Liebe Leserinnen, liebe Leser,

im letzten Beitrag haben wir erläutert, wie man alle Projektanforderungen, die infolge der Realisierung eines Netzwerkprojekts erfüllt werden sollen, einheitlich und präzise erfassen kann. Jetzt möchten wir uns der Entwicklung des Systemkonzepts einer Netzwerkinfrastruktur widmen, also der Stunde 3 in unserem „Uhrmodell“ auf dem Poster (s. ersten Beitrag). Da eine vollständige Darstellung aller mit der Entwicklung des Systemkonzepts verbundenen Aspekte in einem einzelnen Beitrag nicht möglich ist, gehen wir hier nur kurz auf einige ausgewählte Schwerpunkte ein. Somit werden wir Ihnen nur einige Grundlagen zur Entwicklung des Systemkonzepts vermitteln. Zuerst möchten wir die Komponenten des Systemkonzeptes auflisten und danach präsentieren wir kurz einige Aspekte sowohl der physikalischen als auch der  logischen Netzwerkstrukturierung.

Komponenten des Systemkonzepts

Netzwerke werden immer komplexer – insbesondere in großen Unternehmen. Um deren Design bzw. Redesign zu erleichtern, wurde in unserem Buch vorgeschlagen, das ganze Netzwerk auf mehrere Funktionsbereiche aufzuteilen, sodass man das ganze Systemkonzept einer Netzwerkinfrastruktur in mehrere Teilkonzepte unterteilen und die einzelnen Teilkonzepte möglichst zeitlich „parallel“ entwickeln kann. Demzufolge setzt sich, wie Abbildung 4.1-1 im Buch Netzwerkprojekte zeigt, das Systemkonzept aus mehreren Bestandteilen zusammen; diese können als dessen Komponenten angesehen werden.

Abbildung 4.1-1 im Fachbuch - Badach, A., Rieger, S.: Netzwerkprojekte, Hanser

Die einzelnen Teilkonzepte lassen sich wie folgt kurz charakterisieren:

  1. Konzept der physikalischen Netzwerkstruktur: Die erste große Aufgabe beim Aufbau eines Netzwerks ist die Entwicklung eines Konzepts für seine physikalische Struktur. Hierzu gehören u.a. die Teilkonzepte für die physikalische Netzwerkstrukturierung und zukunftssichere Verkabelung.
  2. Konzept des IP-Kommunikationssystems: Alle Netzwerke nutzen heutzutage das Internetprotokoll IP zur Übermittlung aller Arten von Informationen (Daten, Sprache, Video). Jedes leistungsfähige IP-Netzwerk ist folglich ein IP-Kommunikationssystem und muss entsprechend physikalisch und logisch strukturiert werden. Parallel zur Konzeption der physikalischen Struktur eines Netzwerks muss auch das Konzept für die logische Netzwerkstrukturierung und hierbei auch der IP-Adressierungsplan entwickelt werden.
  3. Konzept der Sprachkommunikation: Ein wichtiger Teil des Netzwerkkonzepts ist die Festlegung, welche Systemkomponenten man benötigt und wie sie in das Netzwerk integriert werden, um Sprachkommunikation beim VoIP-Einsatz zu realisieren. Die Bestandteile des Konzepts für die Sprachkommunikation sind: Konzept der Vernetzung von VoIP-Systemkomponenten, VoIP-Adressierungsplan (Rufnummernplan), Konzept für Gebührenerfassung und VoIP-Sicherheitskonzept.
  4. Konzept für die Bereitstellung der Internetdienste: Die erforderliche Integration der Internetdienste in das Netzwerkkonzept sollte insbesondere umfassen: Konzept des Internetzugangs, Organisation der DMZ (Demilitarisierte Zone), Bereitstellung der Webdienste und E-Maildienste.
  5. Konzept für das Netzwerk- und Systemmanagement: Man benötigt: Konzept für das Netzwerkmanagement, um den nachhaltigen Betrieb des Netzwerks zu gewährleisten, und Konzept für das Systemmanagement, um die auf dem Netzwerk basierende IT-Infrastruktur zu verwalten.
  6. Konzept für die Netzwerksicherheit: Bei der Planung und Durchführung von Netzwerkprojekten ist ein Konzept für die Netzwerksicherheit von entscheidender Bedeutung. Der Entwicklung dieses Konzepts wird Kapitel 6 unseres Buches gewidmet. Dieses Kapitel entspricht der Stunde 5 im „Uhrmodell“ auf dem Poster und wird in einem Beitrag aus dieser Serie kurz präsentiert.
  7. Konzept der Datensicherung: In jedem Netzwerkprojekt muss ein Konzept(Plan) für Datensicherung erstellt werden, in dem u.a. spezifiziert werden muss: welche Daten warum gesichert werden müssen, welche Systemkomponenten (Speichersysteme, Programme etc.) dafür eingesetzt werden und wie die Speichersysteme mit gesicherten Daten selbst gesichert werden sollen.

