Auf der Liste der grössten IT-Ärgernisse nimmt das verstopfte Netzwerk einen Spitzenplatz ein. Wichtige Anwendungen sind nur langsam oder gar nicht erreichbar, während der Arbeitskollege nebenan dem Webradio lauscht. Ein alltägliches Problem, mit dem auch die DCT International Hotel & Business Management School in Vitznau konfrontiert ist. Die Verantwortlichen haben jedoch einen ressourcenschonenden Ansatz gefunden, der sowohl die schulische als auch die private IT-Nutzung der Studenten und Lehrkräfte erlaubt.

Bereits beim Lesen der nicht ganz alltägliche Aufforderung auf der Webseite der DCT, die alle Studenten dazu ermuntert, einen Laptop-Computer mitzubringen, wird die Problematik schnell klar. Doch was bei vielen IT-Verantwortlichen die Alarmglocken schrillen lässt, gehört für Lukas Ritzel, ITC-Manager an der DCT, zu den Selbstverständlichkeiten des Schullebens: «Unsere Studenten kommen aus aller Welt. Sie werden einmal die Elite ihres Landes im Hotel- und Touristikbereich. Den verantwortungsvollen Umgang mit der IT zu lernen und weiterzugeben, gehört bei uns zur Grundausbildung. Da können und wollen wir nicht mit generellen Verboten arbeiten.» Also keine Angst vor unkontrolliertem Internet-Surfen und Massen-Downloads von Film- oder Musiktausch-Börsen? «Das darf natürlich nicht ausarten», sagt Ritzel. «Unsere Aufgabe ist es, diese Dinge mit der gebotenen Sicherheit zu ermöglichen, ohne dass der Betrieb der unterrichtsrelevanten Systeme beeinträchtigt wird».

Genau diese Gefahr bestand an der DCT. Trotz leistungsstarker Verkabelung mit einer 4 MBit/s schnellen Standleitung nahm die Netzauslastung durch die IT-Aktivitäten der 150 Studenten Ausmasse an, die den reibungslosen Zugriff auf die schuleigenen Anwendungen nicht mehr gewährleisteten. Das lag laut Ritzel zum einen an speziellen Web-Anwendungen. Ein Real Player zum Musikhören etwa lädt Daten mit viel höherer Geschwindigkeit, als zum Betrieb nötig wäre, und das frisst dementsprechend Bandbreite. Zudem sind auf den Rechnern immer mehrere Programme gleichzeitig offen, etwa Instant Messaging-Protokolle wie MSN, Yahoo und ICQ. «Zum anderen müssen die Studenten aber auch Schulungsunterlagen oder Sicherheits-Updates wie Windows Service Packs herunterladen, und die sind heute ebenfalls sehr gross», so Ritzel über die Ursache der Engpässe in seiner Datenbahn.

Zur Behebung des Problems verdoppelte die DCT zunächst die Bandbreitenkapazität um eine weitere 4-Mbit/s-Standleitung. Die Variante schaffte allerdings mehr neue Herausforderungen, als sie alte meistern half. Schwierigkeiten gab es etwa beim Zusammenspiel von Leitung und Modem, das nach dem Abschalten nicht wieder hochfuhr. Auch der Zugewinn an Netto-Bandbreite entsprach nicht den Erwartungen. Über 6 Mbit/s gingen die Werte nicht hinaus; die Gesamtressourcen der beiden Leitungen wurden also nicht annähernd ausgeschöpft.

Nachdem der Weg zu mehr Grundkapazität in eine Sackgasse geführt hatte, gingen die Überlegungen in eine andere Richtung. Gesucht wurde eine Lösung, um die ursprüngliche Bandbreite flexibel ausnutzen und zuteilen zu können. Zunächst dachte Ritzel daran, die Steuerung auf die Firewall-Ebene zu verlegen. Dort fehlte es jedoch an Lösungen mit entsprechender Funktionalität.

Mehr durch Zufall stiessen die Vitznauer auf Allot Communications, Herstellerin einer Lösung für das Bandbreitenmanagement namens Netenforcer. Als Schweizer IT-Partner stand der DCT das Zufikoner Systemhaus E-Systems zur Seite, unterstützt durch die mittlerweile auch in der Schweiz niedergelassene Distributorin Esesix Computer. «Im Gegensatz zum Traffic Management im Sinne verteilter Netzlast geht der Allot-Ansatz weiter», erklärt Dominik Hunziker, Geschäftsführer von E-Systems und Esesix Schweiz. Demnach verknüpft Allot die Qualität einer Anfrage - Gilt sie einer unternehmenskritischen Anwendung oder nicht? - mit der Ressourcenfrage. «Anders ausgedrückt: Was wichtig ist, soll auch viel Platz im Netzwerk erhalten, und zwar dann, wenn es nötig ist», so Hunziker.

Kernfunktion der Allot-Lösung ist die Definition so genannter Virtual Channels (VCs). Darin werden Anwendungen für die Ausführung priorisiert, indem sie entsprechend hohe Durchsatzraten sowie «privilegierte» Nutzer zugewiesen bekommen. Als geringwertiger bestimmte Zugriffe müssen dann warten. Sofern keine priorisierten Anfragen vorliegen, stehen die Kapazitäten anderen Anwendungen zur Verfügung. Wichtig ist auch die detaillierte Analyse des Datenverkehrs bis auf Anwendungsebene (Layer 7 im OSI-Schichtenmodell). «Viele Studenten sind sehr aktiv in Peer-to-Peer-Tauschbörsen, was wir ja nicht unterbinden wollen. Diese Datenbewegungen sind wesentlich schwerer zu identifizieren, da sie nicht über feste TCP-Ports transportiert werden, sondern zwischen Ports herumspringen», erklärt Ritzel. «Die herkömmliche Prüfung auf Layer-2- bis Layer-4-Ebene greift da nicht mehr. Der Blick auf die Anwendungsschicht identifiziert die Applikationen dagegen eindeutig als Kazaa, Bit Torrent, Gnutella und Konsorten», sagt er. Das Prinzip bewährt sich auch bei Protokollen, die zum ersten Mal auftauchen. Diese liessen sich mit -minimaler Bandbreite verknüpfen, bis
man herausgefunden habe, worum es sich -handle, so Ritzel weiter.

Ein besonderes Plus für die IT-Abteilung der DCT war die unmittelbare Einsatzfähigkeit der Allot-Lösung. «In der Standardkonfiguration dauerte das Aufsetzen nur Minuten», erinnert sich Ritzel. Die Lösung wird dabei als eigenständige Komponente in das Netzwerk gehängt. Der Administrator kann die Softwareoberfläche von der Ferne aus konfigurieren. Und fällt die Komponente einmal aus, hat das für den Netzverkehr keine Folgen. Der Datenverkehr wird dann transparent durch das Gerät geleitet.

In einem Probelauf wurden innerhalb von Minuten drei PCs mit besonderem Bandbreitenverbrauch ausgemacht und entsprechend beschränkt. «Wir lagen plötzlich im Schnitt unter 50 Prozent Netzwerk-auslastung. Und trotzdem steht jede Anwendung in angemessenem Rahmen zur Verfügung», resümiert Ritzel. «Mit zwei Stunden Aufwand hat die Allot-Lösung die Probleme eines ganzen Jahres gelöst. Dabei nutzen wir höchstens 40 Prozent des Funktions-umfangs überhaupt aus» sagt er.