Auch für Router könnte gelten: »Der König ist tot, lang lebe der König«. Denn auf der einen Seite befinden sich reine Router in den Unternehmensnetzen auf dem Rückzug, weil sie von den Switches an den Rand des Unternehmensnetzes gedrängt werden. Gleichzeitig arbeiten Router dort als unverzichtbarer Bestandteil und erleben einen Boom als Access-Router.

Wie kommt es zu dieser Entwicklung? Um dieses Phänomen zu verstehen, muss man sich die Aufgaben eines Routers vor Augen führen. Er koppelt unterschiedliche Netzwerke auf der Netzwerkebene 3. Dies können einmal innerhalb eines Unternehmens-LANs verschiedene Netzwerkbereiche sein, um Netzwerke zu segmentieren. Zum Zweitem verbinden Router das eigene LAN mit dem WAN. Solche WANs können Ethernet-, ISDN-, DSL-, E1/T1-, Frame-Relay- oder ATM-Anbindungen an den Backbone eines ISPs (Internet-Service-Provider) sein. Zum Dritten verknüpfen Router auch WANs von verschiedenen ISPs. Verschickt nun ein Rechner Datenpakete an einen Rechner in einem anderen Netz, übernehmen Router deren Weiterleitung, bis die Pakete das Zielnetz erreicht haben. Ein Router sucht dazu in seinen Tabellen nach dem Zielnetz. Die Tabelle sagt ihm, an welchen Router (Hop) er als nächstes das Paket schicken muss, damit diese ihr Ziel erreichen. Gibt es mehrere Einträge beziehungsweise Pfade, wählt der Router den kürzesten Pfad aus. Dieser Vorgang wiederholt sich für jedes einzelne Paket. Außerdem muss der Router seine Tabellen auf dem aktuellen Stand halten. Dies kostet Zeit und verlangt in größeren Netzen eine entsprechende Rechenleistung. Im LAN machen nun Switches den Routern Konkurrenz, allerdings gilt dies nur für Layer-3-Switches, nicht auf Netzwerkebene 2. Ein Layer-2-Switch beherrscht kein Routing, sondern leitet anhand seiner Forwarding-Tabellen sehr schnell Pakete an den richtigen Port weiter. Nun haben Hersteller so genannte Layer-3-Switches kreiert, indem sie diesen zusätzlich Routing-Funktionen mitgegeben haben. Damit können diese innerhalb eines LANs in der Regel Netzwerksegmente schneller verbinden. Allerdings müssen sich diese Switches mit den Routern im Unternehmen ebenfalls vertragen, um einander mittels eines Routing-Protokolls auf dem aktuellen Stand ihrer Tabellen zu halten. Darauf sollte beim Router beziehungsweise Layer-3-Switch geachtet werden.

Gleichzeitig verhindert der Router, dass etwa Broadcasting-Verkehr ins WAN gelangt. Oder Router führen ein Spoofing für bestimmte Protokolle aus wie das sehr geschwätzige SPX (Netware) oder DDP (Appletalk). Dabei antwortet der Router anstelle des Empfängers, so dass in meisten Fällen keine Daten über das WAN gehen müssen.

Router gibt es in zwei verschiedenen Ausführungen: Entweder sie arbeiten als reine Router oder sie kombinieren ihre Funktionen mit anderen Lösungen wie Firewalls, Wireless-Access-Points oder VPN-Servern. Geht es etwa um einen WAN-Zugang mit hohem Verkehrsaufkommen, oder es sollen verschiedene WAN-Zugänge konsolidiert werden, dann kommen reine Router zum Einsatz. Sie bündeln beispielsweise verschiedene Stand- oder Wähleitungen. Für die meisten reicht aber ein so genannter Access-Router aus, wenn es etwa um die DSL-Anbindung an einen ISP geht.

