Technical Information Ascotel Field Support

Transkript

1 Tel. +41 (32) Fax +41 (32) Technical Information Ascotel Field Support Home-Office VoIP Verbindung via VPN übers Internet TI-Nummer: appl-0007 Version: 1.0 Release Datum: Aastra Telecom Schweiz AG Aastra Telecom Schweiz AG Alle Rechte und technische Änderungen vorbehalten. Ziegelmattstrasse 1 CH-4503 Solothurn Support Homepage: support.ascotel@aastra.com

2 Seite 2 von 17 1 Einleitung Grundlagen Gateway Sprachqualität Sprachverständlichkeit Verzögerung Verzögerung durch Codeumwandlung Verzögerungen über grosse Distanzen (WAN-Strecken) Echo Paketverzögerung Paketverluste Quality of Service (QoS) Toll Bypass LAN-Telefonie Home-Office ADSL-Anschluss Übertagungsprotokolle Optimierung durch FastPath Optimierung durch Traffic Shaping Kabelanschluss Virtual Private Network (VPN) Technik Layer-2-Tunneling PPTP (Point-to-Point Tunneling Protokol) L2F (Layer 2 Forwarding) L2TP (Layer 2 Tunneling Protokoll) Layer-3-Tunneling IPSec (IP Security) Transportmodus Tunnelmodus IPSec Protokolle Overhead Hardware Network Adress Translation (NAT) Statisches NAT Dynamisches NAT Network Adress and Port Translation (NAPT) Eingehende Verbindungen Dynamic Domain Name Service (DDNS) Voraussetzungen Einrichten eines Accounts Konfigurationsbeispiel Home-Office Konfiguration Standort Company : LAN-Einstellungen: Dynamic DNS Einstellungen: VPN-Einstellungen Profil to A (Home-Office) Konfiguration Standort Home-Office LAN-Einstellungen: DDNS-Einstellungen: VPN-Einstellungen Profil to B (Company) Erfahrungen Sprachcodec Bandbreiten... 17

3 Seite 3 von 17 1 Einleitung Voice over IP (VoIP) ist ein aktuelles Thema in der Telekommunikation. Diese Technologie wird die Telefoniewelt verändern oder ergänzen, wie es mit der Einführung von ISDN vor einigen Jahren geschah. Der Markt wird nicht von einem Tag auf den anderen auf die neue Technologie umschwenken, aber VoIP wird eine weitere Form der Telefonie ermöglichen mit all ihren Vor- und Nachteilen. Hauptvorteile der VoIP-Technik sind Nutzung von Synergien. Da bisher Telefonieanlagen und EDV- Netzwerke separate Installationen waren, können Installationskosten und vor allem Wartungkosten, z.b. verursacht durch interne Umzüge, stark reduziert werden. Ebenfalls entstehen ganz neue Möglichkeiten der Kommunikation z.b durch volle Integration einer Aussenstelle oder eines Heimarbeitsplatz mittels eines IP basierten Systemendgerät. 2 Grundlagen 2.1 Gateway Der Gateway ermöglicht die Verbindung zwischen der Telefonanlage (verbindungsorientiert), und dem IT- Netzwerk (paketorientiert). Ein Gateway konvertiert die Signalisierungsinformationen und Nutzdaten zwischen Telefonie- und Datenwelt. 2.2 Sprachqualität Die Sprachqualität von VoIP ist von vielen Faktoren abhängig. Die verwendeten Netzwerkkomponenten (Hub, Switch, Router und Gateway), der verwendete Codec, die verfügbare Bandbreite sowie Servicequalität vom Dienstanbieter sind entscheidende Parameter für die Güte der Verbindung Sprachverständlichkeit Eine Aussage über die Verständlichkeit macht der so genannte MOS-Wert (Mean Opinion Score). Dieser Wert kategorisiert die Verständlichkeit von 1 (schlecht) bis 5 (ausgezeichnet). Codec Bitrate [kbit/s] MOS Sample Rate (ms) Delay (ms) G ,125 0,5 G , ,5 G.729a GSM (FR) Verzögerung Die Signalverzögerung (Latenzzeit) zwischen beiden Gegenstellen gehört zu den wichtigsten Kriterien zur subjektiven Beurteilung der Verbindungsqualität, sie sollte nicht grösser als 200 ms sein Verzögerung durch Codeumwandlung Das analoge Sprachsignal wird meistens in Pulse Code Modulation (PCM) mit 64 KBit/s umgesetzt und an das Kompressionsmodul weitergeleitet. Im Kompressionsmodul werden die ankommenden Daten vor der Weiterverarbeitung zwischengespeichert. Anschliessend werden die Daten in Datenpakete zerlegt und über das Interface weitergereicht Verzögerungen über grosse Distanzen (WAN-Strecken) Auf allen Sammelpunkten im LAN wie auch im WAN werden alle Pakete über meist serielle Interfaces gesendet, wodurch jeweils weitere Zeit verloren geht. Je geringer die übertragene Bandbreite, desto grösser die Verzögerung der Pakete.

4 Seite 4 von Echo Beim Telefonieren kann der Sprechende seine eigene Stimme mithören. Dies wird als angenehm wahrgenommen, solange das Signal nicht zu laut ist oder eine zu grosse Verzögerung aufweist. Bei der Übertragung können unterschiedliche Signallaufzeiten auftreten und dadurch starke Echos entstehen. Aus diesem Grund sind in einigen Gateways Echo-Canceler eingebaut Paketverzögerung Die Pakete werden beim Transport über ein IP-Netz von sämtlichen auf dem Weg integrierten Koppelkomponenten (Router, Switches, Gateways) verzögert. Bei einem Voice-Gateway ist die Sprachverzögerung direkt vom verwendeten Codec abhängig. Der G Algorithmus verwendet eine 30 ms lange Paketgrösse und benötigt zur Umrechnung weitere 7.5 ms. Dies bedeutet, dass ein PCM-Block mindestens 37.5 ms benötigt, um vom Telefon-Interface empfangene Daten zu kodieren und sie an die Datenkompression weiterzureichen. Da die meisten Gateways auch Funktionen wie beispielsweise Echo- Unterdrückung bereitstellen, muss die DSP-Architektur optimal an die Anforderungen der Sprachsysteme angepasst werden, um die Signalverzögerung so gering wie möglich zu halten. Das IP-Modul muss die komprimierten Daten mit den notwendigen Headern versehen (in IP einpacken) und in das Netzwerk weiterleiten. Da die IP-Systeme in der Vergangenheit nur grosse zeitunkritische Pakete (z.b. für Datentransfer) übermitteln mussten, wurde die Realtime-Fähigkeit der Protokollverarbeitungsmodule vernachlässigt. In einem VoIP System muss das Gateway an die Zeitmultiplexfunktionen der Telefonie angepasst werden. Es muss in der Lage sein, kurze Datenpakete eines vollduplex Datenstroms in Echtzeit zu übertragen. Die unterschiedlichen Datenströme (asynchron synchron) werden im IP-System durch eine Zwischenpufferung entkoppelt. Letztendlich hängt die Paketverzögerungen jedoch von den auf dem Übertragungspfad integrierten Routern und Switches ab. Die Verzögerung eines Routers hat folgende Ursachen: Konfiguration, aktuelle Performance und Auslastung. Als Faustregel kann gesagt werden, dass jeder Router im Übertragungsweg eine zusätzliche Verzögerung von mindestens 10 ms erzeugt. Eine Priorisierung der Sprachdaten im Router ist sehr wichtig Paketverluste In einem Paketorientierten Netzwerk ist es durchaus möglich, dass Datenpakete verloren gehen, besonders bei der Weiterleitung über Router. Bei der normalen Datenübertragung (TCP) spielt dies keine grosse Rolle, da die Pakete erneut angefordert werden. Für VoIP ist jedoch diese Wiederanforderung nicht geeignet. Die Übertragung der Sprachdaten ist daher verbindungslos (UDP). Dies kann sich negativ auf die Sprachqualität auswirken. Paketverluste bis ca. 5% können im Sprachcodec mittels Interpolation kompensiert werden. 2.3 Quality of Service (QoS) Servicequalität in IP Netzen ist bereits in IP Version 4 vorgesehen. In den unteren Schichten (Switches und Gateways) können Frames durch Setzen des COS-Bits (Class of services) priorisiert werden ( Express - Stempel). Dies muss aber jeder Switch unterstützen. Auf der IP Schicht kann das Prioritätsbit TOS (Type of Service) gesetzt werden. Bei den meisten Internet Dienstanbietern wird aber diese Funktion nicht unterstützt, im besten Fall wird die TOS-Information weitergeleitet. 2.4 Toll Bypass Toll Bypass ist eine der bekanntesten Anwendungen der VoIP-Technik. Mittels eines Gateways werden Telefongespräche von einer PBX auf das paketorientierte Netz umgeleitet. Der Hauptvorteil liegt in der Kosteneinsparung von Verbindungsgebühren. 2.5 LAN-Telefonie Mit der LAN-Telefonie werden Netzwerk und Telefoninfrastruktur vereint. Die Anschaffung und Wartung zweier komplett getrennter Systeme wird dadurch entfallen. Die reine LAN-Telefonie ist aber bis anhin noch wenig verbreitet. Dies liegt hauptsächlich daran, dass gegenüber einer traditionellen PBX, bis anhin nur wenige Telefonieleistungsmerkmale zur Verfügung standen und die Geräte noch sehr teuer sind.

5 Seite 5 von 17 3 Home-Office Beim Home-Office (Teleworking) soll der Teleworker die Infrastruktur (Telefonie und Netzwerk) seiner Firma nutzen können. Dazu wird er mittels Breitband-Internetanschluss und VPN an das Firmennetz angebunden. Die Firma selbst ist mit einer Ascotel Intelligate PBX ausgerüstet und verfügt ebenfalls über einen Breitband-Internetanschluss mit einem VPN-Server. 3.1 ADSL-Anschluss ADSL steht für Asymetric Digital Subscriber Line und ist ein Standart zur Datenübertragung in einem speziellen Frequenzband der Telefonleitung. Die Daten werden hierbei meist asynchron, d.h unterschiedliche Up- und Downstream (z.b 512/128 kbit/s) von der Nebenstelle in die Vermittlungsstelle übertragen. Danach erfolgt ein Übergang in den Backbone des Telekomanbieters, meist auf Basis von ATM. Für einen ADSL Zugang benötigt man auf Teilnehmerseite einen analogen oder ISDN Telefonanschluss mit Filter (analog) oder Splitter (ISDN) und ein ANT (ADSL Network Terminator). Diese gibt es als so genannte Modem oder Router. Wobei es sich weder um ein richtiges Modem noch um einen Router handelt. Das Modem macht nämlich keine Modulation/Demodulation. Genauso wenig wie es sich beim Router um ein Routing handelt, da die Clients in der Regel eine private Adresse verwenden und vielmehr ein NAT stattfindet. Die Bezeichnungen haben sich aber mittlerweile so eingebürgert. Router bieten gegenüber eines Modems den Vorteil, ohne zusätzliche Hardware mehreren Clients gleichzeitig den Zugang ins Internet zu ermöglichen. Zukünftig sind auch immer wie mehr PC s ausgestattet mit ANT (PCI- Karte oder externes USB-Modem), Firewall und VPN-SW anzutreffen. Besonders beliebt sind hier so genannte Linux-Router. In der Regel bieten ADSL-Provider keine Dienstpriorisierung an. Dies kann mit mehr Bandbreite im geringen Masse kompensiert werden, was jedoch nur eine temporäre Lösung darstellt, bis entsprechende SLA (Service Level Agreement) mit den Dienstanbietern möglich sind Übertagungsprotokolle Bei ADSL gibt es unterschiedliche Übertragungsmethoden (Encapsulierung). Eigentlich wäre es möglich, direkt mit Ethernet eine Verbindung zum Provider aufzubauen. Allerding unterstützten dies nur sehr wenige Anbieter, da diese ihre bewährte Infrastruktur für Wählverbindungen weiternutzten möchten. Aus diesem Grund wird meisten das Verbindungsprotokoll PPP eingesetzt. Dies kann in mit Hilfe der Protokolle PPPoE, PPTP oder PPPoA geschehen, wobei letzteres das schlankere ist und, sofern möglich, den Vorzug erhalten sollte. Die Paketgrösse lässt sich damit um den Ethernet- und PPPoE Overhead reduzieren. Dadurch verkleinert sich die gesamt Paketgrösse um 20 Bytes. Besonders bei kleinen SprachPaketen ist dies nicht unerheblich Optimierung durch FastPath Bei ADSL gibt es zwei Übertragungsverfahren. Mit Fehlerkorrektur (Interleaving) oder ohne Fehlerkorrektur (Fastpath). Das Verfahren ohne Fehlerkorrektur bewirkt eine erhebliche Verbesserung der Signalverzögerung (Latenzzeit). In etwa vergleichbar mit TCP<->UDP. Wie bereits erwähnt ist die Verzögerung das wichtigste Kriterium bei der Sprachübertragung. Aus diesem Grund sollte nach Möglichkeit die Übertragungsart Fastpath gewählt werden. Allerdings kann die Übertragungsart nicht selbst bestimmt werden, sondern wird durch den Provider festgelegt. Fastpath steht nicht bei jedem Provider zur Auswahl und sollte bei sehr schlechter Leitungsqualität, dies ist oft der Fall, wenn sich der Anschluss sehr weit von der Vermittlungsstelle entfernt befindet, im Sinne einer guten Übertragungsrate nicht eingeschaltet werden. In der Schweiz ist Fastpath auf dem ganzen ADSL-Netz aktiv. Welcher Modus verwendet wird, kann beim Zyxel Prestige im Kommando Interpreter überprüft werden: Prestige> wan adsl chandata near-end interleaved channel bit rate: 0 kbps near-end fast channel bit rate: 512 kbps far-end interleaved channel bit rate: 0 kbps far-end fast channel bit rate: 128 kbps

6 Vergleich: Bestmögliche Delay Werte in [ms] von ICMP Meldungen verschiedener Verbindungen: < 10: Standleitung 10 bis 20: DSL mit Fastpath 20 bis 30: ISDN und DSL mit Fastpath 30 bis 40: ISDN und mit Fastpath 40 bis 50: DSL mit sehr niedriger Interleaving Einstellung 50 bis 60: DSL mit niedriger Interleaving Einstellung 60 bis 80: DSL mit üblicher Interleaving Einstellung 80 bis 100: DSL mit hoher Interleaving Einstellung Seite 6 von Optimierung durch Traffic Shaping Traffic Shaping ermöglicht gleichzeitigen Up- und Downloads (wie dies bei VoIP der Fall ist). Darum ist unbedingt darauf zu achten, dass das eingesetzte ANT diese Traffic Shaping unterstützt. Ohne diese Funktion wird die Signalverzögerung (Latenzzeit) und der Datendurchsatz spürbar verschlechtert. Dies sind die beiden einzigen Dienstqualitätparameter bei ADSL. 3.2 Kabelanschluss Kabelanschlüsse basieren auf den Einrichtungen der TV- und Radioprogramm Verteilnetzen. Der Erschliessungsgrad ist meist nur in städtischen Gebieten und deren Agglomerationen gegeben. In der Schweiz ist die Anzahl der erschlossenen Haushalte jedoch recht gross. Die betriebliche Verfügbarkeit ist wegen der Baumtopologie etwas geringer. Die verfügbare Bandbreite reduziert sich bei einer steigenden Anzahl Benutzer (Shared medium). Servicequalität (QoS) wird nur für Geschäfte in Form von zugesicherter Bandbreite, nicht aber für Services angeboten. Vereinzelt gibt es bereits Anbieter welche einen Telefonanschluss als vollständigen Ersatz zum tratizionellen Anschluss anbieten. Handelsübliche Telefongeräte können sogar weiterverwendet werden. 3.3 Virtual Private Network (VPN) VPN ist eine Technologie, welche einen sicheren Tunnel durch das Internet legt. Dies ermöglicht es, 1:1 auf ein LAN zuzugreifen oder zwei verschiedene LAN s zu verbinden. VPN kann mittels Software- oder Hardware-Lösungen realisiert werden. Für einen PC können beiden Varianten eingesetzt werden, während bei einem IP-Phone eine dedizierte HW-Lösung zum Einsatz kommt. Software Lösungen sind meist Bestandteil eines Betriebsystems (z.b Windows 2000/XP). Anwendungen von Drittanbietern sind ebenfalls einsetzbar und unterstützen eine Vielzahl unterschiedlicher Standards. Hardware-Lösungen für den KMU Bereich sind meist in kombinierten Geräten erhältlich, welche WAN- Interface (z.b. ADSL), Router, Firewalls und VPN enthalten. Mittlerweile bieten einige ISP bereits VPN-Zugänge an. Dadurch kann die Implementation direkt zum Provider ausgelagert werden Technik Es gibt unterschiedliche Arten von VPN-Tunneling. Das Tunneling kann sowohl auf Layer-2 als auch auf Layer-3 des OSI-Referenzmodels realisiert werden. Die anzuwendende Technik hängt von der bestehenden Firmeninfrastruktur (Gateway, Proxi, NAT) ab Layer-2-Tunneling PPTP (Point-to-Point Tunneling Protokoll) PPTP ist ein aus der Windows-Welt bekanntes Protokoll. Es ermöglicht die Übertragung von IPX, NetBEUI und TCP/IP. Die Verschlüsselung erfolgt gemäss RC4-Verfahren und erlaubt Schlüssellängen von 40 oder 128 Bit. Der Tunnel kann nur einseitig aufgebaut werden. Datenintegrität ist nicht gewährleistet. Die Authentifizierung wird mit PAP/CHAP realisiert.

