Link Aggregierung und VLANs

Kommentieren Drucken
Teil 21 von 71 aus der Serie "Professionelle Datenkommunikation"
Alle Artikel der Serie "Professionelle Datenkommunikation":

In Corporate Networks gibt es manchmal aus praktischen Gründen bestimmte Verfahren, die eng der Übertragungstechnik verbunden sind und noch zum Layer 2 gehören. Die Link Aggregierung fasst Ethernet-Verbindungen einer bestimmter Datenrate zu einer sinnvollen Gruppe zusammen. Das ist immer dann praktisch, wenn man mit der bestehenden Datenrate (also z.B. 1 GbE) nicht mehr auskommt, den Sprung auf die nächsthöhere Datenrate (z.B. 10 GbE) aber noch nicht vornehmen möchte. Virtuelle Netze sind ein allgemeines Strukturierungskonzept. Hier sehen wir uns die VLANs nach IEEE 802.1Q an.

Eigentlich ist es ein naheliegendes Konzept, die Leistung von Datenverbindungen zwischen Switches untereinander oder zu bestimmten Endgeräten wie Servern einfach dadurch zu steigern, das man mehrere Leitungen parallel führt und benutzt. Schon in der Frühzeit der LANs hat man oftmals einen Server mit mehreren Adapterkarten versehen, um sowohl Leistung als auch Zuverlässigkeit zu erhöhen.
Erst im Juli 1998 wurde die Gründung einer Arbeitsgruppe für Trunking, die Link Aggregation Task Force, von den IEEE Leitgremien genehmigt wurde. Die Gruppe arbeitet unter der Bezeichnung IEEE 802.3ad, was kennzeichnet, dass sie sich nur um Lösungen für den Ethernet-Bereich kümmert.

Die Zusammenfassung (Aggregierung) der Links soll auf der Schicht zwei stattfinden und völlig transparent für die Endgeräte sein. Wenn parallele Verbindungen bestehen, soll die Last auch über diese verteilt werden. Dies ist nicht nur für den Hochlastfall sehr sinnvoll, sondern senkt auch die im normalen Betrieb durchschnittlich belegte Bandbreite und damit die Oberwellen, die vom System letztlich ausgehen können. Wenn eine oder mehrere der parallelen Leitungen ausfällt, soll der Gesamtverkehr automatisch auf die verbleibenden Leitungen umgeschaltet werden. Dies ist eine ganz wesentliche Forderung beim Aufbau redundanter Strukturen für die Erhöhung der Gesamtzuverlässigkeit von Netzen.

Ein zu simpel geplanter Einsatz von Switches führt auf Netze mit Single Points of Failure. Link Aggregation ist ein erster wesentlicher Schritt, um hier auch auf Ethernet-Basis Abhilfe schaffen zu können. Natürlich unterstützt IEEE 802.3ad alle bisherigen Spezifikationen von 802.3 zu unterstützen. Dies bedeutet alle Spezifikationen für die Bandbreiten 10 Mbit/s bis 100 Gbit/s, den MAC-Dienst, das Physical Layer Signalling ,die LLC und die generellen funktionalen Anforderungen der Umgebung.

Kommunikation von Server zu Server und von Switch zu Switch. Außerdem sollen Diagnose-Parameter für die Übergabe an Management-Systeme definiert werden, dies macht man ja für alle Teilstandards.

So einfach sich das vielleicht zunächst einmal anhört, so kompliziert ist es im Detail. Die Teilnehmer einer MAC-Verbindung sind es gewohnt, dass die Pakete in genau der gleichen Reihenfolge ankommen, wie sie auch abgeschickt worden sind.

Bei der Link Aggregierung liegt hier jedoch ganz klar eine andere Situation vor: zwei oder mehr Pakete, die von einem höheren Protokoll an die MAC-Teilschicht übergeben wurden, können auf verschiedenen Links übertragen werden und z.B. gleichzeitig in den Empfangsschaltkreisen des Empfängers ankommen. Hier muss aber jetzt irgendeine Entscheidung getroffen werden, in welcher Reihenfolge die gleichzeitig angekommenen Pakete an den Empfangspuffer übergeben werden, der sie seinerseits an der äußeren MAC-Schnittstelle dem höheren Protokoll übergibt.

