• Blaues Transparent mit verschiedenen Netzwerkgeräten und dem Text Medienkonverter, Switches, Netzwerkgeräte

Dr.Lan: Wie Sie mit virtuellen Netzen Sicherheit und Performance erhöhen

Christian Helming | 27.03.2019 11:15

VLAN – Wie Sie mit virtuellen Netzen Sicherheit und Performance erhöhen

In großen Firmen und Institutionen besteht die Notwendigkeit, das IT-Netzwerk in verschiedene Bereiche aufzuteilen. Zum Beispiel innerhalb eines Krankenhauses oder einer Pflegeeinrichtung je ein Netzwerk für Patienten, Mitarbeiter und Besucher. Oder innerhalb einer Bildungseinrichtung eines für Dozenten/Lehrer und Studenten/Schüler. Oder im Einzelhandel ein frei zugängliches, aber separates WLAN für Kunden.

Verschiedene Bereiche eines Unternehmens, verbunden und zentral verschlüsselt

Aufgrund von Sicherheitserwägungen ist eine solche Trennung sinnvoll. Nicht jeder Teilnehmer soll Zugriff auf alle Teilbereiche der Netzwerk-Infrastruktur bekommen. Aber auch aus Gründen der Performance kann eine Abgrenzung erwünscht sein.

Um eine solche Trennung herbeizuführen, gibt es zwei Möglichkeiten. Die erste: Man schafft tatsächlich physisch voneinander getrennte Netzwerke. Jedes Netz bekommt seine eigenen Switche, Ethernet- oder Glasfaserkabel und Access Points. Es gibt absolut keine Schnittstellen zu anderen Netzwerken im selben Haus.

Der Nachteil einer solchen Lösung liegt auf der Hand: Neben den hohen Kosten für die Anschaffung einer möglicherweise kompletten zweiten, dritten oder sogar vierten Infrastruktur, steigen auch die Kosten für die Implementierung und den Betrieb solcher Parallelstrukturen. Die zweite, kostengünstigere aber genauso sichere Möglichkeit lautet: VLAN!

Eine mögliche VLAN-Struktur

Virtuelle, statt physikalische Trennung der Netze

VLAN: Diese Abkürzung steht für Virtual Local Area Network. Das bedeutet: Ein einzelnes Netzwerk wird in mehrere, virtuelle Netze aufgeteilt, für die sich entsprechende Regeln und Zugangsberechtigungen konfigurieren lassen. Der Vorteil: Ein und dieselbe Netzwerk-Infrastruktur lässt sich in nahezu unbegrenzt viele virtuelle Netze aufteilen. Dafür werden lediglich VLAN-fähige Switche (Layer 3 oder Layer 2 mit Layer-3-Funktionalitäten) sowie Kenntnisse im Bereich des Switch-Managements benötigt.

KGS-2422, Modularer 24 Port Gigabit Switch - 3x 8 Port Module

Damit sind VLANs die kostengünstige Alternative zur Errichtung physikalisch getrennter Netze. Denn in VLANs wird die Trennung nicht auf physikalischer, sondern auf logischer Ebene vorgenommen. Ein konfigurierter VLAN-Switch lässt jeden Teilnehmer nur mit bestimmten Partnern kommunizieren. Alle Ethernet-Pakete werden mit sogenannten VLAN-Tags markiert. Anhand dieser VLAN-Tags erkennen die Switches die jeweilige Gruppenzugehörigkeit. Neben diesen Tag-basierten VLANs gibt es auch Port-basierte und sogenannte Private VLANs.

Mehr zum Thema der unterschiedlichen VLANs und wie man sie konfiguriert, erfahren Sie in der nächsten Dr. Lan Ausgabe im April.


Ein Beispiel aus der Praxis

Gemeinsam mit Partnerfirmen erhielt KTI den Auftrag, die Netzwerk-Infrastruktur im Neubau der Hauptverwaltung einer Körperschaft öffentlichen Rechts zu konzipieren und zu errichten. Die Herausforderung: Der Verwaltungssitz dient gleichzeitig als Berufsschule, in der der Unterricht weitgehend in „digitalen Klassenzimmern“ stattfindet. Darüber hinaus ist das Gebäude eine Weiterbildungsstätte. Nahezu täglich besucht eine Vielzahl von Gästen Seminare und Vorträge im Haus.

Die Vorgabe des Kunden hinsichtlich der Netzwerkstruktur war dementsprechend umfangreich:

  • Verwaltungsnetzwerk
  • Schulungsnetzwerk
  • Prüfungsnetzwerk
  • Gastnetzwerk

Alle Netzwerke sollen sich die identische physische Infrastruktur teilen, jedoch mittels VLANs als logische Teilnetze konfiguriert werden und damit höchsten Sicherheitsanforderungen entsprechen.

3500 Ports in 25 verschiedenen VLANs

Die Konfiguration aller in diesem realen Anwendungsbeispiel eingesetzten Switches umfasste 3500 verschiedene Ports. Eine Handvoll Core-Switches bildet das Rückgrat (Backbone) der Netzwerk-Infrastruktur. Eine dreistellige Anzahl an Access-Switches regelt den Datenverkehr im gesamten Gebäude. Mehrere Dutzend Access Points sorgen für eine optimale WLAN-Abdeckung. Die sichere Authentifizierung erfolgt über die jeweilige MAC-Adresse des Clients, die von einem speziell dafür zuständigen Server überprüft wird (RADIUS-Server).

Meldet sich ein Client an, gleicht der Switch die MAC-Adresse mit dem RADIUS-Server ab und ordnet das Gerät dem entsprechenden VLAN zu. Für nicht registrierte Geräte bleibt der Port inaktiv. In der Praxis heißt das: Über ein und denselben Port angeschlossen, haben unterschiedliche Clients mit ihrer jeweiligen MAC-Adresse unterschiedliche Nutzungsrechte.

Letztlich wurde in diesem Anwendungsbeispiel das Netzwerk in 25 verschiedene VLANs aufgeteilt, denn auch Bereiche wie Haustechnik, Zutrittskontrolle oder das Zeiterfassungssystem werden jeweils über ein separates virtuelles Netz gesteuert.


Erfolgreich Netzwerke organisieren

Sie wollen mehr zum Thema „Erfolgreich Netzwerke organisieren“ erfahren? Besuchen Sie unseren zweitägigen Praxisworkshop „Switch-Management“, den wir in Zusammenarbeit mit der Avanis Academy veranstalten.

Das zweitägige Seminar macht Sie fit in Switch-Konfiguration und -Management. Neben den Grundlagen der Switch-Administration erfahren Sie alles über aktuelle Netzwerktechnologien und ihre Funktionen. In vielen Übungen – auch zum Thema VLAN – lernen Sie, wie Sie eigenständig einen Switch installieren, einrichten und managen. Und alles ganz praxisnah und anschaulich am echten Switch.