Mehrere VLANs in einem Subnetz
Hallo,
ich habe hier schon viele interessante und hilfreiche Artikel bezüglich VLANs gefunden. Dennoch habe ich noch eine Frage:
Ich habe bereits gelesen, dass man in einem Subnetz mehrere VLANs erstellen kann, die dann untereinander nicht mehr kommunizieren können. Das ist genau das, was ich brauche.
Wenn ich einen Server anbinde, dessen Netzwerkkarte tagging beherrscht, so können die Clients mit diesem auch kommunizieren, wenn ich das richtig verstanden habe.
Jetzt frage ich mich nur, ob ich vom Server aus dann auch alle Clients erreichen kann. Also kann ich z.B. einen bestimmten Client anpingen? Oder kann der Server nur auf Anfragen von den Clients antworten, da er ja sonst nicht weiß, in welches VLAN das Paket verschickt werden soll?
Zum Hintergrund:
- Wir müssen unser großes Netz (500 Clients) unterteilen.
- Dabei möchten wir jedoch weiterhin ein großes Subnetz haben, in dem alle Clients enthalten sind.
- Das hat den Grund, dass wir etliche Funktionalitäten (z.B. Internet an/aus auf bestimmten Clients) über die MAC Adresse regeln.
- Ein Layer3 Switch würde die MAC Adresse des Clients beim Routing nicht an den Server weitergeben, wenn ich das richtig verstanden habe.
Vielen Dank im Voraus für hilfreiche Antworten!
ich habe hier schon viele interessante und hilfreiche Artikel bezüglich VLANs gefunden. Dennoch habe ich noch eine Frage:
Ich habe bereits gelesen, dass man in einem Subnetz mehrere VLANs erstellen kann, die dann untereinander nicht mehr kommunizieren können. Das ist genau das, was ich brauche.
Wenn ich einen Server anbinde, dessen Netzwerkkarte tagging beherrscht, so können die Clients mit diesem auch kommunizieren, wenn ich das richtig verstanden habe.
Jetzt frage ich mich nur, ob ich vom Server aus dann auch alle Clients erreichen kann. Also kann ich z.B. einen bestimmten Client anpingen? Oder kann der Server nur auf Anfragen von den Clients antworten, da er ja sonst nicht weiß, in welches VLAN das Paket verschickt werden soll?
Zum Hintergrund:
- Wir müssen unser großes Netz (500 Clients) unterteilen.
- Dabei möchten wir jedoch weiterhin ein großes Subnetz haben, in dem alle Clients enthalten sind.
- Das hat den Grund, dass wir etliche Funktionalitäten (z.B. Internet an/aus auf bestimmten Clients) über die MAC Adresse regeln.
- Ein Layer3 Switch würde die MAC Adresse des Clients beim Routing nicht an den Server weitergeben, wenn ich das richtig verstanden habe.
Vielen Dank im Voraus für hilfreiche Antworten!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 207001
Url: https://administrator.de/contentid/207001
Ausgedruckt am: 22.11.2024 um 16:11 Uhr
4 Kommentare
Neuester Kommentar
Hi Ottokarl,
Der Server hat definitiv keine Ahnung mit welchem VLAN-tag er verschicken soll. Er orientiert sich an den IPs. Also Layer3.
Aber zur Trennung/Verbindung der Netze kann man auch eine Firewall einsetzen. Die ist in der Lage regelbaasiert zu routen und kann auch Clients von gewissem Zugang abhalten. Als zentrales Element muss sie natürlich die BAndbreitenanforderungen von einem 500er Netz bedienen können.
Das ist ein Layer3 Switch besser geeignet. Manchen von denen kann man auch regelbasiertes Routing beibringen. Und der kennt ja die MACs.
Gruß
Netman
Der Server hat definitiv keine Ahnung mit welchem VLAN-tag er verschicken soll. Er orientiert sich an den IPs. Also Layer3.
Aber zur Trennung/Verbindung der Netze kann man auch eine Firewall einsetzen. Die ist in der Lage regelbaasiert zu routen und kann auch Clients von gewissem Zugang abhalten. Als zentrales Element muss sie natürlich die BAndbreitenanforderungen von einem 500er Netz bedienen können.
Das ist ein Layer3 Switch besser geeignet. Manchen von denen kann man auch regelbasiertes Routing beibringen. Und der kennt ja die MACs.
Gruß
Netman
Zuallererst musst du mal verstehen das VLANs und IP Adressierung per se erstmal rein gar nichts miteinander zu tun haben.
Wenn du ein Netzwerk mit VLANs segmentierst ist es erstmal vollkommen Latte welche IP Adressierung du darin fährst.
Wenn du als Beispiel 5 VLANs hast kannst du dort problemlos 5 mal das IP Netz 172.16.1.0 /24 in jedem VLAN benutzen, denn die einzelnen VLANs, sprich Broadcast Domains, sind physisch vollkommen getrennt, "sehen" sich also nicht.
Eine Kommunikation untereinander per Routing ist aber unmöglich da identische IP netze und die Wegefindung unmöglich ist. Einzig Layer 2 Bridging funktioniert hier !
Du hast vermutlich sowas wie 172.16.0.0 /16 mit 65534 möglichen Endgeräte Adressen in einem Netz die du unter- bzw. verteilen willst ?!
Generell ja erstmal kein Problem, denn dem VLAN sind deine IP Adressen dadrin, wie bereits bemerkt, herzlich egal !
Richtig spannend wird es aber wenn du zwischen diesen IP Adressen kommunizieren musst, was ja vermutlich bei dir dann der Fall ist wenn Internet oder Serverzugriff gefragt ist.
Aus Sicht eines Routers, und dabei spielt es keinerlei Rolle WO der ist ob extern oder im Switch (L3 Switch), ist ein Routing zwischen diesen IP Netzen technisch NICHT möglich.
Das ist ja auch logisch, denn wenn du deine Subnetzmaske nicht anfasst (was du dir bei der Segmentierung vermutlich ersparen willst) "sieht" es für den Router so aus als ob ALLE VLANs in einem einzigen IP Netz sind.
Folglich ist eine eindeutige Wegewahl, sprich ein Routing technisch vollkommen unmöglich zw. den VLANs.
Fazit: Gleiches Problem wie oben mit den 5 identischen IP Netzen im VLAN.
Dort holt dich die mangelhafte IP Adressierung also wieder ein...
Deine einzigen Optionen (sofern man deine Intention oben richtig versteht ?!) sind dann ein simples Layer 2 Bridging zwischen diesen VLAN Segmenten. Oder...wenn du routen willst ein Anpassen der Subnetzmasken und das Aufteilen deines großen IP Netzes.
Mehr geht nicht !
Wenn du ein Netzwerk mit VLANs segmentierst ist es erstmal vollkommen Latte welche IP Adressierung du darin fährst.
Wenn du als Beispiel 5 VLANs hast kannst du dort problemlos 5 mal das IP Netz 172.16.1.0 /24 in jedem VLAN benutzen, denn die einzelnen VLANs, sprich Broadcast Domains, sind physisch vollkommen getrennt, "sehen" sich also nicht.
Eine Kommunikation untereinander per Routing ist aber unmöglich da identische IP netze und die Wegefindung unmöglich ist. Einzig Layer 2 Bridging funktioniert hier !
Du hast vermutlich sowas wie 172.16.0.0 /16 mit 65534 möglichen Endgeräte Adressen in einem Netz die du unter- bzw. verteilen willst ?!
Generell ja erstmal kein Problem, denn dem VLAN sind deine IP Adressen dadrin, wie bereits bemerkt, herzlich egal !
Richtig spannend wird es aber wenn du zwischen diesen IP Adressen kommunizieren musst, was ja vermutlich bei dir dann der Fall ist wenn Internet oder Serverzugriff gefragt ist.
Aus Sicht eines Routers, und dabei spielt es keinerlei Rolle WO der ist ob extern oder im Switch (L3 Switch), ist ein Routing zwischen diesen IP Netzen technisch NICHT möglich.
Das ist ja auch logisch, denn wenn du deine Subnetzmaske nicht anfasst (was du dir bei der Segmentierung vermutlich ersparen willst) "sieht" es für den Router so aus als ob ALLE VLANs in einem einzigen IP Netz sind.
Folglich ist eine eindeutige Wegewahl, sprich ein Routing technisch vollkommen unmöglich zw. den VLANs.
Fazit: Gleiches Problem wie oben mit den 5 identischen IP Netzen im VLAN.
Dort holt dich die mangelhafte IP Adressierung also wieder ein...
Deine einzigen Optionen (sofern man deine Intention oben richtig versteht ?!) sind dann ein simples Layer 2 Bridging zwischen diesen VLAN Segmenten. Oder...wenn du routen willst ein Anpassen der Subnetzmasken und das Aufteilen deines großen IP Netzes.
Mehr geht nicht !
Nicht unbedingt.... Dir bleibt ja immer noch Bridging !
Wenn du einen Switch hast der Bridging zwischen den VLANs supportet ist das ggf.deine Lösung. Das ist zwar sehr sehr selten aber manche Hersteller können es.
Natürlich ist Bridging weit weniger effizient als Routing weil wieder alle Broad- und Multicasts in alle Segmente geforwardet werden. Eine wirkliche Trennung und Traffic Reduzierung hast du also dann nicht wirklich.
Eigentlich konterkariert das dann eine eigentlich sehr sinnvolle Trennung in kleinere VLANs sprich Broadcast Doamins so das es letztlich doch keine sinnvolle Lösung ist.
Segmentierung mit Routing ist also eigentlich für dich der einzig sinnvolle Weg aus dem Dilemma.
Wenn du einen Switch hast der Bridging zwischen den VLANs supportet ist das ggf.deine Lösung. Das ist zwar sehr sehr selten aber manche Hersteller können es.
Natürlich ist Bridging weit weniger effizient als Routing weil wieder alle Broad- und Multicasts in alle Segmente geforwardet werden. Eine wirkliche Trennung und Traffic Reduzierung hast du also dann nicht wirklich.
Eigentlich konterkariert das dann eine eigentlich sehr sinnvolle Trennung in kleinere VLANs sprich Broadcast Doamins so das es letztlich doch keine sinnvolle Lösung ist.
Segmentierung mit Routing ist also eigentlich für dich der einzig sinnvolle Weg aus dem Dilemma.