VLAN: Grundlagen virtueller LANs

Getrennte Wege

Oft reicht ein kleiner Fehler, um ein ganzes Netzwerk lahmzulegen. Ein unbedacht installierter DHCP-Server streut plötzlich falsche Adressen, und der Verkehr kommt zum Erliegen. Virtuelle Netzwerke (VLANs) schützen vor solchen und ähnlichen Katastrophen.
NAS-Speicher mit einer Kapazität von einigen Dutzend Terabyte, wie sie sich für mittelständische Anwender eignen, nimmt die ADMIN-Redaktion in der Ausgabe ... (mehr)

Probleme wie das mit dem unabsichtlich mitinstallierten DHCP-Server sind nicht neu, und ähnliche Ursachen gibt es viele. Jemand vertauscht irrtümlich IP-Adresse und Adresse des Standardgateways oder koppelt zwei Switches mit einem zweiten Kabel, was eine Schleife erzeugt. Oder jemand verbindet zwei Ports eines Patchpanels, die beide zum gleichen Switch führen. Teurere Switches können solche Probleme zwar erkennen, doch längst nicht alle Geräte haben derartige Funktionen. Die Folgen sind fatal – das Netzwerk steht komplett. Alle hier beschriebenen Probleme haben Auswirkungen auf alle Rechner im gesamten Netzwerksegment. Eine Unterteilung in mehrere kleinere Segmente mit jeweils eigenen Broadcast-Domänen vermindert die Anzahl der potenziell betroffenen Systeme. Sie erleichtert damit auch die Fehlersuche. Außerdem gehören bestimmte Traffic-Typen wie iSCSI oder VOIP sowohl aus Sicherheits- als auch aus Stabilitätsgründen in eigene Netze.

Netzwerk unterteilen

Das folgende Beispiel illustriert die Aufteilung auf zwei Netzwerke und veranschaulicht die Vorteile von VLANs. Ein Netzwerk wird dabei für die Abteilung Marketing eingerichtet, ein weiteres für die Abteilung Vertrieb. Je nach verwendetem Switch-Typ gibt es zwei Möglichkeiten zur Einrichtung der beiden Netzwerke:

  • Unmanaged Switch: Derartige Switches können nicht konfiguriert werden. Sie bieten keine aktive Unterstützung von VLANs. Daher wären in diesem Fall zwei Switches erforderlich, um das bestehende Netzwerk auf zwei Netze aufzuteilen.
  • Managed Switch: Diese Switches bieten meist mehrere Konfigurationsoptionen, darunter Unterstützung für VLANs, Spanning Tree und Link Aggregation. Diese Switches werden mit einer eigenen IP-Adresse versehen und können über diese per Webbrowser verwaltet werden.

Der Einsatz von VLANs erfordert die letztgenannten Managed Switches. Wenn eine Kommunikation zwischen den beiden aufgeteilten Netzen möglich sein soll, muss dazu ein Router an beide Netze angeschlossen werden. Teurere Managed Switches (sogenannte Layer-3-Switche) haben eine solche Routing-Funktionalität direkt eingebaut. Broadcasts und Multicasts bleiben aber trotz Router im jeweiligen Netz und werden nicht geroutet. Man kann damit also von einem PC aus dem Marketing-LAN auf einen Fileserver im Vertriebs-LAN zugreifen (Unicast). Ein DHCP-Request (Broadcast) wird vom Router aber nicht in das benachbarte Netz weitergeleitet.

Portbasierte VLANs

Mit portbasierten VLANs wird ein Managed Switch virtuell auf mehrere Switches aufgeteilt. Jedes VLAN wird mit einer VLAN-ID zwischen 1 und 4094 gekennzeichnet, wobei die VLAN-ID 1 als Standard-VLAN (Default VLAN) Verwendung findet. Im Auslieferungszustand sind alle Ports eines Managed Switch dem Standard-VLAN zugeordnet, er funktioniert damit quasi wie ein normaler Switch ohne VLANs. Die IP-Adresse des Switches ist in der Regel ausschließlich über Ports erreichbar, die diesem VLAN fix zugeordnet sind. Im Beispiel wird die VLAN-ID 1001 für LAN Marketing und 1002 für LAN Vertrieb verwendet. Die VLANs können in der Weboberfläche des Switches definiert werden (Abbildung 1). Im Beispiel sind dem VLAN 1001 die Ports 1 bis 4 und dem VLAN 1002 die Ports 5 bis 8 zugewiesen (Abbildung 2). Die Ethernet Frames (Netzwerkpakete) werden in diesem Modus nicht gesondert gekennzeichnet. Der Switch weiß aufgrund der Nummer des Ports auf dem er einen Frame erhält, zu welchem VLAN er diesen Frame zuordnen muss. Man spricht bei portbasierten VLANs daher oft auch von Untagged VLANs, da die Ethernet Frames nicht mit einem Tag versehen werden.

Abbildung 1: VLAN-IDs können direkt am Switch erstellt und dort mit einem Namen versehen werden.
Abbildung 2: Einfache VLAN-Konfiguration: Der Switch wird auf drei VLANs aufgeteilt, die grau dargestellten Ports verbleiben im Standard VLAN 1.

Portbasierte VLANs kommen vor allem bei kleinen Installationen zum Einsatz. Aber auch in größeren Umgebungen werden portbasierte VLANs verwendet, dort aber zumeist mit Tagged VLANs kombiniert. Wird etwa die Firma in unserem Beispiel um ein Stockwerk erweitert, können mit einem zusätzlichen Switch auch in diesem Stockwerk Rechner sowohl an das VLAN 1001 als auch an das VLAN 1002 angeschlossen werden. Mit ausschließlich portbasierten VLANs sind dazu aber zwei Kabel erforderlich (Abbildung 3). Ein einzelnes Kabel reicht nur, wenn für die Verbindung der beiden Switches ein Tagged VLAN konfiguriert wird.

Abbildung 3: VLANs können sich über mehrere Switches erstrecken. Ohne Tagging braucht es aber pro VLAN ein eigenes Kabel.
comments powered by Disqus

Artikel der Woche

Anti-Ransomware-Tools

Ransomware ist nach wie vor eine Plage und das Potenzial, das derartige Schadsoftware besitzt, stellte erst Mitte Mai "WannaDecrypt0r" unter Beweis. Der beste Schutz vor Ransomware sind Backups, doch das wissen auch die Erpresser. Daher begnügen sich diese in Zukunft nicht mehr damit, Dateien "nur" zu verschlüsseln. Vielmehr kopieren sich Angreifer die Daten und drohen mit deren Veröffentlichung. Angesichts zahlloser neuer Varianten lassen sich Virenwächter regelmäßig austricksen. Spezielle Anti-Ransomware-Tools versprechen daher Abhilfe. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Linux-Backup

Welche Backup-Lösung setzen Sie für Linux im professionellen Umfeld ein?

  • keine
  • eigene Scripts
  • rsnapshot
  • rdiff-backup
  • Bacula
  • Bareos
  • Borg
  • Duplicity
  • Amanda
  • Burp
  • Clonezilla
  • Acronis
  • Arkeia
  • SEP sesam
  • Veeam
  • Redo Backup
  • Relax-and-Recover
  • andere kommerzielle Software
  • andere Open-Source-Software

Google+

Ausgabe /2017

Microsite