Virtual Local Area Network

Ein VLAN (Virtual Local Area Network) ist ein virtuelles lokales Netzwerk.

Netzwerke werden mit Hilfe von aktiven Komponenten, Switches und Routern aufgebaut. Gelegentlich möchte man zwei oder mehr unabhängige Netzwerke aufbauen die sich nicht gegenseitig stören.

Beispiel: Ein Netz für die Finanzabteilung und eines für die Produktion.

Früher brauchte man dazu pro Netz einen eigenen Switch. Dies erforderte einen großen administrativen Aufwand bei dem Verwalten der Switches, vor allem wenn ein Rechner zB. die Etage wechselte ohne in ein anderes Netz zu gehören.

Eine Lösung für dieses Problem sind VLANs. Mit Hilfe von VLANs können auf einem Switch oder über mehrere Switche hinweg, virtuell getrennte Netze betrieben werden.

Ein auf einem Switchport eintreffendes Paket wird mit einem VLAN Tag versehen, wenn dieses Pakete den Switch zum Zielrechner verläßt, wird dieses Tag wieder entfernt.

Jedes VLAN bekommt eine eindeutige Nummer zugeordnet. Man nennt diese Nummer VLAN ID. Ein Gerät, das zum VLAN mit der ID=1 gehört, kann mit jedem anderen Gerät im gleichen VLAN kommunizieren nicht jedoch mit einem Gerät in einem der anderen VLANs ID=2,3,..

Portbasierte VLANs beruhen darauf, das jeder Port eines Switches fest einem VLAN zugeordnet wird. Der Nachteil dieser Methode ist der administrative Aufwand. Vorteil dieser Methode ist die statische Zuordnung durch die Administration und die damit verbundene relative Sicherheit.

Auf der Basis der MAC-Adresse des sendenden Rechners an einem Switchport, wird entschieden welchem VLAN der Port zugeordnet wird. Nachteile dieser Methode:

• MAC-Adressen können Clientseitig geändert werden, Sicherheitsproblem
• bevor die MAC-Adresse nicht dem Port zugewiesen ist, wird kein VLAN Traffic auf den Port geswitched

Theoretisch kann jedes Layer3 Protokoll als Hilfe zur Zuordnung zu einem VLAN genutzt werden. Zum Beispiel könnte die Source-IP-Adresse eines am Switchport angeschlossenen Hosts benutzt werden um zu entscheiden zu welchem VLAN der Port gehört. Diese Methode beinhaltet mehrere Probleme:

• der Switch muss auf Basis einer Layer-3 Information eine Entscheidung Treffen (Verletzung des Prinzips der Schichtentrennung)
• an einem Switchport können Hosts unter Verwendunge verschiedenen Layer-3 Protokolle angeschlossen sein
• die VLAN Zuordnung erfolgt erst, wenn das erste Paket vom angeschlossenen Host gesendet wird
• eine Layer-3 Adresse kann mit relativ wenig Aufwand geändert werden, was ein Sicherheitsproblem in diesem Falle darstellt
• es gibt keinen Standard auf dem diese Entscheidungen zu treffen sind

Technisch wird VLAN Tagging so realisiert, dass die zum Layer-2 (OSI) gehörenden Ethernet-Frames modifiziert werden. Den Frames wird der Ethertype 81-00 (2 Byte) und einem VLAN Tag (2 Byte) hinzugefügt. Diese Frames werden auch als tagged-frames bezeichnet.

Der VLAN Tag besteht aus einem Prioritätsfeld (3 bit, siehe IEEE 802.1P), dem CFI (Der Canonical Format Indicator sollte Little-Endian- von Big-Endian-MAC-Adressen unterscheiden. 1 bit) und der VLAN ID (12 bit). Damit ist jeder Frame als zu einem von maximal 4096 verschiedenen VLANs gehörig gekennzeichnet, wobei die VLAN ID 0 reserviert ist und nicht benutzt werden sollte. VLAN ID 1 wird oft auch als Default-VLAN bezeichnet in dem sich alle Ports eines Switches befinden, wenn keine Konfiguration vorgenommen worden ist.

Datei:802.1Q-Frame.png

Durch die von IEEE 802.1Q zusätzlich hinzugefügten 4 Byte, wurde die maximale Größe von Ethernet-Frames von 1518 Byte auf 1522 Byte erhöht.

Bei der Verbindung mehrere VLAN fähiger Switches über einen Uplink-Port, werden auf dem Uplink-Port tagged-frames übertragen. Damit können auf zwei Switches gleiche VLANs benutzt werden und über den Uplink-Port verbunden werden.

Um zwischen verschiedenen VLANs zu vermitteln, benötigt es entweder einen sog. Layer-3 Switch oder einen Router.