Fachbeitrag «VLAN - Virtual Local Area Network»

Logische Netze auf physikalischen Netzen

1. Was ist VLAN?

Ohne VLAN:

IP-Netzwerke werden mit auf OSI-Ebene 2 arbeitenden Switches aufgebaut und mit Router verbunden. Jedes an einem Standort erforderliche Netzwerk muss physikalisch dorthin gebracht werden, was einen nicht unerheblichen Verkabelungsaufwand bedeuten kann.

Mit VLAN:

Ein VLAN ist ein logisches, virtuelles Teilnetz innerhalb eines physischen Netzwerks. Es kann sich über einen oder mehrere Switches hinweg ausdehnen. Man kann sich das VLAN in einem Kabel oder einer Glasfaser so vorstellen, dass innerhalb eines Kupferdrahtes mehrere virtuelle Kupferdrähte angeordnet sind und im Innern des Switches jeder Kupferdraht separat geswitcht wird. Jeder Port des Switches hat somit unterschiedliche VLANs aufgeschaltet. Aus diesem Grund darf niemals ein Kabel von einem Port am VLAN-Switch ohne Rekonfiguration der Ports am Switch umgesteckt werden. Sonst kann es geschehen, dass die VLANs an die falschen Geräte und Switches weitergeleitet werden und die Dienste nicht dort zur Verfügung stehen, wo sie sollten. Jedes VLAN bildet (wie ein normales, physisch separiertes Netzwerksegment) eine eigene Broadcast-Domäne.

Um den Verkehr zwischen den VLANs transparent zu vermitteln, benötigt man einen Router. Moderne Switches stellen diese Funktion intern zur Verfügung. Man spricht dann von einem Layer-3-Switch.

1.1 Warum VLAN und was bietet mir dieses?

  • Flexibilität bei der Zuordnung von Endgeräten zu Netzwerksegmenten, unabhängig vom Standort der Basisstation. Die Überlegenheit von VLAN’s im Vergleich zur physischen Zuordnung zu verschiedenen Subnetzen basiert darauf, dass ein Wechsel von einem VLAN in ein anderes am Kopplungselement (Multilayerswitch, Router) geschehen kann, ohne dass eine physische Verbindung geändert werden muss.
  • Abgrenzung: Zum Beispiel exisiert an der Schule ein eigenes IP-Netzwerk für Drucker, das nicht in die Klassenzimmer geroutet wird. Damit stellt man z.B. sicher, dass die Drucker von den Benutzern nicht direkt in ihre PC's eingebunden werden können, sondern nur über den Druckerserver erreichbar sind.
    In jedem Raum kann mit einem AccessPoint (AP) ohne weiteren Verkabelungsaufwand ein Gäste-WLAN eingerichtet werden, dass sich in einem separaten IP-Netzwerk befindet.
  • Priorisierung von bestimmtem Datenverkehr wie z.B. VoIP. Verkleinerung der Broadcast- Domänen.
  • Komplexität reduzieren: Mehr Dienste im Netz (IP-Telefonie, IP-TV, IP-Radio) etc.) ziehen auch eine grössere Komplexität nach sich. Diese kann man reduzieren, indem man konsequent für jeden Dienst ein eigenes VLAN im Netz bezeichnet.
  • Die Abhörsicherheit ist bei VLAN’s besser als bei geswitchten Netzen, wo verschiedene Angriffsszenarios wie MAC-Flooding / MAC-Spoofing existieren. Zur Verbindung von VLAN’s kommen Router zum Einsatz, die gegen Layer-2-Attacken unempfindlich sind. Zusätzlich bietet Routing die Möglichkeit, Firewalls auf Layer-3-Basis einzusetzen. Diesen Vorteil könnten auch segmentierte LAN’s bieten. Dabei ist man aber im Gegensatz zu VLAN’s von der physischen Verkabelung abhängig

1.2 Wie verbindet man VLAN-Switches?

Der Switch muss VLAN’s unterstützen. Neuere Netzwerkkarten in Server/PC sind meist auch VLAN-fähig (und somit über verschiedene VLAN’s erreichbar).

Wenn sich ein VLAN über mehrere Switches erstreckt, ist zu deren Verbindung entweder für jedes VLAN ein eigener Link (Kabel) erforderlich, oder es kommen sogenannte VLAN-Trunks (VLT) zum Einsatz. (Das Verfahren entspricht einem asynchronen Multiplexing. Deshalb dient ein VLT dazu, Daten der unterschiedlichen VLAN’s über eine einzige Verbindung weiterzuleiten.)

