13
1 Netzwerk in 2 Netzwerke aufteilen mit 2. Router
Eine Firma hat ein Netzwerk mit Internetzugang über einen Router (DSL).
Das Netzwerk soll nun in 2 Teilnetze aufgeteilt werden, damit man vom Schulungsraumnetzwerk (NW2) nicht auf die Firmendaten (NW1) zugreifen kann.
Außerdem soll im Schulungsraum lediglich Internetsurfen möglich sein. (Ports 80 + 8080)
Dies soll mit einem 2. Router geschehen.
Ich habe mir das so gedacht:
NW1--Router1--Router2--NW2
Router1 stellte Verbindung zum Internet her.
Uplink vom Router2 ist mit DMZ-Port vom Router1 verbunden.
Im Router1 wird die IP-Adresse von Router2 bei DMZ eingegeben.
Im Router2 wird eingestellt, dass lediglich Ports 80 + 8080 weitergeleitet werden.
NW-Adresse NW1: 192.168.0.0
IP-Adresse Router1: 192.168.0.10
NW-Adresse NW2: 192.168.1.0
IP-Adresse Router2: 192.168.1.10
Das müsste doch so klappen oder??
Habe noch nie 2 Router miteinander verbunden und bin mir noch ein wenig unsicher mit der ausgedachten Lösung.
Das Netzwerk soll nun in 2 Teilnetze aufgeteilt werden, damit man vom Schulungsraumnetzwerk (NW2) nicht auf die Firmendaten (NW1) zugreifen kann.
Außerdem soll im Schulungsraum lediglich Internetsurfen möglich sein. (Ports 80 + 8080)
Dies soll mit einem 2. Router geschehen.
Ich habe mir das so gedacht:
NW1--Router1--Router2--NW2
Router1 stellte Verbindung zum Internet her.
Uplink vom Router2 ist mit DMZ-Port vom Router1 verbunden.
Im Router1 wird die IP-Adresse von Router2 bei DMZ eingegeben.
Im Router2 wird eingestellt, dass lediglich Ports 80 + 8080 weitergeleitet werden.
NW-Adresse NW1: 192.168.0.0
IP-Adresse Router1: 192.168.0.10
NW-Adresse NW2: 192.168.1.0
IP-Adresse Router2: 192.168.1.10
Das müsste doch so klappen oder??
Habe noch nie 2 Router miteinander verbunden und bin mir noch ein wenig unsicher mit der ausgedachten Lösung.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 38796
Url: https://administrator.de/contentid/38796
Printed on: April 18, 2024 at 06:04 o'clock
13 Comments
Latest comment
Hallo,
ohne die Netzwerkmaske kann ich nicht sagen, ob diese Konstruktion so funktionieren kann.
Allerdings ist mir der zweite Router noch nicht klar wofür der gebraucht werden soll.
Je nach Router kannst du das Problemloos mit einem Realisieren.
Ich gehe Davon aus das du für NW1 und NW2 je einen Swtch hat.
Was für Hardware benutzt du??
ohne die Netzwerkmaske kann ich nicht sagen, ob diese Konstruktion so funktionieren kann.
Allerdings ist mir der zweite Router noch nicht klar wofür der gebraucht werden soll.
Je nach Router kannst du das Problemloos mit einem Realisieren.
Ich gehe Davon aus das du für NW1 und NW2 je einen Swtch hat.
Was für Hardware benutzt du??
Subnetmask lautet 255.255.255.0
Die Firma gehört dem Bruder eines Freundes, ich weiss noch nicht genau welche Hardware vorhanden ist.
Es sind alle Kabel von NW1 + NW2 an einem Switch angeschlossen.
Er wollte die Lösung mit einem 2. Router realisiert haben.
Es soll kein Zugriff von NW2 (=Schulungsraum) auf NW1 möglich sein.
Die Firma gehört dem Bruder eines Freundes, ich weiss noch nicht genau welche Hardware vorhanden ist.
Es sind alle Kabel von NW1 + NW2 an einem Switch angeschlossen.
Er wollte die Lösung mit einem 2. Router realisiert haben.
