Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Seite 1<br />
f o c u s<br />
VPLS – <strong>de</strong>r neue Trend mit MPLS<br />
Drei Jahre nach <strong>de</strong>r Verabschiedung <strong>de</strong>s RFC 3031 „Multiprotocol Label Switching Architecture“ ist die Dynamik bei <strong>de</strong>r Entwicklung<br />
neuer Anwendungen für MPLS ungebrochen. Nach<strong>de</strong>m bislang mit Hilfe von MPLS gut skalierbare IP VPNs mit Quality<br />
of Service (QoS) nach <strong>de</strong>m DiffServ-Konzept entwickelt und mit großem Erfolg auf <strong>de</strong>n Markt gebracht wur<strong>de</strong>n, sind nun<br />
transparente Dienste mit MPLS in <strong>de</strong>n Blickpunkt <strong>de</strong>r Entwicklung gerückt. Dieser <strong>Artikel</strong> stellt <strong>de</strong>n Sinn und Zweck <strong>de</strong>r neuen<br />
Dienste an einem Beispiel vor und gibt dann einen Überblick über ihre Arbeitsweise.<br />
1 Ein Beispiel aus <strong>de</strong>m Metro-Bereich<br />
Betrachten wir einen konkretes – wenn auch fiktives – Anwendungsbeispiel.<br />
Die regional tätige Muster-Bank hat im Großraum<br />
Frankfurt ihren Hauptsitz sowie mehrere weitere Nie<strong>de</strong>rlassungen.<br />
Zwei konkurrieren<strong>de</strong> City Carrier sind jeweils in <strong>de</strong>r Lage, alle<br />
Standorte <strong>de</strong>r Muster-Bank in Frankfurt an ihren Glasfaserring anzuschließen.<br />
Zu<strong>de</strong>m macht ein überregionaler Internet Service Provi<strong>de</strong>r<br />
(ISP) ein Angebot zur Standortvernetzung mit einem MPLS VPN.<br />
An je<strong>de</strong>m Standort <strong>de</strong>r Muster-Bank besteht als Infrastruktur ein<br />
mo<strong>de</strong>rnes LAN mit LAN Switches. Neben <strong>de</strong>r üblichen Ausstattung<br />
mit IP-Endgeräten (PCs, Drucker, Server, …) sind auch SNA-Endgeräte<br />
im Einsatz, <strong>de</strong>ren Migration zu IP erst in einigen Jahren geplant<br />
ist. Anstelle <strong>de</strong>r bestehen<strong>de</strong>n TK-Anlagen sollen im Zuge <strong>de</strong>r neu<br />
geplanten Vernetzung IP-Telefone zum Einsatz kommen.<br />
1.1 Die Lösung <strong>de</strong>s ISP: Ein MPLS VPN mit QoS<br />
Der Internet Service Provi<strong>de</strong>r bietet an, mit Hilfe eines City Carriers<br />
redundante Zugangsleitungen beliebiger Bitrate zu seinen Edge<br />
Routern zu schaffen. Das MPLS VPN vermascht die Standorte <strong>de</strong>r<br />
Muster-Bank vollständig. Ein DiffServ-Konzept mit vier Classes of<br />
Service (CoS) ermöglicht <strong>de</strong>n Betrieb zeit- o<strong>de</strong>r bandbreitenkritischer<br />
Anwendungen.<br />
Die Muster-Bank benötigt an je<strong>de</strong>m Standort einen Router. Einerseits<br />
können die MPLS VPNs nur IP-Pakete, nicht aber Ethernet<br />
Frames, weiterleiten, an<strong>de</strong>rerseits müssen die Anschlussleitungen<br />
durch ein Gerät mit passen<strong>de</strong>n WAN Interfaces terminiert wer<strong>de</strong>n.<br />
Die Vorteile <strong>de</strong>r Lösung sind:<br />
• Die Vollvermaschung <strong>de</strong>r Standorte ermöglicht effizienten Verkehr<br />
zwischen <strong>de</strong>n Filialstandorten. Wird eine passen<strong>de</strong> CoS gebucht,<br />
kann VoIP sinnvoll eingesetzt wer<strong>de</strong>n.<br />
• Der Overhead auf <strong>de</strong>n Anschlussleitungen ist für IP-Anwendungen<br />
gering, da we<strong>de</strong>r Ethernet Framing noch MPLS Shim Hea<strong>de</strong>r<br />
dort vorkommen.<br />
• Falls gewünscht, kann eine nutzungsabhängige Tarifierung angewen<strong>de</strong>t<br />
wer<strong>de</strong>n.<br />
Als Nachteile fin<strong>de</strong>t man z. B.:<br />
• Router haben von allen Netzwerkkomponenten die höchsten<br />
Pro-Port-Kosten. Daher ist die Investition in Router ten<strong>de</strong>nziell<br />
höher als die in Switches. Zusätzliches Know-How zum Betrieb<br />
<strong>de</strong>r Router muss aufgebaut wer<strong>de</strong>n. Da gera<strong>de</strong> im Bankenbereich<br />
eine hohe Verfügbarkeit erfor<strong>de</strong>rlich ist, muss beson<strong>de</strong>rer<br />
Aufwand für eine High-Availability-Lösung getrieben wer<strong>de</strong>n –<br />
