Flash-Speicher. Vorteile:

Transkript

1 Flash-Speicher sind digitale Speicherchips; Flash-EEPROM. - persistente Speicherung ( Persistent wird als ein Synonym für nichtflüchtig verwendet, was bedeutet, dass die Daten auch nach Beenden des Programms (gegebenenfalls auch bei unvorhergesehenem Beenden, z. B. bei Stromausfall) vorhanden bleiben, und bei erneutem Aufruf des Programms wieder rekonstruiert und angezeigt werden können.) - niedriger Energieverbrauch. - Flash-Speicher sind portabel und miniaturisiert - langsamer als gewöhnliche Festwertspeicher (ROM). Als nichtflüchtiges Speichermedium steht der Flash-Speicher in Konkurrenz vor allem zu Festplatten und optischen Speichern wie DVDs und Blu-ray-Discs. Vorteile: - keine mechanisch bewegliche Teile, dadurch - Energieverbrauch als auch die Wärmeentwicklung sind geringer. - geräuschlos - weitestgehend resistent gegen Erschütterungen. - geringes Gewicht sowie eine kleine Bauform. - Die Zugriffszeiten sind im Vergleich zu anderen Festspeichern sehr kurz. Dadurch - Leistungsfähigkeit verbessert - Des Weiteren können die minimalen Kosten pro Speichersystem gegenüber Festplatten geringer sein, zum Beispiel bei günstigen Netbooks. Nachteile: - Günstiger als RAM (Preis pro GB), aber nicht kokurrenzfähig: - erreichbaren Datenraten bei Flash deutlich geringer - Die Kosten pro Gigabyte sind für Flash Speicher deutlich größer als für Festplatten und optische Disks. - Ein Hauptproblem von Flash-Speicher ist die Fehleranfälligkeit. - permanente Bitfehler auftreten. - Flash-Speicher wird mit der Zeit kleiner, da die Anzahl der benutzbaren Sektoren abnimmt. - Im Vergleich mit der Lebensdauer einer Festplatte scheint dieser Effekt nach aktuellen Untersuchen jedoch vernachlässigbar.

2 Virtual Local Area Network Ein VLAN ist ein logisches Teilnetz innerhalb eines Switches oder eines gesamten physischen Netzwerks. Es kann sich über einen oder mehrere Switches hinweg ausdehnen. Ein VLAN trennt physische Netze in Teilnetze auf, indem es dafür sorgt, dass VLAN-fähige Switche Frames (Datenpakete) eines VLANs nicht in ein anderes VLAN weiterleiten und das, obwohl die Teilnetze an gemeinsame Switches angeschlossen sein können. Gründe und Vorteile - Lokale Netze werden heute üblicherweise mit Hilfe von aktiven Komponenten aufgebaut, die auf OSI- Ebene 2 (oder höher) arbeiten. In der Regel sind diese Komponenten Switches. Eine Unterteilung solcher Netze kann grundsätzlich aus mehreren Gründen wünschenswert sein: o Flexibilität bei der Zuordnung von Endgeräten zu Netzwerksegmenten, unabhängig vom Standort der Station. o Performance-Aspekte: So kann zum Beispiel ein bestimmter Datenverkehr wie VoIP in ein VLAN erfolgen und dieses VLAN bei der Übertragung priorisiert werden. Häufig möchte man aber auch einfach nur Broadcast-Domänen verkleinern, damit sich Broadcasts nicht über das gesamte Netz ausbreiten. o Sicherheitsaspekte: VLANs können Netze gegen das Ausspionieren und Abhören besser absichern als geswitchte Netze. VLANs hingegen sind robust, denn zur Verbindung der VLANs kommen Router zum Einsatz, die gegen Layer-2-Attacken systembedingt unempfindlich sind. Zusätzlich bietet Routing auch die Möglichkeit, Firewalls auf Layer-3-Basis einzusetzen, wodurch sich eine größere Auswahl an Firewallsystemen erschließt. Die beiden letztgenannten Aspekte könnten auch durch eine entsprechende Verkabelung und den Einsatz mehrerer Switches und Router erreicht werden. Durch den Einsatz von VLANs lässt sich dies jedoch unabhängig von der meist vorhandenen und nur mit großem Aufwand erweiterbaren physischen Verkabelung verwirklichen, was neben einer erhöhten Flexibilität auch wirtschaftlich sinnvoll sein kann: VLAN-fähige Geräte sind zwar durchaus teurer, ersetzen unter Umständen aber mehrere Einzelgeräte. Zuordnung von Datenverkehr zu VLANs: Die Zuordnung der Teilnetze zu einem VLAN durch - Portzuordnung an den Switches erfolgen (statisch) - spezielle Markierungen an den Paketen (Tags) - dynamisch durch MAC-Adressen, IP-Adressen, bis hin zu TCP- und UDP-Ports und höheren Protokollen. Jedes VLAN bildet, wie ein normales, physisch separiertes Netzwerksegment, eine eigene Broadcast-Domäne. Um den Verkehr zwischen den VLANs transparent zu vermitteln, benötigt man einen Router. Moderne Switches stellen diese Funktion intern zur Verfügung, man spricht dann von einem Layer-3-Switch. Die Überlegenheit von VLANs im Vergleich zur physischen Zuordnung zu verschiedenen Subnetzen liegt in der Tatsache, dass ein Wechsel von einem VLAN in ein anderes nur am Kopplungselement (Multilayerswitch, Router) geschehen kann, es muss keine physische Verbindung geändert werden. Weitere Vorteile: Verbesserte Sicherheit: durch die feinere Trennung in verschiedene Subnetze werden Pakete nur zu jenen Teilnehmern geleitet, die diese empfangen sollen Unabhängigkeit von physikalischer Topologie: VLANs sind unabhängig von der physikalischen Topologie, indem Gruppenmitglieder selbst in anderen Gebäuden eingeschlossen werden können.

3 Netzwerktuning und Vereinfachung von Softwarekonfiguration: Administratoren können Netze einfacher "Finetunen", indem logische Gruppen eingerichtet werden. So kann die benötigte Software einfacher bestimmten Nutzern zugeordnet und gegebenenfalls angepasst und aktualisiert, IP-Adressen vergeben, Netzwerkprotokolle wie DHCP vereinfacht werden usw. Verbessertes Management: Mittels VLANs lassen sich logische Gruppen einfacher, flexibler und kostengünstiger modifizieren als ohne dieses Konzept. Die Zuordnung zu einer Gruppe hängt nicht mehr von den räumlichen Gegebenheiten ab, sondern kann beliebig geschehen, z.b. um gemeinsam verwendete Geräte wie Drucker oder Plotter nur Mitgliedern einer bestimmten Gruppe zugänglich zu machen.

