VLANs und Trunking

Lernfeld: Netzwerke und Dienste bereitstellen

Was sind VLANs und wozu dienen sie?

Das Konzept der Virtuellen LANs (VLANs)

Stell dir ein großes, offenes Büro vor, in dem alle Mitarbeitenden an einem einzigen, riesigen Netzwerk-Switch angeschlossen sind. Jede Person könnte theoretisch die Datenpakete der anderen "hören" – das ist wie ein einziges großes Netzwerk ohne Unterteilung. Ein Virtual Local Area Network (VLAN) ist wie das Einziehen von unsichtbaren, logischen Wänden in diesem Büro. Es ermöglicht, ein physisches Netzwerk (z.B. einen oder mehrere Switches) in mehrere voneinander unabhängige, kleinere logische Netzwerke aufzuteilen. Jedes dieser VLANs bildet eine eigene Broadcast-Domäne auf Layer 2 (der Sicherungsschicht). Das bedeutet, dass Broadcast-Nachrichten, die von einem Gerät gesendet werden (z.B. eine Anfrage, um einen DHCP-Server zu finden), nur von Geräten innerhalb desselben VLANs empfangen werden und nicht in andere VLANs gelangen.

  • Beispiel: In einem Unternehmen sind die Computer der IT-Abteilung, der Personalabteilung und der Marketingabteilung alle an denselben physischen Switches angeschlossen. Durch die Einrichtung von VLANs (z.B. VLAN 10 für IT, VLAN 20 für Personal, VLAN 30 für Marketing) werden diese Abteilungen logisch voneinander getrennt. Ein Computer der Personalabteilung kann dann nicht direkt auf Layer-2-Ebene mit einem Computer der IT-Abteilung kommunizieren, obwohl sie physisch im selben Netzwerk hängen.

Die Vorteile von VLANs

Die Nutzung von VLANs bringt mehrere entscheidende Vorteile für den Netzwerkbetrieb:

  • Verbesserte Sicherheit: Datenverkehr wird innerhalb eines VLANs isoliert. Sensible Daten der Personalabteilung (VLAN 20) sind so vor direktem Zugriff aus dem Marketing-VLAN (VLAN 30) geschützt.
  • Erhöhte Flexibilität: Mitarbeitende können ihre Abteilung wechseln oder umziehen, ohne dass ihre Netzwerkanschlüsse physisch neu verkabelt werden müssen. Der Switch-Port wird einfach dem neuen VLAN zugewiesen. Eine entwickelnde Person, die vom Projekt A (VLAN 40) zum Projekt B (VLAN 50) wechselt, behält den Schreibtisch, aber der Netzwerkzugang wird per Softwarekonfiguration angepasst.
  • Reduzierung von Broadcast-Verkehr: In großen, flachen Netzwerken können Broadcasts die Leistung erheblich beeinträchtigen. VLANs begrenzen die Reichweite von Broadcasts auf das jeweilige VLAN, was die Netzwerklast reduziert und die Performance verbessert.
  • Bessere Organisation und Verwaltung: Geräte und Nutzende können logisch gruppiert werden (z.B. nach Abteilung, Funktion oder Sicherheitsebene), unabhängig von ihrem physischen Standort. Dies vereinfacht die Netzwerkadministration und Fehlersuche. Beispielsweise könnten alle Drucker einem eigenen Drucker-VLAN zugewiesen werden.

Die Funktionsweise von VLANs: Access Ports

Stell dir vor, jeder normale Netzwerkanschluss (Port) an einem Switch, an den du deinen Computer anschließt, ist wie eine Tür, die nur zu einem einzigen Raum (VLAN) führt. Das ist ein Access Port. Er ist fest einem VLAN zugewiesen, z.B. Port 5 gehört zu VLAN 10 (IT). Alle Daten, die über diesen Port gesendet oder empfangen werden, gehören automatisch zu diesem VLAN und sind für andere VLANs unsichtbar. Dein Computer selbst merkt davon nichts; er sendet normale Datenpakete. Der Switch kümmert sich darum, sie dem richtigen VLAN zuzuordnen.

Wie funktioniert Trunking im Zusammenspiel mit VLANs?

