Kurzvorstellung
VLANs ermöglichen die Gruppierung von Netzwerk Devices nach logischer Funktion (z. B. ein VLAN für Drucker, Server, VoIP, Backup, Überwachungssysteme, Clients, Gäste) oder nach physischem Standort (z. B. ein VLAN für jede einzelne Niederlassung, Etage, Abteilung, Team) oder eine Kombination aus beidem.
Generelle Eigenschaften von VLANs sind:
- es ermöglicht die Gruppierung von Netzwerk Devices
- Organisation von Benutzern aus verschiedenen LAN-Segmenten
- Verbesserung der Verkehrssteuerung
- Verbesserung der Netzwerksicherheit
- Broadcast-Verkehr im Switch wird reduziert und die Bandbreite etwas eingespart.
Bei der Konfiguration von VLANs musst du aber deine VLAN-Strategie gut planen:
Vorgehensweise
Ich habe mir – wie so oft – in den letzten 20 Jahren einige Standards bezüglich der Planung von VLANs von vielen schlauen Köpfen abgeguckt, selbst ausgedacht, optimiert oder verbessert.
An dieser Stelle vielen Dank an alle Freunde, Trainer, Mentoren und natürlich auch Kollegen die mich bisher auf dieser Reise inspiriert und begleitet haben.
Aber natürlich ist immer Luft nach oben.
Planung der VLAN-ID (VID) und Subnetting
Ich konfiguriere in den meisten fällen immer statische VLANs. Hierbei achte ich immer darauf, dass ich mir grundsätzlich folgende logische Eselsbrücken baue :
bei IPv4: Das dritte Oktett (somit ab /16) der IPv4 Adresse ist auch immer gleichzeitig die VID
10.[X].[Y].[Z]
bei IPv6: Der vierte Block (/48) der IPv6 Adressen ist auch immer gleichzeitig die VID
2003:db8:[X]:[Y]::[Z]
Wobei jeweils [Y] die VID ist.
10.138.82.0/24 = VID 82 2001:db8:138:138::/64 = VID 138
somit sind in meinem Schema auch nur 255 VLANs möglich…
Zuwenig? Hand auf’s Herz – und ehrlich, welches Klein- und Mittelständische bzw. auch Großunternehmen braucht mehr als 255 VLANs?
Ein VLAN Name sie zu knechten…
Vorsicht NAMEN sind mehr als nur Schall und Rauch, über die Jahre habe ich verschiedene Überwachungssoftware sogenannte Monitoring Tools kennen und “hassen” gelernt. Viele dieser Tools holen sich ihre Informationen über das SNMP Protokoll welches natürlich (logisch) nur die Informationen die du in deinen Netzwerk Device hinterlegt hast auslesen kann.
“Also, Immer ordentlich Arbeiten!”
Die Folgen bei einer Missachtung dieser simplen Regel sind z.B. ungenaue Reports. Ich hatte zum Beispiel mal einen Report, über die Traffic-Statistik vom VLAN 25 (Name: Backup-Netz) vom VLAN 25 (Name: Netz-Backup) vom VLAN 25 (Name: VLAN25) sowie eben diesen VLAN 25 (Name: Backup).
Im Report standen somit vier Verschiedene Summarys, da das Tool seine Sortierung der Statistik anhand des VLAN Namen ausgewertet hat. Verdammt krasser Sch….
Und um dem ganzen noch die Krone aufzusetzen war im Bericht noch ein VLAN 17 (Name: Backup-Netz) … vermutlich nur ein Schreibfehler.
Klar, kann man jetzt behaupten, dass die Reporting-Software die Berichte anhand des verwendeten VLAN Namen schlecht erstellt. Aber wieso auf die dumme Software schimpfen, wenn wir uns einfach an Standards gewöhnen würden. Sieht zudem auch besser aus.
Meine persönliche Standard-Namenskonvention lautet:
<VID Dreistellig mit führenden Nullen>-<EINDEUTIGER-NAME-DES-VLANS-IN-GROSSBUCHSTABEN>
Im Klartext z.B. VLAN 138 VLAN für das Management:
138-MANAGEMENT
Würde sich jeder an diesen simplen Kram ist halten würde man sehr schnell merken wie die Ordnung von alleine kommt.
Fortsetzung folgt….