Grundlagen Computernetze

Prof. Jürgen Plate

Repeater, Bridge, Router

Um die Längenbeschränkung eines Ethernet-Segmentes aufzuheben, verwendet man Repeater. Ein lokaler Repeater verbindet zwei Segmente, die maximal 100 m Abstand haben dürfen, er ist mit je einem Transceiver an jedes Segment angeschlossen. Ein Remote-Repeater ist ein Repeater-Paar, das durch einen max. 1000 m langen Lichtwellenleiter verbunden ist. In jedem Netz dürfen höchstens vier Repeater vorhanden sein, man erreicht so eine Gesamtlänge von 2500 m. Ein Remote Repeater-Paar zählt dabei wie ein lokaler Repeater. An den Lichtwellenleiter können keine Ethernet-Stationen angeschlossen werden. Der Repeater ist als reines Verstärkerelement in der untersten Schicht des OSI-Modells angesiedelt.

Multiport-Repeater

Der Multiport-Repeater bietet die Möglichkeit, mehrere (typischerweise bis zu acht) Cheapernet-Segmente zusammenzuführen und über einen Transceiveranschluß mit dem Standard-Ethernet zu verbinden. Bei zwei oder mehr anzuschließenden Cheapernet-Segmenten ist die Lösung kostengünstiger als der Einsatz von Standard-Repeatern.

Hub

Analog dem Multiport-Repeater besteht die Funktion eines Hub darin, mehrere Twisted-Pair-Kabelsegmente über einen Transceiveranschluß mit dem Ethernet zu verbinden. Der Begriff "Hub" steht für fast alle Verstärkerkomponenten, die eine sternförmige Vernetzung ermöglichen. Hubs haben immer mehrere Ports zum Anschluß von mehreren Rechnern. Bei Twisted-Pair-Verkabelung ist meinst einer der Ports als "Uplink" schaltbar, d. h. es werden wie im 4. Kapitel beschrieben die Leitungen gekreuzt. Auf diese Weise lassen sich die Hubs kaskadieren. Typisch sind Hubs mit 4, 8, 12, 16, 24 und 32 Ports.

Stackable Multiport Repeater lassen sich über spezielle Ports zu einem grossen Repeaterstack verbinden. Bei der Verbindung der Repeater muß man zwischen zwei Methoden unterscheiden. Bei der ersten Methode werden die Repeater über ThinWire-Kabel verbunden, da sie als Backbone-Anschluß standardmässig über einen 10Base2-Anschluß verfügen. In diesem Fall zählt jeder Repeater als ein Repeater im Sinne der Repeaterregel (siehe weiter unten). Vorteil dieser Lösung ist, daß die Repeater räumlich nicht unmittelbar beieinander stehen müssen. Bei der zweiten Methode werden die Repeater über spezielle Busports und in der Regel sehr kurze Buskabel verbunden. Vorteil dieser herstellerspezifischen Kaskadierung ist, daß alle so verbundenen Repeater als ein Repeater bezüglich der Repeaterregel zählen.

Repeaterregel

Die Anzahl der hintereinanderschaltbaren Repeater bei 10Base5 und 10Base2 ist jedoch limitiert (Addition von Laufzeiten, Phasenverschiebungen, usw.). Ein Remote-Repeater-Paar (10Base5, 10Base2) mit einer Punkt-zu-Punkt-Verbindung zwischen beiden Hälften wird als ein Repeater betrachtet. Weiterhin gilt: Es dürfen nicht mehr als fünf (5) Kabelsegmente verbunden werden. Zur Verbindung werden vier (4) Repeater benötigt und nur drei (3) der Segmente dürfen Rechner angeschlossen haben. Bei Ethernet (10Base5) können so 5 Segmente zu je 500 m verbunden werden, das gesamte Netz darf damit eine Ausdehnung von 2,5 km haben.
Man kann diese Regel auch auf Twisted-Pair-Hubs anwenden - auch hier kann man nicht beliebig viele Hubs kaskadieren. Hier ist die Leitungslänge sogar auf ca. 100 m je Segment begrenzt. Eine Erweiterung ist durch aktive Elemente möglich (Switch, Router).

Lichtwellenleiter (10BaseF, FOIRL) und Sternkoppler

Zur Verbindung von Gebäuden werden oft Lichtwellenleiter (LWL) verwendet. Außerdem können mit ihnen in Gebäuden längere Entfernungen als mit Koaxkabeln überbrückt werden. Lichtleiter können wie TwistedPair auch im Ethernet-Verkehr nur für Punkt-zu-Punkt-Verbindungen eingesetzt werden. Lichtleiter werden zwischen Bridges, Switches und/oder Repeatern, einem Repeater und einer einzelnen Station mit Transceiver oder zwischen zwei Stationen mit Transceivern verwendet.
Als Industriestandard für Lichtleiterprodukte hatte sich ursprünglich FOIRL (Fiber Optic InterrepeaterLink) durchgesetzt. Inzwischen wurde FOIRL vom offiziellen IEEE 802.3 10BASE-FL-Standard abgelöst, daher sollte man heute nur noch 10BASE-FL konforme Geräte einsetzen. An einem FOIRL-Segment kann ein FOIRL-kompatibles Gerät mit einem 10BASE-FL-Transceiver gemischt werden. In diesem Fall gelten jedoch die strengeren FOIRL-Regeln. Normalerweise ist das eingesetzte LWL-Kabel ein Multimode- (MMF-) Kabel mit ST- oder SC-Steckern. Die maximale Länge des Kabels ist 2000 m beim Einsatz von 10BASE-FL-Komponenten, 1000 m bei FOIRL.
Sternkoppler können als Verstärker betrachtet werden, jedes Datenpaket, das von einem angeschlossenem Segment stammt, wird in alle anderen Segmente verbreitet, einschließlich Kollisionen und fehlerhafter Pakete.
An einen Sternkoppler können Koax- oder Cheapernet-Segmente angeschlossen werden. Zudem gibt es direkte Transceiver-Anschlüsse und mittlerweile auch Anschlüsse für Twisted-Pair-Kabelsegmente.

