Einfaches VLAN Netzwerk aufbauen

Mitglied: momai

momai (Level 1) - Jetzt verbinden

20.04.2016 um 13:44 Uhr, 5512 Aufrufe, 9 Kommentare

Hallo,

ich habe vor ein Netzwerk mit VLANs aufzubauen. Es soll ein Internes und ein öffentliches geben (VLAN ID 100, 200).

Jetzt hab ich einen Router einen Switch und einen Server:
Cisco RVS4000
Cisco SG300
Windows 2012 R2

...und noch zwei unmanaged switche die hinter dem Großen Managed Cisco Switch hängen.

Alle Gerät tun jetzt ihre Arbeit auf dem default VLAN ID 1. Nun soll sich das aber ändern alles soll erstmal in das VLAN 100 kommen und dann ein bis vier Ports des SG300 Switches in das VLAN 200. Momenten bootet das Switch auf VLAN 1, es gibt aber eine Einstellung "Default VLAN ID After Reboot" die ich gerne auf 100 setzen würde. Sehe ich das Richtig damit ist alles was an dem Switch hängt schon mal im VLAN 100.

Folgende Zwischenfragen hätte ich an euch:

Ist es schlau das Switch über diesen "Default Boot" Parameter direkt in VLAN 100 ein zu Booten?
Was passiert eigentlich mit den Geräten die hinter dem SG300 hängen und so direkt kein VLAN können, sprich ein Access Point oder ein Unmanged Switch, können diese auch direkt dann das VLAN 100?
Nach dem Reboot "in das VLAN 100" sollte doch rein theoretisch alles weiterhin funktionieren, oder lieg ich da falsch.

Der Windows Server soll DHCP in die zwei VLANs machen, deswegen bekommt er zwei NICs auf die jeweiligen VLANs

Ist das eigentlich guter Weg das so zu machen und alles vom Default VLAN ID 1 wegzubringen?

Später soll mal noch ein AccessPoint dazu kommen der MultiSSID kann und somit ein Internes und Öffentliches VLAN aufspannt, die natürlich direkt an die VLANs geknüpft sind. Das sollte dann doch über einen Trunk 100,200 lösbar sein auf den jeweiligen Port.
Mitglied: brammer
20.04.2016 um 14:02 Uhr
Hallo,

das ändern der Default VLAN ID ist eigentlich nur für Management Zwecke gedacht.

Lege deine Ports die du benötigst in das entsprechende VLAN und gut ist.
Dazu ist nicht mal ein Reboot nötig, allerindgs kann es für ein paar Sekunden zu einer Kommunikationsunterbrechung kommen.... also nicht unbedingt während er Produktiosnzeiträume.

Den Server würde ich in ein 3. VLAN heben und die Kommunikation per routing realisieren.
Wenn du einmal so anfängst hast du irgendwann 20 Netzwerkkarten im Server weil der DHCP für 20 VLAN's spielt .....
(12 Netzwerkkarten habe ich einmal gesehen... :-) face-smile 4 onboard 8 USB über 3 kaskadierte USB Hubs....)

Wenn schon VLAN's dann auch richtig ....

brammer
Bitte warten ..
Mitglied: ashnod
20.04.2016 um 14:04 Uhr
Ahoi

Ich würde dringend folgende Lektüre empfehlen ... :-) face-smile

https://www.administrator.de/wissen/vlan-installation-routing-pfsense-mi ...

Da scheint bei dir doch noch einiges sehr durcheinander zu gehen.

Nicht böse gemeint.

Ashnod
Bitte warten ..
Mitglied: momai
20.04.2016 um 14:07 Uhr
@ashood Ein sehr guter Link, danke dir werd ich mir anschauen.

Aber wie ist das im Allgemeinen mit Geräten die kein VLAN können bzw zwischen denen noch mal ein Switch hängt das auch kein Managed ist.
Bitte warten ..
Mitglied: michi1983
20.04.2016, aktualisiert um 14:12 Uhr
Zitat von @momai:
Aber wie ist das im Allgemeinen mit Geräten die kein VLAN können bzw zwischen denen noch mal ein Switch hängt das auch kein Managed ist.
Wenn du an deinem L3 Switch auf Port 4 ein VLAN mit der ID 200 definierst, dann befindet sich alles was an Port 4 angeschlossen ist und kein VLAN kann automatisch in VLAN 200.

Gruß
Bitte warten ..
Mitglied: brammer
20.04.2016 um 14:14 Uhr
Hallo,

VLAN ID werden normalerweise nur von Netzwerkgerät zu Netzwerkgerät verarbeitet, die Endgeräte interessieren sich meist nicht dafür.
Wenn in einem VLAN ein nicht gemanagter Switch hängt der keine VLAN's kennt, dann werden die Pakete erst mit einer VLAN ID getaggt wenn Sie bei dem Switch ankommen der VLAN kann.
Allerdings gibt es im Server Bereich NIC's die VLAN auch direkt am Endgerät können....

brammer
Bitte warten ..
Mitglied: ashnod
20.04.2016, aktualisiert um 14:25 Uhr
Zitat von @momai:
Aber wie ist das im Allgemeinen mit Geräten die kein VLAN können bzw zwischen denen noch mal ein Switch hängt das auch kein Managed ist.

Also vereinfacht gesagt ist denen alles was mit zusätzlichem VLAN-Tag kommt ziemlich egal weil sie Ihn entweder gar nicht erkennen, ignorieren oder einfach weiterleiten je nach Gerät.


Deswegen ist die Struktur die du aufbaust wichtig, damit es gar nicht erst zu diesen Problemen kommt die "dummen" Switche werden z.B. an den "schlauen" Switch angehängt der an diesem einem Port nur ein einzelnes VLAN zur Verteilung weitergibt. Also Zentraler Punkt der SG300 Ein Port, tagged nichts, untagged VLAN100 daran den Switch, dann verteilt der dumme Switch nur das VLAN 100 ohne zu wissen das es das gibt.

Das ist aber alles nur vereinfacht, es gehört schon etwas mehr Plan und konfiguration dazu.
Bitte warten ..
Mitglied: mrtux
20.04.2016, aktualisiert um 15:12 Uhr
Hi!

Zitat von @momai:
Aber wie ist das im Allgemeinen mit Geräten die kein VLAN können bzw
Darum hat der Kollege @brammer Dir auch "Port based VLAN" empfohlen. Und wie es die Kollegen schon beschrieben hatten, bleibt dort dann in der Regel alles was hinter dem managed Switch hängt im gleichen VLAN.

Aber Vorsicht, bei manchen Switchen genügt es nicht, einfach nur eine VLAN ID zuzuweisen, man muss die Ports dann in der Port Konfiguration von den "anderen" Ports trennen. In diese "Falle" kann man leicht tappen, vor allem bei den Billigheimer Switches. Also besser prüfen, ob die VLANs auch wirklich von einander getrennt sind.

Willst Du das anders haben, also in weitere VLANs unterteilen, dann muss "der dahinter liegende" Switch oder die Hardware logischerweise auch VLAN fähig (also z.B. ein managbarer Switch) sein.

Der grundlegende Gedanke bei richtig eingerichteten VLANs ist eigentlich recht simpel: Alle Hosts in VLANx können die Hosts in VLANy NICHT "sehen". Will man das ändern, braucht man einen Router oder einen Level3 Switch, der dann zwischen den VLANs routet und fertisch.

mrtux
Bitte warten ..
Mitglied: Reini82
20.04.2016 um 14:50 Uhr
(12 Netzwerkkarten habe ich einmal gesehen... :-) face-smile 4 onboard 8 USB über 3 kaskadierte USB Hubs....)

