Alcatel, Cisco und Nortel nahmen die Herausforderung an: Sie präsentieren ihre Infrastruktur mit Vorbereitung für VoIP.

Die IT verursacht nur noch einen Teil der allgemeinen Geschäftskosten, und selbst ein optimales System stellt keinen Vorteil gegenüber der Konkurrenz mehr dar. So lautet eine weit verbreitete Meinung. Dieser Ansicht sind die Redakteure der »Network Computing« nicht. Ein solides Netzwerk mit ausgefeilten Business-Anwendungen vereinfacht das tägliche Geschäft und ist damit durchaus ein Vorteil gegenüber den Konkurrenten. Die Anforderungen an die heutigen Netzwerke sind allerdings auch größer und die Standards für Zuverlässigkeit, Verfügbarkeit und Sicherheit anspruchvoller als je zuvor. Die Anwendungen sind zunehmend unabdingbar für den täglichen Betrieb und Ausfallkosten astronomisch hoch. Es gilt neue Anwendungen, wie die IP-Telefonie, in kurzer Zeit mit hochgesteckten Kriterien zu realisieren.

Es ist den Redakteuren der Network Computing durchaus bewusst, dass nur sehr wenige den Luxus der »grünen Wiese« besitzen, dennoch sind wir der Meinung, dass es sinnvoll ist, das Projekt »Ausschreibung« so anzugehen und die Fortschritte unterschiedlicher Hersteller in Sachen Standards, Sicherheit und Technologie zu vergleichen. Auch die ewige Frage »alles auch einer Hand«, oder lieber doch »Best-of-Breed« sollte aufgegriffen werden.

Immer wieder Standards

Ein Prinzip hat seit den Anfängen der Unternehmensnetze Gültigkeit: So weit wie möglich sind Standards zu berücksichtigen. Hierzu gehören beispielsweise 802.3af für Power-over-Ethernet, kurz PoE, 802.1X für auf Netzwerk basierende Autorisierung, 802.1w für Rapid-Spanning-Tree sowie 802.3ad, das für Load-Balancing und für Extra-Bandbreite durch schnelle Failover zwischen Switches sorgt. Für die Hersteller ist das alles längst zur Selbstverständlichkeit geworden. Das gilt auch für die drei Netzwerkspezialisten, die unsere Ausschreibung beantworteten: Alcatel, Cisco und Nortel. Sie kamen den geforderten IEEE-Normen nicht nur nach, sondern boten darüber hinaus weitere Funktionalität an.

Besonders bei PoE sind die Fortschritte des vergangenen Jahrs deutlich sichtbar. Noch vor einem Jahr mussten viele Anbieter auf Dritte zurückgreifen, die durch so genannte Midspan-Geräte für Strom auf der Ethernet-Leitung sorgten. Jetzt haben sowohl Cisco als auch Nortel entsprechende Funktionalität in ihren Switchen integriert, und Alcatel steht kurz vor der Vorstellung einer solchen Lösung. Es zeigte sich, dass die PoE-Installationen interoperabel sind. Das ist auch wichtig, da die Technologie mit Sicherheit in Bereichen zum Einsatz kommt, die Produkte von mehreren Herstellern enthalten. Selbst PCs müssen mit PoE arbeiten können. Allerdings empfiehlt sich dennoch ein Test vor der Inbetriebnahme, besonders bei komplexen Systemen, die beispielsweise mit 802.3ad oder 802.1Q arbeiten.

Report-Card: Infrastruktur für VoIP

Features: Infrastruktur für VoIP

Ein weiteren Fortschritt im vergangenen Jahr war bei der Leistungsfähigkeit zu verzeichnen. Mittlerweile bieten alle Funktionen wie IP-Forwarding oder QoS-Klassifizierungen an und arbeiten mit Access-Control-Lists, kurz ACL, in ASICs. Weit verbessert zeigen sich auch die 10-Gigabit-Produkte. Vor einem Jahr wiesen die meisten lediglich eine Geschwindigkeit von 8 GBit/s oder weniger zwischen jeder Karte und dem Backplane auf. Die vollen 10 GBit/s waren nicht möglich. Jetzt unterstützt Cisco 39 GBit/s und Alcatel sowie Nortel je 32 GBit/s. Damit stehen drei oder vier 10-Gigabit-Ports pro Karte zur Verfügung.

Auch in Sachen Sicherheit hat sich einiges getan. Ausgereiftere Lösungen der Netzwerk-Autorisierung arbeiten mit 802.1X. Hier muss sich der Anwender einloggen, bevor er weiter als bis zum lokalen Switch-Port kommt. Die Produkte in unserer Ausschreibung arbeiten auch mit Filterung mittels ASICs. Das bedeutet, dass Sicherheit nicht auf Kosten der Leistungsfähigkeit geht.

Einer gegen viele

In der Ausschreibung setzten wir ein Netzwerk aus einer Hand mit den Geräten nur eines Anbieters voraus. Das ist allerdings nicht unbedingt die Norm. Viele Bereiche bestehen aus Geräten von unterschiedlichster Herkunft. Eine Leserbefragung unserer Schwesterzeitschrift in den USA ergab ein interessantes Resultat: Auf die Frage, ob sie ihr Netzwerk als »Best-of-Breed« ansehen oder ob sie mehr als 90 Prozent der Switches und Router aus einer Hand bezögen, hielten die Antworten die Waage: 50 Prozent arbeiten mit mehreren Herstellern und 50 Prozent beziehen die meisten Geräte aus einer Hand. Wir fragten nur nach 90 Prozent der Geräte im System um sicherzustellen, dass Anwender, die einzelne Geräte für bestimmte Applikationen von Spezialisten beziehen, nicht auf der »Best-of-Breed«-Seite landen.

Ein solch heterogenes Netzwerk ist kein Problem, wenn es nur darum geht, unterschiedliche Switche und Router zusammenzuschalten. Das wird seit Jahren mit bewährten Methoden wie Ethernet und OSPF gemacht. Wer aber mehr Verfügbarkeit braucht, muss mit moderneren Techniken arbeiten, einschließlich des Virtual-Router-Redundancy-Protokolls, kurz VRRP, Rapid-Spanning-Tree und 802.3ad. Ein Netzwerk aus einer Hand nimmt die Interoperabilitäts-Sorgen. Auf der anderen Seite aber muss sich der Hersteller auch nicht mehr so um das Geschäft bemühen. Das nächste Update des Netzes hat er sicher in der Tasche.

In Sachen Service hat ein Single-Vendor-Netz den Vorteil, dass nur ein Verantwortlicher da ist, der dann nicht mit dem Finger auf einen anderen zeigen kann. Unsere Leserbefragung ermittelte, ob die Anwender ihren Support direkt vom Anbieter oder über einen VAR (Value-Added-Reseller) erhalten. Rund 60 Prozent arbeiten hier direkt mit dem Produzenten, der Rest mit VARs. In beiden Fällen sind 90 Prozent der Befragten mit dem Service zufrieden.

Grenzen ziehen

Wer mit mehreren Herstellern arbeitet, muss entscheiden, wo die Grenzen sind, beispielsweise zwischen dem Kern und der Peripherie. Ein Anbieter könnte die Router im Datencenter liefern, während die Switches im Kabelschrank von einem anderen stammen. Die meisten Architekturen sehen darüber hinaus noch eine »Zwischenebene« vor. Hier kommen die Endswitches zusammen und werden über einen weiteren Switch geleitet. Die Geräte auf dieser Ebene könnten ebenfalls von einem der beiden Produzenten stammen. Empfehlenswert ist es, sich auf Geräte von zwei Anbietern zu beschränken. Das ist ausreichend, um sich nicht von einem abhängig zu machen, ohne die Komplexität der Verwaltung ins Unermessliche steigen zu lassen.

Auch Schulungen sind hier zu berücksichtigen. Sind viele Spezialisten vertreten, wächst auch das notwendige Wissen der IT-Mitarbeiter. Einige Anbieter umgehen dies, indem sie die Command-Line-Schnittstelle von Cisco emulieren. Damit ist die Bedienung der Geräte bereits bekannt. Darüber hinaus sollte nicht vergessen werden, dass die Arbeit mit dem technischen Support der Hersteller zunimmt. Jeder Anbieter hat seine eigene Methode, um Updates und Änderungen bekannt zu geben und zu verbreiten.

