Hardware-Voraussetzung
Wie die portbasierten VLANs werden auch die MAC-adreßbasierten VLANs in der Regel mit Hilfe von Layer-2-Switches realisiert. Verwendet werden hierfür ausschließlich Switches, welche nach Art einer Multiportbridge funktionieren. Hier gibt es zwei Möglichkeiten, Adressen zu erlernen, positiv oder negativ. ``Positiv learning'' bedeutet, daß der Switch zuerst die Adresse kennen muß, bevor der Frame weitergeleitet wird. ``Negativ learning'' bedeutet, daß der Switch im Zweifelsfall unknown Unicasts an alle Ports verschickt.
VLAN-2-Management
Die MAC-adreßbasierten VLANs sind etwas aufwendiger und schwieriger zu implementieren als die portbasierten VLANs. Ein Nachteil ist, daß in den Switches bei der Erstkonfiguration eine zusätzliche Funktion benötigt wird, damit nicht alle MAC-Adressen manuell eingetragen werden müssen. Das Problem dabei ist, daß die MAC-Adressen aus Zahlen- und Buchstabenkombinationen bestehen, die schwer zu lesen und identifizieren sind und deswegen die Gefahr besteht, daß bei der Eingabe dieser Adressen viele Fehler entstehen. Damit eine Zuordnung unternehmensweit erfolgen kann, müssen diese Informationen entweder zwischen den Switchsystemen ausgetauscht werden, oder es müssen alle Switchsysteme einzeln konfiguriert werden.
Die MAC-adreßbasierten VLANs bieten den Vorteil bei Umzügen von Endgeräten. Dabei werden die Netz-Administratoren von Routinearbeiten entlastet, da die Endgeräte nach einer Umstrukturierung automatisch dem richtigen VLAN zugeordnet werden. Wird also ein Endgerät bzw. eine MAC-Adresse einmal einem VLAN zugeteilt, so ist dieses Endgerät unabhängig von ihrem physischen Standort immer Mitglied dieses VLANs. Diese Art von VLAN ist aber nur dann sinnvoll, wenn die Endgeräte bei einem Umzug, innerhalb eines Netzes, immer zum selben VLAN gehören.
Untersuchungen haben ergeben, daß in deutschen Unternehmen durchschnittlich dreißig Prozent aller Stationen im Jahr verlegt werden. Dies hat zur Folge, daß die Teilnehmer aller VLANs in kurzer Zeit über alle Switchsysteme verteilt sind. In der Praxis bedeutet dies, daß alle Broadcasts an alle Systeme zu verteilen sind und das Netz unübersichtlich wird. Bei einem solchen Netzkonstrukt müssen also wesentlich höhere Anforderungen an das Netzmanagementsystem gestellt werden.
Mobile Systeme
Auch der Einsatz von mobilen Komponenten wie Laptops in Netzen muß bei der VLAN-Planung und VLAN-Betrieb berücksichtigt werden. Es gibt zwei Möglichkeiten, einen Laptop in ein MAC-basiertes VLAN zu integrieren. Erstens: die Laptops besitzen eine PCIMCA-Schnittstelle. An diese Schnittstelle kann eine Einschubkarte mit einer entsprechenden MAC-Adresse angeschlossen werden. Dies ist zwar eine etwas teure Anschaffung, bietet aber den Vorteil, daß der Laptop flexibel im ganzen Netz angeschlossen werden kann. Die zweite Alternative einen Laptop in ein VLAN einzubinden, ist der Einsatz von einigen Docking Stations. Das Problem dabei ist, daß die Docking Station mit dem integrierten Netzadapter (inklusive der festverdrahteten MAC-Adresse) fest an dem Desktop angeschlossen ist, während der Laptop ständig den Standort innerhalb des Netzes ändert. Wenn ein Benutzer umzieht oder einfach in einem anderen Raum den Laptop ans Netz, bzw. an ein Desktop mit einer Docking Station, anschließen möchte, so kann sich seine VLAN-Mitgliedschaft ständig verändern. Dieser Effekt ist aus Sicherheitsgründen oft nicht vertretbar. In einer derartigen Umgebung muß auch die VLAN-Zugehörigkeit des Laptops ständig an die Docking Station angepaßt werden. Dies erfordert einen zusätzlichen administrativen Aufwand.
Beispiel
Am Beispiel in Abb. 3.7 werden die Layer-2-VLANs nochmals beschrieben.
Es liegt die gleiche Ausgangssituation wie in Abb. 3.6 vor: