Effiziente Netzplanung/Zur Planung gehört, die Datenflüsse zu analysieren

Bei Systemauswahl zählt nicht nur die VLAN-Funktion

07.11.1997

Virtuelle LANs sind eine lebendige Technologie. Durch eine Vielzahl neuer Leistungsmerkmale in den Switches stehen VLANs zwar nicht mehr im Vordergrund des Marketings. Trotzdem werden VLAN-Funktionen weiterhin in den Systemen vieler namhafter Hersteller implementiert und verfeinert. Auch die Gruppe 802.1Q im Normungsgremium IEEE diskutiert zur Zeit die Thematik.

Die zögerliche Anwendung von VLAN-Funktionen hängt vor allem mit ihrer Komplexität zusammen. Der Aufbau eines VLANs geht weit über die reine Beschaffung der dazu notwendigen Switching-Systeme hinaus. Neben den technischen Voraussetzungen sind auch organisatorische Rahmenbedingungen einzubeziehen, oder zu schaffen.

Virtuelle Netze lassen sich als "Ebene 2 Broadcast Domain" definieren. Mit ihrer Hilfe sollen logische Datennetzgruppen über verschiedene Gebäude hinweg flexibel gestaltbar sein. Wenn dann innerhalb eines lokalen Netzes ein Nutzer einer logischen Netzwerkgruppe von einem Standort zu einem anderen umzieht, bleibt seine Zugehörigkeit zur ursprünglichen Netzwerkgruppe ohne Umkonfiguration erhalten. Um diese Idealvorstellung zu verwirklichen, bedarf es jedoch einer ganzen Reihe genauer Vorbetrachtungen.

Die erste Frage lautet: Ist ein VLAN nötig und sinnvoll? VLANs sind keine Allheilmittel zur Netzstrukturierung. Sie werden nicht wie die Switching-Technologie für (fast) alle Netze gleichermaßen brauchbar sein. Deshalb läßt sich diese Frage nur im Einzelfall beantworten.

Zunächst sind die Nutzer eines LANs in VLAN-Gruppen aufzuteilen. Dazu müssen Regeln geschaffen werden, mit deren Hilfe die Nutzer einzelnen VLANs zugewiesen werden können. Hierbei kommen verschiedene Ansätze in Betracht:

Die Zuweisung von Endgeräten zu virtuellen Netzen kann über den Port des Switches, die MAC-Adresse des Endgeräts, über Filter im gesamten MAC-Adreßraum, über die IP-Subnetzadresse oder künftig über gewisse Applikationen erfolgen. Welche der möglichen Varianten sich am besten eignet, hängt neben den konkreten Anforderungen auch von den Möglichkeiten der ausgewählten Technik ab.

So unterstützt eine ganze Reihe von Herstellern nur die Port-ba- sierende VLAN-Bildung, die auch im zukünftigen Standard (IEEE 802.1Q) vorgesehen ist. Diese Variante ist als die nutzerunfreundlichste einzustufen. Werden keine Hilfsmittel verwendet, läßt sich in der Regel ein Umzug nicht automatisch und ohne administrativen Eingriff in die VLAN-Zuweisung vornehmen. Damit würden gewisse Wunschvorstellungen nicht mehr realisierbar sein.

Trotzdem sind auch Port-basierende VLANs durchaus in der Lage, effektive VLAN-Strukturen zu ermöglichen. Dazu müssen jedoch über die reine VLAN-Funktion des Switches hinaus Hilfsmittel eingesetzt werden. So sind Software-Tools auf dem Markt, die eine Zuordnung beispielsweise von IP-Adressen oder künftig von Applikationen zu den Switchports und den damit verbundenen VLANs erlauben. Diese können die Umzüge im VLAN automatisieren und dadurch den Netzadministrator entlasten.

