382726264 CNAP Lehrbuch, 3. und 4. Semester
Werbung
Kapitel 3 3 3.1 VLANs Einleitung In Kapitel 2 haben Sie Probleme, die sich in Zusammenhang mit LANs stellen können, und mögliche Lösungen zur Leistungsverbesserung bei LANs kennen gelernt. Sie haben etwas über die Vor- und Nachteile der Verwendung von Bridges, Switches und Routern für die LAN-Segmentierung und über die Folgen des Switchings, Bridgings und Routings für den Durchsatz im Netzwerk erfahren und gesehen, welche Vorteile Fast Ethernet und VLANs (virtuelle LANs) aufweisen. In diesem Kapitel nun wollen wir näher auf die VLANs und Switching-Netzwerke eingehen und traditionelle LAN-Konfigurationen mit Switching-LANs vergleichen. Außerdem werden Sie erfahren, welche Vorteile der Einsatz eines geswitchten VLANs mit sich bringt. 3.2 Grundlagen zu VLANs Wie Abbildung 3.1 zeigt, ist ein VLAN eine logische Gruppierung von Geräten oder Benutzern nach Funktion, Abteilung, Anwendung usw. und zwar unabhängig vom physischen Standort der Beteiligten (d. h. dem Netzwerksegment, in dem sie sich befinden). Die Konfiguration des VLANs wird über eine Software am Switch vorgenommen. 3.2.1 Vorhandene LAN-Konfigurationen Ein typisches LAN ist entsprechend der physischen Infrastruktur konfiguriert, in der es Verbindungen herstellen soll. Benutzer sind nach ihrem Standort gruppiert und zwar relativ zu dem Hub, an den sie angeschlossen sind, oder entsprechend dem Kabelverlauf in den Verteilerraum. Der Router, über den die Hubs miteinander verbunden sind, ermöglicht normalerweise die Segmentierung und wirkt als BroadcastFirewall (was bei mit Switches realisierten Segmenten nicht möglich ist). Bei der traditionellen LAN-Segmentierung werden Faktoren wie die Arbeitsgruppenzugehörigkeit von Benutzern oder der Bandbreitenbedarf nicht berücksichtigt. Aus diesem Grund nutzen physisch benachbarte Benutzer das gleiche Segment und teilen sich die verfügbare Bandbreite, obwohl der Bandbreitenbedarf sich je nach Arbeitsgruppe oder Abteilung erheblich unterscheiden kann. 68 CNAP Lehrbuch, 3. und 4. Semester Verwaltung Entwicklung Marketing Abbildung 3.1: Ein VLAN ist eine zusammengehörende Gruppe von Netzwerkgeräten oder -benutzern, die nicht auf ein physisches Switch-Segment beschränkt sind. 3.3 Mit Switching-Architekturen segmentieren LANs werden zunehmend in Workgroups unterteilt, die über Standard-Backbones miteinander verbunden sind und auf diese Weise VLAN-Topologien bilden. VLANs segmentieren die physische LAN-Infrastruktur logisch in verschiedene Subnetze (oder – im Falle von Ethernet – in Broadcast-Domänen), sodass Broadcast-Frames nur innerhalb desselben VLANs von Port zu Port weitergeleitet werden können. Die ersten VLAN-Implementierungen boten eine Port-Zuordnungsfunktion, die zur Bildung einer Broadcast-Domäne mit einer vorgegebenen Gruppe von Geräten führte. Anforderungen an moderne Netzwerke benötigen jedoch eine VLAN-Funktionalität, die das gesamte Netzwerk abdecken kann. Dieser Ansatz ermöglicht die Gruppierung geografisch getrennter Benutzer in netzwerkweiten virtuellen Topologien. VLAN-Konfigurationen gruppieren Benutzer nicht über deren physischen Standort, sondern über logische Zugehörigkeiten. Die Mehrzahl der derzeit installierten Netzwerke erlaubt eine logische Segmentierung nur in begrenztem Umfang. Die Benutzer sind in der Regel entsprechend der Verbindungen zum gemeinsamen Hub und der Router-Ports zwischen den Hubs gruppiert. Eine solche Topologie ermöglicht die Segmentierung nur zwischen den Hubs, die normalerweise in unterschiedlichen Stockwerken stehen, nicht jedoch zwischen Benutzern, die mit ein und demselben Hub verbunden sind. Hierdurch wird nicht nur die Möglichkeit der Benutzergruppierung eingeschränkt, sondern die Belastungen des Netzwerks werden zusätzlich erhöht. Es gibt einige wenige Archi- Kapitel 3 • VLANs 69 tekturen mit gewöhnlichen Hubs, die Gruppierungen erlauben; hier aber ist wieder die Art und Weise eingeschränkt, mit der logisch definierte Workgroups konfiguriert werden können. 3.3.1 VLANs und physische Grenzen Für ein LAN, in dem LAN-Switches oder ähnliche Geräte eingesetzt sind, ist die VLAN-Technologie eine kosteneffiziente und effektive Art, Netzwerkbenutzer unabhängig von ihrem physischen Standort in virtuelle Workgroups zu gruppieren. Abbildung 3.2 zeigt den Unterschied zwischen der LAN- und der VLAN-Segmentierung. traditionelle LAN-Segmentierung VLAN-Segmentierung LAN 3 Catalyst 3000 gemeinsamer Hub 3. Etage VLAN 1 VLAN 2 LAN 2 gemeinsamer Hub VLAN 3 Catalyst 5000 2. Etage Router LAN 1 Catalyst 3000 gemeinsamer Hub 1. Etage Kommunikation zwischen VLANS Router Abbildung 3.2: Innerhalb eines Switching-Netzwerks ermöglichen VLANs eine Segmentierung und bieten organisatorische Flexibilität. Hier sehen Sie ein paar der wesentlichen Unterschiede: – VLANs arbeiten in den Schichten 2 und 3 des OSI-Referenzmodells. – Die Kommunikation zwischen VLANs erfolgt über das Schicht-3-Routing. – VLANs stellen eine Methode zur Steuerung von Netzwerk-Broadcasts bereit. 70 CNAP Lehrbuch, 3. und 4. Semester – Der Netzwerkadministrator führt die Zuordnung von Benutzern zu VLANs durch. – VLANs dienen der Erhöhung der Sicherheit im Netzwerk, denn sie erlauben eine Festlegung der Netzwerkknoten, die miteinander kommunizieren können. Mithilfe der VLAN-Technologie können Sie Switch-Ports (und damit auch die angeschlossenen Benutzer) logisch definierten Workgroups zuordnen. Gruppieren lassen sich beispielsweise – Mitarbeiter, die in einer Abteilung zusammenarbeiten, – abteilungsübergreifende Planungs- und Produktionsteams, – verschiedene Benutzergruppen, die die gleiche Netzwerkanwendung oder Software gemeinsam nutzen. Sie können diese Ports und Benutzer in Workgroups wahlweise an einem einzelnen Switch oder an miteinander verbundenen Switches gruppieren. Durch die zweite Möglichkeit können VLANs sich über gesamte Gebäude, mehrere miteinander verbundene Gebäude oder sogar über WANs erstrecken (Abbildung 3.3). VLAN Entwicklungsabteilung VLAN Marketingabteilung VLAN Buchhaltung Catalyst 5000 3. Etage Catalyst 5000 Fast Ethernet 2. Etage Catalyst 5000 1. Etage Abbildung 3.3: VLANs heben die physischen Einschränkungen der Arbeitsgruppenkommunikation auf. Kapitel 3 • VLANs 3.3.2 71 VLANs über Backbones transportieren Wichtig für jede VLAN-Architektur ist die Fähigkeit, VLAN-Daten zwischen miteinander verbundenen Switches und Routern zu transportieren, die am UnternehmensBackbone hängen. Diese Transportfunktionen müssen Folgendes realisieren können: – Aufhebung der physischen Grenzen zwischen Benutzern – Erhöhung der Konfigurationsflexibilität einer VLAN-Lösung (z. B. wenn Benutzer umziehen) – Bereitstellung von Methoden zur Interoperabilität zwischen den Komponenten des Backbone-Systems Der Backbone agiert normalerweise als Sammelpunkt für große Mengen von Datenverkehr. Er überträgt auch VLAN-Daten von und für Endbenutzer und Identifikationsdaten zwischen Switches, Routern und direkt angeschlossenen Servern. Innerhalb des Backbones werden gewöhnlich Leitungen mit hoher Bandbreite und Leistungsfähigkeit benutzt, um den Datenverkehr in der gesamten Institution zu übertragen. 3.3.3 Router in VLANs Die traditionellen Aufgaben des Routers sind die Realisierung von Firewalls, das Broadcast-Management und die Routenverarbeitung und -verteilung. Zwar haben Switches inzwischen einige dieser Aufgaben übernommen, aber trotzdem sind Router in VLAN-Architekturen nach wie vor wichtig, denn sie stellen Routen zwischen verschiedenen VLANs bereit. Ferner sind sie auch mit anderen Teilen des Netzwerks verbunden, die entweder logisch segmentiert sind und den eher traditionellen Subnetzansatz verfolgen oder aber über WAN-Verbindungen Zugriff auf entfernte Standorte benötigen. Die Schicht-3-Kommunikation – entweder über den Switch oder extern realisiert – ist ein wesentlicher Bestandteil jeder leistungsfähigen Switching-Architektur. Externe Router lassen sich kostengünstig in vorhandene Switching-Architekturen integrieren, indem man einen oder mehrere Hochgeschwindigkeits-Backbones benutzt. Hierbei handelt es sich in der Regel um Fast Ethernet- oder ATM-Verbindungen, die folgende Vorzüge aufweisen: – Sie erhöhen den Durchsatz zwischen Switches und Routern. – Sie konsolidieren die Gesamtzahl der physischen Router-Ports, die für die Kommunikation zwischen VLANs benötigt werden. Die VLAN-Architektur ermöglicht nicht nur eine logische Segmentierung, sondern kann bei sorgfältiger Planung die Effizienz eines Netzwerks auch erheblich verbessern. 3.3.4 Switching-Netzwerke konfigurieren Die Probleme, die mit herkömmlichen LANs und dem Aufkommen von Switches verbunden waren, haben dazu geführt, dass traditionelle LAN-Konfigurationen 72 CNAP Lehrbuch, 3. und 4. Semester zunehmend durch geswitchte VLAN-Konfigurationen ersetzt werden. SwitchingVLAN-Konfigurationen unterscheiden sich in den folgenden Punkten von den herkömmlichen Ansätzen: – Switches heben die physischen Einschränkungen auf, die durch eine Architektur mit gewöhnlichen Hubs auferlegt werden, denn sie erlauben eine logische Gruppierung von Benutzern und Ports im gesamten Netzwerk. Die Hubs in den Verteilerräumen werden durch Switches ersetzt. Switches sind leicht zu installieren (wobei Änderungen an der Verkabelung nicht vorgenommen werden müssen) und können einen normalen Hub durch einen Pro-Port-Dienst für jeden Benutzer vollständig ersetzen. – Switches können zur Erstellung von VLANs benutzt werden, die eine Segmentierung erlauben, die in traditionellen LAN-Konfigurationen durch Router realisiert wird. Switches gehören in der VLAN-Kommunikation zu den zentralen Komponenten. Wie Abbildung 3.4 zeigt, führen sie wesentliche VLAN-Funktionen aus, indem sie Endstationen als Eingang in die Switching-Struktur dienen und die unternehmensweite Kommunikation ermöglichen. MACAdresse (Schicht 2) DA SA Vermittlungsschichtadresse (Schicht 3) IP Abbildung 3.4: Mit Switches können Sie aus Benutzern, Ports und logischen Adressen zusammengehörende Gruppen bilden. Jeder Switch ist intelligent genug, die Filter- und Weiterleitungsentscheidungen für jeden Frame auf der Basis der VLAN-Metriken zu treffen, die der Netzwerkmanager definiert hat. Der Switch kann diese Daten auch an andere Switches und Router im Netzwerk weiterleiten. Die gängigsten Ansätze zur logischen Gruppierung von Benutzern in unterschiedliche VLANs sind die Frame-Filterung und die Frame-Identifikation. Diese beiden Kapitel 3 • VLANs 73 Methoden untersuchen den Frame entweder zu dem Zeitpunkt, an dem er vom Switch empfangen wird, oder aber wenn er weitergeleitet wird. Auf der Basis von durch den Administrator definierten Regeln bestimmen diese Techniken, wohin der Frame gesendet, gefiltert oder als Broadcast geflutet werden muss. Diese Steuermechanismen können (mithilfe der Netzwerkmanagement-Software) zentral administriert und problemlos im gesamten Netzwerk implementiert werden. Die Frame-Filterung untersucht bestimmte Informationen zu jedem Frame. Für jeden Switch wird eine Filtertabelle erstellt; hierdurch wird ein hohes Maß an administrativer Steuerung möglich, denn es lassen sich zahlreiche Attribute aller Frames überprüfen. Je nachdem, wie fortschrittlich der verwendete LAN-Switch ist, lassen sich Benutzer auf der Basis der MAC-Adresse einer Station oder des verwendeten Vermittlungsschichtprotokolls gruppieren. Der Switch vergleicht die gefilterten Frames mit den Tabelleneinträgen und ergreift auf dieser Basis die vorprogrammierten Maßnahmen. Am Anfang ihrer Entwicklungsgeschichte waren VLANs ausschließlich filterbasiert und gruppierten Benutzer entsprechend der Filtertabelle. Dieses Modell war aber nicht angemessen skalierbar, da jeder Frame mit dem Inhalt der Tabelle verglichen werden musste. Deswegen wurde das Frame-Tagging eingeführt. Beim Tagging wird jedem Frame eine eindeutige VLAN-Kennung zugeordnet. Die VLAN-Kennungen werden vom Switch-Administrator für jedes VLAN in der Switch-Konfiguration zugewiesen. Das IEEE hat diese Methode zur Standardisierung auf Grund ihrer Skalierbarkeit gewählt und das Tagging erfährt als Standardmethode für Trunk-Leitungen zunehmend Anerkennung, Im Gegensatz zur FrameFilterung stellt es eine skalierbare Lösung für VLANs dar, die campusweit implementiert werden kann. Der Standard IEEE 802.1q sieht das Frame-Tagging als alleinige Möglichkeit zur VLAN-Implementierung vor. Das Frame-Tagging im VLAN ist ein Ansatz, der speziell für Netzwerke mit Switches entwickelt wurde. Dabei wird eine eindeutige Kennung im Header eines jeden Frames abgelegt, der über den Netzwerk-Backbone weitergeleitet wird. Die Kennung wird von jedem Switch erkannt und vor dem Broadcasting oder der Übertragung an andere Switches, Router oder Endstationen untersucht. Wenn der Frame den Netzwerk-Backbone verlässt, entfernt der Switch diese Kennung vor der Übertragung an die Endstation. Die Frame-Identifikation in Schicht 2 benötigt nur geringen Verarbeitungs- und Administrationsaufwand. 3.4 VLAN-Implementierungen Ein VLAN bildet ein Switching-Netzwerk, das logisch (d. h. auf der Basis von Funktionen, Projektteams oder Anwendungen, aber ungeachtet der physischen Standorte von Benutzern) segmentiert ist. Jeder Switch-Port kann einem VLAN zugewiesen werden. Ports, die zum selben VLAN gehören, erhalten alle Broadcasts des VLANs, während Ports, die nicht zu diesem VLAN gehören, diese Broadcasts nicht erhalten. Auf diese Weise wird die Gesamtleistung des Netzwerks verbessert. In diesem 74 CNAP Lehrbuch, 3. und 4. Semester Abschnitt wollen wir drei Ansätze zur Implementierung von VLANs untersuchen, mit denen ein Switch-Port einem VLAN zugewiesen werden kann: – Port-zentrische VLANs – statische VLANs – dynamische VLANs 3.4.1 Port-zentrische VLANs Bei Port-zentrischen VLANs wird allen Knoten, die mit Ports in ein und demselben VLAN verbunden sind, die gleiche VLAN-Kennung zugewiesen. Abbildung 3.5 zeigt die VLAN-Mitgliedschaft nach Router-Port, wodurch die Arbeit des Administrators erleichtert und das Netzwerk effizienter arbeiten kann, weil – Benutzer ihrem Port entsprechend zugewiesen werden, – VLANs leicht administrierbar sind, – die Sicherheit beim VLAN-übergreifenden Datenverkehr erhöht wird, – Pakete nicht in andere Domänen »durchsickern«. VLANs sind durch RouterFunktionalität miteinander verbunden Vermittlungsschicht 192.20.21.0 192.20.24.0 192.30.20.0 Broadcast-Domänen in der Sicherungsschicht VLAN Entwicklungsabteilung VLAN Marketingabteilung VLAN Verkaufsabteilung LAN-Switch in der Bitübertragungsschicht angeschlossene Knoten 1. Etage 2. Etage 3. Etage Abbildung 3.5: In Port-zentrischen VLANs lässt sich die Mitgliedschaft netzwerkweit leicht regeln. Alle Knoten, die an einem Port angeschlossen sind, sind auch im selben VLAN. 3.4.2 Statische VLANs Statische VLANs sind Ports an einem Switch, die einem VLAN statisch zugewiesen sind. Diese Ports behalten ihre VLAN-Konfiguration solange bei, bis Sie sie ändern. Zwar müssen Änderungen bei statischen VLANs explizit vom Administrator vorgenommen werden, aber dafür sind sie sicher, leicht zu konfigurieren und ohne Auf- Kapitel 3 • VLANs 75 wand zu überwachen. Statische VLANs sind die richtige Wahl für Netzwerke, in denen Änderungen kontrolliert und verwaltet werden. 3.4.3 Dynamische VLANs Dynamische VLANs sind Ports an einem Switch, die in der Lage sind, ihre VLANZugehörigkeit automatisch zu bestimmen. Die Funktionen von dynamischen VLANs basieren auf MAC-Adressen, logischer Adressierung oder dem Protokolltyp der Datenpakete. Wenn eine Station zum ersten Mal mit einem nicht zugewiesenen Port verbunden wird, dann prüft der zugehörige Switch den MAC-Adresseintrag in der VLAN-Managementdatenbank und konfiguriert den Port dynamisch mit der entsprechenden VLAN-Konfiguration. Vorteile dieses Ansatzes sind der geringere Administrationsaufwand innerhalb des Verteilerraums, wenn ein Benutzer hinzugefügt wird oder umzieht. Außerdem kann der Administrator eine Benachrichtigung erhalten, wenn ein nicht bekannter Benutzer dem Netzwerk hinzugefügt wird. Es liegt allerdings in der Natur der Sache, dass die Konfigurationsarbeit bei Implementierung eines VLANs zunächst wesentlich höher ist, weil die Datenbank innerhalb der VLAN-Management-Software konfiguriert und eine akkurate Datenbank aller Netzwerkbenutzer geführt werden muss. 3.5 Vorteile von VLANs VLANs weisen die folgenden Vorteile auf: – Sie verringern die Administrationskosten, die bei der Lösung von Problemen in Zusammenhang mit Umzügen, Hinzufügen und Ändern von Benutzern auftreten. – Sie ermöglichen gesteuertes Broadcasting. – Sie verbessern die Sicherheit in Workgroups und Netzwerken. – Sie sparen Geld, weil vorhandene Hubs benutzt werden können. 3.5.1 Benutzer hinzufügen, verschieben und ändern Unternehmen organisieren sich fortwährend neu. Die Standorte von durchschnittlich 20 bis 40 Prozent aller Mitarbeiter eines Betriebs werden alljährlich verändert. Diese Umzüge, Hinzufügungen und Änderungen gehören zu den größten Problemstellungen, mit denen sich Netzwerkmanager konfrontiert sehen, und zu den kostspieligsten Posten bei der Netzwerkverwaltung. Häufig machen Umzüge eine Neuverkabelung notwendig und fast alle Änderungen führen dazu, dass Stationen neu adressiert und Hubs und Router neu konfiguriert werden müssen. VLANs stellen eine effiziente Methode zur Steuerung dieser Änderungen und zur Reduzierung eines Großteils der mit den Hub- und Router-Konfigurationen verbundenen Kosten dar. Benutzer in einem VLAN teilen sich einen Netzwerkadressraum (d. h. ein IP-Subnetz) unabhängig von ihrem physischen Standort. Wenn Benutzer in einem VLAN von einem Standort an einen anderen umziehen, dann ändert sich ihre Netzwerkadresse nicht, sofern sie im gleichen VLAN verbleiben und an einen 76 CNAP Lehrbuch, 3. und 4. Semester Switch-Port angeschlossen werden. Die Änderung des Standorts kann ganz simpel sein: Ein Benutzer wird einfach an den Port eines VLAN-fähigen Switches angeschlossen und dieser Port dann so konfiguriert, dass er dem entsprechenden VLAN zugeordnet wird (Abbildung 3.6). »verlegter« Benutzer Catalyst 3000 gemeinsamer Hub 2. Etage gleiche Adresse neuer Standort 1. Etage Router Abbildung 3.6: VLAN-fähige Switches vereinfachen den Anschluss, die Konfiguration, den Umzug von Benutzern und das Debugging in dem Fall, dass ein Benutzer neu ins Netzwerk integriert werden soll. VLANs stellen im Vergleich zu typischen LAN-basierten Ansätzen, die in Verteilerräumen benutzt werden, eine wesentliche Verbesserung dar, denn die bei der Verkabelung, der Konfiguration und der Fehlersuche anfallenden Arbeiten werden deutlich verringert. Die Router-Konfiguration wird nicht angerührt, denn der Umzug eines Benutzers an einen anderen Platz hat keine Änderungen an der Router-Konfiguration zur Folge, sofern der Benutzer Mitglied desselben VLANs bleibt. 3.5.2 Broadcasts steuern Broadcast-Verkehr gibt es in jedem Netzwerk. Die Häufigkeit von Broadcasts hängt von der Art der Anwendungen, den Servertypen, dem Umfang der logischen Segmentierung und der Verwendung der Netzwerkressourcen ab. Zwar wurden viele Anwendungen im Laufe der letzten Jahre optimiert, um die Anzahl der von ihnen gesendeten Broadcasts zu verringern, aber gleichzeitig wurden viele neue Multimedia-Anwendungen entwickelt, die sehr Broadcast- und Multicast-intensiv sind. Gegen Probleme in Zusammenhang mit dem Broadcasting können und sollten Sie Präventivmaßnahmen ergreifen. Eine der effektivsten Maßnahmen ist eine geeignete Kapitel 3 • VLANs 77 Segmentierung des Netzwerks mit Routern oder ggf. auch Firewalls, die weitestgehend verhindern sollen, dass Probleme in einem Segment auf andere Teile des Netzwerks übergreifen. Dann können zwar in einem Netzwerksegment extrem bedenkliche Broadcast-Situationen entstehen, aber diese sind dank der Firewall, die in der Regel über einen Router realisiert wird, auf dieses eine Segment beschränkt. Die Firewall-Segmentierung steigert die Zuverlässigkeit und minimiert den Broadcast-Verkehr auf das Notwendige, wodurch der Durchsatz für den Anwendungsdatenverkehr vergrößert wird. Befinden sich zwischen den Switches keine Router, dann werden Broadcasts (in der Schicht 2) an alle Switch-Ports gesendet. Man nennt so etwas ein flaches Netzwerk, d. h. das ganze Netzwerk stellt eine einzige Broadcast-Domäne dar. Der Vorteil eines flachen Netzwerks besteht darin, dass es bei niedriger Latenz eine hervorragende Leistung mit hohem Durchsatz bietet und gleichzeitig leicht zu administrieren ist. Der Nachteil ist seine Anfälligkeit gegenüber Broadcast-Verkehr an allen Switches, Ports, Backbone-Verbindungen und den Auswirkungen auf alle Benutzer. VLANs sind ein geeignetes Mittel, um Firewalls von den Routern auf die SwitchStruktur zu übertragen und das Netzwerk gegen gefährliche Broadcast-Probleme zu schützen. Außerdem weisen VLANs auch alle Leistungsvorteile des Switchings auf. Sie erstellen Firewalls durch Zuweisung von Switch-Ports oder Benutzern an bestimmte VLAN-Gruppen entweder innerhalb einzelner Switches oder über mehrere miteinander verbundene Switches hinweg. Der Broadcast-Verkehr innerhalb eines VLANs kann dieses VLAN nicht verlassen (Abbildung 3.7). Broadcast-Domäne 2 Broadcast-Domäne 1 Abbildung 3.7: Die Begrenzung der Anzahl von Switch-Ports in einem VLAN und der Anzahl der Benutzer, die mit diesen Ports verbunden sind, erlaubt die problemlose Verkleinerung einer Broadcast-Domäne. 78 CNAP Lehrbuch, 3. und 4. Semester Gleichermaßen empfangen auch benachbarte Ports keinen Broadcast-Verkehr, der in anderen VLANs generiert wurde. Diese Art der Konfiguration reduziert den Gesamtumfang des Broadcast-Verkehrs wesentlich, erhöht die Bandbreite für den »richtigen« Benutzerverkehr und verringert die Anfälligkeit des Netzwerks gegen Broadcast-Stürme. Je kleiner die VLAN-Gruppe, desto geringer auch die Anzahl der Benutzer, die vom Broadcast-Verkehr innerhalb der VLAN-Gruppe betroffen sind. Sie können VLANs auch auf der Basis des Anwendungstyps und der Anzahl der damit verbundenen Anwendungs-Broadcasts definieren: Setzen Sie einfach alle Benutzer, die eine Broadcast-intensive Anwendung benutzen, in dieselbe VLAN-Gruppe und verteilen Sie die Anwendung über den Campus. 3.5.3 Sicherheit im Netzwerk verbessern Im Laufe der letzten Jahre hat der Einsatz von LANs sehr stark zugenommen. Gleiches gilt auch für den Umfang vertraulicher Firmendaten, die über diese Netzwerke übertragen werden. Vertrauliche Daten müssen über Zugriffsbeschränkungen gesichert werden. Ein Problem ungeswitchter LANs besteht darin, dass ein Einbruch in solche Netze vergleichsweise leicht ist. Man muss nur eine physische Verbindung mit einem am Netzwerk angeschlossenen Port herstellen, und schon kann man – auch in böser Absicht – auf den gesamten Datenverkehr im Segment zugreifen. Je größer die Gruppe, desto größer ist auch die Gefahr des Zugriffs durch Unbefugte. Eine kostengünstige und auch leicht zu administrierende Methode zur Steigerung der Netzwerksicherheit ist die Segmentierung in mehrere Broadcast-Gruppen (Abbildung 3.8). Auf diese Weise kann der Netzwerkmanager – die Anzahl der Benutzer pro VLAN-Gruppe beschränken, – einem Benutzer, dessen Mitgliedschaft noch nicht durch die VLAN-Managementanwendung (und damit durch den Netzwerkmanager) genehmigt wurde, den Eintritt in eine Gruppe verweigern, – alle nicht benutzten Ports als Low-Service-LANs konfigurieren. Die Implementierung dieser Art der Segmentierung verläuft relativ einfach. Die Switch-Ports werden auf der Basis des Anwendungstyps und der Zugriffsrechte gruppiert. Eingeschränkte Anwendungen und Ressourcen werden dann normalerweise in eine gesicherte VLAN-Gruppe gelegt. Durch eine entsprechende Konfiguration schränkt der Router im gesicherten VLAN den Zugriff auf diese Gruppe ein. Beschränkungen können auf der Basis von Stationsadressen, Anwendungstypen oder Protokolltypen realisiert werden. Weitere Sicherheitsfunktionen lassen sich über ACLs (Access-Control Lists, Zugriffssteuerungslisten) implementieren, die wir in Kapitel 6 eingehend behandeln werden. ACLs sind insbesondere für die VLAN-übergreifende Kommunikation praktisch. Auch hier schränkt der Router den Zugriff auf diese Gruppe so ein, wie es zuvor an den Switches und den Routern konfiguriert wurde. Die Einschränkungen Kapitel 3 • VLANs 79 können ebenfalls auf der Basis von Stationsadressen, Anwendungstypen, Protokolltypen oder sogar anhand der Tageszeit realisiert werden. gesichertes VLAN Abbildung 3.8: VLANs ermöglichen die Realisierung von Sicherheits-Firewalls, können den Zugriff einzelner Benutzer einschränken und dem Netzwerkmanager jeden Einbruch in das Netzwerk sofort signalisieren. 3.5.4 Nutzung vorhandener Hubs Während der letzten paar Jahre haben Netzwerkadministratoren eine bedeutende Anzahl an Hubs installiert. Viele dieser Geräte wurden dann durch neuere Switches ersetzt. Da jedoch Netzwerkanwendungen für den Workstationbetrieb mehr dedizierte Bandbreite und Leistungsfähigkeit benötigen, können diese Hubs in vielen anderen Installationen nach wie vor nützliche Funktionen erfüllen. Netzwerkmanager können durch die Verbindung vorhandener Hubs mit Switches viel Geld sparen. Jedes Hubsegment, das mit einem Switch-Port verbunden ist, kann nur einem VLAN zugeordnet werden (Abbildung 3.9). Alle Stationen innerhalb eines Hubsegments werden der gleichen VLAN-Gruppe zugewiesen. Wenn später nun eine Station einem anderen VLAN zugeordnet werden soll, dann muss diese an den entsprechenden Hub angeschlossen werden. Die Switch-Struktur verwaltet die Kommunikation zwischen den Switch-Ports und erkennt automatisch die passenden Empfängersegmente. In je größerem Ausmaß ein gemeinsamer Hub in kleinere Gruppen unterteilt werden kann, desto größer ist auch Mikrosegmentierung und damit die Flexibilität bei der Zuweisung einzelner Benutzer zu Gruppen im VLAN. Durch den Anschluss von Hubs an Switches können Sie die Hubs als Teil der VLANArchitektur benutzen. So können Sie die Netzwerkressourcen der Switch-Ports eines VLANs mehrfach nutzen. 80 CNAP Lehrbuch, 3. und 4. Semester Hub Multisegmented Hub VLAN 3 VLAN 1 VLAN 2 VLAN 1 Hub VLAN 2 VLAN 3 Hub Abbildung 3.9: Die Verbindungen zwischen Hubs und Switches erlauben in vielfältiger Hinsicht eine VLAN-Segmentierung.