v1.1
Autor:
Druck: 03.03.2004
1.2. Zunehmende Bedeutung der
Vernetzung
1.3. Konvergenz der Sprach- und
Datennetze
1.4. Kommunikationsanwendungen
1.5. Designaufgabe für ein neues
Kommunikationsnetz
2. Vom Shared zum Switched Ethernet
2.1. Ethernet der ersten Generation
(Shared LAN)
2.2. Ethernet der zweiten Generation
(Switched LAN)
3.1. Erhöhter Bandbreitenbedarf der
Anwendungen
3.2. Zunehmende Echtzeitanforderungen
der Anwendungen
3.3. Steigende Abhängigkeit der
Anwender vom Netz
3.4. Erhöhter Sicherheitsbedarf der
Anwender
3.5. Zunehmende Mobilität der Anwender
4. Weiche
Faktoren eines zeitgemäßen Ethernets
4.2. VLAN (virtuell LAN), die logische
Gruppierung
4.3. Layer-3-Switching/-Routing
4.4. Dienstgüte im (IP-)Ethernet
5.1. Grundlagen der Planung / des
Designs
5.2. Betrachtungswinkel des Netzdesigns
5.3. Kleines Netz (bis 200 Endgeräte,
Standardanforderungen)
5.4. Netz mittlerer Größe (bis ca.
1.000 Endgeräte, gehobene Anforderungen)
5.5. Großes Netz (ab ca. 1.000
Endgeräte, hohe Anforderungen)
Ziel dieses Dokuments ist es, dem Leser ein grundlegendes Verständnis zum Aufbau qualitativ hochwertiger Datennetze zu vermitteln. Besonderer Wert wird hierbei auf die Hintergründe der vorgeschlagenen Netzdesigns gelegt.
Dieses Dokument bezieht sich ausschließlich auf den Aufbau
lokaler Netze (LANs). Ein vergleichbares Dokument für globale Netze (WANs) ist auf der Homepage von
Zielgruppe dieses Dokuments sind Netzverantwortliche in Unternehmen und Organisationen, sowie Netzplaner, die vor dem wichtigen Schritt einer Netz-Neuplanung stehen und dabei bereits die Konvergenz der Daten- und Sprachnetze mit berücksichtigen wollen. Dem Ziel, ein professionelles Netzdesign zu entwerfen und umzusetzen, kommt der Leser hier, so hoffe ich, ein großes Stück näher.
Natürlich können auch alle anderen IT-Profis oder LAN-Technik-Interessierte von diesem Dokument profitieren.
Telefonnetze gibt es seit ungefähr 120 Jahren, Datennetze seit ungefähr 60 Jahren. Der primäre Zweck der Vernetzung ist dabei gleich geblieben: Kommunikationsverbindungen zwischen Menschen und/oder Computern, auch über größere räumliche Entfernungen hinweg.
Während Telefonnetze bereits seit vielen Jahrzehnten unverzichtbarer Bestandteil der Geschäftstätigkeit sind, hat die Vernetzung der Informationssysteme für den Anwender erst in den letzten Jahren rapide an Bedeutung gewonnen.
Heute werden in Unternehmen und anderen Organisationen das Telefon- und das Datennetz noch weitestgehend getrennt voneinander betrieben.
Jedes Netz ist dabei auf seinen primären Dienst spezialisiert: Das Telefonnetz überträgt Sprachsignale mit hoher Güte und geringer Verzögerung, wie es eine gute Telefonverbindung eben erfordert, das Datennetz überträgt Datenpakete quasi simultan zwischen beliebigen Netzteilnehmern, eine Eigenschaft, die im Internetzeitalter nicht mehr wegzudenken wäre.
Nach meiner Überzeugung werden beide Netze bis 2010 in ein gemeinsames Kommunikationsnetz münden. Dieses Universalnetz bildet dann die Kommunikationsplattform für Unternehmen und sonstige Organisationen, auf der Kommunikation dienstunabhängig (Daten, Sprache, Bild/Video) und grenzenlos (Intranet, Internet, Extranet) möglich sein wird.
Die Vorteile liegen auf der Hand: Ein universelles Netz ist grundsätzlich wirtschaftlicher als viele dienstspezifische Netze. Provider und Carrier haben dies bereits gegen Ende der 90er Jahre erkannt und bauen seitdem universelle Netzplattformen auf. Telefonanbindung ans öffentliche Netz erfolgt immer häufiger per redundant geführtem Gigabit-Ethernet mit bis zu 60.000 Gesprächsverbindungen gleichzeitig. Die Anbindungsform „n mal S2M“ läuft aus.
Getrieben wird diese Entwicklung aber auch durch den Anwender. Im Wissenszeitalter nimmt die Bedeutung der Kommunikation rasant zu. Ein Netz für Telefon, Fax, eMail und Videokonferenzing öffnet einen einfachen Weg zum Unified Messaging: Alle Kommunikationskanäle laufen über ein Netz am Punkt der Arbeit und Kommunikation zusammen. Der Mitarbeiter erhält für seinen „Kommunikationsjob“ eine einheitliche Oberfläche, die zudem noch mobil über Handy oder Heimarbeitsplatz bedienbar ist.
Ebenso wird die Computeranwendung ganz einfach mit der Telefonanwendung verbunden. In einem universellen Netz erscheint es nur natürlich, dass das zentral gepflegte Adressbuch direkt zum Wählen herangezogen werden kann. Die Datenleitungen zwischen den Standorten werden automatisch zu Kommunikationsleitungen, über die Daten-, Sprach- und Bildinformationen ausgetauscht werden können.
Ein neues Netz entsteht heute nur in den seltensten Fällen auf der grünen Wiese. Vielmehr muss die vorhandene, historisch gewachsene Netzstruktur so in das neue Netz integriert werden, dass ein paralleler Betrieb für eine meist unvermeidbare Übergangszeit zuverlässig gewährleistet ist.
Die Auswahl der grundlegenden Netztechnik ist heute leichter als in der Vergangenheit:
Im Bereich der lokalen Netze (LAN) hat sich Ethernet als Industriestandard durchgesetzt. Token-Ring, FDDI und ATM müssen bei der Technologieauswahl nicht mehr berücksichtigt werden.
Spätestens mit dem Siegeszug des Internets steht auch IP
als Netzprotokoll fest. Für
Netzwerker bietet ein neues Netz die Chance alte Protokolle über Board zu
werfen.
Natürlich müssen im Anschluss alle Anwendungen im Netz, die vorher über systemspezifische
Protokolle, wie SNA, LAT, IPX oder NetBEUI gelaufen sind, noch zur Verfügung
stehen. Die Lösung lautet Protokolltunneling, z.B. via Data Link Switching
(DLSW).
Für die Netzwerker hat sich das Leben somit vereinfacht: Das neue Netz wird aus Ethernet und IP gebaut. Alte Netzstrukturen, wie z.B. der Token-Ring, werden meist zwar noch an das neue Netz angebunden aber nach und nach durch Ethernet ersetzt. Diese Vorgehensweise wird als sanfte Migration bezeichnet. Falls technisch möglich und wirtschaftlich vertretbar, kann auch die harte Migration, d.h. komplette Netzumstellung zu einem bestimmten Zeitpunkt, ausgeführt werden.
Durch die zunehmende Bedeutung der Netze für die Mitarbeiter-Produktivität in Verwaltung und Fertigung haben sich allerdings auch die qualitativen Anforderungen an Netze stark erhöht: Durchsatz, Zuverlässigkeit und Verfügbarkeit sind im Netz zu harten wirtschaftlichen Faktoren geworden. Spätestens mit Einzug der Netze in die Geschäftsführungsetagen ist auch das Thema Netzsicherheit zum wichtigen Qualitätsfaktor geworden.
Datennetze waren bis Ende der 90er Jahre ein typische Hardwarethema (typisch: „eine Mio $ für die Switchboxen“, 0,01 Mio $ für die Konfiguration“). Klar, ohne Kabel und Netz-elektronik läuft kein Netz. Um hohe Zuverlässigkeit, Performance, Dienstgüte und Sicherheit zu erreichen, ist jedoch eine ganze Menge Software (Protokolle, Konfiguration) notwendig. Datennetze werden mehr und mehr zum Softwarethema.
