Netzwerk: Layer 2 – Virtual Local Area Network (VLAN)

VLAN ist eine Möglichkeit Switches in Logische Teilnetze zu aufzuteilen. Hierfür können Ports (Ethernet Anschlüsse) an entsprechenden Switches, Computern, Servern und zum Teil auch Accesspoints und anderen Geräten entsprechend konfiguriert werden.

Zum Beispiel kann ein Switch so in zwei Teilnetze aufgeteilt werden:

Switch unterteilen

Nun können Geräte an den Ports 1-4 und 5-8 jeweils miteinander innerhalb desselben VLANs Kommunizieren, nicht aber zwischen den beiden Bereichen. In dieser Konfiguration spricht man von Access-Ports.

Geräte an diesen Ports müssen keine entsprechende Funktion für VLAN haben und sehen auch den VLAN Tag im Ethernet Header nicht.

Haben wir nun zum Beispiel 2 Netzwerke, eines für die Computer und eines für die Telefonie, so müssen wir nicht neue Switches kaufen, sondern konfigurieren diese einfach entsprechend um.

Wir können zum Beispiel auf der Firewall 2 Ports konfigurieren für diese beiden Netzwerke und diese mit dem Switch verbinden:

Switch Telefon Beispiel 1

Nun können an Ports 3-5 Computer und an Port 6-8 Telefone angeschlossen werden.

 

Was ist aber, wenn wir einen Switch im zum Beispiel im Serverraum und einen im Büro haben? Wir könnten natürlich 2 Kabel zwischen den beiden Switches verwenden, aber es gibt auch noch sogenannte Trunk-Ports:

Switch Telefon Beispiel 2 Trunk

Während die Grünen und Orangen Ports alle als Access Ports konfiguriert sind, wurden die Violetten Ports als Trunk konfiguriert. Im Gegensatz zu den Access Ports markieren diese alle Pakete, welche den Switch verlassen mit einem VLAN-Tag und erwarten auch, dass die Pakete, welche eintreffen einen VLAN-Tag haben:

Tag-NonTag-Access-Trunk

Die Abbildung zeigt, wo die Pakete nur innerhalb des Switches markiert sind (Access-Ports) und wo die Pakete den Switch mit Markierung verlassen (Trunk Port). Die Computer sehen von dem Ganzen nichts.

Es ist auch möglich, dass neben Switches auch andere Geräte markierte Pakete versenden und empfangen können. Zum Beispiel ein Accesspoint mit 2 SSIDs (WLAN Netzen):

Switch VLAN WLAN Beispiel

 

Die Technologie

Hinter der VLAN Technologie steckt ein kleiner Bereich innerhalb des Headers von Ethernet Paketen:

Ethernet Frame

Der VLAN Tag besteht aus 4 Bytes. Die ersten 2 Bytes beinhalten den Wert 0x8100 für den IEEE Standard 802.1q. Von den verbleibenden 16 Bits stehen die letzten 12 Bits für die VLAN ID, was einen möglichen Wert von 1-4096 ergibt. Die 4 Bits dazwischen sind heute nur noch aus Kompatibilitätsgründen vorhanden. Eine detaillierte Erklärung gibts im 802.1q IEEE Standard.

 

Follow me!

Leave a Reply

Your email address will not be published. Required fields are marked *

Netzwerk

Previous article

Netzwerk: Layer 3 – IPv4 Subnetzmasken