Virtual Local Area Network: Unterschied zwischen den Versionen

Aus Foxwiki
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
 
(35 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 2: Zeile 2:


== Beschreibung ==
== Beschreibung ==
; Ein '''Virtual Local Area Network''' ('''VLAN''') ist ein logisches Teilnetz ([[Segment (Netzwerk)|Netzsegment]]) innerhalb eines [[Switch (Netzwerktechnik)|Switches]] bzw. eines gesamten physischen [[Local Area Network|Netzes]]
; Logisches Teilnetz
* Es kann sich über mehrere Switches hinweg ausdehnen.
* [[Segment (Netzwerk)|Netzsegment]]
** [[Switch (Netzwerktechnik)|Switches]]
** eines gesamten physischen [[Local Area Network|Netzes]]
 
; Es kann sich über mehrere Switches hinweg ausdehnen
* Ein VLAN trennt physische Netze in Teilnetze auf, indem es dafür sorgt, dass VLAN-fähige Switches [[Rahmen (Nachrichtentechnik)|Frames]] ([[Datenpaket]]e) nicht in ein anderes VLAN weiterleiten (obwohl die Teilnetze an gemeinsamen Switches angeschlossen sein können).
* Ein VLAN trennt physische Netze in Teilnetze auf, indem es dafür sorgt, dass VLAN-fähige Switches [[Rahmen (Nachrichtentechnik)|Frames]] ([[Datenpaket]]e) nicht in ein anderes VLAN weiterleiten (obwohl die Teilnetze an gemeinsamen Switches angeschlossen sein können).
* Sind in eigene [[Netzwerke:IPv4/Subnetting|Subnetze]] eingeteilt.  
* Sind in eigene [[Netzwerke:IPv4/Subnetting|Subnetze]] eingeteilt.  
Zeile 10: Zeile 14:
* Konfigurierbare Switches mit VLAN-Unterstützung.
* Konfigurierbare Switches mit VLAN-Unterstützung.


== Motivation ==
=== Motivation ===
; Lokale Netze werden mit aktiven Komponenten aufgebaut, [[OSI-Modell#Schicht 2 – Sicherungsschicht (Data Link Layer)|OSI-Ebene 2]]
; Lokale Netze werden mit aktiven Komponenten aufgebaut, [[OSI-Modell#Schicht 2 – Sicherungsschicht (Data Link Layer)|OSI-Ebene 2]]
* In der Regel sind diese Komponenten [[Switch (Computertechnik)|Switches]]
* In der Regel sind diese Komponenten [[Switch (Computertechnik)|Switches]]
Zeile 24: Zeile 28:
; Performance-Aspekte
; Performance-Aspekte
* So kann etwa ein bestimmter Datenverkehr wie [[VoIP]] in einem VLAN erfolgen, das bei der Übertragung priorisiert wird.  
* So kann etwa ein bestimmter Datenverkehr wie [[VoIP]] in einem VLAN erfolgen, das bei der Übertragung priorisiert wird.  
* Häufig möchte man jedoch einfach nur [[Broadcast-Domäne]]n verkleinern, damit sich [[Broadcast]]s nicht über das gesamte Netz ausbreiten.
* Häufig möchte man jedoch einfach nur [[Broadcast-Domäne]]n verkleinern, damit sich [[Broadcast]]s nicht über das gesamte Netz ausbreiten
 
; Sicherheitsaspekte
; Sicherheitsaspekte
* VLANs können Netze gegen Ausspionieren und Abhören besser absichern als Switch-basierte Netze.  
* VLANs können Netze gegen Ausspionieren und Abhören besser absichern als Switch-basierte Netze.  
Zeile 33: Zeile 38:
* Diese lassen sich analog zu Switches ebenfalls [[Technische Kompromittierung|kompromittieren]] und können so den vorgesehenen Sicherheitsgewinn von VLAN-Implementierungen unwirksam machen.
* Diese lassen sich analog zu Switches ebenfalls [[Technische Kompromittierung|kompromittieren]] und können so den vorgesehenen Sicherheitsgewinn von VLAN-Implementierungen unwirksam machen.


Die beiden letztgenannten Aspekte könnten auch durch eine entsprechende Verkabelung und den Einsatz mehrerer Switches und Router erreicht werden.  
; Die beiden letztgenannten Aspekte könnten auch durch eine entsprechende Verkabelung und den Einsatz mehrerer Switches und Router erreicht werden.  
* Durch den Einsatz von VLANs lässt sich dies jedoch unabhängig von der meist vorhandenen und nur mit großem Aufwand erweiterbaren physischen Verkabelung verwirklichen, was neben einer erhöhten Flexibilität auch wirtschaftlich sinnvoll sein kann: VLAN-fähige Geräte sind zwar durchaus teurer, ersetzen unter Umständen aber mehrere Einzelgeräte.
* Durch den Einsatz von VLANs lässt sich dies jedoch unabhängig von der meist vorhandenen und nur mit großem Aufwand erweiterbaren physischen Verkabelung verwirklichen, was neben einer erhöhten Flexibilität auch wirtschaftlich sinnvoll sein kann: VLAN-fähige Geräte sind zwar durchaus teurer, ersetzen unter Umständen aber mehrere Einzelgeräte.
* Einrichtung in logischen Gruppen innerhalb des physikalischen Netzes möglich
* Einrichtung in logischen Gruppen innerhalb des physikalischen Netzes möglich
Zeile 48: Zeile 53:
* Schließlich entstanden aus den proprietären ''tagged VLANs'' die heute dominierenden standardisierten ''tagged VLANs'' nach [[IEEE 802.1Q]].
* Schließlich entstanden aus den proprietären ''tagged VLANs'' die heute dominierenden standardisierten ''tagged VLANs'' nach [[IEEE 802.1Q]].


== Zuordnung einer VLAN-ID ==
== Statische VLANs ==
=== Statische VLANs ===
Hier wird einem Port eines Switches fest eine VLAN-Konfiguration zugeordnet.  
Hier wird einem Port eines Switches fest eine VLAN-Konfiguration zugeordnet.  
* Er gehört dann zu einem ''Port-basierten VLAN'', zu einem ''untagged VLAN'' oder er ist ein Port, der zu mehreren VLANs gehört.  
* Er gehört dann zu einem ''Port-basierten VLAN'', zu einem ''untagged VLAN'' oder er ist ein Port, der zu mehreren VLANs gehört.  
Zeile 58: Zeile 62:


Durch die Möglichkeit, einen Port mehreren VLANs zuzuordnen, können zum Beispiel auch Router und Server über einen einzelnen Anschluss an mehrere VLANs angebunden werden, ohne dass für jedes Teilnetz eine physische Netzschnittstelle vorhanden sein muss.  
Durch die Möglichkeit, einen Port mehreren VLANs zuzuordnen, können zum Beispiel auch Router und Server über einen einzelnen Anschluss an mehrere VLANs angebunden werden, ohne dass für jedes Teilnetz eine physische Netzschnittstelle vorhanden sein muss.  
* Somit kann ein einzelnes Gerät – auch ohne Router – seine Dienste in mehreren VLANs anbieten, ohne dass die Stationen der verschiedenen VLANs miteinander kommunizieren können.<br />
* Somit kann ein einzelnes Gerät – auch ohne Router – seine Dienste in mehreren VLANs anbieten, ohne dass die Stationen der verschiedenen VLANs miteinander kommunizieren können.
 