Die Notwendigkeit von Trunking: Mehrere VLANs über eine Leitung

Was aber, wenn du zwei Switches miteinander verbinden willst und beide Switches Geräte aus mehreren VLANs haben (z.B. IT und Personal)? Du könntest für jedes VLAN ein eigenes Kabel zwischen den Switches legen, aber das wird schnell unübersichtlich und teuer. Hier kommt Trunking ins Spiel. Ein Trunk-Port ist wie eine spezielle Hauptverkehrsader zwischen Switches, die Datenpakete von mehreren VLANs gleichzeitig transportieren kann. Stell dir einen LKW vor, der Container für verschiedene Zielorte (VLANs) auf einmal lädt und über eine Autobahn (Trunk-Leitung) zum nächsten Verteilzentrum (Switch) fährt.

IEEE 802.1Q: Das Tagging-Protokoll für Trunks

Damit die Switches wissen, zu welchem VLAN ein Datenpaket gehört, wenn es über einen Trunk-Port übertragen wird, wird ein Tagging-Mechanismus verwendet. Der am weitesten verbreitete Standard hierfür ist IEEE 802.1Q (oft als "Dot1Q" bezeichnet). Dieses Protokoll fügt dem Ethernet-Frame (dem Datenpaket auf Layer 2) ein zusätzliches Feld hinzu, den sogenannten VLAN-Tag. Dieser Tag enthält die VLAN-ID (eine Nummer, die das VLAN eindeutig identifiziert, z.B. 10, 20, 30).

  • Funktionsweise: Wenn ein Datenpaket von einem Gerät in VLAN 10 an einem Switch ankommt und über einen Trunk-Port zu einem anderen Switch weitergeleitet werden soll, fügt der sendende Switch den 802.1Q-Tag mit der VLAN-ID 10 hinzu. Der empfangende Switch liest diesen Tag und weiß, dass das Paket nur an Ports weitergeleitet werden darf, die ebenfalls Mitglieder von VLAN 10 sind oder weitere Trunk-Ports sind. Bevor das Paket an ein Endgerät im Ziel-VLAN gesendet wird (also an einen Access Port), entfernt der Switch den Tag wieder, da Endgeräte typischerweise keine getaggten Frames verstehen.

Wie unterscheiden sich VLANs von Subnetzen und wie kommunizieren sie?

VLANs (Layer 2) vs. Subnetze (Layer 3)

Obwohl sowohl Subnetze als auch VLANs Konzepte zur Netzwerksegmentierung dienen, arbeiten sie auf unterschiedlichen Schichten des OSI-Modells und haben unterschiedliche primäre Zwecke:

  • VLANs: Operieren auf Layer 2 (Sicherungsschicht). Ihre Hauptfunktion ist die Erstellung separater Broadcast-Domänen. Geräte in unterschiedlichen VLANs können sich auf Layer 2 nicht direkt sehen oder miteinander kommunizieren, selbst wenn sie am selben physischen Switch angeschlossen sind. Stell dir VLANs wie separate Stockwerke in einem Gebäude vor; was auf einem Stockwerk gerufen wird (Broadcast), hört man nicht direkt auf einem anderen.
  • Subnetze: Operieren auf Layer 3 (Vermittlungsschicht). Ihre Hauptfunktion ist die logische Unterteilung eines größeren IP-Adressbereichs in kleinere, handhabbare IP-Netzwerke. Jedes Subnetz hat eine eindeutige Netzwerkadresse und eine Subnetzmaske. Geräte im selben Subnetz können direkt miteinander kommunizieren; für die Kommunikation zwischen verschiedenen Subnetzen ist ein Router erforderlich.

In der Praxis ist es eine sehr gängige und empfohlene Konfiguration, jedem VLAN ein eigenes, dediziertes IP-Subnetz zuzuweisen (1:1-Mapping).

  • VLAN 10 (IT) könnte das Subnetz 192.168.10.0/24 verwenden.
  • VLAN 20 (Personal) könnte das Subnetz 192.168.20.0/24 verwenden.
  • VLAN 30 (Marketing) könnte das Subnetz 192.168.30.0/24 verwenden.

Inter-VLAN Routing: Kommunikation zwischen den logischen Welten

Da Geräte in unterschiedlichen VLANs (und damit typischerweise auch in unterschiedlichen Subnetzen) auf Layer 2 voneinander isoliert sind, benötigen sie eine Instanz, die den Verkehr zwischen ihnen weiterleiten kann. Dieser Prozess wird Inter-VLAN Routing genannt. Die Weiterleitung von Datenpaketen zwischen verschiedenen VLANs (und deren zugehörigen Subnetzen) erfordert ein Gerät, das auf Layer 3 operiert:

  • Einen Router: Ein traditioneller Router kann mit mehreren physischen Schnittstellen an verschiedene VLANs angeschlossen werden oder eine einzelne Trunk-Verbindung nutzen und Sub-Interfaces für jedes VLAN konfigurieren (dies wird oft "Router-on-a-Stick" genannt).
  • Einen Layer-3-Switch (auch Multilayer-Switch genannt): Diese Switches haben neben den typischen Layer-2-Switching-Funktionen auch Routing-Fähigkeiten integriert. Sie können Datenverkehr zwischen VLANs direkt auf dem Switch weiterleiten, was oft performanter ist als der Umweg über einen externen Router.

Funktionsweise des Inter-VLAN Routings (vereinfacht):

  1. Ein PC in VLAN 10 (z.B. IP 192.168.10.50) möchte Daten an einen Server in VLAN 20 (z.B. IP 192.168.20.100) senden.
  2. Der PC erkennt, dass sich die Ziel-IP-Adresse in einem anderen Subnetz befindet. Daher sendet er das Paket an sein konfiguriertes Standard-Gateway. Das Standard-Gateway ist die IP-Adresse des Routers oder Layer-3-Switches, die dem VLAN 10 zugeordnet ist (z.B. 192.168.10.1).
  3. Der Router oder Layer-3-Switch empfängt das Paket. Er prüft seine Routing-Tabelle und stellt fest, dass das Zielnetzwerk (192.168.20.0/24) über eine andere seiner (virtuellen) Schnittstellen erreichbar ist, die dem VLAN 20 zugeordnet ist (z.B. mit der IP 192.168.20.1).
  4. Der Router oder Layer-3-Switch leitet das Paket an den Server im VLAN 20 weiter.

Ohne Inter-VLAN Routing wären die VLANs vollständig voneinander isoliert und eine Kommunikation zwischen ihnen wäre nicht möglich.

Lernziele

  • das Konzept von Virtual Local Area Networks (VLANs) erklären, indem die logische Segmentierung eines physischen Netzwerks in mehrere unabhängige Broadcast-Domänen auf Layer-2-Ebene und die daraus resultierenden Vorteile wie verbesserte Sicherheit, Flexibilität und Organisation dargestellt werden.
  • das Konzept des Trunking im Kontext von VLANs erklären, indem die Notwendigkeit und Funktionsweise von Trunk-Ports zur Übertragung des Datenverkehrs mehrerer VLANs über eine einzige physische Verbindung mithilfe von Tagging-Protokollen wie IEEE 802.1Q beschrieben wird.
  • VLANs von Subnetzen differenzieren, indem ihre jeweiligen operativen Ebenen (Layer 2 für VLANs, Layer 3 für Subnetze), ihre primären Funktionen bei der Netzwerksegmentierung und ihre typische Beziehung zueinander (z.B. 1:1-Zuordnung) erläutert werden.
  • die Notwendigkeit und grundlegende Funktionsweise des Inter-VLAN-Routing veranschaulichen, indem erklärt wird, wie Geräte in unterschiedlichen VLANs miteinander kommunizieren können, typischerweise unter Verwendung eines Routers oder eines Layer-3-Switches, und die Rolle der Routing-Instanz dabei skizziert wird.
< Zurück zum Knowledge-Hub Fachinformatik

Genug gelesen? Zeit, es wirklich zu können!

Die Theorie aus diesem Artikel ist die perfekte Basis. In der asyoube Lernplattform wendest du dieses Wissen an, bekommst persönliches Feedback und bereitest dich interaktiv auf deine Ausbildung oder deine Prüfungen vor.

Entdecke die asyoube Lernplattform

Für Ausbilder & Unternehmen

Möchten Sie Ihr gesamtes Team mit asyoube ausbilden? Entdecken Sie unsere B2B-Lösung mit einfacher Verwaltung, Fortschritts-Tracking für Ihre Azubis und attraktiven Team-Preisen.

Mehr über asyoube für Unternehmen erfahren