Hochtaunuskreis, Carrier Class Switching, Teil 1 /2
 
 
Hochtaunuskreis, Carrier Class Switching, Teil 2 /2
 
 
 

Modulares Betriebssystem ExtremeXOS™ unterstützt
Hochverfügbarkeit, Security und Universal Port
 
Eingeführt 2003 auf dem (Carrier-) Switch BlackDiamond 10808, ist das modulare ExtremeXOS™ Betriebssystem heute auf allen Ebenen einer Netzwerk-Infrastruktur verfügbar:  im Core (BlackDiamond 12k, 10k, 8800er Serie), im Smart Core- / Gigabit Aggregation-/Distributions-Bereich (BD8800 & X450er Serie) sowie im Edge (Summit X450, X250e und X150er Serie).
 
ExtremeXOS™ ist das erste Switch-Betriebssystem für Enterprise Switches, welches nicht monolithisch sondern modular aufgebaut ist und somit gänzlich flexibel auf Störungen reagieren kann. Das System verfügt über ein breites Featurespektrum (vgl. Abb. 9 und 10), welches nachfolgend näher beschrieben wird. Ein detailliertes White Paper ist hier erhältlich.
 
Hochverfügbarkeit
ExtremeXOS™ (EXOS) unterstützt die  Hochverfügbarkeit des Netzes im Landratsamt Bad Homburg durch mehrere Eigenschaften, u.a. mit der Möglichkeit eines separaten Reboots von Diensten innerhalb des EXOS sowie durch einen Hitless Failover-Mechanismus.
 
Partielles Rebooten von Diensten
Das modulare Design von ExtremeXOS™ ermöglicht u.a. ein dynamisches Prozess-Management, Multithreating und Memory-Protection. Es erlaubt das separate Rebooten von Diensten, beispielsweise von Netlogin, EAPS, BGP oder OSPF. Dabei wird jeder Prozess in Echtzeit kontrolliert. Die Möglichkeit von partiellen Reboots bzw. der automatische Restart einzelner Prozesse unterstützt dabei eine höhere Verfügbarkeit des Systems.´
 
Hitless Failover
Innerhalb der BlackDiamond-Systeme sowie in den X250/X450er Stacks unterstützt Hitless Failover sehr schnelle Umschaltzeiten bei Ausfall des Masters. Dies wird durch gezielte Synchronisation der Master-Unit mit dem Backup Node erzielt. Innerhalb der Synchronisation werden beispielsweise Statusinforma-tionen zu Netlogin, PoE, ESRP oder LACP (Link Aggregation Control Protocol) ausgetauscht. Somit müssen diese Informationen bei Ausfall des Masters nicht neu gelernt werden.
 
Security-Features
Das ExtremeXOS™ Betriebssystem unterstützt neben der Hochverfügbarkeit u.a. auch nützliche Security-Features, welche im Folgenden kurz skizziert werden. Im Vordergrund stehen hierbei Funktionen für Network Login, Access Lists (ACLs), Denial of Service-Schutz (DoS), IP- und MAC-Adress Protection, sowie Protocol Anomaly Detection.
 
Network Login
ExtremeXOS™ ermöglicht eine Authorisierung der User per Network Login. Unterstützt werden drei Varianten zur Zugangskontrolle: 
 
• 802.1x Agent-based Login
• Web-based Login
• MAC-based Login

 
Durch Verwendung dieser Verfahren wird sichergestellt, dass nur authorisierte Teilnehmer und Geräte Zugang in das Netzwerk erhalten. Alle drei Varianten sind hierbei auf einem Port kombinierbar und können simultan konfiguriert werden. 
 
„Multiple Supplikant“-Unterstützung
Das System ist zudem „Multiple Supplicant“-fähig, d.h. es werden pro Port einzelne Teilnehmer (Benutzer / Endgeräte) authentifiziert und nicht der komplette Port. So wird insbesondere verhindert, dass der komplette Datenverkehr durchgeleitet wird, nachdem (lediglich) der erste Teilnehmer am Port erfolgreich authentifiziert wurde.
 

Access Lists (ACLs)
Pro VLAN, Port oder Portgruppe können Access Lists (ACLs) zur Filterung des Datenverkehrs verwendet werden. Basierend auf Layer2/3/4-Informationen ist eine Blockierung unerwünschter Dateninhalte möglich. So können beispielsweise MAC- (Layer2) oder IP- Adressen (Layer3) bzw. Dienste wie Telnet oder FTP (Layer4) gefiltert werden. Darüber hinaus sind ACLs zum Umschreiben (Remapping) der Priorität (IEEE802.1p und DSCP DiffServ Code Point) sowie für Policy based Routing verfügbar.
 
Automatischer Schutz
vor Denial of Service (DoS) Attacken
Die EXOS-basierten Switches sind in der Lage, sich automatisch vor DoS-Attacken zu schützen. Sie erkennen Anomalien beispielsweise in Form von einer ungewöhnlich hohen Anzahl von Paketen in der Input-Queue, erstellen automatisch diesbezüglich ACLs und stoppen den Zugang dieser Pakete zur CPU. Nach einer gewissen Zeitdauer werden diese ACLs automatisch wieder aufgehoben und notfalls wieder reaktiviert, sollte die Attacke andauern. Flankiert wird der DoS-Schutz durch ASIC-basiertes Longest Prefix Match Routing (LPM).
 
IP- und  MAC-Adress Protection
EXOS hat verschiedene Verfahren implementiert, um Attacken mittels gefälschter IP- oder MAC-Adressen zu erschweren. So kann durch das MAC Adress Security-Feature die Anzahl der am Port zugelassenen Teilnehmer begrenzt oder statisch vorgegeben werden. Letzteres ermöglicht eine genaue Zuordnung der erlaubten Teilnehmer am Port. Trusted DHCP verhindert  den Betrieb nicht zugelassener (rogue) DHCP Server. Zudem behindern mehrere integrierte Features die missbräuchliche Nutzung von IP-Adressen durch nicht authorisierte Stationen (ARP-Validation, Source IP Lockdown, Gratuitous-ARP-Protection sowie Abschaltung des ARP-Learning-Mechanismus).   
 
Protocol Anomaly Detection
Die EXOS-Switches der a- und e-Serie erkennen bestimmte  Kombinationen im IP- und TCP-Header, welche nicht Bestandteil einer normalen Daten-Kommunikation sind (z.B. illegale TCP Flag-Kombinationen, hervorgerufen durch Netzwerkscanner). Alle durch den Switch erkennbaren Anomalien können im Switch-ASIC in Wirespeed gefiltert werden. 
 

Universal Port
ExtremeXOS™ bietet darüber hinaus das Universal Port-Featureset. Universal Port ermöglicht eine User-spezifische Konfiguration der Switch-Ports. Hierbei verwendet Universal Port dynamische Profile, die bei bestimmten Ereignissen (sogenannte Trigger) auf Switch-Ports zum Einsatz kommen. Universal Port ist ein Software-basiertes Feature. Zielsetzung ist die automatische Konfiguration des Netzzugangs, abhängig vom angeschlossenen Endgerät bzw. der Tageszeit (Provisioning).
 
Trigger
Aktuell sind folgende Trigger bzw. auslösende Ereignisse in ExtremeXOS™ implementiert:
 
•  Geräteerkennung  mittels LLDP, z.B. für VoIP-Telefone: angeschlossen / nicht angeschlossen (detect / undetect)

•  An/Abmeldung von Endgeräten mittels Netlogin ( z.B. 802.1x oder MAC-based)

•  Zeitgesteuerte Auslöser
 
Dynamische Profile
Das Universal Port Featureset bietet dynamische Profile, welche folgende Portparameter beinhalten können: VLAN, QoS, ACL, PoE und IP-Security (z.B. DoS-Protect). Die Dynamik korreliert hierbei mit dem Inhalt der Profile, welche Variablen enthalten können. Die notwendigen Universal Port-Profile (ASCII / Textdatei) stehen im Switch FLASH-Speicher und somit lokal zur Verfügung.
 
Verwaltungs-/ Erstellungshilfe
Die Extreme Networks Management-Software EPICenter™ stellt einen Universal Port Manager zur Verfügung und ermöglicht eine einfache Administration dieses Featuresets. Eine Management-Station ist für die Anwendung der Profile nicht notwendig.
 
 
Sicheres Management
Zur sicheren Administration der Switches stehen mittels SSH, SCP, HTTPS und SNMPv3 mehrere sichere Kommunikationskanäle zur Verfügung. Als unverschlüsselte Varianten können Telnet, TFTP, HTTP und SNMPv1/2 verwendet werden.
 
Out-of-Band Management & WebGUI
Alle EXOS-basierten Switches verfügen zudem über einen Ethernet Management-Port für ein sicheres Out-of-Band Management sowie über ein WebGUI-based Device-Management (ScreenPlay).
 
Hardware-based sFlow
sFlow ermöglicht ein kontinuierliches Monitoring von Application Level Datenverkehr, gleichzeitig auf allen Ports. sFlow ist auf den ExtremeXOS™-Geräten der aktuellen Generation hardware-basierend integriert und unterstützt (mittels sFlow-Collector = Management-Programm) eine Überwachung des Netzwerks im Hinblick auf Anomalien. Des Weiteren liefert sFlow Daten zur Netzoptimierung, z.B. zu Kommunkations-Beziehungen und zur Protokollverteilung.