VLANs & Trunks: Ordnung im Switch
Wie man ein physisches Netzwerk in viele logische Netzwerke unterteilt, um Sicherheit und Performance zu verbessern.
- >VLAN (Virtual LAN): Logische Trennung von Broadcast-Domänen auf Layer 2.
- >Trunk Port: Eine Leitung, die Traffic für mehrere VLANs transportiert (z.B. zwischen Switches).
- >802.1Q (Dot1Q): Das Standard-Protokoll für VLAN-Tagging auf Trunks.
Warum VLANs?
Ohne VLANs ist ein Switch eine einzige große Broadcast-Domäne. Wenn PC A schreit (Broadcast), hören es alle. Das ist unsicher und ineffizient.
Sicherheit
HR-Daten bleiben im HR-VLAN. Gäste kommen nicht ins interne Netz.
Performance
Weniger Broadcasts bedeuten mehr Bandbreite für echte Daten.
Organisation
Gruppierung nach Abteilung statt nach Kabelanschluss.
Access Ports vs. Trunk Ports
Ein Switch-Port kann in einem von zwei Modi arbeiten:
Access Port
Verbindet Endgeräte (PC, Drucker). Gehört zu genau einem VLAN. Der PC weiß nichts vom VLAN, er sendet normale Ethernet-Frames.
switchport mode access
switchport access vlan 10
Trunk Port
Verbindet Switches miteinander. Transportiert alle VLANs (außer man filtert sie). Nutzt 802.1Q Tags, um Pakete zu markieren.
switchport mode trunk
switchport trunk allowed vlan 10,20
802.1Q Tagging
Wie weiß Switch B, dass ein Paket von Switch A zu VLAN 10 gehört? Switch A klebt ein "Tag" an den Frame.
Das 4-Byte Tag wird in den Header eingefügt. Es enthält die VLAN-ID (1-4094).