Am 14. September 2017 haben wir eine überarbeitete Fassung unserer Datenschutzrichtlinie veröffentlicht. Wenn Sie video2brain.com weiterhin nutzen, erklären Sie sich mit diesem überarbeiteten Dokument einverstanden. Bitte lesen Sie es deshalb sorgfältig durch.

Netzwerkgrundlagen

VLAN

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Ein virtuelles LAN teilt ein physisches in mehrere logische Netzwerke auf. Zusätzlich erfüllt dieses durch die Definition von Beschränkungen spezielle Sicherheitsanforderungen.

Transkript

"VLAN ist langweilg!" Wer sagt denn das? Ich möchte für Sie in diesem Video den Gegenbeweis anbringen. Entdecken Sie mit mir die spannende Welt des VLAN! VLAN bedeutet: "Virtual Local Area Network", also ein virtuelles Netzwerk. Bevor ich Ihnen das näher erkläre, schauen wir uns zuerst an wie es in einem Netzwerk ohne VLAN läuft. Wir haben also alle Computer, Server, Drucker und Netzwerkkomponenten in einem Netzwerk. Puh. In einer großen Firma können das schon mal einige hundert Geräte sein, wenn nicht sogar tausend. Da hier so viele Geräte sind, und jeder auch mal einen Broadcast schickt, haben also alle was zu tun. Dazu kommt, dass ich keine Möglichkeit habe, oder nur mit hohem Aufwand, Geräte abzutrennen, die zum Beispiel sicherheitskritisch sind. Mit VLAN können wir die Probleme nun angehen. Mit VLAN habe ich also die Möglichkeit, ein physisches Netzwerk also meine normale Netzwerkverkabelung die ich habe in mehrere logische bzw. virtuelle Netzwerke aufzuteilen. Ich würde es mal so vergleichen: Ich habe eine Einkaufsstraße, wo jede Menge Leute hergehen, also unsere Datenpakete. Und mit der Einführung von VLAN gehe ich hin und ziehe den Leuten Scheuklappen mit Nummern an. Und plötzlich können sich nur noch die Leute mit derselben Nummer unterhalten. Die virtuellen Netzwerke kann ich dann natürlich auch noch beschränken, um spezielle Sicherheits- anforderungen zu erfüllen. Zum Beispiel, dass auf das VLAN für die Geschäftsleitung nicht jeder zugreifen darf. Da jedes VLAN für sich nun eine kleine Broadcast-Domäne ist und nicht mehr eine große, ist diese Belastung nun natürlich auch wesentlich geringer. Die Belastung für die Switche bleibt zwar fast gleich, da es ja über die gleiche physische Leitung transportiert wird, aber es müssen nicht mehr alle Geräte diese Information verarbeiten. Schauen wir uns das doch mal in einer Animation an. Wir haben hier ein normales Netzwerk ohne VLAN. Es kommt ein Broadcast herein, und dieser wird an alle Ports weitergeleitet. Ja, auch bei einem Switch, denn ein Broadcast-Paket ist ja dafür da, dass es alle erreicht. Wie sieht es nun mit VLAN aus? Wir haben hier einen Switch mit VLANs. Es ist egal, ob er auf Schicht 2 oder 3 arbeitet, denn ich habe hier den Ports nur das entsprechende VLAN zugewiesen. Hauptsache ist, er ist verwaltbar. Es kommt nun ein Broadcast auf VLAN10 hinein und wird nur auf den anderen Port mit VLAN10 weitergeleitet. Genauso sieht es mit VLAN12 aus. Und mit VLAN11. OK. Schauen wir uns nun den so genannten VLAN-Trunk an. Für mich passt für Trunk am besten die Übersetzung mit dem Begriff "Koffer". Ich habe also einen Koffer voll mit VLANs und kann auch entscheiden, welche VLANs ich in den Koffer packe. Ich habe hier also einen Switch mit einer etwas anderen Konfiguration und möchte nun rechts oben einen Switch anschließen. Damit ich über diesen auch alle VLANs nutzen kann, muss ich den Port also auf "Trunk" setzen. Ich packe also alle VLANs in meinen Koffer. Dann haben wir noch einen Server. Ich gebe jetzt mal vor, dass es ein Virtualisierungsserver ist und dass über das eine Netzwerkkabel mehrere virtuelle Maschinen laufen, die in unterschiedlichen VLANs arbeiten müssen. Da ich aber nicht alle VLANs so zur Verfügung haben möchte, sei es aus Sicherheitsgründen oder um die Broadcast-Domäne noch weiter zu verkleinern, packe ich nur das VLAN10 und 13 in den Koffer. Schauen wir uns doch mal an, was passiert. Es kommt ein Broadcast-Paket auf dem Port mit VLAN10 hinein. Dieser kommt an beiden Trunks heraus und an dem Port, der ebenfalls im VLAN10 ist. Kommt nun ein Broadcast am Port mit dem VLAN11, kommt dies aber nur am Trunk rechts oben und am Port links oben heraus. Sie sehen, die Scheuklappen funktionieren. Es gibt aber nicht nur VLANs, wo ich die einzelnen Ports in ein WLAN schalte, sondern noch mehr Möglichkeiten. Ich kann zum Beispiel ein so genanntes "Tag" nutzen. Hier wird in der Netzwerkkarte mitgegeben, in welchem VLAN sie sich befindet. Dafür muss die Netzwerkkarte das unterstützen und der Port am Switch als "Trunk" konfiguriert sein. Wie eben schon gesehen, kann ich dem Port am Switch das VLAN zuweisen. Es geht aber auch, dass ich aufgrund eines TCP- oder UDP-Ports eine Zuweisung in das VLAN mache. Zum Beispiel, dass der Port für ein Internet-Proxy, standardmäßig bei Linux 3128 und bei Windows 8080, in ein extra VLAN schaltet. Eine sehr aufwändige Methode ist es, die VLANs anhand der MAC-Adresse oder der IP-Adresse zuzuweisen. Am meisten wird meiner Meinung nach das "Tagging" für zum Beispiel Virtualisierungsserver und der Switch-Port für den Rest genutzt. Es ist allerdings enorm wichtig, dass Sie so ein VLAN sehr genau und gut planen. Als erstes sollte man denke ich ein IP-Konzept erstellen. Hier definiert man, welche VLANs es gibt, wie sie heißen welchen IP-Bereich diese bekommen sollen und ob man Beschränkungen vornehmen möchte. Enorm wichtig ist es auch, eine kurze Beschreibung hinzuzufügen, um später noch zu wissen, wofür man bestimmte VLANs hat und jeder ein neues Gerät in das passende VLAN steckt. Ich habe eine kleine Skizze vorbereitet, wie so ein Netz aussehen könnte. Wir haben als erstes unseren L3-Switch, der das Routing für die VLANs übernimmt. Um bei unserem Beispiel vom Anfang zu bleiben: Ich brauche ja jemanden, der zwischen den Leuten vermittelt, die unterschiedliche Nummern auf den Scheuklappen haben. Zusätzlich kommen noch zwei normale, also L2-Switche zum Einsatz. Die Verbindungen dazwischen konfiguriere ich als Trunk, damit alle VLANs an den Switchen zur Verfügung stehen. Als nächstes habe ich einen Router für meine Internetverbindung. Laut dem Konzept kommt er in das Transfernetz, also VLAN14. Ein Netz, in dem es keine Clients gibt und nur zum Weiterrouten gedacht ist, wie hier vom L3-Switch zum Internetrouter, nennt man in der Regel "Transfernetz". Als nächstes möchten wir einen PC anschließen. Dieser kommt in das VLAN11. Der PC der Geschäftsleitung kommt allerdings in das VLAN12. Für dieses VLAN wollten wir Beschränkungen vornehmen. Zum Schluss noch ein normaler Server. Er kommt ins VLAN10. Oder, ich arbeite hier mal mit einem Tagging und schalte den Port in den Trunk-Modus. und vergebe der Netzwerkkarte des Servers das VLAN-Tag "10". Schauen wir uns nun noch die IP-Adressen an. Der L3-Switch besitzt für jedes VLAN eine IP-Adresse. Die Clients haben jeweils eine IP-Adresse aus dem entsprechenden Bereich, entweder manuell vergeben über einen DHCP-Server, oder es ist zusätzlich auf dem L3-Switch ein DHCP-Relay eingerichtet. Die IP-Adresse des Gateways ist immer die Routing-Instanz, also hier der L3-Switch. Und, ist das Thema VLAN für Sie immer noch so langweilig? Ich denke nicht.

Netzwerkgrundlagen

Lassen Sie sich die grundlegenden Netzwerktechniken erklären und erfahren Sie anhand vieler Beispiele, wie Netzwerke in der Praxis aufgebaut werden und wie sie funktionieren.

6 Std. 38 min (63 Videos)
Derzeit sind keine Feedbacks vorhanden...
 

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!