Virtual Local Area Network

Netzwerke werden mit Hilfe von aktiven Komponenten, Switches und Routern aufgebaut. Gelegentlich möchte man zwei oder mehr unabhängige Netzwerke aufbauen, die sich nicht gegenseitig stören.

Beispiel: Ein Netz für die Finanzabteilung und eines für die Produktion.

Früher brauchte man dazu pro Netz einen eigenen Switch. Dies erforderte einen großen administrativen Aufwand bei der Verwaltung der Switches, vor allem wenn z.B. ein Rechner die Etage wechselte, ohne in ein anderes Netz zu gehören.

Eine Lösung für dieses Problem sind VLANs. Mit Hilfe von VLANs können auf einem Switch oder über mehrere Switches hinweg virtuell getrennte Netze betrieben werden. Diese Technik eignet sich auch für die standortübergreifende Vernetzung (z.B. per ATM) mehrerer VLANs über einen Switch bzw. Router.

Durch VLANs lassen sich Durchsatzprobleme, die bei der reinen physischen Topologie entstehen würden, oft vermindern bzw. umgehen.

Jedem VLAN wird eine eindeutige Nummer zugeordnet. Man nennt diese Nummer VLAN ID. Ein Gerät, das zum VLAN mit der ID=1 gehört, kann mit jedem anderen Gerät im gleichen VLAN kommunizieren, nicht jedoch mit einem Gerät in einem anderen VLAN mit ID=2, 3, ...

Um zwischen den VLANs zu unterscheiden, wird nach IEEE 802.1q das Ethernet-Paket um 4 Byte erweitert. Davon sind 12 bit zur Aufnahme der VLAN ID vorgesehen, so dass insgesamt 4094 VLANs möglich sind (die VLAN-IDs "0" und "4095" sind reserviert bzw. nicht zulässig).

TPID - Tag Protocol Identifier – Fester Wert 0x8100. Frame trägt die 802.1Q/802.1p-Tag-Information.

Priorität (user_priority) – Benutzer-Prioritätsinformationen.

CFI - Canonical Format Indicator – Gilt für alle vorhandenen MAC-Adressinformationen im MAC-Datenpaket des Frames. Wert 0 das Format ist kanonisch (am wenigsten signifikante Bit zuerst); Wert 1 Format nicht-kanonisch. Benutzung im Token Ring/Source-Routed-FDDI-Media-Zugang, um die Bit-Order der Adressinformationen des verkapselten Frames festzulegen.

VID - VLAN Identifier – Identifizierung des VLANs zu dem der Frame gehört.

VLAN-Tag

Zusätzlich ist auch eine Priorisierung mit VLAN möglich. Es kann für jeden Frame eine von 8 (3 Bit) Prioritäten angegeben werden. Dadurch ist es möglich, z.B. Sprachdaten bevorzugt weiterzuleiten, während HTTP-Daten ausgebremst werden. Diese Funktionalität wird in den kommenden Jahren immer mehr Verbreitung finden, da die Verwendung von VoIP (IP-Telefonie) immer mehr zunimmt. Dadurch kann auch mit einer 'beschränkten' Bandbreite ohne Störungen telefoniert werden. (siehe auch Quality of Service)

Einige Hersteller haben selbst spezielle Frames entwickelt, in denen ein Frame ohne IEEE 802.1Q einem VLAN zugewiesen werden kann. Als Beispiel ist hier Ciscos Inter-Switch Link Protocol (ISL) zu nennen.

Es gibt verschiedene Möglichkeiten, auf welcher Schicht des OSI-Modells die Zuordnung realisiert wird:

Die einfachste Art der Zuordnung ist die feste Definition einer VLAN ID auf einen bestimmten Port des Switches. Hierdurch entstehen statische VLANs, die Sinn haben, wenn Umzüge im Netzwerk nur kontrolliert und verwaltet ablaufen sollen.

VLANs können auch auf der Sicherungsschicht implementiert werden. In diesen dynamischen VLANs erkennt der Switch beim Umzug die MAC-Adresse und liest aus einer VLAN-Managementdatenbank die Konfiguration für den entsprechenden Port aus. Für das Management ist ein eigenes Protokoll nötig. Beispiele hierfür sind Ciscos VLAN Trunk Protokol (VTP) und das herstellerunabhängige GARP (Generic Attribute Registration Protocol) VLAN Registration Protocol (GVRP).

Hier erfolgt die Zuordnung der VLAN ID im Protokoll (z.B. IP, IPX).

Es lassen sich auch direkt in der Anwendung TCP- oder UDP-Ports einen VLAN zuordnen.

VLAN taugliche Switches können über Trunked Ports (IEEE 802.1 Q) miteinander verbunden werden (Uplink). Empfängt ein Switch von einem Trunked Port einen Frame, in dem er ein VLAN-Tag erkennt, so wird der Frame an den entsprechenden Port weitergeleitet. Falls sich an diesem Port ein Endgerät befindet, wird zuvor das Tag entfernt. Logischerweise wird beim Weiterleiten eines Frames von einem Endgerät über ein Trunked Port das Tag hinzugefügt. Damit können auf derart verbundenen Switches gleiche VLANs benutzt werden.

Falls ein Frame an einen Switch gesendet wird, der keine Trunked Ports unterstützt, dann enthält ein angeschlossenes Endgerät einen Ethernetframe mit dem Wert 8100H im Typenfeld. Da dieser Wert keinen Sinn ergibt, wird der Frame als fehlerhaft verworfen.

Mittlerweile sind auch Netzwerkkarten erhältlich, die selbst Frames mit VLAN-Tags versehen können.

Jedes VLAN bildet eine eigene Broadcast-Domäne. Um Verkehr zwischen verschiedenen VLANs zu vermitteln benötigt man einen Router. Moderne Switches stellen diese Funktion intern zur Verfügung. Man spricht dann von einem Layer-3 Switch.

Hier stellt sich die Frage, warum man generell mühevoll getrennte VLANs verbinden soll? Ein Anwendungsbeispiel wäre ein gemeinsamer Login-Server, um Ressourcen zu sparen. Dieser würde sich in einem dritten VLAN befinden, auf das Finanzabteilung und Produktion zugreifen könnten. Allerdings würde in diesem Fall zusätzlich im Router sicher gestellt, dass lediglich Login-Informationen übertragen werden können. Finanzen und Produktion, welche ebenfalls am Router angeschlossen sind, wären weiterhin nicht in der Lage, miteinander zu kommunizieren.

Die Überlegenheit von VLAN im Vergleich zu Subnetzen liegt in der Tatsache, dass ein Wechsel von einem VLAN in ein anderes nur am Kopplungselement (Switch, Router) geschehen kann. Subnetze lassen sich leicht am Client selbst ändern.

• IEEE 802.1Q Virtual Bridged Local Area Networks
• GARP (Generic Attribute Registration Protocol) VLAN Registration Protocol (engl.)