VLAN verstehen und konfigurieren - Virtual Local Area Network
Ideen:
T. Heine, U. Thiessat, C. Haag, A. Grupp, Cisco Networking Academy, 2020
Ein VLAN (engl. virtual local area network) ist ein Teilnetz in einem Netzwerk. Durch die logische Trennung wird die Sicherheit in einem Netz erhöht und die Effizienz gesteigert. In diesem Artikel wird die Idee und der Aufbau von VLANs erklärt und die Konfiguration von VLANs im Netzwerk gezeigt.
VLAN - Vorteile ✅, Nachteile ❌ und VLAN-Typen
Durch ein VLAN (engl. virtual local area network) lassen sich Netze auf einem Switch logisch trennen. So kann man über einen Switch bspw. ein eigenes Teilnetz (LAN) für Studenten und Mitarbeiter erstellen. Die Ports an dem Switch werden einfach auf die beiden Teilnetze aufgeteilt. Unabhängig von ihrem physischen Standord werden die Geräte in Broadcastdomänen gruppiert.
Vorteile
- Segementierung: Trennung von Abteilungen (z.B. faculty, students, guests)
- Sicherheit: Begrenzung von Zugriffsmöglichkeiten
- Performance: Reduktion von Broadcast
- Kosten: günstiger, da weniger Geräte
Nachteile
- Komplexität: Erhöhter Konfigurationsaufwand
- Sicherheitslücken: bei fehlerhafter Konfiguration
- Trunking: muss von allen Switchen unterstützt werden
VLAN-Typen
Man unterscheidet zwischen unterschiedlichen VLAN-Typen.
| Default VLAN | Alle Switchports sind standardmäßig dem VLAN 1 zugeordnet. Es kann weder umbenannt noch gelöscht werden. |
| Data VLAN | pro Verwendungszweck ein eigenes VLAN |
| Native VLAN | wird für einen unmarkierten (engl. untagged) Frame auf einem Trunk benötigt |
| Management VLAN | VLAN für das Management |
| Voice VLAN | VLAN für Sprachübertragung (Priorisierung und erhöhte Bandbreite) |
Trunks und Tagging
Ein Trunk wird als Verbindung zwischen Switch und Switch oder Switch und Router bezeichnet. Auf der Verbindung sind Frames aus unterschiedlichen VLANs gleichzeitig unterwegs.
Um die VLANs auf der gemeinsam genutzten Verbindung zu unterscheiden wird jedem Frame ein VLAN-Tag (IEEE 802.1Q) hinzugefügt. So erkennt das Zielgerät zu welchem VLAN der Frame gehört. Ein VLAN-Tag enthält die VLAN-Id mit einer Länge von 4 Byte.
VLAN aktivieren
VLAN Namen vergeben
Am folgenden Beispiel soll die Konfiguration von VLAN an einem Switch und Router gezeigt werden.
Um VLAN zu aktivieren werden in einem ersten Schritt die VLAN-ID und der Name des VLANs vergeben. Die VLAN-ID hat grundsätzlich einen Wert zwischen 1 und 1005.
vlan 10S1(config-vlan)#
name facultyS1(config-vlan)#
exit
Port einem VLAN zuordnen
In einem zweiten Schritt wird der Port (interface) dem VLAN zugeordnet.
interface Fa0/1S1(config-if)#
switchport mode accessS1(config-if)#
switchport access vlan 10S1(config-if)#
exit
Trunkport zwischen Switches konfigurieren
interface Gig0/1S1(config-if)#
switchport trunk encapsulation dot1qS1(config-if)#
switchport mode trunkS1(config-if)#
switchport trunk allowed vlan 10,20,30
Der Befehl switchport trunk encapsulation dot1q verwendet IEEE 802.1Q, d.h. der Frame wird entsprechend getaggt. switchport mode trunk aktiviert den Trunkmodus und switchport trunk allowed vlan 10,20,30 erlaubt die entsprechenden VLANs über den Trunk. Man beachte, dass die Gegenseite entsprechend konfiguriert werden muss.
Trunkport am Router konfigurieren
interface G0/1.10S1(config-subif)#
description Default gateway for VLAN 10S1(config-subif)#
encapsulation dot1Q 10S1(config-subif)#
ip address 192.168.10.1 255.255.255.0S1(config-subif)#
exit
Management VLAN
VLAN 99S1(config-vlan)#
name ManagementS1(config-vlan)#
exitS1(config)#
interface vlan 99S1(config-if)#
ip address 192.168.99.2 255.255.255.0S1(config-if)#
no shutS1(config-if)#
exitS1(config)#
ip default gateway 192.168.99.1
Man konfiguriert für den Fernwartungszugriff ein eigenes VLAN und anschließend am Router das Defaultgateway.
interface G0/1.99R1(config-subif)#
description Default gateway for VLAN 99R1(config-subif)#
encapsulation dot1Q 10R1(config-subif)#
ip address 192.168.99.1 255.255.255.0R1(config-subif)#
exit
Übung 1 Welche Aussage ist wahr?
Wähle die korrekten Aussagen zum gegebenen Netzwerk aus.
Studenten sollen die VLAN-ID 10 an Switch S1 erhalten.
Wähle zwei Antworten.
- S1(config-vlan)#
vlan 10 - S1(config-vlan)#
name student - S1(config)#
name student - S1(config)#
vlan 10
An Switch S2 soll Port Fa0/1 dem VLAN 20 zugeordnet werden. Bestimme einen der korrekten Befehle.
Wähle eine Antwort.
- S2(config)#
interface Fa0/2 - S2(config-vlan)#
interface Fa0/1 - S2(config-if)#
switchport access vlan 20 - S2(config-if)#
switchport mode trunk
An Switch S2 soll am Port Ga0/1 ein Trunkport für VLAN 20 aktiviert werden. Nenne einen der notwendigen Befehle.
Wähle eine Antwort.
- S2(config-if)#
switchport vlan 20 - S2(config-if)#
switchport mode acess - S2(config-if)#
switchport trunk allowed vlan 10,30 - S2(config)#
interface Ga0/1
An Switch S2 soll am Port Ga0/1 ein Trunkport für VLAN 20 aktiviert werden. Nenne einen der notwendigen Befehle.
Wähle eine Antwort.
- S2(config-if)#
switchport vlan 20 - S2(config-if)#
switchport trunk mode - S2(config-if)#
switchport trunk allowed vlan 10,20 - S2(config)#
interface Ga0/2
Das Interface G0/1 an Router 1 soll als Trunkport für das VLAN 10 konfiguriert werden.
Wähle zwei Antworten.
- R1(config)#
interface G0/1 - R1(config)#
interface G0/1.10 - R1(config-if)#
ip address 192.168.10.1 255.255.255.0 - R1(config-subif)#
ip address 192.168.10.1 255.255.255.0
Nenne den kleinsten Wert für eine VLAN-ID.
Wähle eine Antwort.
- -10
- 0
- 0.5
- 1
Gib am Switch S1 ein default gateway mit der IP 192.168.99.1 an.
Wähle eine Antwort.
- S1(config)#
ip default gateway 192.168.99.1 - S1(config-if)#
ip default gateway 192.168.99.1 - S1(config)#
ip default gateway 192.168.1.99 - S1(config)#
interface vlan 99
Richte am Router R1 das default Gateway für das Management-VLAN an G0/1 ein.
Wähle zwei Antworten.
- R1(config)#
interface G0/1 - R1(config)#
interface G0/1.99 - R1(config-subif)#
ip address 192.168.99.1 255.255.255.0 - R1(config-subif)#
ip address 192.168.99.2 255.255.255.0