Physikalische Netzwerkstrukturierung – grundlegende Funktionsbereiche
Jedes Netzwerk, aus Abbildung 4.2-3 geht dies hervor, wird mit dem Ziel eingerichtet, einerseits den Rechnern von Benutzern, den sog. Client-Rechnern, Zugriff auf verschiedene Server, das Internet sowie andere Netzwerkressourcen zu ermöglichen. Diese Zielvorstellung verwirklichen verschiedene Client-Server-Anwendungen, folglich findet eine Client-Server-Kommunikation statt. Andererseits muss in jedem Netzwerk die Möglichkeit bestehen, dass jeder Client-Rechner mit einem anderen Client-Rechner kommunizieren kann, insbesondere, falls Client-Rechner auch als VoIP-Telefone fungieren und zwei Benutzer per VoIP telefonieren wollen. Diese Art der Kommunikation bezeichnet man Client-Client-Kommunikation. Die Notwendigkeit, diese beiden Arten der Kommunikation in Netzwerken zu unterstützen, beeinflusst sowohl  die physikalische als auch die logische Netzwerkstrukturierung.

Abbildung 4.2-3 im Fachbuch - Badach, A., Rieger, S.: Netzwerkprojekte, Hanser

Unternehmensweite Netzwerke werden heute in der Regel nicht mehr „auf der grünen Wiese“ installiert, sondern neue Installationen müssen die bereits bestehende Infrastruktur unter Berücksichtigung unterschiedlicher Randbedingungen optimal ergänzen. Um die Skalierbarkeit der Netzwerke zu garantieren, sollte jedes Netzwerk strukturiert aufgebaut sein. Betrachtet man ein Netzwerk im Hinblick auf die Funktionen, welche dieses erbringen muss, kann es auf einige typische Funktionsbereiche, die wir im Weiteren erläutern,  aufgeteilt werden. Diese sind vollkommen davon unabgängig, ob es sich um ein Netzwerk in einem Gebäude oder um ein mehrere Gebäude umfassendes Netzwerk handelt.

Abbildung 4.2-3 zeigt die grundlegenden Funktionsbereiche in Netzwerken am Beispiel eines auf mehrere Gebäude verteilten Netzwerks. Hervorzuheben sei aber, dass die hier dargestellte Netzwerkstruktur sehr vereinfacht ist; sie enthält keine redundanten Komponenten und kann dadurch wegen möglichen Ausfällen keine hohe Verfügbarkeit der Netzwerkdienste garantieren. Eine Netzwerkstruktur mit redundanten Komponenten illustriert Abbildung 4.3-1.

In jedem Netzwerk sind die folgenden Funktionsbereiche zu unterscheiden:

  • Clientbereich als Client-LAN(s) – Zu diesem Bereich gehören alle als Client-Rechner bezeichneten Arbeitsplatzrechner und somit alle Netzwerkkomponenten, mithilfe derer Client-Rechner an das Netzwerk angebunden werden, untereinander kommunizieren können und Zugriff sowohl auf die im Datacenter untergebrachten Server als auch auf Internetdienste haben. Der Clientbereich kann aus mehreren Client-LANs bestehen. Als Client-LAN wird ein LAN in einem Gebäude verstanden und dieses bildet eine hierarchische und baumartige Vernetzung von Access Switches (Layer-2-Switches) und Distribution Switches (Layer-2/3-Switches). Diese Switches kann man den zwei folgenden Layern zuordnen: Access Switches (AS) einem Client Access Layer und Distribution Switches (DS) einem Distribution Layer.
  • Datacenter (Serverbereich) – Zum Datacenter gehören alle Server und solche Komponenten, mithilfe derer Server an das Netzwerk angebunden sind, Daten zwischen Servern transferiert werden und der Zugriff auf Server sowohl seitens der Clients als auch vom Internet aus erfolgen kann. Der Netzwerkteil, über den die im Datacenter untergebrachten Server Zugang zum Core-Netzwerk haben, damit sie dadurch mit Rechnern in allen Client-LANs und am Internet kommunizieren können, wird als Server-LAN bezeichnet. Allgemein gesehen kann ein Datacenter aus mehreren, über das Core-Netzwerk verbundenen Server-LANs „bestehen“. Diese können sogar in verschiedenen Gebäuden aufgebaut werden, wodurch verteilte Datacenter realisiert werden. Die im Datacenter eingesetzten Access Switches (Layer-2-Switches) und Aggregation Switches (Layer-2/3-Switches) bilden die folgenden zwei Layer: Access Switches (AS) den Server Access Layer und Aggregation Switches (GS) den Aggregation Layer. Um Daten auf den Servern einheitlich bereitzustellen und zu verwalten, werden Server über sog. SAN (Storage Area Network) mit Speichersystemen verbunden.
  • Core-Netzwerk (Kernbereich) – Diesen Funktionsbereich bilden die als Core Switches bezeichneten, zentralen Netzwerkkomponenten, in der Regel Layer-2/3-Switches (s. hier  Abbildung 4.3-1), über die andere Netzwerkbereiche – d.h. Client-LANs, Server-LAN aus dem Datacenter und Internetzugang-Bereich – miteinander integriert sind. Das Core-Netzwerk bildet somit eine zentrale „Drehscheibe“ im Netzwerk.
  • Demilitarisierte Zone (DMZ) – Eine DMZ stellt eine „Pufferzone“ im Netzwerk dar, in der spezielle Server, wie z.B. DNS-, Web- und E-Mailserver, untergebracht werden, um öffentlich aus dem Internet erreichbare Dienste erbringen zu können – siehe auch Abbildung 4.3-1. Die DMZ wird in der Regel im Datacenter untergebracht.
  • Internetzugang – Dieser Funktionsbereich wird oft durch eine redundante Auslegung von Routern, die häufig nach dem Protokoll VRRP (Virtual Router Redundancy Protocol) untereinander kommunizieren, gebildet. Der Übergang vom Internetzugang zum restlichen Netzwerkteil sollte über ein Network Intrusion Prevention System (NIP-System) erfolgen, um bösartige Angriffe aus dem Internet zu verhindern.

Es sei in Abbildung 4.2-3  angemerkt, dass zwei Verkabelungsbereiche in jedem Gebäude zu unterscheiden sind:

  • mehrere Etagenverkabelungsbereiche – auch Tertiärverkabelung oder horizontale Verkabelung genannt – und
  • ein Verkabelungsbereich zwischen Etagen – bezeichnet als Sekundärverkabelung oder vertikale Verkabelung.

 

Physikalische Netzwerkstrukturierung – hochverfügbare Netzwerkinfrastruktur

Um die Netzwerkverfügbarkeit erhöhen zu können, sollte man eine gewisse Redundanz einsetzen, was zu redundanten Netzwerkstrukturen führt. Abbildung 4.3-1 im Buch illustriert z.B., wie eine hochverfügbare Netzwerkinfrastruktur nach dem klassischen Netzwerk-Design aussehen könnte. Es sei angemerkt, dass hier, um die grafische Darstellung übersichtlich zu halten, nur ein Client-LAN im Gebäude B gezeigt wurde. Zusätzlich sei es angemerkt, dass Abbildung 4.3-1 ein SAN auf Basis der Netzwerktechnologie Fibre Channel (FC) zeigt – also ein FC SAN. Hervorzuheben ist jedoch, dass es sich hier um das klassische Design von Datacentern handelt, d.h. ohne Konvergenz von LAN und SAN und ohne Switch Port Extension. Für das Design mit der Konvergenz von LAN und SAN sowie mit Switch Port Extension verweisen wir auf Abschnitt 4.3.2 im unseren Buch.

Abbildung 4.3-2 im Fachbuch - Badach, A., Rieger, S.: Netzwerkprojekte, Hanser

Damit die im Datacenter installierten Server und Speichersysteme sogar nach dem Ausfall einiger Netzwerkkomponenten möglichst weiterhin zugänglich sein können, werden sie jeweils über zwei Switches an das Netzwerk angebunden, und zwar:

  • alle Server über Access Switches (ASs), welche Layer-2-Switches sind, und
  • alle Speichersysteme über Fibre-Channel-Switches (FCSs).

Die FCSs mit den an sie angeschlossenen Speichersystemen bilden hier ein SAN – genauer gesagt ein FC SAN. Um die auf den Servern vorhandenen Daten möglichst immer sichern zu können, wird jeder Server redundant (über zwei FCSs) an das SAN angebunden. Dadurch besteht die Möglichkeit, nach dem Ausfall eines FCS die Daten über einen redundanten FCS zu einem Speichersystem zu übermitteln.

DMZ: Wie bereits erwähnt wird im Datacenter eine spezielle „Pufferzone“– als Demilitarisierte Zone (DMZ) bezeichnet – eingerichtet. In der DMZ werden all solche Server installiert, auf die der Zugriff aus dem Internet ermöglicht werden muss bzw. soll, insbesondere die folgenden Server:

  • DNS-Server (Domain Name System), der als eine „Auskunftsstelle“ fungiert und ermöglicht, die IP-Adressen von Rechnern (z.B. Web-, E-Mailserver) zu ermitteln, auf die aus dem Internet zugegriffen werden darf;
  • Webserver mit der Präsentation der Firma, des Unternehmens, Werbung etc.;
  • E-Mailserver, der als Eingangs-E-Mailserver dient, d.h., auf dem alle E-Mails zwischengespeichert werden, bevor ein zentraler Virenscanner in der DMZ eingesetzt wird, um alle bösartigen Viren aufzuspüren. Die virenfreien E-Mails werden dann auf separaten E-Mailservern im „militarisierten“ Teil vom Datacenter abgespeichert und den Benutzern zugänglich gemacht.

Der Einsatz von zwei verschiedenen Technologien in Datacentern, d.h. von Ethernet im LAN und Fibre Channel (FC) im SAN, hat jedoch einige Nachteile; z.B. entstehen höhere Investitions- und Betriebskosten. Um diese Nachteile zu „beheben“, wurde das Konzept von Fibre Channel over Ethernet (FCoE) entwickelt. Beim Einsatz von FCoE konvergieren LANs mit SANs auf eine solche Art und Weise, dass eine einheitliche, Ethernet-basierte Datacenter-Infrastruktur entsteht. Der Einsatz von FCoE führt somit zur LAN- und SAN-Konvergenz in Datacentern und man spricht aus diesem Grund auch von Converged Networking. Es sei jedoch darauf hingewiesen, dass Converged Networking im Datacenter die Unterstützung von Data Center Bridging (DCB) verlangt. Abschnitt 4.3-2 in unserem Buch widmet sich dem Design von Datacenter-Netzwerken mit FCoE.

Räumliche Strukturierung von Datacenter-Netzwerken

Beim Design eines Datacenters müssen verschiedene Faktoren berücksichtigt werden; hierzu gehört vor allem die räumliche Anordnung von Racks (Schränken) mit verschiedenen Systemkomponenten, deren Stromversorgung und Kühlung sowie die Verkablung. In Datacentern muss in der Regel eine Vielzahl von verschiedenen Systemkomponenten auf kleinem Raum installiert werden. Dies verlangt eine gut durchdachte räumliche Anordnung von Racks. Abbildung 4.3-13 präsentiert ein Beispiel für eine räumliche Anordnung von Racks nach der sog. MoR-Architektur.

Abbildung 4.3-13 im Fachbuch - Badach, A., Rieger, S.: Netzwerkprojekte, Hanser

Die europäische Norm EN 50173-5 (wie auch die amerikanische TIA-942) definieren eine hierarchische Anordnung von Racks in Datacentern. Diese Anordnung – vgl. hierzu Abbildung 4.3-13 – besteht:

  • aus einem zentralen Verteilungsbereich, in TIA-942 als Main Distributed Area (MDA) bezeichnet, in dem die zentralen Systemkomponenten wie Core und Aggregation Switches sowie auch zentrale Server untergebracht werden;
  • und aus mehreren funktionellen Bereichen. Diese bestehen aus Reihen von Racks, wobei eine Reihe mehrere Racks enthalten kann, in denen Server aus einem funktionellen Bereich (Area), in TIA-942 Zone genannt, installiert werden. Die Hauptkomponenten in jedem funktionellen Bereich werden in einem als Bereichverteiler (BV) bezeichneten „Distribution Rack“ installiert. In jedem funktionellen Bereich kann der „Distribution Rack“ am Ende der Reihe als EoR-Rack (End-of-Row) oder in der Mitte der Reihe als MoR-Rack (Middle-of-Row) positioniert werden. Somit unterscheitet man zwischen EoR-Architektur und MoR-Architektur.

