Netzwerk-Virtualisierung Teil 3

VLANs in der Praxis – Switches und Server

02.07.2007 | Autor / Redakteur: Thomas Jungbluth / Andreas Donner

VLAN-fähiger Switch von Lindy
VLAN-fähiger Switch von Lindy

Um virtuelle Netzwerke einzurichten, brauchen Administratoren drei Dinge: das notwendige Know-how, die passende Hardware – und die zugehörige Software inklusive aller notweniger Treiber. Denn die Realisierung von virtuellen Netzwerken gehört nicht zu den Grundfunktionen jedes Switches bzw. Routers.

VLANs werden vor allem da eingesetzt, wo es sinnvoll ist, bestimmte Bereiche innerhalb eines Netzwerks voneinander zu trennen – etwa verschiedene Abteilungen innerhalb einer Firma. Auch kann es notwendig sein, den „öffentlich zugänglichen Bereich“ eines Netzwerks von sicherheitsgefährdeten Abschnitten getrennt zu halten. Das kann beispielsweise der Teil sein, der mit dem Internet verbunden ist oder die per Wireless LAN angebundenen Systeme, die öfter Ziel von Einbruchsversuchen sind.

Die Zuweisung der einzelnen Geräte zum jeweiligen VLAN-Segment geschieht entweder statisch über die betreffenden Ports oder dynamisch über die MAC-Adresse der Geräte.

Doch auch in VLANs kann es notwendig werden, dass die einzelnen VLAN-Segmente miteinander kommunizieren, etwa wenn Daten aus dem Internet in der sicherheitsgefährdeten Abteilung benötigt werden oder von dort verschickt werden. Diese Aufgabe kann entweder ein Server oder Switch erledigen, der die hierzu nötige IP-Koppelung auf der OSI-Ebene 3 erledigt. Im letzten Fall ist man vom Zentralrechner unabhängig und kann die VLAN-Verwaltung auch dann aufrechterhalten, wenn der Server ausfällt oder aus anderen Gründen nicht zur Verfügung steht.

Über den Bedarf gewachsen

Manchmal jedoch steht eine solche Lösung nicht zur Verfügung, weil zum Beispiel bei der ursprünglichen Konzeption des Netzwerks die Firmenstruktur eine solche Lösung noch nicht erforderte. In diesem Fall muss der Server einspringen und die Routingfunktionen über eine Netzwerkkarte sowie entsprechende Treiber realisieren.

Je nach Hardware ist der Server in der Lage, das Routing der VLANs über die Tagged Links nach IEEE 802.1Q mit nur einem einzigen physikalischen Anschluss einer Netzwerkkarte an den Switch zu übernehmen – sofern entsprechend fähige NICs eingesetzt werden (beispielsweise von Intel). In diesem Fall muss für eine Segmentierung keine weitere Netzwerkkarte eingesetzt werden. Auch wenn der Server allen VLANs zur Verfügung stehen soll, ohne sie zu verbinden, ist eine solche Karte sinnvoll – die Routingfunktion wird dann einfach deaktiviert.

Steht eine derartige Karte nicht zur Verfügung, muss für den Zugang zum weiteren Netzwerksegment eine separate Netzwerkkarte eingebaut werden. Ohne einen Switch mit VLAN-Funktion muss für jedes Segment ein eigener Switch eingesetzt werden, der Server übernimmt daraufhin die Routing-Funktion. Dann handelt es sich jedoch kaum mehr um virtuelle, sondern um reale LAN-Segmente.

In medias res

Als erstes legt der Administrator die Nummern für die VLAN-Segmente fest. Zu beachten ist: Segmentadresse VLAN1 ist Standard, Ethernet-Pakete ohne VLAN-Tags werden in dieses Segment ausgeliefert. In der Wahl der Nummer ist man ansonsten aber frei und könnte für drei Segmente beispielsweise auch die IDs VLAN5, -9 und -42 wählen (wenn etwa die zum VLAN-Segment gehörigen Abteilungen intern mit bestimmten Zahlen bezeichnet werden).

Die IDs richtet der Administrator auf dem Switch wie im jeweiligen Handbuch beschrieben ein und weist ihnen die Endgeräte-Ports „untagged“ zu.

Ein Server, der die Routing-Funktionen zwischen den VLAN-Segmenten übernimmt, sollte über eine Schnittstelle mit höherer Bandbreite angeschlossen werden – am besten an einen 1-GBit/s-FC-Port. Verwendet man eine 100MBit/s-Verbindung, ist vor allem bei starkem Netzwerkverkehr zwischen den VLAN-Segmenten mit Einbrüchen in der Leistung zu rechnen.

Der Port, an den der Server angeschlossen wird, bekommt die Eigenschaft „tagged“ für beide VLANs. Die Packets aus beiden VLAN-Segmenten laufen damit über den Server, und dieser verteilt sie anhand der angehängten Tags gemäß IEEE 802.1Q, in denen die VLAN-ID enthalten ist.

Stets zu Diensten

Damit der Netzwerkadapter im Server die Routing-Funktionen übernehmen kann, müssen die entsprechenden Treiber und Dienstprogramme installiert werden (z.B. Intel Pro für Windows). Weiterhin sollte der Server durch entsprechende Maßnahmen so abgesichert sein, so dass er weitgehend unterbrechungsfrei laufen kann. Denn wenn der Server ausfällt, ist auch der Datenverkehr zwischen den VLAN-Segmenten unterbrochen.

Im Windows-Geräte-Manager des Servers öffnet man die Eigenschaften des Netzwerkadapters und fügt im Register „VLAN“ zusätzliche VLAN-Segmente hinzu, indem man die entsprechenden Daten angibt. Die IDs sollten natürlich mit den im Switch konfigurierten IDs übereinstimmen. Wer die ID VLAN1 mitbenutzen möchte, muss bei zweien nur ein zusätzliches VLAN einrichten. „Ungetaggte“ Packets gehen dann automatisch an das erste Segment, die mit Tags an den VLAN-Bereich, der darin angegeben ist.

Für jede zusätzlich im Treiber festgelegte VLAN-ID richtet der Treiber eine eigene virtuelle Karte ein, die wie eine tatsächlich vorhandene behandelt wird. In der Netzwerkumgebung kann jedem dieser Adapter eine eigene IP-Adresse sowie ein Gateway zugeordnet werden. Last but not least sollte in den VLAN-Clients die Gateway-Adresse auf die VLAN-IP-Adresse des Adapters im Server eingestellt werden, denn der übernimmt ja die Routing-Funktion.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2005698 / Virtualisierung)