Evolution des Virtual Private LAN Service
VPLS-Einsatz macht Carrier-Netze flexibler
Carrier-Netzwerke befinden sich im Wandel. Statt separate Netze für Sprach-, Video- und Datendienste zu unterhalten, gehen die Betreiber zu einer übergreifenden paketbasierten Infrastruktur über, um neue Dienste anbieten zu können. Die Kombination aus Ethernet, IP-Routing und MPLS (Multi-Protocol Label Switching) bietet einen mehrstufigen Ansatz, um diese Konvergenz schrittweise umzusetzen. Im nächsten Schritt gilt es, VPLS (Virtual Private LAN Service) in die Netze zu integrieren und effektiv zu verwalten.
Bereits seit Ende der 90er-Jahre bieten Carrier Dienste auf Ethernet-Basis an. Denn diese
Technik ist günstiger und flexibler als traditionelle Mietleitungen oder Frame-Relay-Dienste.
Ethernet dient dabei als User-to-Network-Interface (UNI) wie auch als Switching- und
Transporttechnik.
Neue Anforderungen auf Anwenderseite ließen die Backbones der Service-Provider schnell an ihre
Grenzen stoßen. Zu diesen Anforderungen zählen überlappende VLANs (Virtual LANs) und deren
Verarbeitung sowie die Unterstützung des Nachrichtentyps BPDU (Bridge Protocol Data Unit). Die
IEEE-Arbeitsgruppe 802.1ad hat diese Erweiterungen inzwischen standardisiert und STP (Spanning Tree
Protocol) um Rapid sowie Multiple VLAN Spanning Tree erweitert. Dennoch war ein besser skalierbarer
Ansatz für den Betrieb solcher Netzwerke nötig.
Um den Ansprüchen von Carriern zu genügen, müssen Ethernet-Switches ebenso zuverlässig,
skalierbar und sicher sein wie traditionelle TDM- oder ATM-Switches. Eine MPLS-Infrastruktur kommt
diesen Anforderungen am nächsten, da diese Technik sichere Tunnel, Traffic Engineering (TE), QoS
(Quality of Service) und schnelle Schutzfunktionen unterstützt.
Phase 1: MPLS
MPLS setzte sich durch, als IP-WAN-Router physikalisch nicht mehr in der Lage waren, die Pakete
nach dem LPM-Verfahren (Longest Prefix Match) zu klassifizieren. Wird ein IP-Paket hingegen bereits
am Eintrittspunkt in ein MPLS-Netzwerk mit einem Label versehen, müssen die beteiligten
Netzwerkgeräte später lediglich das Label vergleichen. Dieser Vorgang ähnelt dem VCI-Switching
(Virtual Channel Identifier), das bei ATM Verwendung findet.
MPLS unterstützt Standard-Routing-Protokolle wie OSPF (Open Shortest Path First) und IS-IS
(Intermediate System to Intermediate System), um Schleifen innerhalb des Service-Provider-Netzwerks
aufzulösen. Diese Protokolle haben Erweiterungen erfahren, um Datenattribute zu übertragen und so
Traffic Engineering und QoS zu ermöglichen. In derart gerouteten Netzwerken bauen dynamische
Signalprotokolle wie LDP (Label Distribution Protocol) und RSVP (Resource Reservation Protocol)
Tunnel auf. Für deren Schutz sorgt der Einsatz von Backup-Pfaden oder das Rerouting über RSVP-TE.
Im Fall von Verbindungsunterbrechungen verkürzt dies die Wiederherstellungszeiten auf unter eine
Sekunde.
Phase 2: Ethernet Martini und VPLS
Tunneling gemäß dem Martini-Draft bietet zusätzliche Funktionen zur Trennung des Datenverkehrs
zwischen Anwenderunternehmen sowie zum Multiplexing verschiedener Datenströme auf einem
Transporttunnel für Punkt-zu-Punkt-Verbindungen. Das Aufsetzen der Transporttunnel erfolgt mittels
RSVP-TE oder LDP. Beim Aufbau der Verbindungen der Anwender gewährleistet Targeted LDP (gezieltes
LDP) die Trennung der Datenströme zwischen zwei Provider-Endpunkten.
Über Martini-Tunnel hinaus bietet VPLS Mehrpunktverbindungen und ermöglicht LAN-zu-LAN-Dienste.
Dazu stellt der Carrier eine kundenspezifische Broadcast-Domain bereit. So scheint es, als wären
alle Standorte des Unternehmens (der Customer Edge oder CE) an dasselbe LAN angebunden (Bild 1).
