Startseite
Startseite
Startseite
Downloads
Downloads
Glossar
VLAN erklärt: Was ist VLAN und wie funktioniert es?

VLAN erklärt: Was ist VLAN und wie funktioniert es?

Der Avatar von Hayden Ali, Netzwerkingenieur Hayden Ali, Netzwerkingenieur

Was ist ein VLAN?

Ein VLAN ist ein virtuelles LAN, das es Ihnen ermöglicht, Ihr Netzwerk zu segmentieren, ohne dass eine physische Segmentierung logisch erforderlich ist. VLANs sind sehr flexibel und können zur Bereitstellung von Sicherheits-, Flexibilitäts- und Leistungsvorteilen eingesetzt werden. VLANs funktionieren, indem sie Ethernet-Frames mit einem VLAN-Header kapseln, der die VLAN-ID enthält. Mithilfe dieser ID wird identifiziert, welche Geräte sich in welchem ​​VLAN befinden.

VLANs werden durch das Hinzufügen von Switch-Ports zu einem bestimmten VLAN erstellt. Geräte im selben VLAN können miteinander kommunizieren, ohne dass ein Router erforderlich ist. Dadurch sind VLANs sehr effizient und einfach zu verwalten. Sie können sich ein VLAN als einen virtuellen Switch vorstellen, der für die Isolierung zwischen Geräten sorgt.

VLANs werden häufig verwendet, um verschiedene Arten von Datenverkehr wie Sprache, Video und Daten zu trennen. In einem Netzwerk wird dem Sprachverkehr in der Regel Priorität eingeräumt, sodass es nicht zu Verzögerungen oder verlorenen Paketen kommt. Auch der Videoverkehr erhält in einem Netzwerk Priorität, sodass er reibungslos und ohne Unterbrechungen gestreamt werden kann. Der Datenverkehr wird normalerweise in einem eigenen VLAN getrennt, sodass er den Echtzeitverkehr wie Sprache und Video nicht beeinträchtigt.

Wie funktioniert VLAN?

Ein virtuelles LAN (VLAN) ist ein logisches Netzwerk, das durch Switches erstellt wird. Ein VLAN enthält Switch-Ports, die dem VLAN zugewiesen sind, und verfügt über eine eindeutige Kennung, die als VLAN-ID bezeichnet wird.

In den meisten Fällen können auf einem einzelnen physischen Switch mehrere VLANs konfiguriert sein. Dies ermöglicht eine bessere Organisation des Netzwerkverkehrs und eine verbesserte Sicherheit.

Wenn ein Gerät Daten an das Netzwerk sendet, enthält es ein Feld namens Tag, das angibt, an welches VLAN die Daten gesendet werden sollen. Der Switch prüft dieses Tag und leitet die Daten dann an alle Geräte in diesem VLAN weiter.

Ein Vorteil der Verwendung von VLANs besteht darin, dass sie dazu beitragen können, den Broadcast-Verkehr im Netzwerk zu reduzieren. Bei Broadcast-Verkehr handelt es sich um Daten, die an alle Geräte im Netzwerk gesendet werden, unabhängig davon, ob diese diese benötigen oder nicht. Durch die Aufteilung der Geräte in verschiedene VLANs können Sie steuern, welche Broadcasts jedes Gerät empfängt, was zur Verbesserung der Leistung im Netzwerk beitragen kann.

IEEE 802.1Q-Frame-Format

Anhand der in seinen VLAN-Tags enthaltenen Informationen identifiziert ein Switch Pakete aus verschiedenen VLANs. IEEE 802.1Q fügt ein 4-Byte-VLAN-Tag zwischen den Feldern Quell-/Ziel-MAC-Adresse und Länge/Typ eines Ethernet-Frames hinzu, um das VLAN zu identifizieren, zu dem der Frame gehört.

Regulärer Ethernet-Datenrahmen

Ethernet-Datenrahmen

VLAN-Datenrahmen

VLAN-Datenrahmen

Warum sollten Sie ein VLAN verwenden?

  1. VLANs können verwendet werden, um ein Netzwerk in kleinere, besser verwaltbare Abschnitte zu segmentieren.
  2. VLANs können die Sicherheit verbessern, indem sie den Datenverkehr isolieren und von anderen Datenverkehrsarten trennen.
  3. VLANs können die Leistung verbessern, indem sie Broadcast-Verkehr und Kollisionsdomänen reduzieren.
  4. Mit VLANs können virtuelle Netzwerke erstellt werden, die für Test- oder Schulungszwecke nützlich sein können.

Was ist der Unterschied zwischen Port-basiertem VLAN und Tag-basiertem VLAN?

In einem portbasierten VLAN ist jeder Port einem bestimmten VLAN zugeordnet. Dadurch kann der Datenverkehr zwischen den verschiedenen VLANs isoliert werden. Ein TAG-basiertes VLAN verwendet Tags, um zu identifizieren, welche Pakete zu welchem ​​VLAN gehören. Dadurch können mehrere VLANs einem einzelnen Port zugewiesen werden.

Portbasierte und Tag-basierte VLANs sind zwei verschiedene Arten von virtuellen LANs (VLANs), die in Computernetzwerken verwendet werden. Portbasiertes VLAN ist der häufigste Typ, bei dem jeder Port an einem Netzwerk-Switch einem bestimmten VLAN zugewiesen ist. Tag-basiertes VLAN verwendet spezielle Tags, um Pakete zu identifizieren, die zu verschiedenen VLANs gehören, und ist flexibler als portbasiertes VLAN. Im Allgemeinen werden tagbasierte VLANs in Unternehmensnetzwerken verwendet, während portbasierte VLANs in Netzwerken für kleine Büros/Heimbüros (SOHO) verwendet werden.

VLANs werden in die folgenden Typen eingeteilt:

1. Daten-VLAN: Ein Daten-VLAN ist ein VLAN, das Benutzerdatenverkehr überträgt. Daten-VLANs werden auch als Benutzer-VLANs bezeichnet. Allen Switch-Ports, die Mitglieder eines Daten-VLANs sind, wird dieselbe VLAN-ID zugewiesen.

2. Sprach-VLAN: Ein Sprach-VLAN ist eine spezielle Art von Daten-VLAN, das für die Übertragung von Sprachverkehr in Echtzeit konfiguriert ist. Sprach-VLANs geben dem Sprachverkehr Vorrang vor anderen Verkehrsarten, und allen Switch-Ports, die Mitglieder eines Sprach-VLANs sind, wird der gleiche Voice Class of Service (CoS)-Wert zugewiesen.

3, Überwachungs-VLAN: Ein Überwachungs-VLAN ist eine spezielle Art von Daten-VLAN, das für die Übertragung von Echtzeit-Videoverkehr konfiguriert ist. Überwachungs-VLANs geben dem Sprachverkehr Vorrang vor anderen Verkehrsarten, und allen Switch-Ports, die Mitglieder eines Überwachungs-VLANs sind, wird der gleiche CoS-Wert (Voice Class of Service) zugewiesen.

4. Verwaltungs-VLAN: Ein Verwaltungs-VLAN ist eine spezielle Art von Daten-VLAN, das zur Übertragung von Out-of-Band-Verwaltungsverkehr für Geräte in einem Netzwerk, wie z. B. Switches, Router und Firewalls, verwendet wird. Management-VLANs verwenden normalerweise IP-Adressen, die im öffentlichen Internet nicht weitergeleitet werden können.

5. Standard-VLAN: Ein Standard-VLAN ist eine Netzwerk-Switch-Konfiguration, bei der alle Ports einem einzelnen VLAN zugewiesen sind. Dadurch kann die Switch-Verwaltung vereinfacht werden, da alle Geräte im selben VLAN miteinander kommunizieren können, ohne dass separate VLANs konfiguriert werden müssen. Es kann jedoch auch zu Sicherheitsrisiken führen, wenn unbefugten Geräten der Zugriff auf sensible Daten ermöglicht wird.

6. Natives VLAN: Ein natives VLAN ist ein VLAN, das nicht getaggten Datenverkehr überträgt. Dies ist normalerweise das Standard-VLAN für neue Ports auf einem Switch. Alle Geräte im nativen VLAN können miteinander kommunizieren, ohne den Datenverkehr zu kennzeichnen.

VLAN-Trunking

Beim VLAN-Trunking handelt es sich um einen Prozess, bei dem Datenverkehr von mehreren VLANs über eine einzige physische Verbindung gesendet wird. Dies ermöglicht eine größere Flexibilität und Effizienz bei der Konfiguration von Netzwerkgeräten. In den meisten Fällen wird jedem VLAN eine eigene eindeutige Kennung (ID) zugewiesen. Bei der Konfiguration von VLAN-Trunking wird die ID verwendet, um anzugeben, welcher Datenverkehr über die Trunk-Verbindung gesendet werden soll.

VLAN-Trunking

Die Verwendung von VLAN-Trunking bietet zwei Hauptvorteile. Erstens kann es dazu beitragen, die Netzwerkleistung zu verbessern, indem es die Überlastung des Netzwerks verringert. Zweitens kann es für mehr Sicherheit sorgen, indem der Datenverkehr von verschiedenen VLANs isoliert wird. Dies kann dazu beitragen, unbefugten Zugriff auf sensible Daten zu verhindern.

Bei der Konfiguration von VLAN-Trunking sind einige Dinge zu beachten. Zunächst ist es wichtig sicherzustellen, dass die Switch-Ports richtig konfiguriert sind. Zweitens muss die ID jedes VLANs eindeutig sein und darf nicht in anderen Teilen des Netzwerks wiederverwendet werden. Schließlich ist es wichtig, die Konfiguration zu testen, bevor sie in der Produktion bereitgestellt wird.

Andere Aspekte von VLANs

Was sind Doppel-VLANs?

Ein VLAN oder virtuelles LAN ist eine Gruppe von Geräten in einem lokalen Netzwerk (LAN), die so konfiguriert sind, dass sie so kommunizieren, als ob sie sich in einem separaten LAN befänden. Ein Doppel-VLAN besteht aus zwei VLANs, die für die Zusammenarbeit konfiguriert sind.

Die Verwendung eines doppelten VLAN bietet mehrere Vorteile. Wenn Sie beispielsweise vertrauliche Daten in einem VLAN haben, die Sie sicher aufbewahren möchten, können Sie das zweite VLAN als DMZ verwenden. Auf diese Weise können Sie die Daten schützen und gleichzeitig den Zugriff über das Internet darauf ermöglichen. Ein weiterer Vorteil der Verwendung eines doppelten VLAN besteht darin, dass es zur Verbesserung der Netzwerkleistung beitragen kann. Durch die Aufteilung des Datenverkehrs in verschiedene VLANs können Sie Überlastungen reduzieren und den Gesamtdurchsatz verbessern. Schließlich kann die Verwendung eines doppelten VLAN die Sicherheit durch Bereitstellung von Redundanz erhöhen. Wenn ein VLAN kompromittiert wird, kann das andere weiterhin Zugriff auf kritische Ressourcen gewähren.

Insgesamt bietet die Verwendung einer Doppel-VLAN-Konfiguration viele Vorteile. Wenn Sie die Sicherheit und Leistung verbessern möchten oder einfach mehr Flexibilität bei Ihrem Netzwerkdesign wünschen, dann ist ein Doppel-VLAN möglicherweise die richtige Lösung für Sie.

Was ist QinQ-Tagging?

In Computernetzwerken ist QinQ-Tagging eine Technik, mit der die Fähigkeiten virtueller lokaler Netzwerke (VLANs) erweitert werden. Anstatt ein einziges VLAN pro Kunde zu haben, ermöglicht QinQ die Übertragung mehrerer VLANs über eine einzige physische Verbindung. Dies kann in Situationen nützlich sein, in denen Kunden eine Verbindung zu mehreren VLANs herstellen müssen oder in denen Anbieter unterschiedliche Serviceebenen auf derselben physischen Infrastruktur anbieten müssen.

QinQ-Tagging wurde zuerst von Cisco Systems entwickelt und wird manchmal als „Cisco Inter-Switch Link (ISL) Routing“ bezeichnet. Es ist mittlerweile ein Industriestandardprotokoll und wird von den meisten großen Netzwerkanbietern unterstützt.

Um QinQ-Tagging zu implementieren, erhält jedes Kunden-VLAN einen eindeutigen Service Provider Bridge Global Identifier (S-TAG). Der S-TAG wird verwendet, um das Kunden-VLAN zu identifizieren, wenn es über das Anbieternetzwerk übertragen wird. Wenn das Kunden-VLAN sein Ziel erreicht, wird der S-TAG entfernt und die ursprüngliche Kunden-VLAN-ID wiederhergestellt.

QinQ-Tagging kann in Verbindung mit anderen Techniken wie Quality of Service (QoS) verwendet werden, um verschiedenen Kunden unterschiedliche Serviceebenen bereitzustellen. Beispielsweise könnte ein Anbieter Kunden, die für Premium-Servicelevel zahlen, eine höhere Priorität einräumen.

Insgesamt QinQ-Tagging bietet eine flexible Möglichkeit, die Fähigkeiten von VLANs zu erweitern und gleichzeitig die Kompatibilität mit vorhandener Netzwerkhardware und -software aufrechtzuerhalten.