9
Anfängerfrage zu Vlan
Hallo,
ich beschäftige mich zum ersten Mal mit Vlans und habe scheinbar etwas ganz wesentliches nicht verstanden.
Zuerst lege ich ein neues Vlan mit der ID 100 an.
Danach konfiguriere ich die Port 24 und 3, sodass sie mit der ID 100 getaggt sind. Alle anderen Ports sind bei 100 untaggt.
Hänge ich die Rechner an die getaggten Ports, funktioniert kein Ping. Stecke ich auf andere, untaggt-Ports (nicht 3 oder 24) geht der Ping durch.
Kann mir bitte jemand schreiben, was ich falsch gemacht habe?
Danke!
ich beschäftige mich zum ersten Mal mit Vlans und habe scheinbar etwas ganz wesentliches nicht verstanden.
Zuerst lege ich ein neues Vlan mit der ID 100 an.
Danach konfiguriere ich die Port 24 und 3, sodass sie mit der ID 100 getaggt sind. Alle anderen Ports sind bei 100 untaggt.
Hänge ich die Rechner an die getaggten Ports, funktioniert kein Ping. Stecke ich auf andere, untaggt-Ports (nicht 3 oder 24) geht der Ping durch.
Kann mir bitte jemand schreiben, was ich falsch gemacht habe?
Danke!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 220617
Url: https://administrator.de/forum/anfaengerfrage-zu-vlan-220617.html
Ausgedruckt am: 06.04.2025 um 15:04 Uhr
9 Kommentare
Neuester Kommentar
Hallo,
Von wo nach wo? (Port 3 nach 24 / 24 nach 3 oder auch andere Potrs). Bitte Präzise sein.
Wir wissen hier nicht was du tust, noch was du beabsichtigst zu tun, noch was du getan hast, noch was du von wo nach wo über wen verbunden mit und über router X gehend mit wem pingen (ICMP) tun willst. Wir kennen weder dein Netzaufbau noch deine verwendeten Geräte (Switche UND Router) noch deine OS noch deine Routen noch was du sonst wie wo warum auch immer eingestellt hast. Wir sind also unwissende.
nur die Fakten und Daten um dein Aufbau von oben erahnen zu könenn bzw. wenn möglich sogar zu Verstehen um den Fehler zu erkennen. Du hast uns Fragenbezogen Fakten verschwiegen bzw. willst uns in ratespiele verfallen lassen. Immer wenn wir unsere Kristkaugel bemühen müssen, kommen uns vermutungen in die Quere. Hilft dir also nicht. Deine Frage ist wie: "Ich hab die Schraube 3 um 5 Zacken nach links gedreht und den Schieber weiter reingeschoben. Es geht nicht. Was mache ich Falsch?"
Gruß,
Peter
Von wo nach wo? (Port 3 nach 24 / 24 nach 3 oder auch andere Potrs). Bitte Präzise sein.
Stecke ich auf andere, untaggt-Ports (nicht 3 oder 24) geht der Ping durch.
Was umstecken? Beide gleichzeitiog, nur einen, Andere Ports auf andere Ports? Bitte Präzise sein.Wir wissen hier nicht was du tust, noch was du beabsichtigst zu tun, noch was du getan hast, noch was du von wo nach wo über wen verbunden mit und über router X gehend mit wem pingen (ICMP) tun willst. Wir kennen weder dein Netzaufbau noch deine verwendeten Geräte (Switche UND Router) noch deine OS noch deine Routen noch was du sonst wie wo warum auch immer eingestellt hast. Wir sind also unwissende.
Kann mir bitte jemand schreiben, was ich falsch gemacht habe?
Was du sonst noch alles falsch machst wollen wir hier nicht wissen nur die Fakten und Daten um dein Aufbau von oben erahnen zu könenn bzw. wenn möglich sogar zu Verstehen um den Fehler zu erkennen. Du hast uns Fragenbezogen Fakten verschwiegen bzw. willst uns in ratespiele verfallen lassen. Immer wenn wir unsere Kristkaugel bemühen müssen, kommen uns vermutungen in die Quere. Hilft dir also nicht. Deine Frage ist wie: "Ich hab die Schraube 3 um 5 Zacken nach links gedreht und den Schieber weiter reingeschoben. Es geht nicht. Was mache ich Falsch?"Gruß,
Peter
Hi
Routest du das VLAN 100 den auch mit irgendwas ?
Was pingst du den ?
MfG Nemesis
Routest du das VLAN 100 den auch mit irgendwas ?
Was pingst du den ?
MfG Nemesis
Ok. Sorry
Rechner A mit der IP 192.168.129.2 hängt an Port 3 (VID 100, taggt).
Rechner B hängt mit der IP 192.168.129.3 an Port 24 (VID 100, taggt).
Der Ping geht in beide Richtungen nicht durch.
Rechner und Rechner B hängen an untaggt Ports (z.B. 9,10)
der Ping geht in beide Richtungen durch.
Geroutet wird nicht.
Ich möchte einfach die Funktionsweise von Vlan verstehen und zwei Rechner testweise durch ein eigenes Vlan verbinden.
Rechner A mit der IP 192.168.129.2 hängt an Port 3 (VID 100, taggt).
Rechner B hängt mit der IP 192.168.129.3 an Port 24 (VID 100, taggt).
Der Ping geht in beide Richtungen nicht durch.
Rechner und Rechner B hängen an untaggt Ports (z.B. 9,10)
der Ping geht in beide Richtungen durch.
Geroutet wird nicht.
Ich möchte einfach die Funktionsweise von Vlan verstehen und zwei Rechner testweise durch ein eigenes Vlan verbinden.
Ich glaube, ich habe es gerade herausgefunden:
Ich habe im Vlan 1 (management Vlan des Switches) alle Ports auf "Exclude All" gestellt und nur die Ports 1 und 23 mit der ID 1 getaggt.
Wenn ich die Ports 3 und 24 beim Vlan 1 auf untaggt stelle, funktioniert der Ping.
Heißt die Einstellung "exclude All", dass der Port deaktiviert ist?
Warum ist es dann der Ping beim Vlan 100 durchgegangen?
Ich habe im Vlan 1 (management Vlan des Switches) alle Ports auf "Exclude All" gestellt und nur die Ports 1 und 23 mit der ID 1 getaggt.
Wenn ich die Ports 3 und 24 beim Vlan 1 auf untaggt stelle, funktioniert der Ping.
Heißt die Einstellung "exclude All", dass der Port deaktiviert ist?
Warum ist es dann der Ping beim Vlan 100 durchgegangen?
Moin,
du kannst glaube ich mit den Begriffen "tagged" und "untagged" nicht richtig was anfangen...
Tagged = die einzelnen Pakete werden mit der VLAN ID makriert (=getagged), der Host muss daher auch mit VLAN umgehen können und seinen NICs entsprechend konfiguriert haben - so sind mehrere getaggte VLANs auf einem Port möglich.
Untagged = die Pakete werden NICHT mit einer VLAN ID markiert - der Host muss also nichts vom VLAN wissen. Es geht daher immer nur ein untagged VLAN pro Port.
lg,
Slainte
du kannst glaube ich mit den Begriffen "tagged" und "untagged" nicht richtig was anfangen...
Tagged = die einzelnen Pakete werden mit der VLAN ID makriert (=getagged), der Host muss daher auch mit VLAN umgehen können und seinen NICs entsprechend konfiguriert haben - so sind mehrere getaggte VLANs auf einem Port möglich.
Untagged = die Pakete werden NICHT mit einer VLAN ID markiert - der Host muss also nichts vom VLAN wissen. Es geht daher immer nur ein untagged VLAN pro Port.
die Einstellung "exclude All", dass der Port deaktiviert ist?
Das liest du am besten mal im Handbuch deiner Hardware nach - hier erfinden alle Hersteller ihre eigenen Begrifflichkeitenlg,
Slainte
Danke!
Zur Verdeutlichung habe ich ein Bild eingefügt. So ungefähr stelle ich mir das vor:
http://imageshack.us/photo/my-images/5/xa20.jpg/
Auf beiden Switches erstelle ich 3 Vlans:
100 Management
200 Verwaltung
300 Schulung
Vlan 1 ist default und soll "Black hole vlan" sein
Die Verwaltungsrechner sind am Port 5 (an den Switches) angeschlossen, deshalb stelle ich am Port 5 PVID 200 tagged ein. Die anderen Ports stehen auf exclude (wobei ich noch immer nicht weiß, was das heißt).
Die Schulungsnetzrechner sind am Port 6 angeschlossen, deshalb stelle ich am Port 6 PVID 400 tagged ein., Die anderen Ports stehen auf exclude.
Der Trunk ist an beiden Switches am Port 24 angeschlossen (Deshalb hat der PVID 100, 200, 300)
Vlan 1 soll das "black hole vlan" werden, deshalb setze ich hier alle Ports auf untagged. Alle Ports müssen einmalig untagged sein, oder?
Welche Ports müssen die Management Ports bei S1 und S2 mit der PVID 100 sein? Bei S2 z.b Port 20 für den Rechner und bei S1 Port 24, weil da der Trunk angeschlossen ist?
