Virtual Local Area Network
aus Wikipedia, der freien Enzyklopädie
Ein Virtual Local Area Network (VLAN) ist ein virtuelles lokales Netz innerhalb eines physischen Netzes. Eine weit verbreitete technische Realisierung von VLANs ist teilweise im Standard IEEE 802.1Q definiert.
Inhaltsverzeichnis |
[Bearbeiten] Gründe und Vorteile
Lokale Netze werden mit Hilfe von aktiven Komponenten – Hubs und Switches – aufgebaut.
Mit Hubs aufgebaute Netze haben vor allem wegen des CSMA/CD-Zugriffsverfahrens und den daraus resultierenden anwachsenden Traffics eine starke Beschränkung zu erfahren. Der maximale Durchsatz wird nie zu erreichen sein und bei starken Netzlasten können bei Datagramm-Protokollen Verbindungsabrisse entstehen.
Durch die Switching-Technik (OSI-Ebene 2) können sehr große LANs aufgebaut werden, ohne starke Bandbreiteneinbußen zu verursachen. Switches können derzeit bis zu ca 24.000 angeschlossene Stationen gleichzeitig verwalten (MAC-table). Vorteil eines großen geswitchten Netzes ist die einfache Erreichbarkeit aller Stationen, die Einsparung von Routern und deren Verwaltung und eine geringe Latenz der Datenpakete.
Aus folgenden Gründen will man ein solches Netz oft wieder unterteilen:
- die Broadcast-Last wird sehr hoch – vor allem in MS-Windows-Netzen
- jede Station kann jede andere direkt ansprechen (Sicherheitsproblem)
Eine Lösung dieser Probleme sind VLANs. Mit Hilfe von VLANs können auf einem Switch oder über mehrere Switches hinweg virtuell getrennte Netze betrieben werden. Diese Technik eignet sich auch für die standortübergreifende Vernetzung (z. B. per ATM) mehrerer VLANs über einen Switch bzw. Router.
Nicht immer lässt sich ein Netz über getrennte Switches aufbauen. Physisch getrennt verkabelte Netze sind unflexibel, Änderungen nur mit hohem Aufwand möglich. VLAN stellt unabhängig von der physischen Struktur eine logische Struktur des Netzes zur Verfügung.
[Bearbeiten] Funktionsweise
Jedem VLAN wird eine eindeutige Nummer zugeordnet. Man nennt diese Nummer VLAN ID. Ein Gerät, das zum VLAN mit der ID=1 gehört, kann mit jedem anderen Gerät im gleichen VLAN kommunizieren, nicht jedoch mit einem Gerät in einem anderen VLAN mit ID=2, 3, ...
Um zwischen den VLANs zu unterscheiden, wird nach IEEE 802.1Q das Ethernet-Frame um 4 Byte erweitert. Davon sind 12 bit zur Aufnahme der VLAN ID vorgesehen, so dass insgesamt 4094 VLANs möglich sind (die VLAN-IDs "0" und "4095" sind reserviert bzw. nicht zulässig).
|
||||||||
TPID - Tag Protocol Identifier – Fester Wert 0x8100. Frame trägt die 802.1Q/802.1p-Tag-Information.
Priorität (user_priority) – Benutzer-Prioritätsinformationen.
CFI - Canonical Format Indicator – Gilt für alle vorhandenen MAC-Adressinformationen im MAC-Datenpaket des Frames. Wert 0 das Format ist kanonisch (am wenigsten signifikante Bit zuerst); Wert 1 Format nicht-kanonisch. Benutzung im Token Ring/Source-Routed-FDDI-Media-Zugang, um die Bit-Order der Adressinformationen des verkapselten Frames festzulegen.
VID - VLAN Identifier – Identifizierung des VLANs zu dem der Frame gehört.
Zusätzlich ist auch eine Priorisierung mit VLAN möglich. Es kann für jeden Frame eine von 8 (3 Bit) Prioritäten angegeben werden. Dadurch ist es möglich, z. B. Sprachdaten bevorzugt weiterzuleiten, während HTTP-Daten ausgebremst werden. Diese Funktionalität wird in den kommenden Jahren immer mehr Verbreitung finden, da die Verwendung von VoIP (IP-Telefonie) immer mehr zunimmt. Dadurch kann auch mit einer 'beschränkten' Bandbreite ohne Störungen telefoniert werden. (siehe auch Quality of Service)
Einige Hersteller haben selbst spezielle Frames entwickelt, in denen ein Frame ohne IEEE 802.1Q einem VLAN zugewiesen werden kann. Als Beispiel ist hier Ciscos Inter-Switch Link Protocol (ISL) zu nennen.
[Bearbeiten] Zuordnung
Es gibt verschiedene Möglichkeiten, auf welcher Schicht des OSI-Modells die Zuordnung realisiert wird:
[Bearbeiten] Schicht 1
Die einfachste Art der Zuordnung ist die feste Definition einer VLAN ID auf einen bestimmten Port des Switches. Hierdurch entstehen statische VLANs, die Sinn haben, wenn Umzüge im Netz nur kontrolliert und verwaltet ablaufen sollen.
[Bearbeiten] Schicht 2
VLANs können auch auf der Sicherungsschicht implementiert werden. In diesen dynamischen VLANs erkennt der Switch beim Umzug die MAC-Adresse und liest aus einer VLAN-Managementdatenbank die Konfiguration für den entsprechenden Port aus. Für das Management ist ein eigenes Protokoll nötig. Beispiele hierfür sind Ciscos Vlan Membership Policy Server (VMPS) und das herstellerunabhängige GARP (Generic Attribute Registration Protocol) VLAN Registration Protocol (GVRP).
[Bearbeiten] Schicht 3
Hier erfolgt die Zuordnung der VLAN ID aufgrund der Adresse des Ebene 3 Protokolls (z. B. IP, IPX).
[Bearbeiten] Schicht 4
Bei der Realisierung auf dieser Schicht wird die VLAN-ID aufgrund von TCP- oder UDP-Portnummern zugewiesen.
[Bearbeiten] Sicherheitsaspekte
Sollen verschiedene VLANs aus Sicherheitsgründen voneinander getrennt werden, so sind nur statische VLANs als sicher einzustufen. Da die VLAN-Zuordnung fest an Switchports und damit an feste Netzdosen gebunden ist, muss ein potentieller Angreifer hier physischen Zugang zum passenden VLAN haben.
Auf Schicht 2 implementierte VLANs sind zwar sehr flexibel, jedoch grundsätzlich als unsicher einzustufen, da an allen Switchports prinzipiell alle VLANs verfügbar gemacht werden können und die VLAN-Zuordnung nur anhand der MAC-Adresse der angeschlossenen Rechner stattfindet. Die MAC-Adresse eines Rechners lässt sich allerdings sehr leicht ändern und somit Zugriff auf alle VLANs herstellen.
Auch auf höheren Schichten lassen sich VLANs mit einigem Aufwand sehr flexibel nutzen. So können neu ans Netz angeschlossene Rechner zunächst vom Switch mit einem "unsicheren VLAN" bedient werden. Nach erfolgreicher Authentifizierung eines Benutzers oder Rechners an einem Anmeldeserver wird der Port auf ein anderes VLAN umgeschaltet. Hier liegt das Sicherheitsrisiko bei den angeschlossenen Rechnern bzw. deren Software, die von einem Angreifer entsprechend modifiziert worden sein kann. Eine Alternative kann die Verwendung eines VPN sein.
[Bearbeiten] Verbindung von VLAN-Switches
VLAN-taugliche Switches (entsprechend IEEE 802.1 Q) können über "gebündelte" (Trunking) Ports miteinander verbunden werden. Empfängt ein Switch auf diesem Port einen Frame mit VLAN-Tag, so wird der Frame an alle zu diesem VLAN gehörenden Ports weitergeleitet. Falls sich an diesem Port ein Endgerät (Server, Drucker, usw.) befindet, wird das VLAN-Tag zuvor entfernt. Logischerweise wird beim Weiterleiten eines Frames von einem Endgerät über einen "gebündelten" Port das VLAN-Tag wieder hinzugefügt. Damit können auf derart verbundenen Switches gleiche VLANs benutzt werden. In größeren Cisco-Netzen kommt das VTP-Protokoll zum Einsatz.
Falls ein Frame an einen Switch gesendet wird, der keine Trunked Ports unterstützt, dann enthält ein angeschlossenes Endgerät einen Ethernetframe mit dem Wert 8100H im Typenfeld. Da dieser Wert keinen Sinn ergibt (genau genommen wird durch das 8100H die angezeigte Paketgröße auf einen immens großen, ungültigen Wert angehoben), wird der Frame als fehlerhaft verworfen.
Mittlerweile sind auch Netzkarten erhältlich, die selbst Frames mit VLAN-Tags versenden können. Einige Open Source-Betriebssysteme, wie zum Beispiel Linux, können mit jeder üblichen Karte Ethernet Frames mit VLAN-Tag verarbeiten (Befehl: vconfig, Paket: VLAN).
[Bearbeiten] Inter-VLAN Routing
Jedes VLAN bildet eine eigene Broadcast-Domäne. Um Verkehr zwischen verschiedenen VLANs zu vermitteln benötigt man einen Router. Moderne Switches stellen diese Funktion intern zur Verfügung. Man spricht dann von einem Layer-3 Switch.
Hier stellt sich die Frage, warum man generell mühevoll getrennte VLANs verbinden soll. Ein Anwendungsbeispiel wäre ein gemeinsamer Login-Server, um Ressourcen zu sparen. Dieser würde sich in einem dritten VLAN befinden, auf das Finanzabteilung und Produktion zugreifen könnten. Allerdings würde in diesem Fall zusätzlich im Router sichergestellt, dass lediglich Login-Informationen übertragen werden können. Finanzen und Produktion, welche ebenfalls am Router angeschlossen sind, wären weiterhin nicht in der Lage, miteinander zu kommunizieren.
Die Überlegenheit von VLAN im Vergleich zu Subnetzen liegt in der Tatsache, dass ein Wechsel von einem VLAN in ein anderes nur am Kopplungselement (Switch, Router) geschehen kann; Subnetze hingegen lassen sich leicht am Client selbst ändern.
[Bearbeiten] Siehe auch
[Bearbeiten] Literatur
- Rolf-Dieter Köhler: Auf dem Weg zu Multimedia-Netzen : VPN ; VLAN-Techniken ; Datenpriorisierung. 1999 Köln : FOSSIL-Verlag. ISBN 3-931959-26-0
