Definition VLAN | Virtual Local Area Network Was ist ein VLAN?
Ein VLAN ist ein logisches Teilnetzwerk eines physischen Local Area Networks (LANs). Es teilt das lokale Netzwerk in logische Segmente auf und bildet jeweils eigene Broadcast-Domänen. Virtual Local Area Networks lassen sich portbasiert oder mithilfe von VLAN-Tags realisieren. Die VLAN-Technik wird eingesetzt, um beispielsweise Datenverkehr zu priorisieren oder Datenströme logisch zu trennen.
Ein VLAN ist ein logisches Teilnetzwerk eines physischen lokalen Netzwerks (LANs).
VLAN ist das Akronym für Virtual Local Area Network. Es handelt sich um ein logisches Teilnetzwerk eines physischen Local Area Networks (LANs). Das Virtual Local Area Network bildet ein logisches Netzwerksegment und eine eigene Broadcast-Domäne. VLANs können sich über mehrere Switche hinweg erstrecken. Sie können portbasiert oder mithilfe von Tagging realisiert sein. Der IEEE-Standard 802.1Q bildet die technische Basis für das VLAN-Tagging. Er arbeitet auf der zweiten Schicht des OSI-Referenzmodells und erlaubt es, Ethernet-Frames Tagging-Informationen hinzuzufügen. Über ein einziges Netzwerkkabel lassen sich mit Tagging viele logisch separierte VLANs gleichzeitig übertragen. Typische Einsatzbereiche von VLANs sind die Priorisierung von Datenverkehr oder die logische Trennung von Datenströmen.
Realisierungsmöglichkeiten für Virtual Local Area Networks
Es existieren verschiedene Realisierungsmöglichkeiten für Virtual Local Area Networks. Grundsätzlich lassen sich VLANs portbasiert oder mithilfe von Tagging implementieren.
Bei portbasierten VLANs werden einzelne Ports eines managebaren Switches fest einem bestimmten VLAN zugeordnet. Dadurch entstehen an einem Switch mehrere logische Netzwerke. Portbasierte VLANs sind statisch konfiguriert. Sie können sich auch über mehrere Switche hinweg erstrecken. In diesem Fall sind die Switche über sogenannte Trunk-Ports verbunden. Sie übermitteln die Zugehörigkeitsinformationen eines bestimmten Ethernet-Frames in Form von Tags, wie sie im nächsten Abschnitt beschrieben sind.
Sind VLANs per Tagging realisiert, muss keine statische Zuordnung eines Switch-Ports zu einem bestimmten VLAN erfolgen. Einzelne Ethernet-Frames werden mit Tags gekennzeichnet, die die Zugehörigkeit zu einem bestimmten Virtual Local Area Network festlegen. Diese VLANs werden daher auch als framebasiert bezeichnet. Die technische Basis für das Tagging bildet der IEEE-Standard 802.1Q. Die Länge eines VLAN-Tags beträgt 32 Bit. Er wird im Ethernet-Frame direkt nach der Absender-MAC-Adresse eingefügt. Ein Tag besteht aus einer Protokoll-ID mit zwei Byte Länge. Danach folgen ein Prioritätsfeld mit drei Bit Länge, ein Bit für den Canonical Format Identifier (CFI) und zwölf Bit für die VLAN-ID. Aufgrund der Länge von zwölf Bit lassen sich insgesamt 4.096 verschiedene VLANs kennzeichnen. Das Tagging nach IEEE 802.1Q ist die modernere Form einer VLAN-Implementierung und hat portbasierte VLANs größtenteils abgelöst.
Gründe für den Einsatz von Virtual Local Area Networks
Das logische Segmentieren von physischen lokalen Netzwerken mithilfe von Virtual Local Area Networks wird aus verschiedenen Gründen eingesetzt. Typische Gründe sind:
- logische Trennung von Datenströmen
- Trennung von produktiven Umgebungen und Testumgebungen
- Begrenzung von Broadcast-Domänen und Reduzierung des Broadcast-Traffics
- Separieren von Netzsegmenten aus Sicherheitsgründen
- Trennung von öffentlich zugänglichen und intern zugänglichen Systemen - Trennung von öffentlichem und privaten Verkehr
- Priorisierung von Datenströmen
- Trennung von VoIP- und Datenverkehr
- Abbildung von Abteilungsstrukturen unabhängig vom Standort der Endgeräte
VLAN Typen
Sie können VLANs grundsätzlich auf zwei Arten implementieren:
- als Portbasierte VLANs (untagged)
- als Tagged VLANs
Portbasierte VLANs
Mit portbasierten VLANs unterteilen Sie einen einzelnen physischen Switch einfach auf mehrere logische Switche. Im folgenden Beispiel teilen wir einen physischen 8-Port Switch (Switch A) auf zwei logische Switches auf:
8-Port Switch mit zwei portbasierten VLANs
Switch A | |||
---|---|---|---|
Switch-Port | VLAN ID | angeschlossenes Gerät | |
1 | 1 (grün) | PC A-1 | |
2 | PC A-2 | ||
3 | (nicht in Verwendung) | ||
4 | (nicht in Verwendung) | ||
5 | 2 (orange) | PC A-5 | |
6 | PC A-6 | ||
7 | (nicht in Verwendung) | ||
8 | (nicht in Verwendung) |
Obwohl alle PCs an einem physischen Switch angeschlossen sind, können aufgrund der VLAN Konfiguration nur folgende PCs jeweils miteinander kommunizieren:
- PC A-1 mit PC A-2
- PC A-5 mit PC A-6
Nehmen wir an, dass im Nachbarraum ebenfalls vier PCs stehen. Nun sollen PC B-1 und PC B-2 mit PC A-1 und PC A-2 im ersten Raum kommunizieren können. Ebenfalls soll die Kommunikation zwischen PC B-5 und PC B-6 aus Raum 2 mit PC A-5 und PC A-6 im Raum 1 möglich sein.
Im Raum 2 haben wir wieder einen Switch:
Switch B | ||
---|---|---|
Switch-Port | VLAN ID | angeschlossenes Gerät |
1 | 1 (grün) | PC B-1 |
2 | PC B-2 | |
3 | (nicht in Verwendung) | |
4 | (nicht in Verwendung) | |
5 | 2 (orange) | PC B-5 |
6 | PC B-6 | |
7 | (nicht in Verwendung) | |
8 | (nicht in Verwendung) |
Damit die beiden VLANs hier verbunden werden können, benötigen wir zwei Kabel:
- von Switch A Port 4 zu Switch B Port 4 (für das VLAN 1)
- von Switch A Port 8 zu Switch B Port 8 (für das VLAN 2)
Verbindung der zwei VLANs der beiden physischen Switche. Bei portbasierten VLANs sind hier zwei Kabel nötig.
Hinweis zu PVID: Bei manchen Switches ist es erforderlich an untagged Ports neben der VLAN ID des Ports zusätzlich die PVID (Port VLAN ID) zu setzen. Diese gibt an, in welches tagged VLAN Ethernet Frames gelangen sollen, wenn sie an diesem untagged Port empfangen werden. Die PVID sollte daher mit der konfigurierten VLAN ID des untagged Ports übereinstimmen.[1][2]
Tagged VLANs
Bei tagged VLANs können mehrere VLANs über einen einzelnen Switch-Port genutzt werden. Die einzelnen Ethernet Frames bekommen dabei Tags angehängt, in dem jeweils die VLAN-ID vermerkt ist zu dessen VLAN das Frame gehört. Wenn im gezeigten Beispiel beide Switches tagged VLANs beherrschen, kann damit die gegenseitige Verbindung mit einem einzelnen Kabel erfolgen:
Verbindung der zwei VLANs der beiden physischen Switche über ein einzelnes Kabel. Auf diesem Kabel (Trunk) kommen VLAN tags zum Einsatz (IEEE 802.1q).
Aufbau Ethernet Frame
Der VLAN Tag kommt in einem Ethernet Frame nach den MAC Adressen:
Quelle: Thomas Krenn & Security Insider