Clientseitig sollte ich ja nichts einstellen müssen, soweit ich weiß. Sollte das so funktionieren (passende SN vorausgesetzt, die Verwaltungsrechner haben natürlich unterschiedliche IPs).
Zur Verdeutlichung habe ich ein Bild eingefügt. So ungefähr stelle ich mir das vor:
http://imageshack.us/photo/my-images/5/xa20.jpg/
Auf beiden Switches erstelle ich 3 Vlans:
100 Management
200 Verwaltung
300 Schulung
Vlan 1 ist default und soll "Black hole vlan" sein
Die Verwaltungsrechner sind am Port 5 (an den Switches) angeschlossen, deshalb stelle ich am Port 5 PVID 200 tagged ein. Die anderen Ports stehen auf exclude (wobei ich noch immer nicht weiß, was das heißt).
Die Schulungsnetzrechner sind am Port 6 angeschlossen, deshalb stelle ich am Port 6 PVID 400 tagged ein., Die anderen Ports stehen auf exclude.
Der Trunk ist an beiden Switches am Port 24 angeschlossen (Deshalb hat der PVID 100, 200, 300)
Vlan 1 soll das "black hole vlan" werden, deshalb setze ich hier alle Ports auf untagged. Alle Ports müssen einmalig untagged sein, oder?
Welche Ports müssen die Management Ports bei S1 und S2 mit der PVID 100 sein? Bei S2 z.b Port 20 für den Rechner und bei S1 Port 24, weil da der Trunk angeschlossen ist?
Clientseitig sollte ich ja nichts einstellen müssen, soweit ich weiß. Sollte das so funktionieren (passende SN vorausgesetzt, die Verwaltungsrechner haben natürlich unterschiedliche IPs).
1
Du solltest als Grundlage ggf.noch das hier lesen:
http://www.schulnetz.info/vlan-einstieg-was-ist-ein-vlan/
http://de.wikipedia.org/wiki/Virtual_Local_Area_Network
bzw. die Praxis
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Damit hast du dann ein gutes Rüstzeug zum Verständnis von VLANs !
P.S.: Und bitte keine externen Bilderlinks ! Es gibt eine Bilder Upload Funktion hier im Forum die du nicht übersehen kannst wenn du deinen Original Thread mit Klick auf "Bearbeiten" einmal editierst.
Den Bilder URL nach dem Upload kannst du in jeglichen Text hier einfügen und damit ersparst du uns dann den Imageshack Mist mit Zwangswerbung !
http://www.schulnetz.info/vlan-einstieg-was-ist-ein-vlan/
http://de.wikipedia.org/wiki/Virtual_Local_Area_Network
bzw. die Praxis
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
VLANs über 802.1q Trunk auf Windows und Linux Rechnern realisieren
Damit hast du dann ein gutes Rüstzeug zum Verständnis von VLANs !
P.S.: Und bitte keine externen Bilderlinks ! Es gibt eine Bilder Upload Funktion hier im Forum die du nicht übersehen kannst wenn du deinen Original Thread mit Klick auf "Bearbeiten" einmal editierst.
Den Bilder URL nach dem Upload kannst du in jeglichen Text hier einfügen und damit ersparst du uns dann den Imageshack Mist mit Zwangswerbung !
Danke @aqui
Ich denke, ich habe es jetzt soweit verstanden, bitte aber um Korrektur, wenn es Blödsinn ist:
Ein End-Devices muss auf einem Untagged-Port hängen - daher kann jeder Port nur einmal untagged sein.
Möchte man zwei Switches verbinden, muss die Vlaninformation weitergegeben werden, damit müssen die Ports auf den Switches, die zur Verbindung genutzt werden, die PVIDs enthalten und daher getagged sein.
Ein Managementport kann nur verwendet werden, wenn man direkt mit dem Rechner auf den Managementport des Switches hängt (z.B. Coreswitch im Serverraum). Möchte man einen Switch administrieren auf den man nicht direkt angeschlossen ist, darf kein Managementport eingestellt sein.
Ich denke, ich habe es jetzt soweit verstanden, bitte aber um Korrektur, wenn es Blödsinn ist:
Ein End-Devices muss auf einem Untagged-Port hängen - daher kann jeder Port nur einmal untagged sein.
Möchte man zwei Switches verbinden, muss die Vlaninformation weitergegeben werden, damit müssen die Ports auf den Switches, die zur Verbindung genutzt werden, die PVIDs enthalten und daher getagged sein.