IEEE 802.3ad geht dabei den Weg, ein einheitliches Empfangsverfahren zu spezifizieren, aber verschiedene Sendeverfahren für die Optimierung unterschiedlicher Verkehrsformen zwischen Clients und Servern, Switches und Switches sowie Switches und Servern zu definieren. Für die Implementierung einer Backup-Funktion reicht es nicht aus, einfach im Bedarfsfalle auf eine andere Leitung umzuschalten. Vielmehr muss man darauf achten, dass die MAC-Adresstabellen konsistent bleiben können. Somit dürfen die Schaltverfahren in den Switches sich nicht mehr alleine auf physische Ports beziehen, sondern es müssen logische Ports definiert werden, die ihrerseits eine Gruppe aggregierter physischer Ports repräsentieren und deshalb auch als Aggregierungs-Ports bezeichnet werden.

Dann kann der Switch nämlich alle MAC-Adressen, die auf einer Menge von aggregierten Links gelegt werden, diesem einen logischen Port zuordnen. Möchte er dann zu diesen MAC-Adressen etwas schicken, spricht das Switching-Verfahren den logischen Port als Ziel an. Die Lage bei den physischen Verbindungen dieses Ports kann sich mittlerweile geändert haben, das ist als der Perspektive des Switching-Vorgangs gleichgültig.

Um dann aber nicht auf dieser Ebene zwischen logischen Aggregierungs-Ports und physischen Link Ports wieder ein komplexes Zuordnungs-Verfahren realisieren zu müssen, hat man sich darauf verständigt, die Ports, die in einer Link-Gruppe (LAG Link Aggregierungs Gruppe LAG) zusammengefasst werden, dem Port als Aggregierungs-Port zuzuordnen, der die niedrigste Nummer hat. Insgesamt muss man die Aggregierungs-Funktionalität aushandeln und Kennungen verschicken, sonst klappt die Zusammenarbeit zwischen Adapterkarten und Switches sowie Switches und Switches nicht.

Um dies systematisch durchsetzen zu können, muss die MAC-Schicht wiederum weiter aufgespalten werden.

Nach oben hin gerichtet ist das 802.3 MAC Client Interface, welches üblicherweise nach Definition mit der LLC zusammenarbeitet. Die Link Aggregierung soll für die Teilnehmer völlig transparent sein. Das Link Aggregation Control Protocol, welches die Link Aggregierung steuert, muss also unter dem MAC-Client Interface, aber oberhalb der »herkömmlichen« MAC implementiert sein.

Insgesamt gibt es aber ein Modell mit drei weiteren Teilschichten ab:

LAC Distribution/Collector-Teilschicht, die die Pakete aus dem Paketstrom des Client Interface auf verschiedene Trunks verteilt bzw. ankommende Pakete wieder in Paketströme richtig einsortiert, also multiplext.

LAC Control – Teilschicht, die physische Links dem logischen Aggregat hinzufügt und wegnimmt.

MAC Control – Teilschicht, die die herkömmliche IEEE 802.3 MAC anspricht.

Eigentlich ist Link Aggregierung (oder kurz LAG) eine besonders gute Methode zur Realisierung von glatter Skalierbarkeit zwischen den Leistungsbereichen von IEEE 802.3. Denn die Sprünge zwischen 10 und 100, sowie 100 und 1000 Mbit/s sind ja doch recht groß. Trunking kann sowohl im Backbone als auch im Backend sinnvoll eingesetzt werden. Existierende Netzwerk-Implementierungen kann man so lassen, wie man möchte, weil sich jenseits der MAC-Dienstleistungsschicht nichts ändert, es wird einfach nur schneller und für die höheren Protokolle ohnehin alles transparent bleibt.

Es gibt allerdings Einschränkungen. Das LAG bezieht sich nur auf parallele Punkt-zu-Punkt-Verbindungen, die darüber hinaus noch Full-Duplex sein und die gleiche Übertragungsleistung aufweisen müssen. Für ein redundantes Netz möchte man Ersatzwege schalten können. Diese führen aber gegebenenfalls über andere Switches. Das geht aber gerade wieder nicht, weil getrunkte Leitungen parallel sein müssen. Aber auch im Zusammenwirken mit höheren Protokollen gibt es Schwierigkeiten, und zwar wegen der Notwendigkeit der Eindeutigkeit einer MAC-Adresse, die bislang eigentlich den ganzen Standard durchzogen hat. Entweder muss man also der aggregierten Link-Gruppe eine einzige Adresse zuordnen oder mit einem speziellen Protokoll für den Lastausgleich eine Adresse eines höheren Protokolls, z.B. eine IP-Adresse auf mehrere MAC-Adressen abbilden. Wenn man nur ein Trunking-Verfahren für die Gruppierung von Ports zu Gruppen zulässt, ist dies nicht für alle Anwendungen optimal. So legt z.B. eine Anwendung zwischen vielen Clients und einem Server über zwei Switches hinweg besonderen Wert auf Parallelität und Integrität von Sessions, aber weniger auf hohe rohe Bandbreite.