z. B. mit redundanter Hardware und erhöhtem Konfigurationsaufwand.<br />
• Die monatlichen Fixkosten für die Anschlussleitungen zum ISP<br />
sind so hoch, dass eine sternförmige Lösung mit reinen Festverbindungen<br />
so gut wie immer preiswerter ist. Der Grund ist die<br />
geringe räumliche Distanz zwischen <strong>de</strong>n Standorten <strong>de</strong>r Muster-<br />
Bank. Vorteile bieten ISP-Lösungen in <strong>de</strong>r Regel nur in Fällen, in<br />
<strong>de</strong>nen die Anschlussleitungen zu <strong>de</strong>n PoPs <strong>de</strong>utlich kürzer (und<br />
damit preiswerter) sind als die Entfernung zwischen <strong>de</strong>n Firmenstandorten.<br />
• Für alle Nicht-IP-Anwendungen muss eine Verpackung (Encapsulation)<br />
konfiguriert wer<strong>de</strong>n. Das kostet Bandbreite und macht<br />
die Konfiguration aufwändig.<br />
• Die Vorteile eines stark vermaschten Provi<strong>de</strong>r Backbones kommen<br />
kaum zum Tragen, da innerhalb eines Ballungsraumes – an<strong>de</strong>rs<br />
als im Bild dargestellt – in <strong>de</strong>r Regel nur ein PoP <strong>de</strong>s Provi<strong>de</strong>rs<br />
vorhan<strong>de</strong>n ist. Das heißt, dass alle Filialen an ein und <strong>de</strong>mselben<br />
Provi<strong>de</strong>r Edge Router angebun<strong>de</strong>n sein könnten, was für<br />
die Redundanz und damit auch Ausfallsicherheit <strong>de</strong>r Lösung<br />
sehr nachteilig wäre.
Seite 2<br />
f o c u s<br />
1.2 Die Lösung von City Carrier 1: Festverbindungen<br />
Der erste City Carrier bietet zur Kopplung zwischen <strong>de</strong>n Standorten<br />
Festverbindungen an. Die Palette reicht von 2 MBit/s bis 2,5 GBit/s.<br />
Die Preise sind – wie bei Festverbindungen üblich – pauschal, also<br />
nutzungsunabhängig. Die QoS <strong>de</strong>r Festverbindungen setzt <strong>de</strong>n<br />
Maßstab, an <strong>de</strong>m die Alternativen sich messen lassen müssen.<br />
Zum Anschluss <strong>de</strong>r Festverbindungen wer<strong>de</strong>n passen<strong>de</strong> Interfaces<br />
benötigt. Die LAN Switches <strong>de</strong>r Muster-Bank verfügen standardmäßig<br />
nur über Ethernet-Schnittstellen. WAN-Schnittstellen können<br />
zugekauft wer<strong>de</strong>n, führen aber zu verblüffend hohen Folgekosten.<br />
Sie benötigen nämlich zu ihrem Betrieb Routing-Module, welche<br />
die Funktionalität <strong>de</strong>r LAN Switches hin zu Routern erweitern. Für<br />
<strong>de</strong>nselben Preis hätten auch separate Router angeschafft wer<strong>de</strong>n<br />
können.<br />
Um das Budget nicht zu sprengen, wird auf eine sternförmige Topologie<br />
gesetzt. Redundanz wird nur auf <strong>de</strong>r Ebene <strong>de</strong>r Übertragungstechnik<br />
geschaffen – durch doppelte Hauseinführung und durch<br />
Path Protection in <strong>de</strong>r SDH. Der City Carrier bietet eine Verfügbarkeit<br />
von 99,99%, also pro Jahr und Leitung maximal ca. 53 Minuten<br />
Ausfall. Bei Verletzung wer<strong>de</strong>n Konventionalstrafen vereinbart.<br />
Die Vorteile <strong>de</strong>r Lösung sind klar:<br />
• Die Festverbindungen sind protokolltransparent. Datenverkehr<br />
aller Art kann fließen, nicht nur IP. Die SNA-Anwendungen benötigen<br />
daher keine ineffiziente Verpackung.<br />
• Die QoS <strong>de</strong>r Leitungen – insbeson<strong>de</strong>re Laufzeit und Bandbreite –<br />
ist absolut stabil. VoIP kann daher ebenso wie SNA-Anwendungen<br />
ohne Qualitätsprobleme genutzt wer<strong>de</strong>n.<br />
Nachteile sind unter an<strong>de</strong>rem:<br />
• Die beachtliche Investition in WAN-Schnittstellen für die LAN<br />
Switches ist störend.<br />
• Die sternförmige Topologie macht Anwendungen wie VoIP wenig<br />
effizient: Aller Verkehr zwischen <strong>de</strong>n Filialen geht über die<br />
Zentrale.<br />
• Die Kosten bleiben auch in Zeiten geringer Nutzung unverän<strong>de</strong>rt.<br />
Grundsätzlich sollte die sehr hohe garantierte Verfügbarkeit nicht<br />
darüber hinwegtäuschen, dass die genannten Zahlen letztlich nur<br />
