REDUNDANTIE. 2 april 2006 SNB LIA Gert Bon en Rob Prickaerts

Transcriptie

1 REDUNDANTIE 2 april 2006 SNB LIA Gert Bon en Rob Prickaerts

2 Inleiding Van alle onderwerpen van de IT, roept een onderwerp als redundantie niet veel vreugde op binnen een organisatie. De extra uitgaven en de complexiteit, boven op een toch al complexe IT omgeving, worden veelal ervaren als een moeilijke en intensieve opgave. De kracht van redundantie is de beschikbaarheid verhogen door het opheffen van een Single Point of Failure (SPoF). Het is echter niet altijd mogelijk om alle onderdelen binnen een organisatie redundant uit te voeren. Twee maal dezelfde componenten, verbindingen en voorzieningen zijn niet alleen extreem kostbaar, maar ook volledig overkill voor 99% van alle organisaties. Toch kan redundantie niet meer worden weg gedacht in de hedendaagse IT systemen. Doordat organisaties steeds afhankelijker worden van de IT voorzieningen binnen de organisaties, moeten de IT systemen een hele hoge beschikbaarheid kunnen leveren. Ondanks de betrouwbaarheid van de apparatuur en software, is het niet meer mogelijk om zonder redundante systemen te werken. Het is dan ook aan de beheersorganisatie om een passende oplossing te vinden. Deze is er in de vorm van redundantie. Al dan niet, alleen op de meest kwetsbare plaatsen. Het is van belang om drempels te vinden in het systeem en alleen daar redundantie toe te passen waar ook strikt noodzakelijk. Vaak kan met het redundant uitvoeren van bepaalde onderdelen van apparatuur of een netwerk, al heel veel bereikt worden. Allereerst moet een analyse worden gedaan binnen de organisatie naar alle bedrijfskritische services. Een duidelijk overzicht van al deze services, kan vervolgens de minimale efficiency en onderlinge afhankelijkheden van iedere dienst en service in kaart brengen. Management zal concrete getallen moeten stellen bij elk van deze services en aan moeten geven welke vormen van beschikbaarheid noodzakelijk zijn voor de business. Nadat er duidelijkheid bestaat over de minimale beschikbaarheid, en de onderlinge afhankelijkheden, kunnen de verschillende services worden geclassificeerd. Binnen alle bedrijven zijn er altijd een aantal services welke altijd aan de top staan met betrekking tot redundantie. Bedrijfsdata, het netwerk, internet toegang en applicatieservers zijn slechts enkele voorbeelden van services waar redundantie op word toegepast. Echter betekend dit niet dat al deze onderdelen volledig in tweevoud worden uitgevoerd. De florerende tijd van de IT sector, is reeds enkele jaren voorbij. De onbeperkte bron van geld en de vrijheid van de beheersorganisatie met betrekking tot aankopen en implementaties van nieuwe technologieën, is veelal een Utopia waar de meeste organisaties al lang niet meer op lijken. Tegenwoordig moeten alle keuzes verantwoord worden naar de organisatie, en zijn budgetten klein tot misschien wel helemaal niet aanwezig. Het is dan ook daarom dat redundantie alleen daar moet worden toegepast waar er een duidelijke noodzaak voor bestaat. Dit betekend dat slechts Redundantie 1

3 bepaalde onderdelen binnen een service redundant worden uitgevoerd en andere juist niet. Op die manier probeert een organisatie de gewenste minimale beschikbaarheid te kunnen behalen. Minimaal kan gelijk zijn aan de reeds aanwezige beschikbaarheid maar kan ook zeer zeker een mindere mate van beschikbaarheid beteken. Misschien zelfs geen beschikbaarheid, en alleen een melding dat een dienst buiten werking is. Hoe dan ook moet de vorm van redundantie moet ten alle tijden passen in het business model van de organisatie. Naast de financiële implicaties welke redundantie met zich mee brengt, moet er ook worden nagedacht over de technische gevolgen. Redundantie kan voorkomen in veel soorten en maten. Direct aanwezig in het systeem, of als non actieve backup. Hoe dan ook, er moet duidelijk worden gekeken naar de technische gevolgen van redundante oplossingen. Het beheer van, gebruik maken van en het configureren van redundante systemen kan een moeizame en zware opgave zijn. Redundantie kan meer problemen binnen een organisatie veroorzaken dan oplossen. Daarom is het van belang, altijd goed na te denken over het gebruik maken van redundantie! Redundantie 2

4 ABSTRACT 4 1 NETWERK REDUNDANTIE HET NETWERK LINK REDUNDANTIE DEVICE REDUNDANTIE NETWERKEN EXTERN 23 2 SERVICES REDUNDANTIE MULTIPATH I/O CLUSTERING LOAD BALANCING HOT SPARE HOT SWAP SLB PROTOCOL GLBP PROTOCOL REDUNDANT ARRAY OF INDEPENDENT DISKS 37 3 BRONVERMELDING 47 Redundantie 3

5 Abstract Voor het inbouwen van redundantie in componenten en systemen zijn er tal van technische (hardware) oplossingen mogelijk. Welke allen moeten voorkomen dat een Single Point of Failure de beschikbaarheid van een service in gevaar brengt. Redundantie lijkt op het eerste gezicht de oplossing voor alle problemen binnen een IT organisatie. Echter brengt redundantie veel meer met zich mee dan een hogere beschikbaarheid. Wanneer verkeerd geïmplementeerd dan blijkt zelfs die hogere beschikbaarheid nog ver te zoeken. In redundantie schuilen vele gevaren, welke eenvoudig over het hoofd gezien kunnen worden. Het is dan ook daarom, dat redundantie alleen daar moet worden toegepast waar strikt noodzakelijk. Redundantie staat niet gelijk aan twee identieke situaties, aan elkaar gekoppeld om elkaars functies over te nemen. Redundantie betekend niets meer dan het ondervangen van een Single Point of Failure tot een acceptabele niveau. Dit kan een gelijk niveau zijn, maar dit kan ook terdege een asymmetrische redundantie zijn, waarbij de noodoplossing slechts in een beperkte beschikbaarheid resulteert. Binnen een organisatie zijn er vele diensten en services actief en een van de aller belangrijkste daarin is het netwerk. Alle ander diensten en services maken op een of andere manier gebruik hiervan. En het is dan ook daarom dat redundantie binnen het netwerk design van enorm belang is. Om een goed netwerk design te kunnen realiseren, zal het netwerk moeten worden opgedeeld in kleinere stukken. Een veel gebruikte methode hiervoor is werken volgens de Cisco Composite Network model. Deze methode zorgt dat alle belangrijke onderdelen van het netwerk apart te benaderen zijn en op deze manier ook eenvoudig te dupliceren. Dit maakt een netwerk overzichtelijk en schaalbaar. Netwerk redundantie doorkruist het hele ontwerp, van link redundatie middels Etherchannels, tot device redundantie met virtuele routers. Multihoming en Out-of-Band management zijn nog enkele andere varianten van Netwerk redundantie. Al deze technieken gecombineerd, kunnen ervoor zorgen dat het netwerk beschikbaar blijft. Wanneer het netwerk stabiel is en alle cruciale punten redundant zijn uitgevoerd, kan er gekeken worden naar de bovenliggende services. De bovenliggende services zijn meestal afhankelijk van servers. Op dit niveau zijn er vele technieken om redundantie op toe te passen. Deze verschillen van redundantie binnen de hardware, tot protocollen om volledige servers aan elkaar te koppelen. Een mogelijke techniek om redundante datakanalen te realiseren is Multipath I/O wat bijvoorbeeld in de Space Shuttle's is gebruikt. Naast redundante datakanalen kunnen services ook ondersteund worden door het koppelen van meerdere systemen. Hierbij gaat het om het gebruik van clusters waarbij een groep computers een bepaalde dienst leveren. Dit Redundantie 4

6 kan bijvoorbeeld een website zijn waarbij de klant de website transparant getoond wordt maar waarbij meerdere computers betrokken zijn voor de afhandeling van de interactie met de bezoeker. Voor het verwisselen van apparatuur in redundante systemen, welke ten alle tijden dienen te draaien, zijn technieken als Hot Spare en Hot Swap beschikbaar. Hierbij kunnen actieve componenten worden vervangen, zonder dat de host machine down hoeft te gaan. Deze onderwerpen zijn nauw verweven met bijvoorbeeld harddisks in RAID systemen, redundant uitgevoerde harde schijf configuraties welke voor redundantie en extra snelheid kunnen zorgen. Op netwerk niveau is het Gateway Load Balancing Protocol en Server Load Balancing een van de protocollen welke aan bod komen voor redundante netwerk toepassingen. Deze services zorgen ervoor dat een locatie via meerdere wegen bereikbaar blijft en zijn erg afhankelijk van het netwerk. Redundantie is al met al een noodzakelijk kwaad, gezien de hoge eisen welke heden ten dagen aan een IT omgeving worden gesteld. Het bedenken, ontwerpen en implementeren van redundante systemen lijkt eenvoudiger dan het is en op veel plaatsen wordt hinder ondervonden door slecht uitgevoerde oplossingen. Daarom is het van belang te bepalen waar de belangrijkste afhankelijkheden zijn voor de organisatie. Redundantie moet, net als alle andere maatregelen, de organisatie ondersteunen. Redundantie 5

7 1 Netwerk Redundantie Van alle services binnen een organisatie, is het netwerk een van de meest cruciale services aanwezig. Het is bijna ondenkbaar voor een organisatie om bijvoorbeeld geen gebruik te kunnen maken van services als het Internet, E- mail, of NTP. Ook services als netwerkapplicaties, LDAP of andere database storages zijn tegenwoordig niet meer weg te denken. Al deze services zijn afhankelijk van de beschikbaarheid van het netwerk, of een deel daarvan. Het is daarom belangrijk om het netwerk op te delen in verschillende onderdelen. De volgende secties zullen dieper ingaan op de verschillende netwerk onderdelen en de verschillende vormen van netwerk redundantie. Daarnaast worden enkele problemen besproken welke voorkomen bij de verschillende vormen van netwerk redundantie. 1.1 Het netwerk Het netwerk kan onderverdeeld worden in een aantal verschillende onderdelen. Een veel gebruikte vorm voor het opsplitsen van de verschillende netwerkonderdelen is het Enterprise Composite netwerkmodel zoals Cisco dit hanteert. Het zorgt voor een overzichtelijke scheiding van alle belangrijke netwerkonderdelen. De doelen van het Enterprise Composite Network Model zijn: Het ontwikkelen van een netwerk met duidelijk aangegeven grenzen tussen de modules. Het model heeft duidelijke afbakeningen. Een netwerk designer weet precies welke verkeer wel en niet toegestaan is door deze afbakeningen en kan dit verkeer gemakkelijker filteren. Vergemakkelijken van het designproces en verbeterde schaalbaarheid van een netwerk. Er kan nu ook gebruik worden gemaakt van de divide and conquer methode voor het oplossen van problemen, omdat de problemen meestal terug te voeren zijn tot een bepaalde module. Vereenvoudigde schaalbaarheid. Een gebouw toevoegen aan de Campus, een remote locatie aan de WAN module toevoegen of servers aan de Server Farm toevoegen is een heel eenvoudige taak. Het model is opgebouwd uit de volgende 3 modules: Enterprise Campus, Enterprise Edge en Service Provider Edge. Figuur 1.1 The Enterprise Composite Network Model Redundantie 6

8 Deze modules worden vervolgens nog verder onderverdeeld: Enterprise Campus: deze module bevat alle netwerkelementen, die afhankelijk van elkaar functioneren binnen één locatie. Er zijn geen externe verbindingen of internet toegang. Enterprise Edge: deze module is belast met het filteren van verkeer afkomstig van de Service Provider Edge modules en routers, bestemt voor de Enterprise Campus. In de Enterprise Edge zijn alle netwerkelementen ondergebracht die bijdragen tot efficiënte en beveiligde communicatie tussen de Enterprise Campus en externe locaties, business partners, mobiele gebruikers en het internet. Service Provider Edge: deze module wordt meestal niet geïmplementeerd door de organisatie zelf, maar is wel noodzakelijk voor de communicatie met andere netwerken. Vaak worden in deze module verschillende WAN-technologieën en verschillende ISP s gebruikt. Enterprise Campus Module De Enterprise Campus module is vervolgens weer verder onderverdeeld in een viertal submodules, namelijk: 1. Campus Infrastructure module Building Access Building Distribution Campus Backbone 2. Network Management module 3. Server Farm module 4. Edge Distribution module Figuur 1.2 The Enterprise Campus Module The Campus Infrastructure Module is opgebouwd uit de submodules Building Access, Building Distribution en Campus Backbone. Redundantie 7

9 Building Access De Building Access module bevat de werkstations van de eindgebruikers, IP telefoons, netwerk printers en OSI-layer 2 Access switches voor het verbinden van de verschillende netwerkelementen met de Building Distribution module. De Building Access module zorgt voor belangrijke services, zoals broadcast onderdrukking, protocol filtering, netwerk toegang en het markeren van Quality of Service. Building Distribution De Building Distribution zorgt voor het samenvoegen van de Building Access netwerken, door gebruikt te maken van OSI-layer 3 switching. De Building Distribution module zorgt voor routing, QoS en Access control. Als iemand van de Building Access bepaalde data opvraagt, dan gaat deze request door de Building Distribution naar de Campus Backbone. Campus Backbone De Campus Backbone zorgt voor een snelle verbinding tussen de verschillende locaties en tussen de Server Farm en Edge Distribution modules. In de Backbone moet het verkeer zo snel mogelijk gerouteerd en geswitched worden tussen de verschillende modules. In de Campus Backbone kunnen OSI-layer 2 en 3 switches zitten, die zorgen voor de snelle doorvoermogelijkheden en de daarbij toegevoegde routing, Quality of Service en security eigenschappen. Network Management Een ander onderdeel van de Enterprise Campus is de Network Management module. Deze module zorgt voor de intrusion detection, system logging en authenticatie. Verder zorgt deze module voor het monitoren van het netwerk en voor het algemene configuratiemanagement. Voor deze configuratie doeleinden is het aanbevolen dat er een connectie, vanuit een netwerk waar geen productie plaatsheeft, aanwezig is naar alle andere netwerk componenten. De Network Management module zorgt voor het configuratiemanagement van bijna alle apparatuur binnen het netwerk met behulp van routers en dedicated network management werkstations. Hiervoor is dan een applicatie benodigd, zoals bijvoorbeeld een Cisco Works of een HP OpenView. Server Farm In de Server Farm worden alle interne en bedrijfsservers, die services aanbieden voor de interne users, ondergebracht. Bij deze services kunnen de volgende zaken zijn inbegrepen: applicatie, file, print, en Domain Name System (DNS) en LDAP services. Om dat de toegang tot deze servers voor het bedrijf van vitaal belang is, worden de servers verbonden met 2 switches. Op deze manier is er volledige redundantie en kan er gebruik worden gemaakt van load-sharing. De Server Farm switches zijn op hun beurt weer redundant verbonden met de switches uit de Core (Campus Backbone). Dit zorgt voor een hoge betrouwbaarheid en beschikbaarheid van alle servers in de Server Farm. Redundantie 8

10 Edge Distribution De laatste module die nog bij de Enterprise Campus is inbegrepen, is de Edge Distribution module. Deze voegt de verschillende modules van de Enterprise Edge samen en routeert dit verkeer naar de Campus Backbone. De Edge Distribution is op dezelfde manier opgebouwd als de Building Distribution module. Ook de Edge Distribution gebruikt ACL s (access control lists) om het verkeer te filteren, hoewel bij de Edge Distribution nog extra beveiliging is ingebouwd, omdat een gedeelte van het verkeer afkomstig is van de buitenwereld. Enterprise Edge Naast de Enterprise Campus bevat het Enterprise Composite Model ook een Enterprise Edge module. De Enterprise Edge module is opgebouwd uit de volgende submodules: E-commerce Internet Connectivity Remote Access en VPN WAN Figuur 1.3 The Enterprise Edge E-commerce De E-commerce module zorgt ervoor dat de organisatie gebruik kan maken van E-commerce applicaties en dat op die manier een concurrentie voordeel kan worden behaald ten opzichte van andere organisatie met behulp van het internet. Internet Connectivity Gebruikers van het internet maken via de Internet Connectivity module verbinding met de publieke servers van de organisatie. Ook wordt via de Internet Connectivity module Virtual Private Network (VPN) verkeer doorgelaten richting de Remote Access en VPN module, die hierna besproken zal worden. Dit VPN verkeer is afkomstige van externe gebruikers of externe locaties Redundantie 9

11 Remote Access en VPN Zorgt voor het VPN verkeer, afkomstig van de Internet Connectivity module, van de externe locaties en gebruikers. Deze module kan zowel VPN verkeer beëindigen alsook initiëren. In deze module komen ook de gebruikers binnen, die inbellen via een analoog netwerk, het zogenaamde Public Switched Telephone Network (PSTN). Nadat deze gebruikers zijn geauthentificeerd, worden ze toegelaten tot het interne netwerk. WAN De laatste submodule van de Enterprise Edge is de WAN module. De WAN modules routeert het verkeer tussen de externe locaties en het interne netwerk. In de WAN module zijn alle gehuurde, optische, kabel, Digital Subscriber Lines (DSL) en draadloze verbindingen ondergebracht. Ook zijn hier de data link protocollen, Frame Relay, ATM en PPP ondergebracht. Implementatie Hieronder zien we een voorbeeld van een netwerk welk is ingedeeld volgens het Enterprise Composite Network model. Dit standaard netwerk is volledig operationeel zoals weergegeven, echter zit er nog geen enkele vorm van redundantie in verwerkt. Figuur 1.4 Netwerk design basis Redundantie 10

12 1.2 Link redundantie De meest eenvoudige manier van netwerk redundantie is link redundantie. Door een link te vervangen door een twee links wordt de kans kleiner dat onderdelen van het netwerk niet meer bereikbaar zijn. Echter zou het dubbel uitvoeren van alle links in een netwerk een enorme kostenpost met zich mee brengen. Niet alleen zouden de kosten voor bekabeling verdubbelen, maar ook het aantal switchpoorten, walloutlets, patchpunten, netwerkkaarten en router interfaces zouden verdubbelen. Dit zou daarmee ook de kosten voor de apparatuur drastisch omhoog halen. Daarom is het van belang te bepalen waar in een netwerk een dubbele link voordelen biedt, en waar niet. Wanneer? In de Building Access is er niet overal een noodzaak link redundantie aan te brengen. Een link naar de werkplek is erg belangrijk voor de eindgebruiker, maar een organisatie komt niet stil te liggen wanneer een eindgebruiker tijdelijk geen verbinding kan maken met het netwerk en de daarvan afhankelijke services. De reden waarom er op de meeste werkplekken toch meerdere aansluitingen beschikbaar zijn, komt doordat er tijdens het aanleggen van het netwerk rekening gehouden is met eventuele groei. Een link tussen Building Access en Building Distribution, of de koppeling daarvan met de bijvoorbeeld de Campus Backbone daarentegen, zijn van een veel groter belang. Bij het uitvallen van een dergelijke link, zijn veel meer eindgebruikers en andere services gemoeid dan bij een link naar de desktop. Daarom zien we dan ook dat dergelijke koppelingen redundant worden uitgevoerd. Ook de aanwezige servers in de ServerFarm moeten redundant worden gekoppeld aan het netwerk. Servers worden benaderd door een grote groep gebruikers. Veel services zijn afhankelijk van de fysieke servers waarop ze draaien. Daarom is de ServerFarm Distribution een cruciaal koppelpunt van het hele netwerk. De koppeling naar de Campus Backbone moet dubbel worden uitgevoerd. Ondanks de redundantie die in een server kan worden ingebouwd, is het verstandig om ook de koppeling met het netwerk van de servers ten alle tijden redundant uit te voeren. Dit kan eenvoudig door het plaatsen van een tweede netwerkkaart. Etherchannels Redundantie kan worden gebruikt om de beschikbaarheid te verhogen, echter is het volkomen onzinnig om een tweede link in het netwerk te plaatsen, en deze vervolgens niet gebruiken. Door beide links te gebruiken, kunnen hogere snelheden worden behaald, of kunnen bepaalde services beter worden bedient over een aparte link. het verkeer spreiden over het netwerk om zo de links en de aangesloten devices te ontzien van een te hoge load. Wanneer men dit echter toepast, moet er wel rekening gehouden worden met de maximale belasting van een enkele link. Zodat, wanneer een van de beide links uit valt, de andere link niet overbelast raakt en ook faalt. Redundantie 11

13 Een goed voorbeeld van link redundantie welke tevens een hogere bandbreedte oplevert, is de 802.3ad Link Aggregation standaard van IEEE. Echter is het niet gelukt om deze standaard te bemachtigen vanwege de daaraan verbonden kosten. Hieronder volgt een omschrijving van Etherchannel zoals Cisco deze heeft opgezet. Foundry gebruikt nagenoeg dezelfde vorm van Etherchannel en beide zijn gebaseerd op dezelfde principes. Een Etherchannel voorziet in een eenvoudige en relatief goedkope manier om groei op te vangen in een netwerk en tevens een extra vorm van redundantie aan het netwerk toe te voegen. Het is niet noodzakelijk om nieuwe apparatuur te kopen om gebruik te kunnen maken van Etherchannels. Meerdere actieve parallelle links op een switch zorgen normaal gesproken voor bridging loops. Door middel van Etherchannel voorkom je dit door het bundelen van meerdere fysieke parallelle links naar een logische link, die te gebruiken is als access link of trunk link. Het is wel vereist voor beide switches, of andere netwerkcomponenten, aan de beide uiteinden van de Eterchannel dat deze zijn geconfigureerd voor Etherchannel. Ondanks het feit dat een Etherchannel Link wordt gezien als één logische link, zal deze link desalniettemin niet de totale bandbreedte overnemen die gelijk is aan de som van de bandbreedten van de fysieke links. Bijvoorbeeld, stel je hebt een FEC link van 4 full-duplex, 100 Mbps Fast Eternet links. Ondanks dat het mogelijk is voor de FEC link om een throughput te leveren van 800Mbps, zal de FEC niet werken op deze snelheid. In plaats daarvan, zal het verkeer worden gespreid door middel van load-balancing, over de individuele fysieke links. Ieder van deze links werkt op een snelheid van 200 Mbps full-duplex, maar draagt alleen de frames die door de Etherchannel hardware op de link worden geplaatst. Etherchannel biedt redundantie door deze verschillende gebundelde links. Wanneer een van de links in de bundel niet werkt, zal het verkeer worden omgeleid via een naastliggende link. Failover vindt plaats in minder dan een paar milliseconden en is niet merkbaar voor de eindgebruiker. Wanneer er meerdere links down gaan, zal de data verder worden verschoven naar andere links. Terug redenerend, wanneer links worden hersteld, zal het verkeer weer worden verdeeld over de actieve links. Etherchannels kunnen alleen worden opgebouwd uit dezelfde ethernet type en snelheden. Data over een Etherchannel wordt gedistribueerd over de individuele gebundelde links op een weloverwogen wijze. Desondanks wordt de data niet evenredig verdeeld over alle links, maar zullen frames op specifieke links worden geplaatst aan de hand van een special hashing algoritme. Dit algoritme maakt gebruik van het source IP adres, destination IP adres, een combinatie van source en destination IP adres, source IP en MAC adres, of TCP/UDP poortnummers. Het algoritme creëert een binair patroon welke een link nummer in de bundel zal selecteren. Redundantie 12

14 Wanneer slechts één adres of poortnummer wordt gehashed, zal de switch ieder frame forwarden door een of meer low-order bits van de hash waarde als een index naar de gebundelde links te gebruiken. Als twee adressen of poortnummers worden gehashed, zal een switch een XOR uitvoeren op een of meer van de low-order bits van de adressen of TCP/UDP poortnummers, en deze als een index naar de gebundelde links te gebruiken. Bijvoorbeeld, een Etherchannel bestaande uit 2 gebundelde links vereist een one-bit index. Of wel de lowest order adres bit of de XOR van het laatste bit van het adres in het frame wordt gebruikt. Een 4 link bundel gebruikt een hash van de laatste twee bits. Vergelijkbaar, een 8 link bundel gebruikt een hash van de laatste 3 bits. De uitkomst van deze gehashte bits selecteert de juiste Etherchannel link. De tabel op de volgende bladzijde laat de resultaten zien van een XOR op een 2 link bundel, gebruik makend van het source en destination IP adres. Binair adres 2-link Etherchannel XOR en Link nummer Addr1: xxxxxxx0 Addr2: xxxxxxx0 xxxxxxx0: gebruik link 0 Addr1: xxxxxxx0 Addr2: xxxxxxx1 xxxxxxx1: gebruik link 1 Addr1: xxxxxxx1 Addr2: xxxxxxx0 xxxxxxx1: gebruik link 1 Addr1: xxxxxxx1 Addr2: xxxxxxx1 xxxxxxx0: gebruik link 0 De XOR wordt onafhankelijk uitgevoerd op iedere bit positie in de adres waarde. Als de twee adres waardes dezelfde bit waarde hebben, zal de XOR uitkomst 0 zijn. Als de twee adres bits anders zijn, wordt de XOR uitkomst 1. Op deze wijze kunnen frames statistisch gezien verdeeld worden onder de links met de veronderstelling dat de MAC en IP adressen statistisch gezien verdeeld zijn over het netwerk. In een 4 link bundel wordt de XOR uitgevoerd op de 2 lower bits van de adres waarde welke resulteert in een, 2-bit XOR waarde (ieder bit wordt apart gecreëerd), of een link nummer van 0 tot 3. A1: xxxxx000 A2: xxxxx000 (Dezelfde Adres bits) A1: xxxxx000 A2: xxxxx111 (Verschillende Adres bits) Bundel 2-link Link index 0 (0) (laagste) Link index 1 (1) (hoogste) 4-link Link index 00 (0) (laagste) Link index 11 (3) (Hoogste) 8-link Link index 000 (0) (laagste) Link index 111 (7) (Hoogste) Als voorbeeld, neem een packet dat wordt verzonden van IP adres naar Omdat Etherchannels kunnen worden opgebouwd van 2 tot 8 individuele links, hoeven alleen de 3 meest rechtse (minst belangrijke) bits worden gebruikt als link index. Deze bits zijn respectievelijk 001 (1) en 110 (6). Voor een 2 link bundel zal een one-bit XOR worden uitgevoerd op de meest rechtse adres bit: 1 XOR 0 = 1, welke resulteert in het gebruik van link 1. In een 4 link Etherchannel produceert een two-bit XOR: 01 XOR 10 = 11, welke resulteert in het gebruik van link 3 in de Redundantie 13