Die Routing-Welt

Das Internet bilden viele Darstellungen vereinfacht als eine Wolke ab, in der die Daten irgendwie von einem Endknoten zu einem anderen gelangen. Dabei gibt es das Internet genau genommen nicht, sondern es besteht aus einer Vielzahl von Netzen verschiedener ISPs. Alles, was zu einem ISP gehört, wird als Autonomous-Systeme (AS). Bei großen ISPs gibt es eventuell auch mehrere AS. Dabei hat jedes AS eine eigene Nummer. Damit ein Paket seinen Weg findet, muss es einmal bis zum richtigen AS geroutet werden und dann innerhalb des AS zur richtigen Adresse. Beim Routing muss außerdem noch zwischen Unicast- und Multicast-Routing unterschieden werden. Da Unicast-Verkehr sich nur an eine Adresse und Multicast-Verkehr an eine eventuell sehr große Menge von Adressaten richten, kommen dafür unterschiedliche Protokolle zum Einsatz. Beim Unicast-Verkehr übernimmt das BGPv4 (Border-Gateway-Protocol) als Exterior-Gateway-Protocol (EGP) das Routing zwischen verschiedenen AS. Für das Routing innerhalb eines AS kommen als Interior-Gateway-Protocols (IGP) verschiedene Verfahren zum Einsatz: RIPv1/v2 (Routing-Information-Protocol), OSPF (Open-Shortest-Path-First), IS-IS (Intermediate-System-to-Intermediate-System) oder die proprietären Cisco-Protokolle IGRP (Internet-Group-Management-Protocol) beziehungsweise der Nachfolger EIGRP (Enhanced-IGRP). Ein Router besitzt im OSI-Sprachgebrauch auch die Bezeichnung Intermediate-System. Als Multicast-Routing-Protokolle kommen beispielsweise DVMRP (Distance-Vector-Multicast-Routing-Protocol), PIM-DM (Protocol-Independent-Multicast-Dense-Mode) und PIM-SM (PIM-Sparse-Mode) oder MOSPF (Multicast-OSPF) zum Einsatz. Carrier-Class-Router, die am Rand eines Netzes (Edge) stehen, müssen daher mehrere Protokolle sprechen wie BGPv4 und OSPF.

Mittels eines Routing-Protokolls kann ein Unternehmen auch dem ISP die eigenen Routinginformationen mitteilen. Änderungen im Unternehmensnetz erhält dieser dadurch dynamisch entweder über ein IGP oder ein EGP. Bei einem EGP wie BGP muss das Unternehmen entweder eine offizielle AS-Nummer erhalten oder eine private vom ISP.

Pfadsuche

Im einfachsten Fall arbeitet ein Router mit statischen Tabellen. Alle Einträge in der Tabelle sind fest. Diese muss der Administrator von Hand eintragen und aktualisieren. Deshalb eignet sich das Verfahren nur für kleinere Netze. Beim Default-Routing gelangen alle Pakete, die nicht für das eigene Netz bestimmt sind, an einen Default-Router. Im Gegensatz zum statischen Routing teilen Router sich beim dynamischen Routing Änderungen gegenseitig über ein Routing-Protokoll mit. Um über die richtige Route auszuwählen, gibt es verschiedene Möglichkeiten. Die einfachste ist die Anzahl der durchquerten Router. Je nach Protokoll kommen noch andere Kriterien wie verfügbare Bandbreite, Übertragungszeit oder Verbindungskosten zum Einsatz.

Routing-Protokolle

RIPv1, definiert im RFC 1058, stellt das einfachste von den genannten Protokollen dar. Es eignet sich nur für kleinere und mittlere Netze. Dies liegt schon daran, dass es keine Pfade verwalten kann, die über mehr als 15 Hops hinausgehen. Als Route für ein bestimmtes Paket wählt RIP den Pfad in seiner Tabelle mit den wenigsten Hops aus. Routing-Updates schickt RIP periodisch an seine Nachbarn. Topologieänderungen wie ein Linkausfall brauchen länger, bis sie alle Router erreicht haben, weil RIP-Router nicht zum Linkcheck beziehungsweise zur Weitergabe dieser Informationen verpflichtet sind.

