ferner haben sich Bürotätigkeiten in den 90er Jahren durch die flächendeckende Einführung vernetzter Personal Computer (PC) beinahe genauso stark verändert wie zehn Jahre zuvor durch die Einführung des PCs an sich. Aber auch ein normales Telefongespräch wird mittlerweile in Form von Datenpaketen übertragen, ebenso digitale Satelliten-programme. Ein großer Teil der Bevölkerung (Stand 2002: ca. 660 Mio. weltweit) nutzt das Internet. Mittlerweile hat das Datenaufkommen weltweit das Sprachaufkommen überholt, so dass in den Datennetzen der nächsten Generation Sprache nur noch als eine weitere Anwendung gesehen werden kann.

Grund genug, sich mit den grundlegenden Prinzipien, Verfahren und der Funktionsweise von Datennetzwerken vertraut zu machen. Als Anwender kommt man zwar üblicherweise mit den Hintergründen der komplexen Techniken nicht in Berührung, allerdings werden zu deren Betrieb und Aufbau in Zukunft weiterhin viele Experten benötigt. Auch wer in einem Unternehmen Entscheidungen über die Einführung von TK- bzw. Datendiensten und -netzwerken zu treffen hat, sollte wesentliche Grundlagen verstanden haben, um die Aussagen von Beratern, Vertriebsmitarbeitern oder auch nur Datenblättern qualifiziert beurteilen zu können. Oft genug gerät man an so genannte Spezialisten, die z.B. ein Produkt verkaufen möchten, es aber selbst kaum selbst verstanden haben (was teilweise aber auch nicht deren Aufgabe ist).

Die Webseiten unter www.netzwerkguide.de stellen eine private Homepage von Boris Jakubaschk dar, welche aus einem Skript zu seiner Vorlesung "Rechnersysteme - Kommunikationssysteme" im Jahr 2001 entstanden ist und die er auch an der Berufsakademie Karlsruhe liest.



Bei seinen Recherchen zum Thema im Internet konnte er bisher - zumindest im deutschsprachigen Raum - keine brauchbare und zusammenhängende Darstellung dieses Themas finden. So kam er auf die Idee, selbst eine Homepage aufzubauen und so deren Inhalte über das Internet kostenlos zur Verfügung zu stellen. Herr Moos hat seine Idee Mitte 2003 aufgegriffen und ist seiner Bitte nachgekommen, inhaltlich diese Homepage weiterzuentwickeln. Das reicht von der kritischen Korrektur über die inhaltliche Erweiterung bis hin zur Gestaltung und Ausarbeitung dieser Offline-Version.

Bei der Fülle an Informationen bleibt es natürlich nicht aus, dass Teile nur kurz und damit nicht erschöpfend beschrieben werden, dafür bitten wir um Verständnis. Die Technik erlaubt zwar genügend Speicherkapazitäten, doch können „Mamutseiten“ z.B. mit Modems nicht ausreichend und nur unter erhöhten Kosten gelesen werden. Diese Offline-Version soll daher kein Buch darstellen, sondern eben nur zum privaten Nachlesen die Inhalte nunmehr unserer Homepage abdrucken.

Natürlich werden wir sowohl dieses Dokument wie auch die Homepage ständig erweitern und damit ausbauen. Daher kann es vorkommen, dass aus Zeitgründen Homepage und Dokument nicht Eins-zu-eins identisch sind. Es bleibt aber unser Ziel, leicht verständlich und in verdaulicher und zum Download geeigneter Menge die Sachverhalte dazustellen.

Boris Jakubaschk Roland Moos

Oktober 2004



Einführung Was ist ein Kommunikationssystem?

Definition

Ein Kommunikationssystem ist in der Lage, Informationen zu übertragen, und zwar:

von einer Quelle (Sender) zu einer oder mehreren Senken (Empfänger)

unter Benutzung technischer Vorrichtungen an den Endpunkten in einer bestimmten Sprache (Codierung)

nach bestimmten Regeln (Protokoll) über einen Übertragungskanal

unter Nutzung eines physikalischen Mediums.

Mit etwas Nachdenken ist die obige Definition nicht auf technische Kommunikation beschränkt, sie funktioniert (mal mehr, mal weniger gut) auch für klassische Formen der Kommunikation. Dazu einige Beispiele:

Buschtrommel / Rauchzeichen

Sender und Empfänger sind hier klar, wobei es sich technisch gesprochen um einen Broadcast1-Dienst handelt, einer trommelt, alle in Hörweite können die Nachricht empfangen. Die technische Vorrichtung ist die Trommel und das Medium hier die Luft. Vorab muss eine Verabredung getroffen werden, welche Rhythmen und Schlaggeschwindigkeiten welche Bedeutung haben, dies ist folglich der Code. Ein Protokoll würde insoweit vorliegen, wenn es Absprachen gäbe, zu welchen Zeiten getrommelt wird, wie genau der Empfänger zu antworten hat, auf welchen Code usw.

Postversand von Briefen

Auch den Briefverkehr kann man informationstechnisch beschreiben: Der Sender verwendet Stift und Papier, um seine Information zu codieren. Der Code ist die Sprache, die in Form von Buchstaben aufgezeichnet wird. Das Protokoll besteht darin, das Kuvert mit Empfänger und Absenderadresse zu versehen und verfahrensbedingt in einen Briefkasten zu werfen. Das Medium ist die Infrastruktur der Post.

Technische Kommunikation / Telekommunikation

Nun zum eigentlichen Thema der Webseiten: der technischen Kommunikation. Hier sind Quelle und Senke meist elektronische

1 Der Begriff „Broadcast“ bedeutet grundsätzlich „an alle“. So kann in einem Netzwerk, als Beispiel, eine Nachricht an einen Empfänger (Unicast), mehrere Empfänger (Multicast) oder alle (Broadcast) gesendet werden.



Baugruppen, z.B. EDV-Komponenten mit entsprechenden Schnittstellen, die über einen Übertragungskanal miteinander verbunden sind. Auf den Webseiten wie auch hier im Dokument werden Sie viele „Spielarten“ der technischen Kommunikation kennen lernen und dabei werden die folgenden Aspekte immer wieder neu beleuchtet:

Kodierung

Die Informationen einer (Informations-)Quelle an sich sind selten direkt für die Übertragung in einem Übertragungskanal geeignet. Also werden sie durch Quellencodierung, Signal- und Leitungscodierung entsprechend abgesichert und umgewandelt, im Endziel, an eine zur Übertragung geeignete Form angepasst.

Protokolle

Alle Verfahren und Regeln mit denen Sender und Empfänger kommunizieren, können unter dem Begriff „Protokoll“ zusammengefasst werden. So gibt es im ISDN beispielsweise ein D-Kanal-Protokoll, das u.a. den Verbindungsaufbau (vom Endgerät) der Vermittlungsstelle signalisiert und dabei die Nachrichtenarten und Inhalte, wie auch das Format definiert.

Medien

Letztlich müssen die Übertragungskanäle physikalisch über geeignete Übertragungsmedien realisiert werden. Hier stehen, neben der Funkübertragung, Koaxialkabel (unsymmetrische Kupferkabel), symmetrische Kupferkabel2 und Lichtwellenleiterkabel zur Verfügung. Je nach eingesetzter Übertragungstechnik kann ein physikalisches Medium ein oder mehrere Übertragungskanäle realisieren3.

2 Symmetrische Kupferkabel werden im Englischen als „Twisted Pair“ (TP) bezeichnet.

3 Im Ethernet wird ein Basisband-Verfahren eingesetzt, daher steht auf dem Medium nur ein Kanal zur Verfügung (Ausnahme vollduplex). Auf PCM-Strecken als weiteres Beispiel werden über ein Kupfermedium 30 Kanäle á 64 kbit/s bereitgestellt.



Zusammenfassung:

Was ist Kommunikation?

Die Kommunikation im Allgemeinen ist jeglicher Austausch von Informationen. Hierzu gehört zum Beispiel:

Die ästhetische Kommunikation (Ausdruck durch Gestik, Mimik oder Körperbewegungen),

Die soziale Kommunikation (Gruppen, die in bestimmten sozialen Umgebungen kommunizieren, wie z.B. Schulklassen), aber auch

Die technische Kommunikation.

Im Rahmen der technischen Kommunikation wird zwischen Geräten oder (Teil-)Systemen kommuniziert. Sinn und Zweck sind zum Beispiel das Steuern von Prozessen, das Überwachen von Zuständen oder auch das altbekannte Telefonieren.

Geschieht eine technische Kommunikation (und nur die technische Kommunikation ist Gegenstand der Webseiten und dieses Dokuments) über weite Entfernungen, spricht man dann von der Telekommunikation („Tele“ kommt aus dem Griechischen und bedeutet „weit entfernt“). Unterscheidet man dabei die Nachrichtenarten Sprache, Bild, Text oder Daten, lässt sich die Telekommunikation in die Teildisziplinen

Sprachkommunikation,

Bildkommunikation,

Textkommunikation und

Datenkommunikation

gliedern.



Grundlagen Aufgaben von Kommunikationsnetzen

Eine sehr allgemeine Beschreibung der Aufgaben von Kommunikationsnetzen ergibt sich aus der Überlegung, zu welchen Zwecken man Computer überhaupt miteinander verbinden kann. Das Netzwerk wird dabei zusammen mit den Endgeräten etwas abstrakt als "Verbund" bezeichnet. Wie jede Klassifikation beschreibt sie die Realität nur unvollständig, da bei vielen Aufgaben eines Kommunikationsnetzes die Zuordnung nicht hundertprozentig eindeutig ist.

Datenverbund

Unter einem Datenverbund versteht man die logische Kopplung räumlich getrennter Datenbestände über das Netzwerk, mit dem Ziel ihrer Zusammenarbeit. Betriebs- oder Anwendungssysteme sorgen dabei für die Konsistenz und Aktualität der Daten.

Beispiele:

Nutzung der Festplatten eines Servers für alle angeschlossenen Endgeräte (File-Server4)

• Datenbank-Server mit Zugriff durch zahlreiche Endgeräte,

• Teamarbeit und Workflow oder

• E-Mail-Server im Unternehmen.

Den Begriff der „räumlichen“ Trennung kann man aber auch – neben der Aufgabenverteilung der Endgeräte mit Client und Server – noch weiter fassen und auch etwas komplizierter betrachten.

Dem heutigen Trend der Daten- und Serverkonsolidierung folgend, werden die Server samt ihren Datenbeständen heute in einem Rechenzentrum zusammengefasst. Nehmen wir hier als Beispiel eine Großbank. Um nun die Ausfallsicherheit dieses Rechenzentrums (mit vielen Servern) sicherzustellen, verfügen Banken meist noch über ein so genanntes Backup-Rechenzentrum. Dieses befindet sich dann auch noch an einem anderen Ort bzw. einer anderen Stadt. Das Netz verbindet dann u.a. beide weit entfernte Rechenzentren. Damit das Backup-Rechenzentrum jederzeit den Wirkbetrieb übernehmen kann, müssen seine Daten natürlich (mittels geeigneter Software) auf dem gleichen Stand sein.

4 Der Begriff „Server“ stammt aus dem Englischen und bedeutet wörtlich übersetzt „Diener“. Server sind Rechner deren Dienste andere Rechner nutzen können.



Funktionsverbund

Unter einem Funktionsverbund versteht man die zielgerichtete Eingliederung von Geräten und / oder Systemen zur Realisierung spezieller Funktionen in einem Verbund, so dass alle autorisierten Benutzer oder auch Programme diese neuen Funktionen nutzen können.

Beispiele:

• Abteilungsdrucker oder Farb-(Laser)Drucker in einem Unternehmensnetz,

• Gateway-Dienste, wie z.B. Internetzugang oder Übergang von LAN-Telefonie in die öffentliche ISDN-Welt (PSTN5),

• Fax-Server für den zentralen Versand/Empfang von Faxen in einem Unternehmen.

Verfügbarkeitsverbund

Unter einem Verfügbarkeitsverbund versteht man die Schaffung fehlertolerierender Systeme, die auch bei Ausfall einzelner Komponenten noch eine Mindestleistung erbringen können.

Beispiele:

• Server im "Hot Standby" mit Watchdog-Funktionen,

• Server-Cluster mit Anwendungspaketen, die beim Ausfall eines Servers auf einem anderen Server gestartet werden.

Da zu einem Verbund nicht nur die Server-Systeme gehören, sondern auch das Netz, können natürlich auch Netze fehlertolerant ausgelegt werden, so dass der gesamte Verbund eine bestimmbare Verfügbarkeit erhält.

Leistungsverbund

Von einem Leistungsverbund spricht man, wenn Ressourcen auf mehreren verteilten und vernetzten Rechnern zur Lösung einer Aufgabe gemeinsam genutzt werden.

Beispiel:

• Seti@home Hier werden per Radioteleskop empfangene Signale aus dem Weltall in kleine "Häppchen" zerlegt auf im Internet erreichbare Rechner übertragen. Diese Rechner untersuchen die Signale dann auf Zeichen außerirdischer Intelligenz und melden die Ergebnisse

5 PSTN steht für Public Switched Telephone Network (öffentliches Fernsprechnetz)



zurück. Diese Anwendung ist in einen Bildschirmschoner integriert, nutzt also nur ohnehin "verschwendete" Rechenzeit.

Lastverbund

Von einem Lastverbund spricht man, wenn Ressourcen von momentan schwach belasteten Rechnern zur Entlastung gerade stärker belasteter Rechner eingesetzt werden.

Beispiel:

• Load-Balancing bei Webservern Mehrere Webserver teilen sich die Arbeit, indem ein vorgeschalteter Rechner eingehende Anfragen immer an den momentan am wenigsten ausgelasteten Server weiter reicht.

Abbildung 1: Prinzip eines Load-Balancer

Dienstgüte in Kommunikationsnetzen Quality of Service

Im Hinblick auf Netze oder Netz-Dienstleistungen, beispielsweise von Telekommunikationsanbietern6, ist oft von "Quality of Service" (QoS) oder zu Deutsch „Dienstgüte“ die Rede. Leider wird dieser Begriff widersprüchlich und auch unterschiedlich von den Fachleuten verwendet, weshalb hier die verschiedenen Sichtweisen dargestellt werden sollen:

6 Im Englischen auch „Carrier“ (Träger) genannt.



• Viele verwenden diesen Begriff lediglich als Zusammenfassung verschiedener Kriterien, die die Güte eines Netz-Dienstes hinsichtlich Geschwindigkeit und Zuverlässigkeit beschreiben.

• Andere sprechen von der Bereitstellung einer garantierten Geschwindigkeit bzw. Zuverlässigkeit in einem Datennetz.

• Eine dritte Sichtweise meint die Fähigkeit eines Datennetzes, Anwendungen eine bestimmte Geschwindigkeit bzw. Zuverlässigkeit garantieren zu können, was z.B. bei ATM-Verbindungen möglich ist.

Grundsätzlich kann jedes Netz unter seinen Leistungsparametern betrachtet werden. Zu diesen Leistungsparametern gehören nicht nur die (Übertragungs-) Geschwindigkeit bzw. Kapazität oder Zuverlässigkeit (auch Verfügbarkeit genannt), sondern auch Parameter wie beispielsweise die Paketverlustrate (engl. Packet Loss Ratio), Jitter oder Laufzeiten (auch Verzögerung oder Latenzzeit genannt).

Im Rahmen der Webseiten bzw. dieses Dokuments sprechen wir von Dienstgüte oder Quality of Service immer dann, wenn für solche Leistungsparameter in Bezug auf das Netz oder eines Dienstes Garantien geliefert werden können. Bei Dienstleistungen von Anbietern werden diese Garantien heute zunehmend vertraglich über so genannte Service Level Agreements7 (SLAs) abgesichert, damit auch der Anbieter zur Einhaltung „einen Ansporn“ verspürt (aber die Anforderung stammt vom Kunden im Rahmen des Outsourcings).

Class of Service

Neben dem Begriff „Quality of Service“ gibt es auch den Begriff „Class of Service“ (CoS). Hinter beiden Begriffen verbirgt sich zwar das Ziel der Bereitstellung einer gewissen Qualität, jedoch sind die Verfahren hierzu unterschiedlich. In den Momenten, wo Netze keine Garantien liefern können – das ist z.B. in einem LAN der Fall, versucht man alternativ über Priorisierungstechniken quasi eine Dienstgüte bereitzustellen, in dem man - simpel gesprochen - Paketen unterschiedlicher Nachrichtenarten (Sprache, Daten, Text) oder auch Anwendungen bei der Weiterleitung in den Netzknoten (hier nur Switches) den Vorzug gibt. Dies geschieht unter Verwendung geeigneter Algorithmen, damit eine gewisse Fairness gewahrt bleibt.

7 An dieser Stelle ein Hinweis: SLAs sind wichtig und nehmen heute immer weiter zu. D.h. der Dienstleister spricht vertraglich abgesichert Garantien aus. Allerdings nützen solche SLAs nur dann, wenn sie überprüft werden können. Beispiel: Stimmt die berichtete Verfügbarkeit von 99,99% im Monat wirklich? Hier treten m.E. die größten Probleme auf.



Kriterien für die Dienstgüte

Kapazität

Unter Kapazität versteht man die Übertragungsgeschwindigkeit eines Netzes bzw. einer einzelnen Netzverbindung, oft auch Kanal genannt. Ihre Einheit wird in Bit pro Sekunde (bps) angegeben. Nutzen mehrere Endgeräte die gleiche Netzverbindung, erhält jeder natürlich nur einen Teil der zur Verfügung stehenden Kapazität. Durchläuft ein Datenpaket ein Netz bestehend aus mehreren Abschnitten unterschiedlicher Kapazität, ist für die resultierende Geschwindigkeit der Abschnitt mit der geringsten Kapazität maßgeblich.

Kann beispielsweise ein Endgerät in einem LAN nur mit einem 10 Mbit/s-Adapter in ein Gigabit-Netz senden, trägt dieses nur unwesentlich zur Geschwindigkeit der Übertragung bei. Ebenso, wenn zwei räumlich entfernte LANs über eine ISDN-Leitung gekoppelt sind. Datenpakete, die über die ISDN-Verbindung laufen, werden effektiv nur mit 64 kbps übertragen, unabhängig davon, ob die LANs mit 10, 100 oder 1.000 Mbit/s arbeiten.

Die Kapazität ist nicht mit dem Begriff „Bandbreite“ zu verwechseln. Oft werden beide Begriffe synonym verwendet. Die Bandbreite hat allerdings die Einheit Hertz (Hz) und bezeichnet damit eine Frequenz. Beispielsweise hat ein Telefonkabel (Kategorie 3) die Bandbreite 16 MHz und kann damit Signale in einem Frequenzspektrum von 0 Hz bis 16 MHz übertragen, wobei eine Kapazität nur von 64 kbit/s besteht.

Verzögerung

Die Verzögerung (engl. „Delay“ oder „Latency“) gibt die Zeit an, bis ein Datenpaket, das vom Client gesendet wurde, beim Server ankommt. Damit wird die Einweglaufzeit durch ein Netz beschrieben. Man unterscheidet bei der Verzögerung die Ende-zu-Ende-Verzögerung und die reine Netz-Verzögerung. Bei ersterem werden die Verarbeitungszeiten in den Endgeräten hinzu gezählt, bei letzterem betrachtet man nur das Netz selbst.

Oft fällt auch der Begriff „Round Trip Delay“ (RTD). Hiermit meint man die Verzögerung „hin und zurück“. Dies ist z.B. bei Verwendung des PING-Befehls der Fall. Daher sollte man bei Verzögerungsaussagen nachhaken, ob die Einweglaufzeit oder der Round Trip Delay gemeint ist.

Als Beispiel soll hier der Bereich Voice over IP (VoIP) herangezogen werden. Laut ITU-T darf bei der Sprachübertragung die Ende-zu-Ende-Verzögerung (in ISDN Qualität) 150 ms betragen. Rechnet man die Verzögerung der Endgeräte für Kodierung, Komprimierung, Paketisierung und De-Jitter Puffer ab, so bleiben für die reine Netz-Verzögerung nur etwa 40-60 ms übrig. Dies ist auch der Grund, warum



die LAN-Telefonie kaum Probleme bereitet, wohl aber die Internet-Telefonie mittels VoIP.

Antwortzeit

Die Antwortzeit charakterisiert die Zeit, nach der bei einem Dialogsystem eine Reaktion auf dem Monitor zu sehen ist. Hierbei fällt natürlich auch die Verarbeitungszeit der Rechner ins Gewicht.

Jitter

Auch Varianz der Verzögerung genannt. Der Jitter beschreibt die Variabilität der Verzögerungen im Verlauf einer Datenübertragung. Diese muss insbesondere bei isochronen8 Datenströmen möglichst gering sein, z.B. bei Audio- oder Videoübertragungen. Hier ist der Jitter beispielsweise über das Internet enorm groß, was zu unangenehmen Qualitätsempfindungen führt.

Fehlerraten

Dieser Begriff steht allgemein für eine Fehlerhäufigkeit. Betrachtet werden meist

• Bitfehlerraten (Bit Error Rate)

• Paketverlustraten (Packet Loss Rate)

Ein Bitfehler entsteht, wenn beispielsweise durch Störeinstrahlung in ein Kabel in einem Datenpaket einzelne Bits "umkippen", d.h. aus einer logischen „1“ wird eine logische „0“ oder umgekehrt. Meist können Bitfehler durch eine geeignete Kodierung beim Empfänger erkannt und korrigiert werden, so lange eine bestimmte Häufung nicht überschritten wird. Sind zu viele Bitfehler in der Übertragung enthalten, muss das Paket verworfen werden und es entsteht ein Paketverlust. Dieser kann aber auch andere Ursachen haben, z.B. eine Fehlzustellung eines Paketes durch falsche Konfiguration einzelner Komponenten (z.B. Router) oder eine Kollision von Datenpaketen (in einem Ethernet LAN).

Taucht der Begriff „Fehlerrate“ im Zusammenhang mit dem ISDN auf, bei dem Wählverbindungen aufgebaut werden, meint man die Anzahl fehlgeschlagener Verbindungsversuche oder die Anzahl abgebrochener Verbindungen.

(Verbindungs-) Aufbauzeit

Bei Verbindungen, die bei Bedarf aufgebaut werden (so genannte Wählverbindungen oder engl. Switched Circuits), bestimmt die Aufbauzeit, wie lange es von der Signalisierung des

8 Isochron ist ein anderer Begriff für kontinuierlich.



Verbindungsaufbauwunsches bis zur eigentlichen Übertragung der ersten Nutzdaten dauert.

Bei Telefonverbindungen spricht man auch von einem „Post Dialling Delay“ (PDD). Hierbei meint man die Zeit nach der Wahl der letzten Ziffer bis zum Hören eines Frei- oder Besetztzeichens (denn dieses ist das Signal für den erfolgreichen Verbindungsaufbau).

Haltezeit

Wird eine Verbindung nicht mehr benötigt, wird sie nach Ablauf der Haltezeit getrennt. Das spart einerseits Kosten, führt aber dazu, dass erneut die Aufbauzeit anfällt, falls die Verbindung kurz darauf doch noch benötigt wird.

Maßnahmen zur Verbesserung der Dienstgüte

Oft ist es so, dass Endgeräte in einem Netz über langsame oder relativ teure WAN-Verbindungen (z.B. ISDN) Daten laden müssen, die dann sogar noch von mehreren Endgeräten benötigt werden. Dies ist häufig in einem lokalen Netz (LAN) der Fall, da hier hohe Kapazitäten zur Verfügung stehen. Um nun die Ladezeiten zu verkürzen, stehen mehrere Möglichkeiten zur Verfügung:

Ausbau der Kapazität:

Das Laden von größeren Datenmengen setzt natürlich für den Download „dicke Leitungen“ voraus. Eine einfache wie effektive Maßnahme ist beispielsweise im Heim- oder Filialbereich die Verwendung von DSL- anstelle ISDN-Anschlüssen und damit eine kostengünstige Kapazitätserhöhung (von 64 kbit/s auf beispielsweise 768 kbit/s).

Datenpufferung:

Da in einem Netz externe und langsame WAN-Verbindungen von mehreren Endgeräten benutzt werden, die dann oft auch noch die gleichen Daten laden, kann man durch Pufferung einmal geladener Daten die „Netz-interne Leistung“ erhöhen. Dazu gibt es zwei Strategien:

• Mirroring (zu deutsch "Spiegelung"): Der gesamte Datenbestand wird in Nebenzeiten mit geringer Auslastung über die langsame Verbindung geladen. Lokal steht nun eine identische Kopie zur Verfügung.

• Caching:Informationen werden über die langsame Verbindung geladen sobald sie erstmalig benötigt werden. Anschließend stehen sie in einem lokalen Puffer zur Verfügung. Bei Webseiten nennt man diesen Puffer "Proxy Server".



De-Jitter-Buffer

Der Jitter ist für alle Anwendungen von Interesse, die isochrone – also kontinuierliche – Datenströme senden. Da in einem Netzwerk in den Netzwerkknoten beispielsweise lastabhängig Engpässe entstehen können oder im Internet Pakete unterschiedliche Wege nehmen können, ist die Verzögerung meist variabel.

Bei Sprachanwendungen gibt es daher standardmäßig in den Endgeräten so genannte De-Jitter-Buffer, die in einem bestimmten Zeitfenster (typisch 40 – 60 ms) die Pakete zwischenspeichern und von dort aus kontinuierlich zum Hörer ausspielen. Dies hat mehrere Vorteile:

• Verzögerungsschwankungen werden im Bereich der Puffergröße ausgeglichen,

• Paketverluste können im Pufferbereich ausgeglichen werden, z.B. durch Interpolation,

• die Paketreihenfolge kann dort wieder hergestellt werden.

Maßnahmen gegen Paketverluste

Paketverluste sind für Datenanwendungen kritisch. Will man beispielsweise eine EXE-Datei übertragen und es gehen dabei Pakete verloren, kann am Zielort diese Datei nicht mehr zusammengesetzt und damit ausgeführt werden. Daher setzt eine Datenübertragung einen Paketverlust von 0% voraus. Bei Sprachanwendungen ist dies weniger kritisch. Hier spielt die Trägheit unseres menschlichen Ohres und auch des menschlichen Gehirns eine gewichtige Rolle. Zudem ist die menschliche Sprache etwas redundant, so dass in der Regel Paketverlustraten von bis zu 3% nicht wahrnehmbar sind.

Paketverluste lassen sich einschränken, wenn man hochwertige Übertragungsmedien einsetzt, die eine geringe Bitfehlerhäufigkeit aufweisen, so z.B. Glasfaser- anstelle Kupferkabel. Paketverluste treten aber auch in den Netzknoten (z.B. Switch) auf, wenn sie an ihre Belastungsgrenze kommen. In solchen Fällen laufen die Ausgangspuffer voll und die Netzknoten verwerfen dann teilweise wahllos Pakete. Eine ständige Überwachung der Netzauslastung und entsprechende Korrekturen tragen hier zu einer Verbesserung bei.

Standardisierung von Kommunikationsnetzen In der Vergangenheit entstanden viele Netzarchitekturen verschiedener Hersteller, wie zum Beispiel DECnet (Digital Equipment Corporation), AppleTalk, TCP/IP (Internet Society) oder SNA (IBM). Jeder dieser verschiedenen Ansätze erfüllte zwar seinen Zweck, jedoch war man als Anwender auf einen Hersteller beschränkt (so genannte proprietäre Lösung). Um nun eine Herstellerunabhängigkeit und damit eine



Interoperabilität zu erreichen, sind offene Architekturen / Systeme gefordert. Unter „offen“ versteht man hierbei schlicht und einfach „standardisiert“.

Im Rahmen offener Kommunikationssysteme spielt weniger die Realisierung innerhalb der Komponenten eine Rolle (Blackbox-Verfahren) als die genaue Spezifizierung ihrer Schnittstellen und Protokolle. Denn genau an den Schnittstellen werden die Komponenten der unterschiedlichen Hersteller miteinander verknüpft bzw. verbunden und somit ist hier die Interoperabilität gefordert.

In der Standardisierung von Telekommunikation und Netzwerken unterscheidet man

• De-jure Standards, das sind rechtlich verbindliche Standards (z.B. in Deutschland vom DIN),

• De-facto Standards, das sind zwar keine rechtlich bindende Standards, aber von der Mehrheit der Anwender akzeptiert (z.B. vom IETF im Bereich der Internet-Standardisierung) und

• Industrie Standards, welche von Unternehmenszusammen-schlüssen erarbeitet werden (z.B. Profibus Nutzerorganisation (PNO), ATM Forum oder Gigabit Ethernet Alliance).

In Deutschland unterscheiden wir eigentlich zwischen den Begriffen "Standard" und "Norm". Standards sind im eigentlichen Sinne Spezifikationen. Erhalten diese einen De-jure Status, sind also rechtlich bindend, bezeichnet man sie erst als Norm. Im internationalen Bereich wird aus sprachlicher Sicht zwischen den Begriffen „Standard“ und „Norm“ nicht unterschieden, auch wenn es diese Unterschiede dort natürlich ebenso existieren. Es ist demnach in der internationalen Literatur mit etwas Bedacht zu lesen.

Die verschiedenen Standards und Normen werden von unterschiedlichen Gremien erarbeitet. Grundsätzlich unterscheidet man weiter

• Internationale Gremien (z.B. ISO/IEC, ITU-T, IEEE, IETF)

• Europäische Gremien (z.B. CENELEC, ETSI, ECMA)

• Nationale Gremien (z.B. DIN, ANSI)

Die für den Bereich der Telekommunikation – und dort speziell der Datenkommunikation – wichtigsten Gremien werden im Folgenden etwas näher besprochen.



ISO / IEC

Die ISO9 ist quasi der „Dachverband“ aller nationalen Standardisierungsgremien und setzt sich daher aus jeweils einer entsprechenden Organisation pro Land zusammen. Die ISO besteht seit 1947 und hat rund 130 Mitgliedsländer. Die IEC deckt den elektrotechnischen Bereich innerhalb der ISO ab und wurde bereits 1906 gegründet mit heute rund 50 Mitgliedern.

Sitz der ISO und der IEC ist in Genf (Schweiz). Sie arbeiten bei Standards und Normen im informationstechnischen Bereich als JTC (Joint Technical Committee) zusammen.

Die ISO hat für die Telekommunikation und speziell für die Datenkommunikation eine besondere Bedeutung. Hier werden beispielsweise die gesamten Spezifikationen der IEEE im Bereich lokaler Netze ratifiziert und damit zu einer Norm. Dies betrifft beispielsweise die Verkabelungen oder auch die Stecker. Ebenso arbeitet die ISO/IEC eng mit der ITU-T zusammen, die ihren Schwerpunkt in der Sprachkommunikation10 hat.

Beispiele aus der ISO / IEC:

• ISO 7498: Referenzmodell für Open Systems Interconnection (OSI-Referenzmodell)

• ISO 8802-3: Lokales Netz nach Ethernet-Version

Webseiten der ISO bzw. IEC:

http://www.iso.chhttp://www.iec.ch

ITU (früher CCITT)

Die ITU wurde 1845 (unter der Bezeichnung CCITT) als Staaten-übergreifende Organisation gegründet, in der öffentliche und private Organisationen Telekommunikationsnetze koordinierten. Sie ist seit 1947 eine Dienststelle der Vereinten Nationen (United Nations). Im Jahre 1992 wurde die CCITT aufgelöst und der Telekom-Sektor bei der ITU gegründet, so dass die Standards dieser Organisation heute unter der ITU-T weiterentwickelt werden. Neben der ITU-T gibt es innerhalb der ITU noch die ITU-R (Radio Communication) und die ITU-D (Development).

Sitz der ITU ist ebenfalls Genf (Schweiz).

9 International Standardization Organization

10 Der Sprachkommunikationsmarkt wird vielfach auch als Telekommunikationsmarkt gesehen. Als Verfechter des Begriffs „Telekommunikation“ als Oberbegriff ist diese Praxis natürlich nicht ganz richtig.



Beispiele aus der ITU-T:

• X.200 ff: OSI-Referenzmodell (von der ISO / IEC wegen seiner Bedeutung übernommen)

• V.24: Serielle Schnittstelle (ähnlich RS 232 C)

• X.25: Paketvermitteltes Netzwerk (Datex-P Dienst der Deutschen Telekom AG)

• I.4xx: ISDN, Breitband-ISDN

• X.21: Schnittstelle von Festverbindungen (vereinfachte V.24)

Webseiten der ITU:

http://www.itu.int

ANSI

Das ANSI11 ist das nationale Normungsgremium in den USA analog DIN hier in Deutschland und existiert seit 1918 mit Sitz in Washington. Es besteht aus rund 1.000 Firmen, Organisationen, Regierungsstellen und Institutionen und ist als die amerikanische Vertretung in ISO und IEC vertreten.

Beispiel aus ANSI:

• ANSI X3T9: FDDI (Fiber Distributed Data Interface)

Webseiten der ANSI:

http://www.ansi.org

IETF12

Von Anfang an wurden die Protokolle und Verfahren des Internets von Einzelpersonen, Universitäten oder Firmen entwickelt und dann mit einem RFC13 der Öffentlichkeit vorgestellt. So kamen mittlerweile 3.827 RFCs zustande (Stand: Juni 2004).

Diese stehen jedermann als ASCII-Datei zur Verfügung, für die Implementierung sind folglich auch keine Lizenzgebühren zu bezahlen.

Beispiele der IETF:

11 American National Standardization Organization

12 Internet Engineering Task Force

13 Request for Comment



• RFC 791: Internet Protocol (IP),

• RFC 1918: Private IP Adressierung, d.h. Adressräume für private Netze, die im Internet nicht vorkommen bzw. benutzt werden dürfen.

Webseiten der IETF:

http://www.ietf.orghttp://www.rfc-editor.org (sehr empfehlenswert!)

Sonstige

• ECMA European Computer Manufacturers Association Webseiten:http://www.ecma-international.org

• CEPT Conférence Europénne des Administration des Postes et de Télécommunications Webseiten:http://www.cept.org

• DIN Deutsches Institut für Normung Webseiten:http://www.din.dehttp://www.dke.de

Übertragung von Informationen Kommunikationssysteme übertragen Informationen über ein Medium. Die meisten Informationen liegen jedoch zunächst in akustischer (Sprache, Musik) oder bildlicher (Bilder, Filme, Schrift) Form vor oder existieren gar nur in ideeller Form, d.h. im Kopf eines Wissensträgers oder kreativen Schöpfers. All diese Formen lassen sich nicht so ohne weiteres über ein Kabel schicken und damit übertragen. Es sind zuvor einige Schritte notwendig:

1. Umsetzung analoger Informationen in zeitdiskrete und wertdiskrete Signale (Digitalisierung, A/D-Wandlung)

2. Formatierung der Daten gemäß einer Vereinbarung, die Sender und Empfänger kennen (Kodierung)

3. Aufteilung in „Informationshäppchen“ (Paketierung)

4. Umsetzung der Informationen in elektrische / optische Impulse (für Kabel / Lichtleiter) oder Modulation auf eine Trägerfrequenz (für Funkübertragung)



5. Übertragung der Signale über das Medium

6. Suche eines Weges zum Empfänger in Netz (Vermittlung, Routing)

In den nachfolgenden Abschnitten werden die einzelnen Teilschritte kurz beschrieben. Am Ende steht ein theoretisches Modell, das von der ISO als Referenz für beliebige Kommunikationsnetze entworfen wurde.

Digitalisierung

Informationen aus "natürlichen" Quellen (z.B. menschliche Sprache) liegen grundsätzlich analog vor, sie sind also weder zeitlich noch im Wert diskret. Ersteres bedeutet, dass sie sich zu beliebigen Zeitpunkten ändern können. Letzteres hat zur Folge, dass es weder einen definierten Bereich für die Werte gibt, noch dass innerhalb dieses Bereichs nur bestimmte Werte möglich sind. Beides zusammen hat zur Folge, dass der Informationsgehalt einer analogen Information unendlich groß ist.

Die Kunst der Digitalisierung besteht nun darin, die Ausgangsinformation zeitlich und wertmäßig zu diskretisieren und dabei einerseits nicht zu viele Daten zu produzieren (da diese ja gespeichert oder übertragen werden müssen) und andererseits eine möglichst gute Reproduktion der ursprünglichen Information zu ermöglichen.

Eine besondere Form der Digitalisierung nehmen Sie bereits vor, wenn Sie etwas aufschreiben. Die analogen Ausgangsdaten befinden sich dabei zunächst in Ihrem Kopf. Ihre Gedanken werden nun zu Buchstaben, Worten und letztlich Sätzen. Es wird Ihnen aber in den seltensten Fällen gelingen, Ihre Gedanken so niederzulegen, dass beim Leser im Kopf exakt das gleiche Bild entsteht, wie bei Ihnen. Durch eine präzisere Schilderung kann der Leser Ihre Gedanken zwar besser nachvollziehen, Sie brauchen dafür aber auch mehr Worte.

Auf den folgenden Seiten wird es um automatisierbare Formen der Digitalisierung gehen, nämlich die von Audio- und Videoinformationen. Abschließend wird beschrieben, wie die Wandlung von analoge in digitale Signale (und umgekehrt) technisch funktioniert.

D I G I T A L I S I E R U N G V O N S P R A C H E U N D M U S I K

Wenn Musik, Sprache oder auch Geräusche mit einem Mikrofon aufgenommen werden, liegt als Ergebnis zunächst ein analoges Signal vor, d.h. eine sich im zeitlichen Verlauf verändernde elektrische Spannung (Abbildung 2).



Abbildung 2: Analoges Signal

Um daraus eine Folge von Zahlen zu machen, die dann digital in Form eines Datenstromes übertragen werden können, wird das analoge Signal in regelmäßigen Abständen abgetastet. Man erhält dann ein nach Abbildung 3 in der Zeit zwar diskretes, aber in seinen Werten beliebiges Signal, was PAM-Signal genannt wird.

Abbildung 3: Zeitdiskretes Signal (PAM, Pulse Amplitude Modulation)

Die Spannungswerte (allgemein die so genannte Amplitude) im Moment der Abtastung werden über einen Analog-Digital-Wandler in einen Zahlenwert umgewandelt. Dabei wird auf ganze Zahlen gerundet. Man nennt diesen Vorgang auch Quantisierung (Abbildung 4).



Abbildung 4: Zeit- und wertdiskretes Signal (PCM, Pulse Code Modulation)

Bei der Digitalisierung von Audiosignalen sind zwei Kriterien für die Qualität entscheidend:

• Ein abgetastetes Signal darf keine Frequenzanteile oberhalb der halben Abtastfrequenz besitzen. Nur dann kann es aus den Abtastwerten vollständig rekonstruiert werden14. Nach ITU-T G.711, eingesetzt im ISDN und u.a. auch bei Voice over IP, wird das Sprachsignal 8.000 Mal pro Sekunde abgetastet, die maximale Bandbreite des Tiefpass gefilterten Sprachsignals (siehe Abbildung 5) beträgt 3.400 Hertz (Hz).

• Durch die Rundung bei der Quantisierung entsteht bei jeder Abtastung ein Fehler von maximal ±½ Schritt. Das macht sich durch ein Rauschen bemerkbar (so genanntes "Quantisierungsrauschen"), das umso geringer ausfällt, je kleiner die Schritte d.h. je größer die pro Abtastwert verwendete Bitzahl ist. Der Standard gibt 256 Schritte vor, die später je Schritt (Wert) mit 8 Bit kodiert werden. Daraus ergibt sich die Kapazität von 64 kbit/s (8 Bit * 8.000 Hz).

Technik der Digitalisierung von Audiosignalen

Abbildung 5: Analog / Digital - Wandlung

Ein Audiosignal wird zunächst – wie schon erwähnt - mit einem Tiefpass gefiltert, d.h. alle Frequenzanteile oberhalb von 3.400 Hz werden entfernt. Erst jetzt erzeugt ein Analog-Digital-Wandler eine Folge von Digitalwerten, und zwar gesteuert durch einen extern zugeführten Takt.

14 Man nennt diesen Zusammenhang das Abtast-Theorem, was von Shannon stammte.



Abbildung 6: Digital / Analog – Wandlung

Der umgekehrte Vorgang sieht ähnlich aus. Der Datenstrom wird einem Digital-Analog-Wandler zugeführt, der daraus einen stufigen Spannungsverlauf erzeugt. Durch einen nach geschaltetem Tiefpassfilter werden alle Frequenzanteile oberhalb 3.400 Hz herausgefiltert. Das Signal wird dadurch geglättet und ist in seiner ursprünglichen Form nahezu wieder hergestellt.

D I G I T A L I S I E R U N G V O N B I L D E R N

Für Bilder gibt es zahlreiche Verfahren zur Digitalisierung. Zwei der bekanntesten sind:

• das Abtasten einer Papiervorlage / Bild mit einem Scanner und

• die Aufzeichnung eines Objekts mit Video- oder Digitalkamera.

In beiden Fällen ist das das Bild aufzeichnende Bauteil ein so genannter CCD-Chip (Charge Coupled Device). Diesen Chip kann man sich als Matrix kleiner „Töpfchen“ für elektrische Ladungen vorstellen. Zuerst werden alle „Töpfchen“ gleichmäßig „vorgefüllt“. Anschließend entleeren sie sich umso schneller, je mehr Licht auf sie durch Abtastung (Scanner) oder Bedeutung (Kamera) fällt (der Photoeffekt). Am Ende der Belichtungszeit wird nachgesehen, wie viel Ladung in jedem „Töpfchen“ noch vorhanden ist. Daraus wird dann ein digitales Abbild erzeugt.

Abbildung 7: Digitalisierung von Bildern (Beispiel ccd)

Die Bildauflösung wird beim CCD-Chip von der Größe und Anordnung der „Ladungstöpfchen“ bestimmt. Die „Töpfchen“ sind abwechselnd mit roten, grünen und blauen Farbfiltern versehen (Abbildung 7), so dass ein Farbbild aufgezeichnet werden kann. Dazu wird jeweils am Schnittpunkt von vier „Töpfchen“ der Rot-, Grün- und Blauwert der angrenzenden Zellen ermittelt. Da damit ein einziges „Ladungtöpfchen“ immer vier



Bildpunkte beeinflusst, ist die Auflösung des Farbbildes geringer als die physikalische Auflösung des CCD-Chips.

Beim Auslesen des CCD-Chips werden die Ladungswerte dann digitalisiert, woraus ebenfalls ein Quantisierungsfehler entsteht. Dieser ist aber normalerweise vernachlässigbar, weil erstens eine Auflösung von 8 Bit pro Farbanteil ausreicht ist und zweitens CCD-Chips bereits ein relativ großes Grundrauschen verursachen, in dem das Quantisierungsrauschen untergeht. Das gilt insbesondere bei langen Belichtungszeiten und hohen Umgebungstemperaturen.

D / A - W A N D L U N G

Ein Digital-Analog-Wandler (D/A-Wandler) ist sehr einfach aufgebaut:

Abbildung 8: Prinzip eines D/A-Wandlers

Alle Bits des zu wandelnden Digitalsignals liegen gleichzeitig an den Eingängen an. Abbildung 8 zeigt einen 4-Bit-D/A-Wandler. Verstärker an den Eingängen sorgen dafür, dass digitale (logische) „Einsen“ an allen Eingängen auf gleiche Spannungspegel gebracht werden (z.B. 5 Volt) und dass digitale (logische) „Nullen“ tatsächlich eine Spannung von 0 Volt haben. Nachgeschaltet folgen nun Widerstände, deren Wert sich vom Eingang des höchstwertigen Bits (sog. Most Significant Bit, MSB) ausgehend mit jedem niedrigerwertigen Bit verdoppeln. Jene Widerstände, an denen linksseitig 0 Volt anliegen, können nun als parallel geschaltet betrachtet werden. Jene, an denen 5 Volt anliegen ebenso. Der Ausgangspegel ergibt sich nun dadurch, dass die Widerstände als Spannungsteiler arbeiten. Ein nachgeschalteter Verstärker erzeugt die gewünschte Ausgangsspannung.



Beispiel:

Abbildung 9: Beispiel einer 4 Bit D/A - Wandlung

A / D - W A N D L U N G

Für Analog-Digital-Wandler gibt es verschiedene Verfahren. Gängig ist z.B. die sukzessive Approximation. Der Baustein besteht dabei aus einem D/A-Wandler, einem Vergleicher und etwas digitale Logik (Abbildung 10).

Abbildung 10: Analog / Digital - Wandler

Die Wandlung benötigt ebenso viele Schritte, wie der digitalisierte Wert Bits hat. Zunächst setzt die Logik nur das höchstwertige Bit (MSB) auf eins. Der D/A-Wandler erzeugt daraus eine Spannung, die mit dem Eingangssignal verglichen wird. Ist das Signal des Wandlers höher, wird das höchstwertige Bit (MSB) zurückgesetzt. Nun wird das nächst niedrigere Bit gesetzt und erneut verglichen. Das wird bis zum niedrigst wertigen Bit (sog. Least Significant Bit, LSB) so fortgesetzt. Dabei wird, sobald das Signal des Wandlers höher als das Eingangssignal ist, das soeben gesetzte Bit jeweils wieder zurückgenommen. So tastet sich der A/D-Wandler Schritt für Schritt an den richtigen Wert heran.



Das Ganze muss sehr schnell gehen, da sich der Eingangswert ja während der Messung ändern könnte.

Komprimierung

Es ist oftmals zweckmäßig, Daten (digitale Werte als Digitalwort zusammengefasst) vor Ihrer Übertragung zu komprimieren, da so die verfügbare Kapazität des Übertragungskanals besser ausgenutzt werden kann.

Klassische Komprimierungsverfahren suchen in den Ausgangsdaten nach Redundanzen, sprich nach sich wiederholenden Mustern bzw. für das Verständnis nicht relevanten Informationen. So ein Muster wird dann nur einmal gespeichert, zusammen mit der Information, wie oft es zu wiederholen ist. Auf diese Art arbeiten Kompressionsprogramme für Dateien wie z.B. pkzip, arj (DOS / Windows), gzip oder compress (Unix). Eine Redundanzreduktion bei der Komprimierung führt zu keinem Informationsverlust.

Ebenso arbeitet das Bildformat *.gif. Es setzt ein Palettenbild voraus, d.h. im ganzen Bild können nur maximal 256 verschiedene Farben vorkommen. Nun wird zeilenweise vorgegangen und gleichfarbige Bildpunkte oder Punktemuster werden wie oben beschrieben komprimiert. Deswegen komprimiert *.gif bei großen einfarbigen Flächen am besten.

Für Musik und "natürliche" Bilder erweist sich ein anderes Verfahren als günstiger. Hier muss das ursprüngliche Signal nicht zwingend und exakt reproduziert werden. Es genügt, dass das Ohr bzw. Auge keinen Unterschied wahrnehmen kann. Dazu macht man sich den Effekt zunutze, dass z.B. bei einem Gemisch lauter und leiser Töne das Gehör die leisen sowieso nicht wahrnimmt. Man kann sie folglich auch gleich weglassen.

Dies nennt man "verlustbehaftete Komprimierung" (Irrelevanzreduktion). Erstmals populär wurde sie im Audio-Bereich bei der Einführung der MiniDisc (MD). Im Bereich von Kommunikationssystemen ist z.B. Real Audio im Internet populär, bei Musikdateien ist "MP3" momentan sehr verbreitet.

Die verlustbehaftete Komprimierung von Audiosignalen verläuft folgendermaßen:

• Das Tonsignal wird einer Spektralanalyse unterzogen, d.h. zu jedem Abtastzeitpunkt wird die Intensität aller im Signal enthaltenen Frequenzanteile ermittelt.

• Nach einem psychoakustischen Modell (d.h. basierend auf Forschungen über die Gehörfunktion des Menschen) werden nicht hörbare Frequenzanteile ausgefiltert.



• So können Tonsignale ohne merkliche Verluste auf ca. 10% komprimiert werden.

Bei Fotos oder Gemälden funktioniert die Komprimierung ähnlich wie bei Tönen. Das Bild wird dazu in Zonen zerlegt und die Spektralanalyse auf diese angewendet. Auch hier werden schwach ausgeprägte Frequenzanteile verworfen.

Eine Schwäche hat das Verfahren an Kanten mit harten Kontrasten. Hier können unregelmäßige Streumuster auftreten, die man als "Artefakte" bezeichnet.

Bei der Komprimierung von Videos kann zusätzlich zur verlustbehafteten Komprimierung ein Vergleich aufeinander folgender Bilder miteinander eine weitere Datenreduktion bringen.

Kodierung

Die Kodierung von Informationen geschieht bei Kommunikationsnetzen an verschiedenen Stellen:

• Werden Daten über ein Netz übertragen, kommen diese beim Empfänger als Folge von Bits an, mit der zunächst nichts anzufangen ist. Es wird also eine Vereinbarung zwischen Sender und Empfänger benötigt, wie die Daten zu interpretieren sind (Übertragungssyntax, Code).

• Werden die Daten über Leitungen übertragen, die möglicherweise abgehört werden oder wird gar das Internet zur Übertragung vertraulicher Informationen genutzt, müssen die Daten verschlüsselt werden.

• Vor der Umwandlung in elektrische Impulse wird jedem Byte ein oder mehrere Bits angehängt, anhand derer sich Übertragungsfehler erkennen oder gar korrigieren lassen. Dies wird Leitungscodierung genannt.

Hier soll es zunächst nur um den ersten Fall gehen. Erhält der Empfänger beispielsweise einen Strom von Audiodaten, muss er zunächst folgendes wissen:

• mit welcher Abtastrate wurden die Daten aufgenommen?

• wie viele Bits bilden einen Abtastwert?

• wurde komprimiert? Wie stark? Mit welchem Verfahren?

Diese Informationen müssen also mitgeschickt werden. Bei Dateien werden diese Informationen normalerweise am Anfang abgelegt. Die Bedeutung und Anordnung dieser Kopfdaten bestimmen zusammen mit der Codierung, Komprimierung und Anordnung der Nutzdaten das



Dateiformat. Dieses ist normalerweise an der Datei-Endung zu erkennen, die meisten Dateiformate haben aber zusätzlich ganz am Anfang der Datei einige "Magic Bytes", anhand derer das Dateiformat erkannt werden kann.

