Mitteilungen Light Fever! - DFNZuschlagsvergabe an den künftigen DFN-Ausrüster ECI Telecom im Mai...
Transcript of Mitteilungen Light Fever! - DFNZuschlagsvergabe an den künftigen DFN-Ausrüster ECI Telecom im Mai...
Deutsches Forschungsnetz Mitteilungen Ausgabe 83 | November 2012
www.dfn.de
Mitteilungen
Wherever You Go
500.000 Eduroam-Access-Points in Europa
Light Fever!Eine neue DWDM-Plattform für das X-WiN
Crossing the Equator
a new high-speed link connects African radio astronomers to Europe
Impressum
Herausgeber: Verein zur Förderung
eines Deutschen Forschungsnetzes e. V.
DFN-Verein
Alexanderplatz 1, 10178 Berlin
Tel.: 030 - 88 42 99 - 0
Fax: 030 - 88 42 99 - 70
Mail: [email protected]
Web: www.dfn.de
ISSN 0177-6894
Redaktion: Kai Hoelzner (kh)
Fotos: Torsten Kersting
Gestaltung: Labor3 | www.labor3.com
Druck: Rüss, Potsdam
© DFN-Verein 11/2012
Fotonachweis:
Titel © BeTa-Artworks - Fotolia.com
Seite 6/7 © Donatella Tandelli - Fotolia.com
Seite 24/25 © Dr. Michael Gaylard
Data-intensive science, as currently represented by the Large Hadron Collider (LHC), depends on
the smooth movement of vast amounts of data to a worldwide collaboration. Other, next genera-
tion science facilities will come on-line in the next 2-7 years and each of these will generate data
volumes comparable to the LHC that must be moved around the world: The Square Kilometer Ar-
ray (SKA) radio telescope, the Large Synoptic Survey Telescope (LSST), the Belle II physics experi-
ment at the Japanese high energy accelerator KEK, the global array of genome sequencers, com-
munity analysis of climate simulation data, the international fusion energy experiment ITER, etc.
This traffic is not at all typical of general Research & Education (R&E) network traffic, and must
be managed separately in order to ensure that both the science and the general network use will
perform as needed.
This situation has generated an unprecedented level of cooperation among the R&E networks
of the world.
New network infrastructure, such as the LHCONE science overlay network that supports the LHC
Tier 2 traffic, results from close cooperation and resource sharing among many R&E networks
around the world. Next generation technologies such as 100 Gb/s transport, switching, and rou-
ting equipment have been discussed among the R&E networks, tested, and deployed.
Multi-domain services are critical for supporting global collaboration, and require close coope-
ration of the R&E networks. One successful example of this is the end-to-end, guaranteed virtual
circuits prototype jointly developed by ESnet and Internet2 (US), CANARIE (Canada), and GÉANT
and the NRENs. Version 2 of this service is now being developed in the Open Grid Forum and the
Global Lambda Integrated Facility (GLIF) as the Network Service Interface (NSI).
GÉANT and it‘s GÉANT Expert Group GEG have displayed an exceptional level of recognition of the
importance of cross-domain services of all sorts, and the embrace of these, and their implemen-
tation progress, lead to an „excellent“ rating at the recent EC project review.
Driven in no small part by the importance that our societies place on understanding the univer-
se - from the cosmological to the quantum scale - and how it all relates to human life, has lead to
global scientific collaborations which both requires, and has gotten, new levels of cooperation
in R&E networking community.
Data-Intensive Science and R&E
Network Cooperation
William E. Johnston
Senior Scientist, Energy
Sciences Network (ESnet)
Lawrence Berkeley National
Laboratory, Berkeley,
California, USA
4 | DFN Mitteilungen Ausgabe 83 | November 2012
13 14
2
6
2
10
15
4
8
12
3
7
11
1
9
5
Unsere Autoren dieser Ausgabe im Überblick
1 Kai Hoelzner, DFN-Verein ([email protected]); 2 Ralf Paffrath, DFN-Verein
([email protected]); 3 Dr. Holger Beck, Gesellschaft für Wissenschaftliche
Datenverarbeitung mbH Göttingen, GWDG ([email protected]);
4 Dr. Ralf Gröper, DFN-Verein ([email protected]); 5 Bettina Kauth,
DFN-Verein ([email protected]); 6 Bruno Hoeft, Karlsruher Institut für Technologie
([email protected]); 7 Paul Müller, TU Kaiserslauten
([email protected]); 8 Heike Ausserfeld, DFN-Verein ([email protected]);
9 Julian Fischer, Forschungsstelle Recht im DFN ([email protected]);
10 Kevin Kuta, Forschungsstelle Recht im DFN ([email protected]); 11 (o. Abb.) Reimer
Karlsen-Masur, DFN-CERT Services GmbH ([email protected]).
5DFN Mitteilungen Ausgabe 83 |
Wissenschaftsnetz
Light Fever
Eine neue DWDM-Plattform für das X-WiN
von Kai Hoelzner ................ .............................................. 8
Wherever You Go – 500.000 Eduroam-Access-Points
in Europa
von Ralf Paffrath und Kai Hoelzner ................................ 12
Doppelpunkt! Das künftige Internet-Protokoll
verstehen
von Dr. Holger Beck ........................................................ 14
Kurzmeldungen ............................................................. 21
Campus
Uhrenvergleich – Synchronisation von Atomuhren
über das Glasfasernetz .................................................. 22
International
Museo Intercontinental – Live-Kollaboration von
MuseumspädagogInnen in Europa und Südamerika
über das Wissenschaftsnetz
von Kai Hoelzner ........................................................ ..... 26
eduPKI – Supporting Trust Requirements in Europe’s
Research Networks
von Reimer Karlsen-Masur und Dr. Ralf Gröper ............. 28
Europa und der Orient
von Bettina Kauth ...................................................... ..... 31
Eine Autobahn in 5 Minuten
von Bruno Hoeft ...................................................... ..... . 32
Future Internet
von Paul Müller ........................................................ ..... . 37
Global Research & Education Network Leaders
identify and work on top-challenges .................... ..... . 40
Crossing the Equator – New high-speed link connects
African radio astronomers to Europe ................... ..... . 41
Sicherheit
Sicherheit aktuell
von Heike Ausserfeld, Dr. Ralf Gröper,
Ralf Paffrath .................................................................... 43
Recht
Es bleibt alles anders!
von Julian Fischer ..................... ...................................... 44
Rapidshare vs. Rechteinhaber –
Ende einer unendlichen Geschichte?
von Kevin Kuta ................................................................ 47
DFN-Verein
Übersicht über die Mitgliedseinrichtungen
und Organe des DFN-Vereins ......................................... 51
Inhalt
6 | DFN Mitteilungen Ausgabe 83 | November 2012 | WISSENSCHAFTSNETZ
7WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 83 |
WissenschaftsnetzLight Fever
Eine neue DWDM-Plattform für das X-WiN
von Kai Hoelzner
Wherever You Go
500.000 Eduroam-Access-Points in Europa
von Ralf Paffrath, Kai Hoelzner
Doppelpunkt! Das künftige Internet-Protokoll
verstehen
von Dr. Holger Beck
Kurzmeldungen
8 | DFN Mitteilungen Ausgabe 83 | November 2012 | WISSENSCHAFTSNETZ
Foto: © Tips Images
Light Fever – Eine neue DWDM-Plattform für das X-WiNMehr als 100 Standorte im Wissenschaftsnetz werden seit Sommer auf eine neue optische
Plattform migriert. Dabei wird die gesamte DWDM-Infrastruktur des Wissenschaftsnetzes
ausgetauscht – ein Wechsel, der neben gewaltigen Kapazitätssteigerungen auch einen enor-
men Zuwachs an Flexibilität und ein wesentlich komfortableres Management der unter der
IP-Ebene liegenden Schichten des Netzes mit sich bringt. Kern der Migrationsstrategie ist
ein Verbund parallel zu den zentralen Verbindungen des Wissenschaftsnetzes verlaufender
Faser-Verbindungen, der für die knapp dreimonatige Migrationszeit etabliert wurde. Anfang
2013 sollen sämtliche Teilstrecken des X-WiN in die neue optische Plattform integriert sein.
Text: Kai Hoelzner (DFN-Verein)
9WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 83 |
Bei laufendem Betrieb
Keine Minute Ausfall der Internetverbindungen im X-WiN – so
lautet die Maxime aller Planungen, wenn es um die derzeit durch-
geführte Migration der optischen Plattform des Wissenschafts-
netzes geht. Und das ist kein leichtes Unterfangen angesichts
der Tatsache, dass keiner der neuen optischen Transmitter mit
den bisher genutzten DWDM-Geräten kompatibel ist. Und so be-
darf es also einiger Tricks und sehr viel Planung, um das Netz un-
terbrechungsfrei umzurüsten. Bildlich gesprochen gilt es, ein
komplettes Schienennetz auf eine neue Spurbreite upzugraden,
während der Zugverkehr ungehindert weiterrollt.
Voraussetzung für eine solche Migration ist, dass Teile des X-WiN
während des drei Monate dauernden Zeitraums der Migration
mit parallel bereitgestellten Glasfasern ausgestattet werden. Der
Kern dieser Parallelinstallation erstreckt sich zwischen Berlin,
Dresden, Erlangen, Frankfurt, Bonn, dem Ruhrgebiet und Hanno-
ver (siehe Abb. 1). Ausgehend von diesen parallel bereitgestell-
ten Fasern werden die einzelnen Spangen des Kernnetzes suk-
zessive mit neuen optischen Komponenten ausgerüstet, so dass
das X-WiN Ring für Ring um das parallele Fasersystem herum auf
die neue Plattform migriert werden kann. Überall dort, wo das
neue DWDM-System bereits installiert ist, laufen alte und neue
Technik parallel, bis am Ende der Migration der alte, nun red-
undant gewordene Optik-Backbone abgeschaltet werden kann.
Spange für Spange wird das Netz umgerüstet
Die Strategie der spangenweisen Umstellung ist unumgänglich,
weil es zum einen logistisch und technisch unmöglich wäre, sämt-
liche Kernnetzstandorte des X-WiN bei Weiterlaufen des alten
Systems mit neuer Technologie auszustatten, um dann am „Tag
X“ den Schalter umzulegen und das gesamte Netz in einem Mo-
ment auf die neue DWDM-Plattform umzuleiten. Zum anderen
lässt sich das X-WiN auch nicht Hop für Hop migrieren, in dem
Sinne, dass Strecke für Strecke einzelne Kernnetzstrecken zwi-
schen zwei Routern umgestellt werden, bis man bei den Migra-
tionsarbeiten irgendwann wieder dort ankommt, wo man mit
der ersten Streckenerneuerung begonnen hat.
Dass die Migration nur spangenweise erfolgen kann, liegt da-
ran, dass eine Vielzahl von Verbindungen auf optischer Ebene
durchgeschaltet werden. Dies betrifft sowohl die VPN einzelner
Anwender wie die logische Vermaschung der Standorte inner-
halb des X-WiN. So werden etwa die Strecken des SuperCore, al-
so dem inneren Gerüst des X-WiN, das sich zwischen Hannover,
Berlin, Erlangen und Frankfurt erstreckt, über mehrere Knoten
hinweg optisch geschaltet. Weil der Datenstrom an den einzel-
nen auf der Strecke liegenden Router-Stationen nicht auf die
Router-Ebene hochgereicht wird und der Transport auf der opti-
schen Ebene nur sortenrein vonstatten gehen kann, muss hier
also die gesamte Strecke in einem Zuge umgeschaltet werden.
Immer in zwei Schritten...
Die Umrüstung bei laufendem Betrieb des Netzes und die koor-
dinierte Inbetriebnahme ganzer Spangen in einem kurzen Zeit-
fenster muss im Detail sehr präzise geplant werden und sollte
in der Praxis absolut reibungslos ablaufen. Vor allem bedarf es
eines hohen Maßes an zeitlicher Synchronisation der einzelnen
Gewerke. Bis zu 13 Teams sind während der Migration der ein-
zelnen Stränge des Netzes gleichzeitig unterwegs, um entlang
der Faserverbindungen des X-WiN Kernnetzstandorte und Ver-
teilerstationen umzurüsten.
Die Migration der einzelnen Standorte findet dabei immer in zwei
Schritten statt. Im ersten Schritt wird die gesamte Hardware der
DWDM-Systeme montiert und verkabelt, im zweiten, der in der
Regel eine Woche nach der Installation erfolgt, wird der neue
Standort gemeinsam mit einer Reihe ebenfalls bereits umge-
rüsteter Standorte entlang einer Spange in Betrieb genommen.
Entlang eines solchen Pfades müssen dabei an allen Standorten
sprichwörtlich in einer Sekunde die Schalter umgelegt werden.
Dennoch bleiben die einzelnen Kernnetzstandorte nach vollen-
deter Installation der neuen DWDM-Technik für den Rest der Mi-
grationszeit an zwei optische Plattformen des Kernnetzes ange-
schlossen. Die Gesamthochschule Kassel etwa, die bereits rela-
tiv früh in der parallelen Faserinstallation mit „neuer“ Konnek-
tivität versorgt wird, bleibt bis Ende 2012 weiterhin auch über
die „alte“ optische Plattform erreichbar, über die benachbarte
Standorte wie die Universität Paderborn angeschlossen sind.
Die einzelnen Spangen können, wie etwa im Testgebiet in Ham-
burg, nur einige Kilometer lang sein, oder sie erstrecken sich über
hunderte von Kilometern und etliche Kernnetzknoten und Ver-
stärker-Standorte, wie auf der Strecke zwischen Garching und
Karlsruhe. Allen Spangen gemein jedoch ist, dass sie mit der pa-
rallelen Faserstruktur im Kernnetz verbunden werden, wodurch
sukzessive das alte Netz durch das neue ersetzt wird.
Planung ist das halbe Kernnetz
Damit dieser Ablauf reibungslos klappt, wurde unmittelbar nach
Zuschlagsvergabe an den künftigen DFN-Ausrüster ECI Telecom
im Mai 2012 damit begonnen, die ersten Vorbereitungen für die
Migration zu treffen. Sämtliche Schränke wurden an den Stand-
orten angeliefert, so dass sofort bei Eintreffen der ersten DWDM-
Systeme mit der Installation begonnen werden konnte. Anders
als bei den bisher verwendeten DWDM-Systemen hat sich der
DFN-Verein entschlossen, DWDM-Geräte und Schränke separat
10 | DFN Mitteilungen Ausgabe 83 | November 2012 | WISSENSCHAFTSNETZ
1
2
3
4
5
5
6
6
6
7
Glasfaser-Patchfeld für VPNs und X-WiN Kernnetz (hier noch unverkabelt)
Patchfelder für Remote-Management der Schränke oder für Kupfer-Verbindungen
Redundant abgesicherte Strom-versorgung mit Gleichspannungs-netzteilen:
Obere Reihe Standard-Stom
Untere Reihe Unterbrechungs-freie Stromversorgung
Gehäuse zur Aufnahme von passiven Modulen wie bspw. optischen Splittern
Fibre-Spooler und Cable Guidesfür die saubere Führung von Glasfaserkabeln
DWDM-Multiplexer Apollo OPT 9624
1
2
3
4
5
6
7
zu beschaffen, so dass zur restlichen Installation der Kernnetz-
knoten passende Schränke für die Unterbringung der Multiple-
xer-Anlagen installiert werden konnten. Motiviert war diese Ent-
scheidung durch den Wunsch, Zugriffe auf die Anlagen zukünf-
tig besser überwachen zu können.
Nachdem Ende August 2012 die ersten parallelen Glasfasern be-
reitgestellt wurden, konnte Mitte September mit der Implemen-
tierung der ECI-Technik an den ersten drei Standorten in Ham-
burg begonnen werden. Der DFN-Verein hat dabei bewusst eine
sehr kurze Spange mit nur drei Standorten gewählt, da auf der
Grundlage dieser Erst-Installation die Anleitungen für eine stan-
dardisierte Installation an allen übrigen Standorten erstellt wer-
den konnten. Am 27. September konnte schließlich „First Light“
vermeldet werden: Die erste Verbindung des X-WiN, die über die
neue DWDM-Technik realisiert wurde, war funktionstüchtig!
Erstmal aufräumen!
Insgesamt 54 Kernnetzknoten, 12 VPN-Knoten des Deutschen
Wetterdienstes und 45 Verstärker-Standorte werden bis Ende
November 2012 umgerüstet sein. Eine besondere Herausforde-
rung besteht unter anderem darin, dass früher oder später an
allen Standorten sowohl die bisherige DWDM-Technologie von
Huawei als auch die neuen ECI-Geräte betriebsbereit sein müs-
sen. Bei dem nicht immer üppigen Platzangebot in den einzel-
nen Standorten war also bereits vor Beginn der Ausschreibung
im Herbst des vergangenen Jahres ein gründliches Aufräumen an-
gesagt. Vorhandene Schränke mussten versetzt, teilweise nicht
mehr genutzte Schränke und Geräte entsorgt oder von ihren Lie-
feranten oder Providern abgeholt werden. Insgesamt galt es, die
architektonische Gesamtsituation kritisch auf die Frage hin zu
prüfen, ob das Migrationskonzept des DFN-Vereins durchführ-
bar ist. Gegenüber einem Austausch von Routern, bei dem un-
ter Umständen nur ein neues Chassis in einen schon vorhande-
nen Schrank eingeschoben werden muss, gestaltet sich der Aus-
tausch optischer Multiplexer um einiges komplizierter. Nicht nur
Schrankmaße, sondern auch die Anforderungen an die Stromver-
sorgung sind von Hersteller zu Hersteller unterschiedlich. Bei
der Migration der X-WiN-Optik kam hinzu, dass der DFN-Verein
die Schränke zur Aufnahme der DWDM-Technik bewusst separat
beschafft hat und künftig auch selbst managen wird. Dadurch
kann nicht nur der Zugang zu den Anlagen besser kontrolliert
werden als bisher, sondern der DFN-Verein gewinnt zusätzlich
die Hoheit über die Stromversorgung sämtlicher Geräte, was in
vielerlei Hinsicht sinnvoll ist. Zum einen kann so das Aufstel-
len mehrerer Netzteile vermieden werden, da bereits bei der Be-
schaffung auf mögliche künftige Anforderungen an die Strom-
versorgung Rücksicht genommen werden kann. Auch kann der
DFN-Verein flexibler bei eventuell notwendig werdender Orga-
nisation von Ersatzstrom agieren. Ein eigenes Schrankmanage-
ment durchzuführen bedeutet aber auch, umfassende Kontrol-
le über elektronische Türschlösser und die zu vergebenden Zu-
gangs-Codes auszuüben. Vor allem aber – und dies erweist sich
insbesondere während der laufenden Migrationsarbeiten als im-
mer wieder notwendig – ist das geschickte Ausnutzen von Platz-
vorgaben vor Ort an vielen Standorten ein dringendes Gebot.
Nach Abbau alter, nicht mehr benötigter Technik und der Instal-
lation der neuen Schränke wurden zunächst die Patchfelder für
die Multiplexer sowie die Verkabelung in den Räumen vorberei-
tet, um später während der eigentlichen Migrationsphase wert-
volle Zeit bei den Installationsarbeiten zu sparen. Schlussendlich
müssen alle Installationsarbeiten akribisch dokumentiert wer-
den, um bei Austausch oder Erweiterung von Komponenten und
sonstigen Eingriffen in das DWDM-System nachvollziehbare Un-
terlagen für Planung und Durchführung bereitstellen zu können.
Ausbau der Faserplattform
Parallel zur Migration der optischen Plattform hat der DFN-Ver-
ein die Faserplattform weiter ausgebaut, wodurch bisherige Car-
rier-Verbindungen durch geschlossene Faserringe ersetzt wer-
den konnten. Dies betrifft die Anbindung des Standortes Saar-
brücken, der bislang nur durch eine Faser an Kaiserslautern an-
gebunden war, die mit einer redundanten Carrier-Verbindung
nach Frankfurt/Main abgesichert werden musste. Künftig wird
Abb. 1 Blick in einen Kernnetzknoten
11WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 83 |
hier eine Faser von Saarbrücken nach Bonn einen Ring schlie-
ßen, der die notwendige Ausfallsicherheit garantiert. Der Stand-
ort Zeuthen wurde in die Verbindung zwischen TU Berlin und
Frankfurt/Oder integriert. Von Frankfurt/Oder führt künftig ei-
ne Faserstrecke über Greifswald nach Rostock.
Im Ergebnis dieser Ausbauarbeiten sind Carrier-Verbindungen
im Kernnetz des X-WiN im kommenden Jahr nur noch sehr ver-
einzelt anzutreffen. Der Standort Kiel, der per Faser mit Ham-
burg verbunden ist, bleibt auch im kommenden Jahr mit einer
redundanten Carrier-Verbindung nach Rostock abgesichert. Der
Standort Augsburg konnte als einziger Kernnetzstandort bislang
nicht per Faser versorgt werden und ist mit zwei Carrier-Verbin-
dungen nach Erlangen und Garching in das Kernnetz des X-WiN
integriert. Trotz eines Faserringes, der vom Karlsruher KIT über
Kaiserslautern und Saarbrücken nach Bonn läuft, bleibt die re-
dundante Carrier-Verbindung von Kaiserslautern nach Frankfurt/
Main vorerst bestehen, da die beiden Fasertrassen, die nach Kai-
serslautern führen, aufgrund der dortigen geografischen Ver-
hältnisse räumlich gesehen auf einigen Kilometern zwischen
Kaiserslautern und Landstuhl im gleichen Schacht verlaufen.
Mehr Bandbreite!? Mehr Flexibilität!
Die Potenziale der Leistungssteigerung, die im X-WiN mit der
neuen optischen Plattform zur Verfügung stehen, sind beein-
druckend. Bei 88 möglichen Wellenlängen pro Faser und Über-
tragungsraten von bis zu 100 Gbit/s je Wellenlänge liegt die Ka-
pazitätsobergrenze einer einzelnen Faser bei 8.800 Gbit/s. Über
die Übertragungsrate hinaus aber hat die neue optische Platt-
form von ECI weiteres Potenzial, mit dem der Betrieb und die
Weiterentwicklung des X-WiN unterstützt werden. In weit um-
fänglicherem Maß als bisher ermöglichen die Multiplexer, Be-
triebs- und Überwachungsaufgaben selbst wahrzunehmen. Der
DFN-Verein kann also seine Betriebsstrategie in den kommenden
Jahren flexibler gestalten und bei Bedarf schneller an die Anfor-
derungen seiner Anwender anpassen. So wird es für künftige Ver-
bindungen möglich sein, aus der Ferne optische Pfade zu schal-
ten, um etwa zu stark ausgelastete Kernnetzstrecken zu entlas-
ten oder Wellenlängen für VPNs zu realisieren. Bisher musste
dafür an den Standorten manuell konfiguriert und gemessen
werden, was meist mehrere Wochen ab Beauftragung dauerte.
Aber nicht nur das Remote-Management der neuen optischen
Plattform ist deutlich moderner als das bisherige System. Gegen-
über den bisher eingesetzten Geräten sind die ECI-Multiplexer
auch deutlich kleiner und in Relation zu ihrer Leistungsfähig-
keit wenig energiehungrig. Größter Vorteil ist aber der modula-
re Aufbau der Geräte. So stehen an den Verstärker-Standorten
zwar kleinere Chassis, die in diesen Chassis verbauten Module
sind aber vollständig kompatibel zu den Chassis an den Kern-
netzknoten. Das alles ist für den DFN-Verein als Kunden sehr
transparent und ermöglicht daher bessere Abstimmung, Kont-
rolle der Dienstleister und nicht zuletzt auch eine bessere Pla-
nung und Durchführung künftiger Erweiterungen oder Kapazi-
tätssteigerungen des Netzes. M
BON
ZEU
LEI
KEH
KIE
SAA
STB
GAR
ERL
BAY
FZJ
AAC BIR
POT
TUB
FZK
BRE
HAN
BRA MAGBIE
FRA
HEI
STU
REG
DRE
CHE
ZIB
ILM
JEN
ESF
HUB
ADH
AWI
BAS
KAI
HAMDES
DKR ROS
KAS
PAD
GIEMAR
GOE
DORWUP
FHM
AUG
EWE
ENS
WUE
GRE
DUI
MUE
FFO
BOC
GSI
SLU
Wellenlänge Glasfaserpaar
Parallel bereit-gestellte Faser
neues Glasfaser-paar (Q IV/12)
BON
ZEU
LEI
KEH
KIE
SAA
STB
GAR
ERL
BAY
FZJ
AAC BIR
POT
TUB
FZK
BRE
HAN
BRA MAGBIE
FRA
HEI
STU
REG
DRE
CHE
ZIB
ILM
JEN
ESF
HUB
ADH
AWI
BAS
KAI
HAMDES
DKR ROS
KAS
PAD
GIEMAR
GOE
DORWUP
FHM
AUG
EWE
ENS
WUE
GRE
DUI
MUE
FFO
BOC
GSI
SLU
Wellenlänge Glasfaserpaar
Parallel bereit-gestellte Faser
neues Glasfaser-paar (Q IV/12)
Abb. 2: Während der Migration auf die neue Optische
Plattform werden Teile des X-WiN über einen parallel zu
den bislang genutzten Fasern etablierten zweiten Back-
bone verknüpft, der bereits mit den neuen optischen
Komponenten beleuchtet wird. „Spange für Spange“ wer-
den dann die „alten“ Strecken auf die neue Technik um-
gerüstet.
12 | DFN Mitteilungen Ausgabe 83 | November 2012 | WISSENSCHAFTSNETZ
Wherever You Go – 500.000Eduroam-Access-Points in Europa
Text: Ralf Paffrath (DFN-Verein), Kai Hoelzner (DFN-Verein)
Vorbei die Zeit, da DFNRoaming nur von einer kleinen Zahl Reisender und zudem tech-
nisch versierter Wissenschaftler genutzt wurde. Mehr als eine halbe Million Endgeräte
waren im vergangenen Jahr mit DFNRoaming bzw. eduroam im Wissenschaftsnetz
unterwegs. Vom Erstsemester bis zum Professor nutzt etwa jeder Sechste den mobile-
IP-Dienst des DFN-Vereins. Höchste Zeit, mit Roaming-Maps und Tools für eine auto-
matisierte Konfiguration von Laptops und Smartphones etwas für die Usability zu tun.
Nachdem bereits seit Anfang des Jahres die eduroam-App verfügbar ist, geht nun der
eduroam-Konfigurationsassistent an den Start.
thentifiziert, wobei zu berücksichtigen ist,
dass der eine oder andere Nutzer sich nicht
nur mit einem Laptop, sondern zusätzlich
auch mit seinem Smartphone oder einem
Tablet-PC einloggt, so dass die Zahl nur be-
dingt Aufschluss über die absolute Nut-
Jeder Sechste nutzt DFNRoaming
Der Startschuss für den Dienst DFNRoa-
ming/eduroam fiel am 01.01.2004 . Seitdem
entwickelte sich eduroam von einem „zar-
ten Pflänzchen zu einem kräftigen Baum“.
Mittlerweile ist der Dienst aus dem Alltag
vieler Studierender und Wissenschaftler
nicht mehr wegzudenken. Im Versorgungs-
gebiet des Deutschen Forschungsnetzes
nehmen heute 255 Einrichtungen am DFN-
Roaming teil, die an mehr als 400 Standor-
ten fast 50.000 Access Points zur Verfügung
stellen. Monat für Monat authentifizieren
sich hier 380.000 Roaming-Nutzer, nach wie
vor mit stark steigender Tendenz: Im Jahr
2012 war ein Nutzerzuwachs von fast 50
Prozent zu verzeichnen. Bemerkenswert
sind dabei auch die Zahlen internationa-
ler Roaming-Aktivitäten. Allein 12 Prozent
der Nutzer kommen aus ausländischen Wis-
senschaftsinstitutionen, und ebenfalls 12
Prozent der Nutzer „roamen“ von Deutsch-
land aus ins Ausland.
Insgesamt haben sich im vergangenen Jahr
über 560.000 verschiedene Endgeräte au-
zerzahl des Dienstes gibt. Dennoch: Mehr
als eine halbe Million Endgeräte deuten
angesichts der knapp 2,4 Millionen Studie-
renden und etwa 600.000 MitarbeiterInnen
an Hochschulen auf eine enorme Verbrei-
tung des Dienstes. Trotz massiv gestiege-
Einen schnellen Überblick über vorhandene eduroam-Zugänge bietet seit kurzem die eduroam-App.
13WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 83 |
Der DFN-Verein hat sich im vergangenen
Jahr intensiv bemüht, die Peripherie des
Dienstes mit sinnvollen Add-Ons wie der
„eduroam Map“ auszustatten, mit der sich
Nutzer über die in der Nähe befindlichen
Access-Points informieren können. Vor al-
lem aber galt es, ein geeignetes Tool zu
entwickeln, mit dem die Rechenzentren in
Fragen der Endnutzer-Betreuung effektiv
entlastet werden und mit dem sich die Er-
folgsquote beim Konfigurieren für jeden
Studierenden erhöhen lässt.
Konfiguration OnTheFly
Mittels eines Konfigurations-Assistenten
wird Nutzern künftig ein weitgehend auto-
matisiertes Konfigurieren ihres Rechners
oder Smartphones möglich sein. Das Kon-
figTool funktioniert nach dem Prinzip, dass
Rechenzentren die Konfigurationsdaten
ihrer Einrichtung in einer Datenbank beim
DFN-Verein hinterlegen und im weiteren
Verlauf auch selbst verwalten. Endnut-
zer können über ein Web-Frontend oder
über die Nutzung eines QR-Codes die für
ihr Betriebssystem passende Konfigura-
tionsdatei herunterladen. Dabei wird ein
Programm generiert, das entweder auto-
matisch ausgeführt oder als ausführbare
Datei durch einen simplen Doppelklick ge-
startet wird.
Anschließend werden die Nutzer durch ein
interaktives Installationsmenü geführt, in
dem sie, sofern die Einrichtung nicht an der
DFN-PKI teilnimmt, ihre individuelle Ken-
nung und ihr Passwort für DFNRoaming/
eduroam eingeben können. Diese Login-
Daten werden den Studierenden in vielen
Einrichtungen heute bereits bei der Imma-
trikulation bereitgestellt.
Für die Studierenden und Mitarbeiter der
Hochschulen ist die Nutzung des Konfigu-
rationstools in der Regel mit dem Scan-
nen eines QR-Codes oder einem Doppel-
klick bewerkstelligt. Doch auch für die Re-
chenzentren ist das Einpflegen der Daten
kaum komplizierter als die Konfiguration
eines einzelnen Gerätes. Pro Betriebssys-
tem müssen Daten, die dann unter Um-
ständen von hunderten von Windows-
Systemen übernommen werden, nur ein
einziges Mal über eine Web-Schnittstelle
eingegeben werden. Unterstützt werden
dabei derzeit die Systeme Windows ab XP
SP3 aufwärts, MacOS X 10.7 sowie die gän-
gigen Linux-Systeme. In Vorbereitung be-
findet sich die Unterstützung von Andro-
id-Smartphones und weiterer Generatio-
nen von Windows bzw. Mac OS X.
Weiterhin kann das Rechenzentrum auf
der Konfigurations-Web-Seite Help-Desk-
Angaben und besondere Hinweise hinter-
legen, etwa, wenn keine DFN-PKI genutzt
wird und darum für das Management der
Zertifikate ein alternatives Verfahren an-
geboten wird.
Der Pilotbetrieb für den eduroam Konfi-
gurationsassistenten läuft seit November
und ist offen für jede Einrichtung, die In-
teresse am DFNRoaming/eduroam hat. M
ner Nutzerzahlen deutet der Nutzungszu-
wachs von 50 Prozent allein im vergange-
nen Jahr nicht darauf hin, dass ein Ende der
Fahnenstange bislang in Aussicht stünde.
eduroam-App und One-Klick-Konfiguration
So erfreulich die absoluten Zuwachszah-
len bei DFNRoaming/eduroam für die vie-
len engagierten Mitarbeiter in den Rechen-
zentren sind, die den Dienst an ihren Hoch-
schulen zur Verfügung stellen, so bringen
sie auch neue Aufgaben mit sich. Längst
kann nicht mehr davon ausgegangen wer-
den, dass hauptsächlich technisch versier-
te Studierende, denen die Konfiguration
ihrer Rechner und Smartphones leicht von
der Hand geht, roamen. Nicht vergessen
werden darf auch, dass die meisten Stu-
dierenden erst seit sehr kurzer Zeit über
einen Laptop oder ein Smartphone verfü-
gen und bei Konfigurationsvorgängen kei-
nesfalls über die Erfahrung eines Informa-
tikers verfügen.
Der Konfigurationsassistent ist ein Tool zum Einrichten von eduroam. Rechenzentren können in weni-
gen Schritten Installer für die verschiedenen Betriebssysteme ihrer Endnutzer erstellen. Diese können
bei Bedarf als QR-Code heruntergeladen werden.
14 | DFN Mitteilungen Ausgabe 83 | November 2012 | WISSENSCHAFTSNETZ
Text: Dr. Holger Beck (Gesellschaft für Wissenschaftliche Datenverarbeitung mbH Göttingen, GWDG)
Doppelpunkt! Das künftige Internet-Protokoll verstehenImmer mehr Hochschulen arbeiten heute an der Einführung von IPv6 in ihren Einrichtungen und
betreiben immer größer werdende Rechner-Pools als IPv6-Inseln. Auch die gängigen Betriebssyste-
me für PCs werden inzwischen IPv6-fähig ausgeliefert. Vorreiter-Dienste wie Google oder heise.de
werden so von vielen Nutzern längst unwissentlich über IPv6 angesprochen. Höchste Zeit also,
sich Schreibweise und Struktur des neuen Adressraums genauer anzuschauen und mit den neuen
Adressen Freundschaft zu schließen.
Foto: © manun / photocase.com
15WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 83 |
(momentane) IPv6-Adresse des Computers
des Autors lautet 2001:0638:060f:1000:bd6
e:fd3d:0ccb:de5b.
Die Adresse des Servers enthält sehr vie-
le Nullen, einige davon sind ‚führende‘, al-
so vorangestellte Nullen in den einzelnen
Adressteilen (warum die Adresse des Ar-
beitsplatzrechners kaum Nullen enthält,
wird sich später zeigen, wenn die Struktur
der Adressen erläutert wird). Für Adressen
mit vielen Nullen haben sich die IPv6-Ent-
wickler zwei Vereinfachungen ausgedacht:
• Führende Nullen in den 16 Adress-
teilen können weggelassen werden.
Damit vereinfacht sich die Adres-
se von ftp5 zu 2001:638:60f:110:0:0:1:1
• Mehrere Adressteile, deren Wert 0 ist,
können zusammengefasst werden,
indem man den ganzen Bereich weg-
lässt und nur noch :: schreibt, für ftp5
also 2001:638:60f:110::1:1. So sieht die
Adresse dann schon etwas übersicht-
licher aus.
Die Zusammenfassung mit :: kann man al-
lerdings in einer Adresse immer nur ein-
mal machen. Andernfalls wäre die Schreib-
weise der Adresse nicht mehr eindeutig.
Welche Folge von Nullen man ersetzt, ist
dem Schreiber freigestellt. Meist wird man
sinnvollerweise die längste Folge ersetzen.
Wer die beiden Adressen des Servers und
des Arbeitsplatzrechners aufmerksam ver-
glichen hat, dem wird vielleicht aufgefal-
len sein, dass die ersten drei Adressteile
gleich sind (jeweils 2001:638:60f). Wer da-
rin wieder eine Art Vorwahl vermutet, hat
richtig mitgedacht.
Adressstrukturen – Identifizie-rung und Lokalisierung
Tatsächlich hat eine IPv6-Adresse wie schon
die IPv4-Adresse eine hierarchische Struk-
tur analog zu Telefonnummern, von de-
nen wir ja auch die Gliederung in Landes-
vorwahl, Ortsvorwahl, Telefonanlage und
Zunächst einmal definitiv nicht einfach
als Dezimalzahl mit 39 Stellen. Schon bei
IPv4 hatte man eine spezielle Strukturie-
rung gewählt, nämlich die Aufteilung in 4
Bytes, von denen jedes einzelne dezimal
geschrieben wird. Jedes Byte kann einen
Wert zwischen 0 und 255 haben. Zwischen
zwei Bytes schreibt man dabei jeweils ei-
nen Punkt. Die IPv4-Adresse des WWW-
Servers der GWDG wird also nicht dezimal
als 2.253.130.287, sondern in vier Bytes ge-
trennt als 134.76.10.47 geschrieben. Diese
„Dotted Decimal Notation“ vereinfacht den
Umgang mit den Adressen erheblich, wenn
man bedenkt, dass 134.76. so etwas wie
die „Vorwahl“ für das Göttinger Netz GÖ-
NET, die 10 die „Nebenstelle“ für des Netz
der Server der GWDG und nur die 47 al-
so die „Durchwahl“ des Servers ist. Wenn
man in dieser Analogie mit der Telefonie
bleibt, ist z. B. die „Durchwahl“ des Mail-
servers die 26, die Adresse also vollstän-
dig 134.76.10.26.
Würde man bei IPv6 wieder eine „Dotted
Dezimal Notation“ verwenden, bestän-
de die Adresse aus 16 Bytes. Die IPv6-Ad-
resse von ftp5.gwdg.de würde sich dann
32.1.6.56.6.15.1.16.0.0.0.0.0.1.0.1 schreiben.
Die IPv6-Entwickler haben sich aber nicht
für eine solche Schreibweise entschieden.
Vielmehr hat man sich entschlossen, die
Adresse nicht in 16 Teilen zu je 8 Bit oder ei-
nem Byte zu schreiben, sondern in 8 Teilen
zu je 16 Bit oder 2 Byte. Als Trennzeichen
werden statt einfachen Punkten Doppel-
punkte verwendet. Jeder Teil der Adresse
wird zudem nicht als Dezimal-, sondern
als Hexadezimalzahl geschrieben. Letzte-
res ist für den Durchschnittsbürger eher
ungewöhnlich. Computer mögen dage-
gen eher Zahlen, deren Basis eine Zwei-
erpotenz ist. Aber wie später noch gezeigt
wird, ist die Idee, Hexadezimalzahlen zu
verwenden, nicht nur ein verrückter Ein-
fall von Nerds, die es Normalsterblichen
mal zeigen wollen.
Die IPv6-Adresse des Servers ftp5.gwdg.de
schreibt sich in dieser Darstellungsweise
2001:0638:060f:0110:0000:0000:0001:0001, die
Mehr Adressen – lange Adressen
Der Hauptgrund für die Einführung von
IPv6 ist die Knappheit der IPv4-Adressen.
Man benötigt mehr Adressen, als IPv4 mit
32 Bit bzw. 4 Byte langen Adressen bereit-
stellen kann. Damit sind maximal 232, al-
so 4.294.967.296 (ca. 4 Milliarden) Adressen
möglich. Das ist noch nicht einmal eine
für jeden Menschen auf dieser Erde und
leider benötigen die modernen Rechner-,
Pad- und Smartphone-Besitzer gleich meh-
rere für ihre vielen Geräte.
IPv6 verwendet 128 Bit bzw. 16 Byte lange
Adressen. Der Adressraum enthält also 2128
Adressen oder in Gänze ausgeschrieben
340.282.366.920.938.463.463.374.607.431.76
8.211.456 oder ca. 340 x 1036 Adressen. Eine
solch große Zahl zwingt dann schon ein-
mal nachzulesen, wie man diese benennt
und was denn nach Billiarden oder Trilliar-
den kommt: Nach europäischer Benennung
sind das 340 Sextillionen IPv6-Adressen.
Wenn die Angabe in Wikipedia stimmt und
die Erde eine Oberfläche von 510 Millionen
km2 hat, dann bietet IPv6 66,7 Trillionen
Adressen pro Quadratzentimeter Erdober-
fläche. Adressknappheit ist da auf lange
Sicht nicht zu erwarten.
Einen Nachteil hat der große Adressraum
aber: Während IPv4-Adressen dezimal ge-
schrieben maximal 10-stellig sind, würde
man für eine IPv6-Adresse nun bei Dezi-
malschreibung 39 Stellen benötigen. Auf
uns kommt ein ähnliches Problem wie mit
den Telefonnummern zu, die früher drei-
bis fünfstellig und halbwegs merkbar und
wählbar waren. Heute sind (ohne Vorwah-
len) acht Stellen normal und wenige kön-
nen sich die mal so eben merken. Zum
Glück werden beim Telefonieren zum Wäh-
len immerhin keine Drehscheiben mehr
verwendet und Telefone mit großen Ad-
ressbüchern lassen einen fast vergessen,
dass es überhaupt Telefonnummern gibt.
Zurück zu IPv6: Wie schreibt man nun ei-
ne 39-stellige IPv6-Adresse?
16 | DFN Mitteilungen Ausgabe 83 | November 2012 | WISSENSCHAFTSNETZ
den oben genannten Adressen mit den-
selben Ziffern beginnen. Das ist vielmehr
zwingend.
Noch ein kleiner Exkurs: Wegen der Weg-
ermittlung hat man sich schon bei IPv4
entschieden, Adressen nicht den Geräten
als solchen, sondern den Netzwerkschnitt-
stellen der Geräte zuzuordnen. Denn bei
einem Gerät, das über mehrere Netzwerk-
schnittstellen mit mehreren Netzen ver-
bunden ist, gibt es auch mehrere Wege zu
diesem Gerät, die über verschiedene Ad-
ressen des Geräts unterschieden werden.
Wenn man die Adressen verschiedener
deutscher Universitäten und Forschungs-
einrichtungen vergleicht, wird man bei den
meisten feststellen, dass deren Adressen
alle mit 2001:638 beginnen (jedenfalls bei
allen, die am Wissenschaftsnetz X-WiN an-
geschlossen sind und ihre Adressen vom
DFN-Verein als X-WiN-Betreiber erhalten
haben). Aus der weiten Welt des Internets
betrachtet, ist ja auch der Weg zu deut-
schen Forschungseinrichtungen im DFN
eben fast gleich. Nur der letzte Schritt ist
ein wenig unterschiedlich – wie eben auch
die Adresse.
In der IPv4-Welt gab es keine so konsequen-
te hierarchische Strukturierung (wohl weil
man zu Anfang ein so rasantes Wachstum
des Netzes nicht erwartet hatte). X-WiN-
Teilnehmer waren an IPv4-Adressen kaum
von vielen anderen Netzteilnehmern zu
unterscheiden. Bei der IPv6-Entwicklung
hat man von Beginn an bedacht, dass bei
einem Netz mit potentiell 340 Sextillionen
Teilnehmern die Lokalisierung der teilneh-
menden Geräte und damit die Zustellung
von Daten enorm aufwändig werden dürf-
te, wenn man nicht von Anfang an eine
konsequente Strukturierung des Adress-
raumes vornimmt.
Adressstrukturen – Netz und Interface
Unterteilung der Adressen
Beschreibt nun die ganze IPv6-Adresse die
Lokalität eines Gerätes am Netz?
So weit sind die Entwickler nicht gegan-
gen. Das wäre bei heutigen Netzen auch
nicht sinnvoll, denn moderne lokale Netze,
seien es kabelgebundene LANs (Lokal Area
Networks) oder drahtlose WLANs (Wireless
Local Area Networks) sind relativ unstruk-
turierte Gebilde, in denen eine Hierarchi-
sierung bis zum letzten Netzteilnehmer
gar nicht möglich ist. Man hat sich daher
entschlossen, nur einen Teil der Adresse
für die Lokalisierungsfunktion zu verwen-
den und damit das Netz zu bezeichnen, an
dem ein Gerät angeschlossen ist.
Sinnvollerweise bezeichnen jeweils die Zif-
fern am Beginn der Adresse die jeweils hö-
heren Hierarchiestufen im Netz.
Der Standard unterteilt die Netzwerkbe-
zeichnung in einen „Global Routing Pre-
fix“, der über die Internet Assigned Num-
ber Authority (IANA) der ICANN, über eine
Regional Internet Registry (RIR) und über
eine Local Internet Registry (LIR) vergeben
wird, sowie in eine Subnet ID, die inner-
halb des Netzes des Endkunden festgelegt
werden kann. Beide Teile zusammen bele-
gen (in den meisten Fällen) die ersten 64
Bit der IPv6-Adresse. Die restlichen 64 Bit
bilden dann die Interface ID, die weiter un-
ten noch beschrieben wird.
Schreibweise von Netzwerkbezeichnun-
gen
Für die Bezeichnung eines Netzes gibt man
normalerweise nur die dafür signifikanten
Teile der Adresse an. Für das Netz der GWDG
also nur 2001:638:60f::. Nicht jedes Netz
lässt sich in der Hexadezimalschreibwei-
se eindeutig bezeichnen, wenn die Netz-
Nebenstelle kennen (auch wenn es neuer-
dings ein paar Aufweichungen der Struk-
tur durch Rufnummernmitnahme gibt).
IPv6 ist hier noch konsequenter als IPv4
in dem Versuch, hierarchische Strukturen
der Verkehrsflüsse in den Adressen abzu-
bilden. Warum darauf Wert gelegt wird,
dazu später mehr.
Zunächst müssen wir uns klarmachen,
dass IP-Adressen (v4 und v6) zwei Funk-
tionen haben:
• IP-Adressen definieren ein (meist
weltweit) eindeutiges Merkmal zur
Identifizierung eines Gerätes im
Netz (genau genommen einer Netz-
werkschnittstelle eines Endgerätes).
• IP-Adressen dienen der Lokalisierung
eines Geräts im Netz und damit der Er-
mittlung eines Weges, über den das Ge-
rät im Netz erreicht werden kann.
Ginge es nur um die eindeutige Identifizie-
rung von Geräten, würde eine vollkommen
unstrukturierte Adresse ausreichen. MAC-
Adressen von Ethernet-Adaptern dienen
z. B. nur der Identifizierung und haben da-
her keine Struktur (wenn man mal davon
absieht, dass die erste Hälfte der Adres-
se vom Hersteller des Adapters abhängt
– aber das ist nur ein Hilfsmittel, um die
Garantie der Eindeutigkeit sicher an die
Hersteller delegieren zu können).
IP-Adressen dienen aber auch der Lokali-
sierung eines Gerätes und damit der Auf-
findbarkeit eines Weges zu diesem Gerät
im Netz, und deshalb muss darin irgend-
wie die Struktur des Internets abgebildet
werden. Es ist also kein Zufall, dass die bei-
Global Routing Prefix
n Bit
SubnetID
64-n Bit
Interface ID
64 Bit
64 Bit 64 Bit
Abb. 1: Aufbau einer IPv6-Adresse
17WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 83 |
nummer nicht genau in einen 16-Bit-Block
passt. Wollte man das Netz der GWDG in
vier gleiche Teile unterteilen, so würden die
Adressen der Geräte in diesen Netzen mit
2001:638:60f:0000,
2001:638:60f:4000,
2001:638:60f:8000 und
2001:638:60f:c000
beginnen (in der ersten Zeile ist am Ende
die 0000 wegen der besseren Vergleichbar-
keit ausgeschrieben). Würde man das Netz
nur in zwei Teile teilen, müssten die bei-
den Netze mit
2001:638:60f:0000 und
2001:638:60f:8000
bezeichnet werden. Der Vergleich der bei-
den Beispiele zeigt, dass man die Netze
auf diesem Wege nicht eindeutig beschrei-
ben kann. Im ersten Beispiel würden al-
le Adressen, die mit 2001:638:60f:0000 bis
2001:638:60f:3fff beginnen, zu dem ersten
Teilnetz gehören, im zweiten Beispiel wä-
ren es Adressen, die mit 2001:638:60f:0000
bis 2001:638:60f:7fff beginnen.
Daher benötigt man eine zusätzliche Me-
thode, um genau anzugeben, welcher Teil
einer Adresse zur Bezeichnung eines Net-
zes verwendet wird. Wie schon in der CIDR-
Notation von IPv4, gibt man auch bei IPv6
hinter einem „ / “ die Anzahl der Bits an,
die zur Benennung des Netzes oder Netz-
bereiches verwendet werden. In unseren
Beispielen wären im ersten Beispiel dann
die eindeutigen Bezeichnungen
2001:638:60f:0000/50,
2001:638:60f:4000/50,
2001:638:60f:8000/50 und
2001:638:60f:c000/50
(je 16 Bit in den drei ersten Adressteilen
und 2 Bit für die Vierteilung), während im
zweiten Beispiel
2001:638:60f:0000/49 und
2001:638:60f:8000/49
korrekt wären (die Halbierung benötigt
nur ein Bit).
Interface ID
In der IPv4-Welt konnten (oder mussten)
Netze fast beliebig klein definiert werden
(vier Adressen pro Netz war das Minimum).
Bei der Entwicklung von IPv6 hat man sich
entschieden, eine recht große Minimalgrö-
ße für ein lokales IPv6-Netz festzulegen.Nur
die Hälfte der IP-Adresse kann zur Bezeich-
nung eines Netzes verwendet werden (al-
so ein /64er-Adressbereich). In (fast) jedem
Fall müssen die letzten 64 Bit der IPv6-Ad-
resse zur Bezeichnung der Endgeräte in-
nerhalb eines lokalen Netzes verwendet
werden. Diesen Bezeichner nennt man In-
terface Identifier oder Interface ID.
Damit ist auf jeden Fall sichergestellt, dass
in keinem lokalen Netz jemals IPv6-Adres-
sen knapp werden können. Mit 64 Bit lan-
gen Adressen gibt es in einem jeden Netz
264 Adressen. Ausgeschrieben sind das
18.446.744.073.709.551.616, also ca. 18 Tril-
lionen Adressen. Das sollte eigentlich für
jedes lokale Netz reichen.
Die Interface ID kann man, wie es bei IPv6
üblich ist, einfach manuell vergeben. Für
den Server ftp5 wurde so vorgegangen,
und dabei ist eine relativ leicht merkba-
re Interface ID ::1:1 herausgekommen. Auch
für die Wahl der Interface IDs kann man
eine Systematik entwickeln. Alle Rechner
mit Adressen ::1:x könnten FTP-Server sein.
Webserver könnten Adressen ::2:x bekom-
men usw. Die Gestaltungsmöglichkeiten
sind mit IPv6 dank des 64-Bit-Bereiches
recht groß.
Die obige Adresse des Arbeitsplatzrechners
sieht dagegen kryptisch und kaum merk-
bar aus. So eine Adresse z. B. bei der Kon-
figuration fehlerlos einzutippen, wird den
meisten Lesern wohl schon als mühsame
Aufgabe erscheinen. Man mag sich fragen,
warum denn dann in einem so großen Ad-
ressraum solche Adressen verwendet wer-
den? Die Antwort ist relativ simpel: Solche
Adressen sollen nirgendwo von Hand ein-
gegeben werden. IPv6 sieht eine automa-
tische Konfiguration der Adresse vor. IPv6
ist – anders als IPv4 – von Anfang an für ei-
ne automatische Konfiguration entworfen
worden. Die obigen Beispiele mit manuell
festgelegten Adressen für öffentliche Ser-
ver sind eher eine Ausnahme, der Normal-
fall ist eine automatische Konfiguration.
Verteilung der IPv6-Adressen und spezielle Adressen
Vergebene Adressen
Die Zentralstelle für die Vergabe von IP-
Adressen, die IANA, hat bisher nur einen
relativ kleinen Teil des IPv6-Adressraumes
vergeben, der größte Teil ist bisher nicht
zur Nutzung freigegeben.
Nur Adressen, die mit einer 2 oder 3 begin-
nen, sind (bisher) zur Vergabe an Rechner
und andere Geräte am Netz als weltweit
eindeutige IPv6-Adresse vorgesehen. We-
nige spezielle Adressen beginnen mit he-
xadezimal 0000.
Abbildung 2 zeigt die Verteilung der IP-Ad-
ressen und vor allem die noch zurückge-
haltenen Reserven in den grün gezeich-
neten Bereichen.
Spezielle Adressen
Im ersten Bereich der mit 0000 begin-
nenden Adressen sind insbesondere drei
Adressen bzw. Adresstypen zu erwähnen:
• Die „Unspecified Address“ 0:0:0:0:0:0:0:0
oder ganz kurz geschrieben einfach nur
::, die als IPv6-Absenderadresse verwen-
det wird, wenn ein Gerät am Netz noch
keine Adresse erhalten hat, aber schon
Daten senden will (z. B. wenn per Au-
tokonfiguration oder DHCP nach einer
Adresse gesucht wird).
• Die Loopback-Adresse 0:0:0:0:0:0:0:1
oder kurz ::1, die verwendet wird, wenn
intern in einem Rechner die Funktio-
nalität der Netzwerksoftware getestet
werden soll, ohne dass Daten in irgend-
ein Netz übertragen werden. Diese Ad-
18 | DFN Mitteilungen Ausgabe 83 | November 2012 | WISSENSCHAFTSNETZ
resse entspricht der Adresse 127.0.0.1
bei IPv4.
• Die IPv4-mapped IPv6-Adressen
0:0:0:0:0:FFFF:x:x oder kurz ::FFFF:x:x,
in der für x:x eine IPv4-Adresse einge-
setzt werden kann. Bei diesen Adres-
sen wird meist eine spezielle Misch-
schreibweise aus IPv6- und IPv4-No-
tation verwenden, nämlich die Form
::FFFF:n.n.n.n, wobei n.n.n.n die IPv4-
Adresse in klassischer Dotted Decimal
Notation ist, z. B. für den Webserver der
GWDG also ::FFFF:134.76.10.47.
Diese Adressen dienen dazu, Adressen von
IPv4-Geräten als IPv6-Adressen zu schrei-
ben oder zu adressieren.
Adressen mit verschiedenen Gültigkeits-bereichen
Der Bereich Global Unicast (Abb. 2 - orange)
ist der eigentliche, bisher im Internet ge-
nutzte Adressbereich. Wie der Name schon
sagt, sind diese Adressen global im Inter-
net gültig und müssen auch global im In-
ternet eindeutig sein. Der Name Unicast
besagt, dass mit einer solchen Adresse ge-
nau ein Gerät im Netz angesprochen wird.
Der Bereich Local Unicast (Abb.2 - blau –
Adressen beginnend mit FC und FD) ent-
spricht den privaten Adressen nach RFC
1918 im IPv4-Protokoll. Der zweite Teil die-
ses Adressbereiches (beginnend mit FD)
kann in lokalen Netzen verwendet werden
(der erste ist nur reserviert, ohne dass der
Standard festlegt, wie diese Adressen ein-
mal verwendet werden sollen). Die Daten-
pakete, die von solchen Adressen kommen,
dürfen aber nicht zum Internet weiterge-
leitet werden. Sie sind also nur in einem
privaten Netz, nicht aber im globalen In-
ternet gültig. Eine (direkte) Verbindung
zum Internet ist mit solchen Adressen al-
so nicht möglich. Anders als bei IPv4 sind
bei IPv6 private Adressen von Anfang an
vorgesehen und befinden sich in einem
eindeutig erkennbaren Adressbereich (und
nicht irgendwo mitten zwischen „norma-
len“ Adressen). Auch diese Adressen sind
Unicast-Adressen.
Für die Wahl des Global Prefix einer solchen
Adresse gibt es eine besondere Anforde-
rung: Man darf sich diesen nicht einfach
aussuchen, sondern muss diesen über ei-
nen Zufallszahlengenerator erzeugen. Der
Sinn dahinter ist, zu verhindern, dass ver-
schiedene Netzbetreiber dieselben Local-
Unicast-Adressen verwenden. Bei IPv4 be-
steht die eindeutige Tendenz, aus dem Netz
10.0.0.0/8 immer Adressen zu verwenden,
die mit 10.1 beginnen. Wenn dann zwei
Netzbetreiber solcher Netze (z. B. bei Fir-
menfusionen) ihre Netze zusammenlegen,
muss zumindest ein Netz komplett neue
Adressen erhalten. Solche Situationen will
man mit IPv6 vermeiden.
Eine Besonderheit bei IPv6, zu der es nichts
Vergleichbares in IPv4 gibt, sind die Link-
Local-Unicast-Adressen (im Prinzip mit FE8
bis FEB, in der Praxis aber nur mit FE80 be-
ginnend). Diese Adressen sind nur inner-
halb eines Netzwerksegments gültig. Kein
Router darf Datenpakete mit solchen Ad-
ressen von einem Netzsegment in ein ande-
res Netzsegment weiterleiten. Diese Adres-
sen werden für interne Funktionen inner-
halb eines Netzes verwendet, z. B. bei der
Autokonfiguration von Netzwerkknoten.
Multicast-Adressen
Die (fast) letzte Adressvariante sind die
Multicast-Adressen, die mit FF beginnen.
Datenpakete, die an Multicast-Adressen
verschickt werden, sollen viele Geräte am
Netz erreichen (in der Regel alle Geräte in
einem bestimmten Bereich mit einer be-
stimmten Funktionalität). Hier muss zu-
nächst festgehalten werden, dass es bei
IPv6 keine Broadcast-Adressen mehr gibt
(also keine Adressen mehr, mit denen alle
Geräte am Netz, unabhängig von Funkti-
onsangaben, adressiert werden können).
Diese werden durchgehend durch Multi-
cast-Adressen ersetzt. Dabei gibt es ver-
schiedene Typen von Multicast-Adressen,
die sich durch
• Scope (Gültigkeitsbereich) der Multi-
cast-Adressen und
• Funktion bzw. Adressatenkreis der Mul-
ticast-Adressen unterscheiden.
Die Multicast-Adressen enthalten neben
führenden FF als Kennzeichen drei Felder
(siehe Abbildung 3):
• ein 4 Bit langes Flagfeld (von denen nur
drei, mit R, P und T bezeichnete Flags
verwendet werden),
• ein 4 Bit langes Scope-Feld und eine
112 Bit lange Group ID.
Abb. 2: Anteile der verschiedenen Adresstypen bei IPv6
0,78 % Local Unicast FC00-FDFF
0,20 % ungenutzt FE00-FE7F
0,10 % Link-Local Unicast FE80-FEBF
0,10 % ungenutzt FEC0-FEFF
0,39 % Multicast FF00-FFFF
0,002 % Reserviert 0000
12,50 % ungenutzt 0001-1FFF
12,50 % Global Unicast 2000-3FFF
73,44 % ungenutzt 4000-FBFF
19WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 83 |
Die Flags dienen
• zur Kennzeichnung von Multicast
Streams (R-Bit auf 1 gesetzt),
• zur Kennzeichnung, dass ein Prefix in
der Group ID enthalten ist (P-Bit auf 1
gesetzt), und
• zur Kennzeichnung einer temporären
Group ID (im Gegensatz zu einer allge-
meingültigen, T-Bit auf 1 gesetzt).
Für den Scope sind folgende Werte defi-
niert:
1: Interface-local
2: Link-local
4: Admin-local
5: Site-local
8: Organization-local
E: Global
Nachstehend seien einige Beispiele für
Multicast-Adressen genannt:
Interface-local scope
FF01::1 All nodes
FF01::2 All routers
Link-local scope
FF02::1 All nodes
FF02::2 All routers
FF02::5 OSPFIGP
FF02::6 OSPFIGP designated routers
FF02::1:2 All DHCP Agents
Site-local scope
FF05::2 All routers
FF05::1:3 All DHCP servers
In den Beispielen taucht mehrmals bei ver-
schiedenen Scopes die Group ID ::2 für die
Funktion „All routers“ auf. Andere Group
IDs ergeben nur mit bestimmten Scopes zu-
sammen einen Sinn. So wird man z. B. wohl
nie in jedem Netzsegment einen DHCP-Ser-
ver betreiben wollen, sodass ein Multicast
an alle DHCP-Server mit Scope Interface-
local oder Link-Local nicht sinnvoll ist.
Anycast
Das Anycast-Konzept ist relativ neu und
wurde bisher eher selten eingesetzt. Mit ei-
nem Anycast werden, wie bei einem Multi-
cast, Geräte mit bestimmten Funktionen im
Netz angesprochen. Anders als bei einem
Multicast sollen die Anycast-Pakete aber
nicht an alle Geräte mit einer bestimmten
Funktion weitergeleitet werden, sondern
nur an ein solches Gerät (das nächstgele-
gene). Damit das umgesetzt werden kann,
muss die Netzwerkinfrastruktur intelligent
genug sein, Anycasts gezielt an einzelne
Server aus einer Gruppe weiterzuleiten.
Anycast-Adressen werden aus dem Global-
Unicast-Bereich genommen. Sie sind syn-
taktisch daher nicht von Global-Unicast-Pa-
keten (beginnen also mit einer 2 oder 3 in
der Adresse) zu unterscheiden. Bei Geräten,
die solche Adressen verwenden, muss bei
der Konfiguration der Adresse festgelegt
werden, dass es keine Unicast-, sondern
eine Anycast-Adresse ist. Auf Routern in
Netzbereichen, in denen eine solche Any-
cast-Adresse gelten soll, müssen explizit
zu jedem Gerät, dass diese Adresse konfi-
guriert hat, Routen definiert werden.
IPv6-Adressen im GÖNET
Die IP-Adressen werden über IANA, RIRs und
LIRs an Endkunden vergeben. Ein Endkun-
de im Sinne einer Firma oder einer Univer-
sität bekommt in der Regel ein Netz der
Größe /48 zugeteilt. Das Netz kann auch
noch größer ausfallen, wenn ein entspre-
chender Bedarf begründet werden kann.
Lediglich für Heimnetzwerke hinter DSL-
Anschlüssen wird die Zuteilung geringer
ausfallen und sich möglicherweise auf
ein einziges Netz der Minimalgröße /64
beschränken.
Eine /48er-Netz kann immerhin in 65.536
Global Prefix Subnet ID
2 0 0 1 : 0 6 3 8 : 0 6 0 c : 0 0 1 2 : :
Global Unicast
DFN-Verein
Universität Göttingen
Adressbereich Fakultäten
Fakultät für Chemie
Institut für Anorganische Chemie
2. Arbeitsgruppe des Instituts
16 Bit 112 Bit
FF
8 Bit
FlagsORPT
4 Bit
Scope
4 Bit
Group ID
112 Bit
Abb. 3: Aufbau einer Multicast-Adresse
Abb. 4: Beispiel für eine Stellenzuordnung
20 | DFN Mitteilungen Ausgabe 83 | November 2012 | WISSENSCHAFTSNETZ2020
(216) Subnetze unterteilt werden. Für das
von der GWDG betriebene Göttinger Wis-
senschaftsnetz GÖNET wurden bisher vier
Netze über den DFN-Verein als LIR regist-
riert: Universität, Universitätsmedizin, Stu-
dentenwerk und GWDG haben dabei je-
weils eigene Netze beantragt und erhalten.
Die Netze wurden so gewählt, dass diese
zusammen einen einzigen Block der Grö-
ße /46 bilden, um das Routing und auch
die Definition von Regeln zu erleichtern.
Vergeben sind die Netze
2001:638:60c::/48 für die Universität,
2001:638:60d::/48 für die Universitäts-
medizin
2001:638:60e::/48 für das Studenten-
werk Göttingen und
2001:638:60f::/48 für die GWDG.
Für die Universität liegt eine erste Adress-
planung vor, die den Adressraum nach Fa-
kultäten und Instituten verteilt.
Mit diesem Adressschema werden noch gro-
ße Teile für zukünftige Anwendungszwe-
cke zurückgehalten. Deutlich weniger als
ein Viertel der Adressen ist dabei verplant.
In der hexadezimal vierstelligen Subnet ID
der Adresse bekommt jede Stelle in dieser
Struktur eine eigene Bedeutung:
• Die erste Stelle (von links) unterschei-
det Fakultäten von sonstigen Einrich-
tungen (und den noch für zukünftige
Verwendungen reservierten Adressen).
• Die zweite Stelle gibt die Fakultät oder
eine Gruppe bei sonstigen Einrichtun-
gen an.
• Die dritte Stelle identifiziert das Insti-
tut (oder zentrale Einrichtungen der
Fakultät).
• Die vierte Stelle kann für Arbeitsgrup-
pen innerhalb eines Instituts verwendet
werden.
So ist die Adresse wohl lang und unge-
wohnt, bietet aber mit einer systemati-
schen Strukturierung auf andere Weise
doch wieder eine bessere Merkbarkeit.
Für die Strukturierung hat auch die Hexa-
dezimal-Schreibweise einen Vorteil. Natür-
lich könnte man auch in einer dezimalen
Schreibweise jede Dezimalstelle mit einer
Funktion belegen, aber in der dezimalen
Schreibweise mit 10 statt 16 Ziffern pro
Stelle nicht allein weniger Werte geben,
vielmehr würde der Zahlenbereich nicht
aufgehen. Der Maximalwert wäre 65.536
in dezimal, aber ffff in hexadezimal.
Letztlich hat diese Darstellung der neuen
IPv6 hoffentlich nicht nur durch die Län-
ge (der IP-Adressen) verschreckt, sondern
auch die Vorteile (durch den großen Ad-
ressraum) und die Chancen (zu einer bes-
seren Strukturierung) erkennen lassen. M
Richtigstellung 11. Tagung der DFN-Nutzer-gruppe Hochschulverwaltung
Vom 6. bis 8. Mai 2013 findet an der Univer-
sität Mannheim die 11. Tagung der DFN-
Nutzergruppe Hochschulverwaltung statt.
Sie steht in diesem Jahr unter dem Motto
„Mobiler Campus“. Die Tagung richtet sich
an Mitglieder von Hochschulleitungen, an
Mitarbeiter von Hochschulverwaltungen
und Hochschulrechenzentren.
www.hochschulverwaltung.de M
Cryptshare
Einmillionster Batch-Job
Android-Tablet Nexus 7
Ausbildung zum Fachinformatiker
Internet-Protokoll IPv6
09|12
ZEITSCHRIFT FÜR DIE KUNDEN DER GWDG
Abb. 5: Der vorliegende Artikel ist den GWDG-
Nachrichten Ausgabe 9/2012 entnommen.
Die GWDG-Nachrichten erscheinen monatlich
und werden von der Gesellschaft für wissen-
schaftliche Datenverarbeitung in Göttingen he-
rausgegeben. Sie sind im Web unter der Adresse
www.gwdg.de/gwdg-nr verfügbar.
In der letzten Ausgabe hatten die DFN-Mit-
teilungen über das LHC Open Network En-
vironment (LHCONE) berichtet. Hierbei ist
uns ein bedauerlicher Fehler unterlaufen:
Die Universität Wuppertal ist kein „betei-
ligtes Tier-3 Zentrum“, sondern eins der
sieben deutschen Tier-2 Zentren am LHC-
Experiment. M
21WISSENSCHAFTSNETZ | DFN Mitteilungen Ausgabe 83 |
Kurzmeldungen
Robustere Infrastruktur für eduroam
Dir Infrastruktur von eduroam wird der-
zeit weiter ausgebaut. Den gestiegenen Si-
cherheitsanforderungen bei der Nutzung
mobiler Geräte entsprechend wird der Da-
tenaustausch zwischen den Authentifizie-
rungs-Servern von eduroam künftig noch
sicherer und robuster ablaufen als bisher.
Bestand die Infrastruktur zu Einführung
des Dienstes nur aus Radius-Servern, die
untereinander Nutzerdaten zur Authen-
tifizierung austauschten, begann man im
Jahr 2008 damit, die Infrastruktur auf eine
flexiblere und sicherere Basis zu stellen.
Dank der DFN-PKI konnten Radius-Proxy
zwischen der DFNRoaming/eduroam-Inf-
rastruktur und den Radius-Servern in den
Einrichtungen etabliert werden.
Hierbei wird das von der IETF ratifizier-
te Protokoll RadSec (RFC 6614) und das
Protokoll „Radius over TCP“ (RFC 6613)
verwendet. Dadurch war der Grundstein
für eine erweiterte Infrastruktur gelegt.
Mit der RadSec Standalone Software
radsecproxy (s. http://software.uninett.
no/radsecproxy/), die ständig weiterent-
wickelt wird, können die Einrichtungen
die Kommunikation zwischen den Radi-
us-Proxy Servern des DFN-Vereins via TLS
absichern. Als gängige Konfiguration hat
sich herausgestellt, dass man den rad-
secproxy in der Regel in die DMZ stellt und
den eigentlichen Radius-Server geschützt
nach „innen“ in das interne Produktions-
netz zieht. Somit sind die Radius-Server
im Vergleich zur alten Infrastruktur nicht
mehr direkt aus dem Internet erreichbar
und besser gegen Angriffe von außen ge-
schützt. M
6. DFN-Forum Kommuni-kationstechnologien – Verteilte Systeme im Wissen-schaftsbereich –
Gemeinsam mit der Universität Erlangen-
Nürnberg veranstaltet der DFN-Verein am
3. und 4. Juni 2013 das 6. DFN-Forum Kom-
munikationstechnologien. Mitveranstalter
sind die Zentren für Kommunikation und
Informationsverarbeitung in Forschung
und Lehre e.V. (ZKI) und die Gesellschaft
für Informatik e.V.
Das 6. DFN-Forum Kommunikationstech-
nologien „Verteilte Systeme im Wissen-
schaftsbereich“ ist eine Plattform zur Dar-
stellung und Diskussion neuer Forschungs-
und Entwicklungsergebnisse aus dem Be-
reich TK/IT.
Die Vorträge umfassen i.d.R. eine Zeitspan-
ne von 25 Minuten + 5 Minuten für die Dis-
kussion.
Es wird um Beitragseinreichungen zu den
nachfolgend aufgeführten Themenkreisen
(TK) gebeten:
TK I: Neue Netztechnologien und Infra-
struktur
• Future Internet (Clean-Slate versus Evo-
lution, Sicherheit)
• Drahtlose Zugangstechnologien (UMTS,
WLAN, WiMAX, LTE ...)
• Layer-2 Technologien (Carrier-Grade
Ethernet, …)
• Overlaynetze und Virtualisierung
• Software Defined Networking (Open-
Flow und andere Ansätze)
• Vernetzung von HPC-Systemen
• Netztechnologien für die Datenversor-
gung von HPC-Systemen
TK II: Infrastrukturen für eScience
• Grid Computing: Community Grids,
Betriebsmodelle, Nachhaltigkeit, D-
Grid, EGI
• Cloud Computing & Sicherheit
• Virtuelle Organisationen, SLA
• Service Oriented Computing & Architec-
tures
• Virtuelle Forschungsumgebungen
• Video-/Web-Conferencing
• Mobiles/ubiquitäres Web
• Big Data in eScience und dessen Netzas-
pekte
TK III: ITC Management
• Autonomous Management
• Management Policies
• Identity Management, AAI, Accounting
• Management von Grids&Clouds
• Cloud Services als Herausforderung
für die Governance der Hochschul-IT?
• Future Internet Management
TK IV: IT-Zukunftsperspektiven
• Wissenschaftsvernetzung in 10 Jahren
• Künftige IT-Infrastrukturen für For-
schung und Lehre
• HPC-Infrastrukturen in Europa und ih-
re Vernetzung
Beitragseinreichung
Weitere Informationen und Beitragsein-
reichungen zu den angegebenen Themen-
kreisen bis zum 17.12.2012 unter:
http://dfn2013.rrze.fau.de/
Angenommene Beiträge werden in einem
Konferenzband veröffentlicht, der im Rah-
men der GI-Edition Lecture Notes in Infor-
matics erscheinen wird.
Wichtige Termine:
Einreichung der Beiträge:
17. Dezember 2012
Autorenbenachrichtigung:
22. Februar 2013
Abgabe der endgültigen Fassung:
22. März 2013
22 | DFN Mitteilungen Ausgabe 83 | November 2012 | CAMPUS
Uhrenvergleich – Synchronisation von Atomuhren über das GlasfasernetzWissenschaftsnetze könnten in Zukunft alle optischen Atomuhren Europas verbinden – ein großer
Nutzen für Anwender optischer Frequenzen in Forschung und Industrie. Wissenschaftler der Physi-
kalisch-Technischen Bundesanstalt in Braunschweig und des Max-Planck-Instituts für Quantenoptik
in Garching haben die Synchronisation von Atomuhren über eine Glasfaserstrecke gewagt und die
Ergebnisse nun in der angesehenen Wissenschaftszeitschrift Science veröffentlicht.(1)
Zwei der vier primären Atomuhren an der Physikalisch-Technischen Bundesanstalt (PTB) in Braunschweig (Bild: PTB)
23CAMPUS | DFN Mitteilungen Ausgabe 83 |
Optische Atomuhren messen die Zeit mit überragender Genau-
igkeit. Doch erst die Möglichkeit, sie mit anderen Uhren zu ver-
gleichen, macht sie einsatzbereit für hochpräzise Tests funda-
mentaler Theorien, von der Kosmologie bis hin zur Quanten-
physik. Ein Uhrenvergleich, d.h. ein Vergleich der optischen Fre-
quenzen, gestaltet sich bislang jedoch sehr schwierig, denn die
weltweit wenigen Exemplare sind sehr komplex aufgebaut und
lassen sich nur mit größtem Aufwand transportieren. Ein Team
von Wissenschaftlern der Physikalisch-Technischen Bundesan-
stalt (PTB) in Braunschweig und der Abteilung Laserspektros-
kopie am Max- Planck-Institut für Quantenoptik (MPQ) in Gar-
ching hat jetzt gezeigt, dass sich optische Frequenzen mit ho-
her Stabilität über eine 920 Kilometer lange Faserverbindung
des Deutschen Forschungsnetzes übertragen lassen. Damit be-
steht jetzt prinzipiell die Möglichkeit, optische Uhren über gro-
ße Distanzen miteinander zu vergleichen, bzw. ihre Genauig-
keit auch in weit entfernten Laboren für Präzisionsmessun-
gen zu nutzen.
Profitieren wird davon zunächst die Grundlagenforschung, et-
wa bei der präzisen Bestimmung der Naturkonstanten, der Über-
prüfung der Allgemeinen Relativitätstheorie von Albert Einstein
oder von Vorhersagen der Quantenelektrodynamik.
In einer Atomuhr sind Zeiteinheiten über die Frequenz der Strah-
lung definiert, die ein Atom beim Übergang zwischen zwei Ener-
gieniveaus aussendet. Die Zeiteinheit „Sekunde“ bezieht sich auf
die vom Cäsium-Isotop 133 ausgesendeten Mikrowellen, d.h., der
Sekundenzeiger wird nach 9 192 631 770 Schwingungen um eine
Einheit weiter gesetzt. Die Realisierung und Verbreitung der Se-
kunde über die PTB ist in Deutschland gesetzlich festgelegt. Op-
tische Atomuhren verwenden eine etwa 100 000-mal höhere Fre-
quenz und erlauben daher eine demgemäß weit feinere Zeitun-
terteilung. Atomuhren der neuesten Generation gehen bereits
so genau, dass sie erst in der 18. Dezimalstelle – bzw. um eine
Sekunde in einem Zeitraum, der dem Alter des Universums ent-
spricht – voneinander abweichen.
Doch wie gut lassen sich optische Frequenzen über weite Ent-
fernungen übertragen? Herkömmliche Verfahren mithilfe von
Satelliten erreichen hier eine Genauigkeit von 15 Dezimalstel-
len. Das ist gut genug für Signale im Mikrowellenbereich, aber
zu grob, um das Potential optischer Atomuhren auszuschöpfen.
Die MPQ/PTB-Forscher haben daher in den letzten Jahren unter-
sucht, wie sich optische Frequenzen in Glasfaserkabeln übertra-
gen lassen. Unterstützung erhielten sie dabei von dem Exzellenz-
cluster QUEST der Leibniz Universität Hannover, von der Euro-
pean Space Agency (ESA), dem Deutschen Forschungsnetz DFN
und GasLINE, einer Telekommunikationsnetzgesellschaft deut-
scher Gasversorgungsunternehmen.
In dem hier beschriebenen Projekt speisen die Wissenschaft-
ler das Licht eines hochstabilen Lasers mit einer Wellenlänge
von etwa 1,5 Mikrometern (nahes Infrarot) in ein Glasfaserka-
bel ein, das zwischen der PTB in Braunschweig und dem MPQ
in Garching unterirdisch verlegt ist. Es handelt sich dabei um
ein auch in der Telekommunikation übliches Kabel, mit einer
relativ geringen Dämpfung für Strahlung im nahen Infrarot.
Um ein Signal jedoch über eine so weite Strecke ohne nennens-
werte Leistungseinbuße zu übertragen, muss es immer wieder
aufgefrischt werden. Dazu wurden neuartige optische Verstärker-
einheiten entwickelt und über die gesamte Glasfaserstrecke ver-
teilt aufgebaut.
Ein weiteres Problem sind Verfälschungen der ursprünglichen
Laserfrequenz, hervorgerufen durch mechanische, akustische
und thermische Störungen, die z.B. aufgrund von Temperatur-
schwankungen, Straßenverkehr oder Bauarbeiten entstehen. Mit
neuen Verfahren können diese Störungen so gut erfasst, „ausge-
regelt“ und kompensiert werden, dass sich die ganze 920 Kilome-
ter lange Glasfaserverbindung zwischen Braunschweig und Gar-
ching optisch um weniger als einen Mikrometer in der Sekunde
ändert. Die dem Anwender im Partnerlabor zur Verfügung ste-
hende Frequenz von 194 353 Gigahertz weicht deshalb nur um
weniger als ein zehntausendstel Hertz von der eingespeisten
Frequenz ab. Die Probe aufs Exempel machten Wissenschaft-
ler der Abteilung Laserspektroskopie: Sie nutzten das Signal der
primären Cäsiumuhr der PTB für die Spektroskopie von Wasser-
stoff am MPQ. Dieses wurde über einen Frequenzkamm mit der
optischen Phase des eingespeisten Lasers verglichen. Dabei wur-
de eine weit höhere Genauigkeit erreicht, als mit satellitenge-
stützter Übertragung möglich gewesen wäre.