Bridge

Eine Bridge trennt zwei Ethernet-LANs physikalisch, Störungen wie z. B. Kollisionen und fehlerhafte Pakete gelangen nicht über die Bridge hinaus. Die Bridge ist protokolltransparent, d. h. sie überträgt alle auf dem Ethernet laufenden Protokolle. Die beiden beteiligten Netze erscheinen also für eine Station wie ein einziges Netz. Durch den Einsatz einer Bridge können die Längenbeschränkungen des Ethernets überwunden werden. Die Bridge arbeitet mit derselben Übertragungsrate, wie die beteiligten Netze. Die Anzahl der hintereinandergeschalteten Bridges ist auf 7 begrenzt (IEEE 802.1). Normalerweise wird man aber nicht mehr als vier Bridges hintereinanderschalten.

Jede lokale Bridge ist über Transceiver an zwei Ethernet-LANs angeschlossen (Es gibt auch Bridges, die mehrere LANs verbinden können). Die Bridge erstellt für jedes LAN eine Tabelle der Adressen aller Stationen, die Datenpakete aussenden. Ist die Zieladresse eines Paketes in dem LAN, in dem es von der Bridge empfangen wurde, wird es ignoriert. Ist es nicht darin, wird es in das andere LAN gesendet. Es werden somit nur solche Pakete übertragen, die an die jeweils andere Seite adressiert sind. Broadcasts und Multicasts werden immer übertragen. Je nach Typ der Bridge können auch extra Filter gesetzt werden, um etwa den Zugang mancher Stationen zu verhindern oder nur bestimmte Protokolle zuzulassen. Eine Bridge arbeitet auf der Ebene 2 des OSI-Schichtenmodells.
Die Bridge empfängt von beiden Netzsegmenten, mit denen sie wie jede normale Station verbunden ist, alle Blöcke und analysiert die Absender- und Empfängeradressen. Steht die Absenderadresse nicht in der brückeninternen Adreßtabelle, so wird sie vermerkt. Die Bridge lernt und speichert so die Information, auf welcher Seite der Bridge der Rechner mit dieser Adresse angeschlossen ist. Ist die Empfängeradresse bekannt und der Empfänger auf derselben Seite wie der Absender, so vewirft die Bridge das Paket (filtert es). Ist der Empfänger auf der anderen Seite oder nicht in der Tabelle, wird das Paket weitergeschickt. Die intelligente Bridge lernt so selbständig, welche Pakete weitergeschickt werden müssen und welche nicht. Bei managebaren Bridges können zusätzliche Adreß-Filter gesetzt werden, die regeln an welche Adressen die Bridge Informationen immer weiterschicken muß oder nie weiterschicken darf.
Bridges können Ethernet-Segmente auch über synchrone Standleitungen, Satellitenverbindungen, Funkverbindungen, öffentliche Paketvermittlungsnetze und schnelle Lichtleiternetze (z.B. FDDI) verbinden. In der Regel müssen solche Bridges immer paarweise eingesetzt werden.

Bridges sind komplette, relativ leistungsfähige Rechner mit Speicher und mindestens zwei Netzwerkanschlüssen. Sie sind unabhängig von höheren Protokollen (funktionieren also z.B. mit TCP/IP, DECnet, IPX, LAT, MOP etc. gleichzeitig) und erfordern bei normalem Einsatz keine zusätzliche Software oder Programmierung. Nach Außen bildet ein mittels Bridge erweitertes LAN weiterhin eine Einheit, welches eine eindeutige Adressierung bedingt. Eine Bridge interpretiert die MAC-Adressen der Datenpackete. Weitere Features einer Bridge sind:

Ausfallsicherheit
Störungen gelangen von der einen Seite einer Bridge nicht auf die andere Seite. Sie werden auch in diesem Sinne zum Trennen von sog. Kollisions-Domainen eingesetzt.
Datensicherheit
Informationen, die zwischen Knoten auf einer Seite der Bridge ausgetauscht werden, können nicht auf der anderen Seite der Bridge abgehört werden.
Durchsatzsteigerung
In den durch Bridges getrennten Netzsegmenten können jeweils unterschiedliche Daten-Blöcke gleichzeitig transferiert werden. Hierdurch wird die Netzperformance erhöht. Allerdings erzeugen Brücken dadurch, daß sie die Blöcke zwischenspeichern eine zusätzliche Verzögerung und können deswegen bei kaum ausgelasteten Netzen die Performance sogar verschlechtern.
Vermeidung von Netzwerkschleifen
Eine Bridge unterstützt den sog. Spanning Tree Algorithmus, wodurch es möglich ist, auch Schleifen- oder Ring-Konfigurationen (= redundante Verbindungen) im Netz zu erlauben. Die Bridges im Netz kommunizieren miteinander, im Gegensatz zu "dummen" Repeatern oder Hubs, und stellen über den Algorithmus sicher, daß bei mehreren redundanten Verbindungen immer nur eine gerade aktiv ist.

Weitere Kenndaten einer Bridge sind die Größe der Adreßtabelle, die Filterrate, und die Transferrate. Die Größe der Adreßtabelle gibt an, wieviele Adressen (Knoten) insgesamt in der Bridge gespeichert werden können. Die Filterrate gibt an, wieviele Pakete pro Sekunde (packets per second, pps) eine Bridge maximal empfangen kann. Bei voller Last und minimaler Paketlänge können in einem Ethernet-Segment theoretisch bis zu 14.880 Pakete pro Sekunde auftreten. Auf beiden Ports hat eine 2-Port-Bridge also insgesamt maximal 29.760 Pakete pro Sekunde zu filtern. Alle modernen Bridges erreichen diese theoretisch möglichen Maximalwerte. Die Transferrate gibt an, wieviel Pakete pro Sekunde die Bridge auf die andere Seite weiterleiten kann. Der Maximalwert ist hier 14.880 pps, da bei dieser Transferrate beide Segmente voll ausgelastet sind.

