13
Mehrere VLAN teilweise verbinden - Verständnisfrage
Guten Abend,
ich lese nun schon seit einigen alles mögliche zu VLANs und deren Verbindungsmöglichkeiten untereinander und bin dadurch etwas verwirrt, was genau vorhanden sein muss, um dies zu ermöglichen. Und zwar werfe ich, glaube ich, Layer 2 und 3 ein wenig durcheinander bzw. verstehe ich nicht ganz, ob Layer 2 oder 3 mein Problem so direkt betrifft.
Und zwar arbeitet mein Betrieb bisher mit einem 3Com Layer 2 Switch, der das Netz in mehrer VLANs aufteilt:
VLAN ID 10 = Verwaltung
VLAN ID 20 = Büro mit Internetzugang
VLAN ID 30 = Produktion
VLAN ID 40 = Archiv
Nun hatte ich vor, den Layer 2 Switch durch einen Layer 3-fähigen zu ersetzen, um eine Kommunikation zwischen den VLANs teilweise zu ermöglichen:
VLAN 10 soll mit VLAN 20 und 30 kommunizieren können, aber nicht mit 40
VLAN 20 soll mit VLAN 10 kommunizieren können
VLAN 30 soll mit VLAN 10 und 40 kommunizieren können, aber nicht mit 20
VLAN 40 soll mit VLAN 30 kommunizieren können
Hier kommt meine Verwirrung ins Spiel. Ist das tatsächlich eine Frage von Layer 2 oder 3? In dem einen oder anderen Thread laß ich auch was von bspw. einem HP Layer 3 Switch, der einem anderem Forenmitglied dieses Problem mit ähnlicher Struktur nicht lösen konnte.
Ich bin um jeden Rat dankbar!
ich lese nun schon seit einigen alles mögliche zu VLANs und deren Verbindungsmöglichkeiten untereinander und bin dadurch etwas verwirrt, was genau vorhanden sein muss, um dies zu ermöglichen. Und zwar werfe ich, glaube ich, Layer 2 und 3 ein wenig durcheinander bzw. verstehe ich nicht ganz, ob Layer 2 oder 3 mein Problem so direkt betrifft.
Und zwar arbeitet mein Betrieb bisher mit einem 3Com Layer 2 Switch, der das Netz in mehrer VLANs aufteilt:
VLAN ID 10 = Verwaltung
VLAN ID 20 = Büro mit Internetzugang
VLAN ID 30 = Produktion
VLAN ID 40 = Archiv
Nun hatte ich vor, den Layer 2 Switch durch einen Layer 3-fähigen zu ersetzen, um eine Kommunikation zwischen den VLANs teilweise zu ermöglichen:
VLAN 10 soll mit VLAN 20 und 30 kommunizieren können, aber nicht mit 40
VLAN 20 soll mit VLAN 10 kommunizieren können
VLAN 30 soll mit VLAN 10 und 40 kommunizieren können, aber nicht mit 20
VLAN 40 soll mit VLAN 30 kommunizieren können
Hier kommt meine Verwirrung ins Spiel. Ist das tatsächlich eine Frage von Layer 2 oder 3? In dem einen oder anderen Thread laß ich auch was von bspw. einem HP Layer 3 Switch, der einem anderem Forenmitglied dieses Problem mit ähnlicher Struktur nicht lösen konnte.
Ich bin um jeden Rat dankbar!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 110847
Url: https://administrator.de/forum/mehrere-vlan-teilweise-verbinden-verstaendnisfrage-110847.html
Ausgedruckt am: 23.04.2025 um 13:04 Uhr
13 Kommentare
Neuester Kommentar
Ja, du brauchst hier einen Level 3 Switch oder einen Router um verschiedene VLANs wieder zu verbinden.
VLANs sind eine Layer 2 Technik, die sich auf Layer 3 durch verschiedene Subnetze widerspiegeln (theoretisch nicht notwendig, aber wenn man Geräte in mehreren VLANs hat unerlässlich).
Entsprechend müssen die über Routing wieder "zusammengeführt" werden.
Grüße
Max
VLANs sind eine Layer 2 Technik, die sich auf Layer 3 durch verschiedene Subnetze widerspiegeln (theoretisch nicht notwendig, aber wenn man Geräte in mehreren VLANs hat unerlässlich).
Entsprechend müssen die über Routing wieder "zusammengeführt" werden.
Grüße
Max
Hey Max. Nett, dass du antwortest.
Da reicht es also völlig, einen Layer 3-fähig gekennzeichneten Switch zu finden? Scheinbar bieten da viele Herrsteller Modelle an. Sorge machte mir aber der eine oder andere Thread, in dem zu lesen war, dass bspw. HP Procurve Switche trotz Layer 3 das verbinden von VLANs nicht beherrschen. Weißt du was darüber?
Da reicht es also völlig, einen Layer 3-fähig gekennzeichneten Switch zu finden? Scheinbar bieten da viele Herrsteller Modelle an. Sorge machte mir aber der eine oder andere Thread, in dem zu lesen war, dass bspw. HP Procurve Switche trotz Layer 3 das verbinden von VLANs nicht beherrschen. Weißt du was darüber?
Ich hab zwar grade keinen Layer 3 Procurve At-Hand, aber einem Layer 2 kannst du ja nach VLANs zugeordnet auch mehrere IP-Adressen geben. Von da ist es zu L3 Routing ja nicht mehr so weit...
Ansonsten mal hier fragen: http://forums11.itrc.hp.com/service/forums/categoryhome.do?categoryId=2 ...
Grüße
Max
Ansonsten mal hier fragen: http://forums11.itrc.hp.com/service/forums/categoryhome.do?categoryId=2 ...
Grüße
Max
Das ist Unsinn ! Ein Layer 3 Switch also ein Routing Switch kann immer VLANs verbinden indem er zwischen den VLANs routet !
Dafür ist er ja ein "Routing" Switch...logisch !
Vielleicht gibt dir dieser Thread noch ein paar Anregungen:
6 VLANs mit 3COM 4200G Switche - Verständniss -Frage zu Planung und Endausbau
Das der angebliche HP L3 Switch nicht routen kann zwischen den VLANs ist dann mit 99%iiger Sicherheit ein Konfigurationsfehler oder eine Fehlbedienung.
Fazit: Ja, ein L3 (Routing) Switch kann deine VLANs verbinden, es kann aber auch ein externer Router oder Server erledigen wie du z.B. hier nachlesen kannst:
Dafür ist er ja ein "Routing" Switch...logisch !
Vielleicht gibt dir dieser Thread noch ein paar Anregungen:
6 VLANs mit 3COM 4200G Switche - Verständniss -Frage zu Planung und Endausbau
Das der angebliche HP L3 Switch nicht routen kann zwischen den VLANs ist dann mit 99%iiger Sicherheit ein Konfigurationsfehler oder eine Fehlbedienung.
Fazit: Ja, ein L3 (Routing) Switch kann deine VLANs verbinden, es kann aber auch ein externer Router oder Server erledigen wie du z.B. hier nachlesen kannst:
Dann ist es also was ganz anderes, wenn ein Switch Layer-3-Static-Routing kann oder "richtiges" Layer-3-Routing? Was mir nämlich auch im Forum hier fand war die Diskussion über eine 3COM 4200G, der nur eine begrenzte Anzahl Routen festlegen konnte, der etwas ungenauen Beschreibung des Herstellers nach aber ein Layer-3-fähiger Switch sein soll.
Ich habe jetzt testweise mal ein Gerät von Allied Telesis bestellt und bin gespannt, wie sich das alles umsetzen lässt!
Ich habe jetzt testweise mal ein Gerät von Allied Telesis bestellt und bin gespannt, wie sich das alles umsetzen lässt!
