:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/8a/c9/8ac992219c3dea0e3a61db00f9cf4a94/0114320983.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Grundlagen moderner Netzwerktechnologien im Überblick – Teil 25 Moderne LAN-Technologien: Virtuelle Netze und IEEE 802.1Q VLANs
Durch Switching, Gigabit Ethernet und Link Aggregation entstehen sehr leistungsfähige Netze. Oft besteht der Wunsch, auf diesen Netzen z.B. aus organisatorischen Gründen oder wegen des Datenschutzes, Services oder Benutzergruppen so zu trennen, dass sie zwar das gleiche Netz benutzen, sich aber gegenseitig nicht sehen und nur innerhalb der definierten Gruppe kommunizieren können. Dafür sorgen VLANs.
Der Begriff „Virtual Network“ steht für eine Technologie, die die Schaffung logischer Anwendergruppen bei gleichzeitiger Zuordnung hinreichender Bandbreite ermöglicht.
Netzwerkmanager schaffen logische Workgroups zur Vereinfachung der allgemeinen Verwaltungsaufgaben. Die Benutzer in einer logischen Workgroup arbeiten üblicherweise in realen Projekten oder Arbeitsbereichen eng zusammen. Die logische Workgroup ist damit meist eine enge Abbildung der Organisationsstruktur auf die Netzwerkstruktur.
Eine weitere Anwendungsmöglichkeit logischer Workgroups besteht im Zusammenhang mit der Durchsetzung von Datenschutz, Datensicherheit und Verarbeitungsintegrität.
Der Verkehr ist innerhalb einer Workgroup bis auf Ausnahmen relativ geschlossen, die Teilnehmer der Workgroup kommunizieren fast ausschließlich untereinander. Außerdem können zu einer Workgroup bestimmte Betriebsmittel ohne persönlichen Benutzer, wie Server, Gateways oder Ähnliches gehören.
Subnetz-Adressen sind ein ungeeignetes Mittel für die Schaffung logischer Workgroups, da sie nur die physische Lokation einer Workstation in einem Netz definieren und nicht die Zugehörigkeit dieser Station im unternehmensweiten Informationsfluss.
Virtuelle Netze sind ein technologisches Konzept zur Implementierung logischer Workgroups innerhalb eines Netzes mittels Switches auf der Schicht 2. Virtuelle Netze werden durch eine Menge von Switching Hubs aufgebaut, die ihrerseits durch ein Backbone miteinander verbunden sind. Sind virtuelle Netze auf den Lokalen Bereich beschränkt spricht man von virtuellen LANs, VLANs. Aber auch andere Übertragungstechniken aus dem Wide Area Bereich, wie Frame Relay oder IP over SONET sind extrem leistungsfähig und können in die Konstruktion virtueller Netze einbezogen werden. Im lokalen Bereich ist vor allem Gigabit Ethernet ein geeignetes Trägermedium für das strukturierte Backbone logischer Subnetze.
weiter mit: Der Aufbau virtueller Netze
Der Aufbau virtueller Netze
Virtuelle Netze benutzen so genannte „Membership Rules“ zur Definition der Zugehörigkeit von Stationen zu logischen Workgroups und implementieren Schaltergruppen, so genannte „Switching Fabrics“, zur Verbindung der Mitglieder der logischen Workgroups.
Dieser Ansatz erlaubt die Zugehörigkeit zu einer logischen Workgroup unabhängig vom physischen Ort des Arbeitsplatzrechners des Teilnehmers. virtuelle Netze vereinigen die Vorteile, die man normalerweise mit durch Brücken verbundenen Netzen assoziiert (leichtes Hinzufügen/Wegnehmen oder Ändern von Stationen) mit dem Vorzug der logischen Systemtrennung/Strukturierung durch Router – ohne jedoch die Durchsatzprobleme von Brücken und die schwierige Konfiguration großer Netze mit Routern hinnehmen zu müssen.
Zuordnung
Eine Methode zur Definition eines virtuellen Netzes ist die Zuordnung von Ports. Alle Stationen, die an einem bestimmten Port eines Ethernet-Switches liegen, werden als Teil des virtuellen Netzes aufgefasst und eine Menge von Ethernet-Switch-Ports im physikalischen Gesamtnetz bildet das gesamte virtuelle Netz. Dies kann aber nur dann transparent funktionieren, wenn die Ethernet-Switches mit einer skalierbaren Hochgeschwindigkeitstechnologie untereinander verbunden sind. Ein virtuelles Netz hat, wenn die richtige Backbone-Technologie verwendet wird, kaum Ausdehnungsbeschränkungen.
Der gesamte Verkehr im virtuellen Netz wird mit Packet Switching realisiert, d.h. die Adressierung erfolgt im flachen Adressraum der Schicht-2-Adressen (Data Link Address). Die Data Link Switches besitzen einen Lernalgorithmus, der dem in traditionellen Brücken ähnlich ist. Dies bedeutet, dass eine Station den physischen Ort einfach wechseln kann und dennoch Mitglied des virtuellen Netzes bleibt, ohne dass eine Rekonfiguration in der Endstation erforderlich wäre. So können ortsunabhängige Workgroups geschaffen werden. Außerdem hat die Orientierung an den Data-Link-Adressen den Vorteil der Protokolltransparenz: Im Gegensatz zu routerbasierten Techniken können auch innerhalb einer Arbeitsgruppe unterschiedliche Protokolle der Schicht 3 bis 7 benutzt werden.
Broadcasts auf einem virtuellen Netz werden keinesfalls auf ein anderes virtuelles Netz weitergeleitet. Die virtuellen Netze erscheinen als vollständig unabhängige Switching Fabrics. Von daher schirmen die virtuellen Netze ihren eigenen Verkehr ab, was wiederum eine Routing-Funktion zwischen den virtuellen Netzen wünschenswert macht, jedoch ohne die Kopplung von logischer Workgroup und physischen Orten hinnehmen zu müssen.
Da die Verbindungen der virtuellen Netze auf dem Data Link Layer geschaltet werden, sind keinerlei Modifikationen in der Software für die Vermittlungsschicht erforderlich. Hierbei liegt natürlich die Annahme zugrunde, dass die logischen Workgroups sinnvoll und nach innerer Zusammengehörigkeit gebildet werden und dass der Löwenanteil des Verkehrs in einem virtuellen Netz verbleibt.
weiter mit: Virtuelle Spielarten
Virtuelle Spielarten
Wir haben in dieser Folge bislang eine portbasierte Definition für die Membership-Rules der Zugehörigkeit zu einem virtuellen Netz angenommen. virtuelle Netze können aber auch durch andere Abbildungen definiert werden, wie die Zugehörigkeit zu einem bestimmten Protokollstack, die Zugehörigkeit zu einer bestimmten Liste von Stationsadressen usw.
Damit lassen sich VLANs nach OSI-Schichten kategorisieren. Zudem gibt es solche, bei der die Unterteilung der Benutzer in disjunkte logische Teilnetze auf der Schicht 2, der Schicht 3 oder nach Mechanismen auf den Endgeräten geschieht.
Ein Standardisierungsvorschlag für VLANs auf der Basis des LAN-Switchings der Schicht 2 ist IEEE 802.1Q.
802.1 ist die Gruppe innerhalb IEEE 802, die sich mit Brücken und dem LAN-Umfeld beschäftigt. Der Draft für „virtual Bridged LANs“ definiert eine Architektur für virtuelle brückengekoppelte LANs und die Dienste, die in brückengekoppelten VLANs zur Verfügung gestellt werden sowie die Protokolle und Algorithmen, die zur Erbringung dieser Dienste notwendig sind. Dabei greift der Draft auf zwei andere Funktionsgruppen zurück, nämlich das MAC Bridging nach IEEE 802.1D und die Prioritätensteuerung nach IEEE 802.1 D/p.
Man möchte damit eine vereinfachte Verwaltung logischer Benutzergruppen erreichen, damit auch Umzüge, Änderungen und sonstige Erweiterungen leichter durchgeführt werden können. Der Standard geht davon aus, dass Broadcasts reduziert werden müssen, um eine höhere Sicherheit zu erreichen und die Abschottung der VLANs gegeneinander zu verbessern.
Man möchte die Kompatibilität zu bestehenden Brücken-Konfigurationen soweit wie möglich gewährleisten. Deshalb wird eine Kennzeichnung für die Zugehörigkeit eines Paketes zu einem VLAN, das sogenannte Tag, nur eingefügt bzw. entfernt, wenn das Frame im Rahmen einer Relay-Funktion weitergeleitet wird. Wenn also ein Gerät nach IEEE 802.1Q arbeitet, aber keine VLANs definiert werden, soll die Arbeitsweise wie die einer IEEE 802.1D-Brücke aussehen.
weiter mit: Portbasierte VLAN-Definition
Portbasierte VLAN-Definition
Der Standard geht von einer portbasierten VLAN-Definition aus. Dabei wird für jeden LAN-Port eine eindeutige VLAN-Identifikation (VLAN-ID) konfiguriert, die so genannte Port-Identifikation, PVID. Dies steht im Gegensatz zu den explizit getagten Frames, bei denen Pakete verschiedener VLANs auf einem physikalischen LAN transportiert werden können.
Genau hier unterschieden sich IEEE und die industriellen Realsierungen, die alle ein Tagging für jedes Paket vorsehen und so wesentlich komfortablere VLANs realisieren können. Das Frame-Format und die Tag-Längen wurden festgelegt. Das Tagging muss zu einer netzweit eindeutigen VLAN-Identifizierung führen, die über die gesamte Konfiguration hinweg erhalten bleibt.
Wo man schon einmal bei Verfahrenssteuerungsbits war, hat man sich darauf verständigt, auch die Priorisierungsbits von IEEE 802.1D/p in IEEE 802.1Q zu übernehmen. Frames, die infolge des Taggings die maximale Framelänge, wie sie immer im Standard definiert ist, überschreiten, dürfen nicht weitergeleitet werden. In der Praxis bedeutet dies, dass die alle Anwendungsprogramme so eingestellt werden müssen, dass sie nicht mehr das längstmögliche Frameformat benutzen, sondern sozusagen sicherheitshalber etwas darunter bleiben.
Die gesamte VLAN-Konfiguration benutzt einen gemeinsamen Spanning Tree Algorithmus. Die Implementierung eines separaten Spanning Tree je VLAN wurde verworfen. Auf der Grundlage der Funktionen von IEEE 802.1D/p wird folgendes definiert:
- der VLAN-Dienst
- ein Forwarding-Prozess für die Weiterleitung eingehender VLAN-Frames
- eine Filter-Datenbank
- erforderliche Protokolle für VLAN-Dienstleistung und Verteilung der VLAN-Information
- Management-Dienste und Operationen zur Konfiguration und Verwaltung
Daraus entstand das VLAN-Architekturmodell.
Die VLAN-ID wird per Konfiguration festgelegt und ist dann fix. Sie kann nur durch explizite Konfiguration geändert werden. Dazu sei bemerkt, dass dies den Zielen von VLANs geradezu zuwiderläuft und keinen wesentlichen Fortschritt gegenüber einfacher Brückensegmentierung bietet. Alle Hersteller, auch die mit den schwächsten VLAN-Konzepten, haben dem Kunden weit Komfortableres zu bieten.
Der Prozess zur Weiterleitung von VLAN-Frames, Forwarding-Process, wird in drei Phasen nach getrennten Regeln bearbeitet, die auch die Konvertierung von Frameformaten nach verschiedenen MAC-Verfahren beinhalten. Man unterscheidet zwischen Ingress Rules für die Behandlung eingehender Frames, Forwarding oder Filter Rules für die Weiterbearbeitung sowie Egress Rules für die Ausgabe von Paketen. 802.1Q unterteilt Geräte in VLAN-fähig und VLAN-unfähig.
Zugangsverbindungen (Access Link) sind LAN-Segmente, die nicht-VLAN-fähige Geräte, d.h. in der Regel Endgeräte, an eine VLAN-fähige Brücke anbinden. Alle Pakete auf Zugangs-Links werden als implizit getagt betrachtete und dürfen nicht explizit getagt werden. Trunk-Verbindungen koppeln verschiedene VLANs über Brücken. Alle angeschlossenen Geräte müssen VLAN-fähig sein. Alle Pakete auf Trunk-Verbindungen werden explizit getagt.
Schließlich gibt es hybride Verbindungen, mit denen VLAN- und nicht-VLAN-fähige Geräte angebunden werden. Deshalb können hier getagte und nichtgetagte Frames transportiert werden. Diese müssen dann jedoch definitiv unterschiedlichen VLANs zugeordnet sein.
Für die Verwendung von Spanning Tree wurde ein Rational verfasst. Einzelne VLANs sind nicht notwendigerweise als physisch zusammenhängend definiert anzusehen. Die Natur von VLANs ist eigentlich dynamisch und kann sich damit z.B. durch Umzüge oder durch neu eingebundene/weggefallene Geräte ändern. In jedem Fall darf ein einzelnes VLAN aber nur auf einen einzigen Spanning Tree abgebildet sein. In diesem Zusammenhang ist die Entscheidung zu treffen, ob jedes VLAN auf einen separaten Spanning Tree oder mehrere VLANs auf einen gemeinsamen Spanning Tree abgebildet werden.
Obwohl mehrere Spanning Trees Vorteile bieten, hat man sich für einen einzelnen Spanning Tree entschieden, weil es hinsichtlich der Skalierbarkeit nicht praktikabel ist, für jedes VLAN einen eigenen Spanning Tree aufzubauen und die Abbildung mehrerer VLANs auf mehrere Spanning Trees die Komplexität erheblich erhöht. Daher hat man sich auf einen einzelnen Spanning Tree festgelegt.
weiter mit: Ingress- und Egress-Regeln
Ingress- und Egress-Regeln
Die Ingress-Regeln sehen folgendermaßen aus. Jeder Frame kann eindeutig einem einzelnen VLAN zugeordnet werden. Es gibt dabei Frames mit expliziter Klassifizierung und ohne eine solche. Bei Frames mit einer eingetragenen VLAN-Protokollkennung (VPID) und einem VID-Feld gehört das Frame zu dem VLAN, das der VID-Wert repräsentiert, es sei denn, der spezielle VID-Wert „kein VLAN da“ wird benutzt. Frames ohne explizite Kennung werden dem VLAN zugeordnet, das sich durch die PVID VLAN-Kennung des Empfangsports ergibt.
Bei den Egress-Regeln sieht es so aus: wenn die VLAN-ID gleich der PVID des Ausgangsports ist, soll das Paket ungetagt gesendet werden. Enthielt der Header Prioritätsinformation, so wird diese ebenfalls übernommen und die VID gleich 0 gesetzt. Dann ist die FCS neu zu berechnen. Gilt VLAN-ID ungleich PVID, so wird normalerweise getagt übertragen, gegebenenfalls zuzüglich der Prioritätsinformation. Wird dabei die maximale PDU-Größe überschritten, darf keine Weiterleitung erfolgen. Ist der Ausgangsport für ungetagte Übertragung markiert, wird ohne Tag übertragen, wobei gegebenenfalls auch eine FCS-Neuberechnung erforderlich sein kann.
Die Tags werden nicht weiter strukturiert (Single Layer Tagging). Der Tag wird direkt hinter den DA/SA-Feldern eingefügt, wobei Änderungen für einzelne Ports durchführbar sein müssen. Der VLAN-Header enthält eine VLAN-Protokoll-Identifikation VPID, die das Frame als explizit getagt und 802.1Q-konform ausweist. Dies ist entweder ein Ethernet-Protokolltyp (2 Byte) oder ein SNAP-Header (8 Byte).
Außerdem enthält der VLAN-Header eine 2 Byte lange Kontrollinformation VCI mit Prioritätswert (3 Bit), Token Ring Encapsulation Flag (TR-enc 1 Bit) und VLAN-Identifikation, VID, auch VLAN-Tag genannt mit 12 Bit.
Untagging erfordert die Entfernung des VLAN-Headers, gegebenenfalls bei unterschiedlichen Medien die Anwendung von 802.1H und in jedem Falle die FCS-Neuberechnung.
Fazit
Zusammenfassend muss man damit folgendes festhalten. IEEE 802.1Q ist der Standard für VLANs auf der Schicht zwei. VLAN-Umgebungen können mit älteren IEEE 802.1D-Brückenumgebungen kombiniert werden. Die VLANs müssen dabei nicht unbedingt physikalisch zusammenhängend definiert werden. VLANs können sich also auch über verzweigte Netze erstrecken. Dies sind aber schon die einzigen Vorteile. Die Beschränkung auf einen Single Spanning Tree lässt keine Lastverteilung via VLAN-Konzept zu. Dies bedeutet, dass eine Vermeidung von Single Points of Failure zwar gesagt wurde aber nicht realisierbar ist.
VLANs nach IEEE 802.1Q führen automatisch zu Lösungen mit zentralen Switches.
Über den Autor
Dr. Franz-Joachim Kauffels ist seit über 25 Jahren als unabhängiger Unternehmensberater, Autor und Referent im Bereich Netzwerke selbständig tätig. Mit über 15 Fachbüchern in ca. 60 Auflagen und Ausgaben, über 1.200 Fachartikeln sowie unzähligen Vorträgen ist er ein fester und oftmals unbequemer Bestandteil der deutschsprachigen Netzwerkszene, immer auf der Suche nach dem größten Nutzen neuer Technologien für die Anwender. Sein besonderes Augenmerk galt immer der soliden Grundlagenausbildung.
Artikelfiles und Artikellinks
(ID:2022439)
:quality(80)/p7i.vogel.de/wcms/15/11/1511103c458971dbd7e1fc7646d53550/0104313435.jpeg "Ein VLAN ist ein logisches Teilnetzwerk eines physischen lokalen Netzwerks (LANs). (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/db/69/db6936868369237f625495eab983c263/0106316916.jpeg "LACP (Link Aggregation Control Protocol) ist ein standardisiertes Netzwerkprotokoll zur Bündelung mehrerer physikalischer Verbindungen nach IEEE 802.1AX. (Bild: gemeinfrei)")