2. Zuordnung von Datenverkehr zu VLAN’s

Die Zuordnung der Teilnetze zu einem VLAN kann auf eine der folgenden  Arten erfolgen:

2.1 Portbasierte VLAN’s

Die Urform des VLAN's. Ältere VLAN-fähige Switches beherrschen nur portbasiertes VLAN, das statisch konfiguriert werden muss. Hier wird ein managebarer Switch portweise in mehrere logische Switches segmentiert – alternativ können sich portbasierte VLAN’s auch über mehrere Switches hinweg ausdehnen. Ein Port gehört dann immer nur zu einem VLAN oder ist ein Trunk-Port. Um die so segmentierten Netze bei Bedarf zu verbinden, kommt z. B. ein Router zum Einsatz. Ferner gehören sie zu den statischen VLAN-Konfigurationen und bilden sozusagen einen Gegenpol zu den dynamischen VLAN’s und zu den tagged VLAN’s. Überall dort, wo eine bessere Übersicht gefordert ist und ein höherer Ressourcenverbrauch (Platz, Energie) vermieden werden muss, kommen statische, portbasierte VLAN’s zum Einsatz.

2.2 Tagged VLAN’s

Das heute fast ausschliesslich verwendete Ethernet-Datenblockformat Ethernet-II nach IEEE 802.3 mit 802.1Q VLAN-Tag:

Die paketbasierten tagged VLAN’s stehen im Unterschied zu den älteren markierungslosen, portbasierten VLAN’s. (Der Ausdruck tagged leitet sich vom englischen Ausdruck «Material Tags» ab was einem Anhänger entspricht, mit dem man eine Ware markiert). Es handelt sich also bei tagged VLAN’s um Netzwerke, die Netzwerkpakete verwenden, welche eine zusätzliche VLAN-Markierung tragen. Ein Tagging in VLANs kommt auch dann zum Einsatz, wenn sich VLAN’s z. B. über mehrere Switches hinweg erstrecken, etwa über Trunkports. Hier tragen die Frames eine Markierung, welche die Zugehörigkeit zum jeweiligen VLAN anzeigt. Durch die Tags werden VLAN-spezifische Informationen zum Frame hinzugefügt. Zu dieser Gattung gehören die VLANs nach IEEE 802.1q. Damit die VLAN-Technik nach 802.1q auch für ältere Rechner und Systeme in einem Netz transparent bleibt, müssen Switches diese Tags bei Bedarf hinzufügen und auch wieder entfernen können.
(Bei portbasierten VLAN’s (d. h. bei Paketen, die kein Tag besitzen) wird zum Weiterleiten eines Datenpakets über einen Trunk hinweg üblicherweise vor dem Einspeisen in den Trunk ein VLAN-Tag hinzugefügt, welches kennzeichnet, zu welchem VLAN das Paket gehört. Der Switch auf Empfängerseite muss dieses wieder entfernen. Bei Tagged VLAN’s nach IEEE 802.1q hingegen werden die Pakete entweder vom Endgerät (z. B. Taggingfähigem Server) oder vom Switch am Einspeiseport mit dem Tag versehen. Daher kann ein Switch ein Paket ohne jegliche Änderung in einen Trunk einspeisen. Empfängt ein Switch auf einem VLT-Port (Trunkport) einen Frame mit VLAN-Tag nach IEEE 802.1q, kann auch dieser es unverändert weiterleiten. Lediglich der Switch am Empfangsport muss unterscheiden, ob er ein Tagging-fähiges Endgerät beliefert (dann muss das Frame unverändert bleiben) oder ob es sich um ein nicht Tagging-fähiges Endgerät handelt, welches zu dem aktuellen VLAN gehört (dann ist das Tag zu entfernen). Hierzu muss die zugehörige VLAN-ID im Switch hinterlegt sein.)
Da nach IEEE 802.1Q alle Pakete mit VLAN-Tags markiert sind, müssen einem Trunk entweder alle VLAN-ID’s, die er weiterleiten soll, hinterlegt werden, oder er ist zur Weiterleitung aller VLAN’s konfiguriert. Werden Pakete ohne Tag auf einem Trunk-Port empfangen, können diese je nach Konfiguration entweder einem Default-VLAN zugeordnet werden (der Switch bringt das Tag nachträglich an), oder sie werden verworfen. Empfängt ein Switch auf einem seiner Ports z. B. von einem älteren Endgerät Pakete ohne VLAN-Tags (auch native Frames genannt), so muss er selbst für das Anbringen des Tags sorgen. Hierzu wird dem betreffenden Port entweder per Default oder per Management eine VLAN-ID zugeordnet. Der Switch, der das Paket ausliefert, muss analog verfahren, wenn das Zielsystem nicht mit Tags umgehen kann (das Tag muss entfernt werden). Das automatische Lernen der zu den VLT’s (Trunkports) gehörenden Einstellungen ist heute Standard bei den meisten VLAN-fähigen Switches. Dabei muss ein Switch mit einem Mischbetrieb sowohl von Paketen, die keine Tags kennen und enthalten, als auch von Paketen, die bereits Tags besitzen, umgehen können. Das Erlernen der VLT’s erfolgt analog zum Erlernen der MAC-Adressen: Empfängt der Switch ein Paket mit VLAN-ID, so ordnet er den Port zunächst diesem VLAN zu. Empfängt er an einem Port innerhalb kurzer Zeit Pakete mit unterschiedlichen VLAN-IDs, so wird dieser Port als VLT identifiziert und als Trunk genutzt. Einfache Switches ohne Verwaltungsmöglichkeit bilden üblicherweise ein zusätzliches natives VLAN für alle Pakete, die keine Tags enthalten. Solche Pakete werden meist belassen wie sie sind. Ein Trunkport wird hier wie ein normaler (Uplink-)Port behandelt. Alternativ kann auch ein Default-Tag angefügt werden. Der Begriff Trunk wird im Unterschied zu VLT häufig auch mit einer ganz anderen Bedeutung verwendet, siehe auch Bündelung (Datenübertragung). Generell sollte man Sicherheit aber nicht mehr zu den Tagged-VLAN-Features zählen. Switches lassen sich auf zahlreichen Wegen kompromittieren, müssen folglich immer als unsicher eingestuft werden. Man kann aber auch direkt bei der Verkabelung ansetzen. Es gibt beispielsweise Messklemmen als Zubehör zu Profi-Netzwerkanalysegeräten, die äusserlich direkt an ein Kabel angeschlossen werden und das geringe elektromagnetische Feld messen. So kann völlig unbemerkt der gesamte über dieses Kabel laufende Datenverkehr mitgelesen und aufgezeichnet werden. Dagegen hilft nur eine starke Verschlüsselung (z.B. mit IPsec), die manche LAN-Karten direkt in Hardware implementieren.

2.3 Statische VLAN’s

Hier wird einem Switch-Port fest eine VLAN-Konfiguration zugeordnet. Er gehört dann zu einem portbasierten VLAN, zu einem untagged VLAN oder er ist ein Port, der zu mehreren VLANs gehört. Die Konfiguration eines Ports ist bei statischen VLAN’s fest durch den Administrator vorgegeben. Sie hängt nicht vom Inhalt der Pakete ab und steht im Gegensatz zu den dynamischen VLAN’s unveränderlich fest. Damit ist eine Kommunikation des Endgerätes an einem Port nur noch mit den zugeordneten VLAN’s möglich. Gehört ein Port zu mehreren VLAN’s, ist er ein VLAN-Trunk und dient dann meist zur Ausdehnung der VLAN’s über mehrere Switches hinweg.Durch die Möglichkeit, einen Port mehreren VLAN’s zuzuordnen, können zum Beispiel auch Router und Server über einen einzelnen Anschluss an mehrere VLAN’s angebunden werden, ohne dass für jedes Teilnetz eine physische Netzwerkschnittstelle vorhanden sein muss. Somit kann ein einzelnes Gerät – auch ohne Router – seine Dienste in mehreren VLANs anbieten, ohne dass die Stationen der verschiedenen VLAN’s miteinander kommunizieren können. Diese VLAN-Trunk’s dürfen nicht mit den Trunk’s im Sinne von Link Aggregation verwechselt werden, bei denen mehrere physische Übertragungswege zur Durchsatzsteigerung gebündelt werden.

2.4 Dynamische VLAN’s

Bei der dynamischen Implementierung eines VLAN’s wird die Zugehörigkeit eines Frames zu einem VLAN anhand bestimmter Inhalte des Frames getroffen. Da sich alle Inhalte von Frames praktisch beliebig manipulieren lassen, sollte in sicherheitsrelevanten Einsatzbereichen auf den Einsatz von dynamischen VLAN’s verzichtet werden. Dynamische VLAN’s stehen im Gegensatz zu den statischen VLAN’s. Die Zugehörigkeit kann beispielsweise auf der Basis der MAC- oder IP-Adressen geschehen, auf Basis der Protokoll-Typen oder auch auf Anwendungsebene nach den TCP-/UDP-Portnummern. In der Wirkung entspricht dies einer automatisierten Zuordnung eines Switchports zu einem VLAN. Durch Dynamische VLAN’s kann zum Beispiel auch erreicht werden, dass ein mobiles Endgerät immer einem bestimmten VLAN angehört – unabhängig von der Netzwerkdose, an die es angeschlossen wird. Eine andere Möglichkeit besteht darin, einen bestimmten Teil des Datenverkehrs in ein spezielles VLAN zu leiten.