7 Seite 7 von L2F (Layer 2 Forwarding) Ein Protokoll, dessen Header eine Multiplex-ID und Client-ID enthält, welche es ermöglichen, mehrere Tunnels gleichzeitig und innerhalb eines Tunnels mehrere parallele Verbindungen aufzubauen. Es ermöglicht die Übertragung von PPP und SLIP Die Übertragung selber ist unverschlüsselt, lediglich eine Authentisierung bietet einen gewissen Schutzmechanismus L2TP (Layer 2 Tunneling Protokoll) Dieses Protokoll vereint das PPTP und L2F Protokoll und ermöglicht auch die Verwendung von NAT Layer-3-Tunneling IPSec (IP Security) IPsec wurde ursprünglich als Sicherheitsfunktion in IPv6 entwickelt, ist mittlerweile aber auch unter IPv4 verfügbar. Das Protokoll ermöglicht den Aufbau einer sicheren IP-Verbindung und beinhaltet folgende Sicherheitsfunktionen: - Verschlüsselung - (Datenschutz) - Authentisierung der Nachricht - (Datenintegrität) - Authentisierung des Absenders - (Datenauthentizität) - Schlüsselverwaltung Transportmodus Im Transportmodus wird ausschließlich der Datenteil (Payload) des IP-Paketes verschlüsselt. Der IP- Header bleibt unverändert. Den Nutzdaten wird nur der ESP-Header vorangestellt. Das Verfahren wird zur Übertragung von kritischen Informationen verwendet Tunnelmodus Im Tunnelmodus wird das komplette IP-Paket verschlüsselt und mit einem neuen IP-Header versehen, der die Daten für das Ziel-Gateway enthält. Auf diese Weise können transparente Verbindungen zwischen zwei Standorten über das Internet hergestellt werden IPSec Protokolle Die zentralen Funktionen in der IPsec-Architektur sind das AH-Protokoll (Authentification Header), das ESP-Protokoll (Encapsulating Security Payload) und die Schlüsselverwaltung (Key Management). Authentisierung (AH) Authentifizierung (AH): Zur Authentisierung der zu übertragenen Daten und Protokollinformationen der Übertragungsschicht wird das AH-Protokoll eingesetzt. Es wird zwischen IP-Headern und Header der Transportschicht eingeschoben und dient dem Schutz der Paketintegrität und der Paketauthentizität. Die Authentifizierung erfolgt über ein Hashing-Verfahren (MD5 oder SHA). Da der äussere IP-Header in die Hashprüfung mit einbezogen wird, ist auf AH-Pakete keine Art von NAT anwendbar. Lediglich Werte wie TTL und Prüfsummen dürfen modifiziert werden. Im AH-Paket befindet sich, neben verschiedenen anderen Feldern, der Security Profile Index (SPI) und eine Sequenznummer die dem Schutz vor Replay-Attacks dient. Somit ist es zwar möglich Daten aufzuzeichnen, nicht aber das Wiedereinspielen von solchen. Verschlüsselung (ESP): Die Verschlüsselung erfolgt über die sog. ESP (Encapsulation Security Payload) und unterstützt alle verfügbaren Verschlüsselungsalgorithmen (z.b DES/3DES). Das ESP-Protokoll dient der Verschlüsselung und Integritätssicherung (durch Hashing-Verfahren MD5 und SHA) eines Datenpaketes. Im ESP-Header befindet sich ebenfalls ein Security Profile Index (SPI) und eine Sequenznummer zum Schutz vor Replay-Attacks.

8 Seite 8 von 17 Schlüsselverwaltung: Es gibt zwei Arten von Schlüsselverwaltung. Neben der manuellen Schlüsselverwaltung kann auch das Internet Key Exchange Protocol (IKE) eingesetzt werden. Um eine gesicherte Verbindung zwischen zwei Stationen aufbauen zu können, müssen auf beiden Seiten viele Parameter ausgetauscht werden, welche in der Security Association (SA) beschrieben werden. Jede gesicherte Verbindung bedarf einer solcher SA für jedes genutzte IPsec-Protokoll an jedem Ende einer logischen Verbindung. Die IKE Mainmethode unterstützt keine dynamischen IP-Adressen und keine Art von NAT! Für solche Fälle muss die IKE Aggressive Methode eingesetzt werden Overhead Die verschiedenen IPSec Techniken belasten die Datenverbindungen mit zusätzlichem Datenvolumen (Overhead). Dies liegt an den Protokllheader die zusätzlich zum normalen IP-Header mitübertragen werden müssen. Siehe Tabelle Kapitel 8. Bei verhältnismässig kleinen Sprachpaketen wirkt sich der Overhead proportional betrachtet viel stärker aus. Bei der Implementation eines Home-Office muss dies entsprechend berücksichtigt werden. Original Paket IP-Header UDP/TCP- Header Payload Transportmodus Paket IP-Header IPSec- Header UDP/TCP- Header Payload Tunnelmodus Paket IP-Header IPSec- Header Org. IP- Header UDP/TCP- Header Payload Hardware In einem Home-Office eignet sich am besten ein Kombigerät, welches ANT, Firewall und VPN vereint. Je nach Anzahl der Home-Office Nebenstellen genügt für die Firmenausstattung dasselbe Equipment. 4 Network Adress Translation (NAT) Ein grosses Problem ist die Tatsache, dass langsam aber sicher die IPv4 Adressen ausgehen. So ist es nicht möglich, dass allen Rechner eines lokalen Netztwerkes eine öffentliche IP-Adresse zur Verfügung steht. Da die Einführung von IPv6 nicht von heute auf morgen geschieht, verwenden diese eine private Adresse. Um nun den Rechnern trotzdem eine Verbindung ins Internet zu ermöglichen, wurde das Network Adress Translation Protokoll kurz NAT entwickelt. Dieses Protokoll arbeitet auf intelligenten Netzwerkgeräten der Schicht 4 des OSI-Referenz Models. Es gibt unterschiedliche Arten von NAT. Die hier kurz erläutert werden sollen. 4.1 Statisches NAT Beim statischen NAT wird internen Bereich privater IP-Adresse einem externen Bereich von öffentlichen IP-Adressen 1:1 zugeordnet. Dabei werden jedoch keine IP-Adressen eingespart. Das Verfahren dient vielmehr dazu einen Rechner mit privater IP-Adresse extern verfügbar zu machen. Das Problem dabei ist, dass wichtige Information von Protokollen höheren Schichten, oberhalb des IP- Headers, verloren gehen bezw. nicht mehr zutreffend sind. Beim aktiven FTP zum Beispiel beschreibt der Client Verbindungszustände wie IP-Adresse und Portnummer innerhalb der Nutzlast der Pakete. Mit Hilfe dieser Informationen baut anschliessend der Server eine Verbindung zum Client auf. Aus diesem Grund müssen die NAT-Geräte mit den Eigenschaften der Protokolle vertraut sein um die entsprechenden Änderungen in den höheren Schichten vorzunehmen.

