Eine sehr wichtige Technik beim Ethernet-Switching sind VLANs (Virtual LAN, virtuelles LAN). Hierbei werden Workstations und Server mit Hilfe von Switches zu logischen Gruppen zusammengefasst. Alle Geräte in einem VLAN können zunächst nur ausschließlich mit den anderen Geräten im eigenen VLAN kommunizieren, sodass das geswitchte Netzwerk wie eine Anzahl mehrerer, nicht verbundener LANs zu betrachten ist. Es ist häufig schwierig, ein VLAN exakt zu definieren, denn die verschiedenen Hersteller verwenden unterschiedliche Ansätze zur Einrichtung von VLANs.
Unternehmen nutzen VLANs häufig als Möglichkeit, eine bestimmte Gruppe von Benutzern logisch zusammenzufassen. Man kann dies mit einem traditionellen Arbeitsplatz vergleichen, wo mehrere Abteilungen häufig in einem Gebäude unterbracht sind; insofern kann man ein auf die Abteilung begrenztes traditionelles LAN als natürliches Abbild dieser Anforderung betrachten.
Heutzutage sind die Mitarbeiter eines Unternehmens mit ihrem Arbeitsplatz jedoch nicht mehr an einen bestimmten Standort im Unternehmen gebunden, da VLANs die Bildung »logischer« Abteilungsbereiche ermöglicht haben. So werden Mitarbeiter der Marketingabteilung eines Unternehmens zu Mitgliedern des Marketing-VLAN gemacht, während Entwickler und Techniker im Entwicklungs-VLAN platziert werden.
VLANs bieten Sicherheit, Skalierbarkeit und einfacheres Netzmanagement. Router in VLAN-Topologien ermöglichen die Filterung von Broadcasts und bieten Sicherheit und Datenflussmanagement.
In diesem ersten Teil unserer zweiteiligen Miniserie lesen Sie einführende Grundlagen zu VLANs. Im zweiten Teil erfahren Sie in Kürze, wie Sie VLANs konkret konfigurieren und typische Fehler beseitigen.
Logische Gruppen statt physikalischer Segmente
Ein VLAN ist eine logische Gruppierung von Netzwerkgeräten oder Benutzern, die nicht auf ein physisches Segment beschränkt ist. Die Abbildung 1 zeigt die logische Gruppierung von Workstations in VLANs im Vergleich mit der physischen Gruppierung von Workstations in traditionellen LANs.
VLANs segmentieren geswitchte Netzwerke logisch nach Funktionen innerhalb einer Organisation, nach Projektteams oder nach Anwendungen, nicht jedoch auf einer physischen oder geografischen Basis. So können beispielsweise alle Workstations und Server, die von einer bestimmten Arbeitsgruppe verwendet werden, unabhängig von ihrem Standort im Netzwerk an das gleiche VLAN angeschlossen werden. Abbildung 2 zeigt ein VLAN-Design, bei dem drei VLANs über zwei Switches hinweg definiert werden, die über einen Router miteinander verbunden sind. Eine Neukonfiguration dieses Netzwerks erfolgt nicht durch physische Trennung und Verlegung von Geräten und Kabeln, sondern einzig über die Konfiguration der Geräte, d. h. auf einer Softwareebene.
VLAN als Broadcast-Domäne
Abbildung 3 zeigt ein VLAN-Design für verschiedene Abteilungen innerhalb des Unternehmens. Hier ist für jede Abteilung – Entwicklung, Marketing und Buchhaltung – jeweils ein VLAN definiert, das sich über drei Switches an drei verschiedenen Standorten erstreckt.
Eine Client-Workstation in einem VLAN ist zunächst darauf beschränkt, Dateiserver und Workstations im gleichen VLAN zu kontaktieren. Man kann sich ein VLAN als Broadcast-Domäne vorstellen, die innerhalb einer definierten Gruppe von Switches existiert. VLANs umfassen eine Anzahl von Endsystemen – entweder Hosts oder Netzwerkgeräte wie Bridges und Router –, die durch eine einzige Bridge-Domäne miteinander verbunden sind. Die Bridge-Domäne wird durch verschiedene Netzwerkgeräte wie etwa LAN-Switches realisiert, auf denen Bridging-Protokolle ausgeführt werden; dabei ist für jedes VLAN virtuell eine separate Gruppe von Bridges vorhanden.
Broadcast-Domänen mit VLANs und Routern
VLANs werden erstellt, um die Segmentierung zu ermöglichen, die in traditionellen LANs durch Router realisiert wird. In VLAN-Topologien bieten Router Broadcast-Filterung, Sicherheit und Datenverkehrsmanagement. Switches können den Datenverkehr zwischen VLANs nicht einfach wie eine Bridge weiterleiten, da dies die Integrität der VLAN-Broadcast-Domäne beschädigen würde. Daher muss der Datenverkehr zwischen VLANs immer geroutet werden.