Informationen, die als Datenstrom übertragen werden und bei denen möglicherweise ein Empfänger sich erst nach Beginn der Übertragung "einklinkt" (Broadcast-Dienste, z.B. Internet-Radio), müssen die Formatinformationen regelmäßig mitschicken, idealerweise mit jedem Datenpaket.

A S C I I

Für Texte gibt es einen einfachen Code, der Buchstaben, Ziffern und Sonderzeichen einfach bestimmte Zahlenwerte fest zuweist. Dieser Code heißt "ASCII" (American Standard Code for Information Interchange). Das Problem dabei ist, dass dieser Code nur 128 Zeichen definiert, obwohl mit einem Byte 256 verschiedene möglich wären. Zudem enthält er weder Umlaute noch andere nationale Sonderzeichen noch mathematische oder wissenschaftliche Sonderzeichen.

In der Folge entwickelten sich zahlreiche unterschiedliche Erweiterungen von ASCII, die die übrigen 128 Zeichen nutzen. Leider passen diese nicht zusammen, so dass Sonderzeichen verfälscht werden, wenn Sender und Empfänger verschiedene ASCII-Varianten verwenden. Eine Erweiterung ist allerdings bei weitem die verbreitetste. "ISO Latin-1" wird nicht nur von Windows verwendet, sondern auch von den meisten Unix-Varianten.



0 1 2 3 4 5 6 7 8 9 A B C D E F

0 0 @ P ` p ° À Ð à ð

1 ! 1 A Q a q ¡ ± Á Ñ á ñ

2 " 2 B R b r ¢ ² Â Ò â ò

3 # 3 C S c s £ ³ Ã Ó ã ó

4 $ 4 D T d t ¤ ´ Ä Ô ä ô

5 % 5 E U e u ¥ µ Å Õ å õ

6 & 6 F V f v ¦ Æ Ö æ ö

7 ‚ 7 G X g w § · Ç × ç ÷

8 ( 8 H X h x ¨ ¸ È Ø è ø

9 ) 9 I Y i y © ¹ É Ù é ù

A * : J Z j z ª ° Ê Ú ê ú

B + ; K [ k { « » Ë Û ë û

C , < L \ l | ¼ Ì Ü ì ü

D - = M ] m } ½ Í Ý í ý

E . > N ^ n ~ ® ¾ Î Þ î Þ

F / ? O _ o ¯ ¿ Ï ß ï ÿ

Abbildung 11: ASCII Code

L E I T U N G S C O D E S

Leitungscodes werden verwendet, um Übertragungsfehler erkennen und gegebenenfalls korrigieren zu können. Dabei wird aus den reinen Nutzdaten redundante Information berechnet und hinzugefügt. Am Ziel kann dann die gleiche Berechnung nochmals vorgenommen und das Ergebnis mit den angehängten Informationen verglichen werden. Ergibt sich eine Abweichung, wurden die Daten sicherlich fehlerhaft übertragen.

Bei manchen Übertragungsmedien werden Anforderungen an die Struktur der übermittelten Daten gestellt, z.B. kann es eine Maximalzahl



aufeinander folgender 1- oder 0-Bits geben oder aus den übertragenen Signalen muss ein Taktsignal extrahiert werden können.

Die Qualität eines Leitungscodes ist abhängig von:

• Störfestigkeit: Wie robust ist die Erkennung eines fehlerhaften Bits, mehrerer zufällig verteilter Fehler, mehrerer fehlerhafter Bits hintereinander (Blockfehler)?

• Korrektur: Welche Fehler können sicher korrigiert werden?

P R Ü F S U M M E

normale Prüfsummen:

Über eine gewisse Anzahl von Werten wird die Summe gebildet, bei Kommunikationssystemen typischerweise über ein ganzes Datenpaket. Da die Prüfsumme sehr groß werden kann, typischerweise aber mögliche Abweichungen sich nur auf den letzten Stellen abspielen, wird oftmals eine Modulo-Rechnung auf die Prüfsumme angewendet, d.h. die Prüfsumme wird durch einen festen Wert dividiert und nur der Divisionsrest wird übertragen. Bei Byte-orientierten Systemen ist z.B. eine Rechnung Modulo 256 nahe liegend.

Die Sicherheit von Prüfsummen bei Bitfehlern auf Übertragungsmedien ist nicht besonders groß, da sich mehrere Fehler sehr leicht aufheben können.

Gewichtete Prüfsummen:

Bei der Bildung der Prüfsumme werden die einzelnen Werte abwechselnd unverändert addiert oder zunächst mit einem festen Wert multipliziert. Das Verfahren hat den Nutzen, dass vertauschte Zahlen erkannt werden, die bei einer normalen Prüfsumme nicht auffallen würden. Solche Vertauschungen kommen leicht vor, wenn Zahlen eingetippt werden, in Kommunikationsnetzen sind sie fast ausgeschlossen. Eine gewichtete Prüfsumme verwendet beispielsweise der EAN-Code:

EAN-Code: 4 7 1 7 8 6 7 0 0 0 0 4 8 * * * * * * * * * * * *Multiplikatoren: 1 3 1 3 1 3 1 3 1 3 1 3 = = = = = = = = = = = =gewichtete Codes: 4+21+ 1+21+ 8+18+ 7+ 0+ 0+ 0+ 0+12 = 102 Die letzte Stelle der Summe plus die Prüfstelle (letzte Ziffer des EAN-Codes) muss 10 ergeben.

P A R I T Ä T

Im Grunde eine Prüfsumme über die Bits eines Binärwortes, z.B. eines Bytes, die Modulo 2 genommen wird. Anders ausgedrückt: Man fügt eine Binärstelle hinzu, und zwar so, dass insgesamt eine ungerade Anzahl Bits



in dem Wort gesetzt sind (ungerade Parität). Es kann natürlich auch eine gerade Anzahl Bits sein, dann spricht man von einer geraden Parität. Eine Paritätsprüfung scheitert, wenn in einem Wort eine gerade Anzahl Bits verfälscht werden. Früher war eine Paritätsprüfung in fast jedem RAM-Modul für PCs eingebaut, bei der Übertragungstechnik ermöglicht z.B. die serielle RS-232-Schnittstelle eine Paritätsprüfung.

F E H L E R K O R R I G I E R E N D E C O D E S

Man kann sich Binärzahlen als so genannten Coderaum vorstellen, in dem jede mögliche Zahl einen Punkt darstellt. Zwischen den Zahlen besteht überall dort eine Verbindung, wo die Veränderung nur eines Bits eine Zahl in die andere verwandelt. Für maximal drei Bits ist dies sehr leicht mit einem Würfel visualisierbar, bei längeren Binärzahlen kann man mit dem Coderaum zwar rechnen, ihn aber nicht mehr übersichtlich darstellen.

Abbildung 12: Coderaum

Die mittlere Abbildung zeigt einen Code, bei dem nur die fettgedruckten Werte verwendet werden. Jede Änderung eines einzelnen Bits führt zu einem nicht verwendeten Wert. Einzelne Bitfehler sind so sicher erkennbar. In der rechten Abbildung werden nur noch zwei Werte benutzt. Die Änderung eines einzelnen Bits führt jetzt zu einem unbenutzten Wert, der aber noch im direkten Umfeld eines benutzten liegt und damit korrigierbar ist.

Die Ermittlung von Codes für verschiedene Wortlängen, mit einem bestimmten Overhead an zusätzlich zu übermittelnden Bits, einer bestimmten Qualität und einem vertretbaren Aufwand für die Berechnung ist mathematisch sehr anspruchsvoll.

C O D E S Z U R L E I T U N G S A N P A S S U N G

Viele Übertragungsmedien stellen einen Hochpassfilter dar. Das führt dazu, dass Gleichspannungen nicht übertragen werden - nichts anderes stellt aber eine längere, ununterbrochene Folge von 1-Bits dar. Das Signal wird etwa wie im nachfolgenden Bild verändert:



Abbildung 13: Manchester-Code (1)

Es ist deutlich zu sehen, dass das Signal im Beispiel ab dem vierten 1-Bit in Folge unter die Erkennungsschwelle (gestrichelte Linie) abfällt. Eine Lösung für dieses Problem stellt der Manchester-Code dar. Hier wird jedes Bit verdoppelt: eine binäre "1" wird als die Folge "01", eine binäre "0" als "10" übertragen. So gibt es in jedem Fall einen Pegelwechsel, und zwar in der Mitte des zu übertragenden Nutzbits. Auf diesen Pegelwechsel kann sich die Empfangslogik auch sehr gut synchronisieren, so dass die Manchestercodierung auch eine Art Takt enthält:

Abbildung 14: Manchester-Code (2)

Ethernet verwendet den Manchestercode für die Datenübertragung. Da dieser keine Fehlererkennung beinhaltet, wird jedes Paket über einen CRC-Code (Cyclic Redundancy Check, ein sehr komplexes Prüfsummenverfahren) zusätzlich abgesichert.

Paketisierung

In allen heutigen Datennetzen werden die zu übertragenden Daten15 in Form von so genannten Paketen16 übertragen. Pakete haben, je nach Übertragungsverfahren, eine jeweils definierte Minimal- und Maximalgröße und können in ihrer Länge variabel sein (z.B. Ethernet: 64 – 1.518 Bytes). Haben Pakete immer die gleiche Größe, wie es beispielsweise bei ATM mit 53 Bytes der Fall ist, so spricht man nicht von einem Paket, sondern von einer Zelle.

Die Gründe für eine Paketvermittlung in heutigen Datennetzen liegen im Wesentlichen in der besseren Bandbreitenausnutzung im Vergleich zur Leitungsvermittlung. Denn bei der Paket-orientierten Übertragung wird die Kapazität im Netz nur dann benötigt, wenn auch Daten tatsächlich zu übertragen sind. Bei der Leitungsvermittlung hingegen (z.B. im ISDN) wird zwar eine Verzögerung und auch Kapazität durch permanente Kanäle garantiert, allerdings wird die Kapazität verschwendet, wenn keine Daten zu übertragen sind. Diese kann auch selten anderweitig genutzt werden. Dies ist im ISDN - als Beispiel - immer dann der Fall, wenn beide Teilnehmer schweigen.

15 Daten sind nur Mittel zum Zweck der Übertragung von Informationen.

16 Der Begriff „Paket“ muss als Oberbegriff verstanden werden, denn abhängig von der OSI-Ebene spricht man von Frames (Ebene 2), Datagramme (Ebene 3) und Segmenten (Ebene 4).



Warum nun Pakete mit einer definierten Maximalgröße? Dies hat u.a. folgende Gründe:

• könnte ein Nutzer beliebig viele Daten am Stück übertragen, wäre das Netz in dieser Zeit für alle anderen Nutzer „blockiert“. Dies steht dem Grundgedanken der „Fairness“ in Netzen entgegen. Bei der Übertragung in definierten „Häppchen“ steht nach der Übertragung eines Paketes der Übertragungskanal danach grundsätzlich allen Nutzern wieder zur Verfügung (das ist in lokalen Netzen sehr wichtig),

• für jedes einzelne Paket kann der Empfänger, z.B. über eine Prüfsumme, herausfinden, ob die Daten unterwegs beschädigt wurden und ein oder mehrere Bitfehler vorliegen. Das Paket kann dann nochmals angefordert werden. Kämen die Daten (z.B. eine komplexe Word-Datei) am Stück, müsste bei einem Fehler die ganze Übertragung von neuem beginnen. Dies ist nicht nur ineffizient sondern ginge auch zu Lasten der Übertragungsdauer.

Für die Paketierung muss es beim Sender eine eigene Funktionseinheit geben, die

• die Daten in definierte Pakete zerteilt,

• mit fortlaufenden Nummern und einer eindeutigen Identifikation versieht,

• Bestätigungen des Empfängers über korrekt empfangene Pakete annimmt,

• bei Übertragungsfehlern oder fehlender Bestätigung das Paket nochmals sendet.

Ist man etwas genauer, was wir an dieser Stelle ohne die Besprechung des OSI-Referenzmodells nicht sinnvoll tun können, so sind nicht alle der vorgenannten Punkte ausschließlich Aufgaben der Paketierung. Bestätigungen oder Quittierung und Paketwiederholungen (engl. Retransmission) zusammen mit der Anpassung der Übertragungsrate an die Fähigkeiten des Empfängers gehören zur Flusskontrolle (engl. Flow Control) und werden meist auf Transportebene realisiert. Daher muss die o.g. Darstellung hier eher als Anforderung an Paket-orientierte Übertragungen gesehen werden.



Der Empfänger muss dann in der Lage sein

• fehlerhaft empfangene Pakete nochmals anzufordern (Retransmission),

• korrekt empfangene Pakete zu quittieren (Flusskontrolle),

• Pakete anhand ihrer Identifikation und laufenden Nummer richtig zusammenzusetzen,

• doppelt empfangene Pakete auszufiltern.

Schematisch lässt sich die Paketierung nach Abbildung 15 darstellen:

Abbildung 15: Prinzip der Paket-orientierten Übertragung (hier: Paketierung)

Wegesuche / Wegewahl

An ein Datennetz (z.B. lokales Netz) sind normalerweise viele Endgeräte angeschlossen, zudem sind oftmals mehrere Teilnetze (auch Subnetze genannt) miteinander verbunden, zum Beispiel zur besseren Lastverteilung an einem Standort, zur Erhörung der Verfügbarkeit oder zur Verbindung verteilter Standorte. Den Extremfall stellt das Internet dar, in dem Millionen von Endgeräten über die unterschiedlichsten Infrastrukturen miteinander kommunizieren können.

Pakete in einem Datennetz müssen deshalb irgendwie vom Sender zum Empfänger finden. Dafür gibt es zwei grundlegende Strategien:

V E R B I N D U N G S O R I E N T I E R T E D A T E N N E T Z E

Hier wird zunächst eine Sitzung eröffnet, bei der im Netz ein Weg zum Empfänger ermittelt und auch (logisch oder physisch) geschaltet wird. Anschließend kann dieser Weg beliebig lange zum Datenverkehr genutzt werden. Am Ende wird die Sitzung wieder abgebaut. Dadurch, dass es quasi einen fest geschalteten Kanal zum Empfänger gibt, müssen die Datenpakete kaum Informationen über diese Verbindung enthalten. Dieses Prinzip gilt sowohl für die Leitungs- als auch Paketvermittlung. Das naheliegenste Beispiel für ein verbindungsorientiertes Netz ist das Telefon- oder ISDN-Netz. Hier werden die Kanäle pro Verbindungswunsch permanent zur Verfügung gestellt. Aber auch in WAN-Netzen, wie bei ATM oder Frame Relay, gibt es eine



Verbindungsorientierung. Allerdings spricht man hier von virtuellen Verbindungen (engl. Virtual Circuits), da keine festen Kanäle durchgeschaltet werden. Letzteres ist nur bei der Leitungsvermittlung der Fall.

Zusammenfassung:

Es wird vor jedem Datenaustausch zuerst eine Kommunikations-beziehung aufgebaut, anschließend werden erst die Informationen in Form von Daten übertragen. Am Ende wird die Kommunikationsbeziehung wieder abgebaut. Dadurch wird der Einsatz einer Flusskontrolle möglich (Quittierung, Paketwiederholung, Steuerung der Übertragungsgeschwindigkeit). Ein Beispiel ist das Telefonieren.

V E R B I N D U N G S L O S E N E T Z E

Die Datenpakete enthalten hier alle erforderlichen Informationen, beispielsweise über den Sender und Empfänger (Adressen), wie lange sie schon unterwegs sind17, manchmal die nächste Station auf ihrem Weg oder die laufende Nummer bei Paketen, die Teil einer größeren Übertragungsmenge sind18.

Mit diesen Informationen suchen sich die Pakete ihren Weg durch das Datennetz im Grunde selbst. Ein Gerät, das so ein Datenpaket erhält, prüft zunächst, ob es selbst der Empfänger ist. Wenn nicht, schickt es das Paket nach bestimmten Regeln entweder direkt an den richtigen Empfänger oder an ein anderes Gerät, das voraussichtlich einen "besseren Draht" zum Empfänger hat. In verbindungslosen Netzen muss es entweder einen zentralen „Server“ geben, der alles über das Netz weiß, oder jede Vermittlungskomponente (z.B. Router) muss einiges über das Netz wissen. Das Internet funktioniert auf diese letztere Art.

Da bei verbindungslosen Netzen mehrere nacheinander abgeschickte Pakete durchaus verschiedene Wege durch das Netz nehmen können, ist nicht gewährleistet, dass sie in derselben Reihenfolge beim Empfänger ankommen. Daher müssen die Daten im Bedarfsfall dann wieder richtig sortiert werden.

Zusammenfassung:

Bei verbindungslosen Netzen enthält jedes einzelne Paket die vollständige Information zur Wegewahl und wird dann im Netz „auf die Reise“ geschickt. Die Pakete suchen sich dann selbständig ihren Weg durchs Netz. Bei verbindungslosen Netzen (z.B. Ethernet, IP, UDP) gibt

17 Bei IP-Paketen ist dies das TTL-Feld, dass maximal 255 Router erlaubt und damit endloses kreisen der Pakete verhindert.

18 Es handelt sich hier nur um eine Auswahl notwendiger Vermittlungsinformationen, die nicht zwingend alle realisiert werden müssen und abhängig vom eingesetzten Übertragungsprotokoll sind.



es keine Flusskontrolle, Quittierung und Retransmission. Es wird daher nach dem Best-Effort Prinzip übertragen. Man kann die mit dem Briefdienst vergleichen. Wenn ein Brief in den Briefkasten geworfen wurde, ist er im Netz und wir alle hoffen dass er ankommt, aber ein Feedback bekommen wir nicht, Garantien gibt es auch nicht.

Elektrische Signale

Mit folgendem, einfachen „Spielzeug“ können zwei Personen per Morsezeichen Informationen austauschen:

Abbildung 16: "Bei-Spiel“ 1 zu elektrischen Signalen

Eine weitere Vereinfachung kommt mit nur zwei Verbindungsleitungen aus:


Nachteile von „Bei-Spiel“ 2:

• Keine gleichzeitige Übertragung in beide Richtungen

• Gefahr von so genannten Kollisionen (Signalüberlappungen)

Die zweite Variante kann für beliebig viele Teilnehmer ausgebaut werden. Das Leitungspaar wird in diesem Fall als "Bus" bezeichnet (Abbildung 18)




Am Flackern der Lampe ist nicht zu sehen, wer gerade sendet und für wen die Nachricht dann bestimmt ist.

Die Grundprinzipien unseres „Spielzeugs“ hier sind bei Datennetzen grundsätzlich nicht anders. Elektrotechnisch betrachtet müssen die (logischen) Daten ja irgendwie über Kabel bzw. Leitungen übertragen werden. Für diese Aufgabe gibt u.a. Netzwerkkarten (so genannte NIC) in den verschiedenen Geräten. Diese sorgen auf unterster Ebene (physikalischer Ebene) für eine entsprechende Kodierung, die zur Übertragung auf Kupferkabeln, Glasfaserkabeln oder Funkverbindungen geeignet ist und senden diese Daten dann elektrisch, optisch oder durch elektromechanische Wellen aus. Grundsätzlich wird für eine Übertragung in beiden Richtungen jeweils eine Leitung benötigt (Strom kann nur in geschlossenen Kreisen fließen). D.h. man benötigt bei Kupferkabeln 2 Leitungen (4 Adern) für Senden und Empfangen, bei Glasfaserkabeln eben 2 Fasern.

Abbildung 19: Elektrische Übertragung / Netzwerkkarte (NIC)

OSI-Referenzmodell Um den Sinn des OSI-Referenzmodells verstehen zu können, macht man sich am besten einmal klar, wie die Kommunikation in einem Netz eigentlich abläuft und welche Arbeitsschritte bereits in jeder Komponente des Netzes ablaufen, bevor die Daten als elektrische oder optische Signale über das Medium (sprich Kabel) ausgesendet werden. Die



nachstehende Abbildung skizziert dies beispielhaft anhand der Abfrage einer Webseite aus dem Internet.

Besonders wichtig ist, dass mit Ausnahme der untersten „Etage“ (später verwenden wir den Begriff der „Schicht“) jede "Etage" der Abbildung nur virtuell mit der Gegenstelle kommuniziert. Der wirkliche Datenfluss läuft in senkrechter Richtung innerhalb eines Gerätes oder Systems.

Abbildung 20: Prinzip der Schichtung an einem Beispiel (OSI-Referenzmodell)

In Abbildung 20 lässt sich nun eine Schichtung der Kommunikations-aufgabe erkennen. Wozu braucht man so was? Nun, würde die gesamte Kommunikationsaufgabe in einer Einheit ablaufen, müsste quasi eine „Eier legende Wollmilchsau“ entwickelt werden. Dies ist nicht nur komplex sondern auch teuer. Also teilt man die Kommunikationsaufgabe in Funktionseinheiten auf, die jeweils unterschiedliche Teilgebiete abdecken, aber in der Summe eben die Kommunikationsaufgabe lösen. Eine Funktionseinheit kann dabei die Aufgaben und Funktionen der anderen (unteren) Funktionseinheit nutzen und stellt dann den damit erreichten Funktionsumfang der darüber liegenden Funktionseinheit zur Verfügung usw. Damit erreicht man eine Simplifikation im Bereich einzelner Funktionseinheiten, Austauschbarkeit und kostengünstigere



Teilkomponenten. Alle Funktionseinheiten zusammen erfüllen dann die Aufgaben der (Daten-)Kommunikation.

Beim OSI-Referenzmodell, verabschiedet 1984 durch die ISO und wegen seiner Bedeutung in den Empfehlungen X.200 ff der ITU-T übernommen, teilt nun eine Kommunikation konkret in sieben Schichten ein. Von oben nach unten bezeichnet man diese sieben Schichten mit (siehe auch Abbildung 21):

7. Anwendungsschicht (Applikation Layer)

6. Darstellungsschicht (Presentation Layer)

5. Sitzungsschicht (Session Layer)

4. Transportschicht (Transport Layer)

3. Vermittlungsschicht (Network Layer)

2. Sicherungsschicht (Data Link Layer)

1. Bitübertragungsschicht (Physical Layer)

Abbildung 21: OSI-7-Schichtenmodell

Dabei bezeichnet man die obersten drei Schichten als anwendungsorientierte Schichten und die untersten vier als transportorientierte Schichten.

Das OSI19-Referenzmodell wurde von der ISO geschaffen, um beliebige Kommunikationssysteme beschreiben zu können. Wie in unserem Beispiel definiert es Schichten, die

• mit der gleichen Schicht der Gegenstelle nur virtuell kommunizieren (horizontale Kommunikation),

• die darunter liegende Schicht als Dienstleister für diese virtuelle Kommunikation nutzen (tatsächliche oder vertikale Kommunikation) und

19 Der Abkürzung OSI steht für Open System Interconnect



• der nächst höheren Schicht Dienste erbringen (siehe Abbildung 22).

Abbildung 22: Prinzip der Schichtung

Im Einzelnen können die sieben OSI-Schichten wie folgt charakterisiert werden:

Schicht 7: Anwendungsschicht (Application Layer)

Die Anwendungsschicht ist die oberste Schicht und erfüllt „nur“ anwendungsunterstützende Aufgaben. Damit lassen sich pauschal nicht alle Funktionen beschreiben, sie hängen von den konkreten Anwendungen ab, die nicht Bestandteil der Anwendungsschicht sind! Beispielhaft sollen folgende Anwendungen genannt werden, zu denen die Anwendungsschicht Funktionen bereitstellt:

• Datei-Übertragung (engl. File Transfer),

• E-Mail (Electronic Mail),

• Terminal-Dienste; Anzeige eines Textfensters oder der grafischen Oberfläche eines anderen Rechners im Netz,

• verteilte Prozessausführung,

• Datenbank-Anwendungen.

Die Schicht 7 umfasst dabei, wie gesagt, nur die Funktionen, die Anwendungsprogrammen zur Verfügung gestellt werden, nicht die Applikationen selbst. Die Applikation selbst ruft über definierte Schnittstellen die Funktionen der Anwendungsschicht auf und nutzt damit die gesamten Funktionen aller sieben Schichten.

Schicht 6: Datendarstellungsschicht (Presentation Layer)

Wenn man sich vorstellt, dass ein deutscher Manager mit einem asiatischen Manager kommunizieren möchte, dann geht dies nur, wenn sich beide auf eine gemeinsame Sprache einigen. Dies könnte Englisch sein. Ähnlich ist das auch in der Kommunikationstechnik. Ein



Datenaustausch kann nur erfolgen, wenn beide Endgeräte die gleiche Sprache „sprechen“, sprich eine einheitliche Syntax und Semantik haben. Genau das ist die Aufgabe der Darstellungsschicht, die systeminterne Syntax und Semantik in eine zur Übertragung geeignete, von beiden Seiten verständliche Syntax und Semantik umzuwandeln.

Schicht 5: Kommunikationssteuerungsschicht (Session Layer)

Die Schicht 5 ermöglicht den Aufbau virtueller Ende-zu-Ende-Verbindungen. Sie enthält dazu Funktionen zum Aufbau, Betrieb und Abbau von Verbindungen, aber auf sehr abstrakte Weise. Sie kann auch Anforderungen an die Dienstgüte realisieren. Von der darunter liegenden Schicht erwartet sie eine fehlerfreie Übertragung der Datenpaketen. Bei nicht behebbaren Fehlern muss die Kommunikationssteuerung informiert werden, um selbst eine Fehlerbehebung zu versuchen oder die Verbindung abzubrechen. Genau zu diesem Zweck setzt die Kommunikationssteuerung Synchronisationspunkte, so dass nach Abbruch einer Verbindung an einem definierten Punkt wieder fortgefahren werden kann.

Schicht 4: Transportschicht (Transport Layer)

Die Transportschicht ermöglicht eine möglichst sichere und fehlerfreie Ende-zu-Ende-Verbindung über das Netz. Dazu leistet die Transportschicht Aufgaben wie z.B. Flusskontrolle, Quittierung und Retransmission (Fehlererkennung und Paketwiederholung). Zudem zerlegt die Transportschicht die Daten in Pakete gemäß der für die Netze festgelegten maximalen Paketgröße (MTU). Eingehende Pakete werden in der richtigen Reihenfolge wieder zusammengesetzt. Eine zusätzliche Aufgabe der Transportschicht ist auch das Multiplexen von Verbindungen.

Schicht 3: Vermittlungsschicht (Network Layer)

Die OSI-Schicht 3 übernimmt die Wahl eines Weges durch das Netz zum Zielrechner (auch Routing genannt). Dazu muss die Vermittlungsschicht wissen, welches Endgerät auf welchem Weg durch das Netz zu erreichen ist. Die Endgeräte werden dabei mit logischen, meist hierarchisch aufgebauten Adressen identifiziert (z.B. IP Adresse). Die Vermittlungsschicht ermittelt, über welches Intermediate System (z.B. einen Router) die Zieladresse erreichbar ist und ergänzt das Datenpaket mit der Hardwareadresse des vermittelnden Geräts. Die niedrigeren Schichten erhalten also auf jeden Fall eine Adresse, die direkt per Leitung zu erreichen ist. Sind Netze über einen Router gekoppelt, stellt dieser einen „doppelten Protokoll-Stack“ dar, der nur bis zur Vermittlungsschicht reicht. Endgeräte erfüllen die Aufgaben aller sieben Schichten, Intermediate Systeme nur die Funktionen der Schichten 1 bis maximal 3 (siehe Abbildung 23).



Abbildung 23: Systeme aus Sicht von OSI

Schicht 2: Sicherungsschicht (Link Layer)

Auf dieser OSI-Schicht werden grundsätzlich die transparenten Bitströme der OSI-Schicht 1 gegen Fehler gesichert. Dazu werden die Datenpakete mit einer Erkennung von Übertragungsfehlern versehen und eingehende Pakete auf fehlerfreie Übertragung geprüft (z.B. Cyclic Redundancy Check). Eine Fehlererkennung ist üblich, eine Fehlerbehebung dagegen unüblich. Eine Behebung der Fehler wird meist durch Paketwiederholung (Retransmission) der höheren OSI-Schichten realisiert. In lokalen Netzen nach IEEE wird die Schicht 2 in zwei Teilschichten weiter verfeinert. Die Schicht 2a (untere der beiden Teilschichten) realisiert dabei das Medienzugangsverfahren und die Hardwareadressen, neben der Fehlererkennung.

Schicht 1: Bitübertragungsschicht (Physical Layer)

Hier werden die Pakete als serieller Bitstrom transparent auf das Übertragungsmedium geleitet. Dabei müssen natürlich entsprechende Codierungen angewendet werden, die für das Medium geeignet sind. Somit stellt diese Schicht auf der untersten Ebene einen transparenten, aber ungesicherten Kanal zwischen zwei direkten Systemen zur Verfügung.

Es gibt viele Diskussionen, ob denn die Kabel selbst Bestandteil der Schicht 1 sind. Nach Meinung der Autoren ist dies nicht der Fall. Schicht 1 Spezifizierungen spezifizieren

• elektrische Eigenschaften (z.B. wie soll das Bit aussehen?),

• mechanische Eigenschaften (z.B. wie sehen die Schnittstellen aus?),

• funktionale Eigenschaften (soll es Handshakes geben?).



Datennetze (Übertragungsprotokolle) Datennetze transportieren Informationen und sind im Prinzip nur Mittel zum Zweck. D.h. Datennetze sind zwar wichtig, sie dienen letztlich aber nur als Vehicle zum Austausch von Informationen zwischen verteilten Anwendungen.

Das erste Datennetz wurde bereits Mitte des 19. Jahrhunderts aufgebaut und diente der Telegrafie, also der Übermittlung von Texten mittels Morsecode über einfache Kupferleitungen. Das Datennetz, das die normalen menschlichen Gewohnheiten am meisten unterstützt und deswegen kaum als solches wahrgenommen wird, dürfte das Telefonnetz sein. Zwar telefonieren wir hauptsächlich über dieses Netz, allerdings hat das Telefonnetz eine weltweit enorme Verbreitung, ist also flächendeckend auf der Erdkugel vertreten, und mittels eines Modem (Modulator / Demodulator) können Daten ausgetauscht werden, wenn auch die die zur Verfügung stehende Bandbreite von lediglich 3.400 Hz etwas limitiert (Modem: 56 kbit/s, ISDN20 128 kbit/s).

Im Hinblick auf Datennetze denkt man heute jedoch hauptsächlich an die Kommunikation von EDV-Komponenten untereinander, so ganannte Computernetze. Computernetze haben die Arbeitsabläufe in Unternehmen in den 90er Jahren des letzten Jahrhunderts sicher ähnlich massiv verändert, wie die Einführung von Arbeitsplatz-Computern in den 80er Jahren. Über große Distanzen werden nicht nur solche lokalen Netze miteinander gekoppelt, mit dem Internet wurde zudem zu Beginn der 90er Jahre eine Datenkommunikation für jedermann möglich. Dessen Bedeutung wird mittlerweile mit der Erfindung des Buchdrucks verglichen. Ob das tatsächlich so ist, werden jedoch erst zukünftige Generationen beurteilen können.

Im Bereich lokaler Netze hat heute das Ethernet eine herausragende Stellung eingenommen. Über 90% aller verkauften Ports basieren auf der Ethernet-Technologie, so dass die Konkurrenten Token Ring, FDDI und ATM LAN Emulation eigentlich heute fast keine Bedeutung mehr haben. Die Komponenten sind vergleichsweise preiswert, leistungsfähig und die Anschlussverfahren leicht zu verstehen. Um die Kosten für die Verkabelung zu sparen, werden kabellose Netze (WLANs) immer populärer. Dies begann 1997 mit der Einführung von 11 Mbit/s basierten WLANs. Heute nutzen viele Anwender bereits die 54 Mbit/s Technologien (IEEE 802.11a/g), so dass zunehmend auch im Geschäftsleben WLANs interessant werden. So wurde auf der CeBit 2003 als Beispiel WLAN flächendeckend auf dem Messegelände bereitgestellt oder die Firma ISIS Multimedia GmbH in Düsseldorf hat den Hafenbereich (Technologiefirmen) mit so genannten Hotspots (Funkzellen) versorgt.

20 Es gibt von der Firma Controlware eine Gerätefamilie namens „Taxi“, mit deren Hilfe ISDN Kanäle bis 2 Mbit/s gebündelt werden können. Diese Variante nutzt dann entsprechend viele ISDN 64 kbit/s und stellt eine Verbindung hoher Kapazität zur Verfügung. Durch die Tarifierung der Telekom-Gesellschaften nach Zeit eine recht teure Lösung.



Bis etwa 2002 / 2003 fanden vorwiegend Privatanwender Gefallen an WLANs, z.B. Bereitstellung eines Internetanschlusses im Arbeitszimmer ohne Kabelverlegung. Seit 2003 wird das Interesse der Firmen größer, wobei das Thema Sicherheit bei Firmen eine große Rolle spielt. Hier gibt es erst seit Juni 2004 mit IEEE 802.11i einen geeigneten Standard.

Preiswerte Verbindungen über größere Distanzen ermöglicht ISDN. Aber auch hier zeigt sich die gleiche Tendenz: An Kabel und damit an bestimmte Standorte gebundene Dienste bekommen Konkurrenz durch mobile Dienste, hier in Form der Handynetze GSM, seine Erweiterungen GPRS und HSCSD und die dritte Generation in Form von UMTS.

Das Internet ist eine Zusammenschaltung (Vernetzung) vieler Dienste-Anbieter und ihren Netzen. Wir haben es also nicht mit einem Netz zu tun, sondern mit vielen tausenden, die verbunden sind. Diese knüpfen damit das weltweite Netz. Die großen Entfernungen werden dabei größtenteils mit Glasfaserkabel überbrückt, die schnelle Vermittlung von Datenpaketen basiert oftmals auf internen Hochgeschwindigkeitsnetzen, wobei hier häufig noch ATM eingesetzt wird. Sie stellen diese Netze aber nicht nur Internetsurfern zur Verfügung, sondern in Form virtueller privater Netze (VPN)21 auch Unternehmen zur schnellen Verbindung der Standorte untereinander.

Allen Übertragungsnetzen ist gemeinsam, dass sie (fast) ausschließlich die Funktionen der OSI-Ebenen 1 und 2 erfüllen (siehe Abbildung 24), d.h. transparente Bitübertragung und Fehlersicherung. Viel mehr eigentlich nicht. Können diese Verbindungen dann noch dynamisch aufgebaut werden, so genannte Switched Virtual Circuit (SVC), wird noch eine Signalisierung benötigt, die dann die Funktionen der OSI-Ebene 3 erfüllen benötigt.

Abbildung 24: Übertragungsnetze in Bezug auf das OSI-Referenzmodell

21 VPNs emulieren eine privates Netz auf einem öffentlichen Netz. Damit bilden die öffentlichen Netze die Infrastruktur, den Unternehmen wird eine Outsourcing-Möglichkeit geboten. Privat werden die Netze dann durch Tunnel-Techniken (durch das Internet), Verschlüsselung und Authentifizierung.



Ethernet nach IEEE 802.3 Ethernet wurde etwa um 1972 am Palo Alto Research Center (PARC) der Firma Xerox von Robert D. Metcalfe entwickelt. Es sollte zunächst ein lokales Netz (LAN) mit einer Ausdehnung von maximal einem Kilometer über eine Koaxialverkabelung werden. Dabei hatte Robert Metcalfe ursprünglich eine Übertragungsgeschwindigkeit von 3 Mbit/s festgelegt und eine Bus-Topologie gewählt. 1976 wurde sein Ethernet („Ether“ bedeutete dabei so etwa „überall“ und „net“ eben „Netz“) der Öffentlichkeit vorgestellt und im Februar 1980 der IEEE zur Standardisierung übergeben. Allerdings hatte die IEEE einige Änderungen an Metcalfe’s Version vorgenommen. So wurde beispielsweise die Übertragungsgeschwindigkeit von 3 Mbit/s auf 10 Mbit/s erhöht und der Paketaufbau (auf der OSI-Ebene 2 „Frame“ genannt) verändert. Deshalb ist Robert D. Metcalfe von Xerox mit den Firmen Intel und DEC zusammengekommen, um sein Ethernet ebenfalls weiter zu entwickeln. Die so genannte DIX-Gruppe forcierte dann eine so genannte Ethernet Version 2, die bis heute in den lokalen Netzen im Einsatz ist (z.B. in Windows-Netzwerken). Beide Versionen, IEEE 802.3 CSMA/CD und Ethernet Version 2, können parallel in einem lokalen Netz betrieben werden, allerdings sind sie inkompatibel. Das stört heute weniger, da Netzwerkkarten mittlerweile beide Versionen unterstützen können und entsprechend vom Betriebssystem angesteuert werden.

Lizenzen an andere Hersteller wurden beinahe kostenlos vergeben, so dass sehr schnell eine große Menge an PC-Karten und sonstiger Vernetzungstechnik für Ethernet von zahlreichen Herstellern auf den Markt kamen. Diese Vielfalt führte zu einer sehr sauberen Implementierung des Standards, da sich kein Hersteller leisten konnte, dass seine Komponenten mit denen anderer Hersteller nicht interoperabel waren. Die schnelle Verbreitung führte zu einem günstigen Preis, was Ethernet letztlich zu seinem Durchbruch verhalf. Heute folgen mehr als 90 Prozent – wie bereits erwähnt – aller LAN-Ports weltweit dem Ethernet-Standard.

Im Laufe seiner fast dreißigjährigen Geschichte hat sich Ethernet22 ständig weiterentwickelt. Neben verschiedenen Varianten im 10 Mbit/s-Bereich (Bus, Stern, Koaxialkabel, Twisted Pair (TP) Kabel, Glasfaserkabel) entwickelte sich auch die Übertragungsgeschwindigkeit etwa alle drei Jahre weiter. So entstand um 1995 das Fast Ethernet mit 100 Mbit/s, ab 1998 die Gigabit-Varianten und seit 2002 sogar 10 Gigabit-Varianten. Ende 2003 begann man sogar für 10 Gbit/s eine Kupfer-Variante für TP-Kabel zu spezifizieren, wobei man eigentlich die Frage stellen muss, wer das noch braucht. 10 Gbit/s werden nie am Arbeitsplatz zum Einsatz kommen werden, ersten schaffen heutige PCs

22 Übrigens konnte die IEEE dem Standard 802.3 nicht den Namen „Ethernet“ geben, weil dieser von Robert D. Metcalfe geschützt wurde. Der offizielle Name der IEEE ist daher „IEEE 802.3 CSMA/CD“.



noch nicht die 1 Gbit/s dauerhaft auszulasten, zweitens sind Anwendungen für solche Übertragungsgeschwindigkeiten am Arbeitsplatz gepaart mit entsprechenden Datenmengen heute eigentlich unvorstellbar.

Das Namensschema von Ethernet ist relativ einheitlich geblieben. So bedeutet z.B. 10 Base 5, dass diese Variante eine Übertragungsgeschwindigkeit von 10 Mbit/s hat, sich bei der Übertragung auf das Basisbandverfahren23 stützt (es gab auch Überlegungen für eine Breitband-Übertragung, die durch "Broad" gekennzeichnet ist, sich aber nie durchsetzen konnte) und ein Koaxialbus bis 500 Meter aufgebaut werden kann. Heute bezeichnet der letzte Buchstabe den Verkabelungstyp, z.B. 100 Base TX für Twisted Pair oder 100 Base FX für Glasfaserkabel.

Durch die Einführung einer strukturierten Verkabelungsnorm dürfen streng genommen in Büroumgebungen seit 1995 keine Koaxialkabel mehr eingesetzt werden. Dies spiegelte sich auch in der Weiterentwicklung des Ethernets wieder, denn ab Übertragungsgeschwindigkeiten von 100 Mbit/s gibt es keine Koaxialkabel-Variante mehr.

Variante 10 Base 2 (Koaxialkabel)

Praktische Bedeutung im Büroumfeld hatte bei Koaxialkabeln nur 10 Base 2, auch „Cheapernet“, „Thinwire“ oder "Koax-Verkabelung" genannt.

Typ Koaxialkabel "RG-58"

Leitungswiderstand 50 Ohm

Maximale Länge 185 m

Anschlüsse BNC-Stecker

Topologie Bus

Maximalzahl Endgeräte 30

Minimaler Abstand der Endgeräte zueinander 50 cm

Abbildung 25: Übersicht zu 10 Base 2

23 Basisbandverfahren bedeutet, dass die gesamte Bandbreite eines Kabels für ausschließlich einen Übertragungskanal zur Verfügung steht. Bei Breitbandverfahren teilt man die Bandbreite für mehrere Kanäle auf.



Im industriellen Umfeld wird auch heute noch 10 Base 5 eingesetzt, weil es die Überbrückung großer Distanzen (bis 500m) ohne Zwischenverstärker ermöglicht und ziemlich robust ist. Dies ist in Industrie-Unternehmen durch die andere Umgebung (Stab, Schmutz, Temperaturen usw.) sehr wichtig. Außerdem braucht die Industrie für z.B. Steuerungen keine höheren Übertragungsgeschwindigkeiten.

Die Bustopologie erfordert eine durchgehende Leitung, an die die Endgeräte per Abzweigung direkt angeschlossen werden. Eine „Stich-„ oder „Anschlussleitung“ gibt es bei 10 Base 2 nicht. Technisch realisiert wird dies normalerweise durch einfache Koaxialkabel mit BNC-Steckern an beiden Enden, die jeweils zwei T-Stücke miteinander verbinden. Jedes T-Stück nimmt die Abzweigung zur Netzwerkkarte eines Endgeräts vor. Das T-Stück hat dann noch ein offenes "Ärmchen", an dem ein Kabel zum nächsten T-Stück angeschlossen werden kann.

Der Leitungswiderstand ist der Ersatzwiderstand einer Leitung bei Impulsübertragung. Er ist unabhängig von der Leitungslänge. Allerdings reflektiert das offene oder kurzgeschlossene Ende einer Leitung einen ankommenden Impuls. Bei offener Leitung mit gleicher Amplitude und gleichem Vorzeichen (Phasenlage), bei kurzgeschlossener Leitung mit umgekehrtem Vorzeichen. Dies muss man verhindern, indem man die beiden Pole der Leitung am Ende mit einem Abschlusswiderstand in Höhe des Leitungswiderstandes verbindet. Ohne diese Maßnahme wäre der Bus nicht funktionsfähig. In der Computertechnik wird so ein Widerstand als "Terminator" bezeichnet. Terminatoren (nicht Arnold Schwarzenegger!) gibt es nicht nur in der Netztechnik, sondern auch bei anderen Bussystemen, z.B. bei SCSI oder dem So-Bus beim ISDN. Bei der Koaxial-Vernetzung im Ethernet sind die Terminatoren als BNC-Stecker realisiert, die direkt auf ein „Ärmchen“ eines T-Stücks aufgesteckt werden können.

Dadurch sieht ein kompletter Bus folgendermaßen aus:

Abbildung 26: BNC-Verkabelung für 10 Base 2

Für eine Verlegung in der Wand sind die Koaxialkabel nicht gut geeignet, weil an jedem Endgerät zwei Kabel aus der Wand kommen und zum T-Stück geführt werden müssen. Abhilfe dafür schafft ein System, das "EAD" genannt wird. Die Koaxialkabel verbleiben dabei mitsamt T-Stück in der Wand. Dort sitzt eine Buchse, die einer TAE-Dose zum Telefonanschluss stark ähnelt. Daran angeschlossen wird ein Stichkabel, an dessen anderem Ende ein BNC-Stecker sitzt, der dann direkt am Endgerät (d.h. ohne T-Stück und Terminator) angeschlossen wird. Leider sind EAD-Verkabelungen sehr störanfällig und vor allen Dingen nicht



normgerecht. Solche Verkabelungen erlauben aufgrund der Signalausbreitung nur wenige Endgeräte am Bus.

Ohne Leitungsanpassung darf an einem Bus keine Abzweigung erzeugt werden, auch wenn die T-Stücke so etwas mechanisch zulassen. Da ein einfaches Koaxialnetz mit 185m und 30 Endgeräten für viele Anwendungen nicht ausreicht, können mehrere solcher Netze (Kabel-Segmente genannt) über Repeater zusammengeschaltet werden. Ein Repeater ist ein Zwischenverstärker und Regenerator, der im einfachsten Fall aus einem Stromanschluss und zwei BNC-Buchsen besteht. Repeater mit mehreren Anschlüssen (Multiport-Repeater) ermöglichen eine sternförmige Anordnung mehrerer Segmente und werden oft auch mit „Hub“ bezeichnet. Allerdings findet sich der Begriff „Hub“ nicht in der Norm. International wird unter dem Begriff „Hub“ auch einfach nur ein Verteiler angesprochen, so dass die Amerikaner beispielsweise auch von Switching Hub oder Repeating Hub sprechen, um die Funktion näher zu beschreiben.

Die maximale Netzausdehnung beträgt 925m, das entspricht der Gesamtlänge von 5 Kabelsegmenten maximaler Länge, die über vier Repeater hintereinander geschaltet wurden. Dies findet sich auch in einer Faustregel zum Design von 10-MBit/s-Netzwerken wieder, der 5-4-3-Regel:

5-4-3 Regel bei 10 Mbit/s Ethernet:

Es sind maximal 5 Segmente erlaubt, die über maximal 4 Repeater verbunden sein können. Davon dürfen nur drei Segmente Endgeräte enthalten (Mixed Segment), die beiden übrigen dürfen nur der Verlängerung des Busses dienen (Link Segment).

Durch den zusammenhängenden Bus und die Notwendigkeit der Terminierung ist die Koaxialverkabelung sehr störanfällig. Eine Trennung an einer Stelle, ein Kabelbruch oder Kurzschluss oder sogar eine defekte Netzwerkkarte führen zum Ausfall des gesamten Netzes. Das gilt auch für andere Segmente, die über Repeater angeschlossen sind. Repeater geben über Kollisionslampen zumindest Aufschluss darüber, in welchem Segment der Fehler zu suchen ist und können über die optionale Auto-Partitioning (Auftrennung des Busses bei zu vielen Kollisionen an einem Repeater-Port) sogar schwell-wertabhängig kollisionsbehaftete Ports zeitweise abschalten.

Variante 10/100 Base T

Mittlerweile wird Ethernet für den Endgeräteanschluss fast ausschließlich mit Twisted-Pair-Kabeln aufgebaut. Diese gibt es als UTP-Kabel (Unshielded Twisted Pair, viel in den USA eingesetzt), die vier verseilte (d.h. miteinander verdrillte) Adernpaare ohne Schirmung enthalten und für gewöhnlich zum Anschluss von Endgeräten ausreichend sind. Hier in Deutschland verwendet man normalerweise mindestens S/UTP-Kabel



(Screened / Unshielded Twisted Pair), bei denen die Adernpaare gemeinsam von einer Metallgeflecht-Schirmung umhüllt sind oder S/STP-Kabel, die zusätzlich jedes Adernpaar einzeln mit einer Folie als Schirmung versehen. Je besser die Schirmung ausfällt, desto steifer und dicker und damit schwerer ist das Kabel zu verlegen. Mit der ersten Norm für strukturierte Verkabelung 1995 war die so genannte Kategorie 5 „das non plus ultra“ (Frequenzgang bis 100 MHz), seit Ende 2002 gibt es ebenfalls die Kategorien 6 (bis 250 MHz) und Kategorie 7 (bis 600 MHz). Gängigerweise wird heute auf der Etage hin zum Arbeitsplatz Kategorie 7 Kabel mit Kategorie 6 Steckern (RJ 45) eingesetzt, denn für durchgängig Kategorie 7 fehlen heute noch die Anwendungen.

Typ UTP-Kabel, Kategorie 5

Maximale Länge 100 m

Anschlüsse RJ-45-Stecker

Topologie Stern


Abbildung 27: Grundmerkmale aller Twisted Pair (TP) Ethernet Varianten

Die Beschränkung auf zwei Endgeräte führt dazu, dass jedes Endgerät direkt mit einem Multiport-Repeater (Hub) oder heute überwiegend mit Switches verbunden sind. Repeater oder Switches können wiederum über so genannte Uplink-Leitungen miteinander verbunden werden. Das gesamte Netz erhält dadurch die Form eines Mehrfach-Sterns. Viele ältere Repeater haben zudem noch einen BNC-Anschluss und können so ein koaxial-verkabeltes Segment anbinden. Früher hat man auf diese Art oftmals das Kernnetz einer Firma, d.h. die Verbindung der Repeater untereinander, mit Koaxialkabeln realisiert und die Endgeräte über UTP-Kabel angeschlossen (siehe Abbildung 28).

Abbildung 28: Sternverkabelung mit Hubs

Twisted-Pair-Kabel gibt es, wie schon angedeutet, in verschiedenen Kategorien. Kategorie 1 (Cat. 1) beschreibt Kabelqualitäten für Telefone,



Türsprechanlagen oder ISDN, gibt es heute aber praktisch nicht mehr. Kategorie 3 Kabel (Cat. 3) stellen die Minimalanforderung an 10 MBit/s-Ethernet. Seit Mitte der 90er Jahre wird jedoch fast nur noch Kabel nach Kategorie 5 verkabelt, das in seiner Extended Version (Cat. 5e) bis 1.000 MBit/s spezifiziert ist. Die Standard-Verkabelung heute ist ein Kategorie 6 System, das es seit 2002 in der internationalen Normung gibt. Nach welcher Kategorie ein Kabel spezifiziert ist, ist normalerweise auf der Isolation (Kabelmantel) aufgedruckt.