Alle PE-Router (Provider Edge, also die Router am Rande des Provider-Netzes) sind komplett
miteinander vermascht, um die Erreichbarkeit zwischen den Standorten zu optimieren. Die Router
behandeln Multicast-Traffic wie Broadcast-Verkehr und replizieren ihn daher zu allen Ports, die zu
einem Kundennetz gehören. Deshalb muss der Provider die Anzahl der VPLS-PE-Router, die zu einem
einzelnen VPLS-Bereich gehören können, beschränken. Wenn die Zahl der PE-Router 40 bis 60 erreicht,
ist es empfehlenswert, eine Multi-Tier-Hierarchie aufzubauen, um die VPLS-Dienste zu skalieren.
MPLS-/VPLS-Router müssen die große Anzahl von LDP-Umgebungen unterstützen, die zwischen den PEs
erforderlich sind, und zudem umfangreiche hardwarebasierte Replikationen bewältigen, um die
Latenzzeit zu minimieren. Die Verarbeitung des Datenpfads sollte in Hardware erfolgen, um den
vollen Durchsatz der physikalischen Verbindung auszuschöpfen. Ebenso wichtig ist es, neben
Ethernet-Ports auch bestehende Schnittstellen wie ATM oder Frame Relay zu terminieren. Denn diese
Techniken kommen weiterhin zum Einsatz, um auf Interfaces in MPLS-/VPLS-Umgebungen zuzugreifen.
Bei Ethernet bietet Traffic Conditioning (also Verfahren wie Bandbreitenbegrenzung und
-modellierung) ein ähnliches Potenzial bezüglich QoS und Bandbreitenpartitionierung wie die Virtual
Circuits (VCs) bei ATM und Frame Relay. Jede Verbindung wird abhängig von Eingangs-Port, VLAN oder
VLAN-Bereich auf einen VC-LSP gemappt (Virtual Circuit Label Switching Path, auch Pseudo-Wire
genannt, siehe Kasten). 802.1p-Tags können Verwendung finden, um den Datenverkehr in die
zugehörigen LSPs einzuteilen und die entsprechenden MPLS-EXP-Marker zu setzen. Der Frame Scheduler
nutzt solche Marker, um bei begrenzter Bandbreite mittels DiffServ (Differentiated) die Dienstgüte
oder QoS zu sichern. Das Metro Ethernet Forum ist damit befasst, diese QoS-Features zu
standardisieren.
Carrier, die Kunden mit zwei Netzwerkumgebungen versorgen, können einen Spanning Tree zwischen
den Anwender-Sites und den PEs aktivieren, um Schleifen zu vermeiden. Ein Verfahren, das Schleifen
ohne STP identifiziert, ist allerdings effektiver. Dabei werden MAC-Adressenbewegungen auf einer
Pro-Port-/Pro-VLAN-Ebene überwacht und die jeweiligen Ports blockiert, wenn ein bestimmter Wert
erreicht ist. Diese Fähigkeit, die absolute Anzahl der MAC-Adressen zu beschränken, verhindert,
dass einzelne Anwenderunternehmen oder aber Denial-of-Service-Attacken die VPLS-MAC-Listen
ausschöpfen.
LSP Ping und LSP Traceroute waren die ersten verfügbaren Funktionen zur Fehlerüberprüfung und
-analyse. Wenn ein LSP keinen Datenverkehr liefert, kann die MPLS Control Plane den Fehler nicht
immer ermitteln. Ein LSP Ping – modelliert nach dem bekannten ICMP Echo Request/Reply – überprüft,
ob Pakete, die zu einer bestimmten Forwarding Equivalence Class (FEC) gehören, ihren MPLS-Pfad auch
tatsächlich auf einem LSR (Label Switch Router) beenden, der dieser FEC als Ausgangs-Router dient.
Ein Traceroute-Paket wird zur Control Plane jedes Transit-LSRs gesendet. Der Router untersucht
dann, ob er tatsächlich der Transit-LSR für diesen Pfad ist. Der LSR sendet auch zusätzliche
Informationen zurück, die beim Abgleich der Control Plane mit der Datenebene helfen. So lässt sich
zum Beispiel ermitteln, ob das Forwarding tatsächlich dem von den Routing-Protokollen festgelegten
Pfad entspricht.
