Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

VLAN: Virtuelles LAN

Seite 6: Windows

Inhaltsverzeichnis

Windows XP überlässt die Verwaltung von VLANs dem Treiber der Netzwerkkarte. Daher ist bei der Auswahl der Karten für einen Rechner, der selbst taggen soll, Vorsicht geboten. Gute Erfahrungen haben wir mit Netzwerkadaptern von Intel (PRO 100, PRO 1000) und den etwas veralteten Treibern der 8er-Version gemacht. Das hauseigene Tool ProSet liegt diesen bei und führt grafisch durch die Konfiguration. Nach dem Aufruf über einen Doppelklick auf das Symbol in der Taskleiste muss man zuerst das 802.p-Tagging (QoS) aktivieren, denn dahinter verstecken sich auch die IEEE-802.1q-Erweiterungen. Danach fügt man über das Menü einzelne VLANs hinzu. Die IP-Adresse vergibt man, wie bei Windows üblich, in den Eigenschaften der Netzwerkumgebung – dort taucht für jedes VLAN eine eigene virtuelle Netzwerkkarte auf.

Windows überlässt die VLAN-Verwaltung den Hardware-Treibern: Die Intel-ProSet-Treiber simulieren für jedes VLAN eine eigene Netzwerkkarte.

Problematisch ist hingegen der Einsatz jüngerer Treiber. Die Version 9.1 verlagert die ProSet-Tools in den Gerätemanager. Dort tauchen sie allerdings nur auf, wenn das Multi-Language-Pack installiert ist. Bei der Installation gibt es Fallstricke: Zuerst muss man alle alten Treiber restlos deinstallieren oder am besten mit einer jungfräulichen Windows-Installation beginnen. Nach dem Herunterladen des ProSet-Treibers entpackt man ihn, darf ihn aber keinesfalls installieren. Danach holt man das Multi-Language-Pack für ProSet und extrahiert es in dasselbe Verzeichnis. Erst dann folgt der Aufruf des Installationsprogrammes. Mit etwas Glück zeigt das Fenster mit den Eigenschaften der Netzwerkkarte jetzt mehrere neue Registerkarten an, unter anderem auch mit den VLAN-Optionen.

Schon in einem relativ kleinen Netz kann die Unterteilung in verschiedenen VLAN-Zonen die Netzsicherheit deutlich steigern. Die Mehrkosten halten sich in Grenzen, besonders wenn man langfristig zur Trennung von Netzen mit mehreren Switches übergehen würde. Auch der Aufwand für die Installation ist dank der guten Linux-Unterstützung unproblematisch. Etwas unübersichtlich ist leider das Angebot an VLAN-tauglichen Switches. Denn die maximale Sicherheit erreicht nur ein Netz, in dem auch die Switches nicht durch Angriffe wie MAC-Flooding dazu zu bewegen sind, in einen Hub-Modus zurückzuschalten. Unabhängig von der Art des Netzaufbaus sind die Firewall-Regeln weiterhin der wichtigste Punkt bei der Netzwerksicherheit. Sie sollten nur wirklich benötigte Dienste zwischen den Subnetzen vermitteln. Getrennte Zonen auf dem Switch helfen nicht weiter, wenn die Firewall munter zwischen den Zonen Pakete vermittelt.

Da der Router in dem Beispiel nur eine einzige Netzwerkkarte nutzt, um fünf virtuelle Netze zu bedienen, teilen sich diese die vorhandene Bandbreite. Bei datenintensiven Anwendungen wie Fileservern lohnt sich hier eventuell eine Gigabit-LAN-Karte – vorausgesetzt, der Switch besitzt ebenfalls einen geeigneten Port. Ein solcher VLAN-Fileserver kann auch davon profitieren, dass der Datentransfer in verschiedene Subnetze nicht geroutet, sondern geswitcht wird. (rek)

  1. Benjamin Benz, Logische Netze, Virtuelle LANs unterteilen das Netzwerk in Sicherheitszonen, c’t 1/05, S. 90

  2. IEEE 802.1Q Standard

  3. Jörg Rech, Ethernet, Technologien und Protokolle für die Computervernetzung, Heise Verlag, ISBN 3-88229-186-9

  4. Basic Network Design: Issues and Answers

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten