10
Aus Produktivnetz auf VLAN auf seperaten Switch zugreifen
Hallo zusammen,
ich habe eine kurze Frage bzw. stehe auf dem Schlauch da ich mit VLAN's noch quasi nichts zu tun hatte.
Ausgangslage: Produktivnetz 192.168.10.0/24 über einen HP 2810-48G (ja wir haben halt nix anderes
)
Dazu einen HP 2610-48-PWR PoE Switch für die IP Telefone und RFID Zugangsreader mit 3 VLAN's.
Hier die Config:
Der Switch wurde von Avaya eingerichtet, das Default_VLAN ist das 192.168.2.0/24 Netz für die Telefone, VLAN 15 Zutritt Netz 192.168.15.0/24 und das VLAN 14 Zeiterfassung Netz 192.168.10.0/24.
Über den Port 52 geht eine Glasfaserleitung ins EG zu einem identischen Switch für die weiteren Telefone und Reader.
Meine Frage: Ich möchte von meinen Clients eine Verbindung zu den Readern im VLAN 14 aufbauen. Wie verdrahte ich das richtig?
Danke und Grüße
ich habe eine kurze Frage bzw. stehe auf dem Schlauch da ich mit VLAN's noch quasi nichts zu tun hatte.
Ausgangslage: Produktivnetz 192.168.10.0/24 über einen HP 2810-48G (ja wir haben halt nix anderes
)Dazu einen HP 2610-48-PWR PoE Switch für die IP Telefone und RFID Zugangsreader mit 3 VLAN's.
Hier die Config:
; J9089A Configuration Editor; Created on release #R.11.54
hostname "2610-48-PWR_OG"
snmp-server contact "AVAYA, +49 1802 741852, tsupportd@avaya.com"
time timezone 60
time daylight-time-rule Middle-Europe-and-Portugal
ip default-gateway 192.168.2.30
no timesync
snmp-server community "public" Unrestricted
vlan 1
name "DEFAULT_VLAN"
untagged 12-52
ip address 192.168.2.251 255.255.255.0
no untagged 1-11
exit
vlan 15
name "Zutritt"
untagged 1-8
tagged 52
exit
vlan 14
name "Zeiterf"
untagged 9-11
exit
qos type-of-service diff-services
spanning-tree
password manager
Der Switch wurde von Avaya eingerichtet, das Default_VLAN ist das 192.168.2.0/24 Netz für die Telefone, VLAN 15 Zutritt Netz 192.168.15.0/24 und das VLAN 14 Zeiterfassung Netz 192.168.10.0/24.
Über den Port 52 geht eine Glasfaserleitung ins EG zu einem identischen Switch für die weiteren Telefone und Reader.
Meine Frage: Ich möchte von meinen Clients eine Verbindung zu den Readern im VLAN 14 aufbauen. Wie verdrahte ich das richtig?
Danke und Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 231992
Url: https://administrator.de/contentid/231992
Ausgedruckt am: 21.11.2024 um 19:11 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
sind die beiden Switche schon miteinander verbunden und kann der HP 2810-48G auch V-LAN.
Problem ist, dass das Netz HP 2810-48G und V-LAN 14 vom anderen Switch den selben IP-Bereich haben.
Gruß
Chonta
sind die beiden Switche schon miteinander verbunden und kann der HP 2810-48G auch V-LAN.
Problem ist, dass das Netz HP 2810-48G und V-LAN 14 vom anderen Switch den selben IP-Bereich haben.
Gruß
Chonta
Hallo Chonta,
Nein die beiden sind momentan noch nicht verbunden, daher die Frage.
Ja der kann meines Wissens auch VLAN.
Ich möchte ja erreichen, dass die Server und Clients mit den Readern aus dem VLAN reden können, dazu müssen die ja in der gleichen IP Range sein?!
Grüße
Nein die beiden sind momentan noch nicht verbunden, daher die Frage.
Ja der kann meines Wissens auch VLAN.
Ich möchte ja erreichen, dass die Server und Clients mit den Readern aus dem VLAN reden können, dazu müssen die ja in der gleichen IP Range sein?!
Grüße
Hallo,
ja gleiche IP-Range, die Frage ist aber woher bekommen beide Bereiche ihre IP zugewiesen?
Wenn dein Switch und das V-LAN beide vom selben DHCP die IP bekommen, ist es ok, aber wenn nicht...
Da Du noch keine Physische Verbindung zum Netz der Reader hast, musst Du diese Herstellen, damit meine ich Du brauchst eine Verbindung mi einem Switch der das entsprechende netz auch erreichen kann.
Allerdings kenne ich mich auch nicht sooooo gut mit V-LAN aus.
Gruß
Chonta
ja gleiche IP-Range, die Frage ist aber woher bekommen beide Bereiche ihre IP zugewiesen?
Wenn dein Switch und das V-LAN beide vom selben DHCP die IP bekommen, ist es ok, aber wenn nicht...
Da Du noch keine Physische Verbindung zum Netz der Reader hast, musst Du diese Herstellen, damit meine ich Du brauchst eine Verbindung mi einem Switch der das entsprechende netz auch erreichen kann.
Allerdings kenne ich mich auch nicht sooooo gut mit V-LAN aus.
Gruß
Chonta
Der selbe IP Bereich für das selbe VLAN ist keine Problem. Das ist so gewollt und ein übliches Design.
Ausnahme, sie haben unterschiedliche Zugänge zu unterschiedlichen Netzen.
Zur Verbindung von den Switchen:
Definiere auf den uplinks alle VLANs und setze sie auf getaggt. Auf beiden Switchen. Dann gibt es jetzt noch evtl. Konfigurationsbedarf für STP oder RSTP.
Der Begriff default-VLAN kann sehr doppeldeutig sein.
Hier steht er im VLAN1 für alle Teilnehmer ausser der Zeiterfassung und der Zugangsberechtigung.
Die Idee ist alle Teilnehmer sind im default_VLAN, so lange nicht anderes konfiguriert wird.
Du meinst mit "deine Clients"? PCs im VLAN 1?
Dann benötigst du einen Router der zwischen dem VLAN1 mit der IP 192.168.2.x und VLAN14 mit der IP 192.168.10.x. Deine Switche sind beide reine Layer2 Typen. Den Router kannst du auch mit einem getaggten uplink anfahren. Aber es muss geroutet werden.
Ausnahme: PC oder Client mit zwei Schnittstellenkarten, wo die eine im 192.168.2.x Netz un die ander im 192.168.10.x Netz hängt.
Gruß
Netman
Ausnahme, sie haben unterschiedliche Zugänge zu unterschiedlichen Netzen.
Zur Verbindung von den Switchen:
Definiere auf den uplinks alle VLANs und setze sie auf getaggt. Auf beiden Switchen. Dann gibt es jetzt noch evtl. Konfigurationsbedarf für STP oder RSTP.
Der Begriff default-VLAN kann sehr doppeldeutig sein.
Hier steht er im VLAN1 für alle Teilnehmer ausser der Zeiterfassung und der Zugangsberechtigung.
Die Idee ist alle Teilnehmer sind im default_VLAN, so lange nicht anderes konfiguriert wird.
Du meinst mit "deine Clients"? PCs im VLAN 1?
Dann benötigst du einen Router der zwischen dem VLAN1 mit der IP 192.168.2.x und VLAN14 mit der IP 192.168.10.x. Deine Switche sind beide reine Layer2 Typen. Den Router kannst du auch mit einem getaggten uplink anfahren. Aber es muss geroutet werden.
Ausnahme: PC oder Client mit zwei Schnittstellenkarten, wo die eine im 192.168.2.x Netz un die ander im 192.168.10.x Netz hängt.
Gruß
Netman
Hallo nochmal,
danke für die Antworten.
Also im Endeffekt ist es so: Auf Port 10 (VLAN 14) im PoE Switch ist ein Reader mit IP 192.168.10.91, den möchte ich gerne von meinen Server 192.168.10.5 ansprechen, der im anderen Switch (ohne PoE und VLAN's) steckt.
Spanning Tree ist auf beiden aktiviert.
Wie meinst du das mit den Uplinks?
Grüße
danke für die Antworten.
