2.2.6 VLAN

Architektur

Die mit Hilfe von Switches und Routern aufbaubaren Netze haben im Wesentlichen eine Baumstruktur. Das gilt für die Hardware (OSI-Layer 1) bis hin zu den Subnetzen (OSI-Layer 3). Die Ausdehnung der Subnetze kann nicht beliebig groß gemacht werden, ihre Größe hängt überdies von der Verkabelung oder der Transferrate ab. Die Kommunikation zwischen den Subnetzen muss über Router erfolgen und beim Transferieren eines Rechners in ein anderes Subnetz muss umgepatcht oder gelegentlich sogar neu verkabelt werden.

Hier schaffen VLANs (virtuelle LANs) Abhilfe, bei denen, ohne Eingriff in die Hardware, Netzknoten mit Hilfe spezieller Switches zu IP-Netzen zusammengefasst werden können. Damit können etwa über ein Firmennetz verteilte Server oder Workstations ein eigenes IP-Netz bilden, wobei weder Kollisionspakete noch Broadcasts von außen gesehen werden, obwohl sich das IP-Netz über mehrere Switches erstreckt. Es wird damit auch möglich, für hinsichtlich der Sicherheit sensible Bereiche eigene Subnetze sogar dynamisch zu konfigurieren. Die Verbindung zweier VLANs erfolgt natürlich wieder über Router. Die folgende Grafik zeigt ein Beispiel für ein statisches VLAN:

Einsatzgebiete und Vorteile

• Die Organisationsstruktur kann fast beliebig auf die von der Lage der Knoten abhängigen Netzwerkstruktur abgebildet werden.
• Die Änderung des Aufgabenbereichs oder der Umzug von Mitarbeitern innerhalb einer Firma ist leicht konfigurierbar.
• Dynamische Workgroups können unterstützt werden.
• Server können in zentrale Technikräume gestellt werden.
• Broadcasts werden eingeschränkt, Routing entfällt teilweise.

Realisierung

VLANs werden mit Hilfe von konfigurierbaren Switches erstellt, wobei jedem VLAN ein oder mehrere Ports am Switch zugeordnet werden können. Die Zuordnung erfolgt:

• Port-basierend, dh. bestimmte VLANs werden bestimmten Ports statisch zugeordnet. Die Fehlersuche ist hier einfach, Umzüge werden aber nicht unterstützt.
• Level-2-VLANs, die Zuordnung VLAN/Port erfolgt aufgrund der MAC-Adresse. Bei diesem System werden zwar Umzüge unterstützt, die Initialisierung ist allerdings aufwendig, weil alle MAC-Adressen erfasst und eingegeben werden müssen. Werden mehrere Switches vernetzt, ist die Konsistenz der Adresstabellen zu sichern, wobei es - herstellerabhängig - unterschiedliche Methoden gibt:
  • Austausch der MAC-Adresstabellen:
    Wird eine Station an das Netz angeschlossen, so erkennt der nächstliegende Switch am Port, zu welchem VLAN die Station gehört. Dann sendet er die MAC-Adresse und die Adresse des VLANs an die anderen Switches.
  • Time Division Multiplexing (TDM):
    Jedes VLAN erhält exklusiv ein Zeitfenster zur Datenübertragung, das allen Switches bekannt ist. Ungenutzte Zeitfenster können aber nicht von anderen VLANs benutzt werden.
  • Frame tagging ist die am häufigsten anzutreffende Methode. Beim expliziten tagging wird in den Header jedes Ethernetframes ein 4Byte langer Tag eingefügt, der u.a. eine VLAN ID enthält, die den Frame eindeutig einem VLAN zuordnet. Zusätzlich ist über 3 Prioritätsbits die Priorisierung von Datenpaketen möglich (Quality of Service, VoIP). Das Problem bei dieser Methode besteht darin, dass durch Einfügen des Tags Protokollregeln verletzt werden und das Paket unter Umständen gelöscht wird. Das wird verhindert, indem der zusätzliche Tag entfernt wird, sobald das Paket zu einem Port mit einem Endgerät geroutet wird.
• Layer-3-Switches ordnen IP-Datenpakete den VLANs zu und sind damit eigentlich eine Kombination von Switch und Router mit, im Vergleich zu klassischen Routern, sehr schnellem Datendurchsatz aufgrund spezieller Hardware. Weil IP-Datenpakete ausgewertet werden, ist eine Kommunikation zwischen den Switches nicht notwendig.

• Layer-7-VLANs ordnen aufgrund des Benutzernamens Rechner einem VLAN zu, was allerdings zur Zeit wegen der hohen Kosten kaum realisiert wird. Hingegen gibt es die günstigere Möglichkeit, aufgrund des Benutzernamens eine spezielle IP-Adresse zuzuweisen und damit ein Layer-3-VLAN zu initialisieren.