10
Portbasierte VLAN Einrichtung (Cisco) - bitte um Hilfe
Ich versuche gerade mit einem Cisco SG300 Switch folgende Konfiguration zu Stande zu kriegen bzw. hier sind die Anforderungen:
Port 1 muss mit allen Ports kommunizieren (3-12)
Port 2 darf nur Ports 3-6 erreichen (Layer-2-Isolierung - die Ports 1, 7-12 müssen unsichtbar sein)
Die Ports 7 - 12 müssen mit Ports 3-6 kommunizieren
Mit der „Cisco Protected Port“ Funktionalität ist es möglich Port 1 und Port 2 als „Protected“ zu markieren. Anschließend schließe ich am Port2 die Geräte 7-12 an einem separatem unmanaged Switch an. So funktioniert alles – ich brauche aber zwei Switches.
Ist es möglich diese Konfiguration mit privaten portbasierten VLANs abzubilden und nur mit dem SG350 auszukommen? Es muss ein untagged und reines portbasiertes VLAN sein.
Ich bin für jede Hilfe sehr dankbar.
Port 1 muss mit allen Ports kommunizieren (3-12)
Port 2 darf nur Ports 3-6 erreichen (Layer-2-Isolierung - die Ports 1, 7-12 müssen unsichtbar sein)
Die Ports 7 - 12 müssen mit Ports 3-6 kommunizieren
Mit der „Cisco Protected Port“ Funktionalität ist es möglich Port 1 und Port 2 als „Protected“ zu markieren. Anschließend schließe ich am Port2 die Geräte 7-12 an einem separatem unmanaged Switch an. So funktioniert alles – ich brauche aber zwei Switches.
Ist es möglich diese Konfiguration mit privaten portbasierten VLANs abzubilden und nur mit dem SG350 auszukommen? Es muss ein untagged und reines portbasiertes VLAN sein.
Ich bin für jede Hilfe sehr dankbar.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 6898026608
Url: https://administrator.de/forum/portbasierte-vlan-einrichtung-cisco-bitte-um-hilfe-6898026608.html
Ausgedruckt am: 16.02.2025 um 20:02 Uhr
10 Kommentare
Neuester Kommentar
Moin,
was soll port basiertes VLan sein?
Es gibt nur "tagged" und "untagged".
Tagged am Uplink und untagged an den access Ports.
Keine Ahnung was du mit unsichtbar meinst.
Gruß
Spirit
was soll port basiertes VLan sein?
Es gibt nur "tagged" und "untagged".
Tagged am Uplink und untagged an den access Ports.
Keine Ahnung was du mit unsichtbar meinst.
Gruß
Spirit
Das was der TO (vermutlich) meint und umsetzen möchte sind Private- oder Isolated VLANs. Handbuch, Kapitel 14, Seite 206 ff.
Der SG300 und auch der SG350 kann generell sowas natürlich umsetzen.
Wird auf den Cisco Catalysten auch als "Protected Ports" bezeichnet, ist aber netztechnisch das gleiche.
https://ipcisco.com/lesson/what-is-protected-port/
Der SG300 und auch der SG350 kann generell sowas natürlich umsetzen.
Wird auf den Cisco Catalysten auch als "Protected Ports" bezeichnet, ist aber netztechnisch das gleiche.
https://ipcisco.com/lesson/what-is-protected-port/
Ich meine untagged. Die angeschlossenen Geräte können bzw. sollen in ihrer jetzigen Konfiguration belassen werden und unterstützen kein VLAN tagging.
Ich bin mir eben unschlüssig ob die Konfiguration überhabt mit VLANs umsetzbar ist – deswegen die Frage hier.
Ich bin mir eben unschlüssig ob die Konfiguration überhabt mit VLANs umsetzbar ist – deswegen die Frage hier.
Der Terminus Portbasiertes VLAN ist korrekt, heißt z.B. auch bei TP-Link so. Bei Cisco eben meinetwegen Private VLANs.
Wenn Port 1 mit Port 3-6 und Port 2 mit Port 3-6 kommunizieren soll, müssen sie entweder im selben VLAN sein - was Deiner Vorgabe widerspricht, dass 1 und 2 sich nicht sehen dürfen oder in verschiedenen VLANs, zwischen denen Routing und Firewalling bzw. ACLs eingesetzt werden.
Die Protected Port - Variante ist im o.a. Handbuch auf S. 138 beschrieben und macht das etwas anders. Sieht für mich aber so aus, als ob sinngemäß jedem "protected" Port ein eigenes VLAN zugewiesen wird, die an den "unprotected" Port jedoch durchgereicht werden.
Viele Grüße, commodity
Wenn Port 1 mit Port 3-6 und Port 2 mit Port 3-6 kommunizieren soll, müssen sie entweder im selben VLAN sein - was Deiner Vorgabe widerspricht, dass 1 und 2 sich nicht sehen dürfen oder in verschiedenen VLANs, zwischen denen Routing und Firewalling bzw. ACLs eingesetzt werden.
Die Protected Port - Variante ist im o.a. Handbuch auf S. 138 beschrieben und macht das etwas anders. Sieht für mich aber so aus, als ob sinngemäß jedem "protected" Port ein eigenes VLAN zugewiesen wird, die an den "unprotected" Port jedoch durchgereicht werden.
Viele Grüße, commodity
Port basierte VLANs heissen auch bei Cisco portbasierte VLANs wie im Rest der Welt. Dem TO geht es aber, versteht man ihn richtig, um Isolated bzw. Private VLANs bei denen es im gleichen VLAN (Community VLAN mit promiscous und isolated Ports) eine eingeschränkte Erreichbarkeit der Ports untereinander und innerhalb einer L2 Domain gibt. Erreicht wird das durch internes Blocking von ARP Paketen.
Private VLANs sind ein gängiges Feature in VLANs wo man keine Any zu Any Kommunikation möchte.
Private VLANs sind ein gängiges Feature in VLANs wo man keine Any zu Any Kommunikation möchte.
Zitat von @aqui:
Das was der TO (vermutlich) meint und umsetzen möchte sind Private- oder Isolated VLANs. Handbuch, Kapitel 14, Seite 206 ff.
Der SG300 und auch der SG350 kann generell sowas natürlich umsetzen.
Wird auf den Cisco Catalysten auch als "Protected Ports" bezeichnet, ist aber netztechnisch das gleiche.
https://ipcisco.com/lesson/what-is-protected-port/
Das was der TO (vermutlich) meint und umsetzen möchte sind Private- oder Isolated VLANs. Handbuch, Kapitel 14, Seite 206 ff.
Der SG300 und auch der SG350 kann generell sowas natürlich umsetzen.
Wird auf den Cisco Catalysten auch als "Protected Ports" bezeichnet, ist aber netztechnisch das gleiche.
https://ipcisco.com/lesson/what-is-protected-port/
Ja stimmt, an isolated VLans hatte ich nicht gedacht.
ich auch nicht. Kannte ich gar nicht. Danke @aqui für die Aufklärung! Gucke ich mir an.Viele Grüße, commodity
1
Vielen Dank für die zahlreichen Antworten. Ich versuche es mit Privaten VLANs umzusetzen und gebe Bescheid wenn es klappt.
Das sollte problemlos klappen damit...!
Ansonsten ginge mit dem SG300 oder 350 auch ein Layer 3 Konzept mit IP Accesslisten. Dann müssten die Ports aber in unterschiedlichen IP Netzen liegen!
Ansonsten ginge mit dem SG300 oder 350 auch ein Layer 3 Konzept mit IP Accesslisten. Dann müssten die Ports aber in unterschiedlichen IP Netzen liegen!
Wenn's das denn nun war bitte nicht vergessen deinen Thread hier dann auch als erledigt zu markieren!
