VLAN - virtuelle lokale Netzwerke

Was ist ein VLAN?

VLANs sind geswitchte Netze, die logisch segmentiert werden können. Ohne Beschränkung durch die räumliche Position ist möglich, Server und Workstations nach ihrer Funktion zu dynamischen Arbeitsgruppen zusammenzufassen. VLANs können transparent und ohne physikalische Veränderungen des Netzes eingerichtet werden. Eine Umgliederung ist ohne Umpatchen oder Verlegen von Rechnern möglich, im Idealfall kann sie über Software erfolgen.

Ein VLAN ist weiters eine Broadcast- und Kollisionsdomäne, die sich auch über mehrere Switches erstrecken kann. Der Broadcastverkehr ist nur in dem VLAN sichtbar. Diese Möglichkeit, VLANs komplett voneinander zu isolieren, erhöht die Sicherheit. Der Verkehr zwischen VLANs muß geroutet werden,hier gibt es Lösungen, die die Geschwindigkeit von Switches erreichen. Innerhalb des VLAN ist hingegen kein Routing nötig.

Beliebige Netzteilnehmer aus verschiedenen Segmenten können nachunterschiedlichen Kriterien (Switch-Port, MAC-Adresse, Protokoll der Netzwerkschicht,logische Netzwerkadresse, Applikation) zu einem virtuellen Netz vereintwerden, ohne daß das Netz physikalisch umstrukturiert werden muß.

Warum virtuelle Netze?

• Broadcasts werden nicht über das gesamte Netzsegment verbreitet
• Einfache Abbildung der Organisationsstruktur auf die Netzwerkstruktur
• Unterstützung dynamischer Workgroups
• Räumliche Entfernung der Mitarbeiter spielt keine Rolle bei der Aufgabenverteilung
• Jeder Mitarbeiter zieht etwa alle paar Jahre innerhalb des Unternehmens um, verbleibt aber in seiner logischen Arbeitsgruppe
• Server in zentralen Technikräumen werden entfernten Arbeitsgruppen zugeordnet
• Teilweise kein Routing mehr nötig

Realisierung von VLANs

Abbilden von Ports auf VLANs
Ausgangsbasis sind ein Switch oder mehrere miteinander verbundene Switches, bei denen die Ports unterschiedlichen VLANs zugeordnet werden. Die einfachste Form wäre ein Switch, bei dem die Hälfte der Ports dem VLAN A und die andere Hälfte dem VLAN B zugeordnet ist. Um den Geltungsbereich eines VLANs festzulegen, gibt es mehrere Strategien:

1. VLAN A belegt die Ports 1 bis k, VLAN B die Ports k+1 bis n.
2. Der Switch kann mit einer VLAN/Port-Zuordnung konfiguriert werden.
3. Der Switch kann mit einer VLAN/MAC-Adressen-Zuordnung konfiguriert werden. Er bestimmt dann dynamisch die VLAN/Port-Zuordnung aufgrund der MAC-Adresse.
4. Der Switch kann mit einer VLAN/IP-Präfix-Zuordnung konfiguriert werden. Er bestimmt dann dynamisch die VLAN/Port-Zuordnung aufgrund der Quell-IP-Adresse.
5. Der Switch kann mit einer VLAN/Protokoll-Zuordnung konfiguriert werden. Er bestimmt dann dynamisch die VLAN/Port-Zuordnung aufgrund des Protokolltyps.

Port-basierende VLANs
Die Ports eines Switches werden unterschiedlichen VLANs zugeordnet. An einem Port können immer nur Angehörige desselben VLANs angeschlossen sein. Die starre Zuordnung zwischen Port und VLAN vereinfacht die Fehlersuche. Soll eine Station zu mehreren VLANs gehören, so sind aber mehrere Netzwerk-Adapter nötig. Bei Broadcasts ist eine hohe Sicherheit gewährleistet. Die Flexibilität bei Umzügen ist nicht groß, denn ein Umzug einer Station muß durch den Administrator im VLAN-Manager nachgeführt werden. Im Gegensatz zu der Gruppierung nach MAC-Adressen oder IP-Adressen kann das Engerät nicht einfach den Umzug bekannt geben und das VLAN automatisch umgestaltet werden. Dieses Verfahren ist weit verbreitet, es ist durch IEEE 802.1Q standardisiert und wird von vielen Herstellern unterstützt.

Level-2-VLANs
Die Zugehörigkeit zu einem VLAN richtet sich nach der MAC-Adresse. Der Switch muß bei jedem empfangenen Datenpaket entscheiden, zu welchem VLAN es gehört. So können an einem Port auch Stationen verschiedener VLANs angeschlossen sein, aber es kann in diesem Fall auch zu Performance-Verlusten kommen. Der Umzug von Stationen ist leicht möglich, da die Zuordnung zum VLAN ja erhalten bleibt. Problematisch ist die Initialisierung, da die MAC-Adressen aller Endgeräte erfasst werden müssen. Gerade in großen Netzen, wo häufig VLANs eingerichtet werden müssen, ist dann aber die VLAN-Konfiguration der einzelnen Arbeitsplätze wieder sehr zeitaufwendig.

Schema eines Netzwerkes aus zwei Layer-2 Switches und einem Router.

Der Layer-2-Switch interpretiert wie eine Bridge nur die MAC-Adresse der Pakete. Es kann aber im Unterschied zu dieser parallel arbeiten und mehrere Pakete gleichzeitig weiterleiten, etwa von Port A nach C und von B nach D.

Sobald jedoch mehrere Switches vernetzt sind, muß sichergestellt werden, daß die Adreßtabellen in allen Switches konsistent sind. Dazu müssen regelmäßig Informationen über das Netz übertragen werden. Genau dies ist aber das Hauptproblem der VLANs. Jeder Hersteller verwendet für diesen Informationsabgleich eigene Verfahren. Deshalb verstehen sich die Switches verschiedener Produzenten oft nicht. U. a. gibt es:

• den regelmäßigen Austausch der Adreßtabellen mit MAC-Adressen und VLAN-Nummer. Die Tabellen werden etwa einmal pro Minute ausgetauscht.
• das Frame Tagging, bei dem die VLAN-Nummer als Tag vor das MAC-Paket gesetzt. Die zulässige Paketlänge kann dabei überschritten werden.
• das Zeitmultiplexverfahren, bei dem der Backbone zwischen den Switches in Zeit-Slots aufgeteilt wird, die fest den einzelnen VLANs zugeordnet sind.

Protokoll-basierende VLANs
Layer-3-Switches bieten zusätzliche Möglichkeiten durch Basis-Routing-Funktionalität wie z.B. ARP. Der externe Router wird somit oft überflüssig. Diese Variante ist langsamer, da auch Layer-3-Informationen ausgewertet werden müssen. Die Zuordnung einzelner Datenpakete zu verschiedenen virtuellen LANs geschieht durch Auswertung der Subnetzadressen oder portbasiert. Innerhalb einen VLAN wird auf Layer 2 geswitcht. Bei der Verwendung nicht routingfähiger Protokolle treten Schwierigkeiten auf und dynamische Adresszuordnungsverfahren können nicht eingesetzt werden.

Layer-3-Switches verwenden Routerfunktionen zur Definition virtueller Netze. Um effizient arbeiten zu können, wird innerhalb eines VLAN nur gebridged.

Regelbasierende VLANs
Hier werden logische Zuordnungen eingesetzt und die VLAN-Zugehörigkeit wird anhand des Ports, der MAC-Adresse, des Protokolls oder der Netzadresse bestimmt. Das System ist besonders flexibel, der Administrator kann selbst eine Balance zwischen Sicherheit, Verkehrsoptimierung und Kontrolle erreichen, aber dafür ist die Einrichtung aufwendig. Durch die Abarbeitung der einzelnen Regeln ergibt sich eine hohe Latenzzeit.

Layer-2-Switches

• Austausch der MAC-Adresstabellen
  Wie beim Routing tauschen auch die Switches Informationen aus um ihre Adresstabellen abzugleichen. Wird eine neue Station an das Netz angeschlossen, so erkennt der lokale Switch am Port, zu welchem VLAN die Station gehört und ergänzt seine Adresstabelle. Dann sendet er die MAC-Adresse und die Adresse des VLANs an die anderen Switches. Wenn alle Switches die neue Endstation kennen, können deren Daten übertragen werden.
• Time Division Multiplexing (TDM)
  Beim Zeitmultiplexverfahren wird der Backbone, der die Switches verbindet, in Zeitslots aufgeteilt und jedes VLAN erhält exklusiv einen oder mehrere Slots zur Datenübertragung. Die Switches müssen nur wissen, welcher Zeitslot welchem VLAN zugeordnet ist. Es entfällt zwar der Overhead durch den Austausch von Adresstabellen oder aufgrund von Tags, aber Bandbreite, die von einem VLAN nicht genutzt wird, steht nicht für andere VLANs zur Verfügung. Für den sinnvollen Einsatz dieses Verfahrens ist eine an das tatsächliche Netzverhalten angepasste Zuordnung der Zeitslots nötig.
• Frame Tagging
  Das Frame Tagging wird am häufigsten eingesetzt. Beim impliziten Tagging werden keine zusätzlichen Informationen in das Datenpaket eingefügt, sondern die Tagging-Information wird aus der vorhandenen Header-Information hergeleitet und vom Switch in Tabellen gespeichert. Dadurch werden vorhandene Standards nicht verletzt.

  Beim expliziten Tagging wird in den Ethernet-Frame ein Marker (Tag) eingesetzt (VLAN-ID), der angibt, zu welchem VLAN das Datenpaket gehört. Dadurch ist kein Austausch von Adresstabellen nötig. Der erste Switch, der ein bestimmtes Datenpaket erhält, analysiert es auf seine VLAN-Zugehörigkeit und fügt die Kennung des VLANs als Tag an. Das Paket wird am Backbone von Switch zu Switch weitergeleitet, der letzte Switch entfernt das Tag und übergibt das Paket der Endstation. Die Switches müssen sehr leistungsfähig sein, um möglichst mit Wirespeed die Paketinformationen auswerten und mit den Tabellen vergleichen zu können.

  Das Einfügen von zusätzlicher Information in das Paket ist problematisch, wenn die Datenpakete schon die maximal zulässige Länge erreicht haben. Durch das Hinzufügen eines weiteren Tags würden dann die Vorgaben des MAC-Protokolls verletzt, das Paket als fehlerhaft erkannt und vernichtet. Daher setzen die Hersteller spezifische Techniken zur Vermeidung dieses Problems ein (Kapselung - Encapsulation) - siehe unten.

  Layer-2-Systeme sind leichter zu konfigurieren als Ebene-3-VLANs, benötigen weniger Software und sind meist preisgünstiger und schneller. Außerdem sind sie protokollunabhängig und können auch nicht routbare Protokolle bedienen.

  Layer-3-Switches

  Layer-3-Switches arbeiten auf der Netzwerkebene (Layer 3 des ISO/OSI-Modells). Sie integrieren Routing-Funktionalität in die VLANs und machen externe Router zur Verbindung der VLANs überflüssig. Daher werden sie auch als "Switched Router" bezeichnet. Layer-3-Switches können Ebene-3-Informationen auswerten und deshalb VLANs auch abhängig vom verwendeten Protokolltyp definieren. So kann man z.B. alle IP-Stationen oder alle Netware-Stationen ortsunabhängig zu einem VLAN zusammenfassen. In Schicht-3-VLANs werden eigentlich nicht Endgeräte, sondern Datenpakete den VLANs zugeordnet. Diese Zuordnung geschieht durch Auswerten der Subnetzadressen und es ist kein Informationsaustausch zwischen den Switches wie bei den Layer-2-Systemen nötig.
  Obwohl auch die Ebene-3-Informationen ausgewertet werden, muß die Routing-Funktionalität nur zwischen den VLANs eingesetzt werden. Layer-3-Switches müssen auch Routing-Protokolle beherrschen. Unbekannte Datenpakete werden innerhalb des VLANs an alle Stationen geschickt (Broadcast). Der Broadcast-Traffic kann aber durch Bildung von Subnetzen eingedämmt werden.
  Im Vergleich zu klassischen Routern erlauben Layer-3-Switches einen sehr schnellen Durchsatz auf Ebene 3, da die Zuweisung der Daten über spezielle Hardware erfolgt. "Wirespeed Switched Router" sind in der Lage, Pakete ohne Verzögerung, also mit Leitungsgeschwindigkeit, weiterzuleiten. Für den Umzug von Mitarbeitern ist keine manuelle Rekonfiguration des Netzwerks nötig, sondern der Switch lernt automatisch die neuen Verbindungen und baut daraus Routing- bzw. Switching-Tabellen auf.

  Layer-3-Systeme sind für komplexe Netzwerke besser geeignet, der Overhead zur Synchronisation fällt weg. Broadcast kann gezielter übertragen werden und es stehen Filtermöglichkeiten zur Sicherung der VLANs zur Verfügung.

  Dynamische VLAN-Bindung, Switch-Switch

  Sehen wir uns nun den Fall an, wenn ein Switch an einen anderen Switch angeschlossen ist:
  

  Auf der Verbindung zwischen den beiden Switches können Pakete entweder zu VLAN 1 oder VLAN 2 gehören. Das Schema zum Hinzufügen von zusatzlichen Informationen zu einem Paket ist vom IEEE standardisiert. Es handelt sich um die "VLAN-Marke", damit Switches wissen, für welches VLAN ein Paket bestimmt ist. Ein Endgerät wäre jedoch verwirrt, wenn es ein Paket mit einer VLAN-Marke erhalten würde. Folglich müssen die Switches wissen, an welche Ports Switches und an welche Ports Endgeräte angeschlossen sind. Ein Switch entfernt die VLAN-Marke vom Paket, bevor er es zu einem Nicht-Nachbarswitch-Port weiterleitet.
  Die VLAN-Marke ist eine 2-Byte-Zahl, die drei Bits für die Prioriät, zw&öuml;lf Bits für eine VLAN-ID und ein Bit enthält, das anzeigt, ob die Adressen im kanonischen Format vorliegen. Durch den Ethernet-Typ 81-00 wird angezeigt, daß eine VLAN-Marke vorhanden ist. Beispielsweise ist ein Ethernet-Paket folgendermaßen aufgebaut:

  
  

Ein Paket im 802.3-Format wird in ein Format mit einer VLAN-Marke umgesetzt, indem dieselben vier Bytes (81-00 für Ethertype und die 2-Byte-VLAN-Marke) wie im Ethernet-Paket hinzugefügt wurden. Die Längenangabe und weitere Felder werden analog nach hinten verschoben.
Auf anderen LANs als 802.3 ist es nicht möglich, das Ethernet-Format zu verwenden. In diesem Fall wird eine andere Kodierung verwendet, um die VLAN-Marke einzufügen.

Ein Switch kann alle VLANs "lernen", die auf dem Port verügbar sind, der ihn mit einem anderen Switch verbindet. Er tut dies auf der Grundlage der VLAN-Marken in den Paketen, die auf diesem Port empfangen werden. Da die Endgeräte die VLAN-Marke nicht verstehen, muß der Switch so konfiguriert sein, daß er niemals ein Paket mit einer VLAN-Marke zu einem Port sendet, auf dem sich ein Endgerät befinden könnte. Einige Switch-Anbieter haben einen anbieterspezifischen Mechanismus zum Informationsaustausch darüber, welche VLANs auf dem Switch-zu-Switch-Port erreichbar sind. Auf diese Art lernt der Switch die VLANs über explizite Protokollnachrichten. Bisher existiert jedoch kein Standard dafür.

Zurück

Inhaltsverzeichnis

Diplomarbeiten zum Runterladen: