Diskussion:Virtual Local Area Network

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Zu 802.1Q-lastig[Quelltext bearbeiten]

Eine Artikel ueber VLAN sollte nicht einseitig auf 802.1Q basieren, sondern die Grundsaetze erleutern und auf eigene Artikel fuer konkrete Implementierungen (wie 802.1Q) hinweisen. 212.117.81.29 14:11, 2. Feb 2006 (CET)

8000 Adressen Maximum?[Quelltext bearbeiten]

Das ist falsch, die Obergrenze existiert nur als "Pseudo-Standard" - viele Hersteller von größeren Switches geben ihren Geräten einfach nicht genug RAM mit, um mehr als 8000 MAC-Adressen zu speichern. Es gibt durchaus bessere Modelle, ein Cisco Catalyst 4948 hat z.B. eine MAC address table mit 32k Entries. Die Passage sollte ersatzlos gestrichen werden, sie verwirrt nur.

seconded. --DO3MCA 08:58, 21. Jan. 2007 (CET)
  • Es ist ein Standard für die max. Anzahl der definierbaren tagged VLANs nicht MAC Adressen!!!
  • Im 802.1q Standard sind Datenfelder für das VLAN-Tagging definiert, das eingefügte TAG besteht aus vier Feldern mit einer Gesamtlänge von 32 Bit. Für die Protokoll ID werden 2 Byte, für das Prioritätenfeld 3 Bit, für den Indikator des Canonical Format 1 Bit und für die VLAN-ID 12 Bit (4096) genutzt. Das Canonical-Feld zeigt an, aus welcher Richtung die VLAN-ID ausgelesen wird muss (also rein theor. maximal 4096 + 4096 VLANs). --Nmoas 10:07, 16. Jun. 2008 (CEST)

== Ethernet-Paket? bitte ändern..

einander stehen

Hubs & Switches[Quelltext bearbeiten]

Der erste Teil des Satzes: "Zum anderen kann durch den physischen Anschluß eines Gerätes im Netzwerk ebenso einfach der Datenverkehr im gesamten Netzwerksegment eingesehen werden, potentielle Eingriffe sind dadurch wahrscheinlicher." ist nach meinem Wissen falsch.

Durch physischen Anschluß eines Gerätes ans Netzwerk kann nur bei Einsatz von Hubs einfach der Datenverkehr im gesamten Netzwerksegment eingesehen werden. Bei der Verwendung von Switches geht das so nicht...

Vollkommen korrekt - wobei sich aber mittels einer gezielten Attacke die meisten Switches auf Hub-Funktionalität reduzieren lassen (indem man den internen Adressspeicher flutet) --89.48.44.93 16:31, 5. Mai 2008 (CEST)

Der Satz macht schon Sinn, denn durch Einsatz von ARP Poisoning (siehe ARP-Spoofing) kann an Switchen (ohne VLAN) in der Tat der gesammte Traffic mitgeschnitten werden. Einfach formuliert "behauptet" der Angreifer mittels ARP-Paketen jede im Netz verfügbare IP zu besitzen (inklusive Gateway). Die Opfer senden die Layer 2 Frames dann an diese Maschine. VLANs können dagegen wirken, indem sie ausschliessen, das zB die MAC, die zur tatsächlichen IP gehört an einem anderen Port (dem des Angreifers) sein soll!

Erstens macht der Satz so wie er da steht keinen Sinn, denn er impliziert das man den gesamten Verkehr nur durch physikalischen Zugriff mitlesen könnte. Da muss man aber schon noch ein bisschen was machen, wie es vor mir auch schon beschrieben steht. Zweitens zu meinem Vorredner "... kann an Switchen (ohneVLAN) ..."

Es gibt keine Switches ohne VLAN. Jeder Switch, auch unmanaged, hat mindestens ein VLAN in dem sich dann alle Ports befinden.

  • Doch, natürlich es gibt switche die nur "real"-LANS kennen, mit "V" wie virtuell können die 100% garnix anfangen. An sonsten werden wir demnächst wohl auch noch von virtuellen Patch-Kabeln (verkaufe VLAN fähiges Kabel...) usw. sprechen müssen--Nmoas 05:52, 17. Dez. 2008 (CET)
  • Die Wahrheit liegt wie so oft in der Mitte: Switches haben nicht per Definition ein VLAN. Dann würde der Begriff "Virtual" keinen Sinn machen. Aber: Viele Hersteller machen sich das Leben leicht und verwenden in unmanaged Switches sowie in managed Switches mit deaktiviertem VLAN ihre VLAN-Software, indem diese jeden Port dem Default VLAN (meist VLAN-ID = 1) zuordnen. Ärgerliche Konsequenz ist, dass diese Switches keinen tagged traffic weiterleiten können, ohne VLAN zu aktivieren und zu konfigurieren. Die einfachste Aufgabe, die diese Switches zu erledigen haben, nämlich Frames ausschließlich gemäß MAC-Adresse weiterzuleiten, egal ob tagged oder untagged, können diese Switches nicht erledigen. (nicht signierter Beitrag von 77.20.100.163 (Diskussion) 07:57, 21. Jan. 2017 (CET))

Weiterhin stört mich allerdings noch die Aussage "Lokale Netze werden heute üblicherweise mit Hilfe von aktiven Komponenten – Hubs und Switches – aufgebaut.". Wenn man schon von aktiven Komponenten redet, fehlen da noch die Router (welche ja VLANs verbinden können). Wenn man dann weiterhin einen aktuellen Bezug durch die Formulierung "heute üblicherweise" herstellt, gehören HUBs da eben nicht mehr rein. Selbst der durchschnittliche Heim-DSL Nutzer bekommt heute in der Regel einen Switch um mehrere Geräte in seinem Haus zu Betreiben. Und im professionellen Bereich spielen heute HUBs so gut wie keine Rolle mehr.

OSI-Schichten[Quelltext bearbeiten]

Meines bescheidenen Wissens ist ein VLAN auf OSI-Schicht 1 völliger Unsinn - einerseits weil es ja um eine logische und eben nicht um eine physische (was der ersten Schicht entsprechen würde) Einteilung des Netzes geht, andererseits weil ja die Switches auf Schicht 2 arbeiten --89.48.44.93 16:31, 5. Mai 2008 (CEST)

OSI 1 macht Sinn und ist eine der Ursprünglichen VLAN Arten, sog. Port-Basiertes-VLAN. Dabei wird ein Switch in mehrere logische Switche segmentiert. Ein Port gehört immer nur zu einem VLAN, um die segmentierten Netze bei Bedarf zu verbinden kommt ein Router zum Einsatz.--Nmoas 10:34, 16. Jun. 2008 (CEST)

Falsch!!! VLANs sind per defnition auf Layer 2 angesiedelt. Das ändert sich auch nicht durch die wie auch immer gearteten Mechanismen zur Zuordnung von Ports zu VLANs oder umgekehrt.

OSI 1 hat sich für die Port-Basierte-VLAN Variante eingebürgert. Natürlich findet die VLAN-Segmentierung auf Schicht 2 statt,

  • Wer sagt das? Ältere Modelle, welche nur Port basierte VLANS kannten, kennen möglicherweise keine zentralen Mechanismen (zentrale Adresstabellen) zur VLAN-Bildung, und können trotzden portbasierte VLANs bilden, sie verschalten ganz einfach "hart" Ports zu Gruppen. Oft kann man bei solchen Geräten auch die Ports gar nicht frei wählen, sondern es sind dann typischerweise z.B. 8er Gruppen (Ports 0 bis 7, 8 bis 15, usw.) die entweder separat oder alternativ mit anderen 8er Gruppen gekoppelt arbeiten. (Intern sind die ähnlich wie mehrere mit einander kaskadierte Switche aufgebaut) Eine Technik wie sie auch bei managbaren (segmentierbaren) Hubs anzutreffen ist oder sollte man heute besser sagen war.--Nmoas 05:52, 17. Dez. 2008 (CET)

da jeder Switch seine Adresstabellen pflegt. Da das Pflegen der Adresstabellen in diesem Fall aber nicht das wesentliche Verfahren darstellt, sondern eher die Segmentierung der Ports in logische Switche (für die unterschiedlichen VLANs) ist es ok, wenn man diese Art des VLANs als Layer 1 bezeichnet. VLANs sind zwar laut Definition auf Layer 2 angesiedelt,

  • Ich hab da meine Zweifel, ob das wirklich so gilt, ich denke das ist zwar heute die Regel bei managbaren, vlan-fähigen (Port-Basierte-VLANs) Layer 2 Switchen (L2) - aber schon L3 Switche können zumindest teilweise auch auf L3 Basis Vlans bilden und wiedersprechen also dieser Definition - darüber hinaus gibt es heute Switche die auch mit L4 und höher was anfangen können. (ob man diese Dinger wirklich noch Switch nennen sollte, ist ne ganz andere Frage) Wer macht denn solche "quasi amtlichen" Definitionen (und von wann stammen diese)? Was ist mit Herstellern die eine proprietäre VLAN Technik schon vor einer solchen Definition vermarktet hatten und das Problem nicht so, wie (vermutlich) in der Definition gefordert wird, lösten (siehe oben). Müssen solche Geräte jetzt verboten werden? Also: Bitte Quellen angeben.--Nmoas 05:52, 17. Dez. 2008 (CET)

jedoch gibt es unterschiedliche VLANs. So existieren auch VLANs auf Layer 3,4,usw.. (IP-Routing kann auch für VLANs eingesetzt werden.) Das Layer X VLAN muss natürlich auf alle darunter liegenden OSI-Schichten abgebildet werden, die VLAN unterstützen, also auch Layer 2. Die Namensgebung der VLANs nach Schicht auf welcher das VLAN praktisch verwaltet wird, ist somit sinnvoll, da diese Zuordnung auch etwas über die Netztopologie aussagt (Layer 1 - Konfigurierbarer Switch (Port-Based-VLAN), Layer 2 - MAC-Based VLAN (Tagging, Trunking, usw.), Layer 3 stellt dabei ein Protokoll basiertes VLAN dar (z.B. IP), welches über Routingfunktionen verfügen muss, (also einen Router beinhaltet). By the way: Ein Layer 3 Switch ist nichts anderes als ein Switch(auf Layer 2), welcher Routingfunktionen besitzt (auf Layer 3). Da diese "Kisten" jedoch keinem Standard unterliegen, gibt es eigentlich keine Layer 3 Switches, sondern immer noch eine Unterteilung in Switch und Router, welche aber von unterschiedlichen Herstellern in unterschiedlicher Weise zusammengepuzzled wurden, diese "Kisten" nennen die Hersteller dann Layer 3 Switch.

OSI- versus IP-Schichtenmodell In Anbetracht der Tatsache, dass VLANs wohl ausschließlich in IP-Netzen betrachtet werden - warum wird nicht das IP-Schichtenmodell benutzt, sondern expressis verbis das OSI-Referenzmodell? Eine gute Übersicht über die Unterschiede liefert http://au.answers.yahoo.com/question/index?qid=1006050700020 --Tom Stein (Diskussion) 10:50, 26. Jul. 2013 (CEST)

Sicherheitsaspekte[Quelltext bearbeiten]

" Da die VLAN-Zuordnung fest an Switchports und damit an feste Netzdosen gebunden ist, muss ein potentieller Angreifer hier physischen Zugang zum passenden VLAN haben"

Das ist nur sehr bedingt richtig, da an dem entprechenden Port auch wieder ein Hub/Switch/Router hängen kann, der dann wieder diverse Verbindungswege bietet könnte... --89.48.44.93 16:50, 5. Mai 2008 (CEST)


Ich gebe meinem Vorschreiber recht und muss sagen, dass dieser Abschnitt falsch ist, da hier ganz klar zwischen statischen und dynamischen VLANs unterschieden werden muss- ich werde den Artikel die nächsten Tage überarbeiten. Michael G.

  • Generell sollte man Sicherheit nicht mehr zu den Switchfeatures zählen, Switche lassen sich (wie auch immer) kompromittieren und können folglich immer nur als unsicher eingestuft werden. Beispielsweise gibt es Messklemmen (als Zubehör zu profi Netzwerkanalysatoren) die äußerlich, direkt an einem Kabel angeklipst werden und die geringe elektrische Abstrahlung messen, folglich kann so völlig unbemerkt alles mitgeschnitten werden. Dagegen hilft nur Verschlüsselung z.B. mit IPSEC, die auch manche LAN-Karten - nicht von ungefähr - direkt implementieren. --Nmoas 10:34, 16. Jun. 2008 (CEST)

Ich sehe den Unterschied in den Sicherheitsaspekten zwischen statischem und dynamischem VLAN. Wieso aber tagged VLAN als unsicher betrachtet werden soll ist mir unklar. Der Satz "Switche lassen sich (wie auch immer) kompromittieren" lässt vollkommen offen, welche Art von Angriff möglich ist und ob dafür z.B. ein physischer Zugriff benötigt wird. Darüber hinaus ist mir nicht klar, was der Hinweis mit den Messklemmen hier im Artikel zu VLAN zu tun hat. (nicht signierter Beitrag von 91.19.231.107 (Diskussion) 16:48, 10. Jun. 2014 (CEST))

Rahmenformat[Quelltext bearbeiten]

Wer hat sich nur die Darstellung des Rahmen-Formats so ausgedacht und so eingestellt. In der Präambel sollte AA.. stehen anstelle der 55.., der SFD ist AB. Jeder gibt das canonical Format und nicht das Übertragungsformat wieder. Beispiel, im Type-Feld steht hier 0800 (für IP), was auch richtig ist. Im Übertragungsformat müsste es 1000 sein. Kein Packtetracer gibt z.B. den VLAN-Tag als 81005555 wieder sondern als 8100AAAA. Wolfgang

Wer kann die unsägliche Darstellung des Rahmenformats ändern? Wolfgang

Dumme frage aber was ist mit VLAN's die MAC-Addressen basierend sind? Sollten die nicht erwähnt werden?

