Trotz staendiger Aufruestung der Performance fuer mehr Durchsatz fehlt es heutigen Internetworking-Komponenten noch immer an der noetigen Intelligenz. Realisierung und Betrieb grosser Standort- und LAN-WAN-Verbundnetze sind mit einem sehr hohem Konfigurierungsaufwand verbunden. Um hier eine Effizienzsteigerung in der Netzorganisation zu ermoeglichen, arbeiten die meisten Hersteller von Internetworking-Komponenten fieberhaft an der Trennung von Physik und logischer Struktur - an der Virtualisierung von LANs.
Von Petra Borowka*
Mit heutigem Stand der Technik werden viele Netze gebaeudeintern durch Bruecken strukturiert und Gebaeude- sowie LAN-WAN-Verbindungen ueber Router realisiert. Dies bedeutet letztlich eine Strukturierung gemaess der geografischen Gegebenheiten, die sich nicht an der organisatorischen Zusammensetzung von Workgroups orientiert. Die herkoemmliche Technik fuehrt zu einem erheblichen Aufwand im taeglichen Netzbetrieb. Umzuege aus einem Gebaeude in ein anderes erfordern immer die Konfiguration neuer Netzadressen in den Endgeraeten oder entsprechenden Boot-Servern. Wuenschenswert ist daher die Trennung von physikalischer und logischer Netzwerkstruktur - wie der Name "Logisches Subnetz" (das heisst Ebene-3-Subnetz) schon besagt. Dies gilt insbesondere fuer den Multiprotokollbetrieb.
Zwei neuartige Konzeptionen erweitern hier die Flexibilitaet: die Bildung virtueller LANs (Ebene-2-Kopplung) und ihre Verbindung durch virtuelles Routing (Ebene-3-Kopplung). Da ein diesbezueglicher Standard noch nicht abzusehen ist, haben sich sehr unterschiedliche Mischkonzepte bei den Herstellern entwickelt: Zu nennen sind Agile, Cabletron, Chipcom, Cisco, 3Com, Fore, IBM, Lannet, Newbridge, Retix, Bay Networks, UB Networks etc.
Switches sind schneller als Multiprotokoll-Router
LAN-Switches haben im Vergleich zu Bruecken und Routern den Vorteil einer deutlich niedrigeren Bearbeitungszeit fuer Pakete: zehn bis 40 micro-sec bei ATM- und LAN-Switching stehen 100 bis 500 micro-sec und mehr bei Multiprotokoll-Routern gegenueber. Ein virtuelles LAN (VLAN) ist eine beliebige, manuell definierte Gruppierung von Ports zu einem "LAN", das heisst einem Broadcast-Bereich.
Zu unterscheiden ist eine port-weise Zuordnung und eine Gruppierung nach MAC-Adressen. Letzteres bietet eine groessere Flexibilitaet, insbesondere dann, wenn das Arbeitsplatzsystem nach einem Umzug automatisch wieder demselben VLAN zugeordnet wird (Cabletron). Innerhalb des definierten VLANs wird der Pakettransport ueber Adresstabellen geregelt. Die VLANs haben untereinander keine Verbindung, es sei denn durch externe Kopplungen. Beispielsweise lassen sich verschiedene Server mit ihren jeweiligen Clients in verschiedenen VLANs zusammenfassen, deren Verbindung ueber Router erfolgt.
Um in einem heterogenen Netzwerk zwecks Lastoptimierung protokollbezogene VLANs zu bilden (Novell-, Appletalk- und TCP- Netz), muss ein VLAN-Switch die Zuordnung einer MAC-Adresse beziehungsweise eines Ports zu mehreren VLANs erlauben, naemlich fuer alle Systeme, die mehr als einen Protokoll-Stack nutzen (zum Beispiel bei Switch-Stack/Retix, Galactica/Chipcom). Eine sinnvolle Erweiterung ist auch die Kaskadierung von LAN-Switches und die Bildung von VLANs ueber mehrere LAN-Switches hinweg.
Ein typisches Einsatzszenario hierfuer ist die Aufstellung von Servern im Rechenzentrum, waehrend die Endgeraete ueber das Gelaende verteilt an beliebige Ports weitere Switches angebunden sind. Die Verbindung der Switches erfolgt geeigneterweise ueber hoehere Kapazitaeten, also 100-Mbit-Ethernet etwa bei Synoptics (proprietaer) oder FDDI (Chipcom, SMC) oder ganz proprietaer (Retix mit 175 Mbit/s, Synoptics mit 200 Mbit/s FDE). Zu beachten ist hierbei die Groesse der Adresstabelle, da ein Switch auf seinem Verbindungs-Port zum naechsten Switch die Adressen aller weiteren angebundenen Stationen lernen muss. Produkte, die auf eine (Grand Junction) oder 64 Adressen pro Port beschraenkt sind, lassen sich, ebenso wie Produkte, die nur eine limitierte Kaskadierung erlauben (vgl. Abbildung 1), nicht fuer groessere VLANs einsetzen.
