Das Thema Switching contra Routing in virtuellen LANs (VLANs) hat derzeit auf Kongressen und in der Presse Hochkonjunktur. Dabei ist die Diskussion um die Abloesung des Routers nach Ansicht von Joerg Bonarius* nichts anderes als ein Remake. Schon vor Jahren wurde naemlich die gleiche Kontroverse unter der Fragestellung "Bridge oder Router?" diskutiert. Der Autor beleuchtet das Fuer und Wider des Switching und Routing in VLANs.
Leistungswerte, mit denen Switch-Hersteller aufwarten, sind meist imposant, aber doch im kuenstlichen Testumfeld ermittelt und deshalb fuer die praktischen Anwendung nicht unbedingt relevant. Wo zum Thema Durchsatzeinbussen geschwiegen wird, kann der Anwender nicht in jedem Fall von einem reibungslosen Nettodatendurchsatz ausgehen. Darueber hinaus lassen Verfechter virtueller LANs - bewusst oder unbewusst - meist strategische Unternehmensanforderungen wie Zugriffskontrolle und Medienwechsel ausser acht.
Grund genug, den Switch als Komponente zur Desktop-Vernetzung einmal genauer in Augenschein zu nehmen und auf praktische Einsatzmoeglichkeiten zu hinterfragen. Um den Switch angemessen bewerten zu koennen, muessen zwei Anwendungsfelder betrachtet werden: das Teilnetz (Arbeitgruppen oder Abteilung) und die Kommunikation zwischen den Teilnetzen.
Aenderungen verschlingen 22 Prozent der Netzkosten
Im Teilnetz sind einfache Installation, schneller Durchsatz sowie einfache Verwaltung, Wartung und Pflege der Systeme gefragt. Broadcast-Trennung und differenzierte Zugriffskontrolle spielen hier in der Regel eine untergeordnete Rolle - eine Domaene der Ebene-2-Switching-Systeme, die den Datenverkehr mehr oder weniger in Kabelgeschwindigkeit durchreichen. Mehr, weil Switch-Systeme, die nach dem Cut-Through-Prinzip arbeiten, das eingehende Datenpaket nur bis zur MAC-Adresse pruefen und danach sofort an den entsprechenden Ausgabe-Port durchreichen. Parallel wird bereits das naechste Paket eingelesen. Weniger, weil Store-and-forward- Switch-Systeme stattdessen den kompletten Steuerdatenteil des Paketes pruefen und das naechste Paket erst eingelesen wird, wenn das vorhergehende versendet wurde.
Das Resultat ist eine laengere Latenzzeit des Datenpaketes im Store-and-forward-Switch. Was sich bei einem 64-Byte-Paket noch als kleine Verzoegerung (60 bis 90mysec) gegenueber Cut-Through- Systemen (durchschnittlich 45mysec) erweist, wirkt sich bei einem 1518 Byte langem, groesstmoeglichen Ethernet-Paket bereits zu einer Verzoegerung von 1300mysec aus.
Dennoch sollte der Anwender die unterschiedliche Verweildauer in Cut-Through- und Store-and-forward-Systemen nicht ueberbewerten. Im praktischen Einsatz wird der Switch nur selten mit der vollen Datenlast an allen Eingaengen konfrontiert. Es kommt also kaum zur Kettenverarbeitung von Datenpaketen im Switch, und nur in dieser Situation ist eine extrem kurze Verweildauer des Datenpaketes im Switch-System gefordert.
In der Regel genuegt eine Latenzzeit von 1000mysec, um Pakete ohne Durchsatzeinbussen weiterzureichen. Dass selbst unter Volllast und Einsatz grosser Pakete der Paketdurchsatz nicht leidet, beweist folgendes Beispiel: Beim Store-and-forward-Switch PowerHub von Alantec wurden bei einer Paketlaenge von 1518 Byte 4872 Rahmen pro Sekunde gezaehlt - im Vergleich dazu 86 200 Rahmen bei 64 Byte langen Paketen. Eine scheinbare Einbusse, die der Anwender getrost hinnehmen kann. Denn in 1518-Byte-Ethernet-Rahmen werden 39mal soviel an Nutzdaten transportiert wie in 64-Byte-Ethernet-Rahmen. Unter dem Strich stimmt also der Nettodatendurchsatz.
Ob Cut-through- oder Store-and-forward-Verfahren, innerhalb des Switched-LANs wird die flexible Zuordnung von Endgeraete- Schnittstellen via Netz-Management-System geregelt. Aber nur dann, wenn innerhalb des Teilnetzes ausschliesslich dedizierte Geraeteanschluesse betrieben werden. Welche Moeglichkeiten zur Einsparung in der flexiblen Schnittstellenzuweisung liegen, geht aus einer Marktstudie von Dataquest hervor. Ermittelt wurde, dass bereits im Jahr 1994 rund 22 Prozent aller Netzbetriebskosten auf das Aendern und Hinzufuegen von Kommunikationsverbindungen entfielen. Dabei wurde jede neue Schnittstellenzuordnung auf 300 Dollar beziffert.