Ein Managementport kann nur verwendet werden, wenn man direkt mit dem Rechner auf den Managementport des Switches hängt (z.B. Coreswitch im Serverraum). Möchte man einen Switch administrieren auf den man nicht direkt angeschlossen ist, darf kein Managementport eingestellt sein.
.Ein End-Devices muss auf einem Untagged-Port hängen
A.: Jein, wenn das Enddevice auch tagged Frames versteht (siehe Tutorial mit der Serveranbindung) geht auch nattürlich tagged...kommt also drauf an.
Aber der gemeine PC oder Drucker ist normalerweise immer untagged, in so fern hast du in den meisten Fällen Recht.
...daher kann jeder Port nur einmal untagged sein
Einmal untagged in einem VLAN...so wäre es richtig und das meinst du vermutlich auch ? Ja das stimmt.
...zwei Switches verbinden, muss die Vlaninformation weitergegeben werden...
Ja, die Aussage ist korrekt !
...darf kein Managementport eingestellt sein.
Tja das ist ein bischen wischiwaschi....stimmt aber im Kern.
Die Frage ist WAS ist dein Management Port. Bei vielen Switches ist das ein 9600 Baud asynchroner Terminalanschluss. Da kann man eh nix anderes anschliessen.
Viele verbinden aber diesen seriellen Poprt mit einem Terminalserver. Das ist eine kleine Box die kann Telnet via Ethernet rein und seriell 9600 Baud raus so wie ansatzweise hier beschrieben:
Netzwerk Management Server mit Raspberry Pi
(Kapitel: "Terminal Server für remoten Zugang" !)
Damit ist dann problemlos ein remotes Mangement ohne lokalen Anschluss möglich.
Andere Switches haben einen dedizierten Ethernetport der vom produktiven Switchnetz vollkommen getrennt ist. Das ist oft auch sinnvoll wenn Fehler im Produktivnetz auftreten hat man so immer einen sicheren, ungestörten Zugang.
Viele Netzwerker bauen damit dann ein separates, verbundenes Managementnetz auf mit dem man den Switch dann sehr wohl auch remote aus der Ferne ohne laklen Zugang managen kann.
3te Option das Mangement über das Produktivnetz was aktiv geswitched wird (inbound Verbindung). Auch das erfordert keinen lokalen Anschluss sondern kann ebenfalls bequem mit Telnet, SSH oder GUI aus der Ferne gemacht werden.
Keiner deiner o.a. Szenarien erfordert also immer zwingend einen nur lokal verfügbaren Anschluss !
A.: Jein, wenn das Enddevice auch tagged Frames versteht (siehe Tutorial mit der Serveranbindung) geht auch nattürlich tagged...kommt also drauf an.
Aber der gemeine PC oder Drucker ist normalerweise immer untagged, in so fern hast du in den meisten Fällen Recht.
...daher kann jeder Port nur einmal untagged sein
Einmal untagged in einem VLAN...so wäre es richtig und das meinst du vermutlich auch ? Ja das stimmt.
...zwei Switches verbinden, muss die Vlaninformation weitergegeben werden...
Ja, die Aussage ist korrekt !
...darf kein Managementport eingestellt sein.
Tja das ist ein bischen wischiwaschi....stimmt aber im Kern.
Die Frage ist WAS ist dein Management Port. Bei vielen Switches ist das ein 9600 Baud asynchroner Terminalanschluss. Da kann man eh nix anderes anschliessen.
Viele verbinden aber diesen seriellen Poprt mit einem Terminalserver. Das ist eine kleine Box die kann Telnet via Ethernet rein und seriell 9600 Baud raus so wie ansatzweise hier beschrieben:
Netzwerk Management Server mit Raspberry Pi
(Kapitel: "Terminal Server für remoten Zugang" !)
Damit ist dann problemlos ein remotes Mangement ohne lokalen Anschluss möglich.
Andere Switches haben einen dedizierten Ethernetport der vom produktiven Switchnetz vollkommen getrennt ist. Das ist oft auch sinnvoll wenn Fehler im Produktivnetz auftreten hat man so immer einen sicheren, ungestörten Zugang.
Viele Netzwerker bauen damit dann ein separates, verbundenes Managementnetz auf mit dem man den Switch dann sehr wohl auch remote aus der Ferne ohne laklen Zugang managen kann.
3te Option das Mangement über das Produktivnetz was aktiv geswitched wird (inbound Verbindung). Auch das erfordert keinen lokalen Anschluss sondern kann ebenfalls bequem mit Telnet, SSH oder GUI aus der Ferne gemacht werden.
Keiner deiner o.a. Szenarien erfordert also immer zwingend einen nur lokal verfügbaren Anschluss !
1
