Virtual Local Area Network: Unterschied zwischen den Versionen

Aus Foxwiki
Versionsgeschichte interaktiv durchsuchen
← Zum vorherigen VersionsunterschiedZum nächsten Versionsunterschied →
VisuellWikitext
Keine Bearbeitungszusammenfassung
Änderungen von Dirkwagner (Diskussion) wurden auf die letzte Version von Alexanderrogers zurückgesetzt
Markierung: Zurücksetzung
Zeile 1: Zeile 1:
'''Virtual Local Area Network''' (VLAN) - unterteilt ein ''physikalisches'' Netzwerk in ''mehrere logische'' Netzwerke
VLANs (Virtual Local Area Network) unterteilen ein ''physisches'' Netzwerk in ''mehrere logische'' Netzwerke. So bildet jedes VLAN eine eigene Broadcast-Domain.


== Beschreibung ==
== Eigenschaften & Vorraussetzungen ==
; Logisches Teilnetz
* Sind in eigene [[Netzwerke:IPv4:Subnetting|Subnetze]] eingeteilt.  
* [[Segment (Netzwerk)|Netzsegment]]
** [[Switch (Netzwerktechnik)|Switches]]
** eines gesamten physischen [[Local Area Network|Netzes]]
 
; Es kann sich über mehrere Switches hinweg ausdehnen
* Ein VLAN trennt physische Netze in Teilnetze auf, indem es dafür sorgt, dass VLAN-fähige Switches [[Rahmen (Nachrichtentechnik)|Frames]] ([[Datenpaket]]e) nicht in ein anderes VLAN weiterleiten (obwohl die Teilnetze an gemeinsamen Switches angeschlossen sein können).
* Sind in eigene [[Netzwerke:IPv4/Subnetting|Subnetze]] eingeteilt.
* So bildet jedes VLAN eine eigene Broadcast-Domain.
* Kommunikation zwischen VLANs ist nur über einen Router möglich, der die VLANs verbindet.
* Kommunikation zwischen VLANs ist nur über einen Router möglich, der die VLANs verbindet.
* Konfigurierbare Switches mit VLAN-Unterstützung.
* Konfigurierbare Switches mit VLAN-Unterstützung.


=== Motivation ===
==Gründe für VLAN==
; Lokale Netze werden mit aktiven Komponenten aufgebaut, [[OSI-Modell#Schicht 2 – Sicherungsschicht (Data Link Layer)|OSI-Ebene 2]]
* In der Regel sind diese Komponenten [[Switch (Computertechnik)|Switches]]
* Durch die heute gängigen Switch-Implementierungen
* welche die Anschlüsse üblicherweise im [[Duplex (Nachrichtentechnik)|Vollduplex]]-Modus betreiben
* kollisionsfrei arbeiten
* können auch sehr große, aber dennoch performante LANs mit einigen hundert oder tausend Stationen aufgebaut werden.
 
; Gründe für die Unterteilung solcher Netze kann grundsätzlich aus mehreren Gründen wünschenswert sein:
 
; Flexibilität
* bei der Zuordnung von Endgeräten zu Netzsegmenten, unabhängig vom Standort der Basisstation.
; Performance-Aspekte
* So kann etwa ein bestimmter Datenverkehr wie [[VoIP]] in einem VLAN erfolgen, das bei der Übertragung priorisiert wird.
* Häufig möchte man jedoch einfach nur [[Broadcast-Domäne]]n verkleinern, damit sich [[Broadcast]]s nicht über das gesamte Netz ausbreiten
 
; Sicherheitsaspekte
* VLANs können Netze gegen Ausspionieren und Abhören besser absichern als Switch-basierte Netze.
* Switch-basierten Netzen wurde früher ein Sicherheitsvorteil zugesprochen; dieser ist heute de facto nicht mehr gegeben, da für sie eine Vielzahl von Angriffsmöglichkeiten existieren wie zum Beispiel [[MAC-Flooding]] oder [[MAC-Spoofing]].
* VLANs hingegen sind robuster, da zur Verbindung der VLANs [[Router]] zum Einsatz kommen, die gegen [[Layer-2-Attacken]] systembedingt unempfindlich sind.
* Zusätzlich bietet Routing die Möglichkeit, [[Firewall]]s auf ''[[OSI-Modell#Schicht 3 – Vermittlungsschicht (Network Layer)|Layer-3]]-Basis'' einzusetzen, wodurch sich eine größere Auswahl an Firewallsystemen erschließt (denn ''Layer-2-basierte'' Firewalls sind vergleichsweise selten).
* Vorsicht ist aber besonders bei ''dynamischen VLANs'' bzw. bei Systemen geboten, die im ''automatischen Lernmodus'' (siehe [[IEEE 802.1Q#Switch-Typen|Switch-Typen]]) arbeiten.
* Diese lassen sich analog zu Switches ebenfalls [[Technische Kompromittierung|kompromittieren]] und können so den vorgesehenen Sicherheitsgewinn von VLAN-Implementierungen unwirksam machen.
 
; Die beiden letztgenannten Aspekte könnten auch durch eine entsprechende Verkabelung und den Einsatz mehrerer Switches und Router erreicht werden.
* Durch den Einsatz von VLANs lässt sich dies jedoch unabhängig von der meist vorhandenen und nur mit großem Aufwand erweiterbaren physischen Verkabelung verwirklichen, was neben einer erhöhten Flexibilität auch wirtschaftlich sinnvoll sein kann: VLAN-fähige Geräte sind zwar durchaus teurer, ersetzen unter Umständen aber mehrere Einzelgeräte.
* Einrichtung in logischen Gruppen innerhalb des physikalischen Netzes möglich
* Einrichtung in logischen Gruppen innerhalb des physikalischen Netzes möglich
* Höhere Flexibilität durch einfache Änderung von Gruppenzugehörigkeit
* Höhere Flexibilität durch einfache Änderung von Gruppenzugehörigkeit
Zeile 48: Zeile 15:
* Bessere Lastverteilung möglich
* Bessere Lastverteilung möglich


== VLAN-Typen ==
==VLAN-Typen==
Ältere VLAN-fähige Switches beherrschen nur ''portbasierte VLANs'', die statisch konfiguriert werden mussten.
===Statisch (Portbasiert)===
* Erst später entwickelten sich ''dynamische VLANs'' und proprietäre ''tagged VLANs''.
[[Datei:VLAN.jpg|thumb|Einteilung in VLAN´s]]
* Schließlich entstanden aus den proprietären ''tagged VLANs'' die heute dominierenden standardisierten ''tagged VLANs'' nach [[IEEE 802.1Q]].
 
== Statische VLANs ==
Hier wird einem Port eines Switches fest eine VLAN-Konfiguration zugeordnet.  
* Er gehört dann zu einem ''Port-basierten VLAN'', zu einem ''untagged VLAN'' oder er ist ein Port, der zu mehreren VLANs gehört.
* Die Konfiguration eines Ports ist bei statischen VLANs fest durch den Administrator vorgegeben.
* Sie hängt nicht vom Inhalt der Pakete ab und steht im Gegensatz zu den dynamischen VLANs unveränderlich fest.
* Damit ist eine Kommunikation des Endgerätes an einem Port nur noch mit den zugeordneten VLANs möglich.
* Gehört ein Port zu mehreren VLANs, ist er ein VLAN-Trunk und dient dann meist zur Ausdehnung der VLANs über mehrere Switches hinweg.
 
Durch die Möglichkeit, einen Port mehreren VLANs zuzuordnen, können zum Beispiel auch Router und Server über einen einzelnen Anschluss an mehrere VLANs angebunden werden, ohne dass für jedes Teilnetz eine physische Netzschnittstelle vorhanden sein muss.
* Somit kann ein einzelnes Gerät – auch ohne Router – seine Dienste in mehreren VLANs anbieten, ohne dass die Stationen der verschiedenen VLANs miteinander kommunizieren können.


Diese VLAN-Trunks dürfen nicht mit den [[Bündelung (Datenübertragung)|Trunks]] im Sinne von [[Link Aggregation]] verwechselt werden, bei denen mehrere physische Übertragungswege zur Durchsatzsteigerung gebündelt werden.
[[Datei:Portbasiertes VLAN.jpg|thumb|700px|Portbasiertes VLAN]]
 
=== Portbasierte VLANs ===
[[Datei:VLAN.jpg|mini]]
[[Datei:Portbasiertes_VLAN.jpg|mini]]
; Urform der VLANs
* Hier wird mit managebaren Switches ein physisches Netz portweise in mehrere logische Netze segmentiert, indem ein Port einem VLAN fix zugeordnet wird
* Im Frame vorhandene Tags werden vom Switch entfernt
* Man spricht hier daher von einem ''untagged'' Port
* Portbasierte VLANs lassen sich auch über mehrere Switches hinweg ausdehnen
* Dazu wird heutzutage ein Trunk-Port (ein als ''tagged'' konfigurierter Port) verwendet
* Um die so segmentierten Netze bei Bedarf zu verbinden, kommt z. B. ein Router zum Einsatz
* Ferner gehören sie zu den statischen VLAN-Konfigurationen und bilden sozusagen einen Gegenpol zu den ''dynamischen VLANs''
* Ein Port kann sowohl als ''tagged'' als auch als ''untagged'' konfiguriert sein
* Das ist z. B. dann der Fall, wenn über einen Port mehrere Geräte (z. B. VoIP-Telefon und Desktop-PC) verbunden werden


* Einen physischen Switch in mehrere logische Switches unterteilen
* Einen physischen Switch in mehrere logische Switches unterteilen
Zeile 129: Zeile 70:
|}
|}


== Dynamische VLANs ==
===Dynamisch (Tagged-basiert)===
; Bei der dynamischen Implementierung eines VLANs wird die Zugehörigkeit eines Frames zu einem VLAN anhand bestimmter Inhalte des Frames getroffen.
* Zuordnung der Endgeräte erfolgt nach bestimmten Kriterien bspw. nach MAC-Adresse
* Da sich alle Inhalte von Frames praktisch beliebig manipulieren lassen, sollte in sicherheitsrelevanten Einsatzbereichen auf den Einsatz von ''dynamischen VLANs'' verzichtet werden. ''Dynamische VLANs'' stehen im Gegensatz zu den ''statischen VLANs''.
* Die Zugehörigkeit kann beispielsweise auf der Basis der [[MAC-Adresse|MAC-]] oder [[IP-Adresse]]n geschehen, auf Basis der Protokoll-Typen (z. B. 0x809B Apple [[EtherTalk]], 0x8137: Novell [[Internetwork Packet Exchange|IPX]], 0x0800: [[IPv4]] oder 0x88AD: [[Network Direct Attached Storage|XiMeta LPX]]) oder auch auf Anwendungsebene nach den [[Transmission Control Protocol|TCP]]-/[[User Datagram Protocol|UDP]]-Portnummern (Portnummer 53: [[Domain Name System|DNS]], 80: [[Hypertext Transfer Protocol|HTTP]], 3128: [[Squid|Squid Proxy]]).
* In der Wirkung entspricht dies einer automatisierten Zuordnung eines Switchports zu einem VLAN.
 