Ein VLAN ist eine Broadcast-Domäne, die sich über einen oder mehrere Switches erstreckt. Im folgenden Szenario benötigt das Netzdesign zwei getrennte Broadcast-Domänen. In Abbildung 4 werden mit Hilfe dreier separater Switches zwei getrennte Broadcast-Domänen erstellt. Beachten Sie, dass der Router eine Weiterleitung von Paketen zwischen den Broadcast-Domänen durchführt, die sich wie getrennte Schicht-3-Gruppierungen verhalten. Dazu ist mindestens eine Verbindung zum Router erforderlich.
Betrieb eines VLAN
Ein VLAN bildet ein geswitchtes Netzwerk, das nach Funktionen, Projektteams oder Anwendungen gruppiert wird, ohne dass die physischen Standorte der Benutzer hierbei eine Rolle spielen. Jeder Switch-Port kann einem VLAN zugewiesen werden. Ports, die dem gleichen VLAN zugeordnet sind, verarbeiten auch die gleichen Broadcasts; Ports, die unterschiedlichen VLANs zugewiesen sind, tun dies nicht. Auf diese Weise wird die Gesamtleistung des Netzwerks optimiert, denn die Auswirkung unnötiger, Bandbreite verschwendender Broadcasts wird reduziert.
Man unterscheidet zwei Methoden der VLAN-Konfiguration:
Statische VLANs. Diese Methode heißt auch »portbasierte Mitgliedschaft«. Die Zuordnung eines Ports zu einem VLAN erfolgt durch statische VLAN-Konfiguration. Wenn ein Gerät ans Netzwerk angeschlossen wird, nimmt es automatisch am VLAN »seines« Ports teil. Wechselt der Benutzer die Ports, möchte aber im gleichen VLAN bleiben, dann muss der Administrator eine manuelle Zuweisung des neuen Ports zum gewünschten VLAN vornehmen (Abbildung 5).
Dynamische VLANs. Dynamische VLANs entstehen durch den Einsatz von Softwarelösungen wie CiscoWorks 2000. Mit Hilfe eines VMPS (VLAN Management Policy Server, Server für VLAN-Verwaltungsrichtlinien) können Sie Switch-Ports VLANs dynamisch basierend auf der MAC-Adresse des Gerätes zuweisen, das an den Port angeschlossen ist. Derzeit ermöglichen die Catalyst-Switches eine Mitgliedschaft in dynamischen VLANs nur basierend auf der MAC-Adresse des Endgerätes. Sobald ein Gerät dem Netzwerk hinzugefügt wird, fragt der Switch den VMPS automatisch zur VLAN-Zugehörigkeit ab (Abbildung 6).
Beispiel: Portzentrisches statisches VLAN
Abbildung 7 zeigt ein statisches, portbasiertes VLAN. Der Port wird einem bestimmten VLAN zugewiesen – abhängig davon, welcher Benutzer oder welches System an ihn angeschlossen ist. Dies bedeutet, dass alle Benutzer, die an den Port angeschlossen werden, Mitglieder desselben VLANs sind. An einen einzelnen Switch-Port sind entweder eine einzelne Benutzer-Workstation oder ein Hub angeschlossen, der wiederum mit mehreren Workstations verbunden ist. Die VLAN-Zuweisung erfolgt in der Regel durch den Netzwerkadministrator. Die Portkonfiguration ist statisch und kann nicht automatisch auf ein anderes VLAN umgeschaltet werden, ohne dass der Switch manuell neu konfiguriert werden müsste. Beachten Sie in der Abbildung 7, dass jedes VLAN sich in einem separaten Subnetz befindet und dass der Router zur Kommunikation zwischen diesen Subnetzen verwendet wird.
VLANs bieten Benutzern mehr Bandbreite in einem großen Netzwerk, denn sie definieren separate Broadcast-Domänen.
Das Standard-VLAN für jeden Port eines Switchs ist VLAN1, das so genannte Management-VLAN. Das Management-VLAN kann nicht gelöscht werden, aber es lassen sich weitere VLANs erzeugen, denen die Ports dann zugewiesen werden können.
Wir erinnern uns: Jede Schnittstelle eines Switchs verhält sich wie ein Port einer Bridge, und Switches sind im Grunde genommen nichts anderes als Multiport-Bridges. Bridges filtern Datenverkehr aus, bei dem Ursprungs- und Zielsegment gleich sind. Muss ein Frame nun eine Bridge passieren und ist die Empfänger-MAC-Adresse bekannt, dann leitet die Bridge den Frame über die korrekte Schnittstelle (und nur über diese) weiter. Weiß die Bridge bzw. der Switch nicht, wo sich der Empfänger befindet, dann flutet er bzw. sie den Frame über alle Ports in der Broadcast-Domäne (VLAN) mit Ausnahme des Herkunftsports.
