Definition

Was ist VLAN?

| Autor / Redakteur: Dirk Srocke / Andreas Donner

(© aga7ta - Fotolia)

Ein Virtual Local Area Network (VLAN) ist ein logisches Netz, das auf einem physischen LAN aufsetzt und ein Mehr an Flexibilität, Performance und Sicherheit bieten kann. Eine technische Basis für VLANs beschreibt etwa der Standard IEEE 802.1Q.

Mit VPNs lassen sich physische LANs in voneinander isolierte, logische Teilnetze aufteilen. Zur besseren Unterscheidung respektive Darstellung in Diagrammen werden diese einzelnen Netze inoffiziell nach Farben benannt.

Flexible Netzaufteilung...

Gründe für VLANs gibt es einige. So können Administratoren dank VLAN Organisationsstrukturen bequem sowie unabhängig von der physischen Beschaffenheit von Gebäuden abbilden – und das ohne zusätzliche Kabel oder Switches installieren zu müssen. Änderungen lassen sich mit VLANs ebenso leicht umsetzen: Wechseln Mitarbeiter ihren Standort, können sie an einem anderen Netzwerkport weiterhin im gleichen virtuellen LAN verbleiben; wechseln Mitarbeiter ihre Abteilung, können sie am gleichen physischen Netzwerkport wie bisher ein anderes VLAN nutzen.

...für mehr Performance und Sicherheit

Die Unterteilung von LANs ist dabei kein Selbstzweck, sondern soll auch Performance und Sicherheit optimieren. So ist es beispielsweise nicht wünschenswert, dass sich Webserver oder öffentlich zugängliche Rechner im gleichen LAN befinden wie Systeme, die vertrauliche Geschäftsdaten enthalten. VLANs gelten dabei als robuster als geswitchte (physische) Netze, die für MAC-Flooding oder MAC-Spoofing anfällig sind.

Zudem können VLANs für das Bandbreitenmanagement genutzt werden. So lassen sich beispielsweise zeitkritische Anwendungen wie VoIP priorisiert über dedizierte VLANs abwickeln. VLANs können schließlich dazu beitragen, Broadcast-Domänen zu verkleinern. Anfragen über unbekannte Zielsysteme werden damit nicht über das gesamte physische Netz übermittelt, sondern lediglich über die logischen Teilnetze. Damit lässt sich der Broadcast-Traffic insbesondere bei großen physischen Infrastrukturen beschränken. Überdies lassen sich durch eine Aufteilung des Netzes auch die Auswirkungen defekter Netzwerkkarten und Broadcaststürme eingrenzen: Statt des gesamten LANs wird damit nur noch ein VLAN lahmgelegt.

Portbasiert versus getaggt

VLANs lassen sich auf verschiedene Weise implementieren. Bei portbasierten VLANs werden managebare Switches logisch segmentiert – einzelne Ports werden dabei einem VLAN zugeordnet.

Bei den nach IEEE 802.1Q standardisierten tagged VLANs werden einzelne Frames derweil durch ein zusätzliches Tag gekennzeichnet, dass die Zugehörigkeit zu einem VLAN festlegt. Hierfür musste der Ethernet-Standard entsprechend erweitert werden. Durch zwei zusätzliche 2-Byte-Felder verlängert sich dabei allerdings auch die maximale Länge eines Frames auf 1.522 Byte. VLANs funktionieren dennoch weiterhin mit bestehender Hardware, weil die zusätzlichen Felder ausschließlich von VLAN-fähigen Hosts und Bridges verwendet werden. Die Tags werden vom ersten VLAN-fähigen Gerät hinzugefügt und vom letzten VLAN-fähigen Gerät der Übertragungskette dann wieder entfernt, bevor die Frames an ein Legacy-Endgerät weitergeleitet werden.

Statisch versus dynamisch

Die zuvor beschrieben portbasierten VLANs lassen sich als typische Vertreter statischer VLANs betrachten. Ein vom Administrator fest zugeordneter Port gehört dann dauerhaft zu einem VLAN oder mehreren VLANs. Im letzteren Fall fungiert der Anschluss dann als so genannter VLAN-Trunk und wird in der Regel zur Ausdehnung von VLANs über mehrere Switches hinweg genutzt.

Bei dynamischen VLANs werden Frames aufgrund ihres Inhaltes einem VLAN zugeordnet, beispielsweise aus Basis von MAC- oder IP-Adresse oder Protokolltyp. Damit lässt sich ein bestimmtes mobiles Endgerät stets automatisch demselben VLAN zuordnen – unabhängig davon, über welche physische Netzwerkdose oder welchen Access Point es tatsächlich an das LAN gekopelt wird.