; Die Zugehörigkeit kann sich auch aus dem [[Ethernet#Das Typ-Feld (EtherType)|Paket-Typ]] ableiten und so zum Beispiel ein IPX/[[Sequenced Packet Exchange|SPX]]-Netz von einem TCP/IP-Netz trennen.
* Diese Technik ist heutzutage nicht mehr weit verbreitet, da TCP/IP in vielen Netzen alle anderen Protokolle abgelöst hat.
 
; Durch Dynamische VLANs kann zum Beispiel auch erreicht werden, dass ein mobiles Endgerät immer einem bestimmten VLAN angehört – unabhängig von der Netzdose, an die es angeschlossen wird.
* Eine andere Möglichkeit besteht darin, einen bestimmten Teil des Datenverkehrs wie zum Beispiel [[Voice over IP|VoIP]] aus Performance- oder Sicherheitsgründen (veraltet) in ein spezielles VLAN zu leiten.
 
=== Tagged-basiert ===
; Zuordnung der Endgeräte erfolgt nach bestimmten Kriterien bspw. nach MAC-Adresse
* Mehrere VLANs können über einen einzelnen Switch-Port genutzt werden.
* Mehrere VLANs können über einen einzelnen Switch-Port genutzt werden.
[[Datei:TaggedVLAN.jpg|mini|400px]]
[[Datei:TaggedVLAN.jpg|700px|thumb|right|Tagged-VLAN mit Trunk-Port 8]]
 
[[Datei:EthernetFrame.png|mini|Ethernet-Frame|400px]]
 
[[Datei:EthernetFrame VLANTag.png|mini|Ethernet-Frame mit VLAN-Tag|400px]]


[[Datei:EthernetFrame.png|thumb|border|center|950px|Ethernet-Frame]]
[[Datei:EthernetFrame VLANTag.png|thumb|border|center|950px|Ethernet-Frame mit VLAN-Tag]]
* Eine ''Markierung (Tag)'' im Frame des Pakets sorgt für die Zuweisung.
* Eine ''Markierung (Tag)'' im Frame des Pakets sorgt für die Zuweisung.
* Das Tag wird nach der MAC-Addresse des Absenders gesetzt und ist exakt vier Byte lang.
* Das Tag wird nach der MAC-Addresse des Absenders gesetzt und ist exakt vier Byte lang.
* Frames müssen getagged werden, damit der empfangene Switch bzw. der Router sie dem entsprechenden VLAN zuordnen kann.
* Frames müssen getagged werden, damit der empfangene Switch bzw. der Router sie dem entsprechenden VLAN zuordnen kann.


[[Datei:TagFrame.jpg|mini|400px|Genaue Darstellung des VLAN-Tags]]
[[Datei:TagFrame.jpg|thumb|border|center|850px|Genaue Darstellung des VLAN-Tags]]


* Erste Zwei Bytes sind für den TPI (Tag Protocol Identifier), zeigt an, ob überhaupt eine VLAN-ID angegeben wurde
* Erste Zwei Bytes sind für den TPI (Tag Protocol Identifier), zeigt an, ob überhaupt eine VLAN-ID angegeben wurde
* Nach TPI folgen drei Bit für die Priorität der Nachricht, dann folgt ein Bit für den CFI (Canonical Format Identifier), welches die Kompatibilät zwischen Ethernet und Token Ring gewährleistet
* Nach TPI folgen drei Bits für die Priorität der Nachricht, dann folgt ein Bit für den CFI (Canonical Format Identifier), welches die Kompatibilät zwischen Ethernet und Token Ring gewährleistet.
* Die letzten zwölf Bit sind für die eigentliche VLAN-ID bestimmt. Dadurch sind prinzipiell 4096 VLANs möglich
* Die letzten zwölf Bits sind für die eigentliche VLAN-ID bestimmt. Dadurch sind prinzipiell 4096 VLANs möglich.
 
= Anwendungen =
== TPLINK-T2600 ==
*In der Praxis benutzt man eine Kombination von portbasiertem und untagged VLAN.
*Die Clients, die in einem VLAN sein sollen, in einem portbasierten VLAN.
*Die Switch-Verbindungen als tagged markieren.
 
#Im Switch unter <code>VLAN -> 802.1q VLAN -> VLAN Config</code> aud ''Add''(hinzufügen) klicken
#Eine ''VLAN-ID-Nummer'' eingeben und einen Namen (Die ID-Nummer 1 ist belegt als System-VLAN.)
#Ports auswählen, die zum VLAN dazugehören sollen; als ''untagged'' markieren, deren Ports zu Rechnern gehören; als ''tagged'' markieren, deren Ports zu einer ''Trunk-Leitung'' gehören. Anschließend auf ''Create'' klicken.
#Unter <code>VLAN -> 802.1q VLAN -> Port Config</code> die entsprechenden Ports mit der VLAN-ID unter PVID einsetzen. Abschließend auf ''save'' klicken.


[[Datei:Ethernetpaket.svg|mini||400px| Heute fast ausschließlich verwendete Ethernet-Datenblockformat Ethernet-II nach IEEE 802.3 mit 802.1Q VLAN-Tag]]
[[Datei:Tp_link1.png|800px]]
[[Datei:Tp_link2.png|800px]]
[[Datei:Tp_link3.png|800px]]
[[Datei:Tp_link4.png|800px]]
[[Datei:Tp_link5.png|800px]]


; Die paketbasierten ''tagged VLANs'' stehen im Gegensatz zu den älteren markierungslosen, portbasierten VLANs.
* Der Ausdruck ''tagged'' leitet sich vom englischen Ausdruck ''material tags'' ab (Anhänger, mit denen Waren markiert werden).
* Es handelt sich also bei tagged VLANs um Netze, die Netzpakete verwenden, welche eine zusätzliche VLAN-Markierung tragen.


; Ein Tagging in VLANs kommt auch dann zum Einsatz, wenn sich VLANs z.&nbsp;B.&nbsp;über mehrere Switches hinweg erstrecken, etwa über Trunkports.
Wir wollen als Beispiel:
* Hier tragen die Frames eine Markierung, welche die Zugehörigkeit zum jeweiligen VLAN anzeigt.
*Zwei VLANs einrichten über zwei Switches
*Rechner in den VLANs können untereinander kommunizieren
*VLANs können sich nicht untereinander kommunizieren
*Beide VLANs gelangen ins Internet


; Durch die Tags werden VLAN-spezifische Informationen zum Frame hinzugefügt.
Hier eine beispielhafte Skizze:
* Zu dieser Gattung gehören die VLANs nach [[IEEE 802.1Q]], [[Shortest Path Bridging]], [[Cisco]]s [[Inter-Switch Link Protocol]] (ISL) oder auch [[3Com]]s VLT (Virtual LAN Trunk) Tagging.
[[Datei:VLANBeispiel.jpg|850px]]
* Damit die VLAN-Technik nach 802.1q auch für ältere Rechner und Systeme in einem Netz transparent bleibt, müssen Switches diese Tags bei Bedarf hinzufügen und auch wieder entfernen können.


; VLAN-Tag
Verwendet wird ein LAN-Kabel, der beide Switches verbindet. Der Router wird an eines der Switches verbunden.
Bei portbasierten VLANs (d.&nbsp;h. bei Paketen, die kein Tag besitzen) wird zum Weiterleiten eines Datenpakets über einen Trunk hinweg üblicherweise vor dem Einspeisen in den Trunk ein VLAN-Tag hinzugefügt, welches kennzeichnet, zu welchem VLAN das Paket gehört.  
Um alle Ziele zu erreichen, brauchen wir mind. 3 VLANs.
* Der Switch auf Empfängerseite muss dieses wieder entfernen.
* Bei tagged VLANs nach [[IEEE 802.1Q]] hingegen werden die Pakete entweder vom Endgerät (z.&nbsp;B.&nbsp;Tagging-fähigem Server) oder vom Switch am Einspeiseport mit dem Tag versehen.
* Daher kann ein Switch ein Paket ohne jegliche Änderung in einen Trunk einspeisen.
* Empfängt ein Switch auf einem VLT-Port (Trunkport) einen Frame mit VLAN-Tag nach IEEE 802.1Q, kann auch dieser es unverändert weiterleiten.
* Lediglich der Switch am Empfangsport muss unterscheiden, ob er ein Tagging-fähiges Endgerät beliefert (dann kann der Frame unverändert bleiben) oder ob es sich um ein nicht Tagging-fähiges Endgerät handelt, welches zu dem aktuellen VLAN gehört (dann ist das Tag zu entfernen).
* Hierzu muss die zugehörige VLAN-ID im Switch hinterlegt sein.  
* Da nach IEEE 802.1Q alle Pakete mit VLAN-Tags markiert sind, müssen einem Trunk entweder alle VLAN-IDs, die er weiterleiten soll, hinterlegt werden, oder er ist zur Weiterleitung aller VLANs konfiguriert.
* Werden Pakete ohne Tag auf einem Trunk-Port empfangen, können diese je nach Konfiguration entweder einem Default-VLAN zugeordnet werden (der Switch bringt das Tag nachträglich an), oder sie werden verworfen.


; Empfängt ein Switch auf einem seiner Ports z.&nbsp;B.&nbsp;von einem älteren Endgerät Pakete ohne VLAN-Tags (auch native Frames genannt), so muss er selbst für das Anbringen des Tags sorgen.
{| class="wikitable"
* Hierzu wird dem betreffenden Port entweder per Default oder per Management eine VLAN-ID zugeordnet
|+ VLAN Konfiguration-Parameter
* Der Switch, der das Paket ausliefert, muss analog verfahren, wenn das Zielsystem nicht mit Tags umgehen kann (das Tag muss entfernt werden)
| || VLAN 50 || VLAN 51 || VLAN 52
|-
| TL2600-18TS|| Port 1-3,9 || Port 1,4-9 || Port 1-9
|-
| TL2600-18TS || 1-3 || 1,4-8 || 1-8
|}


; Automatische Lernen
Für die einzelnen Ports an den Switches gelten folgende Regeln:
Das automatische Lernen der zu den VLTs (Trunkports) gehörenden Einstellungen ist heute Standard bei den meisten VLAN-fähigen Switches.
* Dabei muss ein Switch mit einem Mischbetrieb sowohl von Paketen, die keine Tags kennen und enthalten, als auch von Paketen, die bereits Tags besitzen, umgehen können.
* Das Erlernen der VLTs erfolgt analog zum Erlernen der MAC-Adressen: Empfängt der Switch ein Paket mit VLAN-ID, so ordnet er den Port zunächst diesem VLAN zu.
* Empfängt er an einem Port innerhalb kurzer Zeit Pakete mit unterschiedlichen VLAN-IDs, so wird dieser Port als VLT identifiziert und als Trunk genutzt.
* Einfache Switches (ohne Verwaltungsmöglichkeit) bilden üblicherweise ein zusätzliches ''natives VLAN'' für alle Pakete, die keine Tags enthalten.
* Solche Pakete werden meist belassen, wie sie sind
* Ein Trunkport wird hier wie ein normaler (Uplink-)Port behandelt
* Alternativ kann auch ein Default-Tag angefügt werden


; Trunk
{| class="wikitable"
Der Begriff ''Trunk'' wird im Unterschied zu VLT häufig auch mit einer ganz anderen Bedeutung verwendet, siehe auch [[Bündelung (Datenübertragung)]]
|+ Switch 1
|-
| Port || 1 || 2 || 3 || 4 || 5 || 6 || 7 || 8 || 9
|-
| Egress Rule || Tagged || Untagged || Untagged || Untagged || Untagged || Untagged || Untagged || Untagged || Untagged
|-
| PVID || 50 || 51 || 51 || 52 || 52 || 52 || 52 || 52 || 50
|}


; Sicherheit
{| class="wikitable"
Generell sollte man Sicherheit aber nicht mehr zu den Tagged-VLAN-Features zählen
|+ Switch 2
* Switches lassen sich auf zahlreichen Wegen kompromittieren, müssen folglich immer als unsicher eingestuft werden
|-
* Man kann aber auch direkt bei der Verkabelung ansetzen
| Port || 1 || 2 || 3 || 4 || 5 || 6 || 7 || 8
* Es gibt etwa Messklemmen als Zubehör zu Profi-Netzanalysegeräten, die äußerlich direkt an ein Kabel angeschlossen werden und das geringe elektromagnetische Feld messen
|-
* So kann völlig unbemerkt der gesamte über dieses Kabel laufende Datenverkehr mitgelesen und aufgezeichnet werden
| Egress Rule || Tagged || Untagged || Untagged || Untagged || Untagged || Untagged || Untagged || Untagged
* Dagegen hilft nur eine starke Kryptografie (z.&nbsp;B.&nbsp;mit [[IPsec]]), die manche LAN-Karten direkt in Hardware implementieren
|-
| PVID || 50 || 51 || 51 || 52 || 52 || 52 || 52 || 52
|}


== Vor- und Nachteile ==
== TPLINK-T2600 v1.0==
* Um Portbasiertes VLAN einzurichten, muss man die Ports die sich in einem VLAN befinden auf Untagged setzen und den Port zur Übertragung zum nächsten Switch auf Tagged setzen.
# Im Switch unter <code>VLAN -> 802.1q VLAN -> VLAN Config</code> auf ''Create''klicken.
# Eine ''VLAN-ID-Nummer'' eingeben und einen Namen (Die ID-Nummer 1 ist belegt als System-VLAN.)
# Ports auswählen, die zum VLAN dazugehören sollen; als ''untagged'' markieren, deren Ports zu Rechnern gehören; als ''tagged'' markieren, deren Ports zu einer ''Trunk-Leitung'' gehören. Anschließend auf ''Apply'' klicken.
# Unter <code>VLAN -> 802.1q VLAN -> Port Config</code> die entsprechenden Ports mit der VLAN-ID unter PVID einsetzen. Abschließend auf ''Apply'' klicken.
 
=== VLAN DHCP Relay ===
* Um jedes VLAN mit einem DHCP zu betanken muss man volgende Schritte erledigen.
# Im Switch unter <code>Routing -> DHCP Relay -> Global Config</code> DHCP Relay auf ''Anable''setzen.
# Anschliesend unter <code>Routing -> DHCP Relay -> DHCP VLAN Relay</code> ''Interface ID'' auf VLAN und 1 setzen. Unter ''IP Addresse'' die des Switches angeben.
# Jetzt noch unter ''DHCP Server List'' für jedes VLAN die IP-Adresse des DHCP Servers angeben.
 
=Vor- und Nachteile=
*Statisch
*Statisch
**Einfach zu erstellen und zu verwalten
**Einfach zu erstellen und zu verwalten
Zeile 218: Zeile 170:
**Ortsunabhängigkeit ist dadurch gegeben
**Ortsunabhängigkeit ist dadurch gegeben
**Administratoren können Änderungen im Netzwerk durchführen, ohne Ports umstecken oder den Switch zu konfigurieren
**Administratoren können Änderungen im Netzwerk durchführen, ohne Ports umstecken oder den Switch zu konfigurieren
**Switches, Router und Netzwerkarten müssen das VLAN-Tag verarbeiten können
**Switches, Router und Netzwerkarten müssen das VLAN-Tag verarbeiten können
 
 
= Prüfungsfragen =
==Wie heißen die beiden VLAN-Einrichtungstypen und was ist der Unterschied?==
* Statisches VLAN wird portbasiert eingerichtet. Jedes Endgerät am Port ist einem VLAN zugeordnet.
* Beim Dynamischen VLAN erfolgt die Zuordnung der Endgeräte nach Kriterien, z.b. MAC-Adresse oder Namen.
* siehe [[Netzwerke:VLAN#Statisch (Portbasiert)]]


== Zuordnung des Datenverkehrs ==
== Warum ist ein VLAN-Tag in den Frames nötig für die Übertragung ==
Die Zuordnung der Teilnetze zu einem VLAN kann statisch über Port-Zuordnung an den Switches erfolgen, über spezielle Markierungen an den Paketen (Tags) realisiert sein oder dynamisch erfolgen (zum Beispiel durch [[MAC-Adresse]]n, [[IP-Adresse]]n bis hin zu [[Transmission Control Protocol|TCP]]- und [[User Datagram Protocol|UDP]]-Ports und höheren Protokollen).  
* Frames müssen getagged werden, damit der empfangene Router bzw. Switch dem entsprechenden VLAN zuordnen kann.
* Ebenfalls ist eine Zuordnung eines Ports zu einem VLAN nach [[Authentifizierung]] des Anwenders z.&nbsp;B.&nbsp;mittels [[IEEE 802.1X|802.1X]] möglich.
* Zugeordnet werden die Frames nach der VLAN-ID im Tag.


Jedes VLAN bildet (wie ein normales, physisch separiertes Netzsegment) eine eigene Broadcast-Domäne.  
== Warum überhaupt VLAN´s? ==
* Um den Verkehr zwischen den VLANs transparent zu vermitteln, benötigt man einen [[Router]].  
* Zur Einrichtung logischer Gruppen
* Moderne Switches stellen diese Funktion intern zur Verfügung; man spricht dann von einem [[Layer-3-Switch]].
** Änderungen der Gruppenzugehörigkeit sind einfacher.
** Sicherheit durch Gruppen([[Netzwerke:IPv4:Subnetting|Subnetze]]) wird erhöht.
* Bessere Lastverteilung und weniger Kollisionsbereiche(Broadcastdomänen) sind dadurch möglich.


Die Überlegenheit von VLANs im Vergleich zur physischen Zuordnung zu verschiedenen [[Subnetz]]en basiert darauf, dass der Wechsel eines Clients von einem VLAN in ein anderes am Kopplungselement (Multilayerswitch, Router) geschehen kann, ohne dass eine physische Verbindung geändert werden muss.
==Wie viele VLAN´s kann man einrichten?==
* Der VLAN-Tag beinhaltet den VID(VLAN-Identifier) der 12 Bit lang ist.
* Somit können 4096 VLAN´s erstellt werden. Von VLAN-ID 0 bis VLAN-ID 4095
2<sup>12</sup> = 4096


== Verbindung von VLAN-Switches ==
'''Hinweis'''
Wenn sich ein VLAN über mehrere Switches erstreckt, ist zu deren Verbindung entweder für jedes VLAN ein eigener Link (Kabel) erforderlich, oder es kommen sogenannte VLAN-''Trunks'' (VLT) zum Einsatz.
In den meisten Fällen sind die VLAN-ID´s 0 und 4095 belegt und können nicht benutzt werden. Dann stehen nur 4094 VLAN´s zur Verfügung.
* Das Verfahren entspricht einem [[Multiplexverfahren#Asynchrones Verfahren|asynchronen Multiplexing]].
* Deshalb dient ein VLT dazu, Daten der unterschiedlichen VLANs über eine einzige Verbindung weiterzuleiten.  
* Hierzu können sowohl einzelne Ports als auch gebündelte Ports (siehe [[Link Aggregation]]) zum Einsatz kommen.


<noinclude>
==Auf welchem Gerätetyp bzw. auf welcher OSI-Schicht lassen sich VLAN´s einrichten?==
== Anhang ==
*Auf Switches lassen sich VLAN´s einrichten, sofern sie konfigurierbar sind.
=== Siehe auch ===
*Switches arbeiten auf der OSI-Schicht 2.
{{Special:PrefixIndex/Virtual Local Area Network}}
----
{{Special:PrefixIndex/VLAN}}


==== Dokumentation ====
==VLAN einrichten==
===== RFC =====
*Die Abteilungen Sportmedizin und Allgemeinmedizin sollen an das VLAN 1
*Die beiden Übrigen an das VLAN 2
*Ergänzen sie den VLAN-Plan indem sie
**in jeder Etage einen PC einzeichnen und diesen mit der entsprechenden Netzwerkkomponente verbinden.
**Server 1 und 2 mit der entsprechenden Netzwerkkomponente verbinden. Server 1 soll ins VLAN 1, Server 2 ins VLAN 2
[[Datei:VLANPlan.png|frame|center|border|VLAN-Plan]]


==== Links ====
==Bildung von VLANs==
===== Weblinks =====
*Auf den Switches sollen VLANs gebildet werden.
# [https://heise.de/-221621 ''VLAN: Virtuelles LAN, Netze schützen mit VLANs''] bei Heise
*Alle Switches unterstützen VLAN-Tagging nach IEEE 802.1q.
# [https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen VLAN Grundlagen.] Thomas Krenn Wiki (mit schematischen Abbildungen)
*Die Netzwerkkarten der Arbeitsstationen nicht.
# [https://web.archive.org/web/20130601193348/https://www.javvin.com/protocolGVRP.html GARP (Generic Attribute Registration Protocol) VLAN Registration Protocol]
*'''Erläutern Sie, ob unter diesen Vorraussetzungen VLANs realisiert werden können.'''
*Kleiner Tip: Antwort lautet JA.


=== Testfragen ===
=Links=
[[VLAN/Testfragen]]
==Intern==
#[[Netzwerke:IPv4:Subnetting|Subnetting]]


[[Kategorie:VLAN]]
==Weblinks==
# https://de.wikipedia.org/wiki/Virtual_Local_Area_Network
# https://www.ionos.de/digitalguide/server/knowhow/vlan-grundlagen/
# https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen
# https://www.tp-link.com/us/support/faq/788/


</noinclude>
[[Category:Netzwerke]]

Version vom 23. Juni 2024, 04:33 Uhr

VLANs (Virtual Local Area Network) unterteilen ein physisches Netzwerk in mehrere logische Netzwerke. So bildet jedes VLAN eine eigene Broadcast-Domain.

Eigenschaften & Vorraussetzungen

  • Sind in eigene Subnetze eingeteilt.
  • Kommunikation zwischen VLANs ist nur über einen Router möglich, der die VLANs verbindet.
  • Konfigurierbare Switches mit VLAN-Unterstützung.

Gründe für VLAN

  • Einrichtung in logischen Gruppen innerhalb des physikalischen Netzes möglich
  • Höhere Flexibilität durch einfache Änderung von Gruppenzugehörigkeit
  • Einfachere Konfiguration der Software für die Gruppen
  • Erhöhte Sicherheit durch Gruppierung(Subnetz-Bildung)
  • Kleinere Broadcastdomänen
  • Priorisierung des Datenverkehrs möglich
  • Bessere Lastverteilung möglich

VLAN-Typen

Statisch (Portbasiert)

Einteilung in VLAN´s
Portbasiertes VLAN
  • Einen physischen Switch in mehrere logische Switches unterteilen
  • Einzelne Ports werden einem VLAN zugeordnet
  • Jedes Endgerät an einem Port, gehört zu einem VLAN
Switch A
Switch-Port VLAN ID angeschlossenes Gerät
1 1 PCA1
2 1 PCA2
3 - -
4 1 Verbindung zu Switch-B Port 4
5 2 PCA5
6 2 PCA6
7 - -
8 2 Verbindung zu Switch-B Port 8
  • Mithilfe mehrerer Switches kann man mehr Rechner in einem VLAN einbinden
  • Allerdings benötigt man für jedes VLAN eine eigene Verbindung
Switch B
Switch-Port VLAN ID angeschlossenes Gerät
1 1 PCB1
2 1 PCB2
3 - -
4 1 Verbindung zu Switch-A Port 4
5 2 PCB5
6 2 PCB6
7 - -
8 2 Verbindung zu Switch-B Port 8

Dynamisch (Tagged-basiert)

  • Zuordnung der Endgeräte erfolgt nach bestimmten Kriterien bspw. nach MAC-Adresse
  • Mehrere VLANs können über einen einzelnen Switch-Port genutzt werden.
Tagged-VLAN mit Trunk-Port 8
Ethernet-Frame
Ethernet-Frame mit VLAN-Tag
  • Eine Markierung (Tag) im Frame des Pakets sorgt für die Zuweisung.
  • Das Tag wird nach der MAC-Addresse des Absenders gesetzt und ist exakt vier Byte lang.
  • Frames müssen getagged werden, damit der empfangene Switch bzw. der Router sie dem entsprechenden VLAN zuordnen kann.
Genaue Darstellung des VLAN-Tags
  • Erste Zwei Bytes sind für den TPI (Tag Protocol Identifier), zeigt an, ob überhaupt eine VLAN-ID angegeben wurde
  • Nach TPI folgen drei Bits für die Priorität der Nachricht, dann folgt ein Bit für den CFI (Canonical Format Identifier), welches die Kompatibilät zwischen Ethernet und Token Ring gewährleistet.
  • Die letzten zwölf Bits sind für die eigentliche VLAN-ID bestimmt. Dadurch sind prinzipiell 4096 VLANs möglich.

Anwendungen

TPLINK-T2600

  • In der Praxis benutzt man eine Kombination von portbasiertem und untagged VLAN.
  • Die Clients, die in einem VLAN sein sollen, in einem portbasierten VLAN.
  • Die Switch-Verbindungen als tagged markieren.
  1. Im Switch unter VLAN -> 802.1q VLAN -> VLAN Config aud Add(hinzufügen) klicken
  2. Eine VLAN-ID-Nummer eingeben und einen Namen (Die ID-Nummer 1 ist belegt als System-VLAN.)
  3. Ports auswählen, die zum VLAN dazugehören sollen; als untagged markieren, deren Ports zu Rechnern gehören; als tagged markieren, deren Ports zu einer Trunk-Leitung gehören. Anschließend auf Create klicken.
  4. Unter VLAN -> 802.1q VLAN -> Port Config die entsprechenden Ports mit der VLAN-ID unter PVID einsetzen. Abschließend auf save klicken.


Wir wollen als Beispiel:

  • Zwei VLANs einrichten über zwei Switches
  • Rechner in den VLANs können untereinander kommunizieren
  • VLANs können sich nicht untereinander kommunizieren
  • Beide VLANs gelangen ins Internet

Hier eine beispielhafte Skizze:

Verwendet wird ein LAN-Kabel, der beide Switches verbindet. Der Router wird an eines der Switches verbunden. Um alle Ziele zu erreichen, brauchen wir mind. 3 VLANs.

VLAN Konfiguration-Parameter
VLAN 50 VLAN 51 VLAN 52
TL2600-18TS Port 1-3,9 Port 1,4-9 Port 1-9
TL2600-18TS 1-3 1,4-8 1-8

Für die einzelnen Ports an den Switches gelten folgende Regeln:

Switch 1
Port 1 2 3 4 5 6 7 8 9
Egress Rule Tagged Untagged Untagged Untagged Untagged Untagged Untagged Untagged Untagged
PVID 50 51 51 52 52 52 52 52 50
Switch 2
Port 1 2 3 4 5 6 7 8
Egress Rule Tagged Untagged Untagged Untagged Untagged Untagged Untagged Untagged
PVID 50 51 51 52 52 52 52 52

TPLINK-T2600 v1.0

  • Um Portbasiertes VLAN einzurichten, muss man die Ports die sich in einem VLAN befinden auf Untagged setzen und den Port zur Übertragung zum nächsten Switch auf Tagged setzen.
  1. Im Switch unter VLAN -> 802.1q VLAN -> VLAN Config auf Createklicken.
  2. Eine VLAN-ID-Nummer eingeben und einen Namen (Die ID-Nummer 1 ist belegt als System-VLAN.)
  3. Ports auswählen, die zum VLAN dazugehören sollen; als untagged markieren, deren Ports zu Rechnern gehören; als tagged markieren, deren Ports zu einer Trunk-Leitung gehören. Anschließend auf Apply klicken.
  4. Unter VLAN -> 802.1q VLAN -> Port Config die entsprechenden Ports mit der VLAN-ID unter PVID einsetzen. Abschließend auf Apply klicken.

VLAN DHCP Relay

  • Um jedes VLAN mit einem DHCP zu betanken muss man volgende Schritte erledigen.
  1. Im Switch unter Routing -> DHCP Relay -> Global Config DHCP Relay auf Anablesetzen.
  2. Anschliesend unter Routing -> DHCP Relay -> DHCP VLAN Relay Interface ID auf VLAN und 1 setzen. Unter IP Addresse die des Switches angeben.
  3. Jetzt noch unter DHCP Server List für jedes VLAN die IP-Adresse des DHCP Servers angeben.

Vor- und Nachteile

  • Statisch
    • Einfach zu erstellen und zu verwalten
    • Sinnvoll für fest eingeplante VLAN-Segmente
    • Unflexibel für veränderbare Netze
  • Dynamisch
    • Flexibel und besser anpassbar an neue Gegebenheiten
    • Ortsunabhängigkeit ist dadurch gegeben
    • Administratoren können Änderungen im Netzwerk durchführen, ohne Ports umstecken oder den Switch zu konfigurieren
    • Switches, Router und Netzwerkarten müssen das VLAN-Tag verarbeiten können


Prüfungsfragen

Wie heißen die beiden VLAN-Einrichtungstypen und was ist der Unterschied?

  • Statisches VLAN wird portbasiert eingerichtet. Jedes Endgerät am Port ist einem VLAN zugeordnet.
  • Beim Dynamischen VLAN erfolgt die Zuordnung der Endgeräte nach Kriterien, z.b. MAC-Adresse oder Namen.
  • siehe Netzwerke:VLAN#Statisch (Portbasiert)

Warum ist ein VLAN-Tag in den Frames nötig für die Übertragung

  • Frames müssen getagged werden, damit der empfangene Router bzw. Switch dem entsprechenden VLAN zuordnen kann.
  • Zugeordnet werden die Frames nach der VLAN-ID im Tag.

Warum überhaupt VLAN´s?

  • Zur Einrichtung logischer Gruppen
    • Änderungen der Gruppenzugehörigkeit sind einfacher.
    • Sicherheit durch Gruppen(Subnetze) wird erhöht.
  • Bessere Lastverteilung und weniger Kollisionsbereiche(Broadcastdomänen) sind dadurch möglich.

Wie viele VLAN´s kann man einrichten?

  • Der VLAN-Tag beinhaltet den VID(VLAN-Identifier) der 12 Bit lang ist.
  • Somit können 4096 VLAN´s erstellt werden. Von VLAN-ID 0 bis VLAN-ID 4095
212 = 4096

Hinweis 

In den meisten Fällen sind die VLAN-ID´s 0 und 4095 belegt und können nicht benutzt werden. Dann stehen nur 4094 VLAN´s zur Verfügung.

Auf welchem Gerätetyp bzw. auf welcher OSI-Schicht lassen sich VLAN´s einrichten?

  • Auf Switches lassen sich VLAN´s einrichten, sofern sie konfigurierbar sind.
  • Switches arbeiten auf der OSI-Schicht 2.

VLAN einrichten

  • Die Abteilungen Sportmedizin und Allgemeinmedizin sollen an das VLAN 1
  • Die beiden Übrigen an das VLAN 2
  • Ergänzen sie den VLAN-Plan indem sie
    • in jeder Etage einen PC einzeichnen und diesen mit der entsprechenden Netzwerkkomponente verbinden.
    • Server 1 und 2 mit der entsprechenden Netzwerkkomponente verbinden. Server 1 soll ins VLAN 1, Server 2 ins VLAN 2
VLAN-Plan

Bildung von VLANs

  • Auf den Switches sollen VLANs gebildet werden.
  • Alle Switches unterstützen VLAN-Tagging nach IEEE 802.1q.
  • Die Netzwerkkarten der Arbeitsstationen nicht.
  • Erläutern Sie, ob unter diesen Vorraussetzungen VLANs realisiert werden können.
  • Kleiner Tip: Antwort lautet JA.

Links

Intern

  1. Subnetting

Weblinks

  1. https://de.wikipedia.org/wiki/Virtual_Local_Area_Network
  2. https://www.ionos.de/digitalguide/server/knowhow/vlan-grundlagen/
  3. https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen
  4. https://www.tp-link.com/us/support/faq/788/
Abgerufen von „https://wiki.foxtom.de/index.php?title=Virtual_Local_Area_Network&oldid=102441