Virtuelle Netze

Virtuelle Netze sind ein technologisches Konzept zur Implementierung logischer Gruppen innerhalb eines Netzes mittels Switches auf Schicht 2. Logische Gruppen können reale Workgroups oder andere Teilnehmergruppierungen sowie Geräte und Software oder Teilnetze sein. Das ist dem Konzept völlig egal. Die Eigenschaft eines Netzes, derartiges zu implementieren, nennt man auch Mehrmandantenfähigkeit.

Virtuelle Netze werden durch eine Menge von Switches aufgebaut, die ihrerseits durch einen Backbone oder direkt miteinander verbunden sind. Von der Zielsetzung her gibt es keine Unterschiede zwischen dem lokalen Bereich und einem größeren Unternehmensnetz, welches z.B. aus mehreren lokalen Bereichen besteht.
Aber auch andere Übertragungstechniken auf dem Wide Area Bereich, wie Frame Relay oder IP over SONET sind extrem leistungsfähig und können in die Konstruktion virtueller Netze einbezogen werden. Dies findet vor allem Anklang für die Realisierung geschützter Netze zwischen Organisationen, die z.B. Handel miteinander treiben und zwar die Methoden, aber nicht die Übertragungswege des allgemeinen Internet ungeschützt nutzen wollen und ein sogenanntes Extranet aufbauen, bei dem nur definierte Partner miteinander kommunizieren, wobei die Daten auch noch verschlüsselt sein können.

Virtuelle Netze benutzen sogenannte »Membership Rules« zur Definition der Zugehörigkeit von Stationen zu logischen Workgroups und implementieren Schaltergruppen »Switching Fabrics« zur Verbindung der Mitglieder der logischen Workgroups. Dieser Ansatz erlaubt die Zugehörigkeit zu einer logischen Workgroup unabhängig vom physischen Ort des Arbeitsplatzrechners des Teilnehmers. Virtuelle Netze vereinigen die Vorteile, die man normalerweise mit durch Brücken verbundenen Netzen assoziiert, wie leichtes Hinzufügen/Wegnehmen oder Ändern einer Station, zusammen mit dem Vorzug der logischen Systemtrennung/Strukturierung durch Router, ohne jedoch die Durchsatzprobleme von Brücken und die schwierige Konfiguration großer Netze mit Routern hinnehmen zu müssen.

Wir werden das Thema im Laufe der Serie noch mehrfach aufgreifen, weil es auf unterschiedlichen OSI-Schichten vorkommt, konzentrieren uns aber hier zunächst auf die Schicht 2.

Virtuelle Netze nach IEEE 802.1Q

Die Standardisierung für VLANs auf der Basis des LAN-Switchings der Schicht 2 kommt von IEEE 802.1Q.

802.1 ist die Gruppe innerhalb IEEE 802, die sich mit Brücken und dem LAN-Umfeld beschäftigt. Der Standard für »Virtuelle Bridged LANs« definiert eine Architektur für virtuelle brückengekoppelte LANs, die Dienste, die in brückengekoppelten VLANs zur Verfügung gestellt werden sowie die Protokolle und Algorithmen, die zur Erbringung dieser Dienste notwendig sind. Dabei greift er auf zwei andere Funktionsgruppen zurück, nämlich das MAC Bridging nach IEEE 802.1D und die Prioritätensteuerung nach IEEE 802.1 D/p.

Man möchte eine vereinfachte Verwaltung logischer Benutzergruppen erreichen, damit auch Umzüge, Änderungen und sonstige Erweiterungen leichter durchgeführt werden können. Der Standard geht davon aus, dass Broadcasts reduziert werden müssen, um eine höhere Sicherheit zu erreichen und die Abschottung der VLANs gegeneinander zu verbessern. Man möchte die Kompatibilität zu bestehenden Brücken-Konfigurationen soweit wie möglich gewährleisten. Deshalb wird eine Kennzeichnung für die Zugehörigkeit eines Paketes zu einem VLAN, das sogenannte Tag, nur eingefügt bzw. entfernt, wenn das Frame im Rahmen einer Relay-Funktion weitergeleitet wird.

Der Standard geht von einer portbasierten VLAN-Definition aus. Dabei wird für jeden LAN-Port eine eindeutige VLAN-Identifikation VLAN-ID konfiguriert, die sogenannte Port-Identifikation PVID. Dies steht im Gegensatz zu den explizit getagten Frames, bei denen Pakete verschiedener VLANs auf einem physikalischen LAN transportiert werden können. Das Tagging muss zu einer netzweit eindeutigen VLAN-Identifizierung führen, die über die gesamte Konfiguration hinweg erhalten bleibt.