Ein VLAN muss immer eine eindeutige Schicht-3-Netzwerk- oder Subnetzadresse haben. Dies ermöglicht erst das Schicht-3-Switching von Paketen zwischen VLANs mit Routern. VLANs können entweder als Ende-zu-Ende-Netzwerke, welche die gesamte Switch-Struktur umfassen, oder aber innerhalb geografischer Grenzen existieren.
Ende-zu-Ende-VLANs
Ende-zu-Ende-VLANs (Abbildung 8) ermöglichen eine Gruppierung von Geräten basierend auf den im Netzwerk zu nutzenden Ressourcen. Hierzu gehören Gesichtspunkte wie die Serverauslastung, Projektteams und Abteilungen. Der Zweck von Ende-zu-Ende-VLANs besteht darin, 80 Prozent des Datenverkehrs im lokalen VLAN zu behalten. Ende-zu-Ende-VLANs haben die folgenden Eigenschaften:
-
Benutzer werden ungeachtet ihres physischen Standorts, aber in Abhängigkeit von ihrer Gruppe oder Arbeitsfunktion zu VLANs zusammengefasst.
-
Alle Benutzer in einem VLAN sollten das gleiche Datenflussmuster im Verhältnis 80:20 beim internen und externen Datenaufkommen aufweisen.
-
Wenn ein Benutzer innerhalb des Campus umzieht, soll seine VLAN-Zugehörigkeit erhalten bleiben.
-
Jedes VLAN hat bestimmte Sicherheitsanforderungen, die für alle Mitglieder glei-chermaßen gelten.
Geografische VLANs
Da man in vielen Unternehmensnetzwerken dazu übergegangen ist, die Ressourcen zu zentralisieren, ist die Verwaltung von Ende-zu-Ende-VLANs zunehmend schwieriger geworden. Benutzer müssen viele verschiedene Ressourcen verwenden, von denen wiederum sich längst nicht alle innerhalb ihres VLAN befinden. Angesichts dieser Verschiebung von Ressourcenplatzierung und -verwendung werden VLANs mittlerweile immer häufiger innerhalb enger Grenzen standortbezogen (statt campusweit) erstellt.
Ein solcher geografischer Standort kann ebenso ein vollständiges Gebäude wie auch einen einzigen Switch in einem Verteilerraum umfassen. Innerhalb einer geografischen VLAN-Struktur findet die neue 20:80-Regel normalerweise Anwendung, die besagt, dass 80 Prozent externer Datenverkehr sind, während 20 Prozent lokaler Natur sind – dies ist exakt das Gegenteil der Regel für Ende-zu-Ende-VLANs. Doch auch wenn diese Topologie zur Folge hat, dass 80 Prozent der Ressourcenzugriffe eines Benutzers über einen Router laufen, erlaubt dieses Netzdesign eine logische und folgerichtige Methode des Ressourcenzugriffs.
Geografische VLANs sind außerdem erheblich leichter zu administrieren und zu planen als VLANs, die mehrere geografisch getrennte Bereiche umfassen.
Vorteile von VLANs
Unternehmen strukturieren sich ständig um. Beispielsweise werden in den Vereinigten Staaten jedes Jahr zwischen 20 und 40 Prozent aller Firmenmitarbeiter an andere Standorte versetzt. Diese Verschiebungen, Ergänzungen und Änderungen gehören zu den größten Herausforderungen aller Netzwerkmanager und erhöhen den Aufwand bei der Administration eines Netzwerks beträchtlich. Viele Versetzungen machen eine Neuverkabelung notwendig, und eine Neuadressierung von Stationen wie auch die Umkonfigurierung von Switches und Routern sind in diesem Zusammenhang der Normalfall.
VLANs bieten eine einfache Möglichkeit solcher Änderungen und der Verringerung eines Großteils der Kosten, die mit der Neukonfiguration von Switches und Routern verbunden sind. Benutzer in einem VLAN nutzen den gleichen Netzwerkadressraum (d. h. das IP-Subnetz) unabhängig von ihrer physischen Position. Wenn Benutzer in einem VLAN von einem Standort an einen anderen verlegt werden, ändern sich ihre Netzwerkadressen nicht, solange sie im ursprünglichen VLAN verbleiben und an einen Switch-Port angeschlossen sind.
Ein Standortwechsel mag lediglich darin bestehen, einen Benutzer an einen Port eines VLAN-fähigen Switchs anzuschließen und diesen Port dann für das entsprechende VLAN zu konfigurieren. Bei dynamischen VLANs konfiguriert der Switch den Port automatisch für das richtige VLAN, sobald die MAC-Adresse der Netzwerkkarte der umgezogenen Workstation beim VMPS abgefragt wurde.
VLANs und Sicherheit
VLANs stellen eine Methode zur Erweiterung der von Routern isolierten Bereiche auf die Switch-Struktur dar und schützen das Netzwerk gegen potenziell gefährliche Broadcasting-Probleme. Ferner sorgen VLANs dafür, dass alle Leistungsvorteile des Switchings beibehalten werden.
Sie erstellen diese geschützten Bereiche, indem Sie Switch-Ports bzw. Benutzern bestimmte VLAN-Gruppen zuweisen. Das ist sowohl innerhalb einzelner Switches als auch über mehrere verbundene Switches hinweg möglich. Broadcast-Datenverkehr innerhalb eines VLAN gelangt nicht aus diesem VLAN heraus. Abbildung 9 zeigt ein Beispiel für Broadcast-Domänen.
Umgekehrt erhalten benachbarte Ports den Broadcast-Datenverkehr nicht, der von anderen VLANs erzeugt wird. Diese Form der Konfiguration verringert den Broadcast-Gesamtdatenverkehr erheblich, gibt Bandbreite für echten Benutzerdatenverkehr frei und verringert die Gesamtanfälligkeit des Netzwerks gegenüber Broadcast-Stürmen. Abbildung 10 zeigt, wie ein Router als eine Art Firewall zwischen LANs agieren kann.
Ein Problem gemeinsam genutzter LANs besteht darin, dass ein Eindringen in solche Netzwerke vergleichsweise einfach ist. Wenn ein Angreifer eine physische Verbindung mit einem angeschlossenen Port herstellt, kann er auf den gesamten Datenverkehr im Segment sehen. Je größer die Gruppe, desto umfangreicher ist auch der potenzielle Zugriff.
Eine kostengünstige und leicht zu administrierende Erhöhung der Sicherheit ist die Segmentierung des Netzwerks in mehrere Broadcast-Gruppen. Dies ermöglicht dem Netzwerkmanager,
-
die Anzahl der Benutzer pro VLAN-Gruppe zu beschränken,
-
einem Benutzer, dessen Mitgliedschaft zum VLAN noch nicht durch die Managementanwendung (und damit durch den Netzwerkmanager) genehmigt wurde, den Eintritt in eine Gruppe zu verweigern,
-
alle nicht benutzten Ports als Low-Service-VLANs zu konfigurieren.
Die Umsetzung dieser Form der Segmentierung ist relativ unkompliziert. Switch-Ports werden basierend auf Zugriffsrechten der Anwendungen gruppiert. Eingeschränkte Anwendungen und Ressourcen werden normalerweise in einer gesicherten VLAN-Gruppe abgelegt. In diesem gesicherten VLAN schränkt der Switch oder Router den Zugriff auf die Gruppe ein. Einschränkungen können basierend auf Stationsadressen, Anwendungs- oder Protokolltypen konfiguriert werden. Ein Beispiel für VLAN-Sicherheit zeigt Abbildung 11.
Hubs und nicht VLAN-fähige Switches
Während der letzten Jahre haben Netzwerkadministratoren eine bedeutende Anzahl an Hubs und nicht VLAN-fähigen Switches installiert. Viele dieser Geräte wurden dann durch neuere VLAN-Switches ersetzt. Da jedoch nicht alle Netzwerkanwendungen mehr dedizierte Bandbreite und Leistungsfähigkeit benötigen, können diese Hubs bzw. Switches in vielen Installationen nach wie vor Funktionen erfüllen (Abbildung 12).
Jedes Hub- bzw. Switch-Segment, das mit einem VLAN-Switch-Port verbunden ist, kann nur einem VLAN zugeordnet werden. Alle Stationen innerhalb dieses Segments werden der gleichen VLAN-Gruppe zugewiesen. Der VLAN-Switch arbeitet mit mehreren MAC-Adressen (einer pro Workstation), die dem Port zugewiesen werden, an den der Hub bzw. Switch angeschlossen ist. Wenn später nun eine Station einem anderen VLAN zugeordnet werden soll, dann muss diese an den entsprechenden Hub bzw. Switch angeschlossen werden. Durch den Anschluss von Hubs bzw. Switches an VLAN-Switches können Sie diese älteren bzw. einfachen Geräte als Teil der VLAN-Architektur benutzen.
In diesem ersten Teil unserer zweiteiligen Miniserie haben Sie einführende Grundlagen zu VLANs gelesen. Im zweiten Teil erfahren Sie demnächst, wie Sie VLANs konkret konfigurieren und typische Fehler beseitigen.
Dieser Beitrag stammt aus dem Buch „Cisco Networking Academy Program“ aus dem Markt+Technik-Verlag. Das Buch in gedruckter Form können Sie hier in unserem Buchshop zum Preis von 69,95 Euro bestellen. (ala)