Ein Virtual Local Area Network (VLAN) wird verwendet, um mehrere Broadcast-Domänen zu erstellen. Standardmäßig verfügt der Switch über eine einzelne Broadcast-Domäne, da alle Ports dem Standard-VLAN, VLAN 1, zugewiesen sind. Standardmäßig sind alle Ports VLAN 1 (in Blau dargestellt) zugewiesen. Aus diesem Grund erreichen alle Arten von Datenverkehr von PC-1 auch PC-2. Ein Broadcast-Strom auf PC-1 wirkt sich auf die Leistung von PC-2 aus (Abbildung 1 (nur auf Englisch)).
Abbildung 1: Abbildung 1: Darstellung eines VLAN in der Standardkonfiguration.
Der Switch ist in zwei VLANs unterteilt, die als blaues VLAN und orangefarbenes VLAN gekennzeichnet sind. PC-1 ist nicht in der Lage, mit PC-2 zu kommunizieren, da sie sich in verschiedenen VLANs befinden (Abbildung 2 (nur auf Englisch)). Aus diesem Grund ist der Broadcast-Verkehr von PC-1 nur für die im blauen VLAN vorhandenen Geräte erreichbar und nicht für die im orangefarbenen VLAN vorhandenen Geräte. Wir sollten Inter-VLAN-Routing implementieren, damit der Datenverkehr von PC-1 auch PC-2 erreicht. Der Broadcast-Verkehr wird PC-2 jedoch nicht erreichen, da wir den Datenverkehr zwischen VLAN und Routern blockieren. Abbildung 2: Darstellung eines Switch nach der Erstellung eines VLAN
VLAN hilft bei der Segmentierung des Switches in mehrere Broadcast-Domänen. Da der Broadcast-Verkehr einen schwerwiegenden Einfluss auf die Leistung des Netzwerks haben wird, hilft das VLAN bei der Beschränkung der Broadcast-Domäne. VLANs helfen auch bei der Festlegung von Zugriffsbeschränkungen. Durch den Einsatz eines VLAN können wir beispielsweise die Netzwerkkommunikation zwischen einzelnen Abteilungen innerhalb Ihres Unternehmens (z. B. Vertrieb und Produktion) unterbinden.
Im Folgenden wird ein realer Anwendungsfall für ein VLAN beschrieben:
Anwendungsbeispiel-1
VLAN 10 und VLAN 20 sind auf einem Dell PC8164 konfiguriert. Die Ports 1 bis 10 sind dem VLAN 10 und die Ports 11 bis 20 dem VLAN 20 zugewiesen. Ein Computer im VLAN 10 ist mit einem Virus infiziert und sendet Broadcast-Verkehr, der die Leistung des Netzwerks beeinträchtigt. Da wir die VLANs konfiguriert haben, wird der Broadcast-Verkehr nur an Geräte in VLAN 10 übertragen und nicht an Geräte in VLAN 20 weitergeleitet.
Im obigen Anwendungsfall sind die Geräte im VLAN 20 vor dem Broadcast-Verkehr durch das VLAN 10 geschützt, da wir den Switch in mehrere Broadcast-Domänen aufgeteilt haben.
VLANs werden durch VLAN-IDs (VLAN Identifier) gekennzeichnet. Die VLAN-IDs sind Zahlenwerte im Bereich 1–4096 und werden wie folgt klassifiziert:
Da wir im 802.1Q VLAN-Header 12 Bit für das Feld "VLAN Identifier" zugewiesen haben, können wir den VLAN-Bereich nicht um mehr als 4096 erweitern. Die VLAN-IDs 1 und 4096 sind reserviert und können nicht zur Weiterleitung von Daten verwendet werden.
Die folgenden Schritte führen Sie durch den Prozess der Erstellung eines VLAN auf dem Switch.
Standardmäßig zeigen alle Ports in VLAN 1 (Abbildung 3 (nur Englisch)) die Ausgabe von "show vlan" im Standardzustand an. Um ein VLAN zu erstellen, verwenden wir den Befehl vlan, wie in (Abbildung 4 (nur Englisch)) gezeigt. Die Benennung des VLAN ist ein optionaler Schritt, wenn wir das VLAN nicht benennen, erhält das VLAN einen vom System generierten Namen. Wenn VLAN 10 erstellt wird, ordnet das System dem VLAN den Namen VLAN0010 zu. Wir benennen das VLAN mit einem benutzerfreundlichen Namen, um den Identifizierungsprozess zu erleichtern; (Abbildung 4 (nur Englisch)) zeigt die Verwendung des Befehls name zum Beschreiben eines VLAN. Um die Liste der im Switch vorhandenen VLANs zu überprüfen und anzuzeigen, können wir den Befehl show vlan verwenden, wie in (Abbildung 5 (nur Englisch)) gezeigt.
Abbildung 3: Abbildung 3: Ausgabe von show vlan von einem N4032.
Abbildung 4: Benennen VLAN 10 als Vertriebsmitarbeiter
Abbildung 5: Abbildung 5: Ausgabe von show vlan nach dem Erstellen von VLAN 10
Der endgültige und wichtigste Schritt beim Erstellen eines VLAN ist das Zuweisen von Ports zu dem VLAN. Ports können konfiguriert werden, um VLAN-Informationen zu markieren oder zu deaktivieren. (Abbildung 6 (nur Englisch)) zeigt den Prozess zur Zuweisung des Ports Tengigabitethernet 1/0/1 zu VLAN 10. Der Port ist als Zugangsport konfiguriert. Das bedeutet, dass der Switch das VLAN-Tag entfernt, wenn der Datenverkehr vom Port zur Workstation gesendet wird, und das VLAN-Tag 10 einfügt, wenn Datenverkehr von der Workstation zum Switch gesendet wird.
Abbildung 6: Zuweisen von Port TE1/0/1 zu VLAN 10
Layer-3(L3)-Switches sind in der Lage, Routing durchzuführen. Inter-VLAN-Routing ist ein Prozess, bei dem der Datenverkehr zwischen zwei verschiedenen VLANs weitergeleitet wird. Da hier ein Routing und kein Switching des Datenverkehrs erfolgt, wird der Broadcast-Datenverkehr nicht zwischen VLANs weitergeleitet.
Die L3-Schnittstelle ist eine logische Schnittstelle mit der VLAN-ID. (Abbildung 7 (nur Englisch)) zeigt die Konfiguration der L3-Schnittstelle für VLAN 10.
Abbildung 7: Erstellen VLAN 10 L3-Schnittstelle
Wir können den Befehl show ip interface verwenden, um die L3-Schnittstellen anzuzeigen, die wie in (Abbildung 8 (nur Englisch)) konfiguriert sind.
Abbildung 8: Ausgabe der IP-Schnittstelle anzeigen
Hinweis: Die Netzwerkleistung kann mithilfe von iperf getestet werden, wie in beschrieben, wenn die verfügbare Netzwerkbandbreite unter Verwendung der ' iperf '
FTOS-basierte Systeme verwenden den Befehl interface vlan X, um ein VLAN zu erstellen, wobei X die VLAN-ID ist. Der Befehl untagged switchport X, wobei X die Portnummer ist, wird verwendet, um dem VLAN einen Port zuzuweisen. (Abbildung 9 (nur Englisch)) zeigt die Ausgabe einer VLAN-Konfiguration von einem FTOS-basierten System.
Abbildung 9: Abbildung 9: Konfiguration auf einem L2-VLAN auf einem FTOS-System
VLAN-Informationen liegen innerhalb der 802.1Q-Verkleidung des Frame vor. Ein Frame gilt als mit einer VLAN-ID gekennzeichnet (tagged) wenn die 802.1Q-Headerinformationen im Frame vorhanden sind. Tagged Frames werden an Geräte gesendet, die die Intelligenz besitzen, die VLAN-Informationen zu verstehen.
Beispielsweise enthält die Verbindung zwischen zwei Switches tagged Frames, da Switches tagged Frames verstehen können, während der Frame zu einer Workstation nicht mit einem Tag versehen ist, da die Workstation tagged Frames nicht versteht.
Bei untagged (portbasierten) Frames werden die VLAN-Informationen vom Switch entfernt, bevor der Frame aus dem Port gesendet wird, und die 802.1Q-Verkleidung ist nicht vorhanden.