Optische Frequenzen können also mit einer Qualität verteilt wer-
den, wie sie bislang nur lokal an Metrologieinstituten zur Verfü-
gung stand. Die Verwendung von Glasfaserinfrastrukturen, wie
sie durch nationale Forschungsnetze wie das DFN oder DANTE
Ltd. als Betreiber des europäischen Forschungsbackbone GÉANT
bereitgestellt werden, ermöglicht es, optische Atomuhren in Zu-
kunft europaweit zu vernetzen. So wie es heute zum Stand der
Technik gehört, dass herkömmliche Uhren und Wecker per Funk
die „richtige Zeit“ von der PTB über den Langwellensender DCF77
empfangen, wird die Verbreitung einer optischen Referenz per
Glasfaser zur Bestimmung der Wellenlänge bzw. Frequenz op-
tischer Strahlung eine breite Anwendung in Forschung und In-
dustrie finden. M (kh)
(1) K. Predehl, G. Grosche, S.M.F. Raupach, S. Droste, O. Terra, J. Alnis, Th. Lege-
ro, T.W. Hänsch, Th. Udem, R. Holzwarth, and H. Schnatz: *A 920 km Optical Fi-
ber Link for Frequency Metrology at the 19th Decimal Place.
Science, 27. April 2012
Uhrenvergleich – Synchronisation von Atomuhren über das Glasfasernetz
24 | DFN Mitteilungen Ausgabe 83 | November 2012 | INTERNATIONAL
25INTERNATIONAL | DFN Mitteilungen Ausgabe 83 |
InternationalMuseo Intercontinental –
Live-Kollaboration von MuseumspädagogInnen in
Europa und Südamerika über das Wissenschaftsnetz
von Kai Hoelzner
eduPKI – Supporting Trust Requirements in Europe’s
Research Networks
von Reimer Karlsen-Masur und Dr. Ralf Gröper
Europa und der Orient
von Bettina Kauth
Eine Autobahn in 5 Minuten
von Bruno Hoeft
Future Internet
von Paul Müller
Global Research & Education Network Leaders
identify and work on top-challenges
Crossing the Equator – New high-speed link connects
African radio astronomers to Europe
26 | DFN Mitteilungen Ausgabe 83 | November 2012 | INTERNATIONAL
Museo Intercontinental
ALICE, das von Europa und Süd-
amerika gemeinsam initiierte
Projekt zum Aufbau eines For-
schungs-Backbones nach GÉANT-
Vorbild in Südamerika, blickt
heute auf eine fast zehnjährige
Laufzeit zurück. Die Bilanz von
„America Latina Interconectada
Con Europa“ ist mehr als beein-
druckend: Seit 2003 wurde eine
Brücke zwischen dem lateiname-
rikanischen Kontinent und Euro-
pa geschlagen, die zum Blueprint
für eine Reihe von Folgeprojek-
ten wurde, mit denen DANTE Ltd.
die globale Vernetzung des euro-
päischen Wissenschaftsraumes
im vergangenen Jahrzehnt voran-
getrieben hat. Standen einst vor
allem Grand-Challenge-Projekte
wie die Anbindung der europä-
ischen Südamerika-Sternwar-
te im Fokus, werden ALICE und
der aus ALICE hervorgegangene
lateinamerikanische NREN-Ver-
bund RedClara heute in der ge-
samten Breite der Wissenschaft
genutzt. Jüngstes Beispiel ist ein
transatlantischer Workshop von
Museumspädagogen, der unter chilenisch-deutscher Beteiligung
mittels des internationalen Verbunds europäischer und latein-
amerikanischer Wissenschaftsnetze durchgeführt wurde.
Der Tag ist schon ein paar Stunden alt in Deutschland, wenn Lisa
Flükiger den gläsernen Neubau mit der Adresse Holanda 100 be-
tritt. Der gläserne Büro-und Geschäftsturm, in dem das Goethe-
Institut Santiago de Chile seit kurzem residiert, könnte auch in
Londons feiner Business-Adresse Carnary Wharf stehen oder am
Fuß der Erasmus-Brücke in Rotterdam. Selbst das Wetter gleicht
den mittleren Breiten Europas, mit dem Unterschied, dass die
Südhalbkugel die Wintermonate zwischen Mai und August er-
lebt. Jetzt im südamerikanischen Frühling gleichen sich selbst
Thermometer-Anzeige und Regenradar.
Text: Kai Hoelzner (DFN-Verein)
Lisa Flükiger betreut derzeit einen museumspädagogischen Work-
shop, den das Goethe-Institut Santiago de Chile und das Muse-
um für zeitgenössische Kunst der Universidad de Chile (MAC) im
Rahmen eines Museumspädagogik-Projekts veranstaltet. Es geht
um eine Vortragsreihe, die in diesem Jahr abwechselnd von süd-
amerikanischen und deutschen Museumspädagogen gehalten
wird. Grundlage hierfür ist – und das ist für viele der beteiligten
Museumsmitarbeiter auf beiden Seiten des Atlantiks noch ziem-
lich ungewohnt – dass die Workshops nicht als Präsenz-Veran-
staltung geplant sind, sondern konsequent unter Nutzung von
VC-Technologie über das Netz übertragen werden sollen. Und
das hat nicht nur mit dem interkontinentalen Setting der Veran-
staltung zu tun. Selbst die Organisation einer auf Chile begrenz-
ten nationalen Konferenz hätte es mit Entfernungen zu tun, die
US
US
US
CU
MXGT
HN
SV
CRPA
VE
CO
EC
PE
BO
PYBR
ES
UY
ARCL
BR
NI
Backbone Topology
2012
US
CU
GTHN
SV
CR
CO
EC
PE
BO
PY
ES
UY
AR
NI
MX
PA
CL
VE
BR
Backbone Topology
2004
Argentinia
Bolivia
Brazil (PoP)
Brazil - Porto Alegre
Chile (PoP)
Colombia
Costa Rica
Cuba
Ecuador
Spain (Géant)
El Salvador
Guatemala
Honduras
Mexico
Nicaragua
Panama (PoP)
Peru
Paraguay
United States
Uruguay
Venezuela
10 Gbps
2,5 Gpbs
1 Gpbs
1 Gpbs - AmLight
1 Gbps - RNP
622 Mbps
600 Mbps
155 Mbps
45 Mbps
Connections established
Conections planned
AR CR HN US
BO CU MX UY
BR EC NI VE
ES PA
CL SV PE
CO GT PY
BR
Live-Kollaboration von MuseumspädagogInnen in Europa und Südamerika über das Wissenschaftsnetz
Alice-Netz 2004 und Alice-Netz 2012
27INTERNATIONAL | DFN Mitteilungen Ausgabe 83 |
nach dem Einsatz von VC-Technologie verlangen. 4300 Kilometer
erstreckt sich die Republik Chile in Nord-Süd-Richtung zwischen
dem 17. und dem 56. Grad südlicher Breite. Denn wer von Anca
oder Iquique, also aus den nördlichen, an Bolivien grenzenden
Regionen runter nach Santiago reist, nimmt entweder das Flug-
zeug, oder er nimmt sich ein paar Tage Zeit. Wohl dem also, der
sich per Rechner in eine virtuelle Veranstaltung einklinken kann.
Von deutscher Seite werden zwei Lectures zum Curriculum des
Workshops beigesteuert. Karin H. Grimme, Bildungsbeauftrag-
te am Jüdischen Museum in Berlin, spricht am (europäischen)
Nachmittag des 5. September 2012 über das Bildungsprogramm
des Jüdischen Museums. Am 26. September dann referiert Anna
Zosik, Mitbegründerin des Berlin „ECK_IK Büros für Arbeit mit
Kunst“ zum Thema „Künstlerisches Arbeiten in der Kunstvermitt-
lung“. Beide Vorträge, da gibt es budget- und zeitmäßig keinerlei
Alternativen, werden per Videokonferenz von Berlin nach Süd-
amerika übertragen.
Ziel des Projekts ist es, eine Plattform lateinamerikanischer Mu-
seumspädagogik zu etablieren und dabei nationale wie interna-
tionale Best-Practice-Beispiele zu präsentieren und eine grund-
legende Diskussion über Aufgaben und Zielsetzungen einer mo-
dernen Museumspädagogik im Prozess ästhetischen Lernens
anzustoßen. Die Teilnehmer der Veranstaltungen finden sich in
verschiedenen Institutionen Kolumbiens, Boliviens, Perus, Chi-
les, Argentiniens und Uruguays. In einer Reihe von Präsenz-Tref-
fen zwischen europäischen und lateinamerikanischen Fachleu-
ten wurden deshalb bereits im vergangenen Jahr die Möglich-
keiten im Netz durchgeführter Veranstaltungen ausgelotet. Ein
Jahr später nun, 2012, gilt es, diesen Rahmen durch Vorträge und
Diskussionen zu füllen.
Für diesen Vormittag steht ein Live-Vortrag auf dem Programm,
der per Video-Konferenz aus Berlin zugespielt wird. Karin H. Grim-
me vom Jüdischen Museum in Berlin stellt das museumspäda-
gogische Konzept ihres Hauses vor. Bereits am Vortag hatte Gi-
sela Maiß, die im Deutschen Forschungsnetz sämtliche Aktivitä-
ten rund um das Thema Videoconferencing managt, eine Probe-
Session mit der Gegenstelle in Chile durchgeführt. Schließlich
muss nicht nur das A/V-Signal von Karin Grimmes Vortrag über
den Ozean gesendet werden, per H.323 sollen parallel dazu auch
Vortragsfolien und Bildmaterial nach Chile übertragen werden.
Ebenfalls zu berücksichtigen ist, dass für den Rückkanal an den
meisten Orten keine professionelle VC-Anlage zur Verfügung steht,
wie sie in der Geschäftsstelle des Deutschen Forschungsnetzes
am Alexanderplatz vorhanden ist.
Die ZuhörerInnen in Südamerika nehmen in verschiedene Grup-
pen oder als Einzelpersonen an unterschiedlichen Orten teil, von
wo aus sie per VC-System oder, wenn zwar ein Rechner aber kei-
ne VC-Anlage vorhanden ist, über einen Live-Stream im Internet
dem Vortrag folgen. Insbesondere die anschließende Diskussi-
on verlangt also nach einigen Tricks, um allen Zuhörern einen
Rückkanal nach Berlin zu eröffnen. Vor allem aber gilt es zu be-
rücksichtigen, dass die Mehrzahl der Teilnehmer des Workshops
keine sogenannte Digital-Residents sind, die das Internet als ei-
ne natürliche Erweiterung ihrer physischen Umgebung wahr-
nehmen. Aber auch, wenn das Kürzel „H.323“ für die meisten
der Teilnehmer nicht mehr als eine kryptische Kombination von
Zahlen und Buchstaben darstellt: Eine Vortragsreihe über den
Atlantik hinweg, die zudem noch in bis zu sechs verschiedene
Staaten Lateinamerikas übertragen und simultan übersetzt wer-
den muss, ist auch für technische Laien nur auf der Basis von
VC-Technologie denkbar. Immerhin braucht auch die direktes-
te Flugverbindung zwischen Berlin und Santiago im kürzesten
Fall noch 22 Stunden Flugzeit – inklusive zweier Stopps in Paris
und Buenos Aires.
Wenn es gilt, den erheblichen Aufwand, der beim Auf- und Ausbau
internationaler Forschungsnetze getrieben wird, darzustellen,
greifen Forscher gern zum allzu bekannten Bild wissenschaftlicher
Großgeräte. Es sollte dabei aber nicht übersehen werden, dass
bei der Durchführung einer Vortragsreihe wie der hier beschrie-
benen ebenfalls alle technischen und personellen Ressourcen
abgerufen werden, die in den Forschungsnetzen zur Verfügung
stehen. Was angesichts hochwertiger technischer Ausstattung
in der Spitzenforschung nur ein kleiner Schritt sein mag, stellt
sich hier einmal mehr als ein beeindruckender und geglückter
virtueller Sprung dar. M
Teilnehmer Videokonferenz Chile
28 | DFN Mitteilungen Ausgabe 83 | November 2012 | INTERNATIONAL
eduPKI - Supporting Trust Requirements in Europe’s Research NetworkseduPKI is a response to the need for better coordination to address security require-
ments of the services being developed in GÉANT. eduPKI’s main goal is the coordination
of GÉANT-wide trust that is build on X.509 certificates and Public Key Infrastructures
(PKI). eduPKI organizes provisioning of digital certificates to GÉANT Services from na-
tional Public Key Infrastructures (PKI) and supports GÉANT Services in defining their
trust requirements (Trust Profiles) in regards to digital certificate based identity asser-
tions. In addition, an eduPKI CA is established to meet those requirements of GÉANT
Services that cannot be (easily or timely) covered by existing (national) Certification
Authorities.
Text: Reimer Karlsen-Masur (DFN-CERT Services GmbH), Dr. Ralf Gröper (DFN-Verein), including material from the eduPKI Task
on www.edupki.org and geant.net
Abb. 1: Accredited CAs of the eduPKI PMA with their supported registered Trust Profiles of GÉANT Services
accredited CAs
NRENCA1
eduPKI CA
NREN CA2
GÉANT Services
eduGAINTrust Profile
eduroamTrust Profile
PerfSONARAutoBAHN
iSHARETrust Profile
eduABCTrustProfile
eduConfTrust Profile
29INTERNATIONAL | DFN Mitteilungen Ausgabe 83 |
Foto: © Marcus Lindström - istockphoto.com
Background
Digital certificates are issued by Certifica-
tion Authorities (CAs) and are widely used
to guarantee secure and reliable communi-
cation between servers, users, or between
a user and a server. One example for this
are the authentication servers participating
in the eduroam radius hierarchy, enabling
researchers and students to access the In-
ternet from all participating institutions.
eduPKI will build on top of existing CA ser-
vices by National Research and Education
Networks (NREN) such as DFN-PKI, federa-
ting them to make all participating CAs
available to other services such as edu-
roam. A federated approach brings incre-
ased efficiency since a number of national
CAs are already well-established and used
within the NREN environment.
eduPKI aims to enable GÉANT services to
obtain digital certificates from CAs opera-
ted by NRENs participating in the project,
that meet those services‘ requirements.
Thus Europe’s NRENs are encouraged to
join the federated eduPKI service. Whilst
eduPKI will rely on existing national CAs
whenever possible, it will also operate a de-
dicated CA for users belonging to an NREN
that does not provide any CA service itself.
Why will eduPKI be beneficial to users?
By allowing existing CAs to issue certifica-
tes for those GÉANT project services that
require them, eduPKI will permit users to
deal with their NREN, following familiar
procedures which will reduce the burden
of using new services. So thanks to the fe-
derated approach, users will be able to ob-
tain all necessary certificates from either
the CA managed by their own NREN (or
equivalent service) or via the eduPKI CA.
eduPKI structure
To achieve its goal eduPKI offers three
main facilities:
• A Policy Management Authority (PMA),
which will define procedures to assess
GN3 services‘ requirements and catego-
rise them into profiles; as well as pro-
cedures to assess existing national CA
operations against the agreed profiles.
• A dedicated Certification Authority
(eduPKI CA), operated by DFN to sup-
port those NREN users that cannot re-
ly on any national CA service.
• An enhanced version of the existing
TACAR (TERENA Academic Certificate
Authority Repository), to store and dis-
tribute root certificates of Certificate
Authorities participating in eduPKI (in-
cluding the eduPKI CA root) in a secu-
re manner.
The role of eduPKI PMA to coordinate trust
The eduPKI PMA acts as the heart of the
eduPKI Service. It is the body where GÉANT
Services can register their trust and certi-
ficate requirements as Trust Profiles and
Certification Authorities can get accredi-
ted as CAs serving these Trust Profiles in
a compliant way.
The eduPKI PMA has published a number
of documents describing its work and pro-
cedures. The eduPKI PMA Charter descri-
bes how the PMA is set up and operated,
its scope, objectives and responsibilities,
membership and voting processes.
The GÉANT Services Registration Process
describes how a GÉANT Service can regis-
ter as a Relying Party under one or more
Trust Profiles, the CA Accreditation Process
defines how a CA is obtaining accredita-
tion under a specific Trust Profile by get-
ting reviewed by the eduPKI PMA. It also
describes how a CA is securing its accre-
ditation by adopting changes to the rele-
vant Trust Profiles, performing audits, de-
livering audit reports, and how an accre-
ditation can be withdrawn.
The eduPKI PMA members support the
GÉANT Services in writing their Trust Profi-
les and the CAs that wish to be accredited
in performing the necessary procedures.
TACAR is then used to publish sets of CAs
that are compliant to a specific Trust Pro-
file and such providing a central source
for CA certificate download and informa-
tion about compliant and fitting CAs to
the GÉANT Services.
Why an eduPKI CA?
As described above, GÉANT Services can
30 | DFN Mitteilungen Ausgabe 83 | November 2012 | INTERNATIONAL
obtain certificates that meet their Trust
Profile from any CA that fulfils their res-
pective requirements. Nevertheless experi-
ence has shown that some users have dif-
ficulties to get the certificates they need.
The eduPKI CA is established to serve tho-
se users of GÉANT Services who cannot ob-
tain certificates from a local or national
CA and it can also be used for testing new
Trust and Certificate Profiles before the-
se profiles are made generally available.
The eduPKI CA will adapt all Trust Profiles
that are registered under the eduPKI PMA.
TACAR
TACAR is the central repository for admi-
nistrators to download bundles of CA cer-
tificates used as local trust anchors that
are compliant to selectable Trust Profiles.
CA managers can upload their CA certifica-
tes including policy and revocation infor-
mation onto TACAR where the informati-
on gets validated and depending on infor-
mation provided by the eduPKI PMA gets
assigned an eduPKI Trust Profile category.
System administrators of Relying Parties
can use the TACAR web site to select and
download a single CA certificate or set of
CA certificates compliant to a Trust Pro-
file in a bundle for local installation as a
trust anchor.
Key Benefits of the approach
The key benefits of the eduPKI approach
are scalability and flexibility. This ensures
sustainable results beyond the GN3 pro-
ject, within which eduPKI is funded by the
European Commission.
Scalability of eduPKI’s approach is achie-
ved by separating different trust and cer-
tificate requirements into different Trust
Profiles. Trust Profiles can be used by se-
veral GÉANT Services if the requirements
fit, if not, additional Trust Profiles can be
defined. They can be defined at the pace
GÉANT Services are ready to more formally
define their requirements of trust and cer-
tificates. CAs can choose to support all, a
subset or just one of the available Trust
Profiles, depending on their infrastructure
and on the local demand of their nearby
GÉANT constituency. Furthermore, CAs can
be accredited at the pace CAs become com-
pliant with specific Trust Profiles.
eduPKI’s approach is flexible as Trust Pro-
files can be added, updated or abandoned
as demand and requirements by the per-
tinent GÉANT Services may change. CAs
can be added or dropped as they are ab-
le or not or no longer able to support the
GÉANT Services‘ requirements. eduPKI CA
is a long-term effort to secure GÉANT Ser-
vices the access and availability to certi-
ficates even if no other CA is able to fulfil
the GÉANT Services‘ trust and certificate
requirements or if participants of GÉANT
Services can‘t get certificates from local
or national CAs. ediPKI’s approach abates
the set-up and operation of ad-hoc or task
specific CAs which often multiplies the ef-
fort and, if such an ad-hoc CA is abandoned,
it leaves the relying GÉANT Services and
tasks without a reliable source of working
certificates. Additionally, eduPKI enables
local or national (NREN) CAs to operate in
a coordinated fashion.
Current Status
Trust Profiles for GÉANT Services
eduroam is the first GÉANT Service that
has registered its Trust Profile under the
eduPKI PMA and obtains certificates from
the eduPKI CA which is in operation since
mid November 2010.
Another Trust Profile that has been regis-
tered under the eduPKI PMA covers certifi-
cates for GÉANT‘s Multi-Domain Network
Services such as perfSONAR, autoBAHN,
cNIS and I SHARe.
It is expected that more GÉANT Services
will write up their Trust Profile and re-
gister it with the eduPKI PMA in order to
give interested CAs an overview about the
GÉANT Services‘ trust and certificate re-
quirements.
Accredited CAs
Currently the eduPKI CA and the CESNET
CA from the Czech Republic‘s NREN are ac-
credited under the eduroam service‘s Trust
Profile. By accrediting eduPKI‘s own CA, the
defined accreditation processes and pro-
cedures underwent a real life test which
lead to optimised processes and procedu-
res, resulting in the successful accredita-
tion of the CESNET CA. It is expected that
more local or national (NREN) CAs will ex-
press their compliance with one or (soon)
more Trust Profiles and will then be accre-
dited by the eduPKI PMA. Under the Trust
Profile for GÉANT‘s Multi-Domain Network
Services currently only the eduPKI CA is
accredited.
The next steps for eduPKI
In the future, eduPKI will help more GÉANT
Services to define their trust and certificate
requirements in Trust Profiles and register
these Trust Profiles with the eduPKI PMA.
Furthermore, more local or national (NREN)
CAs will be accredited under the existing
Trust Profiles to express compliance with
specific Trust Profiles and such provide a
set of compliant CAs to the GÉANT Services.
Framing these efforts, eduPKI will continue
to provide consulting services to GÉANT
Services for all aspects concerning X.509
digital certificates, Public Key Infrastruc-
tures, and building Trust Profiles.
Conclusion
eduPKI operates key services such as the
Policy Management Authority and the
eduPKI CA, but also helps other GÉANT
services and projects by offering consul-
ting services regarding all aspects of Public
Key Infrastructures and X.509 certificates.
By these means eduPKI helps to ease the
adoption of X.509 digital certificates within
GÉANT in an efficient way, maximizing the
effective usage of PKI in Europe’s research
network environment and thus increasing
the overall security level therein. M
31INTERNATIONAL | DFN Mitteilungen Ausgabe 83 |
Europa und der Orient
Eine der hübschesten Telefonkarten, die
ich kenne, zeigt die Chinesische Mauer. Ein
roter Strich zieht sich an ihr entlang . Ei-
ne Telefonkarte? Das muss aber lange her
sein. – Stimmt! Herausgegeben wurde die-
se Karte 1997 anlässlich der Inbetriebnah-
me der 64-kbps-Verbindung zwischen dem
DFN und CERNET, einem der chinesischen
Wissenschaftsnetze. Nun mag man heute
über solche Bandbreiten schmunzeln, aber
es zeigt, dass seitens der Forschung der
Wunsch und der Bedarf einer möglichst
direkten Verbindung der jeweiligen For-
schungsnetze bestand, eine Anforderung,
die sich bis heute fortsetzt und auch im
europäischen Forschungsumfeld gilt.
Seit 2007 fördert die EU deshalb im Rah-
men des 7th Framework Programme ge-
meinsam mit dem chinesischen Wissen-
schaftsnetz CERNET den Betrieb eines
terrestrischen über Russland geführten
Links zwischen den europäischen und
chinesischen Forschungsnetzen. Das
sehr erfolgreiche ORIENT-Projekt (2007 –
2010) findet seit Januar 2012 seine Fort-
setzung im ORIENTplus Projekt, in dem
der DFN-Verein zentrale Aufgaben über-
nimmt. Die Laufzeit des Projektes beträgt
42 Monate. Über das GÉANT-Backbone er-
halten die europäischen Wissenschafts-
netze direkten Zugang zu den beiden chi-
nesischen Forschungsnetzen CERNET und
CSTNET und somit zu den Forschungsein-
richtungen in China.
Im laufenden Jahr stehen der europäischen
und chinesischen Wissenschaftsgemein-
de 2,4 Gbps Bandbreite auf dem Link zur
Verfügung, die zunächst für best-effort IP-
Konnektivität genutzt werden. Ziel des
Projektes ist aber nicht nur die Bereitstel-
lung von Bandbreite, sondern in erster Li-
nie die Unterstützung von europäisch-chi-
nesischen Forschungsprojekten durch ad-
äquate und bedarfsorientierte Netzlösun-
gen. Dies kann sowohl Bandbreitenbedarfe
als auch die Anforderung an dedizierte Ver-
bindungen betreffen. Durch den Upgrade
des Links auf eine Bandbreite von 10 Gbps
im ersten Quartal 2013 wird die Grundlage
für die Implementierung erweiterter Netz-
dienste geschaffen.
Der DFN-Verein möchte seine Anwender
bei der Implementierung neuer und beim
Betrieb existierender Projekte mit chine-
sischen Forschungseinrichtungen unter-
stützen. Wenn Sie also in Forschungspro-
jekte involviert sind und Fragen zur IP-Kon-
nektivität haben, dann setzen Sie sich mit
uns in Verbindung. Kontakt auf DFN-Seite
ist Kai Hoelzner, [email protected]. Weite-
re Informationen zum ORIENTplus Projekt
finden Sie unter
http://www.orientplus.eu. M
Text: Bettina Kauth (DFN-Verein)
32 | DFN Mitteilungen Ausgabe 83 | November 2012 | INTERNATIONAL
Eine Autobahn in 5 MinutenIm Zuge einer sich immer weiter globalisierenden Wissenschaft hat sich die Bereitstel-
lung dedizierter Bandbreiten für nationale und internationale Kollaborationen und
Projekte in den vergangenen Jahren zu einem immer wichtigeren Arbeitsfeld entwi-
ckelt. Mit dem GÉANT-Tool AutoBAHN lassen sich innerhalb weniger Minuten dynami-
sche Bandwith-on-Demand-Verbindungen aufbauen. Das Projekt AutoKNF evaluiert
speziell für das Management solcher dynamischer Verbindungen entwickelte Tools.