RIPv2, festgelegt im RFC 1723, stellt eine Weiterentwicklung von RIPv1 dar. RIPv2 unterstützt gegenüber der Version 1 auch VLSMs (Variable-Length-Subnet-Mask), verwendet Multicast statt Broadcast wie v1 und besitzt eine Authentifizierung: Text oder MD5. Sowohl RIPv1 als auch v2 kennen nur flache Netzwerke. Eine Gliederungsmöglichkeit fehlt. Außerdem gibt es noch Triggered-RIP. Hier versenden Router Routing-Informationen nicht periodisch per Broadcast, sondern nur, wenn eine Änderung stattfand (Triggered-Update).

OSPFv2, definiert in RFC 1247, ist ein so genanntes Link-State-Routing-Protokoll. Dabei besitzt jeder Router eine Abbildung des Netzwerkes, die er in einer Link-State-Database (OSPF-LSDB) ablegt. Anhand dieser Datenbank berechnet der Router mit dem Shortest-Path-First-Algorithmus (SPF) die Wege. Im Gegensatz zu RIP erlaubt OSPF ein hierarchisches Routing, wobei das Netz in unabhängige Bereiche aufgeteilt wird. Die Router tauschen nicht wie bei RIP Routing-Tabellen sondern Link-State-Updates aus. Außerdem konvergiert OSPF schneller beim Aktualisieren der Routing-Informationen. Allerdings ist OSPF komplexer und kommt nur in größeren Netzen zum Einsatz.

BGPv4 dient zum Routing zwischen autonomen Systemen. Es arbeitet bei den Pfaden wie RIP mit Vektoren. Eine Route beschreibt BGP also als eine Folge von AS-Nummern. EBPG (Exterior-BGP) steht für BGP-Routing zwischen zwei AS. BGP-Informationen können aber auch durch ein AS selbst laufen, was dann IBGP (Interior-BGP) heißt.

Heimat mit Mehrfachanschluss

Besitzt ein Unternehmen nur eine Verbindung zu einem ISP, dann ist es einem Netzwerkausfall bei diesem gnadenlos ausgeliefert. Um das zu vermeiden, gibt es die Möglichkeit, Anschlüsse bei mehreren ISPs zu mieten, Multi-Homing genannt.

Für die Kontrolle des Routings gibt es zwei Ansätze: Über BGP oder mittels DNS und NAT. Bei ersterem erhalten die Router des Unternehmens von den ISPs mittels BGP die Informationen. Bei DNS mit NAT sorgt ein passendes Gerät mittels NAT für die Verteilung auf die verschiedenen externen IP-Adressen. Umgekehrt erhalten Anwender, die von außen zugreifen, über einen DNS-Server des Unternehmens eine der externen IP-Adressen für den Zugriff.

Router-Ersatz bereithalten

Ein vorkonfigurierter Ersatz-Router im Schrank ersetzt im Schadensfall schnell das ausgefallene Gerät. Das Unternehmen besitzt aber für eine kurze Zeit keine Verbindung nach Außen. Ein zweiter Router, der als Stand-by-Gerät läuft, vermeidet dies. Um im laufenden Betrieb die dafür notwendigen Informationen zwischen Routern auszutauschen, kommt das VRRP (Virtual-Redundant-Router-Protocol) zum Einsatz. Die Hoheit darüber hat die IETF. VRRP arbeitet als reines Ebene-3-Protokoll und verwendet ein Master-Slave-Verfahren. Bei ARP-Anfragen (Adress-Resolution-Protocol) antwortet der Master mit einer virtuellen MAC-Adresse. Um Loops auf der Ebene 2 zu vermeiden, benötigt der Router etwa 802.1D, auch Spanning-Tree-Protocol (STP) genannt, beziehungsweise 802.1w, auch als Rapid-STP (RSTP) bekannt. Daneben haben auch Router-Hersteller ihre eigenen Redundanz-Protokolle implementiert wie Bintec mit BRRP (Bintec-Router-Rendundancy-Protocol), Cisco mit Hot-Standby-Routing-Protocol (HSRP), Extreme Networks mit ESRP (Extreme-Standby-Router-Protocol) oder Foundry mit Foundry-Standby-Routing-Protocol (FSRP).

