Login Registrieren
Lernen / Netzwerk- & TCP/IP-Tutorial / Switching & VLANs

Switching & VLANs

Link-Schicht (1/2)

Wie ein Switch denkt

Ein Switch arbeitet auf Schicht 2 und hat eine zentrale Aufgabe: Ethernet-Frames nur an den Port weiterleiten, an dem der Empfänger tatsächlich hängt. Anders als ein Hub, der stumpf alles überallhin schickt, trifft der Switch intelligente Entscheidungen. Dafür führt er eine MAC-Adresstabelle (auch CAM-Tabelle genannt).

Die MAC-Adresstabelle (Learning & Forwarding)

Der Switch lernt selbstständig: Empfängt er einen Frame, merkt er sich die Quell-MAC zusammen mit dem Port, über den der Frame kam. So baut er nach und nach eine Tabelle auf:

PortGelernte MAC-Adresse
1AC:DE:48:00:11:22
2AC:DE:48:00:33:44
3AC:DE:48:00:55:66

Wenn ein Frame eintrifft, schaut der Switch die Ziel-MAC nach:

  • Bekannt: Frame geht nur an den passenden Port (Forwarding).
  • Unbekannt: Frame geht an alle Ports außer dem Eingang (Flooding).
  • Broadcast: Frame geht immer an alle Ports.

Broadcast-Domäne

Alle Geräte, die ein Broadcast erreichen kann, bilden zusammen eine Broadcast-Domäne. Ein einfacher Switch leitet Broadcasts an alle Ports weiter – das ganze geswitchte Netz ist also eine einzige Broadcast-Domäne. Bei vielen Geräten kann das zu unnötig viel „Broadcast-Lärm“ führen. Genau hier kommen VLANs ins Spiel.

VLANs: Ein Switch, viele Netze

Ein VLAN (Virtual LAN) teilt einen physischen Switch logisch in mehrere getrennte Netze auf. Geräte in VLAN 10 können nicht direkt mit Geräten in VLAN 20 sprechen – obwohl sie am selben Switch hängen. Jedes VLAN ist eine eigene Broadcast-Domäne.

      ein physischer Switch
 +---------------------------+
 | Port1 Port2 | Port3 Port4 |
 |  VLAN 10    |   VLAN 20    |
 +-------------|-------------+
   Büro-Netz      Gäste-Netz
   (getrennt voneinander)

So lassen sich z. B. Gäste-WLAN und Mitarbeiter-Netz sauber trennen, ohne zusätzliche Hardware.

Trunk und 802.1Q

Wie kommen mehrere VLANs über ein Kabel zwischen zwei Switches? Über einen Trunk. Auf einem Trunk-Port werden Frames mit einem VLAN-Tag versehen, damit der Gegenüber weiß, zu welchem VLAN ein Frame gehört. Der Standard dafür ist IEEE 802.1Q: Er fügt ein 4 Byte großes Tag mit der VLAN-ID (12 Bit, also bis zu 4094 VLANs) in den Ethernet-Frame ein.

[ Ziel-MAC | Quell-MAC | 802.1Q-Tag | Type | Payload | FCS ]
                          VLAN-ID hier

Was macht ein Switch mit einem Frame, dessen Ziel-MAC noch nicht in seiner Tabelle steht?

Sicherheitsbezug

VLANs trennen Netze, sind aber kein absoluter Schutz. Angriffe wie VLAN-Hopping versuchen, durch gefälschte Tags in fremde VLANs zu gelangen – daher sollten Trunk-Ports nie unbeabsichtigt aktiviert sein. Ein weiteres Risiko ist MAC-Flooding: Ein Angreifer überflutet die MAC-Tabelle mit gefälschten Adressen, bis sie voll ist; der Switch fällt dann ins Flooding zurück und verhält sich wie ein Hub – ideal zum Mitlesen. Port-Security begrenzt deshalb die Zahl erlaubter MACs pro Port.

MAC-Adressen ARP