Warum VLAN-Management? Vor- und Nachteile von VLAN
Sarah Kolberg | Juni 21, 2023
WLAN ist mittlerweile ein Begriff, den wohl jeder richtig zuordnen kann. VLAN begegnet uns im alltäglichen Leben eher weniger häufig. Es handelt sich hierbei um ein wichtiges Instrument zur Netzwerksegmentierung (Network Segmentation), welche ein höheres Maß der Netzwerksicherheit und Performance mit sich bringt. In folgendem Artikel erklären wir, was VLAN bedeutet, wie es funktioniert und wie Ihr Unternehmen davon profitieren kann. Insbesondere gehen wir auf den VLAN Manager als wichtige Funktionalität von macmon NAC ein.
Was ist VLAN?
VLAN steht für Virtual Local Area Network. Mithilfe von virtuellen LANs können logische Netzwerksegmente geschaffen werden. Das bedeutet konkret, dass unabhängig von der physischen Netzwerktopologie vor Ort eine Unterteilung des Netzwerks erfolgt. Der Datenverkehr der zugehörigen Geräte eines VLAN ist dabei von anderen VLANs isoliert. Die Kommunikation im gesamten Netzwerk kann so besser kontrolliert werden. Die Geräte haben ausschließlich auf die Netzwerkressourcen und Anwendungen Zugriff, die notwendig sind.
VLANs einrichten
Die Segmentierung des Unternehmensnetzwerks kann mit VLAN in separate Einheiten unabhängig von dessen physischer Struktur erfolgen. Will man VLAN einrichten, erfordert dies Managed Switches. Nur diese verfügen über entsprechende Konfigurationsoptionen. Es gibt zwei Arten ein VLAN zu konfigurieren: statisch und dynamisch. Ein VLAN kann auf einem Switch oder auf mehrere ausgedehnt werden. Die Geräte werden durch ein VLAN-Tag im Ethernet-Telegramm getrennt. Das VLAN-Tag enthält eine VLAN-ID und die Priorität des Telegrams.
Statisches und dynamisches VLAN
Statisches VLAN
Das statische VLAN funktioniert über portbasiertes VLAN-Tagging. Das bedeutet, das VLAN wird fest an einen Switch-Port geknüpft. Das VLAN wird manuell konfiguriert und jedem Port eine VLAN-ID zugewiesen. Der Switch-Port bestimmt, zu welchem VLAN das angeschlossene Gerät gehört. Ein Portausgang kann mehreren VLANs zugeordnet sein, ein Porteingang nur einem VLAN. Die VLAN-Konfiguration ist beim statischen VLAN nicht veränderlich. Dies macht es weniger flexibel, zugleich erleichtert es den administrativen Aufwand.
Dynamisches VLAN
Beim dynamischen VLAN erfolgt die Konfiguration in der Layer-2-Funktion des Switches auf Basis der MAC-Adresse oder einer höheren Protokollschicht wie 802.1X. Die Zuordnung zum Netzwerksegment erfolgt über das Endgerät und wird über eine Datenbank auf einem zentralen Server verwaltet.
Der Vorteil: Das Endgerät wird immer nur zu dem Bereich zugelassen, den es zum Arbeiten benötigt – auch bei mobilem Arbeiten oder Umzug des Arbeitsplatzes, ohne dass die Konfiguration geändert werden muss.
VLAN Vorteile
Die Netzwerksegmentierung kann beispielsweise entsprechend der Abteilungen erfolgen. Wird ein Netzwerksegment kompromittiert, ist nicht das gesamte Netzwerk betroffen und der potenzielle Schaden kann begrenzt werden. Dies kann nicht nur in Office-Umgebungen ein wichtiges Instrument sein, um Finanz- oder Personaldaten, Unternehmensgeheimnisse oder geschäftskritische Prozesse abzusichern. Im industriellen Umfeld können einzelne Abschnitte der Produktionslinien in VLANs organisiert werden. So können Hochverfügbarkeit gewährleistet und Produktionsstopps vermieden werden. Durch die Netzwerksegmentierung können außerdem Schwachstellen sowie Fehler schneller entdeckt und mit weniger Zeitaufwand behoben werden.
Die Zuteilung einer eigenen Broadcast-Domain pro VLAN verringert den Datenverkehr und wirkt sich positiv auf die Netzwerkperformance aus. Da es sich bei VLANs um virtuelle Einheiten handelt, kann man sie kabel- und standortunabhängig betreiben. Modifizierungen können bei dynamischen VLANs schnell, einfach und kostengünstig vorgenommen werden.
VLAN Nachteile
Wichtig ist, dass das VLAN-Management ausreichend dokumentiert wird und entsprechende Modifizierungen einsehbar sind. Sonst kann es zu Netzwerkfehlern kommen, die die Funktionalität einschränken.
VLAN-Management bei macmon NAC
macmon NAC bietet neben weiteren Funktionen einen VLAN Manager an. Mit dem Feature können statische sowie dynamische VLANs eingerichtet werden. Beim dynamischen VLAN erfolgt die Zuordnung zum Segment einfach über die GUI. Jedem Gerät wird ein VLAN zugeordnet. Dabei unterstützt macmon NAC die Zuordnung über MAC-Adresse und 802.1X.
Auch die statische Konfiguration durch die Zuordnung von VLAN-ID und Switch-Port ist möglich. Switch-Ports, an denen kein Gerät betrieben wird, werden einem VLAN zugeordnet, das keine Dienste anbietet.