ein Spiel mit Statistiken sind. Gelingt es einem Bagger, <strong>de</strong>n Glasfaserring<br />
<strong>de</strong>s City Carriers an zwei verschie<strong>de</strong>nen Stellen aufzutrennen,<br />
fallen die Festverbindungen aus. Auch Sabotage o<strong>de</strong>r Naturkatastrophen<br />
kommen als Ursache für einen Komplettausfall trotz<br />
Redundanz in Frage. Dass dann die Reparatur innerhalb von weniger<br />
als einer Stun<strong>de</strong> gelingt, ist unwahrscheinlich. An<strong>de</strong>rs ausgedrückt:<br />
die Wahrscheinlichkeit eines solchen Falls wird vom City<br />
Carrier als so gering eingeschätzt, dass er damit kalkuliert, die Konventionalstrafen<br />
nicht bezahlen zu müssen. Technisch lässt sich eine<br />
Verfügbarkeit von 99,99% kaum garantieren.<br />
1.3 Die Lösung von City Carrier 2: Virtual Private LAN Service<br />
(VPLS)<br />
Der zweite City Carrier hat sein Netzwerk ohne SDH-Komponenten<br />
aufgebaut. Er betreibt seine Glasfasern mit WDM Equipment, an<br />
das er mo<strong>de</strong>rne MPLS Switches angeschlossen hat.<br />
Die optischen Anschlussleitungen zu <strong>de</strong>n Kun<strong>de</strong>nstandorten wer<strong>de</strong>n<br />
mit Ethernet-Schnittstellen betrieben. Der City Carrier bietet<br />
gegen Aufpreis einen Konverter an, <strong>de</strong>r von optischen auf elektrische<br />
Schnittstellen umsetzt. Der Kun<strong>de</strong> kann somit zwischen 10,<br />
100 und 1.000 MBit/s optisch o<strong>de</strong>r elektrisch wählen. In Zukunft<br />
sind auch 10 GBit/s angedacht. Die Tarifierung erfolgt auf Wunsch<br />
nutzungsabhängig, also volumenbasierend. Die Alternative ist wie<br />
üblich eine Flat Rate.
Seite 3<br />
f o c u s<br />
Der Virtual Private LAN Service be<strong>de</strong>utet, dass das MPLS-Netz <strong>de</strong>s<br />
Carriers sich aus Sicht <strong>de</strong>s Kun<strong>de</strong>n wie ein LAN Switch verhält. Ein<br />
Router beim Kun<strong>de</strong>n ist zwar möglich, aber nicht erfor<strong>de</strong>rlich. Die<br />
Anschlussleitung zum VPLS kann direkt an die Ethernet Interfaces<br />
<strong>de</strong>s LAN Switches angeschaltet wer<strong>de</strong>n. In vielen Fällen existiert für<br />
die Steigleitungen in <strong>de</strong>n Gebäu<strong>de</strong>n bereits eine Baugruppe mit optischen<br />
Ethernet-Anschlüssen in <strong>de</strong>n LAN Switches, so dass mit etwas<br />
Glück gar keine Hardware neu beschafft wer<strong>de</strong>n muss.<br />
Durch VPLS wer<strong>de</strong>n die Standorte voll vermascht. Je<strong>de</strong>r Standort<br />
kann direkt mit je<strong>de</strong>m an<strong>de</strong>ren kommunizieren. Broadcasts zu allen<br />
Standorten sind möglich – VLANs können so auch standortübergreifend<br />
eingerichtet wer<strong>de</strong>n.<br />
Auf Wunsch richtet <strong>de</strong>r Provi<strong>de</strong>r QoS für <strong>de</strong>n VPLS ein. Setzt <strong>de</strong>r<br />
LAN Switch <strong>de</strong>s Kun<strong>de</strong>n Prioritätsbits nach IEEE 802.1p, wird dies<br />
innerhalb <strong>de</strong>s MPLS-Netzes auf die Exp.-Bits im Shim Hea<strong>de</strong>r von<br />
MPLS abgebil<strong>de</strong>t und führt zu einem entsprechen<strong>de</strong>n Queueing-<br />
Verhalten. So kann eine QoS im Sinne von DiffServ bereitgestellt<br />
wer<strong>de</strong>n. Ist zwischen zwei Standorten eine über die Möglichkeiten<br />
von DiffServ hinausgehen<strong>de</strong> Bandbreiten- und Laufzeitgarantie erfor<strong>de</strong>rlich,<br />
kann mit Hilfe <strong>de</strong>s Virtual Private Wire Service (VPWS)<br />
eine Punkt-zu-Punkt-Verbindung eingerichtet wer<strong>de</strong>n, die nach<br />
<strong>de</strong>m IntServ-Konzept mit Hilfe <strong>de</strong>s Resource Reservation Protocols<br />
(RSVP) mit <strong>de</strong>n gewünschten Eigenschaften ausgestattet wird.<br />
Vorteile <strong>de</strong>r VPLS-Lösung für <strong>de</strong>n Kun<strong>de</strong>n:<br />
• Es ist keine Investition in WAN Interfaces o<strong>de</strong>r Router beim Kun<strong>de</strong>n<br />
erfor<strong>de</strong>rlich.<br />
