Nicos Garden

Switching

10 min read

Switches arbeiten auf Layer 2

Ablauf

  1. Paket kommt auf einem Port an
  2. Switch überprüft ob die Source Mac bereits im Switching Table ist
    1. Wenn Nein wird im Switching Table die Zuordnung MAC > Port gespeichert
  3. Switch schaut im Switching Table nach der Destination MAC
    1. Gefunden: Switch schickt das Paket durch den gefunden Port
    2. Nicht Gefunden: Wird an alle Ports weitergeleitet (flooding)

Switching Table

  • Hier werden die gelernten Source Macs und deren Port gespeichert
  • Pro Port können viele MACs gespeichert werden (Anderer Switch am Switchport)
  • Aging: Nach einer bestimmten Zeit werden Record wieder gelöscht (typisch 300 Sekunden)

Switching Verfahren

Switching-VerfahrenBeschreibungVorteileNachteile
Cut-ThroughDer Switch leitet das Datenpaket sofort weiter, wenn er die Adresse des Ziels erhalten hat.Die Latenz, die Verzögerungszeit, zwischen Empfangen und Weiterleiten ist äußerst gering.Fehlerhafte Datenpakete werden nicht erkannt und trotzdem an den Empfänger weitergeleitet.
Store-and-ForwardDer Switch nimmt das gesamte Datenpaket in Empfang und speichert es in einem Puffer. Dort wird die Frame Check Sequence (FCS) geprüft und bearbeitet. Erst danach wird das Paket an den Ziel-Port weitergeleitet.Fehlerhafte Datenpakete können so im voraus aussortiert werden.Die Speicherung und Prüfung der Datenpakete verursacht eine Verzögerung, abhängig von der Größe des Datenpaketes.
Adaptive-Cut-ThroughViele Switches arbeiten mit einer Kombination aus Cut-Through und Store-and-Forward. Solange nur wenige Kollisionen auftreten wird Cut-Through verwendet. Häufen sich die Fehler schaltet der Switch auf Store-and-Forward um.
Fragment-FreeDer Switch empfängt die ersten 64 Byte des Daten-Paketes. Ist dieser Teil fehlerlos werden die Daten weitergeleitet. Die meisten Fehler und Kollisionen treten während den ersten 64 Byte auf. Dieses Verfahren wird trotz seiner effektiven Arbeitsweise selten genutzt.

Vergleich

Store & ForwardFragement FreeCut Through
Geschwindingkeite der Datenweiterleitungnormalschnellsehr schnell
Weiterleitung von Kollisionsfragementenneinneinja
Weiterleitung fehlerhafter Frames (CRC Fehler)neinjaja

Überlastfall

Beim Switching tritt Überlastung auf, wenn das Netzwerk mehr Datenverkehr erfährt, als es effizient verarbeiten kann, was zu Verzögerungen und Verlust von Datenframes führen kann. Um solche Situationen beim Switching zu bewältigen und die Netzwerkstabilität und -leistung zu gewährleisten, kommen verschiedene Technologien zum Einsatz. Diese Funktionen sind darauf ausgerichtet, den Datenfluss zu regulieren, Engpässe zu vermeiden und die Effizienz des Netzwerks auch unter hoher Last zu erhalten.

Flow-Control

IEEE 802.3x

Pause Frames sind fixe MAC-Control-Pakete, die stets als Multicast an die Adresse 01-80-C2-00-00-01 gehen und im Length/Typ-Feld den Wert 88-08 enthalten.

Ob sie Flow Control nutzen, entscheiden die Kommunikationspartner während des Link-Aufbaus per Autonegotiation.

Flow-Control-Mechanismen funktionieren ausschließlich im Vollduplex-Modus von Fast-Ethernet und Gigabit-Ethernet. Sie passen die Übertragungsrate an die Kapazität des Empfängers an, um Datenstau und möglichen Datenverlust zu vermeiden.

Back-Pressure

Back-Pressure wird speziell in Halbduplex-Netzwerktechniken eingesetzt. Wenn der Switch Überlastung feststellt, sendet er ein JAM Signal, was eine Kollision simuliert. Dadurch wartet das andere Gerät einige Zeit bis zum senden des nächsten Pakets.

Head-of-Line-Blocking (HOL-Blocking)

HOL-Blocking tritt auf, wenn das vorderste Paket in einer Warteschlange nachfolgende Pakete blockiert, während es auf Bedingungen wie verfügbare Route oder Bandbreite wartet. Dies kann beim Switching zu erheblichen Latenzen führen. Der Vorgang HOL-Blocking Prevention minimiert diese Effekte, indem störende Pakete verworfen oder anderen Warteschlangen zugewiesen werden, häufig auf Layer 2 (Ethernet Switches) angewendet.

Monitoring

SNMP

Simple Network Management Protocol dient in größeren Netzen zur zentralen Überwachung von Servern, Switches, Routern oder WLAN-Basisstationen. Die SNMP-Versionen 1 und 2c bieten nur grundlegenden Zugriffsschutz, erst SNMPv3 ermöglicht sichere Authentifizierung. Mit SNMP kann der Admin den Status (etwa Up/Down, Paket- und Fehlerzähler) von Ports abfragen und teils auch Konfigurationen machen.

RMON

Remote Monitoring ist eine Erweiterung von SNMP. Es liefert wie dieses vorrangig statistische Informationen, kann aber je nach Implementierung auch Frames analysieren und sammeln.

Port Mirroring

Port Mirroring leitet bei Switches den Verkehr von einem, manchmal auch mehreren Anschlüssen an einen Monitor-Port weiter, an den der Admin seinen Diagnose-PC anschließen kann.

Warning

Weil man damit auch Anwenderdaten und Passwörter zu Gesicht bekommt, ist es aus Datenschutzgründen unerlässlich, dass der Switch dem Admin nur per Passwort Zugriff gewährt. Daraus resultiert auch die Pflicht, den neuen Switch schon vor dem Einbau ins LAN zu konfigurieren und ein eigenes Passwort zu setzen. Sonst könnte sich ein beliebiger Mitarbeiter Port Mirroring auf seinen Anschluss schalten.

Der Monitor Port wird auch Mirror Port, SPAN (Switch Port Analyser) Port oder Maintenance Port bezeichnet. Allerdings werden bei fast allen Herstellern nicht alle Frames zum Monitor Port gespiegelt. Defekte Frames werden nicht an den Monitor Port übertragen. Oft werden auch nur die Frames eines VLANs gespiegelt. Und bei einer Fullduplex-Verbindung können nur 100 Mbit/s am Monitor Port ankommen obwohl ja 200 Mbit/s möglich sind. Die Ports müssen im selben VLAN sein und der Monitor Port muss genug Bandbreite haben

Konfigurationsbeispiel:

conf t 
int gi0/7 ! auf diesen Port (gi0/7) kommt der Sniffer port 
monitor gi0/2 ! und dieser Port (gi0/2) wird gespiegelt 
end 
 
! Zur Kontrolle dient das Kommando 
show port monitor ! und deaktiviert wird der Spiegelport mit: 
conf t 
int gi0/7 
no port monitor 
end

Broadcast Filter

Broadcast Frames können die normale Übertragung stark hemmen.

Klettert der Broadcast-Anteil beispielsweise über 20 Prozent, dann sperrt der Switch weitere Broadcasts auf dem betroffenen Port für eine kurze Frist, meist rund zehn Sekunden. Sinkt währenddessen der Broadcast-Anteil, dann lässt der Switch nach einer weiteren Karenzzeit die Broadcasts wieder passieren.

Will man bestimmte Teilnehmer oder Zweige in seinem LAN drosseln, bieten manche Geräte dafür eine mit Storm Control verwandte Technik an, die mal Rate Limiting, mal Bandwidth Control heißt. Damit kann der Admin einen maximalen Durchsatz oder eine Paketrate festlegen, die ein Port akzeptiert.

Latenz

Durch das Zwischenspeichern erscheinen die Ethernet-Frames immer mit einem kleinen Zeitverzug am Ausgangs-Port (Latenz, Latency); dabei passieren kleine Pakete von 128 Byte den Switch schneller als große 1518er Frames, weil sie früher vollständig in seinem Speicher vorliegen. Typisch sind gute Werte von 3-5s für kleine Frames und 13-24s für große.

Note

Selbst wenn die Daten durch fünf Switches hindurch müssen, liegt das noch um den Faktor 2000 unterhalb der bei VolP-Telefonie maximal tolerierbaren Verzögerung von 240 ms.

VLANS

Managebare Switches bieten in der Regel Virtual Local Area Networks. Damit kann man auf Layer 2 die Teilnehmer logisch gruppieren.

Vorteile:

  • Das Netzwerk wird in mehrere Broadcast-Domänen unterteilt
  • VLANs sind untereinander abgeschottet

Konfiguration

Port basiert

Jeder Port wird manuell einem VLAN zugeordnet. Das ist sehr unflexibel.

Tagged VLAN

IEEE 802.1q

Hier wird der Ethernet Header verändert. Es kommen 4 Bytes hinzu. Man packt eine feste 16Bit Kennung sowie einen 16Bit Tag in den Header. Zwölf Bits des Tags dienen zur Kennzeichnung des VLAN. Da zwei Werte (0 und 4095) reserviert sind, kann man maximal 4094 virtuelle LANs nutzen. VLAN 1 ist als Standard-VLAN vordefiniert, dem alle Ports angehören. In den restlichen vier Bits stecken eine fixe Kennung sowie drei variable Bits für Prioritätssteuerung (Quality of Service, IEEE 802.1 p).

QoS

Quality of Service ordnet Frames eine Dringlichkeit zu, z.B. für VoiP oder Streaming. Die 3 Bits im QoS Tag erlauben 8 Dringlichkeitsstufen, diese werden vom Switch in verschieden Queues abgebildet.

Die Zuordnung geschieht wie beim VLAN:

  • abhängig vom Port, dem man in der Switch-Konfiguration eine feste Stufe zuordnet (port-based)
  • der Switch übernimmt das Tag aus dem hereinkommenden Paket (802.1p).

Weiterleitungsstrategien für QoS

Strict Queueing

Stehen in der Queue mit der höchsten Priorität Daten an, so leitet der Switch diese bevorzugt weiter. Erst wenn die Daten der höchsten Queue komplett abgearbeitet sind, ist die nächst niedrigere Queue dran.

Dabei kann passieren, dass die niedrigste Priorität viel zu selten an die Reihe kommt.

(Weighted) Round Robin

Das Rundlaufverfahren (engl. Round Robin) gibt allen Elementen einer begrenzten Gruppe gleichmäßig und in einer bestimmten Abfolge Zugriff auf eine Ressource

DiffServ

Differentiated Services arbeitet auf Layer 3. Er nutzt im IP-Header das 6 Bit lange Type-of-Service-Feld (ToS) für Dienstklassen; RFC 2474 definiert 64 verschiedene, und die auf den Ethernet-Geräten laufenden Anwendungen stufen ihre Daten selbst ein. Die Switches müssen die 64 ToS Klassen dann auf ihre acht Stufen abbilden.

QoS im Ethernet

Es gibt bei Ethernet wegen des zufälligen Medienzugriffs prinzipiell keine Dienstgütegarantie, man spricht deshalb eher von Class of Service, kurz CoS.

Spanning Tree Protocol

IEEE 802.1d Das Spanning-Tree-Protokoll existiert heute hauptsächlich in den Ausprägungen Rapid Spanning Tree (RST) und Rapid per VLAN Spanning Tree oder Multiple Spanning Tree (MST), da die ursprüngliche Form des Spanning Trees zu hohen Konvergenzzeiten und damit in komplexen Topologien zu Ausfällen von 30 bis 50 Sekunden führt.

STP soll das Auftreten von doppelten Frames in einem geswitchten Ethernet-Netzwerk verhindern. Es sorgt dafür, dass keine Netzwerkschleifen (Loops) entstehen, denn durch einen Broadcast-Sturm führen sie innerhalb kürzester Zeit zur Überlastung eines Netzwerksegments. Ethernet-Frames haben im Gegensatz zu IP-Paketen keine maximale Lebensdauer (Time to Live, TTL) und bewegen sich deshalb potenziell unendlich lange im Kreis.

Das Spanning-Tree-Protokoll erreicht die Schleifenfreiheit, indem es bestimmte Verbindungen zwischen Switches deaktiviert. Abbildung 1 zeigt drei Beispiele (A, B, C) für Netzwerktopologien, die ohne die Blockade einiger Switchports durch Spanning Tree zum Zusammenbruch des Netzwerks führen würden.

Broadcast Stürme

Auch Broadcast-Stürme können in redundanten Topologien auftreten. Wenn Station A eine Broadcast, z.B. eine ARP-Anfrage sendet, wird diese über alle Ports von Switch 1 und Switch 2 geflutet. Switch 2 flutet seinerseits alle Broadcasts, die er von Switch 1 und Switch 3 erhält und veranlasst somit Switch 1 und Switch 3 wiederum neue Broadcasts auszusenden. somit ist das Netzwerk nur damit beschäftigt, Broadcasts zu versenden, was zu einem Totalausfall führt, bis einer der Switches vom Netz genommen wird.

STP basiert auf dem regelmäßigen Austausch von Konfigurationspaketen (Bridge Protocol Data Units, BPDU) mit festgelegter Zieladresse (01-80-C2-00-00-10).

Wahlen ohne Demokratie

Die Berechnung des Spanning Trees erfolgt in drei wesentlichen Schritten:

  • Wahl der Root Bridge,
  • Wahl der Root Ports,
  • Wahl der Designated Ports.

In einem Spanning Tree nimmt jeder Port eines Switches eine von vier möglichen Rollen ein:

  • Root Port
    • Aktiver Switchport, dessen Upstream in Richtung Root Bridge zeigt. Jeder Switch besitzt maximal einen Root Port.
  • Designated Port
    • Aktiver Port, der weg von der Root Bridge (Downstream) zeigt.
  • Alternate Port (nur bei Rapid Spanning Tree)
    • Zeigt ebenfalls zur Root Bridge, ist aber nicht aktiv (Blocked).
  • Backup Port (nur bei Rapid Spanning Tree)
    • Verbindung zu einem anderen Switch, der über einen anderen Switchport günstiger erreicht werden kann; ebenfalls nicht aktiv (Blocked).

Wahl der Root Bridge

Die Parameter kann der Netz-Admin in der Regel konfigurieren, ebenso gewünschte Prioritäten und Wegekosten, um bevorzugte Routen zu bilden.

Die Wahl der Root Bridge erfolgt mit der Bridge-ID, die aus drei Bestandteile hat:

  • Bridge Priority
    •  0 bis 61440 in Schritten von 4096
  • System-ID-Extension
    • Ist die VLAN Nummer
  • MAC-Adresse Root Bridge wird der Switch mit der niedrigsten Bridge Priority Sollten mehrere Switche die selbe Bridge Priority haben, wird unter denen mit der niedrigsten anhand der niedrigsten System-ID-Extension und MAC entschieden.

Die Ports der redundanten Strecken schalten die Switches ab und reaktivieren sie erst beim Ausfall der Hauptroute.

Nachteilig an STP und RSTP ist, dass sie entweder nur einen Baum für alle VLANs oder für jedes VLAN einen eigenen Baum bilden müssten, wobei erhöhter BPDU-Datenverkehr aufkommt. Erst mit Multiple Spanning Tree (MSTP) kann man Topologien erstellen, die mehrere VLANs zusammenfassen.

Link Aggregation

Link Aggregation (IEEE 802.3ad), auch als Trunking geläufig, ist eine Spielart von Spanning Tree, mit der man mehrere Ports parallel schaltet, um den Durchsatz zu vervielfachen. Zwei oder vier Twisted-Pair-Gigabit-Ports als Backbone zwischen Switches oder zur Anbindung eines schnellen Servers sind nämlich immer noch billiger als ein 10-Giga-bit-Glasfaser-Link. Zwar gehen dann nur zwei oder vier GBit/s statt zehn herüber, doch das kann in vielen Fällen genügen. Trunking funktioniert nur bei Ports mit gleicher Datenrate und im Vollduplexbetrieb. Die Konfiguration funktioniert auch automatisch, wenn beide Seiten das Link Aggregation Control Protocol (LACP) beherrschen. Es arbeitet ähnlich wie STP

Graph View