Netzwerk-Emulatoren – Ihre virtuelle Laborumgebung zum Testen und Lernen
von Felix Gilleßen und Michael Schneiders
In den meisten Unternehmen ist das Netzwerk von hoher Relevanz. Daher sollten Testumgebungen und Labore in keinem IT-Betrieb fehlen. Hier lassen sich unterschiedlichste Szenarien wie kundenspezifische Konfigurationen oder neue Funktionen und Ansätze zur Netzwerkautomatisierung vor dem Einsatz in Produktivumgebungen testen. Es können zudem Fehler nachgestellt und Weiterbildungen der Mitarbeiter unterstützt werden. Netzwerk-Emulatoren bieten dies als virtualisierte Umgebung und noch vieles mehr. An dieser Stelle werden wir die bekanntesten Netzwerk-Emulatoren vorstellen und vergleichen sowie einen Überblick über die verschiedenen Techniken und Varianten zur Implementierung geben.
Interoperabilität von Videokonferenzen – ein (zum Teil ernüchternder) Bericht aus der Praxis
von Leonie Herden
Die Nutzung von Videokonferenzen ist aus dem Berufsalltag nicht mehr wegzudenken. Doch Videokonferenz ist nicht gleich Videokonferenz. Insbesondere die Fülle an Anbietern und Lösungen führt nicht selten dazu, dass kein einheitliches Benutzererlebnis erreicht werden kann. Dies gilt sogar bei unternehmensinterner Kommunikation, also bei Konferenzen, bei denen sämtliche Teilnehmer ohnehin ausschließlich Endpunkte eines Herstellers nutzen sollten. Obwohl in diesem Fall sowohl die Lösung als auch die genutzten Clients in eigener Verantwortung sind, sind auch hier oft „Altlasten“ in Form von älterer Hardware, schlecht ausgestatteten Konferenzräumen oder einer unzureichenden Infrastruktur anzutreffen. Bei unternehmensübergreifenden Konferenzen sind darüber hinaus oft verschiedene Clients im Einsatz, die einen reibungslosen Ablauf zusätzlich erschweren. Die Herausforderungen, die wir in vergangenen sowie derzeitigen Projekten antreffen, sind ebenso vielfältig wie der Markt der Videokonferenzlösungen: von der Vereinfachung der Teilnahme an Videokonferenzen unterschiedlicher Hersteller über die Integration einer Videokonferenzlösung in die eigene IT-Landschaft bis hin zu der Frage, wie die vorhandene Hardware in Besprechungsräumen genutzt werden kann. Im folgenden Artikel wollen wir uns diesen Herausforderungen stellen und untersuchen, wie es um die Interoperabilität verschiedener Videokonferenzlösungen steht.
Zukunft der Backbone-Netze
von Dr. Behrooz Moayeri
Mittlere bis große Local Area Networks (LAN) werden rund um einen Kernbereich namens Backbone gebaut. Es wird immer wichtiger, in solchen Backbones voneinander logisch getrennte Netzbereiche bilden zu können. Diese sogenannte Mandantenfähigkeit ist überall dort erforderlich, wenn Bedarf nach Netztrennung zwischen Mandanten bzw. Nutzergruppen besteht. Typische Szenarien sind die Isolierung industrieller Anwendungen von der klassischen Bürokommunikation, die Bildung logisch getrennter Netze für Gebäudeautomation und die Einrichtung virtueller privater Netze für verschiedene Mieter bzw. sonstige Nutzergruppen.
Ist QUIC schneller als TCP?
von Dr. Joachim Wetzlar
Vor 25 Jahren wurde die Domain google.com registriert – davon haben Sie sicher gehört. Inzwischen beherrscht die Firma Google einen wesentlichen Teil des Internets. Das betrifft vor allem die Welt der Anwendungen. Doch wussten Sie, dass Google inzwischen sogar ein neues Transport-Protokoll entwickelt hat, das in Konkurrenz zum altbekannten TCP tritt? Das neue Protokoll heißt QUIC.
Auslagerung eines Rechenzentrums in die Cloud – eine gute Vorbereitung zahlt sich aus
mit Martin Egerter sprach Christiane Zweipfennig
Viele Unternehmen und Institutionen versprechen sich Vorteile durch die Nutzung von Clouds. Bei der Entscheidung für die Auslagerung der IT-Anwendungen in die Cloud wird oft nicht bedacht, wie viel Aufwand dieses Vorhaben bedeuten kann. Von der Reorganisation der internen Prozesse bis zur Modernisierung der IT – so ein Umzug ist nicht selten ein Großprojekt, in dem viel Fehlerpotential steckt und für das Know-how und eine gründliche Vorbereitung gefordert ist.
Zukunft der Backbone-Netze
Mittlere bis große Local Area Networks (LAN) werden rund um einen Kernbereich namens Backbone gebaut. Es wird immer wichtiger, in solchen Backbones voneinander logisch getrennte Netzbereiche bilden zu können. Diese sogenannte Mandantenfähigkeit ist überall dort erforderlich, wenn Bedarf nach Netztrennung zwischen Mandanten bzw. Nutzergruppen besteht. Typische Szenarien sind die Isolierung industrieller Anwendungen von der klassischen Bürokommunikation, die Bildung logisch getrennter Netze für Gebäudeautomation und die Einrichtung virtueller privater Netze für verschiedene Mieter bzw. sonstige Nutzergruppen.
Für Service-Provider im Bereich Wide Area Networks (WAN) und Metropolitan Area Networks (MAN) ist die Notwendigkeit von Virtual Private Networks (VPN) nichts Neues. Seit über 20 Jahren betreiben Provider Netze, in denen die Bildung verschiedener VPNs für verschiedene Kunden Standard ist. Dazu nutzen Provider hauptsächlich Multi-Protocol Label Switching (MPLS). Daher war MPLS jahrelang eine plausible Antwort auf die Frage nach der einzusetzenden Technologie für mandantenfähige Backbone-Netze.
MPLS ist jedoch nicht die einzig denkbare Antwort.
VLAN als einfachste Lösung
Das Verfahren Virtual Local Area Network (VLAN) ist wie MPLS seit über zwei Jahrzehnten standardisiert. Während MPLS in Requests for Comment (RFC) spezifiziert ist, die von der Internet Engineering Task Force (IETF) ausgearbeitet werden, gehört VLAN zu den Standards des Institute of Electrical and Electronic Engineers (IEEE), konkret zu IEEE 802, darin zum Gegenstand der mittlerweile sehr umfangreichen Standardreihe IEEE 802.1 (Bridging).
Die VLAN-Lösung ist einfach: Ein in 12 Bits (VLAN-ID) kodierter Wert im Kopf des Ethernet-Rahmens kann als Kennung für ein virtuelles Netz verwendet werden. Ein Switch (bzw. Bridge im Sinne der IEEE-Standards) überträgt keine Pakete (Rahmen, um die korrekte IEEE-Bezeichnung zu verwenden) von einem VLAN zum anderen. Für jedes VLAN gibt es eine eigene Adresstabelle. Jede MAC-Adresse (Media-Access-Control-Adresse im Sinne aller Layer-2-Standards) gehört eindeutig zu einem VLAN.
Für einfache Mandantentrennung reichen VLANs aus. So sind viele Netze aufgebaut, in denen eine logische Trennung zwischen verschiedenen Bereichen erforderlich ist. Das wird so bleiben. Auch der billigste Switch unterstützt die Bildung verschiedener VLANs.
Virtual Routing and Forwarding
VLANs sorgen für Netztrennung auf Layer-2-Ebene. Sie reichen nicht aus, wenn die verschiedenen virtuell zu trennenden Netze jeweils aus verschiedenen IP-Subnetzen bzw. verschiedenen mit IP-Subnetzen korrespondierenden Broadcast-Domänen bestehen. Je größer ein logisches Netz, desto höher ist die Wahrscheinlichkeit, dass man es in verschiedene Broadcast-Domänen aufteilen muss, um nicht an die Grenzen der Skalierbarkeit einer großen, „flachen“ Broadcast-Domäne zu stoßen.
Daher ist Virtual Routing and Forwarding (VRF) eine sinnvolle Ergänzung von VLAN. Während VLANs auf Bridges (Layer-2-Switches) sowie auf Ethernet-Verbindungen für Netztrennung sorgen, können auf Routern (Layer-3-Switches) verschiedene VRF-Instanzen für die zu trennenden logischen Netze gebildet werden. VRF steht für Virtual Routing and Forwarding. Analog zu VLAN auf Layer-2-Switches sorgt die VRF-Trennung auf Layer-3-Komponenten dafür, dass diese keine Pakete von einer zur anderen VRF-Instanz routen. Routing erfolgt nur innerhalb einer VRF-Instanz. Jede solche Instanz hat eine eigene Routing-Tabelle.
Die Kombination von VLAN und VRF ist seit über einem Jahrzehnt sehr geläufig. Auch das wird so bleiben. Selbst preiswerte Layer-3-Komponenten unterstützen getrennte VRFs.
MPLS für einfachere VPN-Einrichtung
Die Kombination von VLAN und VRF für die Paketweiterleitung (Data Plane) benötigt keinen komplexen Steuerungsmechanismus (Control Plane). Das bedeutet, dass die Komplexität auf die menschlichen Administratoren übertragen wird (oder im besten Fall auf eine schlaue Management-Instanz, Management Plane).
Die ausschließliche Nutzung von VLAN und VRF zur Mandantentrennung kann daher in einem großen Netz recht mühsam sein, denn jede involvierte Komponente muss dafür unabhängig von anderen und einzeln konfiguriert werden. Mit zunehmender Komplexität steigt auch die Wahrscheinlichkeit von Fehlern in der Konfiguration. Auch der Umstand, dass es wegen des 12-Bit-Felds im VLAN-Header maximal 4096 verschiedene VLAN-IDs gibt, kann in großen Netzen zu einem Problem werden.
Warum also nicht MPLS einsetzen, zumal es de facto der Standard für Netztrennung in Providernetzen ist? MPLS im engeren Sinne ist ein Paketformat der Schicht „zweieinhalb“, d.h. unterhalb von IP (Layer 3) und oberhalb von Ethernet (Layer 2). So weit, so einfach. Doch das ist nur die Data Plane. Die Musik spielt bei MPLS auf der Control Plane, also bei der automatischen Steuerung des Netzes. Dazu wird meistens die Kombination aus Multi-Protocol Border Gateway Protocol (MP-BGP) und Label Distribution Protocol (LDP) genutzt. MP-BGP unterstützt die Definition verschiedener Adresstypen (Address Families). Eine gängige Adressierungsvariante besteht aus VPN-Bezeichnung und IP-Adresse. Verwendet man diese Kombination für den Austausch von Erreichbarkeitsinformationen mittels BGP, können Adresstabellen auf Komponenten automatisch aufgebaut werden, und zwar unter Berücksichtigung der VPN-Trennung. Daneben gibt es noch LDP zum Austausch von Label-Werten, die im MPLS-Header eingesetzt werden und dazu dienen, dass MPLS-Komponenten die Pakete anhand der Labels weiterleiten. Das neue Verfahren Segment Routing kann als Alternative zu LDP genutzt werden.
Evolution in mandantenfähigen Providernetzen
Lange Zeit reichte für Service-Provider die Trennung verschiedener Layer-3-VPN für verschiedene Kunden aus. Die gängigste Anforderung der Provider-Kunden besteht darin, dass der Provider ein geroutetes, virtuelles privates Netz für einen Kunden bildet, getrennt vom Internet und getrennt von den Netzen aller anderen Kunden. Damit kann jeder Kunde seine eigenen Standortnetze (LAN) mit dem eigenen VPN im Provider-MPLS-WAN verbinden und so die Vernetzung der Standorte untereinander bewerkstelligen.
Auch wenn in den meisten Fällen ein Layer-3-VPN ausreicht, gibt es immer wieder Fälle, in denen ein Ethernet-VPN (EVPN) gefordert ist. Ein EVPN kann auf Routing oder Bridging basieren, auch Integrated Routing and Bridging (IRB) genannt. Dazu wurden Providernetze im Sinne einer Evolution weiterentwickelt. Eine neue Address Family für EVPN wurde dem BGP-Standard hinzugefügt. Dieses Adressformat besteht aus IP- und MAC-Adressinformation. MP-BGP kann damit sowohl IP- als auch MAC-Adresstabellen automatisch aktualisieren.
Hier trafen sich zwei parallele Entwicklungen in Provider- und RZ-Netzen. EVPN kann heute in beiden Bereichen für Netztrennung genutzt werden.
Natürlich braucht man neben der Control Plane auch eine Data Plane, die eine Differenzierung verschiedener VPNs unterstützt. Es handelt sich dabei immer um Encapsulation, d.h. das Einbetten eines Pakets in einem anderen. Neben MPLS Encapsulation (mit MPLS-Header) gibt es noch VXLAN (Virtual Extensible LAN), QinQ (Hinzufügen eines zweiten VLAN-Tags), MAC-in-MAC (Hinzufügen eines zweiten MAC-Headers) usw. Letzteres wird häufig in Kombination mit Shortest Path Bridging (SPB) genutzt, einer vom IEEE standardisierten Control Plane.
Zentrale Control Plane
Die oben genannten Verfahren nutzen alle eine verteilte Control Plane. Jede Komponente hat dabei eine autarke, mit anderen Komponenten kooperierende Steuerungsebene, nach dem Modell im Internet und eben auch in MPLS-Netzen.
Eine verteilte Control Plane ist robust und skalierbar, hat jedoch den Nachteil, dass nicht alles von der Control Plane automatisiert wird, wie in meinem letzten Geleit im Insider vom September 2022 erwähnt. Auf jeder Komponente müssen die Zugehörigkeit von Ports zu virtuellen Netzen, die BGP-Parameter etc. konfiguriert werden. Ein gutes Management-Tool kann mehr Automatisierung ermöglichen.
Alternativ kann eine zentrale Control Plane genutzt werden, analog zum Wireless LAN. Der zentrale Controller ist die Intelligenz im Netz. Die Komponenten werden von ihm gesteuert. Vor knapp zehn Jahren entstand die Idee, dies zu standardisieren. Begriffe wie Software Defined Network (SDN) und Open Flow wurden geprägt. Geblieben ist von dieser Idee der proprietäre Ansatz. Der Controller eines Herstellers kann nur in Kombination mit bestimmten Switches desselben Herstellers für die Bildung eines zentral gesteuerten mandantenfähigen Backbones genutzt werden. Das prominenteste Beispiel ist Software Defined Access (SDA) des Herstellers Cisco Systems.
Fazit
In diesem Beitrag konnte ich nicht auf alle möglichen Varianten eines mandantenfähigen Backbones eingehen. Die wichtigste Botschaft besteht aus einer guten und einer schlechten. Zunächst die gute: Sie haben die Wahl zwischen verschiedenen Ansätzen, die in absehbarer Zeit nicht vom Markt verschwinden werden. Und die schlechte: Mit der Wahl eines Herstellers von Komponenten zum Aufbau eines mandantenfähigen Netzes bleiben Sie zunächst an ein bestimmtes Produktportfolio gebunden. Zwar bieten Ansätze mit einer verteilten Control Plane den Vorteil, dass durch die Orientierung an Standards die Interoperabilität zwischen verschiedenen Produkten möglich ist, doch meistens werden in einem Backbone dennoch nur Komponenten desselben Herstellers genutzt.
Dein Kommentar
An Diskussion beteiligen?Hinterlassen Sie uns Ihren Kommentar!