Wie in Abbildung 4.3-13 ersichtlich ist, stellt ein Bereich im Datacenter eine Reihe von Racks mit Systemkomponenten aus einem funktionellen Bereich dar – wie etwa eine Reihe von Racks mit Applikationsservern, mit Datenbankservern oder mit Servern zur Bereitstellung der Internetdienste (Webserver, E-Mailserver, FTP-Server, …).

Die Vernetzung von Racks im Datacenter stellt eine dreistufige hierarchische, baumartige Struktur dar: Die 1-te (oberste) Hierarchiestufe nämlich das Rack mit Aggregation Switches (GS-Rack) im zentralen Bereich, die 2-te (mittlere) Hierarchiestufe bilden die an das GS-Rack angebundenen, als Bereichverteiler fungierenden MoR-Racks, die 3-te (untere) Hierarchiestufe bilden die in den einzelnen Bereichen mit Bereichverteilern verbundenen Server- bzw. Speicher-Racks.

Zentraler Verteilungsbereich: Damit man die Struktur vom Datacenter übersichtlich gestalten und den Aufwand für die Verkabelung reduzieren kann, ist es oft sinnvoll, im zentralen Bereich die folgenden Kategorien von Racks zu installieren:

  • Rack mit Core Switches, CS-Rack: Dieses Rack kann als zentrale Drehscheibe zwischen dem Datacenter und den an anderen Standorten (z.B. in anderen Gebäuden) installierten Client-LANs betrachtet werden.
  • Rack mit Aggregation Switches, GS-Rack: An dieses Rack werden alle Bereichverteiler (d.h. EoR/MoR-Racks) über 10, 40 oder 100 GE-Links angebunden.
  • Rack mit DMZ, DMZ-Rack: Hier werden alle Systemkomponenten der DMZ untergebracht.
  • Rack für WAN-Anbindung, WAN-Rack: Hier werden die Systemkomponenten installiert, die man zur Anbindung des gesamten Netzwerks an WANs benötigt – insbesondere für den Internetzugang. In diesem Rack kann auch ein VoIP-Gateway (VG) für die Anbindung des internen VoIP-Systems z.B. an das ISDN untergebracht werden.
  • Rack mit verschiedenen Servern für Netzwerkdienste (SND), SND-Rack: Dieses Rack wurde für verschiedene dienstspezifische Server vorgesehen: u.a. die VoIP-, E-Mail-, Web-, RAS- und RADIUS-Server.
  • Rack mit Servern des IP-Kommunikationssystems (IPK), IPK-Rack: In diesem Rack können spezielle Server installiert werden, die man im IP-Kommunikationssystem benötigt. Hier können vor allem die folgenden Server installiert werden: DHCP-, DNS-Server, zentraler Konfigurationsserver mit IP-Adressmanagement (IPAM).

Alle Racks mit Speichersystemen, die sog. Speicher-Racks, bilden einen funktionellen Bereich – einen Speicherbereich (Storage Zone). Bei der EoR-Architektur besteht die Möglichkeit, wie in Abbildung 4.3-13 zum Ausdruck gebracht wurde, einige Speicher-Racks an einem anderen Standort zu installieren. Damit können die Backup-Daten von Servern an zwei verschiedenen Orten aufbewahrt werden, um die Datenverfügbarkeit nach verschiedenen Notfällen möglichst immer zu garantieren.

Grundlagen der logischen Netzwerkstrukturierung

Beim Design bzw. beim Redesign eines Netzwerks sollte man das Konzept für die Anpassung des Netzwerks an die Organisationsstrukturen im Unternehmen und an die Bedürfnisse von Benutzern erstellen. Eine solche Anpassung erfolgt durch eine entsprechende Bildung von aus Benutzerrechnern (von Client-Rechnern) und aus Servern bestehenden Gruppen von Rechnern. Da diese Rechner untereinander über ein LAN vernetzt sind, bezeichnet man eine derartige Gruppierung als VLAN (Virtual LAN). Dank der Bildung von VLANs können die aus der Unternehmensorganisation hervorgehenden „Arbeitsgruppen“ eingerichtet werden – und dadurch lässt sich das Netzwerk an die Organisationsstruktur im Unternehmen anpassen.

Bedeutung von VSANs: Ähnlich wie VLAN kann auch VSAN (Virtual SAN)  eingerichtet werden, welches eine geschlossene Gruppe von Servern und Speichersystemen – quasi eine logische Insel – in einem physikalischen SAN repräsentiert. Ein VSAN ermöglicht, Aufbewahrung und Verwaltung von Daten einer organisatorischen Einheit (z.B. einer Abteilung) bzw. einer Klasse von Anwendungen (z.B. Datenbanken, Webanwendungen) von anderen Daten im SAN zu „isolieren“. Um die Übermittlung von Daten zwischen VSANs zu ermöglichen, wurde das Fibre Channel Inter-Fabric Routing (FC-IFR) entwickelt.

IP-Kommunikationssystem: Die Bildung von VLANs führt zu einer logischen Strukturierung des Netzwerks mit dem Protokoll IP, d.h. des IP-Netzwerks. Somit ist beim Design eines Netzwerks zwischen physikalischer und logischer Netzwerkstrukturierung zu unterscheiden. Da VLANs in der Regel als sog. IP-Subnetze (bzw. kurz Subnetze) eingerichtet werden, bildet die Struktur der Vernetzung von VLANs ein IP-Kommunikationssystem, welches de facto einen Verbund von IP-Subnetzen darstellt. Parallel zur Konzeption der physikalischen Struktur eines Netzwerks muss auch das Konzept für das IP-Kommunikationssystem entwickelt werden – insbesondere das Konzept für seine logische Struktur und für seinen IP-Adressierungsplan.

Notwendigkeit der Routing-Funktion: Wie bereits erwähnt wurde, wird ein VLAN in der Regel als IP-Subnetz eingerichtet. Um mehrere IP-Subnetze untereinander zu vernetzen und somit die Kommunikation zwischen den zu verschiedenen IP-Subnetzen gehörenden Rechnern zu ermöglichen, braucht man einen oder mehrere Router. Im Allgemeinen gilt die folgende Aussage: Ein Router verbindet mehrere IP-Subnetze miteinander. Daraus geht hervor, dass die über einen Router direkt zu verbindenden IP-Subnetze an den Router entsprechend angebunden werden müssen. Dies führt dazu, dass jedes IP-Subnetz an einen Port im Router angeschlossen werden muss.

„Alte Netzwerke“ als nostalgische Form von Netzwerken: In der Vergangenheit, als noch keine Switches im Einsatz waren und man keine VLANs bilden konnte, wurden die klassischen IP-Subnetze – quasi wie getrennte Netzwerksegmente – an physikalische Ports in Routern angeschlossen. Die Zeiten, als man allein physikalische Router zur Vernetzung von klassischen IP-Subnetzen installiert hat, sind vorbei und heutzutage wird die Routing-Funktion in modernen Netzwerken vorrangig durch die Layer-3-Switches erbracht (s. Anschnitt 9.2.2 im unseren Buch), genauer gesagt durch die Routing-Instanzen in Layer-3-Switches, und die physikalischen Router findet man – praktisch nur – am Internetzugang. „Alte Netzwerke“, die durch eine Vernetzung von IP-Subnetzen mithilfe klassischer und physikalischer Router gebildet werden, also ohne Layer-3-Switching, haben bereits heute nur nostalgische Bedeutung.

VLAN Tagging: In heutigen, modernen Netzwerken findet man besonders in deren inneren Bereichen keine physikalischen, in Form von Hardware-Komponenten installierten Router mehr, sondern nur am Netzwerkrand, um das Netzwerk an das Internet anzubinden. Im inneren Netzwerkbereich verwendet man heutzutage Layer-2-Switches als Access Switches und Multilayer-Switches (d.h. Layer-2/3-Switches) als Distribution oder als Aggregation Switches. Die Funktion „Layer-3-Switching“ stellt eine Routing-Instanz in einem Layer-2/3-Switch dar. Falls mehrere als VLANs eingerichtete IP-Subnetze über die Routing-Instanz im Layer-2/3-Switch miteinander verbunden werden, müssen sie an die Routing-Instanz entsprechend angebunden werden. Dies wird über virtuelle Links realisiert und ist mithilfe von sog. VLAN Tagging möglich. Wie dies erfolgen kann, haben wir im Buch – Abschnitt 4.4.2 – ausführlich erläutern.

Die Möglichkeiten der logischen Netzwerkstrukturierung möchten wir – wegen der Komplexität – hier nur kurz am Beispiel der Bildung von VLANs im Server-LAN darstellen. Zuerst sollten wir Ihnen aber zeigen, welche Multilayer-Strukturen in Server-LANs bei Nutzung von virtuellen Servern entstehen. Diese Multilayer-Strukturen haben eine große Auswirkung auf die Gruppierung von Netzwerkressourcen und folglich auf die Bildung von VLANs.

Multilayer-Strukturen von Server-LANs mit virtuellen Servern

Dank der Virtualisierung von Rechnern besteht heutzutage in Datacentern die Möglichkeit, auf einem physischen Server ein virtuelles Netzwerk, welches aus mehreren virtuellen Ethernet Switches und aus den über sie verbundenen virtuellen Rechnern, sog. virtuellen Maschinen (Virtual Machines, VMs), besteht, zur Verfügung zu stellen. Die Nutzung von virtuellen Maschinen als Server – also die Servervirtualisierung – führt dazu, dass die Bildung von VLANs im Server-LAN im Vergleich zur Bildung von VLANs im Client-LAN viel komplexer ist. Die Servervirtualisierung und das immer öfter dabei eingesetzte Konzept von BPE (Bridge Port Extension) haben eine große Auswirkung auf die Gestaltung von Server-LANs und mithin auch von Datacentern. Wie Abbildung 4.4-6 im Buch zeigt, entsteht im Server-LAN eine Multilayer-Struktur – und sie beeinflusst  die Art und Weise der Bildung von VLANs in Server-LANs.

Abbildung 4.4-6 im Fachbuch - Badach, A., Rieger, S.: Netzwerkprojekte, Hanser

Die hier gezeigte Multilayer-Struktur eines Server-LAN kann wie folgt kurz charakterisiert werden:

  • Aggregation Layer: Zu diesem Layer gehören Aggregation Switches. An einen Aggregation Switch können sowohl herkömmliche Access Switches (ASs) als auch Port Extender (PEs) angeschlossen werden.
  • Server Access Layer: Zu diesem Layer gehören herkömmliche Access Switches und PEs zum Anschluss von physikalischen Servern, wobei einige von ihnen Wirt-Server mit virtuellen Servern sein können.
  • Server Layer: Im Allgemeinen sind in diesem Layer folgende zwei Teile zu unterscheiden: „Sublayer mit physikalischen Servern“ und „Sublayer mit virtuellen Servern“.

Ein Wirt-Server mit virtuellen Servern kann ein oder auch mehrere virtuelle Netzwerke enthalten, die hierarchisch und sogar baumartig strukturiert sein können. Demzufolge kann der Sublayer mit virtuellen Servern noch weiter aufgeteilt werden, sodass in einem Wirt-Server folgende funktionelle Sublayer vorkommen können:

  • Sublayer mit Embedded Switches: Hierbei handelt es sich um Layer-2-Switches (Ethernet-Switches), die auf Ethernet-Adapterkarten – insbesondere auf 10GE-, 40GE- bzw. 100GE-Adapterkarten – von Wirt-Servern als Embedded-Systems realisiert werden. Dies ist durch die sog. I/O-Virtualisierung (Input/Output) möglich. Einige 10GE-Adapterkarten realisieren bereits die I/O-Virtualisierung gemäß der Spezifikation SR-IOV (Single Root I/O Virtualization), um virtuellen Maschinen einen direkten Zugriff auf die Netzwerkkarte zu ermöglichen. Zusätzlich realisieren solche Adapterkarten teilweise bereits eingebettete virtuelle Switches (VEB oder VEPA) – um beispielsweise mehrere emulierte Adapterkarten zur Anbindung von virtuellen Servern einfach zu verwalten und zur Verfügung zu stellen. In den Wirt-Servern A, C, D und E ist das der Fall – siehe hierfür EVB (Edge Virtual Bridging).
  • Sublayer mit Software-Switches: Zu diesem Sublayer gehören die in Wirt-Servern B, C und E innerhalb von sog. Hypervisors softwaremäßig realisierten Switches. Der Hypervisor in einem Wirt-Server stellt eine Software-Komponente dar, die es mehreren auf dem Wirt-Server implementierten virtuellen Rechnern ermöglicht, Hardware gemeinsam zu nutzen.
  • Sublayer mit virtuellen Servern: Diesem Sublayer werden die in Wirt-Servern implementierten virtuellen Server zugeordnet.

