Suchen

VLAN-Ratgeber – Mehr Sicherheit und Leistung durch getrennte Netze, Teil 3 VLAN-Konfiguration und Optimierung

| Autor / Redakteur: Johann Baumeister / Dipl.-Ing. (FH) Andreas Donner

Virtual Local Area Networks (VLANs) sorgen für eine Trennung der Netze. Durch VLAN-fähige Netzwerkkarten kann diese Trennung bis auf die Ebene des Zielrechners erhalten bleiben. Wie das geht, zeigt dieser Beitrag.

Firma zum Thema

Neben einem Einsatz im LAN ist das Thema VLAN auch in komplexen virtuellen Umgebungen extrem wichtig.
Neben einem Einsatz im LAN ist das Thema VLAN auch in komplexen virtuellen Umgebungen extrem wichtig.

VLANs trennen den Datenverkehr durch eine Erweiterung des Ethernet-Frames. Wie wir in den Grundlagen in den Teilen eins und zwei erwähnten wird die VLAN-ID in den Header des Ethernet-Frames eingeschoben. Dies gilt beispielsweise, wenn zwischen zwei VLAN-Switches Pakete auszutauschen sind oder die VLAN-Kennung bis zu den Endgeräten übermittelt werden soll.

Die Übermittlung der VLAN-Kennung bis hin zu Endgeräten macht aber nur dann Sinn, wenn die Kommunikationspartner mit den VLAN-Erweiterungen im Ethernet Frame auch zurechtkommen.

Bildergalerie

Netzwerkkarten mit VLAN-Support

Standard-Netzwerkkarten ohne VLAN-Fähigkeiten können mit der VLAN-Kennung nichts anfangen. Folglich müssen, um VLAN-Tags bis zum Endgerät hin zu übertragen, spezielle Netzwerkkarten verwendet werden.

Diese Karten müssen in der Lage sein, das VLAN-Tag auch auszuwerten. Der Ethernet-Header wird bei der Verwendung von VLANs geändert (verlängert). An der Stelle des Längenfeldes stehen nun die VLAN-Kennung und QoS-Informationen. Eine Netzwerkkarte, die mit VLAN-Tags nichts anfangen kann wird diesen veränderten Header aber auch nicht auswerten können. Die Netzwerkkarte wird infolgedessen das Datenpaket wegen falscher Längenangaben verwerfen.

Tagged Datenpakete, also solche mit einer VLAN-Kennung, dürfen daher nur dann zum Endgerät hin übertragen werden, wenn dieses Gerät auch eine VLAN-fähige Netzwerkkarte besitzt. Ferner muss diese Netzwerkkarte für VLANs konfiguriert sein. Dies stellt aber i.d.R. kein Problem dar. Auch hier gilt wie bei den Switches bereits erläutert: Netzwerkkarten für den professionellen Einsatz unterstützen meist VLAN.

Bei Mainboards mit integrierter Netzwerkfunktion ist dies hingegen eher nicht gegeben. Derartige Mainboards werden beispielweise bei einfacheren Desktop-PCs eingesetzt und viele dieser Mainboards weisen beispielsweise den Realtek-Chipsatz 8139 auf. VLAN-Unterstützung haben wir bei diesen Netzwerk-Implementierung im Rahmen unserer Arbeit noch nicht gefunden.

Praxis: Einrichten einer VLAN-NIC

Für diesen Praxisbeitrag haben wir eine spezielle VLAN-Netzwerkkarte eingesetzt. Die Intel Netzwerkkarten, wie beispielweise die Serie Intel PRO/1000 GT ,unterstützen VLANs. Dabei gilt es allerdings, einige Besonderheiten zu beachten.

In Windows XP und Windows 7 sind bereits Netzwerktreiber für die Intel PRO/1000 GT enthalten. Da die Karten Plug-und-Play-fähig sind, werden sie beim Start des Betriebssystems automatisch erkannt und Windows richtet die Treiber dafür ein. Diese Microsoft-Treiber unterstützen allerdings VLAN nicht. Um den VLAN-Support zu erhalten müssen stattdessen spezielle Treiber von der Intel-Webseite geladen werden.

Als Grundlage für diesen Praxisbericht verwendeten wir daher die aktuellen Netzwerkkartentreiber von Intel. Diese Treiber sind, so ist auf der Intel-Website zu lesen, nur für Windows XP und Windows Vista verfügbar. Windows 7 wird, so ist an einer anderen Stelle zu lesen, durch diese Treiber nicht unterstützt. Daher setzten wir auf zwei Geräte mit Windows XP und Windows Vista. Für die prinzipielle Funktionen von VLAN und an der Logik der Konfiguration ändert dieses aber nichts.

Nach dem Setup der Treiber findet sich unter den Konfigurationsdialogen des Gerätemanagers die VLAN-Einstellung eingeblendet. Die Konfiguration einer VLAN-ID selbst ist einfach und ohne Probleme vorzunehmen. Der Administrator muss lediglich die VLAN-ID und einen logischen Namen angeben (siehe Abbildung 1).

Die Konfiguration und Verwaltung der VLAN-ID wird in diesem Falle durch die Netzwerkkartenreiber von Intel bereitgestellt. Die PRO/1000 GT ist in der Lage auch mehrere VLANs pro Karte zu verwalten (siehe Abbildung 2). Um nun zwei Rechner über das neu geschaffene VLAN kommunizieren zu lassen, muss das VLAN noch im Switch eingerichtet werden (siehe Abbildung 3).

VLANs im Kontext virtueller Strukturen

VLANs trennen Netze und haben eine Reihe an Vorzügen. Moderne Betriebssysteme können daher mit VLANs umgehen. Sie sind oftmals in der Lage die Frames selbst um die VLAN-Kennungen zu erweitern und emulieren somit mehrere LAN-Schnittstellen.

Aber auch die Hersteller der Hypervisoren haben die Vorzüge von VLANs in ihre Virtualisierungslösungen übernommen und unterstützen VLANs in ihren Umgebungen. VMware unterstützt bereits seit den frühen Version virtuelle Switches und Netzwerke in vSphere-Umgebungen. Durch diese virtuellen Switches und Netzwerke erfolgt die Trennung der virtuellen Systeme in vSphere.

Bei Microsoft finden sich diese Einstellungen in der Verwaltungsoberfläche für virtuelle Systemen (siehe Abbildung 4). Die allgemeine Konfiguration der Netzwerkschnittstelle findet man unter dem „Manager für virtuelle Netzwerke“. In der anschließend erscheinenden Verwaltungsmaske sind dazu neue virtuelle Netzwerke anzulegen. Hierzu ist die Option „Neues virtuelles Netzwerke“ zu wählen.

Zu den Konfigurationseinstellungen einer Netzwerkschnittstelle gehören der Name, der Typ der Schnittstelle und die Angaben zu VLAN. Der Name dient zu Identifizierung und Zuordnung zu den virtuellen Maschinen. Bei den Typen werden des externe Netzwerk, das interne Netzwerk und ein privates Netzwerk unterschieden. Im unteren Bereich findet sich die VLAN-Kennung. Mit dieser VLAN-Kennung wird das virtuelle LAN bestimmt, das vom Hyper-V für die Kommunikation verwendet werden soll.

Hierzu ist zuerst das Netzwerkinterface auszuwählen. In den erweiterten Einstellungen ist dann festzulegen, mit welcher VLAN-ID die Karte im Netzwerk kommunizieren soll. Anschließend muss im Hyper-V-Manager die Netzwerkverbindung ausgewählt und ebenfalls die VLAN-ID eingegeben werden.

Artikelfiles und Artikellinks

(ID:32264060)