scriptorius
Goto Top

VLAN-Konfiguration: Grundsätzliche Fragen

Hallo,

Ziel: Mein Heimnetz mit VLANs segmentieren.

Router/ Firewall soll eine pfsense auf einem apu2-board sein, der Switch ist ein Cisco Sg350-28 im Layer-2 Modus, (die pfsense soll "routen").
(ein zweiter Switch, Netgear GS108-Ev3, soll mehrere Anschlussmöglichkeiten schaffen, darum will ich mich erst später kümmern, der soll hier nicht Thema sein)

(grobe) Skizze:
Internet > (wan-Port) pfsense (lan-Port) > (Port 26) Switch (Port 25) > (Port 8) Switch

Da ich mich erstmalig mit dieser Thematik auseinander setze, habe ich grundsätzliche Frage zur VLAN-Konfiguration des Cisco Switches (damit beschäftige ich mich zur Zeit):

Jedem Port kann hier zugewiesen werden, ob er "Trunk"-Port oder "Access"-Port sein soll.
"Trunk-Ports" können "tagged", "untagged" oder "excluded" sein.
"Trunk"-Ports müssen (in diesem Fall) "firewall/router und switch" oder "switch und switch" "tagged" verbinden.
Die uplink-Ports (25 (uplink 2ter Switch und 26 Verbindung pfsense) müssen also "Trunk" und "tagged" sein.
("Access"-Ports gruppieren die einzelnen VLANs.)
("Access"-Ports können "untagged", "excluded" und "Multicast TV VLAN" sein)

Ich habe alle Switch-Ports auf "Trunk" gesetzt.
Die VLANs gruppiere ich mit "untagged" (= Mitglied des VLAN) oder "excluded" (ausgeschlossen).
Die beiden uplink-Ports (25, 26) sind in jedem VLAN als "Trunk" und "tagged" enthalten:

(grobe) Skizze:
VLAN1 = Switchport: 1-2 "untagged" mit Port 25-26 "tagged", restliche Ports "excluded" > Name: default
VLAN 10 = Switchport: 3-10 "untagged“ mit Port 25-26 "tagged" , restliche Ports "excluded" > Name: produktiv
VLAN 20 = Switchport: 11-20 "untagged" mit Port 25-26 "tagged", restliche Ports "excluded" > Name: privat-IOT
VLAN 30 = Switchport: 21-22 "untagged" mit Port 25-26 "tagged", restliche Ports "excluded" > Name: DMZ
VLAN 40 = Switchport: 23-24 "untagged" mit Port 25-26 "tagged", restliche Ports "excluded" > Name: Gast

(Die Ports 27 und 28 lasse ich außen vor.)

Ich frage mich, ob ich grundsätzlich die VLAN Konfiguration verstanden oder ob ich einen Denkfehler habe?
Natürlich habe ich die Anleitungen von aqui gelesen. Sie sind meine Grundlage.

Content-Key: 572687

Url: https://administrator.de/contentid/572687

Ausgedruckt am: 28.03.2024 um 12:03 Uhr

Mitglied: tikayevent
Lösung tikayevent 17.05.2020 um 19:19:18 Uhr
Goto Top
Trunkports sind dafür gedacht, dass dort mehr als ein VLAN übertragen wird. Tagged und untagged definieren dann, ob Pakete aus dem jeweiligen VLAN mit dem Tag markiert werden oder nicht.

Normale Endgeräte, die nur Zugang zu einem VLAN benötigen, werden als Access hinterlegt mit exakt einer VLAN-ID.

Also in deinem Fall dürfte der Switchport, an dem die pfSense hängt, der einzige Trunk sein.
Mitglied: scriptorius
scriptorius 17.05.2020 um 19:25:28 Uhr
Goto Top
Vielen Dank für die Antwort.
In der Anleitung von aqui >hier< ist auf dem Bild zu sehen, dass alle Ports als "Trunk" markiert sind.
Oder sehe ich das falsch?
Mitglied: tikayevent
tikayevent 17.05.2020 um 19:32:51 Uhr
Goto Top
Rein technisch geht es, ist aber von Cisco nicht vorgesehen und bei den Catalyst kann das noch unschöne Sachen mit sich bringen.
Mitglied: scriptorius
scriptorius 17.05.2020 um 20:29:19 Uhr
Goto Top
Ok, also gibt es hier mehrere Wege, wenn ich das richtig verstehe.
Eigentlich muss aber nur die Verbindung zwichen pfsense und Switchport "Trunk" und "tagged" sein?
Die Verbindung zwischen den beiden Switches dann nicht?
Mitglied: tikayevent
tikayevent 17.05.2020 um 20:41:48 Uhr
Goto Top
Sorry, den zweiten Switch hab ich übersehen, die Verbindung zwischen den Switches muss auch ein Trunk sein.

Die Verbindung zur pfSense muss ein Trunk sein, tagged oder untagged kommt auf die Konfiguration an. Tagged nur, wenn es aus der pfSense mit einem Tag herausläuft. Wenn es direkt über die Netzwerkschnittstelle geht, wäre es untagged. Darf beides kombiniert werden, aber untagged nur einmal pro Port, tagged bis zu 4094 mal.

Ich mache es immer so, dass ich das Netzwerk, über welches ich Zugriff auf das Management der Geräte nehmen kann, als untagged laufen lasse, für den Fall, dass mir der Switch stirbt oder ich mich verkonfiguriere, um weiterhin an die Geräte zu kommen. Des Weiteren betreibe ich bei mir in der Firma Autoprovisioning für die Netzwerkgeräte, das macht mit VLANs auf der Managementschnittstelle etwas weniger Spaß.
Aber das ist meine Variante, irgendeiner wird gleich garantiert aufschreien und "Sicherheit" rufen.
Mitglied: scriptorius
scriptorius 17.05.2020 aktualisiert um 20:58:00 Uhr
Goto Top
Kein Problem, ich danke für Deine Hilfe.

Ja, das ist natürlich super für einen Anfänger wie mich - "4094" Möglichkeiten face-smile

Eine weitere Frage: Diese beiden "Trunk" und "tagged" Ports (25+26 in meinem Fall) müssen aber auf jeden Fall Teil eines jeden VLANs (1, 10, 20, 30, 40 bei mir ) sein?
Mitglied: tikayevent
tikayevent 17.05.2020 um 21:00:47 Uhr
Goto Top
Wenn du die VLANs auf beiden Switchen nutzen willst, müssen die Ports Mitglied des VLANs sein.
Mitglied: scriptorius
scriptorius 17.05.2020 aktualisiert um 21:05:09 Uhr
Goto Top
Entschuldige, falls ich langsam nerve, aber für mich ist das alles keinesfalls selbstverständlich und nicht eindeutig.
Daher die Frage: Mitglied in allen VLANs?
Also Mitglied in den VLANs 1, 10, 20, 30, 40?
Mitglied: tikayevent
Lösung tikayevent 17.05.2020 um 21:48:19 Uhr
Goto Top
Mitglied in allen VLANs, die du nutzen willst. Bei dir mögen es diese fünf VLANs sein. Es macht z.B. keinen Sinn, wenn man zehn VLANs hat, aber auf einem Switch nur zwei VLANs benötigt, alle zehn VLANs auf den Trunk zu legen. Es kostet nämlich auch Performance durch Broadcasts und unknown Unicasts, die auf der Leitung liegen, dann aber vom Switch verworfen werden, wenn es das VLAN dort nicht gibt.

Wenn du in deiner Installation deine fünf VLANs auf beiden Switches nutzen willst, dann müssen alle fünf VLANs auf dem Trunkport anliegen.
Mitglied: scriptorius
scriptorius 17.05.2020 um 21:56:15 Uhr
Goto Top
Ich danke Dir
Mitglied: aqui
aqui 18.05.2020 aktualisiert um 11:33:46 Uhr
Goto Top
In der Anleitung von aqui >hier< ist auf dem Bild zu sehen, dass alle Ports als "Trunk" markiert sind.
Das kommt da im Screenshot leider falsch rüber. Im Default ist bei Cisco alles als Trunk gesetzt, daher der etwas falsche Screenshot. Aber gut beobachtet.
Nachher im Produktiv Setup definierst du die Untagged Endgeräte Ports natürlich als reine Access Ports, dann verschwindet auch die "Trunk" Anzeige.
Das ist aber rein nur eine Eigenart der Cisco SG-Modelle und gilt NICHT für andere Hersteller.

Bitte lies zum obigen VLAN Tutorial auch nochmal die "VLAN Schnellschulung" die hilft auch etwas zum Verständnis.
Heimnetzwerk Aufbauen oder auch wie wird ein Longshine LCS-GS8408 eingerichtet
Mitglied: scriptorius
scriptorius 18.05.2020 um 12:37:20 Uhr
Goto Top
Hallo,

vielen Dank, die VLAN-Schnellschulung habe ich archviert.
Die macht Vieles nochmal verständlicher.

Könntest Du mir noch den ein oder anderen Tipp zur grundsätzlichen Konfiguration des Cisco-Switches geben?

Was ich bisher am Anfang gemacht habe:
- firmware aktualisiert (klar)
- Passwort und Nutzername geändert (klar)
- Zeitserver eingestellt
- PNP ausgeschaltet (damit der Switch nicht nach Hause telefoniert)
- IPv4 Routing: abgeschaltet (da die pfsense das Routen übernehmen soll)

Was ist z. B. mit den Port Settings? Kann man die Einstellungen erstmal so lassen?
Ich will mir zunächst nur die absoluten Grundlagen aneignen.
Spezielle Detailfragen ergeben sich sicherlich erst mit wachsender Erfahrung ...
Mitglied: aqui
Lösung aqui 18.05.2020 um 12:49:17 Uhr
Goto Top
Was ich bisher am Anfang gemacht habe:
Alles richtig gemacht ! 👍
Was ist z. B. mit den Port Settings? Kann man die Einstellungen erstmal so lassen?
Ja. Du solltest aber deine Access Ports, also solche wo immer ungetaggte Endgeräte ran kommen wie z.B. deine PCs, Drucker usw., immer gleich auch als "Access Ports" deklarieren. Das macht die Konfig wasserdichter und vereinfacht ggf. ein späteres Troubleshooting. (VLAN Management --> Interface Settings)
port

Mehr musst du nicht machen !
Spezielle Detailfragen ergeben sich sicherlich erst
So ist es...! face-wink
Mitglied: scriptorius
scriptorius 18.05.2020 um 12:58:44 Uhr
Goto Top
Super, vielen Dank