Diese Einsparung gilt allerdings nur fuer ein reinrassiges Switching-LAN mit ausschliesslich dedizierten Anschluessen. Sind ausserdem Segmentanschluesse im Einsatz, muessen bei Ortswechsel eines oder mehrerer Mitarbeiter aus einem Segment arbeits- und zeitaufwendig neue Kabelzuordnungen am Patchfeld gesteckt, bestehende Segemente aufgebrochen und eventuell Kabel verlegt werden.
Cisco versucht einen VLAN-Standard zu setzen
Spaetestens zwischen den Arbeitsgruppen hat der Anwender nicht mehr die Wahl zwischen Cut through und Store and forward, weil hier Kontrollmechanismen gefordert sind, um beispielsweise Produktions- und Entwicklungsdaten, Cash-flow-Analysen oder Bilanzen vor unerlaubten Zugriffen zu schuetzen. Eine Aufgabe, die nur der Store-and-forward-Switch erfuellen kann, weil nur er alle Steuerdatenfelder prueft und dementsprechend eine Vielzahl an Filtereinstellungen zulaesst. Mit Cut-through-Systemen steht hingegen in der Praxis nur die MAC-Adresse zur Filterung zur Verfuegung.
Wer mit der Ebene-2-Verbindung zwischen den Teilnetzen auskommt, das heisst kein Topologiewechsel, keine zusaetzlichen Filter und keine Broadcast-Lasttrennung, muss dennoch - entgegen vieler Behauptungen - mit Durchsatzeinbussen rechnen. Denn zusaetzlich zu jedem Ebene-2-Datenpaket wird die Steuerinformation "Signal- Messages" oder "Frame-Tagging" uebertragen. In diesen Feldern sind Steuerinformationen hinterlegt, die das Ziel (Teilnetz und Endgeraet) ausweisen und damit erst eine Kommunikation zwischen den Teilnetzen ermoeglichen.
Switch-Hersteller wie Bay Networks, Cisco Systems, Lannet Data Communications und Xylan sind sich darin einig, dass diese Informationen nur geringfuegig die Bandbreite belasten. Laut Bay Networks steigt durch die Verwendung des Feldes "Signal Messaging" in den eigenen Switch-Systemen der Steuerdatenanteil lediglich um ein Prozent. Lannet nutzt eine herstellerspezifische Byte- Information - sie weist das Herkunfts-LAN und die Prioritaet des Datenpaketes aus -, die jedem Ethernet-Paket beigefuegt wird. Zusaetzliche Last pro Paket gleich 10 Byte.
Das Frame-Tagging-Verfahren, das in den Cisco-Systemen verwendet wird, addiert 4 Byte zu jedem Datenpaket hinzu. Dieses ebenfalls proprietaere Verfahren wird von Cisco Systems als VLAN-Standard nach IEEE 802.10 vermarktet, obwohl bis heute kein VLAN-Standard verabschiedet wurde.
Hier setzt man auf einem Feld auf, das urspruenglich vom IEEE- Gremium zur Benutzer-Authentifizierung und zu Verschluesselungszwecken standardisiert wurde. Dennoch: Der Marktfuehrer Cisco Systems duerfte gute Chancen haben, sein Verfahren im Markt zu etablieren und zur Standardreife zu bringen.
Sind zusaetzliche Filter, zum Beispiel fuer Protokolle oder logische Endgeraeteadressen erforderlich und sollen darueber hinaus Broadcast-Lasten getrennt und Medienwechsel bewerkstelligt werden, fuehrt zwischen den Arbeitsgruppen kein Weg mehr an Routing vorbei. Die meisten Unternehmen duerften sich in diesem Anforderungsszenario wiederfinden. Um so mehr verwundert es, dass bei Testlaeufen nahezu immer innerhalb eines virtuellen LANs gemessen wird und die Ebene-3-Kommunikation zwischen den VLANs meist aussen vor bleibt. Dies verwundert um so mehr, zumal im Schnitt bereits 30 Prozent des Datenverkehrs zwischen den Arbeitsgruppen stattfindet.
Router verlangsamen den Datendurchsatz im VLAN
Die Konzentration beim Test auf die Arbeitsgruppe hat dennoch einen plausiblen Grund: Durch die Geschwindigkeit der Switch- Technik verwoehnt, wagt man sich nur zoegernd an die Kommunikation von VLANs zu VLAN, weil die Ebene-3-Verarbeitung (Routing) den Datendurchsatz verlangsamt. Einige Router-Hersteller, wie Xylan, sprechen sogar von drastischen Durchsatzeinbussen. So wird durch den Einsatz von Xylans Router-Software der Durchsatz von 400000 Paketen pro Sekunde im VLAN auf 40000 Paketen, pro Sekunde im Router rapide herabgesetzt.
Aufgrund der Geschwindigkeitsdifferenz zwischen Switch-Technik und Router-Verarbeitung kann es zudem zu Ueberlaeufen in den Router- Puffern kommen, falls die Puffer zu klein ausgelegt sind und viele Switch-Systeme gleichzeitig ihre Datensendung anliefern. Dann muessen diese Datensendungen erneut aufgesetzt werden, was zusaetzliche Bandbreite verbraucht. Andere Hersteller, wie Cisco Systems und Bay Networks, entschaerfen die Durchsatzeinbussen und das Ueberlaufen von Puffern in ihren Router-Systemen durch den Einsatz einer intelligenten Prozessor-Architektur und ausreichend dimensionierte Puffer.
Besonders leistungsstarke Router-Systeme erreichen beim IP-Routing (64-Byte-Pakete) sogar einen Paketdurchsatz, der sich nur knapp unterhalb des Ebene-2-Durchsatzes bewegt. Es lohnt sich also fuer den Anwender, das Router-System genau auf seine Leistungsfaehigkeit hin zu pruefen, damit es nicht zum Nadeloehr zwischen den VLANs wird.
Dennoch werden viele externe Router-Systeme schnell zum Flaschenhals zwischen den VLANs. Schneller sind Switch-Systeme, die auch Ebene-3-Funktionalitaet beherrschen. Kommt zusaetzlich ein optimierter Routing-Algorithmus Stripped Down Routing Code (SDRC) zum Einsatz, wird der Datenverkehr zwischen den virtuellen LANs zusaetzlich beschleunigt. Dann koennen IP-Pakete fast ebenso schnell wie im Brueckenmodus verarbeitet werden.
SDRC hin - kompletter Routing-Code als zweite Ebene-3- Verarbeitungsvariante her: Manche Insider meinen, dass es sich beim optimierten Routing-Code bestenfalls um eine Teilfunktion der vollen Ebene-3-Routing-Intelligenz handelt. Verkehrs- und Sicherheits-Management wuerden deshalb beim SDRC zu kurz kommen.
Doch trotz mehr oder weniger grossen Geschwindigkeitsverlusten durch die Anwendung der Router-Technik und trotz flexibler Zuordnung von Endgeraeteschnittstellen via Netz-Management nur innerhalb der VLANs werden die meisten Unternehmen nicht ohne die Ebene-3-Intelligenz des Routings auskommen. Deshalb wird Routing auch kuenftig zwischen VLANs seine strategische Bedeutung behalten.
Switch-Hersteller wie Cisco Systems, Bay Networks und Alantec Corporation haben dementsprechend in ihren Switch-Architekturen dem Ebene-3-Switching eine zentrale Rolle zugedacht. In der Ciscofusion-Architektur uebernimmt ein Route-Server auf Ebene 3 die Verbindung zwischen den virtuellen LANs. Innerhalb der Bay- Networks-Architektur Baysis spielen ebenfalls der Route-Server und die Kombination von Ebene-2- und Ebene-3-Funktionalitaet eine zentrale Rolle. Auch Alantecs Switch-Architektur basiert auf der Kombination von Ebene 2 und Ebene 3, wobei der Anwender in diesen Fall, Ebene-3-Switching sogar bis in die Arbeitsgruppen hinein etablieren kann.
Durch solche Entwicklungen widerlegt, kehren langsam auch die Propagandisten, die im Geschwindigkeitsrausch voreilig das Ende der Router-Technik beschworen hatten, gelaeutert auf den Boden der Realitaet zurueck. Schneller Durchsatz und die begrenzte Intelligenz der beiden untersten Netzwerkebenen sind eben doch nicht alles, wenn es um die Integration unterschiedlicher LAN-Techniken und effektiven Zugriffsschutz fuer die Geschaeftsdaten geht.
Insider haben demzufolge den Slogan "Switch where you can, Route where you must" schnell gegen die praxisnahe Aufforderung "Switch for Bandwith, Route for Segmentation" ersetzt. Eigentlich haetten sich die uebereiligen Verfechter des durchgehenden Ebene-2- Switching nur sechs Jahre zurueckbesinnen muessen. Denn damals wurde im Kern die gleiche Diskussion: "Ebene 2 oder Ebene 3?", nur unter anderen Namen: "Bruecke oder Router?" gefuehrt. Das Ergebnis ist damals wie heute das gleiche.
*Joerg Bonarius ist Produktmanager LAN beim Netzwerkintegrator Telemation Gesellschaft fuer Datenuebertragung mbH, Oberursel