VLAN – Vom Nutzen der Segmentierung im lokalen Netzwerk

VLAN ist ein Begriff aus der modernen IT Technologie. Ein VLAN ist ein Virtual Local Area Network, also die virtuelle – bzw. logische, im Gegensatz zur physikalischen – Umsetzung eines lokalen Netzwerks. VLANs dienen hauptsächlich der Segmentierung von lokalen Netzwerken. Die Segmentierung kann aus verschiedenen Gründen notwendig werden und wird technisch auf den Switches, die für die Vernetzung eingesetzt werden, umgesetzt. Im Gegensatz zum herkömmlichen geswitchten Netzwerk können beim Einsatz von VLANs nicht alle Geräte an allen Switchports direkt miteinander kommunizieren. Aus diesem Grund ist der Einsatz eines Routers bzw. einer Firewall zur Verbindung von VLANs erforderlich.

Welche Gründe sprechen für den Einsatz von VLANs?

Ein LAN, zum Beispiel in Unternehmen oder Behörden, kann in seiner modernen Ausprägung sehr groß werden und eine Vielzahl verschiedener Dienste auf Basis von Netzwerkpaketen ermöglichen. Bei der Konzeptionierung und beim Ausbau eines lokalen Netzwerks müssen verschiedene Aspekte berücksichtigt werden. Besonderen Wert wird auf die Sicherheit und die Stabilität gelegt.

Zu Beginn der Zeiten des Ethernets wurden sensible Teile eines Netzwerkes physisch voneinander getrennt. Dieses Verfahren erhöhte die Sicherheit zwischen den Netzwerkteilen und die Netzwerklast der einzelnen Teile war niedriger als in einem alles umspannenden Netzwerk. Die Trennung erfolgte durch den Einsatz mehrerer, meist unmanaged Switches für die einzelnen Segmente.

In modernen Unternehmensnetzwerken und zunehmend beim Einsatz im Heimnetz kommen managed Switches zum Einsatz. Diese sind geringfügig teurer, ermöglichen im Gegenzug eine Vielzahl an Konfigurationsoptionen. Mittels Webinterface im Browser oder über die Kommandozeile (CLI – Command Line Interface) stehen viele Funktionen zur Verfügung.

Sicherheit

Die logische Trennung von lokalen Netzwerken kommt aus verschiedenen Gründen zum Einsatz. Hauptgrund war die Erhöhung der Netzwerksicherheit, was heute durch verbesserte Angriffstechniken weniger zutrifft. Angreifern wird der Zugriff auf Daten und Geräte in unterschiedlichen Subnetzen zumindest erschwert. Durch eine Firewall zwischen den Segmenten lässt sich der Zugriff gut steuern.

 

Performance

Durch die Segmentierung mittels VLAN lassen sich zeitkritische Daten vom Rest des Datenverkehrs trennen. In einem VLAN können Daten für Telefonie, Videostreaming oder Steuerungsdaten für Maschinen unabhängig vom gesamten Datenaufkommen mit garantierten Lauf- und Antwortzeiten übertragen werden. Mittels QoS (Quality of Services – Priorisierung bestimmter Datentypen) kann die Perfomance auch über geroutete Verbindungen in andere VLANs oder über das Internet garantiert werden.

Mehr zum Thema:
Was ist OpenVAS?

Lastverringerung

Durch die Segmentierung eines großen Netzwerkes in VLANs wird das gesamte Datenaufkommen im Netzwerk reduziert, da Broadcasts nur jeweils in ihrem Subnetz verbreitet werden. In einem großen Netzwerk würden alle Broadcasts der Geräte über das gesamte Netzwerk geflutet werden, durch die Segmentierung bleiben sie innerhalb des VLANs.

Flexibilität

Weil VLANs einfach konfiguriert und geändert werden können, erhöht sich die Flexibilität im Netz. Zieht ein Gerät an einen anderen Standort, lässt sich der zugehörige Port am Switch umprogrammieren und das Gerät kann wie gewohnt weiterarbeiten. Ohne VLANs wären aufwändige Verkabelungsarbeiten notwendig. Ebenso der umgekehrte Fall – Umzug eines Gerätes in ein anderes Subnetz – kann durch die simple Änderung der VLAN-Zugehörigkeit umgesetzt werden.

Ordnung

Mittels Zuordnung von Geräten zu einem VLAN kann eine Sortierung nach Aufgabengebiet erfolgen. Geräte an verschiedenen Standorten im Netzwerk können einem Segment zugeordnet werden und gehören dadurch logisch zusammen. Das kann einzelne Arbeitsgruppen oder Abteilungen betreffen wie auch die Segmentierung nach Funktion wie Management-VLAN, WLAN-VLAN, Voice-VLAN und so weiter.

Wie konfiguriert man ein VLAN?

Die Konfiguration der VLANs erfolgt an der Verwaltungsoberfläche der Switches, am einfachsten grafisch über das Webfrontend, am flexibelsten und sogar programmierbar über die CLI. Es gibt verschiedene Techniken, VLANs zu konfigurieren und Ports VLANs zuzuordnen. Je nach Technik wird unterschieden zwischen portbasiertem oder tagged VLAN. Ist die Portzuordnung fest, spricht man vom statischen VLAN, bei veränderlicher Portzuordnung dagegen vom dynamischen.

Portbasiertes VLAN

Portbasierte VLANs waren die erste Implementierung dieser Technik. Dabei wird jedem Port eines Switches genau ein VLAN zugeordnet. Direkter Datenverkehr ist nur zwischen den Ports eines VLANs möglich. Mit der Anzahl der VLANs und der Switche steigt die Anzahl der Verbindungen zur VLAN-Übertragung exponentiell. Das Verfahren ist deshalb nur für kleine Anzahlen von VLANs und Switchen praktikabel.

Tagged VLAN

Tagged VLANs stellen eine Erweiterung des Ethernet Standards dar und sind nur mit speziell dafür vorgesehenen Switches verwendbar. Dabei wird das Ethernetpaket um den sogenannten Tag erweitert, der der die VLAN ID des zugehörigen Netzwerkpaketes darstellt. Der VLAN-Tag ist vier Bytes lang, davon werden 12 Bit für das VLAN Tag verwendet. Rechnerisch ergibt sich daraus die Möglichkeit, 4096 VLANs anzulegen. Wegen der sich verändernden Länge der Pakete ist das Verfahren nur auf dafür vorgesehenen Switches und Netzwerkgeräten anwendbar.

Mehr zum Thema:
Was ist SAMBA?

Das Tag wird verwendet, um die Zugehörigkeit von Paketen zu einem VLAN zu kennzeichnen. Dadurch können über einen Port Pakete mehrerer VLANs übertragen werden. Diese Ports lassen sich gut zur Verbindung von Switches verwenden und reduzieren den Aufwand der Verkabelung erheblich.

In modernen Switches wird heute eine Mischung aus port- und tag-basierten VLANs verwendet. Sogenannte Access-Port für den Anschluss von Geräten werden einem VLAN zugeordnet (portbasiert), das Tagging wird bei Ports für die Koppelung von Netzwerkgeräten wie Switches Routern oder Virtualisierungshosts verwendet. Dadurch ist es möglich, die Vorteile des VLAN Taggings zu nutzen, ohne dass alle Geräte im Netzwerk mit Tags umgehen können müssen.

Statische VLANs

Statische VLANS sind praktisch gleichzusetzen mit portbasierten. Die Portzuordnung wird fest vorgegeben und verändert sich nur durch Neukonfiguration durch den Administrator.

Dynamische VLANs

Zur Umsetzung eines dynamischen benötigt der Switch eine gewisse Intelligenz. Die Zuordnung eines Ports zu einem VLAN wird durch programmierbare Charakteristika der passierenden Netzwerkpakete festgelegt. Der Switch erkennt die vorgegebenen Muster und ordnet einen Port automatisch dem zugehörigen VLAN zu.

Der Administrator legt bei der Switchkonfiguration bestimmte Regeln fest, nach denen ein Port einem VLAN zugeordnet wird. Das können Mac-Adressen, Protokoll-Typ, TCP/UDP-Ports und vieles mehr sein. Anhand der Regeln lässt sich der Zugang zum Netzwerk und zu bestimmten VLANs steuern. Mobile Geräte können unabhängig vom Standort immer demselben VLAN zugeordnet werden.

Daniel Faust

Redakteur bei Biteno GmbH
Daniel Faust ist Redakteur im Content-Team der Biteno und betreut den Blog der Biteno GmbH.

Letzte Artikel von Daniel Faust (Alle anzeigen)