Was ist ein VLAN?



VLAN ist ein Begriff, der virtuelles lokales Netzwerk bedeutet. Mit "virtuell" ist es kein physisches Netzwerksegment, sondern ein logisches Netzwerksegment.

Beispiel A



Ein physisches Netzwerksegment kann aus zwei Ethernet-Switches bestehen, auf denen jeweils unterschiedliche Netzwerke ausgeführt werden.

Beispiel B



Ein logisches Netzwerksegment oder "VLAN" kann ein einzelner Ethernet-Switch sein, der für mehrere Netzwerke konfiguriert ist.


Was ist der Sinn von VLANs?



In heutigen Netzwerkumgebungen sind viele LANs (Local Area Networks) sehr groß skaliert. In guten Netzwerkpraktiken möchten Sie die Broadcast-Domäne in kleinere Teile oder mehrere LANs aufteilen. Möglicherweise möchten Sie auch ein Netzwerk trennen, um den Datenverkehr aus Sicherheitsgründen herauszufiltern, wenn Sie über verschiedene Abteilungen wie z. B. Buchhaltung und Vertrieb verfügen. Der Vertrieb muss möglicherweise auf bestimmte Systemtypen im Netzwerk der Buchhaltungsabteilungen zugreifen, jedoch nicht auf alle.


Beispiel:



Nehmen wir an, Sie haben ein großes Gebäude mit zwei Abteilungen, Rechnungswesen und Vertrieb. Das Rechnungswesen hat 125-Benutzer und der Vertrieb hat 200-Benutzer. Sie könnten jede Abteilung mit einem einzigen IP-Subnetz der Klasse C versorgen, das jeweils bis zu 254-verwendbare Hostadressen zulässt. Dies wäre mehr als genug, um die Kunden in jeder Gruppe zu unterstützen. Sie haben einen einzelnen Ethernet-Switch mit einer ausreichenden Portdichte, um alle 325-Benutzer zu unterstützen, und einige, und der Switch ist VLAN- und Inter-Vlan-Routing-fähig. Sie können VLAN 1 for Sales und VLAN 2 for Accounting erstellen. Suchen Sie dann einfach die Ports, mit denen die Benutzer verbunden sind, und stellen Sie das VLAN des Ports auf die entsprechende Abteilung ein.

Jetzt haben Sie Ihre Abteilungen in Segmente unterteilt, aber es gibt derzeit keine Möglichkeit, mit ihnen zu kommunizieren, da sie durch unterschiedliche logische Segmente oder VLANs voneinander getrennt sind, obwohl sie mit demselben physischen Gerät verbunden sind. Hier kommt das Inter-VLAN-Routing ins Spiel. Sie müssen den internen Router des Switch so konfigurieren, dass er die Daten zwischen den beiden logischen Segmenten oder VLANs routen kann. In den meisten Fällen verfügt der interne Router auch über Sicherheitsfunktionen wie die ACLs (Access Control Lists) von Cisco. Sie können im Allgemeinen Quell- und Zieladressen, Netzwerke und Protokollports für eingehenden und ausgehenden Datenverkehr angeben.

Manchmal haben Sie mehrere Gebäude in einer MAN-Situation (Metropolitan Area Network) oder nur mehrere Stockwerke in einer LAN-Situation (Local Area Network). In dieser Situation müssten Sie Uplink-Schnittstellen zwischen mehreren Ethernet-Switches und "Trunk" der VLAN-Informationen über diese Uplinks mithilfe von VTP (Virtual Trunking Protocol) einrichten.

In der Regel haben Sie in einer VTP-Umgebung einen primären Switch oder Root-Switch, auf dem VTP im Servermodus ausgeführt wird. (HINWEIS: Es gibt mehrere Versionen von VTP.) Wenn Sie mit dem "Root" verbunden sind, verfügen Sie über Zugriffsschalter, die im Client- oder im transparenten VTP-Modus ausgeführt werden. Die Uplinks zwischen "Root" und "Clients" werden als "Trunks" konfiguriert, um die VTP-Informationen und den Datenverkehr für mehrere VLANs zu übertragen. Sobald die Verbindungen hergestellt sind, aktualisiert der VTP-Server die Clients mit allen ihm bekannten VLAN-Informationen. Zu diesem Zeitpunkt können Sie die Ports auf den Client-Switches mit diesen VLANs konfigurieren, und die Daten für diese VLANs durchlaufen die Trunks in ihrem jeweiligen virtuellen LAN.

Natürlich ist dies eine sehr einfache Erklärung, ich habe die Redundanz und das STP (Spanning Tree Protocol) hier der Einfachheit halber nicht berücksichtigt.