Es soll kein Zugriff von NW2 (=Schulungsraum) auf NW1 möglich sein.
Hallo,
okay wenn ein 2. Router sein soll...
(Aber für das Szenario ist er nicht erforderlich)
Je nach Router kann man das mit ACLs (Access Lists) einfach gewährleisten.
Einfach zu implementieren wäre auch eine VLAN Konfiguration und einfach kein Routing zwischen den VLAN's einrichten.
Mache dir Gedanken über die zu verwendenden Subnetzmasken, den bei deinen Angaben fehlen die noch. Wenn du für NW1 eine Klasse B Maske nimmst beinhaltest du nälich das NW 2 gleich mit, und das willst du ja nicht...
Würde der einfachheit halber 2 weiter von einander entfernte IP Addressbereiche wählen.
okay wenn ein 2. Router sein soll...
(Aber für das Szenario ist er nicht erforderlich)
Je nach Router kann man das mit ACLs (Access Lists) einfach gewährleisten.
Einfach zu implementieren wäre auch eine VLAN Konfiguration und einfach kein Routing zwischen den VLAN's einrichten.
Mache dir Gedanken über die zu verwendenden Subnetzmasken, den bei deinen Angaben fehlen die noch. Wenn du für NW1 eine Klasse B Maske nimmst beinhaltest du nälich das NW 2 gleich mit, und das willst du ja nicht...
Würde der einfachheit halber 2 weiter von einander entfernte IP Addressbereiche wählen.
Hi,
Du könntest auch zwischen den Router und dem Schulungsraum einen Proxy zwischenschalten.
Im Router lässt Du dann nur den Proxy aus dem Schulungsnetz für den Internetzugriff zu und
packst das komplette Schulungsnetz in ein anderes Subnetz.
Den Proxyserver kannst Du z.B. mit Linux realisieren und er sollte dann 2 Netzwerkkarten
haben.
Gruß
cykes
Du könntest auch zwischen den Router und dem Schulungsraum einen Proxy zwischenschalten.
Im Router lässt Du dann nur den Proxy aus dem Schulungsnetz für den Internetzugriff zu und
packst das komplette Schulungsnetz in ein anderes Subnetz.
Den Proxyserver kannst Du z.B. mit Linux realisieren und er sollte dann 2 Netzwerkkarten
haben.
Gruß
cykes
Das sind Class C, RFC 1918 Adressen ! Wie soll er denn dafür eine Class B Adresse nehmen das ist unmöglich und auch so in den Settings nicht konfigurierbar....sollte wenigstens nicht sein !
Er hat ja schon alles richtig aufgeteilt in 2 Subnetze also die Gedanken sind dann schon richtig gemacht und die Subnetzadresse mit den IPs eigentlich klar wenn man mal vom Default 24 Bit ausgeht !
Eine Kopplung von 2 Consumer Routern geht so nicht.
Beide Netze an einem gemeinsamen Switch zu betreiben ist höchst gefährlich...wohlmöglich ist da auch noch DHCP im Spiel und da ist es ein Leichtes lediglich durch Umkonfigurieren der IP Adresse auf die Firmendaten zuzugreifen....
Der Ansatz mit VLANs oder wenigstens 2 getrennten Switches ist schon der Richtige !
Bei VLANs ist es recht einfach, das erfordert aber einen Layer 3 fähigen VLAN Switch der aber heutzutage schon recht preiswert zu erwerben oder zu ersteigern ist. 2 Router brauchst du auch nicht, sondern kannst dann alles über einen Router abwickeln.
Da gibts dann mehrere Lösungen:
1.) 2 Vlans, Schulung und Firma und über ACLs und nur einen Proxy aus dem Schulungsnetz durchlassen.
2.) 3 Vlans, Schulung, Firma, Internet (hier hängt nur der Router drin). Dann den Zugang über ACLs auf dem Switch lösen. Vorteil kein Proxy nötig....
Nachteil der Lösungen: Du brauchst entsprechende Technik im Switch und musst ggf. neu kaufen was sich aber aus Sicherheitssicht lohnen würde.
