computerwoche.de

Archiv

Desktop-Vernetzung/Mit starren Netz-Infrastrukturen sind harte Zeiten vorprogrammiert Bei virtueller Zuordnung vollen Durchsatz zum Desktop bringen

29.09.1995

Von Rene Urs*

Globale Maerkte und ein immer haerter werdender Wettbewerb verlangen den Unternehmen immer differenziertere Produkte und schnellere Reaktionen ab. Dies erfordert ein Hoechstmass an organisatorischer wie netzwerktechnischer Flexibilitaet. Mehr Datendurchsatz zum Desktop bringen, heisst daher vielerorts das Gebot der Stunde; Switching und Virtuelle LANs die (vermeintlich) technischen Allheilmittel dazu.

Nach den Erhebungen nicht weniger namhafter Marktforschungs- Institute zieht im Schnitt jeder Mitarbeiter alle zwei Jahre einmal innerhalb des Unternehmens um. Solche Veraenderungen ziehen bei starren Netzstrukturen erhebliche Kosten nach sich. In einer Studie des US-Marktforschungsunternehmens Forrester Research werden allein fuer das Aendern und die Neugestaltung von Kommunikationsbeziehungen in mittelgrossen Netzen (Groessenordnung rund 850 Mitarbeiter) 2,1 Millionen Dollar pro Jahr veranschlagt. Eine aehnliche Untersuchung von Dataquest/Ledgeway ordnet bereits 22 Prozent aller Netzwerk-Betriebskosten auf das Aendern und Hinzufuegen neuer Kommunikationsverbindungen zu.

Flexibilitaet fuer neue Anwendungsszenarien

Gleichzeitig werden aber auch aufgrund neuer Anwendungsszenarien wie Telearbeit und Telekooperation die Anforderungen an flexiblere Kommunikationsbeziehungen im Netz steigen. "Unternehmen werden in Zukunft noch oefter aufgrund steigenden Wettbewerbs- und Kostendrucks Aenderungen an den Kommunikationsbeziehungen im Netz vornehmen muessen", meint etwa Michael Dernbach, verantwortlich fuer den IT-Bereich bei Arthur Andersen in Frankfurt am Main. "Geht hierbei viel Zeit verloren, werden die Unternehmen schnell den Arbeitsprozessen und damit den Auftraegen hinterherhinken."

Doch dies ist nur eine Seite der Medaille. Parallel waechst der Bedarf nach Durchsatz, weil verteilte Verarbeitungsprozesse und komplexere Anwendungen immer hoehere Datenlasten auf den Netzverbindungen nach sich ziehen. Hierbei zeichnen sich nach Ansicht von Fachleuten Multimedia-Anwendungen ab, die das Datenaufkommen auf den Leitungs-Verbindungen exponentiell steigern werden. So betrachtet hilft also nur eines: Flexiblere Netzstrukturen etablieren und mehr Durchsatz zu den Desktops bringen, um den haeufigen Ortswechseln der Mitarbeiter im Unternehmen und den allgemein wachsenden Durchsatz-Anspruechen infrastrukturell Paroli bieten zu koennen.

Die einschlaegigen Anbieter haben bereits mit Kommunikationsloesungen wie Switch-Systemen und virtuellen LANs reagiert, um diese zukunftsweisenden Infrastrukturen in die Tat umsetzen zu koennen. Doch nicht jeder Switch bietet fuer das wachsende Transferaufkommen auf den Desktop-Verbindungen den vollen Durchsatz der dahinter stehendenden LAN-Technik. Und nicht jeder Switch ermoeglicht es, Desktops flexibel zu einem virtuellen LAN zu formieren.

Segment-Switching markiert den ersten Schritt, den Bandbreiten- Engpass zum Desktop zu umgehen. Eine Gruppe von Desktops laesst sich dabei einem der Hub-internen Busse (Ethernet, Fast Ethernet) oder Ringe (Token Ring, FDDI) zuordnen. Alle Stationen an diesem Medium bilden dann ein gemeinsames Segment. Die angeschlossenen Desktops muessen sich also weiterhin die verfuegbare Bandbreite der LAN- Technik teilen.

Die gemeinsame Nutzung von Bus oder Ring bringt fuer den Anwender aber auch einen weiteren Nachteil mit sich: Es gibt keine Garantie einer festen Anlieferungszeit fuer zeitsensible Informationen, weil es beim Sendeaufruf zu Kollisionen beziehungsweise Wartezeiten kommen kann. Daher lassen sich weder Sprache noch Video uebertragen. Trotzdem sind bereits beim Segment-Switching Desktop- Zuordnungen via Netz-Management-System moeglich - also ohne dass vor Ort Veraenderungen am Patch-Feld vorgenommen werden muessen. Diese Freizuegigkeit endet jedoch zumeist auf der Etage.

Denn immer noch sind, um beispielsweise alle Desktops eines Gebaeudes flexibel einem der internen Busse des Etagen-Hubs zuordnen zu koennen, alle Busse saemtlicher Gebaeude-Hubs miteinander zu verdrahten. Nur so entstuende ein physikalisches Netz, in dem sich weder Daten- noch Steuerlasten (Broadcast) trennen lassen. Das heisst, die Daten- und Steuerdaten-Pakete, die die einzelnen Desktops aussenden, belasten das gesamte Netz, auch wenn die Nachricht fuer den PC von nebenan bestimmt ist. Ausserdem waere es in diesem physikalischen Netz nicht moeglich, Zugriffs- Kontrollmechanismen zwischen den Arbeitsgruppen zu etablieren.

Jede Abteilung oder Arbeitsgruppe koennte also ungehindert auf die sensiblen Daten anderer Abteilungen oder Arbeitsgruppen zugreifen. Nur nach Bedarf einzelne Busse oder Ringe zu verdrahten und damit Daten- und Steuerlasten im Netz auf physikalischer Ebene zu separieren, waere hingegen eine aeusserst aufwendige Methode.

Denn immer dann, wenn zwischen den Etagen neue Desktop-Zuordnungen erforderlich waeren, muessten gegebenenfalls Segmente im Steigleitungs-Bereich neu verschaltet werden. Wer die Aenderungen nicht staendig dokumentiert, wuerde bei dieser Verfahrensweise aller Voraussicht nach schnell den Ueberblick verlieren. Ein Stueck mehr Flexibilitaet bringt Port-Switching, weil dabei statt kompletter Desktop-Gruppen jeder einzelne Desktop sich einem der Hub-internen Busse oder Ringe via Netz-Management-System zuordnen laesst. An der Tatsache, dass sich alle an einem Bus oder Ring angeschlossenen Stationen weiterhin die Bandbreite dieses Mediums teilen muessen, aendert freilich auch Port-Switching nichts. Also steht auch fuer die einzelnen Desktops nur ein begrenzter Durchsatz zur Verfuegung, und zeitkritische Informationen wie Sprache und Video koennen nicht uebertragen werden.

Virtuelle LANs bleiben - trotz flexibler Zuordnung einzelner Desktop-Schnittstellen - auch beim Port-Switching zumeist auf die Etage begrenzt. Denn um die Flexibilitaet der Endgeraete-Zuordnungen auf das gesamte Netz auszudehnen, waeren - wie beim Segment- Switching - saemtliche Hub-internen Busse miteinander zu verdrahten. Daten- und Broadcast-Lasttrennung sowie Zugriffskontrolle blieben also in diesem Fall ebenso auf der Strecke wie beim Segement-Switching.

Den vollen Durchsatz der LAN-Technik bringen also nur die echten Switch-Systeme zum Desktop - egal, ob es sich dabei um Ethernet- (10 Mbit/s), Token-Ring- (4 oder 16 Mbit/s), FDDI- (100 Mbit/s) oder Fast-Ethernet-Switching (100 Mbit/s) handelt.

Dedizierte Zuweisung von Bandbreite vorteilhaft

Diese dedizierte Zuweisung der kompletten Bandbreite bringt fuer den Desktop-Benutzer einen weiteren Vorteil mit sich: Ihm steht das LAN-Medium allein zur Verfuegung. Kollisionen beziehungsweise Wartezeiten beim Senden und Empfangen von Daten sind ausgeschlossen. Folglich lassen sich auch zeitempfindliche Kommunikationsformen uebertragen.

Darueber hinaus bietet Paket-Switching als intelligentere Ebene-2- Technik wesentlich bessere Voraussetzungen als das Segment- und Port-Switching, um virtuelle LANs herauszubilden sowie trotzdem Datenlasten, sensible Daten und Programme einigermassen getrennt zu halten. Wirklich virtuell kann der Anwender Zuordnungen im LAN aber auch beim Paket-Switching nur dann treffen, wenn ausschliesslich dedizierte Desktop-Verbindungen zum Einsatz kommen. Dennoch ist auch Paket-Switch nicht gleich Paket-Switch. Zwei interne Verarbeitungstechniken koennen im Paket-Switch zum Zuge kommen, die fuer den Benutzer am Desktop unterschiedliche Auswirkungen haben koennen: "Cut Through" und "Store and forward". Cut-Through-Systeme bieten einen schnellen geraeteinternen Durchsatz, der bei rund 45 Millisekunden liegt. Schnell sind diese Paket-Switch-Systeme schon deshalb, weil nur der Steuerdatenteil des Datenpaketes bis zur MAC-(Medium Access Control)-Adresse geprueft wird. Damit ist das Ziel bekannt, und das Paket kann an den entsprechenden Ausgang des Switch-Systems weitergeleitet werden. Gleichzeitig wird bereits das Folgepaket eingelesen.

Gefahr von importierten Krankheiten im Netz

Weil das Paket immer nur bis zur MAC-Adresse geprueft wird, ist die Latenzzeit des Datenpaketes im Geraet, unabhaengig von seiner Laenge, immer gleich. Ein 64-Byte-Steuerdaten-Rahmen wird also ebenso schnell durchgesetzt wie ein 1518 Byte langes Paket. Diese schnelle Verfahrensweise hat aber auch einen Nachteil: Wegen der begrenzten Pruefung des Datenpakets koennen auch nicht intakte Pakete den Switch passieren.

Die Folge ist in diesem Fall ein erneutes Aufsetzen der Datensendung durch das Endgeraet und damit eine erhoehte Last auf den Leitungs-Verbindungen. Schlimmstenfalls koennen fehlerhafte Pakete auch "Krankheiten" ins Netz importieren, die Kommunikations- und Verarbeitungs-Ablaeufe beeintraechtigen koennen. Aufgrund der MAC-Beschraenkung stellt der Cut-Through-Switch auch nur entsprechend wenig Felder zur Verfuegung, um durch den Einsatz von Filtern Zugriffskontrolle zwischen einzelnen Abteilungen oder Arbeitsgruppen auszuueben. In der Regel eignet sich nur die MAC- Adresse selbst, um lenkend in den Kommunikationsfluss einzugreifen.

Durch den Store-and-forward-Switch wird das Weiterleiten fehlerhafter Pakete von vornherein ausgeschlossen, weil dieses System alle Steuerdatenfelder prueft. Das naechstfolgende Datenpaket wird erst eingelesen, sobald das erste den Ausgang des Switch- Systems verlassen hat. Diese Verarbeitungsweise hat natuerlich eine laengere Verweildauer des Datenpaketes im Paket-Switch zur Folge. Leistungsstarke Store-and-forward-Switch-Systeme bringen es dennoch bei 64-Byte-Paketen auf eine Latenzzeit von lediglich 60 bis 90 Millisekunden. Freilich steigt die Verweildauer im Geraet mit zunehmender Paketlaenge, bei einem 1518 Byte langem Ethernet- Paket beispielsweise auf 1300 Millisekunden. Der Anwender sollte diesem Verzug dennoch nicht zuviel Bedeutung beimessen.

Denn im Prinzip geht es um die Vermittlung von Nutzdaten. Und in einem 1518 Byte langen Ethernet-Paket - rund 24mal so lang wie ein 64-Byte-Paket - werden aufgrund des geringeren Steuerdaten-Anteils immerhin 39mal soviel an Nettodaten transportiert wie in einem 64 Byte langen Ethernet-Paket. Ausserdem ist es fraglich, ob der schnelle geraeteinterne Durchsatz des Cut-Through-Systems bei langen Paketen ueberhaupt gefordert ist. Kaum eine LAN-Technik duerfte heute in der Lage sein, kontinuierlich entsprechende Datenmengen beim Cut-Through-Switch anzuliefern. Mit dem Store- and-forward-Switch erhaelt der Anwender zudem erweiterte Filtermoeglichkeiten, weil saemtliche Steuerfelder des Paketes zur Filterung zur Verfuegung stehen wie unter anderem Protokolltyp und bestimmte Bit-Muster.

Um ausgefeilte Zugriffs-Kontrollmechanismen im Netz zu etablieren und neben den Datenlasten auch die Broadcast-Lasten im Netz zu trennen, reicht letztlich auch die Ebene-2-Intelligenz des Store- and-forward-Switch-Systems nicht aus. Spaetestens jetzt ist die Ebene-3-Intelligenz (Routing) zwischen den virtuellen LANs gefordert. So kann nicht autorisierten Desktop-Benutzern der Zugang zu bestimmten Rechnern, Daten-Ressourcen, Programmen und Diensten anderer Arbeitsgruppen verwehrt werden.

Besonders wenn Zugriffsregeln im Unternehmen generell gehandhabt werden - Marketing hat Zugriff auf den Vertrieb, aber nicht auf den Auftrag -, erweisen sich die Router-Filter als wahre Aufwandskiller. Unabhaengig davon, aus welchen Teilnehmern sich die Abteilung oder Arbeitsgruppe gerade zusammensetzt: Das Zugriffsreglement ist allgemeinverbindlich getroffen und muss nicht jeweils fuer hinzukommende Gruppenteilnehmer erneut definiert werden.

Natuerlich endet das virtuelle LAN an der Routing-Schnittstelle - ob sie nun ueber einen externen Router oder im Switch durch integrierte Ebene-3-Funktionalitaet realisiert ist. Jedes Unternehmen muss sich also entscheiden, was ihm wichtiger ist: Ein ungebremster Durchsatz via Ebene 2 und die netzweit flexible Zuordnung von Desktops via Netzmanagement, gleichzeitig aber verhaeltnismaessig wenige Filtermoeglichkeiten und keine Broadcast- Lasttrennnung, oder Ebene-3-Routing mit wirkungsvoller Zugriffskontrolle und Broadcast-Lasttrennung zwischen den Teilnetzen - dafuer aber Durchsatzverlust zwischen den Subnetzen und eine flexible Desktop-Zuordnung nur innerhalb der einzelnen virtuellen LANs.

Neue Kommunikationsbeziehungen zwischen Arbeitsstationen unterschiedlicher virtueller LANs lassen sich in diesem Fall nur dadurch schaffen, dass fuer die betreffenden Desktops neue Subnetz- und logische Endgeraete-Adressen konfiguriert werden.

Darueber hinaus fuehrt beim Topologie-Wechsel von der einen zur anderen LAN-Technik - und das heisst fuer die Unternehmen in der Regel auch zwingende Investitionssicherung - kein Weg an der Ebene-3-Intelligenz des Routings vorbei.

In dieser Situation wird die richtige Switching-Architektur fuer das einzelne Unternehmen zur strategischen Entscheidung. Wie es aussieht, geht der Trend - trotz heisser Diskussionen, ob nun der Router in zukuenftigen Netzen gebraucht werde oder nicht - zur Kombination von Ebene 2 und Ebene 3 im Switch. Der schnelle Ebene- 2-Durchsatz macht es eben nicht allein, wenn es um Unternehmensinteressen wie die Integration unterschiedlicher LAN- Techniken und wirkungsvollen Schutz der Geschaeftsdaten geht. Zudem laesst sich mit der integrierten Ebene-3-Funktionalitaet der Durchsatz zwischen den virtuellen LANs im Vergleich zur externen Router-Loesung erheblich beschleunigen.

Der Grund dafuer liegt darin, dass solche Loesungen zumeist ueber die innovativere Technik verfuegen und auf "schnellen" ASICs basieren. Sogenannte Stripped-Down-Routing-Codes helfen zusaetzlich, den Switch-internen Durchsatz auf Ebene 3 zu forcieren. In diesem Fall koennen Datenpakete fast ebenso schnell wie auf Ebene 2 im Paket- Switch-Modus verarbeitet werden, wie beispielsweise der Switch- Powerhub 7000 von Alantec Corporation beweist.

Bei 64-Byte-Paketen sinkt der Durchsatz im Switch lediglich von 89200 auf 86200 Pakete pro Sekunde. Freilich handelt es sich dabei um einen reduzierten Routing-Code, der nur die wichtigsten Netzwerk-Protokolle wie TCP/IP, Novell IPX, DECnet und AppleTalk unterstuetzt und zudem weniger Filtermoeglichkeiten eroeffnet.

Architekturen wie die von Cisco Systems, Bay Networks und Alantec Corporation weisen bereits in die Richtung der kombinierten Ebene 2 und Ebene 3 im Switch. Sowohl beim Modell Ciscofusion als auch beim Modell Baysis uebernehmen Route-Server auf Ebene 3 die Kontrolle und Vermittlung zwischen den virtuellen LANs.

Kombinierte Ebene-2-/Ebene-3-Switch-Systeme ruecken den Verkehr - Daten, Sprache und Video - an die Desktops. Dabei werden die vom Route-Server erstellten Tabellen mit den Wege-Informationen vom Switch auf Ebene 3 ausgewertet und anschliessend der Datenstrom auf Ebene 2 an das entsprechende Ziel weitergeleitet.

Innerhalb der Alantec-Architektur wurden sowohl die Backbone- als auch Arbeitsgruppen-Switch-Systeme zusaetzlich zur Ebene-2- Funktionalitaet mit der Ebene-3-Router-Funktion ausgeruestet. Der Anwender hat also nicht nur im Kernnetz-Bereich, sondern auch in der Arbeitsgruppe die Wahl zwischen Ebene 2 und Ebene 3.

Mehr Flexibilitaet bei der Zuordnung von Desktops ist auf jeden Fall gefordert. Diese Tendenz wird sich in Zukunft - Stichwort: projektorientiertes Arbeiten, Telearbeit und Telekooperation - noch verstaerken. Zweifellos sind Switching und virtuelle LANs - richtig ausgewaehlt - vor diesem Hintergrund der Fang des Jahrzehnts und damit eine Technik, die bis ins naechste Jahrtausend Bestand haben wird. Und auf dieser Zeitschiene sollte man Netzinfrastrukturen letztlich planen, damit sie sich langfristig rentieren.

Wer diese Entwicklung im Unternehmen nicht fruehzeitig beruecksichtigt, koennte schon bald vor Organisations- und Kostenproblemen stehen. Und die Nachteile einer starren Infrastruktur machen sich insbesondere in groesseren Unternehmen meist mit Verzug bemerkbar, wie Michael Dernbach von Arthur Andersen weiss. Gerade diese Unternehmen stehen im Ruf, eine gewisse Oeltanker-Mentalitaet an den Tag zu legen. Doch was versteckt schwelt, wirkt sich zur Stunde X um so explosiver aus.

Wie ernst die virtuelle Anschalttechnik und der volle Durchsatz fuer den Desktop von den Unternehmensberatungen selbst genommen wird, zeigt das Beispiel Arthur Andersen. Innerhalb der naechsten eineinhalb Jahre werden mehr als die Haelfte der Mitarbeiter des Beratungs-Unternehmens aufgrund der Expansion in neue Gebaeude umziehen muessen. Innerhalb dieser Gebaeude wird derzeit eine voellig transparente und flexible Netzstruktur installiert.

Dies bedeutet, so Dernbach, dass sich die Vorteile virtueller und durchsatzstarker Desktop-Verbindungen fuer unsere Mitarbeiter von vornherein auswirken werden. Freilich trifft man in diesem Fall auf optimale Installations-Voraussetzungen, weil man in den neuen Gebaeuden nicht auf kabel- und systemtechnische Altlasten Ruecksicht nehmen muss.

*Rene Urs ist freier Journalist in Frankfurt am Main.