Die Zuordnung der Nutzer auf Basis der MAC-Adresse bietet den Vorteil, daß sich an einzelnen Switchports mehrere Endgeräte explizit adressieren und VLANs zuweisen lassen. Natürlich würden sich diese Geräte nach wie vor an einer Collision Domain befinden. Auch die Abschottung von Broadcasts kann in MAC-basierenden VLANs problematisch sein. Ursache dafür ist, daß sich die MAC-Broadcast-Adresse keinem VLAN zuweisen läßt. Die Broadcasts würden somit alle Switchports fluten, was dem Sinn der VLANs widersprechen würde. Hier können unter Umständen Broadcast-Filter Abhilfe schaffen.

Mit Hilfe von Filtern auf die MAC-Adresse sind auch VLANs realisierbar, die gewisse Protokollgruppen zusammenfassen. So ließen sich zum Beispiel alle IP- beziehungsweise IPX-Nutzer jeweils verschiedenen VLANs zuweisen. Die protokollspezifischen Broadcasts würden damit im VLAN lokalisiert. Voraussetzung dafür ist aber, daß Clients und Server dem gleichen VLAN angehören.

Als interessantester Ansatz gilt jedoch die VLAN-Konfiguration auf Basis der Ebene-3-Adresse (Protokoll-Adresse als VLAN-Kriterium). Diese Strukturen werden auch als Ebene-3-VLANs bezeichnet. Hier ist es möglich, Subnetzstrukturen (zum Beispiel IP-Subnetze) zu virtualisieren. So läßt sich eine Trennung von logischer Struktur (Subnetz) und topografischer Lokalität (Routerport) erreichen. Diese VLANs können automatisch betrieben werden, sie sparen Routerports und Konfigurationsaufwand. Allerdings unter der Voraussetzung, daß sie richtig implementiert wurden.

Die Zuordnung der Nutzer zu verschiedenen virtuellen Netzen ist damit vollzogen. Die VLANs ermöglichen eine Kommunikation innerhalb ihrer Grenzen, aber keine Kommunikation mit den Teilnehmern anderer VLANs. Um dies zu erreichen, ist eine Kopplung der VLANs untereinander nötig. Sieht man von einigen speziellen Lösungen (verbindungsorientierte Kommunika- tion) ab, ist hierfür in aller Regel ein Router im Einsatz.

Um einen Router zu implementieren, sind natürlich dessen Designregeln zu beachten. So kann beispielsweise ein IP-Router nicht zwischen zwei identischen IP-Subnetzen routen - das wäre ohnehin überflüssig. Das gleiche gilt selbstverständlich auch bei der Implementierung der virtuellen Netze. Weiterhin ist es unnötig, innerhalb eines VLANs verschiedene Subnetze zu realisieren, da in diesem Fall im VLAN geroutet werden müßte.

Bei nur einem Switch wäre eine VLAN-Struktur einfach implementiert. Problematischer gestaltet es sich, wenn sie Backbone-weit über verschiedene Topologien (Ethernet-FDDI-Ethernet, Ethernet-ATM, etc.), übertragen werden sollen. Da sich aber erst hier der Sinn virtueller Netze zeigt, ist dieser Problematik ein besonderes Augenmerk zu schenken.

Um VLAN-Switches zu koppeln, gibt es verschiedene technische Ansätze. Die gängigste Methode ist die VLAN-Kennung mit Hilfe von Tagging. Darunter versteht man die Markierung einzelner Datenpakete mit ihrer VLAN-Zugehörigkeit. Die Switches taggen jedes Datenpaket in Richtung Backbone und entfernen diese Markierung auf der Gegenseite wieder. Deshalb ist es nicht notwendig, daß die Endgeräte mit speziellen Tagging-Treibern ausgestattet sind (siehe Bild 1).

Problematisch wird diese Situation, wenn zum Beispiel ein FDDI-Server in einen FDDI-Backbone implementiert werden soll. Die durch das Tagging geänderten Frame-Formate im FDDI-Ring würden keine Kommunikation mit dem Server erlauben. Auch alle im Backbone angeschlossenen Switches müßten das spezielle Markierungsverfahren verstehen (siehe Bild 2).

Beim Tagging treten eine Reihe weiterer Schwierigkeiten auf: Zunächst werden verschiedene Verfahren am Markt angeboten, die je nach Hersteller und zum Teil auch innerhalb der einzelnen Hersteller inkompatibel sind. Aus diesem Grund ist es notwendig, VLAN-Strukturen mit Switches eines Anbieters und zum Teil mit einheitlichen Produktreihen zu realisieren. In Zukunft wird es den VLAN-Standard IEEE 802.1Q geben, den die meisten Hersteller eigenen Angaben zufolge einhalten werden. Bis zu diesem Zeitpunkt ist jedoch das Zusammenspiel im einzelnen zu prüfen.

Die einzige genormte Ausnahme in dieser herstellerspezifischen Welt des Tagging ist derzeit die ATM-LAN-Emulation des ATM-Forums. Da sich in einem ATM-Netz mehrere LAN-Emulationsfunktionalitäten parallel betreiben lassen, stellen diese virtuelle Netze im Sinne der Definition dar (siehe Bild 3).

Von Nachteil ist, daß zur Nutzung dieses Standards reine ATM-Netze notwendig wären. Sobald Ethernet beziehungsweise Token Ring implementiert werden soll, sind erneut wieder herstellerspezifische Lösungen heranzuziehen. An dieser Stelle ist dann darauf zu achten, daß die proprietären Tagging-Mechanismen, die zum Beispiel im Ethernet oder im FDDI Anwendung finden, sich auch in die Markierungsstruktur der LAN-Emulation und untereinander übersetzen lassen. Ansonsten ist es nicht möglich, die VLAN-Informationen, zum Beispiel eines Ethernet, über einen ATM-Backbone zu übertragen (siehe Bild 4).

Wenn ein Switch keine Möglichkeit bietet, VLANs netzwerkweit aufzubauen oder wenn sich VLANs nur innerhalb einer Topologie einrichten lassen, sind diese Produkte für virtuelle LANs ungeeignet. Eine Ausnahme wäre ein reines ATM-Netz mit der LAN-Emulation.

Als nächstes stellt sich die Frage nach der Vorgehensweise bei VLAN-Implementierungen. Bereits die Vorbetrachtungen machen deutlich, daß es sich hier um ein sehr komplexes Unterfangen handelt (siehe Bild 5). Die VLAN-Implementierung greift teilweise bis in die Organisationsstruktur des Unternehmens ein. Um VLANs aufzubauen, wäre folgender Stufenplan denkbar:

- Analyse der Datenflüsse,

- Anpassung der IP-Strukturen,

- Auswahl der Systeme,

- Implementierung der VLANs

- sowie Betrieb des VLAN.

Ziel der Datenflußanalyse ist es, festzustellen, welche Clients und Server ein VLAN bilden könnten. Es wird ermittelt, bei welchen Konstellationen mindestens 80 Prozent des Datenverkehrs innerhalb und maximal 20 Prozent extern vom VLAN erfolgen. Weiterhin ist an dieser Stelle zu prüfen, inwieweit die so erstellten Datenflußgruppen den Sicherheitsanforderungen des Unternehmens entsprechen.

Aus diesem Grund muß ein Abgleich des Datenflußmodells mit der Organisationsstruktur erfolgen. Auch wenn die Einhaltung dieser 80/20-Regel nicht möglich ist, können VLANs zur Flexibilisierung gerouteter Netze verwendet werden. Router lassen sich so zentralisieren oder einsparen, und auch der Konfigurationsaufwand geht zurück. Dies muß im Einzelfall analysiert und entschieden werden.

Nach der Analyse der organisatorischen Grundlagen ist zu prüfen, inwieweit die Ebene-3-Adreßstruktur (zum Beispiel IP-Subnetze) mit der VLAN-Struktur übereinstimmt. Sollten Diskrepanzen bestehen, ist ein Adreßkonzept zu erstellen, welches "VLANs" und "Ebene-3-Subnetze" deckungsgleich organisiert. Auch bei diesen Konfigurationen gibt es Ausnahmen, zum Beispiel Produkte, die eine VLAN-Gestaltung in flachen IP-Netzen erlauben.

Die Auswahl der Systeme ist besonders problematisch, weil dies eine Reihe von Kompromissen erfordert. So ist es die entscheidende Aufgabe eines Switches, Datenflüsse schnell, zuverlässig und kostengünstig zu übertragen. Dazu muß er optimal in das Netz eingebunden werden. Um die richtige Entscheidung zu treffen, sind eine Reihe von Kriterien zu beachten: die Switch-Architektur, die Redundanzfunktionen, eine mögliche Backbone-Einbindung, die Auswahl der Interface-Module etc.

Ein Punkt unter vielen ist dabei die VLAN-Funktion. Diesem sollten keinesfalls andere wichtige Gesichtspunkte, etwa Redundanzmöglichkeiten, untergeordnet werden. Die Systemauswahl selbst innerhalb der Palette eines Herstellers ist deshalb immer eine besondere Herausforderung. Es empfiehlt sich daher, eine Entscheidungsmatrix ohne viele K.o.-Kriterien zu erstellen und zu bewerten.

Im Zuge der Komponentenauswahl müssen Vorgaben erarbeitet werden, wie VLANs einzurichten sind. Neben der Aufteilung der Nutzer in die virtuellen Netze sind Vorüberlegungen über die VLAN-Kopplung, über Redundanzfunktionen im VLAN und über das Management der virtuellen Netze notwendig. Erfolgen die Arbeiten durch externe Dienstleister, sind detaillierte Arbeitsvorgaben zu erstellen. Nebenbei läßt sich auch ein verbindlicher Kostenrahmen erstellen. VLANs auf Stundenbasis einzurichten, ist nicht zu empfehlen, da die Zahl der Stunden schnell ansteigen kann.

Sind VLANs eingerichtet, müssen sie im laufenden Betrieb gepflegt werden. So ist eine strikte Nachführung der VLAN-Struktur bei Umzügen erforderlich (siehe Bild 6), es sei denn, spezielle Hilfsmittel erledigen das automatisch. Wird diese Restriktion nicht eingehalten, würden VLAN- und Ebene-3-Strukturen zerfallen und ein logisches Netzwerk-Chaos anrichten. Aus diesem Grund sind entweder Automatismen zu suchen, die VLANs und Subnetze deckungsgleich halten (zum Beispiel Ebene-3-VLANs) oder Abläufe einzurichten, die deren strikte Einhaltung mit organisatorischen Mitteln garantieren.

Die VLAN-Technik bietet bei einer Reihe von Netzkonstellationen sehr gute Möglichkeiten, um die Flexibilität zu erhöhen und die Kosten für den Netzbetrieb und die Systembeschaffung - vor allem Router - zu senken. Die Implementierung der virtuellen Netze bedarf jedoch einer exakten Vorbetrachtung und Planung, wenn sie erfolgreich und effizient verlaufen soll. Wohl aus diesen Gründen setzen sich VLANs nur langsam durch. Die Zukunft der virtuellen Netze hat erst begonnen.

Angeklickt

Vor der Implementierung von VLANs ist zu überlegen, wie sich die Nutzer in verschiedene VLAN-Gruppen aufteilen lassen. Verschiedene Möglichkeiten bieten sich an: die Einteilung nach Switch-Ports, nach MAC-Adressen der Endgeräte, über Filter im gesamten MAC-Adreßraum, über die IP-Subnetzadresse und künftig vielleicht auch nach Applikationen. Während Port-basierende VLANs nicht besonders benutzerfreundlich sind, sind mit Hilfe von Ebene-3-VLANs sogar Subnetzstrukturen abbildbar. Wichtig ist, daß sich die VLAN-Lösung über verschiedene Topologien, etwa Ethernet oder FDDI, hinweg einsetzen lassen. Oft bieten verschiedene Hersteller proprietäre Lösungen an, der Anwender muß insbesondere auf einheitliche Produktreihen achten. Zur Crux wird häufig die Auswahl geeigneter Systeme, da viele unterschiedliche Anforderungen unter einen Hut zu bringen sind.

*Heiko Rössel ist Mitinhaber des Ingenieurbüros Röwaplan in Abtsgmünd.