Für besonders sicherheitskritische Anwendungen sind dynamische VLANs allerdings weniger geeignet, weil sich die Inhalte von Frames nahezu beliebig manipulieren lassen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Echtzeit-Ethernet mit Time-Sensitive Networking

So funktioniert OPC/UA over TSN

Echtzeit-Ethernet mit Time-Sensitive Networking

Ob sie nun Profibus, Profinet oder EtherCat heißen: Wen es um vernetzte Echtzeit-Lösungen geht, stehen in der Industrie zahlreiche unterschiedliche Standards in Konkurrenz. OPC/UA over TSN könnte nun erstmals eine einheitliche Lösung bieten. Was steckt dahinter? lesen

Switches mit sechs 10G-Uplink-Ports

Hohe Bandbreiten durch Stacking

Switches mit sechs 10G-Uplink-Ports

Die Switches der Serie DGS-3130 sind laut Hersteller D-Link robust, hochverfügbar und die ersten am Markt erhältlichen Modelle, die über sechs eingebaute 10G-Stacking/Uplink-Ports verfügen. Damit seien sie für KMU, aber auch für Enterprise- und Metro-Ethernet-Umgebungen geeignet. lesen

IoT-Geräte über USB ins WLAN

Access Point mit IoT-Vorbereitung

IoT-Geräte über USB ins WLAN

Der Access Point LN-830U von Lancom Systems bindet IoT-Geräte nicht über ein fest integriertes Funkmodul, sondern über einen USB-Port ins WLAN ein. Unternehmen könnten so das jeweils passende IoT-Funkmodul verwenden, ohne die dahinterliegende Infrastruktur austauschen zu müssen. lesen

Switches und WLAN-Equipment für KMU

Netgear möchte Verwaltungsaufwand minimieren

Switches und WLAN-Equipment für KMU

Netgear erweitert sein Produktangebot für kleinere und mittelständische Unternehmen um eine Smart-Managed-Switch-Serie, einen Deckensatelliten für Orbi Pro, einen Insight-Managed-Smart Cloud-Tri-Band-Wireless-Access-Point und einen Hochleistungs-WLAN-Router. lesen

Neue IP-Telefone von Panasonic

Attraktive Bundles erhältlich

Neue IP-Telefone von Panasonic

Panasonic stellt eine neue Serie von IP-Endgeräten vor. Die Tischtelefone sollen einfach zu bedienen sein sowie Anpassungsmöglichkeiten je nach Geschäftsanforderungen bieten. Auf dem Display können individuelle Inhalte eingeblendet werden. lesen

So funktioniert Power-over-Ethernet (PoE)

Wie sich Geräte im Netzwerk mit Strom versorgen lassen

So funktioniert Power-over-Ethernet (PoE)

Über Power-over-Ethernet lassen sich Geräte im Internet of Things ebenso wie zahlreiche andere netzfähige Endgeräte mit Strom versorgen. Wir beleuchten Vor- und Nachteile. lesen

Business-Switches mit und ohne PoE bzw. PoE+

Managed und Unmanaged Switches von Buffalo

Business-Switches mit und ohne PoE bzw. PoE+

Hersteller Buffalo hat 13 neue Layer-2-Gigabit-Ethernet-Switches für den Unternehmenseinsatz im Portfolio. Dabei handelt es sich um Managed und Unmanaged Switches mit fünf bis 24 Ports, darunter auch Modelle mit Unterstützung für PoE und PoE+. lesen

Upgrade für den Allegro Network Multimeter

Version 2.2 der Analyse- und Monitoring-Software

Upgrade für den Allegro Network Multimeter

Allegro Packets zufolge lassen sich Datenströme, die mit dem Allegro Network Multimeter aufgezeichnet werden, mit der Version 2.2 der Analyse- und Monitoring-Software schneller und präziser analysieren. Das Upgrade behandle auch IP-Adressen, QoS-Funktionen und VoIP-Analyse. lesen

Cryptojacking erkennen und stoppen

Unerwünschtes Crypto-Mining

Cryptojacking erkennen und stoppen

Kaum ein Thema beschäftigt aktive Computer­anwender derzeit so stark wie die Krypto­währungen Bitcoin & Co. Gerade die enormen Kurschwankungen wecken bei vielen Menschen den Wunsch, von diesen digitalen Währungen zu profitieren. Und immer häufiger werden für das Schürfen des digitalen Goldes auch Unternehmensressourcen verwendet - ohne Erlaubnis, dafür aber mit durchaus erwähnenswerten Risiken. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44626122 / Definitionen)