9 Seite 9 von Dynamisches NAT Beim dynamischen NAT wird nicht jede interne Adresse auf eine externe abgebildet. Die Zuordnung erfolgt dynamisch nach Bedarf und wird nach Ablauf eines Timers oder Inaktivität wider gelöscht. Der Vorteil dabei; es werden nur so viele öffentliche Adressen benötigt, wie gleichzeitig Verbindungen bestehen. Allerdings hat diese Methode auch einen Nachteil. Es können gleichzeitig nur so viele Verbindungen aktiv sein, wie externe Adressen zur Verfügung stehen. Weiterhin gibt es Protokolle wie HTTP, die mehr als eine gleichzeitige Verbindung aufbauen möchten. Dies muss durch das NAT-Gerät berücksichtigt werden Network Adress and Port Translation (NAPT) Beim NAPT laufen alle Verbindungen über eine einzige öffentliche Adresse. Die Zuordnung der Verbindungen wird hier mittels der Portnummern gemacht. Das NAT-Gerät definiert für jede Verbindung eine neue Source Port Nummer. Mit der Portnummer, der Ziel- und Source Adresse ist es möglich die Verbindungen eindeutig zuzuweisen. Dazu wird neben dem Adress-Mapping auch gleichzeitig ein Port- Mapping gemacht. Ein interner Datensatz bestehend aus Adresse und Portnummer, ein so genannter Tulpel, wird einem externen zugewiesen. Vorteile hierbei sind wiederum; es ist nur eine einzige öffentliche Adresse erforderlich. Ausserdem bietet dieses Verfahren eine erhöhte Sicherheit. Allerdings bestehen bei dieser Methode dieselben Probleme wie beim statischen NAT. Die Problematik geht durch das Ändern der Source Ports sogar noch einen Schritt weiter, da beispielsweise einige Protokolle einen speziellen Port erwarten. Darum muss auch hier das NAT-Gerät mit den Eigenschaften der Protokolle vertraut sein. 4.4 Eingehende Verbindungen Bei den bisherigen NAT Varianten wurde bisher immer Source NAT angewendet. Ziel war es immer eine abgehende Verbindung zu ermöglichen (FTP ausgenommen). Sollen aber interne Dienste (z.b ein Web- Server) von Aussen verfügbar sein muss ein Destination NAT gemacht werden. Die Verbindung wird wiederum anhand einer statischen manuell zu bearbeitenden Mapping Tabelle gemacht. Destination NAT kann anhand eines Zielportes als auch einer Zieladresse gemacht werden. Ascotel Intelligate verwendet folgende Ports: Name Service Protocol Source Destination Echo-Request ICMP ICMP - - Telnet access Telnet TCP SW-Update FTP-data TCP SW-Update FTP-control TCP AIP Emergency Upload TFTP UDP Signalling AIP->Phone AD2/TPKT TCP Signalling Phone->AIP AD2/TPKT TCP Voice AIP->Phone RTP UDP Voice Phone->AIP RTP UDP QoS Echo Server-> AIP ECHO UDP Diese Ports müssen, sofern kein VPN verwendet wird, bei Bedarf in der Mapping Tabelle zugewiesen werden. Das NAT-Gerät macht anschliessend ein Destination NAT. 5 Dynamic Domain Name Service (DDNS) Dynamic Domain Name System (DDNS) ist ein Dienst, der dynamisch erteilte IP-Adressen einem DNS Namen zuweist. Dies ermöglicht eine Vielzahl neuer Möglichkeiten z.b das betreiben eines Webservers ohne fixe IP-Adresse.

10 Seite 10 von Voraussetzungen Um DDNS nutzten zu können, muss man sich bei einem Anbieter wie registrieren und ein Konto einrichten. Danach kann man direkt via Internetbrowser eine IP-Adresse ändern oder man verwendet eine Software, die automatisch die aktuelle Adresse einträgt. Eine solche Softwarelösung ist in in vielen ADSL-Router integriert. Alternativ kann eine solche Software aber auch auf einem PC laufen. 5.2 Einrichten eines Accounts Um DDNS nutzen zu können muss man sich z.b bei registrieren. Dies kann man mittels Create Account im Abschnitt Account erledigen. Dazu müssen dann einige Angaben gemacht werden, die später zur Aktuallisierung der IP-Adresse gebraucht werden. Tragen Sie ihre gewünschten Daten ein und notieren Sie diese. Beachten Sie, dass zur Aktivierung des neuen Accounts eine bestätigungs- beantwortet werden muss!

11 Seite 11 von 17 6 Konfigurationsbeispiel Home-Office Die Firma möchte gerne Home-Office Arbeitsplätze an ihr Netzwerk und PBX anbinden. Dazu sollen kostengünstige Internet-Breitbandanschlüsse verwendet werden. Um im Internetbereich geschützt zu sein, werden alle Daten (Computer wie Telefon) mit VPN getunnelt. In der Beispielkonfiguration wird jeweils ein ZyXEL Prestige 652 ADSL Router beim Firmenstandort und am entfernten Home-Office Standort eingesetzt. Dieser Router ermöglicht 2 gleichzeitig aktive VPN Verbindungen und bieten umfangreichen Firewall Schutz. Bei beiden Standorten wird die WAN-IP Adresse dynamisch vergeben und mittels DDNS angesprochen. Dieses Beispiel zeigt eine Beispiellösung einer VPN-Anbindung und kann beliebig auf andere Geräte portiert werden. VPN-Home-Office Internet PC LAN ADSL Router 768/128k Office 35IP VPN-Company VPN-2: Internet ADSL 768/128k ADSL-Router Zyxel Prestige 652 WAN-IP Dynamic PC Ascotel LAN ADSL Router 768 /128 k Office 35IP VPN-1: Internet ADSL 768/128k ADSL-Router Zyxel Prestige 652 WAN-IP Dynamic

12 Seite 12 von Konfiguration Standort Company : LAN-Einstellungen: Dynamic DNS Einstellungen: Der Router verfügt über eine integrierte DDNS Komponente, welche die jeweils vergebene IP-Adresse automatisch bei DynDNS.org aktualisiert. Der Router ist dadurch immer mit der DDNS - Adresse erreichbar.

