computerwoche.de

Archiv

Größe des Netzes bedingt neue Lösungen

Statistisches Bundesamt dämmt Netzlast mit VLANs

19.09.1997

Pläne für die Vernetzung des gesamten Hauses gibt es bereits seit 1991. Die Befürworter des Projekts, das nun den Einsatz von VLANs notwendig macht, argumentierten mit einem gestiegenen Kommunikationsbedarf. Mit Hinweis auf die Kosten - es geht immerhin um Millionenbeträge - wurde das Vorhaben zunächst zurückgestellt, schließlich aber doch bewilligt. Die "Projektgruppe Vernetzung" ließ das Konzept für die neue Netzinfrastruktur von der Beratungsfirma CSC Ploenzke erstellen. Die anschließende Ausschreibung gewann Cabletron.

Eine Migration zu ATM sollte später auf jeden Fall möglich sein, wie in der Ausschreibung gefordert. Daß die Wahl auf Cabletron fiel, hing nicht in erster Linie mit der VLAN-Fähigkeit der Produkte des Anbieters zusammen. Eine wichtige Rolle bei der Entscheidung spielte, daß die Firma eine hohe Dichte von geswitchten 100-Mbit/s-Ports in einem Chassis zur Verfügung stellt.

Bisher verfügte das Statistische Bundesamt über ein Netz von rund 400 Endgeräten, dessen einzelne Segmente durch 20 Router, vorwiegend von Sun, getrennt sind. Diese klassische Segmentierung begrenze die Netzlast in den einzelnen Teilen des Netzes, bedeute aber auch eine geringere Performance, erläutert Georg Heer, zuständig für den Netzbetrieb des Amtes. "Ein geswitchtes Netz ist leistungsfähiger und einfacher zu administrieren", weiß er. Deshalb entschied man sich, das neue Netz auf Basis der Switching-Technologie aufzubauen, die den Betrieb von Virtuellen LANs erlaubt.

So aufgebaute Netze bieten den Vorteil, "Umzüge" von Endgeräten in ein anderes Subnetz von einer zentralen Management-Konsole, dem VLAN-Manager, aus administrieren zu können. Doch auch die Netzgröße zwingt zum Einsatz von Virtuellen LANs. Im gesamten Unternehmen arbeiten rund 2300 Menschen, die meisten davon an einem - oft noch unvernetzten - Bildschirmarbeitsplatz. In einem Netz dieser Größe entsteht eine Broadcast-Last, die die Leistung der Infrastruktur beeinträchtigt. VLANs unterteilen das Netz in Subnetze, die Broadcast-Domänen bilden. Damit stellen sie laut Heer "eine moderne Alternative zum Router" dar.

Ganz ohne Router kommt das Statistische Bundesamt im neuen Netz nicht aus. Zum einen benötigen die Wiesbadener die Vermittlungseinheiten für die Bereitstellung ihres Internet-Angebots, und um externe Partner wie Statistische Landesämter oder Softwarefirmen anzubinden. Zum anderen bietet Cabletron zwei Optionen zur Konfiguration von VLANs an, sogenannte "Open VLANs" und "Secure VLANs" (siehe Kasten). Letztere werden durch Router abgeschottet.

Auf dem Router befinden sich Zugangslisten, in denen steht, welche Geräte außerhalb des geschlossenen Bereichs mit denen innerhalb kommunizieren dürfen.

Zur Zeit sind bereits vier Virtuelle LANs eingerichtet: die VLANs "Systemverwaltung", "ASI-Clients" und "ASI-Back- bone" sowie das "Standard-VLAN". ASI steht für Automatisierte Sachbearbeitung in der Intrahandelsstatistik. Dort verarbeitet das Statistische Bundesamt Daten deutscher Firmen, deren Warenverkehr mit Ländern der Europäischen Union (Intrahandel) ein gewisses Volumen übersteigt. Im Zuge der Automatisierten Sachbearbeitung werden alle eingehenden Belege und Datenträger eingescannt oder -gelesen und einer automatischen Plausibilitätskontrolle unterzogen. Anschließend prüft sie ein Sachbearbeiter an einem grafischen Arbeitsplatz.

Anfängliche Probleme mit der Firmware

Das VLAN ASI-Clients enthält alle 125 Unix-Workstations der Sachbearbeiter und sechs ASI-Server-Systeme, das VLAN ASI-Backbone den Datenverkehr zwischen Servern, Großrechner und Sicherungsroboter. Ins Standard-VLAN werden die restlichen PCs aufgenommen, eine weitere Unterteilung ist vorgesehen. Insgesamt befinden sich mittlerweile rund 250 Geräte in diesen vier Subnetzen. Neben ASI sollen künftig weitere Fachanwendungen ins neue Netz integriert werden. "Bisher sind unsere Erwartungen erfüllt", faßt Heer seine Erfahrungen mit der bisherigen Ausbaustufe des Projekts zusammen.

Problematisch war lediglich, daß Cabletron zunächst die Switches auf den einzelnen Etagen mit einer falschen Firmware ausgestattet hatte. Dazu Heer: "Sie war nicht kompatibel zu der Firmware der zentralen Komponenten, so daß wir eine Zeit lang nur auf den zentralen Switches VLAN-Funktionalität hatten". Nachdem der Anbieter eine überarbeitete Version der Switch-Software installiert hatte, war das Problem allerdings aus der Welt geschafft. Cabletron vertrat den Standpunkt, die Schwierigkeit liege im Einsatz eines besonderen Redundanzprinzips begründet, das von den Entwicklern so nicht berücksichtigt war. Das Statistische Bundesamt betreibt nämlich auf jeder Etage zwei Switches, die über Repeater miteinander verbunden sind.

