WLANs ohne Reibungsverluste dank virtueller Netze

Netzwerk-Traffic mihilfe von VLANs taggen, segmentieren und managen

19.11.2007 | Autor / Redakteur: Peter Riedlberger / Stephan Augsten

Mithilfe von VLANs lässt sich der WLAN-Traffic logisch aufteilen.
Mithilfe von VLANs lässt sich der WLAN-Traffic logisch aufteilen.

Virtuelle LANs dienen in Enterprise-Netzwerken dazu, logische Arbeitsgruppen einzurichten, die völlig unabhängig vom physikalischen Standort oder der LAN-Topologie sind. Dieser Artikel beschreibt, wie man die Stärken von VLANs zum Taggen und Segmentieren des kabelgebundenen und schnurlosen WLAN-Traffics nutzt. So lassen sich die Sicherheits- und Traffic-Management-Richtlinien eines Unternehmens in allen Bereichen des Netzwerks verwirklichen.Vorgehensweisen bei der VLAN-Segementierung

In einem Ethernet-LAN gehören alle Einheiten, die mit derselben physikalischen Switch verbunden sind, zur selben „Broadcast-Domäne“. Jede Station dieser Domäne empfängt die Broadcast-Pakete, die von einer zugehörigen Einheit versendet werden. Doch mit zunehmender Domänengröße steigen die Reibungsverluste. Schließlich kommt es zur Verstopfung des LANs, und immer häufigere Kollisionen zwingen das Netzwerk in die Knie.

Indem ein physikalisches LAN in mehrere kleine, logische Broadcast-Domänen aufgeteilt wird, lassen sich solche Reibungsverluste vermeiden. In diesem Fall spricht man von virtuellen LANs (VLANs). Einheiten in VLANs können durchaus dieselben physikalischen Medien verwenden. Allerdings wird der Traffic in einzelne, isolierte Broadcast-Domänen aufgeteilt. Die Einheiten eines definierten VLANs erhalten die Pakete von allen anderen Einheiten dieses VLANs – aber eben nicht die von Einheiten anderer VLANs.

Beim Einrichten eines VLAN konfiguriert man den Ethernet-Switch so, dass er Ports zu nummerierten VLANs zusammenfasst. Ein Beispiel: Wenn Pakete an Port 9 (VLAN 1) ankommen, reicht der Switch diese Pakete an alle anderen Ports weiter, die zu VLAN 1 gehören – und nur an diese Ports. Dieses einfache, statische Modell nennt man Port-basierendes VLAN.

Es existieren aber auch andere Ansätze. Der Switch könnte eingehende Pakete auf darin enthaltene „Tags“ untersuchen und dann das betreffende Paket an alle Ports des angegebenen VLANs weiterreichen. IEEE 802.1Q beschreibt, wie man einen VLAN-Identifier (1-4096) und eine Prioritätsstufe (1-7) in den Header eines Pakets schreibt. Dank Tagging können 802.1Q-kompatible Geräte wie Layer-2- und Layer-3-Switches, -Router und -Firewalls entlang des gesamten Paket-Pfades eine VLAN-Segmentierung vornehmen.

Angenommen, Edge Switch A empfängt ein Paket an Port 9. Er hängt das Tag 1 an und schickt dann das Paket an alle Ports von VLAN 1 und an den Core Switch B über eine VLAN-Hauptleitung. Switch B inspiziert das Tag des Pakets, ehe er das Paket an alle Edge Switches in VLAN 1 und via Hauptleitung an einen Upstream-Router übermittelt. Dieser Router vergleicht Ankunftsschnittstelle, VLAN-Tag und Quell/Ziel-IP/Port des Pakets mit den vorhandenen ACLs (Access Control Lists) und entscheidet so, ob die Weiterleitung des Pakets erlaubt oder untersagt ist.

Mit VLANs lassen sich LAN-Arbeitsgruppen einrichten, die vom physikalischen Standort komplett unabhängig sind. Die Einheiten eines einzigen VLANs können sich in verschiedenen Etagen, Gebäuden, oder gar Städten befinden. An zentraler Stelle lassen sich Konfigurationsänderungen vornehmen, um einer Arbeitsgruppe Mitglieder hinzuzufügen bzw. sie zu entfernen, oder um die ACLs zu modifizieren.

VLANs reduzieren nicht nur die Broadcast-Reibungsverluste – man kann damit auch dem Traffic einer Arbeitsgruppe eine höhere Priorität zuweisen als dem einer anderen. Ebenso kann der Administrator einzelnen Mitgliedern Traffic und Netzwerk-Ressourcen zuteilen, die für andere Einheiten unerreichbar bleiben.

VLAN und WLAN

Zunächst einmal sollte klar sein, wie VLANs in kabelgebundenen Ethernet-LANs funktionieren. Anschließend kann man sich Gedanken darüber machen, wie man diese Technik in funkbasierten 802.11-LANs nutzt.

In vielen Situationen ist es vorteilhaft, WLAN-Traffic mit Prioritäten auszustatten und seinen Fluss zu kontrollieren. Dank 802.11e-QoS (Quality of Service) ist es möglich, 802.11-Datenpakete während der Funkübertragung priorisieren. Zwar lässt sich der Zugang zur Funkübertragung selbst nicht kontrollieren, mit 802.1X-Port-Zugriffskontrollen kann man aber die Verwendung von WLAN-Access-Points (APs) zulassen bzw. verweigern. Dank VLAN-Tags reicht man diese Sicherheits- und Performance-Festlegungen nahtlos aus dem WLAN ans schnurgebundene Netzwerk weiter.

Auf diese Weise könnte man etwa alle WLAN-APs zu einem einzigen VLAN zusammenfassen, das einen Identifier erhält, den sonst keine Ethernet-Arbeitsgruppe verwendet. Edge Switches setzen das Tag dieses schnurlosen VLANs in alle Pakete, die sie von APs erhalten. Die Upstream-Switches leiten den gesamten schnurlosen VLAN-Traffic zu einem Internet-Zugangs-Router. Währenddessen sorgen die Netzwerkschicht-ACLs dafür, dass Traffic aus dem schnurlosen VLAN keinesfalls an andere Ziele im Firmennetzwerk gelangt.

Eine solche Isolation des WLAN-Traffics eignet sich in Netzwerken, die 802.11 nur dazu verwenden, um Gästen den Internetzugang zu ermöglichen. Man könnte dem WLAN-Traffic zusätzlich eine niedrige Priorität zuweisen, so dass Switches und Router anderen Traffic vordringlich bearbeiten. In einem schnurlosen VLAN lassen sich APs und Stationen auch zu einem einzelnen IP-Subnetz zusammenfassen, das wiederum unabhängig vom Standort ist. Dadurch können WLAN-Stationen immer wieder dieselbe IP erhalten, während sie zwischen verschiedenen APs wechseln (roamen). So vermeidet man, dass TCP-Sitzungen und VPN-Tunnel abreißen.

Allerdings leidet dieser monolithische VLAN-Ansatz unter demselben Problem wie physikalische LANs: Wächst das schnurlose Netzwerk, kommt es zu Überlastungserscheinungen. Es lohnt sich, immer weiter anwachsende VLANs in einzelne Arbeitsgruppen (also getrennte VLANs) zu zerlegen.

Tagging bei schnurlosen VLANs

Zum Glück liefert 802.1Q-Tagging auch die Basis, um schnurlosen Traffic in mehrere verschiedene VLANs gemäß definierter Kriterien aufzuteilen.

Wenn Traffic von WLAN-APs bei einem 802.1Q-kompatiblen WLAN-Switch oder -Gateway ankommt, schreibt dieses Gerät vor dem Weiterleiten Tags in die Pakete. So kann ein WLAN-Gateway beispielsweise zwischen APs und einem abgesicherten Netzwerk hängen, dort Stationen authentifizieren und ihnen dann entsprechende Rollen zuweisen. Mithilfe dieser Rollen lassen sich ACLs und VLAN-Tags definieren, die den Paketen zugewiesen werden sollten, ehe sie das Gateway durchqueren. Stationen mit der Rolle „Gast“ erhalten dann beispielsweise das VLAN-Tag 1, während die Rolle „Mitarbeiter“ dem VLAN-Tag 2 entspricht.

Alternativ könnte ein 802.1Q-kompatibler AP per 802.11 versendete Pakete mit Tags versehen, ehe er sie in ein Verteilungsnetzwerk (z. B. Ethernet) weiterreicht. Mit anderen Worten: dieser AP verhält sich wie eine Edge Switch und stattet Pakete mit Tags aus, ehe er sie über eine VLAN-Hauptleitung zu Upstream-Switch, -Gateway oder -Router schickt. Anstatt diese Tags vom Ankunftsport abhängig zu machen, kann der AP auch das Ankunfts-WLAN als Kriterium verwenden (d.h. die Funkschnittstelle oder die SSID). So könnten alle Stationen, die mit der SSID „Gast“ verbunden sind, VLAN-Tag 1 bekommen, während die Stationen mit der SSID „Mitarbeiter“ das VLAN-Tag 2 erhalten.

Beide Methoden sind geeignet, um WLAN-Traffic in verschiedene VLANs aufzutrennen und damit die gewünschten Ziele zu erreichen. So kann man mit VLANs schnurlosen Voice- von Daten-Traffic trennen und dem Real-Time Transport Protocol (RTP) damit Priorität im WLAN (mit 802.1e) und im Ethernet (mit 802.1P) verschaffen. Mit VLANs lässt sich auch Management-Traffic vom Benutzer-Traffic trennen, was das Risiko eines Angriffs vermindert. Und schließlich können WLANs RADIUS verwenden, um Traffic-Streams VLAN-Tags zuzuweisen.

Best Practices für VLANs

VLANs sind in vielerlei Hinsicht nützlich, um Traffic in schnurgebundenen sowie kabellosen Netzwerken zu isolieren. Allerdings müssen VLANs sorgfältig konfiguriert werden, damit es zu keinen betriebsgefährdenden oder gar sicherheitskritischen Fehlern kommt. So gibt die Certified Wireless Security Professional (CWSP) Study Guide die folgenden Empfehlungen:

  • Traffic, der in Hauptleitungen zwischen APs und Switchs verschoben wird, sollte so gefiltert werden, dass nur Pakete zugelassen werden, die zu aktiven schnurlosen VLANs gehören.
  • Um eine dynamische VLAN-Rekonfiguration zu vermeiden, sollten APs nicht das Generic VLAN Registration Protocol (GVRP) verwenden.
  • Broadcast- und Multicast-Traffic zu den APs sollte gefiltert werden, z. B. mittels IGMP-Snooping (Internet Group Management Protocol).
  • Mit ACLs sollte die WLAN-Sicherheitskonfiguration an die Ethernet-Infrastruktur weitergereichtet werden.
  • Mit ACLs sollte verhindert werden, dass Endanwender Zugriff auf das Standard-VLAN des APs erhalten.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2009165 / Wireless Security)