13 Seite 13 von VPN-Einstellungen Profil to A (Home-Office)

14 Seite 14 von Konfiguration Standort Home-Office LAN-Einstellungen: DDNS-Einstellungen:

15 Seite 15 von VPN-Einstellungen Profil to B (Company)

16 Seite 16 von 17 7 Erfahrungen - Es ist empfehlenswert, dass beide Seiten einer VPN-Verbindung denselben Provider wählen, oder darauf zu achten, dass die Verbindung möglichst im gleichen Backbone geroutet wird. Die Delay- Werte sind dadurch um ms kleiner, was in etwa 2-3 Router-Strecken entspricht. - Der Sprach-Codec G.711 ist aus Gründen der erforderlichen Bandbreite nicht empfehlenswert. - Der Codec G.729 mit einer Framelänge von 30 ms benötigt die geringste Bandbreite (23 kbit/s). - Der Codec G.729 mit einer Framelänge von 10 ms hat den kleinsten Delay-Wert (15 ms). - Die minimale Bandbreite für eine VPN-Verbindung beträgt 64 kbit/s. - Da Provider in der Regel kein QoS unterstützen, ist ein gleichzeitiger Datendownload nicht möglich. Die Sprache wird sofort unverständlich. - Bei ADSL Verbindungen sind von Zeit zu Zeit Unterbrüche möglich - PPPoA sollte wenn möglich immer den Vorzug gegenüber PPPoE erhalten. 8 Sprachcodec Codec G.711 G.729 Framesize [ms] Delay [ms] Code rate [kbit/s] Payload [Bytes]

17 Seite 17 von 17 9 Bandbreiten Wenn jeweils die Rede von einer Bandbreite (z:b 10 MBit/s) ist, wird fälschlicherweise oftmals angenommen, man könne diese vollständig ausschöpfen. Die effektive Bandbreite, mit der auch wirklich Nutzdaten übertragen werden können, ist jedoch bestenfalls 4 MBit/s. Dies liegt daran, dass bei der Übertragung zahlreiche Protokolle ihre Aufgabe erfüllen müssen damit die Daten auch wirklich von A nach B transportiert werden können. Dies ist zu vergleichen mit dem Versenden einer zerbrechlichen Vase per Post. Die kann nämlich auch nicht einfach nur lose am Postschalter abgegeben werden sondern muss sorgfältig gepolstert, verpackt, adressiert und mit Briefmarken versehen werden. Und genauso funktioniert im übertragenen Sinn das versenden von Daten im Netzwerk. So sieht Beispielsweise ein Paket eines Webbrowsers bei PPP-Verbindung aus: Die benötigte Bandbreite eines Gespräches ist also abhängig vom eingesetzten Codec und der damit erzeugten Nutzdaten (Payload) sowie dem eingesetzten Übertragungsverfahren. Gemäss der Tabelle aus Kapitel 8 erzeugt jeder Codec einen unterschiedlich grossen Payload, der in jedem Fall übertragen werden muss. Zusätzlich zum Payload addiert sich Protokoll-Overhead. Dazu gehören in jedem Fall der Overhead der Protokolle IP, UDP und RTP von den Schichten 3 und 4. Weiterhin addiert sich der Overhead der Schicht 2 (z.b Ethernet) und der Overhead eventueller Sicherheitsfunktionen (z.b IPsec). Die Bandbreite könnte sich also bei ADSL (PPPoE oder PPPoA) folgendermassen errechnen: Codec G.711 G.729 Framesize [ms] Payload [Bytes] RTP-Header [Bytes] UDP-Header [Bytes] IP-Header [Bytes] IPSec-Header [Bytes] PPP-Header [Bytes] PPPoE-Header [Bytes] Ethernet-Header [Bytes] CRC [Bytes] Packet size ADSL [Bytes] Bandwidth ADSL [kbit/s] Codec G.711 G.729 Framesize [ms] Payload [Bytes] RTP-Header [Bytes] UDP-Header [Bytes] IP-Header [Bytes] IPSec-Header [Bytes] PPP-Header [Bytes] Packet size ADSL [Bytes] Bandwidth ADSL [kbit/s]