VLANs sind ein Thema, bei dem man sich beim Einrichten keine Fehler erlauben kann. Daher ist es sehr wichtig zu verstehen, wie VLANs auf der untersten Ebene funktionieren. Dieser Artikel geht vielleicht nicht in die grundlegenden Grundlagen von VLANs, gibt Ihnen aber einen ziemlich guten Einblick, was VLANs sind, wie sie funktionieren und wie man sie einrichtet.
1. Was ist ein VLAN?
VLAN steht für Virtual Local Area Network und ist, einfach ausgedrückt, eine sehr gebräuchliche Methode, Netzwerke auf Switches zu trennen. Normalerweise, wenn Sie Netzwerke trennen möchten, müssten Sie physisch verschiedene Netzwerksegmente aufbauen (also ein komplettes Netzwerk für Mitarbeiter, eines für Gäste usw.) und diese parallel betreiben. Mit VLANs können Sie dieselbe Netzwerkinfrastruktur nutzen, um mehrere Netzwerke gleichzeitig zu übertragen. Es ermöglicht die Erstellung virtueller Netzwerke über die tatsächlichen physischen Netzwerkgeräte.
Um eine Analogie zu verwenden: Während Subnetze eine Möglichkeit sind, Netzwerke innerhalb von Routern oder sogenannten „Layer-3-Geräten“, also IP-basierten Geräten, zu trennen, machen VLANs etwas sehr Ähnliches bei Layer-2-Geräten in MAC-basierten Netzwerken.
Die Regeln und Standards zur VLAN-Implementierung sind von der IEEE-Organisation im IEEE 802.1q-Standard klassifiziert.
2. Wie funktioniert ein VLAN nun wirklich?
Ein VLAN funktioniert, vereinfacht gesagt, über Tags. Ein Tag besteht aus einigen zusätzlichen Bytes, die an jeden Datenrahmen angehängt werden und Informationen wie die VLAN-Zugehörigkeit enthalten:
Der wichtigste Teil, auf den wir uns hauptsächlich konzentrieren, ist die VID, die VLAN-ID. Diese Nummer von 1–4096 ist einfach ein Marker dafür, „zu welchem VLAN der Rahmen gehört“.
Tagging ist eine sehr effiziente Methode, um zu steuern, welcher Rahmen zu welchem VLAN gehört.
Um zu verstehen, wie VLANs in der Praxis funktionieren, stellen Sie sich vor, Sie erstellen eine Datenverkehrsspur, wenn Sie ein VLAN innerhalb eines Switches einrichten. Jede Spur ist getrennt, läuft parallel und ist mit verschiedenen Ports verbunden, die dieser Spur zugewiesen sind. Die „Zuweisung zur Spur“ ist unsere VLAN-Zugehörigkeit. Wie man dies einrichtet, wird in vielen verschiedenen Artikeln beschrieben, die am Ende dieses Artikels verlinkt sind. Hier ist aber eine grafische Darstellung:
Sie sehen die Spuren, die durch die Switches laufen und dann zu den jeweiligen Ports des Switches gehen, die der jeweiligen Zugehörigkeit zugewiesen sind. Sobald ein Rahmen also auf einem bestimmten VLAN in den Switch eingetreten ist, kann er mit jedem Port kommunizieren, der eine Zugehörigkeit zu diesem VLAN hat. Aber wie wird ein Rahmen zu einem VLAN10-, 20- oder 30-zugewiesenen Rahmen?
3. Eingehender Datenverkehr auf VLANs
Die Bestimmung, welchem VLAN ein eingehender Rahmen zugewiesen wird, hängt davon ab, ob der eingehende Rahmen bereits von seinem Quellgerät mit einem VLAN-Tag versehen wurde. Wenn ein VLAN-Tag vorhanden ist, wird der VID-Inhalt ausgelesen. Wenn die VID mit der getaggten Zugehörigkeit eines Switch-Ports übereinstimmt, wird der Rahmen „auf die Spur“ gelassen. Viel interessanter ist jedoch, was mit völlig ungetaggten Ethernet-Frames passiert. Hier kommt die sogenannte PVID (Port-Based VLAN ID) ins Spiel. Die PVID ist dafür verantwortlich, den richtigen Pfad für Rahmen auszuwählen, die eingehend und ungetaggt sind – die PVID kommt nur bei Rahmen zum Einsatz, die diese beiden Kriterien erfüllen. Ein Port, dem eine PVID von 1 zugewiesen ist, weist ungetaggten, eingehenden Datenverkehr dem VLAN1 zu, um den Verkehr „auf Spur #1“ zu bringen.
Standardmäßig sind alle Ports von Netzwerkgeräten und Switches mit einer PVID1 und einer (ungetaggten) Zugehörigkeit zu VLAN1 konfiguriert. Das bedeutet, dass standardmäßig, wenn Sie einen Computer an einen Switch anschließen, ohne selbst eine Konfiguration vorzunehmen, und dieser dann zu einem Gateway führt, die Geräte sofort miteinander kommunizieren können. Dies liegt daran, dass durch die Voreinstellung von PVID1 und ungetaggter Zugehörigkeit zu VLAN1 die Geräte sich im gleichen Netzwerk befinden.
Werfen wir einen weiteren Blick auf eine Visualisierung:
Dies mag auf den ersten Blick chaotischer erscheinen als es ist: Grundsätzlich teilen beide Ports, die mit PC und Gateway verbunden sind, die Standard-VLAN-Zugehörigkeit VLAN1 (ungetaggte Zugehörigkeit – wird gleich noch erläutert) und PVID1.
Wenn der PC Verkehr an das Gateway sendet, weist die PVID1 des unteren Switch-Ports den Verkehr der „Spur“ für VLAN1 zu, was die Kommunikation mit dem oberen Switch-Port erlaubt, da die Zugehörigkeit zu VLAN1 besteht. Im Vergleich zu einer getaggten Zugehörigkeit entscheidet die ungetaggte Zugehörigkeit, ob das VLAN mit einem Tag (markiert mit VID=1, getaggtes Mitglied) oder ohne VLAN-Tag (ungetaggtes Mitglied) gesendet wird. In diesem Fall wird, da der obere Port ungetaggt ist, kein Tag hinzugefügt. Das Gateway kann dann auf dieses eingehende Paket antworten und es ebenfalls ungetaggt zurücksenden, da das Gateway noch keine VLAN-Erkennung konfiguriert hat. Wieder weist die PVID1, diesmal am oberen Switch-Port, den Rahmen der „VLAN1-Spur“ zu und ermöglicht erneut die Kommunikation, nun zum unteren Switch-Port aufgrund der gemeinsamen VLAN-Zugehörigkeit. Auch hier wird kein Tag hinzugefügt wegen der ungetaggten Zugehörigkeit, wodurch der Rahmen für den PC akzeptabel ist, der keine VLAN-Tag-Informationen auslesen kann. Durch diesen Prozess wird die Kommunikation zwischen Gateway und Client-Gerät hergestellt.
4. Nachgedanken und nützliche Links
Das Verständnis dieses Kernprinzips von VLAN ist ein entscheidender Schritt, um die richtigen Entscheidungen bei der Einrichtung von VLANs zu treffen. Natürlich können wir hier nur an der Oberfläche kratzen, aber hoffentlich gibt Ihnen dies einen guten Ausgangspunkt, VLANs tatsächlich zu verstehen und den Unterschied zwischen PVID und VLAN-Zugehörigkeiten zu kennen.
Unten finden Sie einige Artikel, die sich mit der Einrichtung von VLANs auf einer Vielzahl verschiedener Geräte aus unserem Portfolio befassen:
VLANs – Getaggte VLANs vs. PVID (Setup-Beispiel ungetaggtes/getaggtes VLAN)
Wie man VLAN auf einem USG-Gerät konfiguriert
Kommentare
0 KommentareBitte melden Sie sich an, um einen Kommentar zu hinterlassen.