Eine standardbasierte VLAN-Variante ist ueber Native Mode LAN (IEEE 801.10) realisierbar. Sie wird zum Beispiel von Digital (Gigaswitch), Grand Junction, Kalpana, Racal und Bay Networks angestrebt. Jedem Switch/- oder Bruecken/Router-Port werden Gruppenkennungen (Closed User Group ID = CUGID) zugeordnet. Nach IEEE 802.10 wird die Information ueber die Gruppenzugehoerigkeit zu einem bestimmten VLAN an einer definierten Stelle im MAC-Frame eingefuegt. Dies erlaubt insbesondere in Distributed-Backbone- Umgebungen die VLAN-Bildung.
Viele Loesungen sind proprietaer
Zwischen Backbone und einem bestimmten physikalischen Subnetz werden nur die Pakete transportiert, die eine fuer diesen Port per Zugriffsliste konfigurierte CUGID (zum Beispiel 100, 200, 300 ...) aufweisen. Der Vorteil: Das Verfahren funktioniert fuer alle Standard-LANs ohne proprietaere Klimmzuege, somit werden verschiedene Netzkomponenten kompatibel.
Die Verwaltung solcher Netze gestaltet sich allerdings sehr komplex, da bei Umzug eines Benutzers in ein Subnetz unter Umstaenden auf Bruecken- und Hub-Ebene die neuen CUGIDs eingerichtet beziehungsweise am Auszugsort geloescht werden muessen. Ohne Automatisierung mit Hilfe von Tools laesst sich dies in grossen Netzen nicht produktiv realisieren. Der Einsatz von LAN-Switches fuer NLM ist ebenfalls fraglich, da diese Geraete mangels Pufferplatz auf eine sehr schnelle Paketverarbeitung angewiesen und daher nur rudimentaer mit Filterfunktionalitaet ausgestattet sind.
Zusammenfassend gilt: Vorteile der VLAN-Bildung mittels LAN- Switches liegen verglichen mit dem traditionellen Ethernet sowie Token Ring in der hoeheren verfuegbaren Summenkapazitaet, der kuerzeren Verarbeitungszeit (nur bei LAN-Switches) sowie in der Flexibilitaet, gemaess den jeweiligen organisatorischen Anforderungen gebaeudeuebergreifende LANs zu bilden. Von Nachteil ist der Verkabelungsaufwand, naemlich mindestens eine Kabelanbindung je Workgroup an den Switch. Zusaetzlich ist je VLAN-Verbindung ein Router-Port erforderlich, wodurch bei der Bildung von Collapsed Backbones zur Einsparung von Verarbeitungszeit eine erhebliche Port-Konzentration in den Routern entsteht. Nachteile von VLANs auf MAC-Basis sind die fehlende Broadcast-Abschottung und Zugriffssicherheit innerhalb eines VLANs. Beides ist nach wie vor nur ueber geroutete Verbindungen moeglich.
Als natuerliche Weiterentwicklung der Virtualitaet von Switched LANs werden von ATM-Herstellern die Ausstattung der Workgroup-LAN- Switches mit einem sogenannten ATM-Uplink und die Abloesung des LAN-Switches im Backbone durch einen ATM-Switch gesehen. Der aktuell favorisierte Ansatz heisst in diesem Fall LAN-Emulation.
Da das ATM-Netz jedoch nicht weiss, wie eine LAN-Verbindung ueberhaupt hergestellt wird, konvertieren die Koppelelemente am ATM-Backbone die LAN-Pakete zu ATM-Paketen und fungieren als Clients zur LAN-Emulation (LEC).
Sie besorgen sich die ATM-Zieladresse ueber einen LAN-Emulations- Server (LES) und bauen dann die ATM-Verbindung zum Ziel-LEC auf. Der wandelt das ATM-Paket in ein LAN-Paket und leitet es in das Ziel-LAN weiter. LECs koennen Bruecken-, Router-, Switch- oder Hub- Ports sein, der LES ist in der Regel eine Management-Anwendung auf einer Workstation. Zum Verbindungsaufbau wird eine Abwandlung des guten alten ARP-Requests genutzt, der auf eine MAC-Zieladresse mit einer ATM-Zieladresse antwortet.
Von Vorteil ist der reduzierte Verkabelungsaufwand: Vom Etagen-Hub zum zentralen Hub mit ATM-Switch fuehrt nur noch ein einzelnes Kabel mit vielen virtuellen ATM-Kanaelen anstelle der zuvor je VLAN separat gefuehrten Kabelverbindung.
