VLAN
Ein VLAN (Virtual Local Area Network) ist ein Teilnetzwerk, das sich innerhalb eines gesamten physischen Netzwerks befindet. Computer in einem VLAN können nur miteinander kommunizieren, aber nicht mit anderen Computern, die sich im physischen Netzwerk befinden.
So können verschiedene Endgeräte dieselben Kabel, Switches und Router nutzen, aber dennoch nicht aufeinander zugreifen. Die Konfiguration von virtuellen Netzwerken erfolgt über die beteiligten Endgeräte, die Kosten für einen VLAN-Switch und eine VLAN-fähige Netzwerkkarte sind dabei nicht viel teurer als vergleichbare Geräte ohne diese Funktion.
Warum werden virtuelle Netzwerke eingesetzt?
Die Einsatzmöglichkeiten von virtuellen Netzwerken sind vielfältig, sie können sowohl im privaten Bereich als auch für Firmen-Netzwerke eingesetzt werden. Im Idealfall können durch virtuelle Netzwerke einige Geräte eingespart werden, da sich die Endgeräte in den einzelnen Netzwerken die Hardware teilen können. Bei grossen Netzwerken ist zudem die physische Verkabelung nur schwer zu erweitern, sodass virtuelle Netzwerke viel flexibler eingesetzt werden können. Die einzelnen Computer innerhalb des Netzwerks werden dabei quasi standortunabhängig, sie können an einen anderen Standort versetzt werden, ohne dass die Verkabelung und die beteiligten Switches physikalisch geändert werden müssen.
Virtuelle Netzwerke werden ausserdem aus Performance-Gründen eingesetzt. So lassen sich zum Beispiel VOiP-Dienste in einem separaten VLAN betreiben und mit einer höheren Priorität ausstatten, damit die Daten schneller durch das Netzwerk geleitet werden können. Darüber hinaus ist die Aufteilung in verschiedene virtuelle Netzwerke auch aus Sicherheitsgründen sinnvoll, sowohl bei Firmen-Netzwerken als auch in privaten Haushalten. Wird von zuhause aus gearbeitet und sensible Daten übermittelt, macht es Sinn, den Arbeits-PC in einem separaten Netzwerk zu betreiben, damit Viren und andere Schadsoftware nicht aus dem Rest des Netzwerks eindringen können. In Firmennetzwerken sieht es ähnlich aus. Hier kann mit einem VLAN zum Beispiel die Buchhaltung vom restlichen Netz getrennt werden, damit sensible Firmendaten nicht über andere Rechner ausgespäht werden können.
Abbildung 13 - untagged VLAN
Grün VLAN ID 10 / Orange VLAN ID 20
Markierung virtueller Netzwerke
Um die einzelnen Computer bestimmten virtuellen Netzwerken zuzuordnen, gibt es verschiedene Modelle, die dazu genutzt werden können. Die einfachste Form ist ein portbasiertes Netzwerk. Hier werden die verschiedenen VLANs über die Ports voneinander unterschieden. Das kann entweder bei einem Einzelnen oder auch über mehrere Switches erfolgen. Um die Netzwerke miteinander zu verbinden, kommt ein Router zum Einsatz. Diese Form ist nicht besonders flexibel und bei einem Standort-Wechsel der beteiligten Geräte müssen auch physische Änderungen an den Switches vorgenommen werden. Flexibler im Einsatz sind sogenannte Tagged-VLANs. Hier werden die einzelnen Datenpakete nach ihrer Zugehörigkeit markiert und können so dem gewünschten Endgerät zugestellt werden. Allerdings kann es hier bei älteren Geräten zu Problemen kommen, da diese nicht immer in der Lage sind, entsprechende Markierungen an den Paketen anzubringen. Diese Geräte können auch Pakete mit Markierung nicht verarbeiten. Der VLAN-Switch muss daher je nach Herkunft und Ziel des Paketes entscheiden, ob er die Markierungen entfernen muss, beziehungsweise zunächst einmal eine Markierung anhängt, weil das Herkunftsgerät keine Daten übermittelt.
Eine weitere Form der Markierung wird in dynamischen VLANs getroffen. Dort wird die Zugehörigkeit der Pakete nach dem Inhalt bestimmt. Diese Verfahrensweise ist zum Beispiel dann zu verwenden, wenn bestimmte Geräte immer zu einem bestimmten VLAN gehören sollen oder bestimmte Dienste (VOiP) eine höhere Priorität erhalten sollen. Sowohl dynamische als auch Tagged-VLANs werden heute nicht mehr als sicher betrachtet, da die Pakete eines Netzwerkes theoretisch beliebig manipuliert werden können.
Tagged VLAN
| Bei tagged VLANs können mehrere VLANs über einen einzelnen Switch-Port genutzt werden. Die einzelnen Ethernet Frames bekommen dabei Tags angehängt, in dem jeweils die VLAN-ID vermerkt ist zu dessen VLAN das Frame gehört. Wenn im gezeigten Beispiel beide Switches tagged VLANs beherrschen, kann damit die gegenseitige Verbindung mit einem einzelnen Kabel erfolgen. Diese Verbindung wird auch trunk gennant. | |
|---|---|
Abbildung 15 - VLAN Tag in einem Ethernet Frame