Buch druckenBuch drucken

Virtual Local Area Network (VLAN)

Website: CBS Trainings: Moodle
Kurs: Test22
Buch: Virtual Local Area Network (VLAN)
Gedruckt von: Gast
Datum: Mittwoch, 12. März 2025, 20:14

Beschreibung

.

Inhaltsverzeichnis

1. Grundlagen VLANS

VLANs bieten eine kostengünstige Alternative zur Einrichtung physikalisch getrennter Netze mit mehreren Switches. Ein gut konfigurierter VLAN-Switch verwaltet verschiedene Zonen und lässt jeden PC nur mit ausgewählten Partnern kommunizieren. Ist das Betriebssystem eines Rechners in der Lage, selbst mit VLAN-Informationen umzugehen, kann man über ein einziges Kabel zum Switch mehrere Netze erreichen.

Hubs und Switches verbinden in einem lokalen Netzwerk (Local Area Network, LAN) alle Rechner direkt miteinander. So kann zwar jedes Gerät mit den anderen kommunizieren, empfängt aber auch deren Rundsprüche. Ist dies aus Sicherheits- oder Performance-Gründen unerwünscht, unterteilt man das Netz in verschiedene Segmente.

Beim klassischen Ansatz bekommt jedes Subnetz einen eigenen Switch, und ein Router vermittelt zwischen den Bereichen. Jedes Subnetz hat einen eigenen IP-Adressraum und wenn nötig eigene Infrastruktur wie DHCP- oder Domainserver. Mit VLANs (Virtual Local Area Networks) geschieht diese Trennung nicht auf physikalischer, sondern logischer Ebene. Alle Ethernet-Pakete bekommen eine Markierung, die VLAN-Tags, anhand derer die Switches die Gruppenzugehörigkeit erkennen.

2. Definition VLANs

Unter einem VLAN versteht man eine Gruppe von PCs, Servern und anderen Netzwerkressourcen, die sich so verhalten, als ob sie an ein einziges Netzwerksegment angeschlossen wären, auch wenn es tatsächlich nicht der Fall ist.

  • ein VLAN bildet ein logisches Subnetz   (unabhängig von der physischen Netzstruktur)
  • alle Geräte eines VLANs sind Teilnehmer desselben Broadcastbereiches
  • VLANs erlauben die Zuordnung mehrerer broadcast domains an einen Switch („color coding“ of ports)
  • Verkehr von einem VLAN in ein anderes ist nur über einen Router möglich

Jedes VLAN bildet (wie ein normales, physisch separiertes Netzwerksegment) eine eigene Broadcast-Domäne. Um den Verkehr zwischen den VLANs transparent zu vermitteln, benötigt man einen Router. Moderne Switches stellen diese Funktion intern zur Verfügung; man spricht dann von einem Layer-3-Switch.

3. Durch VLANs lösbare Probleme

  • Trennung von physikalischer und logischer Netzwerkstruktur
    • die logische Gruppierung kann unabhängig vom existierenden Netzwerkdesign und der Kabelinfrastruktur erfolgen
    • VLANs sind softwarebasiert und erlauben daher eine rasche und einfache Adaption der Netzwerkstruktur, falls neue Knoten hinzukommen, Knoten ihren Standort wechseln oder reorganisiert werden müssen
  • effiziente Nutzung der Bandbreite
    das Skalierungsproblem großer flacher Netzwerke wird durch Unterteilung des Netzes mit Hilfe von VLAN-Switches (und nicht teuren und komplizierten Routern) in kleinere Broadcastbereiche oder Subnetze gelöst

  • Sicherheit
    zwischen VLANs werden Layer 3 Routing Prozesse erzwungen, deren Sicherheits- und Filterfunktionen angewendet werden können

  • Bessere Nutzung von Server-Ressourcen
    mit einem VLAN-geeigneten Adapter kann ein Server Teilnehmer mehrerer VLANs sein

  • Backbone und Router Verbindungen können als trunks konfiguriert werden, welche jedes Datenpaket mit einem VLAN header versehen. Die Switches bestimmen auch, welche VLANs wo sind und leiten nur jenen Datenverkehr an jene Trunks weiter, an denen Teilnehmer des betroffenen VLANs sitzen

  • VLAN-Switches können auf Layer 2 oder Layer 3 arbeiten

4. VLAN Typen

  • VLAN Typen
    • Portbasierte VLANS
    • Tagged VLANS

4.1. Portbasiertes VLAN

Portbasierte VLANs sind die Urform der VLANs. Hier wird mit managebaren Switches ein physisches Netzwerk portweise in mehrere logische Netzwerke segmentiert, indem ein Port einem VLAN fix zugeordnet wird. Im Frame vorhandene Tags werden vom Switch entfernt bevor dieses weitergeleitet wird. Man spricht hier daher von einem untagged Port.
Portbasierte VLANs lassen sich auch über mehrere Switches hinweg ausdehnen. Dazu wird heutzutage ein Trunk-Port (ein als tagged konfigurierter Port) verwendet.

