Startseite   Titel   Zurück   Suche 
OPTIONEN
 Zur Startseite
 Zur Titelseite
 Eine Seite zurück
 Zum Archiv-Index
HILFE
 Suche
SCHLIESSEN


VLAN
Übersicht
Einführung Mehr... Links RFCs Books
TECHNIK
  • Was ist ein VLAN?
  • Funktionsweise
  • Credits
  • Was ist ein VLAN?
    VLAN steht für ein virtuelles LAN, was soviel heissen soll das ein lokales Netzwerk logisch von seiner physikalischen Struktur getrennt wird und sich dadaurch unterteilen lässt. Ansonsten wäre eine Unterteilung ohne zusätzliche Switches und Router, Kabel umstecken und einem hohen administrativen Aufwand nicht so schnell möglich.

    Dies ist insbesondere gefragt, wenn interne Organisationsstrukturen auf die Netzwerktopologie abgebildet werden sollen und Flexibilität bei der Entstehung ständig wechselnder oder neuer Arbeitsgruppen gefragt ist.

    Durch die Unterteilung in virtuelle Zonen, können Netzlasten entkoppelt werden. Im Falle einer Infektion mit Viren und Würmern, wird nicht das gesamte Netz kompromitiert.
    So gesehen besteht der grosse Vorteil von VLANs vorallem in der flexiblen Gestaltung virtueller Netzwerkstrukturen, durch die allen LAN-Clients Standortunabhängigkeit verliehen werden kann.
    Die logische Unterteilung des Netzwerkes kann aber auch eine Aufteilung von Netzlasten bewirken. Geringerer Datenverkehr innerhalb des LANs, wird durch die virtuelle Eingrenzung der Datenströme erreicht, zudem verbleiben Broad- und Multicasts in einem VLAN und bilden eine eigene Broadcast Domain, Routerübergänge werden reduziert.

    Der Datenverkehr eines VLANs verbleibt in seinen definierten Grenzen und kann nicht versehentlich woandershin gelangen, abgefangen und verwertet werden. Aus dieser Tatsache heraus, sollen VLANs auch einen sicherheitstechnischen Aspekt besitzen. Besteht der Wunsch das verschiedene VLANs untereinander kommunizieren, wird ein Router oder ein L3-Switch benötigt.

    Funktionsweise
    Zur Trennung des Datenverkehrs und der Zuordnung in die jeweiligen VLANs muss ein Switch vorliegen der konfigurierbar ist, man spricht hier von einem managebaren Switch (auch VLAN-Switch genannt). Zwei verschiedene Verfahrensmöglichkeiten können für diese Aufgabe verwendet werden:

  • portbasiert (statische Zuordnung)
    Für jedes VLAN wird hierzu im Switch ein eigener Port fest zugewiesen, so dass nur der Datenverkehr aus dem festgelegten VLAN über diesen Port statt findet.




  • protokollbasiert (dynamische Zuordnung)
    Diese Methode nutzt sog. Frame- bzw. VLAN Tagging, mit der ein entsprechender Switch die Ethernet Frames nach dem Standard IEEE 203.1Q mit zusätzlichen Informationen zu versehen.

  • Dabei werden jedem Ethernet-Paket zwischen Adress- und Längenfeld noch zusätzlich 2 Felder mit jeweils 2 Byte hinzugefügt.

    802.3 802.1Q  802.3    802.3
    MAC-Zieladresse


    6 Byte
    MAC-Quelladresse


    6 Byte
    Tag-Protocol Identifier (TPID)
    2 Byte
    Tag-Control Information

    2 Byte
    Länge


    2 Byte
    Nutzdaten


    46-1500 Byte
    CRC


    4 Byte
    • Der Tag Protokol Identifier kennzeichnet das Vorhandensein einer Erweiterung nach 802.1Q.
    • Der Tag-Control-Identifier hält die Informationen bereit, mit denen der VLAN-Switch über die Art der Behandlung des Pakets entscheiden kann.
    Tag-Control-Information (2 Byte)
    Priorität
    Class of Service (COS)
    3 Bit
    Canonical Format Indicator (CFI)

    1 Bit
    VLAN-ID (VID)

    12 Bit
    • Über die Priorität können bestimmte Pakete bevorzugt behandelt werden.
    • Der CFI dient zum Kompatibilitätserhalt mit Token-Ring Topologien. Dieser trägt in Ethernet-Netzwerken immer den Wert 0.
    • Mit den 12 Bit für die VLAN-ID können 4096 Werte vergeben werden, wobei der oberste und der unterste Wert reserviert ist, mit der letztendlich Auskunft darüber gegeben wird, zu welchem virtuellen LAN das Datenpaket gehört.
    Da die Zuweisung zu den VLANs über getaggte Datenpakete zwischen den L3-Switchen geschieht, sind diese Zusatz-Informationen auch nur für die Switches wichtig. Erhält zunächst ein solcher Switch von einem angeschlossenen Rechner Datenpakete, versieht er diese mit entsprechenden Tags, die die VID der jeweils zugeordneten Port tragen. Diese markierten Pakete werden weiter an den anderen Switch gesendet, der zunächst die Tag-Informationen auswertet und dann diese entfernt, damit der Zielrechner wieder normale Pakete enthält.

    Es lassen sich auch mehrere Switches zusammenschliessen, die somit auch bereits markierte Pakete akzeptieren. Die am Switch angeschlossenen Rechner werden in der Regel nichts mit diesen speziell behandelten Paketen anfangen können. Bei der Konfiguration von L3-Switches müssen deswegen den Ports die entsprechenden VLANs zugeordnet und als "tagged" oder "untagged" definiert werden, um damit die Behandlung von Paketen durch Zuweisung oder Entfernen der Tags zu bestimmen.


    Bericht von :
    [ CONVEX ]
    Überarbeitet von :
    -


    CHECK THIS SITE