Phase 3: Hierarchisches VPLS
Mit hierarchischem VPLS (HVPLS) ist es möglich, ein zwei- oder dreischichtiges hierarchisches
Netzwerk zu schaffen. Im Zugangsbereich eines Netzwerks kommt dabei eine neue Klasse von
MPLS-Switches zum Einsatz: MTU-Switches (Multi-Tenant Unit, also Switches für den Einsatz in
Gebäuden mit mehreren Parteien). MTUs sind so konzipiert, dass lediglich eine begrenzte Zahl an
MPLS-Funktionen nötig ist. Das ermöglicht günstige und einfach verwaltbare Geräte. Die MTU-Switches
sammeln den Datenverkehr in Punkt-zu-Punkt-Martini- oder Q-in-Q-(Stackable-VLAN-)Verbindungen (Bild
2). VPLS-PE-Router terminieren diese Verbindungen. Anstatt ein komplettes Netz aus MTUs aufzubauen,
muss ein Provider nur jene VPLS-PE-Router miteinander vermaschen, an denen die MTUs hängen
(Border-PE-Router).
Sobald eine hierarchische Topologie besteht, lässt sich die Replikation von Broadcast- und
Multicast-Traffic weiter optimieren. Das ermöglicht auf effiziente Weise Anwendungen wie die
Video-Distribution. Die Replikationsarbeit teilen sich die MTUs am Ein- oder Ausgang sowie die PE-
und Border-PE-Router (Bild 3). Nur die Sites, die bestimmte Multicast-Ströme erwarten, erhalten den
entsprechenden Datenverkehr. Dies ermöglicht der Einsatz von IGMP und PIM Snooping (Internet Group
Management Protocol, Protocol-Independent Multicast). Die Protokolle verfolgen, welche Ports und
welche Verbindungen zu einer bestimmten Multicast-Gruppe gehören. Die Zahl der benötigten
LDP-Signalumgebungen lässt sich so deutlich reduzieren (in der Größenordnung von N statt N²), da
weniger PEs direkt miteinander verbunden sind.
OAM und Fehlersuche
Bislang gibt es keine Standards, die VPLS-spezifische Fehler entdecken. Aufgrund steigender
Anwendernachfrage setzen sich diverse Hersteller – darunter auch Riverstone – dafür ein, neue
VPLS-OAM-Funktionen (Operations, Administration, and Maintenance, also Funktionen für die
Betriebssicherung) einzuführen und zu standardisieren. Während LSP Ping und Traceroute zum Einsatz
kommen, um spezielle MPLS-Transportprobleme zu identifizieren, dienen VPLS Ping und Traceroute
dazu, Verbindungen auf der Ethernet-MAC-Ebene bei allen VPLS-Knoten entlang des Pfades zu
überprüfen. So lässt sich beispielsweise prüfen, ob die Geräte die MAC-Adressen korrekt gelernt
haben.
Hochverfügbarkeit der Netzwerkgeräte ist ein Muss im Carrier-Markt. Dazu gehört die
Unterstützung von Hitless Protection Switching (HPS), um Softwarefehlern gewachsen zu sein,
Neustartfunktionen für Routing- und MPLS-Protokolle sowie die Trennung von Kontroll- und
Forwarding-Funktionen. Dabei sind spezielle Prozessoren für Kontroll- und Mangementfunktionen
zuständig, während ASICs und Mikroprozessoren die Daten weiterleiten. Diese Trennung ermöglicht das
Forwarding der Daten selbst bei Ausfällen der Kontrollsoftware. Ein sanfter Neustart (Graceful
Restart) sollte für die Routing-Protokolle OSPF und BGP (Border Gateway Protocol) sowie für
MPLS-Signalprotokolle wie LDP und RSVP verfügbar sein. Während einer lokalen Reparatur lassen sich
als Ersatz Backup-LSP-Tunnel mit Fast-Reroute-Erweiterungen von RSVP-TE aufbauen. So können
Provider Anwendungen wie VoIP (Voice over IP), die eine hohe Verfügbarkeit und QoS erfordern, auf
MPLS-/IP-Netzwerken anbieten. Dabei kommt DSL-Aggregation über Ethernet mit VPLS als zentraler
Transporttechnik zum Einsatz.
