VLAN (Virtual Local Area Network)

Was ist ein VLAN?

Ein VLAN (auch als Virtual LAN oder virtuelles LAN bezeichnet) ist ein Subnetz, das mehrere Geräte in separaten physischen lokalen Netzwerken (LAN) zusammenfassen kann. Ein LAN ist eine Gruppe von Computern und Geräten, die eine kabelgebundene oder drahtlose Kommunikationsverbindung zu einem Server innerhalb desselben geografischen Gebiets gemeinsam nutzen.

VLANs erleichtern es Netzwerkadministratoren, ein einzelnes Switched-Netzwerk so zu unterteilen, dass es den funktionellen und sicherheitstechnischen Anforderungen ihrer Systeme entspricht, ohne dass sie neue Kabel verlegen oder größere Änderungen an der bestehenden Netzwerkinfrastruktur vornehmen müssen. VLANs werden häufig von größeren Unternehmen eingerichtet, um Geräte neu zu gruppieren und dadurch den Traffic besser zu verwalten.

VLANs sind auch deshalb wichtig, weil sie dazu beitragen können, die Gesamt-Performance eines Netzwerks zu verbessern, indem sie Geräte, die am häufigsten kommunizieren, zusammenfassen. VLANs bieten zudem Sicherheit in größeren Netzwerken, da sie ein höheres Maß an Kontrolle darüber ermöglichen, welche Geräte aufeinander zugreifen dürfen. VLANs sind in der Regel flexibel, weil sie auf logischen und nicht auf physischen Verbindungen beruhen.

Ein oder mehrere Netzwerk-Switches können mehrere unabhängige VLANs unterstützen und so Layer-2-Implementierungen (Data Link Layer) von Subnetzen realisieren. Ein VLAN ist einer Broadcast-Domäne zugeordnet. Sie besteht üblicherweise aus einem oder mehreren Netzwerk-Switches.

Die unterschiedlichen VLAN-Typen

Es gibt protokollbasierte, statische und dynamische VLANs.

• Bei protokollbasierten VLANs wird der Traffic auf Grundlage des jeweiligen Protokolls Basierend auf dem Traffic-Protokoll isoliert ein Switch den Traffic oder leitet ihn weiter.
• Statische VLANs – auch als Port-basierte VLANs bezeichnet – setzen voraus, dass ein Netzwerkadministrator die Ports eines Netzwerk-Switches einem virtuellen Netzwerk zuweist.
• Dynamische VLANs hingegen erlauben es einem Netzwerkadministrator, die Netzwerkzugehörigkeit nur auf Grundlage von Geräteeigenschaften festzulegen, unabhängig vom Switch Port.

Die Funktionsweise von VLANs

Ports (Schnittstellen) an Switches lassen sich einem oder mehreren VLANs zuweisen. Somit kann man Systeme – je nachdem, zu welcher Abteilung sie gehören –in logische Gruppen einteilen und Regeln dafür aufstellen, wie die Systeme in den einzelnen Gruppen miteinander kommunizieren dürfen. Diese Gruppen können einfach und praktisch (zum Beispiel können die Computer in einem VLAN den Drucker in diesem VLAN sehen, Computer außerhalb dieses VLANs jedoch nicht), aber auch komplex gestaltet sein und rechtliche Vorgaben berücksichtigen (etwa, indem Computer der Privatkundenabteilung einer Bank nicht mit den Rechnern in der Trading-Abteilung kommunizieren können).

Jedes VLAN bietet allen Hosts, die mit Switch Ports verbunden sind, die mit der gleichen VLAN-ID konfiguriert sind, Data-Link-Zugriff. Das VLAN-Tag ist ein 12-Bit-Feld im Ethernet-Header, das bis zu 4.096 VLANs pro Switching-Domäne unterstützt. VLAN-Tagging ist durch das IEEE (Institute of Electrical and Electronics Engineers) gemäß 802.1Q standardisiert und wird oft als Dot1Q bezeichnet.

Empfängt ein verbundener Host einen nicht getaggten Frame, wird das auf dieser Schnittstelle konfigurierte VLAN-ID-Tag mithilfe des 802.1Q-Formats dem Header des Data Link Frames hinzugefügt. Der 802.1Q-Frame wird dann zum Ziel weitergeleitet. Jeder Switch verwendet das Tag, um den Traffic der einzelnen VLANs von anderen VLANs zu trennen und ihn nur dorthin weiterzuleiten, wo das VLAN konfiguriert ist. Trunk-Verbindungen zwischen Switches verwalten mehrere VLANs und nutzen das Tag, um sie voneinander zu trennen. Wenn der Frame den Ziel-Switch-Port erreicht, wird das VLAN-Tag entfernt, bevor der Frame an das Zielgerät übertragen wird.

Mehrere VLANs lassen sich auf einem einzigen Port konfigurieren. Dazu verwendet man eine Trunk-Konfiguration, bei der jeder über den Port gesendete Frame mit der VLAN-ID getaggt wird, wie oben beschrieben. Die Schnittstelle des benachbarten Geräts, die sich auf einem anderen Switch oder einem Host befinden kann, der 802.1Q-Tagging beherrscht, muss die Konfiguration im Trunk-Modus unterstützen, um getaggte Frames zu senden und zu empfangen. Alle nicht getaggten Ethernet-Frames werden einem Standard-VLAN zugewiesen, das sich in der Switch-Konfiguration festgelegen lässt.

Wenn ein VLAN-fähiger Switch einen nicht getaggten Ethernet-Frame von einem verbundenen Host empfängt, fügt er das der Ingress-Schnittstelle zugewiesene VLAN-Tag hinzu. Der Frame wird an den Port des Hosts mit der Ziel-MAC-Adresse (Media Access Control Address) weitergeleitet. BUM-Traffic (Broadcast, Unknown Unicast, Multicast) wird an alle Ports im VLAN weitergeleitet. Wenn ein zuvor unbekannter Host auf einen Unknown Unicast Frame antwortet, erfahren die Switches den Standort dieses Hosts und leiten keine weiteren, an diesen Host adressierten Frames weiter.

Die Switch-Weiterleitungstabellen werden durch zwei Mechanismen auf dem aktuellen Stand gehalten. Erstens werden alte Weiterleitungseinträge in regelmäßigen Abständen aus den Weiterleitungstabellen entfernt, wobei häufig ein konfigurierbarer Timer zum Einsatz kommt. Zweitens führt jede Topologieänderung dazu, dass der Aktualisierungs-Timer für die Weiterleitungstabelle herabgesetzt wird, wodurch eine Aktualisierung ausgelöst wird.

Das Spanning Tree Protocol (STP) wird verwendet, um eine schleifenfreie Topologie zwischen den Switches in den einzelnen Layer-2-Domänen zu erzielen. Man kann eine STP-Instanz pro VLAN nutzen, die verschiedene Layer-2-Topologien ermöglicht, oder ein Multi-Instance STP (MISTP), um den STP-Overhead zu reduzieren, sofern die Topologie bei mehreren VLANs identisch ist. Das STP blockiert das Forwarding für Verbindungen, die Weiterleitungsschleifen erzeugen können, und erzeugt einen Spanning Tree von einem ausgewählten Root Switch aus. Diese Sperrung bedeutet, dass einige Verbindungen nicht für das Forwarding verwendet werden, bis ein Ausfall in einem anderen Teil des Netzwerks das STP dazu veranlasst, die Verbindung in einen aktiven Weiterleitungspfad einzubinden.

Abbildung 1 zeigt eine Switch-Domäne mit vier Switches und zwei VLANs. Die Switches sind in einer Ringtopologie verbunden. STP bewirkt, dass ein Port in den Sperrzustand wechselt, so dass eine Baumtopologie entsteht (das heißt, es kommt zu keinen Weiterleitungsschleifen). Der Port von Switch D zu Switch C wird gesperrt, erkennbar am roten Balken über der Verbindung. Die Verbindungen zwischen den Switches und zum Router bündeln VLAN 10 (gelb) und VLAN 20 (blau) per Trunking. Die mit VLAN 10 verbundenen Hosts können mit Server O kommunizieren. Die mit VLAN 20 verbundenen Hosts können mit Server G kommunizieren. Der Router verfügt über ein IPv4-Subnetz, das für jedes VLAN konfiguriert ist, um die Konnektivität für jegliche Kommunikation zwischen den beiden VLANs zu gewährleisten.

Vorteile und Nachteile von VLANs

Zu den Vorteilen von VLAN gehören reduzierter Broadcast Traffic, Sicherheit, einfache Verwaltung und die Begrenzung von Broadcast-Domänen.

Ein Nachteil von VLANs besteht jedoch unter anderem in der Einschränkung auf 4.096 VLANs pro Switching-Domäne, was für große Hosting-Anbieter Probleme verursacht, die oft Dutzende oder Hunderte von VLANs für jeden Kunden bereitstellen müssen. Um dieses Limit zu umgehen, unterstützen andere Protokolle, wie VXLAN (Virtual Extensible LAN), NVGRE (Network Virtualization using Generic Routing Encapsulation) und Geneve, umfassendere Tags und die Möglichkeit, Layer 2 Frames innerhalb von Layer-3-Paketen (Network Layer) zu tunneln.

Darüber hinaus erfolgt die Datenkommunikation zwischen VLANs per Router. Moderne Switches verfügen häufig über Routing-Funktionen und werden als Layer 3 Switches bezeichnet.