War dann jedenfalls ne Wegbeschreibung für den Netzwerkverkehr mit dabei :) face-smile
Bitte warten ..
Mitglied: aqui
20.04.2016, aktualisiert um 15:18 Uhr
Was passiert eigentlich mit den Geräten die hinter dem SG300 hängen und so direkt kein VLAN können, sprich ein Access Point oder ein Unmanged Switch, können diese auch direkt dann das VLAN 100?
Warum sollten sie das nicht können ??
Wenn du den Port an dem sie angeschlossen sind in das VLAN 100 konfiguriert hast funktioniert das fehlerlos !
MultiSSID kann und somit ein Internes und Öffentliches VLAN aufspannt, die natürlich direkt an die VLANs geknüpft sind. Das sollte dann doch über einen Trunk 100,200 lösbar sein
Ja, natürlich, das ist der klassische Weg !
Lies dir das o.a. Tutorial genau und gewissenhaft durch, dort ist in der Rubrik Praxisbeispiel genau so ein Szenario komplett mit Konfiguration der Komponenten geschildert.
Dein vorhandener Switch ist ein Layer 3 fähiger Switch der Routing kann. Das Kapitel im Tutorial mit dem externen Router kannst du dann überspringen.
Dringenst auch die Grundlagen zum Thema VLAN die am Anfang genannt sind, denn die Art und Weise deiner Fragestellung lässt vermuten das du nicht wirklich im Thema bist !
Bitte warten ..
Heiß diskutierte Inhalte
LAN, WAN, Wireless
Starlink im Unternehmen?
0xFFFFVor 14 StundenFrageLAN, WAN, Wireless36 Kommentare

Guten Morgen Admins, leider leiden wir darunter, dass wir uns hier in DE noch in einem Entwicklungsland was die Internetanbindung angeht, sehr. Nun kam ...

Microsoft
Datenkrake - Browser
DennisWeberVor 1 TagErfahrungsberichtMicrosoft10 Kommentare

Hallo zusammen, ich empfehle euch mal definitiv in "Temp" Verzeichnis eures Browsers zu schauen. Es war für mich erschreckend, wie viele wichtige Dokumente und ...

Off Topic
Klimaanlage im Serverraum
gelöst imebroVor 10 StundenFrageOff Topic19 Kommentare

Hallo, wir haben einen kleinen Serverraum (viell. 5 - 6 m²), in dem ein Serverschrank steht. Der Raum hat kein Fenster!!! Darin befinden sich ...

Netzwerkmanagement
Sicherheitsrisiken Synology DS Admin Konto
RitchtoolsVor 1 TagFrageNetzwerkmanagement6 Kommentare

Hallo Zusammen, ich habe die Pflege von einem Firmen NAS übernommen (Synology) es sind mehrere Rechner im Netzwerk die auf Daten zugreifen. Leider hat ...

Windows 10
Windows 10 hängt bei Neustart immer bei "Bitte warten" über Stunden
gelöst Odde23Vor 11 StundenFrageWindows 1023 Kommentare

Ich habe seit längerem, um genau zu sein seit gut einem Jahr, da wurde der Rechner gekauft, das Problem, dass der Rechner bei einem ...

Windows 10
Windows 10 System Recovery Ordner fast 60 GB - Wie löschen?
Looser27Vor 1 TagFrageWindows 106 Kommentare

Guten Morgen, bei einem unserer Clients funktioniert scheinbar das automatische Aufräumen nach Updates / Upgrades nicht. Wie kann ich dem Kollegen auf die Schnelle ...

Windows 10
Windows 10 verliert die Druckertreiber
KMP1988Vor 1 TagFrageWindows 1010 Kommentare

Servus zusammen, wir haben bei einem Kunden folgende Konstellation: - Server2019 (AD, DNS, DHCP) - Server2019 (Print-Server-Rolle) - W10-Clients Die Drucker werden übers Logon-Scirpt ...

DNS
Opendns.com - Kosten?
cordialVor 1 TagFrageDNS2 Kommentare

Moin, Ich möchte gerne den OpenDNS Dienst mal verstehen. Hab da schon länger einen Account mit Filterung. Die "Free" Edition bei OpenDNS ist doch ...