Um das Heute und Morgen der Netze besser verstehen zu können, ist es sehr hilfreich die bisherige Entwicklung zu betrachten. Deshalb gehe ich im nächsten Kapitel kurz auf die Ethernethistorie ein.
Die lokalen (Daten-)Netze der ersten Generation stellen für alle angeschlossenen Endgeräte gemeinsame Bandbreite zur Verfügung. Daher der Begriff des „Shared LAN“. Das Endgerät muss sich, um einen Teil dieser Bandbreite in Anspruch zu nehmen, dabei an bestimmte Regeln halten. Z.B. darf ein Endgerät im klassischen Ethernet nur dann senden, d.h. Bandbreite belegen, wenn keine andere Station bereits sendet. Die Summe der Regeln zur friedlichen Zusammenarbeit aller an einem Segment angeschlossenen Endgeräte wird Protokoll genannt.
Beispiel: Das Ethernet CSMA/CD-Protokoll regelt die Bandbreitenbelegung konkurrierender Stationen untereinander.
CSMA/CD = Carrier Sense Multiple Access / Collision Detection
Eine sendewillige Station prüft das Netzsegment auf ein bereits vorhandenes Signal (Carrier Sense), da ggf. bereits eine andere Station einen Datenrahmen (Frame) sendet. Ist das Netzsegment frei, kann mit der Sendung begonnen werden. Eine mögliche Kollision durch zwei zeitnah startende Sender (beide haben ein freies Netzsegment erkannt und greifen zeitgleich zu = Multiple Access) muss dabei erkannt und die Sendung ggf. unterbrochen werden (= Collision Detection).
Das folgende Bild zeigt ein typ. Ethernet Ende der 80er Jahre:
Ethernet der ersten Generation war mit Dateigrößen von selten mehr als ein paar hundert KByte und mit einer Bandbreite von 10 MBit/s pro Netz relativ leistungsstark. Mittels Repeater war eine LAN-Reichweite bis zu 2.500m bei theoretisch max. 1024 Stationen pro Ethernet möglich. Mit kontinuierlich wachsenden Transfervolumen (mehr Anwender, größere Dateien) wurde das Ethernet aber bereits ab 30 Teilnehmern zeitweise quälend langsam. Durch die einfache und störanfällige Kabeltechnik, vor allem bei 10Base2, nahm mit Anzahl angeschlossener Endgeräte auch die Störhäufigkeit immer stärker zu.
Segmentierung
Die Forderung nach besserer Skalierbarkeit, d.h. Ausbau des Netzes für eine höhere Teilnehmerzahl und höherer Bandbreite, führte zur Aufteilung eines Ethernets in mehrere Ethernet-Segmente. Als Koppelelemente zwischen den Segmenten wurden Brücken, tlw. Router eingesetzt.
Im Regelfall wurden mehrere Anwendersegmente und ein Backbonesegment aufgebaut. Viele Abteilungen erhielten ihr eigenes Segment inkl. Fileserver. Der Backbone wurde zur abteilungsübergreifenden Kommunikation genutzt, diente dem Zugriff auf Unternehmensserver (z.B. DEC Host) sowie als Einstiegspunkt für entfernte Standorten über Standleitungen und Router.
Die Fileserver wurden in vielen Unternehmen weiterhin in den Anwendersegmenten betrieben. Dies hatte mehrere Gründe: Zum einen war der Backbone mit 10 MBit/s zu schwach um die komplette Servernetzlast des Unternehmens aufzunehmen, zum anderen waren viele Fileserver auf Fachabteilungsbudget beschafft worden. Die Serverspezialisten in den Fachabteilungen hatten abgesehen davon nicht das geringste Interesse ihren Server abzugeben.
Dieses Konzept der konzentrierten Abteilungs-LAN’s und schwachen Backbones war in vielen Unternehmen lange Zeit völlig praktikabel. Ab Mitte der 90er Jahre wurden allerdings zentrale Anwendungen (z.B. SAP R/3) und Datenressourcen (z.B. Internet, CAD-Archiv) für die Anwender immer wichtiger. Die mittlerweile stark gewachsene und verschachtelte Netzstruktur war nicht mehr performant und zuverlässig genug. Durch ständig steigende Anwender- und Segmentzahlen wurde auch die mangelnde Skalierbarkeit klassischer LANs erkennbar.
Skalierbarbeit: Das zukünftige Wachstum eines Netzes lässt sich zum Zeitpunkt des Netzdesigns meist nur schwer abschätzen. Ein Netzdesign, das Wachstum in allen Parametern unterstützt, gilt als skalierbar. Ein gutes Netzdesign behält auch bei starkem Wachstum seine Grundstruktur und hohe Performance sowie Zuverlässigkeit bei.
Typische Fragen zur Skalierbarkeit:
·
wie entwickelt sich die Anwenderzahl weiter?
·
wie stark erhöht sich künftig der
Bandbreitenbedarf?
·
welche neuen Gebäude oder Flächen müssen bereits
heute berücksichtigt werden?
·
sind neue Anwendungen, die höhere Netzlast und
Teilnehmerzahlen verursachen, geplant?
Hilfreiche Ansprechpartner
für Erweiterungsmaßnahmen sind hierbei in vielen Unternehmen die
Unternehmensplanung und die Bauabteilung, für neue Anwendungen meist die
Anwendungsentwicklung bzw. die Anwender selbst.
Neben der Anzahl vernetzter Endgeräte ist auch die Bandbreite ein wesentlicher Skalierungsfaktor. Ethernet besitzt heute Skalierbarkeit der Bandbreite pro Anschluss von 10 MBit/s in 10er-Schritten bis 10 GBit/s und kann damit als hochskalierbar bezeichnet werden.
Mit zunehmendem IT - Sicherheitsbewusstsein und steigender Komplexität der PC-Serverwelt wurden die dezentralen Fileserver immer mehr zum Problem bzgl. Daten- und Betriebs-Sicherheit. Der Wunsch nach zentral aufgestellten Servern wurde größer, der vorhandene 10 MBit/s Backbone war hierfür allerdings ungeeignet. FDDI mit 100 MBit/s kam für viele Unternehmen aus Kostengründen nicht in Frage. ATM war deutlich komplexer und kaum billiger. Rettung war allerdings bereits aus dem Ethernetlager in Sicht.
Die Anfang der 90er Jahre langsam aufkommende Ethernet-Switchtechnik konnte die Skalierbarkeit im Netz bereits spürbar verbessern. Der Yellow-Cable-Backbone wurde in vielen Netzen durch einen Switch ersetzt und damit der Siegeszug des „Collapsed Backbones“ gestartet. Da es sich hier um die erste einschneidende Veränderung der Ethernettechnik handelte, hier zur besseren Übersicht eine Gegenüberstellung:
|
Bezeichnung |
gebridgtes
Ethernet |
geswitchtes
Ethernet |
|
Frame-Weiterleitung (typ.) |
Store-And-Forward (S&F) |
Cut-Through, vermehrt wieder S&F |
|
Latenzzeit (Verzögerung im Netz) |
hoch |
Niedrig |
|
Zugriffsverfahren |
Half-Duplex |
Bei nur einer
Station pro Switchport Full-Duplex, sonst Half-Duplex |
|
Backbone und Netzelektronik |
übers Gelände
verteilt |
zunehmend zentral
(collapsed Backbone, d.h. „auf einen Punkt zusammen-gefallen“ = Switch) |
|
Anzahl Stationen pro Segment |
hoch (Bridges
waren teuer!) |
mittel bis niedrig |
|
kumulierte Netzbandbreite |
niedrig bis mittel |
hoch |
Store-And-Forward: Brücken ermöglichen Kommunikation zwischen den Netzsegmenten, indem Sie Datenrahmen (Frames) von einem Segment auf das andere gezielt weiterleiten. Diese Weiterleitungsentscheidung wird aber erst getroffen, nachdem der komplette Frame von der Brücke empfangen wurde. Da die Weiterleitungsentscheidung bei Ethernet auf der Ziel-MAC-Adresse basiert, und diese im Ethernetframe bereits nach 112 Bit vorliegt, geht beim Store-And-Forward wertvolle Zeit in der Frameauslieferung verloren.
Mit Latenzzeit der Brücke wird die Frameverzögerungszeit durch die Brücke bezeichnet.
Die Latenzzeit umfasst die Zeit zum Fällen der Weiterleitungsentscheidung und Ausgabe des Frames auf dem freien Zielsegment.
Cut-Through: Bei diesem Weiterleitungsverfahren wird der Frame bereits nach Empfang der Ziel-MAC-Adresse auf das Zielsegment kopiert. Die Latenzzeit verringert sich dabei gegenüber der Store-And-Forward-Technik je nach Framegröße ganz erheblich.
Beispiel: Die Latenzzeit eines 1 KByte langen Frames verdoppelt sich bei Segment-übergang im Store-And-Forward-Verfahren von 0,8ms auf 1,6ms. Angenommen es handelt sich um einen Filetransfer und der Sender wartet vor Absenden des nächsten Frames auf die Bestätigung des Empfängers, verringert sich die effektive Übertragungsgeschwindigkeit gegenüber der Situation Sender und Empfänger am gleichen Segment um 50%.
In unserem Beispiel wäre bei Cut-Through die Netzübertragungszeit gerade mal von 0,8ms auf 0,8112ms gestiegen und damit der effektive Datendurchsatz nur um 1,4% abgesunken. Cut-Through hat sich allerdings erst mit Einsatz der Switchtechnik etabliert. Durch die für den Anwender nahezu unveränderte Performance konnten durch die Switchtechnik Fileserver zu einer performanten Serverfarm zusammengefasst werden.
Wichtiger Hinweis: Der zunehmende Einsatz von TCP hat die Bedeutung des Cut-Through-Verfahren deutlich verringert. Da TCP die Versendung mehrerer Pakete hintereinander ohne Empfängerbestätigung erlaubt, geht die bei S&F erhöhte Latenzzeit in der Praxis kaum noch in die Performance ein. Bei NETBEUI und IPX (grob die defacto-Vorläufer von TCP) war dies anders: Jedes Paket musste einzeln quittiert werden. Heute arbeiten Switches im Regelfall wieder Store-and-Forward.
Halfduplex /
Fullduplex
Klassisches Ethernet hat zum Senden und Empfangen von Frames nur eine elektrische Leitung zur Verfügung. Zu einem Zeitpunkt ist deshalb entweder Senden oder Empfangen möglich (Halfduplex). Ist Senden und Empfangen unabhängig voneinander möglich, spricht man von Fullduplex.
Anfang bis Mitte der 90er Jahre setzte sich neben der Ethernet-Switchtechnik auch das Medium Twisted Pair für Ethernet mehr und mehr durch. Die Verwendung getrennter Sende- und Empfangsleitungen ermöglicht zudem Fullduplex-Betrieb. Allerdings ist Fullduplex mit der Reduzierung auf ein angeschlossenes Endgerät pro Segment (Microsegmentierung) verbunden.
Erste Formen dieser Microsegmentierung wurden bei der Serveranbindung eingeführt. Durch die Möglichkeit unabhängig voneinander mit 10MBit/s Senden und Empfangen zu können, war die theoretische Netzbandbreite für einen fullduplex angeschlossenen Server auf 20MBit/s gestiegen. Praktisch hing die effektiv nutzbare Bandbreite von der aktuellen Netzsituation ab. Im folgenden Bild können die beiden aktiven Anwender fast ungehindert voneinander eine Datei mit ca. 10MBit/s lesen bzw. schreiben.
Unbefriedigend für die Performancesituation blieb allerdings lange Zeit noch das Shared-LAN im Anwenderbereich. Erst mit deutlichem Absinken der Kosten pro Switchport und Verfügbarkeit von Switchsystemen mit höherer Portzahl hatte sich die Microsegmentierung auch im Anwenderbereich (Access Layer) durchgesetzt.
Je nach Portkonzentration (die Portkosten sind beim großen modularen Switch deutlich teurer als beim 24-Port-Workgroupswitch) und redundanten Elementen im Switch kostet ein 100MBit/s Kupferport Ethernet zwischen 50€ und 300€ (Stand 04/2002). Dabei kann eine Nutzungsdauer von bis 4-5 Jahren angenommen werden.
Das folgende Bild zeigt die einfachste Variante eines 100% geswitchten Ethernet-LAN’s, das in dieser Form (nur ein Switch) sicher nur in kleinen Unternehmen im Einsatz ist:
Auf dem Bild ist auch der mittlerweile stark gewachsene Vernetzungsbedarf in Unternehmen erkennbar.
Dieses LAN ist natürlich nicht besonders gut skalierbar. Spätestens wenn alle Switchports belegt sind, oder sich die Anwender ausserhalb der Verteilerreichweite (bei Cat.5-Verkabelung max. 90m festinstallierte Kabellänge) niederlassen, wird ein weiterer Switch und die Zusammenschaltung mit dem ersten Switch notwendig .
Typisch für Netze unterschiedlicher Größe sind folgende Strukturen:
I.d.R. landet ein mittelständisches Unternehmen mit 300 vernetzten Endgeräten bereits bei einer hierarchischen Switchstruktur (mittlere Lösung) und den damit verbundenen Designfragen. Im Folgenden geht dieses Dokument auf die Details des Netzdesigns ein.
Folgende Trends sind erkennbar:
·
Office- und CAD-Dateien werden immer größer. Im
Officebereich sind dies vor allen PowerPoint & Co, im CAD-Umfeld immer
komplexere Konstruktionszeichnungen, meist bereits in 3D.
· Information ist durch die Internetanbindung wesentlich leichter verfügbar. Kataloge, Bilder, Videos werden aus dem Internet geladen und auf dem Server abgelegt
· eMail hat sich in vielen Unternehmen Workflow-Übergangslösung etabliert. Verteilerlisten mit zig Empfängern und Dateianhängen mit tlw. mehr als 10MByte belasten die Netze
· multimediale und damit bandbreitenintensive Anwendungen wie eLearning und Videostreaming kommen neu dazu
·
viel Softwarefirmen kümmern sich nicht um eine
netzoptimierte Programmierung und nehmen an Bandbreite, „was sie bekommen
können“
Lösungspotential: Einsatz höherer Bandbreiten pro Port bzw. pro Anwender. Standard bei Neuausrüstung heute: 100 MBit/s fullduplex pro Anwender, 1 Gbit/s fullduplex für leistungsstarke Server und im Backbone, ggf. bereits als Gigabit-EtherChannel mit n Kanälen gebündelt
Voice-over-IP und Desktop-Videokonferenzing-over-IP fordern kurze Netzdurchlaufzeiten, geringe Paketverlustraten und geringe Paket-Laufzeitschwankungen (Jitter) in den bereitgestellten Netzverbindungen.
Lösungspotential: „Quality-Of-Service“ (QoS)
– Mechanismen wie 802.1p im Ethernet und Verwendung des TOS-Bytes im
IP-Protokoll. Damit ist die technische Voraussetzung zur Priorisierung
bestimmten Datenverkehrs im LAN gegeben: „Jede zeitkritische Anwendung bekommt
das, was sie braucht – Hintergrundanwendungen müssen sich mit der restlichen
Kapazität begnügen“
Das Unternehmensnetz (neben dem LAN natürlich auch das WAN mit Standort- und Internetanbindung sowie die Serverdienste) wird zunehmend unternehmenskritisch (mission critical). Die Zeiten in denen bei entsprechendem Netzdesign vermeidbare Netzstillstände vom Anwender toleriert wurden a la „Morgen um 10.00h geht das LAN für 2 Stunden nicht“ oder „Was kann ich dafür, dass das Switch-Netzteil ausgefallen ist“ sind vorbei!
Damit besteht die Notwendigkeit alle Single-Point-of-Failures (SPoF) im Netz und Systembereich auszuschalten. Hierfür gibt es praxiserprobte Konzepte, die in der Umsetzung zwar etwas teurer sind als nicht fehlertolerante Konzepte, aber sich oft bereits durch einen vermiedenen 8-stündigen Totalausfall bezahlt gemacht haben. Problem: Ein vermiedener Totalausfall taucht leider in keiner traditionellen Kalkulation auf. Viele Unternehmen werden hier erst durch Schaden klug.
Lösungspotential: Kritische Komponenten (Switch-Netzteil, Switching-Engine und Leitungswege) doppeln, sowie SPoF im Softwarebereich (typ. Default Gateway) durch Einsatz entsprechender Hochverfügbarkeitsprotokolle (z.B. HSRP von Cisco oder VRRP (IETF 1998, RFC 2338)) ausschalten
Nachdem das Top-Management zunehmend Informationstechnik zur Bewältigung der täglichen Arbeit einsetzt, sind auch die Inhalte auf dem Netz sensibler geworden. Die Entwicklung im eBusiness erhöht den Sicherheitsbedarf zusätzlich. Klassische Ethernet’s oder Token-Ringe erlauben es heute jedem Anwender, durch Herunterladen entsprechender Paket-Sniffer vom Internet, den Netzverkehr mitzuschneiden.
Lösungspotential: In geswitchten Umgebungen ist der Einsatz von Paket-Sniffern zum Abhören des Segmentdatenverkehrs wenig effektiv, da durch die Microsegmentierung nur noch der eigene Datenverkehr sowie Multi-/Broadcastverkehr angezeigt wird. Ein geswitchtes Netz erhöht somit die Sicherheitshürde um ein beträchtliches Stück.
Weiteres Verbesserungspotential bzgl. Netz-Sicherheit liegt in einer starken Authentifizierung des Anwenders nicht nur gegenüber dem Server, sondern bereits gegenüber dem Netz. Werden die Daten im Netz zudem noch verschlüsselt, ist eine wichtige Hürde gegenüber externen und internen Angreifern aufgebaut.
Der Aufwand sowohl für starke Authentifizierung als auch für effektive Verschlüsselung liegt allerdings gegenüber der Standardlösung deutlich höher, sodaß heute in LAN’s kaum verschlüsselt noch stark authentifiziert wird.
Hinweis: Zur starken Authentifizierung wird neben User/Passwort zumindest der Besitz eines Gegenstands wie Smartcard/Token oder die Darstellung einer bestimmten biometrischen Eigenschaft wie z.B. Fingerabdruck benötigt.
Immer mehr Anwender benötigen um effektiv arbeiten zu können, Zugriff von überall aus auf Unternehmensdaten. Auch dieser Umstand muß im Netzkonzept berücksichtigt werden.
Lösungspotential: Neben Selbstumzug des Anwenders, das Netz erkennt den Anwender nach Umzug wieder und ordnet Rechte und Parameter entsprechend zu, spielt hier auch das Wireless LAN eine zunehmende Rolle. Wireless LAN ist, ich möchte dies hier besonders betonen, mehr Ergänzung als Ersatz für drahtgebundenes Ethernet. In Fertigungsbereichen hat Wireless-LAN bei Logistik-, Qualitäts- und Service-Funktionen hohes Ratiopotential. In Verwaltungs- und Entwicklungsbereichen ist es im Präsentationsumfeld, z.B. im CI-konformen Konferenzraum vorteilhaft ohne Datennetzkabel Kontakt zum Fileserver oder ERP-Applikation herstellen zu können.
Mobile IP, eine Technik mit der sich Anwender in fremden Netzen bewegen können und in ihren Heimatnetzen trotzdem mit der bekannten IP-Adresse auftauchen, wird hier nicht beschrieben, da es eher im WAN-Umfeld (Dial-In-User) interessant ist.
Netzadministratoren haben bereits heute in der Regel sehr vielfältige und umfangreiche Aufgaben. Der Trend zu höherer Arbeitsbelastung hält zudem unvermindert an. Umso wichtiger ist es Automatisierungpotential im Netz zu erkennen und konsequent umzusetzen. Ein modernes Ethernet kann wartungsarm und damit arbeitsentlastend wirken. Hier ein Beispiel:
In gesharten Ethernetstrukturen legt ein defektes Patchkabel oft eine ganze Etage lahm. Die aufwändige Fehlersuche beansprucht dabei wertvolle Zeit des Netzadministrators und vermindert bis zur Fehlerbeseitigung die Produktivität der Anwender.
Die Total-Cost-of-Ownership (TCO) eines veralteten LANs liegt fast immer über der eines zeitgemäßen Ethernet-LANs.
Nach der EN50173, Norm für strukturierte Verkabelungssysteme, werden Netze streng nach Gelände und Gebäudestruktur aufgebaut. Von der Datenanschlussdose geht der Weg zum Etagenverteiler und über den Gebäudeverteiler zum Standortverteiler. Sowohl das Verkabelungssystem als auch die Netzelektronik folgen somit der Gebäudephysik. Ein Unternehmen ist jedoch im Regelfall nicht nach Gebäuden, sondern nach Geschäftsbereichen, Funktionen und Funktionseinheiten organisiert.
Durch VLAN-Technik wird die Lücke zwischen Gebäude-/LAN-Physik und Netzstrukturierung nach organisatorischen Gesichtspunkten größtenteils geschlossen. VLANs legen über das physische Netz eine logische Ebene. Die Switchports im gesamten Netz können beliebig in VLANs strukturiert werden. Ein 100%-geswitchtes Netz, heute bezahlbarer Stand der Technik, kann somit nach organisatorischen Gesichtspunkten bereitgestellt werden.
Ein VLAN ist eine Gruppe von Switchports / Endgeräten, die losgelöst von der physischen Netzstruktur definiert werden kann.
Ein nach organisatorischen Gesichtspunkten strukturiertes LAN hat Vorteile bzgl. Sicherheit, Abrechnung und Service-Level-Management. Sensible Server können z.B. nur in bestimmten VLANs sichtbar gemacht werden, Internet-Traffic kann kostenstellenbezogen abgerechnet werden, Service-Level im LAN können abteilungsbezogen hergestellt und überwacht werden.
Nachteile liegen im höheren administrativen Aufwand und in einer geringfügig höheren Komplexität. Ob der Nutzen durch Einsatz von VLAN-Technik größer als der administrative Aufwand ist, muß individuell entschieden werden. Die meisten Hersteller haben heute VLAN-Funktionalität ohne Aufpreis in ihren Switchen integriert, sodaß sich die Frage VLAN Ja/Nein zumindest bei der Anschaffung nicht stellt.
Kommunikation zwischen VLANs ist übrigens nur über Routing möglich. Dies hat den positiven Nebeneffekt, dass VLANs automatisch zu „Broadcast-Domainen“ werden und damit das Broadcastproblem großer geswitchter Netze lösen können.
Im Netz hat sich das Verfahren, Informationen an unbekannte Empfänger oder „An Alle“ per Rundruf = Broadcast zu senden, durchgesetzt. Die MAC-Zieladresse wird dabei auf FFFF.FFFF.FFFF gesetzt. Broadcasts müssen von allen Endgeräten am Netz gelesen und ausgewertet werden.
Beispiele für Broadcasts:
· ein PC sucht via Broadcast einen DHCP-Server (Dynamic Host Configuration Protocol)
· der ARP-Broadcast dient zur Ermittlung der MAC-Adresse einer IP-Adresse
· Serverbetriebssysteme geben über Broadcasts ihre Dienste zyklisch im LAN bekannt (z.B. Novell Netware mit dem Service Advertisment Protocol (SAP)
Multicasts adressieren im Vergleich zu Broadcasts nicht alle Netzteilnehmer, sondern nur bestimmte Gruppen. Welche Gruppe adressiert ist, wird über vordefinierte MAC-Adressen bestimmt.
Beispiele für Multicasts:
·
Windows setzt zum Aufbau der Browsinglisten
Multicasts ein (Multicast-Adresse „Alle Windows-Rechner“)
· der Spanning Tree Algorithmus adressiert seine Hello-Pakete an die Multicastadresse „Alle Brücken“
· Multimediastreams werden (idealerweise) als Multicast verschickt.
Zur Vereinfachung bleibe ich bei den folgenden Erläuterungen beim Sammelbegriff Broadcast.
Die Broadcastlast, gemessen in Broadcast/s, steigt mit zunehmender Endgeräteanzahl und verschwendet dabei immer mehr Netz-Bandbreite und CPU-Ressourcen der Netzteilnehmer. Die Skalierbarkeit ist damit begrenzt, denn irgendwann wäre das Netz nur noch mit sich selber beschäftigt. Natürlicher Broadcast-Feind ist der Router. Er trennt Netze in Broadcastdomainen auf.
Abhängig von den Client-/Serverstruktur ist ab ca. 200 Endgeräten eine Aufteilung in zwei oder mehrere Broadcast-Domains sinnvoll. Ursprüngliches Netz:
Zwei Broadcast-Domains, durch Aufteilung des Netzes mittels Routers:
Broadcast-Domainenbildung durch Einsatz von VLANs und integriertem Router (Layer-3-Switch)
Im obigen Beispiel werden die beiden Vorteile der VLAN-Technik deutlich: Zum einen wird durch Aufteilung der Netzteilnehmer in Broadcast-Domains die Broadcastlast vermindert, zum anderen können Anwender bzw. deren Endgeräte nach logischen Gesichtspunkten gruppiert werden.
Ein Nachteil der VLAN-Technik soll nicht verschwiegen werden: Nicht routbare Protokolle (SNA, DEC LAT etc.), sind ohne Zusatzaufwand nicht mehr im gesamten LAN erreichbar. Eine SNA-Ethernet-Steuereinheit (z.B.) verliert durch VLAN-Bildung ihre Reichweite und ist nur noch im eigenen VLAN sichtbar. Gelöst werden kann dieses Problem durch einen Netzadapter pro zu versorgendem VLAN, einer teuren und umständlichen Lösung. Besser ist der Einsatz des sogenannten VLAN-Trunkingverfahrens. Hier kann ein Switchport mit mehreren VLANs verknüpft werden. Die Steuereinheit, sofern diese das entsprechende VLAN-Trunkingverfahren unterstützt, ist dann in den gewünschten VLANs erreichbar. Details zum VLAN-Trunking werden im Folgenden beschrieben.
Um die VLAN-Zugehörigkeit eines Ethernet-Frames im switchübergreifenden Netzverkehr nicht zu verlieren, wird der Ethernet-Header um ein weiteres Feld ergänzt. Dieses Verfahren wird VLAN-Tagging genannt. Neben herstellerspezifischen VLAN-Tagging Verfahren, wie dem Inter Switch Link (ISL) von Cisco Systems, gibt es seit einigen Jahren das IEEE-genormte Verfahren nach 802.1Q (auch „dotq“ genannt). Da 802.1Q von der Mehrzahl der Hersteller unterstützt wird, ist es heute im Netz-Neudesign oft erste Wahl. Die Chancen stehen mit 802.1Q gut, VLANs auch über heterogene Ethernetkomponenten erfolgreich aufzubauen und zu betreiben.
Hinweis: Durch das VLAN-Tagging nach 802.1Q verlängert sich der Ethernetframe um 4 Byte. Alte Netzkomponenten sind im Umgang mit potentiell zu langen Frames sicher überfordert und sollten hier besser ausgetauscht werden.
Durch die Kennzeichnung von Frames mit ihrer VLAN-ID ist es nun problemlos möglich, Frames unterschiedlichster VLANs über Trunks (Hauptleitungen) zu verbinden. Trunks können beliebig zwischen Switch-, Router- und Hostports aufgebaut werden. Entscheidend ist nur, dass das jeweilige Gerät bzw. der Switch-Port VLAN-Tagging unterstützt.
Switch-Trunks sind im Regelfall ganz normale Ports. Über einen Befehl können sie in den Trunkmode geschaltet werden bzw. im Autotrunkingmode einen Trunkport auf der anderen Seite automatisch erkennen. VLANs können gezielt über bestimmte Trunks verbunden werden. Die Eindeutigkeit Switchport zu VLAN gilt für Trunks nicht.
VLAN-Informationen, z.B. VLAN-Nummern oder –Namen, sind nur innerhalb einer sogenannten VLAN-Domain gültig. Eine VLAN-Domain bezeichnet das Ausbreitungsgebiet administrativ festgelegter VLAN-Informationen. Für kleine LANs genügt oft eine einzige VLAN-Domain. Bei größeren LANs kann eine Aufteilung in mehrere VLAN-Domains sinnvoll sein. Dies ist vor allem dann, wenn das LAN von mehreren organisatorisch getrennten Gruppen oder Firmen betreut wird, oder wenn administrative Fehler in ihrer Wirksamkeit räumlich begrenzt werden sollen, empfehlenswert.
Den Umgang mit VLANs erleichtert das VLAN Trunking Protocol (VTP). Es verteilt die VLAN-Konfiguration automatisch an alle Netzsysteme in der jeweiligen VLAN-Domain. VLANs müssen mit VTP nur einmal angelegt (geändert, gelöscht, …) werden. Die Änderung ist dann automatisch in der gesamten VLAN-Domain bekannt.
VLANs können über nahezu jedes Backbonemedium (FDDI, ATM,
Frame-Relay, …) verbunden werden
(Verfahren nach 802.10 oder ATM LANE). Standortübergreifende VLANs sind aber
eher die Ausnahme als die Regel. Zum einen sind WAN-Bandbreiten zu teuer um vermeidbare
Last zu übertragen, zum anderen werden LANs und damit auch VLANs oft vom
jeweiligen Standort selbst betreut. Wird im WAN-Bereich Routing eingesetzt, spielt das Broadcastargument hier sowieso keine
Rolle.
Die meisten Switchhersteller unterstützen je VLAN einen eigenen Spanning Tree nach 802.1d (/w). Die unangenehme Eigenschaft des Spanning Trees zwar Redundanz aber kein Loadbalancing im Netz zu ermöglichen, kann hiermit relativiert werden:
Hinweis: Spanning Tree sorgt im Layer-2-Netz für Schleifenfreiheit, indem redundante Wege im Normalfall geblockt, d.h. in den Hotstandby-Modus versetzt werden
Durch entsprechende Konfiguration kann die Last zwischen den Switches nach VLANs geordnet aufgeteilt werden. Sind bei nur einem Spanning Tree im LAN parallele Pfade blockiert (Schleifenverhinderung), können bei einem Spanning Tree pro VLAN parallele Pfade für unterschiedliche VLANs genutzt werden. Das Verfahren wird Per-VLAN-Spanning-Tree genannt (PVST).
Neben der portbasierenden Gruppierung von VLANs, sind weitere Gruppierungsverfahren möglich:
Beispiel 1: MAC-Adressen werden VLANs zugeordnet. Die VLAN-Zugehörigkeit eines Ports entscheidet sich hier erst beim Hochfahren des Endgeräts. Dem einmaligen Konfigurationsaufwand stehen hier Erleichterungen bei Umzügen entgegen. Hardwarebezogene Gruppen- und Rechtebildung ist allerdings im Zeitalter des Desksharings nicht mehr zeitgemäß und nach Möglichkeit zu vermeiden.
Hinweis: Ein interessanter Ansatz ist es, beim Eintritt in das Netz eine Userauthentifizierung durchzuführen und erst dann die VLAN-Zuordnung zu treffen. Bei Anwahl eines Internet Service Providers ist die Authentifizierung beim Eintritt ins Netz, wenn auch im Wesentlichen aus Abrechnungsgründen, eine Selbstverständlichkeit. Beim Zugang zum Unternehmensnetz muß sich diese Sicherheitsfunktion erst noch durchsetzen. Die Technik hierzu ist jedenfalls verfügbar.
Beispiel 2: Die VLAN-Aufteilung ist auch nach Dienstetyp, z.B. alle Voice-over-IP Pakete in ein eigenes VLAN, möglich. Diese Art der VLAN-Bildung wird auch Layer-3/4 oder protocol-based VLAN genannt. Wird eine beliebige Stelle im MAC-Frame zur VLAN-Zuordnung herangezogen, wird von VLAN-by-a-userbased-value gesprochen.
Zusammenfassung: Durch VLAN-Technik können Anwender im LAN nach logischen Gesichtspunkten gruppiert werden. Jedes VLAN bildet dabei eine Broadcastdomain und verbessert somit die Netz-Skalierbarkeit. VLAN-übergreifende Kommunikation ist nur durch Routing möglich. VLANs können Netz-Sicherheit, Abrechnung und Service Level Management wirksam unterstützen.
Ein Switch ist am besten mit einer Multiport-Brücke vergleichbar und damit ein klassisches Layer-2-System. Die Hauptaufgabe des Switches besteht in der schnellen und kontrollierten Weiterleitung von Frames. Da der Layer-2 unmittelbar auf Layer-1, der Definition und Umsetzung der hardwarespezifischen Funktionen im Netz, aufsetzt, sind die meisten Funktionen des Layer-2 ebenfalls noch sehr hardwarenah. Typisch hierfür ist z.B. die minimale und maximale Framelänge der jeweiligen Layer-2-Technik.
Ein Netzsystem, das sich um Weiterleitung von Paketen (Layer-3) kümmert, wird klassischerweise als Router bezeichnet. Der Layer-3 selbst ist bereits völlig hardwareunabhängig. Einem Paket ist es egal, ob das darunterliegende Netzmedium Ethernet, ISDN oder Frame-Relay ist.
Kann nun ein Switch ebenfalls Pakete und nicht nur (Layer-2-)Frames im Netz weiterleiten, wird er auch als Layer-3-Switch bezeichnet. Gegenüber einem klassischen Router ist die Funktionsvielfalt jedoch oft auf wenige Techniken, z.B. reines IP-Routing, beschränkt. Weitere Begriffe für einen Layer-3-Switch sind:
· IP-Switch (kann dann wahrscheinlich nur IP routen)
· Switchrouter
· Ethernet-Router (hat nur Ethernetports?!)
Entscheidend ist, dass sich das Gerät in jeder Hinsicht wie
ein Router verhält, d.h. auch am Routingprozess von RIP-2, OSPF etc. teilnimmt.
Ethernet ist, wie bereits mehrfach erwähnt, eine sehr hardwarenahe/physisch greifbare Netztechnik. Ethernet verbindet Hosts untereinander. Bridges und Switches im Ethernet arbeiten aus Host-Sicht dabei transparent. Im Klartext heißt das, daß alle an ein LAN angeschlossenen Endgeräte sich ohne Zwischeninstanz direkt miteinander unterhalten können.
Leider hat die Sache einen Haken: Hardwarenahe Netze sind, auch bei Einsatz der Switchtechnik, nur bis zu einer bestimmten Größe überschaubar und managebar.
Hinweis: Die VLAN-Technik ist sicher ein geeignetes Mittel, Skalierbarkeit und Managebarkeit großer LANs merklich zu verbessern. Wie allerdings bereits angedeutet, wird zur Kommunikation zwischen den VLANs eine Layer-3-Funktion, sprich Routing, benötigt.
Der Layer-3 (Network Layer) wurde als übergeordnete Instanz
geschaffen, um hardwarenahe Netze zu einem logischen Gesamtnetz verbinden zu
können. Als Paradebeispiel für ein logisches Gesamtnetz dient das Internet: Es
ist weltweit das größte Layer-3-Netz und besteht aus hunderttausenden
strukturiert miteinander verbundenen Layer-2-Netzen unterschiedlichster
Technologie.
IP ist heute ohne Zweifel das Standardprotokoll im Network Layer. Eine wesentliche Rolle für diesen Erfolg, hatte hierbei sicher die zunehmende Wichtigkeit des Internets in den 90er Jahren gespielt. Um das eigene Betriebssystem internetfähig zu machen, hatte nach und nach jeder Betriebssystemhersteller IP neben seinem systemspezifischen Protokoll als alternatives Vernetzungsprotokoll implementiert.
Eine IP-Adresse besteht, im Gegensatz zu einer Ethernet-Adresse, aus zwei Teilen: Einem Netz- und einem Hostanteil. Hiermit lassen sich Hosts mit gleichem Netzanteil (Netz-ID) in logischen IP-Netzen gruppieren. Mehrere IP-Netze wiederum lassen sich über Router zu einem hierarchisch strukturierten Gesamt-IP-Netz zusammenfassen. Im Umkehrschluß heißt das, sobald sich die IP-Adressen zwischen zwei Hosts in der Netz-ID unterscheiden, ist zur Kommunikation ein Router notwendig. Ist die Netz-ID gleich, ist direkte Kommunikation möglich.
Ursprünglich war die Länge der Netz- und Host-ID durch die
Klasse der Adresse
festgelegt. Um IP-Netze weiter unterteilen zu können, wurde
die Subnetmaske ein-
geführt. Die Netz-ID gilt bis zur letzten gesetzten Eins der
binären Subnetmaske (von links
gelesen). Eine Class-B-Adresse hat z.B. in der üblichen
dezimalen Schreibweise
die Subnetmaske 255.255.0.0, d.h. ab dem 3.Byte von links
beginnt die Host-ID
In der Praxis haben übrigens alle Hosts eines VLAN, bis auf exotische Ausnahmefälle, die gleiche IP-Netzadresse.
Im Folgenden werde ich allerdings nur soweit auf IP eingehen, wie es das Verständnis für moderne Ethernet-Netze erfordert.
Um Endgeräten die Komplexität großer IP-Netze zu ersparen, müssen diese lediglich zwischen Kommunikation mit Hosts im gleichen und Kommunikation mit Hosts in fremden IP-Netzen unterscheiden. Ist der Kommunikationspartner im gleichen IP-Netz, findet der Datenaustausch auf direktem Wege über die Ethernet-Adressen statt. Ist der andere Rechner in einem anderen IP-Netz, kann die Kommunikation nur über die voreingestellte Routeradresse DEFAULT GATEWAY erfolgen (mit der seltenen Ausnahme, wenn auf dem Host selbst IP-Routen eingetragen sind oder dynamisches Routing läuft).
Um diese IP-Pakete in die richtige Richtung weiterzuleiten, muß der Router natürlich den richtigen Weg zum Ziel kennen. In kleinen Netzen mit wenigen Routern wirkt diese Aufgabe recht trivial. In größeren Netzen mit redundanten Wegen ist die optimale Paketweiterleitung hingegen eine echte Herausforderung.
In kleinen Netzen können die Wege (= Routen) aus praktischen Gesichtspunkten noch manuell und damit statisch im Router eingetragen werden. Sinngemäße Anweisung an Router: „Wenn du ein Paket für Netz 172.16.0.0 erhältst, dann gebe dieses an deinen Nachbarrouter 192.168.224.2 weiter“. Dafür, daß 192.168.224.2 tatsächlich näher am Zielnetz 172.16.0.0 liegt, ist beim statischen Routing der Administrator verantwortlich.
In größeren Netzen ist es praktikabler mit dynamischen Routing zu arbeiten. Beim dynamischen Routing tauschen die Router quasi ständig Informationen zu erreichbaren Zielnetzen mit Entfernungsangaben untereinander aus. Jeder Router baut sich mit diesen Informationen eine Tabelle mit Zielnetzen und sogenannten Next-Hop-Adressen auf. Erhält der Router nun ein Paket für ein fremdes Zielnetz, schaut er in seiner Tabelle nach und gibt das Paket an die dort eingetragene Next-Hop-Adresse weiter. Ist das Zielnetz erreicht, liefert der letzte Router in der Kette das Paket an den Empfänger aus.
Neben dem geringeren administrativen Aufwand hat das dynamische Routing den erheblichen Vorteil, dass über die Wegrichtung je nach Netzsituation z.B. Verbindung ausgefallen, Leitung überlastet, entschieden werden kann.
Zwei wichtige Hinweise:
1. Das Kopieren der Pakete von einem zum anderen Interface selbst wird Weiterleitung (Forwarding) und nicht Routing genannt. Routing ist die Aufgabe des Routers das optimale Interface für ein Paket in ein bestimmtes Zielnetz zu kennen und aktuell zu halten. Die dafür notwendigen Informationen verwaltet der Router in seiner Routing-Tabelle.
2. Ein Router kennt in der Regel nur die zielführenden Nachbar-Router und die jeweils damit verbundenen Wegekosten bis zum Ziel (metric). Die Paket-Weiterleitung erfolgt somit von Router zu Router, meist Hop-by-Hop genannt. Dabei wird immer der Weg bzw. Hop mit den aktuell geringsten Gesamtkosten zum Ziel gewählt.
Durch die Strukturierung eines Ethernet-LAN’s mittels
Layer-3-Funktionalität werden auch größere LANs leichter managebar. Wichtig an
dieser Stelle ist, dass hierdurch Routing im lokalen Netz (wieder) eine Rolle
spielt und der gezielte Einsatz von Routingfunktion für ein gutes
Gesamt-Netzdesign unverzichtbar ist. Kann ein Layer-2-LAN oft noch
„Plug-And-Play“ aufgebaut werden, müssen bei einem Layer-3-LAN u.a.
IP-Adresskonzepte erstellt und Routingprotokolle ausgewählt werden. Durch
Einsatz von VLAN-Technik wird ein Layer-2-LAN quasi zum LAN mit
Layer-3-Funktionalität befördert.
Die hier gestellte Frage „Wann und wo Switching, wann und wo Routing?“ muß individuell entschieden werden. Anhand der praktischen Beispiele in Kapitel 5 gehe ich näher darauf ein.
Historisch bedingt lastet dem Thema Routing das Makel geringer Performance an. Router erledigen die Paketweiterleitung meist softwarebasierend, Switche die Frameweiterleitung meist hardwarebasierend. Ein Router mit hardwarebasierender Paketweiterleitung wäre aufgrund der Dynamik in der Layer-3-Protokollentwicklung und der Vielzahl zu unterstützender Netztechniken in der Vergangenheit zu komplex und unflexibel gewesen. Viele Hersteller haben ihre Router deshalb aus einer Workstation mit abgespecktem Unixkernel gebaut.
Ein Layer-3-Switch hat durch die Reduzierung auf wenige mittlerweile ausgereifter Protokolle (i.d.R. IP und IPX) und wenige Netztechniken (oft nur Ethernet) hier eine deutlich geringere Komplexität zu bewältigen. Während der weniger zeitkritische Routingprozeß (Bestimmung der optimalen Wege) nach wie vor auf Software basiert, erfolgt die Paket-Weiterleitung beim Layer-3-Switch meist auf Hardwarebasis. Ein gut designter Layer-3-Switch schafft Paketweiterleitung genauso mit Anschlussbandbreite der Ports („wired speed“) wie Frameweiterleitung.
Hinweis: Je nach Hersteller ist die
Routingfunktionalität bereits im Switch integriert oder muß über (teure) Zusatzmodule nachgerüstet werden.
Das VLAN-Tag nach 802.1Q enthält neben der VLAN-ID auch 3 Bits zur Festlegung der Frame-Priorität. Hierdurch ist es möglich z.B. Sprache im Ethernet zu priorisieren. Für eine wirksame Ende-zu-Ende-Dienstgüte müssen natürlich alle Switche und Router zwischen den beiden Endgeräten Framepriorisierung unterstützen.
Historischer Hinweis: Für Token-Ring-Kenner sind die 3 Prioritätsbits ein alter Hut: Sie waren im Token-Ring-Frameformat von Anfang an enthalten (native).
Dienstgüte im Netz macht immer nur Ende-zu-Ende Sinn. Bei einem VoIP-Telefonat ist es wenig tröstlich, wenn Sprache im jeweiligen Ethernet-LAN nach 802.1p priorisiert wird, aber die WAN-Strecke dazwischen First-In-First-Out bedient wird und durch Filetransfers zeitweise überlastet ist.
Um Dienstgüte im Gesamtnetz zur Verfügung zu stellen, ist der Layer-3, hier IP, gut geeignet. Da der IPv4-Header bereits ein Byte für Priorität vorsieht, muß dieses nur noch in der Ende-zu-Ende-Kette ausgewertet und beachtet werden. Im bisherigen Verfahren, dem Type of Service (TOS, RFC1394), sind sieben verschiedene Prioritäten möglich. Eine abwärtskompatible Neudefinition dieses Bytes wird Differentiated Services Code-Point (DSCP, RFC 2474) genannt, und ermöglicht 32 verschiedene Serviceklassen. Um hier nicht zu weit vom Thema „Ethernet-Netzdesign“ abzukommen, verzichte ich hier auf weitere Erläuterungen zum Thema Dienstgüte.
Hiermit schließt der eher theoretische Teil und wir wenden uns nun den Ethernet-Designprinzipien zu:
Von einem Netz wird hohe Flexibilität und Vielseitigkeit erwartet. Es muß sich Anwendern, Anwendungen, Endgeräten, Gebäuden und Geländen jederzeit anpassen können. Obwohl jedes Netz aus normierten Teilen aufgebaut wird, gibt es keine zwei gleichen Netze. Jedes Netz ist ein Unikat.
Einige Eckpunkte des Netzdesigns sind schnell erfasst:
·
Portanzahl und Anschlußbandbreite der Clients
(PC, Workstation, Notebook, Drucker, …)
· Portanzahl und Anschlussbandbreite der Server (inkl. Entscheidung der einfachen oder redundanten Netz-Anbindung)
Andere Eckpunkte erfordern im Rahmen des Gesamtdesigns eine individuelle Entscheidung
· wo Switching, wo Routing
· 1-/2- oder 3-stufiges Design
· Anbindung vorhandener (Alt-)Netze
· VLAN-Konzept
· IP-Adresskonzept
·
Routing
und Loadbalancing (OSPF / EIGRP, PVST)
· Sicherheit (Accesslisten, Einsatz von Intrusion Detection Systemen (IDS))
· Betriebskonzept (Erweiterung, Wartungsfenster, Eskalationsprozedur)
· Ausbildung/Skill der Netzadministratoren
·
Netzwerkmanagement, Service Level
Agreement/Management
Ein optimales Netz kann nur aus einer gesamtheitlichen Sichtweise entstehen. Die nun folgenden Designansätze können und sollen ein individuelles Netzdesign nicht ersetzen, sondern ansatzweise die bisher besprochenen Verfahren auf die Praxis abbilden.
· Aufnahme der aktuellen Anwendungen, deren Anwendungsprofil und deren Netzverhalten (Baseline)
· Erfassung geplanter und potentieller Anwendungen
· Mengenermittlung und Klassifizierung anzuschließender Endgeräte
· Aufstellung von Wachstums-Szenarien (mehr Anwender, mehr Server, mehr Gebäude, mehr Bandbreite, neue Anwendungen)
· Sensibilität der Datenströme
·
Ermittlung des Bandbreitenbedarfs, z.B. Serveranschlussbandbreiten,
Backbonebandbreiten
· Designelemente zur Vermeidung von Single-Point-of-Failures (SPoF)
· Berücksichtigung der physischen Umgebung (Raum, USV, Klima, Zutritt, Verkabelung, Alarmierung)
· Geräteunterbringung: Einbauplatz, Portdichte, Wärmeentwicklung
· Betriebs-/Wartungskonzept (Betriebshandbuch, Eigen-/Fremdwartung)
· Skill der Administratoren / gezielte Schulungs- und Workshopmaßnahmen
· Erfahrungen/Know-How mit einem bestimmten Hersteller/Systemhaus
· Netzwerkmanagement
·
Schnittstellen zu Nutzern (z.B. Ansprechpartner
der RZ-Abteilung)
Für ein mittelständisches Unternehmen mit 200 Mitarbeitern in der Firmenzentrale, ist das vorhandene Netz immer häufiger produktivitäthemmend (oft zu langsam, häufige Ausfälle). Es sind ca. 100 Endgeräte neu zu vernetzen. Die nächsten drei Jahre wird mit ca. 50 zusätzlichen Endgeräten auf den vorhandenen Flächen gerechnet. Neue Gebäude oder Flächen sind am Firmenstammsitz eher unwahrscheinlich.
· das vorhandene Netzequipment wird komplett ersetzt. Alte Netzelektronik wird über ein Trade-In-Programm des Hersteller der neuen Komponenten zurückgenommen und senkt damit die Anschaffungskosten der Neusysteme.
· sinnvollerweise werden vorhandene 10Base2-Netze durch strukturierte Verkabelung ersetzt.
· Insgesamt sind dann 3 Verteilerstandorte zu berücksichtigen. Einzelne entfernt liegende Stationen werden über Glasfaser angebunden
· VoIP ist noch kein Thema, muß aber jederzeit nachrüstbar sein
· es wird aufgrund der Größe und Anforderungen auf ein Layer-3-Design verzichtet (keine VLANs, ein Class-C-IP-Netz, keine Switch - Hierarchie)
· der Switch im IT-Raum versorgt auch Anwender (Kostenargument)
· die Switche sind aus Kostengründen nicht-modular aufgebaut
· der vorhandene Router wird 1:1 übernommen
· die Clients werden mit 100MBit/s angeschlossen (10/100BaseTX-Ports)
· Server- und Trunkleitungen (Switch-to-Switch) werden idealerweise mit Gigabit betrieben (je nach Anzahl möglicher Gigabitports der nichtmodularen Switches ggf. über Fast-Etherchannel)
· im Backbone kommt Spanning Tree zum Einsatz, d.h. eine Leitung ist im Normalfall geblockt
·
Dienstgüte wird (vorerst) nicht konfiguriert
Eine Versicherung mit 800 Mitarbeitern möchte künftig alle Schadensfälle Online bearbeiten. Durch die Multimediaakten steigen die Bandbreitenanforderungen im Netz ganz erheblich. Da der Sachbearbeiter(in) ohne Netzanbindung in seiner Arbeit stark behindert wird, sind die Anforderungen an die Verfügbarkeit entsprechend gestiegen. Für 500 Endgeräte muss deshalb ein leistungsfähiges Netz bereitgestellt werden. Die nächsten drei Jahre wird zudem mit einer Gebäudeerweiterung und ca. 200 zusätzlichen Endgeräten auf den vorhandenen Flächen gerechnet.
· weiterhin geeignetes Netzequipment wird in das neue Netz integriert.
· „Uralt-Netzelektronik“ wird an den Lieferanten zurückgegeben („Trade-In“)
· insgesamt sind 4 Verteilerstandorte zu berücksichtigen.
· VoIP ist bereits im Call-Center ein Thema und muss mit berücksichtigt werden
· aufgrund der Größe und Anforderungen ist ein Layer-3-Design sinnvoll
· das Netz ist in zwei Hierarchiestufen gegliedert (Access und Distribution/Core) und deshalb besser skalierbar als ein flaches Netz
· aufgrund der Netzgröße von 500 - 700 Endgeräten werden VLANs zur Begrenzung der Broadcastlast eingerichtet
· auf den redundanten Leitungen zum Backbone wird IEEE 802.1s (multiple spanning tree) konfiguriert und damit Loadbalancing ermöglicht
· die Default Gateway’s werden durch xSRP (z.B. Hot-Standby-Routing-Protocol = HSRP bei einer Ciscolösung) hochverfügbar bereitgestellt
·
jedes VLAN erhält sein eigenes Class-C-Netz
·
Sprache wird über 802.1p priorisiert
·
sowohl im Access als auch im Distribution-/Corebereich
werden modulare Switche eingesetzt
· der Core wird redundant ausgelegt. Beide Switches werden in getrennten Räumen (Brandabschnitten) untergebracht
Ein Großunternehmen der Softwarebranche möchte sein Entwicklungszentrum mit ca. 2.000 Mitarbeitern leistungsfähig vernetzen. Besonderer Wert wird dabei auf Sicherheit, Performance, Echtzeitfähigkeit für Desktop-Videokonferenzing / VoIP-Telefonie und Skalierbarkeit im Netz gelegt.
· es sind insgesamt 20 Verteilerstandorte zu berücksichtigen
· vorhandenes Netzequipment wird komplett zurückgegeben
· aufgrund der Größe und Anforderungen ist 3-stufiges Design mit Layer-3-Funktion im Distribution- und Corebereich sinnvoll
· das geplante neue Gebäude kann analog zu den anderen Gebäuden redundant am Switch angeschlossen werden
· das Netz wird in drei Hierarchiestufen gegliedert (Access, Distribution und Core).
· aufgrund der Netzgröße von 2.000 Endgeräten wird VLAN-Technik eingesetzt
· auf den redundanten Leitungen zum Backbone wird IEEE 802.1s (multiple spanning tree) konfiguriert und damit Loadbalancing ermöglicht, im Core Redundanz inkl. Loadbalancing durch OSPF hergestellt
· die Default Gateway’s in den VLANs werden durch xSRP (z.B. Hot-Standby-Routing-Protocol = HSRP bei einer Ciscolösung) hochverfügbar bereitgestellt
· jedes VLAN erhält sein eigenes Class-C-Netz
·
Routing erfolgt bevorzugt im Distributionbereich
·
Sprache wird über 802.1p priorisiert
·
in allen drei Bereichen (Access, Distribution, Core)
werden modulare Switche eingesetzt
· Core und Distribution werden redundant ausgelegt. Die Switches werden paarweise in getrennten Räumen (Brandabschnitten) untergebracht
Der Accesslayer stellt die Zugangsebene für den Endanwender dar. Switche der Accessebene werden üblicherweise in den 19“-Verteilerschränken der Anwendergebäude betrieben. Im Access Layer ist die Broadcastlast aufgrund der hohen Anzahl Endgeräte naturgemäß am stärksten. Routing im darunterliegenden Distribution Layer bzw. der Einsatz von VLANs hält den Broadcasttraffic der Clients vom Core und damit von den Servern ab.
Der Distribution Layer stellt eine Art Grenzlinie zwischen Access- und Core-Layer dar. Hier werden die Anwender-VLANs zusammengefasst und geroutet. Netzregeln (Sicherheit, Dienstgüte etc.) werden idealerweise im Distribution Layer umgesetzt. Es wird daher gerne der Begriff des Policy-based-Connectivity-Layers verwendet.
Netz-Altlasten, wie Token-Ring oder ATM schließt man ebenso wie Standorte und Remote-Anwender ebenfalls am Distribution Layer an. Sogesehen ist der Distribution Layer die Zusammenführung und Homogenisierung der Anwenderdatenströme für den Core Layer.
Der Core-Layer stellt den früheren Backbone dar. Eine Designregel besagt, dass der Corebereich vor allem sehr schnelles Switching zur Verfügung stellen soll. Sicherheitsfunktionen, wie Access-Listen gehören in den darüberliegenden Distribution Layer. Stellt der ausgewählte Hersteller Layer-3-Funktion pro Port, d.h. ohne zusätzliche Routingmodule zur Verfügung, spricht aus meiner Sicht nichts gegen Einsatz von Layer-3-Switching im Core.
Wichtig: Die drei Layer müssen nicht zwingend in separaten Geräten implementiert sein. Es geht hier mehr um die generellen Anforderungen an ein flexibles und leistungsfähiges Netzdesign
Der intensive Einsatz von IT-Applikationen zur Unterstützung der Geschäftsvorgänge hat den Stellenwert der IT im Unternehmen erheblich gesteigert. Ohne Zugriff auf und Verarbeitung von Geschäftsdaten, geht fast nichts mehr. Basis für den erfolgreichen IT-Einsatz ist neben leistungsfähiger Datenbank und Servertechnik das Nervensystem der IT, das Netz.
Nach der Sprachwelt (TK-Anlage) ist nun auch seitens der Datenwelt die Anforderung nach Hochverfügbarkeit und Dienstgüte vorhanden. Neben der hohen Zuverlässigkeit ermöglicht ein modernes Netz heute die wirtschaftliche Zusammenführung der Daten- und Sprachwelt. Das heißt nicht, dass das klassische Sprachnetz einfach weggeworfen wird. Vielmehr wird die Möglichkeit eröffnet z.B. im Call- oder Service-Centerumfeld PC-Oberfläche und Telefonie zusammenzuführen. Mit Erkennen der Möglichkeiten, breiten sich diese Techniken dann in der Regel sehr schnell auf andere Gebiete aus – Wirtschaftlichkeit natürlich immer vorausgesetzt.
Neben dem individuellen Netzdesign, spielen auch organisatorische und betriebswirtschaftliche Aspekte eine große Rolle. Eine herausfordernde Aufgabe für eine ohnehin schon stark belastete IT-Abteilung.
Kontakt: