VLAN-Ratgeber – Mehr Sicherheit und Leistung durch getrennte Netze, Teil 2 Virtual Local Area Networks (VLAN) im Praxiseinsatz

VLANs ermöglichen die Aufteilung eines Netzwerks in kleine separierte Einheiten. IP-Insider zeigt den Aufbau und die Verwaltung von VLANs anhand einer Praxiskonfiguration.

Anbieter zum Thema

Dell GmbH

ICP Deutschland GmbH

Lenovo Global Technology Germany GmbH

Um ein VLAN in Betrieb zu nehmen, benötigt man in jeden Fall eine VLAN-fähige Netzwerkbaugruppe, wie etwa einen Switch oder Router, der mit VLANs umgehen kann. Die Netzwerkbaugruppe muss in der Lage sein VLANs zu verwalten.

Professionelle Netzwerkkomponenten unterstützen i.d.R. alle VLAN-Funktionen. Aber auch semiprofessionelle Geräte und selbst jene für den SOHO-Markt werden oftmals mit VLAN-Funktionen ausgestattet.

Sie finden die VLAN-Konfiguration meist unter den Layer-2-Funktionen des Switches, denn VLANs gehören in diese Schicht des OSI-Modells. Die VLAN-Fähigkeit erkennt man aber auch an dem Schlagwort 802.1Q in der Featurelist der Geräte.

802.1Q ist der Standard für die VLAN-Definition. Daneben gibt es aber auch VLAN-Implementierungen die auf den höheren Schichten, wie etwa dem Layer 3 aufsetzen. In diesem Fall wird die Zugehörigkeit zu einem virtuellen LAN anhand der Layer-3-Kriterien bestimmt. Dies ermöglichen eine flexiblere Auslegung und Verwendung des VLAN. Zu den Kriterien auf Layer 4 oder höher gehören beispielsweise das verwendete Protokoll oder Sicherheitsparameter.

Port-basiertes VLAN

Bei der Umsetzung von VLANs werden verschiedene Varianten angeboten. Bei den Port-basierten Verfahren wird das VLAN an einen Switchport geknüpft. Hierbei bestimmt allein dieser Port, zu welchem VLAN das an diesem Port angeschlossene Gerät gehört. Bei Port-basierten VLANs besteht also immer eine 1:1-Verknüpfung eines VLANs zu einer Netzwerkkarte des Servers oder Clientgerätes.

Alle Ports im selben Segment werden hierbei einer Broadcast-Domäne zugeordnet. Port-basierte Varianten waren die ersten VLAN-Implementierungen. Bei Port-basierten-VLANs existiert die VLAN-Kennung nur im Switch. Die VLAN-Kennung (die VLAN-ID) wird oftmals auch als "Tag" bezeichnet.

Die Datenpakete werden beim Ankommen am Switch mit dieser Kennung, der VLAN-ID, versehen (getaggt). Sobald die Datenpakete aber den Switch verlassen, wird die VLAN-ID, das „Tag“, wieder entfernt. Auf dem Netzwerk befinden sich folglich nur Pakete ohne „Tag“. In diesem Fall existiert die VLAN-ID gewissermaßen nur innerhalb des Netzwerk-Switches.

Die VLAN-ID wird dabei nur verwendet, um zu prüfen, ob das Paket einem VLAN angehört und an welchen Port es weiterzuleiten ist. Funktionell ist es so, dass das erste Datenpaket einer Verbindung so behandelt wird, als würde es über einen Router geschleust. Alle weiteren Datenpakete werden geswitcht, da die Route bereits bekannt ist. Das bringt den Geschwindigkeitsvorteil.

Praxis: Einrichten eines VLANs

Für diesen Praxisbeitrag verwenden wir mehrere VLAN-fähigen Netzwerkbaugruppen. Als Netzwerkswitch setzen den DGS 1100-24 von D-Link ein. Bei dem Switch handelt es sich um einen verwalteten (managed) Switch mit 24 1 GB-Ports.

Zur Verwaltung ist ein Browser heranzuziehen. Durch diesen ist eine Verbindung mit dem Switch aufzubauen. Dazu muss die verwendete IP-Adresse des managed Switch bekannt sein. In der Verwaltungsoberfläche des Switches sind dann alle Konfigurationen und auch die VLAN-Einstellungen vorzunehmen. Dazu gehören die Angaben zu den IP-Adressen, den Sicherheitskriterien, der Gruppierung von Ports (Port-Trunking), das Port-Forwarding und die Parametrisierung des VLANs.

Im linken Bereich der D-Link-Verwaltungskonsole ist ein Menü eingeblendet (siehe Abbildung 1). Unter der Rubrik VLAN sind zwei Unterpunkte "Port-based VLAN" und "802.1Q-VLAN" eingeblendet. Um ein Port-basiertes VLAN mit dem DGS 1100-24 einzurichten ist die Option "Port-Based VLAN" aufzurufen. Dort sind die Ports, die dem VLAN zugeordnet werden sollen und die VLAN-ID einzutragen. Anschließend muss die Konfiguration gesichert werden und dann sollte das VLAN bereits aktiv sein. Ab sofort können daher nur noch Geräte mit der gleichen VLAN-ID kommunizieren.

VLANs nach 802.1Q

Die zweite Gruppe sind die VLANs nach dem Standard 802.1Q. Der Standard 802.1Q beschreibt die neuere VLAN-Gattung und ist gleichzeitig eine weitere Variante einer VLAN-Implementierung. VLANs nach 802.1Q sind flexibler in der Auslegung, da sie das VLAN nicht fest an den Switch-Port binden (siehe Abbildung 3).

Stattdessen wird dabei das Ethernet-Paket erweitert. Die VLAN-Kennung und weitere QoS-Informationen werden im vorderen Bereich des Headers eines Ethernet-Pakets eingeschoben. Der Ethernet Frame hat normalerweise bis zu 1.518 Byte, er wird bei Verwendung von VLANs aber um vier Byte erweitert.

In dieser Erweiterung stecken neben der VLAN-Kennung auch die QoS-Informationen (siehe Abbildung 4). Die ersten beiden Bytes in dieser Erweiterung bestimmen, dass es sich bei dem Datenpaket um einen VLAN-Frame handelt (Kennung: 0x8100). Die weiteren Bytes stehen für die Priorität – drei Bits für Class of Service, CoS, ein Bit namens Canonical Format Indicator (CFI) und zwölf Bits für die VLAN-ID. Die VLAN-ID ist eine Nummer zwischen 1 und 4.095.

VLANs nach 802.1q können im Prinzip einem Port auch mehrere VLAN-IDs zuweisen. Dies macht sie gegenüber den rein Port-basierten Varianten flexibler. Diese Funktion steht aber nicht bei allen Switches zur Verfügung.

Im dritten Teil dieser Reihe wenden wir uns VLAN-fähigen Netzwerkkarten und der VLAN-Unterstützung in den Betriebssystemen zu

(ID:32263990)