Also im Endeffekt ist es so: Auf Port 10 (VLAN 14) im PoE Switch ist ein Reader mit IP 192.168.10.91, den möchte ich gerne von meinen Server 192.168.10.5 ansprechen, der im anderen Switch (ohne PoE und VLAN's) steckt.
Spanning Tree ist auf beiden aktiviert.
Wie meinst du das mit den Uplinks?
Grüße
Der uplink ist die Verbindung von zwei Switchen oder von Switch und Router.
Aber auf deinem Switch muss zwingend auch das VLAN10 sein, um mit zwei NICs zugreifen zu können. Alternativ kannst du auf dem andern Switch eine Maschine mit zwei NICs nutzen, mittels derer du Zugriff bekommst.
Du willst mir aber nicht erzählen, dass der Server, der zum Reader im VLAN10 gehört die 192.168.10.5 hat. Der Server ist doch im VLAN 1 auf dem anderen Switch. Er bräuchte die IP 192.168.10.5 für eine Zugriff, wenn er eine NIC im VLAN14 hat.
lg Netman
Aber auf deinem Switch muss zwingend auch das VLAN10 sein, um mit zwei NICs zugreifen zu können. Alternativ kannst du auf dem andern Switch eine Maschine mit zwei NICs nutzen, mittels derer du Zugriff bekommst.
Du willst mir aber nicht erzählen, dass der Server, der zum Reader im VLAN10 gehört die 192.168.10.5 hat. Der Server ist doch im VLAN 1 auf dem anderen Switch. Er bräuchte die IP 192.168.10.5 für eine Zugriff, wenn er eine NIC im VLAN14 hat.
lg Netman
Hallo,
also das mit dem richtigen Verdrahten würde ich wie folgt umsetzen wollen:
- Alle aber auch alle Netzwerk tauglichen Geräte in ein eigenes VLAN packen
- Diesen VLANs dann jeweils ein eigenes Subnetz (CIDR) bzw. Broadcast Domain verpassen
- Die Switche alle untereinander stapeln (stacken) bzw. verbinden (uplinken)
- Über die Uplinks die VLANs führen (Trunk) und dann die Berechtigungen mittel ACLs setzen
Benötigt werden dafür VLAN fähige Switche und
entweder ein Layer3 Switch bzw. ein kräftiger und VLAN fähiger Router.
Denn heute sind es die beiden Sachen und morgen dann etwas anderes
und überall werden nur Workarounds angelegt und nach xyz Jahren "geht"
dann gar nichts mehr, also bring da mal richtig Grund rein und dann läuft das auch.
Die Server haben fixe IP Adressen und die Endgeräte an dem PoE Switch
meistens auch und wenn nun beide das netz 1192.168.10.0/24 benutzen
wird es so oder so zu Problemen kommen, denn wenn dort irgend wo via
DHCP auch noch seitens der Switche bzw. der Server IP Adressen vergeben
werden ist das wohl eher suboptimal.
Router oder Firewall 192.168.1.0/24
DMZ - 172.16.1.0/24 - Server mit Internetkontakt
VLAN01 - 192.168.2.0/24 - (default VLAN) Management VLAN für den Admin
VLAN10 - 192.168.3.0/24 - Server
VLAN20 - 192.168.4.0/24 - Drucker
VLAN30 - 192.168.5.0/24 - VOIP
VLAN40 - 192.168.6.0/24 - Zeiterfassung
VLAN50 - 192.168.7.0/24 - Kameras
VLAN60 - 192.168.8.0/24 - Firmen WLAN (intern) Mitarbeiter
VLAN70 - 192.168.9.0/24 - Firmen WLAN (extern) Gäste
VLAN11 - 192.168.10.0/24 - Klient PCs
VLAN12 - 192.168.11.0/24 - Klient WS
Man kann ja schon bestehende VLANs bereits vergebene IP Adressbereiche
mit in die Planung einbeziehen aber das wird dann wenigstens nicht so ein
kuddel muddel wie Du es jetzt hast und es wird übersichtlicher.
