Dringend! Sicherheitshinweis - Firmware-Upgrade-Ratschläge für optimalen Schutz & VPN- und GUI-Stabilitäts-Probleme

Artikel lesen
Deutsch Български Čeština Dansk English Español Suomi Français Magyar Italiano Nederlands Norsk Polski Română Русский Slovenčina svenska Türkçe

VLANs – Ein tieferer Einblick in ihre Funktionsweise VLAN icon

Avatar
  • Aktualisiert
Zurück nach oben

VLANs sind ein Thema, bei dem man sich bei der Einrichtung grundsätzlich kein falsch oder richtig leisten kann. Daher ist es sehr wichtig zu verstehen, wie VLANs auf der untersten Ebene funktionieren. Dieser Artikel befasst sich möglicherweise nicht mit den Kerngrundlagen von VLANs, gibt Ihnen jedoch einen ziemlich guten Einblick in das, was VLANs sind, wie sie funktionieren und wie man sie einrichtet.

 

1. Was ist ein VLAN?

VLAN steht für Virtual Local Area Network und ist, vereinfacht gesagt, eine sehr gängige Methode, um Netzwerke auf Switches zu trennen. Wenn Sie Netzwerke trennen möchten, müssen Sie in der Regel verschiedene Netzwerksegmente (also ein ganzes Netzwerk für Mitarbeiter, eines für die Gäste usw.) physikalisch aufbauen und parallel betreiben. Über VLANs können Sie dieselbe Netzwerkinfrastruktur verwenden, um mehrere Netzwerke gleichzeitig zu übertragen. Es ermöglicht die Erstellung virtueller Netzwerke über die tatsächlichen physischen Netzwerkgeräte.

Um eine Analogie zu bringen: Während Subnetze eine Möglichkeit sind, Netzwerke innerhalb von Routern oder sogenannten "Layer-3-Geräten" zu trennen, im Grunde IP-basierte Geräte, machen VLANs eine sehr ähnliche Sache Layer-2-Geräte in MAC-basierten Netzwerken .

Die Regeln und Standards zur VLAN-Implementierung werden von der IEEE-Organisation innerhalb des IEEE 802.1q-Standards klassifiziert.

 

2. Wie funktioniert ein VLAN nun wirklich?

Ein VLAN funktioniert, stark vereinfacht, über Tags . Ein Tag besteht aus einigen zusätzlichen Bytes, die an jeden Datenrahmen angehängt sind und Informationen wie die VLAN-Mitgliedschaft enthalten:

mceclip0.png

Der wichtigste Teil, auf den wir uns hauptsächlich konzentrieren werden, ist die VID, die VLAN-ID. Diese Nummer von 1-4096 ist einfach ein Marker, "in welches VLAN der Frame gehört".

Tagging ist eine sehr effiziente Methode, um zu kontrollieren, welcher Frame zu welchem VLAN gehört.

Um zu verstehen, wie VLANs in der Praxis funktionieren, stellen Sie sich vor, Sie erstellen eine Datenverkehrsspur, wenn Sie ein VLAN innerhalb eines Switches einrichten. Jede Lane ist getrennt, läuft parallel und ist mit verschiedenen Ports verbunden, die dieser Lane zugewiesen sind. Die "Zuordnung zur Lane" ist unsere VLAN-Mitgliedschaft . Wie Sie dies einrichten, wird in vielen verschiedenen Artikeln beschrieben, die ganz unten in diesem Artikel verlinkt sind. Aber hier ist eine grafische Darstellung davon:
mceclip1.png

Sie können die Lanes sehen, die durch die Switches laufen und dann zu dem Port des Switches gehen, dem dann die jeweilige Mitgliedschaft zugewiesen ist. Sobald also ein Frame in einem bestimmten VLAN in den Switch eingetreten ist, kann er mit jedem Port kommunizieren, der eine Mitgliedschaft in diesem VLAN hat. Aber wie wird ein Frame entweder zu einem VLAN10-, 20- oder 30-zugewiesenen Frame?

 

3. Eingehender Datenverkehr auf VLANs

Die Definition, in welches VLAN ein eingehender Frame zugewiesen wird, hängt davon ab, ob dem eingehenden Frame bereits ein VLAN-Tag von seinem Quellgerät zugewiesen wurde. Ist dem Frame ein VLAN-Tag zugeordnet, wird der VID-Inhalt ausgelesen. Wenn die VID in ihrer Nummer mit der markierten Mitgliedschaft eines Switch-Ports übereinstimmt, wird sie "auf die Lane" zugelassen. Viel interessanter ist es jedoch herauszufinden, was mit vollständig ungetaggten Ethernet-Frames passiert. Hier kommt die sogenannte PVID (Port-Based VLAN ID) ins Spiel. Die PVID ist verantwortlich für die rechte Spur zu platzieren Rahmen der Wahl auf diesen sind ein- und unmarkiert - die PVID kommt nur ins Spiel , auf Rahmen , die diese beiden Kriterien entsprechen. Ein Port, dem eine PVID von 1 zugewiesen ist, weist VLAN1 eingehenden Datenverkehr ohne Tags zu, um den Datenverkehr „auf Lane #1“ zu schieben.