  • auf jedem Switch werden die VLANs fest konfiguriert
  • jeder Port wird manuell zu einem VLAN zugehörig konfiguriert
  • nur Traffic aus dem konfigurierten VLAN kommt auf dem Port an

Dieses Konzept stellte sich damals jedoch als problematisch heraus, sobald alle Ports eines Switches belegt waren und ein neuer Switch her musste. Es wird dann für jedes VLAN jeweils ein Patchkabel als Querverbindung zwischen den Switches benötigt. Das führt dazu, dass auf beiden Seiten ein Port belegt werden muss. Ein Server der mehreren VLANs seine Dienste anbietet braucht somit für jedes VLAN eine eigene Netzwerkschnittstelle.

Vorteile

  • eindeutige Zuordnung der Ports zu einem VLAN

Nachteile

  • Ports müssen manuell eingestellt werden
  • keine Mobilität der Endstationen möglich
  • keine Mehrfachzugehörigkeit zu anderen VLANs möglich

       

 

4.2. Tagged VLANs

Bei tagged VLANs können mehrere VLANs über einen einzelnen Switch-Port genutzt werden. Die einzelnen Ethernet Frames bekommen dabei Tags angehängt, in dem jeweils die VLAN-ID vermerkt ist zu dessen VLAN das Frame gehört.

In 802.1Q wurde mit dem VLAN-Tagging ein Kennzeichnungsmechanismus zur virtuellen Aufteilung des Datenverkehrs in VLANs spezifiziert und entsprechende Datenfelder für das VLAN-Tagging in das Ethernet-Frame eingefügt.
Es handelt sich um vier Datenfelder mit einer Gesamtlänge von 32 Bit, von denen

  • 2 Byte für denTag Protocol Identifier (TPID) genutzt werden,
  • die anderen 2 Byte für den TagControl Information (TCI).

Die Datenfelder für das VLAN-Tagging werden im Ethernet-Frame zwischen das Datenfeld für die Quelladresse und das Typfeld eingefügt.

Das TPID-Datenfeld wird auch als Ethertype 802.1Q bezeichnet und bei VLANs auf den Wert 0x8100 gesetzt. Dieser Wert ist für VLAN-Anwendungen reserviert.

Das darauf folgende Datenfeld Priority Code Points (PCP) regelt die Priorität des Ethernet-Frames. Mit diesen drei Bits können bis zu acht verschiedene Service Levels zwischen hoch und niedrig festgelegt werden.

Das dritte Datenfeld für den Canonical Format Indicator (CFI) zeigt an, ob es sich bei der MAC-Adresse um ein vorschriftsmäßiges Format handelt, und der VLAN Identifier (VID) beschreibt, zu welchem VLAN der Ethernet-Frame gehört.

Somit können 2 hoch 12 also 4096 VLANS maximal identifizeirt werde.

5. Protokollbasiertes VLAN

MAC Adress-basierte VLANs

  • Layer 2 VLANs gruppieren die Benutzer auf der Basis reiner MAC Verbindungen; meistens auf Basis von im Switch gespeicherten Adresstabellen (periodischer Tabellenaustausch)
  • Switch, an welchem neuer host angebunden ist, schickt bei dessem Einstieg signalling message (MAC-Adr. , VLAN-Nr.)
  • Wechselt ein Benutzer seinen Platz (mit Rechner), ist keine Neukonfiguration nötig
  • VLAN-Zugehörigkeit eines Pakets wird anhand der MAC Adresse des Senders oder Empfängers erkannt

Vorteile

  • Mobilität für Endstationen ist möglich

Nachteile

  • UNSICHER! MAC-Adressen können geändert werden
  • die MAC-Adressen müssen in den Switches konfiguriert werden
  • vor dem ersten Frame ist nicht klar zu welchem VLAN ein Port gehört

Layer 3 (oder Protokoll)-basierte VLANs

  • mit dieser Methode wird die VLAN-Zugehörigkeit der Pakete aufgrund von Protokolltypen (IP, IPX, NetBIOS, etc.) und Layer3 Adressen getroffen
  • flexibelste Methode; unterstützt von allen drei Methoden die logische Gruppierung am besten

Vorteile

  • Mobilität möglich
  • Endstation kann in mehreren VLANs teilnehmen

Nachteile

  • vor dem ersten Frame ist nicht klar zu welchem VLAN ein Port gehört
  • unsicher! zB. IP-Adressen können noch einfacher als MAC-Adressen geändert werden
  • unschön! Verletzung des Schichtenmodells, der Switch muss Layer-3 verstehen
  • es gibt keinen Standard

6. Zuordnung einer VLAN-ID

  •  Statische VLANS

  • Dynamische VLANS

6.1. Statische VLANs

Diese Methode heißt auch »portbasierte Mitgliedschaft«. Die Zuordnung eines Ports zu einem VLAN erfolgt durch statische VLAN-Konfiguration. Wenn ein Gerät ans Netzwerk angeschlossen wird, nimmt es automatisch am VLAN »seines« Ports teil. Wechselt der Benutzer die Ports, möchte aber im gleichen VLAN bleiben, dann muss der Administrator eine manuelle Zuweisung des neuen Ports zum gewünschten VLAN vornehmen.

6.2. Dynamische V-LANs

Dynamische VLANs entstehen durch den Einsatz von Softwarelösungen wie CiscoWorks 2000. Mit Hilfe eines VMPS (VLAN Management Policy Server, Server für VLAN-Verwaltungsrichtlinien) können Sie Switch-Ports VLANs dynamisch basierend auf der MAC-Adresse des Gerätes zuweisen, das an den Port angeschlossen ist. Derzeit ermöglichen die Catalyst-Switches eine Mitgliedschaft in dynamischen VLANs nur basierend auf der MAC-Adresse des Endgerätes. Sobald ein Gerät dem Netzwerk hinzugefügt wird, fragt der Switch den VMPS automatisch zur VLAN-Zugehörigkeit ab

7. Link Types

Es gibt an den Switches zwei Arten von Links: Access und Trunk. Dieser Abschnitt
befasst sich mit den Unterschieden zwischen den beiden Link-Arten und behandelt
außerdem einen speziellen Link namens Hybrid Link.

7.1. Access Links

Ein Access Link ist Mitglied eines einzigen VLAN. Das Gerät, das an den Port angeschlossen ist, weiß nichts über das VLAN. Es nimmt einfach nur an, dass es ein Teil eines Netzwerks oder Subnets ist, abhängig von den Layer-3-Informationen, die auf dem Gerät konfiguriert sind.

Um sicherzustellen, dass das Gerät nichts vom VLAN erfährt, entfernt der Switch alle VLAN-Informationen aus den Frames, bevor sie an das Gerät gesendet werden. Ein Access Link ist ein Port, der nur zu einem einzigen VLAN gehört. Der Port kann keine Informationen aus anderen VLANs empfangen, es sei denn, sie wurden geroutet.

Zusammenfasend:

  • für End-User oder Server
  • Frames wie bei jedem Ethernet Frame
  • Device weiß nichts vom VLAN
  • Switch entfernt VLAN Informationen
  • Device ist nur bei einem VLAN

7.2. Trunk Links

Ein Trunk Link kann mehrere VLANs tragen. Trunk Links werden meistens benutzt, um Switches mit anderen Switches oder Switches mit Routern zu verbinden. Der Switch benötigt einen Prozess, um herauszufinden, zu welchem VLAN die Frames aus einem Trunk Link gehören.

Zusammenfassend:

  • Gebündelter Verkehr verschiedener VLANS über selben physischen Link
  • Port wird als „Trunk“ konfiguriert
  • Verbinden normalerweise Switches
  • Spezielle Protokolle zum Bündeln (IEEE 802.1Q , Inter-Switch Link ISL)
  • Pro Port ein oder mehrere VLAN-ID‘s
  • Tabelle für jeden Port der erreichbaren Clients

7.3. Hybrid Links

  • Ist beides – Trunk und Access Link
  • Kann tagged/untagged Frames schicken/erhalten

Sinnvoll ist dies z.B. bei Protokoll- und MAC-assoziierter VLAN-Zuordnung.

Hybrid Ports werden häufig für IP Telefonie genutzt.

7.4. VLAN Aufgabe

7.5. Lösung VLAN Aufgabe