4 IPv6 - Internet Protocol Version 6 (früher auch Internet Protocol next Generation, IPnG) - Nachfolger der gegenwärtig im Internet noch überwiegend verwendeten Version 4 des Internet Protocols. - IPv6 spezifiziert die Vorgänge, die zur Vermittlung von Daten durch ein paketvermittelndes Datennetz notwendig sind, wie etwa die Adressierung der beteiligten Netzwerkelemente (Rechner oder Router) und den Vorgang der Paketweiterleitung zwischen Teilnetzen (Routing). - IPv6 ist ein Standard für die Vermittlungsschicht (Schicht 3) des OSI-Modells. Gründe für ein neues Internet-Protokoll - IPv4 Adressraum vier Milliarden IP-Adressen (2³² = 2564 = ) - Früher nur wenige Rechner die eine IP-Adresse brauchtengalt als mehr als ausreichend. - Wachstums des Internet Adressenknappheit. Die wesentlichen neuen Eigenschaften von IPv6 umfassen: - Vergrößerung des Adressraums von 2³² ( 4,3 Milliarden) bei IPv4 auf 2^128 ( 340) Adressen bei IPv6 - Vereinfachung und Verbesserung des Protokollrahmens (Kopfdaten); dies ist insbesondere wichtig für Router. - zustandslose automatische Konfiguration von IPv6-Adressen; zustandsbehaftete Verfahren wie DHCP werden beim Einsatz von IPv6 damit in vielen Anwendungsfällen überflüssig. - Mobile IP sowie Vereinfachung von Umnummerierung und Multihoming - Implementierung von IPsec innerhalb des IPv6-Standards. Dadurch wird die Verschlüsselung und die Überprüfung der Authentizität von IP-Paketen ermöglicht. Für IPv4 ist die Unterstützung von IPsec nur optional. - Unterstützung von Netztechniken wie Quality of Service und Multicast Adressaufbau von IPv6 IPv6-Adressen sind 128 Bit lang (IPv4: 32 Bit). Die letzten 64 Bit bilden bis auf Sonderfälle einen für die Netzwerkschnittstelle (engl. Interface) eindeutigen Interface Identifier. Eine Netzwerkschnittstelle kann unter mehreren IP-Adressen erreichbar sein; in der Regel ist sie dies mittels ihrer link-lokalen Adresse und einer global eindeutigen Adresse. Derselbe Interface Identifier kann damit Teil mehrerer IPv6-Adressen sein, welche mit verschiedenen Präfixen auf dieselbe Netzwerkkarte gebunden sind. Insbesondere gilt dies auch für Präfixe möglicherweise verschiedener Provider; dies vereinfacht Multihoming-Verfahren.

5 NAT - Network Address Translation - Verfahren in Routern zur Verbindung lokaler Netze mit dem Internet - Private IP-Adressen dürfen mehrfach verwendet werden und besitzen in öffentlichen Netzen keine Gültigkeit. - Damit trotzdem alle Computer mit privater IP-Adresse Zugang zum Internet bekommen können, muss der Internet-Zugangs-Router in allen ausgehenden Datenpaketen die IP-Adressen der Stationen durch seine eigene, öffentliche IP-Adresse ersetzen. - Damit die eingehenden Datenpakete dem richtigen Ziel zugeordnet werden, speichert der Router die aktuellen Verbindungen in einer Tabelle. Dieses Verfahren nennt man NAT (Network Address Translation). Warum NAT? Die ersten IP-Netze waren anfangs eigenständige Netz ohne Verbindung nach außen. Deshalb wurden die Stationen häufig mit IP-Adressen aus den privaten Adressräumen versehen. Doch irgendwann entstand der Bedarf, s über die Grenzen von Unternehmensnetzen auszutauschen und auch auf das World Wide Web (WWW) zuzugreifen. Weil die Stationen ohne eigene öffentliche IP-Adresse keine Verbindung außerhalb des Netzwerks herstellen konnten, wurde mit NAT ein Verfahren eingeführt, dass es jeder Station möglich machte mit Rechnern außerhalb des lokalen Netzwerks zu kommunizieren. Weil der Adressraum des Protokolls IPv4 zu verschwenderisch verteilt wurde, reichen die IP-Adressen nicht für jeden Computer aus. NAT ist also auch ein Ausweg, um die Adressknappheit von IPv4 kurzfristig aufzulösen. Langfristig muss jedoch ein Internet-Protokoll mit einem größeren Adressraum her. IPv6 ist ein solches Protokoll. Ablauf von NAT 1. Der Client schickt sein Datenpaket an sein Standard-Gateway (NAT-Router). 2. Der NAT-Router tauscht IP-Adresse und Portnummer aus und speichert beides mit der getauschten Portnummer in der NAT-Tabelle. 3. Dann leitet er das Datenpaket ins Internet weiter. 4. Der Empfänger (Server) des Datenpakets schickt seine Antwort zurück. 5. Der NAT-Router stellt nun anhand der Portnummer fest, für welche IP-Adresse das Paket im lokalen Netz gedacht ist. 6. Dann tauscht er IP-Adresse und Portnummer aus und leitet es ins lokale Netz weiter, wo es der Client entgegennimmt. Probleme durch NAT - Einträge in der NAT-Tabelle sind nur für eine kurze Zeit gültig. - Für Anwendungen, die nur sehr unregelmäßig Daten austauschen, bedeutet das, dass ständig die Verbindung abgebrochen wird. Folge: Anwendungen können unter Umständen in einer NAT-Umgebung nicht funktionieren. - Problem entsteht bei einer hohen Anzahl ausgehender Verbindungen: Überlaufen der NAT-Tabelle. Folge: einzelne Verbindungen fliegen aus der NAT-Tabelle, Verbindungen brechen ab. - Für manche Anwendungen besteht ein hohes Risiko der Fehladressierung wegen fehlender Adresszuordnungen.

6 NAT und IPv6 Durch IPv6 wird NAT praktisch überflüssig. Der Wegfall von NAT verbessert den Betrieb von Netzwerken erheblich. Fehler, die NAT verursacht fallen dann einfach weg. Außerdem lassen sich Fehler schneller finden und beheben. Ohne NAT werden Protokolle, wie STUN überflüssig. Das freut besonders Entwickler, weil jedes Protokoll, dass nicht implementiert werden muss, erst gar keine Sicherheitslücken aufreißen kann. Doch ohne NAT wird in Zukunft eine gut konfigurierte Firewall wichtiger werden. RAID - Redundant Array of Independent Disk Ein RAID kommt immer dann zum Einsatz, wenn folgende Ziele erreicht werden sollen: Geschwindigkeit steigern (RAID 0 null Redundanz ) Datensicherheit erhöhen (redundante Speicherung RAID 1) oder beides zusammen RAID-Prinzip - logischer Verbund mehrerer HDDs durch Adapter oder OS - Im Zusammenhang mit RAID und Speichersystemen (Storage) spricht man häufig von Arrays. (Bezeichnung von Festplatten zu einer logischen Einheit) - Verteilung der Daten nach festgelegtem Schema auf die beteiligten HDDs (je nach RAID-Level) Was kann ein RAID nicht? - RAID hilft nur beim Ausfall einer Festplatte (nicht bei RAID 0). - Wenn gleichzeitig eine zweite Festplatte ausfällt, dann hilft RAID nicht gegen Datenverlust (außer RAID 6). - Auch schützt ein RAID nicht vor Viren, Würmern oder versehentlichen Löschen von Dateien. - RAID erhöht die Ausfallsicherheit und damit die Verfügbarkeit des Speichersystems. Eine Datensicherung (Backup) kann kein RAID ersetzen. - Ein RAID erspart also nicht das regelmäßige Backup der Daten. RAID-Level - RAID = Zusammenschaltung mehrerer physikalischer HDDs zu einem großen logischen Laufwerk. - verschiedene Möglichkeiten = verschiedene RAID-Level. - In der Praxis haben sich die RAID-Level 0, 1 und 5 durchgesetzt und reichen aus, um die meisten Anforderungen abzudecken: RAID 0: Nicht ausfallsicher, dafür schnelle Lese- und Schreibgeschwindigkeit RAID 1: Ausfallsicher, aber teuer RAID 5: Ausfallsicher, aber langsame Schreibgeschwindigkeit Hardware-RAID - klassisches RAID = Hardware-RAID: Mikroprozessor (RAID-Controller) auf dem RAID-Adapter organisiert die Datenverteilung auf die Festplatten. - Der RAID-Controller übernimmt Verteilung der Daten und die Berechnung der Prüfsummen selbst, Hauptprozesseor muss nicht belastet werden. - Der RAID-Controller ist mit einem Cache ausgestattet und kann dadurch Schreibzugriffe beschleunigen. - Von der Zusammenschaltung der Festplatten bekommt das Betriebssystem nichts mit.

7 - Im Vergleich zum Zugriff auf eine einzelne Festplatte erkennt man auch als Anwender keinen Unterschied. - Bei der Konfiguration und im laufenden Betrieb bleiben beim Hardware-RAID keine Wünsche offen. Ein richtig sicheres und schnelles RAID bekommt man nur mit Hardware-Unterstützung. Software-RAID - Hauptprozessor übernimmt Verteilung der Daten und der Berechnung der Prüfsummen - Linux erlaubt neben RAID 0, 1 und 5 auch noch RAID 4 und 6. MacOS beherrscht immerhin RAID 0 und 1. Windows Server beherrscht RAID 0, 1 und 5. Die Einzelplatz-Betriebssysteme von Microsoft nur RAID 0. JBOD - Just a Bunch of Disks - mehrere Festplatten werden zu einer großen zusammengeschalten, in dem sie virtuell einfach hintereinander gehängt werden. - Dieser Festplattenverbund sieht für das Betriebssystem wie ein einziges großes Laufwerk aus. JBOD ermöglicht es ausschließlich mehrere kleinere Festplatten, auch unterschiedlicher Größe, zusammenzuschalten, um daraus ein einziges großes Laufwerk zu bauen. - Hat nichts mit RAID zu tun! - Fällt eine Festplatte aus, dann ist das gesamte Laufwerk aus Sicht des Betriebssystems defekt. Die Chance zur Rettung von Daten ist relativ gut, wenn auf den intakten Festplatten größere zusammenhängende Dateien liegen. RAID-Level 0 Die 0 in der Bezeichnung deutet auf Null Daten-Redundanz hin. Weil die Daten abwechselnd auf zwei oder mehr Festplatten verteilt werden, bezeichnet man diesen RAID-Level auch als Striping. Aufbau von RAID 0 - Zusammenfassung von 2 oder mehr HDDs zu einer großen logischen - Die Gesamtgröße des RAID richtet sich nach der kleinsten Festplatte mal der Anzahl der Festplatten. Deshalb empfiehlt es sich gleich große Festplatten zu verwenden Vorteile von RAID 0 - Während eine Festplatte mit dem Speichern eines Datenblocks beschäftigt ist, wird durch den RAID- Controller bereits der nächsten Datenblock an die nächste Festplatte geschickt. Im Idealfall wird so der Zugriff auf das logische Laufwerk mit doppelter Geschwindigkeit erreicht. Auch beim Lesen der Daten von RAID 0 ist die Transferrate viel schneller als das Lesen von einer einzelnen Festplatte. - RAID 0 eignet sich also ausschließlich zur Geschwindigkeitssteigerung

8 Nachteile von RAID 0 - Fällt eine Platte aus, dann sich alle Daten weg, weil praktisch von jeder gespeicherten Datei nur noch die Hälfte verfügbar ist. - Wenn ein Teil einer Datei fehlt, kann der Rest der Datei nicht wiederhergestellt werden. - Die Vorteile von RAID 0 (höhe Transferraten) wiegen die Nachteile (steigende Ausfallgefahr) nicht auf. Das Array ist defekt, wenn eine Festplatte kaputt geht oder Controller oder Betriebssystem beim Schreiben einen Fehler verursachen. Und auch im Fall eines Motherboard-Defekts lassen sich die Festplatten nicht ohne Weiteres in ein anderes System einbauen, um an die Daten zu kommen. RAID-Level 1 Bei RAID 1 werden die Daten doppelt, also mindestens auf zwei Festplatten gespeichert. Man bezeichnet das als Datenspiegelung oder Mirroring. RAID 1 bietet so den bestmöglichen Schutz vor Datenverlust durch Festplattenausfall. Eine Variante davon ist RAID 1E. Es handelt sich dabei um Mirroring über 3 Festplatten. Aufbau von RAID 1 - Zusammenschaltung von 2 physikalischen HDDs zu einem logischen Laufwerk. - Der RAID-Controller legt alle Daten auf beiden Festplatten gleichzeitig ab, so dass beide Festplatten immer identische Werte haben. - Bei RAID 1 müssen die Festplatten immer paarweise vorhanden sein. - Die Kapazität des logischen Laufwerks wird durch die kleinste Festplatte vorgegeben. Üblicherweise verwendet man zwei identische Festplatten. - Eine Variante von RAID 1 ist das Duplexing, bei der jede Festplatte über einen eigenen Controller verfügt. Fällt ein Controller aus, kann das System mit dem zweiten Controller und der daran hängenden Festplatte weiterarbeiten. Vorteile von RAID 1 - Beim Lesen ist RAID 1 zumindest schneller als eine einzelne Festplatte, da der Controller die Daten von der Festplatte ausgibt, die zuerst liefert. - Wenn der RAID-Controller es schafft die Lesezugriffe intelligent auf beide Festplatten zu verteilen, dann kann sich dadurch theoretisch die Lesegeschwindigkeit verdoppeln. - Fällt eine Festplatte aus, kann man mit der anderen ohne Daten- und einem geringen Geschwindigkeitsverlust weiter arbeiten. Nachteile von RAID 1 - teuerstes RAID-Level (dafür 100% Redundanz). - Für den Speicherplatz ist praktisch immer der doppelte Preis zu zahlen. - Oder man erhält für den gleichen Preis nur halb so viel Speicherplatz. - Bsp: Brutto = 1000GB, Netto aber nur 500GB RAID-Level 5 (2 / 3 / 4) Bei großen Datenmengen, die redundant gespeichert werden müssen, ist RAID 0 nicht akzeptabel und RAID 1 zu teuer, platzraubend und meistens überdimensioniert. Der RAID-Level 5 ist eine Weiterentwicklung aus den RAID-Leveln 3 und 4. Wie bei RAID 0 werden die Daten in Blöcke, den Stripes, aufgeteilt und über die gesamte Festplatte verteilt.

9 Der RAID-Level 5 ist eine gute Kombination aus Datensicherheit und Speicherausnutzung. Bei 5 Festplatten beträgt die Speicherkapazität 80% von der Gesamtkapazität aller Festplatten. Aufbau von RAID 5: Block Striping mit verteilter Parität Bei RAID 5 müssen mindestens 3 Festplatten vorhanden sein. Zur Steigerung der Gesamtkapazität des logischen Laufwerks können auch mehr Festplatten eingebunden werden. Bei drei Festplatten wird ein Datenblock von 128 kbyte in zwei Datenblöcke von 64 kbyte geteilt. Aus den beiden Datenblöcken wird die Paritätsinformation gebildet, die einem dritten Block von 64 kbyte entspricht. Die Parität ist das Ergebnis einer Exklusiv-Oder-Verknüpfung (XOR) der Datenblöcke eines Sektors. Die Parität wird aus Sicherheitsgründen nicht auf einem separaten Laufwerk gespeichert, sondern gleichmäßig auf alle Festplatten zwischen den Datenblöcken verteilt (Rotating Parity). Das Schreiben verzögert sich jedoch bei RAID 5. Vor dem Schreiben muss zuerst ein Lesezugriff erfolgen, damit die Paritätsinformation berechnet und danach wieder geschrieben werden kann. Wenn eine Festplatte ausfällt, dann werden die fehlenden Datenblöcke aus den Paritätsblöcken vom Controller während der Laufzeit rekonstruiert. Wird die defekte Festplatte ausgetauscht, dann errechnet der Controller die fehlenden Daten aus der Parität und beschreibt damit die neue Festplatte. Dieser Vorgang kann einige Zeit dauern. Zusätzliche Schreib- und Lesezugriffe können die Rekonstruktion verlangsamen. Vorteile von RAID 5 Bei der Lesegeschwindigkeit verhält sich ein RAID 5 wie ein RAID 0, weil hier die Daten von mehreren Laufwerken gelesen werden können, ohne die Paritätsinformationen entschlüsseln zu müssen. Die Paritätsinformationen werden nur dann benötigt, wenn eine Festplatte ausfällt und die fehlenden Daten rekonstruiert werden müssen. Nachteile von RAID 5 Der Hauptnachteil von RAID 5 ist die Notwendigkeit bei jedem Schreibzugriff den Paritäts-Sektor auszulesen, neu zu berechnen und wieder zu speichern. Daraus ergibt sich eine langsame Schreibgeschwindigkeit im Vergleich zu anderen RAID-Leveln. Doch Dank geschickter Paritätsberechnung und Puffern von Daten ist RAID 5 auch beim Schreiben vergleichsweise schnell. Der zweite, aber weniger schwerwiegende Nachteil ist der Kapazitätsverlust durch die Speicherung der Paritätsinformationen. Wichtig zu wissen: Fällt im RAID 5 eine Festplatte aus, so sind die Daten in höchstem Maße gefährdet. Denn fällt noch eine Festplatte aus, so sind die Daten endgültig verloren. Ein RAID 5 verkraftet den Ausfall einer zweiten Festplatte nicht. RAID-Level 2 Beim RAID-Level 2 werden die Festplatten wie bei RAID 0 zu einem großen logischen Laufwerk zusammengeschaltet. Dort werden die Datenblöcke gespeichert. Zusätzlich werden aus den Datenblöcken mit dem Hamming-Code Prüfsummen errechnet. Der Hamming-Code erlaubt die Rekonstruktion fehlerhafter oder

