Unentbehrliches Netzwerk-Know-how (tecCHANNEL COMPACT)

Einführung in VLANs, Teil 2

Veröffentlicht: 06. Okt 2006
Von ERNST SCHAWOHL

Ein Virtual LAN unterteilt ein Netzwerk in abgeschirmte Segmente und sorgt so für mehr Sicherheit. Im zweiten Teil unserer Miniserie erfahren Sie, wie VLAN-Frames aufgebaut sind und wie Sie ein VLAN konfigurieren.

*
Auf dieser Seite
Kennzeichnung von VLAN-FramesKennzeichnung von VLAN-Frames
IEEE 802.1Q (Frame-Tagging)IEEE 802.1Q (Frame-Tagging)
ISLISL
FDDI 802.10FDDI 802.10
LANELANE
VLAN-KonfigurationVLAN-Konfiguration
Statische VLANs konfigurierenStatische VLANs konfigurieren
Wichtige RegelnWichtige Regeln
CodeCode
Weitere KonfigurationsschritteWeitere Konfigurationsschritte
VLAN-Konfiguration überprüfenVLAN-Konfiguration überprüfen
VLAN-Konfiguration speichernVLAN-Konfiguration speichern
VLAN-Konfiguration löschenVLAN-Konfiguration löschen
Fehlersuche und -behebung bei VLANsFehlersuche und -behebung bei VLANs
Beispiel zur FehlersucheBeispiel zur Fehlersuche
Fehlersuche bei EndstationenFehlersuche bei Endstationen
ZusammenfassungZusammenfassung

Es gibt drei Verfahren der Zuweisung ein Paketes zu einem VLAN:

portbasierte VLANs (statisch)

auf MAC-Adressen basierende VLANs (dynamisch)

protokollbasierte VLANs (dynamisch)

Die Anzahl der VLANs im Switch kann aufgrund mehrerer Faktoren variieren. Zu diesen Faktoren gehören Datenverkehrsmuster, Anwendungstypen, Netzmanagementbedürfnisse und Gruppenzugehörigkeit. Ein wesentlicher Aspekt bei der Definition der Switch-Größe und der Anzahl der VLANs ist das verwendete IP-Adressschema.

Nehmen wir beispielsweise an, ein Netzwerk verwendet zur Definition der Subnetze eine 28-Bit-Maske. Hieraus ergibt sich, dass insgesamt 14 Hostadressen in einem Subnetz zulässig sind. Da ein 1:1-Verhältnis zwischen VLANs und IP-Subnetzen strikt empfohlen wird, können in jedem VLAN nicht mehr als 14 Geräte vorhanden sein.

Kennzeichnung von VLAN-Frames

In VLANs mit mehreren Switches werden die Frame-Header gekapselt oder modifiziert, um die Frames mit einer VLAN-Kennung zu markieren, wenn sie über die Leitung zwischen Switches weitergeleitet werden. Vor der Weiterleitung zum Endgerät wird der Header dann wieder in sein Ursprungsformat zurückversetzt. Mit Hilfe dieser VLAN-Kennzeichnung wird logisch ermittelt, welche Pakete zu welcher VLAN-Gruppe gehören. Es gibt mehrere derartige Bündelungsmethoden (engl. Trunking): IEEE 802.1Q, ISL, 802.10 und LANE.

IEEE 802.1Q (Frame-Tagging)

Dieses Protokoll ist eine IEEE-Standardmethode zur Kennzeichnung von VLANs durch Einfügen einer VLAN-Kennung in den Frame-Header. Der Vorgang heißt deswegen auch Frame-Tagging (Frame-Kennzeichnung). Abbildung 13 zeigt das Format eines 802.1Q-Frames. Jeder 802.1Q-Port arbeitet als "VLAN-Leitungsbündel" (engl. Trunk) und gehört zum "nativen" VLAN, standardmäßig mit einer VLAN-ID 1. 802.1Q versieht Frames für das native VLAN nicht mit einem Tag. Deswegen könnten normale Stationen an einem 802.1Q-Port die nativen, nicht gekennzeichneten Frames lesen, alle anderen Frames aber nicht (weil diese eben gekennzeichnet sind). Das IEEE 802.1Q-Frame-Tagging ist die bevorzugte Methode für den Austausch von VLAN-Daten zwischen Switches.

Abbildung 13: 802.1Q-Frame-Format

Abbildung 13: 802.1Q-Frame-Format

ISL

ISL (Inter-Switch Link) ist ein proprietäres Trunking-Protokoll von Cisco, das ebenfalls mehrere Switches miteinander verbindet. Es wird von Switches und Routern gleichermaßen unterstützt. Abbildung 14 zeigt das Frame-Format.

Abbildung 14: ISL-Frame-Format

Abbildung 14: ISL-Frame-Format

Die ISL-Kapselung, die von den Switches der Catalyst-Serien verwendet wird, ist eine latenzarme Methode für das Multiplexing von Datenverkehr mehrerer VLANs über einen einzigen physischen Pfad. Es wurde für Verbindungen zwischen Switches, Routern und Netzwerkkarten implementiert, die in Knoten (z. B. Servern) installiert sind. Um ISL verwenden zu können, benötigte jedes beteiligte Gerät eine ISL-Konfiguration. Ein Router mit mindestens einem ISL-Port wird verwendet, um die Kommunikation zwischen VLANs zu ermöglichen.

Ein Nicht-ISL-Gerät, das ISL-gekapselte Ethernet-Frames empfängt, kann diese als Protokollfehler interpretieren, wenn die Gesamtgröße von Header und Daten-Frame aufgrund der ISL-Kapselung die MTU-Größe (Maximum Transmission Unit) überschreitet.

FDDI 802.10

802.10 ist eine proprietäre Methode von Cisco zum Transport von VLAN-Daten innerhalb eines standardkonformen IEEE 802.10-Frames (FDDI, Fiber Distributed Data Interface). Die VLAN-Daten werden in den SAID-Anteil (Security Association Identifier, Sicherheits-ID) des 802.10-Frames geschrieben. Diese Methode wird verwendet, um VLAN-Daten über FDDI-Backbones zu übertragen.

LANE

LANE (LAN Emulation) ist ein durch das ATM-Forum definierter Standard, der zwei Stationen, die über ATM (Asynchronous Transfer Mode) angebunden sind, die gleichen Möglichkeiten wie in herkömmlichen LANs (z. B. Ethernet oder Token Ring) bietet. Wie der Name bereits sagt, besteht die Funktion des LANE-Protokolls in der Emulation eines LAN, die auf ein ATM-Netzwerk aufsetzt. Im Speziellen beschreibt das LANE-Protokoll Methoden zur Emulation von IEEE 802.3-Ethernet- oder 802.5-Token Ring-LANs.

Das LANE-Protokoll definiert eine Dienstschnittstelle für Protokolle übergeordneter Schichten (genauer: der Vermittlungsschicht), die mit der vorhandener LANs identisch ist. Daten, die über das ATM-Netzwerk gesendet werden, werden im passenden LAN-MAC-Format gekapselt, d. h., das LANE-Protokoll sorgt dafür, dass sich ein ATM-Netzwerk so darstellt und auch verhält wie ein Ethernet- oder Token Ring-LAN. Abbildung 15 zeigt ein Beispiel für ein LANE-Netzwerk.

Abbildung 15: LANE-Netzwerk

Abbildung 15: LANE-Netzwerk

Die Tabelle fasst die Methoden für Frame-Tagging und Kapselung zusammen.

Frame-Tagging- und Kapselungsmethoden

VLAN-Konfiguration

Ursprünglich glaubten die Netzwerkadministratoren, dass VLANs ihre Arbeit erleichtern und Router in Zukunft nicht mehr benötigt würden. Zu ihrem Leidwesen aber war dies eine falsche Annahme: VLANs beseitigen nämlich keine Probleme in Schicht 3. Möglicherweise erleichtern sie den Administratoren die Lösung des einen oder anderen Schicht-3-Problems – z. B. die leichtere Erstellung von ACLs –, aber ohne Schicht-3-Routing geht es nach wie vor nicht.

Statische VLANs konfigurieren

Statische VLANs sind Ports an einem Switch, die einem VLAN durch eine VLAN-Managementanwendung oder durch direkte Konfiguration der Ports statisch zugewiesen sind. Diese Ports behalten ihre VLAN-Konfiguration so lange bei, bis Sie sie selbst ändern. Zwar müssen Änderungen bei statischen VLANs explizit vom Administrator vorgenommen werden, aber dafür sind sie sicher, leicht zu konfigurieren und ohne Aufwand zu überwachen. Statische VLANs sind die richtige Wahl für Netzwerke, für welche die folgenden Bedingungen zutreffen:

Änderungen müssen verfolgt und administriert werden.

Es ist eine robuste VLAN-Managementsoftware vorhanden, um die Ports zu konfigurieren.

Es ist nicht wünschenswert, zusätzlichen Aufwand zur Administration der MAC-Adressen von Endstationen und angepassten Filtertabellen zu betreiben.

Dynamische VLANs hingegen haben keine Ports, die einem bestimmten VLAN zugewiesen sind. Hier basiert die VLAN-Zuweisung vielmehr auf der MAC-Adressierung, der logischen Adressierung oder dem Protokolltyp.

Wichtige Regeln

Beachten Sie die folgenden Grundsätze, wenn Sie statische VLANs an Cisco 29xx-Switches konfigurieren:

Die maximale Anzahl der VLANs ist Switch-spezifisch und durch die Anzahl der Ports am Switch beschränkt.

VLAN1 ist das werksseitig für alle Ports vorkonfigurierte VLAN.

VLAN1 ist das native VLAN.

CDP- und VTP-Advertisements (Cisco Discovery Protocol, VLAN Trunking Protocol) werden über VLAN1 gesendet.

An allen Switch-Trunks, die am VLAN teilnehmen, muss das gleiche Trunk-Protokoll (z. B. 802.1Q oder ISL) konfiguriert sein.

Die Befehle zur Konfiguration von VLANs variieren je nach Switch-Modell.

Die Management-IP-Adresse eines Catalyst 29xx-Switchs befindet sich standardmäßig in der VLAN1-Broadcast-Domäne.

Der Switch muss im VTP-Servermodus betrieben werden, damit man VLANs erstellen, hinzufügen oder löschen kann.

Die Erstellung eines statischen VLAN an einem Switch ist eine einfache und unkomplizierte Angelegenheit. Wenn es sich um einen Switch mit nativer IOS-Kommandozeile handelt, wechseln Sie mit Hilfe des Befehls vlan database aus dem privilegierten in den VLAN-Konfigurationsmodus. Die zur Konfiguration notwendigen Schritte sind die folgenden:

Code

Switch#vlan database
Switch(vlan)vlan vlan_nummer [vlan_name]
Switch(vlan)exit

Bei Bedarf kann auch ein Name für das VLAN konfiguriert werden. Nach Bestätigen des Befehls exit ist das VLAN auf dem Switch vorhanden.

Weitere Konfigurationsschritte

Der nächste Schritt besteht nun darin, das VLAN einer oder mehreren Schnittstellen zuzuweisen: 

Switch(config)#interface fastethernet 0/3

Beim Catalyst 2900-Switch sieht das für VLAN2 so aus: 

Switch(config-if)#switchport access vlan 2

Und beim Catalyst 1900-Switch so: 

(config-if)#vlan-membership static 2

Sie können die Konfiguration mit Hilfe des Befehls show running-configuration wie in folgendem Listing gezeigt überprüfen.

Ausgabe des Befehls show running-configuration

Switch#show running-config
Hostname Switch
!
ip subnet-zero
!
interface FastEthernet0/1
!
interface FastEthernet0/2
!
interface FastEthernet0/3
switchport access vlan 2
--- ausgabe weggelassen ---

VLAN-Konfiguration überprüfen

Eine empfehlenswerte Vorgehensweise besteht darin, die Konfiguration des VLAN mit Hilfe der Befehle show vlan (siehe Listing), show vlan brief oder show vlan id kennung zu überprüfen.

Ausgabe des Befehls show vlan

Switch#show vlan
Virtual LAN ID: 300 (IEEE 802.10 Encapsulation)
vLAN Trunk Interface: FDDI 1/1.10
Protocols Configured: Address: Received: Transmitted:
IP 31.108.1.1 642 645
Virtual LAN ID: 400 (ISL Encapsulation)
vLAN Trunk Interface: FastEthernet 2/1.20
Protocols Configured: Address: Received:Transmitted:
IP 171.69.2.2 123456 654321
Bridge Group 50 5190 8234
Virtual LAN ID:500 (ISL Encapsulation)
vLAN Trunk Interface: FastEthernet 2/1.30
Protocols Configured: Address: Received:Transmitted:
IPX 1000 987654 456789
Virtual LAN ID:600 (ISL Encapsulation)
vLAN Trunk Interface: FastEthernet 2/1.30
Protocols Configured: Address: Received:Transmitted:
IP 198.92.3.3 8114 4508
IPX 1001 2 3
Bridge Group 50 8234 5190

Für alle VLANs treffen die folgenden Aussagen zu:

Ein erstelltes VLAN bleibt so lange unbenutzt, bis es einem Switch-Port zugewiesen wird.

Standardmäßig befinden sich alle Ethernet-Ports in VLAN1.

Geben Sie zwischen den Portnummern keine Leerzeichen ein. Andernfalls gibt der Switch eine Fehlermeldung aus, weil das Leerzeichen zur Abtrennung eines anderen Argumentes vorgesehen ist, das nicht Bestandteil dieses Befehls ist.

VLAN-Konfiguration speichern

Sie können die VLAN-Konfigurationsdatei auf einer Diskette speichern und sie dann auf andere Computer übertragen. Außerdem ist es immer nützlich, eine Kopie der VLAN-Konfiguration als Textdatei zu Sicherungs- und Überwachungszwecken aufzuheben. Enthält die Konfigurationsdatei unnötige Zeichen, dann löschen Sie diese vor dem Speichern.

Gehen Sie wie folgt vor, um die VLAN-Konfiguration zu kopieren:

1.

Wechseln Sie an der Switch-Konsole in den privilegierten Modus.

2.

Wählen Sie im Menü ÜBERTRAGUNG von HyperTerminal den Eintrag TEXT AUF-ZEICHNEN.

3.

Wählen Sie, wo die Konfiguration gespeichert werden soll (z. B. auf dem Desktop).

4.

Geben Sie als Dateiname VLANconfig.txt ein.

5.

Klicken Sie auf STARTEN.

6.

Geben Sie am Switch erst den Befehl terminal length 0 und dann den Befehl show run ei

7.

Wenn die Anzeige der Konfigurationsdatei endet, kehren Sie zurück zu HyperTermi-nal. Wählen Sie erneut TEXT AUFZEICHNEN und dann BEENDEN, um die Datei zu spei-chern und zu schließen.

8.

Geben Sie am Switch den Befehl terminal length 24, und löschen Sie ggf. überflüssige Zeichen und Zeilen in der Datei VLANconfig.txt auf dem PC.

VLAN-Konfiguration löschen

Um ein VLAN von einem Switch mit set-Kommandos (CatOS) zu entfernen, geben Sie den Befehl clear vlan vlan_nummer ein (siehe Listing). In diesem Listing wird VLAN 2 durch Eingabe des Befehls clear vlan 2 aus der Domäne entfernt. Es ist wichtig festzuhalten, dass Sie diesen Befehl an einem Switch im VTP-Servermodus absetzen müssen; VLANs können nicht von einen Switch im VTP-Clientmodus gelöscht werden. Im VTP-Transparentmodus können Sie zwar ein VLAN löschen, aber das VLAN wird dann nur am betreffenden Catalyst-Switch gelöscht, nicht jedoch in der gesamten VTP-Domäne. Alle Konfigurations- und Löschvorgänge von VLANs haben an einem transparenten Switch nur lokale Bedeutung.

Ausgabe des Befehls clear vlan

Console>(enable) clear vlan 2
This command will deactivate all ports on vlan2
In the entire management domain
Do you want to continue (y/n) [n]?y
Vlan 2 deleted

Das Entfernen eines VLAN von einem Switch unter der nativen Cisco IOS Software verläuft genau so wie das Entfernen eines Befehls von einem Router. Weiter oben haben Sie das VLAN2 an der Schnittstelle FastEthernet0/3 mit Hilfe des folgenden Befehls erstellt: 

Switch(config-if)#switchport access vlan 2

Um dieses VLAN wieder von der Schnittstelle zu entfernen, verwenden Sie die no-Form des Befehls bei aktiver Schnittstelle Fa 0/3: 

Switch(config-if)#no switchport access vlan 2

Wenn Sie ein VLAN löschen, werden alle Ports dieses VLANs inaktiv. Diese Ports bleiben dem gelöschten VLAN zugeordnet und inaktiv, bis sie einem neuen VLAN zugewiesen werden.

