article

Ein VLAN (Virtual Local Area Network) ist ein virtuelles lokales Netzwerk innerhalb eines physikalischen Netzwerkes. Eine weit verbreitete technische Realisierung von VLANs ist teilweise im Standard IEEE 802.1Q definiert.

Gründe und Vorteile

Lokale Netzwerke werden mit Hilfe von aktiven Komponenten - Hubs und Switches - aufgebaut.

Mit Hubs aufgebaute Netzwerke haben vor allem wegen des CSMA/CD-Zugriffsverfahrens und den daraus resultierenden anwachsenden Traffics eine starke Beschränkung zu erfahren. Der maximale Durchsatz wird nie zu erreichen sein und bei starken Netzwerklasten können bei Datagramm-Protokollen Verbindungsabrisse entstehen.

Durch die Switching-Technik (OSI-Ebene 2) können sehr große LANs aufgebaut werden, ohne starke Bandbreiteneinbußen zu verursachen. Switches können derzeit bis zu ca 24.000 angeschlossene Stationen gleichzeitig verwalten (MAC-table). Vorteil eines großen geswitchten Netzwerkes ist die einfache Erreichbarkeit aller Stationen, die Einsparung von Routern und deren Verwaltung und eine geringe Latenz der Datenpakete.

Aus folgenden Gründen will man ein solches Netzwerk oft wieder unterteilen:

  • die Broadcast-Last wird sehr hoch vor allem in MS-Windows-Netzwerken
  • jede Station kann jede andere direkt ansprechen (Sicherheitsproblem)

Eine Lösung für dieses Problem sind VLANs. Mit Hilfe von VLANs können auf einem Switch oder über mehrere Switches hinweg virtuell getrennte Netze betrieben werden. Diese Technik eignet sich auch für die standortübergreifende Vernetzung (z. B. per ATM) mehrerer VLANs über einen Switch bzw. Router.

Nicht immer lässt sich ein Netzwerk über getrennte Switches aufbauen. Physikalisch getrennt verkabelte Netzwerke sind unflexibel, Änderungen nur mit hohem Aufwand möglich. VLAN stellt unabhängig von der physikalischen Struktur eine logische Struktur des Netzwerks zur Verfügung.

Funktionsweise

Jedem VLAN wird eine eindeutige Nummer zugeordnet. Man nennt diese Nummer VLAN ID. Ein Gerät, das zum VLAN mit der ID=1 gehört, kann mit jedem anderen Gerät im gleichen VLAN kommunizieren, nicht jedoch mit einem Gerät in einem anderen VLAN mit ID=2, 3, ...

Um zwischen den VLANs zu unterscheiden, wird nach IEEE 802.1Q das Ethernet-Paket um 4 Byte erweitert. Davon sind 12 bit zur Aufnahme der VLAN ID vorgesehen, so dass insgesamt 4094 VLANs möglich sind (die VLAN-IDs "0" und "4095" sind reserviert bzw. nicht zulässig).

TPID
2 Bytes 		Priorität
3 Bit 		CFI
1 Bit 		VID
12 Bit
Erweiterung des Ethernet-Frames
TPID - Tag Protocol Identifier – Fester Wert 0x8100. Frame trägt die 802.1Q/802.1p-Tag-Information.

Priorität (user_priority) – Benutzer-Prioritätsinformationen.

CFI - Canonical Format Indicator – Gilt für alle vorhandenen MAC-Adressinformationen im MAC-Datenpaket des Frames. Wert 0 das Format ist kanonisch (am wenigsten signifikante Bit zuerst); Wert 1 Format nicht-kanonisch. Benutzung im Token Ring/Source-Routed-FDDI-Media-Zugang, um die Bit-Order der Adressinformationen des verkapselten Frames festzulegen.

VID - VLAN Identifier – Identifizierung des VLANs zu dem der Frame gehört.

Vlan-tag.png

Zusätzlich ist auch eine Priorisierung mit VLAN möglich. Es kann für jeden Frame eine von 8 (3 Bit) Prioritäten angegeben werden. Dadurch ist es möglich, z. B. Sprachdaten bevorzugt weiterzuleiten, während HTTP-Daten ausgebremst werden. Diese Funktionalität wird in den kommenden Jahren immer mehr Verbreitung finden, da die Verwendung von VoIP (IP-Telefonie) immer mehr zunimmt. Dadurch kann auch mit einer 'beschränkten' Bandbreite ohne Störungen telefoniert werden. (siehe auch Quality of Service)

Einige Hersteller haben selbst spezielle Frames entwickelt, in denen ein Frame ohne IEEE 802.1Q einem VLAN zugewiesen werden kann. Als Beispiel ist hier Ciscos Inter-Switch Link Protocol (ISL) zu nennen.

Zuordnung

Es gibt verschiedene Möglichkeiten, auf welcher Schicht des OSI-Modells die Zuordnung realisiert wird:

Schicht 1

Die einfachste Art der Zuordnung ist die feste Definition einer VLAN ID auf einen bestimmten Port des Switches. Hierdurch entstehen statische VLANs, die Sinn haben, wenn Umzüge im Netzwerk nur kontrolliert und verwaltet ablaufen sollen.

