Unter einem VLAN, einem Virtual Local Network, versteht der Netzwerker ein logisches Teilnetz innerhalb eines Switches oder einem kompletten physischen Netzwerk. Das VLAN kann über mehrere Switche ausgedehnt werden. Das VLAN teilt mehrere physische Netze in Teilnetze auf. Dies geschieht dadurch, dass entsprechende markierte Frames eines VLANs nicht in andere VLANs gelangen, bzw. weitergeleitet werden. Dabei können mehrere Teilnetze an ein gemeinsames Switch angeschlossen werden.
Warum VLANs? Was sind die Gründe und Vorteile eines VLAN?
Normalerweise werden lokale Netzwerks (LAN) heutzutage mit aktiven Komponenten aufgebaut, die auf der OSI-Ebene 2 oder höher arbeiten. Oft handelt es hierbei um Switches. Die meisten gängigen Ausbauten von Switchen ermöglichen einen Full-Duplex Betrieb. Auf diese Weise können Kollisionen vermieden werden. Desweiteren kann ebenso auf diese Weise ein recht großes LAN aufgebaut werden, welches über locker 400 Nodes verfügt und dennoch noch eine recht gute Performance besitzt.
Dennoch ist eine Unterteilung dieser Netzwerke oft sehr sinnvoll und ist aus mehreren Gründen erwünscht:
Durch ein VLAN können Endgeräte recht flexibel zu einem Netzwerksegment zugeordnet werden, dies unabhängig vom Standort der Maschine. Ein VLAN für Marketing wurde erzeugt und ein weiteres für ein Einkauf. Marketing und Einkauf sind somit getrennt. Soll eine Maschine aus dem Marketing in das Netzwerksegment des Einkaufes wechseln, so muss lediglich der Admin das Switchport einem anderen VLAN, hier dem Einkauf zuordnen.
Weitere Gründe sind Performance-Aspekte. Die Internet-Telefonie wird in immer mehr Unternehmen verwendet. Sobald VoIP zur Sprache kommt, ist QoS nicht weit. Um qualitativ hochwertige VoIP Telefonate führen zu können, darf einmal die Bandbreite im LAN nicht zu stark einbrechen, noch besser, sie muss im Vorfeld für dieses Telefonat reserviert werden. Also macht es erstmals Sinn, dass VoIP LAN in ein eigenes VLAN zu legen, welches stark priorisiert wird. Auch bei großer Netzlast kann störungsfrei telefoniert werden. Ein weiterer Grund ist die Reduktion von Broadcast-Domänen. VLAN kapseln Broadcastdomänen – damit müssen nicht alle Systeme alle abgesendeten Broadcasts des ganzes LANs empfangen/bearbeiten. Dadurch wird die Leistung im LAN verbessert.
Sicherheitsgedanken spielen bei VLAN ebenso eine große Rolle. VLAN können gegen Abhören und Ausspionieren von Daten verwendet werden. Sicherheitsrelevante Systeme werden in ein separates VLAN gelegt und durch eine Security Appliance geschützt. Zudem können, falls entsprechend durch eine Firewall geschützt bzw. kein InterVLAN Routing besteht oder keine Route in das andere Subnetz existiert, verschiedene sich im Internet befindliche VLANs nicht auf das sicherheitsrelevante VLAN zugreifen, welches schützendwerte Daten beinhaltet. Früher wurden generell geswitchten Netzen ein Vorteil in Punkto Sicherheit zugestanden. Heute hat diese Aussage keinen Bestand mehr. Es existieren hierzu zu viele Angriffsmöglichkeiten, wie MAC-Spoofing und MAC-Flooding. VLANs sind in dieser Angelegenheit robuster. Hier liegt zu Grunde, dass ein VLAN zu einem weiteren VLAN mit einem Router verbunden wird. Dazu kann eine Firewall auf Layer-3-Basis dazu installiert werden, womit es möglich ist eine Vielzahl von Produkten einzusetzen. Layer-2 Firewalls sind ebenfalls einsetzbar, wenngleich der Einsatz im praktischen Umfeld an dieser Stelle nicht so hoch ist.
Die genannten Punkte können auch durch eine entsprechende aufwendigere Verkabelung und mit dem Einsatz mehrerer Switches und Router umgesetzt werden. Jedoch lassen sich durch den Einsatz von VLAN Kosten und Aufwand deutlich senken. Zudem kommt der Nachteil einer mehrfachen Verkabelung nicht zum Tragen. Selbstverständlich sind VLAN-fähige Geräte etwas teurer, jedoch bei größeren Netzwerken lohnt sich die Mehrausgabe in Firmen meist sofort.