Definition

Was ist VLAN?

| Autor / Redakteur: Dirk Srocke / Andreas Donner

(© aga7ta - Fotolia)

Ein Virtual Local Area Network (VLAN) ist ein logisches Netz, das auf einem physischen LAN aufsetzt und ein Mehr an Flexibilität, Performance und Sicherheit bieten kann. Eine technische Basis für VLANs beschreibt etwa der Standard IEEE 802.1Q.

Mit VPNs lassen sich physische LANs in voneinander isolierte, logische Teilnetze aufteilen. Zur besseren Unterscheidung respektive Darstellung in Diagrammen werden diese einzelnen Netze inoffiziell nach Farben benannt.

Flexible Netzaufteilung...

Gründe für VLANs gibt es einige. So können Administratoren dank VLAN Organisationsstrukturen bequem sowie unabhängig von der physischen Beschaffenheit von Gebäuden abbilden – und das ohne zusätzliche Kabel oder Switches installieren zu müssen. Änderungen lassen sich mit VLANs ebenso leicht umsetzen: Wechseln Mitarbeiter ihren Standort, können sie an einem anderen Netzwerkport weiterhin im gleichen virtuellen LAN verbleiben; wechseln Mitarbeiter ihre Abteilung, können sie am gleichen physischen Netzwerkport wie bisher ein anderes VLAN nutzen.

...für mehr Performance und Sicherheit

Die Unterteilung von LANs ist dabei kein Selbstzweck, sondern soll auch Performance und Sicherheit optimieren. So ist es beispielsweise nicht wünschenswert, dass sich Webserver oder öffentlich zugängliche Rechner im gleichen LAN befinden wie Systeme, die vertrauliche Geschäftsdaten enthalten. VLANs gelten dabei als robuster als geswitchte (physische) Netze, die für MAC-Flooding oder MAC-Spoofing anfällig sind.

Zudem können VLANs für das Bandbreitenmanagement genutzt werden. So lassen sich beispielsweise zeitkritische Anwendungen wie VoIP priorisiert über dedizierte VLANs abwickeln. VLANs können schließlich dazu beitragen, Broadcast-Domänen zu verkleinern. Anfragen über unbekannte Zielsysteme werden damit nicht über das gesamte physische Netz übermittelt, sondern lediglich über die logischen Teilnetze. Damit lässt sich der Broadcast-Traffic insbesondere bei großen physischen Infrastrukturen beschränken. Überdies lassen sich durch eine Aufteilung des Netzes auch die Auswirkungen defekter Netzwerkkarten und Broadcaststürme eingrenzen: Statt des gesamten LANs wird damit nur noch ein VLAN lahmgelegt.

Portbasiert versus getaggt

VLANs lassen sich auf verschiedene Weise implementieren. Bei portbasierten VLANs werden managebare Switches logisch segmentiert – einzelne Ports werden dabei einem VLAN zugeordnet.

Bei den nach IEEE 802.1Q standardisierten tagged VLANs werden einzelne Frames derweil durch ein zusätzliches Tag gekennzeichnet, dass die Zugehörigkeit zu einem VLAN festlegt. Hierfür musste der Ethernet-Standard entsprechend erweitert werden. Durch zwei zusätzliche 2-Byte-Felder verlängert sich dabei allerdings auch die maximale Länge eines Frames auf 1.522 Byte. VLANs funktionieren dennoch weiterhin mit bestehender Hardware, weil die zusätzlichen Felder ausschließlich von VLAN-fähigen Hosts und Bridges verwendet werden. Die Tags werden vom ersten VLAN-fähigen Gerät hinzugefügt und vom letzten VLAN-fähigen Gerät der Übertragungskette dann wieder entfernt, bevor die Frames an ein Legacy-Endgerät weitergeleitet werden.

Statisch versus dynamisch

Die zuvor beschrieben portbasierten VLANs lassen sich als typische Vertreter statischer VLANs betrachten. Ein vom Administrator fest zugeordneter Port gehört dann dauerhaft zu einem VLAN oder mehreren VLANs. Im letzteren Fall fungiert der Anschluss dann als so genannter VLAN-Trunk und wird in der Regel zur Ausdehnung von VLANs über mehrere Switches hinweg genutzt.

