Auch wenn WLAN-Technik immer schneller wird, das Rückgrat der Netzwerke bilden nach wie vor drahtgebundene Infrastrukturen. Für die Verteilung der Datenpakete zu den einzelnen Netzknoten sind heutzutage immer Switches zuständig. Hubs, früher ein häufig anzutreffender Bestandteil von Netzwerken, sind nicht in der Lage, Pakete jeweils nach Empfängeradresse an den richtigen Port weiterzuleiten. Sie schicken vielmehr jedes eingehende Paket an jeden Port weiter und reduzieren so die Bandbreite des Hubs enorm. Hubs kommen nur noch in Ausnahmesituationen - etwa bei der Fehlersuche - zum Einsatz, wenn es wichtig ist, dass ein Gerät wie ein Protokoll-Analyzer alle Datenpakete sehen kann, die im Segment ankommen und abgehen. Für schnellere Ethernet-Standards wie Gigabit oder darüber wurden ohnehin keine Hubs mehr spezifiziert.
Die Bandbreite bei den angebotenen Switches ist enorm: Sie reicht von Zehn-Euro Plastikkästchen mit vier Ports bis hin zu intelligenten Top-of-Rack-Systemen, die nach wie vor mehrere hundert Dollar pro Port kosten. Welcher Switch der richtige für den eigenen Einsatzbereich ist, lässt sich nur durch Planung im Vorfeld festlegen. Die Anforderungen müssen klar abgesteckt und Prioritäten für Features und Ausstattungsmerkmale der Hardware vergeben werden.
Anforderungen an einen Switch definieren
Netzwerk-Profis empfehlen grundsätzlich, nach einer einfachen Liste vorzugehen. Damit schafft man sich eine gute Basis, um den richtigen Switch auszuwählen. Folgende Kriterien sollte man bereits definieren:
-
Wie sehen die physikalischen Einsatzbedingungen aus? (Anzahl der Ports, Bauform)
-
Was wird an Funktionalität beim End-User benötigt? (generell: Layer-2 oder Layer-3, Kabeldiagnose, Loopback-Detection, VoIP etc.)
-
Welche Sicherheitsfunktionen müssen unterstützt werden? (VLAN, NAC oder RADIUS)
-
Wie soll das Management erfolgen? (keines, SNMP, Web oder Management-Framework)
-
Wie viele User gibt es? Welchen Traffic erzeugen sie? Welche resultierende Bandbreite ist notwendig?
-
Benötige ich spezielle Zusatzfunktionen? (Captive-Portal, VoIP-Helper etc.)
-
Spielen Green-Ethernet-Funktionen eine Rolle? (lüfterloses Design, energieeffiziente Netzteile etc.)
Mit der Liste filtert man sehr schnell, trotz großer Geräteauswahl, einen vernünftigen Querschnitt durch das Angebot. Im Mittelfeld tummeln sich natürlich unüberschaubar viele Hersteller und Produkte, die sich nur geringfügig in Funktionalität und Preis voneinander unterscheiden. Hier geben manchmal persönliche Vorlieben für eine Marke und natürlich der Preis den Ausschlag. Dagegen werden sich Kunden im absoluten High End nur selten auf einen anderen Hersteller einlassen als den, der bereits den Großteil des Equipments stellt, um Kompatibilitätsprobleme zu vermeiden.
Im Switch-Bereich gibt es zurzeit in puncto technische Entwicklung nur wenig Revolution, aber viel Evolution. High-End-Features wie VLAN oder 802.1x sind längst im Niedrigpreissegment angekommen, weitere Funktionen wie VoIP-Helper werden folgen. Zurzeit ist die wichtigste Frage für viele Käufer, ob der Switch IPv6 unterstützt, auch wenn die wenigsten schon in der Implementierung sind. Nachdem das Ende von IPv4 aber greifbar ist, sollten potenzielle Käufer auf IPv6-Kompatibilität oder zumindest einen garantierten Upgrade-Pfad beim neuen Switch achten.
Grundlagen und Funktionsprinzipien
Ein Switch fungiert als Verteiler für Datenpakete. Er arbeitet im Gegensatz zu einem Hub (Schicht 1) auf der OSI-Schicht 2 oder 3 und ist damit in der Lage, logische Entscheidungen bezüglich des Pakets zu treffen. Die wichtigste Entscheidung ist, dass ein Switch anhand der MAC-Adresse den korrekten Port erkennen kann, an den das Paket geschickt werden soll. Dazu "lernt" jeder Switch die MAC-Adressen der Geräte, die an seinen Port angeschlossen sind, und legt diese MACs in einer Tabelle (Source-Address-Table - SAT) ab.
Früher war der Speicherplatz pro Port oft auf wenige Einträge begrenzt; wenn man weitere Switches an einen Port anschloss, konnten die Tabellen überlaufen. Mittlerweile sind 4096 und mehr Speicherplätze selbst bei kleinen Switches die Regel. Wer sehr große Netze verwaltet, sollte dennoch auf ausreichend große Source- Address-Tabellen achten.
Intern verfügen Switches über eine Kreuzmatrix, sodass jeder Port direkt mit jedem anderen Port verbunden werden kann. Nach der Analyse der MAC-Adresse verbindet der Switch Ausgangs- und korrekten Ziel-Port miteinander und sendet das Paket dorthin, ohne Bandbreite der anderen Ports in Anspruch zu nehmen. Wie der Switch das macht, ist für die Geschwindigkeit des Vorgangs verantwortlich.
Die einfachste Methode ist Store-and-Forward. Bei ihr wird das komplette Datenpaket entgegengenommen, gespeichert und dann analysiert. Nachdem der Ziel-Port ermittelt wurde, berechnet der Switch noch eine Prüfsumme und vergleicht sie mit dem CRC-Wert im Paket. Ist sie korrekt, wird das Paket weitergeleitet. Die Größe des Pakets führt zu unterschiedlichen Latenzzeiten; deren Obergrenze wird durch die MTU festgelegt.
Jeder Switch beherrscht Store-and-Forward, die meisten günstigen Einstiegs-Switches arbeiten aber nur mit dieser Methode. Eine Variation davon ist die Fragment-Free-Methode, die prüft, ob das eingehende Paket mindestens 64 Bit lang ist. Kleinere Pakete werden verworfen, es handelt sich dabei in der Regel um fehlerhafte Fragmente aufgrund einer Kollision. Auf die Kontrolle der Checksumme wird verzichtet, das beschleunigt das Switching ein wenig. Besitzen Sender und Empfänger unterschiedliche Übertragungsgeschwindigkeiten, Medien oder Duplex-Einstellungen, ist Store-and-Forward ebenfalls die einzig mögliche Technik, da Pakete vor und während der Übertragung zwischengespeichert werden müssen.
Technische Details beachten
Die heute übliche Switching-Technologie im mittleren und gehobenen Preissegment ist Cut-Through. Wer auf hohen Durchsatz und geringe Latenzzeiten Wert legt, sollte bei der Auswahl darauf achten, dass der Switch diese Technik beherrscht. Dabei wartet das Gerät nicht, bis das Datenpaket vollständig eingetroffen ist, sondern es überträgt das ankommende Paket bereits nach Empfang der 6 Byte langen Zieladresse. So kommen maximal 40 Mikrosekunden Verzögerung zustande, entsprechend leistungsfähige Hardware im Switch vorausgesetzt. Allerdings werden so auch fehlerhafte Pakete weitergeleitet, da eine CRC-Prüfung erst nach Erhalt des kompletten Pakets möglich wäre. Das ist in normal funktionierenden Netzen kein Problem; erst wenn fehlerhafte Komponenten wie defekte Netzwerkkarten übermäßig viele defekte Fragmente erzeugen, kann der Durchsatz beeinträchtigt werden.
Als Mittel gegen defekte Datenpakete unterstützen viele hochwertige Switches einen speziellen Modus, indem sie das Paket speichern und nachträglich die CRC-Summe berechnen. Sollte sich das Paket als defekt herausstellen, kann zwar nichts mehr dagegen unternommen werden, doch eine interne Fehlerstatistik verfolgt die Vorkommnisse und schaltet den Switch ab einer bestimmten Fehlerrate in den Store-and-Forward-Modus. Diese Technik wird je nach Hersteller unter anderem als Error-Free-Cut-Through oder Adaptive Switching bezeichnet.
Performance ist Trumpf
Die Switching-Methode ist ein wichtiges Element in der Gesamt-Performance, dazu muss aber auch die Leistungsfähigkeit der Hardware passen. Im schlimmsten Fall werden alle Ports mit ihrer maximalen Bandbreite ausgelastet; dann muss die interne Switching-Matrix aber immer noch in der Lage sein, alle Pakete ohne Zeitverlust zu verteilen. Die Gesamtleistung wird als Backplane-Kapazität oder Fabric-Performance bezeichnet und ist relativ gut zwischen den einzelnen Herstellern und Modellen vergleichbar.
Bei Switches im professionellen Umfeld wird in der Regel das Feature Native-Non-Blocking vorausgesetzt. Das heißt: Auch im Worst Case, der Auslastung aller Ports zu 100 Prozent, wird nach wie vor jedes Paket ohne Zeitverlust zu seinem Ziel-Port geschickt. Meist ist die Backplane-Kapazität mindestens so hoch wie der Durchsatz aller Ports kombiniert. Bei einem Switch mit 24 Gigabit-Ports und zwei 10-GbE-Uplinks wären das beispielsweise:
2 x 24 + 2 x 20 = 88 Gbit/s
Der Faktor zwei rührt daher, dass jeder Port im Full-Duplex Mode gleichzeitig mit 1 Gigabit beziehungsweise 10 Gigabit senden und empfangen kann.
Oft werden noch weitere Werte angegeben, zum Beispiel die Forwarding-Rate oder die Filter-Rate. Weil die meisten Hersteller unterschiedliche Angaben zugrunde legen, wie sich diese Werte zusammensetzen, sind sie schlecht vergleichbar. Um die Ergebnisse gut aussehen zu lassen, arbeiten die Hersteller meist mit der Annahme, dass die minimal mögliche Paketgröße, also 64 Byte, übertragen wird. Dazu kommen noch die Präambel mit 8 Byte und ein Interframe-Gap am Ende des Pakets, das 96 Bit entspricht. Die Gesamtlänge eines Pakets ist also 672 Bit.
Bei einem Switch mit Gigabit-Ethernet kann jeder Port etwa 1,6 Millionen Pakete pro Sekunde übertragen (1 Gbit/672 Bit), bei 24 Ports wären das 38,4 Millionen Pakete pro Sekunde. Kleine Pakete erfordern in der Bearbeitung allerdings auch weniger Aufwand, sodass der Wert also nicht unbedingt etwas darüber aussagt, wie sich der Switch verhält, wenn die Pakete größer werden.
Solche Fragen sind besonders dann von Bedeutung, wenn der Switch im Virtualisierungsumfeld genutzt werden soll. Hier können die Hosts, je nach Anzahl der virtuellen Maschinen, Switches über ihre eingebauten Netzwerkkarten problemlos auslasten. Auch die Verbreitung von SAN-Systemen hat für einen enormen Anstieg bei der Netzwerkauslastung gesorgt, da die Daten sehr performant vom Massenspeicher gelesen und verteilt werden können. Das Aufkommen von günstigen SSDs dürfte den Trend noch beschleunigen, Switches sollten daher heute mit so vielen Leistungsreserven wie finanzierbar und vor allem mit schnellen Uplink-Ports gekauft werden.
Bauformen und Geschwindigkeit
Zu den großen Trends im Switch-Bereich der vergangenen Jahre zählt auf alle Fälle die Weiterentwicklung der Interface-Geschwindigkeiten. Gigabit ist mittlerweile Stand der Dinge, 10 Gigabit wird im Backbone bereits häufig genutzt, und die nächsten Entwicklungsschritte mit 40 und 100 Gigabit stehen bereits mehr oder weniger fertig in den Startlöchern. Auch wenn Firmen Infrastrukturkomponenten zögerlich austauschen, weil der Aufwand für den Wechsel einen Austausch nur alle paar Jahre rechtfertigt, sehen Hersteller wie D-Link seit Mitte 2010 einen starken Anstieg bei Gigabit-Ports. Somit hat Fast-Ethernet mit 100 Mbit nun endgültig immer weniger Bedeutung. Nur im absoluten Low End - bei kleinen Switches mit fünf Ports für den Heimanwender - sind noch 10/100 Mbit sinnvoll, und selbst hier sollten Käufer lieber ein paar Euro mehr ausgeben und zu Gigabit greifen.
Je nach Einsatzbereich des Switches sollten auch die Interface-Optionen beachtet werden. Bei einem typischen Etagenverteiler, der eine große Zahl von Anwendern verbindet, sind in der Regel viele Gigabit-Ports, kombiniert mit mehreren 10-Gigabit-Uplinks, sinnvoll. Geht es um einen reinen Switch für das Backbone, der Server und Infrastruktur verbindet, sollten entweder nur modulare Slots oder ausschließlich 10-Gbit-Interfaces eingebaut sein. Natürlich gibt es auch eine große Zahl von Mischkonfigurationen. Generell erlauben Modulsteckplätze mehr Flexibilität, treiben aber den Preis nach oben.
Die vorherrschende Bauform bei Steckplätzen ist Small Form-factor Pluggable (SFP), auch als Mini-GBIC, SFF GBIC, GLC oder "New GBIC" beziehungsweise "Next Generation GBIC" bekannt. Bei der regulären Bauform, die einem Riegel Kinderschokolade ähnelt, spricht man meist kurz von Mini-GBIC. Mini-GBICs finden ihre physikalischen Grenzen bei Gigabit-Ethernet. Sie sind bis 5 Gbit/s spezifiziert. Höhere Geschwindigkeiten wie 10-Gbit-Ethernet erfordern die etwas größeren XFP- oder XENPAC-Module. XENPAC hat mittlerweile bereits zwei Nachfolger namens XPAK und X2.
Gigabit-Ethernet ist für die üblichen Distanzen im LAN bis zu 100 m problemlos mit Kupferkabeln machbar. Bei 10 GbE wird das schwieriger, auch wenn es Netzwerkkarten mit Kupfer-Interface für 10 GbE gibt. Der IEEE-Standard 802.3an definiert Übertragungen mit maximal 10Gbit/s via Twisted-Pair-Verkabelungen über eine Länge von höchstens 100 m. Diese hohe Geschwindigkeit wird aber nur unter optimalen Voraussetzungen bei Steckern, Kabeln und der entsprechenden Verarbeitungsqualität gewährleistet. Im Backbone-Bereich kommt meist Glasfaser mit einem LC-Stecker zum Einsatz.
Ausfallsichere Datenübertragung ist Pflicht
Switches sind die Knotenpunkte in der Netzwerkinfrastruktur schlechthin. Ein Ausfall hat meist massive Beeinträchtigungen des Geschäftsablaufs zur Folge, was die Anwender in der Regel durch Redundanzfunktionen abzufangen versuchen. Das sind zunächst Maßnahmen, die direkt auf die Hardware bezogen sind. Wer Wert auf hohe Verfügbarkeit legt, kommt nicht an redundanten Netzteilen vorbei. Sie sollten im laufenden Betrieb wechselbar sein, um im Fehlerfall jederzeit für Ersatz sorgen zu können. Selbstverständlich muss die Netzspannung in so einem Einsatzfall durch eine unterbrechungsfreie Stromversorgung gewährleistet werden. Falls der Switch intern Lüfter nutzt, was vor allem bei großen Systemen im Rack-Format die Regel ist, sollten auch diese redundant und wechselbar ausgelegt sein. Eine geeignete Anbindung an die Managementumgebung alarmiert dann den Administrator im Fehlerfall. Ob das über SNMP oder E-Mail erfolgt, kommt auf die eigene Systemumgebung an.
Auf einer übergeordneten Ebene geht es um die Sicherstellung der korrekten Routen, auch wenn ein Switch ausfällt. Dazu kann man nicht einfach mehrere Netzwerkpfade zwischen den Switches schalten, das würde zu Schleifen und damit zu sogenannten "Broadcast-Stürmen" und mehr oder weniger zum Stillstrand im Netzwerk führen. Um trotzdem Redundanz herzustellen, muss ein Mechanismus dafür sorgen, dass mehrfache Verbindungen zwischen Endpunkten nur dann aktiv werden, wenn der normalerweise verwendete Pfad durch einen Fehler unpassierbar wird. Ein wichtiges Protokoll dazu war und ist IEEE 802.1d Spanning Tree (STP) oder Rapid Spanning Tree (RSTP).
Spanning Tree nutzt ein Bridge-spezifisches Protokoll, um eine Hierarchie unter allen aktiven Switches im Netz aufzubauen. Ein Switch wird zur Root Bridge gewählt, indem er die niedrigste Bridge-ID erhält. Von dort aus werden Pfade zu allen anderen Bridges oder Switches festgelegt. Erkennen die beteiligten Geräte redundante Pfade, werden die betroffenen Ports deaktiviert. Welche Pfade aktiv bleiben, hängt von den Pfadkosten ab, also der Anzahl der Hops und der möglichen Bandbreite der Verbindung. Regelmäßige Statusmeldungen signalisieren, dass die Verbindungspfade noch aktiv sind. Bleiben die Meldungen aus, führt das zu einer Neuorganisation der Hierarchie. Die Zeitspanne dafür soll bei maximal 30 Sekunden liegen; währenddessen ruht der Datenverkehr.
Stacking-Switches
Aufgrund dieser langen Dauer wurde 2003 die Revision des 802.1d-Standards verabschiedet und STP zugunsten von RSTP (IEEE 802.1w) komplett ersetzt. Beim Einsatz von RSTP wird der Neuaufbau der Hierarchie schneller durchgeführt, Zeiten von unter einer Sekunde sollen möglich sein. Ein weiterer Nachfolger von STP ist das Multiple Spanning Tree Protocol (MSTP, IEEE 802.1s). Mit MSTP entstehen mehrere voneinander unabhängige Spannbauminstanzen für verschiedene VLANs. So kann der Admin den Verkehr von verschiedenen logischen Netzen über unterschiedliche Wege leiten. Hersteller wie Netgear und D-Link melden in letzter Zeit, dass Kunden vermehrt von Spanning Tree abkommen. Es gibt zu viele Probleme mit der Konfiguration des Protokolls, die Skalierung in größeren Netzen ist schwierig, und trotz korrekter Anwendung können Schleifen entstehen. Wo es möglich ist, nutzen Kunden deshalb Stacking-Switches und Link-Aggregation, um die benötigte Redundanz zu schaffen.
Stacking-Switches werden übereinandergesetzt und dabei durch einen speziellen Steckverbinder verbunden. Dieser interne Bus sorgt für den Interconnect zwischen den einzelnen Geräten und bildet gleichzeitig ein vereinheitlichtes Managementsystem. Die miteinander verbundenen Geräte präsentieren sich nach außen als eine Systemeinheit mit nur einer IP-Adresse. Somit sind Uplinks für die Nutzdaten, also Verbindungen zwischen den gestackten Switches über Netzwerkkabel, überflüssig.
Solche Stacking-Switches haben oft mehrfach redundante Stromversorgungen und bleiben auch beim Ausfall eines Gerätes funktionsfähig, weil die Stacking-Verbindung rein passiv erfolgt. Wenn dann noch mehrere Ports durch Trunking zu einer logischen Einheit kombiniert werden können, lassen sich hoch redundante Switch-Gebilde zusammenstellen, wenn auch nur innerhalb einer Produktfamilie eines Herstellers.
Layer-2 oder Layer-3 und VLAN
Switches arbeiten entweder auf den Schichten 2 oder 3 des OSI-Schichtenmodells. Reine Layer-2-Geräte sind meist ganz simple Ausführungen, die ausschließlich Konnektivität zwischen Netzknoten herstellen. Sie fallen fast immer in die Gruppe der nicht verwalteten (unmanaged) Switches, die keinen Zugang zur Konfiguration und Verwaltung haben. Die Trennung ist aber nicht absolut, heute haben gerade die als "Smart-Switches" bezeichneten Geräte Layer-3-Funktionen eingebaut, obwohl sie eigentlich Layer-2-Switches sind.
Eine typische Layer-2-Funktion ist statisches Routing oder Protected-Groups, in denen sich die einzelnen Netzteilnehmer nicht gegenseitig sehen können. Virtuelle LANs (VLANs) und Quality-of-Service hingegen gehören in Layer-3.
VLANs sind heute in vielen Unternehmen weit verbreitet und gehören daher auch in Einstiegs-Switches zur Standardausstattung. Auch Quality-of-Service hat sich mit der stärkeren Verbreitung von Voice-over-IP zum oft genutzten und oft angebotenen Leistungsmerkmal entwickelt. Diese beiden Standards sind bei der Auswahl eines Switches für ein Unternehmen verpflichtend; darüber hinaus kennt das Angebot kaum Grenzen. Viele Anbieter bauen quasi-intelligente Zusatzfunktionen wie Auto-VoIP ein, mit denen der Switch automatisch den Voice-Traffic priorisiert. Das kann dem Administrator die Arbeit erleichtern, wenn die Funktion korrekt implementiert ist, VoIP-Telefone automatisch erkennt und in die passenden VLANs eingeordnet wird, unabhängig vom angeschlossenen Port.
Netzwerksicherheit beachten
Je nach Aufbau des eigenen Netzes können auch verschiedene Netzwerktechniken zur Fehlererkennung im Netz hilfreich sein. So finden Ports per Loopback-Detection selbstständig Schleifen, ohne den Einsatz von Spanning Tree. Funktionen wie Channel-Bonding helfen dabei, geräteübergreifend Links zu bündeln - eine wichtige Eigenschaft, wenn Virtualisierungs-Hosts performant an das Netzwerk angebunden werden sollen. Darüber hinaus gibt es raffinierte Funktionen wie Captive-Portals, die Gäste eines WLANs automatisch zu einer Zwangsanmeldung umleiten.
Stichwort Anmeldung: Generell ist Unterstützung für 802.1x eine gute Idee, da in Zukunft immer mehr Sicherheitssysteme schon auf Port-Basis aktiv sein werden. Und wer in seinem Netzwerk Network Access Protection (NAP) oder Network Access Control (NAC) verwenden möchte, tut gut daran, beim Kauf des Switches auf Kompatibilität mit der NAP/NAC-Lösung zu achten. Nützlich kann auch ein sogenannter Mirroring-Port sein. Weil Switches den Traffic der Ports voneinander isolieren, wird die Fehlersuche erschwert. Mit einem Mirroring-Port lässt sich der Datenverkehr - im Rahmen der physikalischen Bandbreite - von einem oder mehreren Ports auf einen zugewiesenen Port kopieren, an den dann der Protokoll-Analyzer angeschlossen wird.
Energieeffizienz im Netzwerk
Green Ethernet ist seit etwa drei Jahren ein wichtiges Thema bei den Netzwerkanbietern. Im Kielwasser von Klimaerwärmung und CO2-neutraler Technik haben auch die Switch-Hersteller begonnen, ihre Produkte energieeffizienter zu gestalten. Das ist sinnvoll, denn als Infrastrukturgeräte laufen sie in der Regel ununterbrochen, sodass sich schon kleine Verbesserungen über die gesamte Lebenszeit zu massiven Stromeinsparungen summieren.
Punkt eins auf der Agenda waren effizientere Netzteile. Kleine Switches erhalten ihre Energie von herkömmlichen Steckernetzteilen auf Basis von energiehungrigen Transformatoren. Besser sind aber Geräte mit energiesparender Schalttechnik.
Die Stromversorgungen in den größeren Systemen sollten möglichst hohe Wirkungsgrade erzielen. Inzwischen findet der Anwender diese Angaben im Datenblatt. Dieser Wert sollte möglicht deutlich über 80 Prozent liegen
Darüber hinaus gab es zahlreiche interessante Entwicklungen, die den Stromverbrauch senken können. So fallen Switches in einen Sleep-Modus, wenn kein Datenverkehr mehr stattfindet, und die früher übliche Lichtorgel an der Front mit mehreren LEDs pro Port wird heute oft nur auf Knopfdruck eingeschaltet.
Eine gute Idee war es auch, die Länge des angeschlossenen Netzwerkkabels durch den Chipsatz zu messen und die Sendeleistung am Port entsprechend anzupassen. Kurze Kabel kommen mit weniger Leistung aus als eine Netzwerkverbindung, die die 100 Meter Ethernet-Standard voll ausreizt. Hat der Hersteller sein Hardwaredesign auf die Einsparungen abgestimmt, kann er oft auch auf Lüfter verzichten, was nochmals Strom spart und den Lärmpegel senkt - ein wichtiger Punkt bei kleinen bis mittleren Geräten, die oft direkt im Büro stehen. (hal)
Dieser Artikel stammt von der CW-Schwesterpublikation TecChannel. Quelle des Teaserfotos auf der Homepage: Fotolia / pixeltrap (sh)