2024-07-26
Weder an einer Firewall noch an einem Server für virtuelle Maschinen möchte man für jedes einzelne Netzwerk, mit dem man arbeitet, eine eigene Netzwerkschnittstelle einbauen und verkabeln.
Switche, die mehrere getrennte Netze versorgen, sollen nicht mit so vielen Netzwerkkabeln verbunden werden müssen, wie man Netze betreibt.
Man nutzt zur Verbindung von Switchen und solchen Servern virtuelle Netzwerke. Dazu gibt es eine Erweiterung des Paketformats der Ethernetpakete. (Die rein innerhalb eines Switches organisierte Netztrennung namens VLAN ist hier nur eine Basis, die nebenbei genutzt wird).
Ethernetpakete können eine Zusatzinformation enthalten, welche sie einem VLAN im Bereich 1 bis 4096 zuordnet. Diese Pakete sind markiert ("tagged"). Normale, nicht weiter hierfür konfigurierte Rechner ignorieren diese Pakete. Switche und passend konfigurierte Rechner ordnen die Pakete den passenden VLANs zu.
Jedes Netzwerkpaket wird im Switch einem VLAN zugeordnet. Um es zu transportieren, wird es entweder
Genauso erreicht einen Switch ein Netzwerkpaket entweder
Ergänzung: Trunk-Ports sind i.d.R. mehreren VLANs tagged zugeordnet. Zusätzlich ist ihnen ein VLAN (i.d.R. Nummer 1) untagged zugeordnet. Darüber sind solche Switche also auch untagged zu erreichen. Man nimmt das VLAN 1 meist immer untagged für ein Management-Netz, um die Switche zu konfigurieren. Dort sollen keine weiteren Nutzdaten fließen und man lässt auch keine Anwendergeräte in dieses Netz.
Mehr Details, auch mit sinnvollen Abbildungen, bei Thomas Krenn.
Ein Router (oder eine Firewall), der viele Netze managen soll, muss mit einer entsprechenden Trunk-Verbindung am zentralen Switch hängen und entsprechend konfiguriert werden.
Ebenso kann ein Server (z.B. für Virtualisierung) per Trunk verbunden sein um mehrere Netze direkt bedienen zu können. Ob der Aufwand sich gegenüber einem reinen Servernetz mit Routing zu den Zielnetzen lohnt, muss jeder selbst entscheiden. Ein Grund könnte die Trennung der virtuellen Maschinen auf Netzwerkebene sein.