Text: Bruno Hoeft (Karlsruher Institut für Technologie – KIT)
Abb. 1: Topologie des Projektes AutoKNF: Punkt-zu-Punkt-Verbindungen lassen sich über dynamische reservierte Bandbreiten spontan realisieren.
End host Copenhagen
141.52.28.6 / 27
141.52.28.7 / 27
NORDUnet
GÉANT
DFN
STM-64
AutoBAHN DOMAIN 1
(GÉANT)
STM-64
STM-64
STM-64
STM
-64
STM-64
STM
-64
STM
-64
STM-64 10GE
10GE
STM
-64
STM
-64
AutoBAHNServer
Interdomainmanager
Domain manager
TP
1GE
KIT
End host Server
Legende:
Static L2 connection
Future L2 connection
Control plane connection
Future extensions(Northern Sweden)
MCC UKLondon
MCC FRParis
MCC NLAmsterdam
MCC DEFrankfurt
MCC DE(Production)
Frankfurt
Switch10GE <–> 1GE
KITManagementSwitch
MCC DKCopenhagen
MCC CZPrague
NDGF RouterCopenhagen
KIT RouterKarlsruhe
MCC NLAmsterdam
Router Switch
33INTERNATIONAL | DFN Mitteilungen Ausgabe 83 |
AutoKNF – AutoBAHN aus der Sicht eines „End-Users“
AutoKNF – der Name des Projektes setzt sich zusammen aus der
Silbe Auto von AutoBAHN und den Anfangsbuchstaben dreier
Einrichtungen, dem Karlsruher Institut für Technologie KIT, der
Nordic DataGrid Facility NDGF sowie dem US-amerikanischen
Fermilab. Wissenschaftler dieser Einrichtungen hatten sich zum
Ziel gesetzt, die dynamische Bereitstellung von Bandbreiten in
Wissenschaftsnetzen, die durch das GÉANT-Projekt AutoBAHN
möglich wurde, zu untersuchen.
„Automated Bandwidth Allocation across Heterogeneous Net-
works“ (AutoBAHN) gilt in Expertenkreisen als ein mächtiges Stück
Software, mit dem das Kunststück gelingen soll, über mehrere, he-
terogene Netzwerke hinweg dynamische Bandbreiten zwischen
zwei Endpunkten mit garantierter Kapazität bereitzustellen. Die
komplexe Technologie hierfür wird seit 2009 in Kooperation meh-
rerer nationaler Forschungsnetze entwickelt. Das an AutoBAHN
angebundene Evalierungsprojekt AutoKNF hat sich dabei zum
Ziel gesetzt, die Stabilität und das Handling für den Endnutzer
zu verbessern. Die Teams vom KIT, NDGF und Fermilab wollten
wissen, wo die Bandbreitengrenzen von Bandwith on Demand
liegen und wie robust dynamische Schaltungen hinsichtlich mög-
licher Fehlerquellen sind. Weiterhin sollten die Schnittstellen
zum Endnutzer hinsichtlich der sichtbaren Komplexität der dy-
namischen Verbindungen sowie der Handhabung des Reservie-
rungs-Portals bewertet werden.
Erste Diskussionen über den Aufbau einer dynamischen Infra-
struktur mit dem KIT als Endnutzer fanden während der GÉANT3
Eröffnung im Jahr 2009 in Stockholm statt. Der GÉANT Bandwidth
on Demand Service war noch in der Entwicklung. Die zugrunde
liegenden Protokolle und Tools waren noch nicht bereit für ei-
nen Einsatz außerhalb eines Labors. NORDUnet stieg als Partner
in das Projekt ein. 2011 wurde AutoKNF im Rahmen des BoD-Ser-
vice als Pilot gestartet.
DFN und NORDUnet stellten hierfür 1-Gigabit/s-Netzwerkverbin-
dungen zu den Endgeräten zur Verfügung. GÉANT-Betreiber DAN-
TE Ltd. steuerte eine Leitungsinfrastruktur bei, über die dynami-
sche Verbindungen aufgebaut werden konnten.
Entwicklung von AutoBAHN zu einem „Bandwidthon Demand“ (BoD) Service
In GÉANT2 wurde mit der Entwicklung von AutoBAHN begon-
nen. Gegen Ende von GÉANT2 wurde es in Pilotumgebungen ein-
gesetzt. AutoBAHN kann in einer Multidomain-Umgebung mit
mehreren Domains eingesetzt werden, in der unterschiedliche
Technologien verwendet werden. Wurde AutoBAHN zunächst
nur von NRENs eingesetzt, findet es mittlerweile auch in ande-
ren Netzwerken Verwendung, etwa in EXEMPLAR, einem „burst
switching“ Netzwerk in Irland.
AutoBAHN wurde innerhalb des GÉANT-Projektes kontinuierlich
zu einem Service-Tool weiterentwickelt, das heute einen „Multi-
Domain-Bandwidth-on-Demand“ (BoD) Service unterstützt und
neben der Bereitstellung dynamischer Verbindungen auch den
Aufbau der notwendigen Prozeduren, den Support, das Moni-
toring der Verbindungen, Public Relations und Marketing, ein
„Cost Sharing Modell“ sowie einen AAI-Mechanismus für einen
sicheren Zugang in den Service integriert. Doch nicht alle For-
schungsnetze nutzen AutoBAHN zur Bandbreitenreservierung.
So testet NORDUnet Werkzeuge namens Oscars und OpenNSA,
während das niederländische SURFnet mit einer Software na-
mens OpenDRAC arbeitet. Die Kommunikation zwischen diesen
Provisionierungswerkzeugen wird derzeit mit dem Interdomain-
Controller Protocol (IDCP) in einer globalen NREN-Zusammenar-
beit, insbesondere mit Internet2 und ESNet entwickelt. Neun eu-
ropäische NRENs sind so miteinander verknüpft und können dy-
namische Verbindungen aufbauen: CARNET, DANTE, Forsknings-
nettet, GRNet, HEAnet, JANET, NORDUNet, PIONIER und SURFnet.
Brückenschlag zwischen den NRENs
Die Software-Suite CNIS (Common Network Information Service)
ermöglicht ein effizientes Management der Netzwerk-Topologie-
Daten. CNIS sammelt Netzwerk-Topologie-Daten automatisch,
hält sie aktuell und konsistent und tauscht sie mit anderen An-
wendungen aus. CNIS stellt AutoBAHN die erforderlichen Netz-
werk-Topologie-Daten zur Verfügung. Eine CNIS-Software-Suite-
Instanz ist in jeder am BoD-Service teilnehmenden Domain ein-
gesetzt. CNIS enthält benutzerfreundliche Schnittstellen, über
die die Daten visualisiert werden können und die einen Über-
blick über die Netzwerktopologie ermöglichen. Aus Gründen der
Vertraulichkeit gibt AutoBAHN die lokalen Topologie-Informati-
onen nicht ungefiltert an externe BoD-Domains oder Applikatio-
nen weiter. Ein Domain-Manager (DM), der ein Modul des Provi-
sionierungswerkzeuges AutoBAHN ist und in jeder Domain be-
trieben wird, abstrahiert die CNIS-Informationen und gibt sie an
den InterDomain-Manager (IDM) weiter. Eine Übersicht zu Au-
toBAHN ist auf den GÉANT-Webseiten beschrieben. Abbildung
2 zeigt die Wechselwirkungen zwischen den essentiellen Auto-
BAHN-Modulen.
Das „AutoBAHN Provisioning Portal“
Ein Nutzerkonto zur Authentifizierung am GÉANT AutoBAHN-Kun-
denportal ist Voraussetzung zur Nutzung. Das Profil beinhaltet
Account-Namen, Organisations- bzw. Projekt-Zugehörigkeit, E-
Mail-Adresse und Art des Accounts (Benutzer/Administrator). Je-
34 | DFN Mitteilungen Ausgabe 83 | November 2012 | INTERNATIONAL
dem Konto sind entsprechend der Berechtigung des Benutzers
Ports zugeordnet.
Über die URL des AutoBAHN Client Portals kann die Anmelde-
prozedur im Browser gestartet und die Reservierung einer „En-
de zu Ende“-Verbindung beantragt werden. Zuerst sind die Hei-
mat- und Ziel-Domain anzugeben. Über die Schaltfläche „add
reservation“ gelangt man zum nächsten Fenster. Hier werden
Start- und End-Port inklusive der jeweiligen VLAN-ID, Zeitzone
sowie Anfang, Ende und Kapazität der Reservierung angegeben.
Im letzten Feld wird eine kurze Beschreibung der Reservierung
gefordert. Auf zwei weiteren Registerkarten können Spezifika-
tionen optionaler Parameter (Verzögerung in ms und maximale
MTU-Größe) definiert und zusätzlich Angaben über den zu ver-
wendenden Pfad gemacht werden. „Add reservation“ öffnet nun
ein Fenster, das die gewählten Parameter zur Prüfung angezeigt.
Das nächste „add reservation“ trägt die Reservierung in den Ka-
lender ein. Sie erhält jetzt den Status „scheduled“. Weitere mög-
liche Zustände sind: „active“, „finished“, „failed“. Im „active“ Zu-
stand einer Reservierung können beide verbundenen Einrichtun-
gen über die dynamische Verbindung Daten bis zu der in der Re-
servierung spezifizierten Übertragungsbandbreite austauschen.
Das Portal ist intuitiv und sicher nutzbar.
Erste Erfahrungen beim Aufbau von AutoKNF
Als Topologie-Daten Tank für AutoKNF wurde CNIS eingeführt.
Dabei fiel auf, dass die Verbindung von Karlsruhe über Frankfurt
nach Amsterdam durchgehend statisch eingerichtet war. Eine
Neuordnung war notwendig, im Zuge derer die statische Ver-
bindung in Frankfurt am GÉANT Produktion Switch angeschlos-
sen wurde. Von da wurde die Verbindung weitergeführt an das
dynamische „AutoBAHN Domain 1“ Testbed MCC von GÉANT.
MCC ist die Bezeichnung der Metro Core Connect SDH Switches
von der Firma Alcatel-Lucent mit denen die AutoBAHN Domain
1 von GÉANT aufgebaut ist. Die Infrastruktur bildete einen Ring
zwischen Frankfurt, Prag, Amsterdam und London mit jeweils
einer MCC an jedem Standort. Die reservierten Verbindungen
konnten anfangs nicht aktiviert werden, da die statische Infra-
struktur zwischen Karlsruhe und Frankfurt mit 1 GE auf die dy-
namische „GÉANT Domain 1“ mit 10 GE traf. Das automatische
Aktivierungsverfahren unterstützte keine heterogenen Bandbrei-
tenkapazitäten, sondern nur eine homogene Bandbereite inner-
halb einer dynamischen Domain. Im November 2011 wurde ein
Versuch unternommen, die Verbindung manuell mit der nicht ho-
mogenen Leitungskapazität von 1 GE und 10 GE in einer dynami-
schen Domain zu verbinden. Dabei traten extrem viele fehlerhaf-
te Frames auf, die eine Aktivierung der dynamischen Verbindung
unmöglich machten. Deshalb wurde eine homogene Infrastruk-
tur mit ausschließlich 10 -GE-Bandbreite innerhalb der dynami-
schen Infrastruktur „GÉANT AutoBAHN Domain 1“ aufgebaut. Ein
Switch für den Bandbreitenübergang von 1 GE zu 10 GE wurde am
DFN PoP in Frankfurt installiert. GÉANT MCC stellte durchgängig
10-GE-Schnittstellen für das AutoKNF Projekt bereit. So konn-
te eine Punkt-zu-Punkt-Verbindung zwischen Karlsruhe und
Kopenhagen über das dynamische Teilstück Frankfurt-Amsterdam
hergestellt werden, über das sich erste Pakete austauschen
ließen.
Abb. 2 Management einer dynamischen Bandbreite: Die Data-Plane stellt die physische ‚Leitung‘ einer BoD-Verbindung, das darüberliegende AutoBAHN-System
realisiert den Aufbau über die verschiedenen Steuerungssoftware-Ebenen.
Au
toB
AH
N s
yste
mD
ata
Pla
ne
IP domain GE domain
Web GUI Lookup Service
Single AutoBAHN Instance
Inter-Domain Manager
Domain Manager
Technology Proxy
Single AutoBAHN Instance
Inter-Domain Manager
Domain Manager
Technology Proxy
Single AutoBAHN Instance
Inter-Domain Manager
Domain Manager
Technology Proxy
NMS
L2 MPLS VPN GFP over SDH Native Ethernet
SDH domain
Client equipment Client equipment
35INTERNATIONAL | DFN Mitteilungen Ausgabe 83 |
Funktionstests
Ziel war es, eine Verbindung zwischen dem KIT in Karlsruhe und
dem MCC DK in Kopenhagen aufzubauen. Hierzu wurden am KIT
zwei End-Hosts installiert und an einen Switch angeschlossen,
der über einen statischen Link mit Frankfurt verbunden ist. Hier
beginnt die dynamische Infrastruktur „GÉANT AutoBAHN Domain
1“, ein Kreis von fünf MCCs („MCC DE“ in Frankfurt, „MCC CZ“ in
Prag, „MCC FR“ in Paris, „MCC UK“ in London, „MCC NL“ in Ams-
terdam). Die MCCs sind mit STM-64-Links (ca. 10 GE) miteinander
verbunden. Vom „MCC NL“ in Amsterdam ist eine statische Ver-
bindung zu dem „MCC DK“ in Kopenhagen eingerichtet.
Die Round-Trip-Time (RTT) wurde in der dynamischen Verbindung
mit einer stabilen Rate um 34.1 ms beobachtet. Die RTT über
die Internet-Dienste der Forschungsnetze betrug nur 27 ms. Ur-
sächlich hierfür war die unterschiedliche Länge des Weges, da
die Pakete über die Internet-Dienste der Forschungsnetze von
Karlsruhe nach Frankfurt und weiter nach Kopenhagen dirigiert
wurden, während die dynamische AutoBAHN-Verbindung von
Frankfurt nach Amsterdam eingerichtet worden war und von
dort nach Kopenhagen weitergeführt wurde. Der um 25% län-
gere Verbindungsweg entsprach in etwa den zusätzlichen 7 ms
der Round Trip Time (RTT).
Bei einem Dauertest der dynamischen Verbindung mit maxima-
ler Kapazität wurde die RTT mit ca. 85 ms gemessen. Die erhöhte
RTT war stabil hatte aber keinen Einfluss auf die Datenübertra-
gung. Grund für die verlängerte RTT, zumal sie nicht zwischen der
RTT ohne Last von 34 ms und der erhöhten RTT von 85 ms pen-
delte, könnten die bis an ihre Grenzen ausgelasteten Hosts und
ihre Network Interface Karten (NICs) mit einer Last von knapp
oberhalb 960 Mbps sein.
Die Interface-Werte der Switche in Karlsruhe und des Bandbrei-
ten Übergangs-Switches in Frankfurt (1GE←→10GE) wurden re-
gelmäßig überprüft, aber kein Interface gab Hinweis auf auf-
tretende Fehler.
Die Reservierung und die tatsächlich zugewiesene Bandbreite
wurden auf Abweichung untersucht. Die zugewiesene Kapazi-
tät beträgt immer das kleinste Vielfache einer STM-1 (155 Mbps)
Kapazität, z.B. kann bei einer Reservierung von 400 Mbps eine
Kapazität von drei Mal STM-1 (3*155 Mbps) 465 Mbps genutzt
werden. Es wurde ein sehr stabiler Durchsatz von ca. 960 Mbps
erreicht. Der Durchsatz wurde durch die Kapazität der Rechner-
NICs begrenzt. Auch hier wurden keinerlei fehlerhafte Pakete an
den Schnittstellen beobachtet.
Einsatz in Produktionsumgebungen
In Phase 2 galt es, die vorher in einer reinen Testumgebung
durchgeführten Untersuchungen von AutoBAHN in eine reale
Produktionsumgebung zu transferieren. Das KIT und die NDGF
setzen hierfür eine dynamische „Punkt-
zu-Punkt“ Verbindung zwischen den bei-
den LHC-Tier-1 Zentren DE-KIT und NDGF
auf. NORDUnet bot eine Layer-3-Schnitt-
stelle an, die eine Verbindung zu NDGF,
dem über Skandinavien verteilten „Nor-
dic LHC Tier-1 Zentrum“, ermöglicht. Nach
der Reservierung eines dynamischen Cir-
cuits bzw. dessen Aktivierung können die
BGP-Instanzen am Endpunkt jedes Stand-
ortes die Gegenseite automatisch erken-
nen. Nach dem Austauschen der Präfixe
werden sie in die lokale Routing-Tabelle
am jeweiligen Standort eingefügt. Da-
nach fand der Datenaustausch beider
Tier-1 Zentren über die dynamische Ver-
bindung statt. Die bisher beschriebenen
Aktionen sind unterbrechungsfrei möglich.
Mit dem Ablauf der Reservierungszeit des
dynamischen Circuits wird er stillgelegt
(decommissioned). Wenn der BGP Prozess
sowohl am NDGF wie auch am DE-KIT rea-
lisiert, dass die Präfixe nicht mehr ausge-
tauscht werden können (Time out), werden Abb. 3 Bandwith on Demand Provisioning-Portal: Sämtliche Konfigurationen können über die AutoBAHN-
Webschnittstelle durchgeführt werden.
36 | DFN Mitteilungen Ausgabe 83 | November 2012 | INTERNATIONAL
auch die Routen über den dynamischen Circuit wieder aus der
Routingtabelle ausgetragen. Der Unterbrechungszeitraum wäh-
rend der Stilllegung der dynamischen Verbindung liegt zwischen
< 1 sec. und 36 sec., abhängig von der Zeit, in der der BGP-Prozess
die Nichtverfügbarkeit der Gegenstelle erkennt. Mit Ausnahme
weniger Packet-Drops war die dynamische Verbindung stabil.
Geplante transatlantische Erweiterungen
Eine besondere Herausforderung für BoD-Infrastrukturen be-
steht in der Integration von Netzinfrastrukturen über mehre-
re Kontinente und technologische Domains hinweg. In Phase 3
der AutoBAHN-Tests ist daher eine Erweiterung der Infrastruktur
über eine transatlantische Verbindung zu einem LHC-Zentrum in
Nordamerika (Fermilab) geplant. Die transatlantischen BoD-Inf-
rastrukturen werden durch USLHCnet und die kontinentale US-
Infrastruktur über das Internet2/ESnet zur Verfügung gestellt.
Hierbei wird als BoD-Protokoll OSCARS verwendet und muss
über das InterDomaine-Communication-Protocol (IDCP)mit Au-
toBAHN kombiniert werden.
Fazit
BoD-Schaltungen erinnern an das analoge Telefon früherer Zei-
ten. Nach Wahl der Rufnummer wurde eine Verbindung herge-
stellt – anfänglich sogar noch manuell durch ‚das Fräulein vom
Amt’. Verbindungen blieben dabei so lange bestehen, wie beide
Teilnehmer es wollten. Die dahinterliegende Technologie sowie
der Aufbau und die Beendigung eines Telefongesprächs waren
für die Fernsprechteilnehmer nicht sichtbar.
Das „selbsterklärende“ Reservierungs-Web-Frontend „AutoBAHN
Client Portal“ ermöglicht dem Anwender die Reservierung und
den Aufbau dynamischer Schaltungen. Die Dauer und Kapazität
einer dynamischen Daten-Verbindung kann spezifisch für jede
Reservierung gewählt werden. Gegenüber statischen Netzver-
bindungen wiesen die dynamischen BoD-Verbindungen im Rah-
men der AutoKNF-Evaluierung keine höheren Fehler- und Paket-
verlustraten auf. Die Infrastruktur und die Tools des „GÉANT BoD-
Dynamic Core“ erwiesen sich als eine solide Basis und sind für
den End-User auch in Produktionsumgebungen einsatzbereit. M
Abb. 4 Traffic auf einer BoD-Verbindung zwischen KIT und NDGF während eines Tests in der produktionsnahen Umgebung.
Maximum: Currrent: Average:
„grün“ Inbound 105.27 Mbps 49.87 Mbp 14.61 Mpbs
„blau“ Outbound 157.2 Mbps 84.11 Mbps 28.83 Mbps
Total Out 2482.24 Gbit
37INTERNATIONAL | DFN Mitteilungen Ausgabe 83 |
Future InternetEin internationales Projekt zur Föderation heterogener Cloudsysteme
Text: Paul Müller (TU Kaiserslauten)
Die Entwicklung des Internets in den letzten Jahren hat gezeigt,
dass es immer schwieriger wird, neue Funktionalität zu integ-
rieren, um Anforderungen seitens der Applikationen zu erfüllen
und auf veränderte Rahmenbedingungen der Transporttechno-
logien zu reagieren. Insbesondere die Kernmechanismen (TCP/
IP) sind nur schwer veränderbar. Daher wird seit einiger Zeit die
Entwicklung einer neuen Architektur für ein zukünftiges Inter-
net im Rahmen internationaler, europäischer und deutscher Pro-
jekte vorangetrieben. In diesem Beitrag wird ein zwischen den
Projekten GENI (USA) und G-Lab (Deutschland) durchgeführtes
Projekt zur Föderation heterogener Cloudsysteme vorgestellt.
Das Internet, so erfolgreich es heute auch ist, ist in die Diskussion
gekommen. Die grundlegenden Architekturprinzipien des heuti-
gen Internets, das Ende-zu-Ende-Prinzip, die Schichtenarchitek-
tur und das Internetprotokoll, vor ca. 40 Jahren entwickelt, kom-
men immer stärker unter Druck. Zum einen durch immer neue
Anforderungen neuer nicht vorhersehbarer Anwendungen und
zum anderen durch immer neue Möglichkeiten der Transport-
netze, insbesondere der mobilen Netze. Um diesem Druck von
der Anwendungsseite und der Netzseite zu begegnen, werden
Foto: © potowizard - Fotolia.com
38 | DFN Mitteilungen Ausgabe 83 | November 2012 | INTERNATIONAL
heute cross-layer-Ansätze angeboten bzw. neue Mechanismen
eingeführt. So überwanden CIDR, NAT und DHCP die Mängel der
Adressvergabe; IntServ, DiffServ und MPLS unterstützen das Ver-
kehrsmanagement und können mehr Übertragungsqualität ins
Netz bringen. Echtzeitprotokolle wie RTP, RTCP und RSVP sowie
das Signalisierungsprotokoll SIP ermöglichen die Übertragung
von Audio- und Videodaten sowie die Telefonie über das Inter-
net (VoIP). IPsec führte eine sichere Übertragung ein und der Do-
main Name System Security Extensions (DNSsec) soll Schutz vor
dem „DNS Spoofing“ bieten, Deep Packet Inspection (DPI) und
Firewalls untersuchen Datenströme auf mögliche Gefahren. All
diese Erweiterungen haben nun aus der ehemals klar definierten
Schichtenarchitektur des Internets ein architektonisches „night-
mare“ entstehen lassen zu dem Mark Hendley(1) sagt: „The Inter-
net only just works.“
Die daraus resultierenden Fragestellungen wurden Anfang 2000
aufgegriffen und einige experimentell orientierte Forschungs-
projekte auf den Weg gebracht, von denen GENI (Global Environ-
ment for Network Innovations; www.geni.net) in den USA, AKARI
(http://akari-project.nict.go.jp/eng/index2.htm)(2) in Japan und im
Jahre 2008 G-Lab (German-Laboritory; www.german-lab.de(3) in
Deutschland die bedeutendsten sind. Dabei stellt GENI im We-
sentlichen einen programmierbaren Softwarerahmen über ei-
ner Menge von physikalischen Ressourcen dar, der dem Nutzer
eine PlanetLab-Umgebung anbietet, während G-Lab neben Pla-
netLab auch andere, insbesondere projekt- bzw. nutzerspezifi-
sche Bootimages erlaubt.
Bei dieser Art der Forschung stehen neben der theoretischen
Grundlagenarbeit aber insbesondere Experimente im Mittel-
punkt. Dieser Gedanke liegt den oben genannten Projekten zu-
grunde und es wurden entsprechende Laborumgebungen wie
GENI oder G-Lab zum Testen neuer gegebenenfalls unvollstän-
diger Architekturmodelle bzw. Algorithmen und Anwendungen
aufgebaut. Als Ergebnis liefert ein Experiment, das in einer sol-
chen Einrichtung durchgeführt wurde, neue Erkenntnisse zur
Anpassung der Modelle bzw. zur Konfiguration der Experimen-
talumgebung. Damit wird dann ein iteratives Vorgehen ermög-
licht: Die angepassten Modelle werden für neue Experimente
Dynamic Provisioning for the iGENI Cluster D Network In partnership with RENCI (Renaissance Computing Institute), Duke University, the University of Massachusetts, and other D-Cluster participants, iGENI Consortium has implemented the Open Resource Control Architecture (ORCA) control framework at the StarLight international exchange facility and it is supporting a demonstration of �exible, programmable heterogeneous networking among multiple national and international sites, including dynamic path provisioning across multiple domains.
Highly Scalable Network Research TransCloud Prototype
This multi-organization TransCloud demonstration showcases a capability for using dynamic large scale cloud and network infrastructure for highly distributed specialized capabilities among multiple sites connectedby the iGENI network, including digital media transcoding and streaming to multiple edge platforms, supported by scaleable cloud computing and network provisioning.
Challenge: Currently, enabling researchers to conduct experiments over large distances, such as tens of thousands of miles has been a di�cult complex process, requiring many individual manual tasks, system con�gurations, and physical implementations.Current Solution: These demonstrations, using innovative network programming techniques and methods, show how such experiments can be conducted on large scale, �exible infrastructure, in part by using virtualization at multiple levels. These demonstrations are based on a large scale programmable network infrastructure using enhanced control frameworks, including ORCA, which has been implemented within the National Lambda Rail.
The iGENI dynamic network provisioning demonstrations showcase capabilities for large scale (national and international) multiple domain dynamic provisioning, including L1/L2 path involving multiple sites, using specialized signaling and implementation techniques.
