Netzwerkdesigns für dynamische Routing-Protokolle

Die neue Generation von Netzwerkgeräten hat Netzwerkdesigns zur Folge, die auf dynamischem Routing basieren. Dabei gibt es aber einiges zu beachten.

Netzwerkgeräte sind derart leistungsstark geworden, dass Bedenken hinsichtlich einer übermäßigen Inanspruchnahme...

der Hardwareressourcen so gut wie verschwunden sind. Hochaktuelle Router, Switches und Firewalls können viel mehr als ihre Vorgänger, und die Netzwerkdesigns passen sich diesem Trend an.

Die Netzwerkdesigns entwickeln sich weg vom klassischen Drei-Schichten-Modell, das aus geswitchter Zugriffsschicht sowie gerouteter Verteilungs- und Kernschicht besteht. Der Trend geht hin zu einem vollständig gerouteten Modell. Dieses nutzt dynamische Routing-Protokolle wie Open Shortest Path First (OSPF) und Enhanced Interior Gateway Routing Protocol (EIGR), die direkt in der Zugriffsschicht stecken.

Die Zugriffsschicht ist für die meisten End-Hosts der Eingangspunkt zu einem Netzwerk, und hier findet traditionell kein Routing statt. Stattdessen senden Zugriffs-Switches den gesamten Traffic, dessen Ziel außerhalb eines lokalen Subnetzes liegt, über Trunk-Verbindungen von Layer 2 an große Upstream-Switches, die das Routing und die Anwendung von Sicherheitsrichtlinien übernehmen.

In der Netzwerktechnik bezieht sich Layer 2 auf die Nutzung von MAC-Adressen (Media Access Control, Medienzugriffssteuerung) bei der Kommunikation zwischen Geräten innerhalb des gleichen Subnetzes. Layer 3 hingegen bezieht sich auf die Verwendung von IP-Adressen, um es dem Traffic zu ermöglichen, zwischen verschiedenen Subnetzen zu fließen. Das ist ein wichtiger Unterschied, weil dies zwei stark voneinander abweichende Methoden der Netzwerkkommunikation beschreibt.

Da selbst die heutigen Enterprise-Zugriffs-Switches aus dem Low-End-Bereich über genug Rechenleistung und Speicher verfügen, um den Traffic zu routen und Sicherheitsrichtlinien anzuwenden, kehren Techniker den herkömmlichen, auf Layer 2 basierenden Netzwerkdesigns mit geswitchter Zugriffsschicht zugunsten einer komplett gerouteten Topologie den Rücken. Dieses neuere Design bietet eine Reihe von entscheidenden Vorteilen gegenüber dem Drei-Schichten-Modell und löst etliche Probleme der traditionellen Layer-2-Zugriffsschicht. Allerdings gilt es auch, einige Nachteile zu berücksichtigen.

Größere VLANs, mehr Probleme

Bei klassischen Netzwerkdesigns werden virtuelle lokale Netzwerke, VLANs genannt, dazu eingesetzt, um bestimmten Traffic von anderem Traffic zu segmentieren. Das geschieht aus Gründen der Sicherheit, Administration oder Traffic-Steuerung. Durch die wachsende Zahl der IP-aktivierten Geräte, die sich mit einem Netzwerk verbinden, hat sich auch die Anzahl der VLANs in einer typischen Organisation erhöht. Noch wichtiger ist aber, dass die einzelnen VLANs selbst an Größe zugenommen haben.

Anlass zur Sorge gibt hierbei das Potenzial für Broadcast-Stürme und andere Arten von Flooding-Problemen von Layer 2. In einem sehr großen VLAN befinden sich so viele Geräte, dass ein Problem in Layer 2 einen erheblichen Teil der Produktionsumgebung negativ beeinflussen würde. Diese Fehlerdomäne kann derart groß werden, dass ein einziges Layer-2-Problem in der Lage ist, das gesamte Produktionsnetzwerk lahmzulegen. Obwohl es Methoden gibt, um das Risiko zu entschärfen, gehen viele IT-Abteilungen so vor, dass sie bei Bedarf einfach einen neuen Switch anschließen. Durch diesen Ansatz breiten sich die VLANs – und mit ihnen die Fehlerdomäne – jedoch immer weiter über das gesamte Unternehmen aus.

Darüber hinaus wird das Spanning Tree Protocol (STP) auf Layer 2 verwendet, um redundante physische Verbindungen zwischen Switches zu blockieren und auf diese Weise Schleifen zu verhindern. In Netzwerken mit Komponenten verschiedener Anbieter kann es schwierig sein, diese Methode zu konfigurieren. Und obwohl es sich um ein Standardverfahren handelt, wertet es nicht alle verfügbaren Verbindungen aus. Dieses Verhalten führt leider dazu, dass sich ein beträchtlicher Teil des Netzwerks weiter vollständig im Leerlauf befindet, bis es zu einem Fehler kommt. Zwar kann STP die Pfadwahl durch das Blockieren eines bestimmten Ports in gewissem Rahmen beeinflussen, lässt sich aber auf keinen Fall in hohem Maße anpassen oder ist selbstheilend.

Im Gegensatz dazu reduziert das Routing zur Zugriffsschicht die Größe der Fehlerdomäne drastisch, nutzt alle Verbindungen und bietet eine anpassbare, dynamische Netzwerkumgebung.

Richtig konfigurierte Netzwerkdesigns ohne inaktive Verbindungen

In einem ordnungsgemäß eingerichteten und vollständig gerouteten Netzwerk sind alle Verbindungen aktiv, obwohl nur ein Pfad gleichzeitig verwendet wird. Ein Techniker kann beim Load Balancing viele Verbindungen einbeziehen, die Pfadwahl proaktiv beeinflussen und genau festlegen, wie sich ein Netzwerk in verschiedenen Fehlerszenarien verhalten soll. Außerdem können Routing-Protokolle so konfiguriert werden, dass sie sehr schnell wieder konvergieren, wenn eine Verbindung sich nicht mehr erreichen lässt. Das bedeutet, der Traffic wird schnell und dynamisch wieder geroutet.

Allerdings gibt es bei einem vollständig gerouteten Netzwerk einige, wenn auch relativ kleine, Nachteile zu beachten. Einige Anwendungen benötigen eine Layer-2-Nachbarschaft, um richtig zu funktionieren, und häufig gibt es keinen Workaround. Hier wäre die Lösung, das klassische Design zu nutzen oder eine hybride Layer-2- und Layer-3-Zugriffsschicht zu implementieren. Dadurch werden das Design und die Verwaltung eines Netzwerks eine Spur komplexer.

Beim Routing zur Zugriffsschicht lassen sich die Sicherheitsrichtlinien nach wie vor einfach anwenden, sind jedoch nicht mehr mobil.

Einige Netzwerkgeräte erfordern ebenfalls eine Layer-2-Nachbarschaft – zum Beispiel Apple TV, das beispielsweise in Konferenzräumen erforderlich sein kann. In einer gerouteten Zugriffsschicht lässt sich dies durch einen Bonjour-Gateway lösen, aber ähnlich wie beim hybriden Design ist für ein korrektes Funktionieren zusätzliche Planung und Komplexität notwendig.

Sicherheitsrichtlinien erfordern zusätzlichen Aufwand

Ein gravierenderer Nachteil, den es zu berücksichtigen gilt, betrifft die Frage, wie sich Sicherheit in vollständig gerouteten Netzwerkdesigns implementieren lässt. Beim klassischen Design kann ein VLAN eine bestimmte Abteilung, ein bestimmter Gerätetyp oder geografischer Standort sein. Es ist relativ einfach, eine Sicherheitsrichtlinie auf ein VLAN anzuwenden, und weil das VLAN-Trunking an beliebiger Stelle erfolgen kann, sind die Sicherheitsrichtlinien sehr mobil.

Beim Routing zur Zugriffsschicht lassen sich die Sicherheitsrichtlinien nach wie vor einfach anwenden, sind jedoch nicht mehr mobil. Zum Beispiel gilt für einen Endnutzer mit einer sehr spezifischen, auf sein Subnetz angewendeten Zugriffssteuerungsliste diese Liste nicht mehr, wenn er zu einem anderen Subnetz wechselt. Als Abhilfe stehen eine ganze Reihe von Optionen zur Verfügung, etwa indem man mehrere VRF-Instanzen (Virtual Route Forwarding) implementiert, Client-basierte virtuelle private Netzwerke bereitstellt oder mit der neuesten NAC-Software (Network Access Control) experimentiert. Aber alle diese Möglichkeiten erhöhen die Komplexität des Netzwerks und verursachen – höchstwahrscheinlich – Mehrkosten.

Schließlich sind Zugriffs-Switches, die alle Routing-Funktionen von Layer 3 unterstützen, die für das vollständig geroutete Netzwerkdesign erforderlich sind, in der Regel teuer. Die Kostenfrage stellt sich vielleicht nicht für alle Organisationen, aber falls doch, so rechtfertigen die Vorteile durch die Änderung des Netzwerkdesigns möglicherweise nicht die Kosten, die aufgrund der Anschaffung neuer Hardware und Lizenzen entstehen.

Insbesondere in einem komplett neu aufgebauten Netzwerk gibt es wesentliche Vorteile, eine Topologie mit einem dynamischen Routing bis zur Zugriffsschicht zu erstellen. Eine verkleinerte Fehlerdomäne, raschere Konvergenz und größere Kontrolle über den Netzwerk-Traffic sind keine allzu geringen Vorteile. Wenn die Organisation den Eindruck hat, dass die Kosten und der Aufwand es wert sind, bedeutet das Implementieren einer vollständig gerouteten LAN-Topologie auf der Zugriffsschicht, dass Netzwerke dynamischer und widerstandsfähiger sind.

Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Die beste Netzwerk-Topologie für Data Center.

Wann Sie eine Leaf-Spine-Topologie im Data Center brauchen.

Artikel wurde zuletzt im Juli 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Netzwerk-Design

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchDataCenter.de

SearchEnterpriseSoftware.de

Close