VLAN: Wie beeinflusst es Ihr Netzwerkmanagement?

In den letzten Jahren hat das Aufkommen von Virtualisierung und Cloud-Computing-Netzwerken das Bewusstsein dafür geschärft, dass das Verständnis der VLAN-Implementierung immer wichtiger wird. Und die meisten intelligenten Switches unterstützen VLAN, was eine wesentliche Funktion ist. VLAN, auch virtuelles LAN (Local Area Network) genannt, spielt eine wichtige Rolle in grundlegenden Netzwerken wie dem Unternehmensnetzwerk und dem Campus-Netzwerk. VLAN ermöglicht Ingenieuren nicht nur eine gute Kontrolle über ihre Netzwerksysteme, sondern verbessert auch die Netzwerksicherheit und Skalierbarkeit.

Wer Erfahrungen im Netzwerkmanagement hat, versteht wahrscheinlich bereits einiges von VLAN. Es ist die Grundlage für das Management in der Welt der Virtualisierung, auch wenn virtuelle Maschinen ständig migrieren und damit die Grundlagen des Netzwerkmanagements herausfordern. In diesem Tutorial werden die grundlegenden Kenntnisse wie VLAN-Konfiguration, VLAN-Routing erkundet.

Was ist ein VLAN und warum wird es benötigt?

Es ist bekannt, dass ein LAN (Local Area Network) aus einem oder mehreren Computern in einem begrenzten Bereich wie Bürogebäuden und Universitätscampus besteht. Ein VLAN, oder virtuelles LAN, ist ein logischer Bereich, der ein oder mehrere LANs enthält. Nach der Erklärung von Wikipedia ist ein VLAN eine beliebige Broadcast-Domäne, die in einem Computernetzwerk auf der Datenverbindungsschicht (OSI-Schicht-2-Netzwerk) partitioniert und isoliert ist. Da VLANs auf der logischen Schicht und nicht auf physikalischen Verbindungen basieren, sind sie flexibler als LANs. Mit VLAN kann ein LAN-Netzwerk in verschiedene Gruppen segmentiert werden, und Daten in Gruppe A können nicht an Gruppe B oder andere Gruppen weitergeleitet werden, was die Netzwerksicherheit verbessert und die Verwaltung vereinfacht. Wie die folgende Abbildung zeigt.

Abbildung 1: VLAN-Segmente

Warum wird dann ein VLAN in Netzwerken benötigt? Mit zunehmender Anzahl von Geräten in einem Broadcast steigt auch die Häufigkeit der Broadcasts, die potenziell die Zeit und Kapazität des Netzwerks durch das Senden unnötiger Broadcasts an alle Mitglieder in Anspruch nehmen. VLAN reduziert diese exklusiven Broadcasts durch die logische Segmentierung eines großen Netzwerks in viele kleinere, wodurch der Broadcast-Verkehr kontrolliert und die Netzwerkeffizienz verbessert wird.

Wie wird ein VLAN konfiguriert?

Normalerweise gibt es zwei Möglichkeiten für die VLAN-Konfiguration - statisches VLAN und dynamisches VLAN. Und die Konfiguration hängt von den Anforderungen des VLANs ab.

Statisches VLAN: Statisches VLAN wird auch portbasiertes VLAN genannt. Wie der Name schon sagt, wird diese Art von VLAN durch die Zuweisung von Ports zu einem VLAN erstellt. Und wenn die Benutzer den Zugangsport zum VLAN ändern, muss der Port erneut konfiguriert werden, was für größere Netzwerke schwierig zu verwalten ist.

Dynamisches VLAN: Diese Art der VLAN-Konfiguration ist im Vergleich zum statischen VLAN viel flexibler. Es wird oft mit Hilfe von Software oder einem Protokoll erstellt. Das folgende Video zeigt, wie man VLAN über CLI (Command-Line) & Web Interface konfiguriert:

Entsprechend der Informationen, die über die Switch-Ports laufen, können Administratoren den Switch-Port mit einem VMPS (VLAN Management Policy Server) dynamisch einem VLAN zuweisen. Normalerweise können dynamische VLANs in drei Kategorien unterteilt werden: MAC-basiertes VLAN, IP-Subnetz-basiertes VLAN und benutzerbasiertes VLAN.

Hinweise: Die Protokolle in IP-Subnet-basiertem VLAN und User-basiertem VLAN können sich von Hersteller zu Hersteller unterscheiden. Um das Problem der Kompatibilität zu vermeiden, sollten Sie sich vor dem Kauf von Switches vergewissern.

VLAN Access Link and Trunk Link

Wenn es um VLAN geht, können Trunk- und Access-Links nicht ignoriert werden. Es gibt zwei Arten von Schnittstellen oder Links in der Welt der VLANs. Diese Links ermöglichen es den Administratoren, mehrere Switches miteinander zu verbinden oder auch nur ein einfaches Netzwerkgerät wie einen PC, der auf das VLAN-Netzwerk zugreifen soll.

Access Link

Access Link ist die häufigste Art von Links und kann auf jedem VLAN-Switch gesehen werden. Um Zugang zum lokalen Netzwerk zu erhalten, müssen alle Netzwerk-Hosts die Access Links des Switches verbinden. Diese Links sind ganz gewöhnliche Ports, die auf jedem Ethernet-Switch zu finden sind und auf eine spezielle Weise konfiguriert werden. So können Benutzer einen Computer anschließen und Zugang zum Netzwerk erhalten. Access Link Ports (24x100/1000BASE-T Ports im folgenden Bild) an einem VLAN-Switch können für ein oder mehrere VLANs konfiguriert werden.

Abbildung 2: Access-Ports am VLAN-Switch FS.com S3900-24T4S

Trunk Link

Im Gegensatz zu Access Links wird der VLAN Trunk Link oft so konfiguriert, dass er mehr als ein VLAN übertragen kann. Der Trunk-Port befindet sich normalerweise in Verbindungen zwischen Switches. Mit VLAN-Trunking können Benutzer VLANs über das gesamte Netzwerk ausdehnen. Zum Beispiel gibt es vier Benutzer (gekennzeichnet als A, B, C und D), die in verschiedenen Stockwerken in einem Bürogebäude liegen. Benutzer A und C gehören zu einem VLAN, B und D befinden sich in einem anderen VLAN. Wie kann man sie auf effektive Weise in einem VLAN konfigurieren? Indem man einen Trunk-Port einrichtet.

Abbildung 3: VLAN-Trunk-Port für verschiedene VLAN-Verbindungen

Um die Verkehrsströme zu unterscheiden, werden alle Frames durch den Trunk Link mit speziellen Tags markiert, wenn sie zwischen den Switches passieren. Dies wird als VLAN-Tagging bezeichnet. Im obigen Beispiel wird ein Frame von Benutzer A mit einem speziellen Tag versehen, wenn er den Trunk-Port an Switch 1 passiert. Wenn er an Switch 2 ankommt, identifiziert der Trunk-Port das spezielle Tag und teilt mit, zu welchem VLAN er gehört. Dann wird das spezielle Tag entfernt und der Frame wird an Benutzer C weitergeleitet.

Hier die gängigen Methoden des VLAN-Tagging, mit denen die VLAN-Erstellung zwischen Switches realisiert werden kann.

IEEE 802.1Q: auch „Dot One Q“ genannt, ist der IEEE-Standard für das Tagging von Frames auf einem VLAN-Trunk und unterstützt bis zu 4096 VLANs. Bei dieser Methode wird ein 4-Byte-Tag in den ursprünglichen Frame eingefügt und die FCS (Frame Check Sequence) neu berechnet, bevor der Frame über den Trunk Link gesendet wird. Und das Tag wird auf der Empfangsseite entfernt, dann wird der Frame an das zugewiesene VLAN gesendet. Alle Layer-2-Switches in FS.com unterstützen 4096 VLANs.

Abbildung 4: VLAN-Tagging-IEEE 802.1Q

Anmerkungen: TPID bezieht sich auf Tag Protocol Identifier; TCI bezieht sich auf Tag Control Information. Die Benutzerpriorität ist ein 3-Bit-Feld, mit dem Prioritätsinformationen im Frame kodiert werden können. Die CFI ist ein 1-Bit-Indikator, der bei Ethernet-Switches immer auf Null gesetzt ist. Das VID-Feld beinhaltet die Kennung des VLANs.

ISL (Inter-Switch Link): ISL ist ein Protokoll ähnlich wie IEEE 802.1Q. Und es ist ein proprietäres Protokoll von Cisco für die Verbindung mehrerer Switches untereinander und behält die VLAN-Informationen bei, wenn der Datenverkehr zwischen den Switches übertragen wird. ISL unterstützt bis zu 1000 VLANs. Bei ISL wird ein zusätzlicher Header hinzugefügt, bevor der Frame den Trunk Link durchläuft. Auf der Empfangsseite wird der Header entfernt und der Frame wird an das zugewiesene VLAN gesendet.

Abbildung 5: ISL (Inter-Switch Link)

Inter-VLAN-Routing: Brücke zwischen verschiedenen VLANs

Wie wir oben gesagt haben, ist jedes VLAN unabhängig und die Daten zwischen verschiedenen VLANs sind nicht störend. Wie kann man dann die Informationsübertragung über VLANs hinweg realisieren? Das ist das Inter-VLAN-Routing. Administratoren können das Inter-VLAN-Routing mit Hilfe eines Layer-3-Switches oder eines Routers realisieren. Im folgenden Teil konzentriert sich der Beitrag auf das Inter-VLAN-Routing unter Verwendung von Routern.

Wir wissen, dass jedes VLAN eine eigene Broadcast-Domäne ist. Wenn ein Router mit dem Switch verbunden ist, kann der Verkehr zwischen verschiedenen VLANs vom Router weitergeleitet werden. Um Kosten zu sparen und das Netzwerkmanagement zu vereinfachen, wird für das Inter-VLAN-Routing auch ein Trunk Link eingesetzt. Hier wird anhand eines Beispiels gezeigt, wie dieser Prozess funktioniert. Wie die folgende Abbildung zeigt. Der Switch ist in zwei VLANs segmentiert, die mit unterschiedlichen Farben markiert sind. Und nun ist eine Kommunikation zwischen Computer A und C erforderlich.

Der Frame von Computer A geht durch den Trunk-Port und wird mit einem speziellen Tag versehen, das zu VLAN 1 gehört. Der getaggte Frame wird vom Router erkannt und dann von dem Port empfangen, der zum VLAN 1 am Router gehört. Im Router wird die Ziel-MAC-Adresse des getaggten Frames in die Adresse von Computer C geändert, und das spezielle Tag, das zu VLAN 1 gehört, wird entfernt. Wenn der Frame über den Trunk-Port am Router läuft, wird er erneut getaggt, aber das Tag gehört zu VLAN 2. Da der Computer C den gemeinsamen Zugriffs-Port anschließt, wird das Tag des Frames entfernt und dann an den Computer C weitergeleitet.
Abbildung 6: Inter-VLAN-Routing

Wenn das Inter-VLAN-Routing im gleichen VLAN liegt, wird der Frame nicht durch den Router geleitet und das Routing wird im Switch beendet. Da der Datenverkehr zwischen den VLANs zunimmt, sind Layer-3-Switches aufgrund ihrer hohen Leistung und Kapazität eine bessere Wahl für das Inter-VLAN-Routing.

Zusammenfassung

VLAN ist eine wichtige Technologie für den Aufbau und die Verwaltung heutiger Netzwerke. Sie sorgt dafür, dass Netzwerkbenutzer in verschiedenen Anwendungen miteinander kommunizieren können, obwohl sie mit demselben physischen Netzwerk verbunden sind. Und die VLAN-Technologie entwickelt sich zur Zeit noch weiter. In diesem Lernprogramm werden die Definition von VLAN, die VLAN-Konfiguration, das VLAN-Tagging und das Inter-VLAN-Routing erklärt. Andere Technologien wie QinQ und VXLAN werden in FS.com-Blogs erforscht. Für weitere Informationen besuchen Sie bitte unsere Blog-Seite.