Zu den Herausforderungen in einem heterogenen Bereich zählt auch die Management-Software. Obwohl sie von Dritten zum Einsatz kommen kann, muss in einigen Fällen auf proprietäre Lösungen zurückgegriffen werden. Das gilt besonders, wenn fortgeschrittene oder spezialielle Funktionen notwendig sind. So kann beispielsweise die Integration von QoS-Features auf Layer 2 und 3 komplizierte Eingaben für jeden Switch und Router voraussetzen. Ein Prozess, der schnell zu Fehlern führt. GUI-Management-Produkte vereinfachen den Prozess. Hier müssen aber Soft- und Hardware aus einer Hand stammen.

Das Gleiche gilt für Access-Listen und VLAN-Zuordnungen. Die meisten Anbieter haben Funktionen integriert, die diesen Prozess automatisieren. Allerdings ist diese Funktionalität ebenfalls proprietär. Falls viele solchen Änderungen notwendig sind, steigt der Grad der Komplexität mit der Anzahl der vertretenen Anbieter. Für jeden Einzelnen ist in diesem Fall eine eigene Anwendung zu bearbeiten.

Steckbrief Das fiktive Unternehmen Schutz und Co.

Schutz und Co. ist ein Versicherer, der im vergangenen Jahr ein enormes Wachstum verzeichnet hat. Die Zahl der Mitarbeiter stieg von 1000 auf 4000. Mittlerweile umfasst die Zentrale mit dem Datencenter zwölf Gebäude und zwei weitere, die ein wenig weiter entfernt sind. Wegen dieser schnelle Expansion ist es jetzt notwendig, das Netzwerk zu erneuern.

Einige Fakten, die den Herstellern helfen sollten, auf die Ausschreibung korrekt zu reagieren:

• Sechs Gebäude sollen über 10-Gigabit-Verbindungen mit den Datencenter verbunden sein.

• Sechs Gebäude sind mittels Gigabit-Anbindungen zu versorgen.

• Die Daten von 24 Servern sollen im Datencenter mit Gigabit-Geschwindigkeit zusammenlaufen.

• Ein entferntes Gebäude verfügt über eine T3-Leitung, das andere über eine OC-3-Verbindung.

Das Unternehmen ist weiterhin auf Wachstumskurs und sucht ein Netzwerk, das auch einen gewissen Vorsprung vor der Konkurrenz bietet. Bei so vielen Mitarbeitern ist Uptime von größter Bedeutung. Darüber hinaus soll die Grundlage für ein VoIP-System gelegt werden.

Als Assekuranz legt Schutz und Co. großen Wert auf die Sicherheit. Obwohl Firewalls und VPNs nicht Bestandteil der Ausschreibung waren, haben wir genau analysiert, welche Sicherheitsfeatures in den Switching- und Routing-Infrastrukturen vorhanden sind. Letztlich soll auch Power-over-Ethernet unterstützt werden.

Allgemeine Spezifikationen

• 802.3af Power-over-Ethernet muss für Desktops unterstützt werden.

• Quality-of-Service auf Layer 2 und 3.

• 802.1X-Autorisierung in den Switches im Kabelschrank.

• Redundante Verbindungen zu den Gebäuden.

• 10-Gigabit-Verbindungen müssen unterstützt werden.

Das Extra: die Sprache

Selbst wenn alle Switches und Router von einem Produzenten kommen, was ist mit weiteren Geräten, beispielsweise für VoIP? Die Anbieter, die auf unsere Ausschreibung antworteten, haben alle solide Lösungen für die IP-Telefonie, und viele Unternehmen planen für dieses Jahr zumindest Pilotprojekte in diese Richtung zu starten. In unseren Anforderungen haben wir die Sprache im Netz zwar angefordert, aber offen gelassen, von wem sie stammen soll. VoIP entwickelt sich weiter und sollte letztendlich als Geschäftsanwendung betrachtet werden, ähnlich wie Customer-Relationship-Management, kurz CRM, Enterprise-Resource-Planning, kurz ERP, oder Web-Dienste. Mit Sicherheit hat VoIP einige besondere Anforderungen, allerdings sollten diese für ein gut durchdachtes und zeitgemäßes Netzwerk nur wenige Probleme darstellen. Obwohl es einige Vorteile hat, Sprach- und Datentechnologien aus einer Hand zu beziehen, läuft man hier Gefahr, proprietäre Features zu erhalten, die diese beiden Bereiche des Kommunikationssystems zu eng aneinander binden.

