12
Grundsatzfragen Switching Layer 2, VLAN und IPv4-6
Hi,
ich habe gerade angefangen meinen ersten OPNsense Router zu konfigurieren und mir zwei Mikrotik Switche gekauft, die aber leider noch nicht da sind.
Ich merke bei einigen Detailsfragen insbesondere zu IPv6 und VLANs aber, dass es mir noch ein wenig an Grundlagen fehlt.
Kann mir jemand sagen, ob ich das richtig verstanden habe und ein paar offene Fragen beantworten?
Ich habe gelernt, die Kommunikation auf Layer 2, welches die Switche anbieten basiert auf der MAC Adresse und nicht auf der IP. Der Switch hat eine Tabelle in der die Zuordnung MAC Adresse Port hinterlegt ist. Hier habe ich gleich ein paar Verständnisfragen.
1. Die erste Frage die sich mir da stellt ist, wenn ich in meinem LAN einen Rechner ansprechen möchte, nutze ich die IP nicht die MAC Adresse.
Wird die IP mit in dieser Tabelle abgelegt?
2. Wenn ich zwei Switche hintereinander habe, umfasst dann diese Tabelle nur die MAC Adressen der eigenen Ports oder auch die der anderen Ports des zweiten Switches?
Ein LAN oder auch ein VLAN war für mich bislang über IP-Adressbereiche definiert. Aber LAN und VLAN sind Layer 2, IPs sind eigentlich Layer 3.
Angenommen ich habe einen einfachen Layer 2 Switch ohne VLANs und stöpsel da zwei Rechner an. Das macht jetzt keinen Sinn, aber wenn ich den einen konfiguriere Rechner A als 192.168.0.2/16 und Rechner B als 192.168.1.5/24, wie ist das dann mit dem Routing?
Der Switch kennt die beiden MAC Adressen. Die IP von B liegt in der Range von A, die IP von A aber nicht in der Range von B. Wenn ich jetzt von A mit B reden will, erfährt A dann die MAC von B und baut eine Kommunikation auf? A und B würden dann ja die MAC Adressen kennen.
Wenn ich jetzt ein paar tagged VLANs in meinen Switchen und Router habe, dann habe ich für die VLANs ja üblicherweise die Unterscheidung mittels der Tags und auch noch die unterschiedlichen IP Adressräume. Warum brauche ich denn das eine, wenn ich das andere schon habe?
Ändert sich irgendwas an den Antworten, wenn man IPv6 mit einbezieht?
ich habe gerade angefangen meinen ersten OPNsense Router zu konfigurieren und mir zwei Mikrotik Switche gekauft, die aber leider noch nicht da sind.
Ich merke bei einigen Detailsfragen insbesondere zu IPv6 und VLANs aber, dass es mir noch ein wenig an Grundlagen fehlt.
Kann mir jemand sagen, ob ich das richtig verstanden habe und ein paar offene Fragen beantworten?
Ich habe gelernt, die Kommunikation auf Layer 2, welches die Switche anbieten basiert auf der MAC Adresse und nicht auf der IP. Der Switch hat eine Tabelle in der die Zuordnung MAC Adresse Port hinterlegt ist. Hier habe ich gleich ein paar Verständnisfragen.
1. Die erste Frage die sich mir da stellt ist, wenn ich in meinem LAN einen Rechner ansprechen möchte, nutze ich die IP nicht die MAC Adresse.
Wird die IP mit in dieser Tabelle abgelegt?
2. Wenn ich zwei Switche hintereinander habe, umfasst dann diese Tabelle nur die MAC Adressen der eigenen Ports oder auch die der anderen Ports des zweiten Switches?
Ein LAN oder auch ein VLAN war für mich bislang über IP-Adressbereiche definiert. Aber LAN und VLAN sind Layer 2, IPs sind eigentlich Layer 3.
Angenommen ich habe einen einfachen Layer 2 Switch ohne VLANs und stöpsel da zwei Rechner an. Das macht jetzt keinen Sinn, aber wenn ich den einen konfiguriere Rechner A als 192.168.0.2/16 und Rechner B als 192.168.1.5/24, wie ist das dann mit dem Routing?
Der Switch kennt die beiden MAC Adressen. Die IP von B liegt in der Range von A, die IP von A aber nicht in der Range von B. Wenn ich jetzt von A mit B reden will, erfährt A dann die MAC von B und baut eine Kommunikation auf? A und B würden dann ja die MAC Adressen kennen.
Wenn ich jetzt ein paar tagged VLANs in meinen Switchen und Router habe, dann habe ich für die VLANs ja üblicherweise die Unterscheidung mittels der Tags und auch noch die unterschiedlichen IP Adressräume. Warum brauche ich denn das eine, wenn ich das andere schon habe?
Ändert sich irgendwas an den Antworten, wenn man IPv6 mit einbezieht?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 664434
Url: https://administrator.de/contentid/664434
Printed on: May 10, 2024 at 16:05 o'clock
12 Comments
Latest comment
Zitat von @Simaryp:
Ich habe gelernt, die Kommunikation auf Layer 2, welches die Switche anbieten basiert auf der MAC Adresse und nicht auf der IP. Der Switch hat eine Tabelle in der die Zuordnung MAC Adresse Port hinterlegt ist.
Ich habe gelernt, die Kommunikation auf Layer 2, welches die Switche anbieten basiert auf der MAC Adresse und nicht auf der IP. Der Switch hat eine Tabelle in der die Zuordnung MAC Adresse Port hinterlegt ist.
So ist es
1. Die erste Frage die sich mir da stellt ist, wenn ich in meinem LAN einen Rechner ansprechen möchte, nutze ich die IP nicht die MAC Adresse.
Wird die IP mit in dieser Tabelle abgelegt?
Wird die IP mit in dieser Tabelle abgelegt?
Nein, denn der Switch ist ja auf Layer 2. Alles, was nicht Layer 2 ist, sieht der Switch nicht - der hat also keine Ahnung von IP-Adressen.
2. Wenn ich zwei Switche hintereinander habe, umfasst dann diese Tabelle nur die MAC Adressen der eigenen Ports oder auch die der anderen Ports des zweiten Switches?
Zuerst einmal: Ein Switch kennt nur MAC-Adressen, von denen er irgendwann mal ein Paket gesehen hat.
Sobald er ein Paket empfängt, erstellt er diese MAC-Switchport-Zuordnung - und zwar so, wie der Switch sie gesehen hat.
Und dieser Eintrag hält natürlich auch nicht ewig, der läuft irgendwann mal ab. Wie schnell das passiert, hängt vom Switch bzw. dessen Konfiguration ab.
Sobald du also irgendwann mal irgendein Paket gesendet hast, welches an den zweiten Switch gesendet worden ist ist (und das kann auch ein Broadcast-Paket gewesen sein, z.B. für eine ARP- oder DHCP-Anfrage), dann kennen beide Switches die MAC-Adresse.
Ein LAN oder auch ein VLAN war für mich bislang über IP-Adressbereiche definiert. Aber LAN und VLAN sind Layer 2, IPs sind eigentlich Layer 3.
Angenommen ich habe einen einfachen Layer 2 Switch ohne VLANs und stöpsel da zwei Rechner an. Das macht jetzt keinen Sinn, aber wenn ich den einen konfiguriere Rechner A als 192.168.0.2/16 und Rechner B als 192.168.1.5/24, wie ist das dann mit dem Routing?
Der Switch kennt die beiden MAC Adressen. Die IP von B liegt in der Range von A, die IP von A aber nicht in der Range von B. Wenn ich jetzt von A mit B reden will, erfährt A dann die MAC von B und baut eine Kommunikation auf? A und B würden dann ja die MAC Adressen kennen.
Angenommen ich habe einen einfachen Layer 2 Switch ohne VLANs und stöpsel da zwei Rechner an. Das macht jetzt keinen Sinn, aber wenn ich den einen konfiguriere Rechner A als 192.168.0.2/16 und Rechner B als 192.168.1.5/24, wie ist das dann mit dem Routing?
Der Switch kennt die beiden MAC Adressen. Die IP von B liegt in der Range von A, die IP von A aber nicht in der Range von B. Wenn ich jetzt von A mit B reden will, erfährt A dann die MAC von B und baut eine Kommunikation auf? A und B würden dann ja die MAC Adressen kennen.
Das hat jetzt nichts mit VLANs zu tun, dennoch:
A will mit B kommunizieren.
A fragt sich jetzt, ob B im selben IP-Subnetz ist. Aus Sicht von A ist das jetzt auch so.
Also wird A jetzt per ARP die MAC-Adresse von B erfragen und auch beantwortet bekommen.
A schickt jetzt also sein Paket (z.B. ein Ping) an B.
B will jetzt die Antwort zurückschicken.
B fragt sich deshalb, ob A im selben Subnetz ist - und aus Sicht von B ist das nicht so.
B wird also jetzt die Ping-Antwort an das eingestellte Gateway adressieren.
Hat B kein Gateway, dann wird es keine Ping-Antwort geben, denn B weiß ja nicht, dass sich A im selben L2-Segment befindet.
B merkt sich nicht, wer mal nach ARP gefragt hat o.Ä.
Aber wie gesagt: Das hat nichts mit Switching oder VLAN, sondern das hat was mit Routing zu tun
Der Switch interessiert sich ja wie gesagt nur für die Adressen, die in Layer 2 stehen und das sind nunmal nur Ethernet-MAC-Adressen.
Und dem IP-Stack auf A und B sind nur die IP-Adressen und Subnetzmasken wichtig, von MAC-Adressen hat der IP-Stack keine Ahnung, das ist nicht seine Abteilung.
Wenn ich jetzt ein paar tagged VLANs in meinen Switchen und Router habe, dann habe ich für die VLANs ja üblicherweise die Unterscheidung mittels der Tags und auch noch die unterschiedlichen IP Adressräume. Warum brauche ich denn das eine, wenn ich das andere schon habe?
Ein VLAN ist ein virtueller Switch, der keine Verbindung mit anderen virtuellen Switches hat.
So, als hättest du echte Switches, die alle für sich alleine herumstehen und keine Kabelverbindung untereinander haben.
Eine Verbindung zwischen den VLANs könntest du optional mit einem Router erzeugen. Der kann dann routen, dafür ist es dann aber natürlich notwendig, dass der Router auch die Netzbereiche auf Basis der IP-Adressen unterscheiden kann.
Wenn du nicht vorhast, die VLANs irgendwie miteinander kommunizieren lassen zu wollen, dann kannst du in jedem VLAN das immer gleiche IP-Netz verwenden. Das ist dann allerdings natürlich der Dokumentations-Horror und wenn du mal irgendwann doch die Not hast, da irgendeine Form von Routing zu etablieren, dann schaust du doof
Ändert sich irgendwas an den Antworten, wenn man IPv6 mit einbezieht?
Nein. IPv4 und IPv6 sind Layer 3. Es ist dem Layer 2 aber wie gesagt egal, was er transportiert.
Das versprochene Traktat zu den OSI-Layern:
Es ist ein altes, etabliertes und absolut sinnvolles Konzept, diese Schichten so hart zu trennen.
Dem IP-Paket (Layer 3) ist es egal, wie es transportiert wird. Ob es nun in einem Ethernet-Netzwerk übertragen wird, oder per PPP oder per VPN-Tunnel oder per ATM, DOCSIS...
Ebenso ist dem Layer 3 egal, was es in den höheren Schichten transportiert. Ob da also UDP, TCP, ICMP drüber läuft... Vollkommen egal.
Dem Layer 2 ist ebenfalls egal, was er transportiert. Ob da nun in Layer 3 IPv4 oder IPv6 gemacht wird ist dem Layer 2 vollkommen egal.
Außerdem ist dem Layer 2 egal, über welches Medium (Layer 1) er transportiert wird.
Ob das nun also ein Twisted-Pair-Kabel ist, ein BNC-Kabel, Glasfaser, WLAN, Bluetooth, Mobilfunknetz, DSL, TV-Kabel...
Und deshalb schaut der Switch nur auf Layer 2, also die MAC-Adressen, andere Sachen schaut er sich nicht an.
Es gibt "Layer 3-Switches", was aber lediglich eine Kombination aus zwei an sich unabhängigen Geräten ist: Nämlich Switch (der den Layer 2-Kram macht) und Router (der den Layer 3 bedient).
Genau, wie es dir ja egal ist, wie der Paketdienst dir eine bestellte Sendung zustellt. Es ist egal, ob der Paketbote mit dem Auto, auf einem Fahrrad oder mit dem Rhönrad zu dir kommt. Und dem Paketboten ist auch egal, was in dem Paket drin ist. Der kümmert sich ausschließlich um seinen Layer
4
Hallo,
noch ne kleine historische Einlassung:
Vor den Switches gab es Hubs. Die sahen genau so aus, im Unterschied zu Switches haben die sich aber nicht mal um MAC-Adressen gekümmert, sondern allen eingehenden Verkehr an alle Ports weitergeleitet. Das war ineffizient (Stichwort Kollision) und Gott dachte sich, dass es besser wäre, Daten nur an Ports weiterzuleiten, die die auch brauchen. So entstand der „Switching-Hub“. Pro Port merkt er sich, wer dranhängt (ARP/MAC) und schaut dann, welcher Port ein Datenpaket erhält. Später kamen dann allerlei Sicherheitsfeatures hinzu. Und eines schönen Tages traf ein Switch einen Router. 9 Monate später erblickte der Layer 3 Switch das Licht der Welt.
Grüße
lcer
noch ne kleine historische Einlassung:
Vor den Switches gab es Hubs. Die sahen genau so aus, im Unterschied zu Switches haben die sich aber nicht mal um MAC-Adressen gekümmert, sondern allen eingehenden Verkehr an alle Ports weitergeleitet. Das war ineffizient (Stichwort Kollision) und Gott dachte sich, dass es besser wäre, Daten nur an Ports weiterzuleiten, die die auch brauchen. So entstand der „Switching-Hub“. Pro Port merkt er sich, wer dranhängt (ARP/MAC) und schaut dann, welcher Port ein Datenpaket erhält. Später kamen dann allerlei Sicherheitsfeatures hinzu. Und eines schönen Tages traf ein Switch einen Router. 9 Monate später erblickte der Layer 3 Switch das Licht der Welt.
Grüße
lcer
2
Vielen Dank, so langsam lichtet sich das Feld.
Ich glaube der Schlüssel zum Verständnis ist das dieser Broadcastverkehr.
Nochmal für normale Switche ohne VLAN.
Ein Rechner A an dem Switch möchte mit Rechner B sprechen. A kennt die IP von B, aber nicht dessen MAC. A weiß, dass die IP in seinem eigenen Adressbereich ist und erwartet, dass B also über Layer 2 erreichbar ist. Er schickt eine Anfrage raus, die keine spezifische MAC Adresse hat, sondern an alle geht, mit der Frage hast du die IP von B. B bekommt diese Nachricht und antwortet an die MAC von A, ja ich bin B, hier ist meine MAC. Der Switch hat sich beide Adressen und Ports gemerkt und leitet nun fröhlich den Verkehr hin und her. Die Frames haben dabei immer die Absender MAC von A und die Empfänger MAC von B und vice versa.
Was ist aber wenn jetzt die Rechner an zwei Switchen hängen?
Der Switch von A sieht ja dann an dem Port zum Switch 2 erst mal nur die MAC Adresse des zweiten Switches. Merkt er sich dann, dass hinter dem Port mehrere MAC Adressen hängen?
Wenn Rechner A und B in unterschiedlichen Adressräumen leben, dann wird A gar nicht erst ein Broadcastframe schicken, sondern eine Anfrage an das Gateway schicken, richtig?
Der Router sieht dann, aha, IP A will mit IP B reden. Das Gateway schaut dann, wie es B erreichen kann und baut einen neuen Frame, der für das nächste Netzwerk passend ist. Richtig?
Also angenommen es sind zwei VLANs.
A findet B nicht oder hat erst gar nicht versucht B zu finden. A schickt die Verbindungsanfrage an das Gateways. Das Gateways weiß dann, IP von B ist in dem zweiten VLAN. Das Gateway macht ggf. auch eine Broadcastanfrage, um die MAC zu bekommen und schickt dann die Nachricht an B. Jetzt geht der Datenverkehr immer über das Gateway und A und B erfahren auch die MAC Adressen nicht, denn das Gateway baut die Pakete um?
Im Prinzip könnte man ja auch sagen, A und B kennen jetzt ihre jeweiligen MAC Adressen und VLAN Tags und ancheinend dürfen die auch miteinander reden. Dann könnten die das ja an sich auch ab da ohne das Gateway tun. Aber ich vermute mal, dass es nicht so, weil das die Trennung von Layer 2 und 3 verletzen würde und eventuell auch Nebeneffekte hat.
Eine generelle Frage habe ich noch zur direkten Praxis.
Angenommen ich habe ein Netzwerk und zwei Managed Switche mit tagged VLANs, die beide Switche umspannen. Sind die tagged VLANs reine Layer zwei Konstrukte und ich kann für Intra-VLAN Kommunikation das nahezu gleiche Verhalten und Performance erwarten, wie für normales LAN? Brauche ich für den Intra-VLAN Verkehr überhaupt einen Router? Ich hatte immer gedacht, es gäbe da keinen Unterschied, aber hatte vor kurzem eine Anmerkung gelesen, die mich stutzig gemacht hat.
Ich glaube der Schlüssel zum Verständnis ist das dieser Broadcastverkehr.
Nochmal für normale Switche ohne VLAN.
Ein Rechner A an dem Switch möchte mit Rechner B sprechen. A kennt die IP von B, aber nicht dessen MAC. A weiß, dass die IP in seinem eigenen Adressbereich ist und erwartet, dass B also über Layer 2 erreichbar ist. Er schickt eine Anfrage raus, die keine spezifische MAC Adresse hat, sondern an alle geht, mit der Frage hast du die IP von B. B bekommt diese Nachricht und antwortet an die MAC von A, ja ich bin B, hier ist meine MAC. Der Switch hat sich beide Adressen und Ports gemerkt und leitet nun fröhlich den Verkehr hin und her. Die Frames haben dabei immer die Absender MAC von A und die Empfänger MAC von B und vice versa.
Was ist aber wenn jetzt die Rechner an zwei Switchen hängen?
Der Switch von A sieht ja dann an dem Port zum Switch 2 erst mal nur die MAC Adresse des zweiten Switches. Merkt er sich dann, dass hinter dem Port mehrere MAC Adressen hängen?
Wenn Rechner A und B in unterschiedlichen Adressräumen leben, dann wird A gar nicht erst ein Broadcastframe schicken, sondern eine Anfrage an das Gateway schicken, richtig?
Der Router sieht dann, aha, IP A will mit IP B reden. Das Gateway schaut dann, wie es B erreichen kann und baut einen neuen Frame, der für das nächste Netzwerk passend ist. Richtig?
Also angenommen es sind zwei VLANs.
A findet B nicht oder hat erst gar nicht versucht B zu finden. A schickt die Verbindungsanfrage an das Gateways. Das Gateways weiß dann, IP von B ist in dem zweiten VLAN. Das Gateway macht ggf. auch eine Broadcastanfrage, um die MAC zu bekommen und schickt dann die Nachricht an B. Jetzt geht der Datenverkehr immer über das Gateway und A und B erfahren auch die MAC Adressen nicht, denn das Gateway baut die Pakete um?
Im Prinzip könnte man ja auch sagen, A und B kennen jetzt ihre jeweiligen MAC Adressen und VLAN Tags und ancheinend dürfen die auch miteinander reden. Dann könnten die das ja an sich auch ab da ohne das Gateway tun. Aber ich vermute mal, dass es nicht so, weil das die Trennung von Layer 2 und 3 verletzen würde und eventuell auch Nebeneffekte hat.
Eine generelle Frage habe ich noch zur direkten Praxis.
Angenommen ich habe ein Netzwerk und zwei Managed Switche mit tagged VLANs, die beide Switche umspannen. Sind die tagged VLANs reine Layer zwei Konstrukte und ich kann für Intra-VLAN Kommunikation das nahezu gleiche Verhalten und Performance erwarten, wie für normales LAN? Brauche ich für den Intra-VLAN Verkehr überhaupt einen Router? Ich hatte immer gedacht, es gäbe da keinen Unterschied, aber hatte vor kurzem eine Anmerkung gelesen, die mich stutzig gemacht hat.
Hallo,
innerhalb eines (V)LANs brauchst Du keinen Router. Stell Dir mal kurz einen Router vor: Der hat mindestens 2 Netzwerkschnittstellen mit unterschiedlichen LAN-Adressen. Der Router nimmt Daten von der einen Schnittstelle entgegen und verschickt diese über die andere. Wenn Du also nur innerhalb eines LAN überträgst, ist kein Router erforderlich. V oder ohne-V ist dabei egal. Überträgst Du Daten zwischen VLANS bzw. LANs benötigst Du einen Router. Diese Routingfunktion kann im Layer-3 Switch aktiviert werden, oder du stöpselt einen Router an den Switch. Das geht wiederrum über einen einen untagged Port pro VLAN (ein kabel pro VLAN) oder auch über Tagged/Trunk-Ports (1 Kabel für alle) passieren.
Das Problem ist glaube ich, dass die Benennung der Geräte irreführend ist. managed,Layer2,Layer2.5,Layer3,Switch,Firewall,Fritzbox und dann ein Haufen Features ...
Grüße
lcer
Zitat von @Simaryp:
Eine generelle Frage habe ich noch zur direkten Praxis.
Angenommen ich habe ein Netzwerk und zwei Managed Switche mit tagged VLANs, die beide Switche umspannen. Sind die tagged VLANs reine Layer zwei Konstrukte und ich kann für Intra-VLAN Kommunikation das nahezu gleiche Verhalten und Performance erwarten, wie für normales LAN? Brauche ich für den Intra-VLAN Verkehr überhaupt einen Router? Ich hatte immer gedacht, es gäbe da keinen Unterschied, aber hatte vor kurzem eine Anmerkung gelesen, die mich stutzig gemacht hat.
Eine generelle Frage habe ich noch zur direkten Praxis.
Angenommen ich habe ein Netzwerk und zwei Managed Switche mit tagged VLANs, die beide Switche umspannen. Sind die tagged VLANs reine Layer zwei Konstrukte und ich kann für Intra-VLAN Kommunikation das nahezu gleiche Verhalten und Performance erwarten, wie für normales LAN? Brauche ich für den Intra-VLAN Verkehr überhaupt einen Router? Ich hatte immer gedacht, es gäbe da keinen Unterschied, aber hatte vor kurzem eine Anmerkung gelesen, die mich stutzig gemacht hat.
innerhalb eines (V)LANs brauchst Du keinen Router. Stell Dir mal kurz einen Router vor: Der hat mindestens 2 Netzwerkschnittstellen mit unterschiedlichen LAN-Adressen. Der Router nimmt Daten von der einen Schnittstelle entgegen und verschickt diese über die andere. Wenn Du also nur innerhalb eines LAN überträgst, ist kein Router erforderlich. V oder ohne-V ist dabei egal. Überträgst Du Daten zwischen VLANS bzw. LANs benötigst Du einen Router. Diese Routingfunktion kann im Layer-3 Switch aktiviert werden, oder du stöpselt einen Router an den Switch. Das geht wiederrum über einen einen untagged Port pro VLAN (ein kabel pro VLAN) oder auch über Tagged/Trunk-Ports (1 Kabel für alle) passieren.
Das Problem ist glaube ich, dass die Benennung der Geräte irreführend ist. managed,Layer2,Layer2.5,Layer3,Switch,Firewall,Fritzbox und dann ein Haufen Features ...
Grüße
lcer
Ja, das stimmt definitiv.
Aber habe ich die Abläufe richtig verstanden? Das ist zwar sehr low level und vermutlich nicht unbedingt notwendig zu verstehen, um das umzusetzen, aber es hilft mir die Konzepte klarer zu verinnerlichen.
Ich sehe das dann auch richtig, dass der gesamte Traffic beim Inter VLAN-Routing über den Router geht.
Aber habe ich die Abläufe richtig verstanden? Das ist zwar sehr low level und vermutlich nicht unbedingt notwendig zu verstehen, um das umzusetzen, aber es hilft mir die Konzepte klarer zu verinnerlichen.
Ich sehe das dann auch richtig, dass der gesamte Traffic beim Inter VLAN-Routing über den Router geht.
Zitat von @Simaryp:
Ja, das stimmt definitiv.
Aber habe ich die Abläufe richtig verstanden? Das ist zwar sehr low level und vermutlich nicht unbedingt notwendig zu verstehen, um das umzusetzen, aber es hilft mir die Konzepte klarer zu verinnerlichen.
Ich sehe das dann auch richtig, dass der gesamte Traffic beim Inter VLAN-Routing über den Router geht.
Ja, falls der Router aber im Switch integriert und aktiviert ist, siehst Du da von außen nix von.Ja, das stimmt definitiv.
Aber habe ich die Abläufe richtig verstanden? Das ist zwar sehr low level und vermutlich nicht unbedingt notwendig zu verstehen, um das umzusetzen, aber es hilft mir die Konzepte klarer zu verinnerlichen.
Ich sehe das dann auch richtig, dass der gesamte Traffic beim Inter VLAN-Routing über den Router geht.
Grüße
lcer
@lcer00
Darf ich mich da kurz einklinken?
Sehe ich das richtig dass es deshalb bei VLans (und anderen Layer3-Features) eben auch effizienter ist, einen Layer3 Switch einzusetzen, weil sonst alles Routing erst an den dedizierten Router rückgefragt wird?! D.h. man hätte hier ja auf dem Uplink zwischen Switch/Router einen deutlich erhöhten Traffic, der bei nem Layer3-Switch “intern” abgewickelt werden würde?!
@LordGurke:
Danke fürs umfangreiche “aufdröseln” weiter oben!
Darf ich mich da kurz einklinken?
Sehe ich das richtig dass es deshalb bei VLans (und anderen Layer3-Features) eben auch effizienter ist, einen Layer3 Switch einzusetzen, weil sonst alles Routing erst an den dedizierten Router rückgefragt wird?! D.h. man hätte hier ja auf dem Uplink zwischen Switch/Router einen deutlich erhöhten Traffic, der bei nem Layer3-Switch “intern” abgewickelt werden würde?!
@LordGurke:
Danke fürs umfangreiche “aufdröseln” weiter oben!
Hallo,
Das geht aber so ein wenig in die Richtung Zero-Trust. Hat jeder Host eine funktionierende Firewall kann man den Layer-3 Switch ohne Einschränkung routen lassen, und die Subnetze in der Endpunkt-Firewall für die Definition der Firewallregeln nutzen. Ist dann halt dezentral im Gegensatz zu einer dedizierten Firewall zwischen den Netzen, aber möglicherweise effizienter - wenn man den Überblick behält.
Grüße
lcer
Zitat von @Visucius:
@lcer00
Darf ich mich da kurz einklinken?
Sehe ich das richtig dass es deshalb bei VLans (und anderen Layer3-Features) eben auch effizienter ist, einen Layer3 Switch einzusetzen, weil sonst alles Routing erst an den dedizierten Router rückgefragt wird?! D.h. man hätte hier ja auf dem Uplink zwischen Switch/Router einen deutlich erhöhten Traffic, der bei nem Layer3-Switch “intern” abgewickelt werden würde?!
Ja, aber - Switche sind keine Firewalls, über die ACLs kann man nicht immer alle Anforderungen umsetzen. Dafür sind dedizierte Router in der Regel gleichzeitig auch Firewalls. Der Layer-3 Switch kann in der Regel z.B. keine Stateful packet inspection, kein NAT.@lcer00
Darf ich mich da kurz einklinken?
Sehe ich das richtig dass es deshalb bei VLans (und anderen Layer3-Features) eben auch effizienter ist, einen Layer3 Switch einzusetzen, weil sonst alles Routing erst an den dedizierten Router rückgefragt wird?! D.h. man hätte hier ja auf dem Uplink zwischen Switch/Router einen deutlich erhöhten Traffic, der bei nem Layer3-Switch “intern” abgewickelt werden würde?!
Das geht aber so ein wenig in die Richtung Zero-Trust. Hat jeder Host eine funktionierende Firewall kann man den Layer-3 Switch ohne Einschränkung routen lassen, und die Subnetze in der Endpunkt-Firewall für die Definition der Firewallregeln nutzen. Ist dann halt dezentral im Gegensatz zu einer dedizierten Firewall zwischen den Netzen, aber möglicherweise effizienter - wenn man den Überblick behält.
Grüße
lcer
1
@Visucius
In die Richtung geht auch meine Frage. Mein Hauptswitch ist der Mikrotik CRS326. Den kann ich mit zwei Betriebssystemen laufen lassen. Einmal dem RouterOS und einmal mit dem SwitchOS.
Die Einrichtung mit SwitchOS und ohne Routing ist wohl einfacher. Aber je nachdem, ob ich meinen Server, der an diesem Switch hängt, in ein eigenes VLAN packe, wäre es wegen der Performance unter Umständen eine gute Idee, die Layer 3 Fähigkeit dort zu nutzen. Auf der Gegenseite, müsste ich aber vlt. die ganzen Routing Regeln auch an einer zweiten Stelle, nämlich dem Switch, abbilden. Das ist natürlich Administrativ gleich wieder ein größerer Overhead, wenn ich das nicht falsch verstehe.
Die sinnvolle Alternative wäre, die VLANs nicht beliebig zu fragmentieren und vor allem Geräte, die viel miteinander reden direkt in ein VLAN zu packen.
In die Richtung geht auch meine Frage. Mein Hauptswitch ist der Mikrotik CRS326. Den kann ich mit zwei Betriebssystemen laufen lassen. Einmal dem RouterOS und einmal mit dem SwitchOS.
Die Einrichtung mit SwitchOS und ohne Routing ist wohl einfacher. Aber je nachdem, ob ich meinen Server, der an diesem Switch hängt, in ein eigenes VLAN packe, wäre es wegen der Performance unter Umständen eine gute Idee, die Layer 3 Fähigkeit dort zu nutzen. Auf der Gegenseite, müsste ich aber vlt. die ganzen Routing Regeln auch an einer zweiten Stelle, nämlich dem Switch, abbilden. Das ist natürlich Administrativ gleich wieder ein größerer Overhead, wenn ich das nicht falsch verstehe.
Die sinnvolle Alternative wäre, die VLANs nicht beliebig zu fragmentieren und vor allem Geräte, die viel miteinander reden direkt in ein VLAN zu packen.
Zitat von @Simaryp:
Was ist aber wenn jetzt die Rechner an zwei Switchen hängen?
Der Switch von A sieht ja dann an dem Port zum Switch 2 erst mal nur die MAC Adresse des zweiten Switches. Merkt er sich dann, dass hinter dem Port mehrere MAC Adressen hängen?
Was ist aber wenn jetzt die Rechner an zwei Switchen hängen?
Der Switch von A sieht ja dann an dem Port zum Switch 2 erst mal nur die MAC Adresse des zweiten Switches. Merkt er sich dann, dass hinter dem Port mehrere MAC Adressen hängen?
Genau, an einem Port können beliebig viele MAC-Adressen hängen (naja, so viele, bis der Speicher voll ist
)So sieht z.B. die MAC-Tabelle eines unserer Core-Switches aus, wobei Interface 6/1 eine Verbindung zu einem anderen, kleineren Switch ist:
MAC Address Port Age VLAN Type
fa64.xxxx.1b7a 6/1 110 103
5254.xxxx.8231 6/1 0 50
e894.xxxx.b1e1 6/1 230 156
0242.xxxx.0127 4/9 0 62
3aaa.xxxx.3536 3/10 90 106
5254.xxxx.5472 6/1 230 50
0025.xxxx.c9fa 3/13 0 130
562b.xxxx.609a 3/11 270 106
ae43.xxxx.bea1 3/10 270 106Wenn Rechner A und B in unterschiedlichen Adressräumen leben, dann wird A gar nicht erst ein Broadcastframe schicken, sondern eine Anfrage an das Gateway schicken, richtig?
Genau. Im wesentlichen sieht das IP-Paket exakt gleich aus wie eines, welches im selben Subnetz verschickt wird, in Layer 2 wird allerdings die MAC-Adresse des Gateways eingetragen. Das Gateway weiß dann, was zu tun ist.
Der Router sieht dann, aha, IP A will mit IP B reden. Das Gateway schaut dann, wie es B erreichen kann und baut einen neuen Frame, der für das nächste Netzwerk passend ist. Richtig?
Richtig.
Also angenommen es sind zwei VLANs.
A findet B nicht oder hat erst gar nicht versucht B zu finden. A schickt die Verbindungsanfrage an das Gateways.
A schickt die Anfrage nur ans Gateway, wenn die Netzmaske das so verlangt - wenn die IP im selben Subnetz liegt und nicht "auflösbar" ist, also keine Antworten auf ARP-Anfragen kommen, dann kommt das Gateway nicht ins Spiel.A findet B nicht oder hat erst gar nicht versucht B zu finden. A schickt die Verbindungsanfrage an das Gateways.
Das Gateways weiß dann, IP von B ist in dem zweiten VLAN. Das Gateway macht ggf. auch eine Broadcastanfrage, um die MAC zu bekommen und schickt dann die Nachricht an B. Jetzt geht der Datenverkehr immer über das Gateway und A und B erfahren auch die MAC Adressen nicht, denn das Gateway baut die Pakete um?
So verlangt es der Standard und nur so funktioniert es - genau.
Es gibt den sehr seltenen Sonderfall, dass du zwei IP-Netze im selben VLAN hast. Dann kann (aber muss nicht) der Router ein "ICMP Redirect" schicken. Darin steht dann, dass die beiden sich direkt erreichen können mit der MAC-Adresse der jeweiligen Gegenstelle. Das ist aber ein weitesgehend totes Verfahren.
Im Prinzip könnte man ja auch sagen, A und B kennen jetzt ihre jeweiligen MAC Adressen und VLAN Tags [...]
Wenn A und B im selben VLAN und IP-Subnetz sind: Ja, dann kennen sie ihre MAC-Adressen. Die VLAN-Tags kennen sie nicht, denn die sehen sie ja nicht.
und ancheinend dürfen die auch miteinander reden. Dann könnten die das ja an sich auch ab da ohne das Gateway tun.
Aber ich vermute mal, dass es nicht so, weil das die Trennung von Layer 2 und 3 verletzen würde und eventuell auch Nebeneffekte hat.
Aber ich vermute mal, dass es nicht so, weil das die Trennung von Layer 2 und 3 verletzen würde und eventuell auch Nebeneffekte hat.
Siehe den oben beschriebene Sonderfall. Das geht nur, wenn sie im selben VLAN sind oder besser gesagt: Im selben Layer 2-Segment.
Man spricht da auch von Broadcast-Domains. Nur, wenn sich A und B per Broadcast gegenseitig hören könnten, könnten sie auch direkt miteinander sprechen.
Wenn du deine Pakete an eine MAC-Adresse adressierst, die nicht in deinem VLAN existiert, kommt die nicht im anderen VLAN an. Das würde ja das komplette VLAN-Konzept ad absurdum führen und wäre, wenn wir uns das mit den echten Switches ohne Kabelverbindung vorstellen auch irgendwie eine technische Errungenschaft, die die Wissenschaft nicht erklären kann
Eine generelle Frage habe ich noch zur direkten Praxis.
Angenommen ich habe ein Netzwerk und zwei Managed Switche mit tagged VLANs, die beide Switche umspannen. Sind die tagged VLANs reine Layer zwei Konstrukte und ich kann für Intra-VLAN Kommunikation das nahezu gleiche Verhalten und Performance erwarten, wie für normales LAN?
Angenommen ich habe ein Netzwerk und zwei Managed Switche mit tagged VLANs, die beide Switche umspannen. Sind die tagged VLANs reine Layer zwei Konstrukte und ich kann für Intra-VLAN Kommunikation das nahezu gleiche Verhalten und Performance erwarten, wie für normales LAN?
VLANs sind letztlich nur Tags, die intern oder - wenn ein Port entsprechend als "Tagged" (Standard) oder "Trunk" (Cisco) konfiguriert ist - als VLAN-Tag im Ethernet-Frame transportiert werden. Da passiert weiter keine schwarze Magie, da steht nur dieser dumme Tag drin und der Switch vergleicht, ob ein VLAN-Tag auf dem Port erlaubt ist oder nicht.
Brauche ich für den Intra-VLAN Verkehr überhaupt einen Router?
Rein für VLAN brauchst du keinen Router, besonders nicht für Intra-VLAN-Traffic. Der ganze Intra-VLAN-Verkehr würde ja, wenn sich alle Clients im selben IP-Subnetz befinden, überhaupt nie an einen Router adressiert werden
Den Router brauchst du nur, wenn du Traffic auch außerhalb des VLANs transportieren willst.
@Simaryp:
Ich muss etwas schmunzeln, weil ich vor ner Woche so ne Anfrage bei @aqui ebenfalls positionierte. Kleines Büro Fritze inkl. VPN/Wireguard, demnächst aber mit VLans und die Frage CSS326/SwitchOS/Layer2 oder CRS326/RouterOS/Layer3 mit bescheidener Routingleistung.
Ergebnis: Ich komme am Ende eh nicht “um nen dedizierten” Router herum (Sicherheitsstruktur & Leistung). D.h. der CSS/SwitchOS auf Layer2 mit nem “besseren” Router davor für Vlan/FW/VPN wäre wirtschaftlicher.
Am Ende wirds bei mir aber wohl auch der CRS mit RouterOS, weil ich dort über die nächsten Jahre hinweg einfach flexibler bleibe. Und anfangs kann ich sogar noch die Fritze weiternutzen, bis ich mein OPNSense am Laufen habe.
PS: Danke @lcer00
Ich muss etwas schmunzeln, weil ich vor ner Woche so ne Anfrage bei @aqui ebenfalls positionierte. Kleines Büro Fritze inkl. VPN/Wireguard, demnächst aber mit VLans und die Frage CSS326/SwitchOS/Layer2 oder CRS326/RouterOS/Layer3 mit bescheidener Routingleistung.
Ergebnis: Ich komme am Ende eh nicht “um nen dedizierten” Router herum (Sicherheitsstruktur & Leistung). D.h. der CSS/SwitchOS auf Layer2 mit nem “besseren” Router davor für Vlan/FW/VPN wäre wirtschaftlicher.
Am Ende wirds bei mir aber wohl auch der CRS mit RouterOS, weil ich dort über die nächsten Jahre hinweg einfach flexibler bleibe. Und anfangs kann ich sogar noch die Fritze weiternutzen, bis ich mein OPNSense am Laufen habe.
PS: Danke @lcer00
Ich habe genau die gleichen Gedanken gehabt. Bei mir ist es der CRS geworden, einfach, weil es nur ca. 40€ mehr sind und was man hat, hat man. Ich werde den aber vorerst mit SwitchOS einrichten, auch weil ich noch den kleineren CSS610 gekauft habe, der nur SwitchOS kann und ich mich dann nur in ein OS einarbeiten muss.
Vielen Dank an alle. Ich glaube ich habe Layer 2 und wie sich das mit den IPs und VLANs verhält gut genug verstanden.
Vielen Dank an alle. Ich glaube ich habe Layer 2 und wie sich das mit den IPs und VLANs verhält gut genug verstanden.