Standardmäßig sind alle Netzwerkgeräte-Ports und Switches mit einer PVID1 und einer ( untagged) Mitgliedschaft im VLAN1 eingestellt . Dies bedeutet also, dass, wenn Sie einen Computer ohne eigene Konfiguration an einen Switch anschließen, der wiederum an ein Gateway geht, durch die Präposition der PVID1 und die ungetaggte Mitgliedschaft im VLAN1 die Geräte sofort können kommunizieren, die sich gegenseitig, da die Präposition sie innerhalb des gleichen Netzwerks platziert.

Schauen wir uns noch einmal eine andere Visualisierung an:
mceclip2.png

Dies mag auf den ersten Blick chaotischer aussehen, als es ist: Grundsätzlich teilen sich beide Ports, die mit PC und Gateway verbunden sind, die Standard-VLAN-Mitgliedschaft von VLAN1 (nicht gekennzeichnete Mitgliedschaft -> wird in Kürze ausgeführt) und PVID1.

Wenn der PC Datenverkehr an das Gateway sendet, weist die PVID1 des unteren Switch-Ports den Datenverkehr der "Lane" für VLAN1 zu, so dass er mit dem oberen Switch-Port kommunizieren kann, da die Mitgliedschaft in VLAN1 gegeben ist. Im Vergleich zu einer getaggten Mitgliedschaft entscheidet die ungetaggte Mitgliedschaft, ob das VLAN mit einem Tag, gekennzeichnet mit VID=1 (getaggtes Mitglied) oder ohne VLAN-Tag (ungetaggtes Mitglied) ausgesendet wird oder nicht. Da in diesem Fall der obere Port nicht markiert ist, wird kein Tag hinzugefügt. Das Gateway kann dann auf dieses eingehende Paket antworten und es zurückschicken - auch ungetaggt, da das Gateway noch keine VLAN-Awareness dafür konfiguriert hat. Auch hier wird die PVID1, diesmal auf dem oberen Switch-Port, den Frame der "VLAN1-Lane" zuordnen, erneut die Kommunikation ermöglichen, nun aufgrund der gemeinsamen VLAN-Mitgliedschaft auf dem unteren Switch-Port. Auch hier wird aufgrund der ungetaggten Mitgliedschaft kein Tag hinzugefügt, wodurch der Frame für den PC akzeptabel ist, der keine VLAN-Tag-Informationen auslesen kann. Durch diesen Prozess wird die Kommunikation zwischen Gateway und Client-Gerät hergestellt.

 

4. Nachbedenken und nützliche Links

Das Verständnis dieses Kernprinzips von VLAN ist ein entscheidender Schritt, um die richtigen Entscheidungen beim Einrichten von VLAN zu treffen. Natürlich können wir zu diesem Thema nur an der Oberfläche kratzen, aber hoffentlich erhalten Sie damit einen guten Ausgangspunkt, um VLANs tatsächlich zu verstehen und den Unterschied zwischen PVID- und VLAN-Mitgliedschaften zu kennen.

Nachfolgend finden Sie einige Artikel rund um das Einrichten von VLANs auf einer Vielzahl verschiedener Geräte aus unserem Portfolio:

VLANs – Tagged VLANs vs PVID (Setup-Beispiel Untagged/Tagged VLAN)

So konfigurieren Sie VLAN auf einem USG-Gerät

Separate VLANs auf einer ZyWALL/USG

GS1900: So konfigurieren Sie VLAN auf Zyxel Switch

So konfigurieren Sie die VLAN-Gruppe auf VMG

So richten Sie VLAN in der NWA / WAC-Serie ein

HAFTUNGSAUSSCHLUSS:

 Sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzung verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Möglicherweise werden nicht alle Texte korrekt übersetzt. Bei Fragen oder Unstimmigkeiten zur Richtigkeit der Informationen in der übersetzten Version lesen Sie bitte den Originalartikel hier: Originalversion

Contact Us
War dieser Beitrag hilfreich?
12 von 13 fanden dies hilfreich
Haben Sie Fragen? Anfrage einreichen

Verwandte Beiträge

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.