Schicht 2

VLANs können auch auf der Sicherungsschicht implementiert werden. In diesen dynamischen VLANs erkennt der Switch beim Umzug die MAC-Adresse und liest aus einer VLAN-Managementdatenbank die Konfiguration für den entsprechenden Port aus. Für das Management ist ein eigenes Protokoll nötig. Beispiele hierfür sind Ciscos Vlan Membership Policy Server (VMPS) und das herstellerunabhängige GARP (Generic Attribute Registration Protocol) VLAN Registration Protocol (GVRP).

Schicht 3

Hier erfolgt die Zuordnung der VLAN ID aufgrund der Adresse des Ebene 3 Protokolls (z. B. IP, IPX).

Schicht 4

Bei der Realisierung auf dieser Schicht wird die VLAN - ID aufgrund von TCP- oder UDP-Portnummern zugewiesen.

Sicherheitsaspekte

Sollen verschiedene VLANs aus Sicherheitsgründen voneinander getrennt werden, so sind nur statische VLANs als sicher einzustufen. Da die VLAN-Zuordnung fest an Switchports und damit an feste Netzwerkdosen gebunden ist, muss ein potentieller Angreifer hier physischen Zugang zum passenden VLAN haben.

Auf Schicht 2 implementierte VLANs sind zwar sehr flexibel, jedoch grundsätzlich als unsicher einzustufen, da an allen Switchports prinzipiell alle VLANs verfügbar gemacht werden können und die VLAN-Zuordnung nur anhand der MAC-Adresse der angeschlossenen Rechner stattfindet. Die MAC-Adresse eines Rechners lässt sich allerdings sehr leicht ändern und somit Zugriff auf alle VLANs herstellen.

Auch auf höheren Schichten lassen sich VLANs mit einigem Aufwand sehr flexibel nutzen. So können neu ans Netzwerk angeschlossene Rechner zunächst vom Switch mit einem "unsicheren VLAN" bedient werden. Nach erfolgreicher Authentifizierung eines Benutzers oder Rechners an einem Anmeldeserver wird der Port auf ein anderes VLAN umgeschaltet. Hier liegt das Sicherheitsrisiko bei den angeschlossenen Rechnern bzw. deren Software, die von einem Angreifer entsprechend modifiziert worden sein kann. Eine Alternative kann die Verwendung eines VPN sein.

Verbindung von VLAN Switches

VLAN-taugliche Switches können über Trunked Ports (IEEE 802.1 Q) miteinander verbunden werden (Uplink). Empfängt ein Switch von einem Trunked Port einen Frame, in dem er ein VLAN-Tag erkennt, so wird der Frame an den entsprechenden Port weitergeleitet. Falls sich an diesem Port ein Endgerät befindet, wird zuvor das Tag entfernt. Logischerweise wird beim Weiterleiten eines Frames von einem Endgerät über einen Trunked Port das Tag hinzugefügt. Damit können auf derart verbundenen Switches gleiche VLANs benutzt werden. In größeren Cisco-Netzwerken kommt das VTP-Protokoll zum Verteilen von VLANs zum Einsatz.

Falls ein Frame an einen Switch gesendet wird, der keine Trunked Ports unterstützt, dann enthält ein angeschlossenes Endgerät einen Ethernetframe mit dem Wert 8100H im Typenfeld. Da dieser Wert keinen Sinn ergibt (genau genommen wird durch das 8100H die angezeigte Paketgröße auf einen immens großen, ungültigen Wert angehoben), wird der Frame als fehlerhaft verworfen.

Mittlerweile sind auch Netzwerkkarten erhältlich, die selbst Frames mit VLAN-Tags versenden können.

Inter-VLAN Routing

Jedes VLAN bildet eine eigene Broadcast-Domäne. Um Verkehr zwischen verschiedenen VLANs zu vermitteln benötigt man einen Router. Moderne Switches stellen diese Funktion intern zur Verfügung. Man spricht dann von einem Layer-3 Switch.

Hier stellt sich die Frage, warum man generell mühevoll getrennte VLANs verbinden soll. Ein Anwendungsbeispiel wäre ein gemeinsamer Login-Server, um Ressourcen zu sparen. Dieser würde sich in einem dritten VLAN befinden, auf das Finanzabteilung und Produktion zugreifen könnten. Allerdings würde in diesem Fall zusätzlich im Router sicher gestellt, dass lediglich Login-Informationen übertragen werden können. Finanzen und Produktion, welche ebenfalls am Router angeschlossen sind, wären weiterhin nicht in der Lage, miteinander zu kommunizieren.

Die Überlegenheit von VLAN im Vergleich zu Subnetzen liegt in der Tatsache, dass ein Wechsel von einem VLAN in ein anderes nur am Kopplungselement (Switch, Router) geschehen kann; Subnetze hingegen lassen sich leicht am Client selbst ändern.

Literatur

  • Rolf-Dieter Köhler: Auf dem Weg zu Multimedia-Netzen : VPN ; VLAN-Techniken ; Datenpriorisierung. 1999 Köln : FOSSIL-Verlag. ISBN 3-931959-26-0

Weblinks

Netzwerkprotokoll

VLAN | VLAN | Virtual LAN | VLAN | Virtuaalilähiverkko | Virtual LAN | רשת מקומית וירטואלית | VLAN | Virtual Local Area Network | Virtual LAN | Sieć wirtualna | Virtual LAN | VLAN | VLAN | 虚拟局域网

 

This article is licensed under the GNU Free Documentation License. It uses material from the "VLAN".

Home Pageartsbusinesscomputersgameshealthhospitalshomekids & teensnewsphysiciansrecreationreferenceregionalscienceshoppingsocietysportsworld