VLAN Fehlersuche mit LinkIQ

Jeder in der ICT-Branche hat schon einmal von einem lokalen Netzwerk (LAN) gehört und weiß wahrscheinlich, dass es sich dabei um ein Netzwerk handelt, das aus einer Vielzahl von Geräten besteht – Computer, Server, Wi-Fi-Zugangspunkte, VoIP-Telefone, Überwachungskameras usw. – die alle an einem physischen Ort miteinander verbunden sind.

Da sie technisch gesehen nicht physisch existieren, sind virtuelle LANs (VLANs), die sich im Wesentlichen wie physisch getrennte LANs verhalten und eine Trennung des Datenverkehrs auf Basis der Funktion ermöglichen, etwas rätselhafter – vor allem für Installateure und Techniker, die es gewohnt sind, nur mit physischer Infrastruktur zu arbeiten.

Lassen Sie uns einen genaueren Blick darauf werfen, warum es VLANs gibt und wie sie sich auf die Fehlersuche in einer Kabelanlage auswirken können.

Was ist der Zweck von VLANs und warum brauchen wir sie?

Jede typische LAN-Umgebung umfasst eine Vielzahl von Geräten und Computersystemen, die alle ihren eigenen Zweck erfüllen. Einige Geräte können anwendungsspezifisch sein:

• Stimme
• Daten
• Sicherheit
• Zugangskontrolle
• Beleuchtung
• Gebäudeautomation usw.

während andere LAN-Geräte funktionsspezifisch sein können:

• Buchhaltung
• Vertrieb
• Maschinenbau
• Personalwesen
• Gäste usw.

Alle Geräte und Systeme, die mit einem LAN verbunden sind, können sich überall innerhalb einer Einrichtung befinden, aber das bedeutet nicht, dass sie alle miteinander kommunizieren können und die gleiche Nutzung und Berechtigung haben sollten.

Wenn alle Geräte in einem LAN die Möglichkeit haben, miteinander zu kommunizieren, den Datenverkehr der anderen zu sehen und auf dieselben Systeme zuzugreifen, entstehen potenzielle interne Sicherheitsprobleme (stellen Sie sich vor, jeder im Vertrieb hätte Zugriff auf die Buchhaltungs- oder Personalverwaltungssysteme). Es bedeutet auch, dass sich alle Geräte in der gleichen Broadcast-Domäne befinden. Das bedeutet, dass jedes Gerät innerhalb der Domäne Broadcast-Verkehr empfängt, was eine inhärente Fähigkeit aller LANs zur Werbung und zum Auffinden von Ressourcen ist. Wenn sich alle Geräte in derselben Broadcast-Domäne befinden, kann dies zu einer Überlastung des Netzwerks und einer verminderten Leistung führen und das Netzwerk anfällig für verteilte Denial-of-Service-Angriffe und andere Cybersicherheitsverletzungen machen.

Offensichtlich ist es sinnvoll, verschiedene LAN-Geräte und -Systeme in kleinere Netzwerke aufzuteilen, um diese Probleme zu vermeiden und gleichzeitig ein besseres Netzwerkmanagement in einer digitalen Welt zu ermöglichen, in der ständig neue Systeme und Anwendungen online gehen. Zwar kann die Trennung physisch erreicht werden, indem ein LAN in kleinere physische Subnetze unterteilt wird, doch erfordert dies mehrere Switches, Router, Access Points und Infrastruktur, was höchst ineffizient, unhandlich und kostspielig ist.

Der Vorteil liegt auf der Hand. Ist es wirklich sinnvoll, separate Switches in einem Telekommunikationsraum oder mehrere Wi-Fi-Zugangspunkte für jedes System und jede Funktion innerhalb eines bestimmten Raums zu haben? Und was tun Sie, wenn ein Gerät oder System in einen ganz neuen Raum umziehen muss? Aus diesem Grund brauchen wir VLANs.

Zusammenfassend lässt sich sagen, dass der Zweck von VLANs und der Grund, warum wir sie brauchen, darin besteht, eine Segmentierung für die Sicherheit, die Netzwerkverwaltung und die Skalierbarkeit bereitzustellen und gleichzeitig den Broadcast-Verkehr und die Überlastung des Netzwerks erheblich zu reduzieren.

Wie funktionieren VLANs?

VLANs werden typischerweise auf der Datenverbindungsebene 2 des OSI-Modells eingerichtet, können aber auch auf der Netzwerkebene 3 für das Inter-VLAN-Routing (Ermöglichen des Datenverkehrs von einem VLAN zum anderen) aktiviert werden. Die meisten Switches sind heute VLAN-fähig, und VLANs werden über Switch-Software konfiguriert, die es Netzwerkmanagern ermöglicht, bestimmte Switch-Ports mithilfe von VLAN-Tags bestimmten VLANs zuzuweisen. Die Anzahl der VLANs, die auf einem bestimmten Switch eingerichtet werden können, hängt vom Switch ab, aber basierend auf dem IEEE 802.1Q-Standard, der VLAN-Tagging für Ethernet-Frames definiert, kann die Anzahl der Layer-2 VLANs im Netzwerk nicht 4.096 überschreiten. Wir werden hier nicht ins Detail gehen, sollten aber darauf hinweisen, dass Switch-Ports als Access-Ports, die zu einem einzigen VLAN gehören, oder als Trunk-Ports, die mehrere VLANs unterstützen, konfiguriert werden können.

VLANs können auf der Basis von Schnittstellen, MAC-Adressen, IP-Adressen, Protokollen oder einer Kombination davon zugewiesen werden. Dadurch kann ein Unternehmen sie so konfigurieren, wie es für seine spezifischen Anforderungen am besten geeignet ist, z. B. je nach Benutzer oder Geschäftsfunktion. Dies wiederum erleichtert das Netzwerkmanagement und die Flexibilität, da sich Geräte und Systeme physisch überall befinden und innerhalb einer Einrichtung bewegt werden können, während sie im selben VLAN bleiben. Die Sicherheit wird verbessert, da nur Geräte und Systeme im gleichen VLAN miteinander kommunizieren können. Der Verkehrsfluss wird verbessert, da jedes VLAN eine eigene Broadcast-Domäne ist – Broadcasts, die von einem Gerät in einer Domäne gesendet werden, werden nicht an Geräte in einer anderen Domäne weitergeleitet. VLANs unterstützen auch die Skalierbarkeit: Wenn das Netzwerk wächst, wird durch das Erstellen weiterer VLANs die Anzahl der Domänen erhöht, aber die Größe der Domänen bleibt kleiner, um die Netzwerkleistung beizubehalten und Überlastungen zu vermeiden.

Zusammenfassend lässt sich sagen, dass VLANs funktionieren, indem bestimmte Switch-Ports einem VLAN zugewiesen werden, was bei VLAN-fähigen Switches über die Switch-Software konfiguriert wird.

Fehlersuche in VLANs

Wenn Probleme auftreten, ist die Fehlersuche in der Kabelanlage normalerweise der erste Schritt, da dort die meisten Probleme auftreten. Mangelnde Kontinuität oder schlechte Netzwerkleistung sind oft das Ergebnis von unsachgemäßer Terminierung, Schäden, minderwertigen Komponenten oder Netzwerk-Upgrades, die von der Kabelanlage nicht unterstützt werden. Diese Probleme lassen sich leicht durch Wiremap- und Qualifikationstests identifizieren. Wenn jedoch alles funktioniert, besteht die Möglichkeit, dass das Problem mit einer falschen VLAN-Zuweisung zu tun hat. Wenn ein Gerät oder System dem falschen VLAN zugewiesen ist, kann es keinen Datenverkehr an andere Geräte in diesem VLAN senden. Fehlkonfigurationen am Switch, z. B. wenn einem bestimmten VLAN kein Port zugeordnet ist, können ebenfalls dazu führen, dass das VLAN ausfällt.

Der beste Weg, um falsche VLAN-Zuweisungen zu verhindern, ist eine ordnungsgemäße Dokumentation, aber in einer dynamischen Umgebung mit vielen Umzügen, Hinzufügungen und Änderungen ist es durchaus möglich, dass ein Benutzer oder ein Gerät am falschen Switch-Port und damit im falschen VLAN landet. Leider lassen sich diese Probleme mit einem einfachen Kabeltester nicht beheben. Mit einem Kabel- und Netzwerktester wie dem neuen LinkIQ™ von Fluke Networks können Sie jedoch zusätzlich zu Wiremap-, Qualifizierungs- und PoE-Tests auch VLAN-Informationen überprüfen – und das alles in einem kostengünstigen Gerät.