Auf der Grundlage der Funktionen von IEEE 802.1D/p wird Folgendes definiert: der VLAN-Dienst, ein Forwarding-Prozess für die Weiterleitung eingehender VLAN-Frames, eine Filter-Datenbank, erforderliche Protokolle für VLAN-Dienstleistung und Verteilung der VLAN-Information sowie zur Konfiguration und Verwaltung erforderliche Management-Dienste und Operationen. Daraus entstand das VLAN-Architekturmodell.

Die VLAN-ID wird per Konfigurierung festgelegt und ist dann fest. Sie kann nur durch explizite Konfiguration geändert werden. Dazu sei bemerkt, dass dies den Zielen von VLANs geradezu zuwiderläuft und keinen wesentlichen Fortschritt gegenüber einfacher Brückensegmentierung bietet. Alle Hersteller, auch die mit den schwächsten VLAN-Konzepten, haben dem Kunden weit Komfortableres zu bieten.

Der Prozess zur Weiterleitung von VLAN-Frames, der Forwarding-Process wird in drei Phasen nach getrennten Regeln bearbeitet, die auch die Konvertierung von Frameformaten nach verschiedenen MAC-Verfahren beinhalten. Man unterscheidet zwischen Ingress Rules für die Behandlung eingehender Frames, Forwarding oder Filter Rules für die Weiterbearbeitung sowie Egress Rules für die Ausgabe von Paketen.

802.1Q unterteilt Geräte in VLAN-fähig und VLAN-unfähig. Zugangsverbindungen (Access Link) sind LAN-Segmente, die nicht-VLAN-fähige Geräte, d.h.in der Regel Endgeräte, an eine VLAN-fähige Brücke anbinden. Alle Pakete auf Zugangs-Links werden als implizit getagt betrachtete und dürfen nicht explizit getagt werden.

Die Ingress-Regeln sehen folgendermaßen aus. Jeder Frame kann eindeutig einem einzelnen VLAN zugeordnet werden. Es gibt dabei Frames mit expliziter Klassifizierung und ohne eine solche. Bei Frames mit einer eingetragenen VLAN-Protokollkennung (VPID) und einem VID-Feld gehört das Frame zu dem VLAN, das der VID-Wert repräsentiert, es sei denn der spezielle VID-Wert »kein VLAN da« wird benutzt. Frames ohne explizite Kennung werden dem VLAN zugeordnet, das sich durch die PVID VLAN-Kennung des Empfangsports ergibt.

Bei den Egress-Regeln sieht es so aus: wenn VLAN-ID = PVID des Ausgangsports, soll das Paket ungetagt gesendet werden. Enthielt der Header Prioritätsinformation, so wird diese ebenfalls übernommen und die VID=0 gesetzt. Dann ist die FCS neu zu berechnen. Gilt VLAN-ID =/= PVID so wird normalerweise getagt überragen, gegebenenfalls zuzüglich Prioritätsinformation. Wird dabei die maximale PDU-Größe überschritten, darf keine Weiterleitung erfolgen. Ist der Ausgangsport für ungetagte Übertragung markiert, wird ohne Tag übertragen, wobei gegebenenfalls auch eine FCS-Neuberechnung erforderlich sein kann.

Die Implementierung von VLANs erfolgt in IEEE 802.1Q ohne die Zuhilfenahme weiterer Hilfsmittel. VLAN-Umgebungen können mit älteren IEEE 802.1D-Brückenumgebungen kombiniert werden. Die VLANs müssen dabei nicht unbedingt physikalisch zusammenhängend definiert werden, es können sich also VLANs schon über verzweigte Netze erstrecken. Dies sind aber schon die einzigen Vorteile. Die Beschränkung auf einen Single Spanning Tree lässt keine Lastverteilung via VLAN-Konzept zu. Dies bedeutet, dass man alles, was eingangs dieses Kapitels hinsichtlich der Vermeidung von Single Points of Failure gesagt wurde, nicht realisierbar ist.

VLANs nach IEEE 802.1Q führen automatisch auf Lösungen mit zentralen Switches.

« Teil 20: Zugangstechniken: von DSL zu EPONsTeil 22: Quality of Service im LAN »


zugeordnete Kategorien: LAN
zugeordnete Tags:

Sie fanden diesen Beitrag interessant? Sie können



Anmerkungen, Fragen, Kommentare, Lob und Kritik:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

.