Definition

Was ist VLAN?

| Autor / Redakteur: Dirk Srocke / Andreas Donner

(© aga7ta - Fotolia)

Ein Virtual Local Area Network (VLAN) ist ein logisches Netz, das auf einem physischen LAN aufsetzt und ein Mehr an Flexibilität, Performance und Sicherheit bieten kann. Eine technische Basis für VLANs beschreibt etwa der Standard IEEE 802.1Q.

Mit VLANs lassen sich physische LANs in voneinander isolierte, logische Teilnetze aufteilen. Zur besseren Unterscheidung respektive Darstellung in Diagrammen werden diese einzelnen Netze inoffiziell nach Farben benannt.

Flexible Netzaufteilung...

Gründe für VLANs gibt es einige. So können Administratoren dank VLAN Organisationsstrukturen bequem sowie unabhängig von der physischen Beschaffenheit von Gebäuden abbilden – und das ohne zusätzliche Kabel oder Switches installieren zu müssen. Änderungen lassen sich mit VLANs ebenso leicht umsetzen: Wechseln Mitarbeiter ihren Standort, können sie an einem anderen Netzwerkport weiterhin im gleichen virtuellen LAN verbleiben; wechseln Mitarbeiter ihre Abteilung, können sie am gleichen physischen Netzwerkport wie bisher ein anderes VLAN nutzen.

...für mehr Performance und Sicherheit

Die Unterteilung von LANs ist dabei kein Selbstzweck, sondern soll auch Performance und Sicherheit optimieren. So ist es beispielsweise nicht wünschenswert, dass sich Webserver oder öffentlich zugängliche Rechner im gleichen LAN befinden wie Systeme, die vertrauliche Geschäftsdaten enthalten. VLANs gelten dabei als robuster als geswitchte (physische) Netze, die für MAC-Flooding oder MAC-Spoofing anfällig sind.

Zudem können VLANs für das Bandbreitenmanagement genutzt werden. So lassen sich beispielsweise zeitkritische Anwendungen wie VoIP priorisiert über dedizierte VLANs abwickeln. VLANs können schließlich dazu beitragen, Broadcastdomänen zu verkleinern. Anfragen über unbekannte Zielsysteme werden damit nicht über das gesamte physische Netz übermittelt, sondern lediglich über die logischen Teilnetze. Damit lässt sich der Broadcast-Traffic insbesondere bei großen physischen Infrastrukturen beschränken. Überdies lassen sich durch eine Aufteilung des Netzes auch die Auswirkungen defekter Netzwerkkarten und Broadcaststürme eingrenzen: Statt des gesamten LANs wird damit nur noch ein VLAN lahmgelegt.

Portbasiert versus getaggt

VLANs lassen sich auf verschiedene Weise implementieren. Bei portbasierten VLANs werden managebare Switches logisch segmentiert – einzelne Ports werden dabei einem VLAN zugeordnet.

Bei den nach IEEE 802.1Q standardisierten tagged VLANs werden einzelne Frames derweil durch ein zusätzliches Tag gekennzeichnet, dass die Zugehörigkeit zu einem VLAN festlegt. Hierfür musste der Ethernet-Standard entsprechend erweitert werden. Durch zwei zusätzliche 2-Byte-Felder verlängert sich dabei allerdings auch die maximale Länge eines Frames auf 1.522 Byte. VLANs funktionieren dennoch weiterhin mit bestehender Hardware, weil die zusätzlichen Felder ausschließlich von VLAN-fähigen Hosts und Bridges verwendet werden. Die Tags werden vom ersten VLAN-fähigen Gerät hinzugefügt und vom letzten VLAN-fähigen Gerät der Übertragungskette dann wieder entfernt, bevor die Frames an ein Legacy-Endgerät weitergeleitet werden.

Statisch versus dynamisch

Die zuvor beschrieben portbasierten VLANs lassen sich als typische Vertreter statischer VLANs betrachten. Ein vom Administrator fest zugeordneter Port gehört dann dauerhaft zu einem VLAN oder mehreren VLANs. Im letzteren Fall fungiert der Anschluss dann als so genannter VLAN-Trunk und wird in der Regel zur Ausdehnung von VLANs über mehrere Switches hinweg genutzt.

Bei dynamischen VLANs werden Frames aufgrund ihres Inhaltes einem VLAN zugeordnet, beispielsweise aus Basis von MAC- oder IP-Adresse oder Protokolltyp. Damit lässt sich ein bestimmtes mobiles Endgerät stets automatisch demselben VLAN zuordnen – unabhängig davon, über welche physische Netzwerkdose oder welchen Access Point es tatsächlich an das LAN gekopelt wird.

Für besonders sicherheitskritische Anwendungen sind dynamische VLANs allerdings weniger geeignet, weil sich die Inhalte von Frames nahezu beliebig manipulieren lassen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

D-Link ergänzt Nuclias Cloud-Portfolio

D-Link DBS-2000 und DBA-2820P

D-Link ergänzt Nuclias Cloud-Portfolio

Eine umfassende und zentrale Verwaltung sind die Vorteile von Netzwerklösungen aus der Cloud. D-Link erweitert die cloudbasierte Netzwerkmanagement-Lösung Nuclias Cloud um die Switch-Serie DBS-2000 und den Access Point DBA-2820P. lesen

Multi-Gigabit-Access-Switch für Wi-Fi-6-Netze

Anschluss von bis zu zwölf Wi-Fi-6-Access-Points

Multi-Gigabit-Access-Switch für Wi-Fi-6-Netze

Der Multi-Gigabit-28-Port-Access-Switch Lancom GS-3528XP unterstützt an zwölf seiner Ports 2,5-Gigabit-Ethernet. Dies, so der Hersteller, sei eine leistungsstarke Basis für den Betrieb von Wi-Fi-6-Access-Points und anderen Netzwerkkomponenten mit hohen Anforderungen an die Performance. lesen

Hybrid-Networking im Überblick

Lokale Netze und Cloud-Computing im Zusammenspiel

Hybrid-Networking im Überblick

Cloud-Computing ist eine etablierte Technik der modernen IT. Aber auch die Anwendungen, Speicher und Dienste „On-Premises“ haben ihre Berechtigung und finden weiterhin ihren Einsatz. Was würde da besser passen, als vorhandene Anwendungen und Systeme direkt mit den Anwendungen und Systemen „aus der Wolke“ zu koppeln? „Hybrid Cloud-Computing“ macht es möglich: Unser Überblick zeigt Einsatz und Möglichkeiten dieser Technik. lesen

Gigabit-WLAN im Freien von Lancom

Access Points für den Outdoor-Einsatz

Gigabit-WLAN im Freien von Lancom

Die Access Points OAP-1700B und OAP-1702B ermöglichen laut Hersteller Lancom Gigabit-WLAN im Freien, etwa für Outdoor-Hotspots mit vielen gleichzeitigen Nutzern oder die professionelle WLAN-Ausleuchtung von Freiflächen. Auch eine Gebäudeanbindung mittels Peer-to-Peer (P2P) sei realisierbar. lesen

Im Test: Peplink Pepwave Max HD4 LTE

SD-WAN/VPN-Multifunktions-Router auf dem Prüfstand

Im Test: Peplink Pepwave Max HD4 LTE

Der Peplink Pepwave Max Cellular Router vom Typ HD4 ist ein ganz besonderer Router. Mit seinen zahlreichen LAN-, WLAN-, WAN- und LTE-Schnittstellen und seiner ausgefuchsten Management-Oberfläche beherrscht der kompakte und robuste Router SD-WAN und VPN wie kaum ein zweiter. Doch wie so oft steckt auch beim HD4 die meiste Finesse im Detail. lesen

Datacenter-Technologie für moderne Campus-Netzwerke

Open Networking in Campus-Infrastrukturen

Datacenter-Technologie für moderne Campus-Netzwerke

Mit Cumulus Linux und dem Toolset Cumulus NetQ richtet sich Cumulus Networks an Unternehmen, die die Vorteile eines offenen, verteilten Netzwerkdesigns von der Datacenter- auf die Campus-Netzwerk-Umgebung übertragen möchten und dabei ein und dieselbe Fabric nutzen wollen. lesen

D-Link-Switches für 10 GB Ethernet und PoE

DGS-1250-Serie für KMU und Endanwender

D-Link-Switches für 10 GB Ethernet und PoE

Power over Ethernet (PoE), zahlreiche Sicherheits-Features sowie eine Management-Oberfläche, mit der Überwachungskameras verwaltet werden können, zeichnen die vier Switches der DGS-1250-Serie von D-Link aus. Sie sind vor allem für kleine und mittlere Unternehmen interessant. lesen

Welche Datacenter-Design-Prinzipien wirklich schützen

Steigert eine hyperkonvergente Infrastruktur die Sicherheit?

Welche Datacenter-Design-Prinzipien wirklich schützen

Traditionelle Rechenzentrumslandschaften mit separaten Server-, Storage- und Netzwerkressourcen sind unübersichtlich, komplex und bieten zahlreiche Angriffspunkte für Cyber-Attacken. Im Vergleich dazu lassen sich hyperkonvergente Infrastrukturen mit ihrem Security-by-Design-Ansatz deutlich effizienter absichern, so Christian Winterfeldt von Dell EMC. lesen

Layer-3-Lite-Switches mit Cloud-Unterstützung

Management über SD-LAN möglich

Layer-3-Lite-Switches mit Cloud-Unterstützung

Lancoms Fully-Managed-Gigabit-Switches GS-3152X, GS-3152XP und GS-3152XSP bieten, so der Hersteller, grundlegende Layer-3-Funktionen wie Static Routing und DHCP-Server. Sie können traditionell oder optional über die Lancom Management Cloud mittels SDN konfiguriert und verwaltet werden. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 44626122 / Definitionen)