Fehlersuche und -behebung bei VLANs

Die Fehlkonfiguration eines VLAN ist einer der häufigsten Fehler in geswitchten Netzwerken. In diesem Abschnitt wollen wir die häufigsten Konfigurationsfehler beschreiben und Lösungen für die Problembehebung in Ihrem geswitchten Netzwerk vorschlagen.

Die Tabelle zeigt VLAN-Probleme der oberen Ebene, die bei einem Router oder Switch auftreten können. Die Angaben zu den Symptomen und zu den möglichen Ursachen und Abhilfemaßnahmen können bei der Ermittlung und Lösung von Problemen sehr hilfreich sein.

VLAN-Probleme

Wenn Sie vor einem Datendurchsatzproblem stehen, überprüfen Sie, welche Art von Fehler vorliegt. Ursache könnte etwa eine fehlerhafte Netzwerkkarte sein. Kombinationen aus FCS-Fehlern (Frame Check Sequence, Rahmenprüfsequenz), Alignment-Fehlern und Runts weisen in der Regel auf eine fehlende Duplexübereinstimmung hin. Hier ist der Schuldige meist die Autonegotiation (automatische Aushandlung) zwischen den Geräten oder nicht zueinander passende Einstellungen der Geräte an den beiden Enden der Verbindung. Beachten Sie die folgenden Fragen:

Liegt das Problem auf der lokalen oder der entfernten Seite der Verbindung vor? Bedenken Sie: An einer Verbindung ist immer eine Anzahl von Switch-Ports beteiligt.

Welchen Pfad nimmt das Paket? Wird es über Trunks oder Nicht-Trunks an andere Switches übertragen?

Wenn Sie feststellen, dass die Anzahl der Kollisionen in der Ausgabe des Befehls show interface rapide zunimmt, kann die Problemursache eine überlastete Leitung sein. Der Legende nach beseitigt geswitchtes Ethernet Kollisionen; die Wahrheit aber ist, dass Switches zwar die Anzahl der Kollisionen minimiert, dass aber im Halbduplexmodus immer noch Kollisionen auftreten können, da zwei Geräte durchaus zur gleichen Zeit einen Kommunikationsversuch starten können.

Beispiel zur Fehlersuche

Ein Beispiel hierfür ist ein Newsserver, auf den gleichzeitig mehrere Clients zuzugreifen versuchen. Der Datenverkehr passiert Router und Switch und landet beim direkt angeschlossenen Server. Gleichzeitig versucht der Server, seinerseits mit den Clients zu kommunizieren. Während also der Server die Anfrage eines Clients beantwortet, schickt ein anderer Client eine Anfrage – eine Kollision ist also durchaus möglich. Die einzige Möglichkeit, Kollisionen definitiv zu vermeiden, besteht in der Aktivierung des Vollduplexmodus. Abbildung 16 zeigt den Vorgang der Fehlersuche und -beseitigung in VLANs.

Abbildung 16: Fehlersuche und -beseitigung in VLANs

Abbildung 16: Fehlersuche und -beseitigung in VLANs

Wir wollen hier ein Beispiel zur Fehlersuche behandeln. Gehen wir also davon aus, dass ein bestimmtes Gerät nicht mit einem anderen kommunizieren kann. Hier einige Lösungsvorschläge zur Fehlersuche:

Stellen Sie mit Hilfe des Befehls show interface sicher, dass IP-Adresse, Subnetzmaske und VLAN-Zugehörigkeit der Switch-Ports korrekt sind. Um Konflikte zu vermeiden, müssen Sie gewährleisten, dass die Ports verschiedener VLANs mit IP-Adressen und Subnetzmasken in unterschiedlichen Subnetzen konfiguriert sind.

Befindet sich der Host im gleichen Subnetz wie der Zielhost, dann vergewissern Sie sich mit Hilfe der Befehle show interface und show port, dass die lokale Switch-Schnittstelle und der Switch-Port, an den der Zielhost angeschlossen ist, dem gleichen VLAN zugewiesen sind.

Befindet sich der Zielhost in einem anderen Subnetz, dann stellen Sie mit Hilfe des Befehls ipconfig /all an den PCs sicher, dass das Gateway mit der Adresse des jeweiligen Routers im gleichen Subnetz konfiguriert ist.

Prüfen Sie den Spanning-Tree-Status des Ports mit Hilfe des Befehls show spantree (Catalyst 1900) bzw. show spanning-tree vlan (Catalyst 2950). Befindet sich der Port in den Zuständen Listening oder Learning, dann warten Sie, bis er in den Status Forwarding wechselt, und versuchen Sie dann erneut, eine Verbindung mit dem Host herzustellen.

Vergewissern Sie sich mit Hilfe des Befehls show port, dass die Geschwindigkeits- und Duplexeinstellungen des Hosts und der entsprechenden Switch-Ports korrekt sind.

Fehlersuche bei Endstationen

Wenn das angeschlossene Gerät eine Endstation ist:

Aktivieren Sie mit Hilfe des Befehls set spantree portfast enable die portfast-Option am Port (nicht bei Switches der 2900-Reihe). Diese Methode ver-setzt den Port direkt in den Status Forwarding, d. h., die Modi Listening und Learning werden umgangen.

Deaktivieren Sie mit dem Befehl set trunk 2/1 off die Möglichkeit, an diesem Port Trunking ohne Ihre Erlaubnis zu nutzen (Sicherheitsrisiko).

Deaktivieren Sie mit dem Befehl set port channel 2/1-2 off die Kanalbündelung (engl. Etherchannel) mit diesem Port. Sie müssen zu diesem Befehl einen gültigen Portbereich angeben, er kann nicht nur für einen einzigen Port abgesetzt werden.

Vergewissern Sie sich mit Hilfe des Befehls show cam dynamic, dass der Switch die MAC-Adresse vom Host erlernt.

Zusammenfassung

In diesem Beitrag haben Sie gelernt, dass die VLAN-Implementierung die folgenden Vorteile bietet:

einfacher Neuanschluss, Umzug und Änderung von Endgeräten

mehr administrative Kontrolle durch Verwendung eines Schicht-3-Routers zwischen VLANs

verringerter LAN-Bandbreitenbedarf im Vergleich zu einer einzigen Broadcast-Domäne

Verringerung der Prozessorbelastung der Endgeräte durch geringere Broadcast-Weiterleitung

Zur Fehlersuche und -behebung bei VLANs haben Sie Folgendes kennen gelernt:

einen spezifischen Ansatz zur Fehlersuche in VLAN-basierten Netzwerken

einige der häufigsten Probleme bei der Konfiguration von VLANs und deren Behebung

Wege zur Vermeidung von Broadcast-Stürmen und von Schleifen im Netzwerk

Befehle zur Fehlersuche und deren Verwendung

In diesem ersten Teil unserer zweiteiligen Serie haben Sie einführende Grundlagen zu VLANs gelesen. Im zweiten Teil erfahren Sie, wie Sie VLANs konkret konfigurieren und typische Fehler beseitigen.

© www.tecCHANNEL.de


**
In diesem Beitrag
Grundlagen zu Routing und Subnetzbildung, Teil 1
Grundlagen zu Routing und Subnetzbildung, Teil 2
Grundlagen zu Routing und Subnetzbildung, Teil 3
Einführung in VLANs, Teil 1
Einführung in VLANs, Teil 2
Konfiguration und Betrieb eines Nameservers, Teil 1
Konfiguration und Betrieb eines Nameservers, Teil 2
Konfiguration und Betrieb eines Nameservers, Teil 3
LDAP, Teil 1
LDAP, Teil 2
LDAP, Teil 3
Katastrophenszenarien bei Active Directory - Teil 1
Katastrophenszenarien bei Active Directory - Teil 2
Katastrophenszenarien bei Active Directory - Teil 3
Katastrophenszenarien bei Active Directory - Teil 4
Katastrophenszenarien bei Active Directory - Teil 5
Zugriffskontrolle bei Samba und *nix - Teil 1
Zugriffskontrolle bei Samba und *nix - Teil 2
**