VLAN – Alles rund um das Virtual Local Area Network

VLAN Kabel

Unter VLAN (Virtual Local Area Network) versteht man ein virtuelles, rein logisches Netzwerk, welches auf einem tatsächlich physischen Netz basiert. Dieses bietet dem Nutzer mehr Flexibilität, Performance und Sicherheit. Doch wie funktioniert ein VLAN und welche Unterschiede gibt es?

 

Grundlagen LAN

Das virtual LAN basiert auf einem oder mehreren Switches. ( Ein Switch ist ein Gerät das den Datenverkehr unter den Teilnehmern regelt.) Am Switch treffen alle Netwerkkabel aufeinander. Sie ermöglichen die Kommunikation zwischen den Computern.

 

Was ist VLAN?

Bei einem Virtual Local Area Network handelt es sich um ein kleineres Segment in einem großen, kabelgebundenen Netzwerk. Das VLAN ermöglicht eine standortunabhängige Verbindung im gleichen LAN. Um ein VLAN herzustellen, werden Managed Switches benötigt. Da diese die Einzigen sind, mit denen ein VLAN etabliert werden kann. Jedes virtuelle Netzwerk erhält eine eigene Broadcast-Domäne, über welche der jeweilige Teilnehmer einen Broadcast versendet. Als Broadcasts werden auch Datenpakete bezeichnet. Diesen erhalten dann ausschließlich die Teilnehmer innerhalb des VLANs und nicht im gesamten LAN.

 

Verschiedene VLAN Typen?

Bei der Einrichtung eines virtuellen Netzwerks gibt es verschiedene Möglichkeiten mit jeweils einem anderen technischen Ansatz. Die zwei häufigsten Varianten sind portbasierte VLANs und tagged VLANs. Oft werden aber auch Mischformen der Beiden für die Installation verwendet. 

Portbasierte VLANs 

Bei portbasierten VLANs werden managebare Switches logisch segmentiert, folglich werden einzelne Ports dabei jeweils einem VLAN zugewiesen. Jeder Teilnehmer der einen Switch nutzt wird dann über einen Port geleitet. 

Für gewöhnlich werden portbasierte VLAN-Installationen vor allem in kleinen Netzwerken verwendet. Es besteht jedoch auch die Möglichkeit, die Installation über mehrere Switches hinweg und nicht nur innerhalb eines Switches zu realisieren. Port 1 bis 3 können auf diese Weise am ersten Switch und Port 1 am zweiten Switch miteinander in dasselbe virtuelle Netz eingesteckt werden. Jedes virtuelle Netz benötigt allerdings eine eigene Verbindung, daher müssen die Switches mit zwei Kabeln miteinander verbunden werden.

 

Tagged VLANs 

Tagged VLANs arbeiten im Gegensatz zu portbasierten VLANs framebasiert. Als Frame wird in der Informationsverarbeitung eine sich zeitlich wiederholende Struktur aus einer Abfolge von Signalen bezeichnet. Das bedeutet, dass eine Markierung im Frame der Nachricht, auch Tag genannt, für die Zuordnung sorgt. Der Tag enthält die Information über den Aufenthaltsort, signalisiert dem Switch, wo die Kommunikation stattfindet und leitet die Nachricht entsprechend dorthin. Ein Port wird dabei nicht einem einzelnen, sondern mehreren VLANs zugeordnet. Eine weitere Option ist ein VLAN Trunk. Dieser wird von vielen Switches angeboten und leitet VLAN Frames für die jeweiligen VLAN IDs weiter.

Ein VLAN-Tag umfasst 32 Bits und erscheint im Ethernet-Frame hinter der MAC-Adresse des Absenders. Der Tag beginnt mit einer zwei Byte langen Protokoll-ID, diese zeigt an, ob überhaupt eine VLAN-ID angegeben ist. Ist ein virtuelles Netzwerk über den Frame markiert, haben diese Blöcke den Wert 0x8100. Im Anschluss verweist der Frame in drei Bits auf die Wichtigkeit der jeweiligen Nachricht. Es folgt ein Bit für den Canonical Format Identifier (CFI). Diese Position wird nur genutzt, um die Kompatibilität zwischen Ethernet und Token Ring zu gewährleisten. In den letzten zwölf Bits vermerkt das Protokoll die VLAN-ID (VID). Durch die Länge des Frame-Bereichs sind 4.096 verschiedene virtuellen LANs verfügbar. Jedes Virtual Local Area Network erhält eine eigene Nummer.

Der detaillierte Aufbau der VLAN-Tags wird vom IEEE Standard 802.1Q beschrieben, der am häufigsten verwendeten Variante. Eine weitere Variante, wie sich VLAN-Tags im Nachrichtenpaket unterbringen lassen, ist das Inter-Switch Link Protocol (ISL). Dieses kapselt den kompletten Datenframe ein und ermöglicht so mehrere virtuelle Netzwerke.

VLAN Funktionsweise

Statisch vs. dynamisches VLAN?

Die vorangegangenen Methoden lassen sich als typische Vertreter statischer VLANs ansehen. Somit gehört ein fest zugeordneter Port dauerhaft einem oder mehreren virtuellen Netzwerken an. Im letzteren Fall wird das VLAN mittels eines VLAN-Trunks über mehrere Switches ausgedehnt.

Im Vergleich dazu werden bei dynamischen VLANs die Frames über Ihren Inhalt einem VLAN zugewiesen. Dieser kann beispielsweise aus der MAC- oder IP-Adresse stammen.

 

Segmentierung durch VLAN-Tagging mit VLAN-ID

Um eine virtuelles LAN zu realisieren, werden Markierungen beziehungsweise Tags definiert. Dabei handelt es sich nur um eine Nummer, welche von den Switchen im Netzwerk ausgewertet wird. 

Damit ein Broadcast mit einem VLAN-Tag versehen wird, gibt es zwei Optionen:

  1. Der Switch versieht jeden eingehenden Frame mit oder ohne Abhängigkeit der MAC-Adresse mit einem Tag, welches Switch-seitig festgelegt sein muss.

  2. Die einzelnen Hosts geben den gesendeten Broadcasts ein Tag. Damit die richtige Kennung in den Frame-Header geschrieben wird, muss die LAN-Konfiguration in den einzelnen Endgeräten angepasst werden.

 

VLAN Anwendung mit verschiedenen Betriebssystemen

Linux

Mit Linux haben Sie bereits alle notwendigen Komponenten die Sie brauchen integriert. Das Modul 8021q sorgt für die Kernel Unterstützung, ein Userspace-Tool ermöglicht die Konfiguration auf der Kommandozeile. Installiert wird das Tool mit dem Befehl „sudo apt-get install vlan” und anschließend das Modul geladen mit „sudo modprobe 8021q”. Um das VLAN mit der ID 1001 zu taggen, wird das Netzwerkgerät eth0.1001 benötigt, welches mit dem Befehl „sudo vconfig add eth0 1001” erstellt wird. Mit dem Befehl „sudo ip addr add 10.0.1.1/24 dev eth0.1001” wird dann die IP Adresse für das Gerät gesetzt. Letztlich muss die Einstellung nur noch gespeichert werden, tragen Sie dafür das Modul 8021q in der Datei „/etc/modules” ein.

VMware

So wie bei Linux ist auch bei VMware die Unterstützung von Tagged VLAN unabhängig vom Hersteller der Netzwerkkarte. Die Kommunikation nach außen wird über eine Netzwerkkarte per Tagged VLAN zum physischen Switch hergestellt. Virtuelle Server können Sie ganz einfach mit verschiedenen VLANs verbinden. Dafür legen Sie mehrere Portgruppen am vSwitch an. Anschließend werden die einzelnen Portgruppen jeweils einem bestimmten virtuellen Netzwerk zugewiesen. Die einzelnen Ports der Portgruppe fungieren hierbei so wie Untagged VLANs eines physischen Switches. Das bedeutet, dass der Rechner sich mit dem konfigurierten VLAN verbindet und keine VLAN Tags auf den übertragenen Frames feststellt. 

Windows 

Bei Windows hängt die Unterstützung und Funktionalität für Tagged VLAN von der jeweiligen Netzwerkkarte ab.

 

Vorteile von VLAN 

Flexibilität

Dank VLANs ist es viel einfacher, die Organisation im Unternehmen auch auf Netzwerkebene abzubilden. Verschiedene Abteilungen können über ihr eigenes Netzwerk schneller und übersichtlicher Daten austauschen. Der Systemadministrator kann genauer verschiedene Softwares und Anwendungen verteilen, die nicht für alle Unternehmensbereiche relevant sind. Darüber hinaus sind Mitarbeiter räumlich flexibler, da sie trotz wechselndem Standort, an einem anderen Netzwerkport im gleichen VLAN bleiben können. Die Konfiguration findet auf der Grundlage einer Software statt und ist somit auf jedem Endgerät installierbar und hängt nicht vom Standort ab. Der Mitarbeiter kann auch bei wechselnden Arbeitsplätzen die Daten über das virtuelle Netzwerk erhalten.

Performance

Ein weiterer Vorteil der Nutzung eines VLANs ist, dass Sie Ihr Bandbreitenmanagement über das VLAN verwalten können. Gerade Anwendungen wie VoIP können so priorisiert und unnötige Belastungen der Bandbreite können minimiert werden. Zusätzlich lassen sich mit einem virtuellen LAN die Broadcastdomänen verkleinern und Anfragen über unbekannte Zielsysteme können direkt über Teilnetze vermittelt werden. Auf diese Weise kann der Broadcast-Traffic reduziert werden, welches ist gerade bei großen Infrastrukturen besonders hilfreich. 

Sicherheit

Das Thema Sicherheit ist ein großer Vorteil des Virtual Local Area Network. Nach einer vollständigen Implementierung und Konfiguration ist eine grundsätzliche Sicherheit durch die Trennung des Datenverkehrs gegeben. Vor allem bei Unternehmen und Institutionen, die mit sensiblen Daten umgehen, ist die richtige Handhabung enorm wichtig. Sollte ein Angreifer doch eine Sicherheitslücke finden, kann er nicht auf das gesamte Netzwerk zugreifen. Generell gelten VLANs als resistenter im Vergleich zu physischen Netzen, welche häufig für MAC-Flooding oder MAC-Spoofing anfällig sind.

Trotz einer gewissen Grundsicherheit ist es ratsam, das virtuelle Netzwerk durch weitere Sicherheitsmaßnahmen, beispielsweise Verschlüsselung, zu schützen. Hierzu gehört auch, nicht belegte Switch-Ports ungenutzten VLANs zuzuordnen und zu deaktivieren. Um zu verhindern, dass Angreifer über ein Endgerät mit allen VLANs kommuniziert, sollten Sie Folgendes beachten: Aktive Switch-Ports, an denen Endgeräte angeschlossen sind, werden entweder nur einem Untagged VLAN zugeordnet oder jenen Tagged VLANs, die wirklich nötig sind. Schließen Sie auf keinen Fall Endgeräte an Switch-Ports, die als Trunk verwendet werden. 

Zudem können Sie in vielen Switches Einstellungen treffen, die Ihr Netzwerk noch sicherer machen. Ingress Filtering ist eine Sicherheitsmaßnahme, die Tagged Frames verwirft, deren VLAN IDs nicht zu den VLANs gehören, die auf einen Port konfiguriert sind.

VLAN Sicherheit

Ordnung

Die Nutzung von VLANs bietet neben mehr Sicherheit auch eine besser Ordnung, da die Netzwerke übersichtlicher aufgeteilt sind. So wird bei Fehlern im virtuellen Netzwerk die Ursache schneller gefunden und eine gezieltere Herangehensweise an das Problem ist möglich. Wird das Problem behoben, werden andere Netzwerke nicht gestört und es kommt zu keinem Totalausfall. In einem LAN müssten alle Mitarbeiter bzw. deren Endgeräte verkabelt werden. Bei einem virtuellen Netz können mehrere Switches teilnehmen und die Verkabelung kann sinnvoller und ordentlicher erfolgen.

Preis 

Um eine Kommunikation von Netz zu Netz herzustellen, besteht die Möglichkeit, mehrere LANs einzurichten und diese mit dem Router zu verbinden. Bedenken Sie dabei aber auch die zusätzlichen Anschaffungen, die damit verbundenen Kosten und den zeitlichen Aufwand. Dahingegen sind mehrere VLANs die deutlich preiswertere Alternative.

 

Fazit

Die Verwendung von VLANs bietet nicht nur eine größere Übersicht und Ordnung in Ihrem Unternehmen, sondern schützt Sie auch besser im Umgang mit sensiblen Daten. Durch die verschiedenen VLAN-Methoden können Sie die Konfiguration gut an Ihre Infrastruktur anpassen. Auch in puncto Kompatibilität ist die Nutzung von virtuellen Netzwerken einfach, da sie in verschiedenen Betriebssystemen gut angewandt werden können. Verwenden Sie Windows, sollten Sie allerdings auf den Hersteller Ihrer Netzwerkkarte achten, um Probleme zu vermeiden. VLANs empfehlen sich demnach für Unternehmen, die eine übersichtliche und ordentliche Infrastruktur wünschen.

 

FAQ

Wann ist die Implementierung von VLANs sinnvoll?

Eine Implementierung ist dann sinnvoll, wenn Sie die einzelnen Unternehmensbereiche unterteilen und übersichtlicher machen wollen. Der Datentransfer erfolgt dann jeweils im eigenen Netzwerk und sorgt für mehr Ordnung. Dies lohnt sich gerade für Unternehmen auf großem Betriebsgelände, da ein Netzwerksegment unabhängig vom Standort des Endgeräts zugeordnet werden kann.

Wie viele VLANs sind möglich?

Insgesamt ist eine maximale Anzahl von 4094 VLANs möglich.

Was bedeutet Tagged und Untagged?

Unter Tagged VLANs versteht man mehrere VLANs, die über einen Switch-Port genutzt werden können. Die Frames erhalten dabei ein Tag, eine Markierung, in der die VLAN-ID enthalten ist. So erhält der Switch-Port die Information, zu welchem VLAN das Frame gehört. 

Untagged VLANs ist eine andere Bezeichnung für portbasierte VLANs. Hierbei wird ein einziger physischer Switch auf mehrere logische Switche unterteilt.