Suchen

Netzwerk-Virtualisierung Teil 2 Dynamische VLANs – abgeschirmte Workgroup-Lösung mit hoher Flexibilität

| Autor / Redakteur: Thomas Jungbluth / Dipl.-Ing. (FH) Andreas Donner

Virtuelle Netzwerke, so genannte VLANs, implementieren logische Workgroups innerhalb eines Netzes. Sie bieten damit den Vorteil, sicherheitsrelevante Bereiche voneinander trennen oder Arbeitsgruppen logisch strukturieren zu können. In der dynamischen Variante können sogar mobile Nutzer oder Fernarbeitsplätze immer dem richtigen VLAN zugeordnet werden.

( Archiv: Vogel Business Media )

Beim statischen oder Port-VLAN wird in der Netzwerk-Schicht 1 des ISO/OSI-Modells jeder Anschluss (Port) eines Switches oder Routers einem bestimmten virtuellen Netzwerksegment zugeordnet.

Alle Ports innerhalb eines statischen Segments bilden eine Broadcast-Domäne und verhalten sich so, als würden sie an einem separaten normalen Switch angeschlossen sein. Alle Rundspruchpakete werden innerhalb des Segments verteilt. Durch die feste Zuordnung ist das System sicher und zuverlässig. Ein statisches VLAN ist sinnvoll, wenn sich die Zusammensetzung der Abteilungen auf absehbare Zeit nicht ändert.

Dynamisches VLAN

Bei Firmen, die schnell wachsen oder bei denen sich die Zusammensetzung der Abteilungen oder die Arbeitsplätze häufig ändern, sind VLANs, die mit dynamischer Zuordnung arbeiten, besser geeignet. Sie sind flexibler und leichter an neue Gegebenheiten anzupassen. Die Norm für dynamische VLANs heißt IEEE 802.1Q. Einige Hersteller verwenden aber auch proprietäre Verfahren für die Zuordnung der Informationen.

Bei IEEE 802.1Q wird die Information als zusätzliche Bytes in den Frames untergebracht. Sowohl Switches als auch Router und Netzwerkkarten müssen diese verarbeiten können.

Flexible Konfiguration

In dynamischen VLANs erkennt der Switch beim Anschluss des Systems an einen anderen Port diesen anhand seiner MAC-Adresse und liest aus der VLAN-Management-Datenbank aus, zu welchem VLAN-Segment er gehört. Die Verwaltung geschieht über ein eigenes Protokoll, zum Beispiel das „Generic Attribute Registration Protocol“ (GARP) oder den „VLAN Membership Policy Server“ (VMPS) von Cisco.

Wird ein Gerät an einen Switch angeschlossen, erhält dieser von dem Management System die Information, zu welchem VLAN-Segment die neue MAC-Adresse gehört. Der Switch ordnet das Gerät dann automatisch zu. So können Administratoren schnell und flexibel Änderungen im Netzwerk durchführen, ohne im Rechenzentrum Ports umstecken oder Konfigurationen im Switch ändern zu müssen.

Der Verkehr im virtuellen Netz wird mittels Packet Switching geregelt. Eine Station kann damit innerhalb der Infrastruktur an anderer Stelle angeschlossen werden und gehört dennoch immer noch zur gleichen Workgroup bzw. zum gleichen VLAN. Diese Ortsunabhängigkeit eines dynamischen VLANs ist ein entscheidender Vorteil, wenn Mitarbeiter beispielsweise öfter den Standort wechseln.

Fremde oder Freunde

Sogar räumlich entfernte Mitarbeiter – etwa im Heimbüro – bleiben automatisch Mitglied des jeweiligen VLAN-Segments. Weiterhin können innerhalb einer Arbeitsgruppe unterschiedliche Netzwerkprotokolle der Schichten 3 bis 7 benutzt werden. Broadcasts aus einem Segment werden nicht in ein anderes weitergeleitet. VLAN-Segmente sind voneinander weitgehend unabhängig.

Mehrere Switches in einem Netzwerk werden über Trunking-Ports miteinander verbunden, der Datenverkehr wird über VLAN-Tags gesteuert, die dafür sorgen, dass nur die zum Segment gehörenden Geräte entsprechende Datenpakete erhalten. Endgeräte, die VLAN-Tags nicht interpretieren können, werden bedient, indem der Switch diese Informationen zuvor daraus entfernt. Wird der Frame weitergeleitet, fügt der Switch das Tag wieder hinzu. So können auf mehreren verbundenen Switches gleiche Segmente angesprochen werden. Cisco-Geräte verwenden hierfür das „VLAN Trunking Protocol“ (VTP).

Sicherheit

Am sichersten sind statische VLANs, da die Zuordnung der Arbeitsstationen fest an die physikalischen Ports gebunden ist. Damit ein Angreifer auf das VLAN zugreifen kann, müsste er sich Zugang zum Rechenzentrum verschaffen. Unsicherer sind dynamische VLANs, da eine MAC-Adresse eines Rechners sich ändern lässt und somit eine falsche Identität vorgetäuscht werden könnte.

So bequem die automatische Anmeldung an die richtige Gruppe auch ist: Beim Fernzugriff beispielsweise sind zusätzliche Sicherungsmaßnahmen wie die Benutzung eines virtuellen privaten Netzwerks (VPN) unbedingt erforderlich, damit die Daten über den Tunnel im „sicheren Hafen“ landen.

Artikelfiles und Artikellinks

(ID:2005484)