Telefonanlage VLAN - Netzwerk Konfiguration

Mitglied: ChristianM75

ChristianM75 (Level 1) - Jetzt verbinden

05.03.2021 um 10:21 Uhr, 688 Aufrufe, 10 Kommentare

Hallo in die Runde,
Ich habe eine Frage bezüglich VLAN bzw. Netzwerk Konfiguration.
Ich habe einen DHCP Server (Windows Server 2012) im Einsatz der folgende Bereich eingestellt hat 192.168.0.0 / 22

Alle Clients bekommen eine IP 192.168.0.x die automatisch vergeben wird.
Alle Server und Drucker, Switche haben eine statische IP im Bereich 192.168.1.x
Unsere Kameras haben ebenfalls statische IPs im Bereich 192.168.2.x
Jetzt kam die VOIP Anlage dazu, hier bekommen alle Telefone und DECT Stationen per Reservierung eine 192.168.3.x zugewiesen.

Wir nutzen ausschließlich D-Link Switche und zwar aus der Serie DGS1210-52 das sind wohl Layer2 Switche mit Sicherheits-Layer3 Fähigkeiten.

Jetzt sagt unser TK-Anlagen Dienstleister um die Sicherheit der Telefonanlage zu erhöhen soll ich ein VLAN einrichten wo die TK-Anlage und die Telefone drin sind.

Meine Frage ist wie gehe ich da am besten vor? In der Theorie habe ich VLAN Basiswissen und hab das auch schon im Kleinen für ein Unifi Netzwerk erstellt.

Muss ich am DHCP Server einen neuen Bereich erstellen, und diesem eine VLAN ID zuzuweisen? Oder kann ich auch im dem schon vorhanden Bereich einfach den 192.168.3.x teil eine VLAN ID zuweisen?
Das VLAN in den Switchen und in der Firewall einzutragen da sehe ich jetzt erst mal kein Problem.

Oder welche Möglichkeiten habe ich noch? Evtl. habt ihr noch Ideen für einen ganz anderen Ansatz.
Vielen Dank an euch.
Mitglied: aqui
05.03.2021, aktualisiert um 10:35 Uhr
Jetzt sagt unser TK-Anlagen Dienstleister um die Sicherheit der Telefonanlage zu erhöhen soll ich ein VLAN einrichten wo die TK-Anlage und die Telefone drin sind.
Da hat er absolut Recht. Allein auch schon aus rechtlichen Gründen sollte man in der Firma den Voice Traffic immer vom Produktivtraffic abtrennen. Jeder kann sonst mit einem simplen Wireshark Trace alle Gespräche im Firmennetz mithören was die Firma rechtlich angreifbar macht. (Fernmeldegeheimnis)
Der zweite Grund ist das Netzwerk technisch Layer 2 Broadcast Domains niemals größer als 150 Engeräte sein sollten um Netzsegmente performant zu halten von der Broad- und Multicast Last. Eine alte goldenen Netzwerker Daumenregel die jeder kennt. Mit vielen Voice Endgeräten kommt man dann ggf. in Probleme. Alles triftige Gründe also die also richtigerweise dafür sprechen.
In der Theorie habe ich VLAN Basiswissen
Perfekt ! Dann konfigurierst du einfach ein zusätzliches VLAN auf deinen D-Link Teilen, taggst das Voice VLAN auf den Switch Uplink Ports um es an alle Switches zu bringen und weist die Endgeräte Ports untagged dem VLAN an den Switches zu, fertisch. Simpler Klassiker in sauber segmentierten Netzen.
Hat auch noch den Vorteil das man den Telefonen dann gleich automatisch LLDP Infos zur QoS Priorisierung usw. zukommen lassen kann. Siehe zum Thema QoS und Voice auch hier.
Muss ich am DHCP Server einen neuen Bereich erstellen, und diesem eine VLAN ID zuzuweisen?
Ja, einfach einen neuen Scope dort eintragen um am VLAN Router oder Layer 3 Core Switch DHCP Relay konfigurieren, fertisch.
Je nach Switchanzahl ist das in 15-20 Minuten erledigt und du hast dein Voice Netz. Wie man es Layer 3 technisch mit anderen VLAN Segmenten kommunizieren lässt steht hier:
https://administrator.de/tutorial/vlan-installation-routing-pfsense-mikr ...
oder mit einem Layer 3 Switch Design hier:
https://www.administrator.de/forum/verständnissproblem-routing-sg30 ...
Alles kein Hexenwerk und schnell und unkompliziert einzurichten.. ;-) face-wink
Bitte warten ..
Mitglied: ChristianM75
05.03.2021 um 11:04 Uhr
Hallo aqui, vielen Dank für die Informationen

Perfekt ! Dann konfigurierst du einfach ein zusätzliches VLAN auf deinen D-Link Teilen, taggst das Voice VLAN auf den Switch Uplink Ports um es an alle Switches zu bringen und weist die Endgeräte Ports untagged dem VLAN an den Switches zu, fertisch. Simpler Klassiker in sauber segmentierten Netzen.
Genau das habe ich mir schon angeschaut und auch verstanden und bekomme es wohl auch hin.

Ja, einfach einen neuen Scope dort eintragen um am VLAN Router oder Layer 3 Core Switch DHCP Relay konfigurieren, fertisch.
Und hier ist mein Verständniss Problem, also ich trage im DHCP Server einen neuen Bereich (Scope) ein.
Woher weiß der DHCP Server das dies ein Telefon ist und gibt ihm dann diese IP? Ist dafür das DHCP Relay? Einen VLAN Router habe ich nicht im Einsatz, also muss ich das auf einem Switch konfigurieren.
Ich habe mal nachgeschaut, im Switch gibt es ein Punkt DHCP-Relay.
Also würde dieser Switch dann die Pakete die ankommen weiterleiten.
Nun noch folgende Frage: Unsere Client-PC sind direkt am Telefon angeschlossen, wenn ich den Ports wo die Telefone angeschlossen sind jetzt einer VLAN ID zuweise, mit der IP des neuen Bereichs, kommen die Clients dann trotzdem noch ins Netzwerk?
Bitte warten ..
Mitglied: Lochkartenstanzer
05.03.2021 um 11:34 Uhr
Moin,

Warum machst Du nicht 4 Netze mit 192.168.0.0/24 bis 192.168.3.0/24 und trennst die Systeme wirklich per VLAN?

Größere netze als /24 sind nur in den seltensten Fällen sinnvoll.

zur Vorgehensweise:

  • Du nimmst einen VLAN-fähigen L3-switch und machst deine 4 VLANS.
  • Du stellst im switch ein, wer mit wem kommunizieren darf.
  • Du aktivierst den DHCP-Proxy auf dem switch
  • Du stellst deine Netz von der Netzmaske /22 auf /24 um.

lks
Bitte warten ..
Mitglied: ChristianM75
05.03.2021 um 11:58 Uhr
Zitat von @Lochkartenstanzer:

Moin,

Warum machst Du nicht 4 Netze mit 192.168.0.0/24 bis 192.168.3.0/24 und trennst die Systeme wirklich per VLAN?

Größere netze als /24 sind nur in den seltensten Fällen sinnvoll.

zur Vorgehensweise:

  • Du nimmst einen VLAN-fähigen L3-switch und machst deine 4 VLANS.
  • Du stellst im switch ein, wer mit wem kommunizieren darf.
  • Du aktivierst den DHCP-Proxy auf dem switch
  • Du stellst deine Netz von der Netzmaske /22 auf /24 um.

lks
Hallo, vielen Dank für deine Antwort
umsomehr ich mich in das Thema einlese hatte ich genau den selben Gedanken.
Ich scheue mich aber ein wenig vor der ganzen Arbeit. Und da ja im Prinzip sowieso alle Geräte miteinander kommunizieren darf dachte ich mir es geht evtl schneller und einfacher wenn ich einfach nru 1 VLAN für alles Bereich 192.168.0.0 /22 und 1 VLAN für Telefonie 192.168.0.5 /24 mache.
Ich frage mich da bloß ob ich Probleme mit Clients bekomme die am gleichen Port wie das Telefon ist.
gruß
Bitte warten ..
Mitglied: fredmy
05.03.2021 um 14:19 Uhr
Hallo,
kann ds Telefon VLAN ?
Ansonsten eben doch paar Strippen mehr.
VLAN-Fähige Switches zum aufdröseln an jedem AP ist nix was ich machen würde.

Ganz am Rande - 192.168.0.x ?? Nie mehr VPN-Geräte anschließen aus dem Home Office ;-) face-wink
Denke da mal an eventuelles Routing von "Heimgeräten" o.ä.
Die ersten zehn Netze werden AFIK gern von Providergeräten benutzt - also wenn du schon umstellst...!

Fred
Bitte warten ..
Mitglied: ChristianM75
05.03.2021 um 14:29 Uhr
Zitat von @fredmy:

Hallo,
kann ds Telefon VLAN ?
Ansonsten eben doch paar Strippen mehr.
VLAN-Fähige Switches zum aufdröseln an jedem AP ist nix was ich machen würde.

Hallo, danke für deine Antwort.

Die Telefone beinhalten automatisch einen kleinen Switch, es ist nicht möglich an einigen Arbeitsplätzen ein weiteres LAN Kabel zu verlegen.
Deshalb schliße ich das Telefon per LAN mit POE an und vom Telefon dann ein LAN Kabel zum Client.
Bitte warten ..
Mitglied: fredmy
05.03.2021 um 16:06 Uhr
Zitat von @ChristianM75:

Die Telefone beinhalten automatisch einen kleinen Switch, es ist nicht möglich an einigen Arbeitsplätzen ein weiteres LAN Kabel zu verlegen.
Deshalb schliße ich das Telefon per LAN mit POE an und vom Telefon dann ein LAN Kabel zum Client.
Hallo,
Hauptfrage ignoriert ;-) face-wink

Falls dein Telefon kein VLAN kann hat sich deine Anfangsfrage doch fast erledigt!
(wer baut denn so, dass nur ein LAN Anschluß am Arbeitsplatz ist ?)

l.g.
Fed
Bitte warten ..
Mitglied: Lochkartenstanzer
05.03.2021 um 16:18 Uhr
Zitat von @fredmy:

(wer baut denn so, dass nur ein LAN Anschluß am Arbeitsplatz ist ?)

Das sind normalerweise "historische bedingte Einschränkungen", d.h. die Leute haben damals nciht einsehen wollen, daß man deutlich über bedarf verkabeln sollte.

Ich habe um die Jahrtausendwende einem Kunden beim Neubau geraten, für jeden potentiellen Arbeitplatz im Büro zwei Doppeldosen zu legen (PC, Drucker, Telefon, Reserve). Da hieß es Nee, so schlimm wird es schon nicht werden. Eine Doppeldose pro Arbeitsplatz plus eine Doppeldose für einen Drucker im Büro muß reichen. (bei gut 50 Büros mit mindestens 3 potentiellen Arbeitssplätzen ging damals das schon ins Geld, wenn man alles "ordentlich" plante.)

Kaum ein Jahr später wurde es in manchen Büros "zu eng" und die vermaledeiten Desktopswitche (5 oder 8-Port) vermehrten sich wie die Karnickel.

Das Problem ist, daß man da nachträglich nicht mehr viel ändern kann, ohne nochmal viel Geld in die Hand zu nehmen.


lks
lks
Bitte warten ..
Mitglied: Fabezz
05.03.2021 um 18:55 Uhr
Hi,
mach's einfach einmal richtig und segmentiere jedes Netz mit VLANs.
Das macht zum einen die Arbeit später einfacher, zum anderen die Sicherheit größer.
Nicht nur eine Telefonanlage kann ein Risiko darstellen. Drucker zum Beispiel auch.
Für kleines Geld kannst noch ne Firewall Alla pfSense oder ähnliches hinstellen und dann bist sicher.

Gruß
Bitte warten ..
Mitglied: ChristianM75
08.03.2021 um 09:11 Uhr
Vielen Dank euch allen,
für die vielen hilfreichen Tipps.
Ich konnte mir so einen Gesamtüberblick machen und konnte einiges mitnehmen.
Mein nächster Schritt ist ein Testaufbau und dann die Umstellung unserer Netzwerkstruktur.
Allen noch eine schöne Woche
Bitte warten ..
Heiß diskutierte Inhalte
Sicherheit
Verpackter Laptop entwendet
r0x3llVor 1 TagFrageSicherheit11 Kommentare

Hallo. Mir wurde aus dem Büro ein noch verpackter Dell XPS Laptop mit einem Wert von ca 3.500€ gestohlen. Kann man da was orten? ...

Off Topic
Wie sieht eine korrekte IT-Organisation aus?
imebroVor 16 StundenFrageOff Topic17 Kommentare

Hallo, da unser IT-Verantwortlicher ja vor einem Jahr gehen musste, stelle ich mir die Frage, wie denn eine korrekte IT-Organisation überhaupt aussehen muss. Zur ...

LAN, WAN, Wireless
2x Fritzbox 7590 mit separatem DSL über WAN verbinden
gelöst FailixVor 1 TagFrageLAN, WAN, Wireless19 Kommentare

Liebes Administrator Forum, Ich bin schon länger passiver Lese und habe mich jetzt entschlossen mit einer Frage den ersten Post hier zu schreiben. Über ...

LAN, WAN, Wireless
Cat 7 Patchkabel mit nur 11MBits im Download
gelöst RickHHVor 1 TagFrageLAN, WAN, Wireless7 Kommentare

Moin zusammen, ich habe mir soeben ein paar Patchkabel (aus einem Cat 7 Kabel) fertig gemacht. Die Belegung ist: 1 weiß/grün 2 grün 3 weiß/orange 4 blau 5 weiß/blau ...

DNS
Network Scanner zeigt falschen Hostname an
gelöst vafk18Vor 1 TagFrageDNS10 Kommentare

Ich habe in meinem Netzwerk 3 Fritzboxen im Betrieb. Die Fritzboxen haben in den Einstellungen als Namen "fb7270", "fb7369" und "fb7412". Jede Fritzbox hat ...

Windows 10
Windows 10 keine Eingabegeräte mehr erkannt - Anmelden nicht möglich
akira2012Vor 1 TagFrageWindows 108 Kommentare

Hallo Zusammen! Ich habe hier einen Windows 10 Rechner. Er bootet ganz normal aber nach dem hochfahren, werden die Eingabegeräte nicht mehr erkannt. Weder ...

Notebook & Zubehör
Funktionieren keine USB-DVD-RW an Surfaces?
StefanKittelVor 18 StundenFrageNotebook & Zubehör14 Kommentare

Hallo, ein Kunde von mir hat ein Surface Pro. Wenn er ein USB-DVD-RW-Laufwerk an die Dockingstation anschliesst funktioniert es nicht. - Es bekommt Strom ...

LAN, WAN, Wireless
Router der mehrere VLANs per WLAN empfangen kann?
gelöst Rainer117Vor 1 TagFrageLAN, WAN, Wireless4 Kommentare

Hallo zusammen, ich bin auf der Suche nach einem Router, der mehrere SSIDs (ursprünglich getrennte VLANs) über WLAN empfangen kann und dann per LAN ...