Zum Inhalt springen

Was ist VLAN - Virtuelles LAN

23. April 2022 durch
Christian Lisec

In den Anfangszeiten von Netzwerktechnologien wurden Hubs eingesetzt, um Geräte mit einem lokalen Netzwerk (LAN) zu verbinden. Diese Hubs waren nicht smart – ​​sie leiteten jedes empfangene Paket eines angeschlossenen Gerätes an jedes andere mit ihnen verbundene Gerät weiter, was zu einem sehr „rauschenden“ Netzwerk führte. Zudem befanden sich alle Ports eines Hubs in einer einzigen Kollisionsdomäne, was bedeutete, wenn zwei Geräte gleichzeitig versuchten im Netzwerk zu kommunizieren, ihre Datenpakete kollidierten und sie diese Datenpakete erneut senden mussten.

Als sich Netzwerke weiterentwickelten, wurden Hubs schlauer (smart) und so kamen langsam Switches auf den Markt.

Jeder Port auf einem Switch befindet sich in seiner eigenen Kollisionsdomäne, was bedeutet, dass mehrere an einen Switch angeschlossene Geräte gleichzeitig Pakete senden können. Außerdem sind sich Switches bewusst, welche physikalische MAC-Adresse eines Gerätes an welchem Port angeschlossen ist. Dadurch können Datenpakete gezielt zwischen zwei angeschlossenen Geräten gesendet werden, ohne dabei ein unnötig hohes rauschen im gesamten Netzwerk zu verursachen.

Hinweis: Das willkürliche Senden von Datenpaketen an alle verbundenen Gerät und deren Ports tritt weiterhin auf, sobald der Switch die Ziel-MAC-Adresse eines Datenpaketes nicht wiedererkennt.

Da Switches wie Hubs immer noch auf eine einzelne Broadcast-Domäne (Alle Ports im selben Netzwerk) beschränkt waren, bedeutete dies, dass ggfs. Broadcast-Datenpakete an alle Ports auf diesem Switch gesendet werden. Wenn man also zwei unterschiedliche Netzwerkgruppen wie z. B. Personalführungsbüro und Buchhaltungsbüro in isolierte Netzwerke haben wollte, hat man üblicherweise dies mit mehreren Switches bewerkstelligt. Dadurch wurden erfolgreich Datenpakete zwischen zwei verschiedenen Unternehmensbereichen getrennt.

Während dies in kleineren Netzwerken keine große Sache ist, kann es in größeren Netzwerken ineffizient sein. So kamen mittlerweile VLAN-fähige "Smart Managed" Switches und "Managed" Switches auf den Markt.

 

Was ist VLAN (Virtual Local Area Network)

VLAN ist ein logisches Netzwerk, das aus einem oder mehreren lokalen Netzwerken besteht. Es ermöglicht die Zusammenfassung einer Gruppe von Geräten, die in unterschiedlichen Standorten sind, zu einem logischen Netzwerk. Das Ergebnis ist ein virtuelles LAN, welches mehrere physische LANs verwaltet und aber auch diese voneinander isolieren kann.

Geräte innerhalb einer bestimmten Gruppe müssen nicht mit demselben Switch verbunden sein, damit eine lokale (Layer-2-)Kommunikation zwischen ihnen stattfinden kann. Die Kommunikation zwischen VLANs erfordert ein Layer-3-Gerät wie einen Router oder einen Multi-Layer-Switch.

Ohne VLANs kann ein von einem Gerät gesendeter Broadcast-Datenpaket problemlos alle Netzwerkgeräte erreichen. Jedes einzelne Gerät verarbeitet dadurch vermeidbare Datenpakete. Dies kann den CPU-Overhead auf jedem Gerät erhöhen und die allgemeine Netzwerksicherheit verringern.

Falls man Ports eines Switches einem VLAN zuweist, kann ein Broadcast-Datenpaket von einem Gerät nur Geräte erreichen, die innerhalb desselben VLANs zugewiesen sind. Geräte von anderen VLANs sind sich nicht bewusst, dass die Kommunikation stattgefunden hat.

 

Drei wichtige Funktionen von VLANs

1. Port-Based VLAN

Portbasierte VLANs gruppieren lokale Netzwerke nach Ports. Bei dieser Art von virtuellem LAN kann ein ausgewählter Port als ein Mitglied eines bestimmten VLANs konfiguriert werden.

Ports, die mit derselben VLAN-ID gruppiert sind, gehören derselben Broadcast-Domäne an.

Die Herausforderung bei dieser Art von Netzwerk besteht darin, zu wissen, welche Ports für welches VLAN geeignet ist. Die VLAN-Mitgliedschaft kann nicht einfach anhand des physischen Ports eines Switches ermittelt werden. Man kann dies feststellen, indem die Konfigurationsoberfläche des Switches eingesehen wird.

2. Protokollbasiertes VLAN

Diese Art von VLAN verarbeitet den Datenverkehr basierend auf einem Protokoll, das verwendet werden kann, um Filterkriterien für markierte (Tagged) sowie nicht markierte (Untagged) Datenpakete zu definieren.

Mit dieser VLAN-Konfiguration wird das Layer-3-Protokoll dem Datenpaket hinzugefügt, um die VLAN-Mitgliedschaft der zu verarbeitenden Datenpakete zu bestimmen. Zudem ist diese Variante kompatibel mit mehreren Protokollen (multi-protocol) in derselben Netzwerkumgebung. Dieses Verfahren ist in einem überwiegend IP-basierten Netzwerk nicht praktikabel.

3. MAC-basiertes VLAN

MAC-basiertes VLAN ermöglicht es, eingehende Datenpakete ohne VLAN-ID-Tag nachträglich einen VLAN-ID-Tag zuzuweisen. Mit dieser Methode können zuvor nicht identifizierbare Datenpakete in Relation zur MAC-Adresse eines verbundenen Gerätes gebracht werden.

Die Zuordnung erfolgt durch Mac-Adresse zu VLAN-ID. Die Konfiguration erfolgt mit einer Zuordnungstabelle. Die konfigurierte Zuordnungstabelle wird von allen Ports geteilt.

 

Zusammenfassung

  • VLAN ist ein logisches Netzwerk, dass aus einem oder mehreren lokalen Netzwerken bestehen kann.
  • VLANs im Netzwerk werden durch eine Nummer bzw. VLAN-ID unterschieden. Gültiger ID-Bereich für VLANs ist 1 bis 4094.
  • Virtuelle LANs bieten die Möglichkeit zum Erstellen von Gerätegruppen für unterschiedliche Unternehmensbereiche.
  • Der Hauptunterschied zwischen LAN und VLAN besteht darin, dass im LAN das Broadcast-Datenpaket an jedes einzelne Gerät gesendet wird, während das Broadcast-Datenpaket im VLAN nur an eine bestimmte Broadcast-Domäne gesendet wird.
  • VLAN wird in der Regel eingesetzt, wenn mehr als 50 Geräte vorhanden sind, wenn Netzwerkgeräte voneinander isoliert werden sollen (Weitere Sicherheitsebene) und wenn die Netzwerkleistung durch die Aufteilung auf mehrere Broadcast-Domänen verbessert werden soll.
Christian Lisec 23. April 2022
Diesen Beitrag teilen
Ihr dynamisches Snippet wird hier angezeigt ... Diese Meldung wird angezeigt, weil Sie weder einen Filter noch eine Vorlage zur Verwendung bereitgestellt haben