VLAN
Ein sehr nützliches Feature ist die Möglichkeit ein virtuelles LAN zu errichten. Auch wenn eurer gesamtes Netzwerk Zuhause über einen Switch läuft und so physisch zwar nur ein einziges Netzwerk darstellt, kann man mittels VLAN Geräte davon abkoppeln und Zugriffe einschränken. Habt ihr z.B. einen Arbeitsrechner, der nur Zugriff auf das Internet braucht um sich in Firmen VPN einzuwählen, ihr wollt aber nicht, dass andere Geräte im Heimnetz auf diesen Rechner zugreifen können. Dann kann VLAN diese Trennung bewirken, ohne das irgendwelche LAN Kabel umgesteckt werden müssen oder dieser einzelne Rechner anders angeschlossen werden muss.
Ebenso sieht es mit den Smart TVs aus, hier kann man zwar den Zugriff auf das lokale NAS für die Musik- oder Filmbibliothek gestatten, den Zugriff ins Internet aber verweigern.
In Firmen werden so z.B. auch Abteilungen voneinander getrennt und können einfach bearbeitet werden, da es sich hier nur um Einstellungen im Switch handelt. Bei einer Änderung oder Erweiterung müssen nur ein paar Parameter geändert werden, es müssen aber keine Hardwareanpassungen durchgeführt werden. Dies sind nur einige Beispiele, es gibt allerdings viele Anwendungsfälle.
Pakete im Netzwerk werden durch die Einteilung in VLANs nur zu den entsprechenden Rechnern im selben VLAN weitergeleitet. Diese Einteilung funktioniert auf verschiedenen Wegen. Ports können statisch, also fest, einem VLAN zugeordnet werden. Allerdings ist heutzutage die Zuordnung nach 802.1Q, mittels Tags üblich. Hierbei werden den Paketen also Tags angehängt, die ihre Zugehörigkeit zum entsprechenden VLAN anzeigen.
Als Beispiel haben wir die TVs einmal statisch zu einem VLAN mit dem NAS verbunden. Dazu wird zuerst das standard VLAN 1 bearbeitet und die Ports, die wir jetzt einem anderen VLAN hinzufügen wollen, entfernt. Jetzt erstellen wir ein neues VLAN. Im Beispiel nutzen wir die ID 20 und die Ports 8-11 für die vier TVs bzw. die vier Ports des NAS, die als untagged hinzugefügt werden. Auf der PVID Seite wird entsprechend der Ports ebenfalls 20 als PVID bei allen acht Ports eingetragen. Somit sind die Ports jetzt statisch im VLAN 20. Die PVID wird an dieser Stelle benötigt, um den eingehenden Verkehr an den Ports dem entsprechenden VLAN zuzuordnen, da angeschlossene Geräte teilweise gar kein VLAN unterstützen und sie somit manuell vom Switch zugeordnet werden.
Da auf das NAS eigentlich mehreren Nutzern der Zugriff gestattet werden soll, sie beispielsweise aber nicht untereinander kommunizieren sollen, bietet sich das asymmetrische VLAN an. In diesem Fall kann ein Gerät mehreren VLAN zur Verfügung stehen. Dazu wird oben einmal das asym. VLAN aktiviert. Jetzt können wir bestimmen, dass sowohl die TVs auf das NAS zugreifen können und auch die streaming PCs. Allerdings können die streaming Rechner keine Inhalte mit den TVs austauschen. Ein anderes Szenario sind Gastrechner, die zwar ins Internet kommen sollen, aber kein Zugriff auf den Rest des Heimnetzwerks haben sollen. Mit den PVID gehen wir genauso vor wie im Beispiel zuvor, allerdings bleibt die gemeinsam genutzte Komponente im VLAN 1. Also das NAS mit den Ports 13-17 bekommt wieder die PVID 1.
Ein getaggtes VLAN erlaubt es über einen Port gleich mehrere VLANs zu übermitteln, da jedes Paket selber die entsprechende Zugehörigkeit enthält und dies nicht mehr über die Ports geregelt wird. Dies hat zum Vorteil, dass VLANs über mehrere Switche hinweg auch mit nur einem Verbindungskabel zwischen den beiden Switches funktionieren.
LACP
Wie eingangs erwähnt ist diese Funktion eine der Wichtigsten für unsere spätere Anbindung ans NAS. Im Beispiel schließen wir die Ports 13-16 in einer Gruppe zusammen, einer sogenannten LAG (Link Aggregation Group) und steigern so die Bandbreite für das angeschlossene Gerät. Dies kann z.B. auch ein Switch in einem anderen Raum sein. Vier einzelne 1 GBit Ports erzeugen so eine 4 GBit Verbindung, die über das Link Aggregation Control Protocol gesteuert werden.
Neben der reinen Bandbreiten-Steigerung wird natürlich hier auch die Ausfallsicherheit gesteigert, da bei dem Ausfall einer Netzwerkkarte immer noch weitere Module die Verbindung halten. LACP wird im IEEE 802.3ad Standard spezifiziert, welcher oft nur unter dieser Nummer in den Datenblättern der Swiches aufgeführt wird. Zusammengeschlossen werden können allerdings nur Verbindungen selber Geschwindigkeit, 100er und 1000er Uplinks können also nicht gemischt werden. Benchmarks folgen sobald das NAS im Einsatz ist, denn vermutlich wird man mit 4 eingesetzten 1 GBit Interfaces nicht wirklich die vierfache Übertragungsrate erzielen. Außerdem muss bedacht werden, dass sich die Übertrag zu einem einzelnen Nutzer nicht ändert wird. Die einzelnen Rechner sind schließlich nur mit einer einfachen 1 GBit Verbindung zum Switch ausgestattet. Gleichzeitiger Zugriff von mehreren Clients sollte hier allerdings deutlich beschleunigt werden.
QoS
Quality of Service also die Qualität des Dienstes beschreibt in diesem Fall die Güte des Netzwerks aus Sicht des Nutzers. Wie gut eine Verbindung ist, hängt z.B. von der Bandbreite, der Verzögerung und dem Paketverlust ab. Maßnahmen in diesem Kapitel erlauben nicht nur die Priorisierung verschiedener Datenpakete, sondern auch die Einstellung der maximalen Übertragungsraten. Somit wird das IP Telefon bzw. dessen Pakete im Netzwerk höher behandelt, als der Steam Download eines PCs. Somit wird sichergestellt, dass ein Telefonat auch bei einem ausgelasteten Netzwerk uneingeschränkt geführt werden kann. Hier, wie auch bei IPTV bzw. beim Videostreaming sind geringe Reaktionszeiten entscheidend, somit werden diese Pakete vom Switch zuerst verarbeitet und weitergeleitet.
In einer ersten Maßnahme kann natürlich einfach die Bandbreite erhöht werden, wenn man also gar nicht erst in Engpässe kommt, gibt es auch keine Einschränkungen. Eine Limitierung der Bandbreite von einzelnen Verbindungen schafft ebenfalls Reserven.
Eine Seite weiter gibt es tiefergreifende QoS Modi:
802.1p: Pakete, die über die einzelnen Ports gelangen, werden entsprechend ihrem Priorisierungslevel bzw. ihrer Klasse mehr oder weniger schnell weitergeleitet. Klasse 0 stellt dabei die niedrigste Priorisierung und Klasse 7 die höchste Einstufung dar. Dies alles ist nach 802.1p standardisiert, wobei der Switch nur bei Paketen ohne diese Klasse, die hier in diesem Menü getroffene Einstellung verwendet. Heißt, wenn das IP Telefon z.B. alle ausgehenden Pakete direkt mit einer Klasse rausschickt, wird diese vom Switch nur aufgegriffen und entsprechend verfahren. Das Verfahren greift dabei auf Tags, also Anhänger, für die einzelnen Pakete zurück und hängt diese als VLAN Tags an. Vom Router bzw. den anderen Netzwerkgeräten muss dies also auch unterstützt werden.
ToS: Type of Service steht für einen Teil im Kopf eines IP Paketes. In diesen Bits wird festgelegt ob das Paket mit minimaler Verzögerung, mit maximalem Durchsatz, höchster Zuverlässigkeit oder am günstigsten gesendet werden soll. Dazu kommt eine Festlegung in acht verschiedenen Klassen. Diese Art der Einteilung wurde allerdings durch das folgende Verfahren abgelöst.
DSCP: Differentiated Services Code Point ist ähnlich dem ToS allerdings werden hier mit 64 Klassen mehr Stufen für die Einteilung geboten. DSCP wird unter dem Begriff Differentiated Services, kurz DiffServ zusammengefasst. Auch hier werden also die Pakete eingeteilt und es wird festgelegt ob eine hohe Bandbreite, geringe Verzögerung etc. gefordert werden. Wie beim ToS werden auch hier Bits im IP Header genutzt.
Inhaltsverzeichnis:
- Einleitung/Lieferumfang/Äußeres
- Erster Start/Weboberfläche
- RSTP/Port-Spiegelung/Storm Control/IGMP Snooping
- DHCP Client/Jumbo Frame/SNMP
- 802.1X/Safeguard Engine/Energiesparend
- VLAN/LACP/QoS
- ACL/Network Assistant
- Fazit
Hallo,
danke für dieses Review. Hat mir sehr gefallen
und mir auch gleich einen bestellt.
Für diesen Preis unschlagbar.
Aber bist Du dir sicher, dass der Switch auf Level 3
arbeitet und man ohne vlan fähigen Router (wie hier beschrieben
eine fritzbox) vlan aufspannen kann?
Wäre ja toll.
Lieben Gruß
Christian
Moin moin,
vielen Dank erstmal für das Lob.
Also die Fritzbox selber unterstützt kein VLAN, allerdings lässt sich ja über die PVID direkt im Switch das VLAN auch ohne eingehende Tags erstellen. Allerdings müssen dann natürlich alle Geräte am Switch hängen und nicht teilweise an der Fritzbox. Eingehende Pakete werden so vom Switch dem entsprechenden VLAN zugeordnet.
Grüße
Dennis
[…] D-Link DGS 1210-20 […]
Hallo,
unterstützen die Switche auch VLAN-Routing?
So dass man z.B. den Zugriff vom privaten VLAN auf das TV-LAN zulassen kann, aber umgekehrt die TV´s keinen Zugriff aufs Private haben?
Danke, klasse Bericht.
So etwas findet man leider viel zu selten im Internetz. 😉
Vielen Dank für die Blumen 😉
Hallo Dennis,
klasse Bericht, hat mir gut geholfen!
Frage: Wenn ich bei meinem Switch die Portabschaltung nach Zeitprofil für einen Port aktivieren möchte kommt die Meldung „Test Port Shut Off State“.
Kannst du mir vielleicht einen Tip geben was ich hier falsch mache?
Hallo Knud,
danke, das freut mich.
Wo kommt dieser Fehler? Unter Power Save Settings, wenn du apply klickst oder wo?
Habe eben mal zu Testzwecken ein Zeitprofil erstellt und darüber Ports abschalten lassen, klappt wunderbar.
Hast du die neuste Firmware drauf?
Grüße