Virtual Local Area Network

Aus Foxwiki

VLANs (Virtual Local Area Network) unterteilen ein physisches Netzwerk in mehrere logische Netzwerke. So bildet jedes VLAN eine eigene Broadcast-Domain.

Eigenschaften & Vorraussetzungen

  • Sind in eigene Subnetze eingeteilt.
  • Kommunikation zwischen VLANs ist nur über einen Router möglich, der die VLANs verbindet.
  • Konfigurierbare Switches mit VLAN-Unterstützung.

Gründe für VLAN

  • Einrichtung in logischen Gruppen innerhalb des physikalischen Netzes möglich
  • Höhere Flexibilität durch einfache Änderung von Gruppenzugehörigkeit
  • Einfachere Konfiguration der Software für die Gruppen
  • Erhöhte Sicherheit durch Gruppierung(Subnetz-Bildung)
  • Weniger Kollisionsbereiche (Broadcastdomänen)
  • Priorisierung des Daenverkehrs möglich
  • Bessere Lastverteilung möglich

VLAN-Typen

Statisch (Portbasiert)

Einteilung in VLAN´s
Portbasiertes VLAN
  • Einen physischen Switch in mehrere logische Switches unterteilen
  • Einzelne Ports werden einem VLAN zugeordnet
  • Jedes Endgerät an einem Port, gehört zu einem VLAN
Switch A
Switch-Port VLAN ID angeschlossenes Gerät
1 1 PCA1
2 1 PCA2
3 - -
4 1 Verbindung zu Switch-B Port 4
5 2 PCA5
6 2 PCA6
7 - -
8 2 Verbindung zu Switch-B Port 8
  • Mithilfe mehrerer Switches kann man mehr Rechner in einem VLAN einbinden
  • Allerdings benötigt man für jedes VLAN eine eigene Verbindung
Switch B
Switch-Port VLAN ID angeschlossenes Gerät
1 1 PCB1
2 1 PCB2
3 - -
4 1 Verbindung zu Switch-A Port 4
5 2 PCB5
6 2 PCB6
7 - -
8 2 Verbindung zu Switch-B Port 8

Dynamisch (Tagged-basiert)

  • Zuordnung der Endgeräte erfolgt nach bestimmten Kriterien bspw. nach MAC-Adresse
  • Mehrere VLANs können über einen einzelnen Switch-Port genutzt werden.
Tagged-VLAN mit Trunk-Port 8
Ethernet-Frame
Ethernet-Frame mit VLAN-Tag
  • Eine Markierung (Tag) im Frame des Pakets sorgt für die Zuweisung.
  • Das Tag wird nach der MAC-Addresse des Absenders gesetzt und ist exakt vier Byte lang.
  • Frames müssen getagged werden, damit der empfangene Switch bzw. der Router sie dem entsprechenden VLAN zuordnen kann.
Genaue Darstellung des VLAN-Tags
  • Erste Zwei Bytes sind für den TPI (Tag Protocol Identifier), zeigt an, ob überhaupt eine VLAN-ID angegeben wurde
  • Nach TPI folgen drei Bits für die Priorität der Nachricht, dann folgt ein Bit für den CFI (Canonical Format Identifier), welches die Kompatibilät zwischen Ethernet und Token Ring gewährleistet.
  • Die letzten zwölf Bits sind für die eigentliche VLAN-ID bestimmt. Dadurch sind prinzipiell 4096 VLANs möglich.

Anwendungen

TPLINK-T2600

  • In der Praxis benutzt man eine Kombination von portbasiertem und untagged VLAN.
  • Die Clients, die in einem VLAN sein sollen, in einem portbasierten VLAN.
  • Die Switch-Verbindungen als tagged markieren.
  1. Im Switch unter VLAN -> 802.1q VLAN -> VLAN Config aud Add(hinzufügen) klicken
  2. Eine VLAN-ID-Nummer eingeben und einen Namen (Die ID-Nummer 1 ist belegt als System-VLAN.)
  3. Ports auswählen, die zum VLAN dazugehören sollen; als untagged markieren, deren Ports zu Rechnern gehören; als tagged markieren, deren Ports zu einer Trunk-Leitung gehören. Anschließend auf Create klicken.
  4. Unter VLAN -> 802.1q VLAN -> Port Config die entsprechenden Ports mit der VLAN-ID unter PVID einsetzen. Abschließend auf save klicken.


Wir wollen als Beispiel:

  • Zwei VLANs einrichten über zwei Switches
  • Rechner in den VLANs können untereinander kommunizieren
  • VLANs können sich nicht untereinander kommunizieren
  • Beide VLANs gelangen ins Internet

Hier eine beispielhafte Skizze:

Verwendet wird ein LAN-Kabel, der beide Switches verbindet. Der Router wird an eines der Switches verbunden. Um alle Ziele zu erreichen, brauchen wir mind. 3 VLANs.