Bei dynamischen VLANs werden Frames aufgrund ihres Inhaltes einem VLAN zugeordnet, beispielsweise aus Basis von MAC- oder IP-Adresse oder Protokolltyp. Damit lässt sich ein bestimmtes mobiles Endgerät stets automatisch demselben VLAN zuordnen – unabhängig davon, über welche physische Netzwerkdose oder welchen Access Point es tatsächlich an das LAN gekopelt wird.

Für besonders sicherheitskritische Anwendungen sind dynamische VLANs allerdings weniger geeignet, weil sich die Inhalte von Frames nahezu beliebig manipulieren lassen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Gigabit-Switches mit Cloud-Unterstützung

Mögliche Integration in die Lancom Management Cloud

Gigabit-Switches mit Cloud-Unterstützung

Die drei Modelle der Gigabit-Switch-Serie GS-2328 von Lancom können optional automatisiert über die Lancom Management Cloud mittels SDN konfiguriert und verwaltet werden. Eines der Geräte bietet PoE, ein weiteres ist als Glasfaser-Switch konzipiert. lesen

WLAN-Router von Asus für KMU

Dual-WAN-Port und LTE over USB Fallback-Option

WLAN-Router von Asus für KMU

Asus bringt einen Router auf den Markt, der für kleine und mittlere Unternehmen gedacht ist. Mit vielen Sicherheitsfeatures und schnell verfügbaren Gastzugängen will der Hersteller punkten. lesen

Automatisierte Netzwerk-Virtualisierung mit VMware NSX

Mit SDN auf dem Weg zum Software-Defined Data Center

Automatisierte Netzwerk-Virtualisierung mit VMware NSX

Lange hat sich am Betriebsmodell für das Netzwerk nichts verändert – wodurch die Bereitstellung neuer Applikationen ausgebremst wurde. Die automatisierte Netzwerk-Virtualisierung via VMware NSX ist der nächste Schritt auf dem Weg zum Software Defined Data Center. lesen

Die Zeit ist reif für SDN

Software-Defined Networking und On-Demand Services

Die Zeit ist reif für SDN

Dieses Jahr wird das Jahr, in dem Software-Defined Networking (SDN) endlich im Geschäftsalltag ankommt. Das beschleunigt die digitale Transformation und verändert die Art, wie Unternehmen mit ihrem Netzwerk interagieren. lesen

OS-Update für besseres Experience-Management

Flexibilität der Mandantenfähigkeit und der Datenebene

OS-Update für besseres Experience-Management

SmartZone OS, das Betriebssystem für das Controller-Portfolio von Ruckus Wireless, bietet laut Hersteller in der Version 3.5 mehr als 30 neue Funktionen und Erweiterungen für eine bessere End-User-Erfahrung und ein flexibleres Sicherheits- und Policy-Management. lesen

SEH liefert blaues Wunder für USB und Clients

USB-Deviceserver myUTN-2500 im Test

SEH liefert blaues Wunder für USB und Clients

Mit dem myUTN-2500 liefert SEH Computertechnik (SEH) einen USB-Deviceserver, der verschiedene Peripheriegeräte ins Netzwerk bringt. Wie gut das funktioniert, hat IP-Insider jetzt getestet. lesen

Stand-alone-Switches für PoE-Geräte

PoE+ und L2+/L3-Funktionen für KMU

Stand-alone-Switches für PoE-Geräte

Netgears ProSAFE Smart Managed Switches GS418TPP, GS510TPP und GS510TLP unterstützen über PoE+ den Einsatz von Geräten mit erhöhtem Leistungsbedarf. Die Standalone-Switches gibt es mit unterschiedlicher PoE-Portanzahl und verschiedenen PoE-Leistungsbudgets. lesen

DE-CIX führt direkt in die Cloud

Frankfurter Internetknoten launcht DirectCLOUD

DE-CIX führt direkt in die Cloud

Mit dem neuen Angebot DirectCLOUD will der Betreiber eines der weltweit größten Internetknoten, DE-CIX in Frankfurt am Main, Internet Service Provider, Rechenzentren und Unternehmen auf dem kürzesten Weg in die Cloud bringen. lesen

DE-CIX erweitert Peering-Angebot

GlobePEER Remote Service für Hamburg und München

DE-CIX erweitert Peering-Angebot

DE-CIX erweitert die regionalen Zugänge: Per GlobePEER Remote Service können sich damit auch Nutzer in Hamburg und München direkt mit dem Internet Exchange DE-CIX Frankfurt verbinden. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44626122 / Definitionen)