131941
Goto Top

Verständnisfrage VLAN, trennen oder nicht

Hallo zusammen,

ich habe eine Verständnisfrage zum Thema VLANs.

Ich möchte das LAN von unseren VoIP Telefonen und der VoIP Anlage trennen.

Im Großen und Ganzen ja auch ganz simpel und läuft aktuell auch schon, allerdings frage ich mich, ob es richtig ist, wie ich es gemacht habe.

Wir haben eine ZyXEL ZyWALL USG60 und einen ZyXEL GS1900-24 L2-Switch.

Folgendes habe ich gemacht, VLAN auf der Firewall erstellt, VLAN auf dem Switch erstellt und läuft soweit auch.
Tagged/untagged soweit zugeordnet, fertig.

Das extra VoIP VLAN ist an den LAN1 Port meiner Firewall gebunden.
LAN1 ist in dem Fall auch das ganz normale LAN.

Und da ist dann auch direkt meine Frage, kann man das so machen, wenn man entsprechend der Zonen den Netzwerkverkehr durch die Firewall trennt, oder sollte man einen eigenen LAN Port, z.B. LAN2 für das VLAN nehmen, sodass es auch physisch voneinander getrennt ist?
Würde für mich auch für die Geschwindigkeit mehr Sinn machen, wenn das LAN über einen Port läuft und das gesamte VoIP dann über einen extra LAN Port.

Würde dann aber bedeuten, ich müsste die Firewall mit LAN1 und LAN2 auf den gleichen Switch hängen und führt das dann nicht zu Problemen?
Ich meine mich zumindest an so spaßige Sachen zu erinnern, dass es dann einen Loop gibt und der Switch nur noch freudig vor sich hin blinkt?

Freue mich auf Eure Antworten und liebe Grüße

Content-ID: 480876

Url: https://administrator.de/contentid/480876

Ausgedruckt am: 22.11.2024 um 08:11 Uhr

shadynet
shadynet 02.08.2019 um 18:09:43 Uhr
Goto Top
Hi,

Ob man es über einen trunk zur Firewall bringt oder über 2 dedizierte Ports kommt natürlich immer auf den gewünschten Durchsatz an. Voice muss ja wahrscheinlich nicht ins Datennetz und anders herum maximal ein wenig tapi und cti. Ich geh jetzt einfach mal davon aus, dass deine Firewall Gigabitports hat und dein Internetanschluss kleiner 1gbit ist sowie keine weiteren Netze über die Firewall geroutet werden. Da sollte die Bandbreite reichen. QoS für voice wäre vielleicht nicht verkehrt. Ansonsten spricht wenig gegen die Lösung. Wenn natürlich mehr drüber läuft kannst du es trennen. Dazu den LAN 2 auf dein voice VLAN taggen oder am Switch einen Port als Access im voice VLAN einstellen und die Firewall anschließen. Das gibt dann auch keine Probleme mit Loops oder STP
dwaldmannDE
dwaldmannDE 02.08.2019 um 18:12:20 Uhr
Goto Top
Hallo,

grundsätzlich solltest du kein Problem haben. Die beiden Ports der USG haben ja unterschiedliche MAC-Adressen. Ich weiß aber nicht, ob das was du vorhast dir viel nutzen wird. Meiner Erfahrung nach ist bei so einem Setup eher die Performance der USG ein Problem als die Bandbreite des LANs. Im Zweifelsfall schau dir aber mal die Linkaggregation an.

Grüße
Daniel
aqui
aqui 02.08.2019 aktualisiert um 18:58:40 Uhr
Goto Top
Ich möchte das LAN von unseren VoIP Telefonen und der VoIP Anlage trennen.
Das ist richtig und korrekt und sollte man immer so machen !
ich müsste die Firewall mit LAN1 und LAN2 auf den gleichen Switch hängen und führt das dann nicht zu Problemen?
Generell nicht, denn diese beiden Ports führen ja in 2 völlig getrennte Layer 2 Broadcast Domains auf dem Switch sprich den 2 VLANs. Diese siind vollkommen physisch getrennt und "sehen" sich ja nicht.
Es ist aber eine laienhafte Anfänger Konfiguration die man so in der Regel nicht macht.

Du führst die VLANs normalerweise mit einem 802.1q VLAN Trunk (Tagged Uplink) auf die Firewall über ein einziges Kabel auf den Swiitch und nicht pro separatem VLAN 1 Kabel. Technisch ist das unsinnig.
Stell dir mal vor du hättest jetzt vorbildlich nicht nur Voice und lokales LAN segmentiert sondern richtigerweise auch das WLAN, Gast-WLAN, Server usw. segmentiert wie es im Netzwerk üblich ist.
Dann musst du pro VLAN eine Strippe auf Switch und Firewall ziehen.
So einen Unsinn macht man natürlich nicht, da das nicht skaliert und nutzt dafür immer einen Tagged Uplink um das nur über einen Draht zu machen. Das verringert auch das Fehlerrisiko bei z.B. falschem Patchen usw.

Das hiesige VLAN Tutorial erklärt dir das an Router oder Firewall wie man es mit einem Tagged Link richtig macht:
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Das klappt auch mit deiner Zywall fehlerlos.