VLAN-Tag

VLAN-Tagging ist ein Verfahren, das in Computernetzwerken verwendet wird, um Datenpakete mit einem speziellen Marker, bekannt als VLAN-Tag, zu versehen.

Dies ermöglicht es, verschiedene virtuelle Netzwerke (VLANs) auf derselben physischen Netzwerkinfrastruktur zu betreiben. Vereinfacht gesagt erlaubt es VLAN-Tagging, mehrere separate Netzwerke zu erstellen und zu verwalten, ohne dafür zusätzliche Hardware zu benötigen.

Unterschied zwischen getaggten und ungetaggten Frames

In einem mit VLANs konfigurierten Netzwerk gibt es zwei Arten von Datenpaketen oder Frames: getaggte und ungetaggte.

  • Getaggte Frames enthalten Informationen über das VLAN, zu dem sie gehören. An ihrem Ethernet-Frame wird ein zusätzliches Feld, das VLAN-Tag, angefügt. Dies teilt Netzwerkgeräten wie Switches und Routern mit, wie sie das Paket behandeln sollen.

  • Untaggete Frames haben kein VLAN-Tag. Sie werden in der Regel in einem Standard-VLAN behandelt, das oft als "native VLAN" bezeichnet wird. Untaggete Frames sind typisch für Endgeräte in einem Netzwerk, die nicht VLAN-tagging-fähig sind, wie etwa Computer oder Drucker.

Ein einfaches Beispiel könnte so aussehen: Stell dir vor, dein Büronetzwerk hat zwei Abteilungen, Vertrieb und Entwicklung, die jeweils in separaten VLANs konfiguriert sind. Die Datenpakete des Vertriebs tragen ein Tag mit der Kennung VLAN 10, während die der Entwicklung VLAN 20 zugewiesen sind. Ein Switch im Netzwerk liest diese Tags, um sicherzustellen, dass Daten nur innerhalb der jeweiligen Abteilung weitergeleitet werden.

Überblick über das IEEE 802.1Q Standardprotokoll

Das IEEE 802.1Q Standardprotokoll ist die am weitesten verbreitete Methode für VLAN-Tagging und definiert, wie Frames für VLANs markiert werden. Es erlaubt bis zu 4096 unterschiedliche VLAN-IDs, was bedeutet, dass sogar sehr große oder komplexe Netzwerke effektiv segmentiert werden können. Ein wichtiger Aspekt des 802.1Q-Standards ist der Q-Tag, der in den Ethernet-Frame eingefügt wird und die VLAN-Zugehörigkeit des Pakets identifiziert.

Der Aufbau eines 802.1Q getaggten Frames sieht folgendermaßen aus:

  • 2 Byte für den Tag Protocol Identifier (TPID), der den Frame als VLAN-tagged kennzeichnet (typischerweise 0x8100).
  • 2 Byte für den Tag Control Information (TCI), die die eigentliche VLAN-ID (VID), Prioritätsinformationen (PCP) und den Canonical Format Indicator (CFI) enthält.

Diese Struktur ermöglicht eine flexible Netzwerkkonfiguration und verbessert die Sicherheit, da Datenpakete nur zwischen Mitgliedern desselben VLANs übermittelt werden können, es sei denn, spezielle Routing-Regeln werden festgelegt.

Aufbau eines Ethernet-Frames mit VLAN-Tag (Q-Tag)

In einem Netzwerk ist die effiziente Übertragung von Daten essenziell. Hier kommt das Ethernet-Frame ins Spiel, eine Struktur, die es ermöglicht, Datenpakete über ein Netzwerk zu transportieren. Wenn wir über Virtual Local Area Networks (VLANs) und insbesondere VLAN-Tagging bzw. Q-Tag (nach dem IEEE 802.1Q Standard) sprechen, spielen diese Frames eine zentrale Rolle. Aber was genau ist ein Ethernet-Frame mit VLAN-Tag und wie ist es aufgebaut?

Ein Ethernet-Frame mit VLAN-Tag beinhaltet zusätzlich zu den Standardinformationen ein spezielles Feld (Tag), das die Zuordnung des Frames zu einem bestimmten VLAN ermöglicht. Dieses VLAN-Tag besteht aus 4 Bytes (32 Bit) und wird direkt nach den Quell- und Ziel-MAC-Adressen eingefügt, was zu einer geringfügigen Vergrößerung des Frames führt. Der Aufbau sieht typischerweise so aus:

  1. Präambel und Start Frame Delimiter (SFD)
  2. Ziel-MAC-Adresse
  3. Quell-MAC-Adresse
  4. VLAN-Tag (wenn vorhanden)
  5. Typ/Länge
  6. Nutzdaten
  7. Frame Check Sequence (FCS)

Bald verfügbar: Prüfungsvorbereitung für AP Teil 1

Bestelle jetzt vor und sichere dir einen Rabatt von 36 Prozent.

Mehr erfahren

Wichtige Felder im VLAN-Tag: TPID und VID

Innerhalb des VLAN-Tags unterscheiden wir hauptsächlich zwei relevante Felder: TPID (Tag Protocol Identifier) und VID (VLAN Identifier).

  • TPID: Dieses Feld ist 16 Bit lang und kennzeichnet ein Frame als VLAN-Tagged Frame. Es zeigt an, dass das nachfolgende Feld Informationen zum VLAN trägt. Der standardmäßige Wert ist 0x8100.

  • VID: Die VLAN-ID (VLAN Identifier) nutzt 12 der 32 Bits und ermöglicht es, das Frame einem von bis zu 4096 möglichen VLANs zuzuordnen. Dieses Feld gibt direkt an, zu welchem VLAN das betreffende Frame gehört. Wichtig ist zu wissen, dass die IDs 0 und 4095 reserviert sind und für spezielle Zwecke genutzt werden.

Canonical Format Indicator (CFI) und Priority Code Point (PCP)

Neben TPID und VID existieren noch weitere bedeutende Teilaspekte eines VLAN-Tags:

  • CFI (Canonical Format Indicator): Ein 1 Bit langes Feld, das früher dazu diente, das Adressformat anzugeben. Für fast alle Anwendungen im Ethernet-Kontext wird dieses Bit auf 0 gesetzt.

  • PCP (Priority Code Point): Die wichtigste Funktion dieses 3-Bit langen Feldes ist die Angabe von Prioritätsstufen für den Frame. Es ermöglicht die Implementierung von Quality of Service (QoS) innerhalb des Netzwerks, indem z. B. VoIP-Verkehr priorisiert übertragen wird.

Einrichtung und Verwaltung von VLANs auf Switches

Das Einrichten und Verwalten von VLANs auf deinem Switch ermöglicht es dir, deine Netzwerkressourcen effizient zu segmentieren und zu managen. Grundlegend unterscheidet man zwischen zwei Hauptmethoden der VLAN-Zuweisung auf Switches: statisch und dynamisch.

Bei der statischen Zuweisung wird jedem Port manuell ein VLAN zugewiesen. Der Administrator entscheidet, welcher Port zu welchem VLAN gehört, und konfiguriert den Switch entsprechend. Diese Methode bietet Kontrolle und Sicherheit, da nur autorisierte Geräte Verbindung zu spezifischen VLANs aufbauen können.

Dynamische Zuweisung hingegen verwendet Protokolle wie das VLAN Membership Policy Server Protokoll (VMPS), um Ports automatisch VLANs zuzuweisen, basierend auf Kriterien wie der MAC-Adresse des angeschlossenen Geräts. Dies bietet Flexibilität, insbesondere in Umgebungen, in denen Geräte häufig ihren Standort wechseln.

Bald verfügbar: Prüfungsvorbereitung für AP Teil 1

Bestelle jetzt vor und sichere dir einen Rabatt von 36 Prozent.

Mehr erfahren

Dynamische versus statische Zuweisung von VLAN-IDs

Die dynamische Zuweisung von VLAN-IDs bietet eine Reihe von Vorteilen gegenüber der statischen Methode, insbesondere in Bezug auf die Skalierbarkeit und Flexibilität des Netzwerkmanagements. Dennoch bringt die statische Zuweisung von VLAN-IDs ein höheres Maß an Sicherheit und Stabilität, da sie weniger anfällig für Fehlkonfigurationen ist. Die Entscheidung zwischen beiden Methoden hängt von den spezifischen Anforderungen und Ressourcen deines Netzwerks ab.

Trunking: Verbindung von VLANs über mehrere Switches

Das Trunking ermöglicht es dir, mehrere VLANs über einen einzigen Port oder Link zu transportieren. Stelle dir vor, du hast ein Kabel, das wie ein mehrspuriger Highway funktioniert, auf dem Daten von unterschiedlichen VLANs wie Autos in eigenen Spuren fahren können.

  • IEEE 802.1Q ist der am weitesten verbreitete Trunking-Standard und fügt Ethernet-Frames ein spezielles VLAN-Tag hinzu, welches die Zugehörigkeit zu einem VLAN zeigt. Switches und Endgeräte, die diesen Standard unterstützen, können daher VLAN-Tags erkennen und entsprechend behandeln.

  • Protokoll-basiertes Trunking, wie IEEE 802.1Q, benötigt auf beiden Seiten des Trunks eine entsprechende Konfiguration. Dabei musst du darauf achten, dass alle getaggten VLANs auf beiden Seiten des Trunks erlaubt sind. Dies gewährleistet, dass kein Datenverkehr zwischen den VLANs blockiert wird.

Beispielsweise, wenn du ein VoIP-Telefon (VLAN 10) und einen Computer (VLAN 20) an denselben Switch-Port anschließen möchtest, kannst du diesen Port als Trunk konfigurieren. Der Port akzeptiert und verarbeitet den Verkehr von beiden VLANs entspannt, solange das VoIP-Telefon und der Computer VLAN-Tags senden, die vom Switch interpretiert werden können.