Getrennte Netze durch Vlan
Hallo,
ich versuche das Problem mal kurz zu schildern, momentan ist es ein reines Gedankenkonstrukt:
Es gibt das normale Heimnetz mit Internetzugang. Nun soll eine Videoüberwachung + AP her. Dazu passend ein Server, der sowohl für das Videosystem, als auch als normaler Storage genutzt werden soll. Dazu wird er 2 Netzwerkkarten bekommen. Einmal für das Kamerasystem, einmal für das normale Heimnetz.
Das Kamerasystem soll nicht aus dem Netz erreichbar sein.
Der AP wird in einem anderen Gebäude stehen, welches über "Richtfunk" angebunden wird.
Nun war mein Gedankengang folgender: Server wird mit beiden Netzwerkkarten mit Vlan Switch verbunden. Beide Netze bekommen eine unterschiedliche ID. Heimnetz ID01, Kamera ID02. Beide angeschlossenen Ports dürfen ausschliesslich die für sie getaggten Pakete durchlassen.
Das Kamerasystem wird an einen weiteren Switchport angeschlossen. Dort laufen BEIDE Netze, ID01 als auch ID02 über den Port in Richtung Kameras, Antenne als auch AP. Die Antennen arbeiten als WDS Bridge, also Layer2 transparent. Kamera als auch AP können VLANS verwalten.
So kann ich den Kameradatenstrom auf einer physikalischen Leitung mit dem Heimnetz laufen lassen und habe sie dennoch bis zum Server komplett voneinander getrennt.
Ist es dann auch möglich das getaggte Heimnetz ID01 über einen weiteren Port (untagged?) in Richtung Router zu schicken?
Zur Veranschaulichung mal ein fixes Schaubild: http://abload.de/img/vlan2ljobg.png
Ich hoffe ihr versteht meine Anfrage einigermaßen. Für mich ist das immer noch etwas verwirrend.
Grüße
ich versuche das Problem mal kurz zu schildern, momentan ist es ein reines Gedankenkonstrukt:
Es gibt das normale Heimnetz mit Internetzugang. Nun soll eine Videoüberwachung + AP her. Dazu passend ein Server, der sowohl für das Videosystem, als auch als normaler Storage genutzt werden soll. Dazu wird er 2 Netzwerkkarten bekommen. Einmal für das Kamerasystem, einmal für das normale Heimnetz.
Das Kamerasystem soll nicht aus dem Netz erreichbar sein.
Der AP wird in einem anderen Gebäude stehen, welches über "Richtfunk" angebunden wird.
Nun war mein Gedankengang folgender: Server wird mit beiden Netzwerkkarten mit Vlan Switch verbunden. Beide Netze bekommen eine unterschiedliche ID. Heimnetz ID01, Kamera ID02. Beide angeschlossenen Ports dürfen ausschliesslich die für sie getaggten Pakete durchlassen.
Das Kamerasystem wird an einen weiteren Switchport angeschlossen. Dort laufen BEIDE Netze, ID01 als auch ID02 über den Port in Richtung Kameras, Antenne als auch AP. Die Antennen arbeiten als WDS Bridge, also Layer2 transparent. Kamera als auch AP können VLANS verwalten.
So kann ich den Kameradatenstrom auf einer physikalischen Leitung mit dem Heimnetz laufen lassen und habe sie dennoch bis zum Server komplett voneinander getrennt.
Ist es dann auch möglich das getaggte Heimnetz ID01 über einen weiteren Port (untagged?) in Richtung Router zu schicken?
Zur Veranschaulichung mal ein fixes Schaubild: http://abload.de/img/vlan2ljobg.png
Ich hoffe ihr versteht meine Anfrage einigermaßen. Für mich ist das immer noch etwas verwirrend.
Grüße
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 301296
Url: https://administrator.de/contentid/301296
Ausgedruckt am: 23.11.2024 um 05:11 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
ich versuche mich mal an einer Antwort wenn sich sonst keiner traut
Nein, es sei denn AP und Kameras können von sich auf mit VLAN umgehen.
Jeder Switch-Port kann nur einen untagged-VLAN haben oder mehrere tagged-VLANs.
Tagged-VLANs kannst Du aber nur mit Geräten verbinden die von sich aus auch VLAN können. DIe meisten können das nicht.
Also brauchst Du noch ein paar Switch mehr die VLAN können.
Einen zwischen dem 1. Switch, der 1. Kamera und 1. Antenne
und einen zwischen der 2. Antenne, dem AP und der 2. Kamera
Viele Grüße
Stefan
ich versuche mich mal an einer Antwort wenn sich sonst keiner traut
Nein, es sei denn AP und Kameras können von sich auf mit VLAN umgehen.
Jeder Switch-Port kann nur einen untagged-VLAN haben oder mehrere tagged-VLANs.
Tagged-VLANs kannst Du aber nur mit Geräten verbinden die von sich aus auch VLAN können. DIe meisten können das nicht.
Also brauchst Du noch ein paar Switch mehr die VLAN können.
Einen zwischen dem 1. Switch, der 1. Kamera und 1. Antenne
und einen zwischen der 2. Antenne, dem AP und der 2. Kamera
Viele Grüße
Stefan
Hier noch eine Skizze meinerseits wie das aussehen könnte:
Die Zahl in den Switch-Ports sind die jeweilige VLAN ID.
Eventuell kann man an der "Antenne" direkt was abgreifen? (Mini-Switch eingebaut, keine Ahnung, dann würde das evnt. ein bisschen mehr wie in Deiner Zeichnung aussehen.)
Übrigens:
Wenn Du zwei Netzwerkkarten hast, brauchst Du nichts zu taggen. Du kannst ganz einfach auf dem einen (Switch)-Port VLAN1 untagged, und auf dem anderen VLAN2 untagged fahren. Oder Du sparst Dir die zwei NICs im Server und fährst über ein Kabel beide VLANs in den Server, wenn die Bandbreite reicht.
Die Zahl in den Switch-Ports sind die jeweilige VLAN ID.
Eventuell kann man an der "Antenne" direkt was abgreifen? (Mini-Switch eingebaut, keine Ahnung, dann würde das evnt. ein bisschen mehr wie in Deiner Zeichnung aussehen.)
Übrigens:
Server wird mit beiden Netzwerkkarten mit Vlan Switch verbunden. Beide Netze bekommen eine unterschiedliche ID. Heimnetz ID01, Kamera ID02. Beide angeschlossenen Ports dürfen ausschliesslich die für sie getaggten Pakete durchlassen.
Wenn Du zwei Netzwerkkarten hast, brauchst Du nichts zu taggen. Du kannst ganz einfach auf dem einen (Switch)-Port VLAN1 untagged, und auf dem anderen VLAN2 untagged fahren. Oder Du sparst Dir die zwei NICs im Server und fährst über ein Kabel beide VLANs in den Server, wenn die Bandbreite reicht.
Zitat von @Markii:
Ganz korrekt wäre: Jeder Switch-Port kann max. ein (1) untagged VLAN sowie (=und) tagged VLANs (egal wieviel, 0-n) haben.
Ganz korrekt wäre: Jeder Switch-Port kann max. ein (1) untagged VLAN sowie (=und) tagged VLANs (egal wieviel, 0-n) haben.
Hallo,
das kann so aber nicht stimmen.
Untagged heist ja, prüfen und Tag-Markierung entfernen bei ausgehenden Paketen und Tag-Markierung hinzufügen bei eingehenden Paketen.
Tagged heist ja, prüfen und Tag-Markierung belassen bei ein- und ausgehenden. Paketen.
Wenn nun ein Port beides sein sollte, was passiert mit der Tag-Markierung?
Bei eingehden Paketen geht das ja noch, da er das Tag hinzufügt wenn es nicht schon da ist.
Aber bei ausgehenden Paketen? Drin lassen geht ja nicht, weil sonst der PC ohne VLAN Unterstützung das Datenpaket ablehnt.
Oder sehe ich da was falsch?
Stefam
Der Port ist ja nicht untagged oder tagged, sondern die VLANs auf dem Port.
Rein in den Switch/Port (Ingress):
Paket untagged -> der Switch hat ein VLAN auf dem Port konfiguriert dem er das Paket in diesem Spezialfall zuordnet (das native VLAN des Ports).
Paket tagged -> klar, nix zu tun, ausser evnt. Filter überprüfen etc.
Raus aus dem Switch/Port (Egress):
Paket untagged -> Der Switch ist so konfiguriert dass Pakete die zu VLAN x gehören ohne Tag auf dem Port ausgegeben werden. Das geht logischerweis nur für ein VLAN.
Paket tagged -> Der Switch ist so konfiguriert dass Pakete die zu VLAN x gehören mit Tag auf dem Port ausgegeben werden. Das geht für soviele VLANs wie der Switch verkraftet.
Rein in den Switch/Port (Ingress):
Paket untagged -> der Switch hat ein VLAN auf dem Port konfiguriert dem er das Paket in diesem Spezialfall zuordnet (das native VLAN des Ports).
Paket tagged -> klar, nix zu tun, ausser evnt. Filter überprüfen etc.
Raus aus dem Switch/Port (Egress):
Paket untagged -> Der Switch ist so konfiguriert dass Pakete die zu VLAN x gehören ohne Tag auf dem Port ausgegeben werden. Das geht logischerweis nur für ein VLAN.
Paket tagged -> Der Switch ist so konfiguriert dass Pakete die zu VLAN x gehören mit Tag auf dem Port ausgegeben werden. Das geht für soviele VLANs wie der Switch verkraftet.
Hallo,
das macht so Sinn.
Wenn ich also auf einem Port ein VLAN tagged und eines untagged habe gibt das keinen Konflikt.
Aber wenn ich auf einem Port zwei VLANs untagged habe, kann er eingehende untagged Pakete nicht zuordnung, da er sich zwischen den beiden VLANs entscheiden muss. Oder? Nur zu vollständigkeit.
Stefan
das macht so Sinn.
Wenn ich also auf einem Port ein VLAN tagged und eines untagged habe gibt das keinen Konflikt.
Aber wenn ich auf einem Port zwei VLANs untagged habe, kann er eingehende untagged Pakete nicht zuordnung, da er sich zwischen den beiden VLANs entscheiden muss. Oder? Nur zu vollständigkeit.
Stefan
Genau.
Es hängt natürlich von der Software des Switches ab, welche Schandtaten zugelassen werden.
Das eingehende ungetaggte VLAN (PVID, port vlan ID) sollte eindeutig sein.
Es mag sein, dass man im Egress eines Ports mehrere ungetaggte VLANs konfigurieren kann. Was jmd damit anfängt muss er selber wissen. Im Normalfall macht es keinen Sinn. Vielleicht zu Diagnosezwecken, k.A.
Es hängt natürlich von der Software des Switches ab, welche Schandtaten zugelassen werden.
Das eingehende ungetaggte VLAN (PVID, port vlan ID) sollte eindeutig sein.
Es mag sein, dass man im Egress eines Ports mehrere ungetaggte VLANs konfigurieren kann. Was jmd damit anfängt muss er selber wissen. Im Normalfall macht es keinen Sinn. Vielleicht zu Diagnosezwecken, k.A.
Hallo,
ok. Mir war das mal vor kurzem bei einem "großem" dlink Switch aufgefallen.
Dort kann man die VLANs frei definieren. Und was passiert wenn man einem Port zwei untagged VLANs zuordnet?
Antwort: es funktioniert gar nicht. Bei einem Konflikt zeigt er das nirgends an, aber untagged funktioniert auf dem Port dann einfach gar nicht. Als wenn man kein untagged VLAN hätte.
Stefan
ok. Mir war das mal vor kurzem bei einem "großem" dlink Switch aufgefallen.
Dort kann man die VLANs frei definieren. Und was passiert wenn man einem Port zwei untagged VLANs zuordnet?
Antwort: es funktioniert gar nicht. Bei einem Konflikt zeigt er das nirgends an, aber untagged funktioniert auf dem Port dann einfach gar nicht. Als wenn man kein untagged VLAN hätte.
Stefan