momai
Goto Top

Einfaches VLAN Netzwerk aufbauen

Hallo,

ich habe vor ein Netzwerk mit VLANs aufzubauen. Es soll ein Internes und ein öffentliches geben (VLAN ID 100, 200).

Jetzt hab ich einen Router einen Switch und einen Server:
Cisco RVS4000
Cisco SG300
Windows 2012 R2

...und noch zwei unmanaged switche die hinter dem Großen Managed Cisco Switch hängen.

Alle Gerät tun jetzt ihre Arbeit auf dem default VLAN ID 1. Nun soll sich das aber ändern alles soll erstmal in das VLAN 100 kommen und dann ein bis vier Ports des SG300 Switches in das VLAN 200. Momenten bootet das Switch auf VLAN 1, es gibt aber eine Einstellung "Default VLAN ID After Reboot" die ich gerne auf 100 setzen würde. Sehe ich das Richtig damit ist alles was an dem Switch hängt schon mal im VLAN 100.

Folgende Zwischenfragen hätte ich an euch:

Ist es schlau das Switch über diesen "Default Boot" Parameter direkt in VLAN 100 ein zu Booten?
Was passiert eigentlich mit den Geräten die hinter dem SG300 hängen und so direkt kein VLAN können, sprich ein Access Point oder ein Unmanged Switch, können diese auch direkt dann das VLAN 100?
Nach dem Reboot "in das VLAN 100" sollte doch rein theoretisch alles weiterhin funktionieren, oder lieg ich da falsch.

Der Windows Server soll DHCP in die zwei VLANs machen, deswegen bekommt er zwei NICs auf die jeweiligen VLANs

Ist das eigentlich guter Weg das so zu machen und alles vom Default VLAN ID 1 wegzubringen?

Später soll mal noch ein AccessPoint dazu kommen der MultiSSID kann und somit ein Internes und Öffentliches VLAN aufspannt, die natürlich direkt an die VLANs geknüpft sind. Das sollte dann doch über einen Trunk 100,200 lösbar sein auf den jeweiligen Port.

Content-ID: 302365

Url: https://administrator.de/forum/einfaches-vlan-netzwerk-aufbauen-302365.html

Ausgedruckt am: 23.12.2024 um 06:12 Uhr

brammer
brammer 20.04.2016 um 14:02:52 Uhr
Goto Top
Hallo,

das ändern der Default VLAN ID ist eigentlich nur für Management Zwecke gedacht.

Lege deine Ports die du benötigst in das entsprechende VLAN und gut ist.
Dazu ist nicht mal ein Reboot nötig, allerindgs kann es für ein paar Sekunden zu einer Kommunikationsunterbrechung kommen.... also nicht unbedingt während er Produktiosnzeiträume.

Den Server würde ich in ein 3. VLAN heben und die Kommunikation per routing realisieren.
Wenn du einmal so anfängst hast du irgendwann 20 Netzwerkkarten im Server weil der DHCP für 20 VLAN's spielt .....
(12 Netzwerkkarten habe ich einmal gesehen... face-smile 4 onboard 8 USB über 3 kaskadierte USB Hubs....)

Wenn schon VLAN's dann auch richtig ....

brammer
ashnod
ashnod 20.04.2016 um 14:04:34 Uhr
Goto Top
Ahoi

Ich würde dringend folgende Lektüre empfehlen ... face-smile

VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern

Da scheint bei dir doch noch einiges sehr durcheinander zu gehen.

Nicht böse gemeint.

Ashnod
momai
momai 20.04.2016 um 14:07:03 Uhr
Goto Top
@ashood Ein sehr guter Link, danke dir werd ich mir anschauen.

Aber wie ist das im Allgemeinen mit Geräten die kein VLAN können bzw zwischen denen noch mal ein Switch hängt das auch kein Managed ist.
michi1983
michi1983 20.04.2016 aktualisiert um 14:12:41 Uhr
Goto Top
Zitat von @momai:
Aber wie ist das im Allgemeinen mit Geräten die kein VLAN können bzw zwischen denen noch mal ein Switch hängt das auch kein Managed ist.
Wenn du an deinem L3 Switch auf Port 4 ein VLAN mit der ID 200 definierst, dann befindet sich alles was an Port 4 angeschlossen ist und kein VLAN kann automatisch in VLAN 200.

