VLAN - Was ist ein Virtual Local Area Network?
Virtualisierung funktioniert mit Speichern, Rechenleistung, Software und auch mit Netzwerktechnologie: VLAN bezeichnet ein virtuelles, rein logisches Netzwerk basierend auf einem tatsächlichen, physischen Netz. Wie funktioniert ein Virtual LAN?
Was ist ein VLAN? Die Grundlagen erklärt!
Ein physisches Netzwerk basiert heutzutage in den meisten Fällen auf einem oder mehreren Switches. Dabei handelt es sich um Geräte, die den Datenverkehr unter den Teilnehmern regeln. Dafür verbinden sich am Switch alle Netzwerkkabel und machen so die Kommunikation zwischen den verschiedenen Computern möglich. Inzwischen ist es möglich, dass solche Switches Hunderte von Geräten miteinander verbinden und dabei für relativ störungsfreie Kommunikation sorgen. Es kann aber sinnvoll sein, so große Netzwerke aufzuteilen, ohne dabei etwas an der physikalischen Installation zu verändern.
Ein Virtual Local Area Network (VLAN) ist ein kleineres logisches Segment innerhalb eines großen physikalischen, kabelgebundenen Netzwerks. Die Zusammenlegung der verschiedenen Stationen zu einem eigenen Netz geschieht dabei standortunabhängig: Solange sie im gleichen LAN miteinander verbunden sind, können sie in einem VLAN zusammengefasst werden. Dabei ist es kein Problem, wenn das LAN sich über mehrere Switches erstreckt. Wichtig ist nur, dass der Switch auch VLAN-fähig ist. Nur mit Managed Switches ist es möglich, VLANs zu gründen.
Im Gegensatz zu Unmanaged Switches, die vor allem in Heimnetzwerken zum Einsatz kommen und auf der Idee von Plug and Play basieren, bieten Managed Switches für den professionellen Gebrauch sehr viel mehr Konfigurationsmöglichkeiten. So lassen sich beispielsweise gezielt IP-Adresse verwalten, MAC-Adressen filtern oder eben VLANs etablieren.
Jedes einzelne VLAN erhält eine eigene Broadcast-Domäne: Sendet ein Teilnehmer einen Broadcast innerhalb des VLANs, erhalten alle anderen Teilnehmer innerhalb dieses Segments – und zwar nur diese – die Nachricht. Der Broadcast wird nicht über die Grenzen des virtuellen Netzes weitergetragen. Die Kommunikation verschiedener VLANs läuft dabei mitunter über dieselben Kabel.
Verschiedene VLAN-Typen
VLANs können auf verschiedene Arten eingerichtet werden. Je nach Typ steckt eine andere Technik dahinter. In der Praxis finden zwei Typen Verwendung: portbasierte VLANs und Tagged VLANs. In vielen Fällen realisieren Netzwerkadministratoren ihre Installationen und Zuweisungen über eine Mischform dieser beiden Typen.
Portbasiertes VLAN
In einem Switch wird jeder Netzteilnehmer über einen Port geleitet – grob gesagt: eine Buchse, in der das entsprechende Netzwerkkabel steckt, das dann zum jeweiligen Computer führt (die Ports werden allerdings auch verwendet, um Switches miteinander zu verbinden). Möchte man nun aus diesem einen physischen Netz zwei VLANs machen, weist man die entsprechenden Ports dem gewünschten virtuellen Netzwerk zu.
Auch wenn portbasierte VLAN-Installationen vor allem in kleinen Netzwerken vorkommen und dann nur innerhalb von einem Switch realisiert werden, ist die Konfiguration auch über mehrere Switches hinweg möglich. So können Port 1 bis 3 am ersten Switch und Port 1 am zweiten Switch miteinander in ein und dasselbe VLAN gesteckt werden. Dafür muss man die Switches allerdings mit gleich zwei Kabeln miteinander verbinden – für jedes VLAN eine eigene Verbindung.
Diese Art der Verbindung nennt man Trunking. Switches haben entweder einen oder mehrere speziell für diesen Zweck vorgesehene Ports bzw. erlauben es, diese über die Einstellungsoptionen festzulegen. Die Leitungsart ist dabei nebensächlich: Ob Kupfer- oder Glasfaserkabel oder gar eine kabellose Verbindung, ist dabei nicht erheblich.
Die Verteilung der Pakete erfolgt also über die Switches selbst. Administratoren stellen in diesen ein, welche Ports zu welchem VLAN gehören. Damit ist das VLAN statisch. Sollen VLANs anders zusammengestellt werden, müssen die Ports in der Konfiguration des Switches neu verteilt werden. Außerdem kann jeder Port – und damit auch jedes angeschlossene Gerät – nur Teil eines einzigen VLANs sein. Sollen Geräte aus einem VLAN mit einem anderen kommunizieren, muss dies über einen Router geschehen, der die Nachrichtenpakete weiterschicken kann – so wie man es auch von der Kommunikation zwischen dem heimischen Netzwerk und dem Internet kennt.
Tagged VLAN
Bei Tagged VLANs funktioniert die Zuweisung zu VLANs dynamischer: Statt fest im Switch festgelegt, sorgt eine Markierung (Tag) im Frame des Nachrichtenpakets für die Zuordnung. Aus diesem Grund nennt man diese Technik analog zu den portbasierten Netzen auch framebasiert. In dem Tag steht die Information, in welchem VLAN man sich gerade befindet. Ein Switch kann so erkennen, in welchem Segment die Kommunikation stattfindet, und leitet die Nachricht dementsprechend weiter.