Darüber hinaus sind Grenzen auch in anderen Bereichen zu ziehen. Hierzu gehören Wireless-Technologien, Load-Balancer, Firewalls und VPNs. Anders als Edge-Switches variieren die Features und die Leistungsfähigkeit dieser Geräte stark. Ein Vergleich lohnt sich.

Bei der Entscheidung für einen neuen Anbieter spielen sowohl technische als auch geschäftliche Erwägungen eine Rolle. Eine Analyse nicht nur der Anschaffungs- und Betriebskosten, sondern auch der langfristigen taktischen Vorteile ist vonnöten. In unserer Ausschreibung hatten wir etliche Optionen offen gelassen. Es ist notwendig, eine ausgefeilte und gut strukturierte Basis für Technologien wie VoIP zu schaffen. Das bedeutet aber nicht, dass der gleiche Hersteller, der die Switch-Infrastruktur liefert, auch für die Sprache zuständig ist. Obwohl das denkbar ist, sollte es nicht zu der Annahme kommen, dass ein einzelner Produzent immer derjenige sei, der die richtige Lösung parat hat.

Die Ausschreibung

Das fiktive Unternehmen »Schutz und Co.« sucht ein Netzwerk, das einen Vorsprung gegenüber der Konkurrenz liefert und gleichzeitig die Türen offen lässt für IP-Telefonie, Wireless und andere neue Technologien. Vornweg sei gesagt, dass Cisco das interessanteste, aber auch teuerste Angebot abgab. Das lag hauptsächlich an den Redundanz- und Sicherheitsfunktionen.

Schutz und Co. ist im vergangenen Jahr rasant von 1000 auf 4000 Mitarbeiter gewachsen. In Sachen IT legt das Unternehmen großen Wert auf Verfügbarkeit und Sicherheit. Hier sehen die Redakteure der Network Computing auch die wichtigsten Kriterien in realen Bereichen. Gefragt war eine 99,999-prozentige Verfügbarkeit im Hinblick auf die zunehmend wichtigen Geschäftsanwendungen und das geplante VoIP-System. Zudem waren spezifische Switching- und Routing-Elemente für eine höhere Sicherheit gewichtige Faktoren.

All das sollte aus einer Hand kommen, einschließlich 10-Gigabit-Backbone-Links, Fast- oder Gigabit-Ethernet bis zum Desktop mit PoE sowie OC-3- und DS-3-WAN-Verbindungen. Drei Hersteller haben die Herausforderung angenommen: Alcatel, Cisco und Nortel. Wir fragten auch bei Enterasys, Extreme, Foundry, Hewlett-Packard und 3Com an. 3Com konnte die Anforderungen von Gigabit-Ethernet mit PoE nicht erfüllen. Auch Enterasys erklärte, die Kriterien von Schutz und Co seien für sie nicht realisierbar. Die anderen Anbieter erklärten ihre Zurückhaltung mit Ressourcen- oder Zeitgründen.

Natürlich ist eine Ausschreibung lediglich ein Schritt einer Kaufentscheidung. Ein ausgefeilter Fragebogen filtert aber heraus, welcher Hersteller den Anforderungen überhaupt entspricht und damit als Partner in Frage kommt. In unserem Fall waren dies im Prinzip alle drei Konkurrenten. Allerdings müsste Schutz und Co bei Alcatel bis November dieses Jahres warten, da das Unternehmen erst dann PoE für Gigabit bis zum Desktop verfügbar hat.

Diese Ausschreibung ist zwar eine Quelle, um selbst eine entsprechende Ausschreibung zu erstellen. Sie soll aber lediglich als Anhaltspunkt gelten und nicht eins zu eins übernommen werden. Jedes Unternehmen ist anders und hat andere Anforderungen. Je genauer die Analyse ausfällt, desto näher kommt man an das »goldene« Netz.

Schutz und Co.

Der fiktive Versicherer hat in seiner Ausschreibung hohe Ansprüche gestellt. So gab er sechs 10-Gigabit-Verbindungen zu mehreren Gebäuden in der Zentrale vor. Für die Desktop-Anbindungen soll es eine Mischung aus 100- und 1000-MBit/s-Verbindungen sein, alle mit PoE ausgerüstet.

