Seite 2: Innenausbau

Inhaltsverzeichnis

Innenausbau

Für das Beispielnetz ist eine Unterteilung in vier getrennte Zonen wünschenswert: Der Server kommt in eine DMZ, der WLAN-Access-Point in einen gesonderten Bereich und der Heimarbeitsplatz wird vom Rest der PCs getrennt. Hierzu ist lediglich ein VLAN-tauglicher, managebarer Switch nötig, der ungefähr 100 bis 150 Euro mehr kostet als ein einfaches Modell. Er übernimmt die Trennung in verschiedene VLANs. Dazu stehen verschiedene Verfahren zur Auswahl: portbasierte Aufteilung und VLAN-Tagging nach dem IEEE-Standard 802.1Q.

Das ältere und einfachere Port-VLAN teilt jeden Port fest einem einzelnen Netzsegment zu. Alle Ports im selben Segment bilden eine Broadcast-Domäne, so als würden sie an einem eigenen normalen Switch hängen – sie erhalten also alle Rundspruchpakete (Broadcasts), aber nicht alle Datenpakete; das wäre nur in einer Collision-Domäne der Fall. Kein Port kann in mehr als einem Netz sein. In dem Beispiel müsste der Router eine eigene Netzwerkkarte für jedes der vier VLANs besitzen. Die VLAN-Verwaltung bleibt dabei auf einen einzelnen Switch beschränkt.

Etikette

Flexibler sind VLANs, die Informationen in den Ethernet-Frames nutzen. Der Standard 802.1Q sieht dazu zwischen Adress- und Längenfeld jedes Ethernet-Pakets vier zusätzliche Bytes vor. Die ersten beiden (Tag Protocol Identifier) kennzeichnen mit dem festen Wert 0x8100 das Vorhandensein der 802.1Q-Erweiterung. Die restlichen zwei Bytes (Tag Control Information) setzen sich aus drei Bits für die Priorität (Class of Service, CoS), einem Bit namens Canonical Format Indicator (CFI) und zwölf Bits für die VLAN-ID (VID) zusammen.

Ein VLAN-Switch benutzt diese VID, um zu entscheiden, an welchen anderen Port er das Paket weiterleiten darf. Empfängt er ein normales, nicht markiertes Ethernet-Paket, so verpasst er ihm ein Tag mit der dem jeweiligen Port zugeordneten VID. Von Geräten an speziellen Tagged-Ports akzeptiert der Switch auch bereits markierte Pakete. Dadurch kann man mehrere Switches kaskadieren.

Moderne Betriebssysteme können die Frames selbst mit Tags versehen und emulieren so mehrere LAN-Schnittstellen. In unserem Beispiel vermittelt der Router zwischen den vier VLANs und dem Internet. Da er die VLANs selbst taggen und zuordnen kann, braucht er dafür nicht vier Netzwerkkarten, sondern nur eine einzige. Ein Anschluss am Switch darf dafür auch zu mehreren VLANs gehören.

Anhand des CoS kann ein Switch wichtige Pakete (hoher CoS-Wert) bevorzugt behandeln. Dies geschieht unabhängig von QoS-Regeln, die auf höheren OSI-Protokollschichten arbeiten. Das CFI dient zur Kompatibilität mit Token-Ring-Topologien und hat bei Ethernet immer den Wert Null. Von den 4096 möglichen Kombinationen für die VID sind die oberste und unterste Adresse reserviert.