Sie sind hier:  AIB V3 > Netzwerke > Repeater & Router > VLAN / VPN 
VLAN - virtuelle lokale Netzwerke

Was ist ein VLAN?

Die Abkürzung VLAN steht für "virtuelles LAN", also eine Netzstruktur mit allen Eigenschaften eines gewöhnlichen LAN, jedoch ohne räumliche Bindung. Während die Stationen eines LAN nicht beliebig weit auseinander liegen können, ermöglicht es ein VLAN hingegen, weiter entfernte Knoten zu einem virtuellen lokalen Netzwerk zu verbinden.

VLANs sind geswitchte Netze, die logisch segmentiert werden können. Ohne Beschränkung durch die räumliche Position ist möglich, Server und Workstations nach ihrer Funktion zu dynamischen Arbeitsgruppen zusammenzufassen. VLANs können transparent und ohne physikalische Veränderungen des Netzes eingerichtet werden. Eine Umgliederung ist ohne Umpatchen oder Verlegen von Rechnern möglich, im Idealfall kann sie über Software erfolgen.

Ein VLAN ist weiters eine Broadcast- und Kollisionsdomäne, die sich auch über mehrere Switches erstrecken kann. Der Broadcastverkehr ist nur in dem VLAN sichtbar. Diese Möglichkeit, VLANs komplett voneinander zu isolieren, erhöht die Sicherheit. Der Verkehr zwischen VLANs muß geroutet werden, hier gibt es Lösungen, die die Geschwindigkeit von Switches erreichen. Innerhalb des VLAN ist hingegen kein Routing nötig.

Beliebige Netzteilnehmer aus verschiedenen Segmenten können nach unterschiedlichen Kriterien (Switch-Port, MAC-Adresse, Protokoll der Netzwerkschicht, logische Netzwerkadresse, Applikation) zu einem virtuellen Netz vereint werden, ohne daß das Netz physikalisch umstrukturiert werden muß.

Warum virtuelle Netze?

  • Broadcasts werden nicht über das gesamte Netzsegment verbreitet
  • Einfache Abbildung der Organisationsstruktur auf die Netzwerkstruktur
  • Unterstützung dynamischer Workgroups
  • Räumliche Entfernung der Mitarbeiter spielt keine Rolle bei der Aufgabenverteilung
  • Jeder Mitarbeiter zieht etwa alle paar Jahre innerhalb des Unternehmens um, verbleibt aber in seiner logischen Arbeitsgruppe
  • Server in zentralen Technikräumen werden entfernten Arbeitsgruppen zugeordnet
  • Teilweise kein Routing mehr nötig
Bisher wurden Netze mit Hilfe von Routern segmentiert. Router sind teuer, es entstehen viele Subnetze, die Router beanspruchen viel Rechenzeit und der IP-Adressraum wird schnell zu klein. VLANs vereinigen die Vorteile von Bridges und Routern: Eine Station kann leicht hinzugefügt, entfernt oder geändert werden und das Netz kann strukturiert werden. Es können beispielsweise virtuelle Benutzergruppen gebildet werden und es ist nicht mehr erforderlich, Benutzer nur deshalb verschiedenen Subnetzen zuzuordnen, weil ihre räumliche Entfernung zu groß ist. Server, die in zentralen Räumen untergebracht sind, können räumlich entfernten Workgroups zugeordnet werden.
VLANs können helfen, Geld zu sparen, denn Switches sind billiger als Router und leichter zu administrieren. Gerade das Ändern von Subnetzadressen, das mit VLANs vermieden wird, ist in großen Netzen sehr aufwändig und damit teuer. Der Broadcast-Traffic wird nicht auf alle Ports übertragen, sondern bleibt im entsprechenden VLAN. Broadcasts in fremden VLANs sind nicht sichtbar.

Realisierung von VLANs

VLANs werden mittels Switches gebildet. Diese unterstützen an jedem Port die volle Bandbreite und transportieren die Daten schneller als Router. Netzteilnehmer können nach verschiedenen Kriterien zu virtuellen Netzen vereinigt werden, und eine Management-Software ermöglicht ggf. eine komfortable Verwaltung und Konfiguration der VLANs.
Zur Inter-VLAN-Kommunikation muß Routing eingesetzt werden. Entweder ist ein Router über mehrere physische Ports als Teil mehrerer VLANs eingerichtet, oder es wird VLAN-Trunking eingesetzt. In diesem Fall muß der Router VLAN-Tags erkennen und verändern können.

Abbilden von Ports auf VLANs
Ausgangsbasis sind ein Switch oder mehrere miteinander verbundene Switches, bei denen die Ports unterschiedlichen VLANs zugeordnet werden. Die einfachste Form wäre ein Switch, bei dem die Hälfte der Ports dem VLAN A und die andere Hälfte dem VLAN B zugeordnet ist. Um den Geltungsbereich eines VLANs festzulegen, gibt es mehrere Strategien:

  1. VLAN A belegt die Ports 1 bis k, VLAN B die Ports k+1 bis n.
  2. Der Switch kann mit einer VLAN/Port-Zuordnung konfiguriert werden.
  3. Der Switch kann mit einer VLAN/MAC-Adressen-Zuordnung konfiguriert werden. Er bestimmt dann dynamisch die VLAN/Port-Zuordnung aufgrund der MAC-Adresse.
  4. Der Switch kann mit einer VLAN/IP-Präfix-Zuordnung konfiguriert werden. Er bestimmt dann dynamisch die VLAN/Port-Zuordnung aufgrund der Quell-IP-Adresse.
  5. Der Switch kann mit einer VLAN/Protokoll-Zuordnung konfiguriert werden. Er bestimmt dann dynamisch die VLAN/Port-Zuordnung aufgrund des Protokolltyps.
Bei den ersten beiden Punkten spricht man von "Port-basierenden VLANs", bei Punkt drei von "Level-2-VLANs" und den letzten Punkten von "Protokoll-basierenden VLANs".

Port-basierende VLANs
Die Ports eines Switches werden unterschiedlichen VLANs zugeordnet. An einem Port können immer nur Angehörige desselben VLANs angeschlossen sein. Die starre Zuordnung zwischen Port und VLAN vereinfacht die Fehlersuche. Soll eine Station zu mehreren VLANs gehören, so sind aber mehrere Netzwerk-Adapter nötig. Bei Broadcasts ist eine hohe Sicherheit gewährleistet. Die Flexibilität bei Umzügen ist nicht groß, denn ein Umzug einer Station muß durch den Administrator im VLAN-Manager nachgeführt werden. Im Gegensatz zu der Gruppierung nach MAC-Adressen oder IP-Adressen kann das Engerät nicht einfach den Umzug bekannt geben und das VLAN automatisch umgestaltet werden. Dieses Verfahren ist weit verbreitet, es ist durch IEEE 802.1Q standardisiert und wird von vielen Herstellern unterstützt.

Level-2-VLANs
Die Zugehörigkeit zu einem VLAN richtet sich nach der MAC-Adresse. Der Switch muß bei jedem empfangenen Datenpaket entscheiden, zu welchem VLAN es gehört. So können an einem Port auch Stationen verschiedener VLANs angeschlossen sein, aber es kann in diesem Fall auch zu Performance-Verlusten kommen. Der Umzug von Stationen ist leicht möglich, da die Zuordnung zum VLAN ja erhalten bleibt. Problematisch ist die Initialisierung, da die MAC-Adressen aller Endgeräte erfasst werden müssen. Gerade in großen Netzen, wo häufig VLANs eingerichtet werden müssen, ist dann aber die VLAN-Konfiguration der einzelnen Arbeitsplätze wieder sehr zeitaufwendig.

Schema eines Netzwerkes aus zwei Layer-2 Switches und einem Router.

Der Layer-2-Switch interpretiert wie eine Bridge nur die MAC-Adresse der Pakete. Es kann aber im Unterschied zu dieser parallel arbeiten und mehrere Pakete gleichzeitig weiterleiten, etwa von Port A nach C und von B nach D.

Sobald jedoch mehrere Switches vernetzt sind, muß sichergestellt werden, daß die Adreßtabellen in allen Switches konsistent sind. Dazu müssen regelmäßig Informationen über das Netz übertragen werden. Genau dies ist aber das Hauptproblem der VLANs. Jeder Hersteller verwendet für diesen Informationsabgleich eigene Verfahren. Deshalb verstehen sich die Switches verschiedener Produzenten oft nicht. U. a. gibt es:

  • den regelmäßigen Austausch der Adreßtabellen mit MAC-Adressen und VLAN-Nummer. Die Tabellen werden etwa einmal pro Minute ausgetauscht.
  • das Frame Tagging, bei dem die VLAN-Nummer als Tag vor das MAC-Paket gesetzt. Die zulässige Paketlänge kann dabei überschritten werden.
  • das Zeitmultiplexverfahren, bei dem der Backbone zwischen den Switches in Zeit-Slots aufgeteilt wird, die fest den einzelnen VLANs zugeordnet sind.

Protokoll-basierende VLANs
Layer-3-Switches bieten zusätzliche Möglichkeiten durch Basis-Routing-Funktionalität wie z.B. ARP. Der externe Router wird somit oft überflüssig. Diese Variante ist langsamer, da auch Layer-3-Informationen ausgewertet werden müssen. Die Zuordnung einzelner Datenpakete zu verschiedenen virtuellen LANs geschieht durch Auswertung der Subnetzadressen oder portbasiert. Innerhalb einen VLAN wird auf Layer 2 geswitcht. Bei der Verwendung nicht routingfähiger Protokolle treten Schwierigkeiten auf und dynamische Adresszuordnungsverfahren können nicht eingesetzt werden.

Layer-3-Switches verwenden Routerfunktionen zur Definition virtueller Netze. Um effizient arbeiten zu können, wird innerhalb eines VLAN nur gebridged.

Regelbasierende VLANs
Hier werden logische Zuordnungen eingesetzt und die VLAN-Zugehörigkeit wird anhand des Ports, der MAC-Adresse, des Protokolls oder der Netzadresse bestimmt. Das System ist besonders flexibel, der Administrator kann selbst eine Balance zwischen Sicherheit, Verkehrsoptimierung und Kontrolle erreichen, aber dafür ist die Einrichtung aufwendig. Durch die Abarbeitung der einzelnen Regeln ergibt sich eine hohe Latenzzeit.

Layer-2-Switches

Layer-2-Switches arbeiten unabhängig von darüber liegenden Protokollen auf der Data-Link-Layer und garantieren eine transparente Verbindung der Endgeräte. Während des Betriebs lernt ein Switch alle MAC-Adressen und ordnet sie in einer MAC-Tabelle den Anschlussports zu. In dieser Tabelle sucht der Switch nach der Zieladresse und dem zugeordneten Zielport. Die Adresstabellen der Switches müssen um die Adressen der VLANs ergänzt und immer am aktuellen Stand gehalten werden. Dafür stehen hauptsächlich folgende Verfahren zur Verfügung:

  • Austausch der MAC-Adresstabellen
    Wie beim Routing tauschen auch die Switches Informationen aus um ihre Adresstabellen abzugleichen. Wird eine neue Station an das Netz angeschlossen, so erkennt der lokale Switch am Port, zu welchem VLAN die Station gehört und ergänzt seine Adresstabelle. Dann sendet er die MAC-Adresse und die Adresse des VLANs an die anderen Switches. Wenn alle Switches die neue Endstation kennen, können deren Daten übertragen werden.
  • Time Division Multiplexing (TDM)
    Beim Zeitmultiplexverfahren wird der Backbone, der die Switches verbindet, in Zeitslots aufgeteilt und jedes VLAN erhält exklusiv einen oder mehrere Slots zur Datenübertragung. Die Switches müssen nur wissen, welcher Zeitslot welchem VLAN zugeordnet ist. Es entfällt zwar der Overhead durch den Austausch von Adresstabellen oder aufgrund von Tags, aber Bandbreite, die von einem VLAN nicht genutzt wird, steht nicht für andere VLANs zur Verfügung. Für den sinnvollen Einsatz dieses Verfahrens ist eine an das tatsächliche Netzverhalten angepasste Zuordnung der Zeitslots nötig.
  • Frame Tagging
    Das Frame Tagging wird am häufigsten eingesetzt. Beim impliziten Tagging werden keine zusätzlichen Informationen in das Datenpaket eingefügt, sondern die Tagging-Information wird aus der vorhandenen Header-Information hergeleitet und vom Switch in Tabellen gespeichert. Dadurch werden vorhandene Standards nicht verletzt.

