10
Telefonanlage VLAN - Netzwerk Konfiguration
Hallo in die Runde,
Ich habe eine Frage bezüglich VLAN bzw. Netzwerk Konfiguration.
Ich habe einen DHCP Server (Windows Server 2012) im Einsatz der folgende Bereich eingestellt hat 192.168.0.0 / 22
Alle Clients bekommen eine IP 192.168.0.x die automatisch vergeben wird.
Alle Server und Drucker, Switche haben eine statische IP im Bereich 192.168.1.x
Unsere Kameras haben ebenfalls statische IPs im Bereich 192.168.2.x
Jetzt kam die VOIP Anlage dazu, hier bekommen alle Telefone und DECT Stationen per Reservierung eine 192.168.3.x zugewiesen.
Wir nutzen ausschließlich D-Link Switche und zwar aus der Serie DGS1210-52 das sind wohl Layer2 Switche mit Sicherheits-Layer3 Fähigkeiten.
Jetzt sagt unser TK-Anlagen Dienstleister um die Sicherheit der Telefonanlage zu erhöhen soll ich ein VLAN einrichten wo die TK-Anlage und die Telefone drin sind.
Meine Frage ist wie gehe ich da am besten vor? In der Theorie habe ich VLAN Basiswissen und hab das auch schon im Kleinen für ein Unifi Netzwerk erstellt.
Muss ich am DHCP Server einen neuen Bereich erstellen, und diesem eine VLAN ID zuzuweisen? Oder kann ich auch im dem schon vorhanden Bereich einfach den 192.168.3.x teil eine VLAN ID zuweisen?
Das VLAN in den Switchen und in der Firewall einzutragen da sehe ich jetzt erst mal kein Problem.
Oder welche Möglichkeiten habe ich noch? Evtl. habt ihr noch Ideen für einen ganz anderen Ansatz.
Vielen Dank an euch.
Ich habe eine Frage bezüglich VLAN bzw. Netzwerk Konfiguration.
Ich habe einen DHCP Server (Windows Server 2012) im Einsatz der folgende Bereich eingestellt hat 192.168.0.0 / 22
Alle Clients bekommen eine IP 192.168.0.x die automatisch vergeben wird.
Alle Server und Drucker, Switche haben eine statische IP im Bereich 192.168.1.x
Unsere Kameras haben ebenfalls statische IPs im Bereich 192.168.2.x
Jetzt kam die VOIP Anlage dazu, hier bekommen alle Telefone und DECT Stationen per Reservierung eine 192.168.3.x zugewiesen.
Wir nutzen ausschließlich D-Link Switche und zwar aus der Serie DGS1210-52 das sind wohl Layer2 Switche mit Sicherheits-Layer3 Fähigkeiten.
Jetzt sagt unser TK-Anlagen Dienstleister um die Sicherheit der Telefonanlage zu erhöhen soll ich ein VLAN einrichten wo die TK-Anlage und die Telefone drin sind.
Meine Frage ist wie gehe ich da am besten vor? In der Theorie habe ich VLAN Basiswissen und hab das auch schon im Kleinen für ein Unifi Netzwerk erstellt.
Muss ich am DHCP Server einen neuen Bereich erstellen, und diesem eine VLAN ID zuzuweisen? Oder kann ich auch im dem schon vorhanden Bereich einfach den 192.168.3.x teil eine VLAN ID zuweisen?
Das VLAN in den Switchen und in der Firewall einzutragen da sehe ich jetzt erst mal kein Problem.
Oder welche Möglichkeiten habe ich noch? Evtl. habt ihr noch Ideen für einen ganz anderen Ansatz.
Vielen Dank an euch.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 659293
Url: https://administrator.de/contentid/659293
Ausgedruckt am: 25.11.2024 um 20:11 Uhr
10 Kommentare
Neuester Kommentar
Jetzt sagt unser TK-Anlagen Dienstleister um die Sicherheit der Telefonanlage zu erhöhen soll ich ein VLAN einrichten wo die TK-Anlage und die Telefone drin sind.
