Express Route: Circuits und VLANs

Wenn Sie das erste mal eine Express Route einrichten, dann sind sie meist verwirrt über die Begriffe VLANs und Circuits und bei mir war es auch so , bis ich mir meine eigene Herleitung entwickelt habe. Vielleicht hilft sie ihnen auch beim Verständnis einer Layer-2 ExpressRoute Anschaltung. Hier müssen Sie diese Einstellungen nämlich selbst vornehmen.

Das Microsoft Bild

Quasi zur Abschreckung zeige ich ihnen hier noch einmal die beiden Bilder, die in den Microsoft Dokumentationen immer wieder verwendet werden.

Vermutlich sind sie nun auch erst mal nicht schlauer als vorher, weil die Bilder schon alles zeigen aber eben nur das Endergebnis vorweg nehmen. Ich werde nun versuchen anhand eines rein lokalen Beispiels ganz ohne Office 365 die Anbindung zu erläutern.

Verwaltung und Produktion verbinden

Nun vergessen Sie einmal komplett Office 365, Internet und Cloud und stellen Sie sich eine mittlere Firma vor, die auf einem Geländer zwei Gebäude hat. In einen Gebäude ist die Verwaltung und der Serverraum und das andere Gebäude ist z.B. eine Produktionshalle oder die Konstruktion. Vor vielen Jahren wurden die beiden Standorte mit einem LWL-Kabel verbunden und die Switches leiten die Pakete einfach weiter.

Server und Clients stehen einträchtig nebeneinander. Das hat viele Jahre funktioniert aber dieses Konzept sieht natürlich weder eine Separierung von Servern und Clients (-> Sicherheit) vor noch sind sie durch das eine große Subnetz gegen Broadcast-stürme, DHCP-Angriffe etc. gesichert.

Redundanz und VLAN

Für die Redundanz haben Sie eine zweite Verbindung zwischen den Switches gelegt und zur Absicherung die Server von den Clients durch eine Firewall getrennt. Da es aber immer noch die gleichen Switches waren, wurde über VLANs eine Trennung zwischen Clients und Server realisiert.

Sie wissen ja, dass unterschiedliche Subnetze über ein VLAN-Tagging von einander logisch getrennt auf dem gleichen Übertragungsmedium koexistieren können. Sie sehen sich aber dennoch nicht. Auf dem Port, an dem der Server oder Client angeschlossen ist und das Paket ausgeleitet wird, muss das VLAN entsprechend "Untagged" werden. Pakete vom Client zum Switch müssen entsprechend mit dem VLAN-ID versehen werden.

Auf den Verbindungsstrecken werden dies VLANs dann als "TAGGED" konfiguriert, d.h. der Switch überträgt Pakete des VLANs mit aktivem TAG zum nächsten Switch. In dem Beispiel ist also das VLAN1 auf den LWL-Stecken "tagged". Es wäre sogar denkbar auch im anderen Gebäude einen Server an das VLAN2 anzuschließen. Ein Client aus der Konstruktion würde dann über sein VLAN bis zum Router in der Verwaltung gehen,. der das Paket dann in das andere VLAN routet und dann wieder zur Konstruktion zurück zum Server. Sicherlich nicht effektiv aber auf dem gleichen Campus machbar.

Zwei Subnetze sind nicht genug

Nun nehmen wir an, dass die Firma ist größer geworden ist oder es einfach viel mehr Endgeräte zu verwalten gibt. Es gibt Gäste-LANs, IoT-Netzwerke, IP-basierte Zutrittskontrollsysteme, Video-Überwachung und auch den "Ort" eines Clients könnte man doch einfach per IP-Adresse besser eingrenzen, wenn jedes Stockwerk pro Gebäude sein eigenes IP-Subnetz hätte.

Mit vielen VLANs macht ein zentraler Router natürlich wenig Sinn und die meisten modernen Switche sind ja eh "Layer 3- Switch", d.h. auch Router. So kann dann der Verkehr lokal schon zwischen den VLANs wechseln. Das Bild hier ist natürlich etwas für den nächste Kapitel zurecht gebaut. In einem LAN wird man zwei Dinge eher nicht machen.

  • Redundante Gebäude-Links als getrennte Subnetze definieren
    Man kann natürlich jede Leitung getrennt als Subnetze konfigurieren und zwei Leitwege pro Seite pflegen. In der Regel wird man aber solche Anbindungen als "Layer-2 Trunk" mit einem Subnetz definieren. Für meinen nächsten Schritt passt es aber besser, wenn es ein "Routing" ist.
  • Hier fehlt das VLAN-Spanning
    Ebenso wird man auch immer den Bedarf haben, dass ein VLAN über beide Gebäude hinweg geht, z.B. wenn es auf beiden Seiten Serverräume gibt und IP-Adressen von Diensten per NLB oder Cluster-Dienste auch mal schwenken. Das geht aber in der Cloud nicht und daher habe ich es absichtlich nicht abgebildet.

Aber wenn Sie sich das Bild hier anschauen, dann ist es schon ziemlich nahe am Express Route Bild am Anfang dieses Artikels. Wir sind aber noch nicht feritg.

Eigene Netzwerkzonen

Das letzte Modell krankt an einem zentralen Punkt: Alle IP-Subnetze sind miteinander per Routing verbunden.

Das ist insbesondere dann unschön, wenn die VLANs in unterschiedlichen Netzwerkzonen sind und sie auf jeden Fall dazwischen mit Firewalls zur Filterung arbeiten aber auch IP-Adressen, z.B.: per NAT umsetzen müssen. Dann wäre dieser eine logische Link der Schwachpunkt. Wenn die rechte Seite nun Office 365 ist, dann hat man quasi die drei Ziele, zu denen man eigene geroutete Verbindungen konfigurieren muss. Die Umsetzung zu den verschiedenen Zielen kann aber nicht in Azure erfolgen. Daher werden alle drei Netzwerkbereiche über drei VLANs zu ihnen übertragen.

Damit sind wir erst mal am Ende von "Circuits und VLANs" angekommen. Um nun natürlich die Dienste auch zu erreichen, müssen wir uns über das IP-Routing Gedanken machen. Die Informationen hierzu finden Sie auf Express Route IP-Routing.

Weitere Links