VLAN

VLAN

Ein Virtual Local Area Network (VLAN) ist ein separates Teilnetz innerhalb eines physikalisch geswitchten Netzes, das aus einem oder mehreren Switchen bestehen kann. Frames eines VLANs werden dabei nicht in ein anderes VLAN weitergeleitet, obwohl sie an gemeinsamen Switchen angeschlossen sind. Die Zuordnung von Datenverkehr zu einem VLAN kann statisch über Ports an den Switchen erfolgen oder dynamisch zum Beispiel durch MAC-Adressen, IP-Adressen, bis hin zu TCP- und UDP-Port und höheren Protokollen. Eine Kommunikation zwischen VLANs ist nur mittels Routing möglich und kann zum Beispiel von einem eigenständigen Router oder einem in einen Layer-3-Switch integrierten Router erreicht werden. Aus diesem Grund sollten unterschiedliche VLANs auch immer in unterschiedlichen IP-Netzen liegen, auch wenn dies technisch nicht notwendig ist. Durch VLANs wird die Struktur des Netzes von der tatsächlichen Verkabelung unabhängig mit dem Ziel, Performance- oder Sicherheitsaspekte zu verwirklichen.

Inhaltsverzeichnis

Zuordnung von Datenverkehr zu VLANs

Statische-VLANs

Hier wird ein Switch in mehrere logische Switche segmentiert. Ein Port gehört dann üblicherweise immer nur zu einem VLAN. Nötig ist hierfür ein managebarer Switch, bei dem es sich jedoch um einen reinen Layer2-Switch handeln kann. Es ist auch möglich einen Port in mehrer VLANs einzubinden. In diesem Fall spricht man von einem Trunk. Auf diese Weise können zum Beispiel Router und Server über einen einzelnen Anschluss an mehrere VLANs angebunden werden. Diese VLAN-Trunks dürfen nicht mit den Trunks im Sinne von Link Aggregation verwechselt werden, bei denen mehrere physikalische Übertragungswege zur Durchsatzsteigerung „gebündelt“ werden.

Dynamische VLANs

Bei der dynamischen Implementierung eines VLANs wird die Zugehörigkeit eines Frames zu einem VLAN an bestimmten Inhalten des Frames getroffen, wie zum Beispiel die MAC-Adresse oder IP-Adresse, oder auch Layer4-Ports. Dadurch wird zum Beispiel erreicht, dass ein Laptop immer einem bestimmten VLAN angehört, unabhängig von der Netzwerkdose an die es angeschlossen wird. Eine andere Möglichkeit besteht darin, einen bestimmten Datenverkehr, zum Beispiel VoIP, aus Performance- oder Sicherheitsgründen in ein spezielles VLAN zu binden.

Tagged-VLANs

Ein Tagging in VLANs kommt dann zu Einsatz, wenn dynamische VLANS über mehrer Switche hinweg konfiguriert werden. Hier tragen die Frames eine Markierung, welche die Zugehörigkeit zu einem VLAN anzeigt. Die Markierung kann implizit sein, sich also zum Beispiel indirekt aus dem Paket-Typ ableiten und so zum Beispiel ein IPX/SPX Netzwerk von einem TCP-IP Netzwerk trennen. Alternativ sind explizite Tags möglich, dabei werden die Frames ergänzt und VLAN spezifische Informationen hinzugefügt. Zu dieser Gattung gehören die VLANs nach IEEE 802.1q, Ciscos Inter-Switch Link Protocol (ISL) oder auch 3Coms VLT (Virtual LAN Trunk) tagging. Damit die VLAN Technik nach 802.1q für alle Knoten (auch ältere Rechner und Systeme) in einem Netz transparent bleibt, müssen Switche diese Tags bei Bedarf hinzufügen und auch wieder entfernen.

Gründe und Vorteile

Lokale Netze werden heute üblicherweise mit Hilfe von aktiven Komponenten die auf Layer 2 (oder höher) arbeiten – Switches – aufgebaut. Durch die Switching-Technik (OSI-Ebene 2) können auch sehr große LANs, mit einigen hundert oder auch einigen tausend Stationen, aufgebaut werden.

Eine Unterteilung solcher Netze kann grundsätzlich aus zwei Gründen wünschenswert sein:

  • Performance-Aspekte: So kann zum Beispiel ein bestimmter Datenverkehr wie VoIP in ein VLAN gebunden werden und dieses VLAN bei der Übertragung priorisiert werden. Häufig möchte man aber auch einfach nur Broadcast-Domänen verkleinern, so dass sich ein Broadcast nicht über das gesamte Netz ausbreitet.
  • Sicherheitsaspekte: Geswitchte Netze sind als unsicher anzusehen, denn für sie existieren eine Vielzahl von Angriffsmöglichkeiten, wie zum Beispiel ARP-Spoofing. Routing, was schließlich die einzige Kommunikationsmöglichkeit zwischen VLANs ist, weist hier eine wesentlich höhere Sicherheit auf. Außerdem bietet Routing auch die Möglichkeit Firewalls einzusetzen, wodurch die Sicherheit erhöht wird.