2x Sicherheit[Quelltext bearbeiten]

Die Sicherheit in 2 verschiedenen Unterbereichen zu behandeln erscheint mir etwas konfus, gibt es dafür einen Grund? Wenn nicht sollte hier konsolidiert werden.(nicht signierter Beitrag von Erpel 21:37, 22. Nov. 2008 (CEST))

Stimme voll zu. --Jkbw 12:04, 16. Apr. 2009 (CEST)

Sicherheit - Ausdruck[Quelltext bearbeiten]

"Switche lassen sich (wie auch immer) kompromittieren und können folglich auch immer nur als unsicher eingestuft werden." Das klingt ziemlich unsachgemäß, müsste entweder raus oder angepasst werden. -- Rarspace01 14:50, 28. Jan. 2011 (CET)

Ingress / Egress Tagging[Quelltext bearbeiten]

Mir fehlen diese Begriffe hier im Text... Leider habe ich dazu auch keine tiefgehenden Kenntnisse, deswegen hier meine Vermutung: Unter Ingress Tagging versteht man das switchseitige Anheften des Tags an den Frame. Egress Tagging ist im Gegensatz dazu das Senden eines ungetaggten Frames vom Switch, da dieser den Tag entfernt hat, um Fehler am Endgerät zu vermeiden.

Diese Begriffe würden (wenn sie so stimmen) sicher irgendwo in den Text bei Tagged VLANs reinpassen. Ich würde nur mal noch auf eine oder zwei Bestätigungen warten und dann den Artikel überarbeiten. --Roemer2201 21:52, 15. Dez. 2009 (CET)

Dank ...[Quelltext bearbeiten]

... an Benutzer:Rößle für die gestraffte Darstellung dieses Themas. --Jkbw 11:52, 29. Apr. 2009 (CEST)

Überarbeitet[Quelltext bearbeiten]

Ich hab' den Artikel mal überarbeitet, eine Menge Tippfehler, Inter-Artikel-Redundanz sowie überflüssige Prosa entfernt, Stichwörter verlinkt und die Abschnitte in eine sinnvoll von oben nach unten lesbare Reihenfolge gebracht. Bitte erstmal objektiv durchlesen, bevor jemand der Finger über dem "Revert"-Link zu sehr zuckt, ich habe hier 2 Stunden Zeit mit mehreren Iterationen über den Artikel investiert. Danke. --Poc 21:15, 9. Jun. 2009 (CEST)

Lob[Quelltext bearbeiten]

Man soll auch mal loben: Zumindest, was die Verständlichkeit auch für Laien betrifft, gehört der Artikel zu den besten, die ich im Zusammenhang mit IT-Themen gelesen habe. Er ist sprachlich sauber und klar gegliedert - das eine folgt ja oft aus dem anderen und ist bei ITlern alles andere als selbstverständlich. Der Einleitungssatz ist so, wie's sein soll.

--195.233.250.7 11:00, 2. Apr. 2015 (CEST)

an Netzwerkdose angeschlossene mobile Endgeräte?[Quelltext bearbeiten]

Im Abschnitt Dynamische VLANs steht der Teilsatz:

"...ein mobiles Endgerät immer einem bestimmten VLAN angehört, unabhängig von der Netzwerkdose, an die es angeschlossen wird."

Was hat der Autor damit gemeint? Welche mobilen Endgeräte werden heutzutage bitte an eine Netzwerkdose angeschlossen? Vielleicht, ich weiss es nicht genau da ich nie einen hatte, wurde ja ein Palm an eine Netzwerkdose angeschlossen. Oder es gibt andere "mobile" Endgeräte, die ich nicht kenne. Aber in meiner Welt ist ein mobiles Endgerät mobil und wird zu keinem Zeitpunkt an eine Netzwerkdose angeschlossen.

Man könnte ja mal überlegen den Satz zu streichen oder umzubauen...

--Litrax (Diskussion) 08:17, 30. Sep. 2015 (CEST)

Defekter Weblink[Quelltext bearbeiten]

GiftBot (Diskussion) 00:38, 30. Nov. 2015 (CET)

Wie reagieren einfache Consumer-Switches auf tagged VLAN Frames?[Quelltext bearbeiten]

Also einem (unmanaged) Switch sind ja die Werte im Ethertype-Feld egal, er wird also auch nichts von VLAN-Tags wissen. Aber wie reagieren solche Switches auf Ethernet-Frames, die aufgrund von VLAN-Tags um 2 oder 4 Byte länger sind als maximal erlaubt? Tolerieren sie das im Allgemeinen oder eher nicht? --RokerHRO (Diskussion) 17:43, 9. Jun. 2017 (CEST)