Demo-Tour jetzt buchen

Ihre Frage an uns


Einverständniserklärung Datenschutz
Mit den Bestimmungen zum Datenschutz bin ich einverstanden. Ich willige ein, dass Protelion die von mir zur Verfügung gestellten persönlichen Daten zur Bearbeitung meiner Anfrage elektronisch verarbeitet und mich, nach meinem ausdrücklichen Wunsch, zur Bearbeitung meiner Anfrage kontaktiert. Mein Einverständnis kann ich jederzeit mit Wirkung für die Zukunft widerrufen.

Vielen Dank für Ihre Anfrage.

OK

Hauptseite

/
 ... / 

Ressourcen

/
 ... / 

Blog

/
 ... / 
VLAN: Virtuelles LAN

VLAN: Virtuelles LAN

16.02.2025

Heutzutage besteht ein physisches lokales Netzwerk (LAN) hauptsächlich aus Computern und Verbindungsgeräten (hauptsächlich Switches und Router), die die Kommunikation zwischen den Geräten herstellen können.

Manchmal ist es notwendig, das lokale Netzwerk aufzuteilen oder zu segmentieren, um die Verwaltung zu erleichtern, und dabei ist es wünschenswert, dass keine größeren Änderungen an der physischen Netzwerkinfrastruktur vorgenommen werden müssen.

Ein VLAN, ein Akronym für virtuelles LAN oder virtuelles lokales Netzwerk, ist eine Technologie zur Einrichtung separater logischer Netzwerke innerhalb eines einzigen physischen Netzwerks. Sie sind nützlich, um den Bereich der Informationsverbreitung zu reduzieren, und helfen bei der Netzwerkverwaltung, indem sie logische Segmente (z. B. die Büros oder Abteilungen einer Organisation) trennen, die nur miteinander verbunden sein sollten.

Ein VLAN besteht aus zwei oder mehr Geräten, die sich so verhalten, als wären sie an denselben Switch angeschlossen, obwohl sie physisch mit verschiedenen Switches im selben lokalen Netzwerk verbunden sind.

Jedes einzelne VLAN erhält seine eigene Broadcast-Domäne. Wenn also ein Gerät innerhalb des VLANs einen Broadcast sendet, erhalten alle anderen Teilnehmer in diesem Segment (und nur diese) die Nachricht. Broadcast geht nicht über die Grenzen des virtuellen Netzwerks hinaus.

Verwendung

In einem Standard-Netzwerk nach dem OSI-Referenzmodell der Schicht 2 gehören alle an einen Switch angeschlossenen Geräte zur gleichen Broadcast-Domäne, und mehrere Broadcast-Domänen können nur durch Router physisch getrennt werden.

Wenn Netzwerke skalieren (wachsen), müssen mehrere Broadcast-Domänen eingeführt werden, um den Traffic aus Leistungs-, Sicherheits- oder logistischen Gründen zu segmentieren.

Ohne die Verwendung von VLANs würde jedes Segment des wachsenden Netzwerks eine eigene Infrastruktur benötigen, wobei ein oder mehrere Router die Verbindung zwischen den einzelnen Segmenten verwalten würden. Daher ermöglichen VLANs den Netzwerkadministratoren, ein physisches Netzwerk in separate Broadcast-Domänen zu unterteilen.

VLANs werden durch eine Nummer zwischen 0 und 4095 identifiziert, wobei VLAN 1 in jedem Netzwerk standardmäßig eingestellt ist. Darüber hinaus kann jeder Port (Netzwerkadapter eines Switches) einem VLAN zugewiesen werden und somit Traffic in diesem VLAN empfangen und senden.

Auf einem Switch kann der Traffic, der an einen Netzwerkadapter gesendet wird, die z. B. zu VLAN 100 gehört, an jedes andere Teilnehmer dieses eigenen VLANs weitergeleitet werden, und er kann auch über einen Trunk-Port (Inter-Switch-Verbindungen) zu einem anderen Switch gelangen und an alle Adapter von VLAN 100 auf diesem neuen Switch weitergeleitet werden. Der Traffic wird jedoch nicht an Ports weitergeleitet, die sich in einem anderen VLAN befinden.

Dadurch kann ein Netzwerkadministrator einen Switch logisch aufteilen, so dass mehrere Broadcast-Domänen auf derselben Hardware koexistieren können, aber die Vorteile der Isolierung, Sicherheit und Leistung beibehalten werden, als ob völlig separate Switches verwendet würden.

Da es sich bei VLANs um ein Verfahren der Schicht 2 handelt, ist ein Routing der Schicht 3 erforderlich, um die Verbindung zwischen VLANs zu ermöglichen; dies geschieht auf dieselbe Weise, wie ein Router den Traffic zwischen zwei Subnetzen verschiedener Switches segmentieren und verwalten würde.

Um ein VLAN zu implementieren, müssen die Switches die VLAN-Technologie unterstützen, und kompatible VLAN-fähige Geräte werden oft als verwaltbare Switches bezeichnet.

VLAN-Typen

Virtuelle lokale Netzwerke können grundsätzlich wie folgt klassifiziert werden:

  • VLAN nach Port: Bestimmt, welche Switch-Ports zu dem VLAN gehören, dessen Teilnehmer die mit diesen Ports verbundenen Geräte sind. Es erlaubt keine Benutzermobilität, und wenn dies der Fall wäre, müsste ein neuer Verbindungsport zum VLAN hinzugefügt werden.
  • VLAN nach MAC-Adresse: Geräte werden anhand ihrer MAC-Adresse einem VLAN zugewiesen. Dies hat den Vorteil, dass der Switch nicht neu konfiguriert werden muss, wenn der Benutzer seinen Standort wechselt, d. h. eine Verbindung zu einem anderen Port an diesem oder einem anderen Gerät herstellt. Der größte Nachteil besteht darin, dass die Teilnehmer einzeln zugewiesen werden müssen, was bei einer großen Anzahl von Terminals sehr aufwändig sein kann.
  • VLAN nach Protokoll: Jedes VLAN wird durch den Protokolltyp des Datenrahmens bestimmt. Einige VLANs sind z. B. mit dem IP-Protokoll verbunden, andere mit IPX usw.
  • VLAN nach Anwendungen: Für jede Anwendung wird ein VLAN erstellt: FTP, Multimediastreams, E-Mail usw. Darüber hinaus kann die VLAN-Zugehörigkeit auf einer Kombination von Faktoren wie Ports, MAC-Adressen, Subnetz, Tageszeit, Zugangsverfahren, Sicherheitsbedingungen der Geräte und anderen Merkmalen basieren.

VLAN-Zuweisung

Die beiden häufigsten Ansätze für die Zuweisung der Zugehörigkeit zu einem VLAN sind:

  • Statische VLANs: auch bekannt als portbasierte VLANs. Die Zugehörigkeit wird durch die Zuweisung von Ports (Switch-Netzwerkadapter) zu einem VLAN bestimmt. Wenn ein Gerät eine Verbindung zu einem Netzwerk, d. h. einem Switch-Port, herstellt, wird es automatisch dem VLAN dieses Ports zugeordnet. Wenn der Benutzer den Port wechselt, muss der Netzwerkadministrator den neuen Port manuell dem VLAN für die neue Verbindung zuweisen.
  • Dynamische VLANs: werden durch den Einsatz von Software erstellt. Mit einem VLAN-Richtlinienserver (VMPS: VLAN Management Policy Server) kann ein Administrator die Switch-Ports den VLANs dynamisch zuweisen, und zwar auf der Grundlage von Informationen wie der MAC-Quelladresse des mit den Port verbundenen Geräts oder des Benutzernamens, der für die Anmeldung am Gerät verwendet wird.

Vorteile der Implementierung

  • Flexibilität: Wenn in einem Unternehmen der physische Standort eines an das Netzwerk angeschlossenen Geräts geändert wird, erfolgt die Konfiguration bei einem VLAN direkt am Switch, und der Netzwerkadministrator hat die Flexibilität, den neuen Netzwerkadapter dem gewünschten VLAN zuzuordnen.
  • Sicherheit: Bei einem VLAN ist die Broadcast-Domäne auf bestimmte Stationen beschränkt, so dass der Broadcast nur die Personen erreicht, an die die Informationen gerichtet sind. Es ist wichtig klarzustellen, dass die VLAN-Konfiguration keine ausreichende Sicherheitsmaßnahme darstellt. Wenn die virtuellen Netzwerke und das lokale Netzwerk, auf dem die VLANs basieren, nicht durch Sicherheitsmaßnahmen (z. B. Verschlüsselung) geschützt sind, ist es möglich, auf die Datenströme zuzugreifen.
  • Leistung: Durch die Verkleinerung der Broadcast-Domäne wird auch eine bessere Leistung erzielt, da die Broadcast-Nachrichten nicht das gesamte Netzwerk durchlaufen müssen. Mit einem VLAN wird der unnötige Bandbreiten-Overhead minimiert.
  • Ordnung: VLANs verbinden logische Gruppen von Computern miteinander, was die Verwaltung erleichtert. In einem Unternehmensnetzwerk beispielsweise gehören manche Benutzer zu einer logischen Managementgruppe, aber ihre Arbeitsstationen befinden sich nicht am selben physischen Standort, sondern vielleicht sogar in verschiedenen Räumen, Stockwerken oder Gebäuden. Da sie in einem VLAN zusammengefasst werden können, wird die Arbeit einfacher und effizienter.
  • Preis: Statt mehrerer VLANs ist es möglich, mehrere getrennte LANs einzurichten, die über Router miteinander verbunden werden können, so dass auch eine Verbindung von einem Netzwerk zum anderen möglich ist; dies ist jedoch mit höheren Kosten verbunden als die Implementierung von VLANs. Außerdem ist die Einrichtung paralleler Netzwerke zeitaufwändig.

Unterschiede zwischen VLAN und VPN

Ein VPN (virtuelles privates Netzwerk) bietet ein sicheres Verfahren, um über ein ungesichertes öffentliches Netzwerk wie das Internet eine Verbindung zu einem privaten Netzwerk herzustellen. Die über das öffentliche Netzwerk gesendeten Daten werden verschlüsselt, um die Sicherheit zu gewährleisten, und nur authentifizierte Benutzer haben Zugang. Vereinfacht gesagt, es wird ein VPN-Tunnel in der Regel zwischen einem Gerät außerhalb des Netzwerks und einem Computer am Rande des lokalen Netzwerks aufgebaut, der die ausgetauschten Datenpakete einkapselt (verschlüsselt) und entschlüsselt.

Ein VLAN hingegen dient der logischen Gruppierung von Arbeitsplätzen in einem Netzwerk, die sich an unterschiedlichen Standorten befinden können, während ein VPN für den Fernzugriff auf das Netzwerk eines Unternehmens gedacht ist.

Ein VLAN ist grundsätzlich ein Mittel, um ein lokales Netzwerk logisch zu organisieren, ohne es physisch mit mehreren Routern abzutrennen; stattdessen wird ein VPN verwendet, um zwei Punkte in einem sicheren, verschlüsselten Tunnel zu verbinden, auch wenn sie nicht zum gleichen Netzwerk gehören.

Ein VPN bietet Sicherheit für Daten, die bei der Übertragung ausgetauscht werden, so dass sie, falls sie abgefangen werden, nicht aufgedeckt werden können. Ein VLAN beinhaltet keine Verschlüsselungstechnik, sondern dient nur der logischen Unterteilung eines Netzwerks, hauptsächlich zu Verwaltungs- und Sicherheitszwecken.

VLANs können als eine Reihe von Geräten verstanden werden, die miteinander kommunizieren, als ob sie mit demselben Switch verbunden wären, auch wenn sie es nicht sind, während VPNs ein sicheres Verfahren zur Datenverschlüsselung bieten, um von entfernten Standorten aus eine Verbindung zu einem privaten Netzwerk herzustellen, in der Regel über das Internet.

Im Allgemeinen kann ein VLAN auch als Teil eines VPN verstanden werden, da VPNs auch die Einrichtung eines kleineren Teilnetzwerks ermöglichen, das die Geräte eines größeren zugrunde liegenden Netzwerks nutzt.

Article 41 - VLAN.jpg
Zurück zur Liste

Bloggen

Bloggen
Proxy
25.03.2025
Im Allgemeinen ist ein Proxy-Server ein Gerät, das Netzwerkverbindungen von einem Client zu einem Zielserver abfängt. Die bekannteste Grundbedeutung des Wortes Proxy ist: eine Funktion von etwas, das als Ersatz für etwas anderes fungiert.
Mehr lesen
Bloggen
Die Unterwelt der Dark-Web-Wirtschaft: Wie Cyberkriminalität funktioniert
15.03.2025
Wir konzentrieren uns oft darauf, wie wir unsere Daten schützen können, aber wir diskutieren selten darüber, was passiert, wenn sie gestohlen werden oder wenn wir zu Opfer eines Cyberangriffs werden. Hier kommt das Dark Web ins Spiel: ein anonymer Marktplatz, auf dem Cyberkriminelle mit gestohlenen Daten handeln und daraus Profit schlagen.
Mehr lesen
Bloggen
Gebräuchliche Begriffe der Cybersicherheit: Ein Leitfaden zum Erlernen der Grundlagen (Teil 2)
05.02.2025
Im ersten Teil dieses Leitfadens haben wir eine Reihe gängiger Begriffe behandelt, die für das Verständnis von Cybersicherheit grundlegend sind. Da sich dieser Bereich jedoch ständig verändert, gibt es noch viele wichtige Begriffe zu entdecken.
Mehr lesen