Spanning Tree - Algorithmus

Der Algorithmus ist ebenfalls in IEEE 802.10 spezifiziert. Er wird eingesetzt um bei Verknüpfungen von Netzwerken redundante Pfade (sog. Loops) durch einen deterministischen logischen Pfad im Netz zu ersetzen. Im folgenden Beispiel sind verschiedene LANs durch Bridges miteinander verknüpft, die im Bild durch Pfeile repräsentiert werden.

Alle Bridge-Links gemeinsam würden redundante Pfade im Netz ermöglichen, was endlos kreisende Pakete zur Folge hätte. Mit dem "Spanning Tree"-Algorithmus wird einer der möglichen logischen Pfade im Netz ausgewählt, der keine Schleifen enthät. Das Ergebnis wird durch die blauen Pfeile dargestellt die eine baumartige Struktur bilden. Im Extremfall kann hierdurch eine Bridge sogar ganz aus dem Netzverkehr herausfallen.

Die Bridges kommunizieren untereinander mit Hilfe der sog. Bridge Protocol Data Units (BPDU). Jede Bridge benötigt eine gewisse Grundkonfiguration, um den Algorithmus einsetzen zu können:

Bridge: Eindeutige Bridge-ID.
Port: Eindeutige Port-ID.
Port: Relative Port-Priorität.
Port: "Kostenfaktor" für jeden Port (je höher die Netzwerk-Performance im angeschlossenen LAN, desto geringer die Kosten).

In Abhängigkeit dieser Parameter wird der logische Baum folgendermaßen automatisch von allen Bridges zusammen aufgespannt:

Auswahl der Root-Bridge
Die Root-Bridge ist die Bridge mit der kleinsten Bridge-ID. Haben zwei Bridges dieselbe ID, so wird diejenige mit der kleinsten MAC-Adresse ausgewählt.
Auswahl eines Root-Ports pro Bridge
Mit Außnahme der Root-Bridge, wird bei jeder Bridge einer der Ports als Root-Port festgelegt. Dieser Port wird mit Hilfe der geringsten "Wegkosten" zur Root-Bridge ermittelt.
Zuordnung einer Bridge pro LAN
Diese Zuordnung ist entscheident, da sonst Schleifen entstehen.
- Im Falle daß nur eine Bridge an ein bestimmtes LAN angebunden ist, ist die Wahl einfach: jener Port, welcher zu diesem LAN gehöhrt, wird ihm auch global zugeordnet.
- Haben mehrere Bridges einen direkten Zugang zu einem LAN, wird diejenige ausgewählt, welche betreffend der Wegkosten zur Root-Bridge am g&uoml;nstigsten ist.

Switch

Der Switch ist wie Hub oder Repeater ein Gerät des OSI-Layers 1, d. h. er kann LANs mit verschiedenen physikalischen Eigenschaften verbinden, z. B. Koax- und Twisted-Pair-Netzwerke. Allerdings müssen, ebenso wie bei der Bridge, alle Protokolle höherer Ebenen 2 bis 7 identisch sein!. Ein Switch ist somit protokolltransparent. Er wird oft auch als Multi-Port-Bridge bezeichnet, da dieser ähnliche Eigenschaften wie eine Bridge aufweist. Jeder Port eines Switch bildet ein eigenes Netzsegment. Jedem dieser Segmente steht die gesamte Netzwerk-Bandbreite zu Verfügung. Dadurch erhöht ein Switch nicht nur - wie die Bridge - die Netzwerk-Performance im Gesamtnetz, sondern auch in jedem einzelnen Segment. Der Switch untersucht jedes durchlaufende Paket auf die MAC-Adresse des Zielsegmentes und kann es direkt dorthin weiterleiten. Der große Vorteil eines Switches liegt nun in der Fähigkeit seine Ports direkt miteinander verschalten zu können, d. h. dedizierte Verbindungen aufzubauen.

Was ist nun der Unterschied zwischen einem Switch und einer Multiport-Bridge? Bei den Produkten der meisten Hersteller gibt es keinen. Switch klingt nach Tempo und Leistung, deswegen haben viele Hersteller ihre Multiport Bridges Switches genannt. Der Begriff Switch fuer Multiport Bridges wurde von der Firma Kalpana (inzwischen von Cisco aufgekauft) kreiert, da deren Produkte nicht der IEEE-Spezifikation einer Bridge entsprachen, konnte Kalpana die Produkte nicht Bridges nennen und hat den Namen Switch gewählt. Kalpana war nun sehr erfolgreich mit dem Marketing ihrer Switches. Deswegen haben andere Hersteller ihre Bridges auch Switch, Switch mit Bridge-Eigenschaften oder Bridging Switch genannt. Switches brechen die Ethernet-Busstruktur in eine Bus-/Sternstruktur auf. Teilsegmente mit Busstruktur werden sternförmig über je einen Port des Switch gekoppelt. Zwischen den einzelnen Ports können Pakete mit maximaler Ethernet-Geschwindigkeit übertragen werden. Wesentlich ist die Fähigkeit von Switches, mehrere �bertragungen zwischen unterschiedlichen Segmenten gleichzeitig durchzuführen. Dadurch erhöht sich die Bandbreite des gesamten Netzes entsprechend. Die volle Leistungsfähigkeit von Switches kann nur dann genutzt werden, wenn eine geeignete Netzwerktopologie vorhanden ist bzw. geschaffen werden kann. Die Datenlast sollte nach Möglichkeit gleichmäßig über die Ports verteilt werden. Systeme, die viele Daten übertragen, müssen unter Umständen an einen eigenen Switch Port angeschlossen werden. Dies bezeichnet man dann als Private Ethernet. Außerdem sollte man versuchen, Systeme die viel miteinander kommunizieren, an einen gemeinsamen Port des Switches anzuschließen, um so die Datenmengen, die mehr als ein Segment durchlaufen müssen, zu reduzieren.

