Im letzten Dr. Lan Newsletter habe ich Ihnen eine erste Einführung in das Thema VLAN gegeben. Zur Erinnerung: VLAN steht für Virtual Local Area Network. Das bedeutet: Ein physisches LAN lässt sich in mehrere, logische (virtuelle) voneinander getrennte Teilnetze aufteilen.
Obwohl am selben Switch angeschlossen, bildet jedes virtuelle Netzwerk eine eigene Broadcast-Domäne. Teilnehmer unterschiedlicher VLANs können über diese Broadcast-Domäne hinweg miteinander kommunizieren.
Innerhalb des VLANs ist eine Broadcast-Domäne ist nicht mehr auf einen einzelnen Switch begrenzt. Netzwerk-Teilnehmer können unabhängig von ihrem Ort einem virtuellen Netz zugeordnet werden, ohne dass die physischen Verbindungen geändert werden müssen.
Dafür werden VLAN-fähige Switches benötigt, so genannte Managed Switches. Während im Privatanwender-Bereich zumeist Unmanaged Switches im Plug-and-Play-Betrieb zum Einsatz kommen, können Sie Managed Switches auf vielfältige Weise für den professionellen Betrieb konfigurieren.
Portbasiertes VLAN
Grundsätzlich lassen sich zwei Arten von VLANs unterscheiden: Tag-basierte und Port-basierte. Bei einem portbasierten VLAN wird der Switch logisch segmentiert. Einzelne Ports werden dabei fest einem VLAN zugeordnet. Diese Ports, die nur die Daten eines jeweils zugewiesenen VLANs übertragen, nennt man Access-Ports. Portbasierte VLAN-Konfigurationen finden vorwiegend in kleineren Netzwerken Verwendung, lassen sich aber auch über mehrere Switches hinweg anlegen. Aufgrund der festen Zuordnung bezeichnet man portbasiertes VLAN auch als statisches VLAN.
Sollen mehrere VLANs auf einem Switch konfiguriert werden, stößt portbasiertes VLAN jedoch schnell an seine Grenzen. Denn für die Verbindung der Switches untereinander wird für jedes VLAN ein eigener Port und eine eigene Ethernet-Leitung benötigt. Umfangreichere virtuelle Netze lassen sich auf diese Art und Weise kaum erstellen. Dann sind tagbasierte VLANs die bessere Alternative.
Tagbasiertes VLAN
Bei einem tagbasierten VLAN besteht keine feste Zuordnung zwischen dem virtuellen Netzwerk und dem physischen Port. An einem einzelnen Switch-Port können deshalb mehrere VLANs gleichzeitig genutzt werden. Bei diesen tagged VLANs werden die Ethernet-Frames durch ein zusätzliches Tag markiert, das die Zugehörigkeit zu einem VLAN festlegt. Es handelt sich dabei um eine Erweiterung des Ethernet-Frames, in der sich die ID des VLANs hinterlegen lässt. Diese Erweiterung kennzeichnet, zu welcher Broadcast-Domäne der jeweilige Ethernet-Frame gehört. Das Tagging-Verfahren ist in der IEEE-Norm 802.1Q definiert. Diese Frame-basierte Art des VLANs wird auch als dynamisches VLAN bezeichnet. Es ordnet die Netzwerkteilnehmer automatisch dem richtigen VLAN zu, egal wie sie mit dem Netzwerk verbunden sind: kabelgebunden oder drahtlos über einen Access Point.
Trunk-Ports
Um Frames bei der Übertragung mit identifizierenden Tags markieren zu können, benötigen Switches Trunk-Ports. Ein Trunk-Port lässt sich für die Übertragung von mehreren VLANs konfigurieren. Mittels VLAN-Trunking können Sie Informationen mehrerer virtueller LANs über eine einzige Leitung zum Beispiel an einen Core-Switch übertragen, ohne für jedes VLAN einen eigenen Port und eine eigene Verbindung bereitstellen zu müssen.
Eine Ethernet-Schnittstelle kann normalerweise entweder als Trunk-Port oder als Access-Port fungieren. Die Ausnahme bilden Hybrid-Ports, die als Trunk-Port und als Access-Port beide Arten von Paketen (tagged und untagged) verarbeiten können.
Trunking
„Trunking“ heißt übersetzt „Bündelung“. Um Missverständnisse zu vermeiden und Verwechslungen vorzubeugen, ist deshalb Vorsicht hinsichtlich der korrekten Verwendung der Begrifflichkeiten „Trunk-Port“ und „Trunking“ geboten. Denn im Bereich der Netzwerkverkabelung versteht man unter Trunking auch die Bündelung mehrerer physischer Leitungen zu einer einzigen logischen Verbindung. Trunking wird eingesetzt, um die Datendurchsatzrate zu erhöhen. Diese Bandbreitenskalierung basiert auf dem Link Aggregation Control Protocol (LACP) 802.3ad.
Gründe für VLANs
- Sicherheit: Abgrenzung öffentlicher und vertraulicher Bereiche
- Performance: Geringere Netzwerauslastung und Optimierung des Traffics
- Ordnung: Vermeidung überflüssiger Verkabelungsstrukturen
- Kosten: Einsparung zusätzlicher Infrastruktur-Komponenten wie Switches und Kabel
- Flexibilität: Von unterschiedlichen Arbeitsplätzen auf dasselbe VLAN zugreifen
Fazit
Kaum ein größeres oder mittleres Netzwerk in Unternehmen, Institutionen oder Behörden kommt heute ohne VLANs aus. Sei es aus Gründen der Sicherheit, der Flexibilität, der Performance oder hinsichtlich der Kosten. Bezogen auf die Sicherheit müssen Sie berücksichtigen, dass sich ein Tag-basiertes VLAN leichter angreifen lässt, als ein Port-basiertes. Wer mehr zum Thema VLAN erfahren und sogar das Handwerkszeug erlernen möchte, um eigene VLANs anzulegen, dem empfehlen wir den Workshop Switch-Management, den wir gemeinsam mit der Avanis Academy anbieten.
Die nächsten Termine: