Virtual Local Area Network
VLANs (Virtual Local Area Network) unterteilen ein physisches Netzwerk in mehrere logische Netzwerke. So bildet jedes VLAN eine eigene Broadcast-Domain.
Vorrausetzungen & Eigenschaften
- Managebare (Konfigurierbare) Switches, um tagged VLANs zu realisieren.
- Kommunikation von zwei unterschiedlichen VLANs ist nur über einen Router möglich, der an beiden Netzen verbunden ist.
- Sind in eigene Subnetze eingeteilt.
Gründe für VLAN
- Einrichtung in logischen Gruppen innerhalb des physikalischen Netzes möglich
- Höhere Flexibilität durch einfache Änderung von Gruppenzugehörigkeit
- Einfachere Konfiguration der Software für die Gruppen
- Erhöhte Sicherheit durch Gruppierung(Subnetz-Bildung)
- Weniger Kollisionsbereiche (Broadcastdomänen)
- Priorisierung des Daenverkehrs möglich
- Bessere Lastverteilung möglich
VLAN-Typen
Statisch (Portbasiert)
- Einen physischen Switch in mehrere logische Switches unterteilen
- Einzelne Ports werden einem VLAN zugeordnet
- Jedes Endgerät an einem Port, gehört zu einem VLAN
| Switch-Port | VLAN ID | angeschlossenes Gerät |
|---|---|---|
| 1 | 1 | PCA1 |
| 2 | 1 | PCA2 |
| 3 | - | - |
| 4 | 1 | Verbindung zu Switch-B Port 4 |
| 5 | 2 | PCA5 |
| 6 | 2 | PCA6 |
| 7 | - | - |
| 8 | 2 | Verbindung zu Switch-B Port 8 |
- Mithilfe mehrerer Switches kann man mehr Rechner in einem VLAN einbinden
- Allerdings benötigt man für jedes VLAN eine eigene Verbindung
| Switch-Port | VLAN ID | angeschlossenes Gerät |
|---|---|---|
| 1 | 1 | PCB1 |
| 2 | 1 | PCB2 |
| 3 | - | - |
| 4 | 1 | Verbindung zu Switch-A Port 4 |
| 5 | 2 | PCB5 |
| 6 | 2 | PCB6 |
| 7 | - | - |
| 8 | 2 | Verbindung zu Switch-B Port 8 |
Dynamisch(Tagged-basiert)
- Zuordnung der Endgeräte erfolgt nach bestimmten Kriterien bspw. nach MAC-Adresse
- Mehrere VLANs können über einen einzelnen Switch-Port genutzt werden.
- Eine Markierung (Tag) im Frame des Pakets sorgt für die Zuweisung.
- Das Tag wird nach der MAC-Addresse des Absenders gesetzt und ist exakt vier Byte lang.
- Frames müssen getagged werden, damit der empfangene Switch bzw. der Router sie dem entsprechenden VLAN zuordnen kann.
- Erste Zwei Bytes sind für den TPI (Tag Protocol Identifier), zeigt an, ob überhaupt eine VLAN-ID angegeben wurde
- Nach TPI folgen drei Bits für die Priorität der Nachricht, dann folgt ein Bit für den CFI (Canonical Format Identifier), welches die Kompatibilät zwischen Ethernet und Token Ring gewährleistet.
- Die letzten zwölf Bits sind für die eigentliche VLAN-ID bestimmt. Dadurch sind prinzipiell 4096 VLANs möglich.
Einrichten eines VLANS mit T2600-18-Switch von tp-link
- In der Praxis benutzt man eine Kombination von portbasiertem und untagged VLAN.
- Die Clients, die in einem VLAN sein sollen, in einem portbasierten VLAN.
- Die Switch-Verbindungen als tagged markieren.
- Im Switch unter
VLAN -> 802.1q VLAN -> VLAN Configaud Add(hinzufügen) klicken - Eine VLAN-ID-Nummer eingeben und einen Namen (Die ID-Nummer 1 ist belegt als System-VLAN.)
- Ports auswählen, die zum VLAN dazugehören sollen; als untagged markieren, deren Ports zu Rechnern gehören; als tagged markieren, deren Ports zu einer Trunk-Leitung gehören. Anschließend auf Create klicken.
- Unter
VLAN -> 802.1q VLAN -> Port Configdie entsprechenden Ports mit der VLAN-ID unter PVID einsetzen. Abschließend auf save klicken.
Wir wollen als Beispiel:
- Zwei VLANs einrichten über zwei Switches
- Rechner in den VLANs können untereinander kommunizieren
- VLANs können sich nicht untereinander kommunizieren
- Beide VLANs gelangen ins Internet
Hier eine beispielhafte Skizze:
Verwendet wird ein LAN-Kabel, der beide Switches verbindet. Der Router wird an eines der Switches verbunden. Um alle Ziele zu erreichen, brauchen wir mind. 3 VLANs.
| VLAN 50 | VLAN 51 | VLAN 52 | |
| TL2600-18TS | Port 1-3,9 | Port 1,4-9 | Port 1-9 |
| TL2600-18TS | 1-3 | 1,4-8 | 1-8 |
Für die einzelnen Ports an den Switches gelten folgende Regeln:
| Port | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| Egress Rule | Tagged | Untagged | Untagged | Untagged | Untagged | Untagged | Untagged | Untagged | Untagged |
| PVID | 50 | 51 | 51 | 52 | 52 | 52 | 52 | 52 | 50 |
| Port | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| Egress Rule | Tagged | Untagged | Untagged | Untagged | Untagged | Untagged | Untagged | Untagged |
| PVID | 50 | 51 | 51 | 52 | 52 | 52 | 52 | 52 |
Einrichten eines VLANS mit T2600G18TS v1.0 von tp-link
- Um Portbasiertes VLAN einzurichten, muss man die Ports die sich in einem VLAN befinden auf Untagged setzen und den Port zur Übertragung zum nächsten Switch auf Tagged setzen.
- Im Switch unter
VLAN -> 802.1q VLAN -> VLAN Configauf Createklicken. - Eine VLAN-ID-Nummer eingeben und einen Namen (Die ID-Nummer 1 ist belegt als System-VLAN.)
- Ports auswählen, die zum VLAN dazugehören sollen; als untagged markieren, deren Ports zu Rechnern gehören; als tagged markieren, deren Ports zu einer Trunk-Leitung gehören. Anschließend auf Apply klicken.
- Unter
VLAN -> 802.1q VLAN -> Port Configdie entsprechenden Ports mit der VLAN-ID unter PVID einsetzen. Abschließend auf Apply klicken.
Einrichten eines VLAN DHCP Relays mit T2600G18TS v1.0 von tp-link
- Um jedes VLAN mit einem DHCP zu betanken muss man volgende Schritte erledigen.
- Im Switch unter
Routing -> DHCP Relay -> Global ConfigDHCP Relay auf Anablesetzen. - Anschliesend unter
Routing -> DHCP Relay -> DHCP VLAN RelayInterface ID auf VLAN und 1 setzen. Unter IP Addresse die des Switches angeben. - Jetzt noch unter DHCP Server List für jedes VLAN die IP-Adresse des DHCP Servers angeben.
Wichtige Fragen rund um VLAN
Wie heißen die beiden VLAN-Einrichtungstypen und was ist der Unterschied?
- Statisches VLAN wird portbasiert eingerichtet. Jedes Endgerät am Port ist einem VLAN zugeordnet.
- Beim Dynamischen VLAN erfolgt die Zuordnung der Endgeräte nach Kriterien, z.b. MAC-Adresse oder Namen.
Warum ist ein VLAN-Tag in den Frames nötig für die Übertragung
- Frames müssen getagged werden, damit der empfangene Router bzw. Switch dem entsprechenden VLAN zuordnen kann.
- Zugeordnet werden die Frames nach der VLAN-ID im Tag.
Warum überhaupt VLAN´s?
- Zur Einrichtung logischer Gruppen
- Änderungen der Gruppenzugehörigkeit sind einfacher.
- Sicherheit durch Gruppen(Subnetze) wird erhöht.
- Bessere Lastverteilung und weniger Kollisionsbereiche(Broadcastdomänen) sind dadurch möglich.
Wie viele VLAN´s kann man einrichten?
- Der VLAN-Tag beinhaltet den VID(VLAN-Identifier) der maximal 12 Bit lang ist.
- Demenstprechend nach Rechnung:
212 = 4096
- Somit können 4096 VLAN´s erstellt werden. Von VLAN-ID 0 bis VLAN-ID 4095
- Hinweis:In den meisten Fällen sind die VLAN-ID´s 0 und 4095 belegt und können nicht benutzt werden. Dann stehen nur 4094 VLAN´s zur Verfügung.