VLANs, also Virtual Local Area Networks, bringen viele Vorteile für das Netzwerk. Diese Technologie kann ein physischen Switch nochmal in mehrere logische Segmente unterteilen, sodass beispielsweise die Abteilung Verkauf nicht auf die Infrastruktur von der Abteilung Marketing zugreifen kann, obwohl sie physisch über die gleichen Switche angebunden sind. Hierbei erfolgt eine auf VLAN-basierte logische Unterteilung des Netzes in weitere Segmente. Welche Unterschiede es gibt und was sie bedeuten, wird nachfolgend erklärt. Zum Verdeutlichen soll folgendes Schaubild helfen:
Portbasiert (Access-Port)
Bei den sogenannten portbasierten VLANs werden die Ports eines Switches explizit einem VLAN zugewiesen. So ist es möglich, dass zum Beispiel ein einziger Switch zwei oder mehr VLANs auf verschiedenen Ports konfiguriert hat, wie auf der Grafik zu sehen ist. Die Ports, die mit einem VLAN konfiguriert wurden, nennt man auch access ports. Somit hat der angebundene Host direkt einen Zugang (= access) zum VLAN.
Tagged (Trunk-Port)
Bei einem tagged VLAN ist es möglich über einen Port des Switches zwei oder mehr VLANs darüber kommunizieren zu lassen. Man nennt diese Ports an einem Switch auch trunk ports. Bei dieser Technologie werden die einzelnen Datenpakete, die über den Switch laufen mit einem VLAN-Tag markiert. So ist dann klar, in welchem VLAN sich das entsprechende Paket befindet. In der Regel werden trunk ports zur Verbindung von mehreren Switches genutzt. Ist Host A an Switch 1 angebunden und Host B an Switch 2, können sie miteinander kommunizieren, wenn zwischen den Switches ein trunk port konfiguriert ist.
Konfigurationsbeispiele zu VLAN
Konfigurationsbeispiel zu einem portbasierten VLAN (access port) unter Cisco:
Switch1#(config) vlan 100
Switch1#(config-vlan) name Abteilung Verkauf
Switch1#(config) FastEthernet 0/1
Switch1#(config-if) switchport mode access
Switch1#(config-if) switchport access vlan 100
Konfigurationsbeispiel zu einem tagged VLAN (trunk port) unter Cisco. Hierbei ist es wichtig, dass beide miteinander verbundene Switche die selben VLANs besitzen, als auch die gleiche Konfiguration auf dem trunk port besitzen.
Switch1#(config-vlan) vlan 100
Switch1#(config) name Abteilung_Verkauf
Switch1#(config-vlan) vlan 200
Switch1#(config) name Abteilung_Marketing
Switch1#(config-vlan) vlan 300
Switch1#(config) name Abteilung_Personal
Switch1#(config) FastEthernet 0/8
Switch1#(config-if) switchport mode trunk
Switch1#(config-if) switchport access trunk vlan 100,200,300
Switch1#(config-if) native vlan 2
Hier bietet sich als nächste Lektüre der Beitrag zum Thema „VLAN Hopping: Was ist das und wie kann ich mich schützen?“ an. Dort wird erklärt, wie man die Sicherheit bei seiner Konfiguration verbessern.
Wer noch mehr zu dem umfangreichen Thema erfahren möchte, hier ist die entsprechende Guide von Cisco verlinkt.
Start the discussion