Abbildung 29: Patchfeld einer strukturierten Gebäudeverkabelung

Die gesamte Netztechnik ist meist in Geräteschränken untergebracht. Diese enthalten so genannte Patchfelder. Das sind Steckleisten, die vorn mit RJ-45-Buchsen versehen sind. Jede dieser Buchsen ist 1:1 über die Hausverkabelung mit je einer RJ-45-Buchse in einer Wanddose irgendwo im Haus verbunden. Im Schrank sind dann auch die „Hubs“ (Repeater oder Switch) eingebaut. Um nun eine Wanddose zum Anschluss eines Endgeräts vorzubereiten, wird im Geräteschrank per Kabel eine Verbindung der zugehörigen Buchse des Patchfeldes mit dem Hub hergestellt. Die dafür verwendeten Kabel, beidseitig mit RJ-45-Steckern versehen, nennt man folglich Patchkabel. Sie sind ebenfalls 1:1 belegt. Das gilt auch für die Anschlusskabel, mit denen man dann das Endgerät mit der Wanddose verbindet. Es unterscheidet sich normalerweise nur durch die größere Länge.

Varianten für Glasfaser

Glasfaserkabel sind empfindlicher als Kupferkabel und erfordern eine aufwendigere Verbindungstechnik. Zusammen mit dem höheren Preis für Medium (ab Cat. 7 vernachlässigbar), Stecker, aktive Komponenten und Netzwerkkarten ist momentan der Einsatz meist noch auf das Kernnetz (Backbone) einer Firma beschränkt. Dort zeigen sich Glasfaserkabel allerdings von ihrer besten Seite: Sie sind für sehr hohe Übertragungsraten geeignet und haben nicht, wie Kupfer-Steckverbinder, mit Alterungsproblemen zu kämpfen. Zudem können mit Glasfasern größere Distanzen im Gelände überbrückt werden.

Für Ethernet gibt es mittlerweile eine Vielzahl verschiedener Standards für Glasfaserverbindungen, was bei der Auswahl entsprechender Netzkomponenten berücksichtigt werden muss:



Bezeichnung MBit/s Lichtwellenlänge max. Distanz Medium

100Base-FX 100 1.300 nm 2.000 m Multimode, 50/62,5

1.000Base-LX 1250 1.300 nm 5.000 m Singlemode, 9

1.000Base-LX 1250 1.300 nm 550 m Multimode, 50/62,5

1.000Base-SX 1250 850 nm 550 m Multimode, 50

1.000Base-SX 1250 850 nm 275 m Multimode, 62,5

Abbildung 30: Glasfaser-Varianten (1)

Typ je 1 Glasfaser pro Richtung

Maximale Länge 275 – 5.000 m

Anschlüsse SC-Duplex (Norm) oder MTRJ (heute populär)

Topologie Stern


Abbildung 31: Glasfaser-Varianten in ihren Merkmalen

Multimodefasern (MMF) sind relativ dick (50 - 62,5 Mikrometer) und mit einem vom Zentrum der Faser zu ihrem Rand hin abfallenden Brechungsindex (parabelförmig) ausgestattet. Die zu übertragenden Signale können mit einer Leuchtdiode eingespeist werden (ab Gigabit mit Lasern!). Dadurch breiten sie sich nicht geradlinig im Medium aus sondern laufen „kreuz und quer“, wobei sie jeweils am Kern-Rand reflektiert werden. Da ein Impuls so auf unterschiedlichen Wegen, es werden auch mehrere Moden übertragen, zum Empfänger gelangt, wird er leicht verformt. Man nennt dies den Dispersionseffekt, der maßgeblich für die maximal nutzbare Bandbreite der Faser verantwortlich ist. Da der Dispersionseffekt von der Länge einer Faser abhängt, gibt man die Bandbreite bei Glasfasern als Bandbreiten-Längen-Produkt an. Dieses Problem haben Singlemodefasern (SMF, auch Monomodefasern genannt) nicht. Sie sind so dünn (9 - 10 Mikrometer), dass das optische Signal (eine Mode) nahezu geradlinig durchläuft. Dazu muss es jedoch mit einer vergleichsweise teuren Laserdiode eingespeist werden.

Variante „Highspeed“ (10 Gigabit)

Für zukünftige Geschwindigkeitssteigerungen im Ethernet haben Kupferkabel ausgedient (nicht am Arbeitsplatz!). Bereits Gigabit Ethernet ist auf Cat. 5-Kabeln nur noch mit Tricks und unter äußerster Ausschöpfung der Spezifikation möglich.



Die weitere Entwicklung wird sich auf Glasfasern konzentrieren, auch wenn seit Ende 2003 an einer Kupfervariante für 10 Gigabit Ethernet gearbeitet wird. Im März 2002 wurde der neue Standard IEEE 802.3ae verabschiedet, der Ethernet mit einer Kapazität von 10 Gbit/s definiert. Diese Variante ist allerdings gegenwärtig nicht für die Anbindung von Endgeräten gedacht – bisher ist noch kein PC in der Lage, 10 Gbit/s überhaupt über den I/O-Bus zu transportieren und selbst leistungsfähige Server sind kaum in der Lage auch nur die Performance von 1 Gbit/s der Vorgängergeneration auszunutzen. Damit ist 10 Gigabit-Ethernet für jene Bereiche prädestiniert, wo die Datenflüsse vieler Verbindungen zusammentreffen, also beispielsweise im Backbone sehr großer Firmen oder bei den Verbindungen der Internet-Provider untereinander24.

Gerade Internet-Provider verwenden bereits heute auf den am stärksten ausgelasteten Verbindungen 10 Gbit/s-Leitungen, allerdings bislang meist auf Basis der Zusammenschaltung von vier etwa 2,5 Gbit/s schnellen Leitungen im Standard "SDH/SONET".

Es ist abzusehen, dass 10 Gbit-Ethernet mittelfristig zur preiswertesten Höchstgeschwindigkeitstechnik forcieren wird. Dies wird die schnelle Marktdurchdringung fördern, vor allem angesichts der Tatsache, dass der Bandbreitenbedarf durch die zunehmende breitbandige Anbindung von Privathaushalten ans Internet (heute DSL 3.000! auf Telefonleitungen) momentan sprunghaft anwächst.

Um für alle möglichen Anwendungsfälle gewappnet zu sein, wurde für 10 Gbit-Ethernet eine Vielzahl von physikalischen Anbindungsvarianten spezifiziert, die wie bei den langsameren Glasfaserverbindungen durch Kennbuchstaben zu unterscheiden sind.

Alle beginnen mit der Bezeichnung "10 GBASE-", gefolgt von einer der Kennungen "SR", "SW", "LR", "LW", "ER", "EW" oder "LX4". Dabei steht "S" für eine Übertragung bei einer Wellenlänge von 850 nm, "L" für 1.310 nm und "E" für 1.550 nm. "R" definiert eine serielle Codierung und "W" eine so genannte "WAN-Anpassung", mit der 10 Gbit-Ethernet ein zu SDH/SONET kompatibles Rahmenformat verwendet. Die letztgenannte Variante "LX4" ist für die Anwendung in LANs gedacht. Dabei wird das Signal in einem WWDM (Wide Wavelength Division Multiplex) genannten Verfahren auf vier "Kanäle" leicht unterschiedlicher Wellenlänge aufmoduliert, die jeder für sich mit nur einem Viertel der Übertragungsrate arbeiten. Damit kann auch über das preiswerte Multimode-Glasfaserkabel eine Distanz von bis zu 300m überbrückt werden. Die Eignung für WAN-Verbindungen zeigt sich erst bei der Nutzung von Singlemode-Glasfasern, bei denen mit 10 GBASE-ER eine Distanz von bis zu 40km ohne Zwischenverstärkung möglich ist. Zusammengefasst einige Beispiele:

24 Es gibt auch Internet Service Provider (ISP), die ihre Netze nicht mehr auf ATM-Basis sondern vollständig auf Ethernet-Basis aufbauen.



Bezeichnung GBit/s Lichtwellenlänge max. Distanz Medium

10GBase-SR 10 850 nm 26 m Multimode, 62,5

10GBase-SR 10 850 nm 10 km Singlemode, 10

10GBase-ER 10 1550 nm 40 km Singlemode, 10

10GBase-LX4 10 1269 - 1356 nm 300 m Multimode, 62,5

Abbildung 32: 10 Gigabit-Varianten (1)

Typ je 1 Glasfaser pro Richtung

Maximale Länge 26 - 40000 m

Anschlüsse SC-Duplex

Topologie Stern


Abbildung 33: 10 Gigabit Merkmale

Als Verbindungselemente kommen SC-Duplex-Stecker zum Einsatz. Wie bei 1 Gigabit-Ethernet auch, gibt es je eine Glasfaser pro Senderichtung. Damit kann gleichzeitig gesendet und empfangen werden. Diese Betriebsart nennt man vollduplex (im Gegensatz zu halbduplex, bei dem die beiden Gegenstellen abwechselnd und nicht gleichzeitig in beide Richtungen kommunizieren).

Medienzugriff bei Ethernet mittels CSMA/CD-Verfahren

Ob nun Ethernet, Token Ring oder Wireless LAN, ursprünglich waren alle lokalen Netz so genannte „Shared Networks“. „Shared“ ist englisch und bedeutet „teilen“. Bei diesen Netzen wurde der einzige, gemeinsam genutzte Kanal (im Basisbandverfahren) über das Übertragungsmedium (=Kabel) zwischen den Endgeräten (am Bus) geteilt. Das hatte zur Folge, dass sich die mittlere Kapazität mit der Anzahl angeschlossener Endgeräte im Netz verringert25. Ebenso kann auch nur halbduplex übertragen werden, denn der gemeinsam zu nutzende Kanal kann von einem Endgerät zu einer Zeit auch nur in eine Übertragungsrichtung genutzt werden. Wichtig bei „Shared Networks“ ist natürlich die möglichst faire Regelung der Nutzungsreihenfolge dieses eben einzigen

25 Ethernet-Netze arbeiten heute nahezu alle geswitched und vollduplex. Aber WLANs nach IEEE 802.11 sind heute fast ausschließlich halbduplex Netze. Würde sich in einem 11 Mbit/s WLAN 10 Endgeräte befinden, so stünden im Mittel jedem Endgerät nur 1,1 Mbit/s zur Verfügung. Beachtet man ferner dass der Overhead (jedes Unicast-Paket wird quittiert) die Nettorate um ca. 50% reduziert, so stehen unter diesen Bedingungen jedem Endgerät 550 kbit/s zur Verfügung. Das ist etwa gleichzusetzen mit dem T-DSL (768 kbit/s downstream).



Kanals. Deshalb wurden Medienzugriffsverfahren entwickelt, das im Ethernet CSMA/CD heißt. CSMA/CD war ursprünglich für Funkübertragungen gedacht, daher der Verweis auf ein Trägersignal (engl. „Carrier“) im Namen.

CSMA/CD steht für Carrier Sense Multiple Access with Collision Detection. Da wir uns beim ursprünglichen Ethernet in einem Bussystem befinden, kann es natürlich passieren, dass zwei Endgeräte quasi gleichzeitig senden wollen. Die dadurch auf dem Kabel entstehenden Kollisionen führen zwar zur Zerstörung beider gesendeten Pakete, gehören aber zum Verfahren und sind damit erlaubt, wenn auch unerwünscht. Das „Carrier Sensing“ bedeutet nichts anderes als das Kabel auf anliegende Daten zu prüfen. Ist das der Fall, wartet eine sendewillige Station. Ist das Kabel und damit der Kanal frei, kann sofort gesendet werden. Das „Multiple Access“ deutet darauf hin, das mehrere Stationen eine Zugriffsmöglichkeit auf das Kabel haben und dezentral für sich selbst entscheiden können, ob gesendet wird oder nicht. Letztlich gibt es noch das „Collision Detection“. Das ist eine Voraussetzung wenn Kollisionen möglich sind. Denn damit muss ein Senden eines Paketes auch darauf hin geprüft werden, ob es kollisionsfrei übertragen werden konnte. Dazu ist aber nur eine bestimmte Zeit zu prüfen, denn ist das ganze Kabel mit einem Paket „ausgeleuchtet“ worden, erkennen die anderen Stationen per Carrier Sensing den Belegt-Zustand des Kabels und warten mit ihrer Sendung. Diese Zeit wird Kollisionsfenster genannt und beträgt beim 10 Mbit/s Ethernet 51,2 Mikrosekunden und beim Fast Ethernet 5,12 Mikrosekunden. Im Umkehrschluss bedeutet dies aber auch, dass ein „Shared Network“ unter CSMA/CD nicht unendlich lang sein darf. Genauer gesagt nur so lange, dass Daten in 25,6 bzw. 2,56 Mikrosekunden von einem Ende bis zum anderen kommen, denn die Kollisionsfenstergröße ist ein so genannter Round Trip Delay (Zeit für hin und zurück). Dies ist ein maßgebender Grund für die 5-4-3 Regel beim Einsatz von Repeatern in einem 10 Mbit/s Ethernet.

Die Kollisionsfenstergröße kommt nicht von ungefähr. Per Spezifikation der IEEE wurde festgelegt, dass im Ethernet mindestens 512 Bits gesendet werden müssen. Danach muss das gesamte „Shared Network“ mit dieser Sendung „ausgeleuchtet“ worden sein. Hieraus lässt sich mit dem Faktor 8 die Mindestpaketgröße von 64 Bytes bei einem Ethernet-Paket ableitet. Das heißt auch, unter Einhaltung der genannten Regel, dass nach einer Sendedauer von 512 Bit keine Kollisionen mehr auftreten können, folglich brauche ich auch nach 512 Bit kein Carrier Sensing mehr. Treten dennoch Kollisionen auf, spricht man von Late Collisions. Late Collisions deuten auf zu lange Netze, also falsche Dimensionierung.

Ethernet überträgt im Basisband, d.h. ohne Modulation, und hat daher keinen Träger. Ein Träger wird durch eine Folge von 8 Bytes am Anfang eines jeden Datenpakets „simuliert“, die das Bitmuster "10101010" enthalten. So kann auf dem Medium der Beginn einer Übertragung bereits erkannt werden, bevor Nutzdaten kommen. Im achten Byte



dieser so genannten Präambel kommt dann die Bitfolge „10101011“. Durch die letzten beiden Einsen erkennt die Netzwerkkarte den Beginn des eigentlichen Paketes (siehe Abbildung 34 und Abbildung 35).

Kollisionen werden im Koaxialkabel durch eine Pegelerhöhung erkannt, in TP- oder Gf-Varianten erkennt man eine Kollision durch das gleichzeitige Vorliegen eines Signals an Sende- und Empfangsleitung, was im Halbduplex-Modus nicht der Fall sein kann. Die Übertragung wird dann abgebrochen und der Sender wartet eine zufällige Zeitspanne (zwischen 0 und 51,2 Mikrosekunden bei 10 Mbit Ethernet), bis er es erneut versucht zu senden. Kollidiert das Datenpaket dann erneut, wird die Wartezeit aus einem verdoppelten Zeitintervall (0 - 153,6 Mikrosekunden) gewählt und ein weiterer Versuch gestartet. Beim 15. Wiederholungsversuch ist das Zeitintervall bei 0 - 52377,6 Mikrosekunden angekommen. Schlägt auch dieser Versuch fehl, wird das Paket verworfen und ein Fehler an die übergeordnete Netzwerkschicht gemeldet. Dieses Verfahren nennt man „Backoff-Mechanismus“.

Paketaufbau

Es gibt zwei gebräuchliche Varianten des Ethernet-Protokolls, deren Pakete sich zwar nur geringfügig unterscheiden, die aber im Ergebnis inkompatibel sind:

Abbildung 34: Ethernet Frame nach Ethernet Version 2

Abbildung 35: Ethernet Frame nach IEEE 802.3

Die Präambel wird in Schicht 1 dem Paket hinzugefügt und dient der Synchronisation. Sie gehört damit nicht zum Ethernet-Paket, sondern zur Bitübertragung und besteht aus 8 Bytes. Die ersten sieben Byte enthalten die Bitfolge "10101010". Bei Ethernet V2.0 folgt im achten Byte die Bitfolge "10101011". IEEE 802.3 bezeichnet dieses Byte als Start Frame Delimiter (SFD), der Wert ist ebenfalls "10101011", daher wird die Präambel bei IEEE 802.3 nur mit 7 Bytes angegeben.

Als nächstes folgt die Zieladresse. Sie ist sechs Byte lang und wird als MAC-Adresse bezeichnet. Jeder Ethernet-Controller (NIC) hat von seinem Hersteller eine solche Adresse fest zugewiesen bekommen, welche aber per Software geändert werden kann. Dies ist sogar standardkonform, es muss aber unbedingt davon abgeraten werden, denn durch eigene Manipulation kann es dann zu doppelten MAC-Adressen im Netz kommen, was fatal wäre. Die ersten drei Byte einer MAC-Adresse lassen dabei Rückschlüsse auf den Hersteller eines Controllers zu, der Rest wird



vom Hersteller frei vergeben, muss aber eindeutig sein. MAC-Adressen weisen noch eine Besonderheit auf: das Least Significant Bit (LSB) im ersten Byte bedeutet eine Unicast-Adresse („0“) oder eine Gruppenadresse (Multicast, „1“). Sind alle Bits einer MAC-Adresse auf „1“ gesetzt, handelt es sich um einen Broadcast, also eine Nachricht an alle und damit Sonderform einer Gruppenadresse.

Als Quelladresse wird die MAC-Adresse des eigenen Ethernet-Controllers eingesetzt. Damit weiß der Empfänger, an wen er antworten soll.

Als nächstes folgt der eigentliche Unterschied der beiden Frame-Typen: Ethernet V2.0 setzt hier eine 2 Byte lange Typ-Kennung ein, die das Protokoll der nächst höheren Schicht angibt, das in den Nutzdaten des Pakets transportiert wird. Für das IP-Protokoll ist die Kennung beispielsweise 20 48 (hexadezimal). Der 802.3-Frame enthält an dieser Stelle die Paketlänge. Per Norm sind in Ethernet V2.0 die möglichen Kennungen alle größer als die maximale Paketgröße des Ethernet-Frames (1.518 Bytes ohne Präambel), so dass die Protokollvariante aus diesem Feld eindeutig hervorgeht.

Die Nutzdaten können zwischen 46 und 1.500 Bytes umfassen, so dass sich eine Gesamtlänge des Pakets von 64 – 1.518 Bytes (ohne Präambel) ergibt.

Abgeschlossen wird das Paket durch eine 4 Bytes lange Frame Check Sequence. Sie stellt eine Prüfsumme (mittels Polynomdivision) dar, anhand derer der Empfänger prüfen kann, ob ein Frame während der Übertragung ein oder mehrere Bitfehler erfahren hat. Ist dies der Fall, werden auf dieser Ebene (Schicht 2a, Netzwerkkarte oder Switch) die Frames einfach verworfen, sonst passiert weiter nichts. Es ist dann die Aufgabe der höheren Schichten, für eine Korrektur zu sorgen.

Transceiver & Hubs

Der Transceiver ist eine Hardwarekomponente, die die Logik der Netzwerkkarte mit dem eigentlichen Anschluss verbindet. Normalerweise ist er auf der Netzwerkkarte integriert. Bei sehr alten Netzwerkkarten findet man noch einen AUI-Anschluss (15polig D-Sub weiblich, wie der Joystickanschluss am PC), der ursprünglich für den Transceiver für 10 Base 5 gedacht war. Es gibt jedoch auch externe Transceiver für 10 Base T und 10 Base 2, so dass sich ein Gerät mit AUI-Anschluss in jede Topologie integrieren lässt.



Abbildung 36: Bild eines Transceiver

Ein Repeater ist eine rein elektrische Komponente ohne große Intelligenz. Er regeneriert und verstärkt lediglich die Signale. Repeater werden im 10 Base 2 verwendet, um Segmente miteinander zu verbinden. Über Multiport-Repeater, auch Sternkoppler früher genannt, können mehrere Segmente sternförmig zusammengeschaltet werden. Im 10 Base T werden Multiport-Repeater als „Hub“ bezeichnet. Sie sind hier zwingend erforderlich, da jedes Endgerät direkt mit einem Anschluss am Hub verbunden ist.

Abbildung 37: Multiport-Repeater (Hub)

Bridges & Switches

Bridges werden hauptsächlich bei 10 Base 2 eingesetzt. Eine Bridge hat mindestens zwei Anschlüsse. Ein Datenpaket, das auf einem Anschluss empfangen wird, speichert die Bridge zunächst vollständig ab. Anschließend prüft die Bridge ihre MAC-Adresstabelle, ob das Paket weiter zu leiten ist oder nicht. Im positiven Falle sendet die Bridge ein frisches Paket aus, so dass der Repeater-Effekt gleich mit erfüllt wird. Sind anhand der Ziel-MAC-Adresse Pakete nicht weiter zu leiten, werden sie aus dem Speicher einfach gelöscht. Damit vollzieht die Bridge eine Lasttrennung und damit eine indirekte Kapazitätserhöhung im Netz. Fehlerhafte Pakete oder Kollisionen werden dabei ausgefiltert. Dadurch durchbricht der Nutzer die Größenlimitierung. Hier jedem Bridge-Port kann wieder die 5-4-3 Regel angewendet werden.

Durch die Zwischenspeicherung – man bezeichnet dies auch als Store&Forward – kann eine Bridge auch Netze unterschiedlicher Kapazitäten koppeln, z.B. 10 Mbit/s und 100 Mbit/s--Ethernet. Deswegen steckt in jedem Dual-Speed-Hub eine Bridge zur Koppelung der 100 Mbit/s-Anschlüsse mit den 10 Mbit/s-Anschlüssen.



Ein Switch arbeitet zunächst genau wie eine Bridge. Er achtet also auch bei jedem Paket auf die Absenderadresse und auf welchem Anschluss das Paket hereinkam (Learning Bridge / Switch). Diese Informationen speichert er in der MAC-Adresstabelle ab. Nun kann er Pakete, deren Zieladresse er bereits kennt, gezielt auf den richtigen Anschluss weiterleiten. Netzwerksegmente an anderen Anschlüssen bekommen von dem Paket nichts mehr mit. So kann die Netzlast bei intelligenter Platzierung von Switches signifikant gesenkt werden. Im Gegensatz zu einer Bridge kann ein Switch gleichzeitig mehrere Pakete verarbeiten (z.B. eines von Port 1 nach 6 leiten und eines von Port 5 nach 4).

Switches im Store&Forward Mode (heute fast alle) arbeiten genauso wie eine Bridge, nur nicht CPU-basiert sondern ASIC-basiert und damit viel schneller.

Abbildung 38: Switch an einem Beispiel

Ein Switch kann zudem, wie eine Bridge, eine Umsetzung verschiedener Anschlussgeschwindigkeiten vornehmen. Damit können in einem LAN Endgeräte mit 10 Mbit/s-Ethernet und Fast Ethernet miteinander kommunizieren. An einem Hub können immer nur Geräte mit derselben Geschwindigkeit angeschlossen werden!

Für Switches gibt es verschiedene Arbeitsweisen:

• Cut through: Nach den ersten 12 Byte (Quell- und Zieladresse) wird entschieden, auf welchen Port das Paket weitergeleitet wird. Während auf dem Eingangsport noch der Empfang läuft, wird bereits gesendet. Das führt zu einer sehr geringen Paketverzögerung (30 - 40 Mikrosekunden bei 10 Mbit/s-Ethernet). Allerdings werden auch Pakete übertragen, die sich später als fehlerhaft (anhand des Frame Check Sequence) oder als Kollision erweisen.

• Modified cut through: Die Entscheidung fällt erst nach 64 Bytes. Dann sind Kollisionen normalerweise bereits erkannt worden und können ausgefiltert werden. Die Verzögerung steigt jedoch auf ca. 500 Mikrosekunden und fehlerhafte Pakete werden trotzdem übertragen.

• Store and Forward: Die Entscheidung fällt nach dem Empfang des kompletten Pakets. Dadurch entsteht eine paketlängenabhängige Verzögerung von 500 – 8.000 Mikrosekunden. Dafür werden fehlerhafte Pakete erkannt und Filter können ebenfalls eingesetzt werden. Diese Arbeitsweise entspricht der einer Bridge.



• Intelligent Switching: Der Switch schaltet automatisch je nach Netzlast und Fehlerhäufigkeit zwischen Modified cut through und Store and Forward hin und her.

Der Einsatz von Switches ist kein Allheilmittel für Performance-Probleme im Netz. Ihrem Einsatz muss immer eine Analyse der Datenströme im Netz vorausgehen. Man muss also wissen, wer vor allem mit wem kommuniziert und wo der Flaschenhals sitzt. Mittlerweile sind Switches allerdings so preiswert geworden (16 Port Repeater ca. 300 Euro, 16 Port Switch ca. 600 Euro, Markengeräte), dass sie oftmals schlicht als Ersatz für Hubs verwendet werden. Das bringt in fast allen Fällen auch Vorteile.

Beispiel:

Abbildung 39: Netzbeispiel 1

Angenommen, das Netz nach Abbildung 39 sei sehr stark ausgelastet, es findet aber kaum Datenverkehr zwischen den beiden Sternen statt. Die Hubs transportieren die Last des linken Sterns jedoch nach rechts und umgekehrt. Ein Switch zwischen den beiden Sternnetzen trennt diese Lasten voneinander, die Auslastung sinkt in beiden Teilnetzen fast auf die Hälfte:




Angenommen, im selben Netz liefe der größte Teil des Datenverkehrs zwischen den Endgeräten und dem Server (ganz rechts in Abbildung 40) ab. Dann brächte dieser Lösungsvorschlag nur der linken Hälfte des Netzes „Erleichterung“. Um beide Sternnetze zu entlasten, müsste der Server über eine schnelle Leitung (Fast Ethernet oder Gigabit Ethernet) direkt am Switch angebunden werden:


Spanning Tree Algorithmus:

Abbildung 42: Spanning Tree (1)

Das abgebildete Netz aus miteinander verbundenen Switches erlaubt jeweils mehrere Wege vom Sender zum Empfänger. Ohne weitere Maßnahmen würde jedes Paket über jeden möglichen Weg übertragen, käme beim Empfänger also mehrfach an. Es könnte sogar passieren, dass Datenpakete ewig kreisen. Die Auslegung mit redundanten Verbindungen ist jedoch im Hinblick auf die Ausfallsicherheit des Gesamtnetzes wünschenswert.

Zur Lösung dieses Problems kommunizieren die Switches untereinander mittels dem Spanning Tree Protokoll. Zunächst wird nach bestimmten Kriterien ein Root Switch ausgewählt. Von diesem ausgehend werden zunächst alle Verbindungen bestimmt, die direkt zu weiteren Switches führen. Von diesen aus werden wiederum die direkten Wege zu jenen Switches gesucht, die im ersten Durchgang noch nicht erfasst wurden.



Dies setzt sich so lange fort, bis zu jedem Switch ein eindeutiger Weg gefunden wurde. Alle Verbindungen, die hierbei nicht benötigt wurden, werden nun softwareseitig im Switch abgeschaltet. Es entsteht so eine baumförmige Netzstruktur mit dem zuerst ausgewählten Switch als Wurzel (Root). Das Netz hat nun keine redundanten Wege mehr, sprich keine Maschen. Dieser Algorithmus heißt Spanning Tree Algorithmus.

Abbildung 43: Spanning Tree (2)

Auch wenn der Baum berechnet wurde, kommunizieren die Switches weiterhin untereinander, um Ausfälle oder neu hinzugekommene Switches erkennen zu können. Dann wird der Algorithmus neu angestoßen und das Netz so rekonfiguriert. Das kann bei sehr komplexen Netzen durchaus eine Minute dauern und ist daher oft nicht erwünscht, da die Session-Timer der Anwendungen auslaufen und oftmals für die Fehlerbehebung Server neu gestartet werden müssen, der Sinn von Spanning Tree eines fehlertoleranten Netzes ist dann nicht optimal erreicht.

Token Ring Token Ring26 ist zunächst ein Zugriffsverfahren für „Shared Networks“, das ebenso wie CSMA/CD in einem IEEE-Standard festgehalten wurde. Bei Token Ring ist dies IEEE 802.5. Ein populärer Netz-Standard wurde daraus jedoch erst mit der Markteinführung der Implementierung der Firma IBM im Jahr 1985. Somit waren in den 80er Ethernet und Token Ring die beiden Konkurrenten im Bereich lokaler Netze. Ethernet mit CSMA/CD als Vertreter des nicht-deterministischen Zugriffsverfahrens und Token Ring mit Token Passing als Vertreter des deterministischen Zugriffsverfahrens. Token Ring war als „Hochgeschwindigkeitsnetz“ mit Basisbandübertragung für die Bürokommunikation gedacht. Auch IBM versuchte einen weithin offenen Standard daraus zu machen, dies gelang jedoch nur in weit bescheidenerem Maße als bei Ethernet. Deshalb zog sich IBM etwa 2002 aus ihrem Token Ring Geschäft zurück. Einziger Anbieter von Token Ring Komponenten ist heute nur noch die

26 Das Medienzugangsverfahren beim Token Ring heißt genauer gesprochen „Token Passing“.



Firma Madge. Da Unternehmen heute kaum noch „Ein-Hersteller-Strategien“ fahren, war damit das gänzliche Ende von Token Ring auch besiedelt. Zudem kam in der Weiterentwicklung der beiden Konkurrenten hinzu, das Ethernet nicht nur günstiger war und seine Standards allen Hersteller offen legte, sondern auch in der Steigerung der Übertragungsgeschwindigkeiten schneller war. So erreichte Ethernet um 1995 die 100 Mbit/s, Token Ring erst 1998. Gleichzeit gibt es bei Token Ring bis heute keine Gigabit-Variante. All das führte dazu, dass Token Ring Kunden (vorwiegend Banken) heute zu Gigabit-Ethernet migrieren.

Somit blieb Token Ring weitgehend mit der IBM-Welt verbunden. In den Anfangsjahren der Arbeitsplatzvernetzung konnte es aufgrund der starken Dominanz von IBM in mittleren und größeren Firmen sehr gut mit der Ausbreitung von Ethernet mithalten, mittlerweile geht seine Bedeutung aber gegen Null.

Dabei sind einige Konzepte bei Token Ring verblüffend einfach und effizient. Der Medienzugriff erfolgt nach einem faireren Verfahren als bei Ethernet und lässt auch eine höhere Gesamtbelastung (Netto-Rate) zu, da es Prinzip bedingt zu keinen Kollisionen kommen kann. Auch unterstütze Token Ring von Beginn an eine Priorisierung und auch „Selbstheilung“ des Ringes. Umgekehrt erfordert das Token-Ring-Verfahren eine sehr aufwendige Verwaltung, wodurch den Netzwerkkarten eine gewisse "Eigenintelligenz" abverlangt wird. Dadurch und durch die geringeren Stückzahlen sind Token-Ring-Komponenten deutlich teurer als solche für Ethernet.

Übertragungsmedium

Token Ring arbeitete ursprünglich mit "IBM Typ 1"-Kabeln mit einer Übertragungsgeschwindigkeit von 4 Mbit/s. Später kam noch eine Variante mit 16 Mbit/s hinzu, die heute überwiegend (bei Banken) eingesetzt wird. Als Kabel kommen mittlerweile überwiegend UTP-Kabel zum Einsatz. Die Mindestanforderung für 4 Mbit/s sind dabei Cat. 2, für 16 Mbit/s Cat. 4. Typischerweise werden heute jedoch Cat. 5e-Kabel oder Cat. 6 eingesetzt, die später eine problemlose Migration z.B. auf Fast Ethernet oder Gigabit-Ethernet ermöglichen.

Abbildung 44: Der Token Ring Stecker

Als Steckverbinder wurden ursprünglich die Stecker des IBM Cabling System (ICS) verwendet. Diese sind hermaphroditisch gestaltet und können damit nicht nur in Wanddosen und Geräten gesteckt werden,



zwei Stecker passen auch zusammen, z.B. um Kabel zu verlängern. Endgeräte haben eine 9-polige D-Sub-Buchse, da der ICS-Stecker zu groß wäre. Mittlerweile werden meist RJ-45-Stecker verwendet, so dass eine Token-Ring-Netzwerkkarte äußerlich nicht von einer Ethernet-Karte zu unterscheiden ist.

Für Token Ring gibt es auch die Möglichkeit Glasfaserkabel mit einer Übertragungsrate von 100 Mbit/s einzusetzen. Das wird z.B. für einen ebenfalls ringförmig ausgelegten Backbone genutzt, an den über Bridges kleinere Ringe mit 16 Mbit/s angeschlossen werden. Es gibt allerdings auch einen Standard für "Fast Token Ring", das 100 Mbit/s über Kupferkabel realisiert. "Gigabit Token Ring" kam nie so richtig oder brauchbar zustande.

Token Ring hat in weit geringerem Maße als Ethernet mit Längenbeschränkungen aufgrund von Signallaufzeiten zu kämpfen. Dadurch kann ein Netz mit Zwischenverstärkern auch ohne Bridges eine Ausdehnung von mehreren Kilometern erreichen.

Abbildung 45: IBM 8228 Multiunit Attachment Station (Ringleitungsverteiler, RLV)

Netzwerktopologie

Ein Token Ring-Netz hat die Struktur eines Doppelringes. Die Verbindungen werden gerichtet betrieben, d.h. die Daten können sich im einen Ring nur im Uhrzeigersinn bewegen, im anderen entsprechend in Gegenrichtung. Der zweite Ring wird normalerweise nicht benutzt sondern dient als Backup, wenn der Ring an einer Stelle unterbrochen wird (Abbildung 46). Diese Backup-Möglichkeit gab es aber nicht von Beginn an.



Abbildung 46: Backup bei Token Ring (1)

In der Praxis wäre die obige Anordnung kaum realisierbar, da jedes Endgerät mit zwei Nachbarn verbunden sein müsste und dies mit Leitungen für Hin- und Rückrichtung. IBM hat sich deswegen eine Mischung aus Ring- und Sternverkabelung ausgedacht, einen so genannten "Star Shaped Ring". Herzstück dieser Topologie sind Ringleitungsverteiler (MAU) - passive Komponenten, die ansonsten in etwa die Aufgabe von Hubs im Ethernet wahrnehmen (Abbildung 47).

Abbildung 47: MAU bei Token Ring

Ringleitungsverteiler (RLV) ermöglichen also den Anschluss von mehreren Endgeräten an den Ring, wobei die doppelte Auslegung des Rings nur für die Verbindung der Ringleitungsverteiler untereinander gilt. Dafür steuert jedes Endgerät ein Relais im Ringleitungsverteiler, mit dem es sich in den Ring einklinkt. Ist kein Gerät angeschlossen, das Gerät abgeschaltet oder das Kabel defekt, wird das Relais nicht angesprochen und koppelt das Gerät vom Ring ab, schließt den Ring und verbindet die zum Endgerät führenden Leitungen miteinander. Dadurch kann ein neu angeschlossenes oder eingeschaltetes Gerät zunächst sich selbst und seine Verbindung zum Ringleitungsverteiler testen, bevor es die Spannung für das Relais einschaltet und sich damit in den Ring einbindet.



Abbildung 48: Backup bei Token Ring (2)

Durch mehrere im Ring verschaltete Ringleitungsverteiler entsteht so ein Netz der oben abgebildeten Topologie. Fällt eine Verbindung aus, wird der Ring über die zweite Ringleitung wieder geschlossen (siehe Abbildung 48).

TR-Bridges (Prinzip: Source Route Bridging) ermöglichen die Kopplung von je zwei Ringen, so dass Strukturen aus zahlreichen miteinander verbundenen Ringnetzen entstehen können. Beim so genannten Source Route Bridging findet die sendewillige Station zuerst heraus, über welche Ringe das Ziel erreichbar ist und sendet dann in der eigentliche Nachricht die entsprechenden Ringnummern mit. Hierin liegt die höhere Intelligenz der Netzwerkkarten und damit der größere Aufwand. Beim Ethernet lernen die Bridges das Netz selbst kennen (Prinzip: Learning Bridge, Transparent Bridging) und arbeiten damit „Plug & Play“.

Abbildung 49: Token Ring mit Backbone-Struktur

Medienzugriffsverfahren

Im Token Ring wird der Medienzugriff über eine spezielle Signalfolge gesteuert, die „Token“ (3 Bytes lang) genannt wird. Das Token wird immer im Kreis herumgereicht (ähnlich einem Staffelstab bei einem Leichtathletiklauf), solange keine Daten zu senden sind. Sobald ein Endgerät senden möchte, wartet es den Empfang des Tokens ab und sendet dann seine Daten hinterher. Das Datenpaket wird auf seinem Weg irgendwann beim Empfänger vorbeikommen. Dieser setzt in dem Paket ein Status-Bit, sendet das Paket aber ansonsten unverändert weiter. Der ursprüngliche Sender erhält nach einer kompletten „Runde“ sein eigenes Paket wieder zurück und kann an dem gesetzten Status-Bit sehen, dass das Paket gut angekommen ist. Dies ist durch den Ringschluss bedingt erforderlich und eine Quittierung, die es auf dieser OSI-Ebene so bei Ethernet nicht gibt. Bei Ethernet „verpuffen“ die Pakete



an den Abschlusswiderständen in Wärme. Wenn der Sender das Paket vom Netz genommen hat, setzt er wieder ein freies Token ein - auch dann, wenn er selbst noch etwas zu senden hätte. Dadurch haben zuerst alle anderen Stationen die Chance, ihre Sendedaten loszuwerden. Auf diese Art wird eine faire Verteilung des Medienzugriffs erreicht das zudem kollisionsfrei ist. Auch lassen sich in Abhängigkeit der Stationszahlen und Ringlängen berechnen, wie lange ein Endgerät maximal warten muss, bis es ein zweites Paket senden kann. Bei Ethernet und CSMA/CD kann sich auch nur der „Stärkere“ durchsetzen, was ein Stück weit an das „Urwaldprinzip“ erinnert.

Falls das Token verloren geht, steht schlagartig das gesamte Netz. Für solche Fälle gibt es immer einen so genannten Monitor, d.h. ein Endgerät ist für die Überwachung des Rings und damit des Tokens zuständig. Wenn ein neues Gerät ins Netz kommt, fragt es zunächst an, wer der Monitor ist. Erhält es keine Antwort, erklärt es sich selbst zum Monitor. Nur der Monitor ist berechtigt, ein neues Token zu generieren, wenn für eine bestimmte Zeit keines mehr vorbeigekommen ist. Alle anderen Endgeräte werden als "Standby Monitor" bezeichnet: Der Monitor muss in regelmäßigen Abständen ein bestimmtes Paket als Lebenszeichen absenden. Bleibt dieses aus, konkurrieren alle „Standby Monitore“ in einem Auswahlverfahren um die Rolle des neuen Monitors.

Paketaufbau

Das Token ist drei Bytes lang und folgendermaßen aufgebaut:

Abbildung 50: „Token“ beim Token Ring

Alle drei Bytes sind auch in einem normalen Datenpaket (hier Frame genannt) enthalten, die beiden ersten am Anfang, das dritte am Ende. Daher haben einige der enthaltenen Bits auch nur bei Datenpaketen eine Bedeutung:

J und K:

Im Token Ring wird als Leitungscodierung die Manchester-Kodierung (wie beim 10 Mbit/s Ethernet) verwendet, bei dem immer in der Mitte eines übertragenen Bits ein Pegelsprung vorkommt - bei einer übertragenen "0" von High auf Low, bei einer "1" von Low auf High. J und K sind nun bewusste Verletzungen dieser Regel: Bei J wird der letzte Pegel des vorherigen Bits über die ganze Bitzeit gehalten, bei K wird der vorherige Pegel am Beginn der Bitzeit gewechselt. Durch diese Verletzung der Kodierung kann das Token bereits am ersten übertragenen Byte sicher erkannt werden.



P und R:

P ist ein 3-Bit-Wert (im Ergebnis sind damit acht Abstufungen von 0 bis 7 möglich), der die Priorität des Datenpakets angibt. Eine Station darf das Token nur dann einziehen und seine Daten senden, wenn diese mindestens die hier angegebene Priorität haben. Nach einer Übertragung hoher Priorität folgt immer mindestens eine mit Priorität Null. Das wird über die R-Bits gesteuert. Hier kann ein Endgerät in einem vorbeikommenden Token oder Datenpaket (auch dort ist das Access Control Byte enthalten) die Priorität für die nächste "Runde" festlegen. Die hohe Priorität wird also erst eingesetzt, nachdem das aktuelle Datenpaket vom Ring genommen wurde.

T und M:

Das T-Bit gibt an, dass es sich bei dem Paket um ein Token handelt. M ist das Monitor-Bit

I:

Das Intermediate Bit besagt bei Datenpaketen, dass es sich um ein Paket aus einer mehrere Pakete langen Übertragung handelt. Im Token ist es "0".

E:

Das Error-Bit wird gesetzt, wenn das Paket fehlerhaft ist. Beim Token ist es immer "0".

Ein vollständiges Datenpaket sieht im Token Ring folgendermaßen aus:

Abbildung 51: Token Ring Frame

Start Delimiter, Access Control und End Delimiter haben die gleiche Funktion und werden aus dem Token gebildet.

Frame Control:

Die beiden F-Bits geben an, um was für ein Paket es sich handelt:

• 00: Mac-Paket, d.h. ein Steuerpaket für das Token Ring-Protokoll

• 01: LLC-Paket, d.h. ein Paket mit Anwenderdaten

Die vier Z-Bits enthalten Informationen, wie das Paket zu puffern ist, die r-Bits sind für zukünftige Anwendungen reserviert.



Adressen:

Jedes Gerät im Token Ring hat eine vom Hersteller festgeschriebene, eindeutige Hardwareadresse (MAC). Man kann aber zudem jedem Gerät eine Adresse zuweisen und es gibt verschiedene Spezialadressen, z.B. für Broadcasts (Pakete, die alle empfangen sollen) oder Pakete, die für den Monitor bestimmt sind. Um welchen Adresstyp es sich handelt geht aus den ersten Bits der Adresse hervor. MAC-Adressen existieren genauso wie beim Ethernet, daher ist der Begriff der „Ethernet-Adresse“ auch dem Grunde nach falsch, allerdings werden MAC-Adressen in einer anderen Bitreihenfolge bei Token Ring gesendet als beim Ethernet (aufpassen!).

Prüfsumme:

FCS (Frame Check Sequence) genannt, wird über alle zwischen Start und End Delimiter gelegenen Bytes berechnet.

Frame Status:

A und C sind beim Versand eines Pakets auf Null gesetzt. Beide Bits sind zur Sicherheit doppelt vorhanden, da sie nicht von der Prüfsumme erfasst werden. Der Empfänger des Pakets setzt das A-Bit, wenn er das Paket als für ihn bestimmt erkannt hat und das C-Bit, wenn er das ganze Paket korrekt empfangen hat. Das Paket kommt nach einer Runde durch den Ring wieder beim Sender an. Dieser kann an den beiden Bits erkennen, ob das Paket gut angekommen ist. Die R-Bits werden nicht benutzt.

Wireless LAN Wireless Local Area Networks (WLANs) wurden zu Beginn der 90er Jahre begonnen zu entwickeln. Ein erster Standard IEEE 802.11 wurde 1997 verabschiedet. Größere Verbreitung fanden WLANs aber erst ab 1999, als die IEEE die Erweiterung IEEE 802.11b verabschiedete, nach dem WLANs mit Übertragungsraten von bis zu 11 Mbit/s aufgebaut werden können. Mit der wachsenden Verbreitung sanken naturgemäß auch die Preise, so dass mittlerweile in bestimmten Umgebungen ein WLAN sogar als Alternative zu einem drahtgebundenen Netz in Betracht kommen kann. In 2002 entwickelten sich die Standards weiter, so dass heute mit IEEE 802.11g (2,4 GHz Band) und IEEE 802.11a (5 GHz) zwei (konkurrierende) Standards für Übertragungsraten von 54 Mbit/s zur Verfügung stehen. Anfangs weitestgehend nur in Privathaushalten eingesetzt, fanden spätestens jetzt Unternehmen Interesse an dieser Technologie, allerdings lies die Sicherheit sehr zu wünschen übrig und aktuelle Bestrebungen der IEEE gingen auch in diese Richtung. Seit Juni 2004 gibt es nun die Sicherheitserweiterung 802.11i, mit deren Hilfe ein „Durchbruch“ in Unternehmen erwartet wird. Allerdings gab es auch bisher schon Einsätze. So wurden bereits auf der CeBit 2003 Hotspots installiert, so dass alle Messebesucher auf dem Messegelände im



Internet surfen konnten (Anm. des Autors: ich habe dies bei langweiligen Vorträgen auf dem Kongress getan).

Grundsätzlich erlaubt IEEE 802.11b zwei Arten für die Einrichtung eines WLANs:

• Ad-Hoc-Modus: Entsteht einfach durch die Anwesenheit mehrerer Endgeräte mit WLAN-Adapter (und Treiber) in einer beschränkten Reichweite von etwa 30m. Diese bilden dann eine Funkzelle ohne Basisstation (Access Point genannt).

• Infrastruktur-Modus: Funkzellen mit Basisstation(en) (Access Point(s)). Ein Access Point (AP) dient quasi als Hub für alle WLAN-fähigen Endgeräte innerhalb einer Reichweite von bis zu 300m (nach Standard, Basic Service Set genannt). Mehrere APs können über Funk oder Ethernet zusammengeschlossen werden (Extended Service Set genannt) und arbeiten dann in einem Verteilsystem mit größerer Reichweite zusammen (z.B. Messegelände CeBit)27.

Da die Hauptanwendung für WLANs im Bereich mobiler Endgeräte liegt, sind die meisten Funk-Netzwerkkarten als PC-Cards (PCMCIA) für Notebooks zu erwerben. Es gibt aber auch zunehmend Steckkarten für Personal Computer.

Mittlerweile ratifiziert ist der Standard IEEE 802.11a, der die Übertragungsrate auf 54 MBit/s anhebt. Dazu wird die Trägerfrequenz auf 5 GHz geändert und neue Verfahren für die Übertragung eingeführt (DFS, Dynamic Frequency Selection und TPC, Transmit Power Control). Letzteres ist notwendig, da der neue Frequenzbereich (3. ISM Band) bereits von anderen Funkdiensten genutzt wird und mit entsprechenden Störungen zu rechnen ist. Da der neue Standard kaum noch etwas mit dem alten gemein hat, geht ein Upgrade mit dem Austausch der gesamten Hardware einher. Neben IEEE 802.11a gibt es mittlerweile auch den Standard IEEE 802.11g. Zwar stellt dieser eine Konkurrenz im eigenen „Hause“ dar, hat aber den Vorteil im bisherigen 2. ISM Band bei 2,4 GHz zu arbeiten. Damit ist die Reichweite der Funkzellen nach 11g größer als nach 11a und Access Point können wahlweise mit 11 und 54 Mbit/s arbeiten. Entsprechende Produkte gibt es auf dem Markt.

Übertragungsverfahren bei IEEE 802.11b

Es sind verschiedene Übertragungsraten möglich. Die Endgeräte sind in der Lage, diese abhängig von der Übertragungsqualität (Störungen, Signalpegel, insbesondere Retransmission-Rate) selbständig anzupassen, sprich während der Datenübertragung zu erhöhen oder zu senken.

27 Im Infrastructure-Modus müssen alle Endgeräte über den AP kommunizieren.



Standard Übertragungsrate Bandspreizung

802.11 1 MBit/s FHSS / DSSS

802.11 2 MBit/s FHSS / DSSS

802.11b 5,5 MBit/s DSSS

802.11b 11 MBit/s DSSS

Abbildung 52: Übertragungsraten nach IEEE 802.11b

WLANs nutzen zur Datenübertragung das so genannte ISM-Band (Industrial, Scientific, Medical). Da Frequenzen ein knappes Gut darstellt und reglementiert werden, wurde mit den drei ISM-Bändern ein lizenzfreier Bereich geschaffen, den alle Hersteller nutzen können. Das hält zwar Produkte kostengünstig, ermöglicht aber auch Störungen. So liegen TV-Funkverlängerungen oder Baby-Phones in Privathaushalten im gleichen Frequenzband wie WLANs nach IEEE 802.11b. Im Geschäftsleben kommt hier noch Bluetooth dazu. Einige Kanäle von Bluetooth befinden sich ebenfalls in diesem Frequenzbereich. Der Frequenzbereich für IEEE 802.11b reicht von 2,4000 - 2,4835 GHz. Die Sendeleistung wurde in Europa auf 100mW festgelegt. Damit sind im Freien Reichweiten von bis zu 300m erreichbar, bei einer gerichteten Übertragung wären sogar bis zu 15km möglich.

In Seminaren wurde der Autor immer wieder auf Gesundheits-schädlichkeit von WLANs angesprochen. Ich kann zwar an dieser Stelle nicht auf genauer wissenschaftliche Untersuchungen verweisen, aber de-facto weiß die Beeinträchtigung heute auch u.E. noch niemand. Zum Vergleich: GSM-Handys senden heute etwa mit 1.000mW zehnmal stärker und befinden sich oft direkt am menschlichen Ohr.

Das ISM-Band darf jedoch nur innerbetrieblich genutzt werden, man darf damit nicht als Service Provider tätig werden und selbst eine Grundstück-übergreifende Nutzung ist anmeldepflichtig.

Würden die Daten in einem WLAN einfach auf einen Träger moduliert, entstünde ein sehr schmalbandiges Ausgangssignal. Dieses wäre erstens relativ leicht abzuhören und zweitens sehr störanfällig. Deswegen wird das Signal bei 802.11b bei der Modulation auf den Träger auf eine wesentlich höhere Bandbreite "gespreizt". Dazu dienen zwei Verfahren:

FHSS:Frequency Hopping Spread Spectrum, eingesetzt bis 2 Mbit/s

Hier wird zwischen 79 Kanälen 5-mal alle 2 Sekunden gewechselt. Ein Angreifer benötigt hier die Kenntnis des „Hüpfmusters“, daher ist durch



dieses Übertragungsverfahren ein gewisser Grundschutz gegeben. FHSS kommt allerdings in IEEE 802.11b WLANs nicht zum Einsatz.

