VLAN : FACHINFORMATIKER SYSTEMINTEGRATION - CBNET ONLINE PORTAL DER INFORMATIONSTECHNOLOGIE

VLANs (Virtual LANs)

Die meisten LANs werden heute durch Switche realisiert. Dazu baut man das Netzwerk physikalisch und logisch in der Regel in der extended star (erweiterter Stern) Topologie auf. So lassen sich alte Hubs, die ebenfalls diese Topologie bilden, einfach durch moderne Switche ersetzen. Da Switche im Gegensatz zu Hubs aber nicht jeden Frame an alle Ports senden, sondern nach MAC-Adressen selektieren, werden Kollisionensdomänen geschaffen. Der Traffic im Netzwerk wird so stark reduziert es lässt sich ein deutlicher Performance-Gewinn feststellen, wenn ein Hub durch einen Switch ersetzt wird.

Ein Switch ist also in der Lage den Netzwerktraffic gering zu halten. Da der Switch ein Gerät der zweiten Schicht des OSI-Modells ist, kann er anhand der MAC-Adresse erkennen, ob ein Frame weitergeleitet wird, oder nicht. Doch was macht der Switch mit Broadcasts?
Wenn z.B. ein Drucker einen Broadcast schickt, das er kein Papier mehr hat, so geht dieses Paket an alle Geräte im Netzwerk. Jedes dieser Geräte schickt eine Antwort, das es nicht an dieser Meldung interessiert ist. Dies ist unnötig und schafft überflüssigen Traffic.

Ein Switch schafft Kollisionsdomänen. Neben Kollisionsdomänen gibt es aber auch Broadcastdomänen. Diese Broadcastdomänen beziehen sich auf die dritte Schicht des OSI-Modells. Alle Geräte, die innerhalb eines Subnetzes liegen, und nicht durch ein Gerät der dritten OSI-Schicht getrennt sind, liegen innerhalb einer Broadcastdomäne. Ein klassisches Gerät der dritten Schicht ist der Router. Durch Router werden zum einen Kollisionsdomänen geschaffen, zum anderen schaffen Router auch Broadcastdomänen.

Innerhalb eines LANs macht es jedoch wenig Sinn, alle Netzwerksegmente durch Router zu trennen. Das Routing für IP-Adressen kostet Zeit. Zudem müssen Router ständig über Protokolle wie RIP oder TFTP miteinander kommunizieren, um ihre Routing-Tabellen zu pflegen. Außerdem sind die Kosten für einen Router weit höher, als für einen Switch. All das belastet das Netzwerk auch wieder. Es muss also eine Lösung her, die die Geschwindigkeitsvorteile eines Switch bietet, zudem aber auch Broadcastdomänen schafft.

Die Lösung für dieses Problem sind VLANs. VLANs sind virtuelle lokale Netze. Der Standard, in dem VLANs beschrieben werden ist IEEE 802.1Q. VLANs werden ebenfalls durch Switche realisiert, allerdings arbeiten diese Switche auf der dritten OSI-Schicht. Deshalb spricht man bei VLANs auch von Layer-3-switching. Mit Layer3-Switches schafft man genau wie mit Routern verschiedene Subnetze.

Wenn der Traffic innerhalb eines VLAN bleibt, so wird eine Switching Technologie eingesetzt. Sollte das Paket in ein anderes VLAN geleitet werden, wird Routing verwendet. Es erfolgt eine klare Trennung zwischen logischer und physikalischer Sicht. Dabei bleiben Broadcast innerhalb eines VLAN und stören keine anderen VLANs. Bei dem Beispiel mit dem Drucker-Broadcast, könnte man ein VLAN speziell für Drucker einrichten, um der Traffic von Datentransfer im Netzwerk fern zu halten.

Ein wesentlicher Vorteil von VLANs ist, dass man diese nicht nur nacht Geräten, sondern auch nach Ports einrichten kann. Dadurch das die Logik von den physikalischen Gegebenheiten getrennt ist, kann man Gruppen von Ports zu einem VLAN zusammenfassen, auch wenn diese Ports nicht dem selben Gerät angehören. Man spricht von Layer1 VLANs.
Eine andere Möglichkeit ist die Gruppierung nach MAC-Adressen, also VLANs der 2 OSI-Schicht. VLANs der 3 Schicht kennt man bereits, das sind Subnetze, die über Routing miteinander kommunizieren.
Es ist jedoch auch möglich, VLANs nach höheren Schichten zu gliedern, also entweder nach bestimmten Regeln oder nach Applikationen.

End-to-End VLAN:

In einem End-to-End VLAN werden User nach ihrer Funktion, also nach organisatorischer Sicht in VLANs zusammengefasst. Der Standort der Benutzer spielt hier keine so große Rolle, da VLANs auch Gerät-übergreifend, also nach Ports organisiert werden können.

VLAN nach Ports organisiert

Durch den Einsatz von End-to-End VLANs wird die Sicherheit erhöht, da sich alle User einer Abteilung in einem VLAN befinden. Außerhalb des VLAN ist es nicht möglich, die Pakete abzufangen und Übertragungen abzuhören. Ein Nachteil dieser VLANs ist, dass sie in größeren Netzen unübersichtlich werden und damit auch schwer zu managen sind.

Local VLANs:

Das Gegenstück zu End-to-End VLANs sind Local VLANs. Sie sind nicht nach organisatorischer Zugehörigkeit gegliedert, sondern geographisch.

Es gibt 2 Regeln, die für den Traffic in einem VLAN interessant sind: 80/20 und 20/80.
Die 80/20 Regel besagt, dass 80& des Traffic innerhalb des VLAN bleiben und nur 20% nach außerhalb des VLAN über Layer 3 weitergeleitet wird Auf diese Weise werden Broadcast Probleme gelöst.
Mit der 20/80 Regel bleiben 20% des Traffic innerhalb des VLAN und 80% werden nach außen geleitet.