10 fehlender Bits. Für ein 8-Bit-Datenwort werden 3-Bit zusätzlicher Speicherplatz benötigt. Dieser wird auf einem zusätzlichen Laufwerk bereitgestellt. Die Redundanz beträgt etwa 28%. Die Schreibgeschwindigkeit wird durch die Prüfsummenbildung und deren Speicherung gebremst. Besonders bei kleinen Datenblöcken ist das System langsam. RAID 2 ist nicht beliebig skalierbar. Zusätzliche Daten-Festplatten benötigen zusätzlichen Speicherplatz für die Prüfsummen. RAID-Level 3 Beim RAID-Level 3 werden die Festplatten wie bei RAID 0 zu einem großen logischen Laufwerk zusammengeschaltet. Dort werden die Daten byteweise auf alle Festplatten verteilt. Zusätzlich werden aus den Datenblöcken Prüfsummen gebildet. Sektorweise werden die Datenblöcke mit einem logischen Exklusiv-Oder (XOR) verknüft. Die Prüfsumme wird dann auf einem separaten Laufwerk gespeichert. Fällt eine Festplatte aus, kann aus der Prüfsumme und den noch vorhandenen Daten die verlorenen Daten rekonstruiert werden. Aufgrund der einfachen Berechnung der Prüfsumme halten sich die Leistungsverluste bei einem Festplattenausfall in Grenzen. Bei einem RAID 3 mit 5 Festplatten ergibt sich eine nutzbare Kapazität von 80% der Gesamtkapazität aller Festplatten. RAID 3 ist für die Speicherung großer Dateien, wie sie z. B. bei CAD, Bild- und Videoverarbeitung anfallen geeignet. Der Vorteil gegenüber RAID 2 ist das simple Prüfsummenverfahren mit XOR. Die Schreibgeschwindigkeit ist allerdings durch die Geschwindigkeit des Prüfsummen-Laufwerks begrenzt. RAID-Level 4 - Sector Striping Beim RAID-Level 4 werden die Festplatten wie bei RAID 0 zu einem großen logischen Laufwerk zusammengeschaltet. Die Anzahl der Festplatten ist beliebig skalierbar und jederzeit erweiterbar. Die Dateien werden in ihrer ursprünglichen Größe auf die einzelnen Festplatten verteilt. Man bezeichnet das als Sector Striping. Auf einem zusätzlichen Laufwerk werden die XOR-Prüfsummen der Daten gespeichert. Der Unterschied zum RAID 3 sind die unabhängig voneinander arbeitenden Festplatten und dass dadurch Zugriffe parallel voneinander abgearbeitet werden können. Beim Schreibvorgang werden die Daten nur auf zwei Festplatten gespeichert. Auf einer Daten-Festplatte und auf dem Prüfsummen-Laufwerk. Weil jeder Schreibvorgang das Prüfsummen-Laufwerk beansprucht, ist dieser nur so schnell, wie die Prüfsumme gespeichert wurde. Fehlende oder fehlerhafte Daten können aus der Prüfsumme rekonstruiert werden. RAID 4 ist vor allem bei kleinen Dateigrößen interessant. Dort ist der Zugriff besonders schnell. Ein RAID-10-Verbund ist ein RAID 0 über mehrere RAID 1. Es werden dabei die Eigenschaften der beiden RAIDs kombiniert: Sicherheit und gesteigerte Schreib-/Lesegeschwindigkeit. Ein RAID-10-Verbund benötigt mindestens vier Festplatten. Während die RAID-1-Schicht einer RAID-0+1-Implementation nicht in der Lage ist, einen Schaden in einem untergeordneten RAID 0 differenziert den einzelnen Festplatten zuzuordnen, bietet RAID 10 gegenüber RAID 0+1 eine bessere Ausfallsicherheit und schnellere Rekonstruktion nach einem Plattenausfall, da nur ein Teil der Daten rekonstruiert werden muss. Auch hier hat man wie bei RAID 0+1 nur die Hälfte der gesamten Festplattenkapazität zur Verfügung.

11 VPN - Virtual Private Network VPN ist ein logisches privates Netzwerk auf einer öffentlich zugänglichen Infrastruktur. Nur die Kommunikationspartner, die zu diesem privaten Netzwerk gehören, können miteinander kommunizieren und Informationen und Daten austauschen. Eine allgemein gültige Definition gibt es für VPN nicht. VPN steht für eine Vielzahl unterschiedlicher Techniken. So wird manche Technik, Protokoll oder Produkt zu VPN zugeordnet, obwohl keinerlei Verschlüsselung oder Authentifizierung zum Einsatz kommt. Beides ist allerdings Voraussetzung für ein VPN. VPN - Virtual Private Network Authentizität Vertraulichkeit Integrität VPNs müssen Sicherheit der Authentizität, Vertraulichkeit und Integrität sicherstellen. Authentizität bedeutet die Identifizierung von autorisierten Nutzern und die Überprüfung der Daten, dass sie nur aus der der autorisierten Quelle stammen. Vertraulichkeit und Geheimhaltung wird durch Verschlüsselung der Daten hergestellt. Mit der Integrität wird sichergestellt, dass die Daten von Dritten nicht verändert wurden. Unabhängig von der Infrastruktur sorgen VPNs für eine angemessene Sicherheit der Daten, die darüber übertragen werden. VPN-Typen Remote-Access-VPN Branch-Office-VPN / Site-to-Site-VPN / LAN-to-LAN-VPN Extranet-VPN Remote-Access-VPN Remote-Access ist ein VPN-Szenario, bei dem Heimarbeitsplätze oder mobile Benutzer (Außendienst) in ein Unternehmensnetzwerk eingebunden werden. Der externe Mitarbeiter soll so arbeiten, wie wenn er sich im Netzwerk des Unternehmens befindet. Die VPN-Technik stellt eine logische Verbindung zum lokalen Netzwerk über das öffentliche Netzwerk her. Im Vordergrund steht ein möglichst geringer, technischer und finanzieller Aufwand für einen sicheren Zugriff auf das Unternehmensnetzwerk. Hierbei ist zwangsläufig ein VPN-Client auf dem Computer des externen Mitarbeiters zu installieren, wenn diese Software nicht bereits im Betriebssystem verankert ist. Branch-Office-VPN / Site-to-Site-VPN / LAN-to-LAN-VPN Branch-Office-VPN, Site-to-Site-VPN oder LAN-to-LAN-VPN sind Anwendungs-Szenarien, um Außenstellen oder Niederlassungen (Filialen) zu einem dynamischen, virtuellen Firmennetzwerk über das öffentliche Netz zusammenzuschalten. Netzwerke, die sich an verschiedenen Orten befinden lassen sich über eine angemietete Standleitung direkt verbinden. Diese Standleitung entspricht in der Regel einer physikalischen Festverbindung zwischen den beiden