Die in Abbildung 4.4-6 gezeigte Multilayer-Struktur eines Server-LAN mit virtuellen Servern muss bei der Bildung von VLANs im Server-LAN berücksichtigt werden. Wie dies erfolgen kann, haben wir im Abschnitt 4.4.2 ausführlich dargestellt. Hier möchten wir nur die  Bildung von VLANs im Server-LAN kurz vorstellen.

Bildung von VLANs im Server-LAN

Unter Berücksichtigung der in Abbildung 4.4-6 dargestellten Multilayer-Struktur vom Server-LAN mit Servervirtualisierung zeigt Abbildung 4.4-9 ein Modell für die Bildung von Access-Switch-über­greifenden VLANs im Server-LAN. Es sei angemerkt, dass VLANs in einem Server-LAN sowohl aus physikalischen Servern als auch aus virtuellen gebildet werden können. Im hier gezeigten Beispiel fungiert die L3-Switching-Instanz (L3: Layer 3) im Aggregation Switch als Router mit virtuellen Ports. Hierbei dienen die IP-Adressen von virtuellen Ports der L3-Switching-Instanz als Default Gateways von hier als IP-Subnetzen definierten VLANs. Somit müssen die VLANs an diese Ports in der L3-Switching-Instanz über virtuelle Verbindungen, welche hier mithilfe von VLAN-Tagging und Q-in-Q-Tagging entstehen, angebunden werden. Die Art und Weise, wie VLANs an die Routing-Instanzen in L3-Switches virtuell angebunden werden können, haben wir im Buch ausführlich erläutert und illustriert.

Abbildung 4.4-9 im Fachbuch - Badach, A., Rieger, S.: Netzwerkprojekte, Hanser

Wie in Abbildung 4.4-9 ersichtlich ist, können alle Server im Server-LAN, die über Access Switches an einen Aggregation Switch angebunden sind, beliebig gruppiert, als VLANs eingerichtet und als IP-Subnetze definiert werden. Der Aggregation Switch unterstützt die Kommunikation zwischen Servern wie folgt:

  • Inter-VLAN-Routing – als Kommunikation zwischen VLANs:  Diese ermöglicht die L3-Switching-Instanz im Aggregation Switch, die hierfür eine Routing-Funktion realisiert.
  • Intra-VLAN-Kommunikation – als Kommunikation zwischen Servern in einem „Server-Access-Switch-übergreifenden VLAN“:  Diese verläuft über einen Aggregation Switch, der als Layer-2-Switch dient.

Die Kommunikation zwischen Servern, die über Access Switches an verschiedene Aggregation Switches angebunden sind, muss über das Core-Netzwerk verlaufen.

Es sei hervorgehoben, dass die in Abbildung 4.4-9 gezeigten VLANs mit virtuellen Servern sich nur über Wirt-Server erstrecken, welche lediglich über die L3-Switching-Instanz in einem Aggregation Switch untereinander vernetzt sind. Es besteht aber auch die Möglichkeit, VLANs mit virtuellen Servern einzurichten, welche sich über beliebig und sogar weltweit verteilte Wirt-Server erstrecken. Ein so verteiltes VLAN kann z.B. als VXLAN (Virtual eXtensible LAN) realisiert werden.

Mit dieser kurzen Darstellung einiger Grundlagen zur Entwicklung des Systemkonzepts möchten wir diesen Beitrag abschließen und verbleiben bis zum nächsten Beitrag über die Netzwerkdokumentation in der Hoffnung, mit den hier präsentierten Grundlagen Ihnen einige Ideen „vermittelt“ zu haben.

Ihre Autoren

Anatol Badach und Sebastian Rieger

 

Weitere Informationen zum  Thema finden Sie auf der Buchseite Netzwerkprojekte. Planung, Realisierung, Dokumentation und Sicherheit von Netzwerken.

Badach/Rieger, Netzwerkprojekte