Beide Aspekte könnten oft auch durch eine entsprechende Verkabelung und den Einsatz mehrer Switche und Router erreicht werden. Durch den Einsatz von VLANs lässt sich dies jedoch unabhängig von der Verkabelung verwirklichen, was neben einer erhöhten Flexibilität auch wirtschaftlich sinnvoll sein kann. Denn VLAN-fähige Geräte sind zwar durchaus teurer, ersetzen evtl. aber mehrer Einzelgeräte.

Verbindung von VLAN-Switches

Dieser Artikel oder Abschnitt bedarf einer Überarbeitung. Näheres ist auf der Diskussionsseite angegeben. Hilf mit, ihn zu verbessern, und entferne anschließend diese Markierung.

Erstreckt sich ein VLAN über mehrere Switche, so ist zur Verbindung der einzelnen VLANs über mehrere Switche hinweg entweder für jedes VLAN eine eigener Link (Kabel) erforderlich, oder es kommen so genannte VLAN-Trunks (VLT) zum Einsatz. Das Verfahren entspricht einem asynchronen Zeitmultiplexing (ATD). Ein VLT dient also dazu, Daten die zu den unterschiedlichsten VLANs gehören können, über eine einzige Verbindung weiterzuleiten. Hierzu können sowohl einzelne Ports, als auch gebündelte Ports (siehe Link Aggregation) zum Einsatz kommen.

Es gibt mehrere Implementierungen. Bei portbasierten VLANs und allen Paketen die kein Tag besitzen, wird zum Weiterleiten eines Datenpakets üblicherweise ein VLAN-Tag hinzugefügt, es kennzeichnet zu welchem VLAN das Paket gehört. Empfängt ein Switch auf einem VLT-Port einen Frame mit VLAN-Tag, sorgt er für eine zielgerichtete Weiterleitung. Da bei tagged VLANs nach IEEE 802.1q alle Pakete mit VLAN Tags markiert werden, kann der Switch ein Paket ohne jegliche Änderung in einen Trunk einspeisen. Hierzu sind jedem Trunk alle VLAN-IDs die er weiterleiten soll hinterlegt. Werden Pakete auf einem Trunk-Port empfangen und enthalten kein VLAN-Tag, so werden diese entweder einem Default-VLAN zugeordnet (der Switch bringt das Tag an), oder gelöscht.

Da sich in einem Netz, welches VLANs nach IEEE 802.1q bildet, auch Stationen betreiben lassen, die selbst nicht mit VLAN-Tags umgehen können, sind hiefür besondere Vorkehrungen zu treffen. Empfängt ein Switch auf einem Port solch eine Paket ohne VLAN-Tag – so genannte native Frames – so muss er selbst für das Anbringen des Tags sorgen. Hierzu wird dem betreffenden Port entweder per Default oder per Management eine VLAN-ID zugeordnet. Analog muss der Switch der das Paket ausliefert verfahren, kann das Zielsystem nicht mit Tags umgehen, so muss der Switch diese dann entfernen.

Das automatisches Lernen der zu den VLTs gehörenden Einstellungen ist heute Standard bei den meisten VLAN-fähigen Switches. Dabei muss ein Switch in einem Mischbetrieb mit Paketen umgehen können, die keine Tags kennen und enthalten, aber auch mit Paketen die bereits Tags besitzen. Das Erlernen der VLTs erfolgt analog zum erlernen der MAC-Adressen, empfängt der Switch ein Paket mit VLAN-ID so ordnet er den Port zunächst diesem VLAN zu. Empfängt er an einem Port innerhalb kurzer Zeit Pakete mit unterschiedlichen VLAN-IDs so wird dieser Port als VLT identifiziert und als Trunk genutzt. Einfache Switche (ohne Management) bilden üblicherweise ein zusätzliche natives VLAN für alle Pakete die keine Tags enthalten. Solche Pakete werden meist belassen wie sie sind, ein Trunkport wird hier wie ein normaler (Uplink-) Port behandelt. Alternativ kann auch ein Default-Tag angefügt werden.

Der Begriff Trunk – im Unterschied zu VLT – wird häufig auch mit einer ganz unterschiedlichen Bedeutungen verwendet, siehe (Bündelung).

Inter-VLAN Routing

Jedes VLAN bildet eine eigene Broadcast-Domäne. Um Verkehr zwischen verschiedenen VLANs zu vermitteln benötigt man einen Router. Moderne Switches stellen diese Funktion intern zur Verfügung. Man spricht dann von einem Layer-3-Switch. Weiter kann ein Server natürlich auch mehrere Verbindungen zu verschiedenen VLANs haben. Somit kann ein einzelnes Gerät – auch ohne Router – seine Dienste mehreren VLANs anbieten, ohne dass die Stationen der verschiedenen VLANs miteinander kommunizieren können.

Früher stellte sich die Frage, warum man generell mühevoll getrennte VLANs verbinden soll. Heute sind ein Internetzugang oder ein gemeinsamer Login-Server Anwendungsbeispiele. Dieser Login-Server könnte sich in einem dritten VLAN befinden, auf das zum Beispiel Finanzabteilung und Produktion zugreifen könnten – die sonst strikt getrennt sind. Allerdings müsste in diesem Fall zusätzlich durch eine Firewallfunktion im Router sichergestellt, dass lediglich HTTP oder Login-Informationen übertragen werden können. Finanzen und Produktion, welche ebenfalls am Router angeschlossen sind, wären so auch weiterhin nicht in der Lage, miteinander zu kommunizieren.

Die Überlegenheit von VLAN im Vergleich zur einfachen Zuordnung zu verschiedenen Subnetzen liegt in der Tatsache, dass ein Wechsel von einem VLAN in ein anderes nur am Kopplungselement (Multilayerswitch, Router) geschehen kann; Subnetze hingegen lassen sich leicht am Client selbst ändern.

Siehe auch

Literatur

  • Rolf-Dieter Köhler: Auf dem Weg zu Multimedia-Netzen : VPN ; VLAN-Techniken ; Datenpriorisierung. 1999 Köln : FOSSIL-Verlag. ISBN 3-931959-26-0

Weblinks


Wikimedia Foundation.

Игры ⚽ Нужно решить контрольную?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • vlan — vlan …   Dictionnaire des rimes

  • VLAN — (аббр. от англ. Virtual Local Area Network)  логическая ( виртуальная ) локальная компьютерная сеть, представляет собой группу хостов с общим набором требований, которые взаимодействуют так, как если бы они были подключены к… …   Википедия

  • Vlan — (от англ. Virtual Local Area Network) виртуальная локальная вычислительная сеть, известная так же как VLAN, представляет собой группу хостов с общим набором требований, которые взаимодействуют так, как если бы они были подключены к… …   Википедия

  • vlan — [ vlɑ̃ ] interj. • 1803; onomat. ♦ Onomatopée imitant un bruit fort et sec. « Patatras ! vlan ! pif ! paf ! boum ! » (A. Daudet). Fig. (parole brutale) Et vlan ! dans les gencives (cf. Et toc). ⇒VLAN, onomat. et subst. masc. I. Onomat. [Onomat.… …   Encyclopédie Universelle

  • vlan — (vlan) s. m. Mimologisme dont on se sert pour représenter une action subite, et particulièrement un coup donné avec la main.    On dit aussi vli, vlan. •   Vli, vlan, taisez vous, Lui dis je, ou que je vous entende, BÉRANG. Troisième mari.. vli,… …   Dictionnaire de la Langue Française d'Émile Littré

  • vlan! — ou v lan! Interj. Onomat. exprimant un bruit, un coup brusque, violent. Et vlan! un courant d air claque la porte …   Encyclopédie Universelle

  • VLAN — es el acrónimo de Virtual Local Area Network o Virtual LAN. Este concepto surge con la aparición de los conmutadores (ver switch) de nivel 3 o superior, que aglutinan tanto las funciones de conmutación (nivel 2 Capa de enlace de datos) como las… …   Enciclopedia Universal

  • vlan — fonosimb. ES fr. {{wmetafile0}} voce che imita un rumore forte e secco, spec. quello di un colpo o di uno schiaffo; anche s.m.inv. {{line}} {{/line}} DATA: sec. XX. ETIMO: orig. onom …   Dizionario italiano

  • VLAN — Este artículo o sección necesita referencias que aparezcan en una publicación acreditada, como revistas especializadas, monografías, prensa diaria o páginas de Internet fidedignas. Puedes añadirlas así o avisar al autor principa …   Wikipedia Español

  • VLAN — Virtual LAN Un réseau virtuel, communément appelé VLAN (pour Virtual LAN), est un réseau informatique logique indépendant. De nombreux VLAN peuvent coexister sur un même commutateur réseau (switch). Intérêt des VLAN Segmentation : réduire la …   Wikipédia en Français

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”