Phase 4: Inter-Domain- und Inter-Provider-HVPLS
Die derzeitige VPLS-Spezifikation wird erweitert, um Connectivity über Domain- und
Provider-Grenzen hinweg zu ermöglichen. Dazu lassen sich Inter-Domain-Spokes zwischen Border-PEs
einrichten (Bild 4). Um VPLS-Domains zu verbinden, ist auch ein BGP-VPN-Carriers‘-Carrier-Modell
nutzbar. Dazu werden Pseudo-Wires direkt in RFC-2547-VRFs (Virtual Routing and Forwarding
Instances) terminiert oder 802.1q-VLANs in VRFs gemappt. Manche Anbieter stellen auch MPLS-Tools
bereit, um die Konfiguration von VPLS-Diensten zu automatisieren. Dennoch ist die automatische
Erkennung von VPLS-PEs immer noch heiß diskutiert.
Derzeit definieren mehrere Standardisierungsgremien Erweiterungen der Ethernet- und
VPLS-OAM-Funktionen. Von Interesse sind die IEEE-Vorschläge 802.3ah (Ethernet in the First Mile
Task Force) und 802.1ag (Connectivity Fault Management) sowie die IETF-Proposals BFD und VCCV
(Bidirectional Forwarding Detection, Virtual Circuit Connection Verification). Diese
unterschiedlichen Methoden ergänzen sich: 802.3ah eignet sich für Verbindungstests der "letzten
Meile" zum Endanwender (der "ersten Meile" aus Anwendersicht), während BFD eher für
Link-Connectivity-Tests in den IP-/MPLS-Backbones der Provider gedacht ist. VCCV dagegen überprüft
einzelne Pseudo-Wires in MPLS-Tunneln (siehe Tabelle auf Seite 56).
Der Einsatz von Punkt-zu-Mehrpunkt-LSPs ebnet den Weg für Multicast-Erweiterungen zu bestehenden
HVPLS-Multicast-Optimierungen. Dank der Kombination von HVPLS mit IGMP und PIM Snooping ergänzen
sich VPLS-Knoten bei der Replikation von Multicast-Verkehr.
Das Interworking von Ethernet mit ATM und Frame Relay (FR), das in der MPLS/ATM/FR-Allianz
spezifiziert ist, wird erweitert, um OAM und QoS durchgängig bereitzustellen. Durch den Abgleich
der Verkehrsprofile und das Mapping von OAM-Traffic lassen sich End-to-End-Pfade dann als logische
Verbindungen betrachten. Das schließt die Fähigkeit ein, Fehler in Pseudo-Wires auf Fehlermeldungen
in den Access-Circuits zu mappen und umgekehrt. Eine Bridge-Kapselung über ATM/FR benötigt keinen
spezifischen Adaption Layer für VPLS. Dagegen setzt eine geroutete Kapselung eine Funktion wie
ARP-Mediation (Address Resolution Protocol) voraus, um die verschiedenen Protokolle für die
Adressauflösung zwischen den heterogenen Zugangstechniken mappen zu können.
Der Bedarf, eine dynamische Zusammenarbeit zwischen solchen Netzwerken zu ermöglichen, wird
weiter steigen. Ethernet-Edge-Router können beide Technologien terminieren und folgende
Anpassungsfunktionen durchführen:
Mappen von ATM- auf MPLS-Kontrollprotokolle,
Signaling von Pseudo-Wires (PWs) auf Signaling-Anfragen von ATM-UNIs hin,
dezidierte PWs für ATM-Signaling und -Routing,
PWs als virtuelle Trunks für ATM-VPs (Virtual Paths),
Vermittlungsfunktionen für Soft-PVCs (Permanent Virtual Circuits).
LSP Stitching – also die Fähigkeit, zwei LSPs mittels Cross-Connect zu verbinden – wird es LSPs
ermöglichen, Provider-Grenzen und TE-Domains zu überqueren. Inter-Area- und Inter-AS-TE wird
ähnliche Möglichkeiten bieten. Ein MPLS-NNI (Network-to-Network Interface) wird Tools liefern, um
Vereinbarungen zwischen Carriern umzusetzen, die das Übersetzen und Mappen verschiedener QoS-Level
erlauben. Zudem werden sie intelligente Routing-Funktionen zwischen Carriern unterstützen, um so
die benötigten Service-Level-Agreements zu erfüllen.
Fazit
Weltweit richten Carrier allmählich VPLS für Unternehmen und Endanwender ein. Auf der Basis von
Ethernet und der Standardisierung von MPLS verfügen sie über die benötigten Werkzeuge, um ihre
Netze kostengünstig noch skalierbarer und zuverlässiger zu machen. Sobald die Anbieter im Lauf des
Jahres zusätzliche VPLS-Skalierung und -Verwaltbarkeit einführen, wird sich die Zahl der
VPLS-Installationen weiter erhöhen.
Lesen Sie mehr zum Thema
