Wozu Vlan ?
Unter einem virtuellen LAN (VLAN) versteht man die organisatorische Strukturierung eines physikalischen LANs in mehrere (virtuelle) Gruppen. Ein VLAN teilt die Teilnehmer eines lokalen Netzes in verschiedene logische Gruppen ein. Wird ein Broadcast in einer Gruppe ausgesendet, so erreichen diese Informationen genau die Teilnehmer, welche dieser Gruppe zugeordnet sind. Dadurch wird einerseits der Kollisionsbereich verkleinert, aber natürlich auch die Sicherheit erhöht, indem Pakete nur noch bei den berechtigten Empfängern eintreffen.

Man unterteilt die Ports in Access Ports und Infrastruktur Ports:

Access Ports weisen folgende Merkmale auf:
-hier verbinden sich Nutzer (Wireless Clients)
-Access Ports haben 1 VLAN ID (PVID)
-Access Ports senden und empfangen ohne Tag

Infrastruktur Ports weisen folgende Merkmale auf:
-Anschluss an die Infrastruktur des Netzes (Ethernet, Bridge)
-Infrastruktur Ports haben mehr als eine VLAN ID
-Infrastruktur Ports senden und empfangen mit Tag
-PVID ist für Infrastruktur Ports ohne Bedeutung

Trunk Link: (engl. trunk: bündeln) Bündeln mehrer virtueller LANs in ein physisches Kabel.

Ports die „untagged Frames“ entgegen nehmen, sind immer nur Mitglied eines VLAN. Sie fügen das entsprechende tag mit dieser VLAN-ID (PVID) beim Empfang ein. Diese Ports senden immer Frames ohne VLAN-Tag zu den Clients.
Ports die tagged Frames empfangen, erhalten Frames verschiedener VLAN’s. Man nennt diese Ports auch Trunk Ports. Sie sind meistens Mitglieder mehrerer VLAN’s, und senden immer Frames mit tag, um die VLAN-Zugehörigkeit des Frames für benachbarte Geräte zu erhalten.



Ein beispielhaftes Scenario

In dieser Konfigurationsanleitung wird exemplarisch ein VLAN-Scenario, das in den meisten Fällen zum Einsatz kommt dargestellt.



 

 Wie oben in der Abbildung zu sehen ist bestehen zwei Netzte. Das eine ist das Intranet bzw. das Firmennetz und das andere ist das „öffentliche“ Netz wo z.B. Gäste ins Internet dürfen aber keinen Zugriff auf das Firmennetz haben sollen. Dieses Beispiel lässt sich auch auf diverse Hot-Spot Lösungen übertragen. Zur Realisierung dieses Szenarios gehen Sie bitte wie in den folgenden Schritten beschrieben vor.



1.Erzeugen eines VLAN

Nach dem Anlegen der SSID’s gehen Sie bitte vom Hauptverzeichnis aus in folgendes Menü :
Config -> VLAN ->VLANs-> Add

Hier müssen Sie die 3 Vlan’s erzeugen. Bitte beachten Sie das die VLAN ID 1 vorgegeben ist und als „Management“ ID definiert ist. Somit müssen Sie lediglich das Vlan Intranet und Public erzeugen.
Mit Eingabe geben Sie eine Zahl als VLAN ID (VLAN Identifier) ein und bestätigen mit Return. Anschließend müssen Sie dem VLAN einen Namen vergeben. 
Der nächste Schritt ist die VLAN’s bzw VLAN ID’s einem Port zuweisen. Hierfür wechseln Sie in folgendes Menü:
Config->VLAN->VLAN’s ->Edit->Select VLAN.

Hier wählen Sie aus oder geben die entsprechende VLAN ID ein, die Sie bearbeiten möchten und bestätigen dann mit
Return. Danach markieren Sie den entsprechenden Port, dem die entsprechende VLAN zugewiesen werden soll über folgendes Menü :

- Menu: Config->VLAN->Edit->Add Port  wählen Sie den Port aus der hinzugefügt werden soll, dann bestätigen mit Return. 

Zum Abschluss dieses Teilschrittes wechseln Sie im selben Submenü in „Edit Port“ .Hier bestimmen Sie die Senderegeln (egress Rules), ob z.B. bei allen Frames, die über den Port versendet werden, die VLAN Information entfernt werden soll oder nicht. Im Falle einer Entfernung muss Untag angegeben werden, ansonsten Tag, nach Auswahl bitte mit RETURN bestätigen.

Um sich nochmals die vorgenommenen Einstellungen in einer tabellarischen Übersicht anzeigen zu lassen können Sie folgenden Menüpunkt aufrufen :

Config -> VLAN ->VLANs->Show

2.Die Empfangsregeln pro Port festlegen
Nachdem Sie nun festgelegt haben welche Datenpakete mit einem „Tag“ gekennzeichnet werden, die das Gerät „verlassen“, müssen Sie hier den Ports eine PVID zuweisen um gleich im Anschluss zu bestimmen was mit ankommenden Frames bzw. Datenpaketen passiert (Ingress Rules). In einer so genannten Matrix legen Sie fest, welche Pakete der Port annehmen darf und welche er verwerfen muss.

Hierzu gehen Sie bitte wie folgt vor:

Im Menu: Config->VLAN->PVID->Edit->Select Port wählen Sie den Port, der für den Empfang von Frames konfiguriert werden soll aus, und bestätigen mit RETURN. 

Danach weisen Sie unter Config->VLAN->PVID->Edit->PVID diesem Port die VLAN ID zu, mit der das eventuell
ungetaggte Frame getaggt werden soll, dann RETURN

Config->VLAN->PVID->Edit->Drop untagged 

Sollen alle ungetaggten Frames, die über diesen Port empfangen werden verworfen, müssen Sie enabled auwählen. Ansonsten ist disable auszuwhälen, mit RETURN bestätigen Sie die Auswahl.


Config->VLAN->PVID->Edit->Drop NonMemb

Sollen alle getaggten Frames, die mit einer VLAN ID getaggt sind, in der der ausgewählte Port nicht Mitglied ist verworfen werden, muss hier enabled angegeben werden, ansonsten disabled auszuwählen, zur Bestätigung der Auswahl bitte RETURN Taste drücken.

Via dem Submenu „Show“  können Sie sich die aufgestellte Matrix nochmals anzeigen lassen um einen Überblick über die Konfiguration zu erlangen.

Daraus ergibt sich folgende Matrix für die Empfangsregeln:

VLAN	eth1	eth2	wl1_01ap	wl1_02ap
1	ü	ü	û	û
2	ü	û	û	ü
3	ü	û	ü	û

 

ü = forwarding

û = dropping

 
3. VLAN aktivieren und Management VID festlegen
Der letzte Schritt besteht darin das VLAN zu aktivieren. Hierfür gehen Sie bitte in folgendes Menü:
 Menu: Config->VLAN->Admin->Mgmt VID und wählen ein bereits erstelltes VLAN aus der Liste aus, das sie zum
Management VLAN machen wollen.
Anschließend aktivieren Sie das VLAN mittels Config->VLAN->Admin->Status indem Sie den Status von „disabled“ auf
“enabled” setzten.


4. Parametrisierung der VLAN-Switch
Um das Beispiel ganzheitlich darzustellen wird hier ebenfalls exemplarisch auf die vorgenommenen Einstellungen an der Switch kurz eingegangen.
Folgende VLans wurden erstellt:


Vlans:  NAME:   VID:
---------------------------
              default    1
              Public     2
              intranet   3

Unten  sehen Sie die Ports, denen eine entsprechende PVID zugewiesen wurde.


 VLAN Configuration und Protzuweisung bei der Switch