Virtual Local Area Network
Ein Virtual Local Area Network (VLAN) unterteilen ein physikalisches Netzwerk in mehrere logische Netzwerke
Beschreibung
Ein Virtual Local Area Network (VLAN) ist ein logisches Teilnetz (Netzsegment) innerhalb eines Switches bzw. eines gesamten physischen Netzes.
- Es kann sich über mehrere Switches hinweg ausdehnen.
- Ein VLAN trennt physische Netze in Teilnetze auf, indem es dafür sorgt, dass VLAN-fähige Switches Frames (Datenpakete) nicht in ein anderes VLAN weiterleiten (obwohl die Teilnetze an gemeinsamen Switches angeschlossen sein können).
- Sind in eigene Subnetze eingeteilt.
- So bildet jedes VLAN eine eigene Broadcast-Domain.
- Kommunikation zwischen VLANs ist nur über einen Router möglich, der die VLANs verbindet.
- Konfigurierbare Switches mit VLAN-Unterstützung.
Motivation
Lokale Netze werden heute üblicherweise mit Hilfe von aktiven Komponenten aufgebaut, die auf OSI-Ebene 2 arbeiten.
- In der Regel sind diese Komponenten Switches.
- Durch die heute gängigen Switch-Implementierungen, welche die Anschlüsse üblicherweise im Vollduplex-Modus betreiben und kollisionsfrei arbeiten, können auch sehr große, aber dennoch performante LANs mit einigen hundert oder tausend Stationen aufgebaut werden.
Eine Unterteilung solcher Netze kann grundsätzlich aus mehreren Gründen wünschenswert sein:
- Flexibilität
- bei der Zuordnung von Endgeräten zu Netzsegmenten, unabhängig vom Standort der Basisstation.
- Performance-Aspekte
- So kann etwa ein bestimmter Datenverkehr wie VoIP in einem VLAN erfolgen, das bei der Übertragung priorisiert wird.
- Häufig möchte man jedoch einfach nur Broadcast-Domänen verkleinern, damit sich Broadcasts nicht über das gesamte Netz ausbreiten.
- Sicherheitsaspekte
- VLANs können Netze gegen Ausspionieren und Abhören besser absichern als Switch-basierte Netze.
- Switch-basierten Netzen wurde früher ein Sicherheitsvorteil zugesprochen; dieser ist heute de facto nicht mehr gegeben, da für sie eine Vielzahl von Angriffsmöglichkeiten existieren wie zum Beispiel MAC-Flooding oder MAC-Spoofing.
- VLANs hingegen sind robuster, da zur Verbindung der VLANs Router zum Einsatz kommen, die gegen Layer-2-Attacken systembedingt unempfindlich sind.
- Zusätzlich bietet Routing die Möglichkeit, Firewalls auf Layer-3-Basis einzusetzen, wodurch sich eine größere Auswahl an Firewallsystemen erschließt (denn Layer-2-basierte Firewalls sind vergleichsweise selten).
- Vorsicht ist aber besonders bei dynamischen VLANs bzw. bei Systemen geboten, die im automatischen Lernmodus (siehe Switch-Typen) arbeiten.
- Diese lassen sich analog zu Switches ebenfalls kompromittieren und können so den vorgesehenen Sicherheitsgewinn von VLAN-Implementierungen unwirksam machen.
Die beiden letztgenannten Aspekte könnten auch durch eine entsprechende Verkabelung und den Einsatz mehrerer Switches und Router erreicht werden.
- Durch den Einsatz von VLANs lässt sich dies jedoch unabhängig von der meist vorhandenen und nur mit großem Aufwand erweiterbaren physischen Verkabelung verwirklichen, was neben einer erhöhten Flexibilität auch wirtschaftlich sinnvoll sein kann: VLAN-fähige Geräte sind zwar durchaus teurer, ersetzen unter Umständen aber mehrere Einzelgeräte.
- Einrichtung in logischen Gruppen innerhalb des physikalischen Netzes möglich
- Höhere Flexibilität durch einfache Änderung von Gruppenzugehörigkeit
- Einfachere Konfiguration der Software für die Gruppen
- Erhöhte Sicherheit durch Gruppierung(Subnetz-Bildung)
- Kleinere Broadcastdomänen
- Priorisierung des Datenverkehrs möglich
- Bessere Lastverteilung möglich
VLAN-Typen
Statisch (Portbasiert)
- Einen physischen Switch in mehrere logische Switches unterteilen
- Einzelne Ports werden einem VLAN zugeordnet
- Jedes Endgerät an einem Port, gehört zu einem VLAN
| Switch-Port | VLAN ID | angeschlossenes Gerät |
|---|---|---|
| 1 | 1 | PCA1 |
| 2 | 1 | PCA2 |
| 3 | - | - |
| 4 | 1 | Verbindung zu Switch-B Port 4 |
| 5 | 2 | PCA5 |
| 6 | 2 | PCA6 |
| 7 | - | - |
| 8 | 2 | Verbindung zu Switch-B Port 8 |
- Mithilfe mehrerer Switches kann man mehr Rechner in einem VLAN einbinden
- Allerdings benötigt man für jedes VLAN eine eigene Verbindung
| Switch-Port | VLAN ID | angeschlossenes Gerät |
|---|---|---|
| 1 | 1 | PCB1 |
| 2 | 1 | PCB2 |
| 3 | - | - |
| 4 | 1 | Verbindung zu Switch-A Port 4 |
| 5 | 2 | PCB5 |
| 6 | 2 | PCB6 |
| 7 | - | - |
| 8 | 2 | Verbindung zu Switch-B Port 8 |
Dynamisch (Tagged-basiert)
- Zuordnung der Endgeräte erfolgt nach bestimmten Kriterien bspw. nach MAC-Adresse
- Mehrere VLANs können über einen einzelnen Switch-Port genutzt werden.
- Eine Markierung (Tag) im Frame des Pakets sorgt für die Zuweisung.
- Das Tag wird nach der MAC-Addresse des Absenders gesetzt und ist exakt vier Byte lang.
- Frames müssen getagged werden, damit der empfangene Switch bzw. der Router sie dem entsprechenden VLAN zuordnen kann.
- Erste Zwei Bytes sind für den TPI (Tag Protocol Identifier), zeigt an, ob überhaupt eine VLAN-ID angegeben wurde
- Nach TPI folgen drei Bits für die Priorität der Nachricht, dann folgt ein Bit für den CFI (Canonical Format Identifier), welches die Kompatibilät zwischen Ethernet und Token Ring gewährleistet.
- Die letzten zwölf Bits sind für die eigentliche VLAN-ID bestimmt. Dadurch sind prinzipiell 4096 VLANs möglich.
Vor- und Nachteile
- Statisch
- Einfach zu erstellen und zu verwalten
- Sinnvoll für fest eingeplante VLAN-Segmente
- Unflexibel für veränderbare Netze
- Dynamisch
- Flexibel und besser anpassbar an neue Gegebenheiten
- Ortsunabhängigkeit ist dadurch gegeben
- Administratoren können Änderungen im Netzwerk durchführen, ohne Ports umstecken oder den Switch zu konfigurieren
- Switches, Router und Netzwerkarten müssen das VLAN-Tag verarbeiten können
Anwendungen
Fehlerbehebung
Syntax
Optionen
Parameter
Umgebungsvariablen
Exit-Status
Konfiguration
Dateien
Sicherheit
Dokumentation
RFC
Man-Pages
Info-Pages
Siehe auch
Links
Projekt-Homepage
Weblinks
- VLAN: Virtuelles LAN, Netze schützen mit VLANs bei Heise
- VLAN Grundlagen. Thomas Krenn Wiki (mit schematischen Abbildungen)
- GARP (Generic Attribute Registration Protocol) VLAN Registration Protocol (Webarchiv, englisch)
Einzelnachweise
Testfragen
Testfrage 1
Antwort1
Testfrage 2
Antwort2
Testfrage 3
Antwort3
Testfrage 4
Antwort4
Testfrage 5
Antwort5
TMP
Anwendung
TPLINK-T2600
- In der Praxis benutzt man eine Kombination von portbasiertem und untagged VLAN.
- Die Clients, die in einem VLAN sein sollen, in einem portbasierten VLAN.
- Die Switch-Verbindungen als tagged markieren.
- Im Switch unter
VLAN -> 802.1q VLAN -> VLAN Configaud Add(hinzufügen) klicken - Eine VLAN-ID-Nummer eingeben und einen Namen (Die ID-Nummer 1 ist belegt als System-VLAN.)
- Ports auswählen, die zum VLAN dazugehören sollen; als untagged markieren, deren Ports zu Rechnern gehören; als tagged markieren, deren Ports zu einer Trunk-Leitung gehören. Anschließend auf Create klicken.
- Unter
VLAN -> 802.1q VLAN -> Port Configdie entsprechenden Ports mit der VLAN-ID unter PVID einsetzen. Abschließend auf save klicken.
Wir wollen als Beispiel:
- Zwei VLANs einrichten über zwei Switches
- Rechner in den VLANs können untereinander kommunizieren
- VLANs können sich nicht untereinander kommunizieren
- Beide VLANs gelangen ins Internet
Verwendet wird ein LAN-Kabel, der beide Switches verbindet. Der Router wird an eines der Switches verbunden. Um alle Ziele zu erreichen, brauchen wir mind. 3 VLANs.
| VLAN 50 | VLAN 51 | VLAN 52 | |
| TL2600-18TS | Port 1-3,9 | Port 1,4-9 | Port 1-9 |
| TL2600-18TS | 1-3 | 1,4-8 | 1-8 |
Für die einzelnen Ports an den Switches gelten folgende Regeln:
| Port | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| Egress Rule | Tagged | Untagged | Untagged | Untagged | Untagged | Untagged | Untagged | Untagged | Untagged |
| PVID | 50 | 51 | 51 | 52 | 52 | 52 | 52 | 52 | 50 |
| Port | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| Egress Rule | Tagged | Untagged | Untagged | Untagged | Untagged | Untagged | Untagged | Untagged |
| PVID | 50 | 51 | 51 | 52 | 52 | 52 | 52 | 52 |
TPLINK-T2600 v1.0
- Um Portbasiertes VLAN einzurichten, muss man die Ports die sich in einem VLAN befinden auf Untagged setzen und den Port zur Übertragung zum nächsten Switch auf Tagged setzen.
- Im Switch unter
VLAN -> 802.1q VLAN -> VLAN Configauf Createklicken. - Eine VLAN-ID-Nummer eingeben und einen Namen (Die ID-Nummer 1 ist belegt als System-VLAN.)
- Ports auswählen, die zum VLAN dazugehören sollen; als untagged markieren, deren Ports zu Rechnern gehören; als tagged markieren, deren Ports zu einer Trunk-Leitung gehören. Anschließend auf Apply klicken.
- Unter
VLAN -> 802.1q VLAN -> Port Configdie entsprechenden Ports mit der VLAN-ID unter PVID einsetzen. Abschließend auf Apply klicken.
VLAN DHCP Relay
- Um jedes VLAN mit einem DHCP zu betanken muss man volgende Schritte erledigen.
- Im Switch unter
Routing -> DHCP Relay -> Global ConfigDHCP Relay auf Anablesetzen. - Anschliesend unter
Routing -> DHCP Relay -> DHCP VLAN RelayInterface ID auf VLAN und 1 setzen. Unter IP Addresse die des Switches angeben. - Jetzt noch unter DHCP Server List für jedes VLAN die IP-Adresse des DHCP Servers angeben.
Prüfungsfragen
Wie heißen die beiden VLAN-Einrichtungstypen und was ist der Unterschied?
- Statisches VLAN wird portbasiert eingerichtet. Jedes Endgerät am Port ist einem VLAN zugeordnet.
- Beim Dynamischen VLAN erfolgt die Zuordnung der Endgeräte nach Kriterien, z.b. MAC-Adresse oder Namen.
- siehe Netzwerke:VLAN#Statisch (Portbasiert)
Warum ist ein VLAN-Tag in den Frames nötig für die Übertragung
- Frames müssen getagged werden, damit der empfangene Router bzw. Switch dem entsprechenden VLAN zuordnen kann.
- Zugeordnet werden die Frames nach der VLAN-ID im Tag.
Warum überhaupt VLAN´s?
- Zur Einrichtung logischer Gruppen
- Änderungen der Gruppenzugehörigkeit sind einfacher.
- Sicherheit durch Gruppen(Subnetze) wird erhöht.
- Bessere Lastverteilung und weniger Kollisionsbereiche(Broadcastdomänen) sind dadurch möglich.
Wie viele VLAN´s kann man einrichten?
- Der VLAN-Tag beinhaltet den VID(VLAN-Identifier) der 12 Bit lang ist.
- Somit können 4096 VLAN´s erstellt werden. Von VLAN-ID 0 bis VLAN-ID 4095
212 = 4096
Hinweis
In den meisten Fällen sind die VLAN-ID´s 0 und 4095 belegt und können nicht benutzt werden. Dann stehen nur 4094 VLAN´s zur Verfügung.
Auf welchem Gerätetyp bzw. auf welcher OSI-Schicht lassen sich VLAN´s einrichten?
- Auf Switches lassen sich VLAN´s einrichten, sofern sie konfigurierbar sind.
- Switches arbeiten auf der OSI-Schicht 2.
VLAN einrichten
- Die Abteilungen Sportmedizin und Allgemeinmedizin sollen an das VLAN 1
- Die beiden Übrigen an das VLAN 2
- Ergänzen sie den VLAN-Plan indem sie
- in jeder Etage einen PC einzeichnen und diesen mit der entsprechenden Netzwerkkomponente verbinden.
- Server 1 und 2 mit der entsprechenden Netzwerkkomponente verbinden. Server 1 soll ins VLAN 1, Server 2 ins VLAN 2
Bildung von VLANs
- Auf den Switches sollen VLANs gebildet werden.
- Alle Switches unterstützen VLAN-Tagging nach IEEE 802.1q.
- Die Netzwerkkarten der Arbeitsstationen nicht.
- Erläutern Sie, ob unter diesen Vorraussetzungen VLANs realisiert werden können.
- Kleiner Tip: Antwort lautet JA.
Wikipedia
Zuordnung von Datenverkehr zu VLANs
Die Zuordnung der Teilnetze zu einem VLAN kann statisch über Portzuordnung an den Switches erfolgen, über spezielle Markierungen an den Paketen (Tags) realisiert sein oder dynamisch erfolgen (zum Beispiel durch MAC-Adressen, IP-Adressen bis hin zu TCP- und UDP-Ports und höheren Protokollen).
- Ebenfalls ist eine Zuordnung eines Ports zu einem VLAN nach Authentifizierung des Anwenders z. B. mittels 802.1X möglich.
Jedes VLAN bildet (wie ein normales, physisch separiertes Netzsegment) eine eigene Broadcast-Domäne.
- Um den Verkehr zwischen den VLANs transparent zu vermitteln, benötigt man einen Router.
- Moderne Switches stellen diese Funktion intern zur Verfügung; man spricht dann von einem Layer-3-Switch.
Die Überlegenheit von VLANs im Vergleich zur physischen Zuordnung zu verschiedenen Subnetzen basiert darauf, dass der Wechsel eines Clients von einem VLAN in ein anderes am Kopplungselement (Multilayerswitch, Router) geschehen kann, ohne dass eine physische Verbindung geändert werden muss.
