Soms worden VLANS geconfigureerd in plaats van een enkel LAN. Wat zijn hier de verschillen tussen en welke voor- en nadelen horen hierbij?

Wat is een LAN?

Binnen een LAN (Local Area Network) zijn alle onderdelen van een netwerk in staat om met elkaar in verbinding te komen. Op die manier kunnen deze onderdelen met elkaar communiceren. Om die communicatie mogelijk te maken krijgt ieder onderdeel een unieke code toegewezen, het zogenaamde IP adres. De functie van deze code is vergelijkbaar met die van een huisnummer zodat dit gebruikt kan worden om berichten naar toe te sturen of om te zien waar een bericht vandaan komt.

Een LAN zou je kunnen vergelijken met een straat vol huizen. Ieder huis heeft zijn eigen huisnummer. De huizen kunnen brieven rechtstreeks naar elkaar sturen. Ze kunnen niet rechtstreeks brieven naar huizen in andere straten of dorpen sturen. Daarvoor moet de post via een postkantoor (de router) worden verstuurd.

Een LAN bestaat dus uit componenten met een uniek IP adres die elkaar rechtstreeks kunnen bereiken. Dat kan via een kabel plaatsvinden, maar ook wireless. De IP adressen die elkaar kunnen ‘zien’, bevinden zich in een zogenaamde IP range. Je zou dus kunnen stellen dat een IP range de verzameling is van alle mogelijke IP nummers die elkaar rechtstreeks kunnen bereiken.

Een VLAN

Een VLAN (Virtual Local Area Network) is heel vergelijkbaar met een LAN, met dat verschil dat een VLAN een LAN is dat een bepaald nummer (een tag) mee krijgt en zich daarmee onderscheidt van een ander VLAN.

Laten we nog eens kijken naar het voorbeeld van de straat met de huisnummers. Stel we hebben een straat met huizen en we leggen nog een straat aan waar we huizen in plaatsen. De huizen binnen een straat kunnen met elkaar communiceren, maar ze kunnen niet communiceren met de huizen in de naburige straat. Door de router (die hiervoor geschikt moet zijn) met beide straten te verbinden, kunnen we nu, door middel van zogenaamde rules, bepalen hoe deze straten met elkaar en de buitenwereld om kunnen gaan.

Voor beide straten zouden we bijvoorbeeld een rule kunnen aanmaken die zegt “ als je iets wilt doen op het internet, dan kun je daarbij komen via de router”. Op die manier kunnen gebruikers van beide VLAN’s het internet op komen. We hadden ook kunnen opgeven dat gebruikers van een van beide VLAN’s dat wel mogen, maar die van het andere VLAN niet.

Door deze techniek te gebruiken kun je meerdere VLAN’s over dezelfde verbindingen configureren terwijl de componenten binnen het ene VLAN niet kunnen communiceren met componenten in het andere VLAN.

Je zou dus kunnen stellen dat organisaties die meerdere VLAN’s gebruiken, meerdere onafhankelijke LAN’s naast elkaar in gebruik hebben over dezelfde verbindingen die op een logische wijze van elkaar gescheiden worden. Ze zouden hiermee bijvoorbeeld een VLAN kunnen hebben voor bezoekers en een VLAN voor medewerkers, maar het is ook mogelijk om een apart VLAN te hebben voor bijvoorbeeld testmachines of voor een bepaalde afdeling.

VLAN’s worden gebruikt voor het gemak van het systeembeheer. De systeembeheerder hoeft hierdoor namelijk niet voor ieder LAN aparte bekabeling aan te leggen. Over dezelfde kabels kan hij op relatief eenvoudige wijze meerdere VLAN’s configureren. De methode hiervoor is dat in de switch bepaalt wordt op welke poort (welke aansluiting) welk VLAN werkt. Omdat de poorten verbonden worden met de aansluitingen in de muur waar computers en bijvoorbeeld printers op aan worden gesloten, wordt op die manier bepaald welk component zich in welk VLAN bevindt.

Er is echter ook een router nodig. De router verzorgt immers al het verkeer binnen het netwerk en naar buiten toe. En dus ook het verkeer van alle VLAN’s. De router routeert het netwerkverkeer. Let wel, niet alle routers en switches ondersteunen de VLAN technologie. Soms moeten deze componenten daarom vervangen worden willen VLAN’s geconfigureerd kunnen worden.

Voordelen

Wanneer een organisatie gebruik maakt van meerdere VLAN’s, dan kan in de router gekozen worden deze geheel te scheiden, maar ook om ze deels of geheel met elkaar te verbinden. Stel een organisatie heeft een VLAN voor haar marketing afdeling en een VLAN voor het management. Deze VLAN’s kunnen zo geconfigureerd worden dat iemand die op het marketing VLAN zit, niet naar dat van het management kan komen, maar dat het management vanaf hun VLAN wel op het VLAN van de marketing kan komen.

Hiermee is het dus mogelijk om aanvullende beveiliging toe te passen binnen de netwerkcommunicatie die verder gaat dan een wachtwoord beveiliging. Door onderdelen zoals afdelingen te scheiden, voorkom je dat iedereen overal bij kan (proberen te) komen, zelfs als ze de passwords weten te achterhalen.

De VLAN technologie maakt het overigens ook mogelijk om bepaalde resources, zoals een NAS, te delen met meerdere netwerken zonder dat zij verder iets anders met elkaar hoeven te delen. Je kunt bijvoorbeeld een NAS plaatsen en daar ruimte op maken voor verschillende afdelingen. Als de NAS verschillende VLAN’s aankan, dan laat hij medewerkers van de verschillende afdelingen toe, maar dan wel alleen op hun eigen deel.

Overigens blijkt, maar dat valt vooral bij netwerken om met veel netwerkverkeer, dat het netwerkverkeer dat normaal door het gehele LAN gaat, nu vooral binnen de verschillende VLAN's blijft, waardoor het totaal aan netwerkverkeer teruggedrongen wordt, wat op haar beurt weer leidt tot betere netwerkprestaties.

Nadelen

VLAN’s kennen ook nadelen. De meest in het oog springende nadeel is dat veel systeembeheerders die werkzaam zijn binnen het MKB in praktijk niet goed weten wat een VLAN is en hoe VLAN’s moeten worden geconfigureerd. Een LAN is behoorlijk eenvoudig, maar met name bij de configuratie van meerdere VLAN’s moet je goed weten hoe dit ingesteld moet worden, wat wel en niet toegestaan wordt en hoe dit is gedaan (documentatie) wanneer onderhoud gepleegd moet worden.

Een mogelijk ander nadeel is dat in een LAN maar een DHCP server actief mag zijn. Er moet immers over worden gewaakt dat er geen IP conflicten ontstaan. Zouden er twee DHCP servers actief zijn die toevallig beide hetzelfde IP nummer uitgeven, dan kan een IP conflict ontstaan. Hierdoor weten componenten niet meer naar wie bepaalde berichten verstuurd moeten worden en kan er chaos in het netwerk optreden met de meest vreemde en vervelende storingen.

Wie gebruikt maakt van meerdere VLAN's zal merken dat zijn DHCP server wel IP adressen uitreikt in het VLAN waarbinnen deze DHCP server is geconfigureerd, maar niet binnen de overige VLAN’s. Ieder VLAN moet immers beschikken over een eigen DHCP server mits er behoefte is aan de uitgifte van tijdelijke IP nummers en dat kost vanzelfsprekend extra configuratie tijd en -kennis.

Meer informatie

Ziet u een goede toepassing voor VLAN’s binnen uw organisatie en wilt u daar deskundige ondersteuning bij inroepen, dan willen wij u daarbij natuurlijk graag van dienst zijn!