Gruß
Dobby
also das mit dem richtigen Verdrahten würde ich wie folgt umsetzen wollen:
- Alle aber auch alle Netzwerk tauglichen Geräte in ein eigenes VLAN packen
- Diesen VLANs dann jeweils ein eigenes Subnetz (CIDR) bzw. Broadcast Domain verpassen
- Die Switche alle untereinander stapeln (stacken) bzw. verbinden (uplinken)
- Über die Uplinks die VLANs führen (Trunk) und dann die Berechtigungen mittel ACLs setzen
Benötigt werden dafür VLAN fähige Switche und
entweder ein Layer3 Switch bzw. ein kräftiger und VLAN fähiger Router.
Denn heute sind es die beiden Sachen und morgen dann etwas anderes
und überall werden nur Workarounds angelegt und nach xyz Jahren "geht"
dann gar nichts mehr, also bring da mal richtig Grund rein und dann läuft das auch.
Die Server haben fixe IP Adressen und die Endgeräte an dem PoE Switch
meistens auch und wenn nun beide das netz 1192.168.10.0/24 benutzen
wird es so oder so zu Problemen kommen, denn wenn dort irgend wo via
DHCP auch noch seitens der Switche bzw. der Server IP Adressen vergeben
werden ist das wohl eher suboptimal.
Router oder Firewall 192.168.1.0/24
DMZ - 172.16.1.0/24 - Server mit Internetkontakt
VLAN01 - 192.168.2.0/24 - (default VLAN) Management VLAN für den Admin
VLAN10 - 192.168.3.0/24 - Server
VLAN20 - 192.168.4.0/24 - Drucker
VLAN30 - 192.168.5.0/24 - VOIP
VLAN40 - 192.168.6.0/24 - Zeiterfassung
VLAN50 - 192.168.7.0/24 - Kameras
VLAN60 - 192.168.8.0/24 - Firmen WLAN (intern) Mitarbeiter
VLAN70 - 192.168.9.0/24 - Firmen WLAN (extern) Gäste
VLAN11 - 192.168.10.0/24 - Klient PCs
VLAN12 - 192.168.11.0/24 - Klient WS
Man kann ja schon bestehende VLANs bereits vergebene IP Adressbereiche
mit in die Planung einbeziehen aber das wird dann wenigstens nicht so ein
kuddel muddel wie Du es jetzt hast und es wird übersichtlicher.
Gruß
Dobby
Hallo,
erst mal danke für die Antworten und sorry für die späte Rückmeldung.
Danke Dobby für die ausführliche Erklärung, aber ich denke das ist in diesem Fall zu viel des Guten.
Ich habe das ganze mal skizziert wie es aktuell aussieht mit Erd- und Obergeschoss.
Das VLAN1 für die Telefone muss untereinander kommunizieren können (also von Stockwerk zu Stockwerk), aber das VLAN15 nicht. Die Reader in diesem VLAN brauchen nur Strom!
Das einfachste wäre doch, einen Uplinkport auf einem der PoE Switche (z.B. Port 51) ins VLAN14 untagged zu konfigurieren und dann mit einem der anderen Switche im 192.168.10.0/24 Netz zu verbinden. Klappt das?
Sorry für die dumme Frage, aber ich habe mit VLAN's keinerlei Erfahrung.
Grüße
erst mal danke für die Antworten und sorry für die späte Rückmeldung.
Danke Dobby für die ausführliche Erklärung, aber ich denke das ist in diesem Fall zu viel des Guten.
Ich habe das ganze mal skizziert wie es aktuell aussieht mit Erd- und Obergeschoss.
Das VLAN1 für die Telefone muss untereinander kommunizieren können (also von Stockwerk zu Stockwerk), aber das VLAN15 nicht. Die Reader in diesem VLAN brauchen nur Strom!
Das einfachste wäre doch, einen Uplinkport auf einem der PoE Switche (z.B. Port 51) ins VLAN14 untagged zu konfigurieren und dann mit einem der anderen Switche im 192.168.10.0/24 Netz zu verbinden. Klappt das?
Sorry für die dumme Frage, aber ich habe mit VLAN's keinerlei Erfahrung.
Grüße
Nach deiner Skizze hast du 4 komplett getrennte Netzwerke.
Aber für eine späteren Fall, und der ist schon fast eingetreten hast du schon mal Adresskonmflike mit dem dem 10er Netz (VLAN14), da deine Switche und die Zeiterfassung drin sind.
Netz 1, VLAN1, Telefone, ip-phones (mit Gateway?), IP 192.168.2.x
Netz 2, VLAN14, Zeiterfassung, IP 192.168.10.x
Netz 3, VLAN15, Zutritt, IP 192.168.15.x
Netz4, Switch 1, 2 und 4, IP 192.168.10.x
Und für Wartungszwecke wirst du wohl auch auf dei anderen beiden Switche zugreifen wollen.
Also brauchen alle Switche wenigstens 1 zusätzliches VLAN
Dann kannst du diese auch verbinden.
Wenn ich die Switche von unten durchnummeriere, dann brauchst du z.B: VLAN20 für die Switche unddie uplinks müssen getaggt sein. Wenn du nun die Adresse des Switches änderst, damit es ncht kracht, dann kannst du die uplinks getaggt mit nur einem Teil der VLANs verbinden. Es müssen nicht alle VLANS auf dem Upink geführt oder vom Uplink angenommen werden. Beim Durchschleifen schon.
Das Angenehme an einem VLAN-Konzept ist die Erweiterbarkeit und die Flexibilität der Verbindung.
Gruß
Netman
Aber für eine späteren Fall, und der ist schon fast eingetreten hast du schon mal Adresskonmflike mit dem dem 10er Netz (VLAN14), da deine Switche und die Zeiterfassung drin sind.
Netz 1, VLAN1, Telefone, ip-phones (mit Gateway?), IP 192.168.2.x
Netz 2, VLAN14, Zeiterfassung, IP 192.168.10.x
Netz 3, VLAN15, Zutritt, IP 192.168.15.x
Netz4, Switch 1, 2 und 4, IP 192.168.10.x
Und für Wartungszwecke wirst du wohl auch auf dei anderen beiden Switche zugreifen wollen.
Also brauchen alle Switche wenigstens 1 zusätzliches VLAN
Dann kannst du diese auch verbinden.
Wenn ich die Switche von unten durchnummeriere, dann brauchst du z.B: VLAN20 für die Switche unddie uplinks müssen getaggt sein. Wenn du nun die Adresse des Switches änderst, damit es ncht kracht, dann kannst du die uplinks getaggt mit nur einem Teil der VLANs verbinden. Es müssen nicht alle VLANS auf dem Upink geführt oder vom Uplink angenommen werden. Beim Durchschleifen schon.
Das Angenehme an einem VLAN-Konzept ist die Erweiterbarkeit und die Flexibilität der Verbindung.
Gruß
Netman
1
Hallo,
Dein Netzwerk bringen möchtest, da VLANs für Dich Neuland sind, aber
glaube mir ruhig wenn da mehrere Leute außer Dir nur immer mal etwas
installiert haben und das nicht richtig in eine Dokumentation eingetragen
wird steigt man da irgend wann gar nicht mehr durch und/oder bekommt
immer mehr Probleme.
default VLAN und dort sind in der Regel dann auch alle Geräte
Mitglied! Daher dient das VLAN1 meist den Admins als administrations VLAN
und nicht zwei gleiche wie bei Dir.
Gruß
Dobby
Danke Dobby für die ausführliche Erklärung, aber ich denke das ist in diesem
Fall zu viel des Guten.
Ich respektiere Deine Meinung und auch das Du nicht einmal richtig Grund inFall zu viel des Guten.
Dein Netzwerk bringen möchtest, da VLANs für Dich Neuland sind, aber
glaube mir ruhig wenn da mehrere Leute außer Dir nur immer mal etwas
installiert haben und das nicht richtig in eine Dokumentation eingetragen
wird steigt man da irgend wann gar nicht mehr durch und/oder bekommt
immer mehr Probleme.
Das VLAN1 für die Telefone muss untereinander kommunizieren können
Das VLAN1 ist in der Regel bei fast allen Herstellern das so genanntedefault VLAN und dort sind in der Regel dann auch alle Geräte
Mitglied! Daher dient das VLAN1 meist den Admins als administrations VLAN
Das einfachste wäre doch, einen Uplinkport auf einem der PoE Switche......
Nein sondern jedes VLAN sollte seinen eigenen IP Adressbereich bekommenund nicht zwei gleiche wie bei Dir.
Gruß
Dobby