    Beim expliziten Tagging wird in den Ethernet-Frame ein Marker (Tag) eingesetzt (VLAN-ID), der angibt, zu welchem VLAN das Datenpaket gehört. Dadurch ist kein Austausch von Adresstabellen nötig. Der erste Switch, der ein bestimmtes Datenpaket erhält, analysiert es auf seine VLAN-Zugehörigkeit und fügt die Kennung des VLANs als Tag an. Das Paket wird am Backbone von Switch zu Switch weitergeleitet, der letzte Switch entfernt das Tag und übergibt das Paket der Endstation. Die Switches müssen sehr leistungsfähig sein, um möglichst mit Wirespeed die Paketinformationen auswerten und mit den Tabellen vergleichen zu können.

    Das Einfügen von zusätzlicher Information in das Paket ist problematisch, wenn die Datenpakete schon die maximal zulässige Länge erreicht haben. Durch das Hinzufügen eines weiteren Tags würden dann die Vorgaben des MAC-Protokolls verletzt, das Paket als fehlerhaft erkannt und vernichtet. Daher setzen die Hersteller spezifische Techniken zur Vermeidung dieses Problems ein (Kapselung - Encapsulation) - siehe unten.

    Layer-2-Systeme sind leichter zu konfigurieren als Ebene-3-VLANs, benötigen weniger Software und sind meist preisgünstiger und schneller. Außerdem sind sie protokollunabhängig und können auch nicht routbare Protokolle bedienen.

    Layer-3-Switches

    Layer-3-Switches arbeiten auf der Netzwerkebene (Layer 3 des ISO/OSI-Modells). Sie integrieren Routing-Funktionalität in die VLANs und machen externe Router zur Verbindung der VLANs überflüssig. Daher werden sie auch als "Switched Router" bezeichnet. Layer-3-Switches können Ebene-3-Informationen auswerten und deshalb VLANs auch abhängig vom verwendeten Protokolltyp definieren. So kann man z.B. alle IP-Stationen oder alle Netware-Stationen ortsunabhängig zu einem VLAN zusammenfassen. In Schicht-3-VLANs werden eigentlich nicht Endgeräte, sondern Datenpakete den VLANs zugeordnet. Diese Zuordnung geschieht durch Auswerten der Subnetzadressen und es ist kein Informationsaustausch zwischen den Switches wie bei den Layer-2-Systemen nötig.
    Obwohl auch die Ebene-3-Informationen ausgewertet werden, muß die Routing-Funktionalität nur zwischen den VLANs eingesetzt werden. Layer-3-Switches müssen auch Routing-Protokolle beherrschen. Unbekannte Datenpakete werden innerhalb des VLANs an alle Stationen geschickt (Broadcast). Der Broadcast-Traffic kann aber durch Bildung von Subnetzen eingedämmt werden.
    Im Vergleich zu klassischen Routern erlauben Layer-3-Switches einen sehr schnellen Durchsatz auf Ebene 3, da die Zuweisung der Daten über spezielle Hardware erfolgt. "Wirespeed Switched Router" sind in der Lage, Pakete ohne Verzögerung, also mit Leitungsgeschwindigkeit, weiterzuleiten. Für den Umzug von Mitarbeitern ist keine manuelle Rekonfiguration des Netzwerks nötig, sondern der Switch lernt automatisch die neuen Verbindungen und baut daraus Routing- bzw. Switching-Tabellen auf.

    Layer-3-Systeme sind für komplexe Netzwerke besser geeignet, der Overhead zur Synchronisation fällt weg. Broadcast kann gezielter übertragen werden und es stehen Filtermöglichkeiten zur Sicherung der VLANs zur Verfügung.

    Dynamische VLAN-Bindung, Switch-Switch

    Sehen wir uns nun den Fall an, wenn ein Switch an einen anderen Switch angeschlossen ist:

    Auf der Verbindung zwischen den beiden Switches können Pakete entweder zu VLAN 1 oder VLAN 2 gehören. Das Schema zum Hinzufügen von zusatzlichen Informationen zu einem Paket ist vom IEEE standardisiert. Es handelt sich um die "VLAN-Marke", damit Switches wissen, für welches VLAN ein Paket bestimmt ist. Ein Endgerät wäre jedoch verwirrt, wenn es ein Paket mit einer VLAN-Marke erhalten würde. Folglich müssen die Switches wissen, an welche Ports Switches und an welche Ports Endgeräte angeschlossen sind. Ein Switch entfernt die VLAN-Marke vom Paket, bevor er es zu einem Nicht-Nachbarswitch-Port weiterleitet.
    Die VLAN-Marke ist eine 2-Byte-Zahl, die drei Bits für die Prioriät, zw&öuml;lf Bits für eine VLAN-ID und ein Bit enthält, das anzeigt, ob die Adressen im kanonischen Format vorliegen. Durch den Ethernet-Typ 81-00 wird angezeigt, daß eine VLAN-Marke vorhanden ist. Beispielsweise ist ein Ethernet-Paket folgendermaßen aufgebaut:

Dasselbe Paket mit VLAN-Marke sieht dann folgendermaßen aus:

Ein Paket im 802.3-Format wird in ein Format mit einer VLAN-Marke umgesetzt, indem dieselben vier Bytes (81-00 für Ethertype und die 2-Byte-VLAN-Marke) wie im Ethernet-Paket hinzugefügt wurden. Die Längenangabe und weitere Felder werden analog nach hinten verschoben.
Auf anderen LANs als 802.3 ist es nicht möglich, das Ethernet-Format zu verwenden. In diesem Fall wird eine andere Kodierung verwendet, um die VLAN-Marke einzufügen.

Ein Switch kann alle VLANs "lernen", die auf dem Port verügbar sind, der ihn mit einem anderen Switch verbindet. Er tut dies auf der Grundlage der VLAN-Marken in den Paketen, die auf diesem Port empfangen werden. Da die Endgeräte die VLAN-Marke nicht verstehen, muß der Switch so konfiguriert sein, daß er niemals ein Paket mit einer VLAN-Marke zu einem Port sendet, auf dem sich ein Endgerät befinden könnte. Einige Switch-Anbieter haben einen anbieterspezifischen Mechanismus zum Informationsaustausch darüber, welche VLANs auf dem Switch-zu-Switch-Port erreichbar sind. Auf diese Art lernt der Switch die VLANs über explizite Protokollnachrichten. Bisher existiert jedoch kein Standard dafür.

To top

Spam-Server "Grum" abgeschaltet

Für alle die sich schon immer über zuviel Spam im Postfach geärgert haben gibt es eine gute...

TYPO3 Version 4.7 verfügbar

Die finalen Version des TYPO3 CMS Version 4.7 ist veröffentlicht worden. In TYPO3 4.7 wurde...

Schleusingen jetzt mit UTMS versorgt

In Schleusingen ab sofort mit bis zu 42,2 Megabit pro Sekunde im Internet surfen....

neuer RC TYPO3 4.7 veröffentlicht

Der neue Release-Kandidat 2 von TYPO3 4.7 wartet mit einer Vielzahl neuer Funktionen auf, außerdem...

TYPO3 4.4.12, 4.5.8 und 4.6.1 sind online

Heute wurde bekannt gegeben, dass ab sofort TYPO3 4.4.12, 4.5.8 und 4.6.1 zur Verfügung stehen. Es...

Das Hennebergische Gymnasium Schleusingen hat eine neue Website !

Nach langen Wochen der Erstellung und Redaktionsschulung ist die neue Website www.gym-schleusingen...