VLAN Konfiguration-Parameter
VLAN 50 VLAN 51 VLAN 52
TL2600-18TS Port 1-3,9 Port 1,4-9 Port 1-9
TL2600-18TS 1-3 1,4-8 1-8

Für die einzelnen Ports an den Switches gelten folgende Regeln:

Switch 1
Port 1 2 3 4 5 6 7 8 9
Egress Rule Tagged Untagged Untagged Untagged Untagged Untagged Untagged Untagged Untagged
PVID 50 51 51 52 52 52 52 52 50
Switch 2
Port 1 2 3 4 5 6 7 8
Egress Rule Tagged Untagged Untagged Untagged Untagged Untagged Untagged Untagged
PVID 50 51 51 52 52 52 52 52

TPLINK-T2600 v1.0

  • Um Portbasiertes VLAN einzurichten, muss man die Ports die sich in einem VLAN befinden auf Untagged setzen und den Port zur Übertragung zum nächsten Switch auf Tagged setzen.
  1. Im Switch unter VLAN -> 802.1q VLAN -> VLAN Config auf Createklicken.
  2. Eine VLAN-ID-Nummer eingeben und einen Namen (Die ID-Nummer 1 ist belegt als System-VLAN.)
  3. Ports auswählen, die zum VLAN dazugehören sollen; als untagged markieren, deren Ports zu Rechnern gehören; als tagged markieren, deren Ports zu einer Trunk-Leitung gehören. Anschließend auf Apply klicken.
  4. Unter VLAN -> 802.1q VLAN -> Port Config die entsprechenden Ports mit der VLAN-ID unter PVID einsetzen. Abschließend auf Apply klicken.

VLAN DHCP Relay

  • Um jedes VLAN mit einem DHCP zu betanken muss man volgende Schritte erledigen.
  1. Im Switch unter Routing -> DHCP Relay -> Global Config DHCP Relay auf Anablesetzen.
  2. Anschliesend unter Routing -> DHCP Relay -> DHCP VLAN Relay Interface ID auf VLAN und 1 setzen. Unter IP Addresse die des Switches angeben.
  3. Jetzt noch unter DHCP Server List für jedes VLAN die IP-Adresse des DHCP Servers angeben.

Vor- und Nachteile

  • Statisch
    • Einfach zu erstellen und zu verwalten
    • Sinnvoll für fest eingeplante VLAN-Segmente
    • Unflexibel für veränderbare Netze
  • Dynamisch
    • Flexibel und besser anpassbar an neue Gegebenheiten
    • Ortsunabhängigkeit ist dadurch gegeben
    • Administratoren können Änderungen im Netzwerk durchführen, ohne Ports umstecken oder den Switch zu konfigurieren
    • Switches, Router und Netzwerkarten müssen das VLAN-Tag verarbeiten können


Prüfungsfragen

Wie heißen die beiden VLAN-Einrichtungstypen und was ist der Unterschied?

  • Statisches VLAN wird portbasiert eingerichtet. Jedes Endgerät am Port ist einem VLAN zugeordnet.
  • Beim Dynamischen VLAN erfolgt die Zuordnung der Endgeräte nach Kriterien, z.b. MAC-Adresse oder Namen.
  • siehe Netzwerke:VLAN#Statisch (Portbasiert)

Warum ist ein VLAN-Tag in den Frames nötig für die Übertragung

  • Frames müssen getagged werden, damit der empfangene Router bzw. Switch dem entsprechenden VLAN zuordnen kann.
  • Zugeordnet werden die Frames nach der VLAN-ID im Tag.

Warum überhaupt VLAN´s?

  • Zur Einrichtung logischer Gruppen
    • Änderungen der Gruppenzugehörigkeit sind einfacher.
    • Sicherheit durch Gruppen(Subnetze) wird erhöht.
  • Bessere Lastverteilung und weniger Kollisionsbereiche(Broadcastdomänen) sind dadurch möglich.

Wie viele VLAN´s kann man einrichten?

  • Der VLAN-Tag beinhaltet den VID(VLAN-Identifier) der 12 Bit lang ist.
  • Somit können 4096 VLAN´s erstellt werden. Von VLAN-ID 0 bis VLAN-ID 4095
212 = 4096

Hinweis

In den meisten Fällen sind die VLAN-ID´s 0 und 4095 belegt und können nicht benutzt werden. Dann stehen nur 4094 VLAN´s zur Verfügung.

Auf welchem Gerätetyp bzw. auf welcher OSI-Schicht lassen sich VLAN´s einrichten?

  • Auf Switches lassen sich VLAN´s einrichten, sofern sie konfigurierbar sind.
  • Switches arbeiten auf der OSI-Schicht 2.

VLAN einrichten

  • Die Abteilungen Sportmedizin und Allgemeinmedizin sollen an das VLAN 1
  • Die beiden Übrigen an das VLAN 2
VLAN-Plan
  • Ergänzen sie den VLAN-Plan indem sie
    • in jeder Etage einen PC einzeichnen und diesen mit der entsprechenden Netzwerkkomponente verbinden.
    • Server 1 und 2 mit der entsprechenden Netzwerkkomponente verbinden. Server 1 soll ins VLAN 1, Server 2 ins VLAN 2

Links

Intern

  1. Subnetting

Weblinks

  1. https://de.wikipedia.org/wiki/Virtual_Local_Area_Network
  2. https://www.ionos.de/digitalguide/server/knowhow/vlan-grundlagen/
  3. https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen
  4. https://www.tp-link.com/us/support/faq/788/