Allgemein haben sich in der Switch-Technologie zwei Gruppen herauskristallisiert:

Cut-Through bzw. On The Fly
Der Ethernet Switch wartet im Gegensatz zu normalen Bridges nicht, bis er das vollständige Paket gelesen hat, sondern er überträgt das ankommende Paket nach Empfang der 6-Byte-Destination-Adresse. Da nicht das gesamte Paket bearbeitet werden muß, tritt eine Zeitverzögerung von nur etwa 40 Mikrosekunden ein. Sollte das Zielsegment bei der �bertragung gerade belegt sein, speichert der Ethernet Switch das Paket entsprechend zwischen. Bei den Switches werden, im Gegensatz zu Bridges, mit Ausnahme von short frames (Pakete, die kleiner als die minimal zulässigen 64 Bytes sind), fehlerhafte Pakete auch auf das andere Segment übertragen. Grund hierfür ist, daß die CRC-Prüfung (Cyclic Redundancy Check) erst bei vollständig gelesenem Paket durchgeführt werden kann. Solange der Prozentsatz von fehlerhaften Paketen im Netz gering ist, entstehen keine Probleme. Sobald aber (z.B. aufgrund eines Konfigurationsfehlers, fehlerhafter Hardware oder extrem hoher Netzlast bei gleichzeitig langen Segmenten mit mehreren Repeatern) der Prozentsatz der Kollisionen steigt, können Switches auch dazu führen, daß die Leistung des Gesamtnetzes deutlich sinkt. Cut-Through-Switching bietet dann einen Vorteil, wenn man sehr geringe Verzögerungen bei der Übertragung zwischen einzelnen Knoten benötigt. Diese Technologie sollte also eingesetzt werden, wenn es darum geht, in relativ kleinen Netzen eine große Anzahl Daten zwischen wenigen Knoten zu übertragen.
Store-and-Forward
Die Switches dieser Kategorie untersuchen im Gegensatz zu den vorher erwähnten das gesamte Datenpaket. Dazu werden die Pakete kurz zwischengespeichert, auf ihre Korrektheit und Gültigkeit überprüft und anschließnd verworfen oder weitergeleitet. Einerseits hat dies den Nachteil der größeren Verzögerung beim Weiterschicken des Paketes, andererseits werden keinerlei fehlerhafte Pakete auf das andere Segment übertragen. Diese Lösung ist bei größeren Netzen mit vielen Knoten und Kommunikationsbeziehungen besser, weil nicht einzelne fehlerhafte Segmente durch Kollisionen das ganze Netz belasten können. Bei diesen Anwendungen ist die Gesamttransferrate entscheidend, die Verzögerung wirkt sich hier kaum aus.

Inzwischen sind Switching-Produkte (z.B. von 3Com, Cisco oder Allied Telesyn) am Markt, die beide Technologien unterstützen. Dies geschieht entweder per Konfiguration (Software) oder automatisch anhand der CRC-Fehler-Häufigkeit. Wird eine vorgegebene Anzahl von fehlerhaften Paketen überschritten, schaltet der Switch automatisch von "Cut Through" auf "Store and Forward" um.

Die Performance eines Netzes kann man auf Basis vorhandener Standalone-Switches erhöhen, indem zusätzliche Switches über die Ethernetports kaskadiert werden. Alle Switches erlauben die Kaskadierung über einen einzelnen Ethernet-Port mit einer maximalen Transferrate von 10 Mbit/s (bzw. 100 Mbit/s bei Fast Ethernet Switches). Kann man das Netz in Teilnetze unterteilen, zwischen denen diese Transferrate ausreicht, ist dies eine sinnvolle Lösung. Doch meistens ist das nicht der Fall. Die nächste und wohl beste Möglichkeit der Kopplung von Switches ist der Einsatz von Produkten, die den Anschluß an einen High Speed Backbone erlauben. Im Gegensatz zu kaskadierten Standalone-Switches können weitere Geräte an den Backbone gehängt werden, ohne daß Ports für die Switch-zu-Switch-Verbindung verlorengehen. Eine Backbone-Lösung ist nicht nur schneller und flexibler sondern für große Netze auch kostengünstiger. Man muß unterscheiden zwischen Lösungen, die eine herstellereigene Verbindung benutzen (proprietär) und solchen, die auf einen Standard wie Fast Ethernet, Gigabit Ethernet, FDDI oder ATM setzen.

Unterschiede Hub - Switch:

Hub

Es kann immer nur ein Datenpaket nach dem anderen den Hub passieren
Geschwindigkeit 10 oder 10/100 Mbps bei Dual Speed Hubs
Hubs wissen nicht, an welchem Port welche Station angeschlossen ist, sie können es auch nicht lernen. Hubs müssen nicht konfiguriert werden.
preisgünstiger als Switches

Switch

Mehrere Datenpakete können den Switch gleichzeitig passieren
Die Gesamtbandbreite (der Datendurchsatz) ist wesentlich höher als bei einem Hub
Switches lernen nach und nach, welche Stationen mit welchen Ports verbunden sind, somit werden bei weiteren Datenübertragungen keine anderen Ports unnötig belastet, sondern nur der Port, an dem die Zielstation angeschlossen ist
Geschwindigkeiten sind heute 10, 10/100 oder 1000 MBit/s (Gigabit Ethernet)
Switches müssen nicht konfiguriert werden

Router

Große Netzwerke wie das Internet bestehen aus vielen kleineren Teilnetzwerken. Die Verbindung der verschiedenen Netze wird durch spezielle Rechner hergestellt. Das sind, neben Bridges, Switches und Gateways, im Internet vor allem Router. Diese haben die Aufgabe, Daten zwischen Rechnern in verschiedenen Netzen auf möglichst günstigen Wegen weiterzuleiten. Zum Beispiel wenn Rechner 1 im Netz B Daten an Rechner 2 im Netz C schicken möchte.

