Vlans einfach erklärt
Ein Vlan ist die Definition eines virtuellen Netzwerk-Segments mittels einer Nummer von 1 - 4096. Technisch realisiert wird dies mit Vlan-Tags, einer (optionalen) Markierung im Ethernet-Header.
Vlans kann man sich bildlich vorstellen als eine Möglichkeit, einen Netzwerk-Switch in unabhängige Netzwerksegmente zu unterteilen. Man kann z. B. die natürlichen optischen Grenzen der Portblöcke nutzen und einen Aufkleber anbringen: 1-12 = Vlan 1, 2-24 = Vlan 2, oder statt den Vlan-Tags einen logischen Namen anbringen (Internes Netz, IOT-Geräte).
Vlans können auch aus einem Switch "ausgeleitet" werden und über lediglich eine Kabelverbindung diese Vlans auf einem anderen Switch (eines anderen Herstellers) verfügbar machen. Die verwendeten Tags (Nummern) müssen dabei allerdings auf den verwendeten Komponenten übereinstimmen.
Verschiedene Hersteller verwendenden verschiedene Begriffe für grundlegende Definitionen. Cisco macht es indes erheblich einfacher als alle anderen mir bekannten Hersteller, Vlans zu verstehen.
Modus von Switchports
Ports werden unterschieden in Vlan-Trunk-Ports und Access-Ports.
- Ein Access-Port ist stets nur immer einem Vlan gleichzeitig zugewiesen. Jeglicher Datenverkehr über diesen Port findet immer ohne Vlan-Markierung (Tags) statt: So muss das Endgerät kein Vlan können, kann sich aber in einem bestimmten LAN-Segment befinden. Für das Endgerät ist ein Access-Port transparent.
- Ein Vlan-Trunk-Port verbindet z. B. Switches untereinander, welche die definierten virtuellen LAN-Segmente ihrerseits auf Ports anbieten sollen.
Bei Cisco wird dies so konfiguriert:
interface FastEthernet0/1 switchport mode [access|trunk]
Natives Vlan von Vlan-Trunk-Ports
Aus Kompatibilitätsgründen ist definiert, dass es ein Default-Vlan gibt (natives Vlan).
- Eingehende Pakete ohne Vlan-Tags werden in dieses Vlan geleitet,
- Ausgehende Pakete von diesem Vlan werden ohne Tag über den Port gesendet.
Dies ist ohne weitere Konfiguration stets das Vlan 1.[1] Deswegen funktionieren in 99 % aller Fälle Endgeräte auch an einem Vlan-Trunk-Port: Das Endgerät kennt keine Vlan-Tags und ignoriert somit den Traffic auf nicht-nativen Vlans. Da das Default-Vlan meistens das erste eingerichtete LAN-Segment in einem neu eingerichteten Netzwerk ist, sind die Endgeräte auch auf Vlan-Trunk-Ports quasi automatisch diesem ersten Netzwerksegment zugeordnet.
Weitere Definitionen
- Restriktion, welche Vlans durch einen Port raus und rein dürfen. Per Default ist bei Cisco alles offen (keine entsprechende Cfg-Zeile sichtbar):
interface FastEthernet0/1 switchport trunk allowed vlan <list>
- Ändern des Default-Vlans (statt 1):
interface FastEthernet0/1 switchport trunk native vlan <num>
Zusammenfassung
Manche Hersteller verwässern die strikte Trennung zwischen Access- und Vlan-Trunk-Ports und stellen stattdessen den Anwender vor die Wahl, welche Vlans mit und welche ohne über einen Port gehen sollen. Mehrere Vlans ohne Tags über den gleichen Port ist ungültig (ein Port soll z. B. für Vlan 1 und 5 untagged sein). Das wird spätestens beim Apply der Konfiguration angemeckert, anstatt sowas durch die Oberflächenlogik schon von vornherein auszuschließen. Solche Oberflächen machen das Verständnis von Vlans für den engagierten Laien unnötig schwer, verwirren mehr als sie helfen und bringen einen Ballast an weiteren Fachbegriffen mit sich, deren Logik sich auch Experten nicht immer auf Anhieb erschließt. Mit einem virtuellen Wörterbuch z. B. Cisco ↔︎ Hersteller ist sowas aber üblicherweise relativ gut in den Griff zu bekommen.
Hat man erstmal die Grundbegriffe verinnerlicht, ist es wirklich extrem simpel:
- Trunk- oder Access-Port?
- Wenn Trunk, dann natives (default) Vlan = 1 (standard) oder doch ein anderes?
- Wenn Trunk, welche Vlan-Tags dürfen passieren (alle oder nur manche)?
Die größte Herausforderung liegt stets darin, diese drei sehr simplen Festlegungen auf die jeweiligen Bedienoberflächen und Begriffsfestlegungen der verschiedenen Hersteller umzusetzen.
Fußnoten
- ↑ Quelle?