Ebenso erfolgt der Verbindungsaufbau gemaess der Spezifikation zur LAN-Emulation nach einem Umzug innerhalb des gesamten VLAN- Verbunds automatisch (die Adressinformationen werden per Aging intervallmaessig aus den Adressspeichern der LECs geloescht). Manuelles Umkonfigurieren ist jedoch erforderlich, wenn ein Benutzer in ein anderes VLAN integriert werden soll. Mit LAN- Emulation arbeiten zum Beispiel Bay Networks, Cabletron, Cisco, 3Com, Fore Systems, Hilan, IBM und Synoptics.
Die Verbindung zwischen VLANs erfolgt wie beim LAN-Switching ueber Router, die eine eigene LEC-Implementierung haben und ebenfalls ueber einen einzigen ATM-Port anstelle eines separaten Ports je Subnetz angebunden sein koennen. Das beschraenkt natuerlich die Summenkapazitaet des Routing-Durchsatzes auf die Kapazitaet des ATM- Links.
Der Router hat dann aller-dings das Problem, dass er auf einem 622- Mbit/s-Interface rund 400 000 Pakete durchsetzen koennen muss, um die Link-Kapazitaet auszunutzen. Problematisch ist auch die Behandlung von Broadcasts, da zum Beispiel ein simpler IP-ARP- Request als MAC-Broadcast zuerst in alle angebundenen ATM- emulierten LANs weitergeleitet wuerde, bevor der Ziel-Router ihn mit seiner MAC-Adresse beantwortet.
Zusammenfassend gilt: Vorteile bei der VLAN-Bildung ueber ATM-LAN- Emulation liegen im reduzierten Verkabelungsaufwand, in der Nutzung von ATM-Skalierbarkeit im Backbone-Bereich sowie in der automatisierten Integration von Stationen nach einem Umzug innerhalb eines logischen Subnetzes (IP, IPX,DECnet ...). Nachteile birgt die nach wie vor auf die MAC-Ebene beschraenkte Kopplung, die die Verbindung zwischen VLANs auf traditionelles Routing festlegt und somit zum potentiellen Leistungsengpass macht. Ausserdem ist keine physikalisch verteilte Bildung ein und desselben logischen Subnetzes moeglich. Als Manko erweist sich darueber hinaus die heute voellig proprietaere Implementierung, da die Spezifikation zur LAN-Emulation vom ATM-Forum noch nicht endgueltig verabschiedet wurde.
Zur Trennung der logischen und physikalischen Netzstruktur bedarf es einer weiteren Virtualisierungsstufe, des virtuellen Routings. Umzuege und Aenderungen lassen sich losgeloest von der physikalischen Netzstruktur vornehmen: Endlich sind die logischen Subnetze auf OSI-Ebene 3 echte logische Netze. Die wesentlichen Ansaetze zur Implementierung virtueller Routing-Konzepte lassen sich dabei in zwei Richtungen unterteilen: virtuelle Subnetze und virtuelle Router.
Edge Router verbinden Subnetze und Backbones
Virtuelle Subnetze sind ueber einen ATM-Backbone und Zugangs-Router am Uebergang zwischen Subnetz und ATM-Backbone zu realisieren. Diese Router, die sich auch als "Rand-Router" (Edge Router) bezeichnen liessen, haben einen ATM-Uplink, also ein UNI-3.1- Interface zum ATM-Backbone. Ferner routen sie nicht nur, sondern koennen mehrere Interfaces per LAN-Switching zu einem Subnetz zusammenfassen.
Muss zwischen zwei angebundenen Endgeraeten geroutet werden, wird die Routing-Software aktiv. Muss nur ein Bridging vorgenommen werden, tritt LAN- Switching in Kraft. Als Erweiterung im Vergleich zur LAN-Emulation werden nicht nur MAC-Adressen, sondern ueber einen "Multilayer-ARP" auch Netzadressen auf ATM-Adressen gemappt. In jedem Fall ist das Routen von Paketen vom Collapsed Backbone auf die Etagenverteiler verlagert.
Zwei Probleme bleiben bei virtuellen Subnetzen bestehen: IP hat in der aktuellen Version (IPv4) keine Multimac-Funktionalitaet, das heisst, es lassen sich nicht mehrere Interfaces eines Routers mit derselben Subnetzadresse belegen. Immerhin kann aber zwischen den Interfaces eines Edge Routers eine logische Subnetzkoppelung per Routing erfolgen.
Erste Normierungsansaetze fuer virtuelle Subnetze sind in den RFCs 1483 und 1577 zu finden. Die Firma Bay Networks verfolgt das Konzept virtueller Subnetze (vgl. Abbildung 2).
Der zweite Ansatz, virtuelle Router, nimmt eine Funktionstrennung vor (vgl. Abbildung 3). Die Routing-Funktionalitaet ist auf mehrere Geraete verteilt: Ein zentrales Device (Zentral-Router, Core- Router, Route-Server) mit leistungsstarker Anbindung an den ATM- Backbone betreibt die dynamischen Routing-Protokolle (Tabellen- Update, Versenden von Update- Infos) und dient als Route-Server. Die anderen Geraete (Multilayer-Switches) bridgen, switchen und routen die Pakete je nach Bedarf. Dieser Ansatz ist in der Fusions-Strategie von Cisco und der Cabletron-Architektur (dort natuerlich als proprietaere Spektrumanwendung) wiederzufinden. Dieses Konzept laesst das gesamte ATM-Netz mit Core-Router und Multilayer-Switches zum virtuellen Router werden. Im Vergleich zu herkoemmlichen Routern entsprechen die Multilayer-Switches den LAN- Interfaces, der ATM-Backbone der Backplane und der Core-Router der zentralen Router-CPU. Die Realisierung solcher Architekturen war schon immer proprietaer - warum sollte sie also nicht auf ein proprietaeres ATM-Netz ausgedehnt werden?
Eine genaue Funktionstrennung von Paketweiterleitung und Routenverwaltung ist jedenfalls einleuchtend, da sich die Verarbeitungszeit der Pakete bei gerouteten Kopplungen erheblich verringern laesst. Weil der Route-Server jedoch nicht mehr einen Port je Subnetz hat, sondern letztere ueber virtuelle Kanaele (VCI/ VPI) anspricht, muss die Verbindung von Multilayer-Switches manuell vorkonfiguriert werden oder ueber sogenannte Well-known-Adressen erfolgen.
Ein Multilayer-Switch muss in der Lage sein, Endgeraete desselben logischen Subnetzes an verschiedenen Ports zu bedienen und ueber den Route-Server zu suchen. Weiter muss er mehrere Subnetze an einem Port (dem Backbone-Port) bedienen. Demzufolge hat er Tabelleneintraege je angebundenes Endgeraet und je geroutetes Protokoll anzulegen - eine speicherintensive Loesung.
Wenn ein Multilayer-Switch ein gesuchtes Ziel nicht in seinem Cache findet, startet er eine Anfrage an den Zentral-Router (ARP) und erhaelt von diesem die gesuchte ATM-Zieladresse. Ungedoppelt stellt der Route-Server einen Single Point of Failure dar.
Herstelleransaetze sind meist nur White Papers
Zusammenfassend laesst sich als wesentlicher Definitionsunterschied zwischen virtuellen Subnetzen und virtuellen Routern feststellen: Eine Subnetzbildung sieht das Routing in der Zusammenfassung mehrerer physikalischer Interfaces zu virtuellen Kanaelen einer ATM-Verbindung und mehrerer LAN-Interfaces zu einem VLAN vor.
Das Konzept virtueller Router stellt eine Erweiterung der Router- Architektur auf den kompletten ATM-Backbone inklusive Route-Server und Zugangs-Router/Switches dar. Beide Konzepte nutzen Vorteile des heutigen Routing, naemlich Sicherheitsfunktionen und Broadcast- Unterdrueckung. Der Nachteil liegt auch hier in der voellig proprietaeren Implementierung.
Fazit: Virtuelle LANs stehen noch am Anfang ihrer Entwicklung. Alle Implementierungen mit Ausnahme von IEEE 802.10 NLM sind proprietaer. Wenn ueberhaupt von aufkommender Produktreife gesprochen werden kann, dann beim reinen LAN-Switching, und auch hier sind die Betriebserfahrungen noch sehr gering. Virtuelles Routing und die Bildung raeumlich verteilter logischer Subnetze sind mit heute verfuegbaren Produkten noch nicht zu realisieren. Das von einigen Marktbeobachtern prognostizierte Router-Sterben liegt also heute noch in weiter Ferne.
Die entsprechenden Herstelleransaetze bestehen allerdings noch groesstenteils aus "White Papers". Die einzige Uebereinstimmung zwischen den Mitbewerbern ist darin erkennbar, dass nach wie vor Router eingesetzt werden, jedoch nur zwischen, nicht aber innerhalb der VLANs. Der Weg zur lange ersehnten Entkopplung physikalischer und logischer Netzwerkstrukturen ist damit jedoch zweifellos eingeschlagen.
* Petra Borowka ist unabhaengige Unternehmensberaterin im Bereich standardbasierter Netzplanung in Stolberg.