Router verbinden, im Gegensatz zu Bridges, in OSI-Schicht 3 auch Netze unterschiedlicher Topologien. Sie sind Dreh- und Angelpunkt in strukturiert aufgebauten LAN- und WAN-Netzen. Mit der Fähigkeit, unterschiedliche Netztypen sowie unterschiedliche Protokolle zu routen, ist eine optimale Verkehrslenkung und Netzauslastung möglich. Routing wird erst dann erforderlich, wenn Kommunikation zwischen Stationen in unterschiedlichen Subnetzen erfolgen soll. Sie sind nicht protokolltransparent, sondern müssen in der Lage sein, alle verwendeten Protokolle zu erkennen, da sie Informationsblöcke protokollspezifisch umsetzen.

Bevor ein Router ein Paket mit einer bestimmten IP-Adresse weiterleiten kann, muß er für diese Adresse zunächst den Weg durch das Netz zum Zielrechner bestimmen. Das geschieht mit Hilfe spezieller Protokolle wie ARP, RIP, OSPF, EGP/BGP. Er arbeitet also nicht wie die Bridge oder der Switch mit den Adressen der MAC-Ebene. Dieses hat den Vorteil, das ein Host nicht die MAC-Adresse des Empfängers wissen muß, um diesem eine Nachricht zu übermitteln. Die Adresse der Netzwerk-Protokollebene, z. B. IP genügt. Dieses Weiterleiten von Daten anhand einer Tabelle heißt Routen.
In der Routingtabelle ist aber nicht der gesamte Weg zu einem Rechner mit einer bestimmten IP-Adresse gespeichert. Vielmehr kennt der einzelne Router nur die nächste Zwischenstation (engl. next hop) auf dem Weg zum Ziel. Das kann ein weiterer Router oder der Zielrechner sein.

Grundlegende Komponenten von Routern

Der Router besteht, wie ein Computer auch, aus CPU und Speicher. Dazu kommen mehrere Netzwerkadaptern, die eine Verbindung zu jenen Netzen herstellen, die mit dem Router verbundenen sind. Die Adapter sind meist über einen Systembus mit der CPU des Routers verbunden. Die CPU wiederum hält im Hauptspeicher des Rechners die Routingtabelle vor.

LAN Interfaces:
Die meisten Router haben ein oder mehrere LAN-Interfaces, je nach Topologie für Token-Ring, Ethernet, 100BASE-T Fast Ethernet, FDDI oder auch ATM. Für den Anschluß entsprechender Medien sind entweder alternativ nutzbare Ports (z.B. Ethernet AUI, BNC, RJ45) vorhanden oder der Anschluß ist als Einschub realisiert und kann daher den Erfordernissen angepaßt werden. WAN Interfaces:
WAN-Leitungen werden von unterschiedlichen Anbietern mit unterschiedlichen Geschwindigkeiten angeboten. Entsprechend variieren die Kosten und die Schnittstellen. Für kleinere Anbindungen (z.B. Workgroups) werden Verbindungen mit einer �bertragungsgeschwindigkeit von 64 Kbit/s empfohlen. Es gibt natürlich Applikationen, wo eine geringere �bertragungsrate ausreicht. Werden höhere �bertragungsraten benötigt, so bietet sich die in Europa übliche E1-Verbindung (im Prinzip ein ISDN Primärmultiplexanschluß) mit einer �bertragungsrate von 2048 kbit/s an. Router haben einen oder mehrere WAN-Ports, die entweder fest eingebaut sind oder bei modularen Modellen mit entsprechenden Schnittstellenmodulen aufgerüstet werden können. �bliche physikalische Schnittstellen für Synchronbetrieb sind RS449, V.35 und X.21, für asynchronen Betrieb das RS232-Interface. Für den Anschluß an ISDN wird die S0-Schnittstelle verwendet.

Routing

Wenn einer der Netzwerkadapter ein Datenpaket erhält, so verarbeitet er zunächst die Schicht-2-Protokolldaten, extrahiert dann das IP-Paket und reicht es zur weiteren Verarbeitung an die CPU weiter. Diese entnimmt dem Paketkopf die IP-Adresse des Zielrechners. Wenn nicht der Router selber adressiert ist, muß das Paket weitergeleitet werden. Dazu sucht die CPU in der Routingtabelle nach der passenden Next-Hop-Information. Die Next-Hop-Information beinhaltet zum einen die Nummer des Netzwerkadapters über den das Paket ausgegeben werden soll und zweitens die IP-Adresse des Next-Hop. Diese Adresse übergibt die CPU des Routers nun zusammen mit dem IP-Paket an den entsprechenden Netzwerkadapter. Dieser generiert daraus ein Schicht-2-Paket und sendet es ab.
Bevor ein Router ein Paket mit einer bestimmten IP-Adresse weiterleiten kann, muß er für diese Adresse zunächst den Weg durch das Netz zum Zielrechner bestimmen. Das geschieht mit Hilfe spezieller Protokolle wie ARP, RIP, OSPF, EGP/BGP.

Betrachten wir dazu ein stark vereinfachendes Beispiel. Dabei werden lokale Netze im folgenden nur noch als gelbe Ovale dargestellt. Innerhalb eines lokalen Netzes hat jeder Rechner eine eigene IP-Adresse. Zwei Netze werden miteinander über Router (rotes Rechteck) gekoppelt.

Bei der Verbindung von mehr als zwei Netzen existieren Knotenpunkte, an denen eine Richtungsentscheidung getroffen werden muß. Router mit mehreren Interfaces legen den Weg eines Paketes durch das Netz fest. Es ginge im Prinzip auch nur mit einem Interface - aber auf Kosten der Performance.

Das Konzept wird rasch an vielen Stellen umgesetzt. Es entstehen miteinander gekoppelte Netze. Aber noch haben nicht alle Netze miteinander eine Verbindung.

Durch weitere Verbindungen haben nun alle Netze Kontakt. Jeder Rechner kann mit jedem anderen Rechner kommunizieren, auch wenn sie nicht in zwei benachbarten Netzen liegen.

Durch Querverbindungen entsteht ein vermaschtes System. Auch wenn eine der Verbindungen ausfällt, kann die Kommunikation weiterlaufen.

Durch die für das Routen notwendige Untersuchung des Datenpakets, erhöht sich die Verweilzeit der Daten im Router selbst (Latenzzeit). Die eigentliche Stärke von Routern liegt in ihrer Fähigkeit mittels bestimmter Algorithmen den bestmöglichen Weg für ein Datenpaket zum Empfanger aus seiner Routing-Tabelle zu wählen.
Um die Daten "routen" zu können, ist es notwendig, daß der Router alle angeschlossenen Netzwerkprotokolle versteht und diese auch die Fähigkeit des Routens unterstützen. Der Vorteil des Routers gegenüber der Bridge ist die logische Trennung und die Bildung von (Sub-)Netzen bei TCP/IP bzw. von Areas bei DECNET.
Weitere Features von Routern sind ihre Netzwerk-Management- und die Filter-Funktionen. Durch geeignet gewählte Routing-Einstellungen ist es möglich, die Netwerk-Performance je nach Anforderungen ans Netz zu verbessern. Die Filterfunktionen auf Netzwerk-Protokollebene sind ähnlich wie bei der Bridge. Router bieten aber eine generell höhere Isolation da sie z. B. Broadcasts in der Regel nicht weiterleiten. Außerdem können sie zusätzlich als "screening Router" verwendet werden, indem z. B. bestimmten IP-Adressen der Zugriff auf bestimmte Netzteile verwehrt wird. Aus den erwähnten Gründen sind Router in der Regel per Software konfigurierbar.

Bei Hochgeschwindigkeitsnetzen im Gigabitbereich ist die oben beschriebene Struktur eines Routers nicht mehr ausreichend. Die CPU und der Systembus müßten dabei die Summe der Übertragungsraten aller angeschlossenen Netzwerke verarbeiten können. Bei 2 GBit/s Datenübertragungsgeschwindigkeit entspricht das bei einer angenommenen Paketgröße von 1000 Bits bis zu zwei Millionen IP-Paketen pro Sekunde und Netzwerkanschluß. Bei solchen Hochleistungsroutern geht man dazu über, die Aufgabe des Weiterleitens von IP-Paketen den einzelnen Netzwerkadaptern zu übertragen. Die Netzwerkadapter erhalten zu diesem Zweck eine eigene CPU und Speicher, in dem sich eine Kopie der zentralen Routingtabelle des Routers befindet. Trifft bei diesem Routermodell ein IP-Paket bei einem der Adapter ein, bestimmt dieser den Next-Hop und gibt das Paket direkt an den entsprechenden Ausgangsadapter weiter. Die CPU des Routers ist nur noch für die Ausführung der Routingprotokolle und die Verwaltung der zentralen Routingtabelle sowie anderer administrativer Aufgaben zuständig. Die zentrale Routingtabelle wird im Fall einer Änderung anschließend in die Speicher der einzelnen Netzwerkadapter kopiert.

Die Routingtabelle

Eine einfache Tabelle über alle 2³² (bei IPv4) bzw. 2¹²⁸ (bei IPv6) möglichen IP-Adressen wäre kaum machbar. Schließlich kann ein Router über die direkt mit ihm verbundenen Netze nur maximal einige tausend Rechner erreichen. In der Regel sind es sogar weniger als hundert. In der Routingtabelle ist auch nicht der gesamte Weg zu einem Rechner mit einer bestimmten IP-Adresse gespeichert. Vielmehr kennt der einzelne Router nur die nächste Zwischenstation (engl. next hop) auf dem Weg zum Ziel. Das kann ein weiterer Router oder der Zielrechner sein.

Die IP-Adressen sind nicht einzeln wahllos auf Rechner in der ganzen Welt verstreut worden. Bei IPv4 ist der Adreßraum in fünf verschiedene Klassen A-C unterteilt worden. Jede IPv4-Adresse besteht aus einer Klassenkennung, einer Netzadresse, einer möglichen Subnetzadresse und einer Rechneradresse. Jede Organisation im Internet bekommt eine Netzadresse aus einer bestimmten Klasse zugewiesen. Mit den Netzadressen der verschiedenen Klassen sind unterschiedliche Kontingente von Rechneradressen verbunden, je nachdem wie viele Adressen von einer Organisation benötigt werden. So sind die Netzadressen der Klasse B 14 Bit lang, und für die Adreßverteilung innerhalb einer Organisation stehen 16 Bit zur Verfügung. Für die mögliche Aufteilung in Subnetze und die Verteilung der Adressen an einzelne Rechner innerhalb der Organisationen sind diese selber zuständig.

Class C-Netz: 3 Byte Netzadresse, 1 Byte Rechneradresse,
Class B-Netz: 2 Byte Netzadresse, 2 Byte Rechneradresse,
Class A-Netz: 1 Byte Netzadresse, 3 Byte Rechneradresse.

Beispiel für drei IP-Netze mit Routern

Das folgende Netz besteht aus drei IP-Netzen, die über Router verbunden sind. Jeder Router hat zwei Netzwerk-Interfaces, die jeweils in zwei der Netze hängen. Es ist nicht unbedingt erforderlich, für jedes Netz eine eigenen Interface zu verwenden; über sogenannte 'virtuelle Interfaces' kann man mehrere Netze auf ein Hardwareinterface legen.

Die Routing-Tabellen dazu sehen so aus:

Router 1
Empfänger im Netzwerk	Zustellung über
192.168.0.0	direkt
192.168.1.0	direkt
192.168.2.0	192.168.1.2

Router 2
Empfänger im Netzwerk	Zustellung über
192.168.0.0	192.168.1.1
192.168.1.0	direkt
192.168.2.0	direkt

Brouter

Mittlerweile existieren Geräte, deren ausschließliche Funktion darin besteht, den Datenfransfer zwischen verschiedenen Netzsegmenten entweder mittels der Bridge- oder der Route-Funktion zu lenken, je nachdem ob das entsprechende Kommunikationsprotokoll routefähig ist oder nicht. Diese Geräte werden auch Brouter genannt. Sie sind zudem in der Lage, unterschiedliche Transpormedien zu bedienen; so können beispielsweise nicht nur Ethernetsegmente, sondern auch Token Ringe, X.25/HDLC-Strecken und in Zukunft auch FDDI-Ringe angeschlossen werden. Die Unterteilung eines großen Netzes durch Router verhindert auch die Ausbreitung des lokalen Datenverkehrs auf das gesamte Netz.

Layer-3-Switching

Layer-3-Switching ist eine neue Technologie. Sie kombiniert leistungsfähiges Switching (Layer 2) mit skalierbarem Routing (Layer 3). Herkömmliche Switches verwenden die MAC-Adresse der Ethernet-Frames zur Entscheidung, wohin die Frames transportiert werden sollen, während Router Datenpakete anhand von Routingtabellen und Accesslisten auf Layer-3-weitervermitteln. Router sind in vielen Installationen als reine LAN-to-LAN-Router im Einsatz, um Subnetze zu verbinden und die Nebeneffekte von rein geswitchten Netzen, wie z. B. Broadcast-Stürme, fehlendes Subnetting etc. zu verhindern. Router, die auf der Transportebene arbeiten, müssen jedes IP-Paket aus den Ethernet-Frames zusammenbauen und vielfältige Operationen an IP-Paketen durchführen. Dies führt zu einer Verzögerungszeit und, im Vergleich zu Switches, geringerem Datendurchsatz. In reinen IP-Netzen kann das Layer-3-Switching, auch "Fast IP" genannt, diese LAN-to-LAN-Router ersetzen. Der Layer-3-Switch liest beim ersten IP-Paket sämtliche Frames dieses Paketes, analysiert die Absender- und Empfänger-IP-Adressen und leitet das IP-Paket weiter. Alle nachfolgenden Frames dieses Stationspaars können daraufhin anhand der MAC-Adresse weitergeleitet werden. Der Layer-3-Switch behandelt IP-Pakete beim ersten Mal wie ein Router, nachfolgende Daten können auf Frame-Ebene geswitcht werden. Nicht-IP-Daten, wie z. B. IPX-Pakete, werden vom Layer-3-Switch auf Layer 2 geswitcht. Das Konzept des Layer-3-Switching bedingt eine Erweiterung des Ethernet-Frameformats und ist bisher nur proprietär implementiert. Die Erweiterung des Layer-3-Switching auf andere Layer-3-Protokolle wie z.B. IPX ist geplant. Es ist anzunehmen, daß die herstellerspezifischen Implementationen in einen gemeinsamen Standard münden.

Terminalserver

Ein Terminal-Server dient dazu, einem beliebigen Endgerät, sofern es eine serielle, asynchrone V.24 (RS 232 C)-Schnittstelle besitzt, die Verbindung zu einem Rechner herzustellen. Der Terminal-Server ist über einen Transceiver an das Ethernet angeschlossen und stellt dem Terminal-Benutzer eine Kommandoschnittstelle zur Verfügung, so daß er Verbindungen aufbauen, abbauen und Parameter (z.B. Echo) setzen kann. Ein Terminal kann meist mehrere Verbindungen haben und zwischen ihnen wechseln. Es gibt Terminal-Server für verschiedene Protokolle, z. B. für TCP/IP (Telnet) und DECnet (LAT) oder auch beides zugleich. Die meisten Terminal-Server haben acht Ports zum Anschluß von Endgeräten, sie können auch kaskadiert werden. Der Einsatz eines Terminal-Servers ist immer nötig, wenn es für das Endgerät keine Möglichkeit gibt, eine Ethernet-Karte einzubauen.

Gateway

Gateways können völlig unterschiedliche (heterogene) Netze miteinander koppeln. Sie stellen einen gemeinsamen (virtuellen) Knoten dar, der zu beiden Netzen gehört und den netzübergreifenden Datenverkehr abwickelt. Gateways werden einerseits für die LAN-WAN-Kopplung (oder die LAN-WAN-LAN-Kopplung) andererseits für den Übergang zwischen unterschiedlichen Diensten verwendet (z. B. das Absetzen von Fax-Nachrichten aus einem LAN).

Ein Gateway ist ein aktiver Netzknoten, der von beiden Seiten aus adressiert werden kann. Er kann nicht auch mehr als zwei Netze miteinander koppeln. Gateways behandeln auf beiden Seiten unterschiedliche Protokolle bis hinauf zur Schicht 7. Insbesondere ist das Routing über Netzgrenzen (korrekte Adressierung!) hinweg eine wichtige Aufgabe des Gateways. Man unterscheidet im wesentlichen zwei Typen:

Medienkonvertierende Gateways (Translatoren), die bei gleichem Übertragungsverfahren die Verbindung zwischen unterschiedlichen Protokollen der unteren beiden Ebenen (bei unterschiedlichem Transportmedium) herstellen - also dort, wo ein Router nicht mehr ausreichen würde.
Protokollkonvertierende Gateways, die unterschiedliche Protokolle der Ebenen 3 und 4 abwickeln und ineinander überführen.

Der Gateway unterstützt hauptsächlich zwei wichtige Dienste: Die Übermittlung aufeinanderfolgender Nachrichten zwischen Quelle und Ziel als unabhängige Einheit und das Etablieren einer logischen Verbindung zwischen Quelle und Ziel. Um auf die unterschiedlichen Anforderungen der Flußkontrolle der zu verbindenen Netze eingehen zu können, muß der Gateway gegebennfalls Daten zwischenspeichern. Ist eines der beteiligten Netze leistungsfähiger als das andere, muß der Gateway dies erkennen und das "schnellere" Netz bremsen. Arbeiten beide Netze mit unterschiedlichen Paketgrößen, müssen Datenpakete "umgepackt" werden. Dies kann ganz einfach dadurch geschehen, daß zu große Pakete in kleinere Pakete aufgespalten und an Ziel gegebenenfalls wieder zusammengesetzt werden.

