L2-Kanäle oder etwas besseres

L2, L3


Heute kann man mit einem Schmunzeln darauf zurückblicken, wie die Menschheit das Ende der Welt im Jahr erwartet hatte. Die Welt blieb fortbestehen, jedoch passierte etwas ganz anderes und nicht weniger bedeutendes.


Historisch gesehen, beschritt die Welt damals eine regelrechte Computerrevolution v 3.0 – der Beginne der Cloudtechnologien, welche das verteilte Speichern und Bearbeiten von Daten ermöglichten. . War die vorausgegangene, „zweite Revolution“ der massenweise Übergang zu den Client-Server-technologien in den 80er Jahren, so kann man als erste wohl die Anfänge gleichzeitiges, paralleles Arbeitens mehrerer Benutzer am Terminals, die an sogenannte Mainframes (in den 60er Jahren) angeschlossen waren, bezeichnen. All diese Revolutionen waren friedlicher Natur und geschahen fast unbemerkt von Benutzern selbst – doch wurde davon die gesamte Geschäftswelt und Informationstechnologien betroffen.


Beim Umziehen der IT-Infrastruktur in die Cloud und dezentrale Rechenzentren wird das Organisieren von zuverlässigen Kanälen für die Datenübertragung zwischen Kunden und Rechenzentren zur zentraler Frage. Häufig sind im Internet Angebote von Providern anzutreffen, in denen von „physikalischen dedizierten Anbindungen, Glasfaser“, Kanal L2“, „VPN“ und ähnlichem die Rede ist. Schauen wir uns an, was dies in der Praxis bedeutet.

Verbindungskanäle – physisch und virtuell

Verbindungskanäle – physisch und virtuell 1. О1. Unter dem Bereitstellen einer „physikalischen Linie“ oder „Kanälen des zweiten Grades“ (L2) wird in der Regel folgendes verstanden: der Provider bietet einen dedizierten Label (Kupfer oder Glasfaser) oder etwa Radiokanäle zwischen Niederlassungen und Rechenzentren an. Beim Bestellen dieser Dienstleistung werden Sie in der Praxis meistens einen dedizierten Glasfaser-Kanal zur Miete erhalten. Diese Lösung ist insofern attraktiv, als dass der Provider selbst die zuverlässige Verbindung verantwortet (und etwa beim Beschädigen des Kabels selbsttätig Reparaturen ausführt). Im realen Leben ist der Kabel jedoch niemals homogen, und besteht aus einer Mehrzahl an verbundenen (zusammengeschweißten) Fragmenten, was sich auf seine Zuverlässigkeit auswirkt. Beim Verlegen des Glasfaserkabels muss der Provider zwangsläufig Verstärker, Verteiler und in Endpunkten Modems verwenden.


In Marketingblättern wird diese Lösung unter Vorbehalt zu L“ (Data-Link) des Netzwerksmodells OSI oder TCP/IP gezählt – sie ermöglicht quasi eine Funktionalität auf der Kommutationsebene der Frames Ethernet in LAN, ohne dass man sich über diverse Probleme des Routings der Pakete auf dem nächsten, netzwerkseitigen Niveau (IP) Gedanken machen muss. So gibt es, z.B., die Möglichkeit, in den virtuellen Netzwerken der Kunden eigene, sogenannte „private“ IP-Adressen anstatt von registrierten, einmaligen öffentlichen Adressen weiterhin zu verwenden. Weil die Nutzung von privaten IP-Adressen in lokalen Netzwerken sehr bequem ist, wurden den Benutzern gesonderte Reihen aus den Adressierung-Basisklassen zugeteilt:

  • 10.0.0.0 – 10.255.255.255 in der Klasse A (mit Subnetzmaske 255.0.0.0 oder /8 im alternativen Format);
  • 100.64.0.0 – 100.127.255.255 in der Klasse A (mit Subnetzmaske 255.192.0.0 oder /10);
  • 172.16.0.0 – 172.31.255.255 in der Klasse B (mit Subnetzmaske 255.240.0.0 oder /12);
  • 192.168.0.0 – 192.168.255.255 in der Klasse C (mit Submetzmaske 255.255.0.0 oder /16).


Solche Adressen werden von den Benutzern selbst für die „interne Verwendung“ ausgewählt und können sich gleichzeitig in Tausenden von Kundennetzwerken wiederholen, deshalb werden die Datenpakete mit privaten Adressen im Header im Internet nicht geroutet – um Chaos zu vermeiden. Bis zum Ausgang ins Internet müssen NAT (oder eine alternative Lösung) auf der Kundenseite verwendet werden.


Anmerkung: NAT - Network Address Translation (der Austausch von Netzwerkadressen der Transitpakete in TCP/IP-Netzwerken) – wird für das Routing der Pakete aus dem lokalen Netzwerk des Kunden in andere Netzwerke oder das Internet und umgekehrt (rein in das LAN des Kunden, zum Empfänger) verwendet.


Diese Herangehensweise (und wir sprechen über einen dedizierten Kanal) hat auch einen offensichtlichen Nachteil: im Falle eines Umzugs des Büros eines Kunden kann das Anschließen am neuen Ort problematisch sein und einen Wechsel des Providers erfordern.


Die Behauptung, das ein solcher Kanal bedeutend sicherer und von einem Angriff von außen oder Fehler des ungenügend qualifiziertes Personals besser geschützt sei, entblößt sich bei näherer Betrachtung als ein Mythos. In der Realität sind die meisten Sicherheitsprobleme hausgemacht und entstehen direkt beim Kunden durch den vielzitierten menschlichen Faktor.

Virtuelle Kanäle und VPN (Virtual Private Network) 2. Virtuelle Kanäle und auf ihnen aufbauende private Netzwerke VPN (Virtual Privat Network) sind sehr verbreitet und lösen eine Vielzahl an Problemen des Kunden.


Die Bereitstellung von „L2 VPN“ seitens des Providers gestattet die Wahl aus mehreren Dienstleistungen des „zweiten Grades“, L2:

VLAN der Kunde erhält ein virtuelles Netzwerk zwischen seinen Büros, Niederlassungen (in der Wirklichkeit wird der Traffic des Kunden über die aktive Infrastruktur des Providers geleitet, was die Geschwindigkeit drosselt);


Die Punkt-zu-Punkt-Verbindung PWE3 (mit anderen Worten, die „Emulation eines übergreifendes Quasidurchgangs“ in den Netzwerken mit Paketkommutation) gestattet es, Ethernet-Frames zwischen zwei Knoten so zu übertragen, als ob sie mit einem Kabel unmittelbar verbunden wären. In dieser Technologie ist es für den Kunden von Bedeutung, dass alle übertragenen Frames unverändert zum Endpunkt übertragen werden. Das Gleiche geschieht in die entgegengesetzte Richtung. Dies ist möglich, weil ein Frame des Kunden beim Erreichen des Provider-Routers in die Datenblöcke der höherstehenden Ebene (MPLS-Paket) weiter eingekapselt (addiert) und im Endpunkt wieder ausgekapselt wird.


Anmerkung: PWE3 (Pseudo-Wire Emulation Edge-to-Edge) ist ein Mechanismus, der aus der Sicht des Kunden eine dedizierte Verbindung erlaubt.


MPLS (MultiProtocol Label Switching) ist eine Technologie der Datenübertragung, bei welcher Paketen Transport- bzw. Servicemarker zugeteilt werden und der Weg des Datentransfers in Netzwerken allein durch die Werte solcher Marker bestimmt wird – ungeachtet der Übertragungsumgebung und mit jedem Protokoll. Im Züge des Routings können neue Marker hinzugefügt (bei Bedarf) oder entfernt werden, wenn ihre Arbeit erledigt ist. Die Inhalte der Pakete wird dabei nicht analysiert und nicht verändert.


VPLS – eine Technologie der Emulation eines lokalen Netzwerks mit Mehrpunkt-Verbindungen. In diesem Fall sieht das Netzwerk aus der Sicht des Kunden wie ein Kommutator aus, der die Tabelle der MAC-adressen aller Netzwerkgeräte enthält. Ein solcher virtueller „Kommutator“ verteilt Ethernet-Frames, die aus dem Netzwerk des Kunden kommen, weiter an ihre Empfänger; hierfür werden die Frames in MPLS-Pakete (s. oben) ein- und später ausgekapselt.


Anmerkung: VPLS – VPLS (Virtual Private LAN Service) ist ein Mechanismus, bei dem als der Kundensicht seine geografisch entfernte Netzwerke durch virtuelle L2-Verbindungen miteinander verbunden sind.


L3 VPN 3. Im Falle von „L3 VPN“ sieht das Provider-Netzwerk für den Kunden wie ein Router mit mehreren Interfaces aus. Deshalb findet die Verbindung des lokalen Netzwerks des Kunden mit dem Provider-Netzwerk auf der Ebene L3 des Netzwerksmodells OSI oder TCP/IP statt.


Öffentlichen IP-Adressen für die Punkte, an denen Netzwerke verbunden werden, können in Absprache mit dem Provider bestimmt werden (sie können dem Kunden gehören oder vom Provider zugeteilt werden). IP-Adressen werden vom Kunden auf seinen Routern von beiden Seiten eingerichtet (private – seitens seines Netzwerks, öffentliche – seitens des Providers); das weitere Routing der Datenpakete übernimmt der Provider. Aus technischer Sicht wird für diese Lösung MPLS (siehe oben) sowie Technologien wie GRE und IPSec verwendet.


Anmerkung: GRE (Generic Routing Encapsulation) ist ein Tunnelling-Protokol, welches eine geschützte logische Verbindung zwischen zwei Endpunkten mithilfe der Einkapselung der Protokolle auf der Netzwerkeebene L3 ermöglicht.


PSec (IP Security) ist eine Sammlung von Datensicherheitsprotokolle, die mithilfe von IP übertragen werden. Sie nutzt Authentifizierungsvalidierung, Verschlüsselung und Überprüfung der Paketintegrität.


Es ist wichtig zu verstehen, dass moderne Netzwerkinfrastrukturen so gebaut sind, dass der Kunde nur die im jeweiligen Vertrag geregelte Teile von ihr sieht. Dedizierte Ressourcen (virtuelle Server, Router, Speichermassive der Daten und Sicherungskopien) und aktive Software sowie Inhalte des Arbeitsspeichers sind vollständig von anderen Benutzern getrennt. Mehrere physikalische Server können synchron und gleichzeitig für einen Kunden arbeiten, in dessen Augen sie als ein mächtiges Serverpool darstellen. Und umgekehrt: auf einem physikalischen Server können gleichzeitig eine ganze Menge an virtuellen Maschinen aufgebaut werden (jede von welchen für den jeweiligen Benutzer wie ein separater Rechner mit einem Betriebssystem aussehen wird). Außer Standardlösungen von der Stange werden auch individuelle Lösungen angeboten, die ebenso den gängigen Anforderungen an die Sicherheit der Datenverarbeitung und Speicherung der Daten des Kunden entsprechen.


Dabei lässt die Konfiguration eines im der Cloud aufgebauten Netzwerks der Ebene „L3“ eine praktisch unbeschränkte Skalierung zu (nach diesem Prinzip funktioniert übrigens das Internet und große Rechenzentren). Die SPF-Algorithmen (Shortest Path First – „der kürzeste Weg zuerst“) und andere in den Cloud-Netzwerken L3 erlauben es, die kürzesten Wege beim Routing der Datenpakete auszuwählen und Pakete gleichzeitig über mehrere Routen für bessere Ladung und Erweiterung des Durchsatzes der Kanäle zu senden.


Gleichzeitig besteht auch die Möglichkeit, ein virtuelles Netzwerk auf der „L2-Ebene“ aufzubauen, was für kleinere Rechenzentren und veraltete (oder sehr spezifische) Anwendungen des Kunden typisch ist. In manchen solcher Fälle findet sogar die Technologie „L2 over L3“ Anwendung, um Kompatibilität der Netzwerke und Funktionsfähigkeit der Anwendungen zu gewährleisten.

Fazit

Heutzutage können in den meisten Fällen die Aufgaben des Kunden oder des Benutzers durch das Organisieren privater virtueller Netzwerke VPN und Technologien wie GRE und IPSec – für die Sicherheit - gelöst werden.


Es gibt keinen eigentlichen Grund, L2 und L3 gegenüberzustellen, und ebenso muss L2 nicht unbedingt als die ultimative Lösung für eine zuverlässige Kommunikation im eigenen Netzwerk – oder gar als Allerheilmittel – verstanden werden. Moderne Kommunikationskanäle und Providerinfrastruktur erlauben einen recht massiven Datendurchsatz, und viele von Kunden angemietete dedizierte Kanäle sind sogar unterbelastet. Es ist vernünftig, L2 nur bei besonderen Fällen einzusetzen, wenn die zu meisternden Aufgaben dies erfordern, und dabei Einschränkungen bei den Skalierungsmöglichkeiten eines solchen Netzwerks berücksichtigen und einen Experten zu Rate ziehen. Auf der anderen Seite sind virtuelle Netzwerke L3 VPN unter denselben Umständen universeller und einfach zu bedienen.


In dieser Übersicht sind moderne Standardlösungen kurz beleuchtet worden, die beim Umzug der lokalen Infrastruktur in entfernte Rechenzentren zum Einsatz kommen. Jede Lösung hat ihre Vorteile, Nachteile und ihre Kunden – die Wahl soll in Anbetracht konkreter Aufgaben erfolgen.


Im realen Leben arbeiten beide Ebenen des Netzwerkmodells L2 und L3 zusammen, jede vom ihnen verantwortet ihr Aufgabengebiet – und bei der ihrer Gegenüberstellung in der Werbung zeigen sich einige Provider recht listig.



Autor: Stanislav Komukhaev

Teilen Sie diesen Artikel