Einrichten eines VLANs für Unternehmensnetzwerke
Virtuelle LANs oder VLANs trennen und priorisieren den Datenverkehr auf Netzwerkverbindungen. Sie erstellen isolierte Subnetze, die es bestimmten Geräten ermöglichen, zusammen zu arbeiten, unabhängig davon, ob sie sich im selben physischen LAN befinden.
Unternehmen verwenden VLANs, um den Datenverkehr zu partitionieren und zu verwalten. Beispielsweise kann ein Unternehmen, das den Datenverkehr seiner technischen Abteilung vom Datenverkehr der Buchhaltungsabteilung trennen möchte, separate VLANs für jede Abteilung erstellen. Mehrere Anwendungen, die auf demselben Server ausgeführt werden, können einen Link gemeinsam nutzen, auch wenn sie unterschiedliche Anforderungen haben. Eine Video- oder Sprachanwendung mit strengen Durchsatz- und Latenzanforderungen kann einen Link mit einer Anwendung mit weniger kritischen Leistungsanforderungen teilen.
Wie funktionieren VLANs?
Der Datenverkehr auf einzelnen VLANs wird nur an die Anwendungen übermittelt, die jedem VLAN zugewiesen sind. Jedes VLAN ist eine separate Kollisionsdomäne, und Broadcasts sind auf ein einzelnes VLAN beschränkt. Durch das Blockieren von Broadcasts, die Anwendungen erreichen, die mit anderen VLANs verbunden sind, müssen diese Anwendungen keine Verarbeitungszyklen für Broadcasts verschwenden, die nicht für sie bestimmt sind.
VLANs arbeiten auf Layer 2, der Verbindungsschicht, und können auf eine einzelne physische Verbindung beschränkt oder durch Verbindung mit Layer-2-Switches auf mehrere physische Verbindungen erweitert werden. Da jedes VLAN eine Kollisionsdomäne ist und Layer-3-Switches Kollisionsdomänen beenden, können VLAN-Segmente nicht von einem Router verbunden werden. Im Wesentlichen kann ein einzelnes VLAN nicht mehrere Subnetze umfassen.
Subnetzsegmente verbinden sich über Switches. Es ist üblich, Komponenten einer Anwendung, die auf mehreren Servern ausgeführt werden, zu verbinden, indem sie in einem einzigen VLAN und Subnetz platziert werden. Beispielsweise können ein einzelnes Subnetz und ein einzelnes VLAN der Buchhaltungsabteilung zugeordnet sein, aber wenn Abteilungsmitglieder für ein einzelnes Ethernet-Kabel zu weit voneinander entfernt sind, verbinden Switches die verschiedenen Ethernet-Links, die das VLAN und das Subnetz übertragen, während VLAN-Router das Subnetz mit dem Rest des Netzwerks verbinden.
VLAN-Trunk-Links tragen mehr als ein VLAN, sodass Pakete auf einem Trunk zusätzliche Informationen enthalten, um sein VLAN zu identifizieren. Zugriffslinks tragen ein einzelnes VLAN und enthalten diese Informationen nicht. Bits werden aus dem Paket entfernt, das mit der Zugriffsverbindung verbunden ist, sodass ein verbundener Port nur ein Standard-Ethernet-Paket empfängt.
Einrichten eines VLANs
Das Einrichten eines VLANS kann kompliziert und zeitaufwändig sein, VLANs bieten jedoch erhebliche Vorteile für Unternehmensnetzwerke, z. B. verbesserte Sicherheit. Die Schritte zum Einrichten eines VLANS lauten wie folgt.
1. Konfigurieren Sie das VLAN
Alle Switches, die das VLAN tragen, müssen für dieses VLAN konfiguriert sein. Wenn Teams Änderungen an der Netzwerkkonfiguration vornehmen, müssen sie darauf achten, die Switch-Konfigurationen zu aktualisieren, einen Switch auszutauschen oder ein zusätzliches VLAN hinzuzufügen.