InternationaliGENI site #2International
iGENI site #4
C-WAVE Northwestern iGENI
iGENI
InternationaliGENI site #3
InternationaliGENI site #1
InternationaliGENI site #5
International TestbedsiGENI is establishing international multi-continental network testbeds for large scale experimental research. These testbeds can support the activities of interdisciplinary international research teams.
Vlan DVlan 869Vlan 870
10GE
Vlan DVlan 869Vlan 870
10GE
Vlan 533
NOX
C-WAVE
Vlan 347
Vlan 3792
N X GE
10GE
10GE
10GE
10GE
1GE
10GE
10GE
10GE
10GE
1GE1GE
10GE
10GE
KREONET
NCKU
KUAS
GISTDuke U N I V E R S I T Y
Vlan D
Vlan 1804
Vlan 461
meritVlan 1810
iGENI GEC 10 Demonstrations
The International Global Environment for Network Innovations project (iGENI)The International Global Environment for Network Innovations project (iGENI) is developing national andinternational distributed infrastructure to enable the creation of a virtual laboratory for exploring future internetsat scale. iGENI will ensure that GENI is truly global. Led by the International Center for Advanced Internet Research (iCAIR) at Northwestern University, the consortium includes the Electronic Visualization Laboratory (EVL) at the University of Illinois at Chicago; the California Institute for Telecommunications and Information Technology (Calit2) at the University of California, San Diego; Cisco Systems, Inc.; and the BBN Technologies GENI Program O�ce (GPO). iGENI Consortium members have formed partnerships with many participants in the Global Lambda Integrated Facility (GLIF) as well as with National Research and Education Networks (NRENs), and research consortia and institutions.
GENICloud
GEC10Demo site
Control/Displays
iGENICAVEwave et al
GENICloud
GENICloud iGENI
iGENI
InternationaliGENI site #1GENICloud
InternationaliGENI site #2GENICloud
Standortübergreifende Cloud-Infrastruktur im Rahmen der GENI Engineering Conference 2010, die heterogene Cloudsysteme über das Internet verbindet.
Vier Standorte nahmen teil: HP Labs Palo Alto (GENI), Northwestern University (GENI), UC San Diego (GENI), und die Technische Universität Kaiserslautern
(G-Lab). Die beiden Experimental Facilities GENI und GLab wurden dazu über einen dedizierten 1 Gbit/s Link miteinander gekoppelt, der über StarLink,
NetherLight, GÉANT und das X-WiN führte.
39INTERNATIONAL | DFN Mitteilungen Ausgabe 83 |
verwendet, die dann wiederum neue Erkenntnisse zur Nützlich-
keit bzw. Realitätstreue der Modelle liefern. Dies geschieht so
lange, bis das Modell ausreichend gut ist. Von daher reden wir
hier auch nicht von einem „Testbed“, sondern von einer „Expe-
rimental Facility“, die durch das Experiment unter Umständen
auch selbst beeinträchtigt werden kann. Ähnlich wie das CERN
eine Experimentalumgebung für physikalische Grundlagenfor-
schung bereitstellt, stellen GENI und G-Lab Experimentalumge-
bungen für die Internetforschung dar.
Dabei wird aber schnell klar, dass Arbeiten an einem möglichen
neuen Architekturmodell für ein zukünftiges Internet nicht nur
eine nationale Aufgabe darstellen, sondern nur in einer großen
internationalen Gemeinschaft organisiert und durchgeführt wer-
den können. Um diesem Aspekt Rechnung zu tragen, wurde 2009
ein plattformübergreifendes, gemeinsames Projekt zwischen GE-
NI und G-Lab definiert, das dann auf der GENI Engineering Con-
ference 2010 im Rahmen der iGENI Initiative in Puerto Rico de-
monstriert werden konnte.
Ziel des Projekts war die Erprobung einer standortübergreifen-
den Cloud-Infrastruktur, welche heterogene Cloudsysteme über
das Internet verbindet, um den hohen Ressourcenbedarf wis-
senschaftlicher Experimente zu decken. Vier Standorte nahmen
teil: HP Labs Palo Alto (GENI), Northwestern University (GENI),
UC San Diego (GENI) und die Technische Universität Kaiserslau-
tern (G-Lab). Die beiden Experimental Facilities GENI und G-Lab
wurden dazu über einen dedizierten 1 Gbit/s Link miteinander
gekoppelt, der über StarLink, NetherLight, GÉANT und das Deut-
sche Forschungsnetz gelaufen ist (s. Abbildung 1).
Eine solche übergreifende Cloud-Infrastruktur kann nur ermög-
licht werden, wenn es gelingt, die unterschiedlichen Arten von
Ressourcen, Tools und Cloud-Technologien über eine einheitliche
API anzusprechen. Die Amazon API kristallisiert sich momentan
als De-fakto-Standard heraus, weist aber einige Schwächen für
eine allgemeingültige Lösung auf, da Amazon sich auf bestimmte
Dienstleistungen fokussiert. Um nun auch zum Beispiel drahtlose
Knoten einzubinden, muss eine allgemeine API entwickelt wer-
den, die auch die Art der verfügbaren Ressourcen berücksichtigt.
Innerhalb des Projekts wurde untersucht, ob eine Kooperati-
on der verschiedenen Experimental Facilities mit den vorhan-
denen Schnittstellen und Frameworks möglich ist. Die zentra-
len Fragen waren:
• Ist es möglich, die verschiedenen Frameworks an den ein-
zelnen Standorten mit einer gemeinsamen Schnittstelle an-
zusprechen?
• Kann eine Infrastruktur geschaffen werden, die heteroge-
ne Cloudsysteme an den verschiedenen Standorten vereint?
• Können in dieser gemeinsamen Infrastruktur virtuelle Netze
für Experimente erstellt werden, die mehrere Systeme über-
spannen?
Als gemeinsame Schnittstelle und Abstraktionsschicht für die-
ses Projekt wurde die in GENI verbreitete „Slice based Federa-
tion Architecture (SFA)“ gewählt. SFA war an den GENI-Standor-
ten bereits verfügbar und konnte aufgrund der flexiblen Infra-
struktur einfach in die G-Lab-Plattform als neues Bootimage in-
tegriert werden.
Die zentrale Abstraktionseinheit von SFA ist der so genannte
Slice, eine logische Gruppe von Ressourcen, die sich aus virtu-
ellen Instanzen einer realen Infrastruktur zusammensetzt. Ein
Slice bildet gewissermaßen ein logisches verteiltes Netzwerk
von virtuellen Maschinen, das einem speziellen Projekt zugeteilt
wird. SFA bietet so eine simple Abstraktionsebene, die von vielen
Plattformen unterstützt werden kann. Die Abbildung von Spe-
zialfähigkeiten der einzelnen Plattformen über SFA stellt aber
eine gewisse Schwierigkeit dar.
Für das Experiment selbst wurden zwei unterschiedliche Cloud-
systeme, zum einen OpenStack (http://www.openstack.org) und
zum anderen Eucalyptus (http://www.eucalyptus.com) eingesetzt,
wobei die SFA als Vermittler zwischen den Benutzeranfragen und
den zugrundeliegenden Cloudsystemen genutzt wurde. Die SFA-
Schicht abstrahiert dabei von OpenStack (HP Labs) und Eucalyp-
tus (alle anderen Standorte); insbesondere in G-Lab wurde Euca-
lyptus als spezielles Bootimage genutzt. Im Rahmen des Experi-
mentes wurde ein MapReduce Algorithmus auf einem dedizierten
Repository mit Tracedaten (aus früheren Projekten) ausgeführt,
wobei der „Map“ und „Reduce“ Teil jeweils auf unterschiedlichen
Cloudsystemen realisiert wurde. Dabei waren insbesondere die
durch die (internationale) Verteilung entstehenden Verzögerun-
gen zu beachten. Die Ergebnisse wurden dann online auf der GE-
NI Engineering Conference 10 (GEC10) visualisiert
(http://groups.geni.net/geni/wiki/GEC10GENICloudEtAlDemo).
Mit dem Experiment konnte gezeigt werden, dass mit der Slice-
based Federation Architecture (SFA) ein Werkzeug zur Verfügung
steht, das nicht nur bestimmte Ressourcen föderieren kann, son-
dern darüber hinaus einen Abstraktionsmechanismus zur Föde-
rierung unterschiedlicher, heterogener Cloudsysteme zur Verfü-
gung stellt. Damit konnten die oben genannten zentralen Fra-
gen auf der Basis der SFA überzeugend beantwortet werden. M
(1) Mark Hendley, University College London
(2) „AKARI“ bedeutet so viel wie „a small light“ in Japanisch.
(3) G-Lab wurde vom BMBF von 2008 – 2012 gefördert
(4) Hier sind wir insbesondere dem DFN Verein dankbar, dass er die Konnekti-
vität für dieses Experiment zur Verfügung stellen konnte.
40 | DFN Mitteilungen Ausgabe 83 | November 2012 | INTERNATIONAL
Global Research & Education Network Lea-ders identify and work on top-challenges
At a retreat in Geneva, Switzer-
land in September 2012, thirteen
leaders of National Research and
Education Network (NREN) orga-
nizations from around the world
met in a historic meeting to dis-
cuss global NREN strategy.
The Chief Executive Officers of AARNet (Aus-
tralia), CANARIE (Canada), CERNET (China),
CUDI (Mexico), DFN (Germany), Internet2
(USA), Janet (UK), NORDUnet (European Nor-
dics), REANNZ (New Zealand), RedCLARA (La-
tin America), RENATER (France), RNP (Bra-
zil), and SURFnet (The Netherlands) spent
two days discussing the common strate-
gic challenges they face in delivering ad-
vanced ICT services to the Research and
Education communities they serve. With
Research already a global endeavor and
Education becoming increasingly more
so, the CEOs recognized an urgent need
to prepare a seamless global service deli-
very for users in the Research and Educa-
tion community.
Outcomes of the meeting include the iden-
tification of four major challenges the CEOs
face in delivering a high-performance glo-
bal cyber-infrastructure (e-infrastructure).
The four agreed upon challenges include
(in no particular order of priority):
1. Global Network Architecture – A well-
defined, inclusive, global architecture for,
and a roadmap towards, interconnecting
the Research and Education Networks on a
global scale, taking into account input from
the large science & education projects.
2. Global Federated Identity Management
– A global, interworking architecture for,
and a roadmap towards, the delivery of
federated identity management for the
R&E community to fully interoperate,
using open standards and enabling glo-
bal service delivery.
3. Global Realtime Communications Ex-
change – An interworking system for mul-
ti-domain video/audio conferencing sys-
tems, with directory systems that inter-
work based on open standards, using their
identity federation & directories, capable
of supporting virtual organizations.
4. Global service delivery – A model for glo-
bal above-the-net service delivery to the
NREN‘s constituencies, leveraging aggrega-
tion of supply and demand through scale.
For each of these challenges, the NREN lea-
ders decided that a project owner be ma-
de available as soon as possible to drive
the creation of an action plan and to de-
liver results as planned.
The retreat concluded with continued dis-
cussion on future methods for strengthe-
ning global NREN collaboration to achie-
ve a high-performance global cyber-infra-
structure. The gathering adjourned with
the CEOs deciding to move forward in what
they now call the “Global Research & Edu-
cation Network CEOs Forum”. A next mee-
ting is planned for Spring 2013, with con-
tinued high-definition video conferenci-
ng meetings planned in the interim. (kh)
Gruppenbild NREN CEOs
41INTERNATIONAL | DFN Mitteilungen Ausgabe 83 |
Radioteleskop der Hartebeesthoek Radio Astronomy Observatory, Süd-Afrika; Foto: © Dr. Michael Gaylard
Crossing the Equator – a new high-speed link connects African radio astronomers to Europe
First point-to-point research network circuit between Europe and Africa enables
astronomers to create a more detailed view of the universe
42 | DFN Mitteilungen Ausgabe 83 | November 2012 | INTERNATIONAL
Radio astronomers in Africa and across the
globe will benefit from faster collaboration
through a dedicated, high speed 15,000 km
network link between the pan-European
GÉANT and African UbuntuNet Alliance edu-
cation networks announced today.
The 2Gbps point-to-point circuit will enab-
le astronomers at the Hartebeesthoek Ra-
dio Astronomy Observatory (HartRAO) in
South Africa to stream observational da-
ta to the Joint Institute for VLBI in Europe
(JIVE) in the Netherlands for processing and
correlation, and is the first point-to-point
circuit between GÉANT and UbuntuNet.
HartRAO, located in a valley in the Maga-
liesberg hills, 50 km west of Johannesburg,
is the only major radio astronomy obser-
vatory in Africa. Through the technique
of Very Long Baseline Interferometry (VL-
BI), it collaborates with radio telescopes
on other continents to form a virtual te-
lescope the size of the Earth.
Combining observations from multiple te-
lescopes using VLBI allows more detailed
observations of distant astronomical ob-
jects than with any other technique. Infor-
mation is sent in real-time from radio tele-
scopes around the world to JIVE, where the-
se enormous volumes of simultaneous ob-
servation data are correlated to form high
resolution images of cosmic radio sources.
The establishment of the point-to-point cir-
cuit is part of the European VLBI Network’s
(EVN) e-EVN development programme for
electronic VLBI (e-VLBI). This uses high
speed research networks to transfer da-
ta for processing in real-time is an alterna-
tive to the traditional VLBI method of recor-
ding and shipping data on disk. e-VLBI ena-
bles observations of transient phenomena
such as supernovae, using the highest re-
solution astronomical technique possible.
“This is collaborative research and edu-
cation networking at its best,” said Dr F
F (Tusu) Tusubira, CEO of the UbuntuNet
Alliance. “Providing a point-to-point link
between Hartebeesthoek and JIVE in the
Netherlands benefits the entire global ra-
dio astronomy community, as it enables
faster, more detailed observations to be
shared in real-time and consequently dra-
matically increases our knowledge of the
universe.”
The point-to-point circuit will seamlessly
add the 26m telescope at Hartebeesthoek
into the e-EVN array at the highest possi-
ble data rate. It will be used for a series of
10 observing sessions annually to observe
targets that would benefit from the rapid
turnaround that analysing the data in real
time provides. The fast turnaround of re-
sults through the e-EVN enables decisions
on further observations to be made whilst
the astronomical event is still in progress,
thereby enabling the study of more rapid
transients, such as supernovae.
“This new link between Africa and Europe is
the perfect example of close co-operation
between research networks across the glo-
be, working together to provide astrono-
mers and scientists with the infrastructure
they need to advance their work,” said Ca-
thrin Stöver, Chief International Relations
Officer, DANTE, the organisation which on
behalf of Europe’s National Research and
Education Networks (NRENs) has built and
operates the GÉANT network. “As the first
point-to-point link between Europe and
Africa, it shows the truly global nature of
research and should encourage even gre-
ater collaboration between the two con-
tinents moving forward.”
For the global radio astronomy community,
adding HartRAO into the e-EVN array will
improve the North/South resolving pow-
er, thereby allowing more detailed sour-
ce structure to be seen, especially in the
southern sky.
Research data gathered at HartRAO, a
member institution of the South African
national research and education network
(NREN), TENET, flows in succession across
the networks of TENET, UbuntuNet, GÉANT
and Dutch NREN SURFnet . M (kh)
About UbuntuNet Alliance
UbuntuNet Alliance is the regional Research and Education Network for
East and Southern Africa. It is an Alliance of 13 NRENs in the region aiming
at interconnecting with each other and connecting to other regional net-
works globally. The Alliance is also working towards enabling collabora-
tion in research and education over world class networks. The Alliance
was established in 2005 and registered in 2006 as a not-for-profit regio-
nal association of NRENs in Eastern and Southern Africa. It has partici-
pated in several EU FP7 projects and is committed to the role of the ad-
vanced networks in unlocking Africa’s intellectual potential by ensuring
that African Researchers and Educators achieve equity with the rest of
the world through equitable access to global knowledge infrastructure.
The Alliance is working with DANTE on the implementation of the Africa-
Connect project which builds on a proven relationship between Europe
and sub-Sahara Africa.
www.ubuntunet.net
43SICHERHEIT | DFN Mitteilungen Ausgabe 83 |
Text: Heike Ausserfeld (DFN-Verein), Dr. Ralf Gröper (DFN-Verein), Ralf Paffrath (DFN-Verein)
Sicherheit aktuell
Baseline Requirements des CA/Browserforums in Kraft
Am 01. Juli 2012 ist die Version 1.0 der Base-
line Requirements des CA/Browserforums
in Kraft getreten. Diese umfassen Mindest-
standards für das Betreiben einer brow-
serverankerten CA, auf die sich Browser-
und Betriebssystemhersteller sowie CAs
geeinigt haben. Die Einhaltung der Base-
line Requirements ist inzwischen Vor-
aussetzung, um die Browserverankerung
einer CA sicherzustellen. Die Regelungen
gelten nicht nur für die im Browser ver-
ankerte Root-CA sondern auch für deren
Sub-CAs. Daher musste auch die DFN-PKI
entsprechend angepasst werden. Die An-
forderungen sind in der aktuellen Policy
der DFN-PKI bereits berücksichtigt wor-
den (s.u.). M
Neue Policy in der DFN-PKI
Am 26. Juni 2012 ist die Version 2.3 der Po-
licy der DFN-PKI in Kraft getreten. Hierbei
wurden Änderungen umgesetzt, die im
Rahmen des ETSI-Audits der DFN-PKI und
der Umsetzung der Baseline Requirements
des CA/Browserforums notwendig wur-
den. Die größten Änderungen mit Auswir-
kungen außerhalb der DFN-PCA sind zum
einen die Umbenennung der Registrie-
rungsstellen (RA) bei den Anwendern in
Teilnehmerservice (TS) sowie die Umstel-
lung der bisherigen RA-Operator-Zertifika-
te auf personengebundene Teilnehmer-
service-Mitarbeiter-Zertifikate. Bisher wa-
ren hierfür auch Gruppenzertifikate er-
laubt. Darüber hinaus haben sich die
Aufbewahrungsfristen für die im Regist-
rierungsprozess anfallenden Unterlagen
geändert. Im November 2012 wird eine wei-
tere neue Policyversion veröffentlicht, in
der formale Änderungen für die ETSI-Kon-
formität durchgeführt werden. Weitere
Änderungen für die DFN-Anwender erge-
ben sich hieraus nicht. M
Sperrinformationen in Google Chrome
Kurz nach dem Beitrag in den Kurzmittei-
lungen Sicherheit in den letzten DFN-Mit-
teilungen zum Thema „Google Chrome soll
keine Sperrinformationen mehr abrufen“
wurde eine neue Version von Google Chro-
me veröffentlicht, die in der Standardein-
stellung tatsächlich keine Sperrinforma-
tionen für Serverzertifikate von besuch-
ten Seiten mehr abruft. Dies kann in den
Optionen wieder aktiviert werden: Einstel-
lungen → Erweiterte Einstellungen anzei-
gen... → HTTPS/SSL → Haken bei „Server-
zertifikate auf Sperrung prüfen“ setzen.
Wir empfehlen, diese Option zu aktivie-
ren. Ob Ihr Browser Sperrinformationen
korrekt abruft können Sie unter https://
revoked-demo.pca.dfn.de/ testen. Ein kor-
rekt konfigurierter Browser unterbindet
den Zugriff auf die Seite mit einem Hin-
weis darauf, dass das Zertifikat gesperrt
wurde. M
Unterstützte Systeme der Schwachstellenmeldungen
Aufgrund der stetig steigenden Anzahl
wurden die unterstützten Systeme der
im Rahmen des DFN-CERT Dienstes erstell-
ten Schwachstellenmeldungen angepasst.
Weniger häufig eingesetzte Systeme wie
Mandriva Linux und HP-UX werden nicht
mehr unterstützt. Die unterstützten Sys-
teme sind im Katalog der unterstützten
Systeme unter https://www.cert.dfn.de/
schwachstellen/systeme/ dokumentiert. M
Schwachstelle in radsecproxyaufgedeckt
In radsecproxy 1.6, das in eduroam einge-
setzt wird, wurde durch den DFN-Verein
eine Sicherheitslücke entdeckt, welche in
Zusammenarbeit mit dem DFN-CERT analy-
siert und an die entsprechenden Entwick-
ler gemeldet wurde. Die Lücke betrifft Fö-
derations-Server, die mehr als eine PKI ein-
setzen, z.B. die DFN-PKI und eduPKI. Hier-
bei kann es vorkommen, dass ein Client
als Föderationserver authentifiziert wird,
obwohl der Client nicht dafür autorisiert
ist. Der Fehler wurde behoben, bevor ein
Angriff über diesen Weg bekannt wurde.
Die Schwachstellenmeldung des DFN-CERT
finden Sie unter https://portal.cert.dfn.de/
adv/DFN-CERT-2012-1791. M
20. DFN-Workshop „Sicherheit in vernetzten Systemen“
Der DFN-Verein veranstaltet am 19. und 20.
Februar 2013 in Zusammenarbeit mit dem
DFN-CERT den 20. DFN Workshop „Sicher-
heit in vernetzten Systemen“ in Hamburg.
Diese im Sicherheitsbereich etablierte Ver-
anstaltung beinhaltet Beiträge zu vielfäl-
tigen Aspekten der IT-Sicherheit. Diesmal
geht es u.a. um Angiffsszenarien auf ver-
netzte Gebäudetechnik und Multifunkti-
onsgeräte. Weitere Informationen und die
Möglichkeit zur Anmeldung gibt es unter
http://www.dfn-cert.de/veranstaltungen/
workshop.html. M
Kontakt
Wenn Sie Fragen oder Kommentare
zum Thema „Sicher heit im DFN“ ha-
ben, schicken Sie bitte eine Mail an
44 | DFN Mitteilungen Ausgabe 83 | November 2012 | RECHT
Es bleibt alles anders!Die gegen das Urteil des Landgerichts Stuttgart eingelegte Berufung in einem Rechts-
streit zwischen der Fernuniversität Hagen und der Alfred Kröner Verlag GmbH & Co.
KG wurde mit großer Spannung erwartet – nun ist die Entscheidung da (Urteil vom
04.04.2012 – Az.: 4 U 171/11). Hierin bestätigt das Oberlandesgericht Stuttgart, dass die
Fernuniversität Hagen sich in Bezug auf die ihren Studierenden im Intranet zur Ver-
fügung gestellten Ausschnitte eines Psychologie-Lehrbuches nicht auf die Regelung
des § 52a UrhG berufen kann. Allerdings stellt das Gericht in der Urteilsbegründung
die durch die Vorinstanz aufgestellten Grundsätze größtenteils auf den Kopf. Diese
neuen Vorgaben zur Frage, inwieweit Hochschulen ihren Studierenden wissenschaft-
liche Texte in digitaler Form zur Verfügung stellen dürfen, gilt es fortan zu beachten.
Zumindest bis der Bundesgerichtshof das letzte Wort gesprochen hat.
OLG Stuttgart zur Reichweite des § 52a Urheberrechtsgesetz
Text: Julian Fischer (Forschungsstelle Recht im DFN)
I. Die bisherige Rechtslage zu § 52a UrhG
Die Regelung des § 52a UrhG erlaubt es den Hochschulen zur Ver-
anschaulichung des Unterrichts kleine Teile eines Werkes (bei-
spielsweise eines Lehrbuches), Werke geringen Umfangs sowie
Beiträge aus Zeitungen oder Zeitschriften einem bestimmten
abgegrenzten Kreis von Personen öffentlich zugänglich zu ma-
chen. Die Norm des § 52a UrhG ermöglicht somit Hochschulen
ohne Zustimmung des Urhebers dessen Werk im Intranet hoch-
zuladen und den Studierenden zur Verfügung zu stellen, soweit
dies zu dem angestrebten Zweck geboten und zur Verfolgung
nicht kommerzieller Zwecke gerechtfertigt ist. Mangels Recht-
sprechung war die Reichweite der Erlaubnisvorschrift zwischen
den Verlagsgesellschaften und den wissenschaftlichen Einrich-
tungen lange Zeit umstritten, bis im September letzten Jahres
das Landgericht Stuttgart erstmalig Stellung zu der Frage bezog
(siehe hierzu Herring, „Die Vorschrift des § 52a Urheberrechtsge-
setz – ein Auslaufmodell?“, DFN-Infobrief Recht 1/2012).
II. Die neuen Vorgaben des OLG Stuttgart
Die damals vom Landgericht Stuttgart getroffenen Aussagen sind
nunmehr als überholt anzusehen. Die Hochschulpraxis muss sich
stattdessen an den höhergerichtlichen Vorgaben des OLG Stutt-
gart orientieren, die Auskunft darüber geben, inwieweit die Vor-
schrift des § 52a UrhG es erlaubt, den Unterrichtsteilnehmern
wissenschaftliche Beiträge zum Online-Abruf bereitzustellen.
1. „Kleine Teile eines Werkes“ bedürfen der Einzelfallbetrachtung
Eine der wesentlichsten Fragen der Berufung bestand darin, zu
beantworten, in welchen Grenzen der Gesetzgeber noch von „klei-
nen Teilen“ eines Werkes ausgeht. Während das LG Stuttgart die
zulässige Entnahmegrenze im Verhältnis zum Gesamtwerk bei
10% des didaktisch relevanten Umfangs ansetzte und dabei aus-
schließlich Textseiten als berücksichtigungsfähig einstufte, hält
das OLG Stuttgart weder eine feste Prozentgröße noch ein Be-
grenzung auf inhaltlich relevante Passagen für möglich. Vielmehr
seien auch Inhaltsverzeichnis, Stichwortregister und Literatur-
verzeichnis für den Studenten sinnvoll, weil damit Vertiefungen
und weitere Recherchen ermöglicht werden. Anderenfalls wür-
de man den denkbaren Einzelfallkonstellationen nicht gerecht
werden und es bestünde die Möglichkeit, dass im Ergebnis we-
sentliche Kernteile eines Werkes öffentlich zugänglich gemacht
werden. Daher sei immer eine am Einzelfall orientierte Sicht-
weise erforderlich, weil „kleine Teile“ eben nicht zahlenmäßig
bestimmbar seien, sondern die Beantwortung der Frage immer
45RECHT | DFN Mitteilungen Ausgabe 83 |
einer am Einzelfall orientierten Aussage bedürfe. Abwägungs-
kriterium sei jeweils die Frage, ob das Nutzerinteresse nach öf-
fentlichem Zugang die Beeinträchtigung der Rechteinhaber am
Primärmarkt überwiege, das heißt, ob die Bereitstellung im Int-
ranet dazu führt, dass die Nutzer von einem anderweitigen Er-
werb des Werkes abgehalten werden.
Die Tatsache, dass die Festlegung einer bestimmten relevanten
Prozentgröße mehr Rechtsicherheit begründen und die Handha-
bung der Vorschrift in der Praxis erheblich vereinfachen würde,
kann an dieser Interpretation laut OLG Stuttgart nichts ändern.
Allenfalls sei die Bestimmung einer absoluten Obergrenze denk-
bar, wobei die zwischen der Verwertungsgesellschaft Wort und
den Bundesländern vereinbarte Höchstgrenze von maximal 100
Seiten aufgegriffen und als sinnvoll erachtet wird.
2. „Zur Veranschaulichung im Unterricht“ erfordert themati-
sche Unterrichtsergänzung
Dem Berufungserfolg der Fernuniversität Hagen stand nach der
Urteilsbegründung insbesondere entgegen, dass die konkrete
Bereitstellung von Lehrbuchausschnitten nicht der Veranschau-
lichung des Unterrichts diente. So sah das OLG Stuttgart dieses
Kriterium bei neun der insgesamt vierzehn ins Intranet gestell-
ten Personen der Psychologiegeschichte als nicht erfüllt an. Sie
würden nicht den erforderlichen vertiefenden Erkenntnisgewinn
liefern, sondern seien lediglich bloße Ergänzungen. Es fehle inso-
weit an der notwendigen Bezugnahme auf den behandelten Un-
terrichtsstoff. Dabei betont das Gericht, dass die Bereitstellung
nicht dazu führen dürfe, dass der eigentliche Unterricht sich auf
diese Weise eigene Darstellungen erspare. Das Wort „veranschau-
lichen“ bedeute, dass man etwas erkläre, indem man Beispiele
gebe, etwas sichtbar mache, verdeutliche, illustriere oder visu-
alisiere. Diese Anforderungen seien zu erfüllen, wenn man dem
§ 52a UrhG gerecht werden wolle.
In diesem Zusammenhang stellten die Richter jedoch klar, dass
das Merkmal „zur Veranschaulichung im Unterricht“ nicht be-
deute, dass eine Verwendung im Unterricht erfolgen müsse. Ei-
ne Beschränkung auf die eigentliche Unterrichtszeit oder Un-
terrichtsveranstaltung sei der Regelung des § 52a UrhG nicht
zu entnehmen. Stattdessen liege der Vorschrift gerade das Ver-
ständnis zugrunde, dass auch die Vor- und Nachbearbeitung von
Hausarbeiten am heimischen Computer miterfasst sein solle.
3. „Bestimmt abgegrenzter Kreis von Unterrichtsteilnehmern“
gilt auch für eine Fernuniversität
Des Weiteren dürften die Materialien nur denjenigen Studenten
online zugänglich gemacht werden, die das betreffende Fach bele-
gen oder die betreffende Veranstaltung besuchen, wobei auf den
der jeweiligen Unterrichtseinheit angehörenden Personenkreis
abzustellen sei. Dass der Kreis der Teilnehmer im Fall der Fern-
universität Hagen mit ca. 4000 Zugangsberechtigten wesentlich
größer ausfalle als bei einer Universität mit Präsenzunterricht,
sei laut OLG Stuttgart unerheblich. Weder die höhere Anzahl
noch die fehlende geografische Beschränkung führe dazu, dass
der Teilnehmerkreis unbestimmt oder unbegrenzt ausgeweitet
würde, worauf es bei der erforderlichen Eingrenzung ankomme.
Entscheidend sei hierbei letztlich die Sicherstellung der abge-
grenzten Benutzung durch die Einrichtung von Zugangskontroll-
systemen, damit das Werk nur für die jeweiligen Unterrichtsteil-
DFN-Infobrief Recht als Kompendium
Seit 2011 werden die DFN-Infobriefe Recht vom DFN-
Verein zusätzlich zur laufenden Publikation über das
Netz auch als gedruckter Jahres-Sammelband heraus-
gegeben. In den Sammelbänden sind alle Artikel, die
im Laufe eines Jahres veröffentlich wurden, enthalten.
Der Jahresband 2011 kann über die Geschäftsstelle des
DFN-Vereins bezogen werden. Bitte kontaktieren Sie
uns per E-Mail unter [email protected]
Infobrief RechtInfobrief Recht
DFN-Infobrief RechtJahresband 2011
Deutsches Forschungsnetz DFN-Infobrief Recht Jahresband | 2011
www.dfn.de
46 | DFN Mitteilungen Ausgabe 83 | November 2012 | RECHT
nehmer verfügbar sei. Im Übrigen führe auch die Zulassung von
„Wiederholern“ nicht zu einer anderen Bewertung. Der dem Un-
terrichtsmodul angehörende Personenkreis sei weiterhin ausrei-
chend eingeschränkt; eine unbegrenzte oder gar unkontrollier-
bare Öffnung finde hierdurch nicht statt. Auch einer Fernuniver-
sität müsse es letztlich möglich sein, sich auf die Vorschrift des
§ 52a UrhG zu berufen.
4. „Gebotenheit der Bereitstellung“ verlangt eine Gesamtab-
wägung
Die Beantwortung der Frage, ob das Kriterium der „Gebotenheit
der Bereitstellung“ als erfüllt angesehen werden kann, bedarf
laut OLG Stuttgart einer Gesamtabwägung im Einzelfall. Diese sei
zwischen dem Bedürfnis der Zugänglichmachung und dem Grad
der Beeinträchtigung des Rechteinhabers vorzunehmen. Dafür
sei es besonders relevant, ob die Zugänglichmachung die norma-
le Verwertung des Werkes auf dem Primärmarkt beeinträchtige.
Im zu beurteilenden Rechtsstreit entschied die Berufung, dass
die konkret vorgenommene Einstellung ganzer Lehrbuchkapi-
tel seitens der Fernuniversität Hagen dazu geführt habe, dass
ein Erwerb des Buches für die Studenten nicht mehr erforderlich
gewesen sei. Hierdurch seien die Verwertungsrechte des Verla-
ges unverhältnismäßig eingeschränkt worden, da es hierzu be-
reits genüge, wenn die „normale“ Verwertung des Werks bereits
mittelbar beeinträchtigt werde. Dabei orientierte sich das OLG
Stuttgart vor allem an dem Kriterium, ob die Teilnehmer des be-
troffenen Kurses das Buch letztlich nicht mehr erwerben muss-
ten, um den Pflichtfachstoff bearbeiten und die Klausur beste-
hen zu können.
Die Gebotenheit sei – wie das Gericht hinzufügte – jedoch nicht
bereits dann zu verneinen, wenn das betreffende Werk ohne
erheblichen Aufwand in digitalisierter oder analoger Form be-
schafft werden könne. Der Gesetzgeber wolle vielmehr gerade
die Möglichkeit einer digitalisierten Informationsvermittlung
für kleine Werkteile ermöglichen. Einer entsprechend vorher vor-
zunehmenden Marktanalyse bedarf es somit zumindest nicht.
5. „Zugänglichmachung“ erlaubt lediglich die Ansicht am Bild-
schirm
Besondere Beachtung verdient die Interpretation des OLG Stutt-
gart zur generellen Reichweite des § 52a UrhG. Die Vorinstanz
hatte es diesbezüglich im Rahmen der Vorschrift noch für zu-
lässig erachtet, dass zumindest drei Seiten eines Werkes in ei-
nem Format angeboten werden, welches auch den Download
bzw. das dauerhafte Speichern auf den Computern der Studie-
renden ermögliche. Die Berufung hingegen erteilt sowohl der
Möglichkeit der Anfertigung von digitalen Kopien als auch der
eines Ausdrucks der ins Netz gestellten Materialien eine Absage.
Durch § 52a UrhG sei nur das Bereithalten zum Lesen am Bild-
schirm legitimiert. Dies folge daraus, dass die Vorschrift ledig-
lich die öffentliche Zugänglichmachung, nicht aber anderwei-
tige Verwertungsmöglichkeiten, wie etwa die Anfertigung digi-
taler Kopien, erlaube. Würde neben dem bloßen Bereithalten
zur Ansicht eine Download- oder Druckoption angeboten, wäre
damit die Einräumung einer Vervielfältigungsmöglichkeit ver-
bunden, die vom gewährten Recht der „Zugänglichmachung“
nicht mehr gedeckt sei.
III. Fazit
Das Urteil des OLG Stuttgart ist für die Hochschulpraxis wenig
hilfreich. Es bringt mehr Verwirrung als Klarheit in die Frage,
welche und vor allem wie viele Materialien ein Hochschullehrer
seinen Studierenden auf einer Online-Lernplattform zur Verfü-
gung stellen darf. So muss sowohl die Beantwortung der Frage,
was noch als „kleiner Teil“ eines Lehrbuches angesehen werden
kann, als auch die der Frage, ob die Bereitstellung die Verwer-
tungsrechte des Verlages bzw. Rechteinhabers „unzumutbar“
einschränkt, vom Dozenten individuell vorgenommen werden.
Die Rechtsprechung bietet hier weder einen Richtwert noch an-
derweitig verlässliche Kriterien an. In jedem Fall ist bei der Zu-
sammenstellung von Literatur fortan besonders darauf zu ach-
ten, dass diese eine vor- oder nachbereitende Ergänzung zum
behandelten Unterrichtsstoff darstellt und nicht einfach selbi-
gen ersetzt oder jeglichen Unterrichtsbezug vermissen lässt. Da-
neben muss nunmehr ein technisches Format gewählt werden,
welches lediglich die Ansicht am Bildschirm, nicht jedoch den
Ausdruck oder die Möglichkeit des Downloads erlaubt.
Vor diesem Hintergrund bleibt zu hoffen, dass die zugelasse-
ne Revision zum Bundesgerichtshof die Entscheidung des OLG
Stuttgart zugunsten der Rechtssicherheit, Wissenschaft und vor
allem der Lehre verändert. Andernfalls werden die Hochschulen
gezwungen sein, tendenziell deutlich weniger Materialien zur
Verfügung zu stellen. Die Leidtragenden sind die Studierenden,
die sich die wesentliche Literatur der Unterrichtseinheit zukünf-
tig deutlich aufwendiger und kostspieliger besorgen müssen.
Die Verlagslobby hingegen wird das Urteil vor diesem Hinter-
grund erfreut zur Kenntnis genommen haben.
Abzuwarten bleibt neben der zugelassenen Revision zum Bun-
desgerichtshof auch eine politische Entscheidung. So handelt es
sich bei der Erlaubnisvorschrift des § 52a UrhG um eine bis Ende
des Jahres befristete Rechtsnorm. Diese Befristung soll der Fest-
stellung dienen, ob die Rechte der wissenschaftlichen Verleger
durch die Regelung unzumutbar beeinträchtigt werden. Hier-
von kann nach den aktuell geltenden Vorgaben des OLG Stutt-
garts nur noch bedingt ausgegangen werden. Allerdings stellt
sich die Frage, inwieweit die Regelung – bei Zugrundelegung
der nunmehr zu beachtenden Vorgaben – überhaupt noch pra-
xistauglich und sinnvoll ist. M
47RECHT | DFN Mitteilungen Ausgabe 83 |
Rapidshare vs. Rechte-inhaber – Ende einer unendlichen Geschichte?Der Bundesgerichtshof hat kürzlich in seinem Urteil vom 12.07.2012 (Az. I ZR 18/11)
erstmals zur Haftung von File-Hosting-Diensten wie „Rapidshare.com“ für Urheber-
rechtsverletzungen Stellung bezogen. Der für das Urheberrecht zuständige I. Zivil-
senat des Bundesgerichtshofs (BGH) hat entschieden, dass Betreiber sogenannter
File-Hosting-Dienste bei begangenen Urheberrechtsverletzungen der Nutzer grund-
sätzlich weder Täter noch Gehilfen seien. Sollten sie jedoch Prüfungspflichten ver-
letzt haben, komme eine Haftung als Störer auf Unterlassung in Betracht.
Bundesgerichtshof bezieht Stellung zur Haftung von File-Hosting-
Diensteanbietern bei Urheberrechtsverletzungen
Text: Kevin Kuta (Forschungsstelle Recht im DFN)
48 | DFN Mitteilungen Ausgabe 83 | November 2012 | CAMPUS
I. Einleitung
Sowohl im Privaten als auch im Berufsleben drängen Faktoren wie
Mobilität und Effektivität stark in den Vordergrund. Um diesen
Ansprüchen gerecht werden zu wollen, müssen Mitarbeiter und
Studenten ihre Arbeitsmaterialien im Idealfall 24 Stunden am Tag
direkt abrufbar haben. Sobald man Dateien ausschließlich auf der
Festplatte eines Laptops oder PCs speichert, ist man an das ent-
sprechende Gerät gebunden. Zwar kann man die entsprechenden
Daten auch auf einer externen Festplatte oder einem Memory-Stick
speichern, um eine größere Mobilität zu erreichen. Jedoch kann
es beim Anschluss dieser Geräte an die IT-Endgeräte eines Unter-
nehmens oder einer Hochschule Probleme geben. Eine einfache-
re und handlichere Möglichkeit zur zentralen Datenspeicherung
und -verwaltung stellen sog. File-Hosting-Dienste dar, die teilwei-
se auch unter den Bezeichnungen Sharehoster, One-Klick-Hoster,
Filehoster oder Cyberlocker kursieren.
Diese Anbieter stellen ihren Nutzern virtuellen Speicherplatz zur
Verfügung. Die Nutzer können ihre persönlichen Dateien auf der
Internetseite der Diensteanbieter hochladen und damit auf de-
ren Servern speichern. Der Abruf dieser Dateien geschieht denk-
bar einfach: Nach dem Hochladen wird dem Nutzer ein Link zur
Verfügung gestellt, über den die abgelegte Datei abgerufen wer-
den kann. Durch diese Form der Datenspeicherung ist eine größt-
mögliche Mobilität und Effektivität gewährleistet. Man benötigt
lediglich einen Internetzugang. Dementsprechend besteht ge-
rade bei der Nutzung größerer Datenmengen ein beträchtliches
Interesse und Bedürfnis an der legalen Nutzungsmöglichkeit die-
ser Dienste, weswegen diese auch in großer Zahl vorhanden und
üblich sind. Durch die einfache Handhabung dieser Plattformen
wird jedoch auch dem Missbrauch Tür und Tor geöffnet. Im Mit-
telpunkt stehen hier vor allem Urheberrechtsverletzungen, ins-
besondere in den Bereichen Musik, Film und Software.
Hochschulen stellen ihren Mitarbeitern und Studenten häufig
Speicherplatz zur Verfügung. Darüber hinaus bieten sie vielfach
Lernplattformen sowie Speicherplatz für Webseiten von Studen-
teninitiativen oder Drittmittelprojekten an. Damit treten sie in
ähnlicher Weise als Host-Provider auf.
II. Bisherige Rechtslage
Die Rechtsprechung war bisher sehr uneinig, was die Behand-
lung von File-Hosting-Diensten und deren Haftung für Urheber-
rechtsverletzungen betrifft. Dabei haben sich zwei Lager her-
auskristallisiert.
Zugunsten von Host-Providern spricht sich das OLG Düsseldorf
(Urteil vom 27.04.2010 – Az. I-20 U 166/09 – „Rapidshare“; Urteil vom
06.07.2010 – Az. I-20 U 8/10 – „Rapidshare II“; Urteil vom 21.12.2010
– Az. I-20 U 59/10 – „Rapidshare III”) aus. Erfolgt nach der Spei-
cherung auf dem Speicherplatz des Host-Providers ein öffent-
liches „Zugänglichmachen” im Sinne des § 19a Urheberrechts-
gesetz (UrhG), ist nach Ansicht des Gerichts der Host-Provider
nur dann verantwortlich, wenn er im zumutbaren Umfang von
der Veröffentlichung Kenntnis erlangt hat und eine solche Ver-
öffentlichung hätte unterbinden können. Nach dieser Auffas-
sung hat daher zunächst eine Sperrung der beanstandeten Da-
tei zu erfolgen. Des Weiteren muss neben dieser Sperrung die
zumutbare Vorsorge getroffen werden, dass es möglichst nicht
zu weiteren derartigen Rechtsverletzungen kommt.
Gegenteiliger Ansicht ist das OLG Hamburg (Urteil vom 02.07.2008
– Az. 5 U 73/07 – „Rapidshare“; Urteil vom 14.03.2012 – Az. 5 U
87/09). Nach dessen Auffassung leistet ein Geschäftsmodell, das
aufgrund seiner Struktur die Möglichkeit des anonymen Hoch-
ladens in Pakete zerlegter, gepackter und mit Kennwort gegen
den Zugriff geschützter Dateien eröffnet, der massenhaften Be-
gehung von Urheberrechtsverletzungen wissentlich Vorschub.
Ein derartiges Modell könne nicht von der Rechtsordnung ge-
billigt werden. Lässt der Host-Provider in Kenntnis begangener
Urheberrechtsverletzungen weiterhin einschränkungslos eine
anonyme Nutzung seines Dienstes zu, schneidet er dem verletz-
ten Urheber den erforderlichen Nachweis wiederholter Bege-
hungshandlungen ab, welchen dieser benötigt, um seine Rechte
erfolgreich und wirksam durchsetzen zu können. In diesem Fall
kann sich der Betreiber zur Vermeidung seiner Verantwortlich-
keit als Störer unter bestimmten Voraussetzungen nicht mehr
auf eine ansonsten gegebenenfalls bestehende Unzumutbarkeit
umfangreicher Prüfungspflichten berufen. Damit spricht sich
diese Ansicht bei begangenen Schutzrechtsverletzungen neben
einer Sperrung für umfassende Prüfungspflichten der Speicher-
plattformbetreiber aus.
III. Neuerungen durch das Urteil des BGH
Mit dem Urteil des BGH vom 12.07.2012 liegt nun erstmals die
Entscheidung eines obersten Gerichtes zu dieser Thematik vor.
Nach Ansicht des BGH können File-Hosting-Diensteanbieter für
nutzerseitige Urheberrechtsverletzungen erst dann in Anspruch
genommen werden, wenn sie auf eine eindeutige und gleichar-
tige Rechtsverletzung hingewiesen worden sind.
1. Keine Prüfungspflicht ohne tatsächliche Anhaltspunkte
File-Hosting-Diensteanbieter kennen den Inhalt der hochgela-
denen Dateien nicht. Weiterhin unterhalten sie kein Inhaltsver-
zeichnis dieser Dateien. Es besteht jedoch die Möglichkeit, dass
Dritte nach bestimmten Dateien auf den Servern der File-Hos-
ting-Dienstebetreiber suchen können. Dies ist einerseits durch
die Verwendung bestimmter Begriffe mittels der allgemeinen
Suchmaschinen möglich. Darüber hinaus gibt es andererseits
49RECHT | DFN Mitteilungen Ausgabe 83 |
aber auch spezielle Suchmaschinen, die als sog. Link-Sammlun-
gen bezeichnet werden. Diese Suchmaschinen durchsuchen aus-
schließlich die Sammlungen der von den File-Hosting-Diensten
an den Nutzer übermittelten Links und zeigen Dritten alle er-
hältlichen Links zu einem von ihnen gewählten Schlagwort an.
Durch das Hochladen der Dateien werden diese öffentlich zu-
gänglich gemacht und können auch von Dritten heruntergeladen
werden. Die Nutzer dieses Dienstes laden ihre Dateien ohne vor-
herige Kenntnis der Betreiber hoch. Damit ist der Betreiber bei
einer durch das Hochladen möglicherweise begangenen Urhe-
berrechtsverletzung weder Täter noch Gehilfe. Dagegen kommt
aber bei der Verletzung von Prüfungspflichten eine Haftung auf
Unterlassung als Störer in Betracht. File-Hosting-Dienstebetrei-
ber sind als Diensteanbieter im Sinne des § 10 Telemediengesetz
(TMG) anzusehen. Als solche müssen sie die auf ihren Servern
gespeicherten Daten nicht allgemein und pauschal auf Rechts-
verletzungen überprüfen. Man könnte andererseits annehmen,
dass eine solche umfassende Prüfungspflicht etwa deswegen
geboten ist, weil derartige Dienste für Urheberrechtsverletzun-
gen besonders anfällig wären. Dieser Ansicht erteilt der BGH je-
doch eine klare Absage. Dies vor allem aus dem Grund, dass le-
gale Nutzungsmöglichkeiten dieser Dienste in starker Zahl vor-
handen und üblich sind und gleichzeitig ein großes Interesse
für eine derartige Nutzung besteht. Daher entsteht nach Auf-
fassung des BGH eine Prüfungspflicht der Diensteanbieter erst
in dem Zeitpunkt, in dem sie auf eine eindeutige Rechtsverlet-
zung hinsichtlich des jeweiligen Schutzobjekts (sei es ein Mu-
siktitel, ein Film, ein Softwareprodukt, ein Computerspiel oder
ähnliches) hingewiesen worden sind.
2. Die zumutbaren Prüfungspflichten in Bezug auf vergleich-
bare Rechtsverletzungen
Im konkreten Fall hatte die Schutzrechtsinhaberin dem Diens-
teanbieter einen Hinweis gegeben, dass eines ihrer Computer-
spiele auf den Servern des File-Hosting-Dienstebetreibers zum
Download bereitsteht. Daraufhin hatte der Diensteanbieter die
entsprechende Datei umgehend gelöscht. Dabei hat er es aber
unterlassen zu überprüfen, ob auf seinen Servern weitere Datei-
en anderer Nutzer liegen, die auch das Computerspiel der Schutz-
rechtsinhaberin beinhalten, sodass im Ergebnis das Spiel weiter-
hin heruntergeladen werden konnte. Nach Ansicht des Gerichts
war es in diesem konkreten Fall nicht ausreichend, dass seitens
des Diensteanbieters nur die konkret bezeichnete rechtsverlet-
zende Datei gelöscht wurde. Der Betreiber des File-Hosting-Diens-
tes hätte darüber hinaus alle ihm technisch und wirtschaftlich
zumutbaren Möglichkeiten ergreifen und ausschöpfen müssen,
um ein wiederholtes Angebot desselben Schutzobjekts durch
andere Nutzer auf den Servern des Betreibers zu verhindern.
Hinsichtlich der Zumutbarkeit schränkte der BGH die Prüfungs-
pflichten dahingehend ein, dass Maßnahmen das Geschäftsmo-
dell der Betreiber nicht gefährden dürfen. Nach Auffassung des
Gerichts kann die Prüfungspflicht in diesem Fall möglicherweise
deswegen verletzt worden sein, da der Betreiber keinen Wort-
filter für den zusammenhängenden Namen des Schutzobjekts
zur Überprüfung der auf ihren Servern befindlichen Dateinamen
verwendet hat.
Im konkreten Fall erfolgte jedoch hinsichtlich der Verletzung
der Prüfungspflicht seitens des Diensteanbieters keine abschlie-
ßende Entscheidung, sondern die Sache wurde vom BGH zur er-
neuten Verhandlung und Entscheidung an das Berufungsgericht
zurückverwiesen. Grund dafür war, dass die getroffenen Fest-
stellungen des Berufungsgerichts im Hinblick auf die Zumut-
barkeit von Überprüfungsmaßnahmen nicht ausreichend seien.
IV. Fazit
Durch die Zurückverweisung an das Berufungsgericht bleibt ei-
ne eindeutige, höchstrichterliche Rechtsprechung zur Haftung
von File-Hosting-Dienstebetreibern für Urheberrechtsverlet-
zungen weiterhin aus. Jedoch kann man der Entscheidung des
BGH erste Tendenzen entnehmen. Bestätigt wurde, dass eine
Prüfungspflicht für derartige Diensteanbieter erst in dem Zeit-
punkt entsteht, in dem er auf eine eindeutige Rechtsverletzung
hingewiesen worden ist. Jedoch bleibt abzuwarten, wie das Be-
rufungsgericht hinsichtlich der sich darüber hinausgehenden
Prüfungspflichten entscheiden wird. Der BGH hat nämlich auch
eine proaktive Prüfungspflicht ins Spiel gebracht, indem er vor-
gibt, dass die bloße Löschung der beanstandeten Datei nicht
ausreicht. Vielmehr müsse darüber hinaus alles technisch und
wirtschaftlich Zumutbare veranlasst werden, um eine erneute
Downloadmöglichkeit des Schutzobjekts durch das Hochladen
der Datei seitens anderer Nutzer zu unterbinden. Es müsse auch
im Falle eines Hinweises auf eine Rechtsverletzung überprüft
werden, ob die entsprechenden Dateien neu hochgeladen wer-
den. Dabei wird der Einsatz technischer Filter erwähnt. Spezi-
ell zu nennen wären hier Musik- oder Videofilter. Auch der Ein-
satz eines Wortfilters zur Überprüfung der auf dem Server des
Betreibers gespeicherten Dateien wäre denkbar. Jedoch könn-
te man dabei an der Effektivität zweifeln. Die bloße Umbenen-
nung der Datei würde einer erfolgreichen Überprüfung entge-
genwirken. Bei Urheberrechtsverletzungen auf derartigen Spei-
cherplattformen sind die Täter nur schwer identifizierbar. Daher
nimmt der BGH die Intermediäre stärker in die Pflicht. Die rein
passive Reaktion auf Hinweise von Dritten genügt nicht mehr.
Vielmehr müssen die Betreiber solcher Speicherplattformen ak-
tiv Urheberrechtsverletzungen unterbinden.
Für Hochschulen ist dieses Urteil im Hinblick auf die Bereitstel-
lung von Speicherplatz interessant, da sie in diesem Fall als
Host-Provider einzuordnen sind. Charakteristisch für Host-Pro-
50 | DFN Mitteilungen Ausgabe 83 | November 2012 | DFN-VEREIN
Nachruf
vider ist, dass sie die technische Infrastruktur zur Verfügung
stellen, um Nutzern die Möglichkeit zu bieten, Inhalte zu hin-
terlegen, auf welche die Nutzer dann persönlich oder aber auch
(autorisierte) Dritte zugreifen können. Es bleibt aber unsicher, ob
die Grundsätze des BGH auch uneingeschränkt auf Hochschulen
übertragen werden können, zumal es sich bei dem Dienstean-
bieter im beschriebenen Fall um einen kommerziellen File-Hos-
ting-Dienst handelte. Generell kann aber festgehalten werden,
dass die Hochschule jedenfalls dann aktiv werden muss, wenn
der Hinweis eines Dritten auf eine konkrete Rechtsverletzung
vorliegt. Ob die vom BGH geforderten weitergehenden Prüfungs-
pflichten auch die Hochschulen treffen werden, ist nach dem
derzeitigen Stand der Rechtsprechung offen, jedoch wohl zu ver-
neinen, da es sich bei Hochschulen eben nicht um kommerzielle
Diensteanbieter handelt, wobei der kommerzielle Charakter ein
wesentlicher Aspekt für die Begründung weitergehender Prüf-
pflichten darstellt.
Im Hinblick auf die genaue Ausgestaltung der Prüfungspflich-
ten sowie deren technischen und wirtschaftlichen Zumutbar-
keit bleibt nun die erneute Entscheidung des Berufungsgerichts
abzuwarten. M
Der DFN-Verein nimmt Abschied von Gerti Foest, die am 11. September 2012
nach schwerer Krankheit im Alter von 62 Jahren verstorben ist.
Der DFN-Verein verliert mit Gerti Foest eine Kollegin und Freundin, die sich
durch große Hingabe an ihre Aufgaben und durch ihr immer warmherziges,
den Menschen zugeneigtes Wesen auszeichnete. Ihre Offenheit und ihr po-
sitives Wesen brachten ihr die Wertschätzung und Zuneigung ihrer Kolle-
ginnen und Kollegen. Bis zuletzt hat sich Gerti in nationalen Projekten des
DFN-Vereins wie dem Auf- und Ausbau der DFN-PKI engagiert. International
wirkte Gerti initiativ an der Unterstützung des Aufbaus des afrikanischen
Forschungsnetzes und hier insbesondere des kenianischen KENET mit.
Gerti hat mit großer Tapferkeit um ihr Leben gekämpft und hat sich ihrem
Schicksal noch in schwerster Stunde mit Mut und Optimismus gestellt. Wir
hätten uns von Herzen gewünscht, dass sich ihre Hoffnung auf Genesung
erfüllt.
Unser tiefes Mitgefühl gilt ihrer Familie, besonders ihren Söhnen Henning
und Holger.
51DFN-VEREIN | DFN Mitteilungen Ausgabe 83 |
Laut Satzung fördert der DFN-Verein die
Schaffung der Voraussetzungen für die
Errichtung, den Betrieb und die Nutzung
eines rechnergestützten Informations- und
Kommunikationssystems für die öffentlich
geförderte und gemeinnützige Forschung
in der Bundesrepublik Deutschland. Der
Satzungszweck wird verwirklicht insbe-
sondere durch Vergabe von Forschungs-
aufträgen und Organisation von Dienst-
leistungen zur Nutzung des Deutschen
Forschungsnetzes.
Als Mitglieder werden juristische Per-
sonen aufgenommen, von denen ein we-
sentlicher Beitrag zum Vereinszweck zu er-
warten ist oder die dem Bereich der insti-
tutionell oder sonst aus öffentlichen Mit-
teln geförderten Forschung zuzurechnen
sind. Sitz des Vereins ist Berlin.
Die Organe des DFN-Vereins sind:
• die Mitgliederversammlung
• der Verwaltungsrat
• der Vorstand
Die Mitgliederversammlung ist u. a. zustän-
dig für die Wahl der Mitglieder des Verwal-
Übersicht über die Mitgliedseinrichtungen
und Organe des DFN-Vereins (Stand: 10/2012)
tungsrates, für die Genehmigung des Jah-
reswirtschaftsplanes, für die Entlastung
des Vorstandes und für die Festlegung der
Mitgliedsbeiträge. Derzeitiger Vorsitzen-
der der Mitgliederversammlung ist Prof.
Dr. Gerhard Peter, HS Heilbronn.
Verwaltungsrat
Der Verwaltungsrat beschließt alle wesent-
lichen Aktivitäten des Vereins, insbeson-
dere die technisch-wissenschaftlichen Ar-
beiten, und berät den Jahreswirtschafts-
plan. Für die 10. Wahlperiode sind Mitglie-
der des Verwaltungsrates:
• Prof. Dr. Hans-Joachim Bungartz (TU
München)
• Prof. Dr. Rainer W. Gerling (MPG Mün-
chen)
• Prof. Dr. Ulrike Gutheil (TU Berlin)
• Dir. u. Prof. Dr. Siegfried Hackel (PTB
Braunschweig)
• Dr.-Ing.habil. Carlos Härtel (GE Global
Research)
• Prof. Dr.-Ing. Ulrich Lang (Univ. zu Köln)
• Prof. Dr. Joachim Mnich (DESY)
• Prof. Dr. Wolfgang E. Nagel (TU Dresden)
• Prof. Dr. Bernhard Neumair (KIT)
• Dr.-Ing. Christa Radloff (Univ. Rostock)
• Prof. Dr. Peter Schirmbacher (HU zu
Berlin)
• Dr. Wolfgang A. Slaby (Kath. Univ.
Eichstätt-Ingolstadt)
• Prof. Dr. Horst Stenzel (FH Köln)
Der Verwaltungsrat hat als ständige
Gäste:
• einen Vertreter der KMK: gegenwärtig
Herrn Grothe, SMWK Sachsen
• einen Vertreter der HRK: gegenwärtig
Prof. Dr. Metzner, Präsident der FH Köln
• einen Vertreter der Hochschulkanzler:
gegenwärtig Herrn Schöck, Kanzler
der Universität Erlangen-Nürnberg
• den Vorsitzenden des ZKI: gegenwär-
tig Prof. Dr. Lang, Universität zu Köln
• den Vorsitzenden der Mitgliederver-
sammlung: gegenwärtig Prof. Dr. Peter,
HS Heilbronn
Vorstand
Der Vorstand des DFN-Vereins im Sinne des
Gesetzes wird aus dem Vorsitzenden und
den beiden stellvertretenden Vorsitzen-
den des Verwaltungsrates gebildet. Der-
zeit sind dies Prof. Dr. Hans-Joachim Bun-
gartz, Vorsitz, sowie Prof. Dr. Ulrike Gutheil
und Prof. Dr. Bernhard Neumair.
Der Vorstand wird beraten von einem Tech-
nologie-Ausschuss (TA), einem Betriebsaus-
schuss (BA) und einem Ausschuss für Recht
und Sicherheit (ARuS), der zugleich auch
als Jugendschutzbeauftragter für das DFN
fungiert.
Der Vorstand bedient sich zur Erledigung
laufender Aufgaben einer Geschäftsstel-
le mit Standorten in Berlin und Stuttgart.
Sie wird von einer Geschäftsführung gelei-
tet. Als Geschäftsführer wurden vom Vor-
stand Jochem Pattloch und Dr. Christian
Grimm bestellt.
52 | DFN Mitteilungen Ausgabe 83 | November 2012 | DFN-VEREIN
Aachen Fachhochschule Aachen
Rheinisch-Westfälische Technische Hochschule Aachen (RWTH)
Aalen Hochschule Aalen
Albstadt Hochschule Albstadt-Sigmaringen (FH)
Amberg Hochschule Amberg-Weiden für angewandte Wissenschaften
Ansbach Hochschule für angewandte Wissenschaften, Fachhochschule Ansbach
Aschaffenburg Hochschule Aschaffenburg
Augsburg Hochschule für angewandte Wissenschaften, Fachhochschule Augsburg
Universität Augsburg
Bamberg Otto-Friedrich-Universität Bamberg
Bayreuth Universität Bayreuth
Berlin Alice Salomon Hochschule Berlin
BBB Management GmbH
Beuth Hochschule für Technik Berlin – University of Applied Sciences
Bundesamt für Verbraucherschutz und Lebensmittelsicherheit
Bundesanstalt für Materialforschung und -prüfung
Bundesinstitut für Risikobewertung
Deutsche Telekom AG Laboratories
Deutsches Herzzentrum Berlin
Deutsches Institut für Normung e. V. (DIN)
Deutsches Institut für Wirtschaftsforschung (DIW)
Fachinformationszentrum Chemie GmbH (FIZ Chemie)
Forschungsverbund Berlin e. V.
Freie Universität Berlin (FUB)
Helmholtz-Zentrum Berlin für Materialien und Energie GmbH
Hochschule für Technik und Wirtschaft – University of Applied Sciences
Hochschule für Wirtschaft und Recht
Humboldt-Universität zu Berlin (HUB)
International Psychoanalytic University Berlin
IT-Dienstleistungszentrum
Konrad-Zuse-Zentrum für Informationstechnik (ZIB)
Robert Koch-Institut
Stanford University in Berlin
Stiftung Deutsches Historisches Museum
Stiftung Preußischer Kulturbesitz
Technische Universität Berlin (TUB)
T-Systems International GmbH
Umweltbundesamt
Universität der Künste Berlin
Wissenschaftskolleg zu Berlin
Wissenschaftszentrum Berlin für Sozialforschung gGmbH (WZB)
Biberach Hochschule Biberach
Bielefeld Fachhochschule Bielefeld
Universität Bielefeld
Bingen Fachhochschule Bingen
Böblingen Staatliche Akademie für Datenverarbeitung
Bochum ELFI Gesellschaft für Forschungsdienstleistungen mbH
Evangelische Fachhochschule Rheinland-Westfalen-Lippe
Hochschule Bochum
Hochschule für Gesundheit
Ruhr-Universität Bochum
Technische Fachhochschule Georg Agricola für Rohstoff,
Energie und Umwelt zu Bochum
Bonn Bundesministerium des Innern
Bundesministerium für Umwelt, Naturschutz und Reaktorsicherheit
Deutsche Forschungsgemeinschaft (DFG)
Deutscher Akademischer Austauschdienst e. V. (DAAD)
Deutsches Zentrum für Luft- und Raumfahrt e. V. (DLR)
GESIS – Leibniz-Institut für Sozialwissenschaften e. V.
Rheinische Friedrich-Wilhelms-Universität Bonn
Zentrum für Informationsverarbeitung und Informationstechnik
Borstel FZB, Leibniz-Zentrum für Medizin und Biowissenschaften
Brandenburg Fachhochschule Brandenburg
Braunschweig DSMZ – Deutsche Sammlung von Mikroorganismen und Zellkulturen
GmbH
Helmholtz-Zentrum für Infektionsforschung GmbH
Hochschule für Bildende Künste Braunschweig
Johann-Heinrich von Thünen-Institut, Bundesforschungs-
institut für Ländliche Räume, Wald und Fischerei
Julius Kühn-Institut Bundesforschungsinstitut für Kulturpflanzen
Physikalisch-Technische Bundesanstalt (PTB)
Technische Universität Carolo-Wilhelmina zu Braunschweig
Bremen Hochschule Bremen
Hochschule für Künste Bremen
Jacobs University Bremen gGmbH
Universität Bremen
Bremerhaven Hochschule Bremerhaven
Stadtbildstelle Bremerhaven
Stiftung Alfred-Wegener-Institut für Polar- u. Meeresforschung (AWI)
Chemnitz Technische Universität Chemnitz
Clausthal Clausthaler Umwelttechnik-Institut GmbH (CUTEC)
Technische Universität Clausthal-Zellerfeld
Coburg Hochschule für angewandte Wissenschaften, Fachhochschule Coburg
Cottbus Brandenburgische Technische Universität Cottbus
Darmstadt European Space Agency (ESA)
GSI Helmholtzzentrum für Schwerionenforschung GmbH
Hochschule Darmstadt
Merck KGaA
Technische Universität Darmstadt
T-Systems International GmbH
Deggendorf Hochschule für angewandte Wissenschaften,
Fachhochschule Deggendorf
Dortmund Fachhochschule Dortmund
Technische Universität Dortmund
Dresden Helmholtz-Zentrum Dresden-Rossendorf e. V.
Hannah-Arendt-Institut für Totalitarismusforschung e. V.
Hochschule für Bildende Künste Dresden
Hochschule für Technik und Wirtschaft
Leibniz-Institut für Festkörper- und Werkstoffforschung Dresden e. V.
Leibniz-Institut für Polymerforschung Dresden e. V.
Sächsische Landesbibliothek – Staats- und Universitätsbibliothek
Technische Universität Dresden
Düsseldorf Fachhochschule Düsseldorf
Heinrich-Heine-Universität Düsseldorf
Information und Technik Nordrhein-Westfalen (IT.NRW)
Eichstätt Katholische Universität Eichstätt-Ingolstadt
Emden Johannes A Lasco Bibliothek – Große Kirche Emden
Hochschule Emden/Leer
Erfurt Fachhochschule Erfurt
Universität Erfurt
Erlangen Friedrich-Alexander-Universität Erlangen-Nürnberg
Essen Rheinisch-Westfälisches Institut für Wirtschaftsforschung e. V.
Universität Duisburg-Essen
Esslingen Hochschule Esslingen
Flensburg Fachhochschule Flensburg
Universität Flensburg
53DFN-VEREIN | DFN Mitteilungen Ausgabe 83 |
Frankfurt/M. Bundesamt für Kartographie und Geodäsie
Deutsche Nationalbibliothek
Deutsches Institut für Internationale Pädagogische Forschung
Fachhochschule Frankfurt am Main
Johann Wolfgang Goethe-Universität Frankfurt am Main
KPN EuroRings B.V.
Philosophisch-Theologische Hochschule St. Georgen e.V.
Senckenberg Gesellschaft für Naturforschung
Frankfurt/O. IHP GmbH – Institut für innovative Mikroelektronik
Stiftung Europa-Universität Viadrina
Freiberg Technische Universität Bergakademie Freiberg
Freiburg Albert-Ludwigs-Universität Freiburg
Fulda Hochschule Fulda
Furtwangen Hochschule Furtwangen – Informatik, Technik, Wirtschaft, Medien
Garching European Southern Observatory (ESO)
Gesellschaft für Anlagen- und Reaktorsicherheit mbH
Leibniz-Rechenzentrum d. Bayerischen Akademie der Wissenschaften
Gatersleben Leibniz-Institut für Pflanzengenetik und Kulturpflanzenforschung (IPK)
Geesthacht Helmholtz-Zentrum Geesthacht Zentrum für Material- und Küstenfor-
schung GmbH
Gelsenkirchen Westfälische Hochschule
Gießen Technische Hochschule Mittelhessen
Justus-Liebig-Universität Gießen
Göttingen Gesellschaft für wissenschaftliche Datenverarbeitung mbH (GwDG)
Verbundzentrale des Gemeinsamen Bibliotheksverbundes
Greifswald Ernst-Moritz-Arndt-Universität Greifswald
Friedrich-Loeffler-Institut, Bundesforschungsinstitut für Tiergesundheit
Hagen Fachhochschule Südwestfalen, Hochschule für Technik und Wirtschaft
FernUniversität in Hagen
Halle/Saale Institut für Wirtschaftsforschung Halle
Martin-Luther-Universität Halle-Wittenberg
Hamburg Bundesamt für Seeschifffahrt und Hydrographie
Datenlotsen Informationssysteme GmbH
Deutsches Elektronen-Synchrotron (DESY)
Deutsches Klimarechenzentrum GmbH (DKRZ)
DFN - CERT Services GmbH
HafenCity Universität Hamburg
Helmut-Schmidt-Universität, Universität der Bundeswehr
Hochschule für Angewandte Wissenschaften Hamburg
Hochschule für Bildende Künste Hamburg
Hochschule für Musik und Theater Hamburg
Technische Universität Hamburg-Harburg
Universität Hamburg
Hameln Hochschule Weserbergland
Hamm SRH Hochschule für Logistik und Wirtschaft Hamm
Hannover Bundesanstalt für Geowissenschaften und Rohstoffe
Hochschule Hannover
Gottfried Wilhelm Leibniz Bibliothek – Niedersächsische
Landesbibliothek
Gottfried Wilhelm Leibniz Universität Hannover
HIS Hochschul-Informations-System GmbH
Hochschule für Musik, Theater und Medien
Landesamt für Bergbau, Energie und Geologie
Medizinische Hochschule Hannover
Technische Informationsbibliothek und Universitätsbibliothek
Stiftung Tierärztliche Hochschule
Heide Fachhochschule Westküste, Hochschule für Wirtschaft und Technik
Heidelberg Deutsches Krebsforschungszentrum (DKFZ)
European Molecular Biology Laboratory (EMBL)
Network Laboratories NEC Europe Ltd.
Ruprecht-Karls-Universität Heidelberg
Heilbronn Hochschule für Technik, Wirtschaft und Informatik Heilbronn
Hildesheim Hochschule für angewandte Wissenschaft und Kunst
Fachhochschule Hildesheim/Holzminden/Göttingen
Stiftung Universität Hildesheim
Hof Hochschule für angewandte Wissenschaften Hof – FH
Ilmenau Bundesanstalt für IT-Dienstleistungen im Geschäftsbereich des BMVBS
Technische Universität Ilmenau
Ingolstadt DiZ – Zentrum für Hochschuldidaktik d. bayerischen Fachhochschulen
Hochschule für angewandte Wissenschaften FH Ingolstadt
Jena Fachhochschule Jena
Friedrich-Schiller-Universität Jena
Institut für Photonische Technologien e. V.
Leibniz-Institut für Altersforschung – Fritz-Lipmann-Institut e. V. (FLI)
Jülich Forschungszentrum Jülich GmbH
Kaiserslautern Fachhochschule Kaiserslautern
Technische Universität Kaiserslautern
Karlsruhe Bundesanstalt für Wasserbau
Fachinformationszentrum Karlsruhe (FIZ)
Karlsruher Institut für Technologie – Universität des Landes Baden-
Württemberg und nationales Forschungszentrum in der Helmholtz-
Gemeinschaft (KIT)
FZI Forschungszentrum Informatik
Hochschule Karlsruhe – Technik und Wirtschaft
Zentrum für Kunst und Medientechnologie
Kassel Universität Kassel
Kempten Hochschule für angewandte Wissenschaften, Fachhochschule Kempten
Kiel Christian-Albrechts-Universität zu Kiel
Fachhochschule Kiel
Institut für Weltwirtschaft an der Universität Kiel
Helmholtz-Zentrum für Ozeanforschung Kiel (GEOMAR)
Koblenz Hochschule Koblenz
Köln Deutsche Sporthochschule Köln
Fachhochschule Köln
Hochschulbibliothekszentrum des Landes NRW
Katholische Hochschule Nordrhein-Westfalen
Kunsthochschule für Medien Köln
Rheinische Fachhochschule Köln gGmbH
Universität zu Köln
Konstanz Hochschule Konstanz Technik, Wirtschaft und Gestaltung (HTWG)
Universität Konstanz
Köthen Hochschule Anhalt
Krefeld Hochschule Niederrhein
Kühlungsborn Leibniz-Institut für Atmosphärenphysik e. V.
Landshut Hochschule Landshut, Fachhochschule
Leipzig Deutsche Telekom, Hochschule für Telekommunikation Leipzig
Helmholtz-Zentrum für Umweltforschung – UFZ GmbH
Hochschule für Grafik und Buchkunst Leipzig
Hochschule für Musik und Theater „Felix Mendelssohn Bartholdy“
Hochschule für Technik, Wirtschaft und Kultur Leipzig
Leibniz-Institut für Troposphärenforschung e. V.
Mitteldeutscher Rundfunk
Universität Leipzig
Lemgo Hochschule Ostwestfalen-Lippe
Lübeck Fachhochschule Lübeck
Universität zu Lübeck
54 | DFN Mitteilungen Ausgabe 83 | November 2012 | DFN-VEREIN
Ludwigshafen Fachhochschule Ludwigshafen am Rhein
Lüneburg Leuphana Universität Lüneburg
Magdeburg Hochschule Magdeburg-Stendal (FH)
Leibniz-Institut für Neurobiologie Magdeburg
Mainz Fachhochschule Mainz
Johannes Gutenberg-Universität Mainz
Universität Koblenz-Landau
Mannheim Hochschule Mannheim
TÜV SÜD Energietechnik GmbH Baden-Württemberg
Universität Mannheim
Zentrum für Europäische Wirtschaftsforschung GmbH (ZEW)
Marbach a. N. Deutsches Literaturarchiv
Marburg Philipps-Universität Marburg
Merseburg Hochschule Merseburg (FH)
Mittweida Hochschule Mittweida
Mühlheim an
der Ruhr
Hochschule Ruhr West
Müncheberg Leibniz-Zentrum für Agrarlandschafts- u. Landnutzungsforschung e. V.
München Bayerische Staatsbibliothek
Hochschule München (FH)
Fraunhofer Gesellschaft zur Förderung der angewandten Forschung e.V.
Helmholtz Zentrum München Deutsches Forschungszentrum für
Gesundheit und Umwelt GmbH
ifo Institut – Leibniz-Institut für Wirtschaftsforschung e. V.
Ludwig-Maximilians-Universität München
Max-Planck-Gesellschaft
Technische Universität München
Universität der Bundeswehr München
Münster Fachhochschule Münster
Westfälische Wilhelms-Universität Münster
Neubranden-
burg
Hochschule Neubrandenburg
Neu-Ulm Hochschule für Angewandte Wissenschaften, Fachhochschule Neu-Ulm
Nordhausen Fachhochschule Nordhausen
Nürnberg Georg-Simon-Ohm-Hochschule für angewandte Wissenschaften,
Fachhochschule Nürnberg
Kommunikationsnetz Franken e. V.
Nürtingen Hochschule für Wirtschaft und Umwelt Nürtingen-Geislingen
Nuthetal Deutsches Institut für Ernährungsforschung Potsdam-Rehbrücke
Oberursel Dimension Data Germany AG & Co. KG
Oberwolfach Mathematisches Forschungsinstitut Oberwolfach gGmbH
Offenbach/M. Deutscher Wetterdienst (DWD)
Offenburg Hochschule Offenburg, Fachhochschule
Oldenburg Carl von Ossietzky Universität Oldenburg
Landesbibliothek Oldenburg
Osnabrück Hochschule Osnabrück (FH)
Universität Osnabrück
Paderborn Fachhochschule der Wirtschaft Paderborn
Universität Paderborn
Passau Universität Passau
Peine Deutsche Gesellschaft zum Bau und Betrieb von Endlagern
für Abfallstoffe mbH
Potsdam Fachhochschule Potsdam
Helmholtz-Zentrum, Deutsches GeoForschungsZentrum – GFZ
Hochschule für Film und Fernsehen „Konrad Wolf“
Potsdam-Institut für Klimafolgenforschung (PIK)
Universität Potsdam
Regensburg Hochschule für angewandte Wissenschaften – Fachhochschule
Regensburg
Universität Regensburg
Rosenheim Hochschule für angewandte Wissenschaften – Fachhochschule
Rosenheim
Rostock Leibniz-Institut für Ostseeforschung Warnemünde
Universität Rostock
Saarbrücken Universität des Saarlandes
Salzgitter Bundesamt für Strahlenschutz
Sankt Augustin Hochschule Bonn Rhein-Sieg
Schmalkalden Fachhochschule Schmalkalden
Schwäbisch
Gmünd
Pädagogische Hochschule Schwäbisch Gmünd
Schwerin Landesbibliothek Mecklenburg-Vorpommern
Senftenberg Hochschule Lausitz (FH)
Siegen Universität Siegen
Speyer Deutsche Universität für Verwaltungswissenschaften Speyer
Straelen GasLINE Telekommunikationsnetzgesellschaft deutscher
Gasversorgungsunternehmen mbH & Co. Kommanditgesellschaft
Stralsund Fachhochschule Stralsund
Stuttgart Cisco Systems GmbH
Duale Hochschule Baden-Württemberg
Hochschule der Medien Stuttgart
Hochschule für Technik Stuttgart
NextiraOne Deutschland GmbH
Universität Hohenheim
Universität Stuttgart
Tautenburg Thüringer Landessternwarte Tautenburg
Trier Fachhochschule Trier
Universität Trier
Tübingen Eberhard Karls Universität Tübingen
Ulm Hochschule Ulm
Universität Ulm
Vechta Universität Vechta
Private Fachhochschule für Wirtschaft und Technik
Wadern Schloss Dagstuhl – Leibniz-Zentrum für Informatik GmbH (LZI)
Weidenbach Hochschule Weihenstephan
Weimar Bauhaus-Universität Weimar
Weingarten Hochschule Ravensburg-Weingarten
Pädagogische Hochschule Weingarten
Wernigerode Hochschule Harz (FH)
Weßling T-Systems Solutions for Research GmbH
Wiesbaden Hochschule RheinMain
Statistisches Bundesamt
Wildau Technische Hochschule Wildau (FH)
Wilhelmshaven Jade Hochschule Wilhelmshaven/Oldenburg/Elsfleth
Wismar Hochschule Wismar
Witten Private Universität Witten/Herdecke gGmbH
Wolfenbüttel Ostfalia Hochschule für angewandte Wissenschaften
Herzog August Bibliothek
Worms Fachhochschule Worms
Wuppertal Bergische Universität Wuppertal
Würzburg Hochschule für angewandte Wissenschaften – Fachhochschule
Würzburg-Schweinfurt
Julius-Maximilians-Universität Würzburg
Zittau Hochschule Zittau/Görlitz
Internationales Hochschulinstitut
Zwickau Westsächsische Hochschule Zwickau