BestPractice:: VLANs planen (Part I)

Kurzvorstellung

VLANs ermöglichen die Gruppierung von Netzwerk Devices nach logischer Funktion (z. B. ein VLAN für Drucker, Server, VoIP, Backup, Überwachungssysteme, Clients, Gäste)  oder nach physischem Standort (z. B. ein VLAN für jede einzelne Niederlassung, Etage, Abteilung,  Team) oder eine Kombination aus beidem.

Generelle Eigenschaften von VLANs sind:

  • es ermöglicht die Gruppierung von Netzwerk Devices
  • Organisation von Benutzern aus verschiedenen LAN-Segmenten
  • Verbesserung der Verkehrssteuerung
  • Verbesserung der Netzwerksicherheit
  • Broadcast-Verkehr im Switch wird reduziert und die Bandbreite etwas eingespart.

Bei der Konfiguration von VLANs musst du aber deine VLAN-Strategie gut planen:

Vorgehensweise

Ich habe mir – wie so oft – in den letzten 20 Jahren einige Standards bezüglich der Planung von VLANs  von vielen schlauen Köpfen abgeguckt, selbst ausgedacht, optimiert oder verbessert.

An dieser Stelle vielen Dank an alle Freunde, Trainer, Mentoren und natürlich auch Kollegen die mich bisher auf dieser Reise inspiriert und begleitet haben.

Aber natürlich ist immer Luft nach oben.

Planung der VLAN-ID (VID) und Subnetting

Ich konfiguriere in den meisten fällen immer statische VLANs. Hierbei achte ich immer darauf, dass ich mir grundsätzlich folgende logische Eselsbrücken baue :

bei IPv4: Das dritte Oktett (somit ab /16) der IPv4 Adresse ist auch immer gleichzeitig die VID

10.[X].[Y].[Z]

bei IPv6: Der vierte Block (/48) der IPv6 Adressen ist auch immer gleichzeitig die VID

2003:db8:[X]:[Y]::[Z]

Wobei jeweils [Y] die VID ist.

10.138.82.0/24 = VID 82
2001:db8:138:138::/64 = VID 138

somit sind in meinem Schema auch nur 255 VLANs möglich…

Zuwenig? Hand auf’s Herz – und ehrlich, welches Klein- und Mittelständische bzw.  auch Großunternehmen braucht mehr als 255 VLANs?

Ein VLAN Name sie zu knechten…

Vorsicht NAMEN sind mehr als nur Schall und Rauch, über die Jahre habe ich verschiedene Überwachungssoftware sogenannte Monitoring Tools kennen und „hassen“ gelernt. Viele dieser Tools holen sich ihre Informationen über das SNMP Protokoll welches natürlich (logisch) nur die Informationen die du in deinen Netzwerk Device hinterlegt hast auslesen kann.

„Also, Immer ordentlich Arbeiten!“

Die Folgen bei einer Missachtung dieser simplen Regel sind z.B. ungenaue Reports. Ich hatte zum Beispiel mal einen Report, über die Traffic-Statistik vom VLAN 25 (Name: Backup-Netz) vom VLAN 25 (Name: Netz-Backup) vom VLAN 25 (Name: VLAN25) sowie eben diesen VLAN 25 (Name: Backup).

Im Report standen somit vier Verschiedene Summarys, da das Tool seine Sortierung der Statistik anhand des VLAN Namen ausgewertet hat. Verdammt krasser Sch….

Und um dem ganzen noch die Krone aufzusetzen war im Bericht noch ein VLAN 17 (Name: Backup-Netz) … vermutlich nur ein Schreibfehler.

Klar, kann man jetzt behaupten, dass die Reporting-Software die Berichte anhand des verwendeten VLAN Namen schlecht erstellt. Aber wieso auf die dumme Software schimpfen, wenn wir uns einfach an Standards gewöhnen würden. Sieht zudem auch besser aus.

Meine persönliche Standard-Namenskonvention lautet:

<VID Dreistellig mit führenden Nullen>-<EINDEUTIGER-NAME-DES-VLANS-IN-GROSSBUCHSTABEN>

Im Klartext z.B. VLAN 138 VLAN für das Management:

138-MANAGEMENT

Würde sich jeder an diesen simplen Kram ist halten würde man sehr schnell merken wie die Ordnung von alleine kommt.

Fortsetzung folgt….

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.