Praxistest - GUI (Teil 1 - Grundlagen)
Wie vergangene Tests der DrayTek Geräte zeigten liegt die Stärke der Produkte jedoch oft weniger in der CLI sondern in der sehr intuitiven GUI der Geräte. Auch im Falle des VigorSwitch des 2540-Serie wird eine Web-GUI über HTTP oder HTTPS erreichbar gemacht. Gerade HTTPS auf Port 443 stellt hierbei einen Sicherheitsgewinn dar (so können beispielsweise Passwörter beim Login nicht einfach anhand des HTTP-Traffic im Klartext mitgeschnitten werden) und konnte im Falle des kleineren VigorSwitch G1080 Modell noch nicht genutzt werden.
Nach dem Login mit den Standardzugangsdaten in Form von Nutzername admin und Passwort admin wird man von der Oberfläche zuerst aufgefordert das Kennwort zu ändern. Diese Aufforderung ist jedoch keine "harte" Aufforderung und kann ignoriert werden - dies ist zwar für den ein oder anderen (faulen) Nutzer recht komfortabel. Aus Sicht der IT-Sicherheit sollte dies jedoch eher zu einem Zwang werden, der den Nutzer initial dazu bewegt das Passwort zu ändern und so schon auf niedrigen Level die Sicherheit des Netzwerkes etwas erhöht.
Im Anschluss an den Passwort-Dialog erhält man Zugang zum Dashboard der GUI. Dieses stellt anhand einer Grafik übersichtlich die aktuelle Nutzung des Gerätes dar und zeigt anhand diverser Grafen die derzeitige CPU, Speicher, Cache und PoE Auslastung dar. Da dieses Bild zu Beginn des Tests aufgenommen wurde, waren zu diesem Zeitpunkt noch keine PoE-Geräte verbunden und folglich lag die Auslastung bei 0%.
Am linken Rand der GUI findet man diverse Menüs und deren Untermenüs, die eine umfangreiche, aber komfortable Konfiguration des Gerätes erlauben. Wie von DrayTek erwartet, lassen sich hier wirklich alle Funktionen des Switches finden und konfigurieren: Hier sollten sich größere Hersteller wie beispielsweise Cisco definitiv eine Scheibe abschneiden, so konnten wir im Alltag bereits diverse Cisco Switch-GUIs testen und immer stolperte man hier und da über Punkte, die sich letztlich doch nur über die CLI konfigurieren ließen.
Im Menü Status bietet DrayTek einen umfangreichen Einblick in die Arbeit des Switches. Neben der Portauslastung (aufgeschlüsselt in TX [Senden] und RX [Empfangen]), lassen sich Statistiken zu Link Layer Discovery Protocol (LLDP), GARP VLAN registration protocol (GRVP), Multicast Listener Discovery (MLD) snooping oder auch Temperatur- und Spannungskurven einsehen. Gerade letzteres kann sinnvoll sein, da nicht jeder Telehouse-Provider das gebuchte Klimamodell liefert und Geräte dann durchaus wärmer arbeiten als sie eigentlich sollten.
Im Reiter Switch LAN lassen sich die grundlegenden Einstellungen im Hinblick auf die Schnittstellen des Gerätes festlegen. So lässt sich beispielsweise die Management-IP und somit auch die Zugangsmöglichkeit an ein bestimmtes VLAN koppeln. Diese Funktion ist dringend nötig, da das Gerät abgesehen vom Consolen-Port über keine dedizierten Management-Schnittstellen verfügt.
Im Untermenü DHCP Server lässt sich der Switch als DHCP nutzen, um IP-Adressen im Netzwerk zu vergeben - dies kann Sinn machen, wenn beispielsweise ein VLAN ohne externe Anbindung (beispielsweise an einen Router) geplant ist und folglich kein anderes Netzelement diese Funktionalität bereitstellen kann. Im Allgemeinen wird der DHCP-Server auf dem Switch vermutlich jedoch eher selten zum Einsatz kommen.
Eines der wichtigsten Menüs für einen Netzwerkswitch verbirgt sich unter Port Setting - hier lassen sich die einzelnen Schnittstellen konfigurieren. Neben den obligatorischen Einstellungen wie Aktivieren/Deaktivieren einer Schnittstelle oder der Portgeschwindigkeit (sofern das Auto-Setting nicht funktioniert), lässt sich hier auch Flow Control aktivieren oder deaktivieren. Praktisch bei diesem Menü ist, dass die Einstellungen für jeden Port einzeln getroffen werden können, jedoch auch eine Einstellung über Portbereiche möglich ist.