Gruß
brammer
brammer 20.04.2016 um 14:14:14 Uhr
Goto Top
Hallo,

VLAN ID werden normalerweise nur von Netzwerkgerät zu Netzwerkgerät verarbeitet, die Endgeräte interessieren sich meist nicht dafür.
Wenn in einem VLAN ein nicht gemanagter Switch hängt der keine VLAN's kennt, dann werden die Pakete erst mit einer VLAN ID getaggt wenn Sie bei dem Switch ankommen der VLAN kann.
Allerdings gibt es im Server Bereich NIC's die VLAN auch direkt am Endgerät können....

brammer
ashnod
ashnod 20.04.2016 aktualisiert um 14:25:45 Uhr
Goto Top
Zitat von @momai:
Aber wie ist das im Allgemeinen mit Geräten die kein VLAN können bzw zwischen denen noch mal ein Switch hängt das auch kein Managed ist.

Also vereinfacht gesagt ist denen alles was mit zusätzlichem VLAN-Tag kommt ziemlich egal weil sie Ihn entweder gar nicht erkennen, ignorieren oder einfach weiterleiten je nach Gerät.


Deswegen ist die Struktur die du aufbaust wichtig, damit es gar nicht erst zu diesen Problemen kommt die "dummen" Switche werden z.B. an den "schlauen" Switch angehängt der an diesem einem Port nur ein einzelnes VLAN zur Verteilung weitergibt. Also Zentraler Punkt der SG300 Ein Port, tagged nichts, untagged VLAN100 daran den Switch, dann verteilt der dumme Switch nur das VLAN 100 ohne zu wissen das es das gibt.

Das ist aber alles nur vereinfacht, es gehört schon etwas mehr Plan und konfiguration dazu.
mrtux
mrtux 20.04.2016 aktualisiert um 15:12:46 Uhr
Goto Top
Hi!

Zitat von @momai:
Aber wie ist das im Allgemeinen mit Geräten die kein VLAN können bzw
Darum hat der Kollege @brammer Dir auch "Port based VLAN" empfohlen. Und wie es die Kollegen schon beschrieben hatten, bleibt dort dann in der Regel alles was hinter dem managed Switch hängt im gleichen VLAN.

Aber Vorsicht, bei manchen Switchen genügt es nicht, einfach nur eine VLAN ID zuzuweisen, man muss die Ports dann in der Port Konfiguration von den "anderen" Ports trennen. In diese "Falle" kann man leicht tappen, vor allem bei den Billigheimer Switches. Also besser prüfen, ob die VLANs auch wirklich von einander getrennt sind.

Willst Du das anders haben, also in weitere VLANs unterteilen, dann muss "der dahinter liegende" Switch oder die Hardware logischerweise auch VLAN fähig (also z.B. ein managbarer Switch) sein.

Der grundlegende Gedanke bei richtig eingerichteten VLANs ist eigentlich recht simpel: Alle Hosts in VLANx können die Hosts in VLANy NICHT "sehen". Will man das ändern, braucht man einen Router oder einen Level3 Switch, der dann zwischen den VLANs routet und fertisch.

mrtux
90948
90948 20.04.2016 um 14:50:42 Uhr
Goto Top
(12 Netzwerkkarten habe ich einmal gesehen... face-smile 4 onboard 8 USB über 3 kaskadierte USB Hubs....)

War dann jedenfalls ne Wegbeschreibung für den Netzwerkverkehr mit dabei face-smile
aqui
aqui 20.04.2016 aktualisiert um 15:18:26 Uhr
Goto Top
Was passiert eigentlich mit den Geräten die hinter dem SG300 hängen und so direkt kein VLAN können, sprich ein Access Point oder ein Unmanged Switch, können diese auch direkt dann das VLAN 100?
Warum sollten sie das nicht können ??
Wenn du den Port an dem sie angeschlossen sind in das VLAN 100 konfiguriert hast funktioniert das fehlerlos !
MultiSSID kann und somit ein Internes und Öffentliches VLAN aufspannt, die natürlich direkt an die VLANs geknüpft sind. Das sollte dann doch über einen Trunk 100,200 lösbar sein
Ja, natürlich, das ist der klassische Weg !
Lies dir das o.a. Tutorial genau und gewissenhaft durch, dort ist in der Rubrik Praxisbeispiel genau so ein Szenario komplett mit Konfiguration der Komponenten geschildert.
Dein vorhandener Switch ist ein Layer 3 fähiger Switch der Routing kann. Das Kapitel im Tutorial mit dem externen Router kannst du dann überspringen.
Dringenst auch die Grundlagen zum Thema VLAN die am Anfang genannt sind, denn die Art und Weise deiner Fragestellung lässt vermuten das du nicht wirklich im Thema bist !