Die Designs der drei Bewerber waren sehr ähnlich. Alle sahen einen Highend-Switch/Router im Kern vor. Dieser wiederum soll mit einem weiteren Switch oder »Aggregator« im Keller der einzelnen Gebäude verbunden sein. Im Keller sind dann die Desktop-Switches in jedem Stockwerk angeschlossen. Alcatel und Nortel entschieden sich, hier jeweils mit einem Switch zu arbeiten. Ciscos Lösung sah duale Switches im Kern und in den zwölf Kellern vor. Sehr effizient aber auch sehr teuer.

Alle Anbieter nutzten die vorhandenen Glasfaser-Leitungen für redundante Verbindungen zurück zum Kern im Datencenter. Hierzu zählen sechs Gebäude, die mit Leitungen mit Gigabit-Geschwindigkeit angeschlossen sind und weitere sechs, die mit 10-Gigabit arbeiten. Cisco sah redundante Stromversorgungen und Ventilatoren in jedem Chassis vor. Alcatel und Nortel nutzten duale CPU-Karten und redundante Switch-Fabrics. Wir hatten zwar hohe Redundanz und Verfügbarkeit vorgegeben, dies allerdings nicht weiter spezifiziert. Aus den angebotenen Lösungen interpretierten wir, dass Cisco der Ansicht sei, die hohe Verfügbarkeit nur mit teuren redundanten Chassis realisieren zu können, während Alcatel und Nortel glaubten sie kämen mit Redundanz innerhalb der einzelnen Chassis aus. Keiner der Anbieter war jedoch bereit, Uptime-Garantien abzugeben.

Für die meisten Unternehmen ist es sinnvoll, die goldene Mitte zu wählen. So sollten voll redundante Switches im Kern stehen, mit Ersatzteilen für alle Geräte im Netzwerk, einschließlich Chassis. Das sollte für eine schnelle Lösung ausreichen, falls es zu einem Ausfall kommt. Dieser Weg setzt allerdings auch voraus, dass auf ausreichende Backup-Verfahren geachtet wird.

Alle drei Bewerber versprachen Hochgeschwindigkeits-Switching und Routing auf ASIC-Basis mit Unterstützung für QoS auf Layer 2 und 3. Das Design der Geräte wies darauf hin, dass sich die Leistungsfähigkeit der Angebote nicht besonders groß unterscheidet. Die Ausnahme ist NAT (Network-Adress-Translation). Nicht jeder Hersteller kann Translations in NAT durchführen.

Die Unterstützung für 802.1X erschien in allen Fällen ausgereift. Auf der Client-Seite sollte das Extensible-Authentication-Protokoll, kurz EAP, zum Einsatz kommen. Im Backend arbeitet ein Radius-Server. Damit kann Schutz und Co mittels VLANs und ACLs den Zugriff der Mitarbeiter nach dem Login kontrollieren und gegebenenfalls eingrenzen. Mit dieser Methode ist es möglich, beispielsweise einem Gast lediglich Zugriff auf das Internet zu geben, aber nicht auf das interne Netzwerk. Ein weiterer Anwender hat die Genehmigung für das Intranet, aber nicht für die Daten der Buchhaltung. In Sachen Sicherheit hat Cisco das Rennen für sich entschieden, da ihre Edge-Switches einige einzigartige Features aufwiesen.

Alle drei Konkurrenten schnitten im Bereich Sicherheitsfeatures für das Netzwerk-Management gut ab. Sie unterstützen verschlüsseltes Management über das Web, Telnet und SNMP. Das verhindert, dass Unbefugte das Netzwerk nach Konfigurationsinformationen oder – noch schlimmer – Logins ausspionieren.

Alcatel und Cisco waren hier wesentlich informativer als Nortel. Das gab uns zu denken, ob Nortel wohl Abstriche beim technischen Support gemacht habe, um den Gesamtpreis zu senken.

Die Kosten

Der Vorschlag für Ciscos Fast-Ethernet-Lösung betrugt enorme 3135460 Dollar. Die Gigabit-Variante belief sich sogar auf 4526720 Dollar. Das sind 44 Prozent mehr Kosten für die höhere Geschwindigkeit. Obwohl damit die zehnfache Bandbreite bereitsteht, ist das viel Geld. Allerdings hat Cisco viele redundante Highend-Switches vorgeschlagen, was sich hier spiegelt. Nortel veranschlagte einen Betrag von 1226669 Dollar für die Gigabit-Lösung und 1335572 Dollar für Fast-Ethernet, fast 109000 Dollar weniger. Am günstigsten war Alcatel mit 679112 Dollar für Fast-Ethernet und 731930 Dollar für Gigabit-Ethernet, allerdings ohne PoE.

Alle Hersteller versprechen Failover-Raten in weniger als einer Sekunde. Das müssten wir zunächst testen. Selbst nachdem die Entscheidung für einen Anbieter gefallen ist, sollten die Failover-Funktionen nochmals geprüft werden, um sicherzustellen, dass alles korrekt konfiguriert ist und die Geräte den Erwartungen entsprechen.

Unsere Referenz ging an Cisco für die hervorragende Redundanz und die guten Sicherheits-Features, wobei der Preis ein harter Brocken ist. In einem realen Fall würden wir weitere Fragen bezüglich des technischen Supports an Nortel richten. Die Lösung von Alcatel bietet keine Unterstützung für Power-over-Ethernet im Gigabit-Bereich, ist aber wesentlich günstiger als Cisco oder auch Nortel. Allerdings hat das Unternehmen an der Redundanz ein wenig gespart, versprach jedoch hier nachzubessern, falls es notwendig sei.

Cisco Systems

Neben unserer Referenz erhält Cisco auch unsere »Magnum Opus«-Auszeichnung für das umfangreichste Angebot. Mehr als 100 Seiten Text und Diagramme flatterten in die Redaktion. Die Lösung enthielt viele Vorschläge, die über unsere Anforderungen hinaus gingen. Sehr beeindruckend, wenn wir auch ein bisschen zweifeln, ob eine »normale« Anfrage eines Unternehmens mit 4000 Anwendern ebenfalls so viel Arbeit bei Cisco ausgelöst hätte.

Ciscos Lösung enthält jede Menge Geräte, die das Herz des Technikers höher schlagen lassen. Hierzu gehören 26 Highend-Catalyst-6500-Switches. Zwei im Kern und jeweils zwei im Keller eines jeden Gebäudes. Für die 10-Gigabit-Anbindung von jedem »Keller«-Switch nutzte Cisco die bestehenden Single-Mode-Glasfaser-Leitungen. Zwei Paare sind hier notwendig. Je ein Paar von einem Keller-Switch

zu einem Switch im Datencenter. Darüber hinaus arbeitete Cisco auch das vorhandene Multimode-Fiber, um zwei Verbindungen von jedem Catalyst 6500 in den Gebäuden zum Switch im Kern herzustellen. Damit stehen insgesamt vier Gigabit-Verbindungen von jedem Gebäude zum Kern zu Verfügung. Die Distanz war zu groß, um 10-Gigabit-Verbindungen über Multimode bereitzustellen.

Cisco schlug OSPF oder das eigene proprietäre EIGRP (Enhanced-Interior-Gateway-Routing) für den Failover-Prozess zwischen dem Kern und den Verteiler-Switches vor. Das ist möglich, da die Switches direkt miteinander verbunden sind. OSPF ist ein so genanntes Link-State-Protokoll. Wäre ein Layer-2-Switch dazwischen geschaltet und eine Verbindung bricht, würde der Link auf der anderen Seite des Switches das Problem nicht sofort erkennen. Das Failover würde somit länger dauern. Das Schlüssel liegt darin, dass sichergestellt sein muss, dass eine direkte Verbindung zwischen den Routing-Geräten besteht.

Laut Cisco gibt es einen zusätzlichen Schutz. Fällt eine CPU aus, werden alle Schnittstellen sofort gesperrt, wodurch ein Failover erfolgt. Cisco erklärte, dass der Vorteil des eigenen EIGRP im hierarchischen Aufbau liege, wodurch das Protokoll einfacher zu verwalten sei.

Für die Fast-Ethernet-Desktop-Version des Angebots schlug Cisco den stapelbaren 3750-Switch vor, der mit 32 Gigabit zwischen den Stacks arbeitet. In der Gigabit-Variante stand der 4500-Switch. Beide sind mit 802.1X für die Zugriffskontrolle auf das Netzwerk ausgestattet, wie auch die Geräte der Konkurrenten. Allerdings wies Cisco in diesem Bereich einige Features auf, mit denen die anderen nicht mithalten konnten. So sind beispielsweise beide Desktop-Switches mit DHCP-Snooping ausgestattet. Dadurch wird verhindert, dass nicht zugelassene Switches zu Problemen führen. Dieses Verfahren garantiert auch, dass eine IP-Adresse auf einem Port nur zur Verwendung kommt, wenn sie von DHCP gestellt wurde. Darüber hinaus liefert Cisco ein Feature mit der Bezeichnung Dynamic-ARP-Inspection. Eine Funktion, die so genannte Man-in-the-Middle-Angriffe verhindern soll.

Laut Cisco lassen sich Upgrades an den dualen 6500-Switches ohne Ausfall vornehmen. Auch physikalisch seien sie unabhängig. Sie könnten auch in verschiedenen Gebäudeteilen untergebracht sein oder an unterschiedlichen Stromkreisen hängen. In der Realität bedeutet das aber, dass auch Ka-

bel von diesen Standorten zurück zum Kern und zu den anderen Switches zu führen sind. Zwei Chassis setzt auch den Platz für das zusätzliche Gerät voraus, und der ist nicht immer vorhanden.

Für das WAN schlug Cisco einen 7206-Router vor. Dieser wird mit einem weiteren 7206 zur OC-3-Anbindung und einen 3845-Router am anderen Ende der T3-Leitung verbunden. Cisco teilte uns mit, dass die neu vorgestellten 3845-Router mit Hardware-VPN und Digital-Signal-Prozessoren, kurz DSP, ausgestattet seien. Diese Funktionen sind hilfreich, falls sich Schutz und Co für das VoIP-System von Cisco entscheiden sollte. Allerdings ist dadurch auch der Support komplizierter. Einfacher wäre eine Lösung ausschließlich mit 7206-Routern.

Nortel Networks

Nortel bekommt die Auszeichnung für die beste »Kurzgeschichte« für die kompakte Antwort auf unsere Ausschreibung. Das solide Design des Herstellers ist wesentlich günstiger als Ciscos und enthält die auf Chassis basierenden Highend-Switches 8600 sowohl im Kern als auch in einigen Gebäuden. Nortel schlug keine dualen Switches vor, nicht einmal im Kern. Die Geräte sind jedoch mit vielen redundanten Features ausgestattet. Zusätzlich zu der doppelten Stromversorgung und den Ventilatoren kommen noch voll redundante Switch-Fabrics. Zudem erklärte Nortel, dass Upgrades zur Software mit einer Ausfallzeit von weniger als einer Sekunde pro CPU erfolgen können.

Nortel nutzt die 8600-Switches auch in den Gebäuden, die mit 10 Gigabit arbeiten. Für die Gigabit-Anbindung der anderen Gebäude sollen die stapelbaren Baystack-5520-Switches zum Einsatz kommen. Diese sind auch für die Gigabit-Desktops vorgesehen, während die Baystack-460-PWR-Switches im Fast-Ethernet-Bereich vorgesehen sind. Der 5520 enthält zwei redundante 40-Gigabit-Verbindungen zwischen den Stacks.

Für die dualen Glasfaser-Verbindungen arbeitet Nortel mit 802.3ad zwischen den Kellern und jedem Kabelschrank, der 45 oder weniger Desktops bedient. Für den Fall, dass mehr Desktops anzubinden sind, empfiehlt Nortel Gigabit-Verbindungen. Nortel hat die einzelnen Anbindungen der Desktop-Switches an den 8600 sehr akribisch vorgenommen. In einigen Fällen wurde die Kupferverkabelung genutzt, um Kosten zu sparen.

Für die Fehlerüberwachung, Diagnose, die QoS-Policies und für Sicherheitsfunktionen dient die Optivity-Netzwerk-Management-Software. Diese unterstützt zudem Konfigurations-Management und Batch-Updates. Nortel greift hier auf das Konfigurations-Produkt von Rendition Networks zurück. Damit lässt sich auch Soft- und Hardware von Drittherstellern verwalten.