Statisches Routing ist auch richtiges Routing 
Es gibt aber Switches die zusätzlich dynamisches Routing können.
Für dein Anwendungszwecken werden aber die üblichen 16 statischen Routing der "Layer 3 Light" Switches reichen.
Grüße
Max
Es gibt aber Switches die zusätzlich dynamisches Routing können.
Für dein Anwendungszwecken werden aber die üblichen 16 statischen Routing der "Layer 3 Light" Switches reichen.
Grüße
Max
Jetzt muss ich zugeben, bin ich doch etwas mit den Einträgen für die Routing-Tabelle überfordert. Leider kann ich nicht nachvollziehen, welche Routen ich für das obige Beispiel eintragen muss.
Ich erstelle die vier VLANs und teile jedem ein Interface zu. Das habe ich praktikabel mal so gemacht:
192.168.>VLANID<.1
Wie sähen nun die Einträge aus, wenn ich von VLAN30 nach VLAN40 und zurück routen möchte, so dass ich mit einem PC (192.168.30.11) aus VLAN30 einen Datenserver in VLAN40 (192.168.40.11) zugreifen kann?
add ip route=192.168.30.0 nexthop=192.168.30.1
add ip route=192.168.30.1 nexthop=192.168.40.1
add ip route=192.168.40.1 nexthop=192.168.30.1
add ip route=192.168.40.0 nexthop=192.168.40.1
?
Habe den Eindruck, ich habe mir das etwas zu einfach vorgestellt!
Ich erstelle die vier VLANs und teile jedem ein Interface zu. Das habe ich praktikabel mal so gemacht:
192.168.>VLANID<.1
Wie sähen nun die Einträge aus, wenn ich von VLAN30 nach VLAN40 und zurück routen möchte, so dass ich mit einem PC (192.168.30.11) aus VLAN30 einen Datenserver in VLAN40 (192.168.40.11) zugreifen kann?
add ip route=192.168.30.0 nexthop=192.168.30.1
add ip route=192.168.30.1 nexthop=192.168.40.1
add ip route=192.168.40.1 nexthop=192.168.30.1
add ip route=192.168.40.0 nexthop=192.168.40.1
?
Habe den Eindruck, ich habe mir das etwas zu einfach vorgestellt!
Ich habe zwar keinen AT Switch da, aber laut Handbuch müsste das in etwa so gehen:
Aus dem Handbuch wird allerdings nicht wirklich ersichtlich, ob man die Routen überhaupt braucht oder der Switch alle VLANs automatisch verbindet.
Grüße
Max
create vlan=verwaltung vid=10 ports=1-8 frame=untagged
create vlan=buero vid=20 ports=9-16 frame=untagged
[...]
add ip interface=vlan10-0 ipaddress=192.168.10.254 255.255.255.0
add ip interface=vlan20-0 ipaddress=192.168.20.154 255.255.255.0
[...]
add ip route=192.168.20.0 interface=vlan10-0 nexthop=192.168.10.254 <-- um VLAN10 und VLAN20 zu verbindenAus dem Handbuch wird allerdings nicht wirklich ersichtlich, ob man die Routen überhaupt braucht oder der Switch alle VLANs automatisch verbindet.
Grüße
Max
Ich hatte vorher versuchsweise ein paar Routen blind eingetragen. Erst hatte ich den Eindruck, dass das bewirkt hat, dass sich Rechner aus unterschiedlichen VLANs zumindest schon mal anpingen können. Aber testweise habe ich den Router auf Werkseinstellungen zurückgesetzt und die VLANs neu eingerichtet. Das ganze ohne irgendwelche Routen, und pingen ging trotzdem.
Morgen probiere ich noch mal deinen Vorschlag!
Morgen probiere ich noch mal deinen Vorschlag!
Auf den Befehl unter (7) antwortet er mir leider:
Das gleiche, wenn ich die Route andersrum eintragen möchte:
RTM_ERROR_INVALID_ROUTE_CONFIGDas gleiche, wenn ich die Route andersrum eintragen möchte:
add ip route=192.168.10.0 interface=vlan20-0 nexthop=192.168.20.254
Außerdem:
von 192.168.20.15
Funktioniert dann das Routing nicht längst, ohne dass ich statische eintragen muss? Ein Zugriff auf Freigaben ist trotzdem nicht möglich..
von 192.168.20.15
traceroute 192.168.10.14 (192.168.10.14) 64 hops max. 40 byte packets
1 192.168.20.254 (192.168.20.254) 1.574ms 0.739ms 0.683ms
2 192.168.10.14 (192.168.10.14) 0.368ms 0.438ms 0.154msFunktioniert dann das Routing nicht längst, ohne dass ich statische eintragen muss? Ein Zugriff auf Freigaben ist trotzdem nicht möglich..
"Wie sähen nun die Einträge aus, wenn ich von VLAN30 nach VLAN40 und zurück routen ..."
Logischerweise gibt es gar keine Einträge !!! Du hast das in deinem Thread oben ja schon richtig vermutet !!
Das ist doch vollkommener Unsinn auf einem Layer 3 Switch, an dem VLANs mit IP direkt dran sind (er also alle IPs kennt !), statische Routen zu konfigurieren !!!
Nochmals: statische (oder dynamische) Routen benötigst du nur wenn dein Switch Ziel IP Netze nicht kennt zu denen er routen muss !!! Er muss dann wissen wo sein nächstes Gateway ist zu dem er das hinschicken soll.
Wenn du also in einem VLAN einen Internet Router hast hast du auf dem Swiicth EINE statische Route:
ip route 0.0.0.0 0.0.0.0 <ip_adr_internet_router>
Staische Routen (außer der default Internet Route vielleicht) benötigst du aber gar nicht , denn alle VLANs inkl. ihrer IPs sind ja am Switch DIREKT angeschlossen !!
Logischerweise kennt der Switch damit alle diese Netze und braucht folglich auch keine statischen Routen dahin.
Du kennst ja auch die Straße in der du wohnst und benötigst dafür keine Strassenkarte, oder ??
Den konfigurierten statischen Mist von oben kannst du also getrost wieder löschen !!!
Deine Clients in den VLANs haben als Default Gateway dann lediglich die 192.168.<vlan_id>.1 eingetragen und gut ist...
Damit sollte dann problemlos ein VLAN Routing möglich sein !!!
Nochwas zu dem Zugriff auf Freigaben:
Als Netzwerk Admin weisst du ja das Windows Freigaben über UDP Broadcast verteilt. Ein Netzwerk Admin weiss auch das UDP Broadcasts NICHT über Router übertragen werden.
Folglich siehst du also keine Freigaben in der Netzwerkumgebung...logisch !
Gute Layer 3 Switches haben dafür ein sog. ip-helper Kommando mit dem man das Forwarden von UDP Broadcasts (Auch DHCP gehört dazu) dennoch erzwingen kann. Man will ja nicht überflüssigerweise einen DHCP Server oder einen WINS/DNS Server in jedem VLAN haben, oder ???
Kann dein Geraffel von ATI oder 3Com das nicht weil die wieder jeden Euro bei der Entwicklung gespart haben behilft man sich mit einem Trick:
Du trägst die IP Adressen und namen der Freigaben Rechner statisch in die Datei lmhosts oder hosts ein.
Diese findest du unter c:\windows\system32\drivers\etc\ und sie ist selbsterklärend wenn du sie editierst.
Wenn du nun Start -> Ausführen \\<rechnername> eintippst wo der Name der Freigabenrechner ist siehst du wieder alles ! Die IP Adresse geht auch falls du Angst hast in der lmhosts was einzutragen !!
Logischerweise gibt es gar keine Einträge !!! Du hast das in deinem Thread oben ja schon richtig vermutet !!
Das ist doch vollkommener Unsinn auf einem Layer 3 Switch, an dem VLANs mit IP direkt dran sind (er also alle IPs kennt !), statische Routen zu konfigurieren !!!
Nochmals: statische (oder dynamische) Routen benötigst du nur wenn dein Switch Ziel IP Netze nicht kennt zu denen er routen muss !!! Er muss dann wissen wo sein nächstes Gateway ist zu dem er das hinschicken soll.
Wenn du also in einem VLAN einen Internet Router hast hast du auf dem Swiicth EINE statische Route:
ip route 0.0.0.0 0.0.0.0 <ip_adr_internet_router>
Staische Routen (außer der default Internet Route vielleicht) benötigst du aber gar nicht , denn alle VLANs inkl. ihrer IPs sind ja am Switch DIREKT angeschlossen !!
Logischerweise kennt der Switch damit alle diese Netze und braucht folglich auch keine statischen Routen dahin.
Du kennst ja auch die Straße in der du wohnst und benötigst dafür keine Strassenkarte, oder ??
Den konfigurierten statischen Mist von oben kannst du also getrost wieder löschen !!!
Deine Clients in den VLANs haben als Default Gateway dann lediglich die 192.168.<vlan_id>.1 eingetragen und gut ist...
Damit sollte dann problemlos ein VLAN Routing möglich sein !!!
Nochwas zu dem Zugriff auf Freigaben:
Als Netzwerk Admin weisst du ja das Windows Freigaben über UDP Broadcast verteilt. Ein Netzwerk Admin weiss auch das UDP Broadcasts NICHT über Router übertragen werden.
Folglich siehst du also keine Freigaben in der Netzwerkumgebung...logisch !
Gute Layer 3 Switches haben dafür ein sog. ip-helper Kommando mit dem man das Forwarden von UDP Broadcasts (Auch DHCP gehört dazu) dennoch erzwingen kann. Man will ja nicht überflüssigerweise einen DHCP Server oder einen WINS/DNS Server in jedem VLAN haben, oder ???
Kann dein Geraffel von ATI oder 3Com das nicht weil die wieder jeden Euro bei der Entwicklung gespart haben behilft man sich mit einem Trick:
Du trägst die IP Adressen und namen der Freigaben Rechner statisch in die Datei lmhosts oder hosts ein.
Diese findest du unter c:\windows\system32\drivers\etc\ und sie ist selbsterklärend wenn du sie editierst.
Wenn du nun Start -> Ausführen \\<rechnername> eintippst wo der Name der Freigabenrechner ist siehst du wieder alles ! Die IP Adresse geht auch falls du Angst hast in der lmhosts was einzutragen !!
Jetzt bin ich endlich aus dem Blockunterricht der Berufsschule zurück und wieder im Betrieb vorort.
Hallo Aqui.
Das klingt ja eigentlich ganz gut und soweit konnte ich dir folgen. Also habe ich zwei VLANs schon mal auf den neuen Layer3 eingerichtet und die entsprechenden Geräte umgesteckt. Die VLANs in sich funktionieren einwandfrei. Ein PING zwischen den VLANs geht auch. Leider aber keine Freigaben, auch wenn ich es auf die Weise probiere, die du mir beschrieben hast (ausführen... \\rechnername oder \\ipadresse).
Hast du eine Idee, woran das liegen kann?
Hallo Aqui.
Das klingt ja eigentlich ganz gut und soweit konnte ich dir folgen. Also habe ich zwei VLANs schon mal auf den neuen Layer3 eingerichtet und die entsprechenden Geräte umgesteckt. Die VLANs in sich funktionieren einwandfrei. Ein PING zwischen den VLANs geht auch. Leider aber keine Freigaben, auch wenn ich es auf die Weise probiere, die du mir beschrieben hast (ausführen... \\rechnername oder \\ipadresse).
Hast du eine Idee, woran das liegen kann?
