Seite 3: Cui bono

Inhaltsverzeichnis

Cui bono

In größeren Netzen spielen die Anzahl der Switches oder die gesparten Netzwerkkarten keine große Rolle. VLANs kommen dort hauptsächlich zur besseren Strukturierung der Netztopologie zum Einsatz. Sie erlauben es, die Zuordnung von Rechnern zu Netzen nicht mehr nach geografischen, sondern nach thematischen Gesichtspunkten vorzunehmen – ohne dabei riesige Mengen an Kabeln zu verlegen. Der Mitarbeiter aus der Buchhaltung mag zwar direkt neben dem Entwickler sitzen, braucht aber Zugriff auf sensible Daten, die andere Mitarbeiter nichts angehen. Ein VLAN-Switch kann so beide Arbeitsplätze den richtigen Netzen zuordnen und die Daten über einen gemeinsamen Backbone weiterleiten.

Außerdem sind Umzüge unproblematisch: Eine Änderung in der Switch-Konfiguration reicht aus, die Verkabelung bleibt gleich. Für größere Installationen beherrschen manche Switches Protokolle (GARP VLAN Registration Protocol, andere proprietär), mit denen sie ihre jeweiligen VLAN-Konfigurationen untereinander abgleichen können. Layer-3-Switches können zusätzlich zu den 802.1Q-Tags noch Informationen aus höheren OSI-Schichten hinzuziehen, um Pakete effizient zu vermitteln.

Aufpassen muss man allerdings mit älterer Hardware, denn diese kommt nicht immer mit den überlangen getaggten Ethernet-Frames klar. In diesem Fall muss der Switch die VLAN-Tags wieder entfernen, bevor er sie an die Zielgeräte ausliefert. (Für eine erweiterte Lösung siehe weiter unten).

Die enorme Flexibilität bei der Zuordnung von PCs zu Netzen vereinfacht auch die Performance-Optimierung: Eine alte Faustregel besagt, dass im optimalen Netz 80 Prozent des Netzwerkverkehrs innerhalb des Subnetzes und nur 20 Prozent über Netzgrenzen hinweg läuft. Zu viele Rechner im selben Subnetz bremsen sich aber durch häufige Rundsprüche (Broadcasts) gegenseitig aus.

Sicherheitsplanung

Eine kleine Analyse des vorhandenen Netzes oder der möglichen Erweiterungen hilft bei der Planung und Umsetzung einer Netztopologie mit virtuellen Subnetzen. Das eingangs beschriebene Heimnetz mag als Beispiel dienen. Das DSL-Modem ist über Ethernet angebunden, darf aus Sicherheitsgründen aber nicht im selben Netz hängen wie die Client-PCs. Ein selbst gebauter Router soll zwischen dem LAN und dem Internet vermitteln.

Auf dem Router soll wahlweise Linux oder Windows XP laufen. Der administrative Zugriff auf diese Maschine ist so weit beschränkt, dass sie als vertrauensvoll einzustufen ist. Um Kosten zu sparen, soll sie nur eine Netzwerkkarte bekommen und dank VLAN-Tagging dennoch alle virtuellen Subnetze erreichen. Alle anderen Rechner gelten als nicht vertrauenswürdig und überlassen dem Switch das Zuordnen der VLAN-Tags. Da zwei Geräte (Router und Switch) VLAN-Tags vergeben, und die Konfiguration flexibel und erweiterbar sein soll, fällt die Wahl auf ein VLAN nach dem IEEE-Standard 802.1Q.

Insgesamt fünf VLANs sollen entstehen, in denen der Router mit jeweils einem unabhängigen Interface hängt: Eines, um den Webserver vom internen Datenverkehr abzutrennen – die IP-Adresse des Servers ist statisch, damit ein Port-Forwarding zu ihm einfacher ist. Das zweite Netz verbindet den Router mit dem Access-Point. Auf diesem virtuellen Interface soll der Router per DHCP IP-Adressen zuweisen, damit das Notebook sich bequem einbuchen kann. Dasselbe gilt für VLAN4, das die beiden Surf-PCs ins Internet bringt. Das vierte Netz lässt nur den Heimarbeitsplatz ins Internet und enthält ebenfalls nur ein Gerät. Auch das DSL-Modem hängt am Switch – in einem eigenen VLAN. Das spart die sonst zur sauberen Trennung von LAN und Internet nötige zweite Netzwerkkarte im Router ein und erlaubt es, Modem und Router räumlich zu trennen. Das Ganze verhält sich dann so, als ob fünf Switches vorhanden wären. Daher braucht jedes dieser virtuellen Subnetze einen eigenen IP-Adressraum.