12 Standorten. Bei Festverbindungen, Frame Relay und ATM kommen sehr schnell hohe Kosten durch relativ hohe Verbindungsgebühren zusammen. Je nach Anzahl, Entfernung, Bandbreite und Datenmenge, kommen sehr schnell hohe Kosten zusammen. Da jedes Netzwerk in der Regel auch eine Verbindung zum Internet hat, bietet sich diese Verbindung zur Zusammenschaltung von zwei oder mehr Netzwerken mit VPN-Technik an (LAN-to-LAN-Kopplung). Bei VPNs über das Internet entstehen nur die Kosten, die für den Internet Service Provider zu bezahlen sind. Virtuelle private Netze benutzen das Internet als Weitverkehrsnetz. Das Internet wird so zur Konkurrenz zu klassischen WAN-Diensten der Netzbetreiber. VPN-Technik löst zunehmend leitungsgebundene WAN- und Remote-Access-Lösungen ab. VPNs lassen sich über das Internet billiger und flexibler betreiben. Extranet-VPN Während Branch-Office-VPNs nur die verteilten Standorte einer Firma verbinden, ist ein Extranet-VPN ein virtuelles Netzwerk, das die Netzwerke unterschiedlicher Firmen miteinander verbindet. In der Regel geht es darum die Intranets fremder Unternehmen zusammenzuschließen. Zum Beispiel Geschäftspartner, Lieferanten und Support-leistende Unternehmen. Dabei gewährt man dem externen Unternehmen Zugriff auf Teilbereiche des Unternehmensnetzwerks. Die Zugriffsbeschränkung erfolgt mittels einer Firewall. Extranet-VPNs ermöglichen eine sichere Kommunikation bzw. einen sicheren Datenaustausch zwischen den beteiligten Unternehmen. Tunneling Um eine gesicherte Datenübertragung über das unsichere Internet zu gewährleisten, wird mit einem Tunneling-Protokoll eine verschlüsselte Verbindung, der VPN-Tunnel, aufgebaut. Der Tunnel ist eine logische Verbindungen zwischen beliebigen Endpunkten. Meist sind das VPN-Clients, VPN-Server und VPN-Gateways. Man nennt diese virtuellen Verbindungen Tunnel, weil der Inhalt der Daten für andere nicht sichtbar ist. USV - Unterbrechungsfreie Stromversorgung Viele Geräte und Maschinen müssen nahezu 100% ihrer Laufzeit zu Verfügung stehen. Hierzu gehören Server und Router, die z. B. das Internet am Laufen halten. Neben Hardware- und Software-Problemen zählt auch die Stromversorgung zur Achillesferse eines jeden Gerätes aus der Kommunikations- und Informationstechnik. Deshalb werden wichtige Geräte mit einer USV, unterbrechungsfreie Stromversorgung, ausgestattet. Doch nicht nur ein Stromausfall, sondern auch kurzzeitige Unter- und Überspannungen sollen durch die USV abgefangen werden. Aufgrund der unterschiedlichen Bedürfnisse der einzelnen Geräte haben sich drei Klassen im USV-Bereich etabliert, die das International Engineering Consortium (IEC) unter der Produktnorm IEC und die Europäische Union unter EN festgelegt haben. Standby- oder Offline-USV Line-Interactive-, Netzinteraktiv-, Delta-Conversion- oder Single-Conversion-USV Online-Double-Conversion- oder Dauerwandler-USV Die einfachsten und billigsten USVs (nach IEC der USV-Klasse 3) sind Standby- bzw. Offline-USVs. Sie schützen nur gegen Netzausfälle und kurzzeitigen Spannungsschwankungen und -spitzen. Unter- und Überspannungen werden nicht ausgeglichen. Wegen der Umschaltdauer zwischen Netzbetrieb auf Batteriebetrieb von 4 bis 10 Millisekunden (ms) werden Störspannungen, Spannungseinbrüche und

13 Spannungsspitzen unterhalb dieser Zeit nicht erkannt. Empfehlenswert und zweckmäßig sind robuste Verbraucher, wie kleine TK-Anlagen und einzelne Computer mit Peripherie, die mit primär getakteten Netzteilen mit Überspannungsschutz und Spannungsfilter ausgestattet sind. Netzinteraktive USVs (nach IEC der Klasse 2) funktionieren ähnlich wie Standby-USVs. Sie schützen vor Netzausfall, kurzzeitige Spannungsspitzen und können durch Filter Spannungsschwankungen ständig regeln. Die Umschaltzeit von Netzbetrieb auf Batteriebetrieb dauert 2 bis 4 Millisekunden (ms). Umgekehrt wird verzögerungsfrei geschaltet. Netzinteraktive USVs liefern in der Regel ein stufenförmiges Ausgangssignal. Der Wirkungsgrad liegt zwischen 95 und 98%. Dieser sinkt, wenn der Ausgangswandler aktiv wird. Netzinteraktive USVs eignen sich in Gegenden, wo viele Spannungsschwankungen vorkommen. Einzelne Computer, größere TK-Anlagen und Netzwerke lassen sich absichern. Auf den Schutz hochsensibler Systeme sollte verzichtet werden. Die Dauerwandler- bzw. Online-USVs (nach IEC der Klasse 1) gelten als echte Stromgeneratoren, die ständig eine eigene Netzspannung erzeugen. Damit werden angeschlossene Verbraucher dauerhaft ohne Einschränkungen mit Netzspannung versorgt. Zeitgleich wird die Batterie aufgeladen. Dabei kann die Eingangsspannung zwischen 160 und 290 V schwanken. Die Ausgangsspannung entspricht nahzu einer Sinuskurve. Sie verfügt aber über bessere Eigenschaften, als der Strom aus der Steckdose. Ganz ohne Störspannungen, elektromagnetischen Einflüssen, Frequenzstörungen und Spannungsverzerrungen.Dauerwandler-USVs kommen in hochsensiblen Bereichen in der Computer- und Kommunikationstechnik zum Einsatz. Für diesen umfassenden Schutz muss entsprechend Geld angelegt werden. Kaufberatung Welche USV-Klasse? Geschäftskritische Anwendungen benötigen Dauerwandler-USVs (Klasse 1). Computer und Server kommen mit Klasse-2-USVs aus. Für billige Geräte, ohne teure Bauteile, reichen Offline- USVs (Klasse 3) aus. Geräte mit ungleichmäßigem Stromverbrauch sind für USVs generell ungeeignet. Shutdown-Zeit? Sollte es zu Stromausfällen kommen oder ständige Spannungsschwankungen auftreten, müssen alle Geräte ordnungsgemäß heruntergefahren werden, um Hardware-Schäden und Datenverluste zu vermeiden. Entsprechend lange muss die Leistung der USV ausgelegt sein. Mindestleistung? Ausschlaggebend ist der Stromverbrauch der per USV versorgten Geräte. Diesen Wert mulipliziert man mit 230 V und addiert 30% als Sicherheit dazu. Ist der Stromverbrauch unbekannt, dann dividiert man die Wirkleistung durch 0,6. Damit erhält man annähernd die Scheinleistung in VA. Damit bei bei Neuanschaffungen die USV nicht auch noch aufgerüstet werden muss, empfiehlt sich eine Leistungsreserve von 15 bis 25% einzuplanen. Bauart? USVs gibt es in den unterschiedlichsten Bauweisen. Neben den normalen Standgeräten gibt es auch Rackmodule für 19". Wichtig ist, dass man den Standort vorher wählt und dann die Bauweise bestimmt. Besonders große USVs sind schwer und mit viel Mühe zu installieren und zu warten. Wenn die Batterien ausgetauscht werden müssen, dann sind schwer zugängliche USVs immer ein Ärgernis.

