santa-claus
Goto Top

Getrennte Netze durch Vlan

Hallo,

ich versuche das Problem mal kurz zu schildern, momentan ist es ein reines Gedankenkonstrukt:

Es gibt das normale Heimnetz mit Internetzugang. Nun soll eine Videoüberwachung + AP her. Dazu passend ein Server, der sowohl für das Videosystem, als auch als normaler Storage genutzt werden soll. Dazu wird er 2 Netzwerkkarten bekommen. Einmal für das Kamerasystem, einmal für das normale Heimnetz.
Das Kamerasystem soll nicht aus dem Netz erreichbar sein.
Der AP wird in einem anderen Gebäude stehen, welches über "Richtfunk" angebunden wird.

Nun war mein Gedankengang folgender: Server wird mit beiden Netzwerkkarten mit Vlan Switch verbunden. Beide Netze bekommen eine unterschiedliche ID. Heimnetz ID01, Kamera ID02. Beide angeschlossenen Ports dürfen ausschliesslich die für sie getaggten Pakete durchlassen.
Das Kamerasystem wird an einen weiteren Switchport angeschlossen. Dort laufen BEIDE Netze, ID01 als auch ID02 über den Port in Richtung Kameras, Antenne als auch AP. Die Antennen arbeiten als WDS Bridge, also Layer2 transparent. Kamera als auch AP können VLANS verwalten.

So kann ich den Kameradatenstrom auf einer physikalischen Leitung mit dem Heimnetz laufen lassen und habe sie dennoch bis zum Server komplett voneinander getrennt.
Ist es dann auch möglich das getaggte Heimnetz ID01 über einen weiteren Port (untagged?) in Richtung Router zu schicken?

Zur Veranschaulichung mal ein fixes Schaubild: http://abload.de/img/vlan2ljobg.png

Ich hoffe ihr versteht meine Anfrage einigermaßen. Für mich ist das immer noch etwas verwirrend.


Grüße

Content-ID: 301296

Url: https://administrator.de/contentid/301296

Ausgedruckt am: 23.11.2024 um 05:11 Uhr

StefanKittel
StefanKittel 09.04.2016 um 17:00:59 Uhr
Goto Top
Hallo,

ich versuche mich mal an einer Antwort wenn sich sonst keiner traut face-smile

Nein, es sei denn AP und Kameras können von sich auf mit VLAN umgehen.

Jeder Switch-Port kann nur einen untagged-VLAN haben oder mehrere tagged-VLANs.
Tagged-VLANs kannst Du aber nur mit Geräten verbinden die von sich aus auch VLAN können. DIe meisten können das nicht.

Also brauchst Du noch ein paar Switch mehr die VLAN können.
Einen zwischen dem 1. Switch, der 1. Kamera und 1. Antenne
und einen zwischen der 2. Antenne, dem AP und der 2. Kamera

Viele Grüße

Stefan
Santa-Claus
Santa-Claus 09.04.2016 um 17:08:58 Uhr
Goto Top
AP und Kameras beherrschen VLANs (Axis und Ubiquiti). Sonst würde ich das glaub ich gar nicht erst versuchen.
Nur, wäre der grobe Aufbau dann so machbar? Ich hab einfach zu wenig Erfahrung mit VLAN und werfe da schnell Dinge durcheinander.
Markii
Markii 09.04.2016 aktualisiert um 18:32:47 Uhr
Goto Top
Jeder Switch-Port kann nur einen untagged-VLAN haben oder mehrere tagged-VLANs.

Ganz korrekt wäre: Jeder Switch-Port kann max. ein (1) untagged VLAN sowie (=und) tagged VLANs (egal wieviel, 0-n) haben.
Markii
Markii 09.04.2016 um 18:42:03 Uhr
Goto Top
Hier noch eine Skizze meinerseits wie das aussehen könnte:

img011

Die Zahl in den Switch-Ports sind die jeweilige VLAN ID.

Eventuell kann man an der "Antenne" direkt was abgreifen? (Mini-Switch eingebaut, keine Ahnung, dann würde das evnt. ein bisschen mehr wie in Deiner Zeichnung aussehen.)

Übrigens:

Server wird mit beiden Netzwerkkarten mit Vlan Switch verbunden. Beide Netze bekommen eine unterschiedliche ID. Heimnetz ID01, Kamera ID02. Beide angeschlossenen Ports dürfen ausschliesslich die für sie getaggten Pakete durchlassen.

Wenn Du zwei Netzwerkkarten hast, brauchst Du nichts zu taggen. Du kannst ganz einfach auf dem einen (Switch)-Port VLAN1 untagged, und auf dem anderen VLAN2 untagged fahren. Oder Du sparst Dir die zwei NICs im Server und fährst über ein Kabel beide VLANs in den Server, wenn die Bandbreite reicht.
StefanKittel
StefanKittel 09.04.2016 um 20:08:23 Uhr
Goto Top
Zitat von @Markii:
Ganz korrekt wäre: Jeder Switch-Port kann max. ein (1) untagged VLAN sowie (=und) tagged VLANs (egal wieviel, 0-n) haben.

Hallo,
das kann so aber nicht stimmen.

Untagged heist ja, prüfen und Tag-Markierung entfernen bei ausgehenden Paketen und Tag-Markierung hinzufügen bei eingehenden Paketen.
Tagged heist ja, prüfen und Tag-Markierung belassen bei ein- und ausgehenden. Paketen.

Wenn nun ein Port beides sein sollte, was passiert mit der Tag-Markierung?

Bei eingehden Paketen geht das ja noch, da er das Tag hinzufügt wenn es nicht schon da ist.
Aber bei ausgehenden Paketen? Drin lassen geht ja nicht, weil sonst der PC ohne VLAN Unterstützung das Datenpaket ablehnt.

Oder sehe ich da was falsch?

Stefam
Markii
Markii 09.04.2016 aktualisiert um 20:30:18 Uhr
Goto Top
Der Port ist ja nicht untagged oder tagged, sondern die VLANs auf dem Port.

Rein in den Switch/Port (Ingress):
Paket untagged -> der Switch hat ein VLAN auf dem Port konfiguriert dem er das Paket in diesem Spezialfall zuordnet (das native VLAN des Ports).
Paket tagged -> klar, nix zu tun, ausser evnt. Filter überprüfen etc.

Raus aus dem Switch/Port (Egress):
Paket untagged -> Der Switch ist so konfiguriert dass Pakete die zu VLAN x gehören ohne Tag auf dem Port ausgegeben werden. Das geht logischerweis nur für ein VLAN.
Paket tagged -> Der Switch ist so konfiguriert dass Pakete die zu VLAN x gehören mit Tag auf dem Port ausgegeben werden. Das geht für soviele VLANs wie der Switch verkraftet.
StefanKittel
StefanKittel 09.04.2016 um 20:38:24 Uhr
Goto Top
Hallo,

das macht so Sinn.
Wenn ich also auf einem Port ein VLAN tagged und eines untagged habe gibt das keinen Konflikt.
Aber wenn ich auf einem Port zwei VLANs untagged habe, kann er eingehende untagged Pakete nicht zuordnung, da er sich zwischen den beiden VLANs entscheiden muss. Oder? Nur zu vollständigkeit.

Stefan
Markii
Markii 09.04.2016 um 20:46:42 Uhr
Goto Top
Genau.

Es hängt natürlich von der Software des Switches ab, welche Schandtaten zugelassen werden.

Das eingehende ungetaggte VLAN (PVID, port vlan ID) sollte eindeutig sein.

Es mag sein, dass man im Egress eines Ports mehrere ungetaggte VLANs konfigurieren kann. Was jmd damit anfängt muss er selber wissen. Im Normalfall macht es keinen Sinn. Vielleicht zu Diagnosezwecken, k.A.
StefanKittel
StefanKittel 09.04.2016 um 20:51:18 Uhr
Goto Top
Hallo,

ok. Mir war das mal vor kurzem bei einem "großem" dlink Switch aufgefallen.
Dort kann man die VLANs frei definieren. Und was passiert wenn man einem Port zwei untagged VLANs zuordnet?
Antwort: es funktioniert gar nicht. Bei einem Konflikt zeigt er das nirgends an, aber untagged funktioniert auf dem Port dann einfach gar nicht. Als wenn man kein untagged VLAN hätte.

Stefan
Santa-Claus
Santa-Claus 09.04.2016 um 23:43:06 Uhr
Goto Top
Das sieht in der Tat so aus wie ich das brauche. Nun muss ich nur noch den passenden Switch finden. Denn leider hängt am ersten Switch nicht nur die PoE Antenne, sondern auch 4 PoE Kameras.
Am zweiten Switch ebenfalls 4 PoE Kameras, die PoE Antenne sowie PoE AP. Wobei dort (Stall) auch die normalen PoE Injectoren für AP und Antenne genutzt werden können.
Nur auf Hausseite wird das nicht funktionieren aus Ermangelung an Platz. face-confused