VLANs IEEE 802.1q

1
VLANs IEEE 802.1q

• Technische Grundlagen
• Autor Michael Moeck
• Klasse IAV2
• Datum 07.03.05

2
Lernziele

• Was ist ein VLAN?
• Wofür sind VLANs gut?
• Wie erstellt man ein VLAN?
• Welche VLAN Typen gibt es?

3
Definition VLAN

• Virtuell
• Scheinbar vorhanden
• Virtual LAN
• Ein LAN, das logisch, aber nicht physikalisch
  begrenzt ist

4
Was ist ein VLAN?

• Eine Gruppe Ports in der selben Broadcast Domain
• Basierend auf Port, MAC Adresse, Protokoll oder
  Applikation
• Datenpakete werden evtl. mit einer VLAN-ID
  versehen

5
Gründe für VLANs

• Abbildung der Organisationsstruktur auf die
  Netzwerkstruktur
• Vereinfachung von Änderungen,
• virtuelles patchen (Umzug von Mitarbeitern)
• Verringerung der Administrationskosten
• Bessere Kontrolle von Broadcasts
• Erhöhte Netzwerksicherheit

6
Broadcast Domain ohne VLANs

• Broadcast Domäne ist nur durch den Router
  begrenzt
• Kollisions-domänen sind durch die Bridge begrenzt

7
Broadcast Domain mit VLANs

• In der Bridge wurden zwei VLANs implementiert
• Jedes VLAN entspricht einer Broadcast Domäne

8
VLAN Typen

• Port basierend
• MAC basierend
• Policy basierend

9
Port basierende VLANs

• VLAN Switch Port
• Die Zuordnung eines Endgeräts zu einem VLAN
  erfolgt durch die Konfiguration des Switch Ports
  an dem das Gerät verbunden ist
• Eigenschaften
• statisch
• Vorteile
• einfache Administration
• Nachteile
• relativ geringe Sicherheit

Port VLAN 1 1 2 1 3
2 4 2
Port 1
Port 4
Port 2
Port 3
10
MAC basierende VLANs

• VLAN Gruppe von MAC Adressen
• Die Zuordnung eines Endgeräts zu einem VLAN
  erfolgt aufgrund seiner MAC Adresse
• Eigenschaften
• statisch / dynamisch
• Vorteile
• relativ hohe Sicherheit
• Nachteile
• aufwendige Administration
• selten implementiert

MAC Adresse VLAN 00-E0-7D-86-73-26
1 00-E0-7D-86-73-27 1 00-E0-7D-86-73-28
2 00-E0-7D-86-73-29 2
00-E0-7D-86-73-26
00-E0-7D-86-73-29
00-E0-7D-86-73-27
00-E0-7D-86-73-28
11
Policy basierende VLANs

• VLAN Policy regelbasierend
• Schicht 3 Protokoll des Endgeräts
• Schicht 3 Netzadresse des Endgeräts
• Eigenschaften
• dynamisch
• Vorteile
• flexibel
• ein Endgerät kann in
• mehreren VLANs
• definiert sein
• Nachteile
• je nach Regel einfache
• bis sehr schwierige
• Administration

Subnetz VLAN 192.168.1.0 1 192.168.2.0
2
Subnetzmaske 255.255.255.0
192.168.1.1
192.168.2.2
192.168.1.2
192.168.2.1
12
Switchübergreifende VLANs

• Verbindung von mehreren Switches
• über den Backbone
• Verschiedene Identifikationsmöglichkeiten
• Implizierte Markierung
• Ein in dem Frame enthaltenes Merkmal wird zur
  Zuordnung benutzt.
• Beispiele IP-Adresse, MAC-Adresse
• Explizierte Markierung (Tag)
• Dem Frame wird für den Transport über den
  Backbone ein identifizierendes Feld hinzugefügt.
• Beispiel Tagging nach IEEE 802.1q

13
IEEE 802.1q Tagging

• Frame wird erweitert um
• ET (Ether Type 802.1Q)
• Priority (User Priority Field)
• CFI (Canonical Format Indicator)
• VLAN ID (VLAN Identifier)

Die maximale Framelänge von 1518 Bytes kann
hierbei überschritten werden. IEEE 802.3ac