LAN- und WLAN
Im normalen täglichen, privaten Gebrauch werden meist Heimnetzwerke aufgebaut. Diese bestehen aus einem Router, und einem LAN (Local Area Network) oder WLAN (Wireless Local Area Network). Meist sind diese in einem genau abgegrenzten physikalischen Gebiet, z.B. ein Haus oder Grundstück. Dabei bildet der zentrale Router den Mittelpunkt des Netzes und über ihn können die Funktionalitäten des Netzes festgelegt werden. So erfolgt hier u.a. die Administration und die Zuteilung der Berechtigungen im LAN.
Die entsprechenden Anschlussmöglichkeiten werden meist mittels Kabel oder WLAN-Zugangspunkten an den Router physikalisch angebunden.
VLAN
Im Grunde kann man sagen, das ein VPN ein logisches Teilnetzwerk eines physikalisch vorhandenen LAN’s ist.
Dabei verhalten sich VPN’s genauso, wie ein eigenes Netz. Nur in einem anderen Adressbereich und ggf. sogar über das Internet hinweg, wenn die entsprechenden Switche so konfiguriert werden.
Physikalisch gesehen, geht es dann von einem LAN übers Internet in ein anderes LAN.
Logisch gesehen, handelt es sich aber um ein einziges Netz.
Untagged VLAN
In dem obigen Beispiel hat ein Switch mit 24 Ports die folgende Belegung:
Port 1-8: Können nur mit den eigenen Ports kommunizieren
Port 9-16: Können nur mit den eigenen Ports kommunizieren (VLAN 10)
Port 17-24: Können nur mit den eigenen Ports kommunizieren (VLAN 20)
Wenn also in jeden Port physikalisch ein Gerät eingesteckt wird, haben die Geräte untereinander die obigen Einschränkungen. So das nur Verbindungen in der eigenen Gruppe untereinander möglich sind.
Vereinfacht kann man also sagen, oben haben wir drei Untagged VLAN’s an einem physikalischen Switch.
Untagged = quasi direkt physikalisch angeschlossen
Im nächsten Beispiel erweitern wir das obige Beispiel mit der Möglichkeit, das die Trunk-Ports einen Zugang ins Internet bekommen sollen und keine Verbindung zu VLAN 10 und VLAN 20 herstellen können.
Um das einfach zu realisieren werden nun die Ports 1-8 im Switch auf „fest verbunden“ gesetzt und die Verbindung zu den anderen physikalischen Ports unterbunden.
Anmerkung: Auch wenn es eigentlich kein richtiges VLAN ist, wird die erste Verbindung im Switch mit der VLAN Group ID 1 gekennzeichnet.
Auszüge aus der Darstellung der Benutzeroberfläche eines Switches
Untagged und Tagged VLAN
Nun erweitern wir die Konfiguration mit dem VLAN 10. Das soll die Möglichkeit haben untereinander und über die Trunk-Ports in ein anderes LAN übertragen werden.
Eine Verbindung ins VLAN 20 soll nicht möglich sein.
a) Wie oben, müssen die direkten physikalisch angeschlossenen Ports (9-16) auf Untagged konfiguriert werden.
b) Da aber die VLAN10 Datenpakete auch über die Trunk-Ports übertragen werden sollen, diese Ports aber nicht physikalisch an VLAN 10 angebunden sind, werden die Datenpakete gekennzeichnet (getagged) und „nur logisch“ über die physikalischen Ports 1-8 übertragen.
c) Alle anderen Ports müssen auf „Forbidden“ konfiguriert werden.
Tagged = logisch, virtuell angeschlossen
Auszüge aus der Darstellung der Benutzeroberfläche eines Switches
Nun wird noch die Anforderung realisiert, das VLAN20 untereinander und mit dem Internet kommunizieren kann. VLAN 10 darf nicht erreicht werden.
Im nächsten Schritt wird die Konfiguration um folgende Forderungen erweitert:
a) Wie oben, müssen die direkten physikalisch angeschlossenen Ports (17-24) auf Untagged konfiguriert werden.
b) Da aber die VLAN20 Datenpakete auch über die Trunk-Ports übertragen werden sollen, diese Ports aber nicht physikalisch an VLAN 20 angebunden sind, werden die Datenpakete gekennzeichnet (getagged) und „nur logisch“ über die physikalischen Ports 1-8 übertragen.
c) Alle anderen Ports müssen auf „Forbidden“ konfiguriert werden.
Auszüge aus der Darstellung der Benutzeroberfläche eines Switches
Betrachtet man jetzt die Datenströme, auf den Ports kann man nun, idealisiert, zusammenfassen
Port 1-8: enthält die Datenströme: Internet, VLAN 10, VLAN 20
Port 9-16: enthält die Datenströme: Internet, VLAN 10
Port 17-24: enthält die Datenströme: Internet, VLAN 20
