Multisubnetzanbindung über Trunks.
In den aktuellen Netzwerken werden heute immer noch selten VLAN Konfigurationen genutzt. VLANs trennen Broadcastdomänen und die Mitglieder eines VLANs müssen über einen Router, wenn sie mit anderen VLANs kommunizieren wollen. Auf einem Router können Access-Control-Lists dafür sorgen, dass die Anfragen gefiltert werden und die Hosts nur dort Zugriff haben, wo der Administrator es erlaubt.
Meist liegt es an der Unwissenheit der Administratoren, welche im Bereich Serveradministration wahre Asse sind, doch im Bereich Netzwerk auf einem "Basiswissen" stehen geblieben sind. In anderen Fällen liegt es daran, dass der Netzwerker der Meinung ist, es sei verwerflich mehr als ein VLAN über eine Gigabit-Leitung zu schicken, soviel Traffic kann da gar nicht problemlos und verzögerungsfrei darüber laufen.
Tatsächlich ist es Problemlos möglich mehr als ein VLAN über einen Trunk laufen zu lassen, ohne Geschwindigkeitseinbußen oder Störungen auf der Leitung. In einer Firma läuft weder Emule, noch Azureus und auch World of Warcraft oder Quake haben in einer Produktivumgebung wenig verloren. Anmeldeinformationen, Datenbankeinträge und Buchungen der Buchhaltersoftware sind in der Regel wenige Kilobyte groß und treten selten, außer zu Stoßzeiten (8.45 Uhr oder 16.55 Uhr), gebündelt auf.
Außerdem kann der Netzwerker die VLANs dazu nutzen, sein Spanning-Tree-Protocol so zu beeinflussen, dass er eine Lastverteilung auf alle physischen Leitungen realisiert (Trafficshaping).
VLAN und Trunking wird inzwischen von den meisten Herstellern unterstützt, so dass auch hier keinerlei Einschränkungen bezüglich der Hardwareunterstützung mehr vorhanden sind.
Die folgende Abhandlung beschreibt wie mehrere VLANs über einen Trunk zu einem Router geleitet werden, welcher zwischen den VLANs vermittelt. Wie bereits erwähnt kann auf diesem Router noch der Paktefilter eingerichtet werden, welcher die Sicherheit innerhalb ihres Netzes noch weiter optimiert.
Zusammenfassend bringen VLANs folgende Vorteile:
- Trafficshaping
- Broadcastdomänenverkleinerung
- Herstellerunabhängig
- Erhöhte Sicherheit durch Paketfilter (ACL) auf dem VLAN-Router
Nachteile von VLANs:
- Weiterbildung der Netzwerker
Nutzung der VLANs:
Server erhalten ein eigenes VLAN. Je nachdem, wie die Serverstruktur realisiert ist, kann es sinnvoll sein jeden Server in ein separates VLAN zu legen. Jede Abteilung/Team erhält ein eigenes VLAN. Zwischen den VLANs muss geroutet werden und auf dem Intervlanrouter sollten ACLs / Paktefilter eingerichtet werden um den Datenverkehr zu lenken. Auf den Switches sollten die unbenutzten Interfaces in ein VLAN gelegt werden, welches nicht geroutet wird (Trap-VLAN), so wird verhindert, dass ein Fremder sich ohne weiteres in das Firmennetz einklinken kann. Sofern der Switch in der Lage dazu ist, sollte auf den verwendeten Interfaces Port-Security eingerichtet werden und die SNMP / Syslog Meldungen sollten direkt an den Adminrechner geschickt werden.
Trunks
Als Trunk wird eine Verbindung zwischen zwei link-type Geräten (Switch-Switch / Switch-Router) bezeichnet, über die mehr als ein VLAN läuft. Die Interfaces von Switches müssen in den Trunk Modus versetzt werden bzw. in den "dynamic desirable" Modus. In der Regel laufen über einen Trunk alle angelegten VLANs, es kann jedoch definiert werden, welche VLAN Informationen über den Trunk laufen dürfen. Das Trunkingprotokoll 802.1Q (dot1Q) ist inzwischen Standard, es setzt die VLAN Informationen zwischen dem Ethernet-Header und den Daten ein.
VLAN
VLAN (Virtual LAN) bezeichnet die logische Trennung von Subnetzen innerhalb eines physikalischen Gerätes (meist Switch). Hierbei werden die Frames (Layer 2 Daten) durch das "taggen" den jeweiligen VLANs zugeordnet. Ausnahme bildet das sog. "native VLAN". Dieses VLAN wird als einziges nicht markiert. Es muss also auf beiden Seiten des Trunks definiert sein, welches VLAN das native VLAN ist (Standard VLAN 1) und kann für jeden Trunk anders konfiguriert werden. Da jedes Interface einem einzigen VLAN zugeordnet werden muss (Es sei denn es ist ein Trunkport) wird beim verlassen des Interfaces die Markierung entfernt, da das Endgerät mit den VLAN Informationen nichts anfangen kann.
Beispiel:
Jedes VLAN nutzt ein eigenes Subnetz. Ohne Router können die beiden VLANs nicht miteinander kommunizieren.
Problem: Jedes Subnetz benötigt jedoch einen eigenen Gateway (Routerinterface), die Anbindung an den Router erfolgt allerdings nur über ein physikalisches Interface.
Lösung: Definieren Sie logische Interfaces auf dem Router. Je ein Subinterface für ein VLAN. Binden Sie die Subinterfaces an die entsprechenden VLANs. Achten Sie darauf dem Router mitzuteilen, welches Trunkingprotokoll Sie verwenden!
| Konfiguration Switch: | Konfiguration Router: |
|---|---|
| VLAN 1 existiert immer und ist daher auch das native VLAN. Alle Interfaces sind im VLAN 1. | Der Router leitet Informationen an bekannte Netze (angeschlossen) weiter, ohne Routingprotokoll. |
| enable | enable |
| configure terminal | configure terminal |
| vlan 2 "VLAN 2 anlegen" | interface fastethernet 0/0.1 "Subinterface 1 anlegen" |
| name vlan2 "Name für VLAN vergeben" | encapsulation dot1Q 1 native "VLAN1 an SubIF binden" |
| exit | ip address 10.10.10.1 255.255.255.0 "IP des SubIF" |
| interface fastethernet 0/2 | interface fastethernet 0/0.2 "Subinterface 2 anlegen" |
| switchport access vlan 2 "VLAN 2 an Interface binden" | encapsulation dot1Q 2 "VLAN2 an SubIF binden" |
| interface fastethernet 0/3 | ip address 10.10.20.1 255.255.255.0 "IP des SubIF" |
| switchport access vlan 2 "VLAN 2 an Interface binden" | interface fastethernet 0/0 "Wechsel zum physik. IF" |
| interface fastethernet 0/24 | no shutdown "Hochfahren der IFs" |
| switchport mode trunk "IF in Trunkmodus setzen" | exit |
| exit | exit |
| exit | copy running-config startup-config |
| copy running-config startup-config |