Topologien und Verkabelungsarten

15.05.2020

Für die effiziente Planung eines Netzwerkes sind vorab die verschiedenen Ansprüche an das Netz zu analysieren:

  • Wie schaut es mit der Ausfallsicherheit aus?
  • Welche Arten von Diensten werden auf dem Netz laufen?
  • Wie steht es um Latenz, Netzwerkpaketdichten und Bandbreiten?
  • Wie flexibel muss das Netz gestaltet sein?
  •  …

Gilt es z. B., die Bilddaten von Videokameras auf einen Speicher zu transferieren, so kann von einem starken Datenaustausch in einer Ebene, der vertikalen Hauptverkehrsachse, ausgegangen werden. Ist der Anspruch jedoch, dass Dienste über viele Server hinweg miteinander auf einer horizontalen Hauptverkehrsachse kommunizieren, so sollte die Topologie zur Reduzierung von Latenz und Ausfallmöglichkeiten anders gestaltet werden. Hinzu kommt in der Sicherheitstechnik noch der Anspruch, nicht nur innerhalb eines Gebäudes, sondern auch im Perimeter insbesondere Videokameras Ermittlung Seitenbedarf und Komponenten der Zutrittskontrolle anbinden zu wollen. Hier spielt dann zusätzlich der Überspannungsschutz sowie auch die physische Angreifbarkeit des Netzwerks über ungeschützte Datendosen im Perimeterbereich eine Rolle.

Für ebendiese Perimeterabsicherung bietet es sich an, eine Ringtopologie auf Basis von Lichtwellenleitern einzusetzen. Glasfaserkabel ohne metallischen Nagetierschutz bieten den Vorteil, dass diese potenzialfrei in das Gebäude eingeführt und größere Entfernungen überbrückt werden können. Dennoch wird ein Überspannungsschutz für die Elektroverkabelung zur Spannungsversorgung der aktiven Komponenten im Perimeter erforderlich sein. Aktive Komponenten wären im Falle von Sicherheitstechnik typischerweise Industrieswitches, an denen Videokameras und je nach Schutzbedarf auch andere Sicherheitstechnik über herkömmliche Netzwerkkupferkabel und RJ45-Stecker angeschlossen und mittels PoE (Power over Ethernet) versorgt werden können. Die Switches sind z. B. in einem Kameraanschlusskasten  im oder am Mast geschützt verortet. Die Ringtopologie muss von den Switches unterstützt werden. Die Ausfallsicherheit eines Rings ist sehr gut, da z. B. beim "Öffnen" des Rings durch einen Bagger die Daten über die andere Richtung übertragen werden.

Abbildung 1: Ring-Topologie
Bildquelle: lr/TeMedia Verlags GmbH

Abbildung 2: Baum-Topologie (Three-Teer-Topology)
Bildquelle: lr/TeMedia Verlags GmbH

Abbildung 3: Leaf-Spine-Topologie
Bildquelle: lr/TeMedia Verlags GmbH

Bewegt man sich nun mit der Netzwerkverkabelung in einem Gebäude , so werden die Endgeräte wie Videokameras, Tür-Controller und Clients sowie andere IoT- (Internet of Things) oder ICS-Geräte (Industrial Control System) mittels Kupfer an Switche angeschlossen. Diese Switche stellen den Zugang in das Netz bereit und werden daher als Access Switches  bezeichnet. Darunter befinden sich bei sehr großen Netzwerkinstallationen sogenannte Aggregation Switches, die den Datenverkehr, der über die Access Switches einläuft, bündeln, zu einer logischen Verbindung zusammenschalten und so auch zu einer Leistungssteigerung beitragen. Die Aggregationsebene kann auch zum Zweck von Loadbalancing eingesetzt werden und Schutzfunktionen übernehmen.

Hier sind nun auch die Server für Videomanagement, Gefahrenmanagement, Zutrittskontrolle, Kommunikation etc. sowie eventuell erforderliche Speichersysteme angebunden. Über der Aggregationsebene (Aggregation Layer ) wiederum befindet sich der Core Layer, der Routingfunktionen innerhalb des Netzes über Aggregation und Access Layer und zu anderen Standorten bzw. das Internet . Schaut man sich die Ausprägung der drei Ebenen an, so kann man darin einen  Baum erkennen. Folglich spricht man bei Realisierung einer Netzwerkstruktur, die aus Access, Aggregation und Core Layer besteht, von einer Baumtopologie, oder international: "Three-Teer-Topology" wegen ebendieser drei Layer. Die eine vertikale Hauptverkehrsachse mit möglicherweise vorhandenen engen Flaschenhälsen birgt aber gewisse Risiken, da trotz redundanter Anbindung der Ebenen untereinander immer nur eine Verbindung aktiv ist. Im Netz wird ein Baum gespannt, der durch das (Rapid) Spanning Tree Protokoll ((R)STP) verwaltet wird.

Für Datennetze, bei denen mit einem großen Datenverkehr auf horizontaler Ebene zu rechnen ist, zeigt die Baumtopologie die am Anfang des Artikels dargestellten Schwachpunkte. Wenn viel Datenverkehr über nur einen Switch geführt werden muss, kann es zu Einschränkungen hinsichtlich Bandbreite bzw. hohen Latenzen kommen und Probleme verursachen. Um diesem Schwachpunkt entgegenzuwirken, wurde die Leaf-Spine-Architektur entwickelt.

Hier bilden die Leaf Switches den Access Layer, der Aggregations Layer wird durch Spine Switches abgebildet. Jeder Leaf Switch ist mit jedem Spine Switch vollvermascht verbunden, sodass der horizontale Datenverkehr, der über einen Leaf Switch läuft, immer nur einen Hop vom nächsten Leaf Switch entfernt liegt. Die Gefahr von Flaschenhälsen ist bei der Leaf-Spine-Topologie wesentlich geringer. Hersteller sprechen hier auch gerne von einer Ethernet Fabric. Anstelle von STP wird in einer Leaf-Spine-Topologie auf Protokolle wie Trill (Transparent Interconnection of Lots of Links) oder SPB (Shortest Path Bridging) gesetzt. Die Leaf-Spine-Topologie wird eher im Rechenzentrum eingesetzt, um effizient auch mit Virtuellen LANs (VLANs) oder vollständig virtualisierten Netzen (Netzwerk-Overlay) auf Layer 3 des OSI-Modells umgehen zu können. Hier ist dann auch eine hohe Portdichte erforderlich, insbesondere zur Anbindung der Spine Switches. Oberhalb des Spine Layers befindet sich oft noch analog zur Baumtopologie ein Core Layer, der nun jedoch nur die Routingaufgaben in andere Standorte bzw. in das Internet übernimmt. Die Aufgaben des Core Layer können durchaus von den Switches des Spine Layers übernommen werden, was eine Ersparnis darstellt. Nachteilig zu bewerten ist bei dieser Toplogie der hohe Verkabelungsaufwand aufgrund der Vollvermaschung zwischen Leaf und Spine Layer.

Welche Lösung für welche Anwendung sinnvoll ist, muss man individuell festlegen. Eine generische Aussage wie Rechenzentrum Spine Leaf, Perimeter Ring und Etagenvernetzung Baum, ist tendenziell in vielen Fällen richtig, sollte aber nicht als "gottgegeben" gesehen werden.

: : : Lutz Rossa : : :




Ein Beitrag des Informationsdienstes

Sicherheits-Berater
TeMedia VerlagsGmbH

Kontakt:
Alte Heerstr. 1
53121 Bonn

Tel. +49 228 96293-80
Fax +49 228 96293-90
E-Mail: info@sicherheits-berater.de
Internet: www.sicherheits-berater.de