Unter Mirror lassen sich bis zu vier Sessions anlegen. Hierbei erlaubt DrayTek die Spiegelung von mehreren Quellports auf einen Zielport wobei zwischen RX und TX unterschiedenen werden kann - so könnte man beispielsweise nur den ausgehenden Traffic der GE1 Schnittstelle auf die Schnittstelle GE2 spiegeln. Hierbei ist zu beachten, dass die Bandbreite der gespiegelten Ports nicht die Bandbreite des Zielports übersteigen sollte, da es sonst zu Paketverlusten kommen wird. Spiegelt man beispielsweise eine voll ausgelastete 10G Schnittstelle auf einen 1G Port, so werden mindesten 9 Gigabit an Daten verworfen und man erhält nicht das volle Bild auf dem Zielport. Gleiches gilt, wenn multiple 1G Interface auf einen einzelnen Port gespiegelt werden.
Unter Link Aggregation kann ein Port-Bonding mittels statischer Link Aggregation (LAG) oder dynamisch mittels Link Aggregation Control Protocol (LACP) aktiviert werden. Im Falle von LAG kann dabei unter anderem der Load-Balance Algorithmus eingestellt werden. In Summe lassen sich so bis zu acht LAG bilden, für LACP konnten wir auf der GUI und im Datenblatt kein Limit erkennen.
Im Untermenü VLAN Management und den darunterliegenden Ebenen lassen sich bis zu 256 VLAN anlegen und den verschiedenen Ports zuweisen. Während die Erstellung im Reiter Create Vlan recht intuitiv ist, benötigt die Übersicht unter Interface Settings etwas Einarbeitung. So hatten wir erwartet das, wenn ein Interface als "Trunk" konfiguriert ist und als PVID das VLAN 1 hat, das dennoch simpel alle anderen Tagged-VLAN auf dem Interface angenommen würden (Dieses Verhalten ist beispielsweise bei Cisco der Fall wenn ein Interface als Trunk ohne switchport trunk allowed vlan konfiguriert wurde). Im Falle des DrayTek Switches müssen jedoch explizit alle VLAN angegeben werden, die auf dem Interface erlaubt sind damit der Port wirklich als Trunk arbeitet. Dies wird jedoch bei genauen Lesen des Handbuchs deutlich:
- Hybrid – Support all functions as defined in IEEE 802.1Q specification.
- Access – Accept only untagged frames and join an untagged VLAN.
- Trunk - An untagged member of one VLAN at most, and is a tagged member of zero or more VLANs.
- Tunnel - Support all functions as defined in IEEE 802.1Q tunneling specification.
Die Bezeichnung "of zero or more VLANs" im Falle des Trunks dürfte hier die entscheidende Aussage sein.
In den Untermenüs Voice VLAN und Surveillance VLAN lassen sich spezielle VLAN definieren, die dann entsprechend mit Class of Service (CoS) Klassen verknüpft werden können. Weiterhin lassen sich OUI-MAC Adressen gängiger Hersteller festlegen, mit denen der Switch an den angeschlossenen Ports VoIP-Telefone oder entsprechende Überwachungskameras erkennen kann. Auch nützlich ist die Funktion der MAC VLAN, bei denen man ein Gerät - unabhängig vom physikalischen Port, an dem es angeschlossen ist - statisch einem VLAN zuweisen kann. Hat man beispielsweise in einem Büro verschiedenen Notebooks angeschlossen, die nicht immer am gleichen Arbeitsplatz und somit Netzwerkport verbleiben, kann so dennoch eine Zuordnung des Geräts zu einem bestimmten VLAN erreicht werden.
Im Menü EEE lässt sich die Funktion des Energy Efficient Ethernet konfigurieren - in unserem Netzwerk haben wir jedoch offenbar keine Endgeräte, die diese Funktion nutzen konnten, so wurden die Ports nach Aktivierung von EEE schlicht im 100Mbit Modus festgesetzt. Erst ein Deaktivieren von EEE aktivierte die normale Gigabit-Geschwindigkeit. In der Theorie ist EEE jedoch eine sehr sinnvolle Funktion und ermöglicht es - sofern die angeschlossenen Geräte dies unterstützen - entsprechend Strom zu sparen. Im Standard wurde diese Funktion jedoch seitens DrayTek auf allen Ports deaktiviert, was vermutlich damit zusammenhängt das man Support-Anfragen durch Kunden vorbeugen möchte. Demnach muss der Nutzer diese Funktion explizit aktivieren und dürfte sich dann nicht über potentiell langsame Verbindungen wundern.