• Es besteht keine Beschränkung auf IP. SNA und an<strong>de</strong>re Nicht-IP-<br />
Anwendungen laufen transparent durch das Netz.<br />
• Eine volle Konnektivität zwischen allen Standorten wird bereitgestellt.<br />
Im Zusammenspiel mit QoS kann damit effizient VoIP<br />
betrieben wer<strong>de</strong>n.<br />
• Standortübergreifen<strong>de</strong> VLANs ermöglichen eine bequeme Administration<br />
<strong>de</strong>r Arbeitsplätze und ihrer Zugriffsrechte durch die<br />
Muster-Bank.<br />
• Es besteht eine sehr gute Sicherheit gegen Hacker, falls <strong>de</strong>r Provi<strong>de</strong>r<br />
nicht auch noch IP-Dienste anbietet. Da die Label Switching<br />
Router <strong>de</strong>s Provi<strong>de</strong>rs in diesem Fall nicht direkt angesprochen<br />
wer<strong>de</strong>n können, sind sie auch kein potentielles Angriffsziel.<br />
Manipulationen durch Angreifer sind daher beinahe unmöglich.<br />
Vorteile <strong>de</strong>r VPLS-Lösung für <strong>de</strong>n Provi<strong>de</strong>r:<br />
• Der Provi<strong>de</strong>r muss sich nicht als Local Internet Registry (LIR) bei<br />
<strong>de</strong>r RIPE anmel<strong>de</strong>n, da er gar keine IP-Dienstleistung erbringt.<br />
Daher benötigt er auch we<strong>de</strong>r öffentliche IP-Adressen, eine AS-<br />
Nummer noch Peerings zu an<strong>de</strong>ren ISPs.<br />
• Der Provi<strong>de</strong>r muss nicht unbedingt iBGP-4 verwen<strong>de</strong>n, was für<br />
MPLS VPNs erfor<strong>de</strong>rlich wäre.<br />
Nachteile <strong>de</strong>r Lösung für <strong>de</strong>n Kun<strong>de</strong>n:<br />
• Wer<strong>de</strong>n an <strong>de</strong>n Kun<strong>de</strong>nstandorten keine Router eingesetzt, vergrößert<br />
sich mit je<strong>de</strong>m weiteren Standort die Broadcast-Domäne.<br />
Broadcasts wie ARP Requests fluten das Netz. Damit ist<br />
ein VPLS nicht beliebig skalierbar – es gelten dieselben Beschränkungen<br />
wie für je<strong>de</strong>s normale Ethernet VLAN.<br />
Nachteile <strong>de</strong>r Lösung für <strong>de</strong>n Provi<strong>de</strong>r<br />
• Da die Standards zu VPLS noch nicht verabschie<strong>de</strong>t sind, besteht<br />
das Risiko, mit einer produktspezifischen Implementierung später<br />
an die Geräte eines Herstellers gebun<strong>de</strong>n zu sein.<br />
1.4 Was ist die Erkenntnis?<br />
Aus <strong>de</strong>m Vergleich <strong>de</strong>r drei Lösungen mit ihren Vor- und Nachteilen<br />
kann man selbst ohne genauere Kenntnis <strong>de</strong>r Technologie ableiten,<br />
dass sie sich vor allem für <strong>de</strong>n Metro-Markt eignet. Denn dort fallen<br />
die Nachteile in Form von Skalierungsproblemen eher weniger ins<br />
Gewicht, während die Vorteile durchaus attraktiv sind. Zwar könnte<br />
man das Skalierungsproblem leicht durch <strong>de</strong>n Einsatz von Customer<br />
Edge Routern (CE Routern) lösen, aber dann sind die Vorteile<br />
gegenüber <strong>de</strong>n herkömmlichen MPLS VPNs weniger klar, während<br />
<strong>de</strong>r Overhead spürbar höher ist.<br />
2 VPLS und VPWS – die neuen Dienste<br />
Neben <strong>de</strong>m Virtual Private LAN Service (VPLS) wird noch eine weitere<br />
Anwendung geschaffen, <strong>de</strong>r Virtual Private Wire Service<br />
(VPWS). Bei<strong>de</strong> beruhen auf <strong>de</strong>rselben technischen Infrastruktur, dienen<br />
aber unterschiedlichen Zwecken. Im folgen<strong>de</strong>n sollen bei<strong>de</strong><br />
Dienste (VPLS und VPWS) genauer erklärt wer<strong>de</strong>n. Da VPLS ein<br />
Konzept von VPWS nutzt, ist es für das Verständnis günstig, zunächst<br />
VPWS zu studieren.<br />
2.1 VPWS<br />
Der VPWS stellt <strong>de</strong>m Kun<strong>de</strong>n eine bidirektionale Punkt-zu-Punkt-<br />
Verbindung zwischen zwei Standorten zur Verfügung. Diese kann<br />
mit einem Frame Relay o<strong>de</strong>r ATM PVC verglichen wer<strong>de</strong>n. Sie kann<br />
mit <strong>de</strong>n Metho<strong>de</strong>n von DiffServ o<strong>de</strong>r von IntServ mit entsprechen<strong>de</strong>n<br />
QoS-Eigenschaften ausgerüstet wer<strong>de</strong>n.
