Zum Inhalt springen
Test VPN-Appliances: Grundlagen und Methodik

Port-Nummern-Klassifizierung

Autor: Redaktion connect-professional • 27.4.2008 • ca. 2:05 Min

Inhalt
  1. Vereint im Tunnel
  2. LAN-Segmente mit Appliances schützen
  3. Auswirkungen von Datenverlusten
  4. Datenverlustverhalten
  5. QoS sicherstellen
  6. Priorisierung alles andere als trivial
  7. Differentiated Services
  8. Port-Nummern-Klassifizierung

Die Funktionsweise bei der Priorisierung ist im Grunde immer die gleiche. Pakete werden auf den Gateways und Knotenpunkten anhand dieser Unterscheidungsmerkmale in den Headern den Warteschlangen oder Queues unterschiedlicher Priorität zugeordnet.

Die Queues höherer Priorität werden dann entsprechend der Policy der jeweiligen Queuing-Mechanismen bevorzugt weitergeleitet. Welches Prinzip dieser Bevorzugung zu Grunde liegt, ist unterschiedlich. In vielen Fällen sollte eine Priorisierung aber nicht ohne eine Festlegung einer gewissen Maximalbandbreite erfolgen. Diese könnte beispielsweise so aussehen, dass die Queue mit der höchsten Priorität nur eine bestimmte maximale Bandbreite erhält.

Ohne diese Begrenzung kann es passieren, dass bei einer Überlast ausschließlich hoch eingestufte Pakete transportiert werden, während sich die Pakete in den unteren Queues stauen, bis sie verworfen werden. Ein solchen Verhalten ist bei reinen Strict-Priority-Mechanismen typisch.

Das Festlegen einer minimalen Bandbreite für Pakete niedrigerer Priorität erfüllt den selben Zweck. Moderne Switches verschieben diese Grenzen dynamisch, abhängig vom momentanen Verkehr. Zu beachten ist jedoch, dass bei voller Ausreizung der entsprechenden Bandbreiten und der den Queues zugeordneten Buffern auch Pakete höherer Priorität keine Chance mehr haben, transportiert zu werden und ebenso verfallen können.

Obwohl eigentlich alle aktuellen Netzwerkgeräte das ToS- beziehungsweise DS-Byte auswerten können, ist diese Funktion in den seltensten Fällen aktiviert und wird höchstens im In-House-Bereich oder anderen abgegrenzten und kontrollierbaren Umgebungen genutzt.

Die meisten Applikationen sowie Windows-Betriebssysteme beherrschen die Klassifizierung mit ToS und Diffserv nicht. Daher erfolgt zumeist eine erste Klassifizierung nach Diensten im Edge-Bereich sinnvoller Weise über die benutzten TCP- oder UDP-Port-Nummern.

Hierbei weist der Edge-Switch anhand der erfolgten Klassifizierung den Paketen die entsprechende Hardware-Queue zu. Optional können die Klassifizierungen dann auch auf ToS- beziehungsweise Diffserv-Werte gemappt werden. Dabei werden die schon vorhandenen Werte überschrieben. Diese generierten ToS- und Diffserv-Werte können dann die Core-Switches weiter verwenden, ohne dass sie erneut ein Mapping durchführen müssten.

Im vorliegenden Vergleichstest wurden zur Festlegung der Prioritäten die jeweiligen UDP-Portnummern gesetzt. Die Klassifizierung der einzelnen Datenströme erfolgte durch den jeweiligen Switch, der die Datenströme empfing.

Generell erfolgt das Routing von Datenströmen nach Merkmalen, die in den Headern der Datenpakete festgelegt sind. Hierfür werden in der Praxis beispielsweise Port-Nummern oder IP-Adressen verwendet. Diese Mechanismen sind bereits im Standard-Linux implementiert. Somit sind alle Systeme, die auf Linux basieren, von Hause aus bereits für den Einsatz in Unified-Communications-Umgebungen geeignet.

Allerdings muss die Funktionalität auch vernünftig im GUI abgebildet sein. Voraussetzung ist dann noch, dass die erforderliche Rechenleistung für die entsprechende Funktionalität auch vorhanden ist. Alternativ ist es auch möglich, zur Verbesserung der Performance entsprechende Switch-Module zu integrieren, die eine Überlastung der Appliance vermeiden können.

Dies ist möglich, indem das Switch-Modul dazu eingesetzt wird, um mittels Bandbreitenlimitierung eine Überlastung der Filterfunktionalität zu verhindern. Wie gut aktuelle Security-Appliances in der Praxis sind, musste eine Reihe von Systemen in unseren Real-World Labs an der FH Stralsund beweisen.

Dipl.-Ing. Thomas Rottenau,
Prof. Dr. Bernhard G. Stütz,
dg@networkcomputing.de

1 2 3 4 5 6 7 8
Das könnte Sie auch interessieren
Business-Router, Vernetzung, Connectivity
Produkttest Business-Router 2024 Belastbare Kontakte
Lancom
Im Test: Lancom Trusted Access Client Hybrider VPN-Client mit Zero-Trust-Support
Gateway mit VPN
IoTmaxx: Weitere VPN-Tunneltechnik Gateways mit WireGuard
genuscreen_40g_vpn
Genua: VPN-Gateway für VS-NfD-konforme RZ-Koppelung Hochsichere Übertragung großer Datenmengen
Premium-VPN-Dienst
Bitdefender erweitert Premium-VPN-Dienst Einzelnen Anwendungen Bandbreite zuteilen
IoT maxx: Router per Mobilfunk oder LAN/WAN nutzbar
IoT maxx: Router per Mobilfunk oder LAN/WAN nutzbar Router für sichere Industrieanwendungen
VPN WireGuard
Equinux: WireGuard-Support für VPN Tracker Zehn VPN-Protokolle in einer App
LANline-Cartoon Digital Workspace und VDI
Stormshield: VPN-Client-Lösung für große Unternehmen Einfach Bereitstellung von VPN-Konfigurationen
Mehr passende Artikel
Heino Deubner, Geschäftsführer von Miete24
„PartnerHub“ Miete24 und Grenke starten Leasing-Plattform
Yorizon-Studie Kommunen noch im KI-Versuchsstadium
Google Suche Notebook
Jetzt auch in Deutschland Google schaltet KI-Modus in Suche frei
Elon_Musk_85073043_Quelle_Sebastian Gollnow_dpa.jpg
„Grokipedia“ in Planung Musk will Wikipedia Konkurrenz machen
Digitalisierung Schule
Digitale Unabhängigkeit Open Source: Praxisbeispiele an Schulen
Weiter zur Startseite