Routing im, vom und zum RZ

Kommentieren Drucken

In den letzten Jahren wurde sehr häufig und sehr intensiv darüber diskutiert, wie eine skalierbare Layer-2-Netzstruktur für Rechenzentren aussehen soll. Diese Diskussion war angesichts der Herausforderungen, die durch die Servervirtualisierung verursacht werden, notwendig und wichtig.

Der Autor kann sich jedoch des Eindrucks nicht erwehren, dass wegen der Diskussion über Layer 2 ein anderer wichtiger Aspekt beim Design von RZ-Netzen in Vergessenheit geraten ist, nämlich das Routing im, vom und zum RZ. Oft kommt es dazu, dass sich Planer genau dazu wenig Gedanken gemacht haben, bis der Tag X kommt, an dem das Netz implementiert werden muss. Häufig werden dann die Layer-3-Strukturen im und um das RZ irgendwie – vielleicht wie es gerade passt – aufgebaut. Das kann aber nicht im Sinne einer vorausschauenden Planung sein.

Warum Routing?
Fangen wir mit der grundsätzlichen Frage an, warum im Zusammenhang mit Rechenzentren Routing überhaupt noch erforderlich ist. Machen neue Layer-2-Verfahren das Routing im Zusammenhang mit RZ-Netzen nicht überflüssig?

Die Antwort ist ein klares Nein und wird im Folgenden begründet.

Man stelle sich ein RZ-Netz vor, an das verschiedene RZ-typische Endgeräte wie Server, Network Attached Storage (NAS) etc. angeschlossen sind.

Wenn das in der Bild 1 dargestellte RZ-Netz als eine Layer-2-Broadcast-Domäne aufgebaut wird, gilt diese Broadcast-Domäne zugleich als eine einzige Sicherheits- und Fehlerdomäne, wenn man vom Einsatz der bisherigen Layer-2-Netzverfaheren (einschließlich neuer Verfahren wie Shortest Path Bridging SPB, Transparent Interconnection of Lots of Links TRILL etc.) ausgeht.

Das ist jedoch in fast keinem RZ erwünscht. Es darf nicht sein, dass die fehlerhafte IP-Konfiguration irgendeines Endgeräts im RZ potenziell das gesamte RZ-Netz oder jedes beliebigen Servers darin lahmlegen kann. Und es darf nicht sein, dass die Kompromittierung eines einzelnen Systems im RZ die Sicherheit des gesamten Rechenzentrums beeinträchtigen kann.

Also teilt man das RZ-Netz in mehrere Layer-2-Broadcast-Domänen auf, die aus Gründen der Verfügbarkeit über mindestens zwei Routing-Instanzen miteinander verbunden sind (Bild 2).

Die in Bild 2 dargestellten Routing-Instanzen müssen nicht unbedingt klassische Router oder Layer-3-Switches sein. Infrage kommen auch Sicherheitskomponenten mit Routing-Funktion, zum Beispiel Firewalls.

Aus denselben Gründen wie für die interne RZ-Netzstruktur angeführt ist kein RZ-Netz zu empfehlen, das sich in derselben Broadcast-Domäne befindet wie alle Clients, die auf das RZ zugreifen. Das bedeutet, dass der Zugriff der Clients auf das RZ über Routing-Instanzen erfolgen muss. Soll dieser Zugriff von keinem Single Point of Failure abhängig sein, ist das RZ über mindestens zwei Layer-3-Instanzen mit den Clients verbunden sein (Bild 3).

Bild 3 zeigt die minimale Routing-Struktur eines RZ-Netzes. Kein RZ, das diesen Namen verdient, kann ohne die dargestellte Routing-Funktion im, vom und zum RZ auskommen.

Ungünstiges Routing
Nun, da wir die grundsätzliche Frage geklärt haben, was die Notwendigkeit von Routing im Zusammenhang mit dem RZ-Netzdesign betrifft, betrachten wir die Probleme, um die es in diesem Beitrag hauptsächlich geht und die wir als „ungünstiges Routing“ zusammenfassen wollen.

Um die Problematik „ungünstiges Routing“ zu verstehen, müssen wir zunächst definieren, was „optimales Routing“ bedeutet. Einigen wir uns auf die Definition, dass optimales Routing die Auswahl der Pfade mit den kürzesten Signallaufzeiten und den niedrigsten Paketverlustraten ist. Letzteres setzt häufig voraus, dass die Übertragungskapazitäten im Netz optimal genutzt werden, zum Beispiel durch Verteilung der Last auf verschiedene Wege. Das heutige Internet weist diesbezüglich einerseits noch Optimierungspotenziale auf und ist andererseits das Ergebnis von über vierzig Jahren Erfahrungen bei der Optimierung von Routing.

Das Bild 4 zeigt zwei verschiedene Wege zwischen einem Server und einem Speichersystem in unserem „Minimal-RZ“.

In unserem Minimaldesign sind die beiden in der Bild 4 dargestellten Pfade hinsichtlich der Anzahl der Layer 3 Hops gleichwertig, d. h. bei Anwendung optimaler Routing-Verfahren kommt es zur Nutzung beider Pfade.

Nun stelle man sich vor, einer der Wege sei hinsichtlich der tatsächlichen Signallatenz weniger optimal als der andere. Das gilt zum Beispiel, wenn der Server, das NAS-System und einer der Router am selben Standort, aber der andere Router an einem anderen Standort aufgestellt sind. Dazu kann es leicht kommen, wenn die beiden RZ-Standorte, wie häufig gefordert, über Layer 2 transparent verbunden sind.

Wegewahloptimierung im RZ
Um sicherzustellen, dass eine optimale Layer-3-Route auch mit optimalen Layer-2-Pfaden verbunden ist, dürfen die Wegewahlentscheidungen auf Layer 3 und Layer 2 nicht entkoppelt werden. Damit kommen wir zu dem in der Abbildung 5 dargestellten Design.

Wie aus der Bild 5 hervorgeht, müssen die beiden Netzkomponenten nicht nur Layer-3-, sondern Layer-2-Intelligenz besitzen, um für eine aus Gesamtsicht optimale Wegewahlentscheidung treffen zu können. Eine solche Entscheidung kann zur Auswahl des in der Bild 5 dargestellten Pfades vom Server zum NAS-System führen. Der Pfad geht über die erste Layer-2/3-Komponente in der „Nähe“ des Servers, der zum Subnetz des NAS-Systems routet, in diesem Subnetz aber erkennt, dass das NAS-System über die andere Layer-2/3-Komponente erreichbar ist. Wenn die beiden L2/3-Komponenten an unterschiedlichen Standorten aufgestellt sind, kommt es im Übertragungspfad nur zu einem standortübergreifenden Hop.

Die Voraussetzungen für eine solche Gesamtoptimierung sind wie folgt:

  • Beide L2/3-Komponenten haben Interfaces in beiden IP-Subnetzen.
  • Jeder L2/3-Switch ist aktiver Default Router in jedem der beiden IP-Subnetze, denn sonst müsste der erste Hop aus der Sicht des Servers, der vielleicht kein aktiver Default-Router im Serversubnetz ist, das Paket des Servers an den anderen L2/3-Switch weiterleiten.

Die erste Anforderung kann von jeder RZ-Netzstruktur erfüllt werden, die aus Layer-2-/3-Switches besteht. Mit diesen Switches ist es möglich, eine flächendeckende Layer-2-Versorgung des gesamten Rechenzentrums zu erreichen, zum Beispiel mittels Multi-Chassis Link Aggregation (MC-LAG), SPB oder TRILL. Ferner ist es mit solchen Switches möglich, jeden Switch mit einem IP Interface in jedem RZ-Subnetz zu versehen.

Die Erfüllung der zweiten Anforderung ist schon schwieriger. Standardmäßig kennt zum Beispiel das Virtual Router Redundancy Protocol (VRRP) zu jedem Zeitpunkt einen aktiven Default Router pro IP-Subnetz. Einige Hersteller haben Mechanismen in Ergänzung zur Standard-Default-Router-Virtualisierung implementiert, die dafür sorgen, dass zum Beispiel alle Mitglieder einer VRRP-Gruppe jedes an die VRRP-MAC-Adresse gerichtetes Paket einer Layer-3-Verarbeitung unterziehen. So routet jedes Mitglied ein zu routendes Paket weiter.

So ist es mit heutigen Mitteln möglich, das Routing im RZ zu optimieren.

Optimales Outboud Routing
Optimales Routing im RZ reicht nicht aus, wenn man an das Szenario in der Bild 6 denkt.

Wie aus der Bild 6 hervorgeht, kann der Server den Client über zwei Wege erreichen. Wenn sich der Server am RZ-Standort A und der Router am RZ-Standort B befindet, geht der Pfad vom RZ-Standort A zum RZ-Standort B und von dort zum Client. Das kann aber schon eine ungünstige Route sein, wenn Server und Client in derselben Region und der Standort B in einer entfernten Region liegen.
Dieselben Mechanismen wie für das RZ-interne Routing beschrieben können angewandt werden, um das Outbound Routing, also das Routing vom RZ zum Client, zu optimieren. Der Lösungsansatz geht aus dem Bild 7 hervor.

Bild 7 zeigt, wie vom Server ausgehen der erste Hop das Paket direkt Richtung Client weiterleitet, ohne es zu einer anderen RZ-Routing-Instanz senden zu müssen. Wenn also jede Layer-2/3-Komponente im RZ erstes Interfaces in allen RZ-Subnetzen unterhält, zweitens dort auch aktiver Default Router ist und drittens zum Client-Netz die gleiche „Routing-Entfernung“ hat wie andere Layer-2/3-Instanzen im RZ. Die erste und zweite Bedingung haben wir schon für optimales Routing im RZ aufgestellt. Die dritte Bedingung kommt hinzu, damit das Paket vom ersten Layer-2/3-Switch aus den kürzesten Weg nach außen findet. Ist die dritte Bedingung nicht erfüllt, kann das Paket nämlich von dem einen zum anderen Layer-2/3-Switch im RZ weitergereicht werden. Angesichts der Verteilung dieser Komponenten und des Layer-2-RZ-Netzes auf verschiedene Standorte kann das bereits zum ungünstigen Routing führen.

Symmetrisches RZ-Netzdesign ist also wichtig, wenn es darauf ankommt, ungünstiges Outbound Routing zu vermeiden.
Mit denselben Mitteln wie auf RZ-internes Routing angewandt und zusätzlich mit einem symmetrischen Netzdesign kann also ungünstiges Outbound Routing vermieden werden.

Ungünstiges Inbound Routing

Bild 8 zeigt zwei alternative Wege vom Client zum Server.

Da alle L2/3-Switches im RZ-Netz Interfaces in jedem Serversubnetz haben, leitet der erste L2/3-Switch, der das Paket bekommt, dieses direkt über Layer 2 an den Server weiter. Der erste Layer-2/3-Switch, der das Paket bekommt, wird im Prinzip von dem ersten Routing Hop bestimmt, der das Client-Paket erhält. Beschränkt sich die Layer-2-Domäne auf das RZ, entscheidet der Router ausschließlich anhand von Layer-3-Merkmalen. Da jedoch alle L2/3-Switches im RZ die gleiche Distanz zum Client haben, kann es dazu kommen, dass aus RZ-Layer-2-Sicht die ungünstigere Route gewählt wird, nämlich vom Client zum RZ-Standort B und von dort zum RZ-Standort A.

Nun könnte man auf die Idee kommen, auch die Client-Subnetze in dieselbe Layer-2-Domäne aufzunehmen wie das RZ, um das Inbound Routing genauso zu gestalten wie das RZ-interne Routing („alle sprechen Layer 2 und Layer 3“). Das ist aber genau nur in Umgebungen möglich, in denen das ungünstige Routing toleriert werden kann, nämlich in Campusnetzen. Befindet sich der Client nicht auf demselben Gelände wie das RZ, sondern greifet über ein WAN oder über ein VPN oder schlicht und ergreifend über das Internet ohne VPN auf das RZ zu, kann man die Idee einer großen, im Internet-Fall weltweiten Layer-2-Wolke gleich wieder vergessen, es sei denn, man wolle das Internet neu erfinden.

Layer-2-Tunnel
Man könnte auf die Idee kommen, eine Art Layer-2-Tunnel von jedem Client-Standort aus zum RZ aufzubauen. Dann besitzt die Netzkomponente in der Nähe des Clients, welche die Wegewahlentscheidung treffen soll, nicht nur Layer-3-, sondern auch Layer-2-Intelligenz. Mit dieser Layer-2-Intelligenz wird die Wegewahlentscheidung so getroffen, dass das Paket den kürzesten Weg vom Client zum Server nimmt, wie aus der Abbildung 9 hervorgeht.

Layer-2-Tunnel haben aber einige Nachteile. Sie müssen zum Beispiel per definitionem alle Layer 2 Broadcasts und Pakete mit unbekannter MAC-Zieladresse über den Tunnel weiterleiten. Man hebt also mit Layer-2-Tunneln wichtige Vorteile einer Layer-3-Segmentierung auf. Ferner ist nicht sichergestellt, ob Tunnelenden zwischen allen Clients und dem großen Layer-3-Netz möglich sind. Das passt gar nicht zu solchen Trends wie Bring Your Own Device.

LISP
Ebenfalls auf eine Art Tunneling setzt das Location/ID Separation Protocol (LISP), dessen Funktionalität in der Abbildung 10 dargestellt ist.

LISP trennt die Location-Information von der ID der Endgeräte. LISP-fähige Router führen zusätzlich zu normalen Routing-Tabellen für Location-Informationen auch Tabellen mit IDs einzelner Endgeräte. So erfährt der in der Abbildung 10 dargestellte L2/3-Switch auf der Client-Seite von der LISP-Infrastruktur, dass der Server über den linken LISP-Tunnel zu erreichen ist und nicht über den rechten.

LISP wird jedoch Stand heute von den meisten Herstellern nicht unterstützt, und es fehlen die Langzeiterfahrungen mit der Stabilität und der Skalierbarkeit dieses Protokolls.

Fazit
In diesem Beitrag wurde begründet, warum das Routing im, vom und zum RZ weiterhin notwendig ist. Wir zeigten, wie das Routing im RZ und vom RZ zu Clients mit heutigen Mitteln optimiert werden kann.

Das Routing zum RZ bleibt jedoch ein Problem, wenn sich Layer-2-Strukturen über RZ-Standorten erstrecken, welche auf große Regionen oder gar die ganze Welt verteilt sind.

zugeordnete Kategorien: Archiv, Klassiker
zugeordnete Tags:

Sie fanden diesen Beitrag interessant? Sie können



Anmerkungen, Fragen, Kommentare, Lob und Kritik:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

.