Bevor der Administrator darüber nachdenkt, was er für die Virtualisierung seiner Unternehmens-IT benötigt, muss er sich für eine bestimmte Form entscheiden. Im ursprünglichen Sinn wird zunächst zwischen Soft- und Hardwarevirtualisierung unterschieden. Virtualisierung auf der Softwareschicht bedeutet im kleinsten Szenario die Simulation einer Anwendung und reicht bis zum kompletten Betriebssystem. Bei der Anwendungsvirtualisierung werden Programme ausgeführt, die lokal nicht installiert sind. Die Anwendung läuft in einer virtualisierten Umgebung, die Konflikte mit anderen Applikationen oder dem Betriebssystem verhindert.
Der nächste Schritt ist die Vitualisierung des kompletten Betriebssystems. Das Betriebssystem kann entweder als virtuelle Maschine bereitgestellt werden oder als Container. Container sind gut in das Wirtssystem integriert, können aber auch nur dieses laden. Beispiele für diese Form der Virtualisierung sind Virtuozzo von Parallels und das unter der GPL stehende OpenVZ, das ebenfalls von Parallels unterstützt wird.
Virtuelle Maschinen sind flexibler als OS-Container. Sie können auch andere Betriebssysteme starten und sind damit unabhängiger vom Wirtssystem. Hierbei wird ein Hypervisor gestartet, der die vorhandenen Ressourcen intelligent verteilt und dem Benutzer einen kompletten Rechner mit CPU, Laufwerken und Arbeitsspeicher vorgaukelt. Das Verteilen der Ressourcen geschieht entweder mit Hardware-Emulation oder -Virtualisierung oder im Wege einer sogenannten Paravirtualisierung.
Bei der Emulation simuliert die virtuelle Maschine die gesamte Hardware. So können auch für andere Prozessorarchitekuren ausgelegte Betriebssysteme als Gast laufen. Die Emulationsschicht des Hypervisors spiegelt dabei dem Gastsystem vor, es sei alleiniger Herr über die Hardware. Das ist beispielsweise der Fall bei den Workstation-Produkten von Parallels und VMware Workstation, aber auch bei Microsofts VirtualPC oder dem unter Linux genutzten QEMU.
Nicht ganz so weit geht es bei der Hardwarevirtualisierung. Hier erhält das Gastbetriebssystem nur einige Teile der physisch vorhandenen Hardware in virtueller Form. So kann das Gastsystem in einer isolierten Umgebung laufen. Es muss aber für die gleiche Prozessorarchitekur ausgelegt sein wie der Wirt. Diese Form der Virtualisierung wird unterstützt von Microsofts VirtualPC, aber auch von KVM oder XEN, sofern der Hypervisor auf modernen AMD- oder Intel-Prozessoren mit Virtualisierungstechnologien wie VT-x oder Pacifica läuft.
Die größte Leistung verspricht jedoch die Paravirtualisierung. Damit kann eine möglichst einfache virtuelle Maschine gebaut werden, in der keine Hardware emuliert oder virtualisiert wird. Die Gastsysteme verwenden hierbei eine abstrakte Verwaltungsschicht, über die sie auf gemeinsam genutzte Ressourcen wie Festplattenspeicher und Netzwerkanbindung zugreifen.
Netzwerke virtualisieren
Im Gegensatz zur Virtualisierung von Anwendungen oder Betriebssystem ist bei virtuellen LANs keine virtuell erzeugte Hardware im Spiel. Der Hauptaspekt liegt bei VLANs vielmehr in der Unterteilung größerer Netzwerke. Das kann aus mehreren Gründen sinnvoll sein: Der Administrator will womöglich Endgeräte flexibel zu Netzwerksegmenten zuordnen, oder er möchte einen bestimmten Datenverkehr, etwa für VoIP, priorisieren. Vielleicht soll auch mithilfe zusätzlicher Broadcast-Domänen das Broadcasting eingedämmt werden.
Möglicherweise geht es auch um die Sicherheit, und das Teilnetz soll vor Angriffen wie MAC-Spoofing geschützt werden. Das kann zwar auch auf einem anderen Wege erreicht werden, aber VLANs bieten meist mehr Flexibilität. Allerdings sind hierfür die Preise höher, doch dafür kann man mit VLANs eventuell auch auf mehrere Einzelgeräte verzichten.
Foto: Netgear
Für virtuelle Netzwerke benötigt man entsprechende Switches. Innerhalb dieser werden ein oder mehrere logische Teilnetze aufgebaut, sogenannte VLANs. Moderne Switches arbeiten auf der dritten Schicht des OSI-Modells. Sie stellen Router-Funktionen zur Verfügung, um den Datenverkehr transparent zu vermitteln. Außerdem sorgen sie dafür, dass Datenpakete nur innerhalb des jeweiligen VLANs weitergeleitet werden - unabhängig davon, ob die VLANs über gemeinsame Switches verbunden sind. Denn anstelle von Port-Zuweisungen an den Switch können VLAN-Datenpakete beispielsweise auch über IP- oder MAC-Adressen sowie mit speziellen Markierungen zugeordnet werden.
Sollen mehrere Switches zu einem VLAN verbunden werden, benötigt man für jedes VLAN ein eigenes Kabel. Bei mehreren VLANs kann man auch sogenannte VLAN-Trunks nutzen. Dabei werden per asynchronem Multiplexing Daten der unterschiedlichen Teilnetze über eine einzige Verbindung weitergeleitet.
Switches mit tagged VLANs sind Pflicht
Früher gab es nur Port-basierte VLANs. Dabei wurde ein Switch Port-weise in mehrere logische Switches unterteilt, und diese wurden per Router verbunden. Heutzutage werden jedoch meist sogenannte paketbasierte "tagged" VLANs eingesetzt. Bei diesen erhalten - im Gegensatz zu den Port-basierten VLANs - die Datenpakete zusätzliche Markierungen (Tags). Das erleichtert die Zuordnung zu den VLAN.
Foto: HP
Die technischen Voraussetzungen für diese Sorte von VLAN sind im Standard IEEE 802.1q festgelegt. Die Kompatibilität zu Port-basierten Systemen wird erreicht, indem die Tags bei Bedarf entfernt oder hinzugefügt werden. Das macht entweder ein Endgerät wie ein Tagging-fähiger Server oder der Switch am Einspeise-Port.
Ein Switch kann solche Datenpakete unverändert weiterleiten. Der empfangende Switch muss hingegen erkennen, ob er an ein Tagging-fähiges Endgerät ausliefert oder nicht - in dem Fall muss der Tag entfernt werden.
VLAN- und Tagging-fähige Switche lernen zumeist auch automatisch die Einstellungen der Trunkports. Das erfolgt wie das Lernen der MAC-Adressen. Ein Datenpaket mit VLAN-ID ordnet der Switch dem VLAN zu. Kommen in schneller Folge Pakete mit verschiedenen VLAN-IDs an, identifiziert und nutzt der Switch den Port als Trunkport.
Statische und dynamische VLAN
Ein VLAN kann statisch oder dynamisch konfiguriert werden. Bei statischen VLANs ordnet der Administrator dem Port eines Switches eine feste VLAN-Konfiguration zu. Die Konfiguration ist im Gegensatz zu dynamischen VLANs unveränderlich, und ein Endgerät kann nur noch mit den zugeordneten VLAN kommunizieren.
Dynamische VLANs können auf Basis der MAC- oder IP-Adresse zugeordnet werden. Es gibt auch die Möglichkeit, auf der Anwendungsebene nach TCP- oder UDP-Port-Nummern oder nach Netzwerkprotokollen zuzuordnen. So kann man beispielsweise ein IPX/SPX- von einem TCP/IP-Netz trennen. Dynamische VLANs erlauben es zudem, mobile Endgeräte wie Notebooks oder Tablets immer einem bestimmten VLAN zuzuordnen - egal, an welcher Netzwerkdose die Geräte angeschlossen werden.
Netzwerkkarte und Betriebssystem
Heutzutage hat man bei den Netzwerkkarten eher die Qual der Wahl. Denn 100-Mbit-Karten sind meist ebenso VLAN-fähig wie die noch schnelleren Gigabit-Karten. Der Großteil kann auch mit VLAN-Tags umgehen. Voraussetzungen dafür sind ein VLAN-fähiges Betriebssystem sowie aktuelle Treiber zur Karte.
Unter den "virtualisierten" Betriebssystemen sind ebenfalls alle aktuellen VLAN-fähig - das trifft sowohl auf unixoide wie Linux, Solaris oder AIX zu als auch auf die aktuellen Windows-Server-Ausgaben.
Greifen Sie bei den Karten am besten zu den höherwertigen Produkten von Herstellern wie 3Com, Adaptec, Compaq, DEC, HP, Intel, Packet Engines oder SysKonnect. Dabei können Sie eigentlich nichts falsch machen. Prüfen Sie aber unbedingt vor dem Kauf, ob es für das genutzte Betriebssystem entsprechende Treiber gibt. (hal)