• Suche

Erreichen Sie direkt die Fachleute vom Vertrieb, per Online-Kontaktformular, per E-Mail-Adresse oder persönlich am Telefon. Sprechen Sie uns ungeniert an, wenn Sie an einer Umsetzung mit devolo Business Solutions interessiert sind. Wir sind neugierig auf jede Sorte von Netzwerkvorhaben. Worum geht es bei Ihnen?

Sie müssen nichts mitbringen. Es genügt, wenn Sie uns sagen, wie Sie sich das Ergebnis vorstellen und was es leisten soll, damit Sie und Ihre Kunden zufrieden sind. Dann setzen wir uns zusammen und finden eine praktische Lösung.

 

+49 (0) 241 182 79 277

 

business@devolo.de

Vielleicht helfen Ihnen auch folgende Einträge weiter...
  • Suche

Erreichen Sie direkt die Fachleute vom Vertrieb, per Online-Kontaktformular, per E-Mail-Adresse oder persönlich am Telefon. Sprechen Sie uns ungeniert an, wenn Sie an einer Umsetzung mit devolo Business Solutions interessiert sind. Wir sind neugierig auf jede Sorte von Netzwerkvorhaben. Worum geht es bei Ihnen?

Sie müssen nichts mitbringen. Es genügt, wenn Sie uns sagen, wie Sie sich das Ergebnis vorstellen und was es leisten soll, damit Sie und Ihre Kunden zufrieden sind. Dann setzen wir uns zusammen und finden eine praktische Lösung.

 

+49 (0) 241 182 79 277

 

business@devolo.de

Geschäftskunden

VLAN Konfigurieren - Mehr Sicherheit mit logischen Subnetzen

Derzeit halten VLANs auch Einzug in kleineren und mittelgroßen Firmennetzen - etwa urn den Publikumstraffic vom internen Datenverkehr zu trennen. Die Vorteile gegenüber physikalisch getrennten LANs liegen vor allem in der größeren Flexibilität und Oberwiegen den Aufwand der Einarbeitung nach kürzester Zeit.

Fünf Konfigurationsszenarien zeigen die Möglichkeiten von Virtual LANs

Derzeit halten VLANs auch Einzug in kleineren und mittelgroßen Firmennetzen - etwa urn den Publikumstraffic vom internen Datenverkehr zu trennen. Die Vorteile gegenüber physikalisch getrennten LANs liegen vor allem in der größeren Flexibilität und Oberwiegen den Aufwand der Einarbeitung nach kürzester Zeit.

VLAN ist das Kürzel für Virtual Local Area Network. VLANs verwendet man, urn physikalische Layer-2-Netze aus Netzwerkkabeln, Switches und Wireless Access Points in logische Netze aufzutrennen. Das fuhrt zu Einsparungen bei der Hardware und zu mehr Flexibilität und Obersicht bei der Konfiguration - auch wenn mancher Administrator von der besseren Obersicht nur schwer zu überzeugen ist. Das liegt dann meistens daran, dass er mit dem Thema nicht hinreichend vertraut ist.

Ein Switch mit mehreren VLANs

Beginnen wir mit einem einfachen Beispiel. VLANs sind eine Basiseigenschaft, die von jedem managebaren und auch von den günstigeren smart-managebaren Switches unterstützt wird. Wir möchten nun einen physikalischen Switch in mehrere logische Switches aufteilen. Angenommen der Switch hat 48 Ports und wir benötigen eigentlich 6 Switches mit jeweils acht Ports, dann konfigurieren wir im Switch sechs VLANs mit unterschiedlichen VlAN-IDs. VlAN-IDs haben einen Wertebereich von 1 bis 4095. In der Praxis wird dieser Bereich oft logisch segmentiert, damit man eine bessere Übersicht bekommt und weil davon auszugehen ist, dass die anfänglich gewählten IDs im Laufe der Zeit um weitere ergänzt werden. In unserem Beispiel bekommt der Switch 1 die ID 10, Switch 2 die ID 20 usw. Meistens bieten Switches die Möglichkeit, dem VLAN auch gleich noch eine Bezeichnung zu geben. Der Switch 1 soll die Ports 1 bis 8 umfassen, welche in der Konfiguration nun der VLAN-ID 10 zugeordnet und als "untagged" konfiguriert werden. Genauso verfährt man mit den übrigen Switches 2 bis 6.- Was heißt jetzt "untagged"?

VLAN-Tags und VLAN-IDs

Ein VLAN-Tag ist eine Erweiterung des Ethernet-Headers urn vier Oktette, die zwischen den MAC-Adressen und der Länge des Frames eingefügt werden. Die Bedeutung dieses Tags ist im VLAN-Standard IEEE 802.1 q definiert. Er besteht im Wesentlichen aus einer zwei Oktette langen, fixen ID zur Erkennung, ob ein VLAN-Tag vorhanden ist oder nicht, der VLAN-Priorität und der bereits erwähnten VLAN-ID. Ein Switch-Port, an dem ein nicht VLAN-fähiges Endgerät angeschlossen ist, muss ungetaggt konfiguriert werden, damit keine Frames mit VLAN-Tag an das Endgerät gesendet werden. Der Switch entfernt dann vor dem Senden das Tag und versieht im Gegenzug Frames, die vom Endgerät eingehen, beim Empfang mit dem entsprechenden Tag. Der Grund für diese Konfiguration ist, dass die allermeisten Endgeräte kein VLAN unterstützen. Ausnahmen sind häufig VoiP-Telefone und Server. Vor all em in Verbindung mit virtuellen Servern sind VLANs aber enorm attraktiv. Doch dazu später mehr. Wichtig ist: Innerhalb des Switches können Frames mit einer bestimmten VLAN-ID nur an Ports weitergeleitet werden, die ebenfalls Mitglied in genau diesem VLAN mit dieser ID sind. Außerhalb des Switches sind in diesem Beispiel also niemals getaggte Frames unterwegs. Man bezeichnet solche VLANs als Port-based VLANs und die Ports, an denen nicht VLAN-fähige Endgeräte angeschlossen sind, als Edge-Ports.

VLAN über mehrere Switches hinweg

Interessanter und praxisnaher ist das nächste Beispiel: Jetzt sollen die virtuellen Switches aus dem ersten Beispiel auf einen weiteren managebaren Switch ausgeweitet werden, d.h. die Switches 1 bis 6 sollen Ports dazubekommen, die an einem anderen Switch sind. Dazu verbindet man beide Switches mit einem Ethernetkabel. lm Unterschied zum ersten Beispiel ist nun am ersten Switch ein weiteres VLAN-fähiges Gerat angeschlossen. In diesem zweiten Switch konfigurieren wir nun dieselben VLAN-IDs wie im ersten. Dann fügen wir die Trunk-Ports zu jedem der VLANs 10 bis 60 als tagged hinzu. Hier gibt es nun einen wichtigen Unterschied: Ein Port kann in maximal einem VLAN untagged sein, aber in beliebig vielen VLANs tagged. Auch beides gleichzeitig ist möglich. Dieses Beispiel können wir beliebig ausbauen. Ein Switch kann zum Beispiel der Core-Switch sein, an dem Server, Access-Switches, eine Telefonanlage, die Firewall oder der Internet-Zugang angeschlossen sind, und der andere ein Access-Switch oder Etagenverteiler, an dem Desktop- Rechner, Kameras oder Telefone angeschlossen sind. Es gilt an dieser Stelle, sich vor Augen zu halten, wozu wir überhaupt verschiedene logische Switches benötigen und warum wir unser physikalisches LAN segmentieren. Es gibt mehrere Gründe dafür: Erstens schafft ein VLAN Sicherheit. Es verhindert den Zugriff auf sensible Daten der Buchhaltung durch Überlauf der MAC-Adresstabelle durch MAC-Spoofing und kann zum Beispiel das Produktiv- sauber vom Gästenetz trennen. Ein zweites Argument betrifft die Performance: Logische Netze verkleinern die Broadcast-Domäne, um die Anzahl der Broadcast-Pakete zu minimieren, und verhindern eine Überlastung von leistungsschwachen Endgeraten wie zum Beispiel VoiP-Telefonen. Ein dritter Vorteil liegt in den Möglichkeiten der Priorisierung: Mit VLANs können wir zum Beispiel leicht den Voice-Traffic trennen und ihm gegenüber dem Bulk-Traffic den Vorzug einräumen.

Internet-Zugriff für mehrere VLANs

lm dritten Beispiel kommt IP-Routing mit ins Spiel. Wenn wir LAN-Segmente mit VLANs trennen, dann können und sollen die Geräte aus verschiedenen LANs nicht miteinander kommunizieren. Dennoch sollen aber mehrere VLANs denselben Internetzugang nutzen. Wenn wir eine Firewall-Appliance besitzen, dann kann diese typischerweise ebenfalls mit getaggten VLANs umgehen. In diesem Fall gibt es einfach einen Trunk zur Appliance - und alle VLANs sind mit verschiedenen logischen Interfaces der Firewall verbunden. Über die Konfiguration der Firewall können wir dann gezielt bestimmten Datenverkehr zwischen den VLANs erlauben. Die Firewall fungiert hier als Router. Falls wir keine dedizierte VLAN-fähige Firewall haben, dann ist es sinnvoll, einen Layer-3-Switch als Core-Switch zu verwenden. Dadurch sind wir in der Lage, durch Setzen von Routing-Einträgen den Datenverkehr zwischen einem oder mehreren virtuellen Switches zum VLAN für den Internetzugang und zurück zu leiten.

VoiP-Telefonie im VLAN

Das vierte Beispiel macht sich zunutze, dass man an einem Port gleichzeitig getaggte sowie ein ungetaggtes VLAN konfigurieren kann. Diese Konfiguration verwendet man zum Beispiel für Switch-Ports, die per PoE (Power over Ethernet) Telefone, Kameras und WLAN-AccessPoints mit Strom versorgen können. Das ungetaggte VLAN ist für den Anschluss von Arbeitsplatzrechnern konfiguriert und das getaggte VLAN für die Verwendung von VoiP-Telefonen. VoiP-Telefone booten und verbinden sich untagged mit dem Netzwerk. Sie beziehen eine temporäre IP-Adresse von dem DHCP-Server, der für die Arbeitsplatzrechner zuständig ist. Zusätzlich bekommt das Telefon die Information mit, auf welchem VLAN sich der Voice-Dienst befindet. Mit dieser Information startet das Telefon neu und verbindet sich nun getaggt mit dem Voice-VLAN.

WiFi Access Points sicher einbinden

Das letzte Beispiel zeigt die Verwendung von VLANs in Verbindung mit Wireless Access Points. Der typische Anwendungsfall ist wohl der, dass man die Daten von Mitarbeitern und Gästen trennen will. Ein physikalischer Business-AP kann mehrere SSIDs ausstrahlen, die den drahtlosen Zugang zu verschiedenen Netzen erlauben. Dabei wird jeder SSID ein VLAN zugewiesen, das vom AP getaggt zum Switch gesendet wird. Wenn aber, wie das im Enterprise-Umfeld normal ist, die Mitarbeiter in viele unterschiedliche VLAN-Netze aufgeteilt sind, dann steigt schnell die Anzahl der benötigten SSIDs. Und jede konfigurierte SSID führt dazu, dass der Access Point Beacons mit einem Intervall von 100ms aussendet. Das kann die Effizienz des WLAN-Kanals schnell verschlechtern. Man kann gegensteuern, indem man die minimale Basisrate, mit der die Beacons gesendet werden, hochsetzt. Diese ist bei 2,4GHz typischerweise auf nur 1 MBit/s konfiguriert. Ein Anheben auf mindestens 6MBi/s ist eine gute Idee und senkt den Overhead um den Faktor 6. Eine andere Möglichkeit besteht darin, das Beacon-lntervall selbst zu konfigurieren, was bei vielen APs möglich ist. Dabei sind aber Interoperabilitätsprobleme nicht ganz auszuschließen. Wenn für die Authentifizierung der WiFi-Clients ohnehin Enterprise Security nach 802.1 x (RADIUS-Server) genutzt wird, dann bietet es sich an, überhaupt nur eine einzige SSID zu verwenden und stattdessen dynamisches VLAN im AP einzuschalten, was mit tauglichen Access Points für gewerbliche Ansprüche relativ einfach möglich ist. Dabei kommt die Information, in welchem VLAN sich ein Client befinden muss, vom RADIUS-Server. Um ein VLAN beim RADIUS-Server zu konfigurieren, werden folgende Parameter aus dem RFC 2868 genutzt: Tunnel-Type, Tunnel-Medium-Type und Tunnel-Private-Group-ID. Eine umfangreiche VLAN-Konfiguration im Wireless Access Point ist dann nicht mehr nötig.

VLAN in virtuellen Umgebungen

Zu guter Letzt sei noch erwähnt, dass es gute Praxis ist, für das Management aller Netzwerkgeräte (Switches, Router, Wireless Access Points) ein dediziertes VLAN zu verwenden. Dieses sollte man überall nur getaggt verwenden, damit ein Mitarbeiter mit einem Standardrechner sich nicht einfach per Ethernet mit einem Switch verbinden kann. Zuvor wurde die besondere Rolle von virtuellen Servern in Verbindung mit VLANs erwähnt. Alle Virtualisierungslösungen bieten die Möglichkeit, den Host selbst wie einen virtuellen VLAN-fähigen Switch zu verwenden. Dabei werden die Ethernet-Interfaces der virtuellen Maschinen durch den Host den VLANs zugeordnet. So können auf einem physikalischen Host virtuelle Maschinen für verschiedene Abteilungen lauten, ohne dass eine Abteilung auf die Maschinen der anderen Abteilungen zugreifen kann.