3.4.3 Layer-3-VLANs

  Ein interessanter Ansatz ist die VLAN-Konfiguration auf Basis der Ebene 3 Adressen. Diese Strukturen werden auch als Layer-3-VLANs bezeichnet. Hier besteht die Möglichkeit, Subnetzstrukturen (z.B. IP-, IPX-Subnetze) zu virtualisieren.

Zuordnung der Endgeräte
Durch die Zuordnung der Netzadresse eines Endgerätes zu einer Gruppe entsteht die Bildung der Layer-3-VLANs. Es gibt mehrere Kriterien nach denen man VLANs bilden kann:

• nach Art der Layer-3-Protokolle: IP-, IPX-VLAN, etc. Dabei befinden sich nur Anwender, die das gleiche Protokoll (z.B. IP, IPX) benutzen, in einem gemeinsamen VLAN.
• nach der Subnetzbildung: z.B. IP-Subnetze. Alle Benutzer die im gleichen Subnetz angeschlossen sind, gehören auch zum selben VLAN.

Durch die Bildung von Subnetzstrukturen kann eine Trennung von logischer Struktur (Subnetz) und topographischer Lokalität (Routerport) erreicht werden.

Hardware-Voraussetzung
Voraussetzung für den Einsatz von Layer-3-VLANs ist die entsprechende HW. Der Begriff des Layer-3-VLANs ist eng mit den sogenannten Layer-3-Switches verbunden. Diese sollen auf Kosten der Komplexität schneller sein als herkömmliche Backbone-Router. Ein wesentlicher Schritt, dieses zu ermöglichen ist das Abspecken der Protokollvielfalt. Traditionelle (Backbone)-Router unterstützen sehr viele unterschiedliche Protokolle. Neben den meistverbreiteten (LAN)-Protokollen IP und IPX werden auch Protokolle wie DecNet, AppleTalk, OSI, XNS und Banyan Vines unterstützt. Hinzu kommen bei herkömmlichen Routern WAN-Protokolle bzw. -Schnittstellen. Layer-3 Switches beschränken sich häufig auf IP und IPX. Auch bei den möglichen Routingprotokollen wird gespart. So fallen z.B. bei IP neben BGP auch häufig OSPF und RIP-II weg. Layer-3 Switches müssen genauso wie herkömmliche Router in der Lage sein, die Protokollinformationen der Frames auszuwerten und die Frames an den entsprechenden Ports auszugeben. Dazu musen sie die Netzadresse erkennen und mit einem bestimmten VLAN verbinden. Sie benötigen eine erweiterte Adreßtabelle, in der die Zuordnungen von 18#18 vorhanden sind. Der Inter-VLAN-Verkehr wird weiterhin über den Router transportiert. Einige Hersteller bieten Layer-3-Switches an, die die Protokollinformationen auswerten können und selbst routen. Aus Sicherheitsgründen sollte ein Layer-3-VLAN, der über mehrere Standorte gebildet wurde, immer über einen Router gekoppelt sein.
Layer-3 VLANs bzw. Layer-3 Switches erlauben allerdings auch Ergänzungen zu den gängigen Konfigurationsmöglichkeiten von Routern. So ist neben dem bekannten Multinetting auch die Verteilung eines Subnetzes auf mehrere Ports möglich. Damit ist eine größere Freiheit bei der Konfiguration möglich und es können Subnetz-Adressen weit besser ausgenutzt werden.

VLAN-3-Management
Die protokollbasierenden VLANs ermöglichen eine optimale Verkehrsüberwachung. Alle Broadcasts können entsprechend der Protokolle segmentiert werden. Auch Stationen mit Multiprotokoll-Stacks bzw. Shared-Media-Segmente mit Stationen unterschiedlicher Protokolle werden bei diesem Verfahren unterstützt.
Ein IP-VLAN ist in diesem Sinne ein Subnetz und steht für viele Benutzer zur Verfügung. Soll ein neuer Benutzer eingerichtet werden, so ist durch seine Subnetzzugehörigkeit auch automatisch die VLAN-Zugehörigkeit gegeben. Bei Umzügen wird der Netzadministrator wesentlich entlastet, da die Endgeräte automatisch wieder dem gleichen VLAN angehören. Layer-3-VLANs sind dann sinnvoll einzusetzen, wenn die Endgeräte eines Netzes an wechselnden Standorten betrieben werden und die Zugehörigkeit zum VLAN nicht abhängig von der eingesetzten HW (Netzkarten) und dem Standort ist.
Bevor Layer-3-VLANs implementiert werden, ist eine gründliche Planung wichtig. Man benötigt Informationen über:

• das derzeitige Netz,
• Verkehrsbeziehungen im Netz,
• eingesetzte Protokolle,
• mögliche Reduzierung der Protokollvielfalt, etc.

Nachteilig ist die größere Komplexität des Modells, die einen höheren Administrationsaufwand erfordert. Vom Administrator werden detaillierte Kenntnisse über die eingesetzten Protokolle verlangt.
Die Layer-3-VLANs bieten in der Regel sehr sichere Strukturen. Das einzige Problem liegt in der Handhabung von Layer-3-Adressen. So lassen sich z.B. die IP-Adressen sehr leicht mit einer entsprechenden SW (z.B. Windows) verändern. Damit können die Anwender ihre Netz-Adresse in eine andere umwandeln und dadurch ihre VLAN-Zugehörigkeit verändern. Um einen solchen Mißbrauch zu verhindern, müssen die Netzadministratoren entsprechende Vorkehrungen treffen. Die Konfiguration der Endgeräte sollte auf jeden Fall nur von den Netzverantwortlichen gemacht werden. Die Gruppierung der Endgeräte nach ihren Subnetzen sollte nicht veröffentlicht werden, da u.U. ein Angriff (Veränderung der eigenen Netz-Adressen) nicht auszuschließen ist.

 

Abbildung 3.8:   Beispiel mit Layer-3-VLANs (IP)

19#19

Beispiel
Abb. 3.8 zeigt ein kleines geswitchtes IP-Netz, das logisch aus zwei Subnetzen besteht:

• Subnetz 1 (129.0.1) entspricht VLAN 1 (Farbe: schwarz)
• Subnetz 2 (129.0.2) entspricht VLAN 2 (Farbe: hellgrau)

Alle Endgeräte bzw. Benutzer mit der gleichen Subnetz-Adresse gehören automatisch zu einem VLAN.