Alle wichtigen Verbindungen im Netz der Statistiker sind doppelt ausgelegt. Neben redundanten Etagen-Switches gibt es zwei brandschutztechnisch abgeschottete Standortverteiler. Die PCs können alternativ über beide Etagen-Switches mit den Rechenzentrums-Konzentratoren kommunizieren, die ebenfalls an den Standortverteilern hängen (siehe Grafik). Die zentralen Server schließlich sind an die Rechenzentrums-Konzentratoren angebunden und verfügen somit über alternative Wege zu den PCs.

Auch die für die VLANs wichtigen Informationen sind redundant vorhanden. Sowohl der VLAN-Manager wie auch die Switches halten sämtliche relevanten Informationen vor. Fällt der VLAN-Manager aus, läuft das Netz weiter, Änderungen sind allerdings dann nicht mehr möglich. Umgekehrt können auch die Switches aus- und wieder eingeschaltet werden, ohne daß Schaden entsteht: Sie holen sich dann die Informationen vom VLAN-Manager.

"Sicherheit erreichen wir weniger durch die VLANs, sondern vielmehr durch den Zugangsschutz auf den Systemen selbst", erläutert Heer. Lediglich bei der Systemverwaltung habe man sich für den Einsatz eines Secure-VLANs entschieden. Für die Standard-PCs hingegen wolle man den Vorteil höherer Performance nutzen, den Open VLANs bieten.

Während im alten Netz die meisten Störungen auf fehlerhaften Kabeln oder Steckverbindungen beruhten, erwartet Heer, daß sich nun die Schwierigkeiten mehr in den Softwarebereich verlagern. "Generell wird die Fehlersuche wohl schwieriger werden", schätzt er. Andererseits rechnet er damit, daß weniger Fehler auftreten. Mit dem Hersteller hat die Behörde einen Wartungsvertrag abgeschlossen.

Als Übertragungsverfahren werden künftig Ethernet und Fast Ethernet genutzt. Über FDDI sind Außenstellen in Wiesbaden angebunden. Außerdem regelt das Protokoll den Zugang zum BS2000-Host von SNI. Auf den Glasfaserkabeln bis zum Etagenverteiler wird standardmäßig Fast Ethernet verwendet, von da bis zu den Endgeräten fließen Daten in der Regel nur mit 10 Mbit/s über Kupferleitungen. "Als Transportprotokoll benutzen wir ausschließlich TCP/IP", ergänzt Heer. Anders als im alten Netz, wo es mehrere Teilnetze unter Novell IPX gab, ist nun eine einheitliche Infrastruktur gefragt.

Bei der Wahl des Netzbetriebssystems blieben die Statistiker dagegen Novell treu: "Intranet- ware" soll künftig die Netzdienste in Wiesbaden bereitstellen, so die Empfehlung von CSC Ploenzke. Damit verfügt bald jeder Benutzer - unter einem einheitlichen Login - über Datei-, Druck-, Namens- und Verzeichnisdienste. Als Desktop-Betriebssystem am Arbeitsplatz ist Windows NT vorgesehen.

Das Statistische Bundesamt nutzt VLANs auf der Basis von MAC-Adressen. "Bei auf MAC-Adressen basierenden VLANs gibt es eigentlich nichts zu tun, wenn ein Mitarbeiter umzieht, aber im selben VLAN bleibt", begründet Heer. Lediglich der PC muß an seinem neuen Platz installiert werden. Ein Benutzer kann bis zu acht VLANs angehören.

Zwar haben die DV-Spezialisten des Statistischen Bundesamts noch nicht alle Modernisierungsvorhaben abgeschlossen - eine einheitliche E-Mail-Lösung und ein Dokumenten-Management-System sollen eingeführt werden -, aber sie sind sich sicher, daß die mit Hilfe strukturierter Verkabelung und den eingesetzten aktiven Komponenten geschaffene Infrastruktur eine tragfähige Grundlage für künftige IT-Projekte bildet.

Arten von VLANs - "Open" und "Secure"

Cabletron unterscheidet zwei Arten von VLANs. Ein VLAN kann als "Secure" oder "Open" definiert werden. Zwischen Secure-VLANs erfolgt die Kommunikation über einen Router, der sich mit je einem Port in den betreffenden VLANs befindet. Diese Möglichkeit der VLAN-Definition hat Vorteile, wenn VLANs in ein bestehendes, geroutetes Netz unter Beibehaltung der Subnetzstruktur zu integrieren sind.

Eine sukzessive Migration von einem gerouteten zu einem vollständig Switch-basierten Netz ist damit möglich. Nachteilig bei der Verwendung von Routern ist jedoch im Vergleich zu Switches der geringere Datendurchsatz sowie der hohe Konfigurationsaufwand, falls Mitarbeiter innerhalb eines Unternehmens umziehen.

Aus diesem Grund bieten die Switches von Cabletron die Möglichkeit, VLANs als Open zu konfigurieren. In diesem Fall braucht man für die Kommunikation zwischen den VLANs keine externen Router. Voraussetzung für die Inter-VLAN-Kommunikation ohne externen Router ist die Auflösung der Schicht-3-Adressen durch die Switches.