Diese VLAN-Trunks dürfen nicht mit den [[Bündelung (Datenübertragung)|Trunks]] im Sinne von [[Link Aggregation]] verwechselt werden, bei denen mehrere physische Übertragungswege zur Durchsatzsteigerung gebündelt werden.
Diese VLAN-Trunks dürfen nicht mit den [[Bündelung (Datenübertragung)|Trunks]] im Sinne von [[Link Aggregation]] verwechselt werden, bei denen mehrere physische Übertragungswege zur Durchsatzsteigerung gebündelt werden.


==== Portbasierte VLANs ====
=== Portbasierte VLANs ===
Portbasierte VLANs sind die Urform der VLANs.
* Hier wird mit managebaren Switches ein physisches Netz portweise in mehrere logische Netze segmentiert, indem ein Port einem VLAN fix zugeordnet wird.
* Im Frame vorhandene Tags werden vom Switch entfernt.
* Man spricht hier daher von einem ''untagged'' Port.  Portbasierte VLANs lassen sich auch über mehrere Switches hinweg ausdehnen.
* Dazu wird heutzutage ein Trunk-Port (ein als ''tagged'' konfigurierter Port) verwendet.
* Um die so segmentierten Netze bei Bedarf zu verbinden, kommt z.&nbsp;B. ein Router zum Einsatz.
* Ferner gehören sie zu den statischen VLAN-Konfigurationen und bilden sozusagen einen Gegenpol zu den ''dynamischen VLANs''.
* Ein Port kann sowohl als ''tagged'' als auch als ''untagged'' konfiguriert sein.
* Das ist z.&nbsp;B. dann der Fall, wenn über einen Port mehrere Geräte (z.&nbsp;B. VoIP-Telefon und Desktop-PC) verbunden werden.
 
[[Datei:VLAN.jpg|mini]]
[[Datei:VLAN.jpg|mini]]
[[Datei:Portbasiertes_VLAN.jpg|mini]]
[[Datei:Portbasiertes_VLAN.jpg|mini]]
; Urform der VLANs
* Hier wird mit managebaren Switches ein physisches Netz portweise in mehrere logische Netze segmentiert, indem ein Port einem VLAN fix zugeordnet wird
* Im Frame vorhandene Tags werden vom Switch entfernt
* Man spricht hier daher von einem ''untagged'' Port
* Portbasierte VLANs lassen sich auch über mehrere Switches hinweg ausdehnen
* Dazu wird heutzutage ein Trunk-Port (ein als ''tagged'' konfigurierter Port) verwendet
* Um die so segmentierten Netze bei Bedarf zu verbinden, kommt z.&nbsp;B.&nbsp;ein Router zum Einsatz
* Ferner gehören sie zu den statischen VLAN-Konfigurationen und bilden sozusagen einen Gegenpol zu den ''dynamischen VLANs''
* Ein Port kann sowohl als ''tagged'' als auch als ''untagged'' konfiguriert sein
* Das ist z.&nbsp;B.&nbsp;dann der Fall, wenn über einen Port mehrere Geräte (z.&nbsp;B.&nbsp;VoIP-Telefon und Desktop-PC) verbunden werden


* Einen physischen Switch in mehrere logische Switches unterteilen
* Einen physischen Switch in mehrere logische Switches unterteilen
Zeile 124: Zeile 129:
|}
|}


=== Dynamische VLANs ===
== Dynamische VLANs ==
Bei der dynamischen Implementierung eines VLANs wird die Zugehörigkeit eines Frames zu einem VLAN anhand bestimmter Inhalte des Frames getroffen.  
; Bei der dynamischen Implementierung eines VLANs wird die Zugehörigkeit eines Frames zu einem VLAN anhand bestimmter Inhalte des Frames getroffen.  
* Da sich alle Inhalte von Frames praktisch beliebig manipulieren lassen, sollte in sicherheitsrelevanten Einsatzbereichen auf den Einsatz von ''dynamischen VLANs'' verzichtet werden. ''Dynamische VLANs'' stehen im Gegensatz zu den ''statischen VLANs''.  
* Da sich alle Inhalte von Frames praktisch beliebig manipulieren lassen, sollte in sicherheitsrelevanten Einsatzbereichen auf den Einsatz von ''dynamischen VLANs'' verzichtet werden. ''Dynamische VLANs'' stehen im Gegensatz zu den ''statischen VLANs''.  
* Die Zugehörigkeit kann beispielsweise auf der Basis der [[MAC-Adresse|MAC-]] oder [[IP-Adresse]]n geschehen, auf Basis der Protokoll-Typen (z.&nbsp;B. 0x809B Apple [[EtherTalk]], 0x8137: Novell [[Internetwork Packet Exchange|IPX]], 0x0800: [[IPv4]] oder 0x88AD: [[Network Direct Attached Storage|XiMeta LPX]]) oder auch auf Anwendungsebene nach den [[Transmission Control Protocol|TCP]]-/[[User Datagram Protocol|UDP]]-Portnummern (Portnummer 53: [[Domain Name System|DNS]], 80: [[Hypertext Transfer Protocol|HTTP]], 3128: [[Squid|Squid Proxy]]).  
* Die Zugehörigkeit kann beispielsweise auf der Basis der [[MAC-Adresse|MAC-]] oder [[IP-Adresse]]n geschehen, auf Basis der Protokoll-Typen (z.&nbsp;B.&nbsp;0x809B Apple [[EtherTalk]], 0x8137: Novell [[Internetwork Packet Exchange|IPX]], 0x0800: [[IPv4]] oder 0x88AD: [[Network Direct Attached Storage|XiMeta LPX]]) oder auch auf Anwendungsebene nach den [[Transmission Control Protocol|TCP]]-/[[User Datagram Protocol|UDP]]-Portnummern (Portnummer 53: [[Domain Name System|DNS]], 80: [[Hypertext Transfer Protocol|HTTP]], 3128: [[Squid|Squid Proxy]]).  
* In der Wirkung entspricht dies einer automatisierten Zuordnung eines Switchports zu einem VLAN.
* In der Wirkung entspricht dies einer automatisierten Zuordnung eines Switchports zu einem VLAN.


Die Zugehörigkeit kann sich auch aus dem [[Ethernet#Das Typ-Feld (EtherType)|Paket-Typ]] ableiten und so zum Beispiel ein IPX/[[Sequenced Packet Exchange|SPX]]-Netz von einem TCP/IP-Netz trennen.  
; Die Zugehörigkeit kann sich auch aus dem [[Ethernet#Das Typ-Feld (EtherType)|Paket-Typ]] ableiten und so zum Beispiel ein IPX/[[Sequenced Packet Exchange|SPX]]-Netz von einem TCP/IP-Netz trennen.  
* Diese Technik ist heutzutage nicht mehr weit verbreitet, da TCP/IP in vielen Netzen alle anderen Protokolle abgelöst hat.
* Diese Technik ist heutzutage nicht mehr weit verbreitet, da TCP/IP in vielen Netzen alle anderen Protokolle abgelöst hat.


Durch Dynamische VLANs kann zum Beispiel auch erreicht werden, dass ein mobiles Endgerät immer einem bestimmten VLAN angehört – unabhängig von der Netzdose, an die es angeschlossen wird.  
; Durch Dynamische VLANs kann zum Beispiel auch erreicht werden, dass ein mobiles Endgerät immer einem bestimmten VLAN angehört – unabhängig von der Netzdose, an die es angeschlossen wird.  
* Eine andere Möglichkeit besteht darin, einen bestimmten Teil des Datenverkehrs wie zum Beispiel [[Voice over IP|VoIP]] aus Performance- oder Sicherheitsgründen (veraltet) in ein spezielles VLAN zu leiten.
* Eine andere Möglichkeit besteht darin, einen bestimmten Teil des Datenverkehrs wie zum Beispiel [[Voice over IP|VoIP]] aus Performance- oder Sicherheitsgründen (veraltet) in ein spezielles VLAN zu leiten.


==== Tagged-basiert ====
=== Tagged-basiert ===
; Zuordnung der Endgeräte erfolgt nach bestimmten Kriterien bspw. nach MAC-Adresse
; Zuordnung der Endgeräte erfolgt nach bestimmten Kriterien bspw. nach MAC-Adresse
* Mehrere VLANs können über einen einzelnen Switch-Port genutzt werden.
* Mehrere VLANs können über einen einzelnen Switch-Port genutzt werden.
[[Datei:TaggedVLAN.jpg|mini]]
[[Datei:TaggedVLAN.jpg|mini|400px]]


[[Datei:EthernetFrame.png|mini|Ethernet-Frame]]
[[Datei:EthernetFrame.png|mini|Ethernet-Frame|400px]]


[[Datei:EthernetFrame VLANTag.png|mini|Ethernet-Frame mit VLAN-Tag]]
[[Datei:EthernetFrame VLANTag.png|mini|Ethernet-Frame mit VLAN-Tag|400px]]


* Eine ''Markierung (Tag)'' im Frame des Pakets sorgt für die Zuweisung.
* Eine ''Markierung (Tag)'' im Frame des Pakets sorgt für die Zuweisung.
Zeile 149: Zeile 154:
* Frames müssen getagged werden, damit der empfangene Switch bzw. der Router sie dem entsprechenden VLAN zuordnen kann.
* Frames müssen getagged werden, damit der empfangene Switch bzw. der Router sie dem entsprechenden VLAN zuordnen kann.


[[Datei:TagFrame.jpg|mini|Genaue Darstellung des VLAN-Tags]]
[[Datei:TagFrame.jpg|mini|400px|Genaue Darstellung des VLAN-Tags]]


* Erste Zwei Bytes sind für den TPI (Tag Protocol Identifier), zeigt an, ob überhaupt eine VLAN-ID angegeben wurde
* Erste Zwei Bytes sind für den TPI (Tag Protocol Identifier), zeigt an, ob überhaupt eine VLAN-ID angegeben wurde
* Nach TPI folgen drei Bit für die Priorität der Nachricht, dann folgt ein Bit für den CFI (Canonical Format Identifier), welches die Kompatibilät zwischen Ethernet und Token Ring gewährleistet.
* Nach TPI folgen drei Bit für die Priorität der Nachricht, dann folgt ein Bit für den CFI (Canonical Format Identifier), welches die Kompatibilät zwischen Ethernet und Token Ring gewährleistet
* Die letzten zwölf Bit sind für die eigentliche VLAN-ID bestimmt. Dadurch sind prinzipiell 4096 VLANs möglich.
* Die letzten zwölf Bit sind für die eigentliche VLAN-ID bestimmt. Dadurch sind prinzipiell 4096 VLANs möglich


[[Datei:Ethernetpaket.svg|mini|Das heute fast ausschließlich verwendete Ethernet-Datenblockformat Ethernet-II nach IEEE 802.3 mit 802.1Q VLAN-Tag]]
[[Datei:Ethernetpaket.svg|mini||400px| Heute fast ausschließlich verwendete Ethernet-Datenblockformat Ethernet-II nach IEEE 802.3 mit 802.1Q VLAN-Tag]]


; Die paketbasierten ''tagged VLANs'' stehen im Gegensatz zu den älteren markierungslosen, portbasierten VLANs.  
; Die paketbasierten ''tagged VLANs'' stehen im Gegensatz zu den älteren markierungslosen, portbasierten VLANs.  
Zeile 161: Zeile 166:
* Es handelt sich also bei tagged VLANs um Netze, die Netzpakete verwenden, welche eine zusätzliche VLAN-Markierung tragen.
* Es handelt sich also bei tagged VLANs um Netze, die Netzpakete verwenden, welche eine zusätzliche VLAN-Markierung tragen.


; Ein Tagging in VLANs kommt auch dann zum Einsatz, wenn sich VLANs z.&nbsp;B. über mehrere Switches hinweg erstrecken, etwa über Trunkports.  
; Ein Tagging in VLANs kommt auch dann zum Einsatz, wenn sich VLANs z.&nbsp;B.&nbsp;über mehrere Switches hinweg erstrecken, etwa über Trunkports.  
* Hier tragen die Frames eine Markierung, welche die Zugehörigkeit zum jeweiligen VLAN anzeigt.
* Hier tragen die Frames eine Markierung, welche die Zugehörigkeit zum jeweiligen VLAN anzeigt.


Zeile 171: Zeile 176:
Bei portbasierten VLANs (d.&nbsp;h. bei Paketen, die kein Tag besitzen) wird zum Weiterleiten eines Datenpakets über einen Trunk hinweg üblicherweise vor dem Einspeisen in den Trunk ein VLAN-Tag hinzugefügt, welches kennzeichnet, zu welchem VLAN das Paket gehört.  
Bei portbasierten VLANs (d.&nbsp;h. bei Paketen, die kein Tag besitzen) wird zum Weiterleiten eines Datenpakets über einen Trunk hinweg üblicherweise vor dem Einspeisen in den Trunk ein VLAN-Tag hinzugefügt, welches kennzeichnet, zu welchem VLAN das Paket gehört.  
* Der Switch auf Empfängerseite muss dieses wieder entfernen.  
* Der Switch auf Empfängerseite muss dieses wieder entfernen.  
* Bei tagged VLANs nach [[IEEE 802.1Q]] hingegen werden die Pakete entweder vom Endgerät (z.&nbsp;B. Tagging-fähigem Server) oder vom Switch am Einspeiseport mit dem Tag versehen.  
* Bei tagged VLANs nach [[IEEE 802.1Q]] hingegen werden die Pakete entweder vom Endgerät (z.&nbsp;B.&nbsp;Tagging-fähigem Server) oder vom Switch am Einspeiseport mit dem Tag versehen.  
* Daher kann ein Switch ein Paket ohne jegliche Änderung in einen Trunk einspeisen.  
* Daher kann ein Switch ein Paket ohne jegliche Änderung in einen Trunk einspeisen.  
* Empfängt ein Switch auf einem VLT-Port (Trunkport) einen Frame mit VLAN-Tag nach IEEE 802.1Q, kann auch dieser es unverändert weiterleiten.  
* Empfängt ein Switch auf einem VLT-Port (Trunkport) einen Frame mit VLAN-Tag nach IEEE 802.1Q, kann auch dieser es unverändert weiterleiten.  
Zeile 179: Zeile 184:
* Werden Pakete ohne Tag auf einem Trunk-Port empfangen, können diese je nach Konfiguration entweder einem Default-VLAN zugeordnet werden (der Switch bringt das Tag nachträglich an), oder sie werden verworfen.
* Werden Pakete ohne Tag auf einem Trunk-Port empfangen, können diese je nach Konfiguration entweder einem Default-VLAN zugeordnet werden (der Switch bringt das Tag nachträglich an), oder sie werden verworfen.


Empfängt ein Switch auf einem seiner Ports z.&nbsp;B. von einem älteren Endgerät Pakete ohne VLAN-Tags (auch native Frames genannt), so muss er selbst für das Anbringen des Tags sorgen.  
; Empfängt ein Switch auf einem seiner Ports z.&nbsp;B.&nbsp;von einem älteren Endgerät Pakete ohne VLAN-Tags (auch native Frames genannt), so muss er selbst für das Anbringen des Tags sorgen.  
* Hierzu wird dem betreffenden Port entweder per Default oder per Management eine VLAN-ID zugeordnet.
* Hierzu wird dem betreffenden Port entweder per Default oder per Management eine VLAN-ID zugeordnet
* Der Switch, der das Paket ausliefert, muss analog verfahren, wenn das Zielsystem nicht mit Tags umgehen kann (das Tag muss entfernt werden).
* Der Switch, der das Paket ausliefert, muss analog verfahren, wenn das Zielsystem nicht mit Tags umgehen kann (das Tag muss entfernt werden)


; Automatische Lernen
; Automatische Lernen
Zeile 189: Zeile 194:
* Empfängt er an einem Port innerhalb kurzer Zeit Pakete mit unterschiedlichen VLAN-IDs, so wird dieser Port als VLT identifiziert und als Trunk genutzt.  
* Empfängt er an einem Port innerhalb kurzer Zeit Pakete mit unterschiedlichen VLAN-IDs, so wird dieser Port als VLT identifiziert und als Trunk genutzt.  
* Einfache Switches (ohne Verwaltungsmöglichkeit) bilden üblicherweise ein zusätzliches ''natives VLAN'' für alle Pakete, die keine Tags enthalten.  
* Einfache Switches (ohne Verwaltungsmöglichkeit) bilden üblicherweise ein zusätzliches ''natives VLAN'' für alle Pakete, die keine Tags enthalten.  
* Solche Pakete werden meist belassen wie sie sind.
* Solche Pakete werden meist belassen, wie sie sind
* Ein Trunkport wird hier wie ein normaler (Uplink-)Port behandelt.
* Ein Trunkport wird hier wie ein normaler (Uplink-)Port behandelt
* Alternativ kann auch ein Default-Tag angefügt werden.
* Alternativ kann auch ein Default-Tag angefügt werden


; Trunk
; Trunk
Der Begriff ''Trunk'' wird im Unterschied zu VLT häufig auch mit einer ganz anderen Bedeutung verwendet, siehe auch [[Bündelung (Datenübertragung)]].
Der Begriff ''Trunk'' wird im Unterschied zu VLT häufig auch mit einer ganz anderen Bedeutung verwendet, siehe auch [[Bündelung (Datenübertragung)]]


; Sicherheit
; Sicherheit
Generell sollte man Sicherheit aber nicht mehr zu den Tagged-VLAN-Features zählen.
Generell sollte man Sicherheit aber nicht mehr zu den Tagged-VLAN-Features zählen
* Switches lassen sich auf zahlreichen Wegen kompromittieren, müssen folglich immer als unsicher eingestuft werden.
* Switches lassen sich auf zahlreichen Wegen kompromittieren, müssen folglich immer als unsicher eingestuft werden
* Man kann aber auch direkt bei der Verkabelung ansetzen.
* Man kann aber auch direkt bei der Verkabelung ansetzen
* Es gibt etwa Messklemmen als Zubehör zu Profi-Netzanalysegeräten, die äußerlich direkt an ein Kabel angeschlossen werden und das geringe elektromagnetische Feld messen.
* Es gibt etwa Messklemmen als Zubehör zu Profi-Netzanalysegeräten, die äußerlich direkt an ein Kabel angeschlossen werden und das geringe elektromagnetische Feld messen
* So kann völlig unbemerkt der gesamte über dieses Kabel laufende Datenverkehr mitgelesen und aufgezeichnet werden.
* So kann völlig unbemerkt der gesamte über dieses Kabel laufende Datenverkehr mitgelesen und aufgezeichnet werden
* Dagegen hilft nur eine starke Kryptografie (z.&nbsp;B. mit [[IPsec]]), die manche LAN-Karten direkt in Hardware implementieren.
* Dagegen hilft nur eine starke Kryptografie (z.&nbsp;B.&nbsp;mit [[IPsec]]), die manche LAN-Karten direkt in Hardware implementieren


=== Vor- und Nachteile ===
== Vor- und Nachteile ==
*Statisch
*Statisch
**Einfach zu erstellen und zu verwalten
**Einfach zu erstellen und zu verwalten
Zeile 217: Zeile 222:
== Zuordnung des Datenverkehrs ==
== Zuordnung des Datenverkehrs ==
Die Zuordnung der Teilnetze zu einem VLAN kann statisch über Port-Zuordnung an den Switches erfolgen, über spezielle Markierungen an den Paketen (Tags) realisiert sein oder dynamisch erfolgen (zum Beispiel durch [[MAC-Adresse]]n, [[IP-Adresse]]n bis hin zu [[Transmission Control Protocol|TCP]]- und [[User Datagram Protocol|UDP]]-Ports und höheren Protokollen).  
Die Zuordnung der Teilnetze zu einem VLAN kann statisch über Port-Zuordnung an den Switches erfolgen, über spezielle Markierungen an den Paketen (Tags) realisiert sein oder dynamisch erfolgen (zum Beispiel durch [[MAC-Adresse]]n, [[IP-Adresse]]n bis hin zu [[Transmission Control Protocol|TCP]]- und [[User Datagram Protocol|UDP]]-Ports und höheren Protokollen).  
* Ebenfalls ist eine Zuordnung eines Ports zu einem VLAN nach [[Authentifizierung]] des Anwenders z.&nbsp;B. mittels [[IEEE 802.1X|802.1X]] möglich.
* Ebenfalls ist eine Zuordnung eines Ports zu einem VLAN nach [[Authentifizierung]] des Anwenders z.&nbsp;B.&nbsp;mittels [[IEEE 802.1X|802.1X]] möglich.


Jedes VLAN bildet (wie ein normales, physisch separiertes Netzsegment) eine eigene Broadcast-Domäne.  
Jedes VLAN bildet (wie ein normales, physisch separiertes Netzsegment) eine eigene Broadcast-Domäne.  
Zeile 231: Zeile 236:
* Hierzu können sowohl einzelne Ports als auch gebündelte Ports (siehe [[Link Aggregation]]) zum Einsatz kommen.
* Hierzu können sowohl einzelne Ports als auch gebündelte Ports (siehe [[Link Aggregation]]) zum Einsatz kommen.


== Dokumentation ==
<noinclude>
=== RFC ===
 
=== Man-Pages ===
== Anhang ==
=== Info-Pages ===
=== Siehe auch ===
== Siehe auch ==
{{Special:PrefixIndex/Virtual Local Area Network}}
== Links ==
----
=== Projekt-Homepage ===
{{Special:PrefixIndex/VLAN}}
=== Weblinks ===
 
==== Dokumentation ====
===== RFC =====
 
==== Links ====
===== Weblinks =====
# [https://heise.de/-221621 ''VLAN: Virtuelles LAN, Netze schützen mit VLANs''] bei Heise
# [https://heise.de/-221621 ''VLAN: Virtuelles LAN, Netze schützen mit VLANs''] bei Heise
# [https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen VLAN Grundlagen.] Thomas Krenn Wiki (mit schematischen Abbildungen)
# [https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen VLAN Grundlagen.] Thomas Krenn Wiki (mit schematischen Abbildungen)
# [https://web.archive.org/web/20130601193348/https://www.javvin.com/protocolGVRP.html GARP (Generic Attribute Registration Protocol) VLAN Registration Protocol] (Webarchiv, englisch)
# [https://web.archive.org/web/20130601193348/https://www.javvin.com/protocolGVRP.html GARP (Generic Attribute Registration Protocol) VLAN Registration Protocol]


=== Einzelnachweise ===
=== Testfragen ===
<references />
[[VLAN/Testfragen]]
== Testfragen ==
<div class="toccolours mw-collapsible mw-collapsed">
''Wie heißen die beiden VLAN-Einrichtungstypen und was ist der Unterschied?''
<div class="mw-collapsible-content">
* Statisches VLAN wird portbasiert eingerichtet. Jedes Endgerät am Port ist einem VLAN zugeordnet.
* Beim Dynamischen VLAN erfolgt die Zuordnung der Endgeräte nach Kriterien, z.b. MAC-Adresse oder Namen.</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Warum ist ein VLAN-Tag in den Frames nötig für die Übertragung?''
<div class="mw-collapsible-content">
* Frames müssen getagged werden, damit der empfangene Router bzw. Switch dem entsprechenden VLAN zuordnen kann.
* Zugeordnet werden die Frames nach der VLAN-ID im Tag.</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Warum überhaupt VLANs?''
<div class="mw-collapsible-content">
* Zur Einrichtung logischer Gruppen
** Änderungen der Gruppenzugehörigkeit sind einfacher.
** Sicherheit durch Gruppen([[Netzwerke:IPv4/Subnetting|Subnetze]]) wird erhöht.
* Bessere Lastverteilung und weniger Kollisionsbereiche(Broadcastdomänen) sind dadurch möglich.
</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Wie viele VLANs kann man einrichten?''
<div class="mw-collapsible-content">
* Der VLAN-Tag beinhaltet den VID(VLAN-Identifier) der 12 Bit lang ist.
* Somit können 4096 VLAN´s erstellt werden. Von VLAN-ID 0 bis VLAN-ID 4095
2<sup>12</sup> = 4096


'''Hinweis'''
[[Kategorie:VLAN]]
In den meisten Fällen sind die VLAN-ID´s 0 und 4095 belegt und können nicht benutzt werden. Dann stehen nur 4094 VLAN´s zur Verfügung.
</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Auf welchem Gerätetyp bzw. auf welcher OSI-Schicht lassen sich VLANs einrichten?''
<div class="mw-collapsible-content">
* Auf Switches lassen sich VLAN´s einrichten, sofern sie konfigurierbar sind.
* Switches arbeiten auf der OSI-Schicht 2.
</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''VLAN einrichten''
* Die Abteilungen Sportmedizin und Allgemeinmedizin sollen an das VLAN 1
* Die beiden Übrigen an das VLAN 2
* Ergänzen sie den VLAN-Plan indem sie
** in jeder Etage einen PC einzeichnen und diesen mit der entsprechenden Netzwerkkomponente verbinden.
** Server 1 und 2 mit der entsprechenden Netzwerkkomponente verbinden. Server 1 soll ins VLAN 1, Server 2 ins VLAN 2
[[Datei:VLANPlan.png|400px|VLAN-Plan]]
<div class="mw-collapsible-content">'''Antwort5'''</div>
</div>
<div class="toccolours mw-collapsible mw-collapsed">
''Bildung von VLANs''
*Auf den Switches sollen VLANs gebildet werden.
*Alle Switches unterstützen VLAN-Tagging nach IEEE 802.1q.
*Die Netzwerkkarten der Arbeitsstationen nicht.
Erläutern Sie, ob unter diesen Vorraussetzungen VLANs realisiert werden können.
<div class="mw-collapsible-content">'''Die Antwort lautet ja.'''</div>
</div>


