Grundlegende Fragen zu VLAN (Verwendungsbeispiele, lohnt es sich überhaupt)

[Static]

Hallo, in letzter Zeit höre ich immer wieder von VLANs und wollte mich daher mal mit dem Thema etwas beschäftigen. Nun habe ich schon den Wikipedia Artikel gelesen und so einige Seiten durchgekaut aber so recht erschließt sich mir der Zweck noch immer nicht bzw. wie sich VLANs auszahlen?

Zum einen würde mich interessieren, wo VLANs sinnvoll eingesetzt werden? Klar, zum abtrennen von privat und dienstlichen PCs, Servern aber gibt es nicht noch andere Einsatzmöglichkeiten?

Dann erschließt sich für mich nicht der Sinn, einzelne Switchs zu nutzen anstatt eines riesen Swtichs. Dazu muss ich sagen, dass ich mich mit Cisco Geräten nicht auskenne und daher keinerlei Vergleich habe. Als Beispiel eine Firma mit 80 Mitarbeitern/PCs (unterschiedliche Abteilungen und Berechtigungen innerhalb des Netzwerkes).

So ein 80 Port Switch kostet doch sicherlich einige Tausend Euro. Warum kauft man nicht lieber 10 Switchs mit je 8 Ports und dazu einen speziellen Router mit genug Ports für die Switchs? Vom Platz dürfte sich da nicht viel nehmen und den großen Vorteil sehe ich in der Ausfallsicherheit. Wenn der 80 Port Switch ausfällt, sind alle Mitarbeiter nicht arbeitsfähig. Fällt dagegen nur einer der 10 Switchs aus, können die anderen Abteilungen weiterhin arbeiten.

Die Administration dürfte sich, denke ich, auch nicht verbessern oder erschweren? Ich weiß nur nicht, wie es bei vielen einzelnen Switchs aussieht, wenn nur einzelne Mitarbeiter aus verschiedenen Abteilungen kommunizieren dürfen. Mein Gefühl sagt mir, dass sich hierfür ein physikalischer Switch besser eignet. Aber ansonsten wäre es nicht vielleicht besser einen Domänencontroller einzusetzen?

Bitte steinigt mich nicht, sollten die Fragen unbegründet sein. Ich finde es so einfach nicht heraus und würde mich daher über eure Antworten freuen.

[pr0gg3r]

Überleg dir doch mal, wo sich Switche befinden. Diese befinden sich auf Stockwerken/Etagen, größeren Büros usw. Dort braucht man aber nur selten mehr als 48 Ports (ich würde mal sagen, das sind die größten Standard-Switches). Von dem her würde mehr nicht viel Sinn machen bzw. man kann viel leichter skalieren, wenn man doch mehr braucht und noch einen kleineren dazu nimmt.

Zum Thema VLAN: Das ist schon richtig, dass es vor allem Sicherheitsaspekten gilt. Bzw. sobald man möchte, dass man zwei oder mehrere voneinander physikalisch(!) getrennte Netze haben möchte, aber keine zusätzliche Hardware, braucht man VLANs. Bei uns sind zB die Besprechungsräume mit einem extra VLAN getrennt, das nur Zugriff auf das Internet ermöglicht (für Gäste), aber nicht ins Unternehmensnetzwerk. Mit einer Trennung über Subnetting, könnte man trotzdem einiges über das Netz erfahren bzw. angreifen.

Wofür VLANs auch nett sind, sind Testumgebungen. Man möchte etwas testen, aber nicht das bestehende Netz gefährden. Schnell ein VLAN eingerichtet und schon braucht man keine zusätzlichen Switches.

[Static]

Hey pr0gg3r,

befindet sich die IT nicht meistens in einem extra Raum? So werden die Switche doch in das Hausnetz gepatcht, so dass pro Port eine Netzwerkdose im Gebäude genutzt werden kann, oder?

Ja da hast du Recht. Auf dem vorhandenen physikalischen Switch "schnell" eine Testumgebung erzeugen geht sicherlich schneller und einfacher als extra Hardware aufzubauen und einzurichten.

Habt ihr für mich vielleicht noch typische Switche, die für VLANs genutzt werden und einen dazugehörigen Router? So etwas wie die Fritzbox unter den Heimnetzwerkroutern. Würde mir gerne mal anschauen wie die Dinge aussehen, was die kosten und was es so für Möglichkeiten gibt.

[Wuwu]

10x 8 Port Switches? Und wer managed das? Und dokumentiert das? Was sagt wohl die Roundtriptime, wenn Du durch 8 verschiedene Switches musst im Worst Case, statt nur durch einen Dein Ausfallargument ist nicht wirklich gegeben, Du hast bei Deinem Vorschlag 9 Single Points of Failure...

VLANs sind in kleinen Netzen nett, das wars aber auch, reine IP Adressierung skaliert aber nicht, IPv6 ist längst nicht da wo es sein sollte und Broadcastdomänen stinken, wenn sie groß werden.

Ein schönes Beispiel ist wohl die NIC Konsolidierung bei CNAs bzw. 10 Gigkarten, da kaufst Du nicht mal eben 20 Stück von, um sie in nen Host zu packen. Dennoch möchtest Du irgendwie über die meist 2 Ports, die Dir zur Verfügung stellen Deinen Management Traffic getrennt vom IP Storage, getrennt vom Application Traffic, getrennt vom Backup Traffic haben, oder?

Zur Hardwarefrage, jeder deppige 30 Euro Switch kann heutzutage VLAN Tagging

http://www.amazon.de/Netgear-GS108E-100PES-ProSafe-8-Port-GigaBit/dp/B004BM3M6W/ref=sr_1_1?ie=UTF8&qid=1375298234&sr=8-1&keywords=gigabit+8+port+vlan

Der steht bei mir z.B. im Lab auf der Arbeit.

Bearbeitet 31. Juli 2013 von Wuwu

[pr0gg3r]

Hey pr0gg3r,

befindet sich die IT nicht meistens in einem extra Raum? So werden die Switche doch in das Hausnetz gepatcht, so dass pro Port eine Netzwerkdose im Gebäude genutzt werden kann, oder?

Generell ist es so, dass die Etagen über einen Schacht verbunden sind. In jedem Stockwerk gibt es eine Art verschließbarer "Schrank" (Patchschrank nennen wir das zB), in dem die Netzwerkdosen, die sich auf der Etage befinden auf ein Patchfeld gelegt sind. In diesen Schrank kann man nun Switche einbauen und die entsprechenden Dosen patchen. Die Switche auf den verschiedenen Etagen sind heutzutage meist per Glasfaser miteinander verbunden. Das kann auch überkreuzt sein, damit es nichts ausmacht, wenn ein Switch ausfallen sollte. Alles nur eine Sache des Geldes Auf irgendeinem Stockwerk befindet sich ein Serverraum, der auch dosen zu seinem Schrank auf dem Stockwerk gepatcht hat.

Habt ihr für mich vielleicht noch typische Switche, die für VLANs genutzt werden und einen dazugehörigen Router? So etwas wie die Fritzbox unter den Heimnetzwerkroutern. Würde mir gerne mal anschauen wie die Dinge aussehen, was die kosten und was es so für Möglichkeiten gibt.

Es gibt "dumme" Switche und "managed" Switche. Erstere sind ganz dumm und können wirklich nur die Aufgaben eines Switches übernehmen (wo kommt ein IP-Packet her? Wo soll das Packet hin?). Auf managebare Switche kann man zugreifen und konfigurieren. "managed Switch" sollte dann dein Stichwort für eine Suche für einen solchen Switch sein. Ob er dann auch VLAN kann und wie viele, musst du dann in den Spezifikationen nachlesen. Tipp: in der aktuellen C't sind einige managedbare Switche im Vergleich. Wenn du einfach mal so herumspielen möchtest, empfehle ich dir den Cisco Packet Tracer, damit kann man Netzwerke in einem Computerprogramm simulieren. Übrigends ist Cisco eine großer Hersteller von Netzwerkkomponenten.

[eneR]

Zum Thema VLAN: Das ist schon richtig, dass es vor allem Sicherheitsaspekten gilt. Bzw. sobald man möchte, dass man zwei oder mehrere voneinander physikalisch(!) getrennte Netze haben möchte, aber keine zusätzliche Hardware, braucht man VLANs. Bei uns sind zB die Besprechungsräume mit einem extra VLAN getrennt, das nur Zugriff auf das Internet ermöglicht (für Gäste), aber nicht ins Unternehmensnetzwerk. Mit einer Trennung über Subnetting, könnte man trotzdem einiges über das Netz erfahren bzw. angreifen.

VLANs sind keine physikalisch getrennten Netze!

Und den letzten Satz mit dem Subnetting verstehe ich nicht?

[pr0gg3r]

VLANs sind keine physikalisch getrennten Netze!

Ok da habe ich mich vielleicht ein wenig blöd ausgedrückt. Müsste eher so heißen: Wenn man zwei oder noch mehr Netze haben möchte, die auf den gleichen Meiden und Geräten laufen, sich aber wie physikalisch getrennte Netze verhalten, kann man die Netze innerhalb eines physikalischen Netzes virtuallisieren, welche VLAN genannt werden.

Und den letzten Satz mit dem Subnetting verstehe ich nicht?

Damit meine ich, dass man Netze per Subnetting (Verwendung unterschiedlicher Subnetzmasken) erhält. Das ist aber wesentlich unsicherer, da man das Netz scannen kann usw. um zB Informationen über andere Subnetze zu erhalten. Von einem VLAN kann man aber nicht auf das andere VLAN zugreifen (ohne Routing).

[Wuwu]

Damit meine ich, dass man Netze per Subnetting (Verwendung unterschiedlicher Subnetzmasken) erhält. Das ist aber wesentlich unsicherer, da man das Netz scannen kann usw. um zB Informationen über andere Subnetze zu erhalten. Von einem VLAN kann man aber nicht auf das andere VLAN zugreifen (ohne Routing).

Und das kannst Du neuerdings ohne Routing für ein anderes Subnet?

[pr0gg3r]

Und das kannst Du neuerdings ohne Routing für ein anderes Subnet?

Habe ich das behauptet?

Ich kann mich einfach in einen Router einstöpseln, dann im Netz schauen (gewisses Knowhow vorausgesetzt), welche Subnetze es gibt, mir selbst ne IP geben und dann einfach mal irgendetwas irgendwie angreifen. Mal so als Beispiel. Um auf das Beispiel mit dem Besprechungsraum zurückzugreifen: Wenn die Gäste vom DHCP ne Adresse bekommen, von mir aus auch in nem anderen Subnetz, sind die anderen Subnetze trotzdem angreifbar. In einem extra VLAN kann ich nicht auf das andere zugreifen, egal wie viel man da ausprobiert und rumspielt (vorausgesetzt, es gibt kein Routing zwischen zwischen dem einen und anderen VLAN).

[Wuwu]

Habe ich das behauptet?

Ich kann mich einfach in einen Router einstöpseln, dann im Netz schauen (gewisses Knowhow vorausgesetzt), welche Subnetze es gibt, mir selbst ne IP geben und dann einfach mal irgendetwas irgendwie angreifen. Mal so als Beispiel. Um auf das Beispiel mit dem Besprechungsraum zurückzugreifen: Wenn die Gäste vom DHCP ne Adresse bekommen, von mir aus auch in nem anderen Subnetz, sind die anderen Subnetze trotzdem angreifbar. In einem extra VLAN kann ich nicht auf das andere zugreifen, egal wie viel man da ausprobiert und rumspielt (vorausgesetzt, es gibt kein Routing zwischen zwischen dem einen und anderen VLAN).

Achso... Aepfel und birnen... Sorry, wenn du an nen router darfst und dir dort entsprechende konfig einstellst, dann darf ich auch an nen switch und mirn trunkport einrichten... Dein vergleich hinkt und ist ist nicht valide...

[Crash2001]

Wo steht denn da was davon, dass man auf den Router drauf müsste zum konfigurieren?

Es reicht doch schon, wenn du dir einfach mal verschiedene IP-Adressen (verschiedene Subnetze) gibst und schaust, was du dann so alles siehst.

Zu den kleinen oder großen Switches:

Es gibt sowohl Pro- als auch Contra-Argumente für beides.

• Große Switche haben meist redundante Netzteile (Redundanz) sowie mehr Ports für Uplinks (wieder Redundanz) und eventuell auch noch eine doppelte Supervisorengine (wieder Redundanz)
  
• Große Switche bieten meist mehr Funktionen bzw. sind flexibler durch diverse mögliche Einschubmodule (Kupfer, Glasfaser, von 100MBit/s bis 10GBit/s, eventuell auch noch andere Techniken als Ethernet, wie z.B. Fibrechannel für SAN wie bei den Nexus-Switches)
  
• Große Switche haben eine höhere MTBA (oder wie es nochmal genau heisst), also quasi eine längere Lebensdauer.
  
• Je nach Entfernung muss man eine aktive Komponente dazwischen haben. Bei Kupferstrecken z.B. alle ca. 100m. Deshalb gibt es oftmals halt die Etagenswitche. Vorteil hier ist, dass die Leitungen zu den Clients auf der Etage terminieren und nicht alle bis zum RZ gehen müssen.
  
• kleine Switche sind flexibler und müssen nicht fest eingebaut werden, sondern können auch einfach auf dem Tisch stehen.
  
• kleine Switche werden gerne mal geklaut, wenn sie nirgends "angebunden" sind.
  
• kleine Switche unterstützen nicht immer auch alle Funktionen wie die großen Switche
  
• bei 10 kleinen Switches muss man auch 10 kleine Switche managen und monitoren und man braucht 10 Uplinks (kasskadieren von Switchen ist schlecht, da die Bandbreiten so schnell "alle" sind und ein Flaschenhals entsteht. "Kaskadieren" macht man nur auf entsprechenden Funktionsebenen wie Core, Distribution und Access, aber sonst eher weniger. Im Idealfall wären alle Enduserswitche an den Distributionswitchen angebunden.)
  
• Bei 10 Switches, die über einen Router (Core oder Distributionswitch wäre denke ich hier richtiger) angebunden sind, hat pro Switch nur einen Uplink (mehr haben die kleinen Switche halt im Normalfall nicht). Also 10 Single Points of failure alleine da. Dazu noch ein SPoF der Distributionswitch, denn fällt dieser aus, sind auch alle Enduser abgeschnitten.
  

Im Normalfall (bei größeren Netzen) baut man das Netz so auf, dass man (mindestens) zwei Core Switche hat, die miteinander verbunden werden. Dazu kommen (mindestens) zwei Distributionswitche, die jeweils an jedem der beiden Cores angebunden sind. Daran kommen dann die Accessswitche und sind auch redundant angebunden (meist an beide Distributionswitche - man kann sie natürlich auch noch an mehr anbinden).

So hat man eine komplett redundante Struktur und selbst wenn eine Seite komplett ausfallen würde, könnte man noch arbeiten. Redundanz ist hier das Zauberwort - das kostet aber natürlich auch mehr Kohle.

Zum verwendungszweck von vlans:

Oftmals wird auch ein Quarantäne-vlan eingerichtet, in das infizierte Rechner bei dynamischer vlan-Vergabe automatisch geschoben werden können, oder aber wenn ihre Antivirusprogramme zu lange nicht upgedatet wurden o.ä.

So wird sichergestellt, dass die anderen Rechner im Netz nicht gefährdet werden.

Zusatzvorteil von vlans ist, dass über einen einzigen Link bis zu 1024 oder 4096 verschiedene vlans transportiert werden können.

Mit dem Einsatz von VRF können so auch Netze komplett voneinander getrennt werden (inklusive eigenem Routing).

[pr0gg3r]

Achso... Aepfel und birnen... Sorry, wenn du an nen router darfst und dir dort entsprechende konfig einstellst, dann darf ich auch an nen switch und mirn trunkport einrichten... Dein vergleich hinkt und ist ist nicht valide...

Danke für die Antwort, Crash2001:

Wo steht denn da was davon, dass man auf den Router drauf müsste zum konfigurieren?

Es reicht doch schon, wenn du dir einfach mal verschiedene IP-Adressen (verschiedene Subnetze) gibst und schaust, was du dann so alles siehst.

Genau das meinte ich. Wenn ich nach meinem Beispiel mit dem Besprechungszimmer die Gäste in mein normales Unternehmens-Netz lasse, können sie es mit entsprechendem Knowhow angreifen, in dem sie einfach mal schauen was für (Sub)Netze vorhanden sind, dort nach Geräten scannen, manipulierte Packete absenden, ein Man-in-the-Middle-Angriff machen oder sonst was anstellen. Das geht in einem VLAN nicht, da es sich wie physikalisch getrennte Netze verhält. Natürlich kann man sein Netz auch anders schützen (Autehntifizierung über RADIUS usw.). Aber wer nicht aus meinem Netz stammt, soll auch nicht in mein Netz rein. Oder man hat bestimte Vorgaben von Kunden, dass die Mitarbeiter, die an diesem und jenen Kundenprojekt arbeiten nicht nur räumlich abgegrenzt und abgesichert sind (Chipkarten, PIN, etc.), sondern auch zu anderen Zeiten in der Kantine essen müssen und eben auch ihr eigenes Netz haben.

[Smau]

Separation von Gäste- und "Unternehmens"-Netz ist aber kein "Vorteil" von VLANs. (Lässt sich auch im selben Netz via Policys usw. regeln.)

Vieles zu VLANs wurde schon genannt - aber ein großer Vorteil von VLANs ist auch die minderung von Traffic innerhalb eines Netzes. VLANs sind ja eigenständige logische Netze - in Netzen läuft immer eine Menge Broadcast (ARP, DHCP, MAC-Flooding(Switching) usw.) je kleiner das Netz ist desto weniger Clients können darin broadcasten.

Kannst ja mal beobachten wenn du einfach Wireshark anwirfst und schaust was so alles an deinem Rechner ankommt obwohl du aktiv garnichts tust.

grüße

Smau

@Crash: In einigen KMUs kann man zurzeit beobachten das der Distri-layer ganz rausgelassen wird. Da werden die Access-Switch Redundant via Etherchannel an beide Core-Switche angebunden (meist 2 Uplinks - bei einem VSS-Core(o.ä.) reicht 1 Channel) angebunden.

Bearbeitet 1. August 2013 von Smau

[Crash2001]

@Smau:

Ja, das ist dann das collapsed Core Modell, bei dem der Distribution Switch rausfällt bzw der Core seine Aufgaben mit übernimmt. Bis zu einer bestimmten Größe macht es halt nicht unbedingt Sinn, Distribution Switche einzusetzen rein kostenmässig betrachtet.

Mit dem Broadcast das lässt sich aber genauso auch durch Subnetting regeln, denn Broadcast geht (außer es gibt IP Helper Adressen) nicht über die Subnetgrenzen hinweg. IP Helper leiten den Broadcast per Unicast dann an eine bestimmte IP-Adresse weiter (z.B. um einen DHCP-Server erreichen zu können per Broadcast, der in einem anderen Subnetz sitzt, so dass der DHCP-Server nicht in jedem Netz, für das er zuständig ist, ein Bein haben muss.)

[Smau]

Collapsed Core nennt sich das also - kannte halt keine Bezeichnung für so etwas. Danke

Stimme ich dir soweit vollkommen zu.

Aber wenn "nur" Subnetting angewandt wird brauchst du für jedes Netz einen eignenen Switch. D.h. bei 10 Subnetzen braucht man 10 Switche, 10 Router interfaces, eine Menge Kabel und eine verdammt saubere Doku .

Mithilfe von VLANs lässt sich das ganze auf einem Switch realisieren - (+ ggf. einem Router sowie einem 802.1Q Uplink)

[Crash2001]

Wenn man DHCP nutzen können will schon - ansonsten ein Switch vor den Router mit Subinterfaces - wobei nee, die sind dann ja auch wieder per vlans realisiert.

Ein Router mit 10 Interfaces, jedes Interface an den selben Switch und dann wild verteilen wäre natüßrlich auch möglich.

Sicherer ists aber definitiv mit vlans!

P.S.:

Kommt das im CCNA Routing & Switching nicht mit drin vor, die verschiedenen Campusnetztypen bzw. der generelle Aufbau, den Cisco vorschlägt?

Bin mir nicht sicher, ob das dabei war, oder ob im Switchingteil vom CCNP.

[Smau]

Ein Router mit 10 Interfaces, jedes Interface an den selben Switch und dann wild verteilen wäre natüßrlich auch möglich.

Ich weiß was ich am Wochenende mit den gefundenen dummen Switche tue - wird sicher interessant

Also ich hab die 640-802 Prüfung gemacht - dort kam das "normale" hirarchische Modell(Access, Distri & Core) dran. Der Topologie-Aufbau rund um Campus wurde im WAN-Teil ebenfalls angekratzt. Dort ging es aber eher um die Platzierung von ACLs und den allgemeinen Aufbau -> wohin VPN-Gateway, Router usw.

Ab 30.09.2013 gibts ja neuen Prüfungsstoff (200-120 ist die neue komplett Prüfung dann). Evtl. ist es dort mit inbegriffen.

CCNP Switch teil kann ich dir nicht sagen, bin noch bei Route.:cool:

[Wuwu]

Kommt das im CCNA Routing & Switching nicht mit drin vor, die verschiedenen Campusnetztypen bzw. der generelle Aufbau, den Cisco vorschlägt?

Bin mir nicht sicher, ob das dabei war, oder ob im Switchingteil vom CCNP.

Zu modern, würd nur den Platz für Frame Relay wegnehmen