Ein wenig enttäuschend waren Nortels Angaben zum technischen Support. Sie erzeugten nur geringes Vertrauen in die Fähigkeit, die Probleme von Schutz und Co. lösen zu können. Im Vergleich dazu lieferten Alcatel und Cisco wesentlich umfangreichere Informationen und erlaubten einen Blick in ihre Prozesse für Service und Problemlösung.

Auf der anderen Seite fragten wir nach einer Liste von VoIP-Geräten, die (außer der eigenen) mit der gebotenen Plattform arbeiten und Nortel war der einzige Anbieter, der diese Frage mit Avaya und Cisco beantwortete. Das sehen wir als Indiz an, dass Nortel in der Tat in der Lage ist, die VoIP-Geräte anderer Hersteller zu unterstützen.

In Sachen Sicherheit lieferte Nortel alle geforderten Funktionen, einschließlich Unterstützung für 802.1X und verschlüsseltes Management. Wie auch bei den Konkurrenten lässt sich der Zugriff auf das Netzwerk nach den Login-Verfahren regulieren. Zudem gab Nortel an, dass die Sicherheitsprodukte von Sygate unterstützt werden. Sie überprüfen den PC unter anderem auf die neuesten Virus-Updates und lassen einen Zugriff auf das Netzwerk erst zu, wenn diese installiert sind.

Alcatel

Alcatel lieferte ebenfalls eine solide Lösung, verlor aber Punkte, da PoE über Gigabit-Ethernet derzeit noch nicht unterstützt wird. Der neue Omniswitch 6800, der im vierten Quartal dieses Jahres auf den Markt kommen soll, ist mit dieser Funktion ausgestattet. Das Unternehmen schlug den Highend-Omniswitch 8800 im Kern und für alle Gebäude mit 10-Gigabit-Anbindungen vor. Hier gleicht das Angebot dem von Nortel. Die kleineren Omniswitch-7700-Geräte sind für die Verbindungen der anderen Gebäude vorgesehen.

Die Fast-Ethernet-Desktops mit PoE arbeiten mit den stapelbaren 6600-Switches. Die Verbindung zwischen den Stacks läuft mit lediglich 1 GBit/s. Hier liegt Alcatel hinter Cisco und Nortel.

Auch Alcatel hat die Kern-Switches mit jeder Menge Redundanz ausgestattet, einschließlich Stromversorgung, Ventilatoren, CPUs und Switch-Fabric. Allerdings unterscheidet sich das Angebot Alcatels dennoch von Nortels. Das Unternehmen erklärte, es habe vier verschiedene Fabrics für den Switch. Ein fünftes diene als Reserve und könne alle vier ersetzen. In unserer Ausschreibung fragten wir die Anbieter nach dem kürzesten und längsten Ausfallzeiten während eines Software-Upgrades. Alcatel gab 300 Millisekunden im besten Fall an und 90 Sekunden im schlimmsten. Der Prozess könne allerdings auch bis 120 Sekunden dauern, falls ein Reboot notwendig ist. Das Unternehmen nannte keine Beispieleszenarien. Allerdings wies es auf ihr »Smart-Continuous-Switching«-Schema hin. Dieses soll Route- und Switch-Tables an Interfacekarten verteilen, falls ein Management-Modul ausfällt. Darüber hinaus verfügt Alcatela Angebot über ein so genanntes automatisches Image-Rollback-Feature. Das soll ein Backup-Image laden, wenn es zu einem entsprechenden Problem, wie einem Ausfall, kommt.

Alcatels Lösung sieht nur eine Verbindung zwischen dem Kern und den Aggregator-Switches vor, obwohl wir die Existenz von zusätzlichen Glasfaser-Leitungen angaben. Auf Nachfrage erklärte der Hersteller, dass es jederzeit möglich sei, weitere Verbindungen für existierende Ports aufzubauen. Das bringt allerdings noch nicht die gleich hohe Redundanz der anderen Angebote. Auch waren wir überrascht, dass keine dualen Switches im Kern vorgesehen sind.

Die Sicherheitsfunktionen entsprachen allen Anforderungen. Auch Alcatel arbeitet mit der Software von Sygate. Darüber hinaus wird das Fortigate-Antivirus-Firewall-System von Fortinet unterstützt. [ nwc, ka ]