 
</noinclude>
[[Kategorie:Netzwerktyp]]
[[Kategorie:Netzwerk:Protokoll]]
[[Kategorie:VLAN]]

Aktuelle Version vom 23. Juni 2024, 08:30 Uhr

Virtual Local Area Network (VLAN) - unterteilt ein physikalisches Netzwerk in mehrere logische Netzwerke

Beschreibung

Logisches Teilnetz
Es kann sich über mehrere Switches hinweg ausdehnen
  • Ein VLAN trennt physische Netze in Teilnetze auf, indem es dafür sorgt, dass VLAN-fähige Switches Frames (Datenpakete) nicht in ein anderes VLAN weiterleiten (obwohl die Teilnetze an gemeinsamen Switches angeschlossen sein können).
  • Sind in eigene Subnetze eingeteilt.
  • So bildet jedes VLAN eine eigene Broadcast-Domain.
  • Kommunikation zwischen VLANs ist nur über einen Router möglich, der die VLANs verbindet.
  • Konfigurierbare Switches mit VLAN-Unterstützung.

Motivation

Lokale Netze werden mit aktiven Komponenten aufgebaut, OSI-Ebene 2
  • In der Regel sind diese Komponenten Switches
  • Durch die heute gängigen Switch-Implementierungen
  • welche die Anschlüsse üblicherweise im Vollduplex-Modus betreiben
  • kollisionsfrei arbeiten
  • können auch sehr große, aber dennoch performante LANs mit einigen hundert oder tausend Stationen aufgebaut werden.
Gründe für die Unterteilung solcher Netze kann grundsätzlich aus mehreren Gründen wünschenswert sein
Flexibilität
  • bei der Zuordnung von Endgeräten zu Netzsegmenten, unabhängig vom Standort der Basisstation.
Performance-Aspekte
  • So kann etwa ein bestimmter Datenverkehr wie VoIP in einem VLAN erfolgen, das bei der Übertragung priorisiert wird.
  • Häufig möchte man jedoch einfach nur Broadcast-Domänen verkleinern, damit sich Broadcasts nicht über das gesamte Netz ausbreiten
Sicherheitsaspekte
  • VLANs können Netze gegen Ausspionieren und Abhören besser absichern als Switch-basierte Netze.
  • Switch-basierten Netzen wurde früher ein Sicherheitsvorteil zugesprochen; dieser ist heute de facto nicht mehr gegeben, da für sie eine Vielzahl von Angriffsmöglichkeiten existieren wie zum Beispiel MAC-Flooding oder MAC-Spoofing.
  • VLANs hingegen sind robuster, da zur Verbindung der VLANs Router zum Einsatz kommen, die gegen Layer-2-Attacken systembedingt unempfindlich sind.
  • Zusätzlich bietet Routing die Möglichkeit, Firewalls auf Layer-3-Basis einzusetzen, wodurch sich eine größere Auswahl an Firewallsystemen erschließt (denn Layer-2-basierte Firewalls sind vergleichsweise selten).
  • Vorsicht ist aber besonders bei dynamischen VLANs bzw. bei Systemen geboten, die im automatischen Lernmodus (siehe Switch-Typen) arbeiten.
  • Diese lassen sich analog zu Switches ebenfalls kompromittieren und können so den vorgesehenen Sicherheitsgewinn von VLAN-Implementierungen unwirksam machen.
Die beiden letztgenannten Aspekte könnten auch durch eine entsprechende Verkabelung und den Einsatz mehrerer Switches und Router erreicht werden.
  • Durch den Einsatz von VLANs lässt sich dies jedoch unabhängig von der meist vorhandenen und nur mit großem Aufwand erweiterbaren physischen Verkabelung verwirklichen, was neben einer erhöhten Flexibilität auch wirtschaftlich sinnvoll sein kann: VLAN-fähige Geräte sind zwar durchaus teurer, ersetzen unter Umständen aber mehrere Einzelgeräte.
  • Einrichtung in logischen Gruppen innerhalb des physikalischen Netzes möglich
  • Höhere Flexibilität durch einfache Änderung von Gruppenzugehörigkeit
  • Einfachere Konfiguration der Software für die Gruppen
  • Erhöhte Sicherheit durch Gruppierung(Subnetz-Bildung)
  • Kleinere Broadcastdomänen
  • Priorisierung des Datenverkehrs möglich
  • Bessere Lastverteilung möglich

VLAN-Typen

Ältere VLAN-fähige Switches beherrschen nur portbasierte VLANs, die statisch konfiguriert werden mussten.

  • Erst später entwickelten sich dynamische VLANs und proprietäre tagged VLANs.
  • Schließlich entstanden aus den proprietären tagged VLANs die heute dominierenden standardisierten tagged VLANs nach IEEE 802.1Q.

Statische VLANs

Hier wird einem Port eines Switches fest eine VLAN-Konfiguration zugeordnet.

  • Er gehört dann zu einem Port-basierten VLAN, zu einem untagged VLAN oder er ist ein Port, der zu mehreren VLANs gehört.
  • Die Konfiguration eines Ports ist bei statischen VLANs fest durch den Administrator vorgegeben.
  • Sie hängt nicht vom Inhalt der Pakete ab und steht im Gegensatz zu den dynamischen VLANs unveränderlich fest.
  • Damit ist eine Kommunikation des Endgerätes an einem Port nur noch mit den zugeordneten VLANs möglich.
  • Gehört ein Port zu mehreren VLANs, ist er ein VLAN-Trunk und dient dann meist zur Ausdehnung der VLANs über mehrere Switches hinweg.

Durch die Möglichkeit, einen Port mehreren VLANs zuzuordnen, können zum Beispiel auch Router und Server über einen einzelnen Anschluss an mehrere VLANs angebunden werden, ohne dass für jedes Teilnetz eine physische Netzschnittstelle vorhanden sein muss.

  • Somit kann ein einzelnes Gerät – auch ohne Router – seine Dienste in mehreren VLANs anbieten, ohne dass die Stationen der verschiedenen VLANs miteinander kommunizieren können.

Diese VLAN-Trunks dürfen nicht mit den Trunks im Sinne von Link Aggregation verwechselt werden, bei denen mehrere physische Übertragungswege zur Durchsatzsteigerung gebündelt werden.

Portbasierte VLANs

Urform der VLANs
  • Hier wird mit managebaren Switches ein physisches Netz portweise in mehrere logische Netze segmentiert, indem ein Port einem VLAN fix zugeordnet wird
  • Im Frame vorhandene Tags werden vom Switch entfernt
  • Man spricht hier daher von einem untagged Port
  • Portbasierte VLANs lassen sich auch über mehrere Switches hinweg ausdehnen
  • Dazu wird heutzutage ein Trunk-Port (ein als tagged konfigurierter Port) verwendet
  • Um die so segmentierten Netze bei Bedarf zu verbinden, kommt z. B. ein Router zum Einsatz
  • Ferner gehören sie zu den statischen VLAN-Konfigurationen und bilden sozusagen einen Gegenpol zu den dynamischen VLANs
  • Ein Port kann sowohl als tagged als auch als untagged konfiguriert sein
  • Das ist z. B. dann der Fall, wenn über einen Port mehrere Geräte (z. B. VoIP-Telefon und Desktop-PC) verbunden werden
  • Einen physischen Switch in mehrere logische Switches unterteilen
  • Einzelne Ports werden einem VLAN zugeordnet
  • Jedes Endgerät an einem Port, gehört zu einem VLAN
Switch A
Switch-Port VLAN ID angeschlossenes Gerät
1 1 PCA1
2 1 PCA2
3 - -
4 1 Verbindung zu Switch-B Port 4
5 2 PCA5
6 2 PCA6
7 - -
8 2 Verbindung zu Switch-B Port 8
  • Mithilfe mehrerer Switches kann man mehr Rechner in einem VLAN einbinden
  • Allerdings benötigt man für jedes VLAN eine eigene Verbindung
Switch B
Switch-Port VLAN ID angeschlossenes Gerät
1 1 PCB1
2 1 PCB2
3 - -
4 1 Verbindung zu Switch-A Port 4
5 2 PCB5
6 2 PCB6
7 - -
8 2 Verbindung zu Switch-B Port 8

Dynamische VLANs

Bei der dynamischen Implementierung eines VLANs wird die Zugehörigkeit eines Frames zu einem VLAN anhand bestimmter Inhalte des Frames getroffen.
  • Da sich alle Inhalte von Frames praktisch beliebig manipulieren lassen, sollte in sicherheitsrelevanten Einsatzbereichen auf den Einsatz von dynamischen VLANs verzichtet werden. Dynamische VLANs stehen im Gegensatz zu den statischen VLANs.
  • Die Zugehörigkeit kann beispielsweise auf der Basis der MAC- oder IP-Adressen geschehen, auf Basis der Protokoll-Typen (z. B. 0x809B Apple EtherTalk, 0x8137: Novell IPX, 0x0800: IPv4 oder 0x88AD: XiMeta LPX) oder auch auf Anwendungsebene nach den TCP-/UDP-Portnummern (Portnummer 53: DNS, 80: HTTP, 3128: Squid Proxy).
  • In der Wirkung entspricht dies einer automatisierten Zuordnung eines Switchports zu einem VLAN.
Die Zugehörigkeit kann sich auch aus dem Paket-Typ ableiten und so zum Beispiel ein IPX/SPX-Netz von einem TCP/IP-Netz trennen.
  • Diese Technik ist heutzutage nicht mehr weit verbreitet, da TCP/IP in vielen Netzen alle anderen Protokolle abgelöst hat.
Durch Dynamische VLANs kann zum Beispiel auch erreicht werden, dass ein mobiles Endgerät immer einem bestimmten VLAN angehört – unabhängig von der Netzdose, an die es angeschlossen wird.
  • Eine andere Möglichkeit besteht darin, einen bestimmten Teil des Datenverkehrs wie zum Beispiel VoIP aus Performance- oder Sicherheitsgründen (veraltet) in ein spezielles VLAN zu leiten.

Tagged-basiert

Zuordnung der Endgeräte erfolgt nach bestimmten Kriterien bspw. nach MAC-Adresse
  • Mehrere VLANs können über einen einzelnen Switch-Port genutzt werden.
Ethernet-Frame
Ethernet-Frame mit VLAN-Tag
  • Eine Markierung (Tag) im Frame des Pakets sorgt für die Zuweisung.
  • Das Tag wird nach der MAC-Addresse des Absenders gesetzt und ist exakt vier Byte lang.
  • Frames müssen getagged werden, damit der empfangene Switch bzw. der Router sie dem entsprechenden VLAN zuordnen kann.
Genaue Darstellung des VLAN-Tags
  • Erste Zwei Bytes sind für den TPI (Tag Protocol Identifier), zeigt an, ob überhaupt eine VLAN-ID angegeben wurde
  • Nach TPI folgen drei Bit für die Priorität der Nachricht, dann folgt ein Bit für den CFI (Canonical Format Identifier), welches die Kompatibilät zwischen Ethernet und Token Ring gewährleistet
  • Die letzten zwölf Bit sind für die eigentliche VLAN-ID bestimmt. Dadurch sind prinzipiell 4096 VLANs möglich
Heute fast ausschließlich verwendete Ethernet-Datenblockformat Ethernet-II nach IEEE 802.3 mit 802.1Q VLAN-Tag
Die paketbasierten tagged VLANs stehen im Gegensatz zu den älteren markierungslosen, portbasierten VLANs.
  • Der Ausdruck tagged leitet sich vom englischen Ausdruck material tags ab (Anhänger, mit denen Waren markiert werden).
  • Es handelt sich also bei tagged VLANs um Netze, die Netzpakete verwenden, welche eine zusätzliche VLAN-Markierung tragen.
Ein Tagging in VLANs kommt auch dann zum Einsatz, wenn sich VLANs z. B. über mehrere Switches hinweg erstrecken, etwa über Trunkports.
  • Hier tragen die Frames eine Markierung, welche die Zugehörigkeit zum jeweiligen VLAN anzeigt.
Durch die Tags werden VLAN-spezifische Informationen zum Frame hinzugefügt.
  • Zu dieser Gattung gehören die VLANs nach IEEE 802.1Q, Shortest Path Bridging, Ciscos Inter-Switch Link Protocol (ISL) oder auch 3Coms VLT (Virtual LAN Trunk) Tagging.
  • Damit die VLAN-Technik nach 802.1q auch für ältere Rechner und Systeme in einem Netz transparent bleibt, müssen Switches diese Tags bei Bedarf hinzufügen und auch wieder entfernen können.
VLAN-Tag

Bei portbasierten VLANs (d. h. bei Paketen, die kein Tag besitzen) wird zum Weiterleiten eines Datenpakets über einen Trunk hinweg üblicherweise vor dem Einspeisen in den Trunk ein VLAN-Tag hinzugefügt, welches kennzeichnet, zu welchem VLAN das Paket gehört.

  • Der Switch auf Empfängerseite muss dieses wieder entfernen.
  • Bei tagged VLANs nach IEEE 802.1Q hingegen werden die Pakete entweder vom Endgerät (z. B. Tagging-fähigem Server) oder vom Switch am Einspeiseport mit dem Tag versehen.
  • Daher kann ein Switch ein Paket ohne jegliche Änderung in einen Trunk einspeisen.
  • Empfängt ein Switch auf einem VLT-Port (Trunkport) einen Frame mit VLAN-Tag nach IEEE 802.1Q, kann auch dieser es unverändert weiterleiten.
  • Lediglich der Switch am Empfangsport muss unterscheiden, ob er ein Tagging-fähiges Endgerät beliefert (dann kann der Frame unverändert bleiben) oder ob es sich um ein nicht Tagging-fähiges Endgerät handelt, welches zu dem aktuellen VLAN gehört (dann ist das Tag zu entfernen).
  • Hierzu muss die zugehörige VLAN-ID im Switch hinterlegt sein.
  • Da nach IEEE 802.1Q alle Pakete mit VLAN-Tags markiert sind, müssen einem Trunk entweder alle VLAN-IDs, die er weiterleiten soll, hinterlegt werden, oder er ist zur Weiterleitung aller VLANs konfiguriert.
  • Werden Pakete ohne Tag auf einem Trunk-Port empfangen, können diese je nach Konfiguration entweder einem Default-VLAN zugeordnet werden (der Switch bringt das Tag nachträglich an), oder sie werden verworfen.
Empfängt ein Switch auf einem seiner Ports z. B. von einem älteren Endgerät Pakete ohne VLAN-Tags (auch native Frames genannt), so muss er selbst für das Anbringen des Tags sorgen.
  • Hierzu wird dem betreffenden Port entweder per Default oder per Management eine VLAN-ID zugeordnet
  • Der Switch, der das Paket ausliefert, muss analog verfahren, wenn das Zielsystem nicht mit Tags umgehen kann (das Tag muss entfernt werden)
Automatische Lernen

Das automatische Lernen der zu den VLTs (Trunkports) gehörenden Einstellungen ist heute Standard bei den meisten VLAN-fähigen Switches.

  • Dabei muss ein Switch mit einem Mischbetrieb sowohl von Paketen, die keine Tags kennen und enthalten, als auch von Paketen, die bereits Tags besitzen, umgehen können.
  • Das Erlernen der VLTs erfolgt analog zum Erlernen der MAC-Adressen: Empfängt der Switch ein Paket mit VLAN-ID, so ordnet er den Port zunächst diesem VLAN zu.
  • Empfängt er an einem Port innerhalb kurzer Zeit Pakete mit unterschiedlichen VLAN-IDs, so wird dieser Port als VLT identifiziert und als Trunk genutzt.
  • Einfache Switches (ohne Verwaltungsmöglichkeit) bilden üblicherweise ein zusätzliches natives VLAN für alle Pakete, die keine Tags enthalten.
  • Solche Pakete werden meist belassen, wie sie sind
  • Ein Trunkport wird hier wie ein normaler (Uplink-)Port behandelt
  • Alternativ kann auch ein Default-Tag angefügt werden
Trunk

Der Begriff Trunk wird im Unterschied zu VLT häufig auch mit einer ganz anderen Bedeutung verwendet, siehe auch Bündelung (Datenübertragung)

Sicherheit

Generell sollte man Sicherheit aber nicht mehr zu den Tagged-VLAN-Features zählen

  • Switches lassen sich auf zahlreichen Wegen kompromittieren, müssen folglich immer als unsicher eingestuft werden
  • Man kann aber auch direkt bei der Verkabelung ansetzen
  • Es gibt etwa Messklemmen als Zubehör zu Profi-Netzanalysegeräten, die äußerlich direkt an ein Kabel angeschlossen werden und das geringe elektromagnetische Feld messen
  • So kann völlig unbemerkt der gesamte über dieses Kabel laufende Datenverkehr mitgelesen und aufgezeichnet werden
  • Dagegen hilft nur eine starke Kryptografie (z. B. mit IPsec), die manche LAN-Karten direkt in Hardware implementieren

Vor- und Nachteile

  • Statisch
    • Einfach zu erstellen und zu verwalten
    • Sinnvoll für fest eingeplante VLAN-Segmente
    • Unflexibel für veränderbare Netze
  • Dynamisch
    • Flexibel und besser anpassbar an neue Gegebenheiten
    • Ortsunabhängigkeit ist dadurch gegeben
    • Administratoren können Änderungen im Netzwerk durchführen, ohne Ports umstecken oder den Switch zu konfigurieren
    • Switches, Router und Netzwerkarten müssen das VLAN-Tag verarbeiten können

Zuordnung des Datenverkehrs

Die Zuordnung der Teilnetze zu einem VLAN kann statisch über Port-Zuordnung an den Switches erfolgen, über spezielle Markierungen an den Paketen (Tags) realisiert sein oder dynamisch erfolgen (zum Beispiel durch MAC-Adressen, IP-Adressen bis hin zu TCP- und UDP-Ports und höheren Protokollen).

  • Ebenfalls ist eine Zuordnung eines Ports zu einem VLAN nach Authentifizierung des Anwenders z. B. mittels 802.1X möglich.

Jedes VLAN bildet (wie ein normales, physisch separiertes Netzsegment) eine eigene Broadcast-Domäne.

  • Um den Verkehr zwischen den VLANs transparent zu vermitteln, benötigt man einen Router.
  • Moderne Switches stellen diese Funktion intern zur Verfügung; man spricht dann von einem Layer-3-Switch.

Die Überlegenheit von VLANs im Vergleich zur physischen Zuordnung zu verschiedenen Subnetzen basiert darauf, dass der Wechsel eines Clients von einem VLAN in ein anderes am Kopplungselement (Multilayerswitch, Router) geschehen kann, ohne dass eine physische Verbindung geändert werden muss.

Verbindung von VLAN-Switches

Wenn sich ein VLAN über mehrere Switches erstreckt, ist zu deren Verbindung entweder für jedes VLAN ein eigener Link (Kabel) erforderlich, oder es kommen sogenannte VLAN-Trunks (VLT) zum Einsatz.

  • Das Verfahren entspricht einem asynchronen Multiplexing.
  • Deshalb dient ein VLT dazu, Daten der unterschiedlichen VLANs über eine einzige Verbindung weiterzuleiten.
  • Hierzu können sowohl einzelne Ports als auch gebündelte Ports (siehe Link Aggregation) zum Einsatz kommen.


Anhang

Siehe auch


Dokumentation

RFC

Links

Weblinks
  1. VLAN: Virtuelles LAN, Netze schützen mit VLANs bei Heise
  2. VLAN Grundlagen. Thomas Krenn Wiki (mit schematischen Abbildungen)
  3. GARP (Generic Attribute Registration Protocol) VLAN Registration Protocol

Testfragen

VLAN/Testfragen