VLANs machen das Netzwerk leistungsfähiger

Routing im Switch und die VLAN-Sicherheit

von - 23.10.2015
Gerade bei räumlich verteilten Netzen hat der Einsatz eines Routers für den Übergang von einem VLAN in ein anderes jedoch einen weiteren Nachteil: Im schlimmsten Fall müssen die zwischen den VLANs auszutauschenden Daten erst durch das gesamte Netz zum Router und wieder zurück geleitet werden, selbst wenn die miteinander kommunizierenden Geräte eigentlich am selben Switch angeschlossen sind.
Switch-übergreifende VLANs: Zur Koppelung Switch-übergreifender VLANs sind bei Port-basierten virtuellen Netzen mehrere Kabelstrecken notwendig.
Switch-übergreifende VLANs: Zur Koppelung Switch-übergreifender VLANs sind bei Port-basierten virtuellen Netzen mehrere Kabelstrecken notwendig.
Um diesem Problem zu begegnen, bieten viele Managed Switches eigene Routing-Funktionen an. Diese erlauben es, das Routing zwischen einzelnen VLANs direkt im Switch zu erledigen. Das sorgt dafür, dass die Daten nicht unnötig durch das Unternehmensnetz laufen und eventuell sogar WAN-Verbindungen belegen. Der Preis für diese Netzentlastung und die höhere Performance beim Anwender sind deutlich höhere Anschaffungskosten für Smart Switches sowie der höhere Verwaltungs- und Betriebsaufwand bei der Konfigura­tion und gegebenenfalls der Fehlersuche.

VLAN-Sicherheit

Ein gern als Vorteil von VLANs angeführter Punkt ist die damit angeblich verbundene höhere Sicherheit. Das stimmt allerdings nur zur Hälfte, denn der Einsatz von VLANs allein macht das eigene Netz noch nicht sicherer. Im einfachsten Fall genügt es nach wie vor, einen Rechner an ein als „untagged“ konfiguriertes VLAN anzuschließen, um grundsätzlichen Zugang zu erhalten. Selbst bei „tagged“ VLANs ist der Aufwand zum Ermitteln der VLAN-ID vernachlässigbar.
Daher bieten moderne Switches zusätzlich die Möglichkeit, einen RADIUS-Server im Netz als Authentifizierungsstelle für VLAN-Zugriffe zu verwenden. Der Switch arbeitet hierbei als RADIUS-Proxy. Das bedeutet, er nimmt zunächst die Anmeldung des Nutzers entgegen und verhält sich so, als    wäre er der eigentliche RADIUS-Server. Im Hintergrund leitet er die Anmeldedaten an den echten RADIUS-Server weiter und wartet auf das Ergebnis der Authentifizierung. Ist es positiv, setzt der Switch die VLAN-ID des Ports, mit dem der User verbunden ist, auf das im RADIUS-Server hinterlegte Tag. Ist die Authentifizierung nicht erfolgreich, bricht er die Verbindung ab.
Zu beachten ist dabei, dass dieses Verfahren nur für den ersten Login-Vorgang gilt. Hängen an dem betroffenen Switchport mehrere Geräte oder User, so legt der erste Login den Zugang für alle verwendeten VLANs fest. Das mag gewünscht sein, kann aber auch zu schwer diagnostizierbaren Problemen im Netzwerk führen.
Eine Alternative ist, die für den VLAN-Zugriff erlaubten MAC-Adressen der Netzwerkkarten in einer Liste im Switch zu hinterlegen.
Verwandte Themen