Layer 2: VLAN

~ 0 min
2025-03-18 11:35
0 Kommentare
PDF-Version

VLAN (Virtual Local Area Networks)
Logische Netzwerktrennung auf Layer 2

Vorteile:

  • logische Trennung der Netzwerke bei einheitlicher physischer Netzstruktur (Sicherheit, Abgrenzung von IoT, VoIP, iSCSI/Backup usw.)
  • jedes VLAN bildet eine eigene Broadcast-Domain (Traffic wird reduziert und kann in VLANs priorisiert werden)
  • Übertragen mehrerer logisch getrennter VLAN-Netze ist über ein Kabel möglich (Trunking)
  • ein Switch wird mit VLAN in mehrere virtuelle Switche geteilt, auch Switch-übergreifend

Grundlagen:

  • max. 4096 VLANs
  • VLAN-1 ist immer das Default-VLAN im Auslieferungszustand. Geräte ohne VLAN-Tag kommen per Default in VLAN-1.
  • VLAN-7 nutzt die Telekom für VDSL und sollte frei gehalten werden
  • VLAN-fähig sind Layer3-Switche, Router, Linux, VMWare, Windows je nach Netzwerkkarte, diverse Geräte wie NAS, WLAN-AccessPoints usw.
  • jeder Port und jedes Gerät kann Teil nur eines VLANs sein, aber es können ihm mehrere VLANs zugeordnet werden (Trunk)
  • VLAN-Trunks müssen alle VLAN-IDs hinterlegt haben, die sie übertragen sollen. Oder sie sind so konfiguriert, dass sie alle VLANs weiter leiten.
    Dynamische, selbstlernende VLAN-Trunks sind heute Standard.
  • Das PVID-VLAN liegt auch am Trunk immer Untagged an.
  • VLAN-Tags werden vom Ziel-Switch entfernt, wenn der Empfänger-Switchport UNTAGGED ist. Ansonsten gehen die TAGGED Pakete bis zum VLAN-taggingfähigen Zielgerät.
  • Verbinden verschiedener VLANs ist durch gezieltes Routing (Layer 3) möglich
  • VLAN hat per se nichts mit IP-Adressen zu tun
  • Verschiedene VLANs können identische Netzwerkadressen haben, dann ist aber kein Routing möglich.
  • - "Admit ALL" meint "T" - Trunk Port
    - "Admit only UNtagged or PrioTagged" - meint "U" - Access Port für untagged Endgeräte

Verfahren:

- Switch wird pro Port genau einem VLAN zugewiesen (VLAN-ID)
- jeder Port kann Member von mehreren VLANs sein und deren Pakete übertragen (PVID)
- innerhalb eines Switches erfolgt die Kommunikation meist portbasierend, zwischen den Switchen paketbasierend.

  1. (U) Port-basierend (untagged)
    - statische Netzstruktur, unterteilt einen physischen Switch in mehrere logische Switche
    - am Port liegen alle Daten des jeweiligen VLAN an, es werden aber keine VLAN-Informationen nach außen weiter gereicht

  2. (T) TAG-basierend (paketbasiert, framebasiert, tagged)
    - Datenpakete werden mit VLAN-TAG an das nächste Gerät weiter geleitet (Gegenseite muss auch getagged sein)
    - die Kommunikation verschiedener VLANs kann über ein Kabel erfolgen
    - VLAN-TAG wird in IEEE 802.1q festgelegt, Cisco, 3Com u.a. haben teilweise abweichende Standards
    - Anwendung: Uplinks zwischen Switchen, AccessPoints, Hyper-V- und ESX-Servern, VoIP-Telefonen...

Umsetzung:
VLANS werden üblicherweise zwischen Switchen und Routern konfiguriert, Endgeräte haben einen ungetaggten Port mit der passenden VLAN-ID.

  • VLAN tagged
    Tagged Port eingehend: Die VLAN-Markierung wird überprüft aber nicht verändert
    Tagged Port ausgehend: Die VLAN-Markierung wird überprüft aber nicht verändert
  • VLAN untagged - pro Port gibt es max. 1 untagged VLAN
    Untagged Port eingehend: Die VLAN-Markierung wird laut PVID (häufig identlichen mit der untagged VLAN ID) intern im Switch hinzugefügt
    Untagged Port ausgehend: Die VLAN-Markierung wird überprüft und beim Versenden entfernt
  • PVID (Port VLAN ID) - je nach Hersteller, typisch: Netgear, MikroTik, TP-Link
    - bestimmt das VLAN, in das untagged Frames geforwardet werden die an dem Port reinkommen.
    - heisst bei anderen Herstellern native Vlan oder dual Mode VLAN.
    - Jedem Port muss eine PVID zugewiesen werden (standardmäßig PVID 1).
    - Um die Standard-PVID eines Ports zu ändern, muss zunächst ein VLAN erstellt werden, dass den Port als Mitglied enthält.
    This is a term used for non-Cisco switches.
  • Auto-PVID - bei vielen Herstellern ist die PVID automatisch = VLAN-ID



    VLAN-Portdefinition im Lancom Router:

* VLAN am PC:
- Intel oder Realtek Netzwerkkarten unterstützen VLAN
- bei Realtek ist das Realtek Diagnostics Programm erforderlich
1. Original LAN-Karte wird deaktiviert (keine IP)
2. je VLAN wird eine virt. Netzwerkkarte angelegt

* VLAN in VM-Workstation:
1. VLANs über die physische Netzwerkkarte definieren (siehe oben)
2. entsprechende virtuelle Netzwerkkarte mit VLAN der gewünschten VM zuweisen

Dynamische VLANs
Zuordnung zu einem VLAN anhand von MAC-Adresse, IP-Adresse, Protokolltyp oder Anwendungsebene/Portnummer.
Damit kann beispielsweise VoIP priorisiert werden oder ein Mobilgerät unabhängig von seinem Port einem VLAN zugeordnet werden.

Private VLANs
Endgeräte an isolierten Ports können mit dem Internet, aber nicht untereinander kommunizieren.
siehe: https://www.fs.com/de/blog/was-ist-ein-privates-vlan-und-wie-funktioniert-es-16229.html


Quellen:

Durchschnittliche Bewertung 5 (4 Abstimmungen)

Es ist möglich, diese FAQ zu kommentieren.

Tags

(MS) Office Android Archiv CMS DHCP DisplayPort DVI DvSpam Excel FAT Festplatte FSMO GPO Harddisk Haussteuerung HDMI Heizung IoT IPV6 Mailarchiv Malware Netzwerk NTFS Observium ODBC Office Outlook Passwort PDF php phpmyfaq PLS Proxmox RSS SAN Smarthome Spam Telefon Tobit David Tools Update VoIP Win11 Win2000 Win2003 Win2008 Win2012 Win2016 Win7 Win8