Da hat er absolut Recht. Allein auch schon aus rechtlichen Gründen sollte man in der Firma den Voice Traffic immer vom Produktivtraffic abtrennen. Jeder kann sonst mit einem simplen Wireshark Trace alle Gespräche im Firmennetz mithören was die Firma rechtlich angreifbar macht. (Fernmeldegeheimnis)Der zweite Grund ist das Netzwerk technisch Layer 2 Broadcast Domains niemals größer als 150 Engeräte sein sollten um Netzsegmente performant zu halten von der Broad- und Multicast Last. Eine alte goldenen Netzwerker Daumenregel die jeder kennt. Mit vielen Voice Endgeräten kommt man dann ggf. in Probleme. Alles triftige Gründe also die also richtigerweise dafür sprechen.
In der Theorie habe ich VLAN Basiswissen
Perfekt ! Dann konfigurierst du einfach ein zusätzliches VLAN auf deinen D-Link Teilen, taggst das Voice VLAN auf den Switch Uplink Ports um es an alle Switches zu bringen und weist die Endgeräte Ports untagged dem VLAN an den Switches zu, fertisch. Simpler Klassiker in sauber segmentierten Netzen.Hat auch noch den Vorteil das man den Telefonen dann gleich automatisch LLDP Infos zur QoS Priorisierung usw. zukommen lassen kann. Siehe zum Thema QoS und Voice auch hier.
Muss ich am DHCP Server einen neuen Bereich erstellen, und diesem eine VLAN ID zuzuweisen?
Ja, einfach einen neuen Scope dort eintragen um am VLAN Router oder Layer 3 Core Switch DHCP Relay konfigurieren, fertisch.Je nach Switchanzahl ist das in 15-20 Minuten erledigt und du hast dein Voice Netz. Wie man es Layer 3 technisch mit anderen VLAN Segmenten kommunizieren lässt steht hier:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
oder mit einem Layer 3 Switch Design hier:
Verständnissproblem Routing mit SG300-28
Alles kein Hexenwerk und schnell und unkompliziert einzurichten..
Hallo aqui, vielen Dank für die Informationen
Woher weiß der DHCP Server das dies ein Telefon ist und gibt ihm dann diese IP? Ist dafür das DHCP Relay? Einen VLAN Router habe ich nicht im Einsatz, also muss ich das auf einem Switch konfigurieren.
Ich habe mal nachgeschaut, im Switch gibt es ein Punkt DHCP-Relay.
Also würde dieser Switch dann die Pakete die ankommen weiterleiten.
Nun noch folgende Frage: Unsere Client-PC sind direkt am Telefon angeschlossen, wenn ich den Ports wo die Telefone angeschlossen sind jetzt einer VLAN ID zuweise, mit der IP des neuen Bereichs, kommen die Clients dann trotzdem noch ins Netzwerk?
Perfekt ! Dann konfigurierst du einfach ein zusätzliches VLAN auf deinen D-Link Teilen, taggst das Voice VLAN auf den Switch Uplink Ports um es an alle Switches zu bringen und weist die Endgeräte Ports untagged dem VLAN an den Switches zu, fertisch. Simpler Klassiker in sauber segmentierten Netzen.
Genau das habe ich mir schon angeschaut und auch verstanden und bekomme es wohl auch hin.Ja, einfach einen neuen Scope dort eintragen um am VLAN Router oder Layer 3 Core Switch DHCP Relay konfigurieren, fertisch.
Und hier ist mein Verständniss Problem, also ich trage im DHCP Server einen neuen Bereich (Scope) ein.Woher weiß der DHCP Server das dies ein Telefon ist und gibt ihm dann diese IP? Ist dafür das DHCP Relay? Einen VLAN Router habe ich nicht im Einsatz, also muss ich das auf einem Switch konfigurieren.
Ich habe mal nachgeschaut, im Switch gibt es ein Punkt DHCP-Relay.
Also würde dieser Switch dann die Pakete die ankommen weiterleiten.
Nun noch folgende Frage: Unsere Client-PC sind direkt am Telefon angeschlossen, wenn ich den Ports wo die Telefone angeschlossen sind jetzt einer VLAN ID zuweise, mit der IP des neuen Bereichs, kommen die Clients dann trotzdem noch ins Netzwerk?
Moin,
Warum machst Du nicht 4 Netze mit 192.168.0.0/24 bis 192.168.3.0/24 und trennst die Systeme wirklich per VLAN?
Größere netze als /24 sind nur in den seltensten Fällen sinnvoll.
zur Vorgehensweise:
lks
Warum machst Du nicht 4 Netze mit 192.168.0.0/24 bis 192.168.3.0/24 und trennst die Systeme wirklich per VLAN?
Größere netze als /24 sind nur in den seltensten Fällen sinnvoll.
zur Vorgehensweise:
- Du nimmst einen VLAN-fähigen L3-switch und machst deine 4 VLANS.
- Du stellst im switch ein, wer mit wem kommunizieren darf.
- Du aktivierst den DHCP-Proxy auf dem switch
- Du stellst deine Netz von der Netzmaske /22 auf /24 um.
lks
Zitat von @Lochkartenstanzer:
Moin,
Warum machst Du nicht 4 Netze mit 192.168.0.0/24 bis 192.168.3.0/24 und trennst die Systeme wirklich per VLAN?
Größere netze als /24 sind nur in den seltensten Fällen sinnvoll.
zur Vorgehensweise:
lks
Hallo, vielen Dank für deine AntwortMoin,
Warum machst Du nicht 4 Netze mit 192.168.0.0/24 bis 192.168.3.0/24 und trennst die Systeme wirklich per VLAN?
Größere netze als /24 sind nur in den seltensten Fällen sinnvoll.
zur Vorgehensweise:
- Du nimmst einen VLAN-fähigen L3-switch und machst deine 4 VLANS.
- Du stellst im switch ein, wer mit wem kommunizieren darf.
- Du aktivierst den DHCP-Proxy auf dem switch
- Du stellst deine Netz von der Netzmaske /22 auf /24 um.
lks
umsomehr ich mich in das Thema einlese hatte ich genau den selben Gedanken.
Ich scheue mich aber ein wenig vor der ganzen Arbeit. Und da ja im Prinzip sowieso alle Geräte miteinander kommunizieren darf dachte ich mir es geht evtl schneller und einfacher wenn ich einfach nru 1 VLAN für alles Bereich 192.168.0.0 /22 und 1 VLAN für Telefonie 192.168.0.5 /24 mache.
Ich frage mich da bloß ob ich Probleme mit Clients bekomme die am gleichen Port wie das Telefon ist.
gruß
Hallo,
kann ds Telefon VLAN ?
Ansonsten eben doch paar Strippen mehr.
VLAN-Fähige Switches zum aufdröseln an jedem AP ist nix was ich machen würde.
Ganz am Rande - 192.168.0.x ?? Nie mehr VPN-Geräte anschließen aus dem Home Office
Denke da mal an eventuelles Routing von "Heimgeräten" o.ä.
Die ersten zehn Netze werden AFIK gern von Providergeräten benutzt - also wenn du schon umstellst...!
Fred
kann ds Telefon VLAN ?
Ansonsten eben doch paar Strippen mehr.
VLAN-Fähige Switches zum aufdröseln an jedem AP ist nix was ich machen würde.
Ganz am Rande - 192.168.0.x ?? Nie mehr VPN-Geräte anschließen aus dem Home Office
Denke da mal an eventuelles Routing von "Heimgeräten" o.ä.
Die ersten zehn Netze werden AFIK gern von Providergeräten benutzt - also wenn du schon umstellst...!
Fred
Zitat von @fredmy:
Hallo,
kann ds Telefon VLAN ?
Ansonsten eben doch paar Strippen mehr.
VLAN-Fähige Switches zum aufdröseln an jedem AP ist nix was ich machen würde.
Hallo,
kann ds Telefon VLAN ?
Ansonsten eben doch paar Strippen mehr.
VLAN-Fähige Switches zum aufdröseln an jedem AP ist nix was ich machen würde.
Hallo, danke für deine Antwort.
Die Telefone beinhalten automatisch einen kleinen Switch, es ist nicht möglich an einigen Arbeitsplätzen ein weiteres LAN Kabel zu verlegen.
Deshalb schliße ich das Telefon per LAN mit POE an und vom Telefon dann ein LAN Kabel zum Client.
Die Telefone beinhalten automatisch einen kleinen Switch, es ist nicht möglich an einigen Arbeitsplätzen ein weiteres LAN Kabel zu verlegen.
Deshalb schliße ich das Telefon per LAN mit POE an und vom Telefon dann ein LAN Kabel zum Client.
Hallo,Deshalb schliße ich das Telefon per LAN mit POE an und vom Telefon dann ein LAN Kabel zum Client.
Hauptfrage ignoriert
Falls dein Telefon kein VLAN kann hat sich deine Anfangsfrage doch fast erledigt!
(wer baut denn so, dass nur ein LAN Anschluß am Arbeitsplatz ist ?)
l.g.
Fed
Das sind normalerweise "historische bedingte Einschränkungen", d.h. die Leute haben damals nciht einsehen wollen, daß man deutlich über bedarf verkabeln sollte.
Ich habe um die Jahrtausendwende einem Kunden beim Neubau geraten, für jeden potentiellen Arbeitplatz im Büro zwei Doppeldosen zu legen (PC, Drucker, Telefon, Reserve). Da hieß es Nee, so schlimm wird es schon nicht werden. Eine Doppeldose pro Arbeitsplatz plus eine Doppeldose für einen Drucker im Büro muß reichen. (bei gut 50 Büros mit mindestens 3 potentiellen Arbeitssplätzen ging damals das schon ins Geld, wenn man alles "ordentlich" plante.)
Kaum ein Jahr später wurde es in manchen Büros "zu eng" und die vermaledeiten Desktopswitche (5 oder 8-Port) vermehrten sich wie die Karnickel.
Das Problem ist, daß man da nachträglich nicht mehr viel ändern kann, ohne nochmal viel Geld in die Hand zu nehmen.
lks
lks
Hi,
mach's einfach einmal richtig und segmentiere jedes Netz mit VLANs.
Das macht zum einen die Arbeit später einfacher, zum anderen die Sicherheit größer.
Nicht nur eine Telefonanlage kann ein Risiko darstellen. Drucker zum Beispiel auch.
Für kleines Geld kannst noch ne Firewall Alla pfSense oder ähnliches hinstellen und dann bist sicher.
Gruß
mach's einfach einmal richtig und segmentiere jedes Netz mit VLANs.
Das macht zum einen die Arbeit später einfacher, zum anderen die Sicherheit größer.
Nicht nur eine Telefonanlage kann ein Risiko darstellen. Drucker zum Beispiel auch.
Für kleines Geld kannst noch ne Firewall Alla pfSense oder ähnliches hinstellen und dann bist sicher.
Gruß
Vielen Dank euch allen,
für die vielen hilfreichen Tipps.
Ich konnte mir so einen Gesamtüberblick machen und konnte einiges mitnehmen.
Mein nächster Schritt ist ein Testaufbau und dann die Umstellung unserer Netzwerkstruktur.
Allen noch eine schöne Woche
für die vielen hilfreichen Tipps.
Ich konnte mir so einen Gesamtüberblick machen und konnte einiges mitnehmen.
Mein nächster Schritt ist ein Testaufbau und dann die Umstellung unserer Netzwerkstruktur.
Allen noch eine schöne Woche
