Grundlagen moderner Netzwerktechnologien im Überblick – Teil 96

Strukturprotokolle der Datenkommunikation – virtuelle Netze

03.02.2011 | Autor / Redakteur: Dr. Franz-Joachim Kauffels / Andreas Donner

Mittels virtueller Netze können Gruppen-Zugehörigkeiten und Netzgrenzen auch über weite Distanzen realisiert werden
Mittels virtueller Netze können Gruppen-Zugehörigkeiten und Netzgrenzen auch über weite Distanzen realisiert werden

Virtuelle Netze sind ein technologisches Konzept zur Implementierung logischer Gruppen innerhalb eines Netzes mittels Switches auf Schicht 2. Logische Gruppen können reale Workgroups oder andere Teilnehmergruppierungen sowie Geräte und Software oder Teilnetze sein. Derartige Netz-Eigenschaften nennt man auch Mehrmandantenfähigkeit.

Virtuelle Netze werden durch eine Menge von Switches aufgebaut, die ihrerseits durch ein Backbone oder direkt miteinander verbunden sind. Von der Zielsetzung her gibt es keine Unterschiede zwischen dem lokalen Bereich und einem größeren Unternehmensnetz, welches z.B. aus mehreren lokalen Bereichen besteht.

Aber auch andere Übertragungstechniken auf dem Wide Area Bereich, wie Frame Relay oder IP over SONET sind extrem leistungsfähig und können in die Konstruktion virtueller Netze einbezogen werden. Dies findet vor allem Anklang bei der Realisierung geschützter Netze zwischen Organisationen, die z.B. Handel miteinander treiben und zwar die Methoden, aber nicht die Übertragungswege des allgemeinen Internets ungeschützt nutzen sondern ein so genanntes Extranet aufbauen wollen, bei dem nur definierte Partner miteinander verschlüsselt kommunizieren können.

Wir sprechen daher zunächst allgemein von virtuellen Netzen, ohne explizite Entfernungseinschränkung. Virtuelle Netze benutzen so genannte „Membership Rules“ zur Definition der Zugehörigkeit von Stationen zu logischen Workgroups und implementieren Schaltergruppen (Switching Fabrics) zur Verbindung der Mitglieder der logischen Workgroups. Dieser Ansatz erlaubt die Zugehörigkeit zu einer logischen Workgroup unabhängig vom physischen Ort des Arbeitsplatzrechners des Teilnehmers.

Virtuelle Netze vereinigen die Vorteile, die man normalerweise mit durch Brücken verbundenen Netzen assoziiert, wie leichtes Hinzufügen, Entfernen oder Ändern einer Station, zusammen mit dem Vorzug der logischen Systemtrennung/Strukturierung durch Router, ohne jedoch die Durchsatzprobleme von Brücken und die schwierige Konfiguration großer Netze mit Routern hinnehmen zu müssen.

Die Definition eines Virtuellen Netzes

Eine Methode zur Definition eines virtuellen Netzes ist die Zuordnung von Ports. Alle Stationen, die an einem bestimmten Port eines Ethernet-Switches liegen, werden als Teil des virtuellen Netzes aufgefasst, und eine Menge von Ethernet-Switch-Ports im physikalischen Gesamtnetz bildet das gesamte virtuelle Netz. Das kann nur unter der Voraussetzung transparent funktionieren, wenn die Ethernet-Switches mit einer skalierbaren Hochgeschwindigkeitstechnologie untereinander verbunden sind.

Ein virtuelles Netz hat, wenn die richtige Backbone-Technologie verwendet wird, kaum Ausdehnungsbeschränkungen. Der gesamte Verkehr im virtuellen Netz wird mit Packet Switching realisiert, d.h. die Adressierung erfolgt im flachen Adressraum der Schicht-2-Adressen (Data Link Adressen). Die Data-Link-Switches besitzen einen Lernalgorithmus, der dem in traditionellen Brücken ähnlich ist. Dies bedeutet, dass eine Station den physischen Ort einfach wechseln kann und dennoch Mitglied des virtuellen Netzes bleibt, ohne dass eine Rekonfiguration in der Endstation erforderlich wäre.

So können ortsunabhängige Workgroups geschaffen werden. Außerdem hat die Orientierung an den Data Link-Adressen den Vorteil der Protokolltransparenz: Im Gegensatz zu routerbasierten Techniken können auch innerhalb einer Arbeitsgruppe unterschiedliche Protokolle der Schichten 3 bis 7 benutzt werden. Dies ist z.B. häufiger bei PC-Netzen der Fall, in denen IP und IPX koexistieren. Das virtuelle Netz verträgt sogar nicht-routbare Protokolle wie IBMs NetBIOS oder Digitals LAT, sodass die Investitionen in entsprechende Einrichtungen wie z.B. Terminal Server geschützt werden können.

Durch diese Konstruktion verbleibt der Verkehr innerhalb einer logischen Workgroup bzw. innerhalb eines virtuellen Netzes. Broadcasts auf einem virtuellen Netz werden keinesfalls auf ein anderes virtuelles Netz weitergeleitet. Die virtuellen Netze erscheinen als vollständig unabhängige Switching Fabrics. Von daher schirmen die virtuellen Netze ihren eigenen Verkehr ab, was wiederum eine Routing-Funktion zwischen den virtuellen Netzen wünschenswert macht, jedoch ohne die Kopplung von logischer Workgroup und physischen Orten hinnehmen zu müssen.

Dies ist aber bei den virtuellen Netzen im Grunde genommen durch konventionelle Router-Technologie zu erreichen. Durch die Ortstransparenz des virtuellen Netzes kann man an eine Stelle des physischen Netzes einen Router stellen und diesen mit so vielen physischen Ports verbinden, wie es virtuelle Netze gibt. Danach muss man nur jeden dieser Ports einem virtuellen Netz zuordnen, und der Router ist für alle Teilnehmer dieses virtuellen Netzes erreichbar.

Möchte ein Teilnehmer einer logischen Workgroup aus seinem virtuellen Netz eine Nachricht an einen Teilnehmer einer anderen logischen Workgroup in einem anderen virtuellen Netz schicken oder hier eine Dienstleistung benutzen, kann er dies auf die gleiche Weise machen wie bei ortsfesten physischen Subnetzen, da die durch die virtuellen Netze gebildeten logischen ortsunabhängigen Netze von diesem Router wie herkömmliche Subnetze untereinander verbunden werden.

Da die Verbindungen der virtuellen Netze auf dem Data Link Layer geschaltet werden, sind keinerlei Modifikationen in der Software für die Vermittlungsschicht erforderlich. Hierbei liegt natürlich die Annahme zugrunde, dass die logischen Gruppen sinnvoll und nach innerer Zusammengehörigkeit gebildet werden und dass der Löwenanteil des Verkehrs innerhalb eines virtuellen Netzes verbleibt.

Die verwendete Router-Technologie muss von hoher Qualität und hohem Durchsatz sein, um keine gravierenden Unterschiede zwischen der Bearbeitung eines Pakets innerhalb eines virtuellen Netzes oder zwischen zwei virtuellen Netzen aufkommen zu lassen.

Eine Schlüsselrolle bei der Technologie der virtuellen Netze kommt natürlich dem Backbone zu, denn er muss letztlich für die Ortstransparenz sorgen, was bedeutet, dass zwei voneinander entfernte und an unterschiedliche Switches angeschlossene Stationen eines virtuellen Netzes, bezogen auf die Ende-zu-Ende-Leistung der Kommunikation gegenüber zwei Stationen des gleichen virtuellen Netzes, die am gleichen Hub hängen, nicht benachteiligt werden. Das Backbone muss in der Lage sein, viele virtuelle Netze gleichzeitig zu bedienen, und es muss einen Mechanismus im Backbone geben, der die Pakete bestimmten virtuellen Netzen zuordnet, sodass die (Ethernet-)Switches wissen, welche Ports nun ein über das Backbone kommendes Paket empfangen sollten und welche nicht.

Wegen der hohen angestrebten Geschwindigkeit und den großen Anforderungen an die Ortstransparenz kann dies nach heutigem Stand der Technik kein Mechanismus sein, der auf der gleichen Komplexitätsstufe steht wie die Paketverarbeitung bei Router-basierten Internetworks. Das bedeutet, dass der Mechanismus keine Variante eines auf der Auswertung eines Header der Vermittlungsschicht beruhenden Algorithmus sein kann.

Netzwerk-Management

Wir haben in diesem Abschnitt bislang eine portbasierte Definition für die Membership-Rules der Zugehörigkeit zu einem virtuellen Netz angenommen. Virtuelle Netze können natürlich auch durch andere Abbildungen definiert werden, wie durch die Zugehörigkeit zu einem bestimmten Protokollstack, die Zugehörigkeit zu einer bestimmten Liste von Stationsadressen usw. Intelligente Netzwerk-Management-Anwendungen müssen in der Lage sein, andere Membership-Rules automatisch auf Ports abzubilden.

Die Netzwerk-Management-Anwendungen sollten auf den modernen Management-Standards basieren und eine einfach zu bedienende graphische Oberfläche besitzen.

weiter mit: Virtuelle Netze nach IEEE 802.1Q

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2049526 / Netzwerk Basics)