VLANs werden konfiguriert, indem jeder Switch / Port einer VLAN ID zugeordnet wird. Zwischen den einzelnen VLANs muss allerdings geroutet werden.

VLAN Trunking Protocol (VTP)

VTP ist ein Protokoll, dass das VLAN Management vereinfachen soll. Während ohne VTP allen Switches die VLAN informationen seperat mitegeteilt werden müssen, muss mit VTP nur ein sogenannter VTP-Server konfiguriert werden. Ein Switch, der als VTP-Server funktioniert, sendet alle 5 Minuten, oder nach einem Reset die Domäne und die Revision Number an alle Client Switche im Netzwerk. Damit die Switches mit einander kommunizieren können, müssen sie über sogenannte Trunks verbunden sein, sie sollten dabei über Glasfaser angebunden sein und die Ports müssen als Trunk-Ports konfiguriert sein.

Wenn ein Client ein Summary Advertisement vom Server erhält, also Domain und Revision number, überprüft er,´ob er in der Domäne ist. Wenn er nicht der Domäne zugehört, ignoriert er alle weiteren Informationen, gehört er der Domäne an, wird gepfrüft, ob seine VLAN Informationen auf dem aktuellsten Stand sind. Dies tut der VTP-Client, indem er die Revision Number des VTP-Servers mit seiner eigenen vergleicht. Die Revision Number wird auf dem VTP-Server bei jeder Konfigurationsänderung um eins erhöht.

Ist nun die Revision Number im Summary Advertisement höher als die des VTP-Clients, so sendet der VTP-Client ein Advertisement Request, er fordert also aktuelle VLAN-Informationen an. Diese Vorgehensweise hat den Vorteil, dass nicht immer alle VLAN-Informationen über das Netzwerk gesendet werden müssen, sondern sie nur explizit angefordert werden, wenn die Revision Number ungeleich mit der des VTP-Servers ist.

Nach einem Advertisement Request sendet der VTP-Server ein Subset Advertisement an den VTP-Client. Dieses Subset Advertisement beinhaltet die eigentliche VLAN konfiguration.

Jeder VTP-Switch läuft in einem bestimmten Modus. Er ist entweder Server, Client oder transparent. Der Server versendet VLAN Informationen und ist das führende System innerhalb der Domäne. Der Client übernimmt die VLAN Informationen seines übergeordneten VTP-Servers. Ein Switch im transparent mode ignoriert alle VLAN Informationen, die er von einem VTP-Server oder VTP-CLient erhält.

Die VLAN Standard Konfiguration eines Switches ist:

Domain Name: Null
VTP Mode: Server
Configuration Revision Number: 0
VLAN: 1

Ein Switch, der neu in ein VLAN integriert wird, gehört keiner Domäne an (NULL Wert). Er übernimmt die Domäne der ersten VTP-Message, die er erhält. Wenn mehrere Domänen verwendet werden, sollte diese in jedem Fall manuell eingetragen werden. Auch der VTP-Mode sollte direkt geändert werden, da es in einem bestehenden VLAN bereits einen Server gibt, sofern VTP verwendet wird. VLAN 1 ist das Standard VLAN bei Layer-3-fähigen Switches, indem sich alle Switche befinden, die keinem VLAN zugeordnet sind. Werden keine VLANs konfiguriert, sind also alle Switche im Netzwerk in VLAN 1.

Router on a stick

Wenn ein Frame von einem Switch über eine Trunk Verbindung gesendet wird, wird im Header das VLAN Tag gesetzt. Dies beinhaltet die VLAN ID, der Source IP Adresse. Jedes VLAN erhält eine eigene IP-Netzwerk Adresse. Wenn alle Switche an dem selben Interface des Routers angeschlossen sind, muss das Inteface in Subinterfaces unterteilt werden. Das Ethernet Interface e0 des Routers wird in Subinterfaces (e0.1, e0.2, e0.3) unterteilt. Jedes Subinterface kann eine eigene IP aus dem jeweiligen VLAN zugeordnet werden (=> Standard-Gateway des VLAN). Eine Trunk Verbindung zwischen Server Switch und Router Interface muss eingerichtet sein. Der Router trifft seine Entscheidung auf der Grundlage der Netzwerkadresse. Auf dem Ethernet Interface wird der entsprechende VLAN-TAG hinzugefügt.

Sendet eine Station in VLAN 4 Daten an eine Station in VLAN 5, muss zwischen diesen VLANs geroutet werden.

Router on a stick

Die Daten werden also zum ersten Switch geleitet, wo dann das VLAN Tag im Frame Header gesetzt wird. Das VLAN Tag ist jetzt also 4. Enthalten ist im Frame ebenfalls die Destination IP Adresse. Der Switch stellt also fest, dass die etnhaltene Netzwerkadresse nicht innerhalb seines VLANs liegt. Sein Standard Gateway ist der Router, der auch die Internet Verbindung herstellt. Kommen die Daten beim Router an, so ermittelt dieser das VLAN, zu dem die Netzwerkadresse gehört. Auf dem Interface e0 sind mehrere Subinterfaces konfiguriert, eines ist dabe für VLAN 5 eingerichtet. ER setzt also das VLAN Tag auf 5 und sendet die Daten wieder über e0. Der Switch aus VLAN 5 erkennt sich als zuständig und weist die Daten dem entsprechenden Host zu. Da der Router hier den VLAN Tag setzt, wird diese Technik als Tagging Verfahren bezeichnet.

Siehe auch: Spanning Tree Protocol (STP)