Verbindung von VLAN-Switches
Wenn sich ein VLAN über mehrere Switches erstreckt, ist zu deren Verbindung entweder für jedes VLAN ein eigener Link (Kabel) erforderlich, oder es kommen sogenannte VLAN-Trunks (VLT) zum Einsatz.
- Das Verfahren entspricht einem asynchronen Multiplexing.
- Deshalb dient ein VLT dazu, Daten der unterschiedlichen VLANs über eine einzige Verbindung weiterzuleiten.
- Hierzu können sowohl einzelne Ports als auch gebündelte Ports (siehe Link Aggregation) zum Einsatz kommen.
Zuordnung einer VLAN-ID
Statische VLANs
Hier wird einem Port eines Switches fest eine VLAN-Konfiguration zugeordnet.
- Er gehört dann zu einem Port-basierten VLAN, zu einem untagged VLAN oder er ist ein Port, der zu mehreren VLANs gehört.
- Die Konfiguration eines Ports ist bei statischen VLANs fest durch den Administrator vorgegeben.
- Sie hängt nicht vom Inhalt der Pakete ab und steht im Gegensatz zu den dynamischen VLANs unveränderlich fest.
- Damit ist eine Kommunikation des Endgerätes an einem Port nur noch mit den zugeordneten VLANs möglich.
- Gehört ein Port zu mehreren VLANs, ist er ein VLAN-Trunk und dient dann meist zur Ausdehnung der VLANs über mehrere Switches hinweg.
Durch die Möglichkeit, einen Port mehreren VLANs zuzuordnen, können zum Beispiel auch Router und Server über einen einzelnen Anschluss an mehrere VLANs angebunden werden, ohne dass für jedes Teilnetz eine physische Netzschnittstelle vorhanden sein muss.
- Somit kann ein einzelnes Gerät – auch ohne Router – seine Dienste in mehreren VLANs anbieten, ohne dass die Stationen der verschiedenen VLANs miteinander kommunizieren können.
Diese VLAN-Trunks dürfen nicht mit den Trunks im Sinne von Link Aggregation verwechselt werden, bei denen mehrere physische Übertragungswege zur Durchsatzsteigerung gebündelt werden.
Dynamische VLANs
Bei der dynamischen Implementierung eines VLANs wird die Zugehörigkeit eines Frames zu einem VLAN anhand bestimmter Inhalte des Frames getroffen.
- Da sich alle Inhalte von Frames praktisch beliebig manipulieren lassen, sollte in sicherheitsrelevanten Einsatzbereichen auf den Einsatz von dynamischen VLANs verzichtet werden. Dynamische VLANs stehen im Gegensatz zu den statischen VLANs.
- Die Zugehörigkeit kann beispielsweise auf der Basis der MAC- oder IP-Adressen geschehen, auf Basis der Protokoll-Typen (z. B. 0x809B Apple EtherTalk, 0x8137: Novell IPX, 0x0800: IPv4 oder 0x88AD: XiMeta LPX) oder auch auf Anwendungsebene nach den TCP-/UDP-Portnummern (Portnummer 53: DNS, 80: HTTP, 3128: Squid Proxy).
- In der Wirkung entspricht dies einer automatisierten Zuordnung eines Switchports zu einem VLAN.
Die Zugehörigkeit kann sich auch aus dem Paket-Typ ableiten und so zum Beispiel ein IPX/SPX-Netz von einem TCP/IP-Netz trennen.
- Diese Technik ist heutzutage nicht mehr weit verbreitet, da TCP/IP in vielen Netzen alle anderen Protokolle abgelöst hat.
Durch Dynamische VLANs kann zum Beispiel auch erreicht werden, dass ein mobiles Endgerät immer einem bestimmten VLAN angehört – unabhängig von der Netzdose, an die es angeschlossen wird.
- Eine andere Möglichkeit besteht darin, einen bestimmten Teil des Datenverkehrs wie zum Beispiel VoIP aus Performance- oder Sicherheitsgründen (veraltet) in ein spezielles VLAN zu leiten.