DSSS:Direct Sequence Spread Spectrum, eingesetzt bei 11 Mbit/s

Hierbei wird die Bandbreite des 2. ISM-Bandes in 13 Kanäle (in Japan 14 Kanäle) á 22 Mbit/s eingeteilt. Für die Übertragung muss ein Kanal ausgewählt werden. Daher ist kaum ein Schutz vor Abhörung gegeben. Mit einfachen Mittels lässt sich ein Sendepegel in einem Kanal feststellen, so dass beispielsweise die Wahl eines Access Point leicht festgestellt werden kann. Die 13 Kanäle überlappen sich. Bei Installation mehrerer Access Points ist daher auf ein Kanal-Management zu achten!

Jedes übertragene Bit wird bei DSSS mit einer berechneten Folge von 11 Bits XOR verknüpft. Der Empfänger muss die gleiche Bitsequenz benutzen, um die ursprünglichen Daten wieder herstellen zu können.

Entgegen den Beteuerungen der Hersteller sind WLANs jedoch nicht absolut störsicher, insbesondere die gemeinsame Nutzung mit Bluetooth, das ein wesentlich agressiveres Medienzugriffsverfahren besitzt, führt in der Praxis zu sehr deutlichen Performanceeinbrüchen im WLAN.

Probleme bei WLANs nach IEEE

Mit folgenden Problemen waren die Entwickler des 802.11-Standards konfrontiert:

• Störungen:Diese wurden durch die Spreizbandtechnik weitestgehend unschädlich gemacht.

• Unbeabsichtigtes Mithören:Wenn sich die Reichweite zweier WLANs überschneiden, können Datenpakete aus dem einen WLAN ins andere WLAN übertragen werden. Dies lässt sich verhindern, indem man in den Access Points die MAC-Adressen der eigenen Endgeräte einträgt und Pakete mit anderen MAC-Adressen verwirft. Zudem kann bei den eigenen Geräten eine Kennung (BSSID, Basic Service Set Identifier) eingetragen werden, durch die die Kommunikation auf Access Points mit gleicher BSSID eingeschränkt wird. Beide Varianten bieten aber keinen sonderlich großen Schutz, deshalb wurden in Unternehmen mit installiertem WLAN sogar Außenfenster beschichtet, damit durch die Abstrahlcharakteristik auf den Straßen kein Angreifer Daten mitschneiden kann. Die Beschichtungen wirken dann wie ein HF-Filter.



• Absichtliches Mithören:“Lauschangriffe“ von außen sollten eigentlich etwas schwierig sein, weil durch die Spreizbandtechnik auf jeder Frequenz nur mit sehr geringer Energie gesendet wird. Bei FHSS trifft dies zu, nicht aber bei DSSS. Deshalb hat der Standard nach IEEE 802.11 zusätzlich die Option einer Verschlüsselung eingeführt. Das Verfahren dazu heißt WEP (Wired Equivalence Privacy) und arbeitet mit 64 oder 128 Bit langen Schlüsseln, wobei 24 Bit davon fest vorgegeben werden. Der Schlüssel ist bei diesem Verfahren allerdings nicht variable, so dass ein Angreifer nach etwa 1,5 Mio. Paketen den Schlüssel berechnen kann. Das ist in nur wenigen Minuten möglich! Mehr Sicherheit gibt es nicht, deshalb hatten Hersteller zunächst auf eigene Lösungen gesetzt, seit Juni 2004 gibt es aber einen Sicherheitsstandard mit IEEE 802.11i.

Medienzugriffsverfahren

Das Zugriffsverfahren bei WLANs (derzeit sind WLANs noch Shared Networks!) ähnelt sehr stark dem des Ethernet. Es wird CSMA/CA (Carrier Sense Multiple Access / Collision Avoidance) genannt. Im Unterschied zu Ethernet wird hier versucht Kollisionen zu vermeiden. Warum? Nun, das Medium ist Luft und es gibt dort viele Möglichkeiten der Interferenzen. Woher soll ein Endgerät eine Störung von einer Kollision unterscheiden können? Es gibt bei Funknetzen also keine zuverlässige Kollisionserkennung, wie es im Ethernet möglich ist28.

Abbildung 53: Medienzugriff mit CSMA/CA bzw. Kollisionsvermeidung in WLANs

In Abbildung 53 (linkes Beispiel) können die Endgeräte A und B auf Grund eines Hindernisses nicht miteinander kommunizieren, im rechten Beispiel auf Grund einer zu großen Entfernung. Das Endgerät C ist günstig platziert und erreicht so beide Endgeräte. Würde nun A (im rechten Beispiel) Daten senden, die bei C mit einer Übertragung von B kollidieren, würden das weder A noch B bemerken. Dieses Problem nennt man „Hidden Station Problem“. Um die Hidden Station zu vermeiden, kann optional ein RTS/CTS aktiviert werden, so dass vor der

28 Im Ethernet mit Koaxialkabeln wird eine Kollision durch eine Pegelerhöhung auf dem Kabel erkannt. Bei Twisted Pair und Glasfaserkabeln erkennt man eine Kollision an dem gleichzeitigen Auftreten von Signalen auf der Sende- und Empfangsleitung. Dies ist im Halbduplex-Modus verfahrensbedingt ja nicht möglich!



eigentlichen Datenübertragung ein RTS gesendet wird und erst nach Erhalt eines CTS mit der Datenübertragung begonnen wird. Treten Kollisionen auf, betrifft dies nur RTS bzw. CTS, nicht aber die Datenübertragung. Eine Aktivierung von RTS/CTS geht zu Lasten der Nettorate, die dann um weitere ca. 10 Prozent reduziert wird29.

Zudem wird jedes ordentlich empfangene Paket durch ein "ACK" (Acknowledgement) genanntes Paket quittiert. So kann der Sender sicher sein, dass keine Kollision aufgetreten sind. CSMA/CA arbeitet aber nicht 100 Prozent kollisionsfrei.

Die Kollisionsvermeidung wird durch mehrere Maßnahmen erreicht:

• Nachdem ein Paket übertragen wurde, warten alle sendebereiten Endgeräte eine Mindestzeit plus einer zufällig gewählten Zeit, bis sie zu senden beginnen. Dadurch wird das Problem vermieden, dass mehrere Endgeräte auf das Ende einer Übertragung lauern und dann gleichzeitig zu senden beginnen. Die zufällige Zeit wird, wie bei Ethernet für Retransmissions, nach dem BEB30-Verfahren ermittelt.

• Ein Datenpaket kann "angemeldet" werden. Dazu sendet der Sender ein RTS-Paket (Request to Send), in dem er die zu übertragende Paketgröße anmeldet. Der Empfänger bestätigt dies mit einem CTS-Paket (Clear to Send)31, in dem die Paketgröße auch noch mal enthalten ist. Dieses Paket erhalten auch die Stationen im Reichweitenbereich des Empfängers, die sich außerhalb der Reichweite des Senders befinden. Sie können nun eigene Übertragungen entsprechend lange zurückstellen, bis sie das ACK-Paket der eigentlichen Datenübertragung erhalten.

Paketaufbau bei WLANs

IEEE 802.11 hat folgendes Paketformat spezifiziert:

Abbildung 54: WLAN-Frame

Die beiden ersten Bytes heißen Frame Control (FC) und haben folgenden Aufbau:

29 Die Nettorate in WLANs liegt ohnehin nur bei etwa 55%, da jedes Unicast Paket quittiert wird.

30 Binary Exponential Backoff

31 RTS/CTS war ursprünglich ein Handshake der V.24 (seriellen) Schnittstelle.



Abbildung 55: WLAN Paket (Frame Control Bytes)

„PV“ ist die Protokollversion. „Typ“ und „Subtyp“ geben die Art des Pakets an, sprich ob es sich um ein Datenpaket, ein Paket zur Verwaltung des Netzes oder eine Sonderform (Control Frame, z.B. ACK, RTS, CTS) handelt. „To DS“ und „From DS“ kennzeichnen Pakete, die entweder zum Access Point gesendet werden, von diesem kommen oder zwischen zwei Access Points ausgetauscht werden. Diese beiden Bits bestimmen darüber, wie die Adressfelder belegt sind.

To DS

From DS Bedeutung Adresse

1Adresse 2

Adresse 3

Adresse 4

0 0 Endgerät zu Endgerät DA SA BSSID frei

0 1 AP zu Endgerät DA BSSID SA frei

1 0 Endgerät zu AP BSSID SA DA frei

1 1 AP zu AP RA TA DA SA

Abbildung 56: WLAN Frame Control Bytes (1)

Hierbei bedeuten:

DA: Destination Address (Zieladresse)

SA: Source Address (Quelladresse)

BSSID: Basic Service Set ID (Basisadresse des WLANs, meist Adresse des AP)

RA: Receiver Address (Empfängeradresse, Zieladresse des AP)

TA: Transmitter Address (Senderadresse, Quelladresse des AP)

Abbildung 57: WLAN Frame Control Bytes (2)

Die Adressierung wird am ehesten durch ein Beispiel verständlich: Gesetzt den Fall, ein Endgerät E1, das sich in Reichweite von AP1 befindet, will mit E2 im Bereich von AP2 kommunizieren. Es sendet dazu ein Paket an seinen eigenen AP, dieser schickt es (über ein Distribution System, z.B. Ethernet) weiter an den AP des Empfängers, welcher es dann dem Empfänger zustellt. Bei jeder Übertragung werden dazu die



Bits "To DS" und "From DS" entsprechend gesetzt und die Adressfelder korrekt gefüllt.

Abbildung 58: Kommunikation bei WLANs im Extended Services Set (ESS)

Die weiteren Bits im „Frame Control“ geben Auskunft, ob es sich bei dem Paket um ein Fragment eines längeren Pakets einer höheren Protokollschicht handelt (more Fragments), das Paket bereits eine Wiederholung ist (retry; nachdem das Paket nach der ersten Aussendung nicht bestätigt wurde), ob sich der Sender im Stromsparmodus befindet, ob weitere Datenpakete der selben Übertragung folgen (more Data), ob die Daten verschlüsselt sind (z.B. WEP) und ob sie in der richtigen Reihenfolge übertragen werden (order).

Die „Sequenznummer“ (Seq) zählt Fragmente bzw. Pakete einer umfassenderen Übertragung. Die „FCS“ (Frame Check Sequence) ist eine Prüfsumme nach dem CRC-Verfahren, wie schon aus dem Ethernet bekannt.

X.25 X.25 wurde Anfang der 80er Jahre eingeführt und ist eines der ersten paketvermittelten, öffentlichen Netze. Spezifiziert wurde X.25 damals von der CCITT (heute ITU-T). Eine letzte Aktualisierung des Standards gab es 1998. X.25 wurde weltweit aufgebaut! In Deutschland wird X.25 von der Deutschen Telekom AG unter dem Namen "Datex-P" vermarktet. Um Datex-P-Verbindungen von außen zuzulassen, benötigt man ein spezielles Modem und einen Rechner, der das X.25-Protokoll (durch Wählverbindungen OSI-Schichten 1-3) beherrscht. Zur Einwahl ins Datex-P genügt ein geringer Aufwand: Die Deutsche Telekom betreibt Einwahlpunkte, die per Modem erreichbar sind. Dort muss man sich mit seiner Teilnehmerkennung (NUI, Network User Identification) und Passwort authentifizieren und kann dann die NUI des Endgerätes angeben, mit dem man letztlich kommunizieren möchte. Nach erfolgreichem Verbindungsaufbau können Daten übertragen werden, wobei das PAD die Paketierung übernimmt.

Im Vergleich zum späteren Frame Relay oder ATM wurde X.25 in einer Zeit eingeführt, in der die Übertragungsmedien (sprich Kabel) noch lange



nicht so hochwertig (fehlerfrei) waren wie heute. Es wurden daher schon auf der OSI-Schicht 2 ausgiebige Sicherungsverfahren implementiert, die eine äußerst sichere Kommunikation für die höheren Anwendungsschichten ermöglichten. Was für ein reines Datennetz natürlich für die Anwendungen sehr gut geeignet war, erwies sich später dann als nicht fähig für Sprache, als Voice over IP 1995 aufkam. Zudem ist ein größerer Overhead durch die Sicherungsverfahren entstanden, der die Übertragung langsam machte. Bemerkenswert sind auch noch zwei weitere Aspekte: X.25 war und ist weltweit verfügbar und besaß immer schon Wählverbindungen (SVC). Die späteren Protokolle Frame Relay und ATM können dies zwar heute auch, arbeiteten aber lange Zeit nur mit fest eingerichteten Verbindungen, den so genannten Permanent Virtual Circuits (PVC).

Abbildung 59: Einwahl ins X.25-Netz

Die Übertragungsgeschwindigkeit nur bei maximal 9.600 Bit/s. Da es sich jedoch um Wählverbindungen handelt, kann ein Teilnehmer mit Datex-P-Modem quasi gleichzeitig mit mehreren Endgeräten kommunizieren bzw. mehrere Verbindungen betreiben.

Datex-P ist insbesondere für solche Kommunikationsaufgaben geeignet, wo potentiell mehrere Endgeräte gleichzeitig mit einer Zentrale Kontakt aufnehmen müssen, aber nur geringe Datenmengen übertragen werden. Ein Beispiel wären z.B. Bestellungen in Filialen eines Unternehmens beim zentralen Lager oder die Übertragung von Kassenabrechnungen der Filialen an die zentrale EDV.

Die folgende Tabelle vermittelt einen Eindruck über die Leistungsfähigkeit des heutigen „Highspeed“ Anschlusses der Deutschen Telekom AG, dem Datex-P Access 300 (Produktname):



Features

Freivolumen1: 7 Mbyte pro Monat

Frei wählbare Fenstergröße zwischen 1 und 7

Durchsatzklasse: 9.600 bit/s

Bis zu zehn logische Kanäle

Fenstergröße: 2

Geschlossene Benutzergruppen (CUG: Closed User Groups): Sie können definieren, wer mit wem Daten übertragen darf. Kommunikation außerhalb dieser Gruppe ist dann nicht möglich

Hohe Datensicherheit

Entfernungs- und zeitunabhängige Tarifierung nach übertragenem Datenvolumen in Deutschland: Sie zahlen nur die übertragenen Daten

Zugang mit Netzstandard 98 nach ITU-T X.25

Kurzzeitverbindungen

Abgehende und ankommende Verbindungen gewählt und virtuell

Paketlänge: 128 Byte (Standard), optional 256 Byte

Abbildung 60: Datex-P Access 300 der Deutschen Telekom AG (Quelle: www.telekom.de)

Frame Relay Datex-P existiert zwar noch, besetzt heute aber nur noch wenige Nischen. Es gibt jedoch mit Frame Relay einen Nachfolger, der ebenfalls mit einem paketvermittelnden Netz arbeitet, aber mit deutlich höheren Datenraten bis mittlerweile 34 Mbit/s. Dafür wird auf die aufwendige Fehlerkorrektur seitens des Netzes verzichtet, da man davon ausgehen kann, dass die Endgeräte auf höherer Protokollebene ohnehin eine Fehlerüberprüfung vornehmen und die Übertragungsmedien heute hochwertig sind.

Frame Relay wird von den Carriern (TK-Anbieter) angeboten, um die lokalen Netze verschiedener Firmenstandorte miteinander zu verbinden. Normalerweise wird dazu an jedem Standort ein Router bereitgestellt, der über sein Ethernet-Schnittstelle die Verbindung mit dem LAN ermöglicht. Gleichzeitig schaltet der Anbieter feste Routen zwischen den Standorten in seinem paketvermittelnden Netz (PVCs). Der Kunde kann also den Kommunikationspartner nicht selbst anwählen, aber festlegen lassen. Damit kann man ein Frame Relay-Netz als "privates" Netz betrachten, in das kein Außenstehender eindringen kann.

Eine Besonderheit bei Frame Relay ist die Unterscheidung in die technisch maximal mögliche Übertragungsrate und die garantierte Übertragungsrate (CIR, Committed Information Rate). Der Router beim Kunden markiert dazu alle Pakete, die innerhalb einer bestimmten Zeitspanne (0,1 - 1 Sekunde) die garantierte Rate nicht übersteigen mit hoher Priorität, alle übrigen mit geringer Priorität. Falls nun ein Switch innerhalb des Frame Relay-Netzes aufgrund von Kapazitätsengpässen Pakete verwerfen muss, trifft es zuerst jene mit geringer Priorität. Das Netz ist so ausgelegt, dass es auch unter Spitzenlast normalerweise keine Pakete hoher Priorität verwerfen muss. So kann man z.B. eine Anbindung an Frame Relay mit 2 Mbit/s erhalten, wobei nur 512 kbit/s garantiert sind. Dafür ist aber auch der Preis wesentlich geringer als bei



einer 2 Mbit/s Standleitung und es lassen sich mehrere virtuelle Verbindungen zu verschiedenen Standorten über eben diese 2 Mbit/s Standleitung einrichten.

ATM (Asynchronous Transfer Mode) ATM ist ein Übertragungsprotokoll für Hochgeschwindigkeitsnetze, das auf der Übermittlung kleiner, immer gleich großer Datenpakete, so genannter (ATM-)Zellen basiert. Es wurde 1990 durch das ATM-Forum in Zusammenarbeit mit der ITU-T standardisiert und galt Mitte der 90er Jahre – als Weiterentwicklung des ISDN – als zukünftige Basis der meisten Kernnetze im Weitverkehrsbereich aber auch für den Backbone innerhalb einer hausinternen Vernetzung. Da die Euphorie Mitte der 90er Jahre riesengroß war, insbesondere durch den Quality of Service, den ATM mit einem so genannten Traffic Contract garantieren kann, wurde dieses verbindungsorientierte Übertragungsprotokoll auch versucht in lokalen Netzen zu etablieren, also vom WAN-Bereich bis an den Arbeitsplatz. Diese Technik wurde ATM LAN Emulation genannt, war aber ziemlich komplex und zu teuer. Zur Erinnerung: lokale Netze sind so genannte Broadcast-Netze. Zudem verfügen sie über große Kapazitäten. ATM dagegen ist heute mit 155 Mbit/s, 622 Mbit/s oder 2,4 GBit/s für lokale Netze eigentlich fast schon „zu langsam“.

Leider haben jedoch die horrenden Preise für ATM-Hardware den Durchbruch erschwert, auch wenn die meisten Carrier-Netze (z.B. Deutsche Telekom, Arcor) noch auf dieser Technik beruhen. Zu Beginn des 21. Jahrhunderts versuchte man die ATM-Schicht einzusparen und IP-Pakete gleich in SDH zu übertragen. Diese Technik nennt man Packet over Sonet (PoS). Nun blieb die Weiterentwicklung des Ethernet auch nicht stehen, 1998 kam Gigabit Ethernet auf Glasfaser, 1999 auf Kupfer und Ende 2002 wurde gar 10 Gigabit Ethernet spezifiziert, sogar über SDH. Damit existiert eine preiswerte Alternative für beispielsweise City Carrier, ATM „einzusparen“. Beispielsweise hatte ich 2004 die Firma ISIS Multimedia Net GmbH in Düsseldorf angekündigt, ihr Backbone mit 10 Gigabit Ethernet zu gestalten.

Bei Internet Service Providern (ISP) wird ATM jedoch häufiger eingesetzt, da es dafür sehr leistungsfähige Switches gibt, die einige Terabit pro Sekunde switchen können. Auch die übrige Hardware ist für höchste Leistungsfähigkeit ausgelegt.

Es ist also festzustellen, dass ATM im Bereich lokaler Netze keine Bedeutung mehr spielt, während es bei ISPs und Carriern vermutlich noch für einige Jahre ein wesentlicher Standard (neben anderen) bleiben wird.

ATM Funktionsprinzip

Das Funktionsprinzip von ATM basiert, wie gesagt, auf sehr kleinen Datenpaketen (Zellen, 53 Byte). Diese werden in einem kontinuierlichen



Datenstrom übertragen. Stehen keine Daten zu Übertragung anstehen, werden leere Zellen über das Netz geschickt. Man kann die Zellen als eine Art „Transportbehälter“ betrachten, die entweder beladen oder unbeladen unterwegs sind. ATM kann auf Basis von Kupfer- oder Glasfaserkabel aufgebaut werden, wobei immer nur zwei Endgeräte miteinander verbunden sind (Verbindungsorientierung). Mindestens eines der Endgeräte muss dabei ein ATM-Switch sein, der die Vermittlung der Zellen durchs Netz übernimmt. Ein ATM-Netz sieht also grundsätzlich wie heute ein switched Ethernet aus, komplett mit Punkt-zu-Punkt-Verbindungen realisiert.

Da ATM typischerweise nicht für den Anschluss von Endgeräten verwendet wird, muss es Übergangspunkte zu jenen Netzen geben, die dies bewerkstelligen. Am gängigsten ist die Kopplung eines ATM-Netzes an ein Ethernet. Dafür gibt es spezielle Router oder Routing Switches, die beide Übertragungsprotokolle unterstützen und von Einem ins Andere vermitteln können.

ATM als Backbone eines Inhouse-Netzes sieht demzufolge folgendermaßen aus:

Abbildung 61: ATM als Inhouse-Backbone

ATM ist ein verbindungsorientiertes Netz. Vor der Datenübertragung von Daten muss folglich ein Verbindungsaufbau stattfinden, bei dem ein Weg durch das Netz gesucht und in den Switches gespeichert wird (Switched Virtual Circuit, SVC). Es gibt jedoch auch die Möglichkeit, einen Weg vorzukonfigurieren indem man ihn manuell in den Switches einrichtet (Permanent Virtual Circuit, PVC).

ATM Zellenaufbau

Eine ATM-Zelle ist sehr einfach aufgebaut:



Abbildung 62: Aufbau einer ATM-Zelle

Neben den Nutzdaten von 48 Byte (Payload) enthält die Zelle noch einen Kopf (Header), bestehend aus:

• einer Prüfsumme über die Kopfdaten (HEC, Header Error Correction),

• einer Priorität (Cell Loss Priority): wenn ein Switch Zellen verwerfen muss, nimmt er zuerst solche, bei denen dieses Bit nicht gesetzt ist,

• einer Angabe über die transportierten Daten (Payload Type) und

• einem Virtual Channel (VC). Dieser kann als Kennzahl für den Weg einer Zelle von einem Gerät zum anderen betrachtet werden und setzt sich aus einem Virtual Path Identifier (VPI) und einem Virtual Connection Identifier (VCI) zusammen.

Die Vermittlung der Pakete erfolgt über eine Umsetzungstabelle für den VC in jedem Switch. Diese wird entweder automatisch beim Verbindungsaufbau mit Werten versehen (SVC - Switched Virtual Circuit) oder man trägt feste Werte ein (PVC - Permanent Virtual Circuit). Die Funktionsweise dieser Zellen-/Paketvermittlung erklärt sich am einfachsten anhand eines Beispiels:

Abbildung 63: ATM-Vermittlungsprinzip

Eine ATM-Zelle, die mit VCI 23 an Port A von Switch 1 ankommt, wird auf Port B weitergeschickt und erhält dabei den VCI 31. Sie erreicht dann Switch 2 auf Port A. Der schickt sie auf Port C weiter, wobei er den VCI auf 85 ändert. So kommt die Zelle dann beim Zielrechner an. Allerdings ist das nicht exakt genau, denn ATM bietet auch die Möglichkeit über den VPI „Bündel“ zu adressieren. Eine Virtual Connection ist Teil eines Virtual Paths, so dass eigentlich der VPI in Abbildung 63 noch fehlt.

ATM Verbindungsaufbau

Jedes Endgerät im ATM erhält eine eindeutige Adresse. Diese Adressen sind hierarchisch aufgebaut und sehen wie eine Telefonnummer aus. Sie werden nach dem ITU-T Standard, in dem ihr Aufbau festgelegt ist, E.164-Adressen genannt.



Sofern für die Kommunikation zweier Endgeräte kein PVC definiert wurde, muss zunächst eine Verbindung aufgebaut werden. Dazu "wählt" eines der Endgeräte die E.164-Adresse des anderen Endgerätes. Die Switches suchen nun einen Weg durch das Netz und legen entlang des Weges in jedem ATM-Switch die Tabelleneinträge für VPI/VCI fest, so dass die Zellen ihren späteren Weg durch Netz „finden“ können. Sobald die Verbindung abgebaut wird, werden alle Einträge in den Switches wieder gelöscht.

ATM Netzwerkkopplung mit anderen Netzen

Bei der Verwendung von ATM als Backbone, beispielsweise zur Kopplung der lokalen Netz eines Filial-Unternehmens, stellt sich das Problem, dass fast alle Netze mit deutlich größeren Paketen arbeiten als ATM. Ethernet als Beispiel transportiert bis zu 1.500 Bytes Payload pro Paket (Frame). Es wird also ein Mechanismus benötigt, diese größeren Pakete nochmals zu zerteilen, damit sie in ATM-Zellen „passen“. Dazu dient in jenen Routern, die ATM mit anderen Netzen koppeln, eine Funktionseinheit, die "SAR" (Segmentation and Reassembly) genannt wird. Die Zwischen-schicht, in der die Pakete zerteilt und später wieder zusammengesetzt werden, heißt AAL (ATM Adaptation Layer).

Es gibt verschiedene Varianten, die je nach den zu transportierenden Daten eingesetzt werden. Zum Beispiel

AAL 1: Datenströme mit konstanter Bitrate (CBR) AAL 2: Datenströme mit variabler Bitrate (VBR) AAL 5: Paketierte Daten (ABR)

Im Zusammenhang mit der LAN-Kopplung ist also vor allem AAL 5 interessant. Dabei wird das zu transportierende Datenpaket (z.B. ein IP-Paket) zunächst mit einer weiteren Hülle versehen, CPCDS-PDU (Common Part Convergence Sublayer Payload Data Unit) genannt:

Abbildung 64: CPCDS-Protocol Data Unit (PDU)

Das CRC ist eine Prüfsumme über das gesamte Paket, das Längenfeld gibt die Anzahl von Bytes der zu transportierenden Daten an. Das PAD-Feld (Padding, mit „d“ und nicht „t“) besteht aus Füllbytes, die die Gesamtlänge der CPCDS-PDU auf ein Vielfaches von 48 bringen.

Die CPCDS-PDU wird in 48 Byte lange Teilstücke zerlegt und als ATM-Zellen übertragen. Um die korrekte Reihenfolge braucht man sich bei ATM nicht zu kümmern, sie wird vom Netz gewährleistet.

Der Empfänger setzt nun die ankommenden Nutzdaten wieder zusammen und kann anhand der Längeninformation das ursprüngliche Datenpaket wieder extrahieren.



Das Internet Das Internet ging aus einem Forschungsprojekt der US-Behörde "ARPA" (Advanced Research Project Agency) Ende der 60er Jahre (zu Zeiten des kalten Krieges!) hervor. Es hieß zunächst "ARPANET". Ziel war es ein netz zu entwickeln, das auch im Fehlerfall oder bei Teilausfall in restlichen Zügen noch funktioniert (eben vor dem Hintergrund eines Atomkrieges!). Die Entwicklung wurde in der Folgezeit vor allem an verschiedenen Universitäten fortgesetzt. Diese erstellten und betrieben in der Anfangsphase auch das Kernnetz, sprich die Verbindungen der verschiedenen Universitäten untereinander. In den 80er Jahren nahm die Nutzung stark zu und die Leitungen wurden kräftig ausgebaut. In Deutschland übernahm der DFN-Verein (Deutsches Forschungsnetz) den Aufbau der Infrastruktur. Trotzdem blieb das Internet auf die Universitäten beschränkt - vor allem, weil es die Regel des "Ban of Commerce" gab: Werbung im Internet war verpönt und Verstöße dagegen ahndete die Netzgemeinde, indem sie den Netzzugang des Sünders mit Datenmüll vollaufen ließ.

Die Wende kam mit der Einführung des World Wide Web (WWW-Dienstes) zu Beginn der 90er Jahre und der Erkenntnis, dass dies das Werbemedium der Zukunft sein könnte. Danach hatte das Kommerzverbot nicht mehr lang Bestand und zudem begannen nun große Kommunikationfirmen, über den Ausbau des Internets nachzudenken und Onlinedienste wie AOL oder Compuserve schufen eine Brücke von ihren zuvor proprietären Diensten hin zum Internet. Später ging auch das BTX der Bundespost (Bildschirmtext) unter dem Namen T-Online (zwischenzeitlich auch kurz "Datex-J") diesen Weg.

In der Folgezeit löste sich das Internet zunehmend vom Universitätsbetrieb und wanderte in die Hände von großen Internet Service Provider (ISP). Diese bauten nach und nach ein hierarchisches System auf, dessen Kern von fünf großen ISPs gebildet wird. Sie haben schnelle Verbindungen zu Providern, die auf interkontinentaler Ebene tätig sind. Die Grenzen verlaufen hier allerdings nicht gemäß der Geografie oder nach politischen Grenzen, maßgeblich sind vor allem Sprach- und Wirtschafträume. Dasselbe gilt auch für die nationale und regionale Ebene.

Abbildung 65: Struktur des Internets



Verbindungen existieren grundsätzlich nicht nur in vertikaler Richtung, sondern entstehen überall dort, wo das zu erwartende Datenaufkommen die Investition in eine Verbindung lohnend erscheinen lässt. Das Ergebnis ist ein komplex vermaschtes, technisches Gebilde mit ebenso komplexen Vereinbarungen der verschiedenen Provider untereinander. Leider konzentriert sich das Internet auf Nordamerika und Europa - Japan hat die Entwicklung verschlafen, holt aber rasch auf. Der Rest der Welt ist überwiegend Internet-Notstandsgebiet und wird von den aktuellen Entwicklungen zunehmend abgehängt.

Das Internet ist also kein einzelnen Netz, sondern ein Zusammenschluss vieler tausender Netze. Auf der einen Seite kann das Internet damit leicht wachsen und dezentral verwaltet werden, auf der anderen Seite sind seine Übertragungseigenschaften (QoS) damit sehr variabel, je nach dem über welchen Provider (oder wie viele) man letztlich läuft. Dies ist mit ein Grund warum Voice over IP etwa acht Jahr (bis heute) zum Durchbruch brauchte. Die Qualitäten der Endgeräte und auch der Netze der einzelnen ISP brauchte eben diese Zeit, um zufrieden stellend in der Qualität zu werden.

Grundlage für das Internet bildeten die Protokolle der TCP/IP Familie, die zu Beginn der 70er ausgeschrieben wurden und Ende der 70er Jahre fertig waren. Durch den rasanten Anstieg der Teilnehmer am Internet beginnend ab den frühen 90er Jahre, hatte auch TCP/IP einen Durchbruch geschafft und ist heute, neben SPC/IPX (Novell), AppleTalk, DECnet usw. zum de-facto Standard in lokalen und Weitverkehrsnetzen geworden.

Sonstiges Einige Beispiele für die Vernetzung über große Distanzen wurden bereits angesprochen: Man kann LANs über ISDN (Wähl- oder Standleitungen) koppeln oder per Frame Relay oder ATM. Diese Möglichkeiten stehen jedermann zur Verfügung. Eine weitere Möglichkeit ist die Nutzung des Internets als Infrastruktur für eine verschlüsselte Verbindung, ein so genanntes virtuelles privates Netz (VPN). Dieses wird später noch genauer beschrieben.

Neuerdings sehr populär ist DSL (Digital Subscriber Line, Mitte 2004 etwa 4 Mio. Anschlüsse bei der Deutschen Telekom). Es existiert als Hochgeschwindigkeitsverbindung über Kupferleitungen aber schon seit einiger Zeit und basiert letztlich auch auf ATM. Für Endkundenanschlüsse ans Internet wird eine asymmetrische Variante (ADSL) meist verwendet, die eine deutlich höhere Empfangs- als Senderate hat (z.B. 768 / 128 kbit/s). Mittlerweile gibt es für Firmen auch symmetrische Varianten (SDSL) bis 2 Mbit/s. Unter dem Namen HDSL ist diese Variante auch bei Providern für Leitungen mit eher geringem Aufkommen verbreitet.

Der überwiegende Anteil des Datenverkehrs wird heute aber über Glasfaserkabel abgewickelt. Es werden Monomode-Glasfasern



verwendet, über die als Protokoll SONET bzw. SDH (Synchronous Optical Network / Synchronous Digital Hierarchy) läuft. Hierbei sind verschiedene Übertragungsraten spezifiziert:

OC-1 51,84 MBit/s

OC-3 STM-1 155,52 MBit/s

OC-12 STM-4 622,08 MBit/s

STM-16 2,50 GBit/s

STM-64 10,00 GBit/s

Wenn man bedenkt, wie viele Internet Service Provider es in Deutschland gibt, die alle mit etlichen hundert bis tausend Kilometern Glasfasernetz werben, müsste man eigentlich überall Baggern beim Vergraben von Glasfasern zusehen können. Das ist jedoch nicht der Fall - ganz einfach, weil kein Provider (mit Ausnahme der Telekom vielleicht) seine Kabel selbst verlegt.

Glasfasern sind - gemessen an den Kosten für ihre Verlegung - vergleichsweise billig. Deswegen werden sie schon seit einigen Jahren auf Verdacht verlegt, wo immer sich dies bei ohnehin fälligen Baumaßnahmen anbietet:

Die Bundesbahn hat ein ausgedehntes Glasfasernetz entlang zahlreicher Bahnlinien, Bund und Länder verlegen sie entlang von neuen Autobahnstrecken und die Energieversorgungsunternehmen verlegen mit jedem Elektro-Erdkabel auch ein paar Glasfasern.

Internet-Providern werden diese Strecken dann zum Kauf oder zur Miete angeboten. Diese können so ihre Infrastruktur weitgehend ohne eigene Bautätigkeit errichten und erweitern.



Sprachnetze Telegrafie / Außenkabel

Anfang des 19. Jahrhunderts gab es erste Experimente mit der Übermittlung32 von Informationen über elektrische Leitungen. Einen Durchbruch schaffte jedoch erst der von Samuel Morse erfundene Telegraphen-Apparat, bei dem durch die Betätigung eines Tasters (beim Sender) auf der Seite des Empfängers ein Elektromagnet eingeschaltet wurde, welcher wiederum eine Schreibnadel auf einen sich fortbewegenden Papierstreifen drückte. So entstand eine Folge von Punkten und Strichen, abhängig von der Dauer, mit der man den Taster betätigte. Samuel Morse erfand dazu noch das nach ihm benannte Morse-Alphabet (Abbildung 66) und so stand der Verbreitung seiner Erfindung fast nichts mehr im Wege.

Abbildung 66: Morse-Alphabet

Als größtes Hindernis erwies sich die Verlegung der Kabel. Eine unterirdische Verlegung war nicht möglich, da man zu dieser Zeit noch keine brauchbare Isolierung für Außenkabel gefunden hatte. So spannte man die Kabel über der Erde zwischen Holzmasten auf. Dort wurden sie anfangs einfach „festgenagelt“, was bei Feuchtigkeit „zuverlässig“ zum Zusammenbrechen der Verbindung führte. Später führte man dann Porzellan-Isolatoren ein. Das nächste Problem war das Kabelmaterial selbst: Eisen rostet zu schnell und Kupfer war zu weich. In Deutschland wurden deswegen ab 1873 die Eisenkabel verzinkt, in Amerika mit Kupfer beschichtet.

Eine der größten Leistungen in der Geschichte der Telegraphie war die indo-europäische Telegraphenlinie von London nach Kalkutta, erbaut von den Gebrüder Siemens mit einer Länge von 4.700km und 70.000 Masten!

Ab 1842 erkannte man die Möglichkeiten der Isolation von Kabel durch Guttapercha, ein aus Singapur eingeführtes Baumharz. Ab 1847 konnten

32 „Übermittlung“ ist ein Kunstwort und beschreibt die „Übertragung“ und „Vermittlung“.



damit isolierte Kabel industriell hergestellt werden. Bereits 1849 war in Deutschland das erste Erdkabel (Außenkabel) fertig, von Berlin nach Frankfurt. Die Isolation wurde jedoch noch regelmäßig Opfer von Nagetieren, weshalb Siemens ab 1879 bleiummantelte Erdkabel einführte33. Bereits 1881 gab es ein Reichstelegraphen-Untergrundnetz mit 5.460km Länge.

Mit den nun neu isolierten Kabel begannen auch erste Experimente als Seekabel. Das erste Seekabel führte 1850 über den Ärmelkanal und hielt genau für ein Telegramm, bevor es brach. Dies sollte das Schicksal der meisten folgenden Seekabel-Projekte sein, die meisten brachen schon bei der Verlegung und konnten meist auch nicht mehr geborgen werden. Ab 1866 gab es dann endlich drei haltbare See-Verbindungen von Irland nach Neufundland (Kanada). Informationen benötigten nun nicht mehr Tage über den Atlantik, sondern nur noch Minuten!34

Warum erzählen wir das an dieser Stelle? Nun, historisch betrachtet war die Telegrafie zwar keine Sprachkommunikation, aber das erste große Netz weltweit, später dann das analoge Sprachnetz (auch POTS genannt) gefolgt vom digitalen Sprachnetz (PSTN, ISDN). Seit Beginn der 90er Jahre würde dann das Internet für die breite Masse populär, so dass es heute das größte Datennetz weltweit darstellt.

Telefonie Das erste Telefon wurde 1861 von dem deutschen Physiker Philip Reis gebaut und vorgeführt, allerdings funktionierte es noch nicht zufrieden stellend. Ein praktisch nutzbares Telefon erfand dann 1876 Alexander Graham Bell, der es auch patentierte, zwei Stunden vor Elisha Gray, der die gleiche Idee gehabt hatte. Zunächst war das Telefon nur zur Verbindung zweier fester Endgeräte gedacht. Mindestens eines davon benötigte eine Stromversorgung, die aufgrund ihrer Unterbringung im Endgerät "Ortsbatterie" (OB) genannt wurde. Man kann solche Telefone als „Kinderspielzeug“ auch heute noch kaufen:

Abbildung 67: Elektrisches Schaltbild eines Telefons / erste Telefonie-Anwendung

33 Als Nagetier-Schutz fügt man heute direkt unter den Kabelmantel ein feines Nylon-Geflecht. Die Theorie dahinter: das Geflecht ist so fein, dass es sich um die Nagezähne wickelt und die Tiere damit nicht mehr beißen können.

34 Ein führendes Unternehmen für die Verlegung von Seekabeln ist die Firma „Cable & Wireless“ aus England. Sie verfügt über geeignete Schiffe und Techniken.



Mit dem Aufbau des ersten öffentlichen Fernsprechnetzes (analog, heute POTS35 genannt) wurde bereits 1877 in Washington begonnen, in Deutschland stand die erste Vermittlungsstelle 1881 in Berlin. Die Stromversorgung wurde nun in die Vermittlungsstelle verlegt (Zentralbatterie, ZB), die Verbindungen wurden manuell über Steckfelder hergestellt. Beide Gesprächsteilnehmer waren also physikalisch verbunden, die „Vermittlung“ übernahmen Frauen! Die Anruf-Signalisierung erfolgte über eine Glocke. Dazu musste der Anrufer eine Kurbel drehen, wodurch eine Wechselspannung induziert und zum Empfänger übertragen wurde.

Abbildung 68: Handvermittlung der frühen Zeit

Mit dem nächsten Schritt wurde im Jahre 1892 begonnen. Durch die rasch anwachsende Zahl von Telefon-Anschlüssen wurden immer mehr "Fernsprechgehilfinnen" benötigt. Man versuchte also die Vermittlungstätigkeit zu automatisieren. Die erste automatische Vermittlungsstelle (VSt) in Deutschland wurde 1908 in Schwabing installiert. Nach und nach wurden so alle manuellen Vermittlungsstellen abgelöst36. Ab 1923 konnten die Teilnehmer selbst wählen, die letzten Ortsnetze wurden aber erst 1972 auf diesen Dienst umgestellt. Ab diesem Zeitpunkt dreht sich quasi ein elektro-mechanischer Wähler pro gewählter Ziffer auf der Wählscheibe des Telefon-Apparats.

Die Vermittlungstechnik basierte in der Anfangszeit noch auf Elektromechanik, hauptsächlich so genannten Heb-Dreh-Wählern (HDW). Diese werden bei der Anwahl von den Impulsen der Wählscheibe (62ms / 38ms) gesteuert, die Verbindung dadurch noch während des Wählvorgangs sukzessive durchgeschaltet (Leitungsvermittlung physikalischer Wege).

Ab 1989 setzt die Deutsche Bundespost (heute: Deutsche Telekom AG) bei Neu-Installationen nur noch digitale Vermittlungsstellen (EWSD von Siemens zu 66%, S12 von Alcatel zu 33%) ein und rüstete nach und nach ihr analoges Telefonnetz bundesweit um, was bis etwa 1995 dauerte. Zuvor war es allerdings notwendig die Verbindungen zwischen den Vermittlungsstellen zu digitalisieren, was mit der PCM-Technik

35 POTS steht für „Plain Old Telephone System“

36 Die automatische Vermittlung wurde auch SWFD (Selbstwähl-Ferndienst) genannt und erfolgte mit elektro-mechanischen Wählern.



erfolgte. Im digitalen Telefonnetz werden die Wählsignale der angeschlossenen Telefone (Impuls oder Ton) von einem Rechner entgegengenommen. Dieser sucht dann einen Weg durchs Netz bis zum angerufenen Teilnehmer und übernimmt die Signalisierung im Netz (zentrales Zeichengabesystem Nr. 7, kurz: SS7). Die Sprache wird direkt in der Ortsvermittlungsstelle (OVSt) in den Teilnehmer-Modulen digitalisiert und in Form von isochronen Datenströmen zur OVSt des Ziel-Teilnehmers transportiert. Dort erst werden wieder Analogsignale zum Teilnehmer erzeugt, die zum Telefon übertragen werden. Bei dieser Technik ist es ein Leichtes, die A/D- und D/A-Wandlung von der Vermittlungsstelle zum Endgerät zu verlagern und auch zum Anschluss des Kunden digitale Signale zu liefern. So funktioniert dem Grundprinzip nach ein digitaler Telefonanschluss (So, S2m im ISDN).

ISDN (Integrated Services Digital Network) Die Vorbereitungen für ISDN begannen in Deutschland um 1985, nachdem der Standard fertig gestellt wurde. Die ersten regulären Anschlüsse gab es ab 1988 in einigen Großstädten. Damit war Deutschland international in einer Spitzenposition. Allerdings setzte sich der von der damaligen Deutschen Bundespost favorisierte Signalisierungsstandard "1TR6"37 europaweit nicht durch. International entwickelte man ein einheitliches Signalisierungsprotokoll, was "E-DSS1" oder Euro-ISDN genannt wird. Die wenigen, heute verbliebenen 1TR6-Anschlüsse werden derzeit noch weiterbetrieben, ein Abschalttermin wurde bereits mehrfach angekündigt und immer wieder verschoben, letzter Kenntnisstand der Autoren ist 2005. Man kann aber schon lange keine 1TR6-Anschlüsse mehr bekommen.

ISDN ermöglicht den direkten Anschluss von digital arbeitenden Geräten. Da so wesentlich vielfältigere Dienste über einen Anschluss realisiert werden können, spricht man vom "Dienst-integrierenden Netz". Es löste damit zahlreiche Vorgängernetze ab, die reine Datendienste bereitstellten. Heute wird ISDN neben der Telefonie hauptsächlich für die Einwahl ins Internet der Privathaushalte, zur Verbindung von EDV-Geräten untereinander oder für den Backup von Datenleitungen zu kleinen Filialen verwendet. Einige der für ISDN vorgesehenen Anwendungen, z.B. ISDN-Faxe und Bildtelefonie existieren zwar, fanden aber zumindest bisher keine große Verbreitung. Mit dem Nachfolger, dem B-ISDN (B = Breitband), sprich ATM, ist das ISDN heute zum (fast) reinen Telefonnetz „verkümmert“.

Der normale ISDN-Anschluss (So genannt) stellt zwei Datenkanäle (B-Kanäle) mit je 64 kbit/s38 bereit. Hinzu kommt noch ein Signalisierungskanal (D-Kanal genannt) mit 16 kbit/s, der beispielsweise

37 Die D-Kanal-Signalisierung ist im ISDN eine reine Teilnehmer-Signalisierung, d.h. vom Telefon bis zur Ortsvermittlungsstelle.

38 Reine Bitübertragung auf der OSI-Ebene 1.



die Wählinformation des angerufenen Teilnehmers oder Leistungsmerkmale (z.B. Rückruf bei besetzt) übermittelt. Gegenüber einem analogen Telefonanschluss bietet ISDN einige Komfortmerkmale:

• Anzeige der Rufnummer des Anrufers (CLIP / CLIR),

• Übermittlung von Gebühreninformationen,

• Anrufweiterschaltung weltweit ("verbinden"),

• Dreierkonferenz,

• Anklopfen u.a.

Beim früheren, nationalen ISDN (mit 1TR6 Signalisierung) erhielt jeder Teilnehmer eine Rufnummer, die dann für die angeschlossenen Geräte um eine Stelle ergänzt wurde, die so genannte EAZ (Endgeräte-Auswahlziffer). Dies wurde im Euro-ISDN dadurch ersetzt, dass jeder Teilnehmer zunächst drei verschiedene Rufnummern (MSN, Multiple Subscriber Number) mit seinem Anschluss erhält, die jedoch nicht zwingend aufeinander folgend sein müssen. Weitere Nummern können zusätzlich bestellt werden.

Die Übergabe-Schnittstelle (hier So, Basisanschluss) wird durch einen Netzabschlusses (NT, Network Terminator) bereitgestellt. Dabei handelt es sich um eine kleine „Box“ mit Schraubklemmen, zwei RJ-45-Anschlüssen und einem Netzkabel. Bei Neu-Anschlüssen wird direkt ein NT von der Deutschen Telekom geliefert, bei der Umstellung eines bestehenden Telefonanschlusses erhält man den NT mit der Versandpost und kann ihn selbst an der bestehenden Telefondose einstecken. Das Netzkabel am NT muss nur eingesteckt werden, wenn Geräte ohne eigene Stromversorgung angeschlossen werden sollen (z.B. Telefon ohne eigenes Netzteil oder kleine TK-Anlagen). Bei Anschluss z.B. eines PCs mit ISDN-Karte (Fritz!) oder eines ISDN-Routers kann darauf verzichtet werden.

Abgesehen vom normalen ISDN-Anschluss (Basisanschluss) gibt es noch einige Sonderformen:

• ISDN-Standleitung (SoFV, S2mFV):Hier werden zwei Teilnehmer fest miteinander verbunden, wahlweise mit 64 oder 128 kbit/s. Die Verbindung wird im Netz fest eingerichtet, es ist also nicht möglich, einen anderen Teilnehmer anzuwählen. Diese Variante wird normalerweise für Weitverkehrsverbindungen geringer Kapazität eingesetzt. Sind zwei Endgeräte in mehr als 20-30% der Zeit miteinander verbunden, ist eine Standleitung normalerweise günstiger als eine Wählverbindung. Zudem fallen bei einer Standleitung naturgemäß die Verzögerungen beim Verbindungsaufbau weg (bis zu 1,5 Sekunden).



• TK-Anlagenanschlüsse:Diese Anschlüsse gibt es in der Form So (ohne MSN, dafür mit Durchwahlfähigkeit und Rufnummernblock) oder S2m. Bei letzterer Variante stellt die Deutsche Telekom (oder andere Anbieter) über eine 2 Mbit/s-Leitung 30 B-Kanäle á 64 kbit/s und einen D-Kanal mit ebenfalls 64 kbit/s dem Teilnehmer zur Verfügung. Man nennt den S2m-Anschluss auch Primärmultiplexanschluss.

I S D N - V E R K A B E L U N G

Beim ISDN Basisanschluss (So) handelt es sich eigentlich um ein Bus-System, den so genannten So-Bus. Durch die wesentlich geringeren Datenraten (64 kbit/s bzw. 128 kbit/s) ist er weitaus „gutmütiger“ als beispielsweise Ethernet (10 Base T). Am NT befinden sich zwei RJ-45-Anschluss, an die jeweils ein Gerät direkt angeschlossen werden kann. Es gibt aber auch Y-Adapter, bei denen man an einem RJ-45-Anschluss auch zwei Geräte gleichzeitig versorgen kann. Das entspricht zwar nicht der Spezifikation, funktioniert normalerweise aber problemlos.

Der NT kann aber noch wesentlich mehr: Er hat vier Schraubklemmen, über die der eigentliche Bus mit bis zu 12 ISDN-Dosen angeschlossen werden kann, von denen aber nur maximal acht genutzt werden dürfen und deren letzte Dosen mit einem Abschlusswiderstand terminiert sein muss.

Die Bezeichnungen der Anschlussklemmen am NT und die Kodierung der dort gemäß Standard anzuschließenden Kabel zeigt die folgende Tabelle:

Klemmen Farbcodierung Ringcodierung

1a rot ohne Ringe

1b schwarz Einzelringe

2a weiß Doppelringe, weit auseinander

2b gelb Doppelringe, eng beieinander

Abbildung 69: Farb-Kodierung des RJ-45 Steckers am NT

Die gleichen Klemmenbezeichnungen finden Sich auch an den ISDN-Dosen der Deutschen Telekom (IAE-8-Dosen). Für die Verwendung normaler RJ-45-Dosen gilt folgende Zuordnung:

IAE-8 RJ-45



1a 4

1b 5

2a 3

2b 6

Abbildung 70: IAE / RJ 45-PIN-Zuordnung

An der letzten Dose des Busses müssen die Klemmen a1 und b1 sowie a2 und b2 jeweils mit einem 100 Ohm-Widerstand verbunden werden, Bei einer RJ-45-Dose also die Klemmen 4 und 5 sowie 3 und 6.

Abbildung 71: ISDN Bus-Verkabelung

Telefonanlagen (PABX) Telefonanlagen (TK-Anlagen) sind heute typischerweise an das ISDN angeschlossen. Für den SOHO-Bereich (Small Office, Home Office) genügt hier ein normaler ISDN-Basisanschluss in der Ausführung Mehrgeräteanschluss oder TK-Anlagenanschluss39. Benötigt ein Unternehmen mehr als 8 Kanäle (vier Basisanschlüsse) aufgrund ihres Gesprächsaufkommen, so bestellt es besser einen Primärmultiplexanschluss, da der „Break-Even“ hier erreicht wurde.