Firewall-Rechner

Als Schutz vor Einbruchsversuchen in lokale Netze, die über einen Anschluß an öffentliche Netze verfügen (z. B. Internet, aber auch ISDN), haben sich Firewall-Rechner, kurz 'Firewalls' bewährt. Ähnlich der Zugbrücke einer Burg erlauben sie den Zugang nur an einer definierten Stelle. Damit läßt sich der Datenverkehr von und nach außen kontrollieren. Normalerweise sind zahlreiche Rechner des Unternehmens, die unter diversen Betriebssystemen laufen, direkt aus dem öffentlichen Netz erreichbar. Ein Firewall kanalisiert die Kommunikation, indem alle Daten von und nach außen über dieses System laufen müssen. Die Kanalisierung erhöht zudem die Chancen, einen Einbruchversuch anhand ausführlicher Protokoll-Dateien zu erkennen, da der Eindringling erst den Firewall passieren muß.
Ein Firewall kann aus einer einzelnen Maschine oder aus einer mehrstufigen Anordnung bestehen. Eine mehrstufige Anordnung ist vor allem dann sinnvoll, wenn man bestimmte Dienste der Öffentlichkeit zur Verfügung stellen will, etwa einen WWW- oder ftp-Server. Die entsprechenden Hosts können dann in einem Zwischennetz isoliert werden.

Der Anschluß kann auf zwei Arten erfolgen. Die erste Möglichkeit ist das Einbinden ins lokale Netz. Der Router dieses Netzes wird so konfiguriert, daß alle Datenpakete nur an den Firewall weitergegeben werden, der auch als einziges System 'nach außen sichtbar' ist.

Die zweite Möglichkeit besteht darin, den Firewall mit zwei Netzwerk- Schnittstellen auszurüsten, so daß das interne und das externe Netz durch den Rechner getrennt werden. Der Firewall routet dann nur die erlaubten Datenpakete.

Zur Software-Konfiguration eines Firewall existieren zwei Grundstrategien:

'Es ist alles erlaubt, was nicht verboten ist'
Dieser Ansatz schließt die Nutzung bestimmter Dienste (z. B. tftp, nfs) generell aus. Er ist benutzerfreundlich, da neue Dienste automatisch erlaubt sind, aber auch gefährlich, da der Administrator das Verhalten der Nutzer ständig beobachten und rechtzeitig Gegenmaßnahmen treffen muß.
'Es ist alles verboten, was nicht erlaubt ist'
Diese Strategie könnte von den Nutzern als hinderlich angesehen werden, da diese neue Dienste erst umständlich beantragen müssen. Sie schützt aber auch vor Sicherheitslücken im Betriebssystem und in Anwendungsprogrammen, da sie den Zugriff auf unbekannte Ports unterbindet.

Es gibt drei Arten von Firewalls:

Paketfilter überprüfen die Quell- und Zieladresse (IP-Adresse und TCP/UDP-Port) eines Pakets und entscheiden, ob es passieren darf oder nicht. Der Vorteil besteht in der Transparenz für den Anwender. Diese Transparenz ist aber zugleich von Nachteil: Paketfilter können nicht zwischen Nutzern und deren Rechten unterscheiden. Paketfilter sind im allgemeinen auf Routern angesiedelt und werden heute von den meisten Herstellern mitgeliefert. Intelligente Paketfilter analysieren zusätzlich den Inhalt der Pakete und erkennen auch die Zulässigkeit von Verbindungen, die einfache Paketfilter nicht erlauben würden (z. B. Datenverbindung bei ftp).
Circuit Level Gateways sind mit Paketfiltern vergleichbar, arbeiten jedoch auf einer anderen Ebene des Protokollstacks. Verbindungen durch solch ein Gateway erscheinen einer entfernten Maschine, als bestünden sie mit dem Firewall-Host. Somit lassen sich Infomationen über geschützte Netzwerke verbergen.
Application Gateways, auch 'Proxy' (Stellvertreter) genannt, stellen ein anderes Firewall-Konzept dar. Hierbei wird auf dem Firewall-Host für jede zulässige Anwendung ein eigenes Gateway-Programm installiert. Der Client muß sich dabei oftmals gegenüber dem Proxy-Programm authentifizieren. Dieser Proxy führt dann alle Aktionen im LAN stellvertretend für den Client aus. Damit lassen sich zum einen benutzerspezifische Zugangsprofile (welche Zeiten, welche Dienste, welche Rechner) erstellen, zum anderen kann man die Festlegung der zulässigen Verbindungen anwendungsbezogen vornehmen. Die daraus resultierenden separaten kleinen Regelsätze bleiben besser überschaubar als der komplexe Regelsatz eines Paketfilters. Application Gateways sind typische Vertreter der 'Verboten-was-nicht-erlaubt'-Strategie und als die sicherste, aber auch aufwendigste Lösung einzuschätzen.
Da beim Proxy alle Zugriffe nach außen über eine Instanz laufen, kann man den Proxy gleichzeitig als Cache (Pufferspeicher) benutzen. Der Proxy speichert alle erhaltenen WWW-Seiten zwischen, so daß er bei einem erneuten Zugriff darauf - egal, ob vom selben oder einem anderen Anwender - keine Verbindung nach außen aufbauen muß.

Der Einsatz von Firewalls bietet sich auch innerhalb einer Organisation an, um Bereiche unterschiedlicher Sensitivität von einander abzugrenzen. Firewalls bieten jedoch niemals hundertprozentige Sicherheit! Sie schützen nicht vor dem Fehlverhalten eines authorisierten Anwenders und können, etwa durch eine zusätzliche Modem-Verbindung, umgangen werden.

Zum Inhaltsverzeichnis Zum nächsten Abschnitt