Verlust unerwünscht

Um bestimmten Diensten die notwendige Priorität einzuräumen, bringen Router verschiedene Quality-of-Service-Mechanismen mit. Auf dem Layer-3, dort, wo Router arbeiten, existieren zwei Mechanismen: ToS (Type-of-Service) und Diffserv (Differentiated-Services). ToS beschreiben die RFC 791 und 1349. Es gibt hier ein ToS-Byte mit einem ToS-Feld (4 Bits), um unterschiedliche Prioritäten festzulegen. Diffserv verwendet auch das ToS-Byte, besitzt aber 6 Bits für unterschiedliche Prioritäten. Die QoS eines Routers wirken aber nur bis zum nächsten Hop.

Mehr als nur ein Router

Reinrassige Router finden sich normalerweise nur in höheren Preisregionen. Router für kleinere Installationen bringen dagegen jedoch verschiedenste Zusatzfunktionen mit. Dies können DHCP-, DNS-Server, eine Firewall, VPN-Server oder ein Access-Point sein.

Bei einem DHCP-Server kann es bei Lösungen im SoHo-Bereich (Small-Office-Home-Office) passieren, dass sich der DHCP-Server nicht abstellen lässt oder der Server eine feste, nicht änderbare IP-Adresse mitbringt.

Einen Schutz durch eine NAT-Funktion (Network-Adress-Translation) bringt eigentlich jeder Access-Router mit. NAT setzt die internen Adressen des LANs in öffentliche um. Dabei können nur Rechner im LAN Verbindungen nach außen aufbauen, nicht umgekehrt. Einfache Paket-Firewalls entscheiden anhand von Filtern, ob ein Paket passieren darf. Mittlerweile besitzen die meisten Multifunktions-Router auch eine Stateful-Inspection-Firewall. Hierbei merkt sich die Firewall den Zustand einer Verbindung und reagiert entsprechend. Wichtig ist jedoch, dass der Administrator eigene Regeln definieren und so die Firewall an seine Bedürfnisse anpassen kann. Viele Geräte bringen zudem einen einfachen Schutz gegen DoS-Angriffe (Denial-of-Service) mit.

Neben Firewalls stellen VPN-Server die zweite interessante Verbindung mit Routern dar. Je nachdem kann der Server VPNs auf Ebene 2 wie PPTP (Point-to-Point-Tunneling-Protocol) oder L2TP (Layer-2-Tunneling-Protocol), aus PPTP und L2F (Layer-2-Forwarding) entstanden, errichten. Auf der Ebene 3 hat sich IPsec als Standard etabliert, sowohl für LAN-zu-LAN-Kopplung als auch für Remote-Access. Daneben gibt es noch die Kombination L2TP/IPsec. Neben IPsec beginnt sich aber noch SSL als VPN-Technologie zu etablieren.

Normalerweise bringt der Router selbst keinen AAA-Server (Authentication, Authorisation, Accounting) mit. Aber er sollte eine Authentifzierungsanfrage an einen Radius-Server weiterleiten.

Gerade bei kleinen Access-Routern findet sich mittlerweile fast überall ein Access-Point für einen WLAN-Zugang. Für die Sicherheit sollte Access-Point mindestens WPA (Wifi-Protected-Access) beherrschen. Letzteres setzt sich aus der TKIP (Temporal-Key-Integrity-Protocol) für eine verbesserte Verschlüsselung und 802.1x als auf Ports basierende Authentifizierung zusammen.

Router zähmen

An Management-Interfaces stehen je nach Produkt unter anderem Telnet, SSH (Secure-Shell), HTTP oder HTTPS bereit. Der Router sollte jedoch mindestens eine verschlüsselte Zugangsmöglichkeit bieten. Weiter ist es gut, wenn der Administrator für das WAN-, LAN- und WLAN-Interface den Gebrauch einzelner oder aller Zugangsmöglichkeiten unterbinden kann. Manche Hersteller bringen eigene Management-Tools mit. Um den Router in eine Management-Lösung einbinden, gehört SNMP dazu. Allerdings sollte es aus Sicherheitsgründen die Version 3 sein, die mit Verschlüsselung und Authentifizierung arbeitet. Über eine serielle Schnittstelle kann der Administrator den Router konfigurieren, ohne ihn vorher ins Netz hängen zu müssen. [ wve ]