VLAN
|
Übersicht
|
Einführung |
Mehr... |
Links |
RFCs |
Books
|
TECHNIK |
Was ist ein VLAN?
Funktionsweise
Credits
|
Was ist ein VLAN?
|
VLAN steht für ein virtuelles LAN, was soviel heissen soll das ein lokales Netzwerk logisch von seiner
physikalischen Struktur getrennt wird und sich dadaurch unterteilen lässt. Ansonsten wäre eine Unterteilung
ohne zusätzliche
Switches und
Router, Kabel umstecken und einem hohen administrativen Aufwand nicht so schnell möglich.
Dies ist insbesondere gefragt, wenn interne Organisationsstrukturen auf die Netzwerktopologie abgebildet werden sollen
und Flexibilität bei der Entstehung ständig wechselnder oder neuer Arbeitsgruppen gefragt ist.
|
|
|
So gesehen besteht der grosse Vorteil von VLANs vorallem in der flexiblen Gestaltung virtueller Netzwerkstrukturen,
durch die allen LAN-Clients Standortunabhängigkeit verliehen werden kann.
|
Durch die Unterteilung in virtuelle Zonen, können Netzlasten entkoppelt werden.
Im Falle einer Infektion mit Viren und Würmern, wird nicht das gesamte Netz kompromitiert.
|
|
Die logische Unterteilung des Netzwerkes kann aber auch eine Aufteilung von Netzlasten bewirken. Geringerer Datenverkehr
innerhalb des LANs, wird durch die virtuelle Eingrenzung der Datenströme erreicht, zudem verbleiben Broad- und Multicasts
in einem VLAN und bilden eine eigene Broadcast Domain, Routerübergänge werden reduziert.
Der Datenverkehr eines VLANs verbleibt in seinen definierten Grenzen und kann nicht versehentlich woandershin gelangen,
abgefangen und verwertet werden. Aus dieser Tatsache heraus, sollen VLANs auch einen sicherheitstechnischen Aspekt besitzen.
Besteht der Wunsch das verschiedene VLANs untereinander kommunizieren, wird ein Router oder ein L3-Switch
benötigt.
|
Funktionsweise
|
Zur Trennung des Datenverkehrs und der Zuordnung in die jeweiligen VLANs muss ein Switch vorliegen der konfigurierbar ist,
man spricht hier von einem managebaren Switch (auch VLAN-Switch genannt). Zwei verschiedene Verfahrensmöglichkeiten können
für diese Aufgabe verwendet werden:
portbasiert (statische Zuordnung)
Für jedes VLAN wird hierzu im Switch ein eigener Port fest zugewiesen, so dass nur der Datenverkehr aus dem festgelegten
VLAN über diesen Port statt findet.
protokollbasiert (dynamische Zuordnung)
Diese Methode nutzt sog. Frame- bzw. VLAN Tagging, mit der ein entsprechender Switch die Ethernet Frames nach dem Standard
IEEE 203.1Q mit zusätzlichen Informationen zu versehen.
|
Dabei werden jedem Ethernet-Paket zwischen Adress- und Längenfeld noch zusätzlich
2 Felder mit jeweils 2 Byte hinzugefügt.
802.3 |
802.1Q |
802.3 |
|
802.3 |
MAC-Zieladresse
6 Byte |
MAC-Quelladresse
6 Byte |
Tag-Protocol Identifier (TPID) 2 Byte |
Tag-Control Information
2 Byte |
Länge
2 Byte |
Nutzdaten
46-1500 Byte |
CRC
4 Byte |
|
- Der Tag Protokol Identifier kennzeichnet das Vorhandensein einer Erweiterung nach 802.1Q.
- Der Tag-Control-Identifier hält die Informationen bereit, mit denen der VLAN-Switch über die Art der Behandlung
des Pakets entscheiden kann.
|
Tag-Control-Information (2 Byte) |
Priorität Class of Service (COS) 3 Bit |
Canonical Format Indicator (CFI)
1 Bit |
VLAN-ID (VID)
12 Bit |
|
- Über die Priorität können bestimmte Pakete bevorzugt behandelt werden.
- Der CFI dient zum Kompatibilitätserhalt mit Token-Ring Topologien. Dieser trägt in Ethernet-Netzwerken immer den Wert 0.
- Mit den 12 Bit für die VLAN-ID können 4096 Werte vergeben werden, wobei der oberste und der unterste Wert reserviert
ist, mit der letztendlich Auskunft darüber gegeben wird, zu welchem virtuellen LAN das Datenpaket gehört.
|
Da die Zuweisung zu den VLANs über getaggte Datenpakete zwischen den L3-Switchen geschieht, sind diese Zusatz-Informationen
auch nur für die Switches wichtig. Erhält zunächst ein solcher Switch von einem angeschlossenen Rechner Datenpakete,
versieht er diese mit entsprechenden Tags, die die VID der jeweils zugeordneten Port tragen. Diese markierten Pakete werden
weiter an den anderen Switch gesendet, der zunächst die Tag-Informationen auswertet und dann diese entfernt, damit der
Zielrechner wieder normale Pakete enthält.
Es lassen sich auch mehrere Switches zusammenschliessen, die somit auch bereits markierte Pakete akzeptieren.
Die am Switch angeschlossenen Rechner werden in der Regel nichts mit diesen speziell behandelten Paketen anfangen können.
Bei der Konfiguration von L3-Switches müssen deswegen den Ports die entsprechenden VLANs zugeordnet und als "tagged" oder
"untagged" definiert werden, um damit die Behandlung von Paketen durch Zuweisung oder Entfernen der Tags zu bestimmen.
|
Bericht von : [ CONVEX ]
|
Überarbeitet von : -
|
|