39 Heutige (kleine) TK-Anlagen (z.B. EUMEX 704 PC LAN) können beide Varianten des Basisanschlusses verwalten.



Große Unterschiede ergeben sich bei den an eine Telefonanlage angeschlossenen Endgeräten. Bei Privathaushalten sind dies meist analoge Telefone an TAE-Dosen, die die Komfortfunktionen von ISDN nur unvollständig nutzen können. Für die Rufnummernanzeige gibt es allerdings mittlerweile einen Standard für Analogtelefone, den auch einige Telefonanlagen beherrschen. Die Gebühreninformationen speichert die Telefonanlage und macht sie dann über eine PC-Schnittstelle dem Nutzer verfügbar.

Dasselbe gilt auch für manch größere TK-Anlagen, wobei der Trend zunehmend in Richtung ISDN-Telefonen als Endgeräte weist. Einige ältere TK-Anlagen nutzen intern jedoch eine Variante von 1TR6, obwohl sie extern am Euro-ISDN (zur OVSt) angeschlossen sind. Auch der umgekehrte Fall ist möglich. Oftmals ist das „interne ISDN“ der TK-Anlage zudem leicht modifiziert, wodurch die gesamte Funktionspalette nur mit Endgeräten vom gleichen Hersteller genutzt werden kann. Z.B. Upo-Schnittstelle an HICOM-Systemen der Firma Siemens.

Knifflig wird es oftmals, wenn an den internen So-Bus einer TK-Anlage eine ISDN-Karte oder ein ISDN-Router angeschlossen werden soll. Oftmals ist standardmäßig nur Sprachkommunikation als Dienst freigeschaltet oder auf dem Endgerät muss eine bestimmte Rufnummer als MSN eingetragen sein, die nicht notwendigerweise mit der Nebenstellennummer übereinstimmen muss (meist die "0"). Diese Einschränkungen lassen sich durch Konfigurationsänderungen der TK-Anlage aufheben, wobei die betreuenden Firmen in den letzten Jahren hinzugelernt haben und solche Anforderungen meist problemlos umsetzen können. Man kann jedoch auch heute nicht davon ausgehen, dass ISDN-Anschlüsse in Hotels, in Konferenzzentren oder Messen ohne weiteres für eine Datenkommunikation nutzbar sind.

PPP-Protokoll Ein Modem oder eine ISDN-Karte ermöglicht eine transparente Verbindung mit einer Gegenstelle. Damit bilden sie nur die Schicht 1 des OSI-Referenzmodells ab, dienen also nur der bitweisen Übertragung von Daten. Um eine Fehlersicherung bei der Übertragung bereit zu stellen, fehlt also noch die Funktionalität der OSI-Schicht 2. Dafür wurde das PPP (Point to Point Protocol) entwickelt. Es umfasst zahlreiche Funktionen, wie:

• Pakete:Von der Vermittlungsschicht erhält das PPP Datenpakete, physisch wird jedoch ein kontinuierlicher Datenstrom übertragen.

• Verschiedene Transportprotokolle:Über eine PPP-Verbindung können verschiedene Transportprotokolle gleichzeitig genutzt werden, z.B. TCP/IP und NetBEUI



• Fehlererkennung:Übertragungsfehler werden über eine Prüfsumme erkannt

• Verbindungsprüfung:PPP muss einen Verbindungsabbruch erkennen und ihn an die übergeordnete Schicht melden.

Die eigentliche Datenübertragung bei PPP ist sehr einfach: die Datenpakete der höheren Schicht werden in ein PPP-Paket eingebettet, welches im Wesentlichen eine Protokoll-Kennung und eine Prüfsumme enthält. Die Hauptarbeit leistet PPP beim Aufbau einer Verbindung. Dazu gibt es das LCP (Link Control Protocol), das eine spezielle Variante des PPP-Pakets nutzt.

Zu Beginn einer Sitzung wird die physikalische Verbindung aufgebaut. Hier sendet eine der Endstellen einen LCP Configure-Request, der die gewünschten Verbindungsdaten enthält. Dazu gehören die maximale Paketgröße, das gewünschte Authentifizierungsprotokoll und Angaben über das genaue Format der PPP-Pakete. Der Configure-Request wird von der Gegenseite mit einem Configure-Acknowledge beantwortet, wenn dem Wunsch entsprochen werden kann, einem Configure-Nak (Verbindungswunsch verstanden, kann aber nicht erfüllt werden) oder einem Configure-Reject (Verbindungswunsch nicht verstanden). Die beiden letzteren Antworten führen zum Verbindungsabbruch.

Falls eine Authentifizierung vereinbart wurde, wird diese im Anschluss durchgeführt. Dafür sind die Protokolle "CHAP" und "PAP" üblich. Letztlich können die übergeordneten Schichten noch genaue Verbindungsdaten aushandeln, bei IP dient dazu das IPCP-Protokoll. Nun steht die PPP-Verbindung zum Datenaustausch zur Verfügung, bis sie von einer Seite über ein LCP Terminate-Request-Paket beendet wird, welches mit Terminate-Ack bestätigt wird.

Mobilfunk-Netze Historie

Im Bereich mobiler Sprachkommunikation war Deutschland von Anfang an in einer internationalen Spitzenposition. Bereits 1958 wurde das handvermittelte A1-Netz in Betrieb genommen, das bis 1970 bereits 80% der Fläche und 95% der Bevölkerung der Bundesrepublik Deutschland abdeckte. Die Netze A2 und A3 wurden zum weiteren Ausbau der Kapazität eingeführt, trotzdem war die Kapazitätsgrenze bei 11.000 Teilnehmern erreicht. Zudem waren für die Handvermittlung zuletzt 600 Personen nötig, für jeweils 18 Teilnehmer musste quasi einen Mitarbeiter tätig werden, was die Preise auf hohem Niveau hielt.

Ab 1972 ermöglichte das B-Netz die Selbstwahl. Bereits 1979 erreichte es die Kapazitätsgrenze von 13.000 Teilnehmern und wurde um das B2-



Netz ergänzt, welches aber 1986 mit 27.000 Teilnehmern ebenfalls technisch ausgeschöpft war.

1986 kam schließlich das C-Netz (immer noch analoges Netz) auf den Markt, das gewaltige Verbesserungen gegenüber seinen Vorgängern besaß:

• die Gespräche wurden codiert übertragen,

• die Kapazitätsgrenze lag bei 400.000 Teilnehmern,

• es waren tragbare Endgeräte möglich (ab 700 g),

• der Benutzer hatte eine SIM-Karte zur Verhinderung unberechtigter Benutzung

• der Anrufer musste den Aufenthaltsort seines Gesprächspartners nicht mehr kennen.

Das C-Netz ist etwa 2001 abgeschaltet worden

Bereits 1982 setzte die CEPT (Vereinigung der europäischen Post- und Telekommunikationsdienstleister) eine Arbeitsgruppe ein, die einen einheitlichen Standard für die Mobilkommunikation in Westeuropa entwickeln sollte. Die Gruppe wurde "Groupe Speciale Mobile", kurz GSM genannt. Dies sollte dann auch als Bezeichnung des aus der Arbeit der Gruppe hervorgegangenen Standards erhalten bleiben, wurde aber als "Global System for Mobilcommunications" umgedeutet. Etwa um 1987 fiel die Entscheidung, GSM als digitales System aufzubauen, 1990 wurden erste Testnetze aufgebaut. Am 1.7.1992 gingen dann in Deutschland die Netze D1 (Deutsche Telekom) und D2 (damals Mannesmann, heute Vodafone) an den Start. Erstmals gab es damit zwei konkurrierende Unternehmen auf dem deutschen Markt.

Später wurde mit DCS-1800 eine Erweiterung für GSM in einem anderen Frequenzbereich spezifiziert. Ziel war es auch, die Endgeräte dabei kleiner, handlicher und auch preisweiter zu gestalten. Unter dieser Prämisse nutzte zunächst nur E-plus ab 1994, 1998 dann noch VIAG Interkom mit dem E2-Netz ("O2") diese Technik. Da der Platz im 900 MHz-Band (bisheriges GSM) mittlerweile knapp wird, haben sich auch D1 und D2 im Oktober 2000 noch zusätzliche Frequenzen im 1.800 MHz-Band gesichert. Heute sind die meisten Endgeräte so genannte Dualband-Handys (oder gar Triband für zusätzlich die USA) und können in beiden Standards arbeiten.

Die Zahl der Nutzer von Mobiltelefonen wächst stetig an und mit den sinkenden Preisen und der Einführung von Prepaid-Angeboten hat sich auch das Nutzerprofil vom Geschäftsreisenden hin zur breiten Masse der Bevölkerung entwickelt, mit einem besonderen Schwerpunkt bei



Jugendlichen. Derzeit gibt es etwa genauso viele eingetragene Mobiltelefone wie Festnetztelefone! Tendenz steigend (PDA usw.)

GSM ist ein offener Standard, was sich nicht nur in einer großen Zahl von Anbietern und Endgeräten (in Deutschland vorwiegend von Nokia und Siemens) niederschlägt, sondern auch auf Seiten der Vermittlungstechnik zu einer gewissen Auswahl führt. Die Vermittlungstechnik ist dieselbe wie im Festnetz und wird von Siemens mit dem System EWSD dominiert (aber teilweise auch von Alcatel mit dem System S12 realisiert).

GSM zählt mit seiner digitalen Datenübertragung als Mobilfunkstandard der zweiten Generation (2G). Neben der Sprachkommunikation ermöglicht er auch die Übertragung digitaler Daten, allerdings nur mit maximal 9.600 Bit/s. Erweiterung werden derzeit mit GPRS, HSCSD und Edge verschiedene Wege zur Kanalbündelung eingeführt, die die Übertragungsbandbreite erhöhen und eine volumenabhängige Abrechnung einführen. Hier wird dann von der "zweieinhalbten" Generation (2,5G) gesprochen. Datenübertragung mittels GPRS erlaubt zwar kürzere Übertragungszeiten, jedoch sind die derzeitigen Tarife noch recht kostspielig.

Die dritte Generation, auch als "3G" abgekürzt, ist gegenwärtig mit dem neuen UMTS-Standard erreicht. Dafür befinden sich die Endgeräte aber grundsätzlich noch in Entwicklung, erste UMTS-"Handys" waren noch Kühlschrank groß! Die Frequenzen wurden in den meisten Ländern in den Jahren 2000 und 2001 vergeben, meist in einer Art "Schönheitswettbewerb" unter den für den Netzaufbau interessierten Firmen. In England und Deutschland gab es hingegen eine Versteigerung. In Deutschland mussten die sechs Gewinner der Auktion jeweils über 8 Milliarden Euro allein für die Lizenzen aufbringen, zusammen also über 50 Milliarden Euro! Zusammen mit den Kosten für die Infrastruktur sind damit Vorleistungen zu erbringen gewesen, die eine zügige Amortisation der Aufwendungen sehr unwahrscheinlich machen. Zudem fehlt es noch an einleuchtenden Anwendungen für die höheren Übertragungsraten - der Misserfolg von WAP und das mäßige Interesse an 2,5G-Handys lassen die Telekomfirmen mittlerweile das Schlimmste befürchten. Der Dienst wird also nicht so kostengünstig erwartet.

GSM-Einführung GSM-Netze sind hierarchisch aufgebaut. Das zentrale Netz (Backbone) bilden miteinander vernetzte Vermittlungsstellen, SSS40 genannt. Einige davon sind „Übergabepunkte“, sprich sie stellen Verbindungen ins Festnetz, zu anderen GSM-Netzen und ins Internet dar.

40 Switching Subsystem



Ein SSS enthält eine verteilte Datenbank der Mobilfunkteilnehmer und übernimmt die Authentifizierung der Teilnehmer (HLR41). Die wichtigste Komponente ist jedoch die eigentliche Vermittlungssteuerung, die als "Mobile Switching Center" (MSC) bezeichnet wird.

An einer SSS sind jeweils mehrere Basisstation-Controller (Base Stations Controller, BSC) angeschlossen. Diese wiederum steuern mehrere Basisstationen (Base Transceiver Station, BTS), die die eigentliche Funkübertragung zu den Mobilgeräten übernehmen. Die Struktur eines GSM-Netzes sieht also folgendermaßen aus:

Abbildung 72: Grundsätzliche Struktur eines GSM-Netzes

GSM-Komponenten Die Vermittlungsstelle:

Jede Vermittlungsstelle (SSS) ist für die Benutzerdaten eines Teils der Mobilteilnehmer zuständig. Die Auswahl erfolgt über die beiden ersten Stellen der Mobilfunk-Rufnummer. Die Daten sind in einer Datenbank abgelegt, die als "Heimdatei" (Home Location Register, HLR) bezeichnet wird. Zudem wird dort auch eine Besucherdatei (Visitor Location Register, VLR) vorgehalten, in der alle Mobilstationen verzeichnet sind, die momentan an einer der angeschlossenen Basisstationen angemeldet sind. Sobald ein Mobilgerät am Netz angemeldet ist, enthält sein Eintrag in der HLR einen Verweis auf jenen in der VLR und damit auf seinen Aufenthaltsort im Netz42.

41 Home Location Register

42 Durch diesen Sachverhalt ist es grundsätzlich in Mobilfunknetzen möglich, bis auf wenige Kilometer (die Funkzellen sind heute sehr klein!) den Aufenthaltsort eines Teilnehmers zu bestimmen.



Eine dritte Datenbank (Equipment Identity Register, EIR) enthält Informationen über gesperrte Mobilgeräte, die z.B. als gestohlen gemeldet wurden oder veraltet sind. Die EIR wird in jeder SSS komplett vorgehalten.

Abbildung 73: GSM (HLR, VLR)

Die Basisstation-Controller:

Die Basisstationssteuerungen (BSC) verwalten die eigentlichen Basisstationen (Mobilfunk-Antennen). Dabei können mehrere Basisstationen zu einer Location Area (LA) zusammengefasst und dann als eine logische Funkzelle verwaltet werden. In welcher LA sich ein Mobilgerät befindet, wird in der Besucherdatei der Vermittlungsstelle eingetragen. Die BSC erhält von jeder Basisstation Rückmeldungen über die Empfangsfeldstärke der aktiven Mobilgeräte und (per Laufzeitmessungen) über deren Entfernung. Die gleichen Messungen führt auch jede Mobilstation durch und zwar mit allen Basisstationen, die sie empfangen kann. Diese Informationen gibt sie an ihre Basisstation durch, welche sie an die BSC weiter reicht. Dort werden die Messwerte bewertet und bei Erreichen bestimmter Schwellwerte ein so genannter Handover eingeleitet, d.h. das Mobilgerät wechselt zu einer anderen Basisstation. Zudem wird aus den Messungen bestimmt, welche Sendeleistung Mobil- und Basisstation für eine einwandfreie Funkverbindung minimal benötigen. Das spart Energie, was insbesondere bei der begrenzten Akku-Kapazität der Mobilgeräte wichtig ist.

Die Basisstation:

Die Basisstationen arbeiten mit fest zugewiesenen Frequenzen, die sich von denen der Nachbarstationen unterscheiden. Dadurch wird das gesamte Netz in Zellen aufgeteilt, in denen jeweils bestimmte Frequenzen aktiv sind und die von anderen Zellen umgeben sind, die ebenfalls eigene, aber andere Frequenzen, haben. Die Kunst bei der Netzplanung besteht darin, dass sich die Empfangsbereiche gleicher Frequenzen nie überlappen und gleichzeitig eine Frequenz (von denen es ja nur eine begrenzte Anzahl gibt) möglichst schnell wieder verwendet werden kann. Die Basisstationen selbst sind mittlerweile sehr kompakt und kommen mit normalen Umgebungsbedingungen zurecht. Sie können damit z.B. auf dem Dachboden von Wohnhäusern platziert



werden. Selbst Ampelanlagen werden heute teilweise mit Basisstationen ausgestattet!

Eine Funkzelle kann je nach Topographie und Bebauung eine Ausdehnung zwischen 500 m und 35 km haben. Bei der Planung eines Netzes werden daher umfangreiche Messungen durchgeführt, damit mit möglichst wenigen Basisstationen eine möglichst gute Netzabdeckung erreicht wird. Da das Netz wegen der anfänglichen Kosten vorwiegend für Geschäftskunden gedacht war, wurde der Netzausbau an den Autobahnen begonnen. Heute gilt die Bundesrepublik als vollständig erfasst, auch wenn es von Anbieter zu Anbieter kleine Unterschiede gibt.

GSM-Funktionsweise Anmeldung am Netz und Sicherheit:

Ein Kunde im GSM-Netz enthält eine Codekarte, die SIM (Subscriber Identity Module). Diese enthält vor allem eine international eindeutige Kennung, mit der das Mobilgerät sich ausweisen kann. Zudem ist eine Codenummer, die PIN, gespeichert, mit der der Benutzer sich zunächst bei der SIM-Karte identifiziert. Die PIN kann selbst gewählt werden und hat mit der Anmeldung am Netz noch nichts zu tun.

Wird ein Mobilgerät neu eingeschaltet und die PIN eingegeben, versucht es sich „einzubuchen“. Dazu hört es alle GSM-Frequenzen ab und sucht nach Signalen des eigenen Netzbetreibers. Hat es die stärkste Basisstation ausfindig gemacht, schickt es dieser eine Einbuchungsaufforderung. Diese wird an jene SSS weitergeleitet, die die Heimdatei (HLR) des Mobilgeräts unterhält. Die darin enthaltene Beglaubigungszentrale ermittelt nun eine Zufallszahl und sendet sie an das Mobilgerät. Nun wird mit Hilfe von Algorithmen (Berechnung), die sowohl in der Heimdatei (HLR) der SSS als auch in der SIM des Mobilgeräts hinterlegt sind, eine Zahl als Ergebnis bestimmt, und zwar unabhängig voneinander in der Beglaubigungszentrale und im Mobilgerät. Letzteres sendet sein Ergebnis an die SSS. Stimmt es mit dem dortigen Ergebnis überein, ist die SIM-Karte gültig. Nun wird in der nächstgelegenen SSS ein Eintrag in der VLR vorgenommen und in der HLR der Heim-SSS ein Verweis darauf hinterlegt. Gleichzeitig wird aus der obigen Zufallszahl ein Schlüssel berechnet, der in der nachfolgenden Verbindung zur Verschlüsselung (Ciphering) der Sprachdaten verwendet wird. Das Mobilgerät erhält zudem eine temporäre Teilnehmerkennung als Adresse für den weiteren Datenaustausch mit der Basisstation. Sie wird mit jedem Gespräch neu bestimmt. Dadurch kann ein "Lauscher" weder das Gespräch mithören, noch anhand der Verbindungsdaten etwas über die Gesprächsteilnehmer erfahren. Nun erst ist das Mobilgerät erfolgreich eingebucht.

Sind keine Signale des eigenen Netzbetreibers zu empfangen, wird nach einem anderen Anbieter gesucht, mit dem ein so genanntes Roamingabkommen besteht. Dies erlaubt den Kunden eines



Netzanbieters, die Infrastruktur eines anderen Netzanbieters zu nutzen und umgekehrt. Das funktioniert sowohl national als auch international. Dadurch können GSM-Handys in fast allen Staaten weltweit genutzt werden, in denen ebenfalls GSM-Netze existieren (Achtung USA). Technisch wird dazu in der HLR des Kunden einfach ein Verweis auf die VLR der SSS gemacht, bei der er angebunden ist.

Verbindungsaufbau:

Wird ein Handy angerufen, so kann aus der Vorwahl ermittelt werden, welchem Mobilnetz es angehört43. Daher wird zunächst eine Verbindung mit dem nächstgelegenen SSS des gewählten Mobilfunkbetreibers hergestellt und diesem die restliche Rufnummer übergeben. Dieser ermittelt aus den ersten beiden Stellen, in welcher Heimdatei (HLR) er die Benutzerdaten finden kann. Diese fragt er dann ab und erhält dabei die Information, in welcher Location Area (LA) sich der Angerufene aufhält. Nun wird der Anrufer mit der zugehörigen Vermittlungsstelle verbunden und die stellt dann über ihre BSC und BTS die Verbindung zum Angerufenen her.

Wenn ein Mobilgerät eine Verbindung herstellen möchte, wird ebenfalls anhand der Vorwahl ermittelt, in welches Netz die Verbindung gehen soll und dann der nächstgelegene Verbindungspunkt (sprich eine SSS mit Verbindung ins Zielnetz) angesteuert. Soll die Verbindung mit einem Gerät des eigenen Netzes aufgebaut werden, ist der Ablauf wie oben beschrieben.

Übertragungscodierung

Eine Funkübertragung ist zwangsläufig starken Störeinflüssen unterworfen. Zudem sollten im GSM-Netz möglichst viele Funkkanäle in das verfügbare Frequenzspektrum passen, weswegen die Bandbreite eines einzelnen, zu übertragenen Signals möglichst gering ausfallen muss. Deswegen wird zur Übertragung der Sprachdaten ein recht großer Aufwand betrieben (siehe folgende Abbildung).

43 Das ist seit etwa einem Jahr, also etwa beginnend 2004, nicht mehr ohne weiteres möglich. Auch in Mobilfunknetzen gibt es jetzt eine Rufnummern-Portabilität (Mitnahme).



Abbildung 74: Übertragungssystem

Zunächst wird der Schall (menschliche Sprache, analoges Signal) digitalisiert, und zwar wie im Festnetz mit 8.000 Abtastungen pro Sekunde und einem 8-Bit A/D-Wandler. Daraus resultiert ein Datenstrom von 64 kbit/s. Dieser wird per Redundanzreduktion auf 13 kbit/s komprimiert und dann über das Ciphering-Verfahren verschlüsselt. Über eine so genannte Faltungscodierung werden anschließend wieder Redundanzen eingebaut, die auf Empfängerseite eine Fehlererkennung und -korrektur zulassen. Nun wird das Signal per GMSK-Verfahren (Gussian Minimum Shift Keying) auf die Trägerfrequenz moduliert und in einen TDMA-Kanal eingebaut. Ohne all diese Schritte jetzt im Detail zu beschreiben wird klar, dass ein Handy einiges an Arbeit zu leisten hat, um die Sprache korrekt zu übertragen. Auf der Empfängerseite läuft die gleiche Prozedur natürlich gleichzeitig in umgekehrter Reihenfolge ab. Daher auch die Verzögerung.

GSM-Funkverbindung GSM arbeitet mit gepaarten Frequenzbereichen. Für die Verbindung vom Mobilgerät zur Basisstation ist der Bereich 890 - 915 MHz vorgesehen, für die Gegenrichtung der Bereich 935 - 960 MHz. Die beiden Bereiche haben damit einen Abstand von 45 MHz. Ein Handy das z.B. auf 907,2 MHz sendet, empfängt folglich auf 952,2 MHz. Bei DCS 1800 (E-Netzen) sind die Bereiche 1710 - 1785 MHz und 1805 - 1880 MHz festgelegt. Die Frequenzen (Bandbreite) sind in Kanäle strukturiert, die jeweils eine Bandbreite von 200 kHz haben. Im 900 MHz-Band haben damit 124 Kanäle Platz, davon gehören 57 zum D1-Netz, 57 zum D2-Netz und 10 wurden in Reserve gehalten.



Abbildung 75: GSM-Kanäle

Jeder Kanal wird im Zeitmultiplexverfahren (TDMA, Time Division Multiple Access) achtfach belegt. Dazu werden pro Zeitschlitz 142 Bits als so genannter "Burst" (Anhäufung) übertragen. Acht dieser Bursts bilden einen TDMA-Frame. Die Basisstation überträgt solche Frames in ununterbrochener Folge. Ein Mobilgerät, dessen Daten in jedem Frame im 6. Zeitschlitz stecken, muss nun aus seinen Empfangsdaten nur die richtigen Informationen heraussuchen und erhält so einen kontinuierlichen Datenstrom.

Abbildung 76: TDM-Frame

Nicht alle Zeitschlitze dienen der Übertragung von Nutzdaten, ein Teil wird auch für die Signalisierung im Netz verwendet oder versorgt die Mobilgeräte mit notwendigen Informationen wie z.B. den anderen Frequenzen der selben Basisstation oder den Frequenzen der Nachbarzellen. Ein anderer Kanal enthält Rufinformationen, d.h. darüber erhält ein Mobilgerät die Mitteilung, dass es gerade angerufen wird. Auch SMS-Nachrichten erreichen das Mobilgerät über einen Signalisierungs-kanal.

Das Zeitmultiplexverfahren wird auch für die Übertragung von der Mobilstation zur Basisstation verwendet. Jedes Mobilgerät erhält dafür einen Zeitschlitz und eine Sendefrequenz fest zugewiesen, d.h. auf jeder Frequenz wechseln sich bis zu acht Mobilgeräte mit dem Senden ab.

HSCSD, GPRS und Edge HSCSD

HSCSD steht für High Speed Circuit Switched Data und ermöglicht höhere Übertragungsraten für Daten, indem mehrere GSM-Kanäle zusammengeschaltet werden. Dazu ist auf der Seite des vermittelnden Netzes nur eine Software-Änderung vorzunehmen, hardwareseitig ist alles Nötige schon vorhanden. Anders sieht die Sache bei den Endgeräten aus. Bei Handys ist kein Softwareupdate vorgesehen und so bleibt HSCSD neuen Geräten vorbehalten, die bereits dafür ausgelegt sind. Die ersten HSCSD-fähigen Geräte auf dem deutschen Markt waren das Nokia 6210 und das Nokia Card Phone 2.0.



HSCSD erhöht die Datenrate pro Kanal von 9.600 Bit/s auf 14.400 Bit/s, indem die Fehlerkorrektur weniger aufwendig ausgelegt wird. Dabei steigt aber das Risiko von Übertragungsfehlern. Ist die Verbindung nicht gut genug, muss wieder auf 9.600 Bit/s zurückgeschaltet werden.

Theoretisch könnten bei HSCSD alle acht Bursts eines TDMA-Frames belegt werden, was eine Datenrate von 115,2 kbit/s ergäbe. Damit würde aber ein Teilnehmer eine gesamte Trägerfrequenz für sich beanspruchen, was zur Beeinträchtigung der Verfügbarkeit für andere Teilnehmer führen könnte. Daher limitieren die Netzbetreiber die Maximalzahl gleichzeitig belegbarer Kanäle auf 3 oder 4 (43,2 kbit/s oder 57,6 kbit/s). Mehr wäre momentan auch nicht sinnvoll, weil als Gegenstelle im Festnetz nur ein einfacher B-Kanal ohne Kanalbündelung möglich ist, der ja nur 64 kbit/s zur Verfügung stellt.

Die Netzbetreiber konfigurieren ihre Netze normalerweise so, dass nur dann HSCSD-Kanäle bereitgestellt werden, wenn diese nicht für Sprachverbindungen benötigt werden. Man kann deswegen auch bereits zugeteilte Kanäle während der Verbindung wieder entzogen bekommen. Zudem ist auch eine asymmetrische Verbindung möglich. Der Nutzer erhält dann z.B. zwei Kanäle zum Empfang, aber nur einen zum Senden von Daten.

Die Übertragungskosten bemessen sich bei HSCSD nach der Zeit und den belegten Kanälen - bei vier Kanälen zahlt man folglich auch den vierfachen Preis für die Verbindung.

GPRS

Bei General Packet Radio Services (GPRS) handelt es sich um einen permanenten Internet-Zugang für Mobilgeräte. Man schließt dafür mit dem Netzbetreiber einen Vertrag ab. Der Netzbetreiber wird dadurch gleichzeitig zum Internet-Provider. Die Daten werden bei GPRS paketweise übertragen, wobei der Netzbetreiber jeweils entscheidet, wie viele Datenkanäle er für die Übertragung erübrigen kann. Unter idealen Voraussetzungen, d.h. wenn die Trägerfrequenz ansonsten unbenutzt ist, kann GPRS alle acht Kanäle belegen. Die Basis-Übertragungsrate kann zudem abhängig von der Güte der Übertragung in vier Stufen variiert werden:

• Coding Scheme 1 liefert die höchste Übertragungssicherheit bei nur 9,05 kbit/s,

• Coding Scheme 2 bringt es auf 13,4 kbit/s. Noch nicht implementiert in den deutschen Mobilfunknetzen sind

• Coding Scheme 3 (15,6 kbit/s) und 4 (21,4 kbit/s), da hier Änderungen an der Datenübertragung zwischen BSC und Basisstation nötig wären. Somit ist momentan die realistische



• Übertragungsrate 4 x 13,4 kbit/s = 53,6 kbit/s, das Maximum liegt beim doppelten (107,2 kbit/s) und das mit dieser Technik machbare bei 8 x 21,4 kbit/s = 171,2 kbit/s. Letzteres aber nur, wenn es von den Netzbetreibern überhaupt eingeführt wird.

Die Verbindung ist bei GPRS permanent vorhanden, d.h. es findet keine Internet-Einwahl statt, sondern das Gerät ist jederzeit online. Das ermöglicht z.B. die direkte Zustellung von E-Mails auf das Endgerät, ohne dass dieses sich erst zur Abholung einwählen müsste.

Die Bezahlung erfolgt bei GPRS nach der übertragenen Datenmenge, unabhängig von der Übertragungsgeschwindigkeit. In Zukunft wird es jedoch möglich sein, mit dem GPRS-Zugang die gewünschte Leistungsklasse festzulegen. Damit erhält derjenige, der mehr bezahlt auch eine höhere Priorität bei der Übertragung.

Edge

Edge (Enhanced Data Rates for GSM Evolution) basiert auf einer Weiterentwicklung des GSM-Standards und würde einen Austausch zumindest eines Teils der Vermittlungstechnik bei den Mobilfunknetzbetreibern erfordern. Angesichts der Investitionen in UMTS ist es fraglich, ob noch ein Betreiber diesen kostspieligen Zwischenschritt machen wird.

Edge ist als Erweiterung von HSCSD und GPRS gleichermaßen geeignet und heißt dann ESCD bzw. EGPRS. Beide behalten dabei ihre grundsätzlichen Charakteristika, stellen aber Datenraten von theoretisch bis zu 473,6 kbit/s zur Verfügung, wobei in der Praxis mit ca. 170 kbit/s gerechnet wird.

Edge würde darüber hinaus auch eine höhere Auslastung der bestehenden Frequenzen mit normalen Gesprächsverbindungen zulassen. So wären mehr Gespräche vermittelbar, ohne die Funkzellen verkleinern und zusätzliche Basisstationen aufstellen zu müssen.

Was wofür?

HSCSD ist sehr gut geeignet, um direkte Datenverbindungen aufzubauen, bei denen es um Geschwindigkeit geht. GPRS dient dagegen eher als Internet-Zugang mit Always-On-Funktionalität. Das kann einerseits für die Anbindung von Außendienstmitarbeitern an das LAN der Zentrale nützlich sein, erfordert aber eine Absicherung der Verbindung gegen Mithören, z.B. durch den Einsatz eines VPN-Routers an beiden Endstellen. Beiden Varianten gemein ist momentan noch der horrend hohe Preis. Um mit annähernd ISDN-Geschwindigkeit im Internet zu surfen, zahlt man bei HSCSD momentan noch das vier fache dessen, was man für ein Handygespräch zum gleichen Zeitpunkt zahlen müsste. Bei GPRS beträgt die Gebühr ca. 1 Pf / kByte - eine einzige durchschnittliche Webseite mit 50 KB schlägt also schon mit 50



Pfennigen zu Buche (Anmerkung: man merkt an der Währung, dass neue Zahlen hier angebracht wären!).

Die Netzbetreiber suchen momentan noch nach Diensten, die GPRS und HSCSD, auch in Verbindung mit dem größtenteils verschmähten WAP interessant machen. Dazu wollen sie z.B. die Ortbarkeit von Handys im GSM-Netz nutzen. So genannte Location Based Services (LBS) können abhängig vom Standort beispielsweise die lokale Wettervorhersage, das Programm des nächsten Kinos oder die Schnäppchen der umliegenden Geschäfte auf das Handydisplay bringen. Dies kann auch durch Push-Dienste erfolgen, d.h. man muss die Informationen nicht abholen, sie werden (wenn man damit einverstanden ist) direkt aufs Handy übertragen

UMTS Seit 1999 wird an den technischen Spezifikationen für das Mobilfunknetz der dritten Generation (3G) gearbeitet. Dazu haben sich ETSI (European Telecommunications Standards Institute), ARIB (Japan) und T1P1 (Nordamerika) zur Projektgruppe "3GPP" zusammengefunden. Zu einem gänzlich einheitlichen Standard haben sie es trotzdem nicht gebracht (zu groß war das jeweilige Interesse, UMTS zur technischen Erweiterung des in der jeweiligen Heimatregion üblichen Mobilfunkstandards der zweiten Generation zu machen). Somit wird auch UMTS trotz weitergehender Vereinheitlichung ein weltweites Roaming voraussichtlich nur mit speziellen, aufwendigen und damit teuren Endgeräten ermöglichen. Auch bei der Bezeichnung herrscht keine vollständige Einigkeit: In Nordamerika wird das Mobilnetz der dritten Generation als "IMT-2000" bezeichnet.

Lizenzen, Frequenzen und Telefonnummern

Bei den Vergabeverfahren für die UMTS-Lizenzen wurden auch die dafür vorgesehenen Frequenzbereiche verteilt. International wurden von der ITU-T für UMTS die Frequenzen 1.900 – 2.025 MHz und 2.110 – 2.200 MHz vorgesehen. Davon sind allerdings die Frequenzen 1.980 – 2.010 MHz und 2.170 – 2.200 MHz für Satellitenanwendungen ausgenommen. In Deutschland waren 6 Firmen bei der Versteigerung erfolgreich. Damit ergibt sich für den Frequenzraum folgendes Bild:

Abbildung 77: UMTS Frequenzen in Deutschland



Es gibt also zwei Frequenzbereiche à 60 MHz, die einen Abstand von 190 MHz haben. Dort wird ein UMTS-Kanal immer ein Frequenzpaar mit 5 MHz Bandbreite belegen, d.h. zu dem Frequenzbereich 1.920 – 1.925 MHz gehört der Bereich 2.110 – 2.115 MHz. Im unteren Bereich senden die Mobilgeräte zur Basisstation, im oberen Bereich umgekehrt. Zusätzlich haben 5 der Anbieter einen ungepaarten Frequenzbereich von je 5 MHz erworben. Dort müssen Basis- und Mobilstation abwechselnd senden.

Die Regulierungsbehörde für Telekommunikation und Post hat den Lizenzinhabern zudem folgende Vorwahlen zugewiesen, innerhalb derer jeweils 100.000.000 Nummern vergeben werden können:

0150 Group 3G

0151 T-Mobil

0152 d2 Vodafone

0155 E-Plus Mobilfunk

0156 MobilCom Multimedia

0157 E-Plus Mobilfunk

0159 Viag Interkom

Abbildung 78: UMTS Vorwahlen in Deutschland

Netzstruktur:

Das UMTS-Netz ähnelt sehr stark dem GSM-Netz. Das UMTS-Kernnetz (Backbone) entspricht weitgehend dem Verbund der Vermittlungsstellen (SSS) im GSM. Die Besonderheit ist allerdings, dass es sich dabei um ein paketvermittelndes Kernnetz auf Basis des IP-Protokolls (!) handelt. Die Basisstations-Controller heißen im UMTS "UTRAN RNC" (UMTS Terrestrial Radio Access Network / Radio Network Controller), die Basisstationen werden "UTRAN Node B" genannt (siehe folgende Abbildung).



Abbildung 79: UMTS Netzwerkstruktur

Übertragungstechnik:

Der Medienzugriff im UMTS basiert auf einer Frequenzbandspreizung namens "WCDMA" (Wideband Code Division Multiple Access), bei der die zu übertragenden Daten mit einer höherfrequenten, pseudozufälligen Bitfolge überlagert werden. Dadurch können benachbarte Zellen die gleichen Frequenzen verwenden - durch die Bandspreizung kann ein Endgerät aus den Empfangsdaten durch Demodulation mit der richtigen Bitfolge die Ausgangsdaten wieder herstellen. Die maximale Übertragungsrate auf einem Kanal beträgt 2 Mbit/s, allerdings nur solange ein Teilnehmer ihn für sich alleine hat, solange er sich nicht schneller als 6 km/h bewegt und nicht weiter als 500m von der nächsten Basisstation entfernt ist (Shared Medium!). Ansonsten sinkt die Übertragungsrate auf maximal 384 kbit/s, 144 kbit/s werden vom Netzbetreiber garantiert.

Ähnlich wie bei GPRS teilt man sich die vorhandene Übertragungskapazität mit den übrigen Teilnehmern, die sich in derselben Zelle aufhalten. Die Aufteilung wird nach Service-Klassen erfolgen, d.h. durch einen höheren Tarif kann man sich Prioritäten im Netz einkaufen. Ebenfalls genau wie bei GPRS ist die Tatsache, dass ein UTMS-Endgerät nach dem Einbuchen im Netz erreichbar ist und jederzeit z.B. E-Mails empfangen kann.

Da alle Zellen mit den gleichen Frequenzen arbeiten, kann die Netzkapazität einfach durch Hinzufügen weiterer Basisstationen erhöht werden. Die umliegenden Zellen verkleinern dann automatisch ihren Reichweitenbereich. Man spricht daher von "atmenden" Zellen. Dies wird vor allem beim Netzaufbau genutzt: Zunächst werden wenige Basisstationen in großen Abständen platziert, die jeweils einen großen Bereich abdecken. In Ballungsräumen werden dann sukzessive weitere Basisstationen ergänzt um mit der steigenden Anzahl von Nutzern



mithalten zu können und möglichst große Gebiete mit der höchsten Übertragungsrate versorgen zu können.

Mit der Inbetriebnahme der ersten UMTS-Netze wird ab 2003 gerechnet. Diese werden zunächst hauptsächlich Geschäftskunden ansprechen, mit einem Durchbruch im Consumer-Geschäft ist kaum vor 2010 zu rechnen.

Weitere Mobilfunksysteme GSM ist allgegenwärtig und UMTS beherrscht die Medien. Da übersieht man sehr leicht, dass es vor allem für die professionelle Anwendung noch andere Mobilfunksysteme gibt. Die wichtigsten seien hier kurz angerissen.

Bündelfunk / TETRA

Bündelfunk ist eine Erweiterung des anmeldepflichtigen Betriebsfunks und wird gegenwärtig hauptsächlich von Behörden genutzt. Während der Betriebsfunk hauptsächlich für Sprachkommunikation mit fester Kanalzuordnung (festen Trägerfrequenzen) genutzt wird, fasst der Bündelfunk für Zwecke der Datenübertragung mehrere Kanäle zusammen. Dies wird Bündel genannt. Das Bündel wird am Ende der Übertragung wieder aufgelöst. Der Bündelfunk kann als lokales System mit einer Basisstation betrieben werden, es sind aber auch zelluläre Netze auf dieser Basis möglich, mit einer Zellgröße von 10 – 25 km, in Ballungsräumen von 5 km.

TETRA steht für „Terrestrial Trunked Radio“ und ist eine Erweiterung des Bündelfunks. TETRA nutzt die Frequenzbereiche 380 – 400 MHz und 410 – 430 MHz. Die Technik ähnelt ansonsten dem GSM-Netz, ist aber stark auf die Datenübertragung ausgerichtet. Die Übertragungsrate beträgt maximal 28,8 kbit/s. Momentan wird der Netzausbau in Deutschland nicht mehr vorangetrieben, nachdem der maßgebliche Betreiber wegen Insolvenz nicht mehr dazu in der Lage ist.

Satellitensysteme

Es gibt zahlreiche Ansätze für die Datenkommunikation per Satellit. Das ehrgeizigste Projekt dieser Art, das Satelliten-Handynetz Iridium, ist im Jahr 2001 spektakulär gescheitert. Eher für die Datenkommunikation sind Systeme, die gegenwärtig bis 64 kbit/s bieten, in Zukunft sind aber Übertragungsraten bis zu 144 kbit/s oder gar 2 Mbit/s geplant.

In Deutschland ist "Inmarsat" das wohl gegenwärtig interessanteste System. Es handelt sich um eine staatliche Betriebsgesellschaft, die früher die Kommunikation mit Schiffen zur Aufgabe hatte, mittlerweile aber auch mobile Dienste für das Festland anbietet.

Das System besteht aus 9 geostationären Satelliten, die über weltweit verteilte Bodenstationen gesteuert werden. Die Verbindung in die Festnetze übernehmen 40 Land-Erdfunkstellen (LES), in Deutschland



beispielsweise in Raisting bei Weilheim. Endanwender benötigen ein Terminal, das aus einer Antenne und der nötigen Elektronik besteht und etwa 4 kg wiegt.

Den Vertrieb von Inmarsat in Deutschland hat das Tochterunternehmen DeTeSat übernommen. Einer der möglichen Dienste ist Inmarsat ISDN, der eine mobile Anbindung ans stationäre ISDN ermöglicht und folglich mit 64 kbit/s arbeitet. Die Kosten sind allerdings äußerst hoch: Das Terminal kostet ca. 1500 – 4000 €, der Minutenpreis liegt bei ca. 2 €.



Netzwerk- und Transportprotokolle Mit dem Beginn der Vernetzung von Rechnern im Büroumfeld (etwa Mitte der 80er Jahre) waren zunächst zahlreiche konkurrierende Protokolle auf der Vermittlungs- und Transportebene (OSI-Schichten 3 und 4) vorhanden. Beispielsweise setzte Novell bei Netware "IPX/SPX" ein und Microsoft verwendete bei Windows-Netzen "NetBEUI". Daneben noch AppleTalk (heute noch im Banken- und OS/2-Umfeld) oder DECnet. Zunächst waren nur im UNIX-Umfeld (und natürlich bei den Vorläufern des Internets) die Protokolle der TCP/IP-Familie verbreitet.

Mit der Entwicklung des World Wide Web (WWW) und dessen Ausdehnung zum Massendienst zu Beginn der 90er Jahre wurde TCP/IP auch auf Arbeitsplatzrechnern zunehmend populärer. Da war es nur noch ein kleiner Schritt, die herstellerspezifischen Protokolle zugunsten einer einheitlichen Protokollwelt aufzugeben. Heute ist TCP/IP zum de-facto Standard für Netzwerk- und Transportprotokolle geworden und wird selbst von Novell Netware seit Version 5 unterstützt. Damit hat sich die Vielzahl der Protokolle aus den letzten 15-20 Jahren stark vereinfacht und fokussiert.

IP (Internet Protocol)

Grundlage der Kommunikation im Internet ist das Internet Protocol44 (IP), das im OSI-Referenzmodell der Vermittlungsschicht (engl. Network Layer) zugeordnet werden kann. Es arbeitet verbindungslos. Deshalb werden IP-Pakete auch Datagramme genannt.

Wie kann man sich ein verbindungsloses Protokoll vorstellen? Ein einfacher Vergleich ist der Paketdienst der Deutschen Post AG. Nachdem üblicherweise die Socken für den Opa zu Weihnachten in ein Postpaket gepackt wurden, wird anschließend über einen Adressaufkleber die Ziel- und Quelladresse eingetragen. Das Postpaket wird dann vom Absender am Schalter abgegeben und von dort an weiß der Absender nicht mehr, was mit dem Postpaket wirklich passiert. Ist es per Fahrrad, Flugzeug oder Auto dem Empfänger ausgeliefert worden? Ist es verloren gegangen auf seinem Weg? Welchen Weg hat es im „Netz“ der Deutschen Post AG genommen? All diese Informationen kennen wir beim reinen Postdienst nicht. Wir vertrauen darauf dass das Postpaket ankommt. Ein vorangehender Verbindungsaufbau hat dabei nicht stattgefunden. Wollten wir kontrollieren ob sich Opa über die Socken gefreut hat, sie also angekommen sind, müssen wir uns einer übergeordneten Instanz bedienen. Im realen Beispiel wäre das dann ein Telefonat. Auf die Kommunikationstechnik übertragen würde man den Postdienst auch als Datagramm-Dienst bezeichnen können.

44 IP wurden in seiner Form im RFC 791 etwa 1980 spezifiziert und ist als Version 4 heute weit verbreitet. Hauptsächlich durch Adressenmangel wurde Mitte der 90er auch eine Version 6 spezifiziert, die aber noch nicht weit verbreitet ist, auch wenn heutige Router IPv6 unterstützen.



Die Auslieferung von IP-Paketen ist zudem relativ unzuverlässig. Das bedeutet nicht, dass IP-Pakete nachlässig behandelt werden, im Gegenteil, das Netz tut sein bestes („Best-Effort“-Prinzip), um jedes IP-Paket ordentlich zuzustellen. Es gibt allerdings keine Garantie, dass ein Datagramm auch ankommt. Auch eine Empfangsbestätigung (Quittung, engl. Acknowledgement) kennt das IP Protokoll nicht. Die Absicherung der Datenübertragung mittels IP muss folglich die übergeordnete Transportschicht durch geeignete Mechanismen übernehmen.

Im ursprünglichen Internet-Modell45 war das Netzwerk unterhalb des IP-Protokolls nicht spezifiziert und aus Sicht der Internet-Welt auch egal. Vielmehr sollte IP auf allen Übertragungsnetzen arbeiten, was einen hohen Grad an „Offenheit“ mit sich brachte. Um die IP-Pakete auf die MTU (Maximum Transfer Unit) des Übertragungsnetzes anzupassen, zählt die Fragmentierung mit zu seinen wichtigsten Eigenschaften. Zudem musste eine Möglichkeit geschaffen werden, die vom Administrator vergebenen Adressen, wie sie bei IP verwendet werden, in die Hardware-Adressen (MAC-Adressen) des zugrunde liegenden Übertragungsnetzes (genauer der NIC) umzusetzen. Dazu dient das ARP-Protokoll.

Eine Sonderrolle spielt das ICMP-Protokoll. Es enthält verschiedene Pakettypen zur Signalisierung von Fehlerzuständen und zur Diagnose des IP-Netzes. Der bekannteste Pakettyp ist der so genannte Echo Request, der bei fast allen Betriebssystemen mit dem Befehl "Ping" aufgerufen wird. ICMP wird gemeinhin noch der OSI-Schicht 3 zugeordnet, obwohl es ähnlich den höheren Schichten auf dem IP aufsetzt, also ICMP wird in IP übertragen. Seine Funktionalität entspricht aber am ehesten der Vermittlungsschicht. An diesem Beispiel zeigt sich, dass das vergleichsweise "junge" OSI-Referenzmodell (seit 1984) die Besonderheiten des sehr viel älteren TCP/IP-Welt nicht immer zufrieden stellend beschreiben kann.

I P V 4 P A K E T A U F B A U

Am Aufbau eines IP-Pakets kann man die meisten Besonderheiten des Protokolls sehr schön erkennen (vgl. Abbildung 80).

45 Das Internet-Modell (auch DoD-Modell) genannt existierte vor dem OSI-Modell!



Abbildung 80: IPv4-Paketaufbau (IP Datagramm)

Das Versionsfeld hat normalerweise den Wert „4“, weswegen man auch von IPv4 spricht. Die nächste Generation (IPv6) hat neben vielen weiteren Funktionen einen deutlich vergrößerten Adressraum, spielt in heutigen Installationen aber kaum bis noch keine Rolle.

Das Feld IHL gibt die Länge des IP-Headers in 32-Bit-Worten an. Normalerweise steht hier „5“, weil die meisten IP-Pakete ohne Optionen und Füll-Bytes auskommen, d.h. die Nutzdaten schließen direkt an die Zieladresse an. Üblicherweise ist der Header damit 20 Byte groß.

Der Diensttyp dient der Anforderung bestimmter QoS-Merkmale. Hier waren neben 3 Bit für IP Precedence (Priorität) auch Flags für Throughput (1 Bit), Reliability (1 Bit) und Availability 1 Bit) angedacht. Im Praktischen gab es aber selten eine Anwendung für den Diensttyp, auch wenn CISCO-Router die Interpretation unterstützen.

Die Gesamtlänge kann als 16-Bit-Wert maximal den Wert 65535 annehmen, was die Maximallänge eines IP-Pakets auf 64 KB begrenzt. Der Wert gilt einschließlich Header.

Identifikation, die Flags und der Fragmentoffset dienen der Fragmentierung und werden im nächsten Abschnitt ausführlich besprochen.

Die Lebensdauer (TTL) wird beim Versand eines IP-Pakets auf einen bestimmten Wert gesetzt (i.d.R. 32 oder 128) und anschließend bei jeder Zwischenstation (Router, hier Hop genannt) um eins vermindert. Erreicht die TTL den Wert 0, wird das Paket verworfen. Die Lebensdauer wird so gewählt, dass sie normalerweise gut ausreicht, um den Empfänger zu erreichen. Sollte sich ein Paket jedoch verlaufen, zwischen zwei Router hin und her oder gar im Kreis geschickt werden, wird es irgendwann automatisch aus dem Netz gezogen.

Das eine TTL von beispielsweise 32 ausreichend ist, zeigt die Verwendung des Freeware Tools „NeoTrace Express“ von McAfee. Dieses Tool verfolgt Rechnernamen und bestimmt den Weg durchs Internet und stellt diesen grafisch dar. Man kann NeoTrace auch als komfortable Ausführung des Befehls „tracert“ bzw. „traceroute“ ansehen.



Abbildung 81: Screenshot von NeoTrace Express 3.25 "List" (29.9.2004)

Ausgangspunkt meines Beispiels die Eingabe von www.ibm.com (und damit Rückverfolgung) an meinem privaten T-Online Rechner im Kreis Aachen. Dabei zeigt die Abbildung 81 die Hops 3 bis 16 (die ersten beiden Hops passen leider nicht ins Bild). Man sieht, dass wir binnen 16 Router zu IBM nach New York gelangen können. Die folgende Abbildung stellt die einzelnen Hops in einer Grafik dar.

Abbildung 82: Screenshot von NeoTrace Express 3.25 "MAP" (29.9.2004)

NeoTrace Express kann unter folgendem Link im Internet geladen werden:

http://www.networkingfiles.com/PingFinger/Neotraceexpress.htm



Das nächste Feld im IP Header gibt an, welches Protokoll der nächst höheren Ebene eigentlich transportiert wird. Für TCP steht hier der Wert „6“, für UDP der Wert „17“ und für ICMP der Wert „1“, um nur ein paar Beispiele zu nennen.

