Virtual Local Area Network
aus Wikipedia, der freien Enzyklopädie
Ein Virtual Local Area Network (VLAN) ist ein logisches Teilnetz innerhalb eines physikalischen Netzwerks, das aus einem oder mehreren Switchen bestehen kann. Frames eines VLANs werden dabei nicht in ein anderes VLAN weitergeleitet, obwohl sie an gemeinsamen Switchen angeschlossen sind. So werden die Teilnetze getrennt.
Inhaltsverzeichnis |
[Bearbeiten] Gründe und Vorteile
Lokale Netze werden heute üblicherweise mit Hilfe von aktiven Komponenten die auf Layer 2 (oder höher) arbeiten aufgebaut, in der Regel sind das Switches. Durch die Switching-Technik (OSI-Ebene 2) können auch sehr große LANs, mit einigen hundert oder auch einigen tausend Stationen, aufgebaut werden.
Eine Unterteilung solcher Netze kann grundsätzlich aus mehreren Gründen wünschenswert sein:
- Flexibilität bei der Zuordnung von Endgeräten zu Netzwerksegmenten, unabhängig vom Standort der Station.
- Performance-Aspekte: So kann zum Beispiel ein bestimmter Datenverkehr wie VoIP in ein VLAN erfolgen und dieses VLAN bei der Übertragung priorisiert werden. Häufig möchte man aber auch einfach nur Broadcast-Domänen verkleinern, damit sich Broadcasts nicht über das gesamte Netz ausbreiten.
- Sicherheitsaspekte: Geswitchte Netze sind als unsicher anzusehen, denn für sie existieren eine Vielzahl von Angriffsmöglichkeiten, wie zum Beispiel ARP-Spoofing. Routing, was schließlich die einzige Kommunikationsmöglichkeit zwischen VLANs ist, ist gegen diese Layer-2-Attacken immun. Außerdem bietet Routing auch die Möglichkeit Firewalls einzusetzen, wodurch die Sicherheit wiederum erhöht wird.
Die beiden letztgenannten Aspekte könnten auch durch eine entsprechende Verkabelung und den Einsatz mehrer Switche und Router erreicht werden. Durch den Einsatz von VLANs lässt sich dies jedoch unabhängig von der meist vorhandenen und nur mit großem Aufwand erweiterbaren physikalischen Verkabelung verwirklichen, was neben einer erhöhten Flexibilität auch wirtschaftlich sinnvoll sein kann: VLAN-fähige Geräte sind zwar durchaus teurer, ersetzen unter Umständen aber mehrere Einzelgeräte.
[Bearbeiten] Zuordnung von Datenverkehr zu VLANs
Die Zuordnung der Teilnetze zu einem VLAN kann statisch über Portzuordnung an den Switchen erfolgen oder dynamisch zum Beispiel durch MAC-Adressen, IP-Adressen, bis hin zu TCP- und UDP-Ports und höheren Protokollen.
Jedes VLAN bildet, wie ein normales, physikalisch separiertes Netzwerksegment, eine eigene Broadcast-Domäne. Um Verkehr zwischen den VLANs zu vermitteln, benötigt man einen Router. Moderne Switches stellen diese Funktion intern zur Verfügung, man spricht dann von einem Layer-3-Switch.
Die Überlegenheit von VLANs im Vergleich zur physikalischen Zuordnung zu verschiedenen Subnetzen liegt in der Tatsache, dass ein Wechsel von einem VLAN in ein anderes nur am Kopplungselement (Multilayerswitch, Router) geschehen kann, es muss keine physikalische Verbindung geändert werden.
[Bearbeiten] Verbindung von VLAN-Switches
Erstreckt sich ein VLAN über mehrere Switche, so ist zu deren Verbindung entweder für jedes VLAN eine eigener Link (Kabel) erforderlich, oder es kommen sogenannte VLAN-Trunks (VLT) zum Einsatz. Das Verfahren entspricht einem asynchronen Zeitmultiplexing (ATD). Ein VLT dient also dazu, Daten der unterschiedlichen VLANs über eine einzige Verbindung weiterzuleiten. Hierzu können sowohl einzelne Ports als auch gebündelte Ports (siehe Link Aggregation) zum Einsatz kommen.
[Bearbeiten] Statische VLANs
Ein Port des Switches wird per Konfiguration einem VLAN fest zugeordnet. Damit ist eine Kommunikation des Endgerätes an diesem Port nur noch mit dem zugeordneten VLAN möglich. Daher nennt man diese Zuordnung auch portbasiert.
Es ist auch möglich einen Port in mehrere VLANs einzubinden. In diesem Fall spricht man von einem Trunk-Port. Auf diese Weise können zum Beispiel Router und Server über einen einzelnen Anschluss an mehrere VLANs angebunden werden, ohne dass für jedes Teilnetz eine physikalische Netzwerkschnittstelle vorhanden sein muss. Somit kann ein einzelnes Gerät – auch ohne Router – seine Dienste in mehreren VLANs anbieten, ohne dass die Stationen der verschiedenen VLANs miteinander kommunizieren können.
Diese VLAN-Trunks dürfen nicht mit den Trunks im Sinne von Link Aggregation verwechselt werden, bei denen mehrere physikalische Übertragungswege zur Durchsatzsteigerung „gebündelt“ werden.
