Content: Blog

VLANs: So trennen Sie Netzwerke logisch voneinander

← zurück zum Blog

Robert Horvath

Robert Horvath
24.04.2015

Mit virtuellen LANs, auch kurz VLANs genannt, lassen sich im Netzwerk auf einer einheitlichen physischen Infrastruktur mehrere logische Netzwerke mit unterschiedlichen Subnetzen erstellen. So lassen sich Servergruppen bequem voneinander zu trennen oder das Netzwerk in verschiedene Arbeitsbereiche wie Arbeitsstationen und Server teilen. 

Mit VLANs werden also auf Basis von Hardware-Netzwerkgeräten, oder auch auf der Basis von virtuellen Switches für Hyper-V und VMware Netzwerke segmentiert. Die Kommunikation der unterschiedlichen VLANs kann dabei über identische Hardware laufen, die Geräte verschiedener VLANs "sehen" sich aber nicht, da auch Broadcasts und andere Netzwerkübergreifende Abläufe nur innerhalb des VLANs stattfinden.

Unterstützen die physischen Netzwerkkarten die Verwendung von VLANs, lässt sich diese Funktion in den Einstellungen der Netzwerkkarte auf den Windows-Servern anpassen . Die Einstellungen sind in der erweiterten Konfiguration, in den Eigenschaften des Adapters im Netzwerk- und Freigabecenter zu sehen. Mit dem Nachfolger von Windows Server 2010 R2 führt Microsoft mit dem Network Controller auch einen neuen Serverdienst ein, der optimal mit VLANs umgehen kann, diese steuert und überwacht. Im Bereich des Fabric Network Managements erlaubt der Network Controller auch die Konfiguration und Verwaltung von IP-Subnetzen, VLANs, Layer 2- und Layer 3-Switches sowie die Verwaltung von Netzwerkadaptern in Hosts. Mit spezialisierten Switches lassen sich also auch auf Hardware-Basis VLANs erstellen. Dazu werden einzelne Ports zusammengeschaltet, die dann wie ein eigenständiges (Teil-)LAN funktionieren und von den restlichen Anschlüssen getrennt arbeiten.

Wichtig bei der Verwendung von VLANs ist eine Überprüfung, ob alle eingesetzten Netzwerk-Geräte, alle Betriebssysteme und auch die restliche Hardware VLANs unterstützen. Nach der Konfiguration der Hardware-Switches muss überprüft werden, ob auch Geräte wie NAS-Systeme und anderen Netzwerkdienste mit den notwendigen Clients kommunizieren können.

networks3.png

VLANs bei der Virtualisierung

Hyper-V unterstützt auch bei Netzwerkswitches die Verwendung von VLANs. Dazu können Administratoren virtuelle LANs in der Verwaltungsoberfläche der Switches erstellen und diese in Hyper-V eintragen.  Mittels VLANs lassen sich auch in virtuellen Netzwerken Datenströme voneinander trennen um die Sicherheit und die Leistung zu erhöhen. So kann zum Beispiel der Netzwerkverkehr für die Virtualisierungsverwaltung des Servers vom Netzwerkverkehr der virtuellen Server untereinander getrennt werden. In den Eigenschaften der Netzwerkkarten der Hyper-V-Hosts müssen Administratoren dazu in den erweiterten Einstellungen festlegen, mit welcher VLAN-ID im Netzwerk die Karte kommunizieren soll. Anschließend muss im Hyper-V-Manager die Netzwerkverbindung ausgewählt und ebenfalls die VLAN-ID eingegeben werden. Auch hier geben wird die entsprechende VLAN-ID vorgegeben. Diese Technik funktioniert aber erst seit Windows Server 2012 R2 belastbar.

Für einen Einsatz in VLANs müssen die Hardware-Switches und Netzwerkkarten diese Funktion unterstützen. Nachdem der Hyper-V-Host konfiguriert wurde, können Administratoren die virtuellen Server und die virtuellen Switches ebenfalls an VLANs anbinden. Dazu wird im Hyper-V-Manager der Manager für virtuelle Switches gestartet. Hier kann ausgewählt werden, welche physische Netzwerkverbindung an das VLAN angeschlossen werden soll. Anschließend lässt sich auch an dieser Stelle das VLAN und dessen ID angeben. Auf diesem Weg lassen sich alle einen bestimmten Switch nutzenden virtuellen Server auf einen Schlag an ein bestimmtes VLAN anbinden.

Dazu muss in den Optionen des virtuellen Switches die Checkbox "Identifizierung virtueller LANs für das Verwaltungsbetriebssystem aktivieren" gesetzt sein. Nachdem die ID angegeben wurde, fließt der Datenverkehr von dieser Verbindung über die entsprechende ID.

Auch interne Netzwerke in Hyper-V unterstützen die VLAN-Konfiguration. Bei diesen Netzwerken können die Server aber nur mit virtuellen Maschinen auf dem Hyper-V-Host oder dem Cluster kommunizieren. Auf diesem Weg können Administratoren problemlos virtuelle Server an VLANs anbinden. Dazu müssen in den Einstellungen der virtuellen Server über die Eigenschaften der virtuellen Netzwerkkarten ebenfalls die VLAN-IDs angegeben werden.

Sollen virtuelle Server mit mehreren VLANs kommunizieren, können auf den jeweiligen Servern mehrere virtuelle Netzwerkkarten hinzugefügt werden. Jede Karte kann dann mit einem spezifischen VLAN verbunden werden. Seit den Linux Integration Services 3.5 lassen sich VLANs auch für virtuelle Linux-Server in Windows Server 2012 R2 nutzen. Die Einstellungen dazu sind identisch mit den Konfigurationen für virtuelle Windows-Server, da die Einstellungen nicht auf dem Betriebssystem der VM stattfinden, sondern auf Ebene der Hyper-V-Einstellungen.

Durch diese durchgehende Unterstützung von VLANs können Administratoren bei entsprechend kompatiblen Switches zum Beispiel Testumgebungen aufbauen oder Hyper-V-Hosts logisch voneinander trennen, auch wenn diese im selben physischen Netzwerk angebunden sind. Netzwerkkarten-Teams in Windows Server 2012 R2 unterstützen ebenfalls die Anbindung an VLANs. Verwenden Unternehmen NIC-Teams in virtuellen Servern, empfiehlt Microsoft, die VLAN-Anbindung direkt über den virtuellen Switch durchzuführen und nicht für das virtuelle NIC-Team. Bei fehlerhaften Konfigurationen besteht die Gefahr von Datenkollisionen.

802.1x und der Netzwerkzugriffsschutz (NAP; Network Access Protection)

Mithilfe der 802.1x-Erzwingung richtet ein Netzwerkrichtlinienserver (Network Policy Server, NPS) in Windows Server 2012/2012 R2 einen 802.1x-basierten Zugriffspunkt ein, für den 802.1x-Clients ein eingeschränktes Zugriffsprofil zu verwenden. Die 802.1x-Erzwingung bietet einen sicheren, eingeschränkten Netzwerkzugriff für alle Computer, die auf das Netzwerk über eine 802.1x-Verbindung zugreifen.

Unterstützen die Switches in einem Netzwerk 802.1x, besteht die Möglichkeit, dass nicht-konforme NAP-Clients in spezielle VLANs verschoben werden, bevor diese Zugriff auf das Netzwerk erhalten. Damit Administratoren NAP in einer 802.1x-Konformen Umgebung testen können, sollten sie sicherstellen, dass die Switches und andere Komponenten diese Umgebung unterstützen und das Anlegen von virtuellen LANs ermöglichen. Abhängig von den NAP-Richtlinien unter Windows Server 2012 R2 weist ein 802.1x-kompatibler Switch die Clients den entsprechenden VLANs zu. Um die Umgebung optimal testen zu können, sollten mindestens drei VLANs eingerichtet werden:

- Ein VLAN für die Clients im Netzwerk, für die kein NAP verwendet werden soll
- Ein VLAN für NAP-konforme Clients
- Ein VLAN für nicht-konforme NAP-Clients

Zwischen den VLANs für NAP-konforme und nicht-NAP-konforme Clients sollte kein Routing eingerichtet werden, damit nicht-NAP-konforme Clients vom Netzwerk separiert werden. Wollen Unternehmen den Netzwerkzugriffsschutz in einer 802.1x-Umgebung einsetzen, müssen Administratoren sicherstellen, dass die Domänenfunktionsebene mindestens auf Windows Server 2003, besser auf Windows Server 2008 oder Windows Server 2012 R2 gesetzt wird.

Standard Switches vs. Distributed Switches – VLANs in VMware

Die Standard-Switches in VMware lassen sich nur auf einzelnen VMware vSphere-Hosts einsetzen. Diese Art der Switches ist daher recht einfach konfigurier- und verwaltbar, dafür aber nicht flexibel und skalierbar. Der Nachteil dabei ist, dass Administratoren für jeden neuen Host auch einen neuen Standard-Switch erstellen und konfigurieren müssen. Das gilt auch für Portgruppen, VLANs und alle anderen Arten der Einstellung. Unternehmen sollten beim Einsatz von VLANs also auf Distributed Switches setzen. Distributed Switches, auch vDS genannt, lassen sich auf mehreren VMware Hosts und -Clustern einsetzen. Die grundsätzliche Funktion der beiden Switches ist identisch, beide verbinden VMs über eine Schnittstelle mit dem physischen Netzwerk.

Bei den Distributed Switches handelt es sich jedoch um ein Objekt des Datencenters, und nicht nur um ein Objekt eines einzelnen Hosts, wie bei Standard-Switches. Im Netzwerk muss daher nur ein einzelner vDS im Einsatz sein, der auf die angebundenen ESX-Server repliziert wird. Natürlich lassen sich aber auch mehrere vDS parallel einsetzen. Wenn beispielsweise 4 ESX-Server und 20 VLANs im Unternehmen im Einsatz sind, müssen Administratoren bei der Verwendung von Standard-Switches 80 Portgruppen einrichten. Diese Konfiguration entfällt mit vDS.

Erweiterte Funktionen, wie die Portgruppen und VLANs lassen sich nur mit vDS vernünftig betreiben. Distributed Switches unterstützen auch Private VLANs (PVLANs). Solche PVLANs bestehen aus einem Primary PVLAN und einem Secondary PVLAN. Das Primary PVLAN stellt eine Gruppierung des herkömmlichen VLANs dar. Die einzelnen ursprünglichen VLANs gehen als einzelne Secondary PVLAN im Primary VLAN auf. Jedes Secondary PVLAN verfügt über eine eigene VLAN ID. VMware zeigt Details zu diesen Möglichkeiten in einem Video

Quelle: http://www.it-business.de/


Die «smart, kompetent und leidenschaftlich» - Services für Unternehmen