Mit einfachen Mitteln mehr Struktur im Netzwerk schaffen

VLANs: So trennen Sie Netzwerke logisch voneinander

| Autor / Redakteur: Thomas Joos / Andreas Donner

Mit VLANs lassen sich Netzwerke auf Basis von virtuellen oder physischen Switches bequem segmentieren.
Mit VLANs lassen sich Netzwerke auf Basis von virtuellen oder physischen Switches bequem segmentieren. (Bild: Joos)

Mit virtuellen LANs, auch kurz VLANs genannt, lassen sich im Netzwerk auf einer einheitlichen physischen Infrastruktur mehrere logische Netzwerke mit unterschiedlichen Subnetzen erstellen. So lassen sich Servergruppen bequem voneinander zu trennen oder das Netzwerk in verschiedene Arbeitsbereiche wie Arbeitsstationen und Server teilen.

Mit VLANs werden also auf Basis von Hardware-Netzwerkgeräten, oder auch auf der Basis von virtuellen Switches für Hyper-V und VMware Netzwerke segmentiert. Die Kommunikation der unterschiedlichen VLANs kann dabei über identische Hardware laufen, die Geräte verschiedener VLANs "sehen" sich aber nicht, da auch Broadcasts und andere Netzwerkübergreifende Abläufe nur innerhalb des VLANs stattfinden.

Unterstützen die physischen Netzwerkkarten die Verwendung von VLANs, lässt sich diese Funktion in den Einstellungen der Netzwerkkarte auf den Windows-Servern anpassen (siehe Abbildung 1). Die Einstellungen sind in der erweiterten Konfiguration, in den Eigenschaften des Adapters im Netzwerk- und Freigabecenter zu sehen.

Mit dem Nachfolger von Windows Server 2010 R2 führt Microsoft mit dem Network Controller auch einen neuen Serverdienst ein, der optimal mit VLANs umgehen kann, diese steuert und überwacht. Im Bereich des Fabric Network Managements erlaubt der Network Controller auch die Konfiguration und Verwaltung von IP-Subnetzen, VLANs, Layer 2- und Layer 3-Switches sowie die Verwaltung von Netzwerkadaptern in Hosts. Mit spezialisierten Switches lassen sich also auch auf Hardware-Basis VLANs erstellen. Dazu werden einzelne Ports zusammengeschaltet, die dann wie ein eigenständiges (Teil-)LAN funktionieren und von den restlichen Anschlüssen getrennt arbeiten.

Wichtig bei der Verwendung von VLANs ist eine Überprüfung, ob alle eingesetzten Netzwerk-Geräte, alle Betriebssysteme und auch die restliche Hardware VLANs unterstützen. Nach der Konfiguration der Hardware-Switches muss überprüft werden, ob auch Geräte wie NAS-Systeme und anderen Netzwerkdienste mit den notwendigen Clients kommunizieren können.

VLANs bei der Virtualisierung

Hyper-V unterstützt auch bei Netzwerkswitches die Verwendung von VLANs. Dazu können Administratoren virtuelle LANs in der Verwaltungsoberfläche der Switches erstellen und diese in Hyper-V eintragen.

Mittels VLANs lassen sich auch in virtuellen Netzwerken Datenströme voneinander trennen um die Sicherheit und die Leistung zu erhöhen. So kann zum Beispiel der Netzwerkverkehr für die Virtualisierungsverwaltung des Servers vom Netzwerkverkehr der virtuellen Server untereinander getrennt werden. In den Eigenschaften der Netzwerkkarten der Hyper-V-Hosts müssen Administratoren (nach der VLAN-Aktivierung; siehe Abbildung 1) dazu in den erweiterten Einstellungen festlegen, mit welcher VLAN-ID im Netzwerk die Karte kommunizieren soll. Anschließend muss im Hyper-V-Manager die Netzwerkverbindung ausgewählt und ebenfalls die VLAN-ID eingegeben werden (siehe Abbildung 2). Auch hier geben wird die entsprechende VLAN-ID vorgegeben. Diese Technik funktioniert aber erst seit Windows Server 2012 R2 belastbar.

Für einen Einsatz in VLANs müssen die Hardware-Switches und Netzwerkkarten diese Funktion unterstützen. Nachdem der Hyper-V-Host konfiguriert wurde, können Administratoren die virtuellen Server und die virtuellen Switches ebenfalls an VLANs anbinden. Dazu wird im Hyper-V-Manager der Manager für virtuelle Switches gestartet. Hier kann ausgewählt werden, welche physische Netzwerkverbindung an das VLAN angeschlossen werden soll. Anschließend lässt sich auch an dieser Stelle das VLAN und dessen ID angeben. Auf diesem Weg lassen sich alle einen bestimmten Switch nutzenden virtuellen Server auf einen Schlag an ein bestimmtes VLAN anbinden.

Dazu muss in den Optionen des virtuellen Switches die Checkbox "Identifizierung virtueller LANs für das Verwaltungsbetriebssystem aktivieren" gesetzt sein. Nachdem die ID angegeben wurde, fließt der Datenverkehr von dieser Verbindung über die entsprechende ID.

Auch interne Netzwerke in Hyper-V unterstützen die VLAN-Konfiguration. Bei diesen Netzwerken können die Server aber nur mit virtuellen Maschinen auf dem Hyper-V-Host oder dem Cluster kommunizieren. Auf diesem Weg können Administratoren problemlos virtuelle Server an VLANs anbinden. Dazu müssen in den Einstellungen der virtuellen Server über die Eigenschaften der virtuellen Netzwerkkarten ebenfalls die VLAN-IDs angegeben werden (siehe Abbildung 3).

Sollen virtuelle Server mit mehreren VLANs kommunizieren, können auf den jeweiligen Servern mehrere virtuelle Netzwerkkarten hinzugefügt werden. Jede Karte kann dann mit einem spezifischen VLAN verbunden werden. Seit den Linux Integration Services 3.5 lassen sich VLANs auch für virtuelle Linux-Server in Windows Server 2012 R2 nutzen. Die Einstellungen dazu sind identisch mit den Konfigurationen für virtuelle Windows-Server, da die Einstellungen nicht auf dem Betriebssystem der VM stattfinden, sondern auf Ebene der Hyper-V-Einstellungen.

Durch diese durchgehende Unterstützung von VLANs können Administratoren bei entsprechend kompatiblen Switches zum Beispiel Testumgebungen aufbauen oder Hyper-V-Hosts logisch voneinander trennen, auch wenn diese im selben physischen Netzwerk angebunden sind.

Netzwerkkarten-Teams in Windows Server 2012 R2 unterstützen ebenfalls die Anbindung an VLANs (siehe Abbildung 4). Verwenden Unternehmen NIC-Teams in virtuellen Servern, empfiehlt Microsoft, die VLAN-Anbindung direkt über den virtuellen Switch durchzuführen und nicht für das virtuelle NIC-Team. Bei fehlerhaften Konfigurationen besteht die Gefahr von Datenkollisionen.

802.1x und der Netzwerkzugriffsschutz (NAP; Network Access Protection)

Mithilfe der 802.1x-Erzwingung richtet ein Netzwerkrichtlinienserver (Network Policy Server, NPS) in Windows Server 2012/2012 R2 einen 802.1x-basierten Zugriffspunkt ein, für den 802.1x-Clients ein eingeschränktes Zugriffsprofil zu verwenden. Die 802.1x-Erzwingung bietet einen sicheren, eingeschränkten Netzwerkzugriff für alle Computer, die auf das Netzwerk über eine 802.1x-Verbindung zugreifen.

Unterstützen die Switches in einem Netzwerk 802.1x, besteht die Möglichkeit, dass nicht-konforme NAP-Clients in spezielle VLANs verschoben werden, bevor diese Zugriff auf das Netzwerk erhalten. Damit Administratoren NAP in einer 802.1x-Konformen Umgebung testen können, sollten sie sicherstellen, dass die Switches und andere Komponenten diese Umgebung unterstützen und das Anlegen von virtuellen LANs ermöglichen. Abhängig von den NAP-Richtlinien unter Windows Server 2012 R2 weist ein 802.1x-kompatibler Switch die Clients den entsprechenden VLANs zu. Um die Umgebung optimal testen zu können, sollten mindestens drei VLANs eingerichtet werden:

  • Ein VLAN für die Clients im Netzwerk, für die kein NAP verwendet werden soll
  • Ein VLAN für NAP-konforme Clients
  • Ein VLAN für nicht-konforme NAP-Clients

Zwischen den VLANs für NAP-konforme und nicht-NAP-konforme Clients sollte kein Routing eingerichtet werden, damit nicht-NAP-konforme Clients vom Netzwerk separiert werden.

Wollen Unternehmen den Netzwerkzugriffsschutz in einer 802.1x-Umgebung einsetzen, müssen Administratoren sicherstellen, dass die Domänenfunktionsebene mindestens auf Windows Server 2003, besser auf Windows Server 2008 oder Windows Server 2012 R2 gesetzt wird.

Standard Switches vs. Distributed Switches – VLANs in VMware

Die Standard-Switches in VMware lassen sich nur auf einzelnen VMware vSphere-Hosts einsetzen. Diese Art der Switches ist daher recht einfach konfigurier- und verwaltbar, dafür aber nicht flexibel und skalierbar. Der Nachteil dabei ist, dass Administratoren für jeden neuen Host auch einen neuen Standard-Switch erstellen und konfigurieren müssen. Das gilt auch für Portgruppen, VLANs und alle anderen Arten der Einstellung.

Unternehmen sollten beim Einsatz von VLANs also auf Distributed Switches setzen. Distributed Switches, auch vDS genannt, lassen sich auf mehreren VMware Hosts und -Clustern einsetzen. Die grundsätzliche Funktion der beiden Switches ist identisch, beide verbinden VMs über eine Schnittstelle mit dem physischen Netzwerk.

Bei den Distributed Switches handelt es sich jedoch um ein Objekt des Datencenters, und nicht nur um ein Objekt eines einzelnen Hosts, wie bei Standard-Switches. Im Netzwerk muss daher nur ein einzelner vDS im Einsatz sein, der auf die angebundenen ESX-Server repliziert wird. Natürlich lassen sich aber auch mehrere vDS parallel einsetzen.

Wenn beispielsweise 4 ESX-Server und 20 VLANs im Unternehmen im Einsatz sind, müssen Administratoren bei der Verwendung von Standard-Switches 80 Portgruppen einrichten. Diese Konfiguration entfällt mit vDS (siehe Abbildung 5).

Erweiterte Funktionen, wie die Portgruppen und VLANs lassen sich nur mit vDS vernünftig betreiben. Distributed Switches unterstützen auch Private VLANs (PVLANs). Solche PVLANs bestehen aus einem Primary PVLAN und einem Secondary PVLAN. Das Primary PVLAN stellt eine Gruppierung des herkömmlichen VLANs dar. Die einzelnen ursprünglichen VLANs gehen als einzelne Secondary PVLAN im Primary VLAN auf. Jedes Secondary PVLAN verfügt über eine eigene VLAN ID. VMware zeigt Details zu diesen Möglichkeiten in einem Video.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43340330 / LAN- und VLAN-Administration)