15 bundel. Als laatste zal er in een 8 link bundel een drie bit XOR worden uitgevoerd. 001 XOR 110 = 111, welke resulteert in het gebruik van link 7. Een conversatie tussen twee apparaten zal altijd plaatsvinden over dezelfde links, omdat de eind IP adressen hetzelfde blijven. Echter wanneer een apparaat met verschillende andere apparaten zal communiceren, is de kans groot dat de eind IP adressen even en oneven waarden zullen hebben en zal dit resulteren in een andere XOR waarde en hierdoor een andere link. Implementatie Figuur 1.5 laat duidelijk zien welke links redundant kunnen worden uitgevoerd binnen een netwerk. Alle koppelingen tussen de Backbone en de Distribution laag, redundant zijn uitgevoerd om connectiviteit te behouden tussen alle belangrijke componenten. Alle servers hebben een redundante verbinding gekregen met de ServerFarm Distribution. Servers zijn vele malen belangrijker, omdat grote groepen van eindgebruikers van een enkel systeem gebruik maken. Als laatste zien we dat er is gekozen voor een FEC oplossing tussen de Building Access en de Building Distribution om hogere snelheden te kunnen realiseren met goedkopere UTP oplossingen met een beperkte vorm van redundantie doormiddel van de meerdere fysieke links. Figuur 1.5 Netwerk Design met link redundantie Redundantie 14

16 2.3 Device Redundantie Naast link redundantie kan er op netwerk niveau ook gekeken worden naar Device redundantie. Het vervangen van een link verdubbeld weliswaar de beschikbaarheid van de fysieke link, echter wanneer een van de aangesloten devices van de links uitvalt, is er nog altijd geen verbinding mogelijk. De kans dat een interface uitvalt is natuurlijk vele malen groter, dan de kans dat een volledig device uitvalt. Op cruciale punten binnen het netwerk is het toch van belang om deze vorm van redundantie toe te voegen. Device redundantie kan op meerder manieren worden toegepast. Zo kan actief een extra device mee draaien binnen het netwerk. Volledig ingericht met vergelijkbare capaciteiten als het hoofd device, maar kan het ook voorkomen dat er van de aanwezige apparatuur een apparaat, voor geconfigureerd, op de plank staat. Deze kan dan worden ingezet op het moment dat een actief component uitvalt. Passieve device redundantie Deze vorm van redundantie resulteert in korte downtime, echter het grote voordeel hiervan is dat, wanneer er meerdere dezelfde apparaten in het netwerk draaien, deze spare op meerdere plaatsen kan worden ingezet en daarmee de kosten van redundantie flink kan verlagen. Het enige dat verandert hoeft te worden zijn de configuratie files op de spare. Doordat veel kosten worden bespaard, moet genoegen worden genomen met een lagere beschikbaarheid door de beperkte downtime bij het omwisselen van de spare met het actieve device. Deze vorm van redundantie kan goed worden toegepast op de Building Access. Wanneer een netwerk modulair is opgebouwd, zijn alle switches binnen de Building Access van vergelijkbaar niveau. Zeker wanneer er standaardisatie is uitgevoerd op de apparatuur. Door de minder grote impact op de organisatie kan een Access switch best 5 minuten down gaan, zonder dat dit catastrofale gevolgen heeft voor het bedrijfsproces. Het zijn alleen maar enkele eindgebruikers welke offline gaan, en geen belangrijke services. Natuurlijk is dit volledig afhankelijk van de organisatie. Een helpdesk kan bijvoorbeeld niet onbereikbaar zijn, en zal daarom ook een actieve vorm van redundantie prefereren. Actieve device redundantie Actieve redundantie kan op vele manieren worden toegepast. Veelal worden in grote netwerken de multi-layer switches in de Campus Backbone en alle Distribution switches door het hele netwerk actief redundant uitgevoerd. Dit is noodzakelijk vanwege de grote impact op de organisatie in het geval van uitval. Door het hele netwerk komen er kruiskoppeling tussen alle belangrijke componenten. Het grote voordeel van deze vorm van redundantie is dat gebruik kan worden gemaakt van de extra switching power and bandbreedte van de extra switch zolang beide systemen volledig functioneren. Deze extra bandbreedte en switching capaciteit zijn zeker erg nuttig voor de Backbone. Echter moet er wel rekening worden gehouden met de maximale belasting van de Redundantie 15

17 apparatuur. Een enkele switch moet eenvoudig alle load van het netwerk kunnen dragen. Het mag namelijk niet zo zijn dat wanneer een van de switches uitvalt, de ander switch volloopt en ook uitvalt. Dit zou een enorm probleem opleveren voor de organisatie. Onderhoud Bij zowel actieve alsook passieve redundantie, kan een organisatie zijn voordeel opdoen wanneer er onderhoud moet worden gedaan. Doordat devices uitval kunnen opvangen, zal onderhoud minder problemen en risico s met zich mee brengen. Er zijn altijd risico s verbonden aan onderhoud, maar op het moment dat een netwerk nog kan blijven functioneren bij onderhoud, maakt het werk vele malen eenvoudiger. Echter moet onderhoud ten alle tijden worden gepland op low-impact momenten, bijvoorbeeld s nachts of in het weekend. Ook bij redundante opstellingen kan het voorkomen dat functionaliteit komt te vervallen of zelfs volledig weg valt in tijden van onderhoud. Dit komt omdat er op het moment van onderhoud, misschien geen redundantie meer in plaats is of alleen nog maar passieve redundantie in plaats van actieve redundantie. Bij actieve redundantie kan in korte tijd het netwerk onder handen worden genomen. Eerst wordt de eerste helft van de redundante devices down gebracht, gepatched, geupdate of opnieuw geconfigureerd. Wanneer deze onderdelen wederom actief in het netwerk mee draaien, worden de resterende devices onder handen worden genomen. Dit is een maximale belasting van de redundante omgeving, en het wordt dan ook aangeraden om dit in meer dan twee fases uit te voeren, om de risico s en impact te minimaliseren Bij passieve redundantie kan ervoor gekozen worden om een actief apparaat te vervangen door de reeds aangepaste spare, en de devices een voor een uit de opstelling te rouleren om zo alle onderdelen te kunnen onderhouden. Er moet rekening worden gehouden met de risico s van het inzetten van de spare. Op dit moment is er geen volledig functionerende spare aanwezig en is de redundantie gecompromitteerd. Wederom, plan onderhoud op low-impact tijden. Deze manier van onderhoud kan ook worden toegepast bij actieve redundantie, wanneer er ook hier een spare aanwezig is. Dit zou de risico s nog verder minimaliseren. Switch redundantie Door het hele netwerk worden er vele multi-layer switches ingezet zodat naast het normale switchen van het verkeer, bijvoorbeeld ook Quality of Service (QoS) kan worden toegepast en routing capaciteiten kunnen worden benut om het verkeer in de distribution layer zo effectief mogelijk te kunnen afhandelen. Dankzij deze intelligente switches is het mogelijk om naast het redundant uitvoeren van de switches ook Load Balancing toe te passen. Zowel de Campus Backbone, alsook alle Distribution switches zijn redundant uit te voeren. Dankzij deze redundantie, heeft een Building Access switch ten alle tijden een tweede pad naar de Distribution laag. Hiertussen zal spanning tree voorkomen dat er loops ontstaan. Door het spanning tree protocol te Redundantie 16

18 beïnvloeden op de Distribution Layer kan er vrij eenvoudig een scheiding worden aangebracht tussen het verkeer van de verschillende VLAN s van de Building Access switches. Op de Distribution switches kan er eenvoudig load balancing worden toegepast op de trunks naar de beide Campus Backbone switches. Deze switches zijn niet bedoelt om QoS of routing functies uit te voeren, maar om met hoge snelheden, massa s data te switchen. Om deze functies goed uit te kunnen voeren is het van groot belang dat alle intelligentie op de Distribution layer plaatsvindt. Router redundantie Voor belangrijke koppelingen naar externe netwerken, kunnen routers redundant worden uitgevoerd om zo geen single point of failure te veroorzaken. Voor router redundancy maakt men gebruik van virtual routers. Dit is zijn twee of meer fysieke routers, welke logisch gekoppeld zijn aan een virtueel IP adres. Een router zal als standby fungeren voor de master router. De clients spreken niet met een fysiek IP adres, maar het virtueel IP adres van de groep. Op het moment dat de master router uitvalt, zal binnen enkele seconden de standby router de rol van zijn master overnemen en kan het verkeer gewoon verder stromen. Een client merkt hier nagenoeg niets van. Er zijn een aantal verschillende router redundancy protocollen beschikbaar, afhankelijk van het merk van de apparatuur. De meeste van deze protocollen zijn helaas proprietary. Zo is er het Hot Standby Routing Protocol (HSRP) van Cisco, het Foundry Standby Routing Protocol (FSRP) van Foundry en het IP Standby (IPSTB) protocol van DEC alleen bruikbaar op deze platvormen. HSRP, ondanks dat het een proprietary protocol is, vind veel ondersteuning vanuit de IT wereld. Het is iets uitgebreider dan alle andere protocollen en geeft de gebruiker meer vrijheid bij het configureren van de virtual routing groups. Echter het is een proprietary product en hierdoor heeft Cisco een enorme markt laten liggen. Door het succes van HSRP mede alsook IPSTB, ontstond er de behoefte naar een standaard, die is er gekomen in het Virtual Router Redundancy Protocol VRRP, RFC Virtual Router Redundancy Protocol Het Virtual Router Redundancy Protocol kan doormiddel van de standby / master opstelling ten alle tijden een router actief laten routeren. De enige downtime welke overbrugt moet, zijn de een á twee seconden welke het duurt alvorens de standby router begrepen heeft dat de master is komen te vervallen, en de Master functie overneemt. Wanneer een Virtual Routing group is gedefinieerd vind er een electie procedure plaats binnen het Virtual Routing Protocol. Alle communicatie tussen de routers in de routing group gaan naar het Virtual Router multicast adres Alle routers binnen een zelfde routing group zullen tijdens de electie periode een master router kiezen, en vervolgens hun rol van master of standby aannemen. Een virtuele router bestaat altijd uit twee of meer routers. Redundantie 17

19 Figuur 1.6 Virtuele Router met VRRP Figuur 1.6 laat twee routers zien welke zijn geconfigureerd in een Virtual Routing Group met VRID 1. Een van de routers heeft duidelijk de rol van master aangenomen, en zal al het verkeer bestemd voor de virtuele router afhandelen. Tevens zal de master router op naar de standby router in laten weten dat deze nog steeds actief is. VRRP maakt gebruikt van de volgende attributen: VRID: De Virtual Router Identifier geeft het nummer aan van de Virtual Router group waarvan de router lid is. Dit kan een waarde zijn tussen de 1 en de 255. Er bestaat geen default waarde. Priority: Het priority veld wordt gebruikt door VRRP om tijdens de router electie procedure te bepalen welke router Master wordt. De priority waarde van 255 is gereserveerd voor de router welke de eigenaar is van het IP adres van de virtuele router. De waarde van 0 is gereserveerd voor een actieve master van een virtual router om aan te geven dat deze de verantwoordelijkheid van master wil afstaan.de range van is beschikbaar voor VRRP routers welke niet master zijn, en niet eigenaar van het IP adres van de virtuele router. De default waarde is 100. IP_addresses: Een of meer IP adressen welke worden geassocieerd met de virtual router. Er is geen default. Adver_interval: tijd interval tussen advertisements. De default is 1 sec. Skew_time: tijd tussen het overnemen van de master functie door de backup na het verlopen van de Master_down_int( (256 priority)/256 ) Master_down_interval: tijdinterval voordat de backup de master als down beschouwd ( (3 x Advertisement_interval) + skew_time ) Preempt_mode: Een router met een hogere priority kan master functie overnemen, van een actieve master op het moment dat de waarde van deze flag op true staat. Default staat deze altijd op true. Ongeacht de waarde van deze flag, zal de router welke eigenaar is van het IP adres tem alle tijden de master functie overnemen wanneer deze functioneel is. Redundantie 18

20 Virtuele routers met VRRP kunnen drie states aannemen, Initialize, Master of Backup. Initieel staan alle routers van de routing group in de Initialize state. In deze state zal de router VRRP berichten multicasten naar en verder wachten tot er een startup event getriggered wordt. Dit kan gebeuren doordat de router een VVRP pakket ontvangt welk is bestemd voor de routing group waar deze deel van uitmaakt. Op dat moment gaat de router het ontvangen pakket bekijken en zal de electie procedure beginnen. De router met priority 255, of te wel de eigenaar van het virtueel IP adres, zal de Master state aannemen. Alle andere routers waarmee gecommuniceerd wordt, zullen Backup state aannemen. Een router in Master state heeft een aantal verantwoordelijkheden. Allereerst moet de master router moet alle ARP request welke aan het virtueel IP adres zijn gericht afhandelen. Daarnaast moet deze alle pakketten welke aan het MAC adres, het virtueel IP adres of een van de IP adressen op zijn eigen fysieke interfaces is gericht afhandelen. De Master moet echter geen verkeer afhandelen dat aan fysieke interfaces van andere routers in de routing group is geadresseerd. Een router in Backup state moet allereerst opletten of de Master router nog steeds periodiek updates verstuurd. Wanneer de Master_down_timer hoger is dan de Master_down_interval ( (3 x Advertisement_interval) + skew_time ) dan moet de Backup Router met de hoogste priority de Master state overnemen. Daarnaast moet een Backup router de Master state aannemen wanneer de Master een update verstuurd met Priority 0. Dit betekend dat deze (gepland) down zal gaan en zijn rol van Master wil afstaan. Een Backup Router mag geen aan het virtueel IP adres gerichte ARP request afhandelen. Pakketten gericht aan het MAC adres, alsook IP adressen van de virtuele router moeten worden negeert door de Backup router. Pakketen gericht aan zijn eigen fysieke IP adressen mogen wel worden geaccepteerd. Binnen VRRP kunnen routers lid zijn van meerdere routing groups. Op deze manier kunnen routers meerdere subnets bedienen. Een virtual routing group kan slechts lid zijn van 2 subnets. Een aan de inbound interface, en de andere aan de outbound interface. Door de routers lid te maken van twee routing groups, kunnen er = 4 subnets worden bediend. Voor iedere routing group waaraan een router wordt toegevoegd kunnen twee extra subnets worden bediend. Figuur 1.7 laat de routers uit het eerdere voorbeeld zien, maar nu geconfigureerd om deel uit te maken van twee routing groups. Router A is Master van VRID 1 en is tevens Backup voor VRID2. Router 2 is Backup voor VRID 1 en Master voor VRID 2. Redundantie 19