Seite 4<br />
f o c u s<br />
Funktionsweise <strong>de</strong>s VPWS<br />
Mehrere Kun<strong>de</strong>nstandorte wer<strong>de</strong>n mit einer beliebigen Access-<br />
Technologie an einen PE Router (Provi<strong>de</strong>r Edge Router) angebun<strong>de</strong>n.<br />
Hierbei kann es sich um eine Festverbindung, eine Ethernet-<br />
Strecke o<strong>de</strong>r ein Zugangsnetz nach <strong>de</strong>m Vorbild von SDSL han<strong>de</strong>ln.<br />
Der PE Router bil<strong>de</strong>t die Kun<strong>de</strong>nschnittstelle <strong>de</strong>s VPWS.<br />
Der Kun<strong>de</strong> bestellt beim Provi<strong>de</strong>r die gewünschten Punkt-zu-Punkt-<br />
Kommunikationsbeziehungen. Diese wer<strong>de</strong>n netzwerkintern als<br />
Pseudo Wires (PW, Pseudo-Drähte) bezeichnet. An <strong>de</strong>n PE Routern<br />
muss fest <strong>de</strong>finiert wer<strong>de</strong>n, welche Daten in welchen PW gelangen<br />
sollen. Dies kann z. B. anhand von DLCIs, VLAN Tags, MAC-Adressen<br />
o<strong>de</strong>r sonstigen Kennungen erfolgen. Für das Verständnis wichtig<br />
ist nur, dass hier keinerlei Dynamik besteht. Die Zuordnung von<br />
Datenpaket zu PW ist fest konfiguriert.<br />
Der PE Router verfügt über eine Software-Instanz, die Forwar<strong>de</strong>r<br />
genannt wird. Der Forwar<strong>de</strong>r nimmt die über die Anschlussleitung<br />
ankommen<strong>de</strong>n Pakete und ordnet sie anhand ihrer Forwarding<br />
Equivalence Class (FEC) einem PW zu. Im Bild 6 wird die FEC z. B.<br />
anhand einer Frame Relay DLCI bestimmt.<br />
Der PW ist eine virtuelle Verbindung im MPLS-Netz, die von einem<br />
PE Router zu einem an<strong>de</strong>ren PE Router gelegt wur<strong>de</strong>. Zu diesem<br />
Zweck müssen zunächst alle PE Router mit sogenannten Transport-<br />
Tunneln voll vermascht wer<strong>de</strong>n. Diese Transport-Tunnel sind nichts<br />
an<strong>de</strong>res als Label Switched Paths (LSPs), die mit MPLS-üblichen Metho<strong>de</strong>n<br />
aufgespannt wer<strong>de</strong>n. Sie können z. B. manuell konfiguriert<br />
und innerhalb <strong>de</strong>s Netzwerks mit LDP o<strong>de</strong>r RSVP-TE signalisiert wer<strong>de</strong>n.<br />
Da LSPs stets unidirektional sind, wer<strong>de</strong>n für einen PW zwei<br />
LSPs benötigt – für je<strong>de</strong> Richtung einer. Wird RSVP-TE zum Aufbau<br />
<strong>de</strong>s Transport-Tunnels verwen<strong>de</strong>t, können Ressourcen wie z. B. eine<br />
feste Bandbreite für <strong>de</strong>n Tunnel reserviert wer<strong>de</strong>n. Die Transport-<br />
Tunnel bil<strong>de</strong>n <strong>de</strong>n Unterbau für die PWs.<br />
Innerhalb eines Transport-Tunnels können viele verschie<strong>de</strong>ne PWs<br />
laufen. Dies wird dadurch erreicht, dass die Pakete zwei Shim Hea<strong>de</strong>r<br />
bekommen. Der äußere Shim Hea<strong>de</strong>r wird für <strong>de</strong>n Transport-<br />
Tunnel verwen<strong>de</strong>t. Er wird beim Durchlaufen <strong>de</strong>s Backbones von allen<br />
Label Switching Routern (LSRs) gelesen und zum Weiterleiten<br />
<strong>de</strong>s Pakets genutzt. Der innere Shim Hea<strong>de</strong>r trägt ein Label, welches<br />
als Kennung <strong>de</strong>s PWs interpretiert wird. Diese Kennung wird<br />
auch Virtual Channel ID (VC ID) genannt. In Bild 7 ist die technische<br />
Realisierung eines PW zwischen zwei PE Routern gezeigt.<br />
Der Forwar<strong>de</strong>r im Ingress LSR (Eingangs-PE-Router) bestimmt anhand<br />
<strong>de</strong>r FEC <strong>de</strong>s Pakets zunächst <strong>de</strong>n Egress LSR (Ausgangs-PE-<br />
Router) sowie die VC ID <strong>de</strong>s PWs, <strong>de</strong>r innerhalb <strong>de</strong>s Transport-Tunnels<br />
zu verwen<strong>de</strong>n ist. In einem zweiten Schritt wird anhand <strong>de</strong>r<br />
globalen Forwarding Information Base (FIB) von MPLS bestimmt,<br />
welcher Transport-Tunnel zum Egress LSR führt.<br />
Der Egress LSR kann anhand <strong>de</strong>r VC ID darauf schließen, von welchem<br />
PW das Paket kommt und damit das Paket einem bestimmten<br />
Kun<strong>de</strong>nanschluss zuordnen.