Die Bastellösung wären dann 2 unterschiedliche Switches, einen Fli4L mit 3 Ethernetkarten o.ä. oder einen billigen Cisco mit 3 Ethernet Schnittstellen (für Schulung, Firma, PPPoE zum Carrier) von eBay. Diese Lösung würde auch greifen wenn man nur einen Layer 2 VLAN Switch hat der nicht routen kann (Router on the Stick mit 802.1q Trunks)
Die Netze solltest du aber in jedem Falle trennen. Auf einem Switch mit 2 IP Adressen rumzuwurschteln ist sicherheitstechnisch höchst bedenklich....
Er hat ja schon alles richtig aufgeteilt in 2 Subnetze also die Gedanken sind dann schon richtig gemacht und die Subnetzadresse mit den IPs eigentlich klar wenn man mal vom Default 24 Bit ausgeht !
Eine Kopplung von 2 Consumer Routern geht so nicht.
Beide Netze an einem gemeinsamen Switch zu betreiben ist höchst gefährlich...wohlmöglich ist da auch noch DHCP im Spiel und da ist es ein Leichtes lediglich durch Umkonfigurieren der IP Adresse auf die Firmendaten zuzugreifen....
Der Ansatz mit VLANs oder wenigstens 2 getrennten Switches ist schon der Richtige !
Bei VLANs ist es recht einfach, das erfordert aber einen Layer 3 fähigen VLAN Switch der aber heutzutage schon recht preiswert zu erwerben oder zu ersteigern ist. 2 Router brauchst du auch nicht, sondern kannst dann alles über einen Router abwickeln.
Da gibts dann mehrere Lösungen:
1.) 2 Vlans, Schulung und Firma und über ACLs und nur einen Proxy aus dem Schulungsnetz durchlassen.
2.) 3 Vlans, Schulung, Firma, Internet (hier hängt nur der Router drin). Dann den Zugang über ACLs auf dem Switch lösen. Vorteil kein Proxy nötig....
Nachteil der Lösungen: Du brauchst entsprechende Technik im Switch und musst ggf. neu kaufen was sich aber aus Sicherheitssicht lohnen würde.
Die Bastellösung wären dann 2 unterschiedliche Switches, einen Fli4L mit 3 Ethernetkarten o.ä. oder einen billigen Cisco mit 3 Ethernet Schnittstellen (für Schulung, Firma, PPPoE zum Carrier) von eBay. Diese Lösung würde auch greifen wenn man nur einen Layer 2 VLAN Switch hat der nicht routen kann (Router on the Stick mit 802.1q Trunks)
Die Netze solltest du aber in jedem Falle trennen. Auf einem Switch mit 2 IP Adressen rumzuwurschteln ist sicherheitstechnisch höchst bedenklich....
@ aqui: Vielen Dank für Deine ausführliche und detailierte Antwort!
Ich werde Ihm wohl folgenden Netgear L2 Switch empfehlen -> netgear.de/Produkte/Switches/Smart_Rack/FS726T/index.html
Kostet nur ca. 180 €.
Dann 2 VLANs einrichten und im Router per ACL dem Schulungsraum-VLAN nur http Ports erlauben.
Ich denke ich habe es verstanden.
Ich werde Ihm wohl folgenden Netgear L2 Switch empfehlen -> netgear.de/Produkte/Switches/Smart_Rack/FS726T/index.html
Kostet nur ca. 180 €.
Dann 2 VLANs einrichten und im Router per ACL dem Schulungsraum-VLAN nur http Ports erlauben.
Ich denke ich habe es verstanden.
Ich fürchte der Switch wird nicht reichen ! Der switch muss in jedem Falle Layer 3 fähig sein also selber routen können ! Das kann dies Modell laut Produkt Matrix nicht. Die Layer 3 Switches sind unter "managed" zu finden. 180 Euronen wären auch legendär für einen L3 Switch.
Der Consumer Internetrouter kann aber nur einen IP Adresse am Ethernetport, würde als Packete vom Schulungssegment ignorieren und kann folglich so immer nur ein Segment bedienen !
Die Problematik ist ja das er den Internetzugang sowohl vom Schulungsnetz als auch vom Firmennetz über eine Internetleitung abwickeln will, er muss also beide Netze Layer 3 seitig verbinden und über ACLs absichern. Das kann entweder gleich im Switch geschehen oder in einem externen Router.
Ziel ist ja das keine Packete in das Firmensegment kommen aus dem Schulungsnetz bzw. nur solche die man will von einem Proxy z.B. den ich sicherheitstechnisch steuern kann. Oder eben über ein drittest separates VLAN in dem nur der Router hängt, so das beide Segmente gewissermaßen dies Segment gemeinsam benutzen ohne gegenseitig Packete in ihre Segment leiten zu müssen. (Designtechnisch aus Sicherheitssicht die beste Alternative, da sie dir auch den Proxy und dessen Wartung
erspart !)
VLANs bedeutet erstmal per se das du 2 Segmente trennst auf dem Switch und sonst nichts. Das ist so als ob du 2 völlig getrennte Switches fährst aber auf einer Infrastruktur....routen können die noch nicht, dafür brauchst du die L3 Funktionalität. Jedes VLAN hat dann im Switch noch eine Gateway Adresse und darüber findet dann eine Kommunikation statt bzw. hier konfigurierst du dann auch deine ACLs.
Hast du lediglich einen VLAN fähigen Layer 2 Switch musst du das Routig extern machen.
Das kann man entweder mit einem Router machen der 2 Ethernet Schnittstellen hat und man dann jeweils eine in einen Port steckt der dem entsprechenden VLAN zugeordnet ist. (das musst du auf dem VLAN Switch nämlich machen die entspr. Ports den VLANs zuordnen).
Eine andere Möglichkeit ist mit einem sog. "Router on the Stick". Du generierts auf dem VLAN Switch einen 802.1q Trunk (der hat im Packet Header immer dei VLAN Information). Der Router liest diese und routet die Packete über ein internes virtuelles Interface.
Das ist allerdings ein Feature das nur professionelle Systeme supporten und keine Consumer Router ala D-Link und Konsorten....
Daher der Vorschlag mit Fli4L und entsprechenden Interfaces....
Der Consumer Internetrouter kann aber nur einen IP Adresse am Ethernetport, würde als Packete vom Schulungssegment ignorieren und kann folglich so immer nur ein Segment bedienen !
Die Problematik ist ja das er den Internetzugang sowohl vom Schulungsnetz als auch vom Firmennetz über eine Internetleitung abwickeln will, er muss also beide Netze Layer 3 seitig verbinden und über ACLs absichern. Das kann entweder gleich im Switch geschehen oder in einem externen Router.
Ziel ist ja das keine Packete in das Firmensegment kommen aus dem Schulungsnetz bzw. nur solche die man will von einem Proxy z.B. den ich sicherheitstechnisch steuern kann. Oder eben über ein drittest separates VLAN in dem nur der Router hängt, so das beide Segmente gewissermaßen dies Segment gemeinsam benutzen ohne gegenseitig Packete in ihre Segment leiten zu müssen. (Designtechnisch aus Sicherheitssicht die beste Alternative, da sie dir auch den Proxy und dessen Wartung
erspart !)
VLANs bedeutet erstmal per se das du 2 Segmente trennst auf dem Switch und sonst nichts. Das ist so als ob du 2 völlig getrennte Switches fährst aber auf einer Infrastruktur....routen können die noch nicht, dafür brauchst du die L3 Funktionalität. Jedes VLAN hat dann im Switch noch eine Gateway Adresse und darüber findet dann eine Kommunikation statt bzw. hier konfigurierst du dann auch deine ACLs.
Hast du lediglich einen VLAN fähigen Layer 2 Switch musst du das Routig extern machen.
Das kann man entweder mit einem Router machen der 2 Ethernet Schnittstellen hat und man dann jeweils eine in einen Port steckt der dem entsprechenden VLAN zugeordnet ist. (das musst du auf dem VLAN Switch nämlich machen die entspr. Ports den VLANs zuordnen).
Eine andere Möglichkeit ist mit einem sog. "Router on the Stick". Du generierts auf dem VLAN Switch einen 802.1q Trunk (der hat im Packet Header immer dei VLAN Information). Der Router liest diese und routet die Packete über ein internes virtuelles Interface.
Das ist allerdings ein Feature das nur professionelle Systeme supporten und keine Consumer Router ala D-Link und Konsorten....
Daher der Vorschlag mit Fli4L und entsprechenden Interfaces....
VLANs mit 2Level Switches?....
Wieso funktioniert die Lösung mit dem DMZ-Port am Router nicht? Dann könnte man doch alle 3 Netzwerke an einen Router anschliessen?!
Wieso funktioniert die Lösung mit dem DMZ-Port am Router nicht? Dann könnte man doch alle 3 Netzwerke an einen Router anschliessen?!
Generell hast du Recht. Das erfordert dann aber 3 separate Interfaces am Router. Eins fürs Internet und 2 für die beiden LAN Segmente.
Consumer Router ala NetGear oder D-Link routen aber immer nur zwischen dem WAN Port (DSL/ISDN) und dem LAN Port und das auch meist mit NAT, haben folglich also immer nur 2 fixe, nicht erweiterbare Ports.
Mehr Interfaces die routen können haben die ja leider nicht sonst wäre das Problem recht einfach zu lösen. Deshalb auch der Vorschlag das mit einem FLI4L (fli4l.de) oder IP-Cop System zu machen.
Der DMZ Port auf solchen Consumer Routern ist ein Port der nicht über das NAT (Adress Translation) geht und physisch im gleichen Segment hängt wie der WAN Port eines solchen Systems. Der nützt dir also gar nichts zum Anschluss eines weiteren internen LANs und wäre zudem auch noch gefährdet, da er dann schutzlos im Internet Segment hängt.
Was meinst du mit deinem Satz "Level 2" Switch ???
Consumer Router ala NetGear oder D-Link routen aber immer nur zwischen dem WAN Port (DSL/ISDN) und dem LAN Port und das auch meist mit NAT, haben folglich also immer nur 2 fixe, nicht erweiterbare Ports.
Mehr Interfaces die routen können haben die ja leider nicht sonst wäre das Problem recht einfach zu lösen. Deshalb auch der Vorschlag das mit einem FLI4L (fli4l.de) oder IP-Cop System zu machen.
Der DMZ Port auf solchen Consumer Routern ist ein Port der nicht über das NAT (Adress Translation) geht und physisch im gleichen Segment hängt wie der WAN Port eines solchen Systems. Der nützt dir also gar nichts zum Anschluss eines weiteren internen LANs und wäre zudem auch noch gefährdet, da er dann schutzlos im Internet Segment hängt.
Was meinst du mit deinem Satz "Level 2" Switch ???
hm. ok, aber dass müsste das mit dem zusammenhängen von 2 Routern doch funktionieren...
hab mich nur gewundert dass ein VLAN mit einem 2nd Level Switch möglich sein soll. Ich hab in der Schule gelernt, dass man dazu einen 3rd Level Switch benötigt.
hab mich nur gewundert dass ein VLAN mit einem 2nd Level Switch möglich sein soll. Ich hab in der Schule gelernt, dass man dazu einen 3rd Level Switch benötigt.
Ich habe noch einen 3Com SuperStack II 3300 Switch rumliegen.
Der unterstützt 802.1Q, einen Standard zum Einrichten von VLANs.
Kann ich mit dem die beiden Netzwerke über VLAN voneinender "trennen" ?
Verstehe (noch) nicht warum ich dafür einen Layer 3 Switch brauche anstatt einen Layer 2 Switch mit VLAN Funktion?
Der unterstützt 802.1Q, einen Standard zum Einrichten von VLANs.
Kann ich mit dem die beiden Netzwerke über VLAN voneinender "trennen" ?
Verstehe (noch) nicht warum ich dafür einen Layer 3 Switch brauche anstatt einen Layer 2 Switch mit VLAN Funktion?
die Ports der zwei Netze werden in verschiedene VLANs konfiguriert und können sich dadurch erst sehen wenn auf dem Router ein Routing zwischen den Netzen aktiviert wird. Ansonsten sehen sich die Netze nicht.
mit dot1q sollte das ohne Problem möglich sein.
Entweder habe ich es überlesen oder du hast dich noch nicht zum Router geäußert.
Der Router müsste nämlich mit Trunking umgehen können
mit dot1q sollte das ohne Problem möglich sein.
Entweder habe ich es überlesen oder du hast dich noch nicht zum Router geäußert.
Der Router müsste nämlich mit Trunking umgehen können
@milena555
Nicht "Level" sondern Layer ! Die Nomenklatur orientiert sich am OSI Modell.
Nein, da hat die eurer Lehrer definitiv was Falsches beigebracht !
VLANs haben erstmal mit Layer 3 Switches gar nicht zu tun !!!
VLANs bedeutet lediglich das man auf einer Infrastruktur, sprich einem Switch (der ja erstmal nur Layer 2 supportet, also im MAC Layer arbeitet) mehrere völlig getrennte Segmente fahren kann. Stell dir das so vor bei 3 VLANs ist es so als ob du 3 getrennte Netze über 3 getrennte Switches fährst.
In so einem Szenario ist eine Kommunikation zwischen diesen Netzen nicht möglich, denn ein Layer 2 Switch supportet kein Bridging oder Routing zwischen diesen Segmenten.
Das ist erst möglich mit einem externen Router oder einer externen Bridge oder..... einem Switch der Routing supported zwischen diesen VLANs. Also ein Router der im Switch integriert ist. Das ist dann ein Layer 3 fähiger oder einfach Layer 3 Switch.
Ein externes Routen kann mit einem dedizierten Router geschehen oder auch z.B. mit einem Server der routen kann und mehrere LAN Karten hat.
Solche externen Lösungen sind aber generell schlecht, da die Netzwerkfunktionalität von solchen Geräten abhängt. Stirbt der Server (oder wird gewartet) stirbt auch das Netz......
Zu deinem Einwand mit den 2 Routern: Das geht natürlich aber dann brauch ich auch 2 getrennte DSL Zugänge....das wäre unsinnig in dem Szenario von "IT-Professional" und sicher auch nicht das was er will.
@ IT-Professionel
Den 3Com kannst du prima verwenden zum Trennen der VLANs. Das Problem was du hast ist oben in der Erklärung für "milena555" beschrieben:
Wie bekommst du deine IP Netze wieder zusammen ???? Das geht nur mit einem Router !!!
Wie gesagt entweder extern mit dem 3Com, oder einem L3 fähigen Switch.
Als Ausweg gibt es noch eine Bastellösung, die aber 2 Router erfordert:
1.) Du nimmst deinen 3 Com und trennst die Netze in 2 VLANs
2.) beide VLANs verbindest du mit einem Consumer DSL Router der ein Ethernet WAN Interface hat (vielleicht hast du sowas noch über..) auf dem man eine statische IP Adresse vergeben kann !
3) Den SDL Router plazierst du im Firmen LAN wie er jetzt angeschlossen ist
Das Szenario sieht dann so aus:
VLAN1(Firma)-----WANinterface_(DSL-Router)_Ethernetinterface-----VLAN2(Schulung)
Das pfiffige an dieser einfachen Lösung ist das durch die NAT Funktion des Routers das gesamte Schulungsnetz auf eine Adresse aus dem Firmennetz abgebildet wird. Die Schulungsnetz Adressen sind also nicht sichtbar im Firmennetz. Zugänge vom Firmennetz ins Schulungsnetz verhindert ebenfalls die NAT Funktion des Routers, das ginge dann nur mit Port Forwarding.
Es gibt nur einen Nachteil:
In dieser Konstellation sind immer noch Zugriffe von Schulungsnetz Rechnern auf Firmennetz möglich und das auch noch mit einer Adresse aus dem Firmennetz selber (Router NAT)
Dies kann man aber wirkungsvoll verhindern wenn man nicht gerade den billigsten Router hierfür einsetzt sondern ein etwas besseres Modell mit dem man Zugriffslisten konfigurieren kann.
Hier definiert man dann z.B. eine Zugriffsliste die Kommunikation dieser NAT Adresse nur mit dem Router zulässt.
"Quick and Dirty.." sollte aber funktionieren...
Nicht "Level" sondern Layer ! Die Nomenklatur orientiert sich am OSI Modell.
Nein, da hat die eurer Lehrer definitiv was Falsches beigebracht !
VLANs haben erstmal mit Layer 3 Switches gar nicht zu tun !!!
VLANs bedeutet lediglich das man auf einer Infrastruktur, sprich einem Switch (der ja erstmal nur Layer 2 supportet, also im MAC Layer arbeitet) mehrere völlig getrennte Segmente fahren kann. Stell dir das so vor bei 3 VLANs ist es so als ob du 3 getrennte Netze über 3 getrennte Switches fährst.
In so einem Szenario ist eine Kommunikation zwischen diesen Netzen nicht möglich, denn ein Layer 2 Switch supportet kein Bridging oder Routing zwischen diesen Segmenten.
Das ist erst möglich mit einem externen Router oder einer externen Bridge oder..... einem Switch der Routing supported zwischen diesen VLANs. Also ein Router der im Switch integriert ist. Das ist dann ein Layer 3 fähiger oder einfach Layer 3 Switch.
Ein externes Routen kann mit einem dedizierten Router geschehen oder auch z.B. mit einem Server der routen kann und mehrere LAN Karten hat.
Solche externen Lösungen sind aber generell schlecht, da die Netzwerkfunktionalität von solchen Geräten abhängt. Stirbt der Server (oder wird gewartet) stirbt auch das Netz......
Zu deinem Einwand mit den 2 Routern: Das geht natürlich aber dann brauch ich auch 2 getrennte DSL Zugänge....das wäre unsinnig in dem Szenario von "IT-Professional" und sicher auch nicht das was er will.
@ IT-Professionel
Den 3Com kannst du prima verwenden zum Trennen der VLANs. Das Problem was du hast ist oben in der Erklärung für "milena555" beschrieben:
Wie bekommst du deine IP Netze wieder zusammen ???? Das geht nur mit einem Router !!!
Wie gesagt entweder extern mit dem 3Com, oder einem L3 fähigen Switch.
Als Ausweg gibt es noch eine Bastellösung, die aber 2 Router erfordert:
1.) Du nimmst deinen 3 Com und trennst die Netze in 2 VLANs
2.) beide VLANs verbindest du mit einem Consumer DSL Router der ein Ethernet WAN Interface hat (vielleicht hast du sowas noch über..) auf dem man eine statische IP Adresse vergeben kann !
3) Den SDL Router plazierst du im Firmen LAN wie er jetzt angeschlossen ist
Das Szenario sieht dann so aus:
VLAN1(Firma)-----WANinterface_(DSL-Router)_Ethernetinterface-----VLAN2(Schulung)
Das pfiffige an dieser einfachen Lösung ist das durch die NAT Funktion des Routers das gesamte Schulungsnetz auf eine Adresse aus dem Firmennetz abgebildet wird. Die Schulungsnetz Adressen sind also nicht sichtbar im Firmennetz. Zugänge vom Firmennetz ins Schulungsnetz verhindert ebenfalls die NAT Funktion des Routers, das ginge dann nur mit Port Forwarding.
Es gibt nur einen Nachteil:
In dieser Konstellation sind immer noch Zugriffe von Schulungsnetz Rechnern auf Firmennetz möglich und das auch noch mit einer Adresse aus dem Firmennetz selber (Router NAT)
Dies kann man aber wirkungsvoll verhindern wenn man nicht gerade den billigsten Router hierfür einsetzt sondern ein etwas besseres Modell mit dem man Zugriffslisten konfigurieren kann.
Hier definiert man dann z.B. eine Zugriffsliste die Kommunikation dieser NAT Adresse nur mit dem Router zulässt.
"Quick and Dirty.." sollte aber funktionieren...
