VLAN-Tagging und der Router als Flaschenhals

Bei der Implementierung nach dem Standard IEEE 802.1q kann jeder Port eines Switches bezüglich eines VLANs drei Zustände haben.

Kein Teilnehmer: Der Switchport interessiert sich überhaupt nicht für das betreffende VLAN und verwirft eintreffende Pakete von internen und externen Quellen.

Markierter Teilnehmer (Tagged Member): Hier nimmt der Switchport am VLAN teil und akzeptiert sowohl von internen wie auch von externen Quellen ausschließlich solche Datenrahmen, die das korrekte VLAN-Tag gesetzt haben. Das bedeutet, dass an diesem Port angeschlossene Geräte selbst das richtige Tag setzen müssen.

Unmarkierter Teilnehmer (Untagged Member): Diese Betriebsart teilt dem Switchport mit, dass er in alle Datenrahmen ohne VLAN-Tag, die von am Port angeschlossenen Geräten gesendet werden, das passende Tag einfügen muss, bevor er die Pakete ins LAN weitersendet. Umgekehrt entfernt der Switch bei allen aus dem übrigen LAN eingehenden Paketen mit VLAN-Tag dieses, bevor er die Pakete an die am Port hängenden Geräte weiterleitet.

Ein Beispiel zur Verdeutlichung der einzelnen Modi: Angenommen es wird zusätzlich zu einem Netzwerk mit dem IP-Adressbereich 192.168.10.0/24 ein weiteres Netz mit dem Adressbereich 192.168.20.0/24 für IP-Telefonie eingerichtet. Als VLAN-IDs sollen dabei „10“ und „20“ zum Einsatz kommen. Die einfachste Variante wäre es, zunächst das VLAN „10“ auf allen Ports als „untagged“ einzurichten. Die vorhandenen Geräte wie Rechner, Drucker und so weiter müssten dann nicht umgestellt werden, da der Switch dafür sorgt, dass in den Datenrahmen die richtigen VLAN-IDs stehen.

Für das VLAN mit der ID „20“ werden die Ports nun als „Tagged Member“ definiert. Das bedeutet, dass nur Geräte, die bereits Datenrahmen mit der richtigen VLAN-ID senden, Zugriff auf das VLAN „20“ erhalten. Entsprechend müssen dann die IP-Telefone von sich aus das VLAN-Tag „20“ setzen und wären automatisch im richtigen Netzbereich unterwegs.

Was passiert nun aber, wenn aus dem VLAN „20“ auf Ressourcen im VLAN „10“ zugegriffen werden soll – beispielsweise auf einen Drucker? Hier kommt man um den Einsatz eines Routers nicht herum. Dieser muss Mitglied in allen beteiligten VLANs sein, um erfolgreich zwischen ihnen zu vermitteln. Zwar lässt sich dies über eine einzige Verbindung realisieren, die einfach mehreren VLANs zugeordnet wird.

Doch gerade in größeren Netzen stößt diese Variante schnell an ihre Kapazitätsgrenzen. Eine Alternative wäre, jedem VLAN ein eigenes Netzwerk-Interface zu geben und mit dem Switch zu verbinden. Das ist aber nur in Netzen mit relativ wenigen VLANs sinnvoll, da sonst schnell der Router einen ganzen Switch allein für seine Verbindungen benutzt.

Ein guter Mittelweg ist der Einsatz von gebündelten Verbindungen (Trunks, Bonds) zum Switch, auf die dann die benötigten VLANs aufgeschaltet werden. Damit lassen sich beispielsweise in modernen Netzen 20 oder 40 GBit/s für das Routing zwischen den VLANs zur Verfügung stellen.