[Bearbeiten] Dynamische VLANs
Bei der dynamischen Implementierung eines VLANs wird die Zugehörigkeit eines Frames zu einem VLAN anhand bestimmter Inhalte des Frames getroffen. Dies kann etwa auf der Basis der MAC- oder IP-Adressen geschehen, oder auch nach den Layer4-Port-Nummern. In der Wirkung entspricht dies einer automatisierten Zuordnung des Switchports zu einem VLAN.
Dadurch kann zum Beispiel erreicht werden, dass ein mobiles Endgerät immer einem bestimmten VLAN angehört, unabhängig von der Netzwerkdose, an die es angeschlossen wird. Eine andere Möglichkeit besteht darin, einen bestimmten Teil des Datenverkehrs, zum Beispiel VoIP, aus Performance- oder Sicherheitsgründen in ein spezielles VLAN zu leiten.
[Bearbeiten] Tagged VLANs
Ein Tagging in VLANs kommt dann zum Einsatz, wenn sich VLANs z. B. über mehrere Switche hinweg erstrecken, beispielsweise über Trunkports. Hier tragen die Frames eine Markierung („Tag“), welche die Zugehörigkeit zum jeweiligen VLAN anzeigt.
Diese Markierung kann implizit sein, sich also zum Beispiel indirekt aus dem Paket-Typ ableiten und so zum Beispiel ein IPX/SPX Netzwerk von einem TCP/IP Netzwerk trennen. Diese Technik ist heutzutage nicht mehr üblich, da TCP/IP in vielen Netzwerken andere Protokolle abgelöst hat.
Alternativ sind explizite Tags möglich; dabei werden VLAN-spezifische Informationen zum Frame hinzugefügt. Zu dieser Gattung gehören die VLANs nach IEEE 802.1q, Ciscos Inter-Switch Link Protocol (ISL) oder auch 3Coms VLT (Virtual LAN Trunk) tagging. Damit die VLAN Technik nach 802.1q auch für ältere Rechner und Systeme in einem Netz transparent bleibt, müssen Switche diese Tags bei Bedarf hinzufügen und auch wieder entfernen können.
Bei portbasierten VLANs und allen Paketen die kein Tag besitzen, wird zum Weiterleiten eines Datenpakets üblicherweise ein VLAN-Tag nach dem Empfang hinzugefügt, es kennzeichnet zu welchem VLAN das Paket gehört. Empfängt ein Switch auf einem VLT-Port (Trunkport) allerdings einen Frame, der bereits VLAN-Tag besitzt, wird dieser unverändert weitergeleitet. Da bei tagged VLANs nach IEEE 802.1q alle Pakete mit VLAN Tags markiert werden, kann der Switch ein Paket ohne jegliche Änderung in einen Trunk einspeisen. Hierzu sind jedem Trunk alle VLAN-IDs die er weiterleiten soll hinterlegt. Werden Pakete ohne Tag auf einem Trunk-Port empfangen, so werden diese je nach Konfiguration entweder einem Default-VLAN zugeordnet (der Switch bringt das Tag nachträglich an), oder verworfen.
Empfängt ein Switch auf einem Port ein Paket ohne VLAN-Tag – so genannte native Frames, z. B. von einem älteren Endgerät – so muss er selbst für das Anbringen des Tags sorgen. Hierzu wird dem betreffenden Port entweder per Default oder per Management eine VLAN-ID zugeordnet. Analog muss der Switch, der das Paket ausliefert verfahren, wenn das Zielsystem nicht mit Tags umgehen kann; das Tag muss entfernt werden.
Das automatische Lernen der zu den VLTs (Trunkports) gehörenden Einstellungen ist heute Standard bei den meisten VLAN-fähigen Switches. Dabei muss ein Switch mit einem Mischbetrieb von Paketen die keine Tags kennen und enthalten, aber auch mit Paketen, die bereits Tags besitzen, umgehen können. Das Erlernen der VLTs erfolgt analog zum erlernen der MAC-Adressen, empfängt der Switch ein Paket mit VLAN-ID, so ordnet er den Port zunächst diesem VLAN zu. Empfängt er an einem Port innerhalb kurzer Zeit Pakete mit unterschiedlichen VLAN-IDs so wird dieser Port als VLT identifiziert und als Trunk genutzt. Einfache Switche (ohne Management) bilden üblicherweise ein zusätzliches natives VLAN für alle Pakete, die keine Tags enthalten. Solche Pakete werden meist belassen wie sie sind, ein Trunkport wird hier wie ein normaler (Uplink-) Port behandelt. Alternativ kann auch ein Default-Tag angefügt werden.
Der Begriff Trunk – im Unterschied zu VLT – wird häufig auch mit einer ganz unterschiedlichen Bedeutungen verwendet, siehe (Bündelung).
[Bearbeiten] Siehe auch
[Bearbeiten] Literatur
- Rolf-Dieter Köhler: Auf dem Weg zu Multimedia-Netzen : VPN ; VLAN-Techniken ; Datenpriorisierung. 1999 Köln : FOSSIL-Verlag. ISBN 3-931959-26-0
