Was ist ein VLAN und wie funktioniert es?
VLAN steht für „Virtual Local Area Network“. Wie der Name schon vermuten lässt ist ein VLAN ein rein Virtuelles Netzwerk, was auf einem Physischen Netzwerk aufbaut. Mit Hilfe von VLANs lässt sich beispielsweise ein Physisches Netzwerk in mehrere Virtuelle Netzwerke aufteilen, von denen eins für Telefonie, eins für Client-Computer, eins für Server, etc. verwendet werden kann.
Wie funktioniert ein VLAN?
VLANs basieren auf Managed Switchen. Mit Managed Switches ist es möglich jeden einzelnen Port des Switches manuell zu konfigurieren (Egal, ob über eine Web-Oberfläche oder über eine CLI). Innerhalb dieser Port-Konfigurationen kann man sogenannte VLAN Tags angeben oder den Port zu einem „Trunk Port“ bzw. „Tagged Port“ konfigurieren.
Der Unterschied zwischen einem „untagged“ und einem „tagged“ Switch Port ist lediglich, dass der Untagged Switch-Port lediglich für ein VLAN verwendet werden kann, wobei bei einem „tagged“ Switchport mehrere bis alle VLANs verwendet werden können.
Dabei ist jedes VLAN eine voneinander separierte Broadcast Domäne.
Insgesamt sind 4094 VLANs möglich. Dabei kann man zwischen VLAN 2 und 4094 wählen, da das Default-VLAN eines Managed Switch immer das VLAN 1 ist. Sobald man also einen Managed Switch in betrieb nimmt und einen Computer daran anschließt befindet dieser sich im VLAN 1.
Beispiel:
In diesem Beispiel versuchen wir mal ein Datenpaket vom Client01 zum Client02 herzustellen. Diese befinden sich im gleichen VLAN aber auf unterschiedlichen Switchen.
Gehen wir davon aus, dass der Client01 einen Ping auf die IP-Adresse des Client02 absetzt. Dies wird problemlos funktionieren. Doch warum genau bekommt der Client01 beim pingen des Server02 keine Antwort?
Um das zu verstehen muss man auch verstehen, was mit den eigentlichen Datenpaketen passiert.
Was passiert mit den Datenpaketen?
Im Beispiel wird das Datenpaket als Kreis dargestellt!
Direkt nach dem Versenden trifft das Datenpaket auf den Switchport, an dem der Computer angeschlossen ist. Dort wird das Paket dann mit dem, auf dem Switch konfigurierten VLAN-Tag versehen. In diesem Fall dem VLAN-Tag 2.
Danach geht es weiter durch den Switch an den Trunk-Port, wo dann erneut der VLAN-Tag des Paketes geprüft wird, als auch das eigentliche Ziel des Paketes.
Sobald das Paket dann am zweiten Switch angekommen ist wird dort erneut geprüft, unter welchem Switch-Port das Ziel des Pakets gefunden werden kann.
Sobald das Paket dann an seinem Ziel-Port angekommen ist wird der VLAN-Tag entfernt und das Paket erreicht sein Ziel, was in diesem Fall der Client02 ist.
Wäre der Client01 nun an einem anderen Port des Switches angeschlossen, der nicht dem VLAN 2 zugeordnet ist, dann hätte das Paket einen anderen VLAN Tag bekommen und hätte sein Ziel darin nicht finden können.
Vor- und Nachteile von VLANs
Ein Klarer Vorteil der Verwendung von VLAN ist die höhere Sicherheit im Netzwerk. Durch VLANs kann man beispielsweise sicherstellen, dass nicht jeder einfach sein Notebook an einen freien Switch Port verbinden kann und sich direkt im Internen Netzwerk befindet. Außerdem lassen sich ohne Umwege oder eine entsprechende Konfiguration nicht alle Geräte und Server aus einem Netzwerk erreichen.
Dazu kommt eine bessere Struktur im Netzwerk. Zum einen lassen sich so beispielsweise eine Technik-Abteilung und eine Buchhaltungs-Abteilung von einander segmentieren. Außerdem können beispielsweise auch Gerätegruppen voneinander getrennt werden, sodass beispielsweise Server und Clients sich beispielsweise im gleichen LAN aber doch in verschiedenen VLANs und somit Netzwerken befinden.
Es macht also durchaus Sinn, beim verbauen von Managed Switchen direkt sein Netzwerk auf VLANs aufzubauen.