Seite 5<br />
f o c u s<br />
Anwendungen für <strong>de</strong>n VPWS<br />
Mit Hilfe von PWs können Standorte gezielt gekoppelt wer<strong>de</strong>n. Sie<br />
können z. B. dazu eingesetzt wer<strong>de</strong>n, um ein Firmennetzwerk nach<br />
<strong>de</strong>m Overlay-Mo<strong>de</strong>ll zu schaffen – also die Kopplung von CE Routern<br />
mit einer vom Kun<strong>de</strong>n vorgegebenen Topologie. Aufgrund <strong>de</strong>r<br />
Protokolltransparenz <strong>de</strong>r PWs ist dabei keine Beschränkung auf IP<br />
gegeben.<br />
Diese Anwendung entbehrt nicht einer gewissen Ironie. Nach<strong>de</strong>m<br />
durch MPLS VPNs die Provi<strong>de</strong>r von Frame Relay und ATM VPNs massive<br />
Kun<strong>de</strong>nverluste zu beklagen hatten, wird nun an vor<strong>de</strong>rster<br />
Front <strong>de</strong>r Entwicklung von MPLS ein Dienst etabliert, <strong>de</strong>r nichts an<strong>de</strong>res<br />
tut, als Frame Relay o<strong>de</strong>r ATM zu imitieren. Aus Sicht <strong>de</strong>r Provi<strong>de</strong>r<br />
mag das durchaus Sinn ergeben: anstelle mehrerer parallel zu<br />
betreiben<strong>de</strong>r Netzplattformen genügt dann künftig ein einziges<br />
Netzwerk – das MPLS-Netz. Aus Sicht <strong>de</strong>r Kun<strong>de</strong>n ist die Entwicklung<br />
grundsätzlich auch erfreulich, da Frame Relay und ATM aufgrund<br />
<strong>de</strong>r Konkurrenz durch MPLS (und zukünftig auch VPLS) inzwischen<br />
wesentlich preiswerter gewor<strong>de</strong>n sind.<br />
2.2 VPLS<br />
Funktionsweise<br />
Der Virtual Private LAN Service bedient sich intern <strong>de</strong>s Konzeptes<br />
<strong>de</strong>r Pseudo Wires. Nach außen hin ist von diesen jedoch nichts zu<br />
sehen. PE Router verfügen bei VPLS über einen Forwar<strong>de</strong>r, <strong>de</strong>r über<br />
ein Geflecht von Transport-Tunneln mit je<strong>de</strong>m an<strong>de</strong>ren PE Router in<br />
Kontakt steht. Diese Transport-Tunnel können z. B. durch das MPLStypische<br />
Zusammenspiel zwischen IP Routing und LDP automatisch<br />
aufgebaut wer<strong>de</strong>n. Sollen sie mit gezielten QoS-Eigenschaften ausgestattet<br />
wer<strong>de</strong>n, kommt auch eine manuelle Konfiguration in<br />
Form von Traffic-Engineering-Tunneln mit RSVP-TE in Frage.<br />
Für je<strong>de</strong>s Kun<strong>de</strong>n-VLAN benötigt ein PE Router zusätzlich eine<br />
Bridging-Instanz. Diese tritt nach außen – also in Richtung Kun<strong>de</strong>nanschluss<br />
– exakt wie ein LAN Switch auf. Sie lernt Absen<strong>de</strong>r-MAC-<br />
Adressen von Ethernet Frames, die über die Anschlussleitung ankommen,<br />
um im Falle mehrerer Anschlüsse <strong>de</strong>sselben Kun<strong>de</strong>n am<br />
PE Router direkt ein Bridging durchführen zu können. Ist die Ziel-<br />
MAC-Adresse eines über die Anschlussleitung empfangenen Pakets<br />
unbekannt, übergibt das Bridging-Modul das Paket an <strong>de</strong>n Forwar<strong>de</strong>r.<br />
Der Forwar<strong>de</strong>r verfügt für je<strong>de</strong> Instanz <strong>de</strong>s VPLS (also letztlich für je<strong>de</strong>s<br />
Kun<strong>de</strong>n-VLAN) über eine Vollvermaschung mit PWs zu an<strong>de</strong>ren<br />
PE Routern, die an <strong>de</strong>rselben VPLS-Instanz teilnehmen. Forwar<strong>de</strong>r<br />
lernen Absen<strong>de</strong>r-MAC-Adressen von Ethernet Frames, die sie über<br />
einen PW empfangen haben. So haben sie die notwendige Information,<br />