14 Strukturierte Verkabelung Eine strukturierte Verkabelung oder universelle Gebäudeverkabelung (UGV) ist ein einheitlicher Aufbauplan für eine zukunftsorientierte und anwendungsunabhängige Netzwerkinfrastruktur, auf der unterschiedliche Dienste (Sprache oder Daten) übertragen werden. Damit sollen teure Fehlinstallationen und Erweiterungen vermieden und die Installation neuer Netzwerkkomponenten erleichtert werden. Unstrukturierte Verkabelungen sind meist an den Bedarf oder eine bestimmte Anwendung gebunden. Soll auf eine neue Technik oder Technik-Generation umgestellt werden, führt das zu einer Kostenexplosion mit ungeahnten Ausmaßen. Setzt man dann doch auf eine neue Technik, muss man sich zwingend über die Details des Übertragungsmediums informieren und sich mit Übertragungseigenschaften und -wege auseinandersetzen. Eine strukturierte Verkabelung basiert auf einer allgemein gültigen Verkabelungsstruktur, die auch die Anforderungen mehrerer Jahre berücksichtigt, Reserven enthält und unabhängig von der Anwendung genutzt werden kann. So ist es üblich, die selbe Verkabelung für das lokale Netzwerk und die Telefonie zu benutzen. Ziele einer strukturierten Verkabelung Unterstützung aller heutigen und zukünftigen Kommunikationssysteme Kapazitätsreserve hinsichtlich der Grenzfrequenz das Netz muss sich gegenüber dem Übertragungsprotokoll und den Endgeräten neutral verhalten flexible Erweiterbarkeit Ausfallsicherheit durch sternförmige Verkabelung Datenschutz und Datensicherheit müssen realisierbar sein Einhaltung existierender Standards Primärverkabelung - Geländeverkabelung Den Primärbereich wird als Campusverkabelung oder Geländeverkabelung bezeichnet. Er sieht die Verkabelung von einzelnen Gebäuden untereinander vor. Der Primärbereich umfasst meist große Entfernungen, hohe Datenübertragungsraten, sowie eine geringe Anzahl von Stationen. Für die Verkabelung wird in den meisten Fällen Glasfaserkabel (50 µm) mit einer maximalen Länge von 1500 m verwendet. In der Regel sind es Glasfaserkabel mit Multimodefasern oder bei größeren Entfernungen auch Glasfaserkabel mit Singlemodefasern. Für kleinere Entfernungen werden auch schon mal Kupferkabel verwendet. Grundsätzlich gilt es, den Primärbereich großzügig planen. Das bedeutet, das Übertragungsmedium muss von Bandbreite und Übertragungsgeschwindigkeit nach oben hin offen sein. Das selbe gilt auch für das eingesetzte Übertragungssystem. Als Faustregel gilt 50 Prozent Reserve zum derzeitigen Bedarf. Sekundärverkabelung - Gebäudeverkabelung Der Sekundärbereich wird als Gebäudeverkabelung oder Steigbereichverkabelung bezeichnet. Er sieht die Verkabelung von einzelnen Etagen und Stockwerken innerhalb eines Gebäudes untereinander vor. Dazu sind vorzugsweise Glasfaserkabel (50 µm), aber auch Kupferkabel mit einer maximalen Länge von 500 m vorgesehen.

15 Tertiärverkabelung - Etagenverkabelung Der Tertiärbereich wird als Etagenverkabelung bezeichnet. Er sieht die Verkabelung von Etagen- oder Stockwerksverteiler zu den Anschlussdose vor. Während sich im Stockwerksverteiler ein Netzwerkschrank mit Patchfeld befindet, mündet das Kabel am Arbeitsplatz des Anwenders in einer Anschlussdose in der Wand oder in einem Kabelkanal. Für diese relativ kurze Strecke sind Twisted-Pair-Kabel vorgesehen, deren Länge auf 90 m, zzgl. 2 mal 5 m Anschlusskabel, begrenzt ist. Alternativ kommen auch Glasfaserkabel (62,5 µm) zum Einsatz. Firewall Eine Firewall ist eine Schutzmaßnahme vor fremden und unberechtigten Verbindungsversuchen aus dem öffentlichen (Internet, ISDN) ins lokale Netz. Mit einer Firewall lässt sich der kommende und gehende Datenverkehr kontrollieren, protokollieren, sperren und freigeben. Am Anfang steht die Entscheidung zur Grundhaltung gegenüber Datenverbindungen. Die Firewall kann zunächst alle Verbindungen erlauben und nur bekannte gefährliche Datenverbindungen unterbinden. Oder sie sperrt alles und alle erwünschten Datenverbindungen müssen explizit freigegeben werden. Strategie 1 Alles ist freigegeben. Bekannte unsichere und unerwünschte Vorgänge werden gesperrt. Strategie 2 Alles ist gesperrt. Bekannte sichere und erwünschte Vorgänge werden freigegeben. Diese Variante ist relativ komfortabel. Bei der Einführung ist mit keinerlei Problemen zu rechnen. Allerdings ist sie nur so sicher, wie Gefahren und Sicherheitslöcher bekannt sind und gesperrt werden. Diese Variante ist sehr sicher. Allerdings erfordert sie eine aufwendige Konfiguration der Firewall. Hauptproblem beim Einrichten einer Firewall ist das Überprüfen der Filterregeln und Beschränkungen. Nur wenige Firewall-Produkte bieten diese Möglichkeit. Sich auf die einwandfreie Funktion der Firewall zu verlassen wäre fatal. Entweder man beauftragt eine externe Firma, die Firewall zu testen oder man beschafft sich einschlägige Software-Tools und testet die Firewall selber. Aber über einen anderen Internet-Zugang, nicht über das eigene lokale Netz! Grundsätzlich gibt es zwei verschiedene Ansätze für ein Firewall-Konzept: passiver Paketfilter aktives Gateway (Proxy)

16 Sicherheitsvorkehrungen? Keine Sicherheitsvorkehrungen oder Sicherheitsmechanismen zu verwenden ist fahrlässig. Allerdings sollte man schon genau hinschauen, was einem so als Sicherheitsfunktion angeboten wird. Ein MAC-Filter, wie er in WLAN-Access-Points angeboten wird, ist als Sicherheitsfunktion bedingt tauglich. Zum einen ist der Verwaltungsaufwand groß und zweitens für einen Hacker kein wirkliches Hindernis. Jeder Netzwerk-Adapter kann mit einer anderen MAC-Adresse versehen werden. NAT wird besonders in Produkt-nahen Beschreibungen als Sicherheitsmerkmal beschrieben. Hinter NAT steckt ein Mechanismus, der als Nebenprodukt verhindert, dass Stationen hinter dem NAT-Router von außerhalb direkt ansprechbar sind. Von außen initiierte Verbindungsversuche werden verworfen und bekommen keinen Zugang zum lokalen Netzwerk. NAT als Sicherheitsmerkmal zu bezeichnen ist irreführend, weil es nicht die Aufgabe von NAT ist, die Sicherheit zu erhöhen. Ein weiterer gut gemeinter Ratschlag ist das Blockieren von Ports. Dadurch soll verhindert werden, dass über nicht blockierte Ports irgendwelche Dienste angesprochen werden können. Allerdings erreicht man dadurch nicht mehr Sicherheit. Protokolle sind nicht an bestimmte Ports gebunden. Sie können irgendwelche Ports verwenden. Ziel sollte es sein, alle nicht in Gebrauch befindlichen Dienste abzuschalten. Denn dann braucht man sich um offene Ports keine Sorgen machen. Ports sperrt nur derjenige, der seine Server- und Netzwerk-Dienste nicht im Griff hat. Trotz aller Sicherheitsmaßnahmen ist die beste Firewall die Isolation. Computer mit sensiblen oder datenschutzrechtlichen Daten sollten autark und vom jedem Netzwerk getrennt laufen. Storage Storage ist die Bezeichnung für eine große Menge zusammenhängenden Speicherplatz in einem Netzwerk. Storage heißen auch die große Miet-Garagen-Parks in den USA. Ein Storage im Netzwerk arbeitet mit dem selben Prinzip. Im Storage bekommt jeder Netzwerkbenutzer einen bestimmten Speicherplatz reserviert, auf dem er eigene Dateien speichern kann. Storage-Kategorien DAS - Direct Attached Storage NAS - Network Attached Storage SAN - Storage Area Network DAS - Direct Attached Storage Mit DAS bezeichnet man eine Festplatte, die mit einem Server direkt verbunden ist. Dabei spielt es keine Rolle, ob die Festplatte innerhalb des Gehäuses mit SATA oder SAS angeschlossen ist oder extern über USB FireWire oder esata. In jedem Fall kontrolliert der Server den Zugriff auf den Speicherplatz. Andere Server und Workstations erhalten über Benutzerrichtlinien oder auf Freigabeebene Zugriff auf den Speicher. Bei diesem Speichersystem besteht immer die Gefahr einer Downtime (Ausfallzeit). Fällt der Server aus, dann steht der Speicherplatz mit den gesamten Daten nicht mehr zur Verfügung. Ist eine Festplatte defekt, sind die Daten verloren und müssen mit einem Backup wieder hergestellt werden. Das erste Problem kann durch einen zweiten Server gelöst werden, der seine Daten mit dem ersten Server abgleicht und so die Performance und Ausfallsicherheit verbessert. Das zweite Problem wird durch ein RAID gelöst. Hier werden die Daten auf zwei Festplatten gespiegelt. Fällt eine Festplatte aus, kann sie entfernt und durch eine neue ersetzt werden. Danach werden die Daten auf die neue Festplatte automatisch gespiegelt.

17 NAS - Network Attached Storage Bei NAS sind die Festplatten vom Server losgelöst. Sie sind als eigenständige Einheit zu sehen. Im Prinzip besteht eine NAS-Speicherlösung aus einer oder mehr Festplatten, einem Netzteil für die Stromversorgung und dem Netzwerkinterface. Alles zusammen in einem Gehäuse steht an einer zentralen Stelle in der Netzwerkinfrastruktur und stellt auf Basis von TCP/IP Speicherplatz zur Verfügung. Der Zugriff wird nicht zentral, sondern im NAS geregelt. Entweder steht der Speicherplatz allen Netzwerkteilnehmern zur Verfügung oder wird benutzerabhängig aufgeteilt. Da NAS direkt über TCP/IP im Netzwerk zur Verfügung steht, lassen sich sehr leicht HTTP- und FTP-Server- Dienste implementieren. SAN - Storage Area Network Ein SAN ist ein Netzwerk in dem große Datenmengen gespeichert und bewegt werden und wo eine zeitnahe Datensicherung erforderlich ist. Speichernetze entkoppeln Server und Speicher räumlich voneinander. Der Server wird zur reinen Verwaltung des Speichers und der Daten eingesetzt. So kann man den Speicher bedarfsgerecht verteilen und besser skalieren. Der Speicher muss dann auch nicht am gleichen Ort stehen, an dem sich der Server befindet. SAN - Storage Area Network Ein Storage Area Network (SAN) ist ein Datenspeicher-Netzwerk in dem große Datenmengen gespeichert und bewegt werden. Im SAN wird der gesamte Speicher, unabhängig von Standort und Betriebssystem, zentral verwaltet und zu virtuellen Einheiten zusammengefasst. Der Zugriff auf den Speicher erfolgt über Server, die für die Verwaltung der Laufwerke zuständig sind. Die Laufwerke müssen dabei nicht am gleichen Ort sein, wie die Server. Das Ziel von SAN ist auch die Zusammenfassung der einzelnen Festplatten der Servern, zu wenigen großen Speichergeräten, die von allen Servern über das Speichernetz gemeinsam genutzt werden. Das bedeutet, dass der gesamte Speicher als ein Block zur Verfügung steht und nicht auf verschiedenen Servern hier und da ein paar freie Gigabyte verstreut sind. In einem SAN lässt sich freier Speicherplatz flexibler den einzelnen Servern zuweisen. Das vereinfacht die Verwaltungsaufgabe. SAN-Architektur Speichernetze entkoppeln Server und Laufwerke. So kann man den Speicher besser skalieren. Der Server wird zur reinen Verwaltung des Speichers eingesetzt.

18 Das Storage Area Network ist so ausgelegt, dass es parallel zum LAN betrieben wird. Das SAN stellt sich dem LAN als ein gesamter Massenspeicher zur Verfügung, obwohl das SAN aus vielen kleinen Speichern bestehen kann. Das SAN ist für die schnelle Datenübertragung zwischen den einzelnen Speichern und Servern optimiert. So ist es möglich, die Datensicherung im SAN während des laufenden Betriebs zu erledigen, ohne dass es zu Überlastungen und Verzögerungen im LAN kommt. Die Server sehen das SAN als eine Art Datenpool, der in voneinander getrennten logischen Einheiten aufgeteilt ist. Mehrere redundante Wege zwischen dem Anwender und den Daten schützen vor möglichen Ausfällen und Datenstaus. Die Systemarchitektur eines SAN wirkt auf Außenstehende vergleichsweise komplex. In der Regel unterscheidet man zwischen Übertragungssystemen, Zugriffsprotokollen, Tunneling- und Transport-Protokollen. Die Unterschiede sind meist fließend, weil einige Techniken aufgabenübergreifende Funktionen haben. NAS - Network Attached Storage Ein NAS ist ein konfigurierbarer Datenspeicher, um in einem Netzwerk Speicherplatz zur Verfügung zu stellen. Beim NAS sind die Festplatten an keinen Server gebunden, sondern in Summe als eine eigenständige Einheit zu sehen. Im Prinzip besteht eine NAS-Speicherlösung aus einer oder mehr Festplatten, einem Netzteil für die Stromversorgung und dem Netzwerkinterface. Alles zusammen in einem Gehäuse bezeichnet man als NAS. Der Zugriff wird nicht zentral, sondern im NAS geregelt. Entweder steht der Speicherplatz allen Netzwerkteilnehmern zur Verfügung oder wird benutzerabhängig aufgeteilt. In der Regel ist die Benutzer-, Gruppen- und Passwort-Verwaltung sind nur in einfacher Form integriert. Betreibt man mehrere NAS muss man jedes neu konfigurieren. Typische Leistungsmerkmale 24h-Stunden-Betrieb Datensicherheit durch RAID und Datenspiegelung Hot-Plug der Laufwerke möglich Protokolle: SMB, CIFS, AFP, NFS Active Directory Integration UPnP-Medien-Server USB-Schnittstelle zur Erweiterung oder für Printserver (Netzwerkdrucker) Manche Hersteller integrieren eigene Schnittstellen, Protokolle und Dateisysteme, anstatt sich an Standards zu halten. Manchmal ist man auf eine Client-Software angewiesen, die man installieren muss. Anwendungen Speicherlösung im SOHO-Bereich Wenn es darum geht, schnell und unkompliziert Speicher bereitstellen, dann ist ein NAS die optimale Lösung. Server oder NAS? Setzt man jetzt einen Server oder ein NAS ein. Auf dem ersten Blick gibt es da kaum Unterschiede. Die liegen im Detail. Im Prinzip spielt die Wichtigkeit der Daten eine große Rolle. So sind die Daten durch RAID mindestens genauso sicher wie auf einem Server (ebenfalls mit RAID). Wenn es aber darum geht Backups und Archive anzulegen, dann ist ein Server mit Betriebssystem und Anwendungen flexibler. Ein NAS ist eben nur ein Speicher.

