Virtual Local Area Networks (kurz VLANs) mögen für einen Systemadministrator ohne vorherige Netzwerkerfahrung abschreckend klingen. Es handelt sich jedoch um ziemlich einfache Teile der Netzwerkkonfiguration, mit denen Sie Ihre Netzwerkhardwareressourcen effizienter nutzen können. Alle bis auf die kleinsten Netzwerke sind in der Regel in VLANs aufgeteilt, und wenn Sie verstehen, wie sie richtig konfiguriert und Fehler behoben werden, können Sie Stunden des Hin und Hers mit Ihrem Netzwerkteam sparen. Ich beginne diesen Artikel mit einem grundlegenden Wissen über VLANs, sodass Sie am Ende ziemlich vertraut mit den VLAN-Grundlagen sein sollten.
Ich werde mir einen Moment Zeit nehmen, um Ihr Wissen über Netzwerkgrundlagen aufzufrischen. Insbesondere gehe ich auf das Konzept einer Broadcast-Domain ein . Dann werde ich besprechen, was genau ein VLAN ist.
Broadcast-Domain-Grundlagen
Eine Broadcast-Domäne ist ein Netzwerksegment, in dem Hosts Broadcasts senden können Rahmen zueinander. Bei einem Ethernet-Netzwerk lautet die Broadcast-Adresse FF:FF:FF:FF:FF:FF. An diese Adresse gesendete Ethernet-Frames werden an alle Hosts im lokalen Netzwerk gesendet.
Im Allgemeinen stellen die meisten Netzwerke sicher, dass ihre Broadcast-Domänen und IP-Subnetze übereinstimmen, obwohl dies keine technische Einschränkung darstellt. Beispielsweise entspricht ein Subnetz von 192.168.1.0/24 einer einzelnen Broadcast-Domäne auf Ethernet-Ebene. Es ist im Allgemeinen eine bewährte Methode, Ihre Broadcast-Domains und Subnetze klein zu halten (z. B. ein /24-Netzwerk), da diese Einrichtung sicherstellt, dass viel Broadcast-Verkehr (z. B. ARP) nicht Ihre gesamte Bandbreite belegt.
Ein einfacher, nicht verwalteter Switch (wie der in Ihrem Heimrouter) ohne VLAN-Unterstützung hat nur eine Broadcast-Domäne. Ein solch einfaches Netzwerk würde in etwa so aussehen:
Netzwerksymbole, die von der LibreOffice VRT Network Equipment-Erweiterung bereitgestellt werden.
Alle Hosts in diesem Netzwerk können auf Schicht zwei (der Sicherungsschicht) miteinander kommunizieren. Wenn ein dritter Host zum Netzwerk hinzugefügt wird und beginnt, Broadcast-Datenverkehr zu senden, wird dieser Datenverkehr von den anderen beiden Hosts empfangen, die sich derzeit im Diagramm befinden. Dies mag für ein kleines Büro- oder Heimnetzwerk in Ordnung sein, aber im Laufe der Zeit wird Ihr Netzwerk unweigerlich wachsen und Sie möchten mehr Subnetze (und damit mehr Broadcast-Domänen). Sie können sich ein wachsendes Netzwerk wie das folgende vorstellen:
Netzwerksymbole, die von der LibreOffice VRT Network Equipment-Erweiterung bereitgestellt werden.
VLAN-Grundlagen
Hier kommen VLANs ins Spiel. Es wäre nicht sinnvoll, einen einzelnen Switch für jedes Subnetz zu kaufen (wie im obigen Diagramm), da diese Option teuer und unflexibel wäre. Mit VLANs können Sie virtuelle erstellen Broadcast-Domänen. Ihr Netzwerk-Engineering-Team kann ein VLAN auf einem Switch erstellen und dann einen Netzwerkport für den entsprechenden Zugriff konfigurieren. Nur Hosts im selben VLAN könnten direkt auf Schicht zwei miteinander kommunizieren. Ein Netzwerk mit VLANs könnte etwa wie im folgenden Diagramm aussehen:
Netzwerksymbole, die von der LibreOffice VRT Network Equipment-Erweiterung bereitgestellt werden.
VLANs werden auf dem Switch erstellt, und dann müssen die Switch-Ports, die eine Verbindung zu Hosts (oder anderen Switches) herstellen, so konfiguriert werden, dass sie VLANs unterstützen. Switch-Ports werden normalerweise entweder als Zugriff angesehen Ports oder Trunk Ports.
Zugangsports werden für Hosts verwendet, die sich nur mit einem einzigen logischen Netzwerk verbinden müssen und einem einzigen VLAN zugewiesen sind. Beispielsweise haben Endbenutzer-PCs in der Regel keinen Grund, auf andere VLANs als ihr designiertes Client-Netzwerk zuzugreifen. Bestimmte Hosts (oder andere Switches) benötigen jedoch möglicherweise Zugriff auf mehrere VLANs auf derselben Verbindung. Hier kommen Trunk-Ports ins Spiel.
Ein Trunk-Port kann mehrere VLANs auf einem einzigen Port übertragen. Trunks tun dies über das IEEE 802.1Q-Protokoll, das dem Ethernet-Frame einen speziellen 802.1Q-Header hinzufügt. Dieser Header stellt dem angeschlossenen Gerät die numerische VLAN-ID bereit, sodass die Frames beim Empfang nach VLAN unterschieden werden können, wie hier zu sehen:
Quelle:Wikipedia
Wann könnten Sie auf Trunk-Ports stoßen? Die häufigste Verwendung für Trunk-Ports in einfachen Netzwerken besteht darin, mehrere Switches miteinander zu verbinden. Möglicherweise haben Sie mehrere Switches in Ihrem Netzwerk, und alle haben einige der gleichen VLANs. Ihr Netzwerkteam benötigt eine Möglichkeit, diese VLANs über viele Switches zu verteilen, sodass sie dazu Trunk-Ports verwenden können, wie unten gezeigt:
Netzwerksymbole, die von der LibreOffice VRT Network Equipment-Erweiterung bereitgestellt werden.
Ein weiterer Anwendungsfall, der Systemadministratoren möglicherweise vertrauter ist, ist die Hypervisor-Konnektivität. In komplexeren Netzwerken muss ein Hypervisor möglicherweise virtuelle Maschinen in vielen verschiedenen logischen Netzwerken (VLANs und IP-Subnetze) unterstützen. Um die Konnektivität mit all diesen Netzwerken zu unterstützen, ist der mit Ihrem Hypervisor verbundene Netzwerkport wahrscheinlich ein Trunk-Port, und Sie müssen mehrere logische VLAN-Schnittstellen erstellen, um die vom Trunk übertragenen VLANs zu unterstützen.
Ein weiteres Konzept zum Trunking, auf das Sie möglicherweise stoßen, ist die Idee eines nativen VLANs . Ein natives VLAN wird auf dem Trunk ohne VLAN-Tag übertragen. Daher benötigt der Endhost keine spezielle Konfiguration, um mit der Verwendung des nativen VLAN zu beginnen. Sie würden einfach einen Netzwerkport wie jeden anderen Netzwerkport konfigurieren und los geht's.
Native VLANs sind für Verwaltungszwecke nützlich, da für ihre Verwendung keine spezielle Konfiguration erforderlich ist. Beispielsweise kann Ihr Hypervisor online gehen und ohne zusätzliche Konfiguration eine IP-Adresse über DHCP beziehen (z. B. über eine statische DHCP-Reservierung). Sie können sich dann über seine Verwaltungs-IP beim Hypervisor anmelden, um alle benötigten VLANs zu konfigurieren.
Abschluss
VLANs mögen für Netzwerk-Uneingeweihte komplex erscheinen, aber sie sind nur eine einfache Möglichkeit, Switches zur Steigerung der Effizienz in mehrere Broadcast-Domänen (und normalerweise IP-Subnetze) aufzuteilen. Kleine Netzwerke können nie über ein paar VLANs hinausgehen, während komplexe Rechenzentren Hunderte haben können. In beiden Fällen kann Ihnen ein grundlegendes Verständnis der Konfiguration und Fehlerbehebung von VLANs helfen, Probleme in Ihrem Netzwerk schneller zu isolieren und auf die richtige Lösung hinzuarbeiten.
Im nächsten Artikel unserer Reihe besprechen wir, wie Sie lernen, wie Sie Ihre VLANs unter Red Hat Enterprise Linux konfigurieren. Schauen Sie bald wieder vorbei.
[Brauchen Sie mehr zum Thema Networking? Laden Sie den Spickzettel für Linux-Netzwerke herunter.]