welche Ziele über welchen PW erreicht wer<strong>de</strong>n können. Ist das<br />
Ziel unbekannt o<strong>de</strong>r han<strong>de</strong>lt es sich um einen Multicast o<strong>de</strong>r Broadcast,<br />
wird <strong>de</strong>r Frame über alle PWs <strong>de</strong>r VPLS-Instanz geflutet.<br />
Wie kommen die PWs für eine VPLS-Instanz zustan<strong>de</strong>? Im einfachsten<br />
Fall geschieht dies durch manuelle Konfiguration. Der PE Router<br />
benötigt neben <strong>de</strong>r netzwerkweit ein<strong>de</strong>utigen VPLS-Kennung<br />
die IP-Adresse aller an<strong>de</strong>ren beteiligten PE Router. Zu diesen nimmt<br />
er per LDP Kontakt auf und tauscht die VC IDs aus, die für die PWs<br />
benötigt wer<strong>de</strong>n. Metho<strong>de</strong>n zur automatischen Erkennung, welche<br />
PE Router als mögliche Ansprechpartner kontaktiert wer<strong>de</strong>n, sind<br />
als Alternative in <strong>de</strong>r Diskussion.
Seite 6<br />
Spielarten<br />
f o c u s<br />
Ein VPLS kann in verschie<strong>de</strong>nen Betriebsarten arbeiten. In <strong>de</strong>r einfachsten<br />
Variante entspricht eine Instanz <strong>de</strong>s VPLS exakt einem<br />
VLAN <strong>de</strong>s Kun<strong>de</strong>n. Wünscht <strong>de</strong>r Kun<strong>de</strong> mehrere VLANs, wer<strong>de</strong>n<br />
auch mehrere Instanzen <strong>de</strong>s VPLS für ihn eingerichtet. Der Forwar<strong>de</strong>r<br />
erkennt die Zugehörigkeit <strong>de</strong>r Daten zu einem VLAN z. B. am<br />
VLAN Tag nach IEEE 802.1q, <strong>de</strong>r an <strong>de</strong>n von <strong>de</strong>r Anschlussleitung<br />
kommen<strong>de</strong>n Ethernet Frames angeheftet ist. Mit an<strong>de</strong>ren Worten:<br />
Pro VLAN wird zwischen zwei Standorten dann auch ein PW benötigt.<br />
In einer an<strong>de</strong>ren Variante wird für <strong>de</strong>n Kun<strong>de</strong>n nur eine VPLS-Instanz<br />
eingerichtet, und die VLAN-Zugehörigkeit wird auch innerhalb<br />
<strong>de</strong>s Backbones über <strong>de</strong>n VLAN Tag bestimmt. In diesem Fall wertet<br />
<strong>de</strong>r Egress PE Router nicht nur die VC ID, son<strong>de</strong>rn auch <strong>de</strong>n VLAN<br />
Tag aus, um zu ermitteln, in welches VLAN ein Paket gesen<strong>de</strong>t wer<strong>de</strong>n<br />
muss.<br />
Anwendungen für <strong>de</strong>n VPLS<br />
Die Hauptanwendung wur<strong>de</strong> bereits im ersten Kapitel dieses <strong>Artikel</strong>s<br />
diskutiert. Sie besteht in <strong>de</strong>r Nutzung zur standortübergreifen<strong>de</strong>n<br />
Aus<strong>de</strong>hnung von LANs bzw. VLANs. Das kann z. B. dann attraktiv<br />
sein, wenn innerhalb eines Ballungsraumes mehrere Firmenstandorte<br />
möglichst unkompliziert und mit hoher Bitrate vernetzt<br />
wer<strong>de</strong>n sollen.<br />
Genau dieselben Grün<strong>de</strong>, die im LAN gegen zu große VLANs sprechen,<br />
gelten auch für VPLS. Mit einer wachsen<strong>de</strong>r Anzahl von Endgeräten<br />
in einem VLAN wächst auch die Last durch Broadcasts auf<br />
je<strong>de</strong> beteiligte Netzwerkkomponente linear an. Das spricht zunächst<br />
gegen <strong>de</strong>n Einsatz von VPLS im WAN und bei sehr großen Firmen.<br />
An<strong>de</strong>rerseits lässt sich dieses Problem leicht dadurch vermei<strong>de</strong>n,<br />
dass <strong>de</strong>r VPLS einfach dafür genutzt wird, CE Router zu koppeln. In<br />
diesem Fall ist die Reichweite <strong>de</strong>r Broadcasts <strong>de</strong>r Endgeräte auf die<br />
