VLAN-Ratgeber – Mehr Sicherheit und Leistung durch getrennte Netze, Teil 1

VLANs und ihre Einsatzmöglichkeiten

| Autor / Redakteur: Johann Baumeister / Andreas Donner

Virtual Locar Area Networks erhöhen die Sicherheit und die Performance im LAN.
Virtual Locar Area Networks erhöhen die Sicherheit und die Performance im LAN.

VLANs ermöglichen die Aufteilung eines Netzwerks in kleine separierte Einheiten. Zudem erlauben sie eine weitergehende Datenflusssteuerung. IP-Insider gibt in drei Beiträgen eine Übersicht zum Einsatz von VLANs – von den theoretischen Grundlagen bis zum praktischen Einsatz.

Beim traditionellen Netzwerkaufbau erhält jedes Subnetz mindestens einen eigenen Switch, an dem die Endgeräte angeschlossen sind. Durch Router erfolgt die Kommunikation über Subnet-Grenzen hinweg. Ferner hat jedes Subnetz einen eigenen IP-Bereich und mitunter auch eigene DHCP- und Namensdienste.

Um über Netzwerkgrenzen zu kommunizieren werden statische oder dynamische Routen eingesetzt. Dieses Modell der Trennung ist klar und übersichtlich und wurde über Jahre angewandt. Es hat eine Reihe an Vorzügen die sich just aus dieser strikten Trennung der Netzsegmente ergeben.

Diese Netzwerkstruktur hat aber auch Nachteile. Broadcast-Anforderungen im Subnetz sind für alle Teilnehmer sichtbar und müssen von den Endpunkten beachtet werden. Broadcasts werden beispielweise zur Namensauflösung (ARP-Requests) verwendet. Diese Broadcasts sind daher im gesamten Subnetz sichtbar. Um den Overhead der Broadcast nicht zu groß werden zu lassen, werden Broadcasts aber von traditionellen Routern nicht in andere Netzsegmente geschleust. Wird das Subnetz aber zu umfangreich, so reduziert der Broadcast-Overhead bereits hier die nutzbaren Übertragungsfenster und damit die Nettolast.

VLANs zur Netztrennung

VLANs schaffen hier Abhilfe. Durch VLANs (Virtual Local Area Networks) erfolgt die Trennung eines Netzes in mehrere logische Segmente. Anders als bei der physikalischen Trennung durch die Zuordnung zu einem den Switchport werden bei der Trennung durch VLANs die Geräte durch eine VLAN-ID logisch getrennt. Dabei wird der Datenstrom jeder Station mit einer Kennung (dem VLAN-"Tag"; siehe Abbildung 1) versehen. Diese Kennung bestimmt die Zugehörigkeit eines Datenpakets zu einem bestimmten VLAN. Alle Geräte mit der gleichen VLAN-Kennung befinden sich nunmehr in einem logischen Netzwerk.

Um die Eigenheiten und Möglichkeiten von VLANs aufzuzeigen ist ein kurzer Ausflug in heute gängige Netzwerk- und Gerätearchitekturen hilfreich. Im Gegensatz zu früheren Strukturen mit Routern, die immer auf der Ebene 3 des ISO/OSI-Netzwerkstacks operierten, setzt man seit mehreren Jahren auf die Vernetzung mit Layer 2-Switches.

Diese puffern die MAC-Adressen und separieren den Traffic anhand der MAC-Adressen – und nicht auf Basis der IP-Adressen, wie es bei Routern der Fall ist. Die Datenpakete werden jeweils nur zwischen den beteiligten Geräten und deren MAC-Kennung ausgetauscht. Durch IP-Broadcast und Routing-Einträge lassen sich aber auch andere IP-Segmente als das eigene ansprechen.

VLAN-Broadcasts sind aber im Gegensatz zu den rein IP-basierten Broadcasts nicht mehr im gesamten IP-Subnetz sichtbar, sondern nur noch in den Teilen, die zum eigenen VLAN gehören. VLANs sorgen in diesem Beispiel zur Durchsatzsteigerung in dem sie den Overhead der Broadcasts auf den notwendigen Bereich reduzieren. Dies ist aber nur einer der zahlreichen VLANs-Vorteile. Daneben gibt es eine Reihe weiterer Vorzüge, die mit VLANs einhergehen.

Einsatzszenarien für VLANs

VLANs werden aus unterschiedlichen Gründen verwendet, die allerdings allesamt im Kern immer mit erhöhten Sicherheits- oder Leistungsanforderungen zu tun haben.

Durch die logische Trennung der Netzwerke werden, wie oben erläutert, Broadcast eingegrenzt. Broadcasts werden nur an die Mitglieder des VLANs und nicht an alle am Switch hängenden Geräte verteilt. Dies trägt letztendlich nicht nur zur höheren Leistung sondern auch zu mehr Sicherheit bei, denn der Datenverkehr wird auf weniger Adressaten eingeschränkt.

Hinzu kommt: Die Benutzer oder Geräte in einem VLAN haben keine Möglichkeit aus dem zugewiesenen VLAN auszubrechen. Ein Zugriff (oder Angriff) auf einen anderen Rechner, der nicht zum eigenen VLAN gehört, wird bereits durch den Switch verhindert. Wenn eine VLAN-übergreifende Kommunikation notwendig ist, so müssen hierfür explizit Routen eingerichtet werden.

Ferner erlauben VLANs eine Optimierung des Netzwerk-Traffics. Dies erfolgt durch spezielle QoS-Informationen (Quality of Service), die zusammen mit dem VLAN-Tag gespeichert wird. Zur Ablage der VLAN-Kennung und der QoS-Informationen wird der Ethernet-Header um diese Inhalte erweitert. Eingesetzt werden VLANs daher oftmals auch, wenn der Netzwerkverkehr nach Prioritäten geordnet werden soll. Dies gilt beispielweise bei VoIP-Anwendungen oder im Kontext von virtuellen Maschinen (siehe Abbildung 3). Sie setzen oftmals die Existenz eines VLANs voraus.

Ein weiteres Einsatzszenario für VLANs ist die Separierung eines Gast-WLANs durch die Zuweisung einer eigenen VLAN-ID für die Gäste im Wireless LAN. Beim Einsatz eines VLAN-fähigen Switches sind dabei Angriffe oder Übergriffe der Besucher mit ihren Notebooks auf das Firmennetzwerk unmöglich. Zwei Geräte, die an zwei benachbarten Ports eines VLAN-Switches hängen, haben – falls sie unterschiedlichen VLANs zugeordnet sind – auch keine Möglichkeit der direkten Kommunikation.

Somit erfolgt durch VLANs eine strikte Trennung der Ports und damit der daran angeschlossen Geräte. Diese ist ein besonderes Sicherheitsfeature, das VLANs mit sich bringen.

Nach diesen allgemeinen Erläuterungen im ersten Teil dieser Reihe wollen wir im kommenden Teil verschiedene Konfigurationen mit VLANs in der Praxis aufzeigen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 32263950 / LAN- und VLAN-Administration)