VLAN für Quality of Service und Sicherheit

VLAN als Voraussetzung für störungsfreien VoIP-Betrieb

Teilen sich Datendienste und VoIP ein Netz, werden die Datenpakete nach dem Best-Effort-Prinzip gleichbehandelt und nicht nach Wichtigkeit priorisiert. So kann es passieren, dass beim Transport von großen Datenmengen das Telefonieren im selben Netz mit hohen Qualitätseinbußen zu rechnen ist.

 

Eine sehr effiziente Methode zum Sicherstellen des so genannten Quality of Service (QoS) in einem lokalen Netzwerk ist die Einrichtung eines Virtual Local Area Network (VLAN), ein virtuelles LAN innerhalb eines physischen Netzes. Jeder Port eines Switches (statisch oder dynamisch) oder Netzwerkgeräte können einem VLAN zugewiesen werden. VLANs sind logisch voneinander getrennt, nutzen aber die selben aktiven und passiven Netzwerkkomponenten (Leitungswege, Switches und Router).VLANs stellen geschützte Bereiche bereit, indem sie die Ports eines Switches bzw. Benutzer bestimmten VLAN-Gruppen zuweisen. Das ist innerhalb einzelner Switches, aber auch über mehrere verbundene Switches hinweg möglich.

Durch diese Aufteilung ergeben sich zahlreiche Vorteile:

  • Netzwerkmeldungen an alle Geräte (Broadcasts) werden innerhalb eines VLANs „eingeschlossen“ und können nicht in die anderen VLANs gelangen. Dies reduziert die Netzwerklast.
  • Die einzelnen Netze sind überschaubarer.
  • Bandbreitenreservierung pro VLAN ist möglich. So kann man z. B. dem VLAN 1 (VoIP) eine höhere Bandbreite als dem VLAN 2 (Daten) zuweisen.

Portbasiertes VLAN (statisches VLAN)

Die Zuordnung eines Switch-Ports zu einem VLAN ist statisch (fix). Das am Port angeschlossene Gerät ist automatisch Teil dieses VLANs und muss keine eigene VLAN-Unterstützung haben. Die Verbindung zwischen den Switches (Trunk) überträgt alle vom Administrator definierten VLANs über nur eine Netzwerkleitung.

Tagged VLAN

In Tagged-VLANs haben die Datenpakete eine „Markierung“, den so genannten Tag, die die Zugehörigkeit zu einem VLAN definiert. In solchen Netzwerken müssen die Geräte (Router, Switches, Computer und Telefone) die VLAN-Tags erkennen und bedarfsweise entfernen oder hinzufügen können.

Dynamisches VLAN

Die Konfiguration eines dynamischen VLANs wird erst durch den Einsatz spezieller Softwarelösungen möglich. Ein Server für die VLAN-Verwaltungsrichtlinien, der so genannte VLAN Management Policy Server (VMPS), kann die Ports eines Switches dynamisch einem VLAN zuweisen. Dies geschieht in der Regel auf Basis der MAC-Adressen der Geräte, die an den entsprechenden Ports des Switches angeschlossen sind. Wechselt ein Gerät den Port am Switch oder wird ein neues Gerät dem Netzwerk hinzugefügt, fragt der Switch den VMPS zur VLAN-Zugehörigkeit ab.

Sicherheit

Prinzipiell ist VLAN auch ein wichtiger Sicherheitsbaustein für VoIP. Durch die Trennung der Netze in anwendungsspezifische Bereiche – also z. B. Telefonnetz (VoIP) und Datennetz – begrenzt man auch mögliche Angiffe auf einen kleinen Bereich.