Virtual Local Area Network
 |
Dieser Artikel oder Abschnitt bedarf einer Überarbeitung. Näheres ist auf der Diskussionsseite angegeben. Hilf mit, ihn zu verbessern, und entferne anschließend diese Markierung. |
Ein Virtual Local Area Network (VLAN) ist ein virtuelles lokales Netz innerhalb eines physischen Switches oder innerhalb eines gesamten Netzes. Man unterscheidet die älteren portbasierten VLANs von paketbasierten tagged VLANs die früher herstellerspezifisch implementiert waren und heute unter IEEE 802.1q standardisiert sind. Abgekürzt wird diese Technik auch dot1q genannt (vor allem im Cisco-Umfeld). Der Ausdruck Tagged leitet sich vom engl. Ausdruck material tags, das sind Warenanhänger mit denen Waren markiert werden, ab. Es handelt sich also bei tagged VLANs um Netzwerke, die Netzwerkpakete verwenden, welche eine VLAN-Markierung tragen. Die heute am weitesten verbreitete technische Realisierung von VLANs ist die im IEEE-Standard 802.1Q definierte.
Inhaltsverzeichnis |
[Bearbeiten] Port-Basierte-VLANs
Hier wird ein managebarer Switch in mehrere logische Switche segmentiert – alternativ könnten auch mehrere Switche eingesetzt werden – Ein Port gehört dann üblicher Weise immer nur zu einem VLAN. Um die so segmentierten Netze bei Bedarf verbinden zu können, kommt z. B. ein Router oder ein sogenannter Layer-3-Switch zum Einsatz. Überall dort wo eine bessere Übersicht gefordert ist und auch ein höherer Ressourcenverbrauch (Platz, Energie, PDUs) vermieden werden muss, kommen Port-Basierte VLANs – sie werden auch als Statische VLANs bezeichnet – zum Einsatz.
[Bearbeiten] Tagged-VLANs
Hier tragen die Netzwerkpakete eine Markierung, welche die Zugehörigkeit zu einem VLAN anzeigt. Die Markierung kann implizit sein, sich also z. B. indirekt aus dem Paket-Typ ableiten und so z. B. ein IPX/SPX Netzwerk von einem TCP-IP Netzwerk trennen. Alternativ sind explizite Tags möglich, dabei werden die Netzwerkpakete ergänzt und VLAN spezifische Informationen hinzugefügt. Zu dieser Gattung gehören die VLANs nach IEEE 802.1q, Ciscos Inter-Switch Link Protocol (ISL) oder auch 3Coms VLT (Virtual LAN Trunk) tagging. Damit die VLAN Technik nach 802.1q für alle Knoten (auch ältere Rechner und Systeme) in einem Netz transparent bleibt, müssen managebare Switche, welche die Tags bei Bedarf entfernen oder auch hinzufügen können, eingesetzt werden. Tagged VLANs erweitern geswitchte Netze um ähnliche Managementoptionen wie sie aus gerouteten Netzen bekannt sind. Ohne unabhängige Infrastruktur und zusätzliche Geräte können z. B. Abteilungen logisch voneinander getrennt werden, der Datendurchsatz erhöht werden, Uplinks getrennt genutzt werden uvm.
Generell sollte Sicherheit aber nicht mehr zu den (Tagged-) VLAN-Features gezählt werden, Switche lassen sich (wie auch immer) kompromittieren und können folglich auch immer nur als unsicher eingestuft werden. Ein Angreifer kann aber auch gleich bei der Verkabelung ansetzen, es gibt Beispielsweise Messklemmen (als Zubehör zu profi Netzwerkanalysatoren) die äußerlich, direkt an einem Kabel, wie eine Wäscheklammer, einfach nur angeklipst werden und die geringe elektrische Abstrahlung messen, folglich kann so völlig unbemerkt alles mitgeschnitten werden. Ob nun ein Uplink mit gesetzten TAGs angezapft wird oder nicht, ist hierbei völlig gleichgültig. Dagegen hilft nur eine ausreichend starke Verschlüsselung (z. B. mit IPsec), die manche LAN-Karten – nicht von ungefähr – direkt in Hardware implementieren.
[Bearbeiten] Gründe und Vorteile
Lokale Netze werden heute üblicherweise mit Hilfe von aktiven Komponenten – Switches – aufgebaut.
Hubs gelten als veraltet und werden kaum noch verwendet. Auf Hubs aufgebaute Netze haben vor allem wegen des CSMA/CD-Zugriffsverfahrens und dem daraus resultierenden Anwachsen des Traffics eine starke Beschränkung erfahren. Der maximale Durchsatz wird nie zu erreichen sein und bei starken Netzlasten können bei Datagramm-Protokollen Verbindungsabrisse entstehen.
Durch die Switching-Technik (OSI-Ebene 2) können sehr große LANs aufgebaut werden, ohne starke Bandbreiteneinbußen zu verursachen. Switches können sehr viele angeschlossene Stationen gleichzeitig verwalten (begrenzt durch die Größe ihrer MAC address table). Vorteil eines großen geswitchten Netzes ist die einfache Erreichbarkeit aller Stationen, die Einsparung von Routern und deren Verwaltung und eine geringe Latenz der Datenpakete.
Aus folgenden Gründen will man ein solches Netz oft wieder unterteilen:
- Die Broadcast-Last wird sehr hoch
- Man möchte die Netze kompakt und überschaubar halten, z. B. nach Abteilungen getrennt
- Ohne VLANs kann jede Station jede andere direkt ansprechen (Sicherheitsproblem)
Eine Lösung dieser Probleme sind VLANs. Mit Hilfe von VLANs können auf einem Switch oder über mehrere Switches hinweg virtuell getrennte Netze betrieben werden. Diese Technik eignet sich auch für die standortübergreifende Vernetzung (z. B. per ATM) mehrerer VLANs über einen Switch bzw. Router.
Schon aus Ressourcengründen lässt sich ein Netz nicht überall über getrennte Switches aufbauen. Physisch getrennt verkabelte Netze sind aber auch unflexibel und Änderungen nur mit hohem Aufwand möglich. VLAN stellt unabhängig von der physischen Struktur eine logische Struktur des Netzes zur Verfügung.
[Bearbeiten] Sicherheitsbetrachtung
In den meisten Netzen kann jedes Gerät mit anderen direkt kommunizieren. Das bringt Leistungsnachteile durch Broadcast-Pakete mit sich. Bandbreite geht in gemeinsam genutzten Netzen verloren und verringert den echten Datenverkehr der Benutzer. Gerade der vermehrte Einsatz von VoIP in der Unternehmenskommunikation fordert dafür eine angemessene, kostengünstige Lösung.
Zum anderen kann durch den physischen Anschluss eines Gerätes im Netz ebenso einfach der Datenverkehr im gesamten Netzsegment eingesehen werden, potentielle Eingriffe sind dadurch wahrscheinlicher. Die Verbreitung von Viren, Trojanern oder Würmern im gesamten Netz wird leicht ermöglicht.
Um Sicherheit und Leistung in solchen Netzen zu erhöhen, empfiehlt es sich einzelne Bereiche abzutrennen. Aus Kostengründen bedient man sich hier der Technik von VLANs , mit deren Hilfe man fast beliebig viele, thematisch abgegrenzte, virtuelle Netzsegmente erstellen kann – ohne Mehrkosten für zusätzliche Router und Switches für die Infrastruktur.
Neben dem Bandbreitengewinn innerhalb der virtuellen LAN-Segmente und der gewonnenen Flexibilität bei strukturellen Veränderungen wird auch die Datensicherheit von unterteilten Bereichen, wie zum Beispiel Entwicklung, Buchhaltung oder Personalverwaltung, erhöht. Ungebetene Gäste sind nicht automatisch in der Lage, Netzpakete dieser Segmente einzusehen.
[Bearbeiten] OSI-Schichtenzuordnung
Es gibt verschiedene Möglichkeiten, auf welcher Schicht des OSI-Modells die Zuordnung realisiert wird:
|
|
Dieser Artikel oder Abschnitt bedarf einer Überarbeitung. Näheres ist auf der Diskussionsseite angegeben. Hilf mit, ihn zu verbessern, und entferne anschließend diese Markierung. |
[Bearbeiten] Schicht 1
Die einfachste Art der Zuordnung ist die feste Definition einer VLAN-ID auf einen bestimmten Port des Switches. Hierdurch entstehen statische VLANs, deren Einsatz sinnvoll ist, wenn Umzüge im Netz nur kontrolliert und verwaltet ablaufen sollen.
Die Auswertung der VLAN-ID beim Switching erfolgt nur, wenn die Ziel-MAC-Adresse dem Switch nicht bereits bekannt ist.
[Bearbeiten] Schicht 2
VLANs können auch auf der Sicherungsschicht implementiert werden. In diesen dynamischen VLANs erkennt der Switch beim Umzug die MAC-Adresse und liest aus einer VLAN-Managementdatenbank die Konfiguration für den entsprechenden Port aus. Für das Management ist ein eigenes Protokoll nötig. Beispiele hierfür sind Ciscos VLAN Management Policy Server (VMPS) und das herstellerunabhängige GARP (Generic Attribute Registration Protocol) VLAN Registration Protocol (GVRP).
[Bearbeiten] Schicht 3
Hier erfolgt die Zuordnung der VLAN ID aufgrund der Adresse des Ebene-3-Protokolls (z. B. IP, IPX).
[Bearbeiten] Schicht 4
Bei der Realisierung auf dieser Schicht wird die VLAN-ID aufgrund von TCP- oder UDP-Portnummern zugewiesen.
[Bearbeiten] Sicherheitsaspekte
Sollen verschiedene VLANs aus Sicherheitsgründen voneinander getrennt werden, so sind nur statische, port basierte VLANs als Sicherheitszugewinn einzustufen. Da die VLAN-Zuordnung fest an Switchports und damit an feste Netzdosen gebunden ist, muss ein potentieller Angreifer hier physischen Zugang zum passenden VLAN haben.
Auf Schicht 2 implementierte VLANs sind zwar sehr flexibel, jedoch grundsätzlich als unsicher einzustufen, da an allen Switchports prinzipiell alle VLANs verfügbar gemacht werden können und die VLAN-Zuordnung nur anhand der MAC-Adresse der angeschlossenen Rechner stattfindet. Die MAC-Adresse eines Rechners lässt sich allerdings sehr leicht ändern und somit Zugriff auf alle VLANs herstellen.
Auch auf höheren Schichten lassen sich VLANs mit einigem Aufwand sehr flexibel nutzen. So können neu ans Netz angeschlossene Rechner zunächst vom Switch mit einem „unsicheren VLAN“ bedient werden. Nach erfolgreicher Authentifizierung eines Benutzers oder Rechners an einem Anmeldeserver wird der Port auf ein anderes VLAN umgeschaltet. Hier liegt das Sicherheitsrisiko bei den angeschlossenen Rechnern bzw. deren Software, die von einem Angreifer entsprechend modifiziert worden sein kann. Eine Alternative kann die Verwendung eines VPN sein.
[Bearbeiten] Verbindung von VLAN-Switches
|
|
Dieser Artikel oder Abschnitt bedarf einer Überarbeitung. Näheres ist auf der Diskussionsseite angegeben. Hilf mit, ihn zu verbessern, und entferne anschließend diese Markierung. |
VLAN-taugliche Switches (entsprechend IEEE 802.1 Q) können über sogenannte Trunks miteinander verbunden werden. Ein Trunk dient dazu, Frames, die zu den unterschiedlichsten VLANs gehören können, über eine einzige Verbindung weiterzuleiten. Das Verfahren entspricht dem asynchronen Zeitmultiplexing (ATD).
Beim Weiterleiten eines Frames über einen Trunk-Port wird dazu dem Frameheader ein VLAN-Tag hinzugefügt um zu kennzeichnen zu welchem VLAN der Frame beim sendenden Switch gehört hat. Ausnahme: Die VLAN-ID entspricht dem Native VLAN des Weiterleitungsports – in diesem Fall wird der Frame ungetagged gesendet.
Empfängt ein Switch auf einem Trunk-Port einen Frame mit VLAN-Tag, sorgt er für eine zielgerichtete Weiterleitung. Dazu wird bei Unicast-Frames die MAC-Adress-Tabelle konsultiert um festzustellen an welchen Switchport der Frame weitergeleitet werden soll. Handelt es sich dabei um einen Nicht-Trunk-Port wird der VLAN-Tag entfernt und der Frame über den Port weitergeleitet. Ist der Weiterleitungsport selbst wieder ein Trunk-Port, bleibt das Tagging erhalten und der Frame wird weitergeleitet (erneute Ausnahme: Frame gehört zum Native VLAN dieses Trunks). Broadcast-Frames leitet der Switch an alle Ports weiter die entweder selbst zu dem durch den VLAN-Tag gekennzeichneten VLAN gehören oder an weitere Trunk Ports die für dieses VLAN relevant sind.
Empfängt ein Switch auf einem Trunk-Port einen Frame ohne VLAN-Tag – sogenannte native Frames – behandelt er den Frame als würde er zum Native VLAN des Empfangsports gehören. Dazu ist auf jedem Trunk-Port eine VLAN-ID als Native VLAN-ID hinterlegt.
Der Begriff Trunking wird mit ganz unterschiedlichen Bedeutungen verwendet, siehe (Bündelung).
[Bearbeiten] Inter-VLAN Routing
Jedes VLAN bildet eine eigene Broadcast-Domäne. Um Verkehr zwischen verschiedenen VLANs zu vermitteln benötigt man einen Router. Moderne Switches stellen diese Funktion intern zur Verfügung. Man spricht dann von einem Layer-3 Switch.
Früher stellte sich die Frage, warum man generell mühevoll getrennte VLANs verbinden soll. Heute sind ein Internetzugang oder ein gemeinsamer Login-Server Anwendungsbeispiele. Dieser Login-Server könnte sich in einem dritten VLAN befinden, auf das z. B. Finanzabteilung und Produktion zugreifen könnten – die sonst strikt getrennt sind. Allerdings müsste in diesem Fall zusätzlich durch eine Firewallfunktion im Router sichergestellt, dass lediglich HTTP oder Login-Informationen übertragen werden können. Finanzen und Produktion, welche ebenfalls am Router angeschlossen sind, wären so auch weiterhin nicht in der Lage, miteinander zu kommunizieren.
Die Überlegenheit von VLAN im Vergleich zur einfachen Zuordnung zu verschiedenen Subnetzen liegt in der Tatsache, dass ein Wechsel von einem VLAN in ein anderes nur am Kopplungselement (Multilayerswitch, Router) geschehen kann; Subnetze hingegen lassen sich leicht am Client selbst ändern.
[Bearbeiten] Siehe auch
[Bearbeiten] Literatur
- Rolf-Dieter Köhler: Auf dem Weg zu Multimedia-Netzen : VPN ; VLAN-Techniken ; Datenpriorisierung. 1999 Köln : FOSSIL-Verlag. ISBN 3-931959-26-0
[Bearbeiten] Weblinks
Kategorien
-
Computerspiel
-
Elektronik
-
Hardware
- Bussystem
- Chipsatz
- Computer
- CPU-Sockel
- Gehäuse
- Grafikchip
- Hardware (Produkt)
- Hardwarehersteller
- Informationstechnik
- Internet (Hardware)
- Mikrocontroller
- Mikroprozessor
- Netzwerkgerät
- Programmierbare Logik
- Schnittstelle (Hardware)
- Soundchip
- Speichermedium
- Standard (Hardware)
- Steckkarte
- Technische Informatik
-
Informatik
-
Internet
-
Software
- Angewandte Informatik
- Anwendungsprogramm
- Betriebssystem
- Datenkompression
- Datensynchronisation
- Freie Software
- Halbfreie Software
- Informationssystem
- Informationstechnik
- Kopierschutz
- Malware
- Middleware
- Proprietäre Software
- Sicherheitssoftware
- Software nach Betriebssystem
- Software-Lizenz
- Software-Modul
- Softwarehersteller
- Softwarepaket
- Softwaretechnik
- Spionagesoftware
- Systemprogramm
Nützliche Listen
Für alle Lexikon-Artikel gilt die 