19 Unterschied SAN und NAS Der Unterschied liegt im Zugriffsprotokoll. Während sich die virtuellen Teile eines SAN als blockorientierte Laufwerke in den Server einklinken, tritt das NAS als eigenständiger Fileserver in Erscheinung. Hier kann man über Protokolle wie NFS, CIFS, HTTP, FTP oder SMB zugreifen. Während Speichernetze (SAN) die Server mit virtuellen Speichern verbinden, arbeiten NAS-Server auf Dateiebene. In Form eines Gateways kann der NAS- Server aber auch als Kopf eines Speichernetzes dienen. WLAN - Wireless LAN Wireless LAN (WLAN) ist als Oberbegriff für alle auf dem Markt befindlichen drahtlosen lokalen Datennetze zu verstehen. Obwohl im allgemeinen Sprachgebrauch mit WLAN ein Funknetzwerk nach IEEE gemeint ist, fallen unter diesen Begriff auch Bluetooth, HomeRF und HiperLAN. Und selbstverständlich alle anderen Techniken und Standards mit denen sich drahtlose Funknetzwerke aufbauen lassen. Die mobile Arbeitswelt verlangt häufig nach einer Datenverarbeitung und -übertragung, deren Bewegungsradius nicht durch Leitungen eingeschränkt wird. Die Lösung ist ein drahtloses Funknetz, auch Wireless LAN (WLAN) genannt. WLAN steht für ein Wireless Local Area Network, ein drahtloses bzw. schnurloses lokales Netzwerk. Anstatt Daten über ein Kabel zu übertragen, dient die Luft als Übertragungsmedium und als Schnittstelle, die sich per Funk nutzbar machen lässt. Diese Ungebundenheit erlaubt ungeahnte Möglichkeiten der Mobilität und des Komforts. Egal ob im Büro Außendienstmitarbeiter an jedem beliebigen Arbeitsplatz ihr provisorisches Büro aufbauen oder zuhause auf dem Balkon oder der Terrasse der Internet-Zugang mittels eines Notebooks genutzt werden kann. WLAN-Komponenten sind im Regelfall günstig zu erwerben. Der Mehrpreis gegenüber drahtgebundenen Komponenten ist durch der Mobilität und den Komfort schnell wettgemacht. WFA - Wi-Fi Alliance Die Wi-Fi Alliance ist ein Herstellerverband, der freiwillige Kompatibilitätsprüfungen durchführt und danach ein Siegel für die geprüften Geräte vergibt. WLAN-Geräte nach IEEE mit einem solchen Siegel arbeiten mit hoher Wahrscheinlichkeit mit den Geräten unterschiedlicher Hersteller zusammen. Verschlüsselung Teil des WLAN-Standards IEEE ist Wired Equivalent Privacy (WEP), ein Sicherheitsstandard, der den RC4- Algorithmus enthält. Die darin enthaltene Verschlüsselung mit einem nur 40 Bit (64 Bit genannt) bzw. 104 Bit (128 Bit genannt), bei einigen Herstellern auch 232 Bit (256 Bit genannt) langen statischen Schlüssel reicht jedoch nicht aus, das WLAN ausreichend zu sichern. Durch das Sammeln von Schlüsselpaaren sind Known- Plaintext-Angriffe möglich. Es gibt frei erhältliche Programme, die sogar ohne vollständigen Paketdurchlauf in der Lage sind, einen schnellen Rechner vorausgesetzt, das Passwort zu entschlüsseln. Jeder Nutzer des Netzes kann den gesamten Verkehr zudem mitlesen. Die Kombination von RC4 und CRC wird als kryptografisch unsicher betrachtet.

20 Aus diesen Gründen sind technische Ergänzungen entwickelt worden, etwa WEPplus, Wi-Fi Protected Access (WPA) als Vorgriff und Teilmenge zu i, Fast Packet Keying, Extensible Authentication Protocol (EAP), Kerberos oder High Security Solution, die alle mehr oder weniger gut das Sicherheitsproblem von WLAN verkleinern. Der Nachfolger von WEP ist der neue Sicherheitsstandard i. Er bietet eine erhöhte Sicherheit durch Advanced Encryption Standard (AES) (bei WPA2) und gilt zur Zeit als nicht entschlüsselbar, solange keine trivialen Passwörter verwendet werden, die über eine Wörterbuch-Attacke geknackt werden können. Als Empfehlung kann gelten, mit einem Passwortgenerator Passwörter zu erzeugen, die Buchstaben in Groß- und Kleinschreibung, Zahlen und Sonderzeichen enthalten und nicht kürzer als 32 Zeichen sind. WPA2 ist das Äquivalent der Wi-Fi Alliance zu i, das mit dem Verschlüsselungsalgorithmus AES (Advanced Encryption Standard mit Schlüssellängen von 256 Bit) arbeitet und in neueren Geräten meist unterstützt wird. Einige Geräte lassen sich durch Austausch der Firmware mit WPA2-Unterstützung nachrüsten. Jedoch erfolgt hier die Verschlüsselung meist ohne Hardwarebeschleunigung, so dass der Zugewinn an Sicherheit durch eine starke Einbuße an Übertragungsrate erkauft wird. Eine alternative Herangehensweise besteht darin, die Verschlüsselung komplett auf IP-Ebene zu verlagern. Dabei wird der Datenverkehr beispielsweise durch die Verwendung von IPsec oder durch einen VPN-Tunnel geschützt. Besonders in freien Funknetzen werden so die Inkompatibilitäten verschiedener Hardware umgangen, eine zentrale Benutzerverwaltung vermieden und der offene Charakter des Netzes gewahrt. Beim sogenannten WarWalking (oder beim Abfahren ganzer Gegenden mit dem Auto Wardriving genannt) werden mit einem WLAN-fähigen Notebook oder PDA offene WLANs gesucht. Diese können mit Kreide markiert werden (WarChalking). Das Ziel dabei ist, Sicherheitslücken aufzudecken und dem Betreiber zu melden und die Verbreitung von WLAN zu untersuchen, oder diese zum eigenen Vorteil (kostenlos und unter fremdem Namen surfen) auszunutzen. Authentifizierung Extensible Authentication Protocol ist ein Protokoll zur Authentifizierung von Clients. Es kann zur Nutzerverwaltung auf RADIUS-Server zurückgreifen. EAP wird hauptsächlich innerhalb von WPA für größere WLAN-Installationen eingesetzt. Eine Authentifizierung ist auch über die MAC-Adresse der drahtlosen Netzwerkadapter möglich. Die MAC- Adresse ist eine Hardware-Kennung anhand derer sich jeder angeschlossene Netzwerkadapter identifizieren lässt. Die meisten Access Points bzw. Router bieten die Möglichkeit, den Zugriff nur für bestimmte MAC- Adressen zu ermöglichen. Allen nicht zugelassenen MAC-Adressen wird dann keine IP-Adresse zugewiesen, bzw. der Zugriff auf den Access Point ist blockiert. Eine alleinige Sicherung über MAC-Adressen-Filterung ist jedoch nicht sicher, da sich solche Adressen problemlos einstellen lassen. Gültige MAC-Adressen können z. B. durch das Mitlauschen des Datenverkehrs anderer Teilnehmer gefunden werden. Aber auch Verschlüsselungen lassen sich auf diese Weise knacken. Grundlegende Sicherheitsmaßnahmen Dazu gehören einige Einstellungen am Router bzw. Access Point: * Aktivierung der Verschlüsselung mit einer sicheren Verschlüsselungsmethode, d. h. mindestens WPA * Vergabe eines sicheren Netzwerkschlüssels, * Ersetzen der werkseitig voreingestellten Router- bzw. Access-Point-Passwörter, * Änderung des werkseitig voreingestellten, meist den Gerätetyp verratenden SSID-Namens, * Deaktivierung der Fernkonfiguration des Routers, soweit vorhanden (insbesondere bei privaten Haushalten).