Mit einem VLAN können Netzwerk-Administratoren ihre Subnetze jederzeit neu aufteilen, ohne Kabel umzustecken, und an ihren Linux-Router wesentlich mehr Netze anschließen, als dieser Netzwerkkarten besitzt.
Wer sein Netzwerk in mehrere IP-Subnetze aufteilt, verpasst in der Regel jedem Subnetz einen eigenen Switch, dessen Uplink zum Router führt. Das Netz ist dann sauber strukturiert, der Router kann als Firewall fungieren und die Broadcasts bleiben in ihrem eigenen Subnetz. Soll sich diese Struktur ändern, muss der Admin aber zur Patchbay marschieren, die richtigen Anschlüsse suchen und Kabel umstöpseln. Selbst wenn nur ein Port kurzzeitig in ein anderes Subnetz wandern soll, ist so viel Aufwand nötig. Ein VLAN (virtuelles LAN) spart diese Arbeit - der Netzwechsel klappt automatisch.
Ein Netzwechsel ist in der Praxis in vielen Situationen erforderlich. Wenn beispielsweise ein Mitarbeiter in einer anderen Abteilung aushelfen soll und dabei seinen Arbeitsplatz behält, muss seine Workstation meist ins Netz der anderen Abteilung wechseln, um auf deren Server zugreifen zu dürfen.
Auch Quarantäne-Netze haben sich bewährt: Hegt ein Admin den Verdacht, dass sich ein Computer einen Wurm eingefangen hat, dann muss er diese Maschine schnell vom Produktivnetz trennen. Der verdächtige Rechner sollte aber vorerst weiterlaufen, damit ein Intrusion-Detection-System oder eine forensische Untersuchung am lebenden Objekt arbeiten können. Mit einem VLAN sperrt der Admin den Rechner auf Knopfdruck in das Quarantäne-Netz.
Die herkömmliche physikalische Strukturierung ohne VLAN stößt auch an ihre Grenzen, wenn die Anschlüsse eines Subnetzes an weit voneinander entfernten Punkten des Netzwerks liegen. Zum Beispiel legen viele Admins ein eigenes Subnetz nur für Netzwerkdrucker an. Einzig ein spezieller Spooler darf Aufträge an die Drucker weiterleiten. Damit ist ein genaues Accounting der Aufträge möglich. Die Drucker stehen aber über die Firma verstreut.
Das Ziel ist, die logische Netzinfrastruktur von der physikalischen Verkabelung zu trennen, also das LAN zu virtualisieren. Die passende Technik nennt sich Virtual Bridged Local Area Networks [1], sie trägt die IEEE-Standardisierungsnummer 802.1q. Switches, die 802.1q implementieren, müssen in der Lage sein, einzelne Ports bestimmten VLANs zuzuordnen (Abbildung 1). Soll der Switch die Pakete mehrerer VLANs über einen einzelnen Port weiterleiten (Abbildung 2), markiert er sie (Abbildung 3). Dieses Verfahren heißt VLAN-Tagging. Der Switch am anderen Ende der Leitung kann anhand der Markierungen das Paket wieder dem korrekten VLAN zuordnen.
Abbildung 1: Ein VLAN-fähiger Switch trennt das Netz in zwei unabhängige Segmente. Aus Sicht der Rechner verhält sich das Netz so, als seien VLAN 1 und VLAN 2 mit je einem eigenen Switch vernetzt.
Abbildung 2: An zwei räumlich getrennten Switches sind drei VLANs angeschlossen. Zwischen den Switches sorgt VLAN-Tagging für die korrekte Zuordnung der Frames zu ihrem virtuellen LAN. Der Hardware-Router verbindet die drei VLANs auf IP-Ebene.
Abbildung 3: Beim VLAN-Tagging fügt der Switch in einen gewöhnlichen Ethernet-Frame (oben) vier zusätzliche Bytes ein (Mitte): eine zusätzliche Typangabe und das TCI-Feld (Tag Control Information). Letzteres enthält die Priorität, das Format und die VLAN-ID des 802.1q-Frame (unten).
Alle Rezensionen aus dem Linux-Magazin
Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...
