Randnotiz
Lesezeichen hinzufügen
QoS Trust Boundaries
Autor: Hein, Mathias Datum: 22.07.10
Die Definition bzw. die Klassifikation der Grenzen des Vertrauens ist eine Schlüsselkomponente jedes QoS-Designs. Anhand der Klassifikation werden die Pakete so gekennzeichnet, dass das Core-Netzwerk-Kern weiß, wie es mit den empfangenen Paketen umzugehen hat. Bestimmte Bits im IP-Header definieren dabei in welcher Weiterleitungsklasse die Pakete zu erfolgen haben. Diese Bits übernehmen dabei die gleiche Funktion wie der Priorität-Aufkleber auf einem Postpaket.
Handelt es sich bei einem Paket beispielsweise um ein Sprach- oder Video-Conferencing-Paket, muss der Prioritätsaufkleber so konstruiert sein, dass eine Vorzugsbehandlung des Pakets in jedem Router, auf dem Weg zwischen Absender und Empfänger, vorgenommen wird.
Die Sprach- oder Video-Endpunkte sind in der Regel in der Lage, die entsprechenden Paket-Kennzeichnungen durchzuführen. Hierzu müssen die Engeräte vom Administrator entsprechend den festgelegten QoS-Regeln im Netzwerk konfiguriert werden. Die Kommunikations-Endpunkte sind der richtige Ort, um die Pakete für die priorisierte Verarbeitung im Netzwerk zu markieren, weil der Endpunkt bei der Ausführung von Anwendungen die individuellen Anforderungen kennt. Dieser kann bereits vor der Übermittlung auf das Netz zwischen Paketen, die eine bevorzugte Behandlung (beispielsweise Sprach- oder Video-Streams) benötigen und solchen Datenströmen, die mit einer niedrigeren Serviceklasse (beispielsweise Signalisierungspakete) auskommen, unterscheiden. Somit scheint der logische Punkt zur Konfiguration der Service-Anforderungen für Verkehrsströme auf den Endpunkten im Netzwerk zu liegen.
In der Praxis kann das Netzwerk weder den veralteten Endgeräte/ Applikationen noch den Konfigurationen der Endgeräte-Administratoren vertrauen. Auf der Paketebene ist das Netzwerk nicht in der Lage, zwischen einem VoIP-Telefonat, einen PC mit aktiviertem Softphone oder einem falsch konfigurierten PC (welcher eine höhere QoS-Klasse nutzt) zu unterscheiden.
Außerdem arbeiten in vielen Unternehmen die Administratoren der Endgeräte (PCs und Server) nur unzureichend zusammen. Das Netzwerk Team trifft daher seine eigenen Entscheidungen, welche Endgeräte von diesen als vertrauenswürdig in Sachen "QoS" bewertet werden.
In vielen QoS-Implementierungen wird die QoS-Kennzeichnung aus Sicherheitsgründen vom Netzwerk vorgenommen. In Abhängigkeit von der Komplexität der Anwendung verfügt das Netzwerk jedoch nicht über hinreichende Kenntnisse zur Umsetzung der für den Betrieb der Anwendung notwendigen Details. Daher erden bei vielen QoS-Anforderungen Kompromisse eingegangen. Für die zeit- und qualitätsgerechte Vermittlung von Videokonferenzen behilft sich das Netzwerk-Team oft mit Access Control List (ACL). Diese identifizieren die jeden Videokonferenz-Endpunkte anhand ihrer durch statische IP-Adressen und markieren den gesamten Verkehrstrom des betreffenden Endpunkts mit einer hohen Prioritätskennzeichnung. Diese Strategie funktioniert in kleineren Netzwerken zufriedenstellend, aber weist gewisse Defizite bei der Skalierung bzw. der Verwaltung auf. Außerdem werden auf den betroffenen Endgeräten alle Datenströme hoch priorisiert und nicht die Echtzeitströme.
Die beschriebenen ACLs sind ein Beispiel für eine solche Vertrauensgrenze, wobei das Vertrauen auf der IP-Adresse des Endpunkts beruht. Ein weiterer Lösungsansatz besteht darin, die Endpunkte zu konfigurieren, dass die hoch zu priorisierten Datenströme in einem relativ engen UDP-Port- Bereich übermittelt wird. Der über diese UDP-Ports gesendete Verkehr wird anschließend über das Netzwerk mit der eingestellten Priorität übermittelt. Ein kombinierter Lösungsansatz priorisiert die Datenströme sowohl anhand der IP-Adresse/ Subnetzadresse und UDP-Port-Bereich.
Aus Sicht der heute verfügbaren Rechner- und Netzverwaltungs-Systeme ist es immer noch unabdingbar, dass die Netzadministratoren die Priorisierung auf Basis der empfangenen der Datenpakete vornehmen. Entspricht die durch das Endgerät für den Datenstrom vorgenommene Klassifizierung (bzw. weiteren Vertrauens- und Sicherheits-Kriterien), dann bleibt die vorgegebene Priorisierungs-Markierung erhalten. Alle anderen Datenströme werden entweder ummarkiert oder mit einer geringen Priorität übermittelt. Dadurch wird verhindert, dass Pakete fälschlicherweise als Echtzeit-Anwendungen markiert werden können, nur weil diese von einem Telefon- oder Video-Endpunkt verschickt werden.
Moderne Telefonie-Lösungen verfügen heute über integrierte Authentifizierungs-Mechanismen. Diese werden dazu benutzt, das Gerät während des Anschaltvorgangs an das Netzwerk zu erkennen. Einige Geräte verfügen auch über die Fähigkeit, dass diese sich automatisch konfigurieren und das zugeordnete VLAN bzw. die korrekte Paketmarkierung für das genutzte Netzwerk einstellen. Dies vereinfacht die Netzwerk-Administration und verhindert, dass Geräte einen unerlaubten Zugriff auf hoch priorisierte Verkehrsklassen erhalten.
Die verfügbaren Video-Conferencing-Systeme hinken in diesem Punkt noch den Telefonie-Lösungen hinterher. Es ist jedoch nur eine Frage der Zeit, bis sich diese Funktionen, durch den steigenden Einsatz von Videokonferenz-Systemen, auch in diesem Bereich zum Standard werden.
Die Video- und Audio-Lösungen im Desktop-Bereich stellen erhebliche Anforderungen an die Echtzeit und benötigen daher eine individuell abgestimmte Priorisierung im Netzwerk. Da die PCs individuell konfigurierbar sind, lassen sich diese leicht in Sachen "Priorisierung" manipulieren. Somit sind dem grundsätzlichen Vertrauen gegenüber diesen Geräten enge Grenzen gesetzt. Die Hersteller und Standardisierungs-Gremien sind daher gefordert, praxisnahe Lösungen zu entwickeln, die den Netz-Administratoren die Arbeit erleichtern und für einen ungestörten Betrieb sorgen.