Die Header-Prüfsumme deckt, wie der Name schon sagt, nur die Felder des Paketkopfes ab. Die Nutzdaten müssen anderweitig abgesichert werden.

Quell- und Zieladresse haben bei IPv4 jeweils 4 Byte Länge. Die übliche Schreibweise stellt diese als Dezimalzahlen dar, durch Punkte getrennt (Dotted Decimal Notation). Ein Beispiel aus Abbildung 82 wäre die IP Adresse des Rechners www.ibm.com: 129.42.21.99.

IP Pakete können (theoretisch) 64 kB groß sein.

F R A G M E N T I E R U N G

Soll ein IP-Paket in ein Netz versendet werden, wird es von der Netzwerkschicht in ein Frame der OSI-Schicht 2 eingebettet, das nur eine bestimmte Anzahl Bytes an Nutzdaten transportieren kann. IP orientiert sich an diesem Wert, der so genannten "MTU Size" (Maximum Transfer Unit) und „schnürt“ die IP-Pakete so, dass sie nicht zu groß werden. Nun wird das Paket jedoch möglicherweise von einem Router auf der Strecke über ein Netzwerk mit geringerer MTU-Größe verschickt. Dazu muss er die Pakete "umpacken", sprich aus einem Paket wiederum mehrere Pakete machen. Dies nennt man Fragmentierung.

Network MTU(Bytes) ----------------------------------- 16 Mbit/Sec Token Ring 17914 4 Mbits/Sec Token Ring 4464 FDDI 4352 Ethernet 1500 IEEE 802.3/802.2 1492 X.25 576

Abbildung 83: MTU verschiedener Datennetze (Übertragungsprotokolle)

Auch hierzu wieder ein Freeware Tool zur Veranschaulichung. Um die MTU eines Netzes zu bestimmen, könnte man den Ping-Befehl zu Hilfe nehmen. mit „Ping www.rmtc.de –f –l 1500“ wurden 1.500 Byte Pakete an www.rmtc.de geschickt werden, eine Fragmentierung wird aber durch „-f“ nicht erlaubt (DF-Flag gesetzt im IP Header). Geht das 1.500 Byte lange Paket nicht ins Netz, erscheint eine Fehlermeldung nach Abbildung 84. Setzt man nun die Paketgröße Schritt für Schritt runter, so wird irgendwann ein Paket zum Webserver www.rmtc.de gelangen. Im Beispiel aus Abbildung 85 wäre dies bei 1.464 Bytes der Fall. Die MTU beträgt also 1.464 Bytes.

Diesen Vorgang automatisiert das Tool EasyMTU 3.0 und stellt darüber hinaus noch ein Benchmarking in Abhängigkeit der Paketgröße zur Verfügung.



Abbildung 84: Ping www.rmtc.de -f -l 1465

Abbildung 85: Ping www.rmtc.de -f -l 1464

EasyMTU 3.0 (hier wurde kein Screenshot gezeigt) kann unter folgendem Link im Internet geladen werden:

http://www.rob.cybercomm.nl/easymtu/

Damit jedes Fragment beim Empfänger eindeutig dem richtigen IP-Datagramm zugeordnet werden kann, hat es schon beim Sender eine eindeutige Kennung erhalten, die mit jedem verschickten Datagramm um eins erhöht wird. Zudem kann der Sender über das "DF"-Flag eine Fragmentierung untersagen. Mit dem "MF"-Flag (More Fragments) kennzeichnet z.B. der Router nun alle Fragmente mit Ausnahme des letzten Fragments. Der Empfangende weiß dann, dass keine weiteren Fragmente mehr kommen und er mit dem Zusammenbau beginnen kann. Das Fragmentoffset gibt für jedes Fragment an, ab welcher Stelle des originalen IP-Datagramms die Nutzdaten einzufügen sind (siehe Abbildung 86). Genau lag bei Windows NT (bis Service Pack 3) eine Schwachstelle. Angreifer konnten das Fragmentoffset so verändern, dass im Server die Fragmente überlappen mussten. Der Windows NT Server hatte dann einen „Blue Screen“.



Abbildung 86: Maximum Transfer Unit (MTU)

I P - A D R E S S E N

IP-Adressen sind in IPv4 immer vier Byte lang. Sie sind abhängig vom Inhalt des ersten Bytes in so genannte Klassen eingeteilt.

Abbildung 87: IP-Adressklassen

Man kann sich dieses Adressschema analog zu Telefonnummern vorstellen: Sehr große Städte haben eine kurze Vorwahl und sehr lange Teilnehmernummern. Dies entspräche den Class-A-Netzen, die nur 7 Bit für die Netzwerknummer, dafür aber 24 Bit für die Hostadresse haben. Da IP-Adressen (sobald sie im Internet verwendet werden) weltweit eindeutig sein müssen, gibt es weltweit nur (theoretisch) 128 Class-A-Netze, die jeweils 16 Millionen Teilnehmer haben könnten. Entsprechend umgekehrt gibt es sehr viele Class-C-Netze, die jeweils aber nur 254 Teilnehmer „versorgen“ können.

Während die Netze der Klassen A bis C der Kommunikation eines Senders mit einem Empfänger dienen, ist Class D für die Übertragung einer Art „Internet-Rundfunk“, dem so genannten Multicast vorbehalten. Entsprechende Protokolle haben sich bisher aber noch nicht so durchgesetzt. Die Adresse dient hier der Kennzeichnung eines Multicasts, also der Adressierung einer Gruppe von Rechnern. Ein Endgerät, das eine "Rundfunk-Ausstrahlung" empfangen möchte, muss dann den letzten Router auf dem Weg zum Empfänger darüber informieren und erhält dann auf diesem Weg die Daten kontinuierlich geliefert.

Bei IP-Adressen sind noch einige Besonderheiten zu berücksichtigen:

• Sind in einer Adresse alle Bits der Netzadresse „0“, bedeutet das "dieses Netz". Ein Rechner, der seine eigene Adresse nicht kennt, benutzt diese Netzadresse so lange, bis er von den anderen im



Netz angeschlossenen Geräten die richtige Netzadresse mitgeteilt bekommt. Dies erfolgt durch spezielle Protokolle (RARP oder BootP, siehe eines der folgenden Kapitel)

• Sind in einer Adresse alle Bits der Hostadresse dagegen „0“, bedeutet das je nach Kontext entweder "dieser Rechner" oder die Adresse verweist auf das „Netz als Ganzes“.

• Sind in einer Adresse alle Bits der Hostadresse „1“, sollen alle Geräte dieses (Sub-)Netzes angesprochen werden. Dies ist die so genannte Broadcast-Adresse des (Sub-)Netzes.

• Da jede Internet-Adresse ein Gerät in einem bestimmten (Sub-) Netz kennzeichnet, besitzen Router für jedes angeschlossene Netz eine eigene IP-Adresse.

• Offizielle Internet-Adressen werden in Form kompletter Netze vergeben, d.h. man erhält ein komplettes Class B oder Class C Netz (ein Class A Netz ist im Grunde nicht zu bekommen), innerhalb dessen man die Hostadressen frei vergeben darf.

• Ein Computer, der von einem Netz getrennt und an einem Anderen angeschlossen wird, muss eine neue Adresse erhalten.

• Ein Router kann, z.B. beim Ausfall eines Teilnetzes, möglicherweise noch auf einer seiner Adressen erreicht werden, auf einer Anderen hingegen nicht.

An dieser Stelle wurde im Detail noch nicht auf das Subnetting oder Supernetting / CIDR eingegangen. Dies wird später ergänzt.

Eines vorweg: Das Internet hat die ursprüngliche Klassen-Interpretation durch die Adressknappheit aufgegeben. Mit Hilfe der Subnetzmaske wird die Netzadresse im Router bestimmt, nach der ein Weg zu suchen ist. Dadurch können selbst Class C Adressen feiner strukturiert werden und damit mehr Kunden versorgt werden. Aber zu einem späteren Zeitpunkt mehr.

A R P , R A R P , D H C P U N D B O O T P

Jedes LAN (z.B. Ethernet, Token Ring) benutzt eine eigene Adressierung. Die hierbei verwendeten Adressen werden Hardwareadressen oder MAC-Adressen genannt. Deswegen muss ein Verfahren gefunden werden, IP-Adressen in die spezifischen Hardwareadressen umzusetzen. Dies wird als Adressauflösung (engl. Address Resolution) bezeichnet.

Einige Netze verwenden sehr kurze Hardwareadressen, die vom Systembetreuer eingestellt werden können. In diesem Fall ist eine arithmetische Umsetzung der Hostadresse auf die Hardwareadresse möglich. Im Falle von z.B. Ethernet geht dies nicht, da die



Hardwareadressen vom Hersteller der Ethernet-Hardware fest eingestellt werden und sie für eine arithmetische Umsetzung mit 6 Byte zu lang sind.

Na, so ganz richtig war der Satz zuvor auch wieder nicht. Hardwareadressen sind zwar in einer NIC fest vergeben, daher auch manchmal „Burn-in Address“, aber in Windows-Systemen (über die Eigenschaften einer Netzwerkverbindungen) können auch die Hardwareadressen verändert werden (siehe Abbildung 88).

Abbildung 88: Ändern von MAC-Adressen bei Windowssystemen

So etwas wird gerne gemacht, wenn z.B. eine Software-Lizenz vom Hersteller (Beispiel: HP Openview) an einen Rechner über die MAC-Adresse gekoppelt wird, um bei einem Rechner- bzw. NIC-Austausch weiterarbeiten zu können. Sie sollten solche Sachen aber lassen. Treten nämlich doppelte MAC-Adressen im Netz auf, kommt es zu Fehlern, die nicht gleich auffallen!

Zurück zur Adressauflösung: Für diesen Fall existiert ein spezielles Protokoll, das Address Resolution Protocol (ARP). Das Funktionsprinzip ist einfach: Ein Rechner, der die Hardwareadresse seines Zielrechners nicht kennt, schickt eine ARP-Anforderung (ARP-Request) als Broadcast (d.h. an alle Rechner im Netz) ab. Diese enthält IP- und Hardwareadresse des Senders und die IP-Adresse des Zielrechners. Alle Rechner des Netzes prüfen nun, ob sie das Ziel der Anfrage sind. Nur der



Zielrechner beantwortet das Paket mit einer ARP-Bestätigung (ARP-Response), das er direkt an den anfragenden Rechner schickt. Diese enthält seine Hardwareadresse, die der anfragende Rechner zur Übertragung der Nutzdaten verwenden kann.

Dieses Verfahren wäre sehr intensiv (hohe Netzlast, hohe Belastung nicht beteiligter Rechner), wenn diese ARP-Anforderungen jeden Datenaustausch einleiten würden. Daher wurde der ARP-Cache eingeführt. Er ist eine Tabelle von IP- und zugehörigen Hardwareadressen, die jede Station führt (aber nur für eine gewisse Zeit, um auch Umzüge zu unterstützen). Sie wird aktualisiert, sobald eine ARP-Anfrage oder ARP-Bestätigung eintrifft. Alle Stationen im Netz können die per Broadcast versendeten ARP-Anfragen nutzen, um ihren ARP-Cache auf dem aktuellen Stand zu halten. Eine weitere Verbesserung lässt sich erzielen, wenn ein neuer Rechner am Netz sofort seine Hardwareadresse bekannt gibt.

Abbildung 89: Einfaches Beispiel eines ARP-Cache

Ein Eintrag im ARP-Cache wird allerdings nur ca. 10 Minuten gehalten und danach wieder gelöscht. Ansonsten wäre eine einmal getroffene Zuordnung von IP-Adresse zu Hardwareadresse ewig. Der Austausch einer defekten Netzwerkkarte (NIC) würde dann dazu führen, dass der Rechner nicht mehr im Netz erreichbar ist; umgezogene Rechner wären sonst nicht mehr erreichbar. Ein Standby-Server könnte die Arbeit des ausgefallenen Hauptservers nicht mit der gleichen IP-Adresse fortsetzen und eine doppelt vergebene IP-Adresse bringt das Netz nachhaltig durcheinander.

Am Netz angeschlossene Geräte ohne eigenen Massespeicher (z.B. Diskless Workstations oder Netzwerkdrucker) wissen nach dem Einschalten ihre IP-Adresse normalerweise noch nicht. Deswegen gibt es ein umgekehrtes ARP-Protokoll (Reverse Address Resolution Protocol, RARP). Das Gerät sendet eine RARP-Anfrage als Broadcast-Datagramm ins Netz. Diese enthält zunächst nur die eigene Hardwareadresse. Mindestens eine Station im Netz muss als RARP-Server eingerichtet sein



und über eine Zuordnungstabelle von Hardware- zu IP-Adressen verfügen. Nun wird eine RARP-Antwort an die Hardwareadresse des anfragenden Geräts gesendet und dieses kann nun seine IP-Adresse eintragen.

Man kann die Zuverlässigkeit dieses Verfahrens durch den Einsatz mehrerer RARP-Server steigern. Einer wird dazu als Hauptserver (Primary RARP Server) eingerichtet, der seine Antwort sofort nach Eintreffen der Anfrage schickt. Die übrigen antworten entweder erst nach einer zufällig gewählten Pause oder nur dann, wenn eine RARP-Anfrage gleichen Inhalts kurz hintereinander zweimal verschickt wurde (d.h. der Frager erhielt keine Antwort und versucht es noch einmal).

RARP ist sehr rudimentär und kann nur die IP-Adresse richtig setzen. Für weitere Einstellungen, z.B. Subnetzadressen und Default-Gateway (siehe nächste Kapitel) ist es nicht geeignet. Deswegen sind zwei weitere Protokolle entstanden, die die gleiche Aufgabe wahrnehmen:

• DHCP ist hauptsächlich in der Windows-Welt beheimatet. Gemäß der Windows-Philosophie, dass alles möglichst automatisch passieren soll, kann man bspw. einen NT-Server anweisen, alle IP-Adressen automatisch zu verwalten. Er unterhält dazu einen Pool von IP-Adressen und weist einem anfragenden Host automatisch eine davon zu. Es ist allerdings auch eine feste Zuordnung einstellbar oder die automatische Zuweisung einer Adresse an einen neuen Host, die der dann aber in jeder folgenden Sitzung wieder erhält.

• BootP entstammt der Unix-Welt und muss manuell für jede Adresszuordnung konfiguriert werden. Dafür kann man die Netzwerkparameter sehr genau spezifizieren und sogar eine Konfigurationsdatei automatisch an das Gerät übertragen lassen. Ein Drucker kann auf diesem Weg z.B. seine Grundeinstellungen erhalten.

Die vollautomatische Adressvergabe ist zwar bequem, aber immer dann untauglich, wenn feste IP-Adressen benötigt werden. Dies ist beispielsweise dann der Fall, wenn die IP-Adresse als Entscheidungskriterium herangezogen wird, ob an dem Arbeitsplatz im Internet gesurft werden darf oder nicht. DHCP ist zudem auf das lokale Netz beschränkt. Für BootP gibt es ein Verfahren, mit dem Router diese Pakete in ein anderes Teilnetz transportieren kann. Man spricht dabei von "Remote BootP".



Abbildung 90: Funktion der Adressauflösung

S U B N E T Z E

Ein wichtiges Verfahren bei der Arbeit mit IP-Adressen ist das Subnetting, d.h. die Bildung von Subnetzen. Dies verwenden z.B. ISPs, die über ganze Class-B-Netze verfügen, dieses aber maximal in Class-C-Größe an ihre Firmenkunden weitergeben. Natürlich gibt es viele Gründe für ein Subnetting. Kurzum: man möchte seinen Adressraum weiter verfeinern.

Für Netze, die nicht direkt mit dem Internet verbunden sind, ist im RFC 1918 zum Beispiel ein Class-A-Netz vorgesehen, das als erstes Byte den Wert "10" hat. Dieses können z.B. große Unternehmen verwenden, um ihr Netz hierarchisch zu strukturieren. Wie man ein auf solchen Adressen basierendes Netz trotzdem mit dem Internet verbinden kann, wird später noch erläutert werden.

Die Bildung von Subnetzen geschieht mit Hilfe der so genannten Subnetzmaske. Diese sieht im ersten Moment wie eine IP-Adresse aus, muss aber bitweise interpretiert werden. Sie besteht grundsätzlich aus einer ununterbrochenen Folge von „1“-Bits, gefolgt von „0“-Bits. Eine Subnetzmaske gilt immer für alle Geräte eines Subnetzes und muss folglich überall gleich eingestellt werden.

Mit der Subnetzmaske kann ein Gerät bei jeder Adresse sehr leicht herausfinden, ob diese zum eigenen Subnetz gehört oder nicht: Die eigene IP-Adresse wird mit der Subnetzmaske logisch UND verknüpft. Die zu untersuchende Adresse ebenso. Ist das Ergebnis gleich, gehört die Adresse dem eigenen Subnetz an und Datenpakete können direkt an diese geschickt werden. Andernfalls muss das Datenpaket in ein anderes Subnetz transportiert werden. Anders formuliert wird durch die Subnetzmaske die Aufteilung in Netzadresse und Hostadresse unabhängig von den Vorgaben des Class A-, B- oder C-Netzes neu und feiner festgelegt. Alle Bits einer IP-Adresse, die bei der Subnetzmaske "1" sind, gehören zur Netzadresse, die übrigen zur Hostadresse.



Beispiele:

IP-Adresse Subnetzmaske Beschreibung

10.250.5.62 255.255.255.0 10.250.5.0 ist die Netzadresse, 62 die Hostadresse

10.250.5.62 255.0.0.0 10.0.0.0 ist die Netzadresse, 250.5.62 die Hostadresse

10.250.5.62 255.192.0.0 19210 = 110000002, 25010 = 111110102

daraus folgt: 10.192.0.0 ist die Netzadresse, 58.5.62 die Hostadresse

Bei "krummen" Subnetzmasken erweist sich die dezimale Darstellung von IP-Adressen als unübersichtlich. Deswegen sind sie bei vielen Netzverwaltern unbeliebt, auch wenn sie sehr interessante Anwendungsmöglichkeiten eröffnen.

Beispiele:

Eine große Firma verwendet das freie Class-A-Netz 10.0.0.0, um die interne Hierarchie wie folgt abzubilden:

Abbildung 91: Beispiel mit Klasse A Adressen und Subnetting

Eine kleine Firma mit zwei Standorten bekommt von ihrem ISP das Class-C-Netz 194.218.117.0 zugewiesen. Nun kann mit Hilfe einer Subnetzmaske dieses in zwei gleich große Teilnetze aufgeteilt werden:



Abbildung 92: Beispiel Klasse C Adressen und Subnetting

I P - R O U T I N G

Als Routing bezeichnet man das Weiterleiten von Datenpaketen vom Sender zum Empfänger über mehrere Zwischenstationen. Die Zwischenstationen werden deswegen auch Router (oder manchmal „Hops“) genannt.

Ein Router verbindet zwei Netze gleicher oder unterschiedlicher Architektur miteinander und arbeitet auf OSI-Schicht 3. Sehr häufig werden LANs über ISDN-Router miteinander verbunden oder mehrere Teilnetze, die auf Ethernet basieren greifen über Router auf einen ATM-Backbone zu.

In jedem Fall hat ein Router mindestens zwei Anschlüsse (engl. Interfaces), die auch jeweils mit einer eigenen IP-Adresse versehen sind. Zudem wird in einer Tabelle eingetragen, welche IP-Datagramme wohin zu transportieren sind. Sie wird deshalb Routing-Tabelle genannt.

Im Beispiel sind zwei Router im Einsatz, deren Routing-Tabellen nachstehend aufgeführt sind:

Abbildung 93: Netzbeispiel Routing



Router 1:

Destination Netmask Next Hop Interface

194.218.117.0 255.255.255.128 194.218.117.1 eth0

10.1.1.0 255.255.255.0 10.1.1.1 isdn0

194.218.117.128 255.255.255.128 10.1.1.2

default 255.255.255.255 10.1.2.1

Router 2:

Destination Netmask Next Hop Interface

194.218.117.128 255.255.255.128 194.218.117.129 eth0

10.1.1.0 255.255.255.0 10.1.1.2 isdn0

default 255.255.255.255 10.1.1.1

Die beiden ersten Einträge beider Routing-Tabellen beschreiben die vorhandenen Interfaces. „Destination“ und „Netmask“ beziehen sich dabei auf das Subnetz, das über dieses Interface erreichbar ist, bei "Next Hop" steht die eigene Adresse innerhalb dieses Subnetzes. Der Eintrag "Interface" gibt an, ob die Verbindung über die Ethernet- oder die ISDN-Seite läuft. Auffällig ist hier, dass das ISDN-Interface eine IP-Adresse besitzt, die nicht vom ISP vergeben wurde. Diese wird nur für die Kommunikation im so genannten ISDN-Subnetz verwendet. Die meisten Router können mittlerweile auf solche ISDN-Subnetze auch ganz verzichten. Beide Router verschmelzen dann für das Netzwerk zu einer Einheit, die ISDN-Strecke ist dabei völlig transparent.

In Router 1 gibt es einen Eintrag, der alle Datenpakete, die für das andere Subnetz bestimmt sind, an Router 2 überträgt. Der letzte Routing-Eintrag bei Router 1 legt fest, dass alle übrigen Pakete zum Internet-Provider durchgestellt werden. Diesen Eintrag nennt man die "Default-Route". Eine solche wurde auch in Router 2 hinterlegt, da dieser alles, was nicht für das lokale Netz bestimmt ist, zu Router 1 übermitteln muss.



Alle übrigen Geräte im Netz benötigen nun nur noch einen einzigen Routing-Eintrag, nämlich auf den im jeweiligen Subnetz angeschlossenen Router. Unter Windows wird dieser in den TCP/IP-Einstellungen bei "Default Gateway" vorgenommen.

Der Inhalt der Routing-Tabelle kann sowohl unter Windows als auch unter Unix mit dem Befehl "netstat -r" angezeigt werden.

Woher bekommt nun ein Router seine Tabellen-Einträge? Zunächst unterscheidet man zwischen einem

• statischen Routing und einem

• dynamischen Routing.

Beim statischen Routing werden die Tabellen-Einträge manuelle konfiguriert und bleiben fest erhalten. Der Router verändert nichts und entsprechende Datenpakete werden nach den manuell eingetragenen Netzen weiter vermittelt.

Beim dynamischen Routing lernen die Router selbständig alle Subnetze eines TCP/IP Netzes. Hierzu gibt es so genannte Routing-Protokolle, deren Pakete nur zwischen den Routern ausgetauscht werden. Beispiele hierfür sind RIP -1/-2, OSPF, BDG-4, IGRP (CISCO); EIGRP (CISCO). Die Verschiedenen Routing-Protokolle arbeiten mit unterschiedlichen Metriken (Kriterien für die Routing-Entscheidung) und sind teilweise sehr kompliziert. Daher soll an dieser Stelle nicht weiter vertieft werden. Vom Prinzip her müssen aber Mechanismen durch diese Protokolle geschaffen werden, wie ein Router seine bekannten Netze anderen Routern mitteilt, damit seine Nachbarn diese lernen können. Bei RIP-1 beispielsweise geschieht das als Broadcast alle 30 Sekunden. Das dynamische Routing hat den Vorteil, dass auf Netzausfälle schnell reagiert werden kann und somit ein Rerouting stattfindet, was beim statischen Routing nur durch manuelle Änderung erfolgen kann.

I C M P

Das Internet Control Message Protocol (ICMP) ermöglicht den höheren Protokollschichten, Fehlerzustände in TCP/IP Netzen zu erkennen und gibt dem Netzwerkbetreuer Werkzeuge zur Diagnose an die Hand. ICMP-Pakete werden als Nutzdaten von gewöhnlichen IP-Paketen übertragen und können je nach Typ unterschiedliche Längen haben. Jedes ICMP-Paket enthält jedoch zuerst zwei 8-Bit-Felder, "Type" und "Code". Der Type legt dabei die grundsätzliche Funktion des Pakets fest, Code kann diesen Typ dann genauer spezifizieren. Bei Paketen, die bei Fehlern automatisch generiert werden, enthält das ICMP-Paket zudem den Header und die ersten 8 Bytes der Nutzdaten des den Fehler verursachenden IP-Pakets.



Ping:

Der wichtigste Typ der ICMP-Pakete ist der "Echo Request", der mit Type=8 und Code=0 verschickt wird. Der Empfänger dieses Pakets muss es zurücksenden, wobei er Type=0 und Code=0 setzt und es damit zum "Echo Reply" macht. Dieser Mechanismus ermöglicht es, die Erreichbarkeit einer bestimmten Adresse zu prüfen. Der Echo Request lässt sich bei fast jedem Betriebssystem mit folgendem Befehl auslösen:

ping <adresse> [z.B. <paketgroesse>]

An dem Parameter "Paketgröße" ist zu erkennen, dass man einen Echo Request mit Testdaten füllen kann, um das Verhalten des Netzes bei verschiedenen Paketgrößen prüfen zu können. Je nach Implementierung läuft der Ping-Befehl entweder im Sekundentakt so lange, bis er mit Strg-C abgebrochen wird, oder erzeugt nur 4 Echo Requests im Sekundentakt und beendet sich dann selbst wieder. Dieses Standardverhalten lässt sich jedoch über Parameter ändern.

Abbildung 94: Mögliche Parameter des Befehls "Ping"

Ziel nicht erreichbar:

Dieses ICMP-Paket wird erzeugt, wenn ein Gerät im Netz ein Paket als nicht zustellbar erkennt und deswegen verwerfen muss. Es hat dann den Typ 3 und kennzeichnet mit dem Code den Fehler genauer:

„0“: Network unreachable (Netzwerk nicht erreichbar)

„1“: Host unreachable (Endgerät nicht erreichbar)

„2“: Protocol unreachable (Protokoll nicht verfügbar)

„3“: Port unreachable (Port nicht erreichbar)

„4“: Fragmentation needed and DF set (Fragmentierung wäre notwendig, ist aber per DF-Flag untersagt)



„5“: Source route failed (vom Sender vorgegebenes Routing fehlgeschlagen)

Source Quench:

Falls ein Router oder Endgerät Datenpakete von einem bestimmten Sender in schnellerer Folge erhält, als er sie verarbeiten kann, sendet er dieses ICMP-Paket mit Type=4 und Code=0. Der Sender sollte dann seine Pakete mit größeren Pausen versenden, ansonsten wird der Empfänger voraussichtlich Pakete verwerfen müssen.

Route ändern (ICMP-Redirect):

Gesetzt den Fall, ein Router erhält ein Datenpaket, das er aufgrund seiner Routing-Tabellen weiterleiten kann. Stellt er nun fest, dass der Sender des Datenpakets und der Router, an den er es weiterleiten möchte, sich im gleichen Netz befinden, könnte das Paket günstiger direkt über diesen verschickt werden. Dies wird dem Sender mit einem "Change Route" ICMP-Paket (Type=5) mitgeteilt. Der Code gibt hierbei an, ob die bessere Route für das ganze Zielnetz gilt (0) oder nur für den Zielhost des ursprünglichen Pakets (1). Mit einem „Change Route“ können direkt Einträge in den Routing-Tabellen der Endgeräte vorgenommen werden.

Lebenszeit (TTL) abgelaufen:

Der IP-Header enthält ein TTL-Feld (Time To Live), das mit jeder Zwischenstation (Router, Hop) auf dem Weg des Pakets durchs Netz um eins vermindert wird. Erreicht TTL den Wert Null, wird das Paket verworfen und der Sender durch ein "Time Exceeded" ICMP-Paket mit Type=11 und Code=0 informiert. Eine zweite Variante (Type=11 und Code=1) wird gesendet, wenn ein fragmentiertes Paket innerhalb eines Timeouts nicht komplett rekonstruiert werden kann, z.B. weil ein Fragment verloren gegangen ist.

Die erste Variante wird von einem weiteren Befehl zur Netzwerkdiagnose genutzt, nämlich „Traceroute“ (auf Windows-Systemen meist "tracert" genannt). Dieser verschickt Datenpakete an einen Zielhost, und zwar zunächst eines mit einer TTL=1. Dieses wird also bereits von der ersten Zwischenstation verworfen und ein "Time Exceeded" ICMP-Paket zurückgesendet. Die IP-Adresse dieser Station wird angezeigt und nun ein Paket mit einer TTL=2 verschickt. Dieses wird von der zweiten Station verworfen und so weiter. Irgendwann ist die TTL groß genug und das Paket erreicht sein Ziel. Nun beendet sich der Traceroute-Befehl. Als Ergebnis ist eine Liste der Zwischenstationen vom Sender zum Empfänger zu sehen. Dabei ist zu beachten, dass man von Routern immer die IP-Adresse jenes Interfaces zurückgemeldet bekommt, über das das ICMP-Paket zum anfragenden Host geschickt wird. Ein grafisches Tool zum Thema „Traceroute“ stellt NeoTrace dar (siehe oben).



Beispiel: Sie arbeiten an dem Rechner mit der IP-Adresse 10.1.1.50:

Abbildung 95: Beispiel Traceroute

IPv6

Bereits Anfang der 90er Jahre zeichnete sich ab, dass der Adressraum der 32 Bit langen IPv4-Adressen irgendwann erschöpft sein wird. Eigentlich müsste man sich darüber wundern, sollten doch 232 Zahlen genügend Adressen liefern. Bedingt durch die zuvor genannte Klasseneinteilung ist man aber von Beginn an ziemlich verschwenderisch mit den Adressräumen umgegangen. Zudem wurden von Beginn an den Unternehmen einfach auf Anfrage oder Bitte Class A und B Adressen zugeteilt. Selbst Unternehmen, die keine Class B Adresse anhand ihrer Mitarbeiterzahl oder Endgerätezahl benötigten, konnten zu Beginn eine Class B Adresse erhalten. 1996 ergab dann eine Untersuchung, dass bereits alle Class A Adressen vergeben sind, sowie 62% der Class B Adressen und 37% der Class C Adressen. Seither ist die Anzahl der Hosts (Endgeräte) im Internet richtiggehend explodiert.

Um dieser Adressknappheit Herr zu werden, wurden neue Überlegungen angestellt, die in eine IP Version 6 gemündet sind. Allerdings lässt die praktische Umsetzung in den heutigen Netzen noch etwas „zu wünschen übrig“, da mit NAT, PAT und DHCP so genannte „Work Arounds“ entwickelt wurden, die das Problem gegenwärtig und vorläufig entschärften. Zudem wurden private Adressen 1996 mit dem RFC 1918 eingeführt, die außerhalb des Internets frei von jedermann benutzt werden können. Trotzdem dürften die ursprünglichen Schätzungen, nach denen die IP-Adressen erst 2008 oder gar 2018 ausgehen sollten, deutlich zu optimistisch gewesen sein.

Eine Lösung für dieses Problem liegt in der Theorie bereits seit einigen Jahren vor, konnte sich in der Praxis jedoch bisher nicht durchsetzen. Es handelt sich dabei um ein neues Paketformat für das Internet Protocol, IPv6 genannt. Die wesentliche Änderung sind dabei neue Adressen mit



128 Bit Länge, womit auf jeden Quadratmeter der Erdoberfläche etliche Millionen IP-Adressen nun entfallen und damit für alle Zeiten ausreichend sein müssten.

I P V 6 P A K E T A U F B A U

Der folgende IPv6 Header (Kopf) hat eine feste Länge von 40 Bytes und ist nach Abbildung 96 aufgebaut.

Abbildung 96: IPv6-Paket (Datagramm)

Auffällig ist vor allem, dass gegenüber IPv4 einige Felder fehlen. Die Fragmentierungssteuerung ist komplett entfallen. Ist ein IPv6-Paket für eine Übertragungsstrecke zu groß, wird es einfach verworfen und dem Sender die MTU per ICMP-Protokoll mitgeteilt. Dieser sendet die Daten dann einfach in kleineren „Häppchen“ erneut. Zudem fehlt die Prüfsumme. Man geht bei IPv6 davon aus, dass sowohl die niedrigeren als auch die höheren Schichten mit Prüfsummen arbeiten, man hier also darauf verzichten kann. Das ist insbesondere deswegen bedeutend, weil bisher ja jeder Router das TTL Feld änderte und deswegen die Prüfsumme neu berechnen musste, was auch Zeit benötigte. Auch auf diese Optionen hat man zugunsten einer festen Headerlänge und Vereinfachung verzichtet.

Neu ist das Feld „Priorität“, mit dem die Wichtigkeit eines Pakets gekennzeichnet werden kann. Zwar gab es so was mit dem ToS (Type of Service) Feld bei IPv4 auch, wurde dort aber nie genutzt. Folgende Prioritäten sind festgelegt:



0 uncharakterisierter Verkehr

1 "Füllmaterial", z.B. Newsgruppen

2 zeitunkritischer Verkehr, z.B. E-Mail

3 reserviert

4 Mengendaten, z.B. FTP, NFS

5 reserviert

6 Interaktive Anwendungen, z.B. Telnet

7 Steuerung, z.B. SNMP

Abbildung 97: Prioritätsklassen bei IPv6

Ein weiteres Feld dient der Kennzeichnung von Datenströmen, "Flow" genannt. Darunter könnte man die kontinuierliche Übertragung von Video- oder Audioinformationen verstehen, die in Echtzeit beim Empfänger ankommen sollten und daher mit erhöhter Priorität zu übertragen sind. Den gleichen Mechanismus könnte man natürlich auch nutzen, um bestimmten Nutzern höhere Leistungsklassen anbieten und zusichern zu können. Wie das Flow-Feld tatsächlich genutzt werden wird, ist noch nicht vollständig klar.

Der Header kann von weiteren Headern gefolgt werden, die dann noch vor den Nutzdaten eingefügt werden. Das Protokoll-Feld dient dann jeweils der Kennzeichnung des Typs des folgenden Headers. Die weiteren Header erfüllen damit die Aufgaben der früheren Optionsfelder. Mit ihnen kann z.B. das Routing vorbestimmt werden, Authentifizierungs- oder Verschlüsselungsinformationen übertragen werden.

M I G R A T I O N V O N I P V 4 Z U I P V 6

Heute erst wird in den Geräten (insbesondere Router) IPv6 integriert. In Ausschreibungen wird die meist als K.O. Kriterium gefordert, aber wie gesagt, es nutzt ja noch kaum einer! Damit müssen die Router sowohl mit IPv4 als auch mit IPv6 umgehen können. Die schwierigste Frage im Hinblick auf eine zukünftige Umstellung des Netzes stellt sich bei der Koexistenz beider Netzwerkprotokolle in einer Übergangszeit. Die Idee, eine Umstellung einfach an einem bestimmten Stichtag vorzunehmen ist unrealistisch, viele Millionen Router und Endgeräte müssten ausgetauscht werden, weil man sie nicht einfach updaten kann oder sie vom Hersteller nicht mehr unterstützt werden.



Daher gibt es zwei Überlegungen, wie man IPv6 einführen könnte, ohne bestehende IPv4-Installationen zu stören:

• Umsetzung der Paket-Header in Routern, die beide Versionen beherrschen: Dabei gehen alle Informationen verloren, die nur in einem der beiden Header-Formate existieren. Zudem muss eine Adressumsetzung stattfinden, wodurch man den erweiterten Adressraum nicht richtig nutzen kann.

• Tunneling: Hier werden auf einer IPv4-Strecke die IPv6-Pakete einfach komplett als Nutzdaten in IPv4-Frames verpackt, beim nächsten IPv6-fähigen Router wieder ausgepackt und ganz normal weitervermittelt.

VPN (Virtual Private Network)

Es ist bei der Kopplung von lokalen Netzen über große Distanzen oftmals am günstigsten, an allen Standorten Internetzugänge mit hoher Kapazität zu schaffen und die Infrastruktur des Internets zum Datenaustausch zu nutzen. Das hat jedoch den Nachteil, dass die so übermittelten Daten grundsätzlich abgehört werden könnten. Deshalb wurden Methoden entwickelt, die Daten so zu übertragen, dass durch Abhören keinerlei Kenntnisse aus ihnen gezogen werden können und auch keine Angriffsmöglichkeiten auf das Netz daraus entstehen. Dieses Verfahren nennt man "Tunneling" von Daten durch das Internet, das Gesamtnetz wird dann als VPN (Virtual Private Network) bezeichnet.

Allgemein versteht man unter einem VPN die Emulation eines privaten Netzes in einem öffentlichen Netz, daher auch die Bezeichnung „virtuell“. Das kann sowohl für Sprach- also auch für Datennetze gelten. In Sprachnetzen erreicht man das „Private“ durch Bildung einer geschlossenen Benutzergruppe in einem öffentlichen Netz. Die Deutsche Telekom AG bietet hierzu beispielsweise den Mehrwertdienst mit 0181-Rufnummern. In einem Datennetz erreicht man gleiches durch eben die genannte Tunnel-Technik gepaart mit Authentifizierung und Verschlüsselung.

Für (Daten-)VPNs entwickelt sich das Protokoll IP Security (IPSec) mittlerweile zunehmend zum Standard. Es arbeitet zur Sicherung der Übertragung normalerweise mit einem doppelten unsymmetrischen Schlüssel.

Bei einem unsymmetrischen Schlüssel gibt es genau genommen immer ein Schlüsselpaar, wobei ein mit dem einen Schlüssel verschlüsseltes Datenpaket nur mit dem anderen entschlüsselt werden kann und umgekehrt. Der eine Schlüssel ist nicht aus dem anderen ableitbar.



Jede Endstelle generiert sich nun ein Schlüsselpaar, behält den einen für sich (Private Key) und übermittelt den anderen an die Gegenstelle (Public Key). Von der Gegenstelle erhält sie deren Public Key.

Abbildung 98: Verschlüsselung von Datenpaketen

Jedes Datenpaket wird nun einmal mit dem Private Key des Senders und dem Public Key des Empfängers verschlüsselt. Dieser kann das Paket nach dem Empfang:

• zuerst mit dem Public Key des Senders bearbeiten. Dadurch ist sichergestellt, dass das Paket tatsächlich von dort stammt, da sonst niemand das Paket so verschlüsseln kann (Authentifizierung) ,

• dann mit dem eigenen Private Key vollends entschlüsseln. Dadurch ist garantiert, dass das Paket niemand mitliest, da den Private Key niemand sonst besitzt. (Codierung)

Ein Außenstehender kann mit den Daten auch dann nichts anfangen, wenn er beide Public Keys abgefangen hat. Das gleiche Verfahren gibt es auch zur sicheren Übertragung von E-Mails oder Dateien. Am populärsten ist hier das Programm "PGP" (Pretty Good Privacy).

Neben IPSec-(Daten-)VPNs wurde zu Beginn dieser Technik mit den Protokollen L2TP und PPTP gearbeitet. Mittlerweile können VPNs aber auch in MPLS-Netzen mit Hilfe der Label Switching Technik erzeugt werden.

TCP

TCP wurde 1981 im RFC 793 spezifiziert (nach UDP, siehe unten). Es ist der OSI-Schicht 4 zuzuordnen und wird direkt in IP übermittelt. Es ermöglicht den höheren anwendungsorientierten Schichten eine



verbindungsorientierte Arbeitsweise. Dazu realisiert es zahlreiche Funktionen:

• Verbindungen können geregelt auf- und abgebaut werden. Hierzu gibt es einen so genannten Three-Way-Handshake,

• die Verbindung ist in beiden Richtungen nutzbar (vollduplex),

• die Datenübertragung wird durch Sequenznummern (Reihenfolgeerkennung) und Prüfsummen abgesichert,

• verloren gegangene Pakete werden wiederholt (Retransmission).

Die Festlegung des gewünschten Dienstes auf dem Zielrechner erfolgt durch so genannte Portnummern. Für die standardisierten Protokolle (FTP, Telnet, HTTP) sind die Portnummern festgelegt. Portnummern bis zu einem Wert von 1.023 bezeichnet man als Well-known Ports und sind standardisiert. Jedes TCP-Paket enthält eine Portnummer des Senders und eine des Empfängers. Der Sender darf seine beim Verbindungsaufbau frei festlegen, die des Empfängers wählt, wie gesagt, den gewünschten Dienst aus. Die Kombination aus einer IP-Adresse und einer Portnummer wird "Socket" genannt. Ein Prozess, der im Netz einen Socket bereitstellt, wird als Server-Prozess bezeichnet. Ein Prozess, der so einen Socket nutzt ist folglich ein Client. Wozu Sockets? TCP unterstützt auch ein Multiplexing. Das heißt, mehrere TCP-Verbindungen können über ein Netz aufgebaut werden. Würden beispielsweise drei parallele TCP-Verbindungen auf einem Zielrechner den gleichen Dienst ansprechen, können sie allein über die Portnummer nicht unterschieden werden, wohl aber mittels Sockets.

T C P - P A K E T A U F B A U ( S E G M E N T )

Ein TCP-Paket ist folgendermaßen aufgebaut:

Abbildung 99: TCP-Paketaufbau (Segment)

Die Sequenz- und Bestätigungsnummern (Sequence und Acknowledgement Number) dienen ebenso wie die Fenstergröße (Window Size) der Datenflusssteuerung und werden im Anschluss genauer beschrieben.



Die Header-Länge gibt, wie beim IP-Paket, die Größe des Headers in 32-Bit-Schritten an. Da auch bei TCP meist keine Optionen enthalten sind, steht hier normalerweise 5, d.h. der Header ist i.d.R. 20 Bytes groß.

Die Flags "PSH" und "URG", sowie das Feld "Urgent Pointer" waren dafür vorgesehen, die sofortige Weiterleitung wichtiger Daten an die übergeordnete Protokollschicht beim Empfänger zu erzwingen. Dies wird aber nirgends benutzt.

T C P V E R B I N D U N G S A U F - U N D A B B A U

Bevor Nutzdaten bei verbindungsorientierten Protokollen übertragen werden können, ist immer ein Verbindungsaufbau notwendig. Dieser beschränkt sich darauf, die Verbindung bei Sender und Empfänger zu initialisieren. Er hat nichts mit dem zugrunde liegenden Netzwerk, sprich dem physikalischen Aufbau der Verbindung zu tun und ist deshalb nur als Kommunikationsbeziehung anzusehen. Das wird vor allem dann klar, wenn man bedenkt, dass das TCP-Protokoll ja nur von den Endgeräten ausgewertet wird, also ein Ende-zu-Ende Protokoll darstellt. Die Router entlang des Weges "sehen" nur IP-Pakete, deren Inhalt ist ihnen gleichgültig.

Der Verbindungsaufbau erfolgt in drei Schritten, weswegen er "Three-Way-Handshake" genannt wird. Zunächst überträgt der Client-Prozess ein Datenpaket, das noch keine Nutzdaten enthält. Er trägt aber eine zufällig bestimmte Sequenznummer ein und setzt das Flag "SYN" (Synchronize), was dem Server-Prozess einen Verbindungsaufbau signalisiert. Die Sequenznummer gilt ab jetzt als laufender Bytezähler für die Datenübertragung von Client zu Server während dieser Verbindung und wird mit jedem übertragenen Paket um die Anzahl der im vorhergehenden Paket enthaltenen Nutzdaten-Bytes erhöht. Waren keine Nutzdaten enthalten, erfolgt trotzdem eine Erhöhung um eins.

Der Server-Prozess antwortet auf das SYN-Paket mit einer Verbindungs-aufbaubestätigung. Diese ist durch die Flags „SYN“ und „ACK“ (Achnowledge, Bestätigung) gekennzeichnet. Auch er wählt für seine zukünftigen Übertragungen (die ja in Gegenrichtung laufen) eine Sequenznummer. Als Bestätigungsnummer setzt er die um eins erhöhte Sequenznummer ein, die er zuvor vom Client erhalten hatte. Damit teilt er mit, dass er nun ein Datenpaket mit dieser Sequenznummer erwartet.

Nun betrachtet der Client-Prozess die Verbindung als aufgebaut. Er muss dies jedoch noch dem Server mitteilen, wobei er in diesem Paket wahlweise auch schon Nutzdaten mitschicken kann. Auf jeden Fall sendet er ein Paket mit dem Flag "ACK", das die Sequenz- und Bestätigungsnummern korrekt gesetzt hat. Nun kann der Datenaustausch erfolgen.

Der Verbindungsabbau wird von einer der beiden Endgeräte eingeleitet, indem diese zunächst ihren Sendepuffer leert und im letzten Paket das



"FIN"-Flag setzt. Die Gegenstelle bestätigt dessen Empfang, indem sie ebenfalls ein Paket mit gesetztem "FIN"-Flag sendet. Nun leert auch sie noch ihren Sendepuffer und versieht das letzte Datenpaket mit einem weiteren "FIN"-Flag. Der Auslöser des Verbindungsabbaus bestätigt dies nochmals mit einem "ACK"-Paket, bleibt aber noch für einen kurzen Zeitraum empfangsbereit, um eventuelle „Nachzügler“-Pakete noch entgegenzunehmen. Danach gilt die Kommunikationsbeziehung als getrennt und der Socket wird auf beiden Seiten wieder freigegeben.

D A T E N Ü B E R T R A G U N G

Um das Konzept des Verbindungsaufbaus und der nun folgenden Datenübertragung besser zu verstehen, kann man sich beide Endpunkte einer TCP-Verbindung folgendermaßen veranschaulichen:

Abbildung 100: TCP Verbindungsaufbau

Sowohl der Client- als auch der Serverprozess unterhalten Puffer für das Senden und Empfangen. In die Sendepuffer werden jeweils Daten geschrieben, die zur Gegenseite übertragen werden sollen. Normalerweise wird damit gewartet, bis eine gewisse Mindestmenge an Daten ("Chunk-Größe") im Puffer ist, bevor die Übertragung beginnt. Bei interaktiven Anwendungen, wie z.B. Telnet, wäre dies nicht zweckmäßig, dort wird immer sofort gesendet. Die übertragenen Daten landen auf der Gegenseite zunächst im Empfangspuffer und können dort durch einen Prozess der nächst höheren Protokollschicht ausgelesen werden.

Mit dem Verbindungsaufbau bestimmt zunächst der Client-Prozess senderseitig eine Sequenznummer und überträgt sie zum Server-Prozess, der sie empfangsseitig einträgt. Der gleiche Vorgang läuft nun bei der Bestätigung des Verbindungsaufbaus noch mal in der Gegenrichtung ab.

So läuft von nun an der gesamte Datentransfer: Sobald eine Seite etwas sendet, wird ein TCP-Paket (genauer gesagt ein Segment) mit der aktuellen Sende-Sequenznummer erzeugt und diese anschließend um die Anzahl der übertragenen Nutzbytes erhöht. Der Empfänger stellt die Nutzdaten in den Empfangspuffer und erhöht seine Empfangs-Sequenznummer um die Anzahl der empfangenen Bytes. Der Empfänger



sendet nun eine Bestätigung, d.h. ein Datenpaket mit dem Flag "ACK". Dieses kann wahlweise leer sein oder Daten enthalten, die ohnehin zur Übertragung anstehen. Auf jeden Fall enthält das Paket als Bestätigungsnummer die neue Sequenznummer. Sobald das Paket ankommt, weiß der Sender, dass seine Daten gut angekommen sind und kann dies in einer Variablen (im Beispiel "bestätigt" genannt) ablegen.

Nun kommt noch eine weitere Größe ins Spiel: Es kann passieren, dass die Daten auf einer Seite nicht so schnell aus dem Empfangspuffer gelesen werden, wie neue nachgeliefert werden. Um einen Puffer-Überlauf auszuschließen, wird dessen Restkapazität mit jedem TCP-Paket im Feld "Fenstergröße" übermittelt. Die Gegenstelle kann sich folglich darauf einstellen und seine Übertragungen vorübergehend reduzieren oder einstellen, wenn der Puffer überzulaufen droht. Man nennt dieses Verfahren auch Flusssteuerung. Die dafür notwendige Fenstergröße (Window-Size) wird in einem komplizierteren Verfahren über die Netzverzögerung bestimmt. Je langsamer das Netz, desto geringer die Fenstergröße. Man nimmt also Last vom Netz, weil lange Verzögerungszeiten meist ein Indiz auf Überlastung sind.

TCP benötigt Mechanismen für die Absicherung der übertragenen Daten gegen Verlust. Daher wird für jedes gesendete Paket ein Timer gestartet. Läuft dieser ab, bevor das Paket bestätigt wurde, wird es nochmals übertragen. Es wird übrigens nicht bei jedem Paket auf die Bestätigung gewartet - solange es die Fenstergröße des Empfängers zulässt, werden Pakete gesendet. Eine notwendige Paketwiederholung bei fehlender Bestätigung nennt man Retransmission. Übrigens, da nicht einzelne Pakete bestätigt werden, wird auch nicht ein einzelnes Paket wiederholt, sondern alles bis zu letzten Bestätigung.

Geht bei der Übertragung etwas schief, wird der Empfänger wahrscheinlich anstelle des erwarteten Pakets bereits das nächste erhalten, welches er an der höheren Sequenznummer erkennt. Er sendet dann ein Paket, in dem er das ACK-Flag setzt, als Bestätigungsnummer aber die Sequenznummer einträgt, die er eigentlich erwartet hätte. Der Sender erhält nun für eine bereits bestätigte Sequenznummer eine zweite Bestätigung. Er schießt daraus, dass wohl das nachfolgende Paket verloren gegangen ist und sendet dieses noch mal. Es bleibt der TCP-Implementierung des Empfängers überlassen, ob er die zwischenzeitlich empfangenen Pakete mit höheren Sequenznummern aufbewahrt und nach Eintreffen des Nachzüglers mit der Sequenznummer des nun erwarteten nächsten Pakets bestätigt oder ob er alle Folgepakete verwirft und diese nun nacheinander noch mal anfordert. Ersteres ist natürlich wesentlich performanter, die zweite Lösung hingegen wesentlich leichter zu implementieren.

