Modernisierung der Serverlandschaft mit VLAN und 10 Gbit/s

 Heutige Systeme werden immer leistungsfähiger. Das ist soweit gut, wenn hierdurch Kosten bei Neubeschaffung eingespart werden können. Leider gehen die Trends aktuell dahin, dass die Anforderungen und Vielzahl der zu betreibenden Systeme stetig steigen. Eines der Zauberworte der Vergangenheit war Virtualisierung, um vorhandene Hardware besser zu nutzen.

Aktuelle Serverhardware ist in der Lage, problemlos zehn oder zwanzig virtuelle Maschinen gleichzeitig auszuführen. Wenn jedoch alte Netzwerkstrukturen beibehalten werden sollen, müssten Virtualisierungshosts mit einer Masse an Netzwerkkarten gespickt werden. Schließlich gilt es, Bereiche im Netzwerk wie Management, Backup, Office-Netz, Storage (bei abgesetztem Fileserver) und gegebenenfalls einer DMZ (demilitarisierte Zone) getrennt zu führen.

VLAN Trunking

Die Lösung zur Reduzierung größerer Kabelmengen im Netzwerkbereich heißt Trunking.

Trunking ist eine Multiplexertechnik, mit der verschiedene VLANs über ein einziges Kabel transportiert werden können. Das klassische Einsatzgebiet besteht in der Kaskadierung von Switches. Hier möchte man mit einem einzigen Uplinkkabel zum übergeordneten Switch auskommen, da ansonsten keine Reduzierung des Verkabelungsaufwandes stattfindet.

Technisch wird dieses Trunking nach dem Standard .1Q (dot-Eins-Q) derart erledigt, dass eingehende Datenpakete um eine Information zur VLAN-ID erweitert werden. Dieser Vorgang nennt sich tagging. Die Gegenstelle (in der Regel der Uplinkswitch) entfernt diese Information anschliessend wieder.Somit unterscheidet ein Switch zwischen sogenannten Endgeräteports und “getaggten” Ports.

Virtualisierung und VLAN-Tagging sind ein gutes Paar

Moderne Netzwerkkarten sind ebenfalls in der Lage, an getaggte Switchports angeschlossen zu werden. Hier wird in der Konfiguration des Betriebssystems festgelegt, welche VLAN-ID diese benutzen sollen.
Einen Schritt weiter gehen Virtualisierungslösungen wie Hyper-V. Hier werden sogenannte virtuelle Switches ausgebildet, über die eine VM mit den jeweiligen VLANs kommunizieren kann.
Zur Sicherheit wird hierbei in der Konfiguration der virtuellen Maschine festgelegt, zu welchen VLANs diese Zugang hat.

Übersichtlichkeit und Geschwindigkeit

Wenn mehrere bisherige Datenleitungen im Netzwerk durch eine einzige neue Verbindung ersetzt werden soll, ist auf die benötigte Bandbreite zu achten. Die neuen Komponenten müssen folglich in Summe die bisherigen genutzten Datenraten leisten können.

Ein Ersatz alter 1Gbit/s Netzwerkkarten und Switches durch modernere Hardware wie 10Gbit/s – fähiges Equipment löst oft mehrere Probleme auf einmal. Weniger Kabel im Serverschrank bringen eine bessere Durchlüftung und Kühlung, und wenn unter Umständen lassen sich mehrere Switches auf neue 10Gbit/s-Switches konsolidieren. Von einer Umstellung auf höhere Geschwindigkeiten profitiert auch die Datensicherung, die in deutlich kürzerer Zeit durchläuft- bzw. im Fehlerfalle somit schneller zurückgespielt ist. Die bessere Übersichtlichkeit eines solchen ertüchtigten Systems erhöht meist auch die Sicherheit, da weniger vermeidbare Fehler passieren.

Verbesserung der Sicherheit im Netzwerk durch Einsatz von VLANs

Sicherheit in der IT wird heutzutage spätestens seit dem Aufkommen von Ransomware großgeschrieben. Ein Beispiel aus Anwendersicht ist das Verschlüsseln von Kommunikation, welches durch das berühmte grüne Schloss im Webbrowser angezeigt wurde – Sicherheit beginnt jedoch bereits viel früher damit, im Netzwerk Bereiche zu segmentieren- vergleichbar den Schotten in einem Schiff.

Netzwerksetup und Switches

In heutigen Netzwerken werden meist Ethernet-Switches zur Verbindung der Rechner untereinander eingesetzt. Die Bezeichnung “Switch” ist die Kurzform von “Switching Hub” und deutet darauf hin, dass früher einmal jeder Netzwerkverkehr quasi als Rundsendung an alle angeschlossenen Stationen gesendet worden ist.

Switches funktionieren hier etwas selektiver ähnlich wie eine Telefonvermittlung, die nur Verbindungen zwischen den Teilnehmern direkt zulässt. Dies bedeutet, dass die Datenpakete anhand ihrer ID gezielt an den Zielport übermittelt werden. Eine Ausnahme stellen Rundsendungen, sogenannte Broadcasts dar.

Diese sind ein Standardmechanismus, um beispielsweise Zuordnungen von IP-Adressen zu Netzwerkports und den damit verbundenen MAC-Adressen zu aktualisieren.

Sicherheit und bessere Performance durch Aufteilung des Netzwerkes

Unter Sicherheitsaspekten ist es sinnvoll, ein Netzwerk in verschiedene Bereiche zu unterteilen. Im Serverraum werden als “Best Practice” Netzwerksegmente für Management und Backup auf getrennte Switches verkabelt. Auf den daran angeschlossenen Netzwerkports sind unterschiedliche Firewallregeln aktiv, sodass beispielsweise Wartungszugriffe auf das Betriebssystem möglich sind.

Durch die Trennung von Management- und Backupnetz und dem Benutzer zugewandten Segment lässt sich die gesamte Bandbreite erhöhen, da sich die Datenströme auf verschiedene Anschlüsse verteilen. Gleichfalls bleiben Broadcasts in ihrem Segment. Bei Nutzung einer Firewall zur weiteren Segmentierung des Netzes müssen die Bereiche zwingend trennbar sein, da IP-Adressen von Benutzern selbst geändert werden können. Eine verbreitete Praxis besteht darin, einem VLAN auch einen kompletten Subnetzbereich wie /24 zuzuordnen.

VLAN als Mechanismus zur Reduzierung benötigter Hardware

Moderne Switches beherrschen die Möglichkeit, intern verschiedene Ports zueinander zuzuordnen. Diese Technik wird als VLAN (Virtual Local Area Network) bezeichnet. Hierdurch entfällt die Nutzung von mindestens einem physischen Switch pro Netzwerksegment.

Dies bedeutet weniger Hardwareeinsatz sowie übersichtlichere Netze. Da VLANs in der Regel über eine Firewall miteinander verbunden werden, fließen zwangsweise alle Datenströme durch diese.

Somit sind einfache Angriffsszenarien auf Switches wie MAC-Flooding nahezu wirkungslos, da diese nur einen Teilausschnitt des Netzwerkes betreffen.