Einrichten von VLANs mit Netgear Layer 3 Router
Situation: Wir sitzen mit mehreren Firmen in einem Gebäude und teilen uns die Infrastruktur. Jede Firma hat ein VLAN zugewiesen bekommen. Alle nutzen einen gemeinsamen Internet-Router und eine gemeinsame Telefonanlage (VoIP). Einige Firmen nutzten Peripherie (z.B.Drucker) bei anderen Firmen.
Momentan sind 10 Jahre alte Intel-Switche (510T im Stack) eingesetzt, mit denen ich die VLANs überlappend, auf Port, IP und Mac – Basis, beliebig gemischt aufbauen konnte.
IP's sind wie 10.0.x.y 255.255.0.0 aufgebaut. X habe ich der besseren Unterscheidung den Firmen zugewiesen und y ist eine fortlaufende Zahl.
Da die Intel – Geräte nicht mehr im Handel sind, habe ich die Netgear-Geräte (FSM7328S) gekauft. Nun habe ich das Problem, das mir weder das Handbuch noch die nette Dame vom Support irgendwie weiterhelfen konnten.
Eigentlich (dachte ich) ist es ganz simpel:
Firma A = Switch Port 1-3 IP 10.0.1.1 bis .3
Telefone Firma A = Switch-Port 4-6 IP 10.0.3.1 bis .3
Firma B = Switch Port 7-9 IP 10.0.2.1 bis .3
Telefone Firma B = Switch-Port 10-12 IP 10.0.3.4 bis .7
….usw….
Internet Router Switch Port 13 IP 10.0.0.1
Asterisk-Server Switch Port 14 IP 10.0.0.2
Nun sollen alle PCs der Firma A mit den Telefonen (Snom, damit die auf Ihre eigenen Telefone zugreifen könne) der Firma A in einem VLAN stecken, Firma B das gleiche. Bis hierhin geht es noch.
Außerdem möchte ich ein VLAN VOIP bilden, in dem alle Telefone und der Asterisk-Server stecken.
Den Internet-Router möchte ich jedem VLAN zufügen.
Zudem kann es sein, das aus Firma A ein PC Zugriff auf einen Drucker von Firma B haben soll. Das kann ich aber zur Not auch zurückstellen.
Bei den ollen Intel-Kisten war und ist das ein leichtes, bei Netgear scheint das nicht zu gehen. Mache ich da den falschen Denkansatz und bringe so vielleicht die Supportdame auf den falschen Weg? Kann mir jemand weiterhelfen?
Vielen Dank,
Axel
Momentan sind 10 Jahre alte Intel-Switche (510T im Stack) eingesetzt, mit denen ich die VLANs überlappend, auf Port, IP und Mac – Basis, beliebig gemischt aufbauen konnte.
IP's sind wie 10.0.x.y 255.255.0.0 aufgebaut. X habe ich der besseren Unterscheidung den Firmen zugewiesen und y ist eine fortlaufende Zahl.
Da die Intel – Geräte nicht mehr im Handel sind, habe ich die Netgear-Geräte (FSM7328S) gekauft. Nun habe ich das Problem, das mir weder das Handbuch noch die nette Dame vom Support irgendwie weiterhelfen konnten.
Eigentlich (dachte ich) ist es ganz simpel:
Firma A = Switch Port 1-3 IP 10.0.1.1 bis .3
Telefone Firma A = Switch-Port 4-6 IP 10.0.3.1 bis .3
Firma B = Switch Port 7-9 IP 10.0.2.1 bis .3
Telefone Firma B = Switch-Port 10-12 IP 10.0.3.4 bis .7
….usw….
Internet Router Switch Port 13 IP 10.0.0.1
Asterisk-Server Switch Port 14 IP 10.0.0.2
Nun sollen alle PCs der Firma A mit den Telefonen (Snom, damit die auf Ihre eigenen Telefone zugreifen könne) der Firma A in einem VLAN stecken, Firma B das gleiche. Bis hierhin geht es noch.
Außerdem möchte ich ein VLAN VOIP bilden, in dem alle Telefone und der Asterisk-Server stecken.
Den Internet-Router möchte ich jedem VLAN zufügen.
Zudem kann es sein, das aus Firma A ein PC Zugriff auf einen Drucker von Firma B haben soll. Das kann ich aber zur Not auch zurückstellen.
Bei den ollen Intel-Kisten war und ist das ein leichtes, bei Netgear scheint das nicht zu gehen. Mache ich da den falschen Denkansatz und bringe so vielleicht die Supportdame auf den falschen Weg? Kann mir jemand weiterhelfen?
Vielen Dank,
Axel
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 53464
Url: https://administrator.de/forum/einrichten-von-vlans-mit-netgear-layer-3-router-53464.html
Ausgedruckt am: 24.12.2024 um 01:12 Uhr
3 Kommentare
Neuester Kommentar
Erstmal ist dein IP Netz bzw. deine Subnetz Maske mit 16 Bit vollkommen falsch oder du hast sie falsch angegeben !
Wenn dein Netz 10.0.0.0 ist (Class A Netz) und die Maske 255.255.0.0, dann ist das was du mit .x.y bezeichnest der Host Teil.
Deine Aufteilung von unten mit den ganzen Firmen und ihren Adressen wird dann so nicht funktionieren wenn du die Maske so beibehaelst, da dann wieder alle in einem grossen und broadcastlastigen IP Netz sind, da die letzten beiden Bytes den Hostteil der Adresse markieren. Ein VLAN Switch mit L3 waere dann komplett sinnlos...
Wenn du die Maske allerdings auf 255.255.255.0 also 24 Bit aenderst sieht die Welt wieder anders aus und dann wird dein Vorhaben auch funktionieren ! Allerdings beschraenkt das dann deine Firmen auf 253 Geraete pro VLAN. Ggf. solltest du hier also mit variablen Masken arbeiten, wenn eine Firma mehr Endgeraete pro Segment benoetigt. Das RFC 1918 Netz 10.0.0.0 ist ein Class A Netz und hat per default eine 8 Bit Maske, bietet also viel Spielraum zum Planen.
Generell ist dein Vorhaben so problemlos machbar und auch sehr gut vom Design, da bist du also auf dem richtigen Weg indem so jede Firma in einem VLAN untergebracht ist ! Auch die Trennung der VoIP Geraete in ein separates VLAN ist sehr sinnvoll um ein Abhoeren mit freien Tools (etwas) zu unterbinden...
Die Vorgehensweise ist auch recht einfach: Du richtest fuer alle Firmen bzw. Segmente ein VLAN wie du es planst auf dem Switch ein und weist diesem dann die Ports zu.
Dein NetGear Switch ist laut Netgear Webseite ein Layer 3 Switch also Routing faehig. Das muss er auch sein, sonst waere eine Kommunikation der Firmen (VLANs) untereinander unmoeglich !!!
In jedes dieser VLANs haengst du nun ein Layer 3 Interface also eine IP Adresse die deinem o.a. Plan entspricht. Diese Adresse sollte immer am oberen oder unteren Ende des netzes liegen. Also als Beispiel fuer das Subnetz 10.1.1.0/24 waere das dann z.B. die 10.1.1.254 !
Diese IP Adresse ist die Gateway Adresse aller im jeweiligen VLAN befindlichen Endgeraete !!!
Das ist sehr wichtig um eine Kommunikation untereinander (Layer 3 Switching = Routing) zu gewaehrleisten.
Den DSL Router setzt du in ein separates VLAN um hier ggf. Filter usw. realisieren zu koennen um unerwuenschte Dienste zu blocken...
Dann bekommt der Switch noch eine Default Route auf diesen DSL Router, damit alle VLANs ins Internet koennen et voila...das wars.
Damit sollte alles klappen !
Infos zum Thema VLANs gibt es z.B. hier:
http://www.heise.de/netze/artikel/77832
Wenn dein Netz 10.0.0.0 ist (Class A Netz) und die Maske 255.255.0.0, dann ist das was du mit .x.y bezeichnest der Host Teil.
Deine Aufteilung von unten mit den ganzen Firmen und ihren Adressen wird dann so nicht funktionieren wenn du die Maske so beibehaelst, da dann wieder alle in einem grossen und broadcastlastigen IP Netz sind, da die letzten beiden Bytes den Hostteil der Adresse markieren. Ein VLAN Switch mit L3 waere dann komplett sinnlos...
Wenn du die Maske allerdings auf 255.255.255.0 also 24 Bit aenderst sieht die Welt wieder anders aus und dann wird dein Vorhaben auch funktionieren ! Allerdings beschraenkt das dann deine Firmen auf 253 Geraete pro VLAN. Ggf. solltest du hier also mit variablen Masken arbeiten, wenn eine Firma mehr Endgeraete pro Segment benoetigt. Das RFC 1918 Netz 10.0.0.0 ist ein Class A Netz und hat per default eine 8 Bit Maske, bietet also viel Spielraum zum Planen.
Generell ist dein Vorhaben so problemlos machbar und auch sehr gut vom Design, da bist du also auf dem richtigen Weg indem so jede Firma in einem VLAN untergebracht ist ! Auch die Trennung der VoIP Geraete in ein separates VLAN ist sehr sinnvoll um ein Abhoeren mit freien Tools (etwas) zu unterbinden...
Die Vorgehensweise ist auch recht einfach: Du richtest fuer alle Firmen bzw. Segmente ein VLAN wie du es planst auf dem Switch ein und weist diesem dann die Ports zu.
Dein NetGear Switch ist laut Netgear Webseite ein Layer 3 Switch also Routing faehig. Das muss er auch sein, sonst waere eine Kommunikation der Firmen (VLANs) untereinander unmoeglich !!!
In jedes dieser VLANs haengst du nun ein Layer 3 Interface also eine IP Adresse die deinem o.a. Plan entspricht. Diese Adresse sollte immer am oberen oder unteren Ende des netzes liegen. Also als Beispiel fuer das Subnetz 10.1.1.0/24 waere das dann z.B. die 10.1.1.254 !
Diese IP Adresse ist die Gateway Adresse aller im jeweiligen VLAN befindlichen Endgeraete !!!
Das ist sehr wichtig um eine Kommunikation untereinander (Layer 3 Switching = Routing) zu gewaehrleisten.
Den DSL Router setzt du in ein separates VLAN um hier ggf. Filter usw. realisieren zu koennen um unerwuenschte Dienste zu blocken...
Dann bekommt der Switch noch eine Default Route auf diesen DSL Router, damit alle VLANs ins Internet koennen et voila...das wars.
Damit sollte alles klappen !
Infos zum Thema VLANs gibt es z.B. hier:
http://www.heise.de/netze/artikel/77832
Die Intel Switche machen keine richtigen VLANs sonst hätte das nicht so funktioniert. Heutzutage supporten 99% aller Switches sog. portbasierende VLANs. Also das Geräteport fest VLANs per Setup zogeordnet werden. Mit 802.1x könnte man das auch dynamisch machen aber das ist hier erstmal nicht das Thema....
Generell ist ein VLAN nichts anderes als eine innerhalb des Switches geschlossene Broadcast Domain also als ob du 3 einzelne (oder mehr bei mehr VLANs..) getrennte Switches in einem laufen lässt. Wenn du so willst teilst du deinen Switch oben in eigentlich 3 virtuelle unabhängige Switches, nichts anderes sind ja VLANs. Also...
Firma A (VLAN 2) Ports 1 bis 5
Firma B (VLAN 3) Ports 6 bis 10
Voice Netz (VLAN 10) Ports 11 und 12
So, wenn du diesen Ports untagged Ports zuweist, also ganz normale Endgeräteports, hast du 3 unterschiedliche Netze die nicht miteinander kommunizieren können, da sie durch die VLAN Einrichtung ja komplett getrennt sind.
Logischerweise benutzt du auch unterschiedliche IP Netze in diesen VLANs.
Also so konfiguriert haben wir nun den Umstand das Firma A nur mit Firma A reden kann und Firma B nur mit Firma B und im Voice Netz telefoniert werden kann ohne das dieser Traffic in den Firmennetzen zu sehen ist.
Firma A kann aber logischerweise durch die Trennung niemals einen Drucker von Firma B nutzen..das ist ja klar.
Dein Internet Router können so in der o.a. Konfig nur die Telefone nutzen wenn der im Voice VLAN hängt..Firma A und B sind davon abgetrennt was ja auch klar ist.... Würde der Router in VLAN 2 bei Firma A hängen könnten nur sie ihn benutzen und nicht das Voice Netz oder Firma B...ist auch klar !
Also da ist die Trennung komplett und das soll auch so sein....
Was sind nun tagged Ports ???
Der IEEE Standard 802.1q beschreibt eine Erweiterung von Ethernet Frames um ein sog. Tag. Banal gesagt wird einfach eine Erweiterung von ein paar Bits an den Ethernet Frame rangehängt.
Normalerweise darf man das nicht, denn Endgeräte würden durch diese Manipulation die Packete nicht mehr lesen können was auch der Fall ist. Deshalb wird diese Erweiterung nur bei einer Switch to Switch Kopplung benutzt. (Spezielle Kartentreiber verstehen aber auch dieses Format)
Nimmst du nun zwei deiner NetGears und hängst die zusammen willst du ja auch wieder VLAN 2, 3 und 10 auf dem 2ten Switch haben. Deshalb taggest du den Verbindugslink auf beiden Seiten. Der Switch überträgt dort jetzt mit den Packeten aus den VLANs (2, 3 und 10 müssen natürlich tagged für diesen Switchlinkport konfiguriert sein !) auch immer mit die VLAN ID also die VLAN Nummer. Dadurch kann jetzt der empfangene Switch das Packet wieder eindeutig einem VLAN zuordnen. Was ein tagged Link also macht ist dir deine VLAN Struktur über einen Verbund von Switches zu verteilen und deine Trennung der VLANs über einen Switch Verbund so aufrecht zu erhalten, denn sicher sitzen deine Firmenja nicht nur in einem Raum an einem Switch !!??
Allerdings löst das natürlich auch erstmal dein Problem der Kommunikation unter den VLANs nicht, denn wie du dir denken kannst ist dein VLAN Netz nun lediglich größer geworden, da über mehrere Switches verteilt aber die Abschottung der VLANs untereinander gilt natürlich weiterhin !!!
Die Lösung dazu ist natürlich ein Routing ! Ohne Layer 3 Switches benötigst du in der Tat natürlich einen externen Router ! Das kann ein Server sein der 3 Netzwerkkarten (in deinem Beispiel) hat oder ein dedizierter Router mit n Interfaces wie VLANs da sind oder ein Router der tagged Links versteht und dafür virtuelle Interfaces pro VLAN erzeugt an einem physischen Interface (Cisco kann sowas..)
Die siehts wie schlecht eine Server basierende Lösung ist. Gangbar für kleine Netze aber wenn du 10 VLANs ast du schon ein Problem 10 Netzwerkkarten in so einem server unterzubringen ! Die Lösung ist natürlich ein Layer 3 fähiger Switch !!!
D.h. du steckst in jedes dieser VLANs an einem Switch im Netz der das Routing machen soll ein IP Interface mit einer Adresse ! Das geschieht ja auf so einem Switch nicht physisch sondern mit der Konfig.
Alle Endgeräte bekommen diese Switch VLAN IP Adresse in ihrem VLAN als Gateway konfiguriert und der Switch sorgt dann dafür das die Packete in das richtge Netz geforwardet werden. Arbeitet also als "Spinne" wie ein zentraler Router.
So ist alles aus Layer 3 (Routing) Sicht wieder transparent und jeder kann mit jedem.
Damit das nun nicht wahllos passiert musst du IP Filterlisten auf diesem Switch erzeugen (sog. Accesslisten), die dir den Zugang reglementieren, sonst kann jeder mit jedem.
Der Router sollte auch in einem separaten VLAN betrieben werden damit der Switch zentral Packete dahin routen kann ohne diese Internet Daten über andere VLANs durchzureichen !
Letztlich brauchst du also für dein Konzept 4 VLANs !!!
Was besonderes ist dein Voice VLAN ! Das sollte man schon abtrennen von den Firmen VLANs was generell ein sehr gutes Konzept ist aus Perormance- und Sicherheitsgründen ! Allerdings ist es problematisch wenn du eine zentrale Anlage hast und die Telefone selber in den einzelnen Firmennetzen (VLANs) betreiben willst. Logischerweise muss der Voice Traffic und das Mangement der Telefone dann ja auch geroutet werden !
Der Grund der Problematik liegt darin, das die Telefone immer per TFTP ein Image booten und auch die Call Server Daten per DHCP bekommen von der Anlage und das entsprechend konfiguriert werden muss, das dies dann auch über VLANs hinweg geschehen kann. (UDP Forwarding !)
Nicht alle Billigprodukte für den Consumer oder Kleinstmarkt wie NetGear und andere sie herstellen supporten so ein Feature ! Meist verzichten diese Hersteller durch den enormen Kostendruck und die geringen Anforderungen die sie in diesem Segment haben auf diese Dinge und du findest sowas nur bei etablierten Switch Herstellern. Das müsste man im Einzelfall aber klären anhand der Featureliste des Herstellers wenn du an diesem Konzept der VLAN verteilten Telefone festhalten willst !
Anders sieht es aus jede Firma hat ihre eigene Anlage, was wohl aber nicht der Fall ist ?!
Um solchen Problemen im Voice Netz aus dem Weg zu gehen würde ich das Voice VLAN gesamt für alle als separates Layer 2 VLAN betreiben...
Generell ist ein VLAN nichts anderes als eine innerhalb des Switches geschlossene Broadcast Domain also als ob du 3 einzelne (oder mehr bei mehr VLANs..) getrennte Switches in einem laufen lässt. Wenn du so willst teilst du deinen Switch oben in eigentlich 3 virtuelle unabhängige Switches, nichts anderes sind ja VLANs. Also...
Firma A (VLAN 2) Ports 1 bis 5
Firma B (VLAN 3) Ports 6 bis 10
Voice Netz (VLAN 10) Ports 11 und 12
So, wenn du diesen Ports untagged Ports zuweist, also ganz normale Endgeräteports, hast du 3 unterschiedliche Netze die nicht miteinander kommunizieren können, da sie durch die VLAN Einrichtung ja komplett getrennt sind.
Logischerweise benutzt du auch unterschiedliche IP Netze in diesen VLANs.
Also so konfiguriert haben wir nun den Umstand das Firma A nur mit Firma A reden kann und Firma B nur mit Firma B und im Voice Netz telefoniert werden kann ohne das dieser Traffic in den Firmennetzen zu sehen ist.
Firma A kann aber logischerweise durch die Trennung niemals einen Drucker von Firma B nutzen..das ist ja klar.
Dein Internet Router können so in der o.a. Konfig nur die Telefone nutzen wenn der im Voice VLAN hängt..Firma A und B sind davon abgetrennt was ja auch klar ist.... Würde der Router in VLAN 2 bei Firma A hängen könnten nur sie ihn benutzen und nicht das Voice Netz oder Firma B...ist auch klar !
Also da ist die Trennung komplett und das soll auch so sein....
Was sind nun tagged Ports ???
Der IEEE Standard 802.1q beschreibt eine Erweiterung von Ethernet Frames um ein sog. Tag. Banal gesagt wird einfach eine Erweiterung von ein paar Bits an den Ethernet Frame rangehängt.
Normalerweise darf man das nicht, denn Endgeräte würden durch diese Manipulation die Packete nicht mehr lesen können was auch der Fall ist. Deshalb wird diese Erweiterung nur bei einer Switch to Switch Kopplung benutzt. (Spezielle Kartentreiber verstehen aber auch dieses Format)
Nimmst du nun zwei deiner NetGears und hängst die zusammen willst du ja auch wieder VLAN 2, 3 und 10 auf dem 2ten Switch haben. Deshalb taggest du den Verbindugslink auf beiden Seiten. Der Switch überträgt dort jetzt mit den Packeten aus den VLANs (2, 3 und 10 müssen natürlich tagged für diesen Switchlinkport konfiguriert sein !) auch immer mit die VLAN ID also die VLAN Nummer. Dadurch kann jetzt der empfangene Switch das Packet wieder eindeutig einem VLAN zuordnen. Was ein tagged Link also macht ist dir deine VLAN Struktur über einen Verbund von Switches zu verteilen und deine Trennung der VLANs über einen Switch Verbund so aufrecht zu erhalten, denn sicher sitzen deine Firmenja nicht nur in einem Raum an einem Switch !!??
Allerdings löst das natürlich auch erstmal dein Problem der Kommunikation unter den VLANs nicht, denn wie du dir denken kannst ist dein VLAN Netz nun lediglich größer geworden, da über mehrere Switches verteilt aber die Abschottung der VLANs untereinander gilt natürlich weiterhin !!!
Die Lösung dazu ist natürlich ein Routing ! Ohne Layer 3 Switches benötigst du in der Tat natürlich einen externen Router ! Das kann ein Server sein der 3 Netzwerkkarten (in deinem Beispiel) hat oder ein dedizierter Router mit n Interfaces wie VLANs da sind oder ein Router der tagged Links versteht und dafür virtuelle Interfaces pro VLAN erzeugt an einem physischen Interface (Cisco kann sowas..)
Die siehts wie schlecht eine Server basierende Lösung ist. Gangbar für kleine Netze aber wenn du 10 VLANs ast du schon ein Problem 10 Netzwerkkarten in so einem server unterzubringen ! Die Lösung ist natürlich ein Layer 3 fähiger Switch !!!
D.h. du steckst in jedes dieser VLANs an einem Switch im Netz der das Routing machen soll ein IP Interface mit einer Adresse ! Das geschieht ja auf so einem Switch nicht physisch sondern mit der Konfig.
Alle Endgeräte bekommen diese Switch VLAN IP Adresse in ihrem VLAN als Gateway konfiguriert und der Switch sorgt dann dafür das die Packete in das richtge Netz geforwardet werden. Arbeitet also als "Spinne" wie ein zentraler Router.
So ist alles aus Layer 3 (Routing) Sicht wieder transparent und jeder kann mit jedem.
Damit das nun nicht wahllos passiert musst du IP Filterlisten auf diesem Switch erzeugen (sog. Accesslisten), die dir den Zugang reglementieren, sonst kann jeder mit jedem.
Der Router sollte auch in einem separaten VLAN betrieben werden damit der Switch zentral Packete dahin routen kann ohne diese Internet Daten über andere VLANs durchzureichen !
Letztlich brauchst du also für dein Konzept 4 VLANs !!!
Was besonderes ist dein Voice VLAN ! Das sollte man schon abtrennen von den Firmen VLANs was generell ein sehr gutes Konzept ist aus Perormance- und Sicherheitsgründen ! Allerdings ist es problematisch wenn du eine zentrale Anlage hast und die Telefone selber in den einzelnen Firmennetzen (VLANs) betreiben willst. Logischerweise muss der Voice Traffic und das Mangement der Telefone dann ja auch geroutet werden !
Der Grund der Problematik liegt darin, das die Telefone immer per TFTP ein Image booten und auch die Call Server Daten per DHCP bekommen von der Anlage und das entsprechend konfiguriert werden muss, das dies dann auch über VLANs hinweg geschehen kann. (UDP Forwarding !)
Nicht alle Billigprodukte für den Consumer oder Kleinstmarkt wie NetGear und andere sie herstellen supporten so ein Feature ! Meist verzichten diese Hersteller durch den enormen Kostendruck und die geringen Anforderungen die sie in diesem Segment haben auf diese Dinge und du findest sowas nur bei etablierten Switch Herstellern. Das müsste man im Einzelfall aber klären anhand der Featureliste des Herstellers wenn du an diesem Konzept der VLAN verteilten Telefone festhalten willst !
Anders sieht es aus jede Firma hat ihre eigene Anlage, was wohl aber nicht der Fall ist ?!
Um solchen Problemen im Voice Netz aus dem Weg zu gehen würde ich das Voice VLAN gesamt für alle als separates Layer 2 VLAN betreiben...