Suchen

Netzwerk-Virtualisierung Teil 1 VLAN – mit virtuellen Netzen zu mehr Sicherheit und Komfort

| Autor / Redakteur: Thomas Jungbluth / Dipl.-Ing. (FH) Andreas Donner

Das Thema Virtualisierung bewegt die IT-Welt zurzeit wie kein anderes. Dabei lässt sich das komplexe Thema, das – richtig verstanden und umgesetzt – zu einer echten Leistungssteigerung und einer deutlichen Sicherheitserhöhung im Netzwerk führt in drei Bereiche aufteilen: Desktop- und Server-Virtualisierung, Storage-Virtualisierung und LAN-Virtualisierung.

Bild: www.awt.be
Bild: www.awt.be
( Archiv: Vogel Business Media )

Bei einem virtuellen System, also der Desktop- bzw. Servervirtualisierung, löst man die Verwaltung und Verteilung der eigentlichen Ressourcen von der Hard- oder Software, auf der sie laufen. In einem virtuellen PC/Server bewegt sich der Anwender in einem abgeschlossenen System, das jedoch nicht mehr auf einem bestimmten Computer läuft, sondern über die im Hintergrund agierende Virtualisierungs-Software eine bestimmte Hardware-Basis vorgetäuscht bekommt.

Die Vorteile liegen auf der Hand: Auf einem einzigen Computer können so mehrere unterschiedliche Betriebssysteme ohne gegenseitige Beeinflussung nebeneinander verwendet werden. Aktionen in einem virtuellen System lassen den Datenbestand und die Betriebssicherheit des anderen unberührt. Aber auch aus energetischer Sicht ist die Virtualisierung durchaus interessant, da virtuelle Server damit gezielt auf einer oder mehreren physikalischen Plattformen so verteilt werden können, dass eine optimale Auslastung der Systeme stets gewährleistet ist.

Der zweite Kernbereich der Virtualisierung ist die Datenspeicherung und -archivierung. Durch Schaffung virtueller Speicherbereiche können auf einem einzigen Array gleich mehrere Speicherzonen (meist mit dem englischen Begriff „Tiers“ bezeichnet) untergebracht werden: der Online-Speicher für den aktuellen Datenverkehr, die Bereiche für die Datensicherung und schließlich für die Archivierung. Auch hier besteht der große Vorteil in der Flexibilität und weitgehender Unabhängigkeit von der jeweiligen Hardware. Ein virtueller Speicher kann sich bei Bedarf sogar über mehrere Arrays erstrecken.

Virtualisierung im Netz: VLAN-Grundlagen

Bei der Virtualisierung im Netzwerk trennt man das eigentliche lokale Netzwerk von den Switches, Routern und Hubs, indem man ein oder mehrere in sich geschlossene virtuelle Netzwerke (Virtual Local Area Networks, kurz VLANs) aufbaut. So ist man unabhängig von der verwendeten Hardware und kann sogar die lokalen Beschränkungen eines herkömmlichen LANs aufheben, indem das VLAN auf mehrere Switches verteilt wird.

Der Netzwerkadministrator braucht sich aber innerhalb des VLANs um diese „administrativen“ Dinge nicht zu kümmern; dies übernimmt die Virtualisierungs-Hard- und Software, also die Router und deren Firmware.

Es gibt wieder Zonen

Für virtuelle Netzwerke, die VLANs, wird das vorhandene Netzwerk in der Regel von einem VLAN-fähigen Router in verschiedene „Zonen“ eingeteilt. Dieser verwendet LAN-Switching oder virtuelles Routing. Beim LAN-Switching (auch „statisches VLAN“ genannt), ordnet man in der OSI-Schicht 1 bestimmten Ports die IP-Adressen zu, die der jeweiligen Zone angehören. Bei dynamischen VLANs übernimmt der Router die Zuordnung mittels einer Management-Datenbank.

Für den Administrator besteht der Vorteil einer virtuellen LAN-Struktur in der einfachen Zuordnung der Teilnehmer zu den jeweiligen VLAN-Zonen. Damit werden unsichere Bereiche, in einem Unternehmen beispielsweise der E-Mail-Verkehr oder der Webserver, von sicherheitsrelevanten Bereichen, also zum Beispiel der Personalabteilung oder Buchhaltung, getrennt. Dabei macht es in der Praxis keinen Unterschied, dass diese Trennung nicht physikalisch sondern elektronisch (durch den Router) vorgenommen wurde. Denn wenn der Administrator es nicht zulässt, haben Zonen untereinander keinen Kontakt – selbst wenn die Daten physikalisch über nebeneinander liegende Ports und Kabel des gleichen Geräts laufen.

Auch in puncto Leistung sind mehrere virtuelle Netzwerke selbst beim Einsatz entsprechend leistungsfähiger Netzwerkkomponenten besser als ein riesiges Gesamtnetz. Die Adressen und der Datenverkehr in den kleineren Teilnetzen lassen sich effektiver handhaben, und die Datenlast wird besser verteilt.

Vier Byte mehr

Der Datenverkehr der VLANs ist in der IEEE-Norm 802.1Q geregelt. Jedem Virtuellen Netzwerk wird hierfür eine eindeutige Nummer, die so genannte VLAN-ID, zugeordnet. Nur Geräte mit gleicher VLAN-ID können miteinander Kontakt aufnehmen. Damit verschiedene VLANs voneinander unterschieden werden können, werden die Frames um vier Byte erweitert. 12 Bits darin bestimmen die VLAN-ID, die übrigen enthalten weitere administrative Informationen wie verwendetes Protokoll und ähnliches.

VLAN-fähige Switches, mit denen ein oder mehrere VLANs innerhalb eines physikalischen Netzwerks realisiert werden können, sind etwas teurer als Switches ohne VLAN-Fähigkeit.

Die „Verkehrsregelung“ zwischen zwei VLANs übernehmen Router oder Switches mit entsprechenden Funktionen. Administratoren sollten bei der Einführung von VLANs allerdings darauf achten, dass alle Netzwerkkomponenten mit den zusätzlichen Informationen nach IEEE 802.1Q zurechtkommen – vor allem ältere PCs mit langsamen Netzwerkkarten könnten da ihre Schwierigkeiten haben.

Insgesamt ist es aber kein unbezahlbar großer Aufwand, ein Firmennetz auf virtueller Basis aufzubauen, und die Vorteile liegen auf der Hand. Die Zukunft gehört der Virtualisierung.

Artikelfiles und Artikellinks

(ID:2005139)