2. Zugriffssteuerungslisten einrichten
ACLs, die den Zugriff regeln, der jedem mit einem Netzwerk verbundenen Benutzer gewährt wird, gelten auch für VLANs. Insbesondere steuern VLAN-ACLs (VACLs) den Zugriff auf ein VLAN überall dort, wo es sich über einen Switch erstreckt oder wo Pakete das VLAN betreten oder verlassen. Netzwerkteams sollten bei der Konfiguration von VACLs genau aufpassen, da die Einrichtung oft kompliziert ist. Die Netzwerksicherheit kann beeinträchtigt werden, wenn beim Konfigurieren oder Ändern von VACLs ein Fehler auftritt.
3. Befehlszeilenschnittstellen anwenden
Jeder Hersteller von Betriebssystemen und Switches gibt eine Reihe von CLI-Befehlen zum Konfigurieren und Ändern von VLANs auf seinem Produkt an. Einige Administratoren erstellen Dateien, die diese Befehle enthalten, und bearbeiten sie bei Bedarf, um die Konfiguration zu ändern. Ein einzelner Fehler in den Befehlsdateien kann dazu führen, dass eine oder mehrere Anwendungen fehlschlagen.
4. Betrachten Sie Managementpakete
Gerätehersteller und Dritte bieten Managementsoftwarepakete an, die den Aufwand automatisieren und vereinfachen und die Fehlerwahrscheinlichkeit verringern. Da diese Pakete häufig eine vollständige Aufzeichnung aller Konfigurationseinstellungen führen, können sie im Fehlerfall schnell die letzte funktionierende Konfiguration neu installieren.
Identifizieren von VLANs mit Tagging
Der IEEE 802.1Q-Standard definiert, wie VLANs identifiziert werden.
Die Ziel- und Quellmedien-Zugriffssteuerungsadressen werden am Anfang von Ethernet-Paketen angezeigt, und das Feld 32-Bit-VLAN-Kennung folgt.
Tag protocol identifier
Die TPID setzt sich aus den ersten 16 Bits des VLAN-Frames zusammen. Die TPID enthält den hexadezimalen Wert 8100, der das Paket als VLAN-Paket identifiziert. Pakete ohne VLAN-Daten enthalten das EtherType-Feld an der Paketposition.
Tag-Steuerinformationen
Das 16-Bit-TCI-Feld folgt der TPID. Es enthält das Feld 3-Bit Priority Code Point (PCP), den Single-Bit Drop Eligible Indicator (DEI) und das Feld 12-Bit VLAN Identifier (VID).
Das Feld PCP gibt die Dienstqualität an, die von den Anwendungen benötigt wird, die das VLAN gemeinsam nutzen. Der IEEE 802.1p-Standard definiert diese Ebenen als die folgenden Werte:
- Wert 0 gibt ein Paket an, das das Netzwerk nach besten Kräften bereitstellt.
- Wert 1 kennzeichnet ein Hintergrundpaket.
- Wert 2 bis Wert 6 identifizieren Sie andere Pakete, einschließlich Werte, die Video- oder Sprachpakete anzeigen.
- Wert 7, die höchste Priorität, ist für Netzwerksteuerungspakete reserviert.
Das Einzelbit-DEI folgt dem PCP-Feld und fügt dem PCP-Feld weitere Informationen hinzu. Das DEI-Feld identifiziert ein Paket, das in einem überlasteten Netzwerk verworfen werden kann.
Das VID-Feld besteht aus 12 Bits, die jedes der 4.096 VLANs identifizieren, die ein Netzwerk unterstützen kann.
Ethernet-basierte VLANs
Ethernet-basierte VLANs können über einen VLAN-fähigen Access Point (AP) auf WLAN erweitert werden. Diese APS trennen eingehenden kabelgebundenen Datenverkehr mithilfe der Subnetzadresse, die jedem VLAN zugeordnet ist. Endknoten erhalten nur die Daten im konfigurierten Subnetz.
Sicherheit über Funk kann nicht erzwungen werden, wie es auf einem Draht möglich ist. Service Set Identifier (SSIDs) mit unterschiedlichen Kennwörtern werden bei Bedarf verwendet, z. B. in Gastnetzwerken.
VLANs wurden früh in der Entwicklung der Netzwerktechnologie entwickelt, um Broadcasts zu begrenzen und den Datenverkehr zu priorisieren. Sie haben sich als nützlich erwiesen, da Netzwerke an Größe und Komplexität zugenommen haben.