IT-Academy Logo
Sign Up Login Help
Home - Betriebssysteme - Linux - Server/Internet/Netzwerk - Virtual Lan (VLAN - IEEE 802.3q)



Virtual Lan (VLAN - IEEE 802.3q)

Virtual-Lan-Netzwerktechnologien werden erklärt.


Autor: Franz Schaefer (mond)
Datum: 01-06-2002, 11:09:51
Referenzen: http://www.tele.sunyit.edu/virtual_lans.html
http://www.netfuse.de/techarea/vlan/vlan.htm
http://www.rware.demon.co.uk/ethernet.htm
http://mike.passwall.com/networking/netmodels/isoosi7layermodel.html
http://scry.wanfear.com/~greear/vlan.html
http://www.arved.de/bsd/vlan_en.html
Schwierigkeit: Anfänger
Ansichten: 20981x
Rating: 4.5 (4x bewertet)

Hinweis:

Für den hier dargestellte Inhalt ist nicht der Betreiber der Plattform, sondern der jeweilige Autor verantwortlich.
Falls Sie Missbrauch vermuten, bitten wir Sie, uns unter missbrauch@it-academy.cc zu kontaktieren.

[Druckansicht] [Als E-Mail senden] [Kommentar verfassen]



Übersicht

Die Vorteile eines Switches gegenüber einem Hub kennen wir ja schon: die
Computer müssen sich nicht einen Kanal teilen, sondern es kann jeder mit
jedem ungestört "kommunizieren".

Oft ist es aber gar nicht notwendig, dass verschiedenen Geräte mit
einander reden können. Manchmal (meist aus Sicherheitsgründen) auch gar
nicht wünschenswert. Will man z.B. 2 getrennte Netzwerksegmente haben, so
kann man natürlich die einfache Lösung wählen: 2 getrennte Switche.

In grösseren Netzwerken ist es andererseits oft praktisch, wenn weiter
entfernt liegende Computer im selben Netzwerksegment liegen können. In
diesem Falle müsste man ein Kabel zwischen den Switchen legen und die
switche kaskadieren. Das führt natürlich bald zu sehr unuebersichtlichen
Strukturen. Als lösung dieser zwei Probleme gibt es die VLAN-
technologie.

Auf einem Switch der VLANs fähig ist, kann man verschiedene Ports in
verschiedene Gruppen trennen.

z.b. 1-10 auf vlan 20 und
11-20 auf vlan 40

Ein Gerät das jetzt auf 11 angesteckt ist, kann nun nicht mehr mit einem
auf Port 1 sprechen. Man hat also de fakto den Switch auf 2 kleinere
Switche aufgeteilt.

Für den Fall nun, dass man diese aufgeilten Netzwerke über mehrere
Switche verteilen wil,l ohne dass man jedes Einzelne mit Kabeln
weiterverbindet, benötigt man eine Methode wie sich die beiden Switche
unterhalten können und die Information, welches Packet auf welchem
Teilswitch (d.h auf welchem VLAN) liegt. Die Information muss zwischen den
beiden Geräten mitgeliefert werden:

Die Information wird "tag" genannt und ist ein kleiner 4 byte Header der
an den Ethernet Header angefügt wird. Darin enthalten ist die VLAN-Nummer
mit 12 bit. Es gibt also 2^12= 4096 verschiedene VLANs.

Da sich taged Packete durch die 4 zusaetzlichen Header bytes stark von
normalen Packeten unterscheiden, können normale computer diese "taged"
Packete nicht mehr verstehen. Die "taged" Packete dienen vorerst nur zur
Kommunikation zwischen VLAN fähigen Switchen. Dort wo "normale" Geräte
angeschlossen werden, sagt man dem Switch dass es sich um ein "untaged"
Port handelt. Der Switch gibt dort das Packet ohne den 4 byte langen tag
aus. Ein Setup könnte also z.B. so aussehen.

Gebäude A Gebäude B

Switch A Switch B

PC1, PC2 , PC4 aus Gebäude A und PC8 aus Gebäude B sollen in einem
virtuallen Netz zusammen gefasst werden.

Ebenso PC3 aus Gebäude A und PC5, PC6, PC7 aus Gebäude B.

Wir konfigurieren auf den beiden Switches die Ports wie folgt:

Switch A Switch B


Am Kabel von Switch A Port 5 und Switch B Port 1 lauefen also jetzt
Packete, die zwischen den Switchen ausgetauscht werden müssen. Der VLAN
tag bestimmt, ob sie zum VLAN 70 oder VLAN 71 gehören (die Nummern sind
willkürlich gewählt). Für PC8 sieht es so aus, als wäre er ganz alleine
mit PC1, PC2 und PC4 an einem einzigen Switch verbunden.

Würde man an Port 5 von Switch A einen Computer anstecken, so könnte der
ohne spezielle Software mit keinem der anderen Geräte kommunizieren, da
normale Netzwerk-Software mit dem VLAN tag nichts anzufangen weiss.

Wie konfiguriert man auf einem Switch?

Managebare Switche haben meist einen Anschluss für ein serielles Kabel.
Dort kann man mittels Terminalprogramm menügeführt oder mittels Befehlen
die verschiedensten Einstellungen am Switch vornehmen. Leider ist dieses
Interface nicht einheitlich, sondern von Hersteller zu Hersteller
verschieden. Üblicherweise kann man dem Switch auch selbst eine IP
Adresse zuordnen. Damit kann man weitere Konfigurationsänderungen auch
per Telnet oder z.B. Webinterface vornehmen.

Solche Switche erlauben üblicherweise auch mittels eines definierten
Protokolls namens "SNMP" (simple network management protocoll")
verschiedenste Einstellungen pro Port via Netzwerk abzufragen oder zu
setzen. Darüber lernen wir ein anderes mal.

VLAN fähige Netzwerksoftware:

Hat man nun einen Server der in mehreren VLANs ereichbar ist, so müsste
man mehrere Netzwerkkarten einbauen und ihn in alle VLANs an normalen
"untagged" Ports einstecken, oder man verwendet netzwerksoftware die VLAN
fähig ist und mit den tags umzugehen weiss. *BSD kann das schon länger.
Auch für Linux-kernel gibt es Patches, die dies ermöglichen. In den
letzten Linux 2.4er Kernels ist VLAN schon standardmässig als Option
enthalten. Zum Teil machen manche Treiber von Netzwerkkarten
Schwierigkeiten, da die VLAN Packete ja um 4 bytes länger sind als die
normalen Ethernet Packete.

Hat man einen VLAN fähigen Kernel, so kann man sich an "tagged" ports
anstecken und auf dem Ethernet Interface "virtuelle" Interface
konfigurieren, die dann mit jeweils einem der VLANs sprechen können. So
kann man z.B. einen Computer mit nur einer Netzwerkkarte und einem VLAN
fähigen 24 Port Switch mit 23 Ethernet Schnittstellen ausstatten.

auf Linux z.B:

/sbin/vconfig add eth0 71
/sbin/ifconfig vlan0071 10.1.14.1 netmask 255.255.255.0 broadcast 10.1.14.255

würde z.B. am Netzwerk Interface eth0 eine virtuelle
Netzwerkschnittstelle konfigurieren, die auf VLAN Nummer 71 hört und die
vlan0071 heisst. Das nachfolgende ifconfig konfiguriert dort ganz normal
ein Netzwerk. Auf FreeBSD:

/sbin/ifconfig vlan2 vlan 71 vlandev fxp0
/sbin/ifconfig vlan2 inet 10.1.14.1 netmask 255.255.255.0 broadcast 10.1.14.255

das erste ifconfig konfiguriert hier ein VLAN namens vlan2 mit der vlan
Nummer 71 auf der echten Netzerkkarte fxp0. Das zweite ifconfig
konfiguriert das virtuelle Interface ganz normal.

Einsatz von VLANs die Vor- und nachteile

VLAN fähige Switche sind zwar etwas teurer als normale, aber in grösseren
Organisationen mit komplexeren Netzwerkstrukturen macht sich die
Flexibiltät virtueller LANs recht schnell bezahlt.

Auf der anderen Seite kann die zusätzliche Komplexität das debugging im
Fehlerfall schwieriger machen. In grösseren VLAN Umgebungen wird die an
vielen dezentralen Orten konfigurierte VLAN Information schnell
unübersichtlich und schwer zu warten. Ebenfalls heikel ist die Frage der
Redundanz. Die Lösungen dafür, dass sich VLAN fähige Geräte automatisch
über die konfigurierten VLANs unterhalten (GVRP) und Möglichkeiten
redundanter Anbindungen sind (falls auf den Geräten vorhanden), noch neu
und zum teil stark Herstellerabhängig.

Es stellt sich die Frage, wie weit es hier sinnvoll ist auf layer 2 (in
diesem falle der Ethernet Ebene) Probleme zu lösen, für die eigentlich
die Schicht 3 (in diesem falle: Routing) zustäendig ist und wo es auf
layer 3 schon gute und lange erprobte Lösungen gibt.

Ein weiterer Punkt ist die Sicherheit: Router bieten i.a. bessere
Möglichkeiten Packete zu "firewallen", auf der anderen Seite erlaubt die
Trennung in virutelle LANs in vielen Fällen eine leichtere Trennung von
sicherheitsrelevanten Bereichen. Aber Vorsicht: zum Teil erlauben Fehler
in der Firmware mancher Switches von einem VLAN in ein anderes zu gelangen,
wenn man z.B. die MAC Adresse eines Rechners in einem anderen VLAN
verwendet...

Es gilt also bei der Konzeption von Netzwerken abzuwägen, an welchen
stellen in eigenem grossen Netzwerk man mit VLANs sinnvoll arbeiten kann
und an welchen stellen man eher Router einsetzen sollte.

Über die Möglichkeiten dynamischen Routings lernen wir demnächst.

EXERCISES:

* stelle fest ob Du in deinem Netzwerk VLAN fähige Switche zur Verfügung
hast. Konfiguriere (in Absprache mit deinem Admin ein VLAN, dass 2
Switche überspannt)

* Konfiguriere auf deinem Linux oder BSD ein VLAN fähiges Interface und
versuche Dich damit auf einem "tagged" Port eines Switches zu verbinden.

* diskutiere die Einsatztmoeglichkeiten und Grenzen von VLANs.

_______________________________________________
CD ist ein service von SILVER SERVER
der inhalt unterliegt der GFDL
_______________________________________________



[back to top]



Userdaten
User nicht eingeloggt

Gesamtranking
Werbung
Datenbankstand
Autoren:04508
Artikel:00815
Glossar:04116
News:13565
Userbeiträge:16552
Queueeinträge:06245
News Umfrage
Ihre Anforderungen an ein Online-Zeiterfassungs-Produkt?
Mobile Nutzung möglich (Ipone, Android)
Externe API Schnittstelle/Plugins dritter
Zeiterfassung meiner Mitarbeiter
Exportieren in CSV/XLS
Siehe Kommentar



[Results] | [Archiv] Votes: 1149
Comments: 0