Einwahldienst im Griff

Seit 1994 bietet die Fachhochschule für Technik und Wirtschaft (FHTW) Berlin ihren Studenten und Mitarbeitern einen Einwahldienst in Inter- und Intranet. Für die Integration der Remote-Access-Router in die Netzwerkverwaltung entwickelte das Rechenzentrum ein spezifisches Managementmodul. Es steht kostenlos im Web bereit.

Von: Dr. Thomas Schmidt, Thorleif Wiik

In vielen Betrieben steigt der Anteil der mobilen Mitarbeiter, die per Remote-Access auf das Firmennetz zugreifen. Auch an Fachhochschulen und Universitäten wächst die Zahl der Studenten, die sich von zuhause ins Campus-Netz einwählen. Um diesem wachsenden Bedarf gerecht zu werden, setzt die FHTW Berlin Remote-Access-Router von Ascend als Zugangsknoten ein und verwaltet das Netz mit dem System "Spectrum" von Cabletron. Mit der Entwicklung eines Spectrum-Managementmoduls für diese Router konnte das Rechenzentrum bestimmte Aufgaben des Einwahlservice an der FHTW erfolgreich in das Netzwerk-management integrieren.

Ermöglicht eine Hochschule ihren Studenten einen unlimitierten Remote-Dial-in-Access in Intra- und Internet, so wird dieser Service schnell zum Kerngeschäft mit hohen Wachstumsraten. Die FHTW, eine junge Hochschule im Ostteil Berlins, be-gann 1994, ihren 7000 Studierenden und 600 Mitarbeitern zunächst ein Dutzend Modems zur Einwahl bereitzustellen. Zwischenzeitlich wurde der Einwahldienst auf über 100 ISDN-Leitungen ausgedehnt, von denen rund zwei Drittel ebenfalls per Modem erreicht werden können.

Mit ihren Ausbildungsschwerpunkten Technik, Wirtschaft und Gestaltung hat die auf fünf Standorte verteilte FHTW in den vergangenen Aufbaujahren mit einem Rechnerarbeitsplatz für 19 Studierende einen sehr hohen Grad der DV-Durchdringung erreicht [1]. Ihr Kernnetz, welches alle Standorte und den überwiegenden Teil der etwa dreißig Gebäude durchzieht, befindet sich gegenwärtig in der Migration von einem gerouteten FDDI-Netz hin zu einer ATM-Backbone-Lösung.

Remote-Access-Management

Ebenfalls ATM-basierend ist die 34-MBit/s-Anbindung der FHTW an das Berliner Forschungsnetz "Brain", mit Übergang in das Breitbandwissenschaftsnetz des DFN. Im äußeren Segment des Kernnetzes beherbergt die FHTW zwei mit digitalen Modemkarten (K56 Flex) bestückte Geräte der Firma Ascend, "Max 4000" und "Max 2000", welche redundant im Loadsharing-Betrieb den Service des Hauses absichern.

Als Internet-Access-Provider sieht sich die FHTW den klassischen Be-triebsproblemen des Dial-in ausgesetzt: Diese bestehen zunächst in einem grundlegenden Router-Management mit einer allgemeinen Betriebsüberwachung, Konfigurationen und gelegentlichen Firmware-Updates. Im Unterschied zu normalen Routern weisen Remote-Access-Geräte jedoch eine viel höhere Portdichte bei ständig wechselnder Belegung auf. Klassische Interface-Views sind in diesem Fall umständlich und von marginalem Interesse. Um unmittelbar entscheidungs- und handlungsfähig zu bleiben, benötigt der Netzwerkadministrator hier einen übersichtlichen Zugriff auf integrierte Größen, aus deren Verlauf er schnell und gezielt auf Fehlkonfigurationen oder Fehlfunktionen schließen kann. Da ein ständiges An- und Abmelden von Hosts - bei dynamischer oder statischer IP-Adreßvergabe - hinter dem Access-Router den Betriebsregelfall darstellt, möchte der Administrator von den typischen Alarmmeldungen hierüber verschont bleiben. Stattdessen interessieren ihn Informationen über Ausnahmezustände wie häufiger erfolgloser Verbindungsaufbau oder wiederholte Fehlschläge bei der Autorisierung.

Ressourcenmangement erfolgsbestimmend

Im Gegensatz zu konventionellen Netzwerkkoppelgeräten spielen nutzerseitige Autorisierungen und gegebenenfalls Accounting eine herausragende Rolle und müssen bereits in der ersten Managementebene Berücksichtigung finden: Gewählte Protokolle, Gerätekonfigurationen und Zugriffsberechtigungen sind nutzer-spezifisch; ohne die Betriebsbereitschaft von Radius-Autorisierungs- und gegebenenfalls Accounting-Servern bricht der Einwahldienst klaglos zusammen. Schließlich basiert jede Form des im Einwahlbereich hochsensiblen Security Managements auf persönlichen Nutzerdaten - an der FHTW sind dies Paßworte (Password Authentication Protocol) und simultan die Heimtelefonnummern (Calling Line Identification).

Überschreiten die Anfragen an den Access-Router die Anzahl der verfügbaren Ports, hat dies das unbeliebte Besetztzeichen für den Nutzer zur Folge, was bei kommerziellen Anbietern (ISPs) schnell zum Verlust der Kunden führt. Zeitabhängige Trendanalysen der Geräteauslastung sind deshalb ein vitaler Bestandteil des Gerätemanagements, sowohl im Hinblick auf proaktiv einzuleitende Geräteaufrüstungen wie auf die Gestaltung einer gegebenenfalls uhrzeitabhängigen Tarifierung. Frühzeitige Trendanalysen sind hierbei insbesondere deshalb wichtig, weil im Bereich der Telekommunikationsanbieter bei der Bereitstellung größerer Zugangskapazitäten oft längere Wartezeiten einzuplanen sind. Eine Vermehrung der Zugangskanäle bewirkt leicht, daß Anwender eine Verschlechterung der Datenübertragungsraten erleben müssen. Hier erweisen sich die häufig vernachlässigten LAN/Backbone-Kopplungen als Flaschenhals, oder die Systemdurchsätze der Access-Geräte fallen signifikant als Funktion der Portbelegung [2]. Um solcherlei unliebsame Erscheinungen auszuschließen, ist ein vorausschauendes Performance-Management unverzichtbar.

Die Vielfalt und Komplexität der beschriebenen Managementaufgaben legen den Einsatz von Werkzeugen nahe, die nicht nur akkurate Darstellungen numerischer Werte, sondern vielmehr übersichtliche und komprimiert visualisierte Darstellungen der relevanten Informationen bereitstellen. Telnet- und Konsolenanzeigen scheiden hier aus, so daß SNMP-basierten Systemen der Vorzug zu geben ist.

Zur Zeit erscheinen verschiedene Applikationen auf dem Markt, wobei sich alle noch mehr oder minder im Entwicklungsstadium befinden. Auch Ascend ist seit Mitte 1997 mit dem Programm "Net Clarity" (heute "Navis Access") als Managementplattform vertreten. Dessen Demoversion konnte allerdings den Anforderungen nicht genügen.

An der FHTW wird das verteilte Campusnetz mit Hilfe von Spectrum überwacht und gesteuert, das aufgrund seiner Mächtigkeit sowie seiner objektorientierten Architektur eine rasche, überwiegend befriedigende Realisierung der Aufgaben er-möglicht. Um dem Netzwerkadministrator ein Remote-Access-Management in vertrauter Arbeitsumgebung und im Kontext des übrigen Netzes zu ermöglichen, beschloß das Rechenzentrum, ein Applikationsmodul zu entwickeln und unter der Netzwerkmanagement-Plattform zu integrieren. Als Bestandteil von Spectrum erbt ein Managementmodul der Ascend Management Information Base (MIB) automatisch die vorhandene Modellierung der MIB-II-Daten, also insbesondere alle Standardmanagementfunktionen im Bridge/ Router-Umfeld sowie optional erhältliche Erweiterungen etwa im Frame-Relay-Management. Dem Administrator steht weiterhin der frei konfigurierbare Spectrum "Alarmmanager" zur Verfügung, in dem er parallel zu seinem restlichen Netzwerk hausspezifische Überwachungsanforderungen vereinbaren kann wie etwa

klassische Funktionsausfälle (Traps), Schwellwertüberschreitungen bei der Gerätebelegung, gehäufte Fehlerabbrüche von Modems ("suspekt"-Fälle), Überwachung von LAN/WAN-Schnittstellen und akkumulierte Verbindungsfehler einzelner Nutzer.

Grundlage für die Entwicklung des Management-Moduls war Spectrum 4.03 (Maintenance Supplement 1) auf der Ebene der Level-1-Toolkits vom Modell-Typ Generic SNMP. Unter Rückgriff auf die objektorientierte Struktur wird hierdurch nicht nur die nahtlose Integration in Spectrum, sondern auch die Verfügbarkeit aller derzeitigen und zukünftigen MIB-II-Ma-nagementfunktionen in Spectrum sichergestellt. Die Implementierung der routerspezifischen Funktionen orientiert sich streng an der für alle Ascend-Access-Router gültigen, funktionsorientiert gruppierten private MIB (Version 90903). Hierdurch wird einerseits eine Weiterentwicklung entlang der im Ausbau befindlichen MIB-Struktur erleichtert, andererseits gewährt das gewählte Vorgehen Anwendern der Ascend-Geräte einen natürlichen Zugang zu den Applikationen. Im einzelnen wurden folgende gerätespezifischen Funktionen im-plementiert:

Ascend App: System Configuration View, System Reset, TFTP Down- und Upload

Call App: Active Call List, Datarates, Utilization Overview

Event App: Last 1500 Event List, Detailview

LAN Modem App: Modemstatus + Utilization, Details

Session App: Active Session List, Session Details

Radius App: Authentification + Accounting

Gemeinsam mit allen Spectrum-seitig ererbten finden sich die private MIBs von Ascend im Applikationsview wieder. "Ascend App" bietet Zugriff auf zwei neue Informationsviews: die TFTP- Konfiguration (Trivial File Transfer Protocol) ermöglicht es, einen TFTP-Server zu konfigurieren und unter anderem die Operationen "save", "restore", "saveMib", "loadcode" anzustoßen; Configuration View zeigt die Konfigurationsdetails an und kann einen Systemneustart per Button Click erzwingen.

"Call App" enthält den "Called Utilization Overview", der neben der "High Water Mark" die zeitabhängige und kumulierte Nutzung der analogen Ein- und Auswahlen visualisiert, sowie eine Liste der aktiven Calls mit ihren Interface-Zuordnungen, Daten und Durchsatzraten. "Event App" gewährt Einsicht in die Liste der circa 1500 letzten Rufe und kann insbesondere zur Analyse von fehlerhaften Einwahlversuchen dienen. Durch Mausklick auf einen selektierten Eintrag erscheinen Detailinformationen des Rufes wie ausgetauschte Pakete, Service- und Verbindungseigenschaften sowie gegebenenfalls die Ursache des Verbindungsabbaus.

"Lan Modem App" erstellt eine zeitabhängige Übersicht über freie und belegte digitale Modemports sowie deren Fehlerzustände. Dahinterliegende Detailviews schlüsseln die Zustandsübersichten nach physischen Ports auf und zeigen weitere Hintergrundinformationen.

"Radius App" ermöglicht es, auf Statistiken der Radius-Autorisierungs- und Accountingserver zuzugreifen. "Session App" eröffnet die Übersicht über alle erfolgreichen, gegenwärtig aktiven Sessions. Nach Nutzernamen aufgeschlüsselt, werden die aktiven Protokollparameter dargestellt und ein administratorseitig erzwungenes Sitzungsende in einer nachgeordneten Detailsicht eingeblendet.

Diese Funktionen ermöglichen es, mit dem Ascend-Spectrum-Modul weitreichende Einblicke in die Aktivitäten eines Access-Routers zu erhalten und auch notwendige Eingriffe in den aktiven Betrieb vorzunehmen. Das Modul macht dabei von der Geräteneutralität der Ascend-MIBs Gebrauch: Um seinen Einsatz sowohl bei SOHO-Geräten wie bei dem Provider-Equipment Max TNT sinnvoll zu gestalten, wurde bei den im Spectrographen (Client von Spectrum) leider vielfach erforderlichen festen Skalen durchgängig der Wert 200 gewählt (Beispiel: 200 aktive Modemsessions im Gerät). Solcherlei Generalität dürfte vor allem im Providerumfeld von Interesse sein, wo es viele Geräte an unterschiedlichen Standorten, gegebenenfalls unter Einbeziehung des Cabletron "Enterprise Configuration Managers", zu beherrschen gilt.

Das Managementmodul ist frei verfügbar und kann von den Servern ftp.rz.fhtw-berlin.de/pub/spectrum/ fhtw-berlin und ftp.vanderbilt.edu/ pub/ spectrum heruntergeladen werden. (cep)

Literatur

[1] Hinzpeter, Werner: Unis am Netz, konr@d 1/98, S. 60 ff., Stern Verlag, Hamburg, 1998

[2] The Tolly Group: Remote Access Concentrator Performance and Scalability, Paper No. 7309, 1997, http://www.tolly.com

[3] Wiik, Thorleif: Management von Access-Routern auf der Basis von Cabletron Spectrum, Diplomarbeit FHTW Berlin 1998, http://www.rz.fhtw-berlin.de/twiik/diplom

Dr. Thomas Schmidt

ist Leiter des Rechenzentrums der FHTW Berlin.

Thorleif Wiik

ist Systemmanager bei Pixelpark Berlin und erwarb sein Diplom am Rechenzentrum der FHTW Berlin mit einer Arbeit zum Netzwerkmanagement von Access-Routern.