VLANS – was ist das und wie werden sie angewendet?

VLAN – Was sind virtuelle Netzwerke?

Ein VLAN (Virtual Local Area Network) ist ein Teilnetzwerk, das sich innerhalb eines gesamten physischen Netzwerks befindet. Computer in einem VLAN können nur miteinander kommunizieren, aber nicht mit anderen Computern, die sich im physischen Netzwerk befinden. Durch ein VLAN kann zusätzliche Hardware eingespart werden, da verschiedene Netzwerke nicht mehr physikalisch getrennt werden, sondern nur noch auf logischer Ebene.

So können verschiedene Endgeräte dieselben Kabel, Switches und Router nutzen, aber dennoch nicht aufeinander zugreifen. Die Konfiguration von virtuellen Netzwerken erfolgt über die beteiligten Endgeräte, die Kosten für einen VLAN-Switch und eine VLAN-fähige Netzwerkkarte sind dabei nicht viel teurer als vergleichbare Geräte ohne diese Funktion.

Warum werden virtuelle Netzwerke eingesetzt?

Die Einsatzmöglichkeiten von virtuellen Netzwerken sind vielfältig, sie können sowohl im privaten Bereich als auch für Firmen-Netzwerke eingesetzt werden. Im Idealfall können durch virtuelle Netzwerke einige Geräte eingespart werden, da sich die Endgeräte in den einzelnen Netzwerken die Hardware teilen können. Bei großen Netzwerken ist zudem die physische Verkabelung nur schwer zu erweitern, sodass virtuelle Netzwerke viel flexibler eingesetzt werden können. Die einzelnen Computer innerhalb des Netzwerks werden dabei quasi standortunabhängig, sie können an einen anderen Standort versetzt werden, ohne dass die Verkabelung und die beteiligten Switches physikalisch geändert werden müssen.

Virtuelle Netzwerke werden außerdem aus Performance-Gründen eingesetzt. So lassen sich zum Beispiel VOiP-Dienste in einem separaten VLAN betreiben und mit einer höheren Priorität ausstatten, damit die Daten schneller durch das Netzwerk geleitet werden können. Darüber hinaus ist die Aufteilung in verschiedene virtuelle Netzwerke auch aus Sicherheitsgründen sinnvoll, sowohl bei Firmen-Netzwerken als auch in privaten Haushalten. Wird von zuhause aus gearbeitet und sensible Daten übermittelt, macht es Sinn, den Arbeits-PC in einem separaten Netzwerk zu betreiben, damit Viren und andere Schadsoftware nicht aus dem Rest des Netzwerks eindringen können. In Firmennetzwerken sieht es ähnlich aus. Hier kann mit einem VLAN zum Beispiel die Buchhaltung vom restlichen Netz getrennt werden, damit sensible Firmendaten nicht über andere Rechner ausgespäht werden können.

Markierung virtueller Netzwerke

Um die einzelnen Computer bestimmten virtuellen Netzwerken zuzuordnen, gibt es verschiedene Modelle, die dazu genutzt werden können. Die einfachste Form ist ein portbasiertes Netzwerk. Hier werden die verschiedenen VLANs über die Ports voneinander unterschieden. Das kann entweder bei einem Einzelnen oder auch über mehrere Switches erfolgen. Um die Netzwerke miteinander zu verbinden, kommt ein Router zum Einsatz. Diese Form ist nicht besonders flexibel und bei einem Standort-Wechsel der beteiligten Geräte müssen auch physische Änderungen an den Switches vorgenommen werden. Flexibler im Einsatz sind sogenannte Tagged-VLANs. Hier werden die einzelnen Datenpakete nach ihrer Zugehörigkeit markiert und können so dem gewünschten Endgerät zugestellt werden. Allerdings kann es hier bei älteren Geräten zu Problemen kommen, da diese nicht immer in der Lage sind, entsprechende Markierungen an den Paketen anzubringen. Diese Geräte können auch Pakete mit Markierung nicht verarbeiten. Der VLAN-Switch muss daher je nach Herkunft und Ziel des Paketes entscheiden, ob er die Markierungen entfernen muss, beziehungsweise zunächst einmal eine Markierung anhängt, weil das Herkunftsgerät keine Daten übermittelt.

Eine weitere Form der Markierung wird in dynamischen VLANs getroffen. Dort wird die Zugehörigkeit der Pakete nach dem Inhalt bestimmt. Diese Verfahrensweise ist zum Beispiel dann zu verwenden, wenn bestimmte Geräte immer zu einem bestimmten VLAN gehören sollen oder bestimmte Dienste (VOiP) eine höhere Priorität erhalten sollen. Sowohl dynamische als auch Tagged-VLANs werden heute nicht mehr als sicher betrachtet, da die Pakete eines Netzwerkes theoretisch beliebig manipuliert werden können. Im sicherheitsrelevanten Bereich sollte daher lediglich ein statisches VLAN-Netz errichtet werden, um einen Fremdzugriff weitestgehend auszuschließen.

Umsetzungsbeispiel

Als Umsetzungsbeispiel für die praktische Anwendung einer VLAN-Netzwerkstruktur soll in diesem Fall ein kleines Unternehmen mit insgesamt zehn Mitarbeitern dienen. Zwei Personen gehören zur Buchhaltung und verwalten sensible Daten. Außerdem wird die firmeneigene Internetpräsenz über einen separaten Computer innerhalb der Firma verwaltet. Darüber hinaus erhält der Prokurist der Firma einen Zugang zum Buchungssystem des Steuerberaters über einen VPN-Tunnel. Hier macht die Installation von insgesamt vier VLAN-Netzen Sinn. Der Computer des Prokuristen erhält ein eigenes VLAN, um die Zugriffe von außen zu verhindern. Außerdem erhalten die beiden Geräte in der Buchhaltung ein separates Netzwerk, um zu verhindern, dass die anderen Mitarbeiter Zugriff auf die Buchhaltungsdaten zu bekommen. Die restlichen sieben Computer werden in ein weiteres VLAN-Netz eingeordnet und zum Schluss bekommt auch noch der Server, auf dem die Homepage verwaltet wird, ein eigenes Netz, damit potenzielle Eindringlinge nicht direkt Zugriff auf das gesamte Netzwerk haben. Die benötigte Hardware hängt immer von den individuellen Gegebenheiten ab, daher kann kein allgemeingültiger Tipp gegeben werden.


Tags:

  • gründe für vlan
  • vlan-markierung
  • anwendungsbereiche vlan
  • VLAN-Markierung
  • was bedeutet vlan
Die mobile Version verlassen