UDP

UDP ist gemessen an der Komplexität von TCP erfreulich einfach aufgebaut und war das erste Transportprotokoll der TCP/IP-Familie. Es



stellt einen Datagramm-Dienst (verbindungslos) zur Verfügung. Da dieselbe Funktionalität bereits im zugrunde liegenden Internet Protocol enthalten ist, bleibt für UDP nicht mehr viel zu tun. Das einzige, was bei IP noch fehlt, sind die Portnummern. Entsprechend sieht dann auch ein UDP-Paket aus:

Abbildung 101: UDP-Paket (Segment)

UDP wird von höheren Protokollen verwendet, die verbindungslos arbeiten möchten und bei denen jede Übertragung in einem Paket Platz findet oder möglichst schnell ablaufen soll (z.B. VoIP). Typische Beispiele dafür sind DNS (Domain Name Service) oder SNMP (Simple Network Management Protocol). Andere Protokolle wie z.B. NFS (Network File System) setzen auf UDP auf und kümmern sich selbst um Flusskontrolle und Datenintegrität.

Zusammenwirken der OSI-Schichten 1 bis 4

In diesem Kapitel soll betrachtet werden, wie ein TCP-Paket seinen Weg ins Netz findet.

Angenommen, ein Paket wird von einem Rechner mit der IP-Adresse 10.1.1.1 gesendet und soll an die IP-Adresse 144.144.144.1 übertragen werden. Der Weg dorthin führt über den Router 10.1.1.2.

Das Anwendungsprogramm, das diese Kommunikation durchführt, muss dazu zunächst über einen Betriebssystemaufruf einen Socket öffnen, womit die eigene Portnummer festgelegt ist. Nun wird über einen weiteren Betriebssystemaufruf ein Verbindungsaufbau initiiert, wobei die IP-Adresse und der Port der Gegenstelle anzugeben ist. Nun wird das TCP-Protokoll den Three-Way-Handshake durchführen. Anschließend liefert der Betriebssystemaufruf einen Handle ähnlich dem Filehandle beim Öffnen einer Datei. Über diesen kann das Programm dann Daten über das Netz senden und empfangen.

Angenommen, die Verbindung steht und nun soll der Text "Hello World" gesendet werden. Das Anwendungsprogramm schreibt den Text über einen Betriebssystemaufruf in den Sendepuffer der TCP-Verbindung. Nun wird daraus ein TCP-Paket erzeugt, das folgendermaßen aussieht:

Abbildung 102: Beispiel eine TCP Pakets (Vorgang Encapsulation)



Dieses Paket wird nun von Schicht 4 an Schicht 3 übergeben, mit der Aufforderung, es an die Adresse 144.144.144.1 zu senden. In Schicht drei wird zunächst untersucht, ob die Adresse im eigenen Netzwerk zu finden ist. Das ist hier im Beispiel nicht der Fall. Nun wird die Adresse mit der Routing-Tabelle abgeglichen, um den Router herauszufinden, über den das Paket zuzustellen ist. Hier wird die Adresse 10.1.1.2 herausgefunden (ARP-Request). Mit einem Blick in den ARP-Cache ist dann mit etwas Glück auch die Hardwareadresse bekannt. Ansonsten muss sie per ARP-Request ermittelt werden. Jetzt kann das IP-Paket erstellt werden:

Abbildung 103: Beispiel eines IP Pakets (Vorgang Encapsulation)

Im IP-Header ist die IP-Adresse des Zielrechners eingetragen, nicht die des Routers. Das Paket wird aber an diesen übermittelt, indem seine Hardwareadresse bei der Übergabe des Pakets an Schicht 2 angegeben wird.

In Schicht 2 wird das TCP/IP-Paket in einen Ethernet-Frame eingebaut, der dann an Schicht 1 zur physikalischen, bitseriellen Übertragung übergeben wird. Das Ethernet-Paket sieht nun so aus:

46

Abbildung 104: Beispiel eines Ethernet Pakets (Vorgang Encapsulation)

Die Übermittlung von 12 Byte Nutzdaten benötigt letzten Endes also ein Datenpaket von 70 Byte Länge, der Nutzdatenanteil beträgt damit etwa 17%. Das Verhältnis wird natürlich besser, wenn die MTU-Größe von Ethernet voll ausgeschöpft wird. Dann ist das Paket 1518 Bytes lang und darin sind 1.500 Byte Nutzdaten (bei Ethernet V2) möglich. Das sind immerhin knapp 99% Nutzdatenanteil.

46 Fehlerteufel: Der Ethernet-Header beträgt 18 Byte inkl. Prüfsumme (CRC, 4 Bytes)



Anwendungen und Anwendungsprotokolle Bei Netzanwendungen denkt man zunächst primär an die bekannten Dienste, wie den Abruf von Webseiten im Internet (WWW-Dienst) oder den Versand von E-Mails, vielleicht auch noch an die gemeinsame Nutzung von Ressourcen mit Hilfe eines Netzwerk-Betriebssystems.

Die drei anwendungsorientierten Schichten 5-7 erfüllen jedoch auch Verwaltungsaufgaben, wie den Zugriff auf Verzeichnisdienste, deren bekanntester sicher das Domain Name System/Service (DNS) ist. Mittels DNS wird im Internet eine Zuordnung von Namen (z.B. www.yahoo.de) zu IP-Adressen (z.B. 217.12.3.11, vgl. Abbildung 105) ermöglicht, denn auf den Netzwerk-orientierten Schichten (Schichten 1 bis 3) werden ausschließlich Adressen innerhalb der Pakete benötigt.

Abbildung 105: Demonstration einer Adressauflösung mittels Ping-Befehl

Letztlich spielen sich auch zahlreiche Funktionen des Netzwerkmanagements auf der Anwendungsschicht ab, so zum Beispiel das Simple Network Management Protocol (SNMP), mit dessen Hilfe die Parameter (so genannte Managed Objects) von Geräten (Agents) von einer entfernten Station (Manager) aus abgefragt oder verändert werden können. Weiterhin basiert oft auch die Absicherung von Endgeräten oder Diensten gegen Eindringlinge auf Überwachungs- bzw. Verschlüsselungs-protokollen, die den Anwendungsschichten zugeordnet werden können.

Insgesamt kann man erkennen, dass die Aufgaben und Funktionen der Anwendungsschichten vielfältig sind, allerdings sollte man nie vergessen, dass Anwendungen selbst, wie MS-Word, MS-Excel oder MS-Outlook selbst nicht Bestandteil der Anwendungsschichten sind. Sie befinden sich quasi oberhalb der OSI-Schicht 7 und haben direkt mit den (Kommunikations-)Schichten nichts zu tun. Daher ist die Bezeichnung „anwendungsunterstützende“ oder „anwendungsorientierte“ Schichten treffender.



Verzeichnisse

Bei Netzen stehen Anwender immer wieder vor der Aufgabe, Informationen über Geräte, Dienste oder Personen in einer Datenbank ablegen zu müssen. Diese Informationen müssen dann über das Netz abgefragt werden können.

Die bekannteste und wohl auch größte Datenbank dieser Art stellt das Domain Name System/Service (DNS) im Internet dar. Es enthält die Zuordnung von Domain- und Hostnamen zu IP-Adressen, wobei auch die umgekehrte Suche möglich ist. Diese Datenbank ist jedoch nicht zentral angelegt, sondern selbst eine verteilte Anwendung bestehend einem (funktionalen) Zusammenschluss vieler Tausend Name-Server im Internet, die dezentral verwaltet werden. Dadurch ist das System sehr störunanfällig.

Eher im Bereich lokaler Netze oder im Bereich der Internet Service Provider (ISP) werden Datenbanken über Benutzer und deren Authentifizierungsparameter (z.B. Passworte oder Schlüssel) und Zugriffsrechte benötigt. Diese Daten werden hier in einer Baumstruktur hierarchisch gegliedert. Dafür hat sich ein Standard mit der Bezeichnung ITU-T X.500 durchgesetzt. Auf Datenbanken, die auf diesem Standard basieren, wird sehr häufig über das Protokoll LDAP (Lightweight Directory Access Protocol) zugegriffen.

D N S

Vom Betriebssystem UNIX stammt das Konzept, Rechner im Netz nicht nur über eine schwer lesbare und schlecht zu merkende IP-Adresse anzusprechen, sondern alternativ auch über einen Hostnamen. Mittels einer einfachen Umsetzungstabelle (bei UNIX die Datei /etc/hosts) kann dann eine Zuordnung stattfinden. Ein Benutzer kann damit in Anwendungen anstelle einer IP-Adresse auch den Hostnamen angeben, die Umsetzung findet automatisch über einen Betriebssystemaufruf (bei UNIX „gethostbyname()“) des jeweiligen Anwendungsprogramms statt.

Das Konzept hat allerdings zwei Nachteile: Erstens verwendet jeder Rechner seine eigene Host-Tabelle und der Administrator muss sich um deren Aktualität und Konsistenz selbst kümmern. Zweitens ist das Konzept nicht auf das Internet übertragbar, da eine weltweite Koordination der Hostnamen bei (weltweit derzeit 660) Millionen von Rechnern unmöglich wäre.

Deshalb wurde ein System entwickelt, bei dem Hostnamen um eine so genannte "Domain" ergänzt werden. Die Domain kennzeichnet dabei das Netz (oder einen administrativen Bereich im Netz), in dem sich ein Host befindet. Sie ist ihrerseits noch einmal unterteilt, mindestens in die so genannte Top-Level-Domain (TLD) und eine administrative Domain (z.B. siemens.de)



Die Top-Level-Domains können für ein Land stehen ("de" für Deutschland, "ch" für die Schweiz, "at" für Österreich, "uk" für England) oder eine der "generischen Bezeichnungen" repräsentieren, wie "com" (kommerziell), "net" (Netzwerk), "org" (Organisationen), "gov" (US-Regierung). 2002 wurden nach langer Diskussion weitere Top-Level-Domains eingeführt. Am bekanntesten ist sicherlich "info", welche Unternehmen und Privatpersonen offen steht.

Abbildung 106: DNS-Hierarchie

Jede TLD hat ihre eigene Vergabestelle. So wird in Deutschland die TLD „de“ vom DENIC in Karlsruhe verwaltet, also dort beantragt, bezahlt und reserviert. Der DENIC arbeitet jedoch nur mit Großabnehmern zusammen, die wiederum als Dienstleister die Domain-Reservierung für Firmen und Endkunden übernehmen.

Wird ein Hostnamen mit einer Domain ergänzt, sieht er folgendermaßen aus:

Abbildung 107: Aufbau eines DNS-Namens

Die Subdomain kann der Inhaber einer Domain selbst vergeben. Diese Möglichkeit nutzen beispielsweise Großfirmen, um ihre Zweigniederlassungen zu kennzeichnen, also z.B. dlf.siemens.de (Düsseldorf) oder mhm.siemens.de (Mannheim). Sub-Domains können aber auch weggelassen werden, was in der Regel der Fall ist.

Um eine weltweite Zuordnung von Namen zu IP-Adressen zu ermöglichen, wurde der Domain Name Service eingeführt. Kern dieses Dienstes sind derzeit etwa 17 Server, die als "Root Name Server" (hierarchisch ganz oben) bezeichnet werden. 10 davon stehen in den USA, einer auf Hawaii und einige in Europa (Stockholm, London aber auch Karlsruhe). Sie kennen weltweit zu jeder vergebenen Domain einen zuständigen Name-Server. Damit wird unterhalb der Root-Server eine zweite Hierarchiestufe aufgebaut. Diese als "Authoritative Name Server" bezeichneten Geräte stehen normalerweise bei den Internet Service



Providern (ISP). Dort ist dann für jeden Host einer Domain eine IP-Adresse hinterlegt. Alternativ kann der Name-Server die Anfrage auch noch mal weitergeben, z.B. weil eine größere Firma zwar über einen ISP ans Internet angebunden ist, ihre Hostnamen aber in einem eigenen Name-Server verwaltet.

Jeder ISP unterhält auch einen Name-Server, an den seine Kunden Anfragen senden können. Dieser unterhält einen Cache mit den am häufigsten abgefragten Domains, so dass für diese nicht jedes Mal ein Root Name Server bemüht werden muss. Ein Kunde kann dann für seine internen Adressen einen weiteren Name-Server aufsetzen, der alle Anfragen nach externen Adressen an den Name-Server des ISP weiterleitet.

Abbildung 108: Beispiel einer DNS-Abfrage zu www.microsoft.com

L D A P

LDAP ermöglicht den Zugriff auf Datenbanken, die nach der ITU-T X.500-Spezifikation hierarchisch strukturiert sind. Solch eine Datenbank könnte bei einer Firma beispielsweise wie folgt aussehen:

Abbildung 109: LDAP / Beispiel einer Datenbank



Die Wurzel bildet das Land (c, Country), gefolgt von der Organisation (o). Nun folgen eine oder mehrere Hierarchiestufen mit Organisationseinheiten (ou, Organizational Unit) und letztlich die eigentlichen Informationen des Mitarbeiters. Für diese Informationen gibt es vorgegebene Feldbezeichnungen, man kann jedoch für eigene Anwendungen auch selbst welche vergeben.

Der Zugriff per LDAP auf diese Informationen kann von zahlreichen Stellen aus erfolgen:

• ein Betriebssystem kann auf diesem Weg Benutzer für den Netzwerkzugriff auf das Dateisystem oder andere Ressourcen autorisieren,

• ein ISP kann so die Namen und Passwörter seiner Kunden speichern. Der Einwahl-Router fragt während der PPP-Authentifizierung des Kunden die Datenbank ab und erhält bei erfolgreicher Anmeldung dessen feste Parameter (z.B. eine feste IP-Adresse oder einen Routing-Eintrag) zugewiesen. Das gängigste Protokoll, das dieses bewerkstelligt, heißt "RADIUS",

• ein Mail-Programm kann einen zentralen LDAP-Server als Adressbuch benutzen.

Durch seine Flexibilität ermöglicht LDAP eine zentrale Verwaltung von Benutzerdaten, die früher in zahlreichen Datenbanken auf verschiedenen Servern vorgehalten wurden.

Telnet und FTP

Telnet und FTP zählen zu den ältesten heute noch gebräuchlichen (Standard-)Diensten, die auf TCP/IP aufsetzen. Beide zeigen ihr Alter durch einen recht sorglosen Umgang mit Benutzerpasswörtern, diese werden nämlich im Klartext über das Netz übertragen.

Telnet ermöglicht die Verbindung zu bspw. einem UNIX-System über eine einfache Bedienkonsole. Der Client muss dazu eine Terminal Emulation bereitstellen. Es wird vorwiegend als Wartungszugang zu Servern oder Vermittlungseinrichtungen verwendet.

FTP dient dem Dateitransfer. Dazu wird eine einfache Kommandoschnittstelle bereitgestellt, deren Befehle an DOS oder Unix erinnert. Es gibt grafische Oberflächen für FTP, durch die man ähnlich wie in gängigen Dateimanagern (z.B. dem Windows Explorer) auf Dateien zugreifen kann. Populär ist FTP z.B. bei der Pflege von eigenen Webseiten beim Provider.



Abbildung 110: Beispiel einer FTP-Anwendung (hier: WS_FTP95 LE)

F T P

FTP steht für "File Transfer Protocol". Es ist ein grundlegendes Protokoll aus der TCP/IP-Familie zur Übertragung von Dateien vom Client zum Server (upload) oder umgekehrt (download). Ein klassischer FTP-Client arbeitet mit einer Textschnittstelle. Er verbindet sich zunächst mit Port 21 des angewählten Servers und erhält von diesem einen Text mit einer Login-Anforderung geschickt. Der Client zeigt diese dem Benutzer an. Dieser gibt daraufhin sein Benutzerkürzel ein, woraufhin noch das Passwort abgefragt wird. Soweit funktioniert der FTP-Client noch wie ein Telnet-Client, wobei jedoch auf eine Terminal-Emulation verzichtet wird.

Abbildung 111: Textueller FTP-Client

Nach der Anmeldung erhält der Benutzer eine rudimentäre Befehlsschnittstelle, die direkt vom FTP-Server bereitgestellt wird. Zudem wird als aktuelles Verzeichnis das Heimverzeichnis des angemeldeten Benutzers gesetzt.



Die wichtigsten Befehle sind:

cd <pfad> Verzeichnis wechseln

mkdir <name> Verzeichnis erstellen

pwd aktuellen Pfad anzeigen

dir Verzeichnisinhalt anzeigen

Abbildung 112: Die wichtigsten FTP-Befehle

Jeder Befehl wird mit einer dreistelligen Statusnummer, meist mit beschreibendem Text dazu, quittiert. Ein CD-Befehl führt z.B. normalerweise zur Rückmeldung "200 Port Command Successful".

Zur Datenübertragung dienen folgende Befehle:

get <name> Datei vom Server holen

mget <name> mehrere Dateien vom Server holen. Der Name darf Wildcards enthalten

put <name> Datei zum Server hochladen

mput <name> mehrere Dateien zum Server hochladen

prompt Einzelbestätigung bei mput und mget abschalten

bin Auf binäre Übertragung umschalten

Abbildung 113: FTP-Kommandos zur Übertragung

Normalerweise versucht FTP bei einer zu übertragenden Datei selbständig eine Konvertierung vom Quell- zum Ziel-Betriebssystem vorzunehmen, z.B. im Bezug auf die Zeilentrennzeichen (CR+LF bei Windows, CR beim Mac, LF bei Unix) oder Umlaute. Bei Binärdateien, z.B. Bildern oder Programmen wird dadurch die Datei zuverlässig zerstört. Deswegen darf der Befehl "bin" bei der Übertragung von Binärdateien nie vergessen werden!

Für die eigentliche Datenübertragung wird bei FTP pro übertragener Datei eine eigene TCP-Verbindung aufgebaut. Dies erledigt normalerweise der FTP-Server. Problematisch ist dies jedoch bei Clients, die sich hinter einer Firewall befinden. Diese kann nämlich unter Umständen die von außen kommende Verbindungsanforderung nicht zuordnen und weist sie ab. Deswegen wurde im Zuge der Entwicklung der WWW-Browser der so genannte "Passiv-Modus" eingeführt, bei dem der Client auch die Datenverbindung initiiert.



Unter Windows nutzt man meist nicht mehr den Kommandozeilen-orientierten FTP-Client (obwohl er sich im MS-DOS-Fenster jederzeit mit "ftp " aufrufen ließe, siehe Abbildung 111), sondern ein Programm, das eine grafische Oberfläche ähnlich dem Datei Manager oder Windows Explorer präsentiert. Hinter den Kulissen läuft dabei aber das ganz normale FTP-Protokoll ab. Auch die WWW-Browser können mit dem FTP-Protokoll umgehen. Durch Eingabe einer URL in der Form "ftp://ftp.domain.tld/pfad/dateiname" wird eine Datei direkt im Passiv-Modus von einem FTP-Server herunter geladen. Dabei wird als Benutzername "anonymous" angegeben. Als Passwort sollte man dann normalerweise die E-Mail-Adresse angeben. Die Browser tun dies jedoch typischerweise nicht, da es serverseitig auch nicht überprüft wird und man so die unkontrollierte Weitergabe der E-Mail-Adresse vermeidet. Der Login als "anonymous" ist im FTP-Protokoll vorgesehen. Der Administrator muss dies serverseitig jedoch zulassen und kann dann entsprechende Zugriffsrechte vergeben, damit anonyme Benutzer kein Unheil anrichten können.

T E L N E T

Telnet nutzt die Funktionalität von TCP, um eine transparente Verbindung von Client und Server herzustellen. Diese wird bspw. genutzt, um dem Client ein Kommando-Interface zum Betriebssystem des Servers zur Verfügung zu stellen. Dies ist vor allem bei Unix-Servern ein gängiger Weg, um Service- und Wartungsarbeiten aus der Ferne vorzunehmen oder gar bei Anwendungen, die auf reinen Textmasken basieren, auf dem Server zu arbeiten.

Der Telnet-Server erwartet Verbindungen auf Port 23. Sobald sich ein Client auf diesen Port verbindet, wird eine transparente TCP-Verbindung geschaltet und auf der Serverseite das Unix-Programm "login" gestartet. Ein Telnet-Client besteht normalerweise aus einem Programm, das dem Anwender zunächst einen leeren Bildschirm präsentiert. Sobald die Verbindung besteht, werden alle über die Tastatur eingegebenen Zeichen an den Server gesendet und alle Zeichen, die vom Server kommen, werden in dem Fenster angezeigt. Hierbei stellt der Telnet-Client noch eine Terminal-Emulation zur Verfügung. Damit kann der Server bestimmte - von dem Typ der Terminal-Emulation abhängige - Steuerzeichen verwenden um z.B. den Bildschirm zu löschen, den Cursor zu positionieren, Schriftattribute zu setzen oder Grafiksymbole (z.B. für Rahmen) zu platzieren. Ursprünglich erfolgte jede Kommunikation mit Unix-Servern über Terminals, die über serielle Schnittstellen direkt angeschlossen waren. Die Fähigkeiten dieser Terminals stellen heute Telnet-Clients zur Verfügung, daher rührt der Name "Terminal-Emulation". Gängige Terminal-Emulationen bilden Terminals der Firma DEC nach, VT-100 oder VT-52 stellt hier eine Art kleinsten gemeinsamen Nenner dar. Daraus wurde ein erweiterter Standard geschaffen, der ANSI-Emulation genannt wird. Weiterhin populär sind VT-220, VT-320 und Geräte von Wyse (Modell 50 oder 60).



Das Programm "login" sendet dem Telnet-Client nun zunächst eine Startseite (ein Textbildschirm, den man unter /etc/issue ablegen kann) und anschließend den Text "login:".

Nun erwartet es, dass der Benutzer einen gültigen Usernamen auf dem Telnet-Server eingibt. Anschließend fragt es nach "password:", worauf es die Eingabe des Passwortes erwartet. Dabei ist das Echo eingegebener Zeichen abgeschaltet, der Benutzer sieht während der Passwort-Eingabe keine Änderung auf dem Bildschirm. Username und Passwort werden nun mit dem Inhalt der User-Tabelle (/etc/passwd) abgeglichen. Waren die Angaben korrekt, wird in das in der User-Tabelle für den Benutzer vorgesehene Heimverzeichnis verzweigt und das für ihn vorgesehene Programm gestartet. Typischerweise ist das eine so genannte Shell, d.h. ein Interpreter für Betriebssystembefehle.

Die Shell wiederum führt zunächst ein Skript aus (meist /etc/profile), das z.B. die verwendete Terminal-Emulation ermittelt und Systempfade einstellt. Anschließend wird ein weiteres Skript im Heimverzeichnis des Benutzers ausgeführt (meist .profile genannt). Dort kann der Benutzer eigene Voreinstellungen hinterlegen. Nachdem das erledigt ist, erzeugt die Shell eine Eingabeaufforderung am Bildschirm des Benutzers. Jetzt kann er Befehle eingeben.

Bei Benutzern, die nur eine bestimmte Anwendung ausführen dürfen, wird diese Anwendung meist in .profile eingetragen, gefolgt von dem Befehl "exit". Dadurch wird die Anwendung sofort nach dem Anmelden per Telnet gestartet. Sobald sie wieder beendet wird, endet auch die Shell und damit die Telnet-Sitzung. Alternativ könnte man den Namen der Anwendung gleich in der User-Tabelle hinterlegen, dann würde sie aber mit unbekannter Terminal-Emulation und ohne Umgebungs-variablen gestartet, was in den meisten Fällen ungeschickt ist.

Durch die transparente Verbindung gibt es noch eine weitere Anwendung für Telnet: Die meisten anderen Protokolle wie z.B. SMTP, POP3 oder HTTP arbeiten ebenfalls mit TCP-Verbindungen, über die Texte hin- und hergeschickt werden. Allerdings stellen Sie ihren Dienst auf einer anderen Portnummer zur Verfügung. Zu Diagnosezwecken kann man jedoch Telnet auf eine dieser Portnummern „loslassen“ und das Protokoll dann manuell bedienen. Mit etwas Übung und Hintergrundwissen ist es kein Problem, z.B. über Port 25 (SMTP) eine Email abzusetzen oder über Port 110 (POP3) sein Postfach abzufragen.

Auch wenn sie mittlerweile sehr aus der Mode gekommen sind: es gibt nach wie vor Terminals. Heute sind sie oftmals direkt ans Netz anschließbar. Manche Terminals sind als so genannte "Platine" ausgeführt. Das ist ein kleines Kästchen, an dem ein VGA-Monitor und eine normale PC-Tastatur angeschlossen werden kann und das nur noch die Logik des Terminals enthält. Netzwerk-Terminals beherrschen das



Telnet-Protokoll und bauen sofort nach dem Einschalten eine Verbindung zu einem vorkonfigurierten Host (Rechner) auf.

Abbildung 114: Terminal-Server

Für serielle Terminals gibt es jedoch auch einen Weg, die Verbindung zum Server über das Netz herzustellen. Das dafür benötigte Gerät nennt man Terminal-Server. Es enthält meist mehrere serielle Schnittstellen zum Anschluss von Terminals. Für jede dieser Schnittstellen kann der Terminal-Server nun eine Telnet-Sitzung unterhalten. Es gibt auch Mischformen, z.B. Platinen mit Netzwerk-Anschluss und einer oder zwei seriellen Schnittstellen, über die weitere serielle Terminals angeschlossen werden können.

HTTP

Das HTTP (Hyper Text Transfer Protocol) bildet die technische Grundlage für das World Wide Web (WWW). Serverseitig wird das Protokoll von einem WWW-Server abgearbeitet. Dieser hat - meist in einem gewöhnlichen Verzeichnis - Dateien gespeichert, die er per HTTP zum Download anbietet. Es ist auch möglich, einzelne Verzeichnisse als Programmverzeichnisse auszuweisen (cgi-bin). Wird eine Datei aus einem solchen Verzeichnis abgerufen, erhält der Client nicht die Datei. Anstelle dessen wird die Datei als Programm gestartet und der Client erhält die Ausgabe, die das Programm produziert. So können interaktive Anwendungen entstehen (z.B. ein Besuchszähler), indem beispielsweise Eingaben in ein Formular ausgewertet werden und die Antwortseite dann direkt auf die Angaben Bezug nimmt.

Der WWW-Client wird normalerweise "Browser" genannt. Anfangs war hier Netscape mit dem Navigator / Communicator marktführend. Mittlerweile ist jedoch Microsofts Internet Explorer (derzeit in der Version 6) in dieser Rolle. Nach wie vor gibt es auch Alternativen zu diesen beiden: Die Open-Source-Variante "Mozilla" von Netscape, den kommerziellen Browser "Opera"47 oder auch "Konqueror" (unter Linux mit KDE-Oberfläche). Allen Browsern gemein ist ein Texteingabefeld am

47 Opera ist nicht so Fehlertolerant wie z.B. der Internet Explorer. Daher lassen sich mit Opera auch gut HTML Seiten überprüfen.



oberen Fensterrand, in das man eine "URL" (Uniform Ressource Locator) eintragen kann. Die URL hat das Format:

<protokoll>://<hostname mit domain>/<pfad>/<dateiname>

Für den Abruf einer Webseite trägt man als Protokoll "http" ein. Der Browser wertet dann den Hostnamen aus und ermittelt daraus per DNS die IP-Adresse des Servers. Den Rest der URL übergibt er dem HTTP-Protokoll.

Abbildung 115: Aufruf einer Webseite mittels Browser

Es gibt zwei Versionen des http: 1.0 und 1.1, wobei 1.0 zunehmend verschwindet. Sie unterscheiden sich im Wesentlichen darin, dass HTTP 1.0 für jede einzelne Datei, die es abruft, eine eigene TCP-Verbindung aufbaut und nach dem Download sofort wieder schließt. Für eine einzige Webseite mit fünf Bildern werden (je nach Client nacheinander oder gleichzeitig) folglich sechs TCP-Verbindungen auf- und wieder abgebaut. Bei HTTP 1.1 wird eine einmal geöffnete Verbindung aufrechterhalten bis der Client entweder einen anderen Server ansteuert oder ein Timeout erreicht wird. Es gibt auch keine parallelen TCP-Verbindungen mehr. Allerdings gibt es das Verfahren des Pipelining, bei dem der Client alle gewünschten Dateien hintereinander angibt und diese Dateien werden dann quasi "nahtlos" nacheinander vom Server über eben eine TCP-Verbindung geladen. Ohne Pipelining würde eine Datei übertragen und erst nachdem sie vollständig empfangen wurde, könnte die nächste Datei angefordert werden.

Bei HTTP wiederholen sich immer zwei Arbeitsschritte: Zuerst sendet der HTTP-Client einen HTTP-Request (an Port 80) an den Server. Dieser beantwortet den Request durch einen HTTP-Reply, der typischerweise



die angeforderten Daten enthält. Die Header sowohl vom Request als auch vom Reply sind in Textform gehalten und damit problemlos lesbar. Das ermöglicht die manuelle Bedienung des HTTP über einen Telnet-Client zu Test- oder Diagnosezwecken.

H T T P - R E Q U E S T

Ein HTTP-Request hat folgenden Aufbau:

Abbildung 116: Aufbau des HTTP-Request

Er beginnt also immer mit einer Zeile, die beispielsweise so aussieht:

GET /Verzeichnis/Datei.htm HTTP/1.1

Als Methode sind neben GET (einfacher Abruf einer Adresse) auch POST (Abruf einer Seite mit gleichzeitiger Übermittlung von Formulardaten) und HEAD (Abruf des HTTP-Reply-Headers einer Seite ohne Inhalt) möglich. Die übergebene URL enthält weder den Protocol Identifier (der war logischerweise http://, sonst wäre kein HTTP-Request generiert worden), noch die Adresse des Hosts. Diese wurde bereits zuvor beim Aufbau der TCP-Verbindung verarbeitet. Am Ende der ersten Zeile steht noch, ob die Datei per HTTP/1.1 oder HTTP/1.0 gesendet werden soll.

Nun folgen optional weitere Zeilen mit Informationen für den Server oder sonstige Parameter. Das Ende der Parameterzeilen wird durch eine Leerzeile angezeigt. Falls als Methode POST eingesetzt wird, folgen nun noch die zu übermittelnden Daten. Deren Länge in Bytes wurde zuvor in einer der Parameterzeilen angegeben.



Einige Beispiele, was die Parameterzeilen enthalten können:

Connection: close

Trotz HTTP/1.1 soll die Verbindung nach dem Reply geschlossen werden

User-agent: xxx

Gibt den Namen des verwendeten Browsers und seine Versionsnummer an

Accept: text/html...

Gibt an, welche Dateiformate der Browser als Antwort akzeptiert

Accept-language: de

Gibt die bevorzugte Sprache des Client an. Der Server kann darauf mit einer Seite in der richtigen Sprache reagieren

Cookie: xxxx

Der Client hatte zuvor ein Cookie vom Server erhalten. Er sendet es jetzt mit jedem weiteren Request an diesen Server mit. So kann der Server einzelne Requests immer sicher einem bestimmten Kunden zuordnen, z.B. für einen Warenkorb.

Authorization: xxx

Sobald der Server für eine Seite einen Benutzernamen und Passwort verlangt, werden diese mit jedem folgenden Request an diesen Server mitgeschickt.

Abbildung 117: HTTP-Parameterzeile

H T T P - R E P L Y

Die Antwort auf einen HTTP-Request ist ein HTTP-Reply des WWW-Servers folgenden Aufbaus:

Abbildung 118: Aufbau eines HTTP-Reply

Die erste Zeile kann dabei beispielsweise wie folgt aussehen:

HTTP/1.1 200 OK



Statusnummer und Statustext gehören immer zusammen. Die gängigsten Rückmeldungen sind:

200 OK Alles klar, die angeforderte Datei ist im Paket enthalten

301 Moved Permanently

Objekt wurde verschoben. Die neue Adresse steht im Parameterfeld "Location:". Der Client lädt diese automatisch

400 Bad Request Der Server hat den HTTP-Request nicht verstanden

401 Authorization Required

Der Zugriff auf die Seite erfordert die Freischaltung über einen Benutzernamen und ein Passwort. Der Browser erfragt dies vom Anwender und sendet den HTTP-Request mit diesen Angaben erneut zum Server. Jeder weitere ab diesem Zeitpunkt zum gleichen Server gesendete HTTP-Request enthält die Autorisierungsdaten ebenfalls

404 Not Found Das angeforderte Dokument existiert nicht

Abbildung 119: HTTP-Rückmeldungen

Als Parameterfelder können teilweise solche aus dem HTTP-Request zur Bestätigung wiederholt werden. Typischerweise sind zusätzlich die folgenden enthalten:

Date: Wed, 04 Apr 2001 00:13:15 GMT

Server: Apache/1.3.0 (Unix)

Last-Modified: Mon, 29 Jun 1998 18:01:21 GMT

Content-Length: 4711

Content-Type: text/html

Der Server kann zudem über den Parameter "Set-Cookie:" ein Cookie auf den Client übertragen.

P R O X Y - S E R V E R

Ein Proxy-Server kann an vielen Stellen zum Einsatz kommen. Bei einem Internet Service Provider steht er den Kunden zur Verfügung, in einem Firmennetz kanalisiert er die Zugriffe der Clients (z.B. ausfiltern von www.sex.com) auf das Internet. Dazu muss seine Adresse bei jedem Client eingetragen sein. Nun wird ein so konfigurierter Client den in jeder URL enthaltenen Hostnamen nicht mehr selbst auswerten, sondern den Request so an den Proxy senden, wie er eingegeben wurde. Dort wird dann die URL genauso behandelt wie das ein Browser ohne Proxy-



Eintrag tun würde. Der HTTP-Reply, den der Proxy daraufhin vom angesprochenen Server erhält, wird zum Browser durchgereicht.

Damit kann ein Proxy gleich mehrere Aufgaben wahrnehmen:

• der gesamte Internet-Traffic geht vom Proxy aus. So kann eine ganze Firma über nur eine einzige offizielle IP-Adresse angebunden werden.

• der Proxy kann Dokumente nicht nur durchreichen sondern auch abspeichern (Caching). Wird das gleiche Dokument nochmals abgerufen, wird es direkt aus dem Cache geliefert und nicht neu geladen (Reduzierung Download-Volumen),

• der Proxy kann Webzugriffe mitprotokollieren und filtern.

Der HTTP-Reply enthält immer eine Angabe über das letzte Änderungsdatum einer Datei. Das ist insbesondere für das Caching der Seite im Browser oder bei einem Proxy-Server interessant, da die Information zusammen mit dem Dokument gespeichert wird. Wird das gleiche Dokument ein weiteres Mal aufgerufen, führt der Browser bzw. Proxy-Server einen "bedingten HTTP-Request" durch. Dazu ergänzt er den Parameter "If-modified-since:" und trägt als Wert das mit dem „gecacheten“ Dokument gespeicherte Änderungsdatum ein. Der Server wird nun einen leeren HTTP-Reply zurücksenden mit dem Status "304 Not Modified", falls das Dokument seither unverändert geblieben ist. Andernfalls erhält der Client einen ganz normalen HTTP-Reply mit dem geänderten Dokument als Inhalt.

Auf diese Art wird trotz Caching sichergestellt, dass der Benutzer keine veralteten Seiten aus dem Cache geliefert bekommt.

Email

Für den Transport von E-Mails durch das Internet haben sich im Laufe der Zeit verschiedene Verfahren entwickelt, insbesondere aus der Notwendigkeit heraus, dass ursprünglich viele Hosts nicht permanent miteinander verbunden waren, sondern nur in bestimmten Intervallen über Wählverbindungen korrespondieren konnten. Für solche Anwendungen entstand z.B. UUCP (Unix to Unix Copy). Mittlerweile geht man für den Kern des Internets von permanenten Verbindungen aus und hier hat sich SMTP (Simple Mail Transfer Protocol) durchgesetzt. SMTP ist wirklich sehr einfach, was die Kommunikation der Endgeräte untereinander angeht. Im Hintergrund steht jedoch - zumindest auf Unix-Servern - meist das Programm "Sendmail" als Server-Prozess. Dabei dürfte es sich um das am schwierigsten zu konfigurierende Stück Software handeln, dass man auf einem Unix-Server antreffen kann. Eine einigermaßen erschöpfende Anleitung dazu umfasst ca. 700 Seiten!



Ein E-Mail-Client auf einem Personal Computer (PC) benötigt zum Versand einer E-Mail einen SMTP-Server, d.h. die IP-Adresse eines Servers, auf dem beispielsweise Sendmail läuft. Dorthin wird die Mail übertragen. Je nach Konfiguration wird die Mail nun entweder an einen weiteren fest hinterlegten SMTP-Server übertragen oder Sendmail versucht eine direkte Zustellung. Dazu wird aus der Empfänger-Adresse der E-Mail der Domainname extrahiert, z.B. "t-online.de". Nun wird eine DNS-Anfrage gestartet, aber nicht nach einem bestimmten Host, sondern nach dem so genannten "MX-Record" der Domain. Diesen gibt es bei jeder Domain, in der Email-Adressen hinterlegt sind und er enthält die IP-Adresse eines SMTP-Servers, der für die an diese Domain gesendeten Mails zuständig ist. Dieser erhält nun - um beim Beispiel zu bleiben - per SMTP die Email übermittelt. Möglicherweise reicht er sie dann nochmals weiter, z.B. an einen Server, der eine Subdomain verwaltet. Irgendwann wird sie aber einen Server erreicht haben, der für die Empfänger-Adresse ein so genanntes Postfach unterhält. Dort wird die Email als Datei abgelegt, bzw. wenn bereits Emails in dem Postfach liegen, an die vorhandene Datei angehängt.

Nun muss die Mail noch auf den Client des Mailempfängers transportiert werden. Dazu dient meist das POP3 (Post Office Protocol, Version 3). Der Server, der die Postfächer unterhält, betreibt dazu einen POP3-Serverprozess, der über Port 110 Verbindungen entgegen nimmt und darüber die Emails eines bestimmten Postfachs nach Anmeldung mit Postfachname und Passwort zur Verfügung stellt. POP3 ist sehr rudimentär, man muss alle empfangenen Mails komplett herunterladen und kann sie erst dann lesen. Für eine wesentlich komfortablere Verwaltung wurde IMAP entwickelt. Hierbei können die Emils vollständig auf dem Server bleiben, der Client lädt sich jeweils nur die Informationen herunter, die er für die aktuelle Anzeige benötigt. Der größte Vorteil dabei ist, dass das Postfach von verschiedenen Clients abgefragt werden kann (z.B. vom Arbeitsplatz und vom privaten PC aus) und jedes Mal gleich aussieht. Bei POP3 ist eine Mail, die von einem Client abgeholt wurde im gleichen Moment vom Server verschwunden. Ein anderer Client kommt nicht mehr an sie heran.

Abbildung 120: Email-Versand und -abfrage



S E N D M A I L

Die Konfiguration von Sendmail basiert auf mehreren Konzepten. Sendmail selbst liest beim Start eine zentrale Konfigurationsdatei (z.B. /etc/mail/sendmail.cf). Diese kann dann weitere Konfigurationsdateien als Datenbasis einbinden. Die Konfigurationsdatei ist zweigeteilt. Im ersten Teil sind Variablen enthalten, die wichtige Parameter einstellen und das generelle Verhalten von Sendmail bestimmen. Der Rest besteht aus so genannten „Rulesets“. Diese sind in einer eigenen Sprache verfasst und dienen der Manipulation von Sender- und Empfängeradresse bei der Verarbeitung einer Mail. Die übliche Syntax, z.B. der Empfängeradresse, wird dabei aufgebrochen und um Informationen ergänzt, wie Sendmail bei der Zustellung der Email vorgehen muss. Die Rulesets sind ausgesprochen schwierig zu verstehen und noch schwieriger an eigene Erfordernisse anzupassen. Deswegen gibt es eine Möglichkeit, die sendmail.cf automatisch generieren zu lassen. Dies übernimmt eine Makrosprache namens "m4" und passende Makros werden mit jeder Version von Sendmail mitgeliefert. Nun beschränkt sich die Anpassung auf das Einfügen von so genannten "Features" in eine Konfigurationsdatei und den anschließenden Start des Makroprozessors „m4“. Das Ergebnis ist eine sendmail.cf mit den gewünschten Features, die im Variablenbereich jedoch noch angepasst werden muss.

Grundsätzlich trifft Sendmail bei einer eingehenden Email die Entscheidung, ob sie in einem lokalen Postfach abgelegt werden muss, oder für einen anderen Rechner bestimmt ist. Dazu wird die Domain betrachtet und mit einer Konfigurationsdatei abgeglichen, die meist "/etc/mail/sendmail.cw" heißt. Ist die Domain dort verzeichnet, wird für den Namen von dem @-Zeichen ein Postfach gesucht. Dazu wird zunächst eine weitere Konfigurationsdatei durchsucht, die meist "/etc/mail/aliases" heißt und Zuordnungen von jeweils einem Namen zu einem oder mehreren anderen Namen enthält. Darüber kann z.B. der volle Name des Benutzers ("Emil_Mustermann") seinem Kurzzeichen ("em") zugeordnet werden oder bei einem Email-Verteiler ("info") alle dafür zuständigen Mitarbeiter eingetragen werden. Selbst die Ausführung eines Programms zur automatischen Verarbeitung einer Email ist möglich. Nach dem Abgleich mit den Aliases sollte als Name vor dem „@“ ein auf dem Server bekanntes Kurzzeichen übrig bleiben. Falls dem nicht so ist, wird die Email dem Benutzer "postmaster" zugestellt und der Absender erhält eine Email mit einer Warnung.

Sollte die Email nicht lokal zugestellt werden können, wird Sendmail sie weiterleiten. Je nach Einstellung versucht es entweder – wie bereits beschrieben – zur Domain des Empfängers eine IP-Adresse herauszufinden und mit dem dortigen SMTP-Server Kontakt aufzunehmen. Alternativ kann in der Sendmail-Konfiguration auch die IP-Adresse eines so genannten "Smart Relay Hosts" angegeben werden. Sendmail sendet dann alle nicht lokal zustellbaren Emails direkt dort hin.



Wenn ein Sendmail eine Email per SMTP erhält und diese über SMTP weiterschickt, spricht man von "Relaying". Falls Sendmail hier keine Restriktionen vorsieht, kann das bei einem SMTP-Server mit Verbindung zum Internet fatale Folgen haben: Ein fremdes Programm kann so einen SMTP-Server nutzen, um beliebige Emails zu verschicken, und zwar ohne weitere Kontrolle unter jedem beliebigen Namen und egal an wen. Solche Lücken werden von den Versendern von Spam Mails (unerwünschten Massen-Werbesendungen) genutzt. Die Suche nach ungeschützten SMTP-Servern im Internet funktioniert über spezielle Hacker-Programme automatisch, der Versand der Spam Mails ebenso. Da diese Form des Missbrauchs gewaltige Ausmaße angenommen hat, werden neuere Versionen von Sendmail so ausgeliefert, dass sie Relaying grundsätzlich unterbinden. Man muss es dann für einzelne Sender- oder Empfänger-Domains explizit wieder einschalten.

S M T P

Der Versand einer Email über SMTP ist sehr einfach. Der Client baut dazu eine TCP-Verbindung zu Port 25 des Email-Servers auf. Dieser sendet eine kurze Begrüßungsmeldung. Nun sendet der Client eine Information, wer er ist:

HELO dagobert.entenhausen.de

Der Server prüft, ob dieser Hostname als Sender akzeptabel ist. Wenn ja, erhält der Client eine entsprechende Mitteilung. Nun wird die Absenderadresse der Email übermittelt:

MAIL FROM: [email protected]

Auch diese wird bestätigt und dann folgt die Empfängeradresse:

RCPT TO: [email protected]

Nun kann nach dem Schlüsselwort "DATA" die eigentliche Email eingegeben werden. Zunächst kann der Client weitere Kopfdaten senden, z.B. über den Betreff der Mail ("Subject:"), den verwendeten Zeichensatz und die Codierung von Umlauten und Sonderzeichen, Anhänge und ihren Dateityp. Anschließend folgt eine Leerzeile und dann der eigentliche Mailtext. Das Ende wird durch eine Zeile markiert, die nur einen Punkt enthält. Nun meldet sich der Client mit "QUIT" vom Server ab und die Email geht „auf die Reise“.

P O P 3

Die Abholung einer Email per POP3 erfolgt auch über eine TCP-Verbindung, diesmal mit Port 110. Nachdem der Server sich gemeldet hat, erwartet er die Benutzeranmeldung. Diese beginnt mit:

USER daisy



Daraufhin teilt der Server mit, dass auch ein Passwort erforderlich ist. Der Client antwortet mit:

PASS ****

Nun wird die erfolgreiche Anmeldung bestätigt und der Anwender kann Emails abrufen. Der Befehl "LIST" zeigt an, wie viele Emails im Postfach sind und welche Länge sie haben. Mit dem Befehl "RECV", gefolgt von der Nummer der gewünschten Email, wird diese über die TCP-Verbindung gesendet. Das Ende der POP3-Sitzung markiert der Befehl "QUIT".

Sicherheit im Netzwerk

Solange in einer Firma die PC-Arbeitsplätze nicht vernetzt sind, ist der Zugriff auf die Daten leicht zu regeln: wer den PC benutzen darf, darf auch an die Daten heran. Falls nötig, kann man eine Passwort-Abfrage beim Hochfahren oder in den Bildschirmschoner einbauen.

Bereits die Einführung eines LANs sollte von genauen Überlegungen zur Sicherheit begleitet sein: Welche Benutzergruppen gibt es? Wer soll welche Informationen einsehen und ändern dürfen? Welche Ressourcen stehen allen offen und welche sind besonders zu schützen? Darüber hinaus muss ein Schutz vor Viren installiert werden, da sich Programme, die Schaden zufügen, über das Netz rasend schnell verbreiten und einen immensen Schaden anrichten können. Am besten funktioniert ein zentraler Virenscanner, der die Festplatten der Server regelmäßig untersucht. Eine Minimallösung wäre der Verzicht auf Disketten- und CD-ROM-Laufwerke in allen Arbeitsplatz-PCs. Jeder Datenträger, der über einen dafür bereitgestellten PC eingespielt werden soll, muss zuvor genau untersucht werden.

Die möglichen Gefahren potenzieren sich nochmals, wenn das lokale Netz mit dem Internet verbunden wird. Nun muss sich nicht mehr nur vor neugierigen oder unvorsichtigen Mitarbeitern geschützt werden, sondern vor dem „sportlichen Ehrgeiz“, der kriminellen Energie oder der schieren Zerstörungswut mancher Internet-User. Hier sind die Herausforderungen natürlich am größten. Typischerweise begegnet man diesen durch den Einsatz einer oder mehrerer Firewalls, die deshalb Zonen unterschiedlicher Sicherheit erzeugen.

F I R E W A L L S ( G R U N D K O N Z E P T )

Unter einer Firewall versteht man (zunächst) einen Rechner, der ein spezielles Firewall-Programm installiert hat. Ähnlich einem Router hat eine Firewall mindestens zwei Netzwerkkarten, über die sie zwei Zonen unterschiedlicher Sicherheit angehört. Die Firewall entscheidet nun anhand umfangreicher Regelwerke, welche Datenpakete von einer Zone in die Andere transportiert werden und welche nicht.



Nachstehend kann man ein typisches Szenario für eine zweistufige Firewall sehen:

Abbildung 121: Firewall (Konzept)

Firewall 1 übernimmt die Absicherung der Verbindung ins Internet. Von außen müssen hier jedoch Verbindungen entgegen genommen werden, die den Web-Server des Unternehmens zum Ziel haben. Diese können jedoch z.B. auf die Protokolle HTTP und FTP beschränkt werden. Firewall 2 übernimmt den Schutz des lokalen Netzes auch dann, wenn ein Eindringling die erste Firewall überwinden sollte. Zudem kann Firewall 2 den Zugriff der eigenen Mitarbeiter auf das Internet steuern.

F I R E W A L L S ( V A R I A N T E N )

NAT (Network Address Translation):

Eine sehr simple Möglichkeit, ein lokales Netz zu schützen, stellt die Adressumsetzung dar. Sie verbirgt die Adressen des lokalen Netzes von den Hosts außerhalb. Daraus ergibt sich zudem der Vorteil, dass im internen Netz keine offiziellen IP-Adressen benötigt werden48.Ausschließlich der Rechner, der die Adressumsetzung durchführt benötigt eine "echte" IP-Adresse.

Die Umsetzung funktioniert so, dass bei einem von innen kommenden TCP- oder UDP-Paket Quelladresse und Quellport in einer Tabelle eingetragen werden. Außerdem bestimmt die Firewall einen freien eigenen Port und trägt auch diesen ein. Nun wird das Datenpaket verschickt, wobei Quelladresse und -port durch die der Firewall ersetzt werden. Das Datenpaket wird vom Zielrechner beantwortet und kommt logischerweise an die Adresse der Firewall zurück. Dieser kann anhand des Ports in seiner Tabelle den eigentlichen Empfänger des Pakets ermitteln und es ihm zustellen. Der Host im internen Netz merkt von der zweimaligen Umsetzung nichts. Der Zielrechner unterliegt jedoch der irrtümlichen Annahme, er hätte mit der Firewall kommuniziert.

48 Es können private IP-Adressen nach RFC 1918 eingesetzt werden.



Abbildung 122: NAT (Paket von innen nach außen)

Diese schlichte Variante macht allerdings bei manchen Protokollen Probleme, die wie FTP z.B. eine zusätzliche Verbindung in Gegenrichtung aufbauen. Manche Implementierungen von NAT enthalten spezielle "Applikationsmodule", die solche Probleme lösen. Bei FTP wird beispielsweise der Datenaustausch auf der Kommando-Verbindung überwacht und sobald eine Datenverbindung aufgebaut werden soll, ein geeigneter NAT-Tabelleneintrag auf der Firewall generiert.

NAT verhindert zwar zuverlässig Zugriffe von außen auf das lokale Netz, gilt aber für sich gesehen maximal als Komponente einer Firewall, die durch weitere Vorkehrungen ergänzt werden muss.