lokalen LANs begrenzt, und die Bridging-Module <strong>de</strong>s VPLS müssen<br />
nur genau so viele MAC-Adressen lernen, wie Standorte im VPLS integriert<br />
sind (nämlich für je<strong>de</strong>n CE Router eine MAC-Adresse).<br />
Für <strong>de</strong>n Kun<strong>de</strong>n ist dieses Konzept unter an<strong>de</strong>rem aus folgen<strong>de</strong>n<br />
Grün<strong>de</strong>n attraktiv:<br />
• Hohe Sicherheit gegen Hacker<br />
• Any-to-Any-Konnektivität ohne Extra-Kosten<br />
• Protokolltransparenz – keine Limitierung auf IP<br />
• Keine Notwendigkeit zu Absprachen mit <strong>de</strong>m Provi<strong>de</strong>r bezüglich<br />
IP-Adressen o<strong>de</strong>r Routing<br />
3 Ausblick<br />
Entschei<strong>de</strong>nd für <strong>de</strong>n Erfolg <strong>de</strong>r neuen Dienste VPLS und VPWS sind<br />
mehrere Punkte. An erster Stelle sind die Kosten für <strong>de</strong>n Endkun<strong>de</strong>n<br />
zu nennen. Neben <strong>de</strong>n laufen<strong>de</strong>n Kosten interessiert hier vor<br />
allem die Total Cost of Ownership. Ein harter Preiskampf mit Anbietern<br />
herkömmlicher VPN-Technologien ist zu erwarten. Beson<strong>de</strong>rs<br />
gut sind die Chancen für VPLS im Metro-Bereich, da dort die Kosten<br />
für eine Glasfaser-Anbindung <strong>de</strong>r Kun<strong>de</strong>nstandorte vergleichsweise<br />
gering sind. Das ermöglicht dann <strong>de</strong>n Einsatz von preiswerten<br />
Ethernet-Schnittstellen im Edge Device – sei es Router o<strong>de</strong>r Switch –<br />
<strong>de</strong>s Kun<strong>de</strong>n.<br />
Die Standardisierung muss zu einem zügigen Abschluss kommen.<br />
Nur dann, wenn eine gesicherte technische Basis existiert, wird nennenswert<br />
in VPLS-fähige Netzwerke investiert. Herstellerspezifische<br />
Lösungen kann sich ein Provi<strong>de</strong>r heute kaum leisten – die Folgekosten<br />
bei einem späteren Wachstum <strong>de</strong>s Netzwerks sind zu hoch. Die<br />
Chancen hierfür stehen nicht schlecht: Einige Drafts zum Thema<br />
sind bereits ziemlich ausgereift (z. B. <strong>de</strong>r IETF-Draft L2VPN Framework,<br />
<strong>de</strong>r die grundlegen<strong>de</strong>n Eigenschaften von VPLS und VPWS<br />
beschreibt).<br />
Wichtig ist weiterhin, dass die Provi<strong>de</strong>r QoS-Mo<strong>de</strong>lle für VPLS anbieten,<br />
die zu <strong>de</strong>n Anfor<strong>de</strong>rungen <strong>de</strong>r wichtigsten Anwendungen<br />
passen, und dass die angebotenen Service Level Agreements z. B.<br />
im Hinblick auf Verfügbarkeiten auch hohen Anfor<strong>de</strong>rungen genügen<br />
können.<br />
Und nicht zuletzt stehen die Provi<strong>de</strong>r vor einer Marketing-Aufgabe:<br />
sie müssen <strong>de</strong>n VPLS-Dienst gegenüber MPLS VPNs mit BGP-4 und<br />
QoS nach <strong>de</strong>m DiffServ-Konzept erkennbar mit einem eigenen Profil<br />
ausstatten. Ob diese Herausfor<strong>de</strong>rung Betreiber von MPLS VPNs<br />
mit BGP-4 davon abhalten o<strong>de</strong>r eher dazu inspirieren wird, selber<br />
VPLS und VPWS anzubieten, bleibt abzuwarten.<br />
© ExperTeach GmbH<br />
ExperTeach Gesellschaft für Netzwerkkompetenz mbH<br />
Waldstraße 94 • D-63128 Dietzenbach<br />
Telefon 06074 4868-0 • Telefax 06074 4868-109<br />
info@experteach.<strong>de</strong> • www.experteach.<strong>de</strong><br />
Druckfehler, Irrtümer und Än<strong>de</strong>rungen vorbehalten.<br />
Alle enthaltenen Angaben sind urheberrechtlich geschützt.