Unter Multicast lassen sich wichtige Funktionen im Hinblick auf IGMP Snooping, MLD Snooping und das Multicast VLAN Registration (MVR) konfigurieren. Im normalen Einsatz dürften hier insbesondere die Einstellungen zum IGMP Snooping relevant sein, da dies beispielsweise bei der Nutzung von Entertain der Telekom (zumindest in der jüngeren Vergangenheit) nötig war. DrayTek bietet hier ein recht umfangreiches Einstellungsmenü, bei dem man wissen wollte, was man tut - die einfachste Einstellung dürfte hier vermutlich noch die Aktivierung/Deaktivierung von IGMP Snooping und das Einstellen der IGMP Snooping Version sein.
Mit Jumbo Frame lässt sich die Jumbo Frame-Funktionalität des Switches konfigurieren. DrayTek erlaubt hier einen Einstellungsbereich von 1526 bis zu 10000 Bytes. Hierbei sei anzumerken, dass mit dieser Einstellung offenbar nicht die MTU (Maximum Transmission Unit) des Ethernetframes konfiguriert wird (diese liegt normalerweise bei 1500 Byte) sondern die maximale Framegröße des Ethernet-Pakets in Summe (MTU + Ethernetheader = 1526 Bytes). Gerade bei 10G Verbindungen macht die Nutzung von Jumbo-Frames oftmals Sinn um die maximale Datenübertragungsrate erreichen zu können.
Im Menü STP lässt sich das Spanning Tree Protokoll konfigurieren. Dieses Protokoll ist insbesondere im Falle von größeren Netzwerken mit mehreren Switchen und Verbindungen dringend nötig, um einen sauberen Verbindungsbau zwischen den Switchen realisieren zu können. So möchte man oftmals verschiedene Links zwischen verschiedenen Switchen als Fallback haben, um so beispielsweise den Ausfall eines Links kompensieren zu können. STP und der "Nachfolger" in Form von RSTP erlauben die automatische Erkennung von Schleifen und Verbindungswegen und baut somit einen sauberen "Spannbaum" im Netzwerk auf, der Redundanzen automatisch erkennt und diese redundanten Strecken automatisch deaktiviert, solange sie nicht benötigt werden. Fällt eine Strecke aus (und somit auch die Antwort des anderen Switches) wird automatisch der Spannbaum erneut gebildet und - sofern vorhanden - der Zweitweg aktiviert. Das STP-Protokoll und deren Derivate gehören heute zur Grundausstattung eines jeden besseren Switches - einzig bei günstigen unmanaged Switchen könnte das Protokoll fehlen, was dann auch zu entsprechenden Schleifen im Netzwerk führen könnte.
Sehr praktisch zum Debuggen des Switches ist das Anzeigen der MAC Adressen Tabelle im Reiter MAC Address Table - so sieht der Administrator recht schnell an welchem Port welche MAC zu finden ist und könnte auch ein statisches Mapping einzelner Geräte vornehmen. Letzteres stellt sicher, dass Pakete mit der gewählten MAC-Adresse immer an einen bestimmten Zielport gesendet werden, auch wenn der Switch auf diesem Port länger nichts von diesem Gerät empfangen hat.
Auf der nächsten Seite werden wir die weiteren Funktionen des Switches vorstellen und genauer testen. Einen eigenen Überblick über die Funktionen kann jedoch auf die Live-Demo des P2540x vermitteln unter der bestimmte Dinge, die hier beschrieben sind, schnell und einfach nachvollziehbar sind. Auch hier können sich andere Hersteller bei DrayTek einiges abschauen: So vermittelt die Live-Demo doch vor dem Kauf schon einen Überblick aller Funktionen und zeigt den Aufbau der Menüs. Bei anderen Herstellern ist man hier im besten Fall auf Bilder des Herstellers angewiesen im schlimmsten Fall findet man solche Informationen irgendwo in einem PDF-Dokument vergraben.