Abbildung 123: NAT (Pakete von außen nach innen)

Paketfilter:

Eine Möglichkeit eine auf NAT basierende Firewall sicherer zu machen, ist die Paketfilterung. Namhafte Hersteller von Firewalls vertrauen fast ausschließlich auf sorgfältig konfigurierte Paketfilter, so z.B. der Marktführer "Checkpoint". Bei Paketfiltern handelt es sich um ein komplexes Regelwerk für die Entscheidung, welche Datenpakete die Firewall passieren dürfen und welche abgefangen werden. Die Entscheidung wird anhand der Paket-Header auf TCP-/UDP- und IP-



Ebene getroffen, insbesondere kommen hier die Adressen und Portnummern zum tragen.

Zwei grundlegende Strategien können bei der Definition von Filterregeln angewandt werden: Die Unbekümmertere erlaubt zunächst einmal alle Zugriffe und schließt dann alles aus, was keinen Zugriff bekommen sollte. Besser ist es jedoch, zunächst keine Zugriffe zuzulassen und anschließend nur das freizugeben, was für den Netzbetrieb unbedingt notwendig ist.

Proxy-Server:

In den vorigen Kapiteln wurde der Proxy-Server bereits als Cache kennen gelernt, der Webseiten abspeichert und bei wiederholtem Aufruf direkt präsentieren kann. Der Proxy-Server kann jedoch noch mehr. Da nur er Anfragen ins Netz schickt, muss auch nur er, genau wie bei NAT, über eine "echte" IP-Adresse verfügen. Im Gegensatz zu NAT arbeitet er jedoch auf Applikationsebene, die Tücken des FTP-Protokolls können ihn daher beispielsweise nicht abschrecken. Er arbeitet einfach gegenüber dem anzusprechenden Server als vollwertiger FTP- oder HTTP-Client. Umgekehrt muss der Client auf dem PC im Intranet in der Lage sein, seine Anfragen nicht selbst durchzuführen sondern diese zur Bearbeitung an einen Proxy-Server weiterzugeben. Dessen Adresse muss in den Clients (vor allem dem WWW-Browser) eingetragen werden.

Abbildung 124: Firewall / Proxy-Server

Application Based Firewall:

Firewalls auf Applikationsebene verbinden die Vorteile aller bisher genannten Varianten: Sie arbeiten auf Clientseite transparent, da sie nicht wie ein Proxy-Server darauf angewiesen sind, dass die zu verarbeitenden Pakete direkt angeliefert werden. Es werden anstelle dessen alle Datenpakete, die die Firewall passieren möchten, auf Applikationsebene untersucht. Dabei kann die Firewall natürlich auch NAT durchführen. Für Protokolle, für die die Firewall keine Prüfung auf Appikationsebene durchführen kann, besteht trotzdem die Möglichkeit



der einfachen Paketfilterung. Der Nachteil ist die große Komplexität eines derartigen Systems. Hier muss der Betreuer sehr viel von seinem Handwerk verstehen, denn nichts ist schlechter als eine komplexe Firewall, deren Betreuer bei all den Einstellmöglichkeiten den Überblick verloren hat.

F I R E W A L L S ( A U F G A B E N )

Während die verschiedenen Grundkonzepte von Firewalls vor allem die Sicherheit gegen Angriffe von außen beeinflussen, gibt es noch einige weitere Aufgaben, die eher die Mitarbeiter betreffen, die innerhalb der Firewall sitzen:

Freischaltung für Internetdienste:

Nicht jeder Mitarbeiter darf das Internet nutzen. Trotzdem benötigt er möglicherweise einen Browser, beispielsweise für Intranet-Seiten oder Intranet-Applikationen. In so einem Fall kann die Firewall entweder auf Ebene der IP-Adressen bestimmte PCs vom Internet ausschließen oder für die Nutzung des Internet eine Freischaltung verlangen. Die Firewall kann dafür entweder eine eigene Tabelle mit Berechtigungen pflegen oder auf einen Verzeichnisdienst als Datenbasis zurückgreifen.

Accounting:

Kein Gerät ist besser für die Protokollierung geeignet, als eines, das alle Datenpakete passieren müssen. Deswegen enthalten die meisten Firewalls umfangreiche Möglichkeiten zur Datenspeicherung und -auswertung. Dabei sind der Sammelfreude der Administratoren allerdings datenschutzrechtliche Schranken auferlegt. Eine Erfassung der Webadressen, die jeder Mitarbeiter ansteuert, ist technisch zwar kein Problem, aber auf alle Fälle untersagt. Will heißen: das Loggen ist erlaubt, nicht aber das Auswerten (gesetzlich gesprochen). Daher wird normalerweise nur das Volumen pro Mitarbeiter erfasst. Zudem können auch Emails protokolliert werden.

Content Security:

Neben einer einfachen Sperrung oder Freigabe der Internet-Nutzung kann auch eine wesentlich präzisere Steuerung realisiert werden. Per Content Security können Webseiten inhaltsabhängig gesperrt oder freigegeben werden. Dabei kann jede übertragene Webseite auf Schlüsselwörter geprüft werden, die auf unerwünschte Inhalte schließen lassen. Präziser, aber weitaus pflegeaufweniger, ist die Arbeit mit Positiv-Listen (nur die aufgeführten Seiten oder Domänen sind erlaubt) oder Negativ-Listen (alle aufgeführten Seiten oder Domänen sind gesperrt).

Virenschutz:

Eine große Gefahr für Netzwerke geht von Viren, Würmern oder „trojanischen Pferden“ aus. Viren sind kleine Programm-Fragmente, die



sich auf einem Computer verstecken können, z.B. im Programmcode eines Anwendungsprogramms, im Bootsektor der Festplatte oder schlicht als kleines Programm mit unauffälligem Namen in einem Systemverzeichnis. Alle Viren werden bei der Infektion so eingebunden, dass sie bei jedem Neustart des Rechners mit eingeladen werden. Außerdem suchen sie Wege, weitere Rechner zu infizieren. Beispielsweise, indem sie ihren Programmcode in möglichst viele ausführbare Programme einbauen, in der Hoffnung, dass irgendwann mal eines auf einen anderen Rechner übertragen wird. Manche Viren enthalten zudem eine schädliche Routine, die einzelne Dateien löscht oder den Inhalt der ganzen Festplatte unbrauchbar macht.

In letzter Zeit wurde sehr viel über Email-Viren geschrieben, wobei es sich in fast allen Fällen genau genommen um so genannte Würmer handelte. Diese nisten sich auf dem befallenen Rechner nicht ein, sondern versuchen sich sofort weiter zu verbreiten und lösen anschließend sofort oder nach einer gewissen Wartezeit die schädliche Routine aus. Bisher ist noch kein Virus bekannt, der bereits durch das Betrachten einer Email gestartet wird49. Er steckt nämlich im Anhang und ist darauf angewiesen, dass dieser vom Anwender geöffnet wird. Der Erfolg jeder neuen Generation von Email-Viren zeigt, dass viele Anwender völlig resistent gegen die gewiss nicht seltenen Warnungen sind. Eine Form der durch die Unachtsamkeit von Anwender übertragenen "Viren" sind so genannte Internet-Hoaxes. Oft handelt es sich dabei um Viren-Warnungen, es gibt aber auch Varianten mit einem Geldgeschenk von Microsoft, einem Handygeschenk von Ericsson oder einer Herzoperation für einen kleinen Jungen. All diesen Emails ist gemein, dass sie bei der Betrachtung mit einem Mindestmass an gesundem Menschenverstand sofort als mehr oder weniger schlechte Scherze zu erkennen sind und dass man sie "an alle Bekannten, Verwandten und Arbeitskollegen" schnellstmöglich weiterleiten soll. Nähere Infos dazu und eine Übersicht bekannter Hoaxes gibt es unter http://www.stiller.com/hoaxes.htm.

Trojanische Pferde sind Programme, die der Anwender für einen bestimmten Zweck installiert, die jedoch insgeheim noch weitere, unerwünschte Funktionen enthalten. Das kann beispielsweise die Übertragung von Informationen über den befallenen Rechner an einen Host im Internet sein oder die Installation eines geheimen Zugangs, über den ein Hacker sich auf den Rechner aufschalten kann.

Ist einer der genannten Schädlinge einmal auf dem lokalen Rechner gelandet, kann eine Firewall nichts mehr dagegen ausrichten. Allerdings kommen die meisten aus dem Internet und hier kann die Firewall sehr wohl eingreifen:

49 Ein Sicherheitspartner von Unternehmen und Privatkunden ist Symantec, erreichbar unter www.symantec.de. Hier können neueste Informationen über Viren wie auch kostenlose Removals geladen werden.



Der gesamte Email-Verkehr wird geprüft. Dazu werden Anhänge gelöst und auf verdächtige Inhalte überprüft. Nur bei Unbedenklichkeit wird die Email weitergeleitet. Nebenbei können Anhänge generell auf bestimmte Datentypen oder eine maximale Größe beschränkt werden.

Auch bei FTP- oder HTTP-Übertragungen kann eine Application Based Firewall alle Dateien auf Viren überprüfen. Damit kann auch der Download von bekannten Trojanern wirkungsvoll verhindert werden.

Spam Mails:

Eine sehr unangenehme Erscheinung, der jeder Eigentümer eines Email-Accounts früher oder später einmal ausgesetzt ist, sind unerwünschte Werbemails. Diese sind jedoch meist an bestimmten Merkmalen leicht zu erkennen (Merke: Wer mehr als drei Ausrufezeichen hintereinander verwendet, kann kein guter Mensch sein), da zur Aufmerksamkeitssteigerung meist bereits das Subject (Betreffzeile) eindeutig ist:

*~*~*~*~ MAKE MONEY FAST ~*~*~*~*

GREAT EARNINGS!!!!!! NO RISK!!!!!!

**********142 Million Mail Addresses for only $149 ***********

Entsprechende Filter können also vergleichsweise leicht implementiert werden. Das erspart vor allem den Mitarbeitern die Zeit, solche Mails auszusortieren50.

Werbefilter:

Viele Anbieter im Internet finanzieren sich durch Werbeeinblendungen. Diese bestehen meist aus Bilddateien in bestimmten Formaten, so genannten Bannern. Ein kleines Modul auf Anwendungsebene in der Firewall kann alle Anfragen nach solchen Bilddateien ausfiltern und dem Anwender so die Webseite werbefrei präsentieren51. Der wesentliche Vorteil ist jedoch, dass die Dateien nicht übertragen werden müssen, was bei vielen Seiten mehr als die Hälfte des Übertragungsvolumens einspart. Es stellt sich allerdings die Frage, ob das Ausfiltern der Werbung nicht mittelfristig dazu führt, dass viele Dienste aufgeben müssen. Für Werbung, die keiner sieht, gibt niemand Geld aus. Und ohne Geld lassen sich keine aufwendigen Websites betreiben.

50 Mittlerweile bieten die meisten Email-Provider Schutzmechanismen gegen Spam. So kann man bei T-Online gegen Aufpreis verdächtige Emails markieren lassen und auf Wunsch auch automatisch löschen lassen. Letzteres ist aber noch mit Vorsicht zu genießen, weil manche Emails, die als Spam ausgewiesen wurden, tatsächlich Nachrichten sind (z.B. End of Auction bei ebay o.ä.).

51 Bei Google kann man unter http://toolbar.google.com/intl/de/ die Google Toolbar laden, die in den Internet Explorer eingebunden wird. Damit können (Privat-)Anwender Werbeseiten auch unterdrücken.



Netzwerkmanagement

Am 27. Oktober 1980 ereignete sich in dem damals noch wenige tausend Hosts großen Vorläufer des Internets (namens ARPANET) ein Zwischenfall. Die damals verwendeten Router (IMPs genannt) tauschten im Normalbetrieb Routing-Informationen mit Hilfe eines speziellen Protokolls aus. Ein defekter Router hatte nun drei fehlerhafte Pakete mit solchen Routing-Informationen erzeugt, die durch eine Schwäche der Protokoll-Implementierung im Netz vervielfältigt wurden. Nach kurzer Zeit waren sämtliche Router nur noch mit der Verarbeitung und Übertragung von Duplikaten dieser drei Pakete beschäftigt. Da der dafür auf den Routern laufende Prozess sehr hohe Priorität hatte, stellten die Geräte die Übermittlung normaler Datenpakete vollständig ein. Das junge Internet erlebte den ersten (und unseres Wissens auch letzten) Totalausfall seiner Geschichte. Die Netzbetreuer brauchten etwa sechs Stunden, bis der letzte der „Amok laufenden“ Router über einen Software-Patch wieder unter Kontrolle gebracht war.

Damals gestaltete sich die Fehlersuche ausgesprochen schwierig, weil die Router noch keinerlei Managementfunktionen enthielten, die den Betreuern Hinweise zur Fehlersuche hätten geben können. Somit führte der Ausfall nicht nur zur Entwicklung eines stabileren Routing-Protokolls, sondern auch zum Nachdenken über Methoden, Netzwerkkomponenten über eine einheitliche Schnittstelle aus der Ferne ansprechen zu können, um wesentliche Netzwerkparameter abzufragen und gegebenenfalls zu ändern. Es sollte aber noch 8 Jahre dauern, bis ein Standard dafür gefunden war, der sich weithin in der Datenkommunikation bis heute durchsetzen konnte: SNMP (Simple Network Management Protocol, RFC 1157).

Heute wird Netzwerkmanagement nicht mehr nur auf die Fehlersuche in Netzen reduziert. Es gibt zahlreiche Aufgaben, die von der OSI folgendermaßen geordnet und beschrieben wurden:

N E T Z W E R K M A N A G E M E N T - P L A T T F O R M E N

Die für die Betreuung eines Netzes zuständige Abteilung wird als "NOC" (Network Operations Center) bezeichnet. Dort wird eine "Network Management Station" (Manager) betrieben. Das ist ein Rechner, auf dem eine Managementplattform, wie z.B. HP Openview Node Manager, Sun Netmanager oder Tivoli NetView installiert ist. Diese Software wird als Netzwerkmanagement-Plattformen bezeichnet, da sie eine Grundfunktionalität bereitstellen, auf der weitere Programme mit Ihren Anwendungen, z.B. CISCO Works, CISCO WAN Manager, aufsetzen können.

Der Kern jeder Netzwerkmanagement-Plattform ist die grafische Darstellung des überwachten Netzes und das Event-Management. Dazu muss dem Programm die Struktur des Netzes eingegeben werden oder es muss diese versuchen, selbst herauszufinden. Letzteres wird als



"Auto-Discovery"-Funktion bezeichnet. Falls das zu überwachende Netz nicht nach außen hin abgeschlossen ist, sollte diese aber nur unter Aufsicht ablaufen, da die Software ansonsten zunächst z.B. das Netz des Providers untersuchen und sich dann an die Kartografierung des Internets machen wird!

Sobald das zu überwachende Netz bekannt ist, wird die Network Management Station alle enthaltenen Geräte weiterhin zyklisch abfragen, um deren Status zu ermitteln und anzuzeigen. Dabei kann der Administrator den einzelnen Geräten Wichtigkeiten zuweisen und definieren, was im Falle eines Ausfalls oder einer unerwarteten Konfigurationsänderung passieren soll. So darf ein Arbeitsplatzrechner durchaus ausgeschaltet sein, ein wichtiger Router oder Server hingegen nicht.

Einzelne Geräte können ausgewählt und deren Netzwerkparameter eingesehen werden. Für manche Geräte, wie Router oder managebare Switches, gibt es Software-Module, die in die Netzwerkmanagement-Plattform eingebunden werden und eine komfortable Steuerung, Abfrage und Konfigurierung aller Funktionen der Geräte ermöglichen (Element-Manager).

Weitere Komponenten können so genannte Agenten sein, die einen Abgleich der Netzwerkparameter mehrerer Stationen im Netzwerk untereinander durchführen. Ein Agent könnte beispielsweise sämtliche Routing-Tabellen analysieren und dabei Routing-Schleifen, Fälle von ungeschicktem Routing oder falsch gesetzte Subnetzmasken erkennen. Eine weitere Möglichkeit ist die automatische Auswertung von Paketfehlerzählern in den einzelnen Stationen, um dort „angeknackste“ Komponenten oder ein gequetschtes oder zu langes Kabel aufzuspüren, bevor das Gerät tatsächlich ausfällt.

Im Hinblick auf das Performance Management (Leistungsmanagement) können Agenten die Auslastung von Ethernet-Segmenten und die Kollisionshäufigkeit ermitteln und im zeitlichen Verlauf als Diagramm darstellen. Bei Erreichen vorher definierter Schwellwerte kann ein Alarm ausgelöst werden. Meist können auch komplexere Abfragen selbst erstellt werden, z.B. für Accountingaufgaben.

Zur Unterstützung der Netzwerkmanagement-Plattform52 können im zu überwachenden Netzwerk spezielle Geräte eingesetzt werden, die in ihrem Netzsegment Informationen sammeln und bereitstellen. Solche Geräte werden "Netprobe" genannt. Meist können aber auch moderne Switches diese Aufgaben wahrnehmen.

52 Netzwerkmanagement-Plattformen sind für kleine oder Heimnetze erstens zu teuer und zweitens „mit Kanonen auf Spatzen geschossen“. Im Internet gibt es eine Reihe von Management-Tools, die einfache Abfragen über SNMP bis hin zu grafischen Darstellungen als Freeware, Open Source oder Shareware ermöglichen. Beispiele können unter www.rmtc.de/netzwerke gefunden werden.



S N M P U N D M I B

SNMP steht für Simple Network Management Protocol und liegt mittlerweile in der dritten Version vor. SNMPv3 unterscheidet sich hierbei durch umfangreiche Sicherheitsmaßnahmen von den Vorgängern. Es gab zwar bereits von Anfang an ein Passwort (den so genannten "Community String"), getrennt für Abfragen (Public) und Änderungen (Private), dieses wurde aber unverschlüsselt über das Netz übertragen und konnte daher sehr leicht abgehört werden. Bei SNMPv3 läuft die gesamte Kommunikation verschlüsselt ab und ist damit sicherer vor Angriffen.

Wie bei vielen anderen Protokollen auch (z.B. DNS oder HTTP), basiert das Grundprinzip von SNMP auf Requests, also Anfragen, die die Network Management Station an einen Host sendet und die dieser dann mit einem Reply beantwortet. Alle SNMP-Requests beziehen sich auf ein baumartig strukturiertes Verzeichnis, in dem alle Netzwerkeinstellungen, Protokolle und Statistiken eines Geräts in einer unter dem Namen "MIB" (Management Information Base) standardisierten Form abgelegt sind.

Die Basis MIB ist die MIB-2 und muss in alles SNMP-fähigen Geräten unterstützt werden. Sie hat einen für IP-Netzwerke standardisierten Bereich. Es gibt jedoch für jeden Hersteller - darüber hinaus - noch die Möglichkeit, eigene MIBs zu erstellen. Dort kann der Hersteller weitere Daten verfügbar machen und dafür die Struktur frei festlegen. Der Registrierungsbaum sieht folgendermaßen aus:

Abbildung 125: Namensgebung / MIB-Registrierungsbaum

Das Bild zeigt, dass es bereits einen weit verzweigten Baum bis zu den eigentlichen Daten der MIB-2 gibt. In fast allen Implementierungen sind alle Zweige bis auf den skizzierten leer. Zudem ist deutlich zu sehen, dass jeder Zweig neben einem Namen auch eine Nummer hat. Jeder Pfad in der MIB wird über diese Nummern beschrieben (Managed Object



Identifier), indem man einfach alle Nummern auf dem Weg von der Wurzel des Baums (Root) bis zum gesuchten Element durch Punkte getrennt hintereinander schreibt. Der Pfad jedes Elements der MIB-2 beginnt also mit „1.3.6.1.2.1“, die herstellerspezifischen Einträge im Bereich "Private" mit „1.3.6.1.4.x.“ Das "x" steht hierbei für eine der bereits über ca. 4.000 vergebenen Herstellernummern.

Wenn man den Baum ab dem Eintrag der MIB-2 weiterverfolgt, kommt man zu den für TCP/IP relevanten Bereichen:

Abbildung 126: MIB-2 Variablen

Auch ohne die einzelnen Felder im Detail zu erläutern wird klar, welche Fülle an Informationen die MIB-2 bereithält. Allerdings ist kein Hersteller verpflichtet, SNMP überhaupt zu implementieren. Besonders ärgerlich ist es, wenn der standardisierte Bereich nur sehr wenige Informationen enthält und fast alle fehlenden Daten in leicht abgewandelter Form im privaten Bereich stehen.

In der Grafik sind einige Datenbereiche als mehrere aufeinander liegende Blätter dargestellt. Damit wird gekennzeichnet, dass es sich um Tabellen handelt. Jede Zeile des Datenbereichs ist dann ein Array, der Index wird einfach an den Pfadnamen angehängt. Die Interface-Tabelle z.B. hat den Pfad 1.3.6.1.2.1.2, deren erstes Element ist der ifIndex mit dem Pfad 1.3.6.1.2.1.2.1. Dabei handelt es sich aber wiederum um ein Array, dessen Elemente mit 1.3.6.1.2.1.2.1.1, 1.3.6.1.2.1.2.1.2, 1.3.6.1.2.1.2.1.3 etc. angesprochen werden.

Der Zugriff auf die MIB erfolgt, wie gesagt, über das Protokoll SNMP. Ein SNMP-Paket sieht folgendermaßen aus:

Abbildung 127: Aufbau des NMP Pakets



Die möglichen Pakettypen teilen sich auf in SNMP-Requests, die Management Station an einen Host sendet und deren SNMP-Responses:

SNMP-Requests:

GetRequest Fordert die Werte der zu den angegebenen Objekt-Ids gehörenden Objekte an.

GetNextRequest Fordert die Werte der auf die angegebenen Objekt-Ids jeweils folgenden Objekte an.

GetBulkRequest

Fordert die Werte der zu den angegebenen Objekt-Ids gehörenden Objekte und aller dazugehörenden Unterobjekte an. Damit kann mit einem Befehl z.B. eine ganze Tabelle gelesen werden.

SetRequest Beschreibt die zu den angegebenen Objekt-Ids gehörenden Objekte mit den mitgegebenen Werten.

Abbildung 128: SNMP Requests

SNMP-Response:

SNMP-Response ist ein Antwortpaket zu einem SNMP-Request. Sieht genauso aus, wie der Request, der zu der Antwort geführt hat, nur der Typ steht auf "Response". Get-Requests werden mit leeren Wert-Feldern gesendet, die zugehörige Response hat die Felder dann gefüllt. Konnte ein Request nicht ausgeführt werden, sind zudem die Fehlernummer und der Fehlerindex gesetzt. Der Fehlerindex gibt an, bei der wievielten der angegebenen Objekt-Ids der Fehler aufgetreten ist.



Netzwerk-Betriebssysteme (UNIX vs. Windows) Kaum ein Thema ist so gut geeignet, auch den gutmütigsten Netzwerkadministrator in Rage zu versetzen, wie der Vergleich "seines" Betriebssystems mit einem der anderen auf dem Markt verfügbaren Produkte. In den letzten Jahren hat sich der Disput zunehmend auf die Frage "Windows NT / 2000 oder UNIX" konzentriert. Die übrigen Konkurrenten haben entweder stark an Bedeutung verloren (Novell Netware), sich selbst aufs Abstellgleis befördert (OS/2) oder hatten in Europa ohnehin nie eine nennenswerte Basis (Banyan Vines).

Zudem haben sich die früher gültigen Grenzen der Einsatzbereiche von UNIX und Windows NT zunehmend verwischt. Windows NT galt als einfach zu administrierende Lösung für kleine und mittelgroße Unternehmensnetze und UNIX war etwas für Großunternehmen, die für die Administration eine ganze Abteilung mit hochkarätigen Spezialisten aufbieten können. Mittlerweile ist Microsoft mit Windows 2000 ein gewaltiger Schritt in Bezug auf Stabilität und Skalierbarkeit gelungen und gleichzeitig hat UNIX mit der riesigen Verbreitung von Linux viel von seiner geheimnisvollen Aura verloren und gleichzeitig haben sich Tausende von PC-Freaks autodidaktisch zumindest rudimentäre Linux-Kenntnisse angeeignet.

Beide Betriebssysteme haben Vor- und Nachteile, sowohl was die Kosten angeht, als auch in Bezug auf die Einsetzbarkeit für bestimmte Aufgaben. Es wird sich zeigen, inwieweit die zukünftige Entwicklung beider Systeme die heute noch bestehenden Grenzen ausweiten oder zementieren wird.

Philosophie UNIX entstand Mitte der sechziger Jahre im universitären Umfeld. Seine Entwicklung lief parallel mit jener der Programmiersprache C, dem Aufbau des ARPANET und der Einführung der ersten lokalen Netze auf Basis von Ethernet. All diese Entwicklungen fanden sehr schnell ihren Weg in das damals noch schlanke und flexible Betriebssystem. So stellte UNIX für viele neu eingeführten Dienste die Referenzimplementierung dar, an der sich andere Betriebssysteme zu orientieren hatten. Das war bei FTP und Email so und sollte sich auch bei den ersten Web-Servern nicht ändern.

Leider spaltete sich die Weiterentwicklung von UNIX in den 70er Jahren in zwei Zweige auf: Der eine wurde maßgeblich von der amerikanischen Telefongesellschaft AT&T geprägt und "System V" genannt. Der andere wurde an der Universität von Berkley weiterentwickelt und heißt "BSD Unix". Es entstanden zwei Parteien, die in erbitterter Konkurrenz zueinander standen. Die meisten kommerziellen UNIX-Implementierungen orientierten sich eher an System V, dazu zählt auch Linux. Auch zu BSD gibt es einen freien Ableger namens NetBSD, der



aber trotz vergleichbarer Qualität nicht mit Linux mithalten kann. Mittlerweile wurden zahlreiche Dienste, die bei BSD besser gelöst waren, in die eher an System V orientierten Implementierungen übernommen. Deswegen ist heute der Disput dieser beiden Varianten weitgehend ausgestanden. Auch die verschiedenen Hardware-Hersteller, die jeweils ihre eigenen Unix-Derivate gebastelt hatten und durch gewisse Eigenheiten ihre Kunden bei der Stange zu halten versuchten, passen sich zunehmend an ein einheitliches System an. Trotzdem bleibt UNIX sehr uneinheitlich: Jeder Hersteller hat eigene Konfigurationshilfen erstellt, die einzelnen Komponenten stammen aus den unterschiedlichsten Quellen und zeigen in Konfiguration und Betrieb teilweise einen recht penetranten "Stallgeruch".

Dafür sind aber viele Ideen, die in Unix stecken, über Jahrzehnte optimiert worden. Zu unglücklichen Lösungen wurden früher oder später bessere Alternativen programmiert und eingeführt. Fast immer ist das Bestreben erkennbar, Dienste leicht konfigurierbar zu machen. Vor allem kann man bei UNIX meist sehr leicht herausfinden, welche Dateien zu welchem Dienst gehören und bei Problemen als Ursache in Frage kommen. Konfigurationsdateien sind ohnehin fast immer einfache Texte, die keine Informationen "verstecken" können und zudem meist bereits im Text in Form von Kommentaren eine rudimentäre Dokumentation enthalten.

Windows NT entstammt einer Gemeinschaftsentwicklung von Microsoft mit IBM. Das Ergebnis sollte ein völlig neuer, stabiler und moderner Betriebssystem-Kern sein, der keine Kompromisse im Bezug auf ältere Software eingehen sollte. Leider hielt die „Vernunftehe“ nicht bis zum fertigen Produkt durch, und so baute IBM aus den „Übrigbleibseln“ sein OS/2 zusammen und Microsoft versah die gemeinsam entwickelte Basis mit einer etwas unglücklichen Adaption der Oberfläche von Windows 3.0. Das Ergebnis wanderte als Windows NT 3.0 in die Läden. OS/2 entsprach dabei wesentlich eher der ursprünglichen Zielsetzung. Es hatte die modernere Oberfläche und konnte alte Windows-Anwendungen in einem geschützten Bereich ablaufen lassen, wobei nur diese die antiquierte Windows-3.0-Optik erhielten.

Nach anfänglichen Erfolgen begann das Interesse an OS/2 zu erlahmen. Kaum ein Software-Hersteller wollte echte OS/2-Programme herausbringen, solange die eigenen Programme in der Windows-Emulation von OS/2 gut liefen. Mit der Einführung von Windows 95 schwanden die Marktchancen von OS/2 zusehends: Eine Windows-95-Emulation war aus lizenzrechtlichen Gründen nicht zu machen und Windows 95 hatte ohnehin eine mindestens ebenso gute Oberfläche wie OS/2. Deswegen zog sich IBM aus dem Consumer-Markt zurück und pflegt seither OS/2 nur noch für die zahlreichen Kunden aus dem Umfeld von Banken und Versicherungen, die sehr stark auf OS/2 gesetzt hatten.



Microsoft gelang es dagegen, mit Windows NT 3.51 ein einigermaßen konsistentes System auf den Markt zu bringen. In Sachen Bedienbarkeit wurde es aber erst mit der Version 4.0 konkurrenzfähig: es hatte die Oberfläche von Windows 95 bekommen. Seither müht sich Microsoft um die Verschmelzung der Betriebssystemkerne von Windows 95/98/ME mit dem von Windows NT/2000.

Obwohl Windows NT/2000 von nur einer Firma stammt, wurde erst mit der neuesten Version ein durchgängiges Bedienungskonzept erreicht. Alle Einstellungen können in leicht verständlichen Dialogen, teilweise unterstützt durch Agenten und Hilfeseiten, vorgenommen werden. Die Kehrseite der Medaille: Die fertigen Konfigurationen stecken uneinsehbar in binären Konfigurationsdateien oder in einer zentralen Datenbank, der Registry. Diese kann zwar mit dem Programm regedit eingesehen werden, enthält aber keinerlei Informationen über die abgelegten Daten. Zudem kann man in einem Einstellungsdialog leicht eine Option oder ein Subfenster übersehen, da die Konfiguration nicht linear abläuft. Möglicherweise gerät man an einen Agenten, der just die benötigte Option nicht abfragt. Dann muss die Einrichtung nachträglich nochmals angepasst werden.

Benutzerverwaltung Windows NT hatte das Konzept der Domains, bei der ein Server als PDC (Primary Domain Controller) für die Verwaltung der Benutzerdaten einer Domain (hat nichts mit Internet-Domänen zu tun) zuständig war und diese Informationen an so genannte Backup Domain Controller (BDC) weitergeben konnte. Zu anderen Domains konnte ein Vertrauensverhältnis eingerichtet werden, das den Benutzern der jeweils anderen Domain bestimmte Zugriffsrechte gewährte.

Abbildung 129: Windows NT Domänenkonzept

Dieses komplexe System wurde mit Windows 2000 durch das Active Directory ersetzt, einen Verzeichnisdienst, auf den andere Server zur Authentifizierung ihrer Benutzer zurückgreifen können.



Ein ähnliches Konzept verfolgt UNIX schon seit über zehn Jahren. Damals führte Sun den "yellow pages" genannten Dienst ein, mit dem alle normalerweise auf jedem Rechner individuell gepflegten System-Dateien in Form einer Datenbank auf einem ausgewählten System gehalten werden. Alle anderen Server können darauf zurückgreifen und ihre Benutzer darüber authentifizieren. Mittlerweile musste Sun den Dienst in "NIS" (Network Information Service) umbenennen. Dafür wurde er von Sun freigegeben, so dass er jetzt für nahezu jedes UNIX-Derivat verfügbar ist.

Abbildung 130: UNIX Network Information Service (NIS)

L A U F W E R K E F R E I G E B E N

Das erste weithin verbreitete Netzwerkbetriebssystem, bei dem unter DOS oder Windows arbeitende PCs auf gemeinsame Festplattenbereiche und Drucker zugreifen konnten, war Novell Netware. Es verwendet ein eigenes Transportprotokoll (IPX/SPX), das keine hierarchische Adressstruktur kennt und damit nicht geroutet werden kann. Durch das Fehlen von Adressen-Einstellungen sind Netware-Clients sehr leicht zu installieren. Eine kleine Softwarekomponente, die beim Rechnerstart geladen wird, genügt. Diese fragt noch auf DOS-Ebene Benutzername und Passwort ab und sorgt dann dafür, dass die serverseitig für diesen Benutzer vorgesehenen Ressourcen richtig angebunden werden.



Abbildung 131: Laufwerke freigeben bei Windows

Microsoft musste, um damit konkurrieren zu können, ein ähnlich einfaches System in Windows integrieren. Es kam erstmals in "Windows for Workgroups 3.11" zum Einsatz. Es hatte ebenfalls ein eigenes Transportprotokoll (NetBEUI) dabei, das ohne Adressen-Einstellungen auskommt und nicht geroutet53 werden kann. Darauf setzen im Wesentlichen zwei Dienste auf: Ein Nameservice (nmb-Protokoll) und die eigentliche Datenübertragung (smb-Protokoll, Server Message Blocks). Das Ganze wird "Windows Network" genannt. Es kann ein einfaches Peer-to-Peer-Netz aufgebaut werden, das nur aus Windows-Clients besteht, die ihre eigenen Ressourcen für andere freigeben. Für eine zentrale Administration und eine brauchbare Verwaltung der Zugriffsrechte ist jedoch ein Windows NT Server notwendig. Dort müssen sich die Clients beim Start von Windows authentifizieren. Daraufhin kann auf dem Server ein Skript ausgeführt werden, das den Client mit den für ihn vorgesehenen Festplattenpartitionen versieht. Die Zugriffsrechte können dabei sehr detailliert bis auf Dateiebene festgelegt werden. Mit einer Anmeldung kann durch das Domain-Konzept von Windows NT bzw. das Active Directory von Windows 2000 auf die Ressourcen verschiedener Server zugegriffen werden. Seit Windows 95 kann das Windows-Netzwerk als Transportprotokoll auch TCP/IP nutzen, seit Windows NT 4.0 ist es sogar so voreingestellt.

UNIX kannte ursprünglich keine Freigabe von Laufwerken. Will man die Ressourcen eines anderen Rechners nutzen (Mounten genannt), kann man sich mit Telnet einfach aufschalten und dort arbeiten. Datenübertragung von einem System zum Anderen ist mit FTP möglich, über die Einrichtung von Vertrauensbeziehungen zwischen Benutzeraccounts verschiedener Rechner können auch direkte

53 Nicht-routbare Protokolle müssen gebridged bzw. geswitched werden. Heute unterstützen Router sowohl Routing als auch Bridging und werden in der Literatur manchmal Brouter genannt.



Kopierbefehle über Rechnergrenzen durchgeführt werden (rcp, remote copy) oder auf einem anderen Rechner Programme gestartet werden (remsh, remote shell). Es war wiederum die Firma Sun, die einen einfach konfigurierbaren Dienst zur Freigabe und Anbindung von Festplattenbereichen einführte. Unter dem Namen "NFS" (Network File System) ist dieser Dienst mittlerweile für jedes UNIX-Derivat verfügbar. Allerdings hat es sich nur im UNIX-Umfeld durchgesetzt, eine Anbindung von Windows-Clients an NFS ist nicht möglich. Hier schuf eine Entwicklung aus dem Linux-Umfeld Abhilfe: Das Programm "Samba" implementiert das SMB- und NMB-Protokoll des Windows-Netzwerks, allerdings nur auf Basis von TCP/IP54. Die Einrichtung ist sehr einfach zu bewerkstelligen und für nicht zu hohe Anforderungen an die Benutzerverwaltung und die Einstellbarkeit der Zugriffsrechte auf einzelne Dateien und Verzeichnisse kann ein Linux-PC mit Samba durchaus einen Windows NT-Server ersetzen.

Abbildung 132: Laufwerke freigeben bei UNIX

Grafische Bedienoberflächen (GUI) Windows war anfangs als schlichte Oberfläche für MS-DOS gedacht. Das primäre Ziel von Microsoft war die Schaffung von Standards zum Ansprechen von Peripherie-Geräten. Zuvor war jede Software für sich mit Treibern für Grafikkarten und Drucker ausgestattet gewesen. Windows schuf nun erstmals eine einheitliche Schnittstelle dafür. Die API (Application Programming Interface, Programmierschnittstelle) für Fenster, Buttons und Standarddialoge war nur eine - allerdings die offensichtlichste - Komponente. Microsoft war damit aber bei weitem nicht einzigartig auf dem Markt. Apple hatte es mit dem Macintosh vorgemacht und für den PC gab es mit dem Erscheinen von Windows bereits eine bessere Alternative namens "GEM". Später kam noch GEOS, verpackt in einem Officepaket namens "Geoworks Ensemble" hinzu. Alle, einschließlich Windows blieben verdientermaßen erfolglos. Erst Windows

54 Hinweis auf CIFS (Common Internet File System)



3.0 war 1992 ausgereift genug, um den Durchbruch zu schaffen. Es blieb jedoch weiterhin ein reiner Desktop für einen Einzelplatzrechner.

Bei UNIX war man damals mit der Entwicklung schon wesentlich weiter. Das "X Window System" ist eine grafische Oberfläche, die für die verteilte Anwendung konzipiert ist. Hier können über das Netz so genannte X-Terminals angebunden werden, bei denen die Oberfläche lokal angezeigt wird, das Programm selbst aber auf dem Server ausgeführt wird. Für Windows-PCs gibt es so genannte "X-Server" als Software zu kaufen. Damit simuliert der PC ein X-Terminal. Eine UNIX-Workstation betreibt ebenfalls einen X-Server, der sowohl von den lokalen Anwendungen genutzt wird, als auch für serverseitig ausgeführte Anwendungen zur Verfügung steht. Leider stand X im Ruf, sehr „Ressourcen-hungrig“ zu sein und viel Netzwerkbandbreite zu konsumieren. Beides ist angesichts der Performance heutiger PCs und Netzwerke nicht mehr relevant. Trotzdem wird sich X voraussichtlich nicht mehr auf breiter Front durchsetzen, auch wenn es unter Linux mit KDE sehr schöne Ansätze für eine gelungene X-Oberfläche gibt. Hier zeigt sich aber (ausnahmsweise) Windows als die ausgereifter und stabilere Plattform.

Mit Windows 2000 hat Microsoft die "Windows Terminal Services" eingeführt, die ebenfalls die clientseitige Anzeige und Bedienung von Anwendungen ermöglicht, die auf dem Server ablaufen. Ein weiterer Trend ist die Nutzung des WWW-Browsers als grafische Oberfläche für Server-Anwendungen. Durch die Kombination von CSS (Cascaded Style Sheets, zentrale Gestaltungsvorgaben für bestimmte HTML-Elemente) und JavaScript (clientseitig ausgeführte Skriptsprache) entsteht so genanntes DHTML (Dynamic HTML). Mit dessen Hilfe wird die Programmierung von Webseiten möglich, die sich annähernd wie Anwendungsprogramme verhalten. Leider ist dieser Ansatz noch nicht standardisiert und daher bei Internet Explorer und Netscape Navigator sehr unterschiedlich gelöst, wobei hier Microsoft u.E. die bessere Lösung erarbeitet hat.

Abbildung 133: UNIX X Server



Datenbanken Datenbanken bilden heute den Kern fast jeder Geschäftsanwendung. Bei kleinen Anwendungen, wo sich Datenbestand und Programm auf einem Rechner befinden, dürfte Microsoft mit MS-Access unangefochtener Marktführer sein, auch wenn es unzählige weitere Produkte für dieses Marktsegment gibt.

Abbildung 134: Datenbankanwendung (1)

Interessanter wird die Angelegenheit bei großen Anwendungen, bei denen die Datenhaltung zentral erfolgt, z.B. Warenwirtschafts- oder Buchhaltungssysteme. Hier gibt es verschiedene Ansätze. Ursprünglich wurde der gesamte Programmcode solcher Anwendungen ebenfalls zentral auf dem Server ausgeführt, sprich die Nutzer mussten sich über Terminals auf dem Server aufschalten und die Software dort direkt ausführen. Damit waren die Anwendungen auf reine Textdarstellung beschränkt. Später war auch eine grafische Oberfläche mit dem X Window System möglich.


Eine wesentlich größere Verbreitung fand aber der Client-Server-Ansatz. Hier liegen die Daten zentral auf einem Rechner, auf dem auch ein so genannter Datenbank-Server installiert ist. Dieser ermöglicht den Zugriff auf die Daten über das Netz. Die eigentliche Anwendung läuft auf jedem angeschlossenen PC. Hierfür gibt es von jedem Datenbank-Hersteller eine proprietäre Lösung, die zwar eine optimale Anpassung an die verwendeten Techniken bietet, den Kunden aber auf alle Zeit an einen bestimmten Hersteller bindet. Dieses Problem wurde durch eine herstellerunabhängige Sprache für Datenbankabfragen angegangen:



SQL. In diesem Zuge wurde mit ODBC auch gleich der Netzwerkzugriff auf die Datenbank standardisiert. Damit ist eine Software auf dem Client nun völlig unabhängig von der zugrunde liegenden Datenbank und dem Betriebssystem des Servers.


Momentan findet wieder die umgekehrte Entwicklung statt: Zentrale Anwendungen werden über das Netz verfügbar gemacht. Der Zugriff darauf erfolgt mit einem WWW-Browser als Client, eventuell in Verbindung mit Java-Applets, die ebenfalls zur Laufzeit über das Netz geladen werden. Der Anbieter solcher Dienste nennt sich dann "Application Service Provider" oder kurz ASP. Bei weiter steigenden Bandbreiten der öffentlichen Netze und sinkenden Kosten kann sich dieses Konzept zu einem interessanten zukünftigen Geschäftsmodell entwickeln, bei dem Software nicht mehr gekauft, sondern zusammen mit der benötigten Rechenleistung vermietet wird. Das bringt dem Anbieter deutliche Vorteile im Bezug auf die Wartung seiner Produkte. Die Frage ist nur, ob sich die Kunden mit diesem Modell anfreunden können. Immerhin bedeutet es die Aufgabe einer gewissen Unabhängigkeit. Was passiert, wenn ein ASP die Geschäftstätigkeit einstellt? Sind die Daten auf einem fremden Rechner wirklich sicher?

Druckdienste Ein wesentlicher Dienst im Netz ist die Bereitstellung von Druckdiensten. Hier zeigt sich UNIX weit weniger leistungsfähig als Windows. Das Betriebssystem stellt nur Treiber für Zeilendrucker zur Verfügung, mit denen einfache Listen gedruckt werden können. Programme, die grafische Informationen zu Papier bringen wollen, enthalten unter UNIX die benötigten Treiber selbst, wobei oftmals ausschließlich Postscript-Drucker unterstützt werden. Man kann allerdings mit "Ghostscript" einen Postscript-Interpreter einrichten, der den Output von beliebigen Programmen interpretiert und in die Druckersprache eines Laser- oder Tintenstrahldruckers umsetzt. Das bindet natürlich Ressourcen auf dem Rechner und man ist auf Druckermodelle beschränkt, die von Ghostscript unterstützt werden.



Dafür ist es sehr leicht, Druckdienste anderen Servern im Netz zur Verfügung zu stellen. Der Drucker wird dort einfach als so genannter Remote-Drucker installiert.

Windows kennt schon von Anfang an eine saubere Trennung in Anwendungsprogramm und Druckertreiber: Ersteres nutzt ausschließlich das dafür vorgesehene Windows-API und die Hersteller von Druckern liefern die benötigten Treiber für ihre Modelle. Genauso einfach gestaltet sich die Nutzung von Druckern über das Netzwerk: Der Print-Server stellt die Schnittstelle zum Drucker und die Warteschlange für Druckaufträge bereit, auf dem lokalen Rechner wird der benötigte Treiber installiert und mit dem Netzwerkdrucker verknüpft. Da der Server hier die Druckdaten nicht mehr interpretiert, sondern sie einfach durchreicht, kann immerhin den Job des Print-Servers im Windows-Netzwerk auch ein UNIX-System mit Samba übernehmen.

Internetdienste Zu UNIX braucht, im Hinblick auf Internetdienste wie WWW, FTP, Proxy Server oder Firewall, nicht viel gesagt werden: Die meisten dieser Dienste wurden ursprünglich unter UNIX erstmals implementiert und haben daher auf keiner anderen Plattform eine größeren Reife erlangt. UNIX gilt als herausragend in Sachen Stabilität und Sicherheit. Mögliche Sicherheitslücken werden sehr schnell bekannt gemacht und ebenso schnell geschlossen. Im World Wide Web gilt der frei verfügbare Webserver "Apache55" als das „Maß aller Dinge“. Den gibt es mittlerweile allerdings auch für Windows.

Microsoft hatte die Entwicklung des Internets lange Zeit „verschlafen“ und versuchte später dann immer wieder, die Internet-Standards durch Microsoft-spezifische Erweiterungen zu „verwässern“, was glücklicher-weise regelmäßig misslang. Inzwischen hat Microsoft eine etwas konstruktivere Haltung angenommen. Mit Windows 2000 ist nun auch ein Betriebssystem auf dem Markt, das als Internet-Server ähnlich stabil arbeitet wie UNIX. Möglicherweise wird Microsoft damit auch die Verbreitung des hauseigenen IIS (Internet Information Server) als Web-Server steigern können.

Funktionale Komponenten eines Netzes, wie Proxy Server und Firewalls, laufen nach wie vor vorzugsweise unter UNIX. Oftmals werden sie als eine Art "Black Box" von den Herstellern geliefert, bei der der Anwender gar keinen Kontakt zum Betriebssystem hat. Dies ist gegenwärtig mit UNIX noch leichter zu realisieren als mit Windows. Zudem gibt es von UNIX und insbesondere von Linux Versionen, die mit sehr geringen Hardwareressourcen auskommen und beispielsweise komplett in einen ROM-Chip passen. Somit kann die Startzeit des Betriebssystems stark

55 Apache Software Foundation unter http://www.apache.org/



verkürzt werden und das Gerät kommt möglicherweise ohne Festplatte aus.

Ein weiterer Punkt, warum UNIX so beliebt für Netzwerkdienste ist, ist die ungeheuer flexible Steuerung durch einfache Shell- oder Perl-Skripte (Perl = Practical Extraction and Report Language, objektorientierte Skriptsprache, syntaktisch an C angelehnt). Nahezu jede Anwendung im Netz lässt sich aus Versatzstücken bestehender Dienste mit etwas Know-how selbst zusammenbauen. Selbst komplette Netzwerkdienste lassen sich mit ein paar Zeilen Code selbst stricken und mit einem TCP-Port verknüpfen.

Nutzung als Desktop-Betriebssystem Man kann Microsoft sicher mit gutem Grund kritisch gegenüberstehen, in einem Punkt sind die Verdienste der Firma allerdings sicherlich unbestreitbar: In den vergangenen Jahren wurde in den Usability Labs großartiges bei der Verbesserung der Benutzerschnittstelle geleistet. Kein anderes Betriebssystem und keine andere Office-Suite kann sich an dem Bedienkomfort von Windows und Microsoft Office messen. Zusammen mit der Verfügbarkeit von Programmen für nahezu jeden nur denkbaren Anwendungsfall ist Windows am Arbeitsplatz nicht zu schlagen und wird auch auf viele Jahre hinaus kaum Konkurrenz zu fürchten haben. Einzig an der Stabilität und der Absicherung gegen Bedienerfehler gibt es bei Windows 95/98/ME noch einigen Verbesserungsbedarf. Bei Windows 2000 Workstations sieht das schon besser aus, allerdings mangelt es hier teilweise noch etwas an der Treiberausstattung.

Ein erstaunliches Projekt entsteht unter der Mithilfe von zahlreichen freiwilligen Helfern im Umfeld von Linux. KDE (K Desktop Environment) hat in wenigen Jahren einen Stand erreicht, der in einigen Bereichen schon sehr nahe an Windows herankommt; allerdings meist durch mehr oder weniger dreistes Nachahmen der Ideen von Microsoft. Zusammen mit der Leistungsfähigkeit des zugrunde liegenden X Window Systems könnte hier eine interessante und zudem kostenlose Alternative zu Microsofts Betriebssystemen entstehen. Der aktuelle Stand ist zwar bereits sehr hübsch anzuschauen und glänzt mit einigen sehr schön gemachten Programmen, dafür hat es noch sehr mit Stabilitätsproblemen zu kämpfen. Zudem ist der gesamten Bedienung deutlich anzusehen, dass viele unabhängige und teilweise eigensinnige Entwickler daran beteiligt waren. Für ein und dieselbe Aufgabe sind zum Teil gleich mehrere Programme enthalten; offensichtlich bringt es niemand übers Herz, die weniger geglückten Varianten aus den Distributionen zu entfernen. Andere, zum Teil wichtige Programme, sind seit langer Zeit unverändert fehlerhaft und kaum zu gebrauchen, z.B. der Editor für das Startmenü.



Administration Die Frage nach der besseren Administrierbarkeit ist vermutlich nicht abschließend zu klären. Windows 2000 erleichtert den Einstieg durch einheitliche Dialoge sicherlich. Andererseits verführt die bekannte Windows-Oberfläche leicht dazu, die Komplexität der Administration eines Netzwerkbetriebssystems zu unterschätzen. Zudem haben Fensteroberflächen immer den Nachteil, dass Einstellungen auf Bildschirmmasken verteilt werden müssen. Diese sind dann auf verschiedene Arten miteinander verknüpft - teils über Karteikartenreiter, teils über Menüs, teils über Unterdialoge. So bleibt immer die Unsicherheit, eventuell doch irgendetwas übersehen zu haben.

UNIX zeigt sich zunächst unnahbar. Nach der Installation begrüßt einen nach dem Login normalerweise ein grimmiger Eingabeprompt nebst blinkendem Cursor. Ohne weitere Kenntnisse ist hier Endstation. Mit der Erfahrung wächst aber auch das Verständnis für die Zusammenhänge und spätestens wenn sich ein Administrator in die Niederungen der Skriptprogrammierung begeben hat und seinem Unix ein paar Kunststückchen beibringen konnte, wird er nie wieder zu Windows zurückkehren wollen.

Documents

BORIS JAKUBASCHK & ROLAND MOOS - MyFritzpoct5i36suhgcw9b.myfritz.net/netz/zusatz/Linux-Kurs/Netzwerk_Guide_10.pdfi BORIS JAKUBASCHK & ROLAND MOOS Netzwerkguide.de Boris Jakubaschk