Mit VLAN beziehungsweise Virtual LAN können Netzwerk-Architekten Sicherheit und Performance optimieren. Das sollten Sie wissen. [...]
Virtuelle lokale Netzwerke (VLANs) haben schon einige Jahrzehnte auf dem Buckel. Sie wurden in den 1980er Jahren von W. David Sincoskie erfunden, um Kapazitätsprobleme zu lösen.
VLAN – Definition: Ein VLAN ist ein logisches Teilnetz von Geräten innerhalb einer Broadcast-Domäne, das von Netzwerk-Switches und/oder Netzwerk-Management-Software unterteilt wird, um als eigenes, separates LAN zu fungieren. Switches, die VLANs unterstützen, ermöglichen Netzwerkverantwortlichen, flexible virtuelle Netzwerksegmente zu erstellen, die von der zugrundeliegenden physischen Topologie (drahtgebundenen oder drahtlos) unabhängig sind.
Je nach Aufbau des jeweiligen Netzwerks arbeiten Virtual LANs entweder auf Layer 2 (Datensicherungs- bzw. Verbindungsebene) oder Layer 3 (Vermittlungsschicht bzw. Network Layer) des OSI-Referenzmodells. Mehrere verschiedene Netzwerkprotokolle unterstützen virtuelle, lokale Netzwerke – allen voran Ethernet und Wi-Fi.
Virtual LAN – Vorteile
Der Einsatz von VLANs bieten mehrere Vorteile:
- Devices können von einem Virtual LAN in ein anderes verschoben werden, ohne jeden Verkabelungsaufwand.
- VLANs können Unternehmen helfen, Engpässe zu überwinden, indem sie den Layer-2-Verkehr reduzieren.
- Virtual LANs erhöhen die Sicherheit, da sie die Anzahl der Geräte, die auf ein bestimmtes VLAN zugreifen können, eingrenzen.
Virtuelle lokale Netzwerke lassen sich auch verwenden, um Benutzergruppen zu isolieren. So kann beispielsweise ein VLAN für den Gastzugang in einem Wi-Fi-Netzwerk eingerichtet werden, um Dritte in einem Subnetz mit begrenzten Ressourcen zu isolieren. Ein Netzwerkmanager könnte ein VLAN auch für eine bestimmte Abteilung, etwa Personal oder Finanzen einrichten.
Virtuelle lokale Netzwerke – Historie
Virtuelle lokale Netzwerke wurden vom Computerwissenschaftler W. David Sincoskie erfunden, als er beim Unternehmen Bell tätig war. Nach der kartellrechtlichen Zerschlagung von Bell Systems im Jahr 1982 wurde Bell Communications Research (heute iconectiv) gegründet. Es rekrutierte seine frühen Mitarbeiter größtenteils aus dem Pool ehemaliger Bell-Labs-Mitarbeiter. Unter ihnen war Sincoskie, der sich von 1984 an mit IP-Telefonie beschäftigte, das erste Ethernet-LAN einrichtete und die ersten VLANs entwickelte, um Kapazitätsengpässe zu überwinden.
Das Problem, mit dem Sincoskie konfrontiert war: Ethernet ist ein Broadcast-Medium, bei dem das Signal vom Host an alle vernetzten Geräte gesendet wird. Diese müssen dann die empfangenen Frames verarbeiten – ganz egal, ob diesefür das Gerät relevant sind oder nicht. Das führte zu einem hohen CPU-Overhead pro Gerät und verstopfte das Netz mit unnötigem Datenverkehr. Zudem gab es damals keine bewährte Möglichkeit, mehrere Ethernet-Netzwerke miteinander zu verbinden – abgesehen von IP-Routing, das aber langsam und teuer war. Sincoskie suchte nach einer billigen, schnellen Alternative mit geringem CPU-Overhead, was ihn zum transparenten Bridging führte. Leider brachte dieser Ansatz neue Probleme mit sich, da die zentralen Switches zu Bottlenecks wurden, die die Skalierbarkeit einschränkten. Um dieses Problem zu lösen, erfand Sincoskie Virtual LANs.
Seine Konzepte wurden damals in die Ethernet-Standards aufgenommen, wie etwa IEEE 802.1Q im Jahr 1998 (Ethernet-VLAN). Spätere Ergänzungen des Standards (IEEE 802.1ad; IEEE 802.1ah) fügten Mechanismen wie verschachtelte VLAN-Tags hinzu, um das Bridging zu erleichtern und die Skalierbarkeit zu verbessern.
VLAN – Funktionsweise
Ohne VLANs können sich Probleme, die mit dem Aufbau von Broadcast-Netzwerken verbunden sind (Überlastung, hoher CPU-Overhead, schlechtes Sicherheitsniveau), schnell ausbreiten. Das liegt daran, dass Ethernet-Infrastrukturgeräte wie Hubs und Router ermöglichen, aus mehreren physisch voneinander getrennten LANs verbundene Netzwerke zu schaffen. So können Unternehmen beispielsweise für jede Abteilung ein eigenes LAN einrichten und diese mit Hubs verbinden, die an einen zentralen Ethernet-Switch angeschlossen sind.
Traditionell werden VLANs auf der Port-Ebene eines Ethernet-Switches definiert. Switches bieten den Vorteil, dass das zusammengeschaltete Netzwerk in kleinere Domänen unterteilt werden kann. Da es sich dabei jedoch immer noch um Broadcast-Domänen handelt, wird der Switch zu einem Flaschenhals, der die Gesamtkapazität limitiert. VLANs ermöglichen es, virtuelle Domänen zu erstellen, in denen Geräte, die häufig miteinander kommunizieren, zusammengefasst werden. Dadurch werden Überlastung und CPU-Overhead reduziert und gleichzeitig die Sicherheit verbessert, weil die Anzahl der Geräte, die auf ein bestimmtes VLAN zugreifen dürfen, begrenzt wird. Geht es darum, den Datenverkehr von einem VLAN in ein anderes zu leiten, sind die meisten Netzwerke so konzipiert, dass sie diesen Verkehr an Router weiterleiten.
Über eine Netzwerk-Management-Software erhält jedes Gerät in einem VLAN eine ID und wird einer Gruppe zugewiesen. Die Geräte können sich also in jedem physischen LAN befinden, das mit dem Switch verbunden ist. Sie können jedoch auch in eine VLAN-Gruppe segmentiert und isoliert werden, die so funktioniert, als wäre sie ein physisch verbundenes LAN. Um ein Gerät von einem VLAN in ein anderes zu übernehmen, verschiebt der Netzwerkadministrator das Gerät einfach an einen anderen Port des Switches oder weist es per Software einem neuen VLAN zu – je nachdem, wie das Netzwerk aufgebaut ist.
Virtual LANs – statisch vs. dynamisch
Statische VLANs sind manuell konfiguriert und portbasiert, wobei jeder Port eines Switches ein VLAN darstellt. In einem statischen VLAN wird ein Gerät, das an einen Port angeschlossen wird, automatisch dieser VLAN-Gruppe zugewiesen.
Im Gegensatz dazu stützen sich dynamische VLANs (manchmal auch MAC-basierte VLANs genannt) auf einen Richtlinienserver, der eine Datenbank mit MAC-Adressen und dem entsprechenden VLAN für alle vernetzten Geräte enthält. Der Richtlinienserver bietet eine VLAN-zu-MAC-Zuordnung, die es den Benutzern ermöglicht, sich innerhalb eines Netzwerks zu bewegen und eine Verbindung zu einem beliebigen Switch herzustellen, während die entsprechende VLAN-Konfiguration beibehalten wird.
Dynamische VLANs sind äußerst flexibel, bringen jedoch den Nachteil, dass die Wartung des Richtlinienservers hohen manuellen Aufwand erfordert – so hoch, dass es für die meisten Unternehmen nicht praktikabel ist.
VLAN – Neue Anwendungsfälle
In den 2000er Jahren rückte das Rechenzentrum in den Mittelpunkt des Virtualisierungstrends. Im Zuge der Virtualisierung von Servern, Speichern und Desktops traten neue Anbieter wie VMware neben etablierten Unternehmen wie Cisco auf den Plan.
Als die virtualisierte Infrastruktur von Rechenzentren zur Norm wurde, wurden die traditionellen VLAN-Konzepte aufgefrischt, um komplexere Netzwerke zu unterstützen. „Die künftige Netzwerkarchitektur muss mit der Server-, Speicher- und Desktop-Virtualisierung Schritt halten. In der Vergangenheit war das Netzwerk die Leitung, auf der alles andere aufbaute. Jetzt wird es zur neuen Backplane“, erklärt Robert Whiteley, Analyst bei Forrester Research.
Um virtualisierte Umgebungen zu unterstützen, wurden die Netzwerke flacher und die klare Grenze zwischen Core und Edge begann zu verwischen – ein Trend, der keine Anzeichen von Verlangsamung zeigt. Infolgedessen können VLANs auf neue Weise genutzt werden: Beispielsweise können Layer-2-Switches virtuelle Maschinen (VMs) von einem Rechenzentrum zu einem anderen weiterleiten, während sie im selben VLAN bleiben.
VXLAN – Virtual LAN im Cloud-Zeitalter
Da immer mehr IT-Ressourcen virtualisiert, containerisiert und in die Cloud verlagert werden, musste sich die Netzwerk-Virtualisierung ebenfalls weiterentwickeln. Während herkömmliche Virtual LANs weiterhin verwendet werden, um lokale Ressourcen zu managen, erfordern große Cloud-Netzwerke neuere Technologien.
Herkömmliche 802.11Q-Netzwerke können etwas mehr als 4.000 VLANs unterstützen, was in virtualisierten Rechenzentren nicht ausreicht. Das Problem: Jede VM benötigt eine unabhängige IP- und MAC-Adresse, was für die Netzwerkausrüstung nicht wie mehrere VMs auf einem Server aussieht, sondern eher wie eine exponentiell größere Anzahl von einzelnen Servern. Da sich die digitale Transformation in der gesamten Wirtschaft ausbreitet, belasten VM-Migrationen auch die traditionellen VLANs. Die Verwaltung dynamischer VM-Migrationen ohne Serviceunterbrechung erfordert, dass die IP-Adressen und der Betriebsstatus jeder VM unverändert bleiben. Das bedeutet wiederum, dass dynamische Migrationen nur innerhalb derselben Layer-2-Domäne möglich sind, die sich über mehrere Regionen erstrecken kann.
Leichte, dynamische VM-Migrationen und Isolationen in mandantenfähigen Umgebungen einzurichten, die in großen Cloud-Rechenzentren Zehntausende von Usern (oder mehr) umfassen können, lässt sich mit herkömmlicher VLAN-Technologie nicht erreichen. Um diesen Engpass zu überwinden, haben sich Cisco, VMware und Arista Networks zusammengetan und einen neuen Standard entwickelt, der den Datenverkehr in der Cloud bewältigen soll – VXLAN.
VXLANs basieren auf einer Verkapselungstechnologie, um verschiedene virtuelle LANs zu isolieren und einen logischen Tunnel zu schaffen, der Geräte im VXLAN durch MAC-in-UDP-Verkapselung miteinander verbindet. Mit dieser Technik wird ein Layer-2-Netz über Layer 3 gelegt, indem Ethernet-Pakete in IP-Pakete eingekapselt werden. Mit anderen Worten: Jedes Layer-2-Paket erhält einen VXLAN-Header, der dann in ein UDP-IP-Paket eingekapselt wird, das über das Layer-3-Netzwerk übertragen wird.
VXLAN-gekapselte Pakete werden wie IP-Pakete über das Netzwerk geroutet. VXLAN-fähige Switches können bis zu 16 Millionen VLANs unterstützen. Zur Erleichterung dynamischer VM-Migrationen erstellen VXLANs einen virtuellen Tunnel zwischen zwei Layer-2-Switches, wodurch das zugrundeliegende IP-Netzwerk zu einem Layer-2-Netzwerk wird. Auf diese Weise können sich VMs überall hinbewegen, werden aber von der Infrastruktur so wahrgenommen, als ob sie sich im selben VLAN befinden.
Mit der weiteren Entwicklung der Virtualisierungstechnologie werden die Grenzen zwischen VLANs, VXLANs und angrenzenden virtuellen LAN- und WLAN-Technologien wie SDN und SD-WAN weiter verschwimmen. Wenn sich die aktuellen Trends fortsetzen, werden VLAN-Funktionen zunehmend in andere softwaredefinierte Netzwerktechnologien integriert, da sich virtuelle Netzwerke aller Art von manuellen Konfigurationen zu richtlinienbasierten Konfigurationen weiterentwickeln.
*Jeff Vance ist Gründer von Startup50.com, einer Webseite, die junge Tech-Unternehmen analysiert und rankt. Er schreibt für unsere US-Schwesterpublikation Networkworld.
Be the first to comment