Ein VLAN-Tag ist 32 Bit lang und erscheint im Ethernet-Frame direkt nach der MAC-Adresse des Absenders. Das Tag beginnt mit einer zwei Byte langen Protokoll-ID: Der Tag Protocol Identifier (TPI) zeigt an, ob überhaupt eine VLAN-ID angegeben wurde. Sollte ein VLAN über den Frame markiert werden, haben diese Blöcke den Wert 0x8100. Im Anschluss verweist der Frame in drei Bits auf die Priorität der Nachricht. Es folgt ein Bit für den Canonical Format Identifier (CFI). Diese Position wird nur genutzt, um die Kompatibilität zwischen Ethernet und Token Ring zu gewährleisten.
Erst in den letzten zwölf Bits vermerkt das Protokoll die eigentliche VLAN-ID (VID). Durch die Länge des Frame-Bereichs sind 4.096 verschiedene VLANs verfügbar. Jedes VLAN erhält seine eigene Nummer. Tagged VLANs können auch direkt über die Netzwerkkarten realisiert werden. So unterstützt Linux beispielsweise von Haus aus den Standard. Nutzer von Windows hingegen sind abhängig vom jeweiligen Hersteller der Netzwerkkarte. Über den Gerätetreiber lässt sich dann das VLAN einstellen.
Das hier vorgestellte Frame-Prinzip folgt dem Standard IEEE 802.1q. Dies ist die am häufigsten verwendete Variante. Tatsächlich bestehen aber noch andere Möglichkeiten, wie sich VLAN-Tags im Nachrichtenpaket unterbringen lassen. Cisco beispielsweise verwendet für seine Switches das Inter-Switch Link Protocol (ISL). Um mehrere VLANs zu ermöglichen, kapselt dieses Protokoll den kompletten Datenframe ein.
Der Vorteil von einem Tagged VLAN gegenüber einem, das über Portzuweisung funktioniert, findet sich in der Verbindung zwischen verschiedenen Switches. Portbasiert müssen mindestens zwei Kabel zwischen den Switches verlegt werden, da jedes Virtual LAN seine eigene Verbindung braucht. Bei Trunking in Tagged VLANs reicht ein Kabel, da die Verteilung über die Informationen des Frames funktioniert. Der Switch erkennt das korrekte VLAN und sendet es weiter an den entsprechenden zweiten Switch. Dort wird das Tag entfernt und das Paket an den korrekten Empfänger weitergeleitet.
In der Praxis hat sich eine Kombination aus portbasiertem VLAN und Tagged VLAN bewährt: Dabei läuft die VLAN-Kommunikation innerhalb eines Switches über zugewiesene Ports. Zwischen den Switches allerdings funktioniert die Verbindung framebasiert, um so ein Kabel (und damit auch zwei Ports) einzusparen.
VLAN: Vorteile der virtuellen Netze
Warum sollte man die Anstrengungen auf sich nehmen und ein größeres LAN in mehrere kleine VLANs teilen?
Flexibilität
Soll ein neuer Teilnehmer Teil eines LANs werden, muss das Gerät per Kabel an einen Switch angeschlossen werden. Wechselt ein Mitarbeiter im Unternehmen das Team und soll daher in einem anderen Netz arbeiten, muss er entweder den Arbeitsplatz wechseln oder die Verkabelung muss neu gezogen werden. Bei VLANs funktioniert die Konfiguration rein auf Basis von Software. Der Administrator kann den gleichen Computer flexibel einem anderen VLAN zuweisen.
Sicherheit
Damit unbefugte Personen keinen Zugang zu sensiblen Daten haben, ist es eine gute Idee, das Netzwerk auf eine kleine Gruppe zu beschränken. Bei einem VLAN begrenzt man die Broadcast-Domäne auf nur wenige Stationen. So kann ein Broadcast nicht Personen erreichen, für die die Informationen gar nicht gedacht sind.
Das Einrichten von VLANs ist keine ausreichende Sicherheitsmaßnahme. Wenn die virtuellen Netzwerke und das lokale Netz, auf dem die VLANs basieren, nicht durch Sicherheitsmaßnahmen (z. B. Verschlüsselung) geschützt sind, können Kriminelle die Datenströme abgreifen.
Performance
Auch eine verbesserte Leistung erhält man durch die Reduzierung der Broadcast-Domäne. Broadcast-Nachrichten müssen nicht mehr das komplette Netz durchlaufen. Nachrichten, die vom Typ her an alle Netzteilnehmer gehen, aber nur eine bestimmte Gruppe von Personen erreichen sollen, sorgen somit für unnötigen Traffic. Bei einem VLAN wird die unnütze Belastung der Bandbreite minimiert.
VLANs sind eine effiziente und vergleichsweise einfache Variante, um große Netzwerke in kleinere logische Gruppen zu teilen.
Ordnung
VLANs verbinden eine logische Gruppe an Stationen miteinander. Bei einem Unternehmensnetzwerk beispielsweise befinden sich mitunter Mitarbeiter in einer solchen logischen Gruppe, die aber nicht am selben Ort ihre Arbeitsplätze haben. Teilweise befinden sie sich in unterschiedlichen Räumen, Stockwerken oder gar Gebäuden. Um diese Personen bzw. ihre Computer in einem LAN miteinander zu verbinden, müssten sehr lange Kabel gezogen werden – kreuz und quer über das Betriebsgelände. Da an einem VLAN mehrere Switches teilnehmen können, erfolgt die Verkabelung damit sehr viel sinnvoller und ordentlicher.
Preis
Statt mehrere VLANs lassen sich theoretisch auch mehrere LANs einrichten, die sich anschließend über Router miteinander verbinden lassen, damit die Kommunikation auch von Netz zu Netz möglich ist. Doch das ist mit zusätzlichen Anschaffungen verbunden und daher ein